情報処理装置、時刻情報処理装置、情報処理方法、及び時刻情報処理方法
【課題】 配信される配信時刻の精度を評価すると共に、評価に応じた制御を行うこと。
【解決手段】 TSAは、TAから配信された配信時刻の精度を評価し、この評価結果に応じた動作を行うことができる。例えば、TSAは、配信時刻の誤差が許容値内である場合に、この配信時刻を用いて時計装置の時刻を補正して、タイムスタンプの活性化期間を設定したり、配信時刻の誤差が許容値内でなかった場合に、他のTAに時刻監査を要求したりすることができる。また、TAから配信される配信時刻の精度は、NTA→TA→TSAの伝達経路に依存するため、本実施の形態のTSAは、NTA、TAに精度を問い合わせるなどして、TAから配信された配信時刻の精度を評価する。このように本実施の形態のTSAは、配信される時刻の精度により動作を選択することができ、また、伝達経路に依存する配信時刻の精度を評価することができる。
【解決手段】 TSAは、TAから配信された配信時刻の精度を評価し、この評価結果に応じた動作を行うことができる。例えば、TSAは、配信時刻の誤差が許容値内である場合に、この配信時刻を用いて時計装置の時刻を補正して、タイムスタンプの活性化期間を設定したり、配信時刻の誤差が許容値内でなかった場合に、他のTAに時刻監査を要求したりすることができる。また、TAから配信される配信時刻の精度は、NTA→TA→TSAの伝達経路に依存するため、本実施の形態のTSAは、NTA、TAに精度を問い合わせるなどして、TAから配信された配信時刻の精度を評価する。このように本実施の形態のTSAは、配信される時刻の精度により動作を選択することができ、また、伝達経路に依存する配信時刻の精度を評価することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、時刻情報処理装置、情報処理方法、及び時刻情報処理方法に関し、例えば、ネットワークを介して伝達されてくる伝達情報を利用するものに関する。
【背景技術】
【0002】
近年の情報技術の急激な進歩に伴って、公文書や私文書をデジタル情報化した電子文書にする所謂ペーパレス化が推進されている。
また、このようにして作成された電子文書に付与される法的な地位を整備するため所謂電子文書法が施行されている。
このように法的地位を有する電子文書などでは発行日などの時刻証明(日付証明)が重要であり、時刻証明を行うタイムスタンプシステムが利用されている。
【0003】
図14は、従来のタイムスタンプシステムのネットワーク構成の一部を示した図である。
TSA102(TSA:Time−stamping Authority)は、タイムスタンプサーバを備えたタイムスタンプ局であって、インターネットなどのネットワークを介してクライアント端末103、103、・・・と接続可能に配設されている。
TSA102のタイムスタンプサーバ(以下、TSA102と記す)は、タイムスタンプを発行するための時計装置を内蔵しており、この時計装置が出力する時刻によりタイムスタンプを発行する。
クライアント端末103は、TSA102に対して電子文書に対してタイムスタンプの発行を要求する端末である。
【0004】
タイムスタンプの発行手順は概略次のように行われる。
まず、クライアント端末103がタイムスタンプ発行の対象である電子文書のハッシュ値をTSA102に送信する。
TSA102は、このハッシュ値を受信すると共に、受信時の時刻を時計装置により計測する。
そして、TSA102は、受信したハッシュ値に計測した時刻等の情報を追加したデータのハッシュ値を計算し、このハッシュ値をTSA102の秘密鍵で暗号化して電子署名を生成し、この電子署名と前記受信したハッシュ値、時刻、その他の情報から構成されるタイムスタンプデータをクライアント端末103に返送する。
【0005】
これに対し、タイムスタンプの確認手順は概略次のように行われる。
まず、TSA102の秘密鍵に対応する公開鍵を用いてタイムスタンプデータの電子署名を復号化し、そして、これからハッシュ値を取り出す。そして、前記受信したハッシュ値、時刻、その他の情報のハッシュ値と、電子署名から取り出したハッシュ値を比較する。両社が一致する場合、このタイムスタンプデータがTSA102で発行され、かつタイムスタンプデータの内容が改ざんされていないことが確認できる。次に、電子文書のハッシュ値を計算し、タイムスタンプデータに含まれる、前記受信したハッシュ値と比較する。両者が一致する場合、この電子文書がタイムスタンプデータ中の時刻にTSA102でタイムスタンプが発行されたことを確認することができる。
なぜならば、この公開鍵で電子署名を復号化し、ハッシュ値の一致を確認することができたことにより、この電子署名がTSA102しか知り得ない秘密鍵で暗号化されたことを確認することができ、更に、タイムスタンプデータ中のハッシュ値と電子文書から算出したハッシュ値が一致することにより、電子文書が改竄されていないことを確認することができるためである。
【0006】
TA101は、TSA102の時計装置の時刻を監査して時刻を配信する時刻配信サーバを備えた時刻監査局であり、インターネットなどのネットワークを介してTSA102と接続可能に配設されている。
TA101の時刻配信サーバ(以下、TA101と記す)は、内部に時計装置を備えており、これを用いてTSA102の時計装置の時刻を定期的に監査する。
まず、TA101は、TSA102からTSA102の時計装置が計測した時刻を送信してもらい、その時刻とTA101の時計装置の時刻を比較する。そしてTA101は、その比較による誤差を時刻監査証明書に記してTSA102に送信する。このように、TA101は、誤差によりTSA102に時刻を配信する。
【0007】
TSA102は、時刻監査証明書を受信し、これに記されている誤差によって自己の時計装置を補正し、更に時刻監査証明書で指定されたタイムスタンプ発行機能の活性化期間を設定する。ここで、活性化期間とは、時刻監査証明書によって補正した時刻によってタイムスタンプを発行できる期間である。なお、監査した時刻が所定値以上の誤差を有する場合、TA101は活性化期間を0とし、TSA102のタイムスタンプ発行機能を停止することもできる。
このように、TSA102の時計装置の時刻をTA101で監査することにより、TSA102の時刻を所定の精度に保つことができる。また、TSA102とクライアント端末103が結託して時刻の改竄を行うことも防ぐことができる。
【0008】
なお、配信時刻の改竄を防ぐために、TSA102とTA101の通信経路は、例えば、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)などの技術を用いて暗号化され、通信経路の遅延を補正する通信プロトコルとして時刻配信用に標準化されたNTP(Network Time Protocol)などを用いている。
このように、TSA102の時刻を監査する技術として次の「信頼されるサードパーティクロック及び信頼されるローカルクロックを提供するためのシステム及び方法」がある。
【0009】
【特許文献1】特表2003−519417公報
【0010】
この技術は、認証されたマスタクロック(TA101に対応)によりローカルクロック(TSA102に対応)の時刻を監査するものである。
【発明の開示】
【発明が解決しようとする課題】
【0011】
しかし、例えば、従来のタイムスタンプは、TA101の配信する時刻の精度にかかわらず、配信された時刻によって時刻補正を行っていた。
そのため、TSA102が、例えば、「タイムスタンプの時刻の精度を500[ms]以内とする」というような精度に関するポリシを持っていたとしても、TA101の精度によっては、このようなポリシを守れない場合が可能であった。
【0012】
更に、配信時刻の精度は、基準となる時刻の配信経路によって異なり、TSA102では、これら配信経路による精度の違いについても考慮されていなかった。
例えば、図1に示したように、TSAを監査する複数のTA1、TA2、及びこれらTAを更に監査するNTA1、NTA2(NTA:National Time Authority)などからなるより複雑なシステムを用いる場合、例えば、NTA1→TA2→TSAと監査した場合や、NTA1→TA1→TSAといったように、時刻配信の経路によって配信時刻の精度が異なる。
例えば、NTA1→TA2→TSAと監査して時刻を配信した場合、監査によるTSAの精度は、NTA1の精度100[ms]にTA2の精度450[ms]を加えた550[ms]となり、例えば、TSAの精度に関するポリシである500[ms]を越えてしまう。
これらの課題は、言い換えれば、ある情報処理装置において、他の情報処理装置から受信した伝達情報を評価し、その評価に応じた制御を行う、ということが行われていないために発生している。
【0013】
そこで、本発明の目的は、ネットワークを介して伝達されてくる伝達経路情報を演算し、その演算結果に応じて機器の制御を行うことにある。例えば、配信される時刻の精度を評価すると共に、評価に応じて時刻補正やタイムスタンプ発行、時刻配信、優先順位設定などの機能の制御を行うことである。
【課題を解決するための手段】
【0014】
本発明は、前記目的を達成するために、伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信手段と、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得手段と、前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択手段と、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作手段と、を具備したことを特徴とする情報処理装置を提供する(第1の構成)。
第1の構成において、前記伝達情報は、時刻情報であり、前記属性情報の属性値は、前記時刻情報の精度であるように構成することもできる(第2の構成)。
第1の構成、又は第2の構成において、前記伝達情報を送信するサーバ装置を認証する認証手段を具備し、前記伝達情報受信手段は、前記サーバ装置が認証された場合に伝達情報を受信するように構成することもできる(第3の構成)。
また、本発明は、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、時刻を出力する時計装置と、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段と、を具備したことを特徴とする時刻情報処理装置を提供する(第4の構成)。
第4の構成において、前記補正した時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段を具備するように構成することもできる(第5の構成)。
第5の構成において、前記記憶した精度が所定の条件を満たさなかった場合、前記タイムスタンプ発行手段を停止するように構成することもできる(第6の構成)。
第5の構成、又は第6の構成において、前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記タイムスタンプ発行手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値以上のものがあった場合にタイムスタンプの発行を停止するように構成することもできる(第7の構成)。
第4の構成から第7の構成までのうちの何れか1の構成において、前記補正した時計装置の出力を用いて時刻情報を配信する時刻情報配信手段を具備するように構成することもできる(第8の構成)。
第8の構成において、前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記時刻情報配信手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値未満となるものが所定値以上ある場合に、時刻配信を開始するように構成することもできる(第9の構成)。
第8の構成、又は第9の構成において、時刻情報を配信する配信先を認証する配信先認証手段を具備し、前記時刻情報配信手段は、前記配信先認証手段で配信先が認証された場合に時刻情報を配信するように構成することもできる(第10の構成)。
第4の構成から第10の構成までのうちの何れか1の構成において、前記所定の条件は、前記記憶した精度が、所定の精度を満たすか否かであるように構成することもできる(第11の構成)。
第4の構成から第11の構成までのうちの何れか1の構成において、前記記憶した精度が所定の条件を満たさなかった場合、他の時刻配信サーバに時刻情報を要求するように構成することもできる(第12の構成)。
第4の構成から第10の構成までのうちの何れか1の構成において、前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記所定の条件は、前記記憶した時刻情報のうち最も精度のよいものを選択することであり、前記時計装置補正手段は前記選択した時刻情報を用いて前記時計装置を補正するように構成することもできる(第13の構成)。
第4の構成から第13の構成までのうちの何れか1の構成において、前記時計装置の補正に使用した時刻情報を配信した時刻配信サーバの優先順位を設定するように構成することもできる(第14の構成)。
第4の構成から第14の構成までのうちの何れか1の構成において、前記時刻情報の精度は、前記時刻配信サーバが時刻を同期させる基準時刻を配信する基準時刻サーバから前記時刻配信サーバまでの基準時刻の伝達経路に依存し、前記受信した前記基準時刻の伝達経路を特定する伝達経路特定情報を受信して記憶する伝達経路特定情報受信手段を具備し、前記精度取得手段は、前記記憶した伝達経路特定情報を用いて精度を取得するように構成することもできる(第15の構成)。
第15の構成において、前記精度取得手段は、前記記憶した伝達経路特定情報で特定される伝達経路上に存在する各サーバ装置から各サーバ装置で規定される時刻の精度を取得し、前記取得した精度から前記時刻情報の精度を取得するように構成することもできる(第16の構成)。
第16の構成において、前記各サーバ装置から時刻の精度を取得するに際して、前記各サーバ装置を認証するように構成することもできる(第17の構成)。
また、本発明は、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、時刻を出力する時計装置と、前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、サーバ装置の優先順位を設定する優先順位設定手段と、を具備し、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行うことを特徴とする時刻情報処理装置を提供する(第18の構成)。
第4の構成から第18の構成までのうちの何れか1の構成において、時刻配信サーバを認証する時刻配信サーバ認証手段を具備し、前記時刻情報受信手段は、前記時刻配信サーバが認証された場合に時刻情報を受信するように構成することもできる(第19の構成)。
また、本発明は、伝達情報受信手段と、属性取得手段と、動作機能部選択手段と、動作手段と、を備えたコンピュータにおいて、前記伝達情報受信手段が、伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信ステップと、前記属性取得手段が、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得ステップと、前記動作機能部選択手段が、前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択ステップと、前記動作手段が、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作ステップと、から構成されたことを特徴とする情報処理方法を提供する(第20の構成)。
また、本発明は、時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、時計装置補正手段と、を備えたコンピュータにおいて、前記時刻情報受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、前記時計装置補正手段が、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正ステップと、から構成されたことを特徴とする時刻情報処理方法を提供する(第21の構成)。
また、本発明は、時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、 前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、サーバ装置の優先順位を設定する優先順位設定手段と、を備えたコンピュータにおいて、前記時刻受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、を備え、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行う選択実行ステップと、から構成されたことを特徴とする情報処理方法を提供する(第22の構成)。
また、本発明の別の形態では、ネットワークを介して伝達される情報はネットワーク中の複数のサーバやルータやスイッチなどを介して伝達される。その伝達される情報がたどった経路により情報の伝達が早かったり、遅かったり、誤っていたり、経路の差により伝達すべき情報に差が生ずる。そこで、ネットワークを介して伝達される情報に関して、その情報がどのような経路をたどったのかがわかる伝達経路情報を設け、その伝達経路情報を演算することで、伝達される情報の経路による差を修正したり補正することができる情報処理装置を提供する。また、伝達される情報を2次的に用いる場合についても伝達経路情報を演算することで修正や補正や使用するか否かの選択などができる情報処理装置を提供する。
【発明の効果】
【0015】
本発明によれば、ネットワークを介して伝達されてきた伝達経路情報である時刻の精度の情報を演算し、その演算結果により制御を行うことができる。例えば、配信される時刻の精度を評価すると共に、評価に応じた制御を行うことができる。
【発明を実施するための最良の形態】
【0016】
(1)実施の形態の概要
伝達経路情報を演算し、その演算結果により制御する一実施の形態として以下に述べる。
TSAは、TAから配信された時刻の精度を評価し、この評価結果に応じた動作を行うことができる。
例えば、TSAは、配信時刻の誤差が許容値内である場合に、この配信時刻を用いて時計装置の時刻を補正して、タイムスタンプ発行機能の活性化期間を設定したり、配信時刻の誤差が許容値内でなかった場合に、タイムスタンプの発行機能を停止したり、他のTAに時刻監査を要求したりすることができる。なお、活性化期間とは、ある機能が使用可能な状態である期間である。
また、TAから配信される時刻の精度は、NTA→TA→TSAの伝達経路に依存するため、本実施の形態のTSAは、NTA、TAに精度を問い合わせるなどして、TAから配信された時刻の精度を評価する。
このように本実施の形態のTSAは、配信される時刻の精度により動作を選択することができ、また、伝達経路に依存する配信時刻の精度を評価することができる。そのため、配信時刻の伝達経路により動作を選択することができる。つまり、TAが複数ある場合はNTAからTSAに伝達する情報の伝達経路は異なり、配信時刻の誤差が異なる。この誤差の比較(演算)を行い、比較(演算)の結果により最小の誤差である経路を選択する制御をすることができる。
また、配信される時刻の精度に関連する項目として、情報伝達の早さなどもあり、この情報伝達の早さと所定値を比較、または、経路による情報伝達の早さを比較して、速い場合はその情報を使う、同じ場合はその情報を使う、遅い場合はその情報は使わない、などの選択する制御ができる。
【0017】
(2)実施の形態の詳細
図1は、本実施の形態に係るタイムスタンプシステムのシステム構成の一例を示した図である。
図に示したように、当該タイムスタンプシステムは、複数のクライアント端末と、これらクライアント端末にタイムスタンプを発行するタイムスタンプ局であるTSAと、このTSAの時刻監査を行う時刻監査局であるTA1、TA2と、これらTA1、TA2の時刻監査を行う国家時刻配信局NTA1、NTA2がネットワークにより接続可能に配設されている。
以下、TA1、TA2を特に区別しない場合は単にTAと記し、NTA1とNTA2を特に区別しない場合は単にNTAと記すことにする。
【0018】
NTAは、基準となる時刻を配信する時刻配信局であり、時刻配信の最上位に位置する。
NTAは、原子時計を備えるなどして極めて正確な時刻の計測を行うことができ、TAの時計装置が出力する時刻を監査して時刻監査証明書をTAに発行する。
時刻監査証明書には、時刻監査によって計測された時刻の誤差が記されており、TAは、これを用いて自己の時計装置を補正する。即ち、TAはNTAが配信する時刻により時計装置の補正を行っている。
TAは、NTAからの配信時刻で補正された時計装置を用いてTSAの時刻監査を行い、時刻監査証明書を用いてTSAに時刻配信を行う。
【0019】
TSAは、TAから時刻監査を受け、TAから配信された時刻を用いて自己の時計装置を補正し、この時計装置の出力する時刻によりクライアント端末に対してタイムスタンプを発行する。タイムスタンプの発行方法は、従来と同じである。
クライアント端末は、例えば、電子文書のハッシュ値を計算してこれをTSAに送信し、TSAにタイムスタンプを発行してもらう。
【0020】
なお、本実施の形態では、NTA及びTAを2台とし、TSAを1台としているが、更に多くのNTA、TA、TSAを備えるように構成することができる。
また、TA1とTSAの間に更にTAを設置するなど、より複雑なネットワークとすることもできる。
【0021】
これらサーバ装置(NTA、TA、TSA)が配信する時刻の精度を、一例として図に示した。
即ち、NTA1は100[ms]、NTA2は50[ms]、TAは400[ms]、TA2は、450[ms]、TSAは500[ms]である。
NTAの精度は、UTC(Coordinated Universal Time:協定世界時)に対する精度であり、NTAが配信する時刻のUTCからの誤差が当該精度内であることを意味している。
NTAが配信する時刻は、ネットワークの下流側のサーバ装置が時計を補正してこれに同期させる際の基準時刻として用いられる。このようにNTAは基準時刻サーバを構成している。
【0022】
また、TAからTSAに配信される時刻の精度は、NTAからTAに配信された時刻を基準とする、相対的な精度である。即ちUTCからの精度は、NTAからTAに配信される時刻の精度に、TAからTSAに配信される時刻の精度を加えたものになる。(なお、TSAの、タイムスタンプの時刻精度に関するポリシは、このUTCからの精度と矛盾するものであってはならない。)
このように、ネットワークの下流側に行くにつれて出力時刻の精度の幅が累積すると共に、時刻配信の伝達経路によっても精度が異なってくる。
【0023】
例えば、配信時刻の伝達経路がNTA2→TA1→TSAの場合、TSAがTA1から配信される時刻の精度は、50+400=450[ms]であり、NTA1→TA1→TSAの場合は100+400=500[ms]となる。
また、配信時刻の伝達がNTA1→TA2→TSAの経路で行われた場合、TSAがTA2から配信される時刻は100+450=550[ms]の精度となり、配信時刻の伝達経路によっては、TSAの保証している精度である500[ms]を保てない場合もある。
【0024】
そこで、TSAは、配信時刻の伝達経路による精度の変化を含めて、TAから配信された時刻のUTCに対する精度を評価し、その評価に応じた適切な種々の動作を行うように構成されている。
そして、TSAが伝達経路による精度の変化を評価するために、TAがTSAに送信する時刻証明書には、配信時刻の伝達経路を特定する情報が含まれている。
本実施の形態の時刻監査証明書は、このようにどの伝達経路を介して時刻が配信されてきたかを追跡することができる所謂トレーサビリティを有しているため、以下ではトレ情報と略称することにする。
【0025】
ここで、図2の各図を用いてトレ情報の構成について説明する。
図2(a)は、TAがTSAに発行するトレ情報の論理的な構成の一例を示した図である。
図に示したようにトレ情報は、基本情報、時刻情報、伝達経路情報、及びTAの署名情報などから構成されている。
基本情報は、トレ情報自体に関する基本的な情報であって、発行時刻、バージョン、発行先、発行元、署名アルゴリズム、シリアル番号、有効期間などが含まれている。
【0026】
バージョン情報は、トレ情報のバージョンを特定する情報である。発行先は、トレ情報の発行先であるTSAを特定する情報である。発行元は、トレ情報を発行したTAを特定する情報である。
署名アルゴリズムは、TAの署名情報に用いたアルゴリズムを特定する情報であり、TSAは、これを用いてTAの署名情報に用いたアルゴリズムを知ることができる。
シリアル番号は、トレ情報のシリアル番号である。
有効期限は、TAが定めたトレ情報の有効期限であり、TSAは、有効期限の範囲内でトレ情報を利用した機能制御を行う。
【0027】
時刻情報は、時刻監査の結果などによる情報であって、監査時刻、時刻誤差、通信遅延、活性化期間、うるう秒、時刻監査証明書ポリシ、その他の情報などが含まれている。活性化期間は、有効期限と同じ期間である場合、省略可能である。この場合、有効期限を活性化期間として扱う。
監査時刻は、TAがTSAの時刻監査を実施した時刻である。
時刻誤差は、TAが時刻監査によって計測したTSAとTAの時刻の誤差である。TSAは、この誤差を用いて自己の時計装置の時刻を補正する。即ち、TAは、誤差という形で時刻を配信している。
【0028】
通信遅延は、TSAとTAの通信経路による遅延時間である。
活性化期間は、このトレ情報により補正した時計装置にてTSAがタイムスタンプを発行することができる期間である。TSAは、トレ情報に記された活性化期間を設定することができる。
時刻監査証明書ポリシには、例えば、TAが配信する時刻の精度など、ポリシに関する情報などが含まれている。これによって、TSAは、TAの配信時刻の(NTAを基準とする相対的な)精度を知ることができる。
【0029】
伝達経路情報は、NTAの基準時刻がTAに伝達するまでの伝達経路を特定する情報が含まれている。即ち、伝達経路情報は基準時刻の伝達経路を特定するトレーサビリティ情報となっている。
TSAは、伝達経路情報により、基準時刻の伝達経路を特定し、その伝達経路上のサーバ装置の精度に関するポリシを参照することにより、TAから配信された時刻のUTCに対する精度を評価することができる。
TAの署名情報は、TAの署名アルゴリズムを特定する情報と、TAの署名値などを含んでいる。
TSAは、この署名アルゴリズムを用いてトレ情報の署名値を計算し、TAの署名値との同一性を確認することにより、トレ情報が改竄されていないか確認することができる。
【0030】
図2(b)〜(d)は、伝達経路情報の論理的な構成の一例を示した図である。
図2(b)の例は、伝達経路情報に、伝達経路と各サーバ装置の精度の両方が含まれている場合である。
伝達経路は、基準時刻を伝達したサーバ装置(NTA、TA)を伝達順序で記すことにより表されている。
図に示したように、この例では、NTA1からTA1に時刻配信がなされ、これによってTA1が時刻補正を行ったことが示されており、更に、NTA1の精度が(100[ms])であることが示されている。
TA1の精度は、トレ情報の時刻情報(時刻監査証明書ポリシ)に記されているため、TSAは、これらの精度を加算することによりTA1から配信された時刻のUTCに対する精度を評価することができる。
【0031】
即ち、時刻情報に記されている精度が400[ms]であった場合、TA1から配信された時刻の精度は100+400=500[ms](未満)と評価され、これはTSAの精度に関するポリシである500[ms]未満を満たしている。
このように、伝達経路情報に精度が記されている場合、TSAは、トレ情報から配信時刻の精度の評価値を得ることができる。
【0032】
図2(c)の例は、伝達経路情報に、伝達経路と、伝達経路上にあるサーバ装置のURL(Uniform Resource Locators)の両方が含まれている場合である。
図に示したように、この例では、NTA1からTA1に時刻配信がなされたことが示されており、更に、NTA1に関してはURLが示されている。
TSAは、このURLを用いてNTA1にアクセスし、NTA1の精度を問い合わせることができる。
TSAは、このようにして取得したNTA1の精度と、トレ情報の時刻情報に記されているTA1の精度を加算して、TA1から配信された時刻の精度を評価することができる。
なお、精度の問い合わせを行うためにNTA1やTA1などのほかのサーバ装置にアクセスする場合、TSAは、これらを認証し、なりすましなどを防止するようになっている。例えば、SSLやTLSなどの認証を行ったり、精度に関する情報にNTA1やTA1が電子署名を付与し、TSAはその電子署名を確認する方法などがある。
【0033】
図2(d)の例は、図1に示さないが、伝達経路上に更に多くのサーバ装置が存在する場合を示している。
図に示したように、この例では、NTA1からTAxに時刻配信され、更にTAxからTAyに時刻配信され、そして、TAyからTA1に時刻配信され、次いでTSAに時刻配信されたことが示されており、それぞれのサーバ装置に精度を問い合わせるためのURLが記されている。このように、TSAに時刻配信機能を備えることも可能である。
この場合、TSAは、NTA1、TAx、TAyにこれらサーバ装置のURLを用いて精度を問い合わせ、これとTA1の精度を用いて、TA1から配信された時刻の精度を評価する。
また、図2(b)のように、URLの代わりにNTA1、TAx、TAyの精度を記しておいてもよい。
【0034】
図2(e)の例は、トレ情報を入れ子形態にて構成した場合を示している。
図に示したように、この例では、TAのトレ情報の伝達経路情報にNTAからTAに送信されたトレ情報が含まれている。
このNTAからTAに送信されたトレ情報は、TAがNTAから時刻監査を受けた際にNTAからTAに送信されたトレ情報である。
TSAは、TAから受信したトレ情報からNTAがTAに送信したトレ情報を抽出し、これらを用いて配信時刻のUTCに対する精度を評価することができる。
【0035】
図の例は、NTA→TA→TSAと時刻配信された場合であるが、NTA→TAx→TAy→TSAなどと、更に多くのサーバ装置を介して時刻が配信される場合は、TAxは、NTAからTAxに送信されたトレ情報を含めたトレ情報をTAyに送信し、TAyはTAxから送信されたトレ情報(NTAがTAxに送信したトレ情報が含まれている)を含めたトレ情報をTSAに発行する。
このように、伝達経路上のサーバ装置が直上のサーバ装置から送信されてきたトレ情報を含めたトレ情報を直下のサーバ装置に送信することにより、時刻配信の伝達経路に渡る全てのトレ情報を下流側に伝達することができる。そして、TSAは、トレ情報から上流側のトレ情報を抽出して解析することにより、配信時刻のUTCに対する精度を評価することができる。
【0036】
以上に、伝達経路情報を用いた時刻の精度の評価方法について説明したが、更に次のように構成することもできる。
例えば、TAがTSAに時刻配信を行う際に、TAがNTAの精度と自己の精度を加算してこれをトレ情報に記しておく。
即ち、TAが、自分が配信する時刻のUTCに対する精度を評価する。この場合、TSAは、既に基準時刻に対する評価済みの精度をTAから受信することができる。
【0037】
また、各NTA、及び各TAの配信時刻の精度に関するポリシを収集し、閲覧可能に用意した参照サーバを用意し、TSAが参照サーバに配信時刻の精度の評価を依頼するように構成することもできる。
この場合、TSAは、伝達経路情報に記されている伝達経路を参照サーバに送信し、参照サーバで精度の評価を行ってTSAに返すことにより、TSAは、参照サーバから配信された時刻の精度の評価値を得ることができる。
【0038】
図3は、本実施の形態に係るTAとTSAの機能を説明するための機能ブロック図である。
TAは、認証部10、トレ情報送信部11、時刻監査部12などから構成されている。
TAは、トレ情報送信部11を時刻監査証明書送信部とすると、従来のTAと同じ構成となる。
一方、TSAは、認証部20、トレ情報受信部21、比較判定部22、動作制御部23、時計部24、タイムスタンプ部25、通信制御部26、認証情報テーブル28、トレ情報テーブル29、ポリシ情報テーブル30、アクションテーブル31などから構成されている。
【0039】
まず、TAの認証部10とTSAの認証部20の関係と機能について説明する。
認証部10は、以下のようにして、認証部20と通信し、TSAが正当なサーバ装置であるか否かを認証する。
時刻監査を行う場合、認証部10は認証部20に認証情報を要求する。
時刻監査は、TAからTSAに時刻監査を行うこともできるし、あるいは、TSAがTAに時刻監査を要求して行うこともできる。
これに対し、認証部20は、認証情報テーブル28から認証情報を読み出して認証部10に送信する。
【0040】
認証部10は、予め記憶してあるTSAの認証情報と、TSAから送信されてきた認証情報の一致を確認することによりTSAが正規のTSAであることを認識する。例えばSSLやTLSによる認証や、その他の認証情報を利用した認証を行うことにより、TSAのなりすましを防ぐことができる。
また、TSA側でもTAを認証するように構成すると、TAの成りすましも防止することができる。
ここで、認証情報とは、例えばSSLやTLSでの認証に利用する証明書情報、鍵情報、証明書失効情報などとともに、トレ情報を生成する際に利用される情報(証明書情報など)も含まれる。これらの情報は、認証情報テーブルにより互いに関連づけられており、必ず認証したTSAに対し、認証したTAの発行したトレ情報が送信される。
なお、SSLやTLSに利用する鍵や証明書は、トレ情報を生成する際に利用される鍵や証明書と同じでもよい。この場合、鍵や証明書の管理を容易にすることや、通信手順を容易にすることや、取扱うデータ量を少なくすることができる。
また、SSLやTLSに利用する鍵や証明書と、トレ情報を生成する際に利用される鍵や証明書の関連づけは、データベースや設定ファイルによるものや、TAやTSA自身では変更できない、機器固有の鍵を、暗号化や電子署名に利用する方法などがある。
【0041】
TAの時刻監査部12は、TSAの時計部24を時刻監査する機能部である。
時刻監査部12は、TSAの認証後にTSAに時計部24の時刻の送信を要求し、これに対し、TSAは、時計部24の出力値をTAに送信する。
そして、TAは、TSAから受信した時刻を自己の時計装置の時刻と比較し、その誤差を計測する。
TAのトレ情報送信部11は、時刻監査部12で計測した時刻誤差を含むトレ情報を生成し、これをTSAに送信する。
【0042】
TSAのトレ情報受信部21は、TAから送信されてきたトレ情報を受信し、これをトレ情報テーブル29に記憶する。
トレ情報テーブル29の論理的な構成の一例を図4(a)に示す。図に示したように、トレ情報テーブル29は、「発行時刻」、「発行者」、「発行先」、「属性(タイプ)」、「属性(値)」などの各項目から構成されている。
トレ情報受信部21は、トレ情報からこれらの項目を抽出してトレ情報テーブル29に記憶(登録)していく。
【0043】
「発行時刻」は、トレ情報が発行された時刻である。
「発行者」は、トレ情報の発行元であり、図の例ではTA1となっている。例えば、TA2からTSAに宛てたトレ情報であれば、TA2となり、NTA1からTA1に宛てたトレ情報であれば、NTA1となる。
「発行先」は、そのトレ情報の受取先であり、図の例ではTSAとなっている。例えば、TA2からTSAに宛てたトレ情報であれば、TSAとなり、NTA1からTA1に宛てたトレ情報であれば、TA1となる。
【0044】
「属性(タイプ)」と「属性(値)」は、属性の種類とその属性値である。「属性(タイプ)」は属性の種類を表し、「属性(値)」は、その属性値を表している。
「属性(タイプ)」は、基本情報に関するものでは、発行時刻、バージョン、発行先、発行元、署名アルゴリズム、シリアル番号、有効期間などがあり、時刻情報に関するものでは、監査時刻、時刻誤差、通信遅延、活性化期間、うるう秒、配信時刻の精度などがある。
【0045】
また、TSAは、トレ情報の伝達経路情報を用いて、TAから配信された時刻のUTCに対する精度を評価する精度評価機能部27を備えており、精度評価機能部27は、評価値をトレ情報テーブル29に記憶する。
この場合、「属性(タイプ)」は、「配信時刻の精度」となり、配信時刻の精度が「属性(値)」として記憶される。
なお、属性は、時刻に関するもののほかに、例えば、情報処理装置の設置されている国や、サービスを運営している事業体など、各種のものが可能である。
例えば、「属性(タイプ)」が国の場合、「属性(値)」は日本などの国名となる。また、「属性(タイプ)」が事業体の場合、「属性(値)」は、株式会社○○社などと、事業体名となる。
また、例えば事業体や情報処理装置や業務やサービスなどに与えられる各種の認定に関するものについては、「属性(タイプ)」が認定の種類の場合、「属性(値)」は○○協会の○○認定や○○協会の○○マークなど、認定の種類を特定する識別名や識別番号となる。また、「属性(タイプ)」が認定番号の場合、「属性(値)」は認定された順番や認定対象を識別するための認定番号となる。また、「属性(タイプ)」が認定の有効期間の場合、「属性(値)」はその認定が有効な期間となる。
このような、各種の認定に関する情報を伝達する場合、例えば信頼できる伝達経路を経由した情報のみを取扱うことができたり、また自身が認定された事業体や情報処理装置であることを伝達することを、信頼できる伝達経路への接続条件とするなど、伝達経路における情報の取扱いに関して、より信頼性を向上することができる。
なお、この場合の認定とは、第三者機関から取得する認定などの他に、情報の伝達を行う事業体や情報処理装置など、伝達経路上の当事者間で行う認定もある。
【0046】
ここで、精度評価機能部27についてより詳細に説明する。精度評価機能部27は、TAから受信したトレ情報の伝達経路情報を用いて、NTAが配信した基準時刻からTSAに到達するまでの伝達経路を解析し、これを用いてTAから配信された時刻のUTCに対する精度を評価する。
例えば、精度評価機能部27は、図2(b)に示すように、伝達経路情報から配信された時刻の精度を評価できる場合はこれによって評価する。また、図2(c)のように、伝達経路上のサーバ装置のURLが得られる場合は、これを用いて各サーバ装置にアクセスして各サーバ装置の精度を収集し、これらを加算してUTCに対する精度を算出する。
【0047】
以上のようにして、トレ情報テーブル29には、トレ情報に記載されていた情報が属性ごとに整理されて記憶される。
なお、図の例では、属性のタイプは、「Offset」となっており、これは時刻監査で計測された時刻誤差を意味する。そして、属性の値は「300」となっており、時刻誤差が300[ms]であったことを意味している。
【0048】
比較判定部22(図3)は、トレ情報テーブル29に記憶されているトレ情報とポリシ情報テーブル30に記憶されているポリシ情報を比較し、その比較値をポリシ情報テーブル30に記憶する。
ポリシ情報は、トレ情報で記憶した各属性(タイプ)に対し、例えば、ある基準値との大小関係など、判定式を用いて判定する情報である。TSAは、この判定値を元にして行う動作を判断することになる。
【0049】
ポリシ情報テーブル30には、図4(b)に示したように、複数のポリシ情報が設定されており、各ポリシ情報は、「ポリシ番号」、「発行者」、「発行先」、「属性(タイプ)」、「属性(値)」、「判定式」、「判定結果」などの項目から構成されている。
このうち、「ポリシ番号」〜「判定式」は、予めトレ情報テーブル29に設定されており、「判定結果」は、比較判定部22が判定結果として出力したものである。
【0050】
「ポリシ番号」は、各ポリシ情報に付与された一意の番号であり、ポリシ情報の識別情報を構成している。
「発行者」〜「属性(タイプ)」は、トレ情報テーブル29と同じである。
「属性(値)」は、トレ情報の属性値を「判定式」で判定するための基準値である。この属性値が、トレ情報テーブル29の属性値と比較されることになる。
「判定式」は、トレ情報の属性値を基準値(ポリシ情報の「属性(値)」)と対比して判定する判定式である。
「判定結果」は、属性の値を判定式で判定した結果である。
【0051】
比較判定部22は、トレ情報テーブル29に記憶されているトレ情報の「発行者」、「発行先」、「属性(タイプ)」の組み合わせとポリシ情報テーブル30のポリシの「発行者」、「発行先」、「属性(タイプ)」とマッチングする。
そして、一致するものがあった場合に、両者の「属性(値)」をポリシ情報の「判定式」に従って判定し、その判定結果をポリシ情報の「判定結果」に出力する。これによって、ポリシ情報テーブル30が更新される。
判定式としては、=、>、<、といった属性の値の大小関係や、値をとる場合などがある。
【0052】
図4(b)の例では、ポリシ番号1のポリシに関しては、判定結果が「2」となり値をとっている。また、ポリシ番号2のポリシに関しては、判定結果が「T(True)」となっており、トレ情報の属性の値とポリシの属性の値が判定式「<」を満たしていることを示している。判定式を満たさない場合、判定結果は「F(False)」となる。
なお、判定式の「=」は、両者の属性値が等しいか否かを判定するものであり、「<」は、ポリシ情報の属性値がトレ情報の属性値よりも大きいか否かを判定するものであり、「>」は、その逆である。
【0053】
なお、先に説明した精度評価機能部27の代わりに、同等の機能を比較判定部22に持たせるように構成することもできる。
この場合、図2(b)に示すように、伝達経路情報から配信された時刻の精度を評価できる場合、比較判定部22はこれによってUTCに対する精度を計算する。そして、比較判定部22は、その精度の判定値をポリシ情報テーブル30に記憶させる。
また、図2(c)のように、伝達経路上のサーバ装置のURLが得られる場合、比較判定部22はこれを用いて各サーバ装置にアクセスし、これら各サーバ装置の精度を記したトレ情報を要求する。
これに応じて各サーバ装置が送信したトレ情報は、トレ情報受信部21によりトレ情報テーブル29に記憶される。比較判定部22は、これらのトレ情報を用いて配信時刻のUTCに対する精度を計算し、その判定値をポリシ情報テーブル30に記憶させる。
このように、精度評価機能部27を設けずに、比較判定部22に配信時刻の精度を評価する機能を持たせることもできる。
【0054】
動作制御部23(図3)は、アクションテーブル31の動作情報を用いて比較判定部22が判定した判定結果が所定の条件を満たしているか否かを判断し、その判断結果を用いて動作させる機能部(時計部24、タイムスタンプ部25、通信制御部26など)、及び機能部の動作内容を定める動作パラメータを決定する。
【0055】
アクションテーブル31は、図4(c)に示したように、複数の動作情報(アクション)が設定されており、動作情報は、「アクション番号」、「アクション(機能モジュール指定)」、「アクション(パラメータ指定)」などの項目から構成されている。
「アクション番号」は、各動作情報に付与された一意の番号であって、動作情報の識別情報を構成している。
「条件式」は、ポリシ情報の判定結果がある条件を満たしているか否かを判断するための条件式である。
「アクション(機能モジュール指定)」は、条件式が満たされていた場合に、動作を行わせる機能部(機能モジュール)を指定する。
「アクション(パラメータ指定)」は、指定した機能部の動作内容(動作モード)を規定する動作パラメータである。
【0056】
例えば、機能部が時計部24の場合、動作内容としては、「受信したトレ情報を用いて時計装置の補正を行う」とか、「受信したトレ情報を用いては時計装置の補正を行わない」などがある。
また、機能部がタイムスタンプ部25の場合、動作内容としては、「受信したトレ情報に記されている活性化期間を設定する」、「タイムスタンプ発行機能をオンにする」、「タイムスタンプ発行機能をオフにする」などがある。
更に、機能部が通信制御部26の場合、動作内容としては、「トレ情報に記されているURLを用いてサーバ装置に接続する」などがある。
なお、図4(c)の例で示したアクション番号1で規定される動作情報は、「ポリシ1の判定結果が10未満で、かつ、ポリシ2の判定結果がTであるならば(条件式)、タイムスタンプ部25を(機能部の指定)、オンにする(動作内容)」という内容を表している。
【0057】
図3に戻り、時計部24は、タイムスタンプを発行するための時刻装置を制御するための機能部である。時計部24は、TAの時刻監査部12から時刻監査を受けて時刻を送信したり、タイムスタンプ部25にタイムスタンプで記録する時刻を出力したり、配信時刻を用いて時計装置を補正したりする。
タイムスタンプ部25は、時計部24で計測される時刻を用いてタイムスタンプを発行する機能部である。
通信制御部26は、TSAを他のサーバ装置などに接続して通信を行うための機能部である。
【0058】
動作制御部23は、アクションテーブル31で条件を判断した後、その判断結果を用いてこれら機能部に動作パラメータで指定される動作を行わせる。
例えば、動作制御部23は、アクションテーブル31での判断結果に基づいて、時計部24に命じて時計装置の補正を行わせたり、タイムスタンプ部25にタイムスタンプの発行機能をオンオフにさせたり、あるいは通信制御部26に他のサーバ装置に接続させたりする。
【0059】
以上に説明したように、本実施の形態のTSAは、時刻配信サーバ(TA)から時刻情報(配信された時刻)を受信して記憶する時刻情報受信手段(トレ情報受信部21)と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段と(精度評価機能部27)、時刻を出力する時計装置と(時計部24)、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段と(動作制御部23)、前記補正した時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段(タイムスタンプ部25)を具備した時刻情報処理装置を構成している。
ここで、前記記憶した精度が所定の条件を満たすか否かを判定する比較手段(比較判定部22)を備え、この判定結果により時計装置補正手段が動作するように構成することもできる。
【0060】
また、本実施の形態のTSAは、伝達経路によって属性値(精度など)が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信手段(トレ情報受信部21)と、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得手段(トレ情報受信部21)と、前記記憶した属性値を所定の基準値と比較し(比較判定部22)、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択手段(動作制御部23)と、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作手段と(動作制御部23)、を具備した情報処理装置も構成している。
なお、本実施の形態のTSAは、配信時刻の伝達経路によって属性値(精度)が定まるものであるが、当該情報処理装置の対象は、より広いものとすることができる。
即ち、当該情報処理装置は、「一連の経路から伝達されてきた情報を総合的に利用する」、「複数の伝達経路から得られた情報を利用する」、「伝達経路から得られた情報を利用し、他の情報処理装置に対してアクションを行う」、「そのアクションによって、他の情報処理装置から伝達情報を受信し、更にその伝達情報を基に動作する」というような情報処理を行うもの全般に適用することができるものである。
【0061】
次に、以上のように構成されたTSAの基本的な動作について、図5のフローチャートを用いて説明する。なお、以下では、情報処理に使用する機能部を括弧で示す。認証は既に行ってあるものとする。
まず、TAがTSAの時刻監査を行い、TSA(トレ情報受信部21)がその結果を記したトレ情報を受信する(ステップ5)。
TSA(トレ情報受信部21)は、受信したトレ情報をトレ情報テーブル29に記憶してトレ情報テーブル29を更新する(ステップ10)。
次に、TSA(比較判定部22)は、トレ情報テーブル29に記憶されているトレ情報とポリシ情報テーブル30に記憶されているポリシ情報を比較し(ステップ15)、比較結果をポリシ情報テーブル30に出力してポリシ情報テーブル30を更新する(ステップ20)。
【0062】
次に、TSA(動作制御部23)は、アクションテーブル31を参照し、ポリシ情報テーブル30の判定結果が、アクション情報の条件式を満たしているか否かを判断する。
そして、TSA(動作制御部23)は、判断結果によって、動作させる動作機能部と行わせる動作を決定する(ステップ30)。
そして、TSA(動作制御部23)は、この機能部に対して動作を行わせる(ステップ35)。
【0063】
このように、TSAは、トレ情報の内容を解析し、その解析結果に応じて様々な動作を行うことができるが、ここでは、その具体例として、配信時刻のUTCに対する精度の評価値を用いて時計装置を補正する場合について説明する。
【0064】
以下の各説明では、簡単のため、図1において、NTA2はないものとし、TA1、TA2は、何れもNTA1の配信する時刻によって時刻補正しているものとする。
また、TAi、TAjのうち、何れかがTA1で他方がTA2とする。即ち、TAiがTA1の場合、TAjはTA2となり、TAiがTA2の場合はTAjがTA1となる。このように、TA1とTA2は対等であり入替可能である。
【0065】
図6のフローチャートで説明する例は、TAから配信された時刻のUTCに対する精度(NTAの精度とTAの精度の和)が500[ms]未満の場合に、このTAから配信された時刻によって時計部24の補正を行い、精度が500[ms]未満でない場合は、他のTAに時刻配信を要求するというものである。
なお、本実施の形態では、TSAは複数のTAから時刻配信を受けることが可能であるので、TSAは、時刻配信を受けるTAにプライマリ、セカンダリなどと優先順位を付けている。これにより、TSAは、優先度の高いTAからの時刻配信のみを受け付けたり、より優先順位が高いTAに対して時刻監査の要求を行うなどの制御が可能である。
【0066】
以下、フローチャートについて説明する。
TAiは、TSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ100)。
TSA(トレ情報受信部21)は、TAiからトレ情報を受信し、トレ情報テーブル29に記憶する(ステップ200)。
【0067】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、トレ情報で配信された時刻の精度(NTA1とTAiの精度の和)が500[ms]未満であるか否かを判定する判定式が設定されており、TSA(比較判定部22)は、この判定式を用いて精度を判定し、判定結果をポリシ情報テーブル30に出力する。
【0068】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比し、アクションテーブル31で規定されている機能部に動作を行わせる。
アクションテーブル31には、精度が500[ms]未満であった場合、この配信時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定し、更にこのTAをプライマリに設定するように規定されている。
【0069】
TAiの配信時刻の精度(NTA1とTAjの精度の和)が500[ms]未満であった場合(ステップ205;Y)、TSA(動作制御部23)は、時計部24にこの配信時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAiをプライマリに設定し、TAjをセカンダリに設定する(ステップ230)。
【0070】
一方、アクションテーブル31には、TAiから配信された時刻の精度が500[ms]未満でなかった場合、TAjから時刻配信を受け、この精度が500[ms]未満であった場合、この配信時刻を用いて時刻補正などを行うように規定されている。
【0071】
そこで、TAiから受信した配信時刻の精度が500[ms]未満でなかった場合(ステップ205;N)、TSA(動作制御部23)は、通信制御部26を制御してTAjにアクセスし、TAjにトレ情報を要求する(ステップ210)。
これに対し、TAjはTSAの時刻監査を行って、その結果を記したトレ情報をTSAに送信する(ステップ300)。
TSA(トレ情報受信部21)は、このトレ情報を受信してトレ情報テーブル29に記憶する。
次に、TSA(比較判定部22)は、トレ情報テーブル29を参照し、ポリシ情報テーブル30の判定式に従って、TAjから配信された時刻の精度(NTA1とTAjの精度の和)が500[ms]未満であるか否かを判定する。そして、その判定結果をポリシ情報テーブル30に出力する。
【0072】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比する。
アクションテーブル31には、精度が500[ms]未満であった場合、この配信時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定し、更にこのTAをプライマリに設定するように動作が規定されている。一方、配信時刻の精度が500[ms]未満でなかった場合、動作を行わないように規定されている。
【0073】
TAjの配信時刻の精度(NTA1とTAjの精度の和)が500[ms]未満であった場合(ステップ215;Y)、TSA(動作制御部23)は、時計部24にこの配信時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAjをプライマリに設定し、TAiをセカンダリに設定する(ステップ230)。
【0074】
一方、TAjの配信時刻の精度(NTA1とTAjの精度の和)が500[ms]未満でなかった場合(ステップ215;N)、TSA(動作制御部23)は、時刻補正などを行わずに動作を終了する。
この場合、前回に時刻補正した際に設定した活性化期間が経過すると、TSAは、タイムスタンプ発行機能を停止する。そのため、TSAの精度に関するポリシである500[ms]未満に適合しない場合は、タイムスタンプの発行を停止することができる。
【0075】
以上のように、このポリシによると、TSAは、TAから配信された時刻の精度が所定値(500[ms])を満たさない場合に、他のTAにアクセスして所定の精度を満たす配信時刻を得ることができる。
このように構成すると、例えば、TSAが精度に関するポリシを変更した場合であっても、そのポリシに適合するTAを探すことができる。
【0076】
なお、TSAがポリシ(精度に対するポリシやその他のものに対するポリシを含む)が勝手にポリシを変更するとTA側に問題が生じる場合は、次のような対策をとることができる。
ポリシ設定を、TAの認めた管理者のみが変更可能なよう、アクセス制御(パスワード、ICカードによる認証など)を行う。
予めTAとTSAで合意したポリシ設定の下、ポリシ設定が改竄されないようソフトウェアにハードコーディングする。
TSA側には特定の機能制御(例えば、時刻補正)しか設定できないように制限する。
TSA側には機能部を制御する能動的な権限は持たせず、例えば、「TSAのポリシとあわない場合に、トレ情報の受信を拒否する」という受動的な権限のみ持たせる。
【0077】
図7のフローチャートで説明する例は、一方のTAから時刻を配信された場合に、その精度を前回に受信した他方のTAの配信時刻の精度と比較し、より精度の高いものを採用するものである。回線の状況などによって配信時刻の精度が変化する場合により精度の高い伝達経路を経由したものを採用するものである。
以下の説明では、図6と同じステップには同じステップ番号を付し、説明を簡略化する。
TAiは、TSAに時刻監査を行い、その監査結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ100)。
TSA(トレ情報受信部21)は、TAiからトレ情報を受信し、トレ情報テーブル29に記憶する(ステップ200)。
【0078】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、前回にTAjから受信した配信時刻の精度(NTA1とTAjの精度の和)と、今回TAiから受信した配信時刻の精度(NTA1とTAiの精度の和)のどちらが正確かを判定する判定式が設定されており、TSA(比較判定部22)は、この判定を行って判定結果をポリシ情報テーブル30に出力する。
【0079】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比し、アクションテーブル31で規定されている動作を行う。
アクションテーブル31には、今回TAiから配信された時刻の方が正確であった場合、この時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定し、更にこのTAをプライマリに設定するように動作が規定されている。
【0080】
今回TAiから配信された時刻の方が正確であった場合(ステップ235;TAi)、TSA(動作制御部23)は、時計部24にこの時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAiをプライマリに設定し、TAjをセカンダリに設定する(ステップ230)。
【0081】
一方、アクションテーブル31には、前回TAjから配信された時刻の方が正確であった場合、TAjから時刻の配信を受け、これが前回(即ちステップ200で)TAiから受信した時刻の精度よりも高かった場合、この時刻を用いて時刻補正などを行うように動作が規定されている。
【0082】
そこで、TSA(動作制御部23)は、前回TAjから受信した時刻の方が精度が高かった場合(ステップ235;TAj)、通信制御部26を制御してTAjにアクセスし、TAjにトレ情報を要求する(ステップ210)。
これに対し、TAjはTSAの時刻監査を行って、その結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ300)。
そして、TSA(トレ情報受信部21)は、このトレ情報を受信してトレ情報テーブル29に記憶する。
【0083】
次に、TSA(比較判定部22)は、トレ情報テーブル29を参照し、ポリシ情報テーブル30の判定式に従って、前回TAiから配信された時刻と今回TAjから受信した時刻の何れが精度が高いか判定する。そして、その判定結果をポリシ情報テーブル30に出力する。
【0084】
次に、TSA(動作制御部23)は、ステップ235と同様に、ポリシ情報テーブル30とアクションテーブル31を対し、アクションテーブル31で規定されている動作を行う。
即ち、今回TAjから配信された時刻の精度の方が正確であった場合(ステップ240;TAj)、TSA(動作制御部23)は、時計部24にこの時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAjをプライマリに設定し、TAiをセカンダリに設定する(ステップ230)。
【0085】
一方、前回TAiから配信された時刻の精度の方が正確であった場合(ステップ240;TAi)、TSA(動作制御部23)は、時刻補正などを行わずに動作を終了する。
そして、前回に時刻補正した際に設定した活性化期間が経過すると、TSAは、タイムスタンプ発行機能を停止する。
【0086】
図8のフローチャートで説明する例は、配信時刻が正確な方のTAをプライマリに設定するものである。なお、図8のフローチャートでは、TAjを省略してある。
まず、TAiは、TSAに時刻監査を行い、その監査結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ100)。
TSA(トレ情報受信部21)は、TAiからトレ情報を受信し、トレ情報テーブル29に記憶する(ステップ200)。
【0087】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、前回にTAjから受信した配信時刻の精度(NTA1とTAjの精度の和)と、今回TAiから受信した配信時刻の精度(NTA1とTAiの精度の和)のどちらが正確かを判定する判定式が設定されており、TSA(比較判定部22)は、この判定を行って判定結果をポリシ情報テーブル30に出力する。
【0088】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比し、アクションテーブル31で規定されている動作を行う。
アクションテーブル31には、今回TAiから配信された時刻の方が正確であった場合、TAiをプライマリに設定し、前回TAjから配信された時刻の方が正確であった場合、TAjをプライマリに設定するように動作が規定されている。
【0089】
今回TAiから配信された時刻の方が正確であった場合(ステップ245;TAi)、TSA(動作制御部23)は、TAiをプライマリに設定し、TAjをセカンダリに設定する(ステップ255)。
一方、前回TAjから配信された時刻の方が正確であった場合(ステップ245;TAj)、TSA(動作制御部23)は、TAjをプライマリに設定し、TAjをセカンダリに設定する(ステップ250)。
【0090】
図9のフローチャートで説明する例は、TAiとTAjのうち、少なくとも一方の配信時刻の精度が500[ms]未満である場合に、正確な方のTAによって時刻補正するものである。
まず、TAiがTSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ100)。
TSAでは、トレ情報受信部21がこのトレ情報を受信し、これをトレ情報テーブル29に記憶する。
このように、TAiからトレ情報を受信すると、TSAは、TAjに対してトレ情報を要求する(ステップ210)。
これを受けて、TAjは、TSAの時刻監査を行い、その監査結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ300)。
【0091】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、TAから配信された時刻の精度が500[ms]未満であるか否かを判定する判定式が設定されており、TSA(比較判定部22)は、TAから配信された時刻の精度が500[ms]未満であるか否かを判定し、その判定結果をポリシ情報テーブル30に出力する。
更に、ポリシ情報テーブル30では、何れの配信時刻の方が精度が高いか判定する判定式が設定されており、TSA(比較判定部22)は、その判定結果をポリシ情報テーブル30に出力する。
【0092】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比する。
アクションテーブル31には、TAiとTAjの両方の配信時刻の精度が何れも500[ms]未満でない場合は動作をせず、少なくとも一方が500[ms]未満である場合、正確な方の配信時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定するように動作が規定されている。
【0093】
そこで、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、両方の配信時刻の精度が500[ms]未満でない場合は(ステップ260;N)、動作をせず、時刻の補正を行わない。この場合、現在の活性期間が経過した後TSAはタイムスタンプ機能を停止する。
一方、少なくとも一方の配信時刻の精度が500[ms]未満である場合は(ステップ260;Y)、正確な方の配信時刻によって時計部24に時刻補正を補正し(ステップ265)、タイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
この例では、正確な方の配信時刻を選択する際に、その配信時刻の精度が500[ms]未満であることを確認している。
これにより、配信時刻の精度が500[ms]未満という条件を満たせないTAを除外した上で、より正確なTAからの配信時刻をもとに、TSAの時刻を補正することができる。
【0094】
図10のフローチャートの例は、TAiとTAjの双方に時刻監査を要求し、少なくとも一方の配信時刻の精度が500[ms]未満であった場合に、正確な方の配信時刻を用いて時刻補正を行うものである。
まず、TSAは、TAiとTAjの双方にトレ情報を要求する(ステップ270)。
TAiは、この要求を受けてTSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ105)。
TAjも、この要求を受けてTSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ305)。
【0095】
TSA(トレ情報受信部21)は、これらのトレ情報を受信してトレ情報テーブル29に記憶する。
以下の動作は、図9の例と同じであるので省略する。
図9の例では、TAiから時刻監査を受けたことをトリガーとしてTAjに時刻監査を要求したが、図10の例では、TSAからTAi、及びTAjに時刻監査を要求している。
【0096】
以上、TSAがトレ情報に応じて行う動作例について説明したが、更に、次のような運営を行う例を採用することもできる。
例えば、TSAが、TA1、TA2、TA3から時刻配信を受けているとする。TSAがTA1に時刻監査を行ってもらったところ、TSAの時刻誤差が100[ms]であると監査された。TSAは、これに平行してTA2、TA3にも時刻監査を行ってもらったところ共に誤差が1000[ms]であると監査されたとする。
このように監査結果がTAによって大きく異なる場合、TSA又はTAの時刻に異常が発生していると考えられ、TSAはタイムスタンプ機能を停止する。
【0097】
以下、図11のフローチャートを用いてこのような動作の一例について説明する。
この例では、例えば、TA1−TSA間の誤差、TA2−TSA間の誤差、TA3−TSA間の誤差が何れも500[ms]未満の場合に、TSAは、時計部24に時刻補正、及びタイムスタンプ部25の活性化期間を有限値に設定する。
そして、少なくとも1つが500未満でない場合、タイムスタンプ部25の活性化期間を0に設定してタイムスタンプ発行機能を停止させる。
なお、フローチャートでは、TA1〜TA3は省略してある。
【0098】
まず、TSA(トレ情報受信部21)は、認証を終えた後、TA1から時刻監査を受けてトレ情報を受信する(ステップ275)。
TSA(トレ情報受信部21)は、TA1よりトレ情報を受信すると、認証を終えた後、TA2にトレ情報を要求して時刻監査を受け、TA2からトレ情報を受信してトレ情報テーブル29に記憶する(ステップ280)。
更に、TSA(トレ情報受信部21)は、TA3にトレ情報を要求して時刻監査を受け、TA3からトレ情報を受信してトレ情報テーブル29に記憶する(ステップ285)。
【0099】
次に、TSA(比較判定部22)は、TA1より受信したトレ情報を用いてTA1の時計装置と時計部24の時刻誤差を調べ、この誤差が500[ms]未満であるか否かを判断し、判断結果をポリシ情報テーブル30に記憶する。
同様に、TSA(比較判定部22)は、TA2、TA3から受信したトレ情報を用いて、TA2、TA3の時計装置と時計部24の時刻誤差を調べ、この誤差が500[ms]未満であるか否かを判断し、判断結果をポリシ情報テーブル30に記憶する。
【0100】
TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、何れの時刻誤差も500[ms]未満であったか否か(即ち、TA1−TSA間の時刻誤差<500[ms]、かつ、TA2−TSA間の時刻誤差<500[ms]、かつ、NTA3−TSA間の時刻誤差<500[ms])を判断する(ステップ290)。
何れの時刻誤差も500[ms]未満であった場合(ステップ290;Y)、TSA(動作制御部23)は、時計部24に時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
一方、時刻誤差が500[ms]未満でないものが1つでもあった場合(ステップ290;N)、TSA(動作制御部23)は、時計部24に時刻補正を行わせた上で(ステップ220)、タイムスタンプ発行機能の活性化期間を0とし、タイムスタンプ部25のタイムスタンプ発行機能を停止させる(ステップ226)。
【0101】
この例では、TSAは、TA1〜TA3から時刻配信を受けるが、このように、複数のTAから時刻配信を受ける場合、どの時刻を用いて時刻補正を行うかは、サンプル(配信時刻)数、サンプル収集に要する時間によって様々な方法がある。例えば、ばらつきを除去するため、時刻誤差が最大および最小のものを除いた上で配信時刻の平均値を計算し、この平均値を用いて時計部24の補正を行うように構成することができる。
このように、この例では、複数の時刻配信サーバ(TA)から時刻情報を受信して記憶し、これら時刻情報のうち、時計部24が出力する時刻との誤差が所定値以上のものがあった場合にタイムスタンプの発行を停止するようになっている。
【0102】
以上の例では、TSAがトレ情報に応じて動作制御を行ったが、TAがNTAからのトレ情報に応じて動作制御するように構成することもできる。
例えば、新規にTAを設置した場合やTAの故障時に代替のTAを設置した場合、その直後は時計装置の時刻が安定しない場合がある。従来は、担当者がTAの動作状況を観察し、安定してきた際に手動で時刻配信を開始していた。
本実施の形態では、TAが複数台のNTAからの時刻監査を受け、一定数以上のNTAから(例えば、7台中5台)の時刻誤差が許容範囲となった場合に、時刻配信を自動的に開始するように構成する。
【0103】
より具体的には、TAは、NTA1〜NTA7に時刻監査を依頼し、これら7台のNTAのうち5台以上のNTAから誤差が500[ms]未満であるとの監査を受けた場合に、時刻配信を開始する。
時刻の補正は、これらNTAから配信された時刻のうち、最大および最小のものを除いて平均したものを用いるなど、各種ある。
【0104】
このように、TAに関しても、TSAと同様にNTAから配信される時刻の精度を評価して機能を制御するように構成することができる。
この場合のTAの構成は、TSAと同様に、トレ情報受信部21、比較判定部22、動作制御部23、トレ情報テーブル29、ポリシ情報テーブル30、アクションテーブル31、時計部24、通信制御部26を備え、更に時刻監査部12を備えたものとすることができる。
そして、ポリシ情報テーブル30にTAの動作が安定したか否かの判別式を設定しておき、アクションテーブル31にTAの動作が安定した際の動作(TSAの監査開始)と、TAの動作が安定していない場合の動作(NTAから時刻監査の継続)を設定しておけば、TAに上記のような判断と動作を行わせることができる。
【0105】
以下、TAがTSAと同様のこれら機能部を備えるものとし、図12のフローチャートを用いてTAの動作の一例について説明する。
まず、認証を終えた後、TA(トレ情報受信部21)は、NTA1〜NTA7の各NTAにトレ情報を要求して時刻監査を受け、これら各NTAからトレ情報を受信して記憶する(ステップ405)。
この際に、TAは、TSAと同様に、各NTAの配信時刻の精度を評価し、NTAの配信時刻の精度がTAのポリシに従わない場合は、そのNTAを対象から除外するなどの処理を行う。
次に、TA(比較判定部22)は、これらトレ情報を用いて各NTAの時計装置と自己の時計部24の時刻誤差を調べ、時刻誤差が500[ms]未満であるか否かを判定し、ポリシ情報テーブル30に出力する。
【0106】
次に、TA(動作制御部23)は、自己の時計部24との時刻誤差が500[ms]未満であるNTAが7台中5台以上あるか否か判断する。
そして、TA(動作制御部23)は、更に、TAの現在時刻が所定日時以降であるか否かを判断する。
この所定日時は、TAが安定するまでに最低限必要な時間を確保するために予め設定したものである。
【0107】
TA(動作制御部23)は、7台中5台以上のNTAとの時刻差が500[ms]未満であり、かつ、TAの現在時刻が所定日時以降である場合(ステップ410;Y)、時計部24に時刻補正を行わせ(ステップ415)、時刻監査部12に時刻配信機能の活性化期間を設定させる(ステップ420)。
また、NTAとの時刻誤差が500[ms]未満のNTAが7台中5台未満である場合、あるいは、7台中5台以上のNTAとの時刻誤差が500[ms]未満であるが、TAの現在時刻が所定日時以降でない場合(ステップ410;N)、NTA(動作制御部23)は、時計部24に時刻補正を行わせ(ステップ415)、その上で、時刻監査部12の活性化期間を0に設定し、時刻監査部12の時刻配信機能を停止させる(ステップ430)。
【0108】
この場合TAは、時刻配信サーバ(NTA)から時刻情報(トレ情報)を受信して記憶する時刻情報受信手段と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段(精度評価機能部27)と、時刻を出力する時計装置(時計部24)と、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段(動作制御部23)と、前記補正した時計装置の出力を用いて時刻情報を配信する時刻情報配信手段(時刻監査部12)を具備した時計装置を構成している。
そして、この例のTAは、複数の時刻配信サーバ(NTA)から時刻情報を受信して記憶し、これら時刻情報のうち、時計部24が出力する時刻との誤差が所定値未満となるものが所定値以上ある場合に、時刻配信を開始するようになっている。
また、TAにタイムスタンプ部25を設けて、時刻の配信とタイムスタンプの発行の双方を行えるように構成することもできる。
【0109】
図13は、TSAのハードウェア的な構成の一例を示した図である。
図に示したように、TSAは、CPU(Central Processing Unit)51、ROM(Read Only Memory)52、RAM(Random Access Memory)53、表示部54、入力部55、記憶部56、入出力I/F(インターフェース)57、通信制御部26、ハードウェアセキュリティ部59などから構成されている。
【0110】
CPU51は、ROM52、RAM53、及び記憶部56などに記憶されているプログラム従って各種の演算を行うと共に、TSA各部の制御を行う。
ROM52は、読取専用の記憶デバイスであり、TSAを動作させるための基本的なプログラムやパラメータなどが記憶されている。
RAM53は、読み書き可能な記憶デバイスであり、CPU51がTAやクライアント端末などと通信して情報処理を行う際のワーキングエリアが確保可能となっている。
【0111】
表示部54は、例えば、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイあるいはプラズマディスプレイなどの表示装置で構成されており、例えば、作業者がTSAのメンテナンス作業を行ったりする際に各種情報を表示する。
入力部55は、キーボードやマウスなどの入力デバイスを備えており、例えば、作業者がTSAのメンテナンス作業を行ったりする際にTSAを操作するのに用いる。
また、表示部54には、TSAのポリシを編集する編集画面を表示することができ、作業者が入力部55を操作することにより、ポリシ情報テーブル30の判定式などを編集することができる。これによって、例えば、時刻の精度に関するポリシを500[ms]から400[ms]に変更することができる。
【0112】
記憶部56は、例えば、ハードディスク装置などの大容量の記憶装置により構成されており、TSAをタイムスタンプサーバとして動作させるためのプログラムやOS(Operating System)などの各種プログラムや、ログデータなどの各種データ類が記憶されている。
【0113】
入出力I/F57は、例えば、外部の記憶装置やその他の周辺機器などと接続するためのインターフェースである。
通信制御部26は、TSAとネットワークを接続する機能部であり、TSAをTAやクライアント端末などと接続する。
【0114】
ハードウェアセキュリティ部59は、外部から内部の解析が困難に構成されたハードウェイセキュリティモジュールであり、内部にCPU60、ROM61、RAM62、EEPROM(Electrically Erasable and Programmable ROM)63、内部クロック64などが形成されている。EEPROM63は、他の不揮発性メモリでも代用可能である。
TSAの機能は、標準的な情報処理装置のハードウェア構成でも実現可能であるが、タイムスタンプの発行、時計部24の時刻補正など、タイムスタンプを発行するための機能をハードウェアセキュリティ部59に封じ、外部からの解析や改竄を困難、とすることで、より高いセキュリティを実現することができる。
【0115】
CPU60は、ROM61、RAM62、EEPROM63に記憶されているプログラムに従って動作し、クライアント端末から送信されてきたハッシュ値にタイムスタンプを発行したり、TAなどから時刻監査を受けて、配信された時刻により時計部24を補正したり、CPU51と通信してCPU51と協働して動作したりする。
ROM61には、ハードウェアセキュリティ部59を動作させるための基本的なプログラムやパラメータが記憶されている。
RAM62は、CPU60がタイムスタンプを発行したり時刻補正したりする際のワーキングエリアを提供する。
内部クロック64は、タイムスタンプを発行するための時計装置であって、時刻補正の際には内部クロック64の時刻を補正する方法の他に、内部クロック64を利用したソフトウェアクロックを補正する方法がある。この場合、タイムスタンプに利用される時計は、ソフトウェアクロックとなる。
【0116】
EEPROM63には、CPU60がタイムスタンプを発行したり、時刻を補正したり、あるいはその他のプログラムが記憶されているほか、認証情報テーブル28、トレ情報テーブル29、ポリシ情報テーブル30、アクションテーブル31およびタイムスタンプの発行や時刻の補正の際に利用される情報(シリアル番号や、前回発行したタイムスタンプの情報、前回受信した時刻監査証明書の情報)、などの各種データが記憶されている。
EEPROM63に記憶されているプログラムをCPU60で実行することにより認証部20、トレ情報受信部21、比較判定部22、動作制御部23、時計部24、タイムスタンプ部25などの各機能部が構成される。なお、時計部24は、内部クロック64とプログラムによって実現する時計制御機能によって構成される。より詳細には、この時計制御機能は、内部クロック64の時刻を読み取ったり、動作制御部23の指示によってこれを補正したりする。
【0117】
以上、TSAのハードウェア的な構成について説明したが、TA、NTAのハードウェア的な構成も基本的なTSAと同じである。その他の形態として、TAの場合は、時刻を高精度で維持することが求められるため、ハードウェアセキュリティモジュール内の時計ではなく、原子時計やGPS(Global Positioning System)などを利用する、精度の高い時計装置を利用する。
【0118】
以上に説明したTSAを用いることにより次のような効果を得ることができる。
(1)TAから配信される時刻のUTCに対する精度を評価することができ、評価に応じた動作制御を行うことができる。
(2)NTAからTSAに至るまで、基準時刻が伝達される伝達経路を特定することができる。
(3)基準時刻の伝達経路を用いて配信時刻のUTCに対する精度を評価することができる。
(4)精度などのポリシに適合するTAを探索することができる。
(5)ある経路から得られたデータ(トレ情報)と、自身に設定されたポリシ情報を比較し、その比較結果に応じて自身の状態更新・機能制御もしくはデータの信頼性確認を行うことができる。
【図面の簡単な説明】
【0119】
【図1】本実施の形態に係るタイムスタンプシステムのシステム構成の一例を示した図である。
【図2】トレ情報の構成について説明するための図である。
【図3】本実施の形態に係るTAとTSAの機能を説明するための機能ブロック図である。
【図4】各種テーブルの論理的な構成を説明するための図である。
【図5】TSAの基本動作を説明するためのフローチャートである。
【図6】TSAの動作例を説明するためのフローチャートである。
【図7】TSAの動作例を説明するためのフローチャートである。
【図8】TSAの動作例を説明するためのフローチャートである。
【図9】TSAの動作例を説明するためのフローチャートである。
【図10】TSAの動作例を説明するためのフローチャートである。
【図11】TSAの動作例を説明するためのフローチャートである。
【図12】TAの動作例を説明するためのフローチャートである。
【図13】TSAのハードウェア的な構成の一例を示した図である。
【図14】従来のタイムスタンプシステムのネットワーク構成の一部を示したネットワーク図である。
【符号の説明】
【0120】
10 認証部
11 トレ情報送信部
12 時刻監査部
20 認証部
21 トレ情報受信部
22 比較判定部
23 動作制御部
24 時計部
25 タイムスタンプ部
26 通信制御部
27 精度評価機能部
28 認証情報テーブル
29 トレ情報テーブル
30 ポリシ情報テーブル
31 アクションテーブル
【技術分野】
【0001】
本発明は、情報処理装置、時刻情報処理装置、情報処理方法、及び時刻情報処理方法に関し、例えば、ネットワークを介して伝達されてくる伝達情報を利用するものに関する。
【背景技術】
【0002】
近年の情報技術の急激な進歩に伴って、公文書や私文書をデジタル情報化した電子文書にする所謂ペーパレス化が推進されている。
また、このようにして作成された電子文書に付与される法的な地位を整備するため所謂電子文書法が施行されている。
このように法的地位を有する電子文書などでは発行日などの時刻証明(日付証明)が重要であり、時刻証明を行うタイムスタンプシステムが利用されている。
【0003】
図14は、従来のタイムスタンプシステムのネットワーク構成の一部を示した図である。
TSA102(TSA:Time−stamping Authority)は、タイムスタンプサーバを備えたタイムスタンプ局であって、インターネットなどのネットワークを介してクライアント端末103、103、・・・と接続可能に配設されている。
TSA102のタイムスタンプサーバ(以下、TSA102と記す)は、タイムスタンプを発行するための時計装置を内蔵しており、この時計装置が出力する時刻によりタイムスタンプを発行する。
クライアント端末103は、TSA102に対して電子文書に対してタイムスタンプの発行を要求する端末である。
【0004】
タイムスタンプの発行手順は概略次のように行われる。
まず、クライアント端末103がタイムスタンプ発行の対象である電子文書のハッシュ値をTSA102に送信する。
TSA102は、このハッシュ値を受信すると共に、受信時の時刻を時計装置により計測する。
そして、TSA102は、受信したハッシュ値に計測した時刻等の情報を追加したデータのハッシュ値を計算し、このハッシュ値をTSA102の秘密鍵で暗号化して電子署名を生成し、この電子署名と前記受信したハッシュ値、時刻、その他の情報から構成されるタイムスタンプデータをクライアント端末103に返送する。
【0005】
これに対し、タイムスタンプの確認手順は概略次のように行われる。
まず、TSA102の秘密鍵に対応する公開鍵を用いてタイムスタンプデータの電子署名を復号化し、そして、これからハッシュ値を取り出す。そして、前記受信したハッシュ値、時刻、その他の情報のハッシュ値と、電子署名から取り出したハッシュ値を比較する。両社が一致する場合、このタイムスタンプデータがTSA102で発行され、かつタイムスタンプデータの内容が改ざんされていないことが確認できる。次に、電子文書のハッシュ値を計算し、タイムスタンプデータに含まれる、前記受信したハッシュ値と比較する。両者が一致する場合、この電子文書がタイムスタンプデータ中の時刻にTSA102でタイムスタンプが発行されたことを確認することができる。
なぜならば、この公開鍵で電子署名を復号化し、ハッシュ値の一致を確認することができたことにより、この電子署名がTSA102しか知り得ない秘密鍵で暗号化されたことを確認することができ、更に、タイムスタンプデータ中のハッシュ値と電子文書から算出したハッシュ値が一致することにより、電子文書が改竄されていないことを確認することができるためである。
【0006】
TA101は、TSA102の時計装置の時刻を監査して時刻を配信する時刻配信サーバを備えた時刻監査局であり、インターネットなどのネットワークを介してTSA102と接続可能に配設されている。
TA101の時刻配信サーバ(以下、TA101と記す)は、内部に時計装置を備えており、これを用いてTSA102の時計装置の時刻を定期的に監査する。
まず、TA101は、TSA102からTSA102の時計装置が計測した時刻を送信してもらい、その時刻とTA101の時計装置の時刻を比較する。そしてTA101は、その比較による誤差を時刻監査証明書に記してTSA102に送信する。このように、TA101は、誤差によりTSA102に時刻を配信する。
【0007】
TSA102は、時刻監査証明書を受信し、これに記されている誤差によって自己の時計装置を補正し、更に時刻監査証明書で指定されたタイムスタンプ発行機能の活性化期間を設定する。ここで、活性化期間とは、時刻監査証明書によって補正した時刻によってタイムスタンプを発行できる期間である。なお、監査した時刻が所定値以上の誤差を有する場合、TA101は活性化期間を0とし、TSA102のタイムスタンプ発行機能を停止することもできる。
このように、TSA102の時計装置の時刻をTA101で監査することにより、TSA102の時刻を所定の精度に保つことができる。また、TSA102とクライアント端末103が結託して時刻の改竄を行うことも防ぐことができる。
【0008】
なお、配信時刻の改竄を防ぐために、TSA102とTA101の通信経路は、例えば、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)などの技術を用いて暗号化され、通信経路の遅延を補正する通信プロトコルとして時刻配信用に標準化されたNTP(Network Time Protocol)などを用いている。
このように、TSA102の時刻を監査する技術として次の「信頼されるサードパーティクロック及び信頼されるローカルクロックを提供するためのシステム及び方法」がある。
【0009】
【特許文献1】特表2003−519417公報
【0010】
この技術は、認証されたマスタクロック(TA101に対応)によりローカルクロック(TSA102に対応)の時刻を監査するものである。
【発明の開示】
【発明が解決しようとする課題】
【0011】
しかし、例えば、従来のタイムスタンプは、TA101の配信する時刻の精度にかかわらず、配信された時刻によって時刻補正を行っていた。
そのため、TSA102が、例えば、「タイムスタンプの時刻の精度を500[ms]以内とする」というような精度に関するポリシを持っていたとしても、TA101の精度によっては、このようなポリシを守れない場合が可能であった。
【0012】
更に、配信時刻の精度は、基準となる時刻の配信経路によって異なり、TSA102では、これら配信経路による精度の違いについても考慮されていなかった。
例えば、図1に示したように、TSAを監査する複数のTA1、TA2、及びこれらTAを更に監査するNTA1、NTA2(NTA:National Time Authority)などからなるより複雑なシステムを用いる場合、例えば、NTA1→TA2→TSAと監査した場合や、NTA1→TA1→TSAといったように、時刻配信の経路によって配信時刻の精度が異なる。
例えば、NTA1→TA2→TSAと監査して時刻を配信した場合、監査によるTSAの精度は、NTA1の精度100[ms]にTA2の精度450[ms]を加えた550[ms]となり、例えば、TSAの精度に関するポリシである500[ms]を越えてしまう。
これらの課題は、言い換えれば、ある情報処理装置において、他の情報処理装置から受信した伝達情報を評価し、その評価に応じた制御を行う、ということが行われていないために発生している。
【0013】
そこで、本発明の目的は、ネットワークを介して伝達されてくる伝達経路情報を演算し、その演算結果に応じて機器の制御を行うことにある。例えば、配信される時刻の精度を評価すると共に、評価に応じて時刻補正やタイムスタンプ発行、時刻配信、優先順位設定などの機能の制御を行うことである。
【課題を解決するための手段】
【0014】
本発明は、前記目的を達成するために、伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信手段と、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得手段と、前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択手段と、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作手段と、を具備したことを特徴とする情報処理装置を提供する(第1の構成)。
第1の構成において、前記伝達情報は、時刻情報であり、前記属性情報の属性値は、前記時刻情報の精度であるように構成することもできる(第2の構成)。
