JP2005094365A - Method for managing certificate pass and information processor - Google Patents

Method for managing certificate pass and information processor Download PDF

Info

Publication number
JP2005094365A
JP2005094365A JP2003325080A JP2003325080A JP2005094365A JP 2005094365 A JP2005094365 A JP 2005094365A JP 2003325080 A JP2003325080 A JP 2003325080A JP 2003325080 A JP2003325080 A JP 2003325080A JP 2005094365 A JP2005094365 A JP 2005094365A
Authority
JP
Japan
Prior art keywords
certificate
certification
path
certification path
management node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003325080A
Other languages
Japanese (ja)
Inventor
Hitoshi Shimonosono
仁 下之薗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003325080A priority Critical patent/JP2005094365A/en
Publication of JP2005094365A publication Critical patent/JP2005094365A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To easily provide a certificate pass in an optional past time and to improve interoperability between different domains. <P>SOLUTION: A certificate pass, etc., existing in a storing means is acquired from the storing means each time a certificate pass acquisition opportunity arrives, an authentication station certificate, etc., constituting the certificate pass is stored in a storage device, a certificate pass management node is generated for each authentication station certificate, the publisher and main person, etc., of the authentication station certificate are registered in the certificate pass management node, a time series management node is generated for each certificate pass acquisition opportunity, and the address of the certificate pass management node which corresponds to each certificate path acquisition opportunity and in which the authentication station certificate forming the head of each certificate pass is registered and the address of the time series management node corresponding to the next opportunity of the certificate pass acquisition opportunity are registered in the time series management node. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、公開鍵基盤(PKI: Public Key Infrastructure)において過去の任意の時間における証明書パスの管理手法に係り、特に利用者への証明書パス、関連する証明書失効リスト及び証明書失効情報の提供を行う証明書パス管理方法及び証明書パス管理システムに関する。   The present invention relates to a method for managing a certification path at an arbitrary time in the past in a public key infrastructure (PKI), and in particular, a certification path to a user, a related certificate revocation list, and certificate revocation information. The present invention relates to a certification path management method and a certification path management system.

近年、公開鍵暗号方式を利用した公開鍵基盤(PKI: Public Key Infrastructure)が整備され、電子署名、認証、なりすまし防止、及び否認防止のサービスの実現が可能となりつつある。これらのサービスでは、認証局(Certification Authority)と呼ばれる第三者機関によって発行された証明書のやり取りが行われるが、証明書を受信した依存者(Relying Party)は、証明書の有効性及び信頼性を確認する必要がある。   In recent years, a public key infrastructure (PKI: Public Key Infrastructure) using a public key cryptosystem has been developed, and it is becoming possible to realize services for electronic signature, authentication, anti-spoofing, and non-repudiation. In these services, a certificate issued by a third party called a certification authority is exchanged. The relying party that receives the certificate is responsible for the validity and trust of the certificate. It is necessary to confirm sex.

証明書の有効性確認及び信頼性確認には、依存者自らが行う方法と、依存者が検証局と呼ばれるVA(Validation Authority)に依頼し、その検証局が代理で行う方法との2種類が存在する。証明書の有効性確認においては、証明書失効情報が記載されている証明書失効リストを既存の格納システムより取得し、その証明書失効リストに検証対象となる証明書が記載されているか否かを検証する方法と、認証局が提供するサービスを利用することにより証明書の有効性確認を行う方法との2種類が存在する。   There are two methods for checking the validity and reliability of a certificate: a method that the relying party performs by itself, and a method in which the relying party requests a validation authority called VA (Validation Authority) and the verification authority performs on its behalf. Exists. When checking the validity of a certificate, obtain a certificate revocation list that contains certificate revocation information from an existing storage system, and whether or not the certificate to be verified is described in the certificate revocation list. There are two types: a method for verifying the certificate and a method for checking the validity of the certificate by using a service provided by the certificate authority.

また、証明書の信頼性確認においては、証明書パスの構築及び検証処理が発生する。この証明書パス構築とは、依存者のトラストアンカから、受信した証明書までの証明書群を既存の格納システムより取得することであり、認証局証明書、相互認証証明書、リンク証明書、検証対象証明書のいずれかの証明書の取得を必要とする。また証明書パス検証とは、証明書パスを構成する証明書が失効されていないか、また証明書パスが証明書内の制約を犯していないかを検証する行為を意味する。   In the certificate reliability check, a certification path construction and verification process occurs. This certification path construction is to acquire the certificate group from the trust anchor of the relying party to the received certificate from the existing storage system. The certificate authority certificate, mutual authentication certificate, link certificate, It is necessary to obtain one of the certificates to be verified. The certification path verification means an act of verifying whether the certificate constituting the certification path has been revoked and whether the certification path violates the restrictions in the certification.

このような証明書パスを検証し証明書検証を支援する装置として、認証局の識別子と、前記認証局の発行する証明証と、前記証明証を検証するために必要な他の認証局の発行する証明証を表す証明証パスにおける各証明証の識別子と、前記証明証の各々について失効を確認するための情報の有無と前記失効を確認する方式および連絡先とを指定した情報としての失効確認手段と、登録の依頼を表す証明証パス登録識別子とを連結して生成した証明証パス登録情報を入力し記憶する証明証パス登録情報登録部と、前記証明証パス登録情報内に含まれる前記認証局の識別子と、エンティティの識別子と、前記証明証パス内の前記証明証の各々の識別子と、前記失効確認手段とを連結し、この連結した情報を示す識別子を加え前記連結した情報のみで前記証明証パス上の前記証明証の各々を収集し、失効を確認するための証明証収集情報を生成する証明証収集情報生成部とを備えた証明証収集情報生成装置(特許文献1参照)などが提案されている。
特開2000−10477号公報 As an apparatus for verifying the certification path and supporting the certificate verification, the certificate authority identifier, the certificate issued by the certificate authority, and the other certificate authority required for verifying the certificate are issued. Revocation confirmation as information designating the identifier of each certificate in the certification path representing the certificate to be certified, the presence / absence of information for confirming the revocation of each of the certificates, the method for confirming the revocation, and the contact information A certification path registration information registration unit for inputting and storing certification path registration information generated by linking a means and a certification path registration identifier representing a registration request; and the certification path registration information included in the certification path registration information The identifier of the certificate authority, the identifier of the entity, the identifier of each of the certificates in the certification path, and the revocation checking unit are linked, and an identifier indicating the linked information is added and only the linked information A certificate collection information generation apparatus including a certificate collection information generation unit that collects each of the certificates on the certificate path and generates certificate collection information for confirming revocation (see Patent Document 1) Etc. have been proposed.
JP 2000-10477 A

ところで、上記証明書パス構築は、証明書パスを構成する証明書を既存の格納システムから取得することにより行われている。しかし、既存の格納システムは過去の証明書の情報を保持していないため、過去の任意の時間における証明書パス構築を容易に行うことができないという問題があった。   By the way, the certification path construction is performed by acquiring a certificate constituting the certification path from an existing storage system. However, since the existing storage system does not hold the past certificate information, there is a problem that the certificate path cannot be easily constructed at any past time.

また、証明書パス検証においても、既存の格納システムが過去の証明書失効リストを保持しておらず、加えて、認証局によって提供されるサービスが過去の証明書失効情報を含んでいないため、過去の任意の時間における証明書パス検証を容易に行うことができないという問題もあった。   In addition, in the certification path verification, the existing storage system does not maintain the past certificate revocation list, and in addition, the service provided by the certificate authority does not include the past certificate revocation information. There is also a problem that certification path verification at an arbitrary time in the past cannot be easily performed.

更に、上記従来技術においては、証明書パスの管理を行ってはいるが、過去の時間における証明書パスの管理を時系列で行っていない。そのため、利用者が指定する過去の任意の時間における証明書パス、関連する証明書失効リスト及び証明書失効情報を容易に利用者へ提供することができないという問題があった。   Furthermore, in the above prior art, the certification path management is performed, but the certification path management in the past time is not performed in time series. Therefore, there has been a problem that it is not possible to easily provide the user with the certificate path, the related certificate revocation list, and the certificate revocation information at an arbitrary past time designated by the user.

また、従来技術においても、証明書パスの登録及び管理はキャッシュ機能により実現されている。ところがこれらの証明書パスは、証明書パス検証結果を基に有効となった証明書パス、または証明書検証装置が検証する際にドメイン内で有効である検証時の証明書パスの格納のみである。   Also in the prior art, registration and management of a certification path is realized by a cache function. However, these certification paths can be stored only in the certification path that is valid based on the certification path verification result or the certification path that is valid in the domain when the certification validation device validates. is there.

しかし、異なるPKIドメイン間の相互運用の場においては、証明書パスが有効であるか否かの判断が利用者の検証ポリシーに依存する場合も存在する。そのため、有効な証明書パスのみならず、無効である証明書パスの登録及び管理も必要となる。従って、異なるPKIドメイン間の相互運用を考慮すると、ドメインの境界を超えた証明書パス情報の共有が必要となるという問題があった。   However, in the case of interoperability between different PKI domains, there are cases where the determination of whether the certification path is valid depends on the verification policy of the user. Therefore, it is necessary to register and manage not only a valid certification path but also an invalid certification path. Therefore, considering the interoperability between different PKI domains, there has been a problem that it is necessary to share certification path information across domain boundaries.

そこで本発明は上記課題を鑑みてなされたものであり、過去の任意の時間における証明書パスを容易に提供でき、また、異なるドメイン間の相互運用性の向上を図ることを可能とする証明書パス管理方法および証明書パス管理システムを提供することを主たる目的とする。   Therefore, the present invention has been made in view of the above problems, and can easily provide a certification path at an arbitrary past time, and can improve interoperability between different domains. The main purpose is to provide a path management method and a certification path management system.

上記課題を解決する本発明の証明書パス管理方法は、公開鍵基盤における証明書パスの管理を情報処理装置により行う方法であって、予め定めた証明書パス取得時機の到来毎に、所定の証明書パス取得範囲に属する格納手段内に存在する、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、前記格納手段より取得し、前記取得した証明書パスを構成する認証局証明書と、当該認証局証明書に関連する証明書失効リスト及び証明書失効情報とを記憶装置へ格納し、前記取得した認証局証明書毎に、証明書パス管理ノードを生成し、前記生成した証明書パス管理ノードに、認証局証明書の発行者及び主体者、認証局証明書と証明書失効リストと証明書失効情報とが格納されている格納先アドレス、及び当該証明書パスにおける先頭をなす前記認証局証明書の主体者を発行者とした後続の証明書が登録されている他証明書パス管理ノードのアドレスを登録し、前記証明書パス取得時機毎に、時系列管理ノードを生成し、前記生成した時系列管理ノードに、各証明書パス取得時機に対応する、各証明書パスの先頭をなす認証局証明書が登録されている証明書パス管理ノードのアドレスと、当該証明書パス取得時機の次時機に対応する時系列管理ノードのアドレスとを登録することを特徴とする(第1の発明)。   A certification path management method of the present invention that solves the above-mentioned problem is a method of managing a certification path in a public key infrastructure by an information processing apparatus, and a predetermined path every time a certification path acquisition timing arrives. A certificate path, a certificate revocation list and certificate revocation information related to the certificate path, which exist in the storage means belonging to the certification path acquisition range, are acquired from the storage means, and the acquired certificate path And the certificate revocation list and certificate revocation information related to the certificate authority certificate are stored in a storage device, and a certificate path management node is provided for each of the acquired certificate authority certificates. Generated and stored in the generated certification path management node is a certificate authority certificate issuer and subject, a certificate authority certificate, a certificate revocation list, and a certificate revocation information storage destination address. Certificate The address of the other certification path management node where the subsequent certificate with the subject of the certificate authority certificate at the head of the certificate as the issuer is registered is registered, and each time the certification path is obtained, the time series A management node is generated, and in the generated time-series management node, an address of a certification path management node corresponding to each certification path acquisition timing, in which a certification authority certificate forming the head of each certification path is registered, and The address of the time-series management node corresponding to the next time of the certification path acquisition time is registered (first invention).

また第2の発明は、第1の発明に記載の証明書パス管理方法おいて、利用者端末より、指定時機、トラストアンカの発行者情報、及び検証対象証明書の発行者情報を受信し、前記受信した指定時機に基づき、該当指定時機に対応する時系列管理ノードを特定し、前記特定した時系列管理ノードに登録された証明書パス管理ノードの情報に基づき、トラストアンカの発行者情報を含む証明書パス管理ノードと、検証対象証明書の発行者を主体者に持つ証明書パス管理ノードを特定し、前記特定した各証明書パス管理ノードが示す記憶装置上の格納先アドレスより、該当する認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報を取得し、前記取得した、認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報に、検証対象証明書を付加して利用者端末へ送信することを特徴とする。   According to a second aspect of the present invention, in the certification path management method according to the first aspect of the invention, a designated time, issuer information of a trust anchor, and issuer information of a verification target certificate are received from a user terminal, Based on the received designated time, the time series management node corresponding to the designated time designated is identified, and the trust anchor issuer information is obtained based on the information of the certification path management node registered in the identified time series management node. The certification path management node including the certification path management node including the issuer of the verification target certificate as the subject is identified, and the corresponding storage path address on the storage device indicated by each identified certification path management node The certificate authority certificate to be issued, the certificate revocation list issued by the issuer of the certificate authority certificate, or the certificate revocation information provided by the certificate authority, and the acquired certificate authority certificate Certificate and the certificate revocation list issued by the issuer of the certificate authority certificate or the certificate revocation information provided by the certificate authority, with the certificate to be verified added and transmitted to the user terminal To do.

更に、第3の発明は、第1または第2の発明に記載の証明書パス管理方法において、利用者端末より受信した前記証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを含む、前記時系列管理ノードおよび証明書パス管理ノードが、当該情報処理装置の検索範囲に存在しない場合、当該情報処理装置とネットワークで接続され、当該情報処理装置と同様に証明書パス管理方法を実行する他の情報処理装置に対し、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報との取得要求を送信し、前記他の情報処理装置より、前記取得要求に応じた、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを受信し、前記受信した証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、利用者端末に送信することを特徴とする。   Furthermore, a third invention is the certification path management method according to the first or second invention, wherein the certification path received from a user terminal, a certificate revocation list and a certificate related to the certification path, are provided. When the time-series management node and the certification path management node including the revocation information do not exist in the search range of the information processing apparatus, the information processing apparatus is connected to the network through the certificate, and the certificate is the same as the information processing apparatus. To another information processing apparatus that executes the path management method, a request for obtaining a certification path and a certificate revocation list and certificate revocation information related to the certification path is transmitted, from the other information processing apparatus, In response to the acquisition request, the certificate path, the certificate revocation list and certificate revocation information related to the certificate path are received, and the received certificate path and the certificate related to the certificate path are received. A write revocation list and certificate revocation information, and transmits to the user terminal.

また、第4の発明は、公開鍵基盤における証明書パスの管理を行う情報処理装置であって、予め定めた証明書パス取得時機の到来毎に、所定の証明書パス取得範囲に属する格納手段内に存在する、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、前記格納手段より取得する手段と、前記取得した証明書パスを構成する認証局証明書と、当該認証局証明書に関連する証明書失効リスト及び証明書失効情報とを記憶装置へ格納する手段と、前記取得した認証局証明書毎に、証明書パス管理ノードを生成する手段と、前記生成した証明書パス管理ノードに、認証局証明書の発行者及び主体者、認証局証明書と証明書失効リストと証明書失効情報とが格納されている格納先アドレス、及び当該証明書パスにおける先頭をなす前記認証局証明書の主体者を発行者とした後続の証明書が登録されている他証明書パス管理ノードのアドレスを登録する手段と、前記証明書パス取得時機毎に、時系列管理ノードを生成する手段と、前記生成した時系列管理ノードに、各証明書パス取得時機に対応する、各証明書パスの先頭をなす認証局証明書が登録されている証明書パス管理ノードのアドレスと、当該証明書パス取得時機の次時機に対応する時系列管理ノードのアドレスとを登録する手段と、を備えることを特徴とする情報処理装置にかかる。   According to a fourth aspect of the present invention, there is provided an information processing apparatus for managing a certification path in a public key infrastructure, and storing means belonging to a predetermined certification path acquisition range every time a predetermined certification path acquisition timing arrives A certificate path, a certificate revocation list and certificate revocation information related to the certificate path, and a certificate authority certificate constituting the acquired certificate path. Means for storing a certificate revocation list and certificate revocation information related to the certificate authority certificate in a storage device; means for generating a certification path management node for each acquired certificate authority certificate; In the generated certification path management node, the issuer and subject of the certification authority certificate, the storage address where the certification authority certificate, the certificate revocation list, and the certificate revocation information are stored, and the certification path Ahead A means for registering an address of another certification path management node in which a subsequent certificate with the subject of the certification authority certificate as an issuer is registered, and time series management for each certification path acquisition timing A means for generating a node, and an address of a certification path management node in which the certificate authority certificate that forms the head of each certification path corresponding to each certification path acquisition timing is registered in the generated time-series management node And a means for registering the address of the time-series management node corresponding to the next time of the certification path acquisition time.

更に、第5の発明は、第4の発明に記載の情報処理装置において、利用者端末より、指定時機、トラストアンカの発行者情報、及び検証対象証明書の発行者情報を受信する手段と、前記受信した指定時機に基づき、該当指定時機に対応する時系列管理ノードを特定する手段と、前記特定した時系列管理ノードに登録された証明書パス管理ノードの情報に基づき、トラストアンカの発行者情報を含む証明書パス管理ノードと、検証対象証明書の発行者を主体者に持つ証明書パス管理ノードを特定する手段と、前記特定した各証明書パス管理ノードが示す記憶装置上の格納先アドレスより、該当する認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報を取得する手段と、前記取得した、認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報に、検証対象証明書を付加して利用者端末へ送信する手段と、を備えることを特徴とする。   Furthermore, a fifth invention is the information processing apparatus according to the fourth invention, wherein, from the user terminal, means for receiving the designated time, the issuer information of the trust anchor, and the issuer information of the verification target certificate; Based on the received designated timing, a means for identifying a time series management node corresponding to the designated designated timing, and a trust anchor issuer based on the information of the certification path management node registered in the identified time series management node A certification path management node including information, means for identifying a certification path management node whose subject is the issuer of the certificate to be verified, and a storage location on the storage device indicated by each of the identified certification path management nodes From the address, obtain the appropriate certificate authority certificate and the certificate revocation list issued by the certificate authority certificate issuer or the certificate revocation information provided by the certificate authority. And adding the certificate to be verified to the obtained certificate authority certificate and the certificate revocation list issued by the issuer of the certificate authority certificate or the certificate revocation information provided by the certificate authority. Means for transmitting to a user terminal.

また、第6の発明は、第4または第5の発明に記載の情報処理装置において、利用者端末より受信した前記証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを含む、前記時系列管理ノードおよび証明書パス管理ノードが、当該情報処理装置の検索範囲に存在しない場合、当該情報処理装置とネットワークで接続され、当該情報処理装置と同様に証明書パス管理方法を実行する他の情報処理装置に対し、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報との取得要求を送信する手段と、前記他の情報処理装置より、前記取得要求に応じた、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを受信する手段と、前記受信した証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、利用者端末に送信する手段と、を備えることを特徴とする。   According to a sixth invention, in the information processing apparatus according to the fourth or fifth invention, the certificate path received from a user terminal, a certificate revocation list and certificate revocation information related to the certificate path. If the time series management node and the certification path management node including the information processing device are not within the search range of the information processing device, they are connected to the information processing device via a network, Means for transmitting an acquisition request for a certificate path and a certificate revocation list and certificate revocation information related to the certification path to another information processing apparatus executing the method, from the other information processing apparatus, Means for receiving a certification path, a certificate revocation list and certification revocation information related to the certification path, and the received certification path and the certification path in response to the acquisition request; A certificate revocation list and certificate revocation information communicated, characterized in that it comprises, means for transmitting to the user terminal.

その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面により明らかにされる。   In addition, the problems disclosed by the present application and the solutions thereof will be clarified by the embodiments of the present invention and the drawings.

本発明によれば、過去の任意の時間における証明書パスを容易に提供でき、また、異なるドメイン間の相互運用性の向上を図ることが可能となる。   According to the present invention, a certification path at an arbitrary past time can be easily provided, and interoperability between different domains can be improved.

以下に本発明の実施形態について図面を用いて詳細に説明する。図1は本発明の一実施の形態に係る、証明書パス管理システム(情報処理装置)の構成図である。本発明の情報処理装置たる証明書パス管理システム10は、ネットワーク100を介して、証明書パスを構成する認証局証明書及び関連する証明書失効リストが格納されている既存の格納システム110及び格納システム115、証明書失効情報を取得する際の問い合わせ先となる認証局サービス装置120、証明書パス取得要求を行う利用者端末140、および他ドメインの証明書パス情報を取得する際に証明書パス管理システム10が問い合わせを行う他証明書パス管理システム150、160と接続されており、データの相互伝送を可能としている。なお、ネットワーク100には、インターネットのみならず、他のネットワーク通信及び通信回路も含まれる。例えば、LAN、専用回線、WAN(Wide Area Network)、電灯線ネットワーク、無線ネットワーク、公衆回線網、携帯電話網など様々なネットワークを採用することが出来る。また、VPNなど仮想専用ネットワーク技術を用いれば、インターネットを採用した際にセキュリティ性を高めた通信が確立され好適である。   Embodiments of the present invention will be described below in detail with reference to the drawings. FIG. 1 is a configuration diagram of a certification path management system (information processing apparatus) according to an embodiment of the present invention. A certification path management system 10 as an information processing apparatus according to the present invention includes an existing storage system 110 in which a CA certificate and a related certificate revocation list that constitute a certification path are stored and stored via a network 100. The system 115, the CA service device 120 that is an inquiry destination when acquiring certificate revocation information, the user terminal 140 that makes a certificate path acquisition request, and the certificate path when acquiring certificate path information of another domain The management system 10 is connected to other certification path management systems 150 and 160 for which an inquiry is made, and enables mutual transmission of data. The network 100 includes not only the Internet but also other network communications and communication circuits. For example, various networks such as a LAN, a dedicated line, a WAN (Wide Area Network), a power line network, a wireless network, a public line network, and a mobile phone network can be adopted. Further, if a virtual private network technology such as VPN is used, communication with improved security is established when the Internet is adopted.

また証明書パス管理システム10は、管理者等によって設定された証明書パス取得時間間隔(取得時機)及び証明書パス取得範囲(例:ドメインなど)の情報を処理する設定制御装置20を備える。   The certification path management system 10 also includes a setting control apparatus 20 that processes information on a certification path acquisition time interval (acquisition timing) and a certification path acquisition range (eg, domain) set by an administrator or the like.

また、設定制御装置20が伝送する情報を基に、既存の格納システム110または格納システム115より証明書パスを構成する(全ての)認証局証明書及び関連する証明書失効リストを取得すると共に、認証局が提供する認証局サービス装置120へ問い合わせを行って、証明書失効情報を取得する証明書パス取得手段41を備える。   Further, based on the information transmitted by the setting control apparatus 20, the (all) CA certificates and related certificate revocation lists constituting the certification path are acquired from the existing storage system 110 or the storage system 115, and A certificate path acquisition unit 41 is provided for making an inquiry to the certificate authority service device 120 provided by the certificate authority and acquiring certificate revocation information.

更に、ノード管理手段42を備える。この手段42は、証明書パス管理ノードを生成し、認証局証明書、関連する証明書失効リスト及び証明書失効情報を記憶装置30に格納する機能を果たす。また、前記証明書パス管理ノードに、証明書パスを構成する要素の情報を登録する。更に、時系列管理ノードへ、証明書パス取得時間を含む証明書パス管理ノードの時系列管理を行うための情報を登録する。   Further, node management means 42 is provided. This means 42 functions to generate a certification path management node and store the certificate authority certificate, the associated certificate revocation list, and certificate revocation information in the storage device 30. Further, information on elements constituting the certification path is registered in the certification path management node. Further, information for performing time series management of the certification path management node including the certification path acquisition time is registered in the time series management node.

また、通信制御装置50に対し他証明書パス管理システム150、160へのアクセス指示を行う他証明書パス管理システムアクセス手段43を備える。   In addition, another certificate path management system access unit 43 that instructs the communication control device 50 to access the other certificate path management systems 150 and 160 is provided.

更に、前記証明書パス取得手段41とノード管理手段42と他証明書パス管理システムアクセス手段43とを備える証明書パス管理モジュール40と、既存の格納システム110、115及び認証局サービス装置120との間のデータ通信を行うための通信制御手段を備えた通信制御装置50を備える。   Further, a certification path management module 40 comprising the certification path acquisition means 41, node management means 42, and other certification path management system access means 43, the existing storage systems 110 and 115, and the certificate authority service device 120 The communication control apparatus 50 provided with the communication control means for performing data communication between is provided.

また、認証局証明書、証明書失効リスト及び証明書失効情報を格納するための記憶装置30も備える。   The storage device 30 also stores a certificate authority certificate, a certificate revocation list, and certificate revocation information.

次に、前記証明書パス管理システム10(以下、システム10)における証明書パス管理モジュール40による、証明書パス、証明書失効リスト及び証明書失効情報の取得開始の判定から、証明書パス管理ノードを時系列で管理するための情報を時系列管理ノードへ登録するまでの処理の流れを説明する。図2は本発明の一実施の形態に係る、証明書パス管理モジュールによる処理手順例1を示すフローチャートである。尚、図2における“CT”は現在時刻(データ取得時間)を示し、“ST”は証明書パス管理モジュール40が認証局証明書、証明書失効リスト及び証明書失効情報の取得処理を最初に行う時間を示し、“a”は変数値0を示し、“TI”は管理者が設定し、設定制御装置20によって伝送される証明書パス取得時間間隔を示す。   Next, from the determination of the acquisition start of the certification path, the certification revocation list, and the certification revocation information by the certification path management module 40 in the certification path management system 10 (hereinafter, system 10), the certification path management node The flow of processing until the information for managing the time series in the time series management node is described. FIG. 2 is a flowchart showing a processing procedure example 1 by the certification path management module according to the embodiment of the present invention. Note that “CT” in FIG. 2 indicates the current time (data acquisition time), and “ST” indicates that the certification path management module 40 first acquires the certificate authority certificate, certificate revocation list, and certificate revocation information. “A” indicates a variable value 0, and “TI” indicates a certification path acquisition time interval set by the administrator and transmitted by the setting control device 20.

証明書パス管理モジュール40は、管理者によって設定され、設定制御装置20から伝送された証明書パス取得時間間隔を判定基準とし、処理開始のタイミングを判定する(s200)。この判定結果が処理開始の旨を示すものであれば(s200:YES)、通信制御装置50を通じ、ネットワーク100を介して既存の格納システム110または格納システム115より、現存する証明書パスを構成するすべての認証局証明書の取得を開始する(s205)。なお、前記証明書パス取得範囲は、証明書パス及び証明書失効リストの取得対象となるドメインの範囲を示し、Distinguished Nameのエントリによって表される。   The certification path management module 40 determines the processing start timing based on the certification path acquisition time interval set by the administrator and transmitted from the setting control apparatus 20 (s200). If the determination result indicates that processing is started (s200: YES), an existing certification path is configured from the existing storage system 110 or storage system 115 via the network 100 via the communication control device 50. Acquisition of all certificate authority certificates is started (s205). The certification path acquisition range indicates a domain range from which certification paths and certificate revocation lists are acquired, and is represented by a Distinguished Name entry.

次に、前記取得した認証局証明書に証明書失効リスト取得先が含まれる場合は、認証局証明書の所定領域が示す証明書失効リスト取得先より証明書失効リストを取得する。また、認証局証明書に証明書失効情報取得先を示す領域が含まれる場合は、前記領域が示す証明書失効情報取得先に問い合わせを行い、証明書失効情報を取得する(s210)。他方、証明書失効情報取得先を示す領域が認証局証明書に含まれない場合は、証明書失効情報の取得は行わない。尚、証明書失効リスト取得先を示す領域が認証局証明書に含まれない場合は、認証局証明書の発行者(issuer)情報を用い、証明書失効リストの取得を行う。   Next, when a certificate revocation list acquisition destination is included in the acquired CA certificate, a certificate revocation list is acquired from the certificate revocation list acquisition destination indicated by a predetermined area of the CA certificate. If the certificate authority certificate includes an area indicating the certificate revocation information acquisition destination, the certificate revocation information acquisition destination indicated by the area is inquired to obtain certificate revocation information (s210). On the other hand, when the area indicating the certificate revocation information acquisition destination is not included in the certificate authority certificate, the certificate revocation information is not acquired. When the area indicating the certificate revocation list acquisition destination is not included in the certificate authority certificate, the certificate revocation list is acquired using the issuer information of the certificate authority certificate.

続いて、前記取得した認証局証明書を証明書パスの形態で管理するための、証明書パス管理ノードを、前記取得した認証局証明書の数量分生成する(s215)。本処理に際し、他の証明書パスの一部分と重複する証明書パスが同一時間に存在する場合、証明書パスの長さが短い証明書パス用の証明書管理ノードは、同証明書パス管理ノードを時系列管理する時系列管理ノードの範囲内では生成しない。   Subsequently, a certification path management node for managing the acquired certification authority certificate in the form of a certification path is generated for the number of the acquired certification authority certificates (s215). In this process, if a certification path that overlaps a part of another certification path exists at the same time, the certification path management node for the certification path with a short certification path length is the same certification path management node. Is not generated within the scope of the time series management node for managing time series.

次に、取得した認証局証明書、証明書失効リスト及び証明書失効情報が記憶装置30に存在しないことを確認する(s220)。記憶装置30に、前記取得した認証局証明書、証明書失効リスト及び証明書失効情報が存在しない場合は(s220:NO)、認証局証明書、証明書失効リスト及び証明書失効情報を記憶装置30に格納する(s230)。また、記憶装置30における格納先のアドレスを含む情報を、証明書パス管理ノードの領域へ登録する(s235)。   Next, it is confirmed that the acquired CA certificate, certificate revocation list, and certificate revocation information do not exist in the storage device 30 (s220). When the acquired CA certificate, certificate revocation list, and certificate revocation information do not exist in the storage device 30 (s220: NO), the CA certificate, certificate revocation list, and certificate revocation information are stored in the storage device 30. 30 (s230). Also, information including the storage destination address in the storage device 30 is registered in the area of the certification path management node (s235).

一方、記憶装置30に、前記取得した認証局証明書、証明書失効リストまたは証明書失効情報が存在する場合は(s220:YES)、生成した証明書パス管理ノードの領域に既存の認証局証明書、証明書失効リスト及び証明書失効情報の格納先アドレスを含む情報を登録する(s225)。   On the other hand, if the obtained CA certificate, certificate revocation list, or certificate revocation information exists in the storage device 30 (s220: YES), an existing CA certificate is created in the area of the generated certification path management node. Information including the storage address of the certificate, certificate revocation list and certificate revocation information is registered (s225).

次に、認証局証明書、証明書失効リスト及び証明書失効情報を取得した時間(CT)を示す領域が、すべての時系列管理ノードに含まれないことを判定する(s240)。この判定結果が、前記取得時間(CT)が全ての時系列管理ノードに含まれないものである場合(s240:NO)、新規に時系列管理ノードを生成(s250)する。そして、証明書パスの先頭にあたる認証局証明書を含む証明書パス管理ノードのアドレス(を含む)情報を、前記時系列管理ノードの所定各領域に登録する(s255)。   Next, it is determined that the area indicating the time (CT) when the certificate authority certificate, certificate revocation list, and certificate revocation information are acquired is not included in all the time-series management nodes (s240). If the determination result indicates that the acquisition time (CT) is not included in all time-series management nodes (s240: NO), a new time-series management node is generated (s250). Then, the address information (including) of the certification path management node including the CA certificate at the head of the certification path is registered in each predetermined area of the time series management node (s255).

また一方、認証局証明書、証明書失効リスト及び証明書失効情報を取得した時間(CT)を示す領域を含む時系列管理ノードが存在する場合は(s240:YES)、証明書パスの先頭にあたる認証局証明書を含む証明書パス管理ノードのアドレス(を含む)情報を、前期時系列管理ノードの所定各領域に登録する(s245)。   On the other hand, if there is a time-series management node including an area indicating the time (CT) when the certificate authority certificate, certificate revocation list, and certificate revocation information is acquired (s240: YES), it corresponds to the head of the certification path. The address (including) information of the certification path management node including the certificate authority certificate is registered in each predetermined area of the previous time-series management node (s245).

上記した時系列管理ノードへの登録処理後、認証局証明書、証明書失効リスト及び証明書失効情報を取得した時間(CT)における、証明書パスを構成する認証局証明書、関連する証明書失効リスト及び証明書失効情報の証明書パス管理ノード及び時系列管理ノードへの登録完了を確認し(s260)、登録完了の場合は(s260:YES)、次の証明書パス取得時間まで待機する。   After the registration process to the time series management node as described above, the CA certificate and related certificates that make up the certification path at the time (CT) when the CA certificate, certificate revocation list, and certificate revocation information were acquired Confirm that registration of the revocation list and certificate revocation information to the certification path management node and the time series management node is completed (s260). If registration is completed (s260: YES), wait until the next certification path acquisition time. .

図3は本発明の一実施の形態に係る、証明書パス管理ノードのつながりと証明書パス管理ノードに登録される情報例を示す説明図である。以下、証明書パス管理ノードに登録される詳細な情報について説明する。上述の如く生成される証明書パス管理ノード300は、例えば6つの領域302、304、306、308、310、312から構成されるものとできる。   FIG. 3 is an explanatory diagram showing an example of information registered in the certification path management node and the connection of certification path management nodes according to the embodiment of the present invention. Hereinafter, detailed information registered in the certification path management node will be described. The certification path management node 300 generated as described above can be composed of, for example, six areas 302, 304, 306, 308, 310, and 312.

各領域に含まれる情報は、証明書パスを構成する認証局証明書の発行者(issuer)(領域302)と、前記認証局証明書の主体者(subject)(領域304)と、前記認証局証明書の記憶装置30における格納先アドレス(領域306)と、前記認証局証明書の主体者(issuer)が発行する証明書失効リストの記憶装置30における格納先アドレス(領域308)と、前記認証局証明書の主体者(issuer)が提供するサービスより取得した証明書失効情報の記憶装置30における格納先アドレス(領域310)と、前記証明書パスを構成する後続の認証局証明書の情報を含む証明書パス管理ノードのアドレス(領域312)となる。   Information included in each area includes an issuer (area 302) of a certificate authority certificate constituting a certification path, a subject (area 304) of the certificate authority certificate, and the certificate authority. The storage location address (region 306) in the certificate storage device 30, the storage location address (region 308) in the storage device 30 of the certificate revocation list issued by the certificate authority certificate issuer, and the authentication The storage location address (area 310) in the storage device 30 of the certificate revocation information obtained from the service provided by the authority certificate issuer and the information of the subsequent CA certificate constituting the certification path This is the address (area 312) of the certification path management node to be included.

例えば1つの証明書パスを構成する認証局証明書が5つ存在する場合は、前記証明書パス管理ノードは5つ(証明書パス管理ノード300、320、340、360、380)生成される。そして各証明書パス管理ノードのつながりは、後続証明書パス管理ノードのアドレスによって示される。また、例えば、他の証明書パスを構成する認証局証明書が3つ存在し、前記認証局証明書によって構成される証明書パスが別の証明書パスの一部である場合は、3つの認証局証明書パスによって構成される証明書パスに対し、同一時間における証明書パス取得時において証明書パス管理ノードは生成されない。   For example, when there are five certificate authority certificates constituting one certificate path, five certificate path management nodes (certificate path management nodes 300, 320, 340, 360, 380) are generated. The connection of each certification path management node is indicated by the address of the subsequent certification path management node. Further, for example, when there are three certification authority certificates constituting another certification path and the certification path constituted by the certification authority certificate is a part of another certification path, A certification path management node is not generated when a certification path is acquired at the same time for a certification path constituted by a certification authority certification path.

図4は本発明の一実施の形態に係る、時系列管理ノードへの登録情報を示す説明図である。次に、時系列管理ノードに登録される詳細な情報について説明する。尚、図4における“CT”は現在時刻(データ取得時間)を示し、“ST”は証明書パス管理モジュール40が認証局証明書、証明書失効リスト及び証明書失効情報の取得処理を最初に行う時間を示し、“TI”は管理者が設定し、設定制御装置20によって伝送される証明書パス取得時間間隔を示す。   FIG. 4 is an explanatory diagram showing registration information in the time-series management node according to an embodiment of the present invention. Next, detailed information registered in the time-series management node will be described. Note that “CT” in FIG. 4 indicates the current time (data acquisition time), and “ST” indicates that the certification path management module 40 first acquires the certificate authority certificate, certificate revocation list, and certificate revocation information. “TI” indicates a certification path acquisition time interval set by the administrator and transmitted by the setting control device 20.

上述した時系列管理ノード400は、存在するすべての証明書パス、関連する証明書失効リスト及び証明書失効情報の取得処理を行った時間を示す領域(領域405)と、次の時系列ノードのアドレスを示す領域(領域410)と、すべての証明書パス、関連する証明書失効リスト及び証明書失効情報の取得を行った際に存在した証明書パスの情報を示す各証明書パス管理ノードの先頭アドレスを登録するための領域(領域415、420、425)から構成される。尚、各証明書パス管理ノードの先頭アドレスを登録するための領域は、証明書パス取得時に存在する証明書パスの数量分、または取得した証明書パスが既存の証明書パスと重複する場合においては、重複する短いパス長の証明書パスに対する証明書パス管理ノードは生成されないため、存在する証明書パスの数より重複する短いパス長の証明書パスの数を差し引いた数量分存在する。   The above-described time-series management node 400 includes an area (area 405) indicating the time when acquisition processing of all existing certificate paths, related certificate revocation lists, and certificate revocation information is performed, and the next time-series node. An area (address area 410) indicating an address, and all certification paths, associated certification revocation lists, and certification path information existing when the certification revocation information is obtained. It consists of areas (areas 415, 420, and 425) for registering the start address. In addition, the area for registering the start address of each certification path management node is the number of certification paths that exist at the time of certification path acquisition, or when the obtained certification path overlaps with an existing certification path. Since there are no certification path management nodes for certification paths having a short path length that overlap, there are a number of certification paths that are obtained by subtracting the number of certification paths having a short path length from the number of certification paths that exist.

例えば、証明書パス取得時“CT=ST+0*TI”(領域405)において、取得した各証明書パスに対する証明書パス管理ノードのグループが3つ存在する場合、各証明書パス管理ノードのグループの先頭(証明書パスの先頭にあたる認証局証明書)となる証明書パス管理ノードのアドレスを示すために、時系列管理ノード400において3つの領域(領域415、420、425)を設け、各証明書パス管理ノードグループの先頭証明書パス管理ノードのアドレスを登録する。   For example, when “CT = ST + 0 * TI” (area 405) at the time of certification path acquisition, if there are three certification path management node groups for each certification path acquired, each certification path management node In order to indicate the address of the certification path management node serving as the head of the group (the CA certificate corresponding to the head of the certification path), the time series management node 400 is provided with three areas (areas 415, 420, and 425). Register the address of the first certification path management node of the certification path management node group.

また、次の証明書パス取得時“CT=ST+1*TI”における証明書パス管理ノードの情報登録先となる、時系列管理ノード450のアドレスを示すための領域(領域410)を設け、時系列管理ノード450のアドレスを登録する。前記登録により、存在するすべての証明書パス、関連する証明書失効リスト及び証明書失効情報を時系列で管理することができる。   Also, an area (area 410) for indicating the address of the time-series management node 450, which is the information registration destination of the certification path management node in the next certification path acquisition “CT = ST + 1 * TI”, is provided. The address of the time series management node 450 is registered. By the registration, all existing certificate paths, related certificate revocation lists, and certificate revocation information can be managed in time series.

なお、認証局の鍵の危殆化等の理由により証明書パスを構成する認証局証明書が存在せず、証明書パスの構築が行えなかった場合には、図中に示すように、時系列管理ノード450において、証明書パス管理ノードグループの先頭アドレスを示す領域が時系列管理ノード400に比べ少なくなる。また、時系列管理ノード450の領域465及び領域470においては、証明書パス取得時間“CT=ST+1*TI”における証明書パス構築の結果、時系列ノード400の領域415及び領域420が示す証明書パスと同様の証明書パスの取得のみであり、新たな証明書パスを記憶装置30に格納する必要がないため、領域415及び領域420が示す証明書パスノードの先頭アドレスと同じアドレスを領域465及び領域470においても示している。   If there is no certificate authority certificate that makes up the certificate path due to compromise of the certificate authority key, etc., and the certificate path cannot be constructed, as shown in the figure, the time series In the management node 450, the area indicating the head address of the certification path management node group is smaller than that in the time-series management node 400. Further, in the area 465 and the area 470 of the time series management node 450, the area 415 and the area 420 of the time series node 400 are shown as a result of the certification path construction at the certification path acquisition time “CT = ST + 1 * TI”. Since only acquisition of a certification path similar to the certification path is required and no new certification path needs to be stored in the storage device 30, the same address as the start address of the certification path node indicated by the area 415 and the area 420 is stored in the area. 465 and region 470 are also shown.

以下、図5(及び前出の図3)を用い、証明書パス管理モジュール40が利用者端末140より証明書パス取得要求を受け、要求された証明書パス、関連する証明書失効リスト及び証明書失効情報を利用者端末140へ返信するまでの処理の流れを説明する。図5は本発明の一実施の形態に係る、証明書パス管理モジュールによる処理手順例2を示すフローチャートである。   Hereinafter, referring to FIG. 5 (and FIG. 3 described above), the certification path management module 40 receives a certification path acquisition request from the user terminal 140, and requests the certification path, the associated certificate revocation list, and the certification. A flow of processing until the revocation information is returned to the user terminal 140 will be described. FIG. 5 is a flowchart showing a processing procedure example 2 by the certification path management module according to the embodiment of the present invention.

システム10における証明書パス管理モジュール40が、利用者端末140より証明書パス取得要求を受信したとする(s500:YES)。この場合、利用者端末140によって提供されるトラストアンカ及び検証対象証明書が属するドメインが、管理者等によって設定され設定制御装置20によって伝送された証明書パス取得範囲に含まれることを検証する(s505)。   It is assumed that the certification path management module 40 in the system 10 receives a certification path acquisition request from the user terminal 140 (s500: YES). In this case, it is verified that the domain to which the trust anchor and the verification target certificate provided by the user terminal 140 belong is included in the certification path acquisition range set by the administrator or the like and transmitted by the setting control device 20 ( s505).

前記検証の結果、トラストアンカ及び検証対象証明書のドメインが証明書パス取得範囲に含まれていた場合(s510:YES)、トラストアンカの発行者(issuer)情報を領域302に含む証明書パス管理ノード(図3参照)と、検証対象証明書の発行者(issuer)情報を領域304に含む証明書パス管理ノード(図3参照)とを特定する(s515)。   As a result of the verification, if the trust anchor and the domain of the certificate to be verified are included in the certification path acquisition range (s510: YES), the certificate path management including the issuer information of the trust anchor in the area 302 A node (see FIG. 3) and a certification path management node (see FIG. 3) including the issuer information of the verification target certificate in the area 304 are specified (s515).

そして、前記特定した証明書パス管理ノードが同一の証明書パス上に存在するか否かを判断する(s520)。同一の証明書パス上に存在する場合(s520:YES)、前記2つの証明書パス管理ノードを先頭と末尾に持ち、1種の証明書パスを構成する証明書パス管理ノードを特定し、各証明書パス管理ノードが示す記憶装置30における格納先アドレスより認証局証明書、証明書失効リスト及び証明書失効情報を取得する(s525)。   Then, it is determined whether the specified certification path management node exists on the same certification path (s520). If they exist on the same certification path (s520: YES), the certification path management nodes constituting the one kind of certification path are specified with the two certification path management nodes at the beginning and end, and each The certificate authority certificate, certificate revocation list, and certificate revocation information are obtained from the storage destination address in the storage device 30 indicated by the certification path management node (s525).

次に、前記取得した認証局証明書に、利用者端末140より提供された検証対象証明書を付加し(s530)、関連する証明書失効リスト及び証明書失効情報と共に利用者端末140へ返信する(s535)。   Next, the verification target certificate provided from the user terminal 140 is added to the acquired CA certificate (s530), and the certificate is returned to the user terminal 140 together with the related certificate revocation list and certificate revocation information. (s535).

他方、トラストアンカの発行者(issuer)を含む証明書パス管理ノード、及び検証対象者証明書の発行者(issuer)を主体者(subject)情報にもつ証明書パス管理ノードが、同一の証明書パス上に存在しない場合(s520:NO)、証明書パス管理モジュール40は、利用者端末140へ、要求する証明書パスが存在しない旨を示すメッセージを返信し(s540)、処理は終了する。   On the other hand, the certification path management node including the trust anchor issuer (issuer) and the certification path management node having the subject certificate issuer (issuer) in the subject information are the same certificate. If it does not exist on the path (s520: NO), the certification path management module 40 returns a message indicating that the requested certification path does not exist to the user terminal 140 (s540), and the process ends.

一方、前記ステップs510において、トラストアンカ及び検証対象証明書のドメインが、前記証明書パス取得範囲に含まれない場合(s510:NO)、前記証明書パス管理モジュール40は、他証明書パス管理システム150または160に対して、証明書パス取得要求を行う(s545)。この要求に応じて他証明書パス管理システム150または160より返信された、検証対象証明書を含んだ証明書パス、関連する証明書失効リスト及び証明書失効情報を取得(s550)し、当該取得した情報を利用者端末140へ返信し(s535)、処理は終了する。   On the other hand, when the trust anchor and the domain of the verification target certificate are not included in the certification path acquisition range in the step s510 (s510: NO), the certification path management module 40 uses the other certification path management system. A certification path acquisition request is sent to 150 or 160 (s545). Acquire the certification path including the verification target certificate, the related certificate revocation list and the certificate revocation information returned from the other certification path management system 150 or 160 in response to this request (s550), and obtain the relevant The returned information is returned to the user terminal 140 (s535), and the process ends.

本発明によれば、管理者によって設定される証明書パス取得時機(時間間隔)と証明書パス取得範囲(例:ドメインなど)を基に証明書パス、関連する証明書失効リスト及び証明書失効情報の取得を行い、時系列による証明書パス、証明書失効リスト及び証明書失効情報の管理を簡素化することで、公開鍵基盤(PKI: Public Key Infrastructure)における過去の任意の時間における証明書パスの提供を容易に行うことができる。   According to the present invention, a certificate path, a related certificate revocation list, and a certificate revocation based on a certification path acquisition time (time interval) and a certification path acquisition range (for example, domain) set by an administrator. Certificates at any time in the past in the Public Key Infrastructure (PKI) by acquiring information and simplifying the management of time-series certificate paths, certificate revocation lists, and certificate revocation information A pass can be easily provided.

また、他の証明書パス管理システムのサービスを利用することで、広範囲での証明書パス、証明書失効リスト及び証明書失効情報を利用者に提供することができる。更に、証明書パス管理システムにて証明書パス検証を実施せず、利用者の検証ポリシーに証明書パスの有効性の判断を委ねることで、相互運用性の向上を図ることもできる。   Further, by using services of other certification path management systems, a wide range of certification paths, certificate revocation lists, and certificate revocation information can be provided to users. Further, interoperability can be improved by entrusting the determination of the validity of the certification path to the user validation policy without performing certification path validation in the certification path management system.

つまり、過去の任意の時間における証明書パスを容易に提供でき、また、異なるドメイン間の相互運用性の向上を図ることが可能となる。   That is, it is possible to easily provide a certification path at an arbitrary time in the past, and to improve interoperability between different domains.

以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。   As mentioned above, although embodiment of this invention was described concretely based on the embodiment, it is not limited to this and can be variously changed in the range which does not deviate from the summary.

本発明の一実施の形態に係る、証明書パス管理システム(情報処理装置)の構成図である。1 is a configuration diagram of a certification path management system (information processing apparatus) according to an embodiment of the present invention. FIG. 本発明の一実施の形態に係る、証明書パス管理モジュールによる処理手順例1を示すフローチャートである。It is a flowchart which shows the process procedure example 1 by the certification | authentication path management module based on one embodiment of this invention. 本発明の一実施の形態に係る、証明書パス管理ノードのつながりと証明書パス管理ノードに登録される情報例を示す説明図である。It is explanatory drawing which shows the example of the information registered into the connection of a certification path management node and the certification path management node based on one embodiment of this invention. 本発明の一実施の形態に係る、時系列管理ノードへの登録情報を示す説明図である。It is explanatory drawing which shows the registration information to the time series management node based on one embodiment of this invention. 本発明の一実施の形態に係る、証明書パス管理モジュールによる処理手順例2を示すフローチャートである。It is a flowchart which shows the process procedure example 2 by the certification | authentication path management module based on one embodiment of this invention.

符号の説明Explanation of symbols

10 証明書パス管理システム(情報処理装置)
20 設定制御装置
30 記憶装置
40 証明書パス管理モジュール
41 証明書パス取得手段
42 ノード管理手段
43 他証明書パス管理システムアクセス指示手段
50 通信制御装置
100 ネットワーク
110 格納システムA
115 格納システムB
120 認証局サービス
150 他証明書パス管理システム
160 他証明書パス管理システム 10 Certification path management system (information processing equipment)
DESCRIPTION OF SYMBOLS 20 Setting control apparatus 30 Storage apparatus 40 Certificate path management module 41 Certificate path acquisition means 42 Node management means 43 Other certification path management system access instruction means 50 Communication control apparatus 100 Network 110 Storage system A
115 Storage system B
120 Certification Authority Service 150 Other Certification Path Management System 160 Other Certification Path Management System

Claims (6)

公開鍵基盤における証明書パスの管理を情報処理装置により行う方法であって、
予め定めた証明書パス取得時機の到来毎に、所定の証明書パス取得範囲に属する格納手段内に存在する、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、前記格納手段より取得し、
前記取得した証明書パスを構成する認証局証明書と、当該認証局証明書に関連する証明書失効リスト及び証明書失効情報とを記憶装置へ格納し、
前記取得した認証局証明書毎に、証明書パス管理ノードを生成し、
前記生成した証明書パス管理ノードに、認証局証明書の発行者及び主体者、認証局証明書と証明書失効リストと証明書失効情報とが格納されている格納先アドレス、及び当該証明書パスにおける先頭をなす前記認証局証明書の主体者を発行者とした後続の証明書が登録されている他証明書パス管理ノードのアドレスを登録し、
前記証明書パス取得時機毎に、時系列管理ノードを生成し、
前記生成した時系列管理ノードに、各証明書パス取得時機に対応する、各証明書パスの先頭をなす認証局証明書が登録されている証明書パス管理ノードのアドレスと、当該証明書パス取得時機の次時機に対応する時系列管理ノードのアドレスとを登録することを特徴とする証明書パス管理方法。 A method of managing a certification path in a public key infrastructure by an information processing device,
A certificate path, a certificate revocation list and certificate revocation information related to the certification path, which are present in the storage means belonging to the predetermined certification path acquisition range each time a predetermined certification path acquisition timing arrives Is obtained from the storage means,
Storing the certificate authority certificate constituting the acquired certificate path, the certificate revocation list and the certificate revocation information related to the certificate authority certificate in a storage device;
Generate a certification path management node for each obtained CA certificate,
In the generated certification path management node, the issuer and subject of the certification authority certificate, the storage address where the certification authority certificate, the certificate revocation list, and the certificate revocation information are stored, and the certification path Register the address of the other certification path management node in which the subsequent certificate with the subject of the certificate authority certificate at the head as the issuer is registered,
For each certification path acquisition time, generate a time series management node,
In the generated time-series management node, the address of the certification path management node corresponding to each certification path acquisition timing, in which the certification authority certificate at the head of each certification path is registered, and the certification path acquisition A certification path management method characterized by registering an address of a time-series management node corresponding to a next time of a time. 請求項1に記載の証明書パス管理方法において、
利用者端末より、指定時機、トラストアンカの発行者情報、及び検証対象証明書の発行者情報を受信し、
前記受信した指定時機に基づき、該当指定時機に対応する時系列管理ノードを特定し、
前記特定した時系列管理ノードに登録された証明書パス管理ノードの情報に基づき、トラストアンカの発行者情報を含む証明書パス管理ノードと、検証対象証明書の発行者を主体者に持つ証明書パス管理ノードを特定し、
前記特定した各証明書パス管理ノードが示す記憶装置上の格納先アドレスより、該当する認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報を取得し、
前記取得した、認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報に、検証対象証明書を付加して利用者端末へ送信することを特徴とする証明書パス管理方法。 The certification path management method according to claim 1,
From the user terminal, receive the designated time, the issuer information of the trust anchor, and the issuer information of the verification target certificate,
Based on the received designated time, identify a time series management node corresponding to the designated time,
Based on the information of the certification path management node registered in the specified time-series management node, the certificate having the certification path management node including the trust anchor issuer information and the issuer of the verification target certificate as the subject Identify the path management node,
Provided by the certification authority certificate and the certificate revocation list issued by the issuer of the certification authority certificate or the certification authority from the storage destination address on the storage device indicated by each of the identified certification path management nodes Obtained certificate revocation information,
A user terminal in which a certificate to be verified is added to the acquired certificate authority certificate and the certificate revocation list issued by the certificate authority certificate issuer or the certificate revocation information provided by the certificate authority. A certification path management method characterized by: 請求項1または2に記載の証明書パス管理方法において、
利用者端末より受信した前記証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを含む、前記時系列管理ノードおよび証明書パス管理ノードが、当該情報処理装置の検索範囲に存在しない場合、
当該情報処理装置とネットワークで接続され、当該情報処理装置と同様に証明書パス管理方法を実行する他の情報処理装置に対し、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報との取得要求を送信し、
前記他の情報処理装置より、前記取得要求に応じた、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを受信し、
前記受信した証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、利用者端末に送信することを特徴とする証明書パス管理方法。 The certification path management method according to claim 1 or 2,
The time-series management node and the certification path management node including the certification path received from the user terminal, the certificate revocation list and certification revocation information related to the certification path, search for the information processing apparatus. If not in range,
A certificate path, a certificate revocation list and a certificate associated with the certification path, are connected to the information processing apparatus via a network and execute the certification path management method in the same manner as the information processing apparatus. Send an acquisition request with certificate revocation information,
From the other information processing apparatus, in response to the acquisition request, a certificate path, a certificate revocation list and certificate revocation information related to the certification path are received,
A certificate path management method, comprising: transmitting the received certificate path, a certificate revocation list and certificate revocation information related to the certificate path to a user terminal. 公開鍵基盤における証明書パスの管理を行う情報処理装置であって、
予め定めた証明書パス取得時機の到来毎に、所定の証明書パス取得範囲に属する格納手段内に存在する、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、前記格納手段より取得する手段と、
前記取得した証明書パスを構成する認証局証明書と、当該認証局証明書に関連する証明書失効リスト及び証明書失効情報とを記憶装置へ格納する手段と、
前記取得した認証局証明書毎に、証明書パス管理ノードを生成する手段と、
前記生成した証明書パス管理ノードに、認証局証明書の発行者及び主体者、認証局証明書と証明書失効リストと証明書失効情報とが格納されている格納先アドレス、及び当該証明書パスにおける先頭をなす前記認証局証明書の主体者を発行者とした後続の証明書が登録されている他証明書パス管理ノードのアドレスを登録する手段と、
前記証明書パス取得時機毎に、時系列管理ノードを生成する手段と、
前記生成した時系列管理ノードに、各証明書パス取得時機に対応する、各証明書パスの先頭をなす認証局証明書が登録されている証明書パス管理ノードのアドレスと、当該証明書パス取得時機の次時機に対応する時系列管理ノードのアドレスとを登録する手段と、
を備えることを特徴とする情報処理装置。 An information processing apparatus for managing a certification path in a public key infrastructure,
A certificate path, a certificate revocation list and certificate revocation information related to the certification path, which are present in the storage means belonging to the predetermined certification path acquisition range each time a predetermined certification path acquisition timing arrives Means for obtaining from the storage means;
Means for storing, in a storage device, a certificate authority certificate constituting the acquired certificate path, a certificate revocation list and certificate revocation information related to the certificate authority certificate;
Means for generating a certification path management node for each obtained CA certificate;
In the generated certification path management node, the issuer and subject of the certification authority certificate, the storage address where the certification authority certificate, the certificate revocation list, and the certificate revocation information are stored, and the certification path Means for registering an address of another certification path management node in which a subsequent certificate with the subject of the certificate authority certificate at the head as an issuer is registered;
Means for generating a time-series management node for each certification path acquisition timing;
In the generated time-series management node, the address of the certification path management node corresponding to each certification path acquisition timing, in which the certification authority certificate at the head of each certification path is registered, and the certification path acquisition Means for registering the address of the time series management node corresponding to the next time of the time;
An information processing apparatus comprising: 請求項4に記載の証明書パス管理システムにおいて、
利用者端末より、指定時機、トラストアンカの発行者情報、及び検証対象証明書の発行者情報を受信する手段と、
前記受信した指定時機に基づき、該当指定時機に対応する時系列管理ノードを特定する手段と、
前記特定した時系列管理ノードに登録された証明書パス管理ノードの情報に基づき、トラストアンカの発行者情報を含む証明書パス管理ノードと、検証対象証明書の発行者を主体者に持つ証明書パス管理ノードを特定する手段と、
前記特定した各証明書パス管理ノードが示す記憶装置上の格納先アドレスより、該当する認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報を取得する手段と、
前記取得した、認証局証明書及びその認証局証明書の発行者によって発行された証明書失効リストまたはその認証局によって提供された証明書失効情報に、検証対象証明書を付加して利用者端末へ送信する手段と、
を備えることを特徴とする情報処理装置。 In the certification path management system according to claim 4,
Means for receiving a designated time, issuer information of a trust anchor, and issuer information of a verification target certificate from a user terminal;
Based on the received designated time, means for identifying a time series management node corresponding to the designated time,
Based on the information of the certification path management node registered in the specified time-series management node, the certificate having the certification path management node including the trust anchor issuer information and the issuer of the verification target certificate as the subject Means for identifying a path management node;
Provided by the certification authority certificate and the certificate revocation list issued by the issuer of the certification authority certificate or the certification authority from the storage destination address on the storage device indicated by each of the identified certification path management nodes Means for obtaining the certificate revocation information,
A user terminal in which a certificate to be verified is added to the acquired certificate authority certificate and the certificate revocation list issued by the certificate authority certificate issuer or the certificate revocation information provided by the certificate authority. Means for transmitting to,
An information processing apparatus comprising: 請求項4または5に記載の証明書パス管理システムにおいて、
利用者端末より受信した前記証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを含む、前記時系列管理ノードおよび証明書パス管理ノードが、当該情報処理装置の検索範囲に存在しない場合、
当該情報処理装置とネットワークで接続され、当該情報処理装置と同様に証明書パス管理方法を実行する他の情報処理装置に対し、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報との取得要求を送信する手段と、
前記他の情報処理装置より、前記取得要求に応じた、証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを受信する手段と、
前記受信した証明書パスと当該証明書パスに関連する証明書失効リスト及び証明書失効情報とを、利用者端末に送信する手段と、
を備えることを特徴とする情報処理装置。
The certification path management system according to claim 4 or 5,
The time-series management node and the certification path management node including the certification path received from the user terminal, the certificate revocation list and certification revocation information related to the certification path, search for the information processing apparatus. If not in range,
A certificate path, a certificate revocation list and a certificate associated with the certification path, are connected to the information processing apparatus via a network and execute the certification path management method in the same manner as the information processing apparatus. Means for sending an acquisition request with revocation information;
Means for receiving, from the other information processing apparatus, a certificate path, a certificate revocation list and certificate revocation information related to the certification path, in response to the acquisition request;
Means for transmitting the received certificate path, a certificate revocation list and certificate revocation information related to the certificate path, to a user terminal;
An information processing apparatus comprising:
JP2003325080A 2003-09-17 2003-09-17 Method for managing certificate pass and information processor Pending JP2005094365A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003325080A JP2005094365A (en) 2003-09-17 2003-09-17 Method for managing certificate pass and information processor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003325080A JP2005094365A (en) 2003-09-17 2003-09-17 Method for managing certificate pass and information processor

Publications (1)

Publication Number Publication Date
JP2005094365A true JP2005094365A (en) 2005-04-07

Family

ID=34455632

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003325080A Pending JP2005094365A (en) 2003-09-17 2003-09-17 Method for managing certificate pass and information processor

Country Status (1)

Country Link
JP (1) JP2005094365A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006074425A (en) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp Public key certificate verification device, public key certificate verification method, and program
JP2008067264A (en) * 2006-09-11 2008-03-21 Matsushita Electric Ind Co Ltd Electronic certificate management apparatus

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006074425A (en) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp Public key certificate verification device, public key certificate verification method, and program
JP2008067264A (en) * 2006-09-11 2008-03-21 Matsushita Electric Ind Co Ltd Electronic certificate management apparatus

Similar Documents

Publication Publication Date Title
JP4851767B2 (en) Method for mutual authentication between certificate authorities using portable security token and computer system
KR100860404B1 (en) Device authenticaton method and apparatus in multi-domain home networks
CN105743932B (en) Configuration parameter verifying based on bill
JP3897613B2 (en) Operation method of registration authority server, registration authority server, and program in public key cryptosystem
JP5099139B2 (en) How to get and check public key certificate status
JP5425314B2 (en) Method and system for obtaining public key, verifying and authenticating entity&#39;s public key with third party trusted online
CN112311530A (en) Block chain-based alliance trust distributed identity certificate management authentication method
JP4895190B2 (en) System for identification management related to authentication of electronic devices
RU2469492C2 (en) Delegation of ip address
JP2002072876A (en) Method and device for confirming validity of certificate
JP2007110377A (en) Network system
CN112396421A (en) Identity authentication system and method based on block chaining-through card
JP2023106509A (en) Information processing method, information processing program, information processing device, and information processing system
JP2004214751A (en) Certificate route information management system and certificate route management method
WO2009143739A1 (en) A method, device and communication system for managing and inquiring mapping information
JP2009118267A (en) Communication network system, communication network control method, communication control apparatus, communication control program, service control device and service control program
JP2004272380A (en) Group authenticating method and system, service providing device, authentication device, service provision program and recording medium with its program recorded and authentication program and recording medium with its program recorded
JP2007019755A (en) Distributed authentication access control system
KR102224454B1 (en) Method, apparatus, system and computer program for controlling network traffic
JP2005094365A (en) Method for managing certificate pass and information processor
CN115715004A (en) Privacy protection cross-domain authentication method for large-scale heterogeneous network
JP4730814B2 (en) User information management method and system
JP4009273B2 (en) Communication method
JP5780648B2 (en) Host device
JP2014033395A (en) Certificate invalidation list management system, certificate invalidation list generator, verification device and electronic certificate verification method