专利名称:电子证明书有效性确认系统及其方法
技术领域:
本发明涉及电子证明书的有效性确认方法。
背景技术:
在网络社会中的电子交易等方面,在验证向电子文书进行的电子签名(以下只称为签名)、或在使用向服务器等进行注册时的电子证明书(以下称为公开密钥证明书或只称为证明书)的访问控制、或在使用电子证明书的信息家电等机器间的认证时,要确认电子证明书的有效性。
以往的电子证明书的有效性确认方法技术,是验证电子证明书方取得电子证明书的有效性确认信息进行确认(例如,参照非专利文献1)。
非专利文献1《政府认证基础(GPKI)政府认证基础相互运用性说明书》,日本总务省行政管理局著,2003年2月28日,p.9-14。
发明内容
验证电子签名时,为了确认进行电子签名的签名者的正当性,必须确认该电子证明书的有效性。这种时候,以往是验证电子证明书一方必须取得电子证明书的有效性确认信息,负担较大,因此验证方提出希望减轻负担的要求。
另外,请求发行电子证明书的签名者,也提出希望能将以往因高额而难以利用的电子证明书发行时的费用大幅降低的要求。
再者,发行电子证明书的第三方机关,也提出希望能将电子证明书发行时的费用降低,从而增加电子证明书发行量的要求。
本发明鉴于上述问题而提出,目的是提供签名者装置将签名者的电子证明书的有效性确认信息出示给验证者装置,从而确认电子证明书的有效性的方法及其系统。
具体地讲,验证电子签名时,在为确认进行电子签名的签名者的正当性而必须进行的该电子证明书的有效性确认中,签名者装置将签名者的电子证明书的有效性确认信息出示给验证者装置,以减轻验证者装置的负担。
更具体地讲,本发明是由要求提供服务的签名装置、提供被要求服务的验证装置和认证局装置构成系统的电子证明书有效性确认方法,其特征在于签名装置在要求提供服务的电子文书上实施电子签名时,向认证局装置要求验证电子签名时必须的电子证明书的有效性确认信息;认证局装置将被要求的有效性确认信息发送给签名装置;签名装置制作把根据发送来的有效性确认信息能被确认有效性的电子签名实施到电子文书后的附带签名的数据,并将附带电子签名的数据、电子证明书和有效性确认信息发送给验证装置;验证装置使用从签名装置发来的附带电子签名的数据、电子证明书和有效性确认信息,进行电子签名的验证和电子证明书的有效性确认。
另外,在本发明的电子证明书有效性确认方法中,可以为签名装置向验证装置要求提供服务;验证装置对于提供服务的要求,向签名装置要求提供有效性确认信息;签名装置对于提供有效性确认的要求,向认证局装置要求提供有效性确认信息。
另外,在本发明的电子证明书有效性确认方法中,可以为认证局装置在有效性确认信息中设定有效期间;验证装置在电子证明书的有效性确认处理中,确认是否是在被设定的有效期间内。
另外,在本发明的电子证明书有效性确认方法中,可以为认证局装置计数签名装置要求电子证明书的有效性确认信息的次数,根据计数的次数向签名装置进行收费处理。
因此,根据本发明,验证装置可以用从签名装置发送来的信息确认签名的验证及证明书的有效性。另外,通过设定有效性确认信息自身的有效期间,可以防止有效性确认信息自身的二次利用。进而,因签名装置每次利用电子证明书都要向该认证局装置寻问有效性确认信息,所以在认证局一方能够把握该证明书的利用次数,并能够根据利用次数征收利用费用。
本发明具有以下效果即根据本发明,验证方能够用从签名方发送来的信息进行签名的验证及证明书的有效性确认,可减轻负担。
图1是说明一种实施方式中网络构成的图示。
图2是表示图1所示签名装置、验证装置、认证局装置的构成例的图示。
图3是表示图1所示签名装置、验证装置、认证局装置的硬件构成例的图示。
图4是表示一种实施方式中有效性确认信息的构成的图示。
图5是说明一种实施方式的整体的工作流程图。
图6是说明一种实施方式中签名装置处理的工作流程图(其1)。
图7是说明一种实施方式中签名装置处理的工作流程图(其2)。
图8是说明一种实施方式中验证装置处理的工作流程图。
图9是说明一种实施方式中认证局装置处理的工作流程图。
图10是说明一种实施方式的整体的概略图。
具体实施例方式
下面,使用
本发明的一种实施方式。另外,本发明不限定于此。
图1是本发明的一种实施方式适用的系统的网络构成图。本实施方式的系统如图1所示,由签名装置10、验证装置20和认证局装置40(1)~40(n)通过网络等通信网(以下称网络)30相互连接而构成。
签名装置10,为使验证装置20能够进行签名的验证及证明书的有效性确认,从认证局装置40(1)~40(n)取得签名方的电子证明书的有效性确认信息,与附带签名数据、电子证明书一同发送给验证装置20。如图2所示,签名装置10包含有在电子文书上实施签名等的密码运算部102;发送/接收附带签名数据、电子证明书、有效性确认信息及有效性确认委托书等信息的数据发送/接收部104;作为签名者方秘密信息的秘密钥匙103;控制这些的控制部101。
验证装置20出示签名装置10为了备齐证明书有效性确认信息所必要的信息,使用从签名装置10发送来的附带签名数据、电子证明书及证明书有效性确认信息来确认签名的验证及证明书的有效性。确认有效性后,则提供由签名装置10要求的服务。如图2所示,验证装置20包含有进行签名的验证等的密码运算部202;发送/接收附带签名数据、电子证明书、有效性确认信息等信息的数据发送/接收部204;作为验证方秘密信息的秘密钥匙203;控制这些的控制部201。
认证局装置40根据来自签名装置10的有效性确认委托,制作该电子证明书的有效性确认信息,发送给签名装置10。另外,根据需要设定有效性确认信息自身的有效期间。再者,根据需要,在签名装置10委托证明书有效性确认信息时征收利用费用。如图2所示,认证局装置40包含有进行签名的验证或在有效性确认信息等的数据上实施签名的密码运算部402;发送/接收附带签名数据、电子证明书、有效性确认信息及有效性确认委托书等信息的数据发送/接收部404;作为认证局方秘密信息的秘密钥匙403;控制这些的控制部401。
另外,签名装置10、验证装置20、认证局装置40如图3所示,可分别在信息处理装置50上构成,该信息处理装置50由通信装置11、输出/输入装置12、使用半导体的暂存装置(以下称存储器)13、硬盘等的二次存储装置(以下称存储装置)14、CPU15及存储媒体17的读取装置16通过总线等内部通信线(以下称总线)18连接而成。
上述密码运算部102、202、402和数据发送/接收部104、204、404及控制部101,201,401,通过COU15执行存储在各自装置的存储器13或存储装置14中的程序,在该装置上被具体实现。另外,这些程序可预先存储在上述存储装置内,也可以必要时通过可装卸的存储媒体17或通信媒体(网络30或者网络30上的载波)引入上述信息处理装置50。
下面,参照
本实施方式系统的概略。
如图10所示,签名装置10为了利用验证装置20的服务而进行连接要求(步骤501,记为S501,下同)。验证装置20出示签名装置10为了备齐证明书有效性确认信息所必要的验证方的电子证明书等必要信息,并向签名装置10要求有效性确认信息出示(S502)。
签名装置10向存在于直至验证装置20能够验证的认证通路上的认证局装置40(1)~40(n)进行有效性确认信息的出示委托(S5031~n)。
各认证局装置40(1)~40(n)制作对该电子证明书的有效性确认信息,并发送给签名装置10(S5041~n)。
签名装置10与已从各认证局装置40(1)~40(n)取得的有效性确认信息一起,将附带签名数据及电子证明书发送给验证装置20(S505)。
验证装置20验证从签名装置10发送过来的附带签名数据,进而使用有效性确认信息确认电子证明书的有效性,根据需要进行服务。
使用图5说明本实施方式的系统的处理流程。
签名装置10及验证装置20当然保存着各自的电子证明书,而且还设其保存着包括自身的路由证明书在内的、存在于认证通路上的全部证明书。
签名装置10为了利用验证装置20的服务,向验证装置20提出连接要求(S001)。
验证装置20出示签名装置10为了备齐证明书有效性确认信息所必要的电子证明书,并催促签名装置10出示有效性确认信息(S002)。
另外,验证装置20发送出的电子证明书,不仅包括验证装置20自身的电子证明书,还包括自身的路由证明书在内的、存在于认证通路上的全部证明书。因此,签名装置10能够特定验证装置20所属的域(domain)。
签名装置10将自身的电子证明书等发送给认证装置(1),将对自身的电子证明书的有效性确认信息的出示委托给认证局装置40(1)(S003)。这时,认为存在以认证局装置40(1)对签名装置10有偿提供有效性确认信息为主旨的合同。
认证局40(1)对每个签名装置10的委托次数进行计数,并进行收费处理(S504)。与图5所示的处理非同步地,认证局装置40(1)将一定期间的利用费用帐单发送给签名装置10,催促签名者以银行汇入、存款户头转帐、自动转帐、信用卡等方式支付。
认证局装置40(1)制作该电子证明书的有效性确认信息,发送给签名装置10(S005)。这时,签名装置10已经保存认证局装置40(1)的证明书,所以不必再发送给签名装置。
签名装置10同样向上一层认证局装置40(n)委托下一层认证局装置40(1)的电子证明书的有效性确认信息(S006)的出示。
认证局装置40(n)制作该电子证明书的有效性确认信息,发送给签名装置10。另外,与发行签名装置10的电子证明书的认证局装置40(1)之间,根据上述合同,发生收费处理,但是,对于由签名装置10向上一层认证局装置40(n)进行的有效性确认信息出示委托,认为不发生下一层认证局装置40(1)和上一层认证局装置40(n)的根据认证局装置间合同进行的收费处理。
备齐了验证装置20进行验证时所必需的有效性确认信息的签名装置10,在电子文书上实施电子签名(实施了电子签名的电子文书称为附带签名数据),与上述备齐的有效性确认信息一起,将附带签名数据、电子证明书发送给验证装置20(S008)。另外,这时的电子证明书,不仅包括有签名装置10自身的电子证明书,而且还包括有自身的路由证明书在内的、存在于认证通路上的全部证明书。因此,验证装置20能够特定签名装置10所属的域,所以即使各自所属的域不同,也能容易地发现认证通路。
验证装置20验证来自签名装置10的签名(S009),使用送来的有效性确认信息确认电子证明书的有效性(S010)。
进行签名的验证及证明书的有效性确认后,根据需要,验证装置20向签名装置10提供服务。
如上所述,根据本实施方式,验证装置可以根据来自签名装置的信息进行签名的验证及证明书的有效性确认,可减轻负担。
另外,对认证局装置来说,因在提供有效性确认信息时进行收费变为可能,所以具有即使降低电子证明书发行时的费用也能增加综合的费用收入的效果。
使用图6、图7详细说明签名装置10的处理流程。
控制部101为了利用验证装置20的服务,经由数据发送/接收部104向验证装置20发送连接要求(S101、102)。
数据发送/接收部104由验证装置20发送签名装置10为了备齐证明书有效性确认信息所必要的验证装置20的电子证明书等信息(S103),交接给控制部101。
另外,从验证装置20送来的电子证明书,不仅包括验证装置自身的电子证明书,还包括自身的路由证明书在内的、存在于认证通路上的全部证明书。因此,由于签名装置10能够特定验证装置20所属的域,所以即使各自所属的域不同,也能容易地发现认证通路。
控制部101根据自身所属域的信息和验证装置20所属域的信息,能够把握包括从签名装置10到验证装置20所属的域的路由认证局在内的、存在于认证通路上的所有的认证局装置40(1)~40(n)。
控制部101制作发送给认证局装置40(1)~40(n)的有效性确认委托书(S104)。
在密码运算部102,在上述有效性确认委托书上实施电子签名(S105)。
控制部101经由数据发送/接收部104向认证局装置40(1)发送有效性确认委托书(1)(S106、107)。
数据发送/接收部104从认证局装置40(1)接收有效性确认信息(1)(S108),交接给控制部101。
同样,控制部101经由数据发送/接收部104向认证局装置40(n)发送有效性确认委托书(S109、110)。
数据发送/接收部104从认证局装置40(n)接收有效性确认信息(n)(S111),交接给控制部101。
这样的有效性确认信息一直进行到为使验证装置20确认电子证明书的有效性而必要的信息收集全为止。
控制部101制作发送给验证装置20的电子文书,向密码运算部102委托制作上述电子文书的电子签名(S112),在密码运算部102,对该电子文书实施签名(S113)。
控制部101制作包含附带签名数据、电子证明书及有效性确认信息(1)~有效性确认信息(n)的数据(S114),经由数据发送/接收部104发送给验证装置20(S115)。
另外,这时的电子证明书,不仅包含签名装置自身的电子证明书,还包含自身的路由证明书在内的、存在于认证通路上的全部证明书。因此,因为验证装置20能够特定签名装置10所属的域,所以即使各自所属的域不同,也能容易地发现认证通路。
图8是详细说明验证装置20处理的流程图。
数据发送/接收部204从签名装置10接收连接要求(S201),交接给控制部201。
控制部201制作包括自身的电子证明书在内的,签名装置10为了备齐证明书有效性确认信息所必要的信息(S202),经由数据发送/接收部204发送给签名装置10(S203)。
另外,所谓签名装置10为了备齐证明书有效性确认信息所必要的信息,不仅包括验证装置自身的电子证明书,还包括自身的路由证明书在内的、存在于认证通路上的全部证明书的数据。因此,签名装置10能够特定验证装置20所属的域。所以即使各自所属的域不同,也能容易地发现认证通路。
数据发送/接收部204从签名装置10接收包含附带签名数据、电子证明书及有效性确认信息(1)~有效性确认信息(n)的数据(S204)。
另外,从签名装置10发送来的电子证明书,不仅包含签名装置自身的电子证明书,还包括自身的路由证明书在内的、存在于认证通路上的全部证明书。因此,验证装置20能够特定签名装置10所属的域。所以即使各自所属的域不同,也能容易地发现认证通路。
在密码运算部202,利用记载于签名装置10的证明书上的签名装置10的公开密钥,验证附带签名数据的签名(S205),当通过验证时(在S205通过),使用有效性确认信息(1)~有效性确认信息(n),确认该电子证明书的全部有效性,进而确认全部有效性确认信息(1)~有效性确认信息(n)是否在有效期间内。另外,通过将有效性确认信息的有效期间设定得非常短(例如设定为秒级),可防止有效性确认信息自身的二次利用(S207、S208、S210)。再者,有效性确认信息实施各认证局装置40的电子签名,利用记载于各认证局装置40的证明书上的公开密钥,也可确认有效性确认信息自身是否被篡改。
当未通过验证(在S205未通过)及在有效性确认中被无效时(在S208未通过)时,将该意旨通知给签名装置10,结束处理(S206、S209)。
当全部的电子证明书为有效时,受理数据(S211),根据需要对签名方进行服务。
参照图9详细说明认证局装置40的处理。
数据发送/接收部404从签名装置10接收有效性确认委托书(S401)。
在密码运算部402,验证有效性确认委托书的签名(S402),当通过签名验证时,根据需要征收利用费用(S404)。
在控制部401,调查该电子证明书的有效性(S405),根据调查结果制作有效性确认信息(S406)。另外,根据需要设定有效性确认信息自身的有效期间,记载在有效性确认信息中。
在密码运算部402,在上述有效性确认信息上进行签名(S407),经由数据发送/接收部404将有效性确认信息发送给签名装置10(408)。
图4是表示上述有效性确认信息的构造图。
有效性确认信息60由用于统一识别该证明书的该证明书识别信息601、表示该证明书有效性的该证明书有效性信息602、表示有效性确认信息有效性的有效性确认信息有效期间603、及表示有效性确认信息未被篡改的电子签名信息604构成。该证明书识别信息601由证明书发行者名及系列号码构成,因此可统一识别该证明书。该证明书有效性信息602表示该证明书的有效性。有效性确认信息有效期间603是根据需要记载的信息,表示用于表示本有效性确认信息自身的有效期间的有效性信息发行日期时刻及有效期间。另外,有效性确认信息有效期间603被设定得非常短,由此可防止有效性确认信息60的二次利用。电子签名信息604表示用于表示本有效性确认信息未被篡改的电子签名及使用电子签名算法信息。验证装置20使用这些信息,来证明该证明书的有效性及有效性确认信息的有效性和正当性。
如上所述,根据本实施方式,验证装置可以用来自签名装置的信息进行签名的验证及证明书的有效性确认,负担就会减轻。
另外,对认证局装置来讲,由于在提供有效确认信息时能够进行收费,所以具有即使降低电子证明书发行时的费用也可以增加综合的费用收入这种的效果。
另外,本发明不限定于上述实施方式,可在其主旨范围内进行各种各样的变化。
例如,在图5的S008中,将附带签名数据、电子证明书及有效性确认信息(1)~有效性确认信息(n)同时发送给验证装置20。但也可以事先将附带签名数据、电子证明书发送给验证方,在S008中只发送有效性确认信息(1)~有效性确认信息(n)。
另外,在图5的S001、002中,签名装置10向验证装置20要求连接,从验证装置20接受有效性确认信息出示委托,但当签名方事先得到验证方的电子证明书等为了备齐证明书有效性确认信息所必要的信息时,可以省略本步骤。
另外,在图5的S008中,签名装置10在电子文书上实施签名并发送给验证装置20。但也可以用于电子合同文书或电子申请文书等不是文书形式的数据,例如,在运营电子交易的服务器上,客户在向服务器注册时的注册数据上实施签名,并在访问控制时进行利用的场合。进一步也适用于在买卖商品时的电子合同书上实施签名的场合。另外,不仅利用于客户服务器之间,也可利用于信息家电机器间的机器认证。
另外,在图5的S004中,根据签名装置10和认证局装置40(1)间的合同,只有认证局40(1)进行收费处理。但通过在签名装置10和各认证局装置40(1)~40(n)间交换合同,认证局装置40(1)~40(n)全部或部分也可以进行收费处理。
权利要求
1.一种电子证明书有效性确认方法,是在由要求提供服务的签名装置、提供被要求的服务的验证装置和认证局装置构成的系统中的电子证明书有效性确认方法,其特征在于,所述签名装置在要求所述提供服务的电子文书上实施电子签名时,向所述认证局装置要求为了验证所述电子签名所必须的电子证明书的有效性确认信息;所述认证局装置向所述签名装置发送被要求的所述有效性确认信息;所述签名装置,制作将能够由发送来的所述有效性确认信息确认有效性的所述电子签名实施到所述电子文书上的附带有签名的数据,并将所述附带有电子签名的数据、所述电子证明书和所述有效性确认信息发送给所述验证装置;所述验证装置使用从所述签名装置发送来的所述附带有电子签名的数据、所述电子证明书和所述有效性确认信息,进行所述电子签名的验证和所述电子证明书的有效性的确认。
2.如权利要求1所述的电子证明书有效性确认方法,其中,所述签名装置向所述验证装置要求提供服务;所述验证装置对于所述提供服务的要求,向所述签名装置要求提供所述有效性确认信息;所述签名装置对于所述有效性确认信息的提供要求,向所述认证局装置要求提供所述有效性确认信息。
3.如权利要求1所述的电子证明书有效性确认方法,其中,所述认证局装置给所述有效性确认信息设定有效期间;所述验证装置在所述电子证明书的有效性确认处理中,确认是否在设定的所述有效期间内。
4.如权利要求1所述的电子证明书有效性确认方法,其中,所述认证局装置计数所述签名装置要求所述电子证明书的有效性确认信息的次数,根据被计数的所述次数进行向所述签名装置的收费处理。
5.一种验证装置,是在验证所述签名装置的电子签名之后,提供签名装置所要求的服务的验证装置,其特征在于,具有以下功能对于所述提供服务要求,向所述签名装置要求提供所述有效性确认信息的功能;对于提供所述有效性确认信息的要求,使用从所述签名装置发送来的有效性确认信息,确认从所述签名装置发送来的电子证明书的有效性的功能。
6.如权利要求5所述的验证装置,其特征在于,具有当要求提供所述有效性确认信息时,出示自身装置的电子证明书的功能。
7.一种签名装置,是向提供服务的验证装置要求提供服务的签名装置,其特征在于,具有以下功能向所述验证装置要求提供服务的功能;为了接受提供的所述服务,在发送给所述验证装置的电子文书上实施电子签名时,向认证局装置要求验证所述电子签名时所必需的电子证明书的有效性确认信息的功能;将根据从所述认证局装置发送来的所述有效性确认信息能够确认有效性的所述电子签名实施到所述电子文书上的功能;将附有所述电子签名的数据、所述电子证明书和所述有效性确认信息发送给所述验证装置的功能。
8.如权利要求7所述的签名装置,其中,对所述认证局装置的所述有效性确认信息的提供要求,是对于针对向所述验证装置提出的提供服务要求而作出的所述有效性确认信息的提供要求作出应答而进行的。
9.一种认证局装置,是在由要求提供服务的签名装置、提供被要求的服务的验证装置所构成的系统中,提供所述签名装置给所述验证装置发送的电子证明书的有效性确认信息的认证局装置,其特征在于,具有以下功能从所述签名装置受理所述有效性确认信息的提供要求的功能;将所述被要求的有效性确认信息提供给所述签名装置的功能。
10.如权利要求9所述的认证局装置,其特征在于,具有给提供的所述有效性确认信息设定有效期间的功能。
11.如权利要求9所述的认证局装置,其特征在于,具有以下功能按照每一个要求提供所述有效性确认信息的所述签名装置,计数所述提供要求次数的功能;根据被计数的所述次数向所述签名装置进行收费处理的功能。
全文摘要
本发明公开了一种电子证明书有效性确认系统及其方法。验证方在验证电子签名时,验证方不必与认证局等第三方机构进行通信就可确认签名方的电子证明书的有效性。在数据上进行电子签名时,签名方从该认证局等得到该电子证明书的有效性确认信息,将附带签名数据、电子证明书及该有效性确认信息发送给验证方。这时,认证局方根据来自签名方的有效性确认委托,制作该电子证明书的有效性确认信息,发送给签名方。另外,根据需要,可设定有效性确认信息自身的有效期间。验证方验证签名,进而使用从签名方发送来的有效性确认信息来确认电子证明书的有效性。
文档编号G06Q50/00GK1665187SQ200410048708
公开日2005年9月7日 申请日期2004年6月10日 优先权日2004年3月1日
发明者坂崎尚生, 洲崎诚一, 笈川光浩, 田川丰 申请人:株式会社日立制作所