JP2002217899A - Portable terminal, certificate verifying server, system and method for verifying effectiveness of electronic certificate - Google Patents
Portable terminal, certificate verifying server, system and method for verifying effectiveness of electronic certificateInfo
- Publication number
- JP2002217899A JP2002217899A JP2001005536A JP2001005536A JP2002217899A JP 2002217899 A JP2002217899 A JP 2002217899A JP 2001005536 A JP2001005536 A JP 2001005536A JP 2001005536 A JP2001005536 A JP 2001005536A JP 2002217899 A JP2002217899 A JP 2002217899A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- validity
- communication
- nodes
- revocation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、インターネット接
続可能な携帯型無線端末において、電子証明書を用いた
公開鍵基盤(Public Key Infrastructure :PKI)上
での安全な通信を行う技術に係わり、特に電子証明書の
有効性を常時確認する携帯型無線端末に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a technology for performing secure communication on a public key infrastructure (PKI) using an electronic certificate in a portable wireless terminal connectable to the Internet. The present invention relates to a portable wireless terminal that constantly checks the validity of an electronic certificate.
【0002】[0002]
【従来の技術】従来、例えば、インターネットを使用す
る電子商取引においてWWW(WorldWide Web)サーバ
およびブラウザ・クライアント、EMailクライアン
ト間で安全な通信手段としてPKIによる暗号通信およ
び電子認証が一般的になっている。この場合に使用され
る公開鍵には、正当性の証明として第3者認証機関(Ce
rtificate Authority :CA)により署名された電子証
明書が付与されており、公開鍵の改ざん、偽造に対する
防止策となっている。2. Description of the Related Art Conventionally, for example, in electronic commerce using the Internet, PKI cryptographic communication and electronic authentication have been generally used as secure communication means between a WWW (World Wide Web) server, a browser client, and an EMail client. . In this case, the public key used in this case includes a third-party certification body (Ce
An electronic certificate signed by rtificate Authority (CA) is attached, which is a measure against public key falsification and counterfeiting.
【0003】[0003]
【発明が解決しようとする課題】このような署名が行わ
れた電子証明書は、様々な理由によりその有効期限内に
証明の有効性が失われることがある。かかる状態に対処
するためにCAから定期的に証明書失効リスト(Certif
icate Revocation List :CRL)が発行されており、
証明書を受け取った場合にこのCRLと対比させること
により証明書の正当性を確認することになっている。し
かし、CRLは通常膨大な量となるために確認のために
必要な処理が入きく、また通信量も増大するために、個
々のクライアントでその作業を行わせることは、実運用
上困難であった。An electronic certificate with such a signature may lose its validity within its expiration date for various reasons. To deal with such a situation, the CA periodically renews the certificate revocation list (Certif
icate Revocation List (CRL) has been issued,
When the certificate is received, the validity of the certificate is confirmed by comparing the received certificate with the CRL. However, since the CRL is usually enormous, the processing required for confirmation is required, and the amount of communication is also increased. Therefore, it is practically difficult for each client to perform the operation. Was.
【0004】この解決策として、近年CRL確認の代行
を行うサーバ・サービスなどが普及しつつあるが、この
ようなサービスをクライアント上で利用するには対応す
るアプリケーション(ブラウザ・ソフト、Emailソ
フトなど)ごとに特別な追加処置を必要とするため実用
的ではなかった。特に、クライアントが一般に普及して
いるパソコンではなく、携帯型の端末や機器組込み型の
ようなものであった場合に、多様なアプリケーションご
とに実装を行うことは困難であり現実的ではなかった。As a solution to this problem, a server service or the like which performs CRL confirmation has recently become widespread. In order to use such a service on a client, a corresponding application (browser software, Email software, etc.) is required. It was not practical because each required special additional treatment. In particular, when the client is not a popular personal computer but a portable terminal or a device built-in type, it is difficult and impractical to implement each of various applications.
【0005】本発明は、上記問題点に鑑みてなされたも
ので、インターネット接続可能な携帯機器上のアプリケ
ーションなどに大幅な変更および負担をかけることな
く、電子証明書の有効性の常時確認を行うことができる
携帯型無線端末を提供することを目的とする。The present invention has been made in view of the above problems, and constantly checks the validity of an electronic certificate without significantly changing or burdening an application on a portable device that can be connected to the Internet. It is an object of the present invention to provide a portable wireless terminal capable of performing such operations.
【0006】[0006]
【課題を解決するための手段】上記問題点を解決するた
めに、請求項1に記載の発明は、インターネット上のノ
ード(例えば実施の形態の携帯機器2やインターネット
サービス12)間で送受信される暗号化データに用いら
れた公開鍵の有効性を検証する電子証明書を受信して、
ノード間のデータ通信を中継する携帯型端末(例えば実
施の形態の携帯型無線端末1)であって、無線基地局を
介してインターネットに接続する通信接続手段(例えば
実施の形態の通信接続回路A22や通信接続回路B2
3)を複数設け、各通信接続手段は、それぞれ異なる経
路でインターネットに接続されることを特徴とする。以
上の構成により、利用者端末とインターネットサービス
間で、サービスデータとは別のデータを送受信すること
を可能とする。In order to solve the above problems, the invention according to claim 1 is transmitted and received between nodes on the Internet (for example, the portable device 2 and the Internet service 12 in the embodiment). Receiving a digital certificate that verifies the validity of the public key used for the encrypted data,
A portable terminal that relays data communication between nodes (for example, the portable wireless terminal 1 of the embodiment), and a communication connection unit that connects to the Internet via a wireless base station (for example, the communication connection circuit A22 of the embodiment) And communication connection circuit B2
A plurality of 3) is provided, and each communication connection means is connected to the Internet via a different path. With the above configuration, data different from service data can be transmitted and received between the user terminal and the Internet service.
【0007】請求項2に記載の発明は、請求項1に記載
の携帯型端末において、通信接続手段の少なくとも1つ
は通信データを送受信し、残りの通信接続手段は電子証
明書の検証結果を送受信することを特徴とする。以上の
構成により、利用者端末とインターネットサービス間
で、サービスデータとは別の公開鍵に関する証明書デー
タを送受信することを可能とする。According to a second aspect of the present invention, in the portable terminal according to the first aspect, at least one of the communication connection means transmits and receives communication data, and the other communication connection means checks the verification result of the electronic certificate. It is characterized by transmitting and receiving. With the above configuration, it is possible to transmit and receive certificate data relating to a public key different from service data between the user terminal and the Internet service.
【0008】請求項3に記載の発明は、請求項2に記載
の携帯型端末において、電子証明書の検証結果に含まれ
る電子証明書の失効の有無に従い、通信データの送受信
の許否を判断し、ノード間で送受信される暗号化データ
の制御を行う中継手段(例えば実施の形態の中継処理部
24)を設けたことを特徴とする。以上の構成により、
電子証明書が失効していた場合、利用者端末にこれを通
知したり、電子証明書の有効性が検証できるまで利用者
端末とインターネットサービス間の通信データを一時保
留したり、電子証明書の有効性が検証できない場合、利
用者端末とインターネットサービス間の通信を切断した
りすることを可能とする。According to a third aspect of the present invention, in the portable terminal according to the second aspect, whether to permit transmission / reception of communication data is determined according to whether the digital certificate included in the verification result of the digital certificate has been revoked. A relay means (for example, the relay processing unit 24 of the embodiment) for controlling the encrypted data transmitted and received between the nodes is provided. With the above configuration,
If the digital certificate has been revoked, it is notified to the user terminal, the communication data between the user terminal and the Internet service is temporarily held until the validity of the digital certificate can be verified, If the validity cannot be verified, it is possible to disconnect the communication between the user terminal and the Internet service.
【0009】請求項4に記載の発明は、インターネット
上のノード間で送受信される暗号化データに用いられた
公開鍵の有効性を検証する証明書検証サーバ(例えば実
施の形態の証明書検証サーバ8)であって、公開鍵の正
当性を証明する電子証明書の失効の有無を記録した失効
証明書データベース(例えば実施の形態の失効証明書デ
ータベース32)と、ノード間の通信を中継する携帯型
端末に接続された無線基地局からの公開鍵の正当性の照
会に対し、失効証明書データベースの記録内容を検証し
て、証明書検証結果を回答する証明書検証結果回答手段
(例えば実施の形態の証明書検証結果回答処理部33)
とを設けたことを特徴とする。以上の構成により、利用
者端末からの電子証明書の有効性の照会に対して、電子
証明書の情報を提供することを可能とする。According to a fourth aspect of the present invention, there is provided a certificate verification server for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet (for example, a certificate verification server according to the embodiment). 8) wherein a revocation certificate database (for example, the revocation certificate database 32 of the embodiment) that records whether or not an electronic certificate that certifies the validity of a public key has been revoked, and a mobile phone that relays communication between nodes. Certificate verification result responding means for verifying the recorded contents of the revocation certificate database and responding to the certificate verification result in response to an inquiry about the validity of the public key from the wireless base station connected to the portable terminal (for example, Certificate verification result answer processing unit 33)
Are provided. With the configuration described above, it is possible to provide information on an electronic certificate in response to an inquiry about the validity of an electronic certificate from a user terminal.
【0010】請求項5に記載の発明は、請求項4に記載
の証明書検証サーバにおいて、第3者認証機関より発行
される証明書失効リストを取得して失効証明書データベ
ースに記録する証明書失効リスト取得手段(例えば実施
の形態の証明書失効リスト取得処理部31)を設けたこ
とを特徴とする。以上の構成により、随時新しい電子証
明書の情報を取得して、利用者端末、またはインターネ
ットサービスに最新の情報を提供することを可能とす
る。According to a fifth aspect of the present invention, in the certificate verification server according to the fourth aspect, a certificate obtained by acquiring a certificate revocation list issued by a third-party certification authority and recording the certificate revocation list in a revocation certificate database. A revocation list acquisition unit (for example, the certificate revocation list acquisition processing unit 31 of the embodiment) is provided. With the above configuration, it is possible to obtain new electronic certificate information as needed and provide the latest information to the user terminal or the Internet service.
【0011】請求項6に記載の発明は、インターネット
上のノード間で送受信される暗号化データに用いられた
公開鍵の有効性を検証する電子証明書有効性検証システ
ムであって、請求項1から請求項3のいずれかに記載の
携帯型端末と、請求項4、または請求項5に記載の証明
書検証サーバとを含む装置で構成され、携帯型端末は、
証明書検証サーバの出力する証明書検証結果を、ノード
間の通信を中継する携帯型端末に接続された無線基地局
を介して取得することにより、ノード間で送受信される
暗号化データの制御を行うことを特徴とする。以上の構
成により、利用者端末やインターネットサービスの種類
によらず、すべての利用者端末、またはインターネット
サービスに対して、電子証明書の有効性に関する情報を
提供することを可能とする。According to a sixth aspect of the present invention, there is provided an electronic certificate validity verification system for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet. To a device including the portable terminal according to any one of claims 3 to 5 and the certificate verification server according to claim 4 or claim 5.
By obtaining the certificate verification result output from the certificate verification server via a wireless base station connected to a portable terminal that relays communication between nodes, control of encrypted data transmitted and received between nodes can be achieved. It is characterized by performing. With the above configuration, it is possible to provide information on the validity of the electronic certificate to all user terminals or Internet services regardless of the type of user terminal or Internet service.
【0012】請求項7に記載の発明は、インターネット
上のノード間で送受信される暗号化データに用いられた
公開鍵の有効性を検証する電子証明書有効性検証方法で
あって、無線基地局を介してインターネットに接続する
2経路以上の通信接続手段の内、少なくとも1つを用い
て通信データを送受信する過程と、第3者認証機関より
発行される証明書失効リストを取得して失効証明書デー
タベースに記録する過程と、ノード間の通信を中継する
携帯型端末に接続された無線基地局からの公開鍵の正当
性の照会に対し、失効証明書データベースの記録内容を
検証して、証明書検証結果を通信接続手段の残りを用い
て回答する過程とを含むことを特徴とする。[0012] The invention according to claim 7 is a digital certificate validity verification method for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet. Transmitting and receiving communication data using at least one of two or more communication connection means for connecting to the Internet via the Internet, and obtaining a certificate revocation list issued by a third party certificate authority to certify the revocation. In the process of recording in the certificate database and verifying the validity of the public key from the wireless base station connected to the portable terminal relaying communication between nodes, the contents of the revocation certificate database are verified and certified. Replying the document verification result using the rest of the communication connection means.
【0013】請求項8に記載の発明は、インターネット
上のノード間で送受信される暗号化データに用いられた
公開鍵の有効性を検証する証明書検証サーバの制御プロ
グラムを記録したコンピュータ読み取り可能な記録媒体
であって、プログラムは、第3者認証機関より発行され
る証明書失効リストを取得して失効証明書データベース
に記録する処理と、ノード間の通信を中継する携帯型端
末に接続された無線基地局からの公開鍵の正当性の照会
に対し、失効証明書データベースの記録内容を検証し
て、証明書検証結果を通信接続手段の残りを用いて回答
する処理とをコンピュータに実行させることを特徴とす
る。According to an eighth aspect of the present invention, there is provided a computer readable program storing a control program of a certificate verification server for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet. A recording medium, wherein the program acquires a certificate revocation list issued by a third-party certification authority, records the revocation list in a revocation certificate database, and is connected to a portable terminal that relays communication between nodes. In response to an inquiry about the validity of the public key from the wireless base station, the computer verifies the recorded contents of the revocation certificate database and returns the certificate verification result using the rest of the communication connection means. It is characterized by.
【0014】[0014]
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態について説明を行う。図1は、同実施の形態の
機器構成を示すブロック図である。この図において、符
号1はインターネット接続可能な本実施の形態の携帯型
端末である。携帯機器2は、通信手段3により携帯型無
線端末1に接続され、インターネットと通信を行う一般
的な携帯機器である。なお、通信手段3は有線や無線に
より携帯型無線端末1と携帯機器2とを含んだLAN
(Local Area Network)を構成する通信手段であり、こ
れにより携帯機器2は携帯型無線端末1に何台接続され
ても良い。また、携帯機器2の一例としては、PDA
(Personal Digital Assistants )やウェアラブルコン
ピュータ等が挙げられる。また、無線基地局4は、通常
のデータ送受信を行う通信手段5を介して携帯型無線端
末1が接続される無線通信回線を統括する基地局であ
り、無線基地局6は、電子証明書の有効性確認を行う通
信手段7を介して携帯型無線端末1が接続される無線通
信回線を統括する基地局である。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram showing a device configuration of the embodiment. In this figure, reference numeral 1 denotes a portable terminal of the present embodiment that can be connected to the Internet. The portable device 2 is a general portable device connected to the portable wireless terminal 1 by the communication unit 3 and communicating with the Internet. The communication means 3 is a wired or wireless LAN including the portable wireless terminal 1 and the portable device 2.
(Local Area Network), whereby any number of portable devices 2 may be connected to the portable wireless terminal 1. Also, as an example of the portable device 2, a PDA
(Personal Digital Assistants) and wearable computers. The wireless base station 4 is a base station that controls a wireless communication line to which the portable wireless terminal 1 is connected via a communication unit 5 that performs normal data transmission and reception. It is a base station that controls a wireless communication line to which the portable wireless terminal 1 is connected via the communication unit 7 that performs validity confirmation.
【0015】一方、証明書検証サーバ8は、携帯機器2
がインターネット上の情報を利用する際に通信を保護す
るために利用する公開鍵の失効状態を記録した失効証明
書を管理するサーバで、通信手段9により無線基地局
4、及び無線基地局6と接続される。更に、通信手段9
はルータ10を介してインターネット11と接続され、
インターネット11には、電子証明書を送信する一般的
なインターネットサービス12が接続されている。イン
ターネットサービス12は、例えばWWWサービス、E
mailサービスなどが考えられる。また、インターネ
ット11には、インターネットサービス12の電子証明
書に署名を行った第3者認証機関である認証機関13も
接続されている。On the other hand, the certificate verification server 8
Is a server that manages a revocation certificate that records the revocation status of a public key used to protect communication when using information on the Internet. The communication unit 9 communicates with the wireless base station 4 and the wireless base station 6. Connected. Further, the communication means 9
Is connected to the Internet 11 via the router 10,
A general Internet service 12 for transmitting an electronic certificate is connected to the Internet 11. The Internet service 12 is, for example, a WWW service, E
A mail service is conceivable. The Internet 11 is also connected to a certification authority 13 which is a third party certification authority that has signed the electronic certificate of the Internet service 12.
【0016】また、図2は、同実施の形態の携帯型無線
端末1の構成を示すブロック図である。図2において、
携帯型無線端末1は、携帯機器接続回路21と、通信接
続回路A22と、通信接続回路B23と、中継処理部2
4とから構成される。携帯機器接続回路21は、通信手
段3により、携帯機器2を携帯型無線端末1へ接続する
ためのインタフェース回路である。通信接続回路A22
は、通信手段5により、携帯型無線端末1を無線基地局
4へ接続するためのインタフェース回路である。通信接
続回路B23は、通信手段7により、携帯型無線端末1
を無線基地局6へ接続するためのインタフェース回路で
ある。FIG. 2 is a block diagram showing a configuration of the portable wireless terminal 1 of the embodiment. In FIG.
The portable wireless terminal 1 includes a mobile device connection circuit 21, a communication connection circuit A22, a communication connection circuit B23, and a relay processing unit 2.
And 4. The portable device connection circuit 21 is an interface circuit for connecting the portable device 2 to the portable wireless terminal 1 by the communication unit 3. Communication connection circuit A22
Is an interface circuit for connecting the portable wireless terminal 1 to the wireless base station 4 by the communication means 5. The communication connection circuit B23 is connected to the portable wireless terminal 1 by the communication means 7.
Is an interface circuit for connecting to the wireless base station 6.
【0017】中継処理部24は、携帯機器接続回路21
を介して接続される携帯機器2と、通信接続回路A22
を介して接続される無線基地局4、及び通信接続回路B
22を介して接続される無線基地局6との通信を中継す
る処理部である。また、中継処理部24は、携帯機器2
がインターネット上の情報を利用する際に通信を保護す
るために利用する公開鍵の正当性について、無線基地局
6からの通知に基づき、 (1)無線基地局6から公開鍵が失効状態であることを
通知された場合、これを携帯機器2に通知する。 (2)公開鍵が有効であることを確認できるまで、携帯
機器2からインターネットサービス12へのデータ送信
を抑止する。 (3)携帯機器2からインターネットサービス12への
通信経路を遮断する。 のいずれかの動作を行う。The relay processing unit 24 includes the portable device connection circuit 21
Device 2 connected via a communication connection circuit A22
Base station 4 connected via a communication connection circuit B
A processing unit that relays communication with the wireless base station 6 connected via the communication terminal 22. In addition, the relay processing unit 24 includes the portable device 2
Based on the notification from the wireless base station 6 regarding the validity of the public key used to protect communication when using information on the Internet, based on the notification from the wireless base station 6 (1) The public key from the wireless base station 6 is in an invalid state When notified, the portable device 2 is notified. (2) Suppress data transmission from the portable device 2 to the Internet service 12 until it can be confirmed that the public key is valid. (3) The communication path from the portable device 2 to the Internet service 12 is blocked. Perform one of the operations.
【0018】なお、中継処理部24は、専用のハードウ
ェアにより実現されるものであってもよく、また、メモ
リおよびCPU(中央演算装置)により構成され、上記
の機能を実現するためのプログラムをメモリにロードし
て実行することによりその機能を実現させるものであっ
てもよい。The relay processing unit 24 may be realized by dedicated hardware, and is constituted by a memory and a CPU (Central Processing Unit), and stores a program for realizing the above functions. The function may be realized by loading it into a memory and executing it.
【0019】また、図3は、同実施の形態の証明書検証
サーバ8の構成を示すブロック図である。図3におい
て、証明書検証サーバ8は、証明書失効リスト取得処理
部31と、失効証明書データベース32と、証明書検証
結果回答処理部33とから構成される。証明書失効リス
ト取得処理部31は、第3者認証機関より発行される証
明書失効リストを取得する。失効証明書データベース3
2は、証明書失効リスト取得処理部31が第3者認証機
関より取得した証明書失効リストを記録しておくデータ
ベースである。証明書検証結果回答処理部33は、無線
基地局6から照会された電子証明書の有効性を、失効証
明書データベース32に記録された証明書失効リストを
検索し、該当するデータの有無を電子証明書の検証結果
として、無線基地局6へ回答する。FIG. 3 is a block diagram showing a configuration of the certificate verification server 8 according to the embodiment. In FIG. 3, the certificate verification server 8 includes a certificate revocation list acquisition processing unit 31, a revocation certificate database 32, and a certificate verification result response processing unit 33. The certificate revocation list acquisition processing unit 31 acquires a certificate revocation list issued by a third-party certification authority. Revocation certificate database 3
Reference numeral 2 denotes a database in which the certificate revocation list acquisition processing unit 31 records a certificate revocation list acquired from a third-party certification organization. The certificate verification result response processing unit 33 searches the certificate revocation list recorded in the revocation certificate database 32 for the validity of the electronic certificate inquired from the wireless base station 6, and determines whether or not the corresponding data exists. A reply is sent to the wireless base station 6 as a certificate verification result.
【0020】なお、失効証明書データベース32は、ハ
ードディスク装置や光磁気ディスク装置、フラッシュメ
モリ等の不揮発性のメモリや、あるいはこれらの組み合
わせによるコンピュータ読み取り、書き込み可能な記録
媒体より構成されても良い。また、証明書失効リスト取
得処理部31と、証明書検証結果回答処理部33は、そ
れぞれ、専用のハードウェアにより実現されるものであ
ってもよく、また、メモリおよびCPU(中央演算装
置)により構成され、上記の各部の機能を実現するため
のプログラムをメモリにロードして実行することにより
その機能を実現させるものであってもよい。The revocation certificate database 32 may be composed of a non-volatile memory such as a hard disk device, a magneto-optical disk device, or a flash memory, or a computer-readable and writable recording medium using a combination thereof. Further, the certificate revocation list acquisition processing unit 31 and the certificate verification result response processing unit 33 may be each realized by dedicated hardware, and may be realized by a memory and a CPU (central processing unit). It may be configured so as to realize the functions by loading a program for realizing the functions of the above-described units into a memory and executing the programs.
【0021】また、証明書失効サーバ8には、周辺機器
として入力装置、表示装置等(いずれも図示せず)が接
続されるものとする。ここで、入力装置とはキーボー
ド、マウス等の入力デバイスのことをいう。表示装置と
はCRT(Cathode Ray Tube)ディスプレイ装置や液晶
表示装置等のことをいう。It is assumed that an input device, a display device, and the like (neither is shown) are connected to the certificate revocation server 8 as peripheral devices. Here, the input device refers to an input device such as a keyboard and a mouse. The display device refers to a CRT (Cathode Ray Tube) display device, a liquid crystal display device, or the like.
【0022】次に、図4を参照して携帯機器2が、通信
手段3により携帯型無線端末1に接続されている状態
で、インターネット11上のインターネットサービス1
2を利用する場合の動作を説明する。まず、携帯機器2
がインターネットサービス12への接続要求を行うと、
インターネットサービス12は、あらかじめ認証機関1
3により署名された電子証明書100を送付してくる
(ステップS1)。ここで、かかる通信形態としては、
現在電子商取引などのような情報の秘匿性、信頼性を重
視するサービスを実現するために一般的に用いられてい
るSSL(Secure Sockets Layer)などが考えられる。
また、電子証明書100は通信手段9を経由して無線基
地局4、及び無線基地局6に同時に送られる。Next, referring to FIG. 4, while the portable device 2 is connected to the portable wireless terminal 1 by the communication means 3, the Internet service 1 on the Internet 11
2 will be described. First, the mobile device 2
Makes a connection request to the Internet service 12,
The Internet service 12 has a certification authority 1 in advance.
The electronic certificate 100 signed by the third party is sent (step S1). Here, as such a communication form,
At present, SSL (Secure Sockets Layer), which is generally used for realizing a service that places importance on confidentiality and reliability of information such as electronic commerce, can be considered.
The electronic certificate 100 is sent to the wireless base station 4 and the wireless base station 6 via the communication means 9 at the same time.
【0023】次に、無線基地局6は、通信が電子証明書
を含むものであることを識別すると、証明書検証サーバ
8に証明書の有効性を問い合わせる(ステップS2)。
証明書の有効性を照会された証明書検証サーバ8は、保
持している失効証明書データベース32に、当該証明書
が含まれているか否かを判定し、結果を無線基地局6へ
通知する(ステップS3)。また、無線基地局4は、こ
の場合、インターネットサービス12から受信したデー
タを、そのまま携帯型無線端末1側に送信する(ステッ
プS4)。Next, upon identifying that the communication includes an electronic certificate, the wireless base station 6 inquires of the certificate verification server 8 about the validity of the certificate (step S2).
The certificate verification server 8 inquired about the validity of the certificate determines whether or not the certificate is included in the held revocation certificate database 32 and notifies the wireless base station 6 of the result. (Step S3). In this case, the wireless base station 4 transmits the data received from the Internet service 12 to the portable wireless terminal 1 as it is (step S4).
【0024】次に、無線基地局6は、証明書検証サーバ
8より受け取った証明書の有効性情報をもとに携帯型無
線端末1に電子証明書検証結果101を通知する(ステ
ップS5)。証明書検証結果101を受け取った携帯型
無線端末1は、電子証明書検証結果101に証明書失効
情報が含まれていた場合、携帯機器2に証明書失効情報
102を通知する(ステップS6)。なお、より安全な
実施の形態として、携帯型無線端末1は、電子証明書検
証結果101により証明書有効情報が確認できるまで、
携帯機器2からインターネットサービス12へのデータ
送信を抑止してもよい。また、さらに安全な実施の形態
としては、携帯型無線端末1は携帯機器2からインター
ネットサービス12への通信経路を遮断してもよい。Next, the radio base station 6 notifies the portable radio terminal 1 of the digital certificate verification result 101 based on the validity information of the certificate received from the certificate verification server 8 (step S5). The portable wireless terminal 1 that has received the certificate verification result 101 notifies the portable device 2 of the certificate revocation information 102 when the certificate revocation information 101 includes the certificate revocation information (step S6). Note that, as a more secure embodiment, the portable wireless terminal 1 operates until the certificate validity information is confirmed by the digital certificate verification result 101.
Data transmission from the mobile device 2 to the Internet service 12 may be suppressed. As a more secure embodiment, the portable wireless terminal 1 may block a communication path from the portable device 2 to the Internet service 12.
【0025】また、証明書検証サーバ8は、定期的に外
部の認証機関13の発行する証明書失効リスト103を
取得し、失効状態にある証明書の一覧(失効証明書デー
タベース32)を保持するものとする(ステップS
7)。なお、証明書検証サーバ8は、必要に応じて認証
機関13から受け取った証明書失効リスト103によ
り、証明書の有効性を検証する外部の証明書検証機関1
4に問い合わせ、証明書失効情報104を取得すること
も可能である(ステップS8)。The certificate verification server 8 periodically acquires the certificate revocation list 103 issued by the external certification authority 13 and holds a list of revoked certificates (revocation certificate database 32). (Step S
7). Note that the certificate verification server 8 uses the certificate revocation list 103 received from the certificate authority 13 as needed to verify the validity of the certificate.
4 to obtain the certificate revocation information 104 (step S8).
【0026】ここで、電子証明書の有効性確認を、携帯
機器2上ではなく外部の装置で実行する場合において、
通信手段を2系統以上有する場合の利点について、図5
を用いて説明する。携帯型無線端末51と無線基地局5
3の1系統だけの通信手段を用いて通信を行う状況下で
は、無線基地局53は、電子証明書100の有効性確認
を終了するまで、インターネットサービス12からの通
信データを保持しておく必要がある。一般に無線基地局
53は、多数の通信データを処理する必要があるため、
電子証明書の検証に必要とされる時間がわずかであって
も、無線基地局53が保持しなくてはならないパケット
の量が増加し、このパケットを処理、及び保持するため
のコスト負担が増加する。本発明では、証明書有効性の
有無にかかわらず、インターネットサービス12からの
受信データについては、通信手段5、無線基地局4、及
び通信手段9を用いた通信経路側での通信を可能として
いるので、かかる負担は発生しない。Here, in the case where the validity check of the digital certificate is executed not on the portable device 2 but on an external device,
FIG. 5 shows an advantage in the case of having two or more communication means.
This will be described with reference to FIG. Portable wireless terminal 51 and wireless base station 5
In a situation in which communication is performed using only one communication means, the wireless base station 53 needs to hold communication data from the Internet service 12 until the validity check of the electronic certificate 100 is completed. There is. Generally, since the wireless base station 53 needs to process a large amount of communication data,
Even if the time required to verify the digital certificate is very short, the amount of packets that the wireless base station 53 must hold increases, and the cost burden for processing and holding the packets increases. I do. According to the present invention, regardless of whether the certificate is valid or not, data received from the Internet service 12 can be communicated on the communication path side using the communication means 5, the radio base station 4, and the communication means 9. Therefore, such a burden does not occur.
【0027】次に、携帯機器2にとっての利点について
説明すると、本発明においては、携帯型無線端末1から
の証明書失効情報102の通知を受け取るのみであり、
資源の限られた携帯機器上に複雑な証明書検証処理機能
を組み込む必要がない。Next, the advantage for the portable device 2 will be described. In the present invention, only the notification of the certificate revocation information 102 from the portable wireless terminal 1 is received.
There is no need to incorporate a complicated certificate verification processing function on a mobile device with limited resources.
【0028】なお、上述の実施の形態では、無線基地局
6が1つの場合を説明したが、無線基地局6はいくつ設
置されても良い。この場合、携帯型無線端末1に含まれ
る接続回路B23と証明書検証サーバ8に含まれる証明
書検証結果回答処理部33の数が、無線基地局6の数に
合わせて複数個設けられるものとする。これにより、い
っそう電子証明書の有効性確認に費やされる時間が減少
できる。In the above-described embodiment, a case has been described in which one wireless base station 6 is provided. However, any number of wireless base stations 6 may be provided. In this case, a plurality of connection circuits B23 included in the portable wireless terminal 1 and a plurality of certificate verification result response processing sections 33 included in the certificate verification server 8 are provided in accordance with the number of the wireless base stations 6. I do. This can further reduce the time spent for validating the electronic certificate.
【0029】また、上述の実施の形態では、インターネ
ットサービス12が公開鍵を発行し、携帯機器2がそれ
を使用する場合の形態について説明したが、逆に携帯機
器2側が公開鍵を発行し、インターネット上の通信相手
がそれを使用しても良い。この場合、図4、図5におい
て、インターネットサービス12と携帯機器2の位置が
入れ替われば良い。これにより、携帯機器同士でインタ
ーネットを介した暗号化された情報のやり取りを行うこ
とが可能となる。Also, in the above-described embodiment, the case has been described where the Internet service 12 issues a public key and the portable device 2 uses it. Conversely, the portable device 2 issues a public key, A communication partner on the Internet may use it. In this case, in FIG. 4 and FIG. 5, the positions of the Internet service 12 and the portable device 2 may be switched. This makes it possible to exchange encrypted information between portable devices via the Internet.
【0030】なお、上述の携帯型無線端末1と証明書検
証サーバ8は、その機能を実現するためのプログラム
を、コンピュータ読みとり可能な記録媒体に記録して、
この記録媒体に記録されたプログラムをコンピュータシ
ステムに読み込ませ、実行することにより、上述の各装
置における機能を実現しても良い。The portable wireless terminal 1 and the certificate verification server 8 record a program for realizing the functions on a computer-readable recording medium.
The functions of the above-described devices may be realized by causing a computer system to read and execute the program recorded on the recording medium.
【0031】ここで、上記「コンピュータシステム」と
は、OSや周辺機器等のハードウェアを含み、さらにW
WW(World Wide Web)システムを利用
している場合であれば、ホームページ提供環境(あるい
は表示環境)も含むものとする。また、「コンピュータ
読みとり可能な記録媒体」とは、フロッピー(登録商
標)ディスク、光磁気ディスク、ROM、CD−ROM
等の可搬媒体、コンピュータシステムに内蔵されるハー
ドディスク等の記憶装置のことをいう。更に、「コンピ
ュータ読みとり可能な記録媒体」とは、インターネット
等のコンピュータネットワークや電話回線等の通信回線
を介してプログラムを送信する場合のように、短時間の
間、動的にプログラムを保持するもの(伝送媒体もしく
は伝送波)、その場合のサーバやクライアントとなるコ
ンピュータシステム内部の揮発性メモリのように、一定
時間プログラムを保持しているものも含むものとする。Here, the “computer system” includes an OS and hardware such as peripheral devices.
If a WW (World Wide Web) system is used, a homepage providing environment (or display environment) is also included. The "computer-readable recording medium" is a floppy (registered trademark) disk, a magneto-optical disk, a ROM, a CD-ROM.
And a storage device such as a hard disk built in a computer system. Further, a “computer-readable recording medium” refers to a medium that dynamically stores a program for a short time, such as transmitting a program via a computer network such as the Internet or a communication line such as a telephone line. (Transmission medium or transmission wave), in which case a program holding a program for a certain period of time, such as a volatile memory in a computer system serving as a server or a client, is also included.
【0032】また、上記プログラムは、前述した機能の
一部を実現するためのものであっても良く、更に前述し
た機能をコンピュータシステムに既に記憶されているプ
ログラムとの組み合わせで実現できるもの、いわゆる差
分ファイル(差分プログラム)であっても良い。Further, the above-mentioned program may be for realizing a part of the above-mentioned functions, and may be for realizing the above-mentioned functions in combination with a program already stored in a computer system, so-called, It may be a difference file (difference program).
【0033】[0033]
【発明の効果】以上の如く本発明によれば、証明書検証
機能を無線基地局側のサーバに行わせることにより、携
帯機器上に複雑な証明書検証処理機能を組み込むことな
く電子証明書の有効性の常時確認ができるという効果が
得られる。また、携帯型無線端末に通信手段を2系統以
上具備することにより、携帯型無線端末と無線基地局の
間で電子証明書の有効性確認が終了するまで、インター
ネットサービスからの通信データを保持しておく必要が
なくなり、通信データを処理、及び保持するための無線
基地局に対するコスト負担が軽減されるという効果が得
られる。また、無線基地局を複数設けて電子証明書の有
効性を検証するので、電子証明書の有効性の検証に費や
される時間を最小限に押さえることができるという効果
が得られる。As described above, according to the present invention, a certificate verifying function is performed by a server at a radio base station side, so that a digital certificate can be obtained without incorporating a complicated certificate verifying function on a portable device. The effect that the validity can be always confirmed can be obtained. Also, by providing the portable wireless terminal with two or more communication means, communication data from the Internet service is held until the validity check of the electronic certificate is completed between the portable wireless terminal and the wireless base station. This eliminates the need to keep the communication data and reduces the cost burden on the wireless base station for processing and holding the communication data. In addition, since the validity of the electronic certificate is verified by providing a plurality of wireless base stations, the effect of minimizing the time spent for validating the validity of the electronic certificate can be obtained.
【図1】本発明の実施の形態の構成を示すブロック図で
ある。FIG. 1 is a block diagram showing a configuration of an embodiment of the present invention.
【図2】図1の携帯型無線端末1の構成を示すブロック
図である。FIG. 2 is a block diagram showing a configuration of the portable wireless terminal 1 of FIG.
【図3】図1の証明書検証サーバ8の構成を示すブロッ
ク図である。FIG. 3 is a block diagram showing a configuration of a certificate verification server 8 of FIG.
【図4】同実施の形態の電子証明書検証動作を示す図で
ある。FIG. 4 is a diagram showing a digital certificate verification operation of the embodiment.
【図5】通信経路が1系統のみの場合の電子証明書検証
動作を示す図である。FIG. 5 is a diagram showing an electronic certificate verification operation when only one communication path is used.
1 携帯型無線端末 2 携帯機器 3 通信手段 4 無線基地局 5 通信手段 6 無線基地局 7 通信手段 8 証明書検証サーバ 9 通信手段 10 ルータ 11 インターネット 12 インターネットサービス 13 認証機関 14 証明書検証機関 21 携帯機器接続回路 22 通信接続回路A 23 通信接続回路B 24 中継処理部 31 証明書失効リスト取得処理部 32 失効証明書データベース 33 証明書検証結果回答処理部 REFERENCE SIGNS LIST 1 portable wireless terminal 2 portable device 3 communication means 4 wireless base station 5 communication means 6 wireless base station 7 communication means 8 certificate verification server 9 communication means 10 router 11 Internet 12 Internet service 13 certification authority 14 certificate verification authority 21 mobile Device connection circuit 22 Communication connection circuit A 23 Communication connection circuit B 24 Relay processing unit 31 Certificate revocation list acquisition processing unit 32 Revocation certificate database 33 Certificate verification result response processing unit
Claims (8)
れる暗号化データに用いられた公開鍵の有効性を検証す
る電子証明書を受信して、前記ノード間のデータ通信を
中継する携帯型端末であって、 無線基地局を介してインターネットに接続する通信接続
手段を複数設け、各通信接続手段は、それぞれ異なる経
路でインターネットに接続されることを特徴とする携帯
型端末。1. A portable terminal that receives an electronic certificate for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet and relays data communication between the nodes. A portable terminal comprising a plurality of communication connection means for connecting to the Internet via a wireless base station, wherein each communication connection means is connected to the Internet via a different path.
信データを送受信し、残りの通信接続手段は電子証明書
の検証結果を送受信することを特徴とする請求項1に記
載の携帯型端末。2. The portable terminal according to claim 1, wherein at least one of the communication connection means transmits and receives communication data, and the other communication connection means transmits and receives a verification result of the electronic certificate.
子証明書の失効の有無に従い、前記通信データの送受信
の許否を判断し、前記ノード間で送受信される暗号化デ
ータの制御を行う中継手段を設けたことを特徴とする請
求項2に記載の携帯型端末。3. A relay for determining whether to permit transmission / reception of the communication data according to whether or not the digital certificate included in the verification result of the digital certificate has been revoked, and controlling encrypted data transmitted / received between the nodes. 3. The portable terminal according to claim 2, further comprising means.
れる暗号化データに用いられた公開鍵の有効性を検証す
る証明書検証サーバであって、 前記公開鍵の正当性を証明する電子証明書の失効の有無
を記録した失効証明書データベースと、 前記ノード間の通信を中継する携帯型端末に接続された
無線基地局からの前記公開鍵の正当性の照会に対し、前
記失効証明書データベースの記録内容を検証して、証明
書検証結果を回答する証明書検証結果回答手段と、 を設けたことを特徴とする証明書検証サーバ。4. A certificate verification server for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet, comprising: a digital certificate for certifying the validity of the public key; A revocation certificate database that records the presence or absence of revocation; and a record of the revocation certificate database in response to an inquiry about the validity of the public key from a wireless base station connected to a portable terminal that relays communication between the nodes. A certificate verification server, comprising: a certificate verification result reply unit that verifies the contents and returns a certificate verification result.
効リストを取得して前記失効証明書データベースに記録
する証明書失効リスト取得手段を設けたことを特徴とす
る請求項4に記載の証明書検証サーバ。5. A certificate revocation list acquiring means for acquiring a certificate revocation list issued by a third-party certification authority and recording the certificate revocation list in the revocation certificate database. Certificate validation server.
れる暗号化データに用いられた公開鍵の有効性を検証す
る電子証明書有効性検証システムであって、 請求項1から請求項3のいずれかに記載の携帯型端末
と、 請求項4、または請求項5に記載の証明書検証サーバ
と、 を含む装置で構成され、 前記携帯型端末は、前記証明書検証サーバの出力する証
明書検証結果を、前記ノード間の通信を中継する前記携
帯型端末に接続された無線基地局を介して取得すること
により、前記ノード間で送受信される暗号化データの制
御を行うことを特徴とする電子証明書有効性検証システ
ム。6. An electronic certificate validity verification system for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet, wherein the electronic certificate validity verification system comprises: And a certificate verification server according to claim 4 or claim 5, wherein the portable terminal outputs a certificate verification result output by the certificate verification server. By controlling the encrypted data transmitted and received between the nodes by acquiring the data via a wireless base station connected to the portable terminal that relays the communication between the nodes. Document validity verification system.
れる暗号化データに用いられた公開鍵の有効性を検証す
る電子証明書有効性検証方法であって、 無線基地局を介してインターネットに接続する2経路以
上の通信接続手段の内、少なくとも1つを用いて通信デ
ータを送受信する過程と、 第3者認証機関より発行される証明書失効リストを取得
して失効証明書データベースに記録する過程と、 前記ノード間の通信を中継する携帯型端末に接続された
無線基地局からの前記公開鍵の正当性の照会に対し、前
記失効証明書データベースの記録内容を検証して、証明
書検証結果を前記通信接続手段の残りを用いて回答する
過程と、 を含むことを特徴とする電子証明書有効性検証方法。7. An electronic certificate validity verification method for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet, wherein the method is for connecting to the Internet via a wireless base station. Transmitting and receiving communication data using at least one of the two or more communication connection means; obtaining a certificate revocation list issued by a third party certification authority and recording the certificate revocation list in a revocation certificate database; In response to an inquiry about the validity of the public key from a wireless base station connected to a portable terminal that relays communication between the nodes, the content of the revocation certificate database is verified, and a certificate verification result is obtained. Answering using the rest of the communication connection means.
れる暗号化データに用いられた公開鍵の有効性を検証す
る証明書検証サーバの制御プログラムを記録したコンピ
ュータ読み取り可能な記録媒体であって、 前記プログラムは、 第3者認証機関より発行される証明書失効リストを取得
して失効証明書データベースに記録する処理と、 前記ノード間の通信を中継する携帯型端末に接続された
無線基地局からの前記公開鍵の正当性の照会に対し、前
記失効証明書データベースの記録内容を検証して、証明
書検証結果を前記通信接続手段の残りを用いて回答する
処理と、 をコンピュータに実行させることを特徴とするコンピュ
ータ読み取り可能な記録媒体。8. A computer-readable recording medium recording a control program of a certificate verification server for verifying the validity of a public key used for encrypted data transmitted and received between nodes on the Internet, The program includes a process of acquiring a certificate revocation list issued by a third-party certification authority and recording the certificate revocation list in a revocation certificate database, and a process of receiving a certificate revocation list from a wireless base station connected to a portable terminal that relays communication between the nodes. A process of verifying the recorded content of the revocation certificate database with respect to the inquiry of the validity of the public key, and returning a certificate verification result using the rest of the communication connection unit. Characteristic computer readable recording medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001005536A JP2002217899A (en) | 2001-01-12 | 2001-01-12 | Portable terminal, certificate verifying server, system and method for verifying effectiveness of electronic certificate |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001005536A JP2002217899A (en) | 2001-01-12 | 2001-01-12 | Portable terminal, certificate verifying server, system and method for verifying effectiveness of electronic certificate |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002217899A true JP2002217899A (en) | 2002-08-02 |
Family
ID=18873575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001005536A Withdrawn JP2002217899A (en) | 2001-01-12 | 2001-01-12 | Portable terminal, certificate verifying server, system and method for verifying effectiveness of electronic certificate |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002217899A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005354200A (en) * | 2004-06-08 | 2005-12-22 | Canon Inc | Information processing apparatus |
| JP2006270504A (en) * | 2005-03-24 | 2006-10-05 | Mitsubishi Electric Corp | Verification apparatus and communications system |
| KR100753285B1 (en) | 2006-03-17 | 2007-08-29 | 주식회사 팬택앤큐리텔 | Method for user authentication in mobile communication system |
| US8055780B2 (en) | 2006-09-12 | 2011-11-08 | Konica Minolta Holdings, Inc. | Method of managing information and information processing apparatus |
| CN104378841A (en) * | 2013-08-12 | 2015-02-25 | 中兴通讯股份有限公司 | Connection mobility management method and node device |
-
2001
- 2001-01-12 JP JP2001005536A patent/JP2002217899A/en not_active Withdrawn
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005354200A (en) * | 2004-06-08 | 2005-12-22 | Canon Inc | Information processing apparatus |
| JP4717378B2 (en) * | 2004-06-08 | 2011-07-06 | キヤノン株式会社 | Information processing device |
| JP2006270504A (en) * | 2005-03-24 | 2006-10-05 | Mitsubishi Electric Corp | Verification apparatus and communications system |
| JP4667921B2 (en) * | 2005-03-24 | 2011-04-13 | 三菱電機株式会社 | Verification device, communication system, trust store management device, and trust store monitoring device |
| KR100753285B1 (en) | 2006-03-17 | 2007-08-29 | 주식회사 팬택앤큐리텔 | Method for user authentication in mobile communication system |
| US8055780B2 (en) | 2006-09-12 | 2011-11-08 | Konica Minolta Holdings, Inc. | Method of managing information and information processing apparatus |
| CN104378841A (en) * | 2013-08-12 | 2015-02-25 | 中兴通讯股份有限公司 | Connection mobility management method and node device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7818576B2 (en) | User controlled anonymity when evaluating into a role | |
| US8321678B2 (en) | System and method to send a message using multiple authentication mechanisms | |
| EP2587715B1 (en) | Assisted certificate enrollment | |
| KR100740521B1 (en) | System and method for verifying digital signatures on certificates | |
| US7299493B1 (en) | Techniques for dynamically establishing and managing authentication and trust relationships | |
| US8321677B2 (en) | Pre-binding and tight binding of an on-line identity to a digital signature | |
| US20040073801A1 (en) | Methods and systems for flexible delegation | |
| US9300654B2 (en) | Method of handling a certification request | |
| EP2768178A1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| JP2009118110A (en) | Method and system for provisioning meta data of authentication system, its program and recording medium | |
| JP2023106509A (en) | Information processing method, information processing program, information processing device, and information processing system | |
| JP2010191801A (en) | Authentication system and authentication method | |
| JP2002271318A (en) | Radio communication equipment and certification managing server | |
| JP2002217899A (en) | Portable terminal, certificate verifying server, system and method for verifying effectiveness of electronic certificate | |
| US20050066057A1 (en) | Method and arrangement in a communications network | |
| US9882891B2 (en) | Identity verification | |
| JP2009031849A (en) | Certificate issuing system for electronic application, electronic application reception system, and method and program therefor | |
| JP2001298774A (en) | Method for authenticating use of wireless phone | |
| JP5001968B2 (en) | Certificate authority setting device and certificate authority setting method for setting a certificate authority that guarantees the validity of the public key of each user in a social network | |
| CN114640992A (en) | Method and device for updating user identity | |
| Ou et al. | Non-repudiation Mechanism of Agent-Based Mobile Payment Systems: Perspectives on Wireless PKI | |
| KR20040001829A (en) | Non-interactive Mobile Authentification Method | |
| CA2682915A1 (en) | Method of handling a certification request |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20080401 |