第1の構成、又は第2の構成において、前記伝達情報を送信するサーバ装置を認証する認証手段を具備し、前記伝達情報受信手段は、前記サーバ装置が認証された場合に伝達情報を受信するように構成することもできる(第3の構成)。
また、本発明は、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、時刻を出力する時計装置と、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段と、を具備したことを特徴とする時刻情報処理装置を提供する(第4の構成)。
第4の構成において、前記補正した時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段を具備するように構成することもできる(第5の構成)。
第5の構成において、前記記憶した精度が所定の条件を満たさなかった場合、前記タイムスタンプ発行手段を停止するように構成することもできる(第6の構成)。
第5の構成、又は第6の構成において、前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記タイムスタンプ発行手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値以上のものがあった場合にタイムスタンプの発行を停止するように構成することもできる(第7の構成)。
第4の構成から第7の構成までのうちの何れか1の構成において、前記補正した時計装置の出力を用いて時刻情報を配信する時刻情報配信手段を具備するように構成することもできる(第8の構成)。
第8の構成において、前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記時刻情報配信手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値未満となるものが所定値以上ある場合に、時刻配信を開始するように構成することもできる(第9の構成)。
第8の構成、又は第9の構成において、時刻情報を配信する配信先を認証する配信先認証手段を具備し、前記時刻情報配信手段は、前記配信先認証手段で配信先が認証された場合に時刻情報を配信するように構成することもできる(第10の構成)。
第4の構成から第10の構成までのうちの何れか1の構成において、前記所定の条件は、前記記憶した精度が、所定の精度を満たすか否かであるように構成することもできる(第11の構成)。
第4の構成から第11の構成までのうちの何れか1の構成において、前記記憶した精度が所定の条件を満たさなかった場合、他の時刻配信サーバに時刻情報を要求するように構成することもできる(第12の構成)。
第4の構成から第10の構成までのうちの何れか1の構成において、前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記所定の条件は、前記記憶した時刻情報のうち最も精度のよいものを選択することであり、前記時計装置補正手段は前記選択した時刻情報を用いて前記時計装置を補正するように構成することもできる(第13の構成)。
第4の構成から第13の構成までのうちの何れか1の構成において、前記時計装置の補正に使用した時刻情報を配信した時刻配信サーバの優先順位を設定するように構成することもできる(第14の構成)。
第4の構成から第14の構成までのうちの何れか1の構成において、前記時刻情報の精度は、前記時刻配信サーバが時刻を同期させる基準時刻を配信する基準時刻サーバから前記時刻配信サーバまでの基準時刻の伝達経路に依存し、前記受信した前記基準時刻の伝達経路を特定する伝達経路特定情報を受信して記憶する伝達経路特定情報受信手段を具備し、前記精度取得手段は、前記記憶した伝達経路特定情報を用いて精度を取得するように構成することもできる(第15の構成)。
第15の構成において、前記精度取得手段は、前記記憶した伝達経路特定情報で特定される伝達経路上に存在する各サーバ装置から各サーバ装置で規定される時刻の精度を取得し、前記取得した精度から前記時刻情報の精度を取得するように構成することもできる(第16の構成)。
第16の構成において、前記各サーバ装置から時刻の精度を取得するに際して、前記各サーバ装置を認証するように構成することもできる(第17の構成)。
また、本発明は、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、時刻を出力する時計装置と、前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、サーバ装置の優先順位を設定する優先順位設定手段と、を具備し、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行うことを特徴とする時刻情報処理装置を提供する(第18の構成)。
第4の構成から第18の構成までのうちの何れか1の構成において、時刻配信サーバを認証する時刻配信サーバ認証手段を具備し、前記時刻情報受信手段は、前記時刻配信サーバが認証された場合に時刻情報を受信するように構成することもできる(第19の構成)。
また、本発明は、伝達情報受信手段と、属性取得手段と、動作機能部選択手段と、動作手段と、を備えたコンピュータにおいて、前記伝達情報受信手段が、伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信ステップと、前記属性取得手段が、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得ステップと、前記動作機能部選択手段が、前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択ステップと、前記動作手段が、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作ステップと、から構成されたことを特徴とする情報処理方法を提供する(第20の構成)。
また、本発明は、時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、時計装置補正手段と、を備えたコンピュータにおいて、前記時刻情報受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、前記時計装置補正手段が、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正ステップと、から構成されたことを特徴とする時刻情報処理方法を提供する(第21の構成)。
また、本発明は、時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、 前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、サーバ装置の優先順位を設定する優先順位設定手段と、を備えたコンピュータにおいて、前記時刻受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、を備え、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行う選択実行ステップと、から構成されたことを特徴とする情報処理方法を提供する(第22の構成)。
また、本発明の別の形態では、ネットワークを介して伝達される情報はネットワーク中の複数のサーバやルータやスイッチなどを介して伝達される。その伝達される情報がたどった経路により情報の伝達が早かったり、遅かったり、誤っていたり、経路の差により伝達すべき情報に差が生ずる。そこで、ネットワークを介して伝達される情報に関して、その情報がどのような経路をたどったのかがわかる伝達経路情報を設け、その伝達経路情報を演算することで、伝達される情報の経路による差を修正したり補正することができる情報処理装置を提供する。また、伝達される情報を2次的に用いる場合についても伝達経路情報を演算することで修正や補正や使用するか否かの選択などができる情報処理装置を提供する。
【発明の効果】
【0015】
本発明によれば、ネットワークを介して伝達されてきた伝達経路情報である時刻の精度の情報を演算し、その演算結果により制御を行うことができる。例えば、配信される時刻の精度を評価すると共に、評価に応じた制御を行うことができる。
【発明を実施するための最良の形態】
【0016】
(1)実施の形態の概要
伝達経路情報を演算し、その演算結果により制御する一実施の形態として以下に述べる。
TSAは、TAから配信された時刻の精度を評価し、この評価結果に応じた動作を行うことができる。
例えば、TSAは、配信時刻の誤差が許容値内である場合に、この配信時刻を用いて時計装置の時刻を補正して、タイムスタンプ発行機能の活性化期間を設定したり、配信時刻の誤差が許容値内でなかった場合に、タイムスタンプの発行機能を停止したり、他のTAに時刻監査を要求したりすることができる。なお、活性化期間とは、ある機能が使用可能な状態である期間である。
また、TAから配信される時刻の精度は、NTA→TA→TSAの伝達経路に依存するため、本実施の形態のTSAは、NTA、TAに精度を問い合わせるなどして、TAから配信された時刻の精度を評価する。
このように本実施の形態のTSAは、配信される時刻の精度により動作を選択することができ、また、伝達経路に依存する配信時刻の精度を評価することができる。そのため、配信時刻の伝達経路により動作を選択することができる。つまり、TAが複数ある場合はNTAからTSAに伝達する情報の伝達経路は異なり、配信時刻の誤差が異なる。この誤差の比較(演算)を行い、比較(演算)の結果により最小の誤差である経路を選択する制御をすることができる。
また、配信される時刻の精度に関連する項目として、情報伝達の早さなどもあり、この情報伝達の早さと所定値を比較、または、経路による情報伝達の早さを比較して、速い場合はその情報を使う、同じ場合はその情報を使う、遅い場合はその情報は使わない、などの選択する制御ができる。
【0017】
(2)実施の形態の詳細
図1は、本実施の形態に係るタイムスタンプシステムのシステム構成の一例を示した図である。
図に示したように、当該タイムスタンプシステムは、複数のクライアント端末と、これらクライアント端末にタイムスタンプを発行するタイムスタンプ局であるTSAと、このTSAの時刻監査を行う時刻監査局であるTA1、TA2と、これらTA1、TA2の時刻監査を行う国家時刻配信局NTA1、NTA2がネットワークにより接続可能に配設されている。
以下、TA1、TA2を特に区別しない場合は単にTAと記し、NTA1とNTA2を特に区別しない場合は単にNTAと記すことにする。
【0018】
NTAは、基準となる時刻を配信する時刻配信局であり、時刻配信の最上位に位置する。
NTAは、原子時計を備えるなどして極めて正確な時刻の計測を行うことができ、TAの時計装置が出力する時刻を監査して時刻監査証明書をTAに発行する。
時刻監査証明書には、時刻監査によって計測された時刻の誤差が記されており、TAは、これを用いて自己の時計装置を補正する。即ち、TAはNTAが配信する時刻により時計装置の補正を行っている。
TAは、NTAからの配信時刻で補正された時計装置を用いてTSAの時刻監査を行い、時刻監査証明書を用いてTSAに時刻配信を行う。
【0019】
TSAは、TAから時刻監査を受け、TAから配信された時刻を用いて自己の時計装置を補正し、この時計装置の出力する時刻によりクライアント端末に対してタイムスタンプを発行する。タイムスタンプの発行方法は、従来と同じである。
クライアント端末は、例えば、電子文書のハッシュ値を計算してこれをTSAに送信し、TSAにタイムスタンプを発行してもらう。
【0020】
なお、本実施の形態では、NTA及びTAを2台とし、TSAを1台としているが、更に多くのNTA、TA、TSAを備えるように構成することができる。
また、TA1とTSAの間に更にTAを設置するなど、より複雑なネットワークとすることもできる。
【0021】
これらサーバ装置(NTA、TA、TSA)が配信する時刻の精度を、一例として図に示した。
即ち、NTA1は100[ms]、NTA2は50[ms]、TAは400[ms]、TA2は、450[ms]、TSAは500[ms]である。
NTAの精度は、UTC(Coordinated Universal Time:協定世界時)に対する精度であり、NTAが配信する時刻のUTCからの誤差が当該精度内であることを意味している。
NTAが配信する時刻は、ネットワークの下流側のサーバ装置が時計を補正してこれに同期させる際の基準時刻として用いられる。このようにNTAは基準時刻サーバを構成している。
【0022】
また、TAからTSAに配信される時刻の精度は、NTAからTAに配信された時刻を基準とする、相対的な精度である。即ちUTCからの精度は、NTAからTAに配信される時刻の精度に、TAからTSAに配信される時刻の精度を加えたものになる。(なお、TSAの、タイムスタンプの時刻精度に関するポリシは、このUTCからの精度と矛盾するものであってはならない。)
このように、ネットワークの下流側に行くにつれて出力時刻の精度の幅が累積すると共に、時刻配信の伝達経路によっても精度が異なってくる。
【0023】
例えば、配信時刻の伝達経路がNTA2→TA1→TSAの場合、TSAがTA1から配信される時刻の精度は、50+400=450[ms]であり、NTA1→TA1→TSAの場合は100+400=500[ms]となる。
また、配信時刻の伝達がNTA1→TA2→TSAの経路で行われた場合、TSAがTA2から配信される時刻は100+450=550[ms]の精度となり、配信時刻の伝達経路によっては、TSAの保証している精度である500[ms]を保てない場合もある。
【0024】
そこで、TSAは、配信時刻の伝達経路による精度の変化を含めて、TAから配信された時刻のUTCに対する精度を評価し、その評価に応じた適切な種々の動作を行うように構成されている。
そして、TSAが伝達経路による精度の変化を評価するために、TAがTSAに送信する時刻証明書には、配信時刻の伝達経路を特定する情報が含まれている。
本実施の形態の時刻監査証明書は、このようにどの伝達経路を介して時刻が配信されてきたかを追跡することができる所謂トレーサビリティを有しているため、以下ではトレ情報と略称することにする。
【0025】
ここで、図2の各図を用いてトレ情報の構成について説明する。
図2(a)は、TAがTSAに発行するトレ情報の論理的な構成の一例を示した図である。
図に示したようにトレ情報は、基本情報、時刻情報、伝達経路情報、及びTAの署名情報などから構成されている。
基本情報は、トレ情報自体に関する基本的な情報であって、発行時刻、バージョン、発行先、発行元、署名アルゴリズム、シリアル番号、有効期間などが含まれている。
【0026】
バージョン情報は、トレ情報のバージョンを特定する情報である。発行先は、トレ情報の発行先であるTSAを特定する情報である。発行元は、トレ情報を発行したTAを特定する情報である。
署名アルゴリズムは、TAの署名情報に用いたアルゴリズムを特定する情報であり、TSAは、これを用いてTAの署名情報に用いたアルゴリズムを知ることができる。
シリアル番号は、トレ情報のシリアル番号である。
有効期限は、TAが定めたトレ情報の有効期限であり、TSAは、有効期限の範囲内でトレ情報を利用した機能制御を行う。
【0027】
時刻情報は、時刻監査の結果などによる情報であって、監査時刻、時刻誤差、通信遅延、活性化期間、うるう秒、時刻監査証明書ポリシ、その他の情報などが含まれている。活性化期間は、有効期限と同じ期間である場合、省略可能である。この場合、有効期限を活性化期間として扱う。
監査時刻は、TAがTSAの時刻監査を実施した時刻である。
時刻誤差は、TAが時刻監査によって計測したTSAとTAの時刻の誤差である。TSAは、この誤差を用いて自己の時計装置の時刻を補正する。即ち、TAは、誤差という形で時刻を配信している。
【0028】
通信遅延は、TSAとTAの通信経路による遅延時間である。
活性化期間は、このトレ情報により補正した時計装置にてTSAがタイムスタンプを発行することができる期間である。TSAは、トレ情報に記された活性化期間を設定することができる。
時刻監査証明書ポリシには、例えば、TAが配信する時刻の精度など、ポリシに関する情報などが含まれている。これによって、TSAは、TAの配信時刻の(NTAを基準とする相対的な)精度を知ることができる。
【0029】
伝達経路情報は、NTAの基準時刻がTAに伝達するまでの伝達経路を特定する情報が含まれている。即ち、伝達経路情報は基準時刻の伝達経路を特定するトレーサビリティ情報となっている。
TSAは、伝達経路情報により、基準時刻の伝達経路を特定し、その伝達経路上のサーバ装置の精度に関するポリシを参照することにより、TAから配信された時刻のUTCに対する精度を評価することができる。
TAの署名情報は、TAの署名アルゴリズムを特定する情報と、TAの署名値などを含んでいる。
TSAは、この署名アルゴリズムを用いてトレ情報の署名値を計算し、TAの署名値との同一性を確認することにより、トレ情報が改竄されていないか確認することができる。
【0030】
図2(b)〜(d)は、伝達経路情報の論理的な構成の一例を示した図である。
図2(b)の例は、伝達経路情報に、伝達経路と各サーバ装置の精度の両方が含まれている場合である。
伝達経路は、基準時刻を伝達したサーバ装置(NTA、TA)を伝達順序で記すことにより表されている。
図に示したように、この例では、NTA1からTA1に時刻配信がなされ、これによってTA1が時刻補正を行ったことが示されており、更に、NTA1の精度が(100[ms])であることが示されている。
TA1の精度は、トレ情報の時刻情報(時刻監査証明書ポリシ)に記されているため、TSAは、これらの精度を加算することによりTA1から配信された時刻のUTCに対する精度を評価することができる。
【0031】
即ち、時刻情報に記されている精度が400[ms]であった場合、TA1から配信された時刻の精度は100+400=500[ms](未満)と評価され、これはTSAの精度に関するポリシである500[ms]未満を満たしている。
このように、伝達経路情報に精度が記されている場合、TSAは、トレ情報から配信時刻の精度の評価値を得ることができる。
【0032】
図2(c)の例は、伝達経路情報に、伝達経路と、伝達経路上にあるサーバ装置のURL(Uniform Resource Locators)の両方が含まれている場合である。
図に示したように、この例では、NTA1からTA1に時刻配信がなされたことが示されており、更に、NTA1に関してはURLが示されている。
TSAは、このURLを用いてNTA1にアクセスし、NTA1の精度を問い合わせることができる。
TSAは、このようにして取得したNTA1の精度と、トレ情報の時刻情報に記されているTA1の精度を加算して、TA1から配信された時刻の精度を評価することができる。
なお、精度の問い合わせを行うためにNTA1やTA1などのほかのサーバ装置にアクセスする場合、TSAは、これらを認証し、なりすましなどを防止するようになっている。例えば、SSLやTLSなどの認証を行ったり、精度に関する情報にNTA1やTA1が電子署名を付与し、TSAはその電子署名を確認する方法などがある。
【0033】
図2(d)の例は、図1に示さないが、伝達経路上に更に多くのサーバ装置が存在する場合を示している。
図に示したように、この例では、NTA1からTAxに時刻配信され、更にTAxからTAyに時刻配信され、そして、TAyからTA1に時刻配信され、次いでTSAに時刻配信されたことが示されており、それぞれのサーバ装置に精度を問い合わせるためのURLが記されている。このように、TSAに時刻配信機能を備えることも可能である。
この場合、TSAは、NTA1、TAx、TAyにこれらサーバ装置のURLを用いて精度を問い合わせ、これとTA1の精度を用いて、TA1から配信された時刻の精度を評価する。
また、図2(b)のように、URLの代わりにNTA1、TAx、TAyの精度を記しておいてもよい。
【0034】
図2(e)の例は、トレ情報を入れ子形態にて構成した場合を示している。
図に示したように、この例では、TAのトレ情報の伝達経路情報にNTAからTAに送信されたトレ情報が含まれている。
このNTAからTAに送信されたトレ情報は、TAがNTAから時刻監査を受けた際にNTAからTAに送信されたトレ情報である。
TSAは、TAから受信したトレ情報からNTAがTAに送信したトレ情報を抽出し、これらを用いて配信時刻のUTCに対する精度を評価することができる。
【0035】
図の例は、NTA→TA→TSAと時刻配信された場合であるが、NTA→TAx→TAy→TSAなどと、更に多くのサーバ装置を介して時刻が配信される場合は、TAxは、NTAからTAxに送信されたトレ情報を含めたトレ情報をTAyに送信し、TAyはTAxから送信されたトレ情報(NTAがTAxに送信したトレ情報が含まれている)を含めたトレ情報をTSAに発行する。
このように、伝達経路上のサーバ装置が直上のサーバ装置から送信されてきたトレ情報を含めたトレ情報を直下のサーバ装置に送信することにより、時刻配信の伝達経路に渡る全てのトレ情報を下流側に伝達することができる。そして、TSAは、トレ情報から上流側のトレ情報を抽出して解析することにより、配信時刻のUTCに対する精度を評価することができる。
【0036】
以上に、伝達経路情報を用いた時刻の精度の評価方法について説明したが、更に次のように構成することもできる。
例えば、TAがTSAに時刻配信を行う際に、TAがNTAの精度と自己の精度を加算してこれをトレ情報に記しておく。
即ち、TAが、自分が配信する時刻のUTCに対する精度を評価する。この場合、TSAは、既に基準時刻に対する評価済みの精度をTAから受信することができる。
【0037】
また、各NTA、及び各TAの配信時刻の精度に関するポリシを収集し、閲覧可能に用意した参照サーバを用意し、TSAが参照サーバに配信時刻の精度の評価を依頼するように構成することもできる。
この場合、TSAは、伝達経路情報に記されている伝達経路を参照サーバに送信し、参照サーバで精度の評価を行ってTSAに返すことにより、TSAは、参照サーバから配信された時刻の精度の評価値を得ることができる。
【0038】
図3は、本実施の形態に係るTAとTSAの機能を説明するための機能ブロック図である。
TAは、認証部10、トレ情報送信部11、時刻監査部12などから構成されている。
TAは、トレ情報送信部11を時刻監査証明書送信部とすると、従来のTAと同じ構成となる。
一方、TSAは、認証部20、トレ情報受信部21、比較判定部22、動作制御部23、時計部24、タイムスタンプ部25、通信制御部26、認証情報テーブル28、トレ情報テーブル29、ポリシ情報テーブル30、アクションテーブル31などから構成されている。
【0039】
まず、TAの認証部10とTSAの認証部20の関係と機能について説明する。
認証部10は、以下のようにして、認証部20と通信し、TSAが正当なサーバ装置であるか否かを認証する。
時刻監査を行う場合、認証部10は認証部20に認証情報を要求する。
時刻監査は、TAからTSAに時刻監査を行うこともできるし、あるいは、TSAがTAに時刻監査を要求して行うこともできる。
これに対し、認証部20は、認証情報テーブル28から認証情報を読み出して認証部10に送信する。
【0040】
認証部10は、予め記憶してあるTSAの認証情報と、TSAから送信されてきた認証情報の一致を確認することによりTSAが正規のTSAであることを認識する。例えばSSLやTLSによる認証や、その他の認証情報を利用した認証を行うことにより、TSAのなりすましを防ぐことができる。
また、TSA側でもTAを認証するように構成すると、TAの成りすましも防止することができる。
ここで、認証情報とは、例えばSSLやTLSでの認証に利用する証明書情報、鍵情報、証明書失効情報などとともに、トレ情報を生成する際に利用される情報(証明書情報など)も含まれる。これらの情報は、認証情報テーブルにより互いに関連づけられており、必ず認証したTSAに対し、認証したTAの発行したトレ情報が送信される。
なお、SSLやTLSに利用する鍵や証明書は、トレ情報を生成する際に利用される鍵や証明書と同じでもよい。この場合、鍵や証明書の管理を容易にすることや、通信手順を容易にすることや、取扱うデータ量を少なくすることができる。
また、SSLやTLSに利用する鍵や証明書と、トレ情報を生成する際に利用される鍵や証明書の関連づけは、データベースや設定ファイルによるものや、TAやTSA自身では変更できない、機器固有の鍵を、暗号化や電子署名に利用する方法などがある。
【0041】
TAの時刻監査部12は、TSAの時計部24を時刻監査する機能部である。
時刻監査部12は、TSAの認証後にTSAに時計部24の時刻の送信を要求し、これに対し、TSAは、時計部24の出力値をTAに送信する。
そして、TAは、TSAから受信した時刻を自己の時計装置の時刻と比較し、その誤差を計測する。
TAのトレ情報送信部11は、時刻監査部12で計測した時刻誤差を含むトレ情報を生成し、これをTSAに送信する。
【0042】
TSAのトレ情報受信部21は、TAから送信されてきたトレ情報を受信し、これをトレ情報テーブル29に記憶する。
トレ情報テーブル29の論理的な構成の一例を図4(a)に示す。図に示したように、トレ情報テーブル29は、「発行時刻」、「発行者」、「発行先」、「属性(タイプ)」、「属性(値)」などの各項目から構成されている。
トレ情報受信部21は、トレ情報からこれらの項目を抽出してトレ情報テーブル29に記憶(登録)していく。
【0043】
「発行時刻」は、トレ情報が発行された時刻である。
「発行者」は、トレ情報の発行元であり、図の例ではTA1となっている。例えば、TA2からTSAに宛てたトレ情報であれば、TA2となり、NTA1からTA1に宛てたトレ情報であれば、NTA1となる。
「発行先」は、そのトレ情報の受取先であり、図の例ではTSAとなっている。例えば、TA2からTSAに宛てたトレ情報であれば、TSAとなり、NTA1からTA1に宛てたトレ情報であれば、TA1となる。
【0044】
「属性(タイプ)」と「属性(値)」は、属性の種類とその属性値である。「属性(タイプ)」は属性の種類を表し、「属性(値)」は、その属性値を表している。
「属性(タイプ)」は、基本情報に関するものでは、発行時刻、バージョン、発行先、発行元、署名アルゴリズム、シリアル番号、有効期間などがあり、時刻情報に関するものでは、監査時刻、時刻誤差、通信遅延、活性化期間、うるう秒、配信時刻の精度などがある。
【0045】
また、TSAは、トレ情報の伝達経路情報を用いて、TAから配信された時刻のUTCに対する精度を評価する精度評価機能部27を備えており、精度評価機能部27は、評価値をトレ情報テーブル29に記憶する。
この場合、「属性(タイプ)」は、「配信時刻の精度」となり、配信時刻の精度が「属性(値)」として記憶される。
なお、属性は、時刻に関するもののほかに、例えば、情報処理装置の設置されている国や、サービスを運営している事業体など、各種のものが可能である。
例えば、「属性(タイプ)」が国の場合、「属性(値)」は日本などの国名となる。また、「属性(タイプ)」が事業体の場合、「属性(値)」は、株式会社○○社などと、事業体名となる。
また、例えば事業体や情報処理装置や業務やサービスなどに与えられる各種の認定に関するものについては、「属性(タイプ)」が認定の種類の場合、「属性(値)」は○○協会の○○認定や○○協会の○○マークなど、認定の種類を特定する識別名や識別番号となる。また、「属性(タイプ)」が認定番号の場合、「属性(値)」は認定された順番や認定対象を識別するための認定番号となる。また、「属性(タイプ)」が認定の有効期間の場合、「属性(値)」はその認定が有効な期間となる。
このような、各種の認定に関する情報を伝達する場合、例えば信頼できる伝達経路を経由した情報のみを取扱うことができたり、また自身が認定された事業体や情報処理装置であることを伝達することを、信頼できる伝達経路への接続条件とするなど、伝達経路における情報の取扱いに関して、より信頼性を向上することができる。
なお、この場合の認定とは、第三者機関から取得する認定などの他に、情報の伝達を行う事業体や情報処理装置など、伝達経路上の当事者間で行う認定もある。
【0046】
ここで、精度評価機能部27についてより詳細に説明する。精度評価機能部27は、TAから受信したトレ情報の伝達経路情報を用いて、NTAが配信した基準時刻からTSAに到達するまでの伝達経路を解析し、これを用いてTAから配信された時刻のUTCに対する精度を評価する。
例えば、精度評価機能部27は、図2(b)に示すように、伝達経路情報から配信された時刻の精度を評価できる場合はこれによって評価する。また、図2(c)のように、伝達経路上のサーバ装置のURLが得られる場合は、これを用いて各サーバ装置にアクセスして各サーバ装置の精度を収集し、これらを加算してUTCに対する精度を算出する。
【0047】
以上のようにして、トレ情報テーブル29には、トレ情報に記載されていた情報が属性ごとに整理されて記憶される。
なお、図の例では、属性のタイプは、「Offset」となっており、これは時刻監査で計測された時刻誤差を意味する。そして、属性の値は「300」となっており、時刻誤差が300[ms]であったことを意味している。
【0048】
比較判定部22(図3)は、トレ情報テーブル29に記憶されているトレ情報とポリシ情報テーブル30に記憶されているポリシ情報を比較し、その比較値をポリシ情報テーブル30に記憶する。
ポリシ情報は、トレ情報で記憶した各属性(タイプ)に対し、例えば、ある基準値との大小関係など、判定式を用いて判定する情報である。TSAは、この判定値を元にして行う動作を判断することになる。
【0049】
ポリシ情報テーブル30には、図4(b)に示したように、複数のポリシ情報が設定されており、各ポリシ情報は、「ポリシ番号」、「発行者」、「発行先」、「属性(タイプ)」、「属性(値)」、「判定式」、「判定結果」などの項目から構成されている。
このうち、「ポリシ番号」〜「判定式」は、予めトレ情報テーブル29に設定されており、「判定結果」は、比較判定部22が判定結果として出力したものである。
【0050】
「ポリシ番号」は、各ポリシ情報に付与された一意の番号であり、ポリシ情報の識別情報を構成している。
「発行者」〜「属性(タイプ)」は、トレ情報テーブル29と同じである。
「属性(値)」は、トレ情報の属性値を「判定式」で判定するための基準値である。この属性値が、トレ情報テーブル29の属性値と比較されることになる。
「判定式」は、トレ情報の属性値を基準値(ポリシ情報の「属性(値)」)と対比して判定する判定式である。
「判定結果」は、属性の値を判定式で判定した結果である。
【0051】
比較判定部22は、トレ情報テーブル29に記憶されているトレ情報の「発行者」、「発行先」、「属性(タイプ)」の組み合わせとポリシ情報テーブル30のポリシの「発行者」、「発行先」、「属性(タイプ)」とマッチングする。
そして、一致するものがあった場合に、両者の「属性(値)」をポリシ情報の「判定式」に従って判定し、その判定結果をポリシ情報の「判定結果」に出力する。これによって、ポリシ情報テーブル30が更新される。
判定式としては、=、>、<、といった属性の値の大小関係や、値をとる場合などがある。
【0052】
図4(b)の例では、ポリシ番号1のポリシに関しては、判定結果が「2」となり値をとっている。また、ポリシ番号2のポリシに関しては、判定結果が「T(True)」となっており、トレ情報の属性の値とポリシの属性の値が判定式「<」を満たしていることを示している。判定式を満たさない場合、判定結果は「F(False)」となる。
なお、判定式の「=」は、両者の属性値が等しいか否かを判定するものであり、「<」は、ポリシ情報の属性値がトレ情報の属性値よりも大きいか否かを判定するものであり、「>」は、その逆である。
【0053】
なお、先に説明した精度評価機能部27の代わりに、同等の機能を比較判定部22に持たせるように構成することもできる。
この場合、図2(b)に示すように、伝達経路情報から配信された時刻の精度を評価できる場合、比較判定部22はこれによってUTCに対する精度を計算する。そして、比較判定部22は、その精度の判定値をポリシ情報テーブル30に記憶させる。
また、図2(c)のように、伝達経路上のサーバ装置のURLが得られる場合、比較判定部22はこれを用いて各サーバ装置にアクセスし、これら各サーバ装置の精度を記したトレ情報を要求する。
これに応じて各サーバ装置が送信したトレ情報は、トレ情報受信部21によりトレ情報テーブル29に記憶される。比較判定部22は、これらのトレ情報を用いて配信時刻のUTCに対する精度を計算し、その判定値をポリシ情報テーブル30に記憶させる。
このように、精度評価機能部27を設けずに、比較判定部22に配信時刻の精度を評価する機能を持たせることもできる。
【0054】
動作制御部23(図3)は、アクションテーブル31の動作情報を用いて比較判定部22が判定した判定結果が所定の条件を満たしているか否かを判断し、その判断結果を用いて動作させる機能部(時計部24、タイムスタンプ部25、通信制御部26など)、及び機能部の動作内容を定める動作パラメータを決定する。
【0055】
アクションテーブル31は、図4(c)に示したように、複数の動作情報(アクション)が設定されており、動作情報は、「アクション番号」、「アクション(機能モジュール指定)」、「アクション(パラメータ指定)」などの項目から構成されている。
「アクション番号」は、各動作情報に付与された一意の番号であって、動作情報の識別情報を構成している。
「条件式」は、ポリシ情報の判定結果がある条件を満たしているか否かを判断するための条件式である。
「アクション(機能モジュール指定)」は、条件式が満たされていた場合に、動作を行わせる機能部(機能モジュール)を指定する。
「アクション(パラメータ指定)」は、指定した機能部の動作内容(動作モード)を規定する動作パラメータである。
【0056】
例えば、機能部が時計部24の場合、動作内容としては、「受信したトレ情報を用いて時計装置の補正を行う」とか、「受信したトレ情報を用いては時計装置の補正を行わない」などがある。
また、機能部がタイムスタンプ部25の場合、動作内容としては、「受信したトレ情報に記されている活性化期間を設定する」、「タイムスタンプ発行機能をオンにする」、「タイムスタンプ発行機能をオフにする」などがある。
更に、機能部が通信制御部26の場合、動作内容としては、「トレ情報に記されているURLを用いてサーバ装置に接続する」などがある。
なお、図4(c)の例で示したアクション番号1で規定される動作情報は、「ポリシ1の判定結果が10未満で、かつ、ポリシ2の判定結果がTであるならば(条件式)、タイムスタンプ部25を(機能部の指定)、オンにする(動作内容)」という内容を表している。
【0057】
図3に戻り、時計部24は、タイムスタンプを発行するための時刻装置を制御するための機能部である。時計部24は、TAの時刻監査部12から時刻監査を受けて時刻を送信したり、タイムスタンプ部25にタイムスタンプで記録する時刻を出力したり、配信時刻を用いて時計装置を補正したりする。
タイムスタンプ部25は、時計部24で計測される時刻を用いてタイムスタンプを発行する機能部である。
通信制御部26は、TSAを他のサーバ装置などに接続して通信を行うための機能部である。
【0058】
動作制御部23は、アクションテーブル31で条件を判断した後、その判断結果を用いてこれら機能部に動作パラメータで指定される動作を行わせる。
例えば、動作制御部23は、アクションテーブル31での判断結果に基づいて、時計部24に命じて時計装置の補正を行わせたり、タイムスタンプ部25にタイムスタンプの発行機能をオンオフにさせたり、あるいは通信制御部26に他のサーバ装置に接続させたりする。
【0059】
以上に説明したように、本実施の形態のTSAは、時刻配信サーバ(TA)から時刻情報(配信された時刻)を受信して記憶する時刻情報受信手段(トレ情報受信部21)と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段と(精度評価機能部27)、時刻を出力する時計装置と(時計部24)、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段と(動作制御部23)、前記補正した時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段(タイムスタンプ部25)を具備した時刻情報処理装置を構成している。
ここで、前記記憶した精度が所定の条件を満たすか否かを判定する比較手段(比較判定部22)を備え、この判定結果により時計装置補正手段が動作するように構成することもできる。
【0060】
また、本実施の形態のTSAは、伝達経路によって属性値(精度など)が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信手段(トレ情報受信部21)と、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得手段(トレ情報受信部21)と、前記記憶した属性値を所定の基準値と比較し(比較判定部22)、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択手段(動作制御部23)と、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作手段と(動作制御部23)、を具備した情報処理装置も構成している。
なお、本実施の形態のTSAは、配信時刻の伝達経路によって属性値(精度)が定まるものであるが、当該情報処理装置の対象は、より広いものとすることができる。
即ち、当該情報処理装置は、「一連の経路から伝達されてきた情報を総合的に利用する」、「複数の伝達経路から得られた情報を利用する」、「伝達経路から得られた情報を利用し、他の情報処理装置に対してアクションを行う」、「そのアクションによって、他の情報処理装置から伝達情報を受信し、更にその伝達情報を基に動作する」というような情報処理を行うもの全般に適用することができるものである。
【0061】
次に、以上のように構成されたTSAの基本的な動作について、図5のフローチャートを用いて説明する。なお、以下では、情報処理に使用する機能部を括弧で示す。認証は既に行ってあるものとする。
まず、TAがTSAの時刻監査を行い、TSA(トレ情報受信部21)がその結果を記したトレ情報を受信する(ステップ5)。
TSA(トレ情報受信部21)は、受信したトレ情報をトレ情報テーブル29に記憶してトレ情報テーブル29を更新する(ステップ10)。
次に、TSA(比較判定部22)は、トレ情報テーブル29に記憶されているトレ情報とポリシ情報テーブル30に記憶されているポリシ情報を比較し(ステップ15)、比較結果をポリシ情報テーブル30に出力してポリシ情報テーブル30を更新する(ステップ20)。
【0062】
次に、TSA(動作制御部23)は、アクションテーブル31を参照し、ポリシ情報テーブル30の判定結果が、アクション情報の条件式を満たしているか否かを判断する。
そして、TSA(動作制御部23)は、判断結果によって、動作させる動作機能部と行わせる動作を決定する(ステップ30)。
そして、TSA(動作制御部23)は、この機能部に対して動作を行わせる(ステップ35)。
【0063】
このように、TSAは、トレ情報の内容を解析し、その解析結果に応じて様々な動作を行うことができるが、ここでは、その具体例として、配信時刻のUTCに対する精度の評価値を用いて時計装置を補正する場合について説明する。
【0064】
以下の各説明では、簡単のため、図1において、NTA2はないものとし、TA1、TA2は、何れもNTA1の配信する時刻によって時刻補正しているものとする。
また、TAi、TAjのうち、何れかがTA1で他方がTA2とする。即ち、TAiがTA1の場合、TAjはTA2となり、TAiがTA2の場合はTAjがTA1となる。このように、TA1とTA2は対等であり入替可能である。
【0065】
図6のフローチャートで説明する例は、TAから配信された時刻のUTCに対する精度(NTAの精度とTAの精度の和)が500[ms]未満の場合に、このTAから配信された時刻によって時計部24の補正を行い、精度が500[ms]未満でない場合は、他のTAに時刻配信を要求するというものである。
なお、本実施の形態では、TSAは複数のTAから時刻配信を受けることが可能であるので、TSAは、時刻配信を受けるTAにプライマリ、セカンダリなどと優先順位を付けている。これにより、TSAは、優先度の高いTAからの時刻配信のみを受け付けたり、より優先順位が高いTAに対して時刻監査の要求を行うなどの制御が可能である。
【0066】
以下、フローチャートについて説明する。
TAiは、TSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ100)。
TSA(トレ情報受信部21)は、TAiからトレ情報を受信し、トレ情報テーブル29に記憶する(ステップ200)。
【0067】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、トレ情報で配信された時刻の精度(NTA1とTAiの精度の和)が500[ms]未満であるか否かを判定する判定式が設定されており、TSA(比較判定部22)は、この判定式を用いて精度を判定し、判定結果をポリシ情報テーブル30に出力する。
【0068】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比し、アクションテーブル31で規定されている機能部に動作を行わせる。
アクションテーブル31には、精度が500[ms]未満であった場合、この配信時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定し、更にこのTAをプライマリに設定するように規定されている。
【0069】
TAiの配信時刻の精度(NTA1とTAjの精度の和)が500[ms]未満であった場合(ステップ205;Y)、TSA(動作制御部23)は、時計部24にこの配信時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAiをプライマリに設定し、TAjをセカンダリに設定する(ステップ230)。
【0070】
一方、アクションテーブル31には、TAiから配信された時刻の精度が500[ms]未満でなかった場合、TAjから時刻配信を受け、この精度が500[ms]未満であった場合、この配信時刻を用いて時刻補正などを行うように規定されている。
【0071】
そこで、TAiから受信した配信時刻の精度が500[ms]未満でなかった場合(ステップ205;N)、TSA(動作制御部23)は、通信制御部26を制御してTAjにアクセスし、TAjにトレ情報を要求する(ステップ210)。
これに対し、TAjはTSAの時刻監査を行って、その結果を記したトレ情報をTSAに送信する(ステップ300)。
TSA(トレ情報受信部21)は、このトレ情報を受信してトレ情報テーブル29に記憶する。
次に、TSA(比較判定部22)は、トレ情報テーブル29を参照し、ポリシ情報テーブル30の判定式に従って、TAjから配信された時刻の精度(NTA1とTAjの精度の和)が500[ms]未満であるか否かを判定する。そして、その判定結果をポリシ情報テーブル30に出力する。
【0072】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比する。
アクションテーブル31には、精度が500[ms]未満であった場合、この配信時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定し、更にこのTAをプライマリに設定するように動作が規定されている。一方、配信時刻の精度が500[ms]未満でなかった場合、動作を行わないように規定されている。
【0073】
TAjの配信時刻の精度(NTA1とTAjの精度の和)が500[ms]未満であった場合(ステップ215;Y)、TSA(動作制御部23)は、時計部24にこの配信時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAjをプライマリに設定し、TAiをセカンダリに設定する(ステップ230)。
【0074】
一方、TAjの配信時刻の精度(NTA1とTAjの精度の和)が500[ms]未満でなかった場合(ステップ215;N)、TSA(動作制御部23)は、時刻補正などを行わずに動作を終了する。
この場合、前回に時刻補正した際に設定した活性化期間が経過すると、TSAは、タイムスタンプ発行機能を停止する。そのため、TSAの精度に関するポリシである500[ms]未満に適合しない場合は、タイムスタンプの発行を停止することができる。
【0075】
以上のように、このポリシによると、TSAは、TAから配信された時刻の精度が所定値(500[ms])を満たさない場合に、他のTAにアクセスして所定の精度を満たす配信時刻を得ることができる。
このように構成すると、例えば、TSAが精度に関するポリシを変更した場合であっても、そのポリシに適合するTAを探すことができる。
【0076】
なお、TSAがポリシ(精度に対するポリシやその他のものに対するポリシを含む)が勝手にポリシを変更するとTA側に問題が生じる場合は、次のような対策をとることができる。
ポリシ設定を、TAの認めた管理者のみが変更可能なよう、アクセス制御(パスワード、ICカードによる認証など)を行う。
予めTAとTSAで合意したポリシ設定の下、ポリシ設定が改竄されないようソフトウェアにハードコーディングする。
TSA側には特定の機能制御(例えば、時刻補正)しか設定できないように制限する。
TSA側には機能部を制御する能動的な権限は持たせず、例えば、「TSAのポリシとあわない場合に、トレ情報の受信を拒否する」という受動的な権限のみ持たせる。
【0077】
図7のフローチャートで説明する例は、一方のTAから時刻を配信された場合に、その精度を前回に受信した他方のTAの配信時刻の精度と比較し、より精度の高いものを採用するものである。回線の状況などによって配信時刻の精度が変化する場合により精度の高い伝達経路を経由したものを採用するものである。
以下の説明では、図6と同じステップには同じステップ番号を付し、説明を簡略化する。
TAiは、TSAに時刻監査を行い、その監査結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ100)。
TSA(トレ情報受信部21)は、TAiからトレ情報を受信し、トレ情報テーブル29に記憶する(ステップ200)。
【0078】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、前回にTAjから受信した配信時刻の精度(NTA1とTAjの精度の和)と、今回TAiから受信した配信時刻の精度(NTA1とTAiの精度の和)のどちらが正確かを判定する判定式が設定されており、TSA(比較判定部22)は、この判定を行って判定結果をポリシ情報テーブル30に出力する。
【0079】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比し、アクションテーブル31で規定されている動作を行う。
アクションテーブル31には、今回TAiから配信された時刻の方が正確であった場合、この時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定し、更にこのTAをプライマリに設定するように動作が規定されている。
【0080】
今回TAiから配信された時刻の方が正確であった場合(ステップ235;TAi)、TSA(動作制御部23)は、時計部24にこの時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAiをプライマリに設定し、TAjをセカンダリに設定する(ステップ230)。
【0081】
一方、アクションテーブル31には、前回TAjから配信された時刻の方が正確であった場合、TAjから時刻の配信を受け、これが前回(即ちステップ200で)TAiから受信した時刻の精度よりも高かった場合、この時刻を用いて時刻補正などを行うように動作が規定されている。
【0082】
そこで、TSA(動作制御部23)は、前回TAjから受信した時刻の方が精度が高かった場合(ステップ235;TAj)、通信制御部26を制御してTAjにアクセスし、TAjにトレ情報を要求する(ステップ210)。
これに対し、TAjはTSAの時刻監査を行って、その結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ300)。
そして、TSA(トレ情報受信部21)は、このトレ情報を受信してトレ情報テーブル29に記憶する。
【0083】
次に、TSA(比較判定部22)は、トレ情報テーブル29を参照し、ポリシ情報テーブル30の判定式に従って、前回TAiから配信された時刻と今回TAjから受信した時刻の何れが精度が高いか判定する。そして、その判定結果をポリシ情報テーブル30に出力する。
【0084】
次に、TSA(動作制御部23)は、ステップ235と同様に、ポリシ情報テーブル30とアクションテーブル31を対し、アクションテーブル31で規定されている動作を行う。
即ち、今回TAjから配信された時刻の精度の方が正確であった場合(ステップ240;TAj)、TSA(動作制御部23)は、時計部24にこの時刻で時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
そして、TSA(動作制御部23)は、時刻補正に使用したTA、即ちTAjをプライマリに設定し、TAiをセカンダリに設定する(ステップ230)。
【0085】
一方、前回TAiから配信された時刻の精度の方が正確であった場合(ステップ240;TAi)、TSA(動作制御部23)は、時刻補正などを行わずに動作を終了する。
そして、前回に時刻補正した際に設定した活性化期間が経過すると、TSAは、タイムスタンプ発行機能を停止する。
【0086】
図8のフローチャートで説明する例は、配信時刻が正確な方のTAをプライマリに設定するものである。なお、図8のフローチャートでは、TAjを省略してある。
まず、TAiは、TSAに時刻監査を行い、その監査結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ100)。
TSA(トレ情報受信部21)は、TAiからトレ情報を受信し、トレ情報テーブル29に記憶する(ステップ200)。
【0087】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、前回にTAjから受信した配信時刻の精度(NTA1とTAjの精度の和)と、今回TAiから受信した配信時刻の精度(NTA1とTAiの精度の和)のどちらが正確かを判定する判定式が設定されており、TSA(比較判定部22)は、この判定を行って判定結果をポリシ情報テーブル30に出力する。
【0088】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比し、アクションテーブル31で規定されている動作を行う。
アクションテーブル31には、今回TAiから配信された時刻の方が正確であった場合、TAiをプライマリに設定し、前回TAjから配信された時刻の方が正確であった場合、TAjをプライマリに設定するように動作が規定されている。
【0089】
今回TAiから配信された時刻の方が正確であった場合(ステップ245;TAi)、TSA(動作制御部23)は、TAiをプライマリに設定し、TAjをセカンダリに設定する(ステップ255)。
一方、前回TAjから配信された時刻の方が正確であった場合(ステップ245;TAj)、TSA(動作制御部23)は、TAjをプライマリに設定し、TAjをセカンダリに設定する(ステップ250)。
【0090】
図9のフローチャートで説明する例は、TAiとTAjのうち、少なくとも一方の配信時刻の精度が500[ms]未満である場合に、正確な方のTAによって時刻補正するものである。
まず、TAiがTSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ100)。
TSAでは、トレ情報受信部21がこのトレ情報を受信し、これをトレ情報テーブル29に記憶する。
このように、TAiからトレ情報を受信すると、TSAは、TAjに対してトレ情報を要求する(ステップ210)。
これを受けて、TAjは、TSAの時刻監査を行い、その監査結果や配信時刻などを記したトレ情報をTSAに送信する(ステップ300)。
【0091】
次に、TSA(比較判定部22)は、トレ情報テーブル29とポリシ情報テーブル30を参照し、ポリシ情報テーブル30を更新する。
ここで、ポリシ情報テーブル30では、TAから配信された時刻の精度が500[ms]未満であるか否かを判定する判定式が設定されており、TSA(比較判定部22)は、TAから配信された時刻の精度が500[ms]未満であるか否かを判定し、その判定結果をポリシ情報テーブル30に出力する。
更に、ポリシ情報テーブル30では、何れの配信時刻の方が精度が高いか判定する判定式が設定されており、TSA(比較判定部22)は、その判定結果をポリシ情報テーブル30に出力する。
【0092】
次に、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、これをアクションテーブル31と対比する。
アクションテーブル31には、TAiとTAjの両方の配信時刻の精度が何れも500[ms]未満でない場合は動作をせず、少なくとも一方が500[ms]未満である場合、正確な方の配信時刻で時刻補正を行い、そしてタイムスタンプ発行機能の活性化期間を設定するように動作が規定されている。
【0093】
そこで、TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、両方の配信時刻の精度が500[ms]未満でない場合は(ステップ260;N)、動作をせず、時刻の補正を行わない。この場合、現在の活性期間が経過した後TSAはタイムスタンプ機能を停止する。
一方、少なくとも一方の配信時刻の精度が500[ms]未満である場合は(ステップ260;Y)、正確な方の配信時刻によって時計部24に時刻補正を補正し(ステップ265)、タイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
この例では、正確な方の配信時刻を選択する際に、その配信時刻の精度が500[ms]未満であることを確認している。
これにより、配信時刻の精度が500[ms]未満という条件を満たせないTAを除外した上で、より正確なTAからの配信時刻をもとに、TSAの時刻を補正することができる。
【0094】
図10のフローチャートの例は、TAiとTAjの双方に時刻監査を要求し、少なくとも一方の配信時刻の精度が500[ms]未満であった場合に、正確な方の配信時刻を用いて時刻補正を行うものである。
まず、TSAは、TAiとTAjの双方にトレ情報を要求する(ステップ270)。
TAiは、この要求を受けてTSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ105)。
TAjも、この要求を受けてTSAの時刻監査を行い、その結果を記したトレ情報をTSAに送信する(ステップ305)。
【0095】
TSA(トレ情報受信部21)は、これらのトレ情報を受信してトレ情報テーブル29に記憶する。
以下の動作は、図9の例と同じであるので省略する。
図9の例では、TAiから時刻監査を受けたことをトリガーとしてTAjに時刻監査を要求したが、図10の例では、TSAからTAi、及びTAjに時刻監査を要求している。
【0096】
以上、TSAがトレ情報に応じて行う動作例について説明したが、更に、次のような運営を行う例を採用することもできる。
例えば、TSAが、TA1、TA2、TA3から時刻配信を受けているとする。TSAがTA1に時刻監査を行ってもらったところ、TSAの時刻誤差が100[ms]であると監査された。TSAは、これに平行してTA2、TA3にも時刻監査を行ってもらったところ共に誤差が1000[ms]であると監査されたとする。
このように監査結果がTAによって大きく異なる場合、TSA又はTAの時刻に異常が発生していると考えられ、TSAはタイムスタンプ機能を停止する。
【0097】
以下、図11のフローチャートを用いてこのような動作の一例について説明する。
この例では、例えば、TA1−TSA間の誤差、TA2−TSA間の誤差、TA3−TSA間の誤差が何れも500[ms]未満の場合に、TSAは、時計部24に時刻補正、及びタイムスタンプ部25の活性化期間を有限値に設定する。
そして、少なくとも1つが500未満でない場合、タイムスタンプ部25の活性化期間を0に設定してタイムスタンプ発行機能を停止させる。
なお、フローチャートでは、TA1〜TA3は省略してある。
【0098】
まず、TSA(トレ情報受信部21)は、認証を終えた後、TA1から時刻監査を受けてトレ情報を受信する(ステップ275)。
TSA(トレ情報受信部21)は、TA1よりトレ情報を受信すると、認証を終えた後、TA2にトレ情報を要求して時刻監査を受け、TA2からトレ情報を受信してトレ情報テーブル29に記憶する(ステップ280)。
更に、TSA(トレ情報受信部21)は、TA3にトレ情報を要求して時刻監査を受け、TA3からトレ情報を受信してトレ情報テーブル29に記憶する(ステップ285)。
【0099】
次に、TSA(比較判定部22)は、TA1より受信したトレ情報を用いてTA1の時計装置と時計部24の時刻誤差を調べ、この誤差が500[ms]未満であるか否かを判断し、判断結果をポリシ情報テーブル30に記憶する。
同様に、TSA(比較判定部22)は、TA2、TA3から受信したトレ情報を用いて、TA2、TA3の時計装置と時計部24の時刻誤差を調べ、この誤差が500[ms]未満であるか否かを判断し、判断結果をポリシ情報テーブル30に記憶する。
【0100】
TSA(動作制御部23)は、ポリシ情報テーブル30を参照し、何れの時刻誤差も500[ms]未満であったか否か(即ち、TA1−TSA間の時刻誤差<500[ms]、かつ、TA2−TSA間の時刻誤差<500[ms]、かつ、NTA3−TSA間の時刻誤差<500[ms])を判断する(ステップ290)。
何れの時刻誤差も500[ms]未満であった場合(ステップ290;Y)、TSA(動作制御部23)は、時計部24に時刻補正を行わせ(ステップ220)、更にタイムスタンプ部25にタイムスタンプ発行機能の活性化期間を設定させる(ステップ225)。
一方、時刻誤差が500[ms]未満でないものが1つでもあった場合(ステップ290;N)、TSA(動作制御部23)は、時計部24に時刻補正を行わせた上で(ステップ220)、タイムスタンプ発行機能の活性化期間を0とし、タイムスタンプ部25のタイムスタンプ発行機能を停止させる(ステップ226)。
【0101】
この例では、TSAは、TA1〜TA3から時刻配信を受けるが、このように、複数のTAから時刻配信を受ける場合、どの時刻を用いて時刻補正を行うかは、サンプル(配信時刻)数、サンプル収集に要する時間によって様々な方法がある。例えば、ばらつきを除去するため、時刻誤差が最大および最小のものを除いた上で配信時刻の平均値を計算し、この平均値を用いて時計部24の補正を行うように構成することができる。
このように、この例では、複数の時刻配信サーバ(TA)から時刻情報を受信して記憶し、これら時刻情報のうち、時計部24が出力する時刻との誤差が所定値以上のものがあった場合にタイムスタンプの発行を停止するようになっている。
【0102】
以上の例では、TSAがトレ情報に応じて動作制御を行ったが、TAがNTAからのトレ情報に応じて動作制御するように構成することもできる。
例えば、新規にTAを設置した場合やTAの故障時に代替のTAを設置した場合、その直後は時計装置の時刻が安定しない場合がある。従来は、担当者がTAの動作状況を観察し、安定してきた際に手動で時刻配信を開始していた。
本実施の形態では、TAが複数台のNTAからの時刻監査を受け、一定数以上のNTAから(例えば、7台中5台)の時刻誤差が許容範囲となった場合に、時刻配信を自動的に開始するように構成する。
【0103】
より具体的には、TAは、NTA1〜NTA7に時刻監査を依頼し、これら7台のNTAのうち5台以上のNTAから誤差が500[ms]未満であるとの監査を受けた場合に、時刻配信を開始する。
時刻の補正は、これらNTAから配信された時刻のうち、最大および最小のものを除いて平均したものを用いるなど、各種ある。
【0104】
このように、TAに関しても、TSAと同様にNTAから配信される時刻の精度を評価して機能を制御するように構成することができる。
この場合のTAの構成は、TSAと同様に、トレ情報受信部21、比較判定部22、動作制御部23、トレ情報テーブル29、ポリシ情報テーブル30、アクションテーブル31、時計部24、通信制御部26を備え、更に時刻監査部12を備えたものとすることができる。
そして、ポリシ情報テーブル30にTAの動作が安定したか否かの判別式を設定しておき、アクションテーブル31にTAの動作が安定した際の動作(TSAの監査開始)と、TAの動作が安定していない場合の動作(NTAから時刻監査の継続)を設定しておけば、TAに上記のような判断と動作を行わせることができる。
【0105】
以下、TAがTSAと同様のこれら機能部を備えるものとし、図12のフローチャートを用いてTAの動作の一例について説明する。
まず、認証を終えた後、TA(トレ情報受信部21)は、NTA1〜NTA7の各NTAにトレ情報を要求して時刻監査を受け、これら各NTAからトレ情報を受信して記憶する(ステップ405)。
この際に、TAは、TSAと同様に、各NTAの配信時刻の精度を評価し、NTAの配信時刻の精度がTAのポリシに従わない場合は、そのNTAを対象から除外するなどの処理を行う。
次に、TA(比較判定部22)は、これらトレ情報を用いて各NTAの時計装置と自己の時計部24の時刻誤差を調べ、時刻誤差が500[ms]未満であるか否かを判定し、ポリシ情報テーブル30に出力する。
【0106】
次に、TA(動作制御部23)は、自己の時計部24との時刻誤差が500[ms]未満であるNTAが7台中5台以上あるか否か判断する。
そして、TA(動作制御部23)は、更に、TAの現在時刻が所定日時以降であるか否かを判断する。
この所定日時は、TAが安定するまでに最低限必要な時間を確保するために予め設定したものである。
【0107】
TA(動作制御部23)は、7台中5台以上のNTAとの時刻差が500[ms]未満であり、かつ、TAの現在時刻が所定日時以降である場合(ステップ410;Y)、時計部24に時刻補正を行わせ(ステップ415)、時刻監査部12に時刻配信機能の活性化期間を設定させる(ステップ420)。
また、NTAとの時刻誤差が500[ms]未満のNTAが7台中5台未満である場合、あるいは、7台中5台以上のNTAとの時刻誤差が500[ms]未満であるが、TAの現在時刻が所定日時以降でない場合(ステップ410;N)、NTA(動作制御部23)は、時計部24に時刻補正を行わせ(ステップ415)、その上で、時刻監査部12の活性化期間を0に設定し、時刻監査部12の時刻配信機能を停止させる(ステップ430)。
【0108】
この場合TAは、時刻配信サーバ(NTA)から時刻情報(トレ情報)を受信して記憶する時刻情報受信手段と、前記記憶した時刻情報の精度を取得して記憶する精度取得手段(精度評価機能部27)と、時刻を出力する時計装置(時計部24)と、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段(動作制御部23)と、前記補正した時計装置の出力を用いて時刻情報を配信する時刻情報配信手段(時刻監査部12)を具備した時計装置を構成している。
そして、この例のTAは、複数の時刻配信サーバ(NTA)から時刻情報を受信して記憶し、これら時刻情報のうち、時計部24が出力する時刻との誤差が所定値未満となるものが所定値以上ある場合に、時刻配信を開始するようになっている。
また、TAにタイムスタンプ部25を設けて、時刻の配信とタイムスタンプの発行の双方を行えるように構成することもできる。
【0109】
図13は、TSAのハードウェア的な構成の一例を示した図である。
図に示したように、TSAは、CPU(Central Processing Unit)51、ROM(Read Only Memory)52、RAM(Random Access Memory)53、表示部54、入力部55、記憶部56、入出力I/F(インターフェース)57、通信制御部26、ハードウェアセキュリティ部59などから構成されている。
【0110】
CPU51は、ROM52、RAM53、及び記憶部56などに記憶されているプログラム従って各種の演算を行うと共に、TSA各部の制御を行う。
ROM52は、読取専用の記憶デバイスであり、TSAを動作させるための基本的なプログラムやパラメータなどが記憶されている。
RAM53は、読み書き可能な記憶デバイスであり、CPU51がTAやクライアント端末などと通信して情報処理を行う際のワーキングエリアが確保可能となっている。
【0111】
表示部54は、例えば、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイあるいはプラズマディスプレイなどの表示装置で構成されており、例えば、作業者がTSAのメンテナンス作業を行ったりする際に各種情報を表示する。
入力部55は、キーボードやマウスなどの入力デバイスを備えており、例えば、作業者がTSAのメンテナンス作業を行ったりする際にTSAを操作するのに用いる。
また、表示部54には、TSAのポリシを編集する編集画面を表示することができ、作業者が入力部55を操作することにより、ポリシ情報テーブル30の判定式などを編集することができる。これによって、例えば、時刻の精度に関するポリシを500[ms]から400[ms]に変更することができる。
【0112】
記憶部56は、例えば、ハードディスク装置などの大容量の記憶装置により構成されており、TSAをタイムスタンプサーバとして動作させるためのプログラムやOS(Operating System)などの各種プログラムや、ログデータなどの各種データ類が記憶されている。
【0113】
入出力I/F57は、例えば、外部の記憶装置やその他の周辺機器などと接続するためのインターフェースである。
通信制御部26は、TSAとネットワークを接続する機能部であり、TSAをTAやクライアント端末などと接続する。
【0114】
ハードウェアセキュリティ部59は、外部から内部の解析が困難に構成されたハードウェイセキュリティモジュールであり、内部にCPU60、ROM61、RAM62、EEPROM(Electrically Erasable and Programmable ROM)63、内部クロック64などが形成されている。EEPROM63は、他の不揮発性メモリでも代用可能である。
TSAの機能は、標準的な情報処理装置のハードウェア構成でも実現可能であるが、タイムスタンプの発行、時計部24の時刻補正など、タイムスタンプを発行するための機能をハードウェアセキュリティ部59に封じ、外部からの解析や改竄を困難、とすることで、より高いセキュリティを実現することができる。
【0115】
CPU60は、ROM61、RAM62、EEPROM63に記憶されているプログラムに従って動作し、クライアント端末から送信されてきたハッシュ値にタイムスタンプを発行したり、TAなどから時刻監査を受けて、配信された時刻により時計部24を補正したり、CPU51と通信してCPU51と協働して動作したりする。
ROM61には、ハードウェアセキュリティ部59を動作させるための基本的なプログラムやパラメータが記憶されている。
RAM62は、CPU60がタイムスタンプを発行したり時刻補正したりする際のワーキングエリアを提供する。
内部クロック64は、タイムスタンプを発行するための時計装置であって、時刻補正の際には内部クロック64の時刻を補正する方法の他に、内部クロック64を利用したソフトウェアクロックを補正する方法がある。この場合、タイムスタンプに利用される時計は、ソフトウェアクロックとなる。
【0116】
EEPROM63には、CPU60がタイムスタンプを発行したり、時刻を補正したり、あるいはその他のプログラムが記憶されているほか、認証情報テーブル28、トレ情報テーブル29、ポリシ情報テーブル30、アクションテーブル31およびタイムスタンプの発行や時刻の補正の際に利用される情報(シリアル番号や、前回発行したタイムスタンプの情報、前回受信した時刻監査証明書の情報)、などの各種データが記憶されている。
EEPROM63に記憶されているプログラムをCPU60で実行することにより認証部20、トレ情報受信部21、比較判定部22、動作制御部23、時計部24、タイムスタンプ部25などの各機能部が構成される。なお、時計部24は、内部クロック64とプログラムによって実現する時計制御機能によって構成される。より詳細には、この時計制御機能は、内部クロック64の時刻を読み取ったり、動作制御部23の指示によってこれを補正したりする。
【0117】
以上、TSAのハードウェア的な構成について説明したが、TA、NTAのハードウェア的な構成も基本的なTSAと同じである。その他の形態として、TAの場合は、時刻を高精度で維持することが求められるため、ハードウェアセキュリティモジュール内の時計ではなく、原子時計やGPS(Global Positioning System)などを利用する、精度の高い時計装置を利用する。
【0118】
以上に説明したTSAを用いることにより次のような効果を得ることができる。
(1)TAから配信される時刻のUTCに対する精度を評価することができ、評価に応じた動作制御を行うことができる。
(2)NTAからTSAに至るまで、基準時刻が伝達される伝達経路を特定することができる。
(3)基準時刻の伝達経路を用いて配信時刻のUTCに対する精度を評価することができる。
(4)精度などのポリシに適合するTAを探索することができる。
(5)ある経路から得られたデータ(トレ情報)と、自身に設定されたポリシ情報を比較し、その比較結果に応じて自身の状態更新・機能制御もしくはデータの信頼性確認を行うことができる。
【図面の簡単な説明】
【0119】
【図1】本実施の形態に係るタイムスタンプシステムのシステム構成の一例を示した図である。
【図2】トレ情報の構成について説明するための図である。
【図3】本実施の形態に係るTAとTSAの機能を説明するための機能ブロック図である。
【図4】各種テーブルの論理的な構成を説明するための図である。
【図5】TSAの基本動作を説明するためのフローチャートである。
【図6】TSAの動作例を説明するためのフローチャートである。
【図7】TSAの動作例を説明するためのフローチャートである。
【図8】TSAの動作例を説明するためのフローチャートである。
【図9】TSAの動作例を説明するためのフローチャートである。
【図10】TSAの動作例を説明するためのフローチャートである。
【図11】TSAの動作例を説明するためのフローチャートである。
【図12】TAの動作例を説明するためのフローチャートである。
【図13】TSAのハードウェア的な構成の一例を示した図である。
【図14】従来のタイムスタンプシステムのネットワーク構成の一部を示したネットワーク図である。
【符号の説明】
【0120】
10 認証部
11 トレ情報送信部
12 時刻監査部
20 認証部
21 トレ情報受信部
22 比較判定部
23 動作制御部
24 時計部
25 タイムスタンプ部
26 通信制御部
27 精度評価機能部
28 認証情報テーブル
29 トレ情報テーブル
30 ポリシ情報テーブル
31 アクションテーブル
【特許請求の範囲】
【請求項1】
伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信手段と、
前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得手段と、
前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択手段と、
前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作手段と、
を具備したことを特徴とする情報処理装置。
【請求項2】
前記伝達情報は、時刻情報であり、
前記属性情報の属性値は、前記時刻情報の精度であることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記伝達情報を送信するサーバ装置を認証する認証手段を具備し、前記伝達情報受信手段は、前記サーバ装置が認証された場合に伝達情報を受信することを特徴とする請求項1、又は請求項2に記載の情報処理装置。
【請求項4】
時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、
前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、
時刻を出力する時計装置と、
前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段と、
を具備したことを特徴とする時刻情報処理装置。
【請求項5】
前記補正した時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段を具備したことを特徴とする請求項4に記載の時刻情報処理装置。
【請求項6】
前記記憶した精度が所定の条件を満たさなかった場合、前記タイムスタンプ発行手段を停止することを特徴とする請求項5に記載の時刻情報処理装置。
【請求項7】
前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記タイムスタンプ発行手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値以上のものがあった場合にタイムスタンプの発行を停止することを特徴とする請求項5、又は請求項6に記載の時刻情報処理装置。
【請求項8】
前記補正した時計装置の出力を用いて時刻情報を配信する時刻情報配信手段を具備したことを特徴とする請求項4から請求項7までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項9】
前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記時刻情報配信手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値未満となるものが所定値以上ある場合に、時刻配信を開始することを特徴とする請求項8に記載の時刻情報処理装置。
【請求項10】
時刻情報を配信する配信先を認証する配信先認証手段を具備し、前記時刻情報配信手段は、前記配信先認証手段で配信先が認証された場合に時刻情報を配信することを特徴とする請求項8、又は請求項9に記載の時刻情報処理装置。
【請求項11】
前記所定の条件は、前記記憶した精度が、所定の精度を満たすか否かであることを特徴とする請求項4から請求項10までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項12】
前記記憶した精度が所定の条件を満たさなかった場合、他の時刻配信サーバに時刻情報を要求することを特徴とする請求項4から請求項11までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項13】
前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、
前記所定の条件は、前記記憶した時刻情報のうち最も精度のよいものを選択することであり、前記時計装置補正手段は前記選択した時刻情報を用いて前記時計装置を補正することを特徴とする請求項4から請求項10までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項14】
前記時計装置の補正に使用した時刻情報を配信した時刻配信サーバの優先順位を設定することを特徴とする請求項4から請求項13までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項15】
前記時刻情報の精度は、前記時刻配信サーバが時刻を同期させる基準時刻を配信する基準時刻サーバから前記時刻配信サーバまでの基準時刻の伝達経路に依存し、
前記受信した前記基準時刻の伝達経路を特定する伝達経路特定情報を受信して記憶する伝達経路特定情報受信手段を具備し、
前記精度取得手段は、前記記憶した伝達経路特定情報を用いて精度を取得することを特徴とする請求項4から請求項14までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項16】
前記精度取得手段は、前記記憶した伝達経路特定情報で特定される伝達経路上に存在する各サーバ装置から各サーバ装置で規定される時刻の精度を取得し、前記取得した精度から前記時刻情報の精度を取得することを特徴とする請求項15に記載の時刻情報処理装置。
【請求項17】
前記各サーバ装置から時刻の精度を取得するに際して、前記各サーバ装置を認証することを特徴とする請求項16に記載の時刻情報処理装置。
【請求項18】
時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、
前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、
時刻を出力する時計装置と、
前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、
サーバ装置に優先順位を設定する優先順位設定手段と、
を具備し、
前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行うことを特徴とする時刻情報処理装置。
【請求項19】
時刻配信サーバを認証する時刻配信サーバ認証手段を具備し、前記時刻情報受信手段は、前記時刻配信サーバが認証された場合に時刻情報を受信することを特徴とする請求項4から請求項18までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項20】
伝達情報受信手段と、属性取得手段と、動作機能部選択手段と、動作手段と、を備えたコンピュータにおいて、
前記伝達情報受信手段が、伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信ステップと、
前記属性取得手段が、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得ステップと、
前記動作機能部選択手段が、前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択ステップと、
前記動作手段が、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作ステップと、
から構成されたことを特徴とする情報処理方法。
【請求項21】
時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、時計装置補正手段と、を備えたコンピュータにおいて、
前記時刻情報受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、
前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、
前記時計装置補正手段が、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正ステップと、
から構成されたことを特徴とする時刻情報処理方法。
【請求項22】
時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、 前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、サーバ装置の優先順位を設定する優先順位設定手段と、を備えたコンピュータにおいて、
前記時刻受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、
前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、
を備え、
前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行う選択実行ステップと、
から構成されたことを特徴とする情報処理方法。
【請求項1】
伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信手段と、
前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得手段と、
前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択手段と、
前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作手段と、
を具備したことを特徴とする情報処理装置。
【請求項2】
前記伝達情報は、時刻情報であり、
前記属性情報の属性値は、前記時刻情報の精度であることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記伝達情報を送信するサーバ装置を認証する認証手段を具備し、前記伝達情報受信手段は、前記サーバ装置が認証された場合に伝達情報を受信することを特徴とする請求項1、又は請求項2に記載の情報処理装置。
【請求項4】
時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、
前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、
時刻を出力する時計装置と、
前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正手段と、
を具備したことを特徴とする時刻情報処理装置。
【請求項5】
前記補正した時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段を具備したことを特徴とする請求項4に記載の時刻情報処理装置。
【請求項6】
前記記憶した精度が所定の条件を満たさなかった場合、前記タイムスタンプ発行手段を停止することを特徴とする請求項5に記載の時刻情報処理装置。
【請求項7】
前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記タイムスタンプ発行手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値以上のものがあった場合にタイムスタンプの発行を停止することを特徴とする請求項5、又は請求項6に記載の時刻情報処理装置。
【請求項8】
前記補正した時計装置の出力を用いて時刻情報を配信する時刻情報配信手段を具備したことを特徴とする請求項4から請求項7までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項9】
前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、前記時刻情報配信手段は、前記記憶した時刻情報のうち、前記時計装置が出力する時刻との誤差が所定値未満となるものが所定値以上ある場合に、時刻配信を開始することを特徴とする請求項8に記載の時刻情報処理装置。
【請求項10】
時刻情報を配信する配信先を認証する配信先認証手段を具備し、前記時刻情報配信手段は、前記配信先認証手段で配信先が認証された場合に時刻情報を配信することを特徴とする請求項8、又は請求項9に記載の時刻情報処理装置。
【請求項11】
前記所定の条件は、前記記憶した精度が、所定の精度を満たすか否かであることを特徴とする請求項4から請求項10までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項12】
前記記憶した精度が所定の条件を満たさなかった場合、他の時刻配信サーバに時刻情報を要求することを特徴とする請求項4から請求項11までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項13】
前記時刻情報受信手段は、複数の時刻配信サーバから時刻情報を受信して記憶し、
前記所定の条件は、前記記憶した時刻情報のうち最も精度のよいものを選択することであり、前記時計装置補正手段は前記選択した時刻情報を用いて前記時計装置を補正することを特徴とする請求項4から請求項10までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項14】
前記時計装置の補正に使用した時刻情報を配信した時刻配信サーバの優先順位を設定することを特徴とする請求項4から請求項13までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項15】
前記時刻情報の精度は、前記時刻配信サーバが時刻を同期させる基準時刻を配信する基準時刻サーバから前記時刻配信サーバまでの基準時刻の伝達経路に依存し、
前記受信した前記基準時刻の伝達経路を特定する伝達経路特定情報を受信して記憶する伝達経路特定情報受信手段を具備し、
前記精度取得手段は、前記記憶した伝達経路特定情報を用いて精度を取得することを特徴とする請求項4から請求項14までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項16】
前記精度取得手段は、前記記憶した伝達経路特定情報で特定される伝達経路上に存在する各サーバ装置から各サーバ装置で規定される時刻の精度を取得し、前記取得した精度から前記時刻情報の精度を取得することを特徴とする請求項15に記載の時刻情報処理装置。
【請求項17】
前記各サーバ装置から時刻の精度を取得するに際して、前記各サーバ装置を認証することを特徴とする請求項16に記載の時刻情報処理装置。
【請求項18】
時刻配信サーバから時刻情報を受信して記憶する時刻情報受信手段と、
前記記憶した時刻情報の精度を取得して記憶する精度取得手段と、
時刻を出力する時計装置と、
前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、
サーバ装置に優先順位を設定する優先順位設定手段と、
を具備し、
前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行うことを特徴とする時刻情報処理装置。
【請求項19】
時刻配信サーバを認証する時刻配信サーバ認証手段を具備し、前記時刻情報受信手段は、前記時刻配信サーバが認証された場合に時刻情報を受信することを特徴とする請求項4から請求項18までのうちの何れか1の請求項に記載の時刻情報処理装置。
【請求項20】
伝達情報受信手段と、属性取得手段と、動作機能部選択手段と、動作手段と、を備えたコンピュータにおいて、
前記伝達情報受信手段が、伝達経路によって属性値が定まる伝達情報を受信して記憶装置に記憶する伝達情報受信ステップと、
前記属性取得手段が、前記受信した伝達情報の属性値を取得して記憶装置に記憶する属性取得ステップと、
前記動作機能部選択手段が、前記記憶した属性値を所定の基準値と比較し、比較結果により所定の動作を行う動作機能部を選択する動作機能部選択ステップと、
前記動作手段が、前記記憶した伝達情報を用いて前記選択した動作機能部を機能させる動作ステップと、
から構成されたことを特徴とする情報処理方法。
【請求項21】
時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、時計装置補正手段と、を備えたコンピュータにおいて、
前記時刻情報受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、
前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、
前記時計装置補正手段が、前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いて前記時計装置の時刻を補正する時計装置補正ステップと、
から構成されたことを特徴とする時刻情報処理方法。
【請求項22】
時刻情報受信手段と、精度取得手段と、時刻を出力する時計装置と、 前記時計装置を用いてタイムスタンプを発行するタイムスタンプ発行手段と、サーバ装置の優先順位を設定する優先順位設定手段と、を備えたコンピュータにおいて、
前記時刻受信手段が、時刻配信サーバから時刻情報を受信して記憶する時刻情報受信ステップと、
前記精度取得手段が、前記記憶した時刻情報の精度を取得して記憶する精度取得ステップと、
を備え、
前記記憶した精度が所定の条件を満たす場合に、前記記憶した時刻情報を用いた前記時計装置の時刻を補正、前記タイムスタンプ発行手段によるタイムスタンプの発行の設定、又は前記優先順位設定手段による前記情報配信サーバの優先順位の設定、のうち、少なくとも1つを選択して行う選択実行ステップと、
から構成されたことを特徴とする情報処理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2007−72585(P2007−72585A)
【公開日】平成19年3月22日(2007.3.22)
【国際特許分類】
【出願番号】特願2005−256579(P2005−256579)
【出願日】平成17年9月5日(2005.9.5)
【出願人】(000002325)セイコーインスツル株式会社 (3,629)
【Fターム(参考)】
【公開日】平成19年3月22日(2007.3.22)
【国際特許分類】
【出願日】平成17年9月5日(2005.9.5)
【出願人】(000002325)セイコーインスツル株式会社 (3,629)
【Fターム(参考)】
[ Back to top ]