CN107005405B - 信息处理装置、控制方法及存储介质 - Google Patents
信息处理装置、控制方法及存储介质 Download PDFInfo
- Publication number
- CN107005405B CN107005405B CN201480083365.3A CN201480083365A CN107005405B CN 107005405 B CN107005405 B CN 107005405B CN 201480083365 A CN201480083365 A CN 201480083365A CN 107005405 B CN107005405 B CN 107005405B
- Authority
- CN
- China
- Prior art keywords
- information
- certificate
- command
- processing apparatus
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 230000010365 information processing Effects 0.000 title claims abstract description 70
- 230000006854 communication Effects 0.000 claims abstract description 136
- 238000004891 communication Methods 0.000 claims abstract description 130
- 230000004044 response Effects 0.000 claims abstract description 95
- 238000012545 processing Methods 0.000 claims abstract description 89
- 230000005540 biological transmission Effects 0.000 claims abstract description 9
- 238000012217 deletion Methods 0.000 claims description 10
- 230000037430 deletion Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 52
- 230000006870 function Effects 0.000 description 38
- 238000003384 imaging method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- NRNCYVBFPDDJNE-UHFFFAOYSA-N pemoline Chemical compound O1C(N)=NC(=O)C1C1=CC=CC=C1 NRNCYVBFPDDJNE-UHFFFAOYSA-N 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Studio Devices (AREA)
- Television Signal Processing For Recording (AREA)
- Facsimiles In General (AREA)
- Telephonic Communication Services (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供信息处理装置、控制方法及存储介质。使用第一通信过程对信息处理装置进行的与安全功能相关联的设置的内容,不能被采用与第一通信过程不同的第二通信过程的客户端装置参照。信息处理装置包括:第一处理单元,其响应于基于第一通信过程的命令对信息处理装置进行用于进行加密通信的设置;第二处理单元,其响应于基于第二通信过程的命令对信息处理装置进行用于进行加密通信的设置;以及发送单元,其在第一处理单元响应于基于第一通信过程的命令而对信息处理装置进行用于进行加密通信的设置之后从接收装置接收到基于第二通信过程的命令的情况下,将指示响应于基于第一通信过程的命令而做出用于进行加密通信的设置的信息,发送给接收装置。
Description
技术领域
本发明涉及将所拍摄的图像通过网络而发送给客户端装置的信息处理装置中的安全功能的设置。
背景技术
一般而言,已知如下技术:通过经由网络而连接到摄像装置的客户端装置,对摄像装置进行针对摄像装置的安全功能的设置。
例如,客户端装置可以指示摄像装置生成密钥并且设置证书,所述密钥和证书用于采用安全套接层(SSL)协议的通信处理。
作为用于由客户端装置对摄像装置设置安全功能的命令,已知由开放网络视频接口论坛(ONVIF)开发的规范所限定的命令组。在ONVIF 中,将SSL、IEEE802.1X及客户端的认证的设置与安全功能相关联地标准化。
例如,可以将在ONVIF的设备管理服务(NPL 1)中所限定的命令,从客户端装置发送到摄像装置,使得在支持设备管理服务的摄像装置中进行密钥的生成及证书的设置。
此外,例如,可以将在ONVIF的高级安全服务(NPL 2)中所限定的命令,从客户端装置发送到摄像装置,使得在支持高级安全服务的摄像装置中进行密钥的生成及证书的设置。
引用列表
非专利文献
NPL 1:ONVIF-Core-Specification-v242
(http://www.onvif.org/specs/core/ONVIF-Core-Specification-v242.pdf)
NPL 2:ONVIF-AdvancedSecurity-Service-Spec-v102
(http://www.onvif.org/specs/srv/security/ONVIF-AdvancedSecurity-Service- Spec-v102.pdf)
发明内容
技术问题
在用于对信息处理装置(例如,摄像装置)设置安全功能的客户端装置可以使用多个通信过程(协议)的情况下,有可能出现以下问题。具体地说,通过第一通信过程在信息处理装置中做出的与安全功能相关联的设置的内容,不能由采用与第一通信过程不同的第二通信过程的客户端装置参照。
问题的解决方案
为了实现上述目的,本发明提供了一种信息处理装置,其包括:第一处理单元,其用于响应于基于第一通信过程的命令而对所述信息处理装置进行用于进行加密通信的设置;第二处理单元,其用于响应于基于第二通信过程的命令而对所述信息处理装置进行用于进行加密通信的设置;以及发送单元,其用于在所述第一处理单元响应于基于所述第一通信过程的命令而对所述信息处理装置进行用于进行加密通信的设置之后从接收装置接收到基于所述第二通信过程的命令的情况下,将指示响应于基于所述第一通信过程的命令而做出用于进行加密通信的设置的信息,发送给所述接收装置。
发明的有利效果
利用该构造,使用第一通信过程对信息处理装置进行的与安全功能相关联的设置的内容,不能由采用与第一通信过程不同的第二通信过程的客户端装置参照。
附图说明
图1A是例示根据第一实施例的安全通信系统的框图。
图1B是例示根据第一实施例的安全通信系统的框图。
图2A是例示设置证书等的处理的图。
图2B是例示设置证书等的处理的图。
图3是例示生成证书的处理的流程图。
图4是例示加载证书的处理的流程图。
图5是例示获得证书的处理的流程图。
图6是例示删除证书的处理的流程图。
图7是例示设置证书的状态的处理的流程图。
图8是例示获得证书的状态的处理的流程图。
图9是例示设置证书的状态的处理的流程图。
图10是例示获得证书的状态的处理的流程图。
图11是例示根据第二实施例的安全通信系统的框图。
图12是例示SSL的设置页的用户界面的图。
图13是例示生成自签名证书的处理的流程图。
图14是例示使用由CA签名的证书的处理的流程图。
具体实施方式
下文中,将参照附图详细地描述本发明的实施例。
第一实施例
在本实施例中,将以下情况作为示例来描述:第一客户端装置和第二客户端装置根据由ONVIF规定的过程来对用作图像处理装置的摄像装置进行安全功能的设置。
在本实施例中,第一客户端装置基于由ONVIF规定的设备管理服务 (下文中称作“DM服务”)(第一过程)来对摄像装置进行安全功能的设置。此外,第二客户端装置基于由ONVIF规定的高级安全服务(下文中称作“AS服务”)(第二过程)来对摄像装置进行安全功能的设置。
这里,由ONVIF规定的DM服务和AS服务是独立的服务。通过这些服务中的一个服务与摄像装置通信的客户端装置不能参照基于这些服务中的另一个服务而对所述摄像装置设置的设置的内容。
例如,第一客户端装置基于DM服务而对摄像装置进行安全功能的设置。其后,第二客户端装置试图使用由AS服务规定的命令来参照在摄像装置中所设置的安全功能的设置。在这种情况下,第二客户端装置不能参照由第一客户端装置基于DM服务而做出的安全设置的内容。
因此,即使在第一客户端装置已对摄像装置进行了安全设置的情况下,第二客户端装置也不能识别出已对所述摄像装置进行了设置。因此,有可能第二客户端装置的用户对摄像装置新进行安全设置从而现有的设置被新的安全设置替代。
因此,根据本实施例的摄像装置将指示已使用由DM服务规定的命令对摄像装置进行了设置的信息作为由AS服务规定的Alias(别名)信息记录在摄像装置中。藉此,即使采用AS服务的客户端装置也可以识别出已基于DM服务而进行了安全功能的设置。以这种方式,使用协议中的一个协议对摄像装置进行设置的客户端装置可以识别出已使用协议中的另一个协议进行了设置。
此外,如果基于DM服务而进行安全设置,则本实施例的摄像装置使用设置的内容来自动地生成并记录基于AS服务的设置的内容。然后,摄像装置将指示已响应于DM服务的安全设置的命令而生成了基于AS 服务的设置的内容的信息作为Alias信息记录下来。
例如,摄像装置接收到用于使摄像装置基于DM服务而生成要用于加密通信的证书的命令。在这种情况下,摄像装置自动地进行证书路径的设置及密钥对的设置,它们是基于AS服务的安全设置所需的、并且不是基于DM服务的安全设置中所规定的。然后,摄像装置将指示已响应于基于DM服务的命令的接收而进行了证书路径的设置及密钥对的设置的信息作为Alias信息记录下来。
藉此,用户可以识别出已响应于基于DM服务的命令而进行了基于 AS服务的安全设置。
将参照图1A来描述根据第一实施例的摄像系统的硬件的构造的示例。在第一实施例中,将摄像装置100通过网络108而连接到客户端装置200及客户端装置300的情况作为示例来描述。在本实施例中,摄像装置100通过网络来将所拍摄的图像发送给客户端装置200及客户端装置300。尽管在本实施例中将摄像单元101装在摄像装置100中,但是本发明并不限于此。可以采用任意构造,只要用于发送所拍摄的图像的安全的设置受到管理即可,并且作为摄像装置100的替代,可以采用从外部摄像装置接收所拍摄的图像并且将所拍摄的图像中继到客户端装置 200及客户端装置300的信息处理装置。
由摄像装置100的摄像单元101拍摄的图像数据经下文描述的图像处理单元102处理,其后,通过网络108而被发送给客户端装置200及客户端装置300。
摄像单元101拍摄被摄体的图像,并且生成图像信号。摄像单元101 由透镜和诸如互补金属氧化物半导体(CMOS)的摄像元件构成。摄像元件将由透镜形成的被摄体的图像转换成图像信号。
图像处理单元102对由摄像单元101生成的图像信号进行图像处理。例如,图像处理单元102对由摄像单元101拍摄的图像进行编码。例如,图像处理单元102是诸如中央处理单元(CPU)的处理器。作为另一种选择,例如,图像处理单元102是进行图像处理的诸如图形处理单元(GPU) 的处理器。
摄像装置100的控制单元103控制图1A中所例示的摄像装置100中所包含的部件。例如,控制单元103是诸如CPU的处理器。在控制单元 103被构造为处理器的情况下,控制单元103执行记录在下文描述的记录单元104中的程序,以使得控制摄像装置100中所包含的部件。
控制单元103进行控制,以使得实现下文参照图1B而描述的摄像装置100的功能。特别的是,控制单元103包括实现下文参照图1B而描述的设备管理服务单元112(下文中称作“DM服务单元112”)的功能的第一处理单元106。此外,控制单元103包括实现下文描述的高级安全服务单元113(下文中称作“AS服务单元113”)的功能的第二处理单元107。控制单元103进行控制,以使得将指示已响应于基于不同的通信过程中的一个通信过程的命令而对摄像装置100进行了设置的信息记录在记录单元104中。
记录单元104记录已由摄像单元101拍摄、并且已经受由图像处理单元102进行的图像处理的图像。此外,记录单元104将控制单元103 要使用的程序及控制参数记录在其中。另外,记录单元104将要记录的各种设置的内容记录在下文描述的Keystore单元114中。
例如,记录单元104可以是诸如随机存取存储器(RAM)或只读存储器(ROM)的存储器。作为另一种选择,记录单元104可以是诸如硬盘驱动器(HDD)的记录介质。此外,记录单元104可以是诸如闪存或存储卡的可移除介质。
通信单元105将由摄像单元101拍摄、并且经受由图像处理单元102 进行的图像处理的图像发送到客户端装置200及客户端装置300。在发送所拍摄的图像时,使用根据记录在记录单元104中的设置信息而加密的通信。此外,通信单元105根据基于第一通信过程和第二通信过程中的一个通信过程的命令、而将指示已根据基于第一通信过程和第二通信过程中的另一个通信过程的命令而对摄像装置100进行了设置的信息发送到客户端装置200或客户端装置300。此外,通信单元105接收由客户端装置200及客户端装置300对摄像装置100发出的控制命令。
在第一处理单元对摄像装置100进行了针对加密通信的设置之后、通信单元105从客户端装置300接收到基于第二通信过程的命令的情况下,通信单元105发送以下信息。具体地说,通信单元105将指示已响应于基于第一通信过程的命令而进行了用于进行加密通信的设置的信息发送到客户端装置300。
客户端装置200及客户端装置300对摄像装置100进行通信安全的设置。例如,客户端装置200包括用于与摄像装置100进行通信的通信单元201。客户端装置200还包括用于控制客户端装置200的部件的控制单元202。例如,控制单元202是诸如CPU的处理器。在控制单元202 被构造为处理器的情况下,控制单元202执行记录在下文描述的记录单元203中的程序,以使得控制客户端装置200中所包含的部件。客户端装置200还包括记录单元203,其将控制单元202要使用的程序及控制参数记录在其中。例如,记录单元203是诸如RAM或ROM的存储器。作为另一种选择,记录单元203可以是诸如HDD的记录介质。此外,记录单元203可以是诸如闪存或存储卡的可移除介质。
客户端装置200的构造并不受到特别限制,并且不限于上文所描述的。上述构造的部分可以由其他部件来替代,或者可以将其他部件添加到上述构造。客户端装置300的构造与客户端装置200的构造相同,因此,省略其描述。
例如,客户端装置200及客户端装置300是个人计算机(PC)。作为另一种选择,客户端装置200及客户端装置300可以是诸如平板终端及智能电话的移动终端。
网络108由因特网、有线局域网(LAN)、无线LAN、广域网(WAN)、模拟线缆等构成。网络108的通信标准、尺寸及构造并不受到限制。例如,作为LAN的通信标准,可以使用Ethernet(注册商标)。
接下来,将参照图1B的功能块来描述本实施例的摄像装置100及客户端装置200和客户端装置300的功能。
图1B中所例示的客户端装置200具有将与DM服务的安全相关联的命令发送到摄像装置100的功能。客户端装置300具有将AS服务的命令发送到摄像装置100的功能。客户端装置200及客户端装置300具有通过网络108而对摄像装置100设置密钥(Key)及证书(Certificate)的功能。证书指示证书中所包含的密钥已在认证机构中登记。证书指示证书中所描述的密钥已在认证机构中登记,并且例如包括关于在认证机构中所登记的公钥的信息、关于公钥的所有者的信息、关于发出了证书的认证机构的信息、以及发出了证书的认证机构的签名。
摄像装置100支持由ONVIF规定的DM服务及AS服务。具体地说,本实施例的摄像装置100如果接收到DM服务中所使用的命令,则进行安全功能的设置。此外,本实施例的摄像装置100如果接收到AS服务中所使用的命令,则可以进行安全功能的设置。
摄像装置100的HTTP服务器单元111接收从客户端装置200或客户端装置300发送来的SOAP消息。使用简单对象访问协议(SOAP)来发送并接收SOAP消息。
HTTP服务器单元111接收从客户端装置200及客户端装置300发送来的SOAP消息。然后,HTTP服务器单元111将所接收到的消息发送到 DM服务单元112或AS服务单元113。
客户端装置200及客户端装置300将SOAP消息张贴给统一资源标识符(URI),其规定摄像装置100的DM服务单元112或AS服务单元 113。可以这样地发送SOAP消息。使用超文本传送协议(HTTP)的张贴方法来执行消息的张贴。在本实施例中,HTTP服务器单元111的功能由图1A中所例示的通信单元105实现。
DM服务单元112及AS服务单元113中的每个对所接收到的SOAP 消息进行分析,并且根据命令及设置内容而返回摄像装置100的设置内容或安全的设置作为响应。在本实施例中,DM服务单元112及AS服务单元113的功能由图1A中所例示的控制单元103实现。
在控制单元103实现DM服务单元112的功能的情况下,控制单元 103用作对摄像装置100执行由客户端装置200发出的、基于DM服务(第一通信过程)的命令的第一处理单元。在控制单元103实现AS服务单元 113的功能的情况下,控制单元103用作对摄像装置100执行由客户端装置300发出的、基于AS服务(与第一通信过程不同的第二通信过程)的命令的第二处理单元。
DM服务单元112对摄像装置100执行基于由客户端装置200进行的 DM服务的命令。基于DM服务的命令包括用于对摄像装置100设置用于进行加密通信的公钥(第一公钥信息)的命令、以及用于对摄像装置 100设置与第一公钥信息相对应的私钥(第一私钥信息)的命令。基于 DM服务的命令还包括用于对摄像装置100设置指示公钥是有效密钥信息的证书(第一证书信息)的命令。DM服务单元112执行所有的命令的情况不是必要的,DM服务单元112执行这些命令中的至少一个命令。
AS服务单元113对摄像装置100执行基于由客户端装置300进行的 AS服务的命令。基于AS服务的命令包括用于对摄像装置100设置指示用于进行加密通信的公钥(第二公钥信息)与私钥(第二私钥信息)相对应的密钥对信息的命令。基于AS服务的命令还包括用于对摄像装置 100设置指示公钥是有效密钥信息的证书(第二证书信息)的命令。基于 AS服务的命令还包括用于对摄像装置100设置指示与证书相关联的其他证书信息的证书路径(证书路径信息)的命令。AS服务单元113执行所有的命令的情况不是必要的,AS服务单元113执行这些命令中的至少一个命令。
Keystore单元114是存储ONVIF的高级安全中所限定的Keystore的 Keystore信息的数据库。在本实施例中,Keystore单元114的功能由图 1A中所例示的记录单元104实现。Keystore单元114包括以下记录单元。
Keypair单元115:记录有唯一地指示相互关联的私钥(Privatekey)、公钥(Publickey)、客户端对其设置任意字符串的Alias、及Keypair的 KeyID(密钥ID)。
Certificate单元116:记录有唯一地指示相互关联的证书(Certificate)、Alias、及其中存储有证书的公钥的Keypair的KeyID的CertificateID(证书ID)信息。
CertificationPath单元117:记录有唯一地指示相互关联的证书路径ID、 Alias、及证书路径(CertificationPath)的CertificationPathID(证书路径 ID)信息。证书路径ID(CertificationPathID)通过至少一个CertificateID 来指示多个证书的顺序。
证书路径指示由摄像装置100用于加密通信而进行的对证书的参照的顺序、以及多个证书的层级结构。例如,在SSL通信等中,为了证明发出第一证书的第一认证机构是可靠的,第二认证机构发出第二证书。此外,为了证明第二认证机构是可靠的,根认证机构发出第三证书。在本示例中,第一证书至第三证书构成层级结构。证书路径是指示这样的证书层级结构的信息。尽管在前述示例中描述了具有三层证书的层级结构的情况,但是层的数量并不限于三个,而可以采用任意数量的层。摄像装置100如果使用证书来进行加密通信,则参照第一证书。接着,摄像装置100参照第一证书中所包含的认证机构的签名,并且参照第二证书。此外,摄像装置100参照第二证书中所包含的认证机构的签名,并且参照第三证书。以这种方式,摄像装置100按此顺序参照第一证书至第三证书。尽管在前述示例中描述了三个证书的顺序,但是证书的数量并不受到限制,而可以采用任意数量的证书。
Keypair单元115、Certificate单元116及CertificationPath单元117 中的每个具有用于记录任意字符串的记录区域(Alias)。
现将参照图2A及图2B来描述基于DM服务的客户端装置200对摄像装置100设置公钥、私钥及证书的处理。在摄像装置100与客户端装置200使用HTTPS来进行安全通信之前,需要预先将公钥、私钥及证书记录在摄像装置100中。
首先,将参照图2A的流程图来描述由客户端装置200进行的处理。图2A中所例示的确定处理可以由客户端装置200响应于用户的命令来执行。作为另一种选择,控制单元202读取并执行存储在记录单元203中的程序,以使得执行图2A的流程图中所例示的处理。
客户端装置200获得关于指示是否在摄像装置100中启用超文本传送协议安全(HTTPS)服务的状态的信息(S201)。
HTTPS的设置被启用的状态是可以开始使用SSL、传输层安全(TLS) 等的HTTPS通信的状态。具体地说,已在摄像装置100中设置了要在 HTTPS通信中使用的公钥、私钥及证书。
另一方面,HTTPS的设置被禁用的状态是尚未在摄像装置100中设置要在HTTPS通信中使用的公钥、私钥及证书的状态。例如,HTTPS 的设置被禁用的状态包括证书过期、被丢弃或暂时不可用,因此不能使用证书来进行HTTPS通信的状态。
在步骤S201中,客户端装置200向摄像装置100发送 GetNetworkProtocols命令。通过发送GetNetworkProtocols命令,客户端装置200请求获得关于由摄像装置100提供的HTTP、HTTPS及实时流协议(RTSP)的服务的状态的信息。状态信息包括指示这些服务中的每个服务是被启用还是被禁用的信息。此外,客户端装置200通过 GetNetworkProtocols命令来请求获得关于由服务使用的端口号的信息。摄像装置100向客户端装置200发送GetNetworkProtocols响应。
接下来,客户端装置200检查GetNetworkProtocols响应,并且确定 HTTPS的设置是否被启用(S202)。如果HTTPS的设置被禁用(步骤S202 中的“否”),则处理进行到下文描述的步骤S207。
如果HTTPS的设置被启用(步骤S202中的“是”),则客户端装置 200确定要使用现有的HTTPS的设置、还是要新进行HTTPS的设置 (S203)。如果要使用现有的HTTPS的设置(步骤S203中的“是”),则将当前进行的对摄像装置100的公钥、私钥及证书的设置终止。
另一方面,要新进行HTTPS的设置(步骤S203中的“否”),客户端装置200获得摄像装置100中所包含的所有的证书(S204)。
在步骤S204中,客户端装置200向摄像装置100发送GetCertificates 命令。摄像装置100向客户端装置200发送GetCertificates响应。 GetCertificates命令由客户端装置200发出,以使得请求获得指示摄像装置100中所包含的所有的证书的信息。
作为GetCertificates响应,获得摄像装置100中所包含的证书 (Certificates)。客户端装置200确定要使用所获得的证书中的所选择的一个证书、还是要新生成证书(S205)。可以根据由用户发出的用于确定要使用的证书的命令来做出步骤S205中的确定。
如果从摄像装置100获得的证书中的所选择的一个证书要用于 HTTPS通信(步骤S205中的“是”),则客户端装置200将所选择的证书设置给摄像装置100(S206)。对于证书的设置,可以使用 SetCertificatesStatus命令。SetCertificatesStatus命令是用于将用于加密通信的设置信息记录在记录单元104中的命令。SetCertificatesStatus命令是基于DM服务(第一通信过程)而由客户端装置200向摄像装置100发出的命令。
在步骤S205中,如果确定要新生成证书(步骤S205中的“否”),则客户端装置200确定是否要在摄像装置100中新生成公钥、私钥及证书(S207)。
如果要在摄像装置100中新生成公钥、私钥及证书(步骤S207中的“是”),则客户端装置200指示摄像装置100生成公钥、私钥及自签名证书。在适当情况下将自签名证书称作“SelfSignedCertificate”。
客户端装置200通过CreateCertificate命令来请求摄像装置100生成公钥及私钥,并且使用公钥及私钥来请求摄像装置100生成自签名证书。
如果确定不在摄像装置100中新生成公钥、私钥及证书(步骤S207 中的“否”),则客户端装置200在其中生成公钥、私钥及证书(S210)。然后,客户端装置200使用LoadCertificateWithPrivateKey命令来将所生成的私钥及所生成的证书加载在摄像装置100中(S211)。下文中将参照图4详细地描述将私钥及证书从客户端装置200加载到摄像装置100的处理。
在步骤S209中的处理或步骤S211中的处理完成之后,客户端装置 200对摄像装置100进行设置,以使得所生成的公钥、所生成的私钥及所生成的证书用于HTTPS通信。
客户端装置200使用GetCertificatesStatus命令来获得指示证书是否对HTTPS通信可用的状态信息。在使用CreateCertificate命令来生成证书时,尚未进行用于在HTTPS通信中使用所生成的证书的设置。因此,客户端装置200向摄像装置100发送SetCertificatesStatus命令,以使得对 Status设置Ture。以这种方式,可以进行用于在HTTPS通信中使用所生成的证书的设置。
SetNetworkProtocols命令用于设置HTTP服务、HTTPS服务及RTSP 服务的启用/禁用,以及服务的端口号。如果HTTPS被启用,则摄像装置 100进行HTTP服务器单元111的设置,以使得其Status是True的证书用于HTTPS通信。
注意,图2B中例示了用于进行摄像装置100与客户端装置200之间的HTTP通信的设置的序列。以这种方式,客户端装置200基于DM服务来对摄像装置100进行设置。
另一方面,如果客户端装置300基于AS服务来进行用于HTTPS通信的设置,则客户端装置300对摄像装置100设置密钥对(KeyPair)、证书(Certificate)及证书路径(CertificationPath)。客户端装置300使用 AddServerCertificateAssignment命令来对摄像装置100设置用于HTTPS 通信的证书路径。密钥对及证书路径是AS服务的概念,DM服务中不包含它们。
这里,在客户端装置300使用AS服务来对摄像装置100进行用于 HTTPS通信的设置的情况下,其后,客户端装置200使用DM服务来对摄像装置100开始用于HTTPS通信的设置,进行以下操作。
例如,在客户端装置300进行设置之后,客户端装置200执行图2A 的步骤S201中的GetNetworkProtocols命令,以使得检查是否已对摄像装置100做出了用于HTTPS的设置。在这种情况下,由于客户端装置300 已启用了用于HTTPS的设置,因此摄像装置100将指示用于HTTPS通信的设置被启用(Enable)的信息作为响应发送给客户端装置200。具体地说,发送指示已在摄像装置100中设置了要在HTTPS通信中使用的公钥、私钥及证书的信息作为响应。
然而,即使在步骤S204中客户端装置200请求证书,也不将由客户端装置300设置的证书发送给客户端装置200。这是因为,不能将使用 AS服务的命令在摄像装置100中设置的证书作为对DM服务的 GetCertificates命令的响应来发送。
因此,客户端装置200的用户可能由于该用户不能意识到尽管已在摄像装置100中设置了证书、但是不能响应于证书请求命令而发送该证书的原因而困惑。
此外,即使在步骤S212中客户端装置200执行GetCertificatesStatus 命令,也将具有空状态的证书发送给客户端装置200。这是因为DM服务不具有AS服务的证书路径及密钥对的概念,因此,不能发送任何东西作为对GetCertificatesStatus的响应。
此外,由于DM服务不具有在AS服务中可以设置的CACertificate (中间证书、CA证书或交叉根证书)的概念,因此在DM服务中不会指示其设置。
另外,在客户端装置200基于DM服务来进行用于HTTPS通信的设置的情况下,由于AS不具有证书的Status的概念,因此AS服务不能参照基于DM服务而做出的设置的内容。
因此,本实施例的摄像装置100使用规定的Keystore作为AS服务,以使得确保客户端装置200所参照的摄像装置100的设置的内容、与客户端装置300所参照的摄像装置100的设置之间的一致性。将参照图3 的流程图来描述确保客户端装置200所参照的摄像装置100的设置、与客户端装置300所参照的摄像装置100的设置之间的一致性的具体构造。
图3是例示由摄像装置100执行的处理的流程图。在摄像装置100 的控制单元103装有处理器及存储器的模式中,当控制单元103通过展开存储在记录单元104中的程序来执行图3中所例示的过程时实现图3 中所例示的处理。作为另一种选择,可以通过硬件来进行图3中所例示的处理的部分或整个处理。
图3是例示在如图2A中所例示地发出CreateCertificate命令时由DM 服务单元112进行的处理。发出CreateCertificate命令,以使得客户端装置200指示摄像装置100生成证书。
摄像装置100从客户端装置200接收到用于指示生成证书的命令 (S301)。在本实施例中,在步骤S301中,摄像装置100从客户端装置200接收到CreateCertificate命令。
在本实施例中,将描述在步骤S301中客户端装置200对摄像装置100 设置以下内容的情况。
CertificateID 123456
Subject CN=sample.com
ValidNOtBefore 01-01-2015T01:00:00Z
ValidNOtAfter 12-31-2020T23:59:59Z
如果通过HTTP服务器单元111接收到CreateCertificate命令,则DM 服务单元112生成公钥及私钥(S302)。根据AS服务的CreateRSAKeyPair 命令,可以通过指定Keylength来设置RSA的密钥长度。然而,该设置不能通过DM服务的CreateCertificate命令来进行,因此,例如,生成2048 位的固定密钥长度的密钥。
接着,DM服务单元112使用所生成的公钥及所生成的私钥来生成自签名证书(S303)。自签名证书是证明公钥是有效密钥信息的证书信息,并且DM服务单元112将签名信息添加到该证书信息。在DM服务的规范中,Subject是串类型,并且不限定用于设置国名(Country)及一般名 (CommonName)的方法。在本实施例中,在“CN=”之后设置一般名。“CN=”之后的字符串“sample.com”被设置给自签名证书的Subject及 Issuer,“ValidNOtBefore”被设置为有效期的起始日期,并且“ValidNOtAfter”被设置为有效期的结束日期。
接下来,将设置的内容记录在Keystore单元114的Keypair单元115 中(S304)。在步骤S304中,将公钥、私钥及自签名证书存储在Keypair 单元115中。此外,在步骤S304中,生成尚未记录在Keypair单元115 中的唯一的字符串作为KeyID(密钥对信息),并且将其存储在Keypair 单元115中。在步骤S304中,KeyID与所生成的公钥及所生成的私钥相关联,并且指示公钥与私钥彼此对应。此外,在步骤S304中,将指示已响应于基于DM服务的命令而生成密钥对信息的信息记录在Keypair单元 115的Alias中。记录在Keypair单元115的Alias中的信息可以是诸如“ONVIFDeviceManagement”的字符串。
以这种方式,可以响应于用于生成由DM服务提供的证书的命令而自动地生成未作为概念包含在DM服务中的密钥对信息。此外,可以将指示已响应于DM服务的命令而生成密钥对信息的信息记录在记录单元 104中。
相似的是,在步骤S304中,将指示已响应于DM服务的命令而生成自签名证书的字符串记录在Keypair单元115的Alias中。
接下来,将设置的内容记录在Keystore单元114的Certificate单元 116中(S305)。在步骤S305中,将所生成的自签名证书存储在Certificate 单元116中。此外,在步骤S305中,生成Certificate单元116中尚未包含的唯一的字符串作为要记录在Certificate单元116中的CertificateID。此外,在步骤S305中,将指示已响应于DM服务的命令而对摄像装置 100设置与HTTPS相关联的设置的字符串记录在Certificate单元116的Alias中。而且,在步骤S305中,将记录在Keypair单元115中的KeyID 也存储在Certificate单元116中,以使得记录在Certificate单元116中的信息与记录在Keypair单元115中的信息彼此关联。
接下来,将设置的内容记录在Keystore单元114的CertificationPath 单元117中(S306)。如果响应于CreateCertificate命令而生成证书,则使用自签名证书,因此,层级的层的数量是1。因此,在步骤S306中,仅将在步骤S305中所生成的CertificateID作为CertificationPathID对 CertificationPath单元117设置。此外,将指示已响应于CertificationPath 单元117的Alias中的DM服务的命令而生成证书路径信息的信息记录在记录单元104中。
以这种方式,可以响应于用于生成由DM服务提供的证书的命令而自动地生成未作为概念包含在AS服务中的证书路径信息。此外,可以将指示已响应于DM服务的命令而生成证书路径信息的信息记录在记录单元104中。
最终,将在步骤S305中所生成的CertificateID及自签名证书分配给针对CreateCertificate的响应中所包含的CertificateID及Certificate。然后,将CertificateID及自签名证书发送给客户端装置200(S307)。
以这种方式,客户端装置300可以参照由客户端装置200对摄像装置100设置的作为Keypair的公钥及私钥。在本实施例中,客户端装置 300向摄像装置100发送GetAllKeys命令,以使得参照Keypair。指示已响应于DM服务的命令而设置公钥及私钥的字符串已记录在Keypair单元 115的Alias中。作为对GetAllKeys命令的响应,将Alias的内容从摄像装置100发送给客户端装置300。因此,客户端装置300的用户可以意识到采用DM服务的客户端装置200已在摄像装置100中设置了公钥及私钥。
此外,在Certificate单元116的Alias中描述指示已响应于DM服务的命令而设置证书及证书路径的字符串。将Alias的内容从摄像装置100 发送到客户端装置300。
因此,客户端装置300的用户可以意识到采用DM服务的客户端装置200已设置了证书及证书路径。客户端装置300通过 AddServerCertificateAssignment命令来指定CertificationPathID,以使得在 HTTPS通信中使用由客户端装置200生成的自签名证书。
接下来,将参照图4来描述在图2A中所例示的步骤S211的处理中将私钥及证书从客户端装置200加载到摄像装置100时由摄像装置100 进行的处理。图4中所例示的处理由摄像装置100执行。在摄像装置100 的控制单元103装有处理器及存储器的模式中,在控制单元103通过展开存储在记录单元104中的程序来执行图4中所例示的过程时实现图4 中所例示的处理。作为另一种选择,可以通过硬件来进行图4中所例示的处理的部分或整个处理。
摄像装置100从客户端装置200接收到用于加载证书的命令 (LoadCertificates)(S401)。LoadCertificates命令包括以下内容。
CertificateID:在通过GetPkcs10Request而生成证书签名请求(CertificateSigningRequest:CSR)时所指定的CertificateID
Certificate:由认证机构(CertificationAuthority:CA)签名(Sign)的证书
如果接收到LoadCertificates命令,则DM服务单元112获得存储在 Keystore单元114的Keypair单元115中的信息(Keypair信息)(S402)。接着,DM服务单元112从Certificate单元116中获得公钥(S403)。
对于响应于CreateCertificate命令而由摄像装置100生成的自签名证书,将公钥及私钥存储在Keystore单元114的Keypair单元115中。相似的是,响应于基于自签名证书的CertificateID而生成的证书签名请求 (CertificateSigningRequest:CSR)而签名的证书具有关联的密钥对。摄像装置100确定记录在Keypair单元115中的公钥中的一个公钥是否匹配在步骤S403中所获得的公钥(S404)。
如果记录在Keystore单元114的Keypair单元115中的公钥中的任一公钥都不匹配Certificate单元116中的公钥(步骤S404中的“否”),则不能使用证书,因此,进行错误处理(S410)。
另一方面,如果记录在Keystore单元114的Keypair单元115中的公钥中的一个公钥匹配Certificate单元116中的公钥(步骤S404中的“是”),则将包含所指定的CertificateID的证书路径删除(S405)。以这种方式,可以将针对自签名证书而设置的证书路径删除。
接下来,将具有由记录在Keystore单元114的Certificate单元116 中的信息指示的CertificateID的证书删除(S406)。接着,设置包含从客户端装置200加载的证书的证书路径。除了所加载的证书以外,还将指示已响应于DM服务的命令而进行了设置的Alias存储在Keystore单元 114的CertificationPath单元117中(S407)。其后,生成对其设置了CertificateID的证书路径。然后,将唯一的CertificationPathID、以及指示已使用DM服务而进行了设置的Alias存储在Keystore单元114的 CertificationPath单元117中。
由于LoadCertificates命令可以指定要加载的多个证书,因此确定是否要加载其他证书(S409)。如果确定要加载其他证书(步骤S409中的“是”),则处理返回到步骤S403。在已处理了所有的证书时(步骤S409 中的“否”),向客户端装置200发送对LoadCertificates命令的响应(S411)。
此时,可以将由客户端装置200加载的证书设置为在客户端装置300 根据以下过程而与摄像装置100进行加密通信时使用的证书。具体地说,如果客户端装置300通过AddServerCertificateAssignment命令而指定 CertificationPathID,则可以在HTTPS通信(例如,SSL)中使用该证书。
如果DM服务单元112处理LoadCACertificates命令,则Keystore 单元114的Keypair单元115中不包含CACertificate的私钥。因此,从 Keystore单元114中获得密钥对。然后,可以将所加载的证书的公钥与存储在Keypair单元115中的私钥彼此匹配的密钥对确定为错误。如果未检测到匹配,则将从Certificate单元116中获得的公钥及唯一的KeyID存储在Keystore单元114的Keypair单元115中,并且在其Alias中设置指示已响应于DM服务的命令而进行了设置的信息。此外,将证书及唯一的CertificateID存储在Keystore单元114的Certificate单元116中,并且对其Alias设置指示已响应于DM服务的命令而进行了设置的信息。
接下来,将参照图5来描述在摄像装置100从客户端装置200接收到GetCertificates时所进行的处理。图5中的处理由图2B中所例示的DM 服务单元112实现。
如果从客户端装置200接收到GetCertificates(S501),则DM服务单元112从Keystore单元114获得密钥对及证书(S502)。
接着,DM服务单元112参照与所获得的证书相关联的Keypair单元 115,以使得确定Keypair单元115中是否包含私钥(S503)。如果检测到私钥(步骤S503中的“是”),则将证书添加到用作响应的NVTCertificate (S504)。
如果Keypair单元115中不包含私钥(步骤S503中的“否”),则响应中不包含证书。这是因为,如果不包含私钥,则会检测到CACertificate。
在步骤S502中获得多个证书的情况下,确定是否要将这些证书中的每个证书包含在响应中(S505)。如果存在下一个证书,则再次进行步骤 S503中的处理向前的处理。在对所有的Certificate进行了确定时(步骤 S505中的“否”),向客户端装置200发送响应(S506)。
在DM服务单元112中处理GetCACertificates命令的情况下,由于 CACertificate不具有私钥,因此可以将在图5的步骤S503中做出了否定确定的证书作为响应来发送。
图6是例示由DM服务单元112进行的删除证书的处理的流程图。与DM服务的安全相关联的命令不具有证书路径(CertificationPath)及密钥对(Keypair)的概念。在本实施例中,在通过基于DM服务的DeleteCertificates命令来删除证书的情况下,还将基于AS服务的证书路径及密钥对删除。
基于DM服务而发出DeleteCertificates命令,以请求删除记录在记录单元104中的证书信息。尽管本实施例中描述了删除证书的处理,但是也可以将证书禁用。旧的证书可以通过被新的证书替代而被禁用。
如果接收到DeleteCertificates命令(S601),则DM服务单元112从 Keystore单元114中获得密钥对、证书及证书路径(S602)。
接着,确定是否包含包括由DeleteCertificates命令指定的CertificateID 的证书路径(S603)。如果不包含这样的证书路径(步骤S603中的“否”),则不需要将由CertificateID指定的证书的证书路径删除。确定Keystore 单元114的Certificate单元116中是否包含具有相同的CertificateID的证书(S604)。如果不包含这样的证书,即,不包含所指定的证书,则AS 服务单元113将错误通知作为响应而发送给客户端装置200(S611)。如果包含这样的证书,则将与所指定的CertificateID相对应的Certificate删除(S607)。
如果在步骤S603中确定包含所指定的CertificateID的证书路径被包含(步骤S603中的“是”),则确定证书路径是否正被使用在SSL等中。如果证书路径正被使用(步骤S605中的“是”),则不能将证书删除,因此,AS服务单元113将错误通知作为响应而发送给客户端装置200(S611)。
如果证书路径未被使用(步骤S605中的“否”),则将证书路径删除 (S606),并且将由CertificateID指定的证书删除(S607)。其后,将与证书相关联的密钥对删除。不能通过DM服务的任一安全命令来删除密钥对,因此,需要通过DeleteCertificates命令来删除密钥对。
然而,由于密钥对可以与其他证书相关联,因此在步骤S610中确定密钥对是否与其他证书相关联。如果密钥对不与其他证书相关联(步骤 S608中的“否”),则将与作为删除的对象的证书相关联的密钥对删除 (S609)。如果密钥对与其他证书相关联(步骤S608中的“是”),则不将密钥对删除。由于DeleteCertificates命令可以指定多个CertificateID,因此如果存在下一个CertificateID(步骤S610中的“是”),则对下一个 CertificateID进行删除处理(处理返回到步骤S603)。在已处理了所有的 CertificateID之后(步骤S610中的“否”),DM服务单元112将指示已成功地终止了处理的信息发送给客户端装置200。
以这种方式,DM服务单元112将与关于由DeleteCertificates命令(第一命令)指定的证书的信息相对应的、关于密钥对的信息从记录单元104 中删除。此外,DM服务单元112将关于与由DeleteCertificates命令指定的证书相对应的证书路径的信息从记录单元104中删除。如上所述,证书可以通过被其他证书替代、或者将指示禁用的信息添加到该证书而被禁用。
接下来,将描述设置证书的状态的处理。SetCertificatesStatus命令是基于DM服务而进行的命令,并且被发出以指定用于诸如SSL的HTTPS 通信的证书。下文中,在实施例中,采用使用SSL的加密通信作为示例。在该实施例中,证书的状态信息(Status)被启用(enable)以使得可以做出用于在SSL中使用证书的设置,而Status被禁用(disable)以使得可以做出不在SSL中使用证书的设置。
然而,在DM服务中,可以仅改变一个证书的Status,并且与AS服务不同的是,DM服务不具有证书路径作为概念,因此,不能指定多阶的证书。因此,在本实施例中,在由SetCertificatesStatus命令指定 CertificateID的情况下,可以进行以下两个处理。
首先,在由SetCertificatesStatus命令指定的证书的标识信息匹配由证书路径指示的证书的顺序中的先头证书的标识信息的情况下,证书路径用于SSL中的设置。将证书的标识信息指示为ONVIF中的CertificateID。
其次,另一处理是在其中匹配由SetCertificatesStatus命令指定的证书的标识信息的证书的标识信息被设置为证书的顺序中的先头证书的标识信息的证书路径尚未记录在记录单元104中时所进行的处理。在这种情况下,进行设置,以使得使用与由SetCertificatesStatus命令指定的 CertificateID相对应的证书来生成单阶中的证书路径,并且将其作为要在 SSL中使用的证书路径而记录在记录单元104中。下文中将详细地描述用于进行上述处理的各个方法。
接下来,将参照图7来描述DM服务单元112中执行 SetCertificatesStatus命令的处理。在图7中所例示的处理的流程图中,如果检测到证书路径的先头部的CertificateID的匹配,则对应的证书路径用于SSL的设置。如果接收到SetCertificatesStatus(S701),则DM服务单元112从Keystore单元114中获得密钥对、证书及证书路径(S702)。接着,对具有匹配所指定的CertificateID的先头CertificateID的证书路径进行搜索(S703)。如果未检测到匹配(步骤S703中的“否”),则DM服务单元112向客户端装置200发送错误通知(S704)。如果检测到匹配(步骤S703中的“是”),并且如果Status是True,则将证书路径设置成在 SSL中使用,而如果Status是False,则将证书路径设置成不在SSL中使用(S705)。由于SetCertificatesStatus命令可以指定多个CertificateID,因此如果存在下一个CertificateID(步骤S706中的“是”),则处理返回到步骤S703,并且再次进行S703中的处理向前的处理。在处理了所有的 CertificateID之后(步骤S706中的“否”),DM服务单元112将指示成功地终止了处理的信息发送给客户端装置200。
以这种方式,在客户端装置300预先设置包含多个CertificateID的证书路径的情况下,客户端装置200可以设置包含所述多个CertificateID的证书路径用于SSL。
接下来,将参照图8来描述在摄像装置100从客户端装置200接收到GetCertificatesStatus命令时由DM服务单元112进行的处理。 GetCertificatesStatus命令是基于DM服务的命令。GetCertificatesStatus命令是用于请求发送指示记录在记录单元104中的证书的状态的信息(指示证书是否可以用于加密通信的信息)的命令。
参见图8的示例,将描述将具有与由SetCertificatesStatus命令指定的CertificateID相对应的先头证书的证书路径记录在记录单元104中作为用于SSL中的设置的证书路径的情况。
由DM服务提供的GetCertificatesStatus命令返回单个证书的Status,因此,不能指示AS服务的证书路径。在基于AS服务的证书路径信息中,指示多个证书的标识信息(CertificateID)。因此,在接收到基于DM服务的GetCertificatesStatus命令的情况下,要确定要返回的多个证书中的一个证书的Status。因此,在本实施例中,在由证书路径指示的多个证书中,发送关于由摄像装置100用于加密通信而进行的参照的顺序中的先头证书的信息(例如,Status信息)作为响应。
如果接收到GetCertificateStatus命令(S801),则DM服务单元112 从Keystore单元114中获得证书及证书路径(S802)。如果Keystore单元 114中的证书的CertificateID中的任一个CertificateID都不匹配证书路径的先头CertificateID(步骤S803中的“否”),则任一个证书都不能用于 SSL的设置。因此,不对针对GetCertificatesStatus命令的响应添加任何东西,并且处理进行到步骤S807。如果Keystore单元114中的证书的 CertificateID中的一个CertificateID匹配证书路径的先头CertificateID,则确定证书路径是否正被使用在SSL中(S804)。如果证书路径正被使用在 SSL中(S804中的“是”),则对响应添加感兴趣的CertificateID及对其设置了True的Status。如果证书路径未被使用在SSL中(步骤S804中的“否”),则对响应添加感兴趣的CertificateID及对其设置了False的Status。如果存在其他证书,则处理返回到用于响应处理的步骤S803(步骤S807 中的“是”)。在处理了所有的证书时(步骤S807中的“否”),AS服务单元113向客户端装置200发送响应(S808)。
图9是例示由DM服务单元112响应于SetCertificatesStatus命令而进行的处理的流程图。在图9中所例示的处理中,如果检测到证书路径的先头部的CertificateID的匹配,则该证书路径用于SSL的设置。另一方面,如果尚未做出证书路径的设置,则生成包含与所指定的 CertificateID相对应的证书的单阶的证书路径,并且其用于SSL的设置。
如果接收到SetCertificatesStatus命令(S901),则DM服务单元112 从Keystore单元114中获得密钥对、证书及证书路径(S902)。
接着,确定所指定的CertificateID是否匹配证书路径中的一个证书路径的先头CertificateID(S903)。如果检测到匹配(步骤S903中的“是”),则在所指定的Status的值是True的情况下将证书路径使用在SSL中,而在所指定的Status的值是False的情况下不将证书路径使用在SSL中。
如果确定在步骤S903中未检测到包含与所指定的CertificateID相对应的先头CertificateID的证书路径(步骤S903中的“否”),则确定Keystore 单元114中的证书中是否包含与所指定的CertificateID相对应的证书 (S904)。如果未检测到证书,则发送错误通知作为响应(S905)。
如果确定是肯定的,则使用CertificateID来生成单阶中的证书路径 (S906),并且反映所指定的Status(S907)。由于SetCertificatesStatus命令可以指定多个CertificateID,因此如果存在下一个CertificateID(步骤 S908中的“是”),则处理返回到步骤S903,从而处理下一个CertificateID。在处理了所有的CertificateID之后(步骤S908中的“否”),DM服务单元112将指示已成功地终止了处理的信息发送给客户端装置200。
根据本实施例的DM服务单元112进行以下处理,以使得即使在通过SetCertificatesStatus命令而指定了不匹配证书路径的先头部的 CertificateID的情况下也生成证书路径。具体地说,响应于 GetCertificatesStatus命令而发送不匹配证书路径的先头部的CertificateID。
接下来,将参照图10来描述由DM服务单元112响应于 GetCertificatesStatus命令而进行的处理。在图10的示例中,描述了已根据图9中所例示的处理而设置证书及证书路径的情况。
如果接收到GetCertificatesStatus命令(S1001),则DM服务单元112 从Keystore单元114中获得证书路径、证书及密钥对(S1001)。接着,对具有由GetCertificatesStatus命令指定的、并且匹配由证书路径指示的顺序中的先头CertificateID的CertificateID的证书进行搜索。如果检测到匹配(S1003中的“是”),则确定证书路径是否正被使用在SSL中(S1004)。
如果证书路径正被使用在SSL中(步骤S1004中的“是”),则将其 CertificateID添加到响应,并且将其Status设置成True(S1005)。如果证书路径未被使用在SSL中(步骤S1004中的“否”),则将其CertificateID 添加到响应,并且将其Status设置成False(S1007)。
以这种方式,DM服务单元112处理用于请求获得指示记录在记录单元104中的证书信息是否已被设置为要用于进行加密通信的证书信息的信息的第三命令。然后,根据第三命令,将指示第四证书信息被设置为要用于进行加密通信的证书信息的信息(例如,Status是True)记录在记录单元104中,第四证书信息指示证书路径信息在顺序中的先头部中。此外,DM服务单元112将指示与第四证书信息不同的第五证书信息未被设置成用于进行加密通信的信息(例如,Status是False)记录在记录单元104中。
接着,在CertificationPath单元117中未检测到这样的CertificateID 的情况下(步骤S1003中的“否”),生成可用作自签名证书的证书作为响应。将私钥设置成与可用作自签名证书的证书相关联的密钥对。如果确定私钥包含在Keypair单元115中(步骤S1006中的“是”),则将证书的CertificateID添加到响应,并且将其Status设置成False。如果私钥未包含在Keypair单元115中(步骤S1006中的“否”),则不将其CertificateID 包含在响应中。
以这种方式,如果DM服务单元112执行GetCertificatesStatus(第三命令),则不能发送关于由证书路径指示的多个证书中的、不与密钥对信息相关联的证书的信息。
由于SetCertificatesStatus命令可以指定多个CertificateID,因此如果存在下一个CertificateID(步骤S1008中的“是”),则处理返回到步骤 S1003,从而处理下一个CertificateID。在处理了所有的CertificateID之后 (步骤S1008中的“否”),DM服务单元112向客户端装置200发送响应。
LoadCertificatesWithPrivatekey命令用于将证书、私钥、以及与证书和私钥相对应的公钥加载在摄像装置100中。如果接收到该命令,则DM 服务单元112分别地根据证书和私钥而获得公钥,而如果未检测到匹配,则进行错误处理。如果检测到匹配,则将私钥、公钥及唯一的KeyID存储在Keystore单元114中,并且将指示已通过DM服务的命令而进行了设置的信息设置给其Alias。此外,将证书及CertificateID存储在Keystore 单元114的Certificate单元116中,并且将指示已通过DM服务的命令而进行了设置的信息设置给其Alias。
如上所述,在DM服务单元112处理与安全相关联的命令的情况下,不能使用与DM的安全相关联的命令来进行密钥对及证书路径的设置。因此,在本实施例中,将与密钥对、证书及证书路径相对应的设置记录在Keystore单元114中。以这种方式,使用DM的安全命令的客户端装置200及使用AS服务的命令来进行设置的客户端装置300可以共用设置状态。
此外,如果Keystore单元114中存储有密钥对、证书及证书路径,则将指示基于DM服务而进行设置的信息记录在Alias中。然后,通信单元105可以根据基于AS服务的命令(用于参照设置的命令)而发送指示已根据基于DM服务的命令而对摄像装置100进行了设置的信息。以这种方式,即使客户端装置200进行安全设置,客户端装置300也可以识别出该设置。
上文中描述了本发明的第一实施例。然而,本发明并不限于该实施例,而是可以在本发明的范围内做出各种变型和改变。通信单元105可以记录指示已根据基于AS服务的命令而对摄像装置100进行了设置的信息,并且根据基于DM服务的命令(用于参照设置的命令)来发送该信息。以这种方式,即使客户端装置300进行安全设置,客户端装置200 也可以识别出该设置。
第二实施例
下文中将参照图11至图14 来描述根据本发明第二实施例的具有设置安全功能的功能的摄像装置。
根据本实施例的摄像装置100能够使用除ONVIF的通信过程以外的方式来对摄像装置100进行设置。在本实施例中,用作信息处理装置的摄像装置100激活要由客户端装置1100使用的WEB页,以对摄像装置 100进行设置。用户可以使用客户端装置1100通过WEB浏览器来访问照相机,以改变设置。
此外,在SSL的设置的情况下,例如,摄像装置100提供用于SSL 中的设置的WEB页,并且使用该WEB页来进行证书的设置、以及SSL 服务的开始及结束的控制。下文中,将用于设置的WEB页称作“设置页”。
在本实施例中,将描述其中可以通过ONVIF的DM服务的安全命令及ONVIF的AS服务的安全命令来参照在设置页中设置的与安全相关联的功能的摄像装置100。具体地说,第一实施例的客户端装置200及客户端装置300可以检查由客户端装置1100使用设置页对摄像装置100进行的设置的内容。
在ONVIF中,规定了用于设置私钥、公钥及证书的命令组,用于进行设置以使得在SSL及IEEE802.1X中使用私钥、公钥及证书的命令组,以及用于设置服务的开始及结束的命令。
例如,尽管在生成或加载证书时获得CertificateID,但是此时不确定证书的使用。在SSL的情况下,通过在DM服务中所使用的安全命令中的SetCertificatesStatus命令来确定证书的使用。此外,通过在AS服务中所使用的命令中的Add/ReplaceServerCertificateAssignment命令来确定证书的使用。
在要提供适合于用于设置ONVIF的安全的命令的设置页的情况下,期望不同的页用于设置证书及用于将证书应用于SSL等的服务。在这种情况下,进行证书的设置,并且在其他页中规定证书。然而,如果在SSL 的设置页中完成证书以及服务的开始及结束的设置,则实现了用户友好的设置页。
此外,尽管Keystore单元114通常可以设置多个证书,但是在SSL 的设置页的情况下,设置用于SSL服务器的一个证书、或者设置用于SSL 服务器的一个证书以及中间层中的一对证书是足够的。
在本实施例中,描述对能够使用设置页来进行设置的摄像装置100 进行SSL设置的情况作为示例。特别的是,将描述用于使用Keystore单元114的Alias来相互地反映设置页、DM服务的安全命令的设置、以及 AS服务的命令的设置的方法。
除了DM服务单元112及AS服务单元113的功能以外,根据本实施例的摄像装置100的控制单元103还执行下文描述的设置页控制单元118 的功能。例如,第一处理单元106可以执行设置页控制单元118的功能。其他构造与图2A中所例示的那些构造相同,因此,省略其描述。图11 是例示摄像装置100以及使用设置页对摄像装置100进行安全设置的客户端装置1100的图。
此外,参照图11来描述本实施例的摄像装置100的功能构造。如同第一实施例那样,本实施例的摄像装置100包括HTTP服务器单元111、 DM服务单元112、AS服务单元113及Keystore单元114。第二实施例的摄像装置100与第一实施例的摄像装置100在其构造上的不同之处在于,Keystore单元114可以由设置页控制单元118操作。
设置页控制单元118执行由使用设置页的客户端装置1100(第一接收装置)基于HTTP(第一通信过程)对摄像装置100发出的命令。基于 HTTP的命令包括用于将指示用于进行加密通信的公钥(第一公钥信息) 与用于进行加密通信的私钥(第一私钥信息)相对应的第一密钥对信息记录在记录单元104中的命令。此外,基于HTTP的命令包括用于从通信单元105发送指示公钥与私钥之间的对应关系的密钥对信息(第一密钥对信息)的命令。而且,基于HTTP的命令包括用于将记录在记录单元104中的密钥对信息禁用(例如,删除)的命令。另外,基于HTTP 的命令包括用于生成自签名证书的命令,自签名证书是用于证明公钥信息是有效信息的证书信息、并且包含由设置页控制单元118对其添加的签名信息。设置页控制单元118执行所有的命令的情况不是必要的,设置页控制单元118执行这些命令中的至少一个命令。
如果从客户端装置1100接收到SSL的设置页的请求,则本实施的摄像装置100发送图12中所例示的设置页作为响应。
显示单选按钮(1201、1202及1203)以选择SSL的禁用、自签名证书的使用、或者由CA签名的证书的使用。
对象1204是用于设置要用于自签名证书的对象的输入域。输入内容被设置给自签名文档的Subject和Issuer。例如,在对象1204中设置“CN=example.com”,从而将“example.com”设置给CommonName。
此外,输入域1205及输入域1206分别地用于设置有效期的起始日期及结束日期。如果在设置了对象1204及输入域1205和输入域1206之后按下生成按钮1207,则生成自签名证书。显示按钮1208用于通过弹出而将所生成的自签名证书显示在其他窗口中。删除按钮1209用于删除自签名证书。
对象1210用于设置证书签名请求的对象,并且通过与针对对象1204 的方法相同的方法来设置。生成按钮1211用于根据在对象1210中设置的对象来生成证书签名请求,显示按钮1212用于通过弹出而将证书签名请求显示在其他窗口中。
安装按钮1213用于响应于证书签名请求而指示安装由CA签名的证书。参照执行客户端装置1100的设备的文件系统来选择证书文件。显示按钮1214用于指示在其他窗口中显示证书。删除按钮1215用于指示删除证书。
安装按钮1216用于指示安装由CA提供的CA证书(中间层中的证书或者交叉根证书)。如果选择了安装按钮1216,则参照执行客户端装置 1100的设备的系统文件来选择证书文件。显示按钮1217用于在其他窗口中显示证书。删除按钮1218用于删除证书。应用按钮1219用于反映设置。取消按钮1220用于取消设置。
参照图13来描述在选择了单选按钮1202、设置了对象1204及输入域1205和输入域1206、并且按下了生成按钮1207时所进行的处理。通过以这种方式进行设置,在摄像装置100中生成要在SSL中使用的自签名证书。摄像装置100反映Keystore单元114中设置的内容。
摄像装置100首先生成公钥及私钥(S1302)。尽管可以设置加密及签名的算法以及密钥长度,但是将sha-2WithRSAEncryption和2048位设置为固定的设置。公钥、私钥及自签名证书的生成可以由控制单元103 进行。在图11的功能构造中,可以通过HTTP服务器单元111来生成公钥、私钥及自签名证书。
接着,根据设置值来生成自签名证书(S1302)。其后,将在设置页中设置的证书等存储在Keystore单元114中,以使得可以通过DM的安全命令及AS的命令来参照证书等。
首先,除了公钥及私钥以外,还生成唯一的KeyID,并且将其存储在Keystore单元114的Keypair中。此外,将指示已使用设置页中的自签名证书而进行了设置的信息记录在其Alias中(S1303)。然后,除了自签名证书以外,还生成唯一的CertificateID,并且将其存储在Keystore单元 114的Certificate单元116中。将指示已使用设置页中的自签名证书而进行了设置的信息记录在其Alias中(S1304)。
接着,生成仅包含一个CertificateID的证书路径及唯一的CertificationPathID,并且将其存储在Keystore单元114的CertificationPath 单元117中。其后,将指示已使用设置页中的自签名证书进行了设置的信息设置给其Alias(S1303)。此外,由于在SSL的设置页中生成的自签名证书自然地在SSL中使用,因此将所生成的证书路径设置成在SSL中使用(S1306)。
此时,客户端装置300可以使用GetAllKeys命令来参照在设置页中所生成的自签名证书的私钥和公钥。此外,客户端装置300可以使用 GetAllCertificates命令来参照自签名证书。而且,客户端装置300可以使用GetCertificationPath命令来识别出已在单阶中设置了自签名证书。此外,客户端装置300可以使用GetAssignedServerCertificates命令来识别出要在SSL中使用证书路径。而且,由于对Alias设置了指示已使用设置页中的自签名证书而进行了设置的信息,因此可以在客户端装置300参照该设置或替换该设置时参照所述信息。
将描述在用户按下客户端装置1100中的显示按钮1208的情况下进行的处理。已对Keystore单元114的Certificate单元116的Alias设置了指示已使用设置页中的自签名证书而进行了设置的信息。因此,获得证书的列表,对证书中与Alias相对应的一个证书进行搜索,并且将所获得的证书显示在客户端装置1100中。
在显示按钮1208被操作时尚未在SSL的设置页中进行自签名证书的设置的情况下,可以进行以下操作。具体地说,如果已在CertificationPath 单元117中设置了使用自签名证书的证书路径,则可以显示在客户端装置200或客户端装置300中设置的自签名证书。在这种情况下,针对在 SSL中使用的证书路径而搜索CertificationPath单元117。如果包含这样的证书路径,则使用在CertificationPath单元117中设置的CertificateID 来参照证书,并且如果该证书是自签名证书,则将该证书显示在客户端装置1100中。
接下来,将描述在用户按下删除按钮1209时所进行的处理。已对 Keystore单元114的Keypair单元115、Certificate单元116及 CertificationPath单元117的Alias设置了指示已使用设置页中的自签名证书而进行了设置的信息。如果选择了删除按钮1209,则将该信息删除。首先,将证书路径设置成不在SSL中使用。其后,将与Alias相对应的证书路径删除,相似的是,将证书及密钥对按此顺序删除。
即使在SSL的设置页中未进行自签名证书的设置的情况下,删除按钮1209也可以用于将使用CertificationPath单元117中的自签名证书而进行的设置删除。例如,可以将在客户端装置200或客户端装置300中设置的自签名证书删除。在这种情况下,针对在SSL中使用的证书路径而搜索CertificationPath单元117,如果检测到这样的证书路径,则使用在 CertificationPath单元117中所设置的CertificateID来参照证书。如果该证书是自签名证书,则将证书路径设置成不在SSL中使用,并且将证书路径、证书及密钥对按此顺序删除。
接下来,将描述在使用由CA签名的证书时所进行的处理。如果给对象1210设置了对象并且按下了生成按钮1211,则首先生成公钥和私钥。其后,将公钥、私钥及唯一的KeyID存储在Keystore单元114的Keypair 单元115中,并且将指示使用由CA签名的证书的设置的信息设置给其 Alias。此外,使用在对象1210中设置的值来生成证书签名请求。如果显示按钮1212被按下,则将由生成按钮1211生成的证书签名请求显示在客户端装置1100中独立地生成的其他窗口中。
图14是在要使用由CA签名的证书的情况下在通过安装按钮1213 及安装按钮1216来设置证书及CA证书时所进行的处理的流程图。这里,检查证书的Issuer及CA证书的CommonName,以使得确定是否响应于证书签名请求而生成了所安装的证书、并且适当地设置了AS的 CertificationPath。
首先,从Keystore单元114的Keypair单元115中获得具有指示要使用由CA签名的证书的Alias的密钥对(S1401)。接着,从由安装按钮1213 安装的证书中获得公钥(S1402)。将所获得的Keypair的Publickey与证书的公钥彼此比较。如果它们彼此不匹配(步骤S1403中的“否”),则公钥与私钥的组合是不适当的,因此,进行错误处理(S1412)。如果检测到匹配(步骤S1403中的“是”),则从证书中获得Issuer,以使得对证书的路径进行检查(S1404),并且从CA证书中获得Subject(S1405)。
将这样获得的Issuer与Subject彼此比较。如果它们彼此不匹配(步骤S1406中的“否”),则证书的路径是不适当的,因此,进行错误处理 (S1402)。如果检测到匹配(步骤S1406中的“是”),则处理进行到步骤S1407。尽管在本实施例中假定仅使用一个CA证书,但是如果存在多个CA证书,则需要以相似的方式对多个证书的路径进行检查。
接下来,将由安装按钮1213设置的证书设置给Keystore单元114的 Certificate。将证书、唯一的CertificateID、以及在步骤S1401中所获得的 Keypair的KeyID存储在Keystore单元114的Certificate中。然后,将指示要使用由CA证书签名的证书的信息设置给其Alias(S1407)。
接下来,将由安装按钮1216设置的CA证书设置给Keystore单元114 的Keypair单元115及Certificate单元116。将CA证书的公钥及唯一的 KeyID存储在Keystore单元114的Keypair单元115中,并且将指示要使用由CA证书签名的证书的信息设置给其Alias(S1408)。此外,将CA 证书、唯一的CertificateID、以及在步骤S1408中设置的KeyID相互关联,并且将它们存储在Keystore单元114的Certificate中。然后,将指示要使用由CA证书签名的证书的信息设置给其Alias(S1409)。
接着,将在先头部中包含在步骤S1407中所设置的证书的CertificateID、并且在先头部之后的部中包含CA证书的CertificateID的证书路径存储在Keystore单元114的CertificationPath单元117中。然后,将指示要使用由CA证书签名的证书的信息设置给其Alias(S1410)。最后,将所生成的CertificationPath设置成在SSL中使用(S1411)。
如果显示按钮1214被按下,则获得记录在Keystore单元114的 Certificate单元116中的信息的列表,并且对指示要使用由CA证书签名的证书的Alias进行搜索。接下来,确定Privatekey是否包含在与Certificate 相关联的KeyID中。如果检测到Privatekey,则进行显示。
如果显示按钮1217被按下,则获得Keystore单元114中的Certificate 的列表,并且对与指示要使用由CA证书签名的证书的Alias相对应的证书进行搜索。接着,确定Privatekey是否包含在与Certificate相关联的 KeyID中。如果不包含Privatekey,则进行显示。
如果删除按钮1215被按下,则针对具有指示对要使用由CA证书签名的证书进行指示的信息的Alias的证书路径而对Keystore单元114进行搜索。如果检测到这样的证书路径,则将该证书路径设置成不在SSL中使用,此外,将该证书路径删除。其后,对与指示对要使用由CA证书签名的证书进行指示的信息的Alias相对应的证书进行搜索。如果与证书相关联的KeyID包含私钥,则进行删除。
如果删除按钮1218被按下,则针对具有包含指示要使用由CA证书签名的证书的信息的Alias的证书路径而对Keystore单元114进行搜索。如果检测到这样的证书路径,则将该证书路径设置成不在SSL中使用,此外,将该证书路径删除。其后,对与包含指示要使用由CA证书签名的证书的信息的Alias相对应的证书进行搜索。如果与该证书相关联的 KeyID不包含私钥,则进行删除。
应用按钮1219用于根据对单选按钮(1201、1202及1203)中的一个单选按钮的选择来进行开始或停止SSL服务的处理。此外,如果取消按钮1220被按下,则将正在进行的对象及证书的设置取消。
这里,在使用由CA签名的证书的设置的情况下,对证书及CA证书设置相同的Alias。然而,可以使用不同的Alias。对于证书及CA证书的删除,以及与证书及CA证书的删除一起进行的证书路径、证书及密钥对的删除,可以使用Alias来进行搜索。
如上所述,即使在设置页中进行SSL的设置的情况下,也可以通过在Keystore单元114中设置密钥对、证书及证书路径,使用AS服务的命令来参照所述设置。此外,可以通过进行第一实施例中所描述的DM的安全命令的处理、使用DM的安全命令来参照在设置页中做出的SSL的设置。
以这种方式,通信单元105可以根据基于AS服务的命令(用于参照设置的命令)而发送指示已响应于基于HTTP的命令而使用设置页对摄像装置100进行了设置的信息。此外,通信单元105可以根据基于DM 服务的命令(用于参照设置的命令)而发送已响应于基于HTTP的命令而使用设置页对摄像装置100进行了设置的信息。
尽管本实施例中描述了SSL中的设置,但是可以通过在其他使用证书的功能中设置Alias来反映设置。
上文中描述了本发明的第二实施例。然而,本发明并不限于这些实施例,而可以在本发明的范围内做出各种变型和改变。
其他实施例
本发明可以通过将实现前述实施例的至少一个功能的程序通过网络或记录介质而提供给系统或装置、并且通过该系统或装置中所包含的计算机的至少一个处理器来读取并执行所述程序的处理来实现。此外,本发明可以通过实现至少一个功能的电路(例如,ASIC)来实现。
本发明并不限于前述实施例,可以在不偏离本发明的精神及范围的情况下做出各种变型和改变。因此,附有以下权利要求以公开本发明的范围。
附图标记列表
100 摄像装置
103 控制单元
104 记录单元
105 通信单元
106 第一处理单元
107 第二处理单元
200 第一客户端装置
300 第二客户端装置
Claims (19)
1.一种信息处理装置,其包括:
第一处理单元,其用于响应于基于在ONVIF标准中限定的设备管理服务的命令而对所述信息处理装置进行用于进行加密通信的设置;
第二处理单元,其用于响应于基于在ONVIF标准中限定的高级安全服务的命令而对所述信息处理装置进行用于进行加密通信的设置;以及
发送单元,其用于在所述第一处理单元响应于基于所述设备管理服务的命令而对所述信息处理装置进行用于进行加密通信的设置之后从外部装置接收到基于所述高级安全服务的命令的情况下,将指示响应于基于所述设备管理服务的命令而做出用于进行加密通信的设置的信息,发送给所述外部装置,
其中,在ONVIF中限定的设备管理服务和在ONVIF中限定的高级安全服务是独立的服务,以及
其中,将指示响应于基于所述设备管理服务的命令而对所述信息处理装置进行了设置的信息,作为基于高级安全服务的别名信息记录在所述信息处理装置中。
2.根据权利要求1所述的信息处理装置,还包括:
控制单元,其用于进行控制,使得将指示响应于基于所述设备管理服务的命令而对所述信息处理装置进行了设置的所述信息,记录在所述信息处理装置的记录单元中。
3.根据权利要求2所述的信息处理装置,其中
所述第一处理单元执行用于将第一公钥信息、第一私钥信息、以及第一证书信息中的至少一者设置给所述信息处理装置的命令,所述第一公钥信息用于进行加密通信,所述第一私钥信息与所述第一公钥信息相对应并且用于进行加密通信,所述第一证书信息证明所述公钥信息是有效密钥信息,由第一外部装置基于所述设备管理服务而对所述信息处理装置执行该命令,并且
所述第二处理单元执行用于将密钥对信息、第二证书信息、以及证书路径信息中的至少一者设置给所述信息处理装置的命令,所述密钥对信息指示用于进行加密通信的第二公钥信息与用于进行加密通信的第二私钥信息相对应,所述第二证书信息证明所述第二公钥信息是有效密钥信息,所述证书路径信息指示与所述第二证书信息相关联的第三证书信息,由第二外部装置基于所述高级安全服务而对所述信息处理装置执行该命令。
4.根据权利要求2所述的信息处理装置,其中
所述第一处理单元执行如下命令中的至少一者:用于将指示用于进行加密通信的第一公钥信息与用于进行加密通信的第一私钥信息相对应的第一密钥对信息记录在所述记录单元中的命令、用于从所述发送单元发送所述第一密钥对信息的命令、用于将记录在所述记录单元中的所述第一密钥对信息禁用的命令、以及用于生成证明所述第一公钥信息是有效密钥信息并且包括由所述第一处理单元添加的签名信息的证书信息的命令,由第一外部装置基于所述设备管理服务而对所述信息处理装置执行这些命令,
所述第二处理单元执行用于将密钥对信息、第二证书信息、以及证书路径信息中的至少一者记录在所述记录单元中的命令,所述密钥对信息指示用于进行加密通信的第二公钥信息与用于进行加密通信的第二私钥信息相对应,所述第二证书信息证明所述第二公钥信息是有效密钥信息,所述证书路径信息指示与所述第二证书信息相关联的第三证书信息,由第二外部装置基于所述高级安全服务而对所述信息处理装置执行该命令,并且
所述发送单元响应于基于所述高级安全服务的命令,发送指示响应于基于所述设备管理服务的命令对所述信息处理装置进行了设置的信息。
5.根据权利要求3所述的信息处理装置,其中
所述第一处理单元响应于基于所述设备管理服务并且用于生成所述第一证书信息而被发出的命令,来生成证明所述公钥信息是有效密钥信息并且包括由所述第一处理单元添加的签名信息的证书信息、所述密钥对信息、以及所述证书路径信息,并且将所述证书信息、所述密钥对信息及所述证书路径信息记录在所述记录单元中,并且
所述控制单元进行控制,使得将指示响应于基于所述设备管理服务的命令而生成了所述证书信息、所述密钥对信息及所述证书路径信息的信息,记录在所述记录单元中。
6.根据权利要求3所述的信息处理装置,其中
所述第一处理单元执行基于所述设备管理服务的第一命令,所述第一命令被发出以请求将记录在所述记录单元中的证书信息禁用,以将与由所述第一命令指定的证书信息相对应的密钥对信息、或者与由所述第一命令指定的证书信息相对应的证书路径信息禁用。
7.根据权利要求3所述的信息处理装置,其中
所述证书路径信息指示用于进行加密通信而由所述信息处理装置进行的、对记录在所述记录单元中的多个证书信息的参照的顺序,并且
响应于用于指定要用于加密通信的证书信息并且基于所述设备管理服务的第二命令,所述第一处理单元将指示与由所述第二命令指定的标识信息相对应的证书信息在所述顺序的先头部中的证书路径信息,作为要用于进行加密通信的证书路径信息记录在所述记录单元中。
8.根据权利要求3所述的信息处理装置,其中
所述证书路径信息指示用于进行加密通信而由所述信息处理装置进行的、对记录在所述记录单元中的多个证书信息的参照的顺序,并且
所述发送单元响应于基于所述设备管理服务并且用于请求发送关于记录在所述记录单元中的证书信息的信息而被发出的命令,来发送指示记录在所述记录单元中的多个证书信息当中的、如下证书信息的信息,该证书信息指示所述证书路径信息在所述顺序的先头部中。
9.根据权利要求3所述的信息处理装置,其中
所述证书路径信息指示用于进行加密通信而由所述信息处理装置进行的、对记录在所述记录单元中的多个证书信息的参照的顺序,并且
响应于用于请求获得指示记录在所述记录单元中的证书信息是否被设置为用于进行加密通信的证书信息的信息的第三命令,所述第一处理单元将指示第四证书信息被设置为用于进行加密通信的证书信息的信息记录在所述记录单元中,所述第四证书信息指示所述多个证书信息中的所述证书路径信息在所述顺序的先头部中,并且将指示尚未做出用于使用所述多个证书信息中的、与所述第四证书信息不同的第五证书信息来进行加密通信的设置的信息,记录在所述记录单元中。
10.根据权利要求9所述的信息处理装置,其中
如果所述第一处理单元执行所述第三命令,则所述发送单元不发送所述多个证书信息中的、与所述密钥对信息不相关联的证书信息。
11.根据权利要求3所述的信息处理装置,其中
所述控制单元将基于所述高级安全服务的密钥存储信息记录在所述记录单元中。
12.根据权利要求11所述的信息处理装置,其中
所述第一处理装置执行作为基于所述设备管理服务的命令并且作为用于将所述第一证书信息加载到所述信息处理装置中的命令的LoadCertificates命令、LoadCACertificates命令、LoadCertificateWithPrivateKey命令及LoadCertificateWithPrivateKey命令中的至少一者,并且
如果所述第一处理单元基于所述设备管理服务而执行LoadCertificates命令、LoadCACertificates命令、LoadCertificateWithPrivateKey命令及LoadCertificateWithPrivateKey命令中的至少一者,则所述控制单元将指示使用所述设备管理服务进行了对证书的加载的信息,作为所述别名信息记录在所述记录单元中。
13.根据权利要求11所述的信息处理装置,其中
所述控制单元将彼此关联的所述密钥对信息及所述第二证书信息记录在所述记录单元中,
所述第一处理单元执行作为基于所述设备管理服务的命令、并且作为用于请求所述信息处理装置发送证书信息的命令的GetCertificates命令,以及作为由所述设备管理服务提供的命令、并且作为用于请求所述信息处理装置发送由认证机构发出的证书信息的命令的GetCACertificates命令,并且
如果所述第一处理单元执行所述GetCertificates命令,则所述发送单元发送与所述密钥对信息相关联的所述第二证书信息,而如果所述第一处理单元执行所述GetCACertificates命令,则所述发送单元发送与所述密钥对信息不相关联的第三证书信息。
14.根据权利要求11所述的信息处理装置,其中
所述第一处理单元执行DeleteCertificates命令,所述DeleteCertificates命令是基于所述设备管理服务的命令,并且是用于请求将记录在所述记录单元中的证书信息删除、以将与由所述DeleteCertificates命令指定的证书信息相对应的密钥对信息、或者与由所述DeleteCertificates命令指定的证书信息相对应的证书路径信息从所述记录单元中删除的命令。
15.根据权利要求2所述的信息处理装置,还包括:
摄像单元,
其中,所述发送单元根据记录在所述记录单元中的信息,通过加密通信来发送由所述摄像单元拍摄的图像。
16.一种信息处理装置的控制方法,所述控制方法包括以下步骤:
第一处理步骤,响应于基于在ONVIF标准中限定的设备管理服务的命令而对所述信息处理装置进行用于进行加密通信的设置;
第二处理步骤,响应于基于在ONVIF标准中限定的高级安全服务的命令而对所述信息处理装置进行用于进行加密通信的设置;以及
发送步骤,在所述第一处理步骤中响应于基于所述设备管理服务的命令而对所述信息处理装置进行用于进行加密通信的设置之后从外部装置接收到基于所述高级安全服务的命令的情况下,将指示响应于基于所述设备管理服务的命令而做出用于进行加密通信的设置的信息,发送给所述外部装置,
其中,在ONVIF中限定的设备管理服务和在ONVIF中限定的高级安全服务是独立的服务,以及
其中,将指示响应于基于所述设备管理服务的命令而对所述信息处理装置进行了设置的信息,作为基于高级安全服务的别名信息记录在所述信息处理装置中。
17.根据权利要求16所述的控制方法,还包括以下步骤:
控制步骤,进行控制,使得将指示响应于基于所述设备管理服务的命令而对所述信息处理装置进行了设置的所述信息,记录在所述信息处理装置的记录单元中。
18.根据权利要求17所述的控制方法,其中
在所述第一处理步骤中,执行用于将第一公钥信息、第一私钥信息、以及第一证书信息中的至少一者设置给所述信息处理装置的命令,所述第一公钥信息用于进行加密通信,所述第一私钥信息与所述第一公钥信息相对应并且用于进行加密通信,所述第一证书信息证明所述公钥信息是有效密钥信息,由第一外部装置基于所述设备管理服务而对所述信息处理装置执行该命令,并且
在所述第二处理步骤中,执行用于将密钥对信息、第二证书信息、以及证书路径信息中的至少一者设置给所述信息处理装置的命令,所述密钥对信息指示用于进行加密通信的第二公钥信息与用于进行加密通信的第二密钥信息相对应,所述第二证书信息证明所述第二公钥信息是有效密钥信息,所述证书路径信息指示与所述第二证书信息相关联的第三证书信息,由第二外部装置基于所述高级安全服务而对所述信息处理装置执行该命令。
19.一种存储有计算机程序的存储介质,所述计算机程序在被处理器执行时实现信息处理装置的控制方法,所述控制方法包括以下步骤:
第一处理步骤,响应于基于在ONVIF标准中限定的设备管理服务的命令而对所述信息处理装置进行用于进行加密通信的设置;
第二处理步骤,响应于基于在ONVIF标准中限定的高级安全服务的命令而对所述信息处理装置进行用于进行加密通信的设置;以及
发送步骤,在所述第一处理步骤中响应于基于所述设备管理服务的命令而对所述信息处理装置进行用于进行加密通信的设置之后从外部装置接收到基于所述高级安全服务的命令的情况下,将指示响应于基于所述设备管理服务的命令而做出用于进行加密通信的设置的信息,发送给所述外部装置,
其中,在ONVIF中限定的设备管理服务和在ONVIF中限定的高级安全服务是独立的服务,以及
其中,将指示响应于基于所述设备管理服务的命令对所述信息处理装置进行了设置的信息,作为基于高级安全服务的别名信息记录在所述信息处理装置中。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2014/080094 WO2016075792A1 (ja) | 2014-11-13 | 2014-11-13 | 情報処理装置、制御方法、及び、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107005405A CN107005405A (zh) | 2017-08-01 |
| CN107005405B true CN107005405B (zh) | 2020-12-15 |
Family
ID=55953905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480083365.3A Active CN107005405B (zh) | 2014-11-13 | 2014-11-13 | 信息处理装置、控制方法及存储介质 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10193871B2 (zh) |
| EP (1) | EP3252989B1 (zh) |
| JP (1) | JP6381667B2 (zh) |
| CN (1) | CN107005405B (zh) |
| RU (1) | RU2682926C2 (zh) |
| SG (1) | SG11201703705TA (zh) |
| WO (1) | WO2016075792A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7208707B2 (ja) | 2017-02-17 | 2023-01-19 | キヤノン株式会社 | 情報処理装置及びその制御方法とプログラム |
| JP6968610B2 (ja) * | 2017-08-01 | 2021-11-17 | キヤノン株式会社 | 撮像装置、情報処理方法及びプログラム |
| JP6939310B2 (ja) * | 2017-09-20 | 2021-09-22 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
| JP7262938B2 (ja) | 2018-06-29 | 2023-04-24 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
| JP7147405B2 (ja) * | 2018-09-18 | 2022-10-05 | セイコーエプソン株式会社 | 印刷装置の制御方法および印刷装置 |
| US11233650B2 (en) | 2019-03-25 | 2022-01-25 | Micron Technology, Inc. | Verifying identity of a vehicle entering a trust zone |
| US11361660B2 (en) * | 2019-03-25 | 2022-06-14 | Micron Technology, Inc. | Verifying identity of an emergency vehicle during operation |
| JP7337601B2 (ja) * | 2019-08-28 | 2023-09-04 | キヤノン株式会社 | 印刷装置、制御方法およびプログラム |
| US20220141033A1 (en) * | 2020-10-15 | 2022-05-05 | Jelurida IP B.V. | Method of verifying origin of a signed file |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6538668B1 (en) * | 1999-04-09 | 2003-03-25 | Sun Microsystems, Inc. | Distributed settings control protocol |
| CN103780900A (zh) * | 2014-01-16 | 2014-05-07 | 国家电网公司 | 一种onvif模拟测试装置及方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6980658B1 (en) * | 1999-09-30 | 2005-12-27 | Qualcomm Incorporated | Method and apparatus for encrypting transmissions in a communication system |
| US8174712B2 (en) * | 2003-10-21 | 2012-05-08 | Sharp Laboratories Of America, Inc. | Generating passive metadata from user interface selections at an imaging device |
| JP4345796B2 (ja) * | 2006-09-29 | 2009-10-14 | ブラザー工業株式会社 | 通信方法、通信システムならびに通信システムを構成するサーバ、クライアントおよびコンピュータプログラム |
| JP4613969B2 (ja) | 2008-03-03 | 2011-01-19 | ソニー株式会社 | 通信装置、及び通信方法 |
| JP2013054441A (ja) * | 2011-09-01 | 2013-03-21 | Canon Inc | 印刷システム、画像形成装置、印刷方法、およびプログラム |
| RU2485710C1 (ru) * | 2011-12-23 | 2013-06-20 | Общество с ограниченной ответственностью "ЕвроКомСервис" | Криптокамера |
| JP5875463B2 (ja) * | 2012-05-21 | 2016-03-02 | キヤノン株式会社 | 撮像装置、マスク画像設定方法、および、プログラム |
| JP5955171B2 (ja) * | 2012-09-11 | 2016-07-20 | キヤノン株式会社 | 送信装置、受信装置、送信方法、受信方法、及びプログラム |
| JP6184133B2 (ja) * | 2013-03-07 | 2017-08-23 | キヤノン株式会社 | 撮像装置 |
| KR102015955B1 (ko) * | 2013-03-27 | 2019-10-21 | 한화테크윈 주식회사 | 클라이언트 인증 방법 |
| US9432390B2 (en) * | 2013-12-31 | 2016-08-30 | Prometheus Security Group Global, Inc. | Scene identification system and methods |
-
2014
- 2014-11-13 RU RU2017120178A patent/RU2682926C2/ru active
- 2014-11-13 EP EP14906116.0A patent/EP3252989B1/en active Active
- 2014-11-13 SG SG11201703705TA patent/SG11201703705TA/en unknown
- 2014-11-13 WO PCT/JP2014/080094 patent/WO2016075792A1/ja active Application Filing
- 2014-11-13 JP JP2016558507A patent/JP6381667B2/ja active Active
- 2014-11-13 CN CN201480083365.3A patent/CN107005405B/zh active Active
-
2015
- 2015-11-11 US US14/938,607 patent/US10193871B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6538668B1 (en) * | 1999-04-09 | 2003-03-25 | Sun Microsystems, Inc. | Distributed settings control protocol |
| CN103780900A (zh) * | 2014-01-16 | 2014-05-07 | 国家电网公司 | 一种onvif模拟测试装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201703705TA (en) | 2017-08-30 |
| EP3252989B1 (en) | 2020-05-20 |
| WO2016075792A1 (ja) | 2016-05-19 |
| RU2682926C2 (ru) | 2019-03-22 |
| US10193871B2 (en) | 2019-01-29 |
| CN107005405A (zh) | 2017-08-01 |
| US20160142383A1 (en) | 2016-05-19 |
| EP3252989A4 (en) | 2018-10-24 |
| EP3252989A1 (en) | 2017-12-06 |
| RU2017120178A (ru) | 2018-12-13 |
| RU2017120178A3 (zh) | 2018-12-13 |
| JPWO2016075792A1 (ja) | 2017-08-24 |
| JP6381667B2 (ja) | 2018-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107005405B (zh) | 信息处理装置、控制方法及存储介质 | |
| JP6064800B2 (ja) | 情報処理装置及びプログラム | |
| WO2014178364A1 (ja) | メッセージの送受信を支援するためのシステム、プログラム及び方法 | |
| JP6524635B2 (ja) | 情報蓄積システム及び情報蓄積方法 | |
| WO2013136723A1 (ja) | コンテンツ共有システム、情報通信装置、コンテンツ共有方法、及び通信方法 | |
| US11025603B2 (en) | Service providing system, service delivery system, service providing method, and non-transitory recording medium | |
| JP6528856B2 (ja) | 制御システム、通信制御方法、及びプログラム | |
| CN109479054B (zh) | 服务提供系统、服务通信系统、服务提供方法和记录介质 | |
| JP6385100B2 (ja) | 情報処理装置、情報処理システム、情報処理装置の制御方法およびコンピュータプログラム | |
| JP2017167661A (ja) | システム、携帯端末、情報処理装置、情報処理方法及びプログラム | |
| JP6346857B2 (ja) | コンテンツ共有システム及びコンテンツ共有方法 | |
| US11076010B2 (en) | Service providing system, service delivery system, service providing method, and non-transitory recording medium | |
| US11128623B2 (en) | Service providing system, service delivery system, service providing method, and non-transitory recording medium | |
| JP2019527875A (ja) | 再接着式メモ紙を出力するプリンタシステム及び方法 | |
| CN114430496B (zh) | 跨设备视频搜索方法及相关设备 | |
| EP3985497A1 (en) | Information processing system, output system, output method, and recording medium | |
| US11108772B2 (en) | Service providing system, service delivery system, service providing method, and non-transitory recording medium | |
| KR20140052727A (ko) | 단말 장치, 서버, 단말 장치 제어 방법 및 서버 제어 방법 | |
| JP2017037531A (ja) | 通信装置及びその制御方法ならびにプログラム | |
| JP6429531B2 (ja) | 画像共有システム及び画像共有方法 | |
| JP2019068348A (ja) | 撮影装置、情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |