WO2019156089A1 - 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法 - Google Patents

所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法 Download PDF

Info

Publication number
WO2019156089A1
WO2019156089A1 PCT/JP2019/004110 JP2019004110W WO2019156089A1 WO 2019156089 A1 WO2019156089 A1 WO 2019156089A1 JP 2019004110 W JP2019004110 W JP 2019004110W WO 2019156089 A1 WO2019156089 A1 WO 2019156089A1
Authority
WO
WIPO (PCT)
Prior art keywords
owner
identity confirmation
server
owner identity
terminal
Prior art date
Application number
PCT/JP2019/004110
Other languages
English (en)
French (fr)
Inventor
芳彦 大森
山下 高生
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to US16/964,889 priority Critical patent/US11533186B2/en
Publication of WO2019156089A1 publication Critical patent/WO2019156089A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】端末の所有者の本人確認情報を記憶する端末管理サーバが異なっても、2つの端末の所有者同一性確認を可能とする。 【解決手段】端末A200Aは、端末の所有者と自身の端末管理サーバA100Aとを識別可能な所有者サーバ紐付情報を含む所有者同一性確認開始要求を、端末B200Bに送信する。端末B200Bは、受信した所有者サーバ紐付情報と、自身の情報を含む所有者サーバ紐付情報とを含む所有者同一性確認要求を、自身の端末管理サーバB100Bに送信する。端末管理サーバB100Bは、端末B200Bの所有者の本人確認情報と、端末A200Aの所有者サーバ紐付情報とを含むサーバ間所有者同一性確認要求を、端末管理サーバA100Aに送信する。端末管理サーバA100Aは、端末A200Aの所有者の本人確認情報と、受信した本人確認情報とを照合して2つの端末の所有者同一性を確認する。

Description

所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法
 本発明は、ネットワークを用いるサービスにアクセスする複数の端末の所有者が同一であることを確認することができる所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法に関する。
 ネットワークを介してサービスにアクセスするときには、ユーザの利用者認証が必須であり、例えば、FIDO(Fast IDentity Online)に代表される公開鍵暗号技術を用いた利用者認証が普及しつつある。FIDOの利用者認証では、ユーザが利用する端末に公開鍵暗号の秘密鍵(署名生成鍵、認証鍵)が格納されており、(1)サービスを提供するサーバが乱数を生成して端末に送信し、(2)端末が秘密鍵を用いて乱数に対する署名(デジタル署名)を生成してサーバに送信して、(3)サーバが署名を検証することで、利用者認証が行われる。このために、秘密鍵の安全性確保が重要であり、秘密鍵のエクスポートを禁止したり、署名生成など本来の用途以外での秘密鍵の利用を防いだり、秘密鍵にアクセスする際に本人確認をするようにしたりする。
 一方、サービスや利用形態の多様化により、1人のユーザが複数の端末を利用する場合が増加している。複数の端末から同一のユーザとしてサービスにアクセスするためには、各端末が同一の秘密鍵を用いて利用者認証することが必要となる。1つの秘密鍵を複数の端末で利用できるようにする技術として、例えば非特許文献1の技術が知られている。また、ICカードに格納された秘密鍵を複数の端末で利用できるようにする技術として非特許文献2の技術が知られている。
 図21~図23は、従来技術に係る所有者証明書を照合することにより所有者が同一である端末間で秘密鍵をコピーする技術を説明するための図である。図21は、従来技術に係る証明書発行サーバが端末に所有者証明書を発行することを示す図である。図21において、証明書発行サーバ(端末管理サーバ)が、端末Aと端末Bに、端末の所有者が所有者Xであることを示す所有者証明書をそれぞれ発行する。所有者証明書には、端末の識別情報と、端末の所有者の識別情報と、端末がもつ秘密鍵に対応する公開鍵とが含まれており、証明書発行サーバの署名が付与されている。
 図22は、従来技術に係るWebサイトへの利用者登録処理を説明するための図である。図22を参照して、端末Aの所有者Xが、サービスを提供するWebサイトに利用者登録する際の処理内容を説明する。ステップS911において、端末Aが鍵ペアを生成する。ステップS912において、端末Aが生成した公開鍵をWebサイトに送信して、利用者登録を申請する。ステップS913において、Webサイトが、利用者である所有者Xと公開鍵とを関連付けて公開鍵データベースに登録する。以上で、利用者登録が完了する。
 続いて、ステップS921において、Webサイトが乱数を端末Aに送信し、端末Aが乱数に秘密鍵を用いて署名を生成してWebサイトに送信して、Webサイトが公開鍵データベースにある公開鍵で署名を検証することにより利用者認証を行い、その後に端末Aは、Webサイトのサービスを利用できるようになる。
 図23は、従来技術に係る同一所有者が保有する端末間の秘密鍵のコピー処理を説明するための図である。図23を参照して、所有者Xが、端末Aから端末Bに秘密鍵をコピーする際の処理を説明する。ステップS931において、端末Aと端末Bとの間で、所有者証明書に含まれる所有者を照合する。ステップS932において、同一の所有者である場合に、秘密鍵がコピーされる。以上で、端末BからもWebサイトのサービスを利用できるようになる。すなわち、ステップS941において、ステップS921と同様にして、端末Bは利用者認証して、Webサイトのサービスを利用できるようになる。
緒方祐介, 他3名, "非対称鍵を利用した認証方式の秘密鍵の維持管理に関する考察," 2016年電子情報通信学会通信ソサイエティ大会 B-7-9, 2016年9月 JIPDEC, "平成27年度電子経済産業省構築事業(ID連携トラストフレームワークを活用した官民連携の在り方に関する調査研究) 概要報告書," [online], [平成30年1月19日検索], インターネット<URL:http://www.meti.go.jp/meti_lib/report/2016fy/000674.pdf>
 従来技術では、所有者証明書の発行元である証明書発行サーバ(端末管理サーバ)は1つであり、この証明書発行元が全端末に所有者証明書を発行していた。しかしながら、端末の種別や製造者、あるいはアプリケーションの提供者などにより発行元が複数あって、発行元が異なる場合は想定されておらず、秘密鍵をコピーすることができない。
 仮に異なる発行元の所有者証明書を照合するようにしたとしても、所有者の記述形式は、例えば、発行元固有の所有者識別子、氏名、氏名および住所など、発行元によって異なると考えられ、一般に照合できない。また、他人の端末から自身の端末に不正に秘密鍵をコピーしようとすることにより、その他人の端末の所有者証明書に記載してある個人情報が漏洩指定しまう虞がある。
 以上の問題は、秘密鍵をコピーする場合に限らない。例えば、複数の端末間での個人情報のコピー、デジタル著作物のコピー、FIDOにおける端末(クライアント)と認証器(Authenticator、秘密鍵を格納するデバイス)間のCTAP(Client To Authenticator Protocol)の通信、IoT(Internet of Things)端末間の通信などにおいても生じる問題であり、端末の所有者が同一であることの確認が必要となる。
 このような背景を鑑みて本発明がなされたのであり、本発明は、複数の端末の所有者が同一であることを確認することを可能とする所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法を提供することを課題とする。
 前記した課題を解決するため、請求項1に記載の発明は、端末と、前記端末の所有者の本人確認情報を記憶部に記憶する端末管理サーバとが、通信ネットワークを介して接続され、2つの前記端末の所有者が同一であることを確認する所有者同一性確認システムであって、前記端末が、所有者同一性確認の対象である端末を示す確認対象端末に、端末自身の所有者と端末自身の所有者の本人確認情報を記憶する端末管理サーバを示す管理元端末管理サーバとを識別可能な情報である所有者サーバ紐付情報を含んだ所有者同一性確認開始要求を送信する所有者同一性確認開始要求部と、前記所有者同一性確認開始要求を受信すると、前記所有者同一性確認開始要求に含まれる所有者サーバ紐付情報を示す所有者同一性確認開始所有者サーバ紐付情報と、自身の所有者の所有者サーバ紐付情報を示す所有者同一性確認要求所有者サーバ紐付情報とを含んだ所有者同一性確認要求を、自身の管理元端末管理サーバに送信する所有者同一性確認要求部と、前記所有者同一性確認要求に対する応答である所有者同一性確認応答を自身の管理元端末管理サーバから受信する所有者同一性確認応答受付部を備え、前記端末管理サーバが、前記端末から前記所有者同一性確認要求を受信すると、前記所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報と、前記所有者同一性確認要求に含まれる所有者同一性確認要求所有者サーバ紐付情報と、前記記憶部から取得した、前記所有者同一性確認要求所有者サーバ紐付情報で識別される所有者の本人確認情報とを含むサーバ間所有者同一性確認要求を、前記所有者同一性確認開始所有者サーバ紐付情報で識別される端末の管理元端末管理サーバを示す確認先端末管理サーバに送信するサーバ間所有者同一性確認要求部と、前記サーバ間所有者同一性確認要求を受信すると、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合し、同一の所有者か否かを判定して、判定結果を含むサーバ間所有者同一性確認応答を、前記サーバ間所有者同一性確認要求の送信元の端末管理サーバに送信するサーバ間所有者同一性確認応答部と、前記サーバ間所有者同一性確認応答を受信すると、前記サーバ間所有者同一性確認応答を前記所有者同一性確認応答として、前記所有者同一性確認要求の送信元の端末に送信する所有者同一性確認応答部とを備えることを特徴とする所有者同一性確認システムとした。
 また、請求項9に記載の発明は、端末と通信ネットワークを介して接続され、前記端末の所有者の本人確認情報を記憶部に記憶し、2つの前記端末の所有者が同一であることを確認する端末管理サーバであって、端末自身の所有者と端末自身の所有者の本人確認情報を記憶する端末管理サーバを示す管理元端末管理サーバとを識別可能な情報である所有者サーバ紐付情報を含んだ所有者同一性確認開始要求を受信した端末から、前記所有者同一性確認開始要求に含まれる所有者サーバ紐付情報を示す所有者同一性確認開始所有者サーバ紐付情報と、自身の所有者の所有者サーバ紐付情報を示す所有者同一性確認要求所有者サーバ紐付情報とを含んだ所有者同一性確認要求を受信すると、前記所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報と、前記所有者同一性確認要求に含まれる所有者同一性確認要求所有者サーバ紐付情報と、前記記憶部から取得した、前記所有者同一性確認要求所有者サーバ紐付情報で識別される所有者の本人確認情報とを含むサーバ間所有者同一性確認要求を、前記所有者同一性確認開始所有者サーバ紐付情報で識別される端末の管理元端末管理サーバを示す確認先端末管理サーバに送信するサーバ間所有者同一性確認要求部と、前記サーバ間所有者同一性確認要求を受信すると、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合し、同一の所有者か否かを判定して、判定結果を含むサーバ間所有者同一性確認応答を、前記サーバ間所有者同一性確認要求の送信元の端末管理サーバに送信するサーバ間所有者同一性確認応答部と、前記サーバ間所有者同一性確認応答を受信すると、前記サーバ間所有者同一性確認応答を所有者同一性確認応答として、前記所有者同一性確認要求の送信元の端末に送信する所有者同一性確認応答部とを備えることを特徴とする端末管理サーバとした。
 さらに、請求項10に記載の発明は、端末と、前記端末の所有者の本人確認情報を記憶部に記憶する端末管理サーバとが、通信ネットワークを介して接続され、2つの前記端末の所有者が同一であることを確認する所有者同一性確認システムの所有者同一性確認方法であって、前記端末が、所有者同一性確認の対象である端末を示す確認対象端末に、端末自身の所有者と端末自身の所有者の本人確認情報を記憶する端末管理サーバを示す管理元端末管理サーバとを識別可能な情報である所有者サーバ紐付情報を含んだ所有者同一性確認開始要求を送信するステップと、前記所有者同一性確認開始要求を受信すると、前記所有者同一性確認開始要求に含まれる所有者サーバ紐付情報を示す所有者同一性確認開始所有者サーバ紐付情報と、自身の所有者の所有者サーバ紐付情報を示す所有者同一性確認要求所有者サーバ紐付情報とを含んだ所有者同一性確認要求を、自身の管理元端末管理サーバに送信するステップと、前記所有者同一性確認要求に対する応答である所有者同一性確認応答を自身の管理元端末管理サーバから受信するステップとを実行し、前記端末管理サーバが、前記端末から前記所有者同一性確認要求を受信すると、前記所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報と、前記所有者同一性確認要求に含まれる所有者同一性確認要求所有者サーバ紐付情報と、前記記憶部から取得した、前記所有者同一性確認要求所有者サーバ紐付情報で識別される所有者の本人確認情報とを含むサーバ間所有者同一性確認要求を、前記所有者同一性確認開始所有者サーバ紐付情報で識別される端末の管理元端末管理サーバを示す確認先端末管理サーバに送信するステップと、前記サーバ間所有者同一性確認要求を受信すると、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合し、同一の所有者か否かを判定して、判定結果を含むサーバ間所有者同一性確認応答を、前記サーバ間所有者同一性確認要求の送信元の端末管理サーバに送信するステップと、前記サーバ間所有者同一性確認応答を受信すると、前記サーバ間所有者同一性確認応答を前記所有者同一性確認応答として、前記所有者同一性確認要求の送信元の端末に送信するステップとを実行することを特徴とする所有者同一性確認方法とした。
 このような構成にすることで、2つの端末の端末管理サーバが異なる場合であっても、それぞれの端末の管理元端末管理サーバが端末の所有者の本人確認情報を照合することで、2つの端末の所有者が同一であることが確認できる。
 本人確認情報は、端末管理サーバ間のみでやり取りされ、端末には提供されないので、不正者が不正なメッセージを端末管理サーバに送信したとしても、不正者が本人確認情報を得ることはできない。このために、不正な本人確認情報の漏洩を防ぐことができる。
 端末管理サーバは、所有者同一性確認要求を送付した端末の所有者の本人確認情報を、確認先管理元管理サーバに送信している。このため、所有者同一性確認を実行していない端末の所有者の本人確認情報が送信されることを防ぐことが可能となり、不正な本人確認情報の漏洩を抑止することができる。
 端末管理サーバは、本人確認情報を、所有者同一性確認開始要求を送付した端末の管理元端末管理サーバに送信している。このため、所有者同一性確認を実行していない端末の管理元端末管理サーバに本人確認情報が送信されることを防いでいる。このために、不正な本人確認情報の漏洩を抑止することができる。
 請求項2に記載の発明は、前記端末が備える前記所有者同一性確認開始要求部が、自身で乱数を生成するか、または、自身の管理元端末管理サーバから乱数を取得し、当該乱数を所有者同一性確認開始乱数として前記所有者同一性確認開始要求に含め、前記端末が備える前記所有者同一性確認要求部が、受信した前記所有者同一性確認開始要求に含まれる所有者同一性確認開始乱数と、所有者同一性確認要求乱数として前記所有者同一性確認開始要求部が生成または取得した乱数とを前記所有者同一性確認要求に含め、前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、所定の乱数検証法を用いて、前記所有者同一性確認要求に含まれる所有者同一性確認開始乱数と所有者同一性確認要求乱数とを検証し、検証に成功した後に、前記サーバ間所有者同一性確認要求を前記確認先端末管理サーバに送信することを特徴とする請求項1に記載の所有者同一性確認システムとした。
 このような構成にすることで、端末管理サーバは、所有者同一性確認要求の乱数を検証に成功した場合に、本人確認情報を確認先端末管理サーバに送信する。このために、端末が送信した送信データを利用したリプレイ攻撃を検知することができる。
 請求項3に記載の発明は、前記所有者同一性確認開始乱数と前記所有者同一性確認要求乱数の検証が、前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、前記所有者同一性確認要求に含まれる所有者同一性確認開始乱数と所有者同一性確認要求乱数とを、前記確認先端末管理サーバに送信し、前記確認先端末管理サーバとして前記所有者同一性確認開始乱数と前記所有者同一性確認要求乱数を受信すると、受信した所有者同一性確認開始乱数と自身が送信した所有者同一性確認要求乱数とが同一であること、および、受信した所有者同一性確認要求乱数と自身が送信した所有者同一性確認開始乱数とが同一であることを確認することを特徴とする請求項2に記載の所有者同一性確認システムとした。
 このような構成にすることで、端末管理サーバは、端末管理サーバ間でやりとりされるメッセージにおけるリプレイ攻撃を検知することができる。
 請求項4に記載の発明は、前記所有者同一性確認開始乱数と前記所有者同一性確認要求乱数の検証が、前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、前記所有者同一性確認要求を受信すると、当該所有者同一性確認要求に含まれる所有者同一性確認開始乱数および所有者同一性確認要求乱数が、当該所有者同一性確認要求の受信以前に受信した所有者同一性確認要求に含まれた所有者同一性確認開始乱数および所有者同一性確認要求乱数に一致しないことを確認することを特徴とする請求項2に記載の所有者同一性確認システムとした。
 このような構成にすることで、端末管理サーバは、端末が送信した送信データを利用したリプレイ攻撃を、所有者同一性確認要求を受信した時点で検知することができる。
 また、請求項5に記載の発明は、前記端末が備える前記所有者同一性確認開始要求部が、前記端末管理サーバが備える前記サーバ間所有者同一性確認応答部が照合する本人確認情報の詳細度を示す同一性確認レベルを前記所有者同一性確認開始要求に含め、前記端末が備える前記所有者同一性確認要求部が、受信した前記所有者同一性確認開始要求に含まれる前記同一性確認レベルを前記所有者同一性確認要求に含め、前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、受信した前記所有者同一性確認要求に含まれる前記同一性確認レベルに応じた詳細度の本人確認情報を前記記憶部から取得してサーバ間所有者同一性確認要求に含め、前記端末管理サーバが備えるサーバ間所有者同一性確認応答部が、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報であって、前記サーバ間所有者同一性確認要求に含まれる前記同一性確認レベルに応じた本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合することを特徴とする請求項1~4の何れか1項に記載の所有者同一性確認システムとした。
 このような構成にすることで、端末管理サーバは、端末が指定した同一性確認レベルに応じた詳細度の本人確認情報を確認先端末管理サーバに送信する。必要に応じた同一性確認レベルを指定することで、不要な本人確認情報の送信を防ぐことができる。
 また、請求項6に記載の発明は、前記所有者サーバ紐付情報が、前記所有者同一性確認開始要求、前記所有者同一性確認要求および前記サーバ間所有者同一性確認要求に付与される前記端末が生成した署名、並びに、前記記憶部に記憶される本人確認情報に関連付けられた識別情報、前記署名を検証するための公開鍵および当該端末の管理元端末管理サーバの識別情報を含んだ公開鍵証明書であり、前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、前記所有者同一性確認要求に付与された前記端末が生成した署名の検証に成功した後に、前記サーバ間所有者同一性確認要求を前記確認先端末管理サーバに送信することを特徴とする請求項1~5の何れか1項に記載の所有者同一性確認システムとした。
 このような構成にすることで、デジタル署名技術をベースとした端末の識別が可能となり、通信データの改竄や送信元のなり済ましといった攻撃があったとしても、端末管理サーバは、これを検知して、不正な所有者同一性確認を防止することができる。これにより、不正な本人確認情報の送信を防止することができる。
 請求項7に記載の発明は、前記端末が、前記所有者同一性確認開始要求部が、前記所有者同一性確認開始要求を送信するときに、自身の管理元端末管理サーバに新規の前記公開鍵証明書を要求して取得するワンタイム証明書要求部を備え、前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、前記所有者同一性確認要求を受信すると、当該所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報および所有者同一性確認要求所有者サーバ紐付情報に含まれる公開鍵証明書が、当該所有者同一性確認要求の受信以前に受信した所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報および所有者同一性確認要求所有者サーバ紐付情報に含まれる公開鍵証明書に一致しないことを確認した後に、前記サーバ間所有者同一性確認要求を前記確認先端末管理サーバに送信することを特徴とする請求項6に記載の所有者同一性確認システムとした。
 このような構成にすることで、公開鍵証明書を用いたリプレイ攻撃を防ぐことができる。
 請求項8に記載の発明は、前記端末管理サーバが備える前記サーバ間所有者同一性確認応答部が、前記サーバ間所有者同一性確認応答に自身の署名を付与し、前記端末管理サーバが備える前記所有者同一性確認応答部が、前記サーバ間所有者同一性確認応答に付与された前記端末管理サーバの署名の検証に成功した後に、前記所有者同一性確認応答を送信することを特徴とする請求項1~7の何れか1項に記載の所有者同一性確認システムとした。
 このような構成にすることで、デジタル署名技術をベースとした端末管理サーバの識別が可能となり、確認先端末管理サーバが送信する通信データの改竄や送信元のなり済ましといった攻撃があったとしても、端末管理サーバは、これを検知して、不正な所有者同一性確認を防止することができる。
 本発明によれば、複数の端末の所有者が同一であることを確認することを可能とする所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法を提供することができる。
第1の実施形態に係る所有者同一性確認システムにおける所有者同一性確認処理の概要を示す図である。 第1の実施形態に係る証明書発行サーバの全体構成を例示する図である。 第1の実施形態に係る本人確認情報データベースのデータ構成を例示する図である。 第1の実施形態に係る所有者証明書データベースのデータ構成を例示する図である。 第1の実施形態に係るワンタイム証明書データベースのデータ構成を例示する図である。 第1の実施形態に係る同一性確認レベルデータベースのデータ構成を例示する図である。 第1の実施形態に係る端末の全体構成を例示する図である。 第1の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(1)である。 第1の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(2)である。 第1の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(3)である。 第1の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(4)である。 第1の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(5)である。 第2の実施形態に係る証明書発行サーバの全体構成を例示する図である。 第2の実施形態に係る端末の全体構成を例示する図である。 第2の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(1)である。 第2の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(2)である。 第2の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(3)である。 第2の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(4)である。 第2の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(5)である。 第2の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図(6)である。 従来技術に係る証明書発行サーバが端末に所有者証明書を発行することを示す図である。 従来技術に係るWebサイトへの利用者登録処理を説明するための図である。 従来技術に係る同一所有者が保有する端末間の秘密鍵のコピー処理を説明するための図である。
≪所有者同一性確認処理の概要≫
 以下に本発明を実施するための形態(実施形態)における所有者同一性確認システムでの所有者同一性確認処理の概要を説明する。図1は、第1の実施形態に係る所有者同一性確認システム1における所有者同一性確認処理の概要を示す図である。図1で処理概要を説明した後に、図2~図7を用いて所有者同一性確認システム1の構成要素を説明し、図8~図12を用いて所有者同一性確認処理の詳細を説明する。
 所有者同一性確認システム1は、証明書発行サーバA100A、証明書発行サーバB100B、端末A200Aおよび端末B200Bを含んで構成される。証明書発行サーバA100Aと証明書発行サーバB100Bとは、それぞれ本人確認情報データベース(本人確認情報DB(Database))130Aと本人確認情報データベース130Bとを含む。
 証明書発行サーバA100Aと証明書発行サーバB100Bとを区別しない場合には、証明書発行サーバ100と記載する。また、端末A200Aと端末B200Bとを区別しない場合には、端末200と記載する。さらに、本人確認情報データベース130Aと本人確認情報データベース130Bとを区別しない場合には、本人確認情報データベース130と記載する。なお、証明書発行サーバ100は、端末200の所有者の情報を記憶しているので、端末管理サーバとも記す。
 証明書発行サーバ100は、端末200に所有者証明書とワンタイム証明書を発行する。所有者証明書は、端末200の所有者を示す証明書であり、端末200の識別子(識別情報)と、所有者の識別子と、端末200が記憶する秘密鍵に対応する公開鍵と、発行元の証明書発行サーバ100の識別子と、証明書の識別子と、証明書の有効期間と、証明書に対する証明書発行サーバ100のデジタル署名とを含んで構成される。
 所有者が、証明書発行サーバ100に端末200の所有者証明書の発行を申請するときには、所有者の本人確認情報を証明書発行サーバ100に送付し、証明書発行サーバ100が、申請者が所有者本人であることを確認する。本人確認情報は、後記する本人確認情報データベース130に格納される。証明書発行サーバ100を、端末200の(証明書)発行元、証明書発行元(の)証明書発行サーバ、証明書発行サーバ、管理元端末管理サーバとも記す。
 ワンタイム証明書は、2台の端末200の所有者同一性確認処理時に一時的に発行される証明書であり、端末200の識別子と、端末200が記憶する秘密鍵に対応する公開鍵と、発行元の証明書発行サーバ100の識別子と、証明書の識別子と、証明書の有効期間と、証明書に対する証明書発行サーバ100のデジタル署名とを含んで構成される。ワンタイム証明書は、端末200の証明書発行元が発行する。
 端末A200Aと端末B200Bとの所有者同一性確認処理を実行する場合には、端末A200Aと端末B200Bとが、それぞれの証明書発行元とメッセージ(要求や応答)をやり取りする。また、2つの端末間でもメッセージをやり取りする。さらに、2つの端末の証明書発行元証明書発行サーバ間でもメッセージをやり取りする。メッセージをやり取りする通信路は、例えばTLS(Transport Layer Security)のように保護されており、通信相手の認証、メッセージの機密性確保、メッセージの改竄検知が行われる。
 なお、所有者同一性確認対象の端末を、所有者同一性確認対象端末、確認対象端末、対象端末、所有者同一性確認相手端末または相手端末とも記す。また、証明書発行サーバ100から見て、自身が所有者証明書を発行した端末200に対する所有者同一性確認対象端末を、単に証明書発行サーバ100の対象端末、所有者同一性確認対象端末、所有者同一性確認相手端末または相手端末とも記す。例えば図1において、端末B200Bは、証明書発行サーバA100Aの対象端末である。
 ステップSA101において、端末A200Aは、証明書発行元の証明書発行サーバA100Aにワンタイム証明書を要求し、応答として証明書発行サーバA100Aが、ワンタイム証明書Aと秘密鍵OAを端末A200Aに送信する。
 ステップSB101は、端末A200Aを端末B200Bに、証明書発行サーバA100Aを証明書発行サーバB100Bに置き換えた同様の処理である。SB102~SB107についても、端末A200Aと端末B200Bとを入れ替え、証明書発行サーバA100Aと証明書発行サーバB100Bとを入れ替えたSA102~SA107とそれぞれ同様の処理であり、以下ではSA102~SA107を中心に説明する。
 ステップSA102において、端末A200Aは、対象端末である端末B200Bに、所有者同一性確認開始要求を送信する。このメッセージには秘密鍵OAによる署名(図1ではS_Aと記載)と、ワンタイム証明書Aとが付与される。このワンタイム証明書Aは、図1には記載していないが、署名であるS_Aが付与されているメッセージには、この署名検証の際に用いられる公開鍵を含むワンタイム証明書Aが付与されている。
 ステップSA103において、端末B200Bは、S_Aを検証して、所有者同一性確認開始要求に対する、自身の秘密鍵OBを用いて生成した署名であるS_Bを付与して、自身の証明書発行元である証明書発行サーバB100Bに、所有者同一性確認要求として送信する。
 ステップSA104において、証明書発行サーバB100Bは、所有者同一性確認要求に付与されているS_AとS_Bとを検証し、端末B200Bの所有者の本人確認情報を本人確認情報データベース130Bより取得する。次に、証明書発行サーバB100Bは、受信した所有者同一性確認要求に、取得した本人確認情報(図1では本人確認情報(B)と記載)と、自身の署名であるS_CABを付与して、サーバ間所有者同一性確認要求として証明書発行サーバA100Aに送信する。
 ステップSA105において、証明書発行サーバA100Aは、サーバ間所有者同一性確認要求に付与された署名であるS_A、S_B、S_CABを検証する。次に、証明書発行サーバA100Aは、端末A200Aの所有者の本人確認情報を本人確認情報データベース130Aから取得して、サーバ間所有者同一性確認要求に含まれていた端末B200Bの所有者の本人確認情報と照合し、照合結果(OKまたはNG)と、自身の署名であるS_CAAとを含むサーバ間所有者同一性確認応答を証明書発行サーバB100Bに送信する。
 ステップSA106において、証明書発行サーバB100Bは、サーバ間所有者同一性確認応答に付与された署名であるS_CAAを検証して、サーバ間所有者同一性確認応答に自身の署名であるS_CABを付与し、所有者同一性確認応答として、端末B200Bに送信する。
 ステップSA107において、端末B200Bは、署名であるS_CAB、S_CAAを検証して、所有者同一性確認開始応答として、端末A200Aに送信する。端末A200Aは、所有者同一性確認開始応答を受信することにより、相手端末である端末B200Bの所有者と自身の所有者が同一であることを確認できる。
 双方の端末200の所有者が同一であることを確認した後に、サービス提供サイトの認証用秘密鍵のコピー(交換)を開始する。秘密鍵のコピーに限らず、所有者同一性確認後には、端末200に格納されている個人情報などの機密情報やデジタル著作物のコピーを行ってもよい。また、FIDOにおける端末(クライアント)と認証器(Authenticator)間のCTAPの通信やIoT端末間の通信を行ってもよい。
≪第1の実施形態における証明書発行サーバの全体構成≫
 図2は、第1の実施形態に係る証明書発行サーバ100の全体構成を例示する図である。証明書発行サーバ100は、制御部110、記憶部120および通信部180を含んで構成される。制御部110は、CPU(Central Processing Unit)から構成され、記憶部120にあるOS(Operating System)やサーバ用所有者同一性確認処理プログラム(不図示)を実行することで、証明書発行サーバ100全体を機能させる。記憶部120は、RAM(Random Access Memory)やROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリなどから構成され、各種データベースや処理途中のデータ、サーバ用所有者同一性確認処理プログラムなどを記憶する。通信部180は、NIC(Network Interface Card)から構成され、他の証明書発行サーバ100や端末200と通信データの送受信を行う。
 制御部110は、所有者証明書発行部111、ワンタイム証明書発行部112、サーバ間所有者同一性確認要求部113、サーバ間所有者同一性確認応答部114および所有者同一性確認応答部115を含んで構成される。また、記憶部120は、本人確認情報データベース130、所有者証明書データベース140、ワンタイム証明書データベース150、同一性確認レベルデータベース160、公開鍵171、秘密鍵172および公開鍵データベース173を含んで構成される。
 所有者証明書発行部111は、端末200からの要求に応じて、端末200の所有者の本人確認を行った上で、端末200に所有者証明書を発行する。本人確認を行うときには、所有者証明書発行部111は、運転免許証や健康保険証などの本人確認情報を取得して、所有者本人を確認し、本人確認情報を後記する本人確認情報データベース130(図3参照)に格納する。また、所有者証明書発行部111は、発行した所有者証明書の情報を後記する所有者証明書データベース140(図4参照)に格納する。
 図3は、第1の実施形態に係る本人確認情報データベース130のデータ構成を例示する図である。本人確認情報データベース130は、例えば表形式のデータベースであって、1つのレコード(行)は、1人の所有者の本人確認情報を示し、所有者識別子131、氏名132、住所133、本人確認情報元134および本人確認情報データ135などの属性(列)を含む。
 所有者識別子131は、本人確認情報データベース130のなかで、レコードを一意に識別するための識別情報である。氏名132および住所133は、それぞれ所有者の氏名および住所である。本人確認情報元134は、本人確認情報の元情報であり、例えば、「運転免許証」や「健康保険証」、「パスポート」などがある。本人確認情報データ135は、デジタル化された元情報であり、例えば運転免許証の画像である。
 本人確認情報データベース130は、図3に示した以外にも、性別や生年月日、勤務先などの属性を含む。レコード139は、所有者識別子131が「38743028」であり、氏名132が「鈴木太郎」、住所133が「東京都台東区」内であって、これらの情報元が「運転免許証」から得たことを示している。
 図4は、第1の実施形態に係る所有者証明書データベース140のデータ構成を例示する図である。所有者証明書データベース140は、例えば表形式のデータベースであって、1つのレコード(行)は、1つの所有者証明書を示し、所有者識別子141、端末識別子142、証明書識別子143、有効期間144、状態145および証明書データ146などの属性(列)を含む。
 所有者識別子141は、所有者証明書に含まれる所有者の識別情報であり、本人確認情報データベース130の所有者識別子131に対応する。端末識別子142は、所有者証明書の発行先である端末200の識別情報である。証明書識別子143は、証明書発行サーバ100が発行する所有者証明書およびワンタイム証明書を一意に識別するための識別情報である。有効期間144は所有者証明書の有効期間である。状態145は所有者証明書の状態であり、「有効」と「失効」の状態がある。証明書データ146は所有者証明書データそのものを含む。
 レコード149は、証明書識別子143が「74638473」の所有者証明書を示すレコードであって、端末識別子142が「73642934」で識別される端末200に対して発行されており、この端末200の所有者の所有者識別子は「38743028」であって、有効期間144は2018年1月7日12時23分34秒から2年間であって、「有効」の状態であることを示す。
 図2に戻り、ワンタイム証明書発行部112は、端末200からの要求に応じて、秘密鍵と公開鍵の鍵ペアを生成し、ワンタイム証明書を発行して、秘密鍵とワンタイム証明書を端末200に送信する。発行したワンタイム証明書の情報を後記するワンタイム証明書データベース150(図5参照)に格納する。
 図5は、第1の実施形態に係るワンタイム証明書データベース150のデータ構成を例示する図である。ワンタイム証明書データベース150は、例えば表形式のデータベースであって、1つのレコード(行)は、1つのワンタイム証明書を示し、端末識別子151、証明書識別子152、有効期間153、状態154および証明書データ155などの属性(列)を含む。
 端末識別子151は、ワンタイム証明書の発行先となる端末200の識別情報である。証明書識別子152は、証明書発行サーバ100が発行する所有者証明書およびワンタイム証明書を一意に識別するための識別情報である。有効期間153は、ワンタイム証明書の有効期間である。証明書データ155はワンタイム証明書データそのものを含む。
 状態154はワンタイム証明書の状態であり、「有効」と「端末利用済」と「サーバ利用済」と「失効」の状態がある。「有効」は、ワンタイム証明書発行直後の状態を示す。「端末利用済」は、端末200から受信した所有者同一性確認要求の署名検証に用いたことを示す。「サーバ利用済」は、別の証明書発行サーバ100から受信したサーバ間所有者同一性確認要求の署名検証に用いたことを示す。自身が発行したワンタイム証明書を参照するのは、所有者同一性確認要求の署名検証の1回と、サーバ間所有者同一性確認要求の署名検証の1回である。状態154は、「有効」から「端末利用済」、「サーバ利用済」、「失効」と変化するか、または、「有効」から「サーバ利用済」、「端末利用済」、「失効」と変化する。
 レコード159は、証明書識別子152が「46378473」のワンタイム証明書を示すレコードであって、端末識別子151が「73642934」で識別される端末200に対して発行されており、有効期間153は2018年1月7日14時23分34秒から10分間であって、「有効」の状態であることを示す。
 図2に戻り、サーバ間所有者同一性確認要求部113は、端末200から所有者同一性確認要求(図1のステップSA103、SB103参照)を受け付けて、対象端末の証明書発行元にサーバ間所有者同一性確認要求(図1のステップSA104、SB104参照)を送信する。サーバ間所有者同一性確認要求には、後記する同一性確認レベルデータベース160を参照して、所有者同一性確認要求に含まれる同一性確認レベルに応じて、本人確認情報データベース130から取得した端末200の所有者の本人確認情報や自身の署名が含まれる。
 図6は、第1の実施形態に係る同一性確認レベルデータベース160のデータ構成を例示する図である。同一性確認レベルデータベース160は、例えば表形式のデータベースであって、1つのレコード(行)は、1つの同一性確認レベルと確認項目との関連付けを示し、同一性確認レベル161および確認項目162などの属性(列)を含む。
 同一性確認レベル161は、所有者同一性確認の確認レベルを示し、確認項目162は、同一性確認レベル161の所有者同一性を確認するために照合すべき本人確認情報の項目を示す。
 レコード169は、同一性確認レベルが「レベルA」である場合には、氏名と住所と生年月日と性別とを照合して、所有者同一性を確認することを示す。他に、電子メールアドレスのみを照合して所有者同一性を確認することを許すレベルがあってもよく、同一性確認レベルに応じて本人確認情報の項目の種類や数(本人確認情報の詳細度)が変わる。
 図2に戻り、サーバ間所有者同一性確認応答部114は、対象端末の証明書発行元からサーバ間所有者同一性確認要求を受け付け、サーバ間所有者同一性確認要求に含まれていた、対象端末の所有者の本人確認情報と、自身の本人確認情報データベース130から取得したワンタイム証明書の発行先となっている端末の所有者の本人確認情報とを照合して、照合結果(OKまたはNG)や自身の署名を含むサーバ間所有者同一性確認応答(図1のステップSA105、SB105参照)を対象端末の証明書発行元に送信する。
 所有者同一性確認応答部115は、サーバ間所有者同一性確認応答を受け付け、自身の署名を付与して、所有者同一性確認応答(図1のステップSA106、SB106参照)として端末200に送信する。
 公開鍵171は、証明書発行サーバ100が発行した所有者証明書やワンタイム証明書に付与された署名の検証に用いられる公開鍵である。秘密鍵172は、所有者証明書やワンタイム証明書に付与される署名の生成、メッセージへ付与する署名の生成、通信路の保護に必要な復号や署名付与などに用いられ、公開鍵171とペアになる公開鍵暗号の秘密鍵である。
 公開鍵データベース173は、他の証明書発行サーバ100の公開鍵を含むデータベースであり、メッセージに付与された署名の検証や通信路の保護に必要な暗号化、署名検証に用いられる。
≪第1の実施形態における端末の全体構成≫
 図7は、第1の実施形態に係る端末200の全体構成を例示する図である。端末200は、制御部210、記憶部220および通信部230を含んで構成される。制御部210は、CPUから構成され、記憶部220にあるOSや端末用所有者同一性確認処理プログラム(不図示)を実行することで、端末200全体を機能させる。記憶部220は、RAMやROM、HDD、フラッシュメモリなどから構成され、端末用所有者同一性確認処理プログラムや処理途中のデータなどを記憶する。通信部230は、NICから構成され、証明書発行サーバ100や他の端末200と通信データの送受信を行う。
 制御部210は、所有者証明書要求部211、ワンタイム証明書要求部212、所有者同一性確認開始要求部213、所有者同一性確認要求部214および所有者同一性確認応答受付部215を含んで構成される。また、記憶部220は、所有者証明書221、所有者証明書秘密鍵222および公開鍵データベース223を含んで構成される。公開鍵データベース223は、証明書発行元を含む証明書発行サーバ100の公開鍵を含むデータベースであり、ワンタイム証明書の署名検証やメッセージに付与された署名の検証に用いられる公開鍵を含む。
 所有者証明書要求部211は、証明書発行サーバ100に、自身の所有者証明書の発行を要求し、取得する。取得した所有者証明書は、記憶部220の所有者証明書221に格納される。また、所有者証明書221に含まれる公開鍵に対応する秘密鍵は、所有者証明書秘密鍵222に格納される。
 ワンタイム証明書要求部212は、証明書発行サーバ100に、自身のワンタイム証明書の発行を要求し、秘密鍵とともに取得する。発行の要求には、所有者証明書秘密鍵222を用いて生成された署名と、所有者証明書221とが付与される。証明書発行サーバ100は、付与された所有者証明書221を自身の公開鍵で検証して、所有者証明書221に含まれる端末200の公開鍵を取得し、この公開鍵を用いて発行の要求に付与されていて、所有者証明書秘密鍵222で生成された署名を検証して、発行の要求元が端末200であることを確認(認証)する。
 ワンタイム証明書の発行要求に対する証明書発行サーバ100の応答(図1のステップSA101、SB101参照)には、ワンタイム証明書の他に、ワンタイム証明書に含まれる公開鍵に対応する秘密鍵(以下、ワンタイム秘密鍵とも記す)が含まれる。このワンタイム証明書は所有者同一性確認処理の実行中のみ有効であり、証明書発行サーバ100間での所有者同一性確認処理が終了すると失効となる。端末200は、所有者同一性確認処理中は、ワンタイム証明書とワンタイム秘密鍵とを記憶部220に記憶するが、処理が終了すれば削除する。
 所有者同一性確認開始要求部213は、対象端末に所有者同一性確認開始要求(図1のステップSA102、SB102参照)を送信する。所有者同一性確認開始要求メッセージには、同一性確認レベルが含まれており、ワンタイム秘密鍵を用いて生成された署名と、ワンタイム証明書が付与されて、(同一性確認)対象端末に送信される。
 所有者同一性確認要求部214は、対象端末から所有者同一性確認開始要求を受け付けて、自身のワンタイム秘密鍵で生成した署名と、自身のワンタイム証明書を付与し、所有者同一性確認要求(図1のステップSA103、SB103参照)として、証明書発行元に送信する。
 所有者同一性確認応答受付部215は、証明書発行元から受け付けた所有者同一性確認応答(図1のステップSA106、SB106参照)を受け付け、相手端末に送信する(図1のステップSA107、SB107参照)。
≪第1の実施形態における所有者同一性確認処理≫
 図8~図12は、第1の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図である。図8~図12を参照しながら、所有者同一性確認処理を詳細に説明する。なお、所有者同一性確認処理の前に端末200は、証明書発行元から所有者証明書を取得済みである。また、端末200と証明書発行元の証明書発行サーバ100との間、2つの端末200間、2つの証明書発行サーバ100間にあるそれぞれの通信路の安全性は確保されているとする。なお、所有者同一性確認処理のなかで、署名の検証や有効期間の確認などの検証や確認を行うが、この検証や確認に失敗した場合には、所有者同一性確認処理を中止する。
≪所有者同一性確認処理:ワンタイム証明書の発行から交換までの処理(図8)≫
 ステップS201において、端末A200Aのワンタイム証明書要求部212は、証明書発行サーバA100Aに、ワンタイム証明書発行要求を送信する。要求には、所有者証明書秘密鍵222を用いた署名と、所有者証明書221とが付与される。
 ステップS202において、証明書発行サーバA100Aのワンタイム証明書発行部112は、ワンタイム証明書発行要求に付与された所有者証明書と、要求に付与されている署名の検証を行う。詳しくは、ワンタイム証明書発行部112は、所有者証明書の署名を自身の公開鍵171を用いて検証し、有効期間が過ぎていないことを検証する。次に、ワンタイム証明書発行部112は、所有者証明書に含まれている証明書識別子と同一の証明書識別子143である所有者証明書データベース140(図4参照)のレコードを検索し、状態145が「有効」であることを確認する。
 続いて、ワンタイム証明書発行部112は、検証した所有者証明書に含まれていた公開鍵を用いて、ワンタイム証明書発行要求に付与された署名を検証する。何れかの検証(確認)に失敗した場合には、端末A200Aに通知して、所有者同一性確認処理を中止する。
 ステップS203において、ワンタイム証明書発行部112は、ワンタイム証明書を発行する。詳しくは、ワンタイム証明書発行部112は、公開鍵暗号の鍵ペアを生成し、新規の証明書識別子を生成する。続いて、ワンタイム証明書発行部112は、端末A200Aの識別子と、生成した証明書識別子と、生成した公開鍵と、発行元である証明書発行サーバA100Aの識別情報と、証明書の有効期間とを含んだデータに、秘密鍵172を用いた署名を付与して、ワンタイム証明書を発行する。有効期間は所有者同一性確認処理の間であればよく、例えば現在時刻から10分間である。
 ワンタイム証明書発行部112は、ワンタイム証明書データベース150(図5参照)にレコードを追加して、発行したワンタイム証明書に含まれる端末識別子、証明書識別子、有効期間および証明書そのもののデータを、それぞれ端末識別子151、証明書識別子152、有効期間153および証明書データ155に格納する。状態154は「有効」とする。
 ステップS204において、ワンタイム証明書発行部112は、発行したワンタイム証明書と生成した秘密鍵(ワンタイム秘密鍵とも記す)とを端末A200Aに送信する。
 ステップS205~S208は、端末A200Aを端末B200Bに、証明書発行サーバA100Aを証明書発行サーバB100Bに置き換えたステップS201~S204とそれぞれ同様の処理である。
 ステップS211において、端末A200Aの所有者同一性確認開始要求部213は、ワンタイム証明書を所有者同一性確認対象端末(対象端末)である端末B200Bに送信する。
 ステップS212において、端末B200Bの所有者同一性確認開始要求部213は、受信したワンタイム証明書を検証して、ワンタイム証明書に含まれる公開鍵を取得する。検証には、公開鍵データベース223に含まれる証明書発行サーバA100Aの公開鍵を用いる。検証に失敗した場合には、所有者同一性確認処理を中止する。
 ステップS213~S214は、S211~S212と同様の処理である。
≪所有者同一性確認処理:所有者同一性確認開始要求~所有者同一性確認要求(図9)≫
 図9に移って、ステップS221において、端末A200Aの所有者同一性確認開始要求部213は、端末B200Bに、所有者同一性確認開始要求を送信する。要求には、同一性確認レベルと、ステップS204で取得した秘密鍵(ワンタイム秘密鍵)を用いた署名(図9では端末Aの署名と記載)と、ワンタイム証明書とが付与される。
 なお、以下のメッセージにおいて、ワンタイム秘密鍵を用いた署名を含む場合には、これを端末Aの署名と記載する。また、端末Aの署名が含まれるメッセージには、ステップS204で取得され、署名検証に用いられる公開鍵を含むワンタイム証明書が付与されている。ステップS221の所有者同一性確認開始要求にもワンタイム証明書が付与されているが、図示は省略している。これは、端末Bについても同様である。
 端末Aの署名とワンタイム証明書の受信者は、署名が検証できるだけではなく、ワンタイム証明書を参照して、端末Aを識別し、所有者証明書データベース140(図4参照)を参照することで所有者識別子が特定でき、さらに、端末Aの証明書発行元証明書サーバ(管理元端末管理サーバ)が識別可能である。このため、端末200の署名とワンタイム証明書を合わせた情報を、所有者サーバ紐付情報とも記す。
 なお、ワンタイム証明書やメッセージに付与された署名の検証(確認)に失敗した場合に、所有者同一性確認処理を中止する。これは、他のステップにおいても同様である。
 ステップS222において、端末B200Bの所有者同一性確認要求部214は、所有者同一性確認開始要求に付与された端末Aの署名を検証する。
 ステップS223において、端末B200Bの所有者同一性確認要求部214は、受信した所有者同一性確認開始要求にワンタイム秘密鍵を用いて署名(端末Bの署名)を付与し、所有者同一性確認要求として証明書発行サーバB100Bに送信する。所有者同一性確認要求には、ステップS208で取得したワンタイム証明書およびステップS221で受信した端末Aのワンタイム証明書が付与される(図9には記載せず)。所有者同一性確認要求には、同一性確認レベルが含まれており、同一性確認レベルには、端末Aの署名と端末Bの署名が付与されることになる。
 このため、所有者同一性確認要求には、所有者同一性確認開始要求を送信した端末A200Aの所有者サーバ紐付情報(所有者同一性確認開始所有者サーバ紐付情報とも記す)と、所有者同一性確認要求を送信した端末B200Bの所有者サーバ紐付情報(所有者同一性確認要求所有者サーバ紐付情報とも記す)とが付与されることになる。
 ステップS224において、証明書発行サーバB100Bのサーバ間所有者同一性確認要求部113は、所有者同一性確認要求に付与された端末Bの署名を検証する。詳しくは、サーバ間所有者同一性確認要求部113は、所有者同一性確認要求に付与された端末Bのワンタイム証明書の署名を自身の公開鍵で検証し、現在日時がワンタイム証明書に含まれる有効期間内であることを確認する。次に、サーバ間所有者同一性確認要求部113は、ワンタイム証明書に含まれる証明書識別子と同一の証明書識別子152であるワンタイム証明書データベース150(図5参照)のレコードを検索する。
 続いて、サーバ間所有者同一性確認要求部113は、検索結果のレコードの状態154が「有効」または「サーバ利用済」であることを確認して、ワンタイム証明書から公開鍵を取得し、この公開鍵を用いて所有者同一性確認要求に付与された端末Bの署名を検証する。端末Bの署名を検証した後に、ワンタイム証明書のレコードの状態154を「有効」から「端末利用済」、または、「サーバ利用済」から「無効」に更新する。
 ステップS225において、サーバ間所有者同一性確認要求部113は、所有者同一性確認要求に付与された端末Aの署名を検証する。検証には、所有者同一性確認要求に付与された端末Aのワンタイム証明書の署名を、公開鍵データベース173から取得した証明書発行サーバA100Aの公開鍵で検証し有効期間を確認してから、公開鍵を取得し、この公開鍵を用いて端末Aの署名を検証する。
 ステップS226において、サーバ間所有者同一性確認要求部113は、所有者同一性確認要求に含まれていた同一性確認レベルに応じた、端末Bの所有者の本人確認情報を本人確認情報データベース130(図3参照)から取得する。詳しくは、サーバ間所有者同一性確認要求部113は、所有者同一性確認要求に含まれていた同一性確認レベルから、同一性確認レベルデータベース160(図6参照)を参照して、同一性確認レベル161に対応する確認項目162を取得する。
 次に、サーバ間所有者同一性確認要求部113は、端末Bのワンタイム証明書(所有者同一性確認要求に含まれていた2番目の署名に対応するワンタイム証明書)から端末識別子を取得し、これと同一の端末識別子142である所有者証明書データベース140(図4参照)のレコードを検索して所有者識別子141を取得する。
 続いて、サーバ間所有者同一性確認要求部113は、取得した所有者識別子141と同一の所有者識別子131である本人確認情報データベース130(図3参照)のレコードを検索して、検索結果のレコードから、確認項目162に対応したそれぞれの本人確認情報の項目(以下、この項目も本人確認情報と記載する)を取得する。
 なお、同一性確認レベルに応じた本人確認情報が本人確認情報データベース130から取得できない場合には、サーバ間所有者同一性確認要求部113は、所有者同一性確認処理を中止する。
 ステップS227において、サーバ間所有者同一性確認要求部113は、ステップS223で受信した所有者同一性確認要求に、取得した本人確認情報(図9では端末Bの所有者の本人確認情報と記載)と、秘密鍵172を用いて生成した署名(図9では証明書発行サーバBの署名と記載)とを付与して、サーバ間所有者同一性確認要求として証明書発行サーバA100Aに送信する。なお、送信先である証明書発行サーバA100Aは、ステップS225で検証した端末A200A(所有者同一性確認開始要求を送信した端末)の証明書発行元であって、端末Aのワンタイム証明書の発行元として特定される証明書発行サーバであり、確認先証明書発行サーバ、確認先端末管理サーバとも記す。
≪所有者同一性確認処理:サーバ間所有者同一性確認以降(図10)≫
 図10に移って、ステップS228において、証明書発行サーバA100Aのサーバ間所有者同一性確認応答部114は、サーバ間所有者同一性確認要求に付与された、証明書発行サーバB100Bの署名を検証する。検証には、公開鍵データベース173に含まれる証明書発行サーバB100Bの公開鍵を用いる。
 ステップS229において、サーバ間所有者同一性確認応答部114は、サーバ間所有者同一性確認要求に付与された端末Bの署名を検証する。検証には、サーバ間所有者同一性確認要求に付与された端末Bのワンタイム証明書の署名を、公開鍵データベース173に含まれる証明書発行サーバB100Bの公開鍵で検証し有効期間を確認してから端末Bの公開鍵を取得し、この公開鍵を用いて端末Bの署名を検証する。
 ステップS230において、サーバ間所有者同一性確認応答部114は、サーバ間所有者同一性確認要求に付与された端末Aの署名を検証する。詳しくは、サーバ間所有者同一性確認応答部114は、サーバ間所有者同一性確認要求に付与された端末Aのワンタイム証明書の署名を自身の公開鍵で検証し、現在日時が有効期間内であることを確認する。次に、サーバ間所有者同一性確認応答部114は、ワンタイム証明書に含まれる証明書識別子と同一の証明書識別子152であるワンタイム証明書データベース150のレコードを検索する。
 続いて、サーバ間所有者同一性確認応答部114は、検索結果のレコードの状態154が「有効」または「端末利用済」であることを確認して、ワンタイム証明書から公開鍵を取得し、この公開鍵を用いて端末Aの署名を検証する。端末Aの署名を検証した後に、ワンタイム証明書のレコードの状態154を「有効」から「サーバ利用済」、または、「端末利用済」から「無効」に更新する。
 ステップS231において、サーバ間所有者同一性確認応答部114は、サーバ間所有者同一性確認要求に含まれる同一性確認レベルに応じた端末Aの所有者の本人確認情報を本人確認情報データベース130(図3参照)から取得する。取得するのは、サーバ間所有者同一性確認要求に含まれていた1番目の署名に対応するワンタイム証明書の発行先である端末の所有者の本人確認情報であり、その手順はステップS226と同様である。
 ステップS232において、サーバ間所有者同一性確認応答部114は、ステップS231で取得した端末Aの本人確認情報(本人確認情報の項目)と、サーバ間所有者同一性確認要求に含まれていた端末Bの本人確認情報(本人確認情報の項目)とを、項目ごとに照合する。
 ステップS233において、サーバ間所有者同一性確認応答部114は、照合が一致すれば(ステップS233→Y)ステップS234に進み、不一致ならば(ステップS233→N)ステップS235に進む。
 ステップS234において、サーバ間所有者同一性確認応答部114は、確認OKと自身の秘密鍵172を用いて生成した署名(図10では証明書発行サーバAの署名と記載)を付与して、サーバ間所有者同一性確認応答として、証明書発行サーバB100Bに送信する。
 ステップS235において、サーバ間所有者同一性確認応答部114は、確認NGと自身の秘密鍵172を用いて生成した署名を付与して、サーバ間所有者同一性確認応答(図10では、応答(NG)と記載)として、証明書発行サーバB100Bに送信する。
 以下では、照合一致として説明を続ける。
 ステップS236において、証明書発行サーバB100Bの所有者同一性確認応答部115は、サーバ間所有者同一性確認応答に付与された証明書発行サーバA100Aの署名を検証し、サーバ間所有者同一性確認応答に、自身の秘密鍵172を用いて生成した署名(図10では証明書発行サーバBの署名と記載)を付与して、所有者同一性確認応答として、端末B200Bに送信する。
 ステップS237において、端末B200Bの所有者同一性確認応答受付部215は、所有者同一性確認応答に付与された証明書発行サーバB100Bの署名を検証する。検証には、公開鍵データベース223にある証明書発行サーバB100Bの公開鍵を用いる。
 この検証により、端末B200Bは、所有者同一性確認対象端末である端末A200Aの所有者と自身の所有者が同一であることが確認できる。
 ステップS238において、所有者同一性確認応答受付部215は、所有者同一性確認応答を端末A200Aに送信する。
 ステップS239において、端末A200Aの所有者同一性確認応答受付部215は、所有者同一性確認応答に付与された証明書発行サーバA100Aの署名を検証する。検証には、公開鍵データベース223にある証明書発行サーバA100Aの公開鍵を用いる。
 この検証により、端末A200Aは、所有者同一性確認対象端末である端末B200Bの所有者と自身の所有者が同一であることが確認できる。
≪所有者同一性確認処理:図9~図10と対称な処理(図11~図12)≫
 図11と図12に記載のステップS251~S269の処理は、端末A200Aと端末B200Bとを入れ替え、証明書発行サーバA100Aと証明書発行サーバB100Bとを入れ替えた、ステップS221~S239とそれぞれ同様の処理である。
≪第1の実施形態における所有者同一性確認処理の特徴≫
 異なる証明書発行サーバを証明書発行元とする端末同士であっても、証明書発行元の証明書発行サーバ間で端末の所有者の本人確認情報を交換して(ステップS227とステップS257参照)、照合する(ステップS232とステップS262参照)ことで、所有者が同一であることを確認できる。
 本人確認情報は、図8~図12に示した処理手順により証明書発行サーバ100間のみで交換されて照合される。このために、不正者が、不正な端末や不正に取得した端末を含んだ所有者同一性確認処理を実行したとしても、端末の所有者の本人確認情報を入手することはできない。また、不正に取得した端末であっても、所有者同一性確認処理の開始にあたって端末200が所有者の本人確認をすることにより、不正な所有者同一性確認処理の実行を防ぐことができる。
 端末B200Bの本人確認情報が、証明書発行サーバB100Bから証明書発行サーバA100Aに送信されるとき(ステップS227)には、その前に端末B200B(端末B200Bの所有者)が所有者同一性確認処理の実行の意思があることを、証明書発行サーバB100Bが所有者同一性確認要求の端末B200Bの署名を検証すること(ステップS224)で確認している。これにより、端末B200B(端末B200Bの所有者)が意図しない、証明書発行サーバ間の所有者同一性確認の実行、および、所有者同一性確認対象端末の証明書発行元証明書発行サーバへの本人確認情報の提示を防ぐことができる。これは、端末A200Aについても同様である。
 証明書発行サーバB100Bは、サーバ間所有者同一性確認要求の送信先の証明書発行サーバを、所有者同一性確認開始要求を送信した端末の証明書発行元としている(ステップS227)。このために、本人確認情報を含んだサーバ間所有者同一性確認要求は、所有者同一性確認処理の実行の意思がある端末の証明書発行元に送信され、他の証明書発行サーバに送信されることはなく、意図しない証明書発行サーバや不正な証明書発行サーバに送信されることはない。
 証明書発行サーバ100は、端末200が指定した同一性確認レベルに応じた本人確認情報を確認先の証明書発行サーバに送信している。必要に応じた同一性確認レベルを指定して、所有者同一性確認処理を行うことで、証明書発行サーバ間で交換される本人確認情報の詳細度(本人確認情報の項目の種類や数)を変更することができ、不要な本人確認情報の送信を抑止できるようになる。
 証明書発行サーバ100が、自身が発行したワンタイム証明書を用いて端末の署名を確認した後には、そのワンタイム証明書の状態を、「有効」→「サーバ利用済」→「端末利用済」→「無効」、または、「有効」→「端末利用済」→「サーバ利用済」→「無効」と変更して、一度の所有者同一性確認処理にしか使えないようにしている(ステップS224、S230、S254およびS260参照)。このために、ワンタイム証明書を用いたリプレイ攻撃を防ぐことができる。
≪第1の実施形態の変形例:ワンタイム証明書の鍵ペア生成≫
 証明書発行サーバ100が、鍵ペアを生成して、公開鍵を含むワンタイム証明書と秘密鍵とを、端末200に送信している(ステップS204、S208参照)が、端末200が鍵ペアを生成するようにしてもよい。詳しくは、端末200が鍵ペアを生成し、ワンタイム証明書発行要求に生成した公開鍵を含めて証明書発行サーバ100に送信して、証明書発行サーバ100は、この公開鍵を含んだワンタイム証明書を発行するようにしてもよい。
≪第1の実施形態の変形例:証明書発行サーバの公開鍵取得≫
 証明書発行サーバ100の公開鍵171は、証明書発行サーバ100の公開鍵データベース173や端末200の公開鍵データベース223に格納されている。このようなデータベースの替わりに、信頼できる第三者から証明書発行サーバ100の公開鍵を取得するようにしてもよい。また、ワンタイム証明書に加えて、ワンタイム証明書を発行した証明書発行サーバ100の公開鍵を含む、ルート認証局が発行した公開鍵証明書を、メッセージに添付するようにしてもよい。証明書発行サーバ100や端末200は、ルート認証局が発行した公開鍵証明書を検証して証明書発行サーバ100の公開鍵を取得して、ワンタイム証明書を検証し、さらにメッセージの署名を検証する。
≪第2の実施形態の概要≫
 第2の実施形態では、所有者同一性確認処理の開始時に端末がトークン(乱数)を生成し、証明書発行サーバは、サーバ間で本人確認情報のやり取りを始める前に、2つの端末が生成したトークンのペア(以下、トークンペアとも記す)を交換し合って、同一のトークンペアであることを確認した後に、本人確認情報を送信する。
 第2の実施形態の所有者同一性確認処理における、端末や証明書発行サーバ間でやり取りされるメッセージは、トークンペアが含まれることを除いて第1の実施形態とほぼ同様である。以下では、第1の実施形態と異なる端末600(後記する図14参照)と証明書発行サーバ500(後記する図13参照)の構成、およびメッセージを中心に説明する。
≪第2の実施形態における証明書発行サーバの全体構成≫
 図13は、第2の実施形態に係る証明書発行サーバ500の全体構成を例示する図である。証明書発行サーバ100(図2参照)と比較して、制御部110Aにおいては、サーバ間所有者同一性確認要求部113Aが異なり、トークン送信部116が加わる。
 トークン送信部116は、端末600からトークンペアを含む所有者同一性確認要求を受け付けて、対象端末の証明書発行元にトークンペアを送付する。
 サーバ間所有者同一性確認要求部113Aは、対象端末の証明書発行元である証明書発行サーバ500から受信したトークンペアと端末600から受信したトークンペアを比較して、同一であれば、自身の本人確認情報データベース130から取得した端末600の本人確認情報を含んだサーバ間所有者同一性確認要求を対象端末の証明書発行サーバ(確認先証明書発行サーバ)500に送信する。
≪第2の実施形態における端末の全体構成≫
 図14は、第2の実施形態に係る端末600の全体構成を例示する図である。端末200(図7参照)と比較して、制御部210Aにおいては、所有者同一性確認開始要求部213Aと所有者同一性確認要求部214Aとが異なる。
 所有者同一性確認開始要求部213Aは、トークンを生成し、このトークンを含んだ所有者同一性確認開始要求を対象端末に送信する。
 所有者同一性確認要求部214Aは、受信した所有者同一性確認開始要求に、自身が生成したトークンを含めて所有者同一性確認要求として、証明書発行サーバ500に送信する。
≪第2の実施形態における所有者同一性確認処理≫
 図15~図20は、第2の実施形態に係る所有者同一性確認システムが実行する所有者同一性確認処理のシーケンス図である。図15~図20を参照しながら、端末A600A、端末B600B、証明書発行サーバA500Aおよび証明書発行サーバB500Bを含む所有者同一性確認システムが実行する所有者同一性確認処理を説明する。
≪所有者同一性確認処理:ワンタイム証明書の発行から交換までの処理(図15)≫
 図15において、ステップS301~S308およびS311~S314は、ステップS201~S208およびS211~S214(図8参照)とそれぞれ同様の処理である。
≪所有者同一性確認処理:トークン生成、所有者同一性確認開始、所有者同一性確認(図16)≫
 図16に移り、ステップS321において、端末A600Aの所有者同一性確認開始要求部213Aは、トークンAとして乱数を生成する。
 ステップS322において、端末B600Bの所有者同一性確認開始要求部213Aは、トークンBとして乱数を生成する。
 ステップS331において、ステップS221(図9参照)と同様に、端末A600Aの所有者同一性確認開始要求部213Aは、所有者同一性確認開始要求を所有者同一性確認対象端末である端末B600Bに送信する。ステップS221と異なるのは、要求に、ステップS321で生成したトークンA(所有者同一性確認開始乱数とも記す)が含まれることである。
 ステップS332において、ステップS222と同様に、端末B600Bの所有者同一性確認要求部214Aは、所有者同一性確認開始要求に付与された端末Aの署名を検証する。ステップS222と異なるのは、所有者同一性確認開始要求にトークンAが含まれることである。
 ステップS333において、所有者同一性確認要求部214Aは、受信した所有者同一性確認開始要求にトークンB(所有者同一性確認要求乱数とも記す)を含め、ワンタイム秘密鍵を用いて署名(端末Bの署名)を付与して、所有者同一性確認要求として証明書発行サーバB500Bに送信する。所有者同一性確認要求には、トークンAが含まれており、トークンAには、端末Aの署名と端末Bの署名が付与されることになる。
 ステップS334において、証明書発行サーバB500Bのトークン送信部116は、ステップS224におけるサーバ間所有者同一性確認要求部113と同様に、所有者同一性確認要求に付与された端末Bの署名を検証する。ステップS224と異なるのは、所有者同一性確認要求にトークンAとトークンBが含まれることである。
 ステップS335において、証明書発行サーバB500Bのトークン送信部116は、ステップS225におけるサーバ間所有者同一性確認要求部113と同様に、所有者同一性確認要求に付与された端末Aの署名を検証する。ステップS225と異なるのは、所有者同一性確認要求にトークンAとトークンBが含まれることである。
 ステップS336~S340は、端末A600Aと端末B600Bとが入れ替わり、証明書発行サーバA500Aと証明書発行サーバB500Bとが入れ替わった、ステップS331~S335と同様の処理である。
≪所有者同一性確認処理:サーバ間所有者同一性確認以降(図17~図18)≫
 図17に移り、ステップS341において、証明書発行サーバB500Bのトークン送信部116は、ステップS333で受信した所有者同一性確認要求に含まれるトークンAとトークンBに秘密鍵172を用いて署名を生成して付与し、証明書発行サーバA500Aに送信する。
 なお、ここで送信先である証明書発行サーバA500Aは、ステップS335で検証した端末A600A(所有者同一性確認開始要求を送信した端末)の証明書発行元であり、端末Aのワンタイム証明書の発行元として特定される証明書発行サーバである。
 ステップS342は、証明書発行サーバA500Aと証明書発行サーバB500Bとが入れ替わった同様の処理である。
 なお、ステップS341とステップS342とは、順序が前後してもよい。
 ステップS343において、証明書発行サーバB500Bのサーバ間所有者同一性確認要求部113Aは、ステップS341で送信したトークンペアと、ステップS342で受信したトークンペアとが同一のトークンAとトークンBのペアであるか照合する。
 ステップS344において、サーバ間所有者同一性確認要求部113Aは、照合一致ならば(ステップS344→Y)ステップS345に進み、照合不一致ならば(ステップS344→N)ステップS346に進む。
 ステップS345は、ステップS226(図9参照)と同様の処理である。
 ステップS346において、証明書発行サーバB500Bのサーバ間所有者同一性確認要求部113Aは、トークンペア照合に失敗したとして、所有者同一性確認処理を中止し、エラーメッセージを端末B600Bに送信する。エラーメッセージは証明書発行サーバA500Aにも送信される(図17では不図示)。
 ステップS347は、ステップS227(図9参照)と同様の処理である。ステップS227と異なる点は、サーバ間所有者同一性確認要求にトークンAとトークンBが含まれる点である。
 図18に移り、ステップS348~S359は、ステップS228~S239(図10参照)と同様の処理である。
≪所有者同一性確認処理:図17~図18と対称な処理(図19~図20)≫
 図19と図20に記載のステップS361~S377の処理は、端末A600Aと端末B600Bとを入れ替え、証明書発行サーバA500Aと証明書発行サーバB500Bとを入れ替えた、ステップS343~S359とそれぞれ同様の処理である。
≪第2の実施形態における所有者同一性確認処理の特徴≫
 第2の実施形態においては、証明書発行サーバ500が、送信したトークンペアと受信したトークンペアとが一致することを確認(ステップS343、S361参照)した後に、自身が記憶している本人確認情報を相手端末の証明書発行サーバ500に送信している。このために、端末A600Aまたは端末B600Bが送信するメッセージを用いたリプレイ攻撃を実行しようとしても、トークンペアが一致しない限り、本人確認情報が証明書発行サーバ500から送信されることはなく、リプレイ攻撃の困難度を向上させ、攻撃を抑止している。
 また、端末A600Aと端末B600Bとが、ほぼ同時に、所有者同一性確認処理を複数回実行したとしても、それぞれの所有者同一性確認処理を混同することなく、どの所有者同一性確認処理か特定した上で、処理を進めることができ、安全性がさらに高めることができる。
≪第2の実施形態の変形例:サーバがトークンを生成≫
 第2の実施形態では、端末600が乱数であるトークンを生成している(図16記載のステップS321、S322参照)。端末600ではなく、証明書発行サーバ500がトークンを生成して、端末600に送信するようにしてもよい。
 詳しくは、証明書発行サーバ500が、ワンタイム証明書の生成(図15記載のステップS303、S307参照)と同時にトークンを生成して、ワンタイム証明書および秘密鍵と一緒に生成したトークンを端末600に送信するようにしてもよい(図15記載のステップS304、S308参照)。端末600は、生成したトークンの替わりに受信したトークンを、所有者同一性確認開始要求や所有者同一性確認要求に含めて、所有者同一性確認対象端末や証明書発行元の証明書発行サーバ500に送信する。
≪第2の実施形態の変形例:トークンの検証方法≫
 トークンの検証方法(乱数検証法)として、第2の実施形態では、証明書発行サーバ500が、所有者同一性確認要求に含まれていたトークンを送信し合い(図17記載のステップS341、S342参照)、照合した上で、本人確認情報を相手の証明書発行サーバ(確認先証明書発行サーバ)500に送信する(図17記載のステップS343~S347、図19記載のステップS361~S365参照)。
 相互に送信して照合する替わりに、トークンが複数回使われていないか、確認するようにしてもよい。詳しくは、証明書発行サーバ500が、所有者同一性確認要求(図16記載のステップS333、S338参照)に含まれるトークンを使用済みトークンとして記憶しておき、所有者同一性確認要求に使用済みトークンが含まれていた場合には、所有者同一性確認処理を中断する。
≪第1、2の実施形態の変形例:ワンタイム証明書の検証≫
 第1、2の実施形態では、ワンタイム証明書データベース150の状態154を参照して、ワンタイム証明書の使用を1回限りになるようにしていた(図9記載のステップS224、図10記載のステップS230、図11記載のステップS254、図12記載のステップS260)。これに替わり、サーバ間所有者同一性確認要求部113が、過去に受信した所有者同一性確認要求に付与されたワンタイム証明書を記憶しておき、新たに受信した所有者同一性確認要求に付与されたワンタイム証明書が記憶されたワンタイム証明書には含まれないことを確認するようにしてもよい。
≪第1、2の実施形態の変形例:ワンタイム証明書と本人確認情報の紐付け≫
 第1の実施形態においては、証明書発行サーバ100は、所有者証明書データベース140を参照することで、所有者同一性確認要求を送信した端末200のワンタイム証明書に含まれる端末識別子に対応する所有者識別子を取得する。次に、証明書発行サーバ100は、本人確認情報データベース130を参照して、所有者識別子に対応する本人確認情報を取得し、サーバ間所有者同一性確認要求に含めて、確認先証明書発行サーバに送信する(図9記載のステップS226~S227、図11記載のステップS256~S257参照)。第2の実施形態でも同様である(図17記載のステップS345、S347、図19記載のステップS363、S365)。
 ワンタイム証明書が、端末識別子の替わりに端末の所有者と紐付け可能な情報(所有者紐付情報)を含むようにして、証明書発行サーバ100は、所有者紐付情報に対応する本人確認情報を取得し、サーバ間所有者同一性確認要求に含めて、確認先証明書発行サーバに送信するようにしてもよい。このため、端末の署名とワンタイム証明書とを合わせた情報を、所有者サーバ紐付情報とも記す。
 また、所有者紐付情報としては、ワンタイム証明書の証明書識別子(図5記載の証明書識別子152)であってもよい。詳しくは、ワンタイム証明書データベース150に、本人確認情報データベース130(図3参照)の所有者識別子131に対応する所有者識別子の属性を追加する。ワンタイム証明書発行部112は、ワンタイム証明書の発行時に(図8記載のステップS203、S207参照)、検証した所有者証明書(図8記載のステップS202、S206参照)に対応する所有者識別子(図4記載の所有者識別子141参照)を取得して、ワンタイム証明書データベース150の所有者識別子に格納する。
 本人確認情報の取得するときには(図9記載のステップS226、図10記載のステップS231、図11記載のステップS256、図12記載のステップS261参照)、サーバ間所有者同一性確認要求部113やサーバ間所有者同一性確認応答部114は、ワンタイム証明書データベース150を検索することで、ワンタイム証明書に含まれる証明書識別子に対応する所有者識別子を取得して、本人確認情報データベース130から本人確認情報を取得するようにしてもよい。
 上記した変形例では、ワンタイム証明書に含まれる端末識別子は参照されないので、ワンタイム証明書には端末識別子を含まなくてもよい。
 また、他の所有者紐付情報として、所有者証明書の証明書識別子がある。ワンタイム証明書発行部112は、ワンタイム証明書の発行時に所有者証明書の証明書識別子を含めるようにする。サーバ間所有者同一性確認要求部113は、所有者証明書データベース140を参照することで、ワンタイム証明書に含まれる所有者証明書の証明書識別子に対応する所有者識別子を取得し、本人確認情報データベース130を参照することで、所有者識別子に対応する本人確認情報を取得する
≪第2の実施形態の変形例:制御部の変形≫
 ステップS341、S342(図17参照)でトークンを送信するためのトークン送信部116を証明書発行サーバ500は備えているが、トークン送信部116をサーバ間所有者同一性確認要求部113Aに含めるようにしてもよい。
100、500 証明書発行サーバ(端末管理サーバ)
111 所有者証明書発行部
112 ワンタイム証明書発行部
113、113A サーバ間所有者同一性確認要求部
114 サーバ間所有者同一性確認応答部
115 所有者同一性確認応答部
116 トークン送信部
130 本人確認情報データベース
140 所有者証明書データベース
150 ワンタイム証明書データベース
160 同一性確認レベルデータベース
171 公開鍵
172 秘密鍵
173 公開鍵データベース
200、600 端末
211 所有者証明書要求部
212 ワンタイム証明書要求部
213、213A 所有者同一性確認開始要求部
214、214A 所有者同一性確認要求部
215 所有者同一性確認応答受付部
221 所有者証明書
222 所有者証明書秘密鍵
223 公開鍵データベース

Claims (10)

  1.  端末と、前記端末の所有者の本人確認情報を記憶部に記憶する端末管理サーバとが、通信ネットワークを介して接続され、2つの前記端末の所有者が同一であることを確認する所有者同一性確認システムであって、
     前記端末は、
     所有者同一性確認の対象である端末を示す確認対象端末に、端末自身の所有者と端末自身の所有者の本人確認情報を記憶する端末管理サーバを示す管理元端末管理サーバとを識別可能な情報である所有者サーバ紐付情報を含んだ所有者同一性確認開始要求を送信する所有者同一性確認開始要求部と、
     前記所有者同一性確認開始要求を受信すると、前記所有者同一性確認開始要求に含まれる所有者サーバ紐付情報を示す所有者同一性確認開始所有者サーバ紐付情報と、自身の所有者の所有者サーバ紐付情報を示す所有者同一性確認要求所有者サーバ紐付情報とを含んだ所有者同一性確認要求を、自身の管理元端末管理サーバに送信する所有者同一性確認要求部と、
     前記所有者同一性確認要求に対する応答である所有者同一性確認応答を自身の管理元端末管理サーバから受信する所有者同一性確認応答受付部を備え、
     前記端末管理サーバは、
     前記端末から前記所有者同一性確認要求を受信すると、前記所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報と、前記所有者同一性確認要求に含まれる所有者同一性確認要求所有者サーバ紐付情報と、前記記憶部から取得した、前記所有者同一性確認要求所有者サーバ紐付情報で識別される所有者の本人確認情報とを含むサーバ間所有者同一性確認要求を、前記所有者同一性確認開始所有者サーバ紐付情報で識別される端末の管理元端末管理サーバを示す確認先端末管理サーバに送信するサーバ間所有者同一性確認要求部と、
     前記サーバ間所有者同一性確認要求を受信すると、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合し、同一の所有者か否かを判定して、判定結果を含むサーバ間所有者同一性確認応答を、前記サーバ間所有者同一性確認要求の送信元の端末管理サーバに送信するサーバ間所有者同一性確認応答部と、
     前記サーバ間所有者同一性確認応答を受信すると、前記サーバ間所有者同一性確認応答を前記所有者同一性確認応答として、前記所有者同一性確認要求の送信元の端末に送信する所有者同一性確認応答部とを備える
     ことを特徴とする所有者同一性確認システム。
  2.  前記端末が備える前記所有者同一性確認開始要求部は、自身で乱数を生成するか、または、自身の管理元端末管理サーバから乱数を取得し、当該乱数を所有者同一性確認開始乱数として前記所有者同一性確認開始要求に含め、
     前記端末が備える前記所有者同一性確認要求部は、受信した前記所有者同一性確認開始要求に含まれる所有者同一性確認開始乱数と、所有者同一性確認要求乱数として前記所有者同一性確認開始要求部が生成または取得した乱数とを前記所有者同一性確認要求に含め、
     前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部は、所定の乱数検証法を用いて、前記所有者同一性確認要求に含まれる所有者同一性確認開始乱数と所有者同一性確認要求乱数とを検証し、検証に成功した後に、前記サーバ間所有者同一性確認要求を前記確認先端末管理サーバに送信する
     ことを特徴とする請求項1に記載の所有者同一性確認システム。
  3.  前記所有者同一性確認開始乱数と前記所有者同一性確認要求乱数の検証は、
     前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、
     前記所有者同一性確認要求に含まれる所有者同一性確認開始乱数と所有者同一性確認要求乱数とを、前記確認先端末管理サーバに送信し、
     前記確認先端末管理サーバとして前記所有者同一性確認開始乱数と前記所有者同一性確認要求乱数を受信すると、受信した所有者同一性確認開始乱数と自身が送信した所有者同一性確認要求乱数とが同一であること、および、受信した所有者同一性確認要求乱数と自身が送信した所有者同一性確認開始乱数とが同一であることを確認する
     ことを特徴とする請求項2に記載の所有者同一性確認システム。
  4.  前記所有者同一性確認開始乱数と前記所有者同一性確認要求乱数の検証は、
     前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部が、
     前記所有者同一性確認要求を受信すると、当該所有者同一性確認要求に含まれる所有者同一性確認開始乱数および所有者同一性確認要求乱数が、当該所有者同一性確認要求の受信以前に受信した所有者同一性確認要求に含まれた所有者同一性確認開始乱数および所有者同一性確認要求乱数に一致しないことを確認する
     ことを特徴とする請求項2に記載の所有者同一性確認システム。
  5.  前記端末が備える前記所有者同一性確認開始要求部は、前記端末管理サーバが備える前記サーバ間所有者同一性確認応答部が照合する本人確認情報の詳細度を示す同一性確認レベルを前記所有者同一性確認開始要求に含め、
     前記端末が備える前記所有者同一性確認要求部は、受信した前記所有者同一性確認開始要求に含まれる前記同一性確認レベルを前記所有者同一性確認要求に含め、
     前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部は、受信した前記所有者同一性確認要求に含まれる前記同一性確認レベルに応じた詳細度の本人確認情報を前記記憶部から取得してサーバ間所有者同一性確認要求に含め、
     前記端末管理サーバが備えるサーバ間所有者同一性確認応答部は、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報であって、前記サーバ間所有者同一性確認要求に含まれる前記同一性確認レベルに応じた本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合する
     ことを特徴とする請求項1~4の何れか1項に記載の所有者同一性確認システム。
  6.  前記所有者サーバ紐付情報は、前記所有者同一性確認開始要求、前記所有者同一性確認要求および前記サーバ間所有者同一性確認要求に付与される前記端末が生成した署名、並びに、前記記憶部に記憶される本人確認情報に関連付けられた識別情報、前記署名を検証するための公開鍵および当該端末の管理元端末管理サーバの識別情報を含んだ公開鍵証明書であり、
     前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部は、前記所有者同一性確認要求に付与された前記端末が生成した署名の検証に成功した後に、前記サーバ間所有者同一性確認要求を前記確認先端末管理サーバに送信する
     ことを特徴とする請求項1~5の何れか1項に記載の所有者同一性確認システム。
  7.  前記端末は、前記所有者同一性確認開始要求部が、前記所有者同一性確認開始要求を送信するときに、自身の管理元端末管理サーバに新規の前記公開鍵証明書を要求して取得するワンタイム証明書要求部を備え、
     前記端末管理サーバが備える前記サーバ間所有者同一性確認要求部は、前記所有者同一性確認要求を受信すると、当該所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報および所有者同一性確認要求所有者サーバ紐付情報に含まれる公開鍵証明書が、当該所有者同一性確認要求の受信以前に受信した所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報および所有者同一性確認要求所有者サーバ紐付情報に含まれる公開鍵証明書に一致しないことを確認した後に、前記サーバ間所有者同一性確認要求を前記確認先端末管理サーバに送信する
     ことを特徴とする請求項6に記載の所有者同一性確認システム。
  8.  前記端末管理サーバが備える前記サーバ間所有者同一性確認応答部は、前記サーバ間所有者同一性確認応答に自身の署名を付与し、
     前記端末管理サーバが備える前記所有者同一性確認応答部は、前記サーバ間所有者同一性確認応答に付与された前記端末管理サーバの署名の検証に成功した後に、前記所有者同一性確認応答を送信する
     ことを特徴とする請求項1~7の何れか1項に記載の所有者同一性確認システム。
  9.  端末と通信ネットワークを介して接続され、前記端末の所有者の本人確認情報を記憶部に記憶し、2つの前記端末の所有者が同一であることを確認する端末管理サーバであって、
     端末自身の所有者と端末自身の所有者の本人確認情報を記憶する端末管理サーバを示す管理元端末管理サーバとを識別可能な情報である所有者サーバ紐付情報を含んだ所有者同一性確認開始要求を受信した端末から、前記所有者同一性確認開始要求に含まれる所有者サーバ紐付情報を示す所有者同一性確認開始所有者サーバ紐付情報と、自身の所有者の所有者サーバ紐付情報を示す所有者同一性確認要求所有者サーバ紐付情報とを含んだ所有者同一性確認要求を受信すると、前記所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報と、前記所有者同一性確認要求に含まれる所有者同一性確認要求所有者サーバ紐付情報と、前記記憶部から取得した、前記所有者同一性確認要求所有者サーバ紐付情報で識別される所有者の本人確認情報とを含むサーバ間所有者同一性確認要求を、前記所有者同一性確認開始所有者サーバ紐付情報で識別される端末の管理元端末管理サーバを示す確認先端末管理サーバに送信するサーバ間所有者同一性確認要求部と、
     前記サーバ間所有者同一性確認要求を受信すると、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合し、同一の所有者か否かを判定して、判定結果を含むサーバ間所有者同一性確認応答を、前記サーバ間所有者同一性確認要求の送信元の端末管理サーバに送信するサーバ間所有者同一性確認応答部と、
     前記サーバ間所有者同一性確認応答を受信すると、前記サーバ間所有者同一性確認応答を所有者同一性確認応答として、前記所有者同一性確認要求の送信元の端末に送信する所有者同一性確認応答部とを備える
     ことを特徴とする端末管理サーバ。
  10.  端末と、前記端末の所有者の本人確認情報を記憶部に記憶する端末管理サーバとが、通信ネットワークを介して接続され、2つの前記端末の所有者が同一であることを確認する所有者同一性確認システムの所有者同一性確認方法であって、
     前記端末は、
     所有者同一性確認の対象である端末を示す確認対象端末に、端末自身の所有者と端末自身の所有者の本人確認情報を記憶する端末管理サーバを示す管理元端末管理サーバとを識別可能な情報である所有者サーバ紐付情報を含んだ所有者同一性確認開始要求を送信するステップと、
     前記所有者同一性確認開始要求を受信すると、前記所有者同一性確認開始要求に含まれる所有者サーバ紐付情報を示す所有者同一性確認開始所有者サーバ紐付情報と、自身の所有者の所有者サーバ紐付情報を示す所有者同一性確認要求所有者サーバ紐付情報とを含んだ所有者同一性確認要求を、自身の管理元端末管理サーバに送信するステップと、
     前記所有者同一性確認要求に対する応答である所有者同一性確認応答を自身の管理元端末管理サーバから受信するステップとを実行し、
     前記端末管理サーバは、
     前記端末から前記所有者同一性確認要求を受信すると、前記所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報と、前記所有者同一性確認要求に含まれる所有者同一性確認要求所有者サーバ紐付情報と、前記記憶部から取得した、前記所有者同一性確認要求所有者サーバ紐付情報で識別される所有者の本人確認情報とを含むサーバ間所有者同一性確認要求を、前記所有者同一性確認開始所有者サーバ紐付情報で識別される端末の管理元端末管理サーバを示す確認先端末管理サーバに送信するステップと、
     前記サーバ間所有者同一性確認要求を受信すると、前記サーバ間所有者同一性確認要求に含まれる所有者同一性確認開始所有者サーバ紐付情報で識別される所有者の本人確認情報を前記記憶部から取得して、前記サーバ間所有者同一性確認要求に含まれる本人確認情報と照合し、同一の所有者か否かを判定して、判定結果を含むサーバ間所有者同一性確認応答を、前記サーバ間所有者同一性確認要求の送信元の端末管理サーバに送信するステップと、
     前記サーバ間所有者同一性確認応答を受信すると、前記サーバ間所有者同一性確認応答を前記所有者同一性確認応答として、前記所有者同一性確認要求の送信元の端末に送信するステップとを実行する
     ことを特徴とする所有者同一性確認方法。
PCT/JP2019/004110 2018-02-09 2019-02-05 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法 WO2019156089A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US16/964,889 US11533186B2 (en) 2018-02-09 2019-02-05 Proprietor's identity confirmation system, terminal management server, and proprietor's identity confirmation method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018-022518 2018-02-09
JP2018022518A JP6676673B2 (ja) 2018-02-09 2018-02-09 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法

Publications (1)

Publication Number Publication Date
WO2019156089A1 true WO2019156089A1 (ja) 2019-08-15

Family

ID=67548100

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/004110 WO2019156089A1 (ja) 2018-02-09 2019-02-05 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法

Country Status (3)

Country Link
US (1) US11533186B2 (ja)
JP (1) JP6676673B2 (ja)
WO (1) WO2019156089A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220286301A1 (en) * 2019-08-01 2022-09-08 Nippon Telegraph And Telephone Corporation Owner identity confirmation system, terminal and owner identity confirmation method
US20220271948A1 (en) * 2019-08-01 2022-08-25 Nippon Telegraph And Telephone Corporation Owner identity confirmation system, certificate authority server and owner identity confirmation method
US20220272087A1 (en) * 2019-08-01 2022-08-25 Nippon Telegraph And Telephone Corporation Owner identity confirmation system and owner identity confirmation method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007110377A (ja) * 2005-10-13 2007-04-26 Hitachi Ltd ネットワークシステム
JP2008104030A (ja) * 2006-10-19 2008-05-01 Fujitsu Ltd 携帯端末装置、ゲートウェイ装置、遠隔制御プログラム、アクセス制限プログラム、およびデータ転送システム
JP2015095194A (ja) * 2013-11-13 2015-05-18 Kddi株式会社 端末管理装置及び方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030187990A1 (en) * 2002-03-29 2003-10-02 Knauerhase Robert C. Intelligent scheme for seamlessly maintaining communication sessions while switching devices
JP2009230649A (ja) * 2008-03-25 2009-10-08 Fujitsu Ltd 他端末または相手システムの正当性を確認する方法、電子手続支援システムのためのサーバ、およびコンピュータプログラム
US10262330B2 (en) * 2013-01-04 2019-04-16 PlaceIQ, Inc. Location-based analytic platform and methods
TWI658717B (zh) * 2013-10-01 2019-05-01 瑞士商伊文修股份有限公司 存取控制方法、存取控制系統及電腦可讀取儲存媒體
WO2015136142A1 (en) * 2014-03-12 2015-09-17 Nokia Technologies Oy Pairing of devices
US10460098B1 (en) * 2014-08-20 2019-10-29 Google Llc Linking devices using encrypted account identifiers
CN108604269A (zh) * 2015-07-28 2018-09-28 李泰玩 用于认证的装置和方法,以及应用于相同的计算机程序和记录介质
US20180375665A1 (en) * 2017-06-21 2018-12-27 Microsoft Technology Licensing, Llc Device provisioning

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007110377A (ja) * 2005-10-13 2007-04-26 Hitachi Ltd ネットワークシステム
JP2008104030A (ja) * 2006-10-19 2008-05-01 Fujitsu Ltd 携帯端末装置、ゲートウェイ装置、遠隔制御プログラム、アクセス制限プログラム、およびデータ転送システム
JP2015095194A (ja) * 2013-11-13 2015-05-18 Kddi株式会社 端末管理装置及び方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
OMORI, YOSHIHIKO ET AL.: "Inter-Device Digital Rights Sharing and Transfer Based on Device-Owner Verification Collaboratively Performed by ID Providers and User Devices", IEICE TECHNICAL REPORT, vol. 117, no. 459, 22 February 2018 (2018-02-22), pages 403 - 408 *

Also Published As

Publication number Publication date
US11533186B2 (en) 2022-12-20
US20210036871A1 (en) 2021-02-04
JP6676673B2 (ja) 2020-04-08
JP2019140540A (ja) 2019-08-22

Similar Documents

Publication Publication Date Title
US11777726B2 (en) Methods and systems for recovering data using dynamic passwords
US11082221B2 (en) Methods and systems for creating and recovering accounts using dynamic passwords
CN109067801B (zh) 一种身份认证方法、身份认证装置及计算机可读介质
CN112311735B (zh) 可信认证方法,网络设备、系统及存储介质
CN108696358B (zh) 数字证书的管理方法、装置、可读存储介质及服务终端
US11128604B2 (en) Anonymous communication system and method for subscribing to said communication system
CN108964924A (zh) 数字证书校验方法、装置、计算机设备和存储介质
CN113056741A (zh) 基于分布式账本的简档验证
WO2010082253A1 (ja) サーバ認証方法及びクライアント端末
JP2017225054A (ja) プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム
JPWO2005117336A1 (ja) 親子カード認証システム
JP7114078B2 (ja) 電子認証方法及びプログラム
US20230006840A1 (en) Methods and devices for automated digital certificate verification
WO2019156089A1 (ja) 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法
CN114666168B (zh) 去中心化身份凭证验证方法、装置,以及,电子设备
TW202217610A (zh) 鑑認系統及方法
JP2010086175A (ja) リモートアクセス管理システム及び方法
JP6533542B2 (ja) 秘密鍵複製システム、端末および秘密鍵複製方法
JPH1125045A (ja) アクセス制御方法とその装置及び属性証明書発行装置並びに機械読み取り可能な記録媒体
WO2014038034A1 (ja) 情報処理システム,情報処理方法,プログラム
EP3883204B1 (en) System and method for secure generation, exchange and management of a user identity data using a blockchain
KR101484744B1 (ko) 사용자 인증서의 개인키 유출 탐지 방법 및 시스템
CN117318956A (zh) 一种基于区块链的数据处理方法、设备以及可读存储介质

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19751857

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19751857

Country of ref document: EP

Kind code of ref document: A1