JP2004179724A - サーバ装置及び証明書検証方法及びプログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 - Google Patents

サーバ装置及び証明書検証方法及びプログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 Download PDF

Info

Publication number
JP2004179724A
JP2004179724A JP2002340576A JP2002340576A JP2004179724A JP 2004179724 A JP2004179724 A JP 2004179724A JP 2002340576 A JP2002340576 A JP 2002340576A JP 2002340576 A JP2002340576 A JP 2002340576A JP 2004179724 A JP2004179724 A JP 2004179724A
Authority
JP
Japan
Prior art keywords
certificate
verification
valid
list
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002340576A
Other languages
English (en)
Other versions
JP4323163B2 (ja
Inventor
Nobuhiro Kobayashi
信博 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2002340576A priority Critical patent/JP4323163B2/ja
Publication of JP2004179724A publication Critical patent/JP2004179724A/ja
Application granted granted Critical
Publication of JP4323163B2 publication Critical patent/JP4323163B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】安全性を損なうことなく証明書検証部の有効性の確認手順を省力化し、証明書検証サーバを高速化することを目的とする。
【解決手段】認証局が発行する、無効な証明書が識別可能なCRLを用いて証明書の検証を行う証明書検証サーバ3において、所定の証明書の検証を依頼するための検証リクエスト情報を受信する検証リクエスト受信部13と、上記CRLを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リスト181を入力し、入力された上記有効証明書リスト181を用いて上記検証リクエスト情報により依頼された上記所定の証明書を検索し、検索結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する証明書検証部14と、上記検証結果である検証レスポンス情報を出力する検証レスポンス送信部16とを備えたことを特徴とする。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
この発明は、証明書の検証を行うサーバ装置に関するものである。
また、この発明は、証明書の検証を行う際に、安全性を損なうことなく処理を高速化する技術に関するものである。
【0002】
【従来の技術】
計算機システムを利用して相手を確認する方法として、認証局により発行された証明書を用いた認証技術が記載されている。
【0003】
また、ディレクトリに掲載されている公開鍵証明書の有効性を保証し、利用者の利便性と処理効率を大幅に向上させることを目的として、以下のような手段が記載されている。ディレクトリ更新間隔設定手段、ディレクトリ更新契機監視手段は、所定の時間間隔で、ディレクトリ更新を起動する。これに対して、CA内データベース監視手段は、CAが管理している公開鍵証明書状態が変化すると、ディレクトリ更新を起動する。ディレクトリ更新が起動されると、ディレクトリ−CA整合性確認手段は、公開鍵証明書状態と公開鍵証明書状態との差分を抽出する。更新日時作成手段は、更新日時署名手段で秘密鍵により署名された更新日時を作成する。ディレクトリ書き込み手段は、上記差分とともに更新日時をディレクトリに掲載する。(例えば、特許文献1参照)
【0004】
【特許文献1】
特開2001−265216号公報(要約書)
【特許文献2】
特開2002−023627号公報
【特許文献3】
特開2002−108209号公報
【特許文献4】
特開平11−340968号公報
【特許文献5】
特開2002−072876号公報
【非特許文献1】
RFC2459 Internet X.509 PublicKey Infrastructure、Certificate and CRL
Profile
【0005】
【発明が解決しようとする課題】
従来の証明書検証サーバにおいては、
証明書検証部の有効性の確認手順において、検証パスを辿るごとに証明書の署名の検証と、CRL(Certificate Revocation List)の署名の検証と、CRLによる無効化のチェックが行われ、負荷の増大や処理速度の低下を招くという問題があった。
特に署名の検証には公開鍵暗号に基づく演算処理が必要となるので、
多大な計算機資源が消費されるという問題があった。
【0006】
この発明は、安全性を損なうことなく証明書検証部の有効性の確認手順を省力化し、証明書検証サーバを高速化することを目的とする。
【0007】
【課題を解決するための手段】
この発明に係るサーバ装置は、認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うサーバ装置において、
所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信部と、
上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証部と、
上記検証部により検証された結果である検証レスポンス情報を出力する出力部と
を備えたことを特徴とする。
【0008】
【発明の実施の形態】
実施の形態1.
図1は、実施の形態1における構成を示す図である。
図1に示す構成により高速証明書検証サーバを実現するものである。
図1において、クライアント2は、検証リクエスト生成部6、検証リクエスト送信部7、検証レスポンス受信部9を備えている。
証明書検証サーバ3(サーバ装置の一例である)は、有効証明書リスト更新部、検証リクエスト受信部13(受信部の一例である)、証明書検証部14(検証部の一例である)、検証レスポンス生成部15、検証レスポンス送信部16(出力部の一例である)、CRL更新部12、ディレクトリ10、CRL D/B11、記憶装置18を備えている。
クライアント2と証明書検証サーバ3とは、マシン同士が通信を行うネットワーク1に接続されている。
クライアント2は、前記ネットワーク1に接続されて証明書4(所定の証明書の一例である)の検証を依頼する。
上記証明書4は、複数の認証局により階層構造を形成するように認証されている。
証明書検証サーバ3は、前記ネットワーク1に接続されて証明書4の検証を行う。証明書検証サーバ3は、認証局が発行する、無効な証明書が識別可能なCRL(無効証明書リストの一例である)を用いて証明書の検証を行う。
上記CRLは、上記階層構造の各階層における認証局により発行されている。検証リクエスト生成部6は、検証対象の証明書4から検証リクエスト5を生成する。
検証リクエスト送信部7は、前記検証リクエスト5を前記ネットワーク1へ送信する。
検証レスポンス受信部9は、前記検証リクエスト5の結果となる検証レスポンス8を前記ネットワーク1から受信する。
ディレクトリ10は、公開されている証明書が格納されている。(ディレクトリ10は、外部にあっても構わない。)
CRL D/B11は、失効した証明書のリストであるCRLが格納されている。(CRL D/B11は、外部にあっても構わない。)
CRL更新部12は、CRLが更新された際にCRL D/B11を更新する。
有効証明書リスト181は、既に有効性を確認した証明書である有効証明書を格納している。有効証明書リスト181は、記憶装置18に記憶されている。上記証明書検証サーバ3は、さらに、上記記憶装置18を備えている。(有効証明書リスト181は、外部にあっても構わない。よって、上記記憶装置18は、外部にあっても構わない。)記有効証明書リスト181は、上記階層構造の各階層における認証局の有効な証明書が検索可能に構成されている。
有効証明書リスト更新部19は、前記CRLが更新された際に前記有効証明書リスト181を更新する。有効証明書リスト更新部は、上記証明書4が無効な証明書として識別可能に上記CRLが更新された場合に、上記記憶装置18に記憶された上記有効証明書リスト181から有効な証明書として明記されていた上記証明書4を削除することにより上記有効証明書リスト181を更新する。
検証リクエスト受信部13は、前記ネットワーク1から所定の証明書の検証を依頼するための検証リクエスト5(検証リクエスト情報の一例である)を受信する。
証明書検証部14は、前記検証リクエスト5と前記ディレクトリ10と前記CRL D/B11と前記有効証明書リスト181を用いて証明書の検証を行う。証明書検証部14は、ディレクトリ10とCRL D/B11と有効証明書リスト181とへの参照手段を有している。証明書検証部14は、上記認証局が発行するCRLを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リスト181を記憶する記憶装置18から有効証明書リスト181を入力し、入力された上記有効証明書リスト181を用いて上記検証リクエスト受信部13により受信された検証リクエスト5により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する。検索した結果、上記所定の証明書4が検索された場合に、証明書が有効期限内であるかどうかを検証し、上記証明書検証部14は、上記証明書4の上記階層構造を下階層から上階層に向けて辿りながら上記階層構造の各階層において、上記各階層における認証局が発行するCRLを用いて上記所定の証明書の検証を行う前に、上記有効証明書リスト181を用いて上記検証リクエスト受信部13により受信された検証リクエスト5により依頼された上記証明書4を検索し、検索した結果、上記証明書4が検索された場合に、さらに、検索された有効な証明書が上記階層構造の最上階層における認証局の有効な証明書であるかどうかを検証する。また、上記証明書検証部14は、証明書が有効期限内であるかどうかを検証し、検証された上記証明書4が有効期限内でない場合に、上記記憶装置18に記憶された上記有効証明書リスト181から有効な証明書として明記されていた上記証明書4を削除する。検証レスポンス生成部15は、前記証明書検証部14の検証結果をもとに検証レスポンス8を生成する。
検証レスポンス送信部16は、前記検証レスポンス8(検証レスポンス情報の一例である)を前記ネットワーク1へと送信する。
【0009】
図2はX.509形式の証明書の構造を示す図である。
証明書は階層構造をもって発行されており、最上位の認証局は下位の認証局に証明書を発行し、更に下位の認証局がユーザに証明書を発行するという形がとられる。これは検証パスと呼ばれる。
図2において、証明書は、基本領域と拡張領域と発行者による署名を有している。基本領域には、証明書形式のバージョン、証明書のシリアル番号、証明書の署名アルゴリズム、証明書の有効期間、証明書の発行者名、証明書の所有者名、証明書所有者の公開鍵、発行者ユニーク識別子、所有者ユニーク識別子が格納(記載)されている。
【0010】
図3は検証パスの一例を示す図である。
証明書には有効期限が設定されている。そして、秘密鍵の漏洩などの理由により有効期限内に証明書を無効化する必要がある場合は、CRLとして無効化する証明書のリストが認証局より発行される。
図3においては、ユーザAが所有する証明書Aの上位階層に認証局Bが所有する証明書Bが存在する。そして、認証局Bが所有する証明書Bの上位階層に最上位認証局である認証局Cが所有する証明書Cが存在する。
【0011】
図4はRFC2459にて定められたCRLのフォーマットを示す図である。図4において、CRLには、CRL形式のバージョン、発行者の署名アルゴリズム、発行者の名前、発行時刻、次回発行予定時刻、CRLエントリ、拡張項目、署名アルゴリズム、発行者の署名が格納(記載)されている。CRLエントリには、証明書のシリアル番号、無効時刻、拡張項目が格納(記載)されている。CRLエントリには、無効となった証明書が複数指定可能に格納(記載)されている。
【0012】
従って、証明書の検証を行う為には、証明書の階層構造を辿るための検証パスを構築し、CRLや有効期限切れによる無効をチェックしながら証明書を発行した認証局の署名を検証して検証パスを遡っていく。
【0013】
図5は実施の形態1における有効証明書リストを示す図である。
図5において、有効証明書リスト181には、有効性を確認した証明書である有効証明書として証明書A171、証明書B172、証明書C173が格納されている。
【0014】
図6は証明書検証部の内部処理手順を示す図である。
図6におけるステップにて、検証パスの構築手順と有効性の確認手順が行われる。
図7は検証パスの構築の処理手順を示す図である。
図7において、まず検証パスの初期化を行う。与えられた証明書を処理対象の証明書に設定する。検証パスに処理対象の証明書を追加する。証明書の構造に含まれる証明書の発行者ユニーク識別子を取得する。証明書の構造に含まれる証明書の所有者ユニーク識別子を取得する。取得した発行者ユニーク識別子と所有者ユニーク識別子が同一かどうかを比較し、もし、発行者ユニーク識別子と所有者ユニーク識別子が同一だった場合は検証パスのトップとなる自己署名の施された最上位の認証局に到達したものと判断し、検証パスの構築を完了し、処理を終了する。
もし、発行者ユニーク識別子と所有者ユニーク識別子が異なった場合は、ディレクトリから発行者の証明書を取得し、もし取得に失敗した場合はエラーとして処理を中断する。
もし、取得に成功した場合は、発行者の証明書を次に与える証明書に設定し、再度、与えられた証明書を処理対象の証明書に設定する手順以下を繰り返す。
図8は実施の形態1における有効性の確認手順を示す図である。
図9は実施の形態1における有効証明書リスト更新手順を示す図である。
【0015】
このように構成された証明書検証サーバ3において、
まずクライアント2は、検証リクエスト生成部6にて検証対象の証明書4から検証リクエスト5を生成する。そして、検証リクエスト送信部7にて検証リクエスト5をネットワーク1へ送信する。
証明書検証サーバ3は、検証リクエスト受信部13にて検証リクエスト5をネットワーク1から受信する。そして、証明書検証部14にて、検証リクエスト5と、ディレクトリ10に格納されている公開されている証明書と、CRL D/B11に格納されているCRLを用いて証明書4の検証を行う。
【0016】
ここで証明書検証部14は、図6の内部処理手順により処理を実行する。
まず、証明書検証部14の内部処理手順その1としてS(ステップ)20にて、処理を開始する。
次に、証明書検証部14の内部処理手順その2としてS21にて、検証パスを構築する。
次に、証明書検証部の内部処理手順その3としてS22にて、有効性を確認する。
次に、証明書検証部の内部処理手順その4としてS23にて、処理を終了する。
【0017】
図6におけるS21の検証パスの構築は、図7の検証パスの構築の手順により処理を実行する。
まず、検証パスの構築の手順その1としてS24にて、証明書検証部14は、処理を開始する。
検証パスの構築の手順その2としてS25にて、証明書検証部14は、検証パスの初期化を実行する。
検証パスの構築の手順その3としてS26にて、証明書検証部14は、与えられた証明書を処理対象の証明書に設定する。
検証パスの構築の手順その4としてS27にて、証明書検証部14は、検証パスに処理対象の証明書を追加する。
検証パスの構築の手順その5としてS28にて、証明書検証部14は、証明書の構造に含まれる証明書の発行者ユニーク識別子を取得する。
検証パスの構築の手順その6としてS29にて、証明書の構造に含まれる証明書の所有者ユニーク識別子を取得する。
検証パスの構築の手順その7としてS30にて、証明書検証部14は、取得した発行者ユニーク識別子と所有者ユニーク識別子が同一かどうかを比較する。ここで、もし、発行者ユニーク識別子と所有者ユニーク識別子が同一だった場合、証明書検証部14は、検証パスのトップとなる自己署名の施された最上位の認証局に到達したものと判断し、S34に進む。もし、発行者ユニーク識別子と所有者ユニーク識別子が異なった場合、S31に進む。
検証パスの構築の手順その11としてS34にて、証明書検証部14は、検証パスの構築を完了する。
検証パスの構築の手順その12としてS35にて、証明書検証部14は、処理を終了する。
検証パスの構築の手順その8としてS30にて、証明書検証部14は、もし、発行者ユニーク識別子と所有者ユニーク識別子が異なった場合、ディレクトリ10から発行者の証明書を取得する。
検証パスの構築の手順その9として、証明書検証部14は、もし、S32において発行者の証明書の取得に失敗した場合はエラーとして処理を中断する。証明書検証部14は、もし、S32において発行者の証明書の取得に成功した場合は、S33に進む。
検証パスの構築の手順その10としてS33にて、証明書検証部14は、発行者の証明書を次に与える証明書に設定し、再度、与えられた証明書を処理対象の証明書に設定する検証パスの構築の手順その3としてS26以下を繰り返す。
【0018】
次に、図6における証明書検証部14の内部処理手順その3としてS22にて有効性を確認する際の手順は、図8の有効性の確認手順により処理を実行する。
まず、有効性の確認手順その1としてS36にて、証明書検証部14は、処理を開始する。
有効性の確認手順その2としてS37にて、証明書検証部14は、検証パスから一番下位の証明書を取得する。
有効性の確認手順その3としてS38にて、証明書検証部14は、現在の日時を取得する。
有効性の確認手順その4としてS39にて、証明書検証部14は、S37にて取得した証明書より上記証明書の有効期間を取得する。
有効性の確認手順その5としてS40にて、証明書検証部14は、証明書に一致する有効証明書を有効証明書リスト181から検索する。
有効性の確認手順その6としてS41にて、証明書検証部14は、S37において取得した証明書が有効証明書リスト181に含まれたかどうかを判定する。ここで、もし、取得した証明書が有効証明書リスト181に含まれる場合は有効性の確認手順その20としてS55に処理を移す(進む)。もし、取得した証明書が有効証明書リスト181に含まれない場合は有効性の確認手順その7としてS42に処理を移す(進む)。
有効性の確認手順その20としてS55にて、証明書検証部14は、S38において取得した日時とS39において取得した証明書の有効期間とを比較する。ここで、証明書の有効期間が過ぎており、期限切れの場合は、S56に進む。証明書の有効期間が過ぎておらず、期限内の場合は、S57に進む。
有効性の確認手順その21としてS56にて、証明書検証部14は、期限切れの証明書を有効証明書リスト181から削除する。そして、証明書検証部14は、証明書の検証結果を無効と設定し、S54に進み、有効性の確認手順その19としてS54にて、証明書検証部14は、処理を終了する。
有効性の確認手順その22としてS57にて、証明書検証部14は、現在の証明書が検証パスの最後となる最上位かどうかを比較する。証明書検証部14は、もし、最後の場合に検証結果を有効と設定し、S54に進み、有効性の確認手順その19としてS54にて処理を終了する。証明書検証部14は、もし、最後ではない場合に再度有効性の確認手順その2としてS37に進み、S37における検証パスから証明書を取得する手順以下を繰り返す。
有効性の確認手順その7としてS42にて、証明書検証部14は、S38において取得した日時とS39において取得した証明書の有効期間とを比較する。証明書検証部14は、もし、証明書の有効期間が期限切れの場合に証明書の検証結果を無効と設定する。そして、有効性の確認手順その19としてS54に進み、証明書検証部14は、処理を終了する。証明書検証部14は、もし、証明書の有効期間が期限内である場合にS43に進む。
有効性の確認手順その8としてS43にて、証明書検証部14は、証明書の発行者による署名を取得する。
有効性の確認手順その9としてS44にて、証明書検証部14は、証明書の発行者となる検証パスで上位に位置する上位証明書を取得する。
有効性の確認手順その10としてS45にて、証明書検証部14は、上位証明書の証明書所有者の公開鍵を取得する。
有効性の確認手順その11としてS46にて、証明書検証部14は、上位証明書の証明書所有者の公開鍵を用いて証明書の発行者による署名を検証する。ここで、証明書検証部14は、もし、検証に失敗した場合に検証結果を無効と設定し、有効性の確認手順その19としてS54に進み、処理を終了する。証明書検証部14は、もし、検証に成功した場合にS47に進む。
有効性の確認手順その12としてS47にて、証明書検証部14は、CRL D/B11から証明書の発行者(認証局の一例である)の発行しているCRLを入手する。
有効性の確認手順その13としてS48にて、証明書検証部14は、ディレクトリ10からCRL発行者の証明書を取得する。
有効性の確認手順その14としてS49にて、証明書検証部14は、CRL発行者の証明書の公開鍵を用いてCRLの発行者の証明を検証する。ここで、証明書検証部14は、もし、検証に失敗した場合にエラーとして処理を中断する。証明書検証部14は、もし、検証に成功した場合にS50に進む。
有効性の確認手順その15としてS50にて、証明書検証部14は、証明書のシリアル番号を取得する。
有効性の確認手順その16としてS51にて、証明書検証部14は、証明書のシリアル番号がCRLのCRLエントリの証明書のシリアル番号に含まれるかどうかを比較する。ここで、証明書検証部14は、もし、含まれる場合に検証結果を無効と設定し、有効性の確認手順その19としてS54に進み。処理を終了する。証明書検証部14は、もし、含まれない場合にS52に進む。
有効性の確認手順その17としてS52にて、証明書検証部14は、現在の証明書が検証パスの最後となる最上位かどうかを比較する。ここで、証明書検証部14は、もし、最後となる最上位の場合に検証結果を有効と設定し、S53に進む。証明書検証部14は、もし、最後となる最上位ではない場合に再度有効性の確認手順その2としてS37に進み、S37における検証パスから証明書を取得する手順以下を繰り返す。
有効性の確認手順その18としてS53にて、証明書検証部14は、証明書を有効証明書リスト181に追加する。
有効性の確認手順その19としてS54にて、証明書検証部14は、処理を終了する。
以上により、証明書検証部の内部処理手順その3としてS22による証明書が有効か無効かの確認がなされる。
【0019】
図6における証明書検証部の内部処理手順その4としてS23にて処理が終了後、検証レスポンス生成部15は、証明書検証部14の検証結果をもとに検証レスポンス8を生成する。
検証レスポンス送信部16は、検証レスポンス8をネットワーク1へと送信する。
一方、クライアント2において、検証レスポンス受信部9は、検証リクエスト5の結果となる検証レスポンス8をネットワーク1から受信する。そして、検証レスポンス受信部9は、検証レスポンス8から証明書4の検証結果を得る。
【0020】
次に、CRLが更新された場合について説明する。
CRL更新部12は、CRLが更新された場合、更新されたCRLをCRL
D/B11に格納するとともに、有効証明書リスト更新部へCRLを渡す。
有効証明書リスト更新部では、図9の有効証明書リスト更新手順により処理を実行する。
まず、有効証明書リスト更新手順その1としてS58にて、有効証明書リスト更新部は、処理を開始する。
有効証明書リスト更新手順その2としてS59にて、有効証明書リスト更新部は、更新されたCRLをCRL更新部12より取得する。
有効証明書リスト更新手順その3としてS60にて、有効証明書リスト更新部は、S59において取得されたCRLに含まれる失効した証明書を取得する。
有効証明書リスト更新手順その4としてS61にて、有効証明書リスト更新部は、既にCRLに含まれる失効した全ての証明書を取得していたかどうかを判定する。ここで、有効証明書リスト更新部は、もし、全取得済であった場合、有効証明書リスト更新手順その8としてS65に進み、処理を終了する。有効証明書リスト更新部は、もし、CRLから新たにCRLに含まれる失効した証明書を取得できた場合、S62に進む。
有効証明書リスト更新手順その5としてS62にて、有効証明書リスト更新部は、CRLに含まれる失効した証明書を有効証明書リスト181から取得する。有効証明書リスト更新手順その6としてS63にて、有効証明書リスト更新部は、CRLに含まれる失効した証明書を有効証明書リスト181から取得できたかどうかを判定する。ここで、有効証明書リスト更新部は、もし、取得できなかった場合、CRLにより無効となった証明書が有効証明書リスト181に含まれなかったと判断し、再度有効証明書リスト更新手順その3としてS60以下の手順を繰り返す。有効証明書リスト更新部は、もし、取得できた場合、S64に進む。
有効証明書リスト更新手順その7としてS64にて、有効証明書リスト更新部は、CRLに含まれる失効した証明書を有効証明書リスト181から削除し、
再度有効証明書リスト更新手順その3としてS60以下の手順を繰り返す。
有効証明書リスト更新手順その8としてS65にて、有効証明書リスト更新部は、処理を終了する。
【0021】
以上の説明のとおり、一度有効性が確認された証明書は有効証明書リスト181に追加されている為、再度同じ証明書の検証を行う際に有効証明書リスト181に含まれていれば、有効であることを容易に判定することが可能である。
また、有効証明書リスト181からCRLに含まれる無効な証明書を削除することができる。
【0022】
以上のように、実施の形態1におけるシステムは、
マシン同士が通信を行うネットワーク1と、
前記ネットワーク1に接続されて証明書の検証を依頼するクライアント2と、前記ネットワーク1に接続されて証明書の検証を行う証明書検証サーバ3とを備え、
前記クライアント2は、
検証対象の証明書から検証リクエスト5を生成する検証リクエスト生成部6と、
前記検証リクエスト5を前記ネットワーク1へ送信する検証リクエスト送信部7と、
前記検証リクエスト5の結果となる検証レスポンス8を前記ネットワーク1から受信する検証レスポンス受信部9とを具備し、
前記証明書検証サーバ3は、
公開されている証明書の格納されているディレクトリ10もしくは外部にあるディレクトリ10への参照手段と、
失効した証明書のリストであるCRLの格納されているCRL D/B11もしくは外部にあるCRL D/B11への参照手段と、
前記CRLが更新された際に前記CRL D/B11を更新するCRL更新部12と、
前記検証リクエスト5を前記ネットワーク1から受信する検証リクエスト受信部13と、
証明書の検証を行う証明書検証部14と、
前記証明書検証部14の検証結果をもとに検証レスポンス8を生成する検証レスポンス生成部15と、
前記検証レスポンス8を前記ネットワーク1へと送信する検証レスポンス送信部16とを具備するシステムであり、更に、
既に有効性を確認した証明書である有効証明書を格納する有効証明書リスト181もしくは外部にある有効証明書リスト181への参照手段を備え、
前記証明書検証部14が、前記検証リクエスト5と前期ディレクトリ10と前記CRL D/B11と前記有効証明書リスト181とを用いて証明書の検証を行うことを特徴とする。
【0023】
また、上記証明書検証サーバ3において、
前記CRLが更新された際に、前記有効証明書リストを更新する有効証明書リスト更新部19を持つことを特徴とする。
【0024】
実施の形態2.
実施の形態2における構成は、図1と同様である。
ネットワーク1は、マシン同士が通信を行う際に用いられる。
クライアント2は、前記ネットワーク1に接続されて証明書4の検証を依頼する。
証明書検証サーバ3は、前記ネットワーク1に接続されて証明書4の検証を行う。証明書検証サーバ3は、実施の形態1と同様の高速証明書検証サーバを示すものである。
前記クライアント2は、検証リクエスト生成部6と検証リクエスト送信部7と検証レスポンス受信部9とを具備する。
検証リクエスト生成部6は、検証対象の証明書4から検証リクエスト5を生成する。
検証リクエスト送信部7は、前記検証リクエスト5を前記ネットワーク1へ送信する。
検証レスポンス受信部9は、前記検証リクエスト5の結果となる検証レスポンス8を前記ネットワーク1から受信する。
前記サーバ3は、公開されている証明書の格納されているディレクトリ10もしくは外部にあるディレクトリ10への参照手段と、
失効した証明書のリストであるCRLの格納されているCRL D/B11もしくは外部にあるCRL D/B11への参照手段と、
CRLが更新された際にCRL D/B11を更新するCRL更新部12と、既に有効性を確認した証明書である有効証明書のハッシュ値66を格納する有効証明書リスト181もしくは外部にある有効証明書リスト181への参照手段と、
前記CRLが更新された際に前記有効証明書リスト181を更新する有効証明書リスト更新部と、
前記検証リクエスト5を前記ネットワーク1から受信する検証リクエスト受信部13と、
前記検証リクエスト5と前期ディレクトリ10と前記CRL D/B11と前記有効証明書リスト181を用いて証明書の検証を行う証明書検証部14と、
前記証明書検証部14の検証結果をもとに検証レスポンス8を生成する検証レスポンス生成部15と、
前記検証レスポンス8を前記ネットワーク1へと送信する検証レスポンス送信部16とを具備する。
失効した証明書のリストであるCRLの格納されているCRL D/B11もしくは外部にあるCRL D/B11への参照手段と、既に有効性を確認した証明書である有効証明書のハッシュ値66を格納する有効証明書リスト181もしくは外部にある有効証明書リスト181への参照手段とは、証明書検証部14が備えていても構わない。
ここで、実施の形態2における上記有効証明書リスト181には、上記有効な証明書に対応するハッシュ値66が格納されている。
上記証明書検証部14は、上記有効証明書リスト181に格納された上記ハッシュ値66を用いて上記検証リクエスト受信部13により受信された検証リクエスト5により依頼された上記証明書4を検索する。
【0025】
図10は、実施の形態2における有効証明書リストを示す図である。
図10において、有効証明書リスト181における各証明書には、有効性を確認した証明書である有効証明書のハッシュ値66が格納されている。
図6における証明書検証部の内部処理手順と、図7における検証パスの構築の処理手順とは、実施の形態1と同様である。
【0026】
図11は、実施の形態2における有効性の確認手順を示す図である。
【0027】
このように構成された証明書検証サーバにおいて、
まずクライアント2は、検証リクエスト生成部6にて検証対象の証明書4から検証リクエスト5を生成する。
そして、検証リクエスト送信部7にて検証リクエスト5をネットワーク1へ送信する。
証明書検証サーバ3は、検証リクエスト受信部13にて検証リクエスト5をネットワーク1から受信する。
そして、証明書検証部14にて、検証リクエスト5と、公開されている証明書の格納されているディレクトリ10もしくは外部にあるディレクトリ10への参照手段と、失効した証明書のリストであるCRLの格納されているCRL D/B11もしくは外部にあるCRL D/B11への参照手段を用いて証明書4の検証を行う。
【0028】
ここで証明書検証部14は、実施の形態1と同様、図6の内部処理手順により処理を実行する。
まず、証明書検証部の内部処理手順その1としてS20にて処理を開始する。
次に、証明書検証部の内部処理手順その2としてS21にて検証パスを構築する。
次に、証明書検証部の内部処理手順その3としてS22にて有効性を確認する。
次に、証明書検証部の内部処理手順その4としてS23にて処理を終了する。検証パスの構築は、実施の形態1と同様、図7の検証パスの構築の手順により処理を実行する。
まず、検証パスの構築の手順その1としてS24にて、証明書検証部14は、処理を開始する。
検証パスの構築の手順その2としてS25にて、証明書検証部14は、検証パスの初期化を実行する。
検証パスの構築の手順その3としてS26にて、証明書検証部14は、与えられた証明書を処理対象の証明書に設定する。
検証パスの構築の手順その4としてS27にて、証明書検証部14は、検証パスに処理対象の証明書を追加する。
検証パスの構築の手順その5としてS28にて、証明書検証部14は、証明書の構造に含まれる証明書の発行者ユニーク識別子を取得する。
検証パスの構築の手順その6としてS29にて、証明書検証部14は、証明書の構造に含まれる証明書の所有者ユニーク識別子を取得する。
検証パスの構築の手順その7としてS30にて、証明書検証部14は、取得した発行者ユニーク識別子と所有者ユニーク識別子が同一かどうかを比較する。ここで、証明書検証部14は、もし発行者ユニーク識別子と所有者ユニーク識別子が同一だった場合は検証パスのトップとなる自己署名の施された最上位の認証局に到達したものと判断し、Sに進む。証明書検証部14は、もし発行者ユニーク識別子と所有者ユニーク識別子が異なった場合は、S31に進む。
検証パスの構築の手順その8としてS31にて、証明書検証部14は、ディレクトリ10から発行者の証明書を取得する。
検証パスの構築の手順その9としてS32にて、証明書検証部14は、もし取得に失敗した場合はエラーとして処理を中断する。証明書検証部14は、もし取得に成功した場合は、S33に進む。
検証パスの構築の手順その10としてS33にて、証明書検証部14は、発行者の証明書を次に与える証明書に設定し、再度、与えられた証明書を処理対象の証明書に設定する検証パスの構築の手順その3としてS26以下を繰り返す。
検証パスの構築の手順その11としてS34にて、証明書検証部14は、検証パスの構築を完了する。
検証パスの構築の手順その12としてS35にて、証明書検証部14は、処理を終了する。
【0029】
次に、図6における証明書検証部の内部処理手順その3としてS22にて有効性を確認する際の確認手順は、図11の有効性の確認手順により処理を実行する。
まず、有効性の確認手順その1としてS36にて、証明書検証部14は、処理を開始する。
有効性の確認手順その2としてS37にて、証明書検証部14は、検証パスから一番下位の証明書を取得する。
有効性の確認手順その3としてS38にて、証明書検証部14は、現在の日時を取得する。
有効性の確認手順その4としてS39にて、証明書検証部14は、証明書の有効期間を取得する。
実施の形態2における有効性の確認追加手順その1としてS67にて、証明書検証部14は、証明書のハッシュ値66を生成する。
実施の形態2における有効性の確認追加手順その2としてS68にて、証明書検証部14は、証明書のハッシュ値66に一致する有効証明書のハッシュ値66を有効証明書リスト181から検索する。
有効性の確認手順その6としてS41にて、証明書検証部14は、証明書のハッシュ値66に一致する有効証明書のハッシュ値66が有効証明書リスト181に含まれているかどうかを判定する。証明書検証部14は、もし、一致する有効証明書のハッシュ値66が含まれる場合に有効性の確認手順その20としてS55に処理を移す(進む)。証明書検証部14は、もし、一致する有効証明書のハッシュ値66が含まれない場合に有効性の確認手順その7としてS42に処理を移す(進む)。
有効性の確認手順その20としてS55にて、証明書検証部14は、S38において取得した日時とS39において取得した証明書の有効期間を比較する。ここで、証明書検証部14は、もし、証明書の有効期間が期限切れの場合にS56に進む。証明書検証部14は、もし、証明書の有効期間が期限内の場合は、S57に進む。
有効性の確認手順その21としてS56にて、証明書検証部14は、期限切れの証明書を有効証明書リスト181から削除する。証明書検証部14は、証明書の検証結果を無効と設定し、有効性の確認手順その19としてS54に進み、証明書検証部14は、処理を終了する。
有効性の確認手順その22としてS57にて、証明書検証部14は、現在の証明書が検証パスの最後となる最上位かどうかを比較する。ここで、証明書検証部14は、もし最後となる最上位の場合に検証結果を有効と設定し、有効性の確認手順その19としてS54に進み、証明書検証部14は、処理を終了する。証明書検証部14は、もし。最後となる最上位ではない場合に、再度有効性の確認手順その2としたS37の検証パスから証明書を取得する手順以下を繰り返す。
有効性の確認手順その7としてS42にて、証明書検証部14は、S38において取得した日時とS39において取得した証明書の有効期間を比較する。ここで、証明書検証部14は、もし期限切れの場合は証明書の検証結果を無効と設定し、有効性の確認手順その19としてS54に進み、証明書検証部14は、処理を終了する。証明書検証部14は、もし期限内である場合は、S43に進む。
有効性の確認手順その8としてS43にて、証明書検証部14は、証明書の発行者による署名を取得する。
有効性の確認手順その9としてS44にて、証明書検証部14は、証明書の発行者となる検証パスで上位に位置する上位証明書を取得する。
有効性の確認手順その10としてS45にて、証明書検証部14は、上位証明書の証明書所有者の公開鍵を取得する。
有効性の確認手順その11としてS46にて、証明書検証部14は、上位証明書の証明書所有者の公開鍵を用いて証明書の発行者による署名を検証する。ここで、証明書検証部14は、もし検証に失敗した場合に検証結果を無効と設定し、有効性の確認手順その19としてS54に進み、証明書検証部14は、処理を終了する。証明書検証部14は、もし検証に成功した場合にS47に進む。
有効性の確認手順その12としてS47にて、証明書検証部14は、CRL D/B11から証明書の発行者の発行しているCRLを入手する。
有効性の確認手順その13としてS48にて、証明書検証部14は、ディレクトリ10からCRL発行者の証明書を取得する。
有効性の確認手順その14としてS49にて、証明書検証部14は、CRL発行者の証明書の公開鍵を用いてCRLの発行者の証明を検証する。ここで、証明書検証部14は、もし検証に失敗した場合にエラーとして処理を中断する。証明書検証部14は、もし検証に成功した場合にS50に進む。
有効性の確認手順その15としてS50にて、証明書検証部14は、証明書のシリアル番号を取得する。
有効性の確認手順その16としてS51にて、証明書検証部14は、証明書のシリアル番号がCRLのCRLエントリの証明書のシリアル番号に含まれるかどうかを比較する。証明書検証部14は、もし含まれる場合に検証結果を無効と設定し、有効性の確認手順その19としてS54に進み、証明書検証部14は、処理を終了する。証明書検証部14は、もし含まれない場合にS52に進む。
有効性の確認手順その17としてS52にて、証明書検証部14は、現在の証明書が検証パスの最後となる最上位かどうかを比較する。ここで、証明書検証部14は、もし最後となる最上位の場合は検証結果を有効と設定し、S69に進む。証明書検証部14は、もし最後となる最上位ではない場合に再度有効性の確認手順その2としたS52の検証パスから証明書を取得する手順以下を繰り返す。本実施の形態2における有効性の確認追加手順その1としてS69にて、証明書検証部14は、証明書のハッシュ値66を生成する。
本実施の形態2における有効性の確認追加手順その2としてS70にて、証明書検証部14は、有効証明書のハッシュ値66を有効証明書リスト181に追加する。
有効性の確認手順その19としてS54にて、証明書検証部14は、処理を終了する。
以上により、証明書検証部の内部処理手順その3としてS22による証明書が有効か無効かの確認がなされる。
【0030】
図6における証明書検証部の内部処理手順その4としてS23にて処理が終了後、検証レスポンス生成部15にて、証明書検証部14の検証結果をもとに検証レスポンス8を生成する。
検証レスポンス送信部16は、検証レスポンス8をネットワーク1へと送信する。
一方、クライアント2は、検証レスポンス受信部9にて検証リクエスト5の結果となる検証レスポンス8をネットワーク1から受信し、検証レスポンス8から証明書4の検証結果を得る。
【0031】
以上の説明のとおり、一度有効性が確認された証明書のハッシュ値66を有効証明書リスト181に保存する為、証明書そのものを保存するよりもデータ量を減少することが可能である。
【0032】
以上のように、上記証明書検証サーバ3は、前記有効証明書リスト181に、証明書そのものの代わりに証明書のハッシュ値66を格納することを特徴とする。
【0033】
以上の説明において、クライアント2と証明書検証サーバ3とは、図示されていないが、システムユニット、CRT(Cathode Ray Tube)表示装置、キーボード(K/B)、マウス、コンパクトディスク装置(CDD)、プリンタ装置、スキャナ装置を備えている。CRT表示装置、K/B、マウス、CDD、プリンタ装置、スキャナ装置は、システムユニットにケーブルで接続されている。
また、クライアント2と証明書検証サーバ3とは、図示されていないが、プログラムを実行するCPU(Central Processing Unit)を備えている。CPUは、バスを介してROM(Read Only Memory)(記憶装置の一例である)、RAM(Random Access Memory)(記憶装置の一例である)、CRT表示装置、K/B、マウス、通信ボード、FDD(Flexible Disk Drive)、磁気ディスク装置(記憶装置の一例である)、CDD、プリンタ装置、スキャナ装置と接続されている。通信ボード44は、インターネットに接続されている。
ここで、通信ボードは、インターネットに限らず、LAN(ローカルエリアネットワーク)、或いはISDN等のWAN(ワイドエリアネットワーク)に接続されていても構わない。
磁気ディスク装置には、オペレーティングシステム(OS)、ウィンドウシステム、プログラム群、ファイル群が記憶されている。プログラム群は、CPU、OS、ウィンドウシステムにより実行される。
【0034】
また、以上の説明において、各実施の形態の説明において「〜部」として説明したものは、一部或いはすべてコンピュータで動作可能なプログラムにより構成することができる。これらのプログラムは、例えば、C言語により作成することができる。或いは、HTMLやSGMLやXMLを用いても構わない。或いは、JAVA(登録商標)を用いて画面表示を行っても構わない。
また、各実施の形態の説明において「〜部」として説明したものは、ROMに記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェア或いは、ハードウェア或いは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実施されても構わない。
また、上記各実施の形態を実施させるプログラムは、また、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体による記録装置を用いても構わない。
また、出力部は、CRT表示装置、その他の表示装置、プリンタ装置等の出力装置を用いても構わない。
【0035】
以上のように、上記実施の形態におけるサーバ装置は、認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うサーバ装置において、
所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信部と、
上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証部と、
上記検証部により検証された結果である検証レスポンス情報を出力する出力部と
を備えたことを特徴とする。
【0036】
また、以上のように、上記検証部は、上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果、上記所定の証明書が検索された場合に、さらに、有効な証明書として検索された上記所定の証明書が有効期限内であるかどうかを検証することを特徴とする。
【0037】
また、以上のように、上記所定の証明書は、複数の認証局により階層構造を形成するように認証され、
上記無効証明書リストは、上記階層構造の各階層における認証局により発行され、
上記有効証明書リストは、上記階層構造の各階層における認証局の有効な証明書が検索可能に構成され、
上記検証部は、上記所定の証明書の上記階層構造を下階層から上階層に向けて辿りながら上記階層構造の各階層において、上記各階層における認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果、上記所定の証明書が検索された場合に、さらに、検索された有効な証明書が上記階層構造の最上階層における認証局の有効な証明書であるかどうかを検証することを特徴とする。
【0038】
また、以上のように、上記検証部は、検証された上記所定の証明書が有効期限内でない場合に、上記記憶装置に記憶された上記有効証明書リストから有効な証明書として明記されていた上記所定の証明書を削除することを特徴とする。
【0039】
また、以上のように、上記サーバ装置は、さらに、上記所定の証明書が無効な証明書として識別可能に上記無効証明書リストが更新された場合に、上記記憶装置に記憶された上記有効証明書リストから有効な証明書として明記されていた上記所定の証明書を削除することにより上記有効証明書リストを更新する有効証明書リスト更新部を備えたことを特徴とする。
【0040】
また、以上のように、上記サーバ装置は、さらに、上記記憶装置を備えたことを特徴とする。
【0041】
また、以上のように、上記有効証明書リストには、上記有効な証明書に対応するハッシュ値が格納され、
上記検証部は、上記有効証明書リストに格納された上記ハッシュ値を用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索することを特徴とする。
【0042】
また、以上のように、上記実施の形態における証明書検証方法は、認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いてサーバ装置が証明書の検証を行う証明書検証方法において、
所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信工程と、
上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信工程により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証工程と、
上記検証工程により検証された結果である検証レスポンス情報を出力する出力工程と
を備えたことを特徴とする。
【0043】
また、以上のように、上記実施の形態におけるプログラムは、認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うプログラムであって、
所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信処理と、
上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信処理により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証処理と、
上記検証処理により検証された結果である検証レスポンス情報を出力する出力処理と
をコンピュータに実行させるためのプログラムであることを特徴とする。
【0044】
また、以上のように、上記実施の形態におけるコンピュータ読み取り可能な記録媒体は、認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うプログラムを記録したコンピュータ読み取り可能な記録媒体であって、
所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信処理と、
上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信処理により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証処理と、
上記検証処理により検証された結果である検証レスポンス情報を出力する出力処理と
をコンピュータに実行させるためのプログラムを記録したことを特徴とする。
【0045】
【発明の効果】
この発明によれば、認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うサーバ装置において、所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信部と、上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証部と、上記検証部により検証された結果である検証レスポンス情報を出力する出力部とを備えたので、安全性を損なうことなく証明書検証部の有効性の確認手順を省力化し、証明書検証サーバを高速化することができる。
【図面の簡単な説明】
【図1】実施の形態1における構成を示す図である。
【図2】X.509形式の証明書の構造を示す図である。
【図3】検証パスの一例を示す図である。
【図4】RFC2459にて定められたCRLのフォーマットを示す図である。
【図5】実施の形態1における有効証明書リストを示す図である。
【図6】証明書検証部の内部処理手順を示す図である。
【図7】検証パスの構築の処理手順を示す図である。
【図8】実施の形態1における有効性の確認手順を示す図である。
【図9】実施の形態1における有効証明書リスト更新手順を示す図である。
【図10】実施の形態2における有効証明書リストを示す図である。
【図11】実施の形態2における有効性の確認手順を示す図である。
【符号の説明】
1 ネットワーク、2 クライアント、3 証明書検証サーバ、4 証明書、5 検証リクエスト、6 検証リクエスト生成部、7 検証リクエスト送信部、8 検証レスポンス、9 検証レスポンス受信部、10 ディレクトリ、11 CRL D/B、12 CRL更新部、13 検証リクエスト受信部、14 証明書検証部、15 検証レスポンス生成部、16 検証レスポンス送信部、18記憶装置、17 有効証明書リスト更新部、66 ハッシュ値、171,172,173 有効証明書、181 有効証明書リスト。

Claims (10)

  1. 認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うサーバ装置において、
    所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信部と、
    上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証部と、
    上記検証部により検証された結果である検証レスポンス情報を出力する出力部と
    を備えたことを特徴とするサーバ装置。
  2. 上記検証部は、上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果、上記所定の証明書が検索された場合に、さらに、有効な証明書として検索された上記所定の証明書が有効期限内であるかどうかを検証することを特徴とする請求項1記載のサーバ装置。
  3. 上記所定の証明書は、複数の認証局により階層構造を形成するように認証され、
    上記無効証明書リストは、上記階層構造の各階層における認証局により発行され、
    上記有効証明書リストは、上記階層構造の各階層における認証局の有効な証明書が検索可能に構成され、
    上記検証部は、上記所定の証明書の上記階層構造を下階層から上階層に向けて辿りながら上記階層構造の各階層において、上記各階層における認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、上記有効証明書リストを用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果、上記所定の証明書が検索された場合に、さらに、検索された有効な証明書が上記階層構造の最上階層における認証局の有効な証明書であるかどうかを検証することを特徴とする請求項1記載のサーバ装置。
  4. 上記検証部は、検証された上記所定の証明書が有効期限内でない場合に、上記記憶装置に記憶された上記有効証明書リストから有効な証明書として明記されていた上記所定の証明書を削除することを特徴とする請求項2記載のサーバ装置。
  5. 上記サーバ装置は、さらに、上記所定の証明書が無効な証明書として識別可能に上記無効証明書リストが更新された場合に、上記記憶装置に記憶された上記有効証明書リストから有効な証明書として明記されていた上記所定の証明書を削除することにより上記有効証明書リストを更新する有効証明書リスト更新部を備えたことを特徴とする請求項1記載のサーバ装置。
  6. 上記サーバ装置は、さらに、上記記憶装置を備えたことを特徴とする請求項1記載のサーバ装置。
  7. 上記有効証明書リストには、上記有効な証明書に対応するハッシュ値が格納され、
    上記検証部は、上記有効証明書リストに格納された上記ハッシュ値を用いて上記受信部により受信された検証リクエスト情報により依頼された上記所定の証明書を検索することを特徴とする請求項1記載のサーバ装置。
  8. 認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いてサーバ装置が証明書の検証を行う証明書検証方法において、
    所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信工程と、
    上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信工程により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証工程と、
    上記検証工程により検証された結果である検証レスポンス情報を出力する出力工程と
    を備えたことを特徴とする証明書検証方法。
  9. 認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うプログラムであって、
    所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信処理と、
    上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信処理により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証処理と、
    上記検証処理により検証された結果である検証レスポンス情報を出力する出力処理と
    をコンピュータに実行させるためのプログラム。
  10. 認証局が発行する、無効な証明書が識別可能な無効証明書リストを用いて証明書の検証を行うプログラムを記録したコンピュータ読み取り可能な記録媒体であって、
    所定の証明書の検証を依頼するための検証リクエスト情報を受信する受信処理と、
    上記認証局が発行する無効証明書リストを用いて上記所定の証明書の検証を行う前に、有効な証明書が識別可能であり上記有効な証明書が検索可能な有効証明書リストを記憶する記憶装置から有効証明書リストを入力し、入力された上記有効証明書リストを用いて上記受信処理により受信された検証リクエスト情報により依頼された上記所定の証明書を検索し、検索した結果に基づいて上記所定の証明書が有効な証明書であるかどうかを検証する検証処理と、
    上記検証処理により検証された結果である検証レスポンス情報を出力する出力処理と
    をコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2002340576A 2002-11-25 2002-11-25 サーバ装置 Expired - Fee Related JP4323163B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002340576A JP4323163B2 (ja) 2002-11-25 2002-11-25 サーバ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002340576A JP4323163B2 (ja) 2002-11-25 2002-11-25 サーバ装置

Publications (2)

Publication Number Publication Date
JP2004179724A true JP2004179724A (ja) 2004-06-24
JP4323163B2 JP4323163B2 (ja) 2009-09-02

Family

ID=32703159

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002340576A Expired - Fee Related JP4323163B2 (ja) 2002-11-25 2002-11-25 サーバ装置

Country Status (1)

Country Link
JP (1) JP4323163B2 (ja)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006074779A (ja) * 2004-09-01 2006-03-16 Research In Motion Ltd 証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供
JP2006081180A (ja) * 2004-09-07 2006-03-23 Research In Motion Ltd メッセージの信頼状態を更新するシステムおよび方法
KR100736100B1 (ko) 2005-01-13 2007-07-06 삼성전자주식회사 디지털 저작권 관리 장치 및 방법
JP2008177949A (ja) * 2007-01-19 2008-07-31 Seiko Epson Corp 認証装置及び方法
US7549043B2 (en) 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
JP2009526333A (ja) * 2006-02-10 2009-07-16 クゥアルコム・インコーポレイテッド 外部記憶デバイスから安全にブートする方法および装置
JP2010118858A (ja) * 2008-11-12 2010-05-27 Hitachi Ltd 公開鍵証明書の検証方法及び検証サーバ
US8209530B2 (en) 2004-09-02 2012-06-26 Research In Motion Limited System and method for searching and retrieving certificates
US8312165B2 (en) 2006-06-23 2012-11-13 Research In Motion Limited System and method for handling electronic mail mismatches
US8385887B2 (en) 2004-09-07 2013-02-26 Research In Motion Limited System and method for updating message trust status
US8589677B2 (en) 2004-09-01 2013-11-19 Blackberry Limited System and method for retrieving related certificates
US8683213B2 (en) 2007-10-26 2014-03-25 Qualcomm Incorporated Progressive boot for a wireless device
JP2019519987A (ja) * 2016-09-18 2019-07-11 深▲セン▼前▲海▼▲達▼▲闥▼▲雲▼端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co., Ltd. ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム
JP2019176441A (ja) * 2018-03-29 2019-10-10 セコム株式会社 電気錠
JP2020022165A (ja) * 2018-08-02 2020-02-06 シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft 自動化された公開鍵基盤の初期設定
CN111919421A (zh) * 2018-04-09 2020-11-10 黑莓有限公司 用于使用基于网络的应用层消息处理的降低的v2x接收器处理负载的方法和系统
CN112242989A (zh) * 2019-07-16 2021-01-19 富士施乐株式会社 信息处理装置以及记录媒体
WO2024202621A1 (ja) * 2023-03-29 2024-10-03 パナソニックIpマネジメント株式会社 失効判定方法、証明書失効リスト作成方法、プログラム、失効判定システム、及び証明書失効リスト作成システム

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4555195B2 (ja) * 2004-09-01 2010-09-29 リサーチ イン モーション リミテッド 証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供
US8589677B2 (en) 2004-09-01 2013-11-19 Blackberry Limited System and method for retrieving related certificates
JP2006074779A (ja) * 2004-09-01 2006-03-16 Research In Motion Ltd 証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供
US8561158B2 (en) 2004-09-01 2013-10-15 Blackberry Limited Providing certificate matching in a system and method for searching and retrieving certificates
US7549043B2 (en) 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US8296829B2 (en) 2004-09-01 2012-10-23 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US8566582B2 (en) 2004-09-02 2013-10-22 Blackberry Limited System and method for searching and retrieving certificates
US8209530B2 (en) 2004-09-02 2012-06-26 Research In Motion Limited System and method for searching and retrieving certificates
US8831569B2 (en) 2004-09-07 2014-09-09 Blackberry Limited System and method for updating message trust status
US8385887B2 (en) 2004-09-07 2013-02-26 Research In Motion Limited System and method for updating message trust status
US10476677B2 (en) 2004-09-07 2019-11-12 Blackberry Limited System and method for updating message trust status
JP2006081180A (ja) * 2004-09-07 2006-03-23 Research In Motion Ltd メッセージの信頼状態を更新するシステムおよび方法
KR100736100B1 (ko) 2005-01-13 2007-07-06 삼성전자주식회사 디지털 저작권 관리 장치 및 방법
JP2009526333A (ja) * 2006-02-10 2009-07-16 クゥアルコム・インコーポレイテッド 外部記憶デバイスから安全にブートする方法および装置
US8312165B2 (en) 2006-06-23 2012-11-13 Research In Motion Limited System and method for handling electronic mail mismatches
US8473561B2 (en) 2006-06-23 2013-06-25 Research In Motion Limited System and method for handling electronic mail mismatches
US8943156B2 (en) 2006-06-23 2015-01-27 Blackberry Limited System and method for handling electronic mail mismatches
JP2008177949A (ja) * 2007-01-19 2008-07-31 Seiko Epson Corp 認証装置及び方法
US8683213B2 (en) 2007-10-26 2014-03-25 Qualcomm Incorporated Progressive boot for a wireless device
JP2010118858A (ja) * 2008-11-12 2010-05-27 Hitachi Ltd 公開鍵証明書の検証方法及び検証サーバ
JP2019519987A (ja) * 2016-09-18 2019-07-11 深▲セン▼前▲海▼▲達▼▲闥▼▲雲▼端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co., Ltd. ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム
JP2019176441A (ja) * 2018-03-29 2019-10-10 セコム株式会社 電気錠
JP7001524B2 (ja) 2018-03-29 2022-01-19 セコム株式会社 電気錠
CN111919421A (zh) * 2018-04-09 2020-11-10 黑莓有限公司 用于使用基于网络的应用层消息处理的降低的v2x接收器处理负载的方法和系统
CN111919421B (zh) * 2018-04-09 2022-10-25 黑莓有限公司 用于降低的v2x接收器处理负载的方法、网络元件和介质
US11632253B2 (en) 2018-04-09 2023-04-18 Blackberry Limited Method and system for reduced V2X receiver processing load using network based application layer message processing
US11895249B2 (en) 2018-04-09 2024-02-06 Malikie Innovations Limited Method and system for reduced V2X receiver processing load using network based application layer message processing
JP2020022165A (ja) * 2018-08-02 2020-02-06 シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft 自動化された公開鍵基盤の初期設定
US11558203B2 (en) 2018-08-02 2023-01-17 Siemens Aktiengesellschaft Automated public key infrastructure initialization
CN112242989A (zh) * 2019-07-16 2021-01-19 富士施乐株式会社 信息处理装置以及记录媒体
WO2024202621A1 (ja) * 2023-03-29 2024-10-03 パナソニックIpマネジメント株式会社 失効判定方法、証明書失効リスト作成方法、プログラム、失効判定システム、及び証明書失効リスト作成システム

Also Published As

Publication number Publication date
JP4323163B2 (ja) 2009-09-02

Similar Documents

Publication Publication Date Title
JP4323163B2 (ja) サーバ装置
CA3053313C (en) Method for superseding log-in of user through pki-based authentication by using smart contact and blockchain database, and server employing same
US10659236B2 (en) Method for superseding log-in of user through PKI-based authentication by using blockchain database of UTXO-based protocol, and server employing same
JP5153591B2 (ja) 認証仲介サーバ、プログラム、認証システム及び選択方法
US8078866B2 (en) Trust information delivery scheme for certificate validation
US7437551B2 (en) Public key infrastructure scalability certificate revocation status validation
US7698736B2 (en) Secure delegation using public key authentication
US8516245B2 (en) Method, product and apparatus for accelerating public-key certificate validation
JP5604176B2 (ja) 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム
BRPI0304267B1 (pt) Método e sistema para processar listas de revogação de certificado em um sistema de autorização
Tate et al. Multi-user dynamic proofs of data possession using trusted hardware
JP2004072717A (ja) Crl発行通知機能付き認証基盤システム
JP2004185263A (ja) 分散協調型コンテンツ配信システム
WO2010106860A9 (ja) 通信システム、証明書検証装置及びサービス提供方法
JP2004023662A (ja) 相互認証方法
CN116684103A (zh) 一种基于区块链的跨域身份认证方法
KR100844436B1 (ko) 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템
JP5448892B2 (ja) 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法
JP2024512068A (ja) ブロックチェーンで実行されるデータ・アプリケーションにおける改善されたシグネチャ検証方法及びシステム
US20040128503A1 (en) Certificate path information management system and certificate management device
US7272717B2 (en) System of authentication, apparatus, program and method
JP6866803B2 (ja) 認証システムおよび認証方法
KR101593674B1 (ko) 검증 가능한 데이터 관리 방법 및 시스템
JP2010033562A (ja) 通信端末、認証情報生成装置、認証システム、認証情報生成プログラム、認証情報生成方法および認証方法
JPH10313308A (ja) ホームページ認証方法及び装置

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040519

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041025

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090310

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090508

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090602

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090604

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4323163

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120612

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130612

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees