CN101026456B - 信息处理设备和控制方法 - Google Patents
信息处理设备和控制方法 Download PDFInfo
- Publication number
- CN101026456B CN101026456B CN 200710000982 CN200710000982A CN101026456B CN 101026456 B CN101026456 B CN 101026456B CN 200710000982 CN200710000982 CN 200710000982 CN 200710000982 A CN200710000982 A CN 200710000982A CN 101026456 B CN101026456 B CN 101026456B
- Authority
- CN
- China
- Prior art keywords
- identifying information
- digital certificates
- request
- printing equipment
- parts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims abstract 5
- 238000000034 method Methods 0.000 title claims description 52
- 230000004044 response Effects 0.000 claims abstract description 21
- 230000008859 change Effects 0.000 claims description 27
- 230000000295 complement effect Effects 0.000 claims description 5
- 238000003672 processing method Methods 0.000 claims 2
- 230000000694 effects Effects 0.000 abstract description 2
- 238000007639 printing Methods 0.000 description 160
- 238000012545 processing Methods 0.000 description 54
- 230000008569 process Effects 0.000 description 37
- 230000006870 function Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 14
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- RUZYUOTYCVRMRZ-UHFFFAOYSA-N doxazosin Chemical compound C1OC2=CC=CC=C2OC1C(=O)N(CC1)CCN1C1=NC(N)=C(C=C(C(OC)=C2)OC)C2=N1 RUZYUOTYCVRMRZ-UHFFFAOYSA-N 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000003825 pressing Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001351 cycling effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- NUHSROFQTUXZQQ-UHFFFAOYSA-N isopentenyl diphosphate Chemical compound CC(=C)CCO[P@](O)(=O)OP(O)(O)=O NUHSROFQTUXZQQ-UHFFFAOYSA-N 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
Abstract
提供一种信息处理设备和控制方法。该信息处理设备使用电子证书进行通信。当设定在网络上识别该信息处理设备的识别信息时,将所设定的识别信息存储在存储单元中。向认证机构发出用于发行包含存储在存储单元中的识别信息的电子证书的请求。一旦发出用于发行的请求,就对包含在用于发行的请求中的识别信息与在获得由认证机构响应于用于发行的请求发行的电子证书之前存储在存储单元中的识别信息是否相匹配进行判断。如果判断出存在不匹配,则将该结果通知给用户。
Description
技术领域
本发明涉及一种信息处理设备和控制方法,尤其涉及一种使用电子证书(electronic certificate)进行通信的信息处理设备和控制方法。
背景技术
多种加密技术被用于对网络上的通信对方进行认证,或者对构成通信内容的数据进行加密。特别是近年来,被称为公钥基础设施(Public Key Infrastructure)即PKI的加密技术得到了最广泛的使用;例如,参见日本特开2004-007512号公报。
PKI的基础是使用电子证书的认证技术,该电子证书是为了保证给定参与者的身份通过包括但不局限于RSA加密或数字签名的公钥加密和被称为认证机构(certificate authority)即CA的认证代理发行的。
利用电子证书通过进行客户端-服务器认证、数据加密密钥的交换,并使用这样交换的密钥进行加密数据通信,能够维持网络通信的安全性。
作为万维网(World Wide Web,WWW)上常用的加密通信协议的安全套接层(Secure Socket Layer,SSL)和传输层安全(Transport Layer Security,TLS)在开始加密通信之前,使用电子证书进行客户端-服务器认证。
目前,电子证书的常用数据格式基于由国际电信同盟(International Telecommunications Union,ITU)制订的数字证书规范的被称为X.509的标准。X.509格式的电子证书包括X.509版本号、电子证书序列号、公钥信息、发行电子证书的认证 机构的识别信息、证书的有效期、以及被证明的参与者即电子证书的接受者的识别信息等。
当CA发行电子证书时,从被证明的参与者即电子证书的接受者向CA发出证书签发请求(Certificate Signing Request,CSR)格式的数据。CA根据在该CSR中描述的内容发行电子证书。
CSR格式使用被称为RFC2986因特网X.509认证请求消息格式版本1.7即PKCS#10的标准。CSR典型地包含如下信息:由电子证书的接受者所保持的公钥信息、以及关于被证明的参与者即电子证书的接受者的信息。
即使CA向打印装置或其它信息处理设备即客户端发行了电子证书,客户端也需要创建包含其保持的公钥信息和其识别信息的CSR,并请求CA发行该证书。
考虑运行如下系统的情况:该系统执行如从CA发行电子证书以对客户端进行认证、或者使用电子证书对因特网、WAN或LAN环境下的客户端装置进行认证等的功能。CSR即CA向客户端发行电子证书的请求包含关于被证明的参与者即电子证书的接受者的识别信息,例如X.509格式的主题字段(subject field)或主题可选名称字段(subject alternative name field)。假定在识别信息中包括如完全合格域名(fully qualified domain name)即FQDN或IP地址等分配给客户端的并被描述为客户端识别信息的元素。
使用电子证书的具体例子是从终端设备使用SSL上的因特网打印协议(Internet Printing Protocol,IPP)等通信协议进行访问和处理。
在此假定客户端为打印装置。在将终端设备连接到该打印装置,并根据SSL协议进行协商即确定加密算法和客户端-服务器认证之后,将加密后的打印数据发送到该打印装置。在协商的服务器认证处理中使用电子证书。
一旦确定了通信路径加密算法,作为SSL服务器的打印机装置就发送电子证书。终端设备对包含在所接收到的电子证书中的签名进行验证,并将包括但不局限于打印装置服务器地址的主机识别信息与包含在由该打印机装置发送的电子证书中的打印机装置识别信息进行比较。这些处理允许为了识别装置伪装(spoofing)而进行认证。
然而,如果当打印机装置正请求CA发行电子证书时改变打印机装置的主机识别信息,则CSR及电子证书的打印装置识别信息和主机识别信息将不再匹配。同样,当使用由CA发行的电子证书时获得类似的结果。在这种情况下,出现的问题是不能执行装置认证和伪装企图的识别。
特别在LAN环境下存在大量的例子,其中,执行操作使得不向打印装置分配FQDN,而将由DHCP服务器动态分配的IP地址当作主机识别信息。在这种情况下对打印装置主机识别信息的改变使上述问题发生的可能性大大提高。
在改变打印装置主机识别信息时,打印装置管理员必须进行如下步骤:中止使用电子证书、提交新电子证书的请求、以及更新电子证书。然而,管理员还需要主动地进行手动检查,以识别主机识别信息与电子证书打印装置识别信息之间的不匹配。而且,如果管理员忘记提交新电子证书的请求或更新电子证书的处理,则存在可能延迟这些检查、以及可能继续发行和使用非法证书的附加危险性。由于即使当识别出不匹配时,传统上管理员或他人也需要手动进行证书再发行程序,因而每当主机识别信息改变时,用于再发行证书的管理成本增加。
发明内容
因此,本发明的第一目的是实现易于管理员识别信息处理设备识别信息与包含在电子证书中的信息处理设备识别信息之间的不匹配。
本发明的第二目的是提供一种防止信息处理设备识别信息与包含在电子证书中的信息处理设备识别信息之间的不匹配的组件。
根据本发明的一个方面,通过提供一种使用电子证书进行通信的信息处理设备来达到前述目的,该信息处理设备包括:
设定单元,用于设定在网络上识别该信息处理设备的识别信息;
存储单元,用于存储由设定单元设定的识别信息;
证书请求单元,用于向认证机构发出包含存储在存储单元中的识别信息的用于发行电子证书的第一请求;
判断单元,用于判断在证书请求单元发出第一请求的时间与获得由认证机构响应于第一请求发行的电子证书的时间之间,存储在存储单元中的识别信息是否已经改变;以及
通知单元,用于当判断单元判断出识别信息已经改变时,发出表示识别信息已经改变的通知。
根据本发明的另一方面,通过提供一种使用电子证书进行通信的信息处理设备来达到前述目的,该信息处理设备包括:
设定单元,用于设定在网络上识别该信息处理设备的识别信息;
存储单元,用于存储由设定单元设定的识别信息;
判断单元,如果已经获得由认证机构发行的电子证书,则该判断单元判断包含在电子证书中的第一识别信息与存储在存储单元中的第二识别信息是否相匹配;以及
通知单元,用于当判断单元判断出第一与第二识别信息不匹配时,发出表示第一与第二识别信息不匹配的通知。
根据本发明的另一方面,通过提供一种信息处理设备的控制方法来达到前述目的,其中该信息处理设备能够设定用于在网络上识别自身的识别信息,并被构成为将所设定的识别信息存储在存储单元中,以及使用电子证书进行通信,该控制方法包括以下步骤:
向认证机构发出包含存储在存储单元中的识别信息的用于发行电子证书的第一请求;
判断步骤,判断在发出第一请求的时间与获得由认证机构响应于第一请求发行的电子证书的时间之间,存储在存储单元中的识别信息是否已经改变;以及
当在判断步骤中判断出识别信息已经改变时,发出表示识别信息已经改变的通知。
根据本发明的另一方面,通过提供一种使用电子证书进行通信的信息处理设备来达到前述目的,该信息处理设备包括:
设定单元,用于设定在网络上识别该信息处理设备的识别信息;
存储单元,用于存储由设定单元设定的识别信息;
证书请求单元,用于向认证机构发出包含存储在存储单元中的识别信息的用于发行电子证书的第一请求;以及
控制单元,用于在证书请求单元发出第一请求的时间与获得由认证机构响应于该请求发行的电子证书的时间之间,防止通过设定单元来改变识别信息。
根据本发明的另一方面,通过提供一种使用电子证书进行通信的信息处理设备的控制方法来达到前述目的,该设备包括:设定单元,用于设定在网络上识别自身的识别信息;以及存储单元,用于存储由设定单元设定的识别信息,该方法包括以下步骤:
向认证机构发出包含存储在存储单元中的识别信息的用于发 行电子证书的第一请求;以及
在发出第一请求的时间与获得由认证机构响应于第一请求发行的电子证书的时间之间,防止通过设定单元来改变识别信息。
根据本发明的另一方面,通过提供一种使用电子证书进行通信的信息处理设备来达到前述目的,该信息处理设备包括:
设定单元,用于设定在网络上识别该信息处理设备的识别信息;
存储单元,用于存储由设定单元设定的识别信息;以及
控制单元,如果已经获得由认证机构发行的电子证书,则该控制单元防止通过设定单元来改变包含在电子证书中的识别信息。
根据本发明的另一方面,通过提供一种使用电子证书进行通信的信息处理设备的控制方法来达到前述目的,该设备包括:设定单元,用于设定在网络上识别自身的识别信息;以及存储单元,用于存储由设定单元设定的识别信息,该方法包括以下步骤:如果已经获得由认证机构发行的电子证书,则防止通过设定单元来改变包含在电子证书中的识别信息。
通过以下参考附图对典型实施例的说明,本方面的其它特点显而易见。
附图说明
图1是示出应用本发明的网络系统组件的例子的图;
图2是示出根据该实施例的打印装置硬件组件的例子的框图;
图3是示出根据该实施例的服务器设备硬件组件的例子的框图;
图4是示出关于根据该实施例的打印装置的电子证书的操作概要的流程图;
图5是示出根据该实施例的证书签发请求处理的例子的流程图;
图6是示出根据该实施例的电子证书获取处理的例子的流程图;
图7A-B是示出根据第一实施例的电子证书识别信息不匹配通知处理的例子的流程图;
图8A-B是示出图7A-B的变形例子的流程图;
图9A-E是示出根据第一实施例的CA服务处理的例子的流程图;
图10是示出根据该实施例的打印装置用户界面组件的例子的图;
图11是示出根据第二实施例的电子证书的操作的例子的流程图;
图12是示出图11的变形例子的流程图;
图13是示出当改变根据该实施例的打印装置识别信息时的用户界面屏幕的例子的图;
图14是示出根据该实施例的软件键盘显示的例子的图;
图15是示出根据第二实施例的打印装置识别信息改变处理的例子的流程图;
图16是示出根据第二实施例的打印装置识别信息改变处理的变形例子的流程图;
图17和18是示出根据第二实施例的出错消息显示例子的图;
图19是示出根据第二实施例的打印装置证书签发请求中止处理的例子的流程图;
图20是示出根据第二实施例在不存在证书签发请求(CSR)的情况下的出错屏幕的例子的图;
图21是示出根据第二实施例的证书签发请求取消屏幕的例子 的图;
图22是示出根据第二实施例的打印装置电子证书中止或失效处理的例子的流程图;
图23是示出根据第二实施例的电子证书中止或失效操作的出错屏幕的例子的图;
图24是示出根据第二实施例的电子证书中止或失效操作的确认屏幕的例子的图;
图25是示出根据第三实施例的打印装置处理的例子的流程图;
图26是示出根据第三实施例的通过DHCP的装置信息获取的出错屏幕的例子的图;
图27是示出根据第三实施例的装置信息设置的出错屏幕的例子的图。
具体实施方式
将根据附图详细说明本发明的优选实施例。本发明不受这些实施例的公开的限制,并且在这些实施例中所述的特征的所有组合不总是本发明的解决手段所不可或缺的。
图1是示出应用本发明的网络系统组件的例子的图。
根据该实施例的网络系统包含作为信息处理设备的打印装置110和服务器设备120。打印装置110和服务器设备120通过网络100连接,并且将其构成为便于进行双向通信。也就是说,打印装置110和服务器设备120都是网络支持的装置。尽管在此仅示出了一个打印装置110,但是也可以使用多个这种装置。例如,打印装置110可以是具有复印功能以及可用作网络打印机的多功能外围设备(Multi Function Peripheral)即MFP。
打印装置110能够设定和存储如IP地址、FQDN或DNS记录/ 域名等信息,作为在网络上识别打印装置110的主机识别信息(识别信息或主机名)。当设定IP地址作为主机识别信息时,可允许DHCP服务器或其它系统(图1中未示出)动态分配该IP地址。
打印装置110能够使用公钥加密以生成并保持用于认证、加密以及提供数字签名等操作的私钥(private key)和公钥(publickey)。打印装置110还可以生成包含主机识别信息和公钥的证书签发请求(CSR),并将该证书签发请求(CSR)提交给执行认证机构服务即CA服务的服务器设备120,并且获得并保持由服务器设备120响应于该CSR所发行的电子证书。为了使CSR无效,或者为了在发行了电子证书之后使其失效,打印装置110还可以向服务器设备120发送失效通知。
服务器设备120包括进行电子证书发行和管理的CA服务功能。CA服务能够从打印装置110接收CSR,响应于该CSR发行电子证书,并将所发行的电子证书发送给打印装置。为了使CSR无效,或者为了在发行了电子证书之后使其失效,CA服务还能够从打印装置110接收失效通知,并且能够根据该失效通知使CSR或电子证书失效。服务器设备120使用CA服务以进行网络设备的电子证书发行和管理。以下可将服务器设备120称为CA服务。
可将证书管理协议(Certificate Management Protocol)即CMP等证书管理协议用作与打印装置110和服务器设备120之间的电子证书管理有关的控制和通信协议。CMP使用超文本传输协议(Hyper Text Transfer Protocol)即HTTP、以及文件传输协议(File Transfer Protocol)即FTP等通信协议进行传输。当然,也可允许使用其它现有的或专有的电子证书管理控制和通信协议。
图2是示出打印装置硬件组件的例子的框图。
打印装置110包括中央处理单元(central processing unit) 即CPU 201。例如,CPU 201通过执行存储在硬盘驱动器208上的控制程序来提供对连接到系统总线204的所有装置的总体控制。RAM 203不但用作CPU 201的主存储器还为CPU 201提供工作区。
附图标记205是控制与打印装置110的打印处理和其它功能有关的打印机引擎206的装置控制器。附图标记207是控制对硬盘驱动器208的访问的硬盘驱动器控制器。用于执行装置控制和关于本发明的功能的控制程序被存储在硬盘驱动器208上。打印数据也被假脱机(spool)在硬盘驱动器208上。还可以存储所获取的电子证书数据或用于指定网络上的打印装置110的识别信息。还可以将该控制程序存储在ROM 202而不是硬盘驱动器208中。
附图标记209是用于连接到网络100的网络接口卡(networkinterface card)即NIC。附图标记210是用户界面(userinterface)即UI,其可由例如显示屏幕和触摸式屏幕输入设备组成,并且用户可以从该用户界面进行各种打印装置设定或打印执行操作。
图10示出用户界面210组件的例子。附图标记2101是触摸式屏幕,并且用户可以通过操作该触摸式屏幕进行各种类型的设定。图10中的触摸式屏幕2101的示例屏幕是复印待机屏幕。在其它组件中,附图标记2102是用于输入数值的十键小键盘。S按钮是服务按钮,按下该按钮在触摸式屏幕上出现各种服务屏幕,从而允许进行除复印以外的服务。R按钮是设定按钮,按下该按钮在触摸式屏幕上出现各种设定屏幕,从而允许进行参数设定。按下R按钮出现以下所述的各种设定处理的各种设定屏幕,通过设定屏幕上的触摸式屏幕或十键小键盘输入进行设定本身。C按钮是清除各种输入的设定的取消按钮。
图3是示出服务器设备120硬件组件的例子的框图。
服务器120包括CPU 301。CPU 301通过执行存储在硬盘驱动器311上的控制程序对连接到系统总线304的所有装置提供总体控制。可允许将该控制程序存储在ROM 302中,或通过软盘312或其它可移动介质来提供该控制程序。
附图标记303是RAM,其不但用作CPU 301的主存储器,还为CPU 301提供工作区。附图标记305是键盘控制器,其控制来自键盘309或指示装置(未示出)的指示输入。
附图标记306是控制显示器310上的显示的显示控制器。附图标记307是控制对硬盘驱动器311和软盘驱动器312的访问的盘控制器。硬盘驱动器311存储操作系统(operating system)即OS、网络管理程序、电子证书数据文件、或关于电子证书管理的管理系统文件等。
附图标记308是用于连接到网络100的网络接口卡即NIC。
图4是示出关于打印装置110的电子证书的操作概要的流程图。
打印装置110在出厂设定等初始状态(步骤S400)下不保持电子证书。在步骤S401,为了获得从作为认证机构即CA的服务器120发行的电子证书,打印装置110请求发行该电子证书。响应于该请求,从CA 120为打印装置110发行电子证书。在步骤S402,打印装置110获得由CA 120发行的电子证书,将其存储在如图2所示的硬盘驱动器208上,并在步骤S403,开始使用这样获得的电子证书。以这种方式,打印装置110可以使用该电子证书进行安全通信。
由于过期等原因使电子证书失效,并且当需要更新正在使用的证书时,为了进行电子证书的再发行,处理返回到步骤S401中的初始请求状态。通过以这样的方式重复循环来进行电子证书操作。
图5是示出步骤S401的证书签发请求处理的例子的流程图。
在步骤S501,打印装置110使用公钥算法以生成公钥和私钥对。如果打印装置110已保持有公钥和私钥对,则可以在以下步骤中使用其所保持的公钥和私钥对,而不进行该处理。
如果在步骤S502判断出已成功生成公钥和私钥对,则在步骤S503获得设定信息以发行电子证书。设定信息包括打印装置110的网络主机名,并且该信息被包括在X.509格式的主题字段或主题可选名称等地方中,该主题字段或主题可选名称是电子证书接受者的识别信息。当然,可允许在该设定中包括其它定位器信息等。假定该设定最初是由打印装置110的装置管理员或其它参与者设置的,并且被存储在硬盘驱动器208上。无论何时请求电子证书时,都可允许装置管理员手动进行设定。
如果在步骤S504判断出已成功获得设定信息,则处理进入步骤S505,在步骤S505,基于在步骤S501生成的公钥数据和在步骤S503获得的设定信息,生成并保存证书签发请求(CSR)。
如果在步骤S506判断出已成功生成证书签发请求(CSR),则处理进入步骤S507,在步骤S507,将在步骤S505生成的证书签发请求(CSR)数据与证书签发请求指示一起发送给CA服务。根据该实施例,进行以下操作的CA服务在网络100上运行:接收证书签发请求、根据发行请求发行电子证书、以及使电子证书失效等。因此,在步骤S507,将证书签发请求(CSR)数据发送给CA服务运行的服务器设备120。假定CA服务地址信息最初由装置管理员或其它参与者设定在打印装置110上,并被存储在硬盘驱动器208上。
如果在步骤S508判断出已成功发送了证书签发请求(CSR),则处理进入步骤S509,在步骤S509,存储表示正请求发行电子证书的状态信息,并结束处理。
如果在步骤S502、S504、S506或S508判断出任一处理失败,则处理进入步骤S510,在步骤S510,进行出错处理。可想到的出错处理可能包括但不局限于:将出错日志信息保留在打印装置110上,在打印装置110的用户界面210上进行出错显示处理,或者通过e-mail等将出错消息通知给打印装置110的管理员(装置管理员)。
用于进行CSR的定时可以是这样的:打印装置110响应于打印装置110检测到其没有保持电子证书而自动进行CSR,或者打印装置110可以在进行CSR之前等待以接收来自装置管理员的指示。
图6是示出步骤S402中的电子证书获取处理的例子的流程图。
如上所述,根据该实施例,进行以下任务的CA服务工作:该任务包括但不局限于确认证书签发请求(CSR)、根据该CSR发行电子证书、以及使电子证书失效。因此,在图5的步骤S509中所存储的状态表示正在请求发行电子证书的情况下,打印装置110按以下步骤进行CA服务的询问:
在步骤S601,打印装置110连接到CA服务。如果在步骤S602判断出连接成功,则处理进入步骤S604。如果在步骤S602判断出连接失败,则在步骤S603切断与CA服务的连接,并且在给定的时间段中止处理。然后处理返回到步骤S601,并尝试再次进行连接。
在步骤S604,打印装置110向CA服务发出用于获取打印装置110已请求的由CA服务所发行的电子证书的请求。该获取请求包含从打印装置110请求发行电子证书时开始的该证书的接受者的识别信息。该信息允许CA服务做出关于所请求的证书的判断。然而,在该获取请求中可以包括任何识别信息,只要该信息便于识别所请求的证书即可。
如果CA服务已发行了所请求的电子证书,则发送对该结果的 应答,在步骤S605中做出对该结果的判断,并且处理进入步骤S607。如果未发行所请求的电子证书,则发送对该结果的应答,在步骤S605中做出对该结果的判断,在步骤S606中切断与CA服务的连接,并且在给定的时间段中止处理。然后处理返回到步骤S601,并尝试再次进行连接和证书获取。
假定当在步骤S603和S606中中止处理时,装置管理员或其它参与者可以进行设定。
在步骤S607,获取从CA服务发送的电子证书数据,并且如果在步骤S608判断出该获取成功,则处理进入步骤S609。在步骤S609,将所获取的电子证书作为打印装置110的电子证书进行登记,状态信息表示打印装置110持有该电子证书,并结束处理。
在正常结束该处理之后,可以使用该电子证书,并且打印装置110能够运行使用该电子证书的SSL服务器或其它应用程序。
如果相反在步骤S608中判断出该获取失败,则处理进入步骤S610,在步骤S610,进行出错处理。可想到的出错处理可能包括但不局限于:将出错日志信息保留在打印装置110上,在打印装置110的用户界面210上进行出错显示处理,或者通过e-mail等将出错消息通知该打印装置110的管理员(装置管理员)。
用于进行电子证书获取的定时可以是这样的:打印装置110响应于打印装置110检测到其正在请求发行电子证书而自动进行电子证书获取,或者打印装置110可以在进行电子证书获取之前等待以接收来自装置管理员的指示。
当按照上述方法的工作流使用电子证书时发生以下问题。
当打印装置110的主机名在步骤S401中的请求发行电子证书和步骤S402中的获取电子证书之后改变时,问题开始出现。如果发生此类情况,则获取电子证书时的打印装置110的主机识别信息将与包含在所发行的电子证书中的打印装置110的识别信息不一 致。即使在步骤S403或该处理以后的步骤中保持该电子证书,也会导致类似的结果。也就是说,如果打印装置110的主机名改变,则该主机名将与包含在由打印装置110所保持的电子证书中的打印装置110的识别信息不一致。
如果发生如前所述的不匹配,则装置管理员需要进行以下任务:请求再发行电子证书,并更新电子证书。然而,为了识别主机名与电子证书之间的不匹配,管理员需要手动检查打印装置的设定。这是一项复杂且繁重的任务。如果管理员忘记请求再发行电子证书,或者忘记更新电子证书,则还可能延迟手动检查,并且可能继续发行和使用非法证书。即使检测到不匹配,传统上管理员或其它参与者也需要手动进行对于CA的再发行证书的程序,无论何时改变主机名,都会由于再发行证书而产生管理成本。
利用以下实施例解决该问题。
第一实施例
图7A-B是示出由于打印装置110的主机名改变而当设定在电子证书中的打印装置110的主机识别信息与实际识别信息不匹配时用于通知管理员的电子证书识别信息不匹配通知处理的例子的流程图。
在特定定时开始该处理,该特定定时可包括但不局限于打印装置110的启动时刻或者当改变打印装置110的设定值时的时刻。
在步骤S701,打印装置110获得在步骤S509中所存储的证书签发请求(CSR)状态信息。
在步骤S702,如果在步骤S701中所获得的状态信息表示正在请求发行电子证书,则处理进入步骤S703。另一方面,如果该状态信息表示未请求发行电子证书,则处理进入步骤S709。
在步骤S703,获得构成打印装置识别信息、并且包含在步骤S505中生成和存储的证书签发请求(CSR)数据中的主机名。在 步骤S704,获得当前为打印装置110设定的主机名。在步骤S705,比较在步骤S703和S704中获得的两个主机名,如果判断出主机名不匹配,则处理进入步骤S706。另一方面,如果判断出主机名匹配,则在证书签发请求(CSR)的内容和当前打印装置110的识别信息之间未发生不匹配,并且结束处理。
在步骤S706,删除在步骤S701中获得的证书签发请求(CSR)状态信息,作为用于使证书签发请求即CSR无效的处理。在步骤S707,获得CA服务的位置信息,其中已对该CA服务发出了电子证书发行请求。在步骤S708,将证书签发请求(CSR)取消通知发送给所获得的CA服务位置。具体例子是向CA服务发出证书签发请求(CSR)取消请求。处理进入步骤S717。
证书签发请求(CSR)取消通知包含从打印装置自身请求发行电子证书时开始的电子证书的接受者的识别信息。这允许CA服务识别并判断将要进行取消的证书签发请求(CSR)。然而,除该识别信息以外,任何识别信息可以包括在取消通知中,只要该识别信息允许取消证书签发请求(CSR)的识别即可。
如果在步骤S702中的判断导致进入步骤S709,那么在步骤S709,获得在图6的步骤S609中存储的所保持的电子证书状态信息。在步骤S710,如果在步骤S709中获得的状态信息表示打印装置110保持有电子证书,则处理进入步骤S711。另一方面,如果该状态信息表示打印装置110没有保持电子证书,则结束处理。
在步骤S711,从所保持的包含打印装置主机名的电子证书中获得该打印装置主机名。在步骤S712,获得当前为打印装置110设定的主机名。在步骤S713,比较在步骤S711和S712中获得的两个主机名,如果判断出主机名不匹配,则处理进入步骤S714。另一方面,如果判断出主机名匹配,则在证书签发请求(CSR)的内容与当前打印装置110的识别信息之间不发生不匹配,且结束处 理。
在步骤S714,删除在步骤S709中获得的状态信息,作为用于使所保持的电子证书失效的处理。在步骤S715,获得CA服务的位置信息,其中已经对该CA服务发出了电子证书发行请求。在步骤S716,将电子证书失效请求通知发送给所获得的CA服务位置。具体例子是将电子证书失效请求发出给CA服务。处理进入步骤S717。
在步骤S717,在打印装置110的用户界面210上显示出错显示,大意是:由于主机名的改变,要么取消了证书签发请求(CSR),要么已使电子证书失效。而且,在步骤S718,获得关于是否向装置管理员进行出错通知的设定值。
装置管理员可以将出错通知执行设定和装置管理员的e-mail地址预先记录在打印装置110中。如果在步骤S719判断出向装置管理员进行出错通知的设定是有效的,则处理进入步骤S720,在步骤S720,获得预先记录的装置管理员的e-mail地址。在步骤S721,生成说明出错内容的e-mail数据。在步骤S722,通过发送在步骤S721中生成的e-mail通知装置管理员发生了出错。
另一方面,如果在步骤S719中出错通知设定无效,则不进行步骤S720-S722中的e-mail通知处理而结束处理。
尽管该例子说明了使用e-mail作为用于通知装置管理员出错的处理的例子,但是还可允许使用其它通信协议或通信单元来进行出错通知。
在该例子中,当检测到主机名的不匹配时,进行如下处理:要么取消证书签发请求(CSR),要么使电子证书失效。然而,可允许在用户界面屏幕上进行出错显示,或者仅向装置管理员进行通知,而打印装置自身不自动进行该处理本身。在这种情况下,装置管理员能够进行将改变后的主机名恢复为原始主机名的操 作,并且要么进行证书签发请求(CSR)的再发行,要么更新电子证书。还可允许如下处理组件:响应于装置管理员的命令,要么取消证书签发请求(CSR),要么使电子证书失效。
该处理允许打印装置管理员使用信息处理设备打印装置的识别信息中的改变,以便当该识别信息与包含在电子证书中的打印装置识别信息之间发生不匹配时容易地进行检测。
图8A-B是图7A-B的流程图的变形例子,其进一步示出了更新电子证书的处理的例子。具有与图7A-B中的处理步骤相同内容的处理步骤用相同的附图标记来标记,并省略其说明,使得在此仅说明与图7A-B中的处理不同的处理。图8A-B与图7A-B之间的不同是代替步骤S717而执行步骤S817-S820,以及当在步骤S705中在两个主机名之间检测到匹配时,处理进入步骤S819而不是结束。
在进行步骤S706-S708中的当请求正在进行时用于取消证书签发请求(CSR)的处理之后,或者在进行步骤S714-S716中的用于使电子证书失效的处理之后,为了获得新的电子证书,再次进行证书签发请求处理。该处理与图5中所示的证书签发请求处理类似。
在步骤S818,如果在步骤S817中正常执行了证书签发请求处理,则处理进入步骤S819,如果没有正常执行该处理,则处理进入步骤S718。在步骤S819,进行所请求的电子证书的获取。该处理与在图6中所示的电子证书获取处理类似。
一旦在步骤S820判断是否正常执行了证书签发请求处理,处理就进入步骤S718。
除在正常完成步骤S817和S819中的处理的情况下通知打印装置管理员电子证书更新,并且更新打印装置电子证书以外,随后的处理与步骤S718-S722中的处理类似。另一方面,如果步骤 S817和S819中的处理导致出错,则将出错通知给装置管理员。
该变形例子中所包括的处理还自动进行电子证书的更新。
图9A-E是示出根据该实施例使用服务器设备120来执行CA服务处理的CA服务处理的例子的流程图。
CA服务通过网络100确认来自打印装置110的各种请求,并根据该请求执行如下处理。
在步骤S901中确认来自打印装置110的连接之后,在步骤S902中确认来自打印装置110的请求或通知,并在步骤S903中判断内容。
如果在步骤S903和S904中来自打印装置110的请求是证书签发请求(CSR),则在步骤S905中接收证书签发请求(CSR)数据,并将其保存在CA服务数据库中。在步骤S906中返回请求确认应答。
根据该实施例,CA服务拥有对于证书签发请求(CSR)的两个操作模式。第一操作模式是响应于证书签发请求(CSR),服务器设备120的管理员(服务器管理员)不进行确认而自动发行电子证书的模式。第二操作模式是在服务器管理员已确认证书签发请求即CSR的内容之后,响应于来自服务器管理员的命令发行电子证书的模式。服务器管理员能够通过选择其中一个模式来设定CA服务。
如果允许自动发行电子证书,也就是说,S907为“是”,则处理进入步骤S909,并且发行电子证书。在步骤S910,将所发行的电子证书保存在CA服务数据库中,在步骤S911中删除在步骤S905中保存的证书签发请求(CSR)数据,并结束处理。另一方面,如果不允许自动发行电子证书,也就是说,S907为“否”,则处理进入步骤S908,并且如果在服务器管理员确认后允许发行电子证书,则执行步骤S909-S911,并结束处理。
如果在步骤S903和S912判断出来自打印装置110的请求是证书签发请求取消通知,则处理进入步骤S913。在步骤S913,基于包含在该取消通知内的证书签发请求(CSR)的识别信息,进行对证书签发请求(CSR)数据的搜索。如果找到了需要的证书签发请求(CSR)数据,也就是说,步骤S914为“是”,则在步骤S915中删去需要的证书签发请求(CSR)数据。在步骤S916中返回结果是删去了证书签发请求(CSR)数据的应答,并结束处理。如果在步骤S913中没有找到需要的证书签发请求(CSR)数据,也就是说,步骤S914为“否”,则在步骤S916中返回结果是需要的证书签发请求(CSR)数据不存在的出错应答,并结束处理。
如果在步骤S903和S917判断出来自打印装置110的请求是电子证书获取请求,则处理进入步骤S918。在步骤S918,在确认需要的请求后,基于包含在该获取通知内的电子证书的识别信息,进行对证书签发请求(CSR)数据的搜索。如果在步骤S918找到了需要的证书签发请求(CSR)数据,也就是说,步骤S919为“是”,则在步骤S920将需要的电子证书数据返回给请求源,并在步骤S921返回结果的应答。如果在步骤S918没有找到需要的电子证书数据,也就是说,步骤S919为“否”,则在步骤S921返回结果是需要的电子证书数据不存在的出错应答,并结束处理。
如果在步骤S903和S922判断出来自打印装置110的请求是电子证书失效请求,则处理进入步骤S923。在步骤S923,基于包含在该通知内的电子证书的识别信息,进行对将经过失效的电子证书的搜索。如果在步骤S923找到了需要的电子证书,也就是说,步骤S924为“是”,则在步骤S925返回失效确认应答。如果在步骤S923未找到需要的电子证书,也就是说,步骤S924为“否”,则在步骤S929返回不能确认失效的出错应答。
根据该实施例,CA服务拥有对于电子证书失效通知的两个操 作模式。第一操作模式是响应于电子证书失效通知,服务器管理员不进行确认而使电子证书自动失效的模式。第二操作模式是在服务器管理员已确认电子证书失效通知的内容之后,响应于来自服务器管理员的命令使电子证书失效的模式。服务器管理员能够通过选择两个模式中的一个模式来设定CA服务。
如果允许电子证书的自动失效,也就是说,S926为“是”,则处理进入步骤S928,并进行电子证书失效处理。更具体地,根据该实施例,在CA服务数据库中保持证书失效列表(CertificateRevocation List)即CRL,并通过将需要的电子证书加入证书失效列表即CRL使电子证书失效。
另一方面,如果不允许自动电子证书失效,也就是说,S926为“否”,则处理进入步骤S927,并且如果在服务器管理员确认之后允许电子证书失效,则执行步骤S928,并结束处理。
根据该实施例,即使分配给打印装置的识别信息已经改变,打印装置管理员也能够检测分配给打印装置的识别信息与包含在正请求发行的或保持的电子证书内的识别信息之间的不匹配。可以通过自动发行或更新由装置保持的电子证书来进行电子证书管理和操作,而无需与发行或更新电子证书有关的烦杂工作。
为了解决这些问题,打印装置110的组件不局限于本实施例。以下实施例示出了打印装置110的改变。由于以下同样适用与上述处理基本类似的处理,因而省略对服务器设备120的CA服务处理的具体说明。
第二实施例
根据该实施例,将打印装置110构成为证书签发请求(CSR)不能改变打印装置110的识别信息。
图11是示出根据该实施例的电子证书的操作例子的流程图。
在步骤S1101,用户命令或其它操作使用图5所示的处理进行 证书签发请求(CSR)。由于当正在请求证书签发请求(CSR)时不能改变打印装置110的识别信息,因而用户通过打印装置110的用户界面210或其它途径改变打印装置110的识别信息的任何试图将导致出错,并且不能改变打印装置110的识别信息。
当改变打印装置110的识别信息时,在步骤S1103进行证书签发请求取消处理,在步骤S1103后,在步骤S1104进行打印装置110的识别信息改变处理。
图12是示出图11的变形例子的流程图。
在步骤S1201,用户命令或其它操作使用图5所示的处理进行证书签发请求(CSR)。在步骤S1202,进行图6所示的电子证书获取,并且开始使用所获取的电子证书。在请求电子证书与获得电子证书之间的间隔期间,以及在请求电子证书与使用所发行的电子证书之间的间隔期间,不能改变打印装置110的识别信息。
当改变打印装置110的识别信息时,在步骤S1203进行证书签发请求(CSR)使用中止或失效处理,在步骤S1203后,在步骤S1204进行打印装置110的识别信息改变处理。
尽管在该实施例中未公开,即使对自己发行证书的打印装置自身发行并保持自己签名的证书而不使远程CA服务发行电子证书,也可以进行与在该实施例中所述的处理类似的处理。
根据该实施例,如图10中所示,通过操作用户界面210进行步骤S1102、S1104或S1204中的改变打印装置110的识别信息。
图13是示出当改变打印装置110的识别信息时的用户界面触摸式屏幕的例子的图。如在该图中所示,可以从用户界面设定IP地址901或主机名904等打印装置110的识别信息的要素。根据该实施例,除前述设定以外,作为打印装置网络设定,还可以进行子网掩码902、默认网关地址903、或与通过DHCP自动获取IP地址有关的设定905等的设定。
当输入打印装置设定值时,按下用于各种设定的输入空间906使得显示如图14所示的软件键盘,该软件键盘允许任意输入字母数字字符等的字符。还可以不使用该软件键盘而通过如图10所示的十键小键盘2102进行输入。
可以利用前述方法来设定打印装置的识别信息。
图15是示出如图11的步骤S1102和S1104中所示的打印装置识别信息改变处理的例子的流程图。当用户为了改变打印装置识别信息而进行用户界面显示操作时,开始该识别信息改变处理。
在步骤S1001,打印装置110获得如图5的步骤S509中设定的证书签发请求(CSR)状态。在步骤S1002,如果在步骤S1001中获得的证书签发请求(CSR)状态是有效的,也就是说,如果正在请求发行电子证书,则处理进入步骤S1005。另一方面,如果判断出证书签发请求(CSR)状态是无效的,也就是说,如果没有请求发行电子证书,则处理进入步骤S1003。
在步骤S1003,打印装置110获得在图6的步骤S609中设定的电子证书保持状态。在步骤S1004,如果在步骤S1003中获得的电子证书保持状态是有效的,也就是说,如果已经保持有电子证书,则处理进入步骤S1005。另一方面,如果判断出电子证书保持状态是无效的,也就是说,如果没有保持电子证书,则处理进入步骤S1006。
在步骤S1005,设定并保持用于防止改变的识别信息状态,处理进入步骤S1006。
在步骤S1006,显示如图13所示的识别信息改变屏幕,该屏幕等待用户通过用户界面操作进行识别信息改变数据的输入。一旦在步骤S1006进行了输入,如果在步骤S1007判断出按下了图14所示的取消按钮,则结束处理。另一方面,如果进行了除取消按钮以外的输入,则处理进入步骤S1008,在S1008,根据在步骤 S1005中设定的用于防止改变的识别信息状态,对于识别信息是否经过改变进行判断。如果在步骤S1008判断出可以改变主机识别信息,则处理进入步骤S1009,在步骤S1009,存储所输入的主机识别信息,该信息被设定为其自身的设定值,并结束处理。如果在步骤S1008判断出不能改变主机识别信息,则在步骤S1010中,在识别信息设定屏幕上显示例如如图17所示的出错消息171,并结束处理。还可允许代替图17的出错消息171而显示如图18所示的出错消息181。
假定如果当显示任一屏幕时按下图10所示的取消按钮C,则处理将返回到图10所示的复印待机屏幕或其它屏幕。
图16是示出图15所示流程的变形例子的流程图。如果进行除取消按钮以外的输入,则在步骤S1006,图15中的例子显示识别信息改变屏幕,在步骤S1008,对识别信息是否经过改变进行判断。然而,还可允许在显示识别信息改变屏幕之前对识别信息是否经过改变进行判断。更具体地,在如图16所示的步骤S1006前,在步骤S1101进行识别信息是否经过改变的判断。如果判断出不能改变主机识别信息,则处理进入步骤S1010,在步骤S1010,在识别信息设定屏幕上显示如图17所示的出错消息171或如图18所示的出错消息181,并结束处理。假定在显示出错消息时不能改变设定。
图19是示出如图11的步骤S1103所示的打印装置110证书签发请求中止处理的例子的流程图。当用户进行操作以进行打印装置110的证书签发请求取消时,开始该处理。
在步骤S1301,打印装置110获得在图5的步骤S509中设定的证书签发请求状态。在步骤S1302,如果在步骤S1301中所获得的证书签发请求状态是有效的,也就是说,正在请求发行电子证书,则处理进入步骤S1303。另一方面,如果证书签发请求状态是无效的,也就是说,没有请求发行电子证书,则处理进入步骤S1308, 并且例如在进行如图20所示的屏幕显示后,结束处理。
在步骤S1303,显示如图21所示的证书签发请求取消屏幕,并且该装置等待按下取消按钮2101。当按下取消按钮2101时,处理进入步骤S1304。在步骤S1304,对是否按下了如图10中所示的取消按钮进行判断。如果按下了取消按钮,则结束处理。如果进行除取消按钮以外的输入,则处理进入步骤S1305。
在步骤S1305,进行证书签发请求状态的无效和证书签发请求(CSR)数据的删除,作为证书签发请求取消。然后处理进入步骤S1306,在步骤S1306,获得CA服务信息,之后,在步骤S1307向CA服务发出证书签发请求取消通知,并结束处理。
图22是示出如图12的步骤S1203所示的打印装置110电子证书中止或失效处理的例子的流程图。例如,根据该实施例,响应于在用户界面210中的规定输入而开始打印装置110电子证书中止或失效处理。
在步骤S1601,打印装置110获得在图6的步骤S609中设定的电子证书保持状态。在步骤S1602,如果在步骤S1601中所获得的电子证书保持状态是有效的,也就是说,打印装置110保持有电子证书,则处理进入步骤S1603。另一方面,如果电子证书保持状态不是有效的,也就是说,打印装置110没有保持电子证书,则处理进入步骤S1608,并且例如在进行如图23所示的屏幕显示后,结束处理。假定如果在显示该屏幕时按下图10所示的取消按钮,则处理将返回到如图10所示的复印待机屏幕或其它屏幕。
在步骤S1603,显示如图24所示的电子证书中止或失效确认屏幕,并且当按下执行按钮2401时处理进入步骤S1604。在步骤S1604,对是否按下了如图10所示的取消按钮进行判断。如果按下了取消按钮,则结束处理。如果进行除取消按钮以外的输入,则处理进入步骤S1605。
在步骤S1605,进行电子证书保持状态的无效和电子证书数据的删除,作为电子证书中止或失效设定处理。如果应用程序正在使用电子证书,则中止该应用程序服务等,并且处理进入步骤S1606,在步骤S1606,获得CA服务信息,之后,在步骤S1307向CA服务发出电子证书失效通知。因此,使电子证书失效,并结束处理。
根据第二实施例,不管是在正请求发行电子证书时,还是在保持电子证书时,都可以避免作为打印装置110的信息处理设备的主机名或其它识别信息与包含在打印装置电子证书中的该打印装置的识别信息之间的不匹配。因此,排除了打印装置保持非法电子证书,从而既允许使用电子证书进行打印装置的正常确认,也确保了与打印装置进行通信时的安全性。
第三实施例
根据该实施例对在打印装置110的主机识别信息动态改变的环境下时的处理进行说明。
根据该实施例,在启动打印装置110时,由DHCP服务器(图1中未示出)进行构成打印装置110的主机识别信息的IP地址的动态分配。根据该实施例,可以通过选择如图13所示的DHCP设定905,进行关于是否通过打印装置110的DHCP进行IP地址的动态分配的设定。换句话说,根据该实施例,DHCP设定905是有效的。
图25是示出根据该实施例的打印装置处理的例子的流程图。
在供电后,打印装置110在步骤S1901获得设定在自身内的DHCP有效设定。如果在步骤S1902判断出该设定是有效的,则处理进入步骤S1903。
如果在步骤S1902判断出该设定是无效的,则处理进入步骤S1916,在步骤S1916,获得预先设定的IP地址或其它硬件设定,并将其设定为打印装置110自身的主机识别信息。
在步骤S1903,进行通过DHCP对硬件设定信息的获取。如果在步骤S1904判断出步骤S1903中的处理成功,则处理进入步骤S1905,而如果判断出步骤S1903中的处理失败,则在步骤S1915中在用户界面上显示如图26所示的出错屏幕。假定如果在显示该屏幕时按下图10所示的取消按钮,则处理返回到如图10所示的复印待机屏幕或其它屏幕。
在步骤S1905,获得在图5的步骤S509中设定的证书签发请求状态。在步骤S1906,如果该证书签发请求状态是有效的,也就是说,正在请求发行电子证书,则处理进入步骤S1912。另一方面,如果该证书签发请求状态不是有效的,也就是说,没有请求发行电子证书,则处理进入步骤S1907。
在步骤S1912,获得包含在由打印装置110所保持的证书签发请求(CSR)内的主机识别信息。在步骤S1913,对在步骤S1903中获得的硬件设定信息与在步骤S1912中获得的硬件设定信息是否相匹配进行判断。
如果在步骤S1913中判断出各硬件信息相匹配,则处理进入步骤S1917,在步骤S1917,将在步骤S1903中获得的硬件设定信息设定为打印装置110自身的主机识别信息,并结束处理。
另一方面,如果在步骤S1913中判断出各硬件信息不匹配,则处理进入步骤S1914,在步骤S1914,在用户界面上显示如图27所示的出错屏幕,并结束处理。
另一方面,在步骤S1907,获得在图6的步骤S609中设定的电子证书保持状态。在步骤S1908,如果在步骤S1907中获得的电子证书保持状态是有效的,也就是说,打印装置110保持有电子证书,则处理进入步骤S1909。另一方面,如果该电子证书保持状态不是有效的,也就是说,打印装置110没有保持电子证书,则处理进入步骤S1917。在步骤S1917,将在步骤S1903中所获得的硬件设定 信息设定为打印装置110自身的主机识别信息,并结束处理。
在步骤S1909,获得包含在由打印装置110所保持的电子证书内的主机识别信息。在步骤S1910,对在步骤S1903中所获得的硬件设定信息与在步骤S1909中所获得的硬件设定信息是否相匹配进行判断。如果在此判断出各硬件信息匹配,则处理进入步骤S1917,在步骤S1917,将在步骤S1903中获得的硬件设定信息设定为打印装置110自身的主机识别信息,并结束处理。另一方面,如果判断出各硬件信息不匹配,则处理进入步骤S1911,在步骤S1911,在用户界面上显示如图27所示的出错屏幕,并结束处理。
根据第三实施例,即使作为信息处理设备的打印装置110的主机识别信息处于动态改变环境下,也可以得到与关于实施例1和2所获得的结果类似的结果。
其它实施例
注意,本发明可应用于包括单个装置的设备或者由多个装置构成的系统。
而且,本发明可以这样来实现:直接或间接地向系统或设备提供实现上述实施例功能的软件程序,利用该系统或设备的计算机来读取所提供的程序代码,然后执行该程序代码。在这种情况下,只要系统或设备具有该程序的功能,实现的方式无需依赖于程序。
因此,由于本发明的功能可由计算机来实现,因此安装在计算机上的程序代码也实现了本发明。换句话说,本发明的权利要求还覆盖为了实现本发明的功能的计算机程序。
在这种情况下,只要系统或设备具有程序的功能,该程序可以以任何形式来执行,例如目标代码、由解释程序执行的程序、或向操作系统提供的脚本数据。
能用来提供程序的存储介质的例子包括:软盘、硬盘、光盘、 磁光盘、CD-ROM、CD-R、CD-RW、磁带、非易失型存储卡、ROM、以及DVD(DVD-ROM和DVD-R)。
关于提供程序的方法,客户端计算机可以使用客户端计算机的浏览器连接到因特网上的网站,并且可将本发明的计算机程序或者该程序的可自动安装的压缩文件下载到硬盘等记录介质。此外,本发明的程序可通过将构成该程序的程序代码分为多个文件,并从不同网站下载这些文件来提供。换句话说,本发明的权利要求还覆盖将通过计算机实现本发明的功能的程序文件下载到多个用户的WWW(World Wide Web,万维网)服务器。
还可以在CD-ROM等的存储介质上加密并存储本发明的程序,将该存储介质分发给用户,允许满足一定要求的用户通过因特网从网站下载解密密钥信息,并允许这些用户使用该密钥信息来解密所加密的程序,从而将程序安装在用户计算机中。
除了通过由计算机执行所读取的程序来实现根据实施例的上述功能的情况之外,运行在计算机上的操作系统等可执行全部或部分实际处理,从而可通过该处理来实现上述实施例的功能。
而且,在将从存储介质中读取的程序写入到插入计算机中的功能扩展板、或与计算机连接的功能扩展单元中所配备的存储器之后,安装在功能扩展板或功能扩展单元上的CPU等执行全部或部分实际处理,从而可通过该处理来实现上述实施例的功能。
尽管参考典型实施例说明了本发明,但应当理解,本发明不局限于所公开的典型实施例。以下权利要求书的范围符合最宽的解释,以包含所有这类修改和等同结构和功能。
Claims (8)
1.一种使用电子证书进行通信的信息处理设备,其包括:
设定部件,用于设定在网络上识别该信息处理设备的识别信息;
存储部件,用于存储由所述设定部件设定的该识别信息;
证书请求部件,用于向认证机构发出包含存储在所述存储部件中的该识别信息的用于发行电子证书的第一请求;
判断部件,用于判断在所述证书请求部件发出该第一请求的时间与获得由该认证机构响应于该第一请求发行的该电子证书的时间之间,存储在所述存储部件中的该识别信息是否已经改变;以及
通知部件,用于当所述判断部件判断出该识别信息已经改变时,发出表示该识别信息已经改变的通知。
2.根据权利要求1所述的信息处理设备,其特征在于,还包括:
取消请求部件,如果所述判断部件判断出该识别信息已经改变,则该取消请求部件向认证机构发出用于取消该第一请求的第二请求。
3.一种使用电子证书进行通信的信息处理设备,其包括:
设定部件,用于设定在网络上识别该信息处理设备的识别信息;
存储部件,用于存储由所述设定部件设定的该识别信息;
判断部件,如果已经获得由认证机构发行的电子证书,则该判断部件判断包含在该电子证书中的第一识别信息与存储在所述存储部件中的第二识别信息是否相匹配;以及
通知部件,用于当所述判断部件判断出该第一和第二识别信息不匹配时,发出表示该第一和第二识别信息不匹配的通知。
4.根据权利要求3所述的信息处理设备,其特征在于,还包括:
失效请求部件,如果所述判断部件判断出该第一识别信息与该第二识别信息不匹配,则该失效请求部件向该认证机构发出用于使该电子证书失效的第四请求。
5.一种使用电子证书进行通信的信息处理方法,其包括:
设定步骤,设定用于在网络上识别信息处理设备的识别信息;
将在所述设定步骤中设定的该识别信息存储在存储部件中;
向认证机构发出包含存储在所述存储部件中的该识别信息的用于发行电子证书的第一请求;
判断步骤,判断在发出该第一请求的时间与获得由该认证机构响应于该第一请求发行的该电子证书的时间之间,存储在所述存储部件中的该识别信息是否已经改变;以及
当在所述判断步骤中判断出该识别信息已经改变时,发出表示该识别信息已经改变的通知。
6.一种使用电子证书进行通信的信息处理设备,其包括:
设定部件,用于设定在网络上识别该信息处理设备的识别信息;
存储部件,用于存储由所述设定部件设定的该识别信息;
证书请求部件,用于向认证机构发出包含存储在所述存储部件中的该识别信息的用于发行电子证书的第一请求;以及
控制部件,用于在所述证书请求部件发出该第一请求的时间与获得由所述认证机构响应于该请求发行的该电子证书的时间之间,防止通过所述设定部件来改变所述识别信息。
7.根据权利要求6所述的信息处理设备,其特征在于,还包括:
取消请求部件,用于向该认证机构发出用于取消该第一请求的第二请求;以及
其中,如果所述取消请求部件发出该第二请求,则在所述证书请求部件发出该第一请求的时间与获得由所述认证机构响应于该第一请求发行的该电子证书的时间之间,所述控制部件还取消对通过所述设定部件来改变所述识别信息的防止。
8.一种使用电子证书进行通信的信息处理方法,该方法包括以下步骤:
设定步骤,设定用于在网络上识别信息处理设备的识别信息;
将在所述设定步骤中设定的识别信息存储在存储部件中;
向认证机构发出包含存储在所述存储部件中的该识别信息的用于发行电子证书的第一请求;以及
在发出该第一请求的时间与获得由所述认证机构响应于该第一请求发行的电子证书的时间之间,防止通过所述设定步骤来改变所述识别信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210120499.0A CN102752114B (zh) | 2006-01-17 | 2007-01-17 | 信息处理设备和信息处理方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006-009092 | 2006-01-17 | ||
| JP2006009092A JP4890867B2 (ja) | 2006-01-17 | 2006-01-17 | 情報処理装置およびその制御方法 |
| JP2006009092 | 2006-01-17 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210120499.0A Division CN102752114B (zh) | 2006-01-17 | 2007-01-17 | 信息处理设备和信息处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101026456A CN101026456A (zh) | 2007-08-29 |
| CN101026456B true CN101026456B (zh) | 2012-11-21 |
Family
ID=38264641
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210120499.0A Expired - Fee Related CN102752114B (zh) | 2006-01-17 | 2007-01-17 | 信息处理设备和信息处理方法 |
| CN 200710000982 Expired - Fee Related CN101026456B (zh) | 2006-01-17 | 2007-01-17 | 信息处理设备和控制方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210120499.0A Expired - Fee Related CN102752114B (zh) | 2006-01-17 | 2007-01-17 | 信息处理设备和信息处理方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8850186B2 (zh) |
| JP (1) | JP4890867B2 (zh) |
| CN (2) | CN102752114B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865212B2 (en) * | 2007-01-17 | 2011-01-04 | Research In Motion Limited | Methods and apparatus for use in transferring user data between two different mobile communication devices using a removable memory card |
| US20100318791A1 (en) * | 2009-06-12 | 2010-12-16 | General Instrument Corporation | Certificate status information protocol (csip) proxy and responder |
| US8745748B2 (en) * | 2010-10-15 | 2014-06-03 | Microsoft Corporation | Cancelling digital signatures for form files |
| JP2013061709A (ja) * | 2011-09-12 | 2013-04-04 | Canon Inc | プリンタサーバ及びプリンタ制御方法、プログラム |
| US8776186B2 (en) * | 2011-10-04 | 2014-07-08 | Cleversafe, Inc. | Obtaining a signed certificate for a dispersed storage network |
| JP2013179419A (ja) | 2012-02-28 | 2013-09-09 | Ricoh Co Ltd | ネットワークシステム、証明書管理方法及び証明書管理プログラム |
| US9276887B2 (en) * | 2014-03-19 | 2016-03-01 | Symantec Corporation | Systems and methods for managing security certificates through email |
| JP6521640B2 (ja) | 2015-01-14 | 2019-05-29 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
| US11032379B2 (en) | 2015-04-24 | 2021-06-08 | Citrix Systems, Inc. | Secure in-band service detection |
| US9819497B2 (en) | 2015-06-30 | 2017-11-14 | Vmware, Inc. | Automated provisioning of certificates |
| US10432610B2 (en) | 2015-06-30 | 2019-10-01 | Vmware, Inc. | Automated monitoring and managing of certificates |
| US20170033935A1 (en) * | 2015-07-31 | 2017-02-02 | Hewlett-Packard Development Company, L.P. | Short-term security certificates |
| JP7208707B2 (ja) * | 2017-02-17 | 2023-01-19 | キヤノン株式会社 | 情報処理装置及びその制御方法とプログラム |
| JP7158830B2 (ja) | 2017-06-08 | 2022-10-24 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
| US11324960B2 (en) * | 2018-04-26 | 2022-05-10 | West Affum Holdings Corp. | Permission-based control of interfacing components with a medical device |
| JP7059120B2 (ja) * | 2018-06-25 | 2022-04-25 | キヤノン株式会社 | 情報処理装置およびその制御方法とプログラム |
| JP7262938B2 (ja) * | 2018-06-29 | 2023-04-24 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
| JP7163083B2 (ja) * | 2018-06-29 | 2022-10-31 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
| EP3851924A1 (de) * | 2020-01-14 | 2021-07-21 | Siemens Aktiengesellschaft | Leitsystem für technische anlagen mit zertifikatsmanagement |
| JP2023002935A (ja) * | 2021-06-23 | 2023-01-11 | 沖電気工業株式会社 | 情報処理装置及びプログラム |
| US20230409306A1 (en) * | 2022-05-25 | 2023-12-21 | Cloudblue Llc | Systems and methods for independent application design and deployment to platform host |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0869637A2 (en) * | 1997-04-02 | 1998-10-07 | Arcanvs | Digital certification system |
| JP2003309552A (ja) * | 2002-04-18 | 2003-10-31 | Dainippon Printing Co Ltd | 携帯端末による電子証明書の管理システム |
| US20040210597A1 (en) * | 2003-04-21 | 2004-10-21 | International Business Machines Corporation | Method, system and computer program product for facilitating digital certificate state change notification |
| CN1636378A (zh) * | 2001-10-26 | 2005-07-06 | 艾利森电话股份有限公司 | 移动因特网协议中的寻址机制 |
| CN1663174A (zh) * | 2002-06-17 | 2005-08-31 | 皇家飞利浦电子股份有限公司 | 用于在设备之间进行验证的方法 |
| US6976164B1 (en) * | 2000-07-19 | 2005-12-13 | International Business Machines Corporation | Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session |
| CN1708941A (zh) * | 2002-11-01 | 2005-12-14 | 摩托罗拉公司 | 数字权利管理系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05334252A (ja) * | 1992-06-03 | 1993-12-17 | Nec Corp | パスワード有効期間管理システム |
| US5666416A (en) * | 1995-10-24 | 1997-09-09 | Micali; Silvio | Certificate revocation system |
| US6314521B1 (en) * | 1997-11-26 | 2001-11-06 | International Business Machines Corporation | Secure configuration of a digital certificate for a printer or other network device |
| JP2001306733A (ja) | 2000-04-25 | 2001-11-02 | Hitachi Ltd | 電子証明書の発行方法およびそのシステム |
| US6950933B1 (en) * | 2000-05-19 | 2005-09-27 | Networks Associates Technology, Inc. | Method and system for management and notification of electronic certificate changes |
| JP3588042B2 (ja) * | 2000-08-30 | 2004-11-10 | 株式会社日立製作所 | 証明書の有効性確認方法および装置 |
| JP2003188873A (ja) * | 2001-12-14 | 2003-07-04 | Kanazawa Inst Of Technology | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム |
| JP3782788B2 (ja) | 2002-04-17 | 2006-06-07 | キヤノン株式会社 | 公開鍵証明書提供装置、方法、及び、接続装置 |
| JP4066719B2 (ja) | 2002-06-12 | 2008-03-26 | 株式会社日立製作所 | 位置情報を提供する位置情報サーバとその利用者端末 |
| US7452278B2 (en) * | 2003-05-09 | 2008-11-18 | Microsoft Corporation | Web access to secure data |
| US7512974B2 (en) * | 2004-09-30 | 2009-03-31 | International Business Machines Corporation | Computer system and program to update SSL certificates |
| US20060143442A1 (en) * | 2004-12-24 | 2006-06-29 | Smith Sander A | Automated issuance of SSL certificates |
-
2006
- 2006-01-17 JP JP2006009092A patent/JP4890867B2/ja not_active Expired - Fee Related
-
2007
- 2007-01-05 US US11/620,081 patent/US8850186B2/en active Active
- 2007-01-17 CN CN201210120499.0A patent/CN102752114B/zh not_active Expired - Fee Related
- 2007-01-17 CN CN 200710000982 patent/CN101026456B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0869637A2 (en) * | 1997-04-02 | 1998-10-07 | Arcanvs | Digital certification system |
| US6976164B1 (en) * | 2000-07-19 | 2005-12-13 | International Business Machines Corporation | Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session |
| CN1636378A (zh) * | 2001-10-26 | 2005-07-06 | 艾利森电话股份有限公司 | 移动因特网协议中的寻址机制 |
| JP2003309552A (ja) * | 2002-04-18 | 2003-10-31 | Dainippon Printing Co Ltd | 携帯端末による電子証明書の管理システム |
| CN1663174A (zh) * | 2002-06-17 | 2005-08-31 | 皇家飞利浦电子股份有限公司 | 用于在设备之间进行验证的方法 |
| CN1708941A (zh) * | 2002-11-01 | 2005-12-14 | 摩托罗拉公司 | 数字权利管理系统 |
| US20040210597A1 (en) * | 2003-04-21 | 2004-10-21 | International Business Machines Corporation | Method, system and computer program product for facilitating digital certificate state change notification |
Non-Patent Citations (4)
| Title |
|---|
| 伍思义.电子数字证书签发系统CA及其交叉认证(二).计算机安全 5.2001,(5),77-79. |
| 伍思义.电子数字证书签发系统CA及其交叉认证(二).计算机安全 5.2001,(5),77-79. * |
| 韦卫等.构造基于X.509公钥证书的密钥管理系统.计算机工程25 s1.1999,25(s1),133-135,153. |
| 韦卫等.构造基于X.509公钥证书的密钥管理系统.计算机工程25 s1.1999,25(s1),133-135,153. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102752114A (zh) | 2012-10-24 |
| US20070168658A1 (en) | 2007-07-19 |
| CN101026456A (zh) | 2007-08-29 |
| CN102752114B (zh) | 2015-09-02 |
| US8850186B2 (en) | 2014-09-30 |
| JP2007194730A (ja) | 2007-08-02 |
| JP4890867B2 (ja) | 2012-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101026456B (zh) | 信息处理设备和控制方法 | |
| US10630489B2 (en) | Apparatus and method for managing digital certificates | |
| EP2851828B1 (en) | Information processing apparatus and method of controlling the same | |
| US9137017B2 (en) | Key recovery mechanism | |
| JP6680022B2 (ja) | 情報処理装置、情報処理システム、情報処理方法及びプログラム | |
| EP1921557A1 (en) | Certificate handling method and system for ensuring secure identification of identities of multiple electronic devices | |
| JP2004164638A (ja) | 安全なリソース管理方法及びシステム | |
| JP6507854B2 (ja) | 情報処理システム、情報処理装置、電子証明書の管理方法、及びプログラム | |
| JP6819748B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
| CN104507080A (zh) | 一种文件处理方法及终端 | |
| US9154307B2 (en) | System, apparatus, application and method for bridging certificate deployment | |
| EP2592813B1 (en) | Method for discovering a dynamic address of a communication device | |
| CN114157432A (zh) | 数字证书获取方法、装置、电子设备、系统和存储介质 | |
| EP3588907B1 (en) | Information processing apparatus, control method for information processing apparatus, and storage medium | |
| JP5012574B2 (ja) | 共通鍵自動共有システム及び共通鍵自動共有方法 | |
| JP2018082244A (ja) | ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム | |
| CN106257483A (zh) | 电子数据的处理方法、设备及系统 | |
| JP5465230B2 (ja) | 情報処理装置およびその制御方法 | |
| CN114143010A (zh) | 数字证书获取方法、装置、终端、系统和存储介质 | |
| KR20010047385A (ko) | 인증기관 시스템의 사용자용 공개키 인증서 생성 방법 | |
| JP4551376B2 (ja) | 顧客情報開示システム、顧客情報開示方法、顧客装置、および顧客プログラム | |
| JP2014216713A (ja) | データ通信装置及びデータ通信システム | |
| Jacobson | The Public Key Muddle–How to Manage Transparent End-to-end Encryption in Organizations | |
| JP2005108074A (ja) | 社内認証システムおよびそのコンピュータプログラム | |
| JP2004227191A (ja) | 電子署名・電子文書保管システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121121 |