目前，为了保证在计算机中生成要使用的文件时的时刻，从而确保安 全性，正在使用时间戳。就该时间戳来说，在理想状态下，例如将没有误 差的时钟保持在计算机等的内部，以作为时刻管理装置，并由该时钟来提 供所述时间戳是最佳的。
但是，实际上装配于计算机内部的时钟会产生误差。因此，需要根据 作为标准的时钟来定期进行修正。作为用于进行这种修正的作为标准的时 钟的一个例子，有电波时钟。
在现有技术中，当从电波时钟通过电波发送的外部时刻信息可被时刻 管理装置接收时，时刻管理装置使用该发来的外部时刻信息进行校正；另 一方面，当不能接收外部时刻信息时，不进行校正而直接采用内置的本地 时钟的时刻信息。然后，将由该时刻管理装置输出的时刻信息作为时间戳 来使用。
然而，在这种情况下，由于使用伪电波时钟发射机可以自由篡改本地 时钟所表示的时刻，所以存在不能将从电波时钟通过电波发送的公共时刻 信息有效地用作数字签名的时间戳的问题。
而且，在现有技术中，在时刻管理装置所表示的本地时刻比从外部提 供的外部时刻超前的情况下，若将从外部提供的外部时刻信息取入时刻管 理装置内，则时刻管理装置输出的时间将会稍稍返回到过去时间的时刻 上。在这种情况下，表示该过去时间的时刻的时间带的时刻签名(time sign)将失去可靠性。
而且还在进一步寻求用于证明时间戳时刻的合法性的方法。
此外，以下的文献记载有与本申请相关的技术。

本发明正是鉴于以上问题而完成的，其目的在于提供一种减少第三者 故意篡改时刻的机会的时刻管理装置及时刻管理方法。
为了达到所述目的，本发明时刻管理装置的特征在于，包括：
外部时刻取入单元，在预定的时间范围内取入外部时刻；
本地时钟单元，输出自行计时的时刻；以及
时刻差判定单元，计算由所述外部时刻取入单元取入的所述外部时刻 与由所述本地时钟单元输出的所述自行计时的时刻之差，并在所述差小于 预定值时，将所述外部时刻设定到所述本地时钟单元中，而在所述差为预 定值以上时，不将所述外部时刻设定到所述本地时钟单元中。
根据本发明，不是如以往那样仅根据能否接收外部时刻信息来切换是 将外部时刻信息设定到本地时钟中还是使其自行计时，而是定期地、或是 随机地、亦或是在恒定的时间段内取入由外部提供的时刻信息，并求出与 装置内的本地时刻信息的时间误差，然后根据该值的大小来设定外部信息 或是使本地时刻保持原样地自行计时并输出。由此，可提供减少第三者故 意篡改时刻的机会的时刻管理装置及时刻管理方法。
此外，为了达到所述目的，本发明时刻管理装置的特征在于，包括：
在外部时刻取入单元，预定的时间范围内取入外部时刻；
本地时钟单元，输出自行计时的时刻；
时刻差判定单元，计算由所述外部时刻取入单元取入的所述外部时刻 与由所述本地时钟单元输出的所述自行计时的时刻之差，并在所述差小于 预定值时，将所述外部时刻设定到所述本地时钟单元中，而在所述差为预 定值以上时，不将所述外部时刻设定到所述本地时钟单元中；以及
时刻输出阻止单元，当所述本地时钟单元中设定的所述外部时刻，与 在将所述外部时刻设定到所述本地时钟单元中的前夕由所述本地时钟单元 输出的时刻相比，等于过去的时刻时，直到所述本地时钟单元输出的时刻 到达在将所述外部时刻设定到所述本地时钟单元中的前夕由所述本地时钟 单元输出的所述过去的时刻为止，阻止输出由所述本地时钟单元输出的时 刻。
根据本发明，由于通过时刻管理装置及时刻管理方法输出的时刻不会 返回到过去的时刻，所以可提供减少了故意篡改时刻的机会的时刻管理装 置及时刻管理方法。
此外，本发明的目的还在于提供一种证明时间戳时刻的合法性的装 置。
为了达到所述目的，本发明时刻管理装置的特征在于，包括：
外部时刻取入单元，在预定的时间范围内取入外部时刻；
本地时钟单元，输出自行计时的时刻；
时刻差判定单元，计算由所述外部时刻取入单元取入的所述外部时刻 与由所述本地时钟单元输出的所述自行计时的时刻之差，并在所述差小于 预定值时，将所述外部时刻设定到所述本地时钟单元中，而在所述差为预 定值以上时，不将所述外部时刻设定到所述本地时钟单元中；
使用预定的密钥给所述自行计时的时刻、所述外部时刻和所述差进行 签名，从而生成第一认证符的单元；
存储所述自行计时的时刻、所述外部时刻、所述差以及所述第一认证 符的单元；
接收签名发布命令的接收单元；
根据所述接收单元接收的签名发布命令，在预定的签名发布时刻，使 用预定的密钥进行签名，从而生成第二认证符的单元；以及
存储所述签名发布时刻和所述第二认证符的单元。
附图说明
本发明的其他目的、特征及优点通过参照附图来阅读以下的详细说明 将会更加清楚。
图1是示出本发明原理的第一实施例的示意图；
图2是本发明第二实施例的构成示意图；
图3是本发明第二实施例的存储器的构成示意图；
图4是本发明第二实施例的操作流程示意图；
图5是本发明第二实施例的操作时序图的第一例的示意图；
图6是本发明第二实施例的操作时序图的第二例的示意图；
图7是本发明第二实施例的操作时序图的第三例的示意图；
图8是示出本发明原理的第三实施例的示意图；
图9是本发明第四实施例的构成示意图；
图10是本发明第四实施例的操作流程示意图；
图11是本发明第四实施例的操作时序图的示意图；
图12是利用了本发明第四实施例的签名系统的操作流程示意图；
图13是示出本发明原理的第五实施例的示意图；
图14是本发明第五实施例的履历存储器的构成示意图；
图15本发明第六实施例的构成示意图；
图16是本发明第六实施例的操作流程示意图；
图17是本发明第六实施例的操作的时刻误差计算处理例程示意图；
图18是本发明第七实施例(连续误接收时)的操作流程示意图。

以下，使用附图来说明用于实施本发明的实施方式。
图1是示出本发明原理的第一实施例的时刻管理系统100的示意图。 在图1中，时刻管理系统100主要由电波时钟发送处101和时刻管理装置 110构成。电波时钟发送处101从发送天线102发送外部时刻信息105。图 1的时刻管理装置主要由接收天线111、接收电路112、接收窗开关电路 113、时刻差判定电路114及本地时钟电路115构成。
图1的时刻管理装置110的接收电路112经由天线111接收来自电波 时钟发送处101的外部时刻信息105，然后将其作为时刻数据t提供给接 收窗开关电路113。关于外部时刻信息105的形式将利用图5在后说明。
本地时钟电路115一旦被设定为初始值后，就自行计时并输出时刻数 据t’。
接收窗开关电路113根据从时刻差判定电路114提供的控制信号C2 来打开接收窗，并将在此期间输入的时刻数据t送给时刻差判定电路 114。
另一方面，本地时钟电路115也将时刻数据t’提供给时刻差判定电路 114。
时刻差判定电路114计算时刻数据t与时刻数据t’之差的绝对值δt。然 后，在该绝对值δt小于预定的设定值σ时，时刻差判定电路114经由时刻 设定控制信号C1进行控制，以将该时刻数据t设定到本地时钟电路115 中。另一方面，在该绝对值δt为预定的设定值σ以上时，时刻差判定电路 114经由控制信号C1控制本地时钟电路115，以使其保持原样地自行计 时。
接着，当通过控制信号C1控制本地时钟电路115，使其通过设定时刻 数据t而重新启动或者自行计时后，时刻差判定电路114通过控制信号C2 关闭接收窗开关电路113的接收窗。由此，由于从接收电路112向接收窗 开关电路113输出的时刻数据t不被提供到时刻差判定电路114中，所以 本地时钟电路115自行计时。
时刻差判定电路114在达到预定的时刻T时，再次将控制信号C2送 给接收窗开关电路113，从而控制接收窗使其打开。由此，重复上述的操 作。
通过上述，可实现对时刻的篡改具有很强的抵抗能力并且可长时间提 供高精度时刻的时刻管理系统110。
下面，使用附图2、3、4、5、6及7来更加详细地说明本发明的第二 实施例。
图2是本发明第二实施例的时刻管理系统的构成示意图。图2所示的 时刻管理系统100主要由电波时钟发送处101和时刻管理装置110构成。 在图2的时刻管理系统100中，与图1标注了相同标号的构成要素表示相 同的构成要素。图2的时刻管理装置110的时刻差判定电路114主要由微 处理器(CPU)201和存储器202构成。
图3是本发明第二实施例的存储器202的构成示意图。存储器202的 区域301存储表示是定期将时刻数据t设定到本地时钟电路115中，还是 以随机的时间间隔将时刻数据t设定到本地时钟电路115中的信息。在本 实施例中，当定期将时刻数据t设定到本地时钟电路115中时，存储 “0”；当以随机的时间间隔将时刻数据t设定到本地时钟电路115中时， 存储“1”。存储器202的区域302存储随机生成值，该随机生成值是以 随机的时间间隔将时刻数据t设定到本地时钟电路115中时的时间间隔 值。存储器202的区域303存储上述作为判断绝对值δt的标准的预定的设 定值σ。存储器202的区域304存储定期将时刻数据t设定到本地时钟电路 115中时的时间间隔值TI。此外，存储器202的区域305存储下一次将时 刻t设定到本地时钟电路115中的时刻T。
图4是本发明第二实施例的操作流程示意图。接下来，使用图4所示 的流程图来说明本发明第二实施例的操作。
本发明第二实施例的操作在步骤401开始。
接着，在步骤402中，从图3的存储器202的各区域301向304参照 图3设定上述的参数。分别在区域301中设定定期(0)/随机(1)位的 初始值；在区域302中设定随机生成值的初始值；在区域303中设定值σ 的初始值；并且在区域304中设定时间间隔值TI的初始值；在区域305中 设定下一次将时刻t设定到本地时钟电路115中的时刻T的初始值。
接着，在步骤403中，CPU 201通过控制信号210对接收电路112指 示进行时刻数据t的接收，并且通过控制信号(C2)211向接收窗开关电 路113指示打开接收窗。
接着，在步骤404中，CPU 201使用信号212从本地时钟电路115向 在CPU 201上执行的时刻误差计算程序中载入时刻数据t’。
接着，在步骤405中，CPU 201使用信号213从接收窗开关电路113 向在CPU 201上执行的时刻误差计算程序中载入时刻数据t。
接着，在步骤406中，通过CPU 201计算时刻数据t与时刻数据t’的 时间差绝对值δt＝|t-t’|。然后判断时间差绝对值δt是否小于预定的设定 值σ。当判断出时间差绝对值δt小于预定的设定值σ时，进入步骤407。
在步骤407中，CPU 201通过控制信号(C1)214进行控制，从而通 过信号212向本地时钟电路115设定从接收窗开关电路113提供的时刻数 据t，然后重新启动本地时钟电路115。
接着，在步骤408中，CPU 201通过控制信号(C2)211进行控制， 以使接收窗开关电路113的接收窗关闭。然后，进入步骤409。
在步骤409中，CPU 201将本地时钟电路115的时刻数据t’与下一次 将时刻数据t设定到本地时钟电路115中的时刻T进行比较。
在步骤410中，当时刻数据t’与T相等时，进入步骤411。另一方 面，当时刻数据t’与T不相等时，进入步骤409，并重复步骤409和410。
在步骤411中，判断存储器202的位301的值是“1”还是“0”。当 存储器202的位301的值是“1”时，表示以随机的时间间隔将时刻数据t 设定到本地时钟电路115中，因此处理进入步骤412。
在步骤412中，CPU 201向存储器202的区域304的时间间隔值TI载 入区域302中存储的随机生成值。
接着，在步骤413中，CPU 201产生新的随机生成值。
接着，在步骤414中，CPU 201将在步骤413中产生的新的随机生成 值存入存储器202的区域302。然后，处理进入步骤416。
另一方面，在步骤411中，当存储器202的位301的值是“0”时，表 示定期地将时刻数据t设定到本地时钟电路115中，因此处理进入步骤 415。
在步骤415中，向存储器202的区域304的时间间隔值TI载入值 “1”。然后，处理进入步骤416。
在步骤416中，为了更新下一次将时刻数据t设定到本地时钟电路 115中的时刻T，向存储器202的区域305写入(T+TI)。然后，处理进 入步骤403，重复上述的处理。
另一方面，在步骤406中，当判断出时间差绝对值δt为预定的设定值 σ以上时，进入步骤417。
在步骤417中，CPU 201通过控制信号(C1)214控制本地时钟电路 115，以使其自行计时。并且，通过控制信号(C2)211控制接收窗开关电 路113，关闭接收窗。
接着，在步骤418中，判断本地时钟电路115是否自行计时到新的时 刻(T+TI)。当判断出本地时钟电路115自行计时到新的时刻(T+ TI)时，处理进入步骤403，重复上述的处理。另一方面，当判断出本地 时钟电路115尚未自行计时到时刻(T+TI)时，处理进入步骤417，并 重复步骤417和418。
通过上述，从图2的时刻管理装置110的本地时钟电路115输出时刻 数据t或者时刻数据t’。
图5是本发明第二实施例的操作时序图的第一例的示意图。图5(1) 用“秒”表示了从电波时钟发送处101发送的时刻数据t的时间，并且从 0秒到下一个0秒对应于同一分。
图5(2)示出了从电波时钟发送处101发送的时刻数据t的值的格 式。在该例中，在最初的10秒钟发送“分”值，在接下来的10秒钟发送 “时”值，在接下来的20秒钟发送“总计日”，在接下来的10秒钟发送 “年”值，然后在最后的10秒钟发送“星期”。
图5(3)表示接收窗开关电路113，接收窗根据本地时钟电路115输 出的时刻数据t’与从电波时钟发送处101发送的时刻数据t的值的偏差， 在从0秒开始偏移了ΔT的时刻TA，被CPU 201打开。另一方面，在由 CPU 201在本地时钟电路115中设定了时刻数据t之后，接收窗在时刻TC 被CPU 201关闭。
图5(4)表示时刻差判定电路114取入时刻数据t的时刻TB。在时 刻TB，时刻数据t1被取入时刻差判定电路114中。
图5(5)表示时刻差判定电路114取入来自本地时钟电路115的时刻 数据t1’的时刻TB。在上述的时刻TB中，时刻数据t1’也被取入时刻差判 定电路114中。
图5(6)表示时刻差判定电路114的计算时刻数据t与时刻数据t’的 时间差绝对值δt＝|t-t’|的时刻。
图5(7)表示时刻差判定电路114的向本地时钟电路115设定新时刻 数据t1的时刻。
图5(8)表示在通过时刻差判定电路114设定新时刻数据t1的时刻 有大约1秒的延迟的情况下，向本地时钟电路115设定新时刻数据t1的时 刻。即使在这种有延迟的情况下，由于也能够如图5(1)所示那样，以秒 检测出从电波时钟发送101发送的时刻数据t1的时刻，所以通过在设定 时错开1秒，可在从电波时钟发送处101发来的时刻数据t1的时间，向本 地时钟电路115正确设定时刻数据t1。
最后，图5(9)表示在设定了新的时刻数据t1之后，本地时钟电路 115输出的时刻数据。
图6是本发明第二实施例的操作时序图的第二例的示意图。图6示出 了以“日”为单位打开接收窗开关电路113的接收窗的构成。
图6(1)以“时”为单位表示从电波时钟发送处101发送的时刻数据 t的时间，从0时到下一个0时对应于同一日。图6(2)表示接收窗开关 电路113的接收窗，其在时刻TA被打开。然后，在向本地时钟电路115 中设好时刻数据t的时刻TB，接收窗开关电路113的接收窗被关闭。此 外，当直到该日结束的时刻TC，时刻数据t尚未能设定到本地时钟电路 115中时，在时刻TC接收窗开关电路113的接收窗被关闭。
图7是本发明第二实施例的操作时序图的第三例的示意图。图7示出 了以“月”为单位打开接收窗开关电路113的接收窗的构成。
图7(1)以“日”为单位表示从电波时钟发送处101发送的时刻数据 t，从第一日到下一个第一日对应于同一个月。
图7(2)示出了开关接收窗开关电路113的接收窗的时刻。在第一日 的最初的时刻TA，接收窗开关电路113的接收窗被打开。然后，在向本 地时钟电路115中设好时刻数据t的时刻TB，接收窗开关电路113的接收 窗被关闭。从该图7(2)的时刻TA到时刻TB的操作与通过图7说明的 操作相同。
图7(3)示出了在第一日未能向本地时钟电路115设定时刻数据t的 情况。在该情况下，接收窗开关电路113的接收窗一直打开到第二日，从 而执行与通过图7说明的操作一样的操作。图7(4)示出了在第一日和第 二日都未能向本地时钟电路115设定时刻数据t的情况。在该情况下，例 如接收窗开关电路113的接收窗一直被打开到第三日，从而执行与通过图 7说明的操作一样的操作。
下面说明本发明的第三实施例。
图8是表示本发明原理的第三实施例的时刻管理系统100的示意图。 本实施例是由时刻管理装置110的本地时钟电路115表示的本地时刻比外 部提供的外部时刻信息105超前时的实施例。在图8中，与图1标注了相 同标号的构成要素表示相同的构成要素。图8所示的第三实施例与图1所 示的第一实施例之间的不同点在于图8所示的第三实施例具有时钟计数器 801和门电路部802。
时钟计数器801将由时刻差判定电路114计算的时刻数据t与时刻数 据t’之差的绝对值δt，和由本地时钟电路115输出的时钟CLK作为输入， 向门电路部802发送门电路的开关信号803。
门电路部802根据由时钟计数器801输出的开关信号803来控制是否 从时刻管理装置110输出由本地时钟电路115提供给门电路部802的时刻 数据。
图8的时刻管理装置110的接收电路112接收来自电波时钟发送处 101的外部时刻信息105，并将其作为时刻数据t提供给接收窗开关电路 113。关于外部时刻信息105的形式，将利用图5在后面说明。
本地时钟电路115一旦设定了初始值之后，就自行计时并输出时刻数 据t’。
接收窗开关电路113根据从时刻差判定电路114提供的控制信号C2 打开接收窗，并将在此期间输入的时刻数据t送给时刻差判定电路114。
另一方面，本地时钟电路115也将时刻数据t’提供给时刻差判定电路 114。
时刻差判定电路114计算时刻数据t与时刻数据t’之差的绝对值δt。然 后，在该绝对值δt小于预定的设定值σ时，时刻差判定电路114经由时刻 设定控制信号C1进行控制，以将时刻数据t设定到本地时钟电路115中。 另一方面，在该绝对值δt是预定的设定值σ以上时，时刻差判定电路114 经由控制信号C1控制本地时钟电路115，以使其保持原样地自行计时。
此处，当由时刻管理装置110的本地时钟电路115表示的本地时刻比 外部提供的外部时刻信息105超前时，若将外部提供的外部时刻信息105 取入时刻管理装置110内，则由时刻管理装置110输出的时间将会稍稍返 回到过去时间的时刻。
在第三实施例中，当时刻差判定电路114经由时刻设定控制信号C1 进行控制，以将该时刻数据t设定到本地时钟电路115中时，将绝对值δt 设定在时钟计数器801中。然后，时钟计数器801通过开关信号803控制 关闭门电路部802。然后，接着时钟计数器801通过时钟CLK而被计数， 并且若计数值达到设定的绝对值δt，则通过开关信号803控制门电路部 802，以使其打开。通过这样，可防止由时刻管理装置110输出的时间返 回到过去时间的时刻。
接着，若通过控制信号C1控制本地时钟电路115，以使其通过设定时 刻数据t而重新启动或是自行计时，则时刻差判定电路114通过控制信号 C2关闭接收窗开关电路113的接收窗。由此，由于从112向接收窗开关电 路113输出的时刻数据t不被提供给时刻差判定电路114，所以本地时钟 电路115自行计时。
当时刻差判定电路114达到预定的时刻T时，再次将控制信号C2送 给接收窗开关电路113，从而控制接收窗使其打开。由此重复上述操作。
通过上述，可实现对时刻的篡改具有很强的抵抗能力且可长时间提供 高精度时刻的时刻管理装置110，并且可输出从时刻管理装置110输出的 时刻不会返回到该时间的时刻的、可靠性高的时刻。
接着，使用图9、10、11及12来更加详细地说明本发明的第四实施 例。
图9是本发明第四实施例的构成示意图。本实施例是由时刻管理装置 110的本地时钟电路115表示的本地时刻比外部提供的外部时刻信息105 超前时的实施例。在图9中，与图2标号相同的构成要素表示相同的构成 要素。图9所示的第四实施例与图2所示的第二实施例之间的不同点在 于，图9所示的第三实施例的CPU 201包括时钟计数器的功能，而且该实 施例具有门电路部802。
时钟计数器的功能及门电路部802的操作与参照图8连接的第三实施 例相同。
图10是本发明第四实施例的操作流程的示意图。在图10中，与图4 标注了相同标号的步骤表示相同步骤。
图10所示的本发明第四实施例的操作流程与图4所示的本发明第二 实施例的操作流程的不同点在于，图4的步骤407和408被置换为图10的 步骤1001。
在图10的步骤406中，由CPU 201计算时刻数据t与时刻数据t’的时 间差绝对值δt＝|t-t’|。然后确定时间差绝对值δt是否小于预定的设定值 σ。当判断出时间差绝对值δt小于预定的设定值σ时，进入步骤1001。
在步骤1001中，CPU 201经由时刻设定控制信号C1进行控制，以将 该时刻数据t设定到本地时钟电路115中。此时，从CPU 201输出开关信 号803，由此控制门电路部802，使其关闭。然后，接着CPU 201内的时 钟计数器功能通过时钟CLK而被计数，并且若计数值达到设定的绝对值 δt，则通过开关信号803控制门电路部802，以使其打开。通过这样，可 防止由时刻管理装置110输出的时间返回到过去时间的时刻。
图11是本发明第四实施例的操作时序的示意图。图11的横轴表示基 于从电波时钟发送处101发来的外部时刻信息105的时间的经过，另外， 图11的纵轴表示基于本地时钟电路115的自行计时时钟的时间的经过。
当基于外部时刻信息105的时间与本地时钟电路115的自行计时时钟 的时间的经过速度一致时，如增加角度45°的直线1101所示，基于外部 时刻信息105的时间的经过与基于本地时钟电路115的自行计时时钟的时 间的经过一致。另一方面，当基于本地时钟电路115的自行计时时钟的时 间的经过速度比基于外部时刻信息105的时间的经过速度快时，如直线 1102所示，本地时钟电路115的自行计时时钟超前。当基于本地时钟电路 115的自行计时时钟的时间的经过速度比基于外部时刻信息105的时间的 经过速度慢时，如直线1103所示，本地时钟电路115的自行计时时钟落 后。
此处，在如直线1102所示的那样本地时钟电路115的自行计时时钟 超前的情况下，若在时刻T，本地时钟电路115被设定为基于外部时刻信 息105的时刻数据t，则在时刻T，由本地时钟电路115输出的时刻将会返 回到在过去由本地时钟电路115输出的时刻，从而其时刻签名的可靠性下 降。
因此，本地时钟电路115输出的时刻在时刻T被设定为根据外部时刻 信息105的时刻数据t之后，仅在时刻数据t与时刻数据t’的时间差绝对值 δt期间，由门电路部802禁止从时刻管理装置110输出。这就容易想到从 时刻T到T’的期间停止来自时刻管理装置110的时刻输出。然后，在经过 该期间后，即从时刻T’开始进行时刻的输出，由此可防止返回到以前由本 地时钟电路115输出的时刻。
此外，当由本地时钟电路115输出的本地时钟时刻落后时，即使使其 与外部时刻信息105一致也不会返回到过去的时刻，因此不必阻止δt期间 的输出。
图12是利用了本发明第四实施例的签名系统的操作流程示意图。例 如，通过利用了本发明的签名系统的软件等来执行。
在步骤1201开始本签名系统的操作。
接着在步骤1202中，签名系统的软件判断图9的开关信号803是开还 是关。此处，当开关信号803是开时，图9的门电路部802从时刻管理装 置110输出由本地时钟电路115输出的本地时钟804。当开关信号803关 闭时，重复步骤1202。
接着在步骤1203中，签名系统的软件判断由时刻管理装置110输出 的时刻是否均为“0”或均为“1”。在任一种情况下，处理都返回到步骤 1202，重复上述的处理，一直等到正常输出时刻为止。当不是任一种情况 下，处理进入步骤1204。
在步骤1204中，签名系统的软件获得从本地时钟电路经过门电路部 而送来的时刻输出。
在步骤1205中，签名系统的软件取得签名了的输入数据。
接着在步骤1206中，签名系统的软件取得key。
然后在步骤1207中，签名系统的软件利用输入数据、时刻输出和key 生成带有时刻签名的数据。
然后在步骤1208中，签名系统的软件将生成的带有时刻签名的数据 存储在存储装置中。
最后在步骤1209中，签名系统的软件的处理结束。
如上所述，通过利用了本发明的签名系统的软件等，可生成带有时刻 签名的数据。
接下来说明本发明的第五实施例。
图13是表示本发明原理的第五实施例的时刻管理系统100的示意 图。本实施例尤其是提供用于合法地使用时钟的保证单元的实施例。
在图13中，与图8标号相同的构成要素表示相同的构成要素。图8所 示的第三实施例与图13所示的第五实施例之间的不同点在于，图13所示 的第五实施例具有时刻签名装置1301和连接在时刻签名装置1301上的履 历存储器1302，并且门电路部802的输出信号被提供给时刻签名装置 1301。此外，签名密钥(signing key)设定输入1303、请求输出模式输入 1304及电文输入1305被输入到时刻签名装置1301中，从而从输出1301 输出带有签名的时刻、带有时刻签名的电文以及带有时刻签名的时刻发布 履历。
图14是履历存储器1302的内容的实施例的示意图。履历存储器1302 具有存储电波接收时刻t’、电波时钟时刻t、签名发布时刻ts、误差绝对值 δt及认证符CS的区域。此外，参考标号1410、1411、1412及1413表示 在时刻管理装置110内的自动时刻产生的记录。此外，参考标号1420、 1421表示应使用者一侧的请求而发布的时刻签名的记录。
接着，参照图14来说明图13所示的第五实施例的操作。在图13中， 与图8标号相同的构成要素的操作与在图8所示的第三实施例中说明的操 作相同。
首先，使用者的密钥，即认证符CS经由签名密钥设定输入1303而被 设定在时刻签名装置1301中。
接着，为了证明时刻管理装置110总是有效使用合法的时刻信息，时 刻签名装置1301首先，最初经由接收电路112、接收窗开关电路113，定 期从外部接收合法的时刻信息t。然后通过时刻差判定电路114求出该接 收的合法的时刻信息t和在本地时钟电路115中产生的时刻信息t’之间的 时间差δt。
接着，接收的合法的时刻信息t和时间差δt被送到时刻签名装置1301 中，并通过使用者的密钥CS1而被签名。然后，进而在时刻管理装置110 内部的时刻履历存储器1302中，如图14所示，将电波接收时刻t1’、电波 时钟时刻t1、误差绝对值δt1以及认证符CS1作为自动时刻产生的记录 1410来保管。
然后，当向在业务处理中产生的文件发布时间戳时，从请求输出模式 输入1304及电文输入1305输入发布时间戳的请求和电文。对该输入的电 文附加时间戳，并通过图13的输出1310输出带有时刻签名的电文。
此外，作为发布的时间戳的、由本地时钟电路产生的签名产生时刻 ts11、ts12、…、ts1m也与上述一样，通过使用者的密钥而被签名，并作 为应使用者一侧的请求而发布的时刻签名的记录1420被保管在时刻管理 装置110内部的时刻履历存储器1302中。在根据使用者一侧的请求而发 布的时刻签名的记录1420中，签名发布时刻ts11、ts12、…、ts1m依次与 认证符CS11、CS12、CS1一同被保管为应使用者一侧的请求而发布的时 刻签名的记录1420。
如图14所示，在时刻管理装置110内部的时刻履历存储器1302中， 作为自动时刻产生的记录1411，依次保管电波接收时刻t2’、电波时钟时 刻t2、误差绝对值8t2以及认证符CS2。
接着，与上述一样，在应使用者一侧的请求而发布的时刻签名的记录 1421中，签名发布时刻ts21、ts12依次与认证符CS21、CS22一同被保管 为应便用者一侧的请求而发布的时刻签名的记录1421。
进而在电波接收时刻t3’、t4’，将自动时刻产生的记录1412、1413存 储在时刻履历存储器1302中。
这样，用使用者的密钥给接收的合法的时刻信息t和时间差δt进行签 名，并同样用使用者的密钥给由本地时钟电路115产生的签名产生时刻ts 进行签名，从而将自动时刻产生的记录和应使用者一侧的请求而发布的时 刻签名的记录保管在时刻管理装置110内部的时刻履历存储器1302中。 然后，在产生涉及时间戳时刻的可靠性的问题时，从输出1310输出自动 时刻产生的记录和应使用者一侧的请求而发布的时刻签名的记录，即带有 时刻签名的时刻发布履历和带有签名的时刻，并基于该输出的信息可提供 用于合法地使用时钟的保证单元。
接着，使用图15、图16及图17来进一步详细地说明本发明的第六实 施例。
图15是本发明第六实施例的构成示意图。本实施例尤其是提供用于 合法地使用时钟的保证单元的实施例。在图15中，与图9标号相同的构 成要素表示相同的构成要素。图9所示的第四实施例与图15所示的第六 实施例之间的不同点在于，图15所示的第六实施例具有时刻签名装置 1301，并且门电路部802的输出信号被提供给时刻签名装置1301。此外， 签名密钥设定输入、请求输出模式输入以及电文输入经由输入输出总线 1302被输入到CPU 201中，并进一步从CPU 201经由信号线1321输入到 时刻签名装置1301中。此外，带有签名的时刻、带有时刻签名的电文以 及带有时刻签名的时刻发布履历经由时刻签名装置1301、信号线1302而 被输入到CPU 201中，并从CPU 201进一步经由输入输出总线1320通过 输出1320被输出。
接着，说明图15所示的第六实施例中的操作。在图15中，与图9标 号相同的构成要素的操作与在图9所示的第四实施例中说明的操作相同。
图16及图17是本发明第六实施例的操作流程示意图。在图16中，与 图10标注了相同标号的步骤表示相同的步骤。此外，图17表示时刻误差 计算处理例程1700，该时刻误差计算处理例程1700在步骤1701开始，执 行与图10的步骤403、404及405相同的操作，然后在步骤1702中执行返 回处理。
图10所示的本发明第四实施例的操作流程与图16及图17所示的本发 明第六实施例的操作流程的不同点在于，在图16的步骤1601中执行图10 的步骤403到405，然后增加了步骤1602、1603、1604、1605、1606、 1607、1608、1609。
在图16的步骤1601中，如图17的步骤402、403及404所示，执行 与在图10的步骤402、403、404中执行的处理相同的处理。
接着，在步骤1602中，时刻签名装置1301通过认证符CS对电波时 钟时刻t、误差绝对值δt实施签名处理，然后如在上述第五实施例中参照 图14说明的那样，将t、δt以及CS存储到作为与图15的CPU 201连接的 存储器202内的区域的一部分而构成的时刻履历存储器中。
接着，在图16的步骤406中，由CPU 201计算时刻数据t与时刻数据 t’的时间差的绝对值δt＝|t-t’|。然后确定时间差绝对值δt是否小于预定的 设定值σ。当判断出时间差绝对值δt小于预定的设定值σ时，进入步骤 1603。
在步骤1603中，将0代入参数L。然后进入步骤1001。
在步骤1001中，CPU 201经由时刻设定控制信号C1进行控制，以将 时刻数据t设定到本地时钟电路115中。此时，从CPU 201输出开关信号 803，由此控制门电路部802，使其关闭。然后，接着CPU 201内的时钟计 数器功能通过时钟CLK而计数，并且，若计数值达到所设定的绝对值δt， 则通过开关信号803控制门电路部802，以使其打开。通过这样，可防止 由时刻管理装置110输出的时间返回到过去时间的时刻。
接着，在步骤406中，当判断出时间差绝对值δt大于或等于预定的设 定值σ时，进入步骤1604。
在步骤1604中，参数L增加1，然后进入步骤1605。
在步骤1605中，基于参数L的值来判断δt是否连续预定次数超过阈 值σ，并在判断出δt连续预定次数超过阈值σ时，进入步骤1606。
然后，在步骤1606中进行表示发生了预定错误的显示。
另一方面，当在步骤1605中判断出δt没有连续预定次数超过阈值σ 时，进入步骤417。步骤417的操作与图10所示的操作一样。
在完成上述的步骤1001的操作后，进入步骤409。
如在图4及10中说明的那样，在步骤409中，CPU 201将本地时钟电 路115的时刻数据t’与下一次将时刻数据t设定到本地时钟电路115中的 时刻T进行比较。
在步骤410中，当时刻数据t’与T相等时，进入步骤411。另外，当 时刻数据t’与T不相等时，进入步骤1607。
在步骤1607中，判断是否经由输入输出总线1320进行了向电文的签 名请求的中断(割り込み)。当进行了向电文的签名请求时，进入步骤 1608。当没有进行签名请求时，进入步骤409，并重复步骤409和步骤 410。
在步骤1608中，再次执行参照图17进行说明的时刻误差计算处理例 程。在该步骤1608结束后，处理进入步骤1609。
在步骤1609中，通过图15所示的时刻签名装置1301对签名发布时刻 ts执行签名处理，经由输入输出总线1320输出带有时刻签名的电文，同时 如图14所示，将签名发布时刻ts和认证符CS存储在作为与图15的CPU 201连接的存储器202内的一部分区域而构成的时刻履历存储器中。然 后，进入步骤409，并重复步骤409和步骤410。
在步骤410中，当时刻数据t’与T相等时，进入步骤411，参照图4 及图10重复上述的操作。
这样，用使用者的密钥来对接收的合法的时刻信息t和时间差δt进行 签名，并同样用使用者的密钥来对本地时钟电路115产生的时刻ts进行签 名，从而将自动时刻产生的记录和应使用者一侧的请求而发布的时刻签名 的记录保管在时刻管理装置110内部的时刻履历存储器中。然后，当产生 与时间戳时刻的可靠性相关的问题时，由输入输出总线1320输出自动时 刻产生的记录和根据使用者一侧的请求而发布的时刻签名的记录，即带有 时刻签名的时刻发布履历和带有签名的时刻，并基于该输出的信息，可提 供用于合法地使用时钟保证单元。
接着说明本发明的第七实施例。本发明的第七实施例是如下的实施 例：即，时刻管理装置被置于诸如桌子中等电波无法到达的地方，因此， 在只通过时刻管理装置的本地时钟来计时的状态下，当时刻管理装置从电 波时钟接收了时刻时，可从本地时刻t’平滑地向电波时钟的时刻t转移。
在本第七实施例中，将电波时钟的接收错误的连续次数设为L次，并 在时刻差|t-t’|比σ的初始值σ0的L倍小时，使用电波时钟时刻t。此外， 与此相反，当时刻差|t-t’|在σ的初始值σ0的L倍以上时，进行操作，从而 通过错误显示来使时刻管理装置的操作停止。
图18及图17是本发明第七实施例的操作流程示意图。在图18中，与 图16标注了相同标号的步骤表示相同的步骤。此外，图17表示时刻误差 计算处理例程1700，该时刻误差计算处理例程1700在步骤1701开始，执 行与图10的步骤403、404及405相同的操作，然后在步骤1702执行返回 处理。
图18所示的本发明第七实施例的操作流程与图16所示的本发明第六 实施例的操作流程的不同点在于，在图16的步骤418和460之间增加了步 骤1802，在步骤1603和1001之间增加了步骤1801。
在图18的步骤1601中，如图17的步骤402、403及404所示，执行 与在图10的步骤402、403及404执行的处理相同的处理。
接着，在步骤1602中，时刻签名装置1301用认证符CS对电波时钟 时刻t和误差的绝对值δt执行签名处理，然后如在上述第五实施例中参照 图14所示的那样，将t、δt及CS存储在作为与图15的CPU 201连接的存 储器202内的一部分区域而构成的时刻履历存储器中。
接着，在图18的步骤406中，由CPU 201计算时刻数据t和时刻数据 t’的时间差的绝对值δt＝|t-t’|。然后，确定时间差绝对值δt是否小于预定 的设定值σ。当判断出时间差绝对值δt小于预定的设定值σ时，进入步骤 1603。
在步骤1603中，将0代入参数L。然后，如步骤1801所示，向参数σ 重新设定初始值σ0，进入步骤1001。
在步骤1001中，CPU 201经由时刻设定控制信号C1进行控制，以将 时刻数据t设定到本地时钟电路115中。此时，从CPU 201输出开关信号 803，由此控制门电路部802，使其关闭。然后，接着CPU 201内的时钟计 数器功能通过时钟CLK而计数，并且，若计数值达到所设定的绝对值δt， 则通过开关信号803控制门电路部802，使其打开。通过这样可防止由时 刻管理装置110输出的时间返回到过去时间的时刻。
接着，在步骤406中，当判断出时间差绝对值δt大于或等于预定的设 定值σ时，进入步骤1604。
在步骤1604中，参数L增加1，进入步骤1605。
在步骤1605中，基于参数L的值来判断δt是否连续预定次数超过了 阈值σ，并在判断出δt连续预定次数超过了阈值σ时，进入步骤1606。
然后，在步骤1606中进行表示发生了预定错误的显示。
另一方面，当在步骤1605判断出δt没有连续预定次数超过阈值σ时， 进入步骤417。步骤417的操作与图16所示的操作一样。
接着，在步骤418中，在本地时钟自行计时某一恒定时刻T之后，进入 步骤1802，并在此向参数σ设定将σ0的L倍的值。此后，处理如图18所示 进入步骤460。
在上述的步骤1001的操作结束后，进入步骤409。
如在图4及10中说明的那样，在步骤409中，CPU 201将本地时钟电 路115的时刻数据t’与下一次将时刻数据t设定到本地时钟电路115中的 时刻T进行比较。
在步骤410中，当时刻数据t’与T相等时，进入步骤411。另外，当 时刻数据t’与T不相等时，进入步骤1607。
在步骤1607中，判断是否经由输入输出总线1320进行了向电文的签 名请求的中断。当进行了向电文的签名请求时，进入步骤1608。当没有进 行签名请求时，进入步骤409，并重复步骤409和步骤410。
在步骤1608中，再次执行参照图17说明的时刻误差计算处理例程。 在该步骤1608结束之后，处理进入步骤1609。
在步骤1609中，由图15所示的时刻签名装置1301对签名发布时刻ts 执行签名处理，经由输入输出总线1320输出带有时刻签名的电文，同时 如参照图14所示的那样，将签名发布时刻ts和认证符CS存储在作为与图 15的CPU 201连接的存储器202内的一部分区域而构成的时刻履历存储器 中。然后，进入步骤409，并重复步骤409和步骤410。
在步骤410中，当时刻数据t’与T相等时，进入步骤411，并参照图4 及图10重复上述的操作。
这样，用使用者的密钥来对接收的合法的时刻信息t和时间差δt进行 签名，并同样用使用者的密钥来对本地时钟电路115产生的时刻ts进行签 名，从而将自动时刻产生的记录和应使用者一侧的请求而发布的时刻签名 的记录保管在时刻管理装置110内部的时刻履历存储器中。然后，在产生 了与时间戳时刻的可靠性相关的问题时，由输入输出总线1320输出自动 时刻产生的记录和应使用者一侧的请求而发布的时刻签名的记录，即带有 时刻签名的时刻发布履历和带有签名的时刻，并基于该输出的信息，能够 提供用于合法地使用时钟的保证单元。
(专利文献1)日本专利文献特开平6-258460号公报；
(专利文献2)日本专利文献特开2002-4876号公报；
(专利文献3)日本专利文献特开2002-236187号公报；
(专利文献4)日本专利文献特开2002-63614号公报；
(专利文献5)日本专利文献特开2002-185449号公报；
(专利文献6)日本专利文献特开2003-218860号公报；
(专利文献7)日本专利文献特开2003-524348号公报。