JP2002072876A - 証明書の有効性確認方法および装置 - Google Patents

証明書の有効性確認方法および装置

Info

Publication number
JP2002072876A
JP2002072876A JP2000261065A JP2000261065A JP2002072876A JP 2002072876 A JP2002072876 A JP 2002072876A JP 2000261065 A JP2000261065 A JP 2000261065A JP 2000261065 A JP2000261065 A JP 2000261065A JP 2002072876 A JP2002072876 A JP 2002072876A
Authority
JP
Japan
Prior art keywords
certificate
path
public key
authority
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000261065A
Other languages
English (en)
Other versions
JP3588042B2 (ja
JP2002072876A5 (ja
Inventor
Takahiro Fujishiro
孝宏 藤城
Satoru Tezuka
悟 手塚
Yoko Kumagai
洋子 熊谷
Tomoharu Morio
智治 森尾
Yutaka Miyazaki
豊 宮崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2000261065A priority Critical patent/JP3588042B2/ja
Priority to DE60107634T priority patent/DE60107634T2/de
Priority to KR10-2001-0052476A priority patent/KR100433439B1/ko
Priority to EP01120564A priority patent/EP1185027B1/en
Priority to SG200105266A priority patent/SG100752A1/en
Priority to MYPI20014081 priority patent/MY127188A/en
Priority to CA002356410A priority patent/CA2356410C/en
Priority to US09/941,771 priority patent/US7080251B2/en
Publication of JP2002072876A publication Critical patent/JP2002072876A/ja
Application granted granted Critical
Publication of JP3588042B2 publication Critical patent/JP3588042B2/ja
Publication of JP2002072876A5 publication Critical patent/JP2002072876A5/ja
Priority to US11/452,299 priority patent/US7409551B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】公開鍵証明書の有効性確認を依頼してから、当
該有効性が確認されるまでにかかる時間を短縮する。 【解決手段】証明書有効性確認センタVCは、ブリッジ
認証局CAbridgeから各端末認証局CAまでのパスの検
索、検証を定期的に行い、検証が成立したパスを端末収
容認証局に対応付けてパスDBに登録する。また、エン
ドエンティティEEから証明書の有効性確認依頼があっ
た場合、当該エンドエンティティEEを収容する端末収
容認証局CAに対応付けられたパスと依頼対象証明書を
発行した端末収容認証局CAに対応付けられたパスとが
パスDBに登録されているか否かを調べ、両者が登録さ
れている場合にのみ、当該証明書は有効であると判断す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、PKI(Public K
ey Infrastructure)において、ある端末が受け取った
電子手続に対する署名を検証するための公開鍵証明書
が、当該端末が信頼する認証局とは異なる認証局が発行
したものである場合に、その有効性を確認するのに好適
な技術に関する。
【0002】
【従来の技術】民間系、公共系の様々な組織、団体にお
いて、従来、紙面で行ってきた様々な手続を電子化する
べく、PKI(Public Key Infrastructure)の導入、
整備が進んでいる。
【0003】図12は、従来のPKIにおいて、認証局
が複数ある場合における各認証局の関係を示している。
【0004】図示するように、公開鍵証明書の発行とそ
の管理を行う各認証局は、ルート認証局CA1を頂点と
するツリー構造を持つグループを形成している。このグ
レープはセキュリティドメインと呼ばれている。ルート
認証局CA1は、自身より1つ下流側に位置する各認証
局CA21〜CA2nに対して公開鍵証明書を発行する。
また、認証局CA21〜CA2n1各々は、自身より1つ
下流側に位置する各認証局CA31〜CA3n2に対して
公開鍵証明書を発行する。このように、ツリー上、1つ
上流側に位置する認証局が自身より1つ下流側に位置す
る認証局に対して公開鍵証明書を発行する。そして、ツ
リー上、最下流に位置する認証局(以下、端末収容認証
局と呼ぶ)CAS1〜CASnmは、電子手続を行うユー
ザ端末(以下、エンドエンティティと呼ぶ)EE1〜E
xに対して公開鍵証明書を発行する。
【0005】エンドエンティティEE1〜EEx各々が電
子文書の署名に使用する秘密鍵(署名鍵)の正当性は、
自身を収容する端末収容認証局CAS1〜CASnmが発
行した公開鍵証明書によって証明され、端末収容認証局
CAS1〜CASnm各々が発行する公開鍵証明書の署名
に使用する秘密鍵の正当性は、自身を収容する認証局C
A(S-1)1〜CA(S-1)n(m -1 )が発行した公開鍵
証明書によって証明される。したがって、エンドエンテ
ィティEE1〜EEx各々が署名に使用する秘密鍵は、最
終的に、ルート認証局CA1が発行する公開鍵証明書に
よって証明されることになる。このエンドエンティティ
EE1〜EExが署名に使用する鍵の正当性を最終的に証
明する認証局、云いかえれば、エンドエンティティEE
1〜EExが信頼する、ツリー上、最上流側の認証局をト
ラストアンカーと呼ぶ。
【0006】さて、図12において、エンドエンティテ
ィEE1は、エンドエンティティEExに送信すべき申請
書等の電子文書に対して、エンドエンティティEE1
保持する自身の秘密鍵で署名を行う。そして、署名した
電子文書に、エンドエンティティEE1を収容する端末
収容認証局CAS1が発行した前記秘密鍵と対の公開鍵
証明書を添付して、エンドエンティティEExに送信す
る。
【0007】エンドエンティティEExは、エンドエン
ティティEE1より受け取った電子文書の署名を、当該
電子文書に添付された公開鍵証明書を用いて検証するこ
とができる。しかし、公開鍵証明書はエンドエンティテ
ィEExを収容する端末収容認証局CASnmが発行した
ものではないので、エンドエンティティEExは、当該
公開鍵証明書を直ちに信頼することはできない。この場
合、エンドエンティティEExは、自身のトラストアン
カーであるルート認証局CA1によって当該公開鍵証明
書の有効性が証明されるものであることを確認しなけれ
ばならない。この公開鍵証明書の有効性確認処理は、以
下の手順によって行われる。
【0008】トラストアンカーから公開鍵証明書の発
行元認証局までのパスの検索 トラストアンカー(ここでは、ルート認証局CA1)を
起点認証局とし、起点認証局が発行した公開鍵証明書の
発行先を調べ、当該発行先に認証局が含まれる場合は当
該認証局が発行した公開鍵証明書の発行先をさらに調べ
る処理を、当該公開鍵証明書の発行先に、公開鍵証明書
の発行元認証局(ここでは、エンドエンティティEE1
を収容する端末収容認証局CAS1)が含まれるまで続
け、トラストアンカーから公開鍵証明書の発行元認証局
までのパスを検索する。
【0009】検出したパスの検証 上記により検出したパス上の各認証局から、パス上に
おいて当該認証局の1つ下流側の認証局に対して発行し
た公開鍵証明書を入手する。そして、有効性確認対象の
公開鍵証明書(ここでは、端末収容認証局CAS1がエ
ンドエンティティEE1に対して発行した公開鍵証明
書)の署名を、当該公開鍵証明書を発行した認証局(こ
こでは、端末収容認証局CAS1)より1つ上流側の認
証局が発行した公開鍵証明書で検証し、検証が成立した
場合は、当該1つ上流側の認証局が発行した公開鍵証明
書の署名をさらに1つ上流側の認証局が発行した公開鍵
証明書で検証する処理を、当該1つ上流側の認証局がト
ラストアンカーとなるまで続ける。そして、このような
公開鍵証明書の署名検証がトラストアンカーまで成立し
た場合に、有効性確認対象の公開鍵証明書の有効性が確
認されたものとする。
【0010】エンドエンティティEExは、エンドエン
ティティEE1より受け取った電子文書の署名を当該電
子文書に添付された公開鍵証明書を用いて検証すると共
に、上記の、に示す手順に従い当該電子文書の署名
検証に用いた公開鍵証明書の有効性を確認することによ
り、当該電子文書の正当性を確認することができる。
【0011】なお、以上では、公開鍵証明書の有効性確
認処理をエンドエンティティで行うことを前提としてい
る。しかし、公開鍵証明書の有効性確認処理は負荷が重
く、これをエンドエンティティで行うためには、当該エ
ンドエンティティに高い処理能力が要求される。そこ
で、ネットワークを介してエンドエンティティに接続さ
れた証明書の有効性確認サーバを設け、当該サーバに、
当該エンドエンティティの代わりに公開鍵証明書の有効
性確認を行わせることがIETFにより提案されてい
る。
【0012】
【発明が解決しようとする課題】ところで、従来提案さ
れている証明書の有効性確認サーバは、エンドエンティ
ティから依頼を受ける都度、上記の、に示す手順を
実行して公開鍵証明書の有効性を確認している。このた
め、エンドエンティティが公開鍵証明書の有効性確認を
依頼をしてからその結果がわかるまでに、少なくとも、
上記の、に示す手順を実行するための時間がかかっ
てしまう。
【0013】なお、図12では、セキュリティドメイン
が1つであることを前提にしているが、上述したよう
に、民間系、公共系の様々な組織、団体においてPKI
の導入、整備が行われており、その結果、複数のセキュ
リティドメインが並存することが予想される。これらの
異なるセキュリティドメイン間においても、各セキュリ
ティドメインのルート認証局同士で、互いに相手の公開
鍵証明書を発行するなどして相互認証を行ったり、ある
いは、各セキュリティドメインのルート認証局各々との
間でこのような相互認証を行ったブリッジ認証局を設置
することにより、上記の、にその手順を示した公開
鍵証明書の有効性確認処理を実現することができる。し
かしこのように、複数のセキュリティドメイン間で公開
鍵証明書の有効性確認処理を行うと、認証局数が増大
し、また、各認証局の関係も、図12に示すような単純
なツリー構造ではなく、より複雑化するため、上記の
、に示す手順を実行するための負荷が増大する。こ
のため、エンドエンティティが公開鍵証明書の有効性確
認を依頼をしてからその結果がわかるまでにかかる時間
がさらに長くなり、サービスの低下を招いてしまう。
【0014】本発明は、上記事情に鑑みてなされたもの
であり、本発明の目的は、公開鍵証明書の有効性確認を
依頼してから、当該有効性が確認されるまでにかかる時
間を短くすることにある。
【0015】
【課題を解決するための手段】上記課題を解決するため
に、本発明では、ネットワークを介して、複数の端末
(エンドエンティティ)や認証局に接続された証明書の
有効性確認サーバにおいて、ある端末からの依頼に応じ
て、当該端末が信頼する認証局とは異なる認証局が発行
した公開鍵証明書の有効性を確認するために以下の処理
を行う。
【0016】すなわち、任意の認証局を起点認証局と
し、当該起点認証局が発行した公開鍵証明書の発行先を
調べ、当該発行先に認証局が含まれる場合は当該認証局
が発行した公開鍵証明書の発行先をさらに調べる処理
を、当該公開鍵証明書の発行先が全て端末となるまで続
けることにより、前記起点認証局から任意の端末に対し
て公開鍵証明書を発行した端末収容認証局までのパスを
検索するパス検索ステップと、前記パス検索ステップに
より検出されたパスについて、前記起点認証局を上流と
し、当該パス上の端末収容認証局が発行した公開鍵証明
書の署名を1つ上流側の認証局が発行した公開鍵証明書
で検証し、検証が成立した場合は当該1つ上流側の認証
局が発行した公開鍵証明書の署名をさらに1つ上流側の
認証局が発行した公開鍵証明書で検証する処理を、当該
1つ上流側の認証局が前記起点認証局となるまで続ける
ことにより、当該パスを検証するパス検証ステップと、
前記パス検証ステップにより検証が成立したパスをデー
タベースに登録するパス登録ステップとを、端末からの
公開鍵証明書の有効性確認依頼とは無関係に、例えば定
期的に行う。
【0017】そして、ある端末から、当該端末が信頼す
る認証局とは異なる端末収容認証局が発行した公開鍵証
明書の有効性確認依頼があった場合に、前記端末が信頼
する認証局と前記起点認証局との間のパス、および、前
記異なる端末収容認証局と前記起点認証局との間のパス
が、前記データベースに登録されているか否かを調べる
ことで、前記公開鍵証明書の有効性を確認する。
【0018】本発明によれば、ある端末から公開鍵証明
書の有効性確認依頼を受けた場合に、それから、上記の
、に示した、当該端末のトラストアンカーから当該
公開鍵証明書の発行元認証局までのパスの検索、およ
び、検出したパスの検証を行う必要がない。したがっ
て、公開鍵証明書の有効性確認を依頼してから、当該有
効性が確認されるまでにかかる時間を短縮できる。
【0019】
【発明の実施の形態】以下に、本発明の一実施形態につ
いて説明する。
【0020】図1は、本発明の一実施形態が適用された
PKIシステムの概略構成を示す図である。
【0021】図示するように、本実施形態のPKIシス
テムは、電子手続を行うユーザ端末あるいはユーザ端末
からの依頼を受けて電子手続を代行する受付サーバであ
る複数のエンドエンティティEEと、公開鍵証明書の発
行とその管理を行う複数の認証局CAと、エンドエンテ
ィティEEからの依頼に応じ公開鍵証明書の有効性の確
認を行う証明書有効性確認センタVCとが、LAN、W
ANおよびこれらを繋ぐインターネット等により構成さ
れたネットワークNETを介して、互いに接続されて構
成される。
【0022】図2は、図1に示すPKIシステムでの各
認証局CAの関係の一例を示す図である。
【0023】図示するように、本実施形態のPKIシス
テムでは、民間系、政府系といった複数のセキュリティ
ドメインSD(SD1〜SD3)が並存していることを前
提としている。そして、そのうちの幾つかのセキュリテ
ィドメインSD(図2ではSD2、SD3)は、ルート認
証局CA(図2ではCA21、CA31)同士で、例えば互
いに公開鍵証明書を発行し合うことにより相互認証を行
っているものとする。また、各セキュリティドメインS
Dのルート認証局CA(図2ではCA11、CA 21、CA
31)は、例えば、ブリッジ認証局CAbridgeに対して公
開鍵証明書を発行すると共に、ブリッジ認証局CA
bridgeから公開鍵証明書を発行してもらうことにより、
ブリッジ認証局CAbridgeとの間で相互認証を行ってい
るものとする。このようにすることで、あるセキュリテ
ィドメインSDに属する認証局CAと他のセキュリティ
ドメインSDに属する認証局CAとの間に、一方の認証
局CAが発行した公開鍵証明書の有効性を、他方の認証
局CAにて確認できるようにするためのパスが形成され
る。
【0024】次に、上記のPKIシステムを構成するエ
ンドエンティティEE、認証局CAおよび証明書有効性
確認センタVCについて説明する。
【0025】まず、エンドエンティティEEについて説
明する。
【0026】図3は、エンドエンティティEEの概略構
成を示す図である。
【0027】図示するように、エンドエンティティEE
は、処理部10aと、記憶部10bと、ネットワークN
ETを介して他装置と通信を行うための通信部16と、
ユーザが作成した電子文書や他のエンドエンティティE
Eあるいはユーザ端末から受け取った電子文書の入出力
やユーザよりの指示の受付けを行う入出力部17と、を
有する。
【0028】処理部10aは、署名生成部14と、署名
検証部15と、エンドエンティティEEの各部を統括的
に制御する制御部18と、を有する。
【0029】記憶部10bは、ユーザが作成した(エン
ドエンティティEEが受付サーバの場合はユーザ端末か
ら受け取った)電子文書を保持する電子文書保持部11
と、秘密鍵(署名鍵)とこれに対の公開鍵証明書とを保
持する鍵保持部12と、他のエンドエンティティEEか
ら受け取った署名付きの電子文書と公開鍵証明書を保持
する検証対象保持部13と、を有する。
【0030】このような構成において、制御部18は、
入出力部17を介してユーザから、電子文書保持部11
に保持してある電子文書を他のエンドエンティティEE
に送信すべき旨の指示を受け付けると、当該電子文書を
電子文書保持部11から読み出し、これを署名生成部1
4に渡す。これを受けて、署名生成部14は、鍵保持部
12に保持されている秘密鍵を用いて当該電子文書に対
する署名を生成する。それから、制御部18は、電子文
書保持部11から読み出した電子文書に署名生成部14
で生成された署名を付して、署名付き電子文書を作成す
る。そして、作成した署名付き電子文書に鍵保持部12
に保持されている公開鍵証明書を添付して、通信部16
を介して、ユーザより指示された送信先のエンドエンテ
ィティEEのアドレスへ送信する。
【0031】また、制御部18は、通信部16を介し
て、他のエンドエンティティEEから署名付き電子文書
と公開鍵証明書を受け取ると、これらを検証対象保持部
13に保持させると共に、その旨を署名検証部15に通
知する。これを受けて、署名検証部15は、検証対象保
持部13に保持されている署名付き電子文書の署名を、
当該電子文書と共に受け取った公開鍵証明書を用いて検
証する。そして、検証が成立した場合にのみ、署名付き
電子文書を正当なものとして扱い、必要に応じて入出力
部17から出力する。
【0032】ただし、上記の署名検証が成立した場合で
も、当該署名検証に用いた公開鍵証明書が、自エンドエ
ンティティEEを収容する(つまり、自エンドエンティ
ティEEに対して公開鍵証明書を発行した)端末収容認
証局CA以外の端末収容認証局CAの場合は、証明書有
効性確認センタVCに、上記の署名検証に用いた公開鍵
証明書の有効性の確認依頼を送信する。この際、必要に
応じて、前記署名付き電子文書により行おうとしている
電子手続の取引額等で示した信頼度(ポリシー)を、前
記確認依頼に含める。そして、証明書有効性確認センタ
VCにて、当該公開鍵証明書の有効性が確認された場合
にのみ、署名付き電子文書を正当なものとして扱い、必
要に応じて入出力部17から出力する。
【0033】次に、認証局CAについて説明する。
【0034】図4は、認証局CAの概略構成を示す図で
ある。
【0035】図示するように、認証局CAは、処理部2
0aと、記憶部20bと、ネットワークNETを介して
他装置と通信を行うための通信部26と、公開鍵証明書
等の入出力やユーザよりの指示の受付けを行う入出力部
27と、を有する。
【0036】処理部20aは、公開鍵証明書を発行する
発行部21と、発行部21が発行した公開鍵証明書の管
理を行う管理部22と、認証局CAの各部を統括的に制
御する制御部28と、を有する。
【0037】記憶部20bは、発行部21が発行した公
開鍵証明書を保持する公開鍵証明書データベース23
と、公開鍵証明書データベース23に保持されている各
公開鍵証明書の発行先が記述された発行先管理リストを
保持する発行先管理リスト保持部24と、失効証明書リ
スト保持部25と、を有する。
【0038】このような構成において、制御部28は、
入出力部27あるいは通信部26を介して、公開鍵証明
書の発行依頼を受け付けると、その旨を発行部21に伝
える。これを受けて、発行部21は、発行依頼主が署名
生成に用いる秘密鍵(署名鍵)とこれに対の公開鍵証明
書を作成する。この際、自認証局CAの秘密鍵で公開鍵
証明書に署名をする。また、必要に応じて、公開鍵証明
書中に、当該公開鍵証明書の有効期限や、信頼しない他
の認証局の名称(Name Constrains)や、当該公開鍵証
明書の有効性確認のために許容される最大パス長(パス
上の許容最大認証局数)や、電子手続の取引額等で表し
た当該公開鍵証明書と対の秘密鍵による署名の信頼度
(ポリシー)を記述する。そして、作成した公開鍵証明
書と秘密鍵を、入出力部27あるいは通信部26を介し
て、郵送あるいは通信により、発行依頼主に渡す。ま
た、この公開鍵証明書を公開鍵証明書データベース23
に登録すると共に、その発行先(つまり発行依頼主)の
情報を、発行先管理リスト保持部24に保持されている
発行先管理リストに記述する。
【0039】また、制御部28は、入出力部27あるい
は通信部26を介して、公開鍵証明書の失効依頼を受け
付けると、その旨を管理部22に伝える。これを受け
て、管理部22は、失効対象の公開鍵証明書を公開鍵証
明書データベース23から削除すると共に、当該公開鍵
証明書の発行先の情報を、発行先管理リスト保持部24
に保持されている発行先管理リストから削除する。そし
て、管理部22は、失効依頼により公開鍵証明書データ
ベース23から削除した公開鍵証明書に関する情報が記
述された失効証明書リスト(一般に、CRL(Certific
ation RevocationList)、ARL(Authority Revocati
on List)と呼ばれている)を、定期的に作成し、これ
を失効証明書リスト保持部25に保持させる。なお、管
理部22は、作成した失効証明書リストに、次回の失効
証明書リストの作成予定日時を記述するものとする。
【0040】また、制御部28は、通信部26を介し
て、他装置より公開鍵証明書の失効情報の問い合わせを
受け取ると、失効証明書リスト保持部25に保持されて
いる失効証明書リストを検索して、問い合わせのあった
公開鍵証明書が失効しているか否かを調べる。そして、
その結果を、通信部26を介して、問い合わせをした他
装置に応答する(このような問い合わせと応答に用いる
通信プロトコルとして、OSCP(Online Certificati
on status protocol)がある)。
【0041】なお、管理部22は、公開鍵証明書データ
ベース23に格納されている各公開鍵証明書の有効期限
を調査し、有効期限を過ぎている公開鍵証明書を公開鍵
証明書データベース23から削除すると共に、当該公開
鍵証明書の発行先の情報を、発行先管理リスト保持部2
4に保持されている発行先管理リストから削除する処理
も行う。
【0042】次に、証明書有効性確認センタVCについ
て説明する。
【0043】図5は、証明書有効性確認センタVCの概
略構成を示す図である。
【0044】図示するように、証明書有効性確認センタ
VCは、処理部30aと、記憶部30bと、ネットワー
クNETを介して他装置と通信を行うための通信部36
と、公開鍵証明書等の入出力やユーザよりの指示の受付
けを行う入出力部37と、を有する。
【0045】処理部30aは、パス検索部32と、パス
検証部33と、有効期限/失効状態調査部34と、有効
性確認部35と、証明書有効性確認センタVCの各部を
統括的に制御する制御部38とを有する。また、記憶部
30bは、パスデータベース31と、失効証明書リスト
作成予定日時データベース39とを有する。
【0046】パス検索部31は、定期的に、ブリッジ認
証局CAbridgeからエンドエンティティEEに対して公
開鍵証明書を発行した各端末収容認証局CAまでのパス
を検索する。
【0047】パス検証部32は、パス検索部31でパス
の検索が行われる毎に、当該パス検索部31で検出され
たパスの検証を行う。そして、検証が成立したパスを、
証明書有効性確認センタVCを上流とした場合に当該パ
ス上の最下流に位置することとなる端末収容認証局CA
の名称と、当該パス上の各認証局CAから入手した当該
パス上の1つ下流側に位置する認証局CA(発行元の認
証局CAが端末収容認証局CAの場合はエンドエンティ
ティEE)に対して発行した公開鍵証明書とに対応付け
て、パスデータベース31に登録する。
【0048】有効期限/失効状態調査部34は、パスデ
ータベース31に登録されているパス各々について、当
該パス上の各認証局CAが当該パス上の1つ下流側に位
置する認証局CA(発行元の認証局CAが端末収容認証
局CAの場合はエンドエンティティEE)に対して発行
した公開鍵証明書の有効期限や失効の有無を調査する。
そして、その結果に応じてパスデータベース33を更新
する。
【0049】また、有効期限/失効状態調査部34は、
各認証局CAの失効証明書リスト保持部25から入手し
た失効証明書リストに記述されている次回の失効証明書
リスト作成予定日時を当該認証局CAに対応付けて、失
効証明書リスト作成予定日時データベース39に登録す
る。
【0050】有効性確認部35は、エンドエンティティ
EEからの依頼に従い、当該エンドエンティティEEを
収容する端末収容認証局CA以外の端末収容認証局CA
が発行した公開鍵証明書の、当該エンドエンティティE
Eを収容する端末収容認証局CAに対する有効性の確認
を行う。
【0051】なお、図3〜図5に示すエンドエンティテ
ィEE、認証局CAおよび証明書有効性確認センタVC
の各々は、例えば、図6に示すような、CPU61と、
メモリ62と、ハードディスク等の外部記憶装置63
と、CD-ROM等の可搬性を有する記憶媒体69から
情報を読み取る読取装置64と、ネットワークを介して
他装置と通信を行うための通信装置65と、キーボード
やマウス等の入力装置66と、モニタやプリンタ等の出
力装置67と、これらの各装置間のデータ送受を行うイ
ンターフェース68とを備えた、一般的な電子計算機に
おいて、CPU61がメモリ62上にロードされた所定
のプログラムを実行することにより、実現できる。すな
わち、通信部16、26、36は、CPU61が通信装
置66を利用することにより、入出力部17、27、3
7は、CPU61が入力装置66や出力装置67や読取
装置64を利用することにより、そして、記憶部10
b、20b、30bは、CPU61がメモリ62や外部
記憶装置63を利用することにより実現される。また、
処理部10a、20a、30aは、CPU61上のプロ
セスとして実現される。
【0052】このような、電子計算機上にエンドエンテ
ィティEE、認証局CAおよび証明書有効性確認センタ
VCを各々実現するための所定のプログラムは、読取装
置64を介して記憶媒体69から読み出され、あるい
は、通信装置66を介してネットワーク経由で他のサー
バからダウンロードされて、一旦、外部記憶装置63に
格納された後、そこからメモリ62上にロードされて、
あるいは、外部記憶装置63に格納されることなく、直
接メモリ62上にロードされて、CPU61に実行され
るようにすればよい。
【0053】次に、上記構成の証明書有効性確認センタ
VCの動作について説明する。
【0054】本実施形態の証明書有効性確認センタVC
の動作は、パスの検索、検証および管理動作と、公開鍵
証明書の有効性の確認動作とに分かれる。
【0055】まず、パスの検索・検証および管理動作に
ついて説明する。
【0056】図7〜図8は、本実施形態の証明書有効性
確認センタVCで行われるパスの検索、検証および管理
動作を説明するためのフロー図である。
【0057】制御部38は、所定時間(例えば1日)を
経過すると(ステップS1001)、パス検索部32に
パス検索を依頼する。これを受けて、パス検索部32
は、ブリッジ認証局CAbridgeから各端末収容認証局C
Aまでのパスを検索する(ステップS1002)。
【0058】具体的には、パス検索部32は、ブリッジ
認証局CAbridgeの発行先管理リスト保持部24にアク
セスし、ブリッジ認証局CAbridgeが発行した公開鍵証
明書の発行先の情報を入手する。そして、入手した各発
行先が認証局CAの場合は、各発行先の認証局CAの発
行先管理リスト保持部24にアクセスして、各認証局C
Aが発行した公開鍵証明書の発行先をさらに調べる。こ
の処理を、公開鍵証明書の発行先がエンドエンティティ
EEとなるまで続けることにより、ブリッジ認証局CA
bridgeから各端末収容認証局CAまでのパスを検索す
る。ここで、パスのループにより上記の処理が無限に繰
り返されるのを防止するため、ある認証局CAの発行先
管理リスト保持部24から入手した発行先に、それまで
に形成された部分パスの上流側に位置する認証局CAが
含まれる場合は、当該認証局CAを発行先とした上記の
処理を行わないものとする。
【0059】ステップS1002でのパス検索処理を、
各認証局CAが図2に示す関係にある場合を例に取り、
より具体的に説明する。
【0060】まず、パス検索部32は、ブリッジ認証局
CAbridgeの発行先管理リスト保持部24にアクセス
し、ブリッジ認証局CAbridgeが発行した公開鍵証明書
の発行先の情報として、認証局CA11、CA21、CA31
の情報を入手する。
【0061】次に、パス検索部32は、ブリッジ認証局
CAbridgeから入手した発行先(認証局CA11、C
21、CA31)のうちのいずれか1つに注目して、以下
の処理を実行する。
【0062】すなわち、注目した発行先が認証局CA
(以下、注目認証局CAと呼ぶこととする)であるなら
ば、ブリッジ認証局CAbridge-注目認証局CA間に、
ブリッジ認証局CAbridge側を上流とする部分パスを設
定する。そして、注目認証局CAの発行先管理リスト保
持部24にアクセスして、当該注目認証局CAが発行し
た公開鍵証明書の発行先の情報をさらに入手する。ここ
では、注目した発行先が認証局CA11であるとして、ブ
リッジ認証局CAbridge-認証局CA11間に部分パスを
設定し、認証局CA11から、発行先の情報として、認証
局CAbridge、CA12、CA13の情報を入手したものと
する。
【0063】次に、パス検索部32は、認証局CA11
ら入手した発行先(認証局CAbrid ge、CA12、C
13)に、部分パス上の認証局CA(以下、ループ認証
局CAと呼ぶこととする)が含まれているか否かを調べ
る。含まれている場合はその発行先を注目対象から除外
する。したがって、ここでは、認証局CAbridgeを注目
対象から除外することになる。次に、パス検索部32
は、認証局CA11から入手した発行先にエンドエンティ
ティEEが含まれるか否を調べる。エンドエンティティ
EEが含まれている場合、認証局CA11は端末収容認証
局となる。しかし、認証局CA11から入手した発行先に
エンドエンティティEEは含まれていない。したがっ
て、ブリッジ認証局CAbridge-認証局CA11間に設定
した部分パスを、端末収容認証局CAまで延長すべく、
認証局CA11から入手した、ループ認証局CAを除く発
行先(認証局CA12、CA13)のうちのいずれか1つに
注目する。
【0064】注目した発行先が認証局CAであるなら
ば、それまでに設定した部分パスの下流側にこの注目認
証局CAを接続した部分パスを設定する。そして、この
注目認証局CAの発行先管理リスト保持部24にアクセ
スして、当該注目認証局CAが発行した公開鍵証明書の
発行先の情報をさらに入手する。ここでは、注目した発
行先が認証局CA12であるとして、ブリッジ認証局CA
bridge-認証局CA11-認証局CA12間に部分パスを設定
し、認証局CA12から、発行先の情報として、エンドエ
ンティティEE1、EE2を入手したものとする。
【0065】次に、パス検索部32は、認証局CA12
ら入手した発行先(EE1、EE2)に、ループ認証局C
Aが含まれているか否かを調べる。含まれている場合は
その発行先を注目対象から除外する。ここでは、ループ
認証局CAは含まれないので、パス検索部32は、次の
処理へ移行し、端末収容認証局CA12から入手した発行
先にエンドエンティティEEが含まれるか否を調べる。
ここで、入手した発行先はすべてエンドエンティティE
Eであるので、認証局CA12は端末収容認証局である。
そこで、この認証局CA12を最下流とする部分パスを、
ブリッジ認証局CAbridgeから端末収容認証局CA12
でのパス(CAbridge-CA11-CA12)として検出す
る。
【0066】次に、パス検索部32は、検出したパス上
の最下流側に位置する認証局CA12から入手した発行先
の情報の中に、未だ注目していない発行先(ループ認証
局CA以外の認証局CA)があるか否かを調べ、そのよ
うな発行先があれば、これを注目認証局CAとして、上
記の処理を続ける。一方、そのような発行先がなけれ
ば、1つ上流側に位置する認証局CA11から入手した発
行先の情報の中に、未だ注目していない発行先(ループ
認証局CA以外の認証局CA)があるか否かを調べる。
そして、そのような発行先があれば、これを注目認証局
CAとして、上記の処理を続ける。ここでは、認証局C
11から入手した発行先の情報のうち、認証局CA13
ついて未だ注目していないので、これを注目認証局CA
として上記の処理を行うことにより、ブリッジ認証局C
bridgeから端末収容認証局CA13までのパス(CA
bridge-CA11-CA13)を検出する。
【0067】このように、パス検索部32は、上記の処
理を、検出したパス上に位置する全ての認証局CA各々
について、当該認証局CAから入手した発行先の情報の
中に、未だ注目していない発行先(ループ認証局CA以
外の認証局CA)がなくなるまで続けることにより、ブ
リッジ認証局CAbridgeから各端末収容認証局CAまで
のパスを検出する。その結果、各認証局CAが図2に示
す関係にある場合、パス検索部32により検出される、
ブリッジ認証局CAbridgeから各端末収容認証局CAま
でのパスは、図9に示すとおりとなる。
【0068】さて、制御部38は、パス検索部32によ
りブリッジ認証局CAbridgeから各端末収容認証局CA
までのパスが検出されると、パス検証部33にパスの検
証を依頼する。これを受けて、パス検証部33は、パス
検索部32により検出されたパスの検証を行う(ステッ
プS1003)。
【0069】具体的には、パス検索部32により検出さ
れたパス各々について、以下の処理を行う。
【0070】すなわち、まず、パス検証部33は、パス
上の各認証局CAの公開鍵証明書データベース23にア
クセスし、各認証局CAが当該パス上の1つ下流側に位
置する認証局CA(アクセス先認証局CAが端末認証局
CAの場合はエンドエンティティEE)に対して発行し
た公開鍵証明書を入手する。
【0071】次に、パス検証部33は、パスの最下流に
位置する端末収容認証局CAが発行した公開鍵証明書の
署名を、1つ上流側の認証局CAが発行した公開鍵証明
書で検証し、検証が成立した場合は当該1つ上流側の認
証局CAが発行した公開鍵証明書の署名をさらに1つ上
流側の認証局CAが発行した公開鍵証明書で検証する。
この処理を、当該1つ上流側の認証局CAがブリッジ認
証局CAbridgeとなるまで続けることにより、当該パス
を仮検証する。
【0072】例えば、図2においてブリッジ認証局CA
bridgeから端末収容認証局CA13までのパス(CA
bridge-CA11-CA13)を仮検証する場合、まず、端末
収容認証局CA13が発行した公開鍵証明書の署名を、端
末収容認証局CA13より1つ上流側の認証局CAである
ルート認証局CA11が端末収容認証局CA13に対して発
行した公開鍵証明書を用いて検証する。そして、検証が
成立した場合は、ルート認証局CA11が発行した公開鍵
証明書の署名を、ルート認証局CA11より1つ上流側の
認証局CAであるブリッジ認証局CAbridgeがルート認
証局CA11に対して発行した公開鍵証明書を用いて検証
する。そして、この検証が成立した場合に、ブリッジ認
証局CAbridgeから端末収容認証局CA13までのパスの
仮検証が成立したものとする。
【0073】次に、パス検証部33は、パスの仮検証が
成立したならば、当該パス上の各認証局CAから入手し
た公開鍵証明書中に、信頼しない他の認証局の名称(Na
me Constrains)や当該公開鍵証明書の有効性確認のた
めに許容される最大パス長(パス上の許容最大認証局
数)などの制限の記述があるか否かを調べる。そのよう
な記述がある場合は、当該パスがその制限を満たしてい
るか否かを調べ、満たしている場合にのみ、当該パスの
検証が成立したものとする。
【0074】例えば、図2においてブリッジ認証局CA
bridgeから端末収容認証局CA26までのパス(CA
bridge-CA31-CA21-CA22-CA25-CA26)の仮検
証が成立した場合において、認証局CA26から入手した
公開鍵証明書中に信頼しない他の認証局の名称として認
証局CA31が記述されている場合、当該パスの検証は成
立しなかったものとする。また、上記の場合において、
認証局CA26から入手した公開鍵証明書中にパス長とし
て認証局数=5が記述されている場合、当該パスの検証
は成立しなかったものとする。
【0075】さて、制御部38は、上記のようにして、
パス検索部32により検出されたパス各々に対するパス
検証部33での検証が終了したならば、パスデータベー
ス31の登録内容を一旦クリアし、それから、パス検証
部33での検証が成立したパス各々を、当該パス上の最
下流に位置する端末収容認証局CAと、当該パス上の各
認証局CAから入手した公開鍵証明書とに対応付けて、
パスデータベース31に登録する(ステップS100
4)。
【0076】一方、有効期限/失効状態調査部34は、
パスデータベース31に登録されている公開鍵証明書の
中に、有効期限切れの公開鍵証明書があるか否かを調べ
る(ステップS1005)。有効期限切れの公開鍵証明
書がある場合は、当該公開鍵証明書の発行元認証局CA
の公開鍵証明書データベース23にアクセスして、当該
公開鍵証明書の発行先に対して新たに発行された公開鍵
証明書を検索する(ステップS1006)。
【0077】そして、そのような公開鍵証明書が前記発
行元認証局CAの公開鍵証明書データベース23中にな
ければ、前記有効期限切れの公開鍵証明書に対応付けて
登録されているパスに関する情報をパスデータベース3
1から削除する(ステップS1007)。一方、そのよ
うな公開鍵証明書が前記発行元認証局CAの公開鍵証明
書データベース23中にあればこれを入手する。そし
て、前記有効期限切れの公開鍵証明書に対応付けてパス
データベース31に登録されているパスの検証を、当該
有効期限切れの公開鍵証明書の代わりに新たに入手した
公開鍵証明書を用いて、上記のステップS1003と同
じ要領で行う(ステップS1008)。
【0078】なお、ステップS1008でのパス検証に
代えて、新たに入手した公開鍵証明書の署名を、当該パ
ス上において、当該公開鍵証明書の発行元認証局CAよ
り1つ上流側に位置する認証局CAが発行した公開鍵証
明書で検証し、検証が成立した場合に、当該パスの検証
が成立したものとして扱うようにしてもよい。
【0079】さて、パスの検証が成立した場合(ステッ
プS1009でYes)は、当該パスに対応付けられて
パスデータベース31に登録されている前記有効期限切
れの公開鍵証明書を、新たに入手した公開鍵証明書に置
き換える(ステップS1010)。一方、パスの検証が
成立しなかった場合(ステップS1009でNo)は、
前記有効期限切れの公開鍵証明書に対応付けて登録され
ているパスをパスデータベース31から削除する(ステ
ップS1011)。
【0080】次に、有効期限/失効状態調査部34は、
失効証明書リスト作成予定日時データベース39を調
べ、既に経過した失効証明書リスト作成予定日時に対応
付けられている認証局CAを検索する(ステップS10
12)。そのような認証局CAが存在する場合(ステッ
プS1013でYes)は、当該認証局CAの失効証明
書リスト保持部25にアクセスして、当該認証局CAが
発行した最新の失効証明書リストを入手する(ステップ
S1014)。そして、失効証明書リスト作成予定日時
データベース39にて、当該認証局CAに対応付けて登
録されている失効証明書リスト作成予定日時を、入手し
た最新の失効証明書リストに記述されている失効証明書
リスト作成予定日時に更新する(ステップS101
5)。
【0081】それから、有効期限/失効状態調査部34
は、入手した最新の失効証明書リストに記述されている
公開鍵証明書が、パスデータベース31に登録されてい
るか否かを調べ(ステップS1016)、登録されてい
る場合は、当該公開鍵証明書に対応付けられているパス
に関する情報をパスデータベース31から削除する(ス
テップS1017)。
【0082】次に、公開鍵証明書の有効性の確認動作に
ついて説明する。
【0083】図10〜図11は、本実施形態の証明書有
効性確認センタVCで行われる公開鍵証明書の有効性の
確認動作を説明するためのフロー図である。
【0084】制御部38は、通信部36を介して、エン
ドエンティティEEから、少なくとも当該エンドエンテ
ィティEEを収容する端末収容認証局CAの名称を含ん
だ、当該端末収容認証局CA以外の端末収容認証局CA
が発行した公開鍵証明書の有効性の確認依頼を受け取る
と(ステップS2001)、その旨を有効性確認部35
に通知する。
【0085】これを受けて、有効性確認部35は、依頼
対象の公開鍵証明書の記述から特定される当該証明書を
発行した端末収容認証局CAに対応付けられたパスと、
依頼主のエンドエンティティEEを収容する端末収容認
証局CAに対応付けられたパスとが、パスデータベース
31に登録されているか否かを調べる(ステップS20
02)。
【0086】その結果、依頼対象の公開鍵証明書を発行
した端末収容認証局CAに対応付けられたパス、およ
び、依頼主のエンドエンティティEEを収容する端末収
容認証局CAに対応付けられたパスの両方が、パスデー
タベース31に登録されていないことが判明したなら
ば、有効性確認部35は、公開鍵証明書が有効でない旨
を、通信部36を介して、依頼主のエンドエンティティ
EEに通知する(ステップS2003)。
【0087】一方、依頼対象の公開鍵証明書を発行した
端末収容認証局CAに対応付けられたパス、および、依
頼主のエンドエンティティEEを収容する端末収容認証
局CAに対応付けられたパスの両方が、パスデータベー
ス31に登録されていることが確認できたならば、有効
性確認部35は、これら2つのパスのいずれかに対応付
けられてパスデータベース31に登録されている各公開
鍵証明書中に、信頼しない他の認証局の名称(Name Con
strains)や当該公開鍵証明書の有効性確認のために許
容される最大パス長(パス上の許容最大認証局数)など
の制限の記述があるか否かをさらに調べる(ステップS
2004)。
【0088】そのような制限の記述がない場合、ステッ
プS2006に移行する。一方、そのような制限の記述
がある場合は、ステップS2005に移行して、これら
2つのパスがその制限を満たしているか否か、すなわ
ち、各公開鍵証明書中に、これら2つのパス上のいずれ
かの認証局を信頼しない旨が記述されているか否か、お
よび、最大パス長として、これら2つのパス上の認証局
数よりも少ない認証局数が記述されているか否かを調べ
る。
【0089】そして、そのような記述がある場合、有効
性確認部35は、これら2つのパスがその制限を満たし
ていないものと判断し、公開鍵証明書が有効性でない旨
を、通信部36を介して、依頼主のエンドエンティティ
EEに通知する(ステップS2003)。一方、そのよ
うな記述がない場合は、これら2つのパスがその制限を
満たしているものと判断し、ステップS2006に移行
する。
【0090】ステップS2006では、有効性確認部3
5は、エンドエンティティEEから受け取った確認依頼
に、当該エンドエンティティEEが行おうとしている電
子手続の取引額等で示された信頼度(ポリシー)が含ま
れているか否かを調べる。電子手続の信頼度が含まれて
いる場合は、これら2つのパスのいずれかに対応付けら
れてパスデータベース31に登録されている各公開鍵証
明書中に、前記電子手続の信頼度よりも低い信頼度の記
述があるか否かをさらに調べる(ステップS200
7)。
【0091】そして、そのような記述がある場合は、こ
れら2つのパスを、依頼主のエンドエンティティEEが
行おうとしている電子手続のための公開鍵証明書の有効
性確認に利用できないものと判断し、公開鍵証明書が有
効でない旨を、通信部36を介して、依頼主のエンドエ
ンティティEEに通知する(ステップS2003)。
【0092】一方、エンドエンティティEEから受け取
った確認依頼に当該エンドエンティティEEが行おうと
している電子手続の信頼度が含まれていない場合、ある
いは、含まれていても、これら2つのパスのいずれかに
対応付けられてパスデータベース31に登録されている
各公開鍵証明書中に記述されている信頼度が前記電子手
続の信頼度よりも高い場合は、公開鍵証明書は有効であ
ると判断し、公開鍵証明書が有効である旨を、通信部3
6を介して、依頼主のエンドエンティティEEに通知す
る(ステップS2008)。
【0093】以上、本発明の第1実施形態について説明
した。
【0094】本実施形態では、ブリッジ認証局CA
bridgeから各端末収容認証局CAまでのパスの検索およ
び検証を、エンドエンティティEEからの公開鍵証明書
の有効性確認依頼とは独立して、定期的に行うようにし
ている。そして、あるエンドエンティティEEから公開
鍵証明書の有効性確認依頼を受けた場合、予め検索、検
証したパスを用いて、当該エンドエンティティEEを収
容する端末収容認証局CAと依頼対象の公開鍵証明書を
発行した端末収容認証局CAとの間に、ブリッジ認証局
CAbridgeを介したパスを構築することができるか否か
を調べることで、当該公開鍵証明書が有効であるか否か
を判断するようにしている。したがって、公開鍵証明書
の有効性確認依頼を受けてから、当該有効性を確認する
までにかかる時間を短縮することができる。
【0095】また、本実施形態では、あるエンドエンテ
ィティEEから公開鍵証明書の有効性確認依頼を受けた
場合、予め検索、検証したパスを用いて、当該エンドエ
ンティティEEを収容する端末収容認証局CAと依頼対
象の公開鍵証明書を発行した端末収容認証局CAとの間
に、ブリッジ認証局CAbridgeを介したパスを構築する
ことができるか否かを調べ、できた場合に、当該パス上
の認証局が発行した公開鍵証明書中に記述された制限
(信頼しない他の認証局の名称(Name Constrains)や
最大パス長(パス上の許容最大認証局数)や信頼度(ポ
リシー)等)を考慮して、依頼対象の公開鍵証明書が有
効であるか否かを最終的に判断するようにしている。し
たがって、公開鍵証明書の有効性確認の判断をより正確
に行うことが可能となる。
【0096】なお、本発明は、上記の実施形態に限定さ
れるものではなく、その要旨の範囲内で数々の変形が可
能である。
【0097】例えば、上記の実施形態では、証明書有効
性確認センタVCは、ブリッジ認証局CAbridgeを起点
認証局とし、ブリッジ認証局CAbridgeから各端末収容
認証局CAまでのパスの検索および検証を行うようにし
ている。しかし、本発明はこれに限定されない。他の任
意の認証局CAを起点認証局として、各端末収容認証局
CAまでのパスの検索および検証を行うこともできる。
例えば、各認証局CAが図2に示す関係にある場合、各
セキュリティドメインSDのルート認証局CA 11、CA
21、CA31のいずれかを起点認証局として、各端末収容
認証局CAまでのパスの検索および検証を行うようにし
てもよい。
【0098】また、上記の実施形態では、説明をわかり
やすくするため、図2に示すように、端末収容認証局C
AはエンドエンティティEEに対してのみ公開鍵証明書
を発行し、その他の認証局CAは認証局CAに対しての
み公開鍵証明書を発行するものとしているが、本発明
は、当然のことながら、エンドエンティティEEと認証
局CAの両方に対して公開鍵証明書を発行するような認
証局CAを含む場合でも、同様に適用できる。
【0099】
【発明の効果】以上説明したように、本発明によれば、
公開鍵証明書の有効性確認を依頼してから、当該有効性
が確認されるまでにかかる時間を短縮することができ
る。
【図面の簡単な説明】
【図1】本発明の一実施形態が適用されたPKIシステ
ムの概略構成を示す図である。
【図2】図1に示すPKIシステムでの各認証局CAの
関係の一例を示す図である。
【図3】図1に示すエンドエンティティEEの概略構成
を示す図である。
【図4】図1に示す認証局CAの概略構成を示す図であ
る。
【図5】図1に示す証明書有効性確認センタVCの概略
構成を示す図である。
【図6】図3〜図5に示すエンドエンティティEE、認
証局CAおよび証明書有効性確認センタVCの各々のハ
ードウエア構成例を示す図である。
【図7】図5に示す証明書有効性確認センタVCで行わ
れるパスの検索、検証および管理動作を説明するための
フロー図である。
【図8】図5に示す証明書有効性確認センタVCで行わ
れるパスの検索、検証および管理動作を説明するための
フロー図である。
【図9】各認証局CAが図2に示す関係にある場合に、
証明書有効性確認センタVCのパス検索部32で検出さ
れる、ブリッジ認証局CAbridgeから各端末収容認証局
CAまでのパスを示す図である。
【図10】図5に示す証明書有効性確認センタVCで行
われる公開鍵証明書の有効性の確認動作を説明するため
のフロー図である。
【図11】図5に示す証明書有効性確認センタVCで行
われる公開鍵証明書の有効性の確認動作を説明するため
のフロー図である。
【図12】従来のPKIにおいて、認証局が複数ある場
合における各認証局の関係の一例を示す図である。
【符号の説明】
CA…認証局、VC…証明書有効性確認センタ、EE…
エンドエンティティ、SD…セキュリティドメイン、1
0a,20a,30a…処理部、10b,20b,30
b…記憶部、11…電子文書保持部、12…鍵保持部、
13…検証対象保持部、14…署名生成部、15…署名
検証部、16,26,36…通信部、17,27,37
…入出力部、18,28,38…制御部、21…発行
部、22…管理部、23…公開鍵証明書データベース、
24…発行先リスト保持部、25…失効証明書リスト保
持部、31…パスデータベース、32…パス検索部、3
3…パス検証部、34…有効期限/失効状態調査部、3
5…有効性確認部、39…失効証明書リスト作成予定日
時データベース、61…CPU、62…メモリ、63…
外部記憶装置、64…読取装置、65…通信装置、66
…入力装置、67…出力装置、68…インターフェー
ス、69…記憶媒体
───────────────────────────────────────────────────── フロントページの続き (72)発明者 熊谷 洋子 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 森尾 智治 東京都江東区新砂一丁目6番27号 株式会 社日立製作所公共情報事業部内 (72)発明者 宮崎 豊 東京都江東区新砂一丁目6番27号 株式会 社日立製作所公共情報事業部内 Fターム(参考) 5J104 AA06 AA09 LA03 LA06 MA04

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】端末からの依頼に応じて、当該端末が信頼
    する認証局とは異なる認証局が発行した公開鍵証明書の
    有効性を確認する証明書の有効性確認方法であって、 任意の認証局を起点認証局とし、当該起点認証局が発行
    した公開鍵証明書の発行先を調べ、当該発行先に認証局
    が含まれる場合は当該認証局が発行した公開鍵証明書の
    発行先をさらに調べる処理を、当該公開鍵証明書の発行
    先が全て端末となるまで続けることにより、前記起点認
    証局から任意の端末に対して公開鍵証明書を発行した端
    末収容認証局までのパスを検索するパス検索ステップ
    と、 前記パス検索ステップにより検出されたパスについて、
    前記起点認証局を上流とし、当該パス上の端末収容認証
    局が発行した公開鍵証明書の署名を1つ上流側の認証局
    が発行した公開鍵証明書で検証し、検証が成立した場合
    は当該1つ上流側の認証局が発行した公開鍵証明書の署
    名をさらに1つ上流側の認証局が発行した公開鍵証明書
    で検証する処理を、当該1つ上流側の認証局が前記起点
    認証局となるまで続けることにより、当該パスを検証す
    るパス検証ステップと、 前記パス検証ステップにより検証が成立したパスをデー
    タベースに登録するパス登録ステップと、 端末から、当該端末が信頼する認証局とは異なる端末収
    容認証局が発行した公開鍵証明書の有効性確認依頼があ
    った場合、前記端末が信頼する認証局と前記起点認証局
    との間のパス、および、前記異なる端末収容認証局と前
    記起点認証局との間のパスが、前記データベースに登録
    されているときに、前記公開鍵証明書の有効性が確認さ
    れたものと判断する有効性確認ステップと、を有するこ
    とを特徴とする証明書の有効性確認方法。
  2. 【請求項2】請求項1記載の証明書の有効性確認方法で
    あって、 前記パス検索ステップは、定期的に実行され、 前記パス検証ステップは、前記パス検索ステップにより
    検索された最新のパスに対して実行され、そして、 前記パス登録ステップは、前記データベースの登録内容
    を、前記パス検証ステップで検証が成立した最新のパス
    に更新することを特徴とする証明書の有効性確認方法。
  3. 【請求項3】請求項1または2記載の証明書の有効性確
    認方法であって、 前記パス登録ステップにより前記データベースに登録さ
    れている各パスについて、当該パス上の各認証局が発行
    した1つ下流側の認証局(発行元が端末収容認証局の場
    合は、当該認証局が収容する端末)に対する公開鍵証明
    書各々の有効期限を調べる有効期限調査ステップと、 前記有効期限調査ステップにより有効期限を過ぎている
    ことが確認された公開鍵証明書の発行元から、当該公開
    鍵証明書の発行先に対する新たな公開鍵証明書を入手
    し、少なくとも、当該新たな公開鍵証明書の署名を、前
    記発行元より1つ上流側の認証局が発行した公開鍵証明
    書で検証するパス再検証ステップと、をさらに有し、 前記バス登録ステップは、 前記パス再検証ステップにて前記新たな公開鍵証明書の
    署名検証が成立しなかった場合、あるいは、前記新たな
    公開鍵証明書を入手できなかった場合は、前記有効期限
    調査ステップにより有効期限を過ぎていることが確認さ
    れた公開鍵証明書の発行元と発行先とを含むパスを、前
    記データベースから削除することを特徴とする証明書の
    有効性確認方法。
  4. 【請求項4】請求項1、2または3記載の証明書の有効
    性確認方法であって、 前記パス登録ステップにより前記データベースに登録さ
    れている各パスについて、当該パス上の各認証局が発行
    した公開鍵証明書の失効情報を調査する失効情報調査ス
    テップをさらに有し、 前記バス登録ステップは、 前記失効情報調査ステップにより失効していることが確
    認された公開鍵証明書の発行元と発行先とを含むパスが
    前記データベースに登録されている場合は、これを前記
    データベースから削除することを特徴とする証明書の有
    効性確認方法。
  5. 【請求項5】請求項1、2、3または4記載の証明書の
    有効性確認方法であって、 前記有効性確認ステップは、 端末から、当該端末が信頼する認証局とは異なる端末収
    容認証局が発行した公開鍵証明書の有効性確認依頼があ
    った場合、前記端末が信頼する認証局と前記起点認証局
    との間のパス、および、前記異なる端末収容認証局と前
    記起点認証局との間のパスが、前記データベースに登録
    されている場合でも、この2つのパス上のいずれかの認
    証局が発行した、当該認証局が位置するパス上の1つ下
    流側の認証局(発行元が端末収容認証局の場合は、当該
    認証局が収容する端末)に対する公開鍵証明書中に、前
    記2つのパス上のいずれかの認証局を信頼しない旨の制
    限が記述されている場合は、前記公開鍵証明書の有効性
    が確認されなかったものと判断することを特徴とする証
    明書の有効性確認方法。
  6. 【請求項6】請求項1、2、3、4または5記載の証明
    書の有効性確認方法であって、 前記有効性確認ステップは、 端末から、当該端末が信頼する認証局とは異なる端末収
    容認証局が発行した公開鍵証明書の有効性確認依頼があ
    った場合、前記端末が信頼する認証局と前記起点認証局
    との間のパス、および、前記異なる端末収容認証局と前
    記起点認証局との間のパスが、前記データベースに登録
    されている場合でも、この2つのパス上のいずれかの認
    証局が発行した、当該認証局が位置するパス上の1つ下
    流側の認証局(発行元が端末収容認証局の場合は、当該
    認証局が収容する端末)に対する公開鍵証明書中に記述
    されているパス長(パス上の許容最大認証局数)を、前
    記2つのパス上の認証局の合計数が超えている場合は、
    前記公開鍵証明書の有効性が確認されなかったものと判
    断することを特徴とする証明書の有効性確認方法。
  7. 【請求項7】請求項1、2、3、4、5または6記載の
    証明書の有効性確認方法であって、 前記有効性確認ステップは、 端末から、当該端末が行おうとしている電子手続に要求
    されれる信頼度の提示を伴った、当該端末が信頼する認
    証局とは異なる端末収容認証局が発行した公開鍵証明書
    の有効性確認依頼があった場合、前記端末が信頼する認
    証局と前記起点認証局との間のパス、および、前記異な
    る端末収容認証局と前記起点認証局との間のパスが、前
    記データベースに登録されている場合でも、この2つの
    パス上のいずれかの認証局が発行した、当該認証局が位
    置するパス上の1つ下流側の認証局(発行元が端末収容
    認証局の場合は、当該認証局が収容する端末)に対する
    公開鍵証明書中に記述されている信頼度(ポリシー)
    が、前記電子手続に要求されれる信頼度よりも低い場合
    は、前記公開鍵証明書の有効性が確認されなかったもの
    と判断することを特徴とする証明書の有効性確認方法。
  8. 【請求項8】請求項1、2、3、4、5、6または7記
    載の証明書の有効性確認方法であって、 前記起点認証局は、 少なくとも2つのセキュリティドメインのルート認証局
    各々と相互認証を行っているブリッジ認証局であること
    を特徴とする証明書の有効性確認方法。
  9. 【請求項9】端末からの依頼に応じて、当該端末が信頼
    する認証局とは異なる認証局が発行した公開鍵証明書の
    有効性を確認する証明書の有効性確認装置であって、 任意の認証局を起点認証局とし、当該起点認証局が発行
    した公開鍵証明書の発行先を調べ、当該発行先に認証局
    が含まれる場合は当該認証局が発行した公開鍵証明書の
    発行先をさらに調べる処理を、当該公開鍵証明書の発行
    先が全て端末となるまで続けることにより、前記起点認
    証局から任意の端末に対して公開鍵証明書を発行した端
    末収容認証局までのパスを検索するパス検索手段と、 前記パス検索手段により検出されたパスについて、前記
    起点認証局を上流とし、当該パス上の端末収容認証局が
    発行した公開鍵証明書の署名を1つ上流側の認証局が発
    行した公開鍵証明書で検証し、検証が成立した場合は当
    該1つ上流側の認証局が発行した公開鍵証明書の署名を
    さらに1つ上流側の認証局が発行した公開鍵証明書で検
    証する処理を、当該1つ上流側の認証局が前記起点認証
    局となるまで続けることにより、当該パスを検証するパ
    ス検証手段と、 前記パス検証手段により検証が成立したパスをデータベ
    ースに登録するパス登録手段と、 端末から、当該端末が信頼する認証局とは異なる端末収
    容認証局が発行した公開鍵証明書の有効性確認依頼があ
    った場合、前記端末が信頼する認証局と前記起点認証局
    との間のパス、および、前記異なる端末収容認証局と前
    記起点認証局との間のパスが、前記データベースに登録
    されているときに、前記公開鍵証明書の有効性が確認さ
    れたものと判断する有効性確認手段と、を有することを
    特徴とする証明書の有効性確認装置。
  10. 【請求項10】端末からの依頼に応じて、当該端末が信
    頼する認証局とは異なる認証局が発行した公開鍵証明書
    の有効性を確認するためのプログラムが記憶された記憶
    媒体であって、 前記プログラムは、電子計算機に読み取られて実行され
    ることで、 任意の認証局を起点認証局とし、当該起点認証局が発行
    した公開鍵証明書の発行先を調べ、当該発行先に認証局
    が含まれる場合は当該認証局が発行した公開鍵証明書の
    発行先をさらに調べる処理を、当該公開鍵証明書の発行
    先が全て端末となるまで続けることにより、前記起点認
    証局から任意の端末に対して公開鍵証明書を発行した端
    末収容認証局までのパスを検索するパス検索手段と、 前記パス検索手段により検出されたパスについて、前記
    起点認証局を上流とし、当該パス上の端末収容認証局が
    発行した公開鍵証明書の署名を1つ上流側の認証局が発
    行した公開鍵証明書で検証し、検証が成立した場合は当
    該1つ上流側の認証局が発行した公開鍵証明書の署名を
    さらに1つ上流側の認証局が発行した公開鍵証明書で検
    証する処理を、当該1つ上流側の認証局が前記起点認証
    局となるまで続けることにより、当該パスを検証するパ
    ス検証手段と、 前記パス検証手段により検証が成立したパスをデータベ
    ースに登録するパス登録手段と、 端末から、当該端末が信頼する認証局とは異なる端末収
    容認証局が発行した公開鍵証明書の有効性確認依頼があ
    った場合、前記端末が信頼する認証局と前記起点認証局
    との間のパス、および、前記異なる端末収容認証局と前
    記起点認証局との間のパスが、前記データベースに登録
    されているときに、前記公開鍵証明書の有効性が確認さ
    れたものと判断する有効性確認手段とを、当該電子計算
    機上に構築することを特徴とする記憶媒体。
JP2000261065A 2000-08-30 2000-08-30 証明書の有効性確認方法および装置 Expired - Lifetime JP3588042B2 (ja)

Priority Applications (9)

Application Number Priority Date Filing Date Title
JP2000261065A JP3588042B2 (ja) 2000-08-30 2000-08-30 証明書の有効性確認方法および装置
KR10-2001-0052476A KR100433439B1 (ko) 2000-08-30 2001-08-29 증명서의 유효성 확인 방법 및 장치
EP01120564A EP1185027B1 (en) 2000-08-30 2001-08-29 Certificate validity authentication method and apparatus
DE60107634T DE60107634T2 (de) 2000-08-30 2001-08-29 Verfahren und Vorrichtung zur Authentifizierung der Gültigkeit eines Zertifikats
MYPI20014081 MY127188A (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
CA002356410A CA2356410C (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
SG200105266A SG100752A1 (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
US09/941,771 US7080251B2 (en) 2000-08-30 2001-08-30 Certificate validity authentication method and apparatus
US11/452,299 US7409551B2 (en) 2000-08-30 2006-06-14 Certificate validity authentication method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000261065A JP3588042B2 (ja) 2000-08-30 2000-08-30 証明書の有効性確認方法および装置

Publications (3)

Publication Number Publication Date
JP2002072876A true JP2002072876A (ja) 2002-03-12
JP3588042B2 JP3588042B2 (ja) 2004-11-10
JP2002072876A5 JP2002072876A5 (ja) 2004-11-25

Family

ID=18748978

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000261065A Expired - Lifetime JP3588042B2 (ja) 2000-08-30 2000-08-30 証明書の有効性確認方法および装置

Country Status (8)

Country Link
US (2) US7080251B2 (ja)
EP (1) EP1185027B1 (ja)
JP (1) JP3588042B2 (ja)
KR (1) KR100433439B1 (ja)
CA (1) CA2356410C (ja)
DE (1) DE60107634T2 (ja)
MY (1) MY127188A (ja)
SG (1) SG100752A1 (ja)

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004234189A (ja) * 2003-01-29 2004-08-19 Mitsubishi Electric Information Systems Corp 署名データ検証支援システム及び署名データ検証支援プログラム
JP2004259281A (ja) * 2003-02-25 2004-09-16 Microsoft Corp ディジタル権利管理(drm)サーバのdrmアーキテクチャへのエンロール/サブエンロール
KR100453685B1 (ko) * 2002-11-05 2004-10-20 한국전자통신연구원 루트키 검증과 시알엘 선행 검증을 포함하는 변형된인증경로 검증장치및 방법
JP2006074425A (ja) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp 公開鍵証明書検証装置及び公開鍵証明書検証方法及びプログラム
JP2006511984A (ja) * 2002-07-18 2006-04-06 イーオリジナル インコーポレイテッド 認定された文書の電子的送信、保存および読み出しシステム並びに方法
JP2006174518A (ja) * 2002-06-12 2006-06-29 Hitachi Ltd Crl発行通知機能付き認証基盤システム
JP2006191695A (ja) * 2006-04-05 2006-07-20 Hitachi Ltd 公開鍵証明書検証の高速化方法、および装置
JP2006287455A (ja) * 2005-03-31 2006-10-19 Nec Corp 証明書検証装置及び方法並びに証明書検証サーバ
JP2006309659A (ja) * 2005-05-02 2006-11-09 Ntt Docomo Inc 電子証明書管理システム
JP2007020044A (ja) * 2005-07-11 2007-01-25 Mitsubishi Electric Corp 検証サーバ及び検証プログラム
JP2007049311A (ja) * 2005-08-08 2007-02-22 Konica Minolta Business Technologies Inc 電子証明書検証システム、電子証明書検証装置、クライアント、通信制御方法、およびコンピュータプログラム
JP2007511983A (ja) * 2003-11-19 2007-05-10 コアストリート、 リミテッド 分散委任されたパス発見及び検証
JP2007194730A (ja) * 2006-01-17 2007-08-02 Canon Inc 情報処理装置およびその制御方法
WO2007094036A1 (ja) * 2006-02-13 2007-08-23 Seiko Instruments Inc. 情報処理システム
JP2007274380A (ja) * 2006-03-31 2007-10-18 Ntt Data Corp 認証システム、認証サーバおよびプログラム
JP2007305066A (ja) * 2006-05-15 2007-11-22 Fujitsu Ltd 信頼度評価プログラムおよび信頼度評価装置
JP2008028868A (ja) * 2006-07-24 2008-02-07 Nomura Research Institute Ltd 通信代理システムおよび通信代理装置
JP2009296676A (ja) * 2002-06-12 2009-12-17 Hitachi Ltd Crl発行通知機能付き認証基盤システム
JP2010161821A (ja) * 2010-04-20 2010-07-22 Hitachi Ltd 公開鍵証明書の有効性確認方法、プログラムおよび記憶媒体
JP2010239443A (ja) * 2009-03-31 2010-10-21 Brother Ind Ltd 通信装置及びコンピュータプログラム
EP2271049A2 (en) 2009-07-01 2011-01-05 Hitachi, Ltd. Certificate validation method and certificate validation server and storage medium
JP2011160361A (ja) * 2010-02-03 2011-08-18 Mitsubishi Electric Corp 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法
JP2011193416A (ja) * 2010-03-17 2011-09-29 Hitachi Ltd 証明書の有効性確認方法、検証サーバ、プログラム及び記憶媒体
JP2012213229A (ja) * 2012-07-24 2012-11-01 Hitachi Ltd 検証サーバ、プログラム及び検証方法
JP2013506352A (ja) * 2009-09-30 2013-02-21 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 オンライン信頼できる第三者を導入したエンティティの公開鍵の取得、証明書の検証及び認証の方法及びシステム
US8423491B2 (en) 2007-04-19 2013-04-16 Fujitsu Limited Computer program product, method, and apparatus for calculating reliability of an application procedure for fraud using an estimated probability of detection of fraud
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
JPWO2014108993A1 (ja) * 2013-01-08 2017-01-19 三菱電機株式会社 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム
WO2021171571A1 (ja) 2020-02-28 2021-09-02 富士通株式会社 制御方法、制御プログラムおよび情報処理装置

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2371791A1 (en) 1999-02-12 2000-08-17 Mack Hicks System and method for providing certification-related and other services
US20020029200A1 (en) 1999-09-10 2002-03-07 Charles Dulin System and method for providing certificate validation and other services
CA2384242A1 (en) * 1999-09-24 2001-04-05 Mary Mckenney System and method for providing payment services in electronic commerce
WO2002021409A1 (en) * 2000-09-08 2002-03-14 Tallent Guy S System and method for transparently providing certificate validation and other services within an electronic transaction
AU2001290725A1 (en) * 2000-09-08 2002-04-22 Paul Donfried System and method for providing authorization and other services
CA2454093C (en) * 2001-07-16 2010-03-23 Research In Motion Limited A system and method for supporting multiple certificate authorities on a mobile communication device
NO20015812A (no) * 2001-11-28 2003-03-10 Telenor Asa Registrering og aktivering av elektroniske sertifikater
AU2003213908A1 (en) 2002-03-20 2003-09-29 Research In Motion Limited System and method for supporting multiple certificate status providers on a mobile communication device
JP4474845B2 (ja) * 2002-06-12 2010-06-09 株式会社日立製作所 Crl発行通知機能付き認証基盤システム
GB0215524D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
GB0215590D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
KR100431210B1 (ko) * 2002-08-08 2004-05-12 한국전자통신연구원 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법
JP2004214751A (ja) * 2002-12-27 2004-07-29 Hitachi Ltd 証明書経路情報管理システム及び証明書経路管理方法
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
JP3894181B2 (ja) * 2003-10-10 2007-03-14 株式会社日立製作所 公開鍵証明書検証の高速化方法、および装置
WO2005106658A1 (en) * 2004-04-26 2005-11-10 Google Inc. Methods and systems for dynamically composing distributed interactive applications from high-level programming languages
US20050278778A1 (en) * 2004-05-28 2005-12-15 D Agostino Anthony Method and apparatus for credential management on a portable device
US7788483B1 (en) * 2004-10-22 2010-08-31 Winbond Electronics Corporation Method and apparatus of identifying and enabling of functions of a trusted platform module device
US20060107326A1 (en) * 2004-11-12 2006-05-18 Demartini Thomas Method, system, and device for verifying authorized issuance of a rights expression
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
CN1968086B (zh) * 2005-11-17 2011-11-09 日电(中国)有限公司 用于通信网络的用户验证***和方法
US8181227B2 (en) * 2006-08-29 2012-05-15 Akamai Technologies, Inc. System and method for client-side authenticaton for secure internet communications
US7987375B2 (en) * 2006-11-20 2011-07-26 Canon Kabushiki Kaisha Communication apparatus, control method thereof and computer readable medium
JP4312799B2 (ja) 2007-01-05 2009-08-12 富士通株式会社 信頼性評価プログラムおよび信頼性評価装置
JP4488018B2 (ja) * 2007-03-28 2010-06-23 株式会社日立製作所 公開鍵証明書検証システム
JP4594962B2 (ja) * 2007-06-04 2010-12-08 株式会社日立製作所 検証サーバ、プログラム及び検証方法
US20090038007A1 (en) * 2007-07-31 2009-02-05 Samsung Electronics Co., Ltd. Method and apparatus for managing client revocation list
US8799648B1 (en) * 2007-08-15 2014-08-05 Meru Networks Wireless network controller certification authority
JP5513410B2 (ja) * 2008-01-18 2014-06-04 アイデントラスト, インコーポレイテッド 複数の信頼ドメインへのデジタル証明書のバインディング
US8768843B2 (en) 2009-01-15 2014-07-01 Igt EGM authentication mechanism using multiple key pairs at the BIOS with PKI
KR20100100134A (ko) * 2009-03-05 2010-09-15 한국전자통신연구원 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치
US8327424B2 (en) * 2009-12-22 2012-12-04 Motorola Solutions, Inc. Method and apparatus for selecting a certificate authority
WO2012100352A1 (en) * 2011-01-28 2012-08-02 Royal Canadian Mint/Monnaie Royal Canadienne Controlled security domains
US8701169B2 (en) * 2011-02-11 2014-04-15 Certicom Corp. Using a single certificate request to generate credentials with multiple ECQV certificates
US8572683B2 (en) 2011-08-15 2013-10-29 Bank Of America Corporation Method and apparatus for token-based re-authentication
US8539558B2 (en) 2011-08-15 2013-09-17 Bank Of America Corporation Method and apparatus for token-based token termination
US8910290B2 (en) * 2011-08-15 2014-12-09 Bank Of America Corporation Method and apparatus for token-based transaction tagging
US9253197B2 (en) 2011-08-15 2016-02-02 Bank Of America Corporation Method and apparatus for token-based real-time risk updating
US8789143B2 (en) * 2011-08-15 2014-07-22 Bank Of America Corporation Method and apparatus for token-based conditioning
US8752124B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Apparatus and method for performing real-time authentication using subject token combinations
US8950002B2 (en) 2011-08-15 2015-02-03 Bank Of America Corporation Method and apparatus for token-based access of related resources
US8726361B2 (en) * 2011-08-15 2014-05-13 Bank Of America Corporation Method and apparatus for token-based attribute abstraction
US8806602B2 (en) 2011-08-15 2014-08-12 Bank Of America Corporation Apparatus and method for performing end-to-end encryption
US9055053B2 (en) 2011-08-15 2015-06-09 Bank Of America Corporation Method and apparatus for token-based combining of risk ratings
US9026789B2 (en) * 2011-12-23 2015-05-05 Blackberry Limited Trusted certificate authority to create certificates based on capabilities of processes
JP5967822B2 (ja) * 2012-10-12 2016-08-10 ルネサスエレクトロニクス株式会社 車載通信システム及び装置
JP6285454B2 (ja) * 2012-11-09 2018-02-28 イーエヌティー テクノロジーズ, インコーポレイテッド エンティティ・ネットワーク・トランスレーション(ent)
JP6507854B2 (ja) * 2015-05-28 2019-05-08 株式会社リコー 情報処理システム、情報処理装置、電子証明書の管理方法、及びプログラム
JP2021175016A (ja) * 2020-04-20 2021-11-01 株式会社日立製作所 デジタル署名の管理方法、デジタル署名の管理システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10215245A (ja) * 1997-01-29 1998-08-11 Nippon Telegr & Teleph Corp <Ntt> 公開鍵認証方法
JPH11289329A (ja) * 1998-01-22 1999-10-19 Yeda Res & Dev Co Ltd 認証形サ―チ・ツリ―
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
JP2002139996A (ja) * 2000-11-01 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> 署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ500372A (en) * 1995-06-05 2001-04-27 Certco Inc Delegated use of electronic signature
US5745574A (en) * 1995-12-15 1998-04-28 Entegrity Solutions Corporation Security infrastructure for electronic transactions
US5996077A (en) * 1997-06-16 1999-11-30 Cylink Corporation Access control system and method using hierarchical arrangement of security devices
JPH11328117A (ja) 1998-05-14 1999-11-30 Hitachi Ltd 認証システムにおけるユーザ管理方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10215245A (ja) * 1997-01-29 1998-08-11 Nippon Telegr & Teleph Corp <Ntt> 公開鍵認証方法
JPH11289329A (ja) * 1998-01-22 1999-10-19 Yeda Res & Dev Co Ltd 認証形サ―チ・ツリ―
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
JP2002139996A (ja) * 2000-11-01 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> 署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法

Cited By (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009296676A (ja) * 2002-06-12 2009-12-17 Hitachi Ltd Crl発行通知機能付き認証基盤システム
JP2006174518A (ja) * 2002-06-12 2006-06-29 Hitachi Ltd Crl発行通知機能付き認証基盤システム
JP4582030B2 (ja) * 2002-06-12 2010-11-17 株式会社日立製作所 Crl発行通知機能付き認証基盤システム
JP2006511984A (ja) * 2002-07-18 2006-04-06 イーオリジナル インコーポレイテッド 認定された文書の電子的送信、保存および読み出しシステム並びに方法
JP4698219B2 (ja) * 2002-07-18 2011-06-08 イーオリジナル インコーポレイテッド 認定された文書の電子的送信、保存および読み出しシステム並びに方法
KR100453685B1 (ko) * 2002-11-05 2004-10-20 한국전자통신연구원 루트키 검증과 시알엘 선행 검증을 포함하는 변형된인증경로 검증장치및 방법
JP2004234189A (ja) * 2003-01-29 2004-08-19 Mitsubishi Electric Information Systems Corp 署名データ検証支援システム及び署名データ検証支援プログラム
JP2004259281A (ja) * 2003-02-25 2004-09-16 Microsoft Corp ディジタル権利管理(drm)サーバのdrmアーキテクチャへのエンロール/サブエンロール
JP4524124B2 (ja) * 2003-02-25 2010-08-11 マイクロソフト コーポレーション ディジタル権利管理(drm)サーバのdrmアーキテクチャへのエンロール/サブエンロール
JP2007511983A (ja) * 2003-11-19 2007-05-10 コアストリート、 リミテッド 分散委任されたパス発見及び検証
US8707030B2 (en) 2003-11-19 2014-04-22 Corestreet, Ltd. Distributed delegated path discovery and validation
JP2006074425A (ja) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp 公開鍵証明書検証装置及び公開鍵証明書検証方法及びプログラム
JP2006287455A (ja) * 2005-03-31 2006-10-19 Nec Corp 証明書検証装置及び方法並びに証明書検証サーバ
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
JP2006309659A (ja) * 2005-05-02 2006-11-09 Ntt Docomo Inc 電子証明書管理システム
JP2007020044A (ja) * 2005-07-11 2007-01-25 Mitsubishi Electric Corp 検証サーバ及び検証プログラム
JP4694904B2 (ja) * 2005-07-11 2011-06-08 三菱電機株式会社 検証サーバ及び検証プログラム
JP2007049311A (ja) * 2005-08-08 2007-02-22 Konica Minolta Business Technologies Inc 電子証明書検証システム、電子証明書検証装置、クライアント、通信制御方法、およびコンピュータプログラム
JP2007194730A (ja) * 2006-01-17 2007-08-02 Canon Inc 情報処理装置およびその制御方法
WO2007094036A1 (ja) * 2006-02-13 2007-08-23 Seiko Instruments Inc. 情報処理システム
JP4868322B2 (ja) * 2006-02-13 2012-02-01 セイコーインスツル株式会社 情報処理システム、及び情報処理方法
JP2007274380A (ja) * 2006-03-31 2007-10-18 Ntt Data Corp 認証システム、認証サーバおよびプログラム
JP4529936B2 (ja) * 2006-04-05 2010-08-25 株式会社日立製作所 公開鍵証明書検証の高速化方法、および装置
JP2006191695A (ja) * 2006-04-05 2006-07-20 Hitachi Ltd 公開鍵証明書検証の高速化方法、および装置
JP2007305066A (ja) * 2006-05-15 2007-11-22 Fujitsu Ltd 信頼度評価プログラムおよび信頼度評価装置
JP2008028868A (ja) * 2006-07-24 2008-02-07 Nomura Research Institute Ltd 通信代理システムおよび通信代理装置
US8423491B2 (en) 2007-04-19 2013-04-16 Fujitsu Limited Computer program product, method, and apparatus for calculating reliability of an application procedure for fraud using an estimated probability of detection of fraud
JP2010239443A (ja) * 2009-03-31 2010-10-21 Brother Ind Ltd 通信装置及びコンピュータプログラム
EP2271049A2 (en) 2009-07-01 2011-01-05 Hitachi, Ltd. Certificate validation method and certificate validation server and storage medium
US8380985B2 (en) 2009-07-01 2013-02-19 Hitachi, Ltd. Certificate validation method and certificate validation server and storage medium
US8751792B2 (en) 2009-09-30 2014-06-10 China Iwncomm Co., Ltd. Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party
JP2013506352A (ja) * 2009-09-30 2013-02-21 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 オンライン信頼できる第三者を導入したエンティティの公開鍵の取得、証明書の検証及び認証の方法及びシステム
JP2011160361A (ja) * 2010-02-03 2011-08-18 Mitsubishi Electric Corp 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法
JP2011193416A (ja) * 2010-03-17 2011-09-29 Hitachi Ltd 証明書の有効性確認方法、検証サーバ、プログラム及び記憶媒体
EP2388950A2 (en) 2010-03-17 2011-11-23 Hitachi Ltd. Certificate validation method and validation server
JP2010161821A (ja) * 2010-04-20 2010-07-22 Hitachi Ltd 公開鍵証明書の有効性確認方法、プログラムおよび記憶媒体
JP2012213229A (ja) * 2012-07-24 2012-11-01 Hitachi Ltd 検証サーバ、プログラム及び検証方法
JPWO2014108993A1 (ja) * 2013-01-08 2017-01-19 三菱電機株式会社 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム
WO2021171571A1 (ja) 2020-02-28 2021-09-02 富士通株式会社 制御方法、制御プログラムおよび情報処理装置

Also Published As

Publication number Publication date
EP1185027A3 (en) 2002-11-13
CA2356410A1 (en) 2002-02-28
JP3588042B2 (ja) 2004-11-10
US20020046340A1 (en) 2002-04-18
KR100433439B1 (ko) 2004-05-31
US20060242413A1 (en) 2006-10-26
DE60107634D1 (de) 2005-01-13
MY127188A (en) 2006-11-30
US7080251B2 (en) 2006-07-18
US7409551B2 (en) 2008-08-05
DE60107634T2 (de) 2005-12-08
EP1185027A2 (en) 2002-03-06
EP1185027B1 (en) 2004-12-08
SG100752A1 (en) 2003-12-26
KR20020018113A (ko) 2002-03-07
CA2356410C (en) 2006-08-29

Similar Documents

Publication Publication Date Title
JP2002072876A (ja) 証明書の有効性確認方法および装置
JP3894181B2 (ja) 公開鍵証明書検証の高速化方法、および装置
US6304974B1 (en) Method and apparatus for managing trusted certificates
JP4301482B2 (ja) サーバ、情報処理装置及びそのアクセス制御システム並びにその方法
JP5614340B2 (ja) システム、認証情報管理方法、およびプログラム
US20030130947A1 (en) Method and system for computing digital certificate trust paths using transitive closures
US7512782B2 (en) Method and system for using a web service license
JP4474845B2 (ja) Crl発行通知機能付き認証基盤システム
US8806195B2 (en) User interface generation in view of constraints of a certificate profile
JP2007110377A (ja) ネットワークシステム
JP2007511983A (ja) 分散委任されたパス発見及び検証
KR100844436B1 (ko) 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템
JP2003348077A (ja) 属性証明書検証方法および装置
JP2004214751A (ja) 証明書経路情報管理システム及び証明書経路管理方法
JP2006270646A (ja) 電子証明書管理装置
JP2002132996A (ja) 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム
JP4529936B2 (ja) 公開鍵証明書検証の高速化方法、および装置
JP7501668B2 (ja) ユーザ情報管理システム、ユーザ情報管理方法、ユーザエージェントおよびプログラム
JP4582030B2 (ja) Crl発行通知機能付き認証基盤システム
JP5018849B2 (ja) Crl発行通知機能付き認証基盤システム
JP5158125B2 (ja) 公開鍵証明書の有効性確認方法、プログラムおよび記憶媒体
JP2002244558A (ja) 認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体
JP2003058050A (ja) 検証処理方法及びその実施システム並びにその処理プログラム
JP2001265894A (ja) 病院情報システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20031209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20031209

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20040521

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20040601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040727

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040811

R151 Written notification of patent or utility model registration

Ref document number: 3588042

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070820

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080820

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080820

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090820

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100820

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100820

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110820

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120820

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130820

Year of fee payment: 9

EXPY Cancellation because of completion of term