JP3696445B2 - 公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体 - Google Patents
公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体 Download PDFInfo
- Publication number
- JP3696445B2 JP3696445B2 JP23825999A JP23825999A JP3696445B2 JP 3696445 B2 JP3696445 B2 JP 3696445B2 JP 23825999 A JP23825999 A JP 23825999A JP 23825999 A JP23825999 A JP 23825999A JP 3696445 B2 JP3696445 B2 JP 3696445B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- public key
- user terminal
- application
- common item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、通信帯域に制限がある通信手段においても公開鍵証明証を発行可能な公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体に関するものである。
【0002】
【従来の技術】
認証機関(認証センタ)(Certification Authority:以下、CAと略す。)を利用したユーザ認証においては、認証センタより、公開鍵とその所有者の結びつきを保証され、該認証センタのディジタル署名を付与された電子証明証、いわゆる公開鍵証明証を基にユーザ認証が実施される。
【0003】
この公開鍵証明証は、認証センタに対し、利用者から公開鍵の登録申請がなされた時点において作成・発行され、有効期限が切れるまで、または秘密鍵が危害を受けることにより無効化されるまで使用される。実際の利用者間(送信者−受信者間)においては、受信者が何らかの通信手段により認証センタが発行した公開鍵証明証を入手し、それを用いて送信者の秘密鍵により作成された署名を検証することによりユーザ認証(送信者認証)を行う。
【0004】
この公開鍵証明証のフォーマットはX.509勧告としてISO/IEC,ITU−T等の標準団体により規定されており、1986年のVersion1の規定以来、Version2,Version3と改訂され、現在は主にVersion3が使用されている。
【0005】
【発明が解決しようとする課題】
現在、公開鍵証明証の有用性は携帯電話等の無線通信の分野においても認められ、この公開鍵証明証を用いたユーザ認証の利用が行われている。
【0006】
しかしながら、現在、主に使用されているX.509 Version3の公開鍵証明証には、基本的に必須のフィールドの集合体である基本部と、ユーザ認証における各処理を円滑にさせるためのフィールドの集合体である拡張部という、2つの大要素からなっており、図1に示すように各大要素内に数多くの要素が存在している。
【0007】
また、拡張部に関しては、使用用途により使用するフィールドを選択可能であり、どのフィールドも使用しないことが可能なものの、基本部に限っては必須フィールド(issuerUniqueIdentfier,subjectUniqueIdentfierフィールドを除く)であり、省略することはできない。図2にX.509 Version3の規定に基づく公開鍵証明証の一例を示す。
【0008】
このように、公開鍵証明証の通信データ量(サイズ)は大きなものであり、無線のような通信速度や通信容量(通信帯域)に制限がある通信手段を用いることが多い環境、例えばモバイル環境においては、認証センタ−利用者間において公開鍵証明証をそのまま通信して発行することは非効率であった。
【0009】
本発明の目的は、通信帯域に制限がある環境においても公開鍵証明証を効率的に発行可能な公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体を提供することにある。
【0010】
【課題を解決するための手段】
本発明は、1)認証センタ側において利用者からの申請書に基づいて公開鍵証明証を作成・検索する際、申請書に含まれないフィールドのみを利用者側に返却し、2)利用者側において認証センタから送信された公開鍵証明証に、各自で作成し認証センタに対して申請した申請書情報を付加して公開鍵証明証を復元し、復元した公開鍵証明証の署名の正当性を確認することにより、認証センタ−利用者間での公開鍵証明証にかかる通信データ量を縮小することを最も主要な特徴とする。
【0011】
従来の技術とは、認証センタ−利用者間において認証センタにて管理している公開鍵証明証を必要な情報のみ送信することにより、その公開鍵証明証にかかる通信量を小さくできるという点が異なる。
【0012】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態について説明する。
【0013】
図3は本発明の装置全体の構成を示すもので、図中、10は利用者の端末装置(利用者端末)、20は認証センタの装置(CA装置)であり、これらは図示しない通信手段により接続される。
【0014】
利用者端末10は、CA装置20が受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段11と、CA装置20に申請した申請書を保持するサービス申請書保持手段12と、CA装置20から証明証を受信した時、サービス申請書保持手段12により保持された申請書から、共通項目定義・設定手段11において定義・設定されている項目を抽出するサービス申請書/証明証共通項目抽出手段13と、サービス申請書/証明証共通項目抽出手段13により抽出された項目に該当するフィールドを受信した証明証に付加して公開鍵証明証を復元するサービス申請書/証明証共通項目付加手段14と、復元した公開鍵証明証の署名を検証するCA署名検証手段15とを備えている。
【0015】
CA装置20は、受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段21と、利用者端末10から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、前記共通項目定義・設定手段21において定義・設定されている項目に該当するフィールドを削除して実際に利用者端末10に送信する公開鍵証明証を作成するサービス申請書/証明証共通項目削除手段22とを備えている。
【0016】
なお、利用者端末10及びCA装置20とも、実際には上記以外の構成を備えているが、ここでは本発明に拘わる部分のみ示すものとする。
【0017】
以下、本発明装置における動作を説明する。
【0018】
(1)CA装置20−利用者端末10間においてやりとりを行う事前作業として、共通項目定義・設定手段11及び21を用いて、CA装置20−利用者端末10の両者において公開鍵登録、公開鍵証明証参照等の各種のサービスにおける申請書と公開鍵証明証とに含まれる各フィールドの共通部分をサービス毎に定義・設定する。
【0019】
(2)利用者端末10において、CA装置20に対し、公開鍵登録、公開鍵証明証参照等のサービス申請を行う際、サービス申請書を作成し、それをCA装置20に対して送信することにより申請を行うが、その際、サービス申請書保持手段12を用いて、CA装置20に対するサービス申請書を保持しておく。
【0020】
(3)CA装置20において、利用者端末10から受け取ったサービス申請書に基づいて公開鍵証明証を作成・検索した後、サービス申請書/証明証共通項目削除手段22を用いて、共通項目定義・設定手段21により設定されたサービス申請書と公開鍵証明証との共通項目に該当するフィールドを、前記作成・検索した公開鍵証明証から削除する。
【0021】
(4)利用者端末10において、CA装置20からサービス申請書/証明証共通項目削除手段22を用いて作成された公開鍵証明証を受け取った後、サービス申請書/証明証共通項目抽出手段13を用いて、(2)においてサービス申請書保持手段12を用いて保持したサービス申請書から共通項目定義・設定手段11で設定されたサービス申請書と公開鍵証明証との共通項目に該当するフィールドを抽出する。
【0022】
(5)サービス申請書/証明証共通項目抽出手段13により抽出したフィールドを、サービス申請書/証明証共通項目付加手段14を用いてCA装置20から受け取った公開鍵証明証に追加し、公開鍵証明証を復元する。
【0023】
(6)CA署名検証手段15を用いてサービス申請書/証明証共通項目付加手段14により復元した公開鍵証明証のCA署名を検証する。
【0024】
本発明は、周知のCPU、メモリ、外部記憶装置等のハードウェアとともに、図4、図5のフローチャートに示される手順を備えたソフトウェア(プログラム)で実現される。ここで、図4は利用者端末を実現するプログラムを示すフローチャート、図5はCA装置を実現するプログラムを示すフローチャートである。
【0025】
以下、図4、図5を用いて本発明の実施の形態をさらに詳細に説明する。
【0026】
(1)共通項目定義・設定処理201
CA装置−利用者端末間においてやりとりを行う事前作業として、CA装置及び利用者端末はE−mailアドレスの設定等の各種設定を行うが、この中でCA装置−利用者端末間における公開鍵証明証のデータ量(サイズ)縮小のための設定として共通項目定義・設定手段11及び21が呼び出され、公開鍵登録、公開鍵証明証参照等の各種のサービスにおける申請書と公開鍵証明証とに含まれる各フィールドの共通部分をサービス毎に定義・設定する。
【0027】
なお、この共通項目定義・設定手段11及び21において定義される共通項目は、CA装置側、即ち共通項目定義・設定手段21において定義・作成されることが望ましく、インターネットのようなPublic世界において利用するCA装置については、インタオペラビリティを考慮し、その共通項目にX.509等の各標準で規定されている公開鍵証明証の拡張要素については含めないことが望ましい。
【0028】
公開鍵登録申請において一般に使用される申請書の規定要素として、例えば図6に示されるPKCS#10があるが、これを用いた際における公開鍵登録サービスの共通項目として定義・設定される項目は、図7中にハッチングで示すように、version(バージョンナンバー),issuer(発行者名)、subject(対象者名)、subjectPublicKeyInfo(CAにより認証される公開鍵情報)になる。
【0029】
なお、この共通項目定義についてはCA装置からテーブルの形で利用者側に配布され、利用者はそのファイルを設定することにより、共通項目定義を意識することなくこの共通項目を自端末に設定することができる。
【0030】
この共通項目定義・設定については、既存のコンピュータ等で一般的に使用されているテーブル作成・参照技術等を使用することにより容易に実現可能である。
【0031】
(2)申請書作成・保持処理202
利用者がCA装置を用いて利用者間でユーザ認証を行う際、利用者(利用者)は何らかの手段により公開鍵証明証を取得し、それを用いることによりユーザ認証を行う。その際、ユーザ認証における一連の処理の中で行われる公開鍵登録、公開鍵証明証参照等においては申請書を用いてCA装置に対してその各サービス申請を行うが、コンピュータにおける申請を行う一連の動作として、サービス申請書保持手段12が呼び出され、各サービス申請時において作成したサービス申請書が利用者端末で保持される。
【0032】
なお、サービス申請書保持手段12の呼び出し及び各サービス申請書保持方法については、既存のコンピュータアプリケーションに組み込まれているモジュール呼び出し機能及びコンピュータに内蔵・外付けされているHDD等の機能を用いることにより実現可能である。
【0033】
(3)公開鍵証明証サイズ縮小処理203
CA装置側において、利用者からの各種サービス申請書の入力31をトリガーにして利用者の欲する公開鍵登録・公開鍵証明証参照等の各種サービス処理が実行され、公開鍵証明証が作成・検索された後、サービス申請書/証明証共通項目削除手段22が呼び出され、共通項目定義・設定手段21により定義・設定されたサービス申請書/証明証共通項目の入力32と公開鍵証明証の入力33をトリガとして、公開鍵証明証に記載されたフィールドから、サービス申請書/証明証共通項目に記載された項目に該当するフィールドを削除し、残りのフィールドにより公開鍵証明証を再構成する。
【0034】
