JP2005286443A - 証明書検証装置及びそのコンピュータプログラム - Google Patents
証明書検証装置及びそのコンピュータプログラム Download PDFInfo
- Publication number
- JP2005286443A JP2005286443A JP2004094093A JP2004094093A JP2005286443A JP 2005286443 A JP2005286443 A JP 2005286443A JP 2004094093 A JP2004094093 A JP 2004094093A JP 2004094093 A JP2004094093 A JP 2004094093A JP 2005286443 A JP2005286443 A JP 2005286443A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- verification
- public key
- time
- time stamp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】 公開鍵証明書及び証明書失効リストを発行するCA21から全ての公開鍵証明書及び証明書失効リストを取得し、そのタイムスタンプをTSA22から取得する検証情報取得プログラム部11と、該取得された公開鍵証明書、証明書失効リスト及びタイムスタンプを保管する保管DB13と、検証時刻が有効期間内に含まれるタイムスタンプの付与されている公開鍵証明書及び証明書失効リストを保管DB13から取得して、検証時刻における当該検証対象証明書の有効性を検証する検証処理プログラム部12とを備える。
【選択図】 図1
Description
これにより、前述の証明書検証装置がコンピュータを利用して実現できるようになる。
認証局(以下、CA):エンドユーザの登録、公開鍵証明書の発行、失効、鍵管理を行う機関。
証明書(公開鍵証明書、PKC):ある公開鍵が、記載された個人または役職のものであることを証明する電子的な文書。認証局が記載内容を確認の上、記載内容に認証局のデジタル署名を付与して公開鍵証明書を発行する。
証明書失効リスト(以下、CRL):公開鍵証明書の有効期間中に内容変更や秘密鍵の盗難、紛失、破壊などが生じ、失効した公開鍵証明書のリスト。このリストには、失効対象の公開鍵証明書を発行した認証局の署名が付与される。
デジタル署名:メッセージ送信者を認証しメッセージの完全性を保証する電子的署名。署名者が秘密に保有する秘密鍵(署名鍵とも呼ばれる)を用いて作成されたメッセージと署名データのペアが、署名者の公開鍵(検証鍵とも呼ばれる)を用いて正当なペアかどうか検証できる。
認証パス:自己の認証局(階層型の場合はrootCA)から相手の公開鍵証明書を発行した認証局までをたどる検証の道筋。信頼する自己の認証局が発行したブリッジ認証局への相手認証証明書。ブリッジ認証局が発行した相手の認証局の相互認証証明書をそれぞれ信頼することができ、最終的に相手の公開鍵証明書に記載の内容が信頼できる。
認証パス検証:認証パスを構成する各公開鍵証明書の署名検証、失効確認とパス間のポリシーや制約条件を満たしているかどうか検証を行う処理。
タイムスタンプ認証局(以下、TSA):デジタルデータに対して、サーバが保有する信頼できる時刻の付与を行う機関。
図1は、本発明の一実施形態に係る証明書指定時刻検証装置1(証明書検証装置)の構成を示すブロック図である。図1において、証明書指定時刻検証装置1は、検証情報取得プログラム部11、検証処理プログラム部12及び保管データベース(保管DB)13を備える。また、証明書指定時刻検証装置1は、インターネット等の通信ネットワークに接続し、通信回線を介してデータを送受信する通信機能を有する。この通信機能により、証明書指定時刻検証装置1は、CA21、TSA22及びリクエスタ(検証要求者)30の端末と通信回線を介してデータを送受信することができる。
また、上記周辺機器については、証明書指定時刻検証装置1に直接接続するものであってもよく、あるいは通信回線を介して接続するようにしてもよい。
図2は、図1の証明書指定時刻検証装置1に係る処理の流れを示すシーケンス図である。
初めに、証明書及びCRLの取得処理を説明する。
図1の証明書指定時刻検証装置1において、検証情報取得プログラム部11は、CA21により定期的に発行される証明書及びCRLを自動で全て取得する(ステップS100)。例えば、定期的にCA21に問合わせし、新規発行された証明書及びCRLを逐一取得する。次いで、検証情報取得プログラム部11は、その取得した証明書及びCRLにそれぞれ付与するタイムスタンプ(TS)をTSA22から取得し、この取得したTSを証明書及びCRLに付与し、当該証明書及びCRLを保管DB13に保存する(ステップS110)。また、検証情報取得プログラム部11は、証明書検証処理時に認証パスが得られたときは当該認証パスを保管DB13に保存する。
検証処理プログラム部12は、リクエスタ30からの検証要求を受信する(ステップS210)。この検証要求は、検証対象証明書、信頼点証明書及び検証
したい時刻(検証時刻)を含んでいる。信頼点証明書とは、証明書検証処理を行う場合に、検証者が信頼を置く認証局の証明書である。この信頼点証明書は証明書の認証パス検証で使用され、検証対象証明書から検証者の信頼点証明書までの信頼関係のつながりが検証される。
次いで、検証処理プログラム部12は、保管DB13内を検索し、検証時刻における検証対象証明書の有効性検証に使用する証明書及びCRL、並びにこの証明書及びCRLに付与されたTS、該当認証パスを保管DB13から取得する。次いで、この保管DB13から取得した証明書、CRL、TS及び認証パスを使用して、検証対象証明書の有効性検証を行う。この証明書有効性検証方法の詳細は後述する。検証処理プログラム部12は、当該検証処理に用いる証明書及びCRLに付与されたTSの検証をTSA22に依頼して行う(ステップS220)。また、認証パス検証を行う。
一般にTSは、TSが施されたデジタルデータがその生成時の状態であること、TSが施された時刻以前にそのデジタルデータが確かに存在していたことを証明するものである。本証明書有効性検証方法では、そのTSの効力を拡張するための以下に示す実在性推測方式を使用することにより、一つの証明書、或いは一つのCRLに対して、複数のTSを取得することを防止することが可能となる。本実在性推測方式における証明書及びCRLの実在性の根拠として、存在性と有効性の証明を行う。
証明書に記載されている有効期間内の任意の時点でTSを取得することにより、当該証明書は確かに該取得時点で存在したことになる。また、当該証明書が存在したならば、当該証明書に記載されている内容も同様に存在したこととなる。これにより、当該証明書に記載されている有効期間という情報の存在が確かなものとして認められるので、当該証明書は、自己に記載されている有効期間の間は常に存在しているものと判断することができる。従って、例えば図3に示されるように、証明書Aの有効期間内の任意の時刻tでTSを取得した場合、証明書Aの有効期間内であれば時刻t以前の時刻t0においても、時刻t以降の時刻t1においても、証明書Aが存在していたと判断する。一方、証明書Aの有効期間外の時刻t2では証明書Aが存在していなかったと判断する。
(1)現在時刻検証の場合
現在時刻が、有効性証明対象の証明書の有効期間内である場合を説明する。
図4に示されるように、現在時刻t1において、TSが付加されている最新のCRLに、有効性証明対象の証明書Aの失効情報が記載なしならば、当該証明書Aの有効期間開始時刻から現在時刻t1までの期間においては、当該証明書Aが有効であると判断する。
一方、図5に示されるように、現在時刻t1において、TSが付加されている最新のCRLに、有効性証明対象の証明書Aの失効情報が記載ありならば、当該証明書Aの有効期間開始時刻から当該証明書Aの失効時刻t2までの期間においては、当該証明書Aが有効であると判断する。
現在時刻が、有効性証明対象の証明書の有効期間外である場合を説明する。
図6に示されるように、有効性証明対象の証明書Aの有効期間内で最後に発行されたTS付きCRLに、当該証明書Aの失効情報が記載なしならば、当該証明書Aの有効期間開始時刻から有効期間終了時刻t1までの期間においては、当該証明書Aが有効であると判断する。
一方、図7に示されるように、有効性証明対象の証明書Aの有効期間内で最後に発行されたTS付きCRLに、当該証明書Aの失効情報が記載ありならば、当該証明書Aの有効期間開始時刻から当該証明書Aの失効時刻t1までの期間においては、当該証明書Aが有効であると判断する。
上記した存在証明によって、TSを取得した時点でCRLが存在していたならば、当該CRLに記載されている内容も該取得時点で存在していたこととなる。また、CRLの記載内容のうち、「証明書の失効情報」のみが検証処理で使用される。従って、図8に示されるように、TS取得時刻tにおいて、CRLの記載内容が存在していたことのみを証明すればよく、CRLの場合には証明書のように有効性を長期間保証する必要はない。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Claims (6)
- 公開鍵証明書及び証明書失効リストを発行する認証局から全ての前記公開鍵証明書及び証明書失効リストを取得する証明書及び失効リスト取得手段と、
前記公開鍵証明書及び証明書失効リストのタイムスタンプをタイムスタンプ認証局から取得するタイムスタンプ取得手段と、
前記取得された公開鍵証明書、証明書失効リスト及びタイムスタンプを保管するデータベースと、
検証時刻が有効期間内に含まれるタイムスタンプの付与されている公開鍵証明書及び証明書失効リストを前記データベースから取得して、検証時刻における検証対象証明書の有効性を検証する検証処理手段と、
を備えたことを特徴とする証明書検証装置。 - 前記タイムスタンプ取得手段は、一つの公開鍵証明書及び証明書失効リストに対して、唯一つのタイムスタンプを取得することを特徴とする請求項1に記載の証明書検証装置。
- 前記検証処理手段は、検証対象証明書の有効期間内の最後で発行されたタイムスタンプの付与されている証明書失効リストを使用することを特徴とする請求項1又は2に記載の証明書検証装置。
- 公開鍵証明書及び証明書失効リストを発行する認証局から全ての前記公開鍵証明書及び証明書失効リストを取得する機能と、
前記公開鍵証明書及び証明書失効リストのタイムスタンプをタイムスタンプ認証局から取得する機能と、
前記取得された公開鍵証明書、証明書失効リスト及びタイムスタンプをデータベースに保管する機能と、
検証時刻が有効期間内に含まれるタイムスタンプの付与されている公開鍵証明書及び証明書失効リストを前記データベースから取得して、検証時刻における検証対象証明書の有効性を検証する機能と、
をコンピュータに実現させることを特徴とするコンピュータプログラム。 - 一つの公開鍵証明書及び証明書失効リストに対して、唯一つのタイムスタンプを取得することを特徴とする請求項4に記載のコンピュータプログラム。
- 検証対象証明書の有効期間内の最後で発行されたタイムスタンプの付与されている証明書失効リストを使用することを特徴とする請求項4又は5に記載のコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004094093A JP2005286443A (ja) | 2004-03-29 | 2004-03-29 | 証明書検証装置及びそのコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004094093A JP2005286443A (ja) | 2004-03-29 | 2004-03-29 | 証明書検証装置及びそのコンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005286443A true JP2005286443A (ja) | 2005-10-13 |
Family
ID=35184396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004094093A Pending JP2005286443A (ja) | 2004-03-29 | 2004-03-29 | 証明書検証装置及びそのコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005286443A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006074425A (ja) * | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | 公開鍵証明書検証装置及び公開鍵証明書検証方法及びプログラム |
JP2006148454A (ja) * | 2004-11-18 | 2006-06-08 | Mitsubishi Electric Corp | 信頼点証明書管理サーバ並びに情報端末及び情報通信システム |
JP2008236248A (ja) * | 2007-03-19 | 2008-10-02 | Ricoh Co Ltd | 電子情報認証方法、電子情報認証装置及び電子情報認証システム |
JP2009094976A (ja) * | 2007-10-12 | 2009-04-30 | Fuji Xerox Co Ltd | 情報処理装置、情報処理システム、及び情報処理プログラム |
US7934100B2 (en) | 2006-09-28 | 2011-04-26 | Fuji Xerox Co., Ltd. | Information processing system, information processing apparatus, information processing method, and storage medium |
JP2011160361A (ja) * | 2010-02-03 | 2011-08-18 | Mitsubishi Electric Corp | 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法 |
JP2018129563A (ja) * | 2017-02-06 | 2018-08-16 | セイコーソリューションズ株式会社 | タイムスタンプサーバ、検証装置、タイムスタンプ有効期限延長プログラム、及び検証プログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH113033A (ja) * | 1996-05-15 | 1999-01-06 | Rsa Data Security Inc | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム |
JP2003085355A (ja) * | 2001-09-12 | 2003-03-20 | Nec Corp | 会社支配支援システム、株主総会情報処理装置、株主権行使支援サーバ、会社支配支援方法及び制御プログラム |
JP2003533940A (ja) * | 2000-05-16 | 2003-11-11 | シュアティー ドット コム | デジタルレコードを自己認証するための方法及び装置 |
JP2004363779A (ja) * | 2003-06-03 | 2004-12-24 | Fujitsu Ltd | 認証システムおよび記録サーバ |
JP2005136482A (ja) * | 2003-10-28 | 2005-05-26 | Ntt Data Corp | デジタル署名長期検証システム及びデジタル署名長期検証装置並びにそのコンピュータプログラム |
-
2004
- 2004-03-29 JP JP2004094093A patent/JP2005286443A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH113033A (ja) * | 1996-05-15 | 1999-01-06 | Rsa Data Security Inc | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム |
JP2003533940A (ja) * | 2000-05-16 | 2003-11-11 | シュアティー ドット コム | デジタルレコードを自己認証するための方法及び装置 |
JP2003085355A (ja) * | 2001-09-12 | 2003-03-20 | Nec Corp | 会社支配支援システム、株主総会情報処理装置、株主権行使支援サーバ、会社支配支援方法及び制御プログラム |
JP2004363779A (ja) * | 2003-06-03 | 2004-12-24 | Fujitsu Ltd | 認証システムおよび記録サーバ |
JP2005136482A (ja) * | 2003-10-28 | 2005-05-26 | Ntt Data Corp | デジタル署名長期検証システム及びデジタル署名長期検証装置並びにそのコンピュータプログラム |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006074425A (ja) * | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | 公開鍵証明書検証装置及び公開鍵証明書検証方法及びプログラム |
JP2006148454A (ja) * | 2004-11-18 | 2006-06-08 | Mitsubishi Electric Corp | 信頼点証明書管理サーバ並びに情報端末及び情報通信システム |
US7934100B2 (en) | 2006-09-28 | 2011-04-26 | Fuji Xerox Co., Ltd. | Information processing system, information processing apparatus, information processing method, and storage medium |
JP2008236248A (ja) * | 2007-03-19 | 2008-10-02 | Ricoh Co Ltd | 電子情報認証方法、電子情報認証装置及び電子情報認証システム |
JP2009094976A (ja) * | 2007-10-12 | 2009-04-30 | Fuji Xerox Co Ltd | 情報処理装置、情報処理システム、及び情報処理プログラム |
JP2011160361A (ja) * | 2010-02-03 | 2011-08-18 | Mitsubishi Electric Corp | 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法 |
JP2018129563A (ja) * | 2017-02-06 | 2018-08-16 | セイコーソリューションズ株式会社 | タイムスタンプサーバ、検証装置、タイムスタンプ有効期限延長プログラム、及び検証プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7093428B2 (ja) | 電子証明書の管理方法、装置、コンピュータ装置及びコンピュータプログラム | |
JP5099139B2 (ja) | 公開鍵証明書状態の取得および確認方法 | |
US7600123B2 (en) | Certificate registration after issuance for secure communication | |
JP4690779B2 (ja) | 属性証明書検証方法及び装置 | |
JP4909626B2 (ja) | 属性認証システム、同システムにおける属性情報の匿名化方法およびプログラム | |
EP3966997B1 (en) | Methods and devices for public key management using a blockchain | |
US8806195B2 (en) | User interface generation in view of constraints of a certificate profile | |
JP2008022526A (ja) | 属性証明書検証方法、属性認証局装置、サービス提供装置、および属性証明書検証システム | |
US20040111609A1 (en) | Authentication and authorization infrastructure system with CRL issuance notification function | |
EP2957064B1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
JP2007074349A (ja) | 属性認証システムおよび同システムにおける属性情報の匿名化方法 | |
JP4819619B2 (ja) | 属性認証システム、同システムにおける属性情報の匿名化方法およびプログラム | |
JP2004248220A (ja) | 公開鍵証明書発行装置、公開鍵証明書記録媒体、認証端末装置、公開鍵証明書発行方法、及びプログラム | |
JP2005286443A (ja) | 証明書検証装置及びそのコンピュータプログラム | |
JP5036500B2 (ja) | 属性証明書管理方法及び装置 | |
JP5052809B2 (ja) | 認証システム、認証サーバおよびプログラム | |
Bakhtina et al. | A decentralised public key infrastructure for X-Road | |
EP4252384B1 (en) | Methods, devices and system related to a distributed ledger and user identity attribute | |
JP4166668B2 (ja) | デジタル署名長期検証システム及びデジタル署名長期検証装置並びにそのコンピュータプログラム | |
US9882891B2 (en) | Identity verification | |
JP2002023627A (ja) | 署名検証装置及び署名検証方法 | |
JP2003244137A (ja) | 電子署名の検証方法 | |
JP4469687B2 (ja) | サービス設定情報ダウンロードプログラム、端末装置、及び、サービス設定情報ダウンロード方法 | |
JP2002217899A (ja) | 携帯型端末、証明書検証サーバ、電子証明書有効性検証システム、電子証明書有効性検証方法 | |
JP5054552B2 (ja) | 二次コンテンツの権利管理方法及びシステム及びプログラム及びコンピュータ読取可能な記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100317 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100607 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101026 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101224 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110308 |