JP4639732B2 - Electronic certificate editing program and method, and IC card - Google Patents
Electronic certificate editing program and method, and IC card Download PDFInfo
- Publication number
- JP4639732B2 JP4639732B2 JP2004288724A JP2004288724A JP4639732B2 JP 4639732 B2 JP4639732 B2 JP 4639732B2 JP 2004288724 A JP2004288724 A JP 2004288724A JP 2004288724 A JP2004288724 A JP 2004288724A JP 4639732 B2 JP4639732 B2 JP 4639732B2
- Authority
- JP
- Japan
- Prior art keywords
- format
- electronic certificate
- card
- certificate
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 63
- 238000003860 storage Methods 0.000 claims description 122
- 238000004891 communication Methods 0.000 claims description 19
- 238000001514 detection method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 53
- 238000012545 processing Methods 0.000 description 38
- 230000033228 biological regulation Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000005304 joining Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、公開鍵基盤(PKI:Public Key Infrastructure)において用いられる電子証明書の編集方法に関する。 The present invention relates to an electronic certificate editing method used in a public key infrastructure (PKI).
近年、インターネットに代表されるネットワーク技術を利用し、様々な電子商取引ビジネスが展開されている。ここで、電子商取引とは、インターネットなどのネットワークを利用して、契約や決済などを行なう取引形態のことである。例えばインターネット上で商品を販売する電子商店から商品を購入するインターネットショッピングがある。ところで、インターネットショッピングのような電子商取引を利用する際に、不正な取引が行われないために、まず電子商店の正当性(第3者によって本人であると確認されているかどうか)の確認が必要となる。これは、SSL(Secure Socket Layer)技術を利用し、電子商店のサイトのWebサーバに対して、サーバ認証を行うことができるため、確認可能である。この後、購入者はサイトの正当性を確認し、商品を選択し、支払方法を選択する。例えば、購入者が持つクレジットカード番号等を通知し、クレジットカード会社から購入者に金額が請求されるクレジットカード決済や、購入者の自宅等に銀行等の金融機関への振込用紙を商品と共に配達し、購入者がそれを確認して金額を支払う方法等が挙げられる。 In recent years, various electronic commerce businesses have been developed using network technology represented by the Internet. Here, electronic commerce refers to a transaction form in which a contract or settlement is made using a network such as the Internet. For example, there is Internet shopping for purchasing products from an electronic store that sells products on the Internet. By the way, when using e-commerce such as Internet shopping, it is necessary to confirm the validity of the e-shop (whether or not it is confirmed by a third party) in order to prevent unauthorized transactions. It becomes. This can be confirmed by using SSL (Secure Socket Layer) technology and performing server authentication for the Web server of the online store site. Thereafter, the purchaser confirms the legitimacy of the site, selects a product, and selects a payment method. For example, the credit card number of the purchaser is notified, and the credit card payment is charged to the purchaser from the credit card company, and the transfer form to the bank or other financial institution is delivered with the product to the purchaser's home, etc. Then, there is a method in which the purchaser confirms it and pays the amount.
ここでSSL技術とは、公開鍵暗号、秘密鍵暗号、電子証明書などのセキュリティ技術を組み合わせた、インターネットのプロトコルのことである。
ところで、安全な電子商取引を実現するためには、購入者が電子商店サイトの正当性を確認するだけでなく、逆に電子商店サイトが購入者の正当性の確認が必要となる。上記の2つの支払方法のうち、後者は購入者の正当性の確認(本人確認)が確実に行われている。なぜならば商品とその金額請求の振込用紙が、同時に購入者の自宅等に配達されるため、購入者は商品を見て自分がそれを購入したかどうか判断でき、購入した覚えの無い商品であれば、商品を受け取らずに支払いも断ることができる。また悪意のある購入者は、商品を受け取るために自分の名前、住所等を電子商店のサイトへ知らせねばならず、商品を受け取った時に購入行為を承諾したことになるため、商品を受け取りかつ購入行為を拒否することは出来ない。しかしこれらの場合、購入者が金融機関もしくは金融機関への振込みを取り扱う店舗に、実際に出向いて支払いを行う必要がある。
Here, the SSL technology is an Internet protocol that combines security technologies such as public key cryptography, private key cryptography, and electronic certificate.
By the way, in order to realize safe electronic commerce, not only the purchaser confirms the validity of the electronic store site, but also the electronic store site needs to confirm the validity of the purchaser. Of the above two payment methods, the latter is surely confirmed by the purchaser (identity verification). Because the product and the transfer bill for the amount billing are delivered to the purchaser's home etc. at the same time, the purchaser can see whether the product has been purchased by looking at the product, and if it is a product that he / she has never purchased For example, you can decline payment without receiving the product. In addition, a malicious purchaser must inform the e-commerce store site of his / her name and address in order to receive the product, and accepts the purchase act when receiving the product. You cannot refuse to act. However, in these cases, it is necessary for the purchaser to actually go to the financial institution or the store handling the transfer to the financial institution and make payment.
また前者のクレジットカード決済の場合、クレジットカード番号、名義人、有効期限等、いくつかの個人情報を送信し、その情報をクレジットカード会社へ問い合わせることで本人確認としている。このためこれらの情報が、なんらかの形で盗み見られた場合は、悪意を持った、クレジットカードの持ち主以外の人間が、持ち主に成り代り商品の購入ができてしまう。ここで、何らかの形で盗み見られた場合とは、例えば、名義人、有効期限、クレジットカード番号が表面に書かれているクレジットカードを入れた財布を、公共の場所に短時間放置しておき、その間に悪意ある第3者に上記の個人情報を知られた場合や、特許文献1で記されている、「トロイの木馬」を利用した方法で、上記の個人情報を悪意ある第3者に知られた場合が挙げられる。 In the case of the former credit card settlement, some personal information such as a credit card number, name holder, expiration date, etc. is transmitted, and the identity is confirmed by inquiring the information to the credit card company. For this reason, if such information is stolen in some form, a person other than the owner of the credit card who has malicious intent can purchase the product on behalf of the owner. Here, if it is stolen in some form, for example, the wallet containing the credit card with the name holder, expiration date, and credit card number written on the surface is left in a public place for a short time, In the meantime, if the above-mentioned personal information is known to a malicious third party, or the method described in Patent Document 1 using the “Trojan horse”, the above-mentioned personal information is transferred to the malicious third party. The case where it is known is mentioned.
上記のように、現在インターネットショッピングを利用する際には、購入者の本人確認において問題が存在している。 As described above, when using Internet shopping at present, there is a problem in the identity verification of the purchaser.
上記の課題を解決するために、本発明は、利用者がサービスを利用する際に用いる利用者端末であるコンピュータとICカードとが通信可能なシステムにおける前記コンピュータに、第1のフォーマットに従った電子証明書のフォーマット情報を記憶する手順、
ICカードから、第2のフォーマットに従った電子証明書で使用される情報を読み出す手順、前記第1のフォーマットに従った電子証明書のフォーマット情報と、読み出された前記第2のフォーマットに従った電子証明書で使用される情報を照合して、前記第1のフォーマットに従った電子証明書を作成するために必要となる差分情報を検出する手順、前記差分情報について、他の装置に問い合わせて取得する手順、を実行させるためのプログラムである。
In order to solve the above problems, the present invention is the user definitive in a user terminal computer and the IC card and capable communication system used for utilizing a service the computer, according to the first format procedure to store the format information of the electronic certificate,
Procedure for reading information used in an electronic certificate according to the second format from the IC card, format information of the electronic certificate according to the first format, and according to the read second format A procedure for collating information used in an electronic certificate and detecting differential information necessary to create an electronic certificate in accordance with the first format, and inquiring other devices about the differential information procedure for acquiring Te, which is a program for execution.
ここで、公開鍵暗号方式とは、対になる2つの鍵を使ってデータの暗号化・復号を行なう暗号方式である。一方の鍵は他人に広く公開するため公開鍵と呼ばれ、もう一方は本人だけがわかるように厳重に管理されるため秘密鍵と呼ばれる。秘密鍵で暗号化されたデータは対応する公開鍵でしか復号できず、公開鍵で暗号化されたデータは対応する秘密鍵でしか復号できない。そのため暗号化と復号化を同じ鍵で行なう秘密鍵暗号方式において必要となる、自分と通信相手で鍵を共有するための輸送が不要なため、鍵の管理が楽で安全性が高い技術である。
またここで、PKIとは、公開鍵暗号方式の技術と電子署名を使って、インターネットで安全な通信ができるようにするための環境のことである。Aが、公開鍵暗号方式の技術を用いて、通信相手Bへ秘密データを送る場合、あらかじめ通信相手Bから公開鍵を送ってもらう。しかしこの時は、送られた公開鍵が、間違いなく自分の意図する通信相手Bの公開鍵かどうか、確認する必要がある。もし、悪意のある人間Cが、Aと通信相手Bのやりとりをネットワーク上で盗聴していた場合、公開鍵をすり替え、それによって暗号化されたデータを更に盗聴し、Cの保有する秘密鍵で複合することで、秘密情報が漏洩してしまう恐れがある。PKIはこのような不正行為に対応したもので、認証局(CA:Certificate Authority)と呼ばれる信頼できる第3者認証機関を設けて、第3者認証機関の電子署名を付した「公開鍵証明書」とともに公開鍵を発行、管理し、通信相手の正当性を証明する仕組みを提供する環境のことである。またここで、デジタル署名とは、公開鍵暗号方式での秘密鍵を用いて暗号化したデータを文書に付加して送る際の付加データことで、秘密鍵を持つ本人にしか作れない。受取人は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認することができるため、文書の作成者を証明し、かつその文書が改ざんされていないことを保証するために用いられる。
Here, the public key encryption method is an encryption method that encrypts and decrypts data using two pairs of keys. One key is called a public key because it is widely disclosed to others, and the other key is called a secret key because it is strictly managed so that only the person can understand it. Data encrypted with the private key can be decrypted only with the corresponding public key, and data encrypted with the public key can be decrypted only with the corresponding private key. For this reason, it is necessary for a secret key cryptosystem that uses the same key for encryption and decryption, and it does not require transport for sharing the key between itself and the other party. .
Here, PKI is an environment for enabling secure communication over the Internet using public key cryptography technology and electronic signatures. When A sends secret data to the communication partner B using a public key cryptosystem technique, the communication partner B sends a public key in advance. However, at this time, it is necessary to confirm whether the sent public key is definitely the public key of the communication partner B intended by the user. If a malicious person C eavesdrops on the network for communication between A and communication partner B, the public key is replaced, and the encrypted data is further eavesdropped, and the secret key held by C There is a risk that confidential information may be leaked by combining. PKI is designed to deal with such misconduct. A public key certificate with a trusted third party certification authority called CA (Certificate Authority) and an electronic signature of the third party certification authority. "Is an environment that provides a mechanism for issuing and managing public keys and proving the legitimacy of communication partners. Here, the digital signature is additional data when data encrypted using a secret key in a public key cryptosystem is added to a document and sent, and can only be created by the person who has the secret key. Recipients can decrypt the signature using the signer's public key and verify that it is correct, so as to prove the author of the document and to ensure that the document has not been tampered with Used.
なお、利用者が、認証局から新規に電子証明書を取得する方法として、特許文献2及び特許文献3が公開されている。
しかしながら上述したEMV仕様は、金融業界の企業が自己のサービスに必要な機能を実現するために策定したものであるため、他の業界に適用していくのは困難であるという問題がある。例えばインターネットショッピングの場合、それらのサイトを運営しているシステムは、SSL技術等を利用したシステムが一般的であり、X.509準拠の電子証明書が広く使用されており、独自フォーマットの電子証明書は利用できない。
本発明はこのような事情に鑑みてなされたもので、電子証明書フォーマットの異なるサービスを1枚のICカードで利用可能とするために、他のフォーマットの電子証明書を元に、X.509準拠フォーマットの電子証明書を編集するプログラム、方法及びそれを実現するICカードを提供することを目的とする。
However, since the above-mentioned EMV specifications are formulated by companies in the financial industry to realize functions necessary for their services, there is a problem that it is difficult to apply them to other industries. For example, in the case of Internet shopping, the systems that operate those sites are generally systems that use SSL technology, etc., and X.509-compliant electronic certificates are widely used, and electronic certificates in a proprietary format The letter is not available.
The present invention has been made in view of such circumstances, and in order to make it possible to use services with different electronic certificate formats on a single IC card, X.509 is based on electronic certificates in other formats. An object of the present invention is to provide a program and method for editing an electronic certificate in a compliant format, and an IC card that realizes the program.
上記の課題を解決するために、請求項1の発明は、利用者がサービスを利用する際に用いる利用者端末とICカードとが通信可能なシステムに用いられるプログラムであって、第1のフォーマットに従った電子証明書のフォーマット情報を記憶するステップと、ICカードから、第2のフォーマットに従った電子証明書で使用される情報を読み出すステップと、前記第1のフォーマットに従った電子証明書のフォーマット情報と、読み出された前記第2のフォーマットに従った電子証明書で使用される情報を照合して、前記第1のフォーマットに従った電子証明書を作成するために必要となる差分情報を検出するステップと、前記差分情報について、他の装置に問い合わせて取得するステップとをコンピュータに実行させるためのプログラムである。 In order to solve the above-mentioned problem, the invention of claim 1 is a program used in a system in which a user terminal used when a user uses a service and an IC card can communicate with each other. Storing the format information of the electronic certificate according to the method, reading the information used in the electronic certificate according to the second format from the IC card, and the electronic certificate according to the first format The format information is compared with the information used in the read digital certificate according to the second format, and the difference necessary for creating the digital certificate according to the first format It is a program for causing a computer to execute a step of detecting information and a step of inquiring and acquiring another device for the difference information.
また、本発明は、上述の発明において、前記コンピュータは、インターネットを介してサーバ装置に接続されており、前記コンピュータに、前記差分情報を記憶しているサーバ装置を識別するための識別情報が前記コンピュータに記憶されており、当該識別情報を参照し、前記インターネットを介して当該サーバ装置から前記差分情報を得る手順をさらに実行させることを特徴とする。 Further, the present invention is the above invention, wherein the computer is connected to a server device via the Internet, and the computer includes identification information for identifying the server device storing the difference information. It is stored in a computer and refers to the identification information, and further executes a procedure for obtaining the difference information from the server device via the Internet .
また、本発明は、利用者がサービスを利用する際に用いる利用者端末であるコンピュータとICカードとが通信可能なシステムにおける前記コンピュータに、前記第1のフォーマットに従った電子証明書の生成に必要な情報を、ネットワークを介して認証局に送信し、前記第1のフォーマットに従った電子証明書の生成を要求する手順、前記認証局によって生成された前記第1のフォーマットに従った電子証明書を前記認証局から取得し、前記ICカードに送信する手順、を実行させるためのプログラムである。 The present invention also produces the user to the computer user and the computer and the IC card is a terminal definitive the possible communication systems used for utilizing a service, digital certificate in accordance with the first format electrons necessary information, via the network sends the authentication station, the procedure for requesting generation of the electronic certificate in accordance with the first format, in accordance with the first format generated by the authentication station to obtain a certificate from the certificate authority, the procedure to be transmitted to the IC card, which is a program for execution.
また、本発明は、利用者がサービスを利用する際に用いる利用者端末であるコンピュータとICカードとが通信可能なシステムにおける前記コンピュータに、第1のフォーマットに従った電子証明書の生成に必要な情報を前記ICカードに送信する手順、認証局が保持する認証局秘密鍵を、ネットワークを介して前記認証局に要求する手順、前記認証局秘密鍵を前記認証局から受信する手順、前記認証局秘密鍵を前記ICカードへ送信する手順、を実行させるためのプログラムである。 Also, the present invention, the computer and the user terminal a is a computer and the IC card is definitive the possible communication system used when the user uses the service, the generation of the electronic certificate in accordance with a first format to send the required information to the IC card, an authentication station secret key certification authority holds the procedure for requesting the certificate authority via the network, step of receiving the authentication station secret key from the authentication station, the to send a certification authority secret key to the IC card, which is a program for execution.
また、本発明は、利用者がサービスを利用する際に用いる利用者端末であるコンピュータとICカードとが通信可能なシステムにおける前記コンピュータに、認証局が保持する認証局秘密鍵を、ネットワークを介して前記認証局に要求する手順、前記認証局秘密鍵を前記認証局から受信する手順、前記認証局秘密鍵と前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手順、を実行させるためのプログラムである。 Further, the present invention, the computer user definitive in a user terminal computer and the IC card and capable communication system used for utilizing a service, an authentication station secret key certification authority holds, the network procedure for requesting the certificate authority via the procedure of receiving the certification authority secret key from the authentication station, the information necessary for generation of the authentication station electronic certificate in accordance with the secret key and the first format, to generate a digital certificate in accordance with the first format, which is a program for execution.
また、本発明は、利用者がサービスを利用する際に用いる利用者端末であるコンピュータとICカードとが通信可能なシステムにおける前記コンピュータに、第1のフォーマットに従った電子証明書の生成に必要な情報を前記ICカードに送信する手順、前記コンピュータに設けられる記憶手段に記憶された、認証局が保持する認証局秘密鍵を、前記ICカードへ送信する手順、を実行させるためのプログラムである。 Further, the present invention, the computer and the user terminal a is a computer and the IC card is definitive the possible communication system used when the user uses the service, the generation of the electronic certificate in accordance with a first format to send the required information to the IC card, stored in the storage unit provided in the computer, the certification authority secret key that the certificate authority is held, the program to perform the procedure, the to be transmitted to the IC card It is.
また、本発明は、上述の発明において、前記認証局秘密鍵を前記認証局から受信する手順は、前記認証局秘密鍵を、暗号化された状態でネットワークを介して前記認証局から受信する手順を含んでおり、予め前記認証局と前記コンピュータとの間で共有するデータを用いて取り出す手順、をさらに実行させるためのプログラムである。 Also, procedures present invention, in the invention described above, a procedure of receiving the certification authority secret key from the authentication station, for receiving the certification authority secret key, the certificate authority via the network in an encrypted state the includes a program for a procedure, further to execute to retrieve by using the data to be shared with pre-said authentication station and before Symbol computer.
また、本発明は、利用者がサービスを利用する際に用いる利用者端末と通信が可能なICカードとがシステムに用いられるICカードであって、第2のフォーマットに従った電子証明書を利用するサービスで使用される情報が格納された、第1の記憶部と、第1のフォーマットに従った電子証明書を利用するサービスで使用される情報が格納され、かつ追加情報が格納される、第2の記憶部と、前記利用者端末が送信する情報要求に対して、前記第1の記憶部と第2の記憶部とを参照し、該当する情報を格納していた場合は情報を送信し、該当する情報を格納していなかった場合は該当する情報がないことを応答する手段と、認証局が保持する認証局秘密鍵を外部から受信する手段と、前記利用者端末から、前記第1のフォーマットに従った電子証明書の生成に必要な情報を受信する手段と、前記認証局秘密鍵と、前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手段と、を具備することを特徴とするICカードである。 Further, the present invention is an IC card in which an IC card capable of communicating with a user terminal used when a user uses a service is used in the system, and uses an electronic certificate according to the second format. A first storage unit storing information used in the service to be stored, information used in a service using an electronic certificate according to the first format, and additional information is stored. In response to the information request transmitted by the second storage unit and the user terminal, the first storage unit and the second storage unit are referred to, and if the corresponding information is stored, the information is transmitted. If the corresponding information is not stored, the means for responding that there is no corresponding information, the means for receiving the certification authority private key held by the certification authority from the outside, and the user terminal Electronic certificate production according to 1 format An electronic certificate according to the first format is received from the means for receiving information necessary for generation, the certificate authority private key, and the information necessary for generating the electronic certificate according to the first format. And an IC card.
また、本発明は、上述の発明において、認証局が保持する認証局秘密鍵が、あらかじめICカードに格納されており、前記利用者端末から、前記第1のフォーマットに従った電子証明書の生成に必要な情報を受信する手段と、前記認証局秘密鍵と、前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手段と、をさらに具備することを特徴とするICカードである。 Further, the present invention is the above-described invention, wherein the certificate authority private key held by the certificate authority is stored in advance in the IC card, and the electronic certificate is generated from the user terminal according to the first format. An electronic certificate according to the first format is generated from means for receiving information necessary for authentication, the certificate authority private key, and information necessary for generating the electronic certificate according to the first format. And an IC card.
また、本発明は、上述の発明において、前記利用者端末から、前記第1のフォーマットに従った電子証明書の生成に必要な情報を受信する手段と、前記ICカードが保持する秘密鍵と、前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手段と、をさらに具備することを特徴とするICカードである。 Further, the present invention provides the above-described invention, means for receiving information necessary for generating an electronic certificate according to the first format from the user terminal, a secret key held by the IC card, An IC card further comprising: means for generating an electronic certificate according to the first format from information necessary for generating the electronic certificate according to the first format. .
また、本発明は、上述の発明において、前記ICカードが保持する秘密鍵は、第1の記憶部に格納され、かつ前記第2のフォーマットに従った電子証明書を利用するサービスで使用される情報の1つであり、前記第2の記憶部へ複製して使用されることを特徴とするICカードである。 Further, the present invention is the above-described invention, wherein the private key held by the IC card is stored in the first storage unit and used in a service that uses an electronic certificate according to the second format. The IC card is one piece of information and is used by copying to the second storage unit.
また、本発明は、上述の発明において、前記第1のフォーマットに従った電子証明書を、前記第2の記憶部に格納する手段をさらに具備することを特徴とするICカードである。 Further, the present invention is the IC card according to the above-mentioned invention, further comprising means for storing the electronic certificate in accordance with the first format in the second storage unit.
また、本発明は、第2のフォーマットに従った電子証明書を利用するサービスで使用される情報が格納された第1の記憶部(例えば、実施形態におけるEMV用記憶領域13)と、第1のフォーマットに従った電子証明書を利用するサービスで使用される情報が格納され、かつ追加情報が格納される第2の記憶部(例えば、実施形態における非EMV用記憶領域14、または、PC3内のICカードドライバ20が読み出し及び書き込みを行う記憶領域とPC3内のレジストリ)とを備えるユーザ利用装置であるコンピュータに用いられる電子証明書の編集方法であって、前記コンピュータが備える記憶手段が、前記第1のフォーマットに従った電子証明書のフォーマット情報をユーザ利用装置内の第3の記憶部(例えば、実施形態におけるPC3内の専用ツールが読み出し及び書き込みを行う記憶領域)に記憶し、前記コンピュータが備える読み出し手段が、前記第1の記憶部から前記第2のフォーマットに従った電子証明書で使用される情報を読み出し、前記コンピュータが備える検出手段が、前記第3の記憶部内の前記第1のフォーマットに従った電子証明書のフォーマット情報と、前記第1の記憶部から読み出された前記第2のフォーマットに従った電子証明書で使用される情報を照合して、前記第1のフォーマットに従った電子証明書を作成するために必要となる差分情報を検出し、前記コンピュータが備える取得手段が、前記差分情報について、他の装置に問い合わせて取得し、前記コンピュータが備える生成手段が、前記第1のフォーマットに従った電子証明書を利用するサービスで用いられる秘密鍵と前記第1の記憶装置から読み出された前記第2のフォーマットに従った電子証明書で使用される情報と前記差分情報とから、前記第1のフォーマットに従った電子証明書を生成することを特徴とする。
In addition, the present invention provides a first storage unit (for example, the
また、本発明は、上述の発明において、前記第1のフォーマットに従った電子証明書を利用するサービスで用いられる秘密鍵は、ネットワーク上の認証局または前記コンピュータ内から取得される認証局の秘密鍵、または、前記コンピュータ内から取得されるユーザの秘密鍵であることを特徴とする電子証明書の編集方法である。 According to the present invention, in the above-described invention, the secret key used in the service using the electronic certificate according to the first format is the certificate authority on the network or the secret of the certificate authority acquired from the computer . A method of editing an electronic certificate, wherein the electronic certificate is a key or a user private key acquired from the computer .
本発明によれば、X.509非準拠電子証明書サービス用のICカードから、X.509準拠電子証明書を作成するのに必要な情報を、自動的に収集することが可能となる。 According to the present invention, it is possible to automatically collect information necessary for creating an X.509 compliant electronic certificate from an IC card for X.509 noncompliant electronic certificate services.
また本発明によれば、X.509非準拠電子証明書を格納している1枚のICカードで、X.509準拠電子証明書を自動的に作成し、PKI対応サービスを利用することができる。 In addition, according to the present invention, an X.509-compliant electronic certificate can be automatically created using a single IC card storing an X.509-noncompliant electronic certificate, and a PKI compatible service can be used. .
請求項2に記載の発明によれば、X.509準拠電子証明書に必要となる情報が格納されている装置が、利用者端末に格納されているので、不必要にICカードと通信することを回避でき、効率よく処理が行える。
According to the invention described in
請求項4および5に記載の発明によれば、インターネットまたはイントラネットを経由して認証局の秘密鍵を取得し、X.509準拠電子証明書を生成することができる。 According to the fourth and fifth aspects of the present invention, the secret key of the certificate authority can be obtained via the Internet or an intranet, and an X.509-compliant electronic certificate can be generated.
請求項6および9に記載の発明によれば、認証局が保持する認証局秘密鍵があらかじめ利用者端末、或いはICカードに格納される。これにより、認証局秘密鍵をインターネットまたはイントラネット経由で受信する場合に、第三者から改ざんやなりすましといった攻撃を受けることを回避できる。 According to the invention described in claim 6 Contact and 9, the certification authority secret key certification authority holds is stored in advance the user terminal, or the IC card. As a result, when the CA private key is received via the Internet or an intranet, it is possible to avoid an attack such as falsification or impersonation from a third party.
請求項8に記載の発明によれば、インターネットまたはイントラネットを経由し、かつ安全に認証局の秘密鍵を取得することが可能となる。 According to the eighth aspect of the present invention, it is possible to securely obtain the secret key of the certificate authority via the Internet or an intranet.
請求項11および12に記載の発明によれば、X.509非準拠電子証明書サービスで使用するICカード固有の秘密鍵の複製や、生成したX.509準拠電子証明書を、ICカード内のX.509準拠電子証明書サービスのための領域に格納し使用するので、X.509準拠電子証明書サービスで規定された方法でデータの読み出しができ、読み出し処理を簡易に変更することが可能となる。
According to the invention described in
以下、本発明の、インターネットショッピングに適用した場合についての第1の実施形態を、以下で説明する。なお、ここでいうインターネットとは、上述のネットワークに対応する。
図2はこの発明の第1の実施形態による、システムの構成例を示している。1は、インターネットショッピングサイトから配布された、本発明を適用したEMV仕様ICクレジットカードであり、詳細は後述する。3は本発明を適用した専用ツールとICカードドライバとがインストールされたPCである。2はICカード1とPC3を接続する、接触型リーダライタである。7は、PC3に接続されたキーボードおよびマウスであり、8は同様にPC3に接続されたディスプレイである。9はインターネットショッピングサイトの運営者が設置するWebサーバである。4は、インターネットショッピングサイトの運営者がインターネット網6上に設置した、Webサーバ9に接続する、認証局である。5はインターネットショッピングサイトの運営者がインターネット網6上に設置した、Webサーバ9に接続する情報管理サーバであり、利用者情報を管理する機能を持つ。また、そのURL(Uniform Resource Locator 、インターネット上に存在する情報資源(文書や画像など)の場所を指し示す記述方式)を、PC3内の専用ツールが、情報問合せ先のサーバとして記憶している。6はインターネット網である。PC3は、インターネット網6を経由して、認証局4および情報管理サーバ5と通信が可能である。
Hereinafter, a first embodiment of the present invention applied to Internet shopping will be described below. The internet here corresponds to the above-mentioned network.
FIG. 2 shows an example of the system configuration according to the first embodiment of the present invention. Reference numeral 1 denotes an EMV specification IC credit card to which the present invention is applied, distributed from an Internet shopping site, and details will be described later.
ここで、PC3内の、本発明を適用したICカードドライバは、CSP(Cryptography Service Provider)にRSA暗号等の暗号処理機能を加えたものや、PKCS(Public Key Cryptography Standard)#11準拠の暗号処理機能を持った、ICカードドライバに、更に本発明を実現するための独自拡張機能を追加したものである。ここで図40および図41を用いて、ICカードドライバ(符号20)の構成の説明をする。図40はCSPを利用するICカードドライバ20の構成を示すブロック図である。21は上述のCSPの機能を有するCSP機能部である。23は、本発明を、CSPを利用したICカードドライバ20に適用した場合に必要となる拡張機能を有する独自拡張機能部であり、詳細は後述する。
また図41はPKCS#11に準拠した機能を利用するICカードドライバ20の構成を示すブロック図である。24は上述のPKCS#11準拠の暗号処理機能を有するPKCS#11機能部である。25は、本発明を、PKCS#11に準拠した機能を利用したICカードドライバ20に適用した場合に必要となる拡張機能を有する独自拡張機能部であり、詳細は後述する。ここで、PC3内の専用ツールはX.509準拠電子証明書のフォーマットを記憶しているものとする。
図39はICカード1の構成を示すブロック図である。11は、PC3とデータの送受信を行う通信部である。12は、RSA暗号に基づいた演算処理を行うハードウェア装置のRSAコプロセッサ12である。13は、EMV仕様のクレジットサービス(以下、クレジットサービスという)で使用するデータ(例えばDDA (Dynamic Data Authentication)処理のための1対の鍵(公開鍵と秘密鍵))を格納しているEMV用記憶領域である。なお、ここでいうクレジットサービスとは、X.509非準拠の電子証明書を利用したサービスのことである。14は、前述のクレジットサービス以外で使用するデータを記憶する、非EMV用記憶領域14である。15は、ICカード全体の制御を行う制御部である。
ここで、X.509仕様とは上述した第1のフォーマットに対応し、X.509非準拠仕様とは上述の第2のフォーマットに対応する。
Here, the IC card driver to which the present invention is applied in the
FIG. 41 is a block diagram showing the configuration of the
FIG. 39 is a block diagram showing the configuration of the IC card 1.
Here, the X.509 specification corresponds to the first format described above, and the X.509 non-compliant specification corresponds to the second format described above.
次に図2を参照して、システムの動作を説明する。
まず利用者からの指示に基づいてPC3は、インターネットショッピングサイトを公開しているWebサーバ9に接続する。前述のインターネットショッピングサイトを初めて利用する場合、利用者はPC3から、サービス加入の手続きをWebサーバ9に要求する入力を行う。Webサーバ9は、PC3内の専用ツールに対して、加入手続きを開始して良いかを示す表示画面を、PC3に接続したディスプレイ8に表示することと、キーボード7からの応答を返すことを要求する画面を表示する。PC3内の専用ツールは、Webサーバ9から指示された内容をディスプレイ8に出力し、マウスおよびキーボード7から入力を待つ。利用者はディスプレイ8で表示された内容を確認し、キーボードまたはマウス7から、入力をする。PC3内の専用ツールは、キーボードまたはマウス7からユーザの指示が入力されると、入力された指示に基づいて、加入手続きの開始承諾か判別し、承諾しないことを示す指示ならば、処理終了をWebサーバ9に送信し、処理を終了する。
Next, the operation of the system will be described with reference to FIG.
First, based on an instruction from a user, the
以下では、前述の、利用者がキーボードまたはマウス7から入力した内容が、加入手続きの開始承諾であった場合について、図3と図1に示すシーケンス図を参照して、システムの動作を説明する。
まず図3を参照して、PC3内の専用ツールが、X.509準拠電子証明書に必要なデータを収集する動作を説明する。まず、PC3内の専用ツールは、ICカード1内の制御部15に、ICカード1内のEMV用記憶領域13に格納されている、前述したクレジットサービス用の公開鍵を出力するよう要求する(ステップS3a)。ICカード1内の制御部15は、EMV用記憶領域13内からクレジットサービス用の公開鍵を読み出し(ステップS3b)、PC3内の専用ツールに送信する(ステップS3c)。次にPC3内の専用ツールは、自身で格納している、前述のX.509準拠電子証明書のフォーマットと照合し(ステップS3d)、不足しているデータを、ICカード1内の非EMV用記憶領域14から出力するよう、ICカード1内の制御部15に要求する(ステップS3e)。なお、ここでいう不足しているデータとは、上述の差分情報に対応する。これを受けて、ICカード1内の制御部15は、ICカード1内の非EMV用記憶領域14内にあるデータを検索し(ステップS3f)、PC3内の専用ツールに対して、PC3内の専用ツールから要求されたデータを保持していれば該当データを送信し、保持していなければ該当データが無いことを応答する(ステップS3g)。
なお、この動作は図42で示す表の、項番111000および112000に分類される。
In the following, the operation of the system will be described with reference to the sequence diagrams shown in FIG. 3 and FIG. 1 in the case where the content input from the keyboard or
First, with reference to FIG. 3, the operation of the dedicated tool in the
This operation is classified into
次にPC3内の専用ツールは、前述までの処理で得たデータと、自身の持つ前述のX.509準拠電子証明書のフォーマットを照合し、不足しているデータを検索する(ステップS3h)。不足データがあった場合、PC3内の専用ツールは、自身であらかじめ情報問合せ先のサーバとして記憶している、前述のURLを参照し、インターネット網6を経由し、情報管理サーバ5に対して不足データを要求し、その応答から不足データを得る(ステップS3i)。
なお、この動作は図42で示す表の、項番120000に分類される。
Next, the dedicated tool in the
This operation is classified into item number 120,000 in the table shown in FIG.
次にPC3内の専用ツールは、前述までの処理で得たデータと、自身の持つ前述のX.509準拠電子証明書のフォーマットと照合し、不足しているデータを調査する(ステップS3j)。不足データがあった場合、PC3内の専用ツールは、キーボード7から不足データを入力するよう要求する画面を、PC3に接続されたディスプレイ8に表示させる。利用者はこの表示に応答しデータを入力する(ステップS3k)。
なお、この動作は図42で示す表の、項番130000に分類される。
Next, the dedicated tool in the
This operation is classified into
次に、前述の図3のシーケンスの後に行う、X.509準拠電子証明書を生成するために必要な署名を生成する動作を、図1を参照して説明する。図1において、PC3内の専用ツールは、上述した図3のシーケンスのステップS3i〜S3kにおいて得られた、X.509準拠電子証明書の生成のための必要データ(以下、X.509準拠電子証明書必要データという)を、インターネット網6を経由して認証局4へ送信し、X.509準拠電子証明書生成を要求する(ステップS1a)。これを受けて、認証局4は、自身が持つ秘密鍵を使用し、前述のX.509準拠電子証明書必要データに基づき、X.509準拠電子証明書を生成し、PC3内の専用ツールに送信する(ステップS1b)。次に、PC3内の専用ツールは、ICカードドライバ20を介してICカード1内の制御部15に、前述において受信したX.509準拠電子証明書を送信する(ステップS1c、S1d)。これを受けて、ICカード1内の制御部15は、EMV用領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーする(ステップS1e)。次いで、前述において受信したX.509準拠電子証明書を非EMV用記憶領域14へ保存(ステップS1f)した後、PC3内のICカードドライバ20を経由して専用ツールへ、処理が正常に終了したことを応答する(ステップS1g、S1h)。
なお、この動作は図43で示す表の、項番221100に分類される。
Next, an operation for generating a signature necessary for generating an X.509-compliant electronic certificate performed after the above-described sequence of FIG. 3 will be described with reference to FIG. In FIG. 1, the dedicated tool in the
This operation is classified into
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図4に示す。まず図1のシーケンスのステップS1aおよびS1bと同様の処理を行う。次に、PC3内の専用ツールは、前述において受信したX.509準拠電子証明書をPC3内のレジストリに保存する(ステップS4a)。PC3内の専用ツールは、ICカードドライバ20を介してICカード1内のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を、非EMV用記憶領域14にコピーする命令を、制御部15に送信する(ステップS4b、S4c)。これを受けて、ICカード1内の制御部15は、PC3内の専用ツールから、EMV用記憶領域13内のクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーし(ステップS4d)、PC3内のICカードドライバ20を経由して専用ツールに、処理が終了したことを応答する(ステップS4e、S4f)。
なお、この動作は図43で示す表の、項番221200に分類される。
FIG. 4 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into
また、上述の図1で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図5のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図43で示す表の、項番222100に分類される。
Further, in the sequence shown in FIG. 1 described above, the credit service secret key stored in the
This operation is classified into
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、上記のシーケンスで生成したX.509準拠電子証明書を、PC3に保存する場合のシーケンスを図6に示す。まず図1のシーケンスのステップS1aと同様に、認証局4が、PC3内の専用ツールから送信されたX.509準拠電子証明書必要データに基づき、X.509準拠電子証明書を生成する。これを受けて、認証局4は、前述したX.509準拠電子証明書必要データに基づき、X.509準拠電子証明書を生成し、PC3内の専用ツールに送信する(ステップS1b)。
次に、PC3内の専用ツールは、前述のX.509準拠電子証明書をPC3のレジストリに保存する(ステップS6a)。
なお、この動作は図43で示す表の、項番222200に分類される。
In addition, when the credit service private key stored in the
Next, the dedicated tool in the
This operation is classified into item number 222200 in the table shown in FIG.
次に、認証局4の秘密鍵を入手し、認証局4の秘密鍵でX.509準拠電子証明書を生成する場合について説明する。なお、この動作は図43〜図46で示す表の、項番231111〜234222に分類される。
まず、認証局4の秘密鍵が予めICカード1内の非EMV用記憶領域14に格納されている場合について、図11のシーケンス図を参照して、動作を説明する。PC3内の専用ツールは、ICカード1内の制御部15に、上述の図3のシーケンスにおいて得たX.509準拠電子証明書必要なデータを、ICカードドライバ20を経由して送信する(ステップS11a、S11b)。これを受けて、ICカード1の制御部15は、RSAコプロセッサ12を制御し、予め非EMV用記憶領域13に格納されている認証局4の秘密鍵を使用して、前述にて受信したX.509準拠電子証明書必要データに対しRSA演算を行い、X.509準拠証明書を生成する(ステップS11c)。以降、上述した図1のシーケンスにおけるステップS1e〜S1hと同様の処理を行う。
なお、この動作は図43で示す表の、項番231111に分類される。
Next, a case where the private key of the
First, the operation will be described with reference to the sequence diagram of FIG. 11 when the secret key of the
This operation is classified into item number 231111 in the table shown in FIG.
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図12に示す。まず図11のシーケンスのステップS11dまでの処理を同様に行い、その後、ICカード1の制御部15は、生成したX.509準拠電子証明書をPC3内のICカードドライバ20に送信する(ステップS12a)。これを受けてICカードドライバ20は、受信したX.509準拠電子証明書を専用ツールへ送信する(ステップS12b)。次に、専用ツールは、受信したX.509準拠電子証明書をPC3内のレジストリに保存する(ステップS12c)。
なお、この動作は図43で示す表の、項番231112に分類される。
FIG. 12 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into
また、上述の図11で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図13のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図43で示す表の、項番231121に分類される。
In the sequence shown in FIG. 11 described above, the credit service secret key stored in the
This operation is classified into
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合のシーケンスを図14に示す。図11のステップS11a〜S11cと同様の処理を行う。次いで生成したX.509準拠電子証明書をPC3内のICカードドライバ20を経由して専用ツールに送信し(ステップS14a、S14b)、専用ツールは受信したX.509準拠電子証明書をPC3内のレジストリに保存する(ステップS14c)。
なお、この動作は図43で示す表の、項番231122に分類される。
Also, when the credit service private key stored in the
This operation is classified into
次に、認証局4の秘密鍵が予めPC3内のICカードドライバ20に格納されており、PC3内のICカードドライバ20が電子証明書を生成する場合について、図15のシーケンス図を参照して動作を説明する。まず、PC3内の専用ツールはICカードドライバ20に、上述した図3のシーケンスにおいて得たX.509準拠電子証明書必要データを送信する(ステップS15a)。これを受けて、ICカードドライバ20は、前述したX.509準拠電子証明書必要データからX.509に準拠したフォーマットのデータを作成し、ICカードドライバ20内に格納してある認証局4の秘密鍵を使用して演算を行い、X.509準拠電子証明書を生成する(ステップS15b)。次いでICカードドライバ20は、ICカード1内の制御部15へX.509準拠電子証明書を送信する(ステップS15c)。これを受けて、ICカード1内の制御部15は、EMV用記憶領域13内のクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーし(ステップS15d)、次いで、非EMV用記憶領域14内に前述したX.509準拠電子証明書を格納し(ステップS15e)、処理が終了したことを、ICカードドライバ20を経由してPC3内の専用ツールに通知する(ステップS15f、S15g)。
なお、この動作は図44で示す表の、項番232111に分類される。
Next, a case where the private key of the
This operation is classified into item number 232111 in the table shown in FIG.
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図16に示す。まず、図15のシーケンスのステップS15bまでの処理を同様に行う。次に、PC3内のICカードドライバ20は、ICカード1の制御部15へ、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域13へコピーするよう要求する(ステップS16a)。これを受けて、ICカード1の制御部15は、EMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域13へコピーし(ステップS16b)、コピー処理が完了したことをPC3内のICカードドライバ20に通知する(ステップS16c)。次に、PC3内のICカードドライバ20は、生成したX.509準拠電子証明書を専用ツールに送信し(ステップS16d)、専用ツールは受信したX.509準拠電子証明書をPC3内のレジストリに保存する(ステップS16e)。
なお、この動作は図44で示す表の、項番232112に分類される。
FIG. 16 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into item number 232112 in the table shown in FIG.
また、上述の図15で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図17のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図44で示す表の、項番232121に分類される。
Further, in the sequence shown in FIG. 15 described above, the credit service secret key stored in the
This operation is classified into item number 232121 in the table shown in FIG.
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合のシーケンスを図18に示す。まず図15のシーケンスのステップS15bまでの処理を同様に行う。その後PC3内のICカードドライバ20は、生成したX.509準拠電子証明書を専用ツールへ送信し(ステップS18a)、これを受けて専用ツールは受信したX.509準拠電子証明書をPC3内のレジストリに格納する(ステップS18b)。
なお、この動作は図44で示す表の、項番232122に分類される。
Also, when the credit service private key stored in the
This operation is classified into
次に、認証局4の秘密鍵が予めPC3内のICカードドライバ20に格納されており、ICカード1内の制御部15に送信され、ICカード1内の制御部15によって電子証明書が生成される場合について、図19のシーケンス図を参照して動作を説明する。まず、図15に示すシーケンスのステップS15aと同様の処理の後に、PC3内のICカードドライバ20は、送信されたX.509準拠電子証明書必要データを送信し(ステップS19a)、次いでICカードドライバ20に格納されている認証局4の秘密鍵を、ICカード1内の制御部15に送信する(ステップS19b)。これを受けて、ICカード1の制御部15は、受信したX.509準拠電子証明書必要データから、X.509に準拠したフォーマットのデータを作成する。次いでICカード1内の制御部15にRSAコプロセッサ12を制御し、予め非EMV用記憶領域13に格納されている認証局4の秘密鍵を使用して、前述にて受信したX.509準拠フォーマットのデータからX.509準拠電子証明書のフォーマットのデータを作成し、これに対しRSA演算を行い、X.509準拠電子証明書を生成する(ステップS19c)。以降、図15のシーケンスのステップS15d〜S15gと同様の処理を行う。
なお、ICカード1の制御部15は、図19のシーケンスのステップS19eで示すように、PC3内のICカードドライバ20から受信した認証局4の秘密鍵を、非EMV用記憶領域14内に格納してもよい。
なお、この動作は図44で示す表の、項番232211に分類される。
Next, the private key of the
The
This operation is classified into
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図20に示す。まず図19に示すシーケンスのステップS19d或いはS19eまでの処理を、同様に行う。その後、ICカード1の制御部15は、生成したX.509準拠電子証明書をPC3内のICカードドライバ20に送信する(ステップS20b)。これを受けて、ICカードドライバ20は、受信したX.509準拠電子証明書を専用ツールに送信する(ステップS20c)。次に、PC3内の専用ツールはこれをPC3内のレジストリに、前述のX.509準拠電子証明書を保存する(ステップS20d)。
なお、この動作は図44で示す表の、項番232212に分類される。
FIG. 20 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into
また、上述の図19で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図21のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図44で示す表の、項番232221に分類される。
In the sequence shown in FIG. 19, the credit service secret key stored in the
This operation is classified into
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合が考えられる。その場合のシーケンスを図22に示す。このシーケンスは、前述の図20のシーケンスと、クレジットサービス用秘密鍵を非EMV用記憶領域14にコピー(図20のステップS20a)をしない点が異なる。
Also, when the credit service private key stored in the
次に、認証局4の秘密鍵が、認証局4に格納されており、PC3内のICカードドライバ20が、認証局4に認証局秘密鍵を要求して取得し、X.509準拠電子証明書を生成する場合について、図23のシーケンス図を参照して動作を説明する。
まず、図15のシーケンスのステップS15aまでの処理を同様に行う。次に、PC3内のICカードドライバ20は、認証局4から、認証局4の秘密鍵を取得するよう専用ツールに要求する(ステップS23a)。次に、専用ツールは、インターネット網6を介して認証局4から秘密鍵を要求して取得する(ステップS23b)。次いで専用ツールは、ICカードドライバ20へ、受信した認証局4の秘密鍵を送信する(ステップS23c)。これを受けて、PC3内のICカードドライバ20は、前述のステップS15aにて受信したX.509準拠電子証明書必要データからX.509に準拠したフォーマットのデータを作成し、前述の認証局4の秘密鍵を使用して演算することで署名データを作成し、X.509準拠電子証明書を生成する(ステップS23d)。
以降は図15のシーケンスのステップS15c〜S15gと同様の処理を行う。
なお、この動作は図45で示す表の、項番233111に分類される。
Next, the private key of the
First, the processing up to step S15a in the sequence of FIG. 15 is similarly performed. Next, the
Thereafter, the same processing as steps S15c to S15g in the sequence of FIG. 15 is performed.
This operation is classified into item number 233111 in the table shown in FIG.
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図24に示す。まず図23のシーケンスのステップS23dまでの処理を同様に行う。次に、PC3内のICカードドライバ20は、ICカード1の制御部15へ、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域13へコピーするよう要求する(ステップS24a)。これを受けて、ICカード1の制御部15は、EMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域13へコピーし(ステップS24b)、コピー処理が完了したことをPC3内のICカードドライバ20に通知する(ステップS24c)。次に、PC3内のICカードドライバ20は、生成したX.509準拠電子証明書を専用ツールに送信し(ステップS24d)、これを受けて、専用ツールは受信したX.509準拠電子証明書をPC3内のレジストリに保存する(ステップS24e)。
なお、この動作は図45で示す表の、項番233112に分類される。
FIG. 24 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into item number 233112 in the table shown in FIG.
また、上述の図23で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図25のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図45で示す表の、項番233121に分類される。
Further, in the sequence shown in FIG. 23 described above, the credit service secret key stored in the
This operation is classified into
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合が考えられる。その場合のシーケンスを図26に示す。まず図23のシーケンスのステップS23dまでの処理を同様に行う。その後PC3内のICカードドライバ20は、生成したX.509準拠電子証明書を専用ツールへ送信し(ステップS26a)、これを受けて専用ツールは受信したX.509準拠電子証明書をPC3内のレジストリに格納する(ステップS26b)。
なお、この動作は図45で示す表の、項番233122に分類される。
Also, when the credit service private key stored in the
This operation is classified into
次に、認証局4の秘密鍵が、認証局4に格納されており、PC3内のICカードドライバ20が認証局4に秘密鍵を要求して取得し、次いで認証局4の秘密鍵をICカード1内の制御部15に送信し、ICカード1内の制御部15が電子証明書を生成する場合について、図27のシーケンス図を参照して動作を説明する。
まず、図19のシーケンスのステップS19aまでの処理を同様に行う。次に、PC3内のICカードドライバ20は、認証局4から、認証局4の秘密鍵を取得するよう専用ツールに要求する(ステップS27a)。これを受けて、専用ツールは、インターネット網6を介して認証局4から秘密鍵を要求して取得する(ステップS27b)。次いで専用ツールは、ICカードドライバ20へ、受信した認証局4の秘密鍵を送信する(ステップS27c)。これを受けて、PC3内のICカードドライバ20は、認証局4の秘密鍵を、ICカード1内の制御部15に送信する(ステップS27d)。
以降は図19のシーケンスのステップS19c〜S19gと同様の処理を行う。
なお、ICカード1の制御部15は、図27のシーケンスのステップS27gで示すように、PC3内のICカードドライバ20から受信した認証局4の秘密鍵を、非EMV用記憶領域14内に格納してもよい。
なお、この動作は図45で示す表の、項番233211に分類される。
Next, the secret key of the
First, the processing up to step S19a in the sequence of FIG. 19 is similarly performed. Next, the
Thereafter, the same processing as steps S19c to S19g in the sequence of FIG. 19 is performed.
The
This operation is classified into
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図28に示す。まず図27のシーケンスのステップS27f或いはS27gまでの処理を、同様に行う。その後、ICカード1の制御部15は、生成したX.509準拠電子証明書をPC3内のICカードドライバ20に送信する(ステップS28b)。ICカードドライバ20は、受信したX.509準拠電子証明書を専用ツールに送信する(ステップS28c)。これを受けて、PC3内の専用ツールはPC3内のレジストリに、前述のX.509準拠電子証明書を保存する(ステップS28d)。
なお、この動作は図45で示す表の、項番233212に分類される。
FIG. 28 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into item number 233212 in the table shown in FIG.
また、上述の図27で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図29のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図45で示す表の、項番233221に分類される。
Further, in the sequence shown in FIG. 27 described above, the credit service secret key stored in the
This operation is classified into
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合が考えられる。その場合のシーケンスを図30に示す。このシーケンスは、前述の図28のシーケンスと、クレジットサービス用秘密鍵を非EMV用記憶領域14にコピー(図28のステップS28a)をしない点が異なる。
なお、この動作は図45で示す表の、項番233222に分類される。
Also, when the credit service private key stored in the
This operation is classified into
次に、認証局4に格納されている認証局4の秘密鍵の送信方式に、PKCS#12(鍵データに暗号処理を施し、予め共有するパスワード等で開錠して、データを共有する、鍵の輸送方法の規定)を採用し、PKCS#12で使用するパスワードが、認証局4とPC3内ICカードドライバ20で共有されている場合について、図31のシーケンス図を参照して動作を説明する。
まず、図23のシーケンスのステップS23aまでの処理を同様に行う。その後、PC3内の専用ツールは、インターネット網6を介して認証局4から秘密鍵を要求し、PKCS#12形式のデータを取得し(ステップS31a)、これをPC3内のICカードドライバ20へ送信する(ステップS31b)。次に、ICカードドライバ20は予め認証局4と共有していたパスワードを使用してPKCS#12形式のデータを開錠して、認証局4の秘密鍵を取得する。そして、ICカードドライバ20は、前述のステップS23aまでの処理にて受信したX.509準拠電子証明書必要データから、X.509に準拠したフォーマットのデータを作成し、前述の認証局4の秘密鍵を使用して演算をすることで署名データを作成し、X.509準拠電子証明書を生成する(ステップS31c)。以降は、図23のシーケンスのステップS23e以降の処理を同様に行う。
なお、この動作は図46で示す表の、項番234111に分類される。
Next, the secret key transmission method of the
First, the processing up to step S23a in the sequence of FIG. 23 is similarly performed. After that, the dedicated tool in the
This operation is classified into item number 234111 in the table shown in FIG.
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図32に示す。まず図31のシーケンスのステップS31cまでの処理を同様に行う。PC3内のICカードドライバ20は、ICカード1の制御部15へ、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域13へコピーするよう要求する(ステップS32a)。これを受けて、ICカード1の制御部15は、EMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域13へコピーし(ステップS32b)、コピー処理が完了したことをPC3内のICカードドライバ20に通知する(ステップS32c)。次に、PC3内のICカードドライバ20は、生成したX.509準拠電子証明書を専用ツールに送信し(ステップS32d)、これを受けて、専用ツールは受信したX.509準拠電子証明書をPC3内のレジストリに保存する(ステップS32e)。
なお、この動作は図46で示す表の、項番234112に分類される。
FIG. 32 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into
また、上述の図31で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図33のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図46で示す表の、項番234121に分類される。
Further, in the sequence shown in FIG. 31 described above, the credit service secret key stored in the
This operation is classified into
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合が考えられる。その場合のシーケンスを図34に示す。まず図31のシーケンスのステップS31cまでの処理を同様に行う。その後PC3内のICカードドライバ20は、生成したX.509準拠電子証明書を専用ツールへ送信し(ステップS34a)、これを受けて専用ツールは受信したX.509準拠電子証明書をPC3内のレジストリに格納する(ステップS34b)。
なお、この動作は図46で示す表の、項番234122に分類される。
Also, when the credit service private key stored in the
This operation is classified into
次に、認証局4に格納されている認証局4の秘密鍵の送信方式に、PKCS#12を採用し、PKCS#12で使用するパスワードが、認証局4とPC3内ICカードドライバ20で共有されている場合について、図35のシーケンス図を参照して、動作を説明する。
まず、図27のシーケンスのステップS27aまでの処理を、同様に行う。その後PC3内の専用ツールは、インターネット網6を介して認証局4から秘密鍵を要求し、PKCS#12形式のデータを取得し(ステップS35a)、これをPC3内のICカードドライバ20へ送信する(ステップS35b)。次に、ICカードドライバ20は予め認証局4と共有していたパスワードを使用してPKCS#12形式のデータを開錠して、認証局4の秘密鍵を取得する(ステップS35c)。以降、図27のシーケンスのステップS27d以降の処理を同様に行う。
なお、ICカード1の制御部15は、前述の図27のシーケンスのステップS27d以降の処理を同様に行う際に、図27のシーケンスのステップS27gで示すように、PC3内のICカードドライバ20から受信した認証局4の秘密鍵を、非EMV用記憶領域14内に格納してもよい。
なお、この動作は図46で示す表の、項番234211に分類される。
Next,
First, the processing up to step S27a in the sequence of FIG. 27 is similarly performed. After that, the dedicated tool in the
When the
This operation is classified into
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図36に示す。まず図35のシーケンスのステップS35dまでの処理を、同様に行う。その後、ICカード1の制御部15は、生成したX.509準拠電子証明書をPC3内のICカードドライバ20に送信する(ステップS36b)。ICカードドライバ20は、受信したX.509準拠電子証明書を専用ツールに送信する(ステップS36c)。これを受けて、PC3内の専用ツールはPC3内のレジストリに、前述のX.509準拠電子証明書を保存する(ステップS36d)。
なお、この動作は図46で示す表の、項番234212に分類される。
FIG. 36 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into
また、上述の図35で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図37のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図46で示す表の、項番234221に分類される。
Further, in the sequence shown in FIG. 35 described above, the credit service secret key stored in the
This operation is classified into item number 234221 in the table shown in FIG.
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合が考えられる。その場合のシーケンスを図38に示す。このシーケンスは、前述の図36のシーケンスと、クレジットサービス用秘密鍵を非EMV用記憶領域14にコピー(図36のステップS36a)をしない点が異なる。
なお、この動作は図46で示す表の、項番234222に分類される。
Also, when the credit service private key stored in the
This operation is classified into
上記第1の実施形態において、イントラネット網を使用した企業の社員証のシステムに適用する場合、電子証明書を生成するために収集するデータは、ユーザ名、所属情報等が挙げられ、社員がE-MAILを使用して企業秘密を含んだメールのやり取りをする場合等、簡単に暗号メールや署名メールなどのS/MIME機能が使用できるようになる。なお、ここでいうイントラネットとは、上述のネットワークに対応する。 In the first embodiment, when applied to a company employee ID system using an intranet network, data collected to generate an electronic certificate includes a user name, affiliation information, etc. -S / MIME functions such as encrypted mail and signature mail can be used easily when exchanging mail including trade secrets using MAIL. The intranet here corresponds to the above-described network.
また、住民基本台帳ネットワークで使用されている、公的個人認証サービスもX.509準拠電子証明書を使用している。住民基本台帳ネットワークに代表される電子政府サービスは、今後様々な公共サービスに適用することが考えられるため、決済が必要なサービスへの適用も十分考えられる。その際に本発明を使用すると、電子政府サービス用のICカードと、ICクレジットカードが一体となることができ、高いセキュリティでの電子決済が可能となる。ここで、電子政府とは、役所への手続きが自宅のパソコンから行えるようになる、および行政の持つ様々な情報がインターネットを通じて閲覧できるようになる等、処理を電子化した行政機構のことで、国内公共機関で実施が進んでいるものである。 The public personal authentication service used in the Basic Resident Register network also uses X.509-compliant electronic certificates. Since e-government services represented by the Basic Resident Register Network can be applied to various public services in the future, they can be applied to services that require payment. If the present invention is used at that time, the IC card for the electronic government service and the IC credit card can be integrated, and electronic payment with high security becomes possible. Here, the e-government is an administrative mechanism that digitizes the process, such as the procedure to the government office can be done from a personal computer at home, and various administrative information can be browsed through the Internet. Implementation is progressing in domestic public institutions.
さらに、ICクレジットカードの代わりに、全国の主要な銀行が策定している全銀協ICキャッシュカード標準仕様等に準拠した、ICキャッシュカード等にも本発明を適用することも可能であるため、ネットバンキング等のサービス利用において、プライバシー保護(セキュリティ)や本人確認の機能を安全かつ簡単に実施することができる。 In addition, instead of IC credit cards, the present invention can also be applied to IC cash cards that comply with the Zenginkyo IC cash card standard specifications established by major banks nationwide. When using such services, privacy protection (security) and identity verification functions can be implemented safely and easily.
次に第2の実施形態について説明する。
第1の実施形態とは、認証局4の秘密鍵ではなく、ICカード1内のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵で、X.509準拠の電子証明書を生成する点が異なる。以下、図7のシーケンスを参照して動作を説明する。
まず、図11のシーケンスのステップS11a、およびS11bと同様の処理を行う。次に、ICカード1内の制御部15は、非EMV用記憶領域14に、クレジットサービス用秘密鍵をコピーする(ステップS7a)。ICカード1のRSAコプロセッサ12に対し、前述のクレジットサービス用秘密鍵を非EMV用記憶領域14から読み出して(ステップS7b)使用し、前述のステップS11aの処理で得た、X.509準拠電子証明書必要データに、RSA演算処理を行わせ、電子証明書を生成する(ステップS7c)。以降、図11のシーケンスのステップS11e以降の処理を同様に行う。
なお、この動作は図42で示す表の、項番211100に分類される。
Next, a second embodiment will be described.
In the first embodiment, an X.509-compliant electronic certificate is generated using a credit service private key stored in the
First, processing similar to that in steps S11a and S11b in the sequence of FIG. 11 is performed. Next, the
This operation is classified into
また、X.509準拠電子証明書をICカード1ではなくPC3内に格納する場合のシーケンスを図8に示す。まず、図7のシーケンスのステップS7cまでの処理を同様に行い、その後、ICカード1の制御部15は、生成したX.509準拠電子証明書をPC3内のICカードドライバ20に送信する(ステップS8b)。次にICカードドライバ20は、受信したX.509準拠電子証明書を専用ツールへ送信し(ステップS8c)、これを受けて、専用ツールは、受信したX.509準拠電子証明書をPC3内のレジストリに保存する(ステップS8d)。
なお、この動作は図42で示す表の、項番211200に分類される。
FIG. 8 shows a sequence when an X.509-compliant electronic certificate is stored in the
This operation is classified into item number 211200 in the table shown in FIG.
また、上述の図7で示すシーケンスにおいて、ICカード1内のEMV用記憶領域13内に格納されているクレジットサービス用秘密鍵が、クレジットサービス上の規定により、非EMV用記憶領域14へコピーすることを禁じられている場合、図9のシーケンスで示すように、非EMV用記憶領域14へのコピーは行わない。
なお、この動作は図42で示す表の、項番212100に分類される。
In the sequence shown in FIG. 7 described above, the credit service secret key stored in the
This operation is classified into
また、ICカード1のEMV用記憶領域13に格納されているクレジットサービス用秘密鍵を非EMV用記憶領域14にコピーしない場合で、且つ、生成したX.509準拠電子証明書を、PC3に保存する場合のシーケンスを図14に示す。その場合のシーケンスを図10に示す。このシーケンスは、前述の図8のシーケンスと、クレジットサービス用秘密鍵を非EMV用記憶領域14にコピー(図8のステップS8a)をしない点が異なる。
なお、この動作は図42で示す表の、項番212200に分類される。
Also, when the credit service private key stored in the
This operation is classified into
以上、この発明の実施形態を、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes a design and the like within the scope not departing from the gist of the present invention.
1…ICカード
2…接触型リーダライタ
3…PC
4…インターネットショッピングサイトの認証局
5…インターネットショッピングサイトの情報管理サーバ
6…インターネット網
7…キーボードおよびマウス
8…ディスプレイ
9…インターネットショッピングサイトのWebサーバ
11…通信部
12…RSAコプロセッサ
13…EMV用記憶領域
14…非EMV用記憶領域
15…制御部
20…ICカードドライバ
21…CSP(Cryptography Service Provider)機能部
23…独自拡張機能部
24…PKCS(Public Key Cryptography Standard)#11機能部
25…独自拡張機能部
1 ...
4 ... Internet shopping
Claims (14)
第1のフォーマットに従った電子証明書のフォーマット情報を記憶する手順、
ICカードから、第2のフォーマットに従った電子証明書で使用される情報を読み出す手順、
前記第1のフォーマットに従った電子証明書のフォーマット情報と、読み出された前記第2のフォーマットに従った電子証明書で使用される情報を照合して、前記第1のフォーマットに従った電子証明書を作成するために必要となる差分情報を検出する手順、
前記差分情報について、他の装置に問い合わせて取得する手順、
を実行させるためのプログラム。 The user definitive in a user terminal computer and the IC card and capable communication system used for utilizing a service the computer,
A procedure for storing format information of an electronic certificate according to a first format;
Procedure to read information used in electronic certificate according to the second format from the IC card,
The electronic certificate according to the first format is collated with the format information of the electronic certificate according to the first format and the information used in the electronic certificate according to the read second format. Procedure to detect the difference information necessary to create a certificate,
A procedure for obtaining the difference information by inquiring other devices,
A program to be run.
前記コンピュータに、
前記差分情報を記憶しているサーバ装置を識別するための識別情報が前記コンピュータに記憶されており、当該識別情報を参照し、前記インターネットを介して当該サーバ装置から前記差分情報を得る手順をさらに実行させることを特徴とする、請求項1記載のプログラム。 The computer is connected to a server device via the Internet,
In the computer,
Identification information for identifying the server device storing the difference information is stored in the computer, and a step of referring to the identification information and obtaining the difference information from the server device via the Internet is further provided. The program according to claim 1, wherein the program is executed .
前記第1のフォーマットに従った電子証明書の生成に必要な情報を、ネットワークを介して認証局に送信し、前記第1のフォーマットに従った電子証明書の生成を要求する手順、
前記認証局によって生成された前記第1のフォーマットに従った電子証明書を前記認証局から取得し、前記ICカードに送信する手順、
を実行させるためのプログラム。 The user definitive in a user terminal computer and the IC card and capable communication system used for utilizing a service the computer,
A procedure for transmitting information necessary for generating an electronic certificate according to the first format to a certificate authority via a network and requesting generation of an electronic certificate according to the first format;
Obtaining an electronic certificate according to the first format generated by the certificate authority from the certificate authority and transmitting it to the IC card ;
A program to be run.
第1のフォーマットに従った電子証明書の生成に必要な情報を前記ICカードに送信する手順、
認証局が保持する認証局秘密鍵を、ネットワークを介して前記認証局に要求する手順、
前記認証局秘密鍵を前記認証局から受信する手順、
前記認証局秘密鍵を前記ICカードへ送信する手順、
を実行させるためのプログラム。 The user definitive in a user terminal computer and the IC card and capable communication system used for utilizing a service the computer,
A procedure for transmitting information necessary for generating an electronic certificate in accordance with the first format to the IC card;
Steps a certification authority secret key, requesting the certificate authority via the network certificate authority held,
Procedure for receiving the certification authority secret key from the certificate authority,
A procedure for transmitting the certificate authority private key to the IC card;
A program to be run.
認証局が保持する認証局秘密鍵を、ネットワークを介して前記認証局に要求する手順、
前記認証局秘密鍵を前記認証局から受信する手順、
前記認証局秘密鍵と前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手順、
を実行させるためのプログラム。 The user definitive in a user terminal computer and the IC card and capable communication system used for utilizing a service the computer,
Steps a certification authority secret key, requesting the certificate authority via the network certificate authority held,
Procedure for receiving the certification authority secret key from the certificate authority,
A procedure for generating an electronic certificate according to the first format from the certificate authority private key and information necessary for generating an electronic certificate according to the first format;
A program to be run.
第1のフォーマットに従った電子証明書の生成に必要な情報を前記ICカードに送信する手順、
前記コンピュータに設けられる記憶手段に記憶された、認証局が保持する認証局秘密鍵を、前記ICカードへ送信する手順、
を実行させるためのプログラム。 The user definitive in a user terminal computer and the IC card and capable communication system used for utilizing a service the computer,
A procedure for transmitting information necessary for generating an electronic certificate in accordance with the first format to the IC card;
A procedure for transmitting the certificate authority private key stored in the storage means provided in the computer and held by the certificate authority to the IC card;
A program to be run.
予め前記認証局と前記コンピュータとの間で共有するデータを用いて取り出す手順、
をさらに実行させるための請求項4または5に記載のプログラム。 Step of receiving the authentication station secret key from the certificate authority, the certificate authority secret key, includes the steps of receiving from the certificate authority via the network in an encrypted state,
Steps taken in advance using the data to be shared between the certificate authority and the prior SL computer,
The program according to claim 4 or 5 for further executing
第2のフォーマットに従った電子証明書を利用するサービスで使用される情報が格納された、第1の記憶部と、
第1のフォーマットに従った電子証明書を利用するサービスで使用される情報が格納され、かつ追加情報が格納される、第2の記憶部と、
前記利用者端末が送信する情報要求に対して、前記第1の記憶部と第2の記憶部とを参照し、該当する情報を格納していた場合は情報を送信し、該当する情報を格納していなかった場合は該当する情報がないことを応答する手段と、
認証局が保持する認証局秘密鍵を外部から受信する手段と、
前記利用者端末から、前記第1のフォーマットに従った電子証明書の生成に必要な情報を受信する手段と、
前記認証局秘密鍵と、前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手段と、
を具備することを特徴とするICカード。 An IC card used in the system is an IC card capable of communicating with a user terminal used when a user uses a service,
A first storage unit storing information used in a service using an electronic certificate according to a second format;
A second storage unit that stores information used in a service that uses an electronic certificate according to a first format and stores additional information;
In response to an information request transmitted by the user terminal, the first storage unit and the second storage unit are referred to, and if the corresponding information is stored, the information is transmitted and the corresponding information is stored. If not, a means of responding that there is no relevant information,
Means for receiving from outside the certificate authority private key held by the certificate authority;
Means for receiving information necessary for generating an electronic certificate in accordance with the first format from the user terminal;
Means for generating an electronic certificate according to the first format from the certificate authority private key and information necessary for generating the electronic certificate according to the first format;
An IC card characterized by comprising:
前記利用者端末から、前記第1のフォーマットに従った電子証明書の生成に必要な情報を受信する手段と、
前記認証局秘密鍵と、前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手段と、
をさらに具備することを特徴とする請求項8記載のICカード。 The certificate authority private key held by the certificate authority is stored in advance on the IC card,
Means for receiving information necessary for generating an electronic certificate in accordance with the first format from the user terminal;
Means for generating an electronic certificate according to the first format from the certificate authority private key and information necessary for generating the electronic certificate according to the first format;
The IC card according to claim 8 , further comprising:
前記ICカードが保持する秘密鍵と、前記第1のフォーマットに従った電子証明書の生成に必要な情報とから、前記第1のフォーマットに従った電子証明書を生成する手段と、
をさらに具備することを特徴とする、請求項8記載のICカード。 Means for receiving information necessary for generating an electronic certificate in accordance with the first format from the user terminal;
Means for generating an electronic certificate according to the first format from a secret key held by the IC card and information necessary for generating the electronic certificate according to the first format;
The IC card according to claim 8 , further comprising:
請求項8〜10に記載のICカード。 The secret key held by the IC card is one of information stored in a first storage unit and used in a service that uses an electronic certificate according to the second format. It is used by copying to the storage unit,
IC card according to claim 8-10.
前記コンピュータが備える記憶手段が、前記第1のフォーマットに従った電子証明書のフォーマット情報をユーザ利用装置内の第3の記憶部に記憶し、
前記コンピュータが備える読み出し手段が、前記第1の記憶部から前記第2のフォーマットに従った電子証明書で使用される情報を読み出し、
前記コンピュータが備える検出手段が、前記第3の記憶部内の前記第1のフォーマットに従った電子証明書のフォーマット情報と、前記第1の記憶部から読み出された前記第2のフォーマットに従った電子証明書で使用される情報を照合して、前記第1のフォーマットに従った電子証明書を作成するために必要となる差分情報を検出し、
前記コンピュータが備える取得手段が、前記差分情報について、他の装置に問い合わせて取得し、
前記コンピュータが備える生成手段が、前記第1のフォーマットに従った電子証明書を利用するサービスで用いられる秘密鍵と前記第1の記憶装置から読み出された前記第2のフォーマットに従った電子証明書で使用される情報と前記差分情報とから、前記第1のフォーマットに従った電子証明書を生成する
ことを特徴とする電子証明書の編集方法。 A first storage unit storing information used in a service using an electronic certificate in accordance with the second format; and information used in a service using an electronic certificate in accordance with the first format. A method for editing an electronic certificate used in a computer that is a user-use device that includes a second storage unit that is stored and stores additional information,
The storage means included in the computer stores the format information of the electronic certificate according to the first format in a third storage unit in the user utilization device,
Reading means provided in the computer reads information used in the electronic certificate according to the second format from the first storage unit,
The detection means provided in the computer is in accordance with the format information of the electronic certificate according to the first format in the third storage unit and the second format read out from the first storage unit. Collating information used in the electronic certificate, detecting differential information necessary to create an electronic certificate according to the first format,
The acquisition means provided in the computer acquires the difference information by inquiring other devices,
The generation means provided in the computer includes a private key used in a service that uses an electronic certificate in accordance with the first format and an electronic certificate in accordance with the second format read from the first storage device. An electronic certificate editing method comprising: generating an electronic certificate according to the first format from information used in a certificate and the difference information.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004288724A JP4639732B2 (en) | 2004-09-30 | 2004-09-30 | Electronic certificate editing program and method, and IC card |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004288724A JP4639732B2 (en) | 2004-09-30 | 2004-09-30 | Electronic certificate editing program and method, and IC card |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006108767A JP2006108767A (en) | 2006-04-20 |
| JP4639732B2 true JP4639732B2 (en) | 2011-02-23 |
Family
ID=36378021
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004288724A Expired - Fee Related JP4639732B2 (en) | 2004-09-30 | 2004-09-30 | Electronic certificate editing program and method, and IC card |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4639732B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106997527A (en) | 2016-01-25 | 2017-08-01 | 阿里巴巴集团控股有限公司 | Credit payment method and device based on mobile terminal P2P |
| CN115719224A (en) * | 2016-01-25 | 2023-02-28 | 创新先进技术有限公司 | Credit payment method and device based on mobile terminal card simulation |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000338868A (en) * | 1999-05-26 | 2000-12-08 | Ntt Data Corp | Method for issuing public key certificate, method for verifying, system and recording medium |
| JP2001069137A (en) * | 1999-08-25 | 2001-03-16 | Nippon Telegr & Teleph Corp <Ntt> | Method for issuing public key certificate, terminal equipment for user, certification center and medium recording programs therefor |
| JP2001305956A (en) * | 2000-04-26 | 2001-11-02 | Nippon Telegr & Teleph Corp <Ntt> | Method for issuing open key certificate and authentication station, user terminal and recording medium with program recored thereon |
| JP2002064479A (en) * | 2000-08-15 | 2002-02-28 | Fuji Xerox Co Ltd | Network apparatus and host apparatus |
| JP2004259176A (en) * | 2003-02-27 | 2004-09-16 | Matsushita Electric Ind Co Ltd | Ic card |
| JP2004265075A (en) * | 2003-02-28 | 2004-09-24 | Ntt Communications Kk | Communication program, storage device, communication system and communication method |
-
2004
- 2004-09-30 JP JP2004288724A patent/JP4639732B2/en not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000338868A (en) * | 1999-05-26 | 2000-12-08 | Ntt Data Corp | Method for issuing public key certificate, method for verifying, system and recording medium |
| JP2001069137A (en) * | 1999-08-25 | 2001-03-16 | Nippon Telegr & Teleph Corp <Ntt> | Method for issuing public key certificate, terminal equipment for user, certification center and medium recording programs therefor |
| JP2001305956A (en) * | 2000-04-26 | 2001-11-02 | Nippon Telegr & Teleph Corp <Ntt> | Method for issuing open key certificate and authentication station, user terminal and recording medium with program recored thereon |
| JP2002064479A (en) * | 2000-08-15 | 2002-02-28 | Fuji Xerox Co Ltd | Network apparatus and host apparatus |
| JP2004259176A (en) * | 2003-02-27 | 2004-09-16 | Matsushita Electric Ind Co Ltd | Ic card |
| JP2004265075A (en) * | 2003-02-28 | 2004-09-24 | Ntt Communications Kk | Communication program, storage device, communication system and communication method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006108767A (en) | 2006-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108292330B (en) | Secure token distribution | |
| KR101661933B1 (en) | Ccertificate authentication system and method based on block chain | |
| JP3329432B2 (en) | Hierarchical electronic cash execution method and apparatus used therefor | |
| KR102621116B1 (en) | Elecronic device and electronic payement method using id-based public key cryptography | |
| CA2329032C (en) | A cryptographic system and method for electronic transactions | |
| KR102357978B1 (en) | Document authentication and disclosure system and computer-based method thereof | |
| US20060123465A1 (en) | Method and system of authentication on an open network | |
| KR100411448B1 (en) | public-key infrastructure based digital certificate methods of issuing and system thereof | |
| US20040199469A1 (en) | Biometric transaction system and method | |
| WO2000008595A1 (en) | Signature system for presenting user signature information | |
| Bhiogade | Secure socket layer | |
| JP6800045B2 (en) | Signature support server, relay server, signature support program, and relay program | |
| JP2011034556A (en) | Information system, processing station, credit card payment method | |
| JP2003044436A (en) | Authentication processing method, information processor, and computer program | |
| KR100646948B1 (en) | A Notarizing center server for notarizing and verifying electronic documents and method using the Same | |
| KR100468031B1 (en) | Publication and settlement of account for an electronic check | |
| KR100598573B1 (en) | Creating and authenticating one time card data using smartcard and the system therefor | |
| JP3365599B2 (en) | Electronic check system | |
| JP2000215280A (en) | Identity certification system | |
| JP4639732B2 (en) | Electronic certificate editing program and method, and IC card | |
| JP2002117350A (en) | Service issuing method, service providing method, and system therefor | |
| JP3449894B2 (en) | Network transaction system, recording medium recording the program, terminal device, and identification method | |
| KR20230088694A (en) | A safe, traceable and privacy-preserving digital currency remittance method by canceling anonymity on a distributed ledger | |
| Pang et al. | A secure agent-mediated payment protocol | |
| JPH10149396A (en) | Commercial transaction system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070824 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100810 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101012 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101102 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101115 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131210 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |