JP3754342B2 - Public key certificate validity verification system - Google Patents
Public key certificate validity verification system Download PDFInfo
- Publication number
- JP3754342B2 JP3754342B2 JP2001331945A JP2001331945A JP3754342B2 JP 3754342 B2 JP3754342 B2 JP 3754342B2 JP 2001331945 A JP2001331945 A JP 2001331945A JP 2001331945 A JP2001331945 A JP 2001331945A JP 3754342 B2 JP3754342 B2 JP 3754342B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- public key
- verification
- revocation list
- certificate revocation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012795 verification Methods 0.000 title claims description 84
- 238000004891 communication Methods 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 description 19
- 238000000034 method Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、公開鍵暗号を利用するシステムに関し、特に電子文書に付与された署名に対応する公開鍵証明書の有効性を検証するシステムに関する。
【0002】
【従来の技術】
通常、電子文書に付与された署名に対応する公開鍵証明書の有効性を検証するシステムは、認証システムが発行し、その後失効した公開鍵証明書の無効化情報を記載した最新の公開鍵証明書失効リストを参照し、対象となる公開鍵証明書のシリアル番号の記載の有無を元に、公開鍵証明書発行時に設定された公開鍵証明書の有効期間内の特定日時における有効性を報告するというものである。公開鍵証明書失効リストとは職務の変更や公開鍵に対応する私有鍵(秘密鍵)漏洩の疑いなどの理由により失効した公開鍵証明書のシリアル番号、失効日時などの無効化情報が記載されているものである。
【0003】
図1を参照して従来の技術による公開鍵証明書の有効性検証手順を説明する。
検証の対象公開鍵証明書の有効期間は図1に示すものとする。対象公開鍵証明書が上記理由等により有効期間内の失効日時において失効したとすると、公開鍵証明書のシリアル番号、失効日時などの無効化情報が周期的に発行されている最初の証明書失効リスト▲1▼に記載される。検証依頼者は、対象公開鍵証明書の有効期間内の現在日時において、証明書失効リストを検索することにより有効期間内の特定日時における対象証明書の失効の有無を確認する。
【0004】
【発明が解決しようとする課題】
従来の技術の問題点は、対象となる公開鍵証明書が有効期限切れとなった場合、最新の公開鍵証明書失効リストを参照しても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告することができない可能性があることである。
その理由としてRFC2459を参照すると、"An entry may be removed from the CRL after appearing on one regularly scheduled CRL issued beyond the revoked certificate's validity period."という記述があり、認証システムは、失効された対象となる公開鍵証明書が有効期限切れとなった後に、最初に発行する公開鍵証明書失効リストには、その公開鍵証明書のシリアル番号、失効日時などの無効化情報を記載していることを保証しているものの、その次以降に発行する公開鍵証明書失効リストへの記載は保証していないことが挙げられる。
【0005】
次に図2を参照して発明が解決しようとする課題について説明する。
対象証明書の有効期間、失効日時は図に示すものとする。検証依頼者は、対象公開鍵証明書の有効期間以後の現在日時において、証明書失効リスト▲3▼を検索することにより有効期間内の特定日時における対象証明書の失効の有無を確認する。この際において上記記載の理由により対象公開鍵証明書が有効期限切れとなった後に、最初に発行する公開鍵証明書失効リスト▲2▼には無効化情報が記載されるが次に発行される公開鍵証明書失効リスト▲3▼には無効化情報が記載されない可能性がある。従って、図2に記載の現在日時において特定日時における公開鍵証明書の失効の有無を確認できない可能性がある。
本発明の目的は、対象となる公開鍵証明書が有効期限切れとなり、その無効化情報の最新の公開鍵証明書失効リストへの記載が保証されない状況にあっても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告することを可能とする手段を備えた公開鍵証明書の有効性検証システムを提供することにある。
【0006】
【課題を解決するための手段】
上記課題を解決するために、本発明の公開鍵証明書の有効性検証システムは、認証システムが周期的に発行する公開鍵証明書失効リストを継続的に取得し、保管する公開鍵証明書失効リスト管理手段と、保管してある公開鍵証明書失効リスト群の中から、公開鍵証明書の有効期間内の特定日時の直後に発行された公開鍵証明書失効リストを検索することによって、対象となる公開鍵証明書の有効期間内の特定日時における公開鍵証明書の失効の有無を確認し、報告する手段である公開鍵証明書有効性確認手段を備え、対象となる公開鍵証明書が有効期限切れとなり、その無効化情報の最新の公開鍵証明書失効リストへの記載が保証されない状況にあっても、その公開鍵証明書が有効期間内の特定日時において有効であったか否かを報告するように動作する。
【0007】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
図3に公開鍵証明書の有効性検証システムが適用されるシステム構成を示す。このシステムは、公開鍵証明書の有効性検証システム1と証明書失効リスト2−1を有する認証システム2及び検証依頼者端末3を回線により接続して構成する。検証システム1は、証明書失効リスト管理手段1−1と証明書有効性確認手段1−2とから構成される。
なお、検証システムは、CPUやメモリ等を有するコンピュータと利用者端末と記録媒体とから構成することができる。記録媒体はCD−ROM、半導体メモリ等の機械読み取り可能な記録媒体であり、ここに記録された制御用プログラムはコンピュータに読み取られ、前述の構成要素を実現する。
【0008】
次に、図4の処理の流れ図を参照して本実施の形態の全体の動作について詳細に説明する。
(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システムは、認証システムが周期的に発行している証明書失効リストを取得する。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リストが、確かに認証システムが発行したものであるかを確認し、保管する。検証システムは、(1)から(2)の処理を任意のタイミングで継続的に実行することにより、証明書有効性確認手段1−2の実現に必要な証明書失効リストを管理する。
【0009】
(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、検証依頼者端末3を用いて対象となる公開鍵証明書が有効期間内の特定日時において有効であったか否かの検証を検証システムに対して依頼するために、検証に必要な情報を含んだ申請書を作成し、検証システムへ送付する。
(4)申請書の受信処理
検証システムは、(3)で送付された申請書を受理する。
(5)証明書失効リストの検索処理
検証システムは、(4)で取得した申請書に含まれる情報を元にして、証明書失効リスト管理手段1−1によって保管されている証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認する。
(6)報告書の送信処理
検証システムは、(5)で確認した情報を元に検証結果報告書を作成し、検証依頼者(検証依頼者端末3)へ送付する。
(7)報告書の受信処理
検証依頼者は、(6)で送付された検証結果報告書を受理する。
以上により、検証システムは、検証依頼者に対して、対象となる証明書が有効期限切れとなり、その無効化情報の最新の証明書失効リストへの記載が保証されない状況(すなわち、図2の現在日時)にあっても、その証明書が有効期間内の特定日時において有効であったか否かを報告する。
次に、図5および図6を参照して証明書失効リスト管理手段、証明書失効リストの検索処理の機能、構成を説明する。
【0010】
(証明書失効リスト管理手段1−1)
(1)証明書失効リストの取得処理
検証システム1は、証明書失効リスト取得手段を用いて、認証システムが周期的に発行している証明書失効リストを取得する。
証明書失効リスト取得手段とは、認証システムが周期的に発行している証明書失効リストが存在するパスを入力して、証明書失効リストを取得するものであり、認証システムが一般に保持しているディレクトリからの証明書失効リストの取得技術などによって実現可能である。
(2)証明書失効リストの保管処理
検証システムは、(1)で取得した証明書失効リストが、確かに認証システムが発行したものであるかを、電子署名検証手段を用いて、確認した後、証明書失効リスト保管手段に保管する。
電子署名検証手段とは、オンラインまたはオフラインでの配布手段により事前に入手可能な認証システムの公開鍵証明書に含まれる公開鍵と、電子署名および署名の生成対象である証明書失効リストを入力として、対象証明書失効リストに付与された電子署名が、確かに公開鍵証明書内に示された公開鍵の所有者である認証システムにより生成されたものであることを検証するものであり、既存の公開鍵暗号技術によって実現可能である。
証明書失効リスト保管手段とは、任意のタイミングで取得した証明書失効リストを証明書失効リスト内に記載された発行日時と共に二次記憶媒体へと保管し、また、証明書失効リストと同一の証明書失効リストが、二次記憶媒体に存在した場合は、証明書失効リストを保管しないものであり、コンピュータシステムが一般的に提供するファイル入出力機能を利用することによって実現可能である。
検証システムは、(1)から(2)の処理を、認証システムによる証明書失効リストの発行周期に応じて、任意のタイミングで継続的に実行することにより、証明書有効性確認手段1−2の実現に必要な証明書失効リストを管理する。また、継続的に実行するための手段のひとつとして、取得した証明書失効リストに記載されている次回更新日時を参照することが挙げられる。
【0011】
(証明書有効性確認手段1−2)
(3)申請書の送信処理
検証依頼者は、対象となる証明書が有効期間内の特定日時において有効であったか否かの検証を検証システムに対して依頼するために、検証依頼者端末3の電子データ編集手段を用いて、検証に必要な情報を含んだ申請書を作成し、電子データ通信手段を用いて、検証システム1へ送付する。
電子データ編集手段とは、ここでは、検証依頼者の端末上で、検証対象である証明書のシリアル番号、有効期間、発行者のシリアル番号、または、証明書そのもの、および、検証対象日時を最低限含んだ申請書である電子ファイルを作成するものであり、コンピュータシステムが一般的に提供するエディタ機能やファイル読み込み機能を利用することにより実現可能である。
電子データ通信手段とは、検証依頼者の端末と検証システムの間で電子ファイルを送受信するものであり、コンピュータシステムが一般的に提供するファイル転送機能やファイル受信機能などを利用することによって実現可能である。
(4)申請書の受信処理
検証システムは、電子データ通信手段を用いて、(3)で送付された申請書を受理する。
(5)証明書失効リストの検索処理
ここで、図7を参照すると、検証システムは、証明書失効リスト検索手段を用いて、(4)で取得した申請書に含まれる情報を元にして、証明書失効リスト管理手段1−1によって保管されている証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認する。
【0012】
証明書失効リスト検索手段とは、以下(a)から(c)を実施することで、実現可能である。
(a)取得した申請書を解析し、検証対象である証明書のシリアル番号(SN:XXXX)、有効期間(8/1〜8/4)、発行者のシリアル番号(DN:YYYY)、検証対象日時(8/3)を取得する。ここで、申請書に証明書そのものが含まれていた場合には、証明書から証明書のシリアル番号、有効期間、発行者のシリアル番号を取得する。
(b)検証対象日時が、証明書の有効期間内に含まれることを確認する。ここで、有効期間内に含まれなかった場合には、検証者依頼者に検証対象日時エラーを返却し、証明書失効リストの検索処理を終了する。
(c)さらに、図8を参照すると、証明書のシリアル番号、発行者のシリアル番号、検証対象日時を検索キーにして、二次記憶媒体に保管されている証明書失効リスト群の中から、指定の発行者から発行された検証対象日時以降のもっとも近い発行日時を持つ証明書失効リスト(発行日時:8/5)を検索し、証明書のシリアル番号(SN:XXXX)の記載の有無を確認する。
【0013】
(6)報告書の送信処理
検証システムは、電子データ編集手段を用いて、(5)で確認した情報を元に検証結果報告書である電子ファイルを作成し、電子データ通信手段を用いて、検証依頼者へ送付する。
検証結果報告書には、検証対象日時が証明書の有効期間に含まれ、かつ、証明書失効リストに証明書のシリアル番号が記載されていなかった場合に、証明書が有効であることを記載し、また、検証対象日時が証明書の有効期間に含まれ、かつ、証明書失効リストに証明書のシリアル番号が記載されていた場合には、証明書が無効であることを記載する。また、検証対象日時の有効期間に含まれなかった場合には、申請書の検証対象日時が不正であることを記載する。
(7)報告書の受信処理
検証依頼者は、電子データ通信手段を用いて、(6)で送付された検証結果報告書を受理する。
以上により検証システムは、検証依頼者に対して、対象となる証明書が有効期限切れとなり、その無効化情報の最新の証明書失効リストへの記載が保証されない状況にあっても、その証明書が有効期間内の特定日時において有効であったか否かを報告することが可能となる。
【0014】
【発明の効果】
本発明は、対象となる証明書が有効期限切れとなり、その無効化情報が最新の証明書失効リストへの記載が保証されない状況であっても、その証明書が有効期間内の特定日時において有効であったか否かを報告することができる、公開鍵証明書の有効性検証システムを提供することができる。その理由として、検証システムは、認証システムが発行する証明書失効リストを取得し、保管するという処理を任意のタイミングで継続的に実行するように構成されているため、有効期間内の特定日時における証明書の有効性検証の依頼に対して、保管してある証明書失効リスト群の中から、有効期間内の特定日時の直後に発行された証明書失効リストを検索し、証明書の失効の有無を確認し報告することができるためである。
【図面の簡単な説明】
【図1】従来の技術における公開鍵署名の有効性検証手順の説明図。
【図2】従来の技術における公開鍵署名の有効性検証手順の課題の説明図。
【図3】本発明が適用されるシステム構成図。
【図4】本発明を実現するための処理の流れ図。
【図5】本発明における証明書管理手段の構成、処理の流れ図。
【図6】本発明における証明書失効リストの検索処理手段の構成、処理の流れ図。
【図7】本発明における証明書失効リストの検索処理の説明図。
【図8】本発明における証明書失効リストの検索と証明書シリアル番号の確認の説明図。
【符号の説明】
1 検証システム
1−1 証明書失効リスト管理手段
1−2 証明書有効性確認手段
2 認証システム
3 検証依頼者端末[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a system using public key cryptography, and more particularly to a system for verifying the validity of a public key certificate corresponding to a signature attached to an electronic document.
[0002]
[Prior art]
Normally, a system that verifies the validity of a public key certificate corresponding to a signature attached to an electronic document is the latest public key certificate that is issued by an authentication system and then contains revocation information of a revoked public key certificate. Refer to the certificate revocation list and report the validity at a specific date and time within the validity period of the public key certificate set at the time of issuance of the public key certificate based on whether the serial number of the target public key certificate is described or not It is to do. The public key certificate revocation list contains revocation information such as the serial number of the public key certificate that has been revoked for reasons such as job changes or suspicion of leakage of private key (private key) corresponding to the public key. It is what.
