CN105900374A - 设备证书提供装置、设备证书提供系统和设备证书提供程序 - Google Patents

设备证书提供装置、设备证书提供系统和设备证书提供程序 Download PDF

Info

Publication number
CN105900374A
CN105900374A CN201480072407.3A CN201480072407A CN105900374A CN 105900374 A CN105900374 A CN 105900374A CN 201480072407 A CN201480072407 A CN 201480072407A CN 105900374 A CN105900374 A CN 105900374A
Authority
CN
China
Prior art keywords
certificate
device identifier
facility information
identifier
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201480072407.3A
Other languages
English (en)
Inventor
石黑刚大
森郁海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN105900374A publication Critical patent/CN105900374A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

设备ID询问部(241)发送作为目的地通信地址包含IP地址293的设备ID请求,从通信设备接收通信设备标识符。设备ID判定部(242)判定通信设备标识符是否是与设备ID(291)相同的设备标识符。在通信设备标识符是与设备ID(291)相同的设备标识符的情况下,公开密钥取得部(243)从所述通信设备取得设备公开密钥(492),设备证书发送部(245)向所述通信设备发送包含设备公开密钥(492)的设备证书(494)。

Description

设备证书提供装置、设备证书提供系统和设备证书提供程序
技术领域
本发明涉及在通信设备中导入电子证书的技术。
背景技术
专利文献1公开了与存在有服务器、认证局(CA)、设备、登记终端的认证系统有关的技术。
在该技术中,为了使设备与服务器连接,如下所述使用不与设备信息相关联的伪公开密钥证书和与设备信息相关联的真公开密钥证书。
首先,登记终端从认证局取得伪公开密钥证书,将取得的伪公开密钥证书写入IC卡(IC:Integrated Circuit(集成电路))中。在IC卡中写入设备的秘密密钥和公开密钥。
然后,利用者在设备上连接IC卡,设备使用自身的设备信息和写入IC卡中的伪公开密钥证书请求认证局发行真公开密钥证书,从认证局取得真公开密钥证书。
专利文献2公开了用于使认证装置、上位装置、下位装置相互进行安全通信的技术。
在该技术中,各装置分别使用独立公开密钥证书相互进行认证,由此确保安全的通信。而且,在下位装置的独立公开密钥证书损坏的情况下,上位装置根据下位装置的信息和各装置中公共的公共公开密钥证书认证下位装置,下位装置经由上位装置从认证装置取得独立公开密钥证书。
即,为了通过专利文献2的技术恢复独立公开密钥证书,需要预先将公共公开密钥证书导入各装置中。
但是,考虑很难预先在各装置中导入公共公开密钥证书的情况。例如,在设备制造者和服务提供者不同的情况下,很难在制造设备时在设备中导入服务提供者发行的公共公开密钥证书。
现有技术文献
专利文献
专利文献1:国际公开第2007/099608号
专利文献2:日本特开2005-65236号公报
发明内容
发明要解决的课题
本发明的目的在于,能够安全地在通信设备中导入电子证书。
用于解决课题的手段
本发明的设备证书提供装置具有:设备标识符存储部,其存储第一设备标识符和第一通信地址;设备标识符询问部,其向一个以上的通信设备所连接的网络,发送作为目的地通信地址包含所述设备标识符存储部中存储的所述第一通信地址的设备标识符请求,从所述一个以上的通信设备中的第一通信设备接收识别所述第一通信设备的通信设备标识符;设备标识符判定部,其判定由所述设备标识符询问部接收到的所述通信设备标识符是否是与所述设备标识符存储部中存储的所述第一设备标识符相同的设备标识符;以及设备证书发送部,其在由所述设备标识符判定部判定为所述通信设备标识符是与所述第一设备标识符相同的设备标识符的情况下,向所述第一通信设备发送作为所述第一通信设备的电子证书的设备证书。
发明效果
根据本发明,能够安全地在通信设备中导入电子证书。
附图说明
图1是实施方式1中的设备认证系统100的结构图。
图2是实施方式1中的安全GW200的功能结构图。
图3是实施方式1中的设备信息服务器300的功能结构图。
图4是示出实施方式1中的利用者信息文件391的图。
图5是示出实施方式1中的设备信息文件392的图。
图6是实施方式1中的通信设备400的功能结构图。
图7是示出实施方式1中的设备认证系统100的设备证书导入处理的流程图。
图8是示出实施方式1中的设备信息取得处理(S110)的流程图。
图9是示出实施方式1中的安全GW200的硬件结构的一例的图。
具体实施方式
实施方式1
对在通信设备中导入电子证书的方式进行说明。
图1是实施方式1中的设备认证系统100的结构图。
根据图1对实施方式1中的设备认证系统100的结构进行说明。
设备认证系统100(设备证书提供系统的一例)是在通信设备400中导入电子证书以使通信设备400使用电子证书进行通信的系统。电子证书也称作公开密钥证书。公开密钥证书证明公开密钥的所有者(例如通信设备400)。
设备认证系统100具有安全GW200(GW:网关)、设备信息服务器300、通信设备400、认证局服务器110。它们经由网络109进行通信。
安全GW200(设备证书提供装置的一例)是向通信设备400提供电子证书的装置。
设备信息服务器300是管理与通信设备400有关的设备信息的装置。
通信设备400是使用从安全GW200提供的电子证书进行通信的设备。
认证局服务器110是发行电子证书的装置。
认证局服务器110具有发行电子证书的证书发行部111。
并且,认证局服务器110具有存储认证局服务器110的秘密密钥(以下称作认证局秘密密钥)等的认证局存储部(图示省略)。
下面,将通信设备400的电子证书称作设备证书,将通信设备400的公开密钥称作设备公开密钥,将通信设备400的秘密密钥称作设备秘密密钥。
并且,将安全GW200的电子证书称作GW证书,将安全GW200的公开密钥称作GW公开密钥,将安全GW200的秘密密钥称作GW秘密密钥。
并且,将设备信息服务器300的电子证书称作服务器证书,将设备信息服务器300的公开密钥称作服务器公开密钥,将设备信息服务器300的秘密密钥称作服务器秘密密钥。
图2是实施方式1中的安全GW200的功能结构图。
根据图2对实施方式1中的安全GW200的功能结构进行说明。
安全GW200(设备证书提供装置的一例)具有相互认证部210、加密通信部220、设备ID登记部230(ID:标识符)、设备证书导入部240、安全GW存储部290。
相互认证部210使用通信对方的电子证书认证通信对方,使用自身的电子证书(GW证书)被通信对方认证。
加密通信部220使用通信对方的电子密钥证书中包含的公开密钥对通信数据进行加密,向通信对方发送加密后的通信数据。
加密通信部220从通信对方接收加密后的通信数据,使用自身的秘密密钥(GW秘密密钥)对接收到的通信数据进行解密。
设备ID登记部230(设备标识符取得部、设备信息取得部的一例)向设备信息服务器300发送识别通信设备400的设备ID291(例如制造编号),接收与通信设备400有关的设备信息292。
设备信息292包含IP地址293(IP:Internet Protocol)和MAC地址294(MAC:Media Access Control)等。
设备证书导入部240在通信设备400中导入设备证书494。
设备证书导入部240具有设备ID询问部241、设备ID判定部242、公开密钥取得部243、设备证书取得部244、设备证书发送部245。
设备ID询问部241从与网络109连接的通信设备400或不正当的通信设备接收设备ID。
设备ID判定部242判定接收到的设备ID是否与安全GW存储部290中存储的设备ID291相同。
公开密钥取得部243从发送了与设备ID291相同的设备ID的通信设备400接收设备公开密钥492。
设备证书取得部244从认证局服务器110取得包含设备公开密钥492的设备证书494。
设备证书发送部245向通信设备400发送设备证书494。
安全GW存储部290存储安全GW200使用、生成或输入输出的数据。
例如,安全GW存储部290与设备ID291(第一设备标识符的一例)对应地存储设备信息292(第一通信地址、第一设备信息的一例)、设备公开密钥492、设备证书494。并且,安全GW存储部290存储包含GW公开密钥的GW证书、GW秘密密钥、包含服务器公开密钥的服务器证书等(图示省略)。
图3是实施方式1中的设备信息服务器300的功能结构图。
根据图3对实施方式1中的设备信息服务器300的功能结构进行说明。
设备信息服务器300具有相互认证部310、加密通信部320、利用者认证部330、设备信息管理部340、服务器存储部390。
相互认证部310使用通信对方的电子证书认证通信对方,使用自身的电子证书(服务器证书)被通信对方认证。
加密通信部320使用通信对方的电子密钥证书中包含的公开密钥对通信数据进行加密,向通信对方发送加密后的通信数据。
加密通信部320从通信对方接收加密后的通信数据,使用自身的秘密密钥(服务器秘密密钥)对接收到的通信数据进行解密。
利用者认证部330根据利用者信息文件391对利用安全GW200的利用者进行认证。
设备信息管理部340向安全GW200发送设备信息文件392中包含的设备信息。
服务器存储部390存储设备信息服务器300使用、生成或输入输出的数据。
例如,服务器存储部390存储利用者信息文件391、设备信息文件392。并且,服务器存储部390存储包含服务器公开密钥的服务器证书、服务器秘密密钥、包含GW公开密钥的GW证书等(图示省略)。
利用者信息文件391包含与被许可利用安全GW200的利用者有关的利用者信息。
设备信息文件392包含与被导入设备证书的通信设备400有关的设备信息。
图4是示出实施方式1中的利用者信息文件391的图。
根据图4对实施方式1中的利用者信息文件391进行说明。
利用者信息文件391具有每个利用者的利用者数据。
利用者数据包含识别利用者数据的数据编号、与利用者有关的利用者信息(利用者ID、密码等)。
图5是示出实施方式1中的设备信息文件392的图。
根据图5对实施方式1中的设备信息文件392进行说明。
设备信息文件392具有每个通信设备的设备数据。
设备数据包含识别设备数据的数据编号、识别通信设备的设备ID、与通信设备有关的设备信息(IP地址、MAC地址等)。
图6是实施方式1中的通信设备400的功能结构图。
根据图6对实施方式1中的通信设备400的功能结构进行说明。
通信设备400具有相互认证部410、加密通信部420、加密密钥生成部430、设备证书导入部440、设备存储部490。
相互认证部410使用通信对方的电子证书认证通信对方,使用自身的电子证书(设备证书494)被通信对方认证。
加密通信部420使用通信对方的电子密钥证书中包含的公开密钥对通信数据进行加密,向通信对方发送加密后的通信数据。
加密通信部420从通信对方接收加密后的通信数据,使用自身的秘密密钥(设备秘密密钥493)对接收到的通信数据进行解密。
加密密钥生成部430根据公开密钥方式的密钥生成算法生成设备公开密钥492和设备秘密密钥493。
设备证书导入部440接收从安全GW200发送的设备证书494,将接收到的设备证书494存储在设备存储部490中。
设备存储部490存储通信设备400使用、生成或输入输出的数据。
例如,设备存储部490存储设备ID491、设备公开密钥492、设备秘密密钥493、设备证书494。并且,设备存储部490存储包含通信对方的公开密钥的通信对方的电子证书(图示省略)。
图7是示出实施方式1中的设备认证系统100的设备证书导入处理的流程图。
根据图7对实施方式1中的设备认证系统100的设备证书导入处理进行说明。
首先,对设备证书导入处理的概要进行说明。
设备ID登记部230从设备信息服务器300取得与设备ID291对应的设备信息292(S110)。
设备ID询问部241使用设备信息292中包含的信息从通信设备400取得设备ID491(S120)。
在取得了与设备ID291相同的设备ID491的情况下,公开密钥取得部243从通信设备400取得设备公开密钥492(S140)。
设备证书取得部244从认证局服务器110取得包含设备公开密钥492的设备证书494(S150)。
设备证书发送部245向通信设备400发送设备证书494(S160)。
通过以上的设备证书导入处理,设备证书494被导入到通信设备400中。
接着,对设备证书导入处理的详细情况进行说明。
在S110中,安全GW200的设备ID登记部230从设备信息服务器300取得与设备ID291对应的设备信息292。
设备信息取得处理(S110)在后面详细叙述。
在S110后,处理进入S120。
在S120中,安全GW200的设备ID询问部241使用设备信息292中包含的IP地址293作为目的地通信地址,生成设备ID请求,向网络109发送所生成的设备ID请求。但是,设备ID询问部241也可以使用MAC地址294作为目的地通信地址来发送设备ID请求。
设备ID请求是对由设备ID291识别出的通信设备400请求通信设备400中存储的设备ID491的通信数据。
通信设备400的设备证书导入部440接收设备ID请求,生成设备ID应答,向安全GW200发送所生成的设备ID应答。
设备ID应答是包含设备存储部490中存储的设备ID491的通信数据。
安全GW200的设备ID询问部241接收包含设备ID491的设备ID应答。
此时,设备ID询问部241有可能接收从不正当的通信设备发送的设备ID应答。
并且,在通信设备400未与网络109连接的情况下(包含通信设备400断开的情况),设备ID询问部241无法从通信设备400接收设备ID应答。
在S120后,处理进入S130。
在S130中,安全GW200的设备ID判定部242对设备ID应答中包含的设备ID491和安全GW存储部290中存储的设备ID291进行比较。
在设备ID491和设备ID291不相同的情况下,设备ID判定部242丢弃设备ID491,待机到接收到包含与设备ID291相同的设备ID491的设备ID应答为止。
在经过设备ID应答的等待时间之前接收到包含与设备ID291相同的设备ID491的设备ID应答的情况下(是),处理进入S140。
在经过设备ID应答的等待时间之前未接收到包含与设备ID291相同的设备ID491的设备ID应答的情况下(否),设备ID判定部242显示表示通信设备400未与网络109连接的消息。该情况下,设备证书494未导入到通信设备400中,设备证书导入处理结束。
在S140中,安全GW200的公开密钥取得部243向通信设备400发送公开密钥请求。该通信设备400是发送了包含与设备ID291相同的设备ID491的设备ID应答的设备。
公开密钥请求是对通信设备400请求设备公开密钥492的通信数据。
通信设备400的设备证书导入部440接收公开密钥请求,生成包含设备公开密钥492的通信数据即公开密钥应答,向安全GW200发送所生成的公开密钥应答。
加密密钥生成部430可以在该时刻生成设备公开密钥492和设备秘密密钥493,也可以预先生成设备公开密钥492和设备秘密密钥493。
安全GW200的公开密钥取得部243接收包含设备公开密钥492的公开密钥应答。
在S140后,处理进入S150。
在S150中,安全GW200的设备证书取得部244生成包含设备公开密钥492和设备信息292(也可以包含设备ID291)的证书请求,向认证局服务器110发送所生成的证书请求。
证书请求是请求设备证书494的通信数据。
认证局服务器110的证书发行部111接收证书请求,从证书请求取得设备公开密钥492和设备信息292,使用设备公开密钥492、设备信息292、认证局秘密密钥生成认证局服务器110的电子签名(以下称作认证局签名)。
然后,证书发行部111生成包含设备公开密钥492、设备信息292、认证局签名的设备证书494,生成包含所生成的设备证书494的通信数据即证书应答,向安全GW200发送所生成的证书应答。
安全GW200的设备证书取得部244接收包含设备证书494的证书应答。
在S150后,处理进入S160。
在S160中,安全GW200的设备证书发送部245向通信设备400发送设备证书494。
通信设备400的设备证书导入部440接收设备证书494,将接收到的设备证书494存储在设备存储部490中。
由此,设备证书494被导入到通信设备400中。
在被导入设备证书494后,通信设备400能够使用设备证书494和设备秘密密钥493从通信对方接受认证。并且,通信设备400能够使用设备证书494和设备秘密密钥493进行加密通信(隐匿通信)。
另一方面,不正当的通信设备由于未被导入设备证书,因此,无法从通信对方(例如通信设备400、安全GW200或设备信息服务器300)接受认证,无法与通信对方进行通信。
在S160后,设备证书导入处理结束。
图8是示出实施方式1中的设备信息取得处理(S110)的流程图。
根据图8对实施方式1中的设备信息取得处理(S110)进行说明。
在S111中,安全GW200的相互认证部210向设备信息服务器300发送GW证书,从设备信息服务器300接收服务器证书。
相互认证部210根据接收到的服务器证书中包含的服务器信息(与设备信息服务器300有关的信息),确认通信对方是设备信息服务器300。
相互认证部210使用GW秘密密钥对认证码进行加密,向设备信息服务器300发送加密后的认证码。
相互认证部210从设备信息服务器300接收使用服务器秘密密钥进行加密后的认证码,使用服务器证书中包含的服务器公开密钥对接收到的认证码进行解密。
在能够解密认证码的情况下,相互认证部210认证设备信息服务器300。
同样,设备信息服务器300的相互认证部310向安全GW200发送服务器证书,从安全GW200接收GW证书。
相互认证部310根据接收到的GW证书中包含的GW信息(与安全GW200有关的信息),确认通信对方是安全GW200。
相互认证部310使用服务器秘密密钥对认证码进行加密,向安全GW200发送加密后的认证码。
相互认证部310从安全GW200接收使用GW秘密密钥进行加密后的认证码,使用GW证书中包含的GW公开密钥对接收到的认证码进行解密。
在能够解密认证码的情况下,相互认证部310认证安全GW200。
在S111后,处理进入S112。
在S112中,利用者在安全GW200中输入利用者ID和密码。
安全GW200的设备ID登记部230取得所输入的利用者ID和密码。
在S112后,处理进入S113。
在S113中,安全GW200的设备ID登记部230向设备信息服务器300发送包含利用者ID和密码的通信数据即认证请求。
在S113后,处理进入S114。
在S114中,设备信息服务器300的利用者认证部330接收认证请求,判定包含有认证请求中包含的利用者ID和认证请求中包含的密码的利用者数据是否包含在利用者信息文件391中。
在包含有认证请求中包含的利用者ID和认证请求中包含的密码的利用者数据包含在利用者信息文件391中的情况下,利用安全GW200的利用者是正当的利用者。
在利用安全GW200的利用者是正当的利用者的情况下(是),利用者认证部330向安全GW200发送表示已被认证的通信数据即认证应答,安全GW200的设备ID登记部230接收认证应答。然后,处理进入S115。
在利用安全GW200的利用者不是正当的利用者的情况下(否),利用者认证部330向安全GW200发送表示未被认证的通信数据即认证应答。
安全GW200的设备ID登记部230接收认证应答,显示表示未被认证的错误消息。
然后,安全GW200无法取得设备信息292,设备信息取得处理(S110)结束,设备证书494未被导入到通信设备400中,设备证书导入处理(参照图7)结束。
在S115中,安全GW200的设备ID登记部230显示表示已被认证的认证消息。
利用者在安全GW200中输入希望导入到设备证书494的通信设备400的设备ID291。
安全GW200的设备ID登记部230取得所输入的设备ID291,将所取得的设备ID291存储在安全GW存储部290中。
在S115后,处理进入S116。
在S116中,安全GW200的设备ID登记部230生成包含设备ID291的设备信息请求,向设备信息服务器300发送所生成的设备信息请求。
设备信息请求是请求设备信息292的通信数据。
在S116后,处理进入S117。
在S117中,设备信息服务器300的设备信息管理部340接收设备信息请求,从设备信息文件392选择包含有与接收到的设备信息请求中包含的设备ID291相同的设备ID的设备信息数据。
设备信息管理部340从选择出的设备信息数据取得设备信息292,生成包含所取得的设备信息292的通信数据即设备信息应答,向安全GW200发送所生成的设备信息应答。
设备信息管理部340也可以在选择出的设备信息数据中设定与设备信息请求中包含的安全GW200有关的信息(例如IP地址)。
安全GW200的设备ID登记部230接收设备信息应答,从接收到的设备信息应答取得设备信息292,将所取得的设备信息292存储在安全GW存储部290中。
在S117后,设备信息取得处理(S110)结束。
关于图8的S113~S117中通信的通信数据,通过安全GW200的加密通信部220和设备信息服务器300的加密通信部320在发送时进行加密,在接收时进行解密。
图9是示出实施方式1中的安全GW200的硬件结构的一例的图。
根据图9对实施方式1中的安全GW200的硬件结构的一例进行说明。但是,安全GW200的硬件结构也可以是与图9所示的结构不同的结构。
另外,设备信息服务器300、通信设备400和认证局服务器110各自的硬件结构与安全GW200相同。
安全GW200是具有运算装置901、辅助存储装置902、主存储装置903、通信装置904和输入输出装置905的计算机。
运算装置901、辅助存储装置902、主存储装置903、通信装置904和输入输出装置905与总线909连接。
运算装置901是执行程序的CPU(Central Processing Unit)。
辅助存储装置902例如是ROM(Read Only Memory)、闪存或硬盘装置。
主存储装置903例如是RAM(Random Access Memory)。
通信装置904以有线或无线方式经由因特网、LAN(局域网)、电话线路网或其它网络进行通信。
输入输出装置905例如是鼠标、键盘、显示装置。
程序通常存储在辅助存储装置902中,下载到主存储装置903中,读入到运算装置901中,由运算装置901来执行。
例如,操作系统(OS)存储在辅助存储装置902中。并且,实现作为“~部”说明的功能的程序存储在辅助存储装置902中。而且,OS和实现作为“~部”说明的功能的程序下载到主存储装置903中,由运算装置901来执行。“~部”也可以改写成“~处理”“~步骤”。
“~的判断”、“~的判定”、“~的提取”、“~的检测”、“~的设定”、“~的登记”、“~的选择”、“~的生成”、“~的输入”、“~的输出”等表示处理结果的信息、数据、文件、信号值或变量值存储在主存储装置903或辅助存储装置902中。并且,安全GW200使用的其它数据存储在主存储装置903或辅助存储装置902中。
在实施方式1中说明了在通信设备400中导入设备证书494的方式。
根据实施方式1,例如发挥以下效果。
能够安全且简易地在通信设备400中导入设备证书494。
不使用IC卡等外部存储介质,就能够在通信设备400中导入设备证书494。即,能够在不具有用于使用外部存储介质的读写装置的通信设备400中导入设备证书494。而且,能够防止由于IC卡被盗而在不正当的通信设备中导入设备证书494。
能够防止设备证书494被导入到不正当的通信设备中,能够防止与未被导入设备证书494的不正当的通信设备进行通信。
实施方式1是设备认证系统100的方式的一例。
即,设备认证系统100也可以不具有实施方式1中说明的结构要素的一部分。并且,设备认证系统100也可以具有实施方式1中未说明的结构要素。
例如,安全GW200也可以具有认证局服务器110的功能(证书发行部111),不向认证局服务器110请求设备证书494而生成设备证书494。该情况下,设备认证系统100不需要具有认证局服务器110。
实施方式1中使用流程图等说明的处理顺序是实施方式1的方法和程序的处理顺序的一例。实施方式1的方法和程序也可以通过一部分与实施方式1中说明的处理顺序不同的处理顺序来实现。
标号说明
100:设备认证系统;109:网络;110:认证局服务器;111:证书发行部;200:安全GW;210:相互认证部;220:加密通信部;230:设备ID登记部;240:设备证书导入部;241:设备ID询问部;242:设备ID判定部;243:公开密钥取得部;244:设备证书取得部;245:设备证书发送部;290:安全GW存储部;291:设备ID;292:设备信息;293:IP地址;294:MAC地址;300:设备信息服务器;310:相互认证部;320:加密通信部;330:利用者认证部;340:设备信息管理部;390:服务器存储部;391:利用者信息文件;392:设备信息文件;400:通信设备;410:相互认证部;420:加密通信部;430:加密密钥生成部;440:设备证书导入部;490:设备存储部;491:设备ID;492:设备公开密钥;493:设备秘密密钥;494:设备证书;901:运算装置;902:辅助存储装置;903:主存储装置;904:通信装置;905:输入输出装置;909:总线。

Claims (9)

1.一种设备证书提供装置,其特征在于,所述设备证书提供装置具有:
设备标识符存储部,其存储第一设备标识符和第一通信地址;
设备标识符询问部,其向一个以上的通信设备所连接的网络,发送作为目的地通信地址包含所述设备标识符存储部中存储的所述第一通信地址的设备标识符请求,从所述一个以上的通信设备中的第一通信设备接收识别所述第一通信设备的通信设备标识符;
设备标识符判定部,其判定由所述设备标识符询问部接收到的所述通信设备标识符是否是与所述设备标识符存储部中存储的所述第一设备标识符相同的设备标识符;以及
设备证书发送部,其在由所述设备标识符判定部判定为所述通信设备标识符是与所述第一设备标识符相同的设备标识符的情况下,向所述第一通信设备发送作为所述第一通信设备的电子证书的设备证书。
2.根据权利要求1所述的设备证书提供装置,其特征在于,
所述设备证书提供装置具有:
公开密钥取得部,其在由所述设备标识符判定部判定为所述通信设备标识符是与所述第一设备标识符相同的设备标识符的情况下,从所述第一通信设备取得公开密钥;以及
设备证书取得部,其取得包含由所述公开密钥取得部取得的所述公开密钥的电子证书作为所述设备证书。
3.根据权利要求2所述的设备证书提供装置,其特征在于,
所述设备证书取得部向生成电子证书的认证局服务器发送所述公开密钥,从所述认证局服务器接收所述设备证书。
4.根据权利要求3所述的设备证书提供装置,其特征在于,
所述设备标识符存储部存储第一设备信息,
所述设备证书取得部向所述认证局服务器发送所述公开密钥和所述第一设备信息,从所述认证局服务器接收作为包含所述公开密钥和所述第一设备信息的电子证书的所述设备证书。
5.根据权利要求4所述的设备证书提供装置,其特征在于,
所述设备证书提供装置具有:
设备标识符取得部,其取得所述第一设备标识符;以及
设备信息取得部,其向与所述第一通信地址和所述第一设备信息对应地存储所述第一设备标识符的设备信息服务器,发送由所述设备标识符取得部取得的所述第一设备标识符,从所述设备信息服务器接收所述第一通信地址和所述第一设备信息,
所述设备标识符存储部存储由所述设备标识符取得部取得的所述第一设备标识符、由所述设备信息取得部取得的所述第一通信地址和所述第一设备信息。
6.根据权利要求1所述的设备证书提供装置,其特征在于,
所述设备证书提供装置具有:
设备标识符取得部,其取得所述第一设备标识符;以及
设备信息取得部,其向与所述第一通信地址对应地存储所述第一设备标识符的设备信息服务器,发送由所述设备标识符取得部取得的所述第一设备标识符,从所述设备信息服务器接收所述第一通信地址,
所述设备标识符存储部存储由所述设备标识符取得部取得的所述第一设备标识符和由所述设备信息取得部取得的所述第一通信地址。
7.一种设备证书提供系统,其特征在于,所述设备证书提供系统具有:
权利要求1所述的设备证书提供装置;以及
设备信息服务器,其与所述第一设备标识符对应地存储所述第一通信地址,从所述设备证书提供装置接收所述第一设备标识符,向所述设备证书提供装置发送所述第一通信地址。
8.一种设备证书提供系统,其特征在于,所述设备证书提供系统具有:
权利要求2所述的设备证书提供装置;以及
认证局服务器,其从所述设备证书提供装置接收所述公开密钥,生成包含接收到的所述公开密钥的所述设备证书,向所述设备证书提供装置发送所生成的所述设备证书。
9.一种设备证书提供程序,其用于使计算机执行以下处理:
设备标识符询问处理,向一个以上的通信设备所连接的网络,发送作为目的地通信地址包含与第一设备标识符对应地存储的第一通信地址的设备标识符请求,从所述一个以上的通信设备中的第一通信设备接收识别所述第一通信设备的通信设备标识符;
设备标识符判定处理,判定通过所述设备标识符询问处理接收到的所述通信设备标识符是否是与所述第一设备标识符相同的设备标识符;以及
设备证书发送处理,在通过所述设备标识符判定处理判定为所述通信设备标识符是与所述第一设备标识符相同的设备标识符的情况下,向所述第一通信设备发送作为所述第一通信设备的电子证书的设备证书。
CN201480072407.3A 2014-01-27 2014-01-27 设备证书提供装置、设备证书提供系统和设备证书提供程序 Pending CN105900374A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/051687 WO2015111221A1 (ja) 2014-01-27 2014-01-27 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム

Publications (1)

Publication Number Publication Date
CN105900374A true CN105900374A (zh) 2016-08-24

Family

ID=53681047

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201480072407.3A Pending CN105900374A (zh) 2014-01-27 2014-01-27 设备证书提供装置、设备证书提供系统和设备证书提供程序

Country Status (7)

Country Link
US (1) US20170041150A1 (zh)
JP (1) JP6012888B2 (zh)
KR (1) KR20160113248A (zh)
CN (1) CN105900374A (zh)
DE (1) DE112014006265T5 (zh)
TW (1) TWI565286B (zh)
WO (1) WO2015111221A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111376257A (zh) * 2018-12-29 2020-07-07 深圳市优必选科技有限公司 一种舵机id重复的检测方法、装置、存储介质及机器人

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171439B2 (en) * 2015-09-24 2019-01-01 International Business Machines Corporation Owner based device authentication and authorization for network access
JP6680022B2 (ja) * 2016-03-18 2020-04-15 株式会社リコー 情報処理装置、情報処理システム、情報処理方法及びプログラム
CN105959299B (zh) * 2016-03-23 2019-05-07 四川长虹电器股份有限公司 一种下发安全证书的方法和安全证书服务器
US10454690B1 (en) 2017-08-04 2019-10-22 Amazon Technologies, Inc. Digital certificates with distributed usage information
CN109982150B (zh) * 2017-12-27 2020-06-23 国家新闻出版广电总局广播科学研究院 智能电视终端的信任链建立方法和智能电视终端
JP2020010297A (ja) * 2018-07-12 2020-01-16 三菱電機株式会社 証明書発行システム、要求装置、証明書発行方法および証明書発行プログラム
DE102019130067B4 (de) * 2019-11-07 2022-06-02 Krohne Messtechnik Gmbh Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
US20210273920A1 (en) * 2020-02-28 2021-09-02 Vmware, Inc. Secure certificate or key distribution for synchronous mobile device management (mdm) clients
CN112785318B (zh) * 2021-01-16 2022-05-17 苏州浪潮智能科技有限公司 基于区块链的透明供应链认证方法、装置、设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005110213A (ja) * 2003-09-12 2005-04-21 Ricoh Co Ltd 証明書設定方法
JP2006174152A (ja) * 2004-12-16 2006-06-29 Matsushita Electric Works Ltd トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム
CN1838593A (zh) * 2005-03-07 2006-09-27 富士施乐株式会社 证书获取系统和方法、管理通信装置、认证管理机构
JP2007104691A (ja) * 2006-10-12 2007-04-19 Hitachi Ltd データ通信方法およびシステム
CN202957842U (zh) * 2012-12-20 2013-05-29 中国工商银行股份有限公司 一种电子证书装置以及安全认证系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3759137B2 (ja) * 2003-09-30 2006-03-22 日立電子サービス株式会社 無線通信装置およびなりすまし端末検出方法
JP3859667B2 (ja) * 2004-10-26 2006-12-20 株式会社日立製作所 データ通信方法およびシステム
JP5495996B2 (ja) * 2010-07-14 2014-05-21 Kddi株式会社 プログラム配信システム、および方法
US20140164645A1 (en) * 2012-12-06 2014-06-12 Microsoft Corporation Routing table maintenance

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005110213A (ja) * 2003-09-12 2005-04-21 Ricoh Co Ltd 証明書設定方法
JP2006174152A (ja) * 2004-12-16 2006-06-29 Matsushita Electric Works Ltd トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム
CN1838593A (zh) * 2005-03-07 2006-09-27 富士施乐株式会社 证书获取系统和方法、管理通信装置、认证管理机构
JP2007104691A (ja) * 2006-10-12 2007-04-19 Hitachi Ltd データ通信方法およびシステム
CN202957842U (zh) * 2012-12-20 2013-05-29 中国工商银行股份有限公司 一种电子证书装置以及安全认证系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111376257A (zh) * 2018-12-29 2020-07-07 深圳市优必选科技有限公司 一种舵机id重复的检测方法、装置、存储介质及机器人

Also Published As

Publication number Publication date
WO2015111221A1 (ja) 2015-07-30
JPWO2015111221A1 (ja) 2017-03-23
TW201531080A (zh) 2015-08-01
JP6012888B2 (ja) 2016-10-25
TWI565286B (zh) 2017-01-01
DE112014006265T5 (de) 2016-10-13
KR20160113248A (ko) 2016-09-28
US20170041150A1 (en) 2017-02-09

Similar Documents

Publication Publication Date Title
CN105900374A (zh) 设备证书提供装置、设备证书提供系统和设备证书提供程序
CN111884806B (zh) 用于认证用户或确保交互安全的系统和硬件认证令牌
CN106161350B (zh) 一种管理应用标识的方法及装置
CN114556865A (zh) 电子装置和使用该电子装置管理区块链地址的方法
JP2019009509A (ja) 車載認証システム、通信装置、車載認証装置、コンピュータプログラム、通信装置の認証方法及び通信装置の製造方法
CN106161032A (zh) 一种身份认证的方法及装置
CN109011583A (zh) 虚拟资源转移方法和装置、存储介质及电子装置
WO2011066658A1 (en) System and methods for identity attribute validation
KR101686167B1 (ko) 사물 인터넷 기기의 인증서 배포 장치 및 방법
US9124571B1 (en) Network authentication method for secure user identity verification
KR20150139616A (ko) 디지털 인증서의 제공
MX2015002928A (es) Metodo y sistema para verificar una peticion de acceso.
CN105164689A (zh) 用户认证
US10439809B2 (en) Method and apparatus for managing application identifier
CN107484032A (zh) 防止被刷的验证方法及装置
US11985125B2 (en) Biometrically-enhanced verifiable credentials
CN109600296A (zh) 一种证件链即时通讯系统及其使用方法
JP2022533979A (ja) ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法
US20180123794A1 (en) A first entity, a second entity, an intermediate node, methods for setting up a secure session between a first and second entity, and computer program products
JP6841781B2 (ja) 認証サーバ装置、認証システム及び認証方法
US20240129139A1 (en) User authentication using two independent security elements
EP2916509A1 (en) Network authentication method for secure user identity verification
KR102021956B1 (ko) 스마트 카드 기반 인증 시스템, 장치 및 인증 방법
JP6813030B2 (ja) 通信システム
US10917242B2 (en) Method, a computer program product and a qKEY server

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160824

WD01 Invention patent application deemed withdrawn after publication