JP6573880B2 - 更新プログラム及び方法、及び、管理プログラム及び方法 - Google Patents
更新プログラム及び方法、及び、管理プログラム及び方法 Download PDFInfo
- Publication number
- JP6573880B2 JP6573880B2 JP2016528666A JP2016528666A JP6573880B2 JP 6573880 B2 JP6573880 B2 JP 6573880B2 JP 2016528666 A JP2016528666 A JP 2016528666A JP 2016528666 A JP2016528666 A JP 2016528666A JP 6573880 B2 JP6573880 B2 JP 6573880B2
- Authority
- JP
- Japan
- Prior art keywords
- public key
- client
- temporary
- certificate
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Description
<仕組みI>では、現行世代クライアント秘密鍵6bに対する長時間にわたる推定に対抗する仕組みを提供する。
<仕組みII>では、更新処理22pの実行中における不正な解析に対処する仕組みを提供する。
PKI暗号化による通信において、上述した共有処理21p及び更新処理22pを行う通信シーケンス例について図2及び図3で説明する。図2及び図3において、PKIに基づき暗号化されたデータは、送信元の公開鍵を示す公開鍵証明書6k(又は7k)と、メッセージ1mと、送信元の電子署名6e(又は7e)とを含む。公開鍵証明書6k(又は7k)により、送信元の公開鍵の正当性を示し、電子署名によって正しいデータであることを示す。電子署名は、送信元の秘密鍵で作成される。他の図においても同様である。
サーバ100からクライアント5への次世代クライアント公開鍵証明書6k'の返信を阻害する行為に対して、サーバ100は、サーバ100から次世代クライアント公開鍵証明書6k'を未だ受信していない状態によるクライアント5からのメッセージの受信回数をカウントし、運用で定めた規定値を超えた場合は、その次世代クライアント公開鍵証明書6k'を失効し、また、その次世代クライアント公開鍵証明書6k'を使った要求を拒絶する制御を行う。この<仕組みII>により、再送攻撃による不正な解析に対処できる。
・CC_PUBは、現行世代クライアント公開鍵を表す。
・CC_CRTは、現行世代クライアント公開鍵証明書を表す。
・CC_PRVは、現行世代クライアント秘密鍵を表す。
・NC_PUBは、次世代クライアント公開鍵を表す。
・NC_CRTは、次世代クライアント公開鍵証明書を表す。
・NC_PRVは、次世代クライアント秘密鍵を表す。
・TM_COMは、一時共通鍵を表す。
・TMC_PUBは、一時クライアント公開鍵を表す。
・TMC_PRVは、一時クライアント秘密鍵を表す。
・RT_CRTは、ルート公開鍵証明書を表す。
・S_PUBは、サーバ公開鍵を表す。
・S_CRTは、サーバ公開鍵証明書を表す。
・S_PRVは、サーバ秘密鍵を表す。
・TMS_PUBは、一時サーバ公開鍵を表す。
・TMS_PRVは、一時サーバ秘密鍵を表す。
・クライアント5から送信された現行世代クライアント公開鍵証明書6kのレコードが既に登録されていて、
・そのレコードの現行世代証明書フラグには未使用世代を示す値「0」が設定されていて、かつ、
・そのレコードの前世代証明書エレメント番号でポイントされているレコードの現行世代証明書フラグには現行世代クライアント公開鍵証明書6kを示す値「1」が設定されている場合、
このレコードのクライアント公開鍵証明書(証明書ID)を失効リスト2fに登録して、証明書管理情報テーブル80からこのレコードを削除する。
・クライアント5から送信された現行世代クライアント公開鍵証明書6kのレコードが既に登録されていて、
・そのレコードの現行世代証明書フラグには、現行世代クライアント公開鍵証明書6kを示す値「1」が設定されていない、かつ
・そのレコードの次世代証明書エレメント番号でポイントされているレコードの現行先行証明書フラグには、現行世代クライアント公開鍵証明書6kを示す値「1」が設定されている場合、
クライアント5から送信されてきた現行世代クライアント公開鍵証明書6k(証明書ID)を失効リスト2fに登録して、証明書管理情報テーブル80から、このレコードを削除する。
図13は、ステップ(I)におけるクライアントでの処理を説明するためのフローチャート図である。図13において、クライアント5の更新部50は、証明書管理情報テーブル60を参照して、現行世代クライアント公開鍵証明書6kを検索する(ステップS501)。
2p 一時サーバ鍵ペア
4a 一時クライアント公開鍵 4b 一時クライアント秘密鍵
4p 一時クライアント鍵ペア
6a 現行世代クライアント公開鍵 6b 現行世代クライアント秘密鍵
6p 現行世代クライアント鍵ペア 6k 次世代クライアント公開鍵証明書
6a' 次世代クライアント公開鍵 6b' 次世代クライアント秘密鍵
6p' 次世代クライアント鍵ペア 6k' 次世代クライアント公開鍵証明書
7a サーバ公開鍵 7b サーバ秘密鍵
7p サーバ鍵ペア 7k サーバ公開鍵証明書
11a、11b CPU
12a、12b 主記憶装置
13a 補助記憶装置
14a 入力装置
15a 表示装置
16b ユーザI/F
17a、17b 通信I/F
18a、18b ドライブ装置
19a、19b 記憶媒体
31d、32d、33d、33d−1、33d−2、34d データ
33s、34s 秘密データ
50 更新部 51 サーバ正当性判断部
52 一時鍵ペア生成部 53 一時共通鍵生成部
54 暗号化部 55 電子署名付与部
56 電子署名チェック部 57 復号部
59 エラー終了通知部
81 正当性確認部 82 電子署名チェック部
83 一時鍵ペア生成部 84 公開鍵暗号化部
85 一時共通鍵生成部 86 復号部
87 更新証明書暗号化部
90 管理部
91 検索部 92 証明書管理部
Claims (17)
- メッセージを暗号化して送受信するサーバとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該サーバへの接続のときに、該サーバに対し一時的に利用する一時サーバ公開鍵を要求し、
一時的に利用する一時クライアント鍵ペアを生成し、該一時クライアント鍵ペアのうち一時クライアント秘密鍵と前記サーバから前記セキュアな通信により受信した前記一時サーバ公開鍵とで一時共通鍵を生成し、
前記セキュアな通信において、前記一時クライアント秘密鍵とペアとなる一時クライアント公開鍵と、生成した前記一時共通鍵で暗号化した第2の公開鍵証明書に対応付けられるクライアント公開鍵とを、前記第1の公開鍵証明書を用い、前記第1の公開鍵証明書に対応する前記第1のクライアント秘密鍵による前記電子署名を付与して前記サーバへ送信することで、該第2の公開鍵証明書の発行要求を行い、
前記サーバから、前記一時共通鍵で暗号化された前記第2の公開鍵証明書を前記セキュアな通信により受領し、該一時共通鍵で該第2の公開鍵証明書を復号し、
前記第1の公開鍵証明書の有効期限が過ぎた場合は、前記セキュアな通信において、前記第2の公開鍵証明書に対応する第2のクライアント秘密鍵による電子署名をメッセージに付与して前記サーバと通信する
処理をコンピュータに実行させる更新プログラム。 - 前記一時クライアント公開鍵を前記サーバに送信することで、該サーバとの間で一時共通鍵が共有され、前記第2の公開鍵証明書に対応付けられるクライアント公開鍵を送信することで、該サーバに前記第2の公開鍵証明書の発行要求を行うことを特徴とする請求項1記載の更新プログラム。
- 前記第2の公開鍵証明書の取得後においても、前記第1の公開鍵証明書は前記有効期限まで使用可能とし、該有効期限が過ぎたことにより該第2の公開鍵証明書へと切り替えられ前記サーバへ初めて送出したタイミングで、次の公開鍵証明書の発行要求を行う請求項1記載の更新プログラム。
- メッセージを暗号化して送受信するサーバとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該サーバへの接続のときに、該サーバに対し一時的に利用する一時サーバ公開鍵を要求し、
一時的に利用する一時クライアント鍵ペアを生成し、該一時クライアント鍵ペアのうち一時クライアント秘密鍵と前記サーバから前記セキュアな通信により受信した前記一時サーバ公開鍵とで一時共通鍵を生成し、
前記セキュアな通信において、前記一時クライアント秘密鍵とペアとなる一時クライアント公開鍵と、生成した前記一時共通鍵で暗号化した、第2の公開鍵証明書に対応付けられるクライアント公開鍵とをメッセージに含め、前記第1の公開鍵証明書を用い、前記第1の公開鍵証明書に対応する前記第1のクライアント秘密鍵による前記電子署名を付与して前記サーバへ送信することで、該第2の公開鍵証明書の発行要求を行い、
前記サーバから、前記一時共通鍵で暗号化された前記第2の公開鍵証明書を前記セキュアな通信により受領し、該一時共通鍵で該第2の公開鍵証明書を復号し、
前記第1の公開鍵証明書の有効期限が過ぎた場合は、前記セキュアな通信において、前記第2の公開鍵証明書に対応する第2のクライアント秘密鍵による電子署名をメッセージに付与して前記サーバと通信する
処理をコンピュータが行う更新方法。 - プロセッサと、
要求元及びデータの正当性の確認に用いられる第1の公開鍵証明書を記憶した記憶部と、
を有する端末装置であって、
前記プロセッサは、
メッセージを暗号化して送受信するサーバとのセキュアな通信において、暗号化された該メッセージに対して、前記第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該サーバへの接続のときに、該サーバに対し一時的に利用する一時サーバ公開鍵を要求し、
一時的に利用する一時クライアント鍵ペアを生成し、該一時クライアント鍵ペアのうち一時クライアント秘密鍵と前記サーバから前記セキュアな通信により受信した前記一時サーバ公開鍵とで一時共通鍵を生成し、
前記セキュアな通信において、前記一時クライアント秘密鍵とペアとなる一時クライアント公開鍵と、生成した前記一時共通鍵で暗号化した、第2の公開鍵証明書に対応付けられるクライアント公開鍵とを、前記第1の公開鍵証明書を用い、前記第1の公開鍵証明書に対応する前記第1のクライアント秘密鍵による前記電子署名を付与して前記サーバへ送信することで、該第2の公開鍵証明書の発行要求を行い
前記サーバから、前記一時共通鍵で暗号化された前記第2の公開鍵証明書を前記セキュアな通信により受領し、該一時共通鍵で該第2の公開鍵証明書を復号し、
前記第1の公開鍵証明書の有効期限が過ぎた場合は、前記セキュアな通信において、前記第2の公開鍵証明書に対応する第2のクライアント秘密鍵による電子署名をメッセージに付与して前記サーバと通信する端末装置。 - データを送信したクライアントの正当性と、該データの正当性の確認に用いられる公開鍵証明書の管理プログラムであって、
メッセージを暗号化して送受信する前記クライアントとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該クライアントからの接続のときに、一時的に利用する一時サーバ公開鍵を新たに生成し、前記クライアントに送信し、
前記セキュアな通信により、前記クライアントから、前記第1の公開鍵証明書を用い、一時クライアント公開鍵と、前記一時サーバ公開鍵と一時クライアント秘密鍵から生成された一時共通鍵によって暗号化されたクライアント公開鍵とを含む第2の公開鍵証明書の発行要求を受信し、
前記一時サーバ公開鍵とペアとなる一時サーバ秘密鍵と、前記クライアントから受信した前記一時クライアント公開鍵とで前記一時共通鍵を生成し、生成した該一時共通鍵を用いて前記クライアント公開鍵を復号し、
前記セキュアな通信による前記クライアントからの第2の公開鍵証明書の発行要求に対して、復号した前記クライアント公開鍵を用いて該第2の公開鍵証明書を生成し、該第2の公開鍵証明書を前記一時共通鍵で暗号化して該クライアントに送信する
処理をコンピュータに実行させる管理プログラム。 - クライアント毎に、前記第1の公開鍵証明書と、該第1の公開鍵証明書を更新する前記第2の公開鍵証明書とを関連付けてテーブルに記憶する
処理を前記コンピュータに実行させる請求項6記載の管理プログラム。 - 前記発行要求の回数をカウントし、該発行要求の回数が規定値を超えたら、不正な要求であると判断してエラーにする
処理を前記コンピュータに実行させる請求項6記載の管理プログラム。 - 前記クライアントから、前記第2の公開鍵証明書に対応する、暗号化された前記クライアント公開鍵を受信し、
前記クライアント公開鍵を前記一時共通鍵で復号し、
復号された前記クライアント公開鍵に対して前記第2の公開鍵証明書を生成する
処理を前記コンピュータに実行させる請求項6記載の管理プログラム。 - データを送信したクライアントの正当性と、データの正当性の確認に用いられる公開鍵証明書の管理方法であって、
メッセージを暗号化して送受信する前記クライアントとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該クライアントからの接続のときに、一時的に利用する一時サーバ公開鍵を新たに生成し、前記クライアントに送信し、
前記セキュアな通信により、前記クライアントから、前記第1の公開鍵証明書を用い、一時クライアント公開鍵と、前記一時サーバ公開鍵と一時クライアント秘密鍵から生成された一時共通鍵によって暗号化されたクライアント公開鍵とを含む第2の公開鍵証明書の発行要求を受信し、
前記一時サーバ公開鍵とペアとなる一時サーバ秘密鍵と、前記クライアントから受信した前記一時クライアント公開鍵とで前記一時共通鍵を生成し、生成した該一時共通鍵を用いて前記クライアント公開鍵を復号し、
前記セキュアな通信による前記クライアントからの第2の公開鍵証明書の発行要求に対して、復号した前記クライアント公開鍵を用いて該第2の公開鍵証明書を生成し、該第2の公開鍵証明書を前記一時共通鍵で暗号化して該クライアントに送信する
処理をコンピュータが行う管理方法。 - プロセッサと、
データを送信したクライアントの正当性と、該データの正当性の確認に用いられる第1の公開鍵証明書を記憶する記憶部とを有するサーバであって、
前記プロセッサは、
メッセージを暗号化して送受信する前記クライアントとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該クライアントからの接続のときに、一時的に利用する一時サーバ公開鍵を新たに生成し、前記クライアントに送信し、
前記セキュアな通信により、前記クライアントから、前記第1の公開鍵証明書を用い、一時クライアント公開鍵と、前記一時サーバ公開鍵と一時クライアント秘密鍵から生成された一時共通鍵によって暗号化されたクライアント公開鍵とを含む第2の公開鍵証明書の発行要求を受信し、
前記一時サーバ公開鍵とペアとなる一時サーバ秘密鍵と、前記クライアントから受信した前記一時クライアント公開鍵とで前記一時共通鍵を生成し、生成した該一時共通鍵を用いて前記クライアント公開鍵を復号し、
前記セキュアな通信により、前記クライアントからの第2の公開鍵証明書の発行要求に対して、復号した前記クライアント公開鍵を用いて該第2の公開鍵証明書を生成し、該第2の公開鍵証明書を前記一時共通鍵で暗号化して該クライアントに送信する
処理を実行するサーバ。 - メッセージを暗号化して送受信するサーバとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該サーバへの接続のときに、該サーバとでそれぞれの一時公開鍵を交換し、クライアントの一時秘密鍵と該サーバの一時公開鍵とで一時共通鍵を生成し、
前記セキュアな通信において、前記サーバに対し、前記第1の公開鍵証明書を用い、生成した前記一時共通鍵で暗号化したクライアント公開鍵を含む第2の公開鍵証明書の発行要求を行い、
前記セキュアな通信において、前記クライアント公開鍵を用いて生成され、前記一時共通鍵で暗号化された前記第2の公開鍵証明書を受領し、
前記第1の公開鍵証明書の有効期限が過ぎた場合は、前記セキュアな通信において、前記一時共通鍵で復号した前記第2の公開鍵証明書に対応する第2のクライアント秘密鍵による電子署名をメッセージに付与して前記サーバとセキュアな通信を行う
処理をコンピュータに実行させる更新プログラム。 - メッセージを暗号化して送受信するサーバとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該サーバへの接続のときに、該サーバとでそれぞれの一時公開鍵を交換し、クライアントの一時秘密鍵と該サーバの一時公開鍵とで一時共通鍵を生成し、
前記セキュアな通信において、前記サーバに対し、前記第1の公開鍵証明書を用い、生成した前記一時共通鍵で暗号化したクライアント公開鍵を含む第2の公開鍵証明書の発行要求を行い、
前記セキュアな通信において、前記クライアント公開鍵を用いて生成され、前記一時共通鍵で暗号化された前記第2の公開鍵証明書を受領し、
前記第1の公開鍵証明書の有効期限が過ぎた場合は、前記一時共通鍵で復号した前記第2の公開鍵証明書を用いて前記サーバとセキュアな通信を行う
処理をコンピュータが行う更新方法。 - プロセッサと、
要求元及びデータの正当性の確認に用いられる第1の公開鍵証明書を記憶した記憶部と、
を有する端末装置であって、
前記プロセッサは、
メッセージを暗号化して送受信するサーバとのセキュアな通信において、暗号化された該メッセージに対して、前記第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該サーバへの接続のときに、該サーバとでそれぞれの一時公開鍵を交換し、クライアントの一時秘密鍵と該サーバの一時公開鍵とで一時共通鍵を生成し、
前記セキュアな通信において、前記サーバに対し、前記第1の公開鍵証明書を用い、生成した前記一時共通鍵で暗号化したクライアント公開鍵を含む第2の公開鍵証明書の発行要求を行い、
前記セキュアな通信において、前記クライアント公開鍵を用いて生成され、前記一時共通鍵で暗号化された前記第2の公開鍵証明書を受領し、
前記第1の公開鍵証明書の有効期限が過ぎた場合は、前記一時共通鍵で復号した前記第2の公開鍵証明書を用いて前記サーバとセキュアな通信を行う端末装置。 - データを送信したクライアントの正当性と、該データの正当性の確認に用いられる公開鍵証明書の管理プログラムであって、
メッセージを暗号化して送受信する前記クライアントとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該クライアントからの接続のときに、該クライアントとでそれぞれの一時公開鍵を交換し、サーバの一時秘密鍵と該クライアントの一時公開鍵とで一時共通鍵を生成し、
前記クライアントからの、前記第1の公開鍵証明書を用い、該クライアントの一時秘密鍵と前記サーバの一時公開鍵とで生成した一時共通鍵で暗号化されたクライアント公開鍵を含む第2の公開鍵証明書の発行要求に対して、前記サーバの一時秘密鍵と該クライアントの一時公開鍵とで生成した前記一時共通鍵で該クライアント公開鍵を復元して、該第2の公開鍵証明書を生成し、該第2の公開鍵証明書を前記一時共通鍵で暗号化して該クライアントに送信する
処理をコンピュータに実行させる管理プログラム。 - データを送信したクライアントの正当性と、データの正当性の確認に用いられる公開鍵証明書の管理方法であって、
メッセージを暗号化して送受信する前記クライアントとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該クライアントからの接続のときに、該クライアントとでそれぞれの一時公開鍵を交換し、サーバの一時秘密鍵と該クライアントの一時公開鍵とで一時共通鍵を生成し、
前記クライアントからの、前記第1の公開鍵証明書を用い、該クライアントの一時秘密鍵と前記サーバの一時公開鍵とで生成した一時共通鍵で暗号化されたクライアント公開鍵を含む第2の公開鍵証明書の発行要求に対して、前記サーバの一時秘密鍵と該クライアントの一時公開鍵とで生成した前記一時共通鍵で該クライアント公開鍵を復元して、該第2の公開鍵証明書を生成し、該第2の公開鍵証明書を前記一時共通鍵で暗号化して該クライアントに送信する
処理をコンピュータが行う管理方法。 - プロセッサと、
データを送信したクライアントの正当性と、該データの正当性の確認に用いられる第1の公開鍵証明書を記憶する記憶部とを有するサーバであって、
前記プロセッサは、
メッセージを暗号化して送受信する前記クライアントとのセキュアな通信において、暗号化された該メッセージに対して、第1の公開鍵証明書に対応する第1のクライアント秘密鍵による電子署名を付与し、有効期限付きの該第1の公開鍵証明書を初めて用いた、該クライアントからの接続のときに、該クライアントとでそれぞれの一時公開鍵を交換し、サーバの一時秘密鍵と該クライアントの一時公開鍵とで一時共通鍵を生成し、
前記クライアントからの、前記第1の公開鍵証明書を用い、該クライアントの一時秘密鍵と前記サーバの一時公開鍵とで生成した一時共通鍵で暗号化されたクライアント公開鍵を含む第2の公開鍵証明書の発行要求に対して、前記サーバの一時秘密鍵と該クライアントの一時公開鍵とで生成した前記一時共通鍵で該クライアント公開鍵を復元して、該第2の公開鍵証明書を生成し、該第2の公開鍵証明書を前記一時共通鍵で暗号化して該クライアントに送信する
処理を実行するサーバ。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2014/065903 WO2015193945A1 (ja) | 2014-06-16 | 2014-06-16 | 更新プログラム及び方法、及び、管理プログラム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2015193945A1 JPWO2015193945A1 (ja) | 2017-04-20 |
| JP6573880B2 true JP6573880B2 (ja) | 2019-09-11 |
Family
ID=54934978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016528666A Expired - Fee Related JP6573880B2 (ja) | 2014-06-16 | 2014-06-16 | 更新プログラム及び方法、及び、管理プログラム及び方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10708047B2 (ja) |
| JP (1) | JP6573880B2 (ja) |
| WO (1) | WO2015193945A1 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9916567B1 (en) * | 2013-03-15 | 2018-03-13 | Vantiv, Llc | Systems, methods and apparatus for payment terminal management |
| CN106789018B (zh) * | 2016-12-20 | 2019-10-08 | 百富计算机技术(深圳)有限公司 | 密钥远程获取方法和装置 |
| CN108667609B (zh) * | 2017-04-01 | 2021-07-20 | 西安西电捷通无线网络通信股份有限公司 | 一种数字证书管理方法及设备 |
| JP6644037B2 (ja) * | 2017-09-08 | 2020-02-12 | 株式会社東芝 | 通信制御システム |
| CN109905243B (zh) * | 2017-12-11 | 2022-06-03 | 航天信息股份有限公司 | 一种处理数字证书更新请求的方法及服务器 |
| JP6907111B2 (ja) * | 2017-12-28 | 2021-07-21 | 株式会社日立製作所 | 電子証明書管理システムおよび電子証明書管理方法 |
| US10715338B2 (en) * | 2018-02-21 | 2020-07-14 | Microsoft Technology Licensing, Llc | Management of public key certificates within a distributed architecture |
| JP6952661B2 (ja) * | 2018-08-30 | 2021-10-20 | 株式会社東芝 | 情報処理装置、通信機器、情報処理システム、情報処理方法、および情報処理プログラム |
| US11611430B2 (en) * | 2019-04-15 | 2023-03-21 | Axell Corporation | Arithmetic apparatus, arithmetic system and arithmetic method |
| EP3866428B1 (en) * | 2020-02-13 | 2021-12-29 | Axis AB | A method for re-provisioning a digital security certificate and a system and a non-transitory computer program product thereof |
| US11244525B2 (en) * | 2020-03-02 | 2022-02-08 | International Business Machines Corporation | Authentication security |
| JP7254753B2 (ja) * | 2020-09-18 | 2023-04-10 | 株式会社東芝 | システムおよびサーバ装置 |
| JP7687031B2 (ja) * | 2021-04-14 | 2025-06-03 | Toppanホールディングス株式会社 | 通信システム、通信方法及びプログラム |
| CN113346998B (zh) * | 2021-08-06 | 2021-10-15 | 苏州浪潮智能科技有限公司 | 密钥更新及文件共享方法、装置、设备、计算机存储介质 |
| US12585754B2 (en) | 2022-06-14 | 2026-03-24 | Microsoft Technology Licensing, Llc | Trusted root recovery |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5657390A (en) | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
| JP2001111538A (ja) | 1999-10-05 | 2001-04-20 | Dainippon Printing Co Ltd | 通信システムとその方法、通信装置およびicカード |
| JP2001320356A (ja) | 2000-02-29 | 2001-11-16 | Sony Corp | 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法 |
| JP2002297548A (ja) | 2001-03-30 | 2002-10-11 | Matsushita Electric Ind Co Ltd | 端末登録システムとそれを構成する装置及び方法 |
| JP3933999B2 (ja) | 2002-06-13 | 2007-06-20 | セイコープレシジョン株式会社 | デジタル証明書発行システム及びそのシステムプログラム |
| US8015399B2 (en) * | 2003-09-30 | 2011-09-06 | Ricoh Company, Ltd. | Communication apparatus, communication system, certificate transmission method and program |
| JP4284198B2 (ja) | 2004-01-16 | 2009-06-24 | 日本電信電話株式会社 | 公開鍵証明書の更新方法および装置 |
| JP4671783B2 (ja) | 2004-07-20 | 2011-04-20 | 株式会社リコー | 通信システム |
| US8615653B2 (en) * | 2004-09-01 | 2013-12-24 | Go Daddy Operating Company, LLC | Methods and systems for dynamic updates of digital certificates via subscription |
| US8181017B2 (en) * | 2004-10-22 | 2012-05-15 | Nds Limited | Certificate renewal |
| US8195945B2 (en) * | 2005-12-01 | 2012-06-05 | Sony Mobile Communications Ab | Secure digital certificate storing scheme for flash memory and electronic apparatus |
| JP2007329731A (ja) * | 2006-06-08 | 2007-12-20 | Hitachi Ltd | 証明書更新方法、システム及びプログラム |
| JP4787730B2 (ja) * | 2006-12-22 | 2011-10-05 | Necインフロンティア株式会社 | 無線lan端末及び無線lanシステム |
| US7822976B2 (en) * | 2007-03-08 | 2010-10-26 | Kinghood Technology Co., Ltd. | Network data security system and protecting method thereof |
| JP5002419B2 (ja) * | 2007-11-08 | 2012-08-15 | キヤノン株式会社 | 記録装置、記録方法 |
| US8826006B2 (en) * | 2008-10-31 | 2014-09-02 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate |
| US8423761B2 (en) * | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
| US9319300B2 (en) * | 2008-12-09 | 2016-04-19 | Glue Networks, Inc. | Systems and methods for determining endpoint configurations for endpoints of a virtual private network (VPN) and deploying the configurations to the endpoints |
| CN101521883B (zh) * | 2009-03-23 | 2011-01-19 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
| US9680819B2 (en) * | 2009-12-23 | 2017-06-13 | Symantec Corporation | Method and system for co-termination of digital certificates |
| JP5576985B2 (ja) * | 2011-07-15 | 2014-08-20 | 株式会社日立製作所 | 署名に用いる暗号アルゴリズムの決定方法、検証サーバおよびプログラム |
| JP2013179419A (ja) * | 2012-02-28 | 2013-09-09 | Ricoh Co Ltd | ネットワークシステム、証明書管理方法及び証明書管理プログラム |
| US8856514B2 (en) * | 2012-03-12 | 2014-10-07 | International Business Machines Corporation | Renewal processing of digital certificates in an asynchronous messaging environment |
| US8966260B1 (en) * | 2013-01-30 | 2015-02-24 | Palo Alto Networks, Inc. | Credentials management in large scale virtual private network deployment |
| US20140379596A1 (en) * | 2013-06-23 | 2014-12-25 | Cisco Technology, Inc. | Cloud-based auditing and management of licenses to use computer products |
| US9332003B2 (en) * | 2014-03-20 | 2016-05-03 | Symantec Corporation | Systems and methods for discovering website certificate information |
| US9467442B2 (en) * | 2014-05-23 | 2016-10-11 | Symantec Corporation | Automated step-up digital certificate installation process |
-
2014
- 2014-06-16 JP JP2016528666A patent/JP6573880B2/ja not_active Expired - Fee Related
- 2014-06-16 WO PCT/JP2014/065903 patent/WO2015193945A1/ja not_active Ceased
-
2016
- 2016-12-13 US US15/377,374 patent/US10708047B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US20170093570A1 (en) | 2017-03-30 |
| JPWO2015193945A1 (ja) | 2017-04-20 |
| WO2015193945A1 (ja) | 2015-12-23 |
| US10708047B2 (en) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6573880B2 (ja) | 更新プログラム及び方法、及び、管理プログラム及び方法 | |
| US12143476B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
| JP7364674B2 (ja) | 安全な無線ファームウェアアップグレード | |
| JP5815525B2 (ja) | 情報処理装置、コントローラ、鍵発行局、無効化リスト有効性判定方法および鍵発行方法 | |
| JP5201716B2 (ja) | 暗号モジュール配信システム、暗号管理サーバ装置、暗号処理装置、クライアント装置、暗号管理プログラム、暗号処理プログラム、およびクライアントプログラム | |
| TWI507006B (zh) | 在一次往返中的金鑰認證 | |
| JP5136012B2 (ja) | データ送付方法 | |
| US9124561B2 (en) | Method of transferring the control of a security module from a first entity to a second entity | |
| US20060129847A1 (en) | Methods and systems for providing a secure data distribution via public networks | |
| US20110138177A1 (en) | Online public key infrastructure (pki) system | |
| BR112017017425B1 (pt) | Meio de armazenamento legível por computador não transitório configurado para armazenar instruções de método e processo implementado por computador | |
| JP2006060779A (ja) | 証明書送信装置、通信システム、証明書送信方法、プログラム及び記録媒体 | |
| EP2954639A1 (en) | Method and apparatus for embedding secret information in digital certificates | |
| EP4096147A1 (en) | Secure enclave implementation of proxied cryptographic keys | |
| EP4096160B1 (en) | Shared secret implementation of proxied cryptographic keys | |
| WO2019239591A1 (ja) | 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム | |
| EP4145763B1 (en) | Exporting remote cryptographic keys | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| KR20090084545A (ko) | Ce 장치 관리 서버, ce 장치 관리 서버를 이용한drm 키 발급 방법, 및 그 방법을 실행하기 위한프로그램 기록매체 | |
| JP5012574B2 (ja) | 共通鍵自動共有システム及び共通鍵自動共有方法 | |
| US20080091947A1 (en) | Software registration system | |
| US20230376574A1 (en) | Information processing device and method, and information processing system | |
| JP2013223171A (ja) | 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム | |
| WO2015173900A1 (ja) | 認証局管理方法、ネットワーク装置およびプログラム | |
| JP2010245712A (ja) | Id有効性管理装置及び通信装置及びid有効性管理方法及びデータ処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161221 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170711 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170911 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180220 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180518 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20180525 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20180803 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190305 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190620 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190814 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6573880 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |