JP2003318893A - 証明書情報検証方法および装置ならびに認証局 - Google Patents
証明書情報検証方法および装置ならびに認証局Info
- Publication number
- JP2003318893A JP2003318893A JP2002126915A JP2002126915A JP2003318893A JP 2003318893 A JP2003318893 A JP 2003318893A JP 2002126915 A JP2002126915 A JP 2002126915A JP 2002126915 A JP2002126915 A JP 2002126915A JP 2003318893 A JP2003318893 A JP 2003318893A
- Authority
- JP
- Japan
- Prior art keywords
- information
- incidental
- management server
- public key
- supplementary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
度が高い付帯情報を変更可能とする。 【解決手段】 公開鍵証明書有効性検証部12は入力さ
れた公開鍵証明書の有効性を検証する。判定結果が有効
であれば、公開鍵情報取得部13は公開鍵証明書から付
帯情報識別情報と付帯情報管理サーバ識別情報とを取得
する。付帯情報取得部14は付帯情報識別管理サーバ識
別情報によって特定される付帯情報管理サーバアドレス
情報により、付帯情報管理サーバから付帯情報識別情報
に対応する証明書付帯情報を取得する。付帯情報検証部
15は付帯情報認証情報と付帯情報検証情報によって証
明書付帯情報の有効性を検証する。有効な場合には、検
証結果出力部16は公開鍵証明書と証明書付帯情報の付
帯情報を合わせて公開鍵証明書の証明対象情報として有
効であることを出力する。
Description
および装置に関する。
確認のためには、公開鍵暗号方式によるディジタル署名
の技術が広く利用されている。
受信したディジタル署名を通信相手の公開鍵(検証鍵)
によって検証し、検証に成功すれば意図する通信相手で
あると判定する。この時、公開鍵は厳密に意図する通信
相手に対応するものでなければ、認証処理の結果を信用
することができないため、公開鍵認証基盤(PKI)で
は、公開鍵と公開鍵の持ち主の対応関係を、信頼する第
三者機関として認証局が証明を行ない、証明の事実を公
開鍵証明書と呼ばれる電子データの形式で発行、流通さ
せる方式を採っている。認証局が発行する公開鍵証明書
は、認証局が定める有効期間の間、公開鍵と公開鍵の持
ち主を表わすIDの対応関係を証明するものである。
以外にも、公開鍵や公開鍵の持ち主に関する様々な情報
を含めることができる。実際に、現在、公開鍵証明書を
適用する分野、システム、ネットワークサービスによっ
て、多様な情報(以下、付帯情報と呼ぶ)を公開鍵証明
書に含めて公開鍵と共に流通させている。
報に変更があった場合には、変更内容を反映した公開鍵
証明書を再発行する必要がある。
と、公開鍵証明書の持ち主のみならず、再発行された公
開鍵証明書によって認証処理を行なう必要が利用者、シ
ステム、装置には、認証処理のために変更があった付帯
情報を利用していない場合にも再配布する必要があり、
変更頻度が高い情報を付帯情報として公開鍵証明書に格
納すると配布コストが増大するという問題があった。
は、公開鍵証明書にさまざまな利用者情報を付帯情報と
して格納できるにもかかわらず、変更頻度が高い付帯情
報を格納してしまうと、公開鍵証明書の再発行が頻発
し、結果的に公開鍵証明書を利用するシステム、装置、
サービスのコスト増大を招いていた。
を公開鍵証明書の証明対象の情報として解釈可能とし、
付帯情報に変更があった場合にも公開鍵証明書を再発行
することなく実施可能な証明書情報検証方法および装置
を提供することにある。
の付帯情報(証明書付帯情報)の識別情報と、証明書付
帯情報の管理・変更権限を認証局から委譲された付帯情
報管理サーバの識別情報とを含む公開鍵証明書をあらか
じめ発行しておく。また、公開鍵証明書情報検証装置
に、証明書付帯情報を検証する付帯情報検証情報と、付
帯情報管理サーバ識別情報に対応する付帯情報管理サー
バの通信アドレスを表わす付帯情報管理サーバアドレス
情報と、付帯情報管理サーバとの通信手段をあらかじめ
備えておく。また、付帯情報管理サーバには、付帯情報
識別情報と、付帯情報と付帯情報認証情報とを含む証明
書付帯情報を格納しておく。
書を入力として受け取り、該公開鍵証明書から付帯情報
識別情報と付帯情報管理サーバ識別情報とを取り出し、
付帯情報管理サーバ識別情報に対応する付帯情報管理サ
ーバアドレス情報によって付帯情報管理サーバへの通信
手段を利用することにより付帯情報管理サーバから付帯
情報識別情報に対応する証明書付帯情報を取得し、該付
帯情報管理サーバ識別情報が特定する付帯情報管理サー
バにより該証明書付帯情報が作成されたものであること
を該証明書付帯情報に含まれる付帯情報認証情報と、付
帯情報検証情報によって検証し、検証が成功した場合に
