JP2003134109A - System for verifying validity of public key certificate - Google Patents
System for verifying validity of public key certificateInfo
- Publication number
- JP2003134109A JP2003134109A JP2001331945A JP2001331945A JP2003134109A JP 2003134109 A JP2003134109 A JP 2003134109A JP 2001331945 A JP2001331945 A JP 2001331945A JP 2001331945 A JP2001331945 A JP 2001331945A JP 2003134109 A JP2003134109 A JP 2003134109A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- public key
- revocation list
- date
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、公開鍵暗号を利用
するシステムに関し、特に電子文書に付与された署名に
対応する公開鍵証明書の有効性を検証するシステムに関
する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system using public key cryptography, and more particularly to a system for verifying the validity of a public key certificate corresponding to a signature attached to an electronic document.
【0002】[0002]
【従来の技術】通常、電子文書に付与された署名に対応
する公開鍵証明書の有効性を検証するシステムは、認証
システムが発行し、その後失効した公開鍵証明書の無効
化情報を記載した最新の公開鍵証明書失効リストを参照
し、対象となる公開鍵証明書のシリアル番号の記載の有
無を元に、公開鍵証明書発行時に設定された公開鍵証明
書の有効期間内の特定日時における有効性を報告すると
いうものである。公開鍵証明書失効リストとは職務の変
更や公開鍵に対応する私有鍵(秘密鍵)漏洩の疑いなど
の理由により失効した公開鍵証明書のシリアル番号、失
効日時などの無効化情報が記載されているものである。2. Description of the Related Art Normally, a system for verifying the validity of a public key certificate corresponding to a signature attached to an electronic document has described invalidation information of a public key certificate issued by an authentication system and then expired. Refer to the latest public key certificate revocation list, and based on the presence or absence of the serial number of the target public key certificate, the specific date and time within the validity period of the public key certificate set when the public key certificate was issued. To report its effectiveness in. The public key certificate revocation list contains invalidation information such as the serial number and date and time of revocation of a public key certificate that has been revoked due to reasons such as a change in job duties or a leak of a private key (private key) corresponding to the public key. It is what
【0003】図1を参照して従来の技術による公開鍵証
明書の有効性検証手順を説明する。検証の対象公開鍵証
明書の有効期間は図1に示すものとする。対象公開鍵証
明書が上記理由等により有効期間内の失効日時において
失効したとすると、公開鍵証明書のシリアル番号、失効
日時などの無効化情報が周期的に発行されている最初の
証明書失効リストに記載される。検証依頼者は、対象
公開鍵証明書の有効期間内の現在日時において、証明書
失効リストを検索することにより有効期間内の特定日時
における対象証明書の失効の有無を確認する。A conventional public key certificate validity verification procedure will be described with reference to FIG. The validity period of the verification target public key certificate shall be as shown in FIG. If the target public key certificate is revoked at the revocation date and time within the validity period for the above reasons, etc., the first certificate revocation certificate where the revocation information such as the serial number and revocation date and time of the public key certificate is periodically issued. Listed. The verification requester confirms whether or not the target certificate is revoked at the specific date and time within the valid period by searching the certificate revocation list at the current date and time within the valid period of the target public key certificate.
