JP2002101093A - 認証局の公開鍵および秘密鍵満了時の認証のための方法およびシステム - Google Patents

認証局の公開鍵および秘密鍵満了時の認証のための方法およびシステム

Info

Publication number
JP2002101093A
JP2002101093A JP2001224060A JP2001224060A JP2002101093A JP 2002101093 A JP2002101093 A JP 2002101093A JP 2001224060 A JP2001224060 A JP 2001224060A JP 2001224060 A JP2001224060 A JP 2001224060A JP 2002101093 A JP2002101093 A JP 2002101093A
Authority
JP
Japan
Prior art keywords
certificate
server
certificate authority
authority
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001224060A
Other languages
English (en)
Inventor
Gupta Deepak
デーパク・グプタ
Redei Chirakuru Vamusavarudana
ヴァムサヴァルダナ・レディ・チラクル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2002101093A publication Critical patent/JP2002101093A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/102Bill distribution or payments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Development Economics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Marketing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 以前に発行されたサーバ証明を確認するため
に、認証局によりその新しい鍵を使用して発行されるサ
ーバ認証局連鎖証明(server certifying authority ch
ain、SCAC証明)を提供すること。 【解決手段】 本発明は、任意の認証局の公開鍵および
秘密鍵が満了したときに、妥当な認証証明の使用を可能
にする方法に関し、このサーバが前記認証局からサーバ
認証局連鎖(SCAC)証明を得ること、SSLハンド
シェイク中にこのサーバが、前記サーバ認証局連鎖証明
とともに元の妥当な認証証明をブラウザに提示するこ
と、この認証局の満了した公開鍵を使用して元の認証証
明を確認後に、ブラウザにより取引を受け付けること、
および前記認証局の新しい公開鍵を使用して前記SCA
C証明を確認することを含む。本発明は、そのような取
引を認証する認証局を含む、安全な取引を行うシステム
をさらに含む。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、インターネットな
どの公衆ネットワークを介した安全な通信環境において
使用される、認証局のデジタル証明満了から発生する問
題に対する解決のための方法およびシステムに関する。
【0002】
【従来の技術】デジタル証明は、認証およびデータ整合
性のために、安全なインターネットの世界のいたるとこ
ろで使用される。安全なウェブ・サーバをセットアップ
するために、サーバは、認証局(CA:Certification
Authorities)から証明を要求する。CAは、すべての
ウェブ・サーバおよびウェブ・ブラウザを含むすべての
インターネット人口により認識され信用されている、信
用ある第三者である。サーバ証明は、そのサーバがCA
により確認済みであり信用できるという、CAによる署
名である。それは、サーバの公開鍵、そのドメイン名、
およびアドレス等その他の情報に対する、CAの秘密鍵
による署名である。自署されたCAの証明は、すべての
サーバおよびブラウザにおいて提供される。したがって
ウェブ・サーバとクライアント、すなわちブラウザ、の
間の通常のSSLハンドシェイクにおいて、サーバがそ
の証明をブラウザに提示するとき、ブラウザ・ソフトウ
ェアは、その証明が有するCA証明の助けにより、証明
上のCAの署名をチェックすることによってその証明を
確認する。
【0003】上記デジタル証明の問題は、セキュリティ
の強さが、システムにおいて使用される鍵の強さに依存
することである。CAおよびウェブ・サーバを含むそれ
ぞれのエンティティのための一対の鍵、すなわち秘密鍵
および公開鍵がある。今やCA証明が公に提供され全員
により信用されているので、これらの鍵は非常に強い必
要があり、それらの鍵を誰も破ることができないように
すべきである。しかしこれは永遠には可能ではない。
(CA証明において提供されている)公開鍵を知れば、
ある時間と金額で鍵を破ることができる。それぞれの鍵
には、その鍵自体の寿命がある。寿命の後は、鍵を使用
することがもはや安全でないと想定され、その時に鍵が
破られる可能性がある。したがってCAは、ある期間の
後に自分の証明を満了にする。これは、証明が満了する
CAからの証明を使用するサーバがもはや妥当ではなく
なるので、(たとえ、サーバ証明が妥当である、すなわ
ち満了ではなくても)いくつかの問題を提示する。通信
が依然安全であっても、そのCAが満了済みでありその
サーバとの取引が安全でない可能性がある、と警告する
メッセージ・ボックスをクライアントがユーザに表示す
る。これはユーザにとって多くの混乱を作り出す。
【0004】現在、上記問題に対する第1の解決法は、
生成された新しいCA鍵とともに、CAからそのウェブ
・サーバに対する新しい証明を得ることである。
【0005】上記問題に対する第2の解決法は、たとえ
証明が満了しても、この接続を自動的に受け付けるよう
にブラウザ・ソフトウェアを修正することである。
【0006】この問題は、最も使用されているVerisign
証明の1つが2000年1月1日に満了したために非常
に多く見られ、ユーザに満了を警告する望ましくないポ
ップ・アップ・ウインドウをユーザがブラウザから受け
取ったため、そのCAにより発行された証明を使用する
サイトは問題に直面しなければならなかった。解決法
は、Verisignから新しいサーバ証明を得るか、または新
しいバージョンのブラウザを使用するかのいずれかであ
った。その新しいバージョンはおそらく、満了日とは無
関係に証明を受け付けた。多数のCAがあるので、それ
ぞれは、自分の証明が満了するときに同じ問題を有する
であろう。旧バージョンのブラウザを有するユーザには
問題があり、それは、ウェブ・サイトのかなり大量のユ
ーザに達する可能性がある。Verisignは、より新しいバ
ージョンのブラウザを入手するようにユーザにアドバイ
スした。
【0007】第3の解決法は、すべてのCAが自分の満
了日より長い期間にわたる証明を発行しないように、要
請することであろう。
【0008】第1の解決法の問題は、新たなサーバ証明
要求を生成し、それをCAに送り、CAがそれを確認し
て署名し、その証明をサーバに送り、最後にサーバがそ
れをインポートしてデフォルト証明にする必要があるこ
とである。これは、多くの再作業に達し、実際、証明生
成の全体処理を再び行う必要がある。
【0009】第2の解決法の問題は、新しいバージョン
のブラウザ・ソフトウェアでしか機能せず、それにより
かなりの量のインターネット人口を切り捨てることであ
る。一般にインターネット・アプリケーションの処理中
に、ユーザは、新しいソフトウェアをダウンロードする
ことに多くの時間を費やすことを望まず、または新しい
ブラウザを入手するように忠告されることを好まない。
したがって諸サイトは、自分の顧客のいくらかを失い、
ゆえに自分のビジネスのいくらかを失う可能性がある。
第2に、満了したCAを受け付けることにより、この新
しいバージョンは、最初に証明を満了させた目的に反
し、セキュリティの脅威を提示する。
【0010】第3の解決法の問題は、それが実際に実現
可能でなく、現在使用されていないことである。CAが
より長い期間に対する証明を発行しなければならない多
くの状況がある。例えばCAが2年間の鍵を生成し、1
年1カ月後に、あるエンティティが1年間の証明を要求
するとき、CAは、1年間の証明を発行しなければなら
ず、11カ月間発行してその後にユーザが証明の再発行
を受けることは期待できない。ユーザは、他の何らかの
CAを去り、そのCAは自分のビジネスを失うであろ
う。
【0011】
【発明が解決しようとする課題】本発明の目的は、以前
に発行されたサーバ証明を確認するために、認証局によ
りその新しい鍵を使用して発行されるサーバ認証局連鎖
証明(server certifying authority chain certificat
e、SCAC証明)を提供することにより、上記欠点を
取り除くことである。
【0012】
【課題を解決するための手段】前記目的を達成するため
に本発明は、任意の認証局の秘密鍵および公開鍵が満了
したときに、妥当な認証証明を使用することを可能にす
る方法を提供し、その方法は、サーバが、サーバ認証局
連鎖(SCAC)証明を前記認証局から得ること、SS
Lハンドシェイク中にサーバが、前記サーバ認証局連鎖
証明とともに元の妥当な認証証明をブラウザに提示する
こと、認証局の満了した公開鍵を使用して元の認証証明
を確認後に、ブラウザがその取引を受け付け、前記認証
局の新しい公開鍵を使用して前記SCAC証明を確認す
ることを含む。
【0013】認証局が自分の公開鍵を無効にするときは
いつであれ、サーバの認証用秘密鍵を使用して、その認
証局にコンタクトすること、サーバの公開鍵を使用して
認証局がその要求を確認すること、認証局が、自分の新
しい秘密鍵を使用してSCAC証明を生成し、前記サー
バに転送することにより、前記サーバ認証局連鎖(SC
AC)証明が各サーバにより取得される。
【0014】前記SCAC証明を生成することは、サー
バ名およびサーバ公開鍵、旧認証局公開鍵、および認証
局名の認証を含む。
【0015】クライアントの場合に認証局は、(SCA
C)証明と同じ方法で機能する、(CCAC)証明とし
て知られているクライアント証明もまた発行する。
【0016】SSLハンドシェイク中にクライアントが
自分の証明を提示するとき、そのクライアントもまたサ
ーバにCCAC証明を提示する。
【0017】安全な取引を行い、そのような取引を認証
する認証局を含む、ネットワーク化されたサーバおよび
ブラウザ・システムの構成において、前記認証局の公開
鍵および秘密鍵が満了済みであるが任意のサーバまたは
ブラウザ・システムの認証証明が依然妥当であるとき
に、取引を認証する手段を含むことを特徴とするシステ
ムであって、認証局の新しい秘密鍵を使用して、サーバ
が認証局連鎖証明を得る手段、元の認証証明とともに前
記認証局連鎖証明をブラウザに提示する手段、ブラウザ
が、認証局の満了した公開鍵を使用して元の認証証明を
確認し、新しい認証局公開鍵を使用して認証局連鎖証明
を確認する手段を備えるシステム。
【0018】前記認証局が自分の公開鍵を撤回するとき
はいつであれ、サーバが前記認証局からSCAC証明を
得る前記手段は、前記認証局にコンタクトし、サーバの
認証用秘密鍵を使用して認証局連鎖証明を要求する手
段、認証局がその要求を確認する手段、前記認証局が、
認証局連鎖証明を生成しサーバに転送する手段を備え
る。
【0019】前記認証局は、サーバ名およびサーバ公開
鍵、旧認証局公開鍵および認証局名の認証を含む前記S
CAC証明を生成する手段を有する。
【0020】前記認証局は、CCAC証明として知られ
ている、SCAC証明と同じ方法で機能するクライアン
ト証明を発行する手段もまた有する。
【0021】システムは、SSLハンドシェイク中にク
ライアントが自分の証明を提示するとき、サーバにCC
AC証明を提示する手段を含む。
【0022】
【発明の実施の形態】図面を参照すると、図1は、旧C
A公開鍵で暗号化された妥当なサーバ証明(1.1)と
ともに新しい秘密鍵で署名されたSCAC証明(1.
2)をブラウザに提示するサーバを示す。ブラウザは、
旧CA証明を使用してサーバ証明を確認する。
【0023】妥当性検査が失敗であれば、取引は拒否さ
れる(3)。確認が成功であれば、ブラウザは新しいC
A公開鍵を使用してそのSCAC証明を確認する
(4)。この確認が失敗であれば、取引は拒否される
(3)が、成功であれば、取引は受け付けられる
(5)。
【0024】図2においてサーバは、認証局公開鍵の満
了を定期的にチェックする(6および7)。公開鍵が満
了していない場合、さらに他の動作は必要ない。しかし
認証局公開鍵が満了済みの場合、サーバは、SCAC証
明の発行を求める要求(9)を認証局に送る。この要求
は、サーバの秘密鍵を使用して暗号化される。認証局
は、サーバの公開鍵を使用してその要求をチェックする
ことにより、その要求の真性を確認し、その確認が成功
であれば、SCAC証明(10)を発行する。このSC
AC証明は、認証局の新しい秘密鍵を使用して署名され
る。
【0025】上記解決法は、証明の諸連鎖を有するよう
に拡張することができる。
【0026】上記解決法は、CAにより発行されたクラ
イアント証明のためにもまた機能し、クライアントCA
連鎖証明(CCAC)として知られ、SCAC証明と正
確に同じ方法で機能する。クライアントは、自分の証明
に署名したCAの満了を追跡し続け、CAからのCCA
C証明を要求することができる。CAは、そのクライア
ントのためのCCAC証明を与える/生成する。SSL
ハンドシェイク中に、クライアントが自分の証明を提示
するとき、そのクライアントは、サーバにCCAC証明
もまた提示するであろう。
【0027】利点: 1.上記方法を使用することにより、新しい証明が必要
ない。 2.セキュリティが妥協されない。ハッカーが旧CA鍵
を破ることができても、彼/彼女は、新しいCA鍵によ
り発行された新しい証明を複製することができないの
で、そのウェブ・サイト証明を破ることができない。
【0028】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0029】(1)任意の認証局の秘密鍵および公開鍵
が満了したときに、妥当な認証証明の使用を可能にする
方法であって、サーバが前記認証局からサーバ認証局連
鎖(SCAC)証明を得るステップと、SSLハンドシ
ェイク中に前記サーバが、前記サーバ認証局連鎖証明と
ともに元の妥当な認証証明をブラウザに提示するステッ
プと、前記認証局の満了した公開鍵を使用して元の前記
認証証明を確認後に、ブラウザが取引を受け付け、前記
認証局の新しい公開鍵を使用して前記SCAC証明を確
認するステップとを含む方法。 (2)前記認証局が自分の公開鍵を無効にするときはい
つであれ、前記サーバの認証用秘密鍵を使用して、認証
局にコンタクトするステップと、前記サーバの公開鍵を
使用して、前記認証局が前記要求を確認するステップ
と、前記認証局が、その新しい秘密鍵を使用して前記S
CAC証明を生成し、前記サーバに転送するステップ、
とにより、前記サーバ認証局連鎖(SCAC)証明が各
サーバに取得される、上記(1)に記載の方法。 (3)前記SCAC証明を生成する前記ステップが、前
記サーバ名および前記サーバ公開鍵、旧認証局公開鍵お
よび認証局名の認証を含む、上記(2)に記載の方法。 (4)クライアントの場合に前記認証局が、SCAC証
明と同じ方法で機能する、CCAC証明として知られて
いるクライアント証明もまた発行する、上記(1)に記
載の方法。 (5)SSLハンドシェイク中に前記クライアントが自
分の証明を提示するとき、そのクライアントが前記サー
バに前記CCAC証明もまた提示する、上記(1)に記
載の方法。 (6)安全な取引を行い、そのような取引を認証するた
めの認証局を含むネットワーク化されたサーバおよびブ
ラウザ・システムの構成において、前記認証局の公開鍵
および秘密鍵が満了したが任意のサーバまたはブラウザ
・システムの認証証明が依然妥当であるときに、取引を
認証する手段を含むことを特徴とするシステムであっ
て、前記サーバが、前記認証局の新しい秘密鍵を使用し
た認証局連鎖証明を得る手段と、元の認証証明と共に前
記認証局連鎖証明を前記ブラウザに提示する手段と、前
記ブラウザが、前記認証局の前記満了した公開鍵を使用
して前記元の認証証明を確認し、前記新しい認証局公開
鍵を使用して前記認証局連鎖証明を確認する手段とを備
えるシステム。 (7)前記認証局が自分の公開鍵を撤回するときはいつ
であれ、前記サーバが前記認証局からSCAC証明を得
る前記手段が、前記認証局にコンタクトし、前記サーバ
の認証用秘密鍵を使用して認証局連鎖証明を要求する手
段と、前記認証局が、前記要求を確認する手段と、前記
認証局が、前記認証局連鎖証明を生成し前記サーバに転
送する手段、とを備える、上記(6)に記載のシステ
ム。 (8)前記認証局が、前記サーバ名および前記サーバ公
開鍵、旧認証局公開鍵および認証局名の認証を含む前記
SCAC証明を生成する手段を有する、上記(6)に記
載のシステム。 (9)前記認証局が、前記SCAC証明と同じ方法で機
能する、CCAC証明として知られているクライアント
証明を発行する手段もまた有する、上記(6)に記載の
システム。 (10)SSLハンドシェイク中に前記クライアントが
自分の証明を提示するとき、前記サーバにCCAC証明
を提示する手段を含む、上記(6)に記載のシステム。
【図面の簡単な説明】
【図1】SCAC証明を使用してサーバを認証する方法
の流れ図である。
【図2】認証局からSCAC証明を得る方法の流れ図で
ある。
フロントページの続き (72)発明者 ヴァムサヴァルダナ・レディ・チラクル アメリカ合衆国10549 ニューヨーク州マ ウント・キスコ バーカー・ストリート 50 アパートメント228 Fターム(参考) 5B017 AA07 BA07 5J104 AA07 KA05 MA01 NA02

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】任意の認証局の秘密鍵および公開鍵が満了
    したときに、妥当な認証証明の使用を可能にする方法で
    あって、 サーバが前記認証局からサーバ認証局連鎖(SCAC)
    証明を得るステップと、 SSLハンドシェイク中に前記サーバが、前記サーバ認
    証局連鎖証明とともに元の妥当な認証証明をブラウザに
    提示するステップと、 前記認証局の満了した公開鍵を使用して元の前記認証証
    明を確認後に、ブラウザが取引を受け付け、前記認証局
    の新しい公開鍵を使用して前記SCAC証明を確認する
    ステップとを含む方法。
  2. 【請求項2】前記認証局が自分の公開鍵を無効にすると
    きはいつであれ、 前記サーバの認証用秘密鍵を使用して、認証局にコンタ
    クトするステップと、 前記サーバの公開鍵を使用して、前記認証局が前記要求
    を確認するステップと、 前記認証局が、その新しい秘密鍵を使用して前記SCA
    C証明を生成し、前記サーバに転送するステップ、 とにより、前記サーバ認証局連鎖(SCAC)証明が各
    サーバに取得される、請求項1に記載の方法。
  3. 【請求項3】前記SCAC証明を生成する前記ステップ
    が、前記サーバ名および前記サーバ公開鍵、旧認証局公
    開鍵および認証局名の認証を含む、請求項2に記載の方
    法。
  4. 【請求項4】クライアントの場合に前記認証局が、SC
    AC証明と同じ方法で機能する、CCAC証明として知
    られているクライアント証明もまた発行する、請求項1
    に記載の方法。
  5. 【請求項5】SSLハンドシェイク中に前記クライアン
    トが自分の証明を提示するとき、そのクライアントが前
    記サーバに前記CCAC証明もまた提示する、請求項1
    に記載の方法。
  6. 【請求項6】安全な取引を行い、そのような取引を認証
    するための認証局を含むネットワーク化されたサーバお
    よびブラウザ・システムの構成において、前記認証局の
    公開鍵および秘密鍵が満了したが任意のサーバまたはブ
    ラウザ・システムの認証証明が依然妥当であるときに、
    取引を認証する手段を含むことを特徴とするシステムで
    あって、 前記サーバが、前記認証局の新しい秘密鍵を使用した認
    証局連鎖証明を得る手段と、 元の認証証明と共に前記認証局連鎖証明を前記ブラウザ
    に提示する手段と、 前記ブラウザが、前記認証局の前記満了した公開鍵を使
    用して前記元の認証証明を確認し、前記新しい認証局公
    開鍵を使用して前記認証局連鎖証明を確認する手段とを
    備えるシステム。
  7. 【請求項7】前記認証局が自分の公開鍵を撤回するとき
    はいつであれ、前記サーバが前記認証局からSCAC証
    明を得る前記手段が、 前記認証局にコンタクトし、前記サーバの認証用秘密鍵
    を使用して認証局連鎖証明を要求する手段と、 前記認証局が、前記要求を確認する手段と、 前記認証局が、前記認証局連鎖証明を生成し前記サーバ
    に転送する手段、 とを備える、請求項6に記載のシステム。
  8. 【請求項8】前記認証局が、前記サーバ名および前記サ
    ーバ公開鍵、旧認証局公開鍵および認証局名の認証を含
    む前記SCAC証明を生成する手段を有する、請求項6
    に記載のシステム。
  9. 【請求項9】前記認証局が、前記SCAC証明と同じ方
    法で機能する、CCAC証明として知られているクライ
    アント証明を発行する手段もまた有する、請求項6に記
    載のシステム。
  10. 【請求項10】SSLハンドシェイク中に前記クライア
    ントが自分の証明を提示するとき、前記サーバにCCA
    C証明を提示する手段を含む、請求項6に記載のシステ
    ム。
JP2001224060A 2000-07-27 2001-07-25 認証局の公開鍵および秘密鍵満了時の認証のための方法およびシステム Pending JP2002101093A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/626,637 US7412524B1 (en) 2000-07-27 2000-07-27 Method and system for authentication when certification authority public and private keys expire
US09/626637 2000-07-27

Publications (1)

Publication Number Publication Date
JP2002101093A true JP2002101093A (ja) 2002-04-05

Family

ID=24511215

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001224060A Pending JP2002101093A (ja) 2000-07-27 2001-07-25 認証局の公開鍵および秘密鍵満了時の認証のための方法およびシステム

Country Status (2)

Country Link
US (2) US7412524B1 (ja)
JP (1) JP2002101093A (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1693983B1 (en) * 2003-07-25 2007-08-29 Ricoh Company, Ltd. Authentication system and method using individualized and non-individualized certificates
US7966646B2 (en) 2006-07-31 2011-06-21 Aruba Networks, Inc. Stateless cryptographic protocol-based hardware acceleration
US8214638B1 (en) * 2006-09-26 2012-07-03 Hewlett-Packard Development Company, L.P. Using multiple certificates to distribute public keys
WO2008151339A2 (de) * 2007-06-11 2008-12-18 Fts Computertechnik Gmbh Verfahren und architektur zur sicherung von echtzeitdaten
US8856514B2 (en) 2012-03-12 2014-10-07 International Business Machines Corporation Renewal processing of digital certificates in an asynchronous messaging environment
US8964973B2 (en) 2012-04-30 2015-02-24 General Electric Company Systems and methods for controlling file execution for industrial control systems
US8973124B2 (en) 2012-04-30 2015-03-03 General Electric Company Systems and methods for secure operation of an industrial controller
US9046886B2 (en) 2012-04-30 2015-06-02 General Electric Company System and method for logging security events for an industrial control system
US9172544B2 (en) * 2012-10-05 2015-10-27 General Electric Company Systems and methods for authentication between networked devices
US9219607B2 (en) * 2013-03-14 2015-12-22 Arris Technology, Inc. Provisioning sensitive data into third party
US10341327B2 (en) 2016-12-06 2019-07-02 Bank Of America Corporation Enabling secure connections by managing signer certificates
US10361852B2 (en) 2017-03-08 2019-07-23 Bank Of America Corporation Secure verification system
US10432595B2 (en) 2017-03-08 2019-10-01 Bank Of America Corporation Secure session creation system utililizing multiple keys
US10425417B2 (en) 2017-03-08 2019-09-24 Bank Of America Corporation Certificate system for verifying authorized and unauthorized secure sessions
US10374808B2 (en) 2017-03-08 2019-08-06 Bank Of America Corporation Verification system for creating a secure link
US11461451B2 (en) * 2019-06-25 2022-10-04 Vmware, Inc. Document signing system for mobile devices
US11601288B1 (en) * 2019-08-21 2023-03-07 Cox Communications, Inc. On-demand security certificates for improved home router security
US10735198B1 (en) 2019-11-13 2020-08-04 Capital One Services, Llc Systems and methods for tokenized data delegation and protection

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997018655A1 (en) * 1995-11-14 1997-05-22 Microsoft Corporation Root key compromise recovery
JPH09261218A (ja) * 1996-03-27 1997-10-03 Nippon Telegr & Teleph Corp <Ntt> 計算機システムの認証方法
JPH1020779A (ja) * 1996-07-08 1998-01-23 Hitachi Inf Syst Ltd 公開鍵暗号方式における鍵変更方法
JPH1051442A (ja) * 1996-08-06 1998-02-20 Mitsubishi Electric Corp 電子署名方法
JP2000049766A (ja) * 1998-07-27 2000-02-18 Hitachi Ltd 鍵管理サーバシステム
JP2000059353A (ja) * 1998-08-10 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> データ保管システム、データ保管方法及びそのプログラム記録媒体
JP2001344368A (ja) * 2000-03-31 2001-12-14 Fujitsu Ltd 電子証明書の管理方法、装置、プログラム及び記憶媒体

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5175765A (en) 1989-05-09 1992-12-29 Digital Equipment Corporation Robust data broadcast over a distributed network with malicious failures
US5241599A (en) 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
US6324525B1 (en) * 1996-06-17 2001-11-27 Hewlett-Packard Company Settlement of aggregated electronic transactions over a network
US6373950B1 (en) * 1996-06-17 2002-04-16 Hewlett-Packard Company System, method and article of manufacture for transmitting messages within messages utilizing an extensible, flexible architecture
US6212634B1 (en) * 1996-11-15 2001-04-03 Open Market, Inc. Certifying authorization in computer networks
US7287271B1 (en) * 1997-04-08 2007-10-23 Visto Corporation System and method for enabling secure access to services in a computer network
US5978918A (en) 1997-01-17 1999-11-02 Secure.Net Corporation Security process for public networks
US6044462A (en) 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation
US6094485A (en) * 1997-09-18 2000-07-25 Netscape Communications Corporation SSL step-up
US6076163A (en) 1997-10-20 2000-06-13 Rsa Security Inc. Secure user identification based on constrained polynomials
US6233565B1 (en) * 1998-02-13 2001-05-15 Saranac Software, Inc. Methods and apparatus for internet based financial transactions with evidence of payment
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US6230266B1 (en) * 1999-02-03 2001-05-08 Sun Microsystems, Inc. Authentication system and process
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6775772B1 (en) * 1999-10-12 2004-08-10 International Business Machines Corporation Piggy-backed key exchange protocol for providing secure low-overhead browser connections from a client to a server using a trusted third party
US6842863B1 (en) * 1999-11-23 2005-01-11 Microsoft Corporation Certificate reissuance for checking the status of a certificate in financial transactions

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997018655A1 (en) * 1995-11-14 1997-05-22 Microsoft Corporation Root key compromise recovery
JPH09261218A (ja) * 1996-03-27 1997-10-03 Nippon Telegr & Teleph Corp <Ntt> 計算機システムの認証方法
JPH1020779A (ja) * 1996-07-08 1998-01-23 Hitachi Inf Syst Ltd 公開鍵暗号方式における鍵変更方法
JPH1051442A (ja) * 1996-08-06 1998-02-20 Mitsubishi Electric Corp 電子署名方法
JP2000049766A (ja) * 1998-07-27 2000-02-18 Hitachi Ltd 鍵管理サーバシステム
JP2000059353A (ja) * 1998-08-10 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> データ保管システム、データ保管方法及びそのプログラム記録媒体
JP2001344368A (ja) * 2000-03-31 2001-12-14 Fujitsu Ltd 電子証明書の管理方法、装置、プログラム及び記憶媒体

Also Published As

Publication number Publication date
US7412524B1 (en) 2008-08-12
US20080209209A1 (en) 2008-08-28
US7930415B2 (en) 2011-04-19

Similar Documents

Publication Publication Date Title
US7930415B2 (en) Method and system for authentication when certification authority public and private keys expire
CA2531533C (en) Session-based public key infrastructure
KR100992356B1 (ko) 컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체
US7747856B2 (en) Session ticket authentication scheme
JP4879176B2 (ja) ワンタイム秘密鍵を用いたデジタル署名を実装するためのシステムおよび方法
RU2434340C2 (ru) Инфраструктура верификации биометрических учетных данных
US7069441B2 (en) VPN enrollment protocol gateway
US7818576B2 (en) User controlled anonymity when evaluating into a role
AU2001277943B2 (en) Digital receipt for a transaction
US7167985B2 (en) System and method for providing trusted browser verification
US20070118732A1 (en) Method and system for digitally signing electronic documents
KR20060096979A (ko) 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템
US20020194471A1 (en) Method and system for automatic LDAP removal of revoked X.509 digital certificates
WO2004012415A1 (en) Electronic sealing for electronic transactions
WO2022123745A1 (ja) 証明書発行支援システム、証明書発行支援方法及びプログラム
JP2002132996A (ja) 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム
JP4282272B2 (ja) プライバシ保護型複数権限確認システム、プライバシ保護型複数権限確認方法、およびそのプログラム
EP1387551A1 (en) Electronic sealing for electronic transactions
Bechlaghem Light-weight PKI-Enabling through the Service of a Central Signature Server
IES85034Y1 (en) Automated authenticated certificate renewal system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040727

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20041015

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20041020

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050124

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050301