[0003]
A procedure for verifying the validity of a public key certificate according to the prior art will be described with reference to FIG.
The validity period of the verification target public key certificate is shown in FIG. If the subject public key certificate expires at the expiration date and time within the validity period due to the above reasons, the first certificate revocation for which invalidation information such as the serial number of the public key certificate and the expiration date is periodically issued Listed in list (1). The verification requester checks whether or not the target certificate has been revoked at a specific date and time within the validity period by searching the certificate revocation list at the current date and time within the validity period of the target public key certificate.
[0004]
[Problems to be solved by the invention]
The problem with the conventional technology is that if the target public key certificate expires, even if the latest public key certificate revocation list is referred to, the public key certificate will be at a specific date and time within the validity period. It may not be possible to report whether it was effective or not.
For the reason, referring to RFC 2459, there is a description of "An entry may be removed from the CRL after appearing on one regularly scheduled CRL issued beyond the revoked certificate's validity period." After the certificate expires, it is guaranteed that the public key certificate revocation list that is issued first contains revocation information such as the serial number and revocation date of the public key certificate. However, it is not guaranteed to be included in the public key certificate revocation list issued after that.
[0005]
Next, a problem to be solved by the invention will be described with reference to FIG.
The validity period and revocation date of the subject certificate are shown in the figure. The verification requester confirms whether or not the target certificate has been revoked at a specific date and time within the valid period by searching the certificate revocation list (3) at the current date and time after the valid period of the target public key certificate. In this case, after the target public key certificate expires for the reason described above, the revocation information is listed in the first public key certificate revocation list (2) to be issued, but the next published public key certificate is issued. There is a possibility that the revocation information is not described in the key certificate revocation list (3). Therefore, it may not be possible to confirm whether or not the public key certificate has been revoked at a specific date and time at the current date and time shown in FIG.
The purpose of the present invention is that even if the target public key certificate has expired and the revocation information is not guaranteed to be listed in the latest public key certificate revocation list, the public key certificate is valid. It is an object of the present invention to provide a public key certificate validity verification system that includes means for reporting whether or not it is valid at a specific date and time within a period.
[0006]
[Means for Solving the Problems]
In order to solve the above problems, the validity verification system for a public key certificate of the present invention continuously obtains and stores a public key certificate revocation list periodically issued by the authentication system. By searching list management means and public key certificate revocation lists issued immediately after a specific date and time within the validity period of the public key certificate from the list of stored public key certificate revocation lists The public key certificate validity confirmation means is a means for confirming and reporting whether or not the public key certificate has expired at a specific date and time within the validity period of the public key certificate to be used. Report whether or not the public key certificate was valid at a specific date and time within the validity period, even if it has expired and it is not guaranteed that the revocation information will be included in the latest public key certificate revocation list Yo To work.
[0007]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings.
FIG. 3 shows a system configuration to which the public key certificate validity verification system is applied. This system comprises a public key certificate
The verification system can be composed of a computer having a CPU, a memory, etc., a user terminal, and a recording medium. The recording medium is a machine-readable recording medium such as a CD-ROM or a semiconductor memory, and the control program recorded therein is read by a computer to realize the above-described components.
[0008]
Next, the overall operation of the present embodiment will be described in detail with reference to the flowchart of the processing in FIG.
(Certificate Revocation List Management Unit 1-1)
(1) Certificate Revocation List Acquisition Processing The verification system acquires a certificate revocation list that is periodically issued by the authentication system.
(2) The certificate revocation list storage processing verification system checks whether the certificate revocation list acquired in (1) has been issued by the authentication system and stores it. The verification system manages the certificate revocation list necessary for realizing the certificate validity checking unit 1-2 by continuously executing the processes (1) to (2) at an arbitrary timing.
[0009]
(Certificate validity confirmation means 1-2)
(3) Request for sending the application verification requester requests the verification system to verify whether the target public key certificate is valid at a specific date and time within the valid period using the
(4) The application reception processing verification system accepts the application sent in (3).
(5) The certificate revocation list search processing verification system uses the certificate revocation list management unit 1-1 to store the certificate revocation list group based on the information included in the application acquired in (4). The certificate revocation list issued immediately after a specific date and time within the validity period is searched for, and whether or not the certificate has been revoked is confirmed.
(6) Report transmission processing The verification system creates a verification result report based on the information confirmed in (5) and sends it to the verification requester (verification requester terminal 3).
(7) Report reception processing verification requester receives the verification result report sent in (6).
As described above, the verification system allows the verification requester that the target certificate has expired and the revocation information is not guaranteed to be written in the latest certificate revocation list (that is, the current date and time in FIG. 2). ) Report whether the certificate was valid at a specific date and time within the validity period.
Next, the function and configuration of certificate revocation list management means and certificate revocation list search processing will be described with reference to FIGS.
[0010]
(Certificate Revocation List Management Unit 1-1)
(1) Certificate Revocation List Acquisition
Certificate revocation list acquisition means is to acquire a certificate revocation list by inputting the path where the certificate revocation list that is periodically issued by the authentication system exists, and is generally held by the authentication system. This can be realized by a technique for obtaining a certificate revocation list from a directory.
(2) The certificate revocation list storage processing verification system uses the electronic signature verification means to confirm that the certificate revocation list acquired in (1) is indeed issued by the authentication system. And store it in the certificate revocation list storage means.
The electronic signature verification means uses the public key contained in the public key certificate of the authentication system that can be obtained in advance by online or offline distribution means, and the certificate revocation list for which the electronic signature and signature are generated as input. Verifying that the electronic signature given to the target certificate revocation list is indeed generated by the authentication system that is the owner of the public key indicated in the public key certificate. This can be realized by public key cryptography.
Certificate revocation list storage means stores a certificate revocation list acquired at an arbitrary timing in a secondary storage medium together with the issue date and time described in the certificate revocation list, and is the same as the certificate revocation list. When the certificate revocation list exists in the secondary storage medium, the certificate revocation list is not stored, and can be realized by using a file input / output function generally provided by a computer system.
The verification system continuously executes the processing from (1) to (2) at an arbitrary timing according to the certificate revocation list issuance period by the authentication system, thereby enabling the certificate validity confirmation unit 1-2. Manage the certificate revocation list required to implement Further, as one of means for continuously executing, it is possible to refer to the next update date and time described in the acquired certificate revocation list.
[0011]
(Certificate validity confirmation means 1-2)
(3) Application request transmission processing The verification requester requests the
Here, the electronic data editing means means that on the verification requester's terminal, the serial number of the certificate to be verified, the validity period, the serial number of the issuer, or the certificate itself, and the verification target date and time are the minimum. An electronic file, which is a limited application form, is created, and can be realized by using an editor function and a file reading function generally provided by a computer system.
The electronic data communication means is used to send and receive electronic files between the verification requester's terminal and the verification system, and can be realized by using the file transfer function and file reception function that are generally provided by computer systems. It is.
(4) The application reception processing verification system accepts the application sent in (3) using the electronic data communication means.
(5) Certificate Revocation List Search Processing Here, referring to FIG. 7, the verification system uses the certificate revocation list search means based on the information included in the application acquired in (4). A certificate revocation list issued immediately after a specific date and time within the validity period is searched from the certificate revocation list group stored by the certificate revocation list management means 1-1, and whether or not the certificate is revoked is determined. Check.
[0012]
The certificate revocation list search means can be realized by performing the following (a) to (c).
(A) Analyzing the acquired application form, verifying the certificate serial number (SN: XXXX), validity period (8/1 to 8/4), issuer serial number (DN: YYYY), verification Get the target date and time (8/3). If the certificate itself is included in the application form, the certificate serial number, validity period, and issuer serial number are acquired from the certificate.
(B) Confirm that the verification target date and time is included within the validity period of the certificate. If it is not included in the valid period, a verification target date / time error is returned to the verifier requester, and the certificate revocation list search process is terminated.
(C) Further, referring to FIG. 8, the certificate revocation list group stored in the secondary storage medium using the certificate serial number, the issuer serial number, and the verification target date and time as search keys, Search the certificate revocation list (issue date: 8/5) with the closest issue date after the verification date issued from the specified issuer, and check whether the certificate serial number (SN: XXXX) is described Check.
[0013]
(6) The report transmission process verification system uses the electronic data editing means to create an electronic file that is a verification result report based on the information confirmed in (5), and using the electronic data communication means, Send to the verification requester.
The verification result report indicates that the certificate is valid when the verification target date and time is included in the validity period of the certificate and the certificate serial number is not listed in the certificate revocation list. In addition, if the verification target date and time is included in the validity period of the certificate and the certificate serial number is described in the certificate revocation list, the fact that the certificate is invalid is described. In addition, if it is not included in the validity period of the verification target date and time, it is described that the verification target date and time of the application form is invalid.
(7) Report reception processing verification requester accepts the verification result report sent in (6) using electronic data communication means.
As described above, the verification system allows the verification requester to verify that the target certificate has expired and the certificate is not valid even if the revocation information is not guaranteed to be included in the latest certificate revocation list. It is possible to report whether or not it was effective at a specific date and time within the effective period.
[0014]
【The invention's effect】
In the present invention, even if the subject certificate expires and the revocation information is not guaranteed to be included in the latest certificate revocation list, the certificate is valid at a specific date and time within the validity period. It is possible to provide a public key certificate validity verification system capable of reporting whether or not there has been. The reason is that the verification system is configured to continuously execute the process of obtaining and storing the certificate revocation list issued by the authentication system at an arbitrary timing. In response to a certificate validation request, the certificate revocation list issued immediately after a specific date and time within the validity period is searched from the stored certificate revocation list group, and the certificate revocation list is retrieved. This is because the presence or absence can be confirmed and reported.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram of a public key signature validity verification procedure in the prior art.
FIG. 2 is an explanatory diagram of a problem of a public key signature validity verification procedure in the prior art.
FIG. 3 is a system configuration diagram to which the present invention is applied.
FIG. 4 is a flowchart of processing for realizing the present invention.
FIG. 5 is a flowchart of the configuration and processing of certificate management means in the present invention.
FIG. 6 is a configuration and processing flowchart of a certificate revocation list search processing unit in the present invention.
FIG. 7 is an explanatory diagram of a certificate revocation list search process according to the present invention.
FIG. 8 is an explanatory diagram of certificate revocation list search and certificate serial number confirmation according to the present invention.
[Explanation of symbols]
DESCRIPTION OF
Claims (2)
公開鍵証明書失効の無効化情報は、公開鍵証明書の有効期限切れ後の最初に発行される証明書失効リストに記載が保証されるが、以後に発行される証明書失効リストには記載が保証されないものであり、
前記証明書失効リストを継続的に取得して、この証明書失効リストを二次記憶媒体に保管する証明書失効リスト管理手段と、
検証依頼者端末から、検証対象となる公開鍵証明書がその有効期間の任意の検証対象日時において有効であったか否かの検証を依頼する電子データである申請書を受信する第1の電子データ通信手段と、
二次記憶媒体に保管してある証明書失効リスト群の中から、申請書を解析して得た検証対象日時の直後に発行された証明書失効リストを検索し、この証明書失効リストを用いて、検証対象日時における検証対象である公開鍵証明書の失効の有無を確認する証明書失効リスト検索手段と、
検証依頼者端末に上記確認の情報を報告する第2の電子データ通信手段と
を備えたことを特徴とする公開鍵証明書の有効性検証システム。Using a certificate revocation list issued periodically by the authentication system, the validity verification of the public key certificate that reports whether the public key certificate to be verified was valid at any date and time within its validity period In the system,
The revocation information for public key certificate revocation is guaranteed to be included in the certificate revocation list that is issued first after the expiration of the public key certificate, but is not included in the certificate revocation list that is issued thereafter. Is not guaranteed,
Certificate revocation list management means for continuously acquiring the certificate revocation list and storing the certificate revocation list in a secondary storage medium;
First electronic data communication for receiving, from the verification requester terminal, an application form that is electronic data for requesting verification of whether or not the public key certificate to be verified is valid at an arbitrary verification target date and time of its validity period Means,
Search the certificate revocation list issued immediately after the verification date and time obtained by analyzing the application from the group of certificate revocation lists stored in the secondary storage medium, and use this certificate revocation list. A certificate revocation list search means for confirming whether or not the public key certificate to be verified is revoked at the verification target date and time,
A public key certificate validity verification system, comprising: second electronic data communication means for reporting the confirmation information to a verification requester terminal.
上記第1の電子データ通信手段が、
検証依頼者端末から、検証対象となる公開鍵証明書のシリアル番号、有効期間、発行者のシリアル番号および検証対象日時からなる電子データである申請書、あるいは、検証対象となる公開鍵証明書そのものおよび検証対象日時からなる電子データである申請書を受信するものであり、
上記証明書失効リスト検索手段が、
申請書を解析して得た検証対象日時が公開鍵証明書の有効期間内に含まれることを確認し、次いで、検証対象となる公開鍵証明書のシリアル番号、発行者のシリアル番号、検証対象日時を検索キーとして二次記憶媒体に保管されている証明書失効リスト群の中から、検証対象日時以降のもっとも近い発行日時を持つ証明書失効リストを検索し、この証明書失効リストに検証対象となる公開鍵証明書のシリアル番号が記載されているか否かを確認するものである
ことを特徴とする請求項1に記載の公開鍵証明書の有効性検証システム。The certificate revocation list stored in the secondary storage medium includes the date and time of issue, the serial number of the public key certificate, the validity period, and the issuer's serial number.
The first electronic data communication means comprises:
From the verification requester terminal, the application form is electronic data consisting of the serial number of the public key certificate to be verified, the validity period, the serial number of the issuer and the date and time of verification, or the public key certificate to be verified itself And an application form that is electronic data consisting of the verification date and time,
The certificate revocation list search means is
Confirm that the verification date and time obtained by analyzing the application form is included in the validity period of the public key certificate, and then verify the serial number of the public key certificate to be verified, the serial number of the issuer, and the verification target The certificate revocation list having the closest issue date and time after the verification date and time is searched from the certificate revocation list group stored in the secondary storage medium using the date and time as a search key, and this certificate revocation list is subject to verification. 2. The validity verification system for a public key certificate according to claim 1, wherein the system verifies whether or not a serial number of the public key certificate is described.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001331945A JP3754342B2 (en) | 2001-10-30 | 2001-10-30 | Public key certificate validity verification system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001331945A JP3754342B2 (en) | 2001-10-30 | 2001-10-30 | Public key certificate validity verification system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003134109A JP2003134109A (en) | 2003-05-09 |
JP3754342B2 true JP3754342B2 (en) | 2006-03-08 |
Family
ID=19147439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001331945A Expired - Lifetime JP3754342B2 (en) | 2001-10-30 | 2001-10-30 | Public key certificate validity verification system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3754342B2 (en) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4717378B2 (en) * | 2004-06-08 | 2011-07-06 | キヤノン株式会社 | Information processing device |
JP4694904B2 (en) * | 2005-07-11 | 2011-06-08 | 三菱電機株式会社 | Verification server and verification program |
CN101286844B (en) | 2008-05-29 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | Entity bidirectional identification method supporting fast switching |
US8423761B2 (en) | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
US8826006B2 (en) | 2008-10-31 | 2014-09-02 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate |
JP5772148B2 (en) * | 2011-03-29 | 2015-09-02 | 日本電気株式会社 | Authentication system, authentication device, certificate authority, authentication method, and program |
CN103312670A (en) | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | Authentication method and system |
CN103312499B (en) | 2012-03-12 | 2018-07-03 | 西安西电捷通无线网络通信股份有限公司 | A kind of identity identifying method and system |
-
2001
- 2001-10-30 JP JP2001331945A patent/JP3754342B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2003134109A (en) | 2003-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11223477B2 (en) | Data sharing method, client, server, computing device, and storage medium | |
EP3639465B1 (en) | Improved hardware security module management | |
CN109845220B (en) | Method and apparatus for providing blockchain participant identity binding | |
EP3966997B1 (en) | Methods and devices for public key management using a blockchain | |
US8380985B2 (en) | Certificate validation method and certificate validation server and storage medium | |
US8635449B2 (en) | Method of validation public key certificate and validation server | |
TWI252662B (en) | Method and apparatus for accelerating public-key certificate validation | |
JP4844281B2 (en) | Document management apparatus and program | |
JP4474845B2 (en) | Authentication infrastructure system with CRL issue notification function | |
RU2430412C2 (en) | Service for determining whether digital certificate has been annulled | |
KR102280061B1 (en) | Corporation related certificate issue system and method using did based on blockchain | |
US20030037234A1 (en) | Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster | |
WO2021105816A1 (en) | Methods and devices for automated digital certificate verification | |
JP3754342B2 (en) | Public key certificate validity verification system | |
CN112182009B (en) | Block chain data updating method and device and readable storage medium | |
JP3726259B2 (en) | Public key certificate validity confirmation method, public key certificate validity confirmation device user side device, and recording medium recording public key certificate validity confirmation program | |
JP2013223171A (en) | Public key infrastructure control system, certificate authority server, user terminal, public key infrastructure control method and program | |
JP2002023627A (en) | Device and method for verifying signature | |
JP2004289448A (en) | Service providing device, and method and system for verifying electronic certificate | |
JP5772148B2 (en) | Authentication system, authentication device, certificate authority, authentication method, and program | |
JP5018849B2 (en) | Authentication infrastructure system with CRL issue notification function | |
JP4582030B2 (en) | Authentication infrastructure system with CRL issue notification function | |
JP4098017B2 (en) | Report originality verification system | |
CN114066461A (en) | Identity information management method based on block chain, node and block chain system | |
KR100776692B1 (en) | Method for updating Data Validation Certificate in Data Validation and Certification Server and Method for verification of the updated Data Validation Certificate |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050906 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051028 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20051028 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051129 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051215 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3754342 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091222 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101222 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101222 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111222 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111222 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121222 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121222 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131222 Year of fee payment: 8 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |