JP2003107994A - 公開鍵証明証の経路検証装置及び経路検証方法 - Google Patents
公開鍵証明証の経路検証装置及び経路検証方法Info
- Publication number
- JP2003107994A JP2003107994A JP2001306015A JP2001306015A JP2003107994A JP 2003107994 A JP2003107994 A JP 2003107994A JP 2001306015 A JP2001306015 A JP 2001306015A JP 2001306015 A JP2001306015 A JP 2001306015A JP 2003107994 A JP2003107994 A JP 2003107994A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- verification
- route
- verifier
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
(57)【要約】
【課題】 予め全ての公開鍵証明証を取込んでおく必要
がなく、かつ認証局(CA)へのアクセス回数を減少さ
せる。 【解決手段】 受理した署名データから経路検証に用い
る証明証を取得し(S1)、この中の署名者の証明証内
から、その証明証の検証に用いる上位CAの証明証識別
子を取出し(S2)、その識別子に相当するCA証明証
をS1で得た証明証とローカルディスク内の証明証から
検索し(S4−1)、検索できなかった場合は、CAか
ら取得し(S4−2)、その証明証を用いて署名者の証
明証の署名を検証し(S5)、検証者から信頼する証明
証に辿るまでS3〜S5を繰返し(S6)、署名者の証
明証から検証者が信頼できる証明証までの経路上のCA
証明証をローカルディスクに保存する(S7)。
がなく、かつ認証局(CA)へのアクセス回数を減少さ
せる。 【解決手段】 受理した署名データから経路検証に用い
る証明証を取得し(S1)、この中の署名者の証明証内
から、その証明証の検証に用いる上位CAの証明証識別
子を取出し(S2)、その識別子に相当するCA証明証
をS1で得た証明証とローカルディスク内の証明証から
検索し(S4−1)、検索できなかった場合は、CAか
ら取得し(S4−2)、その証明証を用いて署名者の証
明証の署名を検証し(S5)、検証者から信頼する証明
証に辿るまでS3〜S5を繰返し(S6)、署名者の証
明証から検証者が信頼できる証明証までの経路上のCA
証明証をローカルディスクに保存する(S7)。
Description
【0001】
【発明の属する技術分野】この発明は、コンピュータネ
ットワーク上で安全かつ確実なEDI(電子データ交
換)やEC(電子商取引)を実現するために、公開鍵暗
号を用いた電子署名通信や暗号通信技術において必要と
なる、公開鍵証明証の有効性検証に用いられる経路検証
装置及びその方法に関するものである。
ットワーク上で安全かつ確実なEDI(電子データ交
換)やEC(電子商取引)を実現するために、公開鍵暗
号を用いた電子署名通信や暗号通信技術において必要と
なる、公開鍵証明証の有効性検証に用いられる経路検証
装置及びその方法に関するものである。
【0002】
【従来の技術】公開鍵暗号を用いた電子署名技術や暗号
通信技術により、利用者の本人確認や、通信路における
改竄(かいざん)の有無の確認および盗聴の防止等を行
う検証装置(以下、検証者と呼ぶ)では、その際に用い
られる公開鍵が、確かに通信相手の公開鍵であることを
確認する必要がある。通常この公開鍵の所有者を確認す
る方法として、CA(Certification Authority:認証
局装置)が発行する公開鍵証明証(以下、証明証と呼
ぶ)を用いる方法が利用される。
通信技術により、利用者の本人確認や、通信路における
改竄(かいざん)の有無の確認および盗聴の防止等を行
う検証装置(以下、検証者と呼ぶ)では、その際に用い
られる公開鍵が、確かに通信相手の公開鍵であることを
確認する必要がある。通常この公開鍵の所有者を確認す
る方法として、CA(Certification Authority:認証
局装置)が発行する公開鍵証明証(以下、証明証と呼
ぶ)を用いる方法が利用される。
【0003】この方法で証明証を用いる際には、その証
明証が正当であることを確認する必要があり、そのため
の確認項目の1つとして、この証明証が信頼する発行者
(CA)から発行されていることの確認がある。証明証
を発行するCAが複数存在し、これらが例えば図3に示
すように上下関係を有する階層構成を取っている場合、
上位のCAが下位のCAに対する証明証の発行を行う
(最上位のCAの証明証は自身で発行)。この状況にお
いて、通信相手(以下、署名者と呼ぶ)の証明証が検証
者の信頼するCAから発行されていることを確認する方
法としては、署名者の証明証を発行したCAの証明証を
用いて署名者の証明証に付与された署名を検証し、続い
て、署名者の証明証を発行したCAの証明証を、その証
明証を発行した上位のCAの証明証を用いて検証し、と
いったことを順次、上位のCAに向かって行い、最終的
に検証者が信頼する最上位のCAが発行した証明証を用
いてその下位のCAの証明証が検証できた場合に、署名
者の証明証が正当に発行されたと見なす方法がある(以
降、この一連の検証処理を経路検証処理と呼ぶ)。
明証が正当であることを確認する必要があり、そのため
の確認項目の1つとして、この証明証が信頼する発行者
(CA)から発行されていることの確認がある。証明証
を発行するCAが複数存在し、これらが例えば図3に示
すように上下関係を有する階層構成を取っている場合、
上位のCAが下位のCAに対する証明証の発行を行う
(最上位のCAの証明証は自身で発行)。この状況にお
いて、通信相手(以下、署名者と呼ぶ)の証明証が検証
者の信頼するCAから発行されていることを確認する方
法としては、署名者の証明証を発行したCAの証明証を
用いて署名者の証明証に付与された署名を検証し、続い
て、署名者の証明証を発行したCAの証明証を、その証
明証を発行した上位のCAの証明証を用いて検証し、と
いったことを順次、上位のCAに向かって行い、最終的
に検証者が信頼する最上位のCAが発行した証明証を用
いてその下位のCAの証明証が検証できた場合に、署名
者の証明証が正当に発行されたと見なす方法がある(以
降、この一連の検証処理を経路検証処理と呼ぶ)。
【0004】この経路検証処理において証明証を検証す
る際に、どの証明証を用いて検証すればよいかは、検証
対象の証明証内に、検証に用いるための上位CAの証明
証の識別子が含まれており、それをもとに特定される。
ここで特定される証明証は、検証者が経路検証処理にお
いて用意する必要があり、署名者によって署名と共に必
要な証明証が検証者に送付される場合もあるが、必要な
全ての証明証が送付されなかった場合には、必要な証明
証を検証者自身によって収集することになる。検証者が
自身で経路検証処理に用いる証明証を収集する方法とし
ては、経路検証処理時に必要な証明証をCAや証明証が
格納されているディレクトリ装置にアクセスして取得す
る方法や、あらかじめ検証者の記憶手段(以下ローカル
ディスクと呼ぶ)に経路検証処理に必要となりそうなC
Aの証明証を保管しておき、経路検証処理時にそこから
取得する方法などがある。
る際に、どの証明証を用いて検証すればよいかは、検証
対象の証明証内に、検証に用いるための上位CAの証明
証の識別子が含まれており、それをもとに特定される。
ここで特定される証明証は、検証者が経路検証処理にお
いて用意する必要があり、署名者によって署名と共に必
要な証明証が検証者に送付される場合もあるが、必要な
全ての証明証が送付されなかった場合には、必要な証明
証を検証者自身によって収集することになる。検証者が
自身で経路検証処理に用いる証明証を収集する方法とし
ては、経路検証処理時に必要な証明証をCAや証明証が
格納されているディレクトリ装置にアクセスして取得す
る方法や、あらかじめ検証者の記憶手段(以下ローカル
ディスクと呼ぶ)に経路検証処理に必要となりそうなC
Aの証明証を保管しておき、経路検証処理時にそこから
取得する方法などがある。
【0005】
【発明が解決しようとする課題】検証者による経路検証
処理において、署名者が署名と共に検証者に送付した証
明証によって、検証者が信頼する最上位のCAの証明証
による検証まで辿り着けない場合、あるいは署名者が全
く経路検証に必要な証明証を添付してこなかった場合、
検証者は、自身で必要な証明証を収集することになる
が、その際、CAやディレクトリ装置などの外部システ
ムにアクセスして取得する方法は、収集する必要がある
証明証が増加すると、検証時における通信量の増加や処
理時間の遅延が発生するなどの課題がある。一方、予め
検証者のローカルディスクに保存しておき、そこから取
得する方法は、検証時における通信量の増加や処理時間
の遅延は生じないものの、検証者が事前に全てのCAに
アクセスしてCA証明証を取得しておく必要があるた
め、検証者の初期処理が増加するという課題があった。
処理において、署名者が署名と共に検証者に送付した証
明証によって、検証者が信頼する最上位のCAの証明証
による検証まで辿り着けない場合、あるいは署名者が全
く経路検証に必要な証明証を添付してこなかった場合、
検証者は、自身で必要な証明証を収集することになる
が、その際、CAやディレクトリ装置などの外部システ
ムにアクセスして取得する方法は、収集する必要がある
証明証が増加すると、検証時における通信量の増加や処
理時間の遅延が発生するなどの課題がある。一方、予め
検証者のローカルディスクに保存しておき、そこから取
得する方法は、検証時における通信量の増加や処理時間
の遅延は生じないものの、検証者が事前に全てのCAに
アクセスしてCA証明証を取得しておく必要があるた
め、検証者の初期処理が増加するという課題があった。
【0006】
【課題を解決するための手段】上記に示した課題を解決
するため、この発明は、各経路検証処理において、署名
者装置が署名に添付した証明証と、検証者装置が必要に
応じてCA等の外部システムから取得した証明証を、検
証者装置が検証後にその記憶手段(ローカルディスク)
に保存し、これを以降の険路検証処理における証明証収
集処理時に、証明証の検証に用いる上位CAの証明証を
取得するための検索対象の証明証として用いる。
するため、この発明は、各経路検証処理において、署名
者装置が署名に添付した証明証と、検証者装置が必要に
応じてCA等の外部システムから取得した証明証を、検
証者装置が検証後にその記憶手段(ローカルディスク)
に保存し、これを以降の険路検証処理における証明証収
集処理時に、証明証の検証に用いる上位CAの証明証を
取得するための検索対象の証明証として用いる。
【0007】この構成によれば、検証者装置が事前にC
A証明証を取得するといった初期処理を行うことなく、
経路検証処理に用いる証明証をローカルディスクへ保存
でき、かつこれによって検証者装置が必要な証明証を収
集する際の外部システムへのアクセス頻度が軽減され
る。
A証明証を取得するといった初期処理を行うことなく、
経路検証処理に用いる証明証をローカルディスクへ保存
でき、かつこれによって検証者装置が必要な証明証を収
集する際の外部システムへのアクセス頻度が軽減され
る。
【0008】
【発明の実施の形態】図1に、この発明の装置の機能構
成を示す。検証者装置1内にこの発明の経路検証装置1
0が設けられ、経路検証装置10は機能構成要素として
以下の手段を備えている。 ・署名データ解析手段11 署名者装置から送付されてきた署名データから証明証を
取得する。 ・証明証経路検証手段12 証明証内に示されたその証明証の検証に用いる上位CA
の証明証識別子に相当するCA証明証を収集しながら、
署名者の証明証から順次、証明証を発行した上位CAの
証明証の検証を行い、最終的に検証者が信頼するCA証
明証による下位CAの証明証の検証まで辿り着くことを
確認する。 ・経路証明証検索手段13 証明証経路検証手段12で必要となったCA証明証を、
署名データ解析手段11で取得された証明証と記憶手段
(以下ローカルディスクと呼ぶ)14に保存された証明
証とから検索する。 ・CA/ディレクトリアクセス手段15 経路証明証検索手段13で、必要な証明証が検索されな
かった場合に、CAあるいは証明証が格納されているデ
ィレクトリ装置にアクセスして必要な証明証を取得す
る。 ・経路証明証保存手段16 証明証経路検証手段12によって確立された、署名者装
置の証明証から検証者が信頼する証明証までの経路上の
CA証明証をローカルディスク14に保存する。この場
合、例えば証明証識別子をキーとして保存し、すでに保
存済みの証明証は重複保存しない。 ・証明証解析部17 各証明証内に示されているその証明証の検証に用いる上
位CAの証明証識別子を取得する。 ・署名検証部18 証明証の署名検証を上位CA証明証を用いて行う。 ・制御部19 経路検証装置10内の各部を順次動作させる。経路証明
証検索手段13、CA/ディレクトリアクセス手段1
5、証明証解析部17、署名検証部18は証明証経路検
証手段12に含まれるものである。
成を示す。検証者装置1内にこの発明の経路検証装置1
0が設けられ、経路検証装置10は機能構成要素として
以下の手段を備えている。 ・署名データ解析手段11 署名者装置から送付されてきた署名データから証明証を
取得する。 ・証明証経路検証手段12 証明証内に示されたその証明証の検証に用いる上位CA
の証明証識別子に相当するCA証明証を収集しながら、
署名者の証明証から順次、証明証を発行した上位CAの
証明証の検証を行い、最終的に検証者が信頼するCA証
明証による下位CAの証明証の検証まで辿り着くことを
確認する。 ・経路証明証検索手段13 証明証経路検証手段12で必要となったCA証明証を、
署名データ解析手段11で取得された証明証と記憶手段
(以下ローカルディスクと呼ぶ)14に保存された証明
証とから検索する。 ・CA/ディレクトリアクセス手段15 経路証明証検索手段13で、必要な証明証が検索されな
かった場合に、CAあるいは証明証が格納されているデ
ィレクトリ装置にアクセスして必要な証明証を取得す
る。 ・経路証明証保存手段16 証明証経路検証手段12によって確立された、署名者装
置の証明証から検証者が信頼する証明証までの経路上の
CA証明証をローカルディスク14に保存する。この場
合、例えば証明証識別子をキーとして保存し、すでに保
存済みの証明証は重複保存しない。 ・証明証解析部17 各証明証内に示されているその証明証の検証に用いる上
位CAの証明証識別子を取得する。 ・署名検証部18 証明証の署名検証を上位CA証明証を用いて行う。 ・制御部19 経路検証装置10内の各部を順次動作させる。経路証明
証検索手段13、CA/ディレクトリアクセス手段1
5、証明証解析部17、署名検証部18は証明証経路検
証手段12に含まれるものである。
【0009】次に、図1に示した経路検証装置10を用
いた経路検証処理の流れを、図2を用いて説明する。検
証者装置1が、署名者装置から署名データを受理し、署
名を検証するために用いる署名者の公開鍵証明証の正当
性を確認する際の1処理である経路検証処理において、
S1 署名データ解析手段11を用いて、受理した署名
データから経路検証処理に用いる証明証を取得する。
いた経路検証処理の流れを、図2を用いて説明する。検
証者装置1が、署名者装置から署名データを受理し、署
名を検証するために用いる署名者の公開鍵証明証の正当
性を確認する際の1処理である経路検証処理において、
S1 署名データ解析手段11を用いて、受理した署名
データから経路検証処理に用いる証明証を取得する。
【0010】S2 証明証経路検証手段12を用いて、
ステップS1で取得した証明証から署名者装置の証明証
を選択し、その証明証内に示されている証明証の検証に
用いる上位CAの証明証識別子を取得し(S3)、その
識別子に相当するCA証明証を収集し(S4)、これを
用いて署名者の証明証に付与された署名の検証を行う
(S5)。そしてこの検証が終了すると、最終的に検証
者が信頼するCA証明証による下位CAの証明証の検証
まで辿り着いたか否かを確認し(S6)、辿り着いてい
なければステップS3に戻り、続いて、署名者の証明証
を発行したCAの証明証内から、その証明証の検証に用
いる更に上位のCAの証明証識別子を取得し、その識別
子に相当するCA証明証を収集して検証するといった処
理を、順次、上位のCAの証明証に対して行う。
ステップS1で取得した証明証から署名者装置の証明証
を選択し、その証明証内に示されている証明証の検証に
用いる上位CAの証明証識別子を取得し(S3)、その
識別子に相当するCA証明証を収集し(S4)、これを
用いて署名者の証明証に付与された署名の検証を行う
(S5)。そしてこの検証が終了すると、最終的に検証
者が信頼するCA証明証による下位CAの証明証の検証
まで辿り着いたか否かを確認し(S6)、辿り着いてい
なければステップS3に戻り、続いて、署名者の証明証
を発行したCAの証明証内から、その証明証の検証に用
いる更に上位のCAの証明証識別子を取得し、その識別
子に相当するCA証明証を収集して検証するといった処
理を、順次、上位のCAの証明証に対して行う。
【0011】S4−1 ステップS4の処理において、
証明証の検証に用いる上位CAの証明証識別子に相当す
るCA証明証を収集する際には、まず、経路証明証検索
手段13を用いて、ステップS1で取得された証明証と
ローカルディスク14に保存された証明証から検索す
る。なお検証者が信頼するCA証明証は例えばローカル
ディスク14内に予め格納されてある。 S4−2 ステップS4−1の処理において、証明証の
検証に用いる上位CAの証明証識別子に相当するCA証
明証が検索されなかった場合、CA/ディレクトリアク
セス手段15を用いて、CAあるいはディレクトリ装置
から検索対象の証明証を取得する。
証明証の検証に用いる上位CAの証明証識別子に相当す
るCA証明証を収集する際には、まず、経路証明証検索
手段13を用いて、ステップS1で取得された証明証と
ローカルディスク14に保存された証明証から検索す
る。なお検証者が信頼するCA証明証は例えばローカル
ディスク14内に予め格納されてある。 S4−2 ステップS4−1の処理において、証明証の
検証に用いる上位CAの証明証識別子に相当するCA証
明証が検索されなかった場合、CA/ディレクトリアク
セス手段15を用いて、CAあるいはディレクトリ装置
から検索対象の証明証を取得する。
【0012】S7 ステップS2の処理において、ステ
ップS6で検証者が信頼するCA証明証による下位CA
の証明証の検証まで辿り着いたことが確認されると、経
路証明証保存手段16を用いて、署名者の証明証から検
証者が信頼する証明証までの経路上のCA証明証をロー
カルディスク14に保存し、経路検証処理を終了する。
CA証明証の保存に際し、すでに同一の証明証が保存済
みである場合には重複保存は行わない。以上に示した処
理方法およびそれらが呼び出す手段を用いることによ
り、経路検証処理によって一度検証された経路上の証明
証群が自動的にローカルディスク14に保存され、以降
の経路検証処理において証明証の検証に用いる上位CA
の証明証を取得するための検索対象の証明証となるた
め、検証者装置が事前にCA証明証を取得するといった
初期処理を行うことなく、経路検証処理に用いる証明証
をローカルディスク14へ保存できるとともに、経路検
証処理における外部システムへのアクセス頻度の軽減が
可能となる。実施例 この発明の実施例を、図3、図4を用いて説明する。図
3は、この実施例における説明で想定するCA構成と、
各CAが発行した証明証の様子である。検証者が信頼す
るCAの証明証は、CA1の証明証31-1 であり、この
証明証31-1 は検証者装置1内に保持されているものと
する。検証者装置1、署名者Aの装置2A、署名者Bの
装置2Bの認証局装置CA1,CA2,CA3が設けら
れており、認証局装置CA1が最上位の局であり、この
下に認証局装置CA2及びCA3が所属している。各認
証局はこれに属する下位局の公開鍵の証明証3を発行す
る。図3において、各証明証3を示す枠内の上欄は証明
内容記述部3aであり下欄は識別子記述部3bであり、
証明内容記述部3a中に示す装置名の公開鍵は証明証
を、識別子記述部3b中に示す装置名(識別子)の認証
局装置が発行したものであることを示している。例えば
証明証32-1 は認証局装置CA2の公開鍵証明証を認証
局装置CA1が発行したものであることを示している。
ップS6で検証者が信頼するCA証明証による下位CA
の証明証の検証まで辿り着いたことが確認されると、経
路証明証保存手段16を用いて、署名者の証明証から検
証者が信頼する証明証までの経路上のCA証明証をロー
カルディスク14に保存し、経路検証処理を終了する。
CA証明証の保存に際し、すでに同一の証明証が保存済
みである場合には重複保存は行わない。以上に示した処
理方法およびそれらが呼び出す手段を用いることによ
り、経路検証処理によって一度検証された経路上の証明
証群が自動的にローカルディスク14に保存され、以降
の経路検証処理において証明証の検証に用いる上位CA
の証明証を取得するための検索対象の証明証となるた
め、検証者装置が事前にCA証明証を取得するといった
初期処理を行うことなく、経路検証処理に用いる証明証
をローカルディスク14へ保存できるとともに、経路検
証処理における外部システムへのアクセス頻度の軽減が
可能となる。実施例 この発明の実施例を、図3、図4を用いて説明する。図
3は、この実施例における説明で想定するCA構成と、
各CAが発行した証明証の様子である。検証者が信頼す
るCAの証明証は、CA1の証明証31-1 であり、この
証明証31-1 は検証者装置1内に保持されているものと
する。検証者装置1、署名者Aの装置2A、署名者Bの
装置2Bの認証局装置CA1,CA2,CA3が設けら
れており、認証局装置CA1が最上位の局であり、この
下に認証局装置CA2及びCA3が所属している。各認
証局はこれに属する下位局の公開鍵の証明証3を発行す
る。図3において、各証明証3を示す枠内の上欄は証明
内容記述部3aであり下欄は識別子記述部3bであり、
証明内容記述部3a中に示す装置名の公開鍵は証明証
を、識別子記述部3b中に示す装置名(識別子)の認証
局装置が発行したものであることを示している。例えば
証明証32-1 は認証局装置CA2の公開鍵証明証を認証
局装置CA1が発行したものであることを示している。
【0013】署名者装置2が送出する署名データは少く
とも文書Mとその文書Mに対する署名Sを含み、更にそ
の署名Sの検証に必要な証明証3を含む場合もある。図
3の例では署名者A装置2Aからの署名データ4Aは証
明証3A-2 と32-1 を含み、署名者B装置2Bからの署
名データ4Bは証明証3B-2 を含む。検証者装置1が、
署名者A装置2Aから署名データ4Aを受理し、署名を
検証するために用いる署名者Aの公開鍵証明証の正当性
を確認する際の1処理である経路検証処理を以下のよう
に行う(図4参照)。
とも文書Mとその文書Mに対する署名Sを含み、更にそ
の署名Sの検証に必要な証明証3を含む場合もある。図
3の例では署名者A装置2Aからの署名データ4Aは証
明証3A-2 と32-1 を含み、署名者B装置2Bからの署
名データ4Bは証明証3B-2 を含む。検証者装置1が、
署名者A装置2Aから署名データ4Aを受理し、署名を
検証するために用いる署名者Aの公開鍵証明証の正当性
を確認する際の1処理である経路検証処理を以下のよう
に行う(図4参照)。
【0014】S1 署名データ解析手段11(図1)を
用いて、署名データ4A内から、経路検証処理に用いる
証明証を取得する。この実施例では、署名者Aの証明証
3A- 2 ,CA2の証明証32-1 が署名データ4Aから取
得できたものとして説明を進める。また、署名データ解
析手段11は、予め定義されたデータ構造に基づいてデ
ータ内に格納された特定の情報を取得する機能であり、
コンピュータシステムにおいて一般的に利用される機能
である。 S2 ステップS1で取得した証明証3A-2 ,32-1 の
中から、署名者Aの証明証3A-2 を選択し、証明証解析
部17(図1)を用いて、その証明証3A-2 内に示され
ている、その証明証の検証に用いる上位CAの証明証識
別子を取得する。この実施例では、CA2の証明証識別
子が取得されることになる。また、証明証解析部17
は、ITUで標準化されたX.509形式の証明証に含
まれる各情報を取得する機能であり、PKI(Public K
ey Infrastructure)(X.509形式の証明証を用い
る基盤)上で動作する装置において一般的に利用される
機能である。
用いて、署名データ4A内から、経路検証処理に用いる
証明証を取得する。この実施例では、署名者Aの証明証
3A- 2 ,CA2の証明証32-1 が署名データ4Aから取
得できたものとして説明を進める。また、署名データ解
析手段11は、予め定義されたデータ構造に基づいてデ
ータ内に格納された特定の情報を取得する機能であり、
コンピュータシステムにおいて一般的に利用される機能
である。 S2 ステップS1で取得した証明証3A-2 ,32-1 の
中から、署名者Aの証明証3A-2 を選択し、証明証解析
部17(図1)を用いて、その証明証3A-2 内に示され
ている、その証明証の検証に用いる上位CAの証明証識
別子を取得する。この実施例では、CA2の証明証識別
子が取得されることになる。また、証明証解析部17
は、ITUで標準化されたX.509形式の証明証に含
まれる各情報を取得する機能であり、PKI(Public K
ey Infrastructure)(X.509形式の証明証を用い
る基盤)上で動作する装置において一般的に利用される
機能である。
【0015】S3 ステップS2で取得された上位CA
2の証明証識別子に相当するCA証明証32-1 、つまり
CA2が発行した署名者Aの証明証3A-2 の検証に用い
るため証明証32-1 を、経路証明証(データ)検索手段
13及び証明証解析部17を用いて、ステップS1で取
得した証明証とローカルディスク14に保存された証明
証とから検索する。また、この検索処理によって検索さ
れなかった場合には、対象証明証をCA/ディレクトリ
アクセス手段15を用いて、CAあるいはディレクトリ
装置から取得する。この実施例では、CA2の証明証3
2-1 がステップS1で取得した証明証から検索されるこ
とになる。また、経路証明証(データ)検索手段13
は、指定したい検索条件に合致するデータを複数のデー
タ群の中から検索する機能であり、コンピュータシステ
ムで一般的に利用される機能である。また、CA/ディ
レクトリアクセス手段15は、例えば、LDAP(Ligh
t-weight Directory Access Protocol)のプロトコルを
用いたディレクトリアクセス機能などは、PKI上で動
作する装置において一般的に利用されている機能であ
る。
2の証明証識別子に相当するCA証明証32-1 、つまり
CA2が発行した署名者Aの証明証3A-2 の検証に用い
るため証明証32-1 を、経路証明証(データ)検索手段
13及び証明証解析部17を用いて、ステップS1で取
得した証明証とローカルディスク14に保存された証明
証とから検索する。また、この検索処理によって検索さ
れなかった場合には、対象証明証をCA/ディレクトリ
アクセス手段15を用いて、CAあるいはディレクトリ
装置から取得する。この実施例では、CA2の証明証3
2-1 がステップS1で取得した証明証から検索されるこ
とになる。また、経路証明証(データ)検索手段13
は、指定したい検索条件に合致するデータを複数のデー
タ群の中から検索する機能であり、コンピュータシステ
ムで一般的に利用される機能である。また、CA/ディ
レクトリアクセス手段15は、例えば、LDAP(Ligh
t-weight Directory Access Protocol)のプロトコルを
用いたディレクトリアクセス機能などは、PKI上で動
作する装置において一般的に利用されている機能であ
る。
【0016】S4 ステップS3で取得されたCA2の
証明証32-1 を用いて、署名検証部18により署名者A
の証明証3A-2 の署名検証を行う。署名検証部18は、
公開鍵証明証内に含まれる公開鍵を用いて電子署名を検
証する機能であり、PKI(Public Key Infrastructur
e)上で動作する装置において一般的に利用される機能
である。 S5 続いてCA2の証明証32-1 に対して、ステップ
S2と同様な処理を行う。この実施例では、CA2の証
明証32-1 内から、証明証の検証に用いる上位CAの証
明証識別子としてCA1の証明証識別子が取得される。
証明証32-1 を用いて、署名検証部18により署名者A
の証明証3A-2 の署名検証を行う。署名検証部18は、
公開鍵証明証内に含まれる公開鍵を用いて電子署名を検
証する機能であり、PKI(Public Key Infrastructur
e)上で動作する装置において一般的に利用される機能
である。 S5 続いてCA2の証明証32-1 に対して、ステップ
S2と同様な処理を行う。この実施例では、CA2の証
明証32-1 内から、証明証の検証に用いる上位CAの証
明証識別子としてCA1の証明証識別子が取得される。
【0017】S6 ステップS5で取得された上位CA
1の証明証識別子に相当するCA証明証31-1 は、検証
者が信頼するCA1の証明証31-1 と合致するため、検
証者装置1が保持する信頼するCA証明証31-1 を用い
て、ステップS4と同様に、署名検証部18により、C
A2の証明証32-1 の署名検証を行う。この検証が正常
終了することによって、経路検証処理において、検証者
が信頼するCA1の証明証31-1 まで辿り着けたことに
なる。 S7 ステップS6までの経路検証処理により検証され
た経路上のCA証明証32-1 を、経路証明証(データ)
保存手段16を用いてローカルディスク14に保存す
る。この実施例では、CA2の証明証32-1 がローカル
ディスク14に保存されることになる。データ保存手段
16は、データを2次記憶媒体に記録するための機能で
あり、コンピュータシステムにおいて一般的に利用され
る機能である。なお、経路検証処理により検証された経
路上のCA証明証は例えば署名検証部18又は経路証明
証保存手段16のバッファメモリに一時蓄えておき、検
証者の信頼するCA証明証による検証が終了すると、ロ
ーカルディスク14に証明証識別子をキーとして記憶す
る。
1の証明証識別子に相当するCA証明証31-1 は、検証
者が信頼するCA1の証明証31-1 と合致するため、検
証者装置1が保持する信頼するCA証明証31-1 を用い
て、ステップS4と同様に、署名検証部18により、C
A2の証明証32-1 の署名検証を行う。この検証が正常
終了することによって、経路検証処理において、検証者
が信頼するCA1の証明証31-1 まで辿り着けたことに
なる。 S7 ステップS6までの経路検証処理により検証され
た経路上のCA証明証32-1 を、経路証明証(データ)
保存手段16を用いてローカルディスク14に保存す
る。この実施例では、CA2の証明証32-1 がローカル
ディスク14に保存されることになる。データ保存手段
16は、データを2次記憶媒体に記録するための機能で
あり、コンピュータシステムにおいて一般的に利用され
る機能である。なお、経路検証処理により検証された経
路上のCA証明証は例えば署名検証部18又は経路証明
証保存手段16のバッファメモリに一時蓄えておき、検
証者の信頼するCA証明証による検証が終了すると、ロ
ーカルディスク14に証明証識別子をキーとして記憶す
る。
【0018】続いて、図3における検証者装置1が、署
名者B装置2Bから署名データ4Bを受理し、署名を検
証するために用いる署名者の公開鍵証明証の正当性を確
認する際の1処理である経路検証処理を図5を参照して
以下に行う。 S8 図4のステップS1と同様に、データ解析手段1
1を用いて、署名データ4B内から、経路検証処理に用
いる証明証を取得する。この実施例では、署名者Bの証
明証3B-2 のみが署名データ4Bから取得できたものと
して説明を進める。
名者B装置2Bから署名データ4Bを受理し、署名を検
証するために用いる署名者の公開鍵証明証の正当性を確
認する際の1処理である経路検証処理を図5を参照して
以下に行う。 S8 図4のステップS1と同様に、データ解析手段1
1を用いて、署名データ4B内から、経路検証処理に用
いる証明証を取得する。この実施例では、署名者Bの証
明証3B-2 のみが署名データ4Bから取得できたものと
して説明を進める。
【0019】S9 図4のステップS2と同様に、ステ
ップS8で取得した証明証の中から、署名者Bの証明証
3B-2 を選択し、証明証解析部17を用いて、その証明
証内に示されている証明証の検証に用いる上位CAの証
明証識別子を取得する。この実施例では、CA2の証明
証識別子が取得されることになる。 S10 ステップS9で取得された上位CA(CA2)
の証明証識別子に相当するCA証明証32-1 を、データ
検索手段13及び証明証解析部17を用いて、ステップ
S8で取得した証明証とローカルディスク14に保存さ
れた証明証から検索する。また、この検索処理によって
検索されなかった場合には、対象証明証をCA/ディレ
クトリアクセス手段15を用いて、CAあるいはディレ
クトリ装置から取得する。この実施例では、署名データ
4Aに対する処理の際に証明証3 2-1 がローカルディス
ク14に格納されているため、CA2の証明証32-1 が
ローカルディスク14から検索されることになる。
ップS8で取得した証明証の中から、署名者Bの証明証
3B-2 を選択し、証明証解析部17を用いて、その証明
証内に示されている証明証の検証に用いる上位CAの証
明証識別子を取得する。この実施例では、CA2の証明
証識別子が取得されることになる。 S10 ステップS9で取得された上位CA(CA2)
の証明証識別子に相当するCA証明証32-1 を、データ
検索手段13及び証明証解析部17を用いて、ステップ
S8で取得した証明証とローカルディスク14に保存さ
れた証明証から検索する。また、この検索処理によって
検索されなかった場合には、対象証明証をCA/ディレ
クトリアクセス手段15を用いて、CAあるいはディレ
クトリ装置から取得する。この実施例では、署名データ
4Aに対する処理の際に証明証3 2-1 がローカルディス
ク14に格納されているため、CA2の証明証32-1 が
ローカルディスク14から検索されることになる。
【0020】S11 以降の処理は図4中のステップS
4〜S6の処理を行う。 S12 署名者Bの証明証3B-2 から検証者の信頼する
CA証明証31-1 までの経路上のCA証明証をデータ保
存手段16を用いてローカルディスク14に保存する。
この実施例では、CA2の証明証32-1 は既に保存済み
であるため、証明証32-1 の保存を行わないか、上書き
保存する。 以上により、署名者Aの署名データ4Aの証明証の経路
検証処理によって検証された経路上の証明証であるCA
2の証明証32-1 が自動的にローカルディスク14に保
存され、これらが、その後行われた署名者Bの署名デー
タ4Bの証明証の経路検証処理に利用されることによっ
て、署名者B装置2Bが送付した署名データ4BにはC
A2の証明証32-1 が無かったにもかかわらず、検証者
装置1は外部システムへアクセスすることなく経路検証
処理が可能となるため、検証者装置1が事前に全てのC
A証明証を取得するといった初期処理を行うことなく、
経路検証処理に用いる証明証をローカルディスクへ保存
でき、かつ、経路検証処理における外部システムへのア
クセス頻度の軽減の実現が図れる。
4〜S6の処理を行う。 S12 署名者Bの証明証3B-2 から検証者の信頼する
CA証明証31-1 までの経路上のCA証明証をデータ保
存手段16を用いてローカルディスク14に保存する。
この実施例では、CA2の証明証32-1 は既に保存済み
であるため、証明証32-1 の保存を行わないか、上書き
保存する。 以上により、署名者Aの署名データ4Aの証明証の経路
検証処理によって検証された経路上の証明証であるCA
2の証明証32-1 が自動的にローカルディスク14に保
存され、これらが、その後行われた署名者Bの署名デー
タ4Bの証明証の経路検証処理に利用されることによっ
て、署名者B装置2Bが送付した署名データ4BにはC
A2の証明証32-1 が無かったにもかかわらず、検証者
装置1は外部システムへアクセスすることなく経路検証
処理が可能となるため、検証者装置1が事前に全てのC
A証明証を取得するといった初期処理を行うことなく、
経路検証処理に用いる証明証をローカルディスクへ保存
でき、かつ、経路検証処理における外部システムへのア
クセス頻度の軽減の実現が図れる。
【0021】図1に示したこの発明の経路検証装置はコ
ンピュータによりプログラムを実行させて機能させるこ
ともできる。つまり、図2に示した経路検証方法をコン
ピュータに実行させるための経路検証方法プログラム
を、CD−ROM、可撓性磁気ディスクなどからコンピ
ュータにインストールしたり、通信回線を介してダウン
ロードして実行させればよい。
ンピュータによりプログラムを実行させて機能させるこ
ともできる。つまり、図2に示した経路検証方法をコン
ピュータに実行させるための経路検証方法プログラム
を、CD−ROM、可撓性磁気ディスクなどからコンピ
ュータにインストールしたり、通信回線を介してダウン
ロードして実行させればよい。
【0022】
【発明の効果】この発明によれば経路検証処理によって
一度検証された経路上の証明証が自動的にローカルディ
スク(記憶手段)に保存され、これが以降の経路検証処
理において証明証の検証に用いる上位CAの証明証を取
得するための検索対象の証明証となるため、検証者装置
が事前に全CA証明証を取得するといった初期処理を行
うことなく、経路検証処理に用いる証明証をローカルデ
ィスク(記憶手段)へ保存できるとともに、経路検証処
理における外部システムへのアクセス頻度の軽減が可能
となる。
一度検証された経路上の証明証が自動的にローカルディ
スク(記憶手段)に保存され、これが以降の経路検証処
理において証明証の検証に用いる上位CAの証明証を取
得するための検索対象の証明証となるため、検証者装置
が事前に全CA証明証を取得するといった初期処理を行
うことなく、経路検証処理に用いる証明証をローカルデ
ィスク(記憶手段)へ保存できるとともに、経路検証処
理における外部システムへのアクセス頻度の軽減が可能
となる。
【図1】この発明の装置の実施例の機能構成を示す図。
【図2】この発明による経路検証方法の手順の例を示す
流れ図。
流れ図。
【図3】この発明を用いた経路検証処理の実施例を説明
するために想定した階層型CA構成例を示す図。
するために想定した階層型CA構成例を示す図。
【図4】この発明を用いた経路検証方法の実施例を示す
流れ図。
流れ図。
【図5】図4の続きを示す流れ図。
─────────────────────────────────────────────────────
フロントページの続き
Fターム(参考) 5B075 KK02 KK07 KK41 ND20 ND35
UU40
5J104 AA06 JA21 MA04 NA02
Claims (2)
- 【請求項1】 入力された署名データから公開鍵証明証
(以下単に証明証と書く)を取得するための署名データ
解析手段と、 証明証内に示された、その証明証の検証に用いる上位の
認証局装置(以下CAと書く)の証明証識別子を持つC
A証明証を収集しながら、署名者の証明証から順次、証
明証を発行した上位CAの証明証の検証を行い、最終的
に検証者が信頼するCAの証明証による下位CAの証明
証の検証まで辿り着くことを確認するための証明証経路
検証手段と、 その証明証経路検証手段で必要となったCAの証明証
を、上記署名データ解析手段で取得された証明証と記憶
手段に保存された証明証から検索するための経路証明証
検索手段と、 その経路証明証検索手段で、必要な証明証が検索されな
かった場合に、CAあるいはCA証明証を格納したディ
レクトリ装置にアクセスして必要な証明証を取得するた
めのCA/ディレクトリアクセス手段と、 上記証明証経路検証手段によって確立された、上記署名
者の証明証から検証者が信頼する証明証までの経路上の
CA証明証を前記記憶手段に保存するための経路証明証
保存手段とを具備することを特徴とする公開鍵証明証の
経路検証装置。 - 【請求項2】 署名データの公開鍵証明証(以下単に証
明証と書く)の正当性を確認する際の公開鍵証明証経路
検証装置の経路検証方法において、 署名データから経路検証処理に用いる証明証を取得し、 下位の証明証を検証するための上位の認証局装置(以下
CAと書く)の証明証を収集後に、これを用いて下位の
証明証の検証を行う処理を、順次上位CAの証明証に対
して、上位CAの証明証として検証者が信頼するCA証
明証が下位の証明証の検証に利用されるまで行い、 前記上位CAの証明証を収集する際には、まず署名デー
タから取得された証明証と記憶手段に保存された証明証
から検索し、ここで検索されなかった場合には、CAあ
るいは証明証が格納されているディレクトリ装置から検
証対象の証明証を取得し、 最終的に検証者が信頼するCA証明証を用いて下位の証
明証の検証が終了した際に、署名者の証明証から検証者
が信頼する証明証までの経路上のCA証明証を前記記憶
手段に保存することを特徴とする公開鍵証明証の経路検
証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001306015A JP2003107994A (ja) | 2001-10-02 | 2001-10-02 | 公開鍵証明証の経路検証装置及び経路検証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001306015A JP2003107994A (ja) | 2001-10-02 | 2001-10-02 | 公開鍵証明証の経路検証装置及び経路検証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003107994A true JP2003107994A (ja) | 2003-04-11 |
Family
ID=19125720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001306015A Pending JP2003107994A (ja) | 2001-10-02 | 2001-10-02 | 公開鍵証明証の経路検証装置及び経路検証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003107994A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006025162A (ja) * | 2004-07-08 | 2006-01-26 | Hitachi Ltd | トランザクションに基づく証明書検証情報管理方法 |
| JP2008520036A (ja) * | 2004-11-12 | 2008-06-12 | コンテントガード ホールディングズ インコーポレイテッド | 権利表現の発行が許可されていることを確認するための方法、システム、および装置 |
| JP2008177949A (ja) * | 2007-01-19 | 2008-07-31 | Seiko Epson Corp | 認証装置及び方法 |
| JP2009514254A (ja) * | 2003-06-24 | 2009-04-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 分散型アプリケーション環境においてサーバを認証するための方法およびシステム |
| JP2011118929A (ja) * | 2011-02-28 | 2011-06-16 | Contentguard Holdings Inc | 権利表現チェーンを判断する方法及び装置 |
| US8074066B2 (en) | 2004-05-05 | 2011-12-06 | Research In Motion Limited | System and method for sending secure messages |
-
2001
- 2001-10-02 JP JP2001306015A patent/JP2003107994A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009514254A (ja) * | 2003-06-24 | 2009-04-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 分散型アプリケーション環境においてサーバを認証するための方法およびシステム |
| US8990415B2 (en) | 2003-06-24 | 2015-03-24 | International Business Machines Corporation | Method and system for authenticating servers in a distributed application environment |
| US8074066B2 (en) | 2004-05-05 | 2011-12-06 | Research In Motion Limited | System and method for sending secure messages |
| JP2006025162A (ja) * | 2004-07-08 | 2006-01-26 | Hitachi Ltd | トランザクションに基づく証明書検証情報管理方法 |
| JP4543789B2 (ja) * | 2004-07-08 | 2010-09-15 | 株式会社日立製作所 | トランザクションに基づく証明書検証情報管理方法 |
| JP2008520036A (ja) * | 2004-11-12 | 2008-06-12 | コンテントガード ホールディングズ インコーポレイテッド | 権利表現の発行が許可されていることを確認するための方法、システム、および装置 |
| JP2008177949A (ja) * | 2007-01-19 | 2008-07-31 | Seiko Epson Corp | 認証装置及び方法 |
| JP2011118929A (ja) * | 2011-02-28 | 2011-06-16 | Contentguard Holdings Inc | 権利表現チェーンを判断する方法及び装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4173866B2 (ja) | 通信装置 | |
| US6259909B1 (en) | Method for securing access to a remote system | |
| US8006084B2 (en) | Apparatus and method for managing plurality of certificates | |
| CN110069908A (zh) | 一种区块链的权限控制方法及装置 | |
| JP5276592B2 (ja) | ネットワーク・アクセスを獲得するためのシステムおよび方法 | |
| BRPI0710114A2 (pt) | método e sistema para descobertar de número de telefone e autenticação de numero de telefone para dispositivos de comunicação móvel | |
| CN109417545A (zh) | 用于下载网络接入简档的技术 | |
| CN101772771A (zh) | 用于通信系统中的远程消息证实的方法 | |
| JP2012515956A (ja) | 強化されたスマートクライアントサポートのためのシステム及びその方法 | |
| CN106685949A (zh) | 一种容器访问方法、装置以及系统 | |
| ES2353855T3 (es) | Procedimiento y dispositivo de autentificación de usuarios. | |
| CN112311779B (zh) | 应用于区块链系统的数据访问控制方法及装置 | |
| WO2023115913A1 (zh) | 认证方法、系统、电子设备和计算机可读存储介质 | |
| JP2003107994A (ja) | 公開鍵証明証の経路検証装置及び経路検証方法 | |
| JP2004021686A (ja) | 認証処理システム、認証処理装置、プログラム及び認証処理方法 | |
| CN209882108U (zh) | 一种用于手机终端安全接入信息网络的装置 | |
| JP6960362B2 (ja) | 認証システム及び認証方法 | |
| CN107704555B (zh) | 云计算环境下对导航数据使用嵌入式数据库存储的方法 | |
| KR20050010430A (ko) | 일회용 비밀번호를 이용한 사용자 인증 방법 및 그 시스템 | |
| JP4853357B2 (ja) | カラオケネットワークシステム | |
| JP2001069137A (ja) | 公開鍵証明証の発行方法並びに利用者の端末装置及び認証センタ並びにこれらのプログラムを記録した媒体 | |
| JP5053756B2 (ja) | 証明書検証サーバ、証明書検証方法、および証明書検証プログラム | |
| CN107704775A (zh) | 对数据导航信息进行aes加密存储的方法 | |
| JP7474882B2 (ja) | 情報処理システム、及び情報処理方法 | |
| JP2003058049A (ja) | 属性証明書無効化方法、属性認証装置、及びそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040312 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050906 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060110 |