JP3726259B2 - 公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 - Google Patents
公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 Download PDFInfo
- Publication number
- JP3726259B2 JP3726259B2 JP04062499A JP4062499A JP3726259B2 JP 3726259 B2 JP3726259 B2 JP 3726259B2 JP 04062499 A JP04062499 A JP 04062499A JP 4062499 A JP4062499 A JP 4062499A JP 3726259 B2 JP3726259 B2 JP 3726259B2
- Authority
- JP
- Japan
- Prior art keywords
- public key
- time
- key certificate
- certificate
- time difference
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、認証システム(Certification Authority :以下、単にCAとも記す)を利用した利用者間通信における公開鍵証明証の有効性確認方法および装置と公開鍵証明証の有効性確認プログラムを記録した記録媒体に関するものである。
【0002】
【従来の技術】
従来、認証システムに公開鍵を登録する利用者は、証明証発行時点では証明証は有効期限まで使用する意図で発行してもらう。しかし、以下のような種々の条件により有効期限以前に証明証が無効になることがある。
【0003】
▲1▼ユーザ自身の氏名の変更による場合
▲2▼被証明者と認証システムとの関係に変化が生じた場合(例えば、アクセス権の変更を伴うような身分変更、異動、退職、転職)
▲3▼証明証に対応する秘密鍵が危害を受けた場合
が想定される。
【0004】
このような場合、認証システムはその証明証を無効化し、何らかの方法で利用者に対してその証明証の無効化を知らせることにより、利用者はその証明証の有効性確認を行う必要がある。
【0005】
従来、利用者が送信者から送信された証明証の有効性を確認する方法(証明証有効性確認方法)としては、認証システムが定期的に(例) 2回/1日などの割合(このペースは認証システムにより任意))事前作成し、レポジトリに保管している“CRL(Certificate Revocation List )”と呼ばれる有効期間中に無効になったすべての証明証(以後、失効証明証と呼ぶ)のシリアル番号をリストしたものを利用者が何らかの方法(認証システムが定期的に利用者に配信する、もしくは利用者が認証システムにアクセスすることで取得する)で取得し、そのCRLに利用者の有効性確認を行いたい証明証情報がないことを確認することにより証明証の有効性確認を行うといった方法が用いられてきた。
【0006】
そのため、通信相手が異なる認証システムに登録している状況において、従来方法である認証システムが事前作成したCRLを利用者が何らかの方法により取得し、そのCRLを参照することにより証明証の有効性確認を行う方法を用いる場合、証明証の有効性確認は相手認証システムが発行するCRLにより行うことになる。
【0007】
【発明が解決しようとする課題】
しかしながら、CRLによる公開鍵証明証の有効性確認方法には、図6のように認証システムにおいてCRLが作成・発行される間に証明証無効化が起こった場合、実際の証明証の有効性とCRLの間に差異ができるために、利用者が知りたい証明証の状態は、実際には無効化されているにもかかわらず、利用者はその情報を確認することはできないといった時間差(Time-delay)と呼ばれる間隔が存在していた。さらに、そのCRLの発行期間は各認証システムにより独自に規定されているため、以下のような問題が存在した。
【0008】
(1) CRLの発行期間が長い認証システムに登録する利用者と通信を行う場合、CRLの発行期間が短い認証システムに登録する利用者にとっては、同じ認証システムに登録する利用者との通信における公開鍵証明証の有効性確認より時間差の長い公開鍵証明証の有効性確認を行うことになる。
【0009】
(2) 1人の利用者が数多くの通信相手を持ち、かつそれらの通信相手がそれぞれ異なる認証システムに登録している場合、各通信相手ごとにCRL発行間隔の異なる公開鍵証明証の有効性確認を行う必要があり、利用者は各通信相手の登録する認証システムのCRL発行間隔を管理しておく必要がある。
【0010】
本発明は、上記課題に鑑みてなされたもので、利用者側で予め設定した一つの値と公開鍵証明証に付与された値との比較を行うことにより、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体を提供することを目的とする。
【0011】
【課題を解決するための手段】
前述した目的を達成するために、請求項1記載の本発明は、公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を前記公開鍵証明証を受信する利用者側装置が確認する公開鍵証明証の有効性確認方法であって、前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記利用者側装置が当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段を呼び出して前記時間差許容値を設定するステップと、前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるステップと、予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うステップとからなることを要旨とする。
【0012】
請求項1記載の本発明によれば、利用者(送信者)が所望の公開鍵証明証を取得する際、公開鍵証明証には取得した証明証取得日時、すなわち既に認証システムに登録され、なおかつ有効期間内にある公開鍵証明証を送信者装置に対して提供した日時が付与されており、この公開鍵証明証を受信した利用者側装置は、証明証取得日時から実際にその公開鍵証明証を受信した日時までの差であるタイムスタンプ時間差値と有効性確認のために許容しうるタイムスタンプ時間差値として予め設定される時間差許容値との間の大小関係に応じて公開鍵証明証の有効性確認を行う演算を実行することにより、利用者側装置自身での各認証システムのCRL発行間隔の管理を不要とし、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認方法を提供することができる。
【0013】
また、請求項2記載の本発明は、公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を確認する公開鍵証明証の有効性確認装置における利用者側装置であって、前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記利用者側装置が当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段と、前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるタイムスタンプ時間差値計数手段と、予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うタイム時間差値比較手段とを備えたことを要旨とする。
【0014】
請求項2記載の本発明によれば、受信した公開鍵証明証に付与された証明証取得日時から実際にその公開鍵証明証を受信した日時までの差であるタイムスタンプ時間差値と有効性確認のために許容しうるタイムスタンプ時間差値として予め設定される時間差許容値の間の大小関係に応じて公開鍵証明証の有効性確認を行う演算を実行する利用者側装置を提供することにより、この利用者側装置自身での各認証システムのCRL発行間隔の管理を不要とし、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認処理を実現することができる。
【0015】
また、請求項3記載の本発明は、公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を確認するために、コンピュータを、前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記コンピュータが当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段、前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるタイムスタンプ時間差値計数手段、予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うタイム時間差値比較手段、として機能させるための公開鍵証明証の有効性確認プログラムを記録したことを要旨とする。
【0016】
請求項3記載の本発明によれば、受信した公開鍵証明証に付与された証明証取得日時から実際にその公開鍵証明証を受信した日時までの差であるタイムスタンプ時間差値と有効性確認のために許容しうるタイムスタンプ時間差値として予め設定される時間差許容値の間の大小関係に応じて公開鍵証明証の有効性確認を行う演算をコンピュータに実行させるための有効性確認プログラムを記録した記録媒体を提供することにより、各認証システムのCRL発行間隔の管理を不要とし、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことのできる公開鍵証明証の有効性確認プログラムを広く流通させることが可能になる。
【0023】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態について説明する。
【0024】
図1は本発明の一実施の形態に係る公開鍵証明証の有効性確認装置の構成を示すブロック図である。
【0025】
図1に示すように、本実施形態における公開鍵証明証の有効性確認装置は、利用者(受信者)側装置と認証システム側装置により構成される。また、利用者(受信者)側装置は時間差許容値設定手段1、タイムスタンプ時間差値計数手段5およびタイムスタンプ時間差値比較手段6により構成され、認証システム側装置は証明証検索手段2、証明証取得日時作成手段3および証明証取得日時記載手段4により構成される。
【0026】
次に、図1を参照して本実施形態における各手段の作用を処理手順に従って説明する。
【0027】
まず、利用者(受信者)側における各利用者と通信を行う事前作業として、利用者(受信者)は時間差許容値設定手段1を用いて、公開鍵証明証発行日からの時間差(Time-delay)をどの程度まで許容するのか時間差許容値を設定する。
【0028】
次に、認証システム側において、証明証検索手段2を用いて多数の公開鍵証明証が格納、蓄積されたデータベースを検索し、利用者の希望する証明証条件により特定される公開鍵証明証を取得する。この公開鍵証明証を検索し取得した日時に対応して、証明証取得日時作成手段3により、証明証取得日時値が作成される。さらに、証明証取得日時記載手段4により、この作成された証明証取得日時値が当該特定の公開鍵証明証に記載される。これにより、公開鍵証明証を検索した日時にその公開鍵証明証が有効であったことを認証システムが保証する。
【0029】
一方、利用者側においては、認証システム側の証明証取得日時記載手段4において証明証取得日時値の記載された公開鍵証明証を取得し、タイムスタンプ時間差値計数手段5に入力する。このタイムスタンプ時間差値計数手段5では、公開鍵証明証に記載された証明証取得日時値から証明証取得日時を取得し、この証明証取得日時から現在時刻までの差(タイムスタンプ時間差値)を計算する。
【0030】
さらに、利用者側のタイムスタンプ時間差値比較手段6を用いて、タイムスタンプ時間差値計数手段5において計算したタイムスタンプ時間差値と、予め利用者自身により設定された時間差許容値とを比較し、タイムスタンプ時間差値が時間差許容値より小さいならば該当する公開鍵証明証を有効とみなし、大きいならば無効とみなす。
【0031】
次に、図2及び図3を参照して、本実施形態における各手段の処理手順を説明する。
【0032】
まず、図2を参照するに、時間差許容値設定手段1において、公開鍵証明証発行日からの時間差をどの程度まで許容するのかについての時間差許容値を設定する時間差許容値設定処理(ステップS11)を行う。
【0033】
つまり、利用者(受信者)側における各利用者と通信を行う事前作業として、利用者(受信者)は電子メール(E−mail)アドレス設定などの各種設定を行う中で、公開鍵証明証の有効性確認のための設定として時間差許容値設定手段1が呼び出され、公開鍵証明証発行日からの時間差をどの程度まで許容するのか時間差許容値が利用者により設定される。この時間差許容値の各利用者による設定は、各利用者のアプリケーションにおいて容易に実現可能である。
【0034】
次に、図3を参照して、証明証取得日時作成・記載処理手段7における証明証取得日時作成・記載処理について説明する。
【0035】
認証システム側において、利用者(送信者)からの申請(ステップS13)をトリガにして、利用者(送信者)からの申請書から利用者の希望する証明証条件を抽出した後に(ステップS15)、証明証検索手段2を呼び出し、公開鍵証明証が多数格納されたデータベースから該当する公開鍵証明証を検索・取得する(ステップS17)と同時に、証明証取得日時作成手段3を呼び出し、その公開鍵証明証を取得した日時値を作成する(ステップS19)。その後、証明証取得日時記載手段4を呼び出し、証明証取得日時作成手段3において作成した公開鍵証明証を検索した日時値を証明証検索手段2において検索・取得した公開鍵証明証に記載する(ステップS21)ことにより公開鍵証明証を検索した日時にその公開鍵証明証が有効であったことを認証システムが保証する。
【0036】
なお、公開鍵証明証の検索方法および公開鍵証明証を検索した日時値の作成については、既存のコンピュータなどで一般的に使用されているソートアルゴリズムなどの機能を用いることにより実現可能である。
【0037】
また、公開鍵証明証に証明証取得日時を記載する方法としては、図4及び図5に示す2種類の方法が考えられる。しかしながら、その方法としては、認証システムが証明証取得日時を保証している形式であれば、どのようなものでも良い。
1)公開鍵証明証の拡張要素に含める方法(図4参照)
2)公開鍵証明証とは独立したところに含め、公開鍵証明証と証明証取得日時との混合物に対して認証システムが署名を行う方法(図5参照)
次に、図2を参照して、タイムスタンプ時間差値計数処理手段8におけるタイムスタンプ時間差値計数処理について説明する。
【0038】
利用者(受信者)側において、認証システム側の証明証取得日時記載手段4において日時値が記載された公開鍵証明証を取得し(ステップS23)、その公開鍵証明証に記載された認証システム署名を検証する(ステップS25)とともに、証明証取得日時を抜き出す処理を行った後(ステップS27)、タイムスタンプ時間差値計数手段5を呼び出し、公開鍵証明証の有効性確認を行う対象である公開鍵証明証の証明証取得日時から現在時刻までの差(タイムスタンプ時間差値)を計算する(ステップS29)。
【0039】
署名検証および証明証取得日時を公開鍵証明証から取得する方法は、公開鍵暗号方式において一般的に用いられる手法および電子情報の読み取り機能を用いて容易に実現することが可能である。
【0040】
続いて、タイムスタンプ時間差値比較処理がタイムスタンプ時間差値比較手段6において行われる。
利用者(受信者)側において、タイムスタンプ時間差値比較手段6を呼び出し、タイムスタンプ時間差値計数処理手段8において計算したタイムスタンプ時間差値を時間差許容値設定処理(ステップS11)において自分自身が設定した時間差許容値と比較し(ステップS33)、タイムスタンプ時間差値が時間差許容値より小さいならば、ステップS35に進み、当該する公開鍵証明証を有効とみなし、大きいならばステップS37に進み無効とみなし、その結果を利用者に返却し終了する。
【0041】
なお、本実施形態で用いるタイムスタンプ時間差値と時間差許容値を比較する方法は、既存のコンピュータが一般的に所持している比較機能を用いて容易に実現することができるものである。
【0042】
また、上述してきた公開鍵証明証の有効性確認のための演算は、公開鍵証明証の有効性確認プログラムを記録した記録媒体により実現され、該プログラムは記録媒体に記録して提供される。
【0043】
さらに、上記の実施形態では個人を例に説明したが、本発明はこれに限定されること無く、法人であっても同様に適用することができる。
【0044】
以上説明してきたように、本実施形態に示された構造を持つことにより、利用者側において取り決めたある1つの設定値により、すべての通信相手の公開鍵証明証の有効性確認を行うことが可能となる。
【0045】
これにより、すべての通信相手と一貫した公開鍵証明証の有効性確認が可能となり、また利用者において各認証システムのCRL発行間隔のような取り決めを管理する必要がない等の効果を奏することができる。
【0046】
また、証明証取得日時を記載する依頼を利用者(送信者)が行うことにより、従来方法では不可能であった企業内認証システムを所持しているようなファイアウォール内部に認証システムを所持する企業間の通信にも適用できるという点も本発明の優れた特徴であるといえる。
【0047】
この結果から明らかなように、本発明は従来の技術に比べて利用者の簡便性および使用範囲の観点において非常に有用な方法である。
【0048】
【発明の効果】
以上説明したように、本発明によれば、利用者側装置が、受信した公開鍵証明証に付与された証明証取得日時とその公開鍵証明証を受信した日時の時間差を予め設定した時間差許容値と比較して公開鍵証明証の有効性を確認する演算を行うことにより、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体を提供することができる。
【図面の簡単な説明】
【図1】本発明に係る公開鍵証明証の有効性確認装置の一実施形態の概略の構成を示すブロック図である。
【図2】本実施形態の利用者側における処理手順を示すフローチャートである。
【図3】本実施形態の認証システム側における処理手順を示すフローチャートである。
【図4】公開鍵証明証に証明証取得日時を記載する方法の一例を示す図である。
【図5】公開鍵証明証に証明証取得日時を記載する方法の一例を示す図である。
【図6】従来のCRLによる公開鍵証明証の有効性確認方法を示す図である。
【符号の説明】
1 時間差許容値設定手段
2 証明証検索手段
3 証明証取得日時作成手段
4 証明証取得日時記載手段
5 タイムスタンプ時間差値計数手段
6 タイムスタンプ時間差値比較手段
7 証明証取得日時作成・記載処理手段
8 タイムスタンプ時間差値計数処理手段
【発明の属する技術分野】
本発明は、認証システム(Certification Authority :以下、単にCAとも記す)を利用した利用者間通信における公開鍵証明証の有効性確認方法および装置と公開鍵証明証の有効性確認プログラムを記録した記録媒体に関するものである。
【0002】
【従来の技術】
従来、認証システムに公開鍵を登録する利用者は、証明証発行時点では証明証は有効期限まで使用する意図で発行してもらう。しかし、以下のような種々の条件により有効期限以前に証明証が無効になることがある。
【0003】
▲1▼ユーザ自身の氏名の変更による場合
▲2▼被証明者と認証システムとの関係に変化が生じた場合(例えば、アクセス権の変更を伴うような身分変更、異動、退職、転職)
▲3▼証明証に対応する秘密鍵が危害を受けた場合
が想定される。
【0004】
このような場合、認証システムはその証明証を無効化し、何らかの方法で利用者に対してその証明証の無効化を知らせることにより、利用者はその証明証の有効性確認を行う必要がある。
【0005】
従来、利用者が送信者から送信された証明証の有効性を確認する方法(証明証有効性確認方法)としては、認証システムが定期的に(例) 2回/1日などの割合(このペースは認証システムにより任意))事前作成し、レポジトリに保管している“CRL(Certificate Revocation List )”と呼ばれる有効期間中に無効になったすべての証明証(以後、失効証明証と呼ぶ)のシリアル番号をリストしたものを利用者が何らかの方法(認証システムが定期的に利用者に配信する、もしくは利用者が認証システムにアクセスすることで取得する)で取得し、そのCRLに利用者の有効性確認を行いたい証明証情報がないことを確認することにより証明証の有効性確認を行うといった方法が用いられてきた。
【0006】
そのため、通信相手が異なる認証システムに登録している状況において、従来方法である認証システムが事前作成したCRLを利用者が何らかの方法により取得し、そのCRLを参照することにより証明証の有効性確認を行う方法を用いる場合、証明証の有効性確認は相手認証システムが発行するCRLにより行うことになる。
【0007】
【発明が解決しようとする課題】
しかしながら、CRLによる公開鍵証明証の有効性確認方法には、図6のように認証システムにおいてCRLが作成・発行される間に証明証無効化が起こった場合、実際の証明証の有効性とCRLの間に差異ができるために、利用者が知りたい証明証の状態は、実際には無効化されているにもかかわらず、利用者はその情報を確認することはできないといった時間差(Time-delay)と呼ばれる間隔が存在していた。さらに、そのCRLの発行期間は各認証システムにより独自に規定されているため、以下のような問題が存在した。
【0008】
(1) CRLの発行期間が長い認証システムに登録する利用者と通信を行う場合、CRLの発行期間が短い認証システムに登録する利用者にとっては、同じ認証システムに登録する利用者との通信における公開鍵証明証の有効性確認より時間差の長い公開鍵証明証の有効性確認を行うことになる。
【0009】
(2) 1人の利用者が数多くの通信相手を持ち、かつそれらの通信相手がそれぞれ異なる認証システムに登録している場合、各通信相手ごとにCRL発行間隔の異なる公開鍵証明証の有効性確認を行う必要があり、利用者は各通信相手の登録する認証システムのCRL発行間隔を管理しておく必要がある。
【0010】
本発明は、上記課題に鑑みてなされたもので、利用者側で予め設定した一つの値と公開鍵証明証に付与された値との比較を行うことにより、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体を提供することを目的とする。
【0011】
【課題を解決するための手段】
前述した目的を達成するために、請求項1記載の本発明は、公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を前記公開鍵証明証を受信する利用者側装置が確認する公開鍵証明証の有効性確認方法であって、前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記利用者側装置が当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段を呼び出して前記時間差許容値を設定するステップと、前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるステップと、予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うステップとからなることを要旨とする。
【0012】
請求項1記載の本発明によれば、利用者(送信者)が所望の公開鍵証明証を取得する際、公開鍵証明証には取得した証明証取得日時、すなわち既に認証システムに登録され、なおかつ有効期間内にある公開鍵証明証を送信者装置に対して提供した日時が付与されており、この公開鍵証明証を受信した利用者側装置は、証明証取得日時から実際にその公開鍵証明証を受信した日時までの差であるタイムスタンプ時間差値と有効性確認のために許容しうるタイムスタンプ時間差値として予め設定される時間差許容値との間の大小関係に応じて公開鍵証明証の有効性確認を行う演算を実行することにより、利用者側装置自身での各認証システムのCRL発行間隔の管理を不要とし、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認方法を提供することができる。
【0013】
また、請求項2記載の本発明は、公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を確認する公開鍵証明証の有効性確認装置における利用者側装置であって、前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記利用者側装置が当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段と、前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるタイムスタンプ時間差値計数手段と、予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うタイム時間差値比較手段とを備えたことを要旨とする。
【0014】
請求項2記載の本発明によれば、受信した公開鍵証明証に付与された証明証取得日時から実際にその公開鍵証明証を受信した日時までの差であるタイムスタンプ時間差値と有効性確認のために許容しうるタイムスタンプ時間差値として予め設定される時間差許容値の間の大小関係に応じて公開鍵証明証の有効性確認を行う演算を実行する利用者側装置を提供することにより、この利用者側装置自身での各認証システムのCRL発行間隔の管理を不要とし、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認処理を実現することができる。
【0015】
また、請求項3記載の本発明は、公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を確認するために、コンピュータを、前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記コンピュータが当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段、前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるタイムスタンプ時間差値計数手段、予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うタイム時間差値比較手段、として機能させるための公開鍵証明証の有効性確認プログラムを記録したことを要旨とする。
【0016】
請求項3記載の本発明によれば、受信した公開鍵証明証に付与された証明証取得日時から実際にその公開鍵証明証を受信した日時までの差であるタイムスタンプ時間差値と有効性確認のために許容しうるタイムスタンプ時間差値として予め設定される時間差許容値の間の大小関係に応じて公開鍵証明証の有効性確認を行う演算をコンピュータに実行させるための有効性確認プログラムを記録した記録媒体を提供することにより、各認証システムのCRL発行間隔の管理を不要とし、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことのできる公開鍵証明証の有効性確認プログラムを広く流通させることが可能になる。
【0023】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態について説明する。
【0024】
図1は本発明の一実施の形態に係る公開鍵証明証の有効性確認装置の構成を示すブロック図である。
【0025】
図1に示すように、本実施形態における公開鍵証明証の有効性確認装置は、利用者(受信者)側装置と認証システム側装置により構成される。また、利用者(受信者)側装置は時間差許容値設定手段1、タイムスタンプ時間差値計数手段5およびタイムスタンプ時間差値比較手段6により構成され、認証システム側装置は証明証検索手段2、証明証取得日時作成手段3および証明証取得日時記載手段4により構成される。
【0026】
次に、図1を参照して本実施形態における各手段の作用を処理手順に従って説明する。
【0027】
まず、利用者(受信者)側における各利用者と通信を行う事前作業として、利用者(受信者)は時間差許容値設定手段1を用いて、公開鍵証明証発行日からの時間差(Time-delay)をどの程度まで許容するのか時間差許容値を設定する。
【0028】
次に、認証システム側において、証明証検索手段2を用いて多数の公開鍵証明証が格納、蓄積されたデータベースを検索し、利用者の希望する証明証条件により特定される公開鍵証明証を取得する。この公開鍵証明証を検索し取得した日時に対応して、証明証取得日時作成手段3により、証明証取得日時値が作成される。さらに、証明証取得日時記載手段4により、この作成された証明証取得日時値が当該特定の公開鍵証明証に記載される。これにより、公開鍵証明証を検索した日時にその公開鍵証明証が有効であったことを認証システムが保証する。
【0029】
一方、利用者側においては、認証システム側の証明証取得日時記載手段4において証明証取得日時値の記載された公開鍵証明証を取得し、タイムスタンプ時間差値計数手段5に入力する。このタイムスタンプ時間差値計数手段5では、公開鍵証明証に記載された証明証取得日時値から証明証取得日時を取得し、この証明証取得日時から現在時刻までの差(タイムスタンプ時間差値)を計算する。
【0030】
さらに、利用者側のタイムスタンプ時間差値比較手段6を用いて、タイムスタンプ時間差値計数手段5において計算したタイムスタンプ時間差値と、予め利用者自身により設定された時間差許容値とを比較し、タイムスタンプ時間差値が時間差許容値より小さいならば該当する公開鍵証明証を有効とみなし、大きいならば無効とみなす。
【0031】
次に、図2及び図3を参照して、本実施形態における各手段の処理手順を説明する。
【0032】
まず、図2を参照するに、時間差許容値設定手段1において、公開鍵証明証発行日からの時間差をどの程度まで許容するのかについての時間差許容値を設定する時間差許容値設定処理(ステップS11)を行う。
【0033】
つまり、利用者(受信者)側における各利用者と通信を行う事前作業として、利用者(受信者)は電子メール(E−mail)アドレス設定などの各種設定を行う中で、公開鍵証明証の有効性確認のための設定として時間差許容値設定手段1が呼び出され、公開鍵証明証発行日からの時間差をどの程度まで許容するのか時間差許容値が利用者により設定される。この時間差許容値の各利用者による設定は、各利用者のアプリケーションにおいて容易に実現可能である。
【0034】
次に、図3を参照して、証明証取得日時作成・記載処理手段7における証明証取得日時作成・記載処理について説明する。
【0035】
認証システム側において、利用者(送信者)からの申請(ステップS13)をトリガにして、利用者(送信者)からの申請書から利用者の希望する証明証条件を抽出した後に(ステップS15)、証明証検索手段2を呼び出し、公開鍵証明証が多数格納されたデータベースから該当する公開鍵証明証を検索・取得する(ステップS17)と同時に、証明証取得日時作成手段3を呼び出し、その公開鍵証明証を取得した日時値を作成する(ステップS19)。その後、証明証取得日時記載手段4を呼び出し、証明証取得日時作成手段3において作成した公開鍵証明証を検索した日時値を証明証検索手段2において検索・取得した公開鍵証明証に記載する(ステップS21)ことにより公開鍵証明証を検索した日時にその公開鍵証明証が有効であったことを認証システムが保証する。
【0036】
なお、公開鍵証明証の検索方法および公開鍵証明証を検索した日時値の作成については、既存のコンピュータなどで一般的に使用されているソートアルゴリズムなどの機能を用いることにより実現可能である。
【0037】
また、公開鍵証明証に証明証取得日時を記載する方法としては、図4及び図5に示す2種類の方法が考えられる。しかしながら、その方法としては、認証システムが証明証取得日時を保証している形式であれば、どのようなものでも良い。
1)公開鍵証明証の拡張要素に含める方法(図4参照)
2)公開鍵証明証とは独立したところに含め、公開鍵証明証と証明証取得日時との混合物に対して認証システムが署名を行う方法(図5参照)
次に、図2を参照して、タイムスタンプ時間差値計数処理手段8におけるタイムスタンプ時間差値計数処理について説明する。
【0038】
利用者(受信者)側において、認証システム側の証明証取得日時記載手段4において日時値が記載された公開鍵証明証を取得し(ステップS23)、その公開鍵証明証に記載された認証システム署名を検証する(ステップS25)とともに、証明証取得日時を抜き出す処理を行った後(ステップS27)、タイムスタンプ時間差値計数手段5を呼び出し、公開鍵証明証の有効性確認を行う対象である公開鍵証明証の証明証取得日時から現在時刻までの差(タイムスタンプ時間差値)を計算する(ステップS29)。
【0039】
署名検証および証明証取得日時を公開鍵証明証から取得する方法は、公開鍵暗号方式において一般的に用いられる手法および電子情報の読み取り機能を用いて容易に実現することが可能である。
【0040】
続いて、タイムスタンプ時間差値比較処理がタイムスタンプ時間差値比較手段6において行われる。
利用者(受信者)側において、タイムスタンプ時間差値比較手段6を呼び出し、タイムスタンプ時間差値計数処理手段8において計算したタイムスタンプ時間差値を時間差許容値設定処理(ステップS11)において自分自身が設定した時間差許容値と比較し(ステップS33)、タイムスタンプ時間差値が時間差許容値より小さいならば、ステップS35に進み、当該する公開鍵証明証を有効とみなし、大きいならばステップS37に進み無効とみなし、その結果を利用者に返却し終了する。
【0041】
なお、本実施形態で用いるタイムスタンプ時間差値と時間差許容値を比較する方法は、既存のコンピュータが一般的に所持している比較機能を用いて容易に実現することができるものである。
【0042】
また、上述してきた公開鍵証明証の有効性確認のための演算は、公開鍵証明証の有効性確認プログラムを記録した記録媒体により実現され、該プログラムは記録媒体に記録して提供される。
【0043】
さらに、上記の実施形態では個人を例に説明したが、本発明はこれに限定されること無く、法人であっても同様に適用することができる。
【0044】
以上説明してきたように、本実施形態に示された構造を持つことにより、利用者側において取り決めたある1つの設定値により、すべての通信相手の公開鍵証明証の有効性確認を行うことが可能となる。
【0045】
これにより、すべての通信相手と一貫した公開鍵証明証の有効性確認が可能となり、また利用者において各認証システムのCRL発行間隔のような取り決めを管理する必要がない等の効果を奏することができる。
【0046】
また、証明証取得日時を記載する依頼を利用者(送信者)が行うことにより、従来方法では不可能であった企業内認証システムを所持しているようなファイアウォール内部に認証システムを所持する企業間の通信にも適用できるという点も本発明の優れた特徴であるといえる。
【0047】
この結果から明らかなように、本発明は従来の技術に比べて利用者の簡便性および使用範囲の観点において非常に有用な方法である。
【0048】
【発明の効果】
以上説明したように、本発明によれば、利用者側装置が、受信した公開鍵証明証に付与された証明証取得日時とその公開鍵証明証を受信した日時の時間差を予め設定した時間差許容値と比較して公開鍵証明証の有効性を確認する演算を行うことにより、全ての通信相手から送信されてくる公開鍵証明証の有効性確認を一定の信頼度で行うことを可能にする公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体を提供することができる。
【図面の簡単な説明】
【図1】本発明に係る公開鍵証明証の有効性確認装置の一実施形態の概略の構成を示すブロック図である。
【図2】本実施形態の利用者側における処理手順を示すフローチャートである。
【図3】本実施形態の認証システム側における処理手順を示すフローチャートである。
【図4】公開鍵証明証に証明証取得日時を記載する方法の一例を示す図である。
【図5】公開鍵証明証に証明証取得日時を記載する方法の一例を示す図である。
【図6】従来のCRLによる公開鍵証明証の有効性確認方法を示す図である。
【符号の説明】
1 時間差許容値設定手段
2 証明証検索手段
3 証明証取得日時作成手段
4 証明証取得日時記載手段
5 タイムスタンプ時間差値計数手段
6 タイムスタンプ時間差値比較手段
7 証明証取得日時作成・記載処理手段
8 タイムスタンプ時間差値計数処理手段
Claims (3)
- 公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を前記公開鍵証明証を受信する利用者側装置が確認する公開鍵証明証の有効性確認方法であって、
前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記利用者側装置が当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段を呼び出して前記時間差許容値を設定するステップと、
前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるステップと、
予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うステップと
からなることを特徴とする公開鍵証明証の有効性確認方法。 - 公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を確認する公開鍵証明証の有効性確認装置における利用者側装置であって、
前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記利用者側装置が当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段と、
前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるタイムスタンプ時間差値計数手段と、
予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うタイム時間差値比較手段と
を備えたことを特徴とする公開鍵証明証の有効性確認装置における利用者側装置。 - 公開鍵の登録を受ける一方で公開鍵証明証を発行する認証システムから所望の公開鍵証明証を取得した送信者装置が送信する当該公開鍵証明証の有効性を確認するために、コンピュータを、
前記送信者装置が公開鍵証明証を取得した証明証取得日時と前記コンピュータが当該公開鍵証明証を受信する日時の時間差として許容しうる時間差許容値を設定する時間差許容値設定手段、
前記送信者装置から受信した公開鍵証明証に記載された前記認証システムの署名を検証するとともに、前記認証システムによって前記公開鍵証明証に付与された証明証取得日時を抜き出して読み取り、当該証明証取得日時と前記公開鍵証明証を受信した日時の時間差であるタイムスタンプ時間差値を求めるタイムスタンプ時間差値計数手段、
予め設定された前記時間差許容値を参照して当該時間差許容値と前記タイムスタンプ時間差値の比較を行い、この比較の結果前記タイムスタンプ時間差値が前記時間差許容値より小さいときは受信した前記公開鍵証明証を有効と判断する一方、前記タイムスタンプ時間差値が前記時間差許容値より大きいときは受信した前記公開鍵証明証を無効と判断する演算を行うタイム時間差値比較手段、
として機能させるための公開鍵証明証の有効性確認プログラムを記録したことを特徴とする公開鍵証明証の有効性確認プログラムを記録した記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP04062499A JP3726259B2 (ja) | 1999-02-18 | 1999-02-18 | 公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP04062499A JP3726259B2 (ja) | 1999-02-18 | 1999-02-18 | 公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2000242169A JP2000242169A (ja) | 2000-09-08 |
JP3726259B2 true JP3726259B2 (ja) | 2005-12-14 |
Family
ID=12585703
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP04062499A Expired - Fee Related JP3726259B2 (ja) | 1999-02-18 | 1999-02-18 | 公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3726259B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013179534A1 (ja) | 2012-05-29 | 2013-12-05 | パナソニック株式会社 | 不正接続検知装置、不正接続検知システム及び不正接続検知方法 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010008268A (ko) * | 2000-11-20 | 2001-02-05 | 이계철 | 가입자 단말의 시스템 시간 설정을 위한 타임 스탬핑서비스 방법 |
DE10305730B4 (de) * | 2003-02-12 | 2005-04-07 | Deutsche Post Ag | Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken |
JP4576853B2 (ja) * | 2004-03-05 | 2010-11-10 | ソニー株式会社 | 情報処理装置、および認証処理方法、並びにコンピュータ・プログラム |
JP4543789B2 (ja) * | 2004-07-08 | 2010-09-15 | 株式会社日立製作所 | トランザクションに基づく証明書検証情報管理方法 |
JP4850520B2 (ja) * | 2006-01-19 | 2012-01-11 | クラリオン株式会社 | 車載装置、失効管理装置および失効管理システム |
JP7090499B2 (ja) * | 2018-08-07 | 2022-06-24 | 三菱電機株式会社 | データダイオード装置 |
CN113015111B (zh) * | 2021-02-23 | 2022-03-29 | 中国人民解放军火箭军工程大学 | 基于动态时间戳和国密算法的短报文加密通信方法 |
-
1999
- 1999-02-18 JP JP04062499A patent/JP3726259B2/ja not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013179534A1 (ja) | 2012-05-29 | 2013-12-05 | パナソニック株式会社 | 不正接続検知装置、不正接続検知システム及び不正接続検知方法 |
US9288063B2 (en) | 2012-05-29 | 2016-03-15 | Panasonic Intellectual Property Management Co., Ltd. | Unauthorized connection detecting device, unauthorized connection detecting system, and unauthorized connection detecting method |
Also Published As
Publication number | Publication date |
---|---|
JP2000242169A (ja) | 2000-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101054930B1 (ko) | 메타데이터 브로커 | |
US7747852B2 (en) | Chain of trust processing | |
RU2434340C2 (ru) | Инфраструктура верификации биометрических учетных данных | |
KR101105121B1 (ko) | 진정문서의 전달, 저장 및 회복에 대한 시스템 및 방법 | |
US7356690B2 (en) | Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate | |
EP3966997B1 (en) | Methods and devices for public key management using a blockchain | |
US20010034836A1 (en) | System for secure certification of network | |
US7058619B2 (en) | Method, system and computer program product for facilitating digital certificate state change notification | |
US7100045B2 (en) | System, method, and program for ensuring originality | |
CN111490873A (zh) | 基于区块链的证书信息处理方法及系统 | |
JP3660274B2 (ja) | 認証書系図の自動追跡方法及びシステム | |
US20020099668A1 (en) | Efficient revocation of registration authorities | |
JP3726259B2 (ja) | 公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 | |
JP4210749B2 (ja) | 電子ファイル認証システムおよび電子ファイル認証サーバならびに電子ファイル認証方法 | |
JP2001265216A (ja) | 公開鍵証明書の掲載方法および公開鍵証明書の掲載装置 | |
JP3754342B2 (ja) | 公開鍵証明書の有効性検証システム | |
JP2008217300A (ja) | 生体情報付きファイル暗号化システム及び復号化システム、並びにその方法 | |
JP4033601B2 (ja) | 公開鍵証明書検証方法及びプログラム記録媒体 | |
US20020141592A1 (en) | Preventing ID spoofing with ubiquitous signature certificates | |
JP2002312319A (ja) | パスワードシステム | |
JP2003152715A (ja) | 失効証明証情報取得方法及び装置及び失効証明証情報取得プログラム及び失効証明証情報取得プログラムを格納した記憶媒体 | |
JP4783992B2 (ja) | 属性証明書管理サーバ、属性証明書管理方法およびそのプログラム | |
EP1175037A2 (en) | Preventing ID spoofing with ubiquitous signature certificates | |
JP2004289448A (ja) | サービス提供装置ならびに電子証明書検証装置および方法 | |
JP3797116B2 (ja) | 公開鍵証明書・利用者情報管理方法及び発行局(IA:IssuingAuthority)装置及び公開鍵証明書・利用者情報管理プログラム及び公開鍵証明書・利用者情報管理プログラムを格納した記憶媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050916 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091007 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101007 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |