JP4443814B2 - Revocation public key certificate list generation device, revocation public key certificate list generation method, computer program, and recording medium recording computer program - Google Patents
Revocation public key certificate list generation device, revocation public key certificate list generation method, computer program, and recording medium recording computer program Download PDFInfo
- Publication number
- JP4443814B2 JP4443814B2 JP2002104091A JP2002104091A JP4443814B2 JP 4443814 B2 JP4443814 B2 JP 4443814B2 JP 2002104091 A JP2002104091 A JP 2002104091A JP 2002104091 A JP2002104091 A JP 2002104091A JP 4443814 B2 JP4443814 B2 JP 4443814B2
- Authority
- JP
- Japan
- Prior art keywords
- public key
- revocation
- certificate
- key certificate
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、失効公開鍵証明書リストを迅速に生成でき、それにより他のサービスの性能低下を防止できる失効公開鍵証明書リスト生成装置、失効公開鍵証明書リスト生成方法、その方法を実行させるコンピュータプログラムおよびそのコンピュータプログラムを記録した記録媒体に関する。
【0002】
【従来の技術】
PKI(公開鍵基盤:PublicKeyInfrastructure)においては、認証局(CA)に公開鍵を登録する利用者は、公開鍵証明書の発行時点では当該公開鍵証明書を有効期限まで使用する意図で発行してもらう。しかし公開鍵証明書は、以下のような、種々の条件により有効期限以前に無効になることがある。
【0003】
(1)利用者自身の名前の変更
(2)被証明者とCAの関係の変化(たとえば、退職・転職・異動)
(3)公開鍵証明書に対応する秘密鍵の危殆化
このような場合、CAがその利用者の公開鍵証明書を無効化し、何らかの方法で他の利用者に対してその公開鍵証明書の無効化を知らせる。
【0004】
無効化された公開鍵証明書を知らせるには失効公開鍵証明書リスト(RL)が利用される。CAは、有効期間中に無効になったすべての公開鍵証明書をリストアップした失効公開鍵証明書リストを定期的(「例」2回/1日などの割合(このペースはCAにより任意))に生成し利用者に配信する。あるいは、利用者がCAにアクセスして失効公開鍵証明書リストを取得できるようにする。これにより、利用者は無効化された公開鍵証明書を知ることができる。
【0005】
図4は、失効公開鍵証明書リストの構造を示す図である。
【0006】
失効公開鍵証明書リスト(RL)には、RLのVersion、RL発行者、本RL発行日、次回RL発行日、失効証明書情報群などが記載される。失効証明書情報群の各失効証明書情報には、無効化された公開鍵証明書のシリアルナンバー、失効日が必須項目として記載され、拡張要素(Option)として公開鍵が危殆化したと思われる日付(invalidityDate)などが記載される。また、失効公開鍵証明書リスト(RL)には、本RLとしての拡張要素(Option)も記載される。そして、失効公開鍵証明書リスト(RL)には、これら記載された情報についてのCAの署名(Signature)が付されている。
【0007】
図5は、従来の失効公開鍵証明書リストの生成処理を示すフローチャートである。CAはRL生成契機に、公開鍵証明書データベースから、無効化されているすべての公開鍵証明書のシリアルナンバー、失効日および拡張要素(Option)に関する情報を取得し(ステップS101)、これら公開鍵証明書毎の情報を含んだ失効証明書情報をそれぞれ生成し(ステップS103)、各失効証明書情報を含んだ失効公開鍵証明書リストを生成している(ステップS105)。
【0008】
【発明が解決しようとする課題】
しかしながら、上記した従来の失効公開鍵証明書リストの生成処理には課題が存在する。
【0009】
失効公開鍵証明書リストの生成の際には、そのときに失効しているすべての公開鍵証明書についての失効証明書情報を含む失効公開鍵証明書リストを生成しなければならないので、図6に示すように、過去に発行された失効公開鍵証明書リストに含まれた失効証明書情報についても、再び公開鍵証明書データベースから情報を取得してから生成する必要があり、これが失効公開鍵証明書リスト(RL)の生成に長時間を要する要因になっている。
【0010】
また、前述のように、従来にあっては失効公開鍵証明書リストの迅速な生成が行えないので、図7に示すように、大量の公開鍵証明書が無効化状態にあり、しかも失効公開鍵証明書リストの発行の時間間隔が短い場合は、認証局では常に失効公開鍵証明書リストの生成を行わなければならない。したがって、同じ認証局で行われる公開鍵証明書の発行や参照といった他のサービスの性能が低下することにもなる。
【0011】
そこで、本発明は上記従来の課題に鑑みなされたものであり、その目的とするところは、失効公開鍵証明書リストを迅速に生成でき、それにより他のサービスの性能低下を防止できる失効公開鍵証明書リスト生成装置、失効公開鍵証明書リスト生成方法、その方法を実行させるコンピュータプログラムおよびそのコンピュータプログラムを記録した記録媒体を提供することにある。
【0012】
【課題を解決するための手段】
上記従来の課題を解決するために、請求項1の本発明は、失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成装置において、公開鍵証明書の識別情報と当該公開鍵証明書の失効日とを含む失効証明書情報が記憶される失効証明書情報記憶手段と、該失効証明書情報記憶手段に記憶された失効証明書情報を取得する失効証明書情報取得手段と、該失効証明書情報取得手段により取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成手段とを備え、前記公開鍵証明書が記憶される公開鍵証明書データベースから公開鍵証明書が削除された際に当該公開鍵証明書の識別情報から前記失効証明書記憶手段に記憶された失効証明書情報を検索して削除する失効公開鍵証明書リスト生成装置をもって解決手段とする。
【0013】
請求項1の本発明によれば、公開鍵証明書の識別情報と当該公開鍵証明書の失効日とを含む失効証明書情報が記憶される失効証明書情報記憶手段と、該失効証明書情報記憶手段に記憶された失効証明書情報を取得する失効証明書情報取得手段と、該失効証明書情報取得手段により取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成手段とを備えるので、失効公開鍵証明書リストを生成する際に、公開鍵証明書データベース等から公開鍵証明書の識別情報と失効日とを逐一取得して失効証明書情報を生成する必要がなくなり、その結果、失効公開鍵証明書リストを迅速に生成でき、それにより、認証局により提供される他のサービスの性能低下を防止できる。
【0014】
請求項2の本発明は、前記失効証明書情報記憶手段に失効証明書情報を格納する失効証明書情報格納手段を備える請求項1記載の失効公開鍵証明書リスト生成装置をもって解決手段とする。
【0015】
請求項2の本発明によれば、失効証明書情報記憶手段に失効証明書情報を格納する失効証明書情報格納手段を備えるので、失効公開鍵証明書リストの生成のときまで失効証明書情報を保管しておくことができ、これにより失効公開鍵証明書リストを迅速に生成できる。
【0016】
請求項3の本発明は、公開鍵証明書の記憶された記憶手段から公開鍵証明書の識別情報と当該公開鍵証明書の失効日と拡張要素に関する情報とを公開鍵証明書の無効化の際に取得して当該識別情報と失効日と拡張要素とを含む失効証明書情報を生成する失効証明書情報生成手段を備える請求項1または2記載の失効公開鍵証明書リスト生成装置をもって解決手段とする。
【0017】
請求項3の本発明によれば、公開鍵証明書の記憶された記憶手段から公開鍵証明書の識別情報と当該公開鍵証明書の失効日と拡張要素に関する情報とを公開鍵証明書の無効化の際に取得して当該識別情報と失効日と拡張要素とを含む失効証明書情報を生成する失効証明書情報生成手段を備えるので、失効公開鍵証明書リストの生成の際に失効証明書情報を生成する必要がなくなり、これにより失効公開鍵証明書リストを迅速に生成できるようになる。
【0018】
請求項4の本発明は、失効公開鍵証明書リストを生成するときの失効公開鍵証明書リスト生成方法において、公開鍵証明書の識別情報と当該公開鍵証明書の失効日とを含む失効証明書情報が記憶された失効証明書情報記憶手段から当該失効証明書情報を取得する失効証明書情報取得段階と、当該取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成段階とを備え、前記公開鍵証明書が記憶される公開鍵証明書データベースから公開鍵証明書が削除された際に当該公開鍵証明書の識別情報から前記失効証明書記憶手段に記憶された失効証明書情報を検索して削除する失効公開鍵証明書リスト生成方法をもって解決手段とする。
【0019】
請求項4の本発明によれば、公開鍵証明書の識別情報と当該公開鍵証明書の失効日とを含む失効証明書情報が記憶された失効証明書情報記憶手段から当該失効証明書情報を取得する失効証明書情報取得段階と、当該取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成段階とを備えるので、公開鍵証明書データベース等から公開鍵証明書の識別情報と失効日とを逐一取得して失効証明書情報を生成する必要がなくなり、その結果、失効公開鍵証明書リストを迅速に生成でき、それにより認証局により提供される他のサービスの性能低下を防止できる。
【0020】
請求項5の本発明は、前記失効証明書情報記憶手段に失効証明書情報を格納する失効証明書情報格納段階を備える請求項4記載の失効公開鍵証明書リスト生成方法をもって解決手段とする。
【0021】
請求項5の本発明によれば、前記失効証明書情報記憶手段に失効証明書情報を格納する失効証明書情報格納段階を備えるので、失効公開鍵証明書リストの生成のときまで失効証明書情報を保管しておくことができ、これにより失効公開鍵証明書リストを迅速に生成できる。
【0022】
請求項6の本発明は、公開鍵証明書の記憶された記憶手段から公開鍵証明書の識別情報と当該公開鍵証明書の失効日と拡張要素に関する情報とを公開鍵証明書の無効化の際に取得して当該識別情報と失効日と拡張要素とを含む失効証明書情報を生成する失効証明書情報生成段階を備える請求項4または5記載の失効公開鍵証明書リスト生成方法をもって解決手段とする。
【0023】
請求項6の本発明によれば、公開鍵証明書の記憶された記憶手段から公開鍵証明書の識別情報と当該公開鍵証明書の失効日と拡張要素に関する情報とを公開鍵証明書の無効化の際に取得して当該識別情報と失効日と拡張要素とを含む失効証明書情報を生成する失効証明書情報生成段階を備えるので、失効公開鍵証明書リストの生成の際に失効証明書情報を生成する必要がなくなり、これにより失効公開鍵証明書リストを迅速に生成できるようになる。
【0024】
請求項7の本発明は、請求項4ないし6のいずれかに記載の方法を実行させるコンピュータプログラムをもって解決手段とする。
【0025】
請求項7の本発明によれば、失効公開鍵証明書リストを迅速に生成でき、それにより認証局における他のサービスの性能低下を防止できる公開鍵証明書失効リスト生成方法を実行させるコンピュータプログラムを流通させることができる。
【0026】
請求項8の本発明は、請求項4ないし6のいずれかに記載の方法を実行させるコンピュータプログラムを記録した記録媒体をもって解決手段とする。
【0027】
請求項8の本発明によれば、失効公開鍵証明書リストを迅速に生成でき、それにより認証局における他のサービスの性能低下を防止できる公開鍵証明書失効リスト生成方法を実行させるコンピュータプログラムを記録した記録媒体を流通させることができる。
【0028】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の失効公開鍵証明書リスト生成装置を具現化したコンピュータシステムである認証局(以下、CAという)1の主な構成を示す図である。
【0029】
CA1は、公開鍵証明書が記憶蓄積される公開鍵証明書データベース11と、失効証明書情報が記憶蓄積される失効証明書情報データベース12と、公開鍵証明書データベース11における無効化対象の公開鍵証明書の状態を無効状態に変更する公開鍵証明書状態管理部13と、公開鍵証明書状態管理部13により無効化された公開鍵証明書の失効証明書情報を生成する失効証明書情報生成部14と、失効証明書情報生成部14により生成された失効証明書情報を失効証明書情報データベース12に格納する失効証明書情報格納部15と、失効公開鍵証明書リストの生成の際に、失効証明書情報データベース12内の失効証明書情報をすべて取得する失効証明書情報取得部16と、失効証明書情報取得部16により取得されたすべての失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成部17とを備える。
【0030】
なお、CA1の各処理部は、コンピュータプログラムが該プログラムを記憶した記憶媒体から当該CA1に読み込まれて該CAの演算処理装置で実行されることにより実現されるものである。
【0031】
また、シリアルナンバーはCertificateSerialNumberと表記され、失効日はRevocationDateと表記される。また失効公開鍵証明書リストはRevocation Listと表記され、RLと略記される。
【0032】
次に、本実施の形態の動作を説明する。
先ず、失効証明書情報の生成および格納処理を説明する。
図2は、失効公開鍵証明書リストの生成および格納処理を示すフローチャートならびに生成過程における公開鍵証明書データベース11と失効証明書情報データベース12の状態の遷移を示す図である。
【0033】
ここで、例として、公開鍵証明書データベース11には、シリアルナンバー「00359」、「01123」および「01156」の各公開鍵証明書が格納されていることとする。そして、公開鍵証明書データベース11にあっては、シリアルナンバー「00359」の公開鍵証明書は有効であり、シリアルナンバー「01123」と「01156」の各公開鍵証明書は無効であるとともに当該各公開鍵証明書の失効日「2002/1/25」が記録されていることとする。
【0034】
また、失効証明書情報データベース12には、シリアルナンバー「01123」に対応づけて該シリアルナンバーの公開鍵証明書についての失効証明書情報121が、シリアルナンバー「01156」に対応づけて該シリアルナンバーの公開鍵証明書についての失効証明書情報122がそれぞれ格納されていることとする。これらは、以下に説明する失効証明書情報の生成および格納処理により生成格納されたものである。
【0035】
さて、無効化の対象である公開鍵証明書(例えばシリアルナンバー「00359」の公開鍵証明書)の指定を伴う無効化申請(ステップS1)が例えば、2002年1月30日にあると、公開鍵証明書状態管理部13は、公開鍵証明書データベース11における当該指定された無効化対象の公開鍵証明書(本例ではシリアルナンバー「00359」の公開鍵証明書)の状態を無効状態に変更する(ステップS3)。なお、公開鍵証明書状態管理部13は、公開鍵証明書データベース11に当該公開鍵証明書の失効日として当日の年月日(本例では年月日「2002/1/30」)を記録する。
【0036】
次に、失効証明書情報生成部14が、ステップS3で公開鍵証明書状態管理部13により無効化された公開鍵証明書(本例ではシリアルナンバー「00359」の公開鍵証明書)の失効証明書情報を生成する(ステップS5)。具体的には、当該公開鍵証明書の識別情報としてのシリアルナンバー(本例では「00359」)と失効日(本例では「2002/1/30」)および必要であれば各失効証明書情報の拡張要素に関する情報とを公開鍵証明書データベース11から読み出し、このシリアルナンバーと失効日とを少なくとも含み、必要であればさらに拡張要素(crlEntryExtentions)を含ませた失効証明書情報(本例では失効証明書情報123)を生成する。
次に、失効証明書情報格納部15が、ステップS5で失効証明書情報生成部14により生成された失効証明書情報(本例では失効証明書情報123)を、無効化された公開鍵証明書(本例ではシリアルナンバー「00359」の公開鍵証明書)のシリアルナンバーに対応づけて、失効証明書情報データベース12に格納し(ステップS7)、そして処理を終える。
【0037】
したがって、失効証明書情報データベース12は、失効証明書情報121と失効証明書情報122に加えて、失効証明書情報123が格納された状態になる。なお、失効証明書情報を公開鍵証明書のシリアルナンバーに対応づけて失効証明書情報データベース12に格納するので、公開鍵証明書が公開鍵証明書データベース11から削除された際にシリアルナンバーから失効証明書情報を検索して削除することができる。
【0038】
次に、失効公開鍵証明書リストの生成処理を説明する。
図3は、失効公開鍵証明書リストの生成処理を示すフローチャートである。ここでも、上述の例を参照して説明する。
【0039】
さて、失効証明書情報取得部16は、失効公開鍵証明書リスト(RL)の生成契機(ステップS11)になると、失効証明書情報データベース12内の失効証明書情報(本例では、失効証明書情報121,122および123)をすべて取得する(ステップS13)。
【0040】
次に、失効公開鍵証明書リスト生成部17は、ステップS13で失効証明書情報取得部16により取得されたすべての失効証明書情報を含む失効公開鍵証明書リストを生成し(ステップS15)、そして処理を終える。
【0041】
なお、失効証明書情報データベース12に格納された失効証明書情報は、失効公開鍵証明書リストの生成後も消去等されることなく当該データベース12に保持されるので、過去に発行された失効証明書情報について、再び公開鍵証明書データベース11から、シリアルナンバーや失効日に関する情報を取得して生成する必要がなくなる。
【0042】
以上説明したように、本実施の形態の認証局1は、失効公開鍵証明書リスト生成装置を具現化したものであり、失効公開鍵証明書リスト生成方法を実行する。
【0043】
つまり、失効公開鍵証明書リスト生成装置(1)は、公開鍵証明書の識別情報としてのシリアルナンバーと当該公開鍵証明書の失効日とを含む失効証明書情報が記憶される失効証明書情報記憶手段である失効証明書情報データベース12と、該失効証明書情報記憶手段(12)に記憶された失効証明書情報を取得する失効証明書情報取得手段である失効証明書情報取得部16と、該失効証明書情報取得手段(16)により取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成手段である失効公開鍵証明書リスト生成部17とを備えるので、失効公開鍵証明書リストを生成する際に、公開鍵証明書データベース11等から公開鍵証明書の識別情報と失効日とを逐一取得して失効証明書情報を生成する必要がなくなり、その結果、失効公開鍵証明書リストを迅速に生成でき、それにより認証局における他のサービスの性能低下を防止できる。
【0044】
すなわち、失効公開鍵証明書リスト生成装置(1)が、公開鍵証明書の識別情報と当該公開鍵証明書の失効日とを含む失効証明書情報が記憶された失効証明書情報記憶手段(12)から当該失効証明書情報を取得する失効証明書情報取得段階であるステップS13と、当該取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成段階であるステップS15とを備える公開鍵証明書失効リスト生成方法を実行するので、失効公開鍵証明書リストを生成する際に失効証明書情報を生成する必要がなくなり、その結果、失効公開鍵証明書リストを迅速に生成でき、それにより他のサービスの性能低下を防止できる。
【0045】
また、失効公開鍵証明書リスト生成装置(1)が、失効証明書情報記憶手段(12)に失効証明書情報を格納する失効証明書情報格納手段である失効証明書情報格納部15を備えるので、失効公開鍵証明書リストの生成のときまで失効証明書情報を保管しておくことができ、これにより失効公開鍵証明書リストを迅速に生成できる。
【0046】
また、失効公開鍵証明書リスト生成装置(1)が、失効証明書情報記憶手段(12)に失効証明書情報を格納する失効証明書情報格納段階であるステップS7を備える公開鍵証明書失効リスト生成方法を実行するので、失効公開鍵証明書リストの生成のときまで失効証明書情報を保管しておくことができ、これにより失効公開鍵証明書リストを迅速に生成できるようになる。
【0047】
また、失効公開鍵証明書リスト生成装置(1)が、公開鍵証明書の記憶された記憶手段である公開鍵証明書データベース11から公開鍵証明書の識別情報としてのシリアルナンバーと当該公開鍵証明書の失効日および拡張要素に関する情報とを公開鍵証明書の無効化の際に取得して当該識別情報と失効日拡張要素とを含む失効証明書情報を生成する失効証明書情報生成手段である失効証明書情報生成部14を備えるので、失効公開鍵証明書リストの生成の際に失効証明書情報を生成する必要がなくなり、これにより失効公開鍵証明書リストを迅速に生成できるようになる。
【0048】
すなわち、失効公開鍵証明書リスト生成装置(1)が、公開鍵証明書の記憶された記憶手段(11)から公開鍵証明書の識別情報と当該公開鍵証明書の失効日と拡張要素に関する情報とを取得して当該識別情報と失効日と拡張要素とを含む失効証明書情報を生成する失効証明書情報生成段階であるステップS5を備えるので、失効公開鍵証明書リストの生成の際に失効証明書情報を生成する必要がなくなり、これにより失効公開鍵証明書リストを迅速に生成できるようになる。
【0049】
なお、上記説明した公開鍵証明書失効リスト生成方法を失効公開鍵証明書リスト生成装置(1)に実行させるコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に記録したり、インターネットなどの通信網を介して伝送させて、広く流通させることができる。
【0050】
【発明の効果】
以上説明したように、本発明によれば、公開鍵証明書の識別情報と当該公開鍵証明書の失効日とを含む失効証明書情報が記憶された失効証明書情報記憶手段から当該失効証明書情報を取得し、該取得した失効証明書情報を含む失効公開鍵証明書リストを生成するようにしたので、失効公開鍵証明書リストを生成する際に、公開鍵証明書データベース等から識別情報と失効日とを逐一取得して失効証明書情報を生成する必要がなくなり、その結果、失効公開鍵証明書リストを迅速に生成でき、それにより認証局における他のサービスの性能低下を防止できる。
【図面の簡単な説明】
【図1】本発明の失効公開鍵証明書リスト生成装置を具現化した認証局1の主な構成を示す図である。
【図2】失効公開鍵証明書リストの生成および格納処理を示すフローチャートならびに生成過程における公開鍵証明書データベース11と失効証明書情報データベース12の状態の遷移を示す図である。
【図3】失効公開鍵証明書リストの生成処理を示すフローチャートである。
【図4】失効公開鍵証明書リストの構造を示す図である。
【図5】従来の失効公開鍵証明書リストの生成処理を示すフローチャートである。
【図6】従来の失効公開鍵証明書リストの生成処理の課題を示す図である。
【図7】従来の失効公開鍵証明書リストの生成処理の課題を示す図である。
【符号の説明】
1 認証局(CA)
11 公開鍵証明書データベース
12 失効証明書情報データベース
13 公開鍵証明書状態管理部
14 失効証明書情報生成部
15 失効証明書情報格納部
16 失効証明書情報取得部
17 失効公開鍵証明書リスト生成部
121,122,123 失効証明書情報[0001]
BACKGROUND OF THE INVENTION
The present invention allows a revocation public key certificate list generation apparatus, a revocation public key certificate list generation method, and a method thereof to be able to quickly generate a revocation public key certificate list and thereby prevent performance degradation of other services. The present invention relates to a computer program and a recording medium on which the computer program is recorded.
[0002]
[Prior art]
In PKI (Public Key Infrastructure), a user who registers a public key with a certificate authority (CA) issues a public key certificate with the intention of using it until the expiration date when the public key certificate is issued. get. However, the public key certificate may become invalid before the expiration date due to various conditions as follows.
[0003]
(1) Change of user's own name (2) Change in relationship between proved person and CA (for example, retirement / change of job / transfer)
(3) Compromise of the private key corresponding to the public key certificate In such a case, the CA invalidates the user's public key certificate and somehow uses the public key certificate to other users. Notify invalidation.
[0004]
A revoked public key certificate list (RL) is used to notify a revoked public key certificate. The CA will periodically revoke a list of revoked public key certificates that lists all the public key certificates that have been revoked during the validity period (eg, at a rate of 2 times / day, etc. (this pace is optional by the CA) ) And distribute to users. Alternatively, the user can access the CA to obtain a revoked public key certificate list. As a result, the user can know the revoked public key certificate.
[0005]
FIG. 4 is a diagram showing the structure of the revoked public key certificate list.
[0006]
In the revoked public key certificate list (RL), RL version, RL issuer, main RL issue date, next RL issue date, revocation certificate information group, and the like are described. Each revocation certificate information in the revocation certificate information group includes the serial number and revocation date of the revoked public key certificate as mandatory items, and the public key seems to have been compromised as an extension element (Option) Date (invalidityDate) etc. are described. The revocation public key certificate list (RL) also describes an extension element (Option) as the main RL. The revocation public key certificate list (RL) is attached with a CA signature for the described information.
[0007]
FIG. 5 is a flowchart showing a conventional revocation public key certificate list generation process. When the RL is generated, the CA acquires information on the serial numbers, revocation dates, and extension elements (Option) of all revoked public key certificates from the public key certificate database (step S101). Revocation certificate information including information for each certificate is generated (step S103), and a revocation public key certificate list including each revocation certificate information is generated (step S105).
[0008]
[Problems to be solved by the invention]
However, there is a problem with the above-described conventional process for generating a revoked public key certificate list.
[0009]
When the revocation public key certificate list is generated, it is necessary to generate a revocation public key certificate list including revocation certificate information for all public key certificates revoked at that time. As shown in Fig. 4, the revoked certificate information included in the revoked public key certificate list issued in the past must also be generated after obtaining the information from the public key certificate database again. This is a factor that takes a long time to generate a certificate list (RL).
[0010]
In addition, as described above, since the revocation public key certificate list cannot be generated quickly in the past, a large number of public key certificates are in a revoked state as shown in FIG. When the time interval for issuing the key certificate list is short, the certificate authority must always generate a revoked public key certificate list. Therefore, the performance of other services such as issuance and reference of public key certificates performed by the same certificate authority is also degraded.
[0011]
Therefore, the present invention has been made in view of the above-described conventional problems, and the object of the present invention is to quickly generate a revoked public key certificate list, thereby preventing the performance degradation of other services. It is an object of the present invention to provide a certificate list generating device, a revoked public key certificate list generating method, a computer program for executing the method, and a recording medium recording the computer program.
[0012]
[Means for Solving the Problems]
In order to solve the above-described conventional problems, the present invention of
[0013]
According to the present invention of
[0014]
According to a second aspect of the present invention, the revoked public key certificate list generating device according to the first aspect further comprises a revoked certificate information storage unit that stores revoked certificate information in the revoked certificate information storage unit.
[0015]
According to the present invention of claim 2, since the revocation certificate information storage means for storing the revocation certificate information is provided in the revocation certificate information storage means, the revocation certificate information is stored until the revocation public key certificate list is generated. It is possible to store the revoked public key certificate list quickly.
[0016]
According to the third aspect of the present invention, the public key certificate is invalidated from the storage means in which the public key certificate is stored, the public key certificate identification information, the expiration date of the public key certificate, and the information related to the extension element. 3. A resolving means comprising a revoked public key certificate list generating device according to
[0017]
According to the third aspect of the present invention, the public key certificate identification information, the revocation date of the public key certificate, and the information related to the extension element are obtained from the storage means storing the public key certificate. Revocation certificate information generation means that generates the revocation certificate information that is acquired at the time of activation and includes the identification information, the revocation date, and the extended elements, so that the revocation certificate is generated when the revocation public key certificate list is generated. There is no need to generate information, which makes it possible to quickly generate a revoked public key certificate list.
[0018]
According to a fourth aspect of the present invention, in the method for generating a revoked public key certificate list when generating a revoked public key certificate list, a revocation certificate including identification information of the public key certificate and a revocation date of the public key certificate. The revocation certificate information acquisition stage for acquiring the revocation certificate information from the revocation certificate information storage means storing the certificate information, and the revocation disclosure for generating the revocation public key certificate list including the acquired revocation certificate information A revocation certificate storage means based on identification information of the public key certificate when the public key certificate is deleted from the public key certificate database in which the public key certificate is stored. The revocation public key certificate list generation method that searches for and deletes the revocation certificate information stored in the server is used as a solution means.
[0019]
According to the present invention of claim 4, the revocation certificate information is obtained from the revocation certificate information storage means in which the revocation certificate information including the identification information of the public key certificate and the revocation date of the public key certificate is stored. Since it has a revocation certificate information acquisition stage to be acquired and a revocation public key certificate list generation stage to generate a revocation public key certificate list including the acquired revocation certificate information, it is disclosed from the public key certificate database etc. It is no longer necessary to generate the revocation certificate information by acquiring the identification information and the revocation date of the key certificate one by one, and as a result, the revocation public key certificate list can be generated quickly, and the other provided by the certificate authority Can prevent degradation of service performance.
[0020]
According to a fifth aspect of the present invention, the resolving means is the revoked public key certificate list generation method according to the fourth aspect, further comprising a revoked certificate information storing step of storing revoked certificate information in the revoked certificate information storage means.
[0021]
According to the present invention of
[0022]
According to the sixth aspect of the present invention, the identification information of the public key certificate, the expiration date of the public key certificate, and the information on the extension element are stored from the storage unit storing the public key certificate. 6. A resolving means comprising a revoked public key certificate list generation method according to
[0023]
According to the present invention of claim 6, the identification information of the public key certificate, the revocation date of the public key certificate, and the information on the extension element are made invalid from the storage means storing the public key certificate. Revocation certificate information generation stage that generates the revocation certificate information including the identification information, the revocation date, and the extended elements that are obtained at the time of activation, so that the revocation certificate is generated when the revocation public key certificate list is generated. There is no need to generate information, which makes it possible to quickly generate a revoked public key certificate list.
[0024]
The seventh aspect of the present invention provides a computer program for executing the method according to any one of the fourth to sixth aspects.
[0025]
According to the seventh aspect of the present invention, there is provided a computer program that executes a public key certificate revocation list generation method that can quickly generate a revocation public key certificate list and thereby prevent performance degradation of other services in the certificate authority. It can be distributed.
[0026]
The present invention according to claim 8 is a solving means comprising a recording medium on which a computer program for executing the method according to any one of claims 4 to 6 is recorded.
[0027]
According to the present invention of claim 8, there is provided a computer program for executing a public key certificate revocation list generation method capable of quickly generating a revocation public key certificate list and thereby preventing performance degradation of other services in the certificate authority. The recorded recording medium can be distributed.
[0028]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a main configuration of a certificate authority (hereinafter referred to as CA) 1 which is a computer system embodying a revoked public key certificate list generation apparatus of the present invention.
[0029]
The
[0030]
Each processing unit of CA1 is realized by a computer program being read into CA1 from a storage medium storing the program and executed by the CA processing unit.
[0031]
The serial number is written as CertificateSerialNumber, and the expiration date is written as RevocationDate. The revoked public key certificate list is written as Revocation List and abbreviated as RL.
[0032]
Next, the operation of the present embodiment will be described.
First, revocation certificate information generation and storage processing will be described.
FIG. 2 is a flowchart showing a process for generating and storing a revoked public key certificate list, and a diagram showing a state transition between the public
[0033]
Here, as an example, it is assumed that the public
[0034]
In the revocation
[0035]
Now, if the invalidation application (step S1) with the designation of the public key certificate to be invalidated (for example, the public key certificate with the serial number “00359”) is on January 30, 2002, for example, The key certificate
[0036]
Next, the revocation certificate
Next, the revoked certificate
[0037]
Therefore, the revoked
[0038]
Next, a process for generating a revoked public key certificate list will be described.
FIG. 3 is a flowchart showing a revocation public key certificate list generation process. Again, this will be described with reference to the above example.
[0039]
When the revocation certificate
[0040]
Next, the revoked public key certificate
[0041]
The revoked certificate information stored in the revoked
[0042]
As described above, the
[0043]
In other words, the revoked public key certificate list generation device (1) revoked certificate information in which revoked certificate information including the serial number as identification information of the public key certificate and the revocation date of the public key certificate is stored. A revocation
[0044]
That is, the revoked public key certificate list generating device (1) has a revoked certificate information storage unit (12) in which revoked certificate information including identification information of the public key certificate and the revocation date of the public key certificate is stored. ) In step S13, which is a revocation certificate information acquisition stage for acquiring the revocation certificate information, and a revocation public key certificate list generation stage for generating a revocation public key certificate list including the acquired revocation certificate information. Since the public key certificate revocation list generation method including step S15 is executed, it is not necessary to generate revocation certificate information when generating the revocation public key certificate list, and as a result, the revocation public key certificate list Can be generated quickly, thereby preventing performance degradation of other services.
[0045]
In addition, the revoked public key certificate list generation device (1) includes a revoked certificate
[0046]
Further, the revoked public key certificate list generating device (1) includes a revoked certificate information storing step in which the revoked certificate information is stored in the revoked certificate information storage means (12). Since the generation method is executed, the revoked certificate information can be stored until the revoked public key certificate list is generated, whereby the revoked public key certificate list can be generated quickly.
[0047]
Also, the revoked public key certificate list generating device (1) receives the serial number as the identification information of the public key certificate from the public
[0048]
That is, the revoked public key certificate list generating device (1) receives the public key certificate identification information, the revocation date of the public key certificate, and the information related to the extension element from the storage means (11) in which the public key certificate is stored. Is obtained in step S5, which is a revocation certificate information generation stage for generating revocation certificate information including the identification information, the revocation date, and the extension element, and is revoked when the revocation public key certificate list is generated. There is no need to generate certificate information, which makes it possible to quickly generate a revoked public key certificate list.
[0049]
A computer program for causing the revocation public key certificate list generation apparatus (1) to execute the above-described public key certificate revocation list generation method is a computer reading such as a semiconductor memory, a magnetic disk, an optical disk, a magneto-optical disk, and a magnetic tape. It can be recorded on a possible recording medium or transmitted through a communication network such as the Internet and widely distributed.
[0050]
【The invention's effect】
As described above, according to the present invention, the revocation certificate is stored from the revocation certificate information storage means in which revocation certificate information including the identification information of the public key certificate and the revocation date of the public key certificate is stored. Since the information is obtained and the revoked public key certificate list including the obtained revoked certificate information is generated, when the revoked public key certificate list is generated, the identification information and the There is no need to acquire revocation dates and generate revoked certificate information one by one. As a result, a revoked public key certificate list can be generated quickly, thereby preventing performance degradation of other services in the certificate authority.
[Brief description of the drawings]
FIG. 1 is a diagram showing a main configuration of a
FIG. 2 is a flowchart showing a process for generating and storing a revoked public key certificate list, and a diagram showing a state transition between the public
FIG. 3 is a flowchart showing processing for generating a revoked public key certificate list.
FIG. 4 is a diagram showing the structure of a revoked public key certificate list.
FIG. 5 is a flowchart showing a conventional revocation public key certificate list generation process.
FIG. 6 is a diagram showing a problem of conventional revocation public key certificate list generation processing.
FIG. 7 is a diagram showing a problem of conventional revocation public key certificate list generation processing.
[Explanation of symbols]
1 Certificate Authority (CA)
11 public
Claims (8)
公開鍵証明書の識別情報と当該公開鍵証明書の失効日を含む失効証明書情報が記憶される失効証明書情報記憶手段と、
該失効証明書情報記憶手段に記憶された失効証明書情報を取得する失効証明書情報取得手段と、
該失効証明書情報取得手段により取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成手段と
を備え、
前記公開鍵証明書が記憶される公開鍵証明書データベースから公開鍵証明書が削除された際に当該公開鍵証明書の識別情報から前記失効証明書記憶手段に記憶された失効証明書情報を検索して削除する失効公開鍵証明書リスト生成装置。In the revocation public key certificate list generation device that generates the revocation public key certificate list,
Revocation certificate information storage means for storing revocation certificate information including the identification information of the public key certificate and the revocation date of the public key certificate;
Revocation certificate information acquisition means for acquiring revocation certificate information stored in the revocation certificate information storage means;
Revocation public key certificate list generation means for generating a revocation public key certificate list including the revocation certificate information acquired by the revocation certificate information acquisition means,
When the public key certificate is deleted from the public key certificate database in which the public key certificate is stored, the revocation certificate information stored in the revocation certificate storage unit is searched from the identification information of the public key certificate The revocation public key certificate list generation device to be deleted.
公開鍵証明書の識別情報と当該公開鍵証明書の失効日とを含む失効証明書情報が記憶された失効証明書情報記憶手段から当該失効証明書情報を取得する失効証明書情報取得段階と、
当該取得された失効証明書情報を含む失効公開鍵証明書リストを生成する失効公開鍵証明書リスト生成段階とを備え、
前記公開鍵証明書が記憶される公開鍵証明書データベースから公開鍵証明書が削除された際に当該公開鍵証明書の識別情報から前記失効証明書記憶手段に記憶された失効証明書情報を検索して削除する失効公開鍵証明書リスト生成方法。In the method of generating a revoked public key certificate list when generating a revoked public key certificate list,
A revocation certificate information acquisition step of acquiring the revocation certificate information from the revocation certificate information storage means storing the revocation certificate information including the identification information of the public key certificate and the revocation date of the public key certificate;
A revocation public key certificate list generation stage for generating a revocation public key certificate list including the acquired revocation certificate information,
When the public key certificate is deleted from the public key certificate database in which the public key certificate is stored, the revocation certificate information stored in the revocation certificate storage unit is searched from the identification information of the public key certificate How to generate a revocation public key certificate list to be deleted.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002104091A JP4443814B2 (en) | 2002-04-05 | 2002-04-05 | Revocation public key certificate list generation device, revocation public key certificate list generation method, computer program, and recording medium recording computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002104091A JP4443814B2 (en) | 2002-04-05 | 2002-04-05 | Revocation public key certificate list generation device, revocation public key certificate list generation method, computer program, and recording medium recording computer program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003298580A JP2003298580A (en) | 2003-10-17 |
JP4443814B2 true JP4443814B2 (en) | 2010-03-31 |
Family
ID=29389538
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002104091A Expired - Lifetime JP4443814B2 (en) | 2002-04-05 | 2002-04-05 | Revocation public key certificate list generation device, revocation public key certificate list generation method, computer program, and recording medium recording computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4443814B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4626181B2 (en) * | 2004-05-12 | 2011-02-02 | ソニー株式会社 | Information processing method and information processing system |
-
2002
- 2002-04-05 JP JP2002104091A patent/JP4443814B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2003298580A (en) | 2003-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6961818B2 (en) | Data sharing methods, clients, servers, computing devices, and storage media | |
JP4574957B2 (en) | Group management organization device, user device, service provider device, and program | |
US7761704B2 (en) | Method and apparatus for expiring encrypted data | |
US8315395B2 (en) | Nearly-stateless key escrow service | |
JP6898548B2 (en) | Approval system, approval method and approval program | |
JP4266096B2 (en) | File storage system and NAS server | |
US20210064585A1 (en) | Methods and devices for providing traversable key-value data storage on blockchain | |
JP2007207087A (en) | System and method for managing issue of electronic ticket, issuing side system, and program | |
JP2007110180A (en) | Signature record storage unit, method and program | |
US7660423B2 (en) | Method and apparatus for maintaining ephemeral keys in limited space | |
JP2001217829A (en) | Lightweight public key infrastructure using certificate with no signature | |
WO2022246193A1 (en) | Lifecycle administration of domain name blockchain addresses | |
WO2023056249A1 (en) | Custodial systems for non-fungible tokens | |
CN111914024B (en) | Certificate storage and query blockchain construction method, device, system and query method | |
JP4443814B2 (en) | Revocation public key certificate list generation device, revocation public key certificate list generation method, computer program, and recording medium recording computer program | |
JP3466975B2 (en) | Public key certificate validity confirmation system and method, and medium storing the program | |
WO2021245806A1 (en) | Signature validation system, signature validation method, and program | |
De Cock et al. | Introduction to the Belgian EID Card: BELPIC | |
JP3754342B2 (en) | Public key certificate validity verification system | |
JP4007781B2 (en) | Electronic document transmission program, electronic document reception program, electronic document transmission method, electronic document reception method, electronic document transmission apparatus, and electronic document reception apparatus | |
JP3726259B2 (en) | Public key certificate validity confirmation method, public key certificate validity confirmation device user side device, and recording medium recording public key certificate validity confirmation program | |
JP3952121B2 (en) | Signature verification apparatus, signature verification method, and program recording medium | |
JP2008217300A (en) | System and method for encrypting and decrypting file with biological information | |
JP4033601B2 (en) | Public key certificate verification method and program recording medium | |
CN111556160B (en) | Data asset admission method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040304 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060718 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060905 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070227 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070426 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070528 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20070831 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090709 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090909 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100113 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4443814 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |