CN1231862C - 具有crl发行通知功能的认证基础结构系统 - Google Patents
具有crl发行通知功能的认证基础结构系统 Download PDFInfo
- Publication number
- CN1231862C CN1231862C CNB031412963A CN03141296A CN1231862C CN 1231862 C CN1231862 C CN 1231862C CN B031412963 A CNB031412963 A CN B031412963A CN 03141296 A CN03141296 A CN 03141296A CN 1231862 C CN1231862 C CN 1231862C
- Authority
- CN
- China
- Prior art keywords
- mentioned
- crl
- certificate
- release note
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
为使证明书的有效性判定处理高速化而超高速缓存CRL后,在认证局紧急发行了CRL的场合下,由于超高速缓存的上述CRL不是最新的,因而证明书的有效性验证结果的精度得不到保证。为此,由于在发行了上述CRL的场合下,从上述认证局向上述证明书验证服务器发送CRL发行通知,而且接收到该CRL发行通知的上述证明书验证服务器超高速缓存最新的上述CRL,因而可以保证证明书有效性验证结果的精度。
Description
技术领域
本发明涉及由发行公钥证明书失效列表的认证局、验证公钥证明书有效性的证明书验证服务器、利用上述证明书验证服务器的客户机组成的认证基础结构系统。
现有技术
从政府认证基础结构(以下记述为GPKI)开始,为确认电子文档的作成者,而且为保证该电子文档不被改动,利用了公钥认证基础结构(Public Key Infrastructure,以下记述为PKI)的系统正得到普及(比如参照非专利文献1)。在利用了PKI的系统中,利用只有实施电子署名者(以下记述为署名者)持有的被称为私钥(Privatekey)的密钥对电子文档实施电子署名。在接收到实施了电子署名的电子文档的场合下,通过验证上述电子署名,来确认电子文档的作成者及确认该电子文档未被改动。
在要求高可靠性的用途中,为进行电子署名验证,不仅要利用上述署名者的公钥证明书(以下记述为证明书)中包含的被称为公钥的密钥来验证该电子署名,还有必要确认上述署名者的证明书对于电子署名验证者(以下记述为验证者)是否是有效的证明书。在验证上述署名者的证明书对于上述验证者是否有效时,有必要进行(1)认证路径的构筑,(2)认证路径的验证的处理。
所谓认证路径是从上述验证者至上述署名者的可靠性链条,作为证明书的链路表现出来。尤其是,在认证局之间相互发行证明书的场合下,发行称为相互认证证明书的特殊证明书。在从认证局11至认证局19的这9个认证局具有图2所示的相互认证关系的场合下,从持有认证局12所发行的证明书的验证者至持有认证局11所发行的证明书的署名者的验证路径成为一种呈第1为相互认证证明书918、第2为相互认证证明书968、第3为相互认证证明书946、第4为相互认证证明书924、最后是验证者的证明书的顺序的证明书链路。对于验证如此构筑的验证路径的方法,在上述非专利文献1中有详细记述。
此外在上述GPKI规格书中,作为验证证明书有效性的模式,记载有终端实体模式、证明书验证服务器模式。(比如参照非专利文献2。)上述证明书验证服务器模式为验证证明书的有效性,利用了提供代替客户机在线确认证明书有效性的功能的证明书验证服务器。
上述证明书验证服务器模式与上述终端实体模式相比,具有以下优点。首先,在上述证明书验证服务器模式中,由于不必在客户机中实装构筑上述认证路径的认证路径构筑功能,因而可以缩小客户机的署名验证程序。此外由于客户机相信上述证明书验证服务器的判定结果,因而只需变更上述证明书验证服务器的设定,便可灵活地对应系统结构的变化。根据上述非专利文献2,在判定证明书是否失效中,利用上述认证局所发行的证明书失效列表(Certificate RevocationList,以下记述为CRL)及OCSP对应符。
由于每当进行验证时从上述认证局获取上述CRL这种方法效率不良,因而在专利文献1中披露了一种上述证明书验证服务器对上述证明书及上述CRL和上述验证路径进行超高速缓存,由此使证明书的有效性判定处理高速化的方法。
不过,为验证电子署名或构筑验证路径,有必要获得署名者的证明书。获得署名者的证明书的方法可大致分为两类。
其一是只从署名者发送附加电子署名的电子文档,另外获取该署名者的证明书的方法。比如与附加电子署名的电子文档一道,通知表示用于验证该电子署名的证明书的寄存场所的URL的方法等。在该方法中,上述验证者有必要访问上述证明书的寄存场所(以下记述为证明书存储库)等,获得该证明书。另一种是署名者在发送带有电子署名的电子文档的同时,还附加用于验证该电子署名的证明书来发送的方法。
[专利文献1]
特开2002-72876号公报
[非专利文献1]
ITU,ITU-T Recommendation X.509“Information technology-Open systems interconnection-The Directory:Public-key andattribute certificate frameworks”,ITU,2000年3月,p.7-53
[非专利文献2]
「政府认证基础结构(GPKI)政府认证基础结构相互运用性规格书」p.18-20,27-29,[online],平成13年4月25日,基本问题专门部认可,[2003年3月14日检索],因特网<URL:http:∥www.soumu.go.jp/gyoukan/kanri/010514_2.pdf>
发明将要解决的课题
为使证明书的有效性判定处理高速化而对上述CRL进行超高速缓存后,在上述认证局紧急发行了上述CRL的场合下,被超高速缓存的上述CRL便不再是最新的。专利文献1中未涉及该点。
解决上述课题的方法之一是一种为能在紧急发行了上述CRL的场合下也能正确地进行有效性验证,上述证明书验证服务器定期访问上述CRL的寄存场所(以下称为CRL存储库),确认上述CRL是否被更新的方法。上述方法还分为上述证明书验证服务器本身通过网络进行确认的方式和在上述CRL存储库内导入CRL发行确认软件来进行确认的方式这2种。
为利用定期确认上述CRL是否被更新的方法,提高上述证明书的有效性验证结果的精度,有必要尽量缩短上述确认的间隔。但在上述证明书验证服务器本身通过网络进行确认的方式中,存在着缩短上述确认间隔后,网络负荷将增大的课题。
另一方面,在上述CRL存储库内导入用于进行确认的CRL发行确认软件的方式的场合下,如果上述CRL存储库的经营者与上述证明书验证服务器的经营者相异,则存在着上述CRL发行确认软件的安装得不到许可,不能进行上述确认的课题。
此外,在存在多个上述证明书验证服务器的环境下,如果所有的上述证明书验证服务器未利用被导入上述CRL存储库的上述CRL发行确认软件,则所有的上述证明书验证服务器便不能在相同精度下进行证明书有效性验证,因而在欲增减运作中的上述证明书验证服务器数量的场合下,便有必要变更上述CRL发行确认软件的设定,然而如果上述CRL存储库的经营者与上述证明书验证服务器的经营者相异,则难以灵活地变更上述证明书验证服务器的数量,这也是一个课题。
此外,即使对上述验证路径进行了超高速缓存,在由上述认证局废弃了旧的相互认证证明书,发行了新的相互认证证明书的场合下,有必要构筑包含新的相互认证证明书的验证路径。
此外在存在多个上述证明书验证服务器的环境下,即使在多个上述证明书验证服务器验证出同一上述证明书有效性的场合下,各上述证明书验证服务器仍需进行上述认证路径的构筑及上述CRL的获取等,因而存在着对特定的上述CRL存储库及上述证明书存储库的访问集中,或网络负荷增大的可能性。专利文献1中对此未做涉及。
此外在另外获取上述证明书的方法中,存在着上述客户机为向上述证明书验证服务器委托上述证明书的有效性验证,必须首先访问上述证明书存储库,以获取上述证明书的课题。
因此,需要推出解决上述各课题的新方法。
发明内容
本发明的特征在于,其认证基础结构系统由以下部分构成:认证局,其具备有发行上述证明书的证明书发行单元、发行上述CRL的CRL发行单元;证明书存储库,其具备有寄存由上述认证局发行的上述证明书的证明书寄存单元;CRL存储库,其具备有寄存由上述认证局发行的上述CRL的CRL寄存单元;证明书验证服务器,其具备有验证上述证明书有效性的证明书有效性验证单元、对从上述CRL存储库获取的上述CRL进行超高速缓存的CRL超高速缓存单元、对为上述证明书有效性验证单元验证上述证明书的有效性而构筑的验证路径进行超高速缓存的验证路径超高速缓存单元;客户机,其具备有验证电子署名的电子署名验证单元、向上述证明书验证服务器委托上述证明书的有效性验证的证明书有效性验证委托单元,在该认证基础结构系统中,上述认证局中设有CRL发行通知发送单元,其在发行上述CRL的同时,向上述证明书验证服务器发送通知「上述CRL已发行」事实的CRL发行通知,上述证明书验证服务器中设有CRL发行通知接收单元,其从上述认证局接收上述CRL发行通知。
此外本发明的特征在于:上述证明书验证服务器的上述CRL超高速缓存单元在由上述CRL发行通知接收单元接收到上述CRL发行通知的场合下,从上述CRL存储库获取由上述认证局新发行的上述CRL。
此外本发明的特征在于:上述证明书验证服务器中设有CRL发行通知发送单元,其在发现上述CRL是新发行的场合下,对预先登录的其它证明书验证服务器通知「CRL已发行」的事实。
此外本发明的特征在于:上述认证局中设有证明书发行通知发送单元,其在由上述证明书发行单元发行了上述证明书的场合下,向上述证明书验证服务器发送通知「证明书已发行」的事实的证明书发行通知,上述证明书验证服务器中设有接收上述证明书发行通知的证明书发行通知接收单元,上述证明书有效性验证单元在由上述证明书发行通知接收单元接收到上述证明书发行通知的场合下,作成包含新发行的上述证明书的上述验证路径,上述验证路径超高速缓存单元对该验证路径进行超高速缓存。
此外本发明的特征在于:在上述证明书验证服务器中设有验证路径发送单元,其在构筑了上述验证路径的场合下,将该验证路径发送到预先登录的其它证明书验证服务器,上述验证路径超高速缓存单元在从其它证明书验证服务器接收到上述验证路径的场合下,对该验证路径进行超高速缓存。
此外本发明的特征在于:上述客户机中设有证明书获取委托单元,其向上述证明书验证服务器委托为验证上述电子署名所必需的上述证明书的获取,上述证明书验证服务器中设有证明书获取单元,其从上述证明书存储库获取从上述客户机请求了获取的上述证明书,而且在由上述证明书验证单元判定出该证明书有效的场合下,向上述客户机发送该证明书。
此外本发明的特征在于:在上述证明书验证服务器中设有作成「委托上述CRL发行通知的发送」的消息的单元,在上述认证局中设有接收上述CRL发行通知委托消息的单元,此外上述认证局的上述CRL发行通知发送单元对于对该认证局发送了上述CRL发行通知委托消息的证明书验证服务器发送上述CRL发行通知。
此外本发明的特征在于:在上述CRL存储库中具备有CRL发行通知发送单元,其在发现了在上述CRL寄存库寄存了新的CRL的场合下,发送「CRL已发行」的CRL发行通知;CRL发行通知委托接收单元,其接收「委托上述CRL发行通知的发送」的CRL发行通知委托消息。
此外本发明的特征在于:CRL发行确认软件实现监视CRL的发行,在发行了新CRL的场合下,发送CRL发行通知的单元,实现接收CRL发行通知委托消息的单元,上述CRL发行通知发送单元将上述CRL发行通知发送到所接收的上述CRL发行通知委托消息的发送源。
此外本发明的特征在于:上述证明书验证服务器中设有接收由上述CRL发行通知委托作成单元作成的CRL发行通知委托消息的单元。
附图说明
图1是表示应用了本发明一实施方式的带有电子署名的电子文档交换系统的系统结构的附图。
图2是表示图1的带有电子署名的电子文档交换系统中,认证局1之间的相互认证关系的附图。
图3是表示图1的带有电子署名的电子文档交换系统中,发行了CRL7的场合下的动作的附图。
图4是表示图1的带有电子署名的电子文档交换系统中,证明书509与电子文档一同发送的场合下,客户机终端5收发电子文档6时的动作的附图。
图5是表示图1的带有电子署名的电子文档交换系统中,证明书509未与电子文档一同发送的场合下,客户机终端5收发电子文档6时的动作的附图。
图6是表示CRL发行通知发送目标列表104与CRL发行通知转送目标列表408的一例的附图。
图7是表示图1的带有电子署名的电子文档交换系统中,证明书验证服务器4向认证局1委托CRL发行通知8的发送的场合下的动作的附图。
图8是表示CRL发行通知委托消息10的一例的附图。
图9是表示图1所示的认证局1、证明书存储库2、CRL存储库3、证明书验证服务器4、客户机终端5的各硬件结构例的附图。
符号说明
0…网络,1、11~19…认证局,2…证明书存储库,3…CRL存储库,4、41~4n…证明书验证服务器,5、51~5n…客户机终端,6…电子文档,7…CRL,8…CRL发行通知,9…相互认证证明书,10…CRL发行通知委托消息,91…CPU,92…存储器,93…外部存储装置,94…读取装置,95…通信装置,96…输入装置,97…输出装置,98…接口,99…存储媒体,104…CRL发行通知发送目标列表,408…CRL发行通知转送目标列表,409…验证路径发送目标列表,508、5081~508n…私钥,509、5091~509n…证明书。
实施方式
以下利用附图对本发明的实施方式作以说明。此外本发明并不受此限定。
图1是表示作为本发明实施例的带有电子署名的电子文档交换系统的一种构成的附图。从认证局11至认证局19这9个认证局(以下统一记述为认证局1)、证明书存储库2、CRL存储库3、从证明书验证服务器41至证明书验证服务器4n的n个证明书验证服务器(以下统一记述为证明书验证服务器4)、向上述证明书验证服务器4委托证明书的有效性验证的从客户机终端51至客户机终端5m的m个客户机终端(以下统一记述为客户机终端5)通过网络0连接。
上述认证局1具备向上述客户机终端5发行证明书509,并将该证明书509的副本寄存到上述证明书存储库2的证明书发行功能101、发行作为失效的上述证明书509的列表的CRL7,并将该CRL7寄存到上述CRL存储库的CRL发行功能102、将通知发行了上述CRL7的CRL发行通知8发送到上述证明书验证服务器4的CRL发行通知功能103、接收「委托上述CRL发行通知8的发送」的CRL发行通知委托消息1O的CRL发行通知委托接收功能105。
此外从认证局11至认证局19的上述认证局1相互发行相互认证证明书9,具有如图2所示的相互认证关系。
上述证明书存储库2具备保持上述证明书509的证明书DB201、从上述认证局1接收上述证明书509,并将该证明书509寄存到上述证明书DB201,此外从上述证明书DB201检索指定的上述证明书509并返回的证明书DB管理功能202。
上述CRL存储库3具备保持上述CRL7的CRLDB301、从上述认证局1接收上述CRL7,并将该CRL寄存到上述CRLDB301,此外从上述CRLDB301检索指定的上述CRL7并返回的证明书DB管理功能302。
上述证明书验证服务器4具备:
对上述CRL7超高速缓存的CRL超高速缓存器401;
对用于验证上述证明书509的有效性的验证路径进行超高速缓存的验证路径超高速缓存器402;
接收来自上述客户机终端5的请求,验证证明书有效性的证明书验证功能403;
接收来自上述客户机终端5的请求,从上述证明书存储库2获取上述证明书509,通过上述证明书验证功能403来验证该证明书509的有效性,在该证明书509有效的场合下,返回上述客户机终端5的证明书获取功能404;
从上述CRL存储库3获取上述CRL7,并将该CRL7寄存到上述CRL超高速缓存器401的CRL管理功能405;
从上述认证局1接收上述CRL发行通知8,在从上述认证局1接收到上述CRL发行通知8的场合下,向预先登录的或者通过发送上述CRL发行通知委托消息10来委托了该CRL发行通知8的转送的其它证明书验证服务器4转送该CRL发行通知8的CRL发行通知管理功能406;
在上述验证路径超高速缓存器402内对上述证明书验证功能403所作成的上述验证路径进行超高速缓存,并将该验证路径向预先登录的其它证明书验证服务器4发送,此外在上述验证路径超高速缓存器402内对从其它证明书验证服务器4接收的上述验证路径进行超高速缓存的验证路径管理功能407;
作成对上述认证局1委托上述CRL发行通知8的发送的CRL发行通知委托消息10的CRL发行通知委托作成功能410;
从其它证明书验证服务器4接收上述CRL发行通知委托消息10的CRL发行通知委托接收功能411。
上述客户机终端5具备:
与其它客户机终端5交换电子文档6的电子文档交换功能501;
在上述电子文档6上进行电子署名,并验证在从其它客户机终端5接收的上述电子文档6上进行的电子署名的电子署名功能502;
向上述证明书验证服务器4请求上述证明书509的有效性验证,并从上述证明书验证服务器4接收上述证明书509的有效性验证结果的证明书验证请求功能503;
在上述电子文档6上并非附加上述证明书509而是附加了表示上述证明书509的寄存场所的URL的场合下,为获取在该URL中寄存的上述证明书509,向上述证明书验证服务器4发送该证明书识别信息,并从上述证明书验证服务器4接收该证明书509的证明书获取委托功能506;
上述电子署名作成功能502所利用的私钥508;
由上述认证局1发行的上述证明书509。
上述客户机终端51的上述证明书5091由上述认证局11发行,上述客户机终端52的上述证明书5092由上述认证局12发行。
在本实施例中,上述证明书验证请求功能503与上述证明书获取委托功能506所利用的上述证明书验证服务器4利用从上述证明书验证服务器41至上述证明书验证服务器4n的上述证明书验证服务器4中预定的特定的上述证明书验证服务器4。
比如客户机终端52利用上述证明书验证服务器41。
图1所示的认证局1、证明书存储库2、CRL存储库3、证明书验证服务器4、客户机终端5各装置可通过在一般电子计算机中由CPU91实行被装入存储器92的规定程序来实现,该计算机如图9所示具备有:CPU91、存储器92、硬盘等外部存储装置93、从CD-ROM等具有移动性的存储媒体99读取信息的读取装置94、用于通过网络与其它装置进行通信的通信装置95、键盘及鼠标等输入装置96、监视器及打印机等输出装置97、进行这些各装置之间的数据收发的接口98。
即,证明书发行功能101、CRL发行功能102、CRL发行通知功能103、CRL发行通知委托接收功能105、证明书DB管理功能202、CRLDB管理功能302、证明书验证功能403、证明书获取功能404、CRL管理功能405、CRL发行通知管理功能406、验证路径管理功能407、CRL发行通知委托作成功能410、CRL发行通知委托接收功能411、电子文档交换功能501、电子署名功能502、证明书验证请求功能503、证明书获取委托功能504可以作为基于CPU91实行规定的程序的过程来实现。此外证明书DB201、CRLDB301、CRL超高速缓存器401、验证路径超高速缓存器402可通过CPU91利用存储器92及外部存储装置63来实现。
用于实现上述各装置的规定程序可通过读取装置94从电子计算机可利用的存储媒体99被导入这种电子计算机,或者也可以通过通信装置96,并通过网络或在网络上传播的载波等电子计算机可利用的通信媒体被从其它服务器导入。
在导入时,可以在暂时寄存到外部存储装置93后,由此装入存储器92,由CPU91实行,或者也可以不寄存到外部存储装置93,而直接装入存储器92,由CPU91实行。
接下来,对图1的电子署名利用系统的动作,结合附图,对上述证明书验证服务器4对上述认证局1委托上述CRL发行通知8的发送场合下的动作作以说明。
图7表示在图1的电子署名利用系统中,上述证明书验证服务器4对上述认证局1委托上述CRL发行通知8的发送场合下的上述证明书验证服务器4及上述认证局1的动作。
在上述证明书验证服务器4中,上述CRL发行通知委托作成功能410作成上述CRL发行通知委托消息10(步骤7101),发送到上述认证局1(步骤7102)。
图8(a)例示的CRL发行通知委托消息10由「委托上述CRL发行通知8的发送」消息和作为成为上述CRL发行通知8的发送目标的网络0上的地址的主机名来构成。
在上述认证局1中,上述CRL发行通知委托接收功能105接收到上述CRL发行通知委托消息10(步骤7201)后,将发送了该CRL发行通知委托消息10的上述证明书验证服务器4的主机名追加到CRL发行通知发送目标列表104(步骤7202)。
在从上述证明书验证服务器41向上述证明书验证服务器42委托上述CRL发行通知8的转送的场合下,首先,上述证明书验证服务器41的上述CRL发行通知委托作成功能410作成上述CRL发行通知委托消息10,发送到上述证明书验证服务器42。
上述证明书验证服务器42的CRL发行通知委托接收功能411接收该CRL发行通知委托消息10,将作为发送源的上述证明书验证服务器4的主机名追加到CRL发行通知转送目标列表408。
上述证明书验证服务器4在对上述认证局1委托停止上述CRL发行通知8的发送的场合下,将图8(b)例示的CRL发行通知委托消息10发送到上述认证局1。
图8(b)的CRL发行通知委托消息10由「委托停止上述CRL发行通知8的发送」消息和上述CRL发行通知8的发送目标的主机名来构成。
上述认证局1接收到图8(b)的CRL发行通知委托消息10后,将所记载的上述证明书验证服务器4的主机名从CRL发行通知转送目标列表408删除。
上述证明书验证服务器4在向其它的证明书验证服务器4委托转送上述CRL发行通知8或委托停止转送的场合下,将上述CRL发行通知委托消息10发送到委托目标的证明书验证服务器4。
接下来,利用附图,对在图1的电子署名利用系统中,发行了上述CRL7的场合下的上述认证局1、上述CRL存储库3、上述证明书验证服务器4的动作作以说明。
图3是表示在图1的电子署名利用系统中,发行了上述CRL7的场合下的上述认证局1、上述CRL存储库3、上述证明书验证服务器4的动作的附图。
首先,对上述认证局1的动作作以说明。
上述认证局1中,上述CRL发行功能102作成上述CRL7(步骤3101)后,该CRL发行功能102将该CRL7发送到上述CRL存储库3(步骤3102)。
接下来,上述CRL发行通知功能103作成上述CRL发行通知8,向预定的或者通过发送上述CRL发行通知委托消息10而委托了该CRL发行通知8的发送的上述证明书验证服务器4发送(步骤3103)。
此外在本实施例中,认证局1将上述CRL发行通知8发送到在CRL发行通知发送目标列表104中记载了主机名的上述证明书验证服务器4。
图6(a)是上述认证局1所管理的CRL发行通知发送目标列表104一例,上述证明书验证服务器41的主机名及上述证明书验证服务器4n的主机名被记载于内。
这样,上述认证局1的上述CRL发行通知功能103将上述CRL发行通知8发送到上述证明书验证服务器41及上述证明书验证服务器4n。
接下来,对上述CRL存储库3的动作作以说明。
上述CRL存储库3的上述CRLDB管理功能302等待来自上述认证局1或上述证明书验证服务器4的访问,当从上述认证局1接收上述CRL7(步骤3301)后,将该CRL7寄存到上述CRLDB301(步骤3302),再次等待来自上述认证局1或上述证明书验证服务器4的访问。
另一方面,从上述证明书验证服务器4接收到发送上述CRL7的委托(步骤3303)后,从上述CRLDB301检索该CRL7(步骤3304),将该CRL7发送到上述证明书验证服务器4(步骤3305),再次等待来自上述认证局1或上述证明书验证服务器4的访问。
接下来,对上述证明书验证服务器4的动作作以说明。
这里,根据从上述认证局1接收上述CRL发行通知8的上述证明书验证服务器41的动作,对上述证明书验证服务器4的动作作以说明。
首先,在上述证明书验证服务器41中,上述CRL发行通知管理功能406从上述认证局1或其它证明书验证服务器4接收到上述CRL发行通知8(步骤3401)后,首先调查是否已经接收过该CRL发行通知8(步骤3402),在已经接收过该CRL发行通知8的场合下,就此结束处理。
另一方面,在首次接收到上述CRL发行通知8的场合下,上述CRL管理功能405访问上述CRL存储库3(步骤3403),获取上述CRL7(步骤3404),由上述CRL超高速缓存器401进行超高速缓存(步骤3405)。
接下来,上述CRL发行通知管理功能406向预先登录的或者通过发送上述CRL发行通知委托消息10而委托了该CRL发行通知8的转送的其它证明书验证服务器4转送上述CRL发行通知8(步骤3406)。
上述证明书验证服务器4利用称为CRL发行通知转送目标列表408的列表,对转送上述CRL发行通知6的上述证明书验证服务器4进行管理。
图6(b)是上述证明书验证服务器41所管理的上述CRL发行通知转送目标列表408一例,上述证明书验证服务器42的主机名和上述证明书验证服务器43的主机名及上述证明书验证服务器4n的主机名被记载于内。
这样,上述CRL发行通知管理功能406将上述CRL发行通知6转送到上述证明书验证服务器42和上述证明书验证服务器43及上述证明书验证服务器4n。
此外在本实施例中,从上述证明书验证服务器41至上述证明书验证服务器4n的各主机名始终被记载于由从上述证明书验证服务器41至上述证明书验证服务器4n的证明书验证服务器4各自保持的上述CRL发行通知转送目标列表408的任意一个。
这样,如果某一个上述证明书验证服务器4从上述认证局1接收到上述CRL发行通知6,则从上述证明书验证服务器41至上述证明书验证服务器4n的所有证明书验证服务器4便可接收上述CRL发行通知6。
在新追加上述证明书验证服务器4的场合下,如果在由从上述证明书验证服务器41至上述证明书验证服务器4n的证明书验证服务器4各自保持的上述CRL发行通知转送目标列表408的任意一个中追加该证明书验证服务器4的主机名,则不必再变更上述CRL发行通知发送目标列表104。
以上是发行了上述CRL7的场合下的图1的电子署名利用系统的动作。
接下来,利用附图对在图1的带有电子署名的电子文档交换系统中,从上述客户机终端51向上述客户机终端52发送上述电子文档6的场合下的动作作以说明。
此外在本实施例中,具有用于验证被施加于上述电子文档6的电子署名的上述证明书509被附加于上述电子文档6的场合及未被附加于上述电子文档6的场合这两种场合,首先,对用于验证被施加于上述电子文档6的电子署名的上述证明书509被附加于上述电子文档6的场合作以说明。
图4是表示在图1的带有电子署名的电子文档交换系统中,用于验证被施加于上述电子文档6的电子署名的上述证明书509被附加于上述电子文档6的场合下,从上述客户机终端51向上述客户机终端52发送上述电子文档6时的上述客户机终端51、上述客户机终端52、上述证明书验证服务器41、上述证明书验证服务器42的动作的附图。
首先,对上述客户机终端51的动作作以说明。
上述客户机终端51中,上述电子文档交换功能501作成向上述客户机终端52发送的上述电子文档6(步骤4501)后,上述电子署名功能502利用上述私钥5081,对该电子文档6施加电子署名(步骤4502)。
接下来,上述电子文档交换功能501将被施加了电子署名的上述电子文档6与上述证明书5091一同发送到上述客户机终端52(步骤4503)。
接下来对上述客户机终端52的动作作以说明。
上述客户机终端52接收到上述电子文档6(步骤4511)后,为验证与上述电子文档6一同发送来的上述证明书5091的有效性,上述证明书有效性确认功能503向上述证明书验证服务器41委托该证明书5091的有效性验证(步骤4512),从上述证明书验证服务器41接收有效性验证的结果(步骤4513)。
这里,在作为上述有效性验证的结果,上述证明书5091对上述客户机终端52无效的场合下,结束处理。
另一方面,在作为上述有效性验证的结果,上述证明书5091对上述客户机终端52有效的场合下,上述电子署名功能503从上述证明书5091取出公钥,验证被施加于上述电子文档6的电子署名(步骤4515)。这里,在判定出上述电子署名不正确的场合下,结束处理。
另一方面,在判定出上述电子署名正确的场合下,保存上述电子署名6(步骤4516)。
接下来,对上述证明书验证服务器4的动作作以说明。
首先,在上述客户机终端52向上述证明书验证服务器41委托上述证明书5091的有效性验证(步骤4401)后,上述证明书验证功能403确认从上述客户机终端52至上述客户机终端51的验证路径是否存在于上述验证路径超高速缓存器402(步骤4402)。
这里,在上述验证路径超高速缓存器402中存在该验证路径的场合下,进入步骤4404。另一方面,在上述验证路径超高速缓存器402中不存在该验证路径的场合下,构筑该验证路径(步骤4403),进入步骤4404。
在步骤4404,上述证明书验证403从上述CRL超高速缓存器401取出上述CRL7,判定上述验证路径是否有效。接下来将判定结果发送到上述客户机终端52(步骤4405)。
这里,在上述验证路径并非是在步骤4403新构筑的场合下,结束处理。另一方面,在上述验证路径是在步骤4403新构筑的场合下,向在验证路径发送目标列表409中记载了主机名的上述证明书验证服务器4发送该验证路径(步骤4407),结束处理。
上述验证路径发送目标列表409是一种记载了发送新构筑的上述验证路径的上述证明书验证服务器4的主机名的列表,在本实施例中,在上述验证路径发送目标列表409中也利用上述CRL发行通知转送目标列表408。
因此,在步骤4407中,上述验证路径被发送到上述证明书验证服务器42、上述证明书验证服务器43、上述证明书验证服务器4n。
此外在本实施例中,虽然在上述CRL发行通知转送目标列表408与上述验证路径发送目标列表409中使用同一列表,但本发明并非受此限定,也可以各自利用不同的列表。
另一方面,上述证明书验证服务器42、上述证明书验证服务器43、上述证明书验证服务器4n从上述证明书验证服务器41接收到上述验证路径(步骤4411)后,上述验证路径管理功能407确认该验证路径是否被超高速缓存于上述验证路径超高速缓存器402(步骤4412)。
这里,如果上述验证路径被超高速缓存于上述验证路径超高速缓存器402,不进行任何动作,结束处理。另一方面,如果上述验证路径未被超高速缓存于上述验证路径超高速缓存器402,则将该验证路径超高速缓存到上述验证路径超高速缓存器402(步骤4413),向在验证路径发送目标列表409中记载了主机名的上述证明书验证服务器4发送该验证路径(步骤4414),结束处理。
此外虽然在本实施例中,上述证明书验证服务器4的上述验证路径管理功能407对验证路径进行收发或进行超高速缓存,但本发明并非受此限定,也可以对可唯一识别上述验证路径的验证路径信息进行收发或进行超高速缓存,必要时可由该验证路径信息构成对应的验证路径。
以上所述是在用于验证被施加于上述电子文档6的电子署名的上述证明书509被附加于上述电子文档6的场合下,从上述客户机终端51向上述客户机终端52发送上述电子文档6时的图1的带有电子署名的电子文档交换系统的动作。
接下来,利用附图,对在用于验证被施加于上述电子文档6的电子署名的上述证明书509被附加于上述电子文档6的场合下,从上述客户机终端51向上述客户机终端52发送上述电子文档6时的图1的带有电子署名的电子文档交换系统的动作作以说明。
图5是表示在图1的带有电子署名的电子文档交换系统中,用于验证被施加于上述电子文档6的电子署名的上述证明书509被附加于上述电子文档6的场合下,从上述客户机终端51向上述客户机终端52发送上述电子文档6时的上述客户机终端51、上述客户机终端52、上述证明书验证服务器4、上述证明书存储库2的动作的附图。
首先,对上述客户机终端51的动作作以说明。
上述客户机终端51中,上述电子文档交换功能501作成向上述客户机终端52发送的上述电子文档6(步骤5501)后,上述电子署名功能502利用上述私钥5081,对该电子文档6施加电子署名(步骤5502)。
接下来,上述电子文档交换功能501将被施加了电子署名的上述电子文档6与表示了上述证明书5091的寄存场所的URL一同发送到上述客户机终端52(步骤5503)。
虽然在本实施例中,与上述电子文档6一同发送表示了上述证明书509的寄存场所的URL,但本发明并非受此限定,也可以发送记载于上述证明书509的信息的一部分。
接下来对上述客户机终端52的动作作以说明。
上述客户机终端52接收到上述电子文档6(步骤5511)后,上述证明书获取委托功能504向上述证明书验证服务器41委托获取与同上述电子文档6一道发送来的上述URL对应的上述证明书5091(步骤5512),从上述证明书验证服务器41接收委托结果(步骤5513)。
这里,在上述委托结果中未包含上述证明书5091的场合下,即在上述证明书验证服务器41判断出上述URL所表示的上述证明书5091对上述客户机终端52无效的场合下,结束处理。另一方面,在上述委托结果中包含上述证明书5091的场合下,上述电子署名功能503从上述证明书5091取出公钥,验证被施加于上述电子文档6的电子署名(步骤5515)。这里,在判定出上述电子署名不正确的场合下,结束处理。另一方面,在判定出上述电子署名正确的场合下,保存上述电子署名6(步骤5516),结束处理。
接下来对上述证明书验证服务器4的动作作以说明。
上述证明书验证服务器41的上述证明书获取功能404从上述客户机终端52接收到获取上述证明书5091的委托后(步骤5401),利用从上述客户机终端52发送的上述URL,访问上述证明书存储库2(步骤5402),获取上述证明书5091(步骤5403)。
接下来,由上述证明书验证功能403,判定上述证明书5091对上述客户机终端52是否是有效的证明书(步骤5404)。
这里,上述证明书验证功能403的动作与从图4的步骤4402至步骤4409的动作相同,省略说明。
在根据上述判定,判定出上述证明书5091对上述客户机终端52是有效的证明书的场合下,作成包含该证明书5091的委托结果(步骤5405),发送到上述客户机终端52(步骤5407)。另一方面,在判定出上述证明书5091对上述客户机终端52不是有效的证明书的场合下,作成表示「非有效」事实的委托结果(步骤5406),发送到上述客户机终端52(步骤5407)。
接下来对上述证明书存储库2的动作作以说明。
上述证明书存储库2的上述证明书DB管理功能202从上述证明书验证服务器41接收到发送上述证明书5091的委托(步骤5201)后,从上述证明书DB201检索该证明书5091(步骤5202),将该证明书5091发送到上述证明书验证服务器4(步骤5203)。
以上所述是在用于验证被施加于上述电子文档6的电子署名的上述证明书509被附加于上述电子文档6的场合下,从上述客户机终端51向上述客户机终端52发送上述电子文档6时的图1的带有电子署名的电子文档交换系统的动作。
这样,在本实施例的带有电子署名的电子文档交换系统中,在上述认证局1发行上述CRL7时,将上述CRL发行通知8发送到在上述CRL发行通知发送目标列表104中记载了主机名的上述证明书验证服务器4,由此将已发行了上述CRL7的事实通知到上述证明书验证服务器4,而且接收到上述CRL发行通知8的上述证明书验证服务器4从上述CRL存储库3获取上述CRL7,并予以超高速缓存。
因此,即使在上述认证局1紧急发行了上述CRL7的场合下,由于上述证明书验证服务器4所超高速缓存的CRL是最新的,因而可保证上述证明书590的有效性验证结果的精度。
此外,在本实施例的带有电子署名的电子文档交换系统中,接收到上述CRL发行通知8的上述证明书验证服务器4将该CRL发行通知8转送到在上述CRL发行通知转送目标列表408中记载了主机名的其它证明书验证服务器4。
因此,即使在新追加了证明书验证服务器4的场合下,只需在上述证明书验证服务器4的上述CRL发行通知转送目标列表408中记载新的证明书验证服务器4的主机名,便可接收上述CRL发行通知8,不必变更上述认证局1侧的设定。
在本实施例的带有电子署名的电子文档交换系统中,在上述证明书验证服务器4从其它证明书验证服务器4接收到上述验证路径的场合下,对该验证路径进行超高速缓存,而且在上述证明书验证服务器4构筑了新的验证路径的场合下,将该新的验证路径发送到在上述验证路径发送目标列表409中记载了主机名的其它证明书验证服务器4。
因此,由于可以在多个上述证明书验证服务器4之间共享验证路径,因而可以防止对上述证明书存储库2及上述CRL存储库3的访问集中或网络负荷的增大。
此外在本实施例的带有电子署名的电子文档交换系统中,上述客户机终端5在接收到表示了上述证明书509的寄存场所的URL的场合下,不访问上述证明书存储库2,而向上述证明书验证服务器4委托获取上述证明书509,而且只有在从上述证明书存储库2获取的上述证明书509对于上述客户机终端5是有效的证明书的场合下,上述证明书验证服务器4才将上述证明书509返回上述客户机终端5。
因此,在上述客户机终端5中,不必实装访问上述证明书存储库2的功能。
此外虽然在本实施例中,在上述CRL发行通知8中,只记载「CRL已发行」的通知,但本发明并非受此限定。
比如,在上述CRL发行通知8中,可包含新发行的上述CRL7自身,或也可以包含以前发行的CRL7与新发行的CRL7的差异信息。此外也可以包含新失效的证明书509的识别信息一览。
通过在上述CRL发行通知8中,包含新发行的上述CRL7自身、以前发行的CRL7与新发行的CRL7的差异信息、新失效的证明书509的识别信息一览,可以省略接收了该CRL发行通知8的上述证明书验证服务器4访问上述CRL存储库3,并获取新发行的CRL7的处理。
此外虽然在本实施例中,上述CRL发行通知8的发送及上述CRL发行通知委托消息10的接收由上述认证局1进行,但本发明并非受此限定。比如,也可以由上述CRL存储库3进行上述CRL发行通知8的发送及上述CRL发行通知委托消息10的接收。
或者也可在CRL存储库3中导入实现监视上述CRL7的发行,在确认出发行了新CRL7的场合下发送上述CRL发行通知8的功能的CRL发行确认软件,并由该CRL发行确认软件实现上述CRL发行通知委托接收功能,上述CRL发行通知发送功能向所接收的上述CRL发行通知委托消息的发送源发送上述CRL发行通知。
通过利用上述CRL发行确认软件,还可以利用没有上述CRL发行通知发送功能的上述认证局1及上述CRL存储库3。此外如果上述CRL发行通知委托接收功能管理上述CRL发行通知的发送目标,即使上述CRL存储库的经营者与上述证明书验证服务器的经营者相异,也可灵活地变更上述证明书验证服务器的数量。
根据本实施例,由于上述CRL发行通知只在上述认证局发行了上述CRL时从该认证局对上述证明书验证服务器进行,因而不必每隔一定时间确认是否发行了上述CRL,网络0中的负荷较小即可。
此外由于上述CRL发行通知8由上述认证局1处理,因而即使上述CRL存储库3与上述证明书验证服务器4的经营者相异,也可进行高精度的证明书有效性验证。
此外由于上述证明书验证服务器4可以通过发送上述CRL发行通知委托消息10来委托上述CRL发行通知8的发送,因而即使上述CRL存储库3的经营者与上述证明书验证服务器4的经营者相异,也可灵活地变更上述证明书验证服务器4的数量。
此外在上述证明书验证服务器发现发行了新的CRL的场合下,该证明书验证服务器将发行了新的上述CRL的事实通知到其它的证明书验证服务器。
由于在欲变更所发送的上述证明书验证服务器的场合下,变更该证明书验证服务器的设定即可,因而即使上述CRL存储库的经营者与上述证明书验证服务器的经营者相异,也可灵活地变更上述证明书验证服务器的数量。
此外由于上述证明书验证服务器在新构筑了验证路径的场合下,将该验证路径也转送到其它证明书验证服务器,共享验证路径,因而可抑制对特定的上述CRL存储库及上述证明书存储库的访问集中及网络负荷。
此外由于在利用了另外获取上述证明书的方法的场合下同样,上述客户机不访问上述证明书存储库并荻取上述证明书,而向上述证明书验证服务器委托获取上述证明书并验证该证明书的有效性,因而不必在客户机中实装访问上述证明书存储库并获取上述证明书的功能。
发明效果
因而根据本发明,可以在高精度而且低负荷下可靠地进行上述证明书的有效性验证。
Claims (14)
1.一种认证基础结构系统,其特征在于:具备
认证局,其具备有发行证明书的证明书发行单元和发行CRL的CRL发行单元;
CRL存储库,其具备有寄存由上述认证局发行的上述CRL的CRL寄存单元;
证明书验证服务器,其具备有验证上述证明书有效性的证明书有效性验证单元和对从上述CRL存储库获取的上述CRL进行超高速缓存的CRL超高速缓存单元,
上述认证局具备CRL发行通知发送单元,其在发行了上述CRL的场合下,将通知「CRL已发行」事实的CRL发行通知发送到上述证明书验证服务器,
上述证明书验证服务器具备CRL发行通知接收单元,其从上述认证局接收上述CRL发行通知。
2.权利要求1中记载的认证基础结构系统,其特征在于:
上述证明书验证服务器的上述CRL超高速缓存单元在由上述CRL发行通知接收单元接收到上述CRL发行通知的场合下,从上述CRL存储库获取上述认证局新发行的上述CRL。
3.权利要求1或2中记载的认证基础结构系统,其特征在于:
上述证明书验证服务器具备CRL发行通知发送单元,其在发现上述CRL是新发行的场合下,对预先登录的其它证明书验证服务器通知「CRL已发行」的事实。
4.一种认证局,其特征在于:
具备发行证明书的证明书发行单元;发行CRL的CRL发行单元,
具备CRL发行通知发送单元,其在发行上述CRL的同时,向上述证明书验证服务器发送通知「CRL已发行」事实的CRL发行通知。
5.一种证明书验证服务器,其特征在于:具备
验证证明书有效性的证明书有效性验证单元;对CRL进行超高速缓存的CRL超高速缓存单元,具备接收通知CRL已发行的CRL发行通知的CRL发行通知接收单元。
6.权利要求5中记载的证明书验证服务器,其特征在于:
上述证明书验证服务器的上述CRL超高速缓存单元在由上述CRL发行通知接收单元接收到上述CRL发行通知的场合下,获取新发行的上述CRL。
7.权利要求5或6中记载的证明书验证服务器,其特征在于:具备
CRL发行通知发送单元,其在发现上述CRL是新发行的场合下,对预先登录的其它证明书验证服务器通知「CRL已发行」的事实。
8.权利要求1中记载的认证基础结构系统,其中
上述证明书验证服务器具备作成CRL发行通知委托消息的CRL发行通知委托作成单元,
上述认证局具备接收上述CRL发行通知委托消息的CRL发行通知委托接收单元,
上述认证局的上述CRL发行通知发送单元对于对该认证局发送了上述CRL发行通知委托消息的证明书验证服务器发送上述CRL发行通知。
9.权利要求8中记载的认证基础结构系统,其中
上述证明书验证服务器具备
CRL发行通知委托接收单元,其从其它证明书验证服务器接收上述CRL发行通知委托消息;
CRL发行通知管理单元,其在接收到上述CRL发行通知的场合下,对发送了上述CRL发行通知委托消息的证明书验证服务器转送上述CRL发行通知。
10.权利要求4中记载的认证局,其中
具备接收CRL发行通知委托消息的CRL发行通知委托接收单元,
上述CRL发行通知发送单元将上述CRL发行通知发送到所接收的上述CRL发行通知委托消息的发送源。
11.权利要求5中记载的证明书验证服务器,具备
作成CRL发行通知委托消息的CRL发行通知委托作成单元。
12.权利要求11中记载的证明书验证服务器,具备
CRL发行通知委托接收单元,其从其它证明书验证服务器接收上述CRL发行通知委托消息;
CRL发行通知管理单元,其在接收到上述CRL发行通知的场合下,对发送了上述CRL发行通知委托消息的证明书验证服务器转送上述CRL发行通知。
13.一种具备有寄存认证局发行的CRL的CRL寄存单元的CRL存储库装置,具备
在上述CRL寄存单元寄存了新的CRL后,发送CRL发行通知的CRL发行通知发送单元。
14.权利要求13中记载的CRL存储库装置,其中
具备接收CRL发行通知委托消息的CRL发行通知委托接收单元,
上述CRL发行通知发送单元将上述CRL发行通知发送到所接收的上述CRL发行通知委托消息的发送源。
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP170798/02 | 2002-06-12 | ||
JP2002170798 | 2002-06-12 | ||
JP170798/2002 | 2002-06-12 | ||
JP128549/2003 | 2003-05-07 | ||
JP2003128549A JP4474845B2 (ja) | 2002-06-12 | 2003-05-07 | Crl発行通知機能付き認証基盤システム |
JP128549/03 | 2003-05-07 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1469274A CN1469274A (zh) | 2004-01-21 |
CN1231862C true CN1231862C (zh) | 2005-12-14 |
Family
ID=29586050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031412963A Expired - Fee Related CN1231862C (zh) | 2002-06-12 | 2003-06-12 | 具有crl发行通知功能的认证基础结构系统 |
Country Status (7)
Country | Link |
---|---|
US (1) | US7392380B2 (zh) |
EP (2) | EP1780938B1 (zh) |
JP (1) | JP4474845B2 (zh) |
CN (1) | CN1231862C (zh) |
DE (1) | DE60313530T2 (zh) |
SG (1) | SG103927A1 (zh) |
TW (1) | TW200410539A (zh) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050138388A1 (en) * | 2003-12-19 | 2005-06-23 | Robert Paganetti | System and method for managing cross-certificates copyright notice |
EP1732261A4 (en) * | 2004-03-29 | 2008-02-13 | Matsushita Electric Ind Co Ltd | INFORMATION DISTRIBUTION SYSTEM |
US20060242406A1 (en) | 2005-04-22 | 2006-10-26 | Microsoft Corporation | Protected computing environment |
US20050246766A1 (en) * | 2004-04-30 | 2005-11-03 | Kirkup Michael G | System and method for handling certificate revocation lists |
JP4717378B2 (ja) * | 2004-06-08 | 2011-07-06 | キヤノン株式会社 | 情報処理装置 |
US9436804B2 (en) | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
US9363481B2 (en) | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
US7650492B2 (en) * | 2005-07-19 | 2010-01-19 | Microsoft Corporation | Automatic update of computer-readable components to support a trusted environment |
US7590841B2 (en) * | 2005-07-19 | 2009-09-15 | Microsoft Corporation | Automatic update of computer-readable components to support a trusted environment |
JP4917335B2 (ja) * | 2006-03-15 | 2012-04-18 | 株式会社リコー | 通信装置 |
JP4501885B2 (ja) * | 2006-03-30 | 2010-07-14 | 村田機械株式会社 | 失効リスト取得機能付きサーバー装置。 |
US8583917B2 (en) * | 2006-11-30 | 2013-11-12 | Red Hat, Inc. | Distribution of certification statements into repository |
JP4594962B2 (ja) * | 2007-06-04 | 2010-12-08 | 株式会社日立製作所 | 検証サーバ、プログラム及び検証方法 |
US8464045B2 (en) * | 2007-11-20 | 2013-06-11 | Ncr Corporation | Distributed digital certificate validation method and system |
US8595484B2 (en) * | 2008-07-29 | 2013-11-26 | Motorola Solutions, Inc. | Method and device for distributing public key infrastructure (PKI) certificate path data |
JP5329184B2 (ja) * | 2008-11-12 | 2013-10-30 | 株式会社日立製作所 | 公開鍵証明書の検証方法及び検証サーバ |
US8255685B2 (en) * | 2009-03-17 | 2012-08-28 | Research In Motion Limited | System and method for validating certificate issuance notification messages |
JP5131238B2 (ja) * | 2009-03-31 | 2013-01-30 | ブラザー工業株式会社 | 通信装置及びコンピュータプログラム |
US9325509B2 (en) | 2011-07-15 | 2016-04-26 | Hitachi, Ltd. | Determination method for cryptographic algorithm used for signature, validation server and program |
TWI433558B (zh) | 2011-12-05 | 2014-04-01 | Ind Tech Res Inst | 動態調整憑證撤銷清單更新頻率的方法及系統 |
CN103401844B (zh) * | 2013-07-12 | 2016-09-14 | 天地融科技股份有限公司 | 操作请求的处理方法及系统 |
US11244364B2 (en) | 2014-02-13 | 2022-02-08 | Apptio, Inc. | Unified modeling of technology towers |
CN104811309B (zh) * | 2015-03-24 | 2018-07-17 | 天地融科技股份有限公司 | 一种远程使用智能密钥设备的方法及系统 |
US9882727B1 (en) | 2015-10-02 | 2018-01-30 | Digicert, Inc. | Partitioning certificate revocation lists |
JP2017152986A (ja) * | 2016-02-25 | 2017-08-31 | キヤノン株式会社 | 認証システム、画像形成装置とその制御方法、及びプログラム |
JP6471112B2 (ja) * | 2016-02-29 | 2019-02-13 | Kddi株式会社 | 通信システム、端末装置、通信方法、及びプログラム |
TWI735332B (zh) * | 2020-09-08 | 2021-08-01 | 四零四科技股份有限公司 | 憑證轉移系統及憑證轉移方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5699431A (en) | 1995-11-13 | 1997-12-16 | Northern Telecom Limited | Method for efficient management of certificate revocation lists and update information |
US5745574A (en) * | 1995-12-15 | 1998-04-28 | Entegrity Solutions Corporation | Security infrastructure for electronic transactions |
AU733803B2 (en) * | 1997-05-09 | 2001-05-24 | Connotech Experts-Conseils Inc. | Initial secret key establishment including facilities for verification of identity |
US6134550A (en) * | 1998-03-18 | 2000-10-17 | Entrust Technologies Limited | Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths |
US6314517B1 (en) * | 1998-04-02 | 2001-11-06 | Entrust Technologies Limited | Method and system for notarizing digital signature data in a system employing cryptography based security |
US6301658B1 (en) * | 1998-09-09 | 2001-10-09 | Secure Computing Corporation | Method and system for authenticating digital certificates issued by an authentication hierarchy |
US7225164B1 (en) * | 2000-02-15 | 2007-05-29 | Sony Corporation | Method and apparatus for implementing revocation in broadcast networks |
DE60122828T2 (de) * | 2000-06-09 | 2007-01-04 | Northrop Grumman Corp., Los Angeles | Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln |
GB2366013B (en) * | 2000-08-17 | 2002-11-27 | Sun Microsystems Inc | Certificate validation mechanism |
JP3588042B2 (ja) | 2000-08-30 | 2004-11-10 | 株式会社日立製作所 | 証明書の有効性確認方法および装置 |
-
2003
- 2003-05-07 JP JP2003128549A patent/JP4474845B2/ja not_active Expired - Fee Related
- 2003-06-09 TW TW092115568A patent/TW200410539A/zh not_active IP Right Cessation
- 2003-06-09 US US10/456,549 patent/US7392380B2/en not_active Expired - Fee Related
- 2003-06-10 EP EP07002858A patent/EP1780938B1/en not_active Expired - Fee Related
- 2003-06-10 DE DE60313530T patent/DE60313530T2/de not_active Expired - Lifetime
- 2003-06-10 EP EP03013043A patent/EP1372293B1/en not_active Expired - Fee Related
- 2003-06-11 SG SG200303681A patent/SG103927A1/en unknown
- 2003-06-12 CN CNB031412963A patent/CN1231862C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US7392380B2 (en) | 2008-06-24 |
EP1372293A2 (en) | 2003-12-17 |
SG103927A1 (en) | 2004-05-26 |
CN1469274A (zh) | 2004-01-21 |
US20040111609A1 (en) | 2004-06-10 |
EP1372293A3 (en) | 2004-05-06 |
EP1372293B1 (en) | 2007-05-02 |
EP1780938A3 (en) | 2008-02-20 |
JP2004072717A (ja) | 2004-03-04 |
DE60313530D1 (de) | 2007-06-14 |
EP1780938A2 (en) | 2007-05-02 |
EP1780938B1 (en) | 2011-11-16 |
DE60313530T2 (de) | 2007-12-27 |
TWI300303B (zh) | 2008-08-21 |
TW200410539A (en) | 2004-06-16 |
JP4474845B2 (ja) | 2010-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1231862C (zh) | 具有crl发行通知功能的认证基础结构系统 | |
CN1211719C (zh) | 数据网络中使用自动增量证书公开的相互认证 | |
CN1700641A (zh) | 数字签名保证系统、方法和装置 | |
CN1182479C (zh) | 有效地收集、整理和访问证书吊销表的系统和方法 | |
CN1278252C (zh) | 配置高可用联机证书状态协议应答器的方法和装置 | |
CN1130627C (zh) | 一种以Java虚拟机实现的信息处理设备 | |
CN1681238A (zh) | 用于加密通信的密钥分配方法及系统 | |
CN1606269A (zh) | 高速化验证公开密钥证件的方法和装置 | |
CN1502186A (zh) | 在计算机网络中有控制地分发应用程序代码和内容数据 | |
CN1535515A (zh) | 用于服务器安全和权限处理的系统和方法 | |
CN1416074A (zh) | 认证系统及认证方法 | |
CN1554053A (zh) | 服务提供系统和服务提供方法 | |
CN1581771A (zh) | 验证系统、服务器和验证方法及程序 | |
CN1701326A (zh) | 合作电子邮件 | |
CN1829950A (zh) | 用于判断信息的使用许可的方法以及使用该方法的内容分发系统 | |
CN1514569A (zh) | 在不同类联合环境中用于验证的方法和系统 | |
CN1934564A (zh) | 使用证书撤销列表进行数字权限管理的方法和设备 | |
CN1531253A (zh) | 在drm结构中登记/子登记数字权利管理(drm)服务器 | |
CN1647442A (zh) | 为获得解密密钥请求密钥检索的安全电子消息系统 | |
CN1550995A (zh) | 根据越地区目录信息对内容产生数字权限管理(drm)许可 | |
CN1787435A (zh) | 提供访问联合资源的令牌 | |
CN1636217A (zh) | 用于控制一个电子合同的生命周期的方法和装置 | |
CN101038641A (zh) | 打印管理系统、数据管理装置和数据管理方法 | |
CN1701561A (zh) | 基于地址的验证系统及其装置和程序 | |
CN1738248A (zh) | 信息处理方法、信息处理装置和计算机程序 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051214 Termination date: 20140612 |
|
EXPY | Termination of patent right or utility model |