JP2001134181A - 公開鍵証明証の有効性確認システム及びその方法並びにそのプログラムを記録した媒体 - Google Patents
公開鍵証明証の有効性確認システム及びその方法並びにそのプログラムを記録した媒体Info
- Publication number
- JP2001134181A JP2001134181A JP31190299A JP31190299A JP2001134181A JP 2001134181 A JP2001134181 A JP 2001134181A JP 31190299 A JP31190299 A JP 31190299A JP 31190299 A JP31190299 A JP 31190299A JP 2001134181 A JP2001134181 A JP 2001134181A
- Authority
- JP
- Japan
- Prior art keywords
- public key
- key certificate
- validity
- confirmation
- management table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 CAの運営方針に信頼性が左右されることな
く、かつ従来より少ないCAアクセスによって、署名検
証処理システムの要求に応じた公開鍵証明証の有効性を
確認し得るシステム及びその方法並びにそのプログラム
を記録した媒体を提供すること。 【解決手段】 公開鍵証明証の有効性確認処理要求の発
生時に、状態管理テーブル参照手段34により、その証
明証に対し、確認条件格納部31に予め設定した条件を
満たす有効性の確認が可能か否かを状態管理テーブル3
2より確認し、確認可能な場合はその状態情報を要求元
に返却し、確認不能な場合はCA問い合わせ手段36を
用いてCA20へ確認依頼し、状態管理テーブル登録手
段35により確認結果とその状態確認日時を状態管理テ
ーブル32へ登録するとともに、その状態情報を要求元
に返却する。
く、かつ従来より少ないCAアクセスによって、署名検
証処理システムの要求に応じた公開鍵証明証の有効性を
確認し得るシステム及びその方法並びにそのプログラム
を記録した媒体を提供すること。 【解決手段】 公開鍵証明証の有効性確認処理要求の発
生時に、状態管理テーブル参照手段34により、その証
明証に対し、確認条件格納部31に予め設定した条件を
満たす有効性の確認が可能か否かを状態管理テーブル3
2より確認し、確認可能な場合はその状態情報を要求元
に返却し、確認不能な場合はCA問い合わせ手段36を
用いてCA20へ確認依頼し、状態管理テーブル登録手
段35により確認結果とその状態確認日時を状態管理テ
ーブル32へ登録するとともに、その状態情報を要求元
に返却する。
Description
【0001】
【発明の属する技術分野】本発明は、電子署名を検証す
る際に用いる公開鍵証明証の有効性を確認するためのシ
ステム及びその方法並びにそのプログラムを記録した媒
体に関するものである。
る際に用いる公開鍵証明証の有効性を確認するためのシ
ステム及びその方法並びにそのプログラムを記録した媒
体に関するものである。
【0002】
【従来の技術】公開鍵暗号を用いた電子署名技術によ
り、利用者の本人確認や通信路における改竄の有無の確
認を行うシステムでは、認証機関(Certifica
tionAuthority:以下、CAと略す。)が
発行する公開鍵証明証を用いて電子署名の検証が行われ
る。公開鍵証明証には、信頼性を低下させないために利
用可能な有効期間が定められているが、公開鍵に対応す
る秘密鍵の漏洩や所有者の身元情報の変更等の理由によ
り、有効期間内であってもCAが残りの有効期間内の効
力を強制的に無効化する場合がある。このため、電子署
名を検証する際には、公開鍵証明証がCAによって無効
化されていないことを確認して利用する必要がある。
り、利用者の本人確認や通信路における改竄の有無の確
認を行うシステムでは、認証機関(Certifica
tionAuthority:以下、CAと略す。)が
発行する公開鍵証明証を用いて電子署名の検証が行われ
る。公開鍵証明証には、信頼性を低下させないために利
用可能な有効期間が定められているが、公開鍵に対応す
る秘密鍵の漏洩や所有者の身元情報の変更等の理由によ
り、有効期間内であってもCAが残りの有効期間内の効
力を強制的に無効化する場合がある。このため、電子署
名を検証する際には、公開鍵証明証がCAによって無効
化されていないことを確認して利用する必要がある。
【0003】ここで、署名検証に用いる公開鍵証明証が
無効化されていないことを確認する方法としては、CA
が定期的に発行するCRL(Certificate
Revocation List)と呼ばれる無効化さ
れた公開鍵証明証のリストをCAから取得して確認する
方法や、CAに公開鍵証明証の状態を直接問い合わせる
方法等があった。
無効化されていないことを確認する方法としては、CA
が定期的に発行するCRL(Certificate
Revocation List)と呼ばれる無効化さ
れた公開鍵証明証のリストをCAから取得して確認する
方法や、CAに公開鍵証明証の状態を直接問い合わせる
方法等があった。
【0004】図1(a)はCRLを取得して確認する場
合のシステム構成を示すもので、署名検証処理システム
10内のCRL取得手段11により定期的にCA20か
らCRLを取得し、これを記憶部12に格納しておき、
署名検証が必要となった時に公開鍵証明証有効性確認処
理システム10a内のCRL検索手段13により、記憶
部12を検索して確認する。この方法では、定期的にC
A20からCRLを取得しているため、署名検証時にC
A20にアクセスすることなく、最も新しく取得したC
RLを用いて公開鍵証明証の無効化の有無を確認するこ
とになる。
合のシステム構成を示すもので、署名検証処理システム
10内のCRL取得手段11により定期的にCA20か
らCRLを取得し、これを記憶部12に格納しておき、
署名検証が必要となった時に公開鍵証明証有効性確認処
理システム10a内のCRL検索手段13により、記憶
部12を検索して確認する。この方法では、定期的にC
A20からCRLを取得しているため、署名検証時にC
A20にアクセスすることなく、最も新しく取得したC
RLを用いて公開鍵証明証の無効化の有無を確認するこ
とになる。
【0005】また、図1(b)はCAに直接確認する場
合のシステム構成を示すもので、署名検証が必要となっ
た時に公開鍵証明証有効性確認処理システム10b内の
CA問い合わせ手段14により、CA20に直接問い合
わせて確認する。この方法では、CA20にアクセスし
た時点における公開鍵証明証の無効化の有無を確認でき
ることになる。
合のシステム構成を示すもので、署名検証が必要となっ
た時に公開鍵証明証有効性確認処理システム10b内の
CA問い合わせ手段14により、CA20に直接問い合
わせて確認する。この方法では、CA20にアクセスし
た時点における公開鍵証明証の無効化の有無を確認でき
ることになる。
【0006】
【発明が解決しようとする課題】前者のCRLを取得し
て確認するシステムの場合、最新のCRLを取得した以
降に無効化された公開鍵証明証の情報は、次のCRLが
発行されるまで確認することができないため、署名検証
に用いる公開鍵証明証が、最新のCRLを取得した以降
の日時において無効化されていないことを確認すること
ができない。従って、このCRLの発行間隔が長いほ
ど、署名検証時における公開鍵証明証の有効性確認処理
の信頼性が低下するという課題があった。また、CRL
の発行間隔はCAの運業方針によって定められることか
ら、CAの運営方針によってシステムが行う署名検証処
理の信頼性が左右されてしまうという課題があった。
て確認するシステムの場合、最新のCRLを取得した以
降に無効化された公開鍵証明証の情報は、次のCRLが
発行されるまで確認することができないため、署名検証
に用いる公開鍵証明証が、最新のCRLを取得した以降
の日時において無効化されていないことを確認すること
ができない。従って、このCRLの発行間隔が長いほ
ど、署名検証時における公開鍵証明証の有効性確認処理
の信頼性が低下するという課題があった。また、CRL
の発行間隔はCAの運業方針によって定められることか
ら、CAの運営方針によってシステムが行う署名検証処
理の信頼性が左右されてしまうという課題があった。
【0007】一方、後者のCAに直接確認するシステム
の場合、問い合わせた時点における公開鍵証明証の無効
化の有無を確認することができるため、システムがCA
に対して確認要求を出すことによって、署名検証時にお
ける公開鍵証明証の有効性を常に確認することができる
反面、その確認の度にCAへのアクセスが生じ、通信コ
ストがかかるという課題があった。
の場合、問い合わせた時点における公開鍵証明証の無効
化の有無を確認することができるため、システムがCA
に対して確認要求を出すことによって、署名検証時にお
ける公開鍵証明証の有効性を常に確認することができる
反面、その確認の度にCAへのアクセスが生じ、通信コ
ストがかかるという課題があった。
【0008】本発明の目的は、CAの運営方針に信頼性
が左右されることなく、かつ従来より少ないCAアクセ
スによって、署名検証処理システムの要求に応じた公開
鍵証明証の有効性を確認し得る公開鍵証明証の有効性確
認システム及びその方法並びにそのプログラムを記録し
た媒体を提供することにある。
が左右されることなく、かつ従来より少ないCAアクセ
スによって、署名検証処理システムの要求に応じた公開
鍵証明証の有効性を確認し得る公開鍵証明証の有効性確
認システム及びその方法並びにそのプログラムを記録し
た媒体を提供することにある。
【0009】
【課題を解決するための手段】図2は本発明のシステム
構成を示すもので、図中、20はCA、30は本発明の
公開鍵証明証有効性確認処理システム30aを含む署名
検証処理システムであり、公開鍵証明証有効性確認処理
システム30aは、確認条件格納部31、状態管理テー
ブル32、有効性確認条件設定手段33、状態管理テー
ブル参照手段34、状態管理テーブル登録手段35及び
CA問い合わせ手段36を具備している。以下、これら
の各手段の詳細について説明する。
構成を示すもので、図中、20はCA、30は本発明の
公開鍵証明証有効性確認処理システム30aを含む署名
検証処理システムであり、公開鍵証明証有効性確認処理
システム30aは、確認条件格納部31、状態管理テー
ブル32、有効性確認条件設定手段33、状態管理テー
ブル参照手段34、状態管理テーブル登録手段35及び
CA問い合わせ手段36を具備している。以下、これら
の各手段の詳細について説明する。
【0010】・確認条件格納部31 システム要求として署名検証に用いる公開鍵証明証の有
効性を少なくともいつの時点まで確認することが必要で
あるかの条件(確認条件)を格納する記憶領域。
効性を少なくともいつの時点まで確認することが必要で
あるかの条件(確認条件)を格納する記憶領域。
【0011】・状態管理テーブル32 図3に示すように、公開鍵証明証(ここではその識別情
報)に対応してこれが有効か無効かの状態情報を状態確
認日時とともに格納する記憶領域。
報)に対応してこれが有効か無効かの状態情報を状態確
認日時とともに格納する記憶領域。
【0012】・有効性確認条件設定手段33 システム初期設定時に、前記確認条件格納部31に前記
確認条件を設定する手段。
確認条件を設定する手段。
【0013】・状態管理テーブル参照手段34 公開鍵証明証の有効性確認処理要求の発生時に、その公
開鍵証明証に対し、確認条件格納部31に設定された確
認条件を満たす有効性の確認が可能か否かを状態管理テ
ーブル32より確認し、確認可能な場合は、その状態情
報を公開鍵証明証の有効性確認処理の要求元に返却し、
確認不可能な場合は、CA問い合わせ手段36を起動す
る手段。
開鍵証明証に対し、確認条件格納部31に設定された確
認条件を満たす有効性の確認が可能か否かを状態管理テ
ーブル32より確認し、確認可能な場合は、その状態情
報を公開鍵証明証の有効性確認処理の要求元に返却し、
確認不可能な場合は、CA問い合わせ手段36を起動す
る手段。
【0014】・状態管理テーブル登録手段35 CA問い合わせ手段36によりCA20から取得した公
開鍵証明証の有効性の確認結果とその状態確認日時を状
態管理テーブル32へ登録する(この際、同一の公開鍵
証明証識別情報に対する状態情報が既に存在している場
合には、その情報を更新する。)とともに、その状態情
報を公開鍵証明証の有効性確認処理の要求元に返却する
手段。
開鍵証明証の有効性の確認結果とその状態確認日時を状
態管理テーブル32へ登録する(この際、同一の公開鍵
証明証識別情報に対する状態情報が既に存在している場
合には、その情報を更新する。)とともに、その状態情
報を公開鍵証明証の有効性確認処理の要求元に返却する
手段。
【0015】・CA問い合わせ手段36 署名検証に用いる公開鍵証明証の無効化の有無をCA2
0へ確認依頼する手段(図1の(b)中のCA問い合わ
せ手段14と同一)。
0へ確認依頼する手段(図1の(b)中のCA問い合わ
せ手段14と同一)。
【0016】次に、上記の各構成要素による公開鍵証明
証の有効性確認方法の流れを、図4を用いて説明する。
証の有効性確認方法の流れを、図4を用いて説明する。
【0017】(1)システム初期設定時において、有効
性確認条件設定手段33により、署名検証に用いる公開
鍵証明証の有効性を、少なくともいつの時点まで確認す
ることが必要であるかの条件を、確認条件格納部31に
格納する。
性確認条件設定手段33により、署名検証に用いる公開
鍵証明証の有効性を、少なくともいつの時点まで確認す
ることが必要であるかの条件を、確認条件格納部31に
格納する。
【0018】(2)署名検証処理システム30が署名検
証に用いる公開鍵証明証の有効性を確認する必要が発生
した際、まず、状態管理テーブル参照手段34により、
その公開鍵証明証に対し、確認条件格納部31に設定さ
れた条件を満たす有効性の確認が既に行われているか
(確認可能か否か)を、状態管理テーブル32より確認
する。そして、その条件を満たした有効性が確認される
か、あるいは無効化されていることが確認された場合、
その状態情報を状態確認処理の要求元、即ち署名検証処
理システム30に返却して状態確認処理を終了する。ま
た、そのどちらも確認されなかった場合、つまり確認条
件外の有効性が確認されるか、あるいはその公開鍵証明
証の状態情報が状態管理テーブル32内に存在しなかっ
た場合には(3)に進む。
証に用いる公開鍵証明証の有効性を確認する必要が発生
した際、まず、状態管理テーブル参照手段34により、
その公開鍵証明証に対し、確認条件格納部31に設定さ
れた条件を満たす有効性の確認が既に行われているか
(確認可能か否か)を、状態管理テーブル32より確認
する。そして、その条件を満たした有効性が確認される
か、あるいは無効化されていることが確認された場合、
その状態情報を状態確認処理の要求元、即ち署名検証処
理システム30に返却して状態確認処理を終了する。ま
た、そのどちらも確認されなかった場合、つまり確認条
件外の有効性が確認されるか、あるいはその公開鍵証明
証の状態情報が状態管理テーブル32内に存在しなかっ
た場合には(3)に進む。
【0019】(3)CA問い合わせ手段36を用いて、
署名検証に用いる公開鍵証明証の無効化の有無を、CA
20へアクセスして確認する。
署名検証に用いる公開鍵証明証の無効化の有無を、CA
20へアクセスして確認する。
【0020】(4)状態管理テーブル登録手段35によ
り、(3)でCA20から取得した公開鍵証明証の有効
性確認結果とその状態確認日時を状態管理テーブル32
内に登録し、その後、その状態情報を状態確認処理の要
求元に返却して確認処理を終了する。
り、(3)でCA20から取得した公開鍵証明証の有効
性確認結果とその状態確認日時を状態管理テーブル32
内に登録し、その後、その状態情報を状態確認処理の要
求元に返却して確認処理を終了する。
【0021】以上説明したシステム及び処理方法を用い
ることにより、署名検証に用いる公開鍵証明証の有効性
を確認する際、CAに問い合わせた公開鍵証明証の有効
性の確認結果を状態管理テーブルに保管し、その情報を
以降の公開鍵証明証の有効性確認処理で活用することが
可能になる。
ることにより、署名検証に用いる公開鍵証明証の有効性
を確認する際、CAに問い合わせた公開鍵証明証の有効
性の確認結果を状態管理テーブルに保管し、その情報を
以降の公開鍵証明証の有効性確認処理で活用することが
可能になる。
【0022】従って、署名検証に用いる公開鍵証明証に
対して、状態管理テーブル内の情報を用いて署名検証処
理システムの要求条件を満たす有効性が確認可能な場合
には、CAへのアクセスが不要となるため、従来よりも
少ないCAアクセス回数により、署名検証処理システム
の要求に応じた公開鍵証明証の有効性確認が可能とな
る。
対して、状態管理テーブル内の情報を用いて署名検証処
理システムの要求条件を満たす有効性が確認可能な場合
には、CAへのアクセスが不要となるため、従来よりも
少ないCAアクセス回数により、署名検証処理システム
の要求に応じた公開鍵証明証の有効性確認が可能とな
る。
【0023】なお、本発明は、CPU、メモリ、外部記
憶装置等のコンピュータシステム(ハードウェア)とと
もに、図4の流れ図に示される手順を備えたプログラム
(ソフトウェア)を記録した媒体によって実現すること
もできる。
憶装置等のコンピュータシステム(ハードウェア)とと
もに、図4の流れ図に示される手順を備えたプログラム
(ソフトウェア)を記録した媒体によって実現すること
もできる。
【0024】
【発明の実施の形態】次に、図5、6、7及び8を用い
て、本発明の実施の形態を説明する。
て、本発明の実施の形態を説明する。
【0025】まず、システム初期設定時において、署名
検証処理システムが要求する公開鍵証明証の有効性確認
条件の設定について、図5を用いて説明する。
検証処理システムが要求する公開鍵証明証の有効性確認
条件の設定について、図5を用いて説明する。
【0026】本実施の形態では、システムが署名検証に
用いる公開鍵証明証は、少なくともその署名検証時の1
2時間前までの有効性が確認されていることを、公開鍵
証明証の有効性確認処理におけるシステムの要求条件で
あると仮定する。
用いる公開鍵証明証は、少なくともその署名検証時の1
2時間前までの有効性が確認されていることを、公開鍵
証明証の有効性確認処理におけるシステムの要求条件で
あると仮定する。
【0027】・状態確認条件設定手段33 (a)システム初期設定時において、システムの要求条
件である公開鍵証明証の有効性確認条件を設定するた
め、エディタ機能を用いて、仮定した条件に対応する 「(署名検証時の日時)−(12時間)<(状態管理テ
ーブル内の状態確認日時)」 の条件式を記述する。この条件式は、状態管理テーブル
32内の状態確認日時が、署名検証時の日時の12時間
前よりも後の日時を示すことを意味する。エディタ機能
は、コンピュータシステムにおいて一般的に利用可能な
機能である。
件である公開鍵証明証の有効性確認条件を設定するた
め、エディタ機能を用いて、仮定した条件に対応する 「(署名検証時の日時)−(12時間)<(状態管理テ
ーブル内の状態確認日時)」 の条件式を記述する。この条件式は、状態管理テーブル
32内の状態確認日時が、署名検証時の日時の12時間
前よりも後の日時を示すことを意味する。エディタ機能
は、コンピュータシステムにおいて一般的に利用可能な
機能である。
【0028】(b)ファイル入出力機能を用いて、
(a)の確認条件を確認条件格納部31に保管する。フ
ァイル入出力機能は、コンピュータシステムにおいて一
般的に利用可能な機能である。
(a)の確認条件を確認条件格納部31に保管する。フ
ァイル入出力機能は、コンピュータシステムにおいて一
般的に利用可能な機能である。
【0029】次に、公開鍵証明証の有効性を確認する際
に、状態管理テーブル32で有効性が確認できなかった
場合に、CAにアクセスしてその有効性を確認するよう
すを、図6を用いて説明する。図6の実施の形態では、
1999年6月21日15時に、公開鍵証明証の状態確
認処理が要求されたと仮定し、また、その時点における
状態管理テーブルは、図7の(a)の状態であったと仮
定する。
に、状態管理テーブル32で有効性が確認できなかった
場合に、CAにアクセスしてその有効性を確認するよう
すを、図6を用いて説明する。図6の実施の形態では、
1999年6月21日15時に、公開鍵証明証の状態確
認処理が要求されたと仮定し、また、その時点における
状態管理テーブルは、図7の(a)の状態であったと仮
定する。
【0030】・状態管理テーブル参照手段34 (a)まず、公開鍵証明証解析機能を用いて、署名検証
に用いる公開鍵証明証からその識別情報である発行者
名、所有者名、通し番号の情報を取得する。本実施の形
態では、発行者名が「CA−1」、所有者名が「利用者
A」、通し番号が「1001」である識別情報が取得で
きたものとする。公開鍵証明証解析機能は、例えば公開
鍵証明証の標準形式であるX.509形式の公開鍵証明
証の内容を解析する機能が既に実現されており、容易に
利用可能である。
に用いる公開鍵証明証からその識別情報である発行者
名、所有者名、通し番号の情報を取得する。本実施の形
態では、発行者名が「CA−1」、所有者名が「利用者
A」、通し番号が「1001」である識別情報が取得で
きたものとする。公開鍵証明証解析機能は、例えば公開
鍵証明証の標準形式であるX.509形式の公開鍵証明
証の内容を解析する機能が既に実現されており、容易に
利用可能である。
【0031】(b)次に、ファイル入出力機能を用い
て、システム初期設定時に格納した確認条件格納部31
から有効性確認条件を参照し、この確認条件式の左辺を
計算するため、時刻計算機能を用いて署名検証時の日時
の12時間前を計算し、「(1999年6月21日15
時)−(12時間)=(1999年6月21日3時)」
を算出する。時刻計算機能は、時刻を扱うコンピュータ
システムにおいて一般的に実現されている機能である。
て、システム初期設定時に格納した確認条件格納部31
から有効性確認条件を参照し、この確認条件式の左辺を
計算するため、時刻計算機能を用いて署名検証時の日時
の12時間前を計算し、「(1999年6月21日15
時)−(12時間)=(1999年6月21日3時)」
を算出する。時刻計算機能は、時刻を扱うコンピュータ
システムにおいて一般的に実現されている機能である。
【0032】(c)続いて、テーブル参照機能を用い
て、(ア)(a)で取得した公開鍵証明証の識別情報
(発行者名が「CA−1」、所有者名が「利用者A」、
通し番号が「1001」)で、かつ(イ)(b)の計算
結果と確認条件式から「1999年6月21日3時<状
態管理テーブル内の状態確認日時」を満たし、かつ
(ウ)状態情報が「有効」である情報が、状態管理テー
ブル32内に存在するかを確認する。
て、(ア)(a)で取得した公開鍵証明証の識別情報
(発行者名が「CA−1」、所有者名が「利用者A」、
通し番号が「1001」)で、かつ(イ)(b)の計算
結果と確認条件式から「1999年6月21日3時<状
態管理テーブル内の状態確認日時」を満たし、かつ
(ウ)状態情報が「有効」である情報が、状態管理テー
ブル32内に存在するかを確認する。
【0033】この(ア)〜(ウ)の全ての条件に合致す
る情報が存在した場合、署名検証に用いる公開鍵証明証
の有効性が、少なくとも12時間前以内に確認されてい
ることになり、システムが要求する確認条件を満たすこ
とになる。本実施の形態においては、図7の(a)に示
されている状態管理テーブルに、(ア)〜(ウ)の全て
の条件に合致する情報は存在しないため、次の処理に進
む。テーブル参照機能は、例えば市販のDBシステム等
で実現されているDB参照機能等が利用可能である。
る情報が存在した場合、署名検証に用いる公開鍵証明証
の有効性が、少なくとも12時間前以内に確認されてい
ることになり、システムが要求する確認条件を満たすこ
とになる。本実施の形態においては、図7の(a)に示
されている状態管理テーブルに、(ア)〜(ウ)の全て
の条件に合致する情報は存在しないため、次の処理に進
む。テーブル参照機能は、例えば市販のDBシステム等
で実現されているDB参照機能等が利用可能である。
【0034】・CA問い合わせ手段36 (d)(c)で、条件に合致する情報が状態管理テーブ
ル32内に存在しなかったため、CAサービスアクセス
機能を用いて、発行者名が[CA−1」、所有者名が
「利用者A」、通し番号が「1001」の識別情報を持
つ公開鍵証明証の無効化の有無についてCAへ確認依頼
する。本実施の形態では、CAから状態確認結果として
「有効」の情報が返却されたとする。公開鍵証明証の状
態を確認するためのCAサービスアクセス機能は、例え
ば既存のCAが提供する公開鍵証明証検証サービス等を
利用することにより実現可能である。
ル32内に存在しなかったため、CAサービスアクセス
機能を用いて、発行者名が[CA−1」、所有者名が
「利用者A」、通し番号が「1001」の識別情報を持
つ公開鍵証明証の無効化の有無についてCAへ確認依頼
する。本実施の形態では、CAから状態確認結果として
「有効」の情報が返却されたとする。公開鍵証明証の状
態を確認するためのCAサービスアクセス機能は、例え
ば既存のCAが提供する公開鍵証明証検証サービス等を
利用することにより実現可能である。
【0035】・状態管理テーブル登録手段35 (e)(d)で確認依頼を行った日時情報とCAから返
却された対象公開鍵証明証の有効性確認結果を、テーブ
ル更新機能を用いて、状態管理テーブル32内の発行者
名が「CA−1」、所有者名が「利用者A」、通し番号
が「1001」の識別情報に対応する状態確認日時情報
と状態情報の欄に上書きする。本実施の形態では、CA
への状態確認日時が、1999年6月21日15時00
分10秒に完了したと仮定している。図7の(b)に更
新後の状態管理テーブル32の状況を示しておく。テー
ブル更新機能は、例えば市販のDBシステムにおいてD
Bの情報を書き換えるためのDB更新機能等が利用可能
である。
却された対象公開鍵証明証の有効性確認結果を、テーブ
ル更新機能を用いて、状態管理テーブル32内の発行者
名が「CA−1」、所有者名が「利用者A」、通し番号
が「1001」の識別情報に対応する状態確認日時情報
と状態情報の欄に上書きする。本実施の形態では、CA
への状態確認日時が、1999年6月21日15時00
分10秒に完了したと仮定している。図7の(b)に更
新後の状態管理テーブル32の状況を示しておく。テー
ブル更新機能は、例えば市販のDBシステムにおいてD
Bの情報を書き換えるためのDB更新機能等が利用可能
である。
【0036】(f)その後、戻り値返却機能を用いて公
開鍵証明証の状態確認処理の要求元に状態情報を返却し
て確認処理を終了する。戻り値返却機能は、通常のプロ
グラム作成において利用可能な機能である。
開鍵証明証の状態確認処理の要求元に状態情報を返却し
て確認処理を終了する。戻り値返却機能は、通常のプロ
グラム作成において利用可能な機能である。
【0037】続いて、公開鍵証明証の有効性をCAにア
クセスせずに、状態管理テーブルの参照のみで確認可能
となる実施の形態について、図8を用いて説明する。図
8は、図6の処理の後、再度同一の公開鍵証明証を用い
た署名検証処理が行われた場合の実施の形態を示してお
り、1999年6月21日16時に公開鍵証明証の状態
確認処理が開始され、また、この時点における公開鍵証
明証の状態管理テーブルは、図7の(b)に示す状態で
あったとして説明する。
クセスせずに、状態管理テーブルの参照のみで確認可能
となる実施の形態について、図8を用いて説明する。図
8は、図6の処理の後、再度同一の公開鍵証明証を用い
た署名検証処理が行われた場合の実施の形態を示してお
り、1999年6月21日16時に公開鍵証明証の状態
確認処理が開始され、また、この時点における公開鍵証
明証の状態管理テーブルは、図7の(b)に示す状態で
あったとして説明する。
【0038】・状態管理テーブル参照手段34 (a)公開鍵証明証の状態確認処理の開始(要求)を受
けて、図6の時と同様に、公開鍵証明証解析機能を用い
て署名検証に用いる公開鍵証明証から識別情報の取得を
行い、発行者名が「CA−1」、所有者名が「利用者
A」、通し番号が「1001」である識別情報を取得す
る。
けて、図6の時と同様に、公開鍵証明証解析機能を用い
て署名検証に用いる公開鍵証明証から識別情報の取得を
行い、発行者名が「CA−1」、所有者名が「利用者
A」、通し番号が「1001」である識別情報を取得す
る。
【0039】(b)次に、ファイル入出力機能を用い
て、システム初期設定時に格納した確認条件格納部31
から有効性確認条件を参照し、この確認条件式の左辺を
計算するため、時刻計算機能を用いて、署名検証時の日
時の12時間前を計算し、「(1999年6月21日1
6時)−(12時間)=(1999年6月21日4
時)」を算出する。
て、システム初期設定時に格納した確認条件格納部31
から有効性確認条件を参照し、この確認条件式の左辺を
計算するため、時刻計算機能を用いて、署名検証時の日
時の12時間前を計算し、「(1999年6月21日1
6時)−(12時間)=(1999年6月21日4
時)」を算出する。
【0040】(c)続いて、テーブル参照機能を用い
て、(ア)(a)で取得した公開鍵証明証の識別情報
(発行者名が「CA−1」、所有者名が「利用者A」、
通し番号が「1001」)で、かつ(イ)(b)の計算
結果と確認条件式から「1999年6月21日4時<状
態管理テーブル内の状態確認日時」を満たし、かつ、
(ウ)状態情報が「有効」である情報が、状態管理テー
ブル内に存在するかを確認する。図7の(b)より、ハ
ッチング部分の情報が上記(ア)〜(ウ)の全ての条件
に合致する情報であるため、戻り値返却機能を用いて公
開鍵証明証の状態確認処理の要求元に状態情報である
「有効」を返却して確認処理を終了する。
て、(ア)(a)で取得した公開鍵証明証の識別情報
(発行者名が「CA−1」、所有者名が「利用者A」、
通し番号が「1001」)で、かつ(イ)(b)の計算
結果と確認条件式から「1999年6月21日4時<状
態管理テーブル内の状態確認日時」を満たし、かつ、
(ウ)状態情報が「有効」である情報が、状態管理テー
ブル内に存在するかを確認する。図7の(b)より、ハ
ッチング部分の情報が上記(ア)〜(ウ)の全ての条件
に合致する情報であるため、戻り値返却機能を用いて公
開鍵証明証の状態確認処理の要求元に状態情報である
「有効」を返却して確認処理を終了する。
【0041】上記のように、署名検証処理システムが署
名検証に用いる公開鍵証明証の有効性を確認する際、そ
の公開鍵証明証が、予め定めた署名検証に用いるための
有効性確認条件に合致するかの確認を、状態管理テーブ
ル内に登録されている、過去にCAに問い合わせた有効
性確認結果から判断可能な場合には、CAへのアクセス
が不要となるため、従来よりも少ないCAアクセス回数
により、システムの要求に応じた公開鍵証明証の有効性
確認が可能となる。
名検証に用いる公開鍵証明証の有効性を確認する際、そ
の公開鍵証明証が、予め定めた署名検証に用いるための
有効性確認条件に合致するかの確認を、状態管理テーブ
ル内に登録されている、過去にCAに問い合わせた有効
性確認結果から判断可能な場合には、CAへのアクセス
が不要となるため、従来よりも少ないCAアクセス回数
により、システムの要求に応じた公開鍵証明証の有効性
確認が可能となる。
【0042】
【発明の効果】以上説明したように、本発明によれば、
署名検証に用いる公開鍵証明証の有効性の確認におい
て、過去にCAに問い合わせた有効性確認結果を、以降
の有効性確認処理に活用することが可能となり、活用で
きた場合にはCAへのアクセスが不要となるため、短期
間で同一利用者の電子署名を複数回検証する必要がある
システム等では、CAアクセスのために費やされていた
通信コストが削減され、署名検証処理の処理性能を向上
させることが可能となる。また、1時間前、あるいは1
日前等というように、署名検証時から遡っていつの時点
までにおける公開鍵証明証の有効性が確認されれば良い
かという条件をシステム自身が任意に設定することが可
能であるため、システムの要求に応じて公開鍵証明証の
有効性確認処理の正確さを制御することが可能となる。
署名検証に用いる公開鍵証明証の有効性の確認におい
て、過去にCAに問い合わせた有効性確認結果を、以降
の有効性確認処理に活用することが可能となり、活用で
きた場合にはCAへのアクセスが不要となるため、短期
間で同一利用者の電子署名を複数回検証する必要がある
システム等では、CAアクセスのために費やされていた
通信コストが削減され、署名検証処理の処理性能を向上
させることが可能となる。また、1時間前、あるいは1
日前等というように、署名検証時から遡っていつの時点
までにおける公開鍵証明証の有効性が確認されれば良い
かという条件をシステム自身が任意に設定することが可
能であるため、システムの要求に応じて公開鍵証明証の
有効性確認処理の正確さを制御することが可能となる。
【図1】従来の公開鍵証明証の有効性確認システムの構
成図
成図
【図2】本発明の公開鍵証明証の有効性確認システムの
構成図
構成図
【図3】公開鍵証明証の状態情報を保管する状態管理テ
ーブルの構成図
ーブルの構成図
【図4】本発明の公開鍵証明証の有効性確認方法の処理
の流れをシステムの構成要素とともに示す図
の流れをシステムの構成要素とともに示す図
【図5】システムの要求に基づく有効性確認条件の設定
の実施の形態を示す図
の実施の形態を示す図
【図6】状態管理テーブルでは公開鍵証明証の有効性が
確認できず、CAにアクセスして確認する実施の形態の
説明図
確認できず、CAにアクセスして確認する実施の形態の
説明図
【図7】実施の形態における状態管理テーブルの内容の
一例を示す図
一例を示す図
【図8】CAにアクセスせず、状態管理テーブルの参照
のみで公開鍵証明証の有効性を確認可能な実施の形態の
説明図
のみで公開鍵証明証の有効性を確認可能な実施の形態の
説明図
20:CA、30:署名検証処理システム、30a:公
開鍵証明証有効性確認処理システム、31:確認条件格
納部、32:状態管理テーブル、33:有効性確認条件
設定手段、34:状態管理テーブル参照手段、35:状
態管理テーブル登録手段、36:CA問い合わせ手段。
開鍵証明証有効性確認処理システム、31:確認条件格
納部、32:状態管理テーブル、33:有効性確認条件
設定手段、34:状態管理テーブル参照手段、35:状
態管理テーブル登録手段、36:CA問い合わせ手段。
Claims (6)
- 【請求項1】 CAが管理・発行する証明証であって署
名検証に用いる公開鍵証明証が無効化されていないこと
を確認するための公開鍵証明証の有効性確認システムに
おいて、 署名検証に用いる公開鍵証明証の有効性を少なくともい
つの時点まで確認することが必要であるかの条件を格納
する確認条件格納部と、 公開鍵証明証に対応してこれが有効か無効かの状態情報
を状態確認日時とともに格納する状態管理テーブルと、 署名検証に用いる公開鍵証明証の無効化の有無をCAへ
確認依頼するCA問い合わせ手段と、 初期設定時に、前記確認条件格納部に前記確認条件を設
定する有効性確認条件設定手段と、 公開鍵証明証の有効性確認処理要求の発生時に、その公
開鍵証明証に対し、確認条件格納部に設定された確認条
件を満たす有効性の確認が可能か否かを状態管理テーブ
ルより確認し、確認可能な場合は、その状態情報を公開
鍵証明証の有効性確認処理の要求元に返却し、確認不可
能な場合は、CA問い合わせ手段を起動する状態管理テ
ーブル参照手段と、 CA問い合わせ手段によりCAから取得した公開鍵証明
証の有効性の確認結果とその状態確認日時を状態管理テ
ーブルへ登録するとともに、その状態情報を公開鍵証明
証の有効性確認処理の要求元に返却する状態管理テーブ
ル登録手段とを具備することを特徴とする公開鍵証明証
の有効性確認システム。 - 【請求項2】 公開鍵証明証の有効性確認処理要求の発
生時から予め設定した所定の時間を差し引いた日時が、
状態管理テーブル内の状態確認日時以前であれば有効性
の確認を可能とすることを特徴とする請求項1記載の公
開鍵証明証の有効性確認システム。 - 【請求項3】 CAが管理・発行する証明証であって署
名検証に用いる公開鍵証明証が無効化されていないこと
を確認するための公開鍵証明証の有効性確認方法におい
て、 署名検証に用いる公開鍵証明証の有効性を少なくともい
つの時点まで確認することが必要であるかの条件を格納
する確認条件格納部と、 公開鍵証明証に対応してこれが有効か無効かの状態情報
を状態確認日時とともに格納する状態管理テーブルとを
用い、 初期設定時に、前記確認条件格納部に前記確認条件を設
定し、 公開鍵証明証の有効性確認処理要求の発生時に、その公
開鍵証明証に対し、確認条件格納部に設定された確認条
件を満たす有効性の確認が可能か否かを状態管理テーブ
ルより確認し、 確認可能な場合は、その状態情報を公開鍵証明証の有効
性確認処理の要求元に返却し、 確認不可能な場合は、署名検証に用いる公開鍵証明証の
無効化の有無をCAへ確認依頼し、 CAから取得した公開鍵証明証の有効性の確認結果とそ
の状態確認日時を状態管理テーブルへ登録するととも
に、その状態情報を公開鍵証明証の有効性確認処理の要
求元に返却することを特徴とする公開鍵証明証の有効性
確認方法。 - 【請求項4】 公開鍵証明証の有効性確認処理要求の発
生時から予め設定した所定の時間を差し引いた日時が、
状態管理テーブル内の状態確認日時以前であれば有効性
の確認を可能とすることを特徴とする請求項3記載の公
開鍵証明証の有効性確認方法。 - 【請求項5】 CAが管理・発行する証明証であって署
名検証に用いる公開鍵証明証が無効化されていないこと
を確認するための公開鍵証明証の有効性確認プログラム
を記録した媒体において、 前記プログラムはコンピュータに読み取られた際、該コ
ンピュータに、 署名検証に用いる公開鍵証明証の有効性を少なくともい
つの時点まで確認することが必要であるかの条件を格納
する確認条件格納部と、 公開鍵証明証に対応してこれが有効か無効かの状態情報
を状態確認日時とともに格納する状態管理テーブルとを
設け、 初期設定時に、前記確認条件格納部に前記確認条件を設
定し、 公開鍵証明証の有効性確認処理要求の発生時に、その公
開鍵証明証に対し、確認条件格納部に設定された確認条
件を満たす有効性の確認が可能か否かを状態管理テーブ
ルより確認し、 確認可能な場合は、その状態情報を公開鍵証明証の有効
性確認処理の要求元に返却し、 確認不可能な場合は、署名検証に用いる公開鍵証明証の
無効化の有無をCAへ確認依頼し、 CAから取得した公開鍵証明証の有効性の確認結果とそ
の状態確認日時を状態管理テーブルへ登録するととも
に、その状態情報を公開鍵証明証の有効性確認処理の要
求元に返却する処理を実行させることを特徴とする公開
鍵証明証の有効性確認プログラムを記録した媒体。 - 【請求項6】 公開鍵証明証の有効性確認処理要求の発
生時から予め設定した所定の時間を差し引いた日時が、
状態管理テーブル内の状態確認日時以前であれば有効性
の確認を可能とすることを特徴とする請求項5記載の公
開鍵証明証の有効性確認プログラムを記録した媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP31190299A JP3466975B2 (ja) | 1999-11-02 | 1999-11-02 | 公開鍵証明証の有効性確認システム及びその方法並びにそのプログラムを記録した媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP31190299A JP3466975B2 (ja) | 1999-11-02 | 1999-11-02 | 公開鍵証明証の有効性確認システム及びその方法並びにそのプログラムを記録した媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001134181A true JP2001134181A (ja) | 2001-05-18 |
| JP3466975B2 JP3466975B2 (ja) | 2003-11-17 |
Family
ID=18022799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP31190299A Expired - Lifetime JP3466975B2 (ja) | 1999-11-02 | 1999-11-02 | 公開鍵証明証の有効性確認システム及びその方法並びにそのプログラムを記録した媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3466975B2 (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006511984A (ja) * | 2002-07-18 | 2006-04-06 | イーオリジナル インコーポレイテッド | 認定された文書の電子的送信、保存および読み出しシステム並びに方法 |
| JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
| JP2007020044A (ja) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | 検証サーバ及び検証プログラム |
| JP2007060539A (ja) * | 2005-08-26 | 2007-03-08 | Mitsubishi Electric Corp | 証明書検証システム |
| JP2007194878A (ja) * | 2006-01-19 | 2007-08-02 | Xanavi Informatics Corp | 車載装置、失効管理装置および失効管理システム |
| JP2010239443A (ja) * | 2009-03-31 | 2010-10-21 | Brother Ind Ltd | 通信装置及びコンピュータプログラム |
| JP2011521571A (ja) * | 2008-05-29 | 2011-07-21 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信股▲分▼有限公司 | 高速ハンドオフをサポートするエンティティ双方向識別方法 |
| US8108669B2 (en) | 2005-07-14 | 2012-01-31 | Ricoh Company, Ltd. | Image forming apparatus for generating electronic signature |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
-
1999
- 1999-11-02 JP JP31190299A patent/JP3466975B2/ja not_active Expired - Lifetime
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4698219B2 (ja) * | 2002-07-18 | 2011-06-08 | イーオリジナル インコーポレイテッド | 認定された文書の電子的送信、保存および読み出しシステム並びに方法 |
| JP2006511984A (ja) * | 2002-07-18 | 2006-04-06 | イーオリジナル インコーポレイテッド | 認定された文書の電子的送信、保存および読み出しシステム並びに方法 |
| JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
| JP4713881B2 (ja) * | 2004-12-16 | 2011-06-29 | パナソニック電工株式会社 | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
| JP2007020044A (ja) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | 検証サーバ及び検証プログラム |
| JP4694904B2 (ja) * | 2005-07-11 | 2011-06-08 | 三菱電機株式会社 | 検証サーバ及び検証プログラム |
| US8108669B2 (en) | 2005-07-14 | 2012-01-31 | Ricoh Company, Ltd. | Image forming apparatus for generating electronic signature |
| JP2007060539A (ja) * | 2005-08-26 | 2007-03-08 | Mitsubishi Electric Corp | 証明書検証システム |
| JP2007194878A (ja) * | 2006-01-19 | 2007-08-02 | Xanavi Informatics Corp | 車載装置、失効管理装置および失効管理システム |
| JP2011521571A (ja) * | 2008-05-29 | 2011-07-21 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信股▲分▼有限公司 | 高速ハンドオフをサポートするエンティティ双方向識別方法 |
| US8392710B2 (en) | 2008-05-29 | 2013-03-05 | China Iwncomm Co., Ltd. | Entity bidirectional-identification method for supporting fast handoff |
| JP2010239443A (ja) * | 2009-03-31 | 2010-10-21 | Brother Ind Ltd | 通信装置及びコンピュータプログラム |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3466975B2 (ja) | 2003-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445612B (zh) | 用于经由区块链增强登录凭证安全性的方法和系统 | |
| US9081948B2 (en) | Configurable smartcard | |
| US6378071B1 (en) | File access system for efficiently accessing a file having encrypted data within a storage device | |
| CN111899005A (zh) | 基于区块链的交易处理方法及装置、电子设备 | |
| JP2009230741A (ja) | 統合型ストレージシステムのアーカイブデータの完全性を検証するための方法と装置 | |
| US20050132347A1 (en) | System for controlling the use of a software application on a plurality of computers | |
| US8296824B2 (en) | Replicating selected secrets to local domain controllers | |
| US11568596B2 (en) | Non-blocking token authentication cache | |
| JP2000122973A (ja) | 資格管理方法および装置 | |
| US11886425B2 (en) | Blockchain registry scaling | |
| JP3466975B2 (ja) | 公開鍵証明証の有効性確認システム及びその方法並びにそのプログラムを記録した媒体 | |
| WO2000075779A2 (en) | Token based data processing systems and methods | |
| US20060095553A1 (en) | Storage system | |
| US20100275013A1 (en) | Method for Communicating Certificates to Computers | |
| US7890994B2 (en) | Storage network system | |
| JP3754342B2 (ja) | 公開鍵証明書の有効性検証システム | |
| JP3952121B2 (ja) | 署名検証装置及び署名検証方法、プログラム記録媒体 | |
| JP2001337600A (ja) | 電子データ保管システム、履歴検証装置、電子データ保管方法及び記録媒体 | |
| US20200136837A1 (en) | Storage medium including computing capability for authentication | |
| JP2002287629A (ja) | 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム | |
| JP2002140664A (ja) | Icカード内データ移行方法、およびicカード | |
| JP2000242169A (ja) | 公開鍵証明証の有効性確認方法および装置と公開鍵証明証の有効性確認プログラムを記録した記録媒体 | |
| US20200388357A1 (en) | Shared revocation ledger for data access control | |
| KR100458919B1 (ko) | 인터넷 접속 장치 관리 시스템과 그 방법 및 인터넷 접속장치로의 데이터 전송 방법 | |
| JP2828252B2 (ja) | ファイルアクセス制御方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3466975 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080829 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080829 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090829 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090829 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100829 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100829 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110829 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120829 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130829 Year of fee payment: 10 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |