CN101529797A - 用于使用包含个人信息的电子证明书来认证通信对方的系统、装置、方法和程序 - Google Patents
用于使用包含个人信息的电子证明书来认证通信对方的系统、装置、方法和程序 Download PDFInfo
- Publication number
- CN101529797A CN101529797A CNA2007800400182A CN200780040018A CN101529797A CN 101529797 A CN101529797 A CN 101529797A CN A2007800400182 A CNA2007800400182 A CN A2007800400182A CN 200780040018 A CN200780040018 A CN 200780040018A CN 101529797 A CN101529797 A CN 101529797A
- Authority
- CN
- China
- Prior art keywords
- electronic identification
- identification book
- client
- certificate
- temporary transient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
Abstract
本发明提供一种用于使用包含个人信息的电子证明书来认证通信对方的技术。客户装置若从服务器装置接收电子证明书的请求,则从存储单元读取包含个人信息的客户证明书和服务器装置的服务器公开密钥,使用服务器公开密钥对客户证明书进行加密。客户装置还在电子证明书的基本区域设定用于表示该电子证明书为暂时数字证明的规定事项,并在电子证明书的扩展区域设定被加密的客户证明书,从而生成暂时电子证明书。然后,客户装置将暂时电子证明书发送到服务器装置。
Description
技术领域
本发明涉及使用了电子证明书的通信对方的认证,特别涉及使用包含个人信息的电子证明书来认证通信对方的技术。
背景技术
以往,在电子商务或在线银行等的要求安全的通信的服务器-客户型数据通信中,广泛地利用SSL(Secure Socket Layer)以及它的后继技术的作为RFC2246而以IETF(Internet Engineering Task Force)标准化的TLS(TransportLayer Security)。
在SSL/TLS的Hand shake Protocol中,在加密通信的开始之前,在服务器-客户之间进行用于开始加密通信所需的各种参数的协商。在Hand shakeProtocol中,最初进行对方的认证,之后根据在客户和服务器两者可共同利用的压缩/加密算法来决定最佳算法的利用。若基于Hand shake Protocol的协商正常地结束,则之后在服务器-客户之间开始加密通信。
其中,以服务器装置认证客户装置的情况为例子说明在Hand ShakeProtocol中的对方认证。在利用公开密钥加密方式的Hand Shake Protocol的对方认证中,响应于来自服务器装置的Certificate Request消息,客户装置将自身的电子证明书包含在Client Certicicate消息的主体中发送到服务器装置。接受到电子证明书的服务器装置使用所保有的来源(route)认证台(C(A))的密钥来确认其合法性。除了公开密钥之外,在电子证明书中还记载了与该公开密钥对应的秘密密钥的所有者(电子证明书的发行对方)信息、公开密钥的有效期限等的书籍信息。因此,服务器装置参照有关书籍信息来确认客户装置为合适的通信对方的情况。
接着,客户装置通过客户装置的秘密密钥对作为Hand shake Protocol的开始消息的Client Hello消息开始到Client Key Exchange消息为止的通信内容的摘要进行加密从而生成署名,并将其包含在Certificate Verify消息的主体中发送到服务器装置中。服务器装置通过在客户装置的电子证明书中记载的公开密钥对包含在Certificate Verify消息的主体中的信息进行解密,从而确认当前的通信对方是电子证明书的所有者本人的情况(参照非专利文献1)。
这样,SSL/TLS提供的对方认证的功能是非常严谨的,在他人的冒充或篡改成为重大问题的电子政府、电子自治体中,可称为最佳的认证方式。但是,作为电子政府/电子自治体的基础,近年来,开始了公共个人认证服务(参照非专利文献2)。公共个人认证服务是指,都道府县的长官发行行政机关所提供的、在利用电子申请/申报服务时可使用的电子证明书的服务。电子证明书的发行对于在全国各地居住的人都以便宜的费用进行。因此,期望将通过公共个人认证服务所发行的电子证明书作为SSL/TLS的客户证明书来使用。
非专利文献1:T.Dierks,E.Rescorla,”The TransportLayerSecurity(TLS)Protocol”,[online],平成16年4月、RFC 4346、[检索平成18年9月22日]、因特网<URL:http://www.ietf.org/rfc/rfc4346.txt>
非专利文献2:“公的個人認証サ一ビスポ一タルサイト”、[online]、平成16年1月29日(开设网站)、公的個人認証サ一ビス都道府県協議会、[检索平成18年9月22日]、因特网<URL:http://www.jpki.go.jp/index1.html>
发明要解决的课题
但是,在通过公共个人认证服务所发行的电子证明书中,记录在居民户口簿上的姓名、地址、出生年月日、性别作为公开密钥的所有者信息而记载。因此,若将其作为SSL/TLS的客户证明书来使用,则由于如上所述那样在SSL/TLS中在加密通信的开始之前进行对方认证,所以姓名、地址等个人信息不会被加密而直接发送。此外,作为电子证明书的标准,有ITU(InternationalTelecommunication Union)建议的X.509。X.509是在SSL/TLS中也采用并已经成为标准规格,但在该规格中没有嵌入可安全地发送记载信息的结构。
因此,本发明的目的在于,提供一种通信对方的认证方法、装置、系统以及程序,其在使用了包含个人信息的电子证明书的通信对方的认证中,防止窃听等的对个人信息的非法访问。本发明的另一目的在于,在使用了包含个人信息的电子证明书的安全的通信对方的认证中,维持了与以往的通信对方的认证方法的互换性。
用于解决课题的手段
为达到上述目的的本发明通过如下所述那样的使用包括个人信息的电子证明书来认证通信对方的方法实现。该方法从客户装置从服务器装置接收电子证明书的请求开始。响应于请求的接收,客户装置从存储单元读取包含个人信息的客户证明书和服务器装置的服务器公开密钥,并使用服务器公开密钥,对包括个人信息的客户证明书进行加密。然后,客户装置在服务器装置所支持的格式的电子证明书的第1区域设定用于表示该电子证明书为暂时电子证明书的判定信息,并且在第2区域设定被加密的客户证明书,从而生成暂时电子证明书。若生成暂时电子证明书,则客户装置将其发送到服务器装置。
响应于电子证明书的接收,服务器装置从接收的电子证明书的第1区域取出判定信息。然后,服务器装置判定判定信息是否表示接收的电子证明书为暂时电子证明书。在判定为接收的电子证明书不是暂时电子证明书的情况下,服务器装置使用接收的电子证明书来认证客户装置。另一方面,在判定为接收的电子证明书是暂时电子证明书的情况下,服务器装置使用在暂时电子证明书的第2区域中记载的客户证明书来认证客户装置。在后者的情况下,服务器装置作为前处理,从第2区域取出被加密的客户证明书,使用与服务器公开密钥对应的服务器秘密密钥对取出的客户证明书进行解密。
在客户证明书中包含的个人信息是姓名、地址、出生年月日、性别、公司名称、邮件地址等,可确定个人的任意信息。包含个人信息的客户证明书可以是通过公共个人认证服务所发行的客户的电子证明书。此时,在电子证明书中,作为与在该电子证明书中记载的公开密钥对应的秘密密钥的所有者信息,记载了在居民户口簿中记载的姓名、地址、出生年月日、性别。
服务器装置所支持的电子证明书的格式可以是X.509。优选地,第1区域是X.509证明书的基本区域,第2区域是X.509证明书的扩展区域。代替地,也可以是服务器装置所支持的格式的电子证明书的第1区域是X.509证明书的扩展区域,作为表示电子证明书是暂时电子证明的所述判定信息而利用证明书保险单(policy)。此外,在客户装置中接收的电子证明书的请求可以是SSL(Secure Socket Layer)或者TLS(Transport Layer Security)的HandShake Protocol的Certificate Request消息。
此外,客户装置还可以在电子证明书的第2区域追加设定规定的字符串和署名值,所述署名值是使用与在客户证明书中包含的客户公开密钥对应的客户秘密密钥,对该规定的字符串的散列值进行加密的值。此时,服务器装置将判定为接收的电子证明书是暂时电子证明书作为条件,进一步求出在暂时电子证明书的第2区域中记载的字符串的散列值。此外,服务器装置使用在客户证明书中记载的客户公开密钥对在暂时电子证明书的第2区域中记载的署名值进行解密。然后,通过判定这两个值是否一致,服务器装置确认通信对方是否为客户证明书的所有者本人。
代替地,客户装置还可以在电子证明书的第2区域追加设定规定的字符串、表示当前时刻的署名时刻以及署名值,所述署名值是使用与在客户证明书中包含的客户公开密钥对应的客户秘密密钥,对规定的字符串和署名时刻的散列值进行加密的值。当前时刻是署名时在客户装置上取得。此时,服务器装置将判定为接收的电子证明书是暂时电子证明书作为条件,进一步求出在暂时电子证明书的第2区域中记载的规定的字符串和署名时刻的散列值。此外,服务器装置使用在客户证明书中记载的客户公开密钥对在暂时电子证明书的第2区域中记载的署名值进行解密。然后,通过判定这两个值是否一致,服务器装置确认通信对方是否为客户证明书的所有者本人。
优选地,服务器装置将接收的电子证明书是暂时电子证明书作为条件,在服务器装置上取得当前时刻。然后,服务器装置为了禁止在过去使用的本人确认信息的再次利用,求出当前时刻和在暂时电子证明书的第2区域中记载的署名时刻之间的差,并判断求出的差是否在容许范围之内。
以上,作为在包括客户装置和服务器装置的系统中的、用于认证通信对方的方法来说明了本发明,但本发明还能够作为用于认证通信对方的系统或者使该系统执行上述方法的程序来掌握。此外,本发明还能够作为在客户装置或服务器装置中的、用于认证通信对方的方法或者使客户装置或者服务器装置执行该各种方法的程序来掌握。进而,本发明还能够作为用于认证通信对方的客户装置或者服务器装置来掌握。
发明效果
根据本发明,在使用了包含个人信息的电子证明书的通信对方的认证中,防止了窃听等的对个人信息的非法访问。此外,若使用本发明的通信对方的认证技术,还能够维持与以往的通信对方的认证方法的互换性。
附图说明
图1表示本发明的一实施方式的用于认证通信对方的系统100的结构的一例。
图2是表示本发明的一实施方式的客户装置200的功能结构的一例。
图3(a)是表示X.509证明书的格式,(b)是表示本发明的实施方式的包含个人信息的客户证明书的一例,(c)是表示本发明的实施方式的暂时电子证明书的一例。
图4是表示本发明的一实施方式的服务器装置400的功能结构的一例。
图5(a)是表示在本发明的实施方式的客户装置200中的、用于进行通过服务器装置400的通信对方认证的处理流程的一例的流程图,(b)是表示本发明的实施方式的暂时电子证明书生成处理的流程的一例的流程图,(c)是表示本发明的实施方式的本人确认信息生成的处理流程的一例的流程图。
图6(a)是表示在本发明的实施方式的服务器装置400中的、用于进行通信对方认证的处理流程的一例的流程图,(b)是表示本发明的实施方式的电子证明书验证的处理流程的一例的流程图,(c)是表示本发明的实施方式的暂时电子证明书验证的处理流程的一例的流程图。
图7是表示本发明的实施方式的客户装置200以及服务器装置400的硬件结构的一例。
具体实施方式
以下,基于附图详细说明用于实施本发明的优选方式,但以下的实施方式并不是限定关于权利要求范围的发明,此外,并不限定在实施方式中说明的特征的组合的全部对于发明的解决手段所必需的。另外,通过实施方式的全部说明,对相同的要素赋予相同的标号。
图1是本发明的一实施方式的用于认证通信对方的系统100的结构的一例。本实施方式的用于认证通信对方的系统100的目的在于,在客户装置200响应于来自服务器装置400的电子证明书的请求而发送包含自身的个人信息的电子证明书的情况下,防止窃听等对个人信息的非法访问的同时维持与以往的通信对方的认证方法之间的互换性。另外,在本实施方式中,以往的通信对方的认证方法基于SSL/TLS的Handshake Protocol。
用于认证通信对方的系统100包括:请求与服务器装置400之间的通信的客户装置200以及为了认证通信对方而请求电子证明书的服务器装置400。客户装置200和服务器装置400是通过因特网等的网络300连接。另外,设为客户装置200预先取得了包含个人信息的客户的电子证明书作为证明自身的电子证明书。
在利用了SSL/TLS的通信中,通信对方的认证是在基于HandshakeProtocol的手续的初期进行。服务器装置400首先将包含服务器证明书的Server Certificate消息发送到客户装置200。在服务器证明书中包含基于公开密钥加密方式的服务器的公开密钥。因此,客户装置200在该时刻取得服务器公开密钥。接着,服务器装置400对客户装置200发送Clienet Certificate消息,并对客户装置200请求电子证明书。接收了请求的客户装置200从自身的存储单元读取包含个人信息的客户证明书和服务器装置400的服务器公开密钥,并为了防止对个人信息的非法访问而通过服务器公开密钥对客户证明书进行加密。
被加密的客户证明书在这个状态下在服务器装置400中不被识别为电子证明书。因此,客户装置200生成基于服务器装置400所支持的电子证明书的格式的暂时电子证明书。SSL/TLS作为电子证明书的格式而采用X.509。在X.509中存在多个版本,在当前利用最多的版本3中,除了设置了记载发行者信息或公开密钥等的基本事项的基本区域之外,还新设置了可记载独立信息的扩展区域。因此,客户装置200在X.509证明书的基本区域或者扩展区域设定用于表示该电子证明书为暂时电子证明书的判定信息,此外,通过在X.509证明书的扩展区域设定被加密的客户证明书,从而生成暂时电子证明书。然后,客户装置200在Client Certificate消息中包含暂时电子证明书后发送到服务器装置400。
服务器装置400从客户装置接收包含了暂时电子证明书的ClientCertificate消息,并从暂时电子证明书的基本区域或扩展区域取出判定信息。然后,服务器装置400判定判定信息是否表示接收的电子证明书为暂时电子证明书。在判定为接收的电子证明书不是暂时电子证明书的情况下,服务器装置400使用接收的电子证明书来认证客户装置。另一方面,在判定为接收的电子证明书是暂时电子证明书的情况下,服务器装置400从暂时电子证明书的扩展区域取出被加密的客户证明书,通过与服务器公开密钥对应的服务器秘密密钥对其进行解密。然后,服务器装置400使用解密的客户证明书来认证客户装置。
如上所述,由于客户装置200在服务器装置400所支持的格式的电子证明书中设定用于证明自身的真的电子证明书,所以能够对包含个人信息的客户证明书进行加密而发送,防止了第三者对个人信息的非法访问。此外,由于服务器装置400根据在规定的区域中记载的判定信息来判定接收的电子证明书是否为暂时电子证明书,所以能够根据判定结果来改变应作为用于对方认证的电子证明书的对象,维持了与以往的通信对方的认证方法之间的互换性。
图2是表示本发明的一实施方式的客户装置200的功能结构的一例。客户装置200包括:存储单元205、暂时证明书生成单元235、保险单判定单元280、署名生成单元285以及通信单元275。暂时证明书生成单元235具有生成基于服务器装置400所支持的电子证明书的格式的暂时证明书的功能,并包括:暂时密钥生成单元240、基本区域设定单元245、加密单元250、时刻取得单元255、署名值计算单元260、扩展区域设定单元265以及署名设定单元270。存储单元205存储:包含预先取得的个人信息的客户证明书230;与在该客户证明书230中记载的基于公开密钥加密方式的客户公开密钥对应的客户秘密密钥225;从服务器装置取得的服务器证明书215;规定的字符串210;以及暂时证明书生成对象保险单一览232。
其中,参照图3(a)说明在SSL/TLS中采用的X.509版本3的电子证明书的格式。X.509证明书由大致分为基本区域和扩展区域的两个区域构成。在基本区域中,设定了X.509的版本、证明书的序列号、在证明书的署名上使用的散列/算法以及公开密钥算法(署名方式)、作为证明书的发行者的发行者信息、包含在该基本区域中设定的公开密钥的有效期限以及与它对应的秘密密钥的所有者信息的书籍信息、公开密钥信息。此外,在扩展区域中,可分别任意设定从X.509版本2追加的认证台固有识别信息以及所有者固有识别信息、从X.509版本3追加的扩展型、扩展值以及临界比特(critical bit)的三个组的集合。另外,在扩展型中,除了在X.509版本3中决定的标准的扩展型之外,还可以嵌入独立的新的扩展型。
在X.509证明书中,还赋予了认证台的署名,该认证台的署名是通过认证台的秘密密钥对散列值进行加密的署名,所述散列值是对在基本区域和扩展区域中设定的信息进行散列处理而得到。电子证明书的接收者通过使用认证台的来源证明书来验证认证台的署名,从而能够确认电子证明书的有效性。即,通过判定对在基本区域和扩展区域中设定的信息进行散列处理而得到的散列值、和使用在认证台的来源证明书中记载的来源公开密钥而解密的认证台的署名是否一致,从而能够确认署名确实通过认证台赋予了的情况以及在基本区域和扩展区域中记载的信息没有受到损伤和篡改的情况。另外,来源证明书是指,发行电子证明书的认证台为了证明其合法性而自己署名发行的电子证明书。
如上所述那样在利用了SSL/TLS的通信的认证处理中,存储单元205中存储的服务器证明书220是从服务器装置400发送到客户装置200的证明书。因此,本实施方式的服务器证明书220是基于X.509格式。此外,在存储单元205中存储的包含个人信息的客户证明书230在本实施方式中设为是通过公共个人认证服务而发行的证明书。图3(b)表示通过公共个人认证服务所发行的基于X.509格式的客户证明书的一例。在客户证明书的基本区域中,记载了参照图3(a)而说明那样的信息。另一方面,在客户证明书230的扩展区域中,独立地记载了在居民户口簿上记载的姓名、出生年月日、性别、地址。同样在扩展区域中记载的证明书保险单是用于规定证明书的目的和利用用途的单子。其中,表示该证明书是通过公共个人认证服务而发行的信息以Object Identifier(OID)格式记载。OID是国际性地注册并且由标准机关承认的被特别格式化的号码,是表示以ISO标准注册的特定的对象或对象组。
此外,对客户证明书230赋予的署名值B是通过都道府县长官而施加的署名。
另外,在公共个人认证服务中,为了防止他人的非法使用,电子证明书和与该电子证明书证明的公开密钥对应的秘密密钥存储在用户的IC卡中。因此,在图2中表示用于生成暂时证明书所需的信息全部被存储在同一个存储单元205中,但客户证明书230以及客户秘密密钥225实际上存储在IC卡中,通过IC卡读写器读取。在存储单元205中存储的规定的字符串是预先与服务器装置400之间规定的字符串,是适合作为署名利用的任意的字符串。此外,在存储单元205中存储的暂时证明书生成对象保险单一览232是可在包含个人信息的电子证明书中设定的证明书保险单的一览。本实施方式的暂时证明书生成对象保险单一览232列表了用于表示是通过公共个人认证服务而发行的证明书保险单。
通信单元(接收单元)275从服务器装置400接收电子证明书的请求,并对保险单判定单元280通知消息的接收。保险单判定单元280响应于电子证明书的请求的通知,从存储单元205读取客户证明书230和暂时证明书生成对象保险单一览232。然后,保险单判定单元280判定在客户证明书230的扩展区域中记载的证明书保险单是否为在暂时证明书生成对象保险单一览232中列表的证明书保险单。
在客户证明书230的证明书保险单在暂时证明书生成对象保险单一览232中列表的情况下,保险单判定单元280对暂时证明书生成单元235委托暂时电子证明书的生成。在客户证明书230的证明书保险单没有在暂时证明书生成对象保险单一览232中列表的情况下,即客户证明书230不包含个人信息的情况下,保险单判定单元280将从存储单元205读取的客户证明书230经由通信单元(发送单元)275原样发送到服务器装置400。另外,由于本实施方式的客户证明书230包含个人信息,所以保险单判定单元280对暂时证明书生成单元235委托暂时电子证明书的生成。
暂时证明书生成单元235响应于来自保险单判定单元280的委托,如下开始基于服务器装置400所支持的电子证明书的格式,即在本实施方式中是基于X.509的暂时电子证明书的生成。由于暂时密钥生成单元240用于暂时电子证明书的生成,所以生成基于公开密钥加密方式的一组密钥,即生成暂时公开密钥和与它对应的暂时秘密密钥。基本区域设定单元245设定暂时电子证明书的基本区域。作为一例,基本区域设定单元245从存储单元205读取在服务器证明书215中记载的所有者信息,并将其复制到暂时电子证明书的发行者信息的字段中。这样,能够对接收到暂时电子证明书的服务器装置400表示该电子证明书是暂时电子证明书的情况。
代替地,也可以利用表示电子证明书为暂时电子证明书的证明书保险单。电子证明书的基本区域的发行者信息的字段或电子证明书的扩展区域的证明书保险单的字段,一般是用于识别电子证明书的种类的目的所使用的字段。因此,在将这些字段用于记载表示电子证明书为暂时电子证明书的信息的情况下,不会像利用独立定义的字段的情况那样电子证明书的内容对第三者意思不明确。基本区域设定单元245还在所有者信息的字段设定自身的信息,进而在公开密钥的字段设定暂时密钥生成单元240生成的暂时公开密钥。对于基本区域的其他字段,分别设定任意适当的值。
加密单元250从存储单元205读取在客户证明书230以及服务器证明书215中记载的服务器公开密钥220,并使用服务器公开密钥220对客户认证书230进行加密。时刻取得单元255取得在客户装置200上的当前时刻。署名值计算单元260从存储单元205读取字符串210,并将通过时刻取得单元255所取得的当前时刻和字符串作为署名对象,计算署名值。即,署名值计算单元260使用散列函数对当前时刻和字符串210进行散列处理,并使用在存储单元205中存储的客户秘密密钥225对得到的散列值进行加密。
用于署名值计算的散列函数也可以预先与服务器装置400之间规定,也可以是与用于客户证明书230的署名的散列函数相同的函数。此外,也可以利用暂时电子证明书的扩展区域将利用的散列函数信息通知到服务器装置400。此外,署名值计算单元260也可以仅将从存储单元205读取的字符串210作为署名对象。
扩展区域设定单元265在暂时电子证明书的扩展区域设定通过加密单元250加密的客户证明书230。扩展区域设定单元265还可以作为本人确认信息而在暂时电子证明书的扩展区域追加设定从存储单元205读取的字符串210、通过时刻取得单元255取得的当前时刻(以下,称为“署名时刻”)以及通过署名值计算单元260计算的署名值。此外,署名设定单元270对暂时电子证明书施以署名。即,署名设定单元270在暂时电子证明书中设定使用在服务器证明书215中记载的服务器公开密钥220对散列值进行加密的署名值,该散列值是对在基本区域和扩展区域中设定的信息进行散列处理而得到的值。
图3(c)表示通过暂时证明书生成单元235所生成的暂时电子证明书的一例。如上所述那样,在本实施方式的暂时电子证明书的发行者信息字段中,记载了表示该电子证明书是暂时数字证明的判定信息(在本实施方式中是服务器装置400的信息)。此外,在暂时电子证明书的扩展区域中,记载了已经加密的客户证明书230和作为本人确认信息的字符串210、署名时刻、署名值C。此外,在暂时电子证明书中,赋予了使用服务器装置400的服务器公开密钥而计算的署名值B。通信单元(发送单元)275对服务器装置400发送通过暂时证明书生成单元235所生成的暂时电子证明书作为对于电子证明书的请求的响应。
暂时存储单元290暂时存储作为SSL/TLS的Handshake Protocol的开始消息的ClientHello消息开始到Client Key Exchange消息为止的通信内容。署名生成单元285使用暂时存储单元290存储的上述信息,生成在服务器装置400确认通过通信单元(发送单元)275发送的电子证明书确实是通过客户装置200发送的情况时可使用的署名。即,署名生成单元285通过从暂时存储单元290读取上述通信内容后对其进行散列处理而求出散列值,并通过与在发送它的电子证明书中记载的公开密钥对应的秘密密钥对其进行加密,从而生成署名。然后,署名生成单元285将生成的署名与电子证明书一同或者在电子证明书的发送之后,经由通信单元(发送单元)275而发送到服务器装置400。
如上所述,根据本发明的实施方式的客户装置200,由于利用电子证明书的扩展区域而在服务器装置400所支持的格式的电子证明书内设定证明自身的真的电子证明书,所以能够以加密的状态发送包含个人信息的客户证明书,能够防止第三者对个人信息的非法访问。
图4是表示本发明的一实施方式的服务器装置400的功能结构的一例。服务器装置400包括:通信单元405、暂时存储单元410、判定单元415、解密单元420、存储单元425以及认证单元430。存储单元425存储服务器秘密密钥430和已委托证明书一览435。其中,服务器秘密密钥430是与在发送到客户装置200的服务器证明书215中记载的服务器公开密钥220对应的秘密密钥。此外,已委托证明书一览435是多个认证台的来源证明书的一览,假设来源证明书的合法性在服务器装置400中是已经确认的。认证单元430具有认证通信对方的功能,其包括证明书验证单元435和本人确认单元440。本人确认单元440具有用于确认电子证明书确实是从本人发送的功能,其包括署名验证单元445和时刻验证单元450。
通信单元405作为对于电子证明书的请求的响应,从客户装置200接收电子证明书。接收的电子证明书被存储在暂时存储单元410中。判定单元415从暂时存储单元410读取在电子证明书中记载的判定信息,即在本实施方式中是在电子证明书的基本区域中记载的发行者信息,并判定判定信息是否表示接收的电子证明书为暂时电子证明书。在表示接收的电子证明书是暂时电子证明书的情况下,即在本实施方式中发行者信息表示服务器装置400本身的情况下,判定单元415将判定结果通知到解密单元420和认证单元430。另一方面,在不表示接收的电子证明书是暂时电子证明书的情况下,判定单元415将判定结果仅通知到认证单元430。
解密单元420响应于接收的电子证明书是暂时电子证明书的通知,从暂时存储单元410读取在接收的电子证明书的扩展区域中记载的被加密的客户证明书230。然后,解密单元420使用在存储单元425中存储的对应的服务器秘密密钥430对读取的客户证明书230进行解密。被解密的客户证明书230之后被交给认证单元430。
在判定单元415判定为接收的电子证明书不是暂时电子证明书的情况下,认证单元430使用接收的电子证明书和与该电子证明书一同或者在该电子证明书之后从客户装置200发送的署名,认证客户装置200。另一方面,在判定单元415判定为接收的电子证明书是暂时电子证明书的情况下,认证单元430使用解密的客户证明书230和在该暂时电子证明书的扩展区域中设定的署名,认证客户装置200。认证单元430的认证处理是响应于来自判定单元415的判定结果的通知而开始,进行证明书验证单元435和本人确认单元440的处理。
与判定单元415的判定结果无关,电子证明书的验证方法基本相同。因此在以下,以验证包含个人信息的客户证明书230的情况为例子来说明证明书验证单元435的处理。另外,在将包含个人信息的客户证明书230设为验证对象的情况下,也可以将后述的本人确认单元440的处理成功作为条件。
证明书验证单元435从解密单元420接收被解密的客户证明书230,并进行电子证明书的验证,即对客户证明书230赋予的署名的验证和在客户证明书230中记载的书籍信息的确认。署名的验证如下那样进行。首先,参照在客户证明书230中记载的发行者信息,从在存储单元425中存储的已委托证明书一览435中检索对应的认证台(在本实施方式中是都道府县长官)的来源认证书。接着,使用在来源证明书中记载的来源公开密钥对在客户证明书230中赋予的署名进行解密。然后,将其与对在客户证明书230的基本区域和扩展区域中记载的信息进行散列处理而得到的散列值进行比较,判定是否一致。在两个一致的情况下,验证成功。另外,可通过在客户证明书230中记载的署名方式来确认用于署名的算法。
接着,在客户证明书230中记载的书籍信息的确认中,作为一例包括客户证明书230的有效期限和失效的确认,还有参照了所有者信息或个人信息的通信对方的确认。其中,说明确认客户证明书的失效的方法。在认证台将电子证明书的失效通知到用户的方法有两种,一种是定期地公开失效的证明书的列表的Certificate Revocation List(CRL)方法,一种是保持了证明书的失效信息的服务器回答来自客户的证明书的失效信息的查询的OnlineCertificate Status Protocol(OCSP)方法。在公共个人认证服务中采用前面的方法,因此在本实施方式中,认证书验证单元435对认证台请求CRL,通过判定在接收的CRL中是否列表了客户证明书来确认失效。另外,上述参照了的个人信息的通信对方的确认仅限于将包含个人信息的客户证明书230作为验证对象的情况。
本人确认单元440确认验证对象的电子证明书确实由客户证明书230的所有者发送的情况。在判定单元415判定了接收的电子证明书是暂时电子证明书的情况下,署名验证单元445从暂时存储单元410读取在暂时电子证明书的扩展区域中记载的本人确认信息,并进行署名的验证。如下那样进行使用了本人确认信息的署名的验证。首先,使用预先在与客户装置200之间制定的散列函数对在本人确认信息中包含的字符串210和署名时刻进行散列处理,从而得到散列值。接着,使用在解密的客户证明书230中记载的客户公开密钥对在本人确认信息中包含的署名值C进行解密。最后,比较解密的署名值C和上述散列值。若两者一致,则称为客户证明书230确实是由客户证明书230的所有者发送的证明书。
另一方面,在判定单元415判定为接收的电子证明书不是暂时电子证明书的情况下,署名验证单元445对与电子证明书一同或者在电子证明书的接收之后从客户装置200发送的署名进行验证处理。在客户装置200的功能结构的说明中,如上所述那样在SSL/TLS的Handshake Protocol中的对方认证中,作为本人确认信息,利用作为Handshake Protocol的开始消息的ClientHello消息开始到Client Key Exchange消息为止的通信内容。然后,将通过与在电子证明书中记载的公开密钥对应的秘密密钥对该通信内容的散列值进行加密而计算的署名值加入到在ClientCertificate消息之后发送的CertificateVerify消息的主体后从客户装置200发送。
其中,在接收的电子证明书原样成为验证对象的情况下,署名验证单元445如下那样进行署名验证。在通信单元405中若从客户装置200接收CertificateVerify消息,则署名验证单元445经由暂时存储单元410读取在CertificateVerify消息主体中包含的署名值。然后,署名验证单元445通过在从客户装置200接收的电子证明书中记载的公开密钥对署名值进行解密。此外,暂时存储单元410暂时存储从ClientHello消息开始到Client Key Exchange消息为止的通信内容。其中,署名验证单元445从暂时存储单元410读取这些通信内容从而求出散列值,并与解密的署名值进行比较。若两者一致,则称为接收的电子证明书确实是由该电子证明书的所有者发送的证明书。
另外,在本实施方式中,由于维持与以往的通信对方的认证方法,即SSL/TLS的Handshake Protocol中的对方认证之间的互换性,所以即使在将暂时电子证明书发送到服务器装置400的情况下,也设为客户装置200生成CertificateVerify消息而发送到服务器装置400。此时使用的客户的秘密密钥是与在暂时电子证明书中记载的暂时公开密钥对应的暂时秘密密钥。其中,服务器装置400无需验证在CertificateVerify消息主体中包含的署名。
在暂时电子证明书的扩展区域中还记载署名时刻的情况下,本人确认单元440也可以确认在暂时电子证明书的扩展区域中记载的本人确认信息不是再利用的信息。此时,时刻验证单元450首先取得在服务器装置400上的当前时刻。然后,计算当前时刻和在暂时电子证明书的扩展区域中记载的署名时刻之差,并判定求出的差是否在容许范围内。在容许范围内的情况下,称为本人确认信息不是再利用的信息。这样,通过在署名中包含署名时刻来禁止本人确认信息的再利用,从而能够防止窃听暂时电子证明书而窃取了本人确认信息的第三者生成假的暂时电子证明书。
如上所述,根据本发明的实施方式的服务器装置400,由于在从容户装置200接收到电子证明书的情况下,首先使用在电子证明书的规定区域中记载的判定信息来判定接收的电子证明书是否为暂时电子证明书,所以可根据判定结果来改变应作为用于对方认证的电子证明书的对象。即,根据本发明的实施方式的服务器装置400,可处理被加密的电子证明书和普通的没有加密的电子证明书的两种证明书,可维持与以往的通信对方的认证方法之间的互换性。
接着,参照图5的流程图,说明本实施方式的客户装置200的动作。图5(a)是表示响应于来自服务器装置400的电子证明书的请求而发送电子证明书为止的客户装置200的处理的流程。若从服务器装置400接收用于认证客户装置200的电子证明书的请求(步骤500),则客户装置200从存储单元205读取应发送到服务器装置400的客户证明书230和暂时证明书生成对象保险单一览232(步骤503)。然后,客户装置200从客户证明书230的扩展区域取出证明书保险单(步骤506),并判断读取的证明书保险单是否在暂时证明书生成对象保险单一览232中列表(步骤509)。
在取出的证明书保险单在暂时证明书生成对象保险单一览232中列表的情况下(步骤509:是),开始用于生成暂时电子证明书的前准备。即,客户装置200首先从存储单元205读取服务器证明书215(步骤512),并从读取的服务器证明书215取出所有者信息和服务器公开密钥(步骤515)。此外,客户装置200为了用于暂时电子证明书而生成基于公开密钥方式的一组密钥,即暂时公开密钥和暂时秘密密钥(步骤518)。
若前准备结束,则客户装置200使用准备的信息而生成基于服务器装置400所支持的电子证明书的格式的暂时电子证明书(步骤521)。暂时电子证明书的生成方法在后面叙述。若将生成的暂时电子证明书发送到服务器装置400(步骤524),则客户装置200使用与在暂时电子证明书中记载的暂时公开密钥对应的暂时秘密密钥生成署名,并将其发送到服务器装置400(步骤527)。
另一方面,在步骤509为否的情况下,即在取出的证明书保险单没有在暂时证明书生成对象保险单一览232中列表而在客户证明书230中没有包含个人信息的情况下,客户装置200将从存储单元205读取的客户证明书230原样发送到服务器装置400(步骤530)。然后,客户装置200使用与在客户证明书230中记载的客户公开密钥对应的客户秘密密钥生成署名,并将其发送到服务器装置400(步骤536)。步骤527或者步骤533的后处理结束。
参照图5(b)说明暂时电子说明书生成处理的流程。客户装置200首先使用在图5(a)的步骤515以及518中准备的信息,进行暂时电子证明书的基本区域的设定(步骤540)。即,在发行者信息的字段设定用于表示服务器装置400的所有者信息,还在公开密钥信息的字段设定暂时公开密钥。对于其他字段,分别设定任意合适的值。接着,客户装置200使用在图5(a)的步骤515所取得的服务器公开密钥,对包含个人信息的客户证明书进行加密(步骤545)。此外,客户装置200为了表示客户证明书确实是由其所有者发送的情况而生成本人确认信息(步骤550)。本人确认信息的生成方法在后面叙述。然后,客户装置200在暂时电子证明书的扩展区域设定已加密的客户证明书和本人确认信息(步骤555)。最后,客户装置200使用服务器公开密钥220对暂时电子证明书施以署名(步骤560)。然后,处理结束。
参照图5(c)说明本人确认信息的生成方法的处理流程。客户装置200从存储单元205读取预先在与服务器装置400之间制定的字符串(步骤570)。接着,客户装置200取得客户装置200上的当前时刻(步骤575)。然后,将读取的字符串和当前时刻作为署名对象,使用与在客户证明书230中记载的客户公开密钥对应的客户秘密密钥计算署名值(步骤580)。然后,处理结束。
接着,参照图6的流程图,说明本实施方式的服务器装置400的动作。图6(a)表示服务器装置400的处理流程的概要。服务器装置400为了认证作为通信对方的客户装置200,对客户装置200发送电子证明书的请求(步骤600)。若从客户装置200接收电子证明书(步骤603),服务器装置400验证该证明书(步骤606)。接着,服务器装置400从客户装置200接收署名(步骤609)。服务器装置400验证署名,并确认接收的电子证明书确实是从该电子证明书的所有者发送的情况(步骤612)。然后,处理结束。
参照图6(b)说明服务器装置400验证电子证明书的处理流程。首先,电子证明书400从接收的电子证明书的基本区域取出发行者信息(步骤615),并判定接收的电子证明书是否为暂时电子证明书(步骤620)。在判定为是暂时电子说明书的情况下(步骤620:是),服务器装置400验证暂时电子证明书(步骤625)。暂时电子证明书的验证在后面叙述。在步骤630中,在暂时电子证明书的验证成功的情况下,服务器装置400将在暂时电子证明书内包含的客户证明书230识别为用于认证客户装置200的验证对象(步骤635)。另一方面,在判定为接收的电子证明书不是暂时电子证明书的情况下(步骤620:否),服务器装置400将接收的电子证明书本身识别为用于认证客户装置200的验证对象(步骤637)。
然后,处理从步骤635或步骤637进入步骤640,服务器装置400验证对验证对象的证明书施以的署名(步骤640)。在步骤640中验证成功的情况下,服务器装置400根据在验证对象的证明书中记载的有效期限验证证明书还有效的情况(步骤645)。在步骤645中验证成功的情况下,服务器装置400与验证对象的证明书的发行者进行通信,验证证明书没有失效(步骤650)。在步骤650中验证成功的情况下,服务器装置400参照在验证对象的证明书中记载的所有者信息,验证客户装置200是合适的通信对方(步骤652)。在步骤652中的验证的成功表示电子证明书的验证的成功。另外,验证的顺序并不限定于如图6(b)所示的顺序。
在步骤630中暂时电子证明书的验证失败的情况下,或者在步骤640、645、650以及652的任一个步骤中验证失败的情况下,处理进至步骤660,将验证失败的情况通知到客户装置200。为了通知验证的失败,在SSL/TLS中利用Alert Protocol。例如,在到了证明书的有效期限的情况下,将Certificate_expired消息发送到客户装置200。此外,在证明书失效的情况下,将Certificate_revoked消息发送到客户装置200。
参照图6(c)说明服务器装置400的暂时电子证明书的验证处理的流程。首先,服务器装置400从暂时电子证明书的扩展区域取出被加密的客户证明书230(步骤665),并使用从存储单元425读取的服务器秘密密钥430对客户证明书230进行解密(步骤670)。接着,服务器装置400从暂时电子证明书的扩展区域取出作为本人确认信息而记载的署名对象,即字符串和署名时刻(步骤675),并使用规定的散列函数求出署名对象的散列值。服务器装置400还从暂时电子证明书的扩展区域取出作为本人确认信息而记载的署名值(步骤680)。服务器装置400使用在解密的客户证明书中记载的客户公开密钥对取出的署名值进行解密,将其与散列值进行比较从而验证署名(步骤685)。
在步骤690中验证成功的情况下,即可确认客户证明书230确实是从客户证明书230的所有者发送的情况下,服务器装置400还取得服务器装置400上的当前时刻(步骤695)。然后,服务器装置400计算取得的当前时刻和在暂时电子证明书的扩展区域中记载的署名时刻之差(步骤700)。在计算的差在容许范围内的情况下(步骤705:是),即可确认在暂时电子证明书的扩展区域中记载的本人确认信息不是再利用的信息的情况下,服务器装置400保存验证成功(步骤710)。在步骤740中署名验证失败的情况下或者在步骤705中计算的差不在容许范围内的情况下,服务器装置400保存验证失败(步骤715)。然后,处理结束。
图7是表示本实施方式的客户装置200的硬件结构的一例。图7也是服务器装置400的硬件结构的一例。以下,作为客户装置200的硬件结构说明图7。客户装置200包括:CPU周边单元,包含通过主控制器715而相互连接的CPU710以及RAM730;输入输出单元,包含通过输入输出控制器735而连接到主控制器715的卡总线控制器740以及连接到卡总线控制器740的IC卡读写器745、通信接口770、硬盘驱动760以及CD-ROM驱动760;以及传统(legacy)输入输出单元,包含连接到输入输出控制器735的超I/O控制器780以及连接到超I/O控制器780的软磁盘驱动790、闪速ROM800以及键盘鼠标控制器810。
主控制器715将以高转速访问RAM730的CPU710与RAM730连接。CPU710基于存储在硬盘的程序而动作,进行各个部分的控制。本发明的实施方式的用于认证通信对方的客户装置200用的程序存储在硬盘中,并使用RAM730而由CPU710执行。客户装置200用的程序使客户装置200作为存储单元205、保险单判定单元280、署名生成单元285、暂时存储单元290、暂时证明生成单元235,即作为暂时密钥生成单元240、基本区域设定单元245、加密单元250、时刻取得单元255、署名值计算单元260、扩展区域设定单元265以及署名设定单元270以及通信单元275起作用。由于其具体的功能和动作与使用图2和图5说明的相同,所以省略说明。
另一方面,在本发明的实施方式的服务器装置400用的程序使服务器装置400作为通信单元405、暂时存储单元410、判定单元415、解密单元420、存储单元425以及认证单元430,即作为证明书验证单元435以及包含署名验证单元445和时刻验证单元450的本人确认单元440起作用。由于其具体的功能和动作与使用图4和图6说明的相同,所以省略说明。另外,本发明的实施方式的客户装置200用和服务器装置400用的程序可存储在可通过计算机读取的介质中。可通过计算机读取的介质包含用于命令执行系统、装置或设备或者与它们相关的程序,可以是可存储、通信、传播、或者传输的任意的装置。介质可以是电性的、磁性的、光学的、电磁的、红外线或者半导体系统(或者,装置或设备)或者传播介质。在计算机可读取的介质的例子中,包含半导体或者固态存储装置、磁盘、可装卸的计算机软盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘以及光盘。在当前时刻的光盘的例子中,包含只读光盘存储器(CD-ROM)、读写光盘(CD-R/W)以及DVD。
输入输出控制器735将作为比较高速的输入输出装置的卡总线控制器740和连接到卡总线控制器740的IC卡读写器745、通信接口770、硬盘驱动750和CD-ROM驱动760与主控制器715连接。通信接口770经由网络与服务器装置400等的外部装置进行通信。
此外,在输入输出控制器735上,连接了软磁盘驱动790或键盘鼠标控制器810等比较低速的输入输出装置、以及闪速ROM800。闪速ROM800存储在客户装置200起动时CPU710执行的多功能程序或依赖于客户装置200的硬件的程序等。软磁盘驱动790从软磁盘读取程序或数据,并经由RAM730提供给超I/O控制器735。超I/O控制器735连接软磁盘或例如并行端口、串行端口、键盘端口、鼠标端口等而连接各种输入输出装置。
以上,使用实施方式说明了本发明,但本发明的技术范围并不限定于在上述实施方式中记载的范围中。本领域的技术人员应该理解可对上述实施方式施加各种变更或改良。因此,那些进行了变更或改良的方式也应该包含在本发明的技术范围中。
Claims (18)
1.一种认证方法,使用包含个人信息的电子证明书来认证通信对方,
在客户装置中包括:
从服务器装置接收电子证明书的请求的步骤;
响应于所述请求的接收,从存储单元读取包含个人信息的客户证明书和所述服务器装置的服务器公开密钥的步骤;
使用所述服务器公开密钥,对所述客户证明书进行加密的步骤;
在所述服务器装置所支持的格式的电子证明书的第1区域设定用于表示该电子证明书为暂时电子证明书的判定信息,并且在第2区域设定被加密的所述客户证明书,从而生成所述暂时电子证明书的步骤;以及
将所述暂时电子证明书发送到服务器装置的步骤,
在所述服务器装置中包括:
接收电子证明书的步骤;
从接收的所述电子证明书的所述第1区域取出所述判定信息的步骤;
判定所述判定信息是否表示接收的所述电子证明书为所述暂时电子证明书的步骤;
在判定为接收的所述电子证明书是所述暂时电子证明书的情况下,
从所述暂时电子证明书的所述第2区域取出被加密的所述客户证明书的步骤;
使用与所述服务器公开密钥对应的服务器秘密密钥对取出的所述客户证明书进行解密的步骤;以及
使用解密的所述客户证明书来认证所述客户装置的步骤。
2.如权利要求1所述的认证方法,其中
在所述服务器装置中,包括:
判定为接收的所述电子证明书不是所述暂时电子证明书的情况下,使用接收的所述电子证明书来认证所述客户装置的步骤。
3.如权利要求1所述的认证方法,其中
包含所述个人信息的客户证明书是通过公共个人认证服务所发行的所述客户装置的电子证明书。
4.如权利要求1所述的认证方法,其中
所述服务器装置所支持的电子证明书的格式是X.509。
5.如权利要求1所述的认证方法,其中
所述第1区域是X.509证明书的基本区域,所述第2区域是所述X.509证明书的扩展区域。
6.如权利要求1所述的认证方法,其中
所述服务器装置所支持的格式的电子证明书的第1区域是X.509证明书的扩展区域,作为表示电子证明书是暂时电子证明的所述判定信息而利用证明书保险单。
7.如权利要求1所述的认证方法,其中
在所述客户装置中接收的所述电子证明书的请求是SSL(Secure SocketLayer)或者TLS(Transport Layer Security)的Hand Shake协议的CertificateRequest消息。
8.如权利要求1所述的认证方法,其中
在所述客户装置中,包括:
在所述第2区域还设定规定的字符串和署名值的步骤,所述署名值是使用与在所述客户证明书中记载的客户公开密钥对应的客户秘密密钥,对该规定的字符串的散列值进行加密的值,
在所述服务器装置中,还包括:
在判定为接收的所述电子证明书是所述暂时电子证明书的情况下,通过将根据在所述暂时电子证明书的所述第2区域中记载的所述规定的字符串所求出的散列值、与使用从所述客户证明书中取出的所述客户公开密钥对在所述暂时电子证明书的所述第2区域中记载的所述署名值进行解密的值进行比较,从而确认通信对方是所述客户证明书的所有者本人的步骤。
9.如权利要求1所述的认证方法,其中
在所述客户装置中,包括:
取得在所述客户装置上的当前时刻的步骤;以及
还在所述第2区域设定规定的字符串、表示所述当前时刻的署名时刻以及署名值的步骤,所述署名值是使用与在所述客户证明书中包含的客户公开密钥对应的客户秘密密钥,对所述规定的字符串和所述署名时刻的散列值进行加密的值,
在所述服务器装置中,还包括:
在判定为接收的所述电子证明书是所述暂时电子证明书的情况下,通过将在所述暂时电子证明书的所述第2区域中记载的所述规定的字符串和所述署名时刻、与使用从所述客户证明书中取出的所述客户公开密钥对在所述暂时电子证明书的所述第2区域中记载的所述署名值进行解密的值进行比较,从而确认通信对方是所述客户证明书的所有者本人的步骤。
10.如权利要求9所述的认证方法,其中
在所述服务器装置中,还包括:
在判定为接收的所述电子证明书是所述暂时电子证明书的情况下,取得在所述服务器装置上的当前时刻的步骤;以及
判断该当前时刻和从所述暂时电子证明书的所述第2区域中取出的所述署名时刻之差是否在容许范围内的步骤。
11.一种用于认证通信对方的方法,是在客户装置中执行的、使用包含个人信息的电子证明书来认证通信对方的方法,所述用于认证通信对方的方法包括:
从服务器装置接收电子证明书的请求的步骤;
响应于所述请求的接收,从存储单元读取包含个人信息的客户证明书和所述服务器装置的服务器公开密钥的步骤;
使用所述服务器公开密钥,对所述客户证明书进行加密的步骤;
在所述服务器装置所支持的格式的电子证明书的第1区域设定用于表示该电子证明书为暂时电子证明书的判定信息,并且在第2区域设定被加密的所述客户证明书,从而生成所述暂时电子证明书的步骤;以及
将所述暂时电子证明书发送到所述服务器装置的步骤。
12.一种用于认证通信对方的方法,是在服务器装置中执行的、使用包含个人信息的电子证明书来认证通信对方的方法,所述用于认证通信对方的方法包括:
对客户装置请求客户证明书的步骤;
从所述客户装置接收该客户装置的电子证明书的步骤;
从接收的所述电子证明书的第1区域取出判定信息的步骤;
判定所述判定信息是否表示接收的所述电子证明书为包含个人信息的暂时电子证明书的步骤;
在判定为接收的所述电子证明书不是所述暂时电子证明书的情况下,使用接收的所述电子证明书来认证所述客户装置的步骤;
在判定为接收的所述电子证明书是所述暂时电子证明书的情况下,
从接收的所述电子证明书的第2区域取出使用所述服务器装置的服务器公开密钥被加密的客户证明书的步骤;
使用与所述服务器公开密钥对应的服务器秘密密钥对加密的所述客户证明书进行解密的步骤;以及
使用解密的所述客户证明书来认证所述客户装置的步骤。
13.一种系统,使用包含个人信息的电子证明书来认证通信对方,所述系统包括客户装置和服务器装置,
所述客户装置包括:
接收单元,从服务器装置接收电子证明书的请求;
存储单元,存储包含个人信息的客户证明书和所述服务器装置的服务器公开密钥;
加密单元,响应于所述请求的接收,使用从所述存储单元读取的所述服务器公开密钥,对所述客户证明书进行加密;
生成单元,在所述服务器装置所支持的格式的电子证明书的第1区域设定用于表示该电子证明书为暂时电子证明书的判定信息,并且在第2区域设定被加密的所述客户证明书,从而生成所述暂时电子证明书;以及
发送单元,将所述暂时电子证明书发送到所述服务器装置,
所述服务器装置包括:
存储单元,存储与所述服务器公开密钥对应的服务器秘密密钥;
接收单元,接收电子证明书;
判定单元,判定从接收的所述电子证明书的所述第1区域取出的所述判定信息是否表示接收的所述电子证明书为暂时电子证明书;
解密单元,响应于所述判定单元判定为是暂时电子证明书,从接收的所述电子证明书的所述第2区域取出被加密的所述客户证明书,并使用从所述存储单元读取的服务器秘密密钥对该客户证明书进行解密;以及
认证单元,在所述判定单元判定为接收的所述电子证明书是暂时电子证明书的情况下,使用通过所述解密单元解密的所述客户证明书来认证客户装置。
14.一种客户装置,用于使用包含个人信息的电子证明书来认证通信对方,所述客户装置包括:
接收单元,从服务器装置接收电子证明书的请求;
存储单元,存储包含个人信息的客户证明书和所述服务器装置的服务器公开密钥;
加密单元,响应于所述请求的接收,使用从所述存储单元读取的所述服务器公开密钥,对所述客户证明书进行加密;
生成单元,在所述服务器装置所支持的格式的电子证明书的第1区域设定用于表示该电子证明书为暂时电子证明书的判定信息,并且在第2区域设定被加密的所述客户证明书,从而生成所述暂时电子证明书;以及
发送单元,将所述暂时电子证明书发送到所述服务器装置。
15.一种服务器装置,用于使用包含个人信息的电子证明书来认证通信对方,所述服务器装置包括:
存储单元,存储与服务器公开密钥对应的服务器秘密密钥;
接收单元,从客户装置接收电子证明书;
判定单元,判定从接收的所述电子证明书的第1区域取出的判定信息是否表示接收的所述电子证明书为暂时电子证明书;
解密单元,响应于所述判定单元判定为是暂时电子证明书,从接收的所述电子证明书的第2区域取出被加密的客户证明书,并使用从所述存储单元读取的服务器秘密密钥进行解密;以及
认证单元,在所述判定单元判定为接收的所述电子证明书不是所述暂时电子证明书的情况下,使用接收的所述电子证明书来认证所述客户装置,而在所述判定单元判定为是暂时电子证明书的情况下,使用通过所述解密单元解密的所述客户证明书来认证所述客户。
16.一种程序,用于使用包含个人信息的电子证明书来认证通信对方,
所述程序使客户装置执行以下步骤:
从服务器装置接收电子证明书的请求的步骤;
响应于所述请求的接收,从存储单元读取包含个人信息的客户证明书和所述服务器装置的服务器公开密钥的步骤;
使用所述服务器公开密钥,对所述客户证明书进行加密的步骤;
在所述服务器装置所支持的格式的电子证明书的第1区域设定用于表示该电子证明书为暂时电子证明书的判定信息,并且在第2区域设定被加密的所述客户证明书,从而生成暂时电子证明书的步骤;以及
将所述暂时电子证明书发送到服务器装置的步骤,
所述程序还使所述服务器装置执行以下步骤:
接收电子证明书的步骤;
从接收的所述电子证明书的所述第1区域取出所述判定信息的步骤;
判定所述判定信息是否表示接收的所述电子证明书为所述暂时电子证明书的步骤;
在判定为接收的所述电子证明书是所述暂时电子证明书的情况下,
从接收的所述暂时电子证明书的所述第2区域取出被加密的所述客户证明书的步骤;
使用与所述服务器公开密钥对应的服务器秘密密钥对取出的所述客户证明书进行解密的步骤;以及
使用解密的所述客户证明书来认证所述客户装置的步骤。
17.一种用于认证通信对方的程序,使用包含个人信息的电子证明书来认证通信对方,
所述程序使客户装置执行以下步骤:
从服务器装置接收电子证明书的请求的步骤;
响应于所述请求的接收,从存储单元读取包含个人信息的客户证明书和所述服务器装置的服务器公开密钥的步骤;
使用所述服务器公开密钥,对所述客户证明书进行加密的步骤;
在所述服务器装置所支持的格式的电子证明书的第1区域设定用于表示该电子证明书为暂时电子证明书的判定信息,并且在第2区域设定被加密的所述客户证明书,从而生成暂时电子证明书的步骤;以及
将所述暂时电子证明书发送到所述服务器装置的步骤。
18.一种用于认证通信对方的程序,使用包含个人信息的电子证明书来认证通信对方,
所述程序使服务器装置执行以下步骤:
对客户装置请求客户证明书的步骤;
从所述客户装置接收该客户装置的电子证明书的步骤;
从接收的所述电子证明书的第1区域取出判定信息的步骤;
判定所述判定信息是否表示接收的所述电子证明书为包含所述个人信息的暂时电子证明书的步骤;
在判定为接收的所述电子证明书不是所述暂时电子证明书的情况下,使用接收的所述电子证明书来认证所述客户装置的步骤;
在判定为接收的所述电子证明书是所述暂时电子证明书的情况下,
从接收的所述暂时电子证明书的第2区域取出使用所述服务器装置的服务器公开密钥被加密的客户证明书的步骤;
使用与所述服务器公开密钥对应的服务器秘密密钥对加密的所述客户证明书进行解密的步骤;以及
使用解密的所述客户证明书来认证所述客户装置的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006293253 | 2006-10-27 | ||
| JP293253/2006 | 2006-10-27 | ||
| PCT/JP2007/070706 WO2008050792A1 (fr) | 2006-10-27 | 2007-10-24 | Système, dispositif, procédé et programme pour authentifier un partenaire de communication au moyen d'un certificat électronique incluant des informations personnelles |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101529797A true CN101529797A (zh) | 2009-09-09 |
| CN101529797B CN101529797B (zh) | 2011-12-14 |
Family
ID=39324586
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800400182A Expired - Fee Related CN101529797B (zh) | 2006-10-27 | 2007-10-24 | 用于使用包含个人信息的电子证明书来认证通信对方的系统、装置、方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US8225096B2 (zh) |
| EP (1) | EP2086162B1 (zh) |
| JP (1) | JP4870777B2 (zh) |
| KR (1) | KR101054970B1 (zh) |
| CN (1) | CN101529797B (zh) |
| CA (1) | CA2663241C (zh) |
| IN (1) | IN2009CN02956A (zh) |
| WO (1) | WO2008050792A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102103669A (zh) * | 2009-12-22 | 2011-06-22 | 英特尔公司 | 使用编码的安全性信息进行的自动安全性控制 |
| CN102467466A (zh) * | 2010-11-05 | 2012-05-23 | 富士施乐株式会社 | 信息处理设备和信息处理方法 |
| CN104320264A (zh) * | 2014-02-24 | 2015-01-28 | 杨淼彬 | 一种有效信息的电子认证方法 |
| CN105408913A (zh) * | 2013-08-21 | 2016-03-16 | 英特尔公司 | 在云中隐私地处理数据 |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6990581B1 (en) | 2000-04-07 | 2006-01-24 | At&T Corp. | Broadband certified mail |
| SI2011301T1 (sl) * | 2006-04-10 | 2011-10-28 | Trust Integration Services B V | Sklop in postopek za varen prenos podatkov |
| US8225096B2 (en) | 2006-10-27 | 2012-07-17 | International Business Machines Corporation | System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information |
| FR2958821A1 (fr) * | 2007-12-11 | 2011-10-14 | Mediscs | Procede d'authentification d'un utilisateur |
| ATE540371T1 (de) * | 2008-06-23 | 2012-01-15 | St Ericsson Sa | Elektronische vorrichtung und verfahren zur software- oder firmwareaktualisierung einer elektronischen vorrichtung |
| JP5329184B2 (ja) * | 2008-11-12 | 2013-10-30 | 株式会社日立製作所 | 公開鍵証明書の検証方法及び検証サーバ |
| US8510810B2 (en) * | 2008-12-23 | 2013-08-13 | Bladelogic, Inc. | Secure credential store |
| US8499154B2 (en) * | 2009-01-27 | 2013-07-30 | GM Global Technology Operations LLC | System and method for establishing a secure connection with a mobile device |
| JP5505160B2 (ja) | 2010-07-22 | 2014-05-28 | ブラザー工業株式会社 | 情報処理装置及びコンピュータプログラム |
| JP5505161B2 (ja) * | 2010-07-22 | 2014-05-28 | ブラザー工業株式会社 | 情報処理装置及びコンピュータプログラム |
| US8776205B2 (en) * | 2010-10-29 | 2014-07-08 | GM Global Technology Operations LLC | Secure connection systems and methods for vehicles |
| US8789163B2 (en) * | 2011-02-20 | 2014-07-22 | Robert S. Cahn | On-line membership verification utilizing an associated organization certificate |
| US8843740B2 (en) | 2011-12-02 | 2014-09-23 | Blackberry Limited | Derived certificate based on changing identity |
| US9026789B2 (en) | 2011-12-23 | 2015-05-05 | Blackberry Limited | Trusted certificate authority to create certificates based on capabilities of processes |
| US9444629B2 (en) | 2013-05-24 | 2016-09-13 | Sap Se | Dual layer transport security configuration |
| DE102013222503A1 (de) * | 2013-11-06 | 2015-05-07 | Siemens Aktiengesellschaft | Client-Einrichtung und Verfahren zum Prägen einer Client-Einrichtung auf mindestens eine Server-Einrichtung |
| US20160182289A1 (en) * | 2014-12-18 | 2016-06-23 | Interactive Intelligence Group, Inc. | System and method for device pairing transaction |
| US10523435B2 (en) * | 2015-07-20 | 2019-12-31 | Digicert, Inc. | Mutable fields in digital certificates |
| US10454689B1 (en) * | 2015-08-27 | 2019-10-22 | Amazon Technologies, Inc. | Digital certificate management |
| US20170063557A1 (en) * | 2015-08-28 | 2017-03-02 | Fortinet, Inc. | Detection of fraudulent certificate authority certificates |
| JP6567939B2 (ja) | 2015-10-05 | 2019-08-28 | 任天堂株式会社 | 情報処理システム、周辺機器、無線通信チップ、アプリケーションプログラム、および情報処理方法 |
| US11552968B2 (en) * | 2015-10-28 | 2023-01-10 | Qomplx, Inc. | System and methods for detecting and mitigating golden SAML attacks against federated services |
| KR102444239B1 (ko) | 2016-01-21 | 2022-09-16 | 삼성전자주식회사 | 보안 칩, 어플리케이션 프로세서, 보안 칩을 포함하는 디바이스 및 그 동작방법 |
| US10243955B2 (en) * | 2016-07-14 | 2019-03-26 | GM Global Technology Operations LLC | Securely establishing time values at connected devices |
| US9660978B1 (en) * | 2016-08-08 | 2017-05-23 | ISARA Corporation | Using a digital certificate with multiple cryptosystems |
| US11388145B2 (en) * | 2016-09-12 | 2022-07-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Tunneling data traffic and signaling over secure etls over wireless local area networks |
| US9667619B1 (en) * | 2016-10-14 | 2017-05-30 | Akamai Technologies, Inc. | Systems and methods for utilizing client side authentication to select services available at a given port number |
| JP6784198B2 (ja) * | 2017-03-09 | 2020-11-11 | トヨタ自動車株式会社 | 施解錠システム、キーユニット |
| US10581829B1 (en) | 2017-05-31 | 2020-03-03 | Cisco Technology, Inc. | Certificate-based call identification and routing |
| US11316666B2 (en) * | 2017-07-12 | 2022-04-26 | Amazon Technologies, Inc. | Generating ephemeral key pools for sending and receiving secure communications |
| US11082412B2 (en) | 2017-07-12 | 2021-08-03 | Wickr Inc. | Sending secure communications using a local ephemeral key pool |
| JP2019057083A (ja) * | 2017-09-20 | 2019-04-11 | 株式会社三井住友銀行 | 非対面取引によるリモート口座開設方法、コンピュータ、およびプログラム |
| US11546310B2 (en) * | 2018-01-26 | 2023-01-03 | Sensus Spectrum, Llc | Apparatus, methods and articles of manufacture for messaging using message level security |
| US10425401B1 (en) | 2018-10-31 | 2019-09-24 | ISARA Corporation | Extensions for using a digital certificate with multiple cryptosystems |
| TWI723494B (zh) * | 2019-08-15 | 2021-04-01 | 威進國際資訊股份有限公司 | 客戶端驗證系統及其驗證方法 |
| KR20210076402A (ko) * | 2019-12-16 | 2021-06-24 | 현대자동차주식회사 | 차량용 제어기 및 그 인증서 주입 방법 |
| JP2022020143A (ja) * | 2020-07-20 | 2022-02-01 | 富士通株式会社 | 通信プログラム、通信装置、及び通信方法 |
| US11514165B2 (en) * | 2020-09-18 | 2022-11-29 | Dell Products L.P. | Systems and methods for secure certificate use policies |
| CN112311766B (zh) * | 2020-09-29 | 2022-04-01 | 新华三大数据技术有限公司 | 一种用户证书的获取方法及装置、终端设备 |
| KR102474894B1 (ko) * | 2022-09-01 | 2022-12-06 | (주)노르마 | 양자 내성 암호화 알고리즘에 기초한 서명과 인증을 수행함으로써 가상 사설 네트워크를 제공하는 가상 사설 네트워크 형성 방법 및 이를 수행하는 가상 사설 네트워크 운용 시스템 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3905961B2 (ja) | 1997-11-11 | 2007-04-18 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 臨時署名認証の方法及びそのシステム |
| US6189096B1 (en) * | 1998-05-06 | 2001-02-13 | Kyberpass Corporation | User authentification using a virtual private key |
| US7039805B1 (en) | 1998-05-20 | 2006-05-02 | Messing John H | Electronic signature method |
| US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US8812850B2 (en) * | 2000-03-02 | 2014-08-19 | Tivo Inc. | Secure multimedia transfer system |
| JP4586250B2 (ja) * | 2000-08-31 | 2010-11-24 | ソニー株式会社 | 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体 |
| US6807577B1 (en) * | 2000-09-14 | 2004-10-19 | International Business Machines Corporation | System and method for network log-on by associating legacy profiles with user certificates |
| FR2822002B1 (fr) | 2001-03-12 | 2003-06-06 | France Telecom | Authentification cryptographique par modules ephemeres |
| JP2005531935A (ja) * | 2001-07-12 | 2005-10-20 | アトルア テクノロジーズ インコーポレイテッド | 複数の部分的な生体計測によるフレーム走査からの生体画像アセンブリのための方法及びシステム |
| JP3842100B2 (ja) | 2001-10-15 | 2006-11-08 | 株式会社日立製作所 | 暗号化通信システムにおける認証処理方法及びそのシステム |
| JP2005051734A (ja) * | 2003-07-15 | 2005-02-24 | Hitachi Ltd | 電子文書の真正性保証方法および電子文書の公開システム |
| JP2005328408A (ja) | 2004-05-17 | 2005-11-24 | Hitachi Ltd | 属性証明書の属性情報暗号化方法 |
| US20090055642A1 (en) * | 2004-06-21 | 2009-02-26 | Steven Myers | Method, system and computer program for protecting user credentials against security attacks |
| WO2005125084A1 (en) | 2004-06-21 | 2005-12-29 | Echoworx Corporation | Method, system and computer program for protecting user credentials against security attacks |
| US7900247B2 (en) * | 2005-03-14 | 2011-03-01 | Microsoft Corporation | Trusted third party authentication for web services |
| US8225096B2 (en) | 2006-10-27 | 2012-07-17 | International Business Machines Corporation | System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information |
-
2007
- 2007-08-21 US US11/842,482 patent/US8225096B2/en active Active
- 2007-10-24 CN CN2007800400182A patent/CN101529797B/zh not_active Expired - Fee Related
- 2007-10-24 JP JP2008541007A patent/JP4870777B2/ja not_active Expired - Fee Related
- 2007-10-24 EP EP07830440.9A patent/EP2086162B1/en active Active
- 2007-10-24 WO PCT/JP2007/070706 patent/WO2008050792A1/ja active Application Filing
- 2007-10-24 KR KR1020097008495A patent/KR101054970B1/ko active IP Right Grant
- 2007-10-24 IN IN2956CHN2009 patent/IN2009CN02956A/en unknown
- 2007-10-24 CA CA2663241A patent/CA2663241C/en not_active Expired - Fee Related
-
2012
- 2012-04-26 US US13/456,431 patent/US8578167B2/en active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102103669A (zh) * | 2009-12-22 | 2011-06-22 | 英特尔公司 | 使用编码的安全性信息进行的自动安全性控制 |
| CN102103669B (zh) * | 2009-12-22 | 2015-08-19 | 英特尔公司 | 自动安全性控制系统及计算机实现的方法 |
| CN102467466A (zh) * | 2010-11-05 | 2012-05-23 | 富士施乐株式会社 | 信息处理设备和信息处理方法 |
| CN102467466B (zh) * | 2010-11-05 | 2016-03-30 | 富士施乐株式会社 | 信息处理设备和信息处理方法 |
| CN105408913A (zh) * | 2013-08-21 | 2016-03-16 | 英特尔公司 | 在云中隐私地处理数据 |
| CN105408913B (zh) * | 2013-08-21 | 2019-03-15 | 英特尔公司 | 在云中隐私地处理数据 |
| CN104320264A (zh) * | 2014-02-24 | 2015-01-28 | 杨淼彬 | 一种有效信息的电子认证方法 |
| CN104320264B (zh) * | 2014-02-24 | 2018-07-31 | 杨淼彬 | 一种有效信息的电子认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120272066A1 (en) | 2012-10-25 |
| IN2009CN02956A (zh) | 2015-08-07 |
| JPWO2008050792A1 (ja) | 2010-02-25 |
| US8225096B2 (en) | 2012-07-17 |
| EP2086162A4 (en) | 2017-05-17 |
| EP2086162A1 (en) | 2009-08-05 |
| CN101529797B (zh) | 2011-12-14 |
| KR101054970B1 (ko) | 2011-08-05 |
| US20080104401A1 (en) | 2008-05-01 |
| JP4870777B2 (ja) | 2012-02-08 |
| US8578167B2 (en) | 2013-11-05 |
| CA2663241C (en) | 2014-12-09 |
| EP2086162B1 (en) | 2020-01-29 |
| CA2663241A1 (en) | 2008-05-02 |
| WO2008050792A1 (fr) | 2008-05-02 |
| KR20090075705A (ko) | 2009-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101529797B (zh) | 用于使用包含个人信息的电子证明书来认证通信对方的系统、装置、方法 | |
| US10673632B2 (en) | Method for managing a trusted identity | |
| KR101999188B1 (ko) | 비밀 공유를 위한 타원 곡선 암호를 사용하는 개인용 장치 보안 | |
| KR100734737B1 (ko) | 조건부 전자 서명의 생성 방법, 조건부 전자 서명의 검증 방법, 데이터 처리 장치 및 컴퓨터 판독 가능 기록 매체 | |
| CN109845220A (zh) | 用于提供区块链参与者身份绑定的方法和装置 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| EP2529506B1 (en) | Access control | |
| US20100058058A1 (en) | Certificate Handling Method and System for Ensuring Secure Identification of Identities of Multiple Electronic Devices | |
| JP2003318896A (ja) | グループに加入するように勧誘された潜在メンバを認証するための方法 | |
| US20070255951A1 (en) | Token Based Multi-protocol Authentication System and Methods | |
| CN101243438A (zh) | 分布式单一注册服务 | |
| WO2021134897A1 (zh) | 区块链供应链交易隐藏动态监管系统及方法 | |
| JP2010231404A (ja) | 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム | |
| JP2008234143A (ja) | バイオメトリクスを使用した本人限定メール開封システムおよびその方法ならびにそのためのプログラム | |
| US20020184501A1 (en) | Method and system for establishing secure data transmission in a data communications network notably using an optical media key encrypted environment (omkee) | |
| KR102415982B1 (ko) | 블록체인 시스템 | |
| JP4140617B2 (ja) | 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 | |
| WO2007138716A1 (ja) | 暗号化通信方法及び暗号化通信システム | |
| More et al. | Decentralized Fingerprinting for Secure Peer-To-Peer Data Exchange of Aadhaar Via Public Key Infrastructure | |
| EP4210276A1 (en) | Method and apparatus for generating certified user data | |
| EP4231583A1 (en) | Methods and arrangements for establishing digital identity | |
| Piper | An Introduction to Cryptography | |
| JP2006074487A (ja) | 認証管理方法及び認証管理システム | |
| JP2002082611A (ja) | 取引情報の保全方法及び取引情報の保管元コンピュータ | |
| JP2006128761A (ja) | 暗号技術を用いた通信方法と通信システム、および生体情報検証装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160119 Address after: China Hongkong Quarry Bay's Road No. 979 building 23 layer Taikoo Place Lincoln Patentee after: Lenovo International Ltd Address before: American New York Patentee before: International Business Machines Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111214 Termination date: 20171024 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |