JP3920698B2 - 公開鍵証明書情報検証方法および装置 - Google Patents
公開鍵証明書情報検証方法および装置 Download PDFInfo
- Publication number
- JP3920698B2 JP3920698B2 JP2002126915A JP2002126915A JP3920698B2 JP 3920698 B2 JP3920698 B2 JP 3920698B2 JP 2002126915 A JP2002126915 A JP 2002126915A JP 2002126915 A JP2002126915 A JP 2002126915A JP 3920698 B2 JP3920698 B2 JP 3920698B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- public key
- incidental
- key certificate
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は公開鍵証明書情報検証方法および装置に関する。
【0002】
【従来の技術】
通信相手の認証、電子データの真正性の確認のためには、公開鍵暗号方式によるディジタル署名の技術が広く利用されている。
【0003】
通信相手を認証する際には、通信相手から受信したディジタル署名を通信相手の公開鍵(検証鍵)によって検証し、検証に成功すれば意図する通信相手であると判定する。この時、公開鍵は厳密に意図する通信相手に対応するものでなければ、認証処理の結果を信用することができないため、公開鍵認証基盤(PKI)では、公開鍵と公開鍵の持ち主の対応関係を、信頼する第三者機関として認証局が証明を行ない、証明の事実を公開鍵証明書と呼ばれる電子データの形式で発行、流通させる方式を採っている。認証局が発行する公開鍵証明書は、認証局が定める有効期間の間、公開鍵と公開鍵の持ち主を表わすIDの対応関係を証明するものである。
【0004】
ここで、公開鍵証明書は、上記の対応関係以外にも、公開鍵や公開鍵の持ち主に関する様々な情報を含めることができる。実際に、現在、公開鍵証明書を適用する分野、システム、ネットワークサービスによって、多様な情報(以下、付帯情報と呼ぶ)を公開鍵証明書に含めて公開鍵と共に流通させている。
【0005】
仮に、上記のような公開鍵証明書の付帯情報に変更があった場合には、変更内容を反映した公開鍵証明書を再発行する必要がある。
【0006】
しかしながら、公開鍵証明書を再発行すると、公開鍵証明書の持ち主のみならず、再発行された公開鍵証明書によって認証処理を行なう必要が利用者、システム、装置には、認証処理のために変更があった付帯情報を利用していない場合にも再配布する必要があり、変更頻度が高い情報を付帯情報として公開鍵証明書に格納すると配布コストが増大するという問題があった。
【0007】
【発明が解決しようとする課題】
上述した従来の方法では、公開鍵証明書にさまざまな利用者情報を付帯情報として格納できるにもかかわらず、変更頻度が高い付帯情報を格納してしまうと、公開鍵証明書の再発行が頻発し、結果的に公開鍵証明書を利用するシステム、装置、サービスのコスト増大を招いていた。
【0008】
本発明の目的は、変更頻度が高い付帯情報を公開鍵証明書の証明対象の情報として解釈可能とし、付帯情報に変更があった場合にも公開鍵証明書を再発行することなく実施可能な公開鍵証明書情報検証方法および装置を提供することにある。
【0009】
【課題を解決するための手段】
認証局は、公開鍵証明書の付帯情報(証明書付帯情報)の識別情報と、証明書付帯情報の管理・変更権限を認証局から委譲された付帯情報管理サーバの識別情報とを含む公開鍵証明書をあらかじめ発行しておく。また、公開鍵証明書情報検証装置に、証明書付帯情報を検証する付帯情報検証情報と、付帯情報管理サーバ識別情報に対応する付帯情報管理サーバの通信アドレスを表わす付帯情報管理サーバアドレス情報と、付帯情報管理サーバとの通信手段をあらかじめ備えておく。また、付帯情報管理サーバには、付帯情報識別情報と、付帯情報と付帯情報認証情報とを含む証明書付帯情報を格納しておく。
【0010】
公開鍵証明書情報検証装置は、公開鍵証明書を入力として受け取り、該公開鍵証明書から付帯情報識別情報と付帯情報管理サーバ識別情報とを取り出し、付帯情報管理サーバ識別情報に対応する付帯情報管理サーバアドレス情報によって付帯情報管理サーバへの通信手段を利用することにより付帯情報管理サーバから付帯情報識別情報に対応する証明書付帯情報を取得し、該付帯情報管理サーバ識別情報が特定する付帯情報管理サーバにより該証明書付帯情報が作成されたものであることを該証明書付帯情報に含まれる付帯情報認証情報と、付帯情報検証情報によって検証し、検証が成功した場合には、公開鍵証明書に含まれる情報と証明書付帯情報に含まれる付帯情報とを合わせて、公開鍵証明書が表わす有効な証明情報であると判定する。
【0011】
通信相手や電子データの認証処理を行なうために用いる公開鍵証明書から更新可能部分を付帯情報として分離し、付帯情報管理サーバが管理することとし、付帯情報の変更権限を、公開鍵証明書を発行した認証局が付帯情報管理サーバに権限委譲することにより、公開鍵証明書を再発行することなく公開鍵証明書の証明内容を部分的に変更可能となる。
【0012】
本発明の他の態様では、通信網を利用して付帯情報管理サーバから証明書付帯情報を取得する代りに、証明書情報検証装置に証明書付帯情報をあらかじめ登録しておき、付帯情報識別情報に対応する証明書付帯情報が登録されていることを判定し、登録されている場合には該証明書付帯情報を取得する。
【0013】
これにより、通信網を利用できない場合でも検証処理が可能となる。
【0014】
本発明のさらに他の態様では、認証局は、付帯情報識別情報と、付帯情報の管理・変更権限を認証局から委譲された付帯情報管理サーバの付帯情報管理サーバ識別情報とともに、付帯情報管理サーバ識別情報に対応する付帯情報管理サーバの通信アドレスを表わす付帯情報管理サーバアドレス情報を含む公開鍵証明書をあらかじめ発行しておき、また、公開鍵証明書情報検証装置には、証明書付帯情報を検証する付帯情報検証情報と、付帯情報管理サーバへの通信手段をあらかじめ備えておく。そして、公開鍵証明書が証明する情報の有効性を検証する際、受け取った公開鍵証明書から付帯情報識別情報と付帯情報管理サーバ識別情報と付帯情報管理サーバアドレス情報とを取得し、取得された付帯情報管理サーバアドレスによって特定される付帯情報管理サーバへの通信手段を利用することにより付帯情報管理サーバから付帯情報識別情報に対応する証明書付帯情報を取得する。
【0015】
したがって、公開鍵証明書証明装置は、付帯情報管理サーバの通信手段を備えていれば、通信先をあらかじめ登録しておかなくても、公開鍵証明書に含まれる情報によって通信することが可能となる。
【0016】
付帯情報認証情報として公開鍵認証基盤による認証手段を用いることにより、公開鍵認証基盤に対応した認証プログラム、システムを利用して付帯情報の正当性を検証することが可能となる。
【0017】
付帯情報管理サーバへのアクセス権限を設定して、アクセス権限のない利用者や検証プログラム等からの付帯情報を取得を防止することにより、あらかじめ限られた範囲で扱いたい情報を付帯情報として、公開鍵証明書の証明対象情報として解釈することが可能となる。
【0018】
付帯情報識別情報に対応する証明書付帯情報が複数存在する場合には、登録日時が新しいものを採用することにより、証明書付帯情報が変更となり、変更前の古い証明書付帯情報が混在する環境下でも適切な証明書付帯情報を選択することが可能となる。
【0019】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0020】
図1に示すように、本発明の証明書情報検証システムは、公開鍵証明書の証明情報の有効性を検証する公開鍵証明書情報検証装置1と、公開鍵証明書の付帯情報を管理・格納する付帯情報管理サーバ2とによって構成され、公開鍵証明書情報検証装置1と付帯情報管理サーバ2はインターネットのような通信網3によって互いに接続されている。
【0021】
第1の実施形態
図2は本実施形態で用いられる公開鍵証明書4を示している。公開鍵証明書4は署名対象部41と署名データ部42によって構成され、署名対象部41には認証局識別情報411と付帯情報識別情報412と付帯情報管理サーバ識別情報413とが含まれる。署名データ部42は、認証局識別情報411によって特定される認証局の公開鍵証明書に含まれる公開鍵に対応する秘密鍵によって署名対象部41を暗号化して得られたデータである。公開鍵証明書4は、認証局識別情報411に対応する公開鍵証明書に含まれる公開鍵(検証鍵)により署名データ部42の検証を行ない、検証が成功した場合は、公開鍵証明書4が、認証局識別情報411が特定する認証局によって発行された公開鍵証明書であることを確認できる。付帯情報管理サーバ識別情報413は、公開鍵証明書4を発行した認証局が、公開鍵証明書4の付帯情報の管理、変更権限を委譲した付帯情報管理サーバを特定するための情報である。付帯情報管理サーバ識別情報413で特定される付帯情報管理サーバ2内では、公開鍵証明書4の付帯情報を付帯情報識別情報412に特定する。
【0022】
図3は付帯情報管理サーバ2が作成、管理する証明書付帯情報5を示している。証明書付帯情報5は付帯情報識別情報51と付帯情報52と付帯情報認証情報53とによって構成される。
【0023】
図4に示すように、公開鍵証明書情報検証装置1は、検証対象情報入力部11と公開鍵証明書有効性検証部12と公開鍵証明書情報取得部13と付帯情報取得部14と付帯情報検証部15と検証結果出力部16とを有する。
【0024】
検証対象入力部11は検証対象の公開鍵証明書4を入力する。公開鍵証明書有効性検証部12は、署名データ部42の有効性を認証局識別情報411によって特定される認証局の有効な公開鍵証明書を用いて検証するとともに、公開鍵認証基盤(PKI)の標準規約によって定められる公開鍵証明書の有効性検証を行なう。公開鍵証明書情報取得部13は、公開鍵証明書4から付帯情報識別情報412と付帯情報管理サーバ識別情報413とを取り出す。付帯情報取得部14は、付帯情報管理サーバ識別情報413によって特定される付帯情報管理サーバ2の通信アドレスをもとに、付帯情報管理サーバ2との通信手段を利用することによって、付帯情報管理サーバ2から、付帯情報識別情報412によって特定される証明書付帯情報5を取得する。付帯情報検証部15は、付帯情報取得部14で取得した証明書付帯情報5の有効性を付帯情報認証情報53(図3)と付帯情報検証情報によって検証する。検証結果出力部16は、公開鍵証明書有効性検証部12によって公開鍵証明書4の有効性が確認され、かつ、付帯情報検証部15によって証明書付帯情報5の有効性が確認された場合に、公開鍵証明書4と付帯情報52の内容が有効な情報であることを結果として返却する。
【0025】
図5は付帯情報管理サーバ2の構成を示している。付帯情報管理サーバ2は証明書付帯情報提供部21と証明書付帯情報管理部22で構成されている。証明書付帯情報提供部21は、付帯情報識別情報51を入力として受け付ける。証明書付帯情報管理部22は、1つ以上の証明書付帯情報5を保持し、付帯情報識別情報51に対応する証明書付帯情報5を特定する。
【0026】
次に、公開鍵証明書情報検証装置1の動作を図6のフローチャートをもとに説明する。ステップ101に、検証対象入力部11は公開鍵証明書4を入力として取得し、ステップ102に進む。ステップ102に、公開鍵証明書有効性検証部12は公開鍵証明書4の有効性を検証し、判定結果が有効であれば、ステップ103に進む。無効であればステップ107に進む。ステップ103に、公開鍵証明書情報取得部13は公開鍵証明書4から付帯情報識別情報412と付帯情報管理サーバ識別情報413とを取得し、ステップ104に進む。ステップ104に、付帯情報取得部14は付帯情報識別管理サーバ識別情報413によって特定される(あらかじめ公開鍵証明書情報検証装置1に登録されている)付帯情報管理サーバアドレス情報により付帯情報管理サーバ2との通信手段を利用することによって、付帯情報管理サーバ2から付帯情報識別情報412に対応する証明書付帯情報5を取得し、ステップ105に進む。ステップ105に、付帯情報検証部15は付帯情報認証情報53と(あらかじめ公開鍵証明書情報検証装置1に登録されている)付帯情報検証情報によって証明書付帯情報5の有効性を検証し、有効な場合にはステップ106に進み、無効な場合にはステップ107に進む。ステップ106に、検証結果出力部16は公開鍵証明書4と証明書付帯情報5の付帯情報52を合わせて公開鍵証明書4の証明対象情報として有効であることを結果として出力して終了する。ステップ107では、結果としてエラーを出力して終了する。
【0027】
第2の実施形態
第1の実施形態の公開鍵証明書情報検証装置1では通信網を利用して公開鍵証明書4に対応する証明書付帯情報5を取得している。
【0028】
本実施形態では、図7に示すように、公開鍵証明書情報検証装置1内に付帯情報記憶部17を設け、付帯情報記憶部17内に複数の証明書付帯情報5を予め登録しておくことによって、通信網を利用できない場合でも検証処理を可能としたものである。
【0029】
図8は本実施形態の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【0030】
ステップ108で付帯情報識別情報412に対応する証明書付帯情報5を付帯情報記憶部17から取得する点が図6のフローチャートと異なる。
【0031】
本実施形態では、ステップ108にて、証明書付帯情報5を装置1内から取得できた場合のみ記載しているが、取得できなかった場合には、ステップ107に進み、エラーを結果として出力してもよいし、あるいは、第1の実施形態に示されるような、通信網を介して証明書付帯情報5の取得処理を行なってもよい。
【0032】
第3の実施形態
第1の実施形態の公開鍵証明書情報検証装置1では、付帯情報管理サーバアドレス情報をあらかじめ装置1内に登録しておく必要がある。本実施形態は、公開鍵証明書4に付帯情報管理サーバ識別情報413に合わせて、付帯情報管理サーバアドレス情報414も含めることとしたもので、これにより装置1内に付帯情報管理サーバアドレス情報を予め登録しておく必要がない。図9は、構成要素として付帯情報管理サーバアドレス情報414を追加した公開鍵証明書4を表わしている。
【0033】
図10は本実施形態の公開鍵証明書情報検証装置1の動作を示すフローチャートである。
【0034】
ステップ109で、公開鍵証明書情報取得部13は公開鍵証明書4から付帯情報識別情報412と付帯情報管理サーバ識別情報413と付帯情報管理サーバアドレス情報414を取得し、ステップ110で、付帯情報取得部14は付帯情報管理サーバアドレス情報414により付帯情報管理サーバ2との通信手段を利用することによって、付帯情報識別管理サーバ識別情報413に対応する付帯情報管理サーバ2から付帯情報識別情報412に対応する証明書付帯情報5を取得する点が第1の実施形態と異なる。
【0035】
第4の実施形態
以上の第1、第2、第3の実施形態では、証明書付帯情報5が、対応する公開鍵証明書4を発行した認証局から正しく権限委譲された付帯情報管理サーバ2によって作成されたものであることを付帯情報認証情報53により検証している。このような付帯情報認証情報53の実現手段として、現在、電子データの真正性を検証可能とするために広く利用されている、公開鍵暗号方式によるディジタル署名を利用することができる。また、この場合、付帯情報検証情報としてはディジタル署名を生成した付帯情報管理サーバ2の公開鍵証明書4を用いることが適当である。この場合、付帯情報認証情報53を付帯情報管理サーバ2によるディジタル署名とし、公開鍵証明書情報検証装置1は、公開鍵証明書4に含まれる付帯情報管理サーバ識別情報413によって特定される付帯情報管理サーバ2の公開鍵証明書4を付帯情報検証情報として保持しているものとする。
【0036】
具体的には、第1から第3の実施形態のステップ105において、付帯情報検証部15は、上記のような付帯情報管理サーバ2のディジタル署名を付帯情報認証情報53として、付帯情報管理サーバ2の公開鍵証明書4を付帯情報検証情報とする処理を行なえばよい。
【0037】
なお、以上のように、付帯情報認証情報にディジタル署名を適用する場合、例えば、付帯情報として、IETF PKIXワーキンググループで標準化が進められている属性証明書を用いることや、W3Cが規定するXML(Extensible Markup Language)によって記述されるXML文書に、同W3Cが規定するXML Signatureによるディジタル署名を付与した電子データを用いるなどの方法が考えられる。
【0038】
第5の実施形態
以上の第1、第3の実施形態で、公開鍵証明書情報検証装置1は、付帯情報管理サーバ2から付帯情報識別情報51に対応する証明書付帯情報5を無条件に取得可能となっている。しかしながら、これは証明書付帯情報5に限られた範囲にのみ公開したい情報を含めたい場合などに問題が生じる。そこで、付帯情報管理サーバ2は、図11に示すように、証明書付帯情報5ごとに証明書付帯情報アクセス制御情報6を保持し、付帯情報識別情報51に対応する証明書付帯情報アクセス制御情報6を特定する証明書付帯情報アクセス制御情報管理部23を有し、証明書付帯情報5に対して定められたアクセス制御情報6(通信者認証、権限認証、等)を満たす場合にのみ、証明書付帯情報5を取得可能とし、上記の問題を解決する。
【0039】
第6の実施形態
また、本実施形態により、公開鍵証明書4を再発行せずに、証明書付帯情報5の変更が可能となるため、公開鍵証明書4に対応する新旧の証明書付帯情報5が混在する可能性がある。そこで、第1の実施形態のステップ104、第2の実施形態のステップ108、第3の実施形態のステップ110において、付帯情報取得部14は、複数の証明書付帯情報5を取得した場合には、証明書付帯情報5の登録日付が新しいものを採用することによって、適切な証明書付帯情報5を選択可能となる。
【0040】
なお、公開鍵証明書情報検証装置1内の処理は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0041】
【発明の効果】
以上説明したように、本発明は下記のような効果がある。
【0042】
請求項1と7の発明は、公開鍵証明書の証明対象情報のうち変更頻度が高い付帯情報を、公開鍵証明書を発行した認証局が、付帯情報管理サーバに管理・変更権限を委譲した上で格納し、公開鍵証明書の証明対象情報を検証、解釈する際には、公開鍵証明書に含まれる情報と公開鍵証明書から特定される付帯情報管理サーバから得られる付帯情報が表わす情報とを合わせて解釈結果とすることによって、付帯情報に変更があった場合にも、公開鍵証明書を再発行する必要がなく、公開鍵証明書を発行した認証局は付帯情報の管理・変更権限を安全に付帯情報管理サーバに委譲することができる。これにより、公開鍵証明書に利便性が高いが変更頻度が高く、従来の方法では、格納することが困難であった情報を、公開鍵証明書の証明対象情報として解釈可能となり、間接的に公開鍵証明書に含めることが可能となる。
【0043】
請求項2と8の発明は、オフラインでアクセス可能な記憶媒体に公開鍵証明書に含まれる付帯情報識別情報が特定する付帯情報を格納し、この情報を公開鍵証明書の情報と共に、公開鍵証明書の証明対象情報として解釈することにより、付帯情報管理サーバにオンラインでアクセス可能な状態でなくても、公開鍵証明書に利便性が高いが変更頻度が高く、従来の方法では、格納することが困難であった情報を、公開鍵証明書の証明対象情報として解釈可能となり、間接的に公開鍵証明書に含めることが可能となる。
【0044】
請求項3と9の発明は、公開鍵証明書に、公開鍵証明書の付帯情報を管理する付帯情報管理サーバと通信するために必要な付帯情報管理サーバアドレス情報を含めることにより、公開鍵証明書検証装置は、付帯情報管理サーバの通信手段を備えていれば、通信先をあらかじめ登録しておかなくても、公開鍵証明書に含まれる情報によって通信することが可能となる。
【0045】
請求項4と10の発明は、付帯情報認証情報として公開鍵認証基盤による認証手段を用いることにより、公開鍵認証基盤に対応した認証プログラム、システムを利用して付帯情報の正当性を検証することが可能となる。
【0046】
請求項5と11の発明は、付帯情報管理サーバへのアクセス権限を設定して、アクセス権限のない利用者や検証プログラム等からの付帯情報を取得を防止することにより、あらかじめ限られた範囲で扱いたい情報を付帯情報として、公開鍵証明書の証明対象情報として解釈することが可能となる。
【0047】
請求項6と12の発明は、付帯情報識別情報に対応する証明書付帯情報が複数存在する場合には、登録日時が新しいものを採用することにより、証明書付帯情報が変更となり、変更前の古い証明書付帯情報が混在する環境下でも適切な証明書付帯情報を選択することが可能となる。
【図面の簡単な説明】
【図1】本発明の証明書情報検証システムの構成図である。
【図2】公開鍵証明書の構成を示す図である。
【図3】証明書付帯情報の構成を示す図である。
【図4】第1の実施形態の公開鍵証明書情報検証装置の構成図である。
【図5】第1の実施形態の付帯情報管理サーバの構成図である。
【図6】図4の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【図7】第2の実施形態の公開鍵証明書情報検証装置の構成図である。
【図8】第2の実施形態の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【図9】第3の実施形態の公開鍵証明書の構成を示す図である。
【図10】第3の実施形態の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【図11】第5の実施形態の付帯情報管理サーバの構成図である。
【符号の説明】
1 公開鍵証明書情報検証装置
2 付帯情報管理サーバ
3 通信網
4 公開鍵証明書
41 署名対象部
411 認証局情報
412 付帯情報識別情報
413 付帯情報管理サーバ識別情報
414 付帯情報管理サーバアドレス情報
42 署名データ部
5 証明書付帯情報
51 付帯情報識別情報
52 付帯情報
53 付帯情報認証情報
6 証明書付帯情報アクセス制御情報
11 検証対象入力部
12 公開鍵証明書有効性検証部
13 公開鍵証明書情報取得部
14 付帯情報取得部
15 付帯情報検証部
16 検証結果出力部
17 付帯情報記憶部
21 証明書付帯情報提供部
22 証明書付帯情報管理部
23 証明書付帯情報アクセス制御情報管理部
101〜110 ステップ
【発明の属する技術分野】
本発明は公開鍵証明書情報検証方法および装置に関する。
【0002】
【従来の技術】
通信相手の認証、電子データの真正性の確認のためには、公開鍵暗号方式によるディジタル署名の技術が広く利用されている。
【0003】
通信相手を認証する際には、通信相手から受信したディジタル署名を通信相手の公開鍵(検証鍵)によって検証し、検証に成功すれば意図する通信相手であると判定する。この時、公開鍵は厳密に意図する通信相手に対応するものでなければ、認証処理の結果を信用することができないため、公開鍵認証基盤(PKI)では、公開鍵と公開鍵の持ち主の対応関係を、信頼する第三者機関として認証局が証明を行ない、証明の事実を公開鍵証明書と呼ばれる電子データの形式で発行、流通させる方式を採っている。認証局が発行する公開鍵証明書は、認証局が定める有効期間の間、公開鍵と公開鍵の持ち主を表わすIDの対応関係を証明するものである。
【0004】
ここで、公開鍵証明書は、上記の対応関係以外にも、公開鍵や公開鍵の持ち主に関する様々な情報を含めることができる。実際に、現在、公開鍵証明書を適用する分野、システム、ネットワークサービスによって、多様な情報(以下、付帯情報と呼ぶ)を公開鍵証明書に含めて公開鍵と共に流通させている。
【0005】
仮に、上記のような公開鍵証明書の付帯情報に変更があった場合には、変更内容を反映した公開鍵証明書を再発行する必要がある。
【0006】
しかしながら、公開鍵証明書を再発行すると、公開鍵証明書の持ち主のみならず、再発行された公開鍵証明書によって認証処理を行なう必要が利用者、システム、装置には、認証処理のために変更があった付帯情報を利用していない場合にも再配布する必要があり、変更頻度が高い情報を付帯情報として公開鍵証明書に格納すると配布コストが増大するという問題があった。
【0007】
【発明が解決しようとする課題】
上述した従来の方法では、公開鍵証明書にさまざまな利用者情報を付帯情報として格納できるにもかかわらず、変更頻度が高い付帯情報を格納してしまうと、公開鍵証明書の再発行が頻発し、結果的に公開鍵証明書を利用するシステム、装置、サービスのコスト増大を招いていた。
【0008】
本発明の目的は、変更頻度が高い付帯情報を公開鍵証明書の証明対象の情報として解釈可能とし、付帯情報に変更があった場合にも公開鍵証明書を再発行することなく実施可能な公開鍵証明書情報検証方法および装置を提供することにある。
【0009】
【課題を解決するための手段】
認証局は、公開鍵証明書の付帯情報(証明書付帯情報)の識別情報と、証明書付帯情報の管理・変更権限を認証局から委譲された付帯情報管理サーバの識別情報とを含む公開鍵証明書をあらかじめ発行しておく。また、公開鍵証明書情報検証装置に、証明書付帯情報を検証する付帯情報検証情報と、付帯情報管理サーバ識別情報に対応する付帯情報管理サーバの通信アドレスを表わす付帯情報管理サーバアドレス情報と、付帯情報管理サーバとの通信手段をあらかじめ備えておく。また、付帯情報管理サーバには、付帯情報識別情報と、付帯情報と付帯情報認証情報とを含む証明書付帯情報を格納しておく。
【0010】
公開鍵証明書情報検証装置は、公開鍵証明書を入力として受け取り、該公開鍵証明書から付帯情報識別情報と付帯情報管理サーバ識別情報とを取り出し、付帯情報管理サーバ識別情報に対応する付帯情報管理サーバアドレス情報によって付帯情報管理サーバへの通信手段を利用することにより付帯情報管理サーバから付帯情報識別情報に対応する証明書付帯情報を取得し、該付帯情報管理サーバ識別情報が特定する付帯情報管理サーバにより該証明書付帯情報が作成されたものであることを該証明書付帯情報に含まれる付帯情報認証情報と、付帯情報検証情報によって検証し、検証が成功した場合には、公開鍵証明書に含まれる情報と証明書付帯情報に含まれる付帯情報とを合わせて、公開鍵証明書が表わす有効な証明情報であると判定する。
【0011】
通信相手や電子データの認証処理を行なうために用いる公開鍵証明書から更新可能部分を付帯情報として分離し、付帯情報管理サーバが管理することとし、付帯情報の変更権限を、公開鍵証明書を発行した認証局が付帯情報管理サーバに権限委譲することにより、公開鍵証明書を再発行することなく公開鍵証明書の証明内容を部分的に変更可能となる。
【0012】
本発明の他の態様では、通信網を利用して付帯情報管理サーバから証明書付帯情報を取得する代りに、証明書情報検証装置に証明書付帯情報をあらかじめ登録しておき、付帯情報識別情報に対応する証明書付帯情報が登録されていることを判定し、登録されている場合には該証明書付帯情報を取得する。
【0013】
これにより、通信網を利用できない場合でも検証処理が可能となる。
【0014】
本発明のさらに他の態様では、認証局は、付帯情報識別情報と、付帯情報の管理・変更権限を認証局から委譲された付帯情報管理サーバの付帯情報管理サーバ識別情報とともに、付帯情報管理サーバ識別情報に対応する付帯情報管理サーバの通信アドレスを表わす付帯情報管理サーバアドレス情報を含む公開鍵証明書をあらかじめ発行しておき、また、公開鍵証明書情報検証装置には、証明書付帯情報を検証する付帯情報検証情報と、付帯情報管理サーバへの通信手段をあらかじめ備えておく。そして、公開鍵証明書が証明する情報の有効性を検証する際、受け取った公開鍵証明書から付帯情報識別情報と付帯情報管理サーバ識別情報と付帯情報管理サーバアドレス情報とを取得し、取得された付帯情報管理サーバアドレスによって特定される付帯情報管理サーバへの通信手段を利用することにより付帯情報管理サーバから付帯情報識別情報に対応する証明書付帯情報を取得する。
【0015】
したがって、公開鍵証明書証明装置は、付帯情報管理サーバの通信手段を備えていれば、通信先をあらかじめ登録しておかなくても、公開鍵証明書に含まれる情報によって通信することが可能となる。
【0016】
付帯情報認証情報として公開鍵認証基盤による認証手段を用いることにより、公開鍵認証基盤に対応した認証プログラム、システムを利用して付帯情報の正当性を検証することが可能となる。
【0017】
付帯情報管理サーバへのアクセス権限を設定して、アクセス権限のない利用者や検証プログラム等からの付帯情報を取得を防止することにより、あらかじめ限られた範囲で扱いたい情報を付帯情報として、公開鍵証明書の証明対象情報として解釈することが可能となる。
【0018】
付帯情報識別情報に対応する証明書付帯情報が複数存在する場合には、登録日時が新しいものを採用することにより、証明書付帯情報が変更となり、変更前の古い証明書付帯情報が混在する環境下でも適切な証明書付帯情報を選択することが可能となる。
【0019】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0020】
図1に示すように、本発明の証明書情報検証システムは、公開鍵証明書の証明情報の有効性を検証する公開鍵証明書情報検証装置1と、公開鍵証明書の付帯情報を管理・格納する付帯情報管理サーバ2とによって構成され、公開鍵証明書情報検証装置1と付帯情報管理サーバ2はインターネットのような通信網3によって互いに接続されている。
【0021】
第1の実施形態
図2は本実施形態で用いられる公開鍵証明書4を示している。公開鍵証明書4は署名対象部41と署名データ部42によって構成され、署名対象部41には認証局識別情報411と付帯情報識別情報412と付帯情報管理サーバ識別情報413とが含まれる。署名データ部42は、認証局識別情報411によって特定される認証局の公開鍵証明書に含まれる公開鍵に対応する秘密鍵によって署名対象部41を暗号化して得られたデータである。公開鍵証明書4は、認証局識別情報411に対応する公開鍵証明書に含まれる公開鍵(検証鍵)により署名データ部42の検証を行ない、検証が成功した場合は、公開鍵証明書4が、認証局識別情報411が特定する認証局によって発行された公開鍵証明書であることを確認できる。付帯情報管理サーバ識別情報413は、公開鍵証明書4を発行した認証局が、公開鍵証明書4の付帯情報の管理、変更権限を委譲した付帯情報管理サーバを特定するための情報である。付帯情報管理サーバ識別情報413で特定される付帯情報管理サーバ2内では、公開鍵証明書4の付帯情報を付帯情報識別情報412に特定する。
【0022】
図3は付帯情報管理サーバ2が作成、管理する証明書付帯情報5を示している。証明書付帯情報5は付帯情報識別情報51と付帯情報52と付帯情報認証情報53とによって構成される。
【0023】
図4に示すように、公開鍵証明書情報検証装置1は、検証対象情報入力部11と公開鍵証明書有効性検証部12と公開鍵証明書情報取得部13と付帯情報取得部14と付帯情報検証部15と検証結果出力部16とを有する。
【0024】
検証対象入力部11は検証対象の公開鍵証明書4を入力する。公開鍵証明書有効性検証部12は、署名データ部42の有効性を認証局識別情報411によって特定される認証局の有効な公開鍵証明書を用いて検証するとともに、公開鍵認証基盤(PKI)の標準規約によって定められる公開鍵証明書の有効性検証を行なう。公開鍵証明書情報取得部13は、公開鍵証明書4から付帯情報識別情報412と付帯情報管理サーバ識別情報413とを取り出す。付帯情報取得部14は、付帯情報管理サーバ識別情報413によって特定される付帯情報管理サーバ2の通信アドレスをもとに、付帯情報管理サーバ2との通信手段を利用することによって、付帯情報管理サーバ2から、付帯情報識別情報412によって特定される証明書付帯情報5を取得する。付帯情報検証部15は、付帯情報取得部14で取得した証明書付帯情報5の有効性を付帯情報認証情報53(図3)と付帯情報検証情報によって検証する。検証結果出力部16は、公開鍵証明書有効性検証部12によって公開鍵証明書4の有効性が確認され、かつ、付帯情報検証部15によって証明書付帯情報5の有効性が確認された場合に、公開鍵証明書4と付帯情報52の内容が有効な情報であることを結果として返却する。
【0025】
図5は付帯情報管理サーバ2の構成を示している。付帯情報管理サーバ2は証明書付帯情報提供部21と証明書付帯情報管理部22で構成されている。証明書付帯情報提供部21は、付帯情報識別情報51を入力として受け付ける。証明書付帯情報管理部22は、1つ以上の証明書付帯情報5を保持し、付帯情報識別情報51に対応する証明書付帯情報5を特定する。
【0026】
次に、公開鍵証明書情報検証装置1の動作を図6のフローチャートをもとに説明する。ステップ101に、検証対象入力部11は公開鍵証明書4を入力として取得し、ステップ102に進む。ステップ102に、公開鍵証明書有効性検証部12は公開鍵証明書4の有効性を検証し、判定結果が有効であれば、ステップ103に進む。無効であればステップ107に進む。ステップ103に、公開鍵証明書情報取得部13は公開鍵証明書4から付帯情報識別情報412と付帯情報管理サーバ識別情報413とを取得し、ステップ104に進む。ステップ104に、付帯情報取得部14は付帯情報識別管理サーバ識別情報413によって特定される(あらかじめ公開鍵証明書情報検証装置1に登録されている)付帯情報管理サーバアドレス情報により付帯情報管理サーバ2との通信手段を利用することによって、付帯情報管理サーバ2から付帯情報識別情報412に対応する証明書付帯情報5を取得し、ステップ105に進む。ステップ105に、付帯情報検証部15は付帯情報認証情報53と(あらかじめ公開鍵証明書情報検証装置1に登録されている)付帯情報検証情報によって証明書付帯情報5の有効性を検証し、有効な場合にはステップ106に進み、無効な場合にはステップ107に進む。ステップ106に、検証結果出力部16は公開鍵証明書4と証明書付帯情報5の付帯情報52を合わせて公開鍵証明書4の証明対象情報として有効であることを結果として出力して終了する。ステップ107では、結果としてエラーを出力して終了する。
【0027】
第2の実施形態
第1の実施形態の公開鍵証明書情報検証装置1では通信網を利用して公開鍵証明書4に対応する証明書付帯情報5を取得している。
【0028】
本実施形態では、図7に示すように、公開鍵証明書情報検証装置1内に付帯情報記憶部17を設け、付帯情報記憶部17内に複数の証明書付帯情報5を予め登録しておくことによって、通信網を利用できない場合でも検証処理を可能としたものである。
【0029】
図8は本実施形態の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【0030】
ステップ108で付帯情報識別情報412に対応する証明書付帯情報5を付帯情報記憶部17から取得する点が図6のフローチャートと異なる。
【0031】
本実施形態では、ステップ108にて、証明書付帯情報5を装置1内から取得できた場合のみ記載しているが、取得できなかった場合には、ステップ107に進み、エラーを結果として出力してもよいし、あるいは、第1の実施形態に示されるような、通信網を介して証明書付帯情報5の取得処理を行なってもよい。
【0032】
第3の実施形態
第1の実施形態の公開鍵証明書情報検証装置1では、付帯情報管理サーバアドレス情報をあらかじめ装置1内に登録しておく必要がある。本実施形態は、公開鍵証明書4に付帯情報管理サーバ識別情報413に合わせて、付帯情報管理サーバアドレス情報414も含めることとしたもので、これにより装置1内に付帯情報管理サーバアドレス情報を予め登録しておく必要がない。図9は、構成要素として付帯情報管理サーバアドレス情報414を追加した公開鍵証明書4を表わしている。
【0033】
図10は本実施形態の公開鍵証明書情報検証装置1の動作を示すフローチャートである。
【0034】
ステップ109で、公開鍵証明書情報取得部13は公開鍵証明書4から付帯情報識別情報412と付帯情報管理サーバ識別情報413と付帯情報管理サーバアドレス情報414を取得し、ステップ110で、付帯情報取得部14は付帯情報管理サーバアドレス情報414により付帯情報管理サーバ2との通信手段を利用することによって、付帯情報識別管理サーバ識別情報413に対応する付帯情報管理サーバ2から付帯情報識別情報412に対応する証明書付帯情報5を取得する点が第1の実施形態と異なる。
【0035】
第4の実施形態
以上の第1、第2、第3の実施形態では、証明書付帯情報5が、対応する公開鍵証明書4を発行した認証局から正しく権限委譲された付帯情報管理サーバ2によって作成されたものであることを付帯情報認証情報53により検証している。このような付帯情報認証情報53の実現手段として、現在、電子データの真正性を検証可能とするために広く利用されている、公開鍵暗号方式によるディジタル署名を利用することができる。また、この場合、付帯情報検証情報としてはディジタル署名を生成した付帯情報管理サーバ2の公開鍵証明書4を用いることが適当である。この場合、付帯情報認証情報53を付帯情報管理サーバ2によるディジタル署名とし、公開鍵証明書情報検証装置1は、公開鍵証明書4に含まれる付帯情報管理サーバ識別情報413によって特定される付帯情報管理サーバ2の公開鍵証明書4を付帯情報検証情報として保持しているものとする。
【0036】
具体的には、第1から第3の実施形態のステップ105において、付帯情報検証部15は、上記のような付帯情報管理サーバ2のディジタル署名を付帯情報認証情報53として、付帯情報管理サーバ2の公開鍵証明書4を付帯情報検証情報とする処理を行なえばよい。
【0037】
なお、以上のように、付帯情報認証情報にディジタル署名を適用する場合、例えば、付帯情報として、IETF PKIXワーキンググループで標準化が進められている属性証明書を用いることや、W3Cが規定するXML(Extensible Markup Language)によって記述されるXML文書に、同W3Cが規定するXML Signatureによるディジタル署名を付与した電子データを用いるなどの方法が考えられる。
【0038】
第5の実施形態
以上の第1、第3の実施形態で、公開鍵証明書情報検証装置1は、付帯情報管理サーバ2から付帯情報識別情報51に対応する証明書付帯情報5を無条件に取得可能となっている。しかしながら、これは証明書付帯情報5に限られた範囲にのみ公開したい情報を含めたい場合などに問題が生じる。そこで、付帯情報管理サーバ2は、図11に示すように、証明書付帯情報5ごとに証明書付帯情報アクセス制御情報6を保持し、付帯情報識別情報51に対応する証明書付帯情報アクセス制御情報6を特定する証明書付帯情報アクセス制御情報管理部23を有し、証明書付帯情報5に対して定められたアクセス制御情報6(通信者認証、権限認証、等)を満たす場合にのみ、証明書付帯情報5を取得可能とし、上記の問題を解決する。
【0039】
第6の実施形態
また、本実施形態により、公開鍵証明書4を再発行せずに、証明書付帯情報5の変更が可能となるため、公開鍵証明書4に対応する新旧の証明書付帯情報5が混在する可能性がある。そこで、第1の実施形態のステップ104、第2の実施形態のステップ108、第3の実施形態のステップ110において、付帯情報取得部14は、複数の証明書付帯情報5を取得した場合には、証明書付帯情報5の登録日付が新しいものを採用することによって、適切な証明書付帯情報5を選択可能となる。
【0040】
なお、公開鍵証明書情報検証装置1内の処理は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0041】
【発明の効果】
以上説明したように、本発明は下記のような効果がある。
【0042】
請求項1と7の発明は、公開鍵証明書の証明対象情報のうち変更頻度が高い付帯情報を、公開鍵証明書を発行した認証局が、付帯情報管理サーバに管理・変更権限を委譲した上で格納し、公開鍵証明書の証明対象情報を検証、解釈する際には、公開鍵証明書に含まれる情報と公開鍵証明書から特定される付帯情報管理サーバから得られる付帯情報が表わす情報とを合わせて解釈結果とすることによって、付帯情報に変更があった場合にも、公開鍵証明書を再発行する必要がなく、公開鍵証明書を発行した認証局は付帯情報の管理・変更権限を安全に付帯情報管理サーバに委譲することができる。これにより、公開鍵証明書に利便性が高いが変更頻度が高く、従来の方法では、格納することが困難であった情報を、公開鍵証明書の証明対象情報として解釈可能となり、間接的に公開鍵証明書に含めることが可能となる。
【0043】
請求項2と8の発明は、オフラインでアクセス可能な記憶媒体に公開鍵証明書に含まれる付帯情報識別情報が特定する付帯情報を格納し、この情報を公開鍵証明書の情報と共に、公開鍵証明書の証明対象情報として解釈することにより、付帯情報管理サーバにオンラインでアクセス可能な状態でなくても、公開鍵証明書に利便性が高いが変更頻度が高く、従来の方法では、格納することが困難であった情報を、公開鍵証明書の証明対象情報として解釈可能となり、間接的に公開鍵証明書に含めることが可能となる。
【0044】
請求項3と9の発明は、公開鍵証明書に、公開鍵証明書の付帯情報を管理する付帯情報管理サーバと通信するために必要な付帯情報管理サーバアドレス情報を含めることにより、公開鍵証明書検証装置は、付帯情報管理サーバの通信手段を備えていれば、通信先をあらかじめ登録しておかなくても、公開鍵証明書に含まれる情報によって通信することが可能となる。
【0045】
請求項4と10の発明は、付帯情報認証情報として公開鍵認証基盤による認証手段を用いることにより、公開鍵認証基盤に対応した認証プログラム、システムを利用して付帯情報の正当性を検証することが可能となる。
【0046】
請求項5と11の発明は、付帯情報管理サーバへのアクセス権限を設定して、アクセス権限のない利用者や検証プログラム等からの付帯情報を取得を防止することにより、あらかじめ限られた範囲で扱いたい情報を付帯情報として、公開鍵証明書の証明対象情報として解釈することが可能となる。
【0047】
請求項6と12の発明は、付帯情報識別情報に対応する証明書付帯情報が複数存在する場合には、登録日時が新しいものを採用することにより、証明書付帯情報が変更となり、変更前の古い証明書付帯情報が混在する環境下でも適切な証明書付帯情報を選択することが可能となる。
【図面の簡単な説明】
【図1】本発明の証明書情報検証システムの構成図である。
【図2】公開鍵証明書の構成を示す図である。
【図3】証明書付帯情報の構成を示す図である。
【図4】第1の実施形態の公開鍵証明書情報検証装置の構成図である。
【図5】第1の実施形態の付帯情報管理サーバの構成図である。
【図6】図4の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【図7】第2の実施形態の公開鍵証明書情報検証装置の構成図である。
【図8】第2の実施形態の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【図9】第3の実施形態の公開鍵証明書の構成を示す図である。
【図10】第3の実施形態の公開鍵証明書情報検証装置の動作を示すフローチャートである。
【図11】第5の実施形態の付帯情報管理サーバの構成図である。
【符号の説明】
1 公開鍵証明書情報検証装置
2 付帯情報管理サーバ
3 通信網
4 公開鍵証明書
41 署名対象部
411 認証局情報
412 付帯情報識別情報
413 付帯情報管理サーバ識別情報
414 付帯情報管理サーバアドレス情報
42 署名データ部
5 証明書付帯情報
51 付帯情報識別情報
52 付帯情報
53 付帯情報認証情報
6 証明書付帯情報アクセス制御情報
11 検証対象入力部
12 公開鍵証明書有効性検証部
13 公開鍵証明書情報取得部
14 付帯情報取得部
15 付帯情報検証部
16 検証結果出力部
17 付帯情報記憶部
21 証明書付帯情報提供部
22 証明書付帯情報管理部
23 証明書付帯情報アクセス制御情報管理部
101〜110 ステップ
Claims (12)
- 検証対象入力手段と公開鍵証明書情報取得手段と付帯情報取得手段と付帯情報検証手段と公開鍵証明書有効性検証手段とを有する公開鍵証明書情報検証装置において行われる公開鍵証明書情報検証方法であって、
前記検証対象入力手段が、認証局があらかじめ発行した、公開鍵証明書の付帯情報の識別情報と、該付帯情報の管理・変更権限を前記認証局から委譲された付帯情報管理サーバの識別情報を含む公開鍵証明書を入力する検証対象入力ステップと、
前記公開鍵証明書情報取得手段が、前記公開鍵証明書から前記付帯情報の識別情報と前記付帯情報管理サーバの識別情報を取得する公開鍵証明書情報取得ステップと、
前記付帯情報取得手段が、前記付帯情報管理サーバの識別情報に対応する付帯情報管理サーバアドレス情報を用いて付帯情報管理サーバへの通信手段を利用することによって、前記付帯情報管理サーバの識別情報に対応する付帯情報管理サーバから前記付帯情報の識別情報が示す付帯情報を取得する付帯情報取得ステップと、
前記付帯情報検証手段が、取得された付帯情報が前記付帯情報管理サーバの識別情報が示す付帯情報管理サーバによって作成されたものであることを、該付帯情報に含まれる付帯情報認証情報と、付帯情報検証情報によって検証する付帯情報検証ステップと、
前記公開鍵証明書有効性検証手段が、検証が成功した場合には前記公開鍵証明書に含まれる情報と前記付帯情報とを合わせて該公開鍵証明書が表わす有効な証明情報であると判定する公開鍵証明書有効性検証ステップと
を有する公開鍵証明書情報検証方法。 - 検証対象入力手段と公開鍵証明書情報取得手段と付帯情報取得手段と付帯情報検証手段と公開鍵証明書有効性検証手段とを有する公開鍵証明書情報検証装置において行われる公開鍵証明書情報検証方法であって、
前記検証対象入力手段が、認証局があらかじめ発行した、公開鍵証明書の付帯情報の識別情報と、該付帯情報の管理・変更権限を前記認証局から委譲された付帯情報管理サーバの識別情報を含む公開鍵証明書を入力する検証対象入力ステップと、
前記公開鍵証明書情報取得手段が、前記公開鍵証明書から前記付帯情報の識別情報と前記付帯情報管理サーバの識別情報を取得する公開鍵証明書情報取得ステップと、
前記付帯情報取得手段が、前記付帯情報の識別情報に対応する付帯情報を公開鍵証明書情報検証装置から取得する付帯情報取得ステップと、
前記付帯情報検証手段が、取得された付帯情報が前記付帯情報管理サーバの識別情報が示す付帯情報管理サーバによって作成されたものであることを、該付帯情報に含まれる付帯情報認証情報と、付帯情報検証情報によって検証する付帯情報検証ステップと、
前記公開鍵証明書有効性検証手段が、検証が成功した場合には前記公開鍵証明書に含まれる情報と前記付帯情報とを合わせて該公開鍵証明書が表わす有効な証明情報であると判定する公開鍵証明書有効性検証ステップと
を有する公開鍵証明書情報検証方法。 - 検証対象入力手段と公開鍵証明書情報取得手段と付帯情報取得手段と付帯情報検証手段と公開鍵証明書有効性検証手段とを有する公開鍵証明書情報検証装置において行われる公開鍵証明書情報検証方法であって、
前記検証対象入力手段が、認証局があらかじめ発行した、公開鍵証明書の付帯情報の識別情報と、該付帯情報の管理・変更権限を前記認証局から委譲された付帯情報管理サーバの識別情報を含む公開鍵証明書を入力する検証対象入力ステップと、
前記公開鍵証明書情報取得手段が、前記公開鍵証明書から前記付帯情報の識別情報と前記付帯情報管理サーバの識別情報とアドレス情報を取得する公開鍵証明書情報取得ステップと、
前記付帯情報取得手段が、前記付帯情報管理サーバのアドレス情報により前記付帯情報管理サーバへの通信手段を利用することによって、前記付帯情報識別管理サーバの識別情報に対応する付帯情報管理サーバから前記付帯情報の識別情報に対応する付帯情報を取得する付帯情報取得ステップと、
前記付帯情報検証手段が、取得された付帯情報が前記付帯情報管理サーバの識別情報が示す付帯情報管理サーバによって作成されたものであることを、該付帯情報に含まれる付帯情報認証情報と、付帯情報検証情報によって検証する付帯情報検証ステップと、
前記公開鍵証明書有効性検証手段が、検証が成功した場合には前記公開鍵証明書に含まれる情報と前記付帯情報とを合わせて該公開鍵証明書が表わす有効な証明情報であると判定する公開鍵証明書有効性検証ステップと
を有する公開鍵証明書情報検証方法。 - 前記付帯情報検証手段は、前記付帯情報検証ステップにおいて、前記付帯情報認証情報を公開鍵暗号方式による署名データとし、前記付帯情報検証情報を該署名データを検証するための検証鍵を含む情報とすることにより、前記付帯情報の作成者が前記公開鍵証明書に含まれる付帯情報管理サーバ識別情報によって特定される付帯情報管理サーバであることを検証する、請求項1から3のいずれか1項に記載の公開鍵証明書情報検証方法。
- 前記付帯情報管理サーバに証明書付帯情報と共に該証明書付帯情報に対応する付帯情報アクセス権限情報が格納されており、前記付帯情報取得手段は、前記付帯情報取得ステップにおいて、前記付帯情報管理サーバ識別情報に対応する付帯情報管理サーバアドレス情報によって特定される付帯情報管理サーバへの通信手段を利用することによって、該付帯情報管理サーバが前記付帯情報アクセス権限情報によるアクセス権限の判定に成功した場合にのみ該付帯情報管理サーバから付帯情報識別情報に対応する証明書付帯情報が返却される、請求項1または3に記載の公開鍵証明書情報検証方法。
- 前記付帯情報取得手段は、前記付帯情報取得ステップにおいて、前記付帯情報の識別情報に対応する付帯情報が複数取得された場合には、登録日時が新しいものを前記付帯情報の識別情報に対応する付帯情報として採用する、請求項1から5のいずれか1項に記載の公開鍵証明書情報検証方法。
- 認証局があらかじめ発行した、公開鍵証明書の付帯情報の識別情報と、該付帯情報の管理・変更権限を前記認証局から委譲された付帯情報管理サーバの識別情報を含む公開鍵証明書を入力する検証対象入力手段と、
前記公開鍵証明書から前記付帯情報の識別情報と前記付帯情報管理サーバの識別情報を取得する公開鍵証明書情報取得手段と、
前記付帯情報管理サーバの識別情報に対応する付帯情報管理サーバアドレス情報を用いて付帯情報管理サーバへの通信手段を利用することによって、前記付帯情報管理サーバの識別情報に対応する付帯情報管理サーバから前記付帯情報の識別情報が示す付帯情報を取得する付帯情報取得手段と、
取得された付帯情報が前記付帯情報管理サーバの識別情報が示す付帯情報管理サーバによって作成されたものであることを、該付帯情報に含まれる付帯情報認証情報と、予め保持されている付帯情報検証情報によって検証する付帯情報検証手段と、
検証が成功した場合には前記公開鍵証明書に含まれる情報と前記付帯情報とを合わせて該公開鍵証明書が表わす有効な証明情報であると判定する公開鍵証明書有効性検証手段と
を有する公開鍵証明書情報検証装置。 - 認証局があらかじめ発行した、公開鍵証明書の付帯情報の識別情報と、該付帯情報の管理・変更権限を前記認証局から委譲された付帯情報管理サーバの識別情報を含む公開鍵証明書を入力する検証対象入力手段と、
前記公開鍵証明書から前記付帯情報の識別情報と前記付帯情報管理サーバの識別情報を取得する公開鍵証明書情報取得手段と、
前記付帯情報の識別情報に対応する付帯情報を公開鍵証明書情報検証装置から取得する付帯情報取得手段と、
取得された付帯情報が前記付帯情報管理サーバの識別情報が示す付帯情報管理サーバによって作成されたものであることを、該付帯情報に含まれる付帯情報認証情報と、予め保持されている付帯情報検証情報によって検証する付帯情報検証手段と、
検証が成功した場合には前記公開鍵証明書に含まれる情報と前記付帯情報とを合わせて該公開鍵証明書が表わす有効な証明情報であると判定する公開鍵証明書有効性検証手段と
を有する公開鍵証明書情報検証装置。 - 認証局があらかじめ発行した、公開鍵証明書の付帯情報の識別情報と、該付帯情報の管理・変更権限を前記認証局から委譲された付帯情報管理サーバの識別情報を含む公開鍵証明書を入力する検証対象入力手段と、
前記公開鍵証明書から前記付帯情報の識別情報と前記付帯情報管理サーバの識別情報と付帯情報管理サーバアドレス情報を取得する公開鍵証明書情報取得手段と、
前記付帯情報管理サーバのアドレス情報により前記付帯情報管理サーバへの通信手段を利用することによって、前記付帯情報識別管理サーバの識別情報に対応する付帯情報管理サーバから前記付帯情報の識別情報に対応する証明書付帯情報を取得する付帯情報取得手段と、
取得された付帯情報が前記付帯情報管理サーバの識別情報が示す付帯情報管理サーバによって作成されたものであることを、該付帯情報に含まれる付帯情報認証情報と、予め保持されている付帯情報検証情報によって検証する付帯情報検証手段と、
検証が成功した場合には前記公開鍵証明書に含まれる情報と前記付帯情報とを合わせて該公開鍵証明書が表わす有効な証明情報であると判定する公開鍵証明書有効性検証手段と
を有する公開鍵証明書情報検証装置。 - 前記付帯情報検証手段は、前記付帯情報認証情報が公開鍵暗号方式による署名データであり、前記付帯情報検証情報が該署名データを検証するための検証鍵を含む情報であり、前記付帯情報の作成者が前記公開鍵証明書に含まれる付帯情報管理サーバ識別情報によって特定される付帯情報管理サーバであることを検証する、請求項7から9のいずれか1項に記載の公開鍵証明書情報検証装置。
- 前記付帯情報取得手段は、付帯情報管理サーバ識別情報に対応する付帯情報管理サーバアドレス情報によって特定される、証明書付帯情報と共に該証明書付帯情報に対応する付帯情報アクセス権限情報を格納した付帯情報管理サーバへの通信手段を利用することによって、該付帯情報管理サーバが付帯情報アクセス権限情報によるアクセス権限の判定に成功した場合にのみ該付帯情報管理サーバから付帯情報識別情報に対応する証明書付帯情報が返却される、請求項7または9に記載の公開鍵証明書情報検証装置。
- 前記付帯情報取得手段は、前記付帯情報識別情報に対応する付帯情報が複数取得された場合には、登録日時が新しいものを付帯情報識別情報に対応する付帯情報として採用する、請求項7から11のいずれか1項に記載の公開鍵証明書情報検証装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002126915A JP3920698B2 (ja) | 2002-04-26 | 2002-04-26 | 公開鍵証明書情報検証方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002126915A JP3920698B2 (ja) | 2002-04-26 | 2002-04-26 | 公開鍵証明書情報検証方法および装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003318893A JP2003318893A (ja) | 2003-11-07 |
| JP3920698B2 true JP3920698B2 (ja) | 2007-05-30 |
Family
ID=29541190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002126915A Expired - Fee Related JP3920698B2 (ja) | 2002-04-26 | 2002-04-26 | 公開鍵証明書情報検証方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3920698B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4879524B2 (ja) | 2005-06-30 | 2012-02-22 | ブラザー工業株式会社 | 通信装置、通信システム及びプログラム |
-
2002
- 2002-04-26 JP JP2002126915A patent/JP3920698B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003318893A (ja) | 2003-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11516016B2 (en) | Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer | |
| JP4731624B2 (ja) | アサーション・メッセージ署名 | |
| US7356690B2 (en) | Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate | |
| CN101180829B (zh) | 认证系统、设备和程序 | |
| US8601272B2 (en) | Signature log storing apparatus | |
| US20020004800A1 (en) | Electronic notary method and system | |
| JP3971890B2 (ja) | 署名検証支援装置、署名検証支援方法、及び電子署名検証方法 | |
| US20030177351A1 (en) | System and method for single session sign-on with cryptography | |
| US20020144119A1 (en) | Method and system for network single sign-on using a public key certificate and an associated attribute certificate | |
| US8166525B2 (en) | Document management system with public key infrastructure | |
| JP2010191801A (ja) | 認証システムおよび認証方法 | |
| JP2003348077A (ja) | 属性証明書検証方法および装置 | |
| JP2004248220A (ja) | 公開鍵証明書発行装置、公開鍵証明書記録媒体、認証端末装置、公開鍵証明書発行方法、及びプログラム | |
| JP2003224563A (ja) | 署名検証システムおよび方法と署名検証プログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体 | |
| GB2391438A (en) | Electronic sealing for electronic transactions | |
| JP2009123154A (ja) | 属性証明書管理方法及び装置 | |
| JP3920698B2 (ja) | 公開鍵証明書情報検証方法および装置 | |
| JP4157751B2 (ja) | コンテンツ流通システム、流通管理サーバ装置、付加情報参照ユーザ端末装置、プログラム及び記録媒体 | |
| JP2004341897A (ja) | 属性証明情報生成装置、属性証明情報要求装置、属性証明情報発行システム、属性認証システム | |
| JP2004320494A (ja) | 電子署名付き文書検証装置、電子署名付き文書検証方法、電子署名付き文書検証プログラム及びプログラム記録媒体 | |
| JP2002033729A (ja) | 認証方法及び装置並びに認証プログラムを記憶した記憶媒体 | |
| JP2005252952A (ja) | データ検証証明システムおよびデータ検証証明処理プログラム | |
| EP1387551A1 (en) | Electronic sealing for electronic transactions | |
| JP2004356842A (ja) | 電子証明書作成方法、属性証明書作成方法及び電子証明書検証方法ならびにこれらの装置、プログラム、該プログラムを記録した記録媒体 | |
| JP2003198538A (ja) | 公証事実の検証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040728 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20040728 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040728 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061115 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070207 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070215 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120223 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |