JP3696445B2 - Public key certificate issuance method, user terminal, authentication center apparatus, and medium storing these programs - Google Patents

Public key certificate issuance method, user terminal, authentication center apparatus, and medium storing these programs Download PDF

Info

Publication number
JP3696445B2
JP3696445B2 JP23825999A JP23825999A JP3696445B2 JP 3696445 B2 JP3696445 B2 JP 3696445B2 JP 23825999 A JP23825999 A JP 23825999A JP 23825999 A JP23825999 A JP 23825999A JP 3696445 B2 JP3696445 B2 JP 3696445B2
Authority
JP
Japan
Prior art keywords
certificate
public key
user terminal
application
common item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP23825999A
Other languages
Japanese (ja)
Other versions
JP2001069137A (en
Inventor
直彦 今枝
宏典 竹内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP23825999A priority Critical patent/JP3696445B2/en
Publication of JP2001069137A publication Critical patent/JP2001069137A/en
Application granted granted Critical
Publication of JP3696445B2 publication Critical patent/JP3696445B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、通信帯域に制限がある通信手段においても公開鍵証明証を発行可能な公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体に関するものである。
【0002】
【従来の技術】
認証機関(認証センタ)(Certification Authority:以下、CAと略す。)を利用したユーザ認証においては、認証センタより、公開鍵とその所有者の結びつきを保証され、該認証センタのディジタル署名を付与された電子証明証、いわゆる公開鍵証明証を基にユーザ認証が実施される。
【0003】
この公開鍵証明証は、認証センタに対し、利用者から公開鍵の登録申請がなされた時点において作成・発行され、有効期限が切れるまで、または秘密鍵が危害を受けることにより無効化されるまで使用される。実際の利用者間(送信者−受信者間)においては、受信者が何らかの通信手段により認証センタが発行した公開鍵証明証を入手し、それを用いて送信者の秘密鍵により作成された署名を検証することによりユーザ認証(送信者認証)を行う。
【0004】
この公開鍵証明証のフォーマットはX.509勧告としてISO/IEC,ITU−T等の標準団体により規定されており、1986年のVersion1の規定以来、Version2,Version3と改訂され、現在は主にVersion3が使用されている。
【0005】
【発明が解決しようとする課題】
現在、公開鍵証明証の有用性は携帯電話等の無線通信の分野においても認められ、この公開鍵証明証を用いたユーザ認証の利用が行われている。
【0006】
しかしながら、現在、主に使用されているX.509 Version3の公開鍵証明証には、基本的に必須のフィールドの集合体である基本部と、ユーザ認証における各処理を円滑にさせるためのフィールドの集合体である拡張部という、2つの大要素からなっており、図1に示すように各大要素内に数多くの要素が存在している。
【0007】
また、拡張部に関しては、使用用途により使用するフィールドを選択可能であり、どのフィールドも使用しないことが可能なものの、基本部に限っては必須フィールド(issuerUniqueIdentfier,subjectUniqueIdentfierフィールドを除く)であり、省略することはできない。図2にX.509 Version3の規定に基づく公開鍵証明証の一例を示す。
【0008】
このように、公開鍵証明証の通信データ量(サイズ)は大きなものであり、無線のような通信速度や通信容量(通信帯域)に制限がある通信手段を用いることが多い環境、例えばモバイル環境においては、認証センタ−利用者間において公開鍵証明証をそのまま通信して発行することは非効率であった。
【0009】
本発明の目的は、通信帯域に制限がある環境においても公開鍵証明証を効率的に発行可能な公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体を提供することにある。
【0010】
【課題を解決するための手段】
本発明は、1)認証センタ側において利用者からの申請書に基づいて公開鍵証明証を作成・検索する際、申請書に含まれないフィールドのみを利用者側に返却し、2)利用者側において認証センタから送信された公開鍵証明証に、各自で作成し認証センタに対して申請した申請書情報を付加して公開鍵証明証を復元し、復元した公開鍵証明証の署名の正当性を確認することにより、認証センタ−利用者間での公開鍵証明証にかかる通信データ量を縮小することを最も主要な特徴とする。
【0011】
従来の技術とは、認証センタ−利用者間において認証センタにて管理している公開鍵証明証を必要な情報のみ送信することにより、その公開鍵証明証にかかる通信量を小さくできるという点が異なる。
【0012】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態について説明する。
【0013】
図3は本発明の装置全体の構成を示すもので、図中、10は利用者の端末装置(利用者端末)、20は認証センタの装置(CA装置)であり、これらは図示しない通信手段により接続される。
【0014】
利用者端末10は、CA装置20が受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段11と、CA装置20に申請した申請書を保持するサービス申請書保持手段12と、CA装置20から証明証を受信した時、サービス申請書保持手段12により保持された申請書から、共通項目定義・設定手段11において定義・設定されている項目を抽出するサービス申請書/証明証共通項目抽出手段13と、サービス申請書/証明証共通項目抽出手段13により抽出された項目に該当するフィールドを受信した証明証に付加して公開鍵証明証を復元するサービス申請書/証明証共通項目付加手段14と、復元した公開鍵証明証の署名を検証するCA署名検証手段15とを備えている。
【0015】
CA装置20は、受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段21と、利用者端末10から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、前記共通項目定義・設定手段21において定義・設定されている項目に該当するフィールドを削除して実際に利用者端末10に送信する公開鍵証明証を作成するサービス申請書/証明証共通項目削除手段22とを備えている。
【0016】
なお、利用者端末10及びCA装置20とも、実際には上記以外の構成を備えているが、ここでは本発明に拘わる部分のみ示すものとする。
【0017】
以下、本発明装置における動作を説明する。
【0018】
(1)CA装置20−利用者端末10間においてやりとりを行う事前作業として、共通項目定義・設定手段11及び21を用いて、CA装置20−利用者端末10の両者において公開鍵登録、公開鍵証明証参照等の各種のサービスにおける申請書と公開鍵証明証とに含まれる各フィールドの共通部分をサービス毎に定義・設定する。
【0019】
(2)利用者端末10において、CA装置20に対し、公開鍵登録、公開鍵証明証参照等のサービス申請を行う際、サービス申請書を作成し、それをCA装置20に対して送信することにより申請を行うが、その際、サービス申請書保持手段12を用いて、CA装置20に対するサービス申請書を保持しておく。
【0020】
(3)CA装置20において、利用者端末10から受け取ったサービス申請書に基づいて公開鍵証明証を作成・検索した後、サービス申請書/証明証共通項目削除手段22を用いて、共通項目定義・設定手段21により設定されたサービス申請書と公開鍵証明証との共通項目に該当するフィールドを、前記作成・検索した公開鍵証明証から削除する。
【0021】
(4)利用者端末10において、CA装置20からサービス申請書/証明証共通項目削除手段22を用いて作成された公開鍵証明証を受け取った後、サービス申請書/証明証共通項目抽出手段13を用いて、(2)においてサービス申請書保持手段12を用いて保持したサービス申請書から共通項目定義・設定手段11で設定されたサービス申請書と公開鍵証明証との共通項目に該当するフィールドを抽出する。
【0022】
(5)サービス申請書/証明証共通項目抽出手段13により抽出したフィールドを、サービス申請書/証明証共通項目付加手段14を用いてCA装置20から受け取った公開鍵証明証に追加し、公開鍵証明証を復元する。
【0023】
(6)CA署名検証手段15を用いてサービス申請書/証明証共通項目付加手段14により復元した公開鍵証明証のCA署名を検証する。
【0024】
本発明は、周知のCPU、メモリ、外部記憶装置等のハードウェアとともに、図4、図5のフローチャートに示される手順を備えたソフトウェア(プログラム)で実現される。ここで、図4は利用者端末を実現するプログラムを示すフローチャート、図5はCA装置を実現するプログラムを示すフローチャートである。
【0025】
以下、図4、図5を用いて本発明の実施の形態をさらに詳細に説明する。
【0026】
(1)共通項目定義・設定処理201
CA装置−利用者端末間においてやりとりを行う事前作業として、CA装置及び利用者端末はE−mailアドレスの設定等の各種設定を行うが、この中でCA装置−利用者端末間における公開鍵証明証のデータ量(サイズ)縮小のための設定として共通項目定義・設定手段11及び21が呼び出され、公開鍵登録、公開鍵証明証参照等の各種のサービスにおける申請書と公開鍵証明証とに含まれる各フィールドの共通部分をサービス毎に定義・設定する。
【0027】
なお、この共通項目定義・設定手段11及び21において定義される共通項目は、CA装置側、即ち共通項目定義・設定手段21において定義・作成されることが望ましく、インターネットのようなPublic世界において利用するCA装置については、インタオペラビリティを考慮し、その共通項目にX.509等の各標準で規定されている公開鍵証明証の拡張要素については含めないことが望ましい。
【0028】
公開鍵登録申請において一般に使用される申請書の規定要素として、例えば図6に示されるPKCS#10があるが、これを用いた際における公開鍵登録サービスの共通項目として定義・設定される項目は、図7中にハッチングで示すように、version(バージョンナンバー),issuer(発行者名)、subject(対象者名)、subjectPublicKeyInfo(CAにより認証される公開鍵情報)になる。
【0029】
なお、この共通項目定義についてはCA装置からテーブルの形で利用者側に配布され、利用者はそのファイルを設定することにより、共通項目定義を意識することなくこの共通項目を自端末に設定することができる。
【0030】
この共通項目定義・設定については、既存のコンピュータ等で一般的に使用されているテーブル作成・参照技術等を使用することにより容易に実現可能である。
【0031】
(2)申請書作成・保持処理202
利用者がCA装置を用いて利用者間でユーザ認証を行う際、利用者(利用者)は何らかの手段により公開鍵証明証を取得し、それを用いることによりユーザ認証を行う。その際、ユーザ認証における一連の処理の中で行われる公開鍵登録、公開鍵証明証参照等においては申請書を用いてCA装置に対してその各サービス申請を行うが、コンピュータにおける申請を行う一連の動作として、サービス申請書保持手段12が呼び出され、各サービス申請時において作成したサービス申請書が利用者端末で保持される。
【0032】
なお、サービス申請書保持手段12の呼び出し及び各サービス申請書保持方法については、既存のコンピュータアプリケーションに組み込まれているモジュール呼び出し機能及びコンピュータに内蔵・外付けされているHDD等の機能を用いることにより実現可能である。
【0033】
(3)公開鍵証明証サイズ縮小処理203
CA装置側において、利用者からの各種サービス申請書の入力31をトリガーにして利用者の欲する公開鍵登録・公開鍵証明証参照等の各種サービス処理が実行され、公開鍵証明証が作成・検索された後、サービス申請書/証明証共通項目削除手段22が呼び出され、共通項目定義・設定手段21により定義・設定されたサービス申請書/証明証共通項目の入力32と公開鍵証明証の入力33をトリガとして、公開鍵証明証に記載されたフィールドから、サービス申請書/証明証共通項目に記載された項目に該当するフィールドを削除し、残りのフィールドにより公開鍵証明証を再構成する。
【0034】
(1)の例を用いるならば、version,issuer,subject,subjectPublicKeyInfoが削除され、特に公開鍵証明証サイズを大きくさせる原因であった公開鍵の実体が格納されるsubjectPublicKeyInfoが削除されることにより、他の要素、即ちversion,issuer,subjectを加えると、1,2個の拡張要素(一般的に世の中のCAにおいて使用されている拡張要素使用数。拡張要素未使用CAも存在する。)を使用していたとしてもその公開鍵証明証のサイズは約半分以下になる。
【0035】
なお、本処理において非常に注意しなければならないことは、作成・検索した公開鍵証明証からサービス申請書/証明証共通項目を削除した後の公開鍵証明証を再構成する際、その公開鍵証明証につけるCA署名は必ず公開鍵証明証を作成・検索した際に署名したCA署名を利用しなければならないことである。もし、ここで新規に証明証を振り直したのならば、利用者からの申請をもとに作成・検索した公開鍵証明証は全く意味をなさないものになり、かつ本発明の能力を発揮することはできなくなる。
【0036】
この公開鍵証明証サイズ縮小処理において用いられる各種サービス処理及び公開鍵証明証からサービス申請書/証明証共通項目を削除する処理については、既存コンピュータに組み込まれている参照機能及びCA装置において一般的に用いられているDelete機能を用いて実現可能である。
【0037】
(4)公開鍵証明証復元処理204
利用者端末において、CA装置から公開鍵証明証サイズ縮小処理203により作成された公開鍵証明証を受け取った際、サービス申請書/証明証共通項目抽出手段13が呼び出され、サービス申請書保持手段12により保持された、利用者がCA装置に対して申請したサービス申請書群の中よりCA装置から受け取った公開鍵証明証に対応するサービス申請書が引き出される(34)とともに、共通項目定義・設定手段11により定義・設定されたサービス申請書/証明証共通項目が入力され(35)、このサービス申請書に記載されたフィールドからサービス申請書/証明証共通項目に該当するフィールドが抽出された後、サービス申請書/証明証共通項目付加手段14が呼び出され、CA装置から受け取った(36)公開鍵証明証(公開鍵証明証サイズ縮小処理によりサービス申請書/証明証共通項目が削除された公開鍵証明証)に対してサービス申請書/証明証共通項目抽出手段13により抽出したフィールドが追加される((1)の例を用いるならば、version,issuer,subject,subjectPublicKeyInfoが追加される。)。
【0038】
その後、CA署名検証手段15が呼び出され、復元した公開鍵証明証のCA署名の正当性を署名検証により確認することによって、CA装置において利用者からの申請をもとに作成・検索した公開鍵証明証と全く同じものが作成される。
【0039】
この公開鍵証明証復元処理において用いられるCA装置から受け取った公開鍵証明証に対応するサービス申請書を検索する処理及びサービス申請書に記載されたフィールドからサービス申請書/証明証共通項目に該当するフィールドを抽出する処理、抽出したフィールドを追加する処理、復元した公開鍵証明証のCA署名検証処理は、既存のコンピュータが一般に所持している検索アルゴリズム及び追加アルゴリズム等を用いることにより達成可能である。
【0040】
【発明の効果】
以上説明したように、本発明によれば、1)認証センタ側において利用者からの申請書に基づいて公開鍵証明証を作成・検索する際、申請書に含まれないフィールドのみを利用者側に返却し、2)利用者側において認証センタから送信された公開鍵証明証に、各自で作成し認証センタに対して申請した申請書情報を付加して公開鍵証明証を復元し、復元した公開鍵証明証の署名の正当性を確認することにより、認証センタにおいて利用者からの申請書に基づいて作成・検索された公開鍵証明証と全く同じものが作成され、これにより認証センタ−利用者間において必要最小限の公開鍵証明証フィールドを送信することが可能になり、その結果として、認証センタ−利用者間での公開鍵証明証にかかる通信データ量を縮小することが可能になり、通信帯域に制限がある環境においても公開鍵証明証を効率的に発行可能となる。
【図面の簡単な説明】
【図1】X.509 Version3に規定された公開鍵証明証の要素を示す図
【図2】X.509 Version3の規定に基づく公開鍵証明証の一例を示す図
【図3】本発明の装置全体を示す構成図
【図4】本発明の利用者の端末装置を実現するプログラムを示すフローチャート
【図5】本発明の認証センタを実現するプログラムを示すフローチャート
【図6】公開鍵登録申請書(PKCS#10)の規定要素を示す図
【図7】X.509 Version3の規定に基づく公開鍵証明証における省略可能な共通項目の一例を示す図
【符号の説明】
10:利用者端末、11,21:共通項目定義・設定手段、12:サービス申請書保持手段、13:サービス申請書/証明証共通項目抽出手段、14:サービス申請書/証明証共通項目付加手段、15:CA署名検証手段、20:CA装置、22:サービス申請書/証明証共通項目削除手段、201:共通項目定義・設定処理、202:サービス申請書作成・保持処理、203:公開鍵証明証サイズ縮小処理、204:公開鍵証明証復元処理。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a public key certificate issuance method capable of issuing a public key certificate even in communication means with a limited communication band, a user terminal, an authentication center apparatus , and a medium on which these programs are recorded.
[0002]
[Prior art]
In user authentication using a certification authority (Certification Authority: hereinafter abbreviated as CA), a connection between a public key and its owner is guaranteed by the authentication center, and a digital signature of the authentication center is given. User authentication is performed based on the electronic certificate, so-called public key certificate.
[0003]
This public key certificate is created and issued at the time the user applies for registration of the public key to the authentication center, until it expires or until the private key is invalidated due to harm used. Between actual users (between the sender and the receiver), the receiver obtains a public key certificate issued by the authentication center through some communication means, and uses it to create a signature created with the private key of the sender By performing verification, user authentication (sender authentication) is performed.
[0004]
The format of this public key certificate is X. It is defined by standard organizations such as ISO / IEC and ITU-T as a 509 recommendation. Since the definition of Version 1 in 1986, it has been revised to Version 2 and Version 3, and Version 3 is mainly used at present.
[0005]
[Problems to be solved by the invention]
Currently, the utility of public key certificates is recognized in the field of wireless communications such as mobile phones, and user authentication using such public key certificates is being used.
[0006]
However, currently used X.X. 509 Version 3 public key certificate has two major elements: a basic part which is basically a collection of essential fields and an extension part which is a collection of fields for facilitating each process in user authentication. As shown in FIG. 1, there are many elements in each large element.
[0007]
In addition, although the field to be used can be selected depending on the intended use and any field can be not used for the extension part, it is a mandatory field (except for the issueUniqueIdentifier and subjectIdentifier fields) only in the basic part, and is omitted. I can't do it. In FIG. 509 shows an example of a public key certificate based on the provisions of Version 3.
[0008]
As described above, the communication data amount (size) of the public key certificate is large, and an environment in which communication means such as wireless communication with limited communication speed or communication capacity (communication bandwidth) is often used, such as a mobile environment. However, it is inefficient to communicate and issue a public key certificate as it is between the authentication center and the user.
[0009]
An object of the present invention is to provide a public key certificate issuance method, a user terminal, an authentication center apparatus , and a medium on which these programs are recorded, which can efficiently issue a public key certificate even in an environment where the communication band is limited. It is to provide.
[0010]
[Means for Solving the Problems]
In the present invention, 1) when a public key certificate is created and searched based on an application form from a user on the authentication center side, only the fields not included in the application form are returned to the user side, and 2) the user The public key certificate sent by the authentication center is added to the public key certificate created and applied to the authentication center by itself to restore the public key certificate, and the signature of the restored public key certificate is valid. The main feature is to reduce the amount of communication data related to the public key certificate between the authentication center and the user by confirming the authenticity.
[0011]
The conventional technique is that the communication amount of the public key certificate can be reduced by transmitting only necessary information of the public key certificate managed by the authentication center between the authentication center and the user. different.
[0012]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0013]
FIG. 3 shows the configuration of the entire apparatus of the present invention. In the figure, 10 is a user terminal device (user terminal), 20 is an authentication center device (CA device), and these are communication means not shown. Connected by
[0014]
The user terminal 10 includes a common item definition / setting unit 11 that defines and sets common items for the application and certificate for each service accepted by the CA device 20, and a service application that holds the application filed to the CA device 20. Service that extracts the items defined and set in the common item definition / setting unit 11 from the application held by the service application holding unit 12 when the certificate is received from the certificate holding unit 12 and the CA device 20 Service application for restoring the public key certificate by adding the application / certificate common item extracting means 13 and the field corresponding to the item extracted by the service application / certificate common item extracting means 13 to the received certificate. Certificate / certificate common item adding means 14 and CA signature verification means 15 for verifying the signature of the restored public key certificate.
[0015]
The CA device 20 includes a common item definition / setting unit 21 for defining / setting common items for the application and certificate for each service to be accepted, and a public key created / searched based on the application received from the user terminal 10 A service application / certificate for creating a public key certificate that is actually transmitted to the user terminal 10 by deleting the field corresponding to the item defined / set in the common item definition / setting means 21 from the certificate Common item deletion means 22.
[0016]
Note that both the user terminal 10 and the CA device 20 are actually provided with configurations other than those described above, but only the portions related to the present invention are shown here.
[0017]
Hereinafter, the operation of the apparatus of the present invention will be described.
[0018]
(1) Public key registration and public key in both the CA device 20 and the user terminal 10 using the common item definition / setting means 11 and 21 as a pre-operation for exchanging between the CA device 20 and the user terminal 10 A common part of each field included in the application form and public key certificate for various services such as certificate reference is defined and set for each service.
[0019]
(2) When the user terminal 10 makes a service application such as public key registration and public key certificate reference to the CA device 20, a service application is created and transmitted to the CA device 20. In this case, the service application form holding means 12 is used to hold the service application form for the CA device 20.
[0020]
(3) After the CA device 20 creates and retrieves the public key certificate based on the service application received from the user terminal 10, the service application / certificate common item deletion means 22 is used to define the common item. Delete the field corresponding to the common item between the service application form set by the setting means 21 and the public key certificate from the created / searched public key certificate.
[0021]
(4) At the user terminal 10, after receiving the public key certificate created using the service application / certificate common item deletion means 22 from the CA device 20, the service application / certificate common item extraction means 13 The field corresponding to the common item of the service application and public key certificate set by the common item definition / setting unit 11 from the service application held by using the service application holding unit 12 in (2) To extract.
[0022]
(5) The field extracted by the service application / certificate common item extracting means 13 is added to the public key certificate received from the CA device 20 using the service application / certificate common item adding means 14, and the public key Restore the certificate.
[0023]
(6) The CA signature of the public key certificate restored by the service application / certificate common item adding means 14 is verified using the CA signature verification means 15.
[0024]
The present invention is realized by software (program) having the procedures shown in the flowcharts of FIGS. 4 and 5 together with hardware such as a well-known CPU, memory, and external storage device. Here, FIG. 4 is a flowchart showing a program for realizing the user terminal, and FIG. 5 is a flowchart showing a program for realizing the CA device.
[0025]
Hereinafter, embodiments of the present invention will be described in more detail with reference to FIGS.
[0026]
(1) Common item definition / setting processing 201
As pre-work to be exchanged between the CA device and the user terminal, the CA device and the user terminal make various settings such as the setting of an E-mail address. Among them, the public key certification between the CA device and the user terminal is performed. Common item definition / setting means 11 and 21 are called as settings for reducing the data amount (size) of the certificate, and are used for application forms and public key certificates in various services such as public key registration and public key certificate reference. Define and set the common part of each included field for each service.
[0027]
The common items defined by the common item definition / setting means 11 and 21 are preferably defined / created by the CA device, that is, the common item definition / setting means 21, and are used in the public world such as the Internet. For CA devices that perform interoperability, X. It is desirable not to include the public key certificate extension elements defined in each standard such as 509.
[0028]
For example, there is a PKCS # 10 shown in FIG. 6 as a defining element of an application form that is generally used in public key registration applications. The items defined and set as common items of the public key registration service when using this are as follows. As shown by hatching in FIG. 7, version (version number), issuer (issuer name), subject (target person name), and publicPublicKeyInfo (public key information authenticated by CA).
[0029]
The common item definition is distributed from the CA device to the user in the form of a table, and the user sets the common item definition in the terminal without being aware of the common item definition by setting the file. be able to.
[0030]
This common item definition / setting can be easily realized by using a table creation / reference technique or the like generally used in an existing computer or the like.
[0031]
(2) Application creation / retention processing 202
When a user performs user authentication between users using a CA device, the user (user) obtains a public key certificate by some means and performs user authentication by using it. At that time, in public key registration, public key certificate reference, etc. performed in a series of processes in user authentication, each service application is made to the CA device using an application form. As an operation, the service application holding means 12 is called, and the service application created at the time of each service application is held in the user terminal.
[0032]
In addition, about the calling of the service application holding means 12 and each service application holding method, the module calling function built in the existing computer application and the function such as HDD built in / external to the computer are used. It is feasible.
[0033]
(3) Public key certificate size reduction processing 203
On the CA device side, various service processes such as public key registration and public key certificate reference desired by the user are executed using the input 31 of various service applications from the user as a trigger, and a public key certificate is created and searched. After that, the service application / certificate common item deletion means 22 is called, and the input 32 of the service application / certificate common item defined and set by the common item definition / setting means 21 and the input of the public key certificate Using the field 33 as a trigger, the field corresponding to the item described in the service application form / certificate common item is deleted from the field described in the public key certificate, and the public key certificate is reconfigured with the remaining fields.
[0034]
If the example of (1) is used, version, issuer, subject, and subjectPublicKeyInfo are deleted, and in particular, the subjectPublicKeyInfo that stores the entity of the public key that caused the public key certificate size to increase is deleted. When other elements, that is, version, issuer, and subject are added, one or two extension elements (the number of extension element uses generally used in CA in the world. Extension element unused CAs also exist) are used. Even so, the size of the public key certificate is about half or less.
[0035]
It should be noted that in this processing, when reconfiguring the public key certificate after deleting the service application form / certificate common item from the created / searched public key certificate, the public key The CA signature attached to the certificate means that the CA signature signed when the public key certificate is created and searched must be used. If a new certificate is reassigned here, the public key certificate created and searched based on the application from the user will not make any sense, and will demonstrate the capabilities of the present invention. You can't do that.
[0036]
The various service processes used in the public key certificate size reduction process and the process of deleting the service application / certificate common item from the public key certificate are common in the reference function and CA apparatus incorporated in the existing computer. This can be realized by using the Delete function used in the above.
[0037]
(4) Public key certificate restoration processing 204
When the user terminal receives the public key certificate created by the public key certificate size reduction processing 203 from the CA device, the service application / certificate common item extraction unit 13 is called and the service application holding unit 12 The service application corresponding to the public key certificate received from the CA device is drawn out of the service application group that the user applied to the CA device held by (34), and common item definition / setting After the service application / certificate common item defined and set by means 11 is input (35), and the field corresponding to the service application / certificate common item is extracted from the fields described in this service application The service application / certificate common item adding means 14 is called and received from the CA device (36) Public key certificate (public) The field extracted by the service application / certificate common item extraction means 13 is added to the public key certificate from which the service application / certificate common item has been deleted by the certificate size reduction process (in (1)). If an example is used, version, issuer, subject, and subjectPublicKeyInfo are added.)
[0038]
Thereafter, the CA signature verification means 15 is called, and the public key created and searched based on the application from the user in the CA device by confirming the validity of the CA signature of the restored public key certificate by signature verification. The exact same certificate is created.
[0039]
Corresponds to the service application / certificate common item from the process described in the process for retrieving the service application corresponding to the public key certificate received from the CA device used in the public key certificate restoration process and the field described in the service application. The process of extracting the field, the process of adding the extracted field, and the CA signature verification process of the restored public key certificate can be achieved by using a search algorithm and an additional algorithm generally possessed by existing computers. .
[0040]
【The invention's effect】
As described above, according to the present invention, when the public key certificate is created and searched based on the application form from the user on the authentication center side, only the fields not included in the application form are stored on the user side. 2) Restore the public key certificate by adding the application information created and applied to the authentication center to the public key certificate sent from the authentication center on the user side. By confirming the validity of the signature of the public key certificate, the same certificate as the public key certificate created and searched based on the application from the user in the authentication center is created. As a result, it is possible to reduce the amount of communication data related to the public key certificate between the authentication center and the user. It becomes possible to issue a public key certificate efficiently in environments with limited communication band.
[Brief description of the drawings]
FIG. 509 is a diagram showing elements of a public key certificate specified in Version 3; FIG. 509 is a diagram showing an example of a public key certificate based on the provisions of version 3; FIG. 3 is a block diagram showing the entire apparatus of the present invention; FIG. FIG. 6 is a flowchart showing a program for realizing the authentication center of the present invention. FIG. 6 is a diagram showing prescribed elements of a public key registration application form (PKCS # 10). 509 Diagram showing an example of common items that can be omitted in public key certificates based on the provisions of Version 3
10: User terminal, 11, 21: Common item definition / setting means, 12: Service application holding means, 13: Service application / certificate common item extracting means, 14: Service application / certificate common item adding means 15: CA signature verification means, 20: CA device, 22: Service application / certificate common item deletion means, 201: Common item definition / setting process, 202: Service application creation / holding process, 203: Public key certification Certificate size reduction processing, 204: Public key certificate restoration processing.

Claims (5)

申請書をもって公開鍵の登録・証明証参照等のサービスを申請した利用者端末に対し、認証センタ装置が署名を施した公開鍵証明証を発行する公開鍵証明証の発行方法において、
共通項目定義・設定手段、サービス申請書保持手段、サービス申請書/証明証共通項目抽出手段、サービス申請書/証明証共通項目付加手段及び署名検証手段を備えた利用者端末と、共通項目定義・設定手段及びサービス申請書/証明証共通項目削除手段を備えた認証センタ装置とを用い、
認証センタ装置が受け付けるサービス毎の申請書と証明証との共通項目を予め認証センタ装置の共通項目定義・設定手段−利用者端末の共通項目定義・設定手段間で定義・設定しておき、
利用者端末側でのサービス申請時には、利用者端末のサービス申請書保持手段に申請書を保持させておき、
認証センタ装置側でのサービス実行時には、利用者端末側から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、認証センタ装置のサービス申請書/証明証共通項目削除手段により、前記定義・設定した項目に該当するフィールドを削除して実際に利用者端末側に送信する公開鍵証明証を作成し、
利用者端末側での証明証受信時には、利用者端末のサービス申請書/証明証共通項目抽出手段により、前記保持した申請書から前記定義・設定した申請書と証明証との共通項目を抽出し、
利用者端末のサービス申請書/証明証共通項目付加手段により、該抽出した項目に該当するフィールドを、受信した公開鍵証明証に付加することにより公開鍵証明証を復元し、
利用者端末の署名検証手段により、復元した公開鍵証明証の署名を検証して公開鍵証明証の正当性を確認する
ことを特徴とする公開鍵証明証の発行方法。In the public key certificate issuance method for issuing a public key certificate signed by the authentication center device to a user terminal that has applied for a service such as public key registration / certificate reference with an application form,
User terminal having common item definition / setting means, service application holding means, service application / certificate common item extraction means, service application / certificate common item adding means and signature verification means, and common item definition / Using an authentication center device provided with setting means and service application / certificate common item deletion means,
The common items of the application and certificate for each service accepted by the authentication center device are defined and set in advance between the common item definition / setting means of the authentication center device and the common item definition / setting means of the user terminal ,
When applying for service on the user terminal side, keep the application form in the service application form holding means of the user terminal ,
When executing a service on the authentication center device side, the above-mentioned definition is performed by the service application form / certificate common item deletion means of the authentication center device from the public key certificate created / searched based on the application received from the user terminal side.・ Delete the field corresponding to the set item and create a public key certificate that is actually sent to the user terminal .
When receiving the certificate on the user terminal side, the service application form / certificate common item extraction means of the user terminal extracts the common items of the defined and set application form and certificate from the held application form. ,
The service application form / certificate common item adding means of the user terminal restores the public key certificate by adding the field corresponding to the extracted item to the received public key certificate,
A method for issuing a public key certificate, characterized in that the signature of the restored public key certificate is verified by the signature verification means of the user terminal to confirm the validity of the public key certificate. 申請書をもって公開鍵の登録・証明証参照等のサービスを認証センタ装置に申請する利用者端末であって、
認証センタ装置が受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
認証センタ装置に申請した申請書を保持するサービス申請書保持手段と、
認証センタ装置から証明証を受信した時、サービス申請書保持手段により保持された申請書から、共通項目定義・設定手段において定義・設定されている項目を抽出するサービス申請書/証明証共通項目抽出手段と、
サービス申請書/証明証共通項目抽出手段により抽出された項目に該当するフィールドを、受信した証明証に付加して公開鍵証明証を復元するサービス申請書/証明証共通項目付加手段と、
復元した公開鍵証明証の署名を検証する署名検証手段とを備えた
ことを特徴とする利用者端末A user terminal that applies to the authentication center device for services such as public key registration and certificate reference with an application,
A common item definition / setting means for defining / setting common items for the application and certificate for each service accepted by the authentication center device ;
A service application holding means for holding an application submitted to the authentication center device ;
Service application / certificate common item extraction that extracts the items defined and set in the common item definition / setting means from the application form held by the service application form holding means when the certificate is received from the authentication center device Means,
A service application / certificate common item adding means for restoring the public key certificate by adding a field corresponding to the item extracted by the service application / certificate common item extracting means to the received certificate;
A user terminal comprising signature verification means for verifying a signature of a restored public key certificate. 申請書をもって公開鍵の登録・証明証参照等のサービスを申請した利用者端末に対し、署名を施した公開鍵証明証を発行する認証センタ装置であって、
受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
利用者端末から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、前記共通項目定義・設定手段において定義・設定されている項目に該当するフィールドを削除して実際に利用者端末に送信する公開鍵証明証を作成するサービス申請書/証明証共通項目削除手段とを備えた
ことを特徴とする認証センタ装置An authentication center device that issues a signed public key certificate to a user terminal that has applied for a service such as public key registration / certificate reference with an application,
Common item definition / setting means for defining / setting common items for the application and certificate for each accepted service,
From the public key certificate created / searched based on the application received from the user terminal, the field corresponding to the item defined / set in the common item definition / setting means is deleted and the user terminal is actually used. An authentication center apparatus comprising a service application form / certificate common item deletion means for creating a public key certificate to be transmitted. 申請書をもって公開鍵の登録・証明証参照等のサービスを認証センタ装置に申請する利用者端末のプログラムを記録した媒体において、
前記プログラムはコンピュータに読み取られた際、このコンピュータを、
認証センタ装置が受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
認証センタ装置に申請した申請書を保持するサービス申請書保持手段と、
認証センタ装置から証明証を受信した時、サービス申請書保持手段により保持された申請書から、共通項目定義・設定手段において定義・設定されている項目を抽出するサービス申請書/証明証共通項目抽出手段と、
サービス申請書/証明証共通項目抽出手段により抽出された項目に該当するフィールドを、受信した証明証に付加して公開鍵証明証を復元するサービス申請書/証明証共通項目付加手段と、
復元した公開鍵証明証の署名を検証する署名検証手段として機能させる
プログラムを記録したことを特徴とする媒体。In the medium that records the program of the user terminal that applies to the authentication center device for services such as public key registration and certificate reference with the application form,
When the program is read by a computer,
A common item definition / setting means for defining / setting common items for the application and certificate for each service accepted by the authentication center device ;
A service application holding means for holding an application submitted to the authentication center device ;
Service application / certificate common item extraction that extracts the items defined and set in the common item definition / setting means from the application form held by the service application form holding means when the certificate is received from the authentication center device Means,
A service application / certificate common item adding means for restoring the public key certificate by adding a field corresponding to the item extracted by the service application / certificate common item extracting means to the received certificate;
A medium in which a program for functioning as a signature verification means for verifying a signature of a restored public key certificate is recorded. 申請書をもって公開鍵の登録・証明証参照等のサービスを申請した利用者端末に対し、署名を施した公開鍵証明証を発行する認証センタ装置のプログラムを記録した媒体において、
前記プログラムはコンピュータに読み取られた際、このコンピュータを、
受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
利用者端末から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、前記共通項目定義・設定手段において定義・設定されている項目に該当するフィールドを削除して実際に利用者端末に送信する公開鍵証明証を作成するサービス申請書/証明証共通項目削除手段として機能させる
プログラムを記録したことを特徴とする媒体。In the medium that records the program of the authentication center device that issues the signed public key certificate to the user terminal that has applied for services such as public key registration and certificate reference with the application form,
When the program is read by a computer,
Common item definition / setting means for defining / setting common items for the application and certificate for each accepted service,
From the public key certificate created / searched based on the application received from the user terminal, the field corresponding to the item defined / set in the common item definition / setting means is deleted and the user terminal is actually used. A medium in which a program that functions as means for deleting a service application / certificate common item for creating a public key certificate to be transmitted is recorded.
JP23825999A 1999-08-25 1999-08-25 Public key certificate issuance method, user terminal, authentication center apparatus, and medium storing these programs Expired - Lifetime JP3696445B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP23825999A JP3696445B2 (en) 1999-08-25 1999-08-25 Public key certificate issuance method, user terminal, authentication center apparatus, and medium storing these programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP23825999A JP3696445B2 (en) 1999-08-25 1999-08-25 Public key certificate issuance method, user terminal, authentication center apparatus, and medium storing these programs

Publications (2)

Publication Number Publication Date
JP2001069137A JP2001069137A (en) 2001-03-16
JP3696445B2 true JP3696445B2 (en) 2005-09-21

Family

ID=17027532

Family Applications (1)

Application Number Title Priority Date Filing Date
JP23825999A Expired - Lifetime JP3696445B2 (en) 1999-08-25 1999-08-25 Public key certificate issuance method, user terminal, authentication center apparatus, and medium storing these programs

Country Status (1)

Country Link
JP (1) JP3696445B2 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001305956A (en) * 2000-04-26 2001-11-02 Nippon Telegr & Teleph Corp <Ntt> Method for issuing open key certificate and authentication station, user terminal and recording medium with program recored thereon
WO2002102009A2 (en) 2001-06-12 2002-12-19 Research In Motion Limited Method for processing encoded messages for exchange with a mobile data communication device
JP3926792B2 (en) 2001-06-12 2007-06-06 リサーチ イン モーション リミテッド System and method for compressing secure email for exchange with mobile data communication devices
NO314379B1 (en) * 2001-11-28 2003-03-10 Telenor Asa Registration and activation of electronic certificates
WO2003049358A1 (en) * 2001-11-29 2003-06-12 Morgan Stanley A method and system for authenticating digital certificates
WO2004100444A1 (en) * 2003-05-09 2004-11-18 Fujitsu Limited Signature reliability verification method, signature reliability verification program, and data communication system
JP4639732B2 (en) * 2004-09-30 2011-02-23 凸版印刷株式会社 Electronic certificate editing program and method, and IC card
AU2019379062A1 (en) * 2018-11-16 2021-06-10 Microsec Pte Ltd Method and architecture for securing and managing networks of embedded systems with optimised public key infrastructure

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07160198A (en) * 1993-12-03 1995-06-23 Fujitsu Ltd Public key registration method of cipher communication and issuing bureau of public key certificate
JPH09307544A (en) * 1996-05-16 1997-11-28 Nippon Telegr & Teleph Corp <Ntt> Portable ciphering key verification system
JPH118619A (en) * 1997-06-18 1999-01-12 Hitachi Ltd Electronic certificate publication method and system therefor
JP3617789B2 (en) * 1999-05-26 2005-02-09 株式会社エヌ・ティ・ティ・データ Public key certificate issuance method, verification method, system, and recording medium
JP2001036521A (en) * 1999-07-22 2001-02-09 Ntt Data Corp Electronic certificate issue system, electronic certificate authentication system, method for issuing electronic certificate, method for authenticating electronic certificate and recording medium

Also Published As

Publication number Publication date
JP2001069137A (en) 2001-03-16

Similar Documents

Publication Publication Date Title
US8813243B2 (en) Reducing a size of a security-related data object stored on a token
CN1983227B (en) Removable computer with mass storage
US7844579B2 (en) System and method for manipulating and managing computer archive files
US8959582B2 (en) System and method for manipulating and managing computer archive files
US6839437B1 (en) Method and apparatus for managing keys for cryptographic operations
US20060143250A1 (en) System and method for manipulating and managing computer archive files
US20060173848A1 (en) System and method for manipulating and managing computer archive files
US20060143714A1 (en) System and method for manipulating and managing computer archive files
TW552786B (en) Method and system for remote activation and management of personal security devices
US8230482B2 (en) System and method for manipulating and managing computer archive files
US20120265988A1 (en) Dual interface device for access control and a method therefor
US20060143180A1 (en) System and method for manipulating and managing computer archive files
JP3696445B2 (en) Public key certificate issuance method, user terminal, authentication center apparatus, and medium storing these programs
CN104281272A (en) Password input processing method and device
CN109388923B (en) Program execution method and device
US20060143252A1 (en) System and method for manipulating and managing computer archive files
JP4105552B2 (en) Non-repudiation method using cryptographic signature in small devices
US20060143199A1 (en) System and method for manipulating and managing computer archive files
JP4106875B2 (en) Electronic device, information update system in electronic device, information update method and program thereof
US20060155788A1 (en) System and method for manipulating and managing computer archive files
CN103425936B (en) A kind of method realizing data confidentiality and electronic equipment
JP3327377B2 (en) Public Key Certificate Management Method in Authentication System
EP3681097A1 (en) Secret information restorable value distribution system and method
WO2022100658A1 (en) Method and system for changing key in security module
US20060143237A1 (en) System and method for manipulating and managing computer archive files

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050315

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050628

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050629

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080708

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090708

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090708

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100708

Year of fee payment: 5