時刻保証装置およびプログラム
【課題】サーバで電子署名を付与することなく、ローカルで電子署名を付与してもデータ
の証拠性を高めたい。
【解決手段】利用者端末でデータを生成した時刻を証明する場合において、利用者端末の
所有者が操作不能な時刻管理部と、前記時刻管理部へ時刻情報を配信する時刻情報配信部
と、前記時刻情報管理部から提供される時刻情報と前記生成したデータとに基づいて、時
刻情報を証明する時刻証明データを生成する時刻証明データ生成部とを備える。
の証拠性を高めたい。
【解決手段】利用者端末でデータを生成した時刻を証明する場合において、利用者端末の
所有者が操作不能な時刻管理部と、前記時刻管理部へ時刻情報を配信する時刻情報配信部
と、前記時刻情報管理部から提供される時刻情報と前記生成したデータとに基づいて、時
刻情報を証明する時刻証明データを生成する時刻証明データ生成部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データが作成された時刻を保証するサービスを提供する時刻保証装置およびプ
ログラムに関する。
【背景技術】
【0002】
デジタルカメラ、およびデジタルカメラ機能が搭載された携帯電話は、撮影したデジタル
画像の加工が容易なことから、急速に普及した。その一方で、裁判や保険などの証拠のた
めに用いられる写真としては、フィルムを用いたカメラで撮影された写真が用いられる。
【0003】
これは静止画像だけでなく、デジタル撮影した映像でも同様な傾向にあり、監視カメラで
撮影されディジタル記録された映像は証拠能力が低い、という見解が多数を占める。
【0004】
こうしたデジタルデータの証拠能力を高めるために、データに電子署名を付与しておく方
法がある。
【0005】
また、耐タンパ装置にて時計が管理されており、その情報や所有者情報などのハッシュ値
を計算して、タイムスタンプサーバへ送信する仕組みの技術も提案されている(例えば、
特許文献1参照)。
【特許文献1】特開2002−215029号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
単にデジタルデータに電子署名を付与する場合、保証されることは電子署名を付与した時
刻や、その時点からデジタルデータが改竄されていないこと、の2点である。
【0007】
特に、電子署名が付与された時刻を保証するためには、ローカルな環境で電子署名を付与
することは困難であった。それは、ローカル環境ではデジタルデータに対して、どのよう
な操作が行われたか確認することが難しいからである。例えば、撮影した画像に何らかの
修正を加え、それに対して電子署名を付与してからサーバへ保管したかもしれない。
【0008】
このため、多くのサービスはサーバへデータを送信し、サーバで電子署名を付与して管理
する方法が採られている。
【課題を解決するための手段】
【0009】
本発明では、サーバで電子署名を付与することなく、ローカルで電子署名を付与してもデ
ータの証拠性を高めることを可能とする。そのための構成として、本発明は、利用者端末
でデータを生成した時刻を証明する場合において、利用者端末の所有者が操作不能な時刻
管理部と、前記時刻管理部へ時刻情報を配信する時刻情報配信部と、前記時刻情報管理部
から提供される時刻情報と前記生成したデータとに基づいて、時刻情報を証明する時刻証
明データを生成する時刻証明データ生成部とを備えることを特徴とする。
【0010】
また、本発明は、利用者端末であるコンピュータにて、当該コンピュータで生成されたデ
ータの生成時刻を証明する場合において、当該コンピュータである利用者端末の所有者が
操作不能な時刻管理機能と、前記時刻管理機能へ時刻情報を配信する時刻情報配信機能と
、前記時刻情報管理機能から提供される時刻情報と前記生成したデータとに基づいて、時
刻情報を証明する時刻証明データを生成する時刻証明データ生成機能とを備えることを特
徴とする。
【発明の効果】
【0011】
ローカル環境で電子署名を付与するため、作成したデジタルデータに対して毎回サーバへ
アクセスしてファイルを送る必要がなくなり、バッチ処理でサーバへ送ればよくなる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の各実施形態について図面を用いて説明する。
【0013】
図1は、既存の代表的な構成を示した図である。
【0014】
多くのシステムでは、利用者端末200で作成されたデータの時刻を保証する為に、ネット
ワーク400を介してデータ管理サーバ100へ送信する。データ管理サーバ100では、受信し
たデータに対して、例えば受信した時刻のタイムスタンプを付与し、データ管理サーバ10
0の電子署名を生成する。この電子署名により、データを受信した時点から改竄されてい
ないことや、受信した時刻を保証することができる。電子署名が付与されたデータは、電
子署名と共に記憶装置300にて格納され管理される。
【0015】
図2は、本発明の構成について、その概要を示した図である。
【0016】
本発明では、利用者端末200はネットワーク400にて、利用者端末200へ正確な時刻配信を
行う時刻管理サーバ500とデータ管理サーバ100とネットワーク接続されている。データ管
理サーバは、図1と同様に受信したデータを格納・管理するための記憶装置300が接続され
ている。
【0017】
時刻管理サーバ500は、ネットワーク400により、正確な時刻を配信する時刻配信サーバ60
0と接続されている。
【0018】
ここで、時刻管理サーバ500と時刻配信サーバ600とは、例えば公開鍵暗号を用いたクライ
アント/サーバ認証により、正しいサーバであることを確認してから時刻配信を行うこと
が望ましい。それは、偽の時刻配信サーバからの時刻だと、時刻管理サーバ500は正しい
時刻を管理できないからである。
【0019】
さらに配信される時刻は、平文のデータよりは時刻データが時刻配信サーバから配信され
たデータであることを示す認証子が付与されていることが望ましい。例えば、配信する時
刻データに時刻配信サーバの電子署名が付与されて配信する方法がある。この場合、時刻
管理サーバ500は、受信する全ての時刻データに関して、時刻配信サーバ600の電子署名を
検証する必要はなく、受信する最初のデータに対してのみ行えばよい。何故なら、最初の
データからは、毎秒連続してデータが送られてくるため、誤ったデータが送られれば何ら
かの事故や攻撃が発生したと考えられるからである。
【0020】
図3は、本発明の第1の実施形態を示した図である。
【0021】
なお、本明細書で示す実施形態について、時刻管理サーバならびに時刻配信サーバ、デー
タ管理サーバは、みな同様の仕組みを持っているものとする。
【0022】
利用者端末200は、ネットワーク400によりネットワーク接続され、時刻管理サーバ500と
データ管理サーバ100と接続されている。そして、通信I/F部208によりネットワーク通信
を行う。
【0023】
利用者端末200は、大きく耐タンパ装置201、データ生成部206、通信I/F部208から構成さ
れる。耐タンパ装置201には、内部時計管理部202と内部時計部203がある。この内部時計
部203の時刻は、利用者端末200の所有者が勝手に操作できないものとする。また、署名鍵
管理部204と署名鍵205を持つ。この署名鍵205も、内部時計部203と同様に、利用者端末20
0の所有者が勝手にデータを操作できないものとする。そして、時刻証明生成部207から構
成されている。
【0024】
データ生成部206は、例えばパーソナルコンピュータで用いられるワードプロセッサアプ
リケーションや、図形描画アプリケーションなどの各種アプリケーションである。
【0025】
本発明では、そのアプリケーションで生成されたデータの時刻を保証することを目的とし
ている。
【0026】
図4を用いて、本発明の第1の実施形態の処理フローを説明する。なお、図4では、利用者
端末200と耐タンパ装置201を区別して記述している。通常、耐タンパ装置201は利用者端
末200に内蔵されているものとする。
【0027】
本実施形態を説明しやすくするため、例えば保険会社の外務員が利用者端末を所有し、そ
の利用者端末を使って社外で客先にて契約などの作業を行う場合を考える。従って、時刻
管理サーバやデータ管理サーバは、保険会社が管理しているサーバとする。時刻配信サー
バは、第三者により運営されているものとする。
【0028】
まず、時刻配信サーバから時刻管理サーバへ時刻データの配信が行われる。これにより、
時刻管理サーバの時刻が正確に保たれるものとする。なお、前述した通り、時刻配信サー
バと時刻管理サーバとは、互いに正しいサーバである認証を行うことが望ましく、さらに
配信される時刻が改竄されていないことを証明するため、時刻配信サーバの電子署名が付
与されていることが望ましい。
【0029】
利用者端末を所有する外務員は、勤務を始める前に時刻管理サーバとネットワーク接続し
、認証要求を時刻管理サーバへ送信する。時刻管理サーバは、利用者端末からの認証要求
を受け取ると、その利用者端末が管理されている利用者端末かどうかクライアント/サー
バ認証をする。これには、例えばSSLのクライアント/サーバ認証を使う方法がある。こ
れにより、以後の利用者端末と時刻管理サーバとの通信が秘匿されるので、セキュリティ
が増す。
【0030】
クライアント/サーバ認証が行われ、正しい利用者端末、時刻管理サーバであることが確
認されると、時刻管理サーバは時刻補正要求を利用者端末を通じて耐タンパ装置へ送る。
図3における内部時計部203は内部時計管理部202により時刻管理されているが、時刻管理
サーバから送られる時刻補正要求のみを受け付けるようにアクセス制御される。このため
、利用者端末の所有者である外務員であっても、内部時計部203の時刻を変えることはで
きない。
【0031】
時刻管理サーバからの時刻補正要求を受けた耐タンパ装置は時刻補正を行い、時刻補正が
完了したことを示す補正完了通知を時刻管理サーバへ返す。
【0032】
時刻管理サーバは、補正完了通知を受け取ると、利用者端末へ時刻の補正が完了したこと
を示す補正完了通知を送る。
【0033】
利用者端末は、補正完了通知を受け取ると、利用者端末の画面上に時刻補正が完了した旨
を表示し外務員に通知する。外務員は、時刻補正が完了すると利用者端末を持って勤務を
始める。
【0034】
客先へ出向いた外務員は、そこでデータ生成、例えば契約書などの書類を作成する。デー
タ生成が終わると、そのデータのハッシュ値を利用者端末にて演算する。演算したハッシ
ュ値は、耐タンパ装置へ送られる。
【0035】
耐タンパ装置では、送られたハッシュ値と内部時計の時刻データに対して、署名鍵を用い
て電子署名を生成し、電子署名を生成した時刻データ、電子署名を時刻証明データとして
利用者端末へ送る。
【0036】
利用者端末は、時刻証明データを受け取ると、生成したデータ、演算したハッシュ値、受
け取った時刻証明データを、保険会社のデータ管理サーバへ送信する。
【0037】
データ管理サーバでは、送られた時刻証明データの電子署名を検証し、データや時刻の改
竄がないことを検証する。そして検証結果が真であれば、格納し保存する。
【0038】
次に図5乃至図8を用いて、第2の実施形態について説明する。
【0039】
第2の実施形態についても、構成は図2と同様であるとする。
【0040】
図5は、第2の実施形態における利用者端末内の構成とネットワーク構成を示した図である
。なお、第1の実施形態ではパーソナルコンピュータなど比較的大きな端末を想定してい
た。第2の実施形態では、利用者端末は携帯電話のような小型の通信端末を想定する。
【0041】
携帯電話である利用者端末200には、内部時計管理部202と内部時計部203を有し、通信I/F
部208にて外部と通話したりデータを送信したりする。
【0042】
耐タンパ装置201には、署名鍵管理部204、署名鍵205と、時刻証明生成部207を持つ。デー
タ生成部206は、携帯電話である利用者端末200で用いられるアプリケーションである。
【0043】
この耐タンパ装置201は、例えば携帯電話に装着されるICカードであってもよい。
【0044】
利用者端末200は、ネットワーク400により基地局600、データ管理サーバ100と接続されて
いるものとする。
【0045】
図6乃至図8は、第2の実施形態の処理フローを示したものである。
【0046】
図6は携帯電話へアプリケーションをダウンロードする処理の流れを示したものである。
このアプリケーションは、携帯電話に装着されたICカードと連携して携帯電話内で動作す
るもので、携帯電話で作成されたデータの時刻証明を行うものである。
【0047】
利用者携帯電話からアプリケーション管理サーバへ、アプリケーション要求が送られる。
アプリケーション管理サーバは、アプリケーション要求を受け取ると携帯電話アプリケー
ションを携帯電話へ送る。携帯電話アプリケーションを受け取った利用者携帯電話は、携
帯電話アプリケーションを携帯電話にインストールして本フローを終了する。
【0048】
図7は、携帯電話アプリケーションがインストールされた携帯電話を用いて、携帯電話で
生成したデータに時刻証明を行う処理の流れを示した図である。
【0049】
携帯電話は電源が入っている状態では、最寄りの基地局と定期的に通信を行い時刻の補正
が可能な端末がある。例えば、CDMA方式を用いるau端末では、音声・データのデコードを
行うために基地局に備えられたGPS衛星を利用して常に正確な時刻を保持している。au携
帯電話では時刻補正を自動で行うようにしておくことで、通話などを行えばそのたびに時
計が自動的に補正される。さらに、携帯電話所有者は操作できない内部システム時計と携
帯電話所有者が操作できる時計の二つを持っている。従って、この内部のシステム時計を
用いれば、携帯電話の所有者であっても時刻を操作できず、かつ携帯電話を操作するため
には電源を入れなければならないので、電源を入れた時点で基地局からのGPS情報により
時刻補正が自動的に行われる。
【0050】
このため、利用者携帯電話は基地局から時刻配信を受け、時刻補正が行われる。
【0051】
携帯電話利用者は、携帯電話を操作してデータ生成を行う。例えば、携帯電話のカメラ機
能を用いて写真を撮影し、その時刻を証明することを考える。
【0052】
携帯電話利用者は、携帯電話のカメラ機能を用いて写真を撮影する。そして撮影した画像
データを図6でインストールした携帯電話アプリケーションへ送り、ハッシュ値を演算す
る。演算されたハッシュ値と内部システム時計の時刻データ、および携帯電話に装着され
たICカードに格納された署名鍵を用いて、時刻証明データを生成する。すなわち、ハッシ
ュ値および内部システム時計の時刻データをICカードに送り、ICカード内の時刻証明生成
部にて電子署名を生成し、携帯電話アプリケーションへ返す。
【0053】
時刻証明データが生成されたら、撮影した画像データと時刻証明データとをデータ管理サ
ーバへ、電子メール機能などを用いて送信する。
【0054】
時刻証明データとデータとを受信したデータ管理サーバは、電子署名の検証を行い、検証
結果が真であれば格納保存する。
【0055】
図8は携帯電話に装着されたICカードの公開鍵を更新する処理の流れを示した図である。
【0056】
携帯電話内の公開鍵証明書の期限が迫ってきたら、携帯電話利用者は、携帯電話からかぎ
管理サーバへアクセスし、鍵更新要求を出す。この鍵更新要求には、携帯電話のICカード
に格納されている公開鍵証明書が含まれている。
【0057】
鍵管理サーバでは、公開鍵証明書の正当性と有効期限を検証する。検証結果が真であるな
らば、鍵の無効化処理を行う。そして鍵ペアの生成を行い、公開鍵証明書を生成し公開鍵
証明書と秘密鍵を利用者携帯電話へ送信する。
【0058】
公開鍵証明書と秘密鍵を受け取った利用者携帯電話は、装着されたICカードへ公開鍵証明
書と秘密鍵を格納保存して、鍵更新が終了する。
【0059】
なお、上述の処理では、鍵管理サーバで鍵ペアを生成した。しかし、いくら信頼できると
はいえ、秘密鍵が外部で生成されることは好ましくない。
【0060】
そこで、第2の鍵更新の方法として、利用者携帯電話で鍵ペアを生成し、新たに生成され
た公開鍵と、ICカードに格納されていた公開鍵証明書とを鍵更新要求と共に送る方法があ
る。
【0061】
この方法の方が、秘密鍵の漏洩が少なく安全性が高い。なお、より安全にするには、鍵ペ
アの生成をICカードなどの耐タンパ装置で行うことが望ましい。
【0062】
なお、第2の実施形態では携帯電話のカメラ機能を使って画像を撮影した時刻を証明する
例を示したが、Internetと接続してネット通信販売により商品を注文したり、コンテンツ
を購入したりした時刻を証明することにも利用できる。
【図面の簡単な説明】
【0063】
【図1】既存のシステム構成を示した図である。
【図2】本発明のシステム構成を示した図である。
【図3】本発明の第1の実施形態の構成を示した図である。
【図4】本発明の第1の実施形態の処理の流れを示した図である。
【図5】本発明の第2の実施形態の構成を示した図である。
【図6】本発明の第2の実施形態のアプリケーションダウンロード処理の流れを示した図である。
【図7】本発明の第2の実施形態の時刻証明処理の流れを示した図である。
【図8】本発明の第2の実施形態の鍵更新処理の流れを示した図である。
【符号の説明】
【0064】
100…データ管理サーバ、200…利用者端末、300…記憶装置、400…ネットワ
ーク、500…時刻管理サーバ、600…時刻配信サーバ、201…耐タンパ装置、20
2…内部時計管理部、203…内部時計部、204…署名鍵管理部、205…署名鍵、2
06…データ作成部、207…時刻証明生成部、208…通信I/F部
【技術分野】
【0001】
本発明は、データが作成された時刻を保証するサービスを提供する時刻保証装置およびプ
ログラムに関する。
【背景技術】
【0002】
デジタルカメラ、およびデジタルカメラ機能が搭載された携帯電話は、撮影したデジタル
画像の加工が容易なことから、急速に普及した。その一方で、裁判や保険などの証拠のた
めに用いられる写真としては、フィルムを用いたカメラで撮影された写真が用いられる。
【0003】
これは静止画像だけでなく、デジタル撮影した映像でも同様な傾向にあり、監視カメラで
撮影されディジタル記録された映像は証拠能力が低い、という見解が多数を占める。
【0004】
こうしたデジタルデータの証拠能力を高めるために、データに電子署名を付与しておく方
法がある。
【0005】
また、耐タンパ装置にて時計が管理されており、その情報や所有者情報などのハッシュ値
を計算して、タイムスタンプサーバへ送信する仕組みの技術も提案されている(例えば、
特許文献1参照)。
【特許文献1】特開2002−215029号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
単にデジタルデータに電子署名を付与する場合、保証されることは電子署名を付与した時
刻や、その時点からデジタルデータが改竄されていないこと、の2点である。
【0007】
特に、電子署名が付与された時刻を保証するためには、ローカルな環境で電子署名を付与
することは困難であった。それは、ローカル環境ではデジタルデータに対して、どのよう
な操作が行われたか確認することが難しいからである。例えば、撮影した画像に何らかの
修正を加え、それに対して電子署名を付与してからサーバへ保管したかもしれない。
【0008】
このため、多くのサービスはサーバへデータを送信し、サーバで電子署名を付与して管理
する方法が採られている。
【課題を解決するための手段】
【0009】
本発明では、サーバで電子署名を付与することなく、ローカルで電子署名を付与してもデ
ータの証拠性を高めることを可能とする。そのための構成として、本発明は、利用者端末
でデータを生成した時刻を証明する場合において、利用者端末の所有者が操作不能な時刻
管理部と、前記時刻管理部へ時刻情報を配信する時刻情報配信部と、前記時刻情報管理部
から提供される時刻情報と前記生成したデータとに基づいて、時刻情報を証明する時刻証
明データを生成する時刻証明データ生成部とを備えることを特徴とする。
【0010】
また、本発明は、利用者端末であるコンピュータにて、当該コンピュータで生成されたデ
ータの生成時刻を証明する場合において、当該コンピュータである利用者端末の所有者が
操作不能な時刻管理機能と、前記時刻管理機能へ時刻情報を配信する時刻情報配信機能と
、前記時刻情報管理機能から提供される時刻情報と前記生成したデータとに基づいて、時
刻情報を証明する時刻証明データを生成する時刻証明データ生成機能とを備えることを特
徴とする。
【発明の効果】
【0011】
ローカル環境で電子署名を付与するため、作成したデジタルデータに対して毎回サーバへ
アクセスしてファイルを送る必要がなくなり、バッチ処理でサーバへ送ればよくなる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の各実施形態について図面を用いて説明する。
【0013】
図1は、既存の代表的な構成を示した図である。
【0014】
多くのシステムでは、利用者端末200で作成されたデータの時刻を保証する為に、ネット
ワーク400を介してデータ管理サーバ100へ送信する。データ管理サーバ100では、受信し
たデータに対して、例えば受信した時刻のタイムスタンプを付与し、データ管理サーバ10
0の電子署名を生成する。この電子署名により、データを受信した時点から改竄されてい
ないことや、受信した時刻を保証することができる。電子署名が付与されたデータは、電
子署名と共に記憶装置300にて格納され管理される。
【0015】
図2は、本発明の構成について、その概要を示した図である。
【0016】
本発明では、利用者端末200はネットワーク400にて、利用者端末200へ正確な時刻配信を
行う時刻管理サーバ500とデータ管理サーバ100とネットワーク接続されている。データ管
理サーバは、図1と同様に受信したデータを格納・管理するための記憶装置300が接続され
ている。
【0017】
時刻管理サーバ500は、ネットワーク400により、正確な時刻を配信する時刻配信サーバ60
0と接続されている。
【0018】
ここで、時刻管理サーバ500と時刻配信サーバ600とは、例えば公開鍵暗号を用いたクライ
アント/サーバ認証により、正しいサーバであることを確認してから時刻配信を行うこと
が望ましい。それは、偽の時刻配信サーバからの時刻だと、時刻管理サーバ500は正しい
時刻を管理できないからである。
【0019】
さらに配信される時刻は、平文のデータよりは時刻データが時刻配信サーバから配信され
たデータであることを示す認証子が付与されていることが望ましい。例えば、配信する時
刻データに時刻配信サーバの電子署名が付与されて配信する方法がある。この場合、時刻
管理サーバ500は、受信する全ての時刻データに関して、時刻配信サーバ600の電子署名を
検証する必要はなく、受信する最初のデータに対してのみ行えばよい。何故なら、最初の
データからは、毎秒連続してデータが送られてくるため、誤ったデータが送られれば何ら
かの事故や攻撃が発生したと考えられるからである。
【0020】
図3は、本発明の第1の実施形態を示した図である。
【0021】
なお、本明細書で示す実施形態について、時刻管理サーバならびに時刻配信サーバ、デー
タ管理サーバは、みな同様の仕組みを持っているものとする。
【0022】
利用者端末200は、ネットワーク400によりネットワーク接続され、時刻管理サーバ500と
データ管理サーバ100と接続されている。そして、通信I/F部208によりネットワーク通信
を行う。
【0023】
利用者端末200は、大きく耐タンパ装置201、データ生成部206、通信I/F部208から構成さ
れる。耐タンパ装置201には、内部時計管理部202と内部時計部203がある。この内部時計
部203の時刻は、利用者端末200の所有者が勝手に操作できないものとする。また、署名鍵
管理部204と署名鍵205を持つ。この署名鍵205も、内部時計部203と同様に、利用者端末20
0の所有者が勝手にデータを操作できないものとする。そして、時刻証明生成部207から構
成されている。
【0024】
データ生成部206は、例えばパーソナルコンピュータで用いられるワードプロセッサアプ
リケーションや、図形描画アプリケーションなどの各種アプリケーションである。
【0025】
本発明では、そのアプリケーションで生成されたデータの時刻を保証することを目的とし
ている。
【0026】
図4を用いて、本発明の第1の実施形態の処理フローを説明する。なお、図4では、利用者
端末200と耐タンパ装置201を区別して記述している。通常、耐タンパ装置201は利用者端
末200に内蔵されているものとする。
【0027】
本実施形態を説明しやすくするため、例えば保険会社の外務員が利用者端末を所有し、そ
の利用者端末を使って社外で客先にて契約などの作業を行う場合を考える。従って、時刻
管理サーバやデータ管理サーバは、保険会社が管理しているサーバとする。時刻配信サー
バは、第三者により運営されているものとする。
【0028】
まず、時刻配信サーバから時刻管理サーバへ時刻データの配信が行われる。これにより、
時刻管理サーバの時刻が正確に保たれるものとする。なお、前述した通り、時刻配信サー
バと時刻管理サーバとは、互いに正しいサーバである認証を行うことが望ましく、さらに
配信される時刻が改竄されていないことを証明するため、時刻配信サーバの電子署名が付
与されていることが望ましい。
【0029】
利用者端末を所有する外務員は、勤務を始める前に時刻管理サーバとネットワーク接続し
、認証要求を時刻管理サーバへ送信する。時刻管理サーバは、利用者端末からの認証要求
を受け取ると、その利用者端末が管理されている利用者端末かどうかクライアント/サー
バ認証をする。これには、例えばSSLのクライアント/サーバ認証を使う方法がある。こ
れにより、以後の利用者端末と時刻管理サーバとの通信が秘匿されるので、セキュリティ
が増す。
【0030】
クライアント/サーバ認証が行われ、正しい利用者端末、時刻管理サーバであることが確
認されると、時刻管理サーバは時刻補正要求を利用者端末を通じて耐タンパ装置へ送る。
図3における内部時計部203は内部時計管理部202により時刻管理されているが、時刻管理
サーバから送られる時刻補正要求のみを受け付けるようにアクセス制御される。このため
、利用者端末の所有者である外務員であっても、内部時計部203の時刻を変えることはで
きない。
【0031】
時刻管理サーバからの時刻補正要求を受けた耐タンパ装置は時刻補正を行い、時刻補正が
完了したことを示す補正完了通知を時刻管理サーバへ返す。
【0032】
時刻管理サーバは、補正完了通知を受け取ると、利用者端末へ時刻の補正が完了したこと
を示す補正完了通知を送る。
【0033】
利用者端末は、補正完了通知を受け取ると、利用者端末の画面上に時刻補正が完了した旨
を表示し外務員に通知する。外務員は、時刻補正が完了すると利用者端末を持って勤務を
始める。
【0034】
客先へ出向いた外務員は、そこでデータ生成、例えば契約書などの書類を作成する。デー
タ生成が終わると、そのデータのハッシュ値を利用者端末にて演算する。演算したハッシ
ュ値は、耐タンパ装置へ送られる。
【0035】
耐タンパ装置では、送られたハッシュ値と内部時計の時刻データに対して、署名鍵を用い
て電子署名を生成し、電子署名を生成した時刻データ、電子署名を時刻証明データとして
利用者端末へ送る。
【0036】
利用者端末は、時刻証明データを受け取ると、生成したデータ、演算したハッシュ値、受
け取った時刻証明データを、保険会社のデータ管理サーバへ送信する。
【0037】
データ管理サーバでは、送られた時刻証明データの電子署名を検証し、データや時刻の改
竄がないことを検証する。そして検証結果が真であれば、格納し保存する。
【0038】
次に図5乃至図8を用いて、第2の実施形態について説明する。
【0039】
第2の実施形態についても、構成は図2と同様であるとする。
【0040】
図5は、第2の実施形態における利用者端末内の構成とネットワーク構成を示した図である
。なお、第1の実施形態ではパーソナルコンピュータなど比較的大きな端末を想定してい
た。第2の実施形態では、利用者端末は携帯電話のような小型の通信端末を想定する。
【0041】
携帯電話である利用者端末200には、内部時計管理部202と内部時計部203を有し、通信I/F
部208にて外部と通話したりデータを送信したりする。
【0042】
耐タンパ装置201には、署名鍵管理部204、署名鍵205と、時刻証明生成部207を持つ。デー
タ生成部206は、携帯電話である利用者端末200で用いられるアプリケーションである。
【0043】
この耐タンパ装置201は、例えば携帯電話に装着されるICカードであってもよい。
【0044】
利用者端末200は、ネットワーク400により基地局600、データ管理サーバ100と接続されて
いるものとする。
【0045】
図6乃至図8は、第2の実施形態の処理フローを示したものである。
【0046】
図6は携帯電話へアプリケーションをダウンロードする処理の流れを示したものである。
このアプリケーションは、携帯電話に装着されたICカードと連携して携帯電話内で動作す
るもので、携帯電話で作成されたデータの時刻証明を行うものである。
【0047】
利用者携帯電話からアプリケーション管理サーバへ、アプリケーション要求が送られる。
アプリケーション管理サーバは、アプリケーション要求を受け取ると携帯電話アプリケー
ションを携帯電話へ送る。携帯電話アプリケーションを受け取った利用者携帯電話は、携
帯電話アプリケーションを携帯電話にインストールして本フローを終了する。
【0048】
図7は、携帯電話アプリケーションがインストールされた携帯電話を用いて、携帯電話で
生成したデータに時刻証明を行う処理の流れを示した図である。
【0049】
携帯電話は電源が入っている状態では、最寄りの基地局と定期的に通信を行い時刻の補正
が可能な端末がある。例えば、CDMA方式を用いるau端末では、音声・データのデコードを
行うために基地局に備えられたGPS衛星を利用して常に正確な時刻を保持している。au携
帯電話では時刻補正を自動で行うようにしておくことで、通話などを行えばそのたびに時
計が自動的に補正される。さらに、携帯電話所有者は操作できない内部システム時計と携
帯電話所有者が操作できる時計の二つを持っている。従って、この内部のシステム時計を
用いれば、携帯電話の所有者であっても時刻を操作できず、かつ携帯電話を操作するため
には電源を入れなければならないので、電源を入れた時点で基地局からのGPS情報により
時刻補正が自動的に行われる。
【0050】
このため、利用者携帯電話は基地局から時刻配信を受け、時刻補正が行われる。
【0051】
携帯電話利用者は、携帯電話を操作してデータ生成を行う。例えば、携帯電話のカメラ機
能を用いて写真を撮影し、その時刻を証明することを考える。
【0052】
携帯電話利用者は、携帯電話のカメラ機能を用いて写真を撮影する。そして撮影した画像
データを図6でインストールした携帯電話アプリケーションへ送り、ハッシュ値を演算す
る。演算されたハッシュ値と内部システム時計の時刻データ、および携帯電話に装着され
たICカードに格納された署名鍵を用いて、時刻証明データを生成する。すなわち、ハッシ
ュ値および内部システム時計の時刻データをICカードに送り、ICカード内の時刻証明生成
部にて電子署名を生成し、携帯電話アプリケーションへ返す。
【0053】
時刻証明データが生成されたら、撮影した画像データと時刻証明データとをデータ管理サ
ーバへ、電子メール機能などを用いて送信する。
【0054】
時刻証明データとデータとを受信したデータ管理サーバは、電子署名の検証を行い、検証
結果が真であれば格納保存する。
【0055】
図8は携帯電話に装着されたICカードの公開鍵を更新する処理の流れを示した図である。
【0056】
携帯電話内の公開鍵証明書の期限が迫ってきたら、携帯電話利用者は、携帯電話からかぎ
管理サーバへアクセスし、鍵更新要求を出す。この鍵更新要求には、携帯電話のICカード
に格納されている公開鍵証明書が含まれている。
【0057】
鍵管理サーバでは、公開鍵証明書の正当性と有効期限を検証する。検証結果が真であるな
らば、鍵の無効化処理を行う。そして鍵ペアの生成を行い、公開鍵証明書を生成し公開鍵
証明書と秘密鍵を利用者携帯電話へ送信する。
【0058】
公開鍵証明書と秘密鍵を受け取った利用者携帯電話は、装着されたICカードへ公開鍵証明
書と秘密鍵を格納保存して、鍵更新が終了する。
【0059】
なお、上述の処理では、鍵管理サーバで鍵ペアを生成した。しかし、いくら信頼できると
はいえ、秘密鍵が外部で生成されることは好ましくない。
【0060】
そこで、第2の鍵更新の方法として、利用者携帯電話で鍵ペアを生成し、新たに生成され
た公開鍵と、ICカードに格納されていた公開鍵証明書とを鍵更新要求と共に送る方法があ
る。
【0061】
この方法の方が、秘密鍵の漏洩が少なく安全性が高い。なお、より安全にするには、鍵ペ
アの生成をICカードなどの耐タンパ装置で行うことが望ましい。
【0062】
なお、第2の実施形態では携帯電話のカメラ機能を使って画像を撮影した時刻を証明する
例を示したが、Internetと接続してネット通信販売により商品を注文したり、コンテンツ
を購入したりした時刻を証明することにも利用できる。
【図面の簡単な説明】
【0063】
【図1】既存のシステム構成を示した図である。
【図2】本発明のシステム構成を示した図である。
【図3】本発明の第1の実施形態の構成を示した図である。
【図4】本発明の第1の実施形態の処理の流れを示した図である。
【図5】本発明の第2の実施形態の構成を示した図である。
【図6】本発明の第2の実施形態のアプリケーションダウンロード処理の流れを示した図である。
【図7】本発明の第2の実施形態の時刻証明処理の流れを示した図である。
【図8】本発明の第2の実施形態の鍵更新処理の流れを示した図である。
【符号の説明】
【0064】
100…データ管理サーバ、200…利用者端末、300…記憶装置、400…ネットワ
ーク、500…時刻管理サーバ、600…時刻配信サーバ、201…耐タンパ装置、20
2…内部時計管理部、203…内部時計部、204…署名鍵管理部、205…署名鍵、2
06…データ作成部、207…時刻証明生成部、208…通信I/F部
【特許請求の範囲】
【請求項1】
利用者端末でデータを生成した時刻を証明する場合において、
利用者端末の所有者が操作不能な時刻管理部と、
前記時刻管理部へ時刻情報を配信する時刻情報配信部と、
前記時刻情報管理部から提供される時刻情報と前記生成したデータとに基づいて、時刻情
報を証明する時刻証明データを生成する時刻証明データ生成部と、
を備えることを特徴とする時刻保証装置。
【請求項2】
利用者端末であるコンピュータにて、当該コンピュータで生成されたデータの生成時刻を
証明する場合において、
当該コンピュータである利用者端末の所有者が操作不能な時刻管理機能と、
前記時刻管理機能へ時刻情報を配信する時刻情報配信機能と、
前記時刻情報管理機能から提供される時刻情報と前記生成したデータとに基づいて、時刻
情報を証明する時刻証明データを生成する時刻証明データ生成機能と、
を備えることを特徴とするプログラム。
【請求項1】
利用者端末でデータを生成した時刻を証明する場合において、
利用者端末の所有者が操作不能な時刻管理部と、
前記時刻管理部へ時刻情報を配信する時刻情報配信部と、
前記時刻情報管理部から提供される時刻情報と前記生成したデータとに基づいて、時刻情
報を証明する時刻証明データを生成する時刻証明データ生成部と、
を備えることを特徴とする時刻保証装置。
【請求項2】
利用者端末であるコンピュータにて、当該コンピュータで生成されたデータの生成時刻を
証明する場合において、
当該コンピュータである利用者端末の所有者が操作不能な時刻管理機能と、
前記時刻管理機能へ時刻情報を配信する時刻情報配信機能と、
前記時刻情報管理機能から提供される時刻情報と前記生成したデータとに基づいて、時刻
情報を証明する時刻証明データを生成する時刻証明データ生成機能と、
を備えることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2008−244784(P2008−244784A)
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願番号】特願2007−81851(P2007−81851)
【出願日】平成19年3月27日(2007.3.27)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願日】平成19年3月27日(2007.3.27)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]