【0004】[0004]
【発明が解決しようとする課題】従来の技術の問題点
は、対象となる公開鍵証明書が有効期限切れとなった場
合、最新の公開鍵証明書失効リストを参照しても、その
公開鍵証明書が有効期間内の特定日時において有効であ
ったか否かを報告することができない可能性があること
である。その理由としてRFC2459を参照する
と、"An entry may be removed from the CRL after ap
pearing on one regularly scheduled CRL issued beyo
nd the revoked certificate's validity period."とい
う記述があり、認証システムは、失効された対象となる
公開鍵証明書が有効期限切れとなった後に、最初に発行
する公開鍵証明書失効リストには、その公開鍵証明書の
シリアル番号、失効日時などの無効化情報を記載してい
ることを保証しているものの、その次以降に発行する公
開鍵証明書失効リストへの記載は保証していないことが
挙げられる。The problem with the prior art is that when the target public key certificate has expired, even if the latest public key certificate revocation list is referenced, the public key certificate It may not be possible to report whether the document was valid at a particular date and time within the validity period. For the reason, referring to RFC2459, "An entry may be removed from the CRL after ap
pearing on one regularly scheduled CRL issued beyo
nd the revoked certificate's validity period. " Although it is guaranteed that the revocation information such as the serial number and revocation date of the key certificate is written, it is not guaranteed that it is written on the public key certificate revocation list issued after that. To be
【0005】次に図2を参照して発明が解決しようとす
る課題について説明する。対象証明書の有効期間、失効
日時は図に示すものとする。検証依頼者は、対象公開鍵
証明書の有効期間以後の現在日時において、証明書失効
リストを検索することにより有効期間内の特定日時に
おける対象証明書の失効の有無を確認する。この際にお
いて上記記載の理由により対象公開鍵証明書が有効期限
切れとなった後に、最初に発行する公開鍵証明書失効リ
ストには無効化情報が記載されるが次に発行される公
開鍵証明書失効リストには無効化情報が記載されない
可能性がある。従って、図2に記載の現在日時において
特定日時における公開鍵証明書の失効の有無を確認でき
ない可能性がある。本発明の目的は、対象となる公開鍵
証明書が有効期限切れとなり、その無効化情報の最新の
公開鍵証明書失効リストへの記載が保証されない状況に
あっても、その公開鍵証明書が有効期間内の特定日時に
おいて有効であったか否かを報告することを可能とする
手段を備えた公開鍵証明書の有効性検証システムを提供
することにある。Next, the problem to be solved by the invention will be described with reference to FIG. The validity period and expiration date and time of the subject certificate shall be shown in the figure. The verification requester confirms whether or not the target certificate has been revoked at a specific date and time within the valid period by searching the certificate revocation list at the current date and time after the valid period of the target public key certificate. At this time, after the target public key certificate has expired due to the reason described above, the revocation list will have the revocation information listed first, but the public key certificate to be issued next. Revocation information may not be included in the revocation list. Therefore, it may not be possible to confirm whether or not the public key certificate has expired at the specific date and time at the current date and time shown in FIG. The object of the present invention is to make a public key certificate valid even if the target public key certificate has expired and the invalidation information is not guaranteed to be listed in the latest public key certificate revocation list. An object of the present invention is to provide a validity verification system of a public key certificate, which is provided with a means capable of reporting whether or not it is valid at a specific date and time within a period.
【0006】[0006]
【課題を解決するための手段】上記課題を解決するため
に、本発明の公開鍵証明書の有効性検証システムは、認
証システムが周期的に発行する公開鍵証明書失効リスト
を継続的に取得し、保管する公開鍵証明書失効リスト管
理手段と、保管してある公開鍵証明書失効リスト群の中
から、公開鍵証明書の有効期間内の特定日時の直後に発
行された公開鍵証明書失効リストを検索することによっ
て、対象となる公開鍵証明書の有効期間内の特定日時に
おける公開鍵証明書の失効の有無を確認し、報告する手
段である公開鍵証明書有効性確認手段を備え、対象とな
る公開鍵証明書が有効期限切れとなり、その無効化情報
の最新の公開鍵証明書失効リストへの記載が保証されな
い状況にあっても、その公開鍵証明書が有効期間内の特
定日時において有効であったか否かを報告するように動
作する。In order to solve the above problems, the validity verification system for public key certificates according to the present invention continuously obtains a public key certificate revocation list periodically issued by the authentication system. Then, the public key certificate revocation list management means to be stored and the public key certificate issued immediately after the specified date and time within the validity period of the public key certificate from the stored public key certificate revocation list group. A public key certificate validity check means is provided to check and report whether or not the public key certificate has been revoked at a specific date and time within the validity period of the target public key certificate by searching the revocation list. , Even if the target public key certificate has expired and it is not guaranteed that the revocation information will be listed on the latest public key certificate revocation list, the public key certificate will still have a specific date and time within the valid period. Yes in It operates to report whether or not there was a.
【0007】[0007]
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。図3に公開鍵証明書の有効
性検証システムが適用されるシステム構成を示す。この
システムは、公開鍵証明書の有効性検証システム1と証
明書失効リスト2−1を有する認証システム2及び検証
依頼者端末3を回線により接続して構成する。検証シス
テム1は、証明書失効リスト管理手段1−1と証明書有
効性確認手段1−2とから構成される。なお、検証シス
テムは、CPUやメモリ等を有するコンピュータと利用
者端末と記録媒体とから構成することができる。記録媒
体はCD−ROM、半導体メモリ等の機械読み取り可能
な記録媒体であり、ここに記録された制御用プログラム
はコンピュータに読み取られ、前述の構成要素を実現す
る。DESCRIPTION OF THE PREFERRED EMBODIMENTS Next, embodiments of the present invention will be described with reference to the drawings. FIG. 3 shows a system configuration to which the validity verification system for public key certificates is applied. This system is configured by connecting a public key certificate validity verification system 1, an authentication system 2 having a certificate revocation list 2-1 and a verification requester terminal 3 via a line. The verification system 1 is composed of a certificate revocation list management means 1-1 and a certificate validity confirmation means 1-2. The verification system can be composed of a computer having a CPU, a memory, etc., a user terminal, and a recording medium. The recording medium is a machine-readable recording medium such as a CD-ROM or a semiconductor memory, and the control program recorded therein is read by a computer to realize the above-described constituent elements.
【0008】次に、図4の処理の流れ図を参照して本実
施の形態の全体の動作について詳細に説明する。
(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システムは、認証システムが周期的に発行している
証明書失効リストを取得する。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リスト
が、確かに認証システムが発行したものであるかを確認
し、保管する。検証システムは、(1)から(2)の処
理を任意のタイミングで継続的に実行することにより、
証明書有効性確認手段1−2の実現に必要な証明書失効
リストを管理する。Next, the overall operation of this embodiment will be described in detail with reference to the flow chart of the processing in FIG. (Certificate Revocation List Management Unit 1-1) (1) Certificate Revocation List Acquisition Processing The verification system acquires the certificate revocation list that is periodically issued by the authentication system. (2) Certificate revocation list storage processing The verification system verifies whether the certificate revocation list acquired in (1) is indeed issued by the authentication system and stores it. The verification system continuously executes the processing of (1) to (2) at an arbitrary timing,
It manages the certificate revocation list necessary for implementing the certificate validity checking means 1-2.
【0009】(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、検証依頼者端末3を用いて対象となる公
開鍵証明書が有効期間内の特定日時において有効であっ
たか否かの検証を検証システムに対して依頼するため
に、検証に必要な情報を含んだ申請書を作成し、検証シ
ステムへ送付する。
(4)申請書の受信処理
検証システムは、(3)で送付された申請書を受理す
る。
(5)証明書失効リストの検索処理
検証システムは、(4)で取得した申請書に含まれる情
報を元にして、証明書失効リスト管理手段1−1によっ
て保管されている証明書失効リスト群の中から、有効期
間内の特定日時の直後に発行された証明書失効リストを
検索し、証明書の失効の有無を確認する。
(6)報告書の送信処理
検証システムは、(5)で確認した情報を元に検証結果
報告書を作成し、検証依頼者(検証依頼者端末3)へ送
付する。
(7)報告書の受信処理
検証依頼者は、(6)で送付された検証結果報告書を受
理する。以上により、検証システムは、検証依頼者に対
して、対象となる証明書が有効期限切れとなり、その無
効化情報の最新の証明書失効リストへの記載が保証され
ない状況(すなわち、図2の現在日時)にあっても、そ
の証明書が有効期間内の特定日時において有効であった
か否かを報告する。次に、図5および図6を参照して証
明書失効リスト管理手段、証明書失効リストの検索処理
の機能、構成を説明する。(Certificate Validity Confirmation Unit 1-2) (3) Application Form Transmission Process The verification requester uses the verification requester terminal 3 at a specific date and time within the validity period of the target public key certificate. In order to request the verification system to verify whether it was valid, an application form containing the information required for verification is created and sent to the verification system. (4) Reception processing of application form The verification system accepts the application form sent in (3). (5) The certificate revocation list search processing verification system, based on the information contained in the application obtained in (4), the certificate revocation list group stored by the certificate revocation list management means 1-1. Search the certificate revocation list issued immediately after a specific date and time within the valid period to check whether the certificate has been revoked. (6) Report Transmission Processing The verification system creates a verification result report based on the information confirmed in (5) and sends it to the verification requester (verification requester terminal 3). (7) Report reception processing The verification requester receives the verification result report sent in (6). As described above, the verification system causes the verification requester to have the target certificate expired and the revocation information is not guaranteed to be listed in the latest certificate revocation list (that is, the current date and time in FIG. 2). ) Also reports whether the certificate was valid at the specified date and time within the validity period. Next, the function and configuration of the certificate revocation list management means and the certificate revocation list search processing will be described with reference to FIGS.
【0010】(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システム1は、証明書失効リスト取得手段を用い
て、認証システムが周期的に発行している証明書失効リ
ストを取得する。証明書失効リスト取得手段とは、認証
システムが周期的に発行している証明書失効リストが存
在するパスを入力して、証明書失効リストを取得するも
のであり、認証システムが一般に保持しているディレク
トリからの証明書失効リストの取得技術などによって実
現可能である。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リスト
が、確かに認証システムが発行したものであるかを、電
子署名検証手段を用いて、確認した後、証明書失効リス
ト保管手段に保管する。電子署名検証手段とは、オンラ
インまたはオフラインでの配布手段により事前に入手可
能な認証システムの公開鍵証明書に含まれる公開鍵と、
電子署名および署名の生成対象である証明書失効リスト
を入力として、対象証明書失効リストに付与された電子
署名が、確かに公開鍵証明書内に示された公開鍵の所有
者である認証システムにより生成されたものであること
を検証するものであり、既存の公開鍵暗号技術によって
実現可能である。証明書失効リスト保管手段とは、任意
のタイミングで取得した証明書失効リストを証明書失効
リスト内に記載された発行日時と共に二次記憶媒体へと
保管し、また、証明書失効リストと同一の証明書失効リ
ストが、二次記憶媒体に存在した場合は、証明書失効リ
ストを保管しないものであり、コンピュータシステムが
一般的に提供するファイル入出力機能を利用することに
よって実現可能である。検証システムは、(1)から
(2)の処理を、認証システムによる証明書失効リスト
の発行周期に応じて、任意のタイミングで継続的に実行
することにより、証明書有効性確認手段1−2の実現に
必要な証明書失効リストを管理する。また、継続的に実
行するための手段のひとつとして、取得した証明書失効
リストに記載されている次回更新日時を参照することが
挙げられる。(Certificate Revocation List Management Unit 1-1) (1) Certificate Revocation List Acquisition Processing The verification system 1 uses the certificate revocation list acquisition unit to periodically certify the certification system. Get the book revocation list. Certificate revocation list acquisition means acquires the certificate revocation list by inputting the path where the certificate revocation list periodically issued by the authentication system exists, and is generally held by the authentication system. This can be achieved by using the technology to obtain the certificate revocation list from the existing directory. (2) The certificate revocation list storage processing verification system uses electronic signature verification means to check whether the certificate revocation list acquired in (1) is indeed issued by the authentication system. , Certificate revocation list storage means. The electronic signature verification means is the public key included in the public key certificate of the authentication system that can be obtained in advance by means of online or offline distribution, and
An authentication system in which the digital signature and the certificate revocation list for which the signature is generated are input, and the electronic signature given to the target certificate revocation list is certainly the owner of the public key indicated in the public key certificate. Is verified by the existing public key cryptography. The certificate revocation list storage means stores the certificate revocation list acquired at any time in the secondary storage medium together with the issue date and time described in the certificate revocation list. When the certificate revocation list exists in the secondary storage medium, the certificate revocation list is not stored, and it can be realized by using the file input / output function generally provided by the computer system. The verification system continuously executes the processing of (1) to (2) at an arbitrary timing according to the issuance cycle of the certificate revocation list by the authentication system, so that the certificate validity confirmation means 1-2. Manage the certificate revocation list required to realize. Further, as one of the means for continuously executing it, it is possible to refer to the next update date and time described in the acquired certificate revocation list.
【0011】(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、対象となる証明書が有効期間内の特定日
時において有効であったか否かの検証を検証システムに
対して依頼するために、検証依頼者端末3の電子データ
編集手段を用いて、検証に必要な情報を含んだ申請書を
作成し、電子データ通信手段を用いて、検証システム1
へ送付する。電子データ編集手段とは、ここでは、検証
依頼者の端末上で、検証対象である証明書のシリアル番
号、有効期間、発行者のシリアル番号、または、証明書
そのもの、および、検証対象日時を最低限含んだ申請書
である電子ファイルを作成するものであり、コンピュー
タシステムが一般的に提供するエディタ機能やファイル
読み込み機能を利用することにより実現可能である。電
子データ通信手段とは、検証依頼者の端末と検証システ
ムの間で電子ファイルを送受信するものであり、コンピ
ュータシステムが一般的に提供するファイル転送機能や
ファイル受信機能などを利用することによって実現可能
である。
(4)申請書の受信処理
検証システムは、電子データ通信手段を用いて、(3)
で送付された申請書を受理する。
(5)証明書失効リストの検索処理
ここで、図7を参照すると、検証システムは、証明書失
効リスト検索手段を用いて、(4)で取得した申請書に
含まれる情報を元にして、証明書失効リスト管理手段1
−1によって保管されている証明書失効リスト群の中か
ら、有効期間内の特定日時の直後に発行された証明書失
効リストを検索し、証明書の失効の有無を確認する。(Certificate Validity Confirmation Unit 1-2) (3) Application Form Transmission Processing The verification requester verifies whether or not the target certificate is valid at a specific date and time within the validity period. In order to make a request to the verification requester terminal 3, an electronic data editing means of the verification requester terminal 3 is used to create an application form including information necessary for verification, and the electronic data communication means is used to verify the verification system 1
Send to. Here, the electronic data editing means means at least the serial number of the certificate to be verified, the validity period, the serial number of the issuer, or the certificate itself, and the date and time to be verified on the verification requester's terminal. It creates an electronic file that is a limited application form, and can be realized by using the editor function and file reading function generally provided by computer systems. The electronic data communication means is a means for transmitting and receiving electronic files between the verification requester's terminal and the verification system, and can be realized by using the file transfer function or file reception function generally provided by the computer system. Is. (4) The application reception processing verification system uses (3) the electronic data communication means.
Accept the application form sent in. (5) Certificate Revocation List Search Processing Here, referring to FIG. 7, the verification system uses the certificate revocation list search means to generate information based on the information contained in the application obtained in (4). Certificate revocation list management means 1
A certificate revocation list issued immediately after a specific date and time within the valid period is searched from the certificate revocation list group stored by -1 to check whether the certificate has been revoked.
【0012】証明書失効リスト検索手段とは、以下
(a)から(c)を実施することで、実現可能である。
(a)取得した申請書を解析し、検証対象である証明書
のシリアル番号(SN:XXXX)、有効期間(8/1〜8/
4)、発行者のシリアル番号(DN:YYYY)、検証対象日時
(8/3)を取得する。ここで、申請書に証明書そのも
のが含まれていた場合には、証明書から証明書のシリア
ル番号、有効期間、発行者のシリアル番号を取得する。
(b)検証対象日時が、証明書の有効期間内に含まれる
ことを確認する。ここで、有効期間内に含まれなかった
場合には、検証者依頼者に検証対象日時エラーを返却
し、証明書失効リストの検索処理を終了する。
(c)さらに、図8を参照すると、証明書のシリアル番
号、発行者のシリアル番号、検証対象日時を検索キーに
して、二次記憶媒体に保管されている証明書失効リスト
群の中から、指定の発行者から発行された検証対象日時
以降のもっとも近い発行日時を持つ証明書失効リスト
(発行日時:8/5)を検索し、証明書のシリアル番号
(SN:XXXX)の記載の有無を確認する。The certificate revocation list search means can be realized by carrying out the following (a) to (c). (A) Analyzing the acquired application form, the serial number (SN: XXXX) of the certificate to be verified, and the validity period (8/1 to 8 /
4) Obtain the issuer's serial number (DN: YYYY) and verification target date and time (8/3). If the application itself contains the certificate, the certificate serial number, validity period, and issuer serial number are obtained from the certificate. (B) Confirm that the verification target date and time is included within the validity period of the certificate. Here, if it is not included within the valid period, the verification target date / time error is returned to the verifier requester, and the certificate revocation list search processing ends. (C) Further, referring to FIG. 8, using the serial number of the certificate, the serial number of the issuer, and the verification target date and time as search keys, from the certificate revocation list group stored in the secondary storage medium, Search the certificate revocation list (issue date: 8/5) that has the closest issue date and time after the date and time to be verified issued by the specified issuer, and obtain the certificate serial number.
Check if there is a description of (SN: XXXX).
【0013】(6)報告書の送信処理
検証システムは、電子データ編集手段を用いて、(5)
で確認した情報を元に検証結果報告書である電子ファイ
ルを作成し、電子データ通信手段を用いて、検証依頼者
へ送付する。検証結果報告書には、検証対象日時が証明
書の有効期間に含まれ、かつ、証明書失効リストに証明
書のシリアル番号が記載されていなかった場合に、証明
書が有効であることを記載し、また、検証対象日時が証
明書の有効期間に含まれ、かつ、証明書失効リストに証
明書のシリアル番号が記載されていた場合には、証明書
が無効であることを記載する。また、検証対象日時の有
効期間に含まれなかった場合には、申請書の検証対象日
時が不正であることを記載する。
(7)報告書の受信処理
検証依頼者は、電子データ通信手段を用いて、(6)で
送付された検証結果報告書を受理する。以上により検証
システムは、検証依頼者に対して、対象となる証明書が
有効期限切れとなり、その無効化情報の最新の証明書失
効リストへの記載が保証されない状況にあっても、その
証明書が有効期間内の特定日時において有効であったか
否かを報告することが可能となる。(6) The report transmission processing verification system uses (5) the electronic data editing means.
An electronic file, which is a verification result report, is created based on the information confirmed in step 1, and is sent to the verification requester using electronic data communication means. The verification result report indicates that the certificate is valid when the verification target date / time is included in the validity period of the certificate and the serial number of the certificate is not listed in the certificate revocation list. If the date and time to be verified is included in the validity period of the certificate and the serial number of the certificate is listed in the certificate revocation list, it indicates that the certificate is invalid. If it is not included in the valid period of the verification target date and time, indicate that the verification target date and time of the application form is incorrect. (7) Report reception processing The verification requester receives the verification result report sent in (6) using electronic data communication means. Due to the above, the verification system asks the verification requester that the target certificate has expired, and even if it is not guaranteed that the revocation information will be listed on the latest certificate revocation list, the certificate will be It is possible to report whether or not it was valid at a specific date and time within the valid period.
【0014】[0014]
【発明の効果】本発明は、対象となる証明書が有効期限
切れとなり、その無効化情報が最新の証明書失効リスト
への記載が保証されない状況であっても、その証明書が
有効期間内の特定日時において有効であったか否かを報
告することができる、公開鍵証明書の有効性検証システ
ムを提供することができる。その理由として、検証シス
テムは、認証システムが発行する証明書失効リストを取
得し、保管するという処理を任意のタイミングで継続的
に実行するように構成されているため、有効期間内の特
定日時における証明書の有効性検証の依頼に対して、保
管してある証明書失効リスト群の中から、有効期間内の
特定日時の直後に発行された証明書失効リストを検索
し、証明書の失効の有無を確認し報告することができる
ためである。According to the present invention, even when the target certificate has expired and the revocation information is not guaranteed to be listed in the latest certificate revocation list, the certificate is still within the valid period. It is possible to provide a public key certificate validity verification system capable of reporting whether or not it is valid at a specific date and time. The reason is that the verification system is configured to continuously execute the process of acquiring and storing the certificate revocation list issued by the authentication system at an arbitrary timing, so In response to the request to verify the validity of the certificate, the certificate revocation list issued immediately after the specified date and time within the valid period is searched from the stored certificate revocation list, and the certificate revocation list This is because it is possible to confirm and report the existence.
【図1】従来の技術における公開鍵署名の有効性検証手
順の説明図。FIG. 1 is an explanatory diagram of a public key signature validity verification procedure in a conventional technique.
【図2】従来の技術における公開鍵署名の有効性検証手
順の課題の説明図。FIG. 2 is an explanatory diagram of a problem of a public key signature validity verification procedure in the related art.
【図3】本発明が適用されるシステム構成図。FIG. 3 is a system configuration diagram to which the present invention is applied.
【図4】本発明を実現するための処理の流れ図。FIG. 4 is a flowchart of processing for realizing the present invention.
【図5】本発明における証明書管理手段の構成、処理の
流れ図。FIG. 5 is a flowchart of the configuration and processing of certificate management means according to the present invention.
【図6】本発明における証明書失効リストの検索処理手
段の構成、処理の流れ図。FIG. 6 is a flow chart of the configuration and processing of a certificate revocation list search processing unit according to the present invention.
【図7】本発明における証明書失効リストの検索処理の
説明図。FIG. 7 is an explanatory diagram of a certificate revocation list search process according to the present invention.
【図8】本発明における証明書失効リストの検索と証明
書シリアル番号の確認の説明図。FIG. 8 is an explanatory diagram of searching a certificate revocation list and confirming a certificate serial number according to the present invention.
1 検証システム 1−1 証明書失効リスト管理手段 1−2 証明書有効性確認手段 2 認証システム 3 検証依頼者端末 1 Verification system 1-1 Certificate revocation list management means 1-2 Certificate validity confirmation means 2 authentication system 3 Verification requester terminal
───────────────────────────────────────────────────── フロントページの続き (72)発明者 橋本 正一 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B085 AE00 AE29 5J104 AA16 EA05 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Shoichi Hashimoto 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation F-term (reference) 5B085 AE00 AE29 5J104 AA16 EA05
Claims (3)
証明書失効の無効化情報が、有効期限切れ後の最初に発
行される証明書失効リストに記載が保証され、以後に発
行される証明書失効リストに記載が保証されない証明書
失効リストを用いて対象となる公開鍵証明書の有効期間
内の特定日時において有効であったか否かを報告する手
段を備えた公開鍵証明書の有効性検証システムにおい
て、 前記証明書失効リストを継続的に取得して保管する証明
書失効リスト管理手段と、保管してある証明書失効リス
ト群の中から検証対象となる公開鍵証明書の有効期間内
の特定日時の直後に発行された証明書失効リストを検索
する手段を有し、特定日時における公開鍵証明書の失効
の有無を確認し、報告する証明書有効性確認手段を備え
たことを特徴とする公開鍵証明書の有効性検証システ
ム。1. A certificate issued periodically by the authentication system that guarantees that the revocation information for revocation of a public key certificate is listed in the first certificate revocation list issued after the expiration date, and is issued thereafter. Validity verification of public key certificates with means to report whether or not the target public key certificate was valid at a specific date and time within the validity period using the certificate revocation list that is not guaranteed to be included in the document revocation list In the system, the certificate revocation list management means for continuously acquiring and storing the certificate revocation list and the certificate revocation list within the valid period of the public key certificate to be verified from the stored certificate revocation list group. It has a means to search the certificate revocation list issued immediately after the specified date and time, and has a certificate validity confirmation means to check whether the public key certificate has been revoked at the specified date and time and report it. Public key certificate validity verification system.
証システムにおいて、 前記証明書失効リストは発行日時を含み、 証明書失効リスト管理手段は、証明書失効リストを保管
する二次記憶媒体を有し、また、証明書失効リストと同
一の証明書失効リストが二次記憶媒体に存在した場合に
はこの証明書失効リストを保管しない手段を備えたこと
を特徴とする公開鍵証明書の有効性検証システム。2. The public key certificate validity verification system according to claim 1, wherein the certificate revocation list includes an issue date and time, and the certificate revocation list management means stores a secondary certificate revocation list. A public key certificate having a storage medium and having means for not storing the certificate revocation list when the same certificate revocation list as the certificate revocation list exists in the secondary storage medium. Validity verification system for documents.
証システムにおいて、 二次記憶媒体に保管されている証明書失効リストは、公
開鍵証明書のシリアル番号、有効期間、発行者のシリア
ル番号を含み、 検証対象となる公開鍵証明書のシリアル番号、有効期
間、発行者のシリアル番号、検証対象日時からなる申請
書を取得する手段、あるいは、検証対象となる公開鍵証
明書そのものを受け取りシリアル番号、有効期間、発行
者のシリアル番号、検証対象日時を取得する手段と、 検証対象日時が公開鍵証明書の有効期間内に含まれるこ
とを確認し、有効期間内に含まれなかった場合には、検
証依頼者端末に検証対象日時エラーを返却する手段と、 検証対象となる公開鍵証明書のシリアル番号、発行者の
シリアル番号、検証対象日時を検索キーとして二次記憶
媒体に保管されている証明書失効リスト群の中から、指
定の発行者から発行された検証対象日時以降のもっとも
近い発行日時を持つ証明書失効リストを検索し公開鍵証
明書のシリアル番号の記載の有無を確認する手段を備え
たことを特徴とする公開鍵証明書の有効性検証システ
ム。3. The public key certificate validity verification system according to claim 2, wherein the certificate revocation list stored in the secondary storage medium includes a serial number of the public key certificate, a validity period, and an issuer. , Including the serial number of the public key certificate to be verified, the valid period, the serial number of the issuer, the means to obtain an application form consisting of the date and time to be verified, or the public key certificate itself to be verified. Receive the serial number, validity period, issuer serial number, verification date and time, and verify that the verification date and time is within the validity period of the public key certificate, it is not included within the validity period In this case, the method for returning the verification target date / time error to the verification requester terminal, and the search key for the serial number of the public key certificate to be verified, the issuer's serial number, and the verification target date / time. From the certificate revocation list group stored in the secondary storage medium as a certificate, search for the certificate revocation list issued by the specified issuer that has the closest issue date and time after the verification target date and time, and then find the public key certificate. A public key certificate validity verification system, characterized in that it is provided with a means for confirming whether or not the serial number is described.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001331945A JP3754342B2 (en) | 2001-10-30 | 2001-10-30 | Public key certificate validity verification system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001331945A JP3754342B2 (en) | 2001-10-30 | 2001-10-30 | Public key certificate validity verification system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003134109A true JP2003134109A (en) | 2003-05-09 |
| JP3754342B2 JP3754342B2 (en) | 2006-03-08 |
Family
ID=19147439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001331945A Expired - Lifetime JP3754342B2 (en) | 2001-10-30 | 2001-10-30 | Public key certificate validity verification system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3754342B2 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007020044A (en) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | Verification server and verification program |
| WO2010062453A1 (en) * | 2008-10-31 | 2010-06-03 | Motorola, Inc. | Method and device for enabling a trust relationship using an unexpired public key infrastructure (pki) certificate |
| JP2011521571A (en) * | 2008-05-29 | 2011-07-21 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信股▲分▼有限公司 | Entity bi-directional identification method supporting fast handoff |
| US8037300B2 (en) * | 2004-06-08 | 2011-10-11 | Canon Kabushiki Kaisha | Information processing apparatus with certificate invalidity determination |
| JP2012209689A (en) * | 2011-03-29 | 2012-10-25 | Nec Corp | Authentication system, authentication apparatus, certificate authority, authentication method and program |
| US8423761B2 (en) | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
-
2001
- 2001-10-30 JP JP2001331945A patent/JP3754342B2/en not_active Expired - Lifetime
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8037300B2 (en) * | 2004-06-08 | 2011-10-11 | Canon Kabushiki Kaisha | Information processing apparatus with certificate invalidity determination |
| JP2007020044A (en) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | Verification server and verification program |
| JP4694904B2 (en) * | 2005-07-11 | 2011-06-08 | 三菱電機株式会社 | Verification server and verification program |
| JP2011521571A (en) * | 2008-05-29 | 2011-07-21 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信股▲分▼有限公司 | Entity bi-directional identification method supporting fast handoff |
| US8392710B2 (en) | 2008-05-29 | 2013-03-05 | China Iwncomm Co., Ltd. | Entity bidirectional-identification method for supporting fast handoff |
| WO2010062453A1 (en) * | 2008-10-31 | 2010-06-03 | Motorola, Inc. | Method and device for enabling a trust relationship using an unexpired public key infrastructure (pki) certificate |
| US8423761B2 (en) | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
| US8826006B2 (en) | 2008-10-31 | 2014-09-02 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate |
| JP2012209689A (en) * | 2011-03-29 | 2012-10-25 | Nec Corp | Authentication system, authentication apparatus, certificate authority, authentication method and program |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3754342B2 (en) | 2006-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108550037B (en) | File processing method and device based on block chain | |
| US20200084037A1 (en) | Data sharing method, client, server, computing device, and storage medium | |
| US20210083856A1 (en) | Improved hardware security module management | |
| US8380985B2 (en) | Certificate validation method and certificate validation server and storage medium | |
| JP4844281B2 (en) | Document management apparatus and program | |
| CN110785760A (en) | Method and system for registering digital documents | |
| JP2006135465A (en) | Document management apparatus, document management method, and computer program | |
| TW200410539A (en) | Authentication and authorization infrastructure system with CRL issuance notification function | |
| JP2008109519A (en) | Verification method of signature key, electronic signature method, verification method of electronic signature, and information processor | |
| JP2003134109A (en) | System for verifying validity of public key certificate | |
| JP2004266652A (en) | Device, method, program and record medium for generating lapse information of electronic certificate, system for generating the same, as well as device, method, program and record medium for verifying lapse of electronic certificate | |
| JP3466975B2 (en) | Public key certificate validity confirmation system and method, and medium storing the program | |
| WO2020077055A1 (en) | Systems and methods for a federated directory service | |
| EP3495962A1 (en) | Systems and methods for using linked documents | |
| CN112182009B (en) | Block chain data updating method and device and readable storage medium | |
| JP2007266797A (en) | Authentication system and authentication method thereof | |
| JP2013088927A (en) | Authentication management device and authentication management method | |
| JP2009031849A (en) | Certificate issuing system for electronic application, electronic application reception system, and method and program therefor | |
| JP2000242169A (en) | Method and device for confirming effectiveness of public key certifying card, and recording medium recording effectiveness confirming program for public key certifying card | |
| JP2002023627A (en) | Device and method for verifying signature | |
| JPWO2014038034A1 (en) | Information processing system, information processing method, program | |
| JP2002342516A (en) | System, method, and program for certificate lapse list management | |
| JP2017182433A (en) | Time stamp registration device, and time stamp registration program | |
| JP4990560B2 (en) | Electronic signature verification system | |
| US9985754B2 (en) | Information processing apparatus and communication device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050906 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051028 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20051028 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051129 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051215 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3754342 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091222 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101222 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101222 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111222 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111222 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121222 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121222 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131222 Year of fee payment: 8 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |