JP2014033395A - Certificate invalidation list management system, certificate invalidation list generator, verification device and electronic certificate verification method - Google Patents
Certificate invalidation list management system, certificate invalidation list generator, verification device and electronic certificate verification method Download PDFInfo
- Publication number
- JP2014033395A JP2014033395A JP2012173855A JP2012173855A JP2014033395A JP 2014033395 A JP2014033395 A JP 2014033395A JP 2012173855 A JP2012173855 A JP 2012173855A JP 2012173855 A JP2012173855 A JP 2012173855A JP 2014033395 A JP2014033395 A JP 2014033395A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- revocation list
- authentication area
- electronic
- electronic certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、証明書失効リスト管理システム、証明書失効リスト生成装置、検証装置及び電子証明書検証方法に関する。 The present invention relates to a certificate revocation list management system, a certificate revocation list generation device, a verification device, and an electronic certificate verification method.
現在、コンピュータ間の通信において、公開鍵暗号方式を用いた電子署名通信や暗号通信がなされている。ここで認証局(CA:Certificate Authority)は、公開鍵証明書(CA証明書)を発行することにより、コンピュータが通信相手の正当性を確認することを可能にしている。 Currently, electronic signature communication and encryption communication using a public key encryption method are performed in communication between computers. Here, a certificate authority (CA) issues a public key certificate (CA certificate) to enable a computer to confirm the validity of a communication partner.
CA証明書は、何らかの理由で失効することもある。その場合に認証局は、CA証明書毎にクライアント証明書失効リスト(CRL:Certificate Revocation List)を発行することにより、失効した証明書にかかる情報を通知する。 The CA certificate may be revoked for some reason. In this case, the certificate authority issues information about a revoked certificate by issuing a client certificate revocation list (CRL) for each CA certificate.
クライアント端末と公開鍵暗号方式を用いた通信を行うサーバは、以下の方法でCRLを取得する。まずサーバは、CA証明書に対応するCRLの格納先(CDP)について、CA証明書毎にCDPを指定する。そして、クライアント端末がサーバに接続するときに、サーバは、所望のCRLをそのCRLに対応するCDPを参照することによって取得する。 A server that communicates with a client terminal using a public key cryptosystem acquires a CRL by the following method. First, the server designates a CDP for each CA certificate for a CRL storage location (CDP) corresponding to the CA certificate. When the client terminal connects to the server, the server acquires a desired CRL by referring to the CDP corresponding to the CRL.
関連技術として、特許文献1には、データネットワークにおける貧弱なクライアントデバイスのための集中証明書管理システムが開示されている。 As a related technique, Patent Document 1 discloses a centralized certificate management system for poor client devices in a data network.
クライアント端末と公開鍵暗号方式を用いた通信をするサーバにおいては、クライアントの認証領域(電子証明書の利用可能対象を特定する領域)を複数運用する場合が考えられる。その場合、サーバはクライアント端末がいずれの認証領域にアクセスする場合であっても、クライアント端末から取得したCA証明書が有効であるか否かを検証するために、CRLに記載された全てのCA証明書を参照する必要があった。そのため、サーバはCA証明書の効率良い検証ができないという課題があった。 In a server that communicates with a client terminal using a public key cryptosystem, there may be a case where a plurality of client authentication areas (areas for specifying electronic certificate usable targets) are operated. In that case, in order for the server to verify whether the CA certificate acquired from the client terminal is valid regardless of which authentication area the client terminal accesses, all the CAs described in the CRL are used. I had to refer to the certificate. Therefore, there has been a problem that the server cannot efficiently verify the CA certificate.
本発明は、このような問題点を解決するためになされたものであり、電子証明書の効率的な検証を可能にする証明書失効リスト管理システム、証明書失効リスト生成装置、検証装置及び電子証明書検証方法を提供することを目的とする。 The present invention has been made to solve such problems, and a certificate revocation list management system, a certificate revocation list generation device, a verification device, and an electronic device that enable efficient verification of an electronic certificate. An object is to provide a certificate verification method.
本発明の第一の態様は、クライアント端末を認証するための電子証明書の証明書失効リストを管理する証明書失効リスト管理システムを含む。この証明書失効リスト管理システムは、失効した前記電子証明書を識別する電子証明書識別情報と、当該電子証明書の利用可能対象を特定する認証領域とを関連付けて前記証明書失効リストを生成し、前記クライアント端末の認証処理を実行する場合は、前記証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより当該電子証明書が有効か否かを検証する。 A first aspect of the present invention includes a certificate revocation list management system that manages a certificate revocation list of an electronic certificate for authenticating a client terminal. The certificate revocation list management system generates the certificate revocation list by associating electronic certificate identification information for identifying the revoked electronic certificate with an authentication area for specifying a usable object of the electronic certificate. When performing authentication processing of the client terminal, a part of the entire certificate revocation list including an electronic certificate having an authentication area that is the same as the authentication area associated with the electronic certificate to be authenticated To verify whether the electronic certificate is valid.
本発明の第二の態様は、クライアント端末を認証するための電子証明書の証明書失効リストを発行する証明書失効リスト生成装置を含む。この証明書失効リスト生成装置は、失効した前記電子証明書を識別する電子証明書識別情報と、当該電子証明書の利用可能対象を特定する認証領域とを関連付けて前記証明書失効リストを生成する。 A second aspect of the present invention includes a certificate revocation list generating device that issues a certificate revocation list of an electronic certificate for authenticating a client terminal. The certificate revocation list generating device generates the certificate revocation list by associating electronic certificate identification information for identifying the revoked electronic certificate with an authentication area for specifying a usable object of the electronic certificate. .
本発明の第三の態様は、クライアント端末を認証するための電子証明書が有効であるか否かを、前記電子証明書の証明書失効リストに基づいて検証する検証装置を含む。この検証装置は、前記証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより当該電子証明書が有効か否かを検証する。 A third aspect of the present invention includes a verification device that verifies whether an electronic certificate for authenticating a client terminal is valid based on a certificate revocation list of the electronic certificate. The verification apparatus refers to a part of the entire certificate revocation list by referring to a part of the list including an electronic certificate having the same authentication area as the authentication area associated with the electronic certificate to be authenticated. Verifies whether the certificate is valid.
本発明の第四の態様は、失効した電子証明書を特定する証明書失効リストを参照して電子証明書を検証する電子証明書検証方法である。この電子証明書検証方法は、以下のステップ(a)及び(b)を含む。
(a)失効した前記電子証明書を識別する電子証明書識別情報と、当該電子証明書の利用可能対象を特定する認証領域とを関連付けて前記証明書失効リストを生成すること、
(b)前記クライアント端末の認証処理を実行する場合は、前記証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより、当該電子証明書が有効か否かを検証する。
A fourth aspect of the present invention is an electronic certificate verification method for verifying an electronic certificate with reference to a certificate revocation list that specifies a revoked electronic certificate. This electronic certificate verification method includes the following steps (a) and (b).
(A) generating the certificate revocation list by associating electronic certificate identification information for identifying the revoked electronic certificate with an authentication area that identifies a usable object of the electronic certificate;
(B) When executing authentication processing of the client terminal, a part of the entire certificate revocation list includes an electronic certificate having the same authentication area as the authentication area associated with the authentication target electronic certificate By referring to the list, it is verified whether or not the electronic certificate is valid.
上述した本発明の各態様により、電子証明書の効率的な検証を可能にする証明書失効リスト管理システム、証明書失効リスト生成装置、検証装置及び電子証明書検証方法を提供することができる。 According to each aspect of the present invention described above, it is possible to provide a certificate revocation list management system, a certificate revocation list generation apparatus, a verification apparatus, and an electronic certificate verification method that enable efficient verification of an electronic certificate.
実施の形態1
以下、図面を参照して本発明の実施の形態について説明する。
Embodiment 1
Embodiments of the present invention will be described below with reference to the drawings.
図1は、実施の形態1にかかる証明書失効リスト管理システムの一例を示す構成図である。証明書失効リスト管理システム10は、クライアント端末11(図中ではクライアントと略記)と接続されており、クライアント端末を認証するための電子証明書の証明書失効リストを予め生成し、管理している。証明書失効リスト管理システム10とクライアント端末11とは、物理的には有線又は無線により接続されている。証明書失効リスト管理システム10とクライアント端末11とは、インターネットやLAN(Local Area Network)等のネットワークを介して接続されている。
FIG. 1 is a configuration diagram illustrating an example of a certificate revocation list management system according to the first embodiment. The certificate revocation
証明書失効リスト管理システム10は、失効した電子証明書を識別する電子証明書識別情報と、その電子証明書の利用可能対象を特定する認証領域とを関連付けて証明書失効リストを生成する。そして証明書失効リスト管理システム10は認証処理を実行するときに、証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより、電子証明書が有効か否かを検証する。失効した電子証明書を識別する電子証明書識別情報は、例えば失効した電子証明書のシリアル番号といった情報である。電子証明書識別情報は、その他、失効した電子証明書を識別可能であるならば、いかなる情報であってもよい。
The certificate revocation
証明書失効リスト管理システム10は、例えば電子証明書及び電子証明書に対応する証明書失効リストを生成する認証局や、クライアント端末11の電子証明書の正当性を検証する検証装置(サーバ、ゲートウェイ等の装置)により構成される。
The certificate revocation
クライアント端末11は、証明書失効リスト管理システム10にアクセスして、電子証明書の検証処理を受ける。そして、クライアント端末11は、電子証明書に関連付けられた証明書失効リスト管理システム10内の認証領域にアクセスする。
The
図2は、証明書失効リスト管理システム10の処理例を示すフローチャートである。以下、図2を用いて、認証処理のときに証明書失効リスト管理システム10が実行する処理について説明する。
FIG. 2 is a flowchart showing a processing example of the certificate revocation
クライアント端末11は、証明書失効リスト管理システム10にアクセスする。ここで証明書失効リスト管理システム10は、クライアント端末11の電子証明書(認証処理対象の電子証明書)を識別する電子証明書識別情報を取得する(ステップS11)。
The
次に証明書失効リスト管理システム10は、クライアント端末11の電子証明書と関連付けられた認証領域がどの認証領域であるかを判定する(ステップS12)。
Next, the certificate revocation
証明書失効リスト管理システム10は、例えば電子証明書識別情報が付された電子証明書をクライアント端末11から取得することにより、ステップS11の処理をすることができる。あるいは、証明書失効リスト管理システム10は、クライアント端末11から電子証明書に関連付けられた認証領域の情報を取得することにより、ステップS11の処理をしてもよい。
The certificate revocation
同様に、証明書失効リスト管理システム10は、認証領域の情報が付された電子証明書をクライアント端末11から取得することにより、ステップS12の判定をすることができる。あるいは、証明書失効リスト管理システム10は、クライアント端末11から電子証明書に関連付けられた認証領域の情報を取得することにより、ステップS12の判定をしてもよい。
Similarly, the certificate revocation
なお、ステップS11、S12の処理は同時になされてもよいし、逆の順番でなされてもよい。 Note that the processing of steps S11 and S12 may be performed simultaneously or in the reverse order.
証明書失効リスト管理システム10は、ステップS11で取得した電子証明書識別情報と、ステップS12で判定した認証領域に基づき、管理する証明書失効リストを参照する(ステップS13)。ここで、証明書失効リスト管理システム10は、証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照する。
The certificate revocation
上述の処理について、例を挙げて説明する。証明書失効リスト管理システム10における認証領域が、認証領域a、認証領域b、認証領域c、認証領域d、認証領域e、認証領域fの6つあり、クライアント端末の電子証明書に関連付けられた認証領域が認証領域aである場合を考える。ここで、証明書失効リスト管理システム10は、証明書失効リストのうち、認証領域aを有する電子証明書を含む一部のリストを参照する。証明書失効リスト管理システム10は、認証領域aのみを含むリストを参照してもよいし、認証領域a、bを含むリストを参照してもよい。あるいは、証明書失効リスト管理システム10は、認証領域a〜認証領域eを含むリストを参照してもよいし、認証領域a〜認証領域d及び認証領域fを含むリストを参照してもよい。
The above process will be described with an example. There are six authentication areas in the certificate revocation list management system 10: an authentication area a, an authentication area b, an authentication area c, an authentication area d, an authentication area e, and an authentication area f, which are associated with the electronic certificate of the client terminal. Consider a case where the authentication area is the authentication area a. Here, the certificate revocation
ここで、証明書失効リスト管理システム10は、予め証明書失効リストを失効した電子証明書の認証領域毎に分けて生成していてもよい。証明書失効リスト管理システム10は、ステップS13において、認証領域aを有する電子証明書を含む一部のリストを参照する。あるいは、証明書失効リスト管理システム10は、1の証明書失効リストに、失効した電子証明書の電子証明書識別情報と、電子証明書の認証領域とを対応付けて記載することにより、証明書失効リストを生成してもよい。その場合、証明書失効リスト管理システム10は、ステップS13において、ステップS12の処理で判定した認証領域をキーとして証明書失効リストを検索することにより、認証領域aを有する電子証明書を含む一部のリストを参照してもよい。このようにして、証明書失効リスト管理システム10は、失効した電子証明書と当該電子証明書の認証領域とを関連付けて前記証明書失効リストを生成している。
Here, the certificate revocation
以上の処理により、証明書失効リスト管理システム10は、認証領域aを有する電子証明書を含む一部のリストを抽出することができる。証明書失効リスト管理システム10は、抽出したリスト中の電子証明書を参照することにより、クライアント端末11の電子証明書が有効か否か(失効されていないかどうか)を検証する。
With the above processing, the certificate revocation
証明書失効リスト管理システム10は、参照した証明書失効リストに、クライアント端末11の電子証明書の電子証明書識別情報の記載があるか否かを判定する(ステップS14)。
The certificate revocation
証明書失効リストにクライアント端末11の電子証明書識別情報が記載されている場合には(ステップS14のYes)、証明書失効リスト管理システム10は認証処理対象の電子証明書が失効していると判定する(ステップS15)。
When the electronic certificate identification information of the
証明書失効リストにクライアント端末11の電子証明書が記載されていない場合には(ステップS14のNo)、証明書失効リスト管理システム10は認証処理対象の電子証明書が有効であると判定する(ステップS16)。
When the electronic certificate of the
以上の処理において、証明書失効リスト管理システム10は、電子証明書の有効性を検証するときに、証明書失効リストに記載された全ての電子証明書を参照する必要がない。従って、証明書失効リスト管理システム10は、電子証明書の有効性をより早く検証できるため、電子証明書の効率的な検証を可能にすることができる。
In the above processing, the certificate revocation
なお、証明書失効リスト管理システム10は、次のような認証局の装置(証明書失効リスト生成装置)と検証装置を含むことにより構成されていてもよい。認証局の装置は、クライアント端末を認証するための電子証明書の証明書失効リストを発行し、失効した電子証明書を識別する電子証明書識別情報と、その電子証明書の利用可能対象を特定する認証領域とを関連付けて証明書失効リストを生成する。
The certificate revocation
検証装置は、クライアント端末を認証するための電子証明書が有効であるか否かを、電子証明書の証明書失効リストに基づいて検証する。具体的には、検証装置は、証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより、その電子証明書が有効か否かを検証する。参照する証明書失効リストは、上述の認証局の装置により生成される。 The verification device verifies whether the electronic certificate for authenticating the client terminal is valid based on the certificate revocation list of the electronic certificate. Specifically, the verification device refers to a part of the entire certificate revocation list that includes an electronic certificate having the same authentication area as the authentication area associated with the authentication target electronic certificate. Verify whether the electronic certificate is valid. The certificate revocation list to be referred to is generated by the above-described certificate authority device.
実施の形態1に記載した発明の一態様には、失効した電子証明書を特定する証明書失効リストを参照して電子証明書を検証する電子証明書検証方法も含まれる。この電子証明書検証方法は、以下のステップ(a)及び(b)を含む。
(a)失効した前記電子証明書を識別する電子証明書識別情報と、当該電子証明書の利用可能対象を特定する認証領域とを関連付けて前記証明書失効リストを生成すること、
(b)前記クライアント端末の認証処理を実行する場合は、前記証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより、当該電子証明書が有効か否かを検証する。
One aspect of the invention described in Embodiment 1 includes an electronic certificate verification method that verifies an electronic certificate with reference to a certificate revocation list that specifies a revoked electronic certificate. This electronic certificate verification method includes the following steps (a) and (b).
(A) generating the certificate revocation list by associating electronic certificate identification information for identifying the revoked electronic certificate with an authentication area that identifies a usable object of the electronic certificate;
(B) When executing authentication processing of the client terminal, a part of the entire certificate revocation list includes an electronic certificate having the same authentication area as the authentication area associated with the authentication target electronic certificate By referring to the list, it is verified whether or not the electronic certificate is valid.
実施の形態2
以下、図面を参照して本発明の実施の形態2について説明する。図2は、本発明のクライアント証明書失効管理方式の一実施例であるSSL(Secure Socket Layer)暗号化システムを示す構成図である。SSL暗号化システム20は、SSL−VPN(Virtual Private Network)ゲートウェイ装置27、認証局28及び端末29を備える。SSL−VPN(Virtual Private Network)ゲートウェイ装置27は、クライアント端末21〜25とインターネット26を介して、公開鍵暗号方式を用いた電子署名通信や暗号通信を実行することができる。
Embodiment 2
The second embodiment of the present invention will be described below with reference to the drawings. FIG. 2 is a block diagram showing an SSL (Secure Socket Layer) encryption system which is an embodiment of the client certificate revocation management system of the present invention. The
個々のクライアント端末21〜25は、SSL−VPNゲートウェイ装置27とインターネット26を介して接続されており、暗号化にSSLを利用したVPN技術を用いてSSL−VPNゲートウェイ装置27、端末29と通信を実行する。
The
SSL−VPNゲートウェイ装置(検証装置)27は、クライアント端末21〜25と通信を実行する装置である。またSSL−VPNゲートウェイ装置27は、認証局28からCRL(クライアント証明書失効リスト)29を取得する。クライアント端末21〜25は、SSL−VPNゲートウェイ装置27が設定した端末29の認証領域a、認証領域bの少なくともいずれかにアクセスすることができる。クライアント端末21〜25は、SSL−VPNゲートウェイ装置27において認証処理を受けることにより、端末29にアクセスすることができる。換言すれば、SSL−VPNゲートウェイ装置27は、クライアント端末21〜25が端末29にアクセス可能か否かを制御する装置である。
The SSL-VPN gateway device (verification device) 27 is a device that performs communication with the
認証局28は、クライアント証明書(電子証明書)及びクライアント証明書に対応するCRL281を発行(生成)する。SSL−VPNゲートウェイ装置27及び認証局28は、図1における証明書失効リスト管理システム10に対応する。
The
CRL281は、失効したクライアント証明書を示すクライアント証明書失効リストである。CRL281においては、失効したクライアント証明書を識別するシリアル番号と、電子証明書の認証領域とが関連付けられている。認証局28は、認証領域毎にCRL281を複数生成し、格納している。
The
端末29はSSL−VPNゲートウェイ装置27に従属している装置であり、SSL−VPNゲートウェイ装置27を介してクライアント端末21〜25と接続することが可能である。
The terminal 29 is a device subordinate to the SSL-
認証局28、端末29はイントラネットの内側にあってLANで接続されている装置であり、SSL−VPNゲートウェイ装置27を介してインターネット26と接続されている。
The
図4は、本発明のクライアント証明書失効リスト管理方式の一実施例であるCRL管理方式を示す構成図である。図4では、SSL−VPNゲートウェイ装置27の制御部及び認証局28の制御部の構成が示されている。
FIG. 4 is a configuration diagram showing a CRL management method as an embodiment of the client certificate revocation list management method of the present invention. In FIG. 4, the structure of the control part of the SSL-
SSL−VPNゲートウェイ装置制御部30は、SSL−VPNゲートウェイ装置27においてCRLに関する制御を実行する。SSL−VPNゲートウェイ装置制御部30は、クライアント証明書ユーザ情報取得処理部(証明書情報取得部)31、認証領域対応CDP設定部(CDP設定部)32、認証領域対応CRL取得部(CRL取得部)33、認証領域対応CDP設定部(CDP設定部)34、認証領域対応CRL取得部(CRL取得部)35、フラグ格納部36、キャッシュCRL部37、38及び証明書有効判定部39を備える。なお、SSL−VPNゲートウェイ装置制御部30における各部は、適宜IC(Integrated Circuit)等のハードウェア、プログラム等のソフトウェア等により構成される。
The SSL-VPN gateway
クライアント証明書ユーザ情報取得処理部31は、SSL−VPNゲートウェイ装置27がクライアント端末21〜25のいずれかから取得したクライアント証明書から、クライアント証明書のユーザ情報として含まれる認証領域の情報を取得する。
The client certificate user information
認証領域対応CDP設定部32は、認証領域に対応するCDPを予め設定する。認証領域対応CDP設定部32は、認証領域aに対応するCDPとしてCDP43を設定し、その設定を設定格納部321に格納する。認証領域対応CDP設定部32は、認証領域bに対応するCDPとしてCDP44を設定し、その設定を設定格納部322に格納する。
The authentication area corresponding
認証領域対応CRL取得部33は、クライアント証明書ユーザ情報取得処理部31が取得した認証領域の情報を参照する。そして、参照した認証領域に対応するCDPを設定格納部321又は322を参照することにより抽出し、そのCDP(認証局制御部内のCDP43又は44)からCRLを取得する。
The authentication area corresponding
認証領域対応CDP設定部34、認証領域対応CRL取得部35は、それぞれ認証領域対応CDP設定部32、認証領域対応CRL取得部33と同様の処理を実行する。
The authentication area-corresponding
なお、図4では認証領域対応CDP設定部、認証領域対応CRL取得部をそれぞれ2つずつSSL−VPNゲートウェイ装置制御部30に設けているが、それ以上の数をSSL−VPNゲートウェイ装置制御部30に設けてもよい。認証領域対応CDP設定部、認証領域対応CRL取得部を複数設けることにより、SSL−VPNゲートウェイ装置制御部30におけるCRLの取得処理をより早く実行することができる。
In FIG. 4, two authentication area-corresponding CDP setting units and two authentication area-corresponding CRL acquisition units are provided in the SSL-VPN gateway
フラグ格納部36は、認証局制御部40内に格納されたCRLが更新された場合に、SSL−VPNゲートウェイ装置制御部30がその旨を示すフラグを格納する格納部である。フラグ格納部36には、CRLa更新フラグ及びCRLb更新フラグが格納されている。SSL−VPNゲートウェイ装置制御部30は、認証局制御部40に格納されたCRLを参照し、認証領域aに対応するCRLが更新された場合には、フラグ格納部36に格納されたCRLa更新フラグを「1」に設定する。SSL−VPNゲートウェイ装置制御部30は、認証領域aに対応するCRLが更新されていない場合には、CRLa更新フラグを「0」に設定する。同様に、認証領域bに対応するCRLが更新された場合には、SSL−VPNゲートウェイ装置制御部30は、フラグ格納部36に格納されたCRLb更新フラグを「1」に設定する。認証領域bに対応するCRLが更新されていない場合には、SSL−VPNゲートウェイ装置制御部30は、CRLb更新フラグを「0」に設定する。
The
キャッシュCRL部(キャッシュ格納部)37、38は、それぞれ認証領域a、認証領域bのCDPに対応したCRL371(CRLa)、CRL381(CRLb)をキャッシュする。認証領域対応CRL取得部33、35は、CDP43からCRLaを取得したときに、CRLaをCRL371としてキャッシュCRL部37に格納する。認証領域対応CRL取得部33、35は、CDP44からCRLbを取得したときに、CRLbをCRL381としてキャッシュCRL部38に格納する。
The cache CRL units (cache storage units) 37 and 38 cache CRLs 371 (CRLa) and CRL 381 (CRLb) corresponding to the CDPs of the authentication area a and the authentication area b, respectively. When the
なお、CRL371は複数のリストを含んでおり、CRL381は1つのリストを含んでいる。これは、認証領域aにおける失効した電子証明書の数と、認証領域bにおける失効した電子証明書の数とが異なるためである。
The
証明書有効判定部39は、認証領域対応CRL取得部33又は35が取得したCRLに基づいて、クライアント端末から取得したクライアント証明書が有効か否かを判定する。
The certificate
認証局制御部40は、クライアント証明書及びCRLに関する制御を実行する。認証局制御部40は、証明書発行処理部41、証明書失効処理部42、CDP43(CDPa)及びCDP44(CDPb)を備える。認証局制御部40における各部は、適宜IC等のハードウェア、プログラム等のソフトウェア等により構成される。
The certificate
証明書発行処理部41は、クライアント証明書を発行する。証明書失効処理部42は、証明書発行処理部41が発行したクライアント証明書に対応するCRLを発行し、CDP43、44に格納する。
The certificate
CDP43は、認証領域aに対応するCRL431(CRLa)を格納しており、CDP44は、認証領域bに対応するCRL441(CRLb)を格納している。換言すれば、CRL431(CRLa)には、認証領域aに関する証明書の失効情報のみが記載されており、CRL441(CRLb)には、認証領域bに関する証明書の失効情報のみが記載されている。CDP43、44は、認証領域対応CRL取得部33、35がCRLを参照する参照先である。図4において、認証領域a、bに対し、CDPは1つずつ設定されている。
The
CDP43、44は、証明書失効処理部42がCRLを格納する異なる格納先である。具体的には、CDP43、44は、認証局制御部40内の異なるメモリアドレスにある格納先である。
The
なお、CRL431は複数のリストを含んでおり、CRL441は1つのリストを含んでいる。これは、認証領域aにおける失効した電子証明書の数と、認証領域bにおける失効した電子証明書の数とが異なるためである。
The
図5は、実施の形態2において証明書発行処理部41が発行するクライアント証明書の一例を示した図である。図5では、クライアント証明書1〜5が例として図示されている。
FIG. 5 is a diagram illustrating an example of a client certificate issued by the certificate
クライアント証明書1には、クライアント証明書1のユーザを示す「User1」、シリアル番号(電子証明書識別情報)として「Serial番号1」、認証領域として「認証領域a」の情報がユーザ情報として記載されて(含まれて)いる。つまり、クライアント証明書1には、クライアント証明書に関連付けられた認証領域を示す認証領域情報が付されている。 In the client certificate 1, “User1” indicating the user of the client certificate 1, “Serial number 1” as the serial number (electronic certificate identification information), and “authentication area a” as the authentication area are described as user information. Have been (included). That is, the authentication area information indicating the authentication area associated with the client certificate is attached to the client certificate 1.
クライアント証明書2には、クライアント証明書2のユーザを示す「User2」、シリアル番号として「Serial番号2」、認証領域として「認証領域a」の情報が記載されている。 The client certificate 2 includes information “User2” indicating the user of the client certificate 2, “Serial number 2” as the serial number, and “Authentication area a” as the authentication area.
クライアント証明書3には、クライアント証明書3のユーザを示す「User3」、シリアル番号として「Serial番号3」、認証領域として「認証領域a」の情報が記載されている。 The client certificate 3 includes “User 3” indicating the user of the client certificate 3, information “Serial number 3” as the serial number, and “authentication area a” as the authentication area.
クライアント証明書4には、クライアント証明書4のユーザを示す「User4」、シリアル番号として「Serial番号4」、認証領域として「認証領域b」の情報が記載されている。 The client certificate 4 includes information “User 4” indicating the user of the client certificate 4, “Serial number 4” as the serial number, and “Authentication area b” as the authentication area.
クライアント証明書5には、クライアント証明書5のユーザを示す「User5」、シリアル番号として「Serial番号5」、認証領域として「認証領域b」の情報が記載されている。 The client certificate 5 includes “User 5” indicating the user of the client certificate 5, “Serial number 5” as the serial number, and “Authentication area b” as the authentication area.
図6は、認証局制御部40内のCDP43、CDP44に格納される情報を示す図である。
FIG. 6 is a diagram showing information stored in the
CDP43には、CRL431(CRLa)、CRLa発行情報432が格納されている。CRLa発行情報432は、CRL431の発行日、CRL431の次の更新予定日、CRL431に関する失効した証明書情報等の情報が記載されている。本例では、CRLa発行情報432には、「Serial番号3」の証明書が失効したことを示す情報が記載されている。つまり、CRL431にも、「Serial番号3」の証明書が失効したことを示す情報が記載されている。
The
CDP44には、CRL441(CRLb)、CRLb発行情報442が格納されている。CRLb発行情報442は、CRL441の発行日、CRL441の次の更新予定日、CRL441に記載された失効した証明書情報等の情報が記載されている。本例では、CRLb発行情報442には、「Serial番号5」の証明書が失効したことを示す情報が記載されている。つまり、CRL441にも、「Serial番号5」の証明書が失効したことを示す情報が記載されている。
The
SSL−VPNゲートウェイ装置制御部30が、クライアント認証の処理を実行する概要について説明する。まず、クライアント端末21〜25は、予め認証局28から、それぞれクライアント証明書1〜5を取得する。SSL−VPNゲートウェイ装置制御部30は、クライアント端末21〜25のいずれかが認証領域にアクセスする際に、クライアント端末からクライアント証明書を取得する。
The outline | summary in which the SSL-VPN gateway
クライアント証明書ユーザ情報取得処理部31は、取得したクライアント証明書に含まれる認証領域の情報を取得する。認証領域対応CRL取得部33又は35は、証明書失効処理部42が発行したCRL431又は441に更新がある場合には、クライアント証明書ユーザ情報取得処理部31が取得した認証領域の情報に応じて、予め設定された認証領域に対応するCDP(CDP43又は44)を参照する。このようにして、認証領域対応CRL取得部33又は35は、認証局28から発行されたCRLを取得する。
The client certificate user information
認証領域対応CRL取得部33又は35は、CDP43又は44に格納されたCRLに更新がないと、認証領域に対応したキャッシュCRL部(キャッシュCRL部38又は39)を参照する。認証領域対応CRL取得部33又は35は、何らかの理由でCDPを参照できない場合にも、認証領域に対応したキャッシュCRL部を参照する。
If there is no update in the CRL stored in the
なお、認証領域対応CRL取得部33又は35は、CRL431又は441の更新の有無について、フラグ格納部36を参照することにより判定する。認証領域対応CRL取得部33又は35は、フラグ格納部36に格納されたフラグが「1」であれば更新があり、フラグが「0」であれば更新がないと判定する。
The authentication area corresponding
SSL−VPNゲートウェイ装置制御部30は、以上のようにしてCRLを取得し、CRLとクライアントから取得したクライアント証明書とを照合して、クライアント証明書がCRLに記載されているか否かを判定する。
The SSL-VPN gateway
クライアントから取得したクライアント証明書がCRLに記載されている場合には、クライアントから取得したクライアント証明書は失効されたものであると認められる。その場合、SSL−VPNゲートウェイ装置制御部30は、クライアントからのアクセスを許可しない。
When the client certificate acquired from the client is described in the CRL, it is recognized that the client certificate acquired from the client has been revoked. In that case, the SSL-VPN gateway
クライアントから取得したクライアント証明書がCRLに記載されていない場合には、クライアントから取得したクライアント証明書は失効していないものであると認められる。その場合、SSL−VPNゲートウェイ装置制御部30は、クライアントからのアクセスを許可する。SSL−VPNゲートウェイ装置制御部30は、このようにして、クライアント認証を完了する。
If the client certificate acquired from the client is not described in the CRL, it is recognized that the client certificate acquired from the client has not expired. In that case, the SSL-VPN gateway
図7は、SSL−VPNゲートウェイ装置制御部30の処理の詳細の一例を示すフローチャートである。図7を用いて、SSL−VPNゲートウェイ装置制御部30がクライアント証明書失効リスト(CRL)を管理及び運用するための最良の形態の処理を説明する。
FIG. 7 is a flowchart illustrating an example of details of processing of the SSL-VPN gateway
ここで、認証局28は、予め証明書発行処理部41にて、認証領域の情報として「認証領域a」又は「認証領域b」を記載した図5に記載のクライアント証明書1〜5を発行する。さらに証明書失効処理部42は、CRL431(CRLa)を発行し、認証領域aに対応するCDP43へ格納する。証明書失効処理部42は、CRL441(CRLb)を発行し、認証領域bに対応するCDP44へ格納する。
Here, the
認証領域対応CDP設定部32は、予めクライアントの認証領域に対応したCDP43(CDPa)とCDP44(CDPb)を設定する。認証領域対応CDP設定部34も、同様の設定処理を実行する。また、SSL−VPNゲートウェイ装置制御部30は、認証局制御部40内に格納されたCRL431(CRLa)の更新の有無を予め確認し、更新があればフラグ格納部36に格納されたCRLa更新フラグを「1」に設定し、更新がなければフラグ格納部36に格納されたCRLa更新フラグを「0」に設定する。SSL−VPNゲートウェイ装置制御部30は、CRL441(CRLb)の更新の有無を予め確認し、更新があればフラグ格納部36に格納されたCRLb更新フラグを「1」に設定し、更新がなければフラグ格納部36に格納されたCRLb更新フラグを「0」に設定する。以上の処理がなされた状態でSSL−VPNゲートウェイ装置27の実行する処理について説明する。
The authentication area corresponding
図5に記載のクライアント証明書1を保有したクライアント端末21は、インターネット26を介して、SSL−VPNゲートウェイ装置27にアクセスする。SSL−VPNゲートウェイ装置27は、クライアント端末21に対し、クライアント証明書の送付を要求する。クライアント端末21は、SSL−VPNゲートウェイ装置27から出力された要求に基づいて、自身が保有するクライアント証明書1を暗号化してSSL−VPNゲートウェイ装置27に送付する。SSL−VPNゲートウェイ装置27は、送付されたクライアント証明書1の復号化処理を実行する。SSL−VPNゲートウェイ装置27は、以上のように取得したクライアント証明書1に基づいて、以下のクライアント認証処理を実行する。
The
まずSSL−VPNゲートウェイ装置制御部30は、取得したクライアント証明書1において、認証領域の情報が記載されているか否かを調べる(ステップS21)。
First, the SSL-VPN gateway
クライアント証明書1に認証領域の情報が記載されている場合(ステップS21のYes)、クライアント証明書ユーザ情報取得処理部31は、クライアント証明書1の認証領域の情報をクライアント証明書1から取得する(ステップS22)。本例では、クライアント証明書1には、図5に示す通り「認証領域a」の情報が記載されている。従って、クライアント証明書ユーザ情報取得処理部31は、「認証領域a」の情報を取得する。
When the authentication certificate information is described in the client certificate 1 (Yes in step S21), the client certificate user information
クライアント証明書1に認証領域の情報が記載されていない場合(ステップS21のNo)、SSL−VPNゲートウェイ装置制御部30は、クライアント証明書1における標準の認証領域を、SSL−VPNゲートウェイ装置制御部30の記憶部(図示せず)から取得する(ステップS23)。ここで記憶部には、予めクライアント証明書1の標準の認証領域が認証領域aであると設定されている。以上のようにして、SSL−VPNゲートウェイ装置制御部30は、クライアント証明書1の認証領域が認証領域aであると設定する処理を実行する。なお図7では、以上の処理を「標準認証領域設定」として記載している。
When the authentication certificate information is not described in the client certificate 1 (No in step S21), the SSL-VPN gateway
ステップS22又はS23の処理が実行された後、認証領域対応CRL取得部33は、フラグ格納部36内のCRLa更新フラグを参照する(ステップS24)。これにより、認証領域対応CRL取得部33は、クライアント証明書1に記載された認証領域aに対応するCRL431(CRLa)の更新の有無について判定する(ステップS25)。更新の有無の判定の詳細については前述の通りである。
After the process of step S22 or S23 is executed, the authentication area corresponding
フラグ格納部36に格納されたCRLa更新フラグが「1」の場合、すなわちCRL431(CRLa)が更新されている場合には(ステップS25のYes)、認証領域対応CRL取得部33は、認証領域対応CDP設定部32内の設定格納部321を参照する。これにより、認証領域対応CRL取得部33は、認証領域aに対応するCDPとしてCDP43(CDPa)が予め設定されたことを検出する。
When the CRLa update flag stored in the
この検出結果に応じて、認証領域対応CRL取得部33は、CDP43を選択し、アクセスする(ステップS26)。そして、認証領域対応CRL取得部33は、CDP43に格納されたCRL431(CRLa)を参照することが可能か否かを判定する(ステップS27)。
In response to the detection result, the authentication area corresponding
CRL431(CRLa)を参照することが可能な場合(ステップS27のYes)、認証領域対応CRL取得部33は、CDP43からCRL431を取得した後、CRL431が正しく取得されたかどうかを検証する(ステップS28)。そして認証領域対応CRL取得部33は、取得したCRL431を、認証領域aに対応したキャッシュCRL部38へ格納する(ステップS29)。
When it is possible to refer to the CRL 431 (CRLa) (Yes in step S27), the authentication area-corresponding
ステップS24において、フラグ格納部36に格納されたCRLa更新フラグが「0」の場合、すなわちCRL431(CRLa)が更新されていない場合には(ステップS25のNo)、認証領域対応CRL取得部33は、認証領域aに対応するキャッシュCRL部38を参照する(ステップS30)。そして認証領域対応CRL取得部33は、キャッシュCRL部38に格納されたCRLaを取得した後、CRLaが正しく取得されたかどうかを検証する(ステップS31)。
In step S24, when the CRLa update flag stored in the
ステップS27において、CRL431(CRLa)を参照することが不可能な場合にも(ステップS27のNo)、認証領域対応CRL取得部33は、認証領域aに対応するキャッシュCRL部38を参照する(ステップS30)。そして認証領域対応CRL取得部33は、ステップS31の処理を実行する。
Even when it is impossible to refer to CRL 431 (CRLa) in step S27 (No in step S27), the authentication area corresponding
クライアント端末21ではなく、別のクライアント証明書を有するクライアント端末22〜25のいずれかがアクセスした場合でも、SSL−VPNゲートウェイ装置制御部30は同様の処理を実行する。また、クライアント証明書に記載されている認証領域は認証領域bでもよい。すなわち、クライアント端末がアクセスしようとする認証領域は認証領域bでもよい。この場合、認証領域対応CRL取得部33は、CDP44に格納されたCRL441(CRLb)又はキャッシュCRL部38に格納されたCRL381(CRLb)を取得する。
Even when any one of the
以下、証明書有効判定部39は、取得したCRLにおいて、クライアント端末21から取得したクライアント証明書1を示すシリアル番号が記載されているか否かを判定することにより、クライアント証明書1が有効か失効されているかを判定する。この判定処理は図2のステップS14〜S16と同様の処理である。
Thereafter, the certificate
例えば、SSL−VPNゲートウェイ装置制御部30がクライアント端末21からクライアント証明書1を取得した場合には、証明書有効判定部39は図6に記載したCRL431(CRLa)を参照する。ここで、CRL431にはシリアル番号として「Serial番号3」が記載されているものの、クライアント証明書1を示す「Serial番号1」は記載されていない。従って、証明書有効判定部39は、クライアント証明書1が有効であると判定する。
For example, when the SSL-VPN gateway
SSL−VPNゲートウェイ装置制御部30がクライアント端末25からクライアント証明書5を取得した場合には、証明書有効判定部39は図6に記載したCRL441(CRLb)を参照する。ここで、CRL441にはクライアント証明書5を示すシリアル番号として「Serial番号5」が記載されている。従って、証明書有効判定部39は、クライアント証明書5が無効であると判定する。
When the SSL-VPN gateway
上述の例では、認証領域対応CRL取得部33がCRLの取得処理を実行したが、認証領域対応CRL取得部35が同様の取得処理を実行してもよい。この場合、認証領域対応CRL取得部35は、設定格納部の参照に際して、認証領域対応CDP設定部34内の設定格納部341又は342を参照する。
In the above-described example, the authentication area-corresponding
実施の形態2において、SSL−VPNゲートウェイ装置制御部30は、認証局制御部40に格納された全てのCRLのうち(CRL全体のうち)、認証処理対象のクライアント証明書と関連付けられた認証領域と同一の認証領域を有するクライアント証明書を含む一部のリストを参照している。従って、SSL−VPNゲートウェイ装置制御部30は、クライアント証明書の有効性をより早く検証できるため、効率良い検証を実現することができる。
In the second embodiment, the SSL-VPN gateway
さらに実施の形態2において、証明書発行処理部41は、クライアント証明書に、そのクライアント証明書と関連付けられた認証領域を示す認証領域情報を付して発行している。そのため、SSL−VPNゲートウェイ装置制御部30は、その認証領域情報を取得することにより、容易にクライアント証明書に関連付けられた認証領域を検証することができる。
Furthermore, in the second embodiment, the certificate
SSL−VPNゲートウェイ装置制御部30は、認証局制御部40に格納された全てのCRLのうち、認証処理対象のクライアント証明書と関連付けられた認証領域と同一の認証領域を有するクライアント証明書のみを参照している。つまり、認証処理対象のクライアント証明書における認証領域が認証領域aであれば、認証領域aのみに関するCRLを参照する。これにより、SSL−VPNゲートウェイ装置制御部30は、他の認証領域に関するCRLを参照する場合と比較して、クライアント証明書の有効性をより早く検証できるため、効率良い検証を実現することができる。
The SSL-VPN gateway
証明書失効処理部42は、認証領域毎にCRLを分割し、生成している。このため、失効したクライアント証明書の情報が一つのCRLに全て記載されている場合と比較して、認証領域に基づくCRLの管理及び運用がより容易になる。さらに、SSL−VPNゲートウェイ装置制御部30は、CRLを選択することにより、容易に認証処理対象のクライアント証明書と関連付けられた認証領域と同一の認証領域を有するクライアント証明書のみを参照することができる。
The certificate
従来では、SSL−VPNゲートウェイ装置27で認証領域を複数運用する場合でも、失効されたクライアント証明書とその認証領域とはCRLにおいて関連付けられていなかった。特に、管理するCRLが一つの場合、CRLの効率良い管理ができなかった。本例では、CRLが認証領域毎に分割され、SSL−VPNゲートウェイ装置27は認証処理対象となったクライアント証明書が有する認証領域に対応したCRLのみを取得することができる。そのため、管理者の運用ポリシーに沿ったクライアント失効管理を容易に実行することができる。換言すれば、クライアント証明書失効管理者の管理作業を効率的にすることができる。
Conventionally, even when a plurality of authentication areas are operated in the SSL-
証明書失効処理部42は、CRLを認証領域に応じて異なる格納先に格納している。そして、認証領域対応CRL取得部33又は35は、認証処理対象のクライアント証明書と関連付けられた認証領域に基づいてアクセスする格納先を選択することにより、取得するCRLを選択する。これにより、SSL−VPNゲートウェイ装置制御部30は、容易に認証処理対象のクライアント証明書と関連付けられた認証領域と同一の認証領域を有するクライアント証明書のみを参照することができる。
The certificate
SSL−VPNゲートウェイ装置制御部30は、CRLのキャッシュを格納するキャッシュCRL部を備える。SSL−VPNゲートウェイ装置制御部30は、CDP内のCRLが参照可能ではないと判定したとき、キャッシュCRL部に格納されたCRL全体のうち、認証処理対象のクライアント証明書と関連付けられた認証領域と同一の認証領域を有するクライアント証明書を含む一部のリストのキャッシュを参照する。このため、CDP内のCRLが何らかの理由で参照可能ではない場合でも、SSL−VPNゲートウェイ装置制御部30は不具合なく認証対象のクライアント証明書を検証することができる。つまり、クライアント端末において認証処理のための接続が可能となる。そのため、SSL−VPNゲートウェイ装置27がクライアントの有効状態を判断できず、クライアントの接続先へのアクセスが一切不能になるということがない。
The SSL-VPN gateway
さらに、SSL−VPNゲートウェイ装置制御部30は、CDP内のCRLが更新されていないと判定したとき、キャッシュCRL部に格納されたCRL全体のうち、認証処理対象のクライアント証明書と関連付けられた認証領域と同一の認証領域を有するクライアント証明書を含む一部のリストのキャッシュを参照する。このため、CDP内のCRLが更新されていない場合には、SSL−VPNゲートウェイ装置制御部30は認証局制御部40にアクセスしてCRLを参照する必要がない。そのため、検証における処理速度を向上させることができる。
Further, when the SSL-VPN gateway
特に、SSL−VPNゲートウェイ装置制御部30は、取得したCRLを認証領域毎に分けてキャッシュCRL部に格納し、検証処理のときに、認証処理対象のクライアント証明書と関連付けられた認証領域と同一の認証領域を有するクライアント証明書のみを含むリストのキャッシュを参照している。このため、SSL−VPNゲートウェイ装置制御部30は、クライアント証明書の有効性をより早く検証できるため、効率良い検証を実現することができる。
In particular, the SSL-VPN gateway
以上のようにして、クライアント証明書認証を実行するクライアント証明書失効リスト管理システムの信頼性向上を図ることができる。 As described above, it is possible to improve the reliability of the client certificate revocation list management system that performs client certificate authentication.
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。 Note that the present invention is not limited to the above-described embodiment, and can be changed as appropriate without departing from the spirit of the present invention.
例えば、実施の形態2において認証局28はイントラネットの内側にある装置でなくてもよく、SSL−VPNゲートウェイ装置27とは無関係にインターネット26に接続された装置であってもよい。端末29は、SSL−VPNゲートウェイ装置27に従属していなくともよい。
For example, in the second embodiment, the
SSL−VPNゲートウェイ装置27は、実施の形態2に記載の処理を実行するようにプログラムされたサーバ等で代用することができる。
The SSL-
電子証明書を発行する認証局と、その電子証明書に対応する証明書失効リストを発行する認証局は同一の認証局28でなくともよく、他の認証局であってもよい。
The certificate authority that issues the electronic certificate and the certificate authority that issues the certificate revocation list corresponding to the electronic certificate may not be the
実施の形態2において、認証領域は認証領域a、bの二種類が設定されているが、それ以上の数だけ設定されていてもよい。図4において、1つの認証領域に対してCDPは1つ設定されていたが、CDPは1つの認証領域に対し複数設定されていてもよい。つまり、CRLの認証領域に応じて、CRLを格納するCDPが異なっていればよい。このようにしても、SSL−VPNゲートウェイ装置制御部30は認証領域に応じてアクセスするCDPを選択することにより、認証局制御部40に格納されている全てのCRLを参照する必要がなくなる。同様に、キャッシュCRL部についても、1つの認証領域に対して1つ設定されるのではなく、1つの認証領域に対し複数設定されていてもよい。
In the second embodiment, two types of authentication areas a and b are set as the authentication areas, but a larger number may be set. In FIG. 4, one CDP is set for one authentication area, but a plurality of CDPs may be set for one authentication area. In other words, the CDP for storing the CRL may be different depending on the authentication area of the CRL. Even in this case, the SSL-VPN gateway
図4では、認証領域aに対応するCRLは複数あり、認証領域bに対応するCRLは1つあった。しかし、各認証領域に対応するCRLの数は任意の数でよく、また、CDPに格納されるCRLの数も任意でよい。 In FIG. 4, there are a plurality of CRLs corresponding to the authentication area a, and there is one CRL corresponding to the authentication area b. However, the number of CRLs corresponding to each authentication area may be an arbitrary number, and the number of CRLs stored in the CDP may be arbitrary.
実施の形態2において、認証局28はCRLを作成して格納し、SSL-VPNゲートウェイ装置27はCRLを取得してクライアント端末の認証処理を実行した。しかし、認証局28が、SSL-VPNゲートウェイ装置27がクライアント端末から取得した電子証明書の内容を取得して、図7に示した処理を実行してもよい。
In the second embodiment, the
認証局制御部40は、CRLを認証領域に応じて複数生成し、格納している。つまり、失効した電子証明書の認証領域が認証領域aか、認証領域bかで分けてCRLを発行している。しかし、認証局制御部40は、認証領域に基づいて分けずにCRLを発行してもよい。CRLにおいて、失効した電子証明書とそれが用いられる認証領域とを対応付けて記載すれば、SSL−VPNゲートウェイ装置制御部30が電子証明書に付された認証領域情報に基づいてCRLを参照することにより、認証局制御部40に格納された全てのCRLを参照する必要がない。ただし、SSL−VPNゲートウェイ装置制御部30の検証処理をより早く実現するためには、証明書失効処理部42が、失効した電子証明書の認証領域毎に分割してCRLを発行するのがより望ましい。
The certificate
10 証明書失効リスト管理システム 11 クライアント端末
20 SSL暗号化システム
21、22、23、24、25 クライアント端末 26 インターネット
27 SSL−VPNゲートウェイ装置 28 認証局
281 CRL 29 端末
30 SSL−VPNゲートウェイ装置制御部
31 クライアント証明書ユーザ情報取得処理部
32 認証領域対応CDP設定部 321、322 設定格納部
33 認証領域対応CRL取得部 34 認証領域対応CDP設定部
341、342 設定格納部 35 認証領域対応CRL取得部
36 フラグ格納部 37、38 キャッシュCRL部
371、381 CRL 39 証明書有効判定部
40 認証局制御部 41 証明書発行処理部
42 証明書失効処理部 43、44 CDP
431、441 CRL
432 CRLa発行情報 442 CRLb発行情報
DESCRIPTION OF
431, 441 CRL
432
Claims (10)
失効した前記電子証明書を識別する電子証明書識別情報と、当該電子証明書の利用可能対象を特定する認証領域とを関連付けて前記証明書失効リストを生成し、
前記クライアント端末の認証処理を実行する場合は、前記証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより当該電子証明書が有効か否かを検証する、
証明書失効リスト管理システム。 A certificate revocation list management system for managing a certificate revocation list of an electronic certificate for authenticating a client terminal,
Associating electronic certificate identification information for identifying the revoked electronic certificate with an authentication area that identifies a usable object of the electronic certificate, and generating the certificate revocation list,
When executing the authentication process of the client terminal, a partial list including an electronic certificate having the same authentication area as the authentication area associated with the electronic certificate to be authenticated is included in the entire certificate revocation list. Verify whether the digital certificate is valid by referring to it,
Certificate revocation list management system.
前記証明書失効リスト管理システムは、前記電子証明書に付された前記認証領域情報に基づいて前記証明書失効リストを参照する、
請求項1に記載の証明書失効リスト管理システム。 The electronic certificate is attached with authentication area information indicating an authentication area associated with the electronic certificate,
The certificate revocation list management system refers to the certificate revocation list based on the authentication area information attached to the electronic certificate.
The certificate revocation list management system according to claim 1.
請求項1又は2に記載の前記証明書失効リスト管理システム。 The certificate revocation list management system refers only to an electronic certificate having the same authentication area as the authentication area associated with the authentication target electronic certificate in the entire certificate revocation list.
The certificate revocation list management system according to claim 1 or 2.
前記クライアント端末の認証処理を実行する場合は、前記認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書のみを含む前記証明書失効リストを選択し、選択した前記証明書失効リストを参照することにより前記電子証明書が有効か否かを検証する、
請求項3に記載の証明書失効リスト管理システム。 The certificate revocation list management system generates the certificate revocation list by dividing the certificate revocation list for each authentication area of the revoked electronic certificate,
When executing the authentication process of the client terminal, the certificate revocation list including only the electronic certificate having the same authentication area as the authentication area associated with the authentication target electronic certificate is selected and selected. Verifying whether the electronic certificate is valid by referring to the certificate revocation list;
The certificate revocation list management system according to claim 3.
認証領域毎に前記証明書失効リストを分割して生成し、格納する認証局と、
前記認証局にアクセスして前記証明書失効リストを取得し、取得した前記証明書失効リストを参照することにより前記電子証明書が有効か否かを検証する検証装置と、を備え、
前記認証局は、分割して生成された前記証明書失効リストを前記認証領域に応じて異なる格納先に格納し、
前記検証装置は、前記認証処理対象の電子証明書と関連付けられた認証領域に基づいてアクセスする格納先を選択することにより取得する前記証明書失効リストを選択する、
請求項4に記載の証明書失効リスト管理システム。 The certificate revocation list management system includes:
A certificate authority that generates and stores the certificate revocation list divided for each authentication area, and
A verification device that accesses the certificate authority, acquires the certificate revocation list, and verifies whether the electronic certificate is valid by referring to the acquired certificate revocation list;
The certificate authority stores the certificate revocation list generated by dividing the certificate revocation list in different storage locations according to the authentication area,
The verification device selects the certificate revocation list acquired by selecting a storage destination to be accessed based on an authentication area associated with the electronic certificate to be authenticated;
The certificate revocation list management system according to claim 4.
前記検証装置は、前記電子証明書が有効であるか否かを検証するときに、前記認証局に格納された前記証明書失効リストが参照可能か否かを判定し、前記証明書失効リストが参照可能ではないと判定したとき、前記キャッシュ格納部に格納された証明書失効リストのキャッシュ全体のうち、認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストのキャッシュを参照することにより前記電子証明書が有効であるか否かを検証する、
請求項5に記載の証明書失効リスト管理システム。 The verification device includes a cache storage unit that stores a cache of the acquired certificate revocation list,
The verification device determines whether the certificate revocation list stored in the certificate authority can be referred to when verifying whether the electronic certificate is valid, and the certificate revocation list is An electronic certificate having the same authentication area as the authentication area associated with the electronic certificate subject to authentication processing, out of the entire certificate revocation list cache stored in the cache storage unit when it is determined that reference is not possible Verifying whether the digital certificate is valid by referring to a cache of a partial list including:
The certificate revocation list management system according to claim 5.
前記検証装置は、前記電子証明書が有効であるか否かを検証するときに、前記認証局に格納された前記証明書失効リストが更新されているか否かを判定し、前記証明書失効リストが更新されていないと判定したとき、前記キャッシュ格納部に格納された証明書失効リストのキャッシュ全体のうち、認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストのキャッシュを参照することにより前記電子証明書が有効であるか否かを検証する、
請求項5又は6に記載の証明書失効リスト管理システム。 The verification device includes a cache storage unit that stores a cache of the acquired certificate revocation list,
The verification device determines whether the certificate revocation list stored in the certificate authority is updated when verifying whether the electronic certificate is valid, and the certificate revocation list. Of the certificate revocation list stored in the cache storage unit, and having the same authentication area as the authentication area associated with the authentication target electronic certificate. Verifying whether the digital certificate is valid by referring to a cache of a partial list including the certificate;
The certificate revocation list management system according to claim 5 or 6.
失効した前記電子証明書を識別する電子証明書識別情報と、当該電子証明書の利用可能対象を特定する認証領域とを関連付けて前記証明書失効リストを生成する、
証明書失効リスト生成装置。 A certificate revocation list generation device that issues a certificate revocation list of an electronic certificate for authenticating a client terminal,
Generating the certificate revocation list by associating electronic certificate identification information for identifying the revoked electronic certificate with an authentication area that identifies a usable object of the electronic certificate;
Certificate revocation list generator.
前記証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより当該電子証明書が有効か否かを検証する、
検証装置。 A verification device that verifies whether an electronic certificate for authenticating a client terminal is valid based on a certificate revocation list of the electronic certificate,
Whether the electronic certificate is valid by referring to a part of the entire certificate revocation list including a digital certificate having the same authentication area as the authentication area associated with the electronic certificate to be authenticated To verify,
Verification device.
失効した前記電子証明書を識別する電子証明書識別情報と、当該電子証明書の利用可能対象を特定する認証領域とを関連付けて前記証明書失効リストを生成するステップと、
前記クライアント端末の認証処理を実行する場合は、前記証明書失効リスト全体のうち認証処理対象の電子証明書と関連付けられた認証領域と同一の認証領域を有する電子証明書を含む一部のリストを参照することにより、当該電子証明書が有効か否かを検証するステップと、を備える
電子証明書検証方法。 An electronic certificate verification method for verifying an electronic certificate by referring to a certificate revocation list for identifying a revoked electronic certificate,
Associating electronic certificate identification information for identifying the revoked electronic certificate with an authentication area for specifying an available target of the electronic certificate, and generating the certificate revocation list;
When executing the authentication process of the client terminal, a partial list including an electronic certificate having the same authentication area as the authentication area associated with the electronic certificate to be authenticated is included in the entire certificate revocation list. A step of verifying whether or not the electronic certificate is valid by referring to the electronic certificate verification method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012173855A JP2014033395A (en) | 2012-08-06 | 2012-08-06 | Certificate invalidation list management system, certificate invalidation list generator, verification device and electronic certificate verification method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012173855A JP2014033395A (en) | 2012-08-06 | 2012-08-06 | Certificate invalidation list management system, certificate invalidation list generator, verification device and electronic certificate verification method |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016188279A Division JP6319817B2 (en) | 2016-09-27 | 2016-09-27 | Verification device and electronic certificate verification method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014033395A true JP2014033395A (en) | 2014-02-20 |
Family
ID=50282892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012173855A Pending JP2014033395A (en) | 2012-08-06 | 2012-08-06 | Certificate invalidation list management system, certificate invalidation list generator, verification device and electronic certificate verification method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014033395A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020512715A (en) * | 2017-07-26 | 2020-04-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method, apparatus and electronic device for communication between blockchain nodes, and method, apparatus and electronic device for certificate management based on blockchain |
| CN114448655A (en) * | 2020-10-19 | 2022-05-06 | 西门子股份公司 | Certificate management for a technical facility |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007020044A (en) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | Verification server and verification program |
| US20090187983A1 (en) * | 2007-09-07 | 2009-07-23 | Board Of Trustees Of The University Of Illinois | Method and system for distributed, localized authentication in the framework of 802.11 |
-
2012
- 2012-08-06 JP JP2012173855A patent/JP2014033395A/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007020044A (en) * | 2005-07-11 | 2007-01-25 | Mitsubishi Electric Corp | Verification server and verification program |
| US20090187983A1 (en) * | 2007-09-07 | 2009-07-23 | Board Of Trustees Of The University Of Illinois | Method and system for distributed, localized authentication in the framework of 802.11 |
Non-Patent Citations (2)
| Title |
|---|
| JPN6016015433; 土居範久監修: 'p' 情報セキュリティ事典 初版, 20030710, p.305-310, 共立出版株式会社 * |
| JPN6016015434; 浅野昌和: 'PKI基礎講座(5):証明書の有効性' [online] , 20010223, ITmedia * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020512715A (en) * | 2017-07-26 | 2020-04-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method, apparatus and electronic device for communication between blockchain nodes, and method, apparatus and electronic device for certificate management based on blockchain |
| US10951424B2 (en) | 2017-07-26 | 2021-03-16 | Advanced New Technologies Co., Ltd. | Method, apparatus, and electronic device for communication between blockchain nodes, and method, apparatus, and electronic device for blockchain-based certificate management |
| CN114448655A (en) * | 2020-10-19 | 2022-05-06 | 西门子股份公司 | Certificate management for a technical facility |
| CN114448655B (en) * | 2020-10-19 | 2024-06-07 | 西门子股份公司 | Certificate management for technical facilities |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924358B2 (en) | Method for issuing digital certificate, digital certificate issuing center, and medium | |
| US9647998B2 (en) | Geo-fencing cryptographic key material | |
| US9680827B2 (en) | Geo-fencing cryptographic key material | |
| US9654922B2 (en) | Geo-fencing cryptographic key material | |
| JP6547079B1 (en) | Registration / authorization method, device and system | |
| JP5944501B2 (en) | Facilitating group access control for data objects in peer-to-peer overlay networks | |
| US9577823B2 (en) | Rule-based validity of cryptographic key material | |
| JP5576985B2 (en) | Method for determining cryptographic algorithm used for signature, verification server, and program | |
| JP5215289B2 (en) | Method, apparatus and system for distributed delegation and verification | |
| US9531533B2 (en) | Rule-based validity of cryptographic key material | |
| JP6061633B2 (en) | Device apparatus, control method, and program thereof. | |
| JP4989204B2 (en) | System and method for setting temporary and permanent credentials for secure online commerce | |
| US8893242B2 (en) | System and method for pool-based identity generation and use for service access | |
| US20030037234A1 (en) | Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster | |
| US9686244B2 (en) | Rule-based validity of cryptographic key material | |
| US20160034693A1 (en) | Certificate authority operation apparatus and method | |
| BR112017017425B1 (en) | NON-TRAINER COMPUTER READABLE STORAGE MEDIUM CONFIGURED TO STORE COMPUTER-IMPLEMENTED METHOD AND PROCESS INSTRUCTIONS | |
| JP2014067379A (en) | Device apparatus, and control method and program therefor | |
| KR20140127303A (en) | Multi-factor certificate authority | |
| JP7762391B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
| EP2429146B1 (en) | Method and apparatus for authenticating access by a service | |
| JP2018092446A (en) | Authentication authorization system, information processing apparatus, authentication authorization method and program | |
| US20120239937A1 (en) | Information processing device, computer program product, and access control system | |
| CN109842626A (en) | The method and apparatus for distributing safety zone access credentials | |
| CN103888430A (en) | Single-point registration system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150703 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160414 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160426 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160602 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160628 |