JP4582030B2 - Authentication infrastructure system with CRL issue notification function - Google Patents
Authentication infrastructure system with CRL issue notification function Download PDFInfo
- Publication number
- JP4582030B2 JP4582030B2 JP2006070161A JP2006070161A JP4582030B2 JP 4582030 B2 JP4582030 B2 JP 4582030B2 JP 2006070161 A JP2006070161 A JP 2006070161A JP 2006070161 A JP2006070161 A JP 2006070161A JP 4582030 B2 JP4582030 B2 JP 4582030B2
- Authority
- JP
- Japan
- Prior art keywords
- crl
- certificate
- verification
- notification
- issuance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、公開鍵証明書の失効リストを発行する認証局と、公開鍵証明書の有効性を検証する証明書検証サーバと、上記証明書検証サーバを利用するクライアントと、からなる認証基盤システムに関する。 The present invention provides an authentication infrastructure system comprising a certificate authority that issues a revocation list of a public key certificate, a certificate verification server that verifies the validity of the public key certificate, and a client that uses the certificate verification server. About.
政府認証基盤(以下、GPKI、と記述する)をはじめとして、電子文書の作成者を明らかにし、かつ、当該電子文書が改ざんされていないことを保証するために、公開鍵認証基盤(Public Key Infrastructure、以下、PKI、と記述する)を利用したシステムが普及してきている(例えば、非特許文献1参照)。PKIを利用したシステムでは、電子文書に対して、電子署名を行う者(以下、署名者、と記述する)のみが保有する、秘密鍵(Private key)と呼ばれる鍵によって電子署名が施される。電子署名が施された電子文書を受信した場合には、上記電子署名を検証することで、電子文書の作成者と、当該電子文書が改ざんされていないことと、を確認する。 In order to clarify the creator of an electronic document including a government authentication infrastructure (hereinafter referred to as GPKI) and to ensure that the electronic document has not been tampered with, public key infrastructure (Public Key Infrastructure) , Hereinafter referred to as PKI) has become widespread (for example, see Non-Patent Document 1). In a system using PKI, an electronic signature is applied to an electronic document with a key called a private key held only by a person who performs an electronic signature (hereinafter referred to as a signer). When an electronic document with an electronic signature is received, the electronic signature is verified to confirm that the electronic document creator and the electronic document have not been tampered with.
高い信頼が要求される用途では、電子署名の検証を行うためには、上記署名者の公開鍵証明書(以下、証明書、と記述する)に含まれている、公開鍵と呼ばれる鍵によって、当該電子署名を検証するだけではなく、上記署名者の証明書が電子署名を検証する者(以下、検証者、と記述する)にとって有効な証明書であるか否か、を確認する必要がある。上記署名者の証明書が上記検証者にとって有効であるか否か、を検証するには、(1)認証パスの構築と、(2)認証パスの検証と、という、処理が必要である。 In applications where high trust is required, in order to verify an electronic signature, a key called a public key included in the public key certificate of the signer (hereinafter referred to as a certificate) is used. In addition to verifying the electronic signature, it is necessary to confirm whether the signer's certificate is a valid certificate for the person who verifies the electronic signature (hereinafter referred to as a verifier). . In order to verify whether or not the signer's certificate is valid for the verifier, processes of (1) construction of an authentication path and (2) verification of the authentication path are required.
認証パスとは、上記検証者から上記署名者までの信頼の連鎖であり、証明書のチェーンとして表現される。特に、認証局同士がお互いに証明書を発行しあうような場合には、相互認証証明書という、特殊な証明書を発行する。認証局11から認証局19までの9個の認証局が図2に示したような相互認証の関係を持っている場合には、認証局12が発行した証明書を持つ検証者から認証局11が発行した証明書を持つ署名者までの認証パスは、一番目が相互認証証明書918、二番目が相互認証証明書968、三番目が相互認証証明書946、四番目が相互認証証明書924、最後が検証者の証明書、という順序の証明書チェーンとなる。このようにして構築された検証パスを検証する方法については、上記非特許文献1に詳細に記述されている。
The certification path is a chain of trust from the verifier to the signer, and is expressed as a certificate chain. In particular, when certificate authorities issue certificates to each other, a special certificate called a mutual authentication certificate is issued. When the nine certification authority from the certification authority 1 1 to the certification authority 1 9 has a mutual authentication relationship as shown in FIG. 2, the verifier with a certificate by the certificate authority 1 2 issued certification path up signer with the certificate by the certificate authority 1 1 is issued one second
また、上記GPKIの仕様書には、証明書の有効性を検証するモデルとして、エンドエンティティモデルと、証明書検証サーバモデルが記載されている。(例えば、非特許文献2参照。)上記証明書検証サーバモデルは、証明書の有効性を検証するために、クライアントに代わってオンラインで証明書の有効性を確認する機能を提供する、証明書検証サーバを利用する。 In addition, the GPKI specification describes an end entity model and a certificate verification server model as models for verifying the validity of a certificate. (For example, see Non-Patent Document 2.) The certificate verification server model provides a function for checking the validity of a certificate online on behalf of a client in order to verify the validity of the certificate. Use verification server.
上記証明書検証サーバモデルは、上記エンドエンティティモデルに比べて、次のような利点がある。まず、上記証明書検証サーバモデルでは、上記認証パスを構築する認証パス構築機能をクライアントに実装する必要がないため、クライアントの署名検証プログラムを小さくすることができる。また、クライアントは上記証明書検証サーバの判定結果を信頼するため、上記証明書検証サーバの設定を変更するだけで、システム構成の変化に柔軟に対応できる。上記非特許文献2によれば、証明書が失効されているか否かを判定するには、上記認証局が発行する証明書失効リスト(Certificate Revocation List、以下、CRL、と記述する)やOCSPレスポンダが利用される。 The certificate validation server model has the following advantages over the end entity model. First, in the certificate verification server model, since it is not necessary to mount the certification path construction function for constructing the certification path on the client, the signature verification program of the client can be made small. In addition, since the client trusts the determination result of the certificate verification server, the client can flexibly cope with changes in the system configuration simply by changing the setting of the certificate verification server. According to the non-patent document 2, in order to determine whether or not a certificate has been revoked, a certificate revocation list (hereinafter referred to as CRL) issued by the certificate authority or an OCSP responder Is used.
検証を行う毎に上記認証局から上記CRLを取得するのは効率が悪いため、特許文献1では、上記証明書検証サーバが上記証明書や上記CRLや上記検証パスをキャッシュすることにより証明書の有効性判定処理を高速化する方式が開示されている。 Since it is inefficient to obtain the CRL from the certificate authority every time verification is performed, in Patent Document 1, the certificate verification server caches the certificate, the CRL, and the verification path to obtain the certificate. A method for speeding up the validity determination process is disclosed.
ところで、電子署名を検証したり、検証パスを構築したりするためには、署名者の証明書を入手することが必要である。署名者の証明書を入手する方法は大きく二つに分類することができる。 By the way, in order to verify an electronic signature or to build a verification path, it is necessary to obtain a signer's certificate. There are two main ways to obtain a signer's certificate.
一つは、署名者からは電子署名付き電子文書が送付されるのみであり、当該署名者の証明書は別途入手する、という方法である。例えば、電子署名付き電子文書とともに、当該電子署名を検証するための証明書が格納されている場所を示すURLを通知する方法などが該当する。この方法では、上記検証者は、上記証明書が格納された場所(以下、証明書リポジトリ、と記述する)などにアクセスし、当該証明書を入手する必要がある。もう一つは、署名者が、電子署名付き電子文書とともに、当該電子署名を検証するために利用する証明書を添付して送付する、という方法である。 One is a method in which an electronic document with an electronic signature is only sent from the signer, and the certificate of the signer is obtained separately. For example, a method of notifying a URL indicating a location where a certificate for verifying the electronic signature is stored together with the electronic document with the electronic signature is applicable. In this method, the verifier needs to access a location where the certificate is stored (hereinafter referred to as a certificate repository) and obtain the certificate. The other is a method in which a signer sends an electronic document with an electronic signature together with a certificate used for verifying the electronic signature.
証明書の有効性判定処理を高速化するために上記CRLをキャッシュすると、上記認証局が上記CRLを緊急に発行した場合に、キャッシュしている上記CRLが最新のものではなくなる。特許文献1にはこの点について言及していない。 If the CRL is cached in order to speed up the certificate validity determination process, the cached CRL is not up-to-date when the certificate authority urgently issues the CRL. Patent Document 1 does not mention this point.
上記の課題を解決する方法の一つとしては、上記CRLが緊急発行された場合にも有効性検証が正しく行われるために、上記証明書検証サーバが、上記CRLの格納場所(以下、CRLリポジトリと呼ぶ)に定期的にアクセスし、上記CRLが更新されていないかを確認する方法がある。上記方法は、さらに、上記証明書検証サーバ自身がネットワークを介して確認を行う方式と、上記CRLリポジトリにCRL発行確認ソフトウェアを導入して確認を行う方式と、の2種類がある。 One method for solving the above problem is that the certificate verification server can store the CRL (hereinafter referred to as a CRL repository) in order to perform validity verification correctly even when the CRL is issued urgently. The CRL is periodically accessed to check whether the CRL has been updated. The above methods further include two types: a method in which the certificate verification server itself performs confirmation via a network, and a method in which confirmation is performed by installing CRL issuance confirmation software in the CRL repository.
上記CRLが更新されていないかを定期的に確認する方法を利用して、上記証明書の有効性検証結果の精度を高めるためには、上記確認の間隔をできる限り短くすることが必要である。しかし、上記証明書検証サーバ自身がネットワークを介して確認を行う方式では、上記確認の間隔を短くするとネットワークの負荷が大きくなる、という課題がある。 In order to improve the accuracy of the validity verification result of the certificate by using a method for periodically checking whether the CRL has been updated, it is necessary to shorten the check interval as much as possible. . However, in the method in which the certificate verification server itself performs confirmation via the network, there is a problem that if the confirmation interval is shortened, the load on the network increases.
一方、上記CRLリポジトリに確認を行うためのCRL発行確認ソフトウェアを導入する方式の場合には、上記CRLリポジトリの運営者と上記証明書検証サーバの運営者とが異なると、上記CRL発行確認ソフトウェアのインストールが許可されず、上記確認が行えない場合がある、という課題がある。 On the other hand, in the case of introducing a CRL issuance confirmation software for confirming to the CRL repository, if the CRL repository operator and the certificate verification server operator are different, the CRL issuance confirmation software There is a problem that installation is not permitted and the above confirmation cannot be performed.
また、複数の上記証明書検証サーバが存在する環境では、すべての上記証明書検証サーバが上記CRLリポジトリに導入された上記CRL発行確認ソフトウェアを利用しなければ、すべての上記証明書検証サーバが同じ精度で証明書有効性検証を行うことができないため、稼動している上記証明書検証サーバの数を増減させたい場合には、上記CRL発行確認ソフトウェアの設定を変更する必要があるが、上記CRLリポジトリの運営者と上記証明書検証サーバの運営者とが異なると、上記証明書検証サーバの数を柔軟に変更することが困難である、という課題がある。 In an environment where there are a plurality of the certificate verification servers, all the certificate verification servers are the same unless all the certificate verification servers use the CRL issuance confirmation software installed in the CRL repository. Since certificate validity verification cannot be performed with high accuracy, it is necessary to change the setting of the CRL issuance confirmation software in order to increase or decrease the number of certificate verification servers in operation. If the repository operator and the certificate verification server operator are different, there is a problem that it is difficult to flexibly change the number of certificate verification servers.
さらに、上記検証パスをキャッシュしているとしても、上記認証局によって古い相互認証証明書が破棄され、新しい相互認証証明書が発行されていた場合には、新しい相互認証証明書を含む検証パスを構築する必要がある。 Furthermore, even if the verification path is cached, if the old mutual certification certificate is discarded by the certificate authority and a new mutual certification certificate has been issued, the verification path including the new mutual certification certificate is changed. Need to build.
また、複数の上記証明書検証サーバが存在する環境では、複数の上記証明書検証サーバが、同じ上記証明書の有効性を検証した場合でも、各々の上記証明書検証サーバが上記認証パスの構築や、上記CRLの取得などを行うため、特定の上記CRLリポジトリや上記証明書リポジトリにアクセスが集中したり、ネットワークの負荷が大きくなったりする可能性がある。特許文献1にはこれらについて言及していない。 In an environment where a plurality of certificate verification servers exist, even when a plurality of the certificate verification servers verify the validity of the same certificate, each of the certificate verification servers constructs the certification path. In addition, since the CRL is acquired, access may be concentrated on the specific CRL repository or the certificate repository, or the load on the network may increase. Patent Document 1 does not mention these.
また、上記証明書を別途入手する方法では、上記クライアントは、上記証明書検証サーバに上記証明書の有効性検証を依頼するため、まず、上記証明書リポジトリにアクセスして上記証明書を取得しなければならない、という課題がある。 In the method of separately obtaining the certificate, the client first accesses the certificate repository and obtains the certificate in order to request the certificate validation server to verify the validity of the certificate. There is a problem that it must be.
従って、上記各課題を解決する新たな手法が求められている。 Therefore, a new method for solving the above-described problems is demanded.
本発明は、上記証明書を発行する証明書発行手段と、上記CRLを発行するCRL発行手段と、を備えた認証局と、上記認証局が発行した上記証明書を格納する証明書格納手段を備えた証明書リポジトリと、上記認証局が発行した上記CRLを格納するCRL格納手段を備えたCRLリポジトリと、上記証明書の有効性を検証する証明書有効性検証手段と、上記CRLリポジトリから取得した上記CRLをキャッシュするCRLキャッシュ手段と、上記証明書有効性検証手段が上記証明書の有効性を検証するために構築した検証パスをキャッシュする検証パスキャッシュ手段と、を備えた証明書検証サーバと、電子署名を検証する電子署名検証手段と、上記証明書検証サーバに上記証明書の有効性検証を依頼する証明書有効性検証依頼手段と、を備えたクライアントと、から構成される、認証基盤システムにおいて、上記認証局に、上記CRLを発行すると同時に、上記証明書検証サーバに「上記CRLが発行された」旨を通知する、CRL発行通知を送信する、CRL発行通知送信手段、を設け、上記証明書検証サーバに、上記認証局から上記CRL発行通知を受信する、CRL発行通知受信手段、を設けたことを特徴とする。 The present invention provides a certificate authority comprising a certificate issuing means for issuing the certificate, a CRL issuing means for issuing the CRL, and a certificate storage means for storing the certificate issued by the certificate authority. Acquired from the CRL repository, the CRL repository provided with the CRL storage means for storing the CRL issued by the certificate authority, the certificate validity verification means for verifying the validity of the certificate, CRL cache means for caching the CRL, and verification path cache means for caching a verification path constructed by the certificate validity verification means for verifying the validity of the certificate. And electronic signature verification means for verifying the electronic signature, and certificate validity verification request means for requesting the certificate verification server to verify the validity of the certificate; A CRL issuance notification in an authentication infrastructure system comprising: a client comprising: a CRL issuance notification that simultaneously issues the CRL to the certificate authority and notifies the certificate verification server that the CRL has been issued And a CRL issuance notification transmitting means, and the CRL issuance notification receiving means for receiving the CRL issuance notification from the certificate authority is provided in the certificate verification server.
また、本発明は、上記証明書検証サーバの上記CRLキャッシュ手段は、上記CRL発行通知受信手段によって、上記CRL発行通知を受信した場合に、上記認証局が新たに発行した上記CRLを上記CRLリポジトリから取得するものであること、を特徴とする。 In the present invention, the CRL cache unit of the certificate verification server receives the CRL issue notification by the CRL issue notification reception unit, and the CRL repository newly issues the CRL issued by the certificate authority. It is what is acquired from.
さらに、本発明は、上記証明書検証サーバに、上記CRLが新たに発行されたことを発見した場合に、予め登録された、他の証明書検証サーバに対して、「CRLが発行された」旨を通知する、CRL発行通知送信手段、を設けたことを特徴とする。 Further, when the present invention discovers that the CRL has been newly issued to the certificate verification server, the present invention can provide a “CRL has been issued” to another certificate verification server registered in advance. A CRL issuance notification transmitting unit for notifying that is provided.
また、本発明は、上記認証局に、上記証明書発行手段によって上記証明書が発行された場合に、上記証明書検証サーバに「証明書が発行された」旨を通知する証明書発行通知を送信する、証明書発行通知送信手段を設け、前記証明書検証サーバに、上記証明書発行通知を受信する、証明書発行通知受信手段を設け、上記証明書有効性検証手段は、上記証明書発行通知受信手段が上記証明書発行通知を受信した場合に、新たに発行された上記証明書を含むような、上記検証パスを作成するものであって、上記検証パスキャッシュ手段は当該検証パスをキャッシュするものであること、を特徴とする。 Further, the present invention provides a certificate issuance notification for notifying the certificate verification server that the certificate has been issued when the certificate is issued by the certificate issuing means. A certificate issuance notification transmitting means is provided, the certificate verification server is provided with a certificate issuance notification receiving means for receiving the certificate issuance notification, and the certificate validity verification means is When the notification receiving unit receives the certificate issuance notification, it creates the verification path including the newly issued certificate, and the verification path cache unit caches the verification path. It is what it does.
さらに、本発明は、上記証明書検証サーバに、上記検証パスを構築した場合に、予め登録された、他の証明書検証サーバに当該検証パスを送信する、検証パス送信手段を設け、上記検証パスキャッシュ手段は、他の証明書検証サーバから上記検証パスを受信した場合に、当該検証パスをキャッシュするものであること、を特徴とする。 Furthermore, the present invention provides a verification path transmitting means for transmitting the verification path to another certificate verification server registered in advance when the verification path is constructed in the certificate verification server, The path cache means caches the verification path when the verification path is received from another certificate verification server.
さらに、本発明は、上記クライアントは、上記電子署名を検証するために必要な、上記証明書の取得を、上記証明書検証サーバに依頼する、証明書取得依頼手段、を設け、上記証明書検証サーバに、上記クライアントから取得を要求された上記証明書を上記証明書リポジトリから取得し、かつ、上記証明書検証手段によって、当該証明書が有効であると判定された場合に、上記クライアントに当該証明書を送信する、証明書取得手段、を設けたことを特徴とする。 Furthermore, the present invention provides a certificate acquisition request means for requesting the certificate verification server to acquire the certificate necessary for verifying the electronic signature, and the client verifies the certificate verification. When the server obtains the certificate requested for acquisition from the client from the certificate repository, and the certificate verification means determines that the certificate is valid, the client receives the certificate. A certificate acquisition means for transmitting a certificate is provided.
さらに、本発明は、「上記CRL発行通知の送信を依頼する」旨のメッセージを作成する手段を上記証明書検証サーバに設け、上記CRL発行通知依頼メッセージを受信する手段を上記認証局に設け、さらに、上記認証局の上記CRL発行通知送信手段は、当該認証局に対して上記CRL発行通知依頼メッセージを送信してきた証明書検証サーバに対して、上記CRL発行通知を送信することを特徴とする。 Further, the present invention provides means for creating a message to “request transmission of the CRL issue notification” in the certificate verification server, means for receiving the CRL issue notification request message in the certificate authority, Further, the CRL issuance notification transmission means of the certification authority transmits the CRL issuance notification to the certificate verification server that has transmitted the CRL issuance notification request message to the certification authority. .
また、本発明は、上記CRLリポジトリに新たなCRLが格納されたことを発見した場合に、「CRLが発行された」旨のCRL発行通知を送信するCRL発行通知送信手段と、「上記CRL発行通知の送信を依頼する」旨のCRL発行通知依頼メッセージを受信するCRL発行通知依頼受信手段とを、上記CRLリポジトリに備えたことを特徴とする。 Further, the present invention provides a CRL issuance notification transmitting means for transmitting a CRL issuance notification indicating that “CRL has been issued”, and “the above CRL issuance” when a new CRL is stored in the CRL repository. The CRL repository is provided with a CRL issuance notification request receiving means for receiving a CRL issuance notification request message stating “Request transmission of notification”.
また、本発明のCRL発行確認ソフトウェアは、CRLの発行を監視し、新たなCRLの発行された場合に、CRL発行通知を送信する手段を実現するものであり、CRL発行通知依頼メッセージを受信する手段を実現し、上記CRL発行通知送信手段は、上記CRL発行通知を受信した上記CRL発行通知依頼メッセージの送信元に送信することを特徴とする。 The CRL issuance confirmation software of the present invention implements a means for monitoring CRL issuance and transmitting a CRL issuance notification when a new CRL is issued, and receives a CRL issuance notification request message. The CRL issue notification transmitting means transmits the CRL issue notification to the transmission source of the CRL issue notification request message that has been received.
さらに、本発明の上記証明書検証サーバは、前記CRL発行通知依頼作成手段によって作成されたCRL発行通知依頼メッセージを受信する手段を設けたことを特徴とする。 Further, the certificate verification server according to the present invention is characterized in that means for receiving the CRL issue notification request message created by the CRL issue notification request creation means is provided.
したがって、本発明によれば、上記証明書の有効性検証を高い精度と少ない負荷で確実に行なうことができる。 Therefore, according to the present invention, the validity of the certificate can be surely performed with high accuracy and a small load.
以下、図面を用いて本発明の実施の形態について説明する。なお、これによって本発明が限定されるものではない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. Note that the present invention is not limited thereby.
図1は、本発明の実施例である電子署名付き電子文書交換システムの一構成を示した図である。認証局11から認証局19までの9個の認証局(以下、まとめて、認証局1、と記述する)と、証明書リポジトリ2と、CRLリポジトリ3と、証明書検証サーバ41から証明書検証サーバ4nまでのn個の証明書検証サーバ(以下、まとめて、証明書検証サーバ4、と記述する)と、上記証明書検証サーバ4に証明書の有効性の検証を依頼する、クライアント端末51からクライアント端末5mまでのm個のクライアント端末(以下、まとめて、クライアント端末5、と記述する)と、がネットワーク0を介して接続されている。 FIG. 1 is a diagram showing a configuration of an electronic document exchange system with an electronic signature according to an embodiment of the present invention. Nine certification authority from the certification authority 1 1 to the certification authority 1 9 (hereinafter, collectively describe the certification authority 1, and), and the certificate repository 2, a CRL repository 3, the certificate validation server 4 1 N certificate verification servers up to certificate verification server 4 n (hereinafter collectively referred to as certificate verification server 4), and request the certificate verification server 4 to verify the validity of the certificate. , m-number of the client terminal from the client terminal 5 1 to the client terminal 5 m (hereinafter, collectively, the client terminal 5, and described) and, are coupled with each other through the network 0.
上記認証局1は、上記クライアント端末5に証明書509を発行し、かつ、当該証明書509のコピーを上記証明書リポジトリ2に格納する証明書発行機能101と、失効した上記証明書509のリストであるCRL7を発行し、かつ、当該CRL7を上記CRLリポジトリに格納するCRL発行機能102と、上記CRL7が発行されたことを通知するCRL発行通知8を、上記証明書検証サーバ4に対して送信する、CRL発行通知機能103と、「上記CRL発行通知8の送信を依頼する」旨の、CRL発行通知依頼メッセージ10を受信するCRL発行通知依頼受信機能105と、を備えている。
The certificate authority 1 issues a
また、認証局11から認証局19までの、上記認証局1は、相互認証証明書9を発行しあい、図2に示したような、相互認証の関係がある。
Further, from the certificate authority 1 1 to the certification authority 1 9, the certification authority 1, mutually issues a
上記証明書リポジトリ2は、上記証明書509を保持する、証明書DB201と、上記認証局1から上記証明書509を受信し、かつ、当該証明書509を上記証明書DB201に格納し、さらには、指定された上記証明書509を上記証明書DB201から検索して返信する、証明書DB管理機能202と、を備えている。
The certificate repository 2 receives the certificate DB 201 that holds the
上記CRLリポジトリ3は、上記CRL7を保持する、CRLDB301と、上記認証局1から上記CRL7を受信し、かつ、当該CRLを上記CRLDB301に格納し、さらには、指定された上記CRL7を上記CRLDB301から検索して返信する、証明書DB管理機能302と、を備えている。
The CRL repository 3 receives the CRLDB 301 that holds the
上記証明書検証サーバ4は、
上記CRL7をキャッシュしたCRLキャッシュ401と、
上記証明書509の有効性を検証するために使用する、検証パスをキャッシュした検証パスキャッシュ402と、
上記クライアント端末5からの要求を受けて、証明書の有効性を検証する証明書検証機能403と、
上記クライアント端末5からの要求を受けて、上記証明書リポジトリ2から上記証明書509を取得し、かつ、当該証明書509の有効性を上記証明書検証機能403によって検証し、さらには、当該証明書509が有効であった場合に上記クライアント端末5に返信する、証明書取得機能404と、
上記CRLリポジトリ3から上記CRL7を取得し、かつ、当該CRL7を上記CRLキャッシュ401に格納する、CRL管理機能405と、
上記認証局1から上記CRL発行通知8を受信し、かつ、上記認証局1から上記CRL発行通知8を受け取った場合に、予め登録された、あるいは、上記CRL発行通知依頼メッセージ10を送信することにより当該CRL発行通知8の転送を依頼してきた、他の証明書検証サーバ4に当該CRL発行通知8を転送する、CRL発行通知管理機能406と、
上記証明書検証機能403が作成した上記検証パスを上記検証パスキャッシュ402にキャッシュし、かつ、当該検証パスを予め登録された他の証明書検証サーバ4に対して送信し、さらには、他の証明書検証サーバ4から受信した上記検証パスを上記検証パスキャッシュ402にキャッシュする、検証パス管理機能407と、
上記認証局1に対して上記CRL発行通知8の送信を依頼する、CRL発行通知依頼メッセージ10を作成する、CRL発行通知依頼作成機能410と、
他の証明書検証サーバ4から上記CRL発行通知依頼メッセージ10を受信する、CRL発行通知依頼受信機能411と、を備えている。
The certificate verification server 4
A
A
A
Upon receipt of the request from the client terminal 5, the
A
When the CRL issue notification 8 is received from the certificate authority 1 and the CRL issue notification 8 is received from the certificate authority 1, the CRL issue notification request message 10 registered in advance or the CRL issue notification request message 10 is transmitted. A CRL issue
The verification path created by the
A CRL issuance notification
A CRL issuance notification
上記クライアント端末5は、
他のクライアント端末5と電子文書6を交換する、電子文書交換機能501と、
上記電子文書6に電子署名を行い、かつ、他のクライアント端末5から受信した上記電子文書6に行われた電子署名を検証する、電子署名機能502と、
上記証明書検証サーバ4に上記証明書509の有効性の検証を要求し、かつ、上記証明書検証サーバ4から上記証明書509の有効性検証の結果を受信する、証明書検証要求機能503と、
上記電子文書6に上記証明書509ではなく、上記証明書509の格納場所を示したURLが添付されていた場合に、当該URLに格納されている上記証明書509を取得するために上記証明書検証サーバ4に当該証明書識別情報を送信し、かつ、上記証明書検証サーバ4から当該証明書509を受信する、証明書取得依頼機能506と、
上記電子署名作成機能502が利用する、秘密鍵508と、
上記認証局1が発行した、上記証明書509と、を備えている。
The client terminal 5
An electronic
An
A certificate
If the URL indicating the storage location of the
A
And the
なお、上記クライアント端末51の上記証明書5091は上記認証局11から発行されており、上記クライアント端末52の上記証明書5092は上記認証局12から発行されている。
Note that the
また、本実施例では、上記証明書検証要求機能503と、上記証明書取得依頼機能506と、が利用する上記証明書検証サーバ4は、上記証明書検証サーバ41から上記証明書検証サーバ4nまでの上記証明書検証サーバ4のうち、予め定められた、特定の上記証明書検証サーバ4を利用する。
Further, in the present embodiment, the above-described certificate
例えば、クライアント端末52は上記証明書検証サーバ41を利用する。 For example, the client terminal 5 2 utilizes the certificate validation server 4 1.
なお、図1に示す認証局1、証明書リポジトリ2、CRLリポジトリ3、証明書検証サーバ4、クライアント端末5、の各装置は、例えば、図9に示すような、CPU91と、メモリ92と、ハードディスク等の外部記憶装置93と、CD−ROM等の可搬性を有する記憶媒体99から情報を読み取る読取装置94と、ネットワークを介して他装置と通信を行うための通信装置95と、キーボードやマウス等の入力装置96と、モニタやプリンタ等の出力装置97と、これらの各装置間のデータ送受を行うインターフェース98とを備えた、一般的な電子計算機において、CPU91がメモリ92上にロードされた所定のプログラムを実行することにより、実現できる。
The certificate authority 1, the certificate repository 2, the CRL repository 3, the certificate verification server 4, and the client terminal 5 illustrated in FIG. 1 include, for example, a
すなわち、証明書発行機能101、CRL発行機能102、CRL発行通知機能103、CRL発行通知依頼受信機能105、証明書DB管理機能202、CRLDB管理機能302、証明書検証機能403、証明書取得機能404、CRL管理機能405、CRL発行通知管理機能406、検証パス管理機能407、CRL発行通知依頼作成機能410、CRL発行通知依頼受信機能411、電子文書交換機能501、電子署名機能502、証明書検証要求機能503、証明書取得依頼機能504、はCPU91が所定のプログラムを実行することによるプロセスとして実現できる。また、証明書DB201、CRLDB301、CRLキャッシュ401、検証パスキャッシュ402、は、CPU91がメモリ92や外部記憶装置63を利用することにより実現できる。
That is, the
このような電子計算機上に、上記各装置を実現するための所定のプログラムは、読取装置94を介して電子計算機が利用可能な記憶媒体99から導入されてもよいし、あるいは、通信装置96を介してネットワークまたはネットワークを伝搬する搬送波といった、電子計算機が利用可能な通信媒体を介して他のサーバから導入されてもよい。
On such an electronic computer, a predetermined program for realizing each of the above devices may be introduced from a
導入に際しては、一旦、外部記憶装置93に格納された後、そこからメモリ92上にロードされてCPU91に実行されてもよいし、あるいは、外部記憶装置93に格納されることなく、直接メモリ92上にロードされて、CPU91に実行されてもよい。
At the time of introduction, the data may be temporarily stored in the
次に、図1の電子署名利用システムの動作について、上記証明書検証サーバ4が上記認証局1に対して上記CRL発行通知8の送信を依頼する場合の動作について、図面を用いて説明する。 Next, the operation of the electronic signature using system of FIG. 1 will be described with reference to the drawings when the certificate verification server 4 requests the certificate authority 1 to transmit the CRL issue notification 8.
図7は、図1の電子署名利用システムにおいて、上記証明書検証サーバ4が上記認証局1に対して上記CRL発行通知8の送信を依頼する場合の、上記証明書検証サーバ4と、上記認証局1と、の動作を示す。 FIG. 7 illustrates the certificate verification server 4 and the authentication when the certificate verification server 4 requests the certificate authority 1 to transmit the CRL issue notification 8 in the electronic signature utilization system of FIG. The operation of station 1 is shown.
上記証明書検証サーバ4において、上記CRL発行通知依頼作成機能410が、上記CRL発行通知依頼メッセージ10を作成し(ステップ7101)、上記認証局1に送信する(ステップ7102)。
In the certificate verification server 4, the CRL issuance notification
図8(a)に例示する、CRL発行通知依頼メッセージ10は、「上記CRL発行通知8の送信を依頼する」旨のメッセージと、上記CRL発行通知8の送信先となるネットワーク0上のアドレスであるホスト名と、から構成されている。 The CRL issue notification request message 10 illustrated in FIG. 8A includes a message “Request transmission of the CRL issue notification 8” and an address on the network 0 that is the transmission destination of the CRL issue notification 8. It consists of a certain host name.
上記認証局1では、上記CRL発行通知依頼受信機能105が、上記CRL発行通知依頼メッセージ10を受信する(ステップ7201)と、当該CRL発行通知依頼メッセージ10を送信してきた、上記証明書検証サーバ4のホスト名をCRL発行通知送信先リスト104に追加する(ステップ7202)。
In the certificate authority 1, when the CRL issuance notification
上記証明書検証サーバ41から上記証明書検証サーバ42への上記CRL発行通知8の転送を依頼する場合には、まず、上記証明書検証サーバ41の上記CRL発行通知依頼作成機能410が上記CRL発行通知依頼メッセージ10を作成し、上記証明書検証サーバ42に送信する。
When requesting the transfer of the CRL issuance notification 8 from the certificate validation server 4 1 to the certificate validation server 4 2, first, the certificate validation server 4 1 of the CRL issuance notification
上記証明書検証サーバ42のCRL発行通知依頼受信機能411は、当該CRL発行通知依頼メッセージ10を受信し、送信元である上記証明書検証サーバ4のホスト名をCRL発行通知転送先リスト408に追加する。
The certificate validation server 4 2 CRL issuance notification
上記証明書検証サーバ4が上記認証局1に対して上記CRL発行通知8の送信停止を依頼する場合には、図8(b)に例示するような、CRL発行通知依頼メッセージ10を、上記認証局1に送信する。 When the certificate verification server 4 requests the certificate authority 1 to stop transmitting the CRL issuance notification 8, the CRL issuance notification request message 10 illustrated in FIG. Transmit to station 1.
図8(b)のCRL発行通知依頼メッセージ10は、「上記CRL発行通知8の送信停止を依頼する」旨のメッセージと、上記CRL発行通知8の送信先のホスト名と、から構成されている。 The CRL issuance notification request message 10 in FIG. 8B is composed of a message “requests to stop transmission of the CRL issuance notification 8” and the host name of the transmission destination of the CRL issuance notification 8. .
上記認証局1は、図8(b)のCRL発行通知依頼メッセージ10を受信したら、記載されている上記証明書検証サーバ4のホスト名をCRL発行通知転送先リスト408から削除する。 When the certificate authority 1 receives the CRL issuance notification request message 10 in FIG. 8B, the certificate authority 1 deletes the host name of the certificate verification server 4 described from the CRL issuance notification transfer destination list 408.
上記証明書検証サーバ4が、他の証明書検証サーバ4に上記CRL発行通知8の転送を依頼したり、転送停止を依頼したりする場合には、依頼先の証明書検証サーバ4に、上記CRL発行通知依頼メッセージ10を送信する。 When the certificate verification server 4 requests another certificate verification server 4 to transfer the CRL issuance notification 8 or requests to stop the transfer, the certificate verification server 4 requests the certificate verification server 4 to A CRL issue notification request message 10 is transmitted.
次に、図1の電子署名利用システムにおいて、上記CRL7が発行された場合の、上記認証局1と、上記CRLリポジトリ3と、上記証明書検証サーバ4と、の動作について、図面を用いて説明する。
Next, the operations of the certificate authority 1, the CRL repository 3, and the certificate verification server 4 when the
図3は、図1の電子署名利用システムにおいて、上記CRL7が発行された場合の、上記認証局1と、上記CRLリポジトリ3と、上記証明書検証サーバ4と、の動作を示す図である。
FIG. 3 is a diagram illustrating operations of the certificate authority 1, the CRL repository 3, and the certificate verification server 4 when the
まず、上記認証局1の動作について説明する。 First, the operation of the certificate authority 1 will be described.
上記認証局1は、上記CRL発行機能102が上記CRL7を作成する(ステップ3101)と、当該CRL発行機能102が当該CRL7を上記CRLリポジトリ3に送信する(ステップ3102)。
In the certificate authority 1, when the
次に、上記CRL発行通知機能103が、上記CRL発行通知8を作成し、予め定められた、あるいは、上記CRL発行通知依頼メッセージ10を送信することにより当該CRL発行通知8の送信を依頼してきた、上記証明書検証サーバ4に送信する(ステップ3103)。
Next, the CRL
なお、本実施例では、認証局1は、CRL発行通知送信先リスト104にホスト名が記載されている、上記証明書検証サーバ4に上記CRL発行通知8を送信する。 In this embodiment, the certificate authority 1 transmits the CRL issue notification 8 to the certificate verification server 4 whose host name is described in the CRL issue notification transmission destination list 104.
図6の(a)は、上記認証局1が管理しているCRL発行通知送信先リスト104の一例であり、上記証明書検証サーバ41のホスト名と、上記証明書検証サーバ4nのホスト名と、が記載されている。 (A) in FIG. 6 is an example of a CRL issuance notification transmission destination list 104 in which the certification authority 1 manages the host name of the certificate validation server 4 1, the host of the certificate validation server 4 n And the name.
したがって、上記認証局1の上記CRL発行通知機能103は、上記証明書検証サーバ41と、上記証明書検証サーバ4nと、に上記CRL発行通知8を送信する。
Therefore, the CRL
次に、上記CRLリポジトリ3の動作について説明する。 Next, the operation of the CRL repository 3 will be described.
上記CRLリポジトリ3の上記CRLDB管理機能302は、上記認証局1、あるいは、上記証明書検証サーバ4からのアクセスを待ち受け、上記認証局1から上記CRL7を受信する(ステップ3301)と、当該CRL7を上記CRLDB301格納し(ステップ3302)、再び、上記認証局1、あるいは、上記証明書検証サーバ4からのアクセスを待ち受ける。
The
一方、上記証明書検証サーバ4から、上記CRL7を送信するように依頼を受ける(ステップ3303)と、上記CRLDB301から当該CRL7を検索し(ステップ3304)、上記証明書検証サーバ4に当該CRL7を送信して(ステップ3305)、再び、上記認証局1、あるいは、上記証明書検証サーバ4からのアクセスを待ち受ける。
On the other hand, when a request is received from the certificate verification server 4 to transmit the CRL 7 (step 3303), the
次に、上記証明書検証サーバ4の動作について説明する。 Next, the operation of the certificate verification server 4 will be described.
ここでは、上記認証局1から上記CRL発行通知8を受信する上記証明書検証サーバ41の動作によって、上記証明書検証サーバ4の動作を説明する。 Here, by the operation of the certificate validation servers 4 1 for receiving the CRL issuance notification 8 from the authentication station 1, the operation of the certificate validation server 4.
まず、上記証明書検証サーバ41では、上記CRL発行通知管理機能406が、上記認証局1、あるいは、他の証明書検証サーバ4、から上記CRL発行通知8を受信する(ステップ3401)と、まず、当該CRL発行通知8を既に受信したかどうかを調べ(ステップ3402)、当該CRL発行通知8を既に受信していた場合には、そのまま処理を終了する。
First, in the certificate validation server 4 1, the CRL issuance
一方、上記CRL発行通知8を初めて受信した場合には、上記CRL管理機能405が、上記CRLリポジトリ3にアクセスし(ステップ3403)、上記CRL7を取得し(ステップ3404)、上記CRLキャッシュ401キャッシュする(ステップ3405)。
On the other hand, when the CRL issue notification 8 is received for the first time, the
次に、上記CRL発行通知管理機能406は、予め登録された、あるいは、上記CRL発行通知依頼メッセージ10を送信することにより当該CRL発行通知8の転送を依頼してきた、他の証明書検証サーバ4に、上記CRL発行通知8を転送する(ステップ3406)。
Next, the CRL issue
上記証明書検証サーバ4は、CRL発行通知転送先リスト408というリストを利用して、上記CRL発行通知6を転送する、上記証明書検証サーバ4を管理している。 The certificate verification server 4 manages the certificate verification server 4 that transfers the CRL issue notification 6 using a list called a CRL issue notification transfer destination list 408.
図6の(b)は、上記証明書検証サーバ41が管理している上記CRL発行通知転送先リスト408の一例であり、上記証明書検証サーバ42のホスト名と、上記証明書検証サーバ43のホスト名と、上記証明書検証サーバ4nのホスト名とが記載されている。 (B) in FIG. 6 is an example of the CRL issuance notification forwarding destination list 408 the certificate validation server 4 1 manages the host name of the certificate validation server 4 2, the certificate validation server 4 3 and the host name, the host name of the certificate validation server 4 n is described.
したがって、上記CRL発行通知管理機能406は、上記CRL発行通知6を、上記証明書検証サーバ42と、上記証明書検証サーバ43と、上記証明書検証サーバ4nに転送する。
Therefore, the CRL issuance
なお、本実施例では、上記証明書検証サーバ41から上記証明書検証サーバ4nまでの各々のホスト名は、上記証明書検証サーバ41から上記証明書検証サーバ4nまでの証明書検証サーバ4が各々に保持している、上記CRL発行通知転送先リスト408のいずれかに必ず記載されているようにしている。 In this embodiment, the host name of each of the above certificate validation server 4 1 to the certificate validation server 4 n, the certificate validation from the certificate validation server 4 1 to the certificate validation server 4 n Each of the CRL issuance notification transfer destination lists 408 held by the server 4 is surely described.
こうすることにより、どれか一つの上記証明書検証サーバ4が上記認証局1から上記CRL発行通知6を受け取れば、上記証明書検証サーバ41から上記証明書検証サーバ4nまでのすべての証明書検証サーバ4が上記CRL発行通知6を受け取ることができる。 By doing this, if any one of the above certificate validation server 4 receive the CRL issuance notification 6 from the certification authority 1, all the certificates from the certificate validation server 4 1 to the certificate validation server 4 n The certificate verification server 4 can receive the CRL issue notification 6.
また、上記証明書検証サーバ4を新たに追加する場合には、上記証明書検証サーバ41から上記証明書検証サーバ4nまでの証明書検証サーバ4が各々に保持している、上記CRL発行通知転送先リスト408のいずれかに当該証明書検証サーバ4のホスト名を追加すれば、上記CRL発行通知送信先リスト104を変更する必要はなくなる。 Further, in the case of newly adding the certificate validation server 4, the certificate validation server 4 from the certificate validation server 4 1 to the certificate validation server 4 n has in each the CRL issuance If the host name of the certificate verification server 4 is added to any of the notification transfer destination lists 408, there is no need to change the CRL issue notification transmission destination list 104.
以上が、上記CRL7が発行された場合の、図1の電子署名利用システムの動作である。
The above is the operation of the electronic signature utilization system in FIG. 1 when the
次に、図1の電子署名付き電子文書交換システムにおいて、上記クライアント端末51から、上記クライアント端末52に、上記電子文書6を送信する場合の動作について、図面を用いて説明する。 Then, the electronic signed electronic document exchange system of Figure 1, from the client terminal 5 1, to the client terminal 5 2, an operation of transmitting the electronic document 6 will be described with reference to the drawings.
なお、本実施例では、上記電子文書6に施された電子署名を検証するための上記証明書509は、上記電子文書6に添付される場合と、上記電子文書6に添付されない場合と、の二つの場合があるが、まずは、上記電子文書6に施された電子署名を検証するための上記証明書509が、上記電子文書6に添付される場合について説明する。
In the present embodiment, the
図4は、図1の電子署名付き電子文書交換システムにおいて、上記電子文書6に施された電子署名を検証するための上記証明書509が、上記電子文書6に添付される場合に、上記クライアント端末51から、上記クライアント端末52に、上記電子文書6を送信する際の、上記クライアント端末51と、上記クライアント端末52と、上記証明書検証サーバ41と、上記証明書検証サーバ42と、の動作を示した図である。
FIG. 4 shows an example of the client when the
まず、上記クライアント端末51の動作について説明する。 First, the operation of the client terminal 5 1.
上記クライアント端末51は、上記電子文書交換機能501が、上記クライアント端末52に送信する、上記電子文書6を作成する(ステップ4501)と、上記電子署名機能502が、上記秘密鍵5081を使用して、当該電子文書6に電子署名を施す(ステップ4502)。
The client terminal 5 1, the electronic
次に、上記電子文書交換機能501は、電子署名が施された、上記電子文書6を、上記証明書5091とともに、上記クライアント端末52に送信する(ステップ4503)。
Then, the electronic
次に、上記クライアント端末52の動作について説明する。 Next, the operation of the client terminal 5 2.
上記クライアント端末52は、上記電子文書6を受信する(ステップ4511)と、上記電子文書6とともに送信されてきた上記証明書5091の有効性を検証するため、上記証明書有効性確認機能503が、上記証明書検証サーバ41に当該証明書5091の有効性検証を依頼し(ステップ4512)、上記証明書検証サーバ41から有効性検証の結果を受信する(ステップ4513)。
The client terminal 5 2 receives the electronic document 6 (step 4511), to verify the validity of the
ここで、上記有効性検証の結果が、上記証明書5091は、上記クライアント端末52にとって有効ではない、というものであった場合、処理を終了する。
Here, the efficacy results of the verification, the
一方、上記有効性検証の結果が、上記証明書5091は、上記クライアント端末52にとって有効である、というものであった場合、上記電子署名機能503は、上記証明書5091から公開鍵を取り出し、上記電子文書6に施されている電子署名を検証する(ステップ4515)。ここで、上記電子署名が正しくないと判定された場合には処理を終了する。
On the other hand, the result of the validity verification, the
一方、上記電子署名が正しいと判定された場合には、上記電子署名6を保存する(ステップ4516)。 On the other hand, if it is determined that the electronic signature is correct, the electronic signature 6 is stored (step 4516).
次に、上記証明書検証サーバ4の動作について説明する。 Next, the operation of the certificate verification server 4 will be described.
まず、上記証明書検証サーバ41は、上記クライアント端末52から上記証明書5091の有効性検証を依頼される(ステップ4401)と、上記証明書検証機能403が、上記クライアント端末52から上記クライアント端末51までの検証パスが、上記検証パスキャッシュ402に存在しているかを確認する(ステップ4402)。
First, the certificate validation server 4 1 is asked to validation of the
ここで、上記検証パスキャッシュ402に、当該検証パスが存在する場合には、ステップ4404に進む。一方、上記検証パスキャッシュ402に、当該検証パスが存在しなかった場合には、当該検証パスを構築し(ステップ4403)、ステップ4404に進む。
Here, if the verification path exists in the
ステップ4404では、上記証明書検証403は、上記CRLキャッシュ401から上記CRL7を取り出し、上記検証パスが有効か否かを判定する。次に、判定結果を上記クライアント端末52に送信する(ステップ4405)。
In
ここで、上記検証パスが、ステップ4403で新たに構築されたものでない場合には、処理を終了する。一方、上記検証パスが、ステップ4403で新たに構築されたものであった場合には、検証パス送信先リスト409にホスト名が記載されている、上記証明書検証サーバ4に当該検証パスを送信し(ステップ4407)、処理を終了する。
If the verification path is not newly constructed in
上記検証パス送信先リスト409は、新たに構築した上記検証パスを送信する上記証明書検証サーバ4のホスト名を記載したリストであり、本実施例では、上記CRL発行通知転送先リスト408を上記検証パス送信先リスト409にも利用している。 The verification path transmission destination list 409 is a list in which the host name of the certificate verification server 4 that transmits the newly constructed verification path is described. In this embodiment, the CRL issuance notification transfer destination list 408 is the above-described list. It is also used for the verification path transmission destination list 409.
したがって、ステップ4407では、上記検証パスは、上記証明書検証サーバ42と、上記証明書検証サーバ43と、上記証明書検証サーバ4nと、に送信される。
Accordingly, in
なお、本実施例では、上記CRL発行通知転送先リスト408と、上記検証パス送信先リスト409と、に同じリストを使用しているが、本発明はそれに限定されるものではなく、個々に異なるリストを利用しても良い。 In this embodiment, the same list is used for the CRL issuance notification transfer destination list 408 and the verification path transmission destination list 409. However, the present invention is not limited to this and is different for each. A list may be used.
一方、上記証明書検証サーバ42や、上記証明書検証サーバ43や、上記証明書検証サーバ4nは、上記証明書検証サーバ41から上記検証パスを受信する(ステップ4411)と、上記検証パス管理機能407は当該検証パスが上記検証パスキャッシュ402にキャッシュされているかどうかを確認する(ステップ4412)。
On the other hand, these and certificate validation server 4 2, these and certificate validation server 4 3, the certificate validation server 4 n receives the verification pass from the certificate validation server 4 1 (step 4411), the The verification
ここで、上記検証パスキャッシュ402に上記検証パスがキャッシュされていれば、何もせず、処理を終了する。一方、上記検証パスキャッシュ402に上記検証パスがキャッシュされていなければ、当該検証パスを上記検証パスキャッシュ402にキャッシュし(ステップ4413)、検証パス送信先リスト409にホスト名が記載されている、上記証明書検証サーバ4に当該検証パスを送信し(ステップ4414)、処理を終了する。
Here, if the verification path is cached in the
なお、本実施例では、上記証明書検証サーバ4の上記検証パス管理機能407は、検証パスを送受したり、キャッシュしたりするようにしているが、本発明はそれに限定されるものではなく、上記検証パスを一意に識別できるような検証パス情報を送受したり、キャッシュしたりし、必要なときに当該検証パス情報から対応する検証パスを構成するようにしてもよい。
In the present embodiment, the verification
以上が、上記電子文書6に施された電子署名を検証するための上記証明書509が上記電子文書6に添付される場合の、上記クライアント端末51から上記クライアント端末52に上記電子文書6を送信する際の、図1の電子署名付き電子文書交換システムの動作である。
Or, in the case where the
次に、上記電子文書6に施された電子署名を検証するための上記証明書509が上記電子文書6に添付されない場合の、上記クライアント端末51から上記クライアント端末52に上記電子文書6を送信する際の、図1の電子署名付き電子文書交換システムの動作について、図面を用いて説明する。
Next, the case where the
図5は、図1の電子署名付き電子文書交換システムにおいて、上記電子文書6に施された電子署名を検証するための上記証明書509が、上記電子文書6に添付されない場合に、上記クライアント端末51から上記クライアント端末52に上記電子文書6を送信する際の、上記クライアント端末51と、上記クライアント端末52と、上記証明書検証サーバ4と、上記証明書リポジトリ2と、の動作を示した図である。
FIG. 5 shows the client terminal when the
まず、上記クライアント端末51の動作について説明する。 First, the operation of the client terminal 5 1.
上記クライアント端末51は、上記電子文書交換機能501が、上記クライアント端末52に送信する、上記電子文書6を作成する(ステップ5501)と、上記電子署名機能502が、上記秘密鍵5081を使用して、当該電子文書6に電子署名を施す(ステップ5502)。
The client terminal 5 1, the electronic
次に、上記電子文書交換機能501は、電子署名が施された、上記電子文書6を、上記証明書5091の格納場所を示したURLとともに、上記クライアント端末52に送信する(ステップ5503)。
Then, the electronic
なお、本実施例では、上記電子文書6とともに、上記証明書509の格納場所を示したURLを送信するようにしているが、本発明はこれに限定されるものではなく、上記証明書509に記載されている情報の一部を送信するようにしてもよい。
In the present embodiment, a URL indicating the storage location of the
次に、上記クライアント端末52の動作について説明する。 Next, the operation of the client terminal 5 2.
上記クライアント端末52は、上記電子文書6を受信する(ステップ5511)と、上記証明書取得依頼機能504が、上記電子文書6とともに送信されてきた上記URLに対応する上記証明書5091を上記証明書検証サーバ41に取得するように依頼し(ステップ5512)、上記証明書検証サーバ41から依頼結果を受信する(ステップ5513)。
The client terminal 5 2 receives the electronic document 6 (step 5511), the certificate
ここで、上記依頼結果に上記証明書5091が含まれていなかった場合、すなわち、上記URLが示す上記証明書5091が上記クライアント端末52にとって有効なものでない、と上記証明書検証サーバ41が判断した場合には、処理を終了する。一方、上記依頼結果に上記証明書5091が含まれていた場合、上記電子署名機能503は、上記証明書5091から公開鍵を取り出し、上記電子文書6に施されている電子署名を検証する(ステップ5515)。ここで、上記電子署名が正しくないと判定された場合には、処理を終了する。一方、上記電子署名が正しいと判定された場合には、上記電子署名6を保存し(ステップ5516)、処理を終了する。
Here, if it was not the
次に、上記証明書検証サーバ4の動作について説明する。 Next, the operation of the certificate verification server 4 will be described.
上記証明書検証サーバ41の上記証明書取得機能404は、上記クライアント端末52から、上記証明書5091を取得するように依頼を受けると(ステップ5401)、上記クライアント端末52から送信された上記URLを用いて、上記証明書リポジトリ2にアクセスし(ステップ5402)、上記証明書5091を取得する(ステップ5403)。
The certificate validation server 4 1 of the
次に、上記証明書検証機能403によって、上記証明書5091が、上記クライアント端末52にとって、有効な証明書であるか否かを判定する(ステップ5404)。
Next, it is determined by the
ここで、上記証明書検証機能403の動作については、図4のステップ4402からステップ4409までの動作と同じであり、説明を省略する。
Here, the operation of the
上記判定によって、上記証明書5091が、上記クライアント端末52にとって、有効な証明書である、と判定された場合、当該証明書5091を含む依頼結果を作成し(ステップ5405)、上記クライアント端末52に送信する(ステップ5407)。一方、上記証明書5091が、上記クライアント端末52にとって、有効な証明書でない、と判定された場合には、「有効でない」旨を示す依頼結果を作成し(ステップ5406)として上記クライアント端末52に送信する(ステップ5407)。
By the determination, the
次に、上記証明書リポジトリ2の動作について説明する。 Next, the operation of the certificate repository 2 will be described.
上記証明書リポジトリ2の上記証明書DB管理機能202は、上記証明書検証サーバ41から、上記証明書5091を送信するように依頼を受ける(ステップ5201)と、上記証明書DB201から当該証明書5091を検索し(ステップ5202)、上記証明書検証サーバ4に当該証明書5091を送信する(ステップ5203)。
The certificate DB management function 202 of the certificate repository 2, from the certificate validation server 4 1 receives a request to send the certificate 509 1 (step 5201), the certificate from the certificate DB201 Find the book 509 1 (step 5202) and sends the
以上が、上記電子文書6に施された電子署名を検証するための上記証明書509が上記電子文書6に添付されない場合の、上記クライアント端末51から上記クライアント端末52に上記電子文書6を送信する際の、図1の電子署名付き電子文書交換システムの動作である。
Or, in the case where the
このように、本実施例の電子署名付き電子文書交換システムでは、上記認証局1が上記CRL7を発行する際に、上記CRL発行通知8を、上記CRL発行通知送信先リスト104にホスト名が記載された、上記証明書検証サーバ4に送信することで、上記CRL7を発行したことを上記証明書検証サーバ4に通知し、かつ、上記CRL発行通知8を受信した上記証明書検証サーバ4は、上記CRLリポジトリ3から上記CRL7を取得して、キャッシュするようにしている。
As described above, in the electronic document exchange system with an electronic signature according to the present embodiment, when the certificate authority 1 issues the
このため、上記認証局1が上記CRL7を緊急に発行したような場合でも、上記証明書検証サーバ4がキャッシュしているCRLは最新のものであるため、上記証明書509の有効性検証結果の精度を保証することができる。
For this reason, even when the certificate authority 1 issues the
また、本実施例の電子署名付き電子文書交換システムでは、上記CRL発行通知8を受信した上記証明書検証サーバ4は、上記CRL発行通知転送先リスト408にホスト名が記載されている、他の証明書検証サーバ4に、当該CRL発行通知8を転送するようにしている。 In the electronic document exchange system with an electronic signature of this embodiment, the certificate verification server 4 that has received the CRL issuance notification 8 has a host name described in the CRL issuance notification transfer destination list 408. The CRL issue notification 8 is transferred to the certificate verification server 4.
このため、新しく証明書検証サーバ4を追加するような場合でも、上記証明書検証サーバ4の上記CRL発行通知転送先リスト408に、新たな証明書検証サーバ4のホスト名を記載するだけで、上記CRL発行通知8を受信することができるようになり、上記認証局1側の設定を変更する必要はない。 Therefore, even when a new certificate verification server 4 is added, the host name of the new certificate verification server 4 is simply described in the CRL issuance notification transfer destination list 408 of the certificate verification server 4. The CRL issue notification 8 can be received, and there is no need to change the setting on the certificate authority 1 side.
また、本実施例の電子署名付き電子文書交換システムでは、上記証明書検証サーバ4が、他の証明書検証サーバ4から上記検証パスを受信した場合に、当該検証パスをキャッシュし、かつ、上記証明書検証サーバ4が新たに検証パスを構築した場合には、上記検証パス送信先リスト409にホスト名が記載されている、他の証明書検証サーバ4に、当該新たな検証パスを送信するようにしている。 Moreover, in the electronic document exchange system with an electronic signature of the present embodiment, when the certificate verification server 4 receives the verification path from another certificate verification server 4, the verification path is cached, and the above When the certificate verification server 4 newly constructs a verification path, the new verification path is transmitted to another certificate verification server 4 whose host name is described in the verification path transmission destination list 409. I am doing so.
このため、複数の上記証明書検証サーバ4の間で検証パスを共有することができるため、上記証明書リポジトリ2や上記CRLリポジトリ3へのアクセスが集中したり、ネットワークの負荷が増大することを防ぐことができる。 For this reason, since the verification path can be shared among the plurality of certificate verification servers 4, access to the certificate repository 2 and the CRL repository 3 is concentrated, and the load on the network increases. Can be prevented.
さらに、本実施例の電子署名付き電子文書交換システムでは、上記クライアント端末5が、上記証明書509の格納場所を示したURLを受信した場合に、上記証明書リポジトリ2にアクセスするのではなく、上記証明書検証サーバ4に上記証明書509の取得を依頼し、かつ、上記証明書検証サーバ4は、上記証明書リポジトリ2から取得した上記証明書509が、上記クライアント端末5にとって有効な証明書であった場合にのみ、上記証明書509を上記クライアント端末5に返信するようにしている。
Furthermore, in the electronic document exchange system with an electronic signature of the present embodiment, when the client terminal 5 receives a URL indicating the storage location of the
このため、上記クライアント端末5には、上記証明書リポジトリ2にアクセスする機能を実装する必要がない。 For this reason, the client terminal 5 does not need to be equipped with a function for accessing the certificate repository 2.
なお、本実施例では、上記CRL発行通知8には、「CRLが発行された旨」の通知のみが記載されているが、本発明はそれに限定されるものではない。 In the present embodiment, the CRL issue notification 8 includes only the notification that “CRL has been issued”, but the present invention is not limited to this.
例えば、上記CRL発行通知8には、新たに発行された上記CRL7自身が含まれていたり、あるいは、以前に発行されたCRL7と、新たに発行されたCRL7との、差分情報が含まれていたりしてもよい。さらには、新たに失効された証明書509の識別情報の一覧が含まれていてもよい。
For example, the CRL issue notification 8 includes the newly issued
上記CRL発行通知8に、新たに発行された上記CRL7自身や、以前に発行されたCRL7と新たに発行されたCRL7との差分情報や、新たに失効された証明書509の識別情報の一覧を含めることにより、当該CRL発行通知8を受信した上記証明書検証サーバ4は、上記CRLリポジトリ3にアクセスして新たに発行されたCRL7を取得する処理を省くことができる。
In the CRL issue notification 8, a list of the newly issued
また、本実施例では、上記CRL発行通知8の送信や、上記CRL発行通知依頼メッセージ10の受信は、上記認証局1が行うようにしているが、本発明はそれに限定されるものではない。例えば、上記CRL発行通知8の送信や、上記CRL発行通知依頼メッセージ10の受信を上記CRLリポジトリ3が行うようにしてもよい。 In the present embodiment, the certificate authority 1 transmits the CRL issue notification 8 and receives the CRL issue notification request message 10. However, the present invention is not limited to this. For example, the CRL repository 3 may transmit the CRL issue notification 8 and receive the CRL issue notification request message 10.
あるいは、CRLリポジトリ3に、上記CRL7の発行を監視し、新たなCRL7が発行されたことを確認した場合に上記CRL発行通知8を送信する機能を実現するCRL発行確認ソフトウェアを導入し、さらに当該CRL発行確認ソフトウェアは上記CRL発行通知依頼受信機能を実現し、上記CRL発行通知送信機能は、受信した上記CRL発行通知依頼メッセージの送信元に、上記CRL発行通知を送信するようにしてもよい。
Alternatively, the CRL repository 3 is installed with CRL issuance confirmation software that implements a function of monitoring the issuance of the
上記CRL発行確認ソフトウェアを利用することで、上記CRL発行通知送信機能を持たない上記認証局1や上記CRLリポジトリ3をも利用することが可能になる。さらに、上記CRL発行通知依頼受信機能が上記CRL発行通知の送信先を管理すれば、上記CRLリポジトリの運営者と上記証明書検証サーバの運営者とが異なっても上記証明書検証サーバの数を柔軟に変更することができる。 By using the CRL issue confirmation software, it is possible to use the certificate authority 1 and the CRL repository 3 that do not have the CRL issue notification transmission function. Furthermore, if the CRL issuance notification request receiving function manages the transmission destination of the CRL issuance notification, the number of the certificate verification servers can be set even if the operator of the CRL repository is different from the operator of the certificate verification server. It can be changed flexibly.
本実施例によれば、上記CRL発行通知は上記認証局が上記CRLを発行した時に当該認証局から上記証明書検証サーバに対して行われるだけであるので、一定時間毎に上記CRLが発行されているかどうかを確認する必要がなく、ネットワーク0にかかる負荷が小さくて済む。 According to the present embodiment, the CRL issuance notification is only issued from the certification authority to the certificate verification server when the certification authority issues the CRL. Therefore, the CRL is issued at regular intervals. It is not necessary to check whether the network 0 is present, and the load on the network 0 can be reduced.
また、上記CRL発行通知8は上記認証局1によって行われるため、上記CRLリポジトリ3と、上記証明書検証サーバ4の運営者が異なる場合でも、高い精度の証明書有効性検証を行うことができる。 Further, since the CRL issuance notification 8 is performed by the certificate authority 1, even when the operators of the CRL repository 3 and the certificate verification server 4 are different, highly accurate certificate validity verification can be performed. .
さらに、上記証明書検証サーバ4は、上記CRL発行通知依頼メッセージ10を送信することにより上記CRL発行通知8の送信を依頼することができるため、上記CRLリポジトリ3の運営者と上記証明書検証サーバ4の運営者とが異なっても上記証明書検証サーバ4の数を柔軟に変更することができる。 Further, since the certificate verification server 4 can request the transmission of the CRL issue notification 8 by transmitting the CRL issue notification request message 10, the operator of the CRL repository 3 and the certificate verification server can be requested. The number of certificate verification servers 4 can be flexibly changed even if the number of operators is different.
さらに、上記証明書検証サーバが新たなCRLが発行されたことを発見した場合、当該証明書検証サーバが他の証明書検証サーバに新たな上記CRLが発行されたことを通知する。 Further, when the certificate verification server finds that a new CRL has been issued, the certificate verification server notifies the other certificate verification server that the new CRL has been issued.
送信する上記証明書検証サーバを変更したい場合には、当該証明書検証サーバの設定を変更すればよいため、上記CRLリポジトリの運営者と上記証明書検証サーバの運営者とが異なっても上記証明書検証サーバの数を柔軟に変更することができる。 If you want to change the certificate verification server to be sent, you need to change the settings of the certificate verification server. Therefore, even if the CRL repository operator and the certificate verification server operator are different, the certificate The number of certificate verification servers can be flexibly changed.
さらに、上記証明書検証サーバが、検証パスを新たに構築した場合、当該検証パスを他の証明書検証サーバにも転送し、検証パスを共有するため、特定の上記CRLリポジトリや上記証明書リポジトリへのアクセスの集中や、ネットワーク負荷を抑えることができる。 Further, when the certificate verification server newly builds a verification path, the verification path is transferred to other certificate verification servers and the verification path is shared, so that the specific CRL repository or the certificate repository is shared. Access concentration and network load can be reduced.
また、上記証明書を別途入手する方法を利用した場合にも、上記クライアントは、上記証明書リポジトリにアクセスして上記証明書を取得するのではなく、上記証明書検証サーバに、上記証明書を取得し、かつ、当該証明書の有効性を検証するように依頼するため、クライアントに、上記証明書リポジトリにアクセスして上記証明書を取得する機能を実装する必要がない。 In addition, when using a method of separately obtaining the certificate, the client does not access the certificate repository to obtain the certificate, but instead obtains the certificate from the certificate verification server. Since it is requested to acquire and verify the validity of the certificate, it is not necessary for the client to implement a function for accessing the certificate repository and acquiring the certificate.
0・・・ネットワーク、1、11〜19・・・認証局、2・・・証明書リポジトリ、3・・・CRLリポジトリ、4、41〜4n・・・証明書検証サーバ、5、51〜5m・・・クライアント端末、6・・・電子文書、7・・・CRL、8・・・CRL発行通知、9・・・相互認証証明書、10・・・CRL発行通知依頼メッセージ、91・・・CPU、92・・・メモリ、93・・・外部記憶装置、94・・・読取装置、95・・・通信装置、96・・・入力装置、97・・・出力装置、98・・・インターフェース、99・・・記憶媒体、104・・・CRL発行通知送信先リスト、408・・・CRL発行通知転送先リスト、409・・・検証パス送信先リスト、508、5081〜508m・・・秘密鍵、509、5091〜509m・・・証明書。 0 ... Network, 1, 1 1 to 1 9 ... Certificate Authority, 2 ... Certificate Repository, 3 ... CRL Repository, 4, 4 1 -4 n ... Certificate Verification Server, 5 5 1 to 5 m: Client terminal, 6: Electronic document, 7: CRL, 8: CRL issuance notification, 9: Mutual authentication certificate, 10: CRL issuance notification request Message, 91 ... CPU, 92 ... Memory, 93 ... External storage device, 94 ... Reading device, 95 ... Communication device, 96 ... Input device, 97 ... Output device, 98 ... Interface, 99 ... Storage medium, 104 ... CRL issuance notification transmission destination list, 408 ... CRL issuance notification transfer destination list, 409 ... Verification path transmission destination list, 508, 508 1- 508 m: secret key, 509, 509 1 ~ 509 m ... Certificate.
Claims (9)
CRLリポジトリ装置からCRLを取得するCRL管理手段と,
当該CRLをキャッシュするCRLキャッシュ手段と,
「新たにCRLが発行された」旨を通知するCRL発行通知を,他の装置から受信する
CRL発行通知受信手段と,を備え,
前記CRL管理手段は,前記CRL発行通知受信手段が前記CRL発行通知の受信を契
機として,新たに発行された前記CRLをCRLリポジトリ装置から取得する
ことを特徴とする証明書検証サーバ装置。 A certificate validity verification means for verifying the validity of the certificate;
CRL management means for obtaining a CRL from the CRL repository device;
CRL caching means for caching the CRL;
CRL issue notification receiving means for receiving a CRL issue notification for notifying that "a new CRL has been issued" from another device, and
The certificate verification server device, wherein the CRL management unit acquires the newly issued CRL from the CRL repository device when the CRL issue notification reception unit receives the CRL issue notification.
前記CRLの発行を監視し,新たな前記CRLが発行されたことの検知を契機として,
予め登録された他の装置に,前記CRL発行通知を送信するCRL発行通知送信手段を備
える
ことを特徴とする証明書検証サーバ装置。 The certificate verification server device according to claim 1,
Monitoring the issuance of the CRL, triggered by the detection that a new CRL has been issued,
A certificate verification server apparatus comprising: a CRL issuance notification transmission unit configured to transmit the CRL issuance notification to another apparatus registered in advance.
前記他の装置に対して前記CRL発行通知を送信するように依頼する,CRL発行通知
依頼メッセージを作成する,CRL発行通知依頼作成手段を備える
ことを特徴とする証明書検証サーバ装置。 The certificate verification server device according to claim 1 or 2,
A certificate verification server apparatus, comprising: a CRL issuance notification request creating unit that requests the other apparatus to transmit the CRL issuance notification, creates a CRL issuance notification request message.
他の装置から前記CRL発行通知依頼メッセージを受信して該他の装置をCRL発行通
知転送先リストに追加する,CRL発行通知依頼受信手段と,
前記CRL発行通知の受信を契機として,前記CRL発行通知転送先リストに記載され
ている装置に前記CRL発行通知を転送する,CRL発行通知管理手段と,を備える
ことを特徴とする証明書検証サーバ装置。 The certificate verification server device according to claim 3,
CRL issue notification request receiving means for receiving the CRL issue notification request message from another device and adding the other device to the CRL issue notification transfer destination list;
CRL issue notification management means for transferring the CRL issue notification to a device described in the CRL issue notification transfer destination list upon receipt of the CRL issue notification. apparatus.
当該証明書有効性検証手段が前記証明書の有効性を検証するために構築した検証パスを
キャッシュする検証パスキャッシュ手段と,
新たに構築した検証パスを転送する装置を記載した検証パス送信先リストと,
前記検証パスの構築を契機として,前記検証パス送信先リストに記載されている装置に
当該検証パスを送信する検証パス送信手段と,を備え,
前記検証パスキャッシュ手段は,他の装置から前記検証パスを受信した場合に,当該検
証パスをキャッシュする
ことを特徴とする証明書検証サーバ装置。 A certificate validity verification means for verifying the validity of the certificate;
Verification path cache means for caching the verification path constructed by the certificate validity verification means for verifying the validity of the certificate;
A verification path destination list that describes devices that transfer the newly constructed verification path;
A verification path transmitting means for transmitting the verification path to a device described in the verification path transmission destination list when the verification path is constructed,
The certificate verification server apparatus, wherein the verification path cache means caches the verification path when the verification path is received from another apparatus.
って,
「CRLが発行された」旨を通知するCRL発行通知を送信する装置の一覧であるCR
L発行通知送信先リストを管理し,
前記CRL格納手段が,新たなCRLの格納を契機として,CRL発行通知を前記CR
L発行通知送信先リストに記載されている装置に対して送信するCRL発行通知送信手段
を備える
ことを特徴とするCRLリポジトリ装置。 A CRL repository apparatus having a CRL storage means for storing a CRL issued by a certificate authority,
CR that is a list of devices that transmit a CRL issuance notification notifying that “CRL has been issued”
Manage L issue notification destination list,
The CRL storage means sends a CRL issuance notification when the new CRL is stored.
A CRL repository apparatus comprising: CRL issuance notification transmission means for transmitting to an apparatus described in the L issuance notification transmission destination list.
CRL発行通知依頼メッセージを受信する,CRL発行通知依頼受信手段を備え,
CRL発行通知依頼受信手段は,CRL発行通知依頼メッセージを受信した場合に,当
該CRL発行通知依頼メッセージの送信元を前記CRL発行通知送信先リストに追加する
ことを特徴とするCRLリポジトリ装置。 The CRL repository apparatus according to claim 6 , wherein
A CRL issuance notification request receiving means for receiving a CRL issuance notification request message;
The CRL issuance notification request receiving means, when receiving a CRL issuance notification request message, adds a transmission source of the CRL issuance notification request message to the CRL issuance notification transmission destination list.
証明書検証サーバ装置に証明書の有効性検証を依頼する証明書有効性検証依頼手段と,
前記電子署名を検証するために必要な前記証明書の取得を,証明書リポジトリに格納さ
れた当該証明書を取得するための情報を前記証明書検証サーバ装置に送信することで,前
記証明書検証サーバ装置に依頼する証明書取得依頼手段と,を備える
ことを特徴とするクライアント装置。 An electronic signature verification means for verifying the electronic signature;
A certificate validity verification requesting means for requesting the certificate verification server device to verify the validity of the certificate;
Obtaining the certificate necessary for verifying the electronic signature and transmitting the information for obtaining the certificate stored in a certificate repository to the certificate verification server device, thereby verifying the certificate. And a certificate acquisition requesting means for requesting the server device.
CRLの発行を監視し,
「CRLが発行された」旨を通知するCRL発行通知を送信する装置の一覧であるCR
L発行通知送信先リストを管理し,
新たなCRLが発行されたことの検知を契機として,前記CRL発行通知を前記CRL
発行通知送信先リストに記載されている装置に送信するCRL発行通知送信手段と,
CRL発行通知依頼メッセージを受信し,当該CRL発行通知依頼メッセージの送信元
を前記CRL発行通知送信先リストに追加する,CRL発行通知依頼受信手段と,を実現さ
せる
ことを特徴とするCRL発行確認ソフトウェア。 In the computer,
Monitor CRL issuance,
CR that is a list of devices that transmit a CRL issuance notification notifying that “CRL has been issued”
Manage L issue notification destination list,
Triggered by the detection that a new CRL has been issued, the CRL issue notification is sent to the CRL
CRL issuance notification transmission means for transmitting to the device described in the issuance notification transmission destination list;
CRL issue notification request receiving means for receiving a CRL issue notification request message and adding a transmission source of the CRL issue notification request message to the CRL issue notification transmission destination list. .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006070161A JP4582030B2 (en) | 2002-06-12 | 2006-03-15 | Authentication infrastructure system with CRL issue notification function |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002170798 | 2002-06-12 | ||
JP2006070161A JP4582030B2 (en) | 2002-06-12 | 2006-03-15 | Authentication infrastructure system with CRL issue notification function |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003128549A Division JP4474845B2 (en) | 2002-06-12 | 2003-05-07 | Authentication infrastructure system with CRL issue notification function |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006174518A JP2006174518A (en) | 2006-06-29 |
JP4582030B2 true JP4582030B2 (en) | 2010-11-17 |
Family
ID=36674664
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006070161A Expired - Fee Related JP4582030B2 (en) | 2002-06-12 | 2006-03-15 | Authentication infrastructure system with CRL issue notification function |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4582030B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5329184B2 (en) * | 2008-11-12 | 2013-10-30 | 株式会社日立製作所 | Public key certificate verification method and verification server |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001077809A (en) * | 1999-09-06 | 2001-03-23 | Nec Software Chugoku Ltd | Electronic certificate management device, method and recording medium |
JP2001117880A (en) * | 1999-10-15 | 2001-04-27 | Ntt Communications Kk | Method and device for fetching contents |
JP2002072876A (en) * | 2000-08-30 | 2002-03-12 | Hitachi Ltd | Method and device for confirming validity of certificate |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10282883A (en) * | 1997-04-08 | 1998-10-23 | Oki Electric Ind Co Ltd | Method for distributing ineffective digital certificate list |
-
2006
- 2006-03-15 JP JP2006070161A patent/JP4582030B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001077809A (en) * | 1999-09-06 | 2001-03-23 | Nec Software Chugoku Ltd | Electronic certificate management device, method and recording medium |
JP2001117880A (en) * | 1999-10-15 | 2001-04-27 | Ntt Communications Kk | Method and device for fetching contents |
JP2002072876A (en) * | 2000-08-30 | 2002-03-12 | Hitachi Ltd | Method and device for confirming validity of certificate |
Also Published As
Publication number | Publication date |
---|---|
JP2006174518A (en) | 2006-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4474845B2 (en) | Authentication infrastructure system with CRL issue notification function | |
US8380985B2 (en) | Certificate validation method and certificate validation server and storage medium | |
TWI252662B (en) | Method and apparatus for accelerating public-key certificate validation | |
EP2187590B1 (en) | Method of validation public key certificate and validation server | |
JP3588042B2 (en) | Certificate validity checking method and device | |
US8195933B2 (en) | Method and system for computing digital certificate trust paths using transitive closures | |
JP5576985B2 (en) | Method for determining cryptographic algorithm used for signature, verification server, and program | |
JP5215289B2 (en) | Method, apparatus and system for distributed delegation and verification | |
US20030037234A1 (en) | Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster | |
WO2019142428A1 (en) | Information processing device and processing method for same | |
JP5785875B2 (en) | Public key certificate verification method, verification server, relay server, and program | |
JP5743946B2 (en) | Service providing apparatus, joint signature verification apparatus, user identification / authentication method and program | |
JP2006229735A (en) | Information processing apparatus and system | |
JP4582030B2 (en) | Authentication infrastructure system with CRL issue notification function | |
JP5018849B2 (en) | Authentication infrastructure system with CRL issue notification function | |
JP5899351B2 (en) | Certificate authority apparatus, certificate update apparatus, and certificate management method | |
JP2013225938A (en) | Verification method of public key certificate and verification server | |
CN111010404A (en) | Data transmission method, data transmission equipment and computer readable storage medium | |
CN116561820B (en) | Trusted data processing method and related device | |
JP2006287455A (en) | Certificate verification device and method, and certificate verification server | |
JP2003058050A (en) | Verification processing method, and its implementation system and its processing system | |
JP2012209689A (en) | Authentication system, authentication apparatus, certificate authority, authentication method and program | |
JP2011101083A (en) | Signature device, verification device, signature generation/signature verification system, signature generation/signature verification method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060427 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060427 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090916 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100406 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100625 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100713 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100803 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100816 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |