認定された文書の電子的送信、保存および読み出しシステム並びに方法
構成可能で、任意の承認された認証機関(CA)から状態を検索できるように方向付けられた認証状態サービスが開示されている。CSSは信頼された管理ユーティリティ(TCU)および同等のシステムまたは、要求された処置を実施するために個人の権利、提出された電子情報オブジェクトの信頼性、デジタル署名検証および使用者認定処理過程で使用される認定認証の状態の有効性確認を行うことが役目であるアプリケーションで使用される。認定認証上の有効性チェックは発行元CAに問い合わせることで実施される。従来、信頼された公開鍵インフラ(PKI)を作成するためには、認証の有効性を確認する必要があり、CA相互間での相互認証を行ったりまたはPKIブリッジを使用することで複雑な関係が形成された。PKIおよびCAの相互運用性の問題が、異なる観点から解決されており、転送可能な記録である電子オリジナル情報オブジェクト(所有権も変わる)の作成、実行、保守、転送、検索および廃棄に好適な信頼環境を確立することに注目している。TCUは、「承認されたCA」が多数のビジネス環境を支援できるにも関わらず、その既知の集合のみに関連し、そのCAの組の中でTCU使用者アカウントに関連する認証にのみ関連する。PKI/CA信頼関係を構築することは要求されておらず、それはCSSが信頼された環境を承認されたCAのみに問い合わせ、有効認証状態のキャッシュを保守することで実現するからである。
【発明の詳細な説明】
【技術分野】
【0001】
出願人の発明は、例えば Electric OriginalTM の様な、電子オリジナル情報オブジェクトの作成、保守、転送、読み出しおよび廃棄を提供するための、証拠および安全の検証可能な繋がりを提供するためのシステム並びに方法に関する。
【背景技術】
【0002】
本発明は好適に出願人の、信頼された管理ユーティリティ(Trusted Custodial Utility)を使用し、これは電子オリジナル記録並びに必要な処置を実行するために個人の権利を認証する際の仮想電子貯蔵庫として働く同等システム、提出された電子情報オブジェクトの信頼性、およびデジタル署名照合および使用者認定過程で使用される認定認証の状態を保持する。その様なTCUおよび動作は特許文献1から特許文献4に記載されている。
【特許文献1】米国特許第5,615,268号
【特許文献2】米国特許第5,748,738号
【特許文献3】米国特許第6,237,096号
【特許文献4】米国特許第6,367,013号
【0003】
以下の略語表が本記述の中で使用されている:
(略語)
CA 認証機関
CRL 認証取り消し表
CSS 認証状態サービス
HTML ホームページ作成言語
ID 識別番号
IETF インターネット・エンジニアリング作業部会
ITU 国際電気通信連合
LDAP 軽量ディレクトリ接続プロトコル
OCSP オンライン認証状態プロトコル、IETF-RFC 2560 X.509 インターネット公開鍵インフラ・オンライン認証状態プロトコル-OCSP,1999年6月
PIN 個人認識番号
PKCS 公開鍵暗号規格
PKI 公開鍵インフラ
PKIX 公開鍵インフラ(X.509)
S/MIME 安全多目的インターネット・メール内線番号
SCVP 簡略認証検証プロトコル、草案-IETF-PKIX-SCVP-06,200年7月
SSL 安全ソケット層
TCU 信頼された管理ユーティリティ
UETA 統一電子商取引法
XML 拡張マークアップ言語
【0004】
国際および国内商取引における電子署名米国法(ESIGN : U.S. Electronic Signatures in Global and National Commerce Act)立法および、統一州法国民会議により起草されたUETAをモデルとし、1999年に承認され法律成立を勧告された米国州法は、電子的に署名された情報オブジェクト(電子文書)に対する法的資格の保証を与え、これは潜在的に完全な電子取引の効率性および経済活動の実現を目指す政府、金融および電子商取引活動を活発にしている。
【0005】
PKIおよびCAは電子情報オリジナル記録を生成する際に使用されるデジタル署名技術の基本要素である。PKIは複数のCAの集合であり、此処で信頼は使用者および使用者組織との間で、複数のCA間で階層的関係を生成するかまたは協調関係にあるCA内での相互保証を通して確立される。ひとつのCAは認定認証を発行する権限を与えられており、これは個人または事業体の身元をその個人または事業体の公開鍵に結びつけ(検証)、此処で個人にのみ整合する秘密鍵へのアクセスが与えられる(署名)。本出願の時点で、認証は通常 ITU X.509 認証基準に従い、それら自身は発行元CAによりデジタル的に署名される。そのような認証は例えば米国特許第6,237,096号の図10に描かれており、これは上記言及されかつ組み込まれている。これらの認定認証はシリアル番号、被験者(使用者)と発行者(CA)の身元情報、認証の有効期限(それが使用可能となる日時と使用できなくなる日時)、被験者の公開鍵、およびデジタル署名を生成し検証するために必要な暗号化アルゴリズム情報を含む。
【0006】
デジタル署名を生成するために、情報オブジェクトがハッシュされ(一方向暗号化機能を用いて処理され、これはオブジェクト内の最低1ビットの変更を検出できる)、次にこのハッシュが個人の私的(秘密)鍵を用いて暗号化される。デジタル署名検証はこの処理工程を逆に辿ることで実現される。デジタル署名は、それらの認定認証から取り出された個人の秘密鍵を用いて暗号解読され、その結果はオリジナル情報オブジェクトの再ハッシュと比較される。これらの処理工程は異なるデジタル署名アルゴリズムを使用する場合は変わるはずである。デジタル署名は信頼している当事者と発行しているCAとの間に存在する信用としてのみ信頼性のあるものである;そしてその保証のレベルは物理的管理、業務およびCAにより実現される手続きにより得られる。
【0007】
PKI技術の目的は通信当事者に対して安全と信頼性のある環境の両方を生成し維持することである。その様な当事者はPKIに依存して、使用者の身元を確立し、使用者の認証がもはや有効で無くなった場合に通知している。認証は個人が組織を脱退したとき、代わりの認証が発行されたとき、または署名鍵が失われるか、盗難されるかまたは危うくなった時に無効とされる。ベンダは認証状態を広範な種々の方法を用いて通知する。これらの多種多様な方法は、使用者が他の使用者の認証状態を得ることを更に難しくしている。
【0008】
信頼関係および相互運用性の構成は、PKI認証および機密保護方針とそれらの施策で決定される。認証方針により、認証発行の承認を得るために必要な(例えば2つの形式の画像ID、信用調査)個人審査(すなわち、認証要求情報および対象となる認証受領者の身元の適切性を適正であると認証する工程)のレベルが決定される。安全性方針は、申請環境を支援するために必要な、物理的、手続き的および処理管理を決定する。
【0009】
CAを生成し組織化するための2つの普及しているモデルが存在する。第1は階層化CAモデルであり、これはその頂点がルートCAである逆ツリーに似ている。ルートCAはその直下のCAの認証に署名する。これらのCAは続いてそれらの下位CAの認証に署名し、以下同様である。これらの関係は、ツリーの枝を形成する認証連鎖を生成する。2つのCAは信頼関係がそれらの間に存在することを証明するが、これはそれらの個々の認証連鎖を共通ノードに達するまで「歩行(Walking)」することにより行われる。いくつかのCAはグループ化され1つまたは複数のサービス提供チャンネル、工業縦割り分野(industry vertical)、組織または企業に関連付けられる場合もある。
【0010】
第2モデルでは、1つのCAが単一企業に対して生成され、CAサービスをその企業内の1つまたは複数の事業体に提供する。1つの企業CAは通常、他の企業のいずれのCAとも予め確立された信頼関係は有していない。CA相互認証の形式で相互運用を可能とするために、明示的な処置が行われねばならず、此処で互いに信頼することを同意した2つまたはそれより多数のCAはそれぞれ互いの認証に署名し、デジタル署名検証に際してこれらの相互認証された認証を使用する。従って1つのCAで発行された認証は、他の相互認証されたCAおよびその使用者によって有効と確認される。
【0011】
CAが認証を無効にするのは、他にも理由は有るが、その中に含まれる情報が無効になった場合、使用者の秘密鍵が危うくなった場合、または使用者の認証に基づくアプリケーション特権を終了する必要がある場合である。CAは認証が既に所有者に所有されている場合、認証を単に取り消したりその所有者から回収することは出来ない。その代わりに、その認証はCAのデータベース内で「無効」とされ、その認証状態が公表される。従ってPKIの使用者は認証の有効性を、認証状態を発行しているCAまたは身元のはっきりした状態集積所(ディレクトリ)から要求することで確認できる。
【0012】
認証状態を報告するために使用された従来の方法は、CRLとして知られているCAの無効とされた認証のリストを公表することによってであった。CRLは希望者および信頼している関係者によりダウンロードされて、特定使用者の認証が無効とされているか、また延長することによりその使用者のデジタル署名が未だ有効であるか否かの判断が行われる。時間が経つとCRLはより長くなり、通信およびデータ処理のオーバヘッドの負担が掛かるようになる。この手法の別の欠点は、CRLがしばしば不定期間隔(例えば日に1回または2回)で公表されることである。従って、CRLはしばしば公表直後に古くさいものになってしまう。無効とされた認証はCRLから認証期限切れの後、除かれるだけである。
【0013】
PKIブリッジは複数のCA間の相互運用性を提供するための方法であり、CRLを協調して分配することにより行われる。その様なブリッジは中央CRL集積所であり、事実上互いに他の認証および安全方針を受領することを了承しあっている複数CAの組を結合している。全てのCAは彼らのCRLをそのブリッジに通知する。これにより、全ての個人または事業体の認証の集中的有効性確認が可能となる。その認証が過去に無効とされていなければ、それは依然有効であると考えられる。PKIブリッジの最大の欠点は、それらがそのブリッジに依存している全てのCAまたは使用者により認証状態に接続可能でなければならないことである。必要な帯域幅、計算および記憶容量は高価なものとなろう。
【0014】
認証状態を得るための更に最近の方法は IETF OCSP であって、これは実時間認証状態を提供可能な、直接データベース問い合わせを行う。しかしながら、ベンダの中にはCRLに基づくOCSP応答システムを実現しているものもある。この型式の応答システムで報告された認証状態は、それらが基本としているCRLにしか同期していない。IETF SCVP の様な実時間認証状態を実現する試みは、発展し続けている。本発明の時点で、状態チェック方法の混合および整合は、オープンPKI環境では未だ実際的なものとはなっていない。
【0015】
認証妥当性確認の全ての手法は、その認証を発行したCAに対する、可か不可かの判断である。メンバCAの1つにより認証を発行された全ての使用者は、彼らの認証が一時停止されるか、無効となるかまたは期限切れとなるまで有効/使用可能である。参画を制御するための共通の主題は、認証が発行されるか否かである。発行は認証および安全方針並びにビジネス規則に基づき管理される。
【0016】
信頼環境は完全無条件に参画料を支払える誰もが認証を発行される、から制限付きまたは限定、企業または対象団体の会員であることを必要とする、までの範囲がある。いずれの場合も、CA認証そして/または安全方針が相互運用性を可能とするか否かを左右する。
【0017】
出願人の発明は、先に説明したものとは全く異なる観点からPKIおよびCAの相互運用性問題に取り組んでいる。出願人の論点は、譲渡可能記録(所有権が取り引きされる)である電子オリジナル情報オブジェクトの作成、実行、保守、転送、検索、および破壊に適した信頼環境を確立することである。これらの目的を実現するために、電子オリジナルまたは権威あるコピーを管理するシステムはオリジナルをその全てのコピーから識別することが出来なければならない。紙のオリジナルと同様、オリジナルは1つのみでなければならない。譲渡可能記録の例は、電子売買可能法律文書および有価証券がある。電子オリジナル記録は、それが譲渡可能記録としての資格を与えられているか否かによらず、任意のソース記録である。電子オリジナル記録の複数システム間での転送は、唯1つのオリジナルのみしか存在しないことを保証する方法を用いて行われなければならない。
【0018】
本発明は電子オリジナル記録の生成を、その記録の保管を機能的に独立した団体またはその記録の所有者の利益になるよう運用されているTCUの管理にゆだねることで実施している。信頼環境を生成することは必要であるが、電子ソース記録を保守するためには充分でない。本発明のその目的のために、信頼環境は閉鎖的または限定された会員を有する対象となる共同体の体制により生成され、此処では予想される会員、組織およびそれらの使用者の身元は適切な審査手法を用いて保証されており、この審査はその共同体への入会の許可を管理している。更に、個人の組織、加入、役割および属性は登録時にTCUにより定義される。個人はシステムおよびそれらの認定認証でユニークに識別されなければならない。加えて、個人および組織をその共同体から除くことが出来なければならないし、この処置がその共同体の他のメンバに通知されなければならない。CAの相互運用性への従来の手法はこれらの目的を十分に達しているとは言えない。
【0019】
審査は最低限、組織そして/または個人がその共同体の既知の会員の支援を受けていることを必要とする。加えて、ダンアンドブラッドストリートの様な組織に対する格付け、またはエキファクスの様な個人に対する信用調査、または同様の信用および支払い記録が、可能性のあるビジネス・パートナ、クライアントおよび顧客の容認可能性を評価するために使用される。審査組織およびその支援を受けた使用者は、TCU登録が許可される前に信用できると見なされなければならない。組織が会員資格を定める契約条件に同意した後、それに支援された個人には各々ユニークな識別子とパスワードが与えられ、これらは彼らがTCUにアクセスすることを可能とする。
【0020】
一度個人が1つまたは複数のTCUに登録されると、彼らはその取引の所有者に依って、取引の参加者として指名され、彼らの身元、役割そして/または責任に基づき、全てまたはオリジナル記録の確認された副集合の1つへの特別なアクセスが与えられる。身元確認および認定を容易にし、取引が完全に電子形式で行えるように、この識別された情報の選択されたサブセットが参加者の認定認証の中に含まれている。認定認証は使用者の身元を彼らの公開鍵と結びつけており、この公開鍵は彼らの整合する署名秘密鍵を用いて生成されたデジタル署名を有効と確認するために使用される。
【0021】
認証または安全方針は、認証を発行するために必要な身元保証要求(例えば、2つの形式の画像ID、信用調査、個人紹介)に対処する。この認証は、デジタル署名典拠として必要とされる場合、使用者のTCUアカウントに結びつけられるはずである。この繋がりはその使用者をユニークに識別する認証データ構成要素の副集合(例えば、認証ID、発行元CA名称、使用者共通名)を含まなければならない。一度使用者のアカウントと関連づけられると、認証は彼またはそのデジタル署名と共に使用されて、権威づけられた処置のあらかじめ定められた組を可能とし、また提出された情報オブジェクト上の使用者のデジタル署名を検証するために必要な身元証明を与える。これは所有者または電子記録の組を管理する所有者の代理人がTCUに対して、電子記録の別のTCUへの所有権の移動(すなわち、内部取引)そして/または保管の移動(すなわち、外部取引)を指示した場合に確かである。
【0022】
先に記述したように、認定認証および公開鍵暗号は使用者認定並びにデジタル署名検証の両方を支援するために使用されている。認証は発行元CAによりデジタル的に署名され、受取人の身元は公開鍵により封印される。このCAは認証を発行する際に、その認証の中で身元保証されている個人は、情報オブジェクトまたはその一部にデジタル的に署名するために使用された整合秘密鍵の保有者であることを主張する。
【0023】
本発明は他のPKI準拠電子商取引(e-commerce)解決法とは異なっているが、それはPKIが権限付与としてのみ見なされ、信用環境の単一根拠では無いからである。保証人であること(sponsorship)、会員に対する契約、および入会登録が基本要素である。認証および公開鍵暗号の使用は権限付与技術として見なされるが、認証はユニークに身元確認し、それが使用者のTCUアカウントに結びつけられる前に特定使用者に関連づけられなければならない。
【0024】
認証が採用された場合には、そのアカウントはこの認証と使用者アカウント間の結合が完了するときに一度だけ起動されるはずである。この結合は単純であって、認証IDと発行元CAを使用者のアカウント情報に付け加えるか、またはその認証で伝達される他の情報、例えば使用者の識別名(ITU X.509 規格参照)を使用するものである。この結合情報は登録形式の中で伝達されるか、または認証から直接抽出されるが、これはTCUシステムの安全方針毎に行われる。対応チェックを使用して認証内の使用者記述が登録データ内のそれと一致するか裏付けを行い、これは認証が使用される度に行われる。使用者の認証は発行元CAにより署名され、その無謬性および信頼性は発行元CAの認証および公開鍵を用いて有効であると確認される。身元保証に使用される要素の集合的な組は、証明可能的にユニークでなければならない。一度このTCUアカウントと使用者認証との結合が完了すると、TCUは認証状態を確認するために何処へ行けばよいかを知るだけでよい。
【0025】
CA中枢環境の中で、単独PKI、相互認証、またはPKIブリッジ(複数ベンダ製品が多数のCAで使用されていて、認証状態チェックが実行される複雑なシステム)の生成が相互運用性に対して要求される。共通要素は全ての認証が等価で有ることである。複数の認証は異なる信頼レベルを伝達するはずであり、1つのオープン環境内の複数のアプリケーションはこれらの信頼レベルを解釈し異なるように使用する能力を持たなければならない。この理念は「貴方が望む全ての場所へ導く道を我々は造る」と言うことに特徴付けられる。使用者はCA環境上で種々の基準(例えば、信用調査、支払い手段、認証のコスト)を使用して審査される。
【0026】
逆に言えば、TCUは「承認されたCA」の既知の集合のみに関心があり、その集合の中でのみそれらの認証は使用者アカウントに関連づけられる。他の全ての認証は無視される。この考え方は「貴方に開放されている道は、貴方のビジネスを導くために必要なものだけである。」と特徴付けることができる。使用者は二度審査される、一度目はCA認証方針を満足すること、二度目はTCUに登録されることにより彼らに必要なビジネスが存在すると証明されること。TCUで強制されるビジネス規則は、異なる信頼レベルで発行された認証に対応できる。
【発明の開示】
【発明が解決しようとする課題】
【0027】
これまでのところ、全ての認証状態報告サービスは認証状態報告の単一手段を使用しており、これはCRL,OCSP,LDAP等である。本発明はこの点で異なっており、これは認証状態の検索および報告する目的用に全てのCAまたはPKIを用いた相互運用性を可能としている。大体において、これはまたシステムまたはTCUとCA認証状態報告要素との間の実時間連続接続性への依存度を、認証状態をキャッシュすることにより低減させる。
【課題を解決するための手段】
【0028】
出願人の1つの特徴として、それぞれのCAにより発行された認定認証の有効性をチェックするためのCSSを提供するための1つの方法は、その認定認証を発行した発行元CAから認定認証の状態を呼び出すために必要な情報を識別し;識別された情報に基づき、発行元CAと通信するためのコネクタを構成し;その認定認証を呼び出すためのステップを含む。発行元CAおよびコネクタは構成ストア内の承認されたCAのリスト上で指定される。
【0029】
現地日時が、それらが認定認証有効期間の中で指示されている有効期間内であるか否かチェックされる。発行元CAは承認済みCAのリスト内に、その発行元CAをあらかじめ定められたビジネス規則に基づいて審査および承認することによって含まれているはずであり、その発行元CAが審査され承認されていない場合、その発行元CAは構成ストア内の非承認CAのリスト上に指定されているはずである。発行元CAの審査および承認は、信頼された認定認証の表示をCSSに登録し、少なくとも表示、状態および有効期間データ要素をローカル・キャッシュ・メモリに追加することを含む。次にコネクタが、信頼された認定認証の状態が問い合わせられた際に、追加された状態を呼び出すために構成される。発行元CAとの通信がまた、コネクタの順番に従って実行される。
【0030】
この方法は更に、状態用のローカル・キャッシュ・メモリをチェックし、その状態がそのローカル・キャッシュ・メモリ内に見つけられ、ローカル日時が有効期間内の場合、その状態をローカル・キャッシュ・メモリから呼び出すことを含む。その状態がローカル・キャッシュ・メモリ内に見つからないか、またはローカル日時が有効期間内に無い場合、CCSは通信セッションを発行元CAの認証状態報告構成要素と確立し、認証状態要求を構成されたコネクタに基づいて創作し、その状態を認証状態報告構成要素から検索し、認証状態報告構成要素との通信セッションを閉じ、少なくとも認定認証の識別、状態、および有効期限をローカル・キャッシュ・メモリに追加する。
【0031】
認証状態はCRLにより示され、発行元CAの発行スケジュールに基づき、CSSはそのCRLを構成ストア内のリストに示された認証状態報告構成要素から検索し、CSSはその発行元CAに関連するキャッシュ・メモリを消去し、そしてCSSは認定認証の状態をCRLから決定し、その状態をその発行元CAに関連するキャッシュ・メモリの中に格納する。
【0032】
認証状態はまた、デルタ認証取り消し表(「CRL」)でも表示され、発行元CAにより1つのCRLが利用可能であると公示されると、CSSはそのCRLを構成ストア内にリスト表示されている認証状態報告構成要素から呼び出す;そのCRLが完全なCRLの場合、そのCSSはその発行元CAに関連するキャッシュ・メモリを消去して、状態をそのCRLから決定しその状態をキャッシュ・メモリの中に格納する;そのCRLが完全なCRLを発表した後に発生した変化のみを含む場合、CSSはその状態をそのCRLから決定しその状態をキャッシュ・メモリの中に格納する。
【0033】
出願人の発明の別の特徴として、1つの発行元CAにより発行された認定認証の状態を、1つのTCUから1つのCSSへの、その認定認証の状態を問い合わせに応じて呼び出す方法が、その状態が存在しそのCSSのキャッシュ・メモリに現存する場合、その状態の所在を確認して報告し;そうでない場合は、CSS構成ストアから状態の型式と検索方法を獲得するステップを実行し;その状態型式がCRLで、その状態がキャッシュ・メモリ内に見つからない場合は、その状態を有効であると報告し;その状態型式がCRLで無い場合は、その状態型式に基づいて認証状態要求を作成し;通信セッションを発行元CAと確立し;その状態を発行元CAの状態報告構成要素から、取得された検索方法を用いて検索して通信セッションを終了し;検索した状態を解釈し;検索され解釈された状態を、その状態型式に対するCSS方針で指定された期間を表す有効期限に関連づけ;少なくとも認定認証の識別子、状態、および有効期限をそのキャッシュ・メモリに追加し;そしてその状態をTCUに対して問い合わせに応答して報告する、以上のステップを含む。
【0034】
出願人の発明の更に別の特徴として、発行元CAにより発行された認定認証の正確で時期を得た状態表示を提供するためのCSSが、その認証の発行元CAが状態表示用にCRLを使用している場合、認定認証の状態をCRLで表示されたものとして提供することを含む。そうでない場合は、キャッシュ・メモリが状態と期限切れでない有効期限データ要素を含む場合、キャッシュ・メモリで表示された状態が提供される。有効期限データ要素が期限切れの場合、その状態はキャッシュ・メモリから消去され、その状態がキャッシュ・メモリ内に存在しない場合は、実時間認証状態報告プロトコルを用いて要求され呼び出される。少なくとも認証の識別子、状態、および有効期限データ要素がキャッシュ・メモリに追加され、呼び出された状態が提供される。
【0035】
状態使用計数器データ要素がキャッシュ・メモリに追加され、認証状態チェックがなされる度毎に増数更新または減数更新される。その状態使用計数器データが閾値を超えると、その状態は提供されキャッシュ・メモリはその状態に関して消去される。また状態最新アクセス・データ要素をキャッシュ・メモリに追加することも可能であり、状態最新アクセス・データ要素は状態使用計数器データ要素と共に、認証状態の利用頻度を判定することが可能である。
【0036】
新たな認証の状態を呼び出す要求がCSSに対して行われ、キャッシュ・メモリが割り当てられたサイズ限界に到達した場合、CSSは最も古い日付を示す、最新アクセス・データ要素をキャッシュ・メモリ内で検索し、それぞれのキャッシュ・メモリの事業体を消去し;次にCSSは要求された状態を検索してそれをキャッシュ・メモリ内に配置し、その要求された状態を提供する。
【0037】
出願人の発明の更に別の特徴として、第1当事者と第2当事者間で検証可能な証拠の痕跡を有する認定された情報オブジェクトの制御を移動することにより取引を実行する方法は、提出側当事者デジタル署名を有する第1デジタル署名ブロックを含む認定された情報オブジェクトと、その提出側当事者の少なくとも1つの識別子と暗号鍵に関する第1認定認証とを信頼された集積所から検索し、呼び出された認定された情報オブジェクトを第2当事者により、呼び出された認定された情報オブジェクトの中に第2当事者のデジタル署名ブロックを含めることで実行し、そして実行された認定された情報オブジェクトをTCUへ転送することを含む。
【発明の効果】
【0038】
このTCUはこのデジタル署名を検証し、このデジタル署名に関連する認定認証を、少なくとも認定認証の状態をCSSから呼び出すことにより有効と確認する。このTCUはそれぞれのデジタル署名が検証されないか、またはそれぞれの認定認証の状態が期限切れかまたは取り消されている場合はデジタル署名ブロックを拒絶し、情報オブジェクト内の少なくとも1つの署名ブロックが拒絶されない場合、このTCUは自身のデジタル署名ブロックと日時表示とを情報オブジェクトに付加し、そのオブジェクトの管理を第1当事者に代わって行う。
【0039】
出願人の発明の種々の特徴並びに長所は、添付図と共に本説明を読むことにより明らかとなろう。
【実施例】
【0040】
認証状態チェックはシステムまたはTCUが提出された全ての電子情報オブジェクトを受け入れるに当たってきわめて重要な要素である。提出物が受け入れられるために、その認証状態は有効であると報告されなければならない。認証状態の問い合わせは、通常TCUと認証状態の発行元との間で行われる通信を必要とする。これらの通信頻度はTCU仲裁付託の数に比例して増大する。
【0041】
認証状態チェックは実時間要求であり、状態問い合わせは仲裁付託の度毎に実行される。しかしながら、状態はCRLの様な場合には実時間で更新されるものではない。全てのCRLは特定の間隔で公開されており、通常は1日に一度または二度である。CRL検索および繰り返される分析はシステム性能に良くない影響を与えかねない。本発明は多くの作業をCSSに移すことにより、直接計算および通信要求を著しく削減している。単一の認証状態プロトコルがTCUとCSSとの間に導入されている。この状態プロトコルはIETF OCSPに似た属性を有し、これは1つのアプリケーションがCAに対して1つの認証状態を問い合わせることを可能とし、処理オーバヘッドを最小としている。
【0042】
CSSはその場所で十分な情報、通信手段および相互運用するのに必要な全てのCAに対する認証状態処理手段が具備および維持されている。従ってCSSはアプリケーション設計を安定化させ最適化することを可能とする。CSSは好適に認証状態を分析およびキャッシュして、TCU状態問い合わせへの状態応答時間を最小とする。従ってCSSはPKI相互運用性の全ての従来形式の必要性を無くする。潜在的妥協回復(Potential compromise recovery)は大きく強化されるが、それはTCU使用者アカウントが容易に不活性状態にしたり、または使用者の1組をそのCAを承認されたCAのCSSリストから取り除くことにより除去できるからである。
【0043】
(認定認証の使用)
TCUへログインした後、参加者は更に彼ら自身の認定を、公開鍵および彼らの認定認証の使用を通して問い質されるはずである。そのような認定は、安全セッション確立、TCUサービスまたはデジタル署名の要求および電子情報オブジェクトの提出に関連している。
【0044】
誰でもTCUとやり取りを行う前に、4つの条件が合わなければならない:1)彼らは第1にシステム使用者として登録されなければならない、2)彼らは一対の公開鍵と彼らが読みとり専用アクセス以上を許されている場合、彼らに整合する認定認証を発行されて所持していなければならない、3)認証が承認されたCAから発行されていなければならない、そして4)その使用者の認証は期限切れでも、不活性状態または無効状態であってはならない。この最後の条件は通常TCUが発行元CAに認定認証検索の問い合わせを行う時に要求される。認証状態報告に関して広範な基準およびCA実施状態が存在するので、これは簡単でも単純な作業でも無い。
【0045】
背景説明の章で述べたように、複数のCAまたはPKIが含まれる際には、通常何らかの形式のPKI相互運用性が要求される。本発明はこの必要性を、認証状態サービスを作ることで無くしている。CA相互認証またはブリッジは不要であり、CSSにとって唯一必要な知識は承認された発行元CAのリスト、かれらのIPアドレスまたは同様のもの、および認証状態を報告する彼らの手段である。
【0046】
認証状態を検索するために、コネクタまたはプログラム・モジュールが各々の認証状態方法に対して定義される。全ての認定認証は被検者(使用者)および発行者(CA)フィールドを含む。発行者フィールドはTCU問い合わせをCSSに導くために使用され、これは続いてそのキャッシュをその認証の状態が存在するかチェックする。状態がそのCSSキャッシュの中に存在する場合、それはTCUに戻される。状態が存在しない場合、CSSは適切なコネクタをインボークして、認証の状態を検索する。多数の方法が認証状態を報告し検索するために使用できるであろう:LDAP,OCSP,CRL等。
【0047】
全てのTCU動作を実行するために、使用者は最初にTCUにログインしなければならない。一度成功すると、その使用者は彼らがその様な権限を許可されている場合、トランザクションを生成するかまたは選択することができる。彼らが電子情報オブジェクトの提出許可を有する場合、彼らはすぐに実行できる。電子情報オブジェクトを受け取ると、TCUは必要なデジタル署名有効性確認ステップを実行する。認証状態問い合わせが作成され、CSSへ送られる。有効状態が戻されると、TCUは提出物を認定されたコピーとして受け入れて格納し、それ以外の場合それは拒絶される。
【0048】
(デジタル署名処理および認証状態チェック)
デジタル署名は情報オブジェクトの1つまたは複数の断片または全コンテンツに対して適用される。デジタル署名はそのトランザクションの当事者または代理人に属し、この代理人はそのトランザクションがビジネス過程の文脈の中で1つまたは複数の状態を獲得することを可能としている。デジタル署名は実際、実行されるタスクに関する追加情報に適用される場合もある。その様な一例は、財産権利書上(property deed)の土地法務官表記(country recorder’s notation)である。別のものは、TCUに提出される情報オブジェクトの信頼性を証明する当事者の署名のアプリケーションである。この後者の事例において、提出者はその情報オブジェクトを封入したりまたは封印するように言われ、この中でデジタル署名が全コンテンツに対して適用され、後での全ての修正変更を防止する。
【0049】
デジタル署名が適用される際には何時でも、署名者は彼らのデジタル署名で拘束されるものに対する彼らの意図を確認するように要求される。最新の法規で要求されるこの同意動作は、表示ウィンドウまたはスプラッシュ・スクリーン内で読みとり可能なテキストの形式を取り、画像ボタンの呼び出しそして/または、暗号鍵および認証ストアである暗号トークンへのログオンを必要とするはずである。同意に対する前記意志の実際の表明は、選択されたコンテンツを用いて使用者のデジタル署名を計算する信頼されたアプリケーションの使用を通して行われ、それを署名ブロックの形式に対する彼らの認定認証と結びつける。この署名ブロックはまた認定および非認定データ要素を含むはずである。認定データ要素はデジタル署名計算(例えば地方日時)の中に含まれ、デジタル署名(完全性)により保護されていると考えられる。非認定データ要素は署名計算の後に追加され、保護されない。図4はシンタックス例を示し、これは署名ブロックのデータ要素と配置を含む。これは図示例としてのみ意図しているので文字通りに解釈されるべきものでは無い。
【0050】
情報オブジェクトおよび全ての署名ブロックは、好適に封体(S/MIME)または拡張可能情報シンタックス(XML,HTML,XHTML)内のタグの中に配置されていて、取り扱いを簡便にしたり情報処理を容易にしている。このデータ構造は次に有効性確認のためにTCUへ送られる。代わりに、署名ブロックは独立してTCUに、決してTCUを離れることのない実際のオリジナル記録に添えられるために送られる場合もある。後者の場合、各々の署名ブロックは個別に有効性確認がなされる。
【0051】
デジタル署名有効性確認の過程は、提出の時点とその後の実行時とは異なる。TCUが最初にデジタル署名を見た時点で、4ステップの有効性確認が行われる:1)デジタル署名を検証する、デジタル署名で保護されているコンテンツが転送中に改変されていないことを証明する行程である;2)現在のTCU時刻がその個人の認定認証の許容可能有効期間(「それ以前で無く」「それ以降でも無い」)内に入っていることのチェック;3)認証状態を発行元CA、CRL分散点、またはその他の承認された認証状態源からローカルに指定されたCSSを用いて要求し検索する;4)そのTCU使用者アカウント情報が認証の中で伝達されたものと合致するか、および要求された行動がTCU規則データベースの中で認定されているかの有効性を確認する。その情報オブジェクトの提出者に対して、処理は1つの追加ステップを付加する。この第5番目のステップは提出者の身元が現在のセッションをTCUと確立している当事者と合致するかをチェックする。全ての検査に合格すると、この行動は許可されそして/またはその情報オブジェクトは受容されて、その所有者に代わってTCUで保持される。いずれかのステップで不合格となると、処置は初期化される。
【0052】
この初期認証状態チェックの後、TCUの信頼環境は全ての保持されている情報オブジェクトの信頼性および無謬性を維持する。新たな版の文書が提出されない限り、いかなる追加の認証状態チェックも予期されていない。
【0053】
本発明の2つの特徴は通常のPKI実現過程と異なる。第1に本発明はアプリケーション、すなわちTCU(または、認証状態有効性確認を要求する全てのアプリケーション/システム)および、電子1次資料記録を生成し維持するその能力が存在することに基づいている。第2は、「発行元CA」は信頼環境を管理する方針に同意すると認める必要があるだけであり、CA相互認証もPKIブリッジも必要とされない。「発行元CA」を含めることに必要な正当化は、文書化されたビジネス関係である。TCU登録処理の間に、使用者アカウントが生成され、これは使用者特有の認証情報を参照し、これは事実上使用者アカウントを使用者の認定認証と結びつける。
【0054】
(TCU使用)
典型的に一度組織がTCUのサービスを利用することに同意すると、組織のトランザクションへのアクセスの管理がその組織の代理人に許可される。その組織の代理人は次に、その組織のトランザクションに関して選択された行動を実行するように権限を与える、個人の組を識別する。全ての行動は使用者がTCUに関するアカウントを所持し、そのアカウントが起動され、そして使用者がログオン識別子を有し適切なパスワードまたは問い合わせ文句に応答出来ることを要求する。加えて、版(バージョン)付けられた電子1次資料記録の組で構成されている各々のトランザクションは、ビジネス過程の異なるステップで使用者アクセスを管理する、一組の認可を有する。これはトランザクション記録への権利の許可および剥奪で例示され、それはトランザクションが通常のビジネス経路、すなわち開始から永久保存または廃棄までを進むからである。許可されている場合は、電子オリジナル記録を見るのであればTCUにログオンするだけで構わない。しかしながら、全てのシステム・レベル行動または電子オリジナル記録の導入または変更は個人に対して彼ら自身の更なる認定を公開鍵暗号を用いて、または彼らのデジタル署名および認定認証を適用して行うことを要求する。全ての事象において、個人の身元は有効であると確認されなければならない。デジタル署名が採用されている所では、これは必然的に:1)使用者が適切なアクセス許可を有し、2)デジタル署名を解読し、その上に基礎ハッシュまたはメッセージ要約が適用されているコンテンツが改変されていないことを検証し、3)提出時刻が認証有効期間内に入ることをチェックし、そして4)使用者認証が未だ有効であることをチェックする。
【0055】
認証状態チェックは発行元CAまたは認証状態応答機に問い合わせることを必要とする。このステップは全ての認定行動または電子オリジナル記録提出の度毎に行われなければならないので、通信帯域は超過となり遅延、未処理分、および未応答または遅い状態応答による拒絶の可能性が存在する。本発明はこれらおよびその他のTCU運用の高い保険機能を取り扱い、TCUと相互作用を行う全ての当事者の有効性を保証する。
【0056】
その中でTCUが運用される高い保証環境において、認証状態チェックは資格を与えられた使用者からサービスが要求された時にのみ必要とされる。情報オブジェクトに対して、認証状態は提出時にのみチェックされる必要がある。全てのデジタル署名が有効であると判定されると、その情報オブジェクトはそれ以降信頼できるものと見なされる。安全および手続き上の手法と方法とがTCUの中に配備されていて、認定されていないドキュメントの改変または損失を招きかねない、犯意のある行為またはハードウェア故障を回避している。提出毎に結果として新たな版の電子オリジナル記録が生成される。TCUはオリジナル記録の最新版に関して知識を維持する責任が課せられている。この版は電子1次かつ転送可能記録と識別される。TCUは1次オリジナル記録の制御の前提を、信頼性のある日時スタンプをオリジナル記録に追加し、そのデジタル署名を適用しそしてその認証を添付することにより実証している。封体がオリジナル記録に適用されて安全性と処理利便性に対応している。この版付け処理は孤立の認定された証拠および管理の痕跡を生成するが、別の冗長監査記録が裏付けのために維持されている。
【0057】
出願人のCSSは今日PKIおよび電子商取引に存続する上記の制約を解消する。認証状態を会員CAから取得するために必要なオリジナル情報は、それらが生成されたときにCSSに登録される。外部承認されたCAのオリジナル情報は使用者登録処理中に入力される。CSS検索情報は全ての認証状態源に対して必要とされる。いくつかの型式の認証状態源が存在し、CSSは各々の登録されている型式に対してコネクタまたは方法を持つ必要がある。
【0058】
認証状態を伝達するためにいくつかのCAで使用されている1つの方法はCRLであり、これは取り消された認証およびそれらの取り消し理由のリスト、そのCRLの発行者、そのCRLが発行された日時、およびCRLの次の版が発行される予定日時を含む。全てのCRLは発行元CAまたは指定された署名者によって署名され、その無謬性と信頼性とを保証している。認証はその有効期間が超過するとCRLから取り除かれる。
【0059】
CRLが使用される所では、CSSはCRLの最新翻訳をCA分配点、例えば X.509 v2 CRL プロファイル(IETF RFC2459,1999年1月)から検索し、その署名の有効性を確認し、それを解析し、その結果を格納するキャッシュを生成する。CSSはCAのCRL発行間隔を用いて、次にCRLのダウンロードを実行する時期を管理する。全てのCRLは有効性フィールドを含み、それは通常ダウンロードを実行する際の幾ばくかの余裕を許すように設定されている。これは通信の混雑およびCA不稼働時間を許し、CSSに対してこの期間を超過した場合、救済処置を強制する。その様な救済は新たに追加された取り消し認証に関連する全ての提出物の再有効性確認を含む。各々の新たなCRLは先にロードされたCRLを更新する。この規則の例外はデルタCRL行列である。デルタCRLの内容が現在のキャッシュ内容に添付される。デルタCRLに基づくCRL番号は、発行された最新の全CRLを参照する。デルタCRLは短期間(分、時間)に、最後の全CRLの後に認証取り消しが発生した時にのみ発行される。CSSはCRLおよびデルタCRLの検索に対して責任を有し、これは発行間隔または告示およびTCU安全方針で確立された間隔を超えないと言うことに基づいている。
【0060】
認証状態を分配するためにCAで使用される第2の方法はOCSPである。OCSPが使用される所では、CSSは認証状態の問い合わせを受けた際にOCSP応答機に問い合わせを行う。OCSP応答は彼らの無謬性および信頼性を保証するために署名される。CSSはOCSP応答を解析し認証詳細および状態を別のキャッシュに追加する。ローカルTCU安全方針で決定された有効期間フラグが含まれており、何時その登録がキャッシュから取り除かれるかを決定する。この特徴はいくつかの情報オブジェクトが同一当事者/事業体によりTCUに対して短期間にアップロードされた際の通信オーバヘッドを最小とすることを目的としている。この有効期間フラグは通常のCRL発行間隔(日に二度、毎日)よりも、通常はかなり短い(例えば5分)。CSSは認証状態を再びチェックするが、これは複数の情報オブジェクトが処理された場合、認証状態をキャッシュから消去する前に、認証取り消しが生じていないことを保証するために行われる。認証取り消しが有効期間中に生じている場合、所有者組織接続点が通知されなければならない。その他のいくつかの問い合わせ方法が存在するが、簡単のために説明は省く。それらの各々はそれらが利用される際に、コネクタおよびもしかすると別のキャッシュを必要とするかも知れないことを理解されたい。
【0061】
図1は電子オリジナル資料を生成するための処理フローを示す。説明のため、情報オブジェクトは販売契約を前提としている。電子情報オブジェクトのコピー(実行されていない)がTCUまたは文書準備システムから検索され、デジタル的にまたはホログラフ的に(手書き)適切な当事者によって署名される。実行処理過程を監視することにより、所有者の代理人は信頼されたアプリケーションを用いてデジタル的に署名し、情報オブジェクトを封印しそれをTCUに送る。
【0062】
事前に電子文書を生成し、実行または検索することにより、提出者はデジタル的に署名しそれをステップ101に示されるようにTCUに提出する。このeSeal処理において、封体は署名されたコンテンツとデジタル署名ブロックとを含み、このデジタル署名ブロックは更に提出者のデジタル署名および認証を含み、全ての他の署名者が形成される。図1には5つの処理が示されている:(1)無効なデジタル署名そして/または取り消された認証が発見された際の行動、(2)状態がローカルにキャッシュされている場合の認証状態チェック、(3)認証状態が検索されなければならない場合の認証状態チェック、(4)CRL検索および処理、そして(5)eSeal文書が信頼性のあるものと決定される際にeOriginalの生成。ステップ103において、TCUはeSealされた電子文書を受け取る。ステップ105において、TCUは提出者が電子文書を選択されたアカウントそして/またはトランザクションに追加する権限を有することを確認する。ステップ107において、TCUは電子的に封印されたデジタル電子文書内に含まれる全てのデジタル署名を暗号的に検証する。署名者のX.509認定認証内に見られる公開鍵が、検証処理過程の中で使用される。ステップ109において、認証有効期限が署名者の認定認証から抽出され、ステップ111において、有効期限が現在の日時に対してチェックされる。以上述べた検査のいずれか1つでも不合格となると、その提出物はステップ113で拒絶され、ステップ114において否認確認が送られる。処置はステップ117で記録される。
【0063】
全ての検査に合格すると、封体の中に含まれる各認証に対する認証状態がステップ119でCSSから要求される。ステップ121および123において、認証状態がチェックされそれが認証状態ストアの中に存在するかが確認される。ステップ125において、認証状態が検索され、ステップ127で認証の有効性がチェックされる。何らかの理由でいずれかの認証が無効であると見なされると、その提出物はステップ113で拒絶され、否認確認がステップ115で送られ、その処置はステップ117で記録される。その提出者は回復処置を探すように期待される。
【0064】
ステップ127で全てのデジタル署名および認証がその提出物に対して有効であると決定され、次にステップ129において、TCUは日時スタンプおよびTCUデジタル署名ブロックとを含む別の封体を適用する。次にTCUはその提出物を電子オリジナル記録としてその記録の所有者の代わりに管理を引き受ける。ステップ131において、TCUはその電子オリジナルを保護された固定記憶域に配置し、ステップ133においてこのTCUは肯定確認を送り、ステップ117においてTCUは丁度完了した処置の通信記録をとる。
【0065】
ステップ123において、認証状態が認証状態ストア内に存在しないと判定されると、次にCSSはステップ135で発行元CAフィールドを対象としている認証から検索する。ステップ137において、CSSはその発行元CAが承認されたCAリスト上に存在するか確認するためにチェックし、このリストはステップ139のCAコネクタ・ストアにより保守されアクセスされるものである。そのCAがリストに存在しない場合、無効状態が戻され、処理工程はステップ125で再開され、ステップ127,113,115,および117と進み、結果として提出物の拒絶および否定確認の送信および記録入力が行われる。ステップ137で承認されたCAリスト上に発行元CAが発見され、ステップ141においてそれがその認証状態報告手段がCRLであると判断されると、有効状態表示がステップ125に戻される。CAが既知で状態が対象の認証内に存在しないが、状態手段がCRLの場合、CRLが存在しそれがそのCAに対して最新であるという条件で、その有効状態は有効であると見なされる。この処理工程はステップ127,129,131,133、および117と進み、結果として電子オリジナルを生成し、肯定確認を送信し、そして丁度完了した処置を記録に入力する。
【0066】
ステップ141において、認証状態報告手段がCRLでは無いと判断されると、ステップ137で得られたコネクタ情報を用いて認証状態報告機構に対して問い合わせがなされる。コネクタ記述の中で得られるものは、適切な認証状態集積所に問い合わせるために必要な全ての構成情報であって、CA、ディレクトリ、またはその他の任意の型式の認証状態集積所などである。ステップ145,147,149,および151に関連する状態ストア(すなわち、それぞれLDAP,ディレクトリ、OCSP応答機、データベース、およびサーバ)はその様な集積所の例である。ステップ143での問い合わせに応答して、これらの1つが認証状態情報と共に応答し、その状態はステップ153で認証状態ストアに追加される。
【0067】
ステップ153で追加されると、実行中認証状態処理工程はステップ121で再開し、ステップ123,125および127と継続して、その提出物が受領(ステップ129,131,138,117)または拒絶(ステップ113,115,117)のいずれかの結果となる。
【0068】
CRLはステップ155においてあらかじめ定められた間隔で、またステップ157において、疑義のある妥協が報告された時および方針上即答が要求された際に必要に応じて発行される。この処理工程は図2で更に説明される。
【0069】
CAが既知で状態が存在せず、状態機構がCRL以外の場合、認証状態サービスはコネクタを選択して認証状態機構に問い合わせる(ステップ143)。このコネクタは状態検索を行い、解釈を可能とするために必要な情報を含む。ステップ145−151に示されている実時間認証状態の任意のソースが、認証状態問い合わせに現在状態で応答するが、この処理工程はこれらのソースに限定されるものではない。ステップ153において、状態が受け取られて認証状態ストアに追加される。状態が追加されると、1つの応答が生成され処置はステップ123に戻り、状態の処理はステップ125で再開され、先に説明したように完了する。
【0070】
次に図2を参照するとCSSはCRL検索をバックグラウンド処理として実行する。1つのCRLは無効とされたかまたは現在日時が認証の中に含まれる有効期限を越えて一時停止された全ての認証のリストを含む。一時停止された認証はそれらがあたかも無効とされたかの様に取り扱われるが、それらは回復されて結果としてCRLから取り除かれるはずである。無効とされた認証が回復されることは無い。
【0071】
ステップ155において、CA管理者はあらかじめ定められた間隔でCRLを発行するようにCAを構成する。ステップ157でCA管理者はまた、ローカル認証または安全方針で指示された通りにデルタCRLも発行する。CA管理者またはCAはデルタCRLの発行を通告する。デルタCRLは全CRLの発行間隔の間で認証が無効となるかまたは一時停止される度毎に作成される。デルタCRLは無効とされたCRLの完全なリストを含むはずである。ステップ201において、CRLおよびデルタCRLがCRL集積所またはディレクトリに対して発行される。
【0072】
ステップ203において、CSSはCRL発行スケジュールまたはデルタCRL通告を検索し、ステップ205は計画的な検索で使用されるタイマを表す。このタイマはまた全てのCRL内に含まれる「次回更新」フィールドに基づく検索も可能とする。ステップ207においてCRLまたはデルタCRLがCRL集積所から検索される。ステップ209において、CRLまたはデルタCRLがステップ153で適切なキャッシュまたはステップ121で認証状態ストアのリストまたはディレクトリに確立されたスケジュールまたは通知に基づいて追加される前に、解析される。CRLを解析することにより管理が容易となりCRL入力参照でのオーバヘッドが削減される。CSSのステップ119,123,125,135,137および141が図2により完全に図示されており、これらは図1での説明のように実現されている。
【0073】
次に図3を参照すると、認証状態ストアは多数のキャッシュを含み、それらは異なる報告機構からの認証状態を保持している。キャッシュ(図3にはそれらの内の5つが示されている)は、個別のCA(キャッシュ301,303)またはCAの集合(キャッシュ307,309)に写像している。実時間で報告される状態に対して、その状態は空きが必要となるか(例えば、使用頻度が最も少ない)または方針上の要求(例えば、特定の指定期間のみ保持)が有るまで、キャッシュ上に残っている。状態は通常は一度基準を超えると取り除かれる。
【0074】
これらのキャッシュの目的は、方針で示された期間認証状態を保持することであり、これにより認証状態およびCRL検索中に必要とされる通信オーバヘッドを削減する。従ってCSSは通信を停止できる。
【0075】
CRLは解析され、キャッシュ内に配置された個別の無効とされた認証状態は、CRLが繰り返しチェックされる場合に結果として生じる計算のオーバヘッドを削減する。これはキャッシュ305,307に示されている。キャッシュの内容は新たな全CRLが検索される度毎に置き換えられる。
【0076】
次に図4を参照すると、シンタックス例が示されており、デジタル署名ブロック内に含まれる必要がある更に重要なデータ要素のいくつかを表している。図4はデータ要素の自由形式例であって、署名が複数のメッセージ断片および日/時スタンプに適用される際のデジタル署名を作り出す。この例はデジタル署名ブロックで使用されるはずのシンタックスを例示するように意図されている。<CumulativeHashValue>データ要素が、1つまたは複数の断片または全コンテンツの HashValuesおよび全てのAuthenticated Dataに適用されることに注意されたい。
【0077】
図5は認証状態サービスを支援する基本ブロックを示す、安全通信アーキテクチャを示す。図は3つのCA,CSS、およびTCU間の相互作用を示す。CSSは好適にTCUの地元に置かれていて高い利用性を保証している。その第1次的目的はTCUに共通通信にインタフェースを提供し、認証状態情報の安全でタイムリな提供を保証することである。その第2次的な目的はサービスの保証された水準または品質を、認証状態情報を維持する際に要求される通信並びに計算オーバヘッドを管理することにより保証することである。
【0078】
図5に示されるように、好適な通信ルータおよびハブを具備したCSSサーバおよびTCUは好適に通信ファイヤウォールの内側に配置されている。ルータおよびハブは情報をCSSおよびTCUに必要に応じて導く。この情報の中には eSeal 提出物を含むものがあり、これらの提出物は先に説明したようにTCUに対してインターネットの様なネットワークを通して、使用者クライアント・アプリケーションから送られる。またOCSP経由のCSSおよびTCU通信も図示されている。
【0079】
図5はまた3つのCAを図示しており、これらはそれぞれの通信ファイヤウォールの内側の異なる例示環境にある。企業CAは点線で囲われた賃貸工業CAとインタフェースするサーバを含むかも知れない。外部PKIまたは応答機は、例えばPKI,CA、および認証状態応答機の様な事業体とインタフェースするサーバを含む場合がある。階層的会員PKIはCRLおよび認証状態用のV3 LDAP、ルートCAおよび抵当並びに賃貸工業、貸し手、閉鎖代理人、および所有権保証者向けCAの様な事業体とインタフェースする場合がある。
【0080】
図6および図7は、それぞれ会員CAおよび外部CA両方の使用者(加入者および事業体)登録処理中の認証状態サービスの使用を表す。会員CAは使用者認証を発行するように信頼されている。外部CAは外部事業体により運用され彼らの認証がTCU活動と共に使用される前に承認される必要があるものである。使用者身元認定は全てのCAで厳格に実行されるかまたは組織代理人に委託される必要がある。別の要求は、TCUが使用者へのアクセスを許可出来る前に、使用者の認証が1つまたは複数の承認する組織のアカウントに直接関連づけられるかまたはその使用する権限を与えられている必要がある。一度これが実施されると、TCUは使用者のデジタル署名を受け入れ、CSSに依存して認証状態有効確認を行う。
【0081】
図6において、TCU登録処理はステップ601で、組織の管理者/代理人が依頼人からの使用者登録情報を受け取ることにより開始する。ステップ603において、この管理者/代理人は、要求を行うために依頼人の信頼性を審査するように依頼される。依頼人は通常彼らのアカウントに対する管理のみを与えられている。ステップ605において、管理者/代理人はその使用者をTCUに登録し、使用者アカウントを設定する。ステップ607において、管理者/代理人は次にトランザクション特権を使用者に割り当てる。トランザクション特権は、電子オリジナルおよびその他のソース記録を提出、バージョン管理、転送などを行える機能を含む。
【0082】
ステップ609において、暗号トークン(デジタル署名機構)が初期化され、ステップ611において、一対の公開鍵がそのトークンに対して生成される。ステップ613で認証要求が作成され、そしてステップ615でその要求が組織のCAに送られる。ステップ617において、その認証が検索されてそのトークン上に配置される。ステップ619で、その認証が使用者TCUアカウントと結合されるかまたは関連づけられる。
【0083】
ステップ621で使用者の身元の有効性が、例えば個人的にその使用者の身元確認を行える組織の管理者/代理人の所へ本人が出頭するなどして、確認される。通常、少なくとも2つの形式の身元証明が要求される。使用者の参画が依頼人により後援されているので、管理者/代理人により知られている誰かにその使用者の身元保証をするように依頼されるような、高価値トランザクションを除いて、これで十分である。ステップ623で、使用者は請負契約に署名するように依頼され、これにより使用者はその使用者のデジタル署名の使用が拘束力を持つことに同意する。ステップ625で使用者にはプリケーション使用者マニュアルが与えられ、いかなる取扱説明書も必要であるとみなされる。ステップ627および629において、使用者にはログオンID、暫定パスワード、および暗号トークンが与えられる。
【0084】
ステップ631で使用者はシステムにログオンし、ステップ633でテスト文書をTCUに提出する。ステップ635で、TCUは使用者のデジタル署名の有効性を確認し認証を与える。ステップ637でTCUはCSSに対して認証状態情報を問い合わせる。ステップ639において、TCUは状態を受け取り、それに応じて処理する。受け取った認証状態が有効な場合、登録はステップ641で完了し、その使用者はTCUにアクセスし使用することが可能である。認証状態が無効の場合、登録はステップ643で終了し、管理者/代理人はエラーの原因を判定して救済処置を開始するが、それには概略で示した登録手続き手順のいくつかまたは全てを繰り返すことが含まれる。図6に概略を示した信頼性のある処理手順は、会員登録は完了した時点で、完全に有効となることを保証している。
【0085】
図7では、方針で指示された条件に合致する場合、外部CAで以前に発行された暗号トークンを使用者が使用することを許している。先に説明したように、登録ステップ601から607が先に行われる。使用者身元確認および契約とか621から627が先に説明したように行われる。
【0086】
使用者は既にトークンを持っているので、処理工程は図6に示されたものとは異なる。ステップ701で使用者はトークンを互換読み取り機上に置き、ログオンする。ステップ703で、管理者アプリケーションは使用者の認証をそのトークンから検索する。ステップ705で認証情報が表示され、発行元CA身元情報が得られる。このCA情報はステップ707で、そのCAが承認されたリストに載っているか審査するために使用される。そのCAが承認されたリスト上に無い場合、そのCA情報はステップ709でTCU管理者に提供され、その管理者はステップ711で入会指針典拠(Application Policy Authority)とチェックし会員登録の継続を許可する。入会指針典拠は外部CAを承認リストに追加することのみを認定できる。
【0087】
ステップ713で許可が否定された場合、会員登録はステップ649で終了し、使用者に3つの選択肢を与える。1つは会員CAで発行されたトークンを使用するように求める。別の選択肢はCA拒絶決定の見直しを要求する。第3の選択肢は以前に承認された外部CAの名称を問い合わせる。
【0088】
ステップ713で発行元CAが承認されているがリストには載っていない場合、ステップ715で管理者はそのCAとコネクタ情報承認済みリストを追加し、CSSが認証状態をそのCAから検索するように構成する。
【0089】
ステップ619で、使用者認証が新たに作成された使用者アカウントに結合されるかまたは関連づけられる。図6のステップ631から639と同様、使用者はそのアカウントが正しく設定されて、その使用者がTCUにアクセス出来るかを確認するために、試験提出をTCUに対して行うように求められる。CSSが有効状態情報を戻すと、会員登録はステップ641で完了する。CSSが無効状態を戻すと、管理者はそのエラーの原因を判別し救済処置を実行し、それは先に説明した会員登録手順のいくつかまたは全てを繰り返すことを含む。もっとも起きやすい失敗原因は、CSSが外部CAに接続して正しく認証状態を検索出来るかに関連している。
【0090】
CSSは使用者認証および発行元CAが共にTCUまたは他のシステムへアクセスすることを認定されているかの有効性確認において、非常に重要な役割を担っている。1つの発行元CAが承認済みリストから取り除かれる、そのコネクタ構造データが消去されると、全ての関連する使用者はそれ以降TCUへのアクセスを拒まれる。CSSは認証状態を要求する他のアプリケーションおよびシステム、複数のPKIおよびCAとの相互作業を要求するアプリケーションおよびシステムを含む、と一緒に作業をすることが出来ることを理解されたい。
【0091】
例えばCSSの別の用途は、サービスを探している顧客とそのアプリケーション運用者との間に契約が存在しているところで、自己署名認証を含む信頼に足る認定認証に状態を提供することである。信頼に足る認証の表現(例えば、PEM、認証ID、適用されたデジタル署名)はCSSでキャッシュされ、状態は信頼されたコネクタを用いて問い合わされる。これによりアプリケーションが単一の認証状態を持つことを可能としており、これはその認証が自己署名されたものかまたはCAにより発行されたかを問わないことを意味する。この信頼された認証方法は共同体の1つまたは複数のCAに問い合わせるというよりむしろ、少数の管理された認証が1つの共同体で使用される場で使われる。従って、「CA」および「発行元CA」という用語はこの出願で使用されるように、従来のCAのみならず自己署名認証の認められた発行者も含む。
【0092】
更に、CSSは認証状態を検索するためにコネクタの組み合わせも使用する。少なくとも1つのコネクタは、信頼された認証での使用に関して丁度説明した様に「仮想的」なものである。CSSは予め定められた、例えば順序が決められたシーケンスで認証状態が獲得されるまで、コネクタを呼び出す。この方法は状態ソースの階層(例えば、最も信頼の高いものから最も信頼の低いもの)を作成することを可能とする。
【0093】
図8は自動車賃貸の例を図示し、如何にしてCSSが電子商取引の中で利用されるかを示している。自動車のディーラまたはディーラの代行者、これ以降簡単のためにディーラと呼ぶ、にはコンピュータで表されている自動車CAからそれぞれの認定認証が発行されている。自動車特約店に居ると思われる自動車の賃借人には、それぞれの認定認証が銀行CAから発行されている。遠隔地に居る賃貸人にはそれぞれの認定認証が金融CAから発行されている。これに代わって、賃借人または賃貸人のいずれかが自己署名認証を作成しておくことも可能であり、これにはディーラが賃貸アプリケーションおよびCSSとして登録されており、これは例えば賃借人がそのディーラの馴染みの顧客の場合である。
【0094】
この出願の中で説明されるように、CSSはこれらおよびその他の認証の状態を、承認された状態報告プロトコルを使用する任意の認証状態報告手段を用いて、検索して報告する。図8において、自動車CAおよび金融CAはOCSPを使用し、銀行CAはCRLを使用し、またディーラおよび賃借人は、彼らの認証および暗号化署名手段を含む何らかの形式のトークン(例えば、PKCS#11,PKCS#12,ブラウザ鍵ストアなど)を有するものと仮定している。図8はトランザクションの実行見本にすぎないことは理解されよう;個々のトランザクションで必要な通信に応じてより多くまたはより少ないCAが接続可能である。
【0095】
ステップ801において、ディーラは賃借契約を起草するかまたはそれを賃貸アプリケーション、例えば特約店でローカルに、または遠隔サイト例えばアプリケーション・サーバで沿革的に実行されている実行プログラム、から検索する。ステップ803で、ディーラは賃借人と賃貸人との賃貸契約の実行を調整する。この賃貸契約書はローカルな賃借人と遠隔地の賃貸人の両方に同時に表示され、ディーラは質問に回答し必要で有れば訂正するように求められる。ディーラはこの賃貸契約を賃貸人にURL(uniform resource locator)を提供することで表示するように手配し、これにより賃貸人がこの賃貸契約を再検討して契約書に署名することを可能とし、署名された版がディーラに戻される。賃借人およびディーラによりローカルに、例えば賃貸契約書の上に賃借人のデジタル署名をキャプチャするタブレットPCを用いて署名され、また賃貸人により遠隔地で署名された後、この賃貸契約書は電子貯蔵所に送信され(ステップ805)、これはアプリケーション・サーバと通信するように示されている。賃借人とディーラによるデジタル署名は好適に動的であり、これはアプリケーション・サーバが表示を「デジタル的に署名された」表示器を表示された画像に適用することで更新することによりなされる。実際のデジタル署名は好適に表示されない。
【0096】
アプリケーション・サーバおよび関連する電子貯蔵所がディーラによって、賃貸人により遠隔的に署名するために契約書を保存するために使用されることは理解されよう。ステップ807から811を通して、賃貸人はこの貯蔵所から賃貸契約書を検索し、その契約内容にデジタル的に署名することにより同意し、そのデジタル的に署名された版を貯蔵所に戻す。ステップ807から811は多元サイト協調および同期トランザクション処理の両方を図示している。
【0097】
ステップ813から817において、受領された電子文書(賃貸契約書)はデジタル署名をチェックされ、何かが見つかると、このデジタル署名は検証されてそれぞれの認定認証の有効性が確認される。ステップ817において、現地時刻がチェックされてそれが認証の有効期間に入るか保証し、ステップ819でCSSは認証の状態が問い合わされる。ステップ821の応答の中で、CSSは第1に認証状態用のそのローカル・キャッシュ・メモリまたはデータ・ストアをチェックし、認証状態が存在し現在のものである場合、CSSはステップ827でその認証状態を「使用可能」として返却する。ステップ823で、認証状態が存在しないかまたは現行のものでない場合、CSSは発行元CAにこの目的用に作成されたコネクタを用いて問い合わせる。ステップ825において、発行元CA、例えば銀行CA、またはその状態報告手段(例えばディレクトリ)は状態をCSSへ、好適に同じコネクタを用いて戻し、ステップ827でCSSは問い合わされた認証の状態をアプリケーション・サーバへ返答する。
【0098】
全てのデジタル署名と認証が検証されて有効であると確認されたと想定すると、電子文書が信頼に足るものと証明し、アプリケーション・サーバはその電子文書の管理を引き受けて、ステップ829でそれを新たな版として電子貯蔵所の中に格納する。従って、適切な特徴を具備することでアプリケーション・サーバと電子貯蔵所は1つのTCUとして協力することが分かるであろう。ステップ831において、新たな版が信頼できるコピー、送信可能記録である電子オリジナルとして指定されるが、それは日時スタンプを添付しTCUのデジタル署名をその文書に適用することにより行われる。文書上の少なくとも1つのデジタル署名が有効である限り、このステップが実行される。
【0099】
ステップ833において、いずれかのデジタル署名または認証が全ての試験に不合格となる場合、ディーラには回復処置を探すように警告され、これは典型的にステップ801から829を有効代替デジタル署名が適用されるまで繰り返すことを含む。この回復処理は署名者の認証の状態が無効とされているかまたは期限切れとなっている場合、新たな認証および暗号素材が発行されるまで完了することが出来ない。
【0100】
例えば自動車賃貸契約書のような情報オブジェクトが電子形式、例えばXML,PDF,PKCS#7,S/MIME等で表現されており、これはデジタル署名の配置と検出とを可能とし、認定されていない変更を防止することは理解されよう。従って多数のこれらの形式を、安全封体または含まれる情報の封筒として考慮することが可能である。
【0101】
CSSを認証の状態をチェックするために、鍵の使用とは無関係に使用できることを理解されよう。その様な認証は、これに限定するわけでは無いがその1次使用が身元確認および認定ではない、例えば、鍵同意/交換、認証署名、CRL署名、鍵暗号化、データ暗号化、暗号化のみ、暗号解読のみ、および安全ソケット層(SSL)を含む。従って、本出願内で使用されるように、「認定認証」という用語は一般的に、身元保証には使用されないこの様な認証も含むことを理解されよう。
【0102】
加えて、CSSコネクタ好適に単一通信の中に、複数の認証状態チェックを組み込むことが可能である。なかんずく、この機能は使用者/事業体認証およびCA認証のいくつかの連鎖または全ての連鎖、例えばルートCAから発行元CAまでのCAの階層の有効性確認で使用される。これは認証経路内の全てのCAが依然として有効であることを追加して保証する。
【0103】
本出願は認証状態サービス(CSS)を構成するための方法を説明してきたが、これは必須の発行元CAに認証状態を検索するために必要な設定情報を決定し、発行元CAから認証状態を検索するために使用される認証状態参照技術と互換のコネクタを識別し、コネクタを選択されたコネクタと発行元CAに特定の設定および通信パラメータで構成し、CSS写像を発行元CAとそのコネクタとの間で設定する、以上のステップを含む。CA指定とコネクタが構成ストア内の承認されたCAのリストに追加される。
【0104】
それぞれの検証可能な証拠痕跡を有する認定された情報オブジェクトを転送することによりトランザクションを実行するための方法は、第1当事者が信頼された貯蔵所から認定された情報オブジェクトを検索するステップを含む。認定された情報オブジェクトは提出側当事者の第1デジタル署名、少なくとも提出側当事者の身元および暗号鍵に関する第1認証、信頼できる日時、信頼された貯蔵所のデジタル署名、少なくとも信頼された貯蔵所の身元および暗号鍵に関する認証を含む;提出側当事者のデジタル署名および認証は信頼された貯蔵所によって提出時に、情報オブジェクトの信頼性を証明することにより有効性の確認がなされている;また認定された情報オブジェクトは格納部の中に、信頼された貯蔵所の管理下に置かれた電子オリジナル情報オブジェクトとして配置される。
【0105】
トランザクション実行方法は更に、使用に対してコミットすること、および、署名行動の前に彼らのデジタル署名に結合することをどの署名事業体にも要求し、少なくともデジタル署名および署名側当事者の認定認証を含んで構成された前記情報オブジェクトをいずれかの当事者により実行し、少なくともデジタル署名および署名側当事者の認定認証を含む署名ブロックを作成し、その署名ブロックを情報オブジェクトに関連づけ、複数の事業体が情報オブジェクトそして/または封体にデジタル的に署名する先の実行ステップを繰り返し、デジタル的に署名そして/または封入された情報オブジェクトをTCUに転送する、以上のステップを含む。TCUは全てのデジタル署名を検証し、各関連する認定認証の有効性を確認し、状態をCSSから検索する。署名ブロックは、署名者のデジタル署名ブロックが検証されないかまたは、署名者の認定認証の期限が切れているかまたは無効であると報告されている場合は拒絶される。いずれかの署名ブロックが拒絶されるとその結果、署名ブロックの置き換えまたは回復処置の開始が要求される。少なくとも1つの署名ブロックが有効であると判定されると、TCUはそれ自身の署名ブロック、また信頼性の高い日時を含む、を対象となる情報オブジェクトに添付し、所有者の代わりにそれを保持し管理する電子オリジナルを作成する。
【0106】
デジタル署名ブロックの作成は、1つまたは複数の情報オブジェクト断片または全情報オブジェクトに対する1つまたは複数のコンテンツ・ハッシュを計算し、1つまたは複数のコンテンツ・ハッシュおよび全ての添付データ、例えば現地日時、署名原理、または指令にまたがるハッシュを計算し、計算されたハッシュを署名側当事者の秘密鍵を用いて暗号化し、これによって署名者のデジタル署名を形成し、そして署名者のデジタル署名を署名ブロックの中に署名者の認定認証と一緒に配置する、以上のステップを含む。添付データが現地日時を含む場合、デジタル署名の作成は更に現地日時を表示するか、署名者に対して日付および時刻が正しいかの確認を要求し、現地日付および時刻が正しくない場合修正するか、またはこれらが信頼された時刻サービスで設定され現地日付および時刻が変更されることを防止されている場合はシステム日時に依存する、以上のステップを含む。現地日時をチェックしてそれが正確であり、それが使用者の認定認証有効期限内でありその現地日時がその有効期限で指定されている日時の前でも後でも無いことを保証することが可能である。
【0107】
検証で不合格となったデジタル署名の回復方法は、デジタル署名を再計算し署名ブロックを再送信することを要求する。認定認証有効期限侵害の回復方法は、使用者に対してその使用者の認証が期限切れとなっていることおよび更新しなければならないことを通知し、トランザクション所有者に対してそのトランザクションが不完全であることを通知することを含む。
【0108】
1つまたは複数の署名ブロックおよびその中に含まれる情報の配置は、少なくとも1つの署名タグで指定される。1つまたは複数の手書き署名および日付がデジタル化され、情報オブジェクト実行に使用され、署名および日付の配置は少なくとも1つの署名タグで指定される。1つまたは複数の署名ブロックはTCUに対して対応する署名タグの表示と共に個別に送ることが可能であり、TCUは別々にまたはグループで送られてきた全ての署名ブロックの有効性を確認することが出来る。デジタル署名の検証または認定認証有効性確認ステップのいずれかが不合格となると、TCUはその署名ブロックを拒否して回復方法を要求し、署名ブロック有効性確認ステップが合格すると、TCUはその署名ブロックを指定タグに配置する。署名ブロックを個別に送信するために、TCUは信頼性のある日付および時刻を各々の署名ブロックに追加する。ビジネス規則によれば、TCUはそれ自身の署名ブロックを添付し、これは主題情報オブジェクトと挿入された署名ブロックとを含む封体の中に信頼性のある日付と時刻とを含み、これにより電子オリジナル情報オブジェクトを作成する。複数の使用者署名ブロックが1つの封体の中に追加され、その封体はその他のビジネスおよび安全処理工程を実施するために再帰的に適用することができる。
【0109】
TCUは電子オリジナル情報オブジェクト内に含まれるかまたは追加される署名ブロック内に存在するデジタル署名および認定認証の有効性確認を、ビジネス規則データベースの中で認定認証で身元保証された署名事業体が要求された処置を実行するための信頼性を有するかのチェックを行い、署名側事業体のデジタル署名を検証し、認証有効期限が現在の信用できる日付および時刻の範囲内で有るかをチェックし、伝達された現地日時がTCU日付および時刻内の許容差以内に入っているかをチェックし、認証状態をCSSを用いてチェックすることにより、行う。これらのステップのいずれかの結果が無効または虚偽となった場合、そのデジタル署名は無効であると見なされ、要求された処置は不許可となり回復手段が探される;それ以外の場合は、そのデジタル署名は有効であると見なされ、要求された処置は許可される。
【0110】
発行元CAのCSSへの登録は、その発行元CAをCSS知識ベースの中に「認定済み」として、工業または組織ビジネス規則およびシステム方針に基づいて含めるための審査と承認のステップを含む。審査ステップが不合格となると、その発行元CAはCSS構成ストアに「不認定」として追加されるかそして/またはCA登録が終了する;それ以外の場合は、発行元CAは「認定済み」として追加され、通信パラメータ(IPアドレス、SSL鍵および認証)および認証状態を報告するために使用される方法(OCSP,CRL,LDAP)がCSS構造ストアに追加され、もし既設でない場合は認証状態を解釈するためにコネクタが追加される。この様にしてCSSは1つのシステムまたはTCUと多種多様な認証状態応答機との間の相互運用性を可能とする。
【0111】
認証状態チェックは、通信を確立するために好適にCSSを採用し、認証状態を承認された認証発行元CAから検索してキャッシュする。CSSが認証状態問い合わせを1つのシステムまたはTCUから受け取ると、CSSは最初にそのローカル・キャッシュをチェックしてその認証状態が存在するか確認し、発見されかつ有効期限内である場合には状態を返却する。認証状態が存在しないかまたは有効期限が切れている場合は、CSSは最初に接続情報をその構造ストアから要求することにより状態を検索する。CSSは次に通信セッションを、その構造ストア内で識別された認証状態報告構成要素と確立する。CSSはCSS構造ストア内に含まれる方法によって認証状態要求を作成し、そのCSSは認証状態を認証状態報告構成要素から検索し、構成要素とのセッションを閉じる。CSSは少なくとも認証のID、認証状態および有効期限をそのキャッシュに追加し、認証状態を要求元システムまたはTCUに返却する。
【0112】
認証状態報告はCRLとCRLの処理とに基づいている。発行元CAの発行スケジュールに基づき、CSSはCRLをCSS構造ストア内のリストに挙げられている認証状態報告構成要素から検索する。CSSは発行元CAに関連するキャッシュ・メモリを消去し、CRLからの認証状態を解析し、その認証状態を発行元CAに関連するそのキャッシュの中に配置する。発行元CAからそのCRLが利用可能であるとの通知を受けると、CSSはCRLをCSS構造ストア内のリストに挙げられている認証状態報告構成要素から検索する。基準によりそのCRLが完全なCRLを要求される場合には、CSSは発行元CAに関連するキャッシュを消去し、そのCRLを解析し、その認証状態および関連する情報を発行元CAに関連するキャッシュの中に配置する。CRLが全CRLの発行後に生じた変化のみを含む場合、CSSは認証状態をCRLから解析し、認証状態と関連する情報を発行元CAに関連するキャッシュの中に配置する。
【0113】
使用者、システムまたはTCUが認証状態を獲得するために単一手段を使用することを可能とするCSSを、認証状態を獲得するために使用することは、CSSに対して情報オブジェクト上の署名ブロック内に存在する認定認証の状態を、単一手段(例えばOCSP)を使用して問い合わせ、状態問い合わせを発行元CAで要求される形式に翻訳し、認証状態を検索そして/または報告する、以上のステップを含む。認証状態が無効とされると、その署名ブロックは使用されず回復方法が要求される;デジタル署名を検証し認証状態が有効である場合、署名ブロックが電子オリジナル情報オブジェクトに追加される。
【0114】
TCUはCSSに署名者の認定認証状態の有効性確認を問い合わせることが出来るが、それはその状態がCSSキャッシュ/データ・ストア内に存在し現在有効な場合、認証状態を配置し報告し、認証状態をCSS構造ストアから検索するための型式と手段とを獲得することで行われる。特定の認証状態方法がCRLで、措定された認証状態がCSS内の発行元CAキャッシュ内に発見されない場合、CSSは認証状態を有効であると報告する。認証状態方法がCRLで無い場合、CSSはCSS構造ストア内に含まれる方法によって認証状態要求を構成し、適切な通信を発行元CAと確立する。CSSは認証状態を状態報告構成要素から、特定された認証状態チェック方法を用いて検索し、そして通信セッションを閉じる。CSSは検索された認証状態を解析または解釈し、有効期限値をCSS方針で述べられている状態型式で指定された期間と等しく結びつけ、少なくとも認証のID、および有効期限を発行元CAの認証状態キャッシュに追加する。次にCSSは認証状態を要求側システムに返却する。
【0115】
認証がCSSで認知されている承認された発行元CAから発行される、システムまたはTCUの中に使用者を登録するための方法は、使用者を確立された会員手順および基準を用いて審査し、承認された組織引受人により署名されている使用者登録情報を入力し、認証要求を作成して特定された発行元CAへ送ることを含む。使用者の認定認証は検索され、発行され、そしてトークン上に配置されて発送される。デジタル署名、デジタル署名検証およびCSS認証状態チェックが、公開鍵対生成を保証するために実行され、認証発行処理過程が正しく完了する。使用者は使用者同意書に署名を要求されるが、これは使用者に対して彼らのデジタル署名の使用が彼らの手書き署名と同様の重みを持つことを約束し、トークンが使用者に渡され、使用者のシステムまたはTCUアカウントが起動される。
【0116】
使用者をシステムまたはTCUに登録するための方法は、その使用者が既にCSSからは以前に知られていない1つのCAから発行された認証を有している場合、その使用者の認定認証に対する使用者トークンを問い合わせて発行者情報を獲得し、発行元CAがその中に含まれるかを調べるために使用者の認定認証に使用者のトークンを問い合わせることを含むことができる。含まれていない場合、工業または組織方針管理者に連絡を取って、その発行元CAがそのCAを含めるためのシステム規則に合致するか否かの判断が行われる。発行元CAが「非認定」と見なされると、登録は終了し、発行元CAが「認定」と見なされると、登録処理は先に説明したように進行する。
【0117】
使用者の認定認証コンテンツの一部を使用してその認証を使用者のアカウントと結びつけられるが、それは使用者がシステムまたはTCUへアクセスすることを承認した後、使用者登録情報を入力し、使用者の認定認証を保持する使用者のトークンを挿入し、認証コンテンツを検索して表示し、使用者にそのコンテンツが正しいかの確認を行わせ、選択されたフィールドを認証から抽出されたシステムまたはTCU使用者登録データ、例えば認証ID、発行元CA使用者の識別名称の一部または認証拡張部で伝達されるその他の識別情報(例えばsubjectAltName)に追加して行われる。抽出されたデータはシステムまたはTCU方針で特定されていて、データの抽出および入力は自動化できる。
【0118】
情報オブジェクトの提出者が提出された情報オブジェクトの信頼性を保証する方法は、提出者の署名ブロックを情報オブジェクトそして/または封体に添付し、それをシステムまたはTCUへ転送するステップを含む。署名ブロック有効性確認に失敗すると、TCUは再送または回復方法を要求し、署名ブロック有効性確認に合格すると、TCUは次に提出者の身元が通信セッション開始者のそれと整合するかチェックし、開始者と提出者が異なる場合はその提出物を拒絶する。全てのチェックに合格すると、TCUはその署名ブロックを提出物に追加し、電子オリジナル情報オブジェクトを作成する。
【0119】
有効期限データ要素を採用した実時間認証状態報告手段用に正確でタイムリーな認証状態を維持するCSS内の方法はこれらのステップを含む。CRL状態方法が使用されている場合、CSSは状態を報告する。認証状態がキャッシュの中に有り、有効期限データ要素が超過していない場合、CSSは状態を報告する。有効期限データ要素が超過している場合、CSSは認証状態入力を発行元CAキャッシュから消去する。状態が実時間認証状態報告手段(例えばOCSP,LDAP問い合わせ等)を用いて検索され、その状態がキャッシュの中に存在しない場合、認証状態が要求され、検索されそして報告される。次にCSSは少なくとも認証のID、認証状態および有効期限をそのキャッシュに追加し、認証状態を要求元システムまたはTCUに返却する。
【0120】
認証状態使用計数器データ要素がCSSの発行元CAキャッシュ内の認証の状態入力に追加され、その状態使用計数器は認証の状態がチェックされる毎に増数更新または減数更新される。この状態使用計数器がCSS方針で設定された閾値を超えると、認証状態が報告されるがCSSは認証状態入力をその発行元CAキャッシュから消去する。CSSが認証状態が不正または無効を返却すると、システムまたはTCUはそのエラーを記録そして/または提出者そして/またはトランザクション所有者に報告し、要求された処置は不許可となり回復方法が探される。それ以外の場合、デジタル署名は有効と見なされ、要求された処置は許可される。認証状態最新被アクセス・データ要素が追加され、使用計数器と共に使用されて認証状態の活動レベルを判定する。
【0121】
バックグラウンド処理によりCSSが自動的に更新された認証状態を検索し、CSS方針の基準に合致した時に、新たな有効期限および使用計数器データ要素を確立させることが可能である。この事前フェッチはシステムまたはTCU認証状態要求とCSS応答との間の平均時間を短縮することが可能である。
【0122】
CSSに対して新たな認証の認証状態検索要求がなされ、発行元CAキャッシュが割り当てられたバッファ・サイズ限界に達した場合、認証状態最新被アクセス・データ要素が、CSSの発行元CAキャッシュ内の認証の状態入力に追加される。CSSは発行元CAキャッシュの中で最新被アクセス・データ要素の最も古い日時(最も低い使用頻度)を探し、その入力を消去する。次にCSSは要求された認証状態を検索し、それを発行元CAキャッシュの空けられた場所に配置してその状態を方針に基づいて行動しているシステムまたはTCUに報告する。
【0123】
分散されたCSS内で状態をチェックする方法は、新たな発行元CAが導入される度毎にCSSとの間で調整し、他のCSSが発行元CAに対する問い合わせの1次責任を有する場合、全てのCSS知識ベース内への入力を確立し、他のCSSへ発行元CAの代わりに問い合わせてCSSと発行元CAとの間の通信を削減し、複数のローカル・システムが1つの発行元CAに対して認証状態要求の多量の集中が有る場合、認証状態を同期およびキャッシュし、他のCSSが指定された発行元CAとの間で元の1次CSSよりも重い活動を有している場合、問い合わせ責任を共有または譲渡する。
【0124】
1つの発行元CAに関連する使用者の1群を、CSS知識ベース内のその発行元CA紹介を「非承認」と変更することにより除外することを、発行元CAに対して廃棄を承認するように要求し、その要求の利点を再検討して何らかの処置が必要であるか判断し、何らかの理由でその発行元CAを無効とするように決定されると、CSS知識ベース内の発行元CAの状態を「非承認」と変更することにより実行できる。「非承認」としてリストに載せられているCAで発行された認証の状態に対するこれ以降の要求は、結果としてCSSが不合格状態を返却することになる。
【0125】
以前に発行元CA紹介を「非承認」と設定して無効とされた使用者の1群を再有効化するための方法は、発行元CAの再可能化許可の承認を要求し、その要求の利点を再検討して何らかの処置が必要であるか判断し、発行元CAが再有効化されるべきと決定されると、CSS知識ベース内の発行元CAの状態を「承認」に変更することで実行できる。CSSは回復された発行元CAに対する認証状態要求を、それを他の「承認された」CAで有るかのように処理する。
【0126】
状態報告構成要素との通信は、その様な情報を配置、要求そして検索するために使用される各々の認証状態プロトコルに対して、モジュラおよび再使用可能装置を作成し、個別の認証状態プロトコルを理解する全てのCAおよび応答機と互換性のある装置の版を使用し、そして使用状態にある各々の状態報告プロトコル用の装置の版を有することで確立できる。この装置は、今後の認証状態報告プロトコルに容易に適合可能なように設計されている。
【0127】
提出者が第1TCUで、提出が1つまたは複数の電子オリジナルの管理を第2TCUに転送するトランザクションの実行は、そのトランザクションの所有者に第1TCUに対して、1つまたは複数の電子オリジナル文書を第2TCUへ転送するように指示を出させることを含む。そのトランザクションの所有者は第2TCUに対して1つまたは複数の電子オリジナル文書を転送するように指示し、所有者は第1TCUにどの電子オリジナルが第2TCUへ送られるべきかを指定する指示書を与える。第1TCUは第2TCUとの通信を確立し、その処置の目的を第2TCUに確認する。第1TCUまたは所有者は指示書を第2TCUに転送し、管理の転送が完了したことを判別できるようにしている。第1TCUは各々の確認された電子オリジナルを第2TCUに転送し、これはCSSを用いて各々の転送された電子オリジナル上の第1TCUのデジタル署名が変更されていないかを保証している。第1TCUのデジタル署名のいずれかが無効である場合、第2TCUは第1TCUに通告して回復方法(例えば、第1TCUに対して現行認定認証を用いて辞退するように求める)を探す。第1TCUが同意できない場合、第2TCUはその事象を記録に残して、そのトランザクションの所有者に、要求された管理の転送が失敗したことを通告する;それ以外の場合は、第2TCUは各々の成功裏に転送された情報オブジェクトに対する新たな封体を、日時スタンプとその署名ブロックとを追加して作成する。第2TCUは第1TCUに転送が成功する毎に通告し、完了すると第1TCUは所有者の自己判断で、それらがオリジナルと解釈されない方法でコピーに印をを付けて保持するか、または転送された情報オブジェクトとして存在している全てのコピーを廃棄する。この処理は全ての指定された電子オリジナルが転送されるまで繰り返される。この様にして、第2TCUは信頼できるコピーである、転送された記録の管理者となる。第2TCUは信頼できる日時、デジタル署名、封体を添付し指示書を格納して、管理の末尾の独立した要素とする。
【0128】
トランザクションの実行に際して、所有者の指令はまた所有権の転送も行われることを述べており、所有権文書の転送は第1または第2TCUのいずれかで行われる。責任のあるTCUが所有権文書の転送の信頼性を、全てのデジタル署名、認証有効期限を検証し、CSSを使用して認証状態をチェックすることにより確認する。次にこのTCUは信頼性のある日時を添付し、デジタル署名をし、指示書が追加されたこれらの新たな電子オリジナル情報オブジェクトを封体として格納する。これらの電子オリジナルが第1TCUの中に配置される場合、所有権の転送が管理の転送前に実行され、指示書を所有権の末尾の一部となるように開始する。
【0129】
転送された、いくつかの記録は単純な電子情報オブジェクトであり、電子オリジナルそのものではない。CSSはシステムまたはTCUと通信するために、何らかの適切な認証状態プロトコルを使用する。
【0130】
本発明はその本質的特徴から逸脱することなく多くの異なる形式で実施できるであろう、従って上記の実施例は図示を目的としたものとであり、全ての部分において制約するものでは無いと了解されなければならない。この説明および添付の特許請求の範囲で使用されるように、「含む」および「含んでいる」という用語は、言及されている特徴が、他の複数の特徴が存在することを除外することなく存在していることを示していることを意味していることを強調しておく。本発明の意図された範囲は、これまでの説明よりはむしろ添付の特許請求の範囲で指定されており、請求の範囲内に落ちる全ての変化は此処に含まれるものと意図している。
【図面の簡単な説明】
【0131】
【図1】図1はCSSを採用しているTCU電子情報オブジェクト有効性確認プロセスを示す図である。
【図2】図2は、複数のCRLと複数のCRLとが認証状態ストアに加算されるバックグラウンドCSS処理を示す図である。
【図3】図3は、分析されたCRL、OCSP応答、および他の認証状態報告方法から導出された状態の個別キャッシングを示す図である。
【図4】図4は、デジタル署名が情報オブジェクト断片および添付データに適用されている、データ要素例を含む署名ブロック用の拡張性のあるシンタックスを示す図である。
【図5】図5は、TCUとCSSおよび会員および外部CAからインターネット経由での認証状態CSS検索との相互作用を示す図である。
【図6】図6は、認証状態チェック・ステップで終了するTCU使用者登録処理を示す図であり、此処でデジタル署名有効性確認は成功裏に登録されている。
【図7】図7は、外部CAが使用者認証を発行し、認証状態チェック・ステップで終了している場合の使用者登録処理を示す図であり、此処でデジタル署名有効性確認は成功裏に登録されている。
【図8】図8は、自動車賃貸契約事例を示す図であり、如何にしてCSSが電子商取引の中で利用できるかを示している。
【技術分野】
【0001】
出願人の発明は、例えば Electric OriginalTM の様な、電子オリジナル情報オブジェクトの作成、保守、転送、読み出しおよび廃棄を提供するための、証拠および安全の検証可能な繋がりを提供するためのシステム並びに方法に関する。
【背景技術】
【0002】
本発明は好適に出願人の、信頼された管理ユーティリティ(Trusted Custodial Utility)を使用し、これは電子オリジナル記録並びに必要な処置を実行するために個人の権利を認証する際の仮想電子貯蔵庫として働く同等システム、提出された電子情報オブジェクトの信頼性、およびデジタル署名照合および使用者認定過程で使用される認定認証の状態を保持する。その様なTCUおよび動作は特許文献1から特許文献4に記載されている。
【特許文献1】米国特許第5,615,268号
【特許文献2】米国特許第5,748,738号
【特許文献3】米国特許第6,237,096号
【特許文献4】米国特許第6,367,013号
【0003】
以下の略語表が本記述の中で使用されている:
(略語)
CA 認証機関
CRL 認証取り消し表
CSS 認証状態サービス
HTML ホームページ作成言語
ID 識別番号
IETF インターネット・エンジニアリング作業部会
ITU 国際電気通信連合
LDAP 軽量ディレクトリ接続プロトコル
OCSP オンライン認証状態プロトコル、IETF-RFC 2560 X.509 インターネット公開鍵インフラ・オンライン認証状態プロトコル-OCSP,1999年6月
PIN 個人認識番号
PKCS 公開鍵暗号規格
PKI 公開鍵インフラ
PKIX 公開鍵インフラ(X.509)
S/MIME 安全多目的インターネット・メール内線番号
SCVP 簡略認証検証プロトコル、草案-IETF-PKIX-SCVP-06,200年7月
SSL 安全ソケット層
TCU 信頼された管理ユーティリティ
UETA 統一電子商取引法
XML 拡張マークアップ言語
【0004】
国際および国内商取引における電子署名米国法(ESIGN : U.S. Electronic Signatures in Global and National Commerce Act)立法および、統一州法国民会議により起草されたUETAをモデルとし、1999年に承認され法律成立を勧告された米国州法は、電子的に署名された情報オブジェクト(電子文書)に対する法的資格の保証を与え、これは潜在的に完全な電子取引の効率性および経済活動の実現を目指す政府、金融および電子商取引活動を活発にしている。
【0005】
PKIおよびCAは電子情報オリジナル記録を生成する際に使用されるデジタル署名技術の基本要素である。PKIは複数のCAの集合であり、此処で信頼は使用者および使用者組織との間で、複数のCA間で階層的関係を生成するかまたは協調関係にあるCA内での相互保証を通して確立される。ひとつのCAは認定認証を発行する権限を与えられており、これは個人または事業体の身元をその個人または事業体の公開鍵に結びつけ(検証)、此処で個人にのみ整合する秘密鍵へのアクセスが与えられる(署名)。本出願の時点で、認証は通常 ITU X.509 認証基準に従い、それら自身は発行元CAによりデジタル的に署名される。そのような認証は例えば米国特許第6,237,096号の図10に描かれており、これは上記言及されかつ組み込まれている。これらの認定認証はシリアル番号、被験者(使用者)と発行者(CA)の身元情報、認証の有効期限(それが使用可能となる日時と使用できなくなる日時)、被験者の公開鍵、およびデジタル署名を生成し検証するために必要な暗号化アルゴリズム情報を含む。
【0006】
デジタル署名を生成するために、情報オブジェクトがハッシュされ(一方向暗号化機能を用いて処理され、これはオブジェクト内の最低1ビットの変更を検出できる)、次にこのハッシュが個人の私的(秘密)鍵を用いて暗号化される。デジタル署名検証はこの処理工程を逆に辿ることで実現される。デジタル署名は、それらの認定認証から取り出された個人の秘密鍵を用いて暗号解読され、その結果はオリジナル情報オブジェクトの再ハッシュと比較される。これらの処理工程は異なるデジタル署名アルゴリズムを使用する場合は変わるはずである。デジタル署名は信頼している当事者と発行しているCAとの間に存在する信用としてのみ信頼性のあるものである;そしてその保証のレベルは物理的管理、業務およびCAにより実現される手続きにより得られる。
【0007】
PKI技術の目的は通信当事者に対して安全と信頼性のある環境の両方を生成し維持することである。その様な当事者はPKIに依存して、使用者の身元を確立し、使用者の認証がもはや有効で無くなった場合に通知している。認証は個人が組織を脱退したとき、代わりの認証が発行されたとき、または署名鍵が失われるか、盗難されるかまたは危うくなった時に無効とされる。ベンダは認証状態を広範な種々の方法を用いて通知する。これらの多種多様な方法は、使用者が他の使用者の認証状態を得ることを更に難しくしている。
【0008】
信頼関係および相互運用性の構成は、PKI認証および機密保護方針とそれらの施策で決定される。認証方針により、認証発行の承認を得るために必要な(例えば2つの形式の画像ID、信用調査)個人審査(すなわち、認証要求情報および対象となる認証受領者の身元の適切性を適正であると認証する工程)のレベルが決定される。安全性方針は、申請環境を支援するために必要な、物理的、手続き的および処理管理を決定する。
【0009】
CAを生成し組織化するための2つの普及しているモデルが存在する。第1は階層化CAモデルであり、これはその頂点がルートCAである逆ツリーに似ている。ルートCAはその直下のCAの認証に署名する。これらのCAは続いてそれらの下位CAの認証に署名し、以下同様である。これらの関係は、ツリーの枝を形成する認証連鎖を生成する。2つのCAは信頼関係がそれらの間に存在することを証明するが、これはそれらの個々の認証連鎖を共通ノードに達するまで「歩行(Walking)」することにより行われる。いくつかのCAはグループ化され1つまたは複数のサービス提供チャンネル、工業縦割り分野(industry vertical)、組織または企業に関連付けられる場合もある。
【0010】
第2モデルでは、1つのCAが単一企業に対して生成され、CAサービスをその企業内の1つまたは複数の事業体に提供する。1つの企業CAは通常、他の企業のいずれのCAとも予め確立された信頼関係は有していない。CA相互認証の形式で相互運用を可能とするために、明示的な処置が行われねばならず、此処で互いに信頼することを同意した2つまたはそれより多数のCAはそれぞれ互いの認証に署名し、デジタル署名検証に際してこれらの相互認証された認証を使用する。従って1つのCAで発行された認証は、他の相互認証されたCAおよびその使用者によって有効と確認される。
【0011】
CAが認証を無効にするのは、他にも理由は有るが、その中に含まれる情報が無効になった場合、使用者の秘密鍵が危うくなった場合、または使用者の認証に基づくアプリケーション特権を終了する必要がある場合である。CAは認証が既に所有者に所有されている場合、認証を単に取り消したりその所有者から回収することは出来ない。その代わりに、その認証はCAのデータベース内で「無効」とされ、その認証状態が公表される。従ってPKIの使用者は認証の有効性を、認証状態を発行しているCAまたは身元のはっきりした状態集積所(ディレクトリ)から要求することで確認できる。
【0012】
認証状態を報告するために使用された従来の方法は、CRLとして知られているCAの無効とされた認証のリストを公表することによってであった。CRLは希望者および信頼している関係者によりダウンロードされて、特定使用者の認証が無効とされているか、また延長することによりその使用者のデジタル署名が未だ有効であるか否かの判断が行われる。時間が経つとCRLはより長くなり、通信およびデータ処理のオーバヘッドの負担が掛かるようになる。この手法の別の欠点は、CRLがしばしば不定期間隔(例えば日に1回または2回)で公表されることである。従って、CRLはしばしば公表直後に古くさいものになってしまう。無効とされた認証はCRLから認証期限切れの後、除かれるだけである。
【0013】
PKIブリッジは複数のCA間の相互運用性を提供するための方法であり、CRLを協調して分配することにより行われる。その様なブリッジは中央CRL集積所であり、事実上互いに他の認証および安全方針を受領することを了承しあっている複数CAの組を結合している。全てのCAは彼らのCRLをそのブリッジに通知する。これにより、全ての個人または事業体の認証の集中的有効性確認が可能となる。その認証が過去に無効とされていなければ、それは依然有効であると考えられる。PKIブリッジの最大の欠点は、それらがそのブリッジに依存している全てのCAまたは使用者により認証状態に接続可能でなければならないことである。必要な帯域幅、計算および記憶容量は高価なものとなろう。
【0014】
認証状態を得るための更に最近の方法は IETF OCSP であって、これは実時間認証状態を提供可能な、直接データベース問い合わせを行う。しかしながら、ベンダの中にはCRLに基づくOCSP応答システムを実現しているものもある。この型式の応答システムで報告された認証状態は、それらが基本としているCRLにしか同期していない。IETF SCVP の様な実時間認証状態を実現する試みは、発展し続けている。本発明の時点で、状態チェック方法の混合および整合は、オープンPKI環境では未だ実際的なものとはなっていない。
【0015】
認証妥当性確認の全ての手法は、その認証を発行したCAに対する、可か不可かの判断である。メンバCAの1つにより認証を発行された全ての使用者は、彼らの認証が一時停止されるか、無効となるかまたは期限切れとなるまで有効/使用可能である。参画を制御するための共通の主題は、認証が発行されるか否かである。発行は認証および安全方針並びにビジネス規則に基づき管理される。
【0016】
信頼環境は完全無条件に参画料を支払える誰もが認証を発行される、から制限付きまたは限定、企業または対象団体の会員であることを必要とする、までの範囲がある。いずれの場合も、CA認証そして/または安全方針が相互運用性を可能とするか否かを左右する。
【0017】
出願人の発明は、先に説明したものとは全く異なる観点からPKIおよびCAの相互運用性問題に取り組んでいる。出願人の論点は、譲渡可能記録(所有権が取り引きされる)である電子オリジナル情報オブジェクトの作成、実行、保守、転送、検索、および破壊に適した信頼環境を確立することである。これらの目的を実現するために、電子オリジナルまたは権威あるコピーを管理するシステムはオリジナルをその全てのコピーから識別することが出来なければならない。紙のオリジナルと同様、オリジナルは1つのみでなければならない。譲渡可能記録の例は、電子売買可能法律文書および有価証券がある。電子オリジナル記録は、それが譲渡可能記録としての資格を与えられているか否かによらず、任意のソース記録である。電子オリジナル記録の複数システム間での転送は、唯1つのオリジナルのみしか存在しないことを保証する方法を用いて行われなければならない。
【0018】
本発明は電子オリジナル記録の生成を、その記録の保管を機能的に独立した団体またはその記録の所有者の利益になるよう運用されているTCUの管理にゆだねることで実施している。信頼環境を生成することは必要であるが、電子ソース記録を保守するためには充分でない。本発明のその目的のために、信頼環境は閉鎖的または限定された会員を有する対象となる共同体の体制により生成され、此処では予想される会員、組織およびそれらの使用者の身元は適切な審査手法を用いて保証されており、この審査はその共同体への入会の許可を管理している。更に、個人の組織、加入、役割および属性は登録時にTCUにより定義される。個人はシステムおよびそれらの認定認証でユニークに識別されなければならない。加えて、個人および組織をその共同体から除くことが出来なければならないし、この処置がその共同体の他のメンバに通知されなければならない。CAの相互運用性への従来の手法はこれらの目的を十分に達しているとは言えない。
【0019】
審査は最低限、組織そして/または個人がその共同体の既知の会員の支援を受けていることを必要とする。加えて、ダンアンドブラッドストリートの様な組織に対する格付け、またはエキファクスの様な個人に対する信用調査、または同様の信用および支払い記録が、可能性のあるビジネス・パートナ、クライアントおよび顧客の容認可能性を評価するために使用される。審査組織およびその支援を受けた使用者は、TCU登録が許可される前に信用できると見なされなければならない。組織が会員資格を定める契約条件に同意した後、それに支援された個人には各々ユニークな識別子とパスワードが与えられ、これらは彼らがTCUにアクセスすることを可能とする。
【0020】
一度個人が1つまたは複数のTCUに登録されると、彼らはその取引の所有者に依って、取引の参加者として指名され、彼らの身元、役割そして/または責任に基づき、全てまたはオリジナル記録の確認された副集合の1つへの特別なアクセスが与えられる。身元確認および認定を容易にし、取引が完全に電子形式で行えるように、この識別された情報の選択されたサブセットが参加者の認定認証の中に含まれている。認定認証は使用者の身元を彼らの公開鍵と結びつけており、この公開鍵は彼らの整合する署名秘密鍵を用いて生成されたデジタル署名を有効と確認するために使用される。
【0021】
認証または安全方針は、認証を発行するために必要な身元保証要求(例えば、2つの形式の画像ID、信用調査、個人紹介)に対処する。この認証は、デジタル署名典拠として必要とされる場合、使用者のTCUアカウントに結びつけられるはずである。この繋がりはその使用者をユニークに識別する認証データ構成要素の副集合(例えば、認証ID、発行元CA名称、使用者共通名)を含まなければならない。一度使用者のアカウントと関連づけられると、認証は彼またはそのデジタル署名と共に使用されて、権威づけられた処置のあらかじめ定められた組を可能とし、また提出された情報オブジェクト上の使用者のデジタル署名を検証するために必要な身元証明を与える。これは所有者または電子記録の組を管理する所有者の代理人がTCUに対して、電子記録の別のTCUへの所有権の移動(すなわち、内部取引)そして/または保管の移動(すなわち、外部取引)を指示した場合に確かである。
【0022】
先に記述したように、認定認証および公開鍵暗号は使用者認定並びにデジタル署名検証の両方を支援するために使用されている。認証は発行元CAによりデジタル的に署名され、受取人の身元は公開鍵により封印される。このCAは認証を発行する際に、その認証の中で身元保証されている個人は、情報オブジェクトまたはその一部にデジタル的に署名するために使用された整合秘密鍵の保有者であることを主張する。
【0023】
本発明は他のPKI準拠電子商取引(e-commerce)解決法とは異なっているが、それはPKIが権限付与としてのみ見なされ、信用環境の単一根拠では無いからである。保証人であること(sponsorship)、会員に対する契約、および入会登録が基本要素である。認証および公開鍵暗号の使用は権限付与技術として見なされるが、認証はユニークに身元確認し、それが使用者のTCUアカウントに結びつけられる前に特定使用者に関連づけられなければならない。
【0024】
認証が採用された場合には、そのアカウントはこの認証と使用者アカウント間の結合が完了するときに一度だけ起動されるはずである。この結合は単純であって、認証IDと発行元CAを使用者のアカウント情報に付け加えるか、またはその認証で伝達される他の情報、例えば使用者の識別名(ITU X.509 規格参照)を使用するものである。この結合情報は登録形式の中で伝達されるか、または認証から直接抽出されるが、これはTCUシステムの安全方針毎に行われる。対応チェックを使用して認証内の使用者記述が登録データ内のそれと一致するか裏付けを行い、これは認証が使用される度に行われる。使用者の認証は発行元CAにより署名され、その無謬性および信頼性は発行元CAの認証および公開鍵を用いて有効であると確認される。身元保証に使用される要素の集合的な組は、証明可能的にユニークでなければならない。一度このTCUアカウントと使用者認証との結合が完了すると、TCUは認証状態を確認するために何処へ行けばよいかを知るだけでよい。
【0025】
CA中枢環境の中で、単独PKI、相互認証、またはPKIブリッジ(複数ベンダ製品が多数のCAで使用されていて、認証状態チェックが実行される複雑なシステム)の生成が相互運用性に対して要求される。共通要素は全ての認証が等価で有ることである。複数の認証は異なる信頼レベルを伝達するはずであり、1つのオープン環境内の複数のアプリケーションはこれらの信頼レベルを解釈し異なるように使用する能力を持たなければならない。この理念は「貴方が望む全ての場所へ導く道を我々は造る」と言うことに特徴付けられる。使用者はCA環境上で種々の基準(例えば、信用調査、支払い手段、認証のコスト)を使用して審査される。
【0026】
逆に言えば、TCUは「承認されたCA」の既知の集合のみに関心があり、その集合の中でのみそれらの認証は使用者アカウントに関連づけられる。他の全ての認証は無視される。この考え方は「貴方に開放されている道は、貴方のビジネスを導くために必要なものだけである。」と特徴付けることができる。使用者は二度審査される、一度目はCA認証方針を満足すること、二度目はTCUに登録されることにより彼らに必要なビジネスが存在すると証明されること。TCUで強制されるビジネス規則は、異なる信頼レベルで発行された認証に対応できる。
【発明の開示】
【発明が解決しようとする課題】
【0027】
これまでのところ、全ての認証状態報告サービスは認証状態報告の単一手段を使用しており、これはCRL,OCSP,LDAP等である。本発明はこの点で異なっており、これは認証状態の検索および報告する目的用に全てのCAまたはPKIを用いた相互運用性を可能としている。大体において、これはまたシステムまたはTCUとCA認証状態報告要素との間の実時間連続接続性への依存度を、認証状態をキャッシュすることにより低減させる。
【課題を解決するための手段】
【0028】
出願人の1つの特徴として、それぞれのCAにより発行された認定認証の有効性をチェックするためのCSSを提供するための1つの方法は、その認定認証を発行した発行元CAから認定認証の状態を呼び出すために必要な情報を識別し;識別された情報に基づき、発行元CAと通信するためのコネクタを構成し;その認定認証を呼び出すためのステップを含む。発行元CAおよびコネクタは構成ストア内の承認されたCAのリスト上で指定される。
【0029】
現地日時が、それらが認定認証有効期間の中で指示されている有効期間内であるか否かチェックされる。発行元CAは承認済みCAのリスト内に、その発行元CAをあらかじめ定められたビジネス規則に基づいて審査および承認することによって含まれているはずであり、その発行元CAが審査され承認されていない場合、その発行元CAは構成ストア内の非承認CAのリスト上に指定されているはずである。発行元CAの審査および承認は、信頼された認定認証の表示をCSSに登録し、少なくとも表示、状態および有効期間データ要素をローカル・キャッシュ・メモリに追加することを含む。次にコネクタが、信頼された認定認証の状態が問い合わせられた際に、追加された状態を呼び出すために構成される。発行元CAとの通信がまた、コネクタの順番に従って実行される。
【0030】
この方法は更に、状態用のローカル・キャッシュ・メモリをチェックし、その状態がそのローカル・キャッシュ・メモリ内に見つけられ、ローカル日時が有効期間内の場合、その状態をローカル・キャッシュ・メモリから呼び出すことを含む。その状態がローカル・キャッシュ・メモリ内に見つからないか、またはローカル日時が有効期間内に無い場合、CCSは通信セッションを発行元CAの認証状態報告構成要素と確立し、認証状態要求を構成されたコネクタに基づいて創作し、その状態を認証状態報告構成要素から検索し、認証状態報告構成要素との通信セッションを閉じ、少なくとも認定認証の識別、状態、および有効期限をローカル・キャッシュ・メモリに追加する。
【0031】
認証状態はCRLにより示され、発行元CAの発行スケジュールに基づき、CSSはそのCRLを構成ストア内のリストに示された認証状態報告構成要素から検索し、CSSはその発行元CAに関連するキャッシュ・メモリを消去し、そしてCSSは認定認証の状態をCRLから決定し、その状態をその発行元CAに関連するキャッシュ・メモリの中に格納する。
【0032】
認証状態はまた、デルタ認証取り消し表(「CRL」)でも表示され、発行元CAにより1つのCRLが利用可能であると公示されると、CSSはそのCRLを構成ストア内にリスト表示されている認証状態報告構成要素から呼び出す;そのCRLが完全なCRLの場合、そのCSSはその発行元CAに関連するキャッシュ・メモリを消去して、状態をそのCRLから決定しその状態をキャッシュ・メモリの中に格納する;そのCRLが完全なCRLを発表した後に発生した変化のみを含む場合、CSSはその状態をそのCRLから決定しその状態をキャッシュ・メモリの中に格納する。
【0033】
出願人の発明の別の特徴として、1つの発行元CAにより発行された認定認証の状態を、1つのTCUから1つのCSSへの、その認定認証の状態を問い合わせに応じて呼び出す方法が、その状態が存在しそのCSSのキャッシュ・メモリに現存する場合、その状態の所在を確認して報告し;そうでない場合は、CSS構成ストアから状態の型式と検索方法を獲得するステップを実行し;その状態型式がCRLで、その状態がキャッシュ・メモリ内に見つからない場合は、その状態を有効であると報告し;その状態型式がCRLで無い場合は、その状態型式に基づいて認証状態要求を作成し;通信セッションを発行元CAと確立し;その状態を発行元CAの状態報告構成要素から、取得された検索方法を用いて検索して通信セッションを終了し;検索した状態を解釈し;検索され解釈された状態を、その状態型式に対するCSS方針で指定された期間を表す有効期限に関連づけ;少なくとも認定認証の識別子、状態、および有効期限をそのキャッシュ・メモリに追加し;そしてその状態をTCUに対して問い合わせに応答して報告する、以上のステップを含む。
【0034】
出願人の発明の更に別の特徴として、発行元CAにより発行された認定認証の正確で時期を得た状態表示を提供するためのCSSが、その認証の発行元CAが状態表示用にCRLを使用している場合、認定認証の状態をCRLで表示されたものとして提供することを含む。そうでない場合は、キャッシュ・メモリが状態と期限切れでない有効期限データ要素を含む場合、キャッシュ・メモリで表示された状態が提供される。有効期限データ要素が期限切れの場合、その状態はキャッシュ・メモリから消去され、その状態がキャッシュ・メモリ内に存在しない場合は、実時間認証状態報告プロトコルを用いて要求され呼び出される。少なくとも認証の識別子、状態、および有効期限データ要素がキャッシュ・メモリに追加され、呼び出された状態が提供される。
【0035】
状態使用計数器データ要素がキャッシュ・メモリに追加され、認証状態チェックがなされる度毎に増数更新または減数更新される。その状態使用計数器データが閾値を超えると、その状態は提供されキャッシュ・メモリはその状態に関して消去される。また状態最新アクセス・データ要素をキャッシュ・メモリに追加することも可能であり、状態最新アクセス・データ要素は状態使用計数器データ要素と共に、認証状態の利用頻度を判定することが可能である。
【0036】
新たな認証の状態を呼び出す要求がCSSに対して行われ、キャッシュ・メモリが割り当てられたサイズ限界に到達した場合、CSSは最も古い日付を示す、最新アクセス・データ要素をキャッシュ・メモリ内で検索し、それぞれのキャッシュ・メモリの事業体を消去し;次にCSSは要求された状態を検索してそれをキャッシュ・メモリ内に配置し、その要求された状態を提供する。
【0037】
出願人の発明の更に別の特徴として、第1当事者と第2当事者間で検証可能な証拠の痕跡を有する認定された情報オブジェクトの制御を移動することにより取引を実行する方法は、提出側当事者デジタル署名を有する第1デジタル署名ブロックを含む認定された情報オブジェクトと、その提出側当事者の少なくとも1つの識別子と暗号鍵に関する第1認定認証とを信頼された集積所から検索し、呼び出された認定された情報オブジェクトを第2当事者により、呼び出された認定された情報オブジェクトの中に第2当事者のデジタル署名ブロックを含めることで実行し、そして実行された認定された情報オブジェクトをTCUへ転送することを含む。
【発明の効果】
【0038】
このTCUはこのデジタル署名を検証し、このデジタル署名に関連する認定認証を、少なくとも認定認証の状態をCSSから呼び出すことにより有効と確認する。このTCUはそれぞれのデジタル署名が検証されないか、またはそれぞれの認定認証の状態が期限切れかまたは取り消されている場合はデジタル署名ブロックを拒絶し、情報オブジェクト内の少なくとも1つの署名ブロックが拒絶されない場合、このTCUは自身のデジタル署名ブロックと日時表示とを情報オブジェクトに付加し、そのオブジェクトの管理を第1当事者に代わって行う。
【0039】
出願人の発明の種々の特徴並びに長所は、添付図と共に本説明を読むことにより明らかとなろう。
【実施例】
【0040】
認証状態チェックはシステムまたはTCUが提出された全ての電子情報オブジェクトを受け入れるに当たってきわめて重要な要素である。提出物が受け入れられるために、その認証状態は有効であると報告されなければならない。認証状態の問い合わせは、通常TCUと認証状態の発行元との間で行われる通信を必要とする。これらの通信頻度はTCU仲裁付託の数に比例して増大する。
【0041】
認証状態チェックは実時間要求であり、状態問い合わせは仲裁付託の度毎に実行される。しかしながら、状態はCRLの様な場合には実時間で更新されるものではない。全てのCRLは特定の間隔で公開されており、通常は1日に一度または二度である。CRL検索および繰り返される分析はシステム性能に良くない影響を与えかねない。本発明は多くの作業をCSSに移すことにより、直接計算および通信要求を著しく削減している。単一の認証状態プロトコルがTCUとCSSとの間に導入されている。この状態プロトコルはIETF OCSPに似た属性を有し、これは1つのアプリケーションがCAに対して1つの認証状態を問い合わせることを可能とし、処理オーバヘッドを最小としている。
【0042】
CSSはその場所で十分な情報、通信手段および相互運用するのに必要な全てのCAに対する認証状態処理手段が具備および維持されている。従ってCSSはアプリケーション設計を安定化させ最適化することを可能とする。CSSは好適に認証状態を分析およびキャッシュして、TCU状態問い合わせへの状態応答時間を最小とする。従ってCSSはPKI相互運用性の全ての従来形式の必要性を無くする。潜在的妥協回復(Potential compromise recovery)は大きく強化されるが、それはTCU使用者アカウントが容易に不活性状態にしたり、または使用者の1組をそのCAを承認されたCAのCSSリストから取り除くことにより除去できるからである。
【0043】
(認定認証の使用)
TCUへログインした後、参加者は更に彼ら自身の認定を、公開鍵および彼らの認定認証の使用を通して問い質されるはずである。そのような認定は、安全セッション確立、TCUサービスまたはデジタル署名の要求および電子情報オブジェクトの提出に関連している。
【0044】
誰でもTCUとやり取りを行う前に、4つの条件が合わなければならない:1)彼らは第1にシステム使用者として登録されなければならない、2)彼らは一対の公開鍵と彼らが読みとり専用アクセス以上を許されている場合、彼らに整合する認定認証を発行されて所持していなければならない、3)認証が承認されたCAから発行されていなければならない、そして4)その使用者の認証は期限切れでも、不活性状態または無効状態であってはならない。この最後の条件は通常TCUが発行元CAに認定認証検索の問い合わせを行う時に要求される。認証状態報告に関して広範な基準およびCA実施状態が存在するので、これは簡単でも単純な作業でも無い。
【0045】
背景説明の章で述べたように、複数のCAまたはPKIが含まれる際には、通常何らかの形式のPKI相互運用性が要求される。本発明はこの必要性を、認証状態サービスを作ることで無くしている。CA相互認証またはブリッジは不要であり、CSSにとって唯一必要な知識は承認された発行元CAのリスト、かれらのIPアドレスまたは同様のもの、および認証状態を報告する彼らの手段である。
【0046】
認証状態を検索するために、コネクタまたはプログラム・モジュールが各々の認証状態方法に対して定義される。全ての認定認証は被検者(使用者)および発行者(CA)フィールドを含む。発行者フィールドはTCU問い合わせをCSSに導くために使用され、これは続いてそのキャッシュをその認証の状態が存在するかチェックする。状態がそのCSSキャッシュの中に存在する場合、それはTCUに戻される。状態が存在しない場合、CSSは適切なコネクタをインボークして、認証の状態を検索する。多数の方法が認証状態を報告し検索するために使用できるであろう:LDAP,OCSP,CRL等。
【0047】
全てのTCU動作を実行するために、使用者は最初にTCUにログインしなければならない。一度成功すると、その使用者は彼らがその様な権限を許可されている場合、トランザクションを生成するかまたは選択することができる。彼らが電子情報オブジェクトの提出許可を有する場合、彼らはすぐに実行できる。電子情報オブジェクトを受け取ると、TCUは必要なデジタル署名有効性確認ステップを実行する。認証状態問い合わせが作成され、CSSへ送られる。有効状態が戻されると、TCUは提出物を認定されたコピーとして受け入れて格納し、それ以外の場合それは拒絶される。
【0048】
(デジタル署名処理および認証状態チェック)
デジタル署名は情報オブジェクトの1つまたは複数の断片または全コンテンツに対して適用される。デジタル署名はそのトランザクションの当事者または代理人に属し、この代理人はそのトランザクションがビジネス過程の文脈の中で1つまたは複数の状態を獲得することを可能としている。デジタル署名は実際、実行されるタスクに関する追加情報に適用される場合もある。その様な一例は、財産権利書上(property deed)の土地法務官表記(country recorder’s notation)である。別のものは、TCUに提出される情報オブジェクトの信頼性を証明する当事者の署名のアプリケーションである。この後者の事例において、提出者はその情報オブジェクトを封入したりまたは封印するように言われ、この中でデジタル署名が全コンテンツに対して適用され、後での全ての修正変更を防止する。
【0049】
デジタル署名が適用される際には何時でも、署名者は彼らのデジタル署名で拘束されるものに対する彼らの意図を確認するように要求される。最新の法規で要求されるこの同意動作は、表示ウィンドウまたはスプラッシュ・スクリーン内で読みとり可能なテキストの形式を取り、画像ボタンの呼び出しそして/または、暗号鍵および認証ストアである暗号トークンへのログオンを必要とするはずである。同意に対する前記意志の実際の表明は、選択されたコンテンツを用いて使用者のデジタル署名を計算する信頼されたアプリケーションの使用を通して行われ、それを署名ブロックの形式に対する彼らの認定認証と結びつける。この署名ブロックはまた認定および非認定データ要素を含むはずである。認定データ要素はデジタル署名計算(例えば地方日時)の中に含まれ、デジタル署名(完全性)により保護されていると考えられる。非認定データ要素は署名計算の後に追加され、保護されない。図4はシンタックス例を示し、これは署名ブロックのデータ要素と配置を含む。これは図示例としてのみ意図しているので文字通りに解釈されるべきものでは無い。
【0050】
情報オブジェクトおよび全ての署名ブロックは、好適に封体(S/MIME)または拡張可能情報シンタックス(XML,HTML,XHTML)内のタグの中に配置されていて、取り扱いを簡便にしたり情報処理を容易にしている。このデータ構造は次に有効性確認のためにTCUへ送られる。代わりに、署名ブロックは独立してTCUに、決してTCUを離れることのない実際のオリジナル記録に添えられるために送られる場合もある。後者の場合、各々の署名ブロックは個別に有効性確認がなされる。
【0051】
デジタル署名有効性確認の過程は、提出の時点とその後の実行時とは異なる。TCUが最初にデジタル署名を見た時点で、4ステップの有効性確認が行われる:1)デジタル署名を検証する、デジタル署名で保護されているコンテンツが転送中に改変されていないことを証明する行程である;2)現在のTCU時刻がその個人の認定認証の許容可能有効期間(「それ以前で無く」「それ以降でも無い」)内に入っていることのチェック;3)認証状態を発行元CA、CRL分散点、またはその他の承認された認証状態源からローカルに指定されたCSSを用いて要求し検索する;4)そのTCU使用者アカウント情報が認証の中で伝達されたものと合致するか、および要求された行動がTCU規則データベースの中で認定されているかの有効性を確認する。その情報オブジェクトの提出者に対して、処理は1つの追加ステップを付加する。この第5番目のステップは提出者の身元が現在のセッションをTCUと確立している当事者と合致するかをチェックする。全ての検査に合格すると、この行動は許可されそして/またはその情報オブジェクトは受容されて、その所有者に代わってTCUで保持される。いずれかのステップで不合格となると、処置は初期化される。
【0052】
この初期認証状態チェックの後、TCUの信頼環境は全ての保持されている情報オブジェクトの信頼性および無謬性を維持する。新たな版の文書が提出されない限り、いかなる追加の認証状態チェックも予期されていない。
【0053】
本発明の2つの特徴は通常のPKI実現過程と異なる。第1に本発明はアプリケーション、すなわちTCU(または、認証状態有効性確認を要求する全てのアプリケーション/システム)および、電子1次資料記録を生成し維持するその能力が存在することに基づいている。第2は、「発行元CA」は信頼環境を管理する方針に同意すると認める必要があるだけであり、CA相互認証もPKIブリッジも必要とされない。「発行元CA」を含めることに必要な正当化は、文書化されたビジネス関係である。TCU登録処理の間に、使用者アカウントが生成され、これは使用者特有の認証情報を参照し、これは事実上使用者アカウントを使用者の認定認証と結びつける。
【0054】
(TCU使用)
典型的に一度組織がTCUのサービスを利用することに同意すると、組織のトランザクションへのアクセスの管理がその組織の代理人に許可される。その組織の代理人は次に、その組織のトランザクションに関して選択された行動を実行するように権限を与える、個人の組を識別する。全ての行動は使用者がTCUに関するアカウントを所持し、そのアカウントが起動され、そして使用者がログオン識別子を有し適切なパスワードまたは問い合わせ文句に応答出来ることを要求する。加えて、版(バージョン)付けられた電子1次資料記録の組で構成されている各々のトランザクションは、ビジネス過程の異なるステップで使用者アクセスを管理する、一組の認可を有する。これはトランザクション記録への権利の許可および剥奪で例示され、それはトランザクションが通常のビジネス経路、すなわち開始から永久保存または廃棄までを進むからである。許可されている場合は、電子オリジナル記録を見るのであればTCUにログオンするだけで構わない。しかしながら、全てのシステム・レベル行動または電子オリジナル記録の導入または変更は個人に対して彼ら自身の更なる認定を公開鍵暗号を用いて、または彼らのデジタル署名および認定認証を適用して行うことを要求する。全ての事象において、個人の身元は有効であると確認されなければならない。デジタル署名が採用されている所では、これは必然的に:1)使用者が適切なアクセス許可を有し、2)デジタル署名を解読し、その上に基礎ハッシュまたはメッセージ要約が適用されているコンテンツが改変されていないことを検証し、3)提出時刻が認証有効期間内に入ることをチェックし、そして4)使用者認証が未だ有効であることをチェックする。
【0055】
認証状態チェックは発行元CAまたは認証状態応答機に問い合わせることを必要とする。このステップは全ての認定行動または電子オリジナル記録提出の度毎に行われなければならないので、通信帯域は超過となり遅延、未処理分、および未応答または遅い状態応答による拒絶の可能性が存在する。本発明はこれらおよびその他のTCU運用の高い保険機能を取り扱い、TCUと相互作用を行う全ての当事者の有効性を保証する。
【0056】
その中でTCUが運用される高い保証環境において、認証状態チェックは資格を与えられた使用者からサービスが要求された時にのみ必要とされる。情報オブジェクトに対して、認証状態は提出時にのみチェックされる必要がある。全てのデジタル署名が有効であると判定されると、その情報オブジェクトはそれ以降信頼できるものと見なされる。安全および手続き上の手法と方法とがTCUの中に配備されていて、認定されていないドキュメントの改変または損失を招きかねない、犯意のある行為またはハードウェア故障を回避している。提出毎に結果として新たな版の電子オリジナル記録が生成される。TCUはオリジナル記録の最新版に関して知識を維持する責任が課せられている。この版は電子1次かつ転送可能記録と識別される。TCUは1次オリジナル記録の制御の前提を、信頼性のある日時スタンプをオリジナル記録に追加し、そのデジタル署名を適用しそしてその認証を添付することにより実証している。封体がオリジナル記録に適用されて安全性と処理利便性に対応している。この版付け処理は孤立の認定された証拠および管理の痕跡を生成するが、別の冗長監査記録が裏付けのために維持されている。
【0057】
出願人のCSSは今日PKIおよび電子商取引に存続する上記の制約を解消する。認証状態を会員CAから取得するために必要なオリジナル情報は、それらが生成されたときにCSSに登録される。外部承認されたCAのオリジナル情報は使用者登録処理中に入力される。CSS検索情報は全ての認証状態源に対して必要とされる。いくつかの型式の認証状態源が存在し、CSSは各々の登録されている型式に対してコネクタまたは方法を持つ必要がある。
【0058】
認証状態を伝達するためにいくつかのCAで使用されている1つの方法はCRLであり、これは取り消された認証およびそれらの取り消し理由のリスト、そのCRLの発行者、そのCRLが発行された日時、およびCRLの次の版が発行される予定日時を含む。全てのCRLは発行元CAまたは指定された署名者によって署名され、その無謬性と信頼性とを保証している。認証はその有効期間が超過するとCRLから取り除かれる。
【0059】
CRLが使用される所では、CSSはCRLの最新翻訳をCA分配点、例えば X.509 v2 CRL プロファイル(IETF RFC2459,1999年1月)から検索し、その署名の有効性を確認し、それを解析し、その結果を格納するキャッシュを生成する。CSSはCAのCRL発行間隔を用いて、次にCRLのダウンロードを実行する時期を管理する。全てのCRLは有効性フィールドを含み、それは通常ダウンロードを実行する際の幾ばくかの余裕を許すように設定されている。これは通信の混雑およびCA不稼働時間を許し、CSSに対してこの期間を超過した場合、救済処置を強制する。その様な救済は新たに追加された取り消し認証に関連する全ての提出物の再有効性確認を含む。各々の新たなCRLは先にロードされたCRLを更新する。この規則の例外はデルタCRL行列である。デルタCRLの内容が現在のキャッシュ内容に添付される。デルタCRLに基づくCRL番号は、発行された最新の全CRLを参照する。デルタCRLは短期間(分、時間)に、最後の全CRLの後に認証取り消しが発生した時にのみ発行される。CSSはCRLおよびデルタCRLの検索に対して責任を有し、これは発行間隔または告示およびTCU安全方針で確立された間隔を超えないと言うことに基づいている。
【0060】
認証状態を分配するためにCAで使用される第2の方法はOCSPである。OCSPが使用される所では、CSSは認証状態の問い合わせを受けた際にOCSP応答機に問い合わせを行う。OCSP応答は彼らの無謬性および信頼性を保証するために署名される。CSSはOCSP応答を解析し認証詳細および状態を別のキャッシュに追加する。ローカルTCU安全方針で決定された有効期間フラグが含まれており、何時その登録がキャッシュから取り除かれるかを決定する。この特徴はいくつかの情報オブジェクトが同一当事者/事業体によりTCUに対して短期間にアップロードされた際の通信オーバヘッドを最小とすることを目的としている。この有効期間フラグは通常のCRL発行間隔(日に二度、毎日)よりも、通常はかなり短い(例えば5分)。CSSは認証状態を再びチェックするが、これは複数の情報オブジェクトが処理された場合、認証状態をキャッシュから消去する前に、認証取り消しが生じていないことを保証するために行われる。認証取り消しが有効期間中に生じている場合、所有者組織接続点が通知されなければならない。その他のいくつかの問い合わせ方法が存在するが、簡単のために説明は省く。それらの各々はそれらが利用される際に、コネクタおよびもしかすると別のキャッシュを必要とするかも知れないことを理解されたい。
【0061】
図1は電子オリジナル資料を生成するための処理フローを示す。説明のため、情報オブジェクトは販売契約を前提としている。電子情報オブジェクトのコピー(実行されていない)がTCUまたは文書準備システムから検索され、デジタル的にまたはホログラフ的に(手書き)適切な当事者によって署名される。実行処理過程を監視することにより、所有者の代理人は信頼されたアプリケーションを用いてデジタル的に署名し、情報オブジェクトを封印しそれをTCUに送る。
【0062】
事前に電子文書を生成し、実行または検索することにより、提出者はデジタル的に署名しそれをステップ101に示されるようにTCUに提出する。このeSeal処理において、封体は署名されたコンテンツとデジタル署名ブロックとを含み、このデジタル署名ブロックは更に提出者のデジタル署名および認証を含み、全ての他の署名者が形成される。図1には5つの処理が示されている:(1)無効なデジタル署名そして/または取り消された認証が発見された際の行動、(2)状態がローカルにキャッシュされている場合の認証状態チェック、(3)認証状態が検索されなければならない場合の認証状態チェック、(4)CRL検索および処理、そして(5)eSeal文書が信頼性のあるものと決定される際にeOriginalの生成。ステップ103において、TCUはeSealされた電子文書を受け取る。ステップ105において、TCUは提出者が電子文書を選択されたアカウントそして/またはトランザクションに追加する権限を有することを確認する。ステップ107において、TCUは電子的に封印されたデジタル電子文書内に含まれる全てのデジタル署名を暗号的に検証する。署名者のX.509認定認証内に見られる公開鍵が、検証処理過程の中で使用される。ステップ109において、認証有効期限が署名者の認定認証から抽出され、ステップ111において、有効期限が現在の日時に対してチェックされる。以上述べた検査のいずれか1つでも不合格となると、その提出物はステップ113で拒絶され、ステップ114において否認確認が送られる。処置はステップ117で記録される。
【0063】
全ての検査に合格すると、封体の中に含まれる各認証に対する認証状態がステップ119でCSSから要求される。ステップ121および123において、認証状態がチェックされそれが認証状態ストアの中に存在するかが確認される。ステップ125において、認証状態が検索され、ステップ127で認証の有効性がチェックされる。何らかの理由でいずれかの認証が無効であると見なされると、その提出物はステップ113で拒絶され、否認確認がステップ115で送られ、その処置はステップ117で記録される。その提出者は回復処置を探すように期待される。
【0064】
ステップ127で全てのデジタル署名および認証がその提出物に対して有効であると決定され、次にステップ129において、TCUは日時スタンプおよびTCUデジタル署名ブロックとを含む別の封体を適用する。次にTCUはその提出物を電子オリジナル記録としてその記録の所有者の代わりに管理を引き受ける。ステップ131において、TCUはその電子オリジナルを保護された固定記憶域に配置し、ステップ133においてこのTCUは肯定確認を送り、ステップ117においてTCUは丁度完了した処置の通信記録をとる。
【0065】
ステップ123において、認証状態が認証状態ストア内に存在しないと判定されると、次にCSSはステップ135で発行元CAフィールドを対象としている認証から検索する。ステップ137において、CSSはその発行元CAが承認されたCAリスト上に存在するか確認するためにチェックし、このリストはステップ139のCAコネクタ・ストアにより保守されアクセスされるものである。そのCAがリストに存在しない場合、無効状態が戻され、処理工程はステップ125で再開され、ステップ127,113,115,および117と進み、結果として提出物の拒絶および否定確認の送信および記録入力が行われる。ステップ137で承認されたCAリスト上に発行元CAが発見され、ステップ141においてそれがその認証状態報告手段がCRLであると判断されると、有効状態表示がステップ125に戻される。CAが既知で状態が対象の認証内に存在しないが、状態手段がCRLの場合、CRLが存在しそれがそのCAに対して最新であるという条件で、その有効状態は有効であると見なされる。この処理工程はステップ127,129,131,133、および117と進み、結果として電子オリジナルを生成し、肯定確認を送信し、そして丁度完了した処置を記録に入力する。
【0066】
ステップ141において、認証状態報告手段がCRLでは無いと判断されると、ステップ137で得られたコネクタ情報を用いて認証状態報告機構に対して問い合わせがなされる。コネクタ記述の中で得られるものは、適切な認証状態集積所に問い合わせるために必要な全ての構成情報であって、CA、ディレクトリ、またはその他の任意の型式の認証状態集積所などである。ステップ145,147,149,および151に関連する状態ストア(すなわち、それぞれLDAP,ディレクトリ、OCSP応答機、データベース、およびサーバ)はその様な集積所の例である。ステップ143での問い合わせに応答して、これらの1つが認証状態情報と共に応答し、その状態はステップ153で認証状態ストアに追加される。
【0067】
ステップ153で追加されると、実行中認証状態処理工程はステップ121で再開し、ステップ123,125および127と継続して、その提出物が受領(ステップ129,131,138,117)または拒絶(ステップ113,115,117)のいずれかの結果となる。
【0068】
CRLはステップ155においてあらかじめ定められた間隔で、またステップ157において、疑義のある妥協が報告された時および方針上即答が要求された際に必要に応じて発行される。この処理工程は図2で更に説明される。
【0069】
CAが既知で状態が存在せず、状態機構がCRL以外の場合、認証状態サービスはコネクタを選択して認証状態機構に問い合わせる(ステップ143)。このコネクタは状態検索を行い、解釈を可能とするために必要な情報を含む。ステップ145−151に示されている実時間認証状態の任意のソースが、認証状態問い合わせに現在状態で応答するが、この処理工程はこれらのソースに限定されるものではない。ステップ153において、状態が受け取られて認証状態ストアに追加される。状態が追加されると、1つの応答が生成され処置はステップ123に戻り、状態の処理はステップ125で再開され、先に説明したように完了する。
【0070】
次に図2を参照するとCSSはCRL検索をバックグラウンド処理として実行する。1つのCRLは無効とされたかまたは現在日時が認証の中に含まれる有効期限を越えて一時停止された全ての認証のリストを含む。一時停止された認証はそれらがあたかも無効とされたかの様に取り扱われるが、それらは回復されて結果としてCRLから取り除かれるはずである。無効とされた認証が回復されることは無い。
【0071】
ステップ155において、CA管理者はあらかじめ定められた間隔でCRLを発行するようにCAを構成する。ステップ157でCA管理者はまた、ローカル認証または安全方針で指示された通りにデルタCRLも発行する。CA管理者またはCAはデルタCRLの発行を通告する。デルタCRLは全CRLの発行間隔の間で認証が無効となるかまたは一時停止される度毎に作成される。デルタCRLは無効とされたCRLの完全なリストを含むはずである。ステップ201において、CRLおよびデルタCRLがCRL集積所またはディレクトリに対して発行される。
【0072】
ステップ203において、CSSはCRL発行スケジュールまたはデルタCRL通告を検索し、ステップ205は計画的な検索で使用されるタイマを表す。このタイマはまた全てのCRL内に含まれる「次回更新」フィールドに基づく検索も可能とする。ステップ207においてCRLまたはデルタCRLがCRL集積所から検索される。ステップ209において、CRLまたはデルタCRLがステップ153で適切なキャッシュまたはステップ121で認証状態ストアのリストまたはディレクトリに確立されたスケジュールまたは通知に基づいて追加される前に、解析される。CRLを解析することにより管理が容易となりCRL入力参照でのオーバヘッドが削減される。CSSのステップ119,123,125,135,137および141が図2により完全に図示されており、これらは図1での説明のように実現されている。
【0073】
次に図3を参照すると、認証状態ストアは多数のキャッシュを含み、それらは異なる報告機構からの認証状態を保持している。キャッシュ(図3にはそれらの内の5つが示されている)は、個別のCA(キャッシュ301,303)またはCAの集合(キャッシュ307,309)に写像している。実時間で報告される状態に対して、その状態は空きが必要となるか(例えば、使用頻度が最も少ない)または方針上の要求(例えば、特定の指定期間のみ保持)が有るまで、キャッシュ上に残っている。状態は通常は一度基準を超えると取り除かれる。
【0074】
これらのキャッシュの目的は、方針で示された期間認証状態を保持することであり、これにより認証状態およびCRL検索中に必要とされる通信オーバヘッドを削減する。従ってCSSは通信を停止できる。
【0075】
CRLは解析され、キャッシュ内に配置された個別の無効とされた認証状態は、CRLが繰り返しチェックされる場合に結果として生じる計算のオーバヘッドを削減する。これはキャッシュ305,307に示されている。キャッシュの内容は新たな全CRLが検索される度毎に置き換えられる。
【0076】
次に図4を参照すると、シンタックス例が示されており、デジタル署名ブロック内に含まれる必要がある更に重要なデータ要素のいくつかを表している。図4はデータ要素の自由形式例であって、署名が複数のメッセージ断片および日/時スタンプに適用される際のデジタル署名を作り出す。この例はデジタル署名ブロックで使用されるはずのシンタックスを例示するように意図されている。<CumulativeHashValue>データ要素が、1つまたは複数の断片または全コンテンツの HashValuesおよび全てのAuthenticated Dataに適用されることに注意されたい。
【0077】
図5は認証状態サービスを支援する基本ブロックを示す、安全通信アーキテクチャを示す。図は3つのCA,CSS、およびTCU間の相互作用を示す。CSSは好適にTCUの地元に置かれていて高い利用性を保証している。その第1次的目的はTCUに共通通信にインタフェースを提供し、認証状態情報の安全でタイムリな提供を保証することである。その第2次的な目的はサービスの保証された水準または品質を、認証状態情報を維持する際に要求される通信並びに計算オーバヘッドを管理することにより保証することである。
【0078】
図5に示されるように、好適な通信ルータおよびハブを具備したCSSサーバおよびTCUは好適に通信ファイヤウォールの内側に配置されている。ルータおよびハブは情報をCSSおよびTCUに必要に応じて導く。この情報の中には eSeal 提出物を含むものがあり、これらの提出物は先に説明したようにTCUに対してインターネットの様なネットワークを通して、使用者クライアント・アプリケーションから送られる。またOCSP経由のCSSおよびTCU通信も図示されている。
【0079】
図5はまた3つのCAを図示しており、これらはそれぞれの通信ファイヤウォールの内側の異なる例示環境にある。企業CAは点線で囲われた賃貸工業CAとインタフェースするサーバを含むかも知れない。外部PKIまたは応答機は、例えばPKI,CA、および認証状態応答機の様な事業体とインタフェースするサーバを含む場合がある。階層的会員PKIはCRLおよび認証状態用のV3 LDAP、ルートCAおよび抵当並びに賃貸工業、貸し手、閉鎖代理人、および所有権保証者向けCAの様な事業体とインタフェースする場合がある。
【0080】
図6および図7は、それぞれ会員CAおよび外部CA両方の使用者(加入者および事業体)登録処理中の認証状態サービスの使用を表す。会員CAは使用者認証を発行するように信頼されている。外部CAは外部事業体により運用され彼らの認証がTCU活動と共に使用される前に承認される必要があるものである。使用者身元認定は全てのCAで厳格に実行されるかまたは組織代理人に委託される必要がある。別の要求は、TCUが使用者へのアクセスを許可出来る前に、使用者の認証が1つまたは複数の承認する組織のアカウントに直接関連づけられるかまたはその使用する権限を与えられている必要がある。一度これが実施されると、TCUは使用者のデジタル署名を受け入れ、CSSに依存して認証状態有効確認を行う。
【0081】
図6において、TCU登録処理はステップ601で、組織の管理者/代理人が依頼人からの使用者登録情報を受け取ることにより開始する。ステップ603において、この管理者/代理人は、要求を行うために依頼人の信頼性を審査するように依頼される。依頼人は通常彼らのアカウントに対する管理のみを与えられている。ステップ605において、管理者/代理人はその使用者をTCUに登録し、使用者アカウントを設定する。ステップ607において、管理者/代理人は次にトランザクション特権を使用者に割り当てる。トランザクション特権は、電子オリジナルおよびその他のソース記録を提出、バージョン管理、転送などを行える機能を含む。
【0082】
ステップ609において、暗号トークン(デジタル署名機構)が初期化され、ステップ611において、一対の公開鍵がそのトークンに対して生成される。ステップ613で認証要求が作成され、そしてステップ615でその要求が組織のCAに送られる。ステップ617において、その認証が検索されてそのトークン上に配置される。ステップ619で、その認証が使用者TCUアカウントと結合されるかまたは関連づけられる。
【0083】
ステップ621で使用者の身元の有効性が、例えば個人的にその使用者の身元確認を行える組織の管理者/代理人の所へ本人が出頭するなどして、確認される。通常、少なくとも2つの形式の身元証明が要求される。使用者の参画が依頼人により後援されているので、管理者/代理人により知られている誰かにその使用者の身元保証をするように依頼されるような、高価値トランザクションを除いて、これで十分である。ステップ623で、使用者は請負契約に署名するように依頼され、これにより使用者はその使用者のデジタル署名の使用が拘束力を持つことに同意する。ステップ625で使用者にはプリケーション使用者マニュアルが与えられ、いかなる取扱説明書も必要であるとみなされる。ステップ627および629において、使用者にはログオンID、暫定パスワード、および暗号トークンが与えられる。
【0084】
ステップ631で使用者はシステムにログオンし、ステップ633でテスト文書をTCUに提出する。ステップ635で、TCUは使用者のデジタル署名の有効性を確認し認証を与える。ステップ637でTCUはCSSに対して認証状態情報を問い合わせる。ステップ639において、TCUは状態を受け取り、それに応じて処理する。受け取った認証状態が有効な場合、登録はステップ641で完了し、その使用者はTCUにアクセスし使用することが可能である。認証状態が無効の場合、登録はステップ643で終了し、管理者/代理人はエラーの原因を判定して救済処置を開始するが、それには概略で示した登録手続き手順のいくつかまたは全てを繰り返すことが含まれる。図6に概略を示した信頼性のある処理手順は、会員登録は完了した時点で、完全に有効となることを保証している。
【0085】
図7では、方針で指示された条件に合致する場合、外部CAで以前に発行された暗号トークンを使用者が使用することを許している。先に説明したように、登録ステップ601から607が先に行われる。使用者身元確認および契約とか621から627が先に説明したように行われる。
【0086】
使用者は既にトークンを持っているので、処理工程は図6に示されたものとは異なる。ステップ701で使用者はトークンを互換読み取り機上に置き、ログオンする。ステップ703で、管理者アプリケーションは使用者の認証をそのトークンから検索する。ステップ705で認証情報が表示され、発行元CA身元情報が得られる。このCA情報はステップ707で、そのCAが承認されたリストに載っているか審査するために使用される。そのCAが承認されたリスト上に無い場合、そのCA情報はステップ709でTCU管理者に提供され、その管理者はステップ711で入会指針典拠(Application Policy Authority)とチェックし会員登録の継続を許可する。入会指針典拠は外部CAを承認リストに追加することのみを認定できる。
【0087】
ステップ713で許可が否定された場合、会員登録はステップ649で終了し、使用者に3つの選択肢を与える。1つは会員CAで発行されたトークンを使用するように求める。別の選択肢はCA拒絶決定の見直しを要求する。第3の選択肢は以前に承認された外部CAの名称を問い合わせる。
【0088】
ステップ713で発行元CAが承認されているがリストには載っていない場合、ステップ715で管理者はそのCAとコネクタ情報承認済みリストを追加し、CSSが認証状態をそのCAから検索するように構成する。
【0089】
ステップ619で、使用者認証が新たに作成された使用者アカウントに結合されるかまたは関連づけられる。図6のステップ631から639と同様、使用者はそのアカウントが正しく設定されて、その使用者がTCUにアクセス出来るかを確認するために、試験提出をTCUに対して行うように求められる。CSSが有効状態情報を戻すと、会員登録はステップ641で完了する。CSSが無効状態を戻すと、管理者はそのエラーの原因を判別し救済処置を実行し、それは先に説明した会員登録手順のいくつかまたは全てを繰り返すことを含む。もっとも起きやすい失敗原因は、CSSが外部CAに接続して正しく認証状態を検索出来るかに関連している。
【0090】
CSSは使用者認証および発行元CAが共にTCUまたは他のシステムへアクセスすることを認定されているかの有効性確認において、非常に重要な役割を担っている。1つの発行元CAが承認済みリストから取り除かれる、そのコネクタ構造データが消去されると、全ての関連する使用者はそれ以降TCUへのアクセスを拒まれる。CSSは認証状態を要求する他のアプリケーションおよびシステム、複数のPKIおよびCAとの相互作業を要求するアプリケーションおよびシステムを含む、と一緒に作業をすることが出来ることを理解されたい。
【0091】
例えばCSSの別の用途は、サービスを探している顧客とそのアプリケーション運用者との間に契約が存在しているところで、自己署名認証を含む信頼に足る認定認証に状態を提供することである。信頼に足る認証の表現(例えば、PEM、認証ID、適用されたデジタル署名)はCSSでキャッシュされ、状態は信頼されたコネクタを用いて問い合わされる。これによりアプリケーションが単一の認証状態を持つことを可能としており、これはその認証が自己署名されたものかまたはCAにより発行されたかを問わないことを意味する。この信頼された認証方法は共同体の1つまたは複数のCAに問い合わせるというよりむしろ、少数の管理された認証が1つの共同体で使用される場で使われる。従って、「CA」および「発行元CA」という用語はこの出願で使用されるように、従来のCAのみならず自己署名認証の認められた発行者も含む。
【0092】
更に、CSSは認証状態を検索するためにコネクタの組み合わせも使用する。少なくとも1つのコネクタは、信頼された認証での使用に関して丁度説明した様に「仮想的」なものである。CSSは予め定められた、例えば順序が決められたシーケンスで認証状態が獲得されるまで、コネクタを呼び出す。この方法は状態ソースの階層(例えば、最も信頼の高いものから最も信頼の低いもの)を作成することを可能とする。
【0093】
図8は自動車賃貸の例を図示し、如何にしてCSSが電子商取引の中で利用されるかを示している。自動車のディーラまたはディーラの代行者、これ以降簡単のためにディーラと呼ぶ、にはコンピュータで表されている自動車CAからそれぞれの認定認証が発行されている。自動車特約店に居ると思われる自動車の賃借人には、それぞれの認定認証が銀行CAから発行されている。遠隔地に居る賃貸人にはそれぞれの認定認証が金融CAから発行されている。これに代わって、賃借人または賃貸人のいずれかが自己署名認証を作成しておくことも可能であり、これにはディーラが賃貸アプリケーションおよびCSSとして登録されており、これは例えば賃借人がそのディーラの馴染みの顧客の場合である。
【0094】
この出願の中で説明されるように、CSSはこれらおよびその他の認証の状態を、承認された状態報告プロトコルを使用する任意の認証状態報告手段を用いて、検索して報告する。図8において、自動車CAおよび金融CAはOCSPを使用し、銀行CAはCRLを使用し、またディーラおよび賃借人は、彼らの認証および暗号化署名手段を含む何らかの形式のトークン(例えば、PKCS#11,PKCS#12,ブラウザ鍵ストアなど)を有するものと仮定している。図8はトランザクションの実行見本にすぎないことは理解されよう;個々のトランザクションで必要な通信に応じてより多くまたはより少ないCAが接続可能である。
【0095】
ステップ801において、ディーラは賃借契約を起草するかまたはそれを賃貸アプリケーション、例えば特約店でローカルに、または遠隔サイト例えばアプリケーション・サーバで沿革的に実行されている実行プログラム、から検索する。ステップ803で、ディーラは賃借人と賃貸人との賃貸契約の実行を調整する。この賃貸契約書はローカルな賃借人と遠隔地の賃貸人の両方に同時に表示され、ディーラは質問に回答し必要で有れば訂正するように求められる。ディーラはこの賃貸契約を賃貸人にURL(uniform resource locator)を提供することで表示するように手配し、これにより賃貸人がこの賃貸契約を再検討して契約書に署名することを可能とし、署名された版がディーラに戻される。賃借人およびディーラによりローカルに、例えば賃貸契約書の上に賃借人のデジタル署名をキャプチャするタブレットPCを用いて署名され、また賃貸人により遠隔地で署名された後、この賃貸契約書は電子貯蔵所に送信され(ステップ805)、これはアプリケーション・サーバと通信するように示されている。賃借人とディーラによるデジタル署名は好適に動的であり、これはアプリケーション・サーバが表示を「デジタル的に署名された」表示器を表示された画像に適用することで更新することによりなされる。実際のデジタル署名は好適に表示されない。
【0096】
アプリケーション・サーバおよび関連する電子貯蔵所がディーラによって、賃貸人により遠隔的に署名するために契約書を保存するために使用されることは理解されよう。ステップ807から811を通して、賃貸人はこの貯蔵所から賃貸契約書を検索し、その契約内容にデジタル的に署名することにより同意し、そのデジタル的に署名された版を貯蔵所に戻す。ステップ807から811は多元サイト協調および同期トランザクション処理の両方を図示している。
【0097】
ステップ813から817において、受領された電子文書(賃貸契約書)はデジタル署名をチェックされ、何かが見つかると、このデジタル署名は検証されてそれぞれの認定認証の有効性が確認される。ステップ817において、現地時刻がチェックされてそれが認証の有効期間に入るか保証し、ステップ819でCSSは認証の状態が問い合わされる。ステップ821の応答の中で、CSSは第1に認証状態用のそのローカル・キャッシュ・メモリまたはデータ・ストアをチェックし、認証状態が存在し現在のものである場合、CSSはステップ827でその認証状態を「使用可能」として返却する。ステップ823で、認証状態が存在しないかまたは現行のものでない場合、CSSは発行元CAにこの目的用に作成されたコネクタを用いて問い合わせる。ステップ825において、発行元CA、例えば銀行CA、またはその状態報告手段(例えばディレクトリ)は状態をCSSへ、好適に同じコネクタを用いて戻し、ステップ827でCSSは問い合わされた認証の状態をアプリケーション・サーバへ返答する。
【0098】
全てのデジタル署名と認証が検証されて有効であると確認されたと想定すると、電子文書が信頼に足るものと証明し、アプリケーション・サーバはその電子文書の管理を引き受けて、ステップ829でそれを新たな版として電子貯蔵所の中に格納する。従って、適切な特徴を具備することでアプリケーション・サーバと電子貯蔵所は1つのTCUとして協力することが分かるであろう。ステップ831において、新たな版が信頼できるコピー、送信可能記録である電子オリジナルとして指定されるが、それは日時スタンプを添付しTCUのデジタル署名をその文書に適用することにより行われる。文書上の少なくとも1つのデジタル署名が有効である限り、このステップが実行される。
【0099】
ステップ833において、いずれかのデジタル署名または認証が全ての試験に不合格となる場合、ディーラには回復処置を探すように警告され、これは典型的にステップ801から829を有効代替デジタル署名が適用されるまで繰り返すことを含む。この回復処理は署名者の認証の状態が無効とされているかまたは期限切れとなっている場合、新たな認証および暗号素材が発行されるまで完了することが出来ない。
【0100】
例えば自動車賃貸契約書のような情報オブジェクトが電子形式、例えばXML,PDF,PKCS#7,S/MIME等で表現されており、これはデジタル署名の配置と検出とを可能とし、認定されていない変更を防止することは理解されよう。従って多数のこれらの形式を、安全封体または含まれる情報の封筒として考慮することが可能である。
【0101】
CSSを認証の状態をチェックするために、鍵の使用とは無関係に使用できることを理解されよう。その様な認証は、これに限定するわけでは無いがその1次使用が身元確認および認定ではない、例えば、鍵同意/交換、認証署名、CRL署名、鍵暗号化、データ暗号化、暗号化のみ、暗号解読のみ、および安全ソケット層(SSL)を含む。従って、本出願内で使用されるように、「認定認証」という用語は一般的に、身元保証には使用されないこの様な認証も含むことを理解されよう。
【0102】
加えて、CSSコネクタ好適に単一通信の中に、複数の認証状態チェックを組み込むことが可能である。なかんずく、この機能は使用者/事業体認証およびCA認証のいくつかの連鎖または全ての連鎖、例えばルートCAから発行元CAまでのCAの階層の有効性確認で使用される。これは認証経路内の全てのCAが依然として有効であることを追加して保証する。
【0103】
本出願は認証状態サービス(CSS)を構成するための方法を説明してきたが、これは必須の発行元CAに認証状態を検索するために必要な設定情報を決定し、発行元CAから認証状態を検索するために使用される認証状態参照技術と互換のコネクタを識別し、コネクタを選択されたコネクタと発行元CAに特定の設定および通信パラメータで構成し、CSS写像を発行元CAとそのコネクタとの間で設定する、以上のステップを含む。CA指定とコネクタが構成ストア内の承認されたCAのリストに追加される。
【0104】
それぞれの検証可能な証拠痕跡を有する認定された情報オブジェクトを転送することによりトランザクションを実行するための方法は、第1当事者が信頼された貯蔵所から認定された情報オブジェクトを検索するステップを含む。認定された情報オブジェクトは提出側当事者の第1デジタル署名、少なくとも提出側当事者の身元および暗号鍵に関する第1認証、信頼できる日時、信頼された貯蔵所のデジタル署名、少なくとも信頼された貯蔵所の身元および暗号鍵に関する認証を含む;提出側当事者のデジタル署名および認証は信頼された貯蔵所によって提出時に、情報オブジェクトの信頼性を証明することにより有効性の確認がなされている;また認定された情報オブジェクトは格納部の中に、信頼された貯蔵所の管理下に置かれた電子オリジナル情報オブジェクトとして配置される。
【0105】
トランザクション実行方法は更に、使用に対してコミットすること、および、署名行動の前に彼らのデジタル署名に結合することをどの署名事業体にも要求し、少なくともデジタル署名および署名側当事者の認定認証を含んで構成された前記情報オブジェクトをいずれかの当事者により実行し、少なくともデジタル署名および署名側当事者の認定認証を含む署名ブロックを作成し、その署名ブロックを情報オブジェクトに関連づけ、複数の事業体が情報オブジェクトそして/または封体にデジタル的に署名する先の実行ステップを繰り返し、デジタル的に署名そして/または封入された情報オブジェクトをTCUに転送する、以上のステップを含む。TCUは全てのデジタル署名を検証し、各関連する認定認証の有効性を確認し、状態をCSSから検索する。署名ブロックは、署名者のデジタル署名ブロックが検証されないかまたは、署名者の認定認証の期限が切れているかまたは無効であると報告されている場合は拒絶される。いずれかの署名ブロックが拒絶されるとその結果、署名ブロックの置き換えまたは回復処置の開始が要求される。少なくとも1つの署名ブロックが有効であると判定されると、TCUはそれ自身の署名ブロック、また信頼性の高い日時を含む、を対象となる情報オブジェクトに添付し、所有者の代わりにそれを保持し管理する電子オリジナルを作成する。
【0106】
デジタル署名ブロックの作成は、1つまたは複数の情報オブジェクト断片または全情報オブジェクトに対する1つまたは複数のコンテンツ・ハッシュを計算し、1つまたは複数のコンテンツ・ハッシュおよび全ての添付データ、例えば現地日時、署名原理、または指令にまたがるハッシュを計算し、計算されたハッシュを署名側当事者の秘密鍵を用いて暗号化し、これによって署名者のデジタル署名を形成し、そして署名者のデジタル署名を署名ブロックの中に署名者の認定認証と一緒に配置する、以上のステップを含む。添付データが現地日時を含む場合、デジタル署名の作成は更に現地日時を表示するか、署名者に対して日付および時刻が正しいかの確認を要求し、現地日付および時刻が正しくない場合修正するか、またはこれらが信頼された時刻サービスで設定され現地日付および時刻が変更されることを防止されている場合はシステム日時に依存する、以上のステップを含む。現地日時をチェックしてそれが正確であり、それが使用者の認定認証有効期限内でありその現地日時がその有効期限で指定されている日時の前でも後でも無いことを保証することが可能である。
【0107】
検証で不合格となったデジタル署名の回復方法は、デジタル署名を再計算し署名ブロックを再送信することを要求する。認定認証有効期限侵害の回復方法は、使用者に対してその使用者の認証が期限切れとなっていることおよび更新しなければならないことを通知し、トランザクション所有者に対してそのトランザクションが不完全であることを通知することを含む。
【0108】
1つまたは複数の署名ブロックおよびその中に含まれる情報の配置は、少なくとも1つの署名タグで指定される。1つまたは複数の手書き署名および日付がデジタル化され、情報オブジェクト実行に使用され、署名および日付の配置は少なくとも1つの署名タグで指定される。1つまたは複数の署名ブロックはTCUに対して対応する署名タグの表示と共に個別に送ることが可能であり、TCUは別々にまたはグループで送られてきた全ての署名ブロックの有効性を確認することが出来る。デジタル署名の検証または認定認証有効性確認ステップのいずれかが不合格となると、TCUはその署名ブロックを拒否して回復方法を要求し、署名ブロック有効性確認ステップが合格すると、TCUはその署名ブロックを指定タグに配置する。署名ブロックを個別に送信するために、TCUは信頼性のある日付および時刻を各々の署名ブロックに追加する。ビジネス規則によれば、TCUはそれ自身の署名ブロックを添付し、これは主題情報オブジェクトと挿入された署名ブロックとを含む封体の中に信頼性のある日付と時刻とを含み、これにより電子オリジナル情報オブジェクトを作成する。複数の使用者署名ブロックが1つの封体の中に追加され、その封体はその他のビジネスおよび安全処理工程を実施するために再帰的に適用することができる。
【0109】
TCUは電子オリジナル情報オブジェクト内に含まれるかまたは追加される署名ブロック内に存在するデジタル署名および認定認証の有効性確認を、ビジネス規則データベースの中で認定認証で身元保証された署名事業体が要求された処置を実行するための信頼性を有するかのチェックを行い、署名側事業体のデジタル署名を検証し、認証有効期限が現在の信用できる日付および時刻の範囲内で有るかをチェックし、伝達された現地日時がTCU日付および時刻内の許容差以内に入っているかをチェックし、認証状態をCSSを用いてチェックすることにより、行う。これらのステップのいずれかの結果が無効または虚偽となった場合、そのデジタル署名は無効であると見なされ、要求された処置は不許可となり回復手段が探される;それ以外の場合は、そのデジタル署名は有効であると見なされ、要求された処置は許可される。
【0110】
発行元CAのCSSへの登録は、その発行元CAをCSS知識ベースの中に「認定済み」として、工業または組織ビジネス規則およびシステム方針に基づいて含めるための審査と承認のステップを含む。審査ステップが不合格となると、その発行元CAはCSS構成ストアに「不認定」として追加されるかそして/またはCA登録が終了する;それ以外の場合は、発行元CAは「認定済み」として追加され、通信パラメータ(IPアドレス、SSL鍵および認証)および認証状態を報告するために使用される方法(OCSP,CRL,LDAP)がCSS構造ストアに追加され、もし既設でない場合は認証状態を解釈するためにコネクタが追加される。この様にしてCSSは1つのシステムまたはTCUと多種多様な認証状態応答機との間の相互運用性を可能とする。
【0111】
認証状態チェックは、通信を確立するために好適にCSSを採用し、認証状態を承認された認証発行元CAから検索してキャッシュする。CSSが認証状態問い合わせを1つのシステムまたはTCUから受け取ると、CSSは最初にそのローカル・キャッシュをチェックしてその認証状態が存在するか確認し、発見されかつ有効期限内である場合には状態を返却する。認証状態が存在しないかまたは有効期限が切れている場合は、CSSは最初に接続情報をその構造ストアから要求することにより状態を検索する。CSSは次に通信セッションを、その構造ストア内で識別された認証状態報告構成要素と確立する。CSSはCSS構造ストア内に含まれる方法によって認証状態要求を作成し、そのCSSは認証状態を認証状態報告構成要素から検索し、構成要素とのセッションを閉じる。CSSは少なくとも認証のID、認証状態および有効期限をそのキャッシュに追加し、認証状態を要求元システムまたはTCUに返却する。
【0112】
認証状態報告はCRLとCRLの処理とに基づいている。発行元CAの発行スケジュールに基づき、CSSはCRLをCSS構造ストア内のリストに挙げられている認証状態報告構成要素から検索する。CSSは発行元CAに関連するキャッシュ・メモリを消去し、CRLからの認証状態を解析し、その認証状態を発行元CAに関連するそのキャッシュの中に配置する。発行元CAからそのCRLが利用可能であるとの通知を受けると、CSSはCRLをCSS構造ストア内のリストに挙げられている認証状態報告構成要素から検索する。基準によりそのCRLが完全なCRLを要求される場合には、CSSは発行元CAに関連するキャッシュを消去し、そのCRLを解析し、その認証状態および関連する情報を発行元CAに関連するキャッシュの中に配置する。CRLが全CRLの発行後に生じた変化のみを含む場合、CSSは認証状態をCRLから解析し、認証状態と関連する情報を発行元CAに関連するキャッシュの中に配置する。
【0113】
使用者、システムまたはTCUが認証状態を獲得するために単一手段を使用することを可能とするCSSを、認証状態を獲得するために使用することは、CSSに対して情報オブジェクト上の署名ブロック内に存在する認定認証の状態を、単一手段(例えばOCSP)を使用して問い合わせ、状態問い合わせを発行元CAで要求される形式に翻訳し、認証状態を検索そして/または報告する、以上のステップを含む。認証状態が無効とされると、その署名ブロックは使用されず回復方法が要求される;デジタル署名を検証し認証状態が有効である場合、署名ブロックが電子オリジナル情報オブジェクトに追加される。
【0114】
TCUはCSSに署名者の認定認証状態の有効性確認を問い合わせることが出来るが、それはその状態がCSSキャッシュ/データ・ストア内に存在し現在有効な場合、認証状態を配置し報告し、認証状態をCSS構造ストアから検索するための型式と手段とを獲得することで行われる。特定の認証状態方法がCRLで、措定された認証状態がCSS内の発行元CAキャッシュ内に発見されない場合、CSSは認証状態を有効であると報告する。認証状態方法がCRLで無い場合、CSSはCSS構造ストア内に含まれる方法によって認証状態要求を構成し、適切な通信を発行元CAと確立する。CSSは認証状態を状態報告構成要素から、特定された認証状態チェック方法を用いて検索し、そして通信セッションを閉じる。CSSは検索された認証状態を解析または解釈し、有効期限値をCSS方針で述べられている状態型式で指定された期間と等しく結びつけ、少なくとも認証のID、および有効期限を発行元CAの認証状態キャッシュに追加する。次にCSSは認証状態を要求側システムに返却する。
【0115】
認証がCSSで認知されている承認された発行元CAから発行される、システムまたはTCUの中に使用者を登録するための方法は、使用者を確立された会員手順および基準を用いて審査し、承認された組織引受人により署名されている使用者登録情報を入力し、認証要求を作成して特定された発行元CAへ送ることを含む。使用者の認定認証は検索され、発行され、そしてトークン上に配置されて発送される。デジタル署名、デジタル署名検証およびCSS認証状態チェックが、公開鍵対生成を保証するために実行され、認証発行処理過程が正しく完了する。使用者は使用者同意書に署名を要求されるが、これは使用者に対して彼らのデジタル署名の使用が彼らの手書き署名と同様の重みを持つことを約束し、トークンが使用者に渡され、使用者のシステムまたはTCUアカウントが起動される。
【0116】
使用者をシステムまたはTCUに登録するための方法は、その使用者が既にCSSからは以前に知られていない1つのCAから発行された認証を有している場合、その使用者の認定認証に対する使用者トークンを問い合わせて発行者情報を獲得し、発行元CAがその中に含まれるかを調べるために使用者の認定認証に使用者のトークンを問い合わせることを含むことができる。含まれていない場合、工業または組織方針管理者に連絡を取って、その発行元CAがそのCAを含めるためのシステム規則に合致するか否かの判断が行われる。発行元CAが「非認定」と見なされると、登録は終了し、発行元CAが「認定」と見なされると、登録処理は先に説明したように進行する。
【0117】
使用者の認定認証コンテンツの一部を使用してその認証を使用者のアカウントと結びつけられるが、それは使用者がシステムまたはTCUへアクセスすることを承認した後、使用者登録情報を入力し、使用者の認定認証を保持する使用者のトークンを挿入し、認証コンテンツを検索して表示し、使用者にそのコンテンツが正しいかの確認を行わせ、選択されたフィールドを認証から抽出されたシステムまたはTCU使用者登録データ、例えば認証ID、発行元CA使用者の識別名称の一部または認証拡張部で伝達されるその他の識別情報(例えばsubjectAltName)に追加して行われる。抽出されたデータはシステムまたはTCU方針で特定されていて、データの抽出および入力は自動化できる。
【0118】
情報オブジェクトの提出者が提出された情報オブジェクトの信頼性を保証する方法は、提出者の署名ブロックを情報オブジェクトそして/または封体に添付し、それをシステムまたはTCUへ転送するステップを含む。署名ブロック有効性確認に失敗すると、TCUは再送または回復方法を要求し、署名ブロック有効性確認に合格すると、TCUは次に提出者の身元が通信セッション開始者のそれと整合するかチェックし、開始者と提出者が異なる場合はその提出物を拒絶する。全てのチェックに合格すると、TCUはその署名ブロックを提出物に追加し、電子オリジナル情報オブジェクトを作成する。
【0119】
有効期限データ要素を採用した実時間認証状態報告手段用に正確でタイムリーな認証状態を維持するCSS内の方法はこれらのステップを含む。CRL状態方法が使用されている場合、CSSは状態を報告する。認証状態がキャッシュの中に有り、有効期限データ要素が超過していない場合、CSSは状態を報告する。有効期限データ要素が超過している場合、CSSは認証状態入力を発行元CAキャッシュから消去する。状態が実時間認証状態報告手段(例えばOCSP,LDAP問い合わせ等)を用いて検索され、その状態がキャッシュの中に存在しない場合、認証状態が要求され、検索されそして報告される。次にCSSは少なくとも認証のID、認証状態および有効期限をそのキャッシュに追加し、認証状態を要求元システムまたはTCUに返却する。
【0120】
認証状態使用計数器データ要素がCSSの発行元CAキャッシュ内の認証の状態入力に追加され、その状態使用計数器は認証の状態がチェックされる毎に増数更新または減数更新される。この状態使用計数器がCSS方針で設定された閾値を超えると、認証状態が報告されるがCSSは認証状態入力をその発行元CAキャッシュから消去する。CSSが認証状態が不正または無効を返却すると、システムまたはTCUはそのエラーを記録そして/または提出者そして/またはトランザクション所有者に報告し、要求された処置は不許可となり回復方法が探される。それ以外の場合、デジタル署名は有効と見なされ、要求された処置は許可される。認証状態最新被アクセス・データ要素が追加され、使用計数器と共に使用されて認証状態の活動レベルを判定する。
【0121】
バックグラウンド処理によりCSSが自動的に更新された認証状態を検索し、CSS方針の基準に合致した時に、新たな有効期限および使用計数器データ要素を確立させることが可能である。この事前フェッチはシステムまたはTCU認証状態要求とCSS応答との間の平均時間を短縮することが可能である。
【0122】
CSSに対して新たな認証の認証状態検索要求がなされ、発行元CAキャッシュが割り当てられたバッファ・サイズ限界に達した場合、認証状態最新被アクセス・データ要素が、CSSの発行元CAキャッシュ内の認証の状態入力に追加される。CSSは発行元CAキャッシュの中で最新被アクセス・データ要素の最も古い日時(最も低い使用頻度)を探し、その入力を消去する。次にCSSは要求された認証状態を検索し、それを発行元CAキャッシュの空けられた場所に配置してその状態を方針に基づいて行動しているシステムまたはTCUに報告する。
【0123】
分散されたCSS内で状態をチェックする方法は、新たな発行元CAが導入される度毎にCSSとの間で調整し、他のCSSが発行元CAに対する問い合わせの1次責任を有する場合、全てのCSS知識ベース内への入力を確立し、他のCSSへ発行元CAの代わりに問い合わせてCSSと発行元CAとの間の通信を削減し、複数のローカル・システムが1つの発行元CAに対して認証状態要求の多量の集中が有る場合、認証状態を同期およびキャッシュし、他のCSSが指定された発行元CAとの間で元の1次CSSよりも重い活動を有している場合、問い合わせ責任を共有または譲渡する。
【0124】
1つの発行元CAに関連する使用者の1群を、CSS知識ベース内のその発行元CA紹介を「非承認」と変更することにより除外することを、発行元CAに対して廃棄を承認するように要求し、その要求の利点を再検討して何らかの処置が必要であるか判断し、何らかの理由でその発行元CAを無効とするように決定されると、CSS知識ベース内の発行元CAの状態を「非承認」と変更することにより実行できる。「非承認」としてリストに載せられているCAで発行された認証の状態に対するこれ以降の要求は、結果としてCSSが不合格状態を返却することになる。
【0125】
以前に発行元CA紹介を「非承認」と設定して無効とされた使用者の1群を再有効化するための方法は、発行元CAの再可能化許可の承認を要求し、その要求の利点を再検討して何らかの処置が必要であるか判断し、発行元CAが再有効化されるべきと決定されると、CSS知識ベース内の発行元CAの状態を「承認」に変更することで実行できる。CSSは回復された発行元CAに対する認証状態要求を、それを他の「承認された」CAで有るかのように処理する。
【0126】
状態報告構成要素との通信は、その様な情報を配置、要求そして検索するために使用される各々の認証状態プロトコルに対して、モジュラおよび再使用可能装置を作成し、個別の認証状態プロトコルを理解する全てのCAおよび応答機と互換性のある装置の版を使用し、そして使用状態にある各々の状態報告プロトコル用の装置の版を有することで確立できる。この装置は、今後の認証状態報告プロトコルに容易に適合可能なように設計されている。
【0127】
提出者が第1TCUで、提出が1つまたは複数の電子オリジナルの管理を第2TCUに転送するトランザクションの実行は、そのトランザクションの所有者に第1TCUに対して、1つまたは複数の電子オリジナル文書を第2TCUへ転送するように指示を出させることを含む。そのトランザクションの所有者は第2TCUに対して1つまたは複数の電子オリジナル文書を転送するように指示し、所有者は第1TCUにどの電子オリジナルが第2TCUへ送られるべきかを指定する指示書を与える。第1TCUは第2TCUとの通信を確立し、その処置の目的を第2TCUに確認する。第1TCUまたは所有者は指示書を第2TCUに転送し、管理の転送が完了したことを判別できるようにしている。第1TCUは各々の確認された電子オリジナルを第2TCUに転送し、これはCSSを用いて各々の転送された電子オリジナル上の第1TCUのデジタル署名が変更されていないかを保証している。第1TCUのデジタル署名のいずれかが無効である場合、第2TCUは第1TCUに通告して回復方法(例えば、第1TCUに対して現行認定認証を用いて辞退するように求める)を探す。第1TCUが同意できない場合、第2TCUはその事象を記録に残して、そのトランザクションの所有者に、要求された管理の転送が失敗したことを通告する;それ以外の場合は、第2TCUは各々の成功裏に転送された情報オブジェクトに対する新たな封体を、日時スタンプとその署名ブロックとを追加して作成する。第2TCUは第1TCUに転送が成功する毎に通告し、完了すると第1TCUは所有者の自己判断で、それらがオリジナルと解釈されない方法でコピーに印をを付けて保持するか、または転送された情報オブジェクトとして存在している全てのコピーを廃棄する。この処理は全ての指定された電子オリジナルが転送されるまで繰り返される。この様にして、第2TCUは信頼できるコピーである、転送された記録の管理者となる。第2TCUは信頼できる日時、デジタル署名、封体を添付し指示書を格納して、管理の末尾の独立した要素とする。
【0128】
トランザクションの実行に際して、所有者の指令はまた所有権の転送も行われることを述べており、所有権文書の転送は第1または第2TCUのいずれかで行われる。責任のあるTCUが所有権文書の転送の信頼性を、全てのデジタル署名、認証有効期限を検証し、CSSを使用して認証状態をチェックすることにより確認する。次にこのTCUは信頼性のある日時を添付し、デジタル署名をし、指示書が追加されたこれらの新たな電子オリジナル情報オブジェクトを封体として格納する。これらの電子オリジナルが第1TCUの中に配置される場合、所有権の転送が管理の転送前に実行され、指示書を所有権の末尾の一部となるように開始する。
【0129】
転送された、いくつかの記録は単純な電子情報オブジェクトであり、電子オリジナルそのものではない。CSSはシステムまたはTCUと通信するために、何らかの適切な認証状態プロトコルを使用する。
【0130】
本発明はその本質的特徴から逸脱することなく多くの異なる形式で実施できるであろう、従って上記の実施例は図示を目的としたものとであり、全ての部分において制約するものでは無いと了解されなければならない。この説明および添付の特許請求の範囲で使用されるように、「含む」および「含んでいる」という用語は、言及されている特徴が、他の複数の特徴が存在することを除外することなく存在していることを示していることを意味していることを強調しておく。本発明の意図された範囲は、これまでの説明よりはむしろ添付の特許請求の範囲で指定されており、請求の範囲内に落ちる全ての変化は此処に含まれるものと意図している。
【図面の簡単な説明】
【0131】
【図1】図1はCSSを採用しているTCU電子情報オブジェクト有効性確認プロセスを示す図である。
【図2】図2は、複数のCRLと複数のCRLとが認証状態ストアに加算されるバックグラウンドCSS処理を示す図である。
【図3】図3は、分析されたCRL、OCSP応答、および他の認証状態報告方法から導出された状態の個別キャッシングを示す図である。
【図4】図4は、デジタル署名が情報オブジェクト断片および添付データに適用されている、データ要素例を含む署名ブロック用の拡張性のあるシンタックスを示す図である。
【図5】図5は、TCUとCSSおよび会員および外部CAからインターネット経由での認証状態CSS検索との相互作用を示す図である。
【図6】図6は、認証状態チェック・ステップで終了するTCU使用者登録処理を示す図であり、此処でデジタル署名有効性確認は成功裏に登録されている。
【図7】図7は、外部CAが使用者認証を発行し、認証状態チェック・ステップで終了している場合の使用者登録処理を示す図であり、此処でデジタル署名有効性確認は成功裏に登録されている。
【図8】図8は、自動車賃貸契約事例を示す図であり、如何にしてCSSが電子商取引の中で利用できるかを示している。
【特許請求の範囲】
【請求項1】
それぞれの発行元認証機関(「CA」)で発行された認定認証の有効性をチェックするための認証状態サービス(「CSS」)を提供するための方法であって:
認定認証の状態を、その認定認証を発行した発行元CAから検索するために必要な情報を特定し;
特定された情報に基づき、発行元CAと通信するためのコネクタを構成し;
認定認証の状態が問い合わされた際に、発行元CAと構成されたコネクタに基づいて通信し;そして
認定認証の状態を検索するステップを含み;
此処で発行元CAおよびコネクタが構造ストア内の承認済みCAのリスト上に指定されている、前記方法。
【請求項2】
請求項1記載の方法において、現地日付および時刻が認定認証の中で指定されている有効期間内に入っているかをチェックされる、前記方法。
【請求項3】
請求項1記載の方法において、発行元CAが発行元CAを予め定められたビジネス規則に基づき審査および承認することで承認済みCAのリスト内に含まれており、その発行元CAが審査されて承認されない場合、その発行元CAが構造ストア内の非承認CAのリスト上に指定される、前記方法。
【請求項4】
請求項3記載の方法において、発行元CAの審査および承認が、信頼された認定認証の表現をCSSに登録し、少なくともその表現、状態および有効期限データ要素をローカル・キャッシュ・メモリに追加することを含み、信頼された認定認証の状態が問い合わされた際に追加された状態を検索するためにコネクタが構成される、前記方法。
【請求項5】
請求項2記載の方法が更に、その状態に関してローカル・キャッシュ・メモリをチェックし、その状態がそのローカル・キャッシュ・メモリ内に見つかり、現地日時が有効期限内の場合、その状態をそのローカル・キャッシュ・メモリから検索する、以上のステップを含み、此処でその状態がローカル・キャッシュ・メモリ内に見つからない場合、または現地日時が有効期限内で無い場合、CSSは発行元CAの認証状態報告構成要素と通信セッションを確立し、認証状態要求を構成されたコネクタに基づいて構成し、その状態を認証状態報告構成要素から検索し、認証状態報告構成要素との通信セッションを閉じ、少なくとも認定認証の識別子、状態、および有効期限とをローカル・キャッシュ・メモリに追加する、前記方法。
【請求項6】
請求項1記載の方法において、認証状態が発行元CAの発行スケジュールに基づいて認証取り消し表(CRL)で表示され、CSSはCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し、CSSが認定認証の状態をCRLから判断し、そしてその状態を発行元CAに関連するキャッシュ・メモリ内に格納する、前記方法。
【請求項7】
請求項1記載の方法において、認証状態がデルタ認証取り消し表(「CRL」)で表示され;発行元CAによりCRLが利用可能であるとの通知があると、CSSはCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し;CRLが完全なCRLの場合、CSSは発行元CAに関連するキャッシュ・メモリを消去して、その状態をCRLから判定し、その状態をキャッシュ・メモリ内に格納し;そのCRLが全CRLの発行後に生じた変化のみを含む場合、CSSはその状態をCRLから判定し、その状態をキャッシュ・メモリ内に格納する、前記方法。
【請求項8】
請求項1記載の方法において、通信ステップが一連のコネクタに基づく通信を含む、前記方法。
【請求項9】
請求項1記載の方法において、1つのコネクタが単一通信ステップ内で複数の認証状態チェックを組み込む、前記方法。
【請求項10】
請求項1記載の方法において、認定認証が身元保証のために使用されない、前記方法。
【請求項11】
認定認証の状態の有効性確認を行うため、信頼された管理ユーティリティ(「TCU」)から認証状態サービス(「CSS」)への問い合わせに応じて、発行元認証機関(「CA」)で発行された認定認証の状態を検索する方法であって:
その状態がCSSのキャッシュ・メモリ内に存在し現在有効の場合、その状態を配置して報告するステップを含み;
それ以外の場合は:
状態の型式および検索方法をCSS構造ストアから取得し;
状態型式が認証取り消し表(「CRL」)でその状態がキャッシュ・メモリ内に見つからない場合、その状態を有効であると報告し;
状態型式がCRLで無い場合、認証状態要求を状態型式に基づいて構成し;
通信セッションを発行元CAと確立し;
その状態を発行元CAの状態報告構成要素から、取得された検索方法を用いて検索し、通信セッションを終了し;
検索された状態を解釈し;
解釈された検索された状態と、その状態型式に対してCSS方針で指定された期間を表す有効期限値とを結びつけ;
少なくとも認定認証の識別子、状態、および有効期限値をキャッシュ・メモリに追加し;そして
その状態を問い合わせに応答してTCUに報告する、以上のステップを実行する、前記方法。
【請求項12】
請求項11記載の方法において、CSSが通信セッションの中で認証状態プロトコルを使用する、前記方法。
【請求項13】
請求項11記載の方法において、取得された検索方法を用いて複数の状態が検索される、前記方法。
【請求項14】
請求項11記載の方法において、認定認証が身元保証には使用されない、前記方法。
【請求項15】
発行元認証機関(「CA」)で発行された認定認証の、正確でタイムリな状態表示を提供するための認証状態サービス(「CSS」)であって:
発行元CAが状態表示用にCRLを使用している場合、認証取り消し表(「CRL」)で表示された認定認証の状態を提供し;
それ以外の場合は、キャッシュ・メモリが状態を含み、有効期限データ要素が期限切れとなっていない場合に、キャッシュ・メモリで表示された状態を提供し;
有効期限が切れている場合は、その状態をキャッシュ・メモリから消去し;
その状態がキャッシュ・メモリ内に存在しない時には、実時間状態報告プロトコルを用いてその状態を要求および検索し;
少なくとも認証の識別子、状態、および有効期限データ要素をキャッシュ・メモリに追加し;
検索された状態を提供する、以上を含む前記方法。
【請求項16】
請求項15記載のCSSにおいて、状態使用計数器データ要素がキャッシュ・メモリに追加され;この状態使用計数器データ要素は認証状態がチェックされる度毎に増数更新または減数更新され;状態使用計数器データ要素が閾値を超えると、その状態が与えられキャッシュ・メモリはその状態に関して消去される、前記CSS。
【請求項17】
請求項16記載のCSSにおいて、状態最新被アクセス・データ要素がキャッシュ・メモリに追加され、その状態最新被アクセス・データ要素が状態使用計数器データ要素と共に、認証状態の活動レベルを判定出来る、前記CSS。
【請求項18】
請求項17記載のCSSにおいて、CSSに対して新たな認証の状態を検索する要求が行われ、キャッシュ・メモリが割り当てられたバッファ・サイズの制限に達している場合、CSSはキャッシュ・メモリの中で最も古いデータを示す最新被アクセス・データ要素を探索しそれぞれのキャッシュ・メモリ入力を消去し;次にCSSは要求された状態を検索してそれをキャッシュ・メモリの中に配置し、要求された状態を提供する、前記CSS。
【請求項19】
第1当事者と第2当事者との間で、検証可能な証拠痕跡を有する認定された情報オブジェクトの管理を転送することでトランザクションを実行する方法であって:
認定された情報オブジェクトを信頼された貯蔵所から検索し、此処で認定された情報オブジェクトは、提出側当事者のデジタル署名と、少なくとも提出側当事者の識別子と暗号鍵に関する第1認定認証、日時表示器とを含む第1署名ブロック、および信頼された貯蔵所の第2デジタル署名と、少なくとも信頼された貯蔵所の識別子と暗号鍵に関する第2デジタル署名とを含む第2署名ブロックとを含み;第1署名ブロックは信頼された貯蔵所によって有効性確認がなされており;認定された情報オブジェクトは信頼された貯蔵所の管理下で電子オリジナル情報オブジェクトとして格納されており;
検索され認定された情報オブジェクトを第2当事者により、検索され認定された情報オブジェクトの中に、少なくとも1つの第3署名および第2当事者の第3認定認証を含む第3デジタル署名ブロックを含めることで実行し;
実行された検索され認定された情報オブジェクトを信頼された管理ユーティリティ(「TCU」)に転送し、此処でTCUはデジタル署名を検証し、情報オブジェクト内にくまれるデジタル署名に関連する認定認証を、少なくともその認定認証の状態を請求項1に基づき具備されている認証状態サービス(「CSS」)から検索することにより有効性を確認し;それぞれのデジタル署名が検証されないかまたはそれぞれの認定認証の状態が期限切れであるかまたは無効である場合、TCUはデジタル署名ブロックを拒絶し;情報オブジェクト内の少なくとも1つの署名ブロックが拒絶されない場合、TCUはTCUのデジタル署名ブロックと日時表示器をその情報オブジェクトに添付し、そのオブジェクトの管理を第1当事者の代わりに引き受ける、以上のステップを含む前記方法。
【請求項20】
請求項19記載の方法において、署名ブロックがその中に署名ブロックが含まれている情報オブジェクトの少なくとも一部の少なくとも1つのハッシュを含み、その少なくとも1つのハッシュがそのブロックのそれぞれの署名者の暗号鍵によって暗号化されており、これによって署名者のデジタル署名を形成し、その署名者のデジタル署名が署名ブロックの中に、署名者の認定認証と共に含まれている、前記方法。
【請求項21】
請求項20記載の方法において、実行ステップが現地日時を第2当事者に表示し、第2当事者によりその表示された現地日時が正しいことを確認し、いずれかが正しく無い場合は現地日時を訂正することを含む、前記方法。
【請求項22】
請求項19記載の方法において、TCUがデジタル署名ブロックを拒絶した場合、TCUは回復方法を要求し、これはデジタル署名の再計算を行い、その署名ブロックを再転送することを要求する、前記方法。
【請求項23】
請求項19記載の方法において、TCUが正確を期して現地日時をチェックし、それらが第2当事者の認定認証で示される有効期限内であることを確認する、前記方法。
【請求項24】
請求項23記載の方法において、現地日時が第2当事者の認定認証で示された有効期限内で無い場合、TCUは第2当事者にその認定認証が拒絶されたことを、そして第1当事者にそのトランザクションが完了しなかったことを通知する。
【請求項25】
請求項19記載の方法において、1つまたは複数のデジタル化された手書き署名が情報オブジェクトの中に含まれ、デジタル化された手書き署名をデータ構造の中に配置することが少なくとも1つの署名タグで指定される、前記方法。
【請求項26】
請求項19記載の方法において、1つまたは複数の署名ブロックをデータ構造の中に配置することが、少なくとも1つの署名タグにより指定される、前記方法。
【請求項27】
請求項26記載の方法において、1つまたは複数の署名ブロックが個別にTCUに対して、それぞれの署名タグと共に転送され、TCUがその署名ブロックの有効性確認を:
それぞれのデジタル署名が検証されないかまたはそれぞれの認定認証の有効性が確認されないかいずれかの場合、署名ブロックを拒絶し、
その署名ブロックが拒絶されなかった場合、その署名ブロックをそれぞれの署名タグに基づいて配置することによって行い、
此処で、署名ブロックを個別に送るために、TCUが各々の署名ブロックに日付および時刻表示を付加し、ビジネス規則に基づいてTCUの署名ブロックを、情報オブジェクトを包含し、署名ブロックが配置されている封体の中に添付する、前記方法。
【請求項28】
請求項27記載の方法において、TCUがデジタル署名を検証し署名ブロック内の認定認証の有効性確認を:
ビジネス規則によって、その認定認証に関連する当事者の信頼性があるか否かを判断し、
その当事者のデジタル署名を検証し、
その認定認証の有効期限がTCUの現在日時と重なるかをチェックし、
現地日時がTCUの現在日時からの許容範囲内にあるかをチェックし、
認定認証の状態をCSSから検索し、そして
先行ステップのいずれかの結果が無効または偽出力である場合、そのデジタル署名は無効と見なされ、そのトランザクションは実行されず、それ以外の場合、デジタル署名は有効と見なされてトランザクションは実行される。
【請求項29】
請求項19記載の方法において、CSSがTCUに対して少なくともローカル・キャッシュ・メモリに状態をチェックするステップを経て認定認証状態を提供し、その状態がローカル・キャッシュ・メモリの中に発見され、現地日時が有効期限内の場合、その状態をローカル・キャッシュ・メモリから検索し;その状態がローカル・キャッシュ・メモリの中に発見されないかまたは現地日時が有効期限内に無い場合、CSSは通信セッションを発行元CAの認証状態報告構成要素と確立し、構成されたコネクタに基づいて認証状態要求を構成し、状態を認証状態報告構成要素から検索し、認証状態報告構成要素との通信セッションを閉じ、少なくとも認定認証の識別子、状態、および有効期限データ要素をローカル・キャッシュ・メモリに追加する、前記方法。
【請求項30】
請求項19記載の方法において、第1当事者がTCUで、トランザクションが1つまたは複数の電子オリジナルの管理を第1TCUから第2TCUへ転送することであり、このトランザクションの所有者が第2TCUへ第1TCUへ転送される電子オリジナルを識別する指図書を提供し、第2TCUが第1TCUと通信を確立してその処置の目的を確認し、指図書が第1TCUへ通信されて、何時管理の転送が完了したかを判断できるようにし、第2TCUはそれぞれの識別された電子オリジナルを第1TCUに転送し、第1TCUは第2TCUの認証の状態を検索して各々の転送された電子オリジナル上の第2TCUのデジタル署名を検証し、第2TCUのデジタル署名または認証が無効である場合、第1TCUは第2TCUにその旨通知して回復方法を探索し、第2TCUが回復方法を提供しない場合、第1TCUはトランザクション所有者に要求された管理の転送が失敗したことを通知し、それ以外の場合は第2TCUが各々の成功裏に転送された情報オブジェクトに対して新たな封体を、日時スタンプと第1TCUの署名ブロックとを追加して作成する、前記方法。
【請求項31】
請求項30記載の方法において、トランザクションが指令に基づき所有権を転送することであり、所有権文書の転送が第1TCUまたは第2TCUのいずれかで行われ、所有権文書の転送を有するTCUが所有権文書の転送の信頼性の有効性確認を、全てのデジタル署名、認証有効期限を検証すること、およびCSSを使用して所有権文書の転送に含まれる全ての認定認証の認証状態をチェックすることで行い、日時表示を追加し、デジタル的に署名し、所有権文書の転送を封体に包み込み格納し、これらが指図書に追加される、前記方法。
【請求項32】
請求項19記載の方法において、認証状態がCSSに対して認証取り消し表(「CRL」)に、発行元CAの発行スケジュール基づいて表示され、CSSはそのCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し、CSSはその発行元CAに関連するキャッシュ・メモリを消去し、CSSが認定認証の状態をCRLから判断してその状態を発行元CAに関連するキャッシュ・メモリの中に格納する、前記方法。
【請求項33】
請求項19記載の方法において、認証状態がCSSに対してデルタ認証取り消し表(「CRL」)で表示され;発行元CAからCRLが利用可能であると通知を受けると、CSSはそのCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し;そのCRLが完全なCRLの場合、CSSはその発行元CAに関連するキャッシュ・メモリを消去してその状態をCRLから判断し、その状態をキャッシュ・メモリの中に格納し;そのCRLが全CRLの発行後に生じた変化のみを含む場合、CSSは状態をCRLから判断し、その状態をキャッシュ・メモリの中に格納する。
【請求項1】
それぞれの発行元認証機関(「CA」)で発行された認定認証の有効性をチェックするための認証状態サービス(「CSS」)を提供するための方法であって:
認定認証の状態を、その認定認証を発行した発行元CAから検索するために必要な情報を特定し;
特定された情報に基づき、発行元CAと通信するためのコネクタを構成し;
認定認証の状態が問い合わされた際に、発行元CAと構成されたコネクタに基づいて通信し;そして
認定認証の状態を検索するステップを含み;
此処で発行元CAおよびコネクタが構造ストア内の承認済みCAのリスト上に指定されている、前記方法。
【請求項2】
請求項1記載の方法において、現地日付および時刻が認定認証の中で指定されている有効期間内に入っているかをチェックされる、前記方法。
【請求項3】
請求項1記載の方法において、発行元CAが発行元CAを予め定められたビジネス規則に基づき審査および承認することで承認済みCAのリスト内に含まれており、その発行元CAが審査されて承認されない場合、その発行元CAが構造ストア内の非承認CAのリスト上に指定される、前記方法。
【請求項4】
請求項3記載の方法において、発行元CAの審査および承認が、信頼された認定認証の表現をCSSに登録し、少なくともその表現、状態および有効期限データ要素をローカル・キャッシュ・メモリに追加することを含み、信頼された認定認証の状態が問い合わされた際に追加された状態を検索するためにコネクタが構成される、前記方法。
【請求項5】
請求項2記載の方法が更に、その状態に関してローカル・キャッシュ・メモリをチェックし、その状態がそのローカル・キャッシュ・メモリ内に見つかり、現地日時が有効期限内の場合、その状態をそのローカル・キャッシュ・メモリから検索する、以上のステップを含み、此処でその状態がローカル・キャッシュ・メモリ内に見つからない場合、または現地日時が有効期限内で無い場合、CSSは発行元CAの認証状態報告構成要素と通信セッションを確立し、認証状態要求を構成されたコネクタに基づいて構成し、その状態を認証状態報告構成要素から検索し、認証状態報告構成要素との通信セッションを閉じ、少なくとも認定認証の識別子、状態、および有効期限とをローカル・キャッシュ・メモリに追加する、前記方法。
【請求項6】
請求項1記載の方法において、認証状態が発行元CAの発行スケジュールに基づいて認証取り消し表(CRL)で表示され、CSSはCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し、CSSが認定認証の状態をCRLから判断し、そしてその状態を発行元CAに関連するキャッシュ・メモリ内に格納する、前記方法。
【請求項7】
請求項1記載の方法において、認証状態がデルタ認証取り消し表(「CRL」)で表示され;発行元CAによりCRLが利用可能であるとの通知があると、CSSはCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し;CRLが完全なCRLの場合、CSSは発行元CAに関連するキャッシュ・メモリを消去して、その状態をCRLから判定し、その状態をキャッシュ・メモリ内に格納し;そのCRLが全CRLの発行後に生じた変化のみを含む場合、CSSはその状態をCRLから判定し、その状態をキャッシュ・メモリ内に格納する、前記方法。
【請求項8】
請求項1記載の方法において、通信ステップが一連のコネクタに基づく通信を含む、前記方法。
【請求項9】
請求項1記載の方法において、1つのコネクタが単一通信ステップ内で複数の認証状態チェックを組み込む、前記方法。
【請求項10】
請求項1記載の方法において、認定認証が身元保証のために使用されない、前記方法。
【請求項11】
認定認証の状態の有効性確認を行うため、信頼された管理ユーティリティ(「TCU」)から認証状態サービス(「CSS」)への問い合わせに応じて、発行元認証機関(「CA」)で発行された認定認証の状態を検索する方法であって:
その状態がCSSのキャッシュ・メモリ内に存在し現在有効の場合、その状態を配置して報告するステップを含み;
それ以外の場合は:
状態の型式および検索方法をCSS構造ストアから取得し;
状態型式が認証取り消し表(「CRL」)でその状態がキャッシュ・メモリ内に見つからない場合、その状態を有効であると報告し;
状態型式がCRLで無い場合、認証状態要求を状態型式に基づいて構成し;
通信セッションを発行元CAと確立し;
その状態を発行元CAの状態報告構成要素から、取得された検索方法を用いて検索し、通信セッションを終了し;
検索された状態を解釈し;
解釈された検索された状態と、その状態型式に対してCSS方針で指定された期間を表す有効期限値とを結びつけ;
少なくとも認定認証の識別子、状態、および有効期限値をキャッシュ・メモリに追加し;そして
その状態を問い合わせに応答してTCUに報告する、以上のステップを実行する、前記方法。
【請求項12】
請求項11記載の方法において、CSSが通信セッションの中で認証状態プロトコルを使用する、前記方法。
【請求項13】
請求項11記載の方法において、取得された検索方法を用いて複数の状態が検索される、前記方法。
【請求項14】
請求項11記載の方法において、認定認証が身元保証には使用されない、前記方法。
【請求項15】
発行元認証機関(「CA」)で発行された認定認証の、正確でタイムリな状態表示を提供するための認証状態サービス(「CSS」)であって:
発行元CAが状態表示用にCRLを使用している場合、認証取り消し表(「CRL」)で表示された認定認証の状態を提供し;
それ以外の場合は、キャッシュ・メモリが状態を含み、有効期限データ要素が期限切れとなっていない場合に、キャッシュ・メモリで表示された状態を提供し;
有効期限が切れている場合は、その状態をキャッシュ・メモリから消去し;
その状態がキャッシュ・メモリ内に存在しない時には、実時間状態報告プロトコルを用いてその状態を要求および検索し;
少なくとも認証の識別子、状態、および有効期限データ要素をキャッシュ・メモリに追加し;
検索された状態を提供する、以上を含む前記方法。
【請求項16】
請求項15記載のCSSにおいて、状態使用計数器データ要素がキャッシュ・メモリに追加され;この状態使用計数器データ要素は認証状態がチェックされる度毎に増数更新または減数更新され;状態使用計数器データ要素が閾値を超えると、その状態が与えられキャッシュ・メモリはその状態に関して消去される、前記CSS。
【請求項17】
請求項16記載のCSSにおいて、状態最新被アクセス・データ要素がキャッシュ・メモリに追加され、その状態最新被アクセス・データ要素が状態使用計数器データ要素と共に、認証状態の活動レベルを判定出来る、前記CSS。
【請求項18】
請求項17記載のCSSにおいて、CSSに対して新たな認証の状態を検索する要求が行われ、キャッシュ・メモリが割り当てられたバッファ・サイズの制限に達している場合、CSSはキャッシュ・メモリの中で最も古いデータを示す最新被アクセス・データ要素を探索しそれぞれのキャッシュ・メモリ入力を消去し;次にCSSは要求された状態を検索してそれをキャッシュ・メモリの中に配置し、要求された状態を提供する、前記CSS。
【請求項19】
第1当事者と第2当事者との間で、検証可能な証拠痕跡を有する認定された情報オブジェクトの管理を転送することでトランザクションを実行する方法であって:
認定された情報オブジェクトを信頼された貯蔵所から検索し、此処で認定された情報オブジェクトは、提出側当事者のデジタル署名と、少なくとも提出側当事者の識別子と暗号鍵に関する第1認定認証、日時表示器とを含む第1署名ブロック、および信頼された貯蔵所の第2デジタル署名と、少なくとも信頼された貯蔵所の識別子と暗号鍵に関する第2デジタル署名とを含む第2署名ブロックとを含み;第1署名ブロックは信頼された貯蔵所によって有効性確認がなされており;認定された情報オブジェクトは信頼された貯蔵所の管理下で電子オリジナル情報オブジェクトとして格納されており;
検索され認定された情報オブジェクトを第2当事者により、検索され認定された情報オブジェクトの中に、少なくとも1つの第3署名および第2当事者の第3認定認証を含む第3デジタル署名ブロックを含めることで実行し;
実行された検索され認定された情報オブジェクトを信頼された管理ユーティリティ(「TCU」)に転送し、此処でTCUはデジタル署名を検証し、情報オブジェクト内にくまれるデジタル署名に関連する認定認証を、少なくともその認定認証の状態を請求項1に基づき具備されている認証状態サービス(「CSS」)から検索することにより有効性を確認し;それぞれのデジタル署名が検証されないかまたはそれぞれの認定認証の状態が期限切れであるかまたは無効である場合、TCUはデジタル署名ブロックを拒絶し;情報オブジェクト内の少なくとも1つの署名ブロックが拒絶されない場合、TCUはTCUのデジタル署名ブロックと日時表示器をその情報オブジェクトに添付し、そのオブジェクトの管理を第1当事者の代わりに引き受ける、以上のステップを含む前記方法。
【請求項20】
請求項19記載の方法において、署名ブロックがその中に署名ブロックが含まれている情報オブジェクトの少なくとも一部の少なくとも1つのハッシュを含み、その少なくとも1つのハッシュがそのブロックのそれぞれの署名者の暗号鍵によって暗号化されており、これによって署名者のデジタル署名を形成し、その署名者のデジタル署名が署名ブロックの中に、署名者の認定認証と共に含まれている、前記方法。
【請求項21】
請求項20記載の方法において、実行ステップが現地日時を第2当事者に表示し、第2当事者によりその表示された現地日時が正しいことを確認し、いずれかが正しく無い場合は現地日時を訂正することを含む、前記方法。
【請求項22】
請求項19記載の方法において、TCUがデジタル署名ブロックを拒絶した場合、TCUは回復方法を要求し、これはデジタル署名の再計算を行い、その署名ブロックを再転送することを要求する、前記方法。
【請求項23】
請求項19記載の方法において、TCUが正確を期して現地日時をチェックし、それらが第2当事者の認定認証で示される有効期限内であることを確認する、前記方法。
【請求項24】
請求項23記載の方法において、現地日時が第2当事者の認定認証で示された有効期限内で無い場合、TCUは第2当事者にその認定認証が拒絶されたことを、そして第1当事者にそのトランザクションが完了しなかったことを通知する。
【請求項25】
請求項19記載の方法において、1つまたは複数のデジタル化された手書き署名が情報オブジェクトの中に含まれ、デジタル化された手書き署名をデータ構造の中に配置することが少なくとも1つの署名タグで指定される、前記方法。
【請求項26】
請求項19記載の方法において、1つまたは複数の署名ブロックをデータ構造の中に配置することが、少なくとも1つの署名タグにより指定される、前記方法。
【請求項27】
請求項26記載の方法において、1つまたは複数の署名ブロックが個別にTCUに対して、それぞれの署名タグと共に転送され、TCUがその署名ブロックの有効性確認を:
それぞれのデジタル署名が検証されないかまたはそれぞれの認定認証の有効性が確認されないかいずれかの場合、署名ブロックを拒絶し、
その署名ブロックが拒絶されなかった場合、その署名ブロックをそれぞれの署名タグに基づいて配置することによって行い、
此処で、署名ブロックを個別に送るために、TCUが各々の署名ブロックに日付および時刻表示を付加し、ビジネス規則に基づいてTCUの署名ブロックを、情報オブジェクトを包含し、署名ブロックが配置されている封体の中に添付する、前記方法。
【請求項28】
請求項27記載の方法において、TCUがデジタル署名を検証し署名ブロック内の認定認証の有効性確認を:
ビジネス規則によって、その認定認証に関連する当事者の信頼性があるか否かを判断し、
その当事者のデジタル署名を検証し、
その認定認証の有効期限がTCUの現在日時と重なるかをチェックし、
現地日時がTCUの現在日時からの許容範囲内にあるかをチェックし、
認定認証の状態をCSSから検索し、そして
先行ステップのいずれかの結果が無効または偽出力である場合、そのデジタル署名は無効と見なされ、そのトランザクションは実行されず、それ以外の場合、デジタル署名は有効と見なされてトランザクションは実行される。
【請求項29】
請求項19記載の方法において、CSSがTCUに対して少なくともローカル・キャッシュ・メモリに状態をチェックするステップを経て認定認証状態を提供し、その状態がローカル・キャッシュ・メモリの中に発見され、現地日時が有効期限内の場合、その状態をローカル・キャッシュ・メモリから検索し;その状態がローカル・キャッシュ・メモリの中に発見されないかまたは現地日時が有効期限内に無い場合、CSSは通信セッションを発行元CAの認証状態報告構成要素と確立し、構成されたコネクタに基づいて認証状態要求を構成し、状態を認証状態報告構成要素から検索し、認証状態報告構成要素との通信セッションを閉じ、少なくとも認定認証の識別子、状態、および有効期限データ要素をローカル・キャッシュ・メモリに追加する、前記方法。
【請求項30】
請求項19記載の方法において、第1当事者がTCUで、トランザクションが1つまたは複数の電子オリジナルの管理を第1TCUから第2TCUへ転送することであり、このトランザクションの所有者が第2TCUへ第1TCUへ転送される電子オリジナルを識別する指図書を提供し、第2TCUが第1TCUと通信を確立してその処置の目的を確認し、指図書が第1TCUへ通信されて、何時管理の転送が完了したかを判断できるようにし、第2TCUはそれぞれの識別された電子オリジナルを第1TCUに転送し、第1TCUは第2TCUの認証の状態を検索して各々の転送された電子オリジナル上の第2TCUのデジタル署名を検証し、第2TCUのデジタル署名または認証が無効である場合、第1TCUは第2TCUにその旨通知して回復方法を探索し、第2TCUが回復方法を提供しない場合、第1TCUはトランザクション所有者に要求された管理の転送が失敗したことを通知し、それ以外の場合は第2TCUが各々の成功裏に転送された情報オブジェクトに対して新たな封体を、日時スタンプと第1TCUの署名ブロックとを追加して作成する、前記方法。
【請求項31】
請求項30記載の方法において、トランザクションが指令に基づき所有権を転送することであり、所有権文書の転送が第1TCUまたは第2TCUのいずれかで行われ、所有権文書の転送を有するTCUが所有権文書の転送の信頼性の有効性確認を、全てのデジタル署名、認証有効期限を検証すること、およびCSSを使用して所有権文書の転送に含まれる全ての認定認証の認証状態をチェックすることで行い、日時表示を追加し、デジタル的に署名し、所有権文書の転送を封体に包み込み格納し、これらが指図書に追加される、前記方法。
【請求項32】
請求項19記載の方法において、認証状態がCSSに対して認証取り消し表(「CRL」)に、発行元CAの発行スケジュール基づいて表示され、CSSはそのCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し、CSSはその発行元CAに関連するキャッシュ・メモリを消去し、CSSが認定認証の状態をCRLから判断してその状態を発行元CAに関連するキャッシュ・メモリの中に格納する、前記方法。
【請求項33】
請求項19記載の方法において、認証状態がCSSに対してデルタ認証取り消し表(「CRL」)で表示され;発行元CAからCRLが利用可能であると通知を受けると、CSSはそのCRLを構造ストア内のリストに載せられている認証状態報告構成要素から検索し;そのCRLが完全なCRLの場合、CSSはその発行元CAに関連するキャッシュ・メモリを消去してその状態をCRLから判断し、その状態をキャッシュ・メモリの中に格納し;そのCRLが全CRLの発行後に生じた変化のみを含む場合、CSSは状態をCRLから判断し、その状態をキャッシュ・メモリの中に格納する。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2006−511984(P2006−511984A)
【公表日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願番号】特願2004−523449(P2004−523449)
【出願日】平成15年7月17日(2003.7.17)
【国際出願番号】PCT/US2003/022191
【国際公開番号】WO2004/010271
【国際公開日】平成16年1月29日(2004.1.29)
【出願人】(502198146)イーオリジナル インコーポレイテッド (1)
【Fターム(参考)】
【公表日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願日】平成15年7月17日(2003.7.17)
【国際出願番号】PCT/US2003/022191
【国際公開番号】WO2004/010271
【国際公開日】平成16年1月29日(2004.1.29)
【出願人】(502198146)イーオリジナル インコーポレイテッド (1)
【Fターム(参考)】
[ Back to top ]