(1)の例を用いるならば、version,issuer,subject,subjectPublicKeyInfoが削除され、特に公開鍵証明証サイズを大きくさせる原因であった公開鍵の実体が格納されるsubjectPublicKeyInfoが削除されることにより、他の要素、即ちversion,issuer,subjectを加えると、1,2個の拡張要素(一般的に世の中のCAにおいて使用されている拡張要素使用数。拡張要素未使用CAも存在する。)を使用していたとしてもその公開鍵証明証のサイズは約半分以下になる。
【0035】
なお、本処理において非常に注意しなければならないことは、作成・検索した公開鍵証明証からサービス申請書/証明証共通項目を削除した後の公開鍵証明証を再構成する際、その公開鍵証明証につけるCA署名は必ず公開鍵証明証を作成・検索した際に署名したCA署名を利用しなければならないことである。もし、ここで新規に証明証を振り直したのならば、利用者からの申請をもとに作成・検索した公開鍵証明証は全く意味をなさないものになり、かつ本発明の能力を発揮することはできなくなる。
【0036】
この公開鍵証明証サイズ縮小処理において用いられる各種サービス処理及び公開鍵証明証からサービス申請書/証明証共通項目を削除する処理については、既存コンピュータに組み込まれている参照機能及びCA装置において一般的に用いられているDelete機能を用いて実現可能である。
【0037】
(4)公開鍵証明証復元処理204
利用者端末において、CA装置から公開鍵証明証サイズ縮小処理203により作成された公開鍵証明証を受け取った際、サービス申請書/証明証共通項目抽出手段13が呼び出され、サービス申請書保持手段12により保持された、利用者がCA装置に対して申請したサービス申請書群の中よりCA装置から受け取った公開鍵証明証に対応するサービス申請書が引き出される(34)とともに、共通項目定義・設定手段11により定義・設定されたサービス申請書/証明証共通項目が入力され(35)、このサービス申請書に記載されたフィールドからサービス申請書/証明証共通項目に該当するフィールドが抽出された後、サービス申請書/証明証共通項目付加手段14が呼び出され、CA装置から受け取った(36)公開鍵証明証(公開鍵証明証サイズ縮小処理によりサービス申請書/証明証共通項目が削除された公開鍵証明証)に対してサービス申請書/証明証共通項目抽出手段13により抽出したフィールドが追加される((1)の例を用いるならば、version,issuer,subject,subjectPublicKeyInfoが追加される。)。
【0038】
その後、CA署名検証手段15が呼び出され、復元した公開鍵証明証のCA署名の正当性を署名検証により確認することによって、CA装置において利用者からの申請をもとに作成・検索した公開鍵証明証と全く同じものが作成される。
【0039】
この公開鍵証明証復元処理において用いられるCA装置から受け取った公開鍵証明証に対応するサービス申請書を検索する処理及びサービス申請書に記載されたフィールドからサービス申請書/証明証共通項目に該当するフィールドを抽出する処理、抽出したフィールドを追加する処理、復元した公開鍵証明証のCA署名検証処理は、既存のコンピュータが一般に所持している検索アルゴリズム及び追加アルゴリズム等を用いることにより達成可能である。
【0040】
【発明の効果】
以上説明したように、本発明によれば、1)認証センタ側において利用者からの申請書に基づいて公開鍵証明証を作成・検索する際、申請書に含まれないフィールドのみを利用者側に返却し、2)利用者側において認証センタから送信された公開鍵証明証に、各自で作成し認証センタに対して申請した申請書情報を付加して公開鍵証明証を復元し、復元した公開鍵証明証の署名の正当性を確認することにより、認証センタにおいて利用者からの申請書に基づいて作成・検索された公開鍵証明証と全く同じものが作成され、これにより認証センタ−利用者間において必要最小限の公開鍵証明証フィールドを送信することが可能になり、その結果として、認証センタ−利用者間での公開鍵証明証にかかる通信データ量を縮小することが可能になり、通信帯域に制限がある環境においても公開鍵証明証を効率的に発行可能となる。
【図面の簡単な説明】
【図1】X.509 Version3に規定された公開鍵証明証の要素を示す図
【図2】X.509 Version3の規定に基づく公開鍵証明証の一例を示す図
【図3】本発明の装置全体を示す構成図
【図4】本発明の利用者の端末装置を実現するプログラムを示すフローチャート
【図5】本発明の認証センタを実現するプログラムを示すフローチャート
【図6】公開鍵登録申請書(PKCS#10)の規定要素を示す図
【図7】X.509 Version3の規定に基づく公開鍵証明証における省略可能な共通項目の一例を示す図
【符号の説明】
10:利用者端末、11,21:共通項目定義・設定手段、12:サービス申請書保持手段、13:サービス申請書/証明証共通項目抽出手段、14:サービス申請書/証明証共通項目付加手段、15:CA署名検証手段、20:CA装置、22:サービス申請書/証明証共通項目削除手段、201:共通項目定義・設定処理、202:サービス申請書作成・保持処理、203:公開鍵証明証サイズ縮小処理、204:公開鍵証明証復元処理。
【発明の属する技術分野】
本発明は、通信帯域に制限がある通信手段においても公開鍵証明証を発行可能な公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体に関するものである。
【0002】
【従来の技術】
認証機関(認証センタ)(Certification Authority:以下、CAと略す。)を利用したユーザ認証においては、認証センタより、公開鍵とその所有者の結びつきを保証され、該認証センタのディジタル署名を付与された電子証明証、いわゆる公開鍵証明証を基にユーザ認証が実施される。
【0003】
この公開鍵証明証は、認証センタに対し、利用者から公開鍵の登録申請がなされた時点において作成・発行され、有効期限が切れるまで、または秘密鍵が危害を受けることにより無効化されるまで使用される。実際の利用者間(送信者−受信者間)においては、受信者が何らかの通信手段により認証センタが発行した公開鍵証明証を入手し、それを用いて送信者の秘密鍵により作成された署名を検証することによりユーザ認証(送信者認証)を行う。
【0004】
この公開鍵証明証のフォーマットはX.509勧告としてISO/IEC,ITU−T等の標準団体により規定されており、1986年のVersion1の規定以来、Version2,Version3と改訂され、現在は主にVersion3が使用されている。
【0005】
【発明が解決しようとする課題】
現在、公開鍵証明証の有用性は携帯電話等の無線通信の分野においても認められ、この公開鍵証明証を用いたユーザ認証の利用が行われている。
【0006】
しかしながら、現在、主に使用されているX.509 Version3の公開鍵証明証には、基本的に必須のフィールドの集合体である基本部と、ユーザ認証における各処理を円滑にさせるためのフィールドの集合体である拡張部という、2つの大要素からなっており、図1に示すように各大要素内に数多くの要素が存在している。
【0007】
また、拡張部に関しては、使用用途により使用するフィールドを選択可能であり、どのフィールドも使用しないことが可能なものの、基本部に限っては必須フィールド(issuerUniqueIdentfier,subjectUniqueIdentfierフィールドを除く)であり、省略することはできない。図2にX.509 Version3の規定に基づく公開鍵証明証の一例を示す。
【0008】
このように、公開鍵証明証の通信データ量(サイズ)は大きなものであり、無線のような通信速度や通信容量(通信帯域)に制限がある通信手段を用いることが多い環境、例えばモバイル環境においては、認証センタ−利用者間において公開鍵証明証をそのまま通信して発行することは非効率であった。
【0009】
本発明の目的は、通信帯域に制限がある環境においても公開鍵証明証を効率的に発行可能な公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体を提供することにある。
【0010】
【課題を解決するための手段】
本発明は、1)認証センタ側において利用者からの申請書に基づいて公開鍵証明証を作成・検索する際、申請書に含まれないフィールドのみを利用者側に返却し、2)利用者側において認証センタから送信された公開鍵証明証に、各自で作成し認証センタに対して申請した申請書情報を付加して公開鍵証明証を復元し、復元した公開鍵証明証の署名の正当性を確認することにより、認証センタ−利用者間での公開鍵証明証にかかる通信データ量を縮小することを最も主要な特徴とする。
【0011】
従来の技術とは、認証センタ−利用者間において認証センタにて管理している公開鍵証明証を必要な情報のみ送信することにより、その公開鍵証明証にかかる通信量を小さくできるという点が異なる。
【0012】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態について説明する。
【0013】
図3は本発明の装置全体の構成を示すもので、図中、10は利用者の端末装置(利用者端末)、20は認証センタの装置(CA装置)であり、これらは図示しない通信手段により接続される。
【0014】
利用者端末10は、CA装置20が受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段11と、CA装置20に申請した申請書を保持するサービス申請書保持手段12と、CA装置20から証明証を受信した時、サービス申請書保持手段12により保持された申請書から、共通項目定義・設定手段11において定義・設定されている項目を抽出するサービス申請書/証明証共通項目抽出手段13と、サービス申請書/証明証共通項目抽出手段13により抽出された項目に該当するフィールドを受信した証明証に付加して公開鍵証明証を復元するサービス申請書/証明証共通項目付加手段14と、復元した公開鍵証明証の署名を検証するCA署名検証手段15とを備えている。
【0015】
CA装置20は、受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段21と、利用者端末10から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、前記共通項目定義・設定手段21において定義・設定されている項目に該当するフィールドを削除して実際に利用者端末10に送信する公開鍵証明証を作成するサービス申請書/証明証共通項目削除手段22とを備えている。
【0016】
なお、利用者端末10及びCA装置20とも、実際には上記以外の構成を備えているが、ここでは本発明に拘わる部分のみ示すものとする。
【0017】
以下、本発明装置における動作を説明する。
【0018】
(1)CA装置20−利用者端末10間においてやりとりを行う事前作業として、共通項目定義・設定手段11及び21を用いて、CA装置20−利用者端末10の両者において公開鍵登録、公開鍵証明証参照等の各種のサービスにおける申請書と公開鍵証明証とに含まれる各フィールドの共通部分をサービス毎に定義・設定する。
【0019】
(2)利用者端末10において、CA装置20に対し、公開鍵登録、公開鍵証明証参照等のサービス申請を行う際、サービス申請書を作成し、それをCA装置20に対して送信することにより申請を行うが、その際、サービス申請書保持手段12を用いて、CA装置20に対するサービス申請書を保持しておく。
【0020】
(3)CA装置20において、利用者端末10から受け取ったサービス申請書に基づいて公開鍵証明証を作成・検索した後、サービス申請書/証明証共通項目削除手段22を用いて、共通項目定義・設定手段21により設定されたサービス申請書と公開鍵証明証との共通項目に該当するフィールドを、前記作成・検索した公開鍵証明証から削除する。
【0021】
(4)利用者端末10において、CA装置20からサービス申請書/証明証共通項目削除手段22を用いて作成された公開鍵証明証を受け取った後、サービス申請書/証明証共通項目抽出手段13を用いて、(2)においてサービス申請書保持手段12を用いて保持したサービス申請書から共通項目定義・設定手段11で設定されたサービス申請書と公開鍵証明証との共通項目に該当するフィールドを抽出する。
【0022】
(5)サービス申請書/証明証共通項目抽出手段13により抽出したフィールドを、サービス申請書/証明証共通項目付加手段14を用いてCA装置20から受け取った公開鍵証明証に追加し、公開鍵証明証を復元する。
【0023】
(6)CA署名検証手段15を用いてサービス申請書/証明証共通項目付加手段14により復元した公開鍵証明証のCA署名を検証する。
【0024】
本発明は、周知のCPU、メモリ、外部記憶装置等のハードウェアとともに、図4、図5のフローチャートに示される手順を備えたソフトウェア(プログラム)で実現される。ここで、図4は利用者端末を実現するプログラムを示すフローチャート、図5はCA装置を実現するプログラムを示すフローチャートである。
【0025】
以下、図4、図5を用いて本発明の実施の形態をさらに詳細に説明する。
【0026】
(1)共通項目定義・設定処理201
CA装置−利用者端末間においてやりとりを行う事前作業として、CA装置及び利用者端末はE−mailアドレスの設定等の各種設定を行うが、この中でCA装置−利用者端末間における公開鍵証明証のデータ量(サイズ)縮小のための設定として共通項目定義・設定手段11及び21が呼び出され、公開鍵登録、公開鍵証明証参照等の各種のサービスにおける申請書と公開鍵証明証とに含まれる各フィールドの共通部分をサービス毎に定義・設定する。
【0027】
なお、この共通項目定義・設定手段11及び21において定義される共通項目は、CA装置側、即ち共通項目定義・設定手段21において定義・作成されることが望ましく、インターネットのようなPublic世界において利用するCA装置については、インタオペラビリティを考慮し、その共通項目にX.509等の各標準で規定されている公開鍵証明証の拡張要素については含めないことが望ましい。
【0028】
公開鍵登録申請において一般に使用される申請書の規定要素として、例えば図6に示されるPKCS#10があるが、これを用いた際における公開鍵登録サービスの共通項目として定義・設定される項目は、図7中にハッチングで示すように、version(バージョンナンバー),issuer(発行者名)、subject(対象者名)、subjectPublicKeyInfo(CAにより認証される公開鍵情報)になる。
【0029】
なお、この共通項目定義についてはCA装置からテーブルの形で利用者側に配布され、利用者はそのファイルを設定することにより、共通項目定義を意識することなくこの共通項目を自端末に設定することができる。
【0030】
この共通項目定義・設定については、既存のコンピュータ等で一般的に使用されているテーブル作成・参照技術等を使用することにより容易に実現可能である。
【0031】
(2)申請書作成・保持処理202
利用者がCA装置を用いて利用者間でユーザ認証を行う際、利用者(利用者)は何らかの手段により公開鍵証明証を取得し、それを用いることによりユーザ認証を行う。その際、ユーザ認証における一連の処理の中で行われる公開鍵登録、公開鍵証明証参照等においては申請書を用いてCA装置に対してその各サービス申請を行うが、コンピュータにおける申請を行う一連の動作として、サービス申請書保持手段12が呼び出され、各サービス申請時において作成したサービス申請書が利用者端末で保持される。
【0032】
なお、サービス申請書保持手段12の呼び出し及び各サービス申請書保持方法については、既存のコンピュータアプリケーションに組み込まれているモジュール呼び出し機能及びコンピュータに内蔵・外付けされているHDD等の機能を用いることにより実現可能である。
【0033】
(3)公開鍵証明証サイズ縮小処理203
CA装置側において、利用者からの各種サービス申請書の入力31をトリガーにして利用者の欲する公開鍵登録・公開鍵証明証参照等の各種サービス処理が実行され、公開鍵証明証が作成・検索された後、サービス申請書/証明証共通項目削除手段22が呼び出され、共通項目定義・設定手段21により定義・設定されたサービス申請書/証明証共通項目の入力32と公開鍵証明証の入力33をトリガとして、公開鍵証明証に記載されたフィールドから、サービス申請書/証明証共通項目に記載された項目に該当するフィールドを削除し、残りのフィールドにより公開鍵証明証を再構成する。
【0034】
(1)の例を用いるならば、version,issuer,subject,subjectPublicKeyInfoが削除され、特に公開鍵証明証サイズを大きくさせる原因であった公開鍵の実体が格納されるsubjectPublicKeyInfoが削除されることにより、他の要素、即ちversion,issuer,subjectを加えると、1,2個の拡張要素(一般的に世の中のCAにおいて使用されている拡張要素使用数。拡張要素未使用CAも存在する。)を使用していたとしてもその公開鍵証明証のサイズは約半分以下になる。
【0035】
なお、本処理において非常に注意しなければならないことは、作成・検索した公開鍵証明証からサービス申請書/証明証共通項目を削除した後の公開鍵証明証を再構成する際、その公開鍵証明証につけるCA署名は必ず公開鍵証明証を作成・検索した際に署名したCA署名を利用しなければならないことである。もし、ここで新規に証明証を振り直したのならば、利用者からの申請をもとに作成・検索した公開鍵証明証は全く意味をなさないものになり、かつ本発明の能力を発揮することはできなくなる。
【0036】
この公開鍵証明証サイズ縮小処理において用いられる各種サービス処理及び公開鍵証明証からサービス申請書/証明証共通項目を削除する処理については、既存コンピュータに組み込まれている参照機能及びCA装置において一般的に用いられているDelete機能を用いて実現可能である。
【0037】
(4)公開鍵証明証復元処理204
利用者端末において、CA装置から公開鍵証明証サイズ縮小処理203により作成された公開鍵証明証を受け取った際、サービス申請書/証明証共通項目抽出手段13が呼び出され、サービス申請書保持手段12により保持された、利用者がCA装置に対して申請したサービス申請書群の中よりCA装置から受け取った公開鍵証明証に対応するサービス申請書が引き出される(34)とともに、共通項目定義・設定手段11により定義・設定されたサービス申請書/証明証共通項目が入力され(35)、このサービス申請書に記載されたフィールドからサービス申請書/証明証共通項目に該当するフィールドが抽出された後、サービス申請書/証明証共通項目付加手段14が呼び出され、CA装置から受け取った(36)公開鍵証明証(公開鍵証明証サイズ縮小処理によりサービス申請書/証明証共通項目が削除された公開鍵証明証)に対してサービス申請書/証明証共通項目抽出手段13により抽出したフィールドが追加される((1)の例を用いるならば、version,issuer,subject,subjectPublicKeyInfoが追加される。)。
【0038】
その後、CA署名検証手段15が呼び出され、復元した公開鍵証明証のCA署名の正当性を署名検証により確認することによって、CA装置において利用者からの申請をもとに作成・検索した公開鍵証明証と全く同じものが作成される。
【0039】
この公開鍵証明証復元処理において用いられるCA装置から受け取った公開鍵証明証に対応するサービス申請書を検索する処理及びサービス申請書に記載されたフィールドからサービス申請書/証明証共通項目に該当するフィールドを抽出する処理、抽出したフィールドを追加する処理、復元した公開鍵証明証のCA署名検証処理は、既存のコンピュータが一般に所持している検索アルゴリズム及び追加アルゴリズム等を用いることにより達成可能である。
【0040】
【発明の効果】
以上説明したように、本発明によれば、1)認証センタ側において利用者からの申請書に基づいて公開鍵証明証を作成・検索する際、申請書に含まれないフィールドのみを利用者側に返却し、2)利用者側において認証センタから送信された公開鍵証明証に、各自で作成し認証センタに対して申請した申請書情報を付加して公開鍵証明証を復元し、復元した公開鍵証明証の署名の正当性を確認することにより、認証センタにおいて利用者からの申請書に基づいて作成・検索された公開鍵証明証と全く同じものが作成され、これにより認証センタ−利用者間において必要最小限の公開鍵証明証フィールドを送信することが可能になり、その結果として、認証センタ−利用者間での公開鍵証明証にかかる通信データ量を縮小することが可能になり、通信帯域に制限がある環境においても公開鍵証明証を効率的に発行可能となる。
【図面の簡単な説明】
【図1】X.509 Version3に規定された公開鍵証明証の要素を示す図
【図2】X.509 Version3の規定に基づく公開鍵証明証の一例を示す図
【図3】本発明の装置全体を示す構成図
【図4】本発明の利用者の端末装置を実現するプログラムを示すフローチャート
【図5】本発明の認証センタを実現するプログラムを示すフローチャート
【図6】公開鍵登録申請書(PKCS#10)の規定要素を示す図
【図7】X.509 Version3の規定に基づく公開鍵証明証における省略可能な共通項目の一例を示す図
【符号の説明】
10:利用者端末、11,21:共通項目定義・設定手段、12:サービス申請書保持手段、13:サービス申請書/証明証共通項目抽出手段、14:サービス申請書/証明証共通項目付加手段、15:CA署名検証手段、20:CA装置、22:サービス申請書/証明証共通項目削除手段、201:共通項目定義・設定処理、202:サービス申請書作成・保持処理、203:公開鍵証明証サイズ縮小処理、204:公開鍵証明証復元処理。
Claims (5)
- 申請書をもって公開鍵の登録・証明証参照等のサービスを申請した利用者端末に対し、認証センタ装置が署名を施した公開鍵証明証を発行する公開鍵証明証の発行方法において、
共通項目定義・設定手段、サービス申請書保持手段、サービス申請書/証明証共通項目抽出手段、サービス申請書/証明証共通項目付加手段及び署名検証手段を備えた利用者端末と、共通項目定義・設定手段及びサービス申請書/証明証共通項目削除手段を備えた認証センタ装置とを用い、
認証センタ装置が受け付けるサービス毎の申請書と証明証との共通項目を予め認証センタ装置の共通項目定義・設定手段−利用者端末の共通項目定義・設定手段間で定義・設定しておき、
利用者端末側でのサービス申請時には、利用者端末のサービス申請書保持手段に申請書を保持させておき、
認証センタ装置側でのサービス実行時には、利用者端末側から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、認証センタ装置のサービス申請書/証明証共通項目削除手段により、前記定義・設定した項目に該当するフィールドを削除して実際に利用者端末側に送信する公開鍵証明証を作成し、
利用者端末側での証明証受信時には、利用者端末のサービス申請書/証明証共通項目抽出手段により、前記保持した申請書から前記定義・設定した申請書と証明証との共通項目を抽出し、
利用者端末のサービス申請書/証明証共通項目付加手段により、該抽出した項目に該当するフィールドを、受信した公開鍵証明証に付加することにより公開鍵証明証を復元し、
利用者端末の署名検証手段により、復元した公開鍵証明証の署名を検証して公開鍵証明証の正当性を確認する
ことを特徴とする公開鍵証明証の発行方法。 - 申請書をもって公開鍵の登録・証明証参照等のサービスを認証センタ装置に申請する利用者端末であって、
認証センタ装置が受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
認証センタ装置に申請した申請書を保持するサービス申請書保持手段と、
認証センタ装置から証明証を受信した時、サービス申請書保持手段により保持された申請書から、共通項目定義・設定手段において定義・設定されている項目を抽出するサービス申請書/証明証共通項目抽出手段と、
サービス申請書/証明証共通項目抽出手段により抽出された項目に該当するフィールドを、受信した証明証に付加して公開鍵証明証を復元するサービス申請書/証明証共通項目付加手段と、
復元した公開鍵証明証の署名を検証する署名検証手段とを備えた
ことを特徴とする利用者端末。 - 申請書をもって公開鍵の登録・証明証参照等のサービスを申請した利用者端末に対し、署名を施した公開鍵証明証を発行する認証センタ装置であって、
受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
利用者端末から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、前記共通項目定義・設定手段において定義・設定されている項目に該当するフィールドを削除して実際に利用者端末に送信する公開鍵証明証を作成するサービス申請書/証明証共通項目削除手段とを備えた
ことを特徴とする認証センタ装置。 - 申請書をもって公開鍵の登録・証明証参照等のサービスを認証センタ装置に申請する利用者端末のプログラムを記録した媒体において、
前記プログラムはコンピュータに読み取られた際、このコンピュータを、
認証センタ装置が受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
認証センタ装置に申請した申請書を保持するサービス申請書保持手段と、
認証センタ装置から証明証を受信した時、サービス申請書保持手段により保持された申請書から、共通項目定義・設定手段において定義・設定されている項目を抽出するサービス申請書/証明証共通項目抽出手段と、
サービス申請書/証明証共通項目抽出手段により抽出された項目に該当するフィールドを、受信した証明証に付加して公開鍵証明証を復元するサービス申請書/証明証共通項目付加手段と、
復元した公開鍵証明証の署名を検証する署名検証手段として機能させる
プログラムを記録したことを特徴とする媒体。 - 申請書をもって公開鍵の登録・証明証参照等のサービスを申請した利用者端末に対し、署名を施した公開鍵証明証を発行する認証センタ装置のプログラムを記録した媒体において、
前記プログラムはコンピュータに読み取られた際、このコンピュータを、
受け付けるサービス毎の申請書と証明証との共通項目を定義・設定する共通項目定義・設定手段と、
利用者端末から受け付けた申請書に基づいて作成・検索した公開鍵証明証から、前記共通項目定義・設定手段において定義・設定されている項目に該当するフィールドを削除して実際に利用者端末に送信する公開鍵証明証を作成するサービス申請書/証明証共通項目削除手段として機能させる
プログラムを記録したことを特徴とする媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP23825999A JP3696445B2 (ja) | 1999-08-25 | 1999-08-25 | 公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP23825999A JP3696445B2 (ja) | 1999-08-25 | 1999-08-25 | 公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001069137A JP2001069137A (ja) | 2001-03-16 |
| JP3696445B2 true JP3696445B2 (ja) | 2005-09-21 |
Family
ID=17027532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP23825999A Expired - Lifetime JP3696445B2 (ja) | 1999-08-25 | 1999-08-25 | 公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3696445B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001305956A (ja) * | 2000-04-26 | 2001-11-02 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵証明書発行方法及び認証局、利用者端末並びにプログラムを記録した記録媒体 |
| EP2112625A3 (en) | 2001-06-12 | 2010-03-10 | Research in Motion | Methods for pre-processing and rearranging secure E-mail for exchange with a mobile data communication device |
| US7653815B2 (en) | 2001-06-12 | 2010-01-26 | Research In Motion Limited | System and method for processing encoded messages for exchange with a mobile data communication device |
| NO314379B1 (no) * | 2001-11-28 | 2003-03-10 | Telenor Asa | Registrering og aktivering av elektroniske sertifikater |
| JP2005512395A (ja) * | 2001-11-29 | 2005-04-28 | モルガン・スタンレー | 電子証明書を認証する方法およびシステム |
| JPWO2004100444A1 (ja) * | 2003-05-09 | 2006-07-13 | 富士通株式会社 | 署名信頼性検証方法、署名信頼性検証プログラムおよびデータ通信システム |
| JP4639732B2 (ja) * | 2004-09-30 | 2011-02-23 | 凸版印刷株式会社 | 電子証明書の編集プログラム及び方法並びにicカード |
| SG11202105077UA (en) * | 2018-11-16 | 2021-06-29 | Microsec Pte Ltd | Method and architecture for securing and managing networks of embedded systems with optimised public key infrastructure |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07160198A (ja) * | 1993-12-03 | 1995-06-23 | Fujitsu Ltd | 暗号通信における公開鍵登録方法および公開鍵証明書の発行局 |
| JPH09307544A (ja) * | 1996-05-16 | 1997-11-28 | Nippon Telegr & Teleph Corp <Ntt> | 可搬型暗号鍵認証システム |
| JPH118619A (ja) * | 1997-06-18 | 1999-01-12 | Hitachi Ltd | 電子証明書発行方法及びシステム |
| JP3617789B2 (ja) * | 1999-05-26 | 2005-02-09 | 株式会社エヌ・ティ・ティ・データ | 公開鍵証明書発行方法、検証方法、システム及び記録媒体 |
| JP2001036521A (ja) * | 1999-07-22 | 2001-02-09 | Ntt Data Corp | 電子証明書発行システム、電子証明書検証システム、電子証明書発行方法、電子証明書検証方法及び記録媒体 |
-
1999
- 1999-08-25 JP JP23825999A patent/JP3696445B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001069137A (ja) | 2001-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8813243B2 (en) | Reducing a size of a security-related data object stored on a token | |
| US9462470B2 (en) | Dual interface device for access control and a method therefor | |
| CN1983227B (zh) | 具有大容量存储器的可拆卸式电脑 | |
| US7844579B2 (en) | System and method for manipulating and managing computer archive files | |
| US8959582B2 (en) | System and method for manipulating and managing computer archive files | |
| US6839437B1 (en) | Method and apparatus for managing keys for cryptographic operations | |
| US20060143250A1 (en) | System and method for manipulating and managing computer archive files | |
| US20060173848A1 (en) | System and method for manipulating and managing computer archive files | |
| US20060143714A1 (en) | System and method for manipulating and managing computer archive files | |
| TW552786B (en) | Method and system for remote activation and management of personal security devices | |
| US8230482B2 (en) | System and method for manipulating and managing computer archive files | |
| US20020080190A1 (en) | Back-up and usage of secure copies of smart card data objects | |
| US20060143180A1 (en) | System and method for manipulating and managing computer archive files | |
| JP3696445B2 (ja) | 公開鍵証明証の発行方法並びに利用者端末及び認証センタ装置並びにこれらのプログラムを記録した媒体 | |
| CN104281272A (zh) | 密码输入处理方法及装置 | |
| US20060143252A1 (en) | System and method for manipulating and managing computer archive files | |
| CN109388923B (zh) | 一种程序执行方法及装置 | |
| US20060143199A1 (en) | System and method for manipulating and managing computer archive files | |
| JP4106875B2 (ja) | 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム | |
| US20060155788A1 (en) | System and method for manipulating and managing computer archive files | |
| CN103425936B (zh) | 一种实现数据保密的方法及电子设备 | |
| JP3327377B2 (ja) | 認証システムにおける公開鍵証明証管理方法 | |
| EP3681097A1 (en) | Secret information restorable value distribution system and method | |
| WO2022100658A1 (zh) | 一种更改安全模块中密钥的方法及*** | |
| US20060143237A1 (en) | System and method for manipulating and managing computer archive files |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050315 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050512 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050628 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050629 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080708 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090708 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090708 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100708 Year of fee payment: 5 |