JP2003318893A - 証明書情報検証方法および装置ならびに認証局 - Google Patents

証明書情報検証方法および装置ならびに認証局

Info

Publication number
JP2003318893A
JP2003318893A JP2002126915A JP2002126915A JP2003318893A JP 2003318893 A JP2003318893 A JP 2003318893A JP 2002126915 A JP2002126915 A JP 2002126915A JP 2002126915 A JP2002126915 A JP 2002126915A JP 2003318893 A JP2003318893 A JP 2003318893A
Authority
JP
Japan
Prior art keywords
information
incidental
management server
public key
supplementary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002126915A
Other languages
English (en)
Other versions
JP3920698B2 (ja
Inventor
Yoshiaki Nakajima
良彰 中嶋
Hironori Takeuchi
宏典 竹内
Yoshito Oshima
嘉人 大嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002126915A priority Critical patent/JP3920698B2/ja
Publication of JP2003318893A publication Critical patent/JP2003318893A/ja
Application granted granted Critical
Publication of JP3920698B2 publication Critical patent/JP3920698B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 公開鍵証明書を再発行することなく、変更頻
度が高い付帯情報を変更可能とする。 【解決手段】 公開鍵証明書有効性検証部12は入力さ
れた公開鍵証明書の有効性を検証する。判定結果が有効
であれば、公開鍵情報取得部13は公開鍵証明書から付
帯情報識別情報と付帯情報管理サーバ識別情報とを取得
する。付帯情報取得部14は付帯情報識別管理サーバ識
別情報によって特定される付帯情報管理サーバアドレス
情報により、付帯情報管理サーバから付帯情報識別情報
に対応する証明書付帯情報を取得する。付帯情報検証部
15は付帯情報認証情報と付帯情報検証情報によって証
明書付帯情報の有効性を検証する。有効な場合には、検
証結果出力部16は公開鍵証明書と証明書付帯情報の付
帯情報を合わせて公開鍵証明書の証明対象情報として有
効であることを出力する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は証明書情報検証方法
および装置に関する。
【0002】
【従来の技術】通信相手の認証、電子データの真正性の
確認のためには、公開鍵暗号方式によるディジタル署名
の技術が広く利用されている。
【0003】通信相手を認証する際には、通信相手から
受信したディジタル署名を通信相手の公開鍵(検証鍵)
によって検証し、検証に成功すれば意図する通信相手で
あると判定する。この時、公開鍵は厳密に意図する通信
相手に対応するものでなければ、認証処理の結果を信用
することができないため、公開鍵認証基盤(PKI)で
は、公開鍵と公開鍵の持ち主の対応関係を、信頼する第
三者機関として認証局が証明を行ない、証明の事実を公
開鍵証明書と呼ばれる電子データの形式で発行、流通さ
せる方式を採っている。認証局が発行する公開鍵証明書
は、認証局が定める有効期間の間、公開鍵と公開鍵の持
ち主を表わすIDの対応関係を証明するものである。
【0004】ここで、公開鍵証明書は、上記の対応関係
以外にも、公開鍵や公開鍵の持ち主に関する様々な情報
を含めることができる。実際に、現在、公開鍵証明書を
適用する分野、システム、ネットワークサービスによっ
て、多様な情報(以下、付帯情報と呼ぶ)を公開鍵証明
書に含めて公開鍵と共に流通させている。
【0005】仮に、上記のような公開鍵証明書の付帯情
報に変更があった場合には、変更内容を反映した公開鍵
証明書を再発行する必要がある。
【0006】しかしながら、公開鍵証明書を再発行する
と、公開鍵証明書の持ち主のみならず、再発行された公
開鍵証明書によって認証処理を行なう必要が利用者、シ
ステム、装置には、認証処理のために変更があった付帯
情報を利用していない場合にも再配布する必要があり、
変更頻度が高い情報を付帯情報として公開鍵証明書に格
納すると配布コストが増大するという問題があった。
【0007】
【発明が解決しようとする課題】上述した従来の方法で
は、公開鍵証明書にさまざまな利用者情報を付帯情報と
して格納できるにもかかわらず、変更頻度が高い付帯情
報を格納してしまうと、公開鍵証明書の再発行が頻発
し、結果的に公開鍵証明書を利用するシステム、装置、
サービスのコスト増大を招いていた。
【0008】本発明の目的は、変更頻度が高い付帯情報
を公開鍵証明書の証明対象の情報として解釈可能とし、
付帯情報に変更があった場合にも公開鍵証明書を再発行
することなく実施可能な証明書情報検証方法および装置
を提供することにある。
【0009】
【課題を解決するための手段】認証局は、公開鍵証明書
の付帯情報(証明書付帯情報)の識別情報と、証明書付
帯情報の管理・変更権限を認証局から委譲された付帯情
報管理サーバの識別情報とを含む公開鍵証明書をあらか
じめ発行しておく。また、公開鍵証明書情報検証装置
に、証明書付帯情報を検証する付帯情報検証情報と、付
帯情報管理サーバ識別情報に対応する付帯情報管理サー
バの通信アドレスを表わす付帯情報管理サーバアドレス
情報と、付帯情報管理サーバとの通信手段をあらかじめ
備えておく。また、付帯情報管理サーバには、付帯情報
識別情報と、付帯情報と付帯情報認証情報とを含む証明
書付帯情報を格納しておく。
【0010】公開鍵証明書情報検証装置は、公開鍵証明
書を入力として受け取り、該公開鍵証明書から付帯情報
識別情報と付帯情報管理サーバ識別情報とを取り出し、
付帯情報管理サーバ識別情報に対応する付帯情報管理サ
ーバアドレス情報によって付帯情報管理サーバへの通信
手段を利用することにより付帯情報管理サーバから付帯
情報識別情報に対応する証明書付帯情報を取得し、該付
帯情報管理サーバ識別情報が特定する付帯情報管理サー
バにより該証明書付帯情報が作成されたものであること
を該証明書付帯情報に含まれる付帯情報認証情報と、付
帯情報検証情報によって検証し、検証が成功した場合に
は、公開鍵証明書に含まれる情報と証明書付帯情報に含
まれる付帯情報とを合わせて、公開鍵証明書が表わす有
効な証明情報であると判定する。
【0011】通信相手や電子データの認証処理を行なう
ために用いる公開鍵証明書から更新可能部分を付帯情報
として分離し、付帯情報管理サーバが管理することと
し、付帯情報の変更権限を、公開鍵証明書を発行した認
証局が付帯情報管理サーバに権限委譲することにより、
公開鍵証明書を再発行することなく公開鍵証明書の証明
内容を部分的に変更可能となる。
【0012】本発明の他の態様では、通信網を利用して
付帯情報管理サーバから証明書付帯情報を取得する代り
に、証明書情報検証装置に証明書付帯情報をあらかじめ
登録しておき、付帯情報識別情報に対応する証明書付帯
情報が登録されていることを判定し、登録されている場
合には該証明書付帯情報を取得する。
【0013】これにより、通信網を利用できない場合で
も検証処理が可能となる。
【0014】本発明のさらに他の態様では、認証局は、
付帯情報識別情報と、付帯情報の管理・変更権限を認証
局から委譲された付帯情報管理サーバの付帯情報管理サ
ーバ識別情報とともに、付帯情報管理サーバ識別情報に
対応する付帯情報管理サーバの通信アドレスを表わす付
帯情報管理サーバアドレス情報を含む公開鍵証明書をあ
らかじめ発行しておき、また、公開鍵証明書情報検証装
置には、証明書付帯情報を検証する付帯情報検証情報
と、付帯情報管理サーバへの通信手段をあらかじめ備え
ておく。そして、公開鍵証明書が証明する情報の有効性
を検証する際、受け取った公開鍵証明書から付帯情報識
別情報と付帯情報管理サーバ識別情報と付帯情報管理サ
ーバアドレス情報とを取得し、取得された付帯情報管理
サーバアドレスによって特定される付帯情報管理サーバ
への通信手段を利用することにより付帯情報管理サーバ
から付帯情報識別情報に対応する証明書付帯情報を取得
する。
【0015】したがって、公開鍵証明書証明装置は、付
帯情報管理サーバの通信手段を備えていれば、通信先を
あらかじめ登録しておかなくても、公開鍵証明書に含ま
れる情報によって通信することが可能となる。
【0016】付帯情報認証情報として公開鍵認証基盤に
よる認証手段を用いることにより、公開鍵認証基盤に対
応した認証プログラム、システムを利用して付帯情報の
正当性を検証することが可能となる。
【0017】付帯情報管理サーバへのアクセス権限を設
定して、アクセス権限のない利用者や検証プログラム等
からの付帯情報を取得を防止することにより、あらかじ
め限られた範囲で扱いたい情報を付帯情報として、公開
鍵証明書の証明対象情報として解釈することが可能とな
る。
【0018】付帯情報識別情報に対応する証明書付帯情
報が複数存在する場合には、登録日時が新しいものを採
用することにより、証明書付帯情報が変更となり、変更
前の古い証明書付帯情報が混在する環境下でも適切な証
明書付帯情報を選択することが可能となる。
【0019】
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。
【0020】図1に示すように、本発明の証明書情報検
証システムは、公開鍵証明書の証明情報の有効性を検証
する公開鍵証明書情報検証装置1と、公開鍵証明書の付
帯情報を管理・格納する付帯情報管理サーバ2とによっ
て構成され、公開鍵証明書情報検証装置1と付帯情報管
理サーバ2はインターネットのような通信網3によって
互いに接続されている。
【0021】第1の実施形態 図2は本実施形態で用いられる公開鍵証明書4を示して
いる。公開鍵証明書4は署名対象部41と署名データ部
42によって構成され、署名対象部41には認証局識別
情報411と付帯情報識別情報412と付帯情報管理サ
ーバ識別情報413とが含まれる。署名データ部42
は、認証局識別情報411によって特定される認証局の
公開鍵証明書に含まれる公開鍵に対応する秘密鍵によっ
て署名対象部41を暗号化して得られたデータである。
公開鍵証明書4は、認証局識別情報411に対応する公
開鍵証明書に含まれる公開鍵(検証鍵)により署名デー
タ部42の検証を行ない、検証が成功した場合は、公開
鍵証明書4が、認証局識別情報411が特定する認証局
によって発行された公開鍵証明書であることを確認でき
る。付帯情報管理サーバ識別情報413は、公開鍵証明
書4を発行した認証局が、公開鍵証明書4の付帯情報の
管理、変更権限を委譲した付帯情報管理サーバを特定す
るための情報である。付帯情報管理サーバ識別情報41
3で特定される付帯情報管理サーバ2内では、公開鍵証
明書4の付帯情報を付帯情報識別情報412に特定す
る。
【0022】図3は付帯情報管理サーバ2が作成、管理
する証明書付帯情報5を示している。証明書付帯情報5
は付帯情報識別情報51と付帯情報52と付帯情報認証
情報53とによって構成される。
【0023】図4に示すように、公開鍵証明書情報検証
装置1は、検証対象情報入力部11と公開鍵証明書有効
性検証部12と公開鍵証明書情報取得部13と付帯情報
取得部14と付帯情報検証部15と検証結果出力部16
とを有する。
【0024】検証対象入力部11は検証対象の公開鍵証
明書4を入力する。公開鍵証明書有効性検証部12は、
署名データ部42の有効性を認証局識別情報411によ
って特定される認証局の有効な公開鍵証明書を用いて検
証するとともに、公開鍵認証基盤(PKI)の標準規約
によって定められる公開鍵証明書の有効性検証を行な
う。公開鍵証明書情報取得部13は、公開鍵証明書4か
ら付帯情報識別情報412と付帯情報管理サーバ識別情
報413とを取り出す。付帯情報取得部14は、付帯情
報管理サーバ識別情報413によって特定される付帯情
報管理サーバ2の通信アドレスをもとに、付帯情報管理
サーバ2との通信手段を利用することによって、付帯情
報管理サーバ2から、付帯情報識別情報412によって
特定される証明書付帯情報5を取得する。付帯情報検証
部15は、付帯情報取得部14で取得した証明書付帯情
報5の有効性を付帯情報認証情報53(図3)と付帯情
報検証情報によって検証する。検証結果出力部16は、
公開鍵証明書有効性検証部12によって公開鍵証明書4
の有効性が確認され、かつ、付帯情報検証部15によっ
て証明書付帯情報5の有効性が確認された場合に、公開
鍵証明書4と付帯情報52の内容が有効な情報であるこ
とを結果として返却する。
【0025】図5は付帯情報管理サーバ2の構成を示し
ている。付帯情報管理サーバ2は証明書付帯情報提供部
21と証明書付帯情報管理部22で構成されている。証
明書付帯情報提供部21は、付帯情報識別情報51を入
力として受け付ける。証明書付帯情報管理部22は、1
つ以上の証明書付帯情報5を保持し、付帯情報識別情報
51に対応する証明書付帯情報5を特定する。
【0026】次に、公開鍵証明書情報検証装置1の動作
を図6のフローチャートをもとに説明する。ステップ1
01に、検証対象入力部11は公開鍵証明書4を入力と
して取得し、ステップ102に進む。ステップ102
に、公開鍵証明書有効性検証部12は公開鍵証明書4の
有効性を検証し、判定結果が有効であれば、ステップ1
03に進む。無効であればステップ107に進む。ステ
ップ103に、公開鍵証明書情報取得部13は公開鍵証
明書4から付帯情報識別情報412と付帯情報管理サー
バ識別情報413とを取得し、ステップ104に進む。
ステップ104に、付帯情報取得部14は付帯情報識別
管理サーバ識別情報413によって特定される(あらか
じめ公開鍵証明書情報検証装置1に登録されている)付
帯情報管理サーバアドレス情報により付帯情報管理サー
バ2との通信手段を利用することによって、付帯情報管
理サーバ2から付帯情報識別情報412に対応する証明
書付帯情報5を取得し、ステップ105に進む。ステッ
プ105に、付帯情報検証部15は付帯情報認証情報5
3と(あらかじめ公開鍵証明書情報検証装置1に登録さ
れている)付帯情報検証情報によって証明書付帯情報5
の有効性を検証し、有効な場合にはステップ106に進
み、無効な場合にはステップ107に進む。ステップ1
06に、検証結果出力部16は公開鍵証明書4と証明書
付帯情報5の付帯情報52を合わせて公開鍵証明書4の
証明対象情報として有効であることを結果として出力し
て終了する。ステップ107では、結果としてエラーを
出力して終了する。
【0027】第2の実施形態 第1の実施形態の公開鍵証明書情報検証装置1では通信
網を利用して公開鍵証明書4に対応する証明書付帯情報
5を取得している。
【0028】本実施形態では、図7に示すように、公開
鍵証明書情報検証装置1内に付帯情報記憶部17を設
け、付帯情報記憶部17内に複数の証明書付帯情報5を
予め登録しておくことによって、通信網を利用できない
場合でも検証処理を可能としたものである。
【0029】図8は本実施形態の公開鍵証明書情報検証
装置の動作を示すフローチャートである。
【0030】ステップ108で付帯情報識別情報412
に対応する証明書付帯情報5を付帯情報記憶部17から
取得する点が図6のフローチャートと異なる。
【0031】本実施形態では、ステップ108にて、証
明書付帯情報5を装置1内から取得できた場合のみ記載
しているが、取得できなかった場合には、ステップ10
7に進み、エラーを結果として出力してもよいし、ある
いは、第1の実施形態に示されるような、通信網を介し
て証明書付帯情報5の取得処理を行なってもよい。
【0032】第3の実施形態 第1の実施形態の公開鍵証明書情報検証装置1では、付
帯情報管理サーバアドレス情報をあらかじめ装置1内に
登録しておく必要がある。本実施形態は、公開鍵証明書
4に付帯情報管理サーバ識別情報413に合わせて、付
帯情報管理サーバアドレス情報414も含めることとし
たもので、これにより装置1内に付帯情報管理サーバア
ドレス情報を予め登録しておく必要がない。図9は、構
成要素として付帯情報管理サーバアドレス情報414を
追加した公開鍵証明書4を表わしている。
【0033】図10は本実施形態の公開鍵証明書情報検
証装置1の動作を示すフローチャートである。
【0034】ステップ109で、公開鍵証明書情報取得
部13は公開鍵証明書4から付帯情報識別情報412と
付帯情報管理サーバ識別情報413と付帯情報管理サー
バアドレス情報414を取得し、ステップ110で、付
帯情報取得部14は付帯情報管理サーバアドレス情報4
14により付帯情報管理サーバ2との通信手段を利用す
ることによって、付帯情報識別管理サーバ識別情報41
3に対応する付帯情報管理サーバ2から付帯情報識別情
報412に対応する証明書付帯情報5を取得する点が第
1の実施形態と異なる。
【0035】第4の実施形態 以上の第1、第2、第3の実施形態では、証明書付帯情
報5が、対応する公開鍵証明書4を発行した認証局から
正しく権限委譲された付帯情報管理サーバ2によって作
成されたものであることを付帯情報認証情報53により
検証している。このような付帯情報認証情報53の実現
手段として、現在、電子データの真正性を検証可能とす
るために広く利用されている、公開鍵暗号方式によるデ
ィジタル署名を利用することができる。また、この場
合、付帯情報検証情報としてはディジタル署名を生成し
た付帯情報管理サーバ2の公開鍵証明書4を用いること
が適当である。この場合、付帯情報認証情報53を付帯
情報管理サーバ2によるディジタル署名とし、公開鍵証
明書情報検証装置1は、公開鍵証明書4に含まれる付帯
情報管理サーバ識別情報413によって特定される付帯
情報管理サーバ2の公開鍵証明書4を付帯情報検証情報
として保持しているものとする。
【0036】具体的には、第1から第3の実施形態のス
テップ105において、付帯情報検証部15は、上記の
ような付帯情報管理サーバ2のディジタル署名を付帯情
報認証情報53として、付帯情報管理サーバ2の公開鍵
証明書4を付帯情報検証情報とする処理を行なえばよ
い。
【0037】なお、以上のように、付帯情報認証情報に
ディジタル署名を適用する場合、例えば、付帯情報とし
て、IETF PKIXワーキンググループで標準化が
進められている属性証明書を用いることや、W3Cが規
定するXML(Extensible Markup
Language)によって記述されるXML文書に、
同W3Cが規定するXML Signatureによる
ディジタル署名を付与した電子データを用いるなどの方
法が考えられる。
【0038】第5の実施形態 以上の第1、第3の実施形態で、公開鍵証明書情報検証
装置1は、付帯情報管理サーバ2から付帯情報識別情報
51に対応する証明書付帯情報5を無条件に取得可能と
なっている。しかしながら、これは証明書付帯情報5に
限られた範囲にのみ公開したい情報を含めたい場合など
に問題が生じる。そこで、付帯情報管理サーバ2は、図
11に示すように、証明書付帯情報5ごとに証明書付帯
情報アクセス制御情報6を保持し、付帯情報識別情報5
1に対応する証明書付帯情報アクセス制御情報6を特定
する証明書付帯情報アクセス制御情報管理部23を有
し、証明書付帯情報5に対して定められたアクセス制御
情報6(通信者認証、権限認証、等)を満たす場合にの
み、証明書付帯情報5を取得可能とし、上記の問題を解
決する。
【0039】第6の実施形態 また、本実施形態により、公開鍵証明書4を再発行せず
に、証明書付帯情報5の変更が可能となるため、公開鍵
証明書4に対応する新旧の証明書付帯情報5が混在する
可能性がある。そこで、第1の実施形態のステップ10
4、第2の実施形態のステップ108、第3の実施形態
のステップ110において、付帯情報取得部14は、複
数の証明書付帯情報5を取得した場合には、証明書付帯
情報5の登録日付が新しいものを採用することによっ
て、適切な証明書付帯情報5を選択可能となる。
【0040】なお、公開鍵証明書情報検証装置1内の処
理は専用のハードウェアにより実現されるもの以外に、
その機能を実現するためのプログラムを、コンピュータ
読み取り可能な記録媒体に記録して、この記録媒体に記
録されたプログラムをコンピュータシステムに読み込ま
せ、実行するものであってもよい。コンピュータ読み取
り可能な記録媒体とは、フロッピー(登録商標)ディス
ク、光磁気ディスク、CD−ROM等の記録媒体、コン
ピュータシステムに内蔵されるハードディスク装置等の
記憶装置を指す。さらに、コンピュータ読み取り可能な
記録媒体は、インターネットを介してプログラムを送信
する場合のように、短時間の間、動的にプログラムを保
持するもの(伝送媒体もしくは伝送波)、その場合のサ
ーバとなるコンピュータシステム内部の揮発性メモリの
ように、一定時間プログラムを保持しているものも含
む。
【0041】
【発明の効果】以上説明したように、本発明は下記のよ
うな効果がある。
【0042】請求項1と7の発明は、公開鍵証明書の証
明対象情報のうち変更頻度が高い付帯情報を、公開鍵証
明書を発行した認証局が、付帯情報管理サーバに管理・
変更権限を委譲した上で格納し、公開鍵証明書の証明対
象情報を検証、解釈する際には、公開鍵証明書に含まれ
る情報と公開鍵証明書から特定される付帯情報管理サー
バから得られる付帯情報が表わす情報とを合わせて解釈
結果とすることによって、付帯情報に変更があった場合
にも、公開鍵証明書を再発行する必要がなく、公開鍵証
明書を発行した認証局は付帯情報の管理・変更権限を安
全に付帯情報管理サーバに委譲することができる。これ
により、公開鍵証明書に利便性が高いが変更頻度が高
く、従来の方法では、格納することが困難であった情報
を、公開鍵証明書の証明対象情報として解釈可能とな
り、間接的に公開鍵証明書に含めることが可能となる。
【0043】請求項2と8の発明は、オフラインでアク
セス可能な記憶媒体に公開鍵証明書に含まれる付帯情報
識別情報が特定する付帯情報を格納し、この情報を公開
鍵証明書の情報と共に、公開鍵証明書の証明対象情報と
して解釈することにより、付帯情報管理サーバにオンラ
インでアクセス可能な状態でなくても、公開鍵証明書に
利便性が高いが変更頻度が高く、従来の方法では、格納
することが困難であった情報を、公開鍵証明書の証明対
象情報として解釈可能となり、間接的に公開鍵証明書に
含めることが可能となる。
【0044】請求項3と9の発明は、公開鍵証明書に、
公開鍵証明書の付帯情報を管理する付帯情報管理サーバ
と通信するために必要な付帯情報管理サーバアドレス情
報を含めることにより、公開鍵証明書検証装置は、付帯
情報管理サーバの通信手段を備えていれば、通信先をあ
らかじめ登録しておかなくても、公開鍵証明書に含まれ
る情報によって通信することが可能となる。
【0045】請求項4と10の発明は、付帯情報認証情
報として公開鍵認証基盤による認証手段を用いることに
より、公開鍵認証基盤に対応した認証プログラム、シス
テムを利用して付帯情報の正当性を検証することが可能
となる。
【0046】請求項5と11の発明は、付帯情報管理サ
ーバへのアクセス権限を設定して、アクセス権限のない
利用者や検証プログラム等からの付帯情報を取得を防止
することにより、あらかじめ限られた範囲で扱いたい情
報を付帯情報として、公開鍵証明書の証明対象情報とし
て解釈することが可能となる。
【0047】請求項6と12の発明は、付帯情報識別情
報に対応する証明書付帯情報が複数存在する場合には、
登録日時が新しいものを採用することにより、証明書付
帯情報が変更となり、変更前の古い証明書付帯情報が混
在する環境下でも適切な証明書付帯情報を選択すること
が可能となる。
【図面の簡単な説明】
【図1】本発明の証明書情報検証システムの構成図であ
る。
【図2】公開鍵証明書の構成を示す図である。
【図3】証明書付帯情報の構成を示す図である。
【図4】第1の実施形態の公開鍵証明書情報検証装置の
構成図である。
【図5】第1の実施形態の付帯情報管理サーバの構成図
である。
【図6】図4の公開鍵証明書情報検証装置の動作を示す
フローチャートである。
【図7】第2の実施形態の公開鍵証明書情報検証装置の
構成図である。
【図8】第2の実施形態の公開鍵証明書情報検証装置の
動作を示すフローチャートである。
【図9】第3の実施形態の公開鍵証明書の構成を示す図
である。
【図10】第3の実施形態の公開鍵証明書情報検証装置
の動作を示すフローチャートである。
【図11】第5の実施形態の付帯情報管理サーバの構成
図である。
【符号の説明】
1 公開鍵証明書情報検証装置 2 付帯情報管理サーバ 3 通信網 4 公開鍵証明書 41 署名対象部 411 認証局情報 412 付帯情報識別情報 413 付帯情報管理サーバ識別情報 414 付帯情報管理サーバアドレス情報 42 署名データ部 5 証明書付帯情報 51 付帯情報識別情報 52 付帯情報 53 付帯情報認証情報 6 証明書付帯情報アクセス制御情報 11 検証対象入力部 12 公開鍵証明書有効性検証部 13 公開鍵証明書情報取得部 14 付帯情報取得部 15 付帯情報検証部 16 検証結果出力部 17 付帯情報記憶部 21 証明書付帯情報提供部 22 証明書付帯情報管理部 23 証明書付帯情報アクセス制御情報管理部 101〜110 ステップ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 大嶋 嘉人 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5J104 AA16 EA05 MA02

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】 認証局があらかじめ発行した、公開鍵証
    明書の付帯情報の識別情報と、該付帯情報の管理・変更
    権限を前記認証局から委譲された付帯情報管理サーバの
    識別情報を含む公開鍵証明書を入力する検証対象入力ス
    テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
    帯情報管理サーバの識別情報を取得する公開鍵証明書情
    報取得ステップと、 前記付帯情報管理サーバの識別情報に対応する付帯情報
    管理サーバアドレス情報を用いて付帯情報管理サーバへ
    の通信手段を利用することによって、前記付帯情報管理
    サーバの識別情報に対応する付帯情報管理サーバから前
    記付帯情報の識別情報が示す付帯情報を取得する付帯情
    報取得ステップと、 取得された付帯情報が前記付帯情報管理サーバの識別情
    報が示す付帯情報管理サーバによって作成されたもので
    あることを、該付帯情報に含まれる付帯情報認証情報
    と、付帯情報検証情報によって検証する付帯情報検証ス
    テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
    報と前記付帯情報とを合わせて該公開鍵証明書が表わす
    有効な証明情報であると判定する公開鍵証明書有効性検
    証ステップを有する公開鍵証明書情報検証方法。
  2. 【請求項2】 認証局があらかじめ発行した、公開鍵証
    明書の付帯情報の識別情報と、該付帯情報の管理・変更
    権限を前記認証局から委譲された付帯情報管理サーバの
    識別情報を含む公開鍵証明書を入力する検証対象入力ス
    テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
    帯情報管理サーバの識別情報を取得する公開鍵証明書情
    報取得ステップと、 前記付帯情報の識別情報に対応する付帯情報を公開鍵証
    明書情報検証装置から取得する付帯情報取得ステップ
    と、 取得された付帯情報が前記付帯情報管理サーバの識別情
    報が示す付帯情報管理サーバによって作成されたもので
    あることを、該付帯情報に含まれる付帯情報認証情報
    と、付帯情報検証情報によって検証する付帯情報検証ス
    テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
    報と前記付帯情報とを合わせて該公開鍵証明書が表わす
    有効な証明情報であると判定する公開鍵証明書有効性検
    証ステップを有する公開鍵証明書情報検証方法。
  3. 【請求項3】 認証局があらかじめ発行した、公開鍵証
    明書の付帯情報の識別情報と、該付帯情報の管理・変更
    権限を前記認証局から委譲された付帯情報管理サーバの
    識別情報を含む公開鍵証明書を入力する検証対象入力ス
    テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
    帯情報管理サーバの識別情報とアドレス情報を取得する
    公開鍵証明書情報取得ステップと、 前記付帯情報管理サーバのアドレス情報により前記付帯
    情報管理サーバへの通信手段を利用することによって、
    前記付帯情報識別管理サーバの識別情報に対応する付帯
    情報管理サーバから前記付帯情報の識別情報に対応する
    付帯情報を取得する付帯情報取得ステップと、 取得された付帯情報が前記付帯情報管理サーバの識別情
    報が示す付帯情報管理サーバによって作成されたもので
    あることを、該付帯情報に含まれる付帯情報認証情報
    と、付帯情報検証情報によって検証する付帯情報検証ス
    テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
    報と前記付帯情報とを合わせて該公開鍵証明書が表わす
    有効な証明情報であると判定する公開鍵証明書有効性検
    証ステップを有する公開鍵証明書情報検証方法。
  4. 【請求項4】 前記付帯情報検証ステップは、前記付帯
    情報認証情報を公開鍵暗号方式による署名データとし、
    前記付帯情報検証情報を該署名データを検証するための
    検証鍵を含む情報とすることにより、前記付帯情報の作
    成者が前記公開鍵証明書に含まれる付帯情報管理サーバ
    識別情報によって特定される付帯情報管理サーバである
    ことを検証する、請求項1から3のいずれか1項に記載
    の証明書情報検証方法。
  5. 【請求項5】 前記付帯情報管理サーバに証明書付帯情
    報と共に該証明書付帯情報に対応する付帯情報アクセス
    権限情報を格納しておき、前記付帯情報取得ステップで
    前記付帯情報管理サーバ識別情報に対応する付帯情報管
    理サーバアドレス情報によって特定される付帯情報管理
    サーバへの通信手段を利用することによって、該付帯情
    報管理サーバが前記付帯情報アクセス権限情報によるア
    クセス権限の判定に成功した場合にのみ該付帯情報管理
    サーバから付帯情報識別情報に対応する証明書付帯情報
    が返却される、請求項1または3に記載の証明書情報検
    証方法。
  6. 【請求項6】 前記付帯情報取得ステップで、前記付帯
    情報の識別情報に対応する付帯情報が複数取得された場
    合には、登録日時が新しいものを前記付帯情報の識別情
    報に対応する付帯情報として採用する、請求項1から5
    のいずれか1項に記載の証明書情報検証方法。
  7. 【請求項7】 認証局があらかじめ発行した、公開鍵証
    明書の付帯情報の識別情報と、該付帯情報の管理・変更
    権限を前記認証局から委譲された付帯情報管理サーバの
    識別情報を含む公開鍵証明書を入力する検証対象入力手
    段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
    帯情報管理サーバの識別情報を取得する公開鍵証明書情
    報取得手段と、 前記付帯情報管理サーバの識別情報に対応する付帯情報
    管理サーバアドレス情報を用いて付帯情報管理サーバへ
    の通信手段を利用することによって、前記付帯情報管理
    サーバの識別情報に対応する付帯情報管理サーバから前
    記付帯情報の識別情報が示す付帯情報を取得する付帯情
    報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
    報が示す付帯情報管理サーバによって作成されたもので
    あることを、該付帯情報に含まれる付帯情報認証情報
    と、予め保持されている付帯情報検証情報によって検証
    する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
    報と前記付帯情報とを合わせて該公開鍵証明書が表わす
    有効な証明情報であると判定する公開鍵証明書有効性検
    証手段を有する公開鍵証明書情報検証装置。
  8. 【請求項8】 認証局があらかじめ発行した、公開鍵証
    明書の付帯情報の識別情報と、該付帯情報の管理・変更
    権限を前記認証局から委譲された付帯情報管理サーバの
    識別情報を含む公開鍵証明書を入力する検証対象入力手
    段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
    帯情報管理サーバの識別情報を取得する公開鍵証明書情
    報取得手段と、 前記付帯情報の識別情報に対応する付帯情報を公開鍵証
    明書情報検証装置から取得する付帯情報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
    報が示す付帯情報管理サーバによって作成されたもので
    あることを、該付帯情報に含まれる付帯情報認証情報
    と、予め保持されている付帯情報検証情報によって検証
    する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
    報と前記付帯情報とを合わせて該公開鍵証明書が表わす
    有効な証明情報であると判定する公開鍵証明書有効性検
    証手段を有する公開鍵証明書情報検証装置。
  9. 【請求項9】 認証局があらかじめ発行した、公開鍵証
    明書の付帯情報の識別情報と、該付帯情報の管理・変更
    権限を前記認証局から委譲された付帯情報管理サーバの
    識別情報を含む公開鍵証明書を入力する検証対象入力手
    段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
    帯情報管理サーバの識別情報と付帯情報管理サーバアド
    レス情報を取得する公開鍵証明書情報取得手段と、 前記付帯情報管理サーバのアドレス情報により前記付帯
    情報管理サーバへの通信手段を利用することによって、
    前記付帯情報識別管理サーバの識別情報に対応する付帯
    情報管理サーバから前記付帯情報の識別情報に対応する
    証明書付帯情報を取得する付帯情報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
    報が示す付帯情報管理サーバによって作成されたもので
    あることを、該付帯情報に含まれる付帯情報認証情報
    と、予め保持されている付帯情報検証情報によって検証
    する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
    報と前記付帯情報とを合わせて該公開鍵証明書が表わす
    有効な証明情報であると判定する公開鍵証明書有効性検
    証手段を有する公開鍵証明書情報検証装置。
  10. 【請求項10】 前記付帯情報検証手段は、前記付帯情
    報認証情報が公開鍵暗号方式による署名データであり、
    付帯情報検証情報が該署名データを検証するための検証
    鍵を含む情報であり、前記付帯情報の作成者が前記公開
    鍵証明書に含まれる付帯情報管理サーバ識別情報によっ
    て特定される付帯情報管理サーバであることを検証す
    る、請求項7から9のいずれか1項に記載の証明書情報
    検証装置。
  11. 【請求項11】 前記付帯情報取得手段は、付帯情報管
    理サーバ識別情報に対応する付帯情報管理サーバアドレ
    ス情報によって特定される、証明書付帯情報と共に該証
    明書付帯情報に対応する付帯情報アクセス権限情報を格
    納した付帯情報管理サーバへの通信手段を利用すること
    によって、該付帯情報管理サーバが付帯情報アクセス権
    限情報によるアクセス権限の判定に成功した場合にのみ
    該付帯情報管理サーバから付帯情報識別情報に対応する
    証明書付帯情報が返却される、請求項7または9に記載
    の証明書情報検証装置。
  12. 【請求項12】 前記付帯情報取得手段は、付帯情報識
    別情報に対応する付帯情報が複数取得された場合には、
    登録日時が新しいものを付帯情報識別情報に対応する付
    帯情報として採用する、請求項7から11のいずれか1
    項に記載の証明書情報検証装置。
  13. 【請求項13】 公開鍵証明書の付帯情報の識別情報
    と、該付帯情報の管理・変更権限を委譲した付帯情報管
    理サーバの識別情報を含む公開鍵証明書を発行する認証
    局。
  14. 【請求項14】 公開鍵証明書の付帯情報の識別情報
    と、該付帯情報の管理・変更権限を委譲した付帯情報管
    理サーバの識別情報と、該付帯情報管理サーバのアドレ
    ス情報を含む公開鍵証明書を発行する認証局。
JP2002126915A 2002-04-26 2002-04-26 公開鍵証明書情報検証方法および装置 Expired - Fee Related JP3920698B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002126915A JP3920698B2 (ja) 2002-04-26 2002-04-26 公開鍵証明書情報検証方法および装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002126915A JP3920698B2 (ja) 2002-04-26 2002-04-26 公開鍵証明書情報検証方法および装置

Publications (2)

Publication Number Publication Date
JP2003318893A true JP2003318893A (ja) 2003-11-07
JP3920698B2 JP3920698B2 (ja) 2007-05-30

Family

ID=29541190

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002126915A Expired - Fee Related JP3920698B2 (ja) 2002-04-26 2002-04-26 公開鍵証明書情報検証方法および装置

Country Status (1)

Country Link
JP (1) JP3920698B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7886153B2 (en) 2005-06-30 2011-02-08 Brother Kogyo Kabushiki Kaisha Communication device and communication system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7886153B2 (en) 2005-06-30 2011-02-08 Brother Kogyo Kabushiki Kaisha Communication device and communication system

Also Published As

Publication number Publication date
JP3920698B2 (ja) 2007-05-30

Similar Documents

Publication Publication Date Title
Housley et al. RFC3280: Internet X. 509 public key infrastructure certificate and certificate revocation list (CRL) profile
TWI497972B (zh) 用於將一主張訊息自一求證方提供至一信賴方之方法、傳輸實體、接收實體及系統
US7461250B1 (en) System and method for certificate exchange
US7356690B2 (en) Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate
CN112291245B (zh) 一种身份授权方法、装置、存储介质及设备
US20020004800A1 (en) Electronic notary method and system
US6675296B1 (en) Information certificate format converter apparatus and method
US20070136599A1 (en) Information processing apparatus and control method thereof
US20030177351A1 (en) System and method for single session sign-on with cryptography
CN111490873B (zh) 基于区块链的证书信息处理方法及系统
JP2002139996A (ja) 署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法
EP1668815B1 (en) Delegated certificate authority
CN112311538A (zh) 一种身份验证的方法、装置、存储介质及设备
JP2003348077A (ja) 属性証明書検証方法および装置
Solo et al. Internet X. 509 public key infrastructure certificate and CRL profile
Wagner et al. DNS-based trust scheme publication and discovery
JP2003224563A (ja) 署名検証システムおよび方法と署名検証プログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体
GB2391438A (en) Electronic sealing for electronic transactions
JP2007266797A (ja) 認証システムおよびその認証方法
US20020144107A1 (en) Password exposure elimination for digital signature coupling with a host identity
JP2009031849A (ja) 電子申請用証明書発行システムおよび電子申請受付システム、並びにそれらの方法およびプログラム
JP2003318893A (ja) 証明書情報検証方法および装置ならびに認証局
JP2008509591A (ja) 電子取引の明細に関するプライバシを保護する取引認証方法および取引認証システム
JP4157751B2 (ja) コンテンツ流通システム、流通管理サーバ装置、付加情報参照ユーザ端末装置、プログラム及び記録媒体
JP2004341897A (ja) 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040728

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20040728

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040728

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061115

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070215

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110223

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110223

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120223

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130223

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees