[go: up one dir, main page]

JP2004248184A - Partner authentication method / program / recording medium / system using certificate authority having a plurality of signature algorithms, certificate authority, user terminal - Google Patents

Partner authentication method / program / recording medium / system using certificate authority having a plurality of signature algorithms, certificate authority, user terminal Download PDF

Info

Publication number
JP2004248184A
JP2004248184A JP2003038267A JP2003038267A JP2004248184A JP 2004248184 A JP2004248184 A JP 2004248184A JP 2003038267 A JP2003038267 A JP 2003038267A JP 2003038267 A JP2003038267 A JP 2003038267A JP 2004248184 A JP2004248184 A JP 2004248184A
Authority
JP
Japan
Prior art keywords
signature
certificate
user terminal
algorithm
algorithms
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003038267A
Other languages
Japanese (ja)
Inventor
Naohiko Imaeda
直彦 今枝
Hiroshi Masamoto
廣志 政本
Takeshi Nagayoshi
剛 永吉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003038267A priority Critical patent/JP2004248184A/en
Publication of JP2004248184A publication Critical patent/JP2004248184A/en
Pending legal-status Critical Current

Links

Images

Abstract

【課題】利用者端末が申請ごとにCAの署名アルゴリズムを切り替え、異なる署名アルゴリズムにより署名された公開鍵証明書を所持する利用者端末間で証明書パスを構築できる方法を提供する。
【解決手段】利用者端末は、申請の際、希望署名アルゴリズム設定部2により、CAの署名アルゴリズムを設定する。CAは、希望署名アルゴリズム抽出部3により、利用者端末が設定した署名アルゴリズムを抽出し、対応CA署名鍵抽出部4により、この署名アルゴリズムに対応する署名鍵を抽出し、署名部5により署名を行う。また、CAは、署名アルゴリズム間相互証明書発行部1により、実装している署名アルゴリズムに対応する公開鍵を、実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、利用者端末は、これを用いて、証明書パス構築部6により、異なる署名アルゴリズムの証明書間のパスを構築する。
【選択図】 図1A method is provided in which a user terminal switches a CA signature algorithm for each application, and a certificate path can be constructed between user terminals having public key certificates signed by different signature algorithms.
A user terminal sets a CA signature algorithm by a desired signature algorithm setting unit when applying. The CA extracts the signature algorithm set by the user terminal by the desired signature algorithm extraction unit 3, extracts the signature key corresponding to the signature algorithm by the corresponding CA signature key extraction unit 4, and signs the signature by the signature unit 5. Do. In addition, the CA uses the cross-signature mutual certificate issuing unit 1 to authenticate the public key corresponding to the installed signature algorithm with the signature key corresponding to another mounted signature algorithm. The user terminal uses the certificate path construction unit 6 to construct a path between certificates having different signature algorithms.
[Selection diagram] Fig. 1

Description

【0001】
【発明の属する技術分野】
本発明は、認証局(Certification Authority、以下CAと略す)を利用した認証に関する。
【0002】
【従来の技術】
CAを利用した認証においては、署名鍵が漏洩した、または、署名アルゴリズムそのものが危殆化したという場合に備え、他の署名アルゴリズムを有する署名鍵への移行が速やかに行えるように、異なる署名アルゴリズムを有する複数の署名鍵をCAに実装することが提案されている。
【0003】
異なる署名アルゴリズムを有する複数の署名鍵を実装する方法としては、以下の方法が存在する。
【0004】
CAから利用者端末に返却する証明書またはサービス結果に付される署名に使用する署名鍵は、CAが実装している、異なる署名アルゴリズムを有する複数の署名鍵の中から、CAが一意に指定し、その署名鍵で署名を行う。
【0005】
しかし、この方法は以下の問題点を有する。
【0006】
Webブラウザなど、検証可能な署名アルゴリズムが限定されている環境(アプリケーションなど)において、CAが署名鍵として使用している鍵の署名アルゴリズムを利用者端末が検証できない場合が存在する。例えば、CAがDSA鍵を署名鍵としている場合、RSA公開鍵を登録申請してきた、RSAしか検証できない利用者端末に対して、DSA署名鍵で証明書に署名をしてしまうことになる。この場合、証明書を受け取った利用者端末は、検証を行うことができなくなる。
【0007】
そこで、上記問題点を解決するために、以下の方法が提案されている。
【0008】
異なる署名アルゴリズムを有する複数の署名鍵を実装するCAが、利用者端末とCAの署名アルゴリズムとの対応を管理することにより、利用者端末ごとにCAの署名アルゴリズムを切り替える(例えば、特許文献1参照)。
【0009】
【特許文献1】
特開2002−207426号公報
【0010】
【発明が解決しようとする課題】
しかし、特許文献1で開示されている、異なる署名アルゴリズムを有する複数の署名鍵を実装する方法は、以下の問題点を有する。
【0011】
利用者端末ごとにCAの署名アルゴリズムを切り替えるため、CAが、利用者端末とCAの署名アルゴリズムとの対応を管理する必要がある。このため、利用者端末がCAの署名アルゴリズムを変更して欲しい場合には、利用者端末は、なんらかの方法でCAに対して、CAで管理している、利用者端末とCAの署名アルゴリズムとの対応を変更してもらわなければならない。このため、利用者端末が申請ごとにCAの署名アルゴリズムを切り替えることは不可能である。
【0012】
また、CAは利用者端末ごとにCAの署名アルゴリズムを切り替えるため、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間では、証明書のパスを構築することができなくなる。このため、このような利用者端末間では、CAを用いた認証に失敗する。例えば、CAがRSAとDSAを実装している環境においては、RSA署名鍵とDSA署名鍵により公開鍵証明書を発行するが、CAのRSA公開鍵証明書とDSA公開鍵証明書の証明書パスが存在しないため、RSA署名鍵により発行された公開鍵証明書を所持する利用者端末とDSA鍵により発行された公開鍵証明書を所持する利用者端末間において、証明書パスを構築することができず、認証に失敗する。
【0013】
本発明の目的は、利用者端末が申請ごとに、CAの署名アルゴリズムを切り替えることができ、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間での証明書パスを構築できる方法を提供することにある。
【0014】
【課題を解決するための手段】
上記目的を達成するために、本発明は、CAが、利用者端末からの申請を受付けると、利用者端末が申請書に設定した署名アルゴリズムを申請書から抽出し、この署名アルゴリズムに対応するCAの署名鍵で、CAから利用者端末に返却する証明書またはサービス結果に署名を行う。また、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成する。
【0015】
【発明の実施の形態】
次に、本発明の実施の形態について、図1を参照して詳細に説明する。
【0016】
本発明の一実施形態の、異なる署名アルゴリズムを有する複数の署名鍵を実装したCAを利用した相手認証システムは、▲1▼利用者端末に設けられる希望署名アルゴリズム設定部2と、CAに設けられる希望署名アルゴリズム抽出部3と、対応CA署名鍵抽出部4と、署名部5により、CAが、利用者端末が申請書に設定した署名アルゴリズムを申請書から抽出し、この署名アルゴリズムに対応するCAの署名鍵で、CAから利用者端末に返却する証明書またはサービス結果に署名を行う。また、▲2▼CAに設けられる署名アルゴリズム間相互証明書発行部1と、利用者端末に設けられる証明書パス構築部6と、署名アルゴリズム間相互証明書取得部7により、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間での証明書パスを構築する。
【0017】
次に、本実施形態のシステムにおける処理を各部に分けて説明する。
【0018】
(1)署名アルゴリズム間相互証明書発行部1における処理
CAは、署名アルゴリズム間相互証明書発行部1用い、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、保有する署名アルゴリズムすべてについて本処理を繰り返す。
【0019】
(2)希望署名アルゴリズム設定部2における処理
利用者端末は、CAに対する各種サービス申請書作成を契機として、希望署名アルゴリズム設定部2を用い、申請書に署名アルゴリズムを設定する。
【0020】
(3)希望署名アルゴリズム抽出部3における処理
この申請書を受け取ったCAは、希望署名アルゴリズム抽出部3を用い、申請書から利用者端末が設定した署名アルゴリズムを抽出する。
【0021】
(4)対応CA署名鍵抽出部4における処理
CAは、対応CA署名鍵抽出部4を用い、希望署名アルゴリズム抽出部3により抽出した署名アルゴリズムに対応するCA署名鍵が存在するか否かをCA署名鍵管理ファイル(またはデータベース)8をもとに判定し、存在すれば、CAの署名鍵を抽出する。
【0022】
(5)署名部5における処理
CAは、対応CA署名鍵部4により抽出したCAの署名鍵により、署名部5を用い、利用者端末に返却する証明書またはサービス結果に署名を行う。
【0023】
(6)証明書パス構築部6と署名アルゴリズム間相互証明書取得部7における処理
利用者端末は、通信相手の認証を行う際、証明書パス構築部6を用いて証明書パス検証を実施する。証明書パス検証における失敗すると、署名アルゴリズム間相互証明書取得部7を用い、署名アルゴリズム間相互証明書発行部1により作成された署名アルゴリズム間相互証明書を、CAやディレクトリ(外部データベースなど)などから取得する。署名アルゴリズム間相互証明書と証明書パス構築部6を用いて再度証明書パス検証を行う。
【0024】
【実施例】
次に、本実施形態の実施例について、図2および図3を参照して詳細に説明する。
【0025】
本実施形態の一実施例は、CAがDSAを既に使用しており、新規にESIGN署名鍵を使用する。また、申請書に含まれる、利用者端末が指定する署名アルゴリズムとして、申請書のSignature要素のAlgorithm Identifier要素に格納された署名アルゴリズムを使用し、利用者端末は署名アルゴリズムにDSAを指定する場合を例にとって説明する。なお、本実施例では、申請書のSignature要素のAlgorithm Identifier要素を使用しているが、申請書に含まれる、利用者端末が指定した署名アルゴリズムとしては、申請書に別途そのための項目を設けるなど、さまざまな方法が考えられる。
【0026】
(1)署名アルゴリズム間相互証明書発行部1における処理
CAは、新規にESIGN公開鍵証明書を作成する際、署名アルゴリズム間相互証明書発行部1を用い、新規に登録しようとしているESIGN公開鍵を、このCAが既に実装している別の署名アルゴリズムであるDSA署名鍵で認証した署名アルゴリズム間相互証明書を作成する。また逆に、新規に登録しようとしているESIGN署名鍵により、このCAが既に実装している別の署名アルゴリズムであるDSA公開鍵を認証した署名アルゴリズム間相互証明書を作成する。
【0027】
(2)希望署名アルゴリズム設定部2における処理
利用者端末は、公開鍵登録申請や公開鍵証明書無効化申請などCAに対する各種サービス申請書作成を契機として、希望署名アルゴリズム設定部2を用い、申請書のSignature要素のAlgorithm Identifier要素の署名アルゴリズムとして、DSAの署名アルゴリズムを設定する。
【0028】
(3)希望署名アルゴリズム抽出部3における処理
CAは、利用者端末からの申請書の受信を契機として、希望署名アルゴリズム抽出部3を用い、受信した申請書内Signature要素のAlgorithm Identifier要素の署名アルゴリズムから利用者端末が指定した署名アルゴリズムであるDSAの署名アルゴリズムを抽出する。
【0029】
(4)対応CA署名鍵抽出部4における処理
CAは、希望署名アルゴリズム抽出部3により抽出した、利用者端末が指定した署名アルゴリズム(DSAの署名アルゴリズム)を入力として、対応CA署名鍵抽出部4を用い、利用者端末が指定した署名アルゴリズム(DSAの署名アルゴリズム)に対応するCAの署名鍵が存在するか否かをCA署名鍵管理ファイル(またはデータベース)8をもとに判定し、存在していた場合は、対応するCAの署名鍵を抽出する。本実施例では、DSA署名鍵が存在していることにより、DSA署名鍵が抽出される。
【0030】
なお、存在していなかった場合は、システム設定値により、以下の2つのどちらかが適用される。
(ア)デフォルトとして指定したCA署名鍵を抽出する。
(イ)対応するCA署名鍵を存在しないというエラーを返却する。
【0031】
(5)署名部5における処理
CAは、対応CA署名鍵抽出部4により抽出されたCAの署名鍵(DSA署名鍵)の入力を契機に、署名部5を用い、この署名鍵により利用者端末に返却する証明書またはサービス結果に署名を行う。
【0032】
(6)証明書パス構築部6と署名アルゴリズム間相互証明書取得部7における処理
このDSA署名鍵により署名された証明書を発行してもらった利用者端末は、同じCAのESIGN署名鍵により発行された公開鍵証明書を所持する利用者端末の認証を行う際、証明書パス構築部6が呼ばれ、通信相手のESIGN公開鍵証明書→CAのESIGN公開鍵証明書と証明書パスが構築されるが、CAのESIGN公開鍵証明書とCAのDSA公開鍵証明書との証明書パスをつなぐ署名アルゴリズム間相互証明書が、このDSA署名鍵により署名された証明書を発行してもらった利用者端末のもとに存在しないため、証明書パス構築はエラーとなる。この証明書パス構築における失敗を契機に、署名アルゴリズム間相互証明書取得部7を用い、署名アルゴリズム間相互証明書発行部1により作成された、ESIGN公開鍵に対してDSA署名鍵により認証された署名アルゴリズム間相互証明書をCAやディレクトリなどから取得する。その後、再度、この署名アルゴリズム間相互証明書と証明書パス構築部6を用いて再度証明書パス検証を行う。
【0033】
なお、認証局および利用者端末は、専用のハードウェアにより実現する以外に、その機能を実現するためのプログラムを、コンピュータ読取りが可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読込ませ、実行するものであってもよい。コンピュータ読取りが可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読取りが可能な記録媒体とは、インターネットを介してプログラムを送信する場合のように、短時間の間に、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバまたは端末となるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0034】
【発明の効果】
以上説明したように、本発明によれば、利用者端末が申請ごとに、CAの署名アルゴリズムを切り替えることが可能になる。さらに、異なるアルゴリズムで発行された公開鍵証明書を持つ利用者端末間での証明書パスを構築することが可能になる。
【図面の簡単な説明】
【図1】本発明の一実施形態の、異なる署名アルゴリズムを有する複数の署名鍵を実装した認証局を利用した相手認証システムの構成を示す図である。
【図2】CAが署名アルゴリズム間相互証明書を作成し、利用者端末がそれを用いて、証明書パスを再構築する処理を示すフローチャートである。
【図3】利用者端末が署名アルゴリズムを設定し、CAがこれを抽出して対応する署名鍵を抽出し、これを用いて署名を行う処理を示すフローチャートである。
【符号の説明】
1 署名アルゴリズム間相互証明書発行部
2 希望署名アルゴリズム設定部
3 希望署名アルゴリズム抽出部
4 対応CA署名鍵抽出部
5 署名部
6 証明書パス構築部
7 署名アルゴリズム間相互証明書取得部
8 CA署名鍵管理ファイルまたはデータベース[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to authentication using a certification authority (hereinafter abbreviated as CA).
[0002]
[Prior art]
In the case of authentication using CA, a different signature algorithm is used so that a transition to a signature key having another signature algorithm can be performed promptly in case the signature key is leaked or the signature algorithm itself is compromised. It has been proposed to implement a plurality of signing keys in CA.
[0003]
The following methods exist as methods for implementing a plurality of signature keys having different signature algorithms.
[0004]
The signature key used to sign the certificate returned to the user terminal from the CA or the service result is uniquely specified by the CA from among multiple signature keys implemented by the CA and having different signature algorithms. Then, a signature is performed using the signature key.
[0005]
However, this method has the following problems.
[0006]
In an environment (application or the like) where a verifiable signature algorithm is limited, such as a Web browser, there is a case where a user terminal cannot verify a signature algorithm of a key used as a signature key by a CA. For example, when the CA uses a DSA key as a signature key, a user who has applied for registration of an RSA public key and who can verify only the RSA will sign the certificate with the DSA signature key. In this case, the user terminal that has received the certificate cannot perform the verification.
[0007]
Then, in order to solve the above problems, the following methods have been proposed.
[0008]
A CA implementing a plurality of signature keys having different signature algorithms switches the CA's signature algorithm for each user terminal by managing the correspondence between the user terminal and the CA's signature algorithm (for example, see Patent Document 1). ).
[0009]
[Patent Document 1]
Japanese Patent Application Laid-Open No. 2002-207426
[Problems to be solved by the invention]
However, the method of implementing a plurality of signature keys having different signature algorithms disclosed in Patent Document 1 has the following problems.
[0011]
Since the CA signature algorithm is switched for each user terminal, the CA needs to manage the correspondence between the user terminal and the CA signature algorithm. Therefore, if the user terminal wants the CA to change the signature algorithm of the CA, the user terminal instructs the CA to use any method for the communication between the user terminal and the signature algorithm of the CA managed by the CA. You have to change the response. Therefore, it is impossible for the user terminal to switch the CA signature algorithm for each application.
[0012]
Further, since the CA switches the signature algorithm of the CA for each user terminal, a certificate path cannot be constructed between user terminals having public key certificates issued by different signature algorithms. Therefore, authentication using CA fails between such user terminals. For example, in an environment in which a CA implements RSA and DSA, a public key certificate is issued using an RSA signature key and a DSA signature key. Does not exist, a certification path can be constructed between a user terminal having a public key certificate issued with an RSA signature key and a user terminal having a public key certificate issued with a DSA key. Authentication fails.
[0013]
An object of the present invention is to allow a user terminal to switch a CA signature algorithm for each application, and to construct a certification path between user terminals having public key certificates issued by different signature algorithms. It is to provide a method.
[0014]
[Means for Solving the Problems]
In order to achieve the above object, according to the present invention, when a CA receives an application from a user terminal, the CA extracts a signature algorithm set in the application form from the application form, and extracts a CA corresponding to the signature algorithm. Signing a certificate or service result returned from the CA to the user terminal with the signature key of Further, a mutual certificate between signature algorithms is created by authenticating a public key corresponding to a signature algorithm implemented by the CA with a signature key corresponding to another signature algorithm implemented by the CA.
[0015]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, an embodiment of the present invention will be described in detail with reference to FIG.
[0016]
A partner authentication system using a CA in which a plurality of signature keys having different signature algorithms are mounted according to an embodiment of the present invention includes: (1) a desired signature algorithm setting unit 2 provided in a user terminal; The CA extracts the signature algorithm set in the application form by the user terminal from the application form by the desired signature algorithm extraction section 3, the corresponding CA signature key extraction section 4, and the signature section 5, and executes the CA corresponding to the signature algorithm. Signing a certificate or service result returned from the CA to the user terminal with the signature key of (2) The CA is implemented by the inter-signature algorithm mutual certificate issuing unit 1 provided in the CA, the certification path construction unit 6 provided in the user terminal, and the inter-signature algorithm mutual certificate acquisition unit 7. Create a mutual certificate between signature algorithms that authenticates the public key corresponding to one signature algorithm with the signature key corresponding to another signature algorithm implemented by the CA, and certifies public key certificates issued by different signature algorithms. Build a certification path between owned user terminals.
[0017]
Next, processing in the system of the present embodiment will be described separately for each unit.
[0018]
(1) The processing CA in the inter-signature algorithm mutual certificate issuance unit 1 uses the inter-signature algorithm mutual certificate issuance unit 1, and converts the public key corresponding to the signature algorithm implemented by the CA into another A mutual certificate between signature algorithms authenticated with a signature key corresponding to the signature algorithm is created, and this processing is repeated for all the signature algorithms held.
[0019]
(2) The processing user terminal in the desired signature algorithm setting unit 2 sets the signature algorithm in the application using the desired signature algorithm setting unit 2 in response to creation of various service applications for CA.
[0020]
(3) Processing in Desired Signature Algorithm Extraction Unit 3 The CA receiving this application extracts the signature algorithm set by the user terminal from the application using the desired signature algorithm extraction unit 3.
[0021]
(4) The processing CA in the corresponding CA signature key extraction unit 4 uses the corresponding CA signature key extraction unit 4 to determine whether a CA signature key corresponding to the signature algorithm extracted by the desired signature algorithm extraction unit 3 exists. The determination is made based on the signature key management file (or database) 8, and if it is present, the CA signature key is extracted.
[0022]
(5) The processing CA in the signature unit 5 uses the signature key of the CA extracted by the corresponding CA signature key unit 4 to sign the certificate or service result returned to the user terminal using the signature unit 5.
[0023]
(6) The processing user terminal in the certification path construction unit 6 and the inter-signature algorithm mutual certificate acquisition unit 7 performs certification path verification using the certification path construction unit 6 when authenticating a communication partner. . If the certification path verification fails, the inter-signature algorithm mutual certificate obtaining unit 7 is used to transfer the inter-signature algorithm mutual certificate created by the inter-signature algorithm mutual certificate issuing unit 1 to a CA or a directory (such as an external database). To get from. The certification path verification is performed again using the mutual certification between the signature algorithms and the certification path construction unit 6.
[0024]
【Example】
Next, an example of the present embodiment will be described in detail with reference to FIGS.
[0025]
In one example of the present embodiment, the CA already uses the DSA and newly uses the ESIGN signature key. As a signature algorithm specified by the user terminal included in the application, a signature algorithm stored in the Algorithm Identifier element of the Signature element of the application is used, and the user terminal specifies DSA as the signature algorithm. An example will be described. In the present embodiment, the Algorithm Identifier element of the Signature element of the application is used. However, as a signature algorithm specified by the user terminal included in the application, an item for the signature is separately provided in the application. There are various ways.
[0026]
(1) The process CA in the inter-signature algorithm mutual certificate issuing unit 1 uses the inter-signature algorithm mutual certificate issuing unit 1 to newly create an ESIGN public key certificate when creating a new ESIGN public key certificate. Is created using a DSA signature key, which is another signature algorithm already implemented by this CA. Conversely, a cross-signature-algorithm inter-certificate certificate that authenticates a DSA public key, which is another signature algorithm already implemented by the CA, is created using the ESIGN signature key to be newly registered.
[0027]
(2) The processing user terminal in the desired signature algorithm setting unit 2 uses the desired signature algorithm setting unit 2 to generate an application using the desired signature algorithm setting unit upon creation of various service applications for the CA, such as a public key registration application and a public key certificate invalidation application. The DSA signature algorithm is set as the signature algorithm of the Algorithm Identifier element of the Signature element of the document.
[0028]
(3) The processing CA in the desired signature algorithm extraction unit 3 uses the desired signature algorithm extraction unit 3 in response to the reception of the application form from the user terminal, and uses the desired signature algorithm extraction unit 3 to execute the signature algorithm of the Algorithm Identifier element of the received Signature element in the application form , A DSA signature algorithm which is a signature algorithm designated by the user terminal is extracted.
[0029]
(4) The processing CA in the corresponding CA signature key extraction unit 4 receives the signature algorithm (DSA signature algorithm) designated by the user terminal extracted by the desired signature algorithm extraction unit 3 and inputs the corresponding CA signature key extraction unit 4 Is determined based on the CA signature key management file (or database) 8 to determine whether a CA signature key corresponding to the signature algorithm (DSA signature algorithm) specified by the user terminal exists. If so, the corresponding CA signature key is extracted. In this embodiment, the presence of the DSA signature key allows the DSA signature key to be extracted.
[0030]
If not, one of the following two is applied depending on the system setting value.
(A) Extract the CA signature key specified as the default.
(B) Return an error that the corresponding CA signature key does not exist.
[0031]
(5) The processing CA in the signature unit 5 uses the signature unit 5 in response to the input of the CA signature key (DSA signature key) extracted by the corresponding CA signature key extraction unit 4, and uses the signature key to generate a user terminal. Sign the certificate or service result to be returned to.
[0032]
(6) Processing in the certification path construction unit 6 and the mutual authentication between signature algorithms acquisition unit 7 The user terminal that has been issued a certificate signed with this DSA signature key is issued with the ESIGN signature key of the same CA. When authenticating the user terminal having the public key certificate obtained, the certification path construction unit 6 is called, and the ESIGN public key certificate of the communication partner → the ESIGN public key certificate of the CA and the certification path are constructed. However, a cross-signature algorithm cross-certificate linking the certification path between the CA's ESIGN public key certificate and the CA's DSA public key certificate was issued a certificate signed with this DSA signature key. Since it does not exist under the user terminal, certification path construction results in an error. With the failure in the certification path construction, the inter-signature algorithm mutual certificate acquisition unit 7 was used to authenticate the ESIGN public key created by the inter-signature algorithm mutual certificate issuing unit 1 with the DSA signature key. A mutual certificate between signature algorithms is obtained from a CA or a directory. Thereafter, the certification path verification is performed again using the mutual certification between the signature algorithms and the certification path construction unit 6 again.
[0033]
In addition, the certificate authority and the user terminal can record the program for realizing the function in a computer-readable recording medium in addition to the realization by the dedicated hardware, and store the program in the recording medium. May be read into a computer system and executed. The computer-readable recording medium refers to a recording medium such as a floppy disk, a magneto-optical disk, a CD-ROM, or a storage device such as a hard disk device built in a computer system. Further, a computer-readable recording medium is a medium (transmission medium or transmission wave) that dynamically holds a program for a short time, such as a case where a program is transmitted via the Internet, It also includes a memory that holds a program for a certain period of time, such as a volatile memory in a computer system serving as a server or a terminal.
[0034]
【The invention's effect】
As described above, according to the present invention, the user terminal can switch the CA signature algorithm for each application. Further, it is possible to construct a certification path between user terminals having public key certificates issued by different algorithms.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a partner authentication system using a certificate authority equipped with a plurality of signature keys having different signature algorithms according to an embodiment of the present invention.
FIG. 2 is a flowchart showing a process in which a CA creates a mutual certificate between signature algorithms, and a user terminal uses the certificate to reconstruct a certification path.
FIG. 3 is a flowchart showing a process in which a user terminal sets a signature algorithm, a CA extracts the signature algorithm, extracts a corresponding signature key, and performs a signature using the key.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Mutual certificate issuing part between signature algorithms 2 Desired signature algorithm setting part 3 Desired signature algorithm extraction part 4 Corresponding CA signature key extraction part 5 Signature part 6 Certificate path construction part 7 Inter-signature mutual certificate acquisition part 8 CA signature key Management file or database

Claims (17)

複数の署名アルゴリズムを有する認証局を利用した相手認証方法において、
利用者端末が、認証局への申請において署名アルゴリズムを指定するステップと、
前記認証局が、前記利用者端末からの前記申請に指定された署名アルゴリズムを抽出するステップと、
前記認証局が、抽出した署名アルゴリズムに対応する署名鍵を抽出するステップと、
前記認証局が、該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行うステップを有することを特徴とする方法。In a partner authentication method using a certificate authority having a plurality of signature algorithms,
The user terminal designating a signature algorithm in the application to the certificate authority;
The certificate authority, extracting the signature algorithm specified in the application from the user terminal,
The certificate authority extracting a signature key corresponding to the extracted signature algorithm;
The method comprising the step of the certificate authority signing a certificate or service result to the user terminal using the signature key. 複数の署名アルゴリズムを有する認証局を利用した相手認証方法において、
認証局が、該認証局が有する署名アルゴリズムに対応する公開鍵を、該認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成するステップと、
前記利用者端末が、前記署名アルゴリズム間相互証明書を取得するステップと、
前記利用者端末が、前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築するステップを有することを特徴とする方法。In a partner authentication method using a certificate authority having a plurality of signature algorithms,
A certificate authority creates a mutual certificate between signature algorithms authenticated by a public key corresponding to a signature algorithm of the certificate authority with a signature key of the certificate authority corresponding to a signature algorithm different from the signature algorithm. Steps and
The user terminal acquiring the mutual certificate between signature algorithms,
The method as claimed in claim 1, further comprising the step of the user terminal constructing a certification path between different signature algorithms using the mutual certificate between signature algorithms. 複数の署名アルゴリズムを有する認証局に、
利用者端末からの申請に指定された署名アルゴリズムを抽出するステップと、
抽出した署名アルゴリズムに対応する署名鍵を抽出するステップと、
該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行うステップを実行させるプログラム。To a certificate authority with multiple signature algorithms,
Extracting the signature algorithm specified in the application from the user terminal;
Extracting a signature key corresponding to the extracted signature algorithm;
A program for executing a step of signing a certificate or a service result for the user terminal using the signature key. 複数の署名アルゴリズムを有する認証局に、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成するステップを実行させるプログラム。To a certificate authority with multiple signature algorithms,
Executing a step of creating a mutual certificate between signature algorithms in which a public key corresponding to a signature algorithm of the certificate authority is authenticated with a signature key of the certificate authority corresponding to a signature algorithm different from the signature algorithm. program. 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末に、
認証局への申請において署名アルゴリズムを指定するステップを実行させるプログラム。To a user terminal receiving a service from a certificate authority having a plurality of signature algorithms,
A program that executes the step of specifying a signature algorithm when applying to a certificate authority. 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末に、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を取得するステップと、
前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築するステップを実行させるプログラム。To a user terminal receiving a service from a certificate authority having a plurality of signature algorithms,
Obtaining a public key corresponding to a signature algorithm of the certificate authority, the certificate authority has a cross-certificate between signature algorithms authenticated with a signature key corresponding to a signature algorithm different from the signature algorithm,
A program for executing a step of constructing a certification path between different signature algorithms using the mutual certificate between signature algorithms. 請求項3に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。A computer-readable recording medium on which the program according to claim 3 is recorded. 請求項4に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。A computer-readable recording medium on which the program according to claim 4 is recorded. 請求項5に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。A computer-readable recording medium on which the program according to claim 5 is recorded. 請求項6に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。A computer-readable recording medium on which the program according to claim 6 is recorded. 複数の署名アルゴリズムを有する認証局において、
利用者端末からの申請に指定された署名アルゴリズムを抽出する手段と、
抽出した署名アルゴリズムに対応する署名鍵を抽出する手段と、
該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行う手段を有することを特徴とする認証局。In a certificate authority having a plurality of signature algorithms,
Means for extracting the signature algorithm specified in the application from the user terminal;
Means for extracting a signature key corresponding to the extracted signature algorithm;
A certificate authority comprising means for signing a certificate or service result for the user terminal using the signature key. 複数の署名アルゴリズムを有する認証局において、
当該認証局が有する署名アルゴリズムに対応する公開鍵を、当該認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成する手段を有することを特徴とする認証局。In a certificate authority having a plurality of signature algorithms,
A means for creating a mutual certificate between signature algorithms, in which a public key corresponding to a signature algorithm of the certification authority is authenticated by a signature key of the certification authority corresponding to a signature algorithm different from the signature algorithm. Certificate authority. 複数の署名アルゴリズムを有する認証局において、
利用者端末からの申請に指定された署名アルゴリズムを抽出する手段と、
抽出した署名アルゴリズムに対応する署名鍵を抽出する手段と、
該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行う手段と、
当該認証局が有する署名アルゴリズムに対応する公開鍵を、当該認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成する手段を有することを特徴とする認証局。In a certificate authority having a plurality of signature algorithms,
Means for extracting the signature algorithm specified in the application from the user terminal;
Means for extracting a signature key corresponding to the extracted signature algorithm;
Means for signing a certificate or service result to the user terminal using the signature key;
A means for creating a mutual certificate between signature algorithms, in which a public key corresponding to a signature algorithm of the certification authority is authenticated by a signature key of the certification authority corresponding to a signature algorithm different from the signature algorithm. Certificate authority. 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末において、
前記認証局への申請において署名アルゴリズムを指定する手段を有することを特徴とする利用者端末。In a user terminal receiving a service from a certificate authority having a plurality of signature algorithms,
A user terminal having means for designating a signature algorithm when applying to the certificate authority. 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末において、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を取得する手段と、
前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築する手段を有することを特徴とする利用者端末。In a user terminal receiving a service from a certificate authority having a plurality of signature algorithms,
Means for obtaining a cross-certificate between signature algorithms authenticated by a signature key corresponding to a signature algorithm corresponding to a signature algorithm different from the public key corresponding to a signature algorithm possessed by the certification authority, and having the certification authority.
A user terminal having means for constructing a certification path between different signature algorithms using the mutual certificate between signature algorithms. 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末において、
前記認証局への申請において署名アルゴリズムを指定する手段と、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を取得する手段と、
前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築する手段を有することを特徴とする利用者端末。In a user terminal receiving a service from a certificate authority having a plurality of signature algorithms,
Means for specifying a signature algorithm in the application to the certificate authority,
Means for obtaining a cross-certificate between signature algorithms authenticated by a signature key corresponding to a signature algorithm corresponding to a signature algorithm different from the public key corresponding to a signature algorithm possessed by the certification authority, and having the certification authority.
A user terminal having means for constructing a certification path between different signature algorithms using the mutual certificate between signature algorithms. 複数の署名アルゴリズムを有する認証局を利用した相手認証システムにおいて、
請求項11から13のいずれか1項に記載の認証局と、
請求項14から16のいずれか1項に記載の利用者端末を有することを特徴とするシステム。In a partner authentication system using a certificate authority having a plurality of signature algorithms,
A certificate authority according to any one of claims 11 to 13,
A system comprising the user terminal according to any one of claims 14 to 16.
JP2003038267A 2003-02-17 2003-02-17 Partner authentication method / program / recording medium / system using certificate authority having a plurality of signature algorithms, certificate authority, user terminal Pending JP2004248184A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003038267A JP2004248184A (en) 2003-02-17 2003-02-17 Partner authentication method / program / recording medium / system using certificate authority having a plurality of signature algorithms, certificate authority, user terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003038267A JP2004248184A (en) 2003-02-17 2003-02-17 Partner authentication method / program / recording medium / system using certificate authority having a plurality of signature algorithms, certificate authority, user terminal

Publications (1)

Publication Number Publication Date
JP2004248184A true JP2004248184A (en) 2004-09-02

Family

ID=33022843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003038267A Pending JP2004248184A (en) 2003-02-17 2003-02-17 Partner authentication method / program / recording medium / system using certificate authority having a plurality of signature algorithms, certificate authority, user terminal

Country Status (1)

Country Link
JP (1) JP2004248184A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009176291A (en) * 2007-02-23 2009-08-06 Panasonic Corp Content provider terminal device, certificate authority terminal device, content providing method, and program authentication method
JP2011193416A (en) * 2010-03-17 2011-09-29 Hitachi Ltd Method of verifying certificate, verification server, program, and storage medium

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009176291A (en) * 2007-02-23 2009-08-06 Panasonic Corp Content provider terminal device, certificate authority terminal device, content providing method, and program authentication method
JP2011193416A (en) * 2010-03-17 2011-09-29 Hitachi Ltd Method of verifying certificate, verification server, program, and storage medium

Similar Documents

Publication Publication Date Title
US11824995B2 (en) Bridging digital identity validation and verification with the FIDO authentication framework
CN112311530B (en) Block chain-based alliance trust distributed identity certificate management authentication method
Huang et al. A generic framework for three-factor authentication: Preserving security and privacy in distributed systems
US8627424B1 (en) Device bound OTP generation
CN111625869B (en) Data processing method and data processing device
CN110572258B (en) A cloud cryptographic computing platform and computing service method
US20040010697A1 (en) Biometric authentication system and method
US10771451B2 (en) Mobile authentication and registration for digital certificates
CN102823217B (en) Certificate agency
CN113824563A (en) Cross-domain identity authentication method based on block chain certificate
CN101567780A (en) Key management and recovery method for encrypted digital certificate
CN116112242B (en) Unified safety authentication method and system for power regulation and control system
JP2006011768A (en) Authentication system and apparatus
CN105391713A (en) Biological-certificate-based identity authentication method
Chalaemwongwan et al. A practical national digital ID framework on blockchain (NIDBC)
Odelu et al. A secure and efficient ECC‐based user anonymity preserving single sign‐on scheme for distributed computer networks
JP2019036781A (en) Authentication system and authentication method
WO2001043344A1 (en) System and method for generating and managing attribute certificates
CN116032613A (en) Blockchain digital credential exchange method, file storage access method and system
WO2022016842A1 (en) Method for concealing user information in decentralized identity system, and computer-readable medium
CN111064573A (en) Digital certificate generation method, authentication method and electronic equipment
Pavithran et al. Towards creating public key authentication for IoT blockchain
CN111355588A (en) Wearable device double-factor authentication method and system based on PUF and fingerprint characteristics
KR20070037019A (en) Device and method for performing security function using smart card
Resende et al. PUF-based mutual multifactor entity and transaction authentication for secure banking

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050125

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070808

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071005

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071031