[go: up one dir, main page]

JP3801782B2 - 証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム - Google Patents

証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム Download PDF

Info

Publication number
JP3801782B2
JP3801782B2 JP17511498A JP17511498A JP3801782B2 JP 3801782 B2 JP3801782 B2 JP 3801782B2 JP 17511498 A JP17511498 A JP 17511498A JP 17511498 A JP17511498 A JP 17511498A JP 3801782 B2 JP3801782 B2 JP 3801782B2
Authority
JP
Japan
Prior art keywords
certificate
verification
information
revocation
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP17511498A
Other languages
English (en)
Other versions
JP2000010477A (ja
Inventor
裕之 榊原
淳 吉武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP17511498A priority Critical patent/JP3801782B2/ja
Publication of JP2000010477A publication Critical patent/JP2000010477A/ja
Application granted granted Critical
Publication of JP3801782B2 publication Critical patent/JP3801782B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
この発明は、証明証を発行し、検証するために用いられる証明証収集情報生成装置、証明証検証装置およびこれらの装置から構成される公開鍵暗号運用システムに関するものである。
【0002】
【従来の技術】
従来の証明証の発行、検証方式としては、文献「デジタル署名と暗号技術、ウォーイック・フォード・マイケル・バウム著、株式会社プレンティスホール出版、1997発行」に記載されているX.509証明書(証明証)の検証方式や、文献「PKIX Working GroupによるInternet Public Key Infrastructure X.509 Certificate and CRL Profile(Internet−Drafts)」に記載されている発行、検証方式等が存在する。これらの従来の発行、検証方式では、X.509、ver.1、ver.3の証明証における検証方法が記載されている。
【0003】
図6は、上記した従来技術である文献「デジタル署名と暗号技術」に記載されている証明証の検証方式の一例を示す説明図である。図において、認証局(CA1a)E101a、認証局(CA2a)E102a、認証局(CA3a)E103aは階層構造を構成しており、認証局(CA1a)E101aは自己署名証明証である証明証(Cert_CA1a)D101aを自分自身で発行し、さらに、認証局(CA2a)E102aへ証明証(Cert_CA2a)D102aを発行する。認証局(CA2a)E102aは、認証局(CA3a)E103aへ証明証(Cert_CA3a)D103aを発行し、認証局(CA3a)E103aは、UserAへ証明証(Cert_UserA)D104aを発行する。
【0004】
上記した階層構造を有する証明証の発行形態における各証明証の検証方式を以下に説明する。先ず、証明証(Cert_CA1a)D101aを検証する場合、この証明証(Cert_CA1a)D101aは、認証局(CA1a)E101aが自分自身に対して発行した自己署名証明証であるので、それ自身で検証可能である。
【0005】
次に、証明証(Cert_CA2a)D102aを検証する場合は、上位の階層に属する認証局が発行した証明証(Cert_CA1a)D101aが必要になる。同様に、証明証(Cert_CA3a)D103aを検証する場合は、その上位の階層に属する認証局が発行した証明証(Cert_CA2a)D102aが必要になり、また証明証(Cert_UserA)D104aを検証する場合は、その上位の階層に属する認証局が発行した証明証(Cert_CA3a)D103aを必要とする。
【0006】
即ち、証明証の検証においては、最上位の証明証D101a以外は、その上位の階層に属する認証局が発行した証明証を必要とする。例えば、証明証(Cert_UserA)D104aを検証する場合は、証明証(Cert_CA3a)D103a、証明証(Cert_CA2a)D102a、証明証(Cert_CA1a)D101aを収集し、段階的にこれらの証明証の正当性を検証する必要がある。
【0007】
図7は、図6に示した各証明証の構成を示す説明図であり、図において、各証明証は、検証に必要な上位証明証の識別子を含んでいる。例えば、証明証(Cert_UserA)D104aにおいては、中に含まれる識別子Cert_CA3a_IDが上位の証明証(Cert_CA3a)D103aを指定している。従来における標準的な証明証であるX.509ver.3の規定では、この証明証の識別子の内容として、発行者Issuer、Authority Key Identifierが該当する。Authority Key Identifierは、上位の証明証に含まれる発行者(Issuer)と通し番号(Serial Number)、又は、key Identifierという上位の証明証に含まれる公開鍵に割り振られた一意な識別子である。
【0008】
従って、ある証明証を検証しようとした場合、その証明証内を調べ、その中に含まれている検証に必要な証明証の識別子を基に、上位の階層の証明証を収集し、その上位の証明証内に含まれている検証に必要な証明証の識別子を基に、さらに上位の階層の証明証を収集するといった段階的な作業を必要とし、自己署名証明証である自分自身で検証が可能な最上位の認証局の証明証まで遡る必要があった。そして遡った上で、各証明証間の発行者と持ち主、有効期限、署名などの整合性の検証を行い、全ての証明証の整合性が確認できた後に、証明証(Cert_UserA)D104aを検証できたものとしていた。
【0009】
上記した従来の場合では、最上位の証明証、例えば、図6における最上位の証明証(Cert_CA1a)D101aに信頼の根拠をおくので、この証明証が改ざんされたかどうかに関してチェックを行って正否を判断する。例えば、そのハッシュ値を、信頼ある公共の情報媒体である新聞紙上等に掲載し、検証者はこの掲載されたハッシュ値を確認することで改ざんの有無をチェックしていた。
【0010】
ところで、ある階層での証明証の検証に、その1つ上位の階層に属する証明証を用いて段階的に検証することに加えて、認証局の中では失効管理を実施している場合がある。図8は、認証局がX.509のCertificate Revocation List(CRL)を発行している場合を示す説明図である。Certificate Revocation Listは、有効期限が切れる以前に何らかの理由で証明証が失効したことを示す情報であり、認証局が発行した証明証のうち失効している証明書の識別子がリストとして含まれている。X.509のCRLでは署名が付加され、この署名を検証するためには、その認証局が保持する証明証が必要となる。
【0011】
UserAが自分の証明証を検証するためには、上述の証明証の段階的な検証に加え、CRLを利用して各証明証の失効の有無をチェックする必要がある。D121aは認証局(CA1a)E101aが発行するCRL(CRL_CA1a)で、証明証(Cert_CA2a)D102aの失効の有無のチェックに用い、D122aは認証局(CA2a)E102aが発行するCRL(CRL_CA2a)で、証明証(Cert_CA3a)D103aの失効の有無のチェックに用い、D123aは認証局(CA3a)E103aが発行するCRL(CRL_CA3a)で、証明証(Cert_UserA)D104aの失効のチェックに用いる。CRLは、各認証局が公開しており、UserAは各CRLを取得する必要がある。この方式を、以下の説明ではCRL方式と呼ぶ。
【0012】
また、図9は、失効の有無のチェックをCRLを用いる代わりに、直接に認証局へ問い合わせる方式を示す説明図である。この例では、UserA’が証明証(Cert_CA3a)D103aの失効を確認するために失効管理を行っている認証局(CA2a)E102aへ、証明証(Cert_CA3a)D103a又はその識別子であるCert_CA3a_IDを渡して、失効の有無に関して問い合わせを行う。この方式を、以下の説明では問い合わせ方式と呼ぶ。
【0013】
図10は、領域A,Bにおける各ユーザの所属する認証局の関係を示す説明図である。図10に示すように、UserAが所属する認証局(CA1a)E201a、認証局(CA2a)E202a、認証局(CA3a)E203aにより運営される領域Aと、UserBが所属する認証局(CA1b)E201b、認証局(CA2b)E202b、認証局(CA3b)E203bにより運営される領域Bにおいて、各領域A,B内の各認証局がそれぞれ階層構造を構成し、図6に示した場合の様に、階層的に証明証を発行している環境を示している。加えて、認証局(CA2a)E202aが認証局(CA2b)E202bへ証明証(Cert_CAb2’)D202b’を発行して、領域Aのエンティティが領域Bのエンティティの証明証を検証することが可能である。
【0014】
文献「デジタル署名と暗号技術」や、文献「Internet PublicKey Infrastructure X.509 Certificate and CRL Profile(Internet−Drafts)」における、相互認証(Cross Certification)は、図10に示した方式を採用している。これは、図10において、UserAが、UserBの証明証(Cert_UserB)D204bを検証する場合、図11に示す様に、証明証Cert_UserB内に含まれる検証に必要な証明証識別子Cert_CA3b_IDを調べることで、証明証(Cert_CA3b)D203bを得る。さらに、認証局(CA2a)E202aが認証局(CA2b)E202bへ発行している証明証(Cert_CA2b’)D202b’を得る。
【0015】
加えて、証明証(Cert_CA2b’)D202b’内に含まれる検証に必要な証明証識別子Cert_CA2a_IDを調べて領域Aの証明証(Cert_CA2a)D212aを獲得し、その中に含まれる識別子Cert_CA1a_IDを調査することで、証明証(Cert_CA1a)D201aを得ている。
【0016】
図11は、図10に示す2つの領域A,B内での証明証の検証の流れを示す説明図である。証明証(Cert_CA1a)D201aは、UserAが属する領域Aの最上位の認証局(CA)の発行する証明証に信頼をおくものなので、図11内の破線で示されるパスに沿った検証が可能になる。上記した様に、証明証を収集した上で、或いは収集しながら、証明証(Cert_UserB)D204bを証明証(Cert_CA3a)D203bで、証明証(Cert_CA3b)D203bを証明証(Cert_CA2b’)D202b’で、証明証(Cert_CA2b’)D202b’を証明証(Cert_CA2a)D202aで、そして、証明証(Cert_CA2a)D202aを証明証(Cert_CA1a)D201aで、証明証(Cert_CA1a)D201aはそれ自身を用いて検証することで、全ての証明証を段階的に検証し、最終的にCert_UserBを信頼できるものとみなす。上記した従来例の場合においても、図8および図9に示すように失効管理がされている場合は、同様の失効のチェックを行う必要がある。
【0017】
【発明が解決しようとする課題】
上記した従来の証明証の発行、検証方式の各々において、図6〜図8に示した環境では、検証する証明証の上位の証明証を収集し、その中に含まれる検証内に記載されている上位の証明証の識別子を元に、さらに上位の証明証を収集するという操作を繰り返し、階層構造の最上位に位置する自己署名証明証を獲得するまで収集動作を繰り返す必要があった。この収集の動作が終了した場合、収集した証明証を用いて、各証明証間の整合性の検証を行うものである。
【0018】
又は、検証対称の証明証の上位の階層に位置する証明証を収集し、2つの証明証間の整合性を検証し、検証の結果、整合性が満たされる場合、上位の階層の証明証に含まれる、検証に必要な上位の階層の証明証の識別子を元に、さらに上位の階層の証明証を収集して、2つの整合性を検証するという操作を繰り返し、自己署名証明証に至るまで操作を繰り返すものである。
【0019】
これらの従来の方式において、証明証の中の検証に必要な証明証識別子を調べて、上位証明証を収集するという作業には多くの時間を必要とし、結果として検証作業に多くの時間を必要とするといった課題があった。
【0020】
さらに、認証局が失効管理を行っている場合では、CRLを利用し、また直接に認証局へ問い合わせを行って失効の有無の確認をする必要があったが、証明証を得るためのパス上に存在する証明証は、段階的に取得されるため、その失効を調べるという処理を、パス上の証明証に対して段階的に繰り返す必要があり、その結果、証明証の収集と同様に多くの時間を必要とするという課題があった。
【0021】
さらに、図10および図11に示した従来の環境では、証明証(Cert_CA3b)D203bを検証するために必要とする証明証の識別子は、その上位の階層にあるCert_CA2bを指しているにもかかわらず、署名を検証するために必要な公開鍵が、証明証(Cert_CA2b)D202bおよび証明証(Cert_CA2b’)D202b’の両方に含まれていた。通常は、証明証(Cert_CA3b)D203b内には識別子Cert_CA2b_IDが含まれており、黒い矢印で示されるパスを経由することになる。
【0022】
しかし、領域A内のUserAが、領域Bの証明証(Cert_UserB)D204bを検証するためには、図11内の破線で示したパスに沿って、証明証(Cert_UserB)、証明証(Cert_CA3b)D203b、証明証(Cert_CA2b’)D202b’、証明証(Cert_CA2a)D202a、証明証(Cert_CA1a)D201aおよびそのパスを指定する必要がある。また、証明証(Cert_CA2b)D202bと証明証(Cert_CA2b’)D202b’の双方が存在する状態下で、証明証(Cert_CA2b’)D202b’を含むパスを選択するには、可能性のある全てのパス、即ち、Cert_UserB、Cert_CA3b、Cert_CA2b、Cert_CA1bというパスとCert_UserB、Cert_CA3b、Cert_CA2b’、Cert_CA2a、Cert_CA1aというパスを調べて、自分が属する領域Aの最上位の証明証であるCert_CA1aが存在するパスを検証し選択する必要がある。
【0023】
しかしながら、上記した様に全パスを調べる従来の方式では、証明証を収集してパスを発見するため多くの時間を必要とするという課題があった。また、失効管理が行われている場合は、上述した失効管理に関する従来の課題と同様に、処理がさらに遅延するという課題があった。
【0024】
上記した文献「デジタル署名と暗号技術」および文献「Internet Public Key Infrastructure X.509 Certificate and CRL Profile(Internet−Drafts)」において、検証方式の実装における高速化に関して、記載は特にない。
【0025】
この発明は上記のような課題を解決するためになされたもので、ある階層の証明証の検証のために必要な上位の階層の証明証を収集する時間を短縮でき、又、収集した段階で前もって検証することで、検証対象の証明証の検証時間を短縮可能な、また、認証局が異なる複数領域のエンティティ間で証明証を検証する場合に証明証のパスを決定し、また、失効管理が行われている場合の失効の確認動作を効率化する証明証収集情報生成装置、証明証検証装置、およびこれらの装置を含む公開鍵暗号運用システムを得ることを目的とする。
【0026】
【課題を解決するための手段】
この発明に係る証明証収集情報生成装置は、証明証パス登録情報を入力して記憶する証明証パス登録情報登録部と、前記証明証パス登録情報登録部から出力された前記証明証パス登録情報に含まれる証明証パス情報登録識別子を、証明証収集情報識別子とエンティティの識別子で置換した証明証収集情報を生成する証明証収集情報生成部とを備え、前記証明証パス登録情報は、検証対象証明証を発行する第1の認証局の識別子と、前記検証対象証明証の検証に必要な検証用証明証の識別子と、前記検証用証明証の失効管理に関する情報と、前記証明証パス登録情報を示す証明証パス情報登録識別子とを連結して生成された情報であり、前記証明証収集情報識別子は、前記証明証収集情報を示す識別子であり、前記エンティティの識別子は、証明証パス登録情報登録部と証明証収集情報生成部とを含む実体の識別子であることを特徴とするものである。
【0027】
この発明に係る証明証検証装置は、入力した証明証収集情報から、検証対象証明証の検証に必要な検証用証明証の識別子と前記検証用証明証の失効管理に関する情報とを抽出し、証明証パス情報を生成する証明証パス解析部と、前記証明証パス解析部から出力された前記証明証パス情報に基づいて前記検証対象証明証を収集する証明証収集部と、前記証明証パス解析部から出力された前記証明証パス情報と、前記証明証収集部が収集した前記検証用証明証と、前記検証対象証明証とを入力し、前記検証用証明証の各項目及び失効状態を検証することにより、前記検証対象証明証を検証する検証部とを備えたものである。
【0028】
この発明に係る証明証検証装置では、前記証明証パス解析部が出力した前記証明証パス情報を記憶する信用証明証パス情報蓄積部を備え、前記証明証パス解析部は、前記検証対象証明証に関する複数の証明証収集情報が入力された場合、入力された前記複数の証明証収集情報と、前記信用証明証パス情報蓄積部内に記憶されている前記証明証パス情報とを比較することを特徴とするものである。
【0029】
この発明に係る証明証検証装置では、前記検証用証明証を記憶する検証用証明証蓄積部を備え、前記証明証収集部は、前記証明証パス情報に基づいて、前記検証用証明証蓄積部から前記検証用証明証を検索して収集することを特徴とするものである。
【0030】
この発明に係る証明証検証装置では、検証済みの証明証を記憶する検証済み証明証蓄積部を備え、前記証明証収集部は、証明証パス情報に基づいて、前記検証済み証明証蓄積部から検証済みの前記検証用証明証を検索して収集し、前記検証部は、検証済みの前記検証用証明証は認証し、未検証の前記検証用証明証のみ検証することにより、前記検証対象証明証を検証することを特徴とするものである。
【0031】
この発明に係る証明証検証装置では、前記検証部は、前記検証用証明証の失効管理に関する情報が示す失効管理の有無に基づいて、前記検証用証明証の失効状態を検証することを特徴とするものである。
【0032】
この発明に係る証明証検証装置では、前記証明証パス解析部から出力された証明証パス情報に基づいて、前記検証用証明証の失効情報を収集する失効情報管理部を備えたことを特徴とするものである。
【0033】
この発明に係る証明証検証装置では、前記失効情報管理部は、収集した前記検証用証明証の前記失効情報を蓄積し、前記検証部が前記検証用証明証の失効管理に関する情報を検証する場合に、蓄積した前記検証用証明証の前記失効情報を前記検証部に対して出力することを特徴とするものである。
【0034】
この発明に係る公開鍵暗号運用システムは、前記検証対象証明証を発行する前記第1の認証局と、前記検証用証明証を発行する第2の認証局と、請求項1記載の証明証収集情報生成装置と、請求項2から請求項8のうちのいずれか1項記載の証明証検証装置とを備え、前記証明証検証装置は、前記証明証収集情報生成装置から出力された前記証明証収集情報を入力し、前記第2の認証局が発行する前記検証用証明証を検証することにより、前記第1の認証局が発行する前記検証対象証明証を検証することを特徴とするものである。
【0035】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
図1は、この発明の実施の形態1による証明証収集情報生成装置を示すブロック図であり、図において、D501は証明証パス登録情報、D502は証明証収集情報、そして500は、証明証パス登録情報D501を入力し、証明証収集情報D502を出力する証明証収集情報生成装置である。証明証パス登録情報D501は、証明証パス情報登録識別子CertPathRegInf_IDと、この情報を提供する認証局の識別子と、登録する認証局の証明証の識別子と、その証明証を検証するために必要な上位証明証の識別子と、失効確認手段とを、下位認証局の証明証から上位認証局の証明証へ向かって配列され構成されている。以下の説明において、証明証の識別子は、発行者の識別子と通し番号等、証明証を一意に特定できるものとし、付加情報がある場合はこの付加情報を加えたものとする。
【0036】
証明証パス登録情報D501や証明証収集情報D502内に含まれている失効確認手段は、各証明証を発行している認証局が管理する為の失効に関する手段を示しており、具体的には、失効確認方法の有無の情報、CRL方式や問い合わせ方式といった失効を確認するための手段の指定情報、CRL配布先や失効の問い合わせ先・アクセス先の情報等から構成される。
【0037】
証明証収集情報生成装置500は、証明証パス登録情報登録部510と証明証収集情報生成部520から構成されている。証明証パス登録情報登録部510は、証明証パス登録情報D501を入力し記憶する。また、証明証収集情報生成部520は、証明書パス登録情報登録部510から出力された証明証パス登録情報D501を受け取り、CertPathRegInf_IDを、証明証収集情報識別子CertPathInf_IDと証明証収集情報生成装置500を所有する実体の識別子で置換した証明証収集情報D502を生成し記憶装置へ出力する。
【0038】
図2は、この発明の実施の形態1による証明証検証装置を示すブロック図であり、図において、600は証明証検証装置、601は証明証収集情報D502を入力し、各証明証の証明証識別子と失効確認手段とを組み合わせ並べて構成される証明証パス情報D603を選択して出力する証明証パス解析部である。602は、証明証パス解析部601から出力された証明証パス情報D603を受け取り、得られた証明証パス情報D603に基づいて、検証対象証明証D601の検証に必要な証明証を、検証用証明証蓄積部603から蓄積検証用証明証D607として、または、検証済み証明証蓄積部604から蓄積検証済み証明証D609として、あるいはまたは、装置外部から出力された検証用証明証D605を入力し収集する証明証収集部である。603は、証明証収集部602が装置外部から出力された検証用証明証D605を証明証識別子とともに記憶する検証用証明証蓄積部であり、加えて、証明証収集部602から出力された証明証識別子D606を受信した場合は、記憶している証明証のうち、該当する蓄積検証用証明証D607を検索し、返信する機能を有する。
【0039】
605は、検証対象証明証D601および装置外部から出力された検証用証明証D605、または検証用証明証蓄積部603で選択された蓄積検証用証明証D607、または検証済み証明証蓄積部604から出力された蓄積検証済み証明証D609を入力し、検証対象証明証D601、検証用証明証D605、蓄積検証用証明証D607の全てを検証し、検証済み証明証D611と検証結果D612を装置外部へ出力する検証部である。また、証明証パス情報D603を受け取り、証明証と証明証識別子と証明証パス情報D603内にある失効確認手段を連結して、情報D621として失効情報管理部606へ出力することで、蓄積失効情報D624、または、蓄積検証済み失効情報D626、蓄積失効チェック結果D629を受け取り、証明証の失効の検査を行う機能を有する。さらに加えて、蓄積失効情報D624に関して必要な検証を行った場合は、検証済み失効情報と証明証識別子を連結して情報D625として失効情報管理部606へ出力する機能を持つ。
【0040】
失効情報管理部606は、検証部605から出力された証明証と証明証識別子と証明証パス情報D603内にある失効確認手段とが連結された情報D621を受信すると、失効確認手段の内容が、CRL等の失効情報を検証者が検査する方式である場合は、失効確認手段に含まれる失効情報の配布先を失効情報発行者情報として参照し、失効情報D623を収集する。さらに加えて、収集した失効情報D623を該当する証明証識別子と共に蓄積する。さらに、検証部605に対して受信した情報D621の応答として、蓄積失効情報D624を返信する。
【0041】
あるいはまた、失効情報管理部606は、検証部605から出力された証明証と証明証識別子と証明証パス情報D603内にある失効確認手段とが連結された情報D621を受信する。受信した失効確認手段の内容が、失効を管理している認証局等に失効を問い合わせる方式では、証明証または証明証識別子等の証明証に関する情報で構成される証明証情報D627を利用し、失効をチェックした結果を、失効チェック結果D628として受け取り、該当する証明証識別子と共に蓄積する。
【0042】
さらに、情報D621を受信した応答として蓄積失効チェック結果D629を検証部605へ返信する。検証部605から出力された検証された失効情報と証明証識別子とを含む情報D625を失効情報管理部606が受信した場合は、これを蓄積し、次回の検証で情報D621を受信した場合に証明証識別子を利用して、蓄積している検証済み失効情報を検索し、蓄積検証済み失効情報D626として検証部605へ返信する。同様に、問い合わせ方式では、次回の検証で情報D621を受け取った場合、失効情報管理部606内に蓄積している失効チェック結果を情報D629として検証部605へ返信する。
【0043】
図3は、図1に示した証明証収集情報生成装置および図2に示した証明証検証装置からなる実施の形態1の公開鍵暗号運用システムの構成を示す説明図であり、図1〜図3において、同一符号は同一の構成要素を示している。
【0044】
次に動作について説明する。
図3に示すように、まず、認証局(CA3a)E303aが、自分の証明証を検証するために必要な証明証の収集情報を提供する例を以下で説明する。また、以下の説明では、パスオーソリティ(PA)E300と呼ぶエンティティが、証明証収集情報生成装置500を所有するものとする。認証局(CA3a)E303aは、証明証収集情報登録識別子CertPathRegInf_IDと、CA識別子であるCA3a、認証局(CA3a)E303aが保持する証明証の識別子であるCert_CA3a_IDと、認証局(CA3a)E303aの失効管理に関する情報としての失効確認手段であるRevoInf_CA3a、認証局(CA2a)E302aの証明証の識別子であるCert_CA2a_ID、認証局(CA2a)E302aの失効管理に関する情報である失効確認手段であるRevoInf_CA2a、認証局(CA1a)E301aの証明証の識別子であるCert_CA1a_ID、認証局(CA1a)E301aの失効管理に関する情報である失効確認手段であるRevoInf_CA1aをペアにして配列し、証明証パス登録情報D501として生成する。
【0045】
失効確認手段は、その認証局の失効管理の有無の情報、失効管理がある場合はその方式(CRL方式、問い合わせ方式等)とアクセス先の情報等から構成された情報である。そして、証明証パス登録情報は、エンティティであるパスオーソリティ(PA)E300へ送信される。
【0046】
まず、証明証収集情報生成装置500内の証明証パス登録情報登録部510は、証明証パス登録情報D501を入力して内部に記憶する。次に、証明証パス登録情報登録部510は、入力し記憶した証明証パス登録情報D501から情報CertPathRegInf_IDを除いた情報を証明証収集情報生成部520へ出力する。
【0047】
証明証収集情報生成部520は、証明証パス登録情報登録部510から出力された情報を受け取り、証明証収集情報識別子CertPathInf_IDと、パスオーソリティ(PA)の識別子とを、受信した情報の先頭に付加して連結し、証明証収集情報D502として証明証収集情報生成装置500の外部の装置、例えば、証明証検証装置600へ出力する。
【0048】
証明証収集情報生成装置500から出力された証明証収集情報D502は、証明証のIDと、その認証局における失効管理の情報の有無、失効管理の方法、失効に関する情報を得るためのアクセス先といった情報を配列した情報構造を有しており、従来の公開鍵暗号運用システムで用いられている証明証パス上の証明証、失効情報を配列した構造の情報と比較した場合、その情報量のサイズはかなり小さいものとなる。
【0049】
図3に示した実施の形態1による証明証収集情報生成装置500および証明証検証装置600からなる公開鍵暗号運用システムにおいて、UserAが、自分自身の証明証(Cert_UserA)D304aを検証する場合について、以下に説明する。
【0050】
認証局(CA3a)E303aは、識別子であるCertPathRegInf_ID、CA3a、Cert_CA3a_ID、RevoInf_CA3a、Cert_CA2a_ID、RevoInf_CA2a、Cert_CA1a_ID、RevoInf_CA1a等を連結した証明証パス登録情報D501をパスオーソリティー(PA)E300へ送信する。パスオーソリティ(PA)E300は証明証パス登録情報D501を受信すると、証明証収集情報生成装置500を動作させ、識別子CertPathInf_ID、PA、CA3a、Cert_CA3a_ID、RevoInf_CA3a、Cert_CA2a_ID、RevoInf_CA2a、Cert_CA1a_ID、RevoInf_CA1a等を連結して生成し得られた証明証収集情報D502を公開する。UserAは、自身の証明証Cert_UserAと共に、証明証収集情報D502を証明証検証装置600へ送信する。
【0051】
次に、図2において、UserAが所有する証明証検証装置の動作を説明する。先ず、証明証検証装置600は、未だ1度も駆動されていない初期状態とする。また、失効の管理を行わないポリシーの認証局も存在することを考慮し、失効確認手段において各認証局が失効管理を実施していないことを示す指示情報があると仮定する。
【0052】
検証対象証明証D601は、図3に示した自身の証明証(Cert_UserA)D304aと同じものであり、証明証収集情報D502は、認証局(CA3a)E303aがパスオーソリティ(PA)E300へ登録を依頼し、依頼されたパスオーソリティ(PA)E300が生成したものである。
【0053】
この証明証検証装置600内の証明証パス解析部601は、受信した証明証収集情報D502内から識別子Cert_CA3a_ID、RevoInf_CA3a、Cert_CA2a_ID、RevoInf_CA2a、Cert_CA1a_ID、RevoInf_CA1aを取出し、証明証パス情報D603として、証明証収集部602へ出力する。証明証収集部602は、これらの証明証の識別子で識別される証明証、すなわち、Cert_CA3、Cert_CA2,Cert_CA1の検証用証明証D605を証明証検証装置600の外部から収集する。
【0054】
次に、証明証収集部602は、収集した証明証Cert_CA3、Cert_CA2、Cert_CA1を各々の識別子Cert_CA3_ID、Cert_CA2_ID、Cert_CA1_IDと各々組にし、配列して証明証識別子+検証用証明証D605として、検証用証明証蓄積部603へ出力する。検証用証明証蓄積部603は、入力した証明証識別子+検証用証明証D605を内部で記憶する。検証部605は、証明証収集部602から検証用証明証D605を受け取り、加えて、装置に入力された検証対象証明証(Cert_UserA)D601を受け取り、Cert_UserA、Cert_CA3、Cert_CA2、Cert_CA1等のすべての情報に対して有効期限、署名などの項目を検証する。
【0055】
次に、検証部605は、証明証パス情報D603を受信し、失効確認手段であるRevoInf_CA3a、RevoInf_CA2a、RevoInf_CA1aをチェックする。しかし、証明証パス情報D603内に失効管理をしていないという指示があるので、失効に関する情報の収集はせず、失効の検査を実行しない。また、検証部605は、証明証パス解析部601に対して証明証パス情報蓄積命令D604を送信すると、証明証パス解析部601は、証明証パス情報D603を信用証明証パス情報蓄積部607へ送信する。信用証明証パス情報蓄積部607は、証明証パス情報D603を記憶する。検証部605は、検証済み証明証D611を含む情報D614を検証済み証明証蓄積部604へ渡し、検証済み証明証蓄積部604はこれを記憶する。又、検証部605は、検査が正常に終了した検証済み証明証D611と検証結果D612とを外部へ出力する。
【0056】
証明証検証装置600の外部へ出力された検証済み証明証D611の中には、証明証Cert_CA1aが含まれており、この証明証Cert_CA1aが信頼の根拠となるので、何らかの方法を用いて改ざんの有無をチェックするのが望ましい。
【0057】
以上のように、この実施の形態1によれば、証明証収集情報生成装置500は、証明証の収集と、失効を確認する手段を含んだ情報である証明証収集情報を生成し、証明証収集情報生成装置500で生成された証明証収集情報は、証明証の識別子等、それ自身よりも小さい情報の記載のみで構成されており、証明証パス上の証明証、失効情報を配列した情報と比較して証明証収集情報のサイズを小さくできる。また、証明証検証装置600が検証対象の証明証を入力すると、証明証の内容を調べる動作をすること無く、証明証検証装置600の外部から上位の階層に属する認証局発行の証明証を収集可能であり、従来の方式と比較して、検証のための証明証の収集時間を短縮できる効果がある。
【0058】
実施の形態2.
図4は、この発明の実施の形態2による証明証収集情報生成装置および証明証検証装置からなる公開鍵暗号運用システムの構成を示す説明図である。実施の形態2による証明証収集情報生成装置および証明証検証装置を備えた公開鍵暗号運用システムでは、他領域の認証局へ自分の領域の認証局が証明証を発行している場合において、証明証収集情報生成装置と証明証検証装置とを用いて、他領域の証明証を検証する場合について述べる。尚、図1〜図3に示す実施の形態1の構成要素と同一のものは、同一符号を用いて、それらの説明をここでは省略する。
【0059】
次に動作について説明する。
領域A内の認証局(CA2a)E402aが、認証局(CA3a)E403aへ証明証(Cert_CA3a)D403aを発行し、さらに、領域Bの証明証の検証を可能にするために、領域B内の認証局(CA2b)E402bへ証明証(Cert_CA2b’)D402a’を発行する場合について説明する。以下の例では、各認証局が失効管理を行っていないものとする。
【0060】
また、認証局(CA3a)E403aと認証局(CA3b)E403bの各々が、証明証(Cert_CA3a)D403a、証明証(Cert_CA3b)D403bの証明証の検証に必要な証明証の収集情報を提供する例を説明する。
【0061】
パスオーソリティ(PA)と呼ぶエンティティE400が、証明証収集情報生成装置500を所有するものとする。認証局(CA3b)E403bは、証明証収集情報登録識別子CertPathRegInf_IDと、CA識別子であるCA3b、認証局(CA3b)E403aの証明証の識別子であるCert_CA3b_ID、認証局(CA3a)E403aが発行している証明証に関する失効確認手段であるRevInf_CA3b、証明証Cert_CA3bを検証するために必要な全ての証明証の識別子と失効確認手段の組み合わせ情報であるCert_CA2b_ID、RevoInf_CA2b、Cert_CA1b_ID、RevoInf_CA1bとを連結し、証明証パス登録情報(CertPathRegInf_CA3b1)D410bとして生成する。
【0062】
また、CertPathInfReg_IDと、CA識別子であるCA3b、CA3bの証明証の識別子であるCert_CA3b_ID、認証局(CA3b)E403bが発行している証明証に関する失効確認手段であるCertRevInf_CA3b、これを領域Aのユーザが検証するために必要な証明証の識別子Cert_CA2b_ID’と失効確認手段であるRevoInf_CA2b、Cert_CA2b’を検証するために必要な証明証の識別子と失効確認手段とを組み合わせた情報であるCert_CA2a_ID,RevoInf_CA2aを連結し、証明証パス登録情報(CertPathRegInf_CA3b2)D411bを生成する。
【0063】
認証局(CA3a)E403aは、識別子CertPathRegInf_IDと、CA識別子であるCA3a、CA3aの証明証の識別子Cert_CA3a_IDと、CA3aが発行している証明証に関する失効確認手段であるRevoInf_CA3aとの組み合わせ、Cert_CA3aを検証するために必要な全ての証明証の識別子と失効確認手段の組み合わせた情報であるCert_CA2a_ID、RevoInf_CA2、Cert_CA1a_ID、RevoInfo_CA1とを連結し、証明証パス登録情報(CertPathRegInf_CA3a)D410aとして生成する。
【0064】
認証局(CA3b)E403bは、証明証パス登録情報(CertPathRegInf_CA3b1)D410bおよび証明証パス登録情報(CertPathRegInf_CA3b2)D411bを、認証局(CA3a)E403aは、証明証パス登録情報(CertPathRegInf_CA3a)D410aをパスオーソリティ(PA)E400へ渡す。
【0065】
パスオーソリティ(PA)E400の管理下の証明証収集情報生成装置500の動作を、図1に示した証明証検証装置600の構成および図4に示した公開鍵暗号運用システムの構成を参照しながら説明する。まず、証明証収集情報生成装置500は、証明証パス登録情報(CertPathRegInf_CA3b1)D410bを受け取り、受け取った証明証パス登録情報D501を、証明証収集情報生成装置500内の証明証パス登録情報登録部510で記憶し、証明証パス登録情報D501内の情報CertPathRegInf_IDを取り除いた残りの情報CA3b、Cert_CA3b_ID、RevoInf_CA3b、Cert_CA2b_ID、RevoInf_CA2b、Cert_CA1b_ID、RevoInf_CA1bを証明証収集情報生成部520へ渡す。
【0066】
証明証収集情報生成部520は、この情報の先頭に証明証収集情報の識別子CertPathInf_IDと、パスオーソリティ(PA)の識別子とを連結し、証明証収集情報(CertPathInf_CA3b1)D422を生成し、証明証検証装置600へ出力する。同様にして、証明証パス登録情報(CertPathRegInf_CA3b2)D411bから、証明証収集情報(CertPathInf_CA3b2)D423、証明証パス登録情報(CertPathInf_CA3a)D410aから、証明証収集情報(CertPathInf_CA3a)D421を生成する。
【0067】
図4に示す構成を持つ公開鍵暗号運用システムにおいて、パスオーソリティ(PA)E400は、上記した方法で証明証収集情報生成装置500を用いて生成した証明証収集情報(CertPathInf_CA3a)D421、証明証収集情報(CertPathInf_CA3b1)D422、証明証収集情報(CertPathInf_CA3b2)D423を公開する。
【0068】
以上のように、この実施の形態2によれば、ある領域の認証局が他の領域の認証局に証明証を発行している環境下で、他の領域の認証局に証明証を発行している認証局が保持するところの証明証に関するパス情報が、証明証収集情報として公開されている時、他領域の証明証を検証する場合に、証明証検証装置600内の証明証パス解析部601が、この証明証収集情報を利用し、複数個存在する証明証のパスを一意に決定できるので、検証に必要とされる時間を削減できる。
【0069】
実施の形態3.
実施の形態3では、図4に示す構成の公開鍵暗号運用システムにおいて、領域AのUserAが、領域BのUserBの証明証(Cert_UserB)D404bを検証する場合、証明証収集情報(CertPathInf_CA3b1)D422、証明証収集情報(CertPathInf_CA3b2)D423をパスオーソリティー(PA)E400から受け取り、証明証(Cert_UserB)D404bと共に、証明証検証装置600へ与えるものである。尚、実施の形態3の公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態2に示したものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0070】
次に動作について説明する。
図5は、UserAの所有する証明証検証装置600の証明証パス解析部601の動作を示すフローチャートである。
UserAが所有するところの、図2に示した構成を備えた証明証検証装置600の動作を説明する。証明証検証装置600は、実施の形態1の場合において、自分の証明証を1度検証した後の状態であるとする。図2における検証対象の証明証D601は、図4に示すUserBの証明証(Cert_UserB)D404bであり、ステップST52における証明証パス情報は、図4における証明証収集情報(CertPathInf_CA3b1)D422、証明証収集情報(CertPathInf_CA3b2)D423から選択される。この証明証検証装置600内の証明証パス解析部601は、信用証明証パス情報蓄積部607から、自分の証明証を検証したときの信用証明証パス情報D613であるCert_CA3a_ID、RevInf_CA3a、Cert_CA2a_ID、RevInf_CA2a、Cert_CA1a_ID、RevInf_CA1aを取得する(ステップST51)。
【0071】
次に、上記で取得した信用証明証パス情報D613と、ステップST52において証明証収集情報(CertPathInf_CA3b1)D422から取出した証明証パス情報であるCert_CA3b_ID、RevInf_CA3b、Cert_CA2b_ID、RevInf_CA2b、Cert_CA1b_ID、RevInf_CA1bとを比較し、各パス情報中に同じ証明証のIDが存在するか否かを調べる(ステップST53)。この場合は、同じ証明証のIDが存在しないので、証明証収集情報(CertPathInf_CA3b1)D422を破棄する(ステップST58)。同様に、証明証収集情報(CertPathInfo_CAb2)D423から取出した証明証パス情報であるCert_CA3b_ID、RevInf_CA3b、Cert_CA2b_ID’、RevInf_CA2b、Cert_CA2a_ID、RevInf_CA2aを取出し、信用証明証パス情報D613と比較し、同じ証明証のIDが含まれるか調べる(ステップST53)。
【0072】
この場合、識別子Cert_CA2a_IDが共通であるので、図5に示したフローチャートのアルゴリズムに従って、Cert_UserBを検証するための証明証のパスとして、証明証パス情報D603を決定する。ステップST54において、jxは、j=2、x=aである。Cert_CA3b_ID、RevInf_CA3b、Cert_CA2b_ID’、RevInf_CA2b、Cert_CA2a_ID、RevInf_CA2a、Cert_CA1a_ID、RevInf_CA1aと決定し、出力する(ステップST54〜ステップST57)。図5に示すフローチャートにおいて、証明証パス情報が決定された後は、実施の形態1の場合と同様に動作する。
【0073】
以上のように、この実施の形態3によれば、証明証収集情報生成装置500により生成される証明証収集情報内の1つの認証局の証明証に関して複数の証明証収集情報が存在する場合においても、証明証パス解析部が、信用証明証パス情報蓄積部607内に蓄積された信用証明証パス情報D613を利用することで、証明証パスを一意に辿ることができ、検証時間を短縮でき、全体として高速に処理することができる。
【0074】
実施の形態4.
実施の形態1の証明証検証装置では、検証対象の証明証と、その上位の階層に属する検証用証明証の収集を続けながら検証を実行していたが、実施の形態4の証明証検証装置では、検証対象の証明証の入手以前に、その上位の検証用証明証を前もって入手し、証明証検証装置内に保持しておくことで、検証対象の証明証の検証時に証明証収集時間を削除することを可能とするものである。尚、実施の形態4の公開鍵暗号運用システム内の証明証検証装置の構成要素は、実施の形態1から実施の形態3のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0075】
次に動作について説明する。
例えば、図3に示す公開鍵暗号運用システムにおいて、認証局(CA3)E303aによる証明証発行サービスが既に稼動しており、認証局(CA3)E303aが証明証収集情報D502をパスオーソリティ(PA)E300へ依頼して作成してある状態を仮定する。
【0076】
UserAが、認証局(CA3a)E303aへ自分の証明証を発行を依頼し、待機している間に証明証収集情報を取得することで、自分の証明証を検証するために必要な上位の階層の証明証(Cert_CA3a)D303a、(Cert_CA2a)D302a、(Cert_CA1a)D301aを収集することが可能である。すなわち、UserAが、証明証(Cert_UserA)D304aの発行依頼の出力後、その発行を待っている待機状態において、証明証収集情報D502のみを証明証検証装置600に与える。
【0077】
図2に示したように、証明証検証装置600内の証明証パス解析部601は、証明証パス情報D603を、Cert_CA3_ID、RevInf_CA3a、Cert_CA2_ID、RevInf_CA2a、Cert_CA1_ID、evInf_CA1aと決定し、証明証検証装置600の外部から証明証Cert_CA3a、Cert_CA2a、Cert_CA1aを収集し、収集した証明証を検証用証明証D605として、証明証収集部602を経由して検証用証明証蓄積部603へ渡す。検証用証明証蓄積部603は、これらの証明証を内部に蓄積する。
【0078】
後に、証明証Cert_UserAを発行してもらった時点で、証明証検証用装置600に、同じ証明証収集情報と検証対象の証明証(Cert_UserA)を与える。証明証パス解析部601は、証明証パス情報をCert_CA3a_ID、Cert_CA2a_ID、Cert_CA1a_IDと決定し、この情報を証明証収集部602へ渡す。証明証収集部602は、受理した各IDを証明証識別子D606として、検証用証明証蓄積部603へ渡すと、Cert_CA3a、Cert_CA2a、Cert_CA1aを蓄積検証用証明証D607として受け取る。検証用証明証D607と検証対象証明証D601とを検証部605へ出力すると、実施の形態1の場合と同様に検証部605は動作する。
【0079】
以上のように、この実施の形態4によれば、検証対象の証明証の上位の階層の証明証を、前もって収集して検証用証明証蓄積部603内に蓄積しておくことで証明証の収集時間を無くすことができ、従って検証時間を削減でき、検証作業の効率化を図ることができる。即ち、証明証(Cert_UserA)D304aの検証時には、既に前もって、証明証検証装置600の内部に検証に必要な上位の階層に属する証明証の情報が記憶されているので、証明証パス解析部601が、証明証検証装置600の外部から証明証の情報を収集する場合と比較して、証明証の収集時間を無くすことができ、結果として検証時間を削減できる。
【0080】
実施の形態5.
実施の形態4では、検証対象の証明証の上位の階層の証明証をあらかじめ収集して検証用証明証蓄積部603内に蓄積しておくことで検証作業の効率化を図ったが、実施の形態5の公開鍵暗号運用システム内の証明証検証装置600では、検証済みの証明証を証明証検証装置600の内部に記憶しておくことで検証処理の効率化を図るものである。尚、実施の形態5の証明証収集情報生成装置500や証明証検証装置600を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態4のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0081】
次に動作について説明する。
実施の形態1で示した動作が終了すると、図2に示すように、検証済み証明証蓄積部604内部には、証明証Cert_CA3a、Cert_CA2a、Cert_CA1aが格納されている。認証局(CA3a)E303aが発行したUserXの証明証Cert_UserXをUserAが検証しようとした場合、証明証検証装置600へ、検証対象証明証D601としてCert_UserX、図3に示した証明証収集情報D502として与える。
【0082】
証明証パス解析部601は、Cert_CA3a_ID、RevInf_CA3a、Cert_CA2a_ID、RevInf_CA2a、Cert_CA1a_ID、RevInf_CA1aを連結した証明証パス情報D603を生成し、証明証収集部602へ出力する。これにより、証明証収集部602は、検証済み証明証蓄積部604へ、証明証識別子D608としてCert_CA3a_ID、Cert_CA2a_ID、Cert_CA1a_IDを出力する。
【0083】
証明証収集部602は、検証済み証明証蓄積部604内で記憶されている検証済みの証明証Cert_CA3a、Cert_CA2a、Cert_CA1aを蓄積検証済み証明証D609として受け取る。次に、検証部605は、証明証収集部602から検証済み証明証と検証対象証明証とを受け取り、検証対象の証明証であるCert_UserXの検証を行うが、Cert_UserXのすぐ上位の階層の証明証であるCA3aの証明証Cert_CA3aが、検証済み証明証として得られるので、Cert_CA3aを信頼できる情報とみなす。従って、証明証Cert_CA3aのみを利用して、Cert_UserXの検証を行うのみで、検証結果D612と、検証済み証明証(Cert_UserX)D611を外部へ出力する。以降の動作は実施の形態1で説明した動作と同様に行う。
【0084】
以上のように、この実施の形態5によれば、検証済み証明証蓄積部604内に既に検証した検証済みの証明証を記憶させているので、証明証パス解析部601が実行する証明証のパスの検証を短縮化でき、従って検証作業の効率化を図ることができる。
【0085】
実施の形態6.
実施の形態6では、実施の形態4および実施の形態5の公開鍵暗号運用システムで説明した検証の効率化を、実施の形態3の公開鍵暗号運用システムに適用した例を説明する。尚、実施の形態6の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態5のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0086】
次に動作について説明する。
実施の形態3では、図2に示した証明証収集部602は、証明証パス情報D603内に含まれる証明証のIDで識別される検証用証明証D605を外部から収集したが、実施の形態6では、検証済み証明証蓄積部604、検証用証明証蓄積部603および証明証検証装置600の外部からの順で検証用証明証を収集し、検証部605へ、各々、蓄積検証済み証明証D609、蓄積検証用証明証D607、検証用証明証D605として渡す。
【0087】
検証部605は、Cert_UserB,Cert_CA3b,Cert_CA2b’,Cert_CA2a,Cert_CA1aの順番に検証を行う。証明証Cert_CA2aは、実施の形態1で説明した動作を実施した時点で、検証済み証明証蓄積部604の内部に格納されており、この証明証Cert_CA2aは、蓄積検証済み証明証D609内に含まれている情報なので信頼できる情報とみなし、証明証Cert_CA2aを利用して証明証Cert_UserB、Cert_CA3b、Cert_CA2b’を検証した時点で、証明証パスの検証が終了し、検証結果D612と、検証済み証明証(Cert_UserB、Cert_CA3b、Cert_CA2b’)D611を外部へ出力する。その後は、実施の形態3の場合と同様に動作する。
【0088】
以上のように、この実施の形態6によれば、他領域の証明証を検証する場合でも、証明証検証装置600内の検証用証明証蓄積部603、検証済み証明証蓄積部604が、検証用証明証D605、蓄積検証済み証明証D609をそれぞれ記憶するので証明証のパスの検証を短縮化でき、検証作業をさらに効率化することができる。
【0089】
実施の形態7.
実施の形態1から実施の形態6においては、各認証局が失効管理をしない環境下で証明証の正当性を上位の証明証を用いてチェックしたが、実施の形態7では、失効管理方式であるX.509のCertificate Revocation List(CRL)方式に代表される失効情報を、検証者がチェックして失効を確認する環境下の検証装置に関して説明する。尚、実施の形態7の説明では、便宜上、失効管理方式をCRL方式とする。尚、実施の形態7の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0090】
次に動作について説明する。
図2に示す証明証検証装置600内の検証部605において、各証明証をチェックする毎に、証明証と証明証識別子、証明証パス情報に含まれるその証明証を発行している認証局の失効確認手段を連結した情報D621を失効情報管理部606へ送信すると、失効情報管理部606は受信した情報D621内の失効確認手段に含まれる失効管理の方法がCRL方式であると判断し、同じく含まれている失効情報の配布場所を失効情報発行者情報D622として参照し、外部の認証局等から失効情報D623を収集し、証明証識別子と共に蓄積失効情報D624として蓄積する。
【0091】
例えば、証明証(Cert_CA3a)D303aの失効を確認したい場合は、この証明証(Cert_CA3a)D303aを発行している認証局は(CA2a)E302aなので、失効確認手段を含む証明証収集情報内のRevInf_CA2aを参照する。従って、情報D621は、Cert_CA3a、Cert_CA3a_ID、RevInf_CA2aが連結した情報を含むものとなる。
【0092】
加えて、失効情報管理部606は、検証部605への応答として、蓄積された失効情報である蓄積失効情報D624を返信する。検証部605は、蓄積失効情報D624を参照し、その内部に署名が付加されているかをチェックし、署名が付加されている場合は、署名のチェックを行い、有効期限等の項目をチェックして、正当性を検証した上で、既に説明した各実施の形態1から実施の形態6における各証明証の検査に加え、失効状態を確認する。検証部605は、蓄積失効情報D624を検証した後、失効情報管理部606へ、検証済み失効情報と証明証識別子とを含む情報D625を返信する。失効情報管理部606は、検証部605から送信された検証済み失効情報と証明証識別子を含む情報D625を受信し蓄積する。
【0093】
以上のように、この実施の形態7によれば、失効管理がCRL方式に代表される失効情報を検証者がチェックして失効を確認する形式において、検証部605が証明証を検証する場合は、検証している証明証ごとに該当する失効情報を失効情報管理部606を経由して外部から取得し、外部から収集し正当性を検証した失効情報を、失効情報管理部606内に証明証識別子とともに蓄積することで、他の証明証の検証時に、検証済みの失効情報が失効管理部に蓄積されている場合はこれを利用して、失効管理を効率よく実施できる。
【0094】
実施の形態8.
実施の形態7の実施例においては、失効管理がCRL方式に代表される失効情報を検証者がチェックして失効を確認する形式の場合を説明したが、認証局等が、証明証や証明証の識別子を受信して失効状態のチェックを行う方式に基づく証明証検証装置について説明する。実施の形態8に関する以下の説明では、失効状態のチェックを行う方式が、問い合わせ方式である場合について説明する。尚、実施の形態8の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0095】
図2に示す証明証検証装置600内の検証部605において、各証明証をチェックする毎に、証明証と証明証識別子、証明証パス情報に含まれる失効確認手段を連結して情報D621を作成し、失効情報管理部606へ送信すると、失効情報管理部606は、情報D621内の失効確認手段に含まれる、失効管理の方法を問い合わせ方式として判断する。
【0096】
失効情報管理部606は、失効確認手段に含まれる問い合わせ先の情報と証明証又は証明証識別子とを連結し、証明証情報D627として利用し、外部の認証局等に失効の検査を問い合わせる。その結果、外部の認証局等から失効チェック結果D628を受信し、受信した失効チェック結果D628を証明証識別子と共にD629として蓄積する。
【0097】
失効情報管理部606は、応答として検証部605へ、蓄積された失効チェック結果である蓄積失効チェック結果D629を送信する。検証部605は、蓄積失効チェック結果D629を受信して、既に説明した実施の形態1から実施の形態6で実行される証明証の検査に加えて、蓄積失効チェック結果D629内の失効状態を確認する。
【0098】
以上のように、この実施の形態8によれば、失効管理が問い合わせ方式に代表される失効情報を検証者がチェックして失効を確認する形式において、失効確認手段内に含まれる問い合わせ先の情報と証明証又は証明証識別子とを連結し、証明証情報D627として外部の認証局等に失効の検査を問い合わせ、外部の認証局等から失効チェック結果D628を受信してを証明証識別子と共に、D629として内部へ蓄積するので、他の証明証の検証時に、D629が失効情報管理部606に蓄積されている場合はこれを利用して、失効管理を効率よく実施できる。
【0099】
実施の形態9.
実施の形態7の公開鍵暗号運用システムでは、検証部605は証明証を検証する際に、検証している証明証毎に該当する失効情報を失効情報管理部606を経由して外部から取得していた。実施の形態9の公開鍵暗号運用システム内の証明証検証装置では、証明証パスの情報のみを利用して失効情報発行者情報D622を生成し、必要な失効情報D623を集めるものである。尚、実施の形態9の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0100】
次に動作について説明する。
証明証パス情報D603内には失効確認手段が含まれており、この失効確認手段内には失効情報の配布先が含まれている。従って、実施の形態4の証明証検証装置600の様に、証明証パス情報D603を利用することで証明証収集部602が証明証の内容を調べる動作の実行なしに必要な証明証を収集できた例と同様に、証明証パス情報D603のみを利用することで、失効情報発行者情報D622を生成でき、必要な失効情報を集めることができる。この様にして収集した失効情報を失効情報管理部606内に蓄積し、蓄積失効情報D624として検証部605へ提供する。
【0101】
以上のように、この実施の形態9によれば、証明証パス情報D603を利用して失効情報発行者情報D622を生成し、必要な失効情報を収集するので、一度で失効情報を収集でき、結果として処理時間を短縮できる。又、検証を行う前に前もって収集しておくことができ、この場合も検証に要する処理時間を短縮できる。
【0102】
実施の形態10.
実施の形態8の証明証検証装置では、検証部605は証明証を検証する際に、検証している証明証毎に失効チェック結果を失効情報管理部606を経由して外部から取得していたが、実施の形態10の公開鍵暗号運用システム内の証明証検証装置では、証明証パス情報D603の失効確認手段内にある失効の問い合わせ先の証明証識別子を用いて証明証情報D627を生成し失効チェック結果D628を集めるものである。尚、実施の形態10の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。
【0103】
次に動作について説明する。
証明証パス情報D603内には失効確認手段が含まれており、失効確認手段の中には失効の問い合わせ先が含まれている。従って、実施の形態9の証明証検証装置600の様に、証明証パス情報D603のみを利用して、その中に含まれる証明証識別子を用いて証明証情報D627を生成し、失効チェック結果D628を集める。この様にして集めた失効チェック結果D628を失効情報管理部606内に蓄積し、蓄積失効チェック結果D629として検証部605へ提供する。
【0104】
以上のように、この実施の形態10によれば、証明証パス情報D603内の、証明証識別子を用いて証明証情報D627を生成し、失効チェック結果D628を集め、得られた失効チェック結果D628を失効情報管理部606内に蓄積し、検証部605へ提供するので、一度で、失効チェック結果D628を収集でき、検証に要する処理時間を短縮できる。また、検証を行う前に前もって収集しておくことができ、この場合も検証に要する処理時間を短縮できる。
【0105】
実施の形態11.
実施の形態7の証明証検証装置では、外部から収集し正当性を検証した失効情報D623を、失効情報管理部606内に証明証識別子とともに蓄積することで、他の証明証の検証時に、検証済みの失効情報が失効情報管理部606内に蓄積されている場合はこれを利用するものであったが、実施の形態11の証明証収集情報生成装置および証明証検証装置を含む公開鍵暗号運用システムでは、失効情報が更新される頻度が低い場合には、このように失効情報管理部606内に蓄積された検証済み失効情報を利用する。
【0106】
以上のように、この実施の形態11によれば、失効情報管理部606内に蓄積された検証済み失効情報を蓄積して利用するので、外部から失効情報を収集する必要が無くなり、かつ、蓄積されている失効情報の正当性の検証は既に済んでいるので、その分、検証動作の処理時間を短縮できる。
【0107】
実施の形態12.
実施の形態8の証明証検証装置では、検証部605は証明証を検証する際に、検証している証明証毎に失効チェック結果を失効情報管理部606を経由して外部から取得していたが、実施の形態12の証明証収集情報生成装置および証明証検証装置を含む公開鍵暗号運用システムでは、失効情報管理部606内に失効チェック結果を証明証識別子とともに蓄積することで、他の証明証の検証時において、失効チェック結果が失効情報管理部606内に蓄積されている場合は、これを利用する。
【0108】
以上のように、この実施の形態12によれば、認証局等が保持する失効に関する情報が更新される頻度が低い場合、失効情報管理部606内に蓄積された失効チェック結果を利用するので、証明証検証装置600の外部からこの失効チェック結果を収集する必要が無くなり、その分処理時間を短縮できる。
【0109】
【発明の効果】
以上のように、この発明によれば、証明証収集情報生成装置は証明証パス登録情報登録部および証明証収集情報生成部を備えるように構成したので、証明証の収集と、失効を確認する手段を含んだ情報である証明証収集情報を生成することができ、この証明証収集情報は、証明証の識別子等、小さいサイズの情報の記載のみで構成されており、全体の情報のサイズは、証明証パス上の証明証、失効情報を配列した従来で用いられている情報のサイズと比較して小さいサイズにすることができ、送受信に必要な時間を短縮することができ、結果として検証時間を短縮できるという効果がある。
【0110】
この発明によれば、証明証検証装置は、証明証収集情報を入力し証明証パス情報を生成する証明証パス解析部と、証明証の識別子を用いて証明証パス上の証明証の内容を調べること無く外部から検証用証明証を収集する証明証収集部と、検証用証明証を蓄積する検証用証明証蓄積部と、検証結果および検証に成功した検証済み証明証、および証明証パス情報を記憶させる指示命令を出力する検証部と、失効確認手段を受け取り、失効に関する情報を外部から取得し蓄積した上で提供する失効情報管理部と、検証済み証明証を記憶する検証済み証明証蓄積部と、証明証パス情報を記憶する信用証明証パス情報蓄積部とを備えるように構成したので、例えば、検証する証明証を証明証検証装置に入力すると、証明証の内容を調べること無く、外部から上位の証明証を収集可能であり、従来の方式と比較した場合、収集時間を短縮でき、結果として検証時間を短縮できるという効果がある。
【0111】
この発明によれば、証明証パス解析部が、同一の認証局が発行する証明証に対して生成された複数の異なる証明証収集情報を入力した場合、入力した前記複数の異なる証明証収集情報と、信用証明証パス情報蓄積部内に記憶されている証明証パス情報とを比較して、証明証パスを決定するように構成したので、ある領域の認証局が、他の領域の認証局に証明証を発行している環境において、他の領域の認証局の証明証のパスにおいて、他の領域の認証局に証明証を発行している認証局が保持する証明証へとつながる証明証のパス情報が、証明証収集情報として公開されていれば、他領域の証明証を検証する場合に、証明証検証装置内の証明証パス解析部が、この証明証収集情報を利用し、複数存在する証明証のパスを一意に決定でき、検証時間を削減できるという効果がある。
【0112】
この発明によれば、証明証収集部が、証明証パス情報に従って検証用証明証蓄積部内に記憶されている検証用証明証の中から、証明証パス情報で識別可能な証明証を検索し、検証用証明証蓄積部内に存在しない検証用証明証を外部から得ることで、証明証収集時間を短縮するように構成したので、検証する証明証の発行認証局が分かっている場合は、検証対象の証明証の検証に先立ち、その認証局が生成を依頼した証明証収集情報を証明証検証装置に入力し、前もって上位の階層の証明証を収集して内部に蓄積し、検証対象の証明証の検証時には、蓄積された上位証明証を利用することができ、結果として、検証のための情報を収集動作をなくし、検証時間を削減できる効果がある。
【0113】
この発明によれば、証明証収集部が、証明証パス情報に従って検証済み証明証蓄積部内に記憶された検証済み証明証の中から、証明証パス情報で識別される証明証を検索し、証明証が検証済み証明証蓄積部内に存在しない場合は、検証用証明証蓄積部内に記憶されている検証用証明証を検索し、証明証が前記検証用証明証蓄積部内に存在しない場合、外部から前記証明証を得るようにして、証明証収集時間を短縮し、かつ、検証済み証明証から証明証パス情報で識別される証明証を収集した場合は、その検証済み証明証を信頼し、証明証パスにおいて、検証対象の証明証からその検証済み証明証に至るまでの証明証の検証のみを実行するように構成したので、例えば、過去に検証した証明証を証明証検証装置内部に蓄積し、別の証明証を検証する場合に、上位の階層の検証済みの証明証が内部に記憶されており証明証パス解析部が、これを利用することで証明証のパスの検証作業に必要とされる時間を短縮できるという効果がある。
【0114】
この発明によれば、検証部が、証明証パス情報をチェックし証明証の失効を検査するための失効確認手段において失効管理の有無を示す情報を調べ、無いと示されている場合、失効に関する検査の必要性が無いと判断し、失効に関する検査を省略するように構成したので、証明証収集情報に含まれる認証局の失効確認手段を参照して証明証の失効管理の有無を調べることができ、失効管理を行っていない場合は、失効管理を省いた検証を行うことが可能であり、検証時間を短縮できる効果がある。
【0115】
この発明によれば、証明証の失効情報を外部から得る場合に、失効情報管理部が、検証部との間で情報の授受を行うこと無く、証明証パス情報を利用して失効に関する情報の収集を行うように構成したので、証明証収集情報に含まれる認証局の失効確認手段を参照することで、あらかじめ一度に証明証に関する失効のみを検査することも可能になり、実際の証明証の検証時間を短縮できる効果がある。
【0116】
この発明によれば、失効情報管理部が、検証部が受理した失効に関する失効情報に関して検査を行う際に、失効情報を受け取り、検査済みの失効情報として内部に蓄積し、次回に検証部から失効に関する失効情報の出力を要求された場合、あるいは、証明証パス情報を受け取りその中に含まれる失効確認手段と、既に蓄積した失効に関する失効情報とを比較し、両者が一致した場合は、蓄積された失効に関する前記失効情報を前記検証部へ渡すように構成したので、例えば、具体的には、一度検証した失効をチェックするための情報や、失効をチェックした結果を内部に蓄積しているため、他の証明証を検証する場合に蓄積されたこれら情報を参照することで、外部から収集する時間を削除できる効果がある。特に、認証局が失効管理を行う頻度が低い場合は有効である。
【0117】
この発明によれば、公開鍵暗号運用システムが、各証明証を発行する複数の認証局と、この発明の証明証収集情報生成装置と、複数のこの発明の証明証検証装置とを備え、複数の認証局が他の認証局またはエンドエンティティに証明証を発行し、証明証検証装置の各々が、証明証収集情報生成装置から出力された証明証収集情報を入力し、複数の認証局から発行された証明証を検証するように構成したので、証明証検証装置の各々が検証に必要とする時間を短縮でき、システム全体を効率的に運用できるという効果がある。
【図面の簡単な説明】
【図1】 この発明の実施の形態1による証明証収集情報生成装置を示すブロック図である。
【図2】 この発明の実施の形態1による証明証検証装置を示すブロック図である。
【図3】 図1および図2に示した実施の形態1の証明証収集情報生成装置および証明証検証装置からなる公開鍵暗号運用システムの構成を示す説明図である。
【図4】 この発明の実施の形態2による証明証収集情報生成装置および証明証検証装置からなる公開鍵暗号運用システムの構成を示す説明図である。
【図5】 証明証検証装置における、証明証パス解析部の動作を示すフローチャートである。
【図6】 従来の証明証の検証方式の一例を示す説明図である。
【図7】 図6に示した従来の検証方式で用いられる各証明証の構成を示す説明図である。
【図8】 認証局がX.509のCertificate Revocation List(CRL)を発行している場合を示す説明図である。
【図9】 失効の有無のチェックをCRLを用いる代わりに、直接に認証局へ問い合わせる方式を示す説明図である。
【図10】 領域A,Bにおける各ユーザの所属する認証局の関係を示す説明図である。
【図11】 図10に示す2つの領域A,B内での証明証の検証の流れを示す説明図である。
【符号の説明】
500 証明証収集情報生成装置、510 証明証パス登録情報登録部、520 証明証収集情報生成部、600 証明証検証装置、601 証明証パス解析部、602 証明証収集部、603 検証用証明証蓄積部、604 検証済み証明証蓄積部、605 検証部、606 失効情報管理部、607 信用証明証パス情報蓄積部。

Claims (9)

  1. 証明証パス登録情報を入力して記憶する証明証パス登録情報登録部と、
    前記証明証パス登録情報登録部から出力された前記証明証パス登録情報に含まれる証明証パス情報登録識別子を、証明証収集情報識別子とエンティティの識別子で置換した証明証収集情報を生成する証明証収集情報生成部とを備え、
    前記証明証パス登録情報は、検証対象証明証を発行する第1の認証局の識別子と、前記検証対象証明証の検証に必要な検証用証明証の識別子と、前記検証用証明証の失効管理に関する情報と、前記証明証パス登録情報を示す証明証パス情報登録識別子とを連結して生成された情報であり、
    前記証明証収集情報識別子は、前記証明証収集情報を示す識別子であり、
    前記エンティティの識別子は、証明証パス登録情報登録部と証明証収集情報生成部とを含む実体の識別子であることを特徴とする証明証収集情報生成装置。
  2. 入力した証明証収集情報から、検証対象証明証の検証に必要な検証用証明証の識別子と前記検証用証明証の失効管理に関する情報とを抽出し、証明証パス情報を生成する証明証パス解析部と、
    前記証明証パス解析部から出力された前記証明証パス情報に基づいて前記検証対象証明証を収集する証明証収集部と、
    前記証明証パス解析部から出力された前記証明証パス情報と、前記証明証収集部が収集した前記検証用証明証と、前記検証対象証明証とを入力し、前記検証用証明証の各項目及び失効状態を検証することにより、前記検証対象証明証を検証する検証部とを備えた証明証検証装置。
  3. 前記証明証パス解析部が出力した前記証明証パス情報を記憶する信用証明証パス情報蓄積部を備え、
    前記証明証パス解析部は、前記検証対象証明証に関する複数の証明証収集情報が入力された場合、入力された前記複数の証明証収集情報と、前記信用証明証パス情報蓄積部内に記憶されている前記証明証パス情報とを比較することを特徴とする請求項2記載の証明証検証装置。
  4. 前記検証用証明証を記憶する検証用証明証蓄積部を備え、
    前記証明証収集部は、前記証明証パス情報に基づいて、前記検証用証明証蓄積部から前記検証用証明証を検索して収集することを特徴とする請求項2記載の証明証検証装置。
  5. 検証済みの証明証を記憶する検証済み証明証蓄積部を備え、
    前記証明証収集部は、証明証パス情報に基づいて、前記検証済み証明証蓄積部から検証済みの前記検証用証明証を検索して収集し、
    前記検証部は、検証済みの前記検証用証明証は認証し、未検証の前記検証用証明証のみ検証することにより、前記検証対象証明証を検証することを特徴とする請求項2記載の証明証検証装置。
  6. 前記検証部は、前記検証用証明証の失効管理に関する情報が示す失効管理の有無に基づいて、前記検証用証明証の失効状態を検証することを特徴とする請求項2記載の証明証検証装置。
  7. 前記証明証パス解析部から出力された証明証パス情報に基づいて、前記検証用証明証の失効情報を収集する失効情報管理部を備えたことを特徴とする請求項2記載の証明証検証装置。
  8. 前記失効情報管理部は、収集した前記検証用証明証の前記失効情報を蓄積し、前記検証部が前記検証用証明証の失効管理に関する情報を検証する場合に、蓄積した前記検証用証明証の前記失効情報を前記検証部に対して出力することを特徴とする請求項7記載の証明証検証装置。
  9. 前記検証対象証明証を発行する前記第1の認証局と、
    前記検証用証明証を発行する第2の認証局と、
    請求項1記載の証明証収集情報生成装置と、
    請求項2から請求項8のうちのいずれか1項記載の証明証検証装置とを備え、
    前記証明証検証装置は、前記証明証収集情報生成装置から出力された前記証明証収集情報を入力し、前記第2の認証局が発行する前記検証用証明証を検証することにより、前記第1の認証局が発行する前記検証対象証明証を検証することを特徴とする公開鍵暗号運用システム。
JP17511498A 1998-06-22 1998-06-22 証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム Expired - Fee Related JP3801782B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP17511498A JP3801782B2 (ja) 1998-06-22 1998-06-22 証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP17511498A JP3801782B2 (ja) 1998-06-22 1998-06-22 証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム

Publications (2)

Publication Number Publication Date
JP2000010477A JP2000010477A (ja) 2000-01-14
JP3801782B2 true JP3801782B2 (ja) 2006-07-26

Family

ID=15990524

Family Applications (1)

Application Number Title Priority Date Filing Date
JP17511498A Expired - Fee Related JP3801782B2 (ja) 1998-06-22 1998-06-22 証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム

Country Status (1)

Country Link
JP (1) JP3801782B2 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001285282A (ja) * 2000-03-30 2001-10-12 Mitsubishi Electric Corp 認証方式
WO2002101580A1 (en) 2001-06-12 2002-12-19 Research In Motion Limited Certificate management and transfer system and method
US7254712B2 (en) 2001-06-12 2007-08-07 Research In Motion Limited System and method for compressing secure e-mail for exchange with a mobile data communication device
EP1410296A2 (en) 2001-06-12 2004-04-21 Research In Motion Limited Method for processing encoded messages for exchange with a mobile data communication device
EP1410601B1 (en) 2001-07-10 2017-02-08 BlackBerry Limited System and method for secure message key caching in a mobile communication device
DE60229645D1 (de) 2001-08-06 2008-12-11 Research In Motion Ltd Verfahren und vorrichtung zur verarbeitung von kodierten nachrichten
JP5018849B2 (ja) * 2002-06-12 2012-09-05 株式会社日立製作所 Crl発行通知機能付き認証基盤システム
US7523310B2 (en) * 2002-06-28 2009-04-21 Microsoft Corporation Domain-based trust models for rights management of content
JP4698219B2 (ja) * 2002-07-18 2011-06-08 イーオリジナル インコーポレイテッド 認定された文書の電子的送信、保存および読み出しシステム並びに方法
KR100453685B1 (ko) * 2002-11-05 2004-10-20 한국전자통신연구원 루트키 검증과 시알엘 선행 검증을 포함하는 변형된인증경로 검증장치및 방법
JP2004266652A (ja) * 2003-03-03 2004-09-24 Nippon Telegr & Teleph Corp <Ntt> 電子証明書の失効情報作成装置、方法、プログラム及び記録媒体、電子証明書の失効情報作成システム、並びに電子証明書の失効検証装置、方法、プログラム及び記録媒体
JP2007511983A (ja) * 2003-11-19 2007-05-10 コアストリート、 リミテッド 分散委任されたパス発見及び検証
JP4543789B2 (ja) * 2004-07-08 2010-09-15 株式会社日立製作所 トランザクションに基づく証明書検証情報管理方法
US9094429B2 (en) 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
US7716139B2 (en) 2004-10-29 2010-05-11 Research In Motion Limited System and method for verifying digital signatures on certificates
JP4667921B2 (ja) * 2005-03-24 2011-04-13 三菱電機株式会社 検証装置及び通信システム及びトラストストア管理装置及びトラストストア監視装置
US8340289B2 (en) 2005-09-29 2012-12-25 Research In Motion Limited System and method for providing an indication of randomness quality of random number data generated by a random data service
US7814161B2 (en) 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
JP5130722B2 (ja) * 2007-01-19 2013-01-30 セイコーエプソン株式会社 認証装置及び方法
WO2009052524A2 (en) * 2007-10-20 2009-04-23 Penango, Inc. Methods and systems for indicating trustworthiness of secure communications
JP5452099B2 (ja) * 2009-07-01 2014-03-26 株式会社日立製作所 証明書の有効性確認方法、証明書検証サーバ、プログラム及び記憶媒体
JP5346111B2 (ja) * 2012-07-24 2013-11-20 株式会社日立製作所 検証サーバ、プログラム及び検証方法

Also Published As

Publication number Publication date
JP2000010477A (ja) 2000-01-14

Similar Documents

Publication Publication Date Title
JP3801782B2 (ja) 証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム
EP1185027B1 (en) Certificate validity authentication method and apparatus
US8380985B2 (en) Certificate validation method and certificate validation server and storage medium
US8516245B2 (en) Method, product and apparatus for accelerating public-key certificate validation
US8635449B2 (en) Method of validation public key certificate and validation server
EP1287637B1 (en) Method and apparatus for self-authenticating digital records
JP5576985B2 (ja) 署名に用いる暗号アルゴリズムの決定方法、検証サーバおよびプログラム
US7290133B1 (en) Method and apparatus improving efficiency of end-user certificate validation
US8176316B2 (en) Validation server, validation method, and program
CN112311772B (zh) 基于Hyperledger的跨域证书管理系统及方法
JP3971890B2 (ja) 署名検証支援装置、署名検証支援方法、及び電子署名検証方法
JP2007515890A (ja) デジタル証明書を生成するためのシステムおよび方法
KR100844436B1 (ko) 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템
JP5448892B2 (ja) 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法
JP2003348077A (ja) 属性証明書検証方法および装置
JP3543618B2 (ja) 失効情報検証方式
CN115021930B (zh) 一种基于资源公钥基础设施区块链的路由器证书颁发方法
JP4157751B2 (ja) コンテンツ流通システム、流通管理サーバ装置、付加情報参照ユーザ端末装置、プログラム及び記録媒体
JP2022151190A (ja) 業務監査支援システム及び業務監査支援方法
JP2005159463A (ja) Pki認証システムにおける代替証明書発行・検証システム
WO2023145027A1 (ja) 検証支援方法、検証支援プログラム、および情報処理装置
JP3920698B2 (ja) 公開鍵証明書情報検証方法および装置
TWI475865B (zh) PKI authentication service system and method
JP2001285282A (ja) 認証方式
JP2003058050A (ja) 検証処理方法及びその実施システム並びにその処理プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060328

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060426

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120512

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120512

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130512

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140512

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees