[发明专利]验证装置以及程序

权利要求书

1.一种验证装置，该验证装置(40)用于对从与生成第一认证 上下文(AC1)的第一实体装置(10)和生成第二认证上下文(AC2) 的第二实体装置(20)连接的客户机装置(30)接收的上述各认证上 下文进行验证，其特征在于，具备：

存储设备(41)，存储具有第一装置ID的第一装置签名验证信 息(VfS1)、相互关联起来的第一装置制造商ID以及第一装置制造 商签名验证信息(VfS1M)、相互关联起来的第一装置评价机构ID以及 第一装置评价证书验证信息(VfCert1)、相互关联起来的模板发行机构 ID以及模板证书验证信息(VfCertBT)、具有第二装置ID的第二装置 签名验证信息(VfS2)、相互关联起来的第二装置制造商ID以及第二装 置制造商签名验证信息(VfS2M)、和相互关联起来的第二装置评价机构 ID以及第二装置评价证书验证信息(VfCert2)；以及

控制设备(42)，构成为执行如下第一至第十验证处理以及判定处 理：

第一验证处理，在经由上述客户机装置从上述第一实体装置接收到 第一认证上下文时，利用上述第一认证上下文内的第一装置ID来检索 上述存储设备，根据与上述第一装置ID对应的第一装置签名验证信息， 验证该第一认证上下文内的第一实体装置签名，其中，上述第一认证上 下文包括：(a1)对模板对应信息和模板发行机构ID附加模板发行机构 签名而成的模板证书(CertBT)；(a2)对第一装置ID、第一装置评价 信息、以及第一装置评价机构ID附加第一装置评价机构签名而成的第 一装置评价证书(Cert1)；(a3)上述第一装置ID；以及(a4)对上述 模板证书、上述第一装置评价证书、以及上述第一装置ID附加的第一 实体装置签名；

第二验证处理，利用上述第一认证上下文内的第一装置ID来检索 上述存储设备，从上述存储设备中读出具有第一装置ID的第一装置签 名验证信息，利用该第一装置签名验证信息内的第一装置制造商ID来 检索上述存储设备，根据上述存储设备内的与第一装置制造商ID对应 的第一装置制造商签名验证信息，验证第一装置签名验证信息内的第一 装置制造商签名；

第三验证处理，验证上述第一认证上下文内的第一装置ID、与第 一认证上下文的第一装置评价证书内的第一装置ID一致；

第四验证处理，利用上述第一装置评价证书内的第一装置评价机构 ID来检索上述存储设备，根据上述存储设备内的与第一装置评价机构ID 对应的第一装置评价证书验证信息，验证第一装置评价证书内的第一装 置评价机构签名；

第五验证处理，利用上述第一认证上下文的模板证书内的模板发行 机构ID来检索上述存储设备，根据上述存储设备内的与模板发行机构 ID对应的模板证书验证信息，验证模板证书内的模板发行机构签名；

第六验证处理，在经由上述客户机装置从上述第二实体装置接收到 第二认证上下文时，利用该第二认证上下文内的第二装置ID来检索上 述存储设备，根据上述存储设备内的与第二装置ID对应的第二装置签 名验证信息，验证第二认证上下文内的第二实体装置签名，其中，上述 第二认证上下文包括：(b1)认证执行结果；(b2)模板对应信息；(b3) 对第二装置ID、第二装置评价信息、以及第二装置评价机构ID附加第 二装置评价机构签名而成的第二装置评价证书(Cert2)；(b4)第二装置 ID；以及(b5)对上述认证执行结果、上述模板对应信息、上述第二装 置评价证书、以及上述第二装置ID附加的第二实体装置签名；

第七验证处理，利用上述第二认证上下文内的第二装置ID来检索 上述存储设备，从上述存储设备中读出具有第二装置ID的第二装置签 名验证信息，利用该第二装置签名验证信息内的第二装置制造商ID来 检索上述存储设备，根据上述存储设备内的与第二装置制造商ID对应 的第二装置制造商签名验证信息，验证第二装置签名验证信息内的第二 装置制造商签名；

第八验证处理，验证上述第二认证上下文内的第二装置ID、与第 二认证上下文的第二装置评价证书内的第二装置ID一致；

第九验证处理，利用上述第二装置评价证书内的第二装置评价机构 ID来检索上述存储设备，根据上述存储设备内的与第二装置评价机构ID 对应的第二装置评价证书验证信息，验证第二装置评价证书内的第二装 置评价机构签名；

第十验证处理，验证上述第二认证上下文内的模板对应信息、与第 一认证上下文的模板证书内的模板对应信息一致；以及

判定处理，在通过上述第一至第十验证处理得到的所有验证结果合 法时，将上述第一以及第二认证上下文判定为合法。