JP2004153388A - 証明書失効情報生成装置、証明書有効性検証装置、証明書失効情報公開装置、並びにそのプログラム - Google Patents

証明書失効情報生成装置、証明書有効性検証装置、証明書失効情報公開装置、並びにそのプログラム Download PDF

Info

Publication number
JP2004153388A
JP2004153388A JP2002314038A JP2002314038A JP2004153388A JP 2004153388 A JP2004153388 A JP 2004153388A JP 2002314038 A JP2002314038 A JP 2002314038A JP 2002314038 A JP2002314038 A JP 2002314038A JP 2004153388 A JP2004153388 A JP 2004153388A
Authority
JP
Japan
Prior art keywords
certificate
hash value
information
node
expiration date
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002314038A
Other languages
English (en)
Inventor
Hiroaki Oguro
博昭 小黒
Akira Nakayama
亮 中山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2002314038A priority Critical patent/JP2004153388A/ja
Publication of JP2004153388A publication Critical patent/JP2004153388A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】証明書失効情報の送受信にかかる時間の短縮を図ることができ、また、電子証明書の有効性の判断におけるハッシュ値の計算時間の短縮を図ることができる機能を備えた装置を提供することを目的とする。
【解決手段】認証局装置10が、判定情報と木構造データと電子署名を含む証明書失効情報を生成し、その証明書失効情報を記憶する失効情報公開装置20が、検証対象電子証明書の示す判定情報と、木構造データにおいて当該判定情報のハッシュ値を末端ノードとし、当該末端ノードと根ノードを繋ぐ各ノードの子ノードのうち、末端ノードと根ノードを繋ぐ各ノード以外のハッシュ値と、前期末端ノードのハッシュ値と電子署名を検証局装置へ送信する。そして検証局装置30が、判定情報と電子署名と各ハッシュ値とに基づいて、検証対象電子証明書の有効性を検証する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
この発明は、コンピュータシステムに係り、特に、証明書失効情報生成装置及び証明書有効性検証装置並びにそのプログラムに関するものである。
【0002】
【従来の技術】
従来、PKI(Public Key Infrastructure)などの認証基盤システムを用いた電子商取引においては、認証局が電子証明書を発行する。また認証局はある理由により証明書としての有効性が失効した電子証明書の情報を記録したCRL(Certificate Revocation List)などの証明書失効情報を生成し、インターネットで配信している。そして、インターネット上で公開鍵暗号方式により暗号化された情報と共に電子証明書の送受信が行なわれ、その電子証明書によりインターネット上で送受信される情報を送信した人物が本当に送信者当人であるかどうかを検証する。尚、この検証を行うためには、検証を行う為の装置がCRLを配信している装置へアクセスしてCRLを受信し、そのCRLと電子証明書とを用いて検証を行う。そして、多くの装置がCRLを配信する装置へアクセスし、CRLを受信している(例えば、特許文献1参照。)。
【0003】
【特許文献1】
特開2002−215824号公報
【0004】
【発明が解決しようとする課題】
しかしながら、上述のCRLは失効電子証明書の数に比例してデータ量が増えるので、これにより、CRLを公開する装置とCRLを受信する装置の通信回線における通信帯域は徐々に圧迫されるようになる。ここで、認証基盤システムにおいては、電子証明書の有効性の検証時間を短縮して円滑に電子商取引などの処理を進めるために、情報端末のCRLの受信時間短縮に対するニーズが高いので、当該システムの管理担当者などは、CRLの送信にかかる時間をできるだけ短縮する処置を当該CRLを送信する装置に施す必要がある。
また、従来のCRLを用いた電子証明書の有効性の判断を行なう装置は、CRL内の全ての情報にハッシュ関数を適用してハッシュ値を得て、そのハッシュ値で電子証明書の有効性を判断していたので、そのハッシュ値の算出に時間がかかっていた。
そこでこの発明は、証明書失効情報の送受信にかかる時間の短縮を図ることができ、また、電子証明書の有効性の判断におけるハッシュ値の計算時間の短縮を図ることができる機能を備えた、証明書失効情報生成装置、証明書失効情報公開装置、証明書有効性検証装置、並びにそのプログラムを提供することを目的としている。
【0005】
【課題を解決するための手段】
本発明は、上述の課題を解決すべくなされたもので、本発明は、有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報を生成する判定情報生成手段と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データを生成する木構造データ生成手段と、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名を生成する電子署名生成手段とを備えることを特徴とする証明書失効情報生成装置である。
【0006】
上述の構成によれば、判定情報生成手段が有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報を生成し、木構造データ生成手段が末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データを生成する。また電子署名生成手段が木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名を生成する。これにより、証明書失効情報公開装置は、木構造データにおける根ノードを計算できるだけの各ノードのハッシュ値と電子署名とを証明書有効性検証装置に送信すれば、証明書有効性検証装置は、電子署名の有効性を判断することができる。よって、従来、証明書失効情報公開装置が証明書失効情報のデータを全て証明書有効性検証装置に送信していた状況と比べると、送信するデータ量が減少するので、失効情報公開装置において当該証明書失効情報への大量のアクセスによるネットワーク負荷の増大の問題を解決することができる。
【0007】
また、本発明は、上述の証明書失効情報生成装置が証明書失効情報を更新する際に、前記判定情報生成手段が、有効期限が更新時以前の日時を前記期間情報とする前記判定情報を削除し、また、有効期限が更新時以降の失効電子証明書の追加によって変更となる前記期間情報と追加された失効電子証明書の前記識別情報に基づいて前記判定情報を更新し、前記木構造データ生成手段が、更新された前記判定情報に基づいて、ハッシュ値が変化するノードのハッシュ値のみを再計算し、前記電子署名生成手段が、更新された前記木構造データにおける根ノードのハッシュ値に基づいて前記電子署名を再生成することを特徴とする。
【0008】
上述の構成によれば、証明書失効情報生成装置の木構造データ生成手段が、更新された前記判定情報に基づいて、ハッシュ値が変化するノードのハッシュ値のみを再計算し、電子署名生成手段が、更新された木構造データにおける根ノードのハッシュ値に基づいて新たな電子署名を再生成する。
これにより、証明書失効情報生成装置は、証明書失効情報を更新する際に、以前に行なったハッシュ値の算出を行なわずに済むので、新たな木構造データと新たな電子署名の再生成の処理の軽減を図ることが出来る。
【0009】
また、本発明は、有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報により検証対象電子証明書の有効または無効を判断する証明書有効性検証装置であって、前記検証対象電子証明書の有効期限を前記期間情報に含む前記判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードとに基づいて、前記根ノードのハッシュ値を算出する再計算手段と、前記電子署名を前記秘密鍵に対応する公開鍵を用いて復号する復号手段と、前記再計算手段が算出したハッシュ値と前記復号手段が復号して得られたハッシュ値とを比較するハッシュ値比較手段とを備えることを特徴とする証明書有効性検証装置である。
【0010】
また、本発明は、有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報を記憶した証明書失効情報公開装置であって、検証対象電子証明書の有効期限に応じて選択される判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードと、前記電子署名とを前記証明書失効情報より読み取る読み取り手段とを備えることを特徴とする証明書失効情報公開装置である。
【0011】
また、本発明は、証明書失効情報生成装置のコンピュータに実行させるプログラムであって、有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報を生成する判定情報生成過程と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて、当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データを生成する木構造データ生成過程と、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名を生成する電子署名生成過程とをコンピュータに実行させるプログラム。
【0012】
また、本発明は、有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報により検証対象電子証明書の有効または無効を判断する証明書有効性検証装置のコンピュータに実行させるプログラムであって、前記検証対象電子証明書の有効期限を前記期間情報に含む前記判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードとに基づいて、前記根ノードのハッシュ値を算出する再計算過程と、前記電子署名を前記秘密鍵に対応する公開鍵を用いて復号する復号過程と、前記再計算過程において算出したハッシュ値と前記復号過程において得られたハッシュ値とを比較するハッシュ値比較手段とをコンピュータに実行させるプログラムである。
【0013】
また、本発明は、有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報を記憶した証明書失効情報公開装置のコンピュータに実行させるプログラムであって、検証対象電子証明書の有効期限に応じて選択される判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードと、前記電子署名とを前記証明書失効情報より読み取る読み取り過程をコンピュータに実行させるプログラムである。
【0014】
【発明の実施の形態】
以下、本発明の一実施形態による電子証明書検証システムを図面を参照して説明する。
図1は、この発明の一実施形態による電子証明書検証システムの構成を示す概略ブロック図である。この図において、符号10は電子証明書の発行や、失効した電子証明書(以降、失効電子証明書とする)の管理などを行なう認証局における認証局装置(証明書失効情報生成装置)である。また20は証明書失効情報をインターネット上に送信する失効情報公開装置(証明書失効情報公開装置)である。また30は電子証明書の有効性を代理検証する検証局における検証局装置(証明書有効性検証装置)である。また40は電子証明書の検証を要求するエンド端末(証明書有効性検証装置)である。
【0015】
認証局装置10は、外部との通信を行なう通信部11と、認証局装置10を制御する制御部12と、証明書失効情報を生成する証明書失効木生成部13(判定情報生成手段、木構造データ生成手段、電子署名生成手段)と、電子署名情報を生成する署名部14と、証明書失効情報を記憶するデータベース15を備えている。
また、失効情報公開装置20は、外部との通信を行なう通信部21と、失効情報公開装置を制御する制御部22(読み取り手段)と、送信する最新の証明書失効情報を記憶するデータベース23を備えている。
また、検証局装置30は、外部との通信を行なう通信部31と、検証局装置30を制御する制御部31と、エンド端末40の代理として電子証明書の有効性を検証する証明書有効性検証部32(再計算手段、復号手段、ハッシュ値比較手段)を備えている。
また、エンド端末40は、外部との通信を行なう通信部41と、エンド端末40を制御する制御部42と、検証局装置30に電子証明書の有効性を問い合わせる問い合わせ部43を備えている。そして、エンド端末40は検証局装置30の証明書有効性検証部31と同様の機能を保持した証明書有効性検証部44(再計算手段、復号手段、ハッシュ値比較手段)を備えている場合がある。
【0016】
そして、この電子証明書検証システムにおいては、認証局装置10の証明書失効木生成部13が証明書失効情報を生成し、最新の証明書失効情報が失効情報公開装置20のデータベース23に記録される。
そして、エンド端末40は、証明書有効性検証部44を備えていない場合には、有効性を確認したい電子証明書(検証対象電子証明書)の有効期限とシリアル番号(識別情報)を検証局装置30に送信する。そして検証局装置30の証明書有効性検証部33は、失効情報公開装置20のデータベース23に記録されている証明書失効情報に基づいて、エンド端末40より受信したシリアル番号に対応する電子証明書が有効であるか否かを後述する処理によって検証し、その結果をエンド端末40へ送信する。
【0017】
また、エンド端末40が証明書有効性検証部44を備えている場合には、検証局装置30は利用されず、エンド端末40の証明書有効性検証部44が、失効情報公開装置20へ送信するシリアル番号に対応する電子証明書が有効であるか否かを後述する処理によって検証する。
【0018】
次に、認証局装置10の証明書失効木生成部13が失効電子証明書のシリアル番号(n)と有効期限(t)に基づいて、証明書失効情報を生成する際の処理について図2を参照しながら説明する。
図2は認証局装置10の証明書失効木生成部13が証明書失効情報を生成する際の処理を示すフローチャートである。
今、n=9、13、15、18、23、25、31である7つの失効電子証明書があるとする。そして各シリアル番号に対応する各失効電子証明書の有効期限は、
n=9の電子証明書は、t=20030701
n=13の電子証明書は、t=20030701
n=15の電子証明書は、t=20031101
n=18の電子証明書は、t=20030101
n=23の電子証明書は、t=20040101
n=25の電子証明書は、t=20040601
n=31の電子証明書は、t=20030501
である。尚、上述の有効期限(t)を表す数字8桁は西暦と月と日を続けたものである。
【0019】
まず、証明書失効木生成部13は有効期限の昇順に失効電子証明書をソート(並べ替え)する(ステップS1)。そして、証明書失効木生成部13は各失効電子証明書の有効期限とシリアル番号を利用して、ステップS1でソートされた各失効電子証明書が示す有効期限と、その次に有効期限が来る失効電子証明書の有効期限までの期間(期間情報)を示す判定情報を生成する(ステップS2)。尚、判定情報は具体的には、「−∞<t<有効期限が1番早い失効電子証明書の有効期限(t0)+t0のシリアル番号」または、「失効電子証明書の有効期限(t1)+t1のシリアル番号≦t<有効期限またはシリアル番号が次の失効電子証明書の有効期限(t2)+t2のシリアル番号」または、「有効期限が最も遅い失効電子証明書の有効期限(t3)+t3のシリアル番号≦t<∞」で表される。そして、不等式の両辺の下二桁がシリアル番号を示しており、それ以外の桁が有効期限を示している。
【0020】
次に、証明書失効木生成部13は、ステップS2で生成した複数の判定情報にそれぞれ所定のハッシュ関数を適用してハッシュ値を算出する。(ステップS3)。
次に、証明書失効木生成部13は、ステップS3で算出した複数のハッシュ値を、ステップS1における判定情報のソートの順番に基づいて、順次2つずつグループ化し、当該2つのハッシュ値の文字列を結合した値にハッシュ関数を適用して新たなハッシュ値を算出する。このように、証明書失効木生成部13は、2つのハッシュ値の文字列を結合した値にハッシュ関数を適用して新たにハッシュ値を算出する作業を繰り返し、ハッシュ値の木構造データを生成する(ステップS4)。
次に、証明書失効木生成部13は、ステップS4で生成した木構造データの根を表すハッシュ値を秘密鍵で暗号化した電子署名を生成する(ステップS5)。そして、証明書失効木生成部13は、ステップS2で生成した判定情報と、ステップS4で生成した木構造データと、ステップS5で生成した電子署名の情報を含む失効証明書情報をデータベース15へ記録する(ステップS6)。尚、証明書失効木生成部13は木構造データの各ノードについて、根ノードを階層1、根ノードの子ノードを階層2として、各ノードに階層をあらわす情報を対応付けて失効証明書情報に保持させておく。
【0021】
次に、ステップS2における判定情報の生成を図3を参照して詳細に説明する。図3は第1の判定情報のデータ構造を表した図である。
まず、証明書失効木生成部13は、有効期限が1番目に若い年月日である失効電子証明書(n=18)の有効期限までの期間を示す判定情報D1を生成する。尚、判定情報D1は“−∞<t<2003010118”で表される。
【0022】
また、証明書失効木生成部13は、有効期限が1番目に若い年月日である失効電子証明書(n=18)の有効期限から有効期限が2番目に若い年月日である失効電子証明書(n=31)の有効期限までの期間を示し、また、n=18を示す判定情報D2を生成する。尚、第2の判定情報は“2003010118≦t<2003050131”で表される。
以下同様に、“2003050131≦t<2003070109”で表される第3の判定情報D3と、“2003070109≦t<2003070113”で表される第4の判定情報D4と、“2003070113≦t<2003110115”で表される第5の判定情報D5と、“2003110115≦t<2004010123”で表される第6の判定情報D6と、“2004010123≦t<2004060125”で表される第7の判定情報D7とを生成する。
【0023】
また、証明書失効木生成部13は、有効期限が最も遅い年月日である失効電子証明書(n=25)の有効期限以降の期間を示し、また、n=25を示す判定情報D8を生成する。尚、第8の判定情報は“2004060125≦t<∞”で表される。
ここで、上述の第4の判定情報D4は、“2003070109≦t<2003070113”で表されるとしているが、これは、判定情報D4を示す失効電子証明書の有効期限と同一の有効期限を示すn=13の失効電子証明書があるため、右辺を、次に有効期限が来るn=15の失効電子証明書ではなく、n=13の失効電子証明書の有効期限+シリアル番号によって表している。このように、本実施形態においては、有効期限が同一となる失効電子証明書がある場合には、それらの判定情報は「失効電子証明書の有効期限(t1)+t1のシリアル番号≦t<シリアル番号が次の失効電子証明書の有効期限(t2)+t2のシリアル番号」で表すようにしている。
尚、有効期限が同一となる失効電子証明書がある場合において、それらの判定情報を「失効電子証明書の有効期限(t1)+t1のシリアル番号≦t<有効期限が次の失効電子証明書の有効期限(t2)+t2のシリアル番号」で表すようにしてもよい。この場合、有効期限が同じである上述のn=9、n=13の失効電子証明書に対応する判定情報は、それぞれ、D4は“2003070109≦t<20030110115”、D5は“2003070113≦t<2003110115”で表すことになる。
尚、上述の判定情報により、t1とt2の期間に有効期限が含まれる電子証明書、またはt0以前の期間に有効期限が含まれる電子証明書、またはt3以降の期間に有効期限が含まれる電子証明書は有効であると判定できる。
【0024】
次に、ステップS3およびステップS4において、判定情報にハッシュ関数を適用してハッシュ値を算出し、そのハッシュ値に基づいて木構造データを生成する際の処理を詳細に説明する。
ステップS2において生成した判定情報D1〜判定情報D8にハッシュ関数を適用して得られたハッシュ値をh1〜h8で表す。ここで、証明書失効木生成部13は、これらのh1〜h8のハッシュ値を順番に2ずつグループ化して、2つのハッシュ値の文字列を連結した値にハッシュ関数を適用して新たなハッシュ値を算出する。この時、証明書失効木生成部13は、各ハッシュ値に対応する判定情報の示す有効期限の順番でハッシュ値をグループ化していく。
【0025】
尚、h1及びh2の各ハッシュ値により新たに計算したハッシュ値をh12、h3及びh4の各ハッシュ値により新たに計算したハッシュ値をh34、h5及びh6の各ハッシュ値により新たに計算したハッシュ値をh56、h7及びh8の各ハッシュ値により新たに計算したハッシュ値をh78とする。
そして、証明書失効木生成部13は、以下同様に2つのハッシュ値の文字列を連結した値にハッシュ関数を適用して新たなハッシュ値を算出し、これにより、ハッシュ値で表される木構造データを生成する。尚、この木構造データの根はh12345678とする。
また、木構造データを表す各ハッシュ値には、それぞれ木構造データにおける階層を示す情報が対応付けられるが、根ノードのハッシュ値には階層1を示す情報が対応付けられ、また、他のノードのハッシュ値には、根ノードを基とした木構造データの階層を示す情報が対応付けられている。尚、本実施形態においては、h1〜h8には階層4を示す情報が、また、h12、h34、h56、h78には階層3を示す情報が、また、h1234、h5678には階層2を示す情報が対応付けられているとする。
【0026】
また、証明書失効木生成部13は、ステップS5において生成した木構造データの根(h12345678)を公開鍵暗号方式で用いる認証局自身の秘密鍵(sk_CA)で暗号化し電子署名(sig_CA)を生成する。そして、証明書失効木生成部13は、上述のハッシュ値で表される木構造データと、その木構造データにおける各ノードの階層を示す情報と、D1〜D8までの判定情報と電子署名とをあわせて証明書失効情報とし、この証明書失効情報をデータベース15へ記録する。尚、図4は、判定情報と、その判定情報にハッシュ関数を適用して得られたハッシュ値と、そのハッシュ値を末端ノードとする木構造データと、当該木構造データの根を秘密鍵により暗号化した電子署名との関係を表した図である。
【0027】
尚、証明書失効木生成部13は、ステップS3やステップS4においてハッシュ関数を用いて計算した結果となるハッシュ値や、そのハッシュ値を導き出すための元のハッシュ値や情報(判定情報)を記憶部16などに記憶しておく。そして、証明書失効木生成部13は、証明書失効情報に新たに失効電子証明書の情報を含む為に当該証明書失効情報を更新する際には、記憶部16に記憶されているハッシュ値や情報(判定情報)用いる場合がある。
【0028】
次に、認証局装置10が証明書失効情報を失効情報公開装置20へ送信する際の処理について説明する。
まず、認証局装置10の制御部12は設定された時間になると、データベース15に記録されている証明書失効情報を読み取って、失効情報公開装置20へ送信する処理を行なう。そして、認証局装置10の制御部12は証明書失効情報を通信部11へ転送する。そして、認証局装置10の通信部11が証明書失効情報を失効情報公開装置20へ送信する。
【0029】
次に、失効情報公開装置20の通信部21が認証局装置10から送信された証明書失効情報を受信する。そして制御部22が通信部21の受信した証明書失効情報をデータベース23へ記録する。
【0030】
次に、電子証明書検証システムにおいて電子証明書の有効性を検証する際の失効情報公開装置の処理について図5を参照しながら説明する。図5は電子証明書の有効性を検証する際の失効情報公開装置の処理を示すフローチャートである。図5より、まず、エンド端末40の証明書有効性問い合わせ部43が有効性を検証したい電子証明書(以降、検証対象電子証明書という)の有効期限とシリアル番号を検証対象電子証明書から読み取り、その有効期限とシリアル番号を通信部41が検証局装置30に送信する。ここで、t=20030701(2003年07月01日を表す)また、n=10であるとする。
【0031】
そして、検証局装置30の通信部31がエンド端末40から送信された有効期限とシリアル番号を受信し、制御部32が通信部31の受信した有効期限とシリアル番号を証明書有効性検証部33へ転送する。次に、証明書有効性検証部33は転送を受けた有効期限とシリアル番号を通信部31を介して失効情報公開装置20へ送信する。
【0032】
次に、失効情報公開装置20の通信部21が検証局装置30から送信された有効期限とシリアル番号を受信し(ステップS7)、制御部22が通信部21の受信した有効期限に基づいて、データベース23に記憶する証明書失効情報の中から判定情報を読み取る(ステップS8)。今、失効情報公開装置20のデータベース23に記録されている証明書失効情報内の判定情報はD1〜D8である。よってステップS8において、制御部22は通信部21が受信した有効期限を、有効期限の期間に含んでいる判定情報をD1〜D8から読み取る。ここで、有効期限は20030701で、シリアル番号は10であるので、有効期限とシリアル番号の文字列を結合すると2003070110となる。よって、この2003070110を不等式の範囲に示す判定情報はD4であるので、制御部22はD4の判定情報を読み取る。
【0033】
次に、制御部22は、データベース23で記憶する証明書失効情報の木構造データのうち、ステップS8で読み取った判定情報D4のハッシュ値の末端ノード及びその階層を示す情報と、その末端ノードと根ノードを繋ぐ各ノードの子ノードのうち、末端ノードと根ノードを繋ぐ各ノード以外のノードのハッシュ値及びそのハッシュ値の階層を示す情報と、電子署名と、判定情報D4とをデータベース23で記憶する証明書失効情報から読み取る(ステップS9)。尚、ステップS9の処理は、具体的には、制御部22はデータベース23で記憶する証明書失効情報において、D4の判定情報のハッシュ値であるh4と、h4と根ノードのh12345678を繋ぐ各ノードの子ノードのうち、h4と根ノードを繋ぐ各ノード以外のノードh3、h12、h5678及びそのハッシュ値の階層を示す情報と、電子署名(sig_CA)と、判定情報のD4とを読み取る。
【0034】
そして、失効情報公開装置20の制御部22はデータベース23で記録されている証明書失効情報から読み取った、D4の判定情報と、h3、h12、h5678及び各ハッシュ値の階層を示す情報と、電子署名とを通信部21を介して検証局装置30へ送信する(ステップS10)。
【0035】
次に、電子証明書検証システムにおいて電子証明書の有効性を検証する際の失効情報公開装置の処理について図6を参照しながら説明する。図6は電子証明書の有効性を検証する際の検証局装置の処理を示すフローチャートである。
まず、図6より、検証局装置30の通信部31がh3、h12、h5678及び各ハッシュ値の階層を表す情報と、電子署名を受信し(ステップS11)、証明書有効性検証部33に転送する。
そして、証明書有効性検証部33は判定情報となるD4のハッシュ値h4とその他のハッシュ値(h3、h12、h5678)から証明書失効情報における木構造データの根ノードのハッシュ値を計算する(ステップS12)。まず、証明書有効性検証部33は受信したハッシュ値から最も階層の低い階層4を示すハッシュ値h4及びh3のハッシュ値の文字列を結合し、結合した文字列にハッシュ関数を適用して、新たなハッシュ値h34を算出する。次にh34のハッシュ値と、階層が一つ上の階層3を示すh12のハッシュ値の文字列を結合し、結合した文字列にハッシュ関数を適用して、新たなハッシュ値h1234を算出する。以下同様に、h12345678を算出する。
【0036】
次に、証明書有効性検証部33は受信した電子署名を認証局10の公開鍵を用いて復号する(ステップS13)。そして、証明書有効性検証部33は、その復号によって得られた値と、ステップS12で計算して得られたh12345678の値を比較して一致するかどうかを確認する(ステップS14)。この検証局装置30の証明書有効性検証部33の処理により、認証局装置10から送信された判定情報やハッシュ値や電子署名が、本当に認証局装置10により生成された証明書失効情報であるかどうかを判断することができる。そして、証明書有効性検証部33は電子署名を復号することによって得られた値と、計算して得られたh12345678の値が一致する場合には、失効情報公開装置20のデータベース23で保持されている証明書失効情報が認証局装置10の生成したものであると判断する。
【0037】
また、証明書有効性検証部33はエンド端末40から受信した有効期限とシリアル番号で示される電子証明書が有効であるか失効したものであるかを判断する(ステップS15)。この判断は、正当性の確認できたD4の判定情報を用いて行なう。今、検証対象電子証明書はt=20030701でn=10であるので、D4の判定情報からは、検証対象電子証明書の有効期限は失効電子証明書と同一の有効期限であると判断できる。しかし、シリアル番号が違うので、検証局装置30の証明書有効性検証部33は、エンド端末40から送信された有効期限とシリアル番号で示される検証対象の電子証明書は有効なものであると特定する。
【0038】
そして、証明書有効性検証部33は通信部31を介してエンド端末40に電子証明書は有効である旨の情報を送信する(ステップS16)。また例えば、検証対象電子証明書がt=20030701でn=9であった場合には、その検証対象電子証明書は失効電子証明書の有効期限とシリアル番号が共におなじなので、証明書有効性検証部33は失効していると判断し、通信部31を介してエンド端末40に電子証明書は失効している旨の情報を送信する(ステップS17)。
尚、ステップS7からステップS17までの一連の処理は、エンド端末40に証明書有効性検証部44がない場合の一連の処理であるが、エンド端末40に証明書有効性検証部44がある場合には、当該エンド端末40の証明書有効性検証部44が、上述の検証局装置30における証明書有効性検証部33の処理を行なう。
【0039】
次に、認証局装置10の証明書失効木生成部13が失効電子証明書の追加に伴って、証明書失効情報を更新する際の処理について図7を参照しながら説明する。図7は証明書失効木生成部13が証明書失効情報を更新する際の処理を示すフローチャートである。
今、上述のステップS3、ステップS4の処理において生成したハッシュ値で表される木構造データと、D1〜D8までの判定情報と電子署名とで表される証明書失効情報がデータベース23に記録されているとする。そして、証明書失効情報の更新日が2003年06月01日であるとする。
【0040】
まず、証明書失効木生成部13はデータベース15に記憶されている証明書失効情報を読み取る(ステップS18)。そして、更新日以前の期間を示す判定情報を、読み取った証明書失効情報から削除する(ステップS19)。尚、ステップS19の処理は、具体的には、証明書失効木生成部13が読み取った証明書失効情報におけるD1〜D8の判定情報のうち、更新日以前の期間を示す判定情報はD1、D2、D3の3つの判定情報であるので、証明書失効木生成部13はD1、D2、D3の判定情報を証明書失効情報から削除する。
【0041】
次に、証明書失効木生成部10は、この更新日において、t=20040501でn=35の失効電子証明書と、t=20050101でn=11の失効電子証明書の、2つの失効電子証明書の証明書失効情報への追加に基づく判定情報の変更または追加の処理を行なう(ステップS20)。
なお、ステップS20における具体的な処理を以下に示す。
まず、証明書失効木生成部13は、有効期限が一番若い年月日である失効電子証明書(n=9)の有効期限よりも前の期間を示す判定情報T1を生成する。尚、T1の判定情報は“−∞<t<2003070109”で表される。
【0042】
また、証明書失効木生成部13は、追加する2つの失効電子証明書の有効期限から、その追加する失効電子証明書の有効期限を期間に含む判定情報を判別する。追加する失効電子証明書の有効期限は、t=20040501と、t=20050101なので、追加する失効電子証明書の有効期限を期間に含んでいる判定情報は、D7とD8である。
【0043】
そして、証明書失効木生成部13は、D7で示す失効電子証明書の有効期限から、追加した失効電子証明書の有効期限t=20040501の前日までの期間を示す判定情報T7を生成する。尚、T7の判定情報は“2004010123≦t<2004050135” で表される。
また、証明書失効木生成部13は、以下同様に、“2004050135≦t<2004060125”で表される判定情報U7と、“2004060125≦t<2005010111”で表される判定情報T8と、“2005010111≦t<∞”で表される判定情報U8とを生成する。
そして、証明書失効木生成部13は、失効電子証明書の追加により不要となったD7とD8の判定情報を証明書失効情報から削除する(ステップS21)。尚、図8は、証明書失効情報が更新された判定情報のデータ構造を示す図であり、また、図8ではD1〜D3までの判定情報が削除され、T1、T7、U7、T8、U8の判定情報が追加または書き換えられるイメージを示している。
【0044】
次に、証明書失効木生成部13は、証明書失効情報に含まれるT1、D4、D5、D6、T7、U7、T8、U8の各判定情報のうち、ハッシュ値を求めていないT1、T7、U7、T8、U8の判定情報にハッシュ関数を適用してハッシュ値を算出する(ステップS22)。ここで、T1のハッシュ値をg1、T7のハッシュ値をg7、U7のハッシュ値をf7、T8のハッシュ値をg8、U8のハッシュ値をf8とする。
【0045】
次に、証明書失効木生成部13は、T1、D4、D5、D6、T7、U7、T8、U8の各判定情報に対応するハッシュ値g1、h4、h5、h6、g7、f7、g8、f8を順番に2ずつグループ化して、2つのハッシュ値を結合した値のハッシュ値を計算する。尚、g1及びh4の各ハッシュ値により新たに計算したハッシュ値をh14、g7及びf7の各ハッシュ値により新たに計算したハッシュ値をh77、g8及びf8の各ハッシュ値により新たに計算したハッシュ値をh88とする。尚、h5及びh6の各ハッシュ値により得られるハッシュ値は、ステップS1〜ステップS4における証明書失効情報の生成処理において行なっているので、記録媒体16に記録されている。これにより、証明書失効木生成部13はh5及びh6の各ハッシュ値にハッシュ関数を適用して得られたハッシュ値を記録媒体16より読み取る。
そして、証明書失効木生成部13は、以下同様に2つのハッシュ値の文字列を連結した値にハッシュ関数を適用して新たなハッシュ値を算出し、これにより、ハッシュ値で表される木構造データを生成する(ステップS23)。尚、この木構造データの根はh14567788とする。
【0046】
次に、証明書失効木生成部13はh14567788を公開鍵暗号方式で用いる認証局自身の秘密鍵(sk_CA)で暗号化し新たな電子署名(sig_CA´)を生成する(ステップS24)。
そして、証明書失効木生成部13は、ハッシュ値g1、h4、h5、h6、g7、f7、g8、f8からh14567788を導き出すまでに求めたハッシュ値で表される木構造データと、T1、D4、D5、D6、T7、U7、T8、U8の各判定情報と新たに生成した電子署名とをあわせて更新後の証明書失効情報とし、この更新後の証明書失効情報をデータベース15へ記録する(ステップS25)。尚、図9は、ステップS22からステップS25の証明書失効情報を更新の処理で得られた判定情報やハッシュ値や電子署名を示す図である。
【0047】
上述の認証局装置10や失効情報公開装置20や検証局装置30やエンド端末40は内部に、コンピュータシステムを有している。そして、上述した各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0048】
【発明の効果】
以上説明したように、この発明によれば、失効証明書情報生成装置において、有効期限によって区切られる期間を表す期間情報と失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて、判定情報の示す期間順に、当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて、当該ノードの子ノードのハッシュ値にハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名の証明書失効情報が生成される。
これにより、証明書失効情報公開装置は、木構造データにおける根ノードを計算できるだけの各ノードのハッシュ値と電子署名とを証明書有効性検証装置に送信すれば、証明書有効性検証装置は、電子署名の有効性を判断することができる。よって、従来、証明書失効情報公開装置が証明書失効情報のデータを全て証明書有効性検証装置に送信していた状況と比べると、送信するデータ量が減少するので、失効情報公開装置において当該証明書失効情報への大量のアクセスによるネットワーク負荷の増大の問題を解決することができる。
【0049】
また本発明によれば、証明書失効情報生成装置の木構造データ生成手段が、更新された前記判定情報に基づいて、ハッシュ値が変化するノードの値のみを再計算し、電子署名生成手段が、更新された木構造データにおける根ノードのハッシュ値に基づいて新たな電子署名を再生成する。
これにより、証明書失効情報生成装置は、証明書失効情報を更新する際に、以前に行なったハッシュ値の算出を行なわずに済むので、新たな木構造データと新たな電子署名の再生成の処理の軽減を図ることが出来る。
【0050】
また本発明によれば、再計算手段が、検証対象電子証明書の有効期限を期間情報に含む判定情報と、その判定情報のハッシュ値である木構造データの末端ノードと、その末端ノードと根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードと、電子署名とに基づいて、根ノードのハッシュ値を算出し、復号手段が電子署名を秘密鍵に対応する公開鍵により復号する。そして、ハッシュ値比較手段が再計算手段が算出したハッシュ値と復号手段が復号して得られたハッシュ値とを比較する。
これにより、証明書有効性検証装置は証明書失効情報の全ての情報にハッシュ関数を適用してハッシュ値を算出しなくてよいので、計算量が少なくなり、電子証明書の有効性の検証にかかる時間を減らすことが出来る。
【0051】
また本発明によれば、読み取り手段が、検証対象電子証明書の有効期限を期間情報に含む判定情報または、当該検証対象電子証明書の識別情報を含む判定情報がある場合にはその判定情報と、その判定情報のハッシュ値である木構造データの末端ノードと、その末端ノードと根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードと、電子署名とを前記証明書失効情報より読み取る。そして、読み取り手段が読み取った情報が証明書有効性検証装置に送信される。
これにより、証明書失効情報公開装置から証明書有効性検証装置に送信される情報が証明書失効情報全体ではなく、木構造データの根ノードを計算するための一部の情報であるため、従来のように証明書失効情報全てを送信するのに比べて、ネットワークの負荷を軽減することができるので、証明書失効情報の送受信にかかる時間の短縮を図ることもできる。
【図面の簡単な説明】
【図1】この発明の一実施形態による電子証明書検証システムの構成を示す概略ブロック図である。
【図2】本発明の実施形態における認証局装置10の証明書失効木生成部13が証明書失効情報を生成する際の処理を示すフローチャートである。
【図3】本発明の実施形態における判定情報のデータ構造を表した図である。
【図4】本発明の実施形態における判定情報と木構造データと、当該木構造データの根を秘密鍵により暗号化した電子署名との関係を表した図である。
【図5】本発明の実施形態における電子証明書の有効性を検証する際の失効情報公開装置20の処理を示すフローチャートである。
【図6】本発明の実施形態における電子証明書の有効性を検証する際の検証局装置30の処理を示すフローチャートである。
【図7】本発明の実施形態における証明書失効木生成部13が証明書失効情報を更新する際の処理示すフローチャートである。
【図8】本発明の実施形態における証明書失効情報が更新された判定情報のデータ構造を示す図である。
【図9】本発明の実施形態における証明書失効情報を更新の処理で得られた判定情報やハッシュ値や電子署名を示す図である。
【符号の説明】
10 認証局装置
13 証明書失効木生成部
15、23 データベース
20 失効情報公開装置
30 検証局装置
33 証明書有効性検証部
40 エンド端末
43 証明書有効性問い合わせ部

Claims (7)

  1. 有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報を生成する判定情報生成手段と、
    末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データを生成する木構造データ生成手段と、
    前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名を生成する電子署名生成手段と、
    を備えることを特徴とする証明書失効情報生成装置。
  2. 証明書失効情報を更新する際に、
    前記判定情報生成手段は、有効期限が更新時以前の日時を前記期間情報とする前記判定情報を削除し、また、有効期限が更新時以降の失効電子証明書の追加によって変更となる前記期間情報と追加された失効電子証明書の前記識別情報に基づいて前記判定情報を更新し、
    前記木構造データ生成手段は、更新された前記判定情報に基づいて、ハッシュ値が変化するノードのハッシュ値のみを再計算し、
    前記電子署名生成手段は、更新された前記木構造データにおける根ノードのハッシュ値に基づいて前記電子署名を再生成する
    ことを特徴とする請求項1に記載の証明書失効情報生成装置。
  3. 有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報により検証対象電子証明書の有効または無効を判断する証明書有効性検証装置であって、
    前記検証対象電子証明書の有効期限を前記期間情報に含む前記判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードとに基づいて、前記根ノードのハッシュ値を算出する再計算手段と、
    前記電子署名を前記秘密鍵に対応する公開鍵を用いて復号する復号手段と、
    前記再計算手段が算出したハッシュ値と前記復号手段が復号して得られたハッシュ値とを比較するハッシュ値比較手段と、
    を備えることを特徴とする証明書有効性検証装置。
  4. 有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報を記憶した証明書失効情報公開装置であって、
    検証対象電子証明書の有効期限に応じて選択される判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードと、前記電子署名とを前記証明書失効情報より読み取る読み取り手段と、
    を備えることを特徴とする証明書失効情報公開装置。
  5. 証明書失効情報生成装置のコンピュータに実行させるプログラムであって、
    有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報を生成する判定情報生成過程と、
    末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて、当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データを生成する木構造データ生成過程と、
    前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名を生成する電子署名生成過程と、
    をコンピュータに実行させるプログラム。
  6. 有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報により検証対象電子証明書の有効または無効を判断する証明書有効性検証装置のコンピュータに実行させるプログラムであって、
    前記検証対象電子証明書の有効期限を前記期間情報に含む前記判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードとに基づいて、前記根ノードのハッシュ値を算出する再計算過程と、
    前記電子署名を前記秘密鍵に対応する公開鍵を用いて復号する復号過程と、
    前記再計算過程において算出したハッシュ値と前記復号過程において得られたハッシュ値とを比較するハッシュ値比較手段と、
    をコンピュータに実行させるプログラム。
  7. 有効期限順にソートされた失効電子証明書の前記有効期限によって区切られる期間を表す期間情報と前記失効電子証明書を識別するための識別情報とを含む判定情報と、末端ノードにおいて前記判定情報の示す期間順に当該判定情報にハッシュ関数を適用して得られるハッシュ値を保持し、非末端ノードにおいて当該ノードの子ノードが保持するハッシュ値に前記ハッシュ関数を適用して得られるハッシュ値を保持する木構造データと、前記木構造データの根ノードのハッシュ値を秘密鍵により暗号化した電子署名とを保持する証明書失効情報を記憶した証明書失効情報公開装置のコンピュータに実行させるプログラムであって、
    検証対象電子証明書の有効期限に応じて選択される判定情報と、当該判定情報に対応する末端ノードと前記根ノードとを繋ぐ各ノードの子ノードのうち当該末端ノードと根ノードとを繋ぐ各ノード以外のノードと、前記電子署名とを前記証明書失効情報より読み取る読み取り過程
    をコンピュータに実行させるプログラム。
JP2002314038A 2002-10-29 2002-10-29 証明書失効情報生成装置、証明書有効性検証装置、証明書失効情報公開装置、並びにそのプログラム Pending JP2004153388A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002314038A JP2004153388A (ja) 2002-10-29 2002-10-29 証明書失効情報生成装置、証明書有効性検証装置、証明書失効情報公開装置、並びにそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002314038A JP2004153388A (ja) 2002-10-29 2002-10-29 証明書失効情報生成装置、証明書有効性検証装置、証明書失効情報公開装置、並びにそのプログラム

Publications (1)

Publication Number Publication Date
JP2004153388A true JP2004153388A (ja) 2004-05-27

Family

ID=32458468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002314038A Pending JP2004153388A (ja) 2002-10-29 2002-10-29 証明書失効情報生成装置、証明書有効性検証装置、証明書失効情報公開装置、並びにそのプログラム

Country Status (1)

Country Link
JP (1) JP2004153388A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007274722A (ja) * 2007-05-17 2007-10-18 Nec Corp 代理検証システム及び方法並びにその携帯端末
JP2012209689A (ja) * 2011-03-29 2012-10-25 Nec Corp 認証システム、認証装置、認証局、認証方法、及びプログラム
JP2017195517A (ja) * 2016-04-20 2017-10-26 三菱電機株式会社 期限通知装置、証明書更新システム、期限通知方法および期限通知プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007274722A (ja) * 2007-05-17 2007-10-18 Nec Corp 代理検証システム及び方法並びにその携帯端末
JP2012209689A (ja) * 2011-03-29 2012-10-25 Nec Corp 認証システム、認証装置、認証局、認証方法、及びプログラム
JP2017195517A (ja) * 2016-04-20 2017-10-26 三菱電機株式会社 期限通知装置、証明書更新システム、期限通知方法および期限通知プログラム

Similar Documents

Publication Publication Date Title
US8156327B2 (en) Revocation of cryptographic digital certificates
US6192130B1 (en) Information security subscriber trust authority transfer system with private key history transfer
US7315941B2 (en) Multi-certificate revocation using encrypted proof data for proving certificate's validity or invalidity
RU2300845C2 (ru) Способ и системы для обеспечения безопасного распределения данных через сети общего пользования
US7697692B2 (en) Cryptographic communication system and method
EP3361408A1 (en) Verifiable version control on authenticated and/or encrypted electronic documents
US20090316909A1 (en) Utilization apparatus, servicer apparatus, service utilization system, service utilization method, service utilization program, and integrated circuit
KR100568233B1 (ko) 인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기
US20100268936A1 (en) Information security device and information security system
CN109146479B (zh) 基于区块链的数据加密方法
KR20050013585A (ko) 디바이스들간의 인증 방법
WO2003088059A1 (fr) Dispositif de traitement d'informations, procede, support d'enregistrement et programme
WO2002039655A1 (fr) Dispositif de traitement d'informations, procede de traitement d'informations et support de programme
JP2005537711A (ja) 証明書に基づく暗号化および公開鍵構造基盤
WO2021154157A1 (en) Blockchain-based data exchange
JP4631132B2 (ja) デジタル署名の有効期限延長システム、デジタル署名有効期限延長装置、およびデジタル署名有効期限延長方法
KR100844436B1 (ko) 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템
JP4846464B2 (ja) 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法
JP2004153388A (ja) 証明書失効情報生成装置、証明書有効性検証装置、証明書失効情報公開装置、並びにそのプログラム
WO2001078301A1 (fr) Dispositif et procede d'enregistrement et de reproduction d'informations
EP1843517A2 (en) Validating cryptographic digital certificates
JP2004320494A (ja) 電子署名付き文書検証装置、電子署名付き文書検証方法、電子署名付き文書検証プログラム及びプログラム記録媒体
JP3895243B2 (ja) 鍵の更新が可能な利用者の識別情報に基づく鍵配送方法及び鍵配送システム
EP1206066A2 (en) Method for determining whether past digital signatures were issued by suspended certificates
US20080177999A1 (en) Content providing apparatus and method, content using apparatus and method, and content providing apparatus and method for revoking content using apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040915

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070220

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070420

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070724