特許ウォッチ

公開番号2024105142
公報種別公開特許公報(A)
公開日2024-08-06
出願番号2023009726
出願日2023-01-25
発明の名称情報処理プログラム、情報処理装置及び証明書発行システム
出願人富士通株式会社
代理人弁理士法人酒井国際特許事務所
主分類H04L 9/08 20060101AFI20240730BHJP(電気通信技術)
要約【課題】通信の安全性を確保する情報処理プログラム、情報処理装置及び証明書発行システムを提供する。
【解決手段】情報処理プログラムは、証明書に埋め込む所定情報の生成ルールを基に、所定データに対して発行される証明書に埋め込む所定情報を生成し、生成ルールをトラストサービスに通知し、所定データに対する証明書の発行を要求する処理を第1コンピュータに実行させる。また、情報処理プログラムは、所定データに対する証明書の発行の要求に応じて、所定データに対して、所定情報を埋め込んだ所定証明書を生成して発行し、所定証明書をデータ格納装置に格納する処理を第2コンピュータに実行させる。
【選択図】図4
特許請求の範囲【請求項１】
証明書に埋め込む所定情報の生成ルールを基に、所定データに対して発行される証明書に埋め込む前記所定情報を生成し、
前記生成ルールをトラストサービスに通知し、
前記所定データに対する証明書の発行を要求する
処理を第１コンピュータに実行させ、
前記所定データに対する証明書の発行の要求に応じて、前記所定データに対して、前記所定情報を埋め込んだ所定証明書を生成して発行し、
前記所定証明書をデータ格納装置に格納する
処理を第２コンピュータに実行させる
ことを特徴とする情報処理プログラム。
続きを表示（約 1,000 文字）【請求項２】
前記所定情報の生成の処理は、前記証明書に付けた鍵の消去を示す情報を前記所定情報として生成する処理を含むことを特徴とする請求項１に記載の情報処理プログラム。
【請求項３】
前記所定情報の生成の処理は、前記所定情報の生成における形式的条件を規定する前記生成ルールを用いて前記所定情報の生成を実行する処理を含むことを特徴とする請求項１に記載の情報処理プログラム。
【請求項４】
前記データ格納装置への格納処理は、前記第１コンピュータの識別情報及び前記所定データの属性情報を前記データ格納装置へ格納する処理を含むことを特徴とする請求項１に記載の情報処理プログラム。
【請求項５】
証明書に埋め込む所定情報の生成ルールを基に、所定データに対して発行される証明書に埋め込む前記所定情報を生成し、前記生成ルールをトラストサービスに通知する発行部と、
前記所定データに対する前記所定情報を埋め込んだ証明書の発行を認証局に対して要求する証明書発行要求部と
を備えたことを特徴とする情報処理装置。
【請求項６】
情報処理装置、認証局システム、トラストサービスシステム及び検証者端末を有する証明書発行システムであって、
前記情報処理装置は、
証明書に埋め込む所定情報の生成ルールを基に、所定データに対して発行される証明書に埋め込む前記所定情報を生成して発行し、前記生成ルールを前記トラストサービスシステムに通知する発行部と、
前記所定データに対する証明書の発行を前記認証局システムに要求する証明書発行要求部とを備え、
前記認証局システムは、
前記所定データに対する証明書の発行の要求を前記情報処理装置から受けて、応じて、前記所定データに対して、前記所定情報を埋め込んだ所定証明書を生成して発行し、
前記所定証明書をデータ格納装置に格納し、
前記検証者端末は、
前記データ格納装置が保持する前記所定証明書を取得し、
前記トラストサービスシステムが保持する前記生成ルールを取得し、
前記所定証明書に埋め込まれた前記所定情報が前記生成ルールにしたがって生成されたか否かを判定して、前記所定証明書の信頼度を算出する
ことを特徴とする証明書発行システム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、情報処理プログラム、情報処理装置及び証明書発行システムに関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
ネットワーク通信の発達にしたがい、通信の信頼性を高め安全性を確保することが重要性を増している。インターネットに関しては、ウェブサイト等に認証を与えることで、オンラインでのコミュニケーションや取引の信頼性を高め、インターネットをより安全な場所に保つ認証局（ＣＡ：Certificate Authorities）と呼ばれる組織が存在する。以前は、認証局は、認証を求める申請者との対面チェック等を行い、申請者に郵送やメール等で認証を示す鍵を配布することで、ＩＤ（Identifier）プルーフィングを行っていた。
【０００３】
近年、多数のＷｅｂサイトが作成され、また、ソフトウェア開発等も盛んになっている。そこで、Ｗｅｂサイトの増加への対応や、多数のソフトウェア開発のサプライチェーンの保護のために、証明書の発行件数が増加している。しかし、旧来の対面チェックや鍵の送付といった認証手法では、証明書発行に多くの工数がかかり、認証局では証明書の発行件数の増加に対応することが困難となっていた。
【０００４】
そこで、証明書の発行件数の増加に対応するために、Ｗｅｂサイトやコード署名の分野において、証明書発行の自動化が加速している。証明書の自動発行では、Ｗｅｂ名やＥメールアドレス等の証明書に記入される属性値を、認証局が非対面で検証して証明書の発行を行っている。例えば、認証局は、申請者がＷｅｂドメインの所有者であることの確認や、信頼できる企業のＩＤＰ（Identity Provider）であることを確認により、証明書を発行する。
【０００５】
ただし、証明書分野では、これまで認証局による偽証明書発行が問題となることがあった。具体的には、認証局による不十分な審査や脅迫等により、証明書が第三者に対して不正発行された場合、この不正発行を検知することが誰にとっても困難であることがこの証明書発行手続きの問題点である。
【０００６】
そこで、Ｗｅｂドメイン証明書に対する認証局による証明書の不正発行を検出するために、ＣＴログ（Certificate Transparency Log）技術の開発及び導入が進められてきた。ＣＴログにより、様々な認証局で発行された証明書が１カ所に集められ、認証局による秘密裏の証明書の発行を禁止すると同時に、ログ内をmonitorと呼ばれる第三者が検査することが可能となった。これにより、証明書の不正発行の検知が可能となった。具体的には、１つの証明対象に対して同じ属性値を有する証明書が発行されている場合に、いずれかが不正発行された証明書であると推測される。
【０００７】
一方、コード証明書の場合、認証局の管理負担を軽減するためにさらにキーレス（keyless）署名が推進されている。旧来は証明書の有効期間中において認証局は発行した証明書のステータス管理を行っていた。例えば、認証局は、証明書記載の鍵の危殆化によりその証明書の使用を停止するために証明書を無効にする（ｒｅｖｏｋ）等の処置を取っていた。そのような手間をなくすために、キーレス署名では、有効期限が１０分といった短期証明書であって１度しか使用しない証明書が用いられる。
【０００８】
このような短期証明書の場合、有効期限が短いため、データ生成の度毎に鍵生成及び証明書生成が行われる。その結果、１つの証明対象に対して同じ属性値を有する証明書が多数発行され、それらが全てＣＴログに登録される。この場合、属性値の衝突が当然に発生することから、その中から認証局が不正に発行した証明書が含まれるか否かを、第三者であるmonitorが調査することは困難である。そこで、証明対象に対して本来の属性値以外の情報を属性値として証明書に対して埋め込み、認証局による不正発行を検出する方法が考えられる。
【０００９】
また、証明書に関する技術として以下のような技術が存在する。例えば、端末装置が、複数のサーバの証明書を管理する第１管理サーバからいずれかのサーバの証明書を受信して、受信した証明書に含まれる情報に基づき発行元の認証局を特定し、特定した認証局に対してサーバのアドレス情報を要求する技術が提案されている。また、証明書認証システムが、コンポーネントに関連付けられているキーを含む証明書リクエストを受信し、キーに対応する証明書を生成してステータスを無効に設定し、コンポーネントが証明書とマッチするとステータスを有効に設定する技術が提案されている。また、エンドポイント装置とゲート装置との間での証明書の発行のログを記憶して、ブロックチェーンの分散台帳を用いて証明書を管理する技術が提案されている。また、キーレス署名であり且つ患者情報及びワクチン接種の情報のデジタル署名を光学的に読み込み可能な情報として含む予防接種証明書発行の技術が提案されている。
【先行技術文献】
【特許文献】
【００１０】
特開２０２１－９９７５４号公報
特開２０２２－８４５４８号公報
米国特許第１０５０５９２０号明細書
米国特許出願公開第２０２２／０１９１０４８号明細書
【発明の概要】
【発明が解決しようとする課題】
（【００１１】以降は省略されています）

関連特許