JP3801782B2 - Certificate collecting information generating device, certificate verification device and a public key encryption operation system - Google Patents

Certificate collecting information generating device, certificate verification device and a public key encryption operation system Download PDF

Info

Publication number
JP3801782B2
JP3801782B2 JP17511498A JP17511498A JP3801782B2 JP 3801782 B2 JP3801782 B2 JP 3801782B2 JP 17511498 A JP17511498 A JP 17511498A JP 17511498 A JP17511498 A JP 17511498A JP 3801782 B2 JP3801782 B2 JP 3801782B2
Authority
JP
Japan
Prior art keywords
certificate
information
verification
revocation
cert
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP17511498A
Other languages
Japanese (ja)
Other versions
JP2000010477A (en
Inventor
淳 吉武
裕之 榊原
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to JP17511498A priority Critical patent/JP3801782B2/en
Publication of JP2000010477A publication Critical patent/JP2000010477A/en
Application granted granted Critical
Publication of JP3801782B2 publication Critical patent/JP3801782B2/en
Anticipated expiration legal-status Critical
Application status is Expired - Fee Related legal-status Critical

Links

Images

Description

【0001】 [0001]
【発明の属する技術分野】 BACKGROUND OF THE INVENTION
この発明は、証明証を発行し、検証するために用いられる証明証収集情報生成装置、証明証検証装置およびこれらの装置から構成される公開鍵暗号運用システムに関するものである。 This invention issues a certificate, verifying certificate collecting information generating apparatus to be used for, to a certificate verification device and a public key encryption operation system constituted by these devices.
【0002】 [0002]
【従来の技術】 BACKGROUND OF THE INVENTION
従来の証明証の発行、検証方式としては、文献「デジタル署名と暗号技術、ウォーイック・フォード・マイケル・バウム著、株式会社プレンティスホール出版、1997発行」に記載されているX. Issuance of a conventional certificate, as the verification method, the literature "digital signature and encryption technology, Woikku Ford Michael Baum al., Co., Ltd. Prentice Hall Publishing, 1997 issue" X. listed in 509証明書(証明証)の検証方式や、文献「PKIX Working GroupによるInternet Public Key Infrastructure X.509 Certificate and CRL Profile(Internet−Drafts)」に記載されている発行、検証方式等が存在する。 509 and verification system of the certificate (certificate), issued that have been described in the literature, "according to the PKIX Working Group Internet Public Key Infrastructure X.509 Certificate and CRL Profile (Internet-Drafts)", verification method, and the like are present. これらの従来の発行、検証方式では、X. These conventional issues, the validation method, X. 509、ver. 509, ver. 1、ver. 1, ver. 3の証明証における検証方法が記載されている。 Verification methods have been described in 3 of the certificate.
【0003】 [0003]
図6は、上記した従来技術である文献「デジタル署名と暗号技術」に記載されている証明証の検証方式の一例を示す説明図である。 Figure 6 is an explanatory diagram showing an example of the verification system certificate described in the literature "Digital Signatures and Encryption technology" is a prior art described above. 図において、認証局(CA1a)E101a、認証局(CA2a)E102a、認証局(CA3a)E103aは階層構造を構成しており、認証局(CA1a)E101aは自己署名証明証である証明証(Cert_CA1a)D101aを自分自身で発行し、さらに、認証局(CA2a)E102aへ証明証(Cert_CA2a)D102aを発行する。 In the figure, the certification authority (CA1a) E101a, certificate authority (CA2a) E102a, certificate authority (CA3a) E103a constitute a hierarchical structure, a certificate authority (CA1a) E101a is certificate is self-signed certificate (Cert_CA1a) issue the D101a on their own, further, to issue a certificate (Cert_CA2a) D102a to the certificate Authority (CA2a) E102a. 認証局(CA2a)E102aは、認証局(CA3a)E103aへ証明証(Cert_CA3a)D103aを発行し、認証局(CA3a)E103aは、UserAへ証明証(Cert_UserA)D104aを発行する。 Certificate Authority (CA2a) E102a issues a certificate (Cert_CA3a) D103a to the Certificate Authority (CA3a) E103a, the certification authority (CA3a) E103a issues a certificate (Cert_UserA) D104a to UserA.
【0004】 [0004]
上記した階層構造を有する証明証の発行形態における各証明証の検証方式を以下に説明する。 Explaining the verification method for each certificate in the issuing form of certificate having a hierarchical structure described above below. 先ず、証明証(Cert_CA1a)D101aを検証する場合、この証明証(Cert_CA1a)D101aは、認証局(CA1a)E101aが自分自身に対して発行した自己署名証明証であるので、それ自身で検証可能である。 First of all, if you want to verify the certificate (Cert_CA1a) D101a, this certificate (Cert_CA1a) D101a, because the certification authority (CA1a) E101a is a self-signed certificate issued to themselves, it can be verified by itself is there.
【0005】 [0005]
次に、証明証(Cert_CA2a)D102aを検証する場合は、上位の階層に属する認証局が発行した証明証(Cert_CA1a)D101aが必要になる。 Then, if you want to verify the certificate (Cert_CA2a) D102a is, certificate authentication station belonging to the upper hierarchy issued (Cert_CA1a) D101a is required. 同様に、証明証(Cert_CA3a)D103aを検証する場合は、その上位の階層に属する認証局が発行した証明証(Cert_CA2a)D102aが必要になり、また証明証(Cert_UserA)D104aを検証する場合は、その上位の階層に属する認証局が発行した証明証(Cert_CA3a)D103aを必要とする。 Similarly, if the case to verify the certificate (Cert_CA3a) D103a, the certificate that the certification authority has issued belonging to the hierarchy of the higher-level (Cert_CA2a) D102a is required, and also to verify the certificate (Cert_UserA) D104a is, require the hierarchy belonging to the certification authority of the higher order issued by certificate (Cert_CA3a) D103a.
【0006】 [0006]
即ち、証明証の検証においては、最上位の証明証D101a以外は、その上位の階層に属する認証局が発行した証明証を必要とする。 That is, in the verification of the certificate, except for the top of the certificate D101a requires a certificate issued by the certificate authority that belong to the hierarchy of its ancestors. 例えば、証明証(Cert_UserA)D104aを検証する場合は、証明証(Cert_CA3a)D103a、証明証(Cert_CA2a)D102a、証明証(Cert_CA1a)D101aを収集し、段階的にこれらの証明証の正当性を検証する必要がある。 For example, when verifying certificate (Cert_UserA) D104a is certificate (Cert_CA3a) D103a, certificate (Cert_CA2a) D102a, collects certificate (Cert_CA1a) D101a, stepwise verifies the validity of these certificates There is a need to.
【0007】 [0007]
図7は、図6に示した各証明証の構成を示す説明図であり、図において、各証明証は、検証に必要な上位証明証の識別子を含んでいる。 Figure 7 is an explanatory diagram showing the configuration of each certificate shown in FIG. 6. In the figure, each certificate contains the identifier of the upper certificate required to verify. 例えば、証明証(Cert_UserA)D104aにおいては、中に含まれる識別子Cert_CA3a_IDが上位の証明証(Cert_CA3a)D103aを指定している。 For example, in the certificate (Cert_UserA) D104a, identifier Cert_CA3a_ID contained in specifies a higher certificate (Cert_CA3a) D103a. 従来における標準的な証明証であるX. It is a standard certificate in the conventional X. 509ver. 509ver. 3の規定では、この証明証の識別子の内容として、発行者Issuer、Authority Key Identifierが該当する。 In 3 of the provision, as the content of the identifier of this certificate, the issuer Issuer, the Authority Key Identifier applicable. Authority Key Identifierは、上位の証明証に含まれる発行者(Issuer)と通し番号(Serial Number)、又は、key Identifierという上位の証明証に含まれる公開鍵に割り振られた一意な識別子である。 Authority Key Identifier is, the issuer that are included in the higher-level certificate (Issuer) and serial number (Serial Number), or, is a unique identifier that is allocated to the public key that is included at the top of the certificate of key Identifier.
【0008】 [0008]
従って、ある証明証を検証しようとした場合、その証明証内を調べ、その中に含まれている検証に必要な証明証の識別子を基に、上位の階層の証明証を収集し、その上位の証明証内に含まれている検証に必要な証明証の識別子を基に、さらに上位の階層の証明証を収集するといった段階的な作業を必要とし、自己署名証明証である自分自身で検証が可能な最上位の認証局の証明証まで遡る必要があった。 Therefore, there is if you try to verify the certificate, examine the inside of the certificate, on the basis of the identifier of the certificate necessary for the verification contained therein, to collect the certificate of the top of the hierarchy, the higher on the basis of the identifier of the certificate necessary to verify that are included in the certificate of further requires a step-by-step tasks such as to collect the certificate of the top of the hierarchy, verification on their own is a self-signed certificate it was necessary to have traced back to the top of the certificate authority of the certificate as possible. そして遡った上で、各証明証間の発行者と持ち主、有効期限、署名などの整合性の検証を行い、全ての証明証の整合性が確認できた後に、証明証(Cert_UserA)D104aを検証できたものとしていた。 And on in going back, publisher and owner, expiration date between each certificate, verifies the integrity of such signature, after the integrity of all of the certificate was confirmed, verify the certificate (Cert_UserA) D104a It was what was possible.
【0009】 [0009]
上記した従来の場合では、最上位の証明証、例えば、図6における最上位の証明証(Cert_CA1a)D101aに信頼の根拠をおくので、この証明証が改ざんされたかどうかに関してチェックを行って正否を判断する。 In the case of the conventional described above, the top of certificate, for example, since placing the grounds for confidence at the top of certificate (Cert_CA1a) D101a in FIG. 6, the right or wrong by performing a check as to whether this certificate has been tampered to decide. 例えば、そのハッシュ値を、信頼ある公共の情報媒体である新聞紙上等に掲載し、検証者はこの掲載されたハッシュ値を確認することで改ざんの有無をチェックしていた。 For example, the hash value, and newspaper choice to me is a reliable public information media, the verifier was checking the presence or absence of falsification by checking the posted hash value.
【0010】 [0010]
ところで、ある階層での証明証の検証に、その1つ上位の階層に属する証明証を用いて段階的に検証することに加えて、認証局の中では失効管理を実施している場合がある。 Incidentally, the verification of the certificate in a certain layer, in addition to stepwise verified using certificate belonging to the hierarchy of the one upper, in some cases to have performed revocation management in the certificate authority . 図8は、認証局がX. 8, certificate authority X. 509のCertificate Revocation List(CRL)を発行している場合を示す説明図である。 If issuing 509 Certificate Revocation List to (CRL) is an explanatory view showing a. Certificate Revocation Listは、有効期限が切れる以前に何らかの理由で証明証が失効したことを示す情報であり、認証局が発行した証明証のうち失効している証明書の識別子がリストとして含まれている。 Certificate Revocation List is information indicating that the certificate for any reason before it expires has expired, the identifier of the certificate that the certification authority has been revoked of the issued certificate is included as a list . X. X. 509のCRLでは署名が付加され、この署名を検証するためには、その認証局が保持する証明証が必要となる。 509 The CRL signature is added in order to verify the signature, it is necessary certificate for the certificate authority held.
【0011】 [0011]
UserAが自分の証明証を検証するためには、上述の証明証の段階的な検証に加え、CRLを利用して各証明証の失効の有無をチェックする必要がある。 In order to UserA to verify his or her certificate, in addition to the step-by-step verification of the above-mentioned certificate, it is necessary to check the presence or absence of the revocation of the certificate by using a CRL. D121aは認証局(CA1a)E101aが発行するCRL(CRL_CA1a)で、証明証(Cert_CA2a)D102aの失効の有無のチェックに用い、D122aは認証局(CA2a)E102aが発行するCRL(CRL_CA2a)で、証明証(Cert_CA3a)D103aの失効の有無のチェックに用い、D123aは認証局(CA3a)E103aが発行するCRL(CRL_CA3a)で、証明証(Cert_UserA)D104aの失効のチェックに用いる。 D121a in the CRL (CRL_CA1a) issued by the certification authority (CA1a) E101a, used to check the presence or absence of the revocation of the certificate (Cert_CA2a) D102a, D122a in the CRL (CRL_CA2a) issued by the certification authority (CA2a) E102a, certification used to check the presence or absence of the expiration of the testimony (Cert_CA3a) D103a, D123a in the CRL (CRL_CA3a) issued by the certification authority (CA3a) E103a, used for revocation checking of the certificate (Cert_UserA) D104a. CRLは、各認証局が公開しており、UserAは各CRLを取得する必要がある。 CRL is, each authentication station is opened to the public, UserA, it is necessary to get each CRL. この方式を、以下の説明ではCRL方式と呼ぶ。 This method, referred to as the CRL system in the following description.
【0012】 [0012]
また、図9は、失効の有無のチェックをCRLを用いる代わりに、直接に認証局へ問い合わせる方式を示す説明図である。 Further, FIG. 9, a check of presence or absence of revocation Instead of using the CRL, is an explanatory diagram showing a method to query directly to a certificate authority. この例では、UserA'が証明証(Cert_CA3a)D103aの失効を確認するために失効管理を行っている認証局(CA2a)E102aへ、証明証(Cert_CA3a)D103a又はその識別子であるCert_CA3a_IDを渡して、失効の有無に関して問い合わせを行う。 In this example, UserA 'the certificate (Cert_CA3a) D103a authentication stations which are performing the revocation management in order to confirm the revocation of the (CA2a) E102a, passing the certificate (Cert_CA3a) D103a or Cert_CA3a_ID its identifier, It makes an inquiry for the presence or absence of revocation. この方式を、以下の説明では問い合わせ方式と呼ぶ。 This method, referred to as inquiry method in the following description.
【0013】 [0013]
図10は、領域A,Bにおける各ユーザの所属する認証局の関係を示す説明図である。 Figure 10 is an explanatory diagram showing an area A, the relationship belongs certification authority of each user in the B. 図10に示すように、UserAが所属する認証局(CA1a)E201a、認証局(CA2a)E202a、認証局(CA3a)E203aにより運営される領域Aと、UserBが所属する認証局(CA1b)E201b、認証局(CA2b)E202b、認証局(CA3b)E203bにより運営される領域Bにおいて、各領域A,B内の各認証局がそれぞれ階層構造を構成し、図6に示した場合の様に、階層的に証明証を発行している環境を示している。 As shown in FIG. 10, the authentication station (CA1a) E201a that UserA belongs, the certificate authority (CA2a) E202a, certificate authority (CA3a) a region A which is operated by E203a, certificate authority UserB belongs (CA1B) E201b, certificate Authority (CA2b) E202b, in the region B which is managed by the certificate authority (CA3b) E203b, each region a, the certificate authority constitute a hierarchical structure within each B, as in the case shown in FIG. 6, the hierarchy It shows the manner environment that has issued the certificate. 加えて、認証局(CA2a)E202aが認証局(CA2b)E202bへ証明証(Cert_CAb2')D202b'を発行して、領域Aのエンティティが領域Bのエンティティの証明証を検証することが可能である。 In addition, by issuing a certificate authority (CA2a) E202a certificate authority (CA2b) E202b to certificate (Cert_CAb2 ') D202b', the entity of the region A is capable of verifying the entity certificate area B .
【0014】 [0014]
文献「デジタル署名と暗号技術」や、文献「Internet PublicKey Infrastructure X.509 Certificate and CRL Profile(Internet−Drafts)」における、相互認証(Cross Certification)は、図10に示した方式を採用している。 Document "Digital Signatures and Encryption technology" and, in the literature "Internet PublicKey Infrastructure X.509 Certificate and CRL Profile (Internet-Drafts)" mutual authentication (Cross Certification) employs the method shown in FIG. 10. これは、図10において、UserAが、UserBの証明証(Cert_UserB)D204bを検証する場合、図11に示す様に、証明証Cert_UserB内に含まれる検証に必要な証明証識別子Cert_CA3b_IDを調べることで、証明証(Cert_CA3b)D203bを得る。 This is because, in FIG. 10, UserA is when verifying UserB the certificate (Cert_UserB) D204b, as shown in FIG. 11, by examining the certificate identifier Cert_CA3b_ID required to verify contained within certificate Cert_UserB, obtain a certificate (Cert_CA3b) D203b. さらに、認証局(CA2a)E202aが認証局(CA2b)E202bへ発行している証明証(Cert_CA2b')D202b'を得る。 In addition, to obtain a certificate authority (CA2a) E202a certificate authority (CA2b) issued to E202b to have certificate (Cert_CA2b ') D202b'.
【0015】 [0015]
加えて、証明証(Cert_CA2b')D202b'内に含まれる検証に必要な証明証識別子Cert_CA2a_IDを調べて領域Aの証明証(Cert_CA2a)D212aを獲得し、その中に含まれる識別子Cert_CA1a_IDを調査することで、証明証(Cert_CA1a)D201aを得ている。 In addition, certificate (Cert_CA2b ') D202b' certificate region A examines the certificate identifier Cert_CA2a_ID required to verify contained within won (Cert_CA2a) D212a, examining the identifier Cert_CA1a_ID contained therein in, to obtain a certificate (Cert_CA1a) D201a.
【0016】 [0016]
図11は、図10に示す2つの領域A,B内での証明証の検証の流れを示す説明図である。 Figure 11 is an explanatory diagram showing a flow of a verification of the certificate of the two areas A, in B of FIG. 10. 証明証(Cert_CA1a)D201aは、UserAが属する領域Aの最上位の認証局(CA)の発行する証明証に信頼をおくものなので、図11内の破線で示されるパスに沿った検証が可能になる。 Certificate (Cert_CA1a) D201a is, so that put trust certificate issued by the certification authority of the uppermost region A UserA belongs (CA), to be capable of verification along the path indicated by the broken line in FIG. 11 Become. 上記した様に、証明証を収集した上で、或いは収集しながら、証明証(Cert_UserB)D204bを証明証(Cert_CA3a)D203bで、証明証(Cert_CA3b)D203bを証明証(Cert_CA2b')D202b'で、証明証(Cert_CA2b')D202b'を証明証(Cert_CA2a)D202aで、そして、証明証(Cert_CA2a)D202aを証明証(Cert_CA1a)D201aで、証明証(Cert_CA1a)D201aはそれ自身を用いて検証することで、全ての証明証を段階的に検証し、最終的にCert_UserBを信頼できるものとみなす。 As described above, we should gather the certificate, or while collecting, certificate (Cert_UserB) D204b a certificate in (Cert_CA3a) D203b, in a certificate (Cert_CA3b) D203b the certificate (Cert_CA2b ') D202b', certificate the (Cert_CA2b ') D202b' in the certificate (Cert_CA2a) D202a, and, certificate (Cert_CA2a) D202a a certificate in (Cert_CA1a) D201a, certificate (Cert_CA1a) D201a than be verified using its own , to verify all of the certificate in stages, eventually deemed to be able to trust the Cert_UserB. 上記した従来例の場合においても、図8および図9に示すように失効管理がされている場合は、同様の失効のチェックを行う必要がある。 In the conventional example described above also, if it is the revocation manager as shown in FIGS. 8 and 9, it is necessary to check the same revocation.
【0017】 [0017]
【発明が解決しようとする課題】 [Problems that the Invention is to Solve
上記した従来の証明証の発行、検証方式の各々において、図6〜図8に示した環境では、検証する証明証の上位の証明証を収集し、その中に含まれる検証内に記載されている上位の証明証の識別子を元に、さらに上位の証明証を収集するという操作を繰り返し、階層構造の最上位に位置する自己署名証明証を獲得するまで収集動作を繰り返す必要があった。 Issuance of a conventional certificate described above, in each of the verification system, the environment illustrated in FIGS. 6-8, to collect higher certificate of certificate verifying, are described in the verification contained therein based on the identifier of the upper certificate that are further repeated operation of collecting the upper certificate, it is necessary to repeat the collection operation until obtaining a self-signed certificate that is at the top of the hierarchy. この収集の動作が終了した場合、収集した証明証を用いて、各証明証間の整合性の検証を行うものである。 If the operation of this collection has been completed, by using the collected certificate, and performs verification of consistency between the certificate.
【0018】 [0018]
又は、検証対称の証明証の上位の階層に位置する証明証を収集し、2つの証明証間の整合性を検証し、検証の結果、整合性が満たされる場合、上位の階層の証明証に含まれる、検証に必要な上位の階層の証明証の識別子を元に、さらに上位の階層の証明証を収集して、2つの整合性を検証するという操作を繰り返し、自己署名証明証に至るまで操作を繰り返すものである。 Or collects certificate located at a higher level of validation symmetrical certificate, verifies the consistency between the two certificate, the result of the verification, if the consistency is satisfied, the certificate of the upper layer included, based on the identifier of the upper layer of the certificate necessary for the verification, further collects the certificate of the upper hierarchy, repeat an operation of verifying the two consistency, up to a self-signed certificate it is intended to repeat the operation.
【0019】 [0019]
これらの従来の方式において、証明証の中の検証に必要な証明証識別子を調べて、上位証明証を収集するという作業には多くの時間を必要とし、結果として検証作業に多くの時間を必要とするといった課題があった。 In these conventional methods, examine the certificate identifier necessary for the verification in the certificate, the task of collecting the higher-level certificate requires a lot of time, it requires a lot of time in verification work as a result there is a problem such as a.
【0020】 [0020]
さらに、認証局が失効管理を行っている場合では、CRLを利用し、また直接に認証局へ問い合わせを行って失効の有無の確認をする必要があったが、証明証を得るためのパス上に存在する証明証は、段階的に取得されるため、その失効を調べるという処理を、パス上の証明証に対して段階的に繰り返す必要があり、その結果、証明証の収集と同様に多くの時間を必要とするという課題があった。 In addition, if the certificate authority is doing the revocation management, and use of the CRL, also it was necessary to confirm the presence or absence of revocation go directly to the inquiry to the certificate authority, on the path in order to obtain a certificate certificate that exist, since the stepwise acquisition, a process of examining the revocation must be repeated stepwise relative certificate on the path, as a result, like the collection of certificate number there is a problem that the need of the time.
【0021】 [0021]
さらに、図10および図11に示した従来の環境では、証明証(Cert_CA3b)D203bを検証するために必要とする証明証の識別子は、その上位の階層にあるCert_CA2bを指しているにもかかわらず、署名を検証するために必要な公開鍵が、証明証(Cert_CA2b)D202bおよび証明証(Cert_CA2b')D202b'の両方に含まれていた。 Furthermore, in the conventional environment shown in FIGS. 10 and 11, the identifier of the certificate that is required to verify the certificate (Cert_CA3b) D203b, despite pointing to Cert_CA2b in the hierarchy below the upper , public key required to verify the signature, had been included in both the certificate (Cert_CA2b) D202b and certificate (Cert_CA2b ') D202b'. 通常は、証明証(Cert_CA3b)D203b内には識別子Cert_CA2b_IDが含まれており、黒い矢印で示されるパスを経由することになる。 Typically, the certificate (Cert_CA3b) in D203b contains an identifier Cert_CA2b_ID, goes through the path indicated by the black arrow.
【0022】 [0022]
しかし、領域A内のUserAが、領域Bの証明証(Cert_UserB)D204bを検証するためには、図11内の破線で示したパスに沿って、証明証(Cert_UserB)、証明証(Cert_CA3b)D203b、証明証(Cert_CA2b')D202b'、証明証(Cert_CA2a)D202a、証明証(Cert_CA1a)D201aおよびそのパスを指定する必要がある。 However, UserA in the area A in order to validate the certificate (Cert_UserB) D204b region B along the path indicated by the broken line in FIG. 11, certificate (Cert_UserB), certificate (Cert_CA3b) D203b , certificate (Cert_CA2b ') D202b', certificate (Cert_CA2a) D202a, it is necessary to specify the certificate (Cert_CA1a) D201a and its path. また、証明証(Cert_CA2b)D202bと証明証(Cert_CA2b')D202b'の双方が存在する状態下で、証明証(Cert_CA2b')D202b'を含むパスを選択するには、可能性のある全てのパス、即ち、Cert_UserB、Cert_CA3b、Cert_CA2b、Cert_CA1bというパスとCert_UserB、Cert_CA3b、Cert_CA2b'、Cert_CA2a、Cert_CA1aというパスを調べて、自分が属する領域Aの最上位の証明証であるCert_CA1aが存在するパスを検証し選択する必要がある。 Further, in a state under which both are present certificate (Cert_CA2b) D202b and certificate (Cert_CA2b ') D202b', certificate (Cert_CA2b ') to select a path that contains D202b' is all possible paths , that is, Cert_UserB, Cert_CA3b, Cert_CA2b, path and Cert_UserB that Cert_CA1b, Cert_CA3b, Cert_CA2b ', Cert_CA2a, examine the path that Cert_CA1a, verify the path that you are the top of the certificate of area a, which belongs Cert_CA1a exists it is necessary to select.
【0023】 [0023]
しかしながら、上記した様に全パスを調べる従来の方式では、証明証を収集してパスを発見するため多くの時間を必要とするという課題があった。 However, in the conventional method to investigate the full path as described above, there is a problem that it requires a lot of time to find a path to collect certificate. また、失効管理が行われている場合は、上述した失効管理に関する従来の課題と同様に、処理がさらに遅延するという課題があった。 Also, if the revocation manager being performed, as in the conventional issues revocation manager described above has a problem that the process is further delayed.
【0024】 [0024]
上記した文献「デジタル署名と暗号技術」および文献「Internet Public Key Infrastructure X.509 Certificate and CRL Profile(Internet−Drafts)」において、検証方式の実装における高速化に関して、記載は特にない。 In the above-mentioned document "Digital Signatures and Encryption technology" and the document "Internet Public Key Infrastructure X.509 Certificate and CRL Profile (Internet-Drafts)", with respect to speed in the implementation of the verification system, wherein no particular.
【0025】 [0025]
この発明は上記のような課題を解決するためになされたもので、ある階層の証明証の検証のために必要な上位の階層の証明証を収集する時間を短縮でき、又、収集した段階で前もって検証することで、検証対象の証明証の検証時間を短縮可能な、また、認証局が異なる複数領域のエンティティ間で証明証を検証する場合に証明証のパスを決定し、また、失効管理が行われている場合の失効の確認動作を効率化する証明証収集情報生成装置、証明証検証装置、およびこれらの装置を含む公開鍵暗号運用システムを得ることを目的とする。 The present invention has been made to solve the above problems, it is possible to shorten the time to collect the upper layer of the certificate necessary for the verification of the certificate of a certain layer, and in the collected phase by advance verification, which can shorten the verification time of the verification target certificate, also determine the path of the certificate if the certificate authority to verify the certificate between entities in different regions, and the revocation management and an object thereof is certificate collecting information generating apparatus for efficient check operation of revocation when being performed, certificate verification device, and that obtaining a public key encryption operation system including those apparatuses.
【0026】 [0026]
【課題を解決するための手段】 In order to solve the problems]
この発明に係る証明証収集情報生成装置は、 証明証パス登録情報を入力して記憶する証明証パス登録情報登録部と、前記証明証パス登録情報登録部から出力された前記証明証パス登録情報に含まれる証明証パス情報登録識別子を、証明証収集情報識別子とエンティティの識別子で置換した証明証収集情報を生成する証明証収集情報生成部とを備え、前記証明証パス登録情報は、検証対象証明証を発行する第1の認証局の識別子と、前記検証対象証明証の検証に必要な検証用証明証の識別子と、前記検証用証明証の失効管理に関する情報と、前記証明証パス登録情報を示す証明証パス情報登録識別子とを連結して生成された情報であり、前記証明証収集情報識別子は、前記証明証収集情報を示す識別子であり、前記エンティティの識別子は、証 The present invention certificate collecting information generating apparatus according to includes a certificate path registration information registering unit that stores enter the certificate path registration information, the certificate path registration information outputted from the certificate path registration information registration unit the certificate path information registration identifier included in, a certificate acquisition information generation unit for generating a substituted certificate collected information identifier certificate acquisition information identifier and an entity, the certificate path registration information verified the first and the identifier of the certificate authority that issued the certificate, and the identifier of the verification certificate required for the verification of the verification target certificate, and the information about the revocation manager of the verification certificate, the certificate path registration information the is information that is generated by concatenating the certificate path information registration identifier indicating the certificate acquisition information identifier is an identifier indicating the certificate acquisition information, the identifier of the entity, testimony 証パス登録情報登録部と証明証収集情報生成部とを含む実体の識別子であることを特徴とするものである。 Is characterized in that the witness pass registration information registration unit which is an identifier of the entity, including a certificate acquisition information generation unit.
【0027】 [0027]
この発明に係る証明証検証装置は、 入力した証明証収集情報から、検証対象証明証の検証に必要な検証用証明証の識別子と前記検証用証明証の失効管理に関する情報とを抽出し、証明証パス情報を生成する証明証パス解析部と、前記証明証パス解析部から出力された前記証明証パス情報に基づいて前記検証対象証明証を収集する証明証収集部と、前記証明証パス解析部から出力された前記証明証パス情報と、前記証明証収集部が収集した前記検証用証明証と、前記検証対象証明証とを入力し、前記検証用証明証の各項目及び失効状態を検証することにより、前記検証対象証明証を検証する検証部とを備えたものである。 The present invention certificate verifying device according to the from the input certificate collected information, extracts the information about the revocation manager identifier and the verification certificate of the verification certificate required to verify the verification target certificate, certification a certificate path analysis unit for generating a testimony path information, and certificate collection unit for collecting the verification target certificate based on the certificate path information outputted from the certificate path analysis unit, the certificate path analysis It said certificate path information output from section, said a verification certificate to the certificate collecting unit collects, type and said verification target certificate, verifying each item and revocation status of the verification certificate by, in which a verification unit for verifying the verification target certificate.
【0028】 [0028]
この発明に係る証明証検証装置では、 前記証明証パス解析部が出力した前記証明証パス情報を記憶する信用証明証パス情報蓄積部を備え、前記証明証パス解析部は、前記検証対象証明証に関する複数の証明証収集情報が入力された場合、入力された前記複数の証明証収集情報と、前記信用証明証パス情報蓄積部内に記憶されている前記証明証パス情報とを比較することを特徴とするものである。 The certificate verification apparatus according to the present invention, includes a credit certificate path information storage unit that stores the certificate path information the certificate path analysis unit is output, the certificate path analysis unit, the verification target certificate multiple If certificate acquisition information is entered regarding, wherein comparing the plurality of certificate collecting information entered, and said certificate path information stored in the trust certificate path information storage portion it is an.
【0029】 [0029]
この発明に係る証明証検証装置では、 前記検証用証明証を記憶する検証用証明証蓄積部を備え、前記証明証収集部は、前記証明証パス情報に基づいて、前記検証用証明証蓄積部から前記検証用証明証を検索して収集することを特徴とするものである。 In certificate verifying device according to the present invention, it includes a verification certificate storage unit that stores the verification certificate, the certificate acquisition section, based on the certificate path information, the verification certificate storage unit it is characterized in that the collecting and searching the verification certificate from.
【0030】 [0030]
この発明に係る証明証検証装置では、 検証済みの証明証を記憶する検証済み証明証蓄積部を備え、前記証明証収集部は、証明証パス情報に基づいて、前記検証済み証明証蓄積部から検証済みの前記検証用証明証を検索して収集し、前記検証部は、検証済みの前記検証用証明証は認証し、未検証の前記検証用証明証のみ検証することにより、前記検証対象証明証を検証することを特徴とするものである。 In certificate verifying device according to the invention comprises a verified certificate storage unit that stores the verified certificate, the certificate acquisition section, based on the certificate path information from the verified certificate storage unit to collect and search for validated the verification certificate, the verification unit, it validated the verification certificate to authenticate, by verifying only the verification certificate of unverified, the verification target certificate it is characterized in that to verify the testimony.
【0031】 [0031]
この発明に係る証明証検証装置では、 前記検証部は、前記検証用証明証の失効管理に関する情報が示す失効管理の有無に基づいて、前記検証用証明証の失効状態を検証することを特徴とするものである。 In certificate verification apparatus according to the present invention, the verification unit, and characterized in that based on the presence or absence of revocation management information on revocation manager of the verification certificate indicates to verify the revocation status of the verification certificate it is intended to.
【0032】 [0032]
この発明に係る証明証検証装置では、 前記証明証パス解析部から出力された証明証パス情報に基づいて、前記検証用証明証の失効情報を収集する失効情報管理部を備えたことを特徴とするものである。 In certificate verifying device according to the present invention includes a wherein based on the output certificate path information from the certificate path analysis unit, equipped with a revocation information managing unit for collecting revocation information of the verification certificate it is intended to.
【0033】 [0033]
この発明に係る証明証検証装置では、 前記失効情報管理部は、収集した前記検証用証明証の前記失効情報を蓄積し、前記検証部が前記検証用証明証の失効管理に関する情報を検証する場合に、蓄積した前記検証用証明証の前記失効情報を前記検証部に対して出力することを特徴とするものである。 In certificate verification apparatus according to the present invention, the revocation information management unit, the revocation information collected the verification certificate accumulated, when the verification unit verifies the information on revocation manager of the verification certificate to, and is characterized in that it outputs the revocation information accumulated the verification certificate to the verifying unit.
【0034】 [0034]
この発明に係る公開鍵暗号運用システムは、 前記検証対象証明証を発行する前記第1の認証局と、前記検証用証明証を発行する第2の認証局と、請求項1記載の証明証収集情報生成装置と、請求項2から請求項8のうちのいずれか1項記載の証明証検証装置とを備え、前記証明証検証装置は、前記証明証収集情報生成装置から出力された前記証明証収集情報を入力し、前記第2の認証局が発行する前記検証用証明証を検証することにより、前記第1の認証局が発行する前記検証対象証明証を検証することを特徴とするものである。 Public key cryptographic operation system in accordance with the invention, the said first CA issuing verified certificate, the second certificate authority to issue the verification certificate, certificate collection of claim 1, wherein an information generating device, and a certificate verifying apparatus according to any one of claims 8 claims 2, wherein the certificate verification device, the certificate output from the certificate acquisition information generating device enter the collected information, by the second certification authority to verify the verification certificate to be issued, characterized in that verifying the verification target certificate to the first certification authority issues is there.
【0035】 [0035]
【発明の実施の形態】 DETAILED DESCRIPTION OF THE INVENTION
以下、この発明の実施の一形態を説明する。 Hereinafter, an embodiment of the present invention.
実施の形態1. The first embodiment.
図1は、この発明の実施の形態1による証明証収集情報生成装置を示すブロック図であり、図において、D501は証明証パス登録情報、D502は証明証収集情報、そして500は、証明証パス登録情報D501を入力し、証明証収集情報D502を出力する証明証収集情報生成装置である。 Figure 1 is a block diagram showing a certificate acquisition information generating apparatus according to a first embodiment of the present invention. In the figure, D501 is certificate path registration information, D502 is certificate information collected and 500, is certificate path enter the registration information D501, a certificate acquisition information generating device for outputting certificate acquisition information D502. 証明証パス登録情報D501は、証明証パス情報登録識別子CertPathRegInf_IDと、この情報を提供する認証局の識別子と、登録する認証局の証明証の識別子と、その証明証を検証するために必要な上位証明証の識別子と、失効確認手段とを、下位認証局の証明証から上位認証局の証明証へ向かって配列され構成されている。 Certificate path registration information D501 is, and the certificate path information registration identifier CertPathRegInf_ID, and the identifier of the certificate authority to provide this information, and the identifier of the certification authority of the certificate to be registered, the most necessary in order to verify the certificate and the identifier of the certificate, the revocation checking means, are arranged from the lowest level certificate authority certificate to a higher-level certification authority of the certificate is configured. 以下の説明において、証明証の識別子は、発行者の識別子と通し番号等、証明証を一意に特定できるものとし、付加情報がある場合はこの付加情報を加えたものとする。 In the following description, the identifier of the certificate, identifier and serial number, etc. of the issuer, and shall uniquely identifiable certificate, if there is additional information shall be added the additional information.
【0036】 [0036]
証明証パス登録情報D501や証明証収集情報D502内に含まれている失効確認手段は、各証明証を発行している認証局が管理する為の失効に関する手段を示しており、具体的には、失効確認方法の有無の情報、CRL方式や問い合わせ方式といった失効を確認するための手段の指定情報、CRL配布先や失効の問い合わせ先・アクセス先の情報等から構成される。 Revocation checking means that are included in the certificate path in the registration information D501 and certificate collection information D502 shows the means related to revocation for the certificate authority that has issued the certificate to management, specifically, , composed of information on the presence or absence of the revocation checking method, designation information of the means to confirm the revocation, such as CRL system and inquiry system, from the inquiry destination access destination information such as the CRL distribution destination or revoked.
【0037】 [0037]
証明証収集情報生成装置500は、証明証パス登録情報登録部510と証明証収集情報生成部520から構成されている。 Certificate collection information generation unit 500, and a certificate pass registration information registration section 510 and the certificate acquisition information generation unit 520. 証明証パス登録情報登録部510は、証明証パス登録情報D501を入力し記憶する。 Certificate pass registration information registration unit 510 inputs and stores the certificate path registration information D501. また、証明証収集情報生成部520は、証明書パス登録情報登録部510から出力された証明証パス登録情報D501を受け取り、CertPathRegInf_IDを、証明証収集情報識別子CertPathInf_IDと証明証収集情報生成装置500を所有する実体の識別子で置換した証明証収集情報D502を生成し記憶装置へ出力する。 Furthermore, certificate collection information generation unit 520 receives the certification path registration information registration unit 510 certificate path registration information D501 output from the CertPathRegInf_ID, a certificate acquisition information identifier CertPathInf_ID the certificate collecting information generating device 500 It generates a certificate acquisition information D502 was replaced by an identifier of the entity that owns and outputs to the storage device.
【0038】 [0038]
図2は、この発明の実施の形態1による証明証検証装置を示すブロック図であり、図において、600は証明証検証装置、601は証明証収集情報D502を入力し、各証明証の証明証識別子と失効確認手段とを組み合わせ並べて構成される証明証パス情報D603を選択して出力する証明証パス解析部である。 Figure 2 is a block diagram showing the certificate verification apparatus according to a first embodiment of the present invention. In the figure, 600 is certificate verification apparatus 601 inputs the certificate acquisition information D502, each certificate of certificate identifier to be certificate path analysis unit for selecting and outputting the composed certificate path information D603 side by side combination of the revocation confirmation means. 602は、証明証パス解析部601から出力された証明証パス情報D603を受け取り、得られた証明証パス情報D603に基づいて、検証対象証明証D601の検証に必要な証明証を、検証用証明証蓄積部603から蓄積検証用証明証D607として、または、検証済み証明証蓄積部604から蓄積検証済み証明証D609として、あるいはまたは、装置外部から出力された検証用証明証D605を入力し収集する証明証収集部である。 602 receives the certificate path analysis unit 601 certificate path information D603 output from, based on the obtained certificate path information D603, the certificate required to verify the verification target certificate D601, verification certificate as storage verification certificate D607 from testimony storage unit 603, or, as the accumulation validated certificate D609 from the verified certificate storage unit 604, or or, collecting enter the verification certificate D605 outputted from the outside of the apparatus a certificate collection unit. 603は、証明証収集部602が装置外部から出力された検証用証明証D605を証明証識別子とともに記憶する検証用証明証蓄積部であり、加えて、証明証収集部602から出力された証明証識別子D606を受信した場合は、記憶している証明証のうち、該当する蓄積検証用証明証D607を検索し、返信する機能を有する。 603 is a verification certificate storage unit certificate acquisition section 602 is stored together with certificate identifier verification certificate D605 outputted from the outside of the apparatus, in addition, output from the certificate acquisition section 602 a certificate when receiving the identifier D606, among certificates stored therein has a function of searching the storage verification certificate D607 appropriate, to reply.
【0039】 [0039]
605は、検証対象証明証D601および装置外部から出力された検証用証明証D605、または検証用証明証蓄積部603で選択された蓄積検証用証明証D607、または検証済み証明証蓄積部604から出力された蓄積検証済み証明証D609を入力し、検証対象証明証D601、検証用証明証D605、蓄積検証用証明証D607の全てを検証し、検証済み証明証D611と検証結果D612を装置外部へ出力する検証部である。 605, verified certificate D601 and devices external verification certificate output from the D605 or verification certificate storage unit 603 selected accumulated verification certificate with D607, or the output from the verified certificate storage unit 604, has been entered accumulation verified certificate D609, verified certificate D601, verification certificate D605, validate all the storage verification certificate D607, outputs the verification result D612 and verified certificate D611 outside the apparatus a verification unit that. また、証明証パス情報D603を受け取り、証明証と証明証識別子と証明証パス情報D603内にある失効確認手段を連結して、情報D621として失効情報管理部606へ出力することで、蓄積失効情報D624、または、蓄積検証済み失効情報D626、蓄積失効チェック結果D629を受け取り、証明証の失効の検査を行う機能を有する。 Also receives certificate path information D603, coupled revocation checking means within certificate and certificate identifier certificate path information D603, by outputting as information D621 to the revocation information managing unit 606, the storage revocation information D624, or receives a storage verified revocation information D626, storing revocation checking result D629, has a function of inspecting the revocation certificate. さらに加えて、蓄積失効情報D624に関して必要な検証を行った場合は、検証済み失効情報と証明証識別子を連結して情報D625として失効情報管理部606へ出力する機能を持つ。 In addition, when performing validation necessary for the accumulation revocation information D624 has a function of outputting to the revocation information management part 606 connects the certificate identifier validated revocation information as information D625.
【0040】 [0040]
失効情報管理部606は、検証部605から出力された証明証と証明証識別子と証明証パス情報D603内にある失効確認手段とが連結された情報D621を受信すると、失効確認手段の内容が、CRL等の失効情報を検証者が検査する方式である場合は、失効確認手段に含まれる失効情報の配布先を失効情報発行者情報として参照し、失効情報D623を収集する。 Revocation information managing unit 606 receives the information D621 in which the revocation check means is connected in the verification unit 605 and the certificate identifier and outputted certificate from certificate path information D603, the contents of revocation checking means, If the revocation information of the CRL and the like verifier is a method of inspection, referring to the distribution destination of revocation information that is included in the revocation checking means as revocation information the issuer information, to collect the revocation information D623. さらに加えて、収集した失効情報D623を該当する証明証識別子と共に蓄積する。 In addition, storing the collected revocation information D623 with relevant certificate identifier. さらに、検証部605に対して受信した情報D621の応答として、蓄積失効情報D624を返信する。 Further, as a response to the information D621 received for verification unit 605, and returns the stored revocation information D624.
【0041】 [0041]
あるいはまた、失効情報管理部606は、検証部605から出力された証明証と証明証識別子と証明証パス情報D603内にある失効確認手段とが連結された情報D621を受信する。 Alternatively, the revocation information managing unit 606 receives information D621 in which the revocation check means is connected in the verification unit 605 and the certificate identifier and outputted certificate from certificate path information D603. 受信した失効確認手段の内容が、失効を管理している認証局等に失効を問い合わせる方式では、証明証または証明証識別子等の証明証に関する情報で構成される証明証情報D627を利用し、失効をチェックした結果を、失効チェック結果D628として受け取り、該当する証明証識別子と共に蓄積する。 The contents of the received revocation checking means, in the method of querying a revoked certificate authority or the like that manages the revocation, utilizing constituted certificate information D627 with information about certificate or certificate identifier or the like of the certificate revocation the result of checking, receiving a revocation check result D628, accumulates with relevant certificate identifier.
【0042】 [0042]
さらに、情報D621を受信した応答として蓄積失効チェック結果D629を検証部605へ返信する。 Furthermore, the accumulation revocation check result D629 to reply to the verification unit 605 as the received response information D621. 検証部605から出力された検証された失効情報と証明証識別子とを含む情報D625を失効情報管理部606が受信した場合は、これを蓄積し、次回の検証で情報D621を受信した場合に証明証識別子を利用して、蓄積している検証済み失効情報を検索し、蓄積検証済み失効情報D626として検証部605へ返信する。 If the information D625 including the verified revocation information outputted from the verification section 605 and the certificate identifier revocation information managing unit 606 has received the certificate when it was accumulated, receiving information D621 in the next validation using the testimony identifier, searching verified revocation information that have accumulated, to reply to the verification unit 605 as a storage verified revocation information D626. 同様に、問い合わせ方式では、次回の検証で情報D621を受け取った場合、失効情報管理部606内に蓄積している失効チェック結果を情報D629として検証部605へ返信する。 Similarly, the inquiry method, when receiving the information D621 in the next verification, and returns to the verification unit 605 revocation checking results are accumulated in the revocation information managing unit 606 as information D629.
【0043】 [0043]
図3は、図1に示した証明証収集情報生成装置および図2に示した証明証検証装置からなる実施の形態1の公開鍵暗号運用システムの構成を示す説明図であり、図1〜図3において、同一符号は同一の構成要素を示している。 Figure 3 is an explanatory diagram showing a public key encryption operation system configuration of certificate collecting information generating apparatus and 2 certificate verification apparatus embodiment 1 consisting shown in FIG. 1, FIGS. 1 in 3, the same reference numerals denote the same components.
【0044】 [0044]
次に動作について説明する。 Next, the operation will be described.
図3に示すように、まず、認証局(CA3a)E303aが、自分の証明証を検証するために必要な証明証の収集情報を提供する例を以下で説明する。 As shown in FIG. 3, first, the authentication station (CA3a) E303a is, an example of providing a collection information of the certificate needed to validate their certificate below. また、以下の説明では、パスオーソリティ(PA)E300と呼ぶエンティティが、証明証収集情報生成装置500を所有するものとする。 In the following description, an entity called a path Authority (PA) E300 is assumed that owns the certificate acquisition information generation unit 500. 認証局(CA3a)E303aは、証明証収集情報登録識別子CertPathRegInf_IDと、CA識別子であるCA3a、認証局(CA3a)E303aが保持する証明証の識別子であるCert_CA3a_IDと、認証局(CA3a)E303aの失効管理に関する情報としての失効確認手段であるRevoInf_CA3a、認証局(CA2a)E302aの証明証の識別子であるCert_CA2a_ID、認証局(CA2a)E302aの失効管理に関する情報である失効確認手段であるRevoInf_CA2a、認証局(CA1a)E301aの証明証の識別子であるCert_CA1a_ID、認証局(CA1a)E301aの失効管理に関する情報である失効確認手段であるRevoInf_CA1aをペアに Certificate Authority (CA3a) E303a is, and certificate collection information registration identifier CertPathRegInf_ID, a CA identifier CA3a, and Cert_CA3a_ID is an identifier of the certification authority (CA3a) E303a holds certificate, revocation manager of the certification authority (CA3a) E303a a revocation checking means as information about RevoInf_CA3a, is the identifier of the certification authority (CA2a) E302a of certificate Cert_CA2a_ID, a revocation checking means is information about the revocation manager of the certification authority (CA2a) E302a RevoInf_CA2a, the certification authority (CA1a ) is an identifier of E301a of certificate Cert_CA1a_ID, which is a certificate Authority (CA1a) E301a revocation checking means is information about the revocation manager of RevoInf_CA1a to pair て配列し、証明証パス登録情報D501として生成する。 It arranged Te, to generate as certificate path registration information D501.
【0045】 [0045]
失効確認手段は、その認証局の失効管理の有無の情報、失効管理がある場合はその方式(CRL方式、問い合わせ方式等)とアクセス先の情報等から構成された情報である。 Revocation checking means, information of presence or absence of the Certification Authority Revocation management, if there is a revocation manager is that method (CRL method, the inquiry method, etc.) which is information made up of the access destination information, and the like. そして、証明証パス登録情報は、エンティティであるパスオーソリティ(PA)E300へ送信される。 The certificate path registration information is transmitted to the path Authority (PA) E300 is an entity.
【0046】 [0046]
まず、証明証収集情報生成装置500内の証明証パス登録情報登録部510は、証明証パス登録情報D501を入力して内部に記憶する。 First, certificate pass registration information registration unit 510 of the certificate collection information generation unit 500 stores therein enter the certificate path registration information D501. 次に、証明証パス登録情報登録部510は、入力し記憶した証明証パス登録情報D501から情報CertPathRegInf_IDを除いた情報を証明証収集情報生成部520へ出力する。 Next, certificate pass registration information registration unit 510 outputs from the certificate path registration information D501 input to store information other than the information CertPathRegInf_ID to certificate collection information generation unit 520.
【0047】 [0047]
証明証収集情報生成部520は、証明証パス登録情報登録部510から出力された情報を受け取り、証明証収集情報識別子CertPathInf_IDと、パスオーソリティ(PA)の識別子とを、受信した情報の先頭に付加して連結し、証明証収集情報D502として証明証収集情報生成装置500の外部の装置、例えば、証明証検証装置600へ出力する。 Certificate collection information generation unit 520 adds receives information output from the certificate path registration information registration unit 510, a certificate acquisition information identifier CertPathInf_ID, the identifier of a path Authority (PA), the head of the received information and by connecting an external device certificate acquisition information generation unit 500 as a certificate acquisition information D502, for example, and outputs it to the certificate verification apparatus 600.
【0048】 [0048]
証明証収集情報生成装置500から出力された証明証収集情報D502は、証明証のIDと、その認証局における失効管理の情報の有無、失効管理の方法、失効に関する情報を得るためのアクセス先といった情報を配列した情報構造を有しており、従来の公開鍵暗号運用システムで用いられている証明証パス上の証明証、失効情報を配列した構造の情報と比較した場合、その情報量のサイズはかなり小さいものとなる。 Certificate collecting information generating device certificate acquisition information D502 output from 500, the ID of the certificate, whether the expiration management of information in the authentication station, the method of revocation manager, such as the access destination to obtain information about the revocation has information structural sequence information, conventional public key cryptography operations are used by the system certificate path on the certificate when compared with the information of the structural arrangement of the revocation information, the size of the information amount the thing is much smaller.
【0049】 [0049]
図3に示した実施の形態1による証明証収集情報生成装置500および証明証検証装置600からなる公開鍵暗号運用システムにおいて、UserAが、自分自身の証明証(Cert_UserA)D304aを検証する場合について、以下に説明する。 In public key encryption operation system consisting certificate collection information generation unit 500 and the certificate verification apparatus 600 according to the first embodiment shown in FIG. 3, UserA is, a case of verifying their own certificate with (Cert_UserA) D304a, It will be described below.
【0050】 [0050]
認証局(CA3a)E303aは、識別子であるCertPathRegInf_ID、CA3a、Cert_CA3a_ID、RevoInf_CA3a、Cert_CA2a_ID、RevoInf_CA2a、Cert_CA1a_ID、RevoInf_CA1a等を連結した証明証パス登録情報D501をパスオーソリティー(PA)E300へ送信する。 Certificate Authority (CA3a) E303a is an identifier CertPathRegInf_ID, transmits CA3a, Cert_CA3a_ID, RevoInf_CA3a, Cert_CA2a_ID, RevoInf_CA2a, Cert_CA1a_ID, a certificate path registration information D501 linked to RevoInf_CA1a like to pass Authority (PA) E300. パスオーソリティ(PA)E300は証明証パス登録情報D501を受信すると、証明証収集情報生成装置500を動作させ、識別子CertPathInf_ID、PA、CA3a、Cert_CA3a_ID、RevoInf_CA3a、Cert_CA2a_ID、RevoInf_CA2a、Cert_CA1a_ID、RevoInf_CA1a等を連結して生成し得られた証明証収集情報D502を公開する。 When the path Authority (PA) E300 receives the certificate path registration information D501, to operate the certificate collection information generation unit 500, the identifier CertPathInf_ID, PA, CA3a, Cert_CA3a_ID, RevoInf_CA3a, Cert_CA2a_ID, RevoInf_CA2a, Cert_CA1a_ID, the RevoInf_CA1a like connecting to publish the certificate collection information D502 that has been obtained to produce Te. UserAは、自身の証明証Cert_UserAと共に、証明証収集情報D502を証明証検証装置600へ送信する。 UserA, along with its own certificate Cert_UserA, to send a certificate collecting information D502 to the certificate verification apparatus 600.
【0051】 [0051]
次に、図2において、UserAが所有する証明証検証装置の動作を説明する。 Next, in FIG. 2, the operation of the certificate validation unit UserA owned. 先ず、証明証検証装置600は、未だ1度も駆動されていない初期状態とする。 First, certificate verification apparatus 600 also still once the initial state of not being driven. また、失効の管理を行わないポリシーの認証局も存在することを考慮し、失効確認手段において各認証局が失効管理を実施していないことを示す指示情報があると仮定する。 Further, it is assumed that considering that even the certification authority policy that does not perform the management of revocation exists, there is indication information indicating that the certification authority in revocation checking means is not performed revocation management.
【0052】 [0052]
検証対象証明証D601は、図3に示した自身の証明証(Cert_UserA)D304aと同じものであり、証明証収集情報D502は、認証局(CA3a)E303aがパスオーソリティ(PA)E300へ登録を依頼し、依頼されたパスオーソリティ(PA)E300が生成したものである。 Verified certificate D601 is the same as its own certificate (Cert_UserA) D304a shown in FIG. 3, certificate collecting information D502 is, request a registration certificate authority (CA3a) E303a is to pass authority (PA) E300 and one in which the path authority (PA) E300 was asked to produce.
【0053】 [0053]
この証明証検証装置600内の証明証パス解析部601は、受信した証明証収集情報D502内から識別子Cert_CA3a_ID、RevoInf_CA3a、Cert_CA2a_ID、RevoInf_CA2a、Cert_CA1a_ID、RevoInf_CA1aを取出し、証明証パス情報D603として、証明証収集部602へ出力する。 Certificate path analysis unit 601 of the certificate verification apparatus 600 includes an identifier Cert_CA3a_ID from the received certificate within collecting information D502, RevoInf_CA3a, Cert_CA2a_ID, RevoInf_CA2a, Cert_CA1a_ID, taken out RevoInf_CA1a, as certificate path information D603, certificate collection and outputs it to the section 602. 証明証収集部602は、これらの証明証の識別子で識別される証明証、すなわち、Cert_CA3、Cert_CA2,Cert_CA1の検証用証明証D605を証明証検証装置600の外部から収集する。 Certificate acquisition section 602, these certificate identifier certificate identified, i.e., Cert_CA3, Cert_CA2, collected from the outside of the certificate verification apparatus 600 verification certificate D605 of Cert_CA1.
【0054】 [0054]
次に、証明証収集部602は、収集した証明証Cert_CA3、Cert_CA2、Cert_CA1を各々の識別子Cert_CA3_ID、Cert_CA2_ID、Cert_CA1_IDと各々組にし、配列して証明証識別子+検証用証明証D605として、検証用証明証蓄積部603へ出力する。 Next, certificate collection unit 602 collects the certificate Cert_CA3, Cert_CA2, identifier Cert_CA3_ID each of Cert_CA1, Cert_CA2_ID, as the Cert_CA1_ID with each pair, the sequence to certificate identifier + verification certificate D605, verification certificate output to testify storage unit 603. 検証用証明証蓄積部603は、入力した証明証識別子+検証用証明証D605を内部で記憶する。 Verification certificate storage unit 603 stores a certificate identifier + verification certificate D605 entered inside. 検証部605は、証明証収集部602から検証用証明証D605を受け取り、加えて、装置に入力された検証対象証明証(Cert_UserA)D601を受け取り、Cert_UserA、Cert_CA3、Cert_CA2、Cert_CA1等のすべての情報に対して有効期限、署名などの項目を検証する。 Verification unit 605, a certificate acquisition section 602 receives the verification certificate D605, in addition, receives the verification target certificate (Cert_UserA) D601 input to the device, Cert_UserA, Cert_CA3, Cert_CA2, all information, such as Cert_CA1 expiration date, to verify the item, such as a signature to.
【0055】 [0055]
次に、検証部605は、証明証パス情報D603を受信し、失効確認手段であるRevoInf_CA3a、RevoInf_CA2a、RevoInf_CA1aをチェックする。 Then, the verification unit 605 receives the certificate path information D603, check RevoInf_CA3a a revocation checking means, RevoInf_CA2a, the RevoInf_CA1a. しかし、証明証パス情報D603内に失効管理をしていないという指示があるので、失効に関する情報の収集はせず、失効の検査を実行しない。 However, since there is an indication that not a revocation manager in the certificate path information D603, without the collection of information relating to the revocation, does not perform the inspection of the revocation. また、検証部605は、証明証パス解析部601に対して証明証パス情報蓄積命令D604を送信すると、証明証パス解析部601は、証明証パス情報D603を信用証明証パス情報蓄積部607へ送信する。 Also, the verification unit 605, sending certificate path information storing instructions D604 against certificate path analysis unit 601, certificate path analysis unit 601, a certificate path information D603 to credit certificate path information storage section 607 Send. 信用証明証パス情報蓄積部607は、証明証パス情報D603を記憶する。 Credit certificate path information storage unit 607 stores a certificate path information D603. 検証部605は、検証済み証明証D611を含む情報D614を検証済み証明証蓄積部604へ渡し、検証済み証明証蓄積部604はこれを記憶する。 Verification unit 605 transfers the information D614 including the verified certificate D611 to the verified certificate storage unit 604, the verified certificate storage unit 604 and stored. 又、検証部605は、検査が正常に終了した検証済み証明証D611と検証結果D612とを外部へ出力する。 In addition, the verification unit 605, inspection outputs and validated certificate D611 was successful verification results and the D612 to the outside.
【0056】 [0056]
証明証検証装置600の外部へ出力された検証済み証明証D611の中には、証明証Cert_CA1aが含まれており、この証明証Cert_CA1aが信頼の根拠となるので、何らかの方法を用いて改ざんの有無をチェックするのが望ましい。 Among the certificate verification apparatus 600 validated certificate D611 output to the outside of, includes a certificate Cert_CA1a, since this certificate Cert_CA1a is grounds for confidence, the presence or absence of tampering with some method it is desirable to check.
【0057】 [0057]
以上のように、この実施の形態1によれば、証明証収集情報生成装置500は、証明証の収集と、失効を確認する手段を含んだ情報である証明証収集情報を生成し、証明証収集情報生成装置500で生成された証明証収集情報は、証明証の識別子等、それ自身よりも小さい情報の記載のみで構成されており、証明証パス上の証明証、失効情報を配列した情報と比較して証明証収集情報のサイズを小さくできる。 As described above, according to the first embodiment, certificate collection information generation unit 500 generates a collection of certificate, a certificate acquisition information is information including means for checking the revocation, certificate collecting information certificate collecting information generated by the generating device 500, such as an identifier of the certificate itself is composed of all the description of less information than, certificate path on the certificate, an array of revocation information information the size of the certificate collection information as compared with can be reduced. また、証明証検証装置600が検証対象の証明証を入力すると、証明証の内容を調べる動作をすること無く、証明証検証装置600の外部から上位の階層に属する認証局発行の証明証を収集可能であり、従来の方式と比較して、検証のための証明証の収集時間を短縮できる効果がある。 In addition, collection and certificate verification apparatus 600 to enter a verification target certificate, without an operation to examine the contents of the certificate, the certification authority issuing the certificate belonging from the outside of the certificate verification apparatus 600 to the top of the hierarchy it is possible, as compared with the conventional system, which reduces the acquisition time of the certificate for validation.
【0058】 [0058]
実施の形態2. The second embodiment.
図4は、この発明の実施の形態2による証明証収集情報生成装置および証明証検証装置からなる公開鍵暗号運用システムの構成を示す説明図である。 Figure 4 is an explanatory diagram showing a certificate acquisition information generation apparatus and consisting certificate verification device public key cryptographic operation system configuration according to a second embodiment of the invention. 実施の形態2による証明証収集情報生成装置および証明証検証装置を備えた公開鍵暗号運用システムでは、他領域の認証局へ自分の領域の認証局が証明証を発行している場合において、証明証収集情報生成装置と証明証検証装置とを用いて、他領域の証明証を検証する場合について述べる。 In public key cryptography operation system provided with a certificate acquisition information generation apparatus and certificate verification apparatus according to the second embodiment, when the certificate authority my area is issuing certificate to the certificate authority other areas, proved using a testament collecting information generating apparatus and certificate verification apparatus will be described when verifying certificate of the other region. 尚、図1〜図3に示す実施の形態1の構成要素と同一のものは、同一符号を用いて、それらの説明をここでは省略する。 Incidentally, FIGS. 1 to 3 to the same components of the first embodiment shown ones, using the same reference numerals, and their explanation is omitted for now.
【0059】 [0059]
次に動作について説明する。 Next, the operation will be described.
領域A内の認証局(CA2a)E402aが、認証局(CA3a)E403aへ証明証(Cert_CA3a)D403aを発行し、さらに、領域Bの証明証の検証を可能にするために、領域B内の認証局(CA2b)E402bへ証明証(Cert_CA2b')D402a'を発行する場合について説明する。 Certification authority within the region A is (CA2a) E402a, issue a certificate (Cert_CA3a) D403a to the authentication station (CA3a) E403a, further, to enable verification of the certificate in the region B, the authentication in the region B description will be given of a case to issue a station (CA2b) E402b to the certificate (Cert_CA2b ') D402a'. 以下の例では、各認証局が失効管理を行っていないものとする。 In the following example, it is assumed that each authentication station is not performing revocation management.
【0060】 [0060]
また、認証局(CA3a)E403aと認証局(CA3b)E403bの各々が、証明証(Cert_CA3a)D403a、証明証(Cert_CA3b)D403bの証明証の検証に必要な証明証の収集情報を提供する例を説明する。 Further, each of the authentication station (CA3a) E403a certificate authority (CA3b) E403b is, certificate (Cert_CA3a) D403a, an example of providing a collection information of the certificate needed to validate the certificate (Cert_CA3b) D403b of certificate explain.
【0061】 [0061]
パスオーソリティ(PA)と呼ぶエンティティE400が、証明証収集情報生成装置500を所有するものとする。 Entity E400 called a path Authority (PA) is assumed to own certificate collection information generation unit 500. 認証局(CA3b)E403bは、証明証収集情報登録識別子CertPathRegInf_IDと、CA識別子であるCA3b、認証局(CA3b)E403aの証明証の識別子であるCert_CA3b_ID、認証局(CA3a)E403aが発行している証明証に関する失効確認手段であるRevInf_CA3b、証明証Cert_CA3bを検証するために必要な全ての証明証の識別子と失効確認手段の組み合わせ情報であるCert_CA2b_ID、RevoInf_CA2b、Cert_CA1b_ID、RevoInf_CA1bとを連結し、証明証パス登録情報(CertPathRegInf_CA3b1)D410bとして生成する。 Certificate Authority (CA3b) E403b is, and certificate collection information registration identifier CertPathRegInf_ID, a CA identifier CA3b, which is an identifier of the certification authority (CA3b) E403a of certificate Cert_CA3b_ID, proved by a certificate authority (CA3a) E403a has issued a revocation checking means on the testimony RevInf_CA3b, certificate Cert_CA3b is a combination information of all identifiers and revocation checking means of the certificate required in order to verify the Cert_CA2b_ID, RevoInf_CA2b, Cert_CA1b_ID, connects the RevoInf_CA1b, certificate path registration generated as information (CertPathRegInf_CA3b1) D410b.
【0062】 [0062]
また、CertPathInfReg_IDと、CA識別子であるCA3b、CA3bの証明証の識別子であるCert_CA3b_ID、認証局(CA3b)E403bが発行している証明証に関する失効確認手段であるCertRevInf_CA3b、これを領域Aのユーザが検証するために必要な証明証の識別子Cert_CA2b_ID'と失効確認手段であるRevoInf_CA2b、Cert_CA2b'を検証するために必要な証明証の識別子と失効確認手段とを組み合わせた情報であるCert_CA2a_ID,RevoInf_CA2aを連結し、証明証パス登録情報(CertPathRegInf_CA3b2)D411bを生成する。 Further, CertPathInfReg_ID and a CA identifier CA3b, Cert_CA3b_ID an identifier of certificate of CA3b, certificate authority (CA3b) E403b a revocation checking means relates certificate that is issued CertRevInf_CA3b, which user verification area A 'is the revocation checking means RevoInf_CA2b, Cert_CA2b' certificate of identifier Cert_CA2b_ID needed to the information which is a combination of an identifier and revocation checking means of the certificate required in order to verify the Cert_CA2a_ID, the RevoInf_CA2a connected, certificate path registration information (CertPathRegInf_CA3b2) to generate a D411b.
【0063】 [0063]
認証局(CA3a)E403aは、識別子CertPathRegInf_IDと、CA識別子であるCA3a、CA3aの証明証の識別子Cert_CA3a_IDと、CA3aが発行している証明証に関する失効確認手段であるRevoInf_CA3aとの組み合わせ、Cert_CA3aを検証するために必要な全ての証明証の識別子と失効確認手段の組み合わせた情報であるCert_CA2a_ID、RevoInf_CA2、Cert_CA1a_ID、RevoInfo_CA1とを連結し、証明証パス登録情報(CertPathRegInf_CA3a)D410aとして生成する。 Certificate Authority (CA3a) E403a, the verification and identifier CertPathRegInf_ID, a CA identifier CA3a, and the identifier Cert_CA3a_ID of CA3a of the certificate, the combination of the RevoInf_CA3a a revocation checking means on the certificate that CA3a has issued, the Cert_CA3a Cert_CA2a_ID a combined information of all identifiers and revocation checking means certificate required, RevoInf_CA2, Cert_CA1a_ID, connects the RevoInfo_CA1, generates a certificate path registration information (CertPathRegInf_CA3a) D410a.
【0064】 [0064]
認証局(CA3b)E403bは、証明証パス登録情報(CertPathRegInf_CA3b1)D410bおよび証明証パス登録情報(CertPathRegInf_CA3b2)D411bを、認証局(CA3a)E403aは、証明証パス登録情報(CertPathRegInf_CA3a)D410aをパスオーソリティ(PA)E400へ渡す。 Certificate Authority (CA3b) E403b is, the certificate path registration information (CertPathRegInf_CA3b1) D410b and certificate path registration information (CertPathRegInf_CA3b2) D411b, the certificate authority (CA3a) E403a is, certificate path registration information (CertPathRegInf_CA3a) D410a the path authority ( PA) and passes to the E400.
【0065】 [0065]
パスオーソリティ(PA)E400の管理下の証明証収集情報生成装置500の動作を、図1に示した証明証検証装置600の構成および図4に示した公開鍵暗号運用システムの構成を参照しながら説明する。 The operation of the path Authority (PA) E400 managed certificate collecting information generating apparatus 500, with reference to the structure of the public key encryption operation system shown in structure and 4 certificate verification apparatus 600 shown in FIG. 1 explain. まず、証明証収集情報生成装置500は、証明証パス登録情報(CertPathRegInf_CA3b1)D410bを受け取り、受け取った証明証パス登録情報D501を、証明証収集情報生成装置500内の証明証パス登録情報登録部510で記憶し、証明証パス登録情報D501内の情報CertPathRegInf_IDを取り除いた残りの情報CA3b、Cert_CA3b_ID、RevoInf_CA3b、Cert_CA2b_ID、RevoInf_CA2b、Cert_CA1b_ID、RevoInf_CA1bを証明証収集情報生成部520へ渡す。 First, certificate collection information generation unit 500, certificate path receives the registration information (CertPathRegInf_CA3b1) D410b, the certificate path registration information D501 received, certificate path certificate collecting information generating apparatus 500 registers information registration unit 510 in stores, certificate path registration information D501 in the information CertPathRegInf_ID the exiled remaining information CA3b, pass Cert_CA3b_ID, RevoInf_CA3b, Cert_CA2b_ID, RevoInf_CA2b, Cert_CA1b_ID, the to certificate collection information generation unit 520 RevoInf_CA1b.
【0066】 [0066]
証明証収集情報生成部520は、この情報の先頭に証明証収集情報の識別子CertPathInf_IDと、パスオーソリティ(PA)の識別子とを連結し、証明証収集情報(CertPathInf_CA3b1)D422を生成し、証明証検証装置600へ出力する。 Certificate collecting information generating unit 520, and the identifier CertPathInf_ID of certificate collecting information at the beginning of this information, it connects the identifier of the path Authority (PA), to generate a certificate collection information (CertPathInf_CA3b1) D422, certificate verification to output to the device 600. 同様にして、証明証パス登録情報(CertPathRegInf_CA3b2)D411bから、証明証収集情報(CertPathInf_CA3b2)D423、証明証パス登録情報(CertPathInf_CA3a)D410aから、証明証収集情報(CertPathInf_CA3a)D421を生成する。 Similarly, the certificate path registration information (CertPathRegInf_CA3b2) D411b, certificate collection information (CertPathInf_CA3b2) D423, the certificate path registration information (CertPathInf_CA3a) D410a, generates a certificate collection information (CertPathInf_CA3a) D421.
【0067】 [0067]
図4に示す構成を持つ公開鍵暗号運用システムにおいて、パスオーソリティ(PA)E400は、上記した方法で証明証収集情報生成装置500を用いて生成した証明証収集情報(CertPathInf_CA3a)D421、証明証収集情報(CertPathInf_CA3b1)D422、証明証収集情報(CertPathInf_CA3b2)D423を公開する。 In public key encryption operation system having the configuration shown in FIG. 4, the path Authority (PA) E400 shows the above-mentioned method produced using certificate collecting information generating device 500 in the certificate collection information (CertPathInf_CA3a) D421, certificate collection information (CertPathInf_CA3b1) D422, to publish the certificate collection information (CertPathInf_CA3b2) D423.
【0068】 [0068]
以上のように、この実施の形態2によれば、ある領域の認証局が他の領域の認証局に証明証を発行している環境下で、他の領域の認証局に証明証を発行している認証局が保持するところの証明証に関するパス情報が、証明証収集情報として公開されている時、他領域の証明証を検証する場合に、証明証検証装置600内の証明証パス解析部601が、この証明証収集情報を利用し、複数個存在する証明証のパスを一意に決定できるので、検証に必要とされる時間を削減できる。 As described above, according to the second embodiment, in an environment where the authentication station of a region is issuing certificate to a certificate authority in the other region, it issues a certificate to a certificate authority in other regions path information of where the certificate which has the certificate authority is held, when it is published as certificate collected information, to validate the certificate of the other regions, certificate path analysis part of the certificate verification apparatus 600 601, use of this certificate collection information, since the path of the certificate that there exist a plurality can be uniquely determined, it is possible to reduce the time required for verification.
【0069】 [0069]
実施の形態3. Embodiment 3.
実施の形態3では、図4に示す構成の公開鍵暗号運用システムにおいて、領域AのUserAが、領域BのUserBの証明証(Cert_UserB)D404bを検証する場合、証明証収集情報(CertPathInf_CA3b1)D422、証明証収集情報(CertPathInf_CA3b2)D423をパスオーソリティー(PA)E400から受け取り、証明証(Cert_UserB)D404bと共に、証明証検証装置600へ与えるものである。 In the third embodiment, the public key encryption operation system of the configuration shown in FIG. 4, UserA the area A, when verifying UserB the certificate region B (Cert_UserB) D404b, certificate collection information (CertPathInf_CA3b1) D422, receives certificate collection information (CertPathInf_CA3b2) D423 from the pass authority (PA) E400, with certificate (Cert_UserB) D404b, is what gives the certificate verification apparatus 600. 尚、実施の形態3の公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態2に示したものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, components of the public key encryption operation system according to the third embodiment, so the same as those shown in the second embodiment from the first embodiment is omitted here those described using the same reference numerals.
【0070】 [0070]
次に動作について説明する。 Next, the operation will be described.
図5は、UserAの所有する証明証検証装置600の証明証パス解析部601の動作を示すフローチャートである。 Figure 5 is a flowchart showing the operation of the certificate path analysis unit 601 of the certificate verification apparatus 600 owned by UserA.
UserAが所有するところの、図2に示した構成を備えた証明証検証装置600の動作を説明する。 UserA is where owned, the operation of the certificate verification apparatus 600 having the configuration shown in FIG. 証明証検証装置600は、実施の形態1の場合において、自分の証明証を1度検証した後の状態であるとする。 Certificate verification apparatus 600, in the case of the first embodiment, and a state after verifying his certificate once. 図2における検証対象の証明証D601は、図4に示すUserBの証明証(Cert_UserB)D404bであり、ステップST52における証明証パス情報は、図4における証明証収集情報(CertPathInf_CA3b1)D422、証明証収集情報(CertPathInf_CA3b2)D423から選択される。 Verification target certificate D601 in FIG. 2 is a certificate (Cert_UserB) D404b of UserB shown in FIG. 4, certificate path information in step ST52, the certificate acquisition information (CertPathInf_CA3b1) in FIG. 4 D422, certificate collection It is selected from the information (CertPathInf_CA3b2) D423. この証明証検証装置600内の証明証パス解析部601は、信用証明証パス情報蓄積部607から、自分の証明証を検証したときの信用証明証パス情報D613であるCert_CA3a_ID、RevInf_CA3a、Cert_CA2a_ID、RevInf_CA2a、Cert_CA1a_ID、RevInf_CA1aを取得する(ステップST51)。 Certificate path analysis unit 601 of the certificate verification apparatus 600, from credit certificate path information storage unit 607, a trust certificate path information D613 when verifying his certificate Cert_CA3a_ID, RevInf_CA3a, Cert_CA2a_ID, RevInf_CA2a , Cert_CA1a_ID, acquires RevInf_CA1a (step ST51).
【0071】 [0071]
次に、上記で取得した信用証明証パス情報D613と、ステップST52において証明証収集情報(CertPathInf_CA3b1)D422から取出した証明証パス情報であるCert_CA3b_ID、RevInf_CA3b、Cert_CA2b_ID、RevInf_CA2b、Cert_CA1b_ID、RevInf_CA1bとを比較し、各パス情報中に同じ証明証のIDが存在するか否かを調べる(ステップST53)。 Next, compared with the trust certificate path information D613 obtained above, Cert_CA3b_ID a certificate path information removed from the certificate acquisition information (CertPathInf_CA3b1) D422 in step ST52, RevInf_CA3b, Cert_CA2b_ID, RevInf_CA2b, Cert_CA1b_ID, and RevInf_CA1b checks whether the ID of the same certificate in each path information is present (step ST53). この場合は、同じ証明証のIDが存在しないので、証明証収集情報(CertPathInf_CA3b1)D422を破棄する(ステップST58)。 In this case, since the ID of the same certificate does not exist, discard the certificate collection information (CertPathInf_CA3b1) D422 (step ST58). 同様に、証明証収集情報(CertPathInfo_CAb2)D423から取出した証明証パス情報であるCert_CA3b_ID、RevInf_CA3b、Cert_CA2b_ID'、RevInf_CA2b、Cert_CA2a_ID、RevInf_CA2aを取出し、信用証明証パス情報D613と比較し、同じ証明証のIDが含まれるか調べる(ステップST53)。 Similarly, a certificate path information removed from the certificate acquisition information (CertPathInfo_CAb2) D423 Cert_CA3b_ID, RevInf_CA3b, Cert_CA2b_ID ', RevInf_CA2b, Cert_CA2a_ID, taken out RevInf_CA2a, compared to trust certificate path information D613, ID of the same certificate examine whether either of the (step ST53).
【0072】 [0072]
この場合、識別子Cert_CA2a_IDが共通であるので、図5に示したフローチャートのアルゴリズムに従って、Cert_UserBを検証するための証明証のパスとして、証明証パス情報D603を決定する。 In this case, since the identifier Cert_CA2a_ID is common, according to the flowchart of the algorithm shown in FIG. 5, as the path of the certificate to verify the Cert_UserB, it determines the certificate path information D603. ステップST54において、jxは、j=2、x=aである。 In step ST54, jx is j = 2, x = a. Cert_CA3b_ID、RevInf_CA3b、Cert_CA2b_ID'、RevInf_CA2b、Cert_CA2a_ID、RevInf_CA2a、Cert_CA1a_ID、RevInf_CA1aと決定し、出力する(ステップST54〜ステップST57)。 Cert_CA3b_ID, RevInf_CA3b, Cert_CA2b_ID ', RevInf_CA2b, Cert_CA2a_ID, RevInf_CA2a, Cert_CA1a_ID, decides RevInf_CA1a, outputs (step ST54~ step ST57). 図5に示すフローチャートにおいて、証明証パス情報が決定された後は、実施の形態1の場合と同様に動作する。 In the flowchart shown in FIG. 5, after the certificate path information is determined, it operates similarly to the first embodiment.
【0073】 [0073]
以上のように、この実施の形態3によれば、証明証収集情報生成装置500により生成される証明証収集情報内の1つの認証局の証明証に関して複数の証明証収集情報が存在する場合においても、証明証パス解析部が、信用証明証パス情報蓄積部607内に蓄積された信用証明証パス情報D613を利用することで、証明証パスを一意に辿ることができ、検証時間を短縮でき、全体として高速に処理することができる。 As described above, according to the third embodiment, when a plurality of certificate acquisition information for one certificate authority certificate in the certificate acquisition information generated by the certificate collecting information generating device 500 is present also, certificate path analysis unit, by using the trust certificate path information D613 stored in the trust certificate path information accumulation unit 607, it is possible to follow the certificate path unique, it can shorten the verification time , it can be performed at high speed as a whole.
【0074】 [0074]
実施の形態4. Embodiment 4.
実施の形態1の証明証検証装置では、検証対象の証明証と、その上位の階層に属する検証用証明証の収集を続けながら検証を実行していたが、実施の形態4の証明証検証装置では、検証対象の証明証の入手以前に、その上位の検証用証明証を前もって入手し、証明証検証装置内に保持しておくことで、検証対象の証明証の検証時に証明証収集時間を削除することを可能とするものである。 The certificate verification apparatus of the first embodiment, the verification target certificate, had perform verification while continuing to collect verification certificate belonging to the hierarchy of the upper, certificate verification apparatus of the fourth embodiment in, previously available of the verification target of the certificate, in advance obtain a verification certificate of the higher-level, in that you held in the certificate verification device, a certificate collection time at the time of verification of the verification target certificate and it makes it possible to be deleted. 尚、実施の形態4の公開鍵暗号運用システム内の証明証検証装置の構成要素は、実施の形態1から実施の形態3のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, the components of the certificate verification device of the public key encryption operation in a system according to the fourth embodiment, the same thing because those of Embodiment 3 from Embodiment 1 of the embodiment, wherein those described using the same reference numerals omitted.
【0075】 [0075]
次に動作について説明する。 Next, the operation will be described.
例えば、図3に示す公開鍵暗号運用システムにおいて、認証局(CA3)E303aによる証明証発行サービスが既に稼動しており、認証局(CA3)E303aが証明証収集情報D502をパスオーソリティ(PA)E300へ依頼して作成してある状態を仮定する。 For example, in a public-key encryption operation system shown in FIG. 3, the certification authority (CA3) certificate issued service by E303a is already running, the certification authority (CA3) E303a is a certificate collecting information D502 path Authority (PA) E300 suppose a state that is created by request to.
【0076】 [0076]
UserAが、認証局(CA3a)E303aへ自分の証明証を発行を依頼し、待機している間に証明証収集情報を取得することで、自分の証明証を検証するために必要な上位の階層の証明証(Cert_CA3a)D303a、(Cert_CA2a)D302a、(Cert_CA1a)D301aを収集することが可能である。 UserA is, ask to issue their certificate to the certification authority (CA3a) E303a, by acquiring a certificate collect information while you are waiting, the higher required in order to verify their own certificate hierarchy of certificate (Cert_CA3a) D303a, (Cert_CA2a) D302a, it is possible to collect (Cert_CA1a) D301a. すなわち、UserAが、証明証(Cert_UserA)D304aの発行依頼の出力後、その発行を待っている待機状態において、証明証収集情報D502のみを証明証検証装置600に与える。 That, UserA is, after the output of the issue request of the certificate (Cert_UserA) D304a, in the standby state waiting for the issue, provide only certificate acquisition information D502 in certificate verification apparatus 600.
【0077】 [0077]
図2に示したように、証明証検証装置600内の証明証パス解析部601は、証明証パス情報D603を、Cert_CA3_ID、RevInf_CA3a、Cert_CA2_ID、RevInf_CA2a、Cert_CA1_ID、evInf_CA1aと決定し、証明証検証装置600の外部から証明証Cert_CA3a、Cert_CA2a、Cert_CA1aを収集し、収集した証明証を検証用証明証D605として、証明証収集部602を経由して検証用証明証蓄積部603へ渡す。 As shown in FIG. 2, certificate path analysis unit 601 of the certificate verification apparatus 600 includes a certificate path information D603, and determines Cert_CA3_ID, RevInf_CA3a, Cert_CA2_ID, RevInf_CA2a, Cert_CA1_ID, and EvInf_CA1a, certificate verification apparatus 600 external from certificate Cert_CA3a of, Cert_CA2a, collect Cert_CA1a, the collected certificate as verification certificate D605, and passes through the certificate collecting unit 602 to the verification certificate storage unit 603. 検証用証明証蓄積部603は、これらの証明証を内部に蓄積する。 Verification certificate storage unit 603 stores these certificate therein.
【0078】 [0078]
後に、証明証Cert_UserAを発行してもらった時点で、証明証検証用装置600に、同じ証明証収集情報と検証対象の証明証(Cert_UserA)を与える。 Later, at the time I was asked to issue a certificate Cert_UserA, the certificate verification unit 600, give the same certificate collected information and verification subject of the certificate the (Cert_UserA). 証明証パス解析部601は、証明証パス情報をCert_CA3a_ID、Cert_CA2a_ID、Cert_CA1a_IDと決定し、この情報を証明証収集部602へ渡す。 Certificate path analysis unit 601, certificate path information Cert_CA3a_ID, Cert_CA2a_ID, decides Cert_CA1a_ID, passes this information to the certificate acquisition section 602. 証明証収集部602は、受理した各IDを証明証識別子D606として、検証用証明証蓄積部603へ渡すと、Cert_CA3a、Cert_CA2a、Cert_CA1aを蓄積検証用証明証D607として受け取る。 Certificate acquisition section 602, a certificate identifier D606 each ID of receipt and pass the verification certificate storage unit 603, Cert_CA3a, Cert_CA2a, receive a storage verification certificate D607 Cert_CA1a. 検証用証明証D607と検証対象証明証D601とを検証部605へ出力すると、実施の形態1の場合と同様に検証部605は動作する。 When outputting a verification certificate D607 and verified certificate D601 to verification unit 605, as in the case the verification unit 605 according to the first embodiment operates.
【0079】 [0079]
以上のように、この実施の形態4によれば、検証対象の証明証の上位の階層の証明証を、前もって収集して検証用証明証蓄積部603内に蓄積しておくことで証明証の収集時間を無くすことができ、従って検証時間を削減でき、検証作業の効率化を図ることができる。 As described above, according to the fourth embodiment, the certificate of the upper layer of the verification target certificate, the certificate by previously accumulated in the verification certificate accumulation unit 603 by previously collected acquisition time can be eliminated, thus it reduces the verification time, it is possible to improve the efficiency of verification. 即ち、証明証(Cert_UserA)D304aの検証時には、既に前もって、証明証検証装置600の内部に検証に必要な上位の階層に属する証明証の情報が記憶されているので、証明証パス解析部601が、証明証検証装置600の外部から証明証の情報を収集する場合と比較して、証明証の収集時間を無くすことができ、結果として検証時間を削減できる。 That is, when the verification of the certificate (Cert_UserA) D304a, already beforehand, since the information of certificate belonging to the upper hierarchy needed to validate the interior of the certificate verification apparatus 600 is stored, the certificate path analysis unit 601 , as compared with the case of collecting information certificate from an external certificate verification apparatus 600, it is possible to eliminate the acquisition time of certificate, it can be reduced verification time as a result.
【0080】 [0080]
実施の形態5. Embodiment 5.
実施の形態4では、検証対象の証明証の上位の階層の証明証をあらかじめ収集して検証用証明証蓄積部603内に蓄積しておくことで検証作業の効率化を図ったが、実施の形態5の公開鍵暗号運用システム内の証明証検証装置600では、検証済みの証明証を証明証検証装置600の内部に記憶しておくことで検証処理の効率化を図るものである。 In the fourth embodiment, although improving the efficiency of verification by previously accumulated in the verification certificate accumulation unit 603 in advance collecting certificate of higher hierarchy of the verification target certificate, the implementation in certificate verification apparatus 600 of the public key encryption operation in the system of the fifth, it is intended to improve the efficiency of the verification process by storing the verified certificate inside the certificate verification apparatus 600. 尚、実施の形態5の証明証収集情報生成装置500や証明証検証装置600を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態4のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, components of the public key encryption operation system including a certificate acquisition information generating apparatus 500 and certificate verification apparatus 600 according to the fifth embodiment, same because as the first embodiment of the fourth embodiment, the same reference numerals It omitted here those described with reference to.
【0081】 [0081]
次に動作について説明する。 Next, the operation will be described.
実施の形態1で示した動作が終了すると、図2に示すように、検証済み証明証蓄積部604内部には、証明証Cert_CA3a、Cert_CA2a、Cert_CA1aが格納されている。 When the operation is completed as shown in the first embodiment, as shown in FIG. 2, the internal verified certificate storage unit 604, certificate Cert_CA3a, Cert_CA2a, Cert_CA1a are stored. 認証局(CA3a)E303aが発行したUserXの証明証Cert_UserXをUserAが検証しようとした場合、証明証検証装置600へ、検証対象証明証D601としてCert_UserX、図3に示した証明証収集情報D502として与える。 If the authentication station (CA3a) E303a attempts to validate the UserA a certificate Cert_UserX of UserX issued, the certificate verification unit 600, a verification target certificate D601 Cert_UserX, given as certificate acquisition information D502 shown in FIG. 3 .
【0082】 [0082]
証明証パス解析部601は、Cert_CA3a_ID、RevInf_CA3a、Cert_CA2a_ID、RevInf_CA2a、Cert_CA1a_ID、RevInf_CA1aを連結した証明証パス情報D603を生成し、証明証収集部602へ出力する。 Certificate path analysis unit 601, Cert_CA3a_ID, RevInf_CA3a, Cert_CA2a_ID, RevInf_CA2a, Cert_CA1a_ID, generates a certificate path information D603 linked to RevInf_CA1a, and outputs to the certificate acquisition section 602. これにより、証明証収集部602は、検証済み証明証蓄積部604へ、証明証識別子D608としてCert_CA3a_ID、Cert_CA2a_ID、Cert_CA1a_IDを出力する。 Accordingly, certificate acquisition section 602, the verified certificate storage unit 604, Cert_CA3a_ID as certificate identifier D608, Cert_CA2a_ID, outputs the Cert_CA1a_ID.
【0083】 [0083]
証明証収集部602は、検証済み証明証蓄積部604内で記憶されている検証済みの証明証Cert_CA3a、Cert_CA2a、Cert_CA1aを蓄積検証済み証明証D609として受け取る。 Certificate acquisition section 602, the verified certificate storage unit 604 verified certificate stored in the Cert_CA3a, Cert_CA2a, receive Cert_CA1a as storage verified certificate D609. 次に、検証部605は、証明証収集部602から検証済み証明証と検証対象証明証とを受け取り、検証対象の証明証であるCert_UserXの検証を行うが、Cert_UserXのすぐ上位の階層の証明証であるCA3aの証明証Cert_CA3aが、検証済み証明証として得られるので、Cert_CA3aを信頼できる情報とみなす。 Then, the verification unit 605 receives from the certificate acquisition section 602 and the verified certificate and the verification target certificate, performs the verification of the verification target certificate Cert_UserX, Cert_UserX immediately upper hierarchy of certificate certificate Cert_CA3a of CA3a it is, is obtained as a validated certificate, regarded as a reliable information Cert_CA3a. 従って、証明証Cert_CA3aのみを利用して、Cert_UserXの検証を行うのみで、検証結果D612と、検証済み証明証(Cert_UserX)D611を外部へ出力する。 Thus, by using only the certificate Cert_CA3a, only to verify the Cert_UserX, and verification result D612, and outputs validated certificate the (Cert_UserX) D611 to the outside. 以降の動作は実施の形態1で説明した動作と同様に行う。 The subsequent operations performed in the same manner as the operation described in the first embodiment.
【0084】 [0084]
以上のように、この実施の形態5によれば、検証済み証明証蓄積部604内に既に検証した検証済みの証明証を記憶させているので、証明証パス解析部601が実行する証明証のパスの検証を短縮化でき、従って検証作業の効率化を図ることができる。 As described above, according to the fifth embodiment, since the verified certificate storage unit 604 has already been stored verified certificate of verification, the certificate that certificate path analysis unit 601 executes You can shorten the path verification, thus it is possible to improve the efficiency of verification.
【0085】 [0085]
実施の形態6. Embodiment 6.
実施の形態6では、実施の形態4および実施の形態5の公開鍵暗号運用システムで説明した検証の効率化を、実施の形態3の公開鍵暗号運用システムに適用した例を説明する。 In the sixth embodiment, the efficiency of verification as described in the public key encryption operation system according to the fourth and fifth embodiments, an example of applying the public key encryption operation system of the third embodiment will be described. 尚、実施の形態6の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態5のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, components of the public key encryption operation system including a certificate acquisition information generation apparatus and certificate verifying apparatus of the sixth embodiment, the same thing because those from the first embodiment of the fifth embodiment, using the same reference numerals It omitted here their description Te.
【0086】 [0086]
次に動作について説明する。 Next, the operation will be described.
実施の形態3では、図2に示した証明証収集部602は、証明証パス情報D603内に含まれる証明証のIDで識別される検証用証明証D605を外部から収集したが、実施の形態6では、検証済み証明証蓄積部604、検証用証明証蓄積部603および証明証検証装置600の外部からの順で検証用証明証を収集し、検証部605へ、各々、蓄積検証済み証明証D609、蓄積検証用証明証D607、検証用証明証D605として渡す。 In the third embodiment, certificate collection unit 602 shown in FIG. 2, although the verification certificate D605 identified by the ID of the certificate contained in the certificate path information D603 were collected from the outside, the embodiment in 6, collect verified certificate storage unit 604, a verification certificate storage unit 603 and the certificate verification certificate in order from outside the verification apparatus 600, the verification unit 605, respectively, storage verified certificate D609, accumulation verification certificate D607, pass as a verification certificate D605.
【0087】 [0087]
検証部605は、Cert_UserB,Cert_CA3b,Cert_CA2b',Cert_CA2a,Cert_CA1aの順番に検証を行う。 Verification unit 605 performs Cert_UserB, Cert_CA3b, Cert_CA2b ', Cert_CA2a, the verification in the order of Cert_CA1a. 証明証Cert_CA2aは、実施の形態1で説明した動作を実施した時点で、検証済み証明証蓄積部604の内部に格納されており、この証明証Cert_CA2aは、蓄積検証済み証明証D609内に含まれている情報なので信頼できる情報とみなし、証明証Cert_CA2aを利用して証明証Cert_UserB、Cert_CA3b、Cert_CA2b'を検証した時点で、証明証パスの検証が終了し、検証結果D612と、検証済み証明証(Cert_UserB、Cert_CA3b、Cert_CA2b')D611を外部へ出力する。 Certificate Cert_CA2a is when carrying out the operation described in the first embodiment, is stored in the interior of the verified certificate storage unit 604, the certificate Cert_CA2a be included within storage verified certificate D609 because with that information regarded as reliable information, certificate using Cert_CA2a and certificate Cert_UserB, Cert_CA3b, at the time of verifying the Cert_CA2b ', completed verification of the certificate path, and verification result D612, validated certificate ( Cert_UserB, Cert_CA3b, and outputs the Cert_CA2b ') D611 to the outside. その後は、実施の形態3の場合と同様に動作する。 Thereafter, it operated as in the third embodiment.
【0088】 [0088]
以上のように、この実施の形態6によれば、他領域の証明証を検証する場合でも、証明証検証装置600内の検証用証明証蓄積部603、検証済み証明証蓄積部604が、検証用証明証D605、蓄積検証済み証明証D609をそれぞれ記憶するので証明証のパスの検証を短縮化でき、検証作業をさらに効率化することができる。 As described above, according to the sixth embodiment, even when verifying certificate of the other regions, the verification certificate storage unit 603 of the certificate verification apparatus 600, is verified certificate storage unit 604, the verification use certificate D605, you can shorten the verification path certificate since storing accumulated verified certificate D609 respectively, can be further efficient verification.
【0089】 [0089]
実施の形態7. Embodiment 7.
実施の形態1から実施の形態6においては、各認証局が失効管理をしない環境下で証明証の正当性を上位の証明証を用いてチェックしたが、実施の形態7では、失効管理方式であるX. In the sixth embodiment from the first embodiment has been checked the validity of the certificate in an environment in which each certification authority is not a revocation manager with higher certificate, in the seventh embodiment, revocation management method there X. 509のCertificate Revocation List(CRL)方式に代表される失効情報を、検証者がチェックして失効を確認する環境下の検証装置に関して説明する。 The revocation information represented by 509 of the Certificate Revocation List (CRL) method, the verifier is described with respect to the verification device of the environment to confirm the revocation check. 尚、実施の形態7の説明では、便宜上、失効管理方式をCRL方式とする。 In the description of the seventh embodiment, for convenience, the revocation management method and CRL scheme. 尚、実施の形態7の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, components of the public key encryption operation system including a certificate acquisition information generation apparatus and certificate verification apparatus of the seventh embodiment, same because as the first embodiment of the sixth embodiment, using the same reference numerals It omitted here their description Te.
【0090】 [0090]
次に動作について説明する。 Next, the operation will be described.
図2に示す証明証検証装置600内の検証部605において、各証明証をチェックする毎に、証明証と証明証識別子、証明証パス情報に含まれるその証明証を発行している認証局の失効確認手段を連結した情報D621を失効情報管理部606へ送信すると、失効情報管理部606は受信した情報D621内の失効確認手段に含まれる失効管理の方法がCRL方式であると判断し、同じく含まれている失効情報の配布場所を失効情報発行者情報D622として参照し、外部の認証局等から失効情報D623を収集し、証明証識別子と共に蓄積失効情報D624として蓄積する。 The verification unit 605 of the certificate verification apparatus 600 shown in FIG. 2, each time to check each certificate, certificate and certificate identifier, the certificate authority that issued the certificate included in the certificate path information When transmitting information D621 linked revocation checking means to revocation information management unit 606, it determines the revocation information management part 606 and the process of revocation manager included in the revocation checking means in the information received D621 is CRL method, also the deployment location in the revocation information included reference as revocation information issuer information D622, it collects revocation information D623 from the external certification authority such as, accumulates as the accumulation revocation information D624 with certificate identifier.
【0091】 [0091]
例えば、証明証(Cert_CA3a)D303aの失効を確認したい場合は、この証明証(Cert_CA3a)D303aを発行している認証局は(CA2a)E302aなので、失効確認手段を含む証明証収集情報内のRevInf_CA2aを参照する。 For example, if you want to check the revocation of the certificate (Cert_CA3a) D303a is, the certificate authority that is issuing this certificate (Cert_CA3a) D303a is because (CA2a) E302a, the RevInf_CA2a in the certificate collected information, including the revocation check means refer. 従って、情報D621は、Cert_CA3a、Cert_CA3a_ID、RevInf_CA2aが連結した情報を含むものとなる。 Therefore, information D621 is that containing Cert_CA3a, Cert_CA3a_ID, information RevInf_CA2a are linked.
【0092】 [0092]
加えて、失効情報管理部606は、検証部605への応答として、蓄積された失効情報である蓄積失効情報D624を返信する。 In addition, the revocation information management part 606, as a response to the verification unit 605, and returns the stored revocation information D624 is stored revocation information. 検証部605は、蓄積失効情報D624を参照し、その内部に署名が付加されているかをチェックし、署名が付加されている場合は、署名のチェックを行い、有効期限等の項目をチェックして、正当性を検証した上で、既に説明した各実施の形態1から実施の形態6における各証明証の検査に加え、失効状態を確認する。 Verification unit 605 refers to the storage revocation information D624, checks its internal signature is added, if the signature is added performs a signature check, check the items expiration date , in terms of verifying the validity added Modes 1 each embodiment already described in the inspection of each certificate in the sixth embodiment, to check the revocation status. 検証部605は、蓄積失効情報D624を検証した後、失効情報管理部606へ、検証済み失効情報と証明証識別子とを含む情報D625を返信する。 Verification unit 605, after verifying the accumulation revocation information D624, to the revocation information management unit 606, and returns the information D625 that includes a certificate identifier and validated revocation information. 失効情報管理部606は、検証部605から送信された検証済み失効情報と証明証識別子を含む情報D625を受信し蓄積する。 Revocation information managing unit 606 receives information D625 including the certificate identifier and verified revocation information sent from the verification unit 605 accumulates.
【0093】 [0093]
以上のように、この実施の形態7によれば、失効管理がCRL方式に代表される失効情報を検証者がチェックして失効を確認する形式において、検証部605が証明証を検証する場合は、検証している証明証ごとに該当する失効情報を失効情報管理部606を経由して外部から取得し、外部から収集し正当性を検証した失効情報を、失効情報管理部606内に証明証識別子とともに蓄積することで、他の証明証の検証時に、検証済みの失効情報が失効管理部に蓄積されている場合はこれを利用して、失効管理を効率よく実施できる。 As described above, according to the seventh embodiment, in the form of revocation manager to check the revocation check is verifier revocation information represented by CRL scheme, if the verification unit 605 verifies the certificate is via the revocation information management part 606 revocation information corresponding to each certificate that verifies acquired from the outside, the revocation information verifies the correctness of collected externally, certificate in the revocation information management part 606 by accumulating together with the identifier, when verifying other certificate, if validated revocation information is stored in the revocation manager takes advantage of this, it is possible to carry out the revocation management efficiently.
【0094】 [0094]
実施の形態8. Embodiment 8.
実施の形態7の実施例においては、失効管理がCRL方式に代表される失効情報を検証者がチェックして失効を確認する形式の場合を説明したが、認証局等が、証明証や証明証の識別子を受信して失効状態のチェックを行う方式に基づく証明証検証装置について説明する。 In the embodiment of the seventh embodiment, although revocation manager has described the case of the form to confirm the revocation check is verifier revocation information represented by CRL scheme, the certificate authority or the like, certificate or certificate It will be described of receiving the identifier based on the method to check the revocation status and certificate verification device. 実施の形態8に関する以下の説明では、失効状態のチェックを行う方式が、問い合わせ方式である場合について説明する。 In the following description of the eighth embodiment, a method for checking the revocation status, will be described a query method. 尚、実施の形態8の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, components of the public key encryption operation system including a certificate acquisition information generation apparatus and certificate verification apparatus of the eighth embodiment are the same as because as the first embodiment of the sixth embodiment, using the same reference numerals It omitted here their description Te.
【0095】 [0095]
図2に示す証明証検証装置600内の検証部605において、各証明証をチェックする毎に、証明証と証明証識別子、証明証パス情報に含まれる失効確認手段を連結して情報D621を作成し、失効情報管理部606へ送信すると、失効情報管理部606は、情報D621内の失効確認手段に含まれる、失効管理の方法を問い合わせ方式として判断する。 The verification unit 605 of the certificate verification apparatus 600 shown in FIG. 2, generated for each to check each certificate, certificate and certificate identifier, the information D621 linked revocation checking means included in certificate path information and, sending the revocation information managing unit 606, the revocation information managing unit 606 is included in the revocation checking means in the information D621, and determines the method of revocation manager as a query method.
【0096】 [0096]
失効情報管理部606は、失効確認手段に含まれる問い合わせ先の情報と証明証又は証明証識別子とを連結し、証明証情報D627として利用し、外部の認証局等に失効の検査を問い合わせる。 Revocation information management part 606 connects the contact information of the information contained in the revocation checking means and certificate or certificate identifier, used as certificate information D627, inquires inspection revocation outside certification authority or the like. その結果、外部の認証局等から失効チェック結果D628を受信し、受信した失効チェック結果D628を証明証識別子と共にD629として蓄積する。 As a result, it receives the revocation check result D628 from an external certification authority such as, accumulates as D629 with certificate identifier revocation checking results D628 received.
【0097】 [0097]
失効情報管理部606は、応答として検証部605へ、蓄積された失効チェック結果である蓄積失効チェック結果D629を送信する。 Revocation information managing unit 606, the verification unit 605 as a response, and transmits the stored revocation check result is a storage revocation checking result D629. 検証部605は、蓄積失効チェック結果D629を受信して、既に説明した実施の形態1から実施の形態6で実行される証明証の検査に加えて、蓄積失効チェック結果D629内の失効状態を確認する。 Verification unit 605 receives the accumulation revocation checking result D629, in addition to the already inspection certificate to be executed in the sixth embodiment from the first embodiment described, check the revocation status of the storage revocation check result D629 to.
【0098】 [0098]
以上のように、この実施の形態8によれば、失効管理が問い合わせ方式に代表される失効情報を検証者がチェックして失効を確認する形式において、失効確認手段内に含まれる問い合わせ先の情報と証明証又は証明証識別子とを連結し、証明証情報D627として外部の認証局等に失効の検査を問い合わせ、外部の認証局等から失効チェック結果D628を受信してを証明証識別子と共に、D629として内部へ蓄積するので、他の証明証の検証時に、D629が失効情報管理部606に蓄積されている場合はこれを利用して、失効管理を効率よく実施できる。 As described above, according to the eighth embodiment, in the form of revocation manager to check the revocation check is verifier revocation information represented in the query mode, information to contact contained within revocation checking means a certificate or connects the certificate identifier, certificate information D627 query the external inspection of the revoked certificate authority such as, together with the certificate identifier receives the revocation check result D628 from an external certification authority such as, D629 since accumulated into the interior as, when verifying other certificate, by using this If D629 is stored in the revocation information management part 606, it is possible to carry out the revocation management efficiently.
【0099】 [0099]
実施の形態9. Embodiment 9.
実施の形態7の公開鍵暗号運用システムでは、検証部605は証明証を検証する際に、検証している証明証毎に該当する失効情報を失効情報管理部606を経由して外部から取得していた。 In public key cryptography operation system of the seventh embodiment, the verification unit 605 when verifying the certificate, obtained from the outside via the revocation information management part 606 revocation information corresponding to each certificate that verifies which was. 実施の形態9の公開鍵暗号運用システム内の証明証検証装置では、証明証パスの情報のみを利用して失効情報発行者情報D622を生成し、必要な失効情報D623を集めるものである。 In the certificate verification device of the public key encryption operation within the system of the ninth embodiment, by using only the information of the certificate path to generate the revocation information issuer information D622, it is intended to collect the revocation information D623 necessary. 尚、実施の形態9の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, components of the public key encryption operation system including a certificate acquisition information generation apparatus and certificate verification apparatus of the ninth embodiment, the same because as the first embodiment of the sixth embodiment, using the same reference numerals It omitted here their description Te.
【0100】 [0100]
次に動作について説明する。 Next, the operation will be described.
証明証パス情報D603内には失効確認手段が含まれており、この失効確認手段内には失効情報の配布先が含まれている。 The certificate in the path information D603 includes the revocation checking means includes a distribution destination of revocation information in this revocation checking means within. 従って、実施の形態4の証明証検証装置600の様に、証明証パス情報D603を利用することで証明証収集部602が証明証の内容を調べる動作の実行なしに必要な証明証を収集できた例と同様に、証明証パス情報D603のみを利用することで、失効情報発行者情報D622を生成でき、必要な失効情報を集めることができる。 Therefore, like the certificate verification apparatus 600 of the fourth embodiment, can be collected certificate required certificate acquisition section 602 by utilizing certificate path information D603 is without executing the operation to examine the contents of the certificate similar to the embodiment, by utilizing only certificate path information D603, can generate revocation information issuer information D622, you can collect revocation information. この様にして収集した失効情報を失効情報管理部606内に蓄積し、蓄積失効情報D624として検証部605へ提供する。 Accumulating the collected revocation information in this manner the revocation information managing unit 606 provides the verification unit 605 as the storage revocation information D624.
【0101】 [0101]
以上のように、この実施の形態9によれば、証明証パス情報D603を利用して失効情報発行者情報D622を生成し、必要な失効情報を収集するので、一度で失効情報を収集でき、結果として処理時間を短縮できる。 As described above, according to the ninth embodiment, by using the certificate path information D603 to generate revocation information issuer information D622, since collecting revocation information necessary to gather revocation information once, as a result, the processing time can be shortened. 又、検証を行う前に前もって収集しておくことができ、この場合も検証に要する処理時間を短縮できる。 In addition, it is possible to keep previously collected prior to performing the verification, in this case can also reduce the processing time required for verification.
【0102】 [0102]
実施の形態10. Embodiment 10.
実施の形態8の証明証検証装置では、検証部605は証明証を検証する際に、検証している証明証毎に失効チェック結果を失効情報管理部606を経由して外部から取得していたが、実施の形態10の公開鍵暗号運用システム内の証明証検証装置では、証明証パス情報D603の失効確認手段内にある失効の問い合わせ先の証明証識別子を用いて証明証情報D627を生成し失効チェック結果D628を集めるものである。 In certificate verification apparatus of the eighth embodiment, the verification unit 605 when verifying the certificate, has been acquired from outside via the revocation information management part 606 revocation check results for each certificate that verifies there, in the certificate verification device of the public key encryption operation within the system of the tenth embodiment, to generate a certificate information D627 using the contact details of the certificate identifier of revocation within revocation checking means of the certificate path information D603 it is intended to collect the revocation checking result D628. 尚、実施の形態10の証明証収集情報生成装置や証明証検証装置を含む公開鍵暗号運用システムの構成要素は、実施の形態1から実施の形態6のものと同じものなので、同一符号を用いてそれらの説明をここでは省略する。 Incidentally, components of the public key encryption operation system including a certificate acquisition information generation apparatus and certificate verification apparatus of the tenth embodiment, the same because as the first embodiment of the sixth embodiment, using the same reference numerals It omitted here their description Te.
【0103】 [0103]
次に動作について説明する。 Next, the operation will be described.
証明証パス情報D603内には失効確認手段が含まれており、失効確認手段の中には失効の問い合わせ先が含まれている。 The certificate in the path information D603 includes the revocation checking means, which includes a revocation of the inquiry destination in the revocation checking means. 従って、実施の形態9の証明証検証装置600の様に、証明証パス情報D603のみを利用して、その中に含まれる証明証識別子を用いて証明証情報D627を生成し、失効チェック結果D628を集める。 Therefore, like the certificate verification apparatus 600 of the embodiment 9, by using only certificate path information D603, it generates certificate information D627 using certificate identifier included therein, revocation check result D628 the collect. この様にして集めた失効チェック結果D628を失効情報管理部606内に蓄積し、蓄積失効チェック結果D629として検証部605へ提供する。 In such a manner to a revocation check result D628 stored in the revocation information managing unit 606 is collected and provided to the verification unit 605 as the storage revocation checking result D629.
【0104】 [0104]
以上のように、この実施の形態10によれば、証明証パス情報D603内の、証明証識別子を用いて証明証情報D627を生成し、失効チェック結果D628を集め、得られた失効チェック結果D628を失効情報管理部606内に蓄積し、検証部605へ提供するので、一度で、失効チェック結果D628を収集でき、検証に要する処理時間を短縮できる。 As described above, according to the tenth embodiment, in the certificate path information D603, generates certificate information D627 using certificate identifier, collected revocation checking result D628, obtained revocation check result D628 was accumulated in the revocation information managing unit 606, since it provides to the verification unit 605, a time, you can collect revocation checking result D628, can reduce the processing time required for verification. また、検証を行う前に前もって収集しておくことができ、この場合も検証に要する処理時間を短縮できる。 Further, it is possible to keep previously collected before performing verification, this case can also reduce the processing time required for verification.
【0105】 [0105]
実施の形態11. Embodiment 11.
実施の形態7の証明証検証装置では、外部から収集し正当性を検証した失効情報D623を、失効情報管理部606内に証明証識別子とともに蓄積することで、他の証明証の検証時に、検証済みの失効情報が失効情報管理部606内に蓄積されている場合はこれを利用するものであったが、実施の形態11の証明証収集情報生成装置および証明証検証装置を含む公開鍵暗号運用システムでは、失効情報が更新される頻度が低い場合には、このように失効情報管理部606内に蓄積された検証済み失効情報を利用する。 In certificate verification apparatus of the seventh embodiment, the revocation information D623 verifying the validity collected from the outside, by accumulating together certificate identifier in the revocation information management part 606, when verifying other certificate validation already revocation information but was intended to utilize this case stored in the revocation information managing unit 606, a public key encryption operation including certificate acquisition information generation apparatus and certificate verification apparatus embodiment 11 in the system, the revocation information in the case of low frequency are updated, utilizing a validated revocation information stored in this manner the revocation information managing unit 606.
【0106】 [0106]
以上のように、この実施の形態11によれば、失効情報管理部606内に蓄積された検証済み失効情報を蓄積して利用するので、外部から失効情報を収集する必要が無くなり、かつ、蓄積されている失効情報の正当性の検証は既に済んでいるので、その分、検証動作の処理時間を短縮できる。 As described above, according to Embodiment 11, because it utilizes accumulated verified revocation information stored in the revocation information management part 606, there is no need to collect the revocation information from the outside, and accumulation since the verification of the validity of the revocation information that is that is already done, by that amount, it is possible to reduce the processing time of the verification operation.
【0107】 [0107]
実施の形態12. Embodiment 12.
実施の形態8の証明証検証装置では、検証部605は証明証を検証する際に、検証している証明証毎に失効チェック結果を失効情報管理部606を経由して外部から取得していたが、実施の形態12の証明証収集情報生成装置および証明証検証装置を含む公開鍵暗号運用システムでは、失効情報管理部606内に失効チェック結果を証明証識別子とともに蓄積することで、他の証明証の検証時において、失効チェック結果が失効情報管理部606内に蓄積されている場合は、これを利用する。 In certificate verification apparatus of the eighth embodiment, the verification unit 605 when verifying the certificate, has been acquired from outside via the revocation information management part 606 revocation check results for each certificate that verifies but the public key encryption operation system including a certificate acquisition information generation apparatus and certificate verification apparatus embodiment 12, by accumulating the revocation checking result with certificate identifier in the revocation information managing unit 606, other certificates during verification proof, if revocation check result is stored in the revocation information management part 606, to use it.
【0108】 [0108]
以上のように、この実施の形態12によれば、認証局等が保持する失効に関する情報が更新される頻度が低い場合、失効情報管理部606内に蓄積された失効チェック結果を利用するので、証明証検証装置600の外部からこの失効チェック結果を収集する必要が無くなり、その分処理時間を短縮できる。 As described above, according to the twelfth embodiment, if the frequency information regarding the revocation of the certificate authority or the like holds is updated is low, because it utilizes the revocation check result stored in the revocation information management part 606, it is not necessary to collect this revocation check result from an external certificate verification apparatus 600 can be shortened by that amount processing time.
【0109】 [0109]
【発明の効果】 【Effect of the invention】
以上のように、この発明によれば、証明証収集情報生成装置は証明証パス登録情報登録部および証明証収集情報生成部を備えるように構成したので、証明証の収集と、失効を確認する手段を含んだ情報である証明証収集情報を生成することができ、この証明証収集情報は、証明証の識別子等、小さいサイズの情報の記載のみで構成されており、全体の情報のサイズは、証明証パス上の証明証、失効情報を配列した従来で用いられている情報のサイズと比較して小さいサイズにすることができ、送受信に必要な時間を短縮することができ、結果として検証時間を短縮できるという効果がある。 As described above, according to the present invention, the certificate acquisition information generating apparatus so constructed to include a certificate pass registration information registration unit and certificate acquisition information generation unit, a collection of certificate to check revocation can generate certificate acquisition information is information containing means, the certificate acquisition information, such as an identifier of the certificate, only consists of a description of a small size information, the size of the entire information , certificate path on the certificate revocation information can be smaller in size compared to the size of the information used in the conventional arrayed, it is possible to shorten the time required for transmission and reception, verification as a result there is an effect that can shorten the time.
【0110】 [0110]
この発明によれば、証明証検証装置は、証明証収集情報を入力し証明証パス情報を生成する証明証パス解析部と、証明証の識別子を用いて証明証パス上の証明証の内容を調べること無く外部から検証用証明証を収集する証明証収集部と、検証用証明証を蓄積する検証用証明証蓄積部と、検証結果および検証に成功した検証済み証明証、および証明証パス情報を記憶させる指示命令を出力する検証部と、失効確認手段を受け取り、失効に関する情報を外部から取得し蓄積した上で提供する失効情報管理部と、検証済み証明証を記憶する検証済み証明証蓄積部と、証明証パス情報を記憶する信用証明証パス情報蓄積部とを備えるように構成したので、例えば、検証する証明証を証明証検証装置に入力すると、証明証の内容を調べること無く、外部 According to the present invention, certificate verification apparatus, a certificate path analysis unit for generating a certificate path information by entering the certificate acquisition information, the contents of the certificate on the certificate path using the identifier of the certificate a certificate acquisition unit for collecting verification certificate from without external examining a verification certificate storage section for storing a verification certificate verification result and successful verified certificate verification, and certificate path information a verification unit for outputting an instruction command for storing, receiving the revocation checking means, the revocation information management unit for providing on that acquires information about the revocation external storage, the verified certificate storage for storing validated certificate and parts, since it is configured to include a trust certificate path information storing unit for storing a certificate path information, for example, by entering the certificate to validate the certificate verification device, without examining the contents of the certificate, outside ら上位の証明証を収集可能であり、従来の方式と比較した場合、収集時間を短縮でき、結果として検証時間を短縮できるという効果がある。 It is possible collect Luo upper certificate when compared with the conventional method, can shorten the acquisition time, there is an effect that can be shortened validation time as a result.
【0111】 [0111]
この発明によれば、証明証パス解析部が、同一の認証局が発行する証明証に対して生成された複数の異なる証明証収集情報を入力した場合、入力した前記複数の異なる証明証収集情報と、信用証明証パス情報蓄積部内に記憶されている証明証パス情報とを比較して、証明証パスを決定するように構成したので、ある領域の認証局が、他の領域の認証局に証明証を発行している環境において、他の領域の認証局の証明証のパスにおいて、他の領域の認証局に証明証を発行している認証局が保持する証明証へとつながる証明証のパス情報が、証明証収集情報として公開されていれば、他領域の証明証を検証する場合に、証明証検証装置内の証明証パス解析部が、この証明証収集情報を利用し、複数存在する証明証のパスを一意に決定でき、検証時 According to the present invention, certificate path analysis part, if you enter a different certificate acquisition information generated for certificates that same authentication authority issues, the plurality of different certificate acquisition information input If, by comparing the certificate path information stored in the credit certificate path information storing portion, since it is configured to determine the certificate path, the certificate authority of a region is, the certificate authority in other regions in an environment issuing the certificate, in the path of the certificate of the certificate authority of the other regions, the certificate of the certificate authority that issued the certificate to the certificate authority in the other region is connected to a certificate that holds path information, if it is published as certificate collected information, to validate the certificate of the other regions, certificate path analysis unit in the certificate verification device, utilizing this certificate acquisition information, plurality of the path of the certificate to be uniquely determined and verified at the time を削減できるという効果がある。 There is an effect that can be reduced.
【0112】 [0112]
この発明によれば、証明証収集部が、証明証パス情報に従って検証用証明証蓄積部内に記憶されている検証用証明証の中から、証明証パス情報で識別可能な証明証を検索し、検証用証明証蓄積部内に存在しない検証用証明証を外部から得ることで、証明証収集時間を短縮するように構成したので、検証する証明証の発行認証局が分かっている場合は、検証対象の証明証の検証に先立ち、その認証局が生成を依頼した証明証収集情報を証明証検証装置に入力し、前もって上位の階層の証明証を収集して内部に蓄積し、検証対象の証明証の検証時には、蓄積された上位証明証を利用することができ、結果として、検証のための情報を収集動作をなくし、検証時間を削減できる効果がある。 According to the present invention, certificate acquisition unit, and searches the verification certificate stored in the verification certificate storing portion, an identifiable certificate in certificate path information according to certificate path information, verification certificate does not exist in the verification certificate storage portion to obtain from the outside, since it is configured so as to shorten the certificate acquisition time, if you know the issuing authority of the certificate to be validated, verified the prior verification of certificate, enter the certificate acquisition information that authority is requested to generate the certificate verification device, accumulated therein in advance collecting certificate of upper hierarchy, verification target certificate the verification time, can use the accumulated higher certificate, as a result, eliminate the collection operation information for verification, there is an effect that can be reduced verification time.
【0113】 [0113]
この発明によれば、証明証収集部が、証明証パス情報に従って検証済み証明証蓄積部内に記憶された検証済み証明証の中から、証明証パス情報で識別される証明証を検索し、証明証が検証済み証明証蓄積部内に存在しない場合は、検証用証明証蓄積部内に記憶されている検証用証明証を検索し、証明証が前記検証用証明証蓄積部内に存在しない場合、外部から前記証明証を得るようにして、証明証収集時間を短縮し、かつ、検証済み証明証から証明証パス情報で識別される証明証を収集した場合は、その検証済み証明証を信頼し、証明証パスにおいて、検証対象の証明証からその検証済み証明証に至るまでの証明証の検証のみを実行するように構成したので、例えば、過去に検証した証明証を証明証検証装置内部に蓄積し、別の証明証を検証 According to the present invention, certificate acquisition section, from among the verified certificate stored in the verified certificate storage portion according to certificate path information, it searches the certificate identified by the certificate path information, certification If the testimony is not present in the verified certificate storage portion, it searches the verification certificate stored in the verification certificate storage portion, if the certificate does not exist in the verification certificate storage portion, from the outside so as to obtain the certificate, to reduce the certificate acquisition time, and, when collecting the certificate identified by the certificate path information from the verified certificate is to trust that verified certificate, certification in testimony path, since it is configured to perform the validation only certificate from a verification target certificate up to the verified certificate, for example, to accumulate verified in the past certificate within certificate verification device , verify another certificate る場合に、上位の階層の検証済みの証明証が内部に記憶されており証明証パス解析部が、これを利用することで証明証のパスの検証作業に必要とされる時間を短縮できるという効果がある。 If that, as verified certificate of the upper hierarchy certificate path analysis unit is stored therein, it is possible to shorten the time required for the verification of the path of the certificate by utilizing this effective.
【0114】 [0114]
この発明によれば、検証部が、証明証パス情報をチェックし証明証の失効を検査するための失効確認手段において失効管理の有無を示す情報を調べ、無いと示されている場合、失効に関する検査の必要性が無いと判断し、失効に関する検査を省略するように構成したので、証明証収集情報に含まれる認証局の失効確認手段を参照して証明証の失効管理の有無を調べることができ、失効管理を行っていない場合は、失効管理を省いた検証を行うことが可能であり、検証時間を短縮できる効果がある。 According to the present invention, if the verification unit examines the information indicating the presence or absence of revocation manager in revocation checking means for checking the revocation of the check certificate a certificate path information, which has been shown to not, associated with the revoked It determines that there is no need for inspection, and then, is omitted testing for revocation, to examine the presence or absence of revocation manager reference to certificate revocation checking means of the certificate authority included in the certificate acquisition information can, if you have not done the revocation management, it is possible to perform the verification was omitted revocation manager, there is an effect that can shorten the verification time.
【0115】 [0115]
この発明によれば、証明証の失効情報を外部から得る場合に、失効情報管理部が、検証部との間で情報の授受を行うこと無く、証明証パス情報を利用して失効に関する情報の収集を行うように構成したので、証明証収集情報に含まれる認証局の失効確認手段を参照することで、あらかじめ一度に証明証に関する失効のみを検査することも可能になり、実際の証明証の検証時間を短縮できる効果がある。 According to the present invention, in the case of obtaining the revocation information certificate from the outside, the revocation information management part, without that exchanges information with the verification unit, information about revoked using the certificate path information since the collection is configured to perform, by referring to the revocation checking means of the certificate authority included in the certificate acquisition information, also becomes possible to inspect only the revocation relates certificate in advance once the actual certificate there is an effect that can shorten the verification time.
【0116】 [0116]
この発明によれば、失効情報管理部が、検証部が受理した失効に関する失効情報に関して検査を行う際に、失効情報を受け取り、検査済みの失効情報として内部に蓄積し、次回に検証部から失効に関する失効情報の出力を要求された場合、あるいは、証明証パス情報を受け取りその中に含まれる失効確認手段と、既に蓄積した失効に関する失効情報とを比較し、両者が一致した場合は、蓄積された失効に関する前記失効情報を前記検証部へ渡すように構成したので、例えば、具体的には、一度検証した失効をチェックするための情報や、失効をチェックした結果を内部に蓄積しているため、他の証明証を検証する場合に蓄積されたこれら情報を参照することで、外部から収集する時間を削除できる効果がある。 According to the present invention, revocation revocation information management unit, when performing the inspection with respect to revocation information about the revocation of the verification unit has accepted, it receives revocation information, stored internally as a tested revocation information, from the verification unit to the next when requested to output the revocation information relating to, or compares the revocation check means included therein receives certificate path information, and a revocation information about the revocation of previously accumulated, if they match, is accumulated since the revocation information associated with the revoked configured to pass to the verification unit, for example, specifically, once and information for checking the revocation of verification, since the accumulated result of checking revocation therein by referring to these information stored to validate the other certificate, there is an effect of deleting the time to collect from the outside. 特に、認証局が失効管理を行う頻度が低い場合は有効である。 In particular, if the frequency of the certificate authority performs a revocation management is low is effective.
【0117】 [0117]
この発明によれば、公開鍵暗号運用システムが、各証明証を発行する複数の認証局と、この発明の証明証収集情報生成装置と、複数のこの発明の証明証検証装置とを備え、複数の認証局が他の認証局またはエンドエンティティに証明証を発行し、証明証検証装置の各々が、証明証収集情報生成装置から出力された証明証収集情報を入力し、複数の認証局から発行された証明証を検証するように構成したので、証明証検証装置の各々が検証に必要とする時間を短縮でき、システム全体を効率的に運用できるという効果がある。 According to the present invention, public key encryption operation system, comprising a plurality of CA issuing the certificate, the certificate acquisition information generating apparatus of the present invention, the certificate validation unit of the plurality of the invention, a plurality certificate authority issues a certificate to another certification authority or end entity, each of the certificate verification apparatus inputs the certificate acquisition information output from the certificate acquisition information generating device, issued by a plurality of certificate authorities since it is configured to validate been certificate, each certificate verification device can reduce the time required for verification, there is an effect that the entire system can be efficiently operated.
【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS
【図1】 この発明の実施の形態1による証明証収集情報生成装置を示すブロック図である。 1 is a block diagram showing a certificate acquisition information generating apparatus according to Embodiment 1 of the present invention.
【図2】 この発明の実施の形態1による証明証検証装置を示すブロック図である。 2 is a block diagram showing the certificate verification apparatus according to a first embodiment of the present invention.
【図3】 図1および図2に示した実施の形態1の証明証収集情報生成装置および証明証検証装置からなる公開鍵暗号運用システムの構成を示す説明図である。 3 is an explanatory view showing a configuration of a public key encryption operation system consisting certificate acquisition information generation apparatus and certificate verification apparatus of the first embodiment shown in FIGS.
【図4】 この発明の実施の形態2による証明証収集情報生成装置および証明証検証装置からなる公開鍵暗号運用システムの構成を示す説明図である。 4 is an explanatory view showing a configuration of a public key encryption operation system consisting certificate acquisition information generation apparatus and certificate verification device according to a second embodiment of the present invention.
【図5】 証明証検証装置における、証明証パス解析部の動作を示すフローチャートである。 [5] in the certificate verification device is a flowchart showing the operation of the certificate path analysis unit.
【図6】 従来の証明証の検証方式の一例を示す説明図である。 6 is an explanatory diagram showing an example of the verification system of the conventional certificate.
【図7】 図6に示した従来の検証方式で用いられる各証明証の構成を示す説明図である。 7 is an explanatory diagram showing the configuration of each certificate used in the conventional verification method shown in FIG.
【図8】 認証局がX. [8] certificate authority X. 509のCertificate Revocation List(CRL)を発行している場合を示す説明図である。 If issuing 509 Certificate Revocation List to (CRL) is an explanatory view showing a.
【図9】 失効の有無のチェックをCRLを用いる代わりに、直接に認証局へ問い合わせる方式を示す説明図である。 [9] The checking of the presence or absence of revocation Instead of using the CRL, is an explanatory diagram showing a method to query directly to a certificate authority.
【図10】 領域A,Bにおける各ユーザの所属する認証局の関係を示す説明図である。 [10] regions A, it is an explanatory diagram showing a relationship belongs certification authority of each user in the B.
【図11】 図10に示す2つの領域A,B内での証明証の検証の流れを示す説明図である。 [11] Two regions A shown in FIG. 10 is an explanatory diagram showing a flow of a verification of the certificate in the B.
【符号の説明】 DESCRIPTION OF SYMBOLS
500 証明証収集情報生成装置、510 証明証パス登録情報登録部、520 証明証収集情報生成部、600 証明証検証装置、601 証明証パス解析部、602 証明証収集部、603 検証用証明証蓄積部、604 検証済み証明証蓄積部、605 検証部、606 失効情報管理部、607 信用証明証パス情報蓄積部。 500 certificate acquisition information generation unit, 510 certificate path registration information registration unit, 520 certificate acquisition information generation unit, 600 certificate verification apparatus 601 certificate path analysis unit, 602 certificate acquisition section 603 verification certificate storage parts, 604 verified certificate storage unit, 605 verification unit, 606 revocation information managing unit, 607 credit certificate path information storage section.

Claims (9)

  1. 証明証パス登録情報を入力して記憶する証明証パス登録情報登録部と、 And the certificate path registration information registration unit for inputting and storing the certificate path registration information,
    前記証明証パス登録情報登録部から出力された前記証明証パス登録情報に含まれる証明証パス情報登録識別子を、証明証収集情報識別子とエンティティの識別子で置換した証明証収集情報を生成する証明証収集情報生成部とを備え、 The certificate path certificate path information registration identifier included in the certificate path registration information outputted from the registration information registration unit, certificate of generating the certificate information collected substituted with identifier certificate acquisition information identifier and entities and a collection information generation unit,
    前記証明証パス登録情報は、検証対象証明証を発行する第1の認証局の識別子と、前記検証対象証明証の検証に必要な検証用証明証の識別子と、前記検証用証明証の失効管理に関する情報と、前記証明証パス登録情報を示す証明証パス情報登録識別子とを連結して生成された情報であり、 The certificate path registration information, and the identifier of the first certificate authority to issue a verified certificate, and the identifier of the verification certificate required for the verification of the verification target certificate, revocation manager of the verification certificate information about a certificate path information registration identifier and information generated by concatenating indicating the certificate path registration information,
    前記証明証収集情報識別子は、前記証明証収集情報を示す識別子であり、 The certificate collecting information identifier is an identifier indicating the certificate collecting information,
    前記エンティティの識別子は、証明証パス登録情報登録部と証明証収集情報生成部とを含む実体の識別子であることを特徴とする証明証収集情報生成装置。 Identifier of the entity, certificate collecting information generating apparatus, characterized in that an identifier of the entity, including a certificate acquisition information generation unit and the certificate path registration information registration unit.
  2. 入力した証明証収集情報から、検証対象証明証の検証に必要な検証用証明証の識別子と前記検証用証明証の失効管理に関する情報とを抽出し、証明証パス情報を生成する証明証パス解析部と、 From the input certificate collected information, extracts the information about the revocation manager of the identifier of the verification certificate required for the verification of the verification target certificate the verification certificate, certificate path analysis to generate a certificate path information and parts,
    前記証明証パス解析部から出力された前記証明証パス情報に基づいて前記検証対象証明証を収集する証明証収集部と、 A certificate acquisition unit for collecting the verification target certificate based on the certificate path information outputted from the certificate path analysis unit,
    前記証明証パス解析部から出力された前記証明証パス情報と、前記証明証収集部が収集した前記検証用証明証と、前記検証対象証明証とを入力し、前記検証用証明証の各項目及び失効状態を検証することにより、前記検証対象証明証を検証する検証部とを備えた証明証検証装置。 It said certificate path information outputted from the certificate path analysis part, the a verification certificate to the certificate collecting unit collects, type and said verification target certificate, each item of the verification certificate and by verifying the revocation status, certificate verification apparatus and a verification unit for verifying the verification target certificate.
  3. 前記証明証パス解析部が出力した前記証明証パス情報を記憶する信用証明証パス情報蓄積部を備え、 Includes a credit certificate path information storage unit that stores the certificate path information the certificate path analysis unit is output,
    前記証明証パス解析部は、前記検証対象証明証に関する複数の証明証収集情報が入力された場合、入力された前記複数の証明証収集情報と、前記信用証明証パス情報蓄積部内に記憶されている前記証明証パス情報とを比較することを特徴とする請求項2記載の証明証検証装置。 The certificate path analysis unit, the verification if a plurality of certificate collecting information about the subject certificate has been entered, a plurality of certificate collecting information entered, stored in the trust certificate path information storage portion certificate verification apparatus according to claim 2, wherein the comparing the certificate path information are.
  4. 前記検証用証明証を記憶する検証用証明証蓄積部を備え、 Comprising a verification certificate storage unit that stores the verification certificate,
    前記証明証収集部は、前記証明証パス情報に基づいて、前記検証用証明証蓄積部から前記検証用証明証を検索して収集することを特徴とする請求項2記載の証明証検証装置。 The certificate collecting part, based on the certificate path information, from said verification certificate storage unit of claim 2, wherein the collecting and searching the verification certificate certificate verification device.
  5. 検証済みの証明証を記憶する検証済み証明証蓄積部を備え、 With a verified certificate storage unit that stores the verified certificate,
    前記証明証収集部は、証明証パス情報に基づいて、前記検証済み証明証蓄積部から検証済みの前記検証用証明証を検索して収集し、 The certificate acquisition unit based on the certificate path information, collected by searching validated the verification certificate from the verified certificate storage unit,
    前記検証部は、検証済みの前記検証用証明証は認証し、未検証の前記検証用証明証のみ検証することにより、前記検証対象証明証を検証することを特徴とする請求項2記載の証明証検証装置。 The verification unit, validated the verification certificate authenticates by verifying only the verification certificate unverified, proof of claim 2, wherein the verifying the verification target certificate proof verification apparatus.
  6. 前記検証部は、前記検証用証明証の失効管理に関する情報が示す失効管理の有無に基づいて、前記検証用証明証の失効状態を検証することを特徴とする請求項2記載の証明証検証装置。 The verification unit, on the basis of the presence or absence of a revocation manager showing information about the revocation management of the verification certificate, certificate verification apparatus according to claim 2, wherein the verifying the revocation status of the verification certificate .
  7. 前記証明証パス解析部から出力された証明証パス情報に基づいて、前記検証用証明証の失効情報を収集する失効情報管理部を備えたことを特徴とする請求項2記載の証明証検証装置。 Based on the certificate path information outputted from the certificate path analysis part, the according to claim 2, further comprising a revocation information managing unit for collecting revocation information of the verification certificate certificate verification device .
  8. 前記失効情報管理部は、収集した前記検証用証明証の前記失効情報を蓄積し、前記検証部が前記検証用証明証の失効管理に関する情報を検証する場合に、蓄積した前記検証用証明証の前記失効情報を前記検証部に対して出力することを特徴とする請求項7記載の証明証検証装置。 The revocation information managing unit, the revocation information collected the verification certificate accumulated, when the verification unit verifies the information on revocation manager of the verification certificate, the accumulated the verification certificate the according to claim 7, wherein the revocation information and outputs to the verification unit certificate verification device.
  9. 前記検証対象証明証を発行する前記第1の認証局と、 And the first certificate authority to issue the verification target certificate,
    前記検証用証明証を発行する第2の認証局と、 And the second of the certificate authority to issue the verification certificate,
    請求項1記載の証明証収集情報生成装置と、 A certificate acquisition information generating apparatus according to claim 1,
    請求項2から請求項8のうちのいずれか1項記載の証明証検証装置とを備え、 Includes a claims 2 and certificate verification apparatus according to any one of claims 8,
    前記証明証検証装置は、前記証明証収集情報生成装置から出力された前記証明証収集情報を入力し、前記第2の認証局が発行する前記検証用証明証を検証することにより、前記第1の認証局が発行する前記検証対象証明証を検証することを特徴とする公開鍵暗号運用システム。 The certificate verifying unit by verifying the output from the certificate acquisition information generation apparatus which have entered the certificate acquisition information, the verification certificate to the second certification authority to issue the first public-key encryption operation system, wherein a certificate authority to verify the verification target certificate to be issued.
JP17511498A 1998-06-22 1998-06-22 Certificate collecting information generating device, certificate verification device and a public key encryption operation system Expired - Fee Related JP3801782B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP17511498A JP3801782B2 (en) 1998-06-22 1998-06-22 Certificate collecting information generating device, certificate verification device and a public key encryption operation system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP17511498A JP3801782B2 (en) 1998-06-22 1998-06-22 Certificate collecting information generating device, certificate verification device and a public key encryption operation system

Publications (2)

Publication Number Publication Date
JP2000010477A JP2000010477A (en) 2000-01-14
JP3801782B2 true JP3801782B2 (en) 2006-07-26

Family

ID=15990524

Family Applications (1)

Application Number Title Priority Date Filing Date
JP17511498A Expired - Fee Related JP3801782B2 (en) 1998-06-22 1998-06-22 Certificate collecting information generating device, certificate verification device and a public key encryption operation system

Country Status (1)

Country Link
JP (1) JP3801782B2 (en)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4698219B2 (en) * 2002-07-18 2011-06-08 イーオリジナル インコーポレイテッド Electronic transmission of certified documents, storing and reading systems and methods
JP2001285282A (en) * 2000-03-30 2001-10-12 Mitsubishi Electric Corp Authentication system
AU2002317062A1 (en) 2001-06-12 2002-12-23 Research In Motion Limited Method for processing encoded messages for exchange with a mobile data communication device
WO2002101605A2 (en) 2001-06-12 2002-12-19 Research In Motion Limited System and method for compressing secure e-mail for exchange with a mobile data communication device
WO2002101580A1 (en) 2001-06-12 2002-12-19 Research In Motion Limited Certificate management and transfer system and method
US9628269B2 (en) 2001-07-10 2017-04-18 Blackberry Limited System and method for secure message key caching in a mobile communication device
CN101232504B (en) 2001-08-06 2012-09-19 捷讯研究有限公司 System and method for processing encoded messages
JP5018849B2 (en) * 2002-06-12 2012-09-05 株式会社日立製作所 Crl issuance notification function with authentication infrastructure system
US7523310B2 (en) * 2002-06-28 2009-04-21 Microsoft Corporation Domain-based trust models for rights management of content
US8707030B2 (en) * 2003-11-19 2014-04-22 Corestreet, Ltd. Distributed delegated path discovery and validation
JP4543789B2 (en) * 2004-07-08 2010-09-15 株式会社日立製作所 Certificate verification information management method based on the transaction
US9094429B2 (en) 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
US7716139B2 (en) 2004-10-29 2010-05-11 Research In Motion Limited System and method for verifying digital signatures on certificates
JP4667921B2 (en) * 2005-03-24 2011-04-13 三菱電機株式会社 Verification apparatus and a communication system and the trust store management device and the trust store monitoring devices
US8340289B2 (en) 2005-09-29 2012-12-25 Research In Motion Limited System and method for providing an indication of randomness quality of random number data generated by a random data service
US7814161B2 (en) 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
JP5130722B2 (en) * 2007-01-19 2013-01-30 セイコーエプソン株式会社 Authentication device and method
WO2009052524A2 (en) 2007-10-20 2009-04-23 Penango, Inc. Methods and systems for indicating trustworthiness of secure communications
JP5452099B2 (en) * 2009-07-01 2014-03-26 株式会社日立製作所 Validation a certificate, the certificate validation server, program, and storage medium
JP5346111B2 (en) * 2012-07-24 2013-11-20 株式会社日立製作所 Verification server, program and verification method

Also Published As

Publication number Publication date
JP2000010477A (en) 2000-01-14

Similar Documents

Publication Publication Date Title
Woo et al. Authentication for distributed systems
Maurer Modelling a public-key infrastructure
Viganò Automated security protocol analysis with the AVISPA tool
EP1698100B1 (en) System and method for generating a digital certificate
JP4686092B2 (en) Electronic transmission of authenticated electronic original document, storing, and systems and methods for extraction
US5717758A (en) Witness-based certificate revocation system
US6981139B2 (en) Digital certificate management system, digital certificate management apparatus, digital certificate management method, update procedure determination method and program
Anagnostopoulos et al. Persistent authenticated dictionaries and their applications
Asokan Fairness in electronic commerce
US5745574A (en) Security infrastructure for electronic transactions
RU2434340C2 (en) Infrastructure for verifying biometric account data
EP1117207B1 (en) Public key infrastructure
US6314517B1 (en) Method and system for notarizing digital signature data in a system employing cryptography based security
US20060106836A1 (en) Data processing system, data processing device, data processing method, and computer program
US6226743B1 (en) Method for authentication item
US20030120611A1 (en) Content distribution system and content distribution method
US8032744B2 (en) Method and apparatus for self-authenticating digital records
JP4841563B2 (en) Data processing system for performing cryptographic functions, methods, and computer program
US8195933B2 (en) Method and system for computing digital certificate trust paths using transitive closures
CA2551819C (en) Signature-efficient real time credentials for ocsp and distributed ocsp
Pagnia et al. Fair exchange
CN100435510C (en) Method and apparatus for accelerating public-key certificate validation
Teranishi et al. K-times anonymous authentication
US6385725B1 (en) System and method for providing commitment security among users in a computer network
EP1381201A2 (en) System, method and program for remote access to a resource using certificates

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060328

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060426

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120512

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120512

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130512

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140512

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees