WO2012114601A1

WO2012114601A1 - 情報処理装置、及び情報処理プログラム

Info

Publication number: WO2012114601A1
Application number: PCT/JP2011/078447
Authority: WO
Inventors: 進一村尾
Original assignee: セイコーインスツル株式会社
Priority date: 2011-02-23
Filing date: 2011-12-08
Publication date: 2012-08-30
Also published as: CN103370900A; US9231766B2; JP2012175552A; DE112011104945T5; CN103370900B; US20130326226A1

Abstract

長期署名登録システム８は、ユーザからの属性の入力を受け付けることにより原本データに対する属性値群を設定する。そして、これらを圧縮して１個の長期署名用圧縮データを生成する。長期署名登録システム８は、長期署名用圧縮データを長期署名システム１に出力して登録する。長期署名システム１は、長期署名用圧縮データを解凍して原本データと属性値群を取得する。長期署名システム１は、原本データと属性値群の組（グループ）に対して長期署名を行い、原本データと属性値群の組に対するＸＡｄＥＳ（長期署名データ）を作成する。長期署名システム１は、原本データ、属性値群、ＸＡｄＥＳを圧縮して１個の長期署名一式データを作成して、これを文書管理システム９に出力して登録する。その結果、原本データと共に属性情報にも長期署名を行うことができる。

Description

情報処理装置、及び情報処理プログラム

　本発明は、情報処理装置、及び情報処理プログラムに関し、例えば、長期署名データを処理するものに関する。

　電子データの非改竄性（真正）を証明するために、電子データを秘密鍵で暗号化することにより電子署名を行い、当該秘密鍵に対応する公開鍵で電子データを復号化することにより検証する電子署名が広く利用されている。
　電子データを公開鍵で復号化することにより、当該電子データは当該公開鍵に対応する秘密鍵で暗号化されたことを確認できるが、当該秘密鍵を有しているのは署名者であるので、当該電子データが当該署名者によるものであると認定することができる。例えるなら、秘密鍵は印鑑として機能し、公開鍵は印鑑証明書として機能している。
　公開鍵は、認証局が発行する公開鍵証明書により配布され、配布を受けたものは当該証明書により公開鍵の真正を確認できるようになっている。

　ところで、電子署名は、署名などに用いた暗号アルゴリズムの危殆化などに対処するため有効期限が設定されている。
　また、有効期限前であっても、署名者の都合で失効したり、秘密鍵の遺漏などによりルート証明書以下の全ての証明書が失効する場合もある。
　そこで、この問題に対処するため、特許文献１に示されているように、電子署名の有効性を永続させるための電子署名フォーマット（以下、長期署名フォーマット）が規定されている。

　長期署名フォーマットでは、保存対象となる電子データと電子署名に対して、電子署名よりも有効期限の長いタイムスタンプであるアーカイブタイムスタンプを付与することにより、電子署名の有効期限が経過した後も電子データの正当性を保証する。
　そして、当該アーカイブタイムスタンプの有効期限が経過する前に、当該アーカイブタイムスタンプよりも有効期限が長い第２世代のアーカイブタイムスタンプを付与することにより有効期限を延長する。以下、第３世代、第４世代、・・・、と有効期限を延長していくことにより、電子データの非改竄性の検証が長期に渡って可能となる。

　ところで、文書管理システムと長期署名システムが連携する場合、文書管理システムが長期署名の対象となる原本データを長期署名システムに入力し、長期署名処理された長期署名データを文書管理システムに戻すことが行われている。
　通常、文書管理システムでは、原本データに対して日付や重要度（極秘、秘密、公知）などの各種属性値を持って管理しているが、これらの属性値は長期署名されていないという問題があった。
　例えば、対象の長期署名されたデータが、過去から極秘であったのかということを証明するケースも考えられるため、これらの属性値は長期署名データと紐づけて長期署名対象としたいとの要望があった。

特表２００３－５３３９４０号公報

　本発明は、原本データと共に属性情報にも長期署名を行うことを目的とする。

　請求項１に記載の発明では、原本データを取得する原本データ取得手段と、前記取得した原本データに対して属性情報を設定する設定手段と、前記取得した原本データと前記設定した属性情報を対応づける対応づけ手段と、前記対応づけた原本データと属性情報に長期署名を行った長期署名データを取得する長期署名データ取得手段と、を具備したことを特徴とする情報処理装置を提供する。
　請求項２に記載の発明では、前記取得した原本データ、前記設定した属性情報、及び前記取得した長期署名データを対応づけて記憶する記憶手段を具備したことを特徴とする請求項１に記載の情報処理装置を提供する。
　請求項３に記載の発明では、前記記憶手段が、前記原本データ、前記属性情報、及び前記長期署名データから生成された１のデータを記憶することを特徴とする請求項２に記載の情報処理装置を提供する。
　請求項４に記載の発明では、前記１のデータから前記属性情報を読み取って提示する提示手段を具備したことを特徴とする請求項３に記載の情報処理装置を提供する。
　請求項５に記載の発明では、前記対応づけ手段が、前記取得した原本データと前記設定した属性情報から１のデータを生成することにより前記原本データと前記属性情報を対応づけることを特徴とする請求項１から請求項４までのうちの何れか１の請求項に記載の情報処理装置を提供する。
　請求項６に記載の発明では、原本データを取得する原本データ取得機能と、前記取得した原本データに対して属性情報を設定する設定機能と、前記取得した原本データと前記設定した属性情報を対応づける対応づけ機能と、前記対応づけた原本データと属性情報に長期署名を行った長期署名データを取得する長期署名データ取得機能と、をコンピュータで実現する情報処理プログラムを提供する。

　本発明は、原本データと属性情報を１つにまとめて長期署名することにより、原本データと共に属性情報にも長期署名を行うことができる。

本実施の形態の概要を説明するための図である。長期署名システム、長期署名登録システム、文書管理システムの構成を説明するための図である。登録画面の一例を示した図である。長期署名用圧縮データの構成を説明するための図である。長期署名フォーマットを説明するための図である。属性表示画面の一例を示した図である。長期署名用圧縮データを作成する手順を説明するためのフローチャートである。長期署名一式データを生成する手順の前半を説明するためのフローチャートである。長期署名一式データを生成する手順の後半を説明するためのフローチャートである。

（Ａ）実施形態の概要
　図１は、本実施の形態の概要を説明するための図である。括弧を付した番号は、処理の順序を示しており、以下、当該処理の順序に従って説明する。
（１）長期署名登録システム８は、ユーザからの属性の入力を受け付けることにより原本データに対する属性値群を設定する。そして、長期署名登録システム８は、原本データと属性値群がバラバラにならないように、これらを圧縮して１個の長期署名用圧縮データを生成する。
（２）長期署名登録システム８は、長期署名用圧縮データを長期署名システム１に出力して登録する。長期署名システム１は、長期署名用圧縮データを解凍して原本データと属性値群を取得する。

（３）長期署名システム１は、原本データと属性値群の組（グループ）に対して長期署名を行い、原本データと属性値群の組に対するＸＡｄＥＳ（長期署名データ）を作成する。
（４）長期署名システム１は、原本データ、属性値群、ＸＡｄＥＳがバラバラにならないように、これらを圧縮して１個の長期署名一式データを作成する。
（５）長期署名システム１は、作成した長期署名一式データを文書管理システム９に出力して登録する。
　文書管理システム９は、長期署名一式データが登録されると、これを記憶して管理する。あるいは、これを解凍し、原本データ、属性値群、ＸＡｄＥＳを対応づけて管理してもよい。

（Ｂ）実施形態の詳細
　図２は、長期署名システム１、長期署名登録システム８、文書管理システム９の構成を説明するための図である。
　長期署名システム１は、長期署名サーバ２、クライアント端末３、タイムスタンプサーバ５、リポジトリサーバ６、７などがインターネット４で通信可能に接続されて構成されている。

　長期署名サーバ２は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）２１、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）２２、記憶部２３、入出力Ｉ／Ｆ２４、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）２５、表示部２６、通信制御部２７などから構成されている。

　ＣＰＵ２１は、記憶部２３などに記憶されたプログラムに従って情報処理や長期署名サーバ２の各部の制御を行う中央処理装置である。
　本実施の形態では、クライアント端末３やタイムスタンプサーバ５、リポジトリサーバ６、７と通信しながら長期署名データを作成する。

　ＲＯＭ２２は、読み取り専用のメモリであって、長期署名サーバ２が動作するための基本的なプログラムやパラメータなどが記憶されている。
　ＲＡＭ２５は、読み書きが可能なメモリであって、長期署名サーバ２がクライアント端末３などと通信して長期署名データを作成するためのワーキングメモリなどを提供する。

　記憶部２３は、例えば、ハードディスクなどの大容量の記憶装置を用いて構成されており、長期署名サーバ２を動作させるためのＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）や長期署名データを生成するためのプログラムなどが記憶されている。
　表示部２６は、例えば、液晶やＣＲＴ（Ｃａｔｈｏｄｅ　Ｒａｙ　Ｔｕｂｅ）などを用いた表示装置を備えており、長期署名サーバ２の運用担当者などが長期署名サーバ２を操作するための各種画面を表示する。

　入出力Ｉ／Ｆ２４は、例えば、各種操作スイッチ、キーボード、マウスなどの入出力装置を備えており、運用担当者などは入出力Ｉ／Ｆ２４から長期署名サーバ２を操作することができる。
　通信制御部２７は、インターネット４を介してクライアント端末３、タイムスタンプサーバ５、リポジトリサーバ６、７などと通信する。なお、インターネット４は、他の形態の通信網であってもよい。
　長期署名サーバ２は、通信制御部２７により、クライアント端末３から電子署名値や原本データと、これに設定された属性値群のハッシュ値（以下、属性値原本ハッシュ値）や公開鍵証明書などを受信することができる。

　クライアント端末３は、ＣＰＵ３１、ＲＯＭ３２、記憶部３３、通信制御部３４、ＲＡＭ３５、表示部３６、入出力Ｉ／Ｆ３７などから構成されている。
　クライアント端末３は、長期署名サーバ２と協働することにより長期署名システム１の一部を構成するほか、単独で長期署名登録システム８、文書管理システム９を構成している。

　ＣＰＵ３１は、記憶部３３などに記憶されたプログラムに従って情報処理やクライアント端末３の各部の制御を行う中央処理装置である。
　本実施の形態では、属性値の入力を受け付けて、原本データに属性値群を設定したり（長期署名登録システム８）、長期署名サーバ２との各種情報の送受信、秘密鍵による電子署名などを行ったり（長期署名システム１）、長期署名が成された原本データと属性値群を保管したりする（文書管理システム９）。

　ＲＯＭ３２は、読み取り専用のメモリであって、クライアント端末３が動作するための基本的なプログラムやパラメータなどが記憶されている。
　ＲＡＭ３５は、読み書きが可能なメモリであって、例えば、クライアント端末３が原本データに属性値群を設定する場合や、クライアント端末３が長期署名サーバ２と通信しながら電子署名や属性値原本ハッシュ値の作成を行う場合、あるいは、クライアント端末３が長期署名された原本データや属性値群を管理する場合にワーキングメモリを提供する。

　記憶部３３は、例えば、ハードディスクなどの大容量の記憶装置を用いて構成されており、クライアント端末３を動作させるためのＯＳや電子署名を行うための秘密鍵、当該秘密鍵に対応する公開鍵の公開鍵証明書、長期署名対象となっている原本データや属性値群などが記憶されている。
　原本データとしては、例えば、ワープロやテキストエディタなどで作成された電子文書のほか、画像データ、音声データなどの各種のデータファイルが可能である。

　また、クライアント端末３が長期署名サーバ２と協働して長期署名データを作成するためのプログラムは、作成の度に長期署名サーバ２からダウンロードするように構成してもよいし、あるいは、予め記憶部３３に記憶しておき、これを使用するように構成することもできる。

　表示部３６は、例えば、液晶やＣＲＴなどを用いた表示装置を備えており、クライアント端末３のユーザがクライアント端末３を操作するための各種画面を表示する。

　入出力Ｉ／Ｆ３７は、例えば、キーボード、マウス、ＩＣカードリーダライタなどの入出力装置を備えている。
　ＩＣカードリーダライタは、ＩＣカードを接続してクライアント端末３とＩＣカードの通信を仲介する。
　ＩＣカードは、ＣＰＵ、ＲＯＭ、ＲＡＭ、ＥＥＰＲＯＭ（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　ａｎｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　ＲＯＭ）などを備えた情報処理装置であり、例えば、クライアント端末３を使用するユーザを認証するためのユーザ認証情報などが記憶されている。
　また、秘密鍵や公開鍵証明書などをＩＣカードに記憶させ、ＩＣカードの秘密鍵を使って電子署名するようにクライアント端末３を構成することもできる。

　通信制御部３４は、インターネット４を介して長期署名サーバ２との通信を行う。長期署名サーバ２へのハッシュ値の送信、電子署名値の送信などは、通信制御部３４を用いて行われる。

　タイムスタンプサーバ５は、タイムスタンプを発行するサーバであり、ＴＳＡ（Ｔｉｍｅ　Ｓｔａｍｐｉｎｇ　Ａｕｔｈｏｒｉｔｙ：タイムスタンプ局）に設置されている。
　タイムスタンプサーバ５は、時刻配信局の配信する時刻によって補正される正確な時計を有しており、タイムスタンプ発行対象となる電子データを受信すると、これに当該時計による現在日時刻を付してタイムスタンプ用の秘密鍵で電子署名（暗号化）することによりタイムスタンプを発行する。

　リポジトリサーバ６は、ＴＳＡ－ＣＡ（Ｔｉｍｅ　Ｓｔａｍｐｉｎｇ　Ａｕｔｈｏｒｉｔｙ　Ｃｅｒｔｉｆｉｃａｔｅ　Ａｕｔｈｏｒｉｔｙ：タイムスタンプ認証局）に設置されたサーバであって、タイムスタンプの検証に用いる公開鍵証明書（タイムスタンプに用いた秘密鍵に対応する公開鍵の公開鍵証明書）の失効情報を提供する。
　失効情報にリストアップされていない公開鍵証明書は失効していないため、これによって公開鍵証明書の有効性を確認し、当該有効な公開鍵証明書によってタイムスタンプの有効性を確認することができる。

　リポジトリサーバ７は、ＣＡ（Ｃｅｒｔｉｆｉｃａｔｅ　Ａｕｔｈｏｒｉｔｙ）に設置されたサーバであって、クライアント端末３の行った電子署名の検証に用いる公開鍵証明書（クライアント端末３の秘密鍵に対応する公開鍵の公開鍵証明書）の失効情報を提供する。
　失効情報にリストアップされていない公開鍵証明書は失効していないため、これによって公開鍵証明書の有効性を確認し、当該有効な公開鍵証明書によってクライアント端末３の行った電子署名の有効性を確認することができる。
　リポジトリサーバ６とリポジトリサーバ７が提供する失効情報は、定期・不定期（例えば、２４時間ごと）に更新される。

　図３は、長期署名登録システム８によってクライアント端末３に表示される登録画面の一例を示した図である。
　登録画面は、「対象ファイル名」、「ファイル名変換処理」、「関連情報」、「参照」、及び「処理実行」の各エリアを有している。

　「対象ファイル名」は、ファイル名を変更する原本データを指定するエリアである。
　ユーザが長期署名する書類をスキャナなどで読み込む場合、スキャンした後のデータには、一般に、自動的にファイル名が付与されるため、当該エリアでユーザの定義するファイル名に変換する原本データを指定する。図では、「０９－Ｊ－２４．ｐｄｆ」なる原本データが指定されている。
　このようにして、登録アプリケーションに処理対象となる原本データを登録することができる。

　また、「ファイル選択」ボタンは、ファイルを一覧して対象となる原本データを選択するためのボタンであり、「内容確認のため開く」ボタンは、確認のために、選択した原本データの内容を表示するためのボタンである。
　更に、「ファイル選択毎に追番をインクリメント」チェックボックスは、選択したファイルに１ずつ増加する追番を自動的に付与するか否かを選択するためのボックスである。

　「ファイル名変換処理」は、変換後のファイル名を設定するためのエリアである。
　「変換後のファイル名」には、ユーザが下の「１．製品コード／開発コード」～「６．内容（履歴）」の各項目で設定したファイル名が表示される。

　「１．製品コード／開発コード」では、製品コードや開発コードをドロップダウンメニューで選択するようになっている。
「２．ステップ」では、例えば、事前検討や承認済みなど、原本データの位置する段階をドロップダウンメニューで選択するようになっている。
「３．資料コード」では、原本データの資料としての位置づけを表すコードをドロップダウンメニューで選択するようになっている。

　「４．追番」では、原本データのファイル名に付与する追番が設定できるようになっており、「＋」ボタンで追番を１だけインクリメントし、「－」ボタンで追番を１だけデクリメントし、「リセット」ボタンで初期値「１」にリセットできるようになっている。
　「５．Ｒｅｖ．」では、原本データの版数をドロップダウンメニューで選択するようになっている。

　「６．内容（履歴）」では、原本データの内容をドロップダウンメニューで選択するようになっている。また、下のボックスに履歴を入力することもできる。「設定」ボタンがクリック（選択）されると入力内容が確定する。
　「ファイル名生成」ボタンは、変換後のファイル名を生成するためのボタンであり、クリックされると、「１．製品コード／開発コード」～「６．内容（履歴）」で入力された内容に従ってファイル名が生成され、「変換後のファイル名」に生成されたファイル名が表示される。

　「関連情報」は、原本データに付属させる属性値を設定するためのエリアである。
　「１．作成日」では、原本データを作成した日をドロップダウンメニューで選択するようになっている。
　「２．機密レベル」では、原本データの機密レベルをドロップダウンメニューで選択するようになっている。

　「３．所有者」では、原本データの所有者をドロップダウンメニューで選択するようになっている。
　「４．アクセス権」では、原本データにアクセスする権限を持っている者をドロップダウンメニューで選択するようになっている。
　「５．次回更新日（見直し期間）」では、属性値を見直して更新する日をドロップダウンメニューで選択するようになっている。

　「６．保管期限」では、原本データや属性値の保管期限をドロップダウンメニューで選択するようになっている。
　「７．複製」では、複製が可能であるか否かをドロップダウンメニューで選択するようになっている。
　「８．備考」では、備考をキーボードなどから入力するようになっている。
　以上のようにして登録アプリケーション上で処理対象となる原本データに関する属性値（複数）を設定することができる。

　「参照」は、処理実行後に参照するファイルを選択するエリアである。
　「処理済フォルダを開く」ボタンは、処理実行された長期署名前の原本データが格納されたフォルダ（ディレクトリ）を開くためのボタンであり、「リストを開く」ボタンは、処理実行された長期署名データのリストを開くボタンである。

　「処理実行」は、長期署名用圧縮データを長期署名対象に登録するためのエリアである。
　「登録」ボタンをクリックすると、クライアント端末３は、「関連情報」で設定した各属性値を、当該属性値をファイル名とするテキストファイルに変換し（後述）、原本データとともに所定の圧縮方式（例えば、ＺＩＰ方式）で圧縮して長期署名用圧縮データを生成する。
　そして、長期署名登録システム８は、長期署名用圧縮データを長期署名対象用のフォルダに格納して長期署名システム１に登録する。

　図４は、長期署名用圧縮データの構成を説明するための図である。
　長期署名用圧縮データは、所定のフォルダに、属性値群と原本データを格納し、これを圧縮することにより形成されている。
　より詳細には、各属性値は、「極秘．ｔｘｔ」などと、テキストファイルのファイル名として設定されている。テキストファイルの中身は属性値を入れてもよい。
　そして、これら属性値名ファイルと、原本データ「Ｃ－Ｊ－０１－００１－１－製品企画書．ｐｄｆ」が同じフォルダに格納され、フォルダごと圧縮されている。フォルダ名は、例えば、原本データのファイル名にするなど任意に設定することができる。

　このように原本データと属性値群を１つのフォルダにまとめて圧縮したのは、長期署名登録システム８でこれらデータを管理する際、及び、長期署名登録システム８から長期署名システム１にデータを送信する際に、原本データや属性値群がバラバラにならないようにするためである。また、データの容量を小さくすることもできる。

　また、属性値をテキストファイルのファイル名としたのは、圧縮された状態であっても、テキストファイルの題名を読み取ることができるからである。テキストファイルの題名を読み出すことにより属性値を読み出すことができる。
　なお、属性値は、このように１つの属性値をファイル名とする１つのファイルを作成するほか、１つの属性値用ファイルの中に全ての属性値を記載してもよい。あるいは、属性値を記載したＣＳＶ（Ｃｏｍｍａ　Ｓｅｐａｒａｔｅｄ　Ｖａｌｕｅｓ）ファイルを作成する場合も考えられる。

　図５は、長期署名システム１が生成する長期署名データのフォーマット（長期署名フォーマット）を説明するための図である。
　本実施の形態の長期署名データは、ＸＡｄＥＳ（ＸＭＬ　Ａｄｖａｎｃｅｄ　Ｅｌｅｃｔｒｏｎｉｃ　Ｓｉｇｎａｔｕｒｅｓ）の規定に従い、ＸＭＬ（Ｅｘｔｅｎｓｉｂｌｅ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ）言語を用いて記述されている。

　署名前ＸＡｄＥＳデータは、クライアント端末３が電子署名を行う対象となる署名対象データを格納したＸＭＬ要素であって、ＫｅｙＩｎｆｏ、署名対象プロパティ、ＳｉｇｎｅｄＩｎｆｏの各要素から構成されている。署名前ＸＡｄＥＳデータをクライアント端末３が電子署名することによりＥＳが生成される。

　ＫｅｙＩｎｆｏには、クライアント端末３が電子署名に用いた秘密鍵に対応する公開鍵の公開鍵証明書が設定されている。公開鍵証明書には、例えば、公開鍵、公開鍵の所有者、認証局、認証局の署名などが含まれている。
　署名対象プロパティには、公開鍵証明書のハッシュ値が設定されている。
　ＳｉｇｎｅｄＩｎｆｏには、属性値原本ハッシュ値（解凍後の原本データファイル名とそのハッシュ値、および、それぞれの属性値ファイル名とそれぞれのハッシュ値の一式）、及び署名対象プロパティのハッシュ値（以下、署名対象プロパティハッシュ値）が設定されている。

　ＥＳは、上記の署名前ＸＡｄＥＳデータとＳｉｇｎａｔｕｒｅＶａｌｕｅを要素として構成されている。
　ＳｉｇｎａｔｕｒｅＶａｌｕｅには、ＳｉｇｎｅｄＩｎｆｏをクライアント端末３が秘密鍵で署名した署名値が設定されている。
　このように、クライアント端末３がＳｉｇｎｅｄＩｎｆｏに対して電子署名することにより、署名前ＸＡｄＥＳデータに対する署名が行われる。

　ＥＳ－Ｔは、上記のＥＳと署名タイムスタンプを要素として構成されている。
　署名タイムスタンプには、ＥＳに対して発行されたＳＴＳ（署名タイムスタンプ）が設定されている。ＳＴＳは、タイムスタンプサーバ５において、ＳｉｇｎａｔｕｒｅＶａｌｕｅのハッシュ値に現在日時刻を付与して、これをタイムスタンプサーバ５の秘密鍵で電子署名したものである。

　ＥＳ－ＸＬ（ＥＳ－ＸＬｏｎｇ）は、上記のＥＳ－Ｔと検証情報を要素として構成されている。
　検証情報は、証明書群と失効情報群を用いて構成されている。
　証明書群は、クライアント端末３が署名に用いた秘密鍵の公開鍵証明書と、タイムスタンプサーバ５がタイムスタンプに用いた秘密鍵の公開鍵証明書の認証パス上の公開鍵証明書で構成されている。
　この認証パスは、ルート認証局は自己署名証明書を発行し、そのルート認証局は子認証局に証明書を発行し、その子認証局は孫認証局に証明書を発行し、・・・、末端の認証局は、個人、証明書所有者に証明書を発行するという証明書信頼チェーンにおいて、公開鍵証明書の検証をルート認証局まで遡って確認するものである。
　失効情報群は、公開鍵証明書の失効情報で構成されている。

　ＥＳ－Ａ（１ｓｔ）は、上記のＥＳ－ＸＬとＡＴＳ（１ｓｔ）を要素として構成されている。
　ＡＴＳ（１ｓｔ）（Ａｒｃｈｉｖｅ　Ｔｉｍｅ　Ｓｔａｍｐ：アーカイブタイムスタンプ）は、第１世代のＡＴＳであって、ＥＳ－Ｔを検証する情報、原本ハッシュ値、クライアント端末３による電子署名、タイムスタンプサーバ５によるタイムスタンプ（ＳＴＳ）などから所定の方法で作成されたハッシュ値が含まれており、ＡＴＳ（１ｓｔ）によってＥＳ－ＸＬの正当性を検証することができる。

　ＥＳ－Ａ（２ｎｄ）は、ＥＳ－Ａ（１ｓｔ）とＡＴＳ（２ｎｄ）を要素として構成されている。
　ＡＴＳ（２ｎｄ）は、第２世代のＡＴＳであって、ＥＳ－Ａ（１ｓｔ）を検証する情報、原本ハッシュ値、クライアント端末３による電子署名、タイムスタンプサーバ５によるタイムスタンプ（ＳＴＳ、ＡＴＳ（１ｓｔ））などから所定の方法で生成されたハッシュ値が含まれており、ＡＴＳ（２ｎｄ）によってＥＳ－Ａ（１ｓｔ）の正当性を検証することができる。
　図示しないが、更に、ＥＳ－Ａ（２ｎｄ）とＡＴＳ（３ｒｄ）を要素とするＥＳ－Ａ（３ｒｄ）、ＥＳ－Ａ（３ｒｄ）とＡＴＳ（４ｔｈ）を要素とするＥＳ－Ａ（４ｔｈ）、・・・と更に世代を続けることができる。

　以上のように構成された長期署名データは、次のようにして作成される。
　まず、ＥＳ－ＸＬまで作成し、署名タイムスタンプと検証情報が有効なうちにＡＴＳ（１ｓｔ）を取得し、ＥＳ－Ａ（１ｓｔ）を構築する。
　そして、ＡＴＳ（１ｓｔ）が有効性を失う前（タイムスタンプトークンの公開鍵証明書の有効期限切れや失効前、あるいは、関連する暗号アルゴリズムの危殆化前）に、ＡＴＳ（２ｎｄ）を取得する。
　以下、同様にして現在のＡＴＳが有効性を失う前に次世代のＡＴＳを取得していくことを繰り返す。
　このようにして、ＥＳ－ＸＬに対してＡＴＳが時系列的に付与され、最新の世代のＡＴＳが有効期限内である長期署名データが得られる。

　このように、長期署名システム１では、原本データに属性値群を付属させて長期署名を行うことができるほか、原本データや署名用の秘密鍵といった機密情報をクライアント端末３から外部に出さずにクライアント端末３と長期署名サーバ２が協働することにより長期署名データを作成できるという効果もある。
　なお、長期署名サーバ２に属性値群と原本データ、及び署名用の秘密鍵を預けて、長期署名サーバ２で全ての処理を行うように構成することも可能である。

　図６は、文書管理システム９によってクライアント端末３に表示される属性表示画面の一例を示した図である。
　文書管理システム９は、原本データ、属性値群、ＸＡｄＥＳ（長期署名データ）を組にして圧縮した長期署名一式データを長期署名システム１から受け取ると、これを解凍し、原本データ、属性値群、ＸＡｄＥＳをそれぞれのデータベースのテーブルに保存する。

　属性表示画面では、これらデータベースに保存された各値が、それぞれのフィールドに設定されて表示される。
　図では、文書名として「Ｃ－Ｊ－０１－００１－１－製品企画書．ｐｄｆ」なる原本データのファイル名、「ＥＳ－Ａ．ｘｍｌ」なるＸＡｄＥＳファイル名、及び、「作成日」、「機密レベル」、・・・などの各属性値が表示されている。

　図７は、長期署名登録システム８が長期署名用圧縮データを作成する手順を説明するためのフローチャートである。
　以下の処理は、クライアント端末３のＣＰＵ３１が所定のプログラムに従って行うものである。

　まず、クライアント端末３は、原本データを取得する（ステップ５）。
　この処理は、登録画面（図３）でユーザが長期署名の対象となる原本データを指定してファイル名を設定することにより行われる。
　次に、クライアント端末３は、当該原本データに付随させる属性値群を取得する（ステップ１０）。
　この処理は、登録画面でユーザが各属性値を設定することにより行われる。

　以降の処理は、ユーザが登録画面で「登録ボタン」をクリックすることにより開始される。
　まず、クライアント端末３は、原本データと属性値群を対応づけて格納するためのフォルダを作成する（ステップ１５）。
　次に、クライアント端末３は、各属性値をファイル名とするテキストファイルを属性値ごとに作成し、ステップ１５で作成したフォルダに当該テキストファイルと原本データを格納する（ステップ２０）。

　次に、クライアント端末３は、原本データとテキストファイルを格納したフォルダをフォルダごと所定の方式で圧縮し、単一のファイルからなる長期署名用圧縮データを作成する（ステップ２５）。
　そして、クライアント端末３は、作成した長期署名用圧縮データを長期署名用のフォルダに格納することにより長期署名システム１に登録する。

　図８は、長期署名システム１が長期署名一式データを生成する手順の前半を説明するためのフローチャートである。
　以下の処理は、クライアント端末３のＣＰＵ３１と、長期署名サーバ２のＣＰＵ２１が所定のプログラムに従って行うものである。

　まず、クライアント端末３は、長期署名用のフォルダに長期署名用圧縮データが格納されたか否かを監視している（ステップ３０）。
　長期署名用圧縮データが格納されていない場合は（ステップ３０；Ｎ）、引き続き監視を継続し、長期署名用圧縮データが格納された場合は（ステップ３０；Ｙ）、ユーザ名、パスワードなどのログイン情報を長期署名サーバ２に送信する（ステップ３５）。

　このログイン情報の送信は、予めクライアント端末３にログイン情報を記憶しておき、自動的に行ってもよいし、あるいは、クライアント端末３がユーザが装着したＩＣカードから読み取ってもよいし、更には、表示部３６にログイン画面を表示して、ユーザが入力し、これを送信してもよい。

　長期署名サーバ２は、クライアント端末３からログイン情報を受信すると、これによってユーザを認証してログイン処理を行い、ログイン処理が完了した旨をクライアント端末３に送信する（ステップ４０）。

　クライアント端末３は、ログインの完了を確認すると、長期署名用圧縮データを解凍して原本データと属性値群を取り出し、原本データファイル名とそのハッシュ値、および、それぞれの属性値ファイル名とそれぞれのハッシュ値の一式である属性値原本ハッシュ値を計算する。
　そして、クライアント端末３は、署名用の秘密鍵の公開鍵証明書と属性値原本ハッシュ値を長期署名サーバ２に送信する（ステップ４５）。

　長期署名サーバ２は、クライアント端末３から公開鍵証明書と属性値原本ハッシュ値を受信すると、これを用いてＳｉｇｎｅｄＩｎｆｏを生成し、クライアント端末３に送信する（ステップ５０）。
　クライアント端末３は、長期署名サーバ２からＳｉｇｎｅｄＩｎｆｏを受信すると、これを署名用の秘密鍵で電子署名する（ステップ５５）。
　そして、クライアント端末３は、当該電子署名による署名値を長期署名サーバ２に送信する（ステップ６０）。

　長期署名サーバ２は、署名値を受信すると、その署名値に対するタイムスタンプ要求をタイムスタンプサーバ５に送信してＳＴＳを署名値ごとに発行してもらい、これら署名値に対するＳＴＳをタイムスタンプサーバ５から受信して取得する（ステップ６５）。
　なお、タイムスタンプサーバ５にアクセスが集中しており、長期署名サーバ２がタイムスタンプサーバにアクセスできなかった場合、長期署名サーバ２がクライアント端末３に待ち時間を指定し（例えば、１０分）、クライアント端末３が指定された時間にアクセスをリトライするように構成することもできる。

　長期署名サーバ２は、先にクライアント端末３が送信した公開鍵証明書、ＳｉｇｎｅｄＩｎｆｏ、署名値などからＥＳを作成し、これにタイムスタンプサーバ５から取得したＳＴＳを付与してＥＳ－Ｔを作成する（ステップ７０）。長期署名サーバ２は、作成したＥＳ－Ｔを所定のディレクトリに保存する。

　そして、長期署名サーバ２は、保存したＥＳ－Ｔで用いられている署名値とＳＴＳの検証に必要な公開鍵証明書と失効情報を判断し、定期的にリポジトリサーバ６、７にアクセスして、これらの公開鍵証明書と失効情報を収集する。

　次に、長期署名サーバ２は、ＥＳ－Ｔ（所定のフォルダに保存したものと同じもの）、及びＥＳ－Ｔチケットをクライアント端末３に送信する（ステップ７５）。
　ＥＳ－Ｔチケットには、クライアント端末３が以降の処理を開始する時間を指定する情報や、長期署名サーバ２が以降の処理を再開する際に処理対象となっているＸＡｄＥＳを特定する情報などが含まれている。
　クライアント端末３は、長期署名サーバ２から、これらの情報を受信して格納する（ステップ８０）。

　以上で前半の処理は終了し、クライアント端末３は、ＥＳ－Ｔチケットで指定された時間まで長期署名データ生成処理を休止する。この休止期間は、リポジトリサーバ６、７で失効情報などが更新される時間を見込んだ時間であり、例えば、２４時間程度である。
　このように休止期間を設けるのは、リポジトリサーバ６、７が提供する失効情報が最新のものに更新されるまでの時間を稼ぐためである。即ち、クライアント端末３が電子署名したり、タイムスタンプサーバ５がＳＴＳを発行した時点で、本来は公開鍵証明書が失効しているにもかかわらず、まだ失効情報などが更新されていない事態を回避するためである。

　図９は、長期署名システム１で長期署名一式データを生成する手順の後半を説明するためのフローチャートである。
　クライアント端末３は、ＥＳ－Ｔチケットで指定された所定時間が経過したか監視する（ステップ１００）。
　所定時間が経過していない場合（ステップ１００；Ｎ）、クライアント端末３は、監視を継続する。
　一方、所定時間が経過した場合（ステップ１００；Ｙ）、クライアント端末３は、ログイン情報を長期署名サーバ２に送信する（ステップ１０５）。

　長期署名サーバ２は、クライアント端末３からログイン情報を受信すると、これによってユーザを認証してログイン処理を行い、ログイン処理が完了した旨をクライアント端末３に送信する（ステップ１１０）。
　クライアント端末３は、長期署名サーバ２からログイン処理が完了した旨を受信すると、格納しておいたＥＳ－Ｔチケットを長期署名サーバ２に送信する（ステップ１１５）。

　長期署名サーバ２は、クライアント端末３からＥＳ－Ｔチケットを受信すると、これを確認し、クライアント端末３が何れのＸＡｄＥＳに係る処理を続行しようとしているのかを認識する。
　これにより、長期署名サーバ２は、当該ＸＡｄＥＳで使用する検証情報を特定し、クライアント端末３に送信する（ステップ１２０）。

　クライアント端末３は、長期署名サーバ２から検証情報を受信すると、ＥＳ－Ｔに検証情報を付与してＥＳ－ＸＬを生成することにより検証情報を埋め込む（ステップ１２５）。

　次に、クライアント端末３は、ＡＴＳ（１ｓｔ）を付与する前のＸＡｄＥＳから、長期署名対象データを生成し、これを長期署名サーバ２に送信してＡＴＳ（１ｓｔ）の取得を要求する（ステップ１３０）。
　長期署名対象データには、例えば、原本データ、署名値、ＳＴＳ、検証情報などの非改竄性を検証するための情報（例えば、これらのハッシュ値）が含まれている。

　長期署名サーバ２は、クライアント端末３から長期署名対象データを受信すると、これらをタイムスタンプサーバ５に送信し、タイムスタンプサーバ５から、これに対して発行されたタイムスタンプ、即ちＡＴＳ（１ｓｔ）を取得する（ステップ１３５）。

　次に、長期署名サーバ２は、ＸＡｄＥＳに関しては、所定のディレクトリに保存しておいたＸＡｄＥＳ－Ｔに検証情報とＡＴＳ（１ｓｔ）を付与してＸＡｄＥＳ－Ａ（１ｓｔ）を生成してクライアント端末３に送信する（ステップ１４０）。
　クライアント端末３は、ＸＡｄＥＳに関しては、ＸＡｄＥＳ－Ａ（１ｓｔ）を受信して保存する（ステップ１４５）。

　以上のようにして、長期署名システム１は、ＸＡｄＥＳを生成する。
　その後、長期署名システム１は、原本データ、属性値群、ＸＡｄＥＳを組にして圧縮し、長期署名一式データを作成し、文書管理システム９に出力する。
　ここで用いる圧縮手順は、長期署名用圧縮データの圧縮手順と同じであり、長期署名システム１は、フォルダを生成して、当該フォルダに、原本データ、属性値をファイル名とするテキストファイル群、及びＸＡｄＥＳを格納し、フォルダごと圧縮する。

　以上に説明した実施の形態により、次のような効果を得ることができる。
（１）長期に渡って証拠性を確保すべき文書管理システムにおいて、原本データと属性値をまとめて証拠化することができる。
（２）原本データの中に属性値を含めないため、原本データの再利用が可能となる。
（３）システム間でデータ群をやり取りする際に、対応するデータ群を対応づけて圧縮することにより１つのデータにすることができ、これによってデータの散逸を防止することができる。
（４）属性値をファイル名とすることにより、圧縮された状態のまま属性値を読み出すことができる。
（５）属性値を読み出して表示することによりユーザが属性値を確認・検証することができる。
（６）原本データ、属性値、ＸＡｄＥＳを１つの証拠化ファイルとすることができ、管理が容易になる。
（７）長期署名登録システム８、長期署名システム１、文書管理システム９が連携することにより、原本データに対する属性値の設定、原本データと属性値に対する長期署名の生成、及び管理を一貫して行うことができる。
（８）署名用の秘密鍵や原本データといった秘密情報をクライアント端末３の外部に出さずにクライアント端末３と長期署名サーバ２が協働して長期署名データを作成することができる。

　なお、実施の形態では、長期署名方式としてＸＡｄＥＳを例に説明したが、ＰＡｄＥＳ（ＰＤＦ　Ａｄｖａｎｃｅｄ　Ｅｌｅｃｔｒｏｎｉｃ　Ｓｉｇｎａｔｕｒｅｓ）など、他の方式を用いてもよい。

　以上に説明した実施の形態により、次の構成を得ることができる。
　クライアント端末３は、登録画面で原本データの選択を受け付けることにより原本データを取得し、また、当該原本データに対する各属性値を設定するため、原本データを取得する原本データ取得手段と、前記取得した原本データに対して属性情報（属性値）を設定する設定手段を備えている。
　また、クライアント端末３は、長期署名用圧縮データを作成することにより原本データと属性値群を対応づけているため、前記取得した原本データと前記設定した属性情報を対応づける対応づけ手段を備えている。
　なお、実施の形態では、圧縮することにより１ファイルとしたが、これに限定するものではなく、非圧縮状態の１ファイルとしたり、あるいは、原本データと属性値群に共通の番号を付与して紐づけするなどしてもよい。
　また、クライアント端末３は、長期署名サーバ２から原本データと属性値群の組に対するＸＡｄＥＳを受信するため、前記対応づけた原本データと属性情報に長期署名を行った長期署名データを取得する長期署名データ取得手段を備えている。
　このため、クライアント端末３は、このような手段を備えた情報処理装置として機能している。

　また、クライアント端末３は、長期署名一式データを文書管理システム９に記憶することにより、原本データ、属性値群、ＸＡｄＥＳを対応づけて記憶するため、前記取得した原本データ、前記設定した属性情報、及び前記取得した長期署名データ（ＸＡｄＥＳ）を対応づけて記憶する記憶手段を備えている。

　また、原本データ、属性値群、長期署名データは、長期署名一式データとして１のデータとすることにより対応づけられているため、前記記憶手段は、前記原本データ、前記属性情報、及び前記長期署名データから生成された１のデータを記憶している。

　また、文書管理システム９は、長期署名一式データから属性値を読み取って表示するため、クライアント端末３は、前記１のデータから前記属性情報を読み取って提示する提示手段を備えている。

　また、長期署名登録システム８は、原本データと属性値群を圧縮して長期署名用圧縮データとすることにより原本データ属性値群を対応づけるため、クライアント端末３は、前記対応づけ手段は、前記取得した原本データと前記設定した属性情報から１のデータを生成することにより前記原本データと前記属性情報を対応づけている。なお、非圧縮データとしたり、他の方法で原本データと属性値群を紐づけてもよい。

　また、クライアント端末３は、原本データを取得する原本データ取得機能と、前記取得した原本データに対して属性情報を設定する設定機能と、前記取得した原本データと前記設定した属性情報を対応づける対応づけ機能と、前記対応づけた原本データと属性情報に長期署名を行った長期署名データを取得する長期署名データ取得機能と、をコンピュータで実現する情報処理プログラムを実行して、長期署名登録システム８、長期署名システム１、文書管理システム９としての機能を発揮している。

　１　長期署名システム
　２　長期署名サーバ
　３　クライアント端末
　４　インターネット
　５　タイムスタンプサーバ
　６　リポジトリサーバ
　７　リポジトリサーバ
　８　長期署名登録システム
　９　文書管理システム

Claims

　原本データを取得する原本データ取得手段と、
　前記取得した原本データに対して属性情報を設定する設定手段と、
　前記取得した原本データと前記設定した属性情報を対応づける対応づけ手段と、
　前記対応づけた原本データと属性情報に長期署名を行った長期署名データを取得する長期署名データ取得手段と、
　を具備したことを特徴とする情報処理装置。
　前記取得した原本データ、前記設定した属性情報、及び前記取得した長期署名データを対応づけて記憶する記憶手段を具備したことを特徴とする請求項１に記載の情報処理装置。
　前記記憶手段は、前記原本データ、前記属性情報、及び前記長期署名データから生成された１のデータを記憶することを特徴とする請求項２に記載の情報処理装置。
　前記１のデータから前記属性情報を読み取って提示する提示手段を具備したことを特徴とする請求項３に記載の情報処理装置。
　前記対応づけ手段は、前記取得した原本データと前記設定した属性情報から１のデータを生成することにより前記原本データと前記属性情報を対応づけることを特徴とする請求項１から請求項４までのうちの何れか１の請求項に記載の情報処理装置。
　原本データを取得する原本データ取得機能と、
　前記取得した原本データに対して属性情報を設定する設定機能と、
　前記取得した原本データと前記設定した属性情報を対応づける対応づけ機能と、
　前記対応づけた原本データと属性情報に長期署名を行った長期署名データを取得する長期署名データ取得機能と、
　をコンピュータで実現する情報処理プログラム。