JP2003152715A - Certification revocation information acquisition method and device, certification revocation information acquisition program, and storage medium for storing the certification revocation information acquisition program - Google Patents
Certification revocation information acquisition method and device, certification revocation information acquisition program, and storage medium for storing the certification revocation information acquisition programInfo
- Publication number
- JP2003152715A JP2003152715A JP2001352173A JP2001352173A JP2003152715A JP 2003152715 A JP2003152715 A JP 2003152715A JP 2001352173 A JP2001352173 A JP 2001352173A JP 2001352173 A JP2001352173 A JP 2001352173A JP 2003152715 A JP2003152715 A JP 2003152715A
- Authority
- JP
- Japan
- Prior art keywords
- crl
- acquisition
- timing
- update date
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、失効証明証情報取
得方法及び装置及び失効証明証情報取得プログラム及び
失効証明証情報取得プログラムを格納した記憶媒体に係
り、特に、コンピュータネットワーク上で安全かつ確実
なEDI(電子データ王冠)やEC(電商品取引)を実
現するために、公開鍵暗号を用いた電子署名通信や暗号
通信技術において必要となる、公開証明証の有効性を検
証するための失効証明証情報取得方法及び装置及び失効
証明証情報取得プログラム及び失効証明証情報取得プロ
グラムを格納した記憶媒体に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a revocation certificate information acquisition method and apparatus, a revocation certificate information acquisition program, and a storage medium storing the revocation certificate information acquisition program, and more particularly, to a safe and reliable computer network. To verify the validity of the public certificate, which is necessary in digital signature communication and cryptographic communication technology using public key cryptography in order to realize various EDI (electronic data crown) and EC (electronic product transaction) The present invention relates to a certificate information acquisition method and device, a revocation certificate information acquisition program, and a storage medium storing the revocation certificate information acquisition program.
【0002】[0002]
【従来の技術】従来、公開鍵暗号を用いた電子署名技術
や暗号通信技術により、利用者の本人確認や、通信路に
おける改竄の有無の確認及び、盗聴の防止等を行なうシ
ステム(以下、検証者)では、その際に用いられる公開
鍵が、確かに通信相手の公開鍵であることを確認する必
要があり、通常、この公開鍵の所有者を確認する方法と
して、CA(Certificaition Authority:認証局) が発行
する公開鍵証明証を用いる方法が利用される。この方法
では、まず、通信相手の公開鍵証明証を取得し、取得し
た公開鍵証明証に付与されたCAの署名や、証明証チェ
ーンの検証を行なうことにより、公開鍵証明証の発行者
の信頼性を確認する。そして、さらに、対象公開鍵証明
証がCAによって無効化されていないことを確認するこ
とにより、取得した公開鍵証明証が有効で信頼ある証明
証であることの判断が可能となる。ここで、検証者が公
開鍵証明証の無効化の有無を確認する1つの方法とし
て、図7に示すように、CAが発行するCRL(Certifi
cation Revocation List: 失効証明証リスト) をディレ
クトリ等から取得し、そのリスト内に検証対象の公開鍵
証明証の情報が掲載されているか否かを確認する方法が
ある。2. Description of the Related Art Conventionally, a system for verifying a user's identity, checking for falsification on a communication path, and preventing wiretapping by using digital signature technology and public communication technology using public key cryptography (hereinafter referred to as "verification"). It is necessary to confirm that the public key used at that time is indeed the public key of the communication partner, and as a method of confirming the owner of this public key, a CA (Certification Authority: The method using the public key certificate issued by the authority is used. In this method, first, the public key certificate of the communication partner is acquired, and the signature of the CA given to the acquired public key certificate and the verification of the certificate chain are performed to determine the public key certificate issuer. Check reliability. Further, by confirming that the target public key certificate has not been revoked by the CA, it is possible to judge that the obtained public key certificate is a valid and reliable certificate. Here, as one method for the verifier to confirm whether or not the public key certificate is revoked, as shown in FIG. 7, the CRL (Certifi) issued by the CA is used.
cation Revocation List: A revocation certificate list) can be obtained from a directory, etc., and it can be confirmed whether or not the public key certificate information to be verified is listed in the list.
【0003】CRLは、CAによって無効化された公開
鍵証明証の情報の一覧であり、CAは、公開鍵証明証の
無効化を行なうと、CAのポリシに基づくタイミングで
その無効化情報を反映した新しい(次版の)CRLを発
行する。The CRL is a list of public key certificate information that has been revoked by the CA, and when the CA revokes the public key certificate, the revocation information is reflected at a timing based on the CA policy. Issue a new (next edition) CRL.
【0004】そのため、検証者は、検証時に、できる限
り最近に発行されたCRLを取得して、これを用いて無
効化確認を行なうことが望ましいといえる。Therefore, it can be said that it is desirable for the verifier to acquire the CRL issued as recently as possible at the time of verification, and use this to perform the invalidation confirmation.
【0005】CRLの発行タイミングに関しては、通
常、CAは、発行するCRL内に「次回更新日時」を掲
載し、少なくともその日時までに新しいCRLを発行す
るという運用を行なう。そして検証者においては、CA
のこの運用に伴い、取得済のCRLに対し、それに掲載
の「次回更新日時」を越えてそれを無効化確認に利用し
ないという運用が行なわれる。Regarding the timing of issuing the CRL, the CA normally carries out an operation of posting the "next update date and time" in the issued CRL and issuing a new CRL by at least that date and time. And in the verifier, CA
With this operation, the acquired CRL is operated not to be used for confirmation of invalidation beyond the "next update date and time" posted on the CRL.
【0006】このようなCRLに関する運用が行なわれ
る状況において、検証者がCAから発行された最新のC
RLを取得するタイミングとしては、従来、次の2つが
ある。[0006] In such a situation where the operation related to the CRL is performed, the verifier has issued the latest C issued by the CA.
Conventionally, there are the following two timings for acquiring the RL.
【0007】(a) 取得済のCRLに掲載された「次
回更新日時」になった時点でCRLを取得:
(b) 署名検証を行なうタイミングで随時CRLを取
得:(A) Acquire the CRL when the "next update date / time" is posted on the acquired CRL: (b) Acquire the CRL at any time at the timing of signature verification:
【発明が解決しようとする課題】しかしながら、上記従
来の(a)に示すタイミングでCRLを取得する場合、
実際にはCAは、検証者が取得済のCRLに掲載された
「次回更新日時」よりも前に新しいCRLを発行してい
るため、その発行日時から「次回更新日時」までの間、
検証者は、最新でないCRLで無効化確認を行なうこと
になり、署名検証処理の信頼性が低下する可能性があ
る。そこで、実際にCAが新しいCRLを発行した日時
から、「次回更新日時」までの期間を「信頼性低下期
間」と呼ぶこととすると、この信頼性低下期間の長さ
は、図8に示すように、CAが新しいCRLを発行する
日時に依存するため、検証者は、これを自身で制御する
ことができないという問題がある。However, when the CRL is acquired at the timing shown in the above-mentioned conventional (a),
Actually, the CA issues a new CRL before the "next update date / time" posted on the CRL that the verifier has acquired, so between the issue date / time and "next update date / time",
The verifier will perform the invalidation confirmation with the latest CRL, and the reliability of the signature verification process may decrease. Therefore, when the period from the date and time when the CA actually issues a new CRL to the "next update date and time" is called the "reliability lowering period", the length of this reliability lowering period is as shown in FIG. In addition, since the CA depends on the date and time when a new CRL is issued, the verifier cannot control this by himself.
【0008】また、上記従来の(b)に示すタイミング
でCRLを取得する場合には、いつCAが新しいCRL
を発行していたとしても、署名検証時に常に最新のCR
Lが取得され、これを用いて無効化確認を行なうことが
できるため、上記の(a)のタイミングで取得する場合
のように、署名検証処理の信頼性が低下するということ
がなくなるものの、CRLを取得するためのCAやディ
レクトリ等の外部システムへのアクセス頻度が多く処理
負担が大きいという問題がある。Further, when the CRL is acquired at the timing shown in the above-mentioned conventional (b), when the CA has a new CRL.
Even if you have issued a
Since L is acquired and the invalidation confirmation can be performed using the L, the reliability of the signature verification process is not deteriorated as in the case of acquiring at the timing of (a) above, but the CRL is not used. There is a problem in that the frequency of access to an external system such as a CA or a directory for obtaining the information is large and the processing load is heavy.
【0009】従って、上記従来の方法では、検証者は、
CRLを取得するために、検証者自身で制御できない期
間長における署名検証処理の信頼性の低下を許容する
か、外部システムへの高頻度なアクセスを許容するかの
どちらかを選択しなければならなくなるという問題があ
る。Therefore, in the above conventional method, the verifier is
In order to obtain the CRL, it is necessary to select whether to allow the reliability of the signature verification process to be reduced for a period length that cannot be controlled by the verifier itself or to allow frequent access to an external system. There is a problem of disappearing.
【0010】本発明は、上記の点に鑑みなされたもの
で、CRLの取得において、取得したCRLを「次回更
新日時」を越えて無効化確認に利用しないという運用に
従いながらも、署名検証処理の信頼性低下期間の長さと
外部システムへのアクセス頻度を検証者自身が制御可能
とするための失効証明証情報取得方法及び装置及び失効
証明証情報取得プログラム及び失効証明証情報取得プロ
グラムを格納した記憶媒体を提供することを目的とす
る。The present invention has been made in view of the above points, and in the acquisition of the CRL, the signature verification process is performed while following the operation that the acquired CRL is not used for confirmation of invalidation beyond the "next update date and time". Revocation certificate information acquisition method and device, and revocation certificate information acquisition program, and memory storing revocation certificate information acquisition program for allowing verifier to control the length of reliability deterioration period and access frequency to external system The purpose is to provide a medium.
【0011】[0011]
【課題を解決するための手段】図1は、本発明の原理を
説明するための図である。FIG. 1 is a diagram for explaining the principle of the present invention.
【0012】本発明(請求項1)、公開鍵暗号を用いて
電子署名通信や暗号通信を行なう際に必要な、公開証明
証の無効化確認処理を行なうための失効証明証情報取得
方法において、初期設定として、CRLを取得するタイ
ミングを定義し(ステップ1)、システム動作時におい
て、定義したCRLを取得するタイミングの到来を監視
する(ステップ2)と共に、前回取得されたCRL内に
掲載された次回更新日時の到来を監視し(ステップ
3)、いずれかの到来が検知された時点で(ステップ
4,Yes)、CRLをディレクトリを含む外部システ
ムから取得して(ステップ5)、ローカルに保存する
(ステップ6)。According to the present invention (Claim 1), a revocation certificate information acquisition method for performing revocation confirmation processing of a public certificate, which is necessary when performing digital signature communication or encrypted communication using public key cryptography, As an initial setting, the timing to acquire the CRL is defined (step 1), the arrival of the defined timing to acquire the defined CRL is monitored during the system operation (step 2), and the CRL that was previously acquired is posted. The arrival of the next update date and time is monitored (step 3), and when any arrival is detected (step 4, Yes), the CRL is acquired from the external system including the directory (step 5) and stored locally. (Step 6).
【0013】図2は、本発明の原理構成図である。FIG. 2 is a block diagram showing the principle of the present invention.
【0014】本発明(請求項2)は、公開鍵暗号を用い
て電子署名通信や暗号通信を行なう際に必要な、公開証
明証の無効化確認処理を行なうための失効証明証情報取
得装置であって、CRLを取得するタイミングを定義す
るためのCRL取得タイミング定義手段11と、CRL
取得タイミング定義手段11で定義されたCRLの取得
のタイミングを監視するCRL取得タイミング監視手段
12と、前回取得されたCRL内に掲載された次回更新
日時の到来を監視する次回更新日時監視手段13と、C
RL取得タイミング監視手段12において取得タイミン
グが到来したか、または、次回更新日時監視手段13に
おいて次回更新日時が到来したことを検知した場合に、
CRLをディレクトリを含む外部システムから取得し、
ローカルに保存するCRL取得手段14とを有する。The present invention (Claim 2) is a revocation certificate information acquisition apparatus for performing a revocation confirmation process of a public certificate, which is necessary when performing electronic signature communication or encrypted communication using public key cryptography. CRL acquisition timing defining means 11 for defining the timing for acquiring the CRL, and CRL
CRL acquisition timing monitoring means 12 for monitoring the timing of CRL acquisition defined by the acquisition timing definition means 11, and next update date and time monitoring means 13 for monitoring the arrival of the next update date and time posted in the CRL acquired last time. , C
When the RL acquisition timing monitoring means 12 has reached the acquisition timing or the next update date / time monitoring means 13 has detected that the next update date / time has arrived,
Get the CRL from the external system, including the directory,
And CRL acquisition means 14 for locally storing.
【0015】本発明(請求項3)は、公開鍵暗号を用い
て電子署名通信や暗号通信を行なう際に必要な、公開証
明証の無効化確認処理を行なうための失効証明証情報取
得プログラムであって、CRLを取得するタイミングを
定義するためのCRL取得タイミング定義プロセスと、
CRL取得タイミング定義プロセスで定義されたCRL
の取得のタイミングを監視するCRL取得タイミング監
視プロセスと、前回取得されたCRL内に掲載された次
回更新日時の到来を監視する次回更新日時監視プロセス
と、CRL取得タイミング監視プロセスにおいて取得タ
イミングが到来したか、または、次回更新日時監視プロ
セスにおいて次回更新日時が到来したことを検知した場
合に、CRLをディレクトリを含む外部システムから取
得し、ローカルに保存するCRL取得プロセスとを有す
る。The present invention (Claim 3) is a revocation certificate information acquisition program for performing invalidation confirmation processing of a public certificate, which is necessary when performing electronic signature communication or encrypted communication using public key cryptography. There is a CRL acquisition timing definition process for defining the timing to acquire the CRL,
CRL defined in the CRL acquisition timing definition process
The acquisition timing has arrived in the CRL acquisition timing monitoring process that monitors the acquisition timing, the next update date monitoring process that monitors the arrival of the next update date and time posted in the previously acquired CRL, and the CRL acquisition timing monitoring process. Alternatively, when the next update date and time monitoring process detects that the next update date and time has arrived, the CRL acquisition process for acquiring the CRL from the external system including the directory and locally storing the CRL.
【0016】本発明(請求項4)は、公開鍵暗号を用い
て電子署名通信や暗号通信を行なう際に必要な、公開証
明証の無効化確認処理を行なうための失効証明証情報取
得プログラムを格納した記憶媒体であって、CRLを取
得するタイミングを定義するためのCRL取得タイミン
グ定義プロセスと、CRL取得タイミング定義プロセス
で定義されたCRLの取得のタイミングを監視するCR
L取得タイミング監視プロセスと、前回取得されたCR
L内に掲載された次回更新日時の到来を監視する次回更
新日時監視プロセスと、CRL取得タイミング監視プロ
セスにおいて取得タイミングが到来したか、または、次
回更新日時監視プロセスにおいて次回更新日時が到来し
たことを検知した場合に、CRLをディレクトリを含む
外部システムから取得し、ローカルに保存するCRL取
得プロセスとを有する。The present invention (claim 4) provides a revocation certificate information acquisition program for performing revocation confirmation processing of a public certificate, which is necessary when performing electronic signature communication or encrypted communication using public key cryptography. A stored storage medium, a CRL acquisition timing definition process for defining the timing to acquire the CRL, and a CR that monitors the acquisition timing of the CRL defined in the CRL acquisition timing definition process.
L acquisition timing monitoring process and previously acquired CR
Whether the acquisition timing has arrived in the next update date monitoring process that monitors the arrival of the next update date and time posted in L and the CRL acquisition timing monitoring process, or the next update date has arrived in the next update date monitoring process. CRL acquisition process for acquiring the CRL from the external system including the directory and storing it locally when detected.
【0017】上述のように、本発明では、次回更新日時
を経過した時点における取得タイミングに加えて、次回
更新日時前においても、検証者自身によって定義したタ
イミングによってCRLの取得処理が行なわれ、この定
義する取得タイミングの時間間隔によって、署名検証処
理の信頼性低下期間の最大長と外部システムへのアクセ
ス頻度を制御可能となる。従って、検証者は、取得した
CRLを「次回更新日時」を越えて無効化確認に利用し
ないという運用に従いながらも、署名検証処理の信頼性
低下期間と外部システムへのアクセス頻度を制御可能な
CRL取得処理の実現が可能となる。As described above, in the present invention, in addition to the acquisition timing at the time when the next update date / time has passed, the CRL acquisition process is performed at the timing defined by the verifier himself even before the next update date / time. It is possible to control the maximum length of the reliability reduction period of the signature verification process and the access frequency to the external system by the defined time interval of the acquisition timing. Therefore, the verifier can control the reliability degradation period of the signature verification process and the access frequency to the external system while following the operation that the acquired CRL is not used for confirmation of invalidation beyond the "next update date and time". The acquisition process can be realized.
【0018】[0018]
【発明の実施の形態】本発明は、CRLの取得において
も、取得したCRLを「次回更新日時」を越えて無効化
確認に利用しないという運用に従いながらも、署名検証
処理の信頼性低下期間の長さと外部システムへのアクセ
ス頻度を検証者自身が制御可能となる方法を提案するも
のである。BEST MODE FOR CARRYING OUT THE INVENTION According to the present invention, even when the CRL is acquired, the acquired CRL is not used for the invalidation confirmation beyond the “next update date / time”, but the reliability of the signature verification process is reduced. We propose a method that verifier can control the length and access frequency to external system.
【0019】図3は、本発明の一実施の形態における失
効証明証取得装置の構成を示す。FIG. 3 shows the configuration of a revocation certificate acquisition apparatus according to an embodiment of the present invention.
【0020】同図に示す装置は、CRL取得タイミング
定義部11、CRL取得タイミング監視部12、次回更
新日時管理部13及びCRL取得部14から構成され
る。The apparatus shown in the figure comprises a CRL acquisition timing definition unit 11, a CRL acquisition timing monitoring unit 12, a next update date management unit 13 and a CRL acquisition unit 14.
【0021】CRL取得タイミング定義部11は、CR
Lを取得するタイミングを検証者が定義するものであ
り、複数のCAが存在する場合には、CA毎に定義して
もよいし、一律に定義してもよい。定義しておく場所
は、ファイルでもメモリ上でもよい。また、タイミング
の定義方法は、時刻を指定してもよいし、取得間隔の時
間を指定してもよい。The CRL acquisition timing definition unit 11 uses the CR
The verifier defines the timing of acquiring L. When there are a plurality of CAs, they may be defined for each CA or may be defined uniformly. The location to be defined may be a file or a memory. In addition, as a method of defining the timing, the time may be designated, or the time of the acquisition interval may be designated.
【0022】CRL取得タイミング監視部12は、CR
L取得タイミング定義部11で定義したCRLの取得タ
イミングが到来しているか否かを監視する。The CRL acquisition timing monitoring unit 12 uses the CR
Whether or not the CRL acquisition timing defined by the L acquisition timing definition unit 11 has arrived is monitored.
【0023】次回更新日時管理部13は、前回取得した
CRL内に掲載された次回更新日時が到来しているか否
かを監視する。The next update date / time management unit 13 monitors whether the next update date / time posted in the CRL acquired last time has arrived.
【0024】CRL取得部14は、CRL取得タイミン
グ監視部12で取得タイミングが到来したか、次回更新
日時管理部13で時間更新日時が到来したことを検知し
た場合に、CRLをディレクトリ等の外部システムから
取得し、ローカルに保存する。When the CRL acquisition timing monitoring unit 12 detects that the acquisition timing has arrived or the next update date / time management unit 13 has detected that the time update date / time has arrived, the CRL acquisition unit 14 stores the CRL in an external system such as a directory. Get from and save locally.
【0025】次に、上記の構成によるCRLの取得処理
について説明する。Next, the CRL acquisition process with the above configuration will be described.
【0026】図4は、本発明の一実施の形態における動
作を説明するための図である。FIG. 4 is a diagram for explaining the operation in one embodiment of the present invention.
【0027】同図内の○内の数字と、以下に説明の数字
は一致するものとする。It is assumed that the numbers in circles in the same figure and the numbers described below match.
【0028】 初期設定時において、CRL取得タイ
ミイング定義部11を用いて、CRLを取得するタイミ
ングをファイル等に定義しておく。At the time of initial setting, the CRL acquisition timing definition unit 11 is used to define the timing for acquiring the CRL in a file or the like.
【0029】 検証者システムの動作時において、C
RLの取得タイミングが到来しているかを監視する。ま
た、同時に、次回更新日時管理部13を用いて、前回取
得したCRL内に掲載された次回更新日時が到来してい
るか否かを監視する。During operation of the verifier system, C
The RL acquisition timing is monitored. At the same time, the next update date / time management unit 13 is used to monitor whether or not the next update date / time posted in the previously acquired CRL has arrived.
【0030】 CRL取得タイミング監視部12で取
得タイミングが到来したか、次回更新日時管理部13で
次回更新日時が到来したことを検知した場合、CRL取
得部14を用いて、CRLをディレクトリ等の外部シス
テムから取得し、ローカルに保存する。When the CRL acquisition timing monitoring unit 12 detects that the acquisition timing has arrived or the next update date and time management unit 13 has detected that the next update date and time has arrived, the CRL acquisition unit 14 is used to store the CRL in an external directory or the like. Get it from the system and save it locally.
【0031】 に戻って、次のCRLの取得タイミ
ングを待つ。Returning to, waits for the acquisition timing of the next CRL.
【0032】[0032]
【実施例】以下に、図面と共に本発明の実施例を説明す
る。Embodiments of the present invention will be described below with reference to the drawings.
【0033】図5は、本発明の一実施例の失効証明証情
報取得装置の構成を示す。FIG. 5 shows the configuration of a revocation certificate information acquisition apparatus according to an embodiment of the present invention.
【0034】同図に示す失効証明証情報取得装置は、C
RL取得タイミング定義部11、CRL取得タイミング
監視部12、次回更新日時管理部13、CRL取得部1
4、CRL取得タイミング定義ファイル15、CRLフ
ァイル16から構成される。CRL取得タイミング定義
部11は、入力されたCRL取得タイミングをCRL取
得タイミング定義ファイル15に格納するファイル書き
込み機能111を有する。The revocation certificate information acquisition apparatus shown in FIG.
RL acquisition timing definition unit 11, CRL acquisition timing monitoring unit 12, next update date management unit 13, CRL acquisition unit 1
4, CRL acquisition timing definition file 15 and CRL file 16. The CRL acquisition timing definition unit 11 has a file writing function 111 that stores the input CRL acquisition timing in the CRL acquisition timing definition file 15.
【0035】CRL取得タイミング監視部12は、CR
L取得タイミング定義ファイル15からCRL取得タイ
ミングを読み込むファイル読み込み機能121と、時間
の到来を監視するための時刻監視機能122とを有す
る。The CRL acquisition timing monitoring unit 12 uses the CR
It has a file reading function 121 for reading the CRL acquisition timing from the L acquisition timing definition file 15 and a time monitoring function 122 for monitoring the arrival of time.
【0036】次回更新日時管理部13は、CRLファイ
ルから次回更新日時情報を読み込むファイル読み込み機
能131と、読み込まれた次回更新日時を到来を監視す
るための時刻監視機能132とを有する。The next update date / time management unit 13 has a file reading function 131 for reading the next update date / time information from the CRL file and a time monitoring function 132 for monitoring the arrival of the read next update date / time.
【0037】CRL取得部14は、外部システム100
からCRLを取得するCRL取得機能141と、取得し
たCRLをCRLファイル16に書き込むためのファイ
ル書き込み機能142とを有する。The CRL acquisition unit 14 is the external system 100.
It has a CRL acquisition function 141 for acquiring the CRL from and a file writing function 142 for writing the acquired CRL in the CRL file 16.
【0038】次に、上記の構成における動作を説明す
る。Next, the operation of the above configuration will be described.
【0039】図6は、本発明の一実施例の動作を説明す
るための図である。FIG. 6 is a diagram for explaining the operation of one embodiment of the present invention.
【0040】以下の説明では、動作を、システム初期設
定時とシステム動作時に分けて説明する。In the following description, the operation will be described separately for system initialization and system operation.
【0041】まず、システム初期設定時の処理について
説明する。First, the processing at the time of system initialization will be described.
【0042】 CRL取得タイミング定義部11のフ
ァイル書き込み機能111を用いてCRLの取得タイン
グを定義したCRL取得タイミング定義ファイル15を
作成する。本実施例では、「毎時00分」(=「信頼性
低下期間の最大長」=1時間)と定義されたこととして
以下の説明を行なう。The file writing function 111 of the CRL acquisition timing definition unit 11 is used to create the CRL acquisition timing definition file 15 that defines the CRL acquisition tones. In the present embodiment, the following description will be given assuming that it is defined as "00 minute every hour" (= "maximum length of reliability lowering period" = 1 hour).
【0043】次に、検証者システムの動作時の処理につ
いて説明する。Next, the processing during operation of the verifier system will be described.
【0044】 まず、CRL取得タイミング監視部1
2のファイル読み込み機能121を用いて、で作成し
たCRLの取得タイミングを定義したCRL取得タイミ
ング定義ファイル15から、「毎時00分」の情報を読
み込む。続いて、時刻監視機能122を用いて、「毎時
00分」が到来するのを監視する。また、これらの処理
と同時に、次回更新日時管理部13のファイル読み込み
機能131を用いて、前回取得したCRLファイル16
から次回更新日時情報を読み込み、続いて、時刻監視機
能132を用いて、読み込んだ次回更新日時が到来する
のを監視する。本実施例では、前回取得したCRLファ
イル16に掲載された次回更新日時情報が、「2001
年8月1日0時10分0秒」であったものとし、現在時
刻が、「2001年7月31日23時50分0秒」であ
ったものとして以下の説明を行なう。First, the CRL acquisition timing monitoring unit 1
By using the file reading function 121 of No. 2, the information of "00 minute every hour" is read from the CRL acquisition timing definition file 15 which defines the acquisition timing of the CRL created in (2). Subsequently, the time monitoring function 122 is used to monitor the arrival of "00 minute every hour". At the same time as these processes, the CRL file 16 acquired last time is read by using the file reading function 131 of the next update date management unit 13.
Then, the next update date and time information is read, and then the time monitoring function 132 is used to monitor the arrival of the read next update date and time. In the present embodiment, the next update date / time information posted in the CRL file 16 acquired last time is “2001.
The following description will be given on the assumption that the time is "August 1, 0:10:00" and the current time is "July 31, 2001 23: 50: 0".
【0045】 時間が経過し、現在時刻が「2001
年8月1日0時0分0秒」となった際に、CRL取得タ
イミング監視部12の時刻監視機能122は、「毎時0
0分」が到来したことを検知し、CRL取得部14のC
RL取得機能141を呼び出す。CRL取得機能141
は、その呼び出しに従って、例えば、外部システム10
0のディレクトリからLDAP(Light-weight Director
y Access Protocol)のプロトコルによりCRLを取得
し、ファイル書き込み機能142を用いてCRLファイ
ル16にローカルに保存する。As time passes, the current time is “2001
The time monitoring function 122 of the CRL acquisition timing monitoring unit 12 determines that “0 hour, 0 hour, 0 second on August 1,”
C of the CRL acquisition unit 14 is detected when "0 minutes" has arrived.
Call the RL acquisition function 141. CRL acquisition function 141
According to the call, for example, the external system 10
LDAP (Light-weight Director
The CRL is acquired according to the y Access Protocol) protocol and stored locally in the CRL file 16 using the file writing function 142.
【0046】 で取得し、保存したCRLに対し、
で行なった処理と同様に、ファイル読み込み機能13
1を用いてCRLファイル16から次回更新日時情報を
読み込み、続いて、時刻監視機能132を用いて、読み
込んだ次回更新日時が到来するのを監視する。本実施例
では、ここで読み込まれた次回更新日時情報が「200
1年8月1日0時40分0秒」であったとして以下の説
明を続ける。With respect to the CRL acquired and stored in
The file read function 13
1 is used to read the next update date / time information from the CRL file 16, and then the time monitoring function 132 is used to monitor the arrival of the read next update date / time. In this embodiment, the next update date / time information read here is "200".
The following explanation will be continued on the assumption that it was 0: 40: 0 on August 1, 1st.
【0047】 時間が経過し、現在時刻が「2001
年8月1日0時30分0秒」となった際に、検証者シス
テムにおいて、署名検証処理が発生した場合、署名検証
に用いる公開鍵証明証が無効化されているか否かの確認
は、で取得したCRLを用いて行なう。As time passes, the current time is “2001
If the signature verification process occurs in the verifier system at 0:30:00 on August 1, 2014, it is possible to confirm whether the public key certificate used for signature verification has been revoked. Using the CRL acquired in and.
【0048】 さらに、時間が経過し、現在時刻が
「2001年8月1日0時40分0秒」となった際に、
時刻監視機能132は、次回更新日時「2001年8月
1日0時40分0秒」が到来したことを検知し、CRL
取得機能141を呼び出す。CRL取得機能141は、
と同様に、その呼び出しに従ってCRLを外部システ
ム100のディレクトリから取得し、ファイル書き込み
機能142を用いてCRLファイル16にローカルに保
存する。Further, when time passes and the current time becomes “0: 40: 0 seconds on August 1, 2001”,
The time monitoring function 132 detects that the next update date and time "01:40:00 on August 1, 2001" has arrived, and the CRL is detected.
The acquisition function 141 is called. The CRL acquisition function 141
Following the call, the CRL is obtained from the directory of the external system 100 and stored locally in the CRL file 16 using the file write function 142.
【0049】 で取得し、保存したCRLに対し、
で行なった処理と同様に、ファイル読み込み機能13
1を用いて読み込んだ次回更新日時が到来するのを監視
する。With respect to the CRL acquired and stored in
The file read function 13
The arrival of the next update date and time read using 1 is monitored.
【0050】以降、「毎時00分」が到来した場合に
は、、の処理を、次回更新日時が到来した場合には
、の処理を、署名検証処理が発生した場合には、
の処理のように、その時点で最も直前に取得したCRL
を用いて無効化確認処理を行なう。Thereafter, when "00 hour every hour" arrives, the processing of "1" is performed, when the next update date and time arrives, the processing of "1" is performed, and when the signature verification processing occurs,
The most recent CRL acquired at that time, as in
Is used to perform the invalidation confirmation processing.
【0051】以上により、検証者システムでは、最も直
前に取得したCRLに示された次回更新日時を経過する
タイミングに加えて、その次回更新日前であっても、検
証者が定義したタイミングでCRLの取得を行なうこと
で、取得したCRLを、「次回更新日時」を越えて無効
化確認に利用しないという運用に従いながらも、署名検
証処理の信頼性低下期間を検証者が定義した取得タイミ
ング時間間隔以内(本実施例では、1時間以内)とし、
かつ外部システム100へのアクセスをそれに必要な回
数のみに制御することが可能となる。As described above, in the verifier system, in addition to the timing at which the next update date and time indicated in the CRL acquired immediately before is passed, the CRL of the CRL is set at the timing defined by the verifier even before the next update date. By performing the acquisition, the acquired CRL is not used for confirmation of invalidation beyond the "next update date and time", but the reliability deterioration period of the signature verification process is within the acquisition timing time interval defined by the verifier. (In this example, within 1 hour),
In addition, it is possible to control access to the external system 100 only as many times as necessary.
【0052】また、上記の図4及び図6に示す動作をプ
ログラムとして構築し、失効証明証情報取得装置として
利用されるコンピュータにインストールする、または、
ネットワークを介して流通させることも可能である。Further, the operation shown in FIGS. 4 and 6 is constructed as a program and installed in a computer used as a revocation certificate information acquisition device, or
It can also be distributed via a network.
【0053】さらに、構築されたプログラムを失効証明
証情報取得装置として利用されるコンピュータに接続さ
れるハードディスク装置や、フロッピー(登録商標)デ
ィスク、CD−ROM等の可搬記憶媒体に格納してお
き、本発明を実施する際にインストールすることによ
り、容易に本発明を実現できる。Further, the constructed program is stored in a hard disk device connected to a computer used as a revocation certificate information acquisition device, a portable storage medium such as a floppy (registered trademark) disk or a CD-ROM. The present invention can be easily realized by installing it when carrying out the present invention.
【0054】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内において、種々変更・応
用が可能である。The present invention is not limited to the above embodiment, but various modifications and applications are possible within the scope of the claims.
【0055】[0055]
【発明の効果】上述のように、本発明によれば、検証者
は、署名検証処理において、署名検証対象データの重要
度に応じて、署名検証処理の信頼性とCRLを外部シス
テムから取得するためのアクセス処理負荷の大きさを調
整することが可能となる。As described above, according to the present invention, the verifier acquires the reliability of the signature verification process and the CRL from the external system in the signature verification process according to the importance of the data to be verified. It is possible to adjust the magnitude of the access processing load.
【0056】また、CRLの取得処理を、署名検証処理
と連動せずに行なうことができるため、CRLの取得処
理にかかる時間が署名検証の処理時間に影響しない。Further, since the CRL acquisition processing can be performed without interlocking with the signature verification processing, the time required for the CRL acquisition processing does not affect the processing time for signature verification.
【図1】本発明の原理を説明するための図である。FIG. 1 is a diagram for explaining the principle of the present invention.
【図2】本発明の原理構成図である。FIG. 2 is a principle configuration diagram of the present invention.
【図3】本発明の一実施の形態における失効署名証情報
取得装置の構成図である。FIG. 3 is a configuration diagram of a revocation signature certificate information acquisition device according to an embodiment of the present invention.
【図4】本発明の一実施の形態における動作を説明する
ための図である。FIG. 4 is a diagram for explaining an operation in the embodiment of the present invention.
【図5】本発明の一実施例の失効証明証情報取得装置の
構成図である。FIG. 5 is a configuration diagram of a revocation certificate information acquisition device according to an embodiment of the present invention.
【図6】本発明の一実施例の動作を説明するための図で
ある。FIG. 6 is a diagram for explaining the operation of the embodiment of the present invention.
【図7】従来の技術におけるCRLにより公開鍵証明証
の無効化の有無を確認する方法の流れである。FIG. 7 is a flow of a method for checking whether or not a public key certificate is invalidated by CRL in the related art.
【図8】CRLを用いた無効化確認において署名検証処
理の信頼性が低下する可能性がある期間を示す図であ
る。FIG. 8 is a diagram illustrating a period during which there is a possibility that the reliability of the signature verification process may decrease in the revocation confirmation using the CRL.
11 CRL取得タイミング定義手段、CRL取得タイ
ミング定義部
12 CRL取得タイミング監視手段、CRL取得タイ
ミング監視部
13 次回更新タイミング監視手段、次回更新タイミン
グ監視部
14 CRL取得手段、CRL取得部
15 CRL取得タイミング定義ファイル
16 CRLファイル
100 外部システム
111 ファイル書き込み機能
121 ファイル読み込み機能
122 時刻監視機能
131 ファイル読み込み機能
132 時刻監視機能
141 CRL取得機能
142 ファイル書き込み機能11 CRL acquisition timing definition means, CRL acquisition timing definition section 12 CRL acquisition timing monitoring section, CRL acquisition timing monitoring section 13 Next update timing monitoring section, next update timing monitoring section 14 CRL acquisition section, CRL acquisition section 15 CRL acquisition timing definition file 16 CRL file 100 External system 111 File writing function 121 File reading function 122 Time monitoring function 131 File reading function 132 Time monitoring function 141 CRL acquisition function 142 File writing function
Claims (4)
通信を行なう際に必要な、公開証明証の無効化確認処理
を行なうための失効証明証情報取得方法において、 初期設定として、失効証明証リスト(以下、CRLと記
す)を取得するタイミングを定義し、 システム動作時において、定義した前記CRLを取得す
るタイミングの到来を監視すると共に、前回取得された
CRL内に掲載された次回更新日時の到来を監視し、 いずれかの到来が検知された時点で、CRLをディレク
トリを含む外部システムから取得して、ローカルに保存
することを特徴とする失効証明証情報取得方法。1. A revocation certificate information acquisition method for performing revocation confirmation processing of a public certificate, which is necessary when performing digital signature communication or encrypted communication using public key cryptography, wherein the revocation certificate is initially set. The timing to acquire the certification list (hereinafter referred to as CRL) is defined, and when the system is operating, the arrival of the defined timing to acquire the defined CRL is monitored, and the next update date and time posted in the previously acquired CRL. A method of acquiring revocation certificate information, characterized by monitoring the arrival of the CRL and acquiring the CRL from an external system including a directory when any of the arrival is detected and storing the CRL locally.
通信を行なう際に必要な、公開証明証の無効化確認処理
を行なうための失効証明証情報取得装置であって、 CRLを取得するタイミングを定義するためのCRL取
得タイミング定義手段と、 前記CRL取得タイミング定義手段で定義されたCRL
の取得のタイミングを監視するCRL取得タイミング監
視手段と、 前回取得されたCRL内に掲載された次回更新日時の到
来を監視する次回更新日時監視手段と、 前記CRL取得タイミング監視手段において取得タイミ
ングが到来したか、または、前記次回更新日時監視手段
において次回更新日時が到来したことを検知した場合
に、CRLをディレクトリを含む外部システムから取得
し、ローカルに保存するCRL取得手段とを有すること
を特徴とする失効証明証情報取得装置。2. A revocation certificate information acquisition device for performing revocation confirmation processing of a public certificate, which is necessary when performing electronic signature communication or encrypted communication using public key cryptography, and acquires a CRL. CRL acquisition timing defining means for defining timing, and CRL defined by the CRL acquisition timing defining means
CRL acquisition timing monitoring means for monitoring the timing of acquisition, next update date and time monitoring means for monitoring the arrival of the next update date and time posted in the previously acquired CRL, and acquisition timing for the CRL acquisition timing monitoring means. Or when the next update date / time monitoring means detects that the next update date / time has arrived, the CRL acquisition means stores the CRL from an external system including a directory and stores it locally. Revocation certificate information acquisition device.
通信を行なう際に必要な、公開証明証の無効化確認処理
を行なうための失効証明証情報取得プログラムであっ
て、 CRLを取得するタイミングを定義するためのCRL取
得タイミング定義プロセスと、 前記CRL取得タイミング定義プロセスで定義されたC
RLの取得のタイミングを監視するCRL取得タイミン
グ監視プロセスと、 前回取得されたCRL内に掲載された次回更新日時の到
来を監視する次回更新日時監視プロセスと、 前記CRL取得タイミング監視プロセスにおいて取得タ
イミングが到来したか、または、前記次回更新日時監視
プロセスにおいて次回更新日時が到来したことを検知し
た場合に、CRLをディレクトリを含む外部システムか
ら取得し、ローカルに保存するCRL取得プロセスとを
有することを特徴とする失効証明証情報取得プログラ
ム。3. A revocation certificate information acquisition program for performing revocation confirmation processing of a public certificate, which is necessary when performing electronic signature communication or encrypted communication using public key cryptography, and acquires a CRL. CRL acquisition timing definition process for defining timing, and C defined in the CRL acquisition timing definition process
A CRL acquisition timing monitoring process that monitors the timing of RL acquisition, a next update date and time monitoring process that monitors the arrival of the next update date and time posted in the previously acquired CRL, and an acquisition timing in the CRL acquisition timing monitoring process. A CRL acquisition process for acquiring a CRL from an external system including a directory and locally storing the CRL when the next update date / time is detected in the next update date / time monitoring process. Revocation certificate information acquisition program.
通信を行なう際に必要な、公開証明証の無効化確認処理
を行なうための失効証明証情報取得プログラムを格納し
た記憶媒体であって、 CRLを取得するタイミングを定義するためのCRL取
得タイミング定義プロセスと、 前記CRL取得タイミング定義プロセスで定義されたC
RLの取得のタイミングを監視するCRL取得タイミン
グ監視プロセスと、 前回取得されたCRL内に掲載された次回更新日時の到
来を監視する次回更新日時監視プロセスと、 前記CRL取得タイミング監視プロセスにおいて取得タ
イミングが到来したか、または、前記次回更新日時監視
プロセスにおいて次回更新日時が到来したことを検知し
た場合に、CRLをディレクトリを含む外部システムか
ら取得し、ローカルに保存するCRL取得プロセスとを
有することを特徴とする失効証明証情報取得プログラム
を格納した記憶媒体。4. A storage medium in which a revocation certificate information acquisition program for performing revocation confirmation processing of a public certificate, which is necessary when performing electronic signature communication or encrypted communication using public key cryptography, is stored. , A CRL acquisition timing definition process for defining the timing to acquire the CRL, and a C defined in the CRL acquisition timing definition process.
A CRL acquisition timing monitoring process that monitors the timing of RL acquisition, a next update date and time monitoring process that monitors the arrival of the next update date and time posted in the previously acquired CRL, and an acquisition timing in the CRL acquisition timing monitoring process. A CRL acquisition process for acquiring a CRL from an external system including a directory and locally storing the CRL when the next update date / time is detected in the next update date / time monitoring process. A storage medium that stores a revocation certificate information acquisition program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001352173A JP2003152715A (en) | 2001-11-16 | 2001-11-16 | Certification revocation information acquisition method and device, certification revocation information acquisition program, and storage medium for storing the certification revocation information acquisition program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001352173A JP2003152715A (en) | 2001-11-16 | 2001-11-16 | Certification revocation information acquisition method and device, certification revocation information acquisition program, and storage medium for storing the certification revocation information acquisition program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003152715A true JP2003152715A (en) | 2003-05-23 |
Family
ID=19164387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001352173A Pending JP2003152715A (en) | 2001-11-16 | 2001-11-16 | Certification revocation information acquisition method and device, certification revocation information acquisition program, and storage medium for storing the certification revocation information acquisition program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003152715A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006217160A (en) * | 2005-02-02 | 2006-08-17 | Kddi R & D Laboratories Inc | System and method of updating open key certificate invalidation list, authentication station server, and program |
| JP2007020044A (en) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | Verification server and verification program |
| WO2007132987A1 (en) * | 2006-05-12 | 2007-11-22 | Samsung Electronics Co., Ltd. | Multi certificate revocation list support method and apparatus for digital rights management |
| JP2008067264A (en) * | 2006-09-11 | 2008-03-21 | Matsushita Electric Ind Co Ltd | Electronic certificate management apparatus |
| JP2009094976A (en) * | 2007-10-12 | 2009-04-30 | Fuji Xerox Co Ltd | Information processor, information processing system, and information processing program |
| US7647494B2 (en) | 2005-06-08 | 2010-01-12 | International Business Machines Corporation | Name transformation for a public key infrastructure (PKI) |
| US9135470B2 (en) | 2004-10-20 | 2015-09-15 | Intel Corporation | Data security |
-
2001
- 2001-11-16 JP JP2001352173A patent/JP2003152715A/en active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9135470B2 (en) | 2004-10-20 | 2015-09-15 | Intel Corporation | Data security |
| US9654464B2 (en) | 2004-10-20 | 2017-05-16 | Intel Corporation | Data security |
| JP2006217160A (en) * | 2005-02-02 | 2006-08-17 | Kddi R & D Laboratories Inc | System and method of updating open key certificate invalidation list, authentication station server, and program |
| JP4704055B2 (en) * | 2005-02-02 | 2011-06-15 | 株式会社Kddi研究所 | Public key certificate revocation list updating system and method, service providing server, and program |
| US7647494B2 (en) | 2005-06-08 | 2010-01-12 | International Business Machines Corporation | Name transformation for a public key infrastructure (PKI) |
| JP2007020044A (en) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | Verification server and verification program |
| JP4694904B2 (en) * | 2005-07-11 | 2011-06-08 | 三菱電機株式会社 | Verification server and verification program |
| WO2007132987A1 (en) * | 2006-05-12 | 2007-11-22 | Samsung Electronics Co., Ltd. | Multi certificate revocation list support method and apparatus for digital rights management |
| JP2008067264A (en) * | 2006-09-11 | 2008-03-21 | Matsushita Electric Ind Co Ltd | Electronic certificate management apparatus |
| JP2009094976A (en) * | 2007-10-12 | 2009-04-30 | Fuji Xerox Co Ltd | Information processor, information processing system, and information processing program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7689828B2 (en) | System and method for implementing digital signature using one time private keys | |
| US8302171B2 (en) | System and method for privilege delegation and control | |
| JP6154413B2 (en) | Disabling the root certificate | |
| US6055636A (en) | Method and apparatus for centralizing processing of key and certificate life cycle management | |
| JP6078686B2 (en) | Authentication system, in-vehicle control device | |
| US9544297B2 (en) | Method for secured data processing | |
| JP4668551B2 (en) | Personal authentication device and system and method thereof | |
| US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
| US20070055881A1 (en) | Method for securely exchanging public key certificates in an electronic device | |
| US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
| US20060075219A1 (en) | Computer system and program to update SSL certificates | |
| US20070209081A1 (en) | Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device | |
| JP2001521329A (en) | Digital authentication method combining user identification and computer system | |
| JP2006120148A (en) | Authentication with expiring binding digital certificate | |
| JP6609788B1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
| CN101026452B (en) | System and method to update certificates in a computer | |
| US10880302B2 (en) | Systems and methods for biometric authentication of certificate signing request processing | |
| JP2003152715A (en) | Certification revocation information acquisition method and device, certification revocation information acquisition program, and storage medium for storing the certification revocation information acquisition program | |
| US20060129815A1 (en) | Generation of identities and authentication thereof | |
| JP6983685B2 (en) | Information processing system, client device, authentication / authorization server, control method and its program | |
| JP3726259B2 (en) | Public key certificate validity confirmation method, public key certificate validity confirmation device user side device, and recording medium recording public key certificate validity confirmation program | |
| JP2004140715A (en) | System and method for managing electronic document | |
| US11343107B2 (en) | System for method for secured logging of events | |
| CN113806810B (en) | Authentication method, authentication system, computing device, and storage medium | |
| JP2006092382A (en) | Method, system and program for managing software license |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040319 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050906 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051026 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20051122 |