JP3754342B2 - Public key certificate validity verification system - Google Patents

Public key certificate validity verification system Download PDF

Info

Publication number
JP3754342B2
JP3754342B2 JP2001331945A JP2001331945A JP3754342B2 JP 3754342 B2 JP3754342 B2 JP 3754342B2 JP 2001331945 A JP2001331945 A JP 2001331945A JP 2001331945 A JP2001331945 A JP 2001331945A JP 3754342 B2 JP3754342 B2 JP 3754342B2
Authority
JP
Japan
Prior art keywords
certificate
public key
verification
revocation list
certificate revocation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001331945A
Other languages
Japanese (ja)
Other versions
JP2003134109A (en
Inventor
将 秋山
廣志 政本
正一 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001331945A priority Critical patent/JP3754342B2/en
Publication of JP2003134109A publication Critical patent/JP2003134109A/en
Application granted granted Critical
Publication of JP3754342B2 publication Critical patent/JP3754342B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、公開鍵暗号を利用するシステムに関し、特に電子文書に付与された署名に対応する公開鍵証明書の有効性を検証するシステムに関する。
【0002】
【従来の技術】
通常、電子文書に付与された署名に対応する公開鍵証明書の有効性を検証するシステムは、認証システムが発行し、その後失効した公開鍵証明書の無効化情報を記載した最新の公開鍵証明書失効リストを参照し、対象となる公開鍵証明書のシリアル番号の記載の有無を元に、公開鍵証明書発行時に設定された公開鍵証明書の有効期間内の特定日時における有効性を報告するというものである。公開鍵証明書失効リストとは職務の変更や公開鍵に対応する私有鍵(秘密鍵)漏洩の疑いなどの理由により失効した公開鍵証明書のシリアル番号、失効日時などの無効化情報が記載されているものである。
【0003】
図1を参照して従来の技術による公開鍵証明書の有効性検証手順を説明する。
検証の対象公開鍵証明書の有効期間は図1に示すものとする。対象公開鍵証明書が上記理由等により有効期間内の失効日時において失効したとすると、公開鍵証明書のシリアル番号、失効日時などの無効化情報が周期的に発行されている最初の証明書失効リスト▲1▼に記載される。検証依頼者は、対象公開鍵証明書の有効期間内の現在日時において、証明書失効リストを検索することにより有効期間内の特定日時における対象証明書の失効の有無を確認する。
【0004】
【発明が解決しようとする課題】
従来の技術の問題点は、対象となる公開鍵証明書が有効期限切れとなった場合、最新の公開鍵証明書失効リストを参照しても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告することができない可能性があることである。
その理由としてRFC2459を参照すると、"An entry may be removed from the CRL after appearing on one regularly scheduled CRL issued beyond the revoked certificate's validity period."という記述があり、認証システムは、失効された対象となる公開鍵証明書が有効期限切れとなった後に、最初に発行する公開鍵証明書失効リストには、その公開鍵証明書のシリアル番号、失効日時などの無効化情報を記載していることを保証しているものの、その次以降に発行する公開鍵証明書失効リストへの記載は保証していないことが挙げられる。
【0005】
次に図2を参照して発明が解決しようとする課題について説明する。
対象証明書の有効期間、失効日時は図に示すものとする。検証依頼者は、対象公開鍵証明書の有効期間以後の現在日時において、証明書失効リスト▲3▼を検索することにより有効期間内の特定日時における対象証明書の失効の有無を確認する。この際において上記記載の理由により対象公開鍵証明書が有効期限切れとなった後に、最初に発行する公開鍵証明書失効リスト▲2▼には無効化情報が記載されるが次に発行される公開鍵証明書失効リスト▲3▼には無効化情報が記載されない可能性がある。従って、図2に記載の現在日時において特定日時における公開鍵証明書の失効の有無を確認できない可能性がある。
本発明の目的は、対象となる公開鍵証明書が有効期限切れとなり、その無効化情報の最新の公開鍵証明書失効リストへの記載が保証されない状況にあっても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告することを可能とする手段を備えた公開鍵証明書の有効性検証システムを提供することにある。
【0006】
【課題を解決するための手段】
上記課題を解決するために、本発明の公開鍵証明書の有効性検証システムは、認証システムが周期的に発行する公開鍵証明書失効リストを継続的に取得し、保管する公開鍵証明書失効リスト管理手段と、保管してある公開鍵証明書失効リスト群の中から、公開鍵証明書の有効期間内の特定日時の直後に発行された公開鍵証明書失効リストを検索することによって、対象となる公開鍵証明書の有効期間内の特定日時における公開鍵証明書の失効の有無を確認し、報告する手段である公開鍵証明書有効性確認手段を備え、対象となる公開鍵証明書が有効期限切れとなり、その無効化情報の最新の公開鍵証明書失効リストへの記載が保証されない状況にあっても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告するように動作する。
【0007】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
図3に公開鍵証明書の有効性検証システムが適用されるシステム構成を示す。このシステムは、公開鍵証明書の有効性検証システム1と証明書失効リスト2−1を有する認証システム2及び検証依頼者端末3を回線により接続して構成する。検証システム1は、証明書失効リスト管理手段1−1と証明書有効性確認手段1−2とから構成される。
なお、検証システムは、CPUやメモリ等を有するコンピュータと利用者端末と記録媒体とから構成することができる。記録媒体はCD−ROM、半導体メモリ等の機械読み取り可能な記録媒体であり、ここに記録された制御用プログラムはコンピュータに読み取られ、前述の構成要素を実現する。
【0008】
次に、図4の処理の流れ図を参照して本実施の形態の全体の動作について詳細に説明する。
(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システムは、認証システムが周期的に発行している証明書失効リストを取得する。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リストが、確かに認証システムが発行したものであるかを確認し、保管する。検証システムは、(1)から(2)の処理を任意のタイミングで継続的に実行することにより、証明書有効性確認手段1−2の実現に必要な証明書失効リストを管理する。
【0009】
(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、検証依頼者端末3を用いて対象となる公開鍵証明書が有効期間内の特定日時において有効であったか否かの検証を検証システムに対して依頼するために、検証に必要な情報を含んだ申請書を作成し、検証システムへ送付する。
(4)申請書の受信処理
検証システムは、(3)で送付された申請書を受理する。
(5)証明書失効リストの検索処理
検証システムは、(4)で取得した申請書に含まれる情報を元にして、証明書失効リスト管理手段1−1によって保管されている証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認する。
(6)報告書の送信処理
検証システムは、(5)で確認した情報を元に検証結果報告書を作成し、検証依頼者(検証依頼者端末3)へ送付する。
(7)報告書の受信処理
検証依頼者は、(6)で送付された検証結果報告書を受理する。
以上により、検証システムは、検証依頼者に対して、対象となる証明書が有効期限切れとなり、その無効化情報の最新の証明書失効リストへの記載が保証されない状況(すなわち、図2の現在日時)にあっても、その証明書が有効期間内の特定日時において有効であったか否かを報告する。
次に、図5および図6を参照して証明書失効リスト管理手段、証明書失効リストの検索処理の機能、構成を説明する。
【0010】
(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システム1は、証明書失効リスト取得手段を用いて、認証システムが周期的に発行している証明書失効リストを取得する。
証明書失効リスト取得手段とは、認証システムが周期的に発行している証明書失効リストが存在するパスを入力して、証明書失効リストを取得するものであり、認証システムが一般に保持しているディレクトリからの証明書失効リストの取得技術などによって実現可能である。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リストが、確かに認証システムが発行したものであるかを、電子署名検証手段を用いて、確認した後、証明書失効リスト保管手段に保管する。
電子署名検証手段とは、オンラインまたはオフラインでの配布手段により事前に入手可能な認証システムの公開鍵証明書に含まれる公開鍵と、電子署名および署名の生成対象である証明書失効リストを入力として、対象証明書失効リストに付与された電子署名が、確かに公開鍵証明書内に示された公開鍵の所有者である認証システムにより生成されたものであることを検証するものであり、既存の公開鍵暗号技術によって実現可能である。
証明書失効リスト保管手段とは、任意のタイミングで取得した証明書失効リストを証明書失効リスト内に記載された発行日時と共に二次記憶媒体へと保管し、また、証明書失効リストと同一の証明書失効リストが、二次記憶媒体に存在した場合は、証明書失効リストを保管しないものであり、コンピュータシステムが一般的に提供するファイル入出力機能を利用することによって実現可能である。
検証システムは、(1)から(2)の処理を、認証システムによる証明書失効リストの発行周期に応じて、任意のタイミングで継続的に実行することにより、証明書有効性確認手段1−2の実現に必要な証明書失効リストを管理する。また、継続的に実行するための手段のひとつとして、取得した証明書失効リストに記載されている次回更新日時を参照することが挙げられる。
【0011】
(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、対象となる証明書が有効期間内の特定日時において有効であったか否かの検証を検証システムに対して依頼するために、検証依頼者端末3の電子データ編集手段を用いて、検証に必要な情報を含んだ申請書を作成し、電子データ通信手段を用いて、検証システム1へ送付する。
電子データ編集手段とは、ここでは、検証依頼者の端末上で、検証対象である証明書のシリアル番号、有効期間、発行者のシリアル番号、または、証明書そのもの、および、検証対象日時を最低限含んだ申請書である電子ファイルを作成するものであり、コンピュータシステムが一般的に提供するエディタ機能やファイル読み込み機能を利用することにより実現可能である。
電子データ通信手段とは、検証依頼者の端末と検証システムの間で電子ファイルを送受信するものであり、コンピュータシステムが一般的に提供するファイル転送機能やファイル受信機能などを利用することによって実現可能である。
(4)申請書の受信処理
検証システムは、電子データ通信手段を用いて、(3)で送付された申請書を受理する。
(5)証明書失効リストの検索処理
ここで、図7を参照すると、検証システムは、証明書失効リスト検索手段を用いて、(4)で取得した申請書に含まれる情報を元にして、証明書失効リスト管理手段1−1によって保管されている証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認する。
【0012】
証明書失効リスト検索手段とは、以下(a)から(c)を実施することで、実現可能である。
(a)取得した申請書を解析し、検証対象である証明書のシリアル番号(SN:XXXX)、有効期間(8/1〜8/4)、発行者のシリアル番号(DN:YYYY)、検証対象日時(8/3)を取得する。ここで、申請書に証明書そのものが含まれていた場合には、証明書から証明書のシリアル番号、有効期間、発行者のシリアル番号を取得する。
(b)検証対象日時が、証明書の有効期間内に含まれることを確認する。ここで、有効期間内に含まれなかった場合には、検証者依頼者に検証対象日時エラーを返却し、証明書失効リストの検索処理を終了する。
(c)さらに、図8を参照すると、証明書のシリアル番号、発行者のシリアル番号、検証対象日時を検索キーにして、二次記憶媒体に保管されている証明書失効リスト群の中から、指定の発行者から発行された検証対象日時以降のもっとも近い発行日時を持つ証明書失効リスト(発行日時:8/5)を検索し、証明書のシリアル番号(SN:XXXX)の記載の有無を確認する。
【0013】
(6)報告書の送信処理
検証システムは、電子データ編集手段を用いて、(5)で確認した情報を元に検証結果報告書である電子ファイルを作成し、電子データ通信手段を用いて、検証依頼者へ送付する。
検証結果報告書には、検証対象日時が証明書の有効期間に含まれ、かつ、証明書失効リストに証明書のシリアル番号が記載されていなかった場合に、証明書が有効であることを記載し、また、検証対象日時が証明書の有効期間に含まれ、かつ、証明書失効リストに証明書のシリアル番号が記載されていた場合には、証明書が無効であることを記載する。また、検証対象日時の有効期間に含まれなかった場合には、申請書の検証対象日時が不正であることを記載する。
(7)報告書の受信処理
検証依頼者は、電子データ通信手段を用いて、(6)で送付された検証結果報告書を受理する。
以上により検証システムは、検証依頼者に対して、対象となる証明書が有効期限切れとなり、その無効化情報の最新の証明書失効リストへの記載が保証されない状況にあっても、その証明書が有効期間内の特定日時において有効であったか否かを報告することが可能となる。
【0014】
【発明の効果】
本発明は、対象となる証明書が有効期限切れとなり、その無効化情報が最新の証明書失効リストへの記載が保証されない状況であっても、その証明書が有効期間内の特定日時において有効であったか否かを報告することができる、公開鍵証明書の有効性検証システムを提供することができる。その理由として、検証システムは、認証システムが発行する証明書失効リストを取得し、保管するという処理を任意のタイミングで継続的に実行するように構成されているため、有効期間内の特定日時における証明書の有効性検証の依頼に対して、保管してある証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認し報告することができるためである。
【図面の簡単な説明】
【図1】従来の技術における公開鍵署名の有効性検証手順の説明図。
【図2】従来の技術における公開鍵署名の有効性検証手順の課題の説明図。
【図3】本発明が適用されるシステム構成図。
【図4】本発明を実現するための処理の流れ図。
【図5】本発明における証明書管理手段の構成、処理の流れ図。
【図6】本発明における証明書失効リストの検索処理手段の構成、処理の流れ図。
【図7】本発明における証明書失効リストの検索処理の説明図。
【図8】本発明における証明書失効リストの検索と証明書シリアル番号の確認の説明図。
【符号の説明】
1 検証システム
1−1 証明書失効リスト管理手段
1−2 証明書有効性確認手段
2 認証システム
3 検証依頼者端末[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a system using public key cryptography, and more particularly to a system for verifying the validity of a public key certificate corresponding to a signature attached to an electronic document.
[0002]
[Prior art]
Normally, a system that verifies the validity of a public key certificate corresponding to a signature attached to an electronic document is the latest public key certificate that is issued by an authentication system and then contains revocation information of a revoked public key certificate. Refer to the certificate revocation list and report the validity at a specific date and time within the validity period of the public key certificate set at the time of issuance of the public key certificate based on whether the serial number of the target public key certificate is described or not It is to do. The public key certificate revocation list contains revocation information such as the serial number of the public key certificate that has been revoked for reasons such as job changes or suspicion of leakage of private key (private key) corresponding to the public key. It is what.
[0003]
A procedure for verifying the validity of a public key certificate according to the prior art will be described with reference to FIG.
The validity period of the verification target public key certificate is shown in FIG. If the subject public key certificate expires at the expiration date and time within the validity period due to the above reasons, the first certificate revocation for which invalidation information such as the serial number of the public key certificate and the expiration date is periodically issued Listed in list (1). The verification requester checks whether or not the target certificate has been revoked at a specific date and time within the validity period by searching the certificate revocation list at the current date and time within the validity period of the target public key certificate.
[0004]
[Problems to be solved by the invention]
The problem with the conventional technology is that if the target public key certificate expires, even if the latest public key certificate revocation list is referred to, the public key certificate will be at a specific date and time within the validity period. It may not be possible to report whether it was effective or not.
For the reason, referring to RFC 2459, there is a description of "An entry may be removed from the CRL after appearing on one regularly scheduled CRL issued beyond the revoked certificate's validity period." After the certificate expires, it is guaranteed that the public key certificate revocation list that is issued first contains revocation information such as the serial number and revocation date of the public key certificate. However, it is not guaranteed to be included in the public key certificate revocation list issued after that.
[0005]
Next, a problem to be solved by the invention will be described with reference to FIG.
The validity period and revocation date of the subject certificate are shown in the figure. The verification requester confirms whether or not the target certificate has been revoked at a specific date and time within the valid period by searching the certificate revocation list (3) at the current date and time after the valid period of the target public key certificate. In this case, after the target public key certificate expires for the reason described above, the revocation information is listed in the first public key certificate revocation list (2) to be issued, but the next published public key certificate is issued. There is a possibility that the revocation information is not described in the key certificate revocation list (3). Therefore, it may not be possible to confirm whether or not the public key certificate has been revoked at a specific date and time at the current date and time shown in FIG.
The purpose of the present invention is that even if the target public key certificate has expired and the revocation information is not guaranteed to be listed in the latest public key certificate revocation list, the public key certificate is valid. It is an object of the present invention to provide a public key certificate validity verification system that includes means for reporting whether or not it is valid at a specific date and time within a period.
[0006]
[Means for Solving the Problems]
In order to solve the above problems, the validity verification system for a public key certificate of the present invention continuously obtains and stores a public key certificate revocation list periodically issued by the authentication system. By searching list management means and public key certificate revocation lists issued immediately after a specific date and time within the validity period of the public key certificate from the list of stored public key certificate revocation lists The public key certificate validity confirmation means is a means for confirming and reporting whether or not the public key certificate has expired at a specific date and time within the validity period of the public key certificate to be used. Report whether or not the public key certificate was valid at a specific date and time within the validity period, even if it has expired and it is not guaranteed that the revocation information will be included in the latest public key certificate revocation list Yo To work.
[0007]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings.
FIG. 3 shows a system configuration to which the public key certificate validity verification system is applied. This system comprises a public key certificate validity verification system 1, an authentication system 2 having a certificate revocation list 2-1, and a verification requester terminal 3 connected by a line. The verification system 1 includes a certificate revocation list management unit 1-1 and a certificate validity confirmation unit 1-2.
The verification system can be composed of a computer having a CPU, a memory, etc., a user terminal, and a recording medium. The recording medium is a machine-readable recording medium such as a CD-ROM or a semiconductor memory, and the control program recorded therein is read by a computer to realize the above-described components.
[0008]
Next, the overall operation of the present embodiment will be described in detail with reference to the flowchart of the processing in FIG.
(Certificate Revocation List Management Unit 1-1)
(1) Certificate Revocation List Acquisition Processing The verification system acquires a certificate revocation list that is periodically issued by the authentication system.
(2) The certificate revocation list storage processing verification system checks whether the certificate revocation list acquired in (1) has been issued by the authentication system and stores it. The verification system manages the certificate revocation list necessary for realizing the certificate validity checking unit 1-2 by continuously executing the processes (1) to (2) at an arbitrary timing.
[0009]
(Certificate validity confirmation means 1-2)
(3) Request for sending the application verification requester requests the verification system to verify whether the target public key certificate is valid at a specific date and time within the valid period using the verification requester terminal 3 In order to do this, an application form containing the information necessary for verification is created and sent to the verification system.
(4) The application reception processing verification system accepts the application sent in (3).
(5) The certificate revocation list search processing verification system uses the certificate revocation list management unit 1-1 to store the certificate revocation list group based on the information included in the application acquired in (4). The certificate revocation list issued immediately after a specific date and time within the validity period is searched for, and whether or not the certificate has been revoked is confirmed.
(6) Report transmission processing The verification system creates a verification result report based on the information confirmed in (5) and sends it to the verification requester (verification requester terminal 3).
(7) Report reception processing verification requester receives the verification result report sent in (6).
As described above, the verification system allows the verification requester that the target certificate has expired and the revocation information is not guaranteed to be written in the latest certificate revocation list (that is, the current date and time in FIG. 2). ) Report whether the certificate was valid at a specific date and time within the validity period.
Next, the function and configuration of certificate revocation list management means and certificate revocation list search processing will be described with reference to FIGS.
[0010]
(Certificate Revocation List Management Unit 1-1)
(1) Certificate Revocation List Acquisition Processing Verification system 1 uses a certificate revocation list acquisition unit to acquire a certificate revocation list that is periodically issued by the authentication system.
Certificate revocation list acquisition means is to acquire a certificate revocation list by inputting the path where the certificate revocation list that is periodically issued by the authentication system exists, and is generally held by the authentication system. This can be realized by a technique for obtaining a certificate revocation list from a directory.
(2) The certificate revocation list storage processing verification system uses the electronic signature verification means to confirm that the certificate revocation list acquired in (1) is indeed issued by the authentication system. And store it in the certificate revocation list storage means.
The electronic signature verification means uses the public key contained in the public key certificate of the authentication system that can be obtained in advance by online or offline distribution means, and the certificate revocation list for which the electronic signature and signature are generated as input. Verifying that the electronic signature given to the target certificate revocation list is indeed generated by the authentication system that is the owner of the public key indicated in the public key certificate. This can be realized by public key cryptography.
Certificate revocation list storage means stores a certificate revocation list acquired at an arbitrary timing in a secondary storage medium together with the issue date and time described in the certificate revocation list, and is the same as the certificate revocation list. When the certificate revocation list exists in the secondary storage medium, the certificate revocation list is not stored, and can be realized by using a file input / output function generally provided by a computer system.
The verification system continuously executes the processing from (1) to (2) at an arbitrary timing according to the certificate revocation list issuance period by the authentication system, thereby enabling the certificate validity confirmation unit 1-2. Manage the certificate revocation list required to implement Further, as one of means for continuously executing, it is possible to refer to the next update date and time described in the acquired certificate revocation list.
[0011]
(Certificate validity confirmation means 1-2)
(3) Application request transmission processing The verification requester requests the verification requester terminal 3 to request the verification system to verify whether or not the target certificate is valid at a specific date and time within the validity period. An application form including information necessary for verification is created using the electronic data editing means, and sent to the verification system 1 using the electronic data communication means.
Here, the electronic data editing means means that on the verification requester's terminal, the serial number of the certificate to be verified, the validity period, the serial number of the issuer, or the certificate itself, and the verification target date and time are the minimum. An electronic file, which is a limited application form, is created, and can be realized by using an editor function and a file reading function generally provided by a computer system.
The electronic data communication means is used to send and receive electronic files between the verification requester's terminal and the verification system, and can be realized by using the file transfer function and file reception function that are generally provided by computer systems. It is.
(4) The application reception processing verification system accepts the application sent in (3) using the electronic data communication means.
(5) Certificate Revocation List Search Processing Here, referring to FIG. 7, the verification system uses the certificate revocation list search means based on the information included in the application acquired in (4). A certificate revocation list issued immediately after a specific date and time within the validity period is searched from the certificate revocation list group stored by the certificate revocation list management means 1-1, and whether or not the certificate is revoked is determined. Check.
[0012]
The certificate revocation list search means can be realized by performing the following (a) to (c).
(A) Analyzing the acquired application form, verifying the certificate serial number (SN: XXXX), validity period (8/1 to 8/4), issuer serial number (DN: YYYY), verification Get the target date and time (8/3). If the certificate itself is included in the application form, the certificate serial number, validity period, and issuer serial number are acquired from the certificate.
(B) Confirm that the verification target date and time is included within the validity period of the certificate. If it is not included in the valid period, a verification target date / time error is returned to the verifier requester, and the certificate revocation list search process is terminated.
(C) Further, referring to FIG. 8, the certificate revocation list group stored in the secondary storage medium using the certificate serial number, the issuer serial number, and the verification target date and time as search keys, Search the certificate revocation list (issue date: 8/5) with the closest issue date after the verification date issued from the specified issuer, and check whether the certificate serial number (SN: XXXX) is described Check.
[0013]
(6) The report transmission process verification system uses the electronic data editing means to create an electronic file that is a verification result report based on the information confirmed in (5), and using the electronic data communication means, Send to the verification requester.
The verification result report indicates that the certificate is valid when the verification target date and time is included in the validity period of the certificate and the certificate serial number is not listed in the certificate revocation list. In addition, if the verification target date and time is included in the validity period of the certificate and the certificate serial number is described in the certificate revocation list, the fact that the certificate is invalid is described. In addition, if it is not included in the validity period of the verification target date and time, it is described that the verification target date and time of the application form is invalid.
(7) Report reception processing verification requester accepts the verification result report sent in (6) using electronic data communication means.
As described above, the verification system allows the verification requester to verify that the target certificate has expired and the certificate is not valid even if the revocation information is not guaranteed to be included in the latest certificate revocation list. It is possible to report whether or not it was effective at a specific date and time within the effective period.
[0014]
【The invention's effect】
In the present invention, even if the subject certificate expires and the revocation information is not guaranteed to be included in the latest certificate revocation list, the certificate is valid at a specific date and time within the validity period. It is possible to provide a public key certificate validity verification system capable of reporting whether or not there has been. The reason is that the verification system is configured to continuously execute the process of obtaining and storing the certificate revocation list issued by the authentication system at an arbitrary timing. In response to a certificate validation request, the certificate revocation list issued immediately after a specific date and time within the validity period is searched from the stored certificate revocation list group, and the certificate revocation list is retrieved. This is because the presence or absence can be confirmed and reported.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram of a public key signature validity verification procedure in the prior art.
FIG. 2 is an explanatory diagram of a problem of a public key signature validity verification procedure in the prior art.
FIG. 3 is a system configuration diagram to which the present invention is applied.
FIG. 4 is a flowchart of processing for realizing the present invention.
FIG. 5 is a flowchart of the configuration and processing of certificate management means in the present invention.
FIG. 6 is a configuration and processing flowchart of a certificate revocation list search processing unit in the present invention.
FIG. 7 is an explanatory diagram of a certificate revocation list search process according to the present invention.
FIG. 8 is an explanatory diagram of certificate revocation list search and certificate serial number confirmation according to the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Verification system 1-1 Certificate revocation list management means 1-2 Certificate validity confirmation means 2 Authentication system 3 Verification requester terminal

Claims (2)

認証システムが周期的に発行する証明書失効リストを用いて、検証対象となる公開鍵証明書がその有効期間内の任意の日時において有効であったか否かを報告する公開鍵証明書の有効性検証システムにおいて、
公開鍵証明書失効の無効化情報は、公開鍵証明書の有効期限切れ後の最初に発行される証明書失効リストに記載が保証されるが、以後に発行される証明書失効リストには記載が保証されないものであり、
前記証明書失効リストを継続的に取得して、この証明書失効リストを二次記憶媒体に保管する証明書失効リスト管理手段と、
検証依頼者端末から、検証対象となる公開鍵証明書がその有効期間の任意の検証対象日時において有効であったか否かの検証を依頼する電子データである申請書を受信する第1の電子データ通信手段と、
二次記憶媒体に保管してある証明書失効リスト群の中から、申請書を解析して得た検証対象日時の直後に発行された証明書失効リストを検索し、この証明書失効リストを用いて、検証対象日時における検証対象である公開鍵証明書の失効の有無を確認する証明書失効リスト検索手段と、
検証依頼者端末に上記確認の情報を報告する第2の電子データ通信手段と
を備えたことを特徴とする公開鍵証明書の有効性検証システム。Using a certificate revocation list issued periodically by the authentication system, the validity verification of the public key certificate that reports whether the public key certificate to be verified was valid at any date and time within its validity period In the system,
The revocation information for public key certificate revocation is guaranteed to be included in the certificate revocation list that is issued first after the expiration of the public key certificate, but is not included in the certificate revocation list that is issued thereafter. Is not guaranteed,
Certificate revocation list management means for continuously acquiring the certificate revocation list and storing the certificate revocation list in a secondary storage medium;
First electronic data communication for receiving, from the verification requester terminal, an application form that is electronic data for requesting verification of whether or not the public key certificate to be verified is valid at an arbitrary verification target date and time of its validity period Means,
Search the certificate revocation list issued immediately after the verification date and time obtained by analyzing the application from the group of certificate revocation lists stored in the secondary storage medium, and use this certificate revocation list. A certificate revocation list search means for confirming whether or not the public key certificate to be verified is revoked at the verification target date and time,
A public key certificate validity verification system, comprising: second electronic data communication means for reporting the confirmation information to a verification requester terminal. 上記二次記憶媒体に保管されている証明書失効リストは、発行日時、公開鍵証明書のシリアル番号、有効期間、発行者のシリアル番号を含み、
上記第1の電子データ通信手段が、
検証依頼者端末から、検証対象となる公開鍵証明書のシリアル番号、有効期間、発行者のシリアル番号および検証対象日時からなる電子データである申請書、あるいは、検証対象となる公開鍵証明書そのものおよび検証対象日時からなる電子データである申請書を受信するものであり、
上記証明書失効リスト検索手段が、
申請書を解析して得た検証対象日時が公開鍵証明書の有効期間内に含まれることを確認し、次いで、検証対象となる公開鍵証明書のシリアル番号、発行者のシリアル番号、検証対象日時を検索キーとして二次記憶媒体に保管されている証明書失効リスト群の中から、検証対象日時以降のもっとも近い発行日時を持つ証明書失効リストを検索し、この証明書失効リストに検証対象となる公開鍵証明書のシリアル番号が記載されているか否かを確認するものである
ことを特徴とする請求項1に記載の公開鍵証明書の有効性検証システム。The certificate revocation list stored in the secondary storage medium includes the date and time of issue, the serial number of the public key certificate, the validity period, and the issuer's serial number.
The first electronic data communication means comprises:
From the verification requester terminal, the application form is electronic data consisting of the serial number of the public key certificate to be verified, the validity period, the serial number of the issuer and the date and time of verification, or the public key certificate to be verified itself And an application form that is electronic data consisting of the verification date and time,
The certificate revocation list search means is
Confirm that the verification date and time obtained by analyzing the application form is included in the validity period of the public key certificate, and then verify the serial number of the public key certificate to be verified, the serial number of the issuer, and the verification target The certificate revocation list having the closest issue date and time after the verification date and time is searched from the certificate revocation list group stored in the secondary storage medium using the date and time as a search key, and this certificate revocation list is subject to verification. 2. The validity verification system for a public key certificate according to claim 1, wherein the system verifies whether or not a serial number of the public key certificate is described.
JP2001331945A 2001-10-30 2001-10-30 Public key certificate validity verification system Expired - Lifetime JP3754342B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001331945A JP3754342B2 (en) 2001-10-30 2001-10-30 Public key certificate validity verification system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001331945A JP3754342B2 (en) 2001-10-30 2001-10-30 Public key certificate validity verification system

Publications (2)

Publication Number Publication Date
JP2003134109A JP2003134109A (en) 2003-05-09
JP3754342B2 true JP3754342B2 (en) 2006-03-08

Family

ID=19147439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001331945A Expired - Lifetime JP3754342B2 (en) 2001-10-30 2001-10-30 Public key certificate validity verification system

Country Status (1)

Country Link
JP (1) JP3754342B2 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4717378B2 (en) * 2004-06-08 2011-07-06 キヤノン株式会社 Information processing device
JP4694904B2 (en) * 2005-07-11 2011-06-08 三菱電機株式会社 Verification server and verification program
CN101286844B (en) 2008-05-29 2010-05-12 西安西电捷通无线网络通信有限公司 Entity bidirectional identification method supporting fast switching
US8826006B2 (en) * 2008-10-31 2014-09-02 Motorola Solutions, Inc. Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate
US8423761B2 (en) 2008-10-31 2013-04-16 Motorola Solutions, Inc. Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate
JP5772148B2 (en) * 2011-03-29 2015-09-02 日本電気株式会社 Authentication system, authentication device, certificate authority, authentication method, and program
CN103312499B (en) 2012-03-12 2018-07-03 西安西电捷通无线网络通信股份有限公司 A kind of identity identifying method and system
CN103312670A (en) 2012-03-12 2013-09-18 西安西电捷通无线网络通信股份有限公司 Authentication method and system

Also Published As

Publication number Publication date
JP2003134109A (en) 2003-05-09

Similar Documents

Publication Publication Date Title
US11223477B2 (en) Data sharing method, client, server, computing device, and storage medium
EP3639465B1 (en) Improved hardware security module management
CN109845220B (en) Method and apparatus for providing blockchain participant identity binding
US8380985B2 (en) Certificate validation method and certificate validation server and storage medium
US8635449B2 (en) Method of validation public key certificate and validation server
TWI252662B (en) Method and apparatus for accelerating public-key certificate validation
JP4844281B2 (en) Document management apparatus and program
JP4474845B2 (en) Authentication infrastructure system with CRL issue notification function
RU2430412C2 (en) Service for determining whether digital certificate has been annulled
US20030037234A1 (en) Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster
EP3966997B1 (en) Methods and devices for public key management using a blockchain
KR102280061B1 (en) Corporation related certificate issue system and method using did based on blockchain
WO2021105816A1 (en) Methods and devices for automated digital certificate verification
JP3754342B2 (en) Public key certificate validity verification system
JP2009245268A (en) Business management system
CN112182009B (en) Block chain data updating method and device and readable storage medium
JP3726259B2 (en) Public key certificate validity confirmation method, public key certificate validity confirmation device user side device, and recording medium recording public key certificate validity confirmation program
JP2002023627A (en) Device and method for verifying signature
JP2013223171A (en) Public key infrastructure control system, certificate authority server, user terminal, public key infrastructure control method and program
JP2004289448A (en) Service providing device, and method and system for verifying electronic certificate
JP5772148B2 (en) Authentication system, authentication device, certificate authority, authentication method, and program
JP5018849B2 (en) Authentication infrastructure system with CRL issue notification function
JP4582030B2 (en) Authentication infrastructure system with CRL issue notification function
JP4098017B2 (en) Report originality verification system
CN114066461A (en) Identity information management method based on block chain, node and block chain system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050906

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051028

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20051028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051215

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3754342

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091222

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101222

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101222

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111222

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111222

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121222

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121222

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131222

Year of fee payment: 8

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term