JP2002099647A - Electronic certificate managing device and storage medium - Google Patents
Electronic certificate managing device and storage mediumInfo
- Publication number
- JP2002099647A JP2002099647A JP2000291906A JP2000291906A JP2002099647A JP 2002099647 A JP2002099647 A JP 2002099647A JP 2000291906 A JP2000291906 A JP 2000291906A JP 2000291906 A JP2000291906 A JP 2000291906A JP 2002099647 A JP2002099647 A JP 2002099647A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- identifier
- crl
- bci
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、電子証明、認証、
電子商取引、SET(Secure Electronic Transactio
n)等で使用される電子証明書を管理する電子証明書管
理装置及び記憶媒体に関する。[0001] The present invention relates to electronic certification, authentication,
E-commerce, SET (Secure Electronic Transactio
The present invention relates to an electronic certificate management device and a storage medium for managing electronic certificates used in n) and the like.
【0002】[0002]
【従来の技術】インターネット上の電子ショッピングや
サービス提供の一部としてクレジットカードで決済する
場合があるが、このクレジットカードによる決済のため
のプロトコルであるSETでは、相互の認証に電子証明
書が使用されている。2. Description of the Related Art Payment may be made by credit card as part of electronic shopping and service provision on the Internet. In SET, which is a protocol for payment by credit card, an electronic certificate is used for mutual authentication. Have been.
【0003】このSETで使用される電子証明書の管シ
ステムは、図7に示すように最も上位のレベルに一般公
衆や公的に認められたルート認証局(RCA)が位置
し、この上位レベルのルート認証局(RCA)の下に例
えばマスターカード,VISA,JCB等のカードのブ
ランドを認証するブランド認証局(BCA)が位置す
る。このブランド認証局(BCA)の下には必ずしも必
須でない地政学的認証局(GCA)が位置し、これらブ
ランド認証局(BCA)又は地政学的認証局(GCA)
の下位レベルには、それぞれ発行されたクレジットカー
ドから各カード会員を認証するカード会員認証局(CC
A)、クレジットカードを取り扱う加盟店を認証する加
盟店認証局(MCA)およびペイメントゲートウェイを
介してクレジットカードの決済を実行する銀行ネットワ
ーク上の金融機関を認証するペイメントゲートウェイ認
証局(PCA)が接続されている階層構造となってい
る。In the digital certificate management system used in this SET, as shown in FIG. 7, a general public or a publicly recognized root certification authority (RCA) is located at the highest level. A brand certification authority (BCA) that certifies the brand of a card such as a master card, VISA, JCB, etc., is located under the root certification authority (RCA). Under the Brand Certification Authority (BCA) there are geopolitical certification authorities (GCA) that are not necessarily required, and these Brand Certification Authorities (BCA) or Geopolitical Certification Authorities (GCA)
At the lower level of the Card Member Certificate Authority (CC) that authenticates each card member from each issued credit card
A), a merchant certificate authority (MCA) that authenticates a merchant that handles a credit card and a payment gateway certificate authority (PCA) that authenticates a financial institution on a bank network that executes credit card settlement via a payment gateway It has a hierarchical structure.
【0004】ところで、不正な証明書の利用を防ぐ観点
から、CRLとBCIが使用されている。CRLは失効
させられたが未だ使用期限の切れていない証明書を識別
するための証明書失効リストであり、BCIは特定のブ
ランドについて全てのCRLを識別するリストである。By the way, CRL and BCI are used from the viewpoint of preventing unauthorized use of a certificate. CRL is a certificate revocation list for identifying revoked but not yet expired certificates, and BCI is a list that identifies all CRLs for a particular brand.
【0005】一方、SETで使用される証明書はそれぞ
れの利用目的のもとに発行される。例えばメッセージの
署名を検証するための署名用証明書、暗号化するための
暗号化証明書、証明書を検証するための証明書検証用証
明書、CRLとBCIを検証するためのCRL検証用証
明書などがある。[0005] On the other hand, certificates used in SET are issued for respective purposes. For example, a signature certificate for verifying the signature of the message, an encryption certificate for encryption, a certificate verification certificate for verifying the certificate, and a CRL verification certificate for verifying CRL and BCI. There are books.
【0006】従って、証明書等の信頼性を高めるため
に、CRLとBCIの検証を含めて図8に示すような管
理方法が採用されている。図中,両羽根付きマークは署
名が付いていることを意味する。Therefore, in order to improve the reliability of a certificate or the like, a management method as shown in FIG. 8 including verification of CRL and BCI is adopted. In the figure, a mark with both wings means that a signature is attached.
【0007】この管理方法におけるSETメッセージ
は、必要な証明書、CRL、BCIを添付することによ
り構築される。このSETメッセージは、リクエストメ
ッセージとレスポンスメッセージとが対となるが、その
うちリクエストメッセージには、証明書、CRL、BC
Iのサムプリントを含めることができる。ここで、サム
プリントとは、証明書、CRL、BCIに関し、それぞ
れハッシュ等の演算によって生成される値が用いられ
る。[0007] The SET message in this management method is constructed by attaching necessary certificates, CRLs, and BCIs. In the SET message, a request message and a response message are paired, and the request message includes a certificate, a CRL, and a BC.
I may be included. Here, the thumbprint refers to a certificate, a CRL, and a BCI, each of which is a value generated by an operation such as a hash.
【0008】このリクエストメッセージを受信したエン
ティティは、サムプリントから相手が持っている証明
書、CRL、BCIを知ることができるので、一方のレ
スポンスメッセージには、相手の持っていない証明書、
CRL、BCIのみを添付する。よって、レスポンスメ
ッセージを解析する際、全ての証明書、CRL、BCI
を確認する必要がなくなり、処理が簡略化できる。[0008] The entity receiving this request message can know the certificate, CRL, and BCI of the other party from the thumbprint. Therefore, one of the response messages contains a certificate that the other party does not have.
Attach only CRL and BCI. Therefore, when analyzing the response message, all certificates, CRLs, BCIs
Need not be confirmed, and the processing can be simplified.
【0009】従来、加盟店におけるSETで使用される
証明書、CRL、BCIの管理方法とメッセージ構築時
の手順について説明する。なお、地政学的認証局(GC
A)は任意的であるので、ここでは省略して説明する。
また、証明書、CRL、BCIは、それぞれ1通ずつの
ファイルとして管理する。Conventionally, a method of managing certificates, CRLs, and BCIs used in SET at a member store and a procedure for constructing a message will be described. The Geopolitical Certification Authority (GC
A) is optional and will not be described here.
The certificate, CRL, and BCI are each managed as one file.
【0010】以下、加盟店からペイメントゲートウェイ
にメッセージを送信する際、加盟店は次のような手順に
従ってメッセージを構築する。すなわち、加盟店は、図
8に示すようにメッセージの解析及び構築に必要な加盟
店署名用証明書と加盟店暗号化用証明書とを添付する。
さらに、加盟店署名用証明書と加盟店暗号化証明書とを
検証するためのMCA証明書検証用証明書、このMCA
証明書検証用証明書を検証するためのBCA証明書検証
用証明書、このBCA証明書検証用証明書を検証するた
めのRCA証明書検証用証明書も添付する。これらMC
A証明書検証用証明書、BCA証明書検証用証明書、R
CA証明書検証用証明書は、それぞれ検証する証明書の
署名に関するID情報をもとに検索しながら取り出して
いく。Hereinafter, when transmitting a message from the member store to the payment gateway, the member store constructs the message according to the following procedure. That is, the member store attaches the member store signature certificate and the member store encryption certificate necessary for analyzing and constructing the message, as shown in FIG.
Further, an MCA certificate verification certificate for verifying the merchant signing certificate and the merchant encryption certificate.
A BCA certificate verification certificate for verifying the certificate verification certificate and an RCA certificate verification certificate for verifying the BCA certificate verification certificate are also attached. These MC
A certificate for certificate verification, BCA certificate verification certificate, R
The CA certificate verification certificate is retrieved and retrieved based on ID information relating to the signature of the certificate to be verified.
【0011】また、メッセージ解析時に使用するペイメ
ントゲートウェイの署名用証明書と暗号用証明書とを持
っている場合、これら証明書のサムプリント、ペイメン
トゲートウェイの証明書を検証するためのPCA証明書
検証用証明書のサムプリント、このPCA証明書検証用
証明書を検証するためのBCA証明書検証用証明書のサ
ムプリント、さらに当該BCA証明書検証用証明書を検
証するためのRCA証明書検証用証明書のサムプリント
等についても同様に検索しながら取り出す。[0011] In addition, when a signature certificate and an encryption certificate of the payment gateway used at the time of message analysis are provided, a thumbprint of these certificates and a PCA certificate verification for verifying the payment gateway certificate are provided. Thumbprint of the BCA certificate verification certificate for verifying the PCA certificate verification certificate, and RCA certificate verification thumbprint of the BCA certificate verification certificate for verifying the PCA certificate verification certificate The thumbprint and the like of the certificate are also retrieved while being similarly searched.
【0012】さらに、該当するPCA、BCA、RCA
が発行したそれぞれのCRLを検索してそのサムプリン
ト、BCAが発行したBCIも検索してそのサムプリン
トも取り出す必要がある。Further, the corresponding PCA, BCA, RCA
It is necessary to retrieve each CRL issued by the BCA and retrieve its thumbprint, and also retrieve the BCI issued by the BCA to retrieve the thumbprint.
【0013】[0013]
【発明が解決しようとする課題】従って、以上のような
加盟店で取り扱うSETの証明書、CRL、BCIの管
理方法では、メッセージの構築に際し、各証明書とそれ
ら証明書を検証する証明書と関連付けを見つけながら各
証明書を取出すことから、各証明書とそれら証明書を検
証する証明書との関連付けを見つけ出すことが難しく、
メッセージの作成に時間がかかる問題がある。また、サ
ムプリントを取り出すために、全部のファイルをデコー
ドしながら検索する必要があり、処理効率が非常に悪い
問題がある。Therefore, in the management method of the SET certificate, the CRL, and the BCI handled by the member store as described above, when constructing a message, each certificate and a certificate for verifying the certificate are required. Retrieving each certificate while finding the association makes it difficult to find the association between each certificate and the certificate that verifies them,
There is a problem that it takes time to compose a message. In addition, in order to extract the thumbprint, it is necessary to search while decoding all the files, and there is a problem that the processing efficiency is very poor.
【0014】本発明は上記事情に鑑みてなされたもの
で、証明書及びその検証用証明書やサムプリントを迅速
に取り出す電子証明書管理装置を提供することにある。The present invention has been made in view of the above circumstances, and it is an object of the present invention to provide an electronic certificate management device for quickly extracting a certificate, its verification certificate, and a thumbprint.
【0015】また、本発明の他の目的は、証明書及びそ
の検証用証明書やサムプリントを迅速に取り出すプログ
ラムを記憶した記憶媒体を提供することにある。Another object of the present invention is to provide a storage medium storing a certificate, a certificate for verifying the certificate, and a program for quickly extracting a thumbprint.
【0016】[0016]
【課題を解決するための手段】(1) 上記課題を解決
するために、電子証明書管理システムの下位レベルに接
続される本発明に係わる電子証明書管理装置において、
少なくともレコード識別子、検証識別子および証明書を
記録する項目をもつ証明書管理テーブルを設け、前記検
証識別子と前記レコード識別子とを関係付けることによ
り、メッセージに添付する証明書を取り出す構成であ
る。(1) In order to solve the above problems, in an electronic certificate management apparatus according to the present invention connected to a lower level of an electronic certificate management system,
A certificate management table having at least a record identifier, a verification identifier, and an item for recording a certificate is provided, and a certificate attached to a message is extracted by associating the verification identifier with the record identifier.
【0017】本発明は以上のような構成とすることによ
り、証明書管理テーブルの検証識別子とレコード識別子
とが関係付けられているので、例えば自証明書を取出し
た後、この自証明書のレコードに対応する検証識別子の
項目にレコード識別子が記録されているとき、レコード
識別子のレコードの証明書を取出し、この証明書を取出
した後、同様に検証識別子に記録されるレコード識別子
を辿りながら証明書を取り出すことができ、証明書及び
その検証用証明書を迅速に取出すことが可能である。According to the present invention, since the verification identifier and the record identifier of the certificate management table are associated with each other, for example, after extracting the self-certificate, the record of the self-certificate is obtained. When the record identifier is recorded in the item of the verification identifier corresponding to, the certificate of the record of the record identifier is taken out, and after this certificate is taken out, the certificate is traced similarly to the record identifier recorded in the verification identifier. Can be taken out, and the certificate and its verification certificate can be taken out quickly.
【0018】なお、以上のような構成の電子証明書管理
装置において、証明書管理テーブルにCRL識別子及び
BCI識別子の何れか一方又は両方を記録する項目を付
加し、さらにCRL/BCI識別子及びCRL/BCI
を管理するCRL/BCI管理テーブルを設け、前記証
明書管理テーブルのCRL識別子、BCI識別子と前記
CRL/BCI管理テーブルのCRL識別子,BCI識
別子とを関係付ける構成とすれば、上位レベルから発行
される証明書に対応する前記証明書管理テーブルのレコ
ードのCRL識別子、BCI識別子に基づき、CRL/
BCI管理テーブルから迅速にCRL/BCIを取り出
すことも可能である。In the electronic certificate management device having the above-described configuration, an item for recording one or both of the CRL identifier and the BCI identifier is added to the certificate management table, and the CRL / BCI identifier and the CRL / BCI
A CRL / BCI management table for managing the CRL / BCI identifier of the certificate management table and the CRL identifier / BCI identifier of the CRL / BCI management table are issued from a higher level. Based on the CRL identifier and BCI identifier of the record of the certificate management table corresponding to the certificate,
It is also possible to quickly retrieve the CRL / BCI from the BCI management table.
【0019】さらに、証明書管理テーブル及びCRL/
BCI管理テーブルにサムプリントの項目を追加すれ
ば、証明書、CRL、BCIのサムプリントを容易に取
出し可能である。Further, a certificate management table and CRL /
If a thumbprint item is added to the BCI management table, the thumbprint of the certificate, CRL, and BCI can be easily taken out.
【0020】(2) 少なくともレコード識別子、検証
識別子および証明書を記録する項目を持ち、前記検証識
別子と前記レコード識別子とを関係付けした証明書管理
テーブルを有し、証明書取出用プログラムを記憶する記
憶媒体であって、この記憶媒体に、前記証明書管理テー
ブルから自証明書を取り出す自証明書取出機能と、この
取出機能により取り出した証明書に対応して検証識別子
が有るか否かを判断する検証識別子有無判断機能と、こ
の判断機能により検証識別子有りと判断されたとき、こ
の検証識別子に基づいて前記証明書管理テーブルの検証
識別子を前記レコード識別子とし、当該レコード識別子
に対応するレコードか前記証明書を取り出す検証識別子
証明書取出機能と、この取り出した証明書に前記検証識
別子が有れば、前記検証識別子証明書取出機能を繰り返
し機能とを実行する証明書取出用プログラムを記憶すれ
ば、そのプログラムをコンピュータで読み取ることによ
り、以上のような各種の機能を実現できる。(2) It has at least items for recording a record identifier, a verification identifier, and a certificate, has a certificate management table in which the verification identifier is associated with the record identifier, and stores a certificate retrieval program. A storage medium for extracting a self-certificate from the certificate management table, and determining whether or not a verification identifier exists in the storage medium in correspondence with the certificate extracted by the extraction function; A verification identifier presence / absence determination function, and when the determination function determines that a verification identifier is present, the verification identifier of the certificate management table is used as the record identifier based on the verification identifier, and whether the record corresponding to the record identifier is A verification identifier for retrieving a certificate; a certificate retrieval function; if the retrieved certificate has the verification identifier, the If a certificate extracting program for executing the function of repeatedly performing the verification identifier certificate extracting function is stored, the above various functions can be realized by reading the program with a computer.
【0021】[0021]
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。Embodiments of the present invention will be described below with reference to the drawings.
【0022】図1は本発明に係わる電子証明書管理装置
の一実施の形態を示す構成図である。FIG. 1 is a block diagram showing one embodiment of an electronic certificate management device according to the present invention.
【0023】この電子証明書管理装置は、前述する管理
方法をとった場合、カード会員側装置、加盟店側装置、
ペイメントゲートウェイの何れか1つの装置または全部
の装置に相当するものである。以下、本発明に係わる電
子証明書管理装置は、説明の便宜上、加盟店側装置に適
用した例について説明する。When this electronic certificate management device adopts the management method described above, the card member side device, the member store side device,
It corresponds to one device or all devices of the payment gateway. Hereinafter, an example in which the electronic certificate management device according to the present invention is applied to a member store side device will be described for convenience of description.
【0024】この電子証明書管理装置は、インターネッ
ト,イントラネットなどのネットワーク1に接続され、
加盟店側装置本体となるCPUなどで構成される証明書
管理処理部本体2と、証明書、CRL、BCIなどを管
理するための証明書等を保存するテーブル群3と、所要
とする処理用プログラムを記憶する記憶媒体4と、受信
したメッセージに含まれる証明書その他所要とするデー
タの蓄積、前記テーブル群3の作成等に用いられるデー
タベース5とによって構成されている。なお、ネットワ
ーク1には、図示されていないが、図7に示すカード会
員側装置、各種の認証局およびペイメントゲートウェイ
などが接続されている。This electronic certificate management device is connected to a network 1 such as the Internet or an intranet.
A certificate management processing unit main body 2 composed of a CPU or the like serving as a member store-side apparatus main body, a table group 3 for storing certificates for managing certificates, CRLs, BCIs, etc., and required processing It comprises a storage medium 4 for storing a program, and a database 5 used for storing certificates and other necessary data included in the received message and for creating the table group 3. Although not shown, the card 1 shown in FIG. 7, various certificate authorities, a payment gateway, and the like are connected to the network 1.
【0025】前記テーブル群3は、図2に示すような証
明書管理テーブル11、図3に示すようなCRI管理テ
ーブル12及びBCI管理テーブル13が設けられてい
る。なお、このテーブル群3のうち、少なくとも証明書
管理テーブル1を必須とするものであり、他のテーブル
2は必要に応じて設けられるものである。The table group 3 includes a certificate management table 11 as shown in FIG. 2, a CRI management table 12 and a BCI management table 13 as shown in FIG. Note that, of the table group 3, at least the certificate management table 1 is essential, and the other tables 2 are provided as needed.
【0026】この証明書管理テーブル11は、各レコー
ドを識別する識別子であるID、どのエンティティでの
証明書なのかを表す種類、署名用・暗号化用・証明書検
証用・CRL検証用等,何れの利用に供するかを示す利
用目的、証明書を所持する機関を表すSubjectDN、発行
機関を表すIssuerDN、発行したBCIを示すBCI−I
D、発行したCRLを示すCRL−ID、証明書を検証
できる証明書のレコードを示すための検証ID、証明書
本体及びハッシュ値等で表すサムプリントの項目が設け
られ、各項目にはそれぞれ必要事項が記録されている。The certificate management table 11 includes an ID which is an identifier for identifying each record, a type indicating which entity is the certificate, a signature, an encryption, a certificate verification, a CRL verification, etc. The purpose of use indicating which type of use is to be provided, the SubjectDN indicating the institution holding the certificate, the IssuerDN indicating the issuing institution, and the BCI-I indicating the issued BCI
D, a CRL-ID indicating the issued CRL, a verification ID indicating a record of the certificate that can verify the certificate, and a thumbprint item represented by the certificate body and a hash value are provided. Matters are recorded.
【0027】次に、CRI管理テーブル12には、各レ
コードを識別する識別子であるCRL−ID、CRL本
体及びハッシュ値等で表すサムプリントが記録されてい
る。また、BCI管理テーブル13には、各レコードを
識別する識別子であるBCI−ID、BCI本体及びハ
ッシュ値等で表すサムプリントが記録されている。Next, in the CRI management table 12, a CRL-ID which is an identifier for identifying each record, a CRL body, a thumbprint represented by a hash value, and the like are recorded. The BCI management table 13 records a BCI-ID, which is an identifier for identifying each record, a BCI body, and a thumbprint represented by a hash value or the like.
【0028】因みに、加盟店証明書の場合、識別子ID
1には利用目的として署名用、ID2には暗号用が管理
されている。この加盟店証明書を発行したのはMCAで
あり、このMCAの証明書検証用証明書により加盟店証
明書を検証できるので、検証IDとしてMCAの証明書
検証用証明書の管理されているIDである「7」が記録
されている。Incidentally, in the case of a member store certificate, the identifier ID
1 manages a signature purpose and ID2 manages an encryption purpose. It is the MCA that issued the merchant certificate, and the merchant certificate can be verified using the certificate for the MCA certificate verification. Therefore, an ID managed by the MCA certificate verification certificate is used as the verification ID. Is recorded.
【0029】次に、PGWY証明書は、ID3に署名
用、ID4に暗号用が管理されている。このPGWY証
明書を発行したのはPCAであり、このPCAの証明書
検証用証明書によりPGWY証明書を検証できるので、
検証IDとしてPCAの証明書検証用証明書の管理され
ているIDである「8」が記録されている。Next, in the PGWY certificate, signature for ID3 and encryption for ID4 are managed. It is the PCA that issued the PGWY certificate, and the PGWY certificate can be verified using the certificate for certificate verification of the PCA.
“8”, which is an ID managed by the PCA certificate verification certificate, is recorded as the verification ID.
【0030】また、MCA証明書は、ID5に署名用、
ID6に暗号用、ID7に証明書検証用が管理されてい
る。このMCA証明書を発行したのはBCAであり、B
CAの証明書検証用証明書によりMCA証明書を検証で
きるので、検証IDとして「10」が記録されている。Also, the MCA certificate is used for signing ID5,
ID6 manages encryption and ID7 manages certificate verification. The BCA issued this MCA certificate.
Since the MCA certificate can be verified by the CA certificate verification certificate, “10” is recorded as the verification ID.
【0031】さらに、PCA証明書は、ID8に証明書
検証用、ID9にCRL検証用が管理されている。この
PCAが発行したCRLはCRL管理テーブル12のC
RL−ID1に管理されているので、証明書管理テーブ
ル11のPCA証明書検証用証明書レコードのCRL−
IDに「1」が記録されている。PCA証明書を発行し
たのはBCAであり、このBCAの証明書検証用証明書
によりPCA証明書を検証できるので、検証IDとして
「10」が記録されている。In the PCA certificate, ID8 for certificate verification and ID9 for CRL verification are managed. The CRL issued by this PCA is the CRL in the CRL management table 12.
Since it is managed by RL-ID1, the CRL-ID of the PCA certificate verification certificate record in the certificate management table 11 is stored.
“1” is recorded in the ID. It is the BCA that issued the PCA certificate, and since the PCA certificate can be verified using the certificate for verifying the BCA, “10” is recorded as the verification ID.
【0032】さらに、BCA証明書は、ID10に証明
書検証用、ID11にCRL検証用が管理されている。
このBCAが発行したCRLはCRL管理テーブル12
のCRL−ID2に管理されているので、証明書管理テ
ーブル11のBCA証明書検証用証明書のレコードのC
RL−IDに「2」が記録されている。さらに、BCA
が発行したBCIは、BCI管理テーブル13のBCI
−ID1に管理されているので、証明書管理テーブル1
1のBCA証明書検証用証明書のレコードのBCI−I
Dに「1」が記録されている。BCA証明書を発行した
のはRCAであり、このRCAの証明書検証用証明書に
よりBCA証明書を検証できるので、検証IDとして
「12」が記録されている。In the BCA certificate, ID10 for certificate verification and ID11 for CRL verification are managed.
The CRL issued by this BCA is the CRL management table 12
Of the BCA certificate verification certificate record in the certificate management table 11
“2” is recorded in the RL-ID. In addition, BCA
Issued by the BCI in the BCI management table 13
-Certificate management table 1 because it is managed by ID1
BCI-I of the record of the BCA certificate verification certificate 1
“1” is recorded in D. It is the RCA that issued the BCA certificate, and since the BCA certificate can be verified by the RCA certificate verification certificate, “12” is recorded as the verification ID.
【0033】さらに、RCA証明書は、ID12に証明
書検証用が管理されている。このRCA証明書は、RC
A自身で発行したものであるので、検証IDはNULL
である。Further, the RCA certificate is managed in the ID 12 for certificate verification. This RCA certificate is RC
A is issued by itself, so the verification ID is NULL
It is.
【0034】次に、以上のようなテーブル群3を用いた
ときの種々の動作例について説明する。Next, various operation examples when the above-described table group 3 is used will be described.
【0035】(1) 証明書管理装置である例えば加盟
店側装置が以上のようなテーブル11〜13を用いてペ
イメントゲートウェイに送信すべきメッセージを構築す
る手順について説明する。(1) A procedure for constructing a message to be transmitted to the payment gateway by the certificate management device, for example, a member store device using the above tables 11 to 13 will be described.
【0036】加盟店側装置は、メッセージに添付する証
明書をすべて取り出す。添付する証明書は、自身の証明
書であるので、証明書管理テーブル11から加盟店署名
用証明書と加盟店暗号用証明書とを取り出すが、これは
ID1とID2で示されるレコードの証明書本体から取
り出す。このとき、検証IDも取り出す。この検証ID
は「7」となっているので、当該証明書管理テーブル1
1のID7で示されるレコードの証明書本体を取り出
し、同様に検証IDも取り出す。この検証IDは「1
0」となっているので、証明書管理テーブル11のID
10で示される証明書本体を取り出し、同様に検証ID
も取り出す。この検証IDは「12」となっているの
で、同様に証明書管理テーブル11のID12で示され
る証明書本体を取り出す。このID12で示される証明
書のレコードの検証IDはNULLとなっているので、
検索は終了する。以上のようにして取り出した証明書全
てをメッセージに添付し、ペイメントゲートウェイに送
信する。The member store apparatus takes out all the certificates attached to the message. Since the attached certificate is its own certificate, the certificate for signing the affiliated store and the certificate for encrypting the affiliated store are extracted from the certificate management table 11, which are the certificates of the records indicated by ID1 and ID2. Remove from the main unit. At this time, the verification ID is also taken out. This verification ID
Is “7”, the certificate management table 1
The certificate body of the record indicated by ID7 of No. 1 is taken out, and the verification ID is taken out similarly. This verification ID is "1
0 ”, the ID of the certificate management table 11
Take out the certificate body indicated by 10, and similarly check the verification ID
Also take out. Since the verification ID is “12”, the certificate body indicated by ID 12 in the certificate management table 11 is similarly extracted. Since the verification ID of the record of the certificate indicated by the ID 12 is NULL,
The search ends. All the certificates retrieved as described above are attached to the message and transmitted to the payment gateway.
【0037】従って、以上のような実施の形態によれ
ば、例えば加盟店側装置は、各種の証明書を取り出すに
際し、証明書管理テーブル11等の検証IDに記録され
るレコードIDを順次辿りながら所要とする証明書を取
り出せるので、送信すべきメッセージを迅速に作成する
ことができる。Therefore, according to the above-described embodiment, for example, the member store side device sequentially retrieves various certificates while sequentially tracing the record IDs recorded in the verification IDs of the certificate management table 11 and the like. Since a required certificate can be taken out, a message to be transmitted can be created quickly.
【0038】(2) 加盟店側装置は、メッセージを送
信後、相手側であるペイメントゲートウェイ側から送ら
れてくる証明書についてサムプリントを生成する例につ
いて説明する。(2) An example will be described in which the member store-side device generates a thumbprint for a certificate sent from the payment gateway that is the partner after transmitting the message.
【0039】サムプリントの生成処理は、相手側から送
られてくるべき証明書であって、既に持っているものに
添付するので、PGWY署名用証明書、PGWY暗号用
証明書、これらの証明書を検証する証明書、証明書の管
理形態での上位レベルに位置するエンティティから発行
されるCRL、BCIについてのサムプリントを取り出
すものである。In the process of generating the thumbprint, since the certificate to be sent from the other party is attached to the certificate already possessed, the certificate for the PGWY signature, the certificate for the PGWY encryption, and these certificates are used. And a thumbprint for the CRL and BCI issued from an entity located at a higher level in the certificate management form.
【0040】先ず、証明書管理テーブル11のID3と
ID4で示されるPGWYのPGWY署名用証明書、P
GWY暗号用証明書からそれぞれ生成されているサムプ
リントを取り出す。このとき、検証IDも取り出す。検
証IDは「8」であるので、証明書管理テーブル11の
ID8で示されるレコードの証明書から生成されている
サムプリントを取り出す。First, the PGWY PGWY signature certificate indicated by ID3 and ID4 in the certificate management table 11,
The generated thumbprints are extracted from the GWY encryption certificate. At this time, the verification ID is also taken out. Since the verification ID is “8”, the thumbprint generated from the certificate of the record indicated by ID8 in the certificate management table 11 is extracted.
【0041】ところで、ID8のレコードのCRL−I
Dには「1」が記録されているので、CRL管理テーブ
ル12のCRL−ID1のCRLのサムプリントも取り
出す。さらに、テーブル11のID8のレコードの検証
IDが「10」であるので、証明書管理テーブル11の
ID10で示されるレコードの証明書から生成されてい
るサムプリントを取り出す。該当レコードのBCI−I
Dに「1」が記録されているので、BCI管理テーブル
13からBCI−IDのBCIのサムプリントを取り出
し、さらにテーブル11の該当レコードのCRL−ID
に「2」が記録されているので、CRL管理テーブル1
2のCRL−ID2のCRLのサムプリントを取り出
す。このテーブル11の該当レコードの検証IDが「1
2」であるので、証明書管理テーブル11のID12で
示されるレコードの証明書から生成されているサムプリ
ントを取り出す。By the way, CRL-I of the record of ID8
Since “1” is recorded in D, the CRL thumbprint of CRL-ID1 in the CRL management table 12 is also extracted. Further, since the verification ID of the record of ID 8 in the table 11 is “10”, the thumbprint generated from the certificate of the record indicated by ID 10 in the certificate management table 11 is extracted. BCI-I of the record
Since “1” is recorded in D, the BCI thumbprint of the BCI-ID is extracted from the BCI management table 13, and the CRL-ID of the corresponding record in the table 11 is further extracted.
Is recorded in the CRL management table 1
2 to extract the CRL-ID2 CRL thumbprint. The verification ID of the record in the table 11 is “1”.
2 ”, the thumbprint generated from the certificate of the record indicated by ID 12 in the certificate management table 11 is extracted.
【0042】そして、以上のようにして取り出した証明
書、CRL、BCIの全てのサムプリントをリクエスト
メッセージに添付することにより、ペイメントゲートウ
ェイは、該当する証明書、CRL、BCIを持っている
ので、レスポンスメッセージに添付しない。Then, by attaching all the thumbprints of the certificate, CRL, and BCI extracted as described above to the request message, the payment gateway has the corresponding certificate, CRL, and BCI. Do not attach to the response message.
【0043】従って、以上のような実施の形態によれ
ば、全ての証明書のサムプリントを取り出すに際し、証
明書管理テーブル11等の検証ID、BCI−IDおよ
びCRL−IDの項目に記録されるレコードID、テー
ブル12,13のレコードIDを辿りながら各証明書か
ら生成されたサムプリントを取り出すので、サムプリン
トを迅速に取り出すことができ、処理効率を大幅に向上
させることができる。Therefore, according to the above-described embodiment, when the thumbprints of all the certificates are taken out, they are recorded in the items of the verification ID, BCI-ID and CRL-ID in the certificate management table 11 and the like. Since the thumbprint generated from each certificate is taken out while tracing the record ID and the record ID of the tables 12 and 13, the thumbprint can be taken out quickly, and the processing efficiency can be greatly improved.
【0044】(3) 加盟店側装置における各種テーブ
ル11〜13の作成について。(3) Creation of various tables 11 to 13 in the member store side device.
【0045】a. 証明書管理テーブル11の作成例。A. 9 is an example of creating a certificate management table 11.
【0046】先ず、証明書管理テーブル11の作成に際
し、データベース5には証明書管理テーブル11の各項
目をもつ証明書管理テーブル相当テーブルが作成され、
そのテーブルの中の予め知り得る項目には必要な事項が
記録されているものとする。First, when the certificate management table 11 is created, a table corresponding to the certificate management table having each item of the certificate management table 11 is created in the database 5.
It is assumed that necessary items are recorded in items that can be known in advance in the table.
【0047】この状態において加盟店側装置が各種の証
明書を含むメッセージを受信するが、この証明書を検証
する証明書検証用証明書の情報には、証明書管理テーブ
ル11などを作成するための各種の証明書の情報が含ま
れている。In this state, the member store apparatus receives a message including various certificates. The information of the certificate for verifying the certificate includes the certificate management table 11 and the like. The information of various certificates is included.
【0048】そこで、加盟店側装置は、受信された証明
書を検証する検証用証明書の情報をもとに、データベー
ス5の証明書管理テーブル相当テーブルから検証用証明
書のレコードを検索し、そのレコードのIDを取り出
す。しかる後、受信した証明書をデータベース5の証明
書管理テーブル相当テーブルに記録するに際し、当該受
信された証明書に対応する検証IDに前記検索により取
出したIDを記録する。Therefore, the member store side apparatus searches the record of the verification certificate from the table corresponding to the certificate management table of the database 5 based on the information of the verification certificate for verifying the received certificate. The ID of the record is taken out. Thereafter, when the received certificate is recorded in the table corresponding to the certificate management table of the database 5, the ID retrieved by the search is recorded in the verification ID corresponding to the received certificate.
【0049】以下、各証明書に関し、これら証明書を検
証する検証用証明書の情報に基づき、検証IDとレコー
ドIDとの関係付けを行うことにより、証明書管理テー
ブル相当テーブルを作成する。Hereinafter, for each certificate, a table corresponding to a certificate management table is created by associating a verification ID with a record ID based on information of a verification certificate for verifying these certificates.
【0050】そして、以上のようにして作成された証明
書管理テーブル相当テーブルを正式の証明書管理テーブ
ル11として使用することが可能となる。 b. CRL管理テーブル12の作成例。The table equivalent to the certificate management table created as described above can be used as the formal certificate management table 11. b. 6 is an example of creating a CRL management table 12.
【0051】前記(3)aと同様にデータベース5上に
CRL管理テーブル12に相当するCRL管理テーブル
相当テーブルを作成し、予め知り得る必要事項が記述さ
れている。この状態において、受信したメッセージにC
RLが含まれている場合、そのCRLを検証する検証用
証明書の情報には、CRL管理テーブル12を作成する
ための情報が含まれている。そこで、CRLを検証する
CRL検証用証明書の情報をもとに、データベース5の
証明書管理テーブル相当テーブルを検索し、ID9を検
索できる。A CRL management table equivalent table corresponding to the CRL management table 12 is created on the database 5 in the same manner as in (3) a, and necessary items that can be known in advance are described. In this state, the received message
When the RL is included, the information of the verification certificate for verifying the CRL includes information for creating the CRL management table 12. Thus, based on the information of the CRL verification certificate for verifying the CRL, a table corresponding to the certificate management table of the database 5 can be searched, and the ID 9 can be searched.
【0052】ところで、証明書管理テーブル相当テーブ
ルには、CRL検証用証明書のレコードのIDと同じSu
bjectである証明書検証用証明書のレコードとしてID
8を検索する。このID8で示されるレコードのCRL
−ID1にはCRL管理テーブル相当テーブルに蓄積し
たときのCRL−ID1,つまり「1」を記録する。By the way, in the table equivalent to the certificate management table, the same SuR as the ID of the record of the CRL verification certificate is stored.
ID as the record of the certificate for certificate verification which is bject
Search for 8. CRL of the record indicated by this ID8
CRL-ID1, which is stored in the table corresponding to the CRL management table, that is, "1" is recorded in -ID1.
【0053】このようにしてCRL管理テーブル相当テ
ーブルを作成したならば、これを正式のCRL管理テー
ブル12として利用するものである。When a table corresponding to the CRL management table is created in this way, this is used as the formal CRL management table 12.
【0054】従って、以上のように作成することによ
り、サムプリントは、証明書検証用証明書によるリンク
によってCRL管理テーブル相当テーブルから取り出す
ことができ、発行したCRLも同時に取出すことが可能
となる。Therefore, by creating as described above, the thumbprint can be taken out from the table corresponding to the CRL management table by the link using the certificate for certificate verification, and the issued CRL can be taken out at the same time.
【0055】c. BCI管理テーブル13の作成例。C. 6 is an example of creating a BCI management table 13.
【0056】前記(3)aと同様にデータベース5上に
BCI管理テーブル13に相当するBCI管理テーブル
相当テーブルを作成し、予め知り得る必要事項が記述さ
れている。この状態において、受信したメッセージにB
CIが含まれている場合、そのBCIを検証する検証用
証明書の情報には、BCI管理テーブル13を作成する
ための情報が含まれている。そこで、BCIを検証する
BCI検証用証明書の情報をもとに、データベース5の
証明書管理テーブル相当テーブルを検索し、ID11を
検索できる。A BCI management table equivalent table corresponding to the BCI management table 13 is created on the database 5 in the same manner as in (3) a, and necessary items that can be known in advance are described. In this state, the received message
When the CI is included, the information on the verification certificate for verifying the BCI includes information for creating the BCI management table 13. Therefore, based on the information of the BCI verification certificate for verifying the BCI, a table corresponding to the certificate management table of the database 5 can be searched, and the ID 11 can be searched.
【0057】ところで、証明書管理テーブル相当テーブ
ルには、BCI検証用証明書のレコードのIDと同じSu
bjectDNである証明書検証用証明書のレコードとしてI
D10を検索する。このID10で示されるレコードの
BCI−ID1には前述したBCI管理テーブル相当テ
ーブルに蓄積したときのBCI−ID1を記録する。The certificate management table-equivalent table has the same Su as the record ID of the BCI verification certificate.
I as the record of the certificate for certificate verification
Search for D10. In BCI-ID1 of the record indicated by ID10, BCI-ID1 stored in the above-described table corresponding to the BCI management table is recorded.
【0058】このようにしてBCI管理テーブル相当テ
ーブルを作成したならば、これを正式のBCI管理テー
ブル13として利用するものである。After the table corresponding to the BCI management table is created in this way, this table is used as the formal BCI management table 13.
【0059】従って、以上のように作成することによ
り、サムプリントは、証明書検証用証明書によるリンク
によってBCI管理テーブル相当テーブルから取り出す
ことが出来、このとき発行したBCIも同時に取出すこ
とが可能となる。Therefore, by making the above, the thumbprint can be taken out from the table corresponding to the BCI management table by the link using the certificate for certificate verification, and the BCI issued at this time can be taken out at the same time. Become.
【0060】(4) 次に、本発明に係わる記憶媒体4
に記憶されるプログラムの一連の処理について説明す
る。(4) Next, the storage medium 4 according to the present invention
A series of processes of the program stored in the program will be described.
【0061】a.証明書取出処理について。A. About certificate removal processing.
【0062】管理処理部本体2は、記憶媒体4に記憶さ
れるプログラムを読み出し、適宜なバッファ(図示せ
ず)に移した後、図4に示す処理,すなわち、前記
(1)に相当するメッセージ構築するための証明書の取
出処理を実行する。After reading the program stored in the storage medium 4 and transferring it to an appropriate buffer (not shown), the management processing unit main body 2 executes the processing shown in FIG. 4, ie, the message corresponding to the above (1). Executes the process of extracting the certificate for construction.
【0063】管理処理部本体2は、最初に証明書管理テ
ーブル11からエンティティ自身を証明するための証明
書(自証明書)を取り出す(S1:自証明書取出機
能)。しかる後、取り出した証明書に検証IDが有るか
否かを判断し(S2:検証ID有無判断機能)、検証I
D有りと判断されたとき、この検証IDに基づいて証明
書管理テーブル11の前記検証IDをIDとするレコー
ドから証明書を取り出す(S3:検証ID証明書取出機
能)。The management processing unit body 2 first extracts a certificate (own certificate) for certifying the entity itself from the certificate management table 11 (S1: own certificate extracting function). Thereafter, it is determined whether or not the extracted certificate has a verification ID (S2: verification ID presence / absence determination function).
When it is determined that there is D, a certificate is extracted from the record having the verification ID as an ID in the certificate management table 11 based on the verification ID (S3: verification ID certificate extraction function).
【0064】さらに、ステップS3で取り出した証明書
に検証IDが有るか否かを判断し(S2)、有りの場合
には再度その検証IDをIDとし、証明書管理テーブル
11から証明書を取り出す。以後、検証IDが存在する
限り、証明書管理テーブル11からその検証IDをID
とする証明書の取出処理を繰り返す。Further, it is determined whether or not the certificate extracted in step S3 has a verification ID (S2), and if so, the verification ID is set as an ID again, and the certificate is extracted from the certificate management table 11. . Thereafter, as long as the verification ID exists, the verification ID is set to the ID from the certificate management table 11.
Is repeated.
【0065】そして、ステップS2において検証ID無
しの場合には証明書の検索・取出処理を終了する。If there is no verification ID in step S2, the search / retrieval processing of the certificate is terminated.
【0066】b.サムプリント取出処理について。B. Thumbprint removal process.
【0067】管理処理部本体2は、記憶媒体4に記憶さ
れるプログラムを読み出し、適宜なバッファ(図示せ
ず)に移した後、図5に示す処理,すなわち、前記
(2)に相当するサムプリント取出処理を実行する。The management processing unit main body 2 reads out the program stored in the storage medium 4 and transfers it to an appropriate buffer (not shown), and then executes the processing shown in FIG. 5, that is, the sum corresponding to the above (2). Execute the print removal process.
【0068】管理処理部本体2は、最初に証明書管理テ
ーブル11から相手証明書のサムプリントを取り出す
(S11:相手証明書サムプリント取出機能)。しかる
後、取り出した証明書に検証IDが有るか否かを判断し
(S12:検証ID有無判断機能)、検証ID有りと判
断されたとき、証明書管理テーブル11から当該検証I
DをIDとする証明書のサムプリントを取り出す(S1
3:検証ID対応証明書サムプリント取出機能)。First, the management processing unit main body 2 takes out the thumbprint of the other party certificate from the certificate management table 11 (S11: function of taking out the other party certificate thumbprint). Thereafter, it is determined whether or not the extracted certificate has a verification ID (S12: Verification ID presence / absence determination function).
Take out the thumbprint of the certificate whose ID is D (S1
3: Verification ID-compatible certificate thumbprint extraction function).
【0069】さらに、証明書のサムプリント取り出し
後、該当証明書にCRL−IDが有るか否かを判断し
(S14:CRL−ID有無判断機能)、有りと判断さ
れたときにはCRL管理テーブル12からCRLのサム
プリントを取り出す(S15:CRLサムプリント取出
機能)。Further, after taking out the thumbprint of the certificate, it is determined whether or not the certificate has a CRL-ID (S14: CRL-ID presence / absence determination function). The CRL thumbprint is extracted (S15: CRL thumbprint extraction function).
【0070】ステップS14においてCRL−ID無し
の場合またはステップS14によるCRLサムプリント
の取り出し後、ステップS16に移行し、ここで当該証
明書にBCI−IDが有るか否かを判断し(S16:B
CI−ID有無判断機能、有りと判断されたときにはB
CI管理テーブル13からBCIのサムプリントを取り
出す(S17:BCIサムプリント取出機能)。If there is no CRL-ID in step S14 or after taking out the CRL thumbprint in step S14, the process proceeds to step S16, where it is determined whether or not the certificate has a BCI-ID (S16: B
CI-ID presence / absence determination function, B when determined to be present
The BCI thumbprint is extracted from the CI management table 13 (S17: BCI thumbprint extraction function).
【0071】さらに、ステップS17によるサムプリン
トの取り出し後、証明書管理テーブル11の証明書に検
証IDが有るか否かを判断し(S12)、有りと判断さ
れたときには、再度検証IDをIDとする証明書のサム
プリントを取り出し、検証ID無しの場合にはサムプリ
ントの検索・取処理を終了する。Further, after taking out the thumbprint in step S17, it is determined whether or not the certificate in the certificate management table 11 has a verification ID (S12). When it is determined that the certificate is present, the verification ID is set to the ID again. The thumbprint of the certificate to be printed is taken out, and if there is no verification ID, the search / taking process of the thumbprint is ended.
【0072】c.テーブル作成処理について。C. About table creation processing.
【0073】管理処理部本体2は、記憶媒体4に記憶さ
れるプログラムを読み出し、適宜なバッファ(図示せ
ず)に移した後、図6に示す処理,すなわち、前記
(3)に相当するテーブル作成処理を実行する。After reading the program stored in the storage medium 4 and transferring it to an appropriate buffer (not shown), the management processing unit main body 2 executes the processing shown in FIG. 6, ie, the table corresponding to the above (3). Execute the creation process.
【0074】管理処理部本体2は、メッセージを受信す
ると(S21)、そのメッセージ内に証明書、CRLお
よびBCIが含まれているか否かを判断する(S22〜
S24:メッセージ内情報有無判断機能)。Upon receiving the message (S21), the management processing unit main body 2 determines whether the message includes a certificate, CRL, and BCI (S22 to S22).
S24: Information presence / absence determination function in message).
【0075】このステップS22による判断結果に基づ
き、メッセージに証明書が含まれている場合、その証明
書を検証する検証用証明書の情報から当該検証用証明書
のレコードのIDを取り出し(S25:証明書ID取出
機能)、テーブル11の当該証明書に対応する検証ID
に、前記取り出したIDを記録するものである(S2
6:ID記録機能)。If the message includes a certificate based on the determination result in step S22, the ID of the record of the verification certificate is extracted from the information of the verification certificate for verifying the certificate (S25: Certificate ID extraction function), verification ID corresponding to the certificate in table 11
The extracted ID is recorded (S2).
6: ID recording function).
【0076】また、ステップS23において、メッセー
ジにCRLが含まれているか否かを検証し、含まれてい
る場合にはそのCR及びCRL検証用証明書をデータベ
ース5その他のメモリに保存した後(S27:CRL保
存機能)、データベース相当テーブル検索し、CRL検
証用証明書のレコードからIDを取出し、CRL−ID
1として蓄積する(S28:CRL検証用証明書ID取
出機能)。In step S23, it is verified whether or not the CRL is included in the message. If the message is included, the certificate for CR and CRL verification is stored in the database 5 or other memory (S27). : CRL storage function), database equivalent table search, ID from CRL verification certificate record, CRL-ID
It is stored as 1 (S28: CRL verification certificate ID extraction function).
【0077】しかる後、証明書管理テーブル相当テーブ
からCRL検証用証明書からSubjectDNを取出した後
(S29:証明書所持機関特定機能)、このCRL検証
用証明書のSubjectDNと同じSubjectDNである証明書検証
用証明書のレコードとしてIDを検索し取出す(S3
0:証明書検証用証明書ID取出機能)。このIDで示
されるレコードのCRL−ID1にはCRL管理テーブ
ル相当テーブル保存したときのCRL−ID1を記録す
る(S31:CRLID記録機能)。Then, after extracting the SubjectDN from the certificate for CRL verification from the table corresponding to the certificate management table (S29: certificate holding organization specifying function), the certificate having the same SubjectDN as the SubjectDN of the certificate for CRL verification is obtained. The ID is searched and retrieved as a record of the verification certificate (S3
0: Certificate verification certificate ID extraction function). In the CRL-ID1 of the record indicated by this ID, the CRL-ID1 when the table corresponding to the CRL management table is stored is recorded (S31: CRLID recording function).
【0078】さらに、ステップS24において、メッセ
ージにBCIが含まれている場合、前述するCRLが含
まれている場合と同様の処理を行う(S27〜S3
1)。Further, in step S24, when the message includes the BCI, the same processing as in the case where the CRL is included is performed (S27 to S3).
1).
【0079】そして、以上のような一連の処理後、処理
終了かを判断し、処理終了でなければ、ステップS22
に戻って同様の処理を繰り返し実行する。After the series of processes described above, it is determined whether the process is completed. If not, the process proceeds to step S22.
And the same processing is repeatedly executed.
【0080】従って、以上のような実施の形態によれ
ば、証明書管理テーブル11の検証識別子とレコード識
別子とが関係付けられているので、例えば自証明書を取
出した後、この自証明書のレコードに対応する検証識別
子の項目にレコード識別子が記録されているので、レコ
ード識別子のレコードから証明書を取出し、同様に検証
識別子に記録されるレコード識別子を辿りながら証明書
を取り出すことができ、証明書及びその検証用証明書を
迅速に取出すことができる。Therefore, according to the above-described embodiment, the verification identifier and the record identifier of the certificate management table 11 are associated with each other. Since the record identifier is recorded in the item of the verification identifier corresponding to the record, the certificate can be taken out from the record of the record identifier, and the certificate can be taken out by tracing the record identifier similarly recorded in the verification identifier. Certificate and its verification certificate can be taken out quickly.
【0081】また、証明書管理テーブル11にCRL識
別子及びBCI識別子の何れか一方又は両方を記録する
項目を付加し、さらにCRL/BCI識別子及びCRL
/BCIを管理するCRL/BCI管理テーブル12,
13を設け、証明書管理テーブル11のCRL識別子、
BCI識別子と前記CRL/BCI管理テーブルのCR
L識別子,BCI識別子とを関係付ける構成とすれば、
上位レベルから発行される証明書に対応する証明書管理
テーブル11のレコードのCRL識別子、BCI識別子
に基づき、CRL/BCI管理テーブル12,13から
迅速にCRL/BCIを取り出すことができる。An item for recording one or both of the CRL identifier and the BCI identifier is added to the certificate management table 11, and the CRL / BCI identifier and the CRL are further added.
CRL / BCI management table 12, which manages / BCI,
13, the CRL identifier of the certificate management table 11,
BCI identifier and CR of the CRL / BCI management table
If the configuration is such that the L identifier and the BCI identifier are related,
The CRL / BCI can be quickly extracted from the CRL / BCI management tables 12 and 13 based on the CRL identifier and the BCI identifier of the record of the certificate management table 11 corresponding to the certificate issued from the upper level.
【0082】さらに、証明書管理テーブル11及びCR
L/BCI管理テーブル12,13にサムプリントの項
目を追加することにより、証明書、CRL、BCIのサ
ムプリントを容易に取出すことができる。Further, the certificate management table 11 and the CR
By adding the item of the thumbprint to the L / BCI management tables 12 and 13, the thumbprint of the certificate, CRL, and BCI can be easily taken out.
【0083】なお、本願発明は、上記実施の形態に限定
されるものでなく、その要旨を逸脱しない範囲で種々変
形して実施できる。また、各実施の形態は可能な限り組
み合わせて実施することが可能であり、その場合には組
み合わせによる効果が得られる。さらに、上記各実施の
形態には種々の上位,下位段階の発明が含まれており、
開示された複数の構成要素の適宜な組み合わせにより種
々の発明が抽出され得るものである。例えば問題点を解
決するための手段に記載される全構成要件から幾つかの
構成要件が省略されうることで発明が抽出された場合に
は、その抽出された発明を実施する場合には省略部分が
周知慣用技術で適宜補われるものである。The present invention is not limited to the above embodiment, but can be implemented in various modifications without departing from the spirit of the invention. Further, the embodiments can be implemented in combination as much as possible, and in that case, the effect of the combination can be obtained. Furthermore, the above embodiments include various upper and lower stage inventions.
Various inventions can be extracted by appropriately combining a plurality of disclosed components. For example, if an invention is extracted because some constituent elements can be omitted from all the constituent elements described in Means for Solving the Problems, the omitted part may be omitted when implementing the extracted invention. Is appropriately supplemented by well-known conventional techniques.
【0084】[0084]
【発明の効果】以上説明したように本発明によれば、証
明書及びその検証用証明書やサムプリントを迅速に取り
出すことができる電子証明書管理装置を提供できる。As described above, according to the present invention, it is possible to provide an electronic certificate management device capable of quickly extracting a certificate, a certificate for verification thereof, and a thumbprint.
【0085】また、本発明は、証明書及びその検証用証
明書やサムプリントを迅速に取り出すプログラムを記憶
した記憶媒体を提供できる。Further, the present invention can provide a storage medium storing a certificate and a program for quickly extracting a certificate for verification and a thumbprint.
【図1】 本発明に係わる電子証明書管理装置の一実施
の形態を示す構成図。FIG. 1 is a configuration diagram showing an embodiment of an electronic certificate management device according to the present invention.
【図2】 証明書管理テーブルの各項目データの配列例
を示す図。FIG. 2 is a diagram showing an example of an array of each item data of a certificate management table.
【図3】 CRL/BCI管理テーブルを示す図。FIG. 3 is a diagram showing a CRL / BCI management table.
【図4】 証明書取り出しの動作を説明するフローチャ
ート。FIG. 4 is a flowchart for explaining an operation of taking out a certificate.
【図5】 サムプリントの取り出しの動作を説明するフ
ローチャート。FIG. 5 is a flowchart illustrating an operation of taking out a thumbprint.
【図6】 図2及び図3に示すテーブルの作成処理を説
明するフローチャート。FIG. 6 is a flowchart illustrating processing for creating the tables shown in FIGS. 2 and 3;
【図7】 一般的な電子証明書管理システムの管理形態
を示す図。FIG. 7 is a diagram showing a management form of a general electronic certificate management system.
【図8】 電子証明書の管理方法を説明する図。FIG. 8 is a diagram illustrating a method for managing an electronic certificate.
1…ネットワーク 2…証明書管理処理部本体 3…テーブル群 4…記憶媒体 5…データベース 11…証明書管理テーブル 12…CRL管理テーブル 13…BCI管理テーブル DESCRIPTION OF SYMBOLS 1 ... Network 2 ... Certificate management processing part main body 3 ... Table group 4 ... Storage medium 5 ... Database 11 ... Certificate management table 12 ... CRL management table 13 ... BCI management table
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06F 17/60 512 G06F 17/60 512 G07D 9/00 461 G07D 9/00 461A G07F 19/00 476 Fターム(参考) 3E040 AA03 BA18 DA02 5B049 AA05 BB11 BB46 CC05 CC08 CC39 DD01 DD04 EE01 EE23 EE24 FF03 FF04 GG04 GG07 GG10 5B055 CC11 EE02 EE03 EE17 EE21 EE27 HA02 HA12 HB01 KK01 KK19 PA02 PA34 PA36 ──────────────────────────────────────────────────続 き Continued on the front page (51) Int.Cl. 7 Identification symbol FI Theme coat ゛ (Reference) G06F 17/60 512 G06F 17/60 512 G07D 9/00 461 G07D 9/00 461A G07F 19/00 476F Term (Reference) 3E040 AA03 BA18 DA02 5B049 AA05 BB11 BB46 CC05 CC08 CC39 DD01 DD04 EE01 EE23 EE24 FF03 FF04 GG04 GG07 GG10 5B055 CC11 EE02 EE03 EE17 EE21 EE27 HA02 HA12 HB01 KK34 PA19 PA02
Claims (6)
接続される電子証明書管理装置において、 少なくともレコード識別子、検証識別子および証明書を
記録する項目をもつ証明書管理テーブルを設け、 前記検証識別子と前記レコード識別子とを関係付けるこ
とにより、メッセージに添付する証明書を取り出すこと
を特徴とする電子証明書管理装置。1. An electronic certificate management device connected to a lower level of an electronic certificate management system, comprising: a certificate management table having at least a record identifier, a verification identifier, and an item for recording a certificate; An electronic certificate management device for extracting a certificate attached to a message by associating the certificate with the record identifier.
いて、 前記証明書管理テーブルにCRL識別子及びBCI識別
子の何れか一方又は両方を記録する項目を付加し、さら
にCRL/BCI識別子及びCRL/BCIを管理する
CRL/BCI管理テーブルを設け、 前記証明書管理テーブルのCRL識別子、BCI識別子
と前記CRL/BCI管理テーブルのCRL識別子,B
CI識別子とを関係付けることにより、上位レベルから
発行される証明書に対応する前記証明書管理テーブルの
レコードのCRL識別子、BCI識別子に基づき、CR
L/BCI管理テーブルからCRL/BCIを取り出す
ことを特徴とする電子証明書管理装置。2. The electronic certificate management device according to claim 1, wherein an item for recording one or both of a CRL identifier and a BCI identifier is added to the certificate management table, and the CRL / BCI identifier and the CRL / A CRL / BCI management table for managing BCI is provided, and a CRL identifier and a BCI identifier of the certificate management table and a CRL identifier and B of the CRL / BCI management table are provided.
By associating with the CI identifier, the CRL identifier and the BCI identifier of the record of the certificate management table corresponding to the certificate issued from the upper level,
An electronic certificate management device, which extracts a CRL / BCI from an L / BCI management table.
管理装置において、 前記証明書管理テーブル及びCRL/BCI管理テーブ
ルにサムプリントの項目を追加し、証明書、CRL、B
CIのサムプリントを取出し可能としたことを特徴とす
る電子証明書管理装置。3. The electronic certificate management apparatus according to claim 1, wherein a thumbprint item is added to the certificate management table and the CRL / BCI management table, and the certificate, the CRL, and the BRL are added.
An electronic certificate management device wherein a thumbprint of a CI can be taken out.
および証明書を記録する項目を持ち、前記検証識別子と
前記レコード識別子とを関係付けした証明書管理テーブ
ルを有し、証明書取出用プログラムを記憶する記憶媒体
であって、 前記証明書取出用プログラムは、 前記証明書管理テーブルから自証明書を取り出す自証明
書取出機能と、この取出機能により取り出した証明書に
対応して検証識別子が有るか否かを判断する検証識別子
有無判断機能と、この判断機能により検証識別子有りと
判断されたとき、この検証識別子に基づいて前記証明書
管理テーブルの検証識別子を前記レコード識別子とし、
当該レコード識別子に対応するレコードか前記証明書を
取り出す検証識別子証明書取出機能と、この取り出した
証明書に前記検証識別子が有れば、前記検証識別子証明
書取出機能を繰り返し機能とを実現することを特徴とす
るコンピュータ読み取り可能な記憶媒体。4. A storage having at least items for recording a record identifier, a verification identifier, and a certificate, having a certificate management table in which the verification identifier is associated with the record identifier, and storing a certificate extracting program. Medium, wherein the certificate extracting program has a self-certificate extracting function for extracting a self-certificate from the certificate management table, and whether or not there is a verification identifier corresponding to the certificate extracted by the extracting function. Verification identifier presence / absence judgment function for judging, and when it is judged that there is a verification identifier by this judgment function, the verification identifier of the certificate management table is used as the record identifier based on the verification identifier,
A verification identifier certificate extraction function for extracting the record corresponding to the record identifier or the certificate, and a function for repeating the verification identifier certificate extraction function if the extracted certificate has the verification identifier. A computer-readable storage medium characterized by the above-mentioned.
子、CRL識別子、BCI識別子、証明書及びサムプリ
ントを記録する項目を持つ証明書管理テーブル及び前記
CRL識別子、BCI識別子に関連付けされたCRL、
BCI、サムプリントを管理するCRL/BCI管理テ
ーブルを有し、証明書サムプリント取出用プログラムを
記憶する記憶媒体であって、 前記証明書サムプリント取出用プログラムは、 前記証明書管理テーブルから他の下位レベル装置に係わ
る証明書のサムプリントを取り出す相手証明書サムプリ
ント取出機能と、この取り出した証明書に対応するレコ
ードに前記検証識別子が有るとき、前記証明書管理テー
ブルから当該検証識別子を前記レコード識別子とする証
明書のサムプリントを取り出す検証識別子対応証明書サ
ムプリント取出機能と、前記証明書にCRL識別子が有
るか否かを判断するCRL識別子有無判断機能と、この
機能によりCRL識別子有りのとき、前記CRL管理テ
ーブルからCRLのサムプリントを取り出すCRLサム
プリント取出機能と、CRL識別子無し又は前記CRL
サムプリント取り出し後、前記証明書にBCI識別子が
有るか否かを判断するBCI識別子有無判断機能と、こ
の機能によりBCI識別子有りのとき、前記BCI管理
テーブルからBCIのサムプリントを取り出すBCIサ
ムプリント取出機能とを実現することを特徴とするコン
ピュータ読み取り可能な記憶媒体。5. A certificate management table having at least items for recording a record identifier, a verification identifier, a CRL identifier, a BCI identifier, a certificate and a thumbprint, and a CRL associated with the CRL identifier and the BCI identifier.
A storage medium having a CRL / BCI management table for managing a BCI and a thumbprint, and storing a certificate thumbprint extraction program, wherein the certificate thumbprint extraction program stores another program from the certificate management table. A function for extracting a thumbprint of a certificate related to the lower-level device, and a function for extracting a thumbprint of the certificate, and when a record corresponding to the extracted certificate has the verification identifier, the verification identifier is stored in the record from the certificate management table. A function for taking out a verification identifier-compatible certificate thumbprint for taking out a thumbprint of a certificate as an identifier, a CRL identifier presence / absence determining function for determining whether or not the certificate has a CRL identifier; Fetching a CRL thumbprint from the CRL management table Arm and a printed take-out function, without the CRL identifier or the CRL
A BCI identifier presence / absence determination function for determining whether or not the certificate has a BCI identifier after the thumbprint is retrieved, and a BCI thumbprint retrieval for extracting the BCI thumbprint from the BCI management table when the BCI identifier is present by this function. A computer-readable storage medium for implementing functions.
機関、検証識別子、CRL識別子、BCI識別子及び証
明書の項目を持つ証明書管理テーブル相当テーブル及び
前記CRL識別子、BCI識別子に関連付けされたCR
L、BCIの項目を持つCRL/BCI管理テーブル相
当テーブルを有し、メッセージに含む情報から前記テー
ブルを作成するテーブル作成処理用プログラムを記憶す
る記憶媒体であって、 受信したメッセージ内に証明書、CRLおよびBCIが
含まれているか否かを判断するメッセージ内情報有無判
断機能と、この機能により証明書が含まれている場合、
この証明書を検証する証明書の情報をもとに前記証明書
管理テーブル相当テーブルから当該検証用証明書のレコ
ード識別子を取り出すレコード識別子取出機能と、前記
受信した証明書のレコードに対応する検証識別子に前記
取り出したレコード識別子を記録する識別子記録機能
と、 前記判断機能によりCRL/BCIが含まれている場
合、CRL/BCI及びCRL/BCI検証用証明書を
保存する保存機能と、前記証明書管理テーブル相当テー
ブルを検索し、CRL/BCI検証用証明書のレコード
からレコード識別子を取り出し保存するすCRL/BC
I検証用証明書識別子取出機能と、前記証明書管理テー
ブル相当テーブからCRL検証用証明書の証明書所持機
関に基づき、同一の証明書所持機関における証明書検証
用証明書のレコード識別子を取り出す証明書検証用証明
書識別子取出機能と、この取り出したレコード識別子に
対応させて前記CRL/BCI検証用証明書識別子取出
機能で保存したレコード識別子を記録する記録機能とを
実現することを特徴とするコンピュータ読み取り可能な
記憶媒体。6. A certificate management table equivalent table having at least a record identifier, a certificate holder, a verification identifier, a CRL identifier, a BCI identifier, and a certificate, and a CR associated with the CRL identifier and the BCI identifier.
A storage medium having a table corresponding to a CRL / BCI management table having items of L and BCI and storing a table creation processing program for creating the table from information included in the message, wherein a certificate, A function for determining whether or not information is included in the message, which determines whether or not the CRL and the BCI are included;
A record identifier extracting function for extracting a record identifier of the verification certificate from the certificate management table equivalent table based on information of the certificate for verifying the certificate, and a verification identifier corresponding to the received certificate record An identifier recording function for recording the retrieved record identifier, a storage function for storing a CRL / BCI and a CRL / BCI verification certificate when the determination function includes a CRL / BCI, CRL / BC which searches a table equivalent table, extracts a record identifier from the record of the CRL / BCI verification certificate, and stores it.
I. A function for extracting a certificate identifier for verification and a certificate for extracting a record identifier of a certificate for certificate verification at the same certificate holder based on the certificate holder for the CRL verification certificate from a table corresponding to the certificate management table. A computer function for extracting a certificate identifier for certificate verification and a recording function for recording a record identifier stored in the function for extracting a certificate identifier for CRL / BCI verification in correspondence with the retrieved record identifier. A readable storage medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000291906A JP2002099647A (en) | 2000-09-26 | 2000-09-26 | Electronic certificate managing device and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000291906A JP2002099647A (en) | 2000-09-26 | 2000-09-26 | Electronic certificate managing device and storage medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002099647A true JP2002099647A (en) | 2002-04-05 |
Family
ID=18774921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000291906A Pending JP2002099647A (en) | 2000-09-26 | 2000-09-26 | Electronic certificate managing device and storage medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002099647A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100736091B1 (en) | 2005-12-09 | 2007-07-06 | 삼성전자주식회사 | Apparatus and method for managing a plurality of certificates |
| JP2008177949A (en) * | 2007-01-19 | 2008-07-31 | Seiko Epson Corp | Authentication device and method |
-
2000
- 2000-09-26 JP JP2000291906A patent/JP2002099647A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100736091B1 (en) | 2005-12-09 | 2007-07-06 | 삼성전자주식회사 | Apparatus and method for managing a plurality of certificates |
| US8006084B2 (en) | 2005-12-09 | 2011-08-23 | Samsung Electronics Co., Ltd. | Apparatus and method for managing plurality of certificates |
| JP2008177949A (en) * | 2007-01-19 | 2008-07-31 | Seiko Epson Corp | Authentication device and method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110569675B (en) | Multi-Agent transaction information protection method based on block chain technology | |
| CN107239953B (en) | Block chain-based rapid data storage method and system | |
| JP4790574B2 (en) | Apparatus and method for managing a plurality of certificates | |
| JP4993414B2 (en) | Personal authentication system, terminal used in this, authentication verification device, and program | |
| CN108875386A (en) | A kind of multicenter finite field block catenary system framework with block issue mechanism and application demand issue mechanism | |
| US20030014365A1 (en) | Information processing method and program | |
| CN101917274A (en) | Identification system, device and method | |
| US20230177505A1 (en) | Transaction Verification Method and Apparatus | |
| CN110633329A (en) | System and method for block chain transaction record | |
| CN100374966C (en) | Method for storage and transport of an electronic certificate | |
| CN108199834B (en) | Method and device for working intelligent secret key equipment | |
| JP2000338868A (en) | Method for issuing public key certificate, method for verifying, system and recording medium | |
| WO2007016867A1 (en) | A method of physical authentication and a digital device | |
| EP0762261A2 (en) | A verification server and authentication method for use in authentication on networks | |
| CN106529216B (en) | Software authorization system and software authorization method based on public storage platform | |
| CN102332068A (en) | On-line logistics encryption, authentication and storage system using universal serial bus key (USBKEY) | |
| JP5431804B2 (en) | Authentication system and authentication method | |
| JP2002099647A (en) | Electronic certificate managing device and storage medium | |
| KR102559571B1 (en) | Proof of ownership and proof of transfer history using distributed ID | |
| JP3791758B2 (en) | Mutual certification path construction method and user device and certificate authority processing program | |
| JP2022020604A (en) | Decentralized electronic contract certification platform | |
| JP4663292B2 (en) | Electronic document storage management system, electronic document storage management method, and electronic document storage management program | |
| US20070143595A1 (en) | Method of producing a digital certificate, and an associated digital certificate | |
| CN112182009A (en) | Data updating method and device of block chain and readable storage medium | |
| TW202116038A (en) | Identification method and systerm of electronic device |