JP3901463B2 - An authentication system access device, a public key certificate acquisition method, a public key certificate invalidation confirmation method, an authentication system access program, a public key certificate acquisition program, a public key certificate invalidation confirmation program, and an authentication system access program are stored. Storage medium storing storage medium and public key certificate acquisition program, and storage medium storing public key certificate revocation confirmation program - Google Patents
An authentication system access device, a public key certificate acquisition method, a public key certificate invalidation confirmation method, an authentication system access program, a public key certificate acquisition program, a public key certificate invalidation confirmation program, and an authentication system access program are stored. Storage medium storing storage medium and public key certificate acquisition program, and storage medium storing public key certificate revocation confirmation program Download PDFInfo
- Publication number
- JP3901463B2 JP3901463B2 JP2001045626A JP2001045626A JP3901463B2 JP 3901463 B2 JP3901463 B2 JP 3901463B2 JP 2001045626 A JP2001045626 A JP 2001045626A JP 2001045626 A JP2001045626 A JP 2001045626A JP 3901463 B2 JP3901463 B2 JP 3901463B2
- Authority
- JP
- Japan
- Prior art keywords
- public key
- key certificate
- certificate
- acquisition
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム、及び認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体に係り、特に、コンピュータネットワーク上で安全、かつ確実なEDI(電子データ交換)やEC(電子商取引)を実現するために、公開鍵暗号を用いた電子署名通信や暗号通信技術において必要な公開鍵証明証の取得や有効性を検証するための認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び、認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】
従来、公開鍵暗号を用いた電子署名技術や暗号通信技術により、利用者本人確認や、通信路におる改竄の有無の確認及び盗聴の防止等を行うシステムでは、その際に用いられる公開鍵が、確かに通信相手の公開鍵であることを確認する必要があり、通常、この公開鍵の所有者を確認する方法として、CA(Certification Authority:認証局)が発行する公開鍵証明証を用いる方法が利用される。
【0003】
この方法では、まず、通信相手の公開鍵証明証を取得し、取得した公開鍵証明証に付与されたCAの署名の検証や証明証チェーンの検証を行うことにより、公開鍵証明証の発行者の信頼性を確認する。そして、さらに、対象公開鍵証明証がCAによって無効化されていないことを確認することにより、取得した公開鍵証明証が有効で信頼ある証明証であることの判断が可能となる。
【0004】
ここで、公開鍵証明証の取得及び無効化確認処理を実現する方法には、それぞれんアクセス先やアクセスプロトコルが異なるいくつかの方式が存在しており、前者の処理を実現する方式には、通信相手から取得する他に、CAやディレクトリシステムにアクセスして取得する方式等があり、後者の方式には、CAやディレクトリにアクセスしてCRLを取得して確認する方式や、VA(Validation Authority: 検証局)にアクセスして確認する方式等がある。
【0005】
また、利用者システムが、これらの処理に対してどの方式を利用するかは、通常、CA等の信頼機関が提供するサービス内容や、システム運用者のポリシによって決定される。
【0006】
【発明が解決しようとする課題】
しかしながら、上記従来の、公開鍵証明証を扱う利用者システムでは、公開鍵証明証の取得処理及び無効化確認処理において利用する方式を、通常、信頼機関が提供する利用可能な方式の範囲で、それぞれシステム運用者のポリシにより予め一意に決定しているため、例えば、複数の異なるCAが存在し、利用者システムがそのそれぞれから発行された公開鍵証明証を利用する状況において、認証機関のそれぞれで提供される利用可能な公開鍵証明証の取得、及び無効化確認方式が異なっていた場合、公開鍵証明証の取得処理及び、無効化確認処理において固定的な方式を想定している従来の利用者システムでは、これらの異なる方式を使い分けることができないという問題がある。
【0007】
本発明は、上記の点に鑑みなされたもので、運用方針の異なる複数のCAから公開鍵証明証の発行を受けた利用者が混在する環境においても、公開鍵証明証を扱う利用者システムは、発行者の運営方針に応じた公開鍵証明証の取得方式や、無効化確認方式の違いを意識することなく、公開鍵証明証の取得及び無効化確認のための処理が可能な認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び、認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体を提供することを目的とする。
【0008】
また、本発明の目的は、新たなCAが登場した場合でも、新たなCAが発行した公開鍵証明証の利用に必要な公開鍵証明証の取得処理及び、無効化確認処理を容易に実現することが可能な認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び、認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体を提供することである。
【0009】
また、更なる本発明の目的は、新たな公開鍵証明証の取得や無効化確認処理に対して、新たな方式が開発された場合でも、当該方式を容易に利用することが可能な認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び、認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体を提供することである。
【0010】
【課題を解決するための手段】
図1は、本発明の原理構成図である。
【0011】
本発明(請求項1)は、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証の取得や無効化確認を行うための認証システムアクセス装置であって、
公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を、それぞれ優先順位を付けて定義した認証局別方式定義テーブル16を作成する認証局別方式定義テーブル定義手段11と、
公開鍵証明証の取得処理及び、無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行認証局名取得手段12と、
認証局別方式定義テーブル16を参照し、処理対象の公開鍵証明証の発行者認証局名に対応する公開鍵証明証の取得及び無効化確認方式を、優先順位に従って決定する処理方式決定手段13と、
処理方式決定手段13により決定された方式を用いて、処理対象の公開鍵証明証を取得する公開鍵証明証取得手段14と、
処理方式決定手段13により決定された方式を用いて、処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認手段15とを有する。
【0012】
図2は、本発明の原理を説明するための図である。
【0013】
本発明(請求項2)は、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証の取得を行うための認証システムアクセス装置における公開鍵証明証取得方法において、
CA別方式定義テーブル定義部が、初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成し(ステップ1)、
発行者CA名取得部が、公開鍵証明証の取得処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得し(ステップ2)、
処理方式決定部が、CA別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得方式を、優先順位に従って決定し(ステップ3)、
公開鍵証明証取得部が、決定された公開鍵証明証の取得方式に従って、処理対象の公開鍵証明証を取得する(ステップ4)。
【0014】
本発明(請求項3)は、公開鍵証明証の取得ができなかった場合に、公開鍵証明証取得部が、決定された公開鍵証明証の取得方式の次の優先順位に相当する取得方式により、再度、公開鍵証明証の取得処理を行う。
【0015】
本発明(請求項4)は、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証の無効化確認を行うための認証システムアクセス装置における公開鍵証明証無効化確認方法において、
CA別方式定義テーブル定義部が、初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の無効化確認方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成し、
発行者CA名取得部が、公開鍵証明証の無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得し、
処理方式決定部が、CA別方式定義テーブルを参照し、取得した発行元の認証局名に対応する公開鍵証明証の無効化確認方式を優先順位に従って決定し、
公開鍵証明証無効化確認部が、決定された公開鍵証明証の無効化確認方式に従って、処理対象の公開鍵証明証の無効化の有無を確認する。
【0016】
本発明(請求項5)は、認証システムアクセス装置で実行される、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証の取得や無効化確認を行うための認証システムアクセスプログラムであって、
コンピュータを、
公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成するCA別方式定義テーブル定義部と、
公開鍵証明証の取得処理及び無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者CA名取得部と、
CA別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得及び無効化確認方式を、優先順位に従って決定する処理方式決定部と、
処理方式決定部により決定された方式を用いて、処理対象の公開鍵証明証を取得する公開鍵証明証取得部と、
処理方式決定部により決定された方式を用いて、処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認部として機能させる。
【0017】
本発明(請求項6)は、認証システムアクセス装置上で実行される、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証を取得する公開鍵証明証取得プログラムであって、
コンピュータを、
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成するCA別方式定義テーブル定義部と、
公開鍵証明証の取得時に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者CA名取得部と、
CA別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得方式を、優先順位に従って決定する処理方式決定部と、
処理方式決定部により決定された公開鍵証明証の取得方式を用いて、処理対象の公開鍵証明証を取得する公開鍵証明証取得部として機能させる。
【0018】
本発明(請求項7)は、公開鍵証明証取得プログラムにおいて、公開鍵証明証取得部は、公開鍵証明書の取得ができなかった場合に、決定された公開鍵証明証の取得方式の次の優先順位に相当する取得方式により、再度、公開鍵証明証の取得処理を行う手段を含む。
【0019】
本発明(請求項8)は、認証システムアクセス装置上で実行される、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証無効化確認プログラムであって、
コンピュータを、
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の無効化確認方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成するCA別方式定義テーブル定義部と、
公開鍵証明証の無効化確認処理時に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者CA名取得部と、
CA別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の無効化確認方式を優先順位に従って決定する処理方式決定部と、
処理方式決定部により決定された無効化確認方式を用いて、処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認部として機能させる。
【0020】
本発明(請求項9)は、認証システムアクセス装置で実行される、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証の取得や無効化確認を行うための認証システムアクセスプログラムを格納した記憶媒体であって、
コンピュータを、
公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成するCA別方式定義テーブル定義部と、
公開鍵証明証の取得処理及び無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者CA名取得部と、
CA別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得及び無効化確認方式を、優先順位に従って決定する処理方式決定部と、
処理方式決定部により決定された方式を用いて、処理対象の公開鍵証明証を取得する公開鍵証明証取得部と、
処理方式決定部により決定された方式を用いて、処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認部として機能させるプログラムを格納する。
【0021】
本発明(請求項10)は、認証システムアクセス装置上で実行される、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証を取得する公開鍵証明証取得プログラムを格納した記憶媒体であって、
コンピュータを、
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成するCA別方式定義テーブル定義部と、
公開鍵証明証の取得時に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者CA名取得部と、
CA別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得方式を、優先順位に従って決定する処理方式決定部と、
処理方式決定部により決定された公開鍵証明証の取得方式を用いて、処理対象の公開鍵証明証を取得する公開鍵証明証取得部として機能させるプログラムを格納する。
【0022】
本発明(請求項11)は、公開鍵証明証取得プログラムを格納した記憶媒体における、公開鍵証明証取得部が、公開鍵証明書の取得ができなかった場合に、決定された公開鍵証明証の取得方式の次の優先順位に相当する取得方式により、再度、公開鍵証明証の取得処理を行う手段を含む。
【0023】
本発明(請求項12)は、認証システムアクセス装置上で実行される、公開鍵暗号を用いて電子署名通信や暗号通信を行う際に必要な、公開鍵証明証無効化確認プログラムを格納した記憶媒体であって、
コンピュータを、
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の無効化確認方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成するCA別方式定義テーブル定義部と、
公開鍵証明証の無効化確認処理時に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者CA名取得部と、
CA別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の無効化確認方式を優先順位に従って決定する処理方式決定部と、
処理方式決定部により決定された無効化確認方式を用いて、処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認部として機能させるプログラムを格納する。
【0024】
上記により、公開鍵証明証の取得処理及び無効化確認処理に対して、それぞれ複数の異なる方式を使い分けなければならない状況においても、処理対象となる公開鍵証明証に応じて適切な方式を動的に選択し、これに基づく処理を行うことが可能となる。
【0025】
【発明の実施の形態】
本発明では、公開鍵証明証の発行元CA毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を定義したテーブルを予め用意し、公開鍵証明証の取得及び無効化確認処理時に当該テーブルを参照し、処理対象の公開鍵証明証の発行者CA名に応じて公開鍵証明証の取得及び無効化確認方式を動的に決定する。
【0026】
図3は、本発明の認証システムアクセス装置の構成を示す。
【0027】
同図に示す認証システムアクセス装置は、公開証明証取得及び無効化確認処理部10を有し、当該公開証明証取得及び無効化確認処理部10は、CA別方式定義テーブル定義部11、発行者CA名取得部12、処理方式決定部13、公開鍵証明証取得部14、公開鍵証明証無効化確認部15及びCA別方式定義テーブル16から構成される。
【0028】
CA別方式定義テーブル定義部11は、公開鍵証明証の発行元CA毎に利用可能な公開鍵証明証の取得及び無効化確認方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブル16を作成する。なお、CA別方式定義テーブル16を作成する際に、必ずしも利用可能なすべての方式を定義する必要はなく、利用者のポリシにより利用する方式を絞って定義することも可能である。
【0029】
発行者CA名取得部12は、公開鍵証明証の取得処理及び、無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行者CA名の情報を取得する。処理方式決定部13は、CA別定義テーブル16を参照し、処理対象の公開鍵証明証の発行者CA名に対応する公開該証明証の取得及び、無効化確認方式を、優先順位に従って決定する。
【0030】
公開鍵証明証取得部14は、処理方式決定部13により決定された方式を用いて、対象公開鍵証明証を取得する。
【0031】
公開鍵証明証無効化確認部15は、処理方式決定部13により決定された方式を用いて、対象公開鍵証明証の無効化の有無を確認する。
【0032】
次に、上記の構成における公開鍵証明証の取得処理及び、無効化確認処理について説明する。
【0033】
図4は、本発明の公開鍵証明証の取得処理及び、無効化確認処理のフローチャートである。
【0034】
ステップ101) 初期設定時において、CA別方式定義テーブル定義部11において、公開鍵証明証の発行元CA毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を、図5に示すように、それぞれ優先順位を付けて定義したCA別方式定義テーブル16を作成する。
【0035】
ステップ102) 認証システムアクセス装置は、公開鍵証明証の取得処理や無効化確認処理を行う際に、発行者CA名取得部12を用いて、処理対象の公開鍵証明証を発行したCA名の情報を取得する。
【0036】
ステップ103) 次に、公開鍵証明証の取得処理及び無効化確認処理方式を決定するため、処理方式決定部13を用いて、ステップ101で作成したCA別方式定義テーブル16に対して、ステップ102で取得したCA名に対応する公開鍵証明証の取得方式及び無効化確認方式を優先順位に従って決定する。ここで、決定された方式が利用不可であることが以降の処理で判定された場合には、先に決定された方式の次の優先順位に相当する方式を選択し、再び以降の処理を実行する。
【0037】
ステップ104) 公開鍵証明証の取得処理を行う際には、公開鍵証明証取得部14を用いて、ステップ103で決定された処理方式により、対象公開鍵証明証を取得する。
【0038】
ステップ105) 公開鍵証明証の無効化確認処理を行う際には、公開鍵証明証無効化確認部15において、ステップ103で決定された処理方式により、対象公開鍵証明証の無効化の有無を確認する。
【0039】
以上に示した処理方法及び、それらが読み出す手段を用いることにより、公開鍵証明証の取得処理及び無効化確認処理に対して、それぞれ複数の異なる方式を使い分けなければならない状況においても、処理対象となる公開鍵証明証に応じて積雪な方式を動的に選択し、これに基づく処理を行うことが可能となる。
【0040】
【実施例】
以下、図面と共に本発明の実施例を説明する。
【0041】
本実施例では、利用者システムにおいて、公開鍵証明証を用いて利用者Aの電子署名を検証する場面を想定している。
【0042】
図6は、本発明の一実施例の公開鍵証明証の取得処理及び無効化確認処理のフローチャートであり、図7は、本発明の一実施例のCA別方式定義テーブル内の例を示す。
【0043】
ステップ201) テーブル登録機能を用いて、公開鍵証明証の発行元CA毎に、利用可能な公開鍵証明証の取得及び無効化確認方式として、それぞれアクセスプロトコル及びアクセス先の情報を優先順位を付けてCA別方式定義テーブル16に登録する。公開鍵証明証の取得ためのアクセスプロトコルには、例えば、ディレクトリシステムに対してLDAP(Light-weight Directory Access protocol)による取得方式や、CAに対してCMP(Certificate Managment Protocols:RFC2510)による取得方式などがある。また、公開鍵証明証の無効化確認のためのアクセスプロトコルには、例えば、VAに対してOCSP(Onlinge Certificate Status Protocol:RFC2560) による無効化確認方式や、ディレクトリシステムに対してLDAP(Light-weight Directory Access Protocol)により取得したCRL(Certificate Revocation List) を用いた確認方式などがある。CA別方式定義テーブル定義部11のテーブル登録機能は、例えば、データベースシステムが提供する機能を用いて容易に実現可能である。本実施例では、図7に示す定義が行われたものとして以下の説明を行う。
【0044】
次に、認証システムアクセス装置が、利用者Aにより付与された電子署名を検証する際の処理について説明する。
【0045】
ステップ202) 認証システムアクセス装置は、電子署名と共に電子データに付与された署名検証情報の中から、データ解析機能を用いて、電子署名の検証に用いる公開鍵証明証の発行者名(CA名)情報を取得する。署名検証情報内には、通常署名検証に用いるための公開鍵証明証の識別情報が含まれるが、公開鍵証明証の実体が含まれる場合もある。公開鍵証明証の実体が含まれている場合には、その中身を解析することにより、公開鍵証明証の発行者名を得ることが可能である。また、データ解析機能は、一般的なコンピュータシステムにおいて容易に実現可能である。
【0046】
本実施例では、利用者Aの公開鍵証明証は、署名検証情報に含まれておらず、また、利用者Aの公開鍵証明証の発行者は「CA1」であったとして以下の処理を説明する。
【0047】
ステップ203) 処理方式決定部13は、利用者Aの公開鍵証明証の取得及び無効化確認処理を実行するための方式を決定するため、テーブル参照機能を用いて、ステップ201で設定したCA別方式定義テーブル16に対して、ステップ202で取得したCA名に対応する公開鍵証明証の取得方式及び無効化確認方式を検索し、それぞれに対するアクセスプロトコル及びアクセス先情報を優先順位に従って取得する。本実施例では、ステップ202において取得した「CA1」に対応する方式情報を検索した結果、公開鍵証明証の取得方式として、アクセスプロトコルが「LDAP」、アクセス先が「ホスト1」の情報が取得され、公開鍵証明証の無効化確認方式として、アクセスプロトコルが「OCSP」、アクセス先が「ホスト2」の情報が取得されることになる。ステップ201で設定したCA別方式定義テーブル16内の情報を検索するテーブル参照機能は、既存のデータベースシステムにおいて容易に実現可能である。
【0048】
ステップ204) 次に、公開鍵証明証取得部14において、ステップ203で決定されたアクセスプロトコル及びアクセス先情報に従った方式により、利用者Aの公開鍵証明証を発行する。本実施例では、「ホスト1」に対して「LDAP」のアクセスプロトコルにより利用者Aの公開鍵証明証が取得されることになる。
【0049】
公開鍵証明証取得部14は、CA別方式定義テーブル16内に定義済の各種アクセスプロトコルを実現するモジュールを予め含めておき、ステップ203での決定に従って使用するモジュールを切り替え可能にしておくことで実現可能である。また、LDAPなどの公開鍵証明証取得のための各種アクセスプロトコルを実現するモジュールは、既存のCAシステムやディレクトリシステムにおいて利用されている機能である。
【0050】
ステップ205) 次に、ステップ204で取得した公開鍵証明証に付与されたCA署名の検証により発行者の信頼性を確認した後、公開鍵証明証無効化確認部15において、ステップ203で決定されたアクセスプロトコル及びアクセス先情報に従った方式により、対象公開鍵証明証の無効化の有無を確認する。
【0051】
本実施例では、「ホスト2」に対して「OCSP」のアクセスプロトコルにより利用者Aの公開鍵証明証の無効化確認情報を取得し、これを用いて無効化の有無を確認することになる。
【0052】
公開鍵証明証無効化確認部15は、公開鍵証明証取得部14と同様、CA別方式定義テーブル16内に定義済の各種アクセスプロトコルを実現するモジュールを予め含めておき、ステップ203の決定に従って使用するモジュールを切り替え可能にしておくことで実現可能である。またOCSPなどの公開鍵証明証無効化確認のための各種アクセスプロトコルを実現するモジュールは、既存のVAシステムやディレクトリシステムにおいて利用されている機能である。
【0053】
ステップ206) ステップ204やステップ205において、ステップ203で決定されたアクセスプロトコル及びアクセス先情報に従った方式により、目的の処理が完了しなかった場合、ステップ203の処理に戻り、先に選択された方式の次の優先順位で登録されているアクセスプロトコル及びアクセス先情報に従った方式により、ステップ204あるいはステップ205の処理を再度実行する。
【0054】
以上により、利用者システムが署名検証等において、通信相手の公開鍵証明証を利用する際、公開鍵証明証の取得処理や無効化確認処理のためのアクセスプロトコルやアクセス先を、処理対象の公開鍵証明証の発行者名に応じて自動的に使い分けることが可能となる。
【0055】
また、CA別方式定義テーブル定義部11、発行者CA名取得部12、処理方式決定部13、公開鍵証明証取得部14、公開鍵証明証無効化確認部15の機能をプログラムとして構築し、公開該証明証利用システムのコンピュータのCPUにインストールしたり、ネットワークを介して流通させることが可能である。
【0056】
さらに、構築されたプログラムをコンピュータに接続されるディスク装置や、フロッピーディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることにより、容易に本発明を実現することが可能となる。
【0057】
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0058】
【発明の効果】
上述のように、本発明によれば、運用方針の異なる複数のCAから公開鍵証明証の発行を受けた利用者が混在する環境においても、公開鍵証明証を扱う利用者システムは、発行者の運営方針に応じた公開鍵証明証の取得方式や、無効化確認方式の違いを意識することなく、公開鍵証明証の取得及び無効化確認のための処理が可能となる。
【0059】
また、新たなCAが登場した場合でも、CA別方式定義テーブルに当該CAに対する公開鍵証明証の取得及び無効化確認方式に関する情報を追加するだけで、新たなCAが発行した公開鍵証明証の利用に必要な公開鍵証明証の取得処理及び無効化確認処理を、容易に実現することが可能となる。さらに、公開鍵証明証の取得や無効化確認処理に対して、新たな方式が開発された場合でも、新たな方式を実現するモジュールを公開鍵証明証取得部、あるいは、公開鍵証明証無効化手段に組み込み、その方式をどのCAで利用するかをCA別方式定義テーブルに定義するのみで、容易に新たな方式を利用することが可能となる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】本発明の原理を説明するための図である。
【図3】本発明の認証システムアクセス装置の構成図である。
【図4】本発明の公開鍵証明証の取得処理及び無効化確認処理のフローチャートである。
【図5】本発明のCA別方式定義テーブルの例である。
【図6】本発明の一実施例の公開鍵証明証の取得処理及び無効化確認処理のフローチャートである。
【図7】本発明の一実施例のCA別方式定義テーブルの例である。
【符号の説明】
10 公開鍵証明証取得及び無効化確認処理部
11 認証局別方式定義テーブル定義手段、CA別方式定義テーブル定義部
12 発行認証局名取得手段、発行者CA名取得部
13 処理方式決定手段、処理方式決定部
14 公開鍵証明証取得手段、公開鍵証明証取得部
15 項赤井鍵証明証無効化確認手段、公開鍵証明証無効化確認部
16 認証局別方式定義テーブル、CA別方式定義テーブル[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an authentication system access device, a public key certificate acquisition method, a public key certificate invalidation confirmation method, an authentication system access program, a public key certificate acquisition program, a public key certificate invalidation confirmation program, and an authentication system. The present invention relates to a storage medium that stores an access program, a storage medium that stores a public key certificate acquisition program, and a storage medium that stores a public key certificate revocation confirmation program, and in particular, secure and reliable EDI (electronic An authentication system access device for verifying the acquisition and validity of public key certificates necessary for electronic signature communication and encryption communication technology using public key cryptography to realize data exchange) and EC (electronic commerce); Public key certificate acquisition method, public key certificate invalidation confirmation method, and authentication system Program, public key certificate acquisition program, public key certificate revocation confirmation program, storage medium storing authentication system access program, storage medium storing public key certificate acquisition program, and public key certificate revocation confirmation program It relates to the storage medium which stored.
[0002]
[Prior art]
Conventionally, in a system for verifying the identity of a user, checking for tampering on a communication path, preventing eavesdropping, etc., using an electronic signature technology using public key cryptography or encryption communication technology, the public key used at that time is It is necessary to confirm that it is a public key of the communication partner, and a method of using a public key certificate issued by a CA (Certification Authority) is usually used as a method of confirming the owner of this public key. Is used.
[0003]
In this method, first, the public key certificate of the communication partner is acquired, and the public key certificate issuer is verified by verifying the CA signature and the certificate chain given to the acquired public key certificate. Check the reliability. Further, by confirming that the target public key certificate has not been revoked by the CA, it is possible to determine that the acquired public key certificate is a valid and reliable certificate.
[0004]
Here, there are several methods with different access destinations and access protocols for the method of obtaining public key certificate acquisition and invalidation confirmation processing, and the method for realizing the former processing is as follows: In addition to acquiring from a communication partner, there is a method of acquiring by accessing a CA or a directory system. The latter method includes a method of acquiring a CRL by accessing a CA or directory, and a VA (Validation Authority). : There is a method to check by accessing the verification authority.
[0005]
In addition, which method the user system uses for these processes is usually determined by the service content provided by a trusted organization such as CA or the policy of the system operator.
[0006]
[Problems to be solved by the invention]
However, in the conventional user system that handles public key certificates, the method used in the public key certificate acquisition processing and the invalidation confirmation processing is usually within the range of available methods provided by the trust authority. Since each is uniquely determined in advance according to the policy of the system operator, for example, in the situation where there are a plurality of different CAs and the user system uses the public key certificate issued from each of them, each of the certification bodies If the acquisition of available public key certificate and the invalidation confirmation method provided in the above are different, the fixed method is assumed in the public key certificate acquisition process and invalidation confirmation process. The user system has a problem that these different methods cannot be used properly.
[0007]
The present invention has been made in view of the above points, and a user system that handles public key certificates even in an environment in which users who have issued public key certificates from a plurality of CAs having different operational policies coexist is provided. Authentication system access that enables processing for public key certificate acquisition and invalidation confirmation without being aware of the difference between the public key certificate acquisition method and invalidation confirmation method according to the issuer's management policy Apparatus, public key certificate acquisition method, public key certificate invalidation confirmation method, authentication system access program, public key certificate acquisition program, public key certificate invalidation confirmation program, and storage medium storing authentication system access program And a storage medium storing a public key certificate acquisition program and a storage medium storing a public key certificate revocation confirmation program .
[0008]
In addition, even if a new CA appears, an object of the present invention is to easily realize public key certificate acquisition processing and invalidation confirmation processing necessary for using a public key certificate issued by a new CA. Authentication system access apparatus, public key certificate acquisition method, public key certificate invalidation confirmation method, authentication system access program, public key certificate acquisition program, public key certificate invalidation confirmation program, and authentication system To provide a storage medium storing an access program, a storage medium storing a public key certificate acquisition program, and a storage medium storing a public key certificate revocation confirmation program.
[0009]
Further, an object of the present invention is to provide an authentication system that can easily use a new method for acquiring a new public key certificate or a revocation confirmation process even when a new method is developed. Access device, public key certificate acquisition method, public key certificate invalidation confirmation method, authentication system access program, public key certificate acquisition program, public key certificate invalidation confirmation program, and storage storing authentication system access program It is to provide a storage medium storing a medium and a public key certificate acquisition program and a storage medium storing a public key certificate revocation confirmation program.
[0010]
[Means for Solving the Problems]
FIG. 1 is a principle configuration diagram of the present invention.
[0011]
The present invention (Claim 1) is an authentication system access device for obtaining a public key certificate or confirming revocation necessary for performing electronic signature communication or cryptographic communication using public key cryptography,
For each certificate authority that creates a method definition table 16 for each certificate authority that defines the available public key certificate acquisition and invalidation confirmation methods with priorities for each certificate authority that issued the public key certificate System definition table definition means 11;
Issuing certification authority name acquisition means 12 that acquires information of the certification authority name of the issuing source that issued the processing target public key certificate when performing public key certificate acquisition processing and invalidation confirmation processing;
Processing method determination means 13 for referring to the method definition table 16 for each certificate authority and determining the acquisition and invalidation confirmation method of the public key certificate corresponding to the issuer certificate authority name of the public key certificate to be processed according to the priority order. When,
Using the method determined by the processing method determining means 13, a public key certificate acquiring means 14 for acquiring a public key certificate to be processed;
Using the method determined by the processing method determining means 13, there is a public key certificate revocation confirmation means 15 for confirming whether or not the public key certificate to be processed is invalidated.
[0012]
FIG. 2 is a diagram for explaining the principle of the present invention.
[0013]
The present invention (Claim 2) obtains a public key certificate necessary for electronic signature communication and encryption communication using public key cryptography.In the authentication system access device for performingIn the public key certificate acquisition method,
The CA-specific method definition table definition sectionAt the initial setting, each public key certificate issuer's certificate authority defined the available public key certificate acquisition methods with priorities.CACreate another method definition table (Step 1)
When the issuer CA name acquisition unit performs public key certificate acquisition processing,Issued public key certificate to be processedPublisher'sObtain the certificate authority name information (step 2)
The processing method determination unitAnother method definition tableIssuing a public key certificate to be processedA public key certificate acquisition method corresponding to the certificate authority name is determined in accordance with the priority order (step 3),
Public key certificate acquisition departmentAccording to the determined public key certificate acquisition method,processingA target public key certificate is acquired (step 4).
[0014]
In the present invention (Claim 3), when the public key certificate cannot be obtained,Public key certificate acquisition departmentThe public key certificate acquisition process is performed again by an acquisition method corresponding to the next priority order of the determined public key certificate acquisition method.
[0015]
According to the present invention (Claim 4), the public key certificate invalidation in the authentication system access device for confirming the invalidation of the public key certificate, which is necessary when performing electronic signature communication or cryptographic communication using public key cryptography, is provided. In the confirmation method,
The CA-specific method definition table definition sectionAt the time of initial setting, for each CA that issued the public key certificate, the available public key certificate invalidation confirmation methods were defined with priorities.CACreate another method definition table,
When the issuer CA name acquisition unit performs the public key certificate invalidation confirmation process,Issued public key certificate to be processedPublisher'sObtain the certificate authority name information,
The processing method decision unitCA-specific method definition tableAnd refer to the publisherDecide the public key certificate invalidation confirmation method corresponding to the certificate authority name according to the priority,
Public key certificate revocation confirmationAccording to the determined revocation confirmation method of public key certificate,processingCheck whether the target public key certificate is invalidated.
[0016]
The present invention (Claim 5)Executed in the authentication system access device,An authentication system access program for obtaining a public key certificate or confirming revocation, which is necessary when performing electronic signature communication or encrypted communication using public key cryptography,
Computer
For each certificate authority that issued the public key certificate, the available public key certificate acquisition and invalidation confirmation methods were defined with priorities.CACreate another method definition tableCAAnother method definition table definitionPartWhen,
When performing public key certificate acquisition processing and invalidation confirmation processing, acquire information on the name of the CA that issued the public key certificate to be processedIssuer CA name acquisition departmentWhen,
CARefer to another method definition table and determine the processing method to determine the public key certificate acquisition and invalidation confirmation method corresponding to the issuing CA name of the processing target public key certificate according to the priority orderPartWhen,
Processing method decisionPartObtain public key certificate to be processed using the method determined byPartWhen,
Processing method decisionPartCheck whether the public key certificate to be processed is invalid or not using the method determined byFunction as a part.
[0017]
The present invention (Claim 6)Executed on the authentication system access device,A public key certificate acquisition program for acquiring a public key certificate necessary for electronic signature communication and encryption communication using public key cryptography,
Computer
At the initial setting, each public key certificate issuer's certificate authority defined the available public key certificate acquisition methods with priorities.CACreate another method definition tableCA-specific method definition table definition sectionWhen,
When obtaining a public key certificate, obtain information on the name of the certificate authority that issued the public key certificate to be processed.Issuer CA name acquisition department and,
CAAnother method definition tableIssuing a public key certificate to be processedThe public key certificate acquisition method corresponding to the certificate authority name is determined according to priority.Processing method decision sectionWhen,
By the processing method decision unitAcquisition method of decided public key certificateWith processingGet the target public key certificatePublic key certificate acquisition departmentWhenAnd make it work.
[0018]
The present invention (Claim 7)In the public key certificate acquisition program, the public key certificate acquisition unitIf the public key certificate cannot be obtained, the public key certificate acquisition process is performed again using the acquisition method corresponding to the next priority of the determined public key certificate acquisition method.meansincluding.
[0019]
The present invention (Claim 8)Executed on the authentication system access device,A public key certificate invalidation confirmation program required for electronic signature communication and encryption communication using public key cryptography,
Computer
At the time of initial setting, for each CA that issued the public key certificate, the available public key certificate invalidation confirmation methods were defined with priorities.CACreate another method definition tableCA-specific method definition table definition sectionWhen,
The public key certificate to be processed was issued during the public key certificate invalidation confirmation processPublisher'sAcquires the certificate authority name informationIssuer CA name acquisition departmentWhen,
CARefer to another method definition tableIssue public key certificate to be processedDecide the public key certificate invalidation confirmation method corresponding to the certificate authority name according to priority.Processing method decision sectionWhen,
By the processing method decision unitDetermined invalidation confirmation methodUsing,Check whether the public key certificate to be processed is invalidatedIt functions as a public key certificate invalidation confirmation unit.
[0020]
The present invention (Claim 9)Executed in the authentication system access device,A storage medium that stores an authentication system access program for obtaining a public key certificate or confirming revocation, which is necessary when performing electronic signature communication or encryption communication using public key cryptography,
Computer
For each certificate authority that issued the public key certificate, the available public key certificate acquisition and invalidation confirmation methods were defined with priorities.CACreate another method definition tableCAAnother method definition table definitionPartWhen,
When performing public key certificate acquisition processing and invalidation confirmation processing, acquire information on the name of the CA that issued the public key certificate to be processedIssuer CA name acquisition departmentWhen,
CARefer to another method definition table and determine the processing method to determine the public key certificate acquisition and invalidation confirmation method corresponding to the issuing CA name of the processing target public key certificate according to the priority orderPartWhen,
Processing method decisionPartObtain public key certificate to be processed using the method determined byPartWhen,
Processing method decisionPartCheck whether the public key certificate to be processed is invalid or not using the method determined byStores a program that functions as a section.
[0021]
The present invention (Claim 10)Executed on the authentication system access device,A storage medium storing a public key certificate acquisition program for acquiring a public key certificate necessary for performing electronic signature communication and cryptographic communication using public key cryptography,
Computer
At the initial setting, each public key certificate issuer's certificate authority defined the available public key certificate acquisition methods with priorities.CACreate another method definition tableCA-specific method definition table definition sectionWhen,
When obtaining a public key certificate, obtain information on the name of the certificate authority that issued the public key certificate to be processed.Issuer CA name acquisition department and,
CAAnother method definition tableIssuing a public key certificate to be processedThe public key certificate acquisition method corresponding to the certificate authority name is determined according to priority.Processing method decision sectionWhen,
By the processing method decision unitAcquisition method of decided public key certificateUsing,Obtain the public key certificate to be processedStores a program that functions as a public key certificate acquisition unit.
[0022]
The present invention (claim 11)The public key certificate acquisition unit in the storage medium storing the public key certificate acquisition program,If the public key certificate cannot be obtained, the public key certificate acquisition process is performed again using the acquisition method corresponding to the next priority of the determined public key certificate acquisition method.meansincluding.
[0023]
The present invention (Claim 12)Executed on the authentication system access device,A storage medium storing a public key certificate invalidation confirmation program necessary for performing electronic signature communication and encryption communication using public key cryptography,
Computer
At the time of initial setting, for each CA that issued the public key certificate, the available public key certificate invalidation confirmation methods were defined with priorities.CACreate another method definition tableCA-specific method definition table definition sectionWhen,
The public key certificate to be processed was issued during the public key certificate invalidation confirmation processPublisher'sAcquires the certificate authority name informationIssuer CA name acquisition departmentWhen,
CAAnother method definition tableIssuing a public key certificate to be processedDecide the public key certificate invalidation confirmation method corresponding to the certificate authority name according to priority.Processing method decision sectionWhen,
By the processing method decision unitDetermined invalidation confirmation methodWith processingCheck whether the target public key certificate is invalidatedStores a program that functions as a public key certificate invalidation confirmation unit.
[0024]
Based on the above, even in a situation where a plurality of different methods must be used for the public key certificate acquisition process and the invalidation confirmation process, an appropriate method is dynamically selected according to the public key certificate to be processed. It is possible to perform processing based on this.
[0025]
DETAILED DESCRIPTION OF THE INVENTION
In the present invention, for each public key certificate issuer CA, a table defining available public key certificate acquisition and invalidation confirmation methods is prepared in advance, and at the time of public key certificate acquisition and invalidation confirmation processing By referring to the table, the public key certificate acquisition and invalidation confirmation method is dynamically determined according to the issuer CA name of the public key certificate to be processed.
[0026]
FIG. 3 shows the configuration of the authentication system access apparatus of the present invention.
[0027]
The authentication system access apparatus shown in FIG. 1 has a public certificate acquisition and invalidation
[0028]
The CA-specific method definition
[0029]
The issuer CA
[0030]
The public key
[0031]
The public key certificate
[0032]
Next, public key certificate acquisition processing and revocation confirmation processing in the above configuration will be described.
[0033]
FIG. 4 is a flowchart of the public key certificate acquisition process and the invalidation confirmation process of the present invention.
[0034]
Step 101) At the time of initialization, the CA-specific method definition
[0035]
Step 102) The authentication system access device uses the issuer CA
[0036]
Step 103) Next, in order to determine the public key certificate acquisition processing and the invalidation confirmation processing method, the processing
[0037]
Step 104) When performing the public key certificate acquisition process, the public key
[0038]
Step 105) When performing the public key certificate invalidation confirmation process, the public key certificate
[0039]
Even in a situation where a plurality of different methods must be used for the public key certificate acquisition process and the invalidation confirmation process by using the processing methods shown above and the means for reading them, It is possible to dynamically select a snow-covered method according to the public key certificate and to perform processing based on this method.
[0040]
【Example】
Embodiments of the present invention will be described below with reference to the drawings.
[0041]
In the present embodiment, it is assumed that a user system verifies the electronic signature of user A using a public key certificate.
[0042]
FIG. 6 is a flowchart of public key certificate acquisition processing and invalidation confirmation processing according to an embodiment of the present invention, and FIG. 7 shows an example in the CA-specific method definition table according to an embodiment of the present invention.
[0043]
Step 201) Prioritize access protocol and access destination information as a method for obtaining and invalidating available public key certificates for each public key certificate issuer CA using the table registration function. To the CA-specific method definition table 16. Examples of access protocols for acquiring public key certificates include an acquisition method using LDAP (Light-weight Directory Access protocol) for a directory system and an acquisition method using CMP (Certificate Managment Protocols: RFC2510) for a CA. There is. The access protocol for confirming the invalidation of the public key certificate is, for example, an invalidation confirmation method by OCSP (Onlinge Certificate Status Protocol: RFC2560) for VA, or LDAP (Light-weight for the directory system). There is a confirmation method using a CRL (Certificate Revocation List) acquired by Directory Access Protocol. The table registration function of the CA-specific method definition
[0044]
Next, processing when the authentication system access device verifies the electronic signature given by the user A will be described.
[0045]
Step 202) The authentication system access apparatus uses the data analysis function from the signature verification information attached to the electronic data together with the electronic signature, and issues the issuer name (CA name) of the public key certificate used for verification of the electronic signature. Get information. The signature verification information includes identification information of a public key certificate for use in normal signature verification, but may also include an entity of a public key certificate. When the actual public key certificate is included, the issuer name of the public key certificate can be obtained by analyzing the contents. The data analysis function can be easily realized in a general computer system.
[0046]
In the present embodiment, the public key certificate of user A is not included in the signature verification information, and the following processing is performed assuming that the issuer of the public key certificate of user A is “CA1”. explain.
[0047]
Step 203) The processing
[0048]
Step 204) Next, the public key
[0049]
The public key
[0050]
Step 205) Next, after confirming the authenticity of the issuer by verifying the CA signature given to the public key certificate acquired in step 204, the public key certificate
[0051]
In this embodiment, the revocation confirmation information of the public key certificate of the user A is acquired from the “host 2” by using the access protocol “OCSP”, and the presence / absence of revocation is confirmed using this information. .
[0052]
Similar to the public key
[0053]
Step 206) In Step 204 or
[0054]
As described above, when the user system uses the other party's public key certificate for signature verification, etc., the access protocol and access destination for public key certificate acquisition processing and invalidation confirmation processing are disclosed. It is possible to automatically use the key certificate according to the issuer name.
[0055]
Further, the functions of the CA-specific method definition
[0056]
Further, the present invention can be easily obtained by storing the built program in a portable storage medium such as a disk device connected to a computer, a floppy disk, or a CD-ROM, and installing it when the present invention is carried out. Can be realized.
[0057]
The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
[0058]
【The invention's effect】
As described above, according to the present invention, a user system that handles public key certificates can be used even in an environment where users who have issued public key certificates from a plurality of CAs with different operational policies coexist. It is possible to obtain a public key certificate and check for invalidation without being aware of the difference between the public key certificate acquisition method and the invalidation confirmation method according to the management policy.
[0059]
In addition, even when a new CA appears, it is possible to add a public key certificate issued by a new CA to the CA-specific method definition table simply by adding information on the acquisition and invalidation confirmation method for the CA. It is possible to easily realize the public key certificate acquisition process and the revocation confirmation process necessary for use. In addition, even if a new method has been developed for obtaining public key certificates and checking for invalidation, a module that implements the new method can be used as a public key certificate acquisition unit or public key certificate invalidation. It is possible to easily use a new system simply by incorporating it into the means and defining in which CA the system is used in the CA-specific system definition table.
[Brief description of the drawings]
FIG. 1 is a principle configuration diagram of the present invention.
FIG. 2 is a diagram for explaining the principle of the present invention.
FIG. 3 is a configuration diagram of an authentication system access apparatus according to the present invention.
FIG. 4 is a flowchart of public key certificate acquisition processing and invalidation confirmation processing according to the present invention.
FIG. 5 shows an example of a method definition table for each CA according to the present invention.
FIG. 6 is a flowchart of public key certificate acquisition processing and invalidation confirmation processing according to an embodiment of the present invention.
FIG. 7 is an example of a method definition table for each CA according to an embodiment of the present invention.
[Explanation of symbols]
10 Public key certificate acquisition and revocation confirmation processing part
11 Certificate Authority-specific method definition table definition means, CA-specific method definition table definition part
12 Issuing CA name acquisition means, issuer CA name acquisition unit
13 Processing method determining means, processing method determining unit
14 Public key certificate acquisition means, public key certificate acquisition unit
16 CA-specific method definition table, CA-specific method definition table
Claims (12)
公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成する認証局(CA)別方式定義テーブル定義手段と、
前記公開鍵証明証の取得処理及び無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行認証局名取得手段と、
前記認証局(CA)別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得及び無効化確認方式を、優先順位に従って決定する処理方式決定手段と、
前記処理方式決定手段により決定された方式を用いて、前記処理対象の公開鍵証明証を取得する公開鍵証明証取得手段と、
前記処理方式決定手段により決定された方式を用いて、前記処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認手段とを有することを特徴とする認証システムアクセス装置。An authentication system access device for obtaining a public key certificate or confirming revocation necessary for performing electronic signature communication or encryption communication using public key cryptography,
Authentication that creates a method definition table for each CA ( Certificate Authority ) that defines the available public key certificate acquisition and invalidation confirmation methods with priorities for each CA that issued the public key certificate. A method definition table defining means for each station (CA);
Issuing certification authority name acquisition means for acquiring information of the certification authority name of the issuer that issued the processing target public key certificate when performing the public key certificate acquisition process and the invalidation confirmation process;
Processing method determination for referring to the method definition table for each certificate authority (CA) and determining the acquisition / invalidation confirmation method of the public key certificate corresponding to the issuing certificate authority name of the public key certificate to be processed according to the priority order Means,
Using the method determined by the processing method determination means, public key certificate acquisition means for acquiring the public key certificate to be processed;
An authentication system access apparatus comprising: a public key certificate revocation checking unit that checks whether or not the processing target public key certificate is revoked using the method determined by the processing method determining unit .
認証局(CA)別方式定義テーブル部が、初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得方式を、それぞれ優先順位を付けて定義したCA別方式定義テーブルを作成し、
公開鍵証明証の取得時に、
発行認証局(CA)名取得部が、前記公開鍵証明証の取得処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得し、
処理方式決定部が、前記CA別方式定義テーブルを参照し,処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得方式を、優先順位に従って決定し、
公開鍵証明証取得部が、決定された公開鍵証明証の取得方式に従って、前記処理対象の公開鍵証明証を取得することを特徴とする公開鍵証明証取得方法。In a public key certificate acquisition method in an authentication system access device for acquiring a public key certificate necessary for performing electronic signature communication and cryptographic communication using public key cryptography,
The CA-specific method definition table section defines the available public key certificate acquisition methods for each certificate authority that issued the public key certificate at the time of initial setting, with priorities defined. Create another method definition table,
When obtaining a public key certificate
When the issuing certificate authority (CA) name acquisition unit performs the public key certificate acquisition process, it acquires information on the name of the certificate authority of the issuer that issued the public key certificate to be processed;
A processing method determination unit refers to the CA-specific method definition table, determines a public key certificate acquisition method corresponding to the issuing certificate authority name of the public key certificate to be processed according to priority,
A public key certificate acquisition method, wherein a public key certificate acquisition unit acquires the public key certificate to be processed according to the determined public key certificate acquisition method.
認証局(CA)別方式定義テーブル定義部が、初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の無効化確認方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成し、
前記発行者CA名取得部が、前記公開鍵証明証の無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得し、
処理方式決定部が、前記CA別方式定義テーブルを参照し、取得した前記発行元の認証局名に対応する公開鍵証明証の無効化確認方式を優先順位に従って決定し、
公開鍵証明証無効確認部が、決定された前記公開鍵証明証の無効化確認方式に従って、前記処理対象の公開鍵証明証の無効化の有無を確認することを特徴とする公開鍵証明証無効化確認方法。In the public key certificate invalidation confirmation method, which is required when performing electronic signature communication and encrypted communication using public key cryptography,
The certificate authority (CA) -specific method definition table definition unit assigns priorities to the public key certificate invalidation confirmation methods that can be used for each certificate authority that issued the public key certificate at the time of initial setting. Create a method definition table for each defined CA (CA)
When the issuer CA name acquisition unit performs invalidation confirmation processing of the public key certificate, acquires information on the name of the certificate authority of the issuer that issued the public key certificate to be processed,
The processing method determination unit refers to the CA-specific method definition table and determines the public key certificate invalidation confirmation method corresponding to the acquired certificate authority name of the issuer according to the priority order.
A public key certificate invalidation confirmation unit confirms whether or not the processing target public key certificate is invalidated according to the determined public key certificate invalidation confirmation method. Confirmation method.
コンピュータを、
公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成する認証局(CA)別方式定義テーブル定義と、
前記公開鍵証明証の取得処理及び、無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行CA名取得部と、
前記認証局(CA)別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行者認証局名に対応する公開鍵証明証の取得及び無効化確認方式を、優先順位に従って決定する処理方式決定部と、
前記処理方式決定部により決定された方式を用いて、前記処理対象の公開鍵証明証を取得する公開鍵証明証取得部と、
前記処理方式決定部により決定された方式を用いて、前記処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認部として機能させることを特徴とする認証システムアクセスプログラム。An authentication system access program for performing acquisition of public key certificate or revocation confirmation, which is required when performing electronic signature communication or encryption communication using public key encryption, executed by an authentication system access device,
Computer
Authentication that creates a method definition table for each CA (Certificate Authority) that defines the available public key certificate acquisition and invalidation confirmation methods with priorities for each CA that issued the public key certificate. A method definition table definition for each station (CA);
An issuing CA name acquisition unit that acquires information on the name of the certification authority that issued the processing target public key certificate when performing the public key certificate acquisition process and the invalidation confirmation process;
A processing method for referring to the method definition table for each certificate authority (CA) and determining a public key certificate acquisition and invalidation confirmation method corresponding to the issuer certificate authority name of the public key certificate to be processed according to the priority order. A decision unit;
Using the method determined by the processing method determination unit, a public key certificate acquisition unit that acquires the public key certificate to be processed;
An authentication system access program that functions as a public key certificate revocation checking unit that checks whether or not the public key certificate to be processed is revoked, using the method determined by the processing method determining unit .
コンピュータを、
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成する認証局(CA)別方式テーブル定義部と、
公開鍵証明証の取得時に、処理対象の公開鍵証明証を発行した認証局名の情報を取得する発行者認証局(CA)名取得部と、
前記認証局(CA)別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得方式を優先順位に従って決定する処理方式決定部と、
前記処理方式決定部により決定された公開鍵証明証の取得方式を用いて、前記処理対象の公開鍵証明証を取得する公開鍵証明証取得部として機能させることを特徴とする公開鍵証明証取得プログラム。A public key certificate acquisition program for acquiring a public key certificate, which is necessary when performing electronic signature communication or cryptographic communication using public key encryption, executed on an authentication system access device,
Computer
Authentication that creates a method definition table for each certificate authority (CA) that defines the available public key certificate acquisition methods for each certificate authority that issued the public key certificate at the time of initialization. A method table defining unit for each station (CA);
An issuer certificate authority (CA) name acquisition unit that acquires information on the name of the certificate authority that issued the public key certificate to be processed when acquiring the public key certificate;
A processing method determination unit that refers to the method definition table for each certificate authority (CA) and determines the acquisition method of the public key certificate corresponding to the issuing certificate authority name of the public key certificate to be processed according to the priority order;
Using the public key certificate acquisition method determined by the processing method determination unit, the public key certificate acquisition unit functions as a public key certificate acquisition unit that acquires the public key certificate to be processed program.
コンピュータを、
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の無効化確認方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成する認証局(CA)別方式テーブル定義部と、
前記公開鍵証明証の無効化確認処理時に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者認証局(CA)名取得部と、
前記認証局(CA)別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の無効化確認方式を優先順位に従って決定する処理方式決定部と、
前記処理方式決定部により決定された前記公開鍵証明証の無効化確認方式を用いて、対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証婿か確認部として機能させることを特徴とする公開鍵証明証無効化確認プログラム。A public key certificate invalidation confirmation program, which is executed on an authentication system access device and is necessary when performing electronic signature communication or encryption communication using public key cryptography,
Computer
Creates a method definition table for each CA (Certificate Authority) that defines the available public key certificate invalidation confirmation methods with priorities for each certificate authority that issued public key certificates at the time of initialization. A certificate authority (CA) -specific method table definition unit,
An issuer certificate authority (CA) name acquisition unit that acquires information on the name of the certificate authority of the issuer that issued the public key certificate to be processed during the public key certificate invalidation confirmation process;
A processing method determination unit that refers to the method definition table for each certificate authority (CA) and determines the public key certificate invalidation confirmation method corresponding to the issuing certificate authority name of the public key certificate to be processed according to the priority order;
Using the public key certificate invalidation confirmation method determined by the processing method determination unit, functioning as a public key certificate voucher or confirmation unit for confirming whether or not the target public key certificate is invalidated A public key certificate revocation confirmation program, which is a feature.
コンピュータを
公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得及び無効化確認方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成する認証局(CA)別方式定義テーブル定義部と、
前記公開鍵証明証の取得処理及び無効化確認処理を行う際に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行認証局(CA)名取得部と、
前記認証局(CA)別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行者認証局名に対応する公開鍵証明証の取得及び無効化確認方式を、優先順位に従って決定する処理方式決定部と、
前記処理方式決定部により決定された方式を用いて、前記処理対象の公開鍵証明証を取得する公開鍵証明証取得部と、
前記処理方式決定部により決定された方式を用いて、前記処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効化確認部として機能させるプログラムを格納したことを特徴とする認証システムアクセスプログラムを格納した記憶媒体。A memory that stores an authentication system access program for obtaining public key certificates and confirming revocation, which is necessary for electronic signature communication and encryption communication using public key cryptography, which is executed by the authentication system access device A medium,
Create a method definition table for each CA that defines the methods for obtaining and revoking available public key certificates for each certificate authority that issued the public key certificate. A certificate authority (CA) -specific method definition table definition section,
An issuing certificate authority (CA) name acquisition unit that acquires information on the name of the certificate authority of the issuer that issued the public key certificate to be processed when performing the acquisition process and the invalidation confirmation process of the public key certificate;
A processing method for referring to the method definition table for each certificate authority (CA) and determining a public key certificate acquisition and invalidation confirmation method corresponding to the issuer certificate authority name of the public key certificate to be processed according to the priority order. A decision unit;
Using the method determined by the processing method determination unit, a public key certificate acquisition unit that acquires the public key certificate to be processed;
A program that functions as a public key certificate revocation checking unit for checking whether or not the public key certificate to be processed is invalidated is stored using the method determined by the processing method determining unit. A storage medium storing an authentication system access program.
コンピュータを
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の取得方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成する認証局(CA)別方式定義テーブル定義部と、
公開鍵証明証の取得時に、処理対象の公開鍵証明証を発行した認証局名の情報を取得する発行者認証局(CA)名取得部と、
前記認証局(CA)別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の取得方式を優先順位に従って決定する処理方式決定部と、
前記処理方式決定部により決定された公開鍵証明証の取得方式を用いて、前記対象の公開鍵証明証を取得する公開鍵証明証取得部として機能させるプログラムを格納したことを特徴とする公開鍵証明証取得プログラムを格納した記憶媒体。A storage medium storing a public key certificate acquisition program for acquiring a public key certificate necessary for electronic signature communication and encryption communication using public key encryption, which is executed on an authentication system access device. ,
When initializing the computer, create a method definition table for each certificate authority (CA) that defines the available public key certificate acquisition methods for each certificate authority that issued the public key certificate with priorities. A certificate authority (CA) -specific method definition table definition section,
An issuer certificate authority (CA) name acquisition unit that acquires information on the name of the certificate authority that issued the public key certificate to be processed when acquiring the public key certificate;
A processing method determination unit that refers to the method definition table for each certificate authority (CA) and determines the acquisition method of the public key certificate corresponding to the issuing certificate authority name of the public key certificate to be processed according to the priority order;
A public key storing a program that functions as a public key certificate acquisition unit that acquires the target public key certificate using the public key certificate acquisition method determined by the processing method determination unit A storage medium that stores a certificate acquisition program.
コンピュータを
初期設定時に、公開鍵証明証の発行元の認証局毎に、利用可能な公開鍵証明証の無効化確認方式を、それぞれ優先順位を付けて定義した認証局(CA)別方式定義テーブルを作成する認証局(CA)別方式定義テーブル定義部と、
前記公開鍵証明証の無効化確認処理時に、処理対象の公開鍵証明証を発行した発行元の認証局名の情報を取得する発行者認証局(CA)名取得部と、
前記認証局(CA)別方式定義テーブルを参照し、処理対象の公開鍵証明証の発行認証局名に対応する公開鍵証明証の無効化確認方式を優先順位に従って決定する処理方式決定部と、
前記処理方式決定部により決定された前記公開鍵証明証の無効化確認方式を用いて、前記処理対象の公開鍵証明証の無効化の有無を確認する公開鍵証明証無効確認部として機能させるプログラムを格納したことを特徴とする公開鍵証明証無効化確認プログラムを格納した記憶媒体。A storage medium that stores a public key certificate revocation confirmation program, which is required when performing electronic signature communication or cryptographic communication using public key encryption, executed on an authentication system access device,
Certificate authority (CA) -specific method definition table that defines the available public key certificate invalidation confirmation methods for each certificate authority that issued the public key certificate at the time of initial setting. A method definition table definition section by certificate authority (CA) for creating
An issuer certificate authority (CA) name acquisition unit that acquires information on the name of the certificate authority of the issuer that issued the public key certificate to be processed during the public key certificate invalidation confirmation process;
A processing method determination unit that refers to the method definition table for each certificate authority (CA) and determines the public key certificate invalidation confirmation method corresponding to the issuing certificate authority name of the public key certificate to be processed according to the priority order;
A program that functions as a public key certificate invalidity confirmation unit that confirms whether or not the public key certificate to be processed is invalidated, using the public key certificate invalidation confirmation method determined by the processing method determination unit A storage medium storing a public key certificate revocation confirmation program characterized by storing.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001045626A JP3901463B2 (en) | 2001-02-21 | 2001-02-21 | An authentication system access device, a public key certificate acquisition method, a public key certificate invalidation confirmation method, an authentication system access program, a public key certificate acquisition program, a public key certificate invalidation confirmation program, and an authentication system access program are stored. Storage medium storing storage medium and public key certificate acquisition program, and storage medium storing public key certificate revocation confirmation program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001045626A JP3901463B2 (en) | 2001-02-21 | 2001-02-21 | An authentication system access device, a public key certificate acquisition method, a public key certificate invalidation confirmation method, an authentication system access program, a public key certificate acquisition program, a public key certificate invalidation confirmation program, and an authentication system access program are stored. Storage medium storing storage medium and public key certificate acquisition program, and storage medium storing public key certificate revocation confirmation program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002244558A JP2002244558A (en) | 2002-08-30 |
| JP3901463B2 true JP3901463B2 (en) | 2007-04-04 |
Family
ID=18907388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001045626A Expired - Lifetime JP3901463B2 (en) | 2001-02-21 | 2001-02-21 | An authentication system access device, a public key certificate acquisition method, a public key certificate invalidation confirmation method, an authentication system access program, a public key certificate acquisition program, a public key certificate invalidation confirmation program, and an authentication system access program are stored. Storage medium storing storage medium and public key certificate acquisition program, and storage medium storing public key certificate revocation confirmation program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3901463B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2572810T3 (en) * | 2003-11-19 | 2016-06-02 | Assa Abloy Ab | Discovery and validation of delegated and distributed routes |
| JP4633747B2 (en) * | 2007-01-17 | 2011-02-16 | アイシン・エィ・ダブリュ株式会社 | Information distribution system and information distribution method |
| JP7283614B1 (en) | 2022-05-18 | 2023-05-30 | 凸版印刷株式会社 | Certification authority management system, certification authority management method, and program |
-
2001
- 2001-02-21 JP JP2001045626A patent/JP3901463B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002244558A (en) | 2002-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2434340C2 (en) | Infrastructure for verifying biometric account data | |
| EP3460693B1 (en) | Methods and apparatus for implementing identity and asset sharing management | |
| US6105131A (en) | Secure server and method of operation for a distributed information system | |
| EP1388989B1 (en) | Digital contents issuing system and digital contents issuing method | |
| JP4870777B2 (en) | System, apparatus, method, and program for authenticating communication partner using electronic certificate including personal information | |
| US7478236B2 (en) | Method of validating certificate by certificate validation server using certificate policies and certificate policy mapping in public key infrastructure | |
| JP3588042B2 (en) | Certificate validity checking method and device | |
| US5922074A (en) | Method of and apparatus for providing secure distributed directory services and public key infrastructure | |
| US6988196B2 (en) | Computer system and method for generating a digital certificate | |
| US20030208681A1 (en) | Enforcing file authorization access | |
| CN101180829B (en) | Authentication system, verification device and program | |
| EP1556750A2 (en) | Digital-rights management system | |
| KR20070030284A (en) | System and Method for Implementing Digital Signature Using Disposable Private Key | |
| JP2002514842A (en) | User authentication using virtual private keys | |
| JP4790574B2 (en) | Apparatus and method for managing a plurality of certificates | |
| CN102823217A (en) | certificate authority | |
| JP2009212731A (en) | Card issuing system, card issuing server, and card issuing method, and program | |
| JP2002049311A (en) | Method and system for automatically tracing certificate pedigree | |
| JP2004274211A (en) | Data processing device, its method and its program | |
| EP1515518B1 (en) | Method of setting digital certificate to authenticate communication apparatus | |
| JP2006262393A (en) | Tamper resistant device and file generation method | |
| JP3901463B2 (en) | An authentication system access device, a public key certificate acquisition method, a public key certificate invalidation confirmation method, an authentication system access program, a public key certificate acquisition program, a public key certificate invalidation confirmation program, and an authentication system access program are stored. Storage medium storing storage medium and public key certificate acquisition program, and storage medium storing public key certificate revocation confirmation program | |
| KR100501172B1 (en) | System and Method for Status Management of Wireless Certificate for Wireless Internet and Method for Status Verification of Wireless Certificate Using The Same | |
| CN117807615A (en) | Storage device access method, computing device and readable storage medium | |
| JP4009131B2 (en) | IC card interoperability method and system by common tenant administrator |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20040910 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060731 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061226 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 3901463 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110112 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110112 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120112 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130112 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |