JP4488018B2 - 公開鍵証明書検証システム - Google Patents

公開鍵証明書検証システム Download PDF

Info

Publication number
JP4488018B2
JP4488018B2 JP2007083270A JP2007083270A JP4488018B2 JP 4488018 B2 JP4488018 B2 JP 4488018B2 JP 2007083270 A JP2007083270 A JP 2007083270A JP 2007083270 A JP2007083270 A JP 2007083270A JP 4488018 B2 JP4488018 B2 JP 4488018B2
Authority
JP
Japan
Prior art keywords
verification
public key
key certificate
service
certificate verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007083270A
Other languages
English (en)
Other versions
JP2008244914A (ja
Inventor
梅澤克之
小林賢
星野和義
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007083270A priority Critical patent/JP4488018B2/ja
Priority to US12/040,589 priority patent/US20080244264A1/en
Publication of JP2008244914A publication Critical patent/JP2008244914A/ja
Application granted granted Critical
Publication of JP4488018B2 publication Critical patent/JP4488018B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は,公開鍵証明書検証システムに関し,さらに詳しくは,環境パラメータによって公開鍵証明書の検証方法を変更する公開鍵証明書検証システムおよびその方法に関する。
公開鍵証明書の検証方法には,複数あって,例えば,証明書失効リスト(Certificate Revocation List,CRLという)を用いる方法(例えば,非特許文献1参照),オンライン証明書状態プロトコル(Online Certificate Status Protocol,OCSPという)を利用する方法(例えば,非特許文献2参照),証明書検証装置(CVS)を利用する方法(例えば特許文献1参照)が知られており,無線通信環境にある携帯サービス享受装置から利用することが可能になっている。
これらの方法の検証時間は,ネットワークやサービス享受装置の性能など,環境に左右されるため,各方法の検証時間を表す理論式を導いて,導いた理論式に対してモバイル環境のパラメータを当てはめて各方法の性能を評価する方法が知られている(例えば非特許文献3)。
特開2002−72876号公報 R. Housley, T. Polk, W. Ford, and D. Solo, "RFC 3280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", The Internet Engineering Task Force, 2002/4, [2007年2月15日検索], インターネット<URL:http://www.ietf.org/rfc/rfc3280.txt> M. Myers, R. Ankney, A. Malpani, S. Galperin and C. Adams, "RFC 2560 - X.509 Internet Public Key Infrastructure - Online Certificate Status Protocol - OCSP", The Internet Engineering Task Force, 1999/6, [2007年2月15日検索], インターネット<URL:http://www.ietf.org/rfc/rfc2560.txt> 梅澤他,"モバイル環境での証明書検証方式の評価"電子情報通信学会論文誌(D), J90-D, No.2, pp.384-398(2007-2)
上述のとおり,公開鍵証明書を検証する場合,高速に検証できることが望ましいのは明らかであるが,その時間が,サービス享受装置やサーバ装置の性能や,ネットワークの通信速度等の環境パラメータに依存するため,適する公開鍵証明書検証方法が異なる。
しかしながら,上記従来技術では,個々の公開鍵証明書検証方法について定義し(非特許文献1,2,特許文献1),また,非特許文献3では,公開鍵証明書検証方法の性能に関する評価を行って,環境によって,適する方法が異なる,ことを解明しているが,証明書検証を必要とする状況に応じた最適な方法が選択できない,という課題は残っている。
本発明は,上記事情に鑑みてなされたものであり,モバイル環境により適した公開鍵証明書検証システムおよびその方法を提供する。
公開鍵証明書の検証を行うときに,環境パラメータにしたがって公開鍵証明書検証方法を動的に変更し,環境に適した公開鍵証明書の検証を実現する公開鍵証明書検証システムを提供する。
具体的には,サービス提供者装置の公開鍵証明書の検証を行うサービス享受装置が,サービス享受装置の性能,CRLリポジトリ装置の性能,公開鍵証明書検証装置の性能,ネットワークの性能から,それらの組み合わせによって,公開鍵証明書検証方法を決定し,決定された方法で公開鍵証明書の検証を行う。