は、公開鍵証明書に含まれる情報と証明書付帯情報に含
まれる付帯情報とを合わせて、公開鍵証明書が表わす有
効な証明情報であると判定する。
ために用いる公開鍵証明書から更新可能部分を付帯情報
として分離し、付帯情報管理サーバが管理することと
し、付帯情報の変更権限を、公開鍵証明書を発行した認
証局が付帯情報管理サーバに権限委譲することにより、
公開鍵証明書を再発行することなく公開鍵証明書の証明
内容を部分的に変更可能となる。
付帯情報管理サーバから証明書付帯情報を取得する代り
に、証明書情報検証装置に証明書付帯情報をあらかじめ
登録しておき、付帯情報識別情報に対応する証明書付帯
情報が登録されていることを判定し、登録されている場
合には該証明書付帯情報を取得する。
も検証処理が可能となる。
付帯情報識別情報と、付帯情報の管理・変更権限を認証
局から委譲された付帯情報管理サーバの付帯情報管理サ
ーバ識別情報とともに、付帯情報管理サーバ識別情報に
対応する付帯情報管理サーバの通信アドレスを表わす付
帯情報管理サーバアドレス情報を含む公開鍵証明書をあ
らかじめ発行しておき、また、公開鍵証明書情報検証装
置には、証明書付帯情報を検証する付帯情報検証情報
と、付帯情報管理サーバへの通信手段をあらかじめ備え
ておく。そして、公開鍵証明書が証明する情報の有効性
を検証する際、受け取った公開鍵証明書から付帯情報識
別情報と付帯情報管理サーバ識別情報と付帯情報管理サ
ーバアドレス情報とを取得し、取得された付帯情報管理
サーバアドレスによって特定される付帯情報管理サーバ
への通信手段を利用することにより付帯情報管理サーバ
から付帯情報識別情報に対応する証明書付帯情報を取得
する。
帯情報管理サーバの通信手段を備えていれば、通信先を
あらかじめ登録しておかなくても、公開鍵証明書に含ま
れる情報によって通信することが可能となる。
よる認証手段を用いることにより、公開鍵認証基盤に対
応した認証プログラム、システムを利用して付帯情報の
正当性を検証することが可能となる。
定して、アクセス権限のない利用者や検証プログラム等
からの付帯情報を取得を防止することにより、あらかじ
め限られた範囲で扱いたい情報を付帯情報として、公開
鍵証明書の証明対象情報として解釈することが可能とな
る。
報が複数存在する場合には、登録日時が新しいものを採
用することにより、証明書付帯情報が変更となり、変更
前の古い証明書付帯情報が混在する環境下でも適切な証
明書付帯情報を選択することが可能となる。
て図面を参照して説明する。
証システムは、公開鍵証明書の証明情報の有効性を検証
する公開鍵証明書情報検証装置1と、公開鍵証明書の付
帯情報を管理・格納する付帯情報管理サーバ2とによっ
て構成され、公開鍵証明書情報検証装置1と付帯情報管
理サーバ2はインターネットのような通信網3によって
互いに接続されている。
いる。公開鍵証明書4は署名対象部41と署名データ部
42によって構成され、署名対象部41には認証局識別
情報411と付帯情報識別情報412と付帯情報管理サ
ーバ識別情報413とが含まれる。署名データ部42
は、認証局識別情報411によって特定される認証局の
公開鍵証明書に含まれる公開鍵に対応する秘密鍵によっ
て署名対象部41を暗号化して得られたデータである。
公開鍵証明書4は、認証局識別情報411に対応する公
開鍵証明書に含まれる公開鍵(検証鍵)により署名デー
タ部42の検証を行ない、検証が成功した場合は、公開
鍵証明書4が、認証局識別情報411が特定する認証局
によって発行された公開鍵証明書であることを確認でき
る。付帯情報管理サーバ識別情報413は、公開鍵証明
書4を発行した認証局が、公開鍵証明書4の付帯情報の
管理、変更権限を委譲した付帯情報管理サーバを特定す
るための情報である。付帯情報管理サーバ識別情報41
3で特定される付帯情報管理サーバ2内では、公開鍵証
明書4の付帯情報を付帯情報識別情報412に特定す
る。
する証明書付帯情報5を示している。証明書付帯情報5
は付帯情報識別情報51と付帯情報52と付帯情報認証
情報53とによって構成される。
装置1は、検証対象情報入力部11と公開鍵証明書有効
性検証部12と公開鍵証明書情報取得部13と付帯情報
取得部14と付帯情報検証部15と検証結果出力部16
とを有する。
明書4を入力する。公開鍵証明書有効性検証部12は、
署名データ部42の有効性を認証局識別情報411によ
って特定される認証局の有効な公開鍵証明書を用いて検
証するとともに、公開鍵認証基盤(PKI)の標準規約
によって定められる公開鍵証明書の有効性検証を行な
う。公開鍵証明書情報取得部13は、公開鍵証明書4か
ら付帯情報識別情報412と付帯情報管理サーバ識別情
報413とを取り出す。付帯情報取得部14は、付帯情
報管理サーバ識別情報413によって特定される付帯情
報管理サーバ2の通信アドレスをもとに、付帯情報管理
サーバ2との通信手段を利用することによって、付帯情
報管理サーバ2から、付帯情報識別情報412によって
特定される証明書付帯情報5を取得する。付帯情報検証
部15は、付帯情報取得部14で取得した証明書付帯情
報5の有効性を付帯情報認証情報53(図3)と付帯情
報検証情報によって検証する。検証結果出力部16は、
公開鍵証明書有効性検証部12によって公開鍵証明書4
の有効性が確認され、かつ、付帯情報検証部15によっ
て証明書付帯情報5の有効性が確認された場合に、公開
鍵証明書4と付帯情報52の内容が有効な情報であるこ
とを結果として返却する。
ている。付帯情報管理サーバ2は証明書付帯情報提供部
21と証明書付帯情報管理部22で構成されている。証
明書付帯情報提供部21は、付帯情報識別情報51を入
力として受け付ける。証明書付帯情報管理部22は、1
つ以上の証明書付帯情報5を保持し、付帯情報識別情報
51に対応する証明書付帯情報5を特定する。
を図6のフローチャートをもとに説明する。ステップ1
01に、検証対象入力部11は公開鍵証明書4を入力と
して取得し、ステップ102に進む。ステップ102
に、公開鍵証明書有効性検証部12は公開鍵証明書4の
有効性を検証し、判定結果が有効であれば、ステップ1
03に進む。無効であればステップ107に進む。ステ
ップ103に、公開鍵証明書情報取得部13は公開鍵証
明書4から付帯情報識別情報412と付帯情報管理サー
バ識別情報413とを取得し、ステップ104に進む。
ステップ104に、付帯情報取得部14は付帯情報識別
管理サーバ識別情報413によって特定される(あらか
じめ公開鍵証明書情報検証装置1に登録されている)付
帯情報管理サーバアドレス情報により付帯情報管理サー
バ2との通信手段を利用することによって、付帯情報管
理サーバ2から付帯情報識別情報412に対応する証明
書付帯情報5を取得し、ステップ105に進む。ステッ
プ105に、付帯情報検証部15は付帯情報認証情報5
3と(あらかじめ公開鍵証明書情報検証装置1に登録さ
れている)付帯情報検証情報によって証明書付帯情報5
の有効性を検証し、有効な場合にはステップ106に進
み、無効な場合にはステップ107に進む。ステップ1
06に、検証結果出力部16は公開鍵証明書4と証明書
付帯情報5の付帯情報52を合わせて公開鍵証明書4の
証明対象情報として有効であることを結果として出力し
て終了する。ステップ107では、結果としてエラーを
出力して終了する。
網を利用して公開鍵証明書4に対応する証明書付帯情報
5を取得している。
鍵証明書情報検証装置1内に付帯情報記憶部17を設
け、付帯情報記憶部17内に複数の証明書付帯情報5を
予め登録しておくことによって、通信網を利用できない
場合でも検証処理を可能としたものである。
装置の動作を示すフローチャートである。
に対応する証明書付帯情報5を付帯情報記憶部17から
取得する点が図6のフローチャートと異なる。
明書付帯情報5を装置1内から取得できた場合のみ記載
しているが、取得できなかった場合には、ステップ10
7に進み、エラーを結果として出力してもよいし、ある
いは、第1の実施形態に示されるような、通信網を介し
て証明書付帯情報5の取得処理を行なってもよい。
帯情報管理サーバアドレス情報をあらかじめ装置1内に
登録しておく必要がある。本実施形態は、公開鍵証明書
4に付帯情報管理サーバ識別情報413に合わせて、付
帯情報管理サーバアドレス情報414も含めることとし
たもので、これにより装置1内に付帯情報管理サーバア
ドレス情報を予め登録しておく必要がない。図9は、構
成要素として付帯情報管理サーバアドレス情報414を
追加した公開鍵証明書4を表わしている。
証装置1の動作を示すフローチャートである。
部13は公開鍵証明書4から付帯情報識別情報412と
付帯情報管理サーバ識別情報413と付帯情報管理サー
バアドレス情報414を取得し、ステップ110で、付
帯情報取得部14は付帯情報管理サーバアドレス情報4
14により付帯情報管理サーバ2との通信手段を利用す
ることによって、付帯情報識別管理サーバ識別情報41
3に対応する付帯情報管理サーバ2から付帯情報識別情
報412に対応する証明書付帯情報5を取得する点が第
1の実施形態と異なる。
報5が、対応する公開鍵証明書4を発行した認証局から
正しく権限委譲された付帯情報管理サーバ2によって作
成されたものであることを付帯情報認証情報53により
検証している。このような付帯情報認証情報53の実現
手段として、現在、電子データの真正性を検証可能とす
るために広く利用されている、公開鍵暗号方式によるデ
ィジタル署名を利用することができる。また、この場
合、付帯情報検証情報としてはディジタル署名を生成し
た付帯情報管理サーバ2の公開鍵証明書4を用いること
が適当である。この場合、付帯情報認証情報53を付帯
情報管理サーバ2によるディジタル署名とし、公開鍵証
明書情報検証装置1は、公開鍵証明書4に含まれる付帯
情報管理サーバ識別情報413によって特定される付帯
情報管理サーバ2の公開鍵証明書4を付帯情報検証情報
として保持しているものとする。
テップ105において、付帯情報検証部15は、上記の
ような付帯情報管理サーバ2のディジタル署名を付帯情
報認証情報53として、付帯情報管理サーバ2の公開鍵
証明書4を付帯情報検証情報とする処理を行なえばよ
い。
ディジタル署名を適用する場合、例えば、付帯情報とし
て、IETF PKIXワーキンググループで標準化が
進められている属性証明書を用いることや、W3Cが規
定するXML(Extensible Markup
Language)によって記述されるXML文書に、
同W3Cが規定するXML Signatureによる
ディジタル署名を付与した電子データを用いるなどの方
法が考えられる。
装置1は、付帯情報管理サーバ2から付帯情報識別情報
51に対応する証明書付帯情報5を無条件に取得可能と
なっている。しかしながら、これは証明書付帯情報5に
限られた範囲にのみ公開したい情報を含めたい場合など
に問題が生じる。そこで、付帯情報管理サーバ2は、図
11に示すように、証明書付帯情報5ごとに証明書付帯
情報アクセス制御情報6を保持し、付帯情報識別情報5
1に対応する証明書付帯情報アクセス制御情報6を特定
する証明書付帯情報アクセス制御情報管理部23を有
し、証明書付帯情報5に対して定められたアクセス制御
情報6(通信者認証、権限認証、等)を満たす場合にの
み、証明書付帯情報5を取得可能とし、上記の問題を解
決する。
に、証明書付帯情報5の変更が可能となるため、公開鍵
証明書4に対応する新旧の証明書付帯情報5が混在する
可能性がある。そこで、第1の実施形態のステップ10
4、第2の実施形態のステップ108、第3の実施形態
のステップ110において、付帯情報取得部14は、複
数の証明書付帯情報5を取得した場合には、証明書付帯
情報5の登録日付が新しいものを採用することによっ
て、適切な証明書付帯情報5を選択可能となる。
理は専用のハードウェアにより実現されるもの以外に、
その機能を実現するためのプログラムを、コンピュータ
読み取り可能な記録媒体に記録して、この記録媒体に記
録されたプログラムをコンピュータシステムに読み込ま
せ、実行するものであってもよい。コンピュータ読み取
り可能な記録媒体とは、フロッピー(登録商標)ディス
ク、光磁気ディスク、CD−ROM等の記録媒体、コン
ピュータシステムに内蔵されるハードディスク装置等の
記憶装置を指す。さらに、コンピュータ読み取り可能な
記録媒体は、インターネットを介してプログラムを送信
する場合のように、短時間の間、動的にプログラムを保
持するもの(伝送媒体もしくは伝送波)、その場合のサ
ーバとなるコンピュータシステム内部の揮発性メモリの
ように、一定時間プログラムを保持しているものも含
む。
うな効果がある。
明対象情報のうち変更頻度が高い付帯情報を、公開鍵証
明書を発行した認証局が、付帯情報管理サーバに管理・
変更権限を委譲した上で格納し、公開鍵証明書の証明対
象情報を検証、解釈する際には、公開鍵証明書に含まれ
る情報と公開鍵証明書から特定される付帯情報管理サー
バから得られる付帯情報が表わす情報とを合わせて解釈
結果とすることによって、付帯情報に変更があった場合
にも、公開鍵証明書を再発行する必要がなく、公開鍵証
明書を発行した認証局は付帯情報の管理・変更権限を安
全に付帯情報管理サーバに委譲することができる。これ
により、公開鍵証明書に利便性が高いが変更頻度が高
く、従来の方法では、格納することが困難であった情報
を、公開鍵証明書の証明対象情報として解釈可能とな
り、間接的に公開鍵証明書に含めることが可能となる。
セス可能な記憶媒体に公開鍵証明書に含まれる付帯情報
識別情報が特定する付帯情報を格納し、この情報を公開
鍵証明書の情報と共に、公開鍵証明書の証明対象情報と
して解釈することにより、付帯情報管理サーバにオンラ
インでアクセス可能な状態でなくても、公開鍵証明書に
利便性が高いが変更頻度が高く、従来の方法では、格納
することが困難であった情報を、公開鍵証明書の証明対
象情報として解釈可能となり、間接的に公開鍵証明書に
含めることが可能となる。
公開鍵証明書の付帯情報を管理する付帯情報管理サーバ
と通信するために必要な付帯情報管理サーバアドレス情
報を含めることにより、公開鍵証明書検証装置は、付帯
情報管理サーバの通信手段を備えていれば、通信先をあ
らかじめ登録しておかなくても、公開鍵証明書に含まれ
る情報によって通信することが可能となる。
報として公開鍵認証基盤による認証手段を用いることに
より、公開鍵認証基盤に対応した認証プログラム、シス
テムを利用して付帯情報の正当性を検証することが可能
となる。
ーバへのアクセス権限を設定して、アクセス権限のない
利用者や検証プログラム等からの付帯情報を取得を防止
することにより、あらかじめ限られた範囲で扱いたい情
報を付帯情報として、公開鍵証明書の証明対象情報とし
て解釈することが可能となる。
報に対応する証明書付帯情報が複数存在する場合には、
登録日時が新しいものを採用することにより、証明書付
帯情報が変更となり、変更前の古い証明書付帯情報が混
在する環境下でも適切な証明書付帯情報を選択すること
が可能となる。
る。
構成図である。
である。
フローチャートである。
構成図である。
動作を示すフローチャートである。
である。
の動作を示すフローチャートである。
図である。
Claims (14)
- 【請求項1】 認証局があらかじめ発行した、公開鍵証
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力ス
テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得ステップと、 前記付帯情報管理サーバの識別情報に対応する付帯情報
管理サーバアドレス情報を用いて付帯情報管理サーバへ
の通信手段を利用することによって、前記付帯情報管理
サーバの識別情報に対応する付帯情報管理サーバから前
記付帯情報の識別情報が示す付帯情報を取得する付帯情
報取得ステップと、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、付帯情報検証情報によって検証する付帯情報検証ス
テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証ステップを有する公開鍵証明書情報検証方法。 - 【請求項2】 認証局があらかじめ発行した、公開鍵証
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力ス
テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得ステップと、 前記付帯情報の識別情報に対応する付帯情報を公開鍵証
明書情報検証装置から取得する付帯情報取得ステップ
と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、付帯情報検証情報によって検証する付帯情報検証ス
テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証ステップを有する公開鍵証明書情報検証方法。 - 【請求項3】 認証局があらかじめ発行した、公開鍵証
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力ス
テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報とアドレス情報を取得する
公開鍵証明書情報取得ステップと、 前記付帯情報管理サーバのアドレス情報により前記付帯
情報管理サーバへの通信手段を利用することによって、
前記付帯情報識別管理サーバの識別情報に対応する付帯
情報管理サーバから前記付帯情報の識別情報に対応する
付帯情報を取得する付帯情報取得ステップと、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、付帯情報検証情報によって検証する付帯情報検証ス
テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証ステップを有する公開鍵証明書情報検証方法。 - 【請求項4】 前記付帯情報検証ステップは、前記付帯
情報認証情報を公開鍵暗号方式による署名データとし、
前記付帯情報検証情報を該署名データを検証するための
検証鍵を含む情報とすることにより、前記付帯情報の作
成者が前記公開鍵証明書に含まれる付帯情報管理サーバ
識別情報によって特定される付帯情報管理サーバである
ことを検証する、請求項1から3のいずれか1項に記載
の証明書情報検証方法。 - 【請求項5】 前記付帯情報管理サーバに証明書付帯情
報と共に該証明書付帯情報に対応する付帯情報アクセス
権限情報を格納しておき、前記付帯情報取得ステップで
前記付帯情報管理サーバ識別情報に対応する付帯情報管
理サーバアドレス情報によって特定される付帯情報管理
サーバへの通信手段を利用することによって、該付帯情
報管理サーバが前記付帯情報アクセス権限情報によるア
クセス権限の判定に成功した場合にのみ該付帯情報管理
サーバから付帯情報識別情報に対応する証明書付帯情報
が返却される、請求項1または3に記載の証明書情報検
証方法。 - 【請求項6】 前記付帯情報取得ステップで、前記付帯
情報の識別情報に対応する付帯情報が複数取得された場
合には、登録日時が新しいものを前記付帯情報の識別情
報に対応する付帯情報として採用する、請求項1から5
のいずれか1項に記載の証明書情報検証方法。 - 【請求項7】 認証局があらかじめ発行した、公開鍵証
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力手
段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得手段と、 前記付帯情報管理サーバの識別情報に対応する付帯情報
管理サーバアドレス情報を用いて付帯情報管理サーバへ
の通信手段を利用することによって、前記付帯情報管理
サーバの識別情報に対応する付帯情報管理サーバから前
記付帯情報の識別情報が示す付帯情報を取得する付帯情
報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、予め保持されている付帯情報検証情報によって検証
する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証手段を有する公開鍵証明書情報検証装置。 - 【請求項8】 認証局があらかじめ発行した、公開鍵証
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力手
段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得手段と、 前記付帯情報の識別情報に対応する付帯情報を公開鍵証
明書情報検証装置から取得する付帯情報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、予め保持されている付帯情報検証情報によって検証
する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証手段を有する公開鍵証明書情報検証装置。 - 【請求項9】 認証局があらかじめ発行した、公開鍵証
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力手
段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報と付帯情報管理サーバアド
レス情報を取得する公開鍵証明書情報取得手段と、 前記付帯情報管理サーバのアドレス情報により前記付帯
情報管理サーバへの通信手段を利用することによって、
前記付帯情報識別管理サーバの識別情報に対応する付帯
情報管理サーバから前記付帯情報の識別情報に対応する
証明書付帯情報を取得する付帯情報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、予め保持されている付帯情報検証情報によって検証
する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証手段を有する公開鍵証明書情報検証装置。 - 【請求項10】 前記付帯情報検証手段は、前記付帯情
報認証情報が公開鍵暗号方式による署名データであり、
付帯情報検証情報が該署名データを検証するための検証
鍵を含む情報であり、前記付帯情報の作成者が前記公開
鍵証明書に含まれる付帯情報管理サーバ識別情報によっ
て特定される付帯情報管理サーバであることを検証す
る、請求項7から9のいずれか1項に記載の証明書情報
検証装置。 - 【請求項11】 前記付帯情報取得手段は、付帯情報管
理サーバ識別情報に対応する付帯情報管理サーバアドレ
ス情報によって特定される、証明書付帯情報と共に該証
明書付帯情報に対応する付帯情報アクセス権限情報を格
納した付帯情報管理サーバへの通信手段を利用すること
によって、該付帯情報管理サーバが付帯情報アクセス権
限情報によるアクセス権限の判定に成功した場合にのみ
該付帯情報管理サーバから付帯情報識別情報に対応する
証明書付帯情報が返却される、請求項7または9に記載
の証明書情報検証装置。 - 【請求項12】 前記付帯情報取得手段は、付帯情報識
別情報に対応する付帯情報が複数取得された場合には、
登録日時が新しいものを付帯情報識別情報に対応する付
帯情報として採用する、請求項7から11のいずれか1
項に記載の証明書情報検証装置。 - 【請求項13】 公開鍵証明書の付帯情報の識別情報
と、該付帯情報の管理・変更権限を委譲した付帯情報管
理サーバの識別情報を含む公開鍵証明書を発行する認証
局。 - 【請求項14】 公開鍵証明書の付帯情報の識別情報
と、該付帯情報の管理・変更権限を委譲した付帯情報管
理サーバの識別情報と、該付帯情報管理サーバのアドレ
ス情報を含む公開鍵証明書を発行する認証局。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002126915A JP3920698B2 (ja) | 2002-04-26 | 2002-04-26 | 公開鍵証明書情報検証方法および装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002126915A JP3920698B2 (ja) | 2002-04-26 | 2002-04-26 | 公開鍵証明書情報検証方法および装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003318893A true JP2003318893A (ja) | 2003-11-07 |
JP3920698B2 JP3920698B2 (ja) | 2007-05-30 |
Family
ID=29541190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002126915A Expired - Fee Related JP3920698B2 (ja) | 2002-04-26 | 2002-04-26 | 公開鍵証明書情報検証方法および装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3920698B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7886153B2 (en) | 2005-06-30 | 2011-02-08 | Brother Kogyo Kabushiki Kaisha | Communication device and communication system |
-
2002
- 2002-04-26 JP JP2002126915A patent/JP3920698B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7886153B2 (en) | 2005-06-30 | 2011-02-08 | Brother Kogyo Kabushiki Kaisha | Communication device and communication system |
Also Published As
Publication number | Publication date |
---|---|
JP3920698B2 (ja) | 2007-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Housley et al. | RFC3280: Internet X. 509 public key infrastructure certificate and certificate revocation list (CRL) profile | |
TWI497972B (zh) | 用於將一主張訊息自一求證方提供至一信賴方之方法、傳輸實體、接收實體及系統 | |
US7461250B1 (en) | System and method for certificate exchange | |
US7356690B2 (en) | Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate | |
CN112291245B (zh) | 一种身份授权方法、装置、存储介质及设备 | |
US20020004800A1 (en) | Electronic notary method and system | |
US6675296B1 (en) | Information certificate format converter apparatus and method | |
US20070136599A1 (en) | Information processing apparatus and control method thereof | |
US20030177351A1 (en) | System and method for single session sign-on with cryptography | |
CN111490873B (zh) | 基于区块链的证书信息处理方法及系统 | |
JP2002139996A (ja) | 署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法 | |
EP1668815B1 (en) | Delegated certificate authority | |
CN112311538A (zh) | 一种身份验证的方法、装置、存储介质及设备 | |
JP2003348077A (ja) | 属性証明書検証方法および装置 | |
Solo et al. | Internet X. 509 public key infrastructure certificate and CRL profile | |
Wagner et al. | DNS-based trust scheme publication and discovery | |
JP2003224563A (ja) | 署名検証システムおよび方法と署名検証プログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体 | |
GB2391438A (en) | Electronic sealing for electronic transactions | |
JP2007266797A (ja) | 認証システムおよびその認証方法 | |
US20020144107A1 (en) | Password exposure elimination for digital signature coupling with a host identity | |
JP2009031849A (ja) | 電子申請用証明書発行システムおよび電子申請受付システム、並びにそれらの方法およびプログラム | |
JP2003318893A (ja) | 証明書情報検証方法および装置ならびに認証局 | |
JP2008509591A (ja) | 電子取引の明細に関するプライバシを保護する取引認証方法および取引認証システム | |
JP4157751B2 (ja) | コンテンツ流通システム、流通管理サーバ装置、付加情報参照ユーザ端末装置、プログラム及び記録媒体 | |
JP2004341897A (ja) | 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040728 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20040728 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040728 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061115 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070215 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120223 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |