JP2004248184A - 複数の署名アルゴリズムを有する認証局を利用した相手認証方法/プログラム/記録媒体/システム、認証局、利用者端末 - Google Patents
複数の署名アルゴリズムを有する認証局を利用した相手認証方法/プログラム/記録媒体/システム、認証局、利用者端末 Download PDFInfo
- Publication number
- JP2004248184A JP2004248184A JP2003038267A JP2003038267A JP2004248184A JP 2004248184 A JP2004248184 A JP 2004248184A JP 2003038267 A JP2003038267 A JP 2003038267A JP 2003038267 A JP2003038267 A JP 2003038267A JP 2004248184 A JP2004248184 A JP 2004248184A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- certificate
- user terminal
- algorithm
- algorithms
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】利用者端末が申請ごとにCAの署名アルゴリズムを切り替え、異なる署名アルゴリズムにより署名された公開鍵証明書を所持する利用者端末間で証明書パスを構築できる方法を提供する。
【解決手段】利用者端末は、申請の際、希望署名アルゴリズム設定部2により、CAの署名アルゴリズムを設定する。CAは、希望署名アルゴリズム抽出部3により、利用者端末が設定した署名アルゴリズムを抽出し、対応CA署名鍵抽出部4により、この署名アルゴリズムに対応する署名鍵を抽出し、署名部5により署名を行う。また、CAは、署名アルゴリズム間相互証明書発行部1により、実装している署名アルゴリズムに対応する公開鍵を、実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、利用者端末は、これを用いて、証明書パス構築部6により、異なる署名アルゴリズムの証明書間のパスを構築する。
【選択図】 図1
【解決手段】利用者端末は、申請の際、希望署名アルゴリズム設定部2により、CAの署名アルゴリズムを設定する。CAは、希望署名アルゴリズム抽出部3により、利用者端末が設定した署名アルゴリズムを抽出し、対応CA署名鍵抽出部4により、この署名アルゴリズムに対応する署名鍵を抽出し、署名部5により署名を行う。また、CAは、署名アルゴリズム間相互証明書発行部1により、実装している署名アルゴリズムに対応する公開鍵を、実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、利用者端末は、これを用いて、証明書パス構築部6により、異なる署名アルゴリズムの証明書間のパスを構築する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、認証局(Certification Authority、以下CAと略す)を利用した認証に関する。
【0002】
【従来の技術】
CAを利用した認証においては、署名鍵が漏洩した、または、署名アルゴリズムそのものが危殆化したという場合に備え、他の署名アルゴリズムを有する署名鍵への移行が速やかに行えるように、異なる署名アルゴリズムを有する複数の署名鍵をCAに実装することが提案されている。
【0003】
異なる署名アルゴリズムを有する複数の署名鍵を実装する方法としては、以下の方法が存在する。
【0004】
CAから利用者端末に返却する証明書またはサービス結果に付される署名に使用する署名鍵は、CAが実装している、異なる署名アルゴリズムを有する複数の署名鍵の中から、CAが一意に指定し、その署名鍵で署名を行う。
【0005】
しかし、この方法は以下の問題点を有する。
【0006】
Webブラウザなど、検証可能な署名アルゴリズムが限定されている環境(アプリケーションなど)において、CAが署名鍵として使用している鍵の署名アルゴリズムを利用者端末が検証できない場合が存在する。例えば、CAがDSA鍵を署名鍵としている場合、RSA公開鍵を登録申請してきた、RSAしか検証できない利用者端末に対して、DSA署名鍵で証明書に署名をしてしまうことになる。この場合、証明書を受け取った利用者端末は、検証を行うことができなくなる。
【0007】
そこで、上記問題点を解決するために、以下の方法が提案されている。
【0008】
異なる署名アルゴリズムを有する複数の署名鍵を実装するCAが、利用者端末とCAの署名アルゴリズムとの対応を管理することにより、利用者端末ごとにCAの署名アルゴリズムを切り替える(例えば、特許文献1参照)。
【0009】
【特許文献1】
特開2002−207426号公報
【0010】
【発明が解決しようとする課題】
しかし、特許文献1で開示されている、異なる署名アルゴリズムを有する複数の署名鍵を実装する方法は、以下の問題点を有する。
【0011】
利用者端末ごとにCAの署名アルゴリズムを切り替えるため、CAが、利用者端末とCAの署名アルゴリズムとの対応を管理する必要がある。このため、利用者端末がCAの署名アルゴリズムを変更して欲しい場合には、利用者端末は、なんらかの方法でCAに対して、CAで管理している、利用者端末とCAの署名アルゴリズムとの対応を変更してもらわなければならない。このため、利用者端末が申請ごとにCAの署名アルゴリズムを切り替えることは不可能である。
【0012】
また、CAは利用者端末ごとにCAの署名アルゴリズムを切り替えるため、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間では、証明書のパスを構築することができなくなる。このため、このような利用者端末間では、CAを用いた認証に失敗する。例えば、CAがRSAとDSAを実装している環境においては、RSA署名鍵とDSA署名鍵により公開鍵証明書を発行するが、CAのRSA公開鍵証明書とDSA公開鍵証明書の証明書パスが存在しないため、RSA署名鍵により発行された公開鍵証明書を所持する利用者端末とDSA鍵により発行された公開鍵証明書を所持する利用者端末間において、証明書パスを構築することができず、認証に失敗する。
【0013】
本発明の目的は、利用者端末が申請ごとに、CAの署名アルゴリズムを切り替えることができ、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間での証明書パスを構築できる方法を提供することにある。
【0014】
【課題を解決するための手段】
上記目的を達成するために、本発明は、CAが、利用者端末からの申請を受付けると、利用者端末が申請書に設定した署名アルゴリズムを申請書から抽出し、この署名アルゴリズムに対応するCAの署名鍵で、CAから利用者端末に返却する証明書またはサービス結果に署名を行う。また、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成する。
【0015】
【発明の実施の形態】
次に、本発明の実施の形態について、図1を参照して詳細に説明する。
【0016】
本発明の一実施形態の、異なる署名アルゴリズムを有する複数の署名鍵を実装したCAを利用した相手認証システムは、▲1▼利用者端末に設けられる希望署名アルゴリズム設定部2と、CAに設けられる希望署名アルゴリズム抽出部3と、対応CA署名鍵抽出部4と、署名部5により、CAが、利用者端末が申請書に設定した署名アルゴリズムを申請書から抽出し、この署名アルゴリズムに対応するCAの署名鍵で、CAから利用者端末に返却する証明書またはサービス結果に署名を行う。また、▲2▼CAに設けられる署名アルゴリズム間相互証明書発行部1と、利用者端末に設けられる証明書パス構築部6と、署名アルゴリズム間相互証明書取得部7により、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間での証明書パスを構築する。
【0017】
次に、本実施形態のシステムにおける処理を各部に分けて説明する。
【0018】
(1)署名アルゴリズム間相互証明書発行部1における処理
CAは、署名アルゴリズム間相互証明書発行部1用い、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、保有する署名アルゴリズムすべてについて本処理を繰り返す。
【0019】
(2)希望署名アルゴリズム設定部2における処理
利用者端末は、CAに対する各種サービス申請書作成を契機として、希望署名アルゴリズム設定部2を用い、申請書に署名アルゴリズムを設定する。
【0020】
(3)希望署名アルゴリズム抽出部3における処理
この申請書を受け取ったCAは、希望署名アルゴリズム抽出部3を用い、申請書から利用者端末が設定した署名アルゴリズムを抽出する。
【0021】
(4)対応CA署名鍵抽出部4における処理
CAは、対応CA署名鍵抽出部4を用い、希望署名アルゴリズム抽出部3により抽出した署名アルゴリズムに対応するCA署名鍵が存在するか否かをCA署名鍵管理ファイル(またはデータベース)8をもとに判定し、存在すれば、CAの署名鍵を抽出する。
【0022】
(5)署名部5における処理
CAは、対応CA署名鍵部4により抽出したCAの署名鍵により、署名部5を用い、利用者端末に返却する証明書またはサービス結果に署名を行う。
【0023】
(6)証明書パス構築部6と署名アルゴリズム間相互証明書取得部7における処理
利用者端末は、通信相手の認証を行う際、証明書パス構築部6を用いて証明書パス検証を実施する。証明書パス検証における失敗すると、署名アルゴリズム間相互証明書取得部7を用い、署名アルゴリズム間相互証明書発行部1により作成された署名アルゴリズム間相互証明書を、CAやディレクトリ(外部データベースなど)などから取得する。署名アルゴリズム間相互証明書と証明書パス構築部6を用いて再度証明書パス検証を行う。
【0024】
【実施例】
次に、本実施形態の実施例について、図2および図3を参照して詳細に説明する。
【0025】
本実施形態の一実施例は、CAがDSAを既に使用しており、新規にESIGN署名鍵を使用する。また、申請書に含まれる、利用者端末が指定する署名アルゴリズムとして、申請書のSignature要素のAlgorithm Identifier要素に格納された署名アルゴリズムを使用し、利用者端末は署名アルゴリズムにDSAを指定する場合を例にとって説明する。なお、本実施例では、申請書のSignature要素のAlgorithm Identifier要素を使用しているが、申請書に含まれる、利用者端末が指定した署名アルゴリズムとしては、申請書に別途そのための項目を設けるなど、さまざまな方法が考えられる。
【0026】
(1)署名アルゴリズム間相互証明書発行部1における処理
CAは、新規にESIGN公開鍵証明書を作成する際、署名アルゴリズム間相互証明書発行部1を用い、新規に登録しようとしているESIGN公開鍵を、このCAが既に実装している別の署名アルゴリズムであるDSA署名鍵で認証した署名アルゴリズム間相互証明書を作成する。また逆に、新規に登録しようとしているESIGN署名鍵により、このCAが既に実装している別の署名アルゴリズムであるDSA公開鍵を認証した署名アルゴリズム間相互証明書を作成する。
【0027】
(2)希望署名アルゴリズム設定部2における処理
利用者端末は、公開鍵登録申請や公開鍵証明書無効化申請などCAに対する各種サービス申請書作成を契機として、希望署名アルゴリズム設定部2を用い、申請書のSignature要素のAlgorithm Identifier要素の署名アルゴリズムとして、DSAの署名アルゴリズムを設定する。
【0028】
(3)希望署名アルゴリズム抽出部3における処理
CAは、利用者端末からの申請書の受信を契機として、希望署名アルゴリズム抽出部3を用い、受信した申請書内Signature要素のAlgorithm Identifier要素の署名アルゴリズムから利用者端末が指定した署名アルゴリズムであるDSAの署名アルゴリズムを抽出する。
【0029】
(4)対応CA署名鍵抽出部4における処理
CAは、希望署名アルゴリズム抽出部3により抽出した、利用者端末が指定した署名アルゴリズム(DSAの署名アルゴリズム)を入力として、対応CA署名鍵抽出部4を用い、利用者端末が指定した署名アルゴリズム(DSAの署名アルゴリズム)に対応するCAの署名鍵が存在するか否かをCA署名鍵管理ファイル(またはデータベース)8をもとに判定し、存在していた場合は、対応するCAの署名鍵を抽出する。本実施例では、DSA署名鍵が存在していることにより、DSA署名鍵が抽出される。
【0030】
なお、存在していなかった場合は、システム設定値により、以下の2つのどちらかが適用される。
(ア)デフォルトとして指定したCA署名鍵を抽出する。
(イ)対応するCA署名鍵を存在しないというエラーを返却する。
【0031】
(5)署名部5における処理
CAは、対応CA署名鍵抽出部4により抽出されたCAの署名鍵(DSA署名鍵)の入力を契機に、署名部5を用い、この署名鍵により利用者端末に返却する証明書またはサービス結果に署名を行う。
【0032】
(6)証明書パス構築部6と署名アルゴリズム間相互証明書取得部7における処理
このDSA署名鍵により署名された証明書を発行してもらった利用者端末は、同じCAのESIGN署名鍵により発行された公開鍵証明書を所持する利用者端末の認証を行う際、証明書パス構築部6が呼ばれ、通信相手のESIGN公開鍵証明書→CAのESIGN公開鍵証明書と証明書パスが構築されるが、CAのESIGN公開鍵証明書とCAのDSA公開鍵証明書との証明書パスをつなぐ署名アルゴリズム間相互証明書が、このDSA署名鍵により署名された証明書を発行してもらった利用者端末のもとに存在しないため、証明書パス構築はエラーとなる。この証明書パス構築における失敗を契機に、署名アルゴリズム間相互証明書取得部7を用い、署名アルゴリズム間相互証明書発行部1により作成された、ESIGN公開鍵に対してDSA署名鍵により認証された署名アルゴリズム間相互証明書をCAやディレクトリなどから取得する。その後、再度、この署名アルゴリズム間相互証明書と証明書パス構築部6を用いて再度証明書パス検証を行う。
【0033】
なお、認証局および利用者端末は、専用のハードウェアにより実現する以外に、その機能を実現するためのプログラムを、コンピュータ読取りが可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読込ませ、実行するものであってもよい。コンピュータ読取りが可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読取りが可能な記録媒体とは、インターネットを介してプログラムを送信する場合のように、短時間の間に、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバまたは端末となるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0034】
【発明の効果】
以上説明したように、本発明によれば、利用者端末が申請ごとに、CAの署名アルゴリズムを切り替えることが可能になる。さらに、異なるアルゴリズムで発行された公開鍵証明書を持つ利用者端末間での証明書パスを構築することが可能になる。
【図面の簡単な説明】
【図1】本発明の一実施形態の、異なる署名アルゴリズムを有する複数の署名鍵を実装した認証局を利用した相手認証システムの構成を示す図である。
【図2】CAが署名アルゴリズム間相互証明書を作成し、利用者端末がそれを用いて、証明書パスを再構築する処理を示すフローチャートである。
【図3】利用者端末が署名アルゴリズムを設定し、CAがこれを抽出して対応する署名鍵を抽出し、これを用いて署名を行う処理を示すフローチャートである。
【符号の説明】
1 署名アルゴリズム間相互証明書発行部
2 希望署名アルゴリズム設定部
3 希望署名アルゴリズム抽出部
4 対応CA署名鍵抽出部
5 署名部
6 証明書パス構築部
7 署名アルゴリズム間相互証明書取得部
8 CA署名鍵管理ファイルまたはデータベース
【発明の属する技術分野】
本発明は、認証局(Certification Authority、以下CAと略す)を利用した認証に関する。
【0002】
【従来の技術】
CAを利用した認証においては、署名鍵が漏洩した、または、署名アルゴリズムそのものが危殆化したという場合に備え、他の署名アルゴリズムを有する署名鍵への移行が速やかに行えるように、異なる署名アルゴリズムを有する複数の署名鍵をCAに実装することが提案されている。
【0003】
異なる署名アルゴリズムを有する複数の署名鍵を実装する方法としては、以下の方法が存在する。
【0004】
CAから利用者端末に返却する証明書またはサービス結果に付される署名に使用する署名鍵は、CAが実装している、異なる署名アルゴリズムを有する複数の署名鍵の中から、CAが一意に指定し、その署名鍵で署名を行う。
【0005】
しかし、この方法は以下の問題点を有する。
【0006】
Webブラウザなど、検証可能な署名アルゴリズムが限定されている環境(アプリケーションなど)において、CAが署名鍵として使用している鍵の署名アルゴリズムを利用者端末が検証できない場合が存在する。例えば、CAがDSA鍵を署名鍵としている場合、RSA公開鍵を登録申請してきた、RSAしか検証できない利用者端末に対して、DSA署名鍵で証明書に署名をしてしまうことになる。この場合、証明書を受け取った利用者端末は、検証を行うことができなくなる。
【0007】
そこで、上記問題点を解決するために、以下の方法が提案されている。
【0008】
異なる署名アルゴリズムを有する複数の署名鍵を実装するCAが、利用者端末とCAの署名アルゴリズムとの対応を管理することにより、利用者端末ごとにCAの署名アルゴリズムを切り替える(例えば、特許文献1参照)。
【0009】
【特許文献1】
特開2002−207426号公報
【0010】
【発明が解決しようとする課題】
しかし、特許文献1で開示されている、異なる署名アルゴリズムを有する複数の署名鍵を実装する方法は、以下の問題点を有する。
【0011】
利用者端末ごとにCAの署名アルゴリズムを切り替えるため、CAが、利用者端末とCAの署名アルゴリズムとの対応を管理する必要がある。このため、利用者端末がCAの署名アルゴリズムを変更して欲しい場合には、利用者端末は、なんらかの方法でCAに対して、CAで管理している、利用者端末とCAの署名アルゴリズムとの対応を変更してもらわなければならない。このため、利用者端末が申請ごとにCAの署名アルゴリズムを切り替えることは不可能である。
【0012】
また、CAは利用者端末ごとにCAの署名アルゴリズムを切り替えるため、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間では、証明書のパスを構築することができなくなる。このため、このような利用者端末間では、CAを用いた認証に失敗する。例えば、CAがRSAとDSAを実装している環境においては、RSA署名鍵とDSA署名鍵により公開鍵証明書を発行するが、CAのRSA公開鍵証明書とDSA公開鍵証明書の証明書パスが存在しないため、RSA署名鍵により発行された公開鍵証明書を所持する利用者端末とDSA鍵により発行された公開鍵証明書を所持する利用者端末間において、証明書パスを構築することができず、認証に失敗する。
【0013】
本発明の目的は、利用者端末が申請ごとに、CAの署名アルゴリズムを切り替えることができ、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間での証明書パスを構築できる方法を提供することにある。
【0014】
【課題を解決するための手段】
上記目的を達成するために、本発明は、CAが、利用者端末からの申請を受付けると、利用者端末が申請書に設定した署名アルゴリズムを申請書から抽出し、この署名アルゴリズムに対応するCAの署名鍵で、CAから利用者端末に返却する証明書またはサービス結果に署名を行う。また、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成する。
【0015】
【発明の実施の形態】
次に、本発明の実施の形態について、図1を参照して詳細に説明する。
【0016】
本発明の一実施形態の、異なる署名アルゴリズムを有する複数の署名鍵を実装したCAを利用した相手認証システムは、▲1▼利用者端末に設けられる希望署名アルゴリズム設定部2と、CAに設けられる希望署名アルゴリズム抽出部3と、対応CA署名鍵抽出部4と、署名部5により、CAが、利用者端末が申請書に設定した署名アルゴリズムを申請書から抽出し、この署名アルゴリズムに対応するCAの署名鍵で、CAから利用者端末に返却する証明書またはサービス結果に署名を行う。また、▲2▼CAに設けられる署名アルゴリズム間相互証明書発行部1と、利用者端末に設けられる証明書パス構築部6と、署名アルゴリズム間相互証明書取得部7により、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、異なる署名アルゴリズムにより発行された公開鍵証明書を所持する利用者端末間での証明書パスを構築する。
【0017】
次に、本実施形態のシステムにおける処理を各部に分けて説明する。
【0018】
(1)署名アルゴリズム間相互証明書発行部1における処理
CAは、署名アルゴリズム間相互証明書発行部1用い、CAが実装している署名アルゴリズムに対応する公開鍵を、CAが実装している別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成し、保有する署名アルゴリズムすべてについて本処理を繰り返す。
【0019】
(2)希望署名アルゴリズム設定部2における処理
利用者端末は、CAに対する各種サービス申請書作成を契機として、希望署名アルゴリズム設定部2を用い、申請書に署名アルゴリズムを設定する。
【0020】
(3)希望署名アルゴリズム抽出部3における処理
この申請書を受け取ったCAは、希望署名アルゴリズム抽出部3を用い、申請書から利用者端末が設定した署名アルゴリズムを抽出する。
【0021】
(4)対応CA署名鍵抽出部4における処理
CAは、対応CA署名鍵抽出部4を用い、希望署名アルゴリズム抽出部3により抽出した署名アルゴリズムに対応するCA署名鍵が存在するか否かをCA署名鍵管理ファイル(またはデータベース)8をもとに判定し、存在すれば、CAの署名鍵を抽出する。
【0022】
(5)署名部5における処理
CAは、対応CA署名鍵部4により抽出したCAの署名鍵により、署名部5を用い、利用者端末に返却する証明書またはサービス結果に署名を行う。
【0023】
(6)証明書パス構築部6と署名アルゴリズム間相互証明書取得部7における処理
利用者端末は、通信相手の認証を行う際、証明書パス構築部6を用いて証明書パス検証を実施する。証明書パス検証における失敗すると、署名アルゴリズム間相互証明書取得部7を用い、署名アルゴリズム間相互証明書発行部1により作成された署名アルゴリズム間相互証明書を、CAやディレクトリ(外部データベースなど)などから取得する。署名アルゴリズム間相互証明書と証明書パス構築部6を用いて再度証明書パス検証を行う。
【0024】
【実施例】
次に、本実施形態の実施例について、図2および図3を参照して詳細に説明する。
【0025】
本実施形態の一実施例は、CAがDSAを既に使用しており、新規にESIGN署名鍵を使用する。また、申請書に含まれる、利用者端末が指定する署名アルゴリズムとして、申請書のSignature要素のAlgorithm Identifier要素に格納された署名アルゴリズムを使用し、利用者端末は署名アルゴリズムにDSAを指定する場合を例にとって説明する。なお、本実施例では、申請書のSignature要素のAlgorithm Identifier要素を使用しているが、申請書に含まれる、利用者端末が指定した署名アルゴリズムとしては、申請書に別途そのための項目を設けるなど、さまざまな方法が考えられる。
【0026】
(1)署名アルゴリズム間相互証明書発行部1における処理
CAは、新規にESIGN公開鍵証明書を作成する際、署名アルゴリズム間相互証明書発行部1を用い、新規に登録しようとしているESIGN公開鍵を、このCAが既に実装している別の署名アルゴリズムであるDSA署名鍵で認証した署名アルゴリズム間相互証明書を作成する。また逆に、新規に登録しようとしているESIGN署名鍵により、このCAが既に実装している別の署名アルゴリズムであるDSA公開鍵を認証した署名アルゴリズム間相互証明書を作成する。
【0027】
(2)希望署名アルゴリズム設定部2における処理
利用者端末は、公開鍵登録申請や公開鍵証明書無効化申請などCAに対する各種サービス申請書作成を契機として、希望署名アルゴリズム設定部2を用い、申請書のSignature要素のAlgorithm Identifier要素の署名アルゴリズムとして、DSAの署名アルゴリズムを設定する。
【0028】
(3)希望署名アルゴリズム抽出部3における処理
CAは、利用者端末からの申請書の受信を契機として、希望署名アルゴリズム抽出部3を用い、受信した申請書内Signature要素のAlgorithm Identifier要素の署名アルゴリズムから利用者端末が指定した署名アルゴリズムであるDSAの署名アルゴリズムを抽出する。
【0029】
(4)対応CA署名鍵抽出部4における処理
CAは、希望署名アルゴリズム抽出部3により抽出した、利用者端末が指定した署名アルゴリズム(DSAの署名アルゴリズム)を入力として、対応CA署名鍵抽出部4を用い、利用者端末が指定した署名アルゴリズム(DSAの署名アルゴリズム)に対応するCAの署名鍵が存在するか否かをCA署名鍵管理ファイル(またはデータベース)8をもとに判定し、存在していた場合は、対応するCAの署名鍵を抽出する。本実施例では、DSA署名鍵が存在していることにより、DSA署名鍵が抽出される。
【0030】
なお、存在していなかった場合は、システム設定値により、以下の2つのどちらかが適用される。
(ア)デフォルトとして指定したCA署名鍵を抽出する。
(イ)対応するCA署名鍵を存在しないというエラーを返却する。
【0031】
(5)署名部5における処理
CAは、対応CA署名鍵抽出部4により抽出されたCAの署名鍵(DSA署名鍵)の入力を契機に、署名部5を用い、この署名鍵により利用者端末に返却する証明書またはサービス結果に署名を行う。
【0032】
(6)証明書パス構築部6と署名アルゴリズム間相互証明書取得部7における処理
このDSA署名鍵により署名された証明書を発行してもらった利用者端末は、同じCAのESIGN署名鍵により発行された公開鍵証明書を所持する利用者端末の認証を行う際、証明書パス構築部6が呼ばれ、通信相手のESIGN公開鍵証明書→CAのESIGN公開鍵証明書と証明書パスが構築されるが、CAのESIGN公開鍵証明書とCAのDSA公開鍵証明書との証明書パスをつなぐ署名アルゴリズム間相互証明書が、このDSA署名鍵により署名された証明書を発行してもらった利用者端末のもとに存在しないため、証明書パス構築はエラーとなる。この証明書パス構築における失敗を契機に、署名アルゴリズム間相互証明書取得部7を用い、署名アルゴリズム間相互証明書発行部1により作成された、ESIGN公開鍵に対してDSA署名鍵により認証された署名アルゴリズム間相互証明書をCAやディレクトリなどから取得する。その後、再度、この署名アルゴリズム間相互証明書と証明書パス構築部6を用いて再度証明書パス検証を行う。
【0033】
なお、認証局および利用者端末は、専用のハードウェアにより実現する以外に、その機能を実現するためのプログラムを、コンピュータ読取りが可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読込ませ、実行するものであってもよい。コンピュータ読取りが可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読取りが可能な記録媒体とは、インターネットを介してプログラムを送信する場合のように、短時間の間に、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバまたは端末となるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0034】
【発明の効果】
以上説明したように、本発明によれば、利用者端末が申請ごとに、CAの署名アルゴリズムを切り替えることが可能になる。さらに、異なるアルゴリズムで発行された公開鍵証明書を持つ利用者端末間での証明書パスを構築することが可能になる。
【図面の簡単な説明】
【図1】本発明の一実施形態の、異なる署名アルゴリズムを有する複数の署名鍵を実装した認証局を利用した相手認証システムの構成を示す図である。
【図2】CAが署名アルゴリズム間相互証明書を作成し、利用者端末がそれを用いて、証明書パスを再構築する処理を示すフローチャートである。
【図3】利用者端末が署名アルゴリズムを設定し、CAがこれを抽出して対応する署名鍵を抽出し、これを用いて署名を行う処理を示すフローチャートである。
【符号の説明】
1 署名アルゴリズム間相互証明書発行部
2 希望署名アルゴリズム設定部
3 希望署名アルゴリズム抽出部
4 対応CA署名鍵抽出部
5 署名部
6 証明書パス構築部
7 署名アルゴリズム間相互証明書取得部
8 CA署名鍵管理ファイルまたはデータベース
Claims (17)
- 複数の署名アルゴリズムを有する認証局を利用した相手認証方法において、
利用者端末が、認証局への申請において署名アルゴリズムを指定するステップと、
前記認証局が、前記利用者端末からの前記申請に指定された署名アルゴリズムを抽出するステップと、
前記認証局が、抽出した署名アルゴリズムに対応する署名鍵を抽出するステップと、
前記認証局が、該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行うステップを有することを特徴とする方法。 - 複数の署名アルゴリズムを有する認証局を利用した相手認証方法において、
認証局が、該認証局が有する署名アルゴリズムに対応する公開鍵を、該認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成するステップと、
前記利用者端末が、前記署名アルゴリズム間相互証明書を取得するステップと、
前記利用者端末が、前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築するステップを有することを特徴とする方法。 - 複数の署名アルゴリズムを有する認証局に、
利用者端末からの申請に指定された署名アルゴリズムを抽出するステップと、
抽出した署名アルゴリズムに対応する署名鍵を抽出するステップと、
該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行うステップを実行させるプログラム。 - 複数の署名アルゴリズムを有する認証局に、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成するステップを実行させるプログラム。 - 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末に、
認証局への申請において署名アルゴリズムを指定するステップを実行させるプログラム。 - 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末に、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を取得するステップと、
前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築するステップを実行させるプログラム。 - 請求項3に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。
- 請求項4に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。
- 請求項5に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。
- 請求項6に記載のプログラムが記録された、コンピュータ読取りが可能な記録媒体。
- 複数の署名アルゴリズムを有する認証局において、
利用者端末からの申請に指定された署名アルゴリズムを抽出する手段と、
抽出した署名アルゴリズムに対応する署名鍵を抽出する手段と、
該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行う手段を有することを特徴とする認証局。 - 複数の署名アルゴリズムを有する認証局において、
当該認証局が有する署名アルゴリズムに対応する公開鍵を、当該認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成する手段を有することを特徴とする認証局。 - 複数の署名アルゴリズムを有する認証局において、
利用者端末からの申請に指定された署名アルゴリズムを抽出する手段と、
抽出した署名アルゴリズムに対応する署名鍵を抽出する手段と、
該署名鍵を用いて、前記利用者端末への証明書またはサービス結果に署名を行う手段と、
当該認証局が有する署名アルゴリズムに対応する公開鍵を、当該認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を作成する手段を有することを特徴とする認証局。 - 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末において、
前記認証局への申請において署名アルゴリズムを指定する手段を有することを特徴とする利用者端末。 - 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末において、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を取得する手段と、
前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築する手段を有することを特徴とする利用者端末。 - 複数の署名アルゴリズムを有する認証局からサービスを受ける利用者端末において、
前記認証局への申請において署名アルゴリズムを指定する手段と、
前記認証局が有する署名アルゴリズムに対応する公開鍵を、前記認証局が有する、該署名アルゴリズムとは別の署名アルゴリズムに対応する署名鍵で認証した署名アルゴリズム間相互証明書を取得する手段と、
前記署名アルゴリズム間相互証明書を用いて、異なる署名アルゴリズム間で証明書パスを構築する手段を有することを特徴とする利用者端末。 - 複数の署名アルゴリズムを有する認証局を利用した相手認証システムにおいて、
請求項11から13のいずれか1項に記載の認証局と、
請求項14から16のいずれか1項に記載の利用者端末を有することを特徴とするシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003038267A JP2004248184A (ja) | 2003-02-17 | 2003-02-17 | 複数の署名アルゴリズムを有する認証局を利用した相手認証方法/プログラム/記録媒体/システム、認証局、利用者端末 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003038267A JP2004248184A (ja) | 2003-02-17 | 2003-02-17 | 複数の署名アルゴリズムを有する認証局を利用した相手認証方法/プログラム/記録媒体/システム、認証局、利用者端末 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004248184A true JP2004248184A (ja) | 2004-09-02 |
Family
ID=33022843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003038267A Pending JP2004248184A (ja) | 2003-02-17 | 2003-02-17 | 複数の署名アルゴリズムを有する認証局を利用した相手認証方法/プログラム/記録媒体/システム、認証局、利用者端末 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004248184A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009176291A (ja) * | 2007-02-23 | 2009-08-06 | Panasonic Corp | コンテンツ提供者端末装置、認証局端末装置、コンテンツ提供方法、及びプログラム認証方法 |
| JP2011193416A (ja) * | 2010-03-17 | 2011-09-29 | Hitachi Ltd | 証明書の有効性確認方法、検証サーバ、プログラム及び記憶媒体 |
-
2003
- 2003-02-17 JP JP2003038267A patent/JP2004248184A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009176291A (ja) * | 2007-02-23 | 2009-08-06 | Panasonic Corp | コンテンツ提供者端末装置、認証局端末装置、コンテンツ提供方法、及びプログラム認証方法 |
| JP2011193416A (ja) * | 2010-03-17 | 2011-09-29 | Hitachi Ltd | 証明書の有効性確認方法、検証サーバ、プログラム及び記憶媒体 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11824995B2 (en) | Bridging digital identity validation and verification with the FIDO authentication framework | |
| CN112311530B (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
| Huang et al. | A generic framework for three-factor authentication: Preserving security and privacy in distributed systems | |
| US8627424B1 (en) | Device bound OTP generation | |
| CN111625869B (zh) | 数据处理方法及数据处理装置 | |
| CN110572258B (zh) | 一种云密码计算平台及计算服务方法 | |
| US20040010697A1 (en) | Biometric authentication system and method | |
| US10771451B2 (en) | Mobile authentication and registration for digital certificates | |
| CN102823217B (zh) | 证书机构 | |
| CN113824563A (zh) | 一种基于区块链证书的跨域身份认证方法 | |
| CN101567780A (zh) | 一种针对加密数字证书的密钥管理与恢复方法 | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| JP2006011768A (ja) | 認証システム及び装置 | |
| CN105391713A (zh) | 一种基于生物证书的身份认证方法 | |
| Chalaemwongwan et al. | A practical national digital ID framework on blockchain (NIDBC) | |
| Odelu et al. | A secure and efficient ECC‐based user anonymity preserving single sign‐on scheme for distributed computer networks | |
| JP2019036781A (ja) | 認証システムおよび認証方法 | |
| WO2001043344A1 (en) | System and method for generating and managing attribute certificates | |
| CN116032613A (zh) | 区块链数字凭证交换方法、文件存储访问方法和系统 | |
| WO2022016842A1 (zh) | 去中心化身份系统中隐藏用户信息的方法和计算机可读介质 | |
| CN111064573A (zh) | 数字证书生成方法、认证方法及电子设备 | |
| Pavithran et al. | Towards creating public key authentication for IoT blockchain | |
| CN111355588A (zh) | 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统 | |
| KR20070037019A (ko) | 스마트 카드를 이용하여 보안 기능을 수행하는 장치 및 그방법 | |
| Resende et al. | PUF-based mutual multifactor entity and transaction authentication for secure banking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050125 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070808 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071005 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071031 |