また,サービス提供者装置の公開鍵証明書の検証を行うサービス享受装置が,公開鍵証明書の検証を方法選択装置に要求し,方法選択装置が,方法選択装置の性能,CRLリポジトリ装置の性能,公開鍵証明書検証装置の性能,ネットワークの性能から,それらの組み合わせによって,公開鍵証明書検証方法を決定し,決定された方法で公開鍵証明書の検証を行い,検証結果をサービス享受装置に通知する。
本発明が提供する公開鍵証明書検証システムは,より具体的には,サービスの提供を行うサービス提供者装置と,前記サービス提供者装置からサービスを受けるサービス享受装置と,前記サービス提供者装置と前記サービス享受装置との間で認証に使われる公開鍵証明書の失効情報を提供する1つまたは複数のCRLリポジトリ装置と,前記サービス提供者装置と前記サービス享受装置との間で認証に使われる公開鍵証明書の有効性を判断する1つまたは複数の公開鍵証明書検証装置と,前記サービス提供者装置と前記サービス享受装置と前記CRLリポジトリ装置と前記公開鍵証明書検証装置とが接続する1つまたは複数のネットワークと,からなり,前記サービス提供者装置は,前記サービス享受装置に対してサービスを提供するサービス提供部と,前記サービス享受装置と通信を行う通信部と,を備え,前記サービス享受装置は,前記サービス提供者から受信した公開鍵証明書の検証を要求する公開鍵証明書検証要求部と,前記公開鍵証明書の検証方法を決定する選択部と,前記ネットワークを経由してデータの送受信を行う通信部と,を備え,前記公開鍵証明書検証装置は,前記サービス享受装置から受信した公開鍵証明書の検証要求に基づき公開鍵証明書を検証する公開鍵証明書検証部と,前記ネットワークを経由してデータの送受信を行う通信部と,を備え,前記CRLリポジトリ装置は,前記サービス享受装置と,前記公開鍵証明書検証装置と,から受信したCRL要求に基づきCRLを提供するCRL提供部と,前記ネットワークを経由してデータの送受信を行う通信部と,を備えることを特徴とする。
さらに,前記サービス享受装置は,該サービス享受装置と,前記公開鍵証明書検証装置と,前記CRLリポジトリ装置と,前記ネットワークと,の性能を保持する性能情報保管部と,を備えてもよい。
さらに,前記公開鍵証明書検証装置は,該公開鍵証明書検証装置,の性能を保持する性能情報保管部,を備えてもよい。
さらに,前記CRLリポジトリ装置は,該CRLリポジトリ装置,の性能を保持する性能情報保管部,を備えてもよい。
さらに,前記サービス享受装置は,自ら公開鍵証明書検証方法を選択しているが,前記サービス享受装置にかわって,公開鍵証明書検証方法の決定を行う方法選択装置を介して,公開鍵証明書の検証を行っても良い。
本発明によれば,環境パラメータによって公開鍵証明書の検証方法を変更し,環境に適した公開鍵証明書の検証を実現することが可能になる。
本発明の一実施形態について説明する。なお,これにより本発明が限定されるものではない。
図1は,本発明の一実施形態が適用された公開鍵証明書検証システムの構成図である。なお,以下の説明では,公開鍵証明書を単に証明書という。
本実施形態の証明書検証システムは,図1に示すように,1つまたは複数のサービス提供者装置10〜10(以下,単にサービス提供者装置10とも称する)と,1つまたは複数のサービス享受装置装置20〜20(以下,単にサービス享受装置装置20とも称する)と,1つまたは複数のCRLリポジトリ装置30(以下,単にサービス享受装置装置30とも称する)と,1つまたは複数の証明書検証装置40(以下,単にサービス享受装置装置40とも称する)と,がインターネットや携帯電話網などの1つまたは複数のネットワーク60(以下,単にネットワーク60とも称する)を介して,互いに接続されて構成されている。
サービス提供者装置10は,サービス享受装置20からのサービス要求を受信し,前記サービス享受装置20と該サービス提供者装置10と,相互に認証処理を行い,該認証に成功すると,前記サービス享受装置20に対してサービスを提供する。前記認証処理では,該サービス提供者装置10が保持する証明書を,前記サービス享受装置20に送信し,前記サービス享受装置20は,前記証明書を検証し,検証結果を該サービス提供者装置10に送信することで,認証処理完了する。
サービス提供者装置10は,サービスを提供するサービス提供部102と,前記ネットワーク60を介して通信を行う通信部101と,を含む。
サービス享受装置20は,前記サービス提供者装置10との認証処理において,前記サービス提供者装置10から送信された証明書を検証し,検証に成功した場合には,前記サービス提供者装置10に,通知し,サービスを享受する。証明書を検証するときに,該サービス享受装置20の性能と,前記CRLリポジトリ装置30の性能と,前記証明書検証装置40の性能と,前記ネットワーク60の性能と,の組み合わせから,証明書検証方法を決定し,該決定に基づいて証明書の検証を行う。
ネットワーク60の性能は,ネットワークの公表値を利用したり、データの送受信の際に計ったりすることで取得可能である。
サービス享受装置20は,前記ネットワーク60を介して通信を行う通信部201と,前記サービス提供者装置10から受信した証明書の検証を行う証明書検証部205と,前記サービス提供者装置10から受信した証明書の検証を前記証明書検証装置40へ検証要求を依頼する証明書検証要求部202と,該サービス享受装置20の性能と,前記CRLリポジトリ装置30の性能と,前記証明書検証装置40の性能と,前記ネットワーク60の性能と,の組み合わせから,証明書検証方法の決定を行う選択部204と,該サービス享受装置の性能をあらわす性能情報値を保管する性能情報保管部203と,と含む。
CRLリポジトリ装置30は,前記ネットワーク60を経由して,CRLが要求された場合に,CRLを提供する。
CRLリポジトリ装置30は,前記ネットワーク60を介して通信を行う通信部301と,CRLの提供を行うCRL提供部302と,該CRLリポジトリ装置30の性能をあらわす性能情報値を保管する性能情報保管部303と,と含む。
証明書検証装置40は,前記ネットワーク60を経由して,証明書の検証が要求された場合に,該証明書の検証を行い,検証結果を検証要求元に返信する。
証明書検証装置40は,前記ネットワーク60を介して通信を行う通信部401と,証明書の検証を行う証明書検証部402と,該証明書検証装置40の性能をあらわす性能情報値を保管する性能情報保管部403と,と含む。
ネットワーク60nのそれぞれは,前記サービス提供者装置10と前記サービス享受装置20,前記サービス享受装置20と前記CRLリポジトリ装置30,前記サービス享受装置20と前記証明書検証装置40,前記CRLリポジトリ装置30と前記証明書検証装置40,との間の通信網であるが,インターネットや,専用線,モバイル網,近距離無線通信,など,異なる種類の網であっても良いし,同じ種類の網であっても良い。
図2はサービス享受装置20のハードウェア構成図である。サービス享受装置20は,CPU21と主記憶装置22と,補助記憶装置24と,通信装置25と,入出力装置26と,記憶媒体28の読取装置27と,がバスなどの内部通信線29で接続された,一般的な情報処理装置上に構成することが可能である。
サービス提供者装置10と,CRLリポジトリ装置30と,証明書検証装置40も,サービス享受装置20と同様のハードウェア構成により実現可能である。
本実施形態の証明書検証システムにおける処理フローについて説明する。各装置の補助記憶装置13,24に格納されたプログラムが主記憶装置14,26にロードされ,CPUにより実行されることにより,証明書検証システムを構成する各装置,に以下説明する各処理部が具現化され,それら各処理部により,以下に述べる処理フローが実行される。また,各プログラムは予め補助記憶装置13,24に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときに導入されても良い。
図3は,サービス享受装置20がサービス提供者装置10にサービスを要求し,前記サービス提供者装置10は,認証処理において,証明書をサービス享受装置20に送信し,前記サービス享受装置20が,前記証明書を検証し,検証結果を前記サービス提供者装置10へ送信し,認証が完了した場合に,サービス提供者装置からサービスが提供されるフロー図である。
まず,サービス享受装置20は,サービス提供者装置10へサービス提供依頼を行う(ステップS201)。サービス提供者装置10は,認証処理を開始し,証明書を前記サービス享受装置に送信する。(ステップS101)。
前記サービス享受装置20は,性能情報取得を行う(ステップS202)。具体的には,CRLリポジトリ装置30に対して,該CRLリポジトリ装置30の性能をあらわす性能情報を要求するために性能情報要求(A202)を送信する。CRLリポジトリ装置30は,前記要求に従って,該CRLリポジトリ装置30の性能情報保管部303に保管されている性能情報(A302)を,前記サービス享受装置20へ提供する(ステップS302)。CRLリポジトリ装置30が複数存在する場合は,サービス享受装置20は,複数のCRLリポジトリ装置30nに対して,性能情報要求を行って良い。つぎに,前記サービス享受装置20は,証明書検証装置40に対して,該証明書検証装置40の性能をあらわす性能情報を要求するために性能情報要求(A203)を送信する。証明書検証装置40は,前記要求に従って,該証明書検証装置40の性能情報保管部403に保管されている性能情報(A403)を前記サービス享受装置20へ提供する(ステップS402)。証明書検証装置40が複数存在する場合は,サービス享受装置20は,複数の証明書検証装置40nに対して,性能情報要求を行って良い。
次に,サービス享受装置20は,前記性能情報取得処理(S202)で取得した性能情報と,該サービス享受装置20の性能情報保管部203が保管している性能情報と,ネットワーク速度や認証頻度などの環境パラメータと,から証明書の検証方法を決定する(ステップS203)。決定のための計算式は「非特許文献3」などで知られている。
決定された方法が,自らCRLを取得し,自ら証明書検証を行う方法(以降CRL方法と呼ぶ)である場合は,CRL取得処理を行う(ステップS205)。具体的には,サービス享受装置20が,CRL要求(A205)を,前記CRLリポジトリ装置30に送信し,該CRLリポジトリ装置30のCRL提供部302は,自らが保持するCRL(A305)を,前記サービス享受装置20へ送信する(ステップS204)。サービス享受装置20は,受信した前記CRL(A305)に,前記サービス提供者装置10から受信した証明書(A101)の情報が含まれていないことを確認し証明書の検証を行う(ステップS206)。その後,サービス享受装置20は,証明書検証結果を前記サービス提供者装置10へ通知する(ステップS207)。
サービス享受装置20の証明書検証方法の選択(ステップS203)で決定された方法が,検証を行いたい証明書がCRLに含まれていないかを確認する処理を証明書検証装置に依頼する方法(以降OCSP方法と呼ぶ)である場合は,証明書検証要求処理を行う(ステップS209)。具体的には,サービス享受装置20が,証明書検証要求(A206)を,前記証明書検証装置40に送信し,該証明書検証装置40の証明書検証部402は,前記CRLリポジトリ装置30からCRLを取得し,該CRLと,前記証明書検証要求(A206)と,から,証明書検証を行い(ステップS403),証明書検証結果(A406)を前記サービス享受装置20へ送信する。
その後,サービス享受装置20は,証明書検証結果を前記サービス提供者装置10へ通知する(ステップS210)。
サービス享受装置20の証明書検証方法の選択(ステップS203)で決定された方法が,証明書の署名の検証と,有効期限の確認と,失効されていないかの確認など,の処理を証明書検証装置(CVS)に依頼する方法(以降CVS方法と呼ぶ)である場合は,証明書検証要求処理を行う(ステップS211)。具体的には,サービス享受装置20が,証明書検証要求(A207)を,前記証明書検証装置40に送信し,該証明書検証装置40の証明書検証部402は,証明書の署名の検証を行い,証明書の有効期限の確認を行い,前記CRLリポジトリ装置30からCRLを取得し,該CRLと,前記証明書検証要求(A207)と,から,証明書検証を行い(ステップS404),証明書検証結果(A407)を前記サービス享受装置20へ送信する。
その後,サービス享受装置20は,証明書検証結果を前記サービス提供者装置10へ通知する(ステップS212)。
サービス提供者装置10は,前記サービス享受装置20から,証明書検証結果を受信し,認証処理が完了した場合にはサービスを提供し(ステップS103),そうでなければサービスを中止する(ステップS104)。
図4は,サービス享受装置20において,前記CRLリポジトリ装置30と,前記証明書検証装置40と,から取得した性能情報と,該サービス享受装置20の性能情報保管部203が保管している性能情報と,ネットワーク速度や認証頻度などの環境パラメータの例示である。サービス享受装置20は,これらの数値をもとに非特許文献3が開示する計算式(図7参照)により証明書検証方法を決定する。
サービス享受装置は,性能情報の取得に際し,絶対評価または相対評価に必要なパラメータを取得する。また,非特許文献3が例示する,現状の環境における典型的なパラメータ値を予め設定しておき,何らかの理由で取得できないパラメータがある場合に,代用してもよい。
なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。
たとえば,図3において,サービス提供者装置10の認証処理(ステップS101)において,証明書(A101)を送信しているが,その他の認証情報として,サービス提供者装置10の秘密鍵で暗号化した署名データと,署名対象データを送信し,サービス享受装置20が,送信された証明書(A101)の中に含まれる公開鍵で,前記署名データを検証するようにしても良い。
また,図3において,サービス享受装置20が,CRLリポジトリ装置30と,証明書検証装置40と,から性能情報を取得する(ステップS202)としているが,事前にサービス享受装置20が,該性能情報を予め取得している場合には,性能情報取得処理は省略することも可能である。
また,CRLリポジトリ装置30の性能情報提供処理(ステップS302)と,証明書検証装置40の性能情報提供処理(ステップS402)において,性能情報保管部に保管されている性能情報を提供する,としているが,CRLリポジトリ装置30と,証明書検証装置40は,動的に自装置の性能情報を取得し,提供可能であれば,静的に性能情報保管部に保管された性能情報を提供しなくても良い。
また,上記各装置やネットワークと近い性能を持ち,代替可能な装置またはネットワークの性能を,その都度,あるいは,事前に取得し,代用しても良い。
また,CRLリポジトリ装置30のCRL提供処理(ステップS204)において,CRLをサービス享受装置20に送信するが,CRLとともに,CRLの署名を送信し,サービス享受装置20は,CRLの正当性を確認するためにCRLの署名を検証するようにしても良い。
また,証明書検証装置40の証明書検証処理(ステップS403)の後で,証明書検証結果をサービス享受装置20に送信するが,証明書検証結果とともに,証明書検証結果の署名を送信し,サービス享受装置20は,証明書検証結果の正当性を確認するために証明書検証結果の署名を検証するようにしても良い。
第一の実施例では,OCSP方法を実現する証明書検証装置40と,CVS方法を実現する証明書検証装置40と,を例示しているが,該証明書検証方法の違いにより複数種類の証明書検証装置が存在して良い。
また,図3は,サービス提供者装置10が,サービス享受装置20へ送信した証明書A101を,サービス享受装置20が検証するフローであるが,サービス享受装置20が,サービス提供者装置10へ,証明書を送信し,サービス提供者装置10が,証明書を検証するようにしても良い。この場合,サービス享受装置20の構成要素,つまり証明書検証要求部202と,証明書検証部205と,選択部204と,性能情報保管部203と,がサービス提供者装置10の構成要素となる。
次に,本発明の第2の実施形態について説明する。なお,これにより本発明が限定されるものではない。
本実施形態の証明書検証システムは,図2に示すように,1つまたは複数のサービス提供者装置10〜10(以下,単にサービス提供者装置10とも称する)と,1つまたは複数のサービス享受装置装置20〜20(以下,単にサービス享受装置装置20とも称する)と,1つまたは複数の方法選択装置70〜70(以下,単に方法選択装置70とも称する)と,1つまたは複数のCRLリポジトリ装置30(以下,単にサービス享受装置装置30とも称する)と,1つまたは複数の証明書検証装置40(以下,単にサービス享受装置装置40とも称する)と,がインターネットや携帯電話網などの1つまたは複数のネットワーク60(以下,単にネットワーク60とも称する)を介して,互いに接続されて構成されている。
サービス提供者装置10は,サービス享受装置20からのサービス要求を受信し,前記サービス享受装置20と該サービス提供者装置10と,認証処理を行い,該認証処理に成功すると,前記サービス享受装置20に対してサービスを提供する。
上記認証処理では,該サービス提供者装置10が保持する証明書を,前記サービス享受装置20に送信し,前記サービス享受装置20は,前記方法選択装置70に,前記証明書を送信し,前記方法選択装置70は,前記証明書の検証結果を取得して前記サービス享受装置に送信し,前記サービス享受装置は,前記検証結果を,該サービス提供者装置10に送信することで,認証処理完了する。
サービス提供者装置10,第1の実施例と同様である。
CRLリポジトリ装置30は,第1の実施例では,CRLを提供する先が,サービス享受装置20と,証明書検証装置40と,であるが,本実施例では,CRLを提供する先が,方法選択装置70と,証明書検証装置40と,になる点が異なる。その他の構成要素は,第1の実施例と同様である。
証明書検証装置40は,第1の実施例では,証明書の検証要求元と,検証結果の送付先と,は,サービス享受装置20であるが,本実施例では,証明書の検証要求元と,検証結果の送付先と,は,方法選択装置70である点が異なる。その他の構成要素は,第1の実施例と同様である。
サービス享受装置20は,前記ネットワーク60を介して通信を行う通信部201と,前記サービス提供者装置10から受信した証明書の検証を前記方法選択装置70へ検証要求を依頼する証明書検証要求部202と,と含む。
方法選択装置70は,前記ネットワーク60を介して通信を行う通信部201と,前記サービス享受装置20から受信した証明書の検証を行う証明書検証部205と,前記サービス享受装置20から受信した証明書の検証を前記証明書検証装置40へ検証要求を依頼する証明書検証要求部202と,該方法選択装置70の性能と,前記CRLリポジトリ装置30の性能と,前記証明書検証装置40の性能と,前記ネットワーク60の性能と,の組み合わせから,証明書検証方法の決定を行う選択部204と,該方法選択装置70の性能をあらわす性能情報値を保管する性能情報保管部203と,と含む。
ネットワーク60は,前記サービス提供者装置10と前記サービス享受装置20,前記サービス享受装置20と前記方法選択装置70,前記方法選択装置70と前記CRLリポジトリ装置30,前記方法選択装置70と前記証明書検証装置40,前記CRLリポジトリ装置30と前記証明書検証装置40,との間の通信網であるが,インターネットや,専用線,モバイル網,近距離無線通信,など,異なる種類の網であっても良い。同じ種類の網であっても良い。
第2の実施形態の証明書検証システムにおける処理フローについて説明する。各装置の補助記憶装置13,24に格納されたプログラムが主記憶装置14,26にロードされ,CPUにより実行されることにより,証明書検証システムを構成する各装置,に以下説明する各処理部が具現化され,それら各処理部により,以下に述べる処理フローが実行される。また,各プログラムは予め補助記憶装置13,24に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときに導入されても良い。
図6は,サービス享受装置20がサービス提供者装置10にサービスを要求し,前記サービス提供者装置10は,認証処理において,証明書をサービス享受装置20に送信し,前記サービス享受装置20が,前記証明書を検証し,検証結果を前記サービス提供者装置10へ送信し,認証が完了した場合に,サービス提供者装置からサービスが提供されるフロー図である。
図3に示した,第1の実施形態の証明書検証システムにおける処理フローとの違いは,第1の実施形態では,サービス享受装置20が,証明書検証方法を決定していたが,第2の実施形態では方法選択装置70が,証明書検証方法を決定する。
サービス提供者装置10の動作は,第1の実施例と同様である。
CRLリポジトリ装置30の動作は,第1の実施例では,CRLを提供する先が,サービス享受装置20と,証明書検証装置40と,であるが,本実施例では,CRLを提供する先が,方法選択装置70と,証明書検証装置40と,になる点が異なる。その他の動作は,第1の実施例と同様である。
証明書検証装置40の動作は,第1の実施例では,証明書の検証要求元と,検証結果の送付先と,は,サービス享受装置20であるが,本実施例では,証明書の検証要求元と,検証結果の送付先と,は,方法選択装置70である点が異なる。その他の動作は,第1の実施例と同様である。
サービス享受装置20と,方法選択装置70の動作を説明する。
まず,サービス享受装置20は,サービス提供者装置10へサービス提供依頼を行う(ステップS201)。サービス提供者装置10は,認証処理を開始し,証明書を前記サービス享受装置に送信する。(ステップS101)。
前記サービス享受装置20は,証明書検証要求処理(ステップS250)を行い,証明書検証要求(A206)を,方法選択装置70へ送信する。
方法選択装置70は,証明書検証要求を受信し,証明書の検証処理を行う。ステップ202から,ステップ212までの処理は,第1の実施形態におけるサービス享受装置20の動作フローと同様である。
サービス享受装置20は,証明書検証結果を受信し,証明書検証結果を前記サービス提供者装置10へ通知する(ステップS212)。
サービス提供者装置10は,前記サービス享受装置20から,証明書検証結果を受信し,認証処理が完了した場合にはサービスを提供し(ステップS103),そうでなければサービスを中止する(ステップS104)。
本発明の第1の実施形態が適用された証明書検証システムの構成を例示する図である。 図1に示すサービス享受装置装置のハードウェア構成を例示する図である。 本発明の第1の実施形態が適用された証明書検証システムのデータ送信および処理フローを例示する図である。 環境パラメータを例示する図である。 本発明の第2の実施形態が適用された証明書検証システムの構成を例示する図である。 本発明の第2の実施形態が適用された証明書検証システムのデータ送信および処理フローを例示する図である。 非特許文献3が開示する計算式を示す図である。
符号の説明
10〜10:サービス提供者装置,20〜20:サービス享受装置,21:CPU,22:主記憶装置,24:補助記憶装置,25:通信装置,26:入出力装置,27:読取装置,28:記憶媒体,29:内部信号線,30〜30:CRLリポジトリ装置,40〜40:証明書検証装置,60〜60:ネットワーク,101:通信部,102:サービス提供部,201:通信部,202:証明書検証要求部,203:性能情報保管部,204:選択部,205:証明書検証部,301:通信部,302:CRL提供部,303:性能情報保管部,401:通信部,402:証明書検証部,403:性能情報保管部,
A101:証明書,A201:サービス提供要求,A202:性能情報要求,A203:性能情報要求,A204:性能情報要求,A205:CRL要求,A206:証明書検証要求,A207:証明書検証要求,A210:証明書検証結果,A211:証明書検証結果,A212:証明書検証結果,A213:証明書検証結果,A302:性能情報,A305:CRL,A403:性能情報,A404:性能情報,A406:証明書検証結果,A407:証明書検証結果

Claims (18)

  1. 1つまたは複数のCRLリポジトリ装置と公開鍵証明書の有効性を判断する1つまたは複数の公開鍵証明書検証装置とを含む検証情報提供システムに,ネットワークで接続される,サービスの提供を行うサービス提供者装置と前記サービス提供者装置からサービスを受けるサービス享受装置と,を含む公開鍵証明書検証システムであって,
    前記サービス提供者装置は,前記サービス享受装置に対してサービスを提供するサービス提供部を備え,
    前記サービス享受装置は,前記サービス提供者装置に対して要求した前記サービス提供要求に対する応答として受信した公開鍵証明書の検証を,前記検証情報提供システムに要求する検証要求部と,前記公開鍵証明書の検証方法を選択する選択部と,を備え,
    前記サービス享受装置の前記検証要求部は,サービス提供要求を前記サービス提供者装置へ送信し,前記サービス提供要求に対する応答として,該サービス提供者装置の公開鍵証明書を,前記サービス提供者装置から受信し,
    前記選択部は,
    前記検証情報提供システムに含まれる前記CRLリポジトリ装置と公開鍵証明書検証装置の各々の動的な性能情報を問い合わせて取得し,
    前記各々に関わる環境パラメータを測定して取得し,
    取得した前記動的な性能情報と,前記環境パラメータと,予め定めた計算式と,基づき,受信した前記公開鍵証明書の検証に適した検証方法を選択し,
    前記サービス享受装置は,前記選択した検証方法に従い行われた検証結果を取得し,
    前記取得した検証結果を前記サービス提供者装置へ送信する
    ことを特徴とする公開鍵証明書検証システム。
  2. 請求項に記載の公開鍵証明書検証システムであって,
    前記サービス享受装置の前記選択部は,前記サービス提供者装置の公開鍵証明書を受信した後に,前記動的な性能情報の前記問い合わせと前記取得とを行う
    ことを特徴とする公開鍵証明書検証システム。
  3. 請求項に記載の公開鍵証明書検証システムであって,
    前記サービス享受装置は,前記動的な性能情報を蓄積する性能情報保管部を備え,
    前記サービス享受装置の前記選択部は,検証対象となる前記公開鍵証明書の受信とは独立に,前記動的な性能情報の前記取得を行って,前記性能情報保管部に蓄積し,
    前記選択部は,検証方法の前記選択において,前記性能情報保管部に蓄積された前記動的な性能情報を参照する
    ことを特徴とする公開鍵証明書検証システム。
  4. 請求項1ないし3いずれか一に記載の公開鍵証明書検証システムであって,
    前記検証結果は,前記検証情報提供システムから提供された検証情報,または,前記検証情報に基づく当該サービス享受装置における処理結果である
    ことを特徴とする公開鍵証明書検証システム。
  5. 請求項1ないし4いずれか一に記載の公開鍵証明書検証システムであって,
    前記サービス享受装置は,CRLに基づき,受信した公開鍵証明書の検証を行う検証部を備え,
    前記サービス享受装置の前記選択部は,前記選択において,公開鍵証明書の検証主体を選択し,
    該選択した検証主体が,自装置である場合は,前記検証部は,CRL要求を前記CRLリポジトリ装置へ送信し,前記CRLリポジトリ装置から,CRLを前記検証情報として受信し受信した前記CRLに基づき,受信した前記公開鍵証明書の検証を行い,検証結果を前記サービス提供者装置へ送信し,
    該選択した検証主体が,前記公開鍵証明書検証装置である場合は,前記検証要求部は,前記公開鍵証明書の有効性判断要求を前記公開鍵証明書検証装置へ送信し,有効性判断結果を前記検証情報として前記公開鍵証明書検証装置から受信し,受信した検証情報に基づく検証結果を作成し,前記サービス提供者装置へ送信する
    ことを特徴とする公開鍵証明書検証システム。
  6. 請求項1ないし5いずれか一に記載の公開鍵証明書検証システムであって,
    前記計算式は,取得する前記動的な性能情報と前記環境パラメータとを変数とするものである
    ことを特徴とする公開鍵証明書検証システム。
  7. 請求項に記載の公開鍵証明書検証システムであって,
    前記検証情報提供システムは,前記公開鍵証明書検証装置として,それぞれが異なる方法に基づく検証を行う公開鍵証明書検証装置を,複数含み,
    前記サービス享受装置の前記選択部は,前記選択した検証主体が,前記公開鍵証明書検証装置である場合は,さらに,依頼する検証方法を選択し,選択した検証方法に基づく検証を行う公開鍵証明書検証装置有効性判断要求の前記送信行う
    ことを特徴とする公開鍵証明書検証システム。
  8. 請求項に記載の公開鍵証明書検証システムであって,
    前記複数の公開鍵証明書検証装置は,OCSP方法に基づく検証を行う公開鍵証明書検証装置と,CVS方法に基づく検証を行う公開鍵証明書検証装置と,を含む
    ことを特徴とする公開鍵証明書検証システム。
  9. 請求項に記載の公開鍵証明書検証システムであって,
    取得する前記動的な性能情報は,前記検証情報提供システムを構成する前記各々と代替可能な,他の装置の動的な性能情報である
    ことを特徴とする公開鍵証明書検証システム。
  10. 1つまたは複数のCRLリポジトリ装置と公開鍵証明書の有効性を判断する1つまたは複数の公開鍵証明書検証装置とを含む検証情報提供システムに,ネットワークで接続される,サービスの提供を行うサービス提供者装置と,前記サービス提供者装置からサービスを受けるサービス享受装置と,を含む公開鍵証明書検証システムであって,
    公開鍵証明書検証方法の決定を行う方法選択装置を備え,
    前記サービス提供者装置は,前記サービス享受装置に対してサービスを提供するサービス提供部を備え,
    前記サービス享受装置は,前記サービス提供者装置に対して要求した前記サービス提供要求に対する応答として受信した公開鍵証明書の検証を,前記方法選択装置に要求する検証要求部を備え,
    前記方法選択装置は,検証を要求された公開鍵証明書の検証を,前記検証情報提供システムに要求する検証要求部と,検証を要求された前記公開鍵証明書の検証方法を選択する選択部と,を備え,
    前記サービス享受装置の前記検証要求部は,サービス提供要求を前記サービス提供者装置へ送信し,前記サービス提供要求に対する応答として,該サービス提供者装置の公開鍵証明書を,前記サービス提供者装置から受信し,受信した前記公開鍵証明書を前記方法選択装置に送信し,
    前記方法選択装置の前記選択部は,
    前記検証情報提供システムに含まれる前記CRLリポジトリ装置と公開鍵証明書検証装置の各々の動的な性能情報を問い合わせて取得し,
    前記各々に関わる環境パラメータを測定して取得し,
    取得した前記動的な性能情報と,前記環境パラメータと,予め定めた計算式と,に基づき,受信した前記公開鍵証明書の検証に適した検証方法を選択し,
    前記方法選択装置は,前記選択した検証方法に従い行われた検証の結果を取得し,
    前記取得した検証結果を前記サービス享受装置へ送信する
    ことを特徴とする公開鍵証明書検証システム。
  11. 請求項10に記載の公開鍵証明書検証システムであって,
    前記方法選択装置の前記選択部は,前記サービス提供者装置の公開鍵証明書を受信した後に,前記動的な性能情報の前記問い合わせと前記取得とを行う
    ことを特徴とする公開鍵証明書検証システム。
  12. 請求項10に記載の公開鍵証明書検証システムであって,
    前記方法選択装置は,前記動的な性能情報を蓄積する性能情報保管部を備え,
    前記方法選択装置の前記選択部は,検証対象となる前記公開鍵証明書の受信とは独立に,前記動的な性能情報の前記取得を行って,前記性能情報保管部に蓄積し,
    前記方法選択装置の前記選択部は,検証方法の前記選択において,前記性能情報保管部に蓄積された前記動的な性能情報を参照する
    ことを特徴とする公開鍵証明書検証システム。
  13. 請求項10ないし12いずれか一に記載の公開鍵証明書検証システムであって,
    前記検証結果は,前記検証情報提供システムから提供された検証情報,または,前記検証情報に基づく当該方法選択装置における処理結果である
    ことを特徴とする公開鍵証明書検証システム。
  14. 請求項10ないし13いずれか一に記載の公開鍵証明書検証システムであって,
    前記方法選択装置は,CRLに基づき,受信した公開鍵証明書の検証を行う検証部を備え,
    前記方法選択装置の前記選択部は,前記選択において,公開鍵証明書の検証主体を選択し,
    該選択した検証主体が,自装置である場合は,前記検証部は,CRL要求を前記CRLリポジトリ装置へ送信し,前記CRLリポジトリ装置から,CRLを前記検証情報として受信し,受信した前記CRLに基づき,受信した前記公開鍵証明書の検証を行い,検証結果を前記サービス享受装置へ送信し,
    該選択した検証主体が,前記公開鍵証明書検証装置である場合は,前記検証要求部は,前記公開鍵証明書の有効性判断要求を前記公開鍵証明書検証装置へ送信し,有効性判断結果を前記検証情報として前記公開鍵証明書検証装置から受信し,受信した検証情報に基づく検証結果を作成し,前記サービス享受装置へ送信する
    ことを特徴とする公開鍵証明書検証システム。
  15. 請求項10ないし14いずれか一に記載の公開鍵証明書検証システムであって,
    前記計算式は,取得する前記動的な性能情報と前記環境パラメータとを変数とするものである
    ことを特徴とする公開鍵証明書検証システム。
  16. 請求項14に記載の公開鍵証明書検証システムであって,
    前記検証情報提供システムは,前記公開鍵証明書検証装置として,それぞれが異なる方法に基づく検証を行う公開鍵証明書検証装置を,複数含み,
    前記方法選択装置の前記選択部は,前記選択した検証主体が,前記公開鍵証明書検証装置である場合は,さらに,依頼する検証方法を選択し,選択した検証方法に基づく検証を行う公開鍵証明書検証装置へ,有効性判断要求の前記送信を行う
    ことを特徴とする公開鍵証明書検証システム。
  17. 請求項16に記載の公開鍵証明書検証システムであって,
    前記複数の公開鍵証明書検証装置は,OCSP方法に基づく検証を行う公開鍵証明書検証装置と,CVS方法に基づく検証を行う公開鍵証明書検証装置と,を含む
    ことを特徴とする公開鍵証明書検証システム。
  18. 請求項10に記載の公開鍵証明書検証システムであって,
    取得する前記動的な性能情報は,前記検証情報提供システムを構成する前記各々と代替可能な,他の装置の動的な性能情報である
    ことを特徴とする公開鍵証明書検証システム。
JP2007083270A 2007-03-28 2007-03-28 公開鍵証明書検証システム Expired - Fee Related JP4488018B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007083270A JP4488018B2 (ja) 2007-03-28 2007-03-28 公開鍵証明書検証システム
US12/040,589 US20080244264A1 (en) 2007-03-28 2008-02-29 Public key certificate validation system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007083270A JP4488018B2 (ja) 2007-03-28 2007-03-28 公開鍵証明書検証システム

Publications (2)

Publication Number Publication Date
JP2008244914A JP2008244914A (ja) 2008-10-09
JP4488018B2 true JP4488018B2 (ja) 2010-06-23

Family

ID=39796344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007083270A Expired - Fee Related JP4488018B2 (ja) 2007-03-28 2007-03-28 公開鍵証明書検証システム

Country Status (2)

Country Link
US (1) US20080244264A1 (ja)
JP (1) JP4488018B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7818575B2 (en) * 2005-06-24 2010-10-19 Microsoft Corporation Efficient retrieval of cryptographic evidence
US8914628B2 (en) * 2009-11-16 2014-12-16 At&T Intellectual Property I, L.P. Method and apparatus for providing radio communication with an object in a local environment
JP5772148B2 (ja) * 2011-03-29 2015-09-02 日本電気株式会社 認証システム、認証装置、認証局、認証方法、及びプログラム
JP2017152986A (ja) 2016-02-25 2017-08-31 キヤノン株式会社 認証システム、画像形成装置とその制御方法、及びプログラム
JP7298356B2 (ja) * 2019-07-16 2023-06-27 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3588042B2 (ja) * 2000-08-30 2004-11-10 株式会社日立製作所 証明書の有効性確認方法および装置
US7003662B2 (en) * 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods
JP4170912B2 (ja) * 2001-11-29 2008-10-22 シーメンス アクチエンゲゼルシヤフト ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用
JP4690779B2 (ja) * 2005-06-03 2011-06-01 株式会社日立製作所 属性証明書検証方法及び装置

Also Published As

Publication number Publication date
JP2008244914A (ja) 2008-10-09
US20080244264A1 (en) 2008-10-02

Similar Documents

Publication Publication Date Title
US10791110B2 (en) Certificate authority framework
US8380985B2 (en) Certificate validation method and certificate validation server and storage medium
US8819414B2 (en) Threat mitigation in a vehicle-to-vehicle communication network
US9130758B2 (en) Renewal of expired certificates
JP4474845B2 (ja) Crl発行通知機能付き認証基盤システム
EP2129077B1 (en) Validation server, validation method and program
WO2016128491A1 (en) Validating computer resource usage
US20030037234A1 (en) Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster
JP4488018B2 (ja) 公開鍵証明書検証システム
JP2016529769A (ja) Scepおよびそれぞれのマネジメントアプリケーションを使用してデバイスに対する証明書を登録する方法
JP3880957B2 (ja) ルート証明書配布システム、ルート証明書配布方法、コンピュータ実行可能なルート証明書配布プログラム、サーバ装置及びクライアント装置
US9306932B2 (en) Utilizing a stapling technique with a server-based certificate validation protocol to reduce overhead for mobile communication devices
US7827399B1 (en) Certificate processing
US9503269B2 (en) Utilizing a stapling technique with a server-based certificate validation protocol to reduce overhead for mobile communication devices
WO2011070726A1 (ja) 属性情報連携提供システム、アクセス情報管理装置、アクセス情報代理管理装置、方法、およびプログラム
CN111049789A (zh) 域名访问的方法和装置
JP2006229735A (ja) 情報処理装置及びシステム
JP7485087B2 (ja) 証明書発行支援システム、証明書発行支援方法及びプログラム
JP4582030B2 (ja) Crl発行通知機能付き認証基盤システム
JP5018849B2 (ja) Crl発行通知機能付き認証基盤システム
JP7283614B1 (ja) 認証局管理システム、認証局管理方法、およびプログラム
US20230319041A1 (en) Edge Discovery Authorization for a User Device
JP2005252500A (ja) 属性証明書検証サーバ、認証システム、属性証明書検証方法、認証方法、属性証明書検証用プログラムおよび認証用プログラム
KR100845235B1 (ko) Enum 시스템 및 이에 적용되는 사용자 인증 방법
JP3851645B2 (ja) 接続管理装置、接続管理システム、及び接続管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090512

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100309

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100322

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140409

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees