JP3588042B2 - 証明書の有効性確認方法および装置 - Google Patents

証明書の有効性確認方法および装置 Download PDF

Info

Publication number
JP3588042B2
JP3588042B2 JP2000261065A JP2000261065A JP3588042B2 JP 3588042 B2 JP3588042 B2 JP 3588042B2 JP 2000261065 A JP2000261065 A JP 2000261065A JP 2000261065 A JP2000261065 A JP 2000261065A JP 3588042 B2 JP3588042 B2 JP 3588042B2
Authority
JP
Japan
Prior art keywords
certificate
public key
path
validity
key certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000261065A
Other languages
English (en)
Other versions
JP2002072876A (ja
JP2002072876A5 (ja
Inventor
孝宏 藤城
悟 手塚
洋子 熊谷
智治 森尾
豊 宮崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2000261065A priority Critical patent/JP3588042B2/ja
Priority to DE60107634T priority patent/DE60107634T2/de
Priority to EP01120564A priority patent/EP1185027B1/en
Priority to KR10-2001-0052476A priority patent/KR100433439B1/ko
Priority to US09/941,771 priority patent/US7080251B2/en
Priority to CA002356410A priority patent/CA2356410C/en
Priority to MYPI20014081 priority patent/MY127188A/en
Priority to SG200105266A priority patent/SG100752A1/en
Publication of JP2002072876A publication Critical patent/JP2002072876A/ja
Application granted granted Critical
Publication of JP3588042B2 publication Critical patent/JP3588042B2/ja
Publication of JP2002072876A5 publication Critical patent/JP2002072876A5/ja
Priority to US11/452,299 priority patent/US7409551B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、PKI(Public Key Infrastructure)において、ある端末が受け取った電子手続に対する署名を検証するための公開鍵証明書が、当該端末が信頼する認証局とは異なる認証局が発行したものである場合に、その有効性を確認するのに好適な技術に関する。
【0002】
【従来の技術】
民間系、公共系の様々な組織、団体において、従来、紙面で行ってきた様々な手続を電子化するべく、PKI(Public Key Infrastructure)の導入、整備が進んでいる。
【0003】
図12は、従来のPKIにおいて、認証局が複数ある場合における各認証局の関係を示している。
【0004】
図示するように、公開鍵証明書の発行とその管理を行う各認証局は、ルート認証局CA1を頂点とするツリー構造を持つグループを形成している。このグレープはセキュリティドメインと呼ばれている。ルート認証局CA1は、自身より1つ下流側に位置する各認証局CA2〜CA2に対して公開鍵証明書を発行する。また、認証局CA2〜CA2n1各々は、自身より1つ下流側に位置する各認証局CA3〜CA3n2に対して公開鍵証明書を発行する。このように、ツリー上、1つ上流側に位置する認証局が自身より1つ下流側に位置する認証局に対して公開鍵証明書を発行する。そして、ツリー上、最下流に位置する認証局(以下、端末収容認証局と呼ぶ)CAS〜CASnmは、電子手続を行うユーザ端末(以下、エンドエンティティと呼ぶ)EE〜EEに対して公開鍵証明書を発行する。
【0005】
エンドエンティティEE〜EE各々が電子文書の署名に使用する秘密鍵(署名鍵)の正当性は、自身を収容する端末収容認証局CAS〜CASnmが発行した公開鍵証明書によって証明され、端末収容認証局CAS〜CASnm各々が発行する公開鍵証明書の署名に使用する秘密鍵の正当性は、自身を収容する認証局CA(S−1)〜CA(S−1)n(m−1)が発行した公開鍵証明書によって証明される。したがって、エンドエンティティEE〜EE各々が署名に使用する秘密鍵は、最終的に、ルート認証局CA1が発行する公開鍵証明書によって証明されることになる。このエンドエンティティEE〜EEが署名に使用する鍵の正当性を最終的に証明する認証局、云いかえれば、エンドエンティティEE〜EEが信頼する、ツリー上、最上流側の認証局をトラストアンカーと呼ぶ。
【0006】
さて、図12において、エンドエンティティEEは、エンドエンティティEEに送信すべき申請書等の電子文書に対して、エンドエンティティEEが保持する自身の秘密鍵で署名を行う。そして、署名した電子文書に、エンドエンティティEEを収容する端末収容認証局CASが発行した前記秘密鍵と対の公開鍵証明書を添付して、エンドエンティティEEに送信する。
【0007】
エンドエンティティEEは、エンドエンティティEEより受け取った電子文書の署名を、当該電子文書に添付された公開鍵証明書を用いて検証することができる。しかし、公開鍵証明書はエンドエンティティEEを収容する端末収容認証局CASnmが発行したものではないので、エンドエンティティEEは、当該公開鍵証明書を直ちに信頼することはできない。この場合、エンドエンティティEEは、自身のトラストアンカーであるルート認証局CA1によって当該公開鍵証明書の有効性が証明されるものであることを確認しなければならない。この公開鍵証明書の有効性確認処理は、以下の手順によって行われる。
【0008】
▲1▼トラストアンカーから公開鍵証明書の発行元認証局までのパスの検索
トラストアンカー(ここでは、ルート認証局CA1)を起点認証局とし、起点認証局が発行した公開鍵証明書の発行先を調べ、当該発行先に認証局が含まれる場合は当該認証局が発行した公開鍵証明書の発行先をさらに調べる処理を、当該公開鍵証明書の発行先に、公開鍵証明書の発行元認証局(ここでは、エンドエンティティEEを収容する端末収容認証局CAS)が含まれるまで続け、トラストアンカーから公開鍵証明書の発行元認証局までのパスを検索する。
【0009】
▲2▼検出したパスの検証
上記▲1▼により検出したパス上の各認証局から、パス上において当該認証局の1つ下流側の認証局に対して発行した公開鍵証明書を入手する。そして、有効性確認対象の公開鍵証明書(ここでは、端末収容認証局CASがエンドエンティティEEに対して発行した公開鍵証明書)の署名を、当該公開鍵証明書を発行した認証局(ここでは、端末収容認証局CAS)より1つ上流側の認証局が発行した公開鍵証明書で検証し、検証が成立した場合は、当該1つ上流側の認証局が発行した公開鍵証明書の署名をさらに1つ上流側の認証局が発行した公開鍵証明書で検証する処理を、当該1つ上流側の認証局がトラストアンカーとなるまで続ける。そして、このような公開鍵証明書の署名検証がトラストアンカーまで成立した場合に、有効性確認対象の公開鍵証明書の有効性が確認されたものとする。
【0010】
エンドエンティティEEは、エンドエンティティEEより受け取った電子文書の署名を当該電子文書に添付された公開鍵証明書を用いて検証すると共に、上記の▲1▼、▲2▼に示す手順に従い当該電子文書の署名検証に用いた公開鍵証明書の有効性を確認することにより、当該電子文書の正当性を確認することができる。
【0011】
なお、以上では、公開鍵証明書の有効性確認処理をエンドエンティティで行うことを前提としている。しかし、公開鍵証明書の有効性確認処理は負荷が重く、これをエンドエンティティで行うためには、当該エンドエンティティに高い処理能力が要求される。そこで、ネットワークを介してエンドエンティティに接続された証明書の有効性確認サーバを設け、当該サーバに、当該エンドエンティティの代わりに公開鍵証明書の有効性確認を行わせることがIETFにより提案されている。
【0012】
【発明が解決しようとする課題】
ところで、従来提案されている証明書の有効性確認サーバは、エンドエンティティから依頼を受ける都度、上記の▲1▼、▲2▼に示す手順を実行して公開鍵証明書の有効性を確認している。このため、エンドエンティティが公開鍵証明書の有効性確認を依頼をしてからその結果がわかるまでに、少なくとも、上記の▲1▼、▲2▼に示す手順を実行するための時間がかかってしまう。
【0013】
なお、図12では、セキュリティドメインが1つであることを前提にしているが、上述したように、民間系、公共系の様々な組織、団体においてPKIの導入、整備が行われており、その結果、複数のセキュリティドメインが並存することが予想される。これらの異なるセキュリティドメイン間においても、各セキュリティドメインのルート認証局同士で、互いに相手の公開鍵証明書を発行するなどして相互認証を行ったり、あるいは、各セキュリティドメインのルート認証局各々との間でこのような相互認証を行ったブリッジ認証局を設置することにより、上記の▲1▼、▲2▼にその手順を示した公開鍵証明書の有効性確認処理を実現することができる。しかしこのように、複数のセキュリティドメイン間で公開鍵証明書の有効性確認処理を行うと、認証局数が増大し、また、各認証局の関係も、図12に示すような単純なツリー構造ではなく、より複雑化するため、上記の▲1▼、▲2▼に示す手順を実行するための負荷が増大する。このため、エンドエンティティが公開鍵証明書の有効性確認を依頼をしてからその結果がわかるまでにかかる時間がさらに長くなり、サービスの低下を招いてしまう。
【0014】
本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、公開鍵証明書の有効性確認を依頼してから、当該有効性が確認されるまでにかかる時間を短くすることにある。
【0015】
【課題を解決するための手段】
上記課題を解決するために、本発明では、ネットワークを介して、複数の端末(エンドエンティティ)や認証局に接続された証明書の有効性確認サーバにおいて、ある端末からの依頼に応じて、当該端末が信頼する認証局とは異なる認証局が発行した公開鍵証明書の有効性を確認するために以下の処理を行う。
【0016】
すなわち、任意の認証局を起点認証局とし、当該起点認証局が発行した公開鍵証明書の発行先を調べ、当該発行先に認証局が含まれる場合は当該認証局が発行した公開鍵証明書の発行先をさらに調べる処理を、当該公開鍵証明書の発行先が全て端末となるまで続けることにより、前記起点認証局から任意の端末に対して公開鍵証明書を発行した端末収容認証局までのパスを検索するパス検索ステップと、
前記パス検索ステップにより検出されたパスについて、前記起点認証局を上流とし、当該パス上の端末収容認証局が発行した公開鍵証明書の署名を1つ上流側の認証局が発行した公開鍵証明書で検証し、検証が成立した場合は当該1つ上流側の認証局が発行した公開鍵証明書の署名をさらに1つ上流側の認証局が発行した公開鍵証明書で検証する処理を、当該1つ上流側の認証局が前記起点認証局となるまで続けることにより、当該パスを検証するパス検証ステップと、
前記パス検証ステップにより検証が成立したパスをデータベースに登録するパス登録ステップとを、端末からの公開鍵証明書の有効性確認依頼とは無関係に、例えば定期的に行う。
【0017】
そして、ある端末から、当該端末が信頼する認証局とは異なる端末収容認証局が発行した公開鍵証明書の有効性確認依頼があった場合に、前記端末が信頼する認証局と前記起点認証局との間のパス、および、前記異なる端末収容認証局と前記起点認証局との間のパスが、前記データベースに登録されているか否かを調べることで、前記公開鍵証明書の有効性を確認する。
【0018】
本発明によれば、ある端末から公開鍵証明書の有効性確認依頼を受けた場合に、それから、上記の▲1▼、▲2▼に示した、当該端末のトラストアンカーから当該公開鍵証明書の発行元認証局までのパスの検索、および、検出したパスの検証を行う必要がない。したがって、公開鍵証明書の有効性確認を依頼してから、当該有効性が確認されるまでにかかる時間を短縮できる。
【0019】
【発明の実施の形態】
以下に、本発明の一実施形態について説明する。
【0020】
図1は、本発明の一実施形態が適用されたPKIシステムの概略構成を示す図である。
【0021】
図示するように、本実施形態のPKIシステムは、電子手続を行うユーザ端末あるいはユーザ端末からの依頼を受けて電子手続を代行する受付サーバである複数のエンドエンティティEEと、公開鍵証明書の発行とその管理を行う複数の認証局CAと、エンドエンティティEEからの依頼に応じ公開鍵証明書の有効性の確認を行う証明書有効性確認センタVCとが、LAN、WANおよびこれらを繋ぐインターネット等により構成されたネットワークNETを介して、互いに接続されて構成される。
【0022】
図2は、図1に示すPKIシステムでの各認証局CAの関係の一例を示す図である。
【0023】
図示するように、本実施形態のPKIシステムでは、民間系、政府系といった複数のセキュリティドメインSD(SD〜SD)が並存していることを前提としている。そして、そのうちの幾つかのセキュリティドメインSD(図2ではSD、SD)は、ルート認証局CA(図2ではCA21、CA31)同士で、例えば互いに公開鍵証明書を発行し合うことにより相互認証を行っているものとする。また、各セキュリティドメインSDのルート認証局CA(図2ではCA11、CA21、CA31)は、例えば、ブリッジ認証局CAbridgeに対して公開鍵証明書を発行すると共に、ブリッジ認証局CAbridgeから公開鍵証明書を発行してもらうことにより、ブリッジ認証局CAbridgeとの間で相互認証を行っているものとする。このようにすることで、あるセキュリティドメインSDに属する認証局CAと他のセキュリティドメインSDに属する認証局CAとの間に、一方の認証局CAが発行した公開鍵証明書の有効性を、他方の認証局CAにて確認できるようにするためのパスが形成される。
【0024】
次に、上記のPKIシステムを構成するエンドエンティティEE、認証局CAおよび証明書有効性確認センタVCについて説明する。
【0025】
まず、エンドエンティティEEについて説明する。
【0026】
図3は、エンドエンティティEEの概略構成を示す図である。
【0027】
図示するように、エンドエンティティEEは、処理部10aと、記憶部10bと、ネットワークNETを介して他装置と通信を行うための通信部16と、ユーザが作成した電子文書や他のエンドエンティティEEあるいはユーザ端末から受け取った電子文書の入出力やユーザよりの指示の受付けを行う入出力部17と、を有する。
【0028】
処理部10aは、署名生成部14と、署名検証部15と、エンドエンティティEEの各部を統括的に制御する制御部18と、を有する。
【0029】
記憶部10bは、ユーザが作成した(エンドエンティティEEが受付サーバの場合はユーザ端末から受け取った)電子文書を保持する電子文書保持部11と、秘密鍵(署名鍵)とこれに対の公開鍵証明書とを保持する鍵保持部12と、他のエンドエンティティEEから受け取った署名付きの電子文書と公開鍵証明書を保持する検証対象保持部13と、を有する。
【0030】
このような構成において、制御部18は、入出力部17を介してユーザから、電子文書保持部11に保持してある電子文書を他のエンドエンティティEEに送信すべき旨の指示を受け付けると、当該電子文書を電子文書保持部11から読み出し、これを署名生成部14に渡す。これを受けて、署名生成部14は、鍵保持部12に保持されている秘密鍵を用いて当該電子文書に対する署名を生成する。それから、制御部18は、電子文書保持部11から読み出した電子文書に署名生成部14で生成された署名を付して、署名付き電子文書を作成する。そして、作成した署名付き電子文書に鍵保持部12に保持されている公開鍵証明書を添付して、通信部16を介して、ユーザより指示された送信先のエンドエンティティEEのアドレスへ送信する。
【0031】
また、制御部18は、通信部16を介して、他のエンドエンティティEEから署名付き電子文書と公開鍵証明書を受け取ると、これらを検証対象保持部13に保持させると共に、その旨を署名検証部15に通知する。これを受けて、署名検証部15は、検証対象保持部13に保持されている署名付き電子文書の署名を、当該電子文書と共に受け取った公開鍵証明書を用いて検証する。そして、検証が成立した場合にのみ、署名付き電子文書を正当なものとして扱い、必要に応じて入出力部17から出力する。
【0032】
ただし、上記の署名検証が成立した場合でも、当該署名検証に用いた公開鍵証明書が、自エンドエンティティEEを収容する(つまり、自エンドエンティティEEに対して公開鍵証明書を発行した)端末収容認証局CA以外の端末収容認証局CAの場合は、証明書有効性確認センタVCに、上記の署名検証に用いた公開鍵証明書の有効性の確認依頼を送信する。この際、必要に応じて、前記署名付き電子文書により行おうとしている電子手続の取引額等で示した信頼度(ポリシー)を、前記確認依頼に含める。そして、証明書有効性確認センタVCにて、当該公開鍵証明書の有効性が確認された場合にのみ、署名付き電子文書を正当なものとして扱い、必要に応じて入出力部17から出力する。
【0033】
次に、認証局CAについて説明する。
【0034】
図4は、認証局CAの概略構成を示す図である。
【0035】
図示するように、認証局CAは、処理部20aと、記憶部20bと、ネットワークNETを介して他装置と通信を行うための通信部26と、公開鍵証明書等の入出力やユーザよりの指示の受付けを行う入出力部27と、を有する。
【0036】
処理部20aは、公開鍵証明書を発行する発行部21と、発行部21が発行した公開鍵証明書の管理を行う管理部22と、認証局CAの各部を統括的に制御する制御部28と、を有する。
【0037】
記憶部20bは、発行部21が発行した公開鍵証明書を保持する公開鍵証明書データベース23と、公開鍵証明書データベース23に保持されている各公開鍵証明書の発行先が記述された発行先管理リストを保持する発行先管理リスト保持部24と、失効証明書リスト保持部25と、を有する。
【0038】
このような構成において、制御部28は、入出力部27あるいは通信部26を介して、公開鍵証明書の発行依頼を受け付けると、その旨を発行部21に伝える。これを受けて、発行部21は、発行依頼主が署名生成に用いる秘密鍵(署名鍵)とこれに対の公開鍵証明書を作成する。この際、自認証局CAの秘密鍵で公開鍵証明書に署名をする。また、必要に応じて、公開鍵証明書中に、当該公開鍵証明書の有効期限や、信頼しない他の認証局の名称(Name Constrains)や、当該公開鍵証明書の有効性確認のために許容される最大パス長(パス上の許容最大認証局数)や、電子手続の取引額等で表した当該公開鍵証明書と対の秘密鍵による署名の信頼度(ポリシー)を記述する。そして、作成した公開鍵証明書と秘密鍵を、入出力部27あるいは通信部26を介して、郵送あるいは通信により、発行依頼主に渡す。また、この公開鍵証明書を公開鍵証明書データベース23に登録すると共に、その発行先(つまり発行依頼主)の情報を、発行先管理リスト保持部24に保持されている発行先管理リストに記述する。
【0039】
また、制御部28は、入出力部27あるいは通信部26を介して、公開鍵証明書の失効依頼を受け付けると、その旨を管理部22に伝える。これを受けて、管理部22は、失効対象の公開鍵証明書を公開鍵証明書データベース23から削除すると共に、当該公開鍵証明書の発行先の情報を、発行先管理リスト保持部24に保持されている発行先管理リストから削除する。そして、管理部22は、失効依頼により公開鍵証明書データベース23から削除した公開鍵証明書に関する情報が記述された失効証明書リスト(一般に、CRL(Certification Revocation List)、ARL(Authority Revocation List)と呼ばれている)を、定期的に作成し、これを失効証明書リスト保持部25に保持させる。なお、管理部22は、作成した失効証明書リストに、次回の失効証明書リストの作成予定日時を記述するものとする。
【0040】
また、制御部28は、通信部26を介して、他装置より公開鍵証明書の失効情報の問い合わせを受け取ると、失効証明書リスト保持部25に保持されている失効証明書リストを検索して、問い合わせのあった公開鍵証明書が失効しているか否かを調べる。そして、その結果を、通信部26を介して、問い合わせをした他装置に応答する(このような問い合わせと応答に用いる通信プロトコルとして、OSCP(Online Certification status protocol)がある)。
【0041】
なお、管理部22は、公開鍵証明書データベース23に格納されている各公開鍵証明書の有効期限を調査し、有効期限を過ぎている公開鍵証明書を公開鍵証明書データベース23から削除すると共に、当該公開鍵証明書の発行先の情報を、発行先管理リスト保持部24に保持されている発行先管理リストから削除する処理も行う。
【0042】
次に、証明書有効性確認センタVCについて説明する。
【0043】
図5は、証明書有効性確認センタVCの概略構成を示す図である。
【0044】
図示するように、証明書有効性確認センタVCは、処理部30aと、記憶部30bと、ネットワークNETを介して他装置と通信を行うための通信部36と、公開鍵証明書等の入出力やユーザよりの指示の受付けを行う入出力部37と、を有する。
【0045】
処理部30aは、パス検索部32と、パス検証部33と、有効期限/失効状態調査部34と、有効性確認部35と、証明書有効性確認センタVCの各部を統括的に制御する制御部38とを有する。また、記憶部30bは、パスデータベース31と、失効証明書リスト作成予定日時データベース39とを有する。
【0046】
パス検索部31は、定期的に、ブリッジ認証局CAbridgeからエンドエンティティEEに対して公開鍵証明書を発行した各端末収容認証局CAまでのパスを検索する。
【0047】
パス検証部32は、パス検索部31でパスの検索が行われる毎に、当該パス検索部31で検出されたパスの検証を行う。そして、検証が成立したパスを、証明書有効性確認センタVCを上流とした場合に当該パス上の最下流に位置することとなる端末収容認証局CAの名称と、当該パス上の各認証局CAから入手した当該パス上の1つ下流側に位置する認証局CA(発行元の認証局CAが端末収容認証局CAの場合はエンドエンティティEE)に対して発行した公開鍵証明書とに対応付けて、パスデータベース31に登録する。
【0048】
有効期限/失効状態調査部34は、パスデータベース31に登録されているパス各々について、当該パス上の各認証局CAが当該パス上の1つ下流側に位置する認証局CA(発行元の認証局CAが端末収容認証局CAの場合はエンドエンティティEE)に対して発行した公開鍵証明書の有効期限や失効の有無を調査する。そして、その結果に応じてパスデータベース33を更新する。
【0049】
また、有効期限/失効状態調査部34は、各認証局CAの失効証明書リスト保持部25から入手した失効証明書リストに記述されている次回の失効証明書リスト作成予定日時を当該認証局CAに対応付けて、失効証明書リスト作成予定日時データベース39に登録する。
【0050】
有効性確認部35は、エンドエンティティEEからの依頼に従い、当該エンドエンティティEEを収容する端末収容認証局CA以外の端末収容認証局CAが発行した公開鍵証明書の、当該エンドエンティティEEを収容する端末収容認証局CAに対する有効性の確認を行う。
【0051】
なお、図3〜図5に示すエンドエンティティEE、認証局CAおよび証明書有効性確認センタVCの各々は、例えば、図6に示すような、CPU61と、メモリ62と、ハードディスク等の外部記憶装置63と、CD−ROM等の可搬性を有する記憶媒体69から情報を読み取る読取装置64と、ネットワークを介して他装置と通信を行うための通信装置65と、キーボードやマウス等の入力装置66と、モニタやプリンタ等の出力装置67と、これらの各装置間のデータ送受を行うインターフェース68とを備えた、一般的な電子計算機において、CPU61がメモリ62上にロードされた所定のプログラムを実行することにより、実現できる。すなわち、通信部16、26、36は、CPU61が通信装置66を利用することにより、入出力部17、27、37は、CPU61が入力装置66や出力装置67や読取装置64を利用することにより、そして、記憶部10b、20b、30bは、CPU61がメモリ62や外部記憶装置63を利用することにより実現される。また、処理部10a、20a、30aは、CPU61上のプロセスとして実現される。
【0052】
このような、電子計算機上にエンドエンティティEE、認証局CAおよび証明書有効性確認センタVCを各々実現するための所定のプログラムは、読取装置64を介して記憶媒体69から読み出され、あるいは、通信装置66を介してネットワーク経由で他のサーバからダウンロードされて、一旦、外部記憶装置63に格納された後、そこからメモリ62上にロードされて、あるいは、外部記憶装置63に格納されることなく、直接メモリ62上にロードされて、CPU61に実行されるようにすればよい。
【0053】
次に、上記構成の証明書有効性確認センタVCの動作について説明する。
【0054】
本実施形態の証明書有効性確認センタVCの動作は、パスの検索、検証および管理動作と、公開鍵証明書の有効性の確認動作とに分かれる。
【0055】
まず、パスの検索・検証および管理動作について説明する。
【0056】
図7〜図8は、本実施形態の証明書有効性確認センタVCで行われるパスの検索、検証および管理動作を説明するためのフロー図である。
【0057】
制御部38は、所定時間(例えば1日)を経過すると(ステップS1001)、パス検索部32にパス検索を依頼する。これを受けて、パス検索部32は、ブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスを検索する(ステップS1002)。
【0058】
具体的には、パス検索部32は、ブリッジ認証局CAbridgeの発行先管理リスト保持部24にアクセスし、ブリッジ認証局CAbridgeが発行した公開鍵証明書の発行先の情報を入手する。そして、入手した各発行先が認証局CAの場合は、各発行先の認証局CAの発行先管理リスト保持部24にアクセスして、各認証局CAが発行した公開鍵証明書の発行先をさらに調べる。この処理を、公開鍵証明書の発行先がエンドエンティティEEとなるまで続けることにより、ブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスを検索する。ここで、パスのループにより上記の処理が無限に繰り返されるのを防止するため、ある認証局CAの発行先管理リスト保持部24から入手した発行先に、それまでに形成された部分パスの上流側に位置する認証局CAが含まれる場合は、当該認証局CAを発行先とした上記の処理を行わないものとする。
【0059】
ステップS1002でのパス検索処理を、各認証局CAが図2に示す関係にある場合を例に取り、より具体的に説明する。
【0060】
まず、パス検索部32は、ブリッジ認証局CAbridgeの発行先管理リスト保持部24にアクセスし、ブリッジ認証局CAbridgeが発行した公開鍵証明書の発行先の情報として、認証局CA11、CA21、CA31の情報を入手する。
【0061】
次に、パス検索部32は、ブリッジ認証局CAbridgeから入手した発行先(認証局CA11、CA21、CA31)のうちのいずれか1つに注目して、以下の処理を実行する。
【0062】
すなわち、注目した発行先が認証局CA(以下、注目認証局CAと呼ぶこととする)であるならば、ブリッジ認証局CAbridge−注目認証局CA間に、ブリッジ認証局CAbridge側を上流とする部分パスを設定する。そして、注目認証局CAの発行先管理リスト保持部24にアクセスして、当該注目認証局CAが発行した公開鍵証明書の発行先の情報をさらに入手する。ここでは、注目した発行先が認証局CA11であるとして、ブリッジ認証局CAbridge−認証局CA11間に部分パスを設定し、認証局CA11から、発行先の情報として、認証局CAbridge、CA12、CA13の情報を入手したものとする。
【0063】
次に、パス検索部32は、認証局CA11から入手した発行先(認証局CAbridge、CA12、CA13)に、部分パス上の認証局CA(以下、ループ認証局CAと呼ぶこととする)が含まれているか否かを調べる。含まれている場合はその発行先を注目対象から除外する。したがって、ここでは、認証局CAbridgeを注目対象から除外することになる。次に、パス検索部32は、認証局CA11から入手した発行先にエンドエンティティEEが含まれるか否を調べる。エンドエンティティEEが含まれている場合、認証局CA11は端末収容認証局となる。しかし、認証局CA11から入手した発行先にエンドエンティティEEは含まれていない。したがって、ブリッジ認証局CAbridge−認証局CA11間に設定した部分パスを、端末収容認証局CAまで延長すべく、認証局CA11から入手した、ループ認証局CAを除く発行先(認証局CA12、CA13)のうちのいずれか1つに注目する。
【0064】
注目した発行先が認証局CAであるならば、それまでに設定した部分パスの下流側にこの注目認証局CAを接続した部分パスを設定する。そして、この注目認証局CAの発行先管理リスト保持部24にアクセスして、当該注目認証局CAが発行した公開鍵証明書の発行先の情報をさらに入手する。ここでは、注目した発行先が認証局CA12であるとして、ブリッジ認証局CAbridge−認証局CA11−認証局CA12間に部分パスを設定し、認証局CA12から、発行先の情報として、エンドエンティティEE、EEを入手したものとする。
【0065】
次に、パス検索部32は、認証局CA12から入手した発行先(EE、EE)に、ループ認証局CAが含まれているか否かを調べる。含まれている場合はその発行先を注目対象から除外する。ここでは、ループ認証局CAは含まれないので、パス検索部32は、次の処理へ移行し、端末収容認証局CA12から入手した発行先にエンドエンティティEEが含まれるか否を調べる。ここで、入手した発行先はすべてエンドエンティティEEであるので、認証局CA12は端末収容認証局である。そこで、この認証局CA12を最下流とする部分パスを、ブリッジ認証局CAbridgeから端末収容認証局CA12までのパス(CAbridge−CA11−CA12)として検出する。
【0066】
次に、パス検索部32は、検出したパス上の最下流側に位置する認証局CA12から入手した発行先の情報の中に、未だ注目していない発行先(ループ認証局CA以外の認証局CA)があるか否かを調べ、そのような発行先があれば、これを注目認証局CAとして、上記の処理を続ける。一方、そのような発行先がなければ、1つ上流側に位置する認証局CA11から入手した発行先の情報の中に、未だ注目していない発行先(ループ認証局CA以外の認証局CA)があるか否かを調べる。そして、そのような発行先があれば、これを注目認証局CAとして、上記の処理を続ける。ここでは、認証局CA11から入手した発行先の情報のうち、認証局CA13について未だ注目していないので、これを注目認証局CAとして上記の処理を行うことにより、ブリッジ認証局CAbridgeから端末収容認証局CA13までのパス(CAbridge−CA11−CA13)を検出する。
【0067】
このように、パス検索部32は、上記の処理を、検出したパス上に位置する全ての認証局CA各々について、当該認証局CAから入手した発行先の情報の中に、未だ注目していない発行先(ループ認証局CA以外の認証局CA)がなくなるまで続けることにより、ブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスを検出する。その結果、各認証局CAが図2に示す関係にある場合、パス検索部32により検出される、ブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスは、図9に示すとおりとなる。
【0068】
さて、制御部38は、パス検索部32によりブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスが検出されると、パス検証部33にパスの検証を依頼する。これを受けて、パス検証部33は、パス検索部32により検出されたパスの検証を行う(ステップS1003)。
【0069】
具体的には、パス検索部32により検出されたパス各々について、以下の処理を行う。
【0070】
すなわち、まず、パス検証部33は、パス上の各認証局CAの公開鍵証明書データベース23にアクセスし、各認証局CAが当該パス上の1つ下流側に位置する認証局CA(アクセス先認証局CAが端末認証局CAの場合はエンドエンティティEE)に対して発行した公開鍵証明書を入手する。
【0071】
次に、パス検証部33は、パスの最下流に位置する端末収容認証局CAが発行した公開鍵証明書の署名を、1つ上流側の認証局CAが発行した公開鍵証明書で検証し、検証が成立した場合は当該1つ上流側の認証局CAが発行した公開鍵証明書の署名をさらに1つ上流側の認証局CAが発行した公開鍵証明書で検証する。この処理を、当該1つ上流側の認証局CAがブリッジ認証局CAbridgeとなるまで続けることにより、当該パスを仮検証する。
【0072】
例えば、図2においてブリッジ認証局CAbridgeから端末収容認証局CA13までのパス(CAbridge−CA11−CA13)を仮検証する場合、まず、端末収容認証局CA13が発行した公開鍵証明書の署名を、端末収容認証局CA13より1つ上流側の認証局CAであるルート認証局CA11が端末収容認証局CA13に対して発行した公開鍵証明書を用いて検証する。そして、検証が成立した場合は、ルート認証局CA11が発行した公開鍵証明書の署名を、ルート認証局CA11より1つ上流側の認証局CAであるブリッジ認証局CAbridgeがルート認証局CA11に対して発行した公開鍵証明書を用いて検証する。そして、この検証が成立した場合に、ブリッジ認証局CAbridgeから端末収容認証局CA13までのパスの仮検証が成立したものとする。
【0073】
次に、パス検証部33は、パスの仮検証が成立したならば、当該パス上の各認証局CAから入手した公開鍵証明書中に、信頼しない他の認証局の名称(Name Constrains)や当該公開鍵証明書の有効性確認のために許容される最大パス長(パス上の許容最大認証局数)などの制限の記述があるか否かを調べる。そのような記述がある場合は、当該パスがその制限を満たしているか否かを調べ、満たしている場合にのみ、当該パスの検証が成立したものとする。
【0074】
例えば、図2においてブリッジ認証局CAbridgeから端末収容認証局CA26までのパス(CAbridge−CA31−CA21−CA22−CA25−CA26)の仮検証が成立した場合において、認証局CA26から入手した公開鍵証明書中に信頼しない他の認証局の名称として認証局CA31が記述されている場合、当該パスの検証は成立しなかったものとする。また、上記の場合において、認証局CA26から入手した公開鍵証明書中にパス長として認証局数=5が記述されている場合、当該パスの検証は成立しなかったものとする。
【0075】
さて、制御部38は、上記のようにして、パス検索部32により検出されたパス各々に対するパス検証部33での検証が終了したならば、パスデータベース31の登録内容を一旦クリアし、それから、パス検証部33での検証が成立したパス各々を、当該パス上の最下流に位置する端末収容認証局CAと、当該パス上の各認証局CAから入手した公開鍵証明書とに対応付けて、パスデータベース31に登録する(ステップS1004)。
【0076】
一方、有効期限/失効状態調査部34は、パスデータベース31に登録されている公開鍵証明書の中に、有効期限切れの公開鍵証明書があるか否かを調べる(ステップS1005)。有効期限切れの公開鍵証明書がある場合は、当該公開鍵証明書の発行元認証局CAの公開鍵証明書データベース23にアクセスして、当該公開鍵証明書の発行先に対して新たに発行された公開鍵証明書を検索する(ステップS1006)。
【0077】
そして、そのような公開鍵証明書が前記発行元認証局CAの公開鍵証明書データベース23中になければ、前記有効期限切れの公開鍵証明書に対応付けて登録されているパスに関する情報をパスデータベース31から削除する(ステップS1007)。一方、そのような公開鍵証明書が前記発行元認証局CAの公開鍵証明書データベース23中にあればこれを入手する。そして、前記有効期限切れの公開鍵証明書に対応付けてパスデータベース31に登録されているパスの検証を、当該有効期限切れの公開鍵証明書の代わりに新たに入手した公開鍵証明書を用いて、上記のステップS1003と同じ要領で行う(ステップS1008)。
【0078】
なお、ステップS1008でのパス検証に代えて、新たに入手した公開鍵証明書の署名を、当該パス上において、当該公開鍵証明書の発行元認証局CAより1つ上流側に位置する認証局CAが発行した公開鍵証明書で検証し、検証が成立した場合に、当該パスの検証が成立したものとして扱うようにしてもよい。
【0079】
さて、パスの検証が成立した場合(ステップS1009でYes)は、当該パスに対応付けられてパスデータベース31に登録されている前記有効期限切れの公開鍵証明書を、新たに入手した公開鍵証明書に置き換える(ステップS1010)。一方、パスの検証が成立しなかった場合(ステップS1009でNo)は、前記有効期限切れの公開鍵証明書に対応付けて登録されているパスをパスデータベース31から削除する(ステップS1011)。
【0080】
次に、有効期限/失効状態調査部34は、失効証明書リスト作成予定日時データベース39を調べ、既に経過した失効証明書リスト作成予定日時に対応付けられている認証局CAを検索する(ステップS1012)。そのような認証局CAが存在する場合(ステップS1013でYes)は、当該認証局CAの失効証明書リスト保持部25にアクセスして、当該認証局CAが発行した最新の失効証明書リストを入手する(ステップS1014)。そして、失効証明書リスト作成予定日時データベース39にて、当該認証局CAに対応付けて登録されている失効証明書リスト作成予定日時を、入手した最新の失効証明書リストに記述されている失効証明書リスト作成予定日時に更新する(ステップS1015)。
【0081】
それから、有効期限/失効状態調査部34は、入手した最新の失効証明書リストに記述されている公開鍵証明書が、パスデータベース31に登録されているか否かを調べ(ステップS1016)、登録されている場合は、当該公開鍵証明書に対応付けられているパスに関する情報をパスデータベース31から削除する(ステップS1017)。
【0082】
次に、公開鍵証明書の有効性の確認動作について説明する。
【0083】
図10〜図11は、本実施形態の証明書有効性確認センタVCで行われる公開鍵証明書の有効性の確認動作を説明するためのフロー図である。
【0084】
制御部38は、通信部36を介して、エンドエンティティEEから、少なくとも当該エンドエンティティEEを収容する端末収容認証局CAの名称を含んだ、当該端末収容認証局CA以外の端末収容認証局CAが発行した公開鍵証明書の有効性の確認依頼を受け取ると(ステップS2001)、その旨を有効性確認部35に通知する。
【0085】
これを受けて、有効性確認部35は、依頼対象の公開鍵証明書の記述から特定される当該証明書を発行した端末収容認証局CAに対応付けられたパスと、依頼主のエンドエンティティEEを収容する端末収容認証局CAに対応付けられたパスとが、パスデータベース31に登録されているか否かを調べる(ステップS2002)。
【0086】
その結果、依頼対象の公開鍵証明書を発行した端末収容認証局CAに対応付けられたパス、および、依頼主のエンドエンティティEEを収容する端末収容認証局CAに対応付けられたパスの両方が、パスデータベース31に登録されていないことが判明したならば、有効性確認部35は、公開鍵証明書が有効でない旨を、通信部36を介して、依頼主のエンドエンティティEEに通知する(ステップS2003)。
【0087】
一方、依頼対象の公開鍵証明書を発行した端末収容認証局CAに対応付けられたパス、および、依頼主のエンドエンティティEEを収容する端末収容認証局CAに対応付けられたパスの両方が、パスデータベース31に登録されていることが確認できたならば、有効性確認部35は、これら2つのパスのいずれかに対応付けられてパスデータベース31に登録されている各公開鍵証明書中に、信頼しない他の認証局の名称(Name Constrains)や当該公開鍵証明書の有効性確認のために許容される最大パス長(パス上の許容最大認証局数)などの制限の記述があるか否かをさらに調べる(ステップS2004)。
【0088】
そのような制限の記述がない場合、ステップS2006に移行する。一方、そのような制限の記述がある場合は、ステップS2005に移行して、これら2つのパスがその制限を満たしているか否か、すなわち、各公開鍵証明書中に、これら2つのパス上のいずれかの認証局を信頼しない旨が記述されているか否か、および、最大パス長として、これら2つのパス上の認証局数よりも少ない認証局数が記述されているか否かを調べる。
【0089】
そして、そのような記述がある場合、有効性確認部35は、これら2つのパスがその制限を満たしていないものと判断し、公開鍵証明書が有効性でない旨を、通信部36を介して、依頼主のエンドエンティティEEに通知する(ステップS2003)。一方、そのような記述がない場合は、これら2つのパスがその制限を満たしているものと判断し、ステップS2006に移行する。
【0090】
ステップS2006では、有効性確認部35は、エンドエンティティEEから受け取った確認依頼に、当該エンドエンティティEEが行おうとしている電子手続の取引額等で示された信頼度(ポリシー)が含まれているか否かを調べる。電子手続の信頼度が含まれている場合は、これら2つのパスのいずれかに対応付けられてパスデータベース31に登録されている各公開鍵証明書中に、前記電子手続の信頼度よりも低い信頼度の記述があるか否かをさらに調べる(ステップS2007)。
【0091】
そして、そのような記述がある場合は、これら2つのパスを、依頼主のエンドエンティティEEが行おうとしている電子手続のための公開鍵証明書の有効性確認に利用できないものと判断し、公開鍵証明書が有効でない旨を、通信部36を介して、依頼主のエンドエンティティEEに通知する(ステップS2003)。
【0092】
一方、エンドエンティティEEから受け取った確認依頼に当該エンドエンティティEEが行おうとしている電子手続の信頼度が含まれていない場合、あるいは、含まれていても、これら2つのパスのいずれかに対応付けられてパスデータベース31に登録されている各公開鍵証明書中に記述されている信頼度が前記電子手続の信頼度よりも高い場合は、公開鍵証明書は有効であると判断し、公開鍵証明書が有効である旨を、通信部36を介して、依頼主のエンドエンティティEEに通知する(ステップS2008)。
【0093】
以上、本発明の第1実施形態について説明した。
【0094】
本実施形態では、ブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスの検索および検証を、エンドエンティティEEからの公開鍵証明書の有効性確認依頼とは独立して、定期的に行うようにしている。そして、あるエンドエンティティEEから公開鍵証明書の有効性確認依頼を受けた場合、予め検索、検証したパスを用いて、当該エンドエンティティEEを収容する端末収容認証局CAと依頼対象の公開鍵証明書を発行した端末収容認証局CAとの間に、ブリッジ認証局CAbridgeを介したパスを構築することができるか否かを調べることで、当該公開鍵証明書が有効であるか否かを判断するようにしている。したがって、公開鍵証明書の有効性確認依頼を受けてから、当該有効性を確認するまでにかかる時間を短縮することができる。
【0095】
また、本実施形態では、あるエンドエンティティEEから公開鍵証明書の有効性確認依頼を受けた場合、予め検索、検証したパスを用いて、当該エンドエンティティEEを収容する端末収容認証局CAと依頼対象の公開鍵証明書を発行した端末収容認証局CAとの間に、ブリッジ認証局CAbridgeを介したパスを構築することができるか否かを調べ、できた場合に、当該パス上の認証局が発行した公開鍵証明書中に記述された制限(信頼しない他の認証局の名称(Name Constrains)や最大パス長(パス上の許容最大認証局数)や信頼度(ポリシー)等)を考慮して、依頼対象の公開鍵証明書が有効であるか否かを最終的に判断するようにしている。したがって、公開鍵証明書の有効性確認の判断をより正確に行うことが可能となる。
【0096】
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【0097】
例えば、上記の実施形態では、証明書有効性確認センタVCは、ブリッジ認証局CAbridgeを起点認証局とし、ブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスの検索および検証を行うようにしている。しかし、本発明はこれに限定されない。他の任意の認証局CAを起点認証局として、各端末収容認証局CAまでのパスの検索および検証を行うこともできる。例えば、各認証局CAが図2に示す関係にある場合、各セキュリティドメインSDのルート認証局CA11、CA21、CA31のいずれかを起点認証局として、各端末収容認証局CAまでのパスの検索および検証を行うようにしてもよい。
【0098】
また、上記の実施形態では、説明をわかりやすくするため、図2に示すように、端末収容認証局CAはエンドエンティティEEに対してのみ公開鍵証明書を発行し、その他の認証局CAは認証局CAに対してのみ公開鍵証明書を発行するものとしているが、本発明は、当然のことながら、エンドエンティティEEと認証局CAの両方に対して公開鍵証明書を発行するような認証局CAを含む場合でも、同様に適用できる。
【0099】
【発明の効果】
以上説明したように、本発明によれば、公開鍵証明書の有効性確認を依頼してから、当該有効性が確認されるまでにかかる時間を短縮することができる。
【図面の簡単な説明】
【図1】本発明の一実施形態が適用されたPKIシステムの概略構成を示す図である。
【図2】図1に示すPKIシステムでの各認証局CAの関係の一例を示す図である。
【図3】図1に示すエンドエンティティEEの概略構成を示す図である。
【図4】図1に示す認証局CAの概略構成を示す図である。
【図5】図1に示す証明書有効性確認センタVCの概略構成を示す図である。
【図6】図3〜図5に示すエンドエンティティEE、認証局CAおよび証明書有効性確認センタVCの各々のハードウエア構成例を示す図である。
【図7】図5に示す証明書有効性確認センタVCで行われるパスの検索、検証および管理動作を説明するためのフロー図である。
【図8】図5に示す証明書有効性確認センタVCで行われるパスの検索、検証および管理動作を説明するためのフロー図である。
【図9】各認証局CAが図2に示す関係にある場合に、証明書有効性確認センタVCのパス検索部32で検出される、ブリッジ認証局CAbridgeから各端末収容認証局CAまでのパスを示す図である。
【図10】図5に示す証明書有効性確認センタVCで行われる公開鍵証明書の有効性の確認動作を説明するためのフロー図である。
【図11】図5に示す証明書有効性確認センタVCで行われる公開鍵証明書の有効性の確認動作を説明するためのフロー図である。
【図12】従来のPKIにおいて、認証局が複数ある場合における各認証局の関係の一例を示す図である。
【符号の説明】
CA…認証局、VC…証明書有効性確認センタ、EE…エンドエンティティ、SD…セキュリティドメイン、10a,20a,30a…処理部、10b,20b,30b…記憶部、11…電子文書保持部、12…鍵保持部、13…検証対象保持部、14…署名生成部、15…署名検証部、16,26,36…通信部、17,27,37…入出力部、18,28,38…制御部、21…発行部、22…管理部、23…公開鍵証明書データベース、24…発行先リスト保持部、25…失効証明書リスト保持部、31…パスデータベース、32…パス検索部、33…パス検証部、34…有効期限/失効状態調査部、35…有効性確認部、39…失効証明書リスト作成予定日時データベース、61…CPU、62…メモリ、63…外部記憶装置、64…読取装置、65…通信装置、66…入力装置、67…出力装置、68…インターフェース、69…記憶媒体

Claims (13)

  1. コンピュータが公開鍵証明書の有効性を確認する公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、
    起点となる任意の認証局および端末に公開鍵証明書を発行する端末収容認証局間のパスを検索するパス検索ステップと、
    前記パス検索ステップにより検索されたパスを検証するパス検証ステップと、
    前記パス検証ステップにより検証されたパスをデータベースに登録するパス登録ステップと、
    公開鍵証明書の有効性確認依頼を受け付け、前記データベースに登録されている検証されたパスに関する情報を用いて、前記端末収容認証局が発行した公開鍵証明書の有効性を確認する有効性確認ステップと、を行ない、
    前記コンピュータは、前記パス検索ステップにおいて、
    前記起点となる任意の認証局を発行元認証局とする第1のステップと、
    前記発行元認証局の装置が発行した全ての公開鍵証明書の発行先を入手する第2のステップと、
    前記第2のステップで入手した発行先各々について、当該発行先が認証局の場合は、当該発行先の認証局と前記発行元認証局との間にパスを設定して、当該発行先の認証局を新たな発行元認証局とし、当該発行先が端末の場合は、前記発行元認証局を端末収容認証局として、少なくとも1つの前記設定されたパスからなる、前記起点となる任意の認証局と前記端末収容認証局との間のパスを前記検索されたパスとする第3のステップと、
    前記第2のステップで入手した発行先に認証局が含まれる場合は、前記第2のステップに戻る第4のステップと、を行い、
    前記コンピュータは、前記パス検証ステップにおいて、
    前記端末収容認証局を発行先認証局とする第5のステップと、
    前記発行先認証局が発行した公開鍵証明書の署名を、前記検索されたパス上の前記発行元認証局が発行した公開鍵証明書で検証する第6のステップと、
    前記署名を検証できた場合で、かつ、前記パス上の前記発行元認証局が前記起点となる任意の認証局でない場合は、当該発行元認証局を前記パス上の新たな発行先認証局として、第6のステップに戻り、前記署名を検証できた場合で、かつ、前記パス上の前記発行元認証局が前記起点となる任意の認証局の場合は、前記検索されたパスを検証されたパスとする第7のステップと、を行うこと
    を特徴とする公開鍵証明書の有効性確認方法。
  2. 請求項1記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記有効性確認ステップにおいて、前記起点となる任意の認証局と前記有効性確認の依頼元が信頼する認証局との間のパス、および、前記起点となる任意の認証局と前記端末収容認証局との間のパスが、前記データベースに登録されているパスに含まれているときに、前記端末収容認証局が発行した公開鍵証明書の有効性が確認されたものと判断すること
    を特徴とする公開鍵証明書の有効性確認方法。
  3. 請求項2記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記有効性確認ステップにおいて、前記有効性確認の依頼元が信頼する認証局が前記起点となる任意の認証局である場合、前記起点となる任意の認証局と前記端末収容認証局との間のパスが、前記データベースに登録されているときに、前記端末収容認証局が発行した公開鍵証明書の有効性が確認されたものと判断すること
    を特徴とする公開鍵証明書の有効性確認方法。
  4. 請求項1乃至3のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記第3のステップにおいて、前記第2のステップで入手した発行先各々について、当該発行先が認証局であり、且つ、当該認証局が既に設定されているパスに含まれている場合、当該認証局を発行先認証局としないこと
    を特徴とする公開鍵証明書の有効性確認方法。
  5. 請求項1乃至4のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記パス検索ステップを前記有効性確認ステップとは独立して実行し、前記パス検証ステップを前記パス検索ステップにより検索されたパスに対して実行し、
    前記コンピュータは、前記パス登録ステップにおいて、前記データベースの登録内容を、前記パス検証ステップで検証できたパスで更新するステップを有すること
    を特徴とする公開鍵証明書の有効性確認方法。
  6. 請求項1乃至5のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、
    前記パス登録ステップにより前記データベースに登録されている各々のパスについて、前記パス上の各認証局が発行した公開鍵証明書各々の有効期限を調べる有効期限調査ステップと、
    前記有効期限調査ステップにより有効期限を過ぎていることが確認された公開鍵証明書の発行元認証局の装置から、当該公開鍵証明書の発行先に対する新たな公開鍵証明書の入手を試みる入手ステップと、
    入手した新たな公開鍵証明書の署名を、前記発行元認証局を前記パス上で発行先の認証局とする認証局の装置が発行した公開鍵証明書で検証するパス再検証ステップと、をさらに行い、
    前記コンピュータは、前記パス登録ステップにおいて、前記パス再検証ステップにて前記新たな公開鍵証明書の署名が検証できなかった場合、あるいは、前記入手ステップにおいて前記新たな公開鍵証明書を入手できなかった場合は、前記有効期限を過ぎていることが確認された公開鍵証明書を含むパスを、前記データベースから削除すること
    を特徴とする公開鍵証明書の有効性確認方法。
  7. 請求項1乃至6のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記パス登録ステップにより前記データベースに登録されている各々のパスについて、前記パス上の各認証局が発行した公開鍵証明書の失効情報を調査する失効情報調査ステップをさらに行い、
    前記パス登録ステップは、前記失効情報調査ステップにおいて得た前記失効情報により失効していることが確認された公開鍵証明書を含むパスを前記データベースから削除すること
    を特徴とする公開鍵証明書の有効性確認方法。
  8. 請求項1乃至6のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記第6のステップにおける公開鍵証明書を失効情報で検証する失効情報調査ステップを行うこと
    を特徴とする公開鍵証明書の有効性確認方法。
  9. 請求項8に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記失効情報調査ステップにおいて、前記パス登録ステップにより前記データベースに登録されている各々のパスについて、
    前記パス上の各認証局が発行した公開鍵証明書の失効情報各々の作成予定日時を過ぎているかを調査する失効情報作成予定日時調査ステップと、
    前記失効情報作成予定日時調査ステップにより、作成日時が過ぎていることが確認された失効情報の発行元認証局の装置から、当該失効情報に対する新たな失効情報を入手する入手ステップと、
    入手した新たな失効情報に記述されている公開鍵証明書が、前記データベースに登録されているか否かを調べる失効証明書調査ステップと、を行い、
    前記コンピュータは、前記パス登録ステップにおいて、前記失効証明書長査ステップにより失効していることが確認された公開鍵証明書を含むパスを前記データベースから削除すること
    を特徴とする公開鍵証明書の有効性確認方法。
  10. 請求項1乃至9のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記有効性確認ステップにおいて、前記起点となる任意の認証局と前記有効性確認の依頼元との間のパスが、前記データベースに登録されている場合でも、前記パス上のいずれかの認証局が発行した公開鍵証明書中に、前記パス上のいずれかの他の認証局を信頼しない旨が記述されている場合は、前記公開鍵証明書の有効性が確認されなかったものと判断すること
    を特徴とする公開鍵証明書の有効性確認方法。
  11. 請求項1乃至10のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記コンピュータは、前記有効性確認ステップにおいて、前記起点となる任意の認証局と前記有効性確認の依頼元との間のパスが、前記データベースに登録されている場合でも、前記パス上のいずれかの認証局が発行した、前記パス上の発行先認証局に対する公開鍵証明書中に記述されている前記パス上の許容最大認証局数が、前記パス上の合計認証局数が超えている場合は、前記公開鍵証明書の有効性が確認されなかったものと判断すること
    を特徴とする公開鍵証明書の有効性確認方法。
  12. 請求項1乃至11のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記公開鍵証明書の有効性確認依頼が、電子手続に要求される信頼度の提示を伴う場合、前記コンピュータは、前記有効性確認ステップにおいて、
    前記起点となる任意の認証局と前記有効性確認の依頼元との間のパスが、前記データベースに登録されている場合でも、前記パス上のいずれかの認証局が発行した、前記パス上の発行先認証局に対する公開鍵証明書中に記述されている信頼度が、前記電子手続に要求される信頼度よりも低い場合は、前記公開鍵証明書の有効性が確認されなかったものと判断すること
    を特徴とする公開鍵証明書の有効性確認方法。
  13. 請求項1乃至12のいずれか1項に記載の公開鍵証明書の有効性確認方法であって、
    前記起点となる任意の認証局は、少なくとも2つのセキュリティドメインのルート認証局各々と相互認証を行っているブリッジ認証局であること
    を特徴とする公開鍵証明書の有効性確認方法。
JP2000261065A 2000-08-30 2000-08-30 証明書の有効性確認方法および装置 Expired - Lifetime JP3588042B2 (ja)

Priority Applications (9)

Application Number Priority Date Filing Date Title
JP2000261065A JP3588042B2 (ja) 2000-08-30 2000-08-30 証明書の有効性確認方法および装置
EP01120564A EP1185027B1 (en) 2000-08-30 2001-08-29 Certificate validity authentication method and apparatus
KR10-2001-0052476A KR100433439B1 (ko) 2000-08-30 2001-08-29 증명서의 유효성 확인 방법 및 장치
DE60107634T DE60107634T2 (de) 2000-08-30 2001-08-29 Verfahren und Vorrichtung zur Authentifizierung der Gültigkeit eines Zertifikats
CA002356410A CA2356410C (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
MYPI20014081 MY127188A (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
US09/941,771 US7080251B2 (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
SG200105266A SG100752A1 (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
US11/452,299 US7409551B2 (en) 2000-08-30 2006-06-14 Certificate validity authentication method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000261065A JP3588042B2 (ja) 2000-08-30 2000-08-30 証明書の有効性確認方法および装置

Publications (3)

Publication Number Publication Date
JP2002072876A JP2002072876A (ja) 2002-03-12
JP3588042B2 true JP3588042B2 (ja) 2004-11-10
JP2002072876A5 JP2002072876A5 (ja) 2004-11-25

Family

ID=18748978

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000261065A Expired - Lifetime JP3588042B2 (ja) 2000-08-30 2000-08-30 証明書の有効性確認方法および装置

Country Status (8)

Country Link
US (2) US7080251B2 (ja)
EP (1) EP1185027B1 (ja)
JP (1) JP3588042B2 (ja)
KR (1) KR100433439B1 (ja)
CA (1) CA2356410C (ja)
DE (1) DE60107634T2 (ja)
MY (1) MY127188A (ja)
SG (1) SG100752A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7856412B2 (en) 2007-01-05 2010-12-21 Fujitsu Limited Reliability evaluation program and reliability evaluation device
US8407150B2 (en) 2006-05-15 2013-03-26 Fujitsu Limited Reliability evaluation device, reliability evaluation method, and computer program product

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1203332A4 (en) 1999-02-12 2002-09-25 Mack Hicks SYSTEM AND METHOD FOR PROVIDING CERTIFICATION-RELATED AND OTHER SERVICES
US20020029200A1 (en) 1999-09-10 2002-03-07 Charles Dulin System and method for providing certificate validation and other services
CA2384242A1 (en) * 1999-09-24 2001-04-05 Mary Mckenney System and method for providing payment services in electronic commerce
US7000105B2 (en) * 2000-09-08 2006-02-14 Identrus, Llc System and method for transparently providing certificate validation and other services within an electronic transaction
EP1325599A1 (en) * 2000-09-08 2003-07-09 Guy S. Tallent System and method for providing authorization and other services
DE60228582D1 (de) * 2001-07-16 2008-10-09 Research In Motion Ltd System und verfahren zur unterstützung von mehreren zertifizierungsbehörden auf einem mobilen kommunikationsgerät
NO20015812A (no) * 2001-11-28 2003-03-10 Telenor Asa Registrering og aktivering av elektroniske sertifikater
DE60318825T2 (de) * 2002-03-20 2009-01-22 Research In Motion Ltd., Waterloo Vorrichtung und verfahren zur unterstützung von mehreren zertifizierungstatusanbietern auf einem mobilen kommunikationsgerät
JP4474845B2 (ja) * 2002-06-12 2010-06-09 株式会社日立製作所 Crl発行通知機能付き認証基盤システム
JP5018849B2 (ja) * 2002-06-12 2012-09-05 株式会社日立製作所 Crl発行通知機能付き認証基盤システム
JP4582030B2 (ja) * 2002-06-12 2010-11-17 株式会社日立製作所 Crl発行通知機能付き認証基盤システム
GB0215590D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
GB0215524D0 (en) 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
JP4698219B2 (ja) * 2002-07-18 2011-06-08 イーオリジナル インコーポレイテッド 認定された文書の電子的送信、保存および読み出しシステム並びに方法
KR100431210B1 (ko) * 2002-08-08 2004-05-12 한국전자통신연구원 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법
KR100453685B1 (ko) * 2002-11-05 2004-10-20 한국전자통신연구원 루트키 검증과 시알엘 선행 검증을 포함하는 변형된인증경로 검증장치및 방법
JP2004214751A (ja) * 2002-12-27 2004-07-29 Hitachi Ltd 証明書経路情報管理システム及び証明書経路管理方法
JP2004234189A (ja) * 2003-01-29 2004-08-19 Mitsubishi Electric Information Systems Corp 署名データ検証支援システム及び署名データ検証支援プログラム
US7308573B2 (en) * 2003-02-25 2007-12-11 Microsoft Corporation Enrolling / sub-enrolling a digital rights management (DRM) server into a DRM architecture
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
JP3894181B2 (ja) * 2003-10-10 2007-03-14 株式会社日立製作所 公開鍵証明書検証の高速化方法、および装置
WO2005052752A2 (en) 2003-11-19 2005-06-09 Corestreet, Ltd. Distributed delegated path discovery and validation
CA2564681C (en) * 2004-04-26 2015-09-22 Bruce H. Johnson Methods and systems for dynamically composing distributed interactive applications from high-level programming languages
US20050278778A1 (en) * 2004-05-28 2005-12-15 D Agostino Anthony Method and apparatus for credential management on a portable device
JP2006074425A (ja) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp 公開鍵証明書検証装置及び公開鍵証明書検証方法及びプログラム
US7788483B1 (en) * 2004-10-22 2010-08-31 Winbond Electronics Corporation Method and apparatus of identifying and enabling of functions of a trusted platform module device
US20060107326A1 (en) * 2004-11-12 2006-05-18 Demartini Thomas Method, system, and device for verifying authorized issuance of a rights expression
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
JP2006287455A (ja) * 2005-03-31 2006-10-19 Nec Corp 証明書検証装置及び方法並びに証明書検証サーバ
JP2006309659A (ja) * 2005-05-02 2006-11-09 Ntt Docomo Inc 電子証明書管理システム
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
JP4694904B2 (ja) * 2005-07-11 2011-06-08 三菱電機株式会社 検証サーバ及び検証プログラム
JP2007049311A (ja) * 2005-08-08 2007-02-22 Konica Minolta Business Technologies Inc 電子証明書検証システム、電子証明書検証装置、クライアント、通信制御方法、およびコンピュータプログラム
CN1968086B (zh) * 2005-11-17 2011-11-09 日电(中国)有限公司 用于通信网络的用户验证系统和方法
JP4890867B2 (ja) * 2006-01-17 2012-03-07 キヤノン株式会社 情報処理装置およびその制御方法
JP4868322B2 (ja) * 2006-02-13 2012-02-01 セイコーインスツル株式会社 情報処理システム、及び情報処理方法
JP5052809B2 (ja) * 2006-03-31 2012-10-17 株式会社エヌ・ティ・ティ・データ 認証システム、認証サーバおよびプログラム
JP4529936B2 (ja) * 2006-04-05 2010-08-25 株式会社日立製作所 公開鍵証明書検証の高速化方法、および装置
JP2008028868A (ja) * 2006-07-24 2008-02-07 Nomura Research Institute Ltd 通信代理システムおよび通信代理装置
US8181227B2 (en) * 2006-08-29 2012-05-15 Akamai Technologies, Inc. System and method for client-side authenticaton for secure internet communications
US7987375B2 (en) * 2006-11-20 2011-07-26 Canon Kabushiki Kaisha Communication apparatus, control method thereof and computer readable medium
JP4488018B2 (ja) * 2007-03-28 2010-06-23 株式会社日立製作所 公開鍵証明書検証システム
JP4985073B2 (ja) 2007-04-19 2012-07-25 富士通株式会社 信頼性評価プログラム、信頼性評価方法および信頼性評価装置
JP4594962B2 (ja) * 2007-06-04 2010-12-08 株式会社日立製作所 検証サーバ、プログラム及び検証方法
US20090038007A1 (en) * 2007-07-31 2009-02-05 Samsung Electronics Co., Ltd. Method and apparatus for managing client revocation list
US8799648B1 (en) * 2007-08-15 2014-08-05 Meru Networks Wireless network controller certification authority
JP5513410B2 (ja) * 2008-01-18 2014-06-04 アイデントラスト, インコーポレイテッド 複数の信頼ドメインへのデジタル証明書のバインディング
US8768843B2 (en) 2009-01-15 2014-07-01 Igt EGM authentication mechanism using multiple key pairs at the BIOS with PKI
KR20100100134A (ko) * 2009-03-05 2010-09-15 한국전자통신연구원 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치
JP5131238B2 (ja) * 2009-03-31 2013-01-30 ブラザー工業株式会社 通信装置及びコンピュータプログラム
JP5452099B2 (ja) 2009-07-01 2014-03-26 株式会社日立製作所 証明書の有効性確認方法、証明書検証サーバ、プログラム及び記憶媒体
CN101674182B (zh) * 2009-09-30 2011-07-06 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
US8327424B2 (en) * 2009-12-22 2012-12-04 Motorola Solutions, Inc. Method and apparatus for selecting a certificate authority
JP5448892B2 (ja) * 2010-02-03 2014-03-19 三菱電機株式会社 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法
JP2011193416A (ja) 2010-03-17 2011-09-29 Hitachi Ltd 証明書の有効性確認方法、検証サーバ、プログラム及び記憶媒体
JP5158125B2 (ja) * 2010-04-20 2013-03-06 株式会社日立製作所 公開鍵証明書の有効性確認方法、プログラムおよび記憶媒体
AU2012210978B2 (en) * 2011-01-28 2015-11-26 Royal Canadian Mint/Monnaie Royal Canadienne Controlled security domains
US8701169B2 (en) 2011-02-11 2014-04-15 Certicom Corp. Using a single certificate request to generate credentials with multiple ECQV certificates
US8539558B2 (en) 2011-08-15 2013-09-17 Bank Of America Corporation Method and apparatus for token-based token termination
US8726361B2 (en) * 2011-08-15 2014-05-13 Bank Of America Corporation Method and apparatus for token-based attribute abstraction
US8752124B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Apparatus and method for performing real-time authentication using subject token combinations
US9055053B2 (en) 2011-08-15 2015-06-09 Bank Of America Corporation Method and apparatus for token-based combining of risk ratings
US8572683B2 (en) 2011-08-15 2013-10-29 Bank Of America Corporation Method and apparatus for token-based re-authentication
US8910290B2 (en) * 2011-08-15 2014-12-09 Bank Of America Corporation Method and apparatus for token-based transaction tagging
US8950002B2 (en) 2011-08-15 2015-02-03 Bank Of America Corporation Method and apparatus for token-based access of related resources
US9253197B2 (en) 2011-08-15 2016-02-02 Bank Of America Corporation Method and apparatus for token-based real-time risk updating
US8806602B2 (en) 2011-08-15 2014-08-12 Bank Of America Corporation Apparatus and method for performing end-to-end encryption
US8789143B2 (en) * 2011-08-15 2014-07-22 Bank Of America Corporation Method and apparatus for token-based conditioning
US9026789B2 (en) * 2011-12-23 2015-05-05 Blackberry Limited Trusted certificate authority to create certificates based on capabilities of processes
JP5346111B2 (ja) * 2012-07-24 2013-11-20 株式会社日立製作所 検証サーバ、プログラム及び検証方法
JP5967822B2 (ja) * 2012-10-12 2016-08-10 ルネサスエレクトロニクス株式会社 車載通信システム及び装置
WO2014074865A2 (en) * 2012-11-09 2014-05-15 Timothy Mossbarger Entity network translation (ent)
DE112013006375T5 (de) * 2013-01-08 2015-10-08 Mitsubishi Electric Corporation Authentifizierungsverarbeitungsvorrichtung, Authentifizierungsverarbeitungssystem, Authentifizierungsverarbeitungsverfahren und Authentifizierungsverarbeitungsprogramm
JP6507854B2 (ja) * 2015-05-28 2019-05-08 株式会社リコー 情報処理システム、情報処理装置、電子証明書の管理方法、及びプログラム
JP7371758B2 (ja) 2020-02-28 2023-10-31 富士通株式会社 制御方法、制御プログラムおよび情報処理装置
JP2021175016A (ja) * 2020-04-20 2021-11-01 株式会社日立製作所 デジタル署名の管理方法、デジタル署名の管理システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69638307D1 (de) 1995-06-05 2011-01-27 Cqrcert Llc Verfahren und Einrichtung zur digitalen Unterschrift in mehreren Schritten
US5745574A (en) * 1995-12-15 1998-04-28 Entegrity Solutions Corporation Security infrastructure for electronic transactions
JPH10215245A (ja) * 1997-01-29 1998-08-11 Nippon Telegr & Teleph Corp <Ntt> 公開鍵認証方法
US5996077A (en) * 1997-06-16 1999-11-30 Cylink Corporation Access control system and method using hierarchical arrangement of security devices
US6226743B1 (en) * 1998-01-22 2001-05-01 Yeda Research And Development Co., Ltd. Method for authentication item
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
JPH11328117A (ja) * 1998-05-14 1999-11-30 Hitachi Ltd 認証システムにおけるユーザ管理方法
JP3971890B2 (ja) * 2000-11-01 2007-09-05 日本電信電話株式会社 署名検証支援装置、署名検証支援方法、及び電子署名検証方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8407150B2 (en) 2006-05-15 2013-03-26 Fujitsu Limited Reliability evaluation device, reliability evaluation method, and computer program product
US7856412B2 (en) 2007-01-05 2010-12-21 Fujitsu Limited Reliability evaluation program and reliability evaluation device

Also Published As

Publication number Publication date
US7409551B2 (en) 2008-08-05
US20020046340A1 (en) 2002-04-18
CA2356410C (en) 2006-08-29
CA2356410A1 (en) 2002-02-28
DE60107634D1 (de) 2005-01-13
KR100433439B1 (ko) 2004-05-31
JP2002072876A (ja) 2002-03-12
EP1185027A3 (en) 2002-11-13
SG100752A1 (en) 2003-12-26
KR20020018113A (ko) 2002-03-07
US20060242413A1 (en) 2006-10-26
US7080251B2 (en) 2006-07-18
EP1185027B1 (en) 2004-12-08
DE60107634T2 (de) 2005-12-08
EP1185027A2 (en) 2002-03-06
MY127188A (en) 2006-11-30

Similar Documents

Publication Publication Date Title
JP3588042B2 (ja) 証明書の有効性確認方法および装置
KR100625154B1 (ko) 공개 키 증명서 검증의 고속화 방법, 및 장치
US8380985B2 (en) Certificate validation method and certificate validation server and storage medium
US8195933B2 (en) Method and system for computing digital certificate trust paths using transitive closures
JP4474845B2 (ja) Crl発行通知機能付き認証基盤システム
JP4790574B2 (ja) 複数の認証書を管理する装置および方法
KR102280061B1 (ko) 블록체인 기반의 did를 이용한 법인 관련 증명서 발급 시스템 및 방법
US20030097566A1 (en) Public key certificate generation method, validation method and apparatus thereof
JP2007110377A (ja) ネットワークシステム
KR100844436B1 (ko) 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템
JP2003348077A (ja) 属性証明書検証方法および装置
JP5036500B2 (ja) 属性証明書管理方法及び装置
JP4529936B2 (ja) 公開鍵証明書検証の高速化方法、および装置
JP3901463B2 (ja) 認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体
JP5158125B2 (ja) 公開鍵証明書の有効性確認方法、プログラムおよび記憶媒体
JP4582030B2 (ja) Crl発行通知機能付き認証基盤システム
JP5018849B2 (ja) Crl発行通知機能付き認証基盤システム
JP2004297639A (ja) 公開鍵証明書の失効情報提供方法、および装置
JP4768338B2 (ja) 証明発行依頼装置および証明発行プログラムおよび証明発行方法
JP2005328407A (ja) 属性証明書検証方法及び装置
JP2003058050A (ja) 検証処理方法及びその実施システム並びにその処理プログラム
JP2001265894A (ja) 病院情報システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20031209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20031209

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20040521

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20040601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040727

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040811

R151 Written notification of patent or utility model registration

Ref document number: 3588042

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070820

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080820

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080820

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090820

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100820

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100820

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110820

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120820

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130820

Year of fee payment: 9

EXPY Cancellation because of completion of term