時刻認証サービスにおける不正チェックシステム
【課題】 悪意によるコピーデータによりシステムを混乱に陥れることを防止すると共に、不正データを分別、排除することができる時刻認証サービスにおける不正チェックシステムを提供する。
【解決手段】 クライアント20側の端末装置20Aが、タイムスタンプ発行機関10に対して、対象データのハッシュ値と発行要求作成日時情報を含むタイムスタンプ発行要求20Tを送信すると、タイムスタンプ発行機関10はタイムスタンプを返信する。また、タイムスタンプ発行機関10側では、受信したタイムスタンプ発行要求20Tに含まれる日時情報が許容範囲に入っているかをチェックする。範囲外だった場合には、エラー処理を行い、範囲内に入っていた場合には、許容範囲内の該当クライアント20の過去の発行要求とのマッチングを行って、同一のものがないかをチェックし、過去に同一のデータが受信済みでないかの確認を取ることにより、不正なタイムスタンプ発行要求20Tを識別・排除する。
【解決手段】 クライアント20側の端末装置20Aが、タイムスタンプ発行機関10に対して、対象データのハッシュ値と発行要求作成日時情報を含むタイムスタンプ発行要求20Tを送信すると、タイムスタンプ発行機関10はタイムスタンプを返信する。また、タイムスタンプ発行機関10側では、受信したタイムスタンプ発行要求20Tに含まれる日時情報が許容範囲に入っているかをチェックする。範囲外だった場合には、エラー処理を行い、範囲内に入っていた場合には、許容範囲内の該当クライアント20の過去の発行要求とのマッチングを行って、同一のものがないかをチェックし、過去に同一のデータが受信済みでないかの確認を取ることにより、不正なタイムスタンプ発行要求20Tを識別・排除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子データに対して認証された日時を発行することで、電子データが作成された日時を証明することが可能な時刻認証サービスを提供するシステムに係り、特に、インターネット等の各種通信媒体を介して利用者にタイムスタンプサービス(時刻認証サービス)を提供するシステムにおいて、不正なタイムスタンプ発行要求を識別・排除することができる不正チェックシステムに関するものである。
【背景技術】
【0002】
電子データがいつの時点で存在し、それ以降改ざんされずに証拠性を保っているか否かを証明することは、当人による改ざんの余地が有る以上、当人だけでは極めて困難であり、それを第三者的に解決する手段がタイムスタンプサービスである。
【0003】
タイムスタンプサービスのプロトコルは、ISO/IEC18014、RFC3161、JISX5063等において標準規格化されており、これらのプロトコルのタイムスタンプ発行システムは、例えば特許文献1に見られるように、タイムスタンプを発行するタイムスタンプ発行機関と、タイムスタンプの発行要求を行うクライアントから構成される。
【0004】
上記規格に則った標準的なシステムにおいては、クライアントがある電子データに対して時刻認証を得たい場合、当該データのハッシュ値や乱数などのデータをタイムスタンプ発行要求として、インターネット等の各種通信媒体を介して上記タイムスタンプ発行機関に送信する。その際、当該データ自身ではなく、当該データのハッシュ値をタイムスタンプ発行要求に含めるため、第三者に当該データの内容を把握されることは無いとされている。
【特許文献1】特開2003−244139号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、単純に上記規格に則ったシステムを構築したとしても、悪意のある第三者が、タイムスタンプ発行要求を盗聴後に再送することで、タイムスタンプを発行するタイムスタンプ発行機関が再送されたデータを、正規のタイムスタンプ発行要求と誤認して判断・処理してしまう問題がある。これにより、タイムスタンプサービスにおいて、正規クライアントのタイムスタンプ発行数を正確に把握する阻害要因となっていた。
【0006】
また、悪意のある第三者が、タイムスタンプ発行要求に対して改ざん・なりすましを行った場合、検知または防止する手段も必要となる。
【0007】
これらの問題の解決方法の一つとして、SSL等の暗号化通信を行うことで、タイムスタンプ発行要求の通信路上での盗聴を防ぐことができる。しかし、SSL等の暗号化通信は、実装や運用面において手間やコストがかかる。また、例えば大量の発行要求があった場合、通信速度・回線リソース・タイムスタンプ発行機関側の処理リソース等に負荷がかかる等の問題がある。
【0008】
本発明は、上述の問題点に鑑みてなされたものであって、その目的は、タイムスタンプサービス(時刻認証サービス)において、SSL等の暗号化通信を利用せずに、不正なタイムスタンプ発行要求を識別・排除可能とした不正チェックシステムを提供することである。
【課題を解決するための手段】
【0009】
(1) 上記目的を達成するために、本発明の時刻認証サービスにおける不正チェックシステムは、前記請求項1に記載の如く、クライアント側端末装置にて作成された電子データのハッシュ値等をタイムスタンプ発行要求としてタイムスタンプ発行機関に送付すると、タイムスタンプ発行機関において上記送付されてきたハッシュ値等に認証時刻を付与した電子データに当該タイムスタンプ発行機関の電子署名を行い、且つ、この電子データをタイムスタンプトークンとしてクライアント側端末装置に返送するように構成した時刻認証サービスシステムであって、
上記クライアント側端末装置が、タイムスタンプ発行対象である電子データのハッシュ値を算出する演算手段と、クライアント側端末装置によって算出されるハッシュ値、クライアントを特定するデータ、不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等から構成されるタイムスタンプ発行要求を生成し送信する、タイムスタンプ発行要求生成・送信手段とを備え、
上記タイムスタンプ発行機関が、クライアント側端末装置から受信したタイムスタンプ発行要求の真正性の検証と不正に再送されたタイムスタンプ発行要求を識別・排除するタイムスタンプ発行要求検証手段を備えており、
タイムスタンプ発行要求内に当該要求の作成日時情報を含めることで、一意性を有する発行要求を運用して不正な発行要求を識別・排除することを特徴としている。
【0010】
(2) また、本発明の請求項2に係る時刻認証サービスにおける不正チェックシステムは、上記クライアント側端末装置が、タイムスタンプ発行対象電子データのハッシュ値等を含むタイムスタンプ発行要求に当該要求の作成日時情報を付与したデータに対して、当該クライアントの電子署名を付与したデータを最終的なタイムスタンプ発行要求とし、
タイムスタンプ発行機関が、受信したタイムスタンプ発行要求の電子署名の本人性と、当該発行要求の不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等により非改ざん性を検証し、当該発行要求の作成日時情報が設定値の範囲内であるかの判定により不正に再送された発行要求か否かを検証することで、通信路上での改ざんやなりすましを検知することを特徴としている。
【0011】
(3) また、本発明の請求項3に係る時刻認証サービスにおける不正チェックシステムは、上記タイムスタンプ発行機関が管理している当該クライアント側端末装置のタイムスタンプ発行記録一覧において、重複して存在する同一のデータを識別・排除することで、不正に再送されたタイムスタンプ発行要求を識別・排除することを特徴としている。
【0012】
(4) また、本発明の請求項4に係る時刻認証サービスにおける不正チェックシステムは、上記クライアントのタイムスタンプ発行要求に含まれる発行要求作成日時情報とタイムスタンプ発行機関のシステム日時との時刻差が、予め設定していた許容範囲外の場合に当該発行要求は不正に再送された発行要求と判断し、許容範囲内の場合にはタイムスタンプ発行記録一覧の該許容範囲を基に決定した範囲内を対象に重複して存在する同一のデータを識別・排除することで重複確認作業を軽減することを特徴としている。
【0013】
上記(1)〜(4)で述べた手段によれば、電子署名付きのタイムスタンプ発行要求により、クライアント側端末装置から送信される当該発行要求の非改ざん性を把握し、且つ、当該発行要求作成日時情報が、タイムスタンプ発行機関側で設定した許容の範囲内に入っているか否かを検証する。検証の結果、範囲外の場合は、不正データとして扱い、範囲内の場合は、当該クライアント側端末装置の過去のタイムスタンプ発行記録一覧より、上記で設定した許容範囲に合わせた適切な範囲内の過去のタイムスタンプ発行記録と重複するデータを検知することにより、不正なタイムスタンプ発行要求を識別・排除することを可能にする。
【発明の効果】
【0014】
以上述べた次第で、本発明に係る時刻認証サービスにおける不正チェックシステムによれば、上記タイムスタンプ発行要求内に当該発行要求作成日時情報を含めると共に、当該発行要求作成日時情報とタイムスタンプ発行機関のシステム日時との時刻差に予め設定していた許容範囲の制限を加えることで、悪意のある者に発行要求が盗聴された後、明らかに不自然な日時にタイムスタンプ発行機関に送信されてきた発行要求を識別・排除することができるため、その後の重複検証処理量を最小限に抑制することができる。また、クライアント側端末装置の過去のタイムスタンプ発行要求履歴を記録しておき、その履歴において重複して存在するデータの検証を行うことで、設定した時刻差の許容範囲内に入る不正なデータについても、識別・削除することができる。また、その際に電子署名が付与された発行要求を利用することで、当該発行要求の真正性も確認することができ、結果的に全ての不正な発行要求を識別・排除することができる。
【0015】
従って、本発明によればSSL等の暗号化通信を利用しなくとも、クライアント側端末装置のタイムスタンプ発行利用状況やそれに伴う課金情報等を正確に把握・管理することができる。
【発明を実施するための最良の形態】
【0016】
以下に、本発明の実施例による時刻認証サービスにおける不正チェックシステムについて、図面を参照しながら説明すると、図1は本発明の実施例による時刻認証サービスシステム(タイムスタンプ発行サービスシステム)の概略構成を示し、図中、10はタイムスタンプ発行機関、20はクライアント、20Aはクライアント側端末装置を示す。
【0017】
クライアント側端末装置20Aは、タイムスタンプ発行要求作成機能や通信機能等を備えている。また、タイムスタンプ発行機関10は、タイムスタンプ発行要求の検証機能、タイムスタンプ発行機能、通信機能等を備えている。更に、クライアント側端末装置20Aとタイムスタンプ発行機関10は、インターネット等の通信網30を介して通信可能に接続されている。
【0018】
尚且つ、それぞれが電子署名機能を有し、クライアント20は、クライアント固有の署名生成鍵Kusを有し、タイムスタンプ発行機関10は、タイムスタンプ発行機関固有の署名生成鍵Ktsを有しており、更に各クライアント20…が有する署名検証鍵の一覧を保管しており、その中に当該クライアント20が有する署名生成鍵Kusと対応する署名検証鍵Kupを有する。
【0019】
クライアント側端末装置20Aは、タイムスタンプ発行機関10に対してタイムスタンプ発行要求20Tを送信し、タイムスタンプ発行機関10は、クライアント側端末装置20Aに対して、当該発行要求に対応するタイムスタンプ10Tを発行・返信する。その際、タイムスタンプ発行機関10が受信したタイムスタンプ発行要求20Tに対し、認証時刻を付加して、署名生成鍵Ktsで電子署名を付与したデータをタイムスタンプ10Tとする。
【0020】
クライアント側端末装置20Aには、タイムスタンプ発行要求機能として、タイムスタンプ発行対象のハッシュ値を算出する機能と、それらの属性情報を含めた国際標準の規定に則ったタイムスタンプ発行要求を作成する機能、そして、当該タイムスタンプ発行要求に対して発行要求作成日時情報を付加した国際標準の規定に則ったデータに対して電子署名を付与する機能、当該国際標準の規定に則ったタイムスタンプ発行要求に電子署名を付与したデータを最終的なタイムスタンプ発行要求20Tとして作成・送信する機能とを有している。また、タイムスタンプ発行要求20Tを送信し、タイムスタンプ発行機関10から発行されるタイムスタンプ10Tを受信する通信機能も有している。
【0021】
「ハッシュ値」とは、ハッシュ関数、別名、メッセージダイジェスト関数と呼ばれる、与えられた原文から固定長の擬似乱数を生成する演算手法から生成されたユニーク値である。通信回線を通してデータを送信する際に、経路の両端でデータのハッシュ値を求めて両者を比較すれば、データが通信途中で改ざんかを調べることができる。不可変な一方向関数を含むため、ハッシュ値から原文を再現することができず、また同じハッシュ値を持つ異なるデータを作成することは極めて困難である。
【0022】
こうして、本発明においては、クライアント20では国際標準に則った従来のタイムスタンプ発行要求に対して、当該発行要求の作成日時情報を付加する。具体的には、タイムスタンプ発行対象データのハッシュ値等から構成される従来のタイムスタンプ発行要求に、当該発行要求作成日時情報を付加し、それらのデータに対してクライアント20の署名生成鍵Kusで電子署名を付加したデータを最終的なタイムスタンプ発行要求20Tとしてタイムスタンプ発行機関10に送信する。
【0023】
タイムスタンプ発行機関10では、受信したタイムスタンプ発行要求20Tに含まれる電子署名の非改ざん性をクライアント20の署名検証鍵Kupで検証することで、クライアント20の本人性と当該データの非改ざん性を確認する。これにより、なりすましや改ざんが成された当該発行要求20Tを識別する。
【0024】
タイムスタンプ発行機関10が受信した当該発行要求20Tに含まれる発行要求作成日時情報が、予めタイムスタンプ発行機関10で設定した許容範囲に入っているか否かを検証する。具体的には、当該発行要求20Tに含まれる発行要求作成日時情報と、タイムスタンプ発行機関10のシステム日時との差分が設定した許容範囲外かを確認する。これにより、差分が大きい明らかに不自然な日時に送信されてきた発行要求20Tを不正なデータして除外することができる。
【0025】
上記で予め設定する許容範囲は、時刻認証サービス方針やシステムの利用状況などに応じて決定する。具体的には、クライアント側端末装置20Aの時計の誤差、通信遅延、タイムスタンプ発行処理の稼働率、タイムスタンプ発行機関10のサービス方針や状況等を考慮し決定する。これは、クライアント端末装置20A側でのタイムスタンプ発行要求20Tの作成時から、タイムスタンプ発行機関10での当該発行要求20Tの検証時までの経過時間の最大推定値等を基に決定する。
【0026】
次に、上記で設定した許容範囲内の不正な発行要求、つまり、悪意のある第三者40が盗聴し、再送するまでの時間が非常に短く、上記の検証を通過した不正なタイムスタンプ発行要求40Tについては、当該クライアントのタイムスタンプ発行記録一覧内に同一の発行要求が重複しているか否かを比較検証する。これにより、全ての不正発行要求を識別・排除することができる。
【0027】
その際、比較検証するタイムスタンプ発行記録一覧の範囲は、上記発行要求作成日時情報の検証時に設定する許容範囲を基に決定する。具体的には上記許容範囲に対して更にマージンを加え、重複の漏れが無いような安全な値をできるだけ狭い範囲で決定する。これにより、全てのタイムスタンプ発行要求一覧を参照せず、効率的に比較検証できる。
【0028】
上記の日時情報の検証および重複データの比較検証共に、リアルタイムでの処理、タイムスタンプ発行数集計時での処理、共に可能であり、サービス形態によって使い分ければ良い。
【0029】
図2は、タイムスタンプ発行要求20Tの構成例を示したもので、このデータ20Tは、構文バージョン、タイムスタンプ発行対象のハッシュ値、要求サービスポリシー、乱数、その他属性情報、タイムスタンプ発行要求作成日時情報、それらに対するクライアント20の電子署名等で構成される。
【0030】
図3は、タイムスタンプ発行機関10側で管理しているクライアント20に対するタイムスタンプ発行記録一覧の例であり、クライアントID、nonce、タイムスタンプハッシュ値、発行要求作成日時、およびタイムスタンプ発行日時等から構成される。
【0031】
図4はクライアント20側のタイムスタンプ取得処理を示したフローチャートであって、図4に示すように、クライアント20は、ステップS1でタイムスタンプ対象データのハッシュ値を計算し、ステップS2で、タイムスタンプ発行要求(クライアントID+nonce+ハッシュ値+現在日時等)に電子署名を施す。ステップS3でタイムスタンプ発行要求20Tとしてリクエストパケットを送信する。ステップS4に進み、クライアント20はタイムスタンプ発行機関10からの応答のタイムスタンプ発行10Tの受信があったか否かを判断し、ステップS5で、受信データはタイムスタンプであるか否かを判断する。受信データがタイムスタンプであれば、ステップS6に進み、タイムスタンプ付与処理を行い、タイムスタンプ取得処理を終了する。
【0032】
ステップS4で応答受信がなければ、ステップS7に進み、クライアント20側では応答受信がタイムアウトか否かを判断し、応答受信がタイムアウトであれば、ステップS8でエラー処理を行い、タイムスタンプ取得処理を終了する。また、ステップS5で受信データがタイムスタンプでなければ、ステップS8のエラー処理に進む。また、ステップS7でタイムアウトでなければ、ステップS4に戻る。
【0033】
図5はタイムスタンプ発行機関(タイムスタンプ発行サーバ)10のタイムスタンプ発行要求(リクエストパケット)チェック処理フローを示し、図5に示すように、ステップS11で、発行要求に付与された電子署名を署名検証鍵Kupで検証することにより、本人性と非改ざん性を確認し、OKであればステップ12に進む。
【0034】
ステップS12では、発行要求作成日時Tcが、{(T−Ta)≦Tc≦(T+Tb)}であるか否かを判断する。ここで、Tはタイムスタンプ発行要求(リクエストパケット)受信時のタイムスタンプ発行機関10のシステム時刻、Ta及びTbは許容範囲である。発行要求作成日時Tcが許容範囲内であれば、ステップS13でクライアントIDにより該当クライアント20のタイムスタンプ発行記録一覧を作成し、ステップS14に進み、タイムスタンプ発行要求が一覧の中の各履歴データとマッチングしているか否かを判断する。発行要求がマッチングしていなければ、ステップS15で正規のタイムスタンプ発行要求としての処理を実行する。
【0035】
上記のステップS11でNGの場合、及び、ステップS12で{(T−Ta)≦Tc≦(T+Tb)}でなければ、ステップS16に進みエラー処理を行う。また、ステップS14でタイムスタンプ発行要求が履歴データのどれかとマッチングしていればステップS16に進み、エラー処理を行うと共に、タイムスタンプ発行要求は不正リクエストとして除外することができるものであって、その結果、不正なタイムスタンプ発行要求を識別・排除することができる。
【0036】
尚、タイムスタンプ発行要求の要求作成日時の検証に用いる予め設定していた許容範囲は、クライアント側端末装置20Aの時計の誤差、通信遅延、タイムスタンプ発行処理の稼働率等の過去の遅延状態をモニタリングし、タイムスタンプ発行機関10のサービス方針や状況等を考慮しその経験値を基に自動的に算出しても良い。
【図面の簡単な説明】
【0037】
【図1】本発明の実施例による時刻認証サービスにおける不正チェックシステムの概略構成を示すブロック図。
【図2】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおいて用いるタイムスタンプ発行要求のデータを示した構成図。
【図3】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおいて用いるタイムスタンプ発行記録の一覧例を示した説明図。
【図4】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおけるタイムスタンプ取得処理時のクライアント側のデータフロー図。
【図5】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおけるタイムスタンプ発行機関側によるタイムスタンプ発行要求の検証時のデータフロー図。
【符号の説明】
【0038】
10 タイムスタンプ発行機関(タイムスタンプサーバ)
10T タイムスタンプ
20 クライアント
20A クライアント側端末装置
20T タイムスタンプ発行要求
30 通信網
40 悪意のある第三者
40T 不正な発行要求
Kts タイムスタンプ発行機関固有の署名生成鍵
Kup 署名生成鍵Ktsと対応する署名検証鍵
Kus クライアント固有の署名生成鍵
【技術分野】
【0001】
本発明は、電子データに対して認証された日時を発行することで、電子データが作成された日時を証明することが可能な時刻認証サービスを提供するシステムに係り、特に、インターネット等の各種通信媒体を介して利用者にタイムスタンプサービス(時刻認証サービス)を提供するシステムにおいて、不正なタイムスタンプ発行要求を識別・排除することができる不正チェックシステムに関するものである。
【背景技術】
【0002】
電子データがいつの時点で存在し、それ以降改ざんされずに証拠性を保っているか否かを証明することは、当人による改ざんの余地が有る以上、当人だけでは極めて困難であり、それを第三者的に解決する手段がタイムスタンプサービスである。
【0003】
タイムスタンプサービスのプロトコルは、ISO/IEC18014、RFC3161、JISX5063等において標準規格化されており、これらのプロトコルのタイムスタンプ発行システムは、例えば特許文献1に見られるように、タイムスタンプを発行するタイムスタンプ発行機関と、タイムスタンプの発行要求を行うクライアントから構成される。
【0004】
上記規格に則った標準的なシステムにおいては、クライアントがある電子データに対して時刻認証を得たい場合、当該データのハッシュ値や乱数などのデータをタイムスタンプ発行要求として、インターネット等の各種通信媒体を介して上記タイムスタンプ発行機関に送信する。その際、当該データ自身ではなく、当該データのハッシュ値をタイムスタンプ発行要求に含めるため、第三者に当該データの内容を把握されることは無いとされている。
【特許文献1】特開2003−244139号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、単純に上記規格に則ったシステムを構築したとしても、悪意のある第三者が、タイムスタンプ発行要求を盗聴後に再送することで、タイムスタンプを発行するタイムスタンプ発行機関が再送されたデータを、正規のタイムスタンプ発行要求と誤認して判断・処理してしまう問題がある。これにより、タイムスタンプサービスにおいて、正規クライアントのタイムスタンプ発行数を正確に把握する阻害要因となっていた。
【0006】
また、悪意のある第三者が、タイムスタンプ発行要求に対して改ざん・なりすましを行った場合、検知または防止する手段も必要となる。
【0007】
これらの問題の解決方法の一つとして、SSL等の暗号化通信を行うことで、タイムスタンプ発行要求の通信路上での盗聴を防ぐことができる。しかし、SSL等の暗号化通信は、実装や運用面において手間やコストがかかる。また、例えば大量の発行要求があった場合、通信速度・回線リソース・タイムスタンプ発行機関側の処理リソース等に負荷がかかる等の問題がある。
【0008】
本発明は、上述の問題点に鑑みてなされたものであって、その目的は、タイムスタンプサービス(時刻認証サービス)において、SSL等の暗号化通信を利用せずに、不正なタイムスタンプ発行要求を識別・排除可能とした不正チェックシステムを提供することである。
【課題を解決するための手段】
【0009】
(1) 上記目的を達成するために、本発明の時刻認証サービスにおける不正チェックシステムは、前記請求項1に記載の如く、クライアント側端末装置にて作成された電子データのハッシュ値等をタイムスタンプ発行要求としてタイムスタンプ発行機関に送付すると、タイムスタンプ発行機関において上記送付されてきたハッシュ値等に認証時刻を付与した電子データに当該タイムスタンプ発行機関の電子署名を行い、且つ、この電子データをタイムスタンプトークンとしてクライアント側端末装置に返送するように構成した時刻認証サービスシステムであって、
上記クライアント側端末装置が、タイムスタンプ発行対象である電子データのハッシュ値を算出する演算手段と、クライアント側端末装置によって算出されるハッシュ値、クライアントを特定するデータ、不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等から構成されるタイムスタンプ発行要求を生成し送信する、タイムスタンプ発行要求生成・送信手段とを備え、
上記タイムスタンプ発行機関が、クライアント側端末装置から受信したタイムスタンプ発行要求の真正性の検証と不正に再送されたタイムスタンプ発行要求を識別・排除するタイムスタンプ発行要求検証手段を備えており、
タイムスタンプ発行要求内に当該要求の作成日時情報を含めることで、一意性を有する発行要求を運用して不正な発行要求を識別・排除することを特徴としている。
【0010】
(2) また、本発明の請求項2に係る時刻認証サービスにおける不正チェックシステムは、上記クライアント側端末装置が、タイムスタンプ発行対象電子データのハッシュ値等を含むタイムスタンプ発行要求に当該要求の作成日時情報を付与したデータに対して、当該クライアントの電子署名を付与したデータを最終的なタイムスタンプ発行要求とし、
タイムスタンプ発行機関が、受信したタイムスタンプ発行要求の電子署名の本人性と、当該発行要求の不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等により非改ざん性を検証し、当該発行要求の作成日時情報が設定値の範囲内であるかの判定により不正に再送された発行要求か否かを検証することで、通信路上での改ざんやなりすましを検知することを特徴としている。
【0011】
(3) また、本発明の請求項3に係る時刻認証サービスにおける不正チェックシステムは、上記タイムスタンプ発行機関が管理している当該クライアント側端末装置のタイムスタンプ発行記録一覧において、重複して存在する同一のデータを識別・排除することで、不正に再送されたタイムスタンプ発行要求を識別・排除することを特徴としている。
【0012】
(4) また、本発明の請求項4に係る時刻認証サービスにおける不正チェックシステムは、上記クライアントのタイムスタンプ発行要求に含まれる発行要求作成日時情報とタイムスタンプ発行機関のシステム日時との時刻差が、予め設定していた許容範囲外の場合に当該発行要求は不正に再送された発行要求と判断し、許容範囲内の場合にはタイムスタンプ発行記録一覧の該許容範囲を基に決定した範囲内を対象に重複して存在する同一のデータを識別・排除することで重複確認作業を軽減することを特徴としている。
【0013】
上記(1)〜(4)で述べた手段によれば、電子署名付きのタイムスタンプ発行要求により、クライアント側端末装置から送信される当該発行要求の非改ざん性を把握し、且つ、当該発行要求作成日時情報が、タイムスタンプ発行機関側で設定した許容の範囲内に入っているか否かを検証する。検証の結果、範囲外の場合は、不正データとして扱い、範囲内の場合は、当該クライアント側端末装置の過去のタイムスタンプ発行記録一覧より、上記で設定した許容範囲に合わせた適切な範囲内の過去のタイムスタンプ発行記録と重複するデータを検知することにより、不正なタイムスタンプ発行要求を識別・排除することを可能にする。
【発明の効果】
【0014】
以上述べた次第で、本発明に係る時刻認証サービスにおける不正チェックシステムによれば、上記タイムスタンプ発行要求内に当該発行要求作成日時情報を含めると共に、当該発行要求作成日時情報とタイムスタンプ発行機関のシステム日時との時刻差に予め設定していた許容範囲の制限を加えることで、悪意のある者に発行要求が盗聴された後、明らかに不自然な日時にタイムスタンプ発行機関に送信されてきた発行要求を識別・排除することができるため、その後の重複検証処理量を最小限に抑制することができる。また、クライアント側端末装置の過去のタイムスタンプ発行要求履歴を記録しておき、その履歴において重複して存在するデータの検証を行うことで、設定した時刻差の許容範囲内に入る不正なデータについても、識別・削除することができる。また、その際に電子署名が付与された発行要求を利用することで、当該発行要求の真正性も確認することができ、結果的に全ての不正な発行要求を識別・排除することができる。
【0015】
従って、本発明によればSSL等の暗号化通信を利用しなくとも、クライアント側端末装置のタイムスタンプ発行利用状況やそれに伴う課金情報等を正確に把握・管理することができる。
【発明を実施するための最良の形態】
【0016】
以下に、本発明の実施例による時刻認証サービスにおける不正チェックシステムについて、図面を参照しながら説明すると、図1は本発明の実施例による時刻認証サービスシステム(タイムスタンプ発行サービスシステム)の概略構成を示し、図中、10はタイムスタンプ発行機関、20はクライアント、20Aはクライアント側端末装置を示す。
【0017】
クライアント側端末装置20Aは、タイムスタンプ発行要求作成機能や通信機能等を備えている。また、タイムスタンプ発行機関10は、タイムスタンプ発行要求の検証機能、タイムスタンプ発行機能、通信機能等を備えている。更に、クライアント側端末装置20Aとタイムスタンプ発行機関10は、インターネット等の通信網30を介して通信可能に接続されている。
【0018】
尚且つ、それぞれが電子署名機能を有し、クライアント20は、クライアント固有の署名生成鍵Kusを有し、タイムスタンプ発行機関10は、タイムスタンプ発行機関固有の署名生成鍵Ktsを有しており、更に各クライアント20…が有する署名検証鍵の一覧を保管しており、その中に当該クライアント20が有する署名生成鍵Kusと対応する署名検証鍵Kupを有する。
【0019】
クライアント側端末装置20Aは、タイムスタンプ発行機関10に対してタイムスタンプ発行要求20Tを送信し、タイムスタンプ発行機関10は、クライアント側端末装置20Aに対して、当該発行要求に対応するタイムスタンプ10Tを発行・返信する。その際、タイムスタンプ発行機関10が受信したタイムスタンプ発行要求20Tに対し、認証時刻を付加して、署名生成鍵Ktsで電子署名を付与したデータをタイムスタンプ10Tとする。
【0020】
クライアント側端末装置20Aには、タイムスタンプ発行要求機能として、タイムスタンプ発行対象のハッシュ値を算出する機能と、それらの属性情報を含めた国際標準の規定に則ったタイムスタンプ発行要求を作成する機能、そして、当該タイムスタンプ発行要求に対して発行要求作成日時情報を付加した国際標準の規定に則ったデータに対して電子署名を付与する機能、当該国際標準の規定に則ったタイムスタンプ発行要求に電子署名を付与したデータを最終的なタイムスタンプ発行要求20Tとして作成・送信する機能とを有している。また、タイムスタンプ発行要求20Tを送信し、タイムスタンプ発行機関10から発行されるタイムスタンプ10Tを受信する通信機能も有している。
【0021】
「ハッシュ値」とは、ハッシュ関数、別名、メッセージダイジェスト関数と呼ばれる、与えられた原文から固定長の擬似乱数を生成する演算手法から生成されたユニーク値である。通信回線を通してデータを送信する際に、経路の両端でデータのハッシュ値を求めて両者を比較すれば、データが通信途中で改ざんかを調べることができる。不可変な一方向関数を含むため、ハッシュ値から原文を再現することができず、また同じハッシュ値を持つ異なるデータを作成することは極めて困難である。
【0022】
こうして、本発明においては、クライアント20では国際標準に則った従来のタイムスタンプ発行要求に対して、当該発行要求の作成日時情報を付加する。具体的には、タイムスタンプ発行対象データのハッシュ値等から構成される従来のタイムスタンプ発行要求に、当該発行要求作成日時情報を付加し、それらのデータに対してクライアント20の署名生成鍵Kusで電子署名を付加したデータを最終的なタイムスタンプ発行要求20Tとしてタイムスタンプ発行機関10に送信する。
【0023】
タイムスタンプ発行機関10では、受信したタイムスタンプ発行要求20Tに含まれる電子署名の非改ざん性をクライアント20の署名検証鍵Kupで検証することで、クライアント20の本人性と当該データの非改ざん性を確認する。これにより、なりすましや改ざんが成された当該発行要求20Tを識別する。
【0024】
タイムスタンプ発行機関10が受信した当該発行要求20Tに含まれる発行要求作成日時情報が、予めタイムスタンプ発行機関10で設定した許容範囲に入っているか否かを検証する。具体的には、当該発行要求20Tに含まれる発行要求作成日時情報と、タイムスタンプ発行機関10のシステム日時との差分が設定した許容範囲外かを確認する。これにより、差分が大きい明らかに不自然な日時に送信されてきた発行要求20Tを不正なデータして除外することができる。
【0025】
上記で予め設定する許容範囲は、時刻認証サービス方針やシステムの利用状況などに応じて決定する。具体的には、クライアント側端末装置20Aの時計の誤差、通信遅延、タイムスタンプ発行処理の稼働率、タイムスタンプ発行機関10のサービス方針や状況等を考慮し決定する。これは、クライアント端末装置20A側でのタイムスタンプ発行要求20Tの作成時から、タイムスタンプ発行機関10での当該発行要求20Tの検証時までの経過時間の最大推定値等を基に決定する。
【0026】
次に、上記で設定した許容範囲内の不正な発行要求、つまり、悪意のある第三者40が盗聴し、再送するまでの時間が非常に短く、上記の検証を通過した不正なタイムスタンプ発行要求40Tについては、当該クライアントのタイムスタンプ発行記録一覧内に同一の発行要求が重複しているか否かを比較検証する。これにより、全ての不正発行要求を識別・排除することができる。
【0027】
その際、比較検証するタイムスタンプ発行記録一覧の範囲は、上記発行要求作成日時情報の検証時に設定する許容範囲を基に決定する。具体的には上記許容範囲に対して更にマージンを加え、重複の漏れが無いような安全な値をできるだけ狭い範囲で決定する。これにより、全てのタイムスタンプ発行要求一覧を参照せず、効率的に比較検証できる。
【0028】
上記の日時情報の検証および重複データの比較検証共に、リアルタイムでの処理、タイムスタンプ発行数集計時での処理、共に可能であり、サービス形態によって使い分ければ良い。
【0029】
図2は、タイムスタンプ発行要求20Tの構成例を示したもので、このデータ20Tは、構文バージョン、タイムスタンプ発行対象のハッシュ値、要求サービスポリシー、乱数、その他属性情報、タイムスタンプ発行要求作成日時情報、それらに対するクライアント20の電子署名等で構成される。
【0030】
図3は、タイムスタンプ発行機関10側で管理しているクライアント20に対するタイムスタンプ発行記録一覧の例であり、クライアントID、nonce、タイムスタンプハッシュ値、発行要求作成日時、およびタイムスタンプ発行日時等から構成される。
【0031】
図4はクライアント20側のタイムスタンプ取得処理を示したフローチャートであって、図4に示すように、クライアント20は、ステップS1でタイムスタンプ対象データのハッシュ値を計算し、ステップS2で、タイムスタンプ発行要求(クライアントID+nonce+ハッシュ値+現在日時等)に電子署名を施す。ステップS3でタイムスタンプ発行要求20Tとしてリクエストパケットを送信する。ステップS4に進み、クライアント20はタイムスタンプ発行機関10からの応答のタイムスタンプ発行10Tの受信があったか否かを判断し、ステップS5で、受信データはタイムスタンプであるか否かを判断する。受信データがタイムスタンプであれば、ステップS6に進み、タイムスタンプ付与処理を行い、タイムスタンプ取得処理を終了する。
【0032】
ステップS4で応答受信がなければ、ステップS7に進み、クライアント20側では応答受信がタイムアウトか否かを判断し、応答受信がタイムアウトであれば、ステップS8でエラー処理を行い、タイムスタンプ取得処理を終了する。また、ステップS5で受信データがタイムスタンプでなければ、ステップS8のエラー処理に進む。また、ステップS7でタイムアウトでなければ、ステップS4に戻る。
【0033】
図5はタイムスタンプ発行機関(タイムスタンプ発行サーバ)10のタイムスタンプ発行要求(リクエストパケット)チェック処理フローを示し、図5に示すように、ステップS11で、発行要求に付与された電子署名を署名検証鍵Kupで検証することにより、本人性と非改ざん性を確認し、OKであればステップ12に進む。
【0034】
ステップS12では、発行要求作成日時Tcが、{(T−Ta)≦Tc≦(T+Tb)}であるか否かを判断する。ここで、Tはタイムスタンプ発行要求(リクエストパケット)受信時のタイムスタンプ発行機関10のシステム時刻、Ta及びTbは許容範囲である。発行要求作成日時Tcが許容範囲内であれば、ステップS13でクライアントIDにより該当クライアント20のタイムスタンプ発行記録一覧を作成し、ステップS14に進み、タイムスタンプ発行要求が一覧の中の各履歴データとマッチングしているか否かを判断する。発行要求がマッチングしていなければ、ステップS15で正規のタイムスタンプ発行要求としての処理を実行する。
【0035】
上記のステップS11でNGの場合、及び、ステップS12で{(T−Ta)≦Tc≦(T+Tb)}でなければ、ステップS16に進みエラー処理を行う。また、ステップS14でタイムスタンプ発行要求が履歴データのどれかとマッチングしていればステップS16に進み、エラー処理を行うと共に、タイムスタンプ発行要求は不正リクエストとして除外することができるものであって、その結果、不正なタイムスタンプ発行要求を識別・排除することができる。
【0036】
尚、タイムスタンプ発行要求の要求作成日時の検証に用いる予め設定していた許容範囲は、クライアント側端末装置20Aの時計の誤差、通信遅延、タイムスタンプ発行処理の稼働率等の過去の遅延状態をモニタリングし、タイムスタンプ発行機関10のサービス方針や状況等を考慮しその経験値を基に自動的に算出しても良い。
【図面の簡単な説明】
【0037】
【図1】本発明の実施例による時刻認証サービスにおける不正チェックシステムの概略構成を示すブロック図。
【図2】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおいて用いるタイムスタンプ発行要求のデータを示した構成図。
【図3】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおいて用いるタイムスタンプ発行記録の一覧例を示した説明図。
【図4】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおけるタイムスタンプ取得処理時のクライアント側のデータフロー図。
【図5】本発明の実施例による時刻認証サービスにおける不正チェックシステムにおけるタイムスタンプ発行機関側によるタイムスタンプ発行要求の検証時のデータフロー図。
【符号の説明】
【0038】
10 タイムスタンプ発行機関(タイムスタンプサーバ)
10T タイムスタンプ
20 クライアント
20A クライアント側端末装置
20T タイムスタンプ発行要求
30 通信網
40 悪意のある第三者
40T 不正な発行要求
Kts タイムスタンプ発行機関固有の署名生成鍵
Kup 署名生成鍵Ktsと対応する署名検証鍵
Kus クライアント固有の署名生成鍵
【特許請求の範囲】
【請求項1】
クライアント側端末装置にて作成された電子データのハッシュ値等をタイムスタンプ発行要求としてタイムスタンプ発行機関に送付すると、タイムスタンプ発行機関において上記送付されてきたハッシュ値等に認証時刻を付与した電子データに当該タイムスタンプ発行機関の電子署名を行い、且つ、この電子データをタイムスタンプトークンとしてクライアント側端末装置に返送するように構成した時刻認証サービスシステムであって、
上記クライアント側端末装置が、タイムスタンプ発行対象である電子データのハッシュ値を算出する演算手段と、
クライアント側端末装置によって算出されるハッシュ値、クライアントを特定するデータ、不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等から構成されるタイムスタンプ発行要求を生成し送信する、タイムスタンプ発行要求生成・送信手段とを備え、
上記タイムスタンプ発行機関が、クライアント側端末装置から受信したタイムスタンプ発行要求の真正性の検証と不正に再送されたタイムスタンプ発行要求を識別・排除するタイムスタンプ発行要求検証手段を備えており、
タイムスタンプ発行要求内に当該要求の作成日時情報を含めることで、一意性を有する発行要求を運用して不正な発行要求を識別・排除することを特徴とする時刻認証サービスにおける不正チェックシステム。
【請求項2】
上記クライアント側端末装置が、タイムスタンプ発行対象電子データのハッシュ値等を含むタイムスタンプ発行要求に当該要求の作成日時情報を付与したデータに対して、当該クライアントの電子署名を付与したデータを最終的なタイムスタンプ発行要求とし、
タイムスタンプ発行機関が、受信したタイムスタンプ発行要求の電子署名の本人性と、当該発行要求の不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等により非改ざん性を検証し、当該発行要求の作成日時情報が設定値の範囲内であるかの判定により不正に再送された発行要求か否かを検証することで、通信路上での改ざんやなりすましを検知することを特徴とする請求項1に記載の時刻認証サービスにおける不正チェックシステム。
【請求項3】
上記タイムスタンプ発行機関が管理している当該クライアント側端末装置のタイムスタンプ発行記録一覧において、重複して存在する同一のデータを識別・排除することで、不正に再送されたタイムスタンプ発行要求を識別・排除することを特徴とする請求項1又は2に記載の時刻認証サービスにおける不正チェックシステム。
【請求項4】
上記クライアントのタイムスタンプ発行要求に含まれる発行要求作成日時情報とタイムスタンプ発行機関のシステム日時との時刻差が、予め設定していた許容範囲外の場合に当該発行要求は不正に再送された発行要求と判断し、許容範囲内の場合にはタイムスタンプ発行記録一覧の該許容範囲を基に決定した範囲内を対象に重複して存在する同一のデータを識別・排除することで重複確認作業を軽減することを特徴とする請求項1、2又は3に記載の時刻認証サービスにおける不正チェックシステム。
【請求項1】
クライアント側端末装置にて作成された電子データのハッシュ値等をタイムスタンプ発行要求としてタイムスタンプ発行機関に送付すると、タイムスタンプ発行機関において上記送付されてきたハッシュ値等に認証時刻を付与した電子データに当該タイムスタンプ発行機関の電子署名を行い、且つ、この電子データをタイムスタンプトークンとしてクライアント側端末装置に返送するように構成した時刻認証サービスシステムであって、
上記クライアント側端末装置が、タイムスタンプ発行対象である電子データのハッシュ値を算出する演算手段と、
クライアント側端末装置によって算出されるハッシュ値、クライアントを特定するデータ、不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等から構成されるタイムスタンプ発行要求を生成し送信する、タイムスタンプ発行要求生成・送信手段とを備え、
上記タイムスタンプ発行機関が、クライアント側端末装置から受信したタイムスタンプ発行要求の真正性の検証と不正に再送されたタイムスタンプ発行要求を識別・排除するタイムスタンプ発行要求検証手段を備えており、
タイムスタンプ発行要求内に当該要求の作成日時情報を含めることで、一意性を有する発行要求を運用して不正な発行要求を識別・排除することを特徴とする時刻認証サービスにおける不正チェックシステム。
【請求項2】
上記クライアント側端末装置が、タイムスタンプ発行対象電子データのハッシュ値等を含むタイムスタンプ発行要求に当該要求の作成日時情報を付与したデータに対して、当該クライアントの電子署名を付与したデータを最終的なタイムスタンプ発行要求とし、
タイムスタンプ発行機関が、受信したタイムスタンプ発行要求の電子署名の本人性と、当該発行要求の不正なタイムスタンプ発行要求を識別・排除する際に使用されるデータ等により非改ざん性を検証し、当該発行要求の作成日時情報が設定値の範囲内であるかの判定により不正に再送された発行要求か否かを検証することで、通信路上での改ざんやなりすましを検知することを特徴とする請求項1に記載の時刻認証サービスにおける不正チェックシステム。
【請求項3】
上記タイムスタンプ発行機関が管理している当該クライアント側端末装置のタイムスタンプ発行記録一覧において、重複して存在する同一のデータを識別・排除することで、不正に再送されたタイムスタンプ発行要求を識別・排除することを特徴とする請求項1又は2に記載の時刻認証サービスにおける不正チェックシステム。
【請求項4】
上記クライアントのタイムスタンプ発行要求に含まれる発行要求作成日時情報とタイムスタンプ発行機関のシステム日時との時刻差が、予め設定していた許容範囲外の場合に当該発行要求は不正に再送された発行要求と判断し、許容範囲内の場合にはタイムスタンプ発行記録一覧の該許容範囲を基に決定した範囲内を対象に重複して存在する同一のデータを識別・排除することで重複確認作業を軽減することを特徴とする請求項1、2又は3に記載の時刻認証サービスにおける不正チェックシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2008−78694(P2008−78694A)
【公開日】平成20年4月3日(2008.4.3)
【国際特許分類】
【出願番号】特願2006−252028(P2006−252028)
【出願日】平成18年9月19日(2006.9.19)
【出願人】(000101617)アマノ株式会社 (174)
【Fターム(参考)】
【公開日】平成20年4月3日(2008.4.3)
【国際特許分類】
【出願日】平成18年9月19日(2006.9.19)
【出願人】(000101617)アマノ株式会社 (174)
【Fターム(参考)】
[ Back to top ]