JP3754342B2 - 公開鍵証明書の有効性検証システム - Google Patents
公開鍵証明書の有効性検証システム Download PDFInfo
- Publication number
- JP3754342B2 JP3754342B2 JP2001331945A JP2001331945A JP3754342B2 JP 3754342 B2 JP3754342 B2 JP 3754342B2 JP 2001331945 A JP2001331945 A JP 2001331945A JP 2001331945 A JP2001331945 A JP 2001331945A JP 3754342 B2 JP3754342 B2 JP 3754342B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- public key
- verification
- revocation list
- certificate revocation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
【発明の属する技術分野】
本発明は、公開鍵暗号を利用するシステムに関し、特に電子文書に付与された署名に対応する公開鍵証明書の有効性を検証するシステムに関する。
【0002】
【従来の技術】
通常、電子文書に付与された署名に対応する公開鍵証明書の有効性を検証するシステムは、認証システムが発行し、その後失効した公開鍵証明書の無効化情報を記載した最新の公開鍵証明書失効リストを参照し、対象となる公開鍵証明書のシリアル番号の記載の有無を元に、公開鍵証明書発行時に設定された公開鍵証明書の有効期間内の特定日時における有効性を報告するというものである。公開鍵証明書失効リストとは職務の変更や公開鍵に対応する私有鍵(秘密鍵)漏洩の疑いなどの理由により失効した公開鍵証明書のシリアル番号、失効日時などの無効化情報が記載されているものである。
【0003】
図1を参照して従来の技術による公開鍵証明書の有効性検証手順を説明する。
検証の対象公開鍵証明書の有効期間は図1に示すものとする。対象公開鍵証明書が上記理由等により有効期間内の失効日時において失効したとすると、公開鍵証明書のシリアル番号、失効日時などの無効化情報が周期的に発行されている最初の証明書失効リスト▲1▼に記載される。検証依頼者は、対象公開鍵証明書の有効期間内の現在日時において、証明書失効リストを検索することにより有効期間内の特定日時における対象証明書の失効の有無を確認する。
【0004】
【発明が解決しようとする課題】
従来の技術の問題点は、対象となる公開鍵証明書が有効期限切れとなった場合、最新の公開鍵証明書失効リストを参照しても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告することができない可能性があることである。
その理由としてRFC2459を参照すると、"An entry may be removed from the CRL after appearing on one regularly scheduled CRL issued beyond the revoked certificate's validity period."という記述があり、認証システムは、失効された対象となる公開鍵証明書が有効期限切れとなった後に、最初に発行する公開鍵証明書失効リストには、その公開鍵証明書のシリアル番号、失効日時などの無効化情報を記載していることを保証しているものの、その次以降に発行する公開鍵証明書失効リストへの記載は保証していないことが挙げられる。
【0005】
次に図2を参照して発明が解決しようとする課題について説明する。
対象証明書の有効期間、失効日時は図に示すものとする。検証依頼者は、対象公開鍵証明書の有効期間以後の現在日時において、証明書失効リスト▲3▼を検索することにより有効期間内の特定日時における対象証明書の失効の有無を確認する。この際において上記記載の理由により対象公開鍵証明書が有効期限切れとなった後に、最初に発行する公開鍵証明書失効リスト▲2▼には無効化情報が記載されるが次に発行される公開鍵証明書失効リスト▲3▼には無効化情報が記載されない可能性がある。従って、図2に記載の現在日時において特定日時における公開鍵証明書の失効の有無を確認できない可能性がある。
本発明の目的は、対象となる公開鍵証明書が有効期限切れとなり、その無効化情報の最新の公開鍵証明書失効リストへの記載が保証されない状況にあっても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告することを可能とする手段を備えた公開鍵証明書の有効性検証システムを提供することにある。
【0006】
【課題を解決するための手段】
上記課題を解決するために、本発明の公開鍵証明書の有効性検証システムは、認証システムが周期的に発行する公開鍵証明書失効リストを継続的に取得し、保管する公開鍵証明書失効リスト管理手段と、保管してある公開鍵証明書失効リスト群の中から、公開鍵証明書の有効期間内の特定日時の直後に発行された公開鍵証明書失効リストを検索することによって、対象となる公開鍵証明書の有効期間内の特定日時における公開鍵証明書の失効の有無を確認し、報告する手段である公開鍵証明書有効性確認手段を備え、対象となる公開鍵証明書が有効期限切れとなり、その無効化情報の最新の公開鍵証明書失効リストへの記載が保証されない状況にあっても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告するように動作する。
【0007】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
図3に公開鍵証明書の有効性検証システムが適用されるシステム構成を示す。このシステムは、公開鍵証明書の有効性検証システム1と証明書失効リスト2−1を有する認証システム2及び検証依頼者端末3を回線により接続して構成する。検証システム1は、証明書失効リスト管理手段1−1と証明書有効性確認手段1−2とから構成される。
なお、検証システムは、CPUやメモリ等を有するコンピュータと利用者端末と記録媒体とから構成することができる。記録媒体はCD−ROM、半導体メモリ等の機械読み取り可能な記録媒体であり、ここに記録された制御用プログラムはコンピュータに読み取られ、前述の構成要素を実現する。
【0008】
次に、図4の処理の流れ図を参照して本実施の形態の全体の動作について詳細に説明する。
(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システムは、認証システムが周期的に発行している証明書失効リストを取得する。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リストが、確かに認証システムが発行したものであるかを確認し、保管する。検証システムは、(1)から(2)の処理を任意のタイミングで継続的に実行することにより、証明書有効性確認手段1−2の実現に必要な証明書失効リストを管理する。
【0009】
(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、検証依頼者端末3を用いて対象となる公開鍵証明書が有効期間内の特定日時において有効であったか否かの検証を検証システムに対して依頼するために、検証に必要な情報を含んだ申請書を作成し、検証システムへ送付する。
(4)申請書の受信処理
検証システムは、(3)で送付された申請書を受理する。
(5)証明書失効リストの検索処理
検証システムは、(4)で取得した申請書に含まれる情報を元にして、証明書失効リスト管理手段1−1によって保管されている証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認する。
(6)報告書の送信処理
検証システムは、(5)で確認した情報を元に検証結果報告書を作成し、検証依頼者(検証依頼者端末3)へ送付する。
(7)報告書の受信処理
検証依頼者は、(6)で送付された検証結果報告書を受理する。
以上により、検証システムは、検証依頼者に対して、対象となる証明書が有効期限切れとなり、その無効化情報の最新の証明書失効リストへの記載が保証されない状況(すなわち、図2の現在日時)にあっても、その証明書が有効期間内の特定日時において有効であったか否かを報告する。
次に、図5および図6を参照して証明書失効リスト管理手段、証明書失効リストの検索処理の機能、構成を説明する。
【0010】
(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システム1は、証明書失効リスト取得手段を用いて、認証システムが周期的に発行している証明書失効リストを取得する。
証明書失効リスト取得手段とは、認証システムが周期的に発行している証明書失効リストが存在するパスを入力して、証明書失効リストを取得するものであり、認証システムが一般に保持しているディレクトリからの証明書失効リストの取得技術などによって実現可能である。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リストが、確かに認証システムが発行したものであるかを、電子署名検証手段を用いて、確認した後、証明書失効リスト保管手段に保管する。
電子署名検証手段とは、オンラインまたはオフラインでの配布手段により事前に入手可能な認証システムの公開鍵証明書に含まれる公開鍵と、電子署名および署名の生成対象である証明書失効リストを入力として、対象証明書失効リストに付与された電子署名が、確かに公開鍵証明書内に示された公開鍵の所有者である認証システムにより生成されたものであることを検証するものであり、既存の公開鍵暗号技術によって実現可能である。
証明書失効リスト保管手段とは、任意のタイミングで取得した証明書失効リストを証明書失効リスト内に記載された発行日時と共に二次記憶媒体へと保管し、また、証明書失効リストと同一の証明書失効リストが、二次記憶媒体に存在した場合は、証明書失効リストを保管しないものであり、コンピュータシステムが一般的に提供するファイル入出力機能を利用することによって実現可能である。
検証システムは、(1)から(2)の処理を、認証システムによる証明書失効リストの発行周期に応じて、任意のタイミングで継続的に実行することにより、証明書有効性確認手段1−2の実現に必要な証明書失効リストを管理する。また、継続的に実行するための手段のひとつとして、取得した証明書失効リストに記載されている次回更新日時を参照することが挙げられる。
【0011】
(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、対象となる証明書が有効期間内の特定日時において有効であったか否かの検証を検証システムに対して依頼するために、検証依頼者端末3の電子データ編集手段を用いて、検証に必要な情報を含んだ申請書を作成し、電子データ通信手段を用いて、検証システム1へ送付する。
電子データ編集手段とは、ここでは、検証依頼者の端末上で、検証対象である証明書のシリアル番号、有効期間、発行者のシリアル番号、または、証明書そのもの、および、検証対象日時を最低限含んだ申請書である電子ファイルを作成するものであり、コンピュータシステムが一般的に提供するエディタ機能やファイル読み込み機能を利用することにより実現可能である。
電子データ通信手段とは、検証依頼者の端末と検証システムの間で電子ファイルを送受信するものであり、コンピュータシステムが一般的に提供するファイル転送機能やファイル受信機能などを利用することによって実現可能である。
(4)申請書の受信処理
検証システムは、電子データ通信手段を用いて、(3)で送付された申請書を受理する。
(5)証明書失効リストの検索処理
ここで、図7を参照すると、検証システムは、証明書失効リスト検索手段を用いて、(4)で取得した申請書に含まれる情報を元にして、証明書失効リスト管理手段1−1によって保管されている証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認する。
【0012】
証明書失効リスト検索手段とは、以下(a)から(c)を実施することで、実現可能である。
(a)取得した申請書を解析し、検証対象である証明書のシリアル番号(SN:XXXX)、有効期間(8/1〜8/4)、発行者のシリアル番号(DN:YYYY)、検証対象日時(8/3)を取得する。ここで、申請書に証明書そのものが含まれていた場合には、証明書から証明書のシリアル番号、有効期間、発行者のシリアル番号を取得する。
(b)検証対象日時が、証明書の有効期間内に含まれることを確認する。ここで、有効期間内に含まれなかった場合には、検証者依頼者に検証対象日時エラーを返却し、証明書失効リストの検索処理を終了する。
(c)さらに、図8を参照すると、証明書のシリアル番号、発行者のシリアル番号、検証対象日時を検索キーにして、二次記憶媒体に保管されている証明書失効リスト群の中から、指定の発行者から発行された検証対象日時以降のもっとも近い発行日時を持つ証明書失効リスト(発行日時:8/5)を検索し、証明書のシリアル番号(SN:XXXX)の記載の有無を確認する。
【0013】
(6)報告書の送信処理
検証システムは、電子データ編集手段を用いて、(5)で確認した情報を元に検証結果報告書である電子ファイルを作成し、電子データ通信手段を用いて、検証依頼者へ送付する。
検証結果報告書には、検証対象日時が証明書の有効期間に含まれ、かつ、証明書失効リストに証明書のシリアル番号が記載されていなかった場合に、証明書が有効であることを記載し、また、検証対象日時が証明書の有効期間に含まれ、かつ、証明書失効リストに証明書のシリアル番号が記載されていた場合には、証明書が無効であることを記載する。また、検証対象日時の有効期間に含まれなかった場合には、申請書の検証対象日時が不正であることを記載する。
(7)報告書の受信処理
検証依頼者は、電子データ通信手段を用いて、(6)で送付された検証結果報告書を受理する。
以上により検証システムは、検証依頼者に対して、対象となる証明書が有効期限切れとなり、その無効化情報の最新の証明書失効リストへの記載が保証されない状況にあっても、その証明書が有効期間内の特定日時において有効であったか否かを報告することが可能となる。
【0014】
【発明の効果】
本発明は、対象となる証明書が有効期限切れとなり、その無効化情報が最新の証明書失効リストへの記載が保証されない状況であっても、その証明書が有効期間内の特定日時において有効であったか否かを報告することができる、公開鍵証明書の有効性検証システムを提供することができる。その理由として、検証システムは、認証システムが発行する証明書失効リストを取得し、保管するという処理を任意のタイミングで継続的に実行するように構成されているため、有効期間内の特定日時における証明書の有効性検証の依頼に対して、保管してある証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認し報告することができるためである。
【図面の簡単な説明】
【図1】従来の技術における公開鍵署名の有効性検証手順の説明図。
【図2】従来の技術における公開鍵署名の有効性検証手順の課題の説明図。
【図3】本発明が適用されるシステム構成図。
【図4】本発明を実現するための処理の流れ図。
【図5】本発明における証明書管理手段の構成、処理の流れ図。
【図6】本発明における証明書失効リストの検索処理手段の構成、処理の流れ図。
【図7】本発明における証明書失効リストの検索処理の説明図。
【図8】本発明における証明書失効リストの検索と証明書シリアル番号の確認の説明図。
【符号の説明】
1 検証システム
1−1 証明書失効リスト管理手段
1−2 証明書有効性確認手段
2 認証システム
3 検証依頼者端末
Claims (2)
- 認証システムが周期的に発行する証明書失効リストを用いて、検証対象となる公開鍵証明書がその有効期間内の任意の日時において有効であったか否かを報告する公開鍵証明書の有効性検証システムにおいて、
公開鍵証明書失効の無効化情報は、公開鍵証明書の有効期限切れ後の最初に発行される証明書失効リストに記載が保証されるが、以後に発行される証明書失効リストには記載が保証されないものであり、
前記証明書失効リストを継続的に取得して、この証明書失効リストを二次記憶媒体に保管する証明書失効リスト管理手段と、
検証依頼者端末から、検証対象となる公開鍵証明書がその有効期間の任意の検証対象日時において有効であったか否かの検証を依頼する電子データである申請書を受信する第1の電子データ通信手段と、
二次記憶媒体に保管してある証明書失効リスト群の中から、申請書を解析して得た検証対象日時の直後に発行された証明書失効リストを検索し、この証明書失効リストを用いて、検証対象日時における検証対象である公開鍵証明書の失効の有無を確認する証明書失効リスト検索手段と、
検証依頼者端末に上記確認の情報を報告する第2の電子データ通信手段と
を備えたことを特徴とする公開鍵証明書の有効性検証システム。 - 上記二次記憶媒体に保管されている証明書失効リストは、発行日時、公開鍵証明書のシリアル番号、有効期間、発行者のシリアル番号を含み、
上記第1の電子データ通信手段が、
検証依頼者端末から、検証対象となる公開鍵証明書のシリアル番号、有効期間、発行者のシリアル番号および検証対象日時からなる電子データである申請書、あるいは、検証対象となる公開鍵証明書そのものおよび検証対象日時からなる電子データである申請書を受信するものであり、
上記証明書失効リスト検索手段が、
申請書を解析して得た検証対象日時が公開鍵証明書の有効期間内に含まれることを確認し、次いで、検証対象となる公開鍵証明書のシリアル番号、発行者のシリアル番号、検証対象日時を検索キーとして二次記憶媒体に保管されている証明書失効リスト群の中から、検証対象日時以降のもっとも近い発行日時を持つ証明書失効リストを検索し、この証明書失効リストに検証対象となる公開鍵証明書のシリアル番号が記載されているか否かを確認するものである
ことを特徴とする請求項1に記載の公開鍵証明書の有効性検証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001331945A JP3754342B2 (ja) | 2001-10-30 | 2001-10-30 | 公開鍵証明書の有効性検証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001331945A JP3754342B2 (ja) | 2001-10-30 | 2001-10-30 | 公開鍵証明書の有効性検証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003134109A JP2003134109A (ja) | 2003-05-09 |
| JP3754342B2 true JP3754342B2 (ja) | 2006-03-08 |
Family
ID=19147439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001331945A Expired - Lifetime JP3754342B2 (ja) | 2001-10-30 | 2001-10-30 | 公開鍵証明書の有効性検証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3754342B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4717378B2 (ja) * | 2004-06-08 | 2011-07-06 | キヤノン株式会社 | 情報処理装置 |
| JP4694904B2 (ja) * | 2005-07-11 | 2011-06-08 | 三菱電機株式会社 | 検証サーバ及び検証プログラム |
| CN101286844B (zh) * | 2008-05-29 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种支持快速切换的实体双向鉴别方法 |
| US8423761B2 (en) | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
| US8826006B2 (en) * | 2008-10-31 | 2014-09-02 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate |
| JP5772148B2 (ja) * | 2011-03-29 | 2015-09-02 | 日本電気株式会社 | 認証システム、認証装置、認証局、認証方法、及びプログラム |
| CN103312499B (zh) | 2012-03-12 | 2018-07-03 | 西安西电捷通无线网络通信股份有限公司 | 一种身份认证方法及系统 |
| CN103312670A (zh) | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法及系统 |
-
2001
- 2001-10-30 JP JP2001331945A patent/JP3754342B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003134109A (ja) | 2003-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4312399B1 (en) | Methods and devices for public key management using a blockchain | |
| US11223477B2 (en) | Data sharing method, client, server, computing device, and storage medium | |
| US8380985B2 (en) | Certificate validation method and certificate validation server and storage medium | |
| EP2187590B1 (en) | Method of validation public key certificate and validation server | |
| TWI252662B (en) | Method and apparatus for accelerating public-key certificate validation | |
| JP7819386B2 (ja) | 自動デジタル証明書検証のための方法およびデバイス | |
| JP4474845B2 (ja) | Crl発行通知機能付き認証基盤システム | |
| US20030037234A1 (en) | Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster | |
| JP4844281B2 (ja) | ドキュメント管理装置及びプログラム | |
| JP3754342B2 (ja) | 公開鍵証明書の有効性検証システム | |
| RU2430412C2 (ru) | Услуга определения, был ли аннулирован цифровой сертификат | |
| CN112182009B (zh) | 区块链的数据更新方法及装置、可读存储介质 | |
| JP3726259B2 (ja) | 公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 | |
| JP2013223171A (ja) | 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム | |
| JP2004289448A (ja) | サービス提供装置ならびに電子証明書検証装置および方法 | |
| JP7583650B2 (ja) | 委任申請システム、委任申請方法、及び委任申請プログラム | |
| JP5772148B2 (ja) | 認証システム、認証装置、認証局、認証方法、及びプログラム | |
| JP5018849B2 (ja) | Crl発行通知機能付き認証基盤システム | |
| JP4098017B2 (ja) | 報告書原本性証明システム | |
| JP4582030B2 (ja) | Crl発行通知機能付き認証基盤システム | |
| KR100776692B1 (ko) | 전자문서 내용증명 시스템의 내용증명서 갱신 방법 및 그갱신된 내용증명서의 검증 방법 | |
| JP2003058050A (ja) | 検証処理方法及びその実施システム並びにその処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051028 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20051028 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051129 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051215 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3754342 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091222 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101222 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101222 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111222 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111222 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121222 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121222 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131222 Year of fee payment: 8 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |