JP2002314521A - Secret key transmission device and method - Google Patents
Secret key transmission device and methodInfo
- Publication number
- JP2002314521A JP2002314521A JP2001110321A JP2001110321A JP2002314521A JP 2002314521 A JP2002314521 A JP 2002314521A JP 2001110321 A JP2001110321 A JP 2001110321A JP 2001110321 A JP2001110321 A JP 2001110321A JP 2002314521 A JP2002314521 A JP 2002314521A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- secret key
- relying party
- issued
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、証明書と対を成
す秘密鍵を管理し、証明書利用者の要求に基づいて秘密
鍵を送付する秘密鍵送付技術に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a secret key sending technique for managing a secret key paired with a certificate and sending the secret key based on a request of a certificate subscriber.
【0002】[0002]
【従来の技術】ITU−T X.509証明書におい
て、証明書と対になる秘密鍵の送付に関しては、証明書
を特定してその証明書に対する秘密鍵を送付することに
なる。秘密鍵は利用者本人が保持すれば良く、方式によ
っては利用者本人にしか秘密鍵が渡らない形式も考えら
れる。しかし、利用者が秘密鍵をなくしてしまうと、利
用者は暗号文の復号ができず困る。2. Description of the Related Art ITU-TXX. Regarding the transmission of the private key paired with the certificate in the 509 certificate, the certificate is specified and the private key for the certificate is transmitted. The secret key only needs to be held by the user himself, and depending on the method, a form in which the secret key is passed only to the user himself may be considered. However, if the user loses the secret key, the user will not be able to decrypt the ciphertext, which is troublesome.
【0003】証明書の数が少なく利用者が証明書の特定
が簡単な場合は、さほど問題が生じないが(例えば、証
明書を発行する認証機関から一つしか証明書をもらって
いない場合)、長期にわたって証明書を使っていると、
複数枚の証明書をもっている場合が発生する。これに伴
い当然のことながら証明書と対になる秘密鍵の数も同じ
数だけ増えることとなる。証明書には有効期限が付いて
いる(通常は1年程度)ため、複数年にわたり証明書を
使っている場合、証明書の数が増えるし、複数の認証機
関から証明書を入手する場合も多い。証明書を使い始め
ると複数の証明書を持つ状況は通常の状況となり、特別
な状況ではない。[0003] When the number of certificates is small and the user can easily specify the certificate, there is not much problem (for example, when only one certificate is obtained from the certificate authority that issues the certificate). If you have been using certificates for a long time,
There may be cases where you have more than one certificate. Accordingly, the number of private keys paired with the certificate naturally increases by the same number. Certificates have an expiration date (usually about one year), so if you use certificates for more than one year, the number of certificates will increase, and you may need to obtain certificates from multiple certificate authorities. Many. When you start using certificates, the situation with multiple certificates is a normal situation, not a special one.
【0004】SSL(セキュア・ソケット・レイヤ)な
どでウェブ・サーバをアクセスするときなどには、使う
時点で有効な証明書/秘密鍵のみを保持していればよい
ので秘密鍵の特定は容易だが、特に、電子メールなどで
暗号化したメールを保存する場合(S/MIMEなど)
や、ファイルの暗号化に対して証明書を使っている場合
(Microsoft NTFC5など、Micros
oftは米国マイクロソフト社の商標)は、電子メール
の送信日時やファイルの暗号化を行った日時に有効な証
明書/秘密鍵が必要となる。[0004] When accessing a web server using SSL (secure socket layer) or the like, it is only necessary to hold a valid certificate / private key at the time of use. , Especially when storing e-mail encrypted mail (S / MIME, etc.)
Or if you are using a certificate for file encryption (such as Microsoft NTFC5,
(Microsoft is a trademark of Microsoft Corporation in the United States) requires a valid certificate / private key at the date and time of sending an e-mail and at the date and time of file encryption.
【0005】[0005]
【発明が解決する課題】この発明は、以上の事情を考慮
してなされたものであり、証明書利用者が対応する秘密
鍵を簡易に入手できるようにすることを目的としてい
る。SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and has as its object to enable a certificate user to easily obtain a corresponding private key.
【0006】[0006]
【課題を解決するための手段】この発明では、証明書が
有効であった任意の時点をヒント情報として証明書ない
し秘密鍵を絞り込む。この発明の具体的な態様では、秘
密鍵の送付を要求する際に、証明書の有効であった日時
を入力させ、認証機関に保存してある証明書の発行記録
と照らし合わせ証明書を絞り込み、絞り込んだ秘密鍵に
ついて、秘密鍵と対応する証明書をペアにして送る。According to the present invention, a certificate or a private key is narrowed down at any time when a certificate is valid as hint information. According to a specific aspect of the present invention, when requesting the transmission of a private key, the user is required to input the date and time when the certificate was valid, and to narrow down the certificate against the issuance record of the certificate stored in the certificate authority. Then, for the narrowed-down private key, the private key and the corresponding certificate are sent as a pair.
【0007】電子メールには送信日時が記録されてお
り、暗号化されたメールの暗号化された日時を知ること
は容易である。電子ファイルに関しては、暗号化日時を
属性として保持しているので同様に暗号化された日時を
知ることができる。The transmission date and time is recorded in the electronic mail, and it is easy to know the encrypted date and time of the encrypted mail. As for the electronic file, the encrypted date and time are held as attributes, so that the encrypted date and time can be known in the same manner.
【0008】すべての認証機関には、認証機関がサービ
スを開始した時点以降に発行したすべての証明書の発行
記録がある。証明書の中には、有効期限の情報が含まれ
ているので、証明書を特定すれば、有効期限を調べるこ
とができる。しかしながら、秘密鍵が有効であった任意
の時点の情報に対して各証明書の有効期限を照合し証明
書を特定することは困難が伴う。そこで、有効期間を適
切な間隔(例えば1ヶ月毎)にわけ、その期間内に有効
な証明書のリストを保持するようにする。このテーブル
は単純な表でもかまわないし、有効期間でハッシュを作
ってもかまわないし、2分木でもよい。[0008] Every certification authority has a record of issuance of all certificates issued since the certification authority started the service. The certificate contains information on the expiration date, so if the certificate is specified, the expiration date can be checked. However, it is difficult to identify the certificate by checking the expiration date of each certificate against the information at any time when the private key was valid. Therefore, the validity period is divided into appropriate intervals (for example, every month), and a list of valid certificates is held during that period. This table may be a simple table, a hash may be created with a validity period, or a binary tree.
【0009】このテーブルは、証明書を発行した認証機
関が証明書発行に併せて作成し保管してもよい。証明書
利用者のホスト装置に保管しても良い。また、認証機関
の外部にある機構が保管してもかまわない。テーブルと
秘密鍵とを別の機構または装置が保管しても良い。This table may be created and stored by the certification organization that issued the certificate in conjunction with the issuance of the certificate. It may be stored in the host device of the certificate subscriber. In addition, a mechanism outside the certification body may store it. The table and the secret key may be stored by another mechanism or device.
【0010】この発明をさらに説明する。この発明の一
側面にによれば、上述の目的を達成するために、証明書
利用者のホスト装置と通信ネットワークを介して接続さ
れる秘密鍵送付装置に:上記証明書利用者に対して発行
された証明書とそれぞれ対を成す秘密鍵を保管する手段
と;所定期間ごとに、上記証明書利用者に対して発行さ
れ、当該所定期間に有効な証明書を関連付ける手段と;
指定された期間に関連付けられた証明書を上記関連付け
手段を利用して判別する手段と;上記判別された証明書
に対応して保管されている秘密鍵を、上記証明書利用者
のホスト装置に送付する手段とを設けるようにしてい
る。The present invention will be further described. According to an aspect of the present invention, in order to achieve the above object, a secret key sending device connected to a host device of a certificate user via a communication network is issued to the certificate user. Means for storing a private key paired with the generated certificate; means for associating a certificate issued to the certificate subscriber at predetermined intervals and valid for the predetermined period;
Means for using the associating means to determine the certificate associated with the designated period; and storing the private key stored corresponding to the determined certificate in the certificate user's host device. A means for sending is provided.
【0011】この構成においては、証明書利用者が、証
明書が有効であったと認識している日時または期間の情
報を利用して証明書を絞込み対応する秘密鍵を取得する
ことができる。絞り込んだ秘密鍵を証明書利用者に送付
しても良いし、絞り込んだ結果を表すリストを呈示して
そのリストから所望の秘密鍵を選択させても良い。すな
わち、絞り込んだ秘密鍵をすべて送付しても良いし、そ
の中の所望の一部を送付しても良い。[0011] With this configuration, the certificate user can narrow down the certificate and obtain a corresponding private key using the information of the date and time or the period when the certificate is recognized as valid. The narrowed-down secret key may be sent to the certificate subscriber, or a list showing the narrowed-down result may be presented, and a desired secret key may be selected from the list. That is, all the narrowed-down secret keys may be sent, or a desired part of them may be sent.
【0012】秘密鍵は例えばPKCS#12(公開鍵暗
号標準12)の個人秘密情報交換フォーマットの秘密鍵
交換用のファイルにより証明書とバインドして保管され
ている。秘密鍵は通信ネットワークを介して保管場所か
ら証明書利用者のホスト装置に送付されてもよいし、所
定の記録媒体に出力され、その記録媒体を証明書利用者
に送付してもよい。The private key is stored by binding to the certificate by using a private key exchange file in the private secret information exchange format of PKCS # 12 (Public Key Encryption Standard 12), for example. The secret key may be sent from the storage location to the certificate user's host device via the communication network, or may be output to a predetermined recording medium, and the recording medium may be sent to the certificate user.
【0013】なお、この発明は装置またはシステムとし
て実現できるのみでなく、方法の態様でも実現でき、ま
たその一部をコンピュータプログラムとして実装するこ
ともできる。The present invention can be realized not only as an apparatus or a system, but also as a method, and a part thereof can be implemented as a computer program.
【0014】この発明の上述の側面およびこの発明の他
の側面は特許請求の範囲に記載され、以下、実施例を用
いて詳細に説明される。[0014] The above aspects of the invention and other aspects of the invention are set forth in the appended claims and will be described in detail hereinafter with reference to embodiments.
【0015】[0015]
【発明の実施の形態】以下、この発明の実施例について
説明する。Embodiments of the present invention will be described below.
【0016】図1はこの発明の実施例の秘密鍵送付シス
テムの概要を示しており、この図において、認証機関1
0、保管機関20およびクライアント端末30等が通信
ネットワーク40を介して接続されている。認証機関1
0は、クライアント端末30からの要求に応じて証明書
を発行し、管理するものである。例えば、クライアント
端末30が公開鍵と証明書発効要求とを認証機関10に
送ると、認証機関はITU−T勧告X.509準拠の証
明書を発行する。認証機関10は、発行した証明書をデ
ータベースで管理する。認証機関10は利用者に対して
発行した証明書をLDAP(ライトウェイト・ディレク
トリ・アクセス・プロトコル)サーバ等により公開して
いる場合もある。保管機関20は、クライアント端末3
0からの秘密鍵保管要求に基づいて秘密鍵等を保管す
る。具体的には、証明書と秘密鍵の対をPKCS#12
(公開鍵暗号標準12)によりフォーマット化されたフ
ァイルをクライアント端末30から受けとって保管管理
する。クライアント端末30は、証明書利用者が利用す
るパーソナルコンピュータ、ワークステーション等の情
報機器である。クライアント端末30は、証明書を利用
できるリソースを提供できるものであれば何でも良い。
計算能力や記憶能力さえ十分であれば、携帯電話機や形
態情報端末でも良く、その他、固定電話機やインテリジ
ェント化された家庭電気製品でも良い。通信ネットワー
ク40は、広域通信ネットワーク(WAN)や構内通信
ネットワーク(LAN)であり、典型的にはインターネ
ットである。FIG. 1 shows an outline of a secret key sending system according to an embodiment of the present invention.
0, a storage institution 20, a client terminal 30, and the like are connected via a communication network 40. Certification body 1
0 is for issuing and managing a certificate in response to a request from the client terminal 30. For example, when the client terminal 30 sends a public key and a certificate issuance request to the certification authority 10, the certification authority sends the public key and the certificate validity request to ITU-T Recommendation X.264. 509-compliant certificate is issued. The certification organization 10 manages the issued certificate in a database. The certificate authority 10 may publish the certificate issued to the user by an LDAP (Lightweight Directory Access Protocol) server or the like. The storage institution 20 has the client terminal 3
The secret key and the like are stored based on the secret key storage request from 0. Specifically, a pair of a certificate and a private key is stored in PKCS # 12.
The file formatted by (Public Key Encryption Standard 12) is received from the client terminal 30 and stored and managed. The client terminal 30 is an information device such as a personal computer and a workstation used by the certificate subscriber. The client terminal 30 may be anything that can provide a resource that can use the certificate.
As long as the computing ability and the storage ability are sufficient, a mobile phone or a form information terminal may be used, or a fixed telephone or an intelligent home electric appliance may be used. The communication network 40 is a wide area communication network (WAN) or a local area communication network (LAN), and is typically the Internet.
【0017】保管機関20は、例えば、ウェブサーバ2
01、アプリケーションサーバ202、データベース管
理システム203等をLAN204に接続してなるもの
である。LAN204はルータ205を介して通信ネッ
トワーク40に接続されている。The storage institution 20 is, for example, a web server 2
1, an application server 202, a database management system 203, and the like are connected to a LAN 204. The LAN 204 is connected to the communication network 40 via a router 205.
【0018】ウェブサーバ201は、クライアント端末
30とのユーザ・インタフェースを提供するものであ
る。クライアント端末30のユーザは、このユーザ・イ
ンタフェースを用いて保管機関20にPKCS#12の
ファイル(証明書および秘密鍵の対)を選択して送付
し、秘密鍵の照会を行い、また、秘密鍵送付要求を行
う。The web server 201 provides a user interface with the client terminal 30. The user of the client terminal 30 selects and sends the PKCS # 12 file (pair of certificate and private key) to the storage organization 20 using this user interface, inquires about the private key, and Make a send request.
【0019】アプリケーションサーバ202は、クライ
アント端末30から送られてきたファイルを証明書・秘
密鍵ファイルデータベース215に保管し(保管処理部
211)、また、証明書・秘密鍵ファイルデータベース
215に保管されている証明書・秘密鍵ファイルをウェ
ブサーバ201を介してクライアント端末30に送付す
る(送付処理部212)。アプリケーションサーバ20
2は、さらに、クライアント端末30からの証明書(秘
密鍵)の照会に対して該当する証明書(秘密鍵)のリス
トを出力する(秘密鍵照会部214)。これについては
後に詳述する。The application server 202 stores the file sent from the client terminal 30 in the certificate / private key file database 215 (storage processing unit 211), and stores the file in the certificate / private key file database 215. The certificate / private key file is sent to the client terminal 30 via the web server 201 (sending processing unit 212). Application server 20
2 outputs a list of applicable certificates (private keys) in response to a certificate (private key) inquiry from the client terminal 30 (private key inquiry unit 214). This will be described later in detail.
【0020】データベース管理システム203はクライ
アント端末30から送付された証明書・秘密鍵ファイル
を証明書・秘密鍵ファイルデータベース215に保管・
管理する。証明書・秘密鍵ファイルは例えば電話番号、
本人識別番号、証明書、符号(パスワードや家族の氏名
等)により検索することができる。また、データベース
管理システム203は照会テーブル216を管理してい
る。照会テーブル216は、図2に示すように、期間
(1ヶ月)ごとに、その時点で有効であった証明書のI
Dを関連付ける照会テーブルを保持している。1の期間
のすべてにわたって有効な証明書のみを関連付けても良
いし、期間の任意の一時点で有効な証明書まで関連付け
ても良い。この例では後者を採用している。照会テーブ
ル216は、証明書のID、開始日、終了日に基づいて
生成される。証明書・秘密鍵ファイルデータベース21
5の証明書はITU−T勧告X.509に準拠した情報
を有し、この情報のうちの証明書のID、開始日、終了
日を用いて照会テーブル216が生成される。図2の例
の場合、証明書のID、開始日、終了日は図3に示すと
おりである。The database management system 203 stores the certificate / private key file sent from the client terminal 30 in the certificate / private key file database 215.
to manage. Certificate / private key files are, for example, phone numbers,
Searching can be performed using an identification number, a certificate, and a code (such as a password or a family name). The database management system 203 manages an inquiry table 216. As shown in FIG. 2, the inquiry table 216 stores, for each period (one month), the I of the certificate valid at that time.
Holds a query table that associates D. Only a certificate valid for the entire period of one period may be associated, or a certificate valid at any one point in the period may be associated. In this example, the latter is adopted. The inquiry table 216 is generated based on the ID of the certificate, the start date, and the end date. Certificate / private key file database 21
5 is a certificate of ITU-T Recommendation X. 509, and an inquiry table 216 is generated using the certificate ID, start date, and end date of the information. In the case of the example of FIG. 2, the ID, start date, and end date of the certificate are as shown in FIG.
【0021】また、アプリケーションサーバ202はそ
の認証部213を用いて証明書利用者の認証を行うこと
ができる。Further, the application server 202 can authenticate a certificate user by using the authentication unit 213.
【0022】図4は、実施例の動作を示しており、この
図において、証明書利用者は、クライアント端末30を
用いて、証明書の発行を認証機関10に要求する(x0
1)。この際、証明書利用者は、秘密鍵および公開鍵の
対を生成し、公開鍵を認証機関10に送る。認証機関1
0は、証明書利用者の情報に基づいてX.509証明書
を発行する(x02)。証明書利用者は、証明書を秘密
鍵にPKCS#12により結合し、そのファイルを秘密
鍵保管要求と共に送付する(x03)。例えば、ファイ
ルを選択するインプットフォームのHTML文書を用い
て送付対象のPKCS#12のファイルを特定して送信
する(x04)。保管機関20は、受信したPKCS#
12のファイルを利用者に関連付けて保管する。保管機
関20は、受け取ったPKCS#12のファイルから秘
密鍵を再生し、証明書利用者に送付する(x05)。FIG. 4 shows the operation of the embodiment. In this figure, the certificate subscriber requests the certificate authority 10 to issue a certificate using the client terminal 30 (x0).
1). At this time, the certificate subscriber generates a pair of a secret key and a public key, and sends the public key to the certification authority 10. Certification body 1
0 is based on the information of the relying party. 509 certificate is issued (x02). The relying party combines the certificate with the private key by PKCS # 12 and sends the file together with the private key storage request (x03). For example, a file of the PKCS # 12 to be transmitted is specified and transmitted using the HTML document of the input form for selecting a file (x04). The storage agency 20 receives the PKCS #
Twelve files are stored in association with the user. The storage organization 20 reproduces the secret key from the received PKCS # 12 file and sends it to the relying party (x05).
【0023】以上のような手順x01〜x05は、証明
書利用者が証明書を発行依頼するたびに行われ、その都
度、保管機関20に証明書・秘密鍵が保管される。The above procedures x01 to x05 are performed every time a certificate subscriber requests a certificate issuance, and each time the certificate / private key is stored in the storage organization 20.
【0024】つぎに、証明書利用者が秘密鍵を保管機関
20から取り出したいときには(ローカルに秘密鍵が見
当たらない場合など)、まず、取り出すべき秘密鍵を特
定するために、秘密鍵を利用した日時を指定して保管機
関20に対して秘密鍵取り出し要求を送信する(x0
6)。この際、証明書利用者を特定するために電話番
号、本人識別番号等を用いることができる。保管機関2
0は、電話番号、本人識別番号等で証明書利用者を特定
して、さらに証明書利用者の照会テーブル216を用い
て、当該指定日時に該当する期間に有効であった証明書
のIDを識別し、この証明書のIDに基づいて対応する
証明書・秘密鍵ファイル(複数ファイルの場合もある)
を証明書・秘密鍵ファイルデータベース215から取り
出し、証明書利用者に送付する(x07)。なお、秘密
鍵(証明書・秘密鍵ファイル)の保管要求および取りだ
し要求時に、証明書利用者の本人認証を行うことが好ま
しい(認証部213、図1)。Next, when the certificate user wants to retrieve the private key from the storage organization 20 (for example, when the private key is not found locally), the private key is first used to identify the private key to be retrieved. A secret key removal request is transmitted to the storage organization 20 by designating the date and time (x0
6). At this time, a telephone number, a personal identification number, and the like can be used to identify the certificate subscriber. Storage Agency 2
0 specifies the certificate subscriber by telephone number, personal identification number, etc., and further uses the certificate subscriber's inquiry table 216 to specify the ID of the certificate valid during the period corresponding to the designated date and time. Identify and corresponding certificate / private key file based on the ID of this certificate (may be multiple files)
Is extracted from the certificate / private key file database 215 and sent to the certificate subscriber (x07). It is preferable to authenticate the identity of the certificate user at the time of requesting storage and retrieval of the private key (certificate / private key file) (authentication unit 213, FIG. 1).
【0025】証明書利用者は送信されてきたPKCS#
12のファイルを受け取り、証明書の情報等を頼りに所
望の秘密鍵を特定する。The relying party receives the transmitted PKCS #
Twelve files are received, and a desired private key is specified by relying on certificate information and the like.
【0026】以上説明したように、この実施例の秘密鍵
送付システムによれば、ローカルに保管していた秘密鍵
が無くなっても、簡単に、目的の秘密鍵を取得すること
ができる。As described above, according to the secret key sending system of this embodiment, even if the locally stored secret key is lost, the intended secret key can be easily obtained.
【0027】なお、この発明は上述の実施例に限定され
るものではなく、種々変更が可能である。例えば、保管
対象の秘密鍵は、PKCS#12の秘密鍵交換用の標準
に準拠したファイル以外でも取り扱うことができる。ま
た、秘密鍵を特定できる情報であれば、これを証明書に
換えて用いるようにしてもよい。また、秘密鍵等は暗号
化して保管機関に送るようにしてもよいし、複数の保管
機関に分散保管するようにしても良い。また、秘密鍵の
取り出しを通信ネットワークを介して行うのでなく、記
録メディアに記録して利用者に送付するようにしても良
い。また、秘密鍵の交換は、HTTPプロトコルのみで
なく、メール(SMTPプロトコル)等の他の伝送手段
を用いて行うようにしてもよい。また、照会テーブル
等、期間と証明書とを関連付ける情報が、認証機関に保
管されていても良いし、クライアント端末等の証明書利
用者側に保管されていても良い。また、照会テーブル
は、最終的には証明書利用者ごとに期間と証明書のID
とを対応付けられれば良く、中間的な関係が関係テーブ
ルとして保持されていても良い。例えば、期間と証明書
のIDとの関係と、証明書利用者と証明書のIDとの関
係が規定され、これを用いて証明書利用者ごとに期間と
証明書のIDとの関係を規定する照会テーブルが生成さ
れても良い。さらに、期間と、その期間(その期間のう
ちの一部としても良いし、全部としてもよい)に有効な
証明書に対応する秘密鍵とを直接に関係付けるようにし
てもよいことはもちろんである。期間の指定は、直接に
期間自体を特定しても良いし、期間に含まれる日時(日
にち)を指定して期間を特定しても良い。期間は、月単
位でなくとも良く、日単位、週単位、年単位等でもよ
い。It should be noted that the present invention is not limited to the above-described embodiment, and various changes can be made. For example, the private key to be stored can be handled by a file other than a file that complies with the PKCS # 12 secret key exchange standard. Further, any information that can identify a secret key may be used instead of a certificate. Further, the secret key or the like may be encrypted and sent to a storage organization, or may be distributed and stored in a plurality of storage organizations. Also, the secret key may not be taken out via the communication network but may be recorded on a recording medium and sent to the user. In addition, the exchange of the secret key may be performed using not only the HTTP protocol but also other transmission means such as mail (SMTP protocol). In addition, information for associating a period with a certificate, such as an inquiry table, may be stored in a certificate authority, or may be stored in a certificate user such as a client terminal. In addition, the inquiry table finally stores the period and certificate ID for each certificate subscriber.
And an intermediate relationship may be held as a relationship table. For example, the relationship between the term and the certificate ID and the relationship between the certificate user and the certificate ID are defined, and the relationship between the term and the certificate ID is defined for each certificate user using this. A query table may be generated. Further, the period and the private key corresponding to the certificate valid in the period (may be a part of the period or the whole period) may be directly related. is there. As for the specification of the period, the period itself may be specified directly, or the date and time (date) included in the period may be specified to specify the period. The period does not have to be in units of months, but may be in units of days, weeks, or years.
【0028】[0028]
【発明の効果】以上説明したように、この発明によれ
ば、証明書利用者が秘密鍵をローカルに特定できないと
きでも、簡易に秘密鍵を取得し、利用することができ
る。As described above, according to the present invention, a secret key can be easily obtained and used even when the certificate user cannot specify the secret key locally.
【図1】 この発明の実施例の秘密鍵送付システムを全
体として示すシステムズである。FIG. 1 is a system diagram showing an entire system of a secret key sending system according to an embodiment of the present invention.
【図2】 上述実施例で用いる照会テーブルを説明する
図である。FIG. 2 is a diagram illustrating an inquiry table used in the embodiment.
【図3】 上述照会テーブルの内容に対応する証明書の
ID、開始日、終了日の例を説明する図である。FIG. 3 is a diagram illustrating an example of a certificate ID, a start date, and an end date corresponding to the contents of the inquiry table.
【図4】 上述実施例の動作を説明する図である。FIG. 4 is a diagram illustrating the operation of the above embodiment.
10 認証機関 20 保管機関 30 クライアント端末 40 通信ネットワーク 201 ウェブサーバ 202 アプリケーションサーバ 203 データベース管理システム 204 LAN 205 ルータ 10 認証機関 20 保管機関 30 クライアント端末 40 通信ネットワーク 201 ウェブサーバ 202 アプリケーションサーバ 202 アプリケーションサーバ 203 データベース管理システム 205 ルータ 211 保管処理部 212 送付処理部 213 認証部 214 秘密鍵照会部 215 証明書・秘密鍵ファイルデータベース 216 照会テーブル Reference Signs List 10 certification institution 20 storage institution 30 client terminal 40 communication network 201 web server 202 application server 203 database management system 204 LAN 205 router 10 certification institution 20 storage institution 30 client terminal 40 communication network 201 web server 202 application server 202 application server 203 database management System 205 Router 211 Storage processing unit 212 Sending processing unit 213 Authentication unit 214 Private key inquiry unit 215 Certificate / private key file database 216 Inquiry table
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AA08 AE00 5J104 AA16 EA01 EA04 EA11 EA16 JA03 NA02 PA07 ──────────────────────────────────────────────────続 き Continued on the front page F term (reference) 5B085 AA08 AE00 5J104 AA16 EA01 EA04 EA11 EA16 JA03 NA02 PA07
Claims (11)
ワークを介して接続される秘密鍵送付装置において、 上記証明書利用者に対して発行された証明書とそれぞれ
対を成す秘密鍵を保管する手段と、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書を関連付ける手段と、 指定された期間に関連付けられた証明書を上記関連付け
手段を利用して判別する手段と、 上記判別された証明書に対応して保管されている秘密鍵
を、上記証明書利用者のホスト装置に送付する手段とを
有することを特徴とする秘密鍵送付装置。1. A secret key sending device connected to a host device of a certificate user via a communication network for storing a secret key paired with a certificate issued to the certificate user. Means and is issued to the relying party at predetermined intervals,
Means for associating the certificate valid for the predetermined period, means for determining the certificate associated with the specified period by using the associating means, and stored corresponding to the determined certificate Means for sending the secret key to the certificate user's host device.
ワークを介して接続される秘密鍵送付装置において、 上記証明書利用者に対して発行された証明書とそれぞれ
対を成す秘密鍵を保管する手段と、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書を関連付ける手段と、 指定された期間に関連付けられた証明書を上記関連付け
手段を利用して判別する手段と、 上記判別された証明書に対応して保管されている秘密鍵
を出力する手段とを有することを特徴とする秘密鍵送付
装置。2. A private key sending device connected to a host device of a relying party via a communication network, wherein a private key paired with a certificate issued to the relying party is stored. Means and is issued to the relying party at predetermined intervals,
Means for associating the certificate valid for the predetermined period, means for determining the certificate associated with the specified period by using the associating means, and stored corresponding to the determined certificate Means for outputting a secret key.
ワークを介して接続される秘密鍵送付装置において、 上記証明書利用者からの秘密鍵保管要求に基づいて、上
記証明書利用者に対して発行された証明書とそれぞれ対
を成す秘密鍵を保管する手段と、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書を関連付ける手段と、 指定された期間に関連付けられた証明書を上記関連付け
手段を利用して判別する手段と、 上記判別された証明書に対応して保管されている秘密鍵
を、上記証明書利用者のホスト装置に送付する手段とを
有することを特徴とする秘密鍵送付装置。3. A private key sending apparatus connected to a host apparatus of the relying party via a communication network, wherein the private key sending apparatus is connected to the relying party based on a private key storage request from the relying party. Means for storing a private key paired with the issued certificate, and for a predetermined period, issued to the relying party,
Means for associating the certificate valid for the predetermined period, means for determining the certificate associated with the specified period by using the associating means, and stored corresponding to the determined certificate Means for sending the secret key to the certificate user's host device.
ワークを介して接続される秘密鍵送付装置において、 上記証明書利用者からの秘密鍵保管要求に基づいて、上
記証明書利用者に対して発行された証明書とそれぞれ対
を成す秘密鍵を保管する手段と、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書を関連付ける手段と、 指定された期間に関連付けられた証明書を上記関連付け
手段を利用して判別する手段と、 上記判別された証明書に対応して保管されている秘密鍵
を出力する手段とを有することを特徴とする秘密鍵送付
装置。4. A private key sending device connected to a host device of a relying party via a communication network, the private key sending device being connected to the relying party based on a private key storage request from the relying party. Means for storing a private key paired with the issued certificate, and for a predetermined period, issued to the relying party,
Means for associating the certificate valid for the predetermined period, means for determining the certificate associated with the specified period by using the associating means, and stored corresponding to the determined certificate Means for outputting a secret key.
1つのファイルを構成する請求項1、2、3または4記
載の秘密鍵送付装置。5. The secret key together with a corresponding certificate
5. The secret key sending device according to claim 1, wherein the secret key sending device constitutes one file.
ットで保持される請求項5記載の秘密鍵送付装置。6. The secret key sending device according to claim 5, wherein the file is stored in a PKCS # 12 format.
ネットワークを介して秘密鍵を送付する秘密鍵送付装置
において、 上記証明書利用者に対して発行された証明書とそれぞれ
対を成す秘密鍵を保管するステップと、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書を関連付ける関連付け情報
を保持するステップと、 指定された期間に関連付けられた証明書を上記関連付け
情報を利用して判別する手段と、 上記判別された証明書に対応して保管されている秘密鍵
を、上記証明書利用者のホスト装置に送付するステップ
とを有することを特徴とする秘密鍵送付方法。7. A secret key sending device for sending a secret key to a host device of a certificate user via a communication network, the secret key pairing with a certificate issued to the certificate user. Storing the key, and is issued to the relying party at predetermined intervals,
A step of holding association information for associating the certificate valid for the predetermined period; a means for identifying the certificate associated with the specified period by using the association information; Sending the private key stored in advance to the host device of the relying party.
出力要求を通信ネットワークを介して受け取り、秘密鍵
を出力する秘密鍵送付方法において、 上記証明書利用者に対して発行された証明書とそれぞれ
対を成す秘密鍵を保管するステップと、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書を関連付けるる関連付け情
報を保持するステップと、 指定された期間に関連付けられた証明書を上記関連付け
情報を利用して判別する手段と、 上記判別された証明書に対応して保管されている秘密鍵
を出力するステップとを有することを特徴とする秘密鍵
送付方法。8. A private key delivery method for receiving a private key output request from a host device of a relying party via a communication network and outputting a private key, the certificate issued to the relying party. And storing a private key paired with each other, and is issued to the relying party at predetermined intervals,
A step of holding association information for associating a certificate valid for the predetermined period; means for determining a certificate associated with the specified period by using the association information; Outputting a secret key stored as a secret key.
とそれぞれ対を成す秘密鍵を保管する手段と、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書を関連付ける手段と、 指定された期間に関連付けられた証明書を上記関連付け
手段を利用して判別する手段と、 上記判別された証明書に対応して保管されている秘密鍵
を出力する手段とを有することを特徴とする秘密鍵出力
装置。9. A means for storing a private key paired with a certificate issued to a relying party, and issued to the relying party at predetermined time intervals;
Means for associating the certificate valid for the predetermined period, means for determining the certificate associated with the specified period by using the associating means, and stored corresponding to the determined certificate Means for outputting a secret key.
トワークを介して接続される秘密鍵送付装置において、 上記証明書利用者に対して発行された証明書とそれぞれ
対を成す秘密鍵を保管する手段と、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な 証明書に対応する秘密鍵を関連付ける手段と、 指定された期間に関連付けられた秘密鍵を上記関連付け
手段を利用して判別す る手段と、上記判別された秘密鍵を、上記証明書利用者
のホスト装置に送付する手段とを有することを特徴とす
る秘密鍵送付装置。10. A secret key sending device connected to a host device of a certificate user via a communication network, wherein a secret key paired with a certificate issued to the certificate user is stored. Means and is issued to the relying party at predetermined intervals,
Means for associating a secret key corresponding to the certificate valid for the predetermined period, means for determining the secret key associated with the designated period using the associating means, and Means for sending the certificate to the host of the certificate user.
トワークを介して接続される秘密鍵送付装置において、
上記証明書利用者に対して発行された証明書とそれぞれ
対を成す秘密鍵を保管する手段と、 所定期間ごとに、上記証明書利用者に対して発行され、
当該所定期間に有効な証明書に対応する秘密鍵を関連付
ける手段と、 指定された期間に関連付けられた秘密鍵を上記関連付け
手段を利用して判別する手段と、 上記判別された秘密鍵を出力する手段とを有することを
特徴とする秘密鍵送付装置。11. A secret key sending device connected to a host device of a certificate subscriber via a communication network,
Means for storing a private key paired with a certificate issued to the relying party, and issued to the relying party at predetermined intervals,
Means for associating a secret key corresponding to a certificate valid during the predetermined period, means for determining the secret key associated with the specified period using the associating means, and outputting the determined secret key And a secret key sending device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001110321A JP2002314521A (en) | 2001-04-09 | 2001-04-09 | Secret key transmission device and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001110321A JP2002314521A (en) | 2001-04-09 | 2001-04-09 | Secret key transmission device and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002314521A true JP2002314521A (en) | 2002-10-25 |
Family
ID=18962118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001110321A Pending JP2002314521A (en) | 2001-04-09 | 2001-04-09 | Secret key transmission device and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002314521A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004289448A (en) * | 2003-03-20 | 2004-10-14 | Fuji Xerox Co Ltd | Service providing device, and method and system for verifying electronic certificate |
-
2001
- 2001-04-09 JP JP2001110321A patent/JP2002314521A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004289448A (en) * | 2003-03-20 | 2004-10-14 | Fuji Xerox Co Ltd | Service providing device, and method and system for verifying electronic certificate |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11647007B2 (en) | Systems and methods for smartkey information management | |
| AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US7702107B1 (en) | Server-based encrypted messaging method and apparatus | |
| US6247127B1 (en) | Method and apparatus for providing off-line secure communications | |
| CA2408589C (en) | Url-based certificate in a pki | |
| US6539093B1 (en) | Key ring organizer for an electronic business using public key infrastructure | |
| US6732277B1 (en) | Method and apparatus for dynamically accessing security credentials and related information | |
| US20090216839A1 (en) | Electronic Business Card Exchange System and Method | |
| US20020023213A1 (en) | Encryption system that dynamically locates keys | |
| JP4201556B2 (en) | Information processing method and access authority management method in center system | |
| US20200035339A1 (en) | Blockchain security system for secure record access across multiple computer systems | |
| RU2373572C2 (en) | System and method for resolution of names | |
| JP2005209181A (en) | File management system and management method | |
| JP6536609B2 (en) | Management device and document management system | |
| US6795920B1 (en) | Vault controller secure depositor for managing secure communication | |
| JP4667024B2 (en) | Document data identity verification apparatus and method, and document data identity verification program | |
| JP3396162B2 (en) | Authentication system and authentication method, and recording medium storing program for realizing the system or method | |
| WO2004044756A1 (en) | System and method relating to remotely accessible securely stored data files | |
| JP2007082043A (en) | Time stamp service system | |
| JP2002314521A (en) | Secret key transmission device and method | |
| JPH11331145A (en) | Information sharing system, information preserving device, information processing method and recording medium therefor | |
| JP3490386B2 (en) | Electronic information delivery system, electronic information delivery method, and recording medium recording electronic information delivery program | |
| JP2002314522A (en) | Secret key transmission device and method | |
| KR20020084642A (en) | System for issuing and receiving of digital signatured document based on PKI | |
| KR100395424B1 (en) | The system and method of automatic issue and search of certificate in relation to security web mail |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050719 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050920 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060221 |