CN112242989A - 信息处理装置以及记录媒体 - Google Patents
信息处理装置以及记录媒体 Download PDFInfo
- Publication number
- CN112242989A CN112242989A CN202010159074.5A CN202010159074A CN112242989A CN 112242989 A CN112242989 A CN 112242989A CN 202010159074 A CN202010159074 A CN 202010159074A CN 112242989 A CN112242989 A CN 112242989A
- Authority
- CN
- China
- Prior art keywords
- certificate
- terminal
- information processing
- processing apparatus
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 99
- 230000005540 biological transmission Effects 0.000 claims abstract description 33
- 238000010200 validation analysis Methods 0.000 claims abstract description 22
- 238000001514 detection method Methods 0.000 claims abstract description 17
- 238000004891 communication Methods 0.000 description 48
- 238000000034 method Methods 0.000 description 20
- 230000015654 memory Effects 0.000 description 12
- 238000012795 verification Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 4
- 102000036364 Cullin Ring E3 Ligases Human genes 0.000 description 2
- 108091007045 Cullin Ring E3 Ligases Proteins 0.000 description 2
- 238000005401 electroluminescence Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种信息处理装置以及记录媒体,当终端利用服务器时,能够进行限定,以使得只有位于据点内的终端才能利用服务器。信息处理装置的检测部件检测从位于据点内的终端向提供服务的位于外部的服务器的请求,发送部件对于所述终端的证书已变为无效的CRL分发服务器,发送使所述终端的证书有效化的有效化请求。
Description
技术领域
本发明涉及一种信息处理装置以及记录媒体。
背景技术
专利文献1中公开了:以提供一种网络技术为课题,所述网络技术通过将动态网际协议(Internet Protocol,IP)地址(address)根据分配来自动登记到规定的域名服务器(Domain Name Server,DNS)中,从而可实现基于动态IP地址的、用户对服务器的运用,其中,地址分配检测及登记部对作为客户端系统(client system)而分配有动态IP地址的情况进行检测,并将所述IP地址经由国际互联网(Internet)通知给所述动态DNS服务器系统,在动态DNS服务器系统中,运用管理服务器的认证及DNS更新部对于从服务器柜(serverbox)通知的IP地址,对作为发送源的服务器柜进行认证后,作为与跟通过了认证的服务器柜相符的规定域名(domain name)对应者,而登记到DNS中。
[现有技术文献]
[专利文献]
专利文献1:日本专利特开2002-305531号公报
发明内容
[发明所要解决的问题]
当终端利用服务器时,若是简单地对证书进行认证的结构,则只要所述证书有效,便能够利用服务器。因此,终端从无法进行管理的据点外也能够利用服务器。因此,本发明的目的在于提供一种信息处理装置以及信息处理程序,当终端利用服务器时,能够进行限定,以使得只有位于据点内的终端才能利用服务器。
[解决问题的技术手段]
用于达成此目的的本发明的主旨之处位于下述各项的发明中。
技术方案1的发明是一种信息处理装置,其包括:检测部件,检测从位于据点内的终端向提供服务的位于外部的服务器的请求;以及发送部件,对于所述终端的证书已变为无效的证书撤销列表(Certificate Revocation List,CRL)分发服务器,发送使所述终端的证书有效化的有效化请求。
技术方案2的发明是根据技术方案1所述的信息处理装置,还包括:接收部件,从所述终端接收所述请求与所述证书,所述检测部件对所述接收部件所接收的请求进行检测。
技术方案3的发明是根据技术方案2所述的信息处理装置,还包括:第二发送部件,在由所述发送部件发送了所述有效化请求后,对所述服务器发送所述请求与所述证书。
技术方案4的发明是根据技术方案2所述的信息处理装置,还包括:验证部件,使用由所述接收部件所接收的所述证书,验证所述终端是由本信息处理装置所管理的终端,所述发送部件在由所述验证部件验证为是由本信息处理装置所管理的终端时,发送所述有效化请求。
技术方案5的发明是根据技术方案1所述的信息处理装置,还包括:第三发送部件,对于所述CRL分发服务器,发送使由本信息处理装置所管理的终端的证书无效化的无效化请求。
技术方案6的发明是根据技术方案5所述的信息处理装置,其中,所述第三发送部件在所述证书处于初始状态的情况下,发送所述无效化请求。
技术方案7的发明是根据技术方案5所述的信息处理装置,其中,所述第三发送部件在所述服务的提供结束后,发送所述无效化请求。
技术方案8的发明是一种记录媒体,存储着信息处理程序,所述信息处理程序用于使计算机(computer)作为下述发挥功能:检测步骤,检测从位于据点内的终端向提供服务的位于外部的服务器的请求;以及发送步骤,对于所述终端的证书变为无效的CRL分发服务器,发送使所述终端的证书有效化的有效化请求。
[发明的效果]
根据技术方案1的信息处理装置,当终端利用服务器时,能够进行限定,以使得只有位于据点内的终端才能利用服务器。
根据技术方案2的信息处理装置,当从终端收到请求与证书时,能够检测所述请求。
根据技术方案3的信息处理装置,在发送了使证书有效化的请求后,能够对服务器发送请求与证书。
根据技术方案4的信息处理装置,当验证了终端是由本信息处理装置所管理的终端时,能够将有效化请求发送至CRL分发服务器。
根据技术方案5的信息处理装置,能够利用CRL分发服务器来使由本信息处理装置所管理的终端的证书无效化。
根据技术方案6的信息处理装置,当证书处于初始状态时,能够发送无效化请求。
根据技术方案7的信息处理装置,在服务的提供结束后,能够发送无效化请求。
根据技术方案8的记录媒体,当终端利用服务器时,能够进行限定,以使得只有位于据点内的终端才能利用服务器。
附图说明
图1是关于本实施方式的结构例的概念性的模块结构图。
图2是表示利用本实施方式的系统结构例的说明图。
图3是表示本实施方式的处理例的流程图。
图4是表示本实施方式的处理例的流程图。
图5是表示本实施方式的处理例的说明图。
图6是表示实现本实施方式的计算机的硬件结构例的框图。
[符号的说明]
100:信息处理装置
105:通信(A)模块
110:检测模块
115:验证模块
120:发送控制模块
125:通信(B)模块
140:终端
170:服务器
180:CRL分发服务器
185:有效化处理模块
190:据点内
290:通信线路
具体实施方式
以下,基于附图来说明实现本发明时的较佳的一实施方式的示例。
图1表示了关于本实施方式的结构例的概念性的模块结构图。
另外,所谓模块,一般是指在逻辑上可分离的软件(software)(作为“软件”的解释,包含计算机程序(computer program))、硬件(hardware)等部件。因此,本实施方式中的模块不仅指计算机程序中的模块,也指硬件结构中的模块。因此,本实施方式也兼作用于作为这些模块发挥功能的计算机程序(例如,用于使计算机执行各个流程的程序、用于使计算机作为各个部件发挥功能的程序、用于使计算机实现各个功能的程序)、系统及方法的说明。但是,为了便于说明,使用“存储”、“使存储”、与它们等同的词句,但这些词句在实施方式为计算机程序的情况下,是指存储于存储装置中、或者进行控制以存储于存储装置中的含义。而且,模块也可一对一地对应于功能,但在安装,既可使1模块由1程序构成,也可使多个模块由1程序构成,还可相反地,使1模块由多个程序构成。而且,既可由1计算机来执行多个模块,也可通过分布或并列环境下的计算机,由多个计算机来执行1模块。另外,也可在1个模块中包含其他模块。而且,以下,所谓“连接”,除了物理连接以外,也用于逻辑连接(例如数据的授受、指示、数据间的参照关系、登录(login)等)的情况。所谓“预定”,是指在作为对象的处理之前已决定,本实施方式的处理开始之前当然包括在内,即使是本实施方式的处理开始之后,只要是在作为对象的处理之前,则也包括根据此时的状况/状态,或者根据至此为止的状况/状态而决定的含义来使用。若“预定的值”存在多个,则既可为各不相同的值,也可为两个以上的值(“两个以上的值”当然也包括所有的值)相同。而且,“若为A,则进行B”这一描述,是以“判断是否为A,若判定为A,则进行B”的含义来使用。但是,不需要判断是否为A的情况除外。而且,在像“A、B、C”等这样列举事物的情况下,只要未作说明,则是例示列举,包括仅选择其一个的情况(例如仅选择A)。
而且,所谓系统或装置,除了多个计算机、硬件、装置等利用网络(“网络”包括一对一地对应的通信连接)等通信部件而连接的结构以外,也包括通过一个计算机、硬件、装置等来实现的情况。所谓“装置”与“系统”,是作为彼此同义的术语来使用。当然,“系统”不包含不过是人为商定的社会性的“结构”(即,社会系统)。
而且,在进行各模块所执行的每个处理、或者在模块内进行多个处理的情况下,针对每个所述处理,从存储装置读取作为对象的信息并进行所述处理后,将处理结果写出至存储装置中。因此,关于处理前的从存储装置的读取、处理后的向存储装置的写出,有时省略说明。另外,作为此处的存储装置,也可包含硬盘驱动器(hard disk drive)、随机存取存储器(Random Access Memory,RAM)、外部存储介质、经由通信线路的存储装置、中央处理器(Central Processing Unit,CPU)内的寄存器(register)等。
作为本实施方式的信息处理装置100具有通信中的中继功能,如图1所例示的那样,具有通信(A)模块105、检测模块110、验证模块115、发送控制模块120、通信(B)模块125。尤其,信息处理装置100进行与证书的认证相关的处理。当终端140要利用由外部的服务器170所提供的服务时,若经由信息处理装置100,则能够利用所述服务,但若不经由信息处理装置100,便不能利用所述服务。例如,禁止不经由信息处理装置100来利用云服务(cloudservice)(由服务器170提供的服务的一例)。由此,具体而言,防止终端140从据点外利用云服务。
信息处理装置100对位于据点内190的终端140与位于外部的服务器170的通信进行中介。因此,所述终端140要利用位于外部的服务器170,则必须通过信息处理装置100。即,成为下述结构:位于据点内190的终端140若不经由信息处理装置100,便无法与位于外部的服务器170连接。
在据点内190,有信息处理装置100与终端140。当然,有多个终端140,这些终端140也可与信息处理装置100可通信地连接。
此种环境下,当终端140想要利用服务器170所提供的服务时,从终端140向服务器170的请求将由信息处理装置100来中继。而且,当利用所述服务时,服务器170对终端140的证书进行验证。服务器170使用CRL分发服务器180来验证终端140的证书。若所述证书为有效,则允许利用服务,若所述证书为无效,则不允许利用服务。另外,无效是包含失效的概念而使用。例如,作为证书的失效,一般是因证书的误发布、证书的密钥丢失等而导致失效。本实施方式中,为了禁止位于据点内190以外处的终端140访问服务器170,在通常状态下,将证书设为无效。另外,本实施方式中的无效化是随后可有效化的暂时性的无效化(包含“停止”的概念)。
此处,在终端140为可移动的情况下,即使从据点内190以外也能够使用。此时,在据点内190以外的场所,终端140将无法利用服务器170所提供的服务。即,通过信息处理装置100的处理,终端140不经由信息处理装置100,便无法利用服务器170所提供的服务。
服务器170经由通信线路而与信息处理装置100的通信(B)模块125、CRL分发服务器180连接。服务器170是针对来自终端140的请求而提供服务的服务器,当收到所述请求时,对进行请求的终端140的证书进行验证(或认证)。若所述终端140的证书为有效,则对终端140提供服务。若所述终端140的证书为无效,则不对终端140提供服务。例如,云服务服务器符合于此。另外,服务器170是提供服务的普通装置,不需要导入与信息处理装置100对应的特别装置。
CRL分发服务器180具有有效化处理模块185,经由通信线路而与信息处理装置100的通信(B)模块125、服务器170相连接。CRL分发服务器180是对证书撤销列表(以下称作CRL)进行管理的服务器,具有经无效化的证书的列表即CRL。
另外,在CRL分发服务器180中,作为初始状态,终端140的证书已被无效化。因此,在不经由信息处理装置100来发送证书的情况下,作为具体例,在从企业的据点外利用终端140来对服务器170发送请求与证书的情况下,服务器170判断所述证书为无效,而不进行服务的提供。即,企业的据点外的终端140无法接受服务的提供。
有效化处理模块185根据来自信息处理装置100的有效化请求,使设为对象的证书有效化。即,从CRL的列表中删除所述证书。相反地,根据来自信息处理装置100的无效化请求,使设为对象的证书无效化。即,在CRL的列表中添加所述证书。
终端140经由通信线路而与信息处理装置100的通信(A)模块105连接。终端140位于据点内190内,经由信息处理装置100来进行与外部的服务器170的通信。尤其,为了利用服务器170所提供的服务,将用于利用所述服务的请求与终端140的证书经由信息处理装置100而发送至服务器170。
以下,对信息处理装置100内的各模块进行说明。
通信(A)模块105与检测模块110连接,而且,经由通信线路而与终端140连接。通信(A)模块105进行与终端140的通信。例如,通信(A)模块105从终端140接收对服务器170的请求与证书。此处的请求是用于利用服务器170所提供的服务的请求。此时,需要终端140的证书,因此将与请求一同接收证书。另外,请求与证书的接收既可为同时,也可存在时间差。例如,也可在接收了请求之后,接收证书。
检测模块110与通信(A)模块105、验证模块115、发送控制模块120连接。检测模块110检测从位于据点内190的终端140向提供服务的位于外部的服务器170的请求。例如,检测模块110也可预先具有位于外部的服务器170的列表,以判断来自终端140的请求是否为所述列表内的对服务器170的请求。作为服务器170的列表,例如是记载有服务器170的统一资源定位器(Uniform Resource Locator,URL)的列表。
而且,检测模块110也可对通信(A)模块105所接收的请求进行检测。
验证模块115与检测模块110、发送控制模块120连接。验证模块115使用由通信(A)模块105所接收的证书,来验证终端140是由信息处理装置100所管理的终端。
发送控制模块120与检测模块110、验证模块115、通信(B)模块125连接。发送控制模块120对于终端140的证书已变为无效的CRL分发服务器180,发送使所述终端140的证书有效化的有效化请求。即,通常,终端140的证书是在CRL分发服务器180中经无效化。在终端140即将接受对服务器170的服务之前,对CRL分发服务器180发送有效化请求,而使设为对象的证书有效化。随后,当服务器170对证书进行验证时,变为有效,因此能够提供与经由信息处理装置100的、来自终端140的请求相应的服务。
进而,发送控制模块120也可在对CRL分发服务器180发送有效化请求后,对服务器170发送从终端140接收的请求与证书。
而且,发送控制模块120在通过验证模块115而验证了发送请求的终端140是由信息处理装置100所管理的终端时,将有效化请求发送至CRL分发服务器180。当然,在由验证模块115验证为并非由信息处理装置100所管理的终端时,不将有效化请求发送至CRL分发服务器180。
而且,发送控制模块120也可对CRL分发服务器180发送使由信息处理装置100所管理的终端的证书无效化的无效化请求。
尤其,发送控制模块120也可在证书处于初始状态的情况下,发送无效化请求。
此处,“证书处于初始状态的情况”是将下述操作作为条件,即,为了将证书设为有效,通过信息处理装置100来将证书的有效化请求发送至CRL分发服务器180,例如,在生成了证书的情况下,也可对CRL分发服务器180发送所述证书的无效化请求。
而且,发送控制模块120也可在服务器170对服务的提供结束后,将无效化请求发送至CRL分发服务器180。要接受下次以后的服务的提供,必须经由本信息处理装置而连接于服务器。例如要探测“服务器170对服务的提供已结束”,只要探测终端140与服务器170之间的通信已结束的情况、从服务器170收到服务的处理结束信号的情况等即可。
通信(B)模块125与发送控制模块120连接,而且经由通信线路而与服务器170、CRL分发服务器180连接。通信(B)模块125进行与服务器170、CRL分发服务器180的通信。例如,通信(B)模块125根据发送控制模块120的指示,从终端140发送对服务器170的请求与证书。而且,通信(B)模块125根据发送控制模块120的指示,对CRL分发服务器180发送终端140的证书的有效化请求、无效化请求。
图2是表示利用本实施方式的系统结构例的说明图。
此处的信息处理装置100具有网关(gateway)装置的功能。
作为服务器170,以云服务服务器为例来进行说明。
在据点内190,例如存在信息处理装置100、终端140A、终端140B。并且,信息处理装置100、终端140A、终端140B经由据点内190内的通信线路而分别连接。
信息处理装置100、服务器170、CRL分发服务器180经由通信线路290而分别连接。通信线路290既可为无线、有线、它们的组合,例如也可为作为通信基础设施(infrastructures)的国际互联网等。
在企业利用外部的云服务时,有时想要限制企业无法对利用进行管理监测的、来自企业的据点外的利用。但是,在进行利用客户端证书的认证的云服务中,与利用场所无关,由于客户端证书是有效的,因而可从企业的据点外进行利用。
本实施方式在企业进行利用客户端证书的客户端认证的情况下,能够限制从据点外利用云服务。
例如,如图2所示,在终端140A为移动信息终端的情况下,不仅能在据点内190利用,从据点内190以外的场所也能够利用。信息处理装置100在终端140A、终端140B位于据点内190的情况下,使所述终端140A、终端140B能够利用服务器170所提供的云服务,而当终端140A被拿出,在并非据点内190的场所想要利用服务器170所提供的云服务时,使其无法利用。
为此,进行以下例示的处理。
信息处理装置100利用CRL分发服务器180来使用于利用服务器170的云服务的终端140A、终端140B的证书失效。具体而言,将这些证书的识别信息登记在CRL分发服务器180所管理的CRL中。
当企业的据点内190的终端140利用服务器170的云服务时,信息处理装置100检测其访问,若许可云服务的利用,则向CRL分发服务器180发送将相应的客户端证书设为有效的请求。由此,服务器170能够判断客户端证书为有效,因此能够利用云服务。并且,信息处理装置100在云服务结束后,使设为有效的客户端证书失效。
当从位于并非据点内190的场所的终端140A进行利用时,由于不经由信息处理装置100,因此没有将终端140A的客户端证书设为有效的请求,客户端证书仍为失效,从而无法从终端140A进行访问。
图3是表示本实施方式的处理例的流程图,表示证书的制作处理例。
步骤S302中,终端140对信息处理装置100发送证书制作请求。
步骤S304中,信息处理装置100判定证书制作的可否。例如,所述终端140判断是否包含在位于据点内190内的设备的列表中,若处于列表内,则许可证书制作,若不处于列表内,则不许可证书制作。
步骤S306中,信息处理装置100对CRL分发服务器180发送证书制作请求。
步骤S308中,CRL分发服务器180制作证书。
步骤S310中,CRL分发服务器180对信息处理装置100发送证书。
步骤S312中,信息处理装置100对CRL分发服务器180发送证书无效化请求。即,在证书的初始状态下,设为无效化的状态。
步骤S314中,CRL分发服务器180根据证书无效化请求来进行所述证书的无效化处理。
步骤S316中,信息处理装置100对终端140发送证书。
图4是表示本实施方式的处理例的流程图,表示终端140对服务器170进行服务利用的请求时的处理例。
步骤S402中,终端140对信息处理装置100发送云服务请求及证书。
步骤S404中,信息处理装置100判定可否访问。信息处理装置100判定是否允许终端140访问服务器170。例如,对于据点内190内的终端140,预先制作允许访问服务器170的终端140的列表,只要判定成为此次对象的终端140是否包含在所述列表中即可。若包含,则进行步骤S406以后的处理。若不包含,则将无法访问的意旨返回给终端140。而且,相反,对于据点内190内的终端140,预先制作不允许访问服务器170的终端140的列表,只要判定成为此次对象的终端140是否包含在所述列表中即可。若包含,则将无法访问的意旨返回给终端140。若不包含,则进行步骤S406以后的处理。另外,也可省略步骤S404的处理。由于经由信息处理装置100是明确的,因此也可不判定可否访问。
步骤S406中,信息处理装置100对CRL分发服务器180发送使在步骤S402中接收的证书有效化的请求。如前所述,所述证书通常被设为无效化。通过此次的步骤S406的请求,将被设为有效化。
步骤S408中,CRL分发服务器180将所述证书设为有效,生成CRL。具体而言,从CRL中删除作为对象的终端140的证书,所述证书变为有效状态。
步骤S410中,信息处理装置100对服务器170发送云服务请求及证书。
步骤S412中,服务器170进行客户端证书的验证。具体而言,进行步骤S414、步骤S416的处理。
步骤S414中,服务器170对CRL分发服务器180请求CRL。
步骤S416中,CRL分发服务器180对服务器170发送CRL。随后,判定在获取的CRL内是否存在步骤S410中所接收的证书。通过步骤S406、步骤S408的处理,由于在CRL内没有作为对象的证书,因此判定所述证书为有效。
步骤S418中,服务器170对终端140响应可利用云服务。从而终端140能够利用服务器170所提供的服务。
图5是表示本实施方式的处理例的说明图,对证书的通过进行说明。
证书经层级化,例如,CA中心服务器500对根(root)证书510进行签名而生成CRL分发服务器证书520,CRL分发服务器180对CRL分发服务器证书520进行签名而生成信息处理装置证书530,信息处理装置100对信息处理装置证书530进行签名而生成利用者证书540。签名是使用各装置中的密钥的加密处理。
CRL分发服务器180所生成的CRL550是对信息处理装置证书530进行签名而生成。而且,作为利用者证书540的CRL分发点(point)而设定有CRL分发服务器180。
服务器170中的利用者证书540的验证流程如下。
1.接收来自终端140的服务请求。
2.从终端140获取利用者证书540。
3.对利用者证书540进行验证。
3-1.利用信息处理装置100的公钥来对利用者证书540进行验证。
3-2.从利用者证书540的CRL分发点即CRL分发服务器180获取CRL550,并利用信息处理装置100的公钥来进行验证。
3-3.若CRL550中不含利用者证书540的序列号,则验证通过,即,判定利用者证书540为有效。若CRL550中包含利用者证书540的序列号,则验证失败,即,判定利用者证书540为无效。
4.利用同样的流程来对发布利用者证书540的证书(信息处理装置证书530)进行验证。朝向上位反复这些处理。
…
N.进行验证处理,直至成为信任锚(trust anchor)的证书(例如根证书510)为止。
本实施方式中,验证流程3-3的验证结果为,在来自据点内190的终端140的请求中为有效,在来自位于并非据点内190之处的终端140的请求中为无效。即,不经由信息处理装置100时的请求中为无效。
另外,执行作为本实施方式的程序的计算机的硬件结构如图6所例示的那样,为一般的计算机,具体而言为个人计算机(personal computer)、可作为服务器的计算机等。即,作为具体例,使用CPU601来作为处理部(运算部),使用随机存取存储器(Random AccessMemory,RAM)602、只读存储器(Read Only Memory,ROM)603、HDD604来作为存储装置。作为HDD604,例如也可使用硬盘驱动器(Hard Disk Drive,HDD)、作为快闪存储器(flashmemory)的固态硬盘(Solid State Drive,SSD)等。所述计算机包含:CPU601,执行通信(A)模块105、检测模块110、验证模块115、发送控制模块120、通信(B)模块125、有效化处理模块185等程序;RAM602,存储所述程序或数据;ROM603,保存有用于使本计算机启动的程序等;作为辅助存储装置的HDD604,存储证书等;受理装置606,基于利用者对键盘(keyboard)、鼠标(mouse)、触摸屏(touch screen)、麦克风(microphone)、摄像机(包含视线探测摄像机等)等的操作(包含动作、语音、视线等)来受理数据;液晶显示器、有机电致发光(Electroluminescence,EL)显示器、扬声器(speaker)等输出装置605;网络接口卡(network interfac card)等用于与通信网络连接的通信线路接口607;以及总线608,将它们相连,用于进行数据的交换。这些计算机也可多台彼此通过网络而连接。
在CRL分发服务器180中,也可根据CRL的请求源(服务器170),来追加切换证书的有效与无效而分发CRL的部件。具体而言,CRL分发服务器180在请求CRL的服务器170为预定的服务器170的情况下,对所述服务器170分发对应的CRL。由此,能够根据不同的服务器170来控制终端140对服务器170的利用可否。进而,通过根据来自信息处理装置100的请求来设定证书的有效与无效,从而能针对每个据点来设定安全策略。
前述的实施方式中,对于基于计算机程序者,使本硬件结构的系统读取作为软件的计算机程序,由软件与硬件资源协作,而实现前述的实施方式。
另外,图6所示的硬件结构表示一个结构例,本实施方式并不限于图6所示的结构,只要是可执行本实施方式中所说明的模块的结构即可。例如,例如,作为处理器,也可使用GPU(包括图形处理器(Graphics Processing Unit)、通用计算图形处理器(General-Purpose computing on Graphics Processing Units,GPGPU)),也可使一部分模块包含专用硬件(例如专用集成电路(作为具体例,有专用集成电路(Application SpecificIntegrated Circuit,ASIC)等)或可重构的集成电路(作为具体例,有现场可编程门阵列(Field-Programmable Gate Array,FPGA)等),一部分模块也可为位于外部的系统内并利用通信线路而连接的形态,进而,也可使多个图6所示的系统彼此通过通信线路而连接以彼此协同运行。而且,尤其,除了个人计算机以外,也可被组装至移动信息通信设备(包含移动电话、智能电话、移动设备、可穿戴式计算机(wearable computer)等)、信息家电、机器人(robot)、复印机、传真机、扫描仪、打印机、多功能一体机(具有扫描仪、打印机、复印机、传真机等中的任意两个以上的功能的图像处理装置)等。
另外,对于所说明的程序,既可保存在记录介质中而提供,而且,也可通过通信部件来提供所述程序。此时,例如对于所述说明的程序,也可理解为“记录有程序的计算机可读取的记录介质”的发明。
所谓“记录有程序的计算机可读取的记录介质”,是指被用于程序的安装、执行、程序的流通等的、记录有程序且可由计算机来读取的记录介质。
另外,作为记录介质,例如包含作为数字多功能光盘(Digital Versatile Disk,DVD)的由DVD论坛(forum)所制定的规格即“DVD-R、DVD-RW、DVD-RAM等”、由DVD+RW所制定的规格即“DVD+R、DVD+RW等”、作为光盘(Compact Disc,CD)的只读光盘(CD-ROM)、可刻录式光盘(Compact Disk-Recordable,CD-R)、可擦写式光盘(Compact Disk-Rewritable,CD-RW)等、蓝光光盘(Blu-ray(注册商标)Disc)、磁光盘(Magneto Optical,MO)、软盘(FloppyDisk,FD)、磁带、硬盘、只读存储器(ROM)、电可擦可重写只读存储器(ElectricallyErasable Programmable Read Only Memory,EEPROM(注册商标))、快闪存储器、随机存取存储器(RAM)、安全数字(Secure Digital,SD)存储卡等。
并且,所述程序的整体或其一部分也可记录在所述记录介质中进行保存或流通等。而且,也可通过通信,例如使用被用于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、国际互联网(Internet)、内联网(intranet)、外联网(extranet)等的有线网络或无线通信网络、进而它们的组合等传输介质来进行传输,而且,也可载于载波进行传播。
进而,所述程序也可为其他程序的一部分或全部,或者也可与另外的程序一同记录在记录介质中。而且,也可分割记录在多个记录介质中。而且,只要可复原,则以压缩或加密等任何形态来记录皆可。
Claims (8)
1.一种信息处理装置,其包括:
检测部件,检测从位于据点内的终端向提供服务的位于外部的服务器的请求;以及
发送部件,对于所述终端的证书已变为无效的证书撤销列表分发服务器,发送使所述终端的证书有效化的有效化请求。
2.根据权利要求1所述的信息处理装置,还包括:
接收部件,从所述终端接收所述请求与所述证书,
所述检测部件对所述接收部件所接收的请求进行检测。
3.根据权利要求2所述的信息处理装置,还包括:
第二发送部件,在由所述发送部件发送了所述有效化请求后,对所述服务器发送所述请求与所述证书。
4.根据权利要求2所述的信息处理装置,还包括:
验证部件,使用由所述接收部件所接收的所述证书,验证所述终端是由本信息处理装置所管理的终端,
所述发送部件在由所述验证部件验证为是由本信息处理装置所管理的终端时,发送所述有效化请求。
5.根据权利要求1所述的信息处理装置,还包括:
第三发送部件,对于所述证书撤销列表分发服务器,发送使由本信息处理装置所管理的终端的证书无效化的无效化请求。
6.根据权利要求5所述的信息处理装置,其中
所述第三发送部件在所述证书处于初始状态的情况下,发送所述无效化请求。
7.根据权利要求5所述的信息处理装置,其中
所述第三发送部件在所述服务的提供结束后,发送所述无效化请求。
8.一种记录媒体,存储着信息处理程序,所述信息处理程序用于使计算机作为下述发挥功能:
检测步骤,检测从位于据点内的终端向提供服务的位于外部的服务器的请求;以及
发送步骤,对于所述终端的证书变为无效的证书撤销列表分发服务器,发送使所述终端的证书有效化的有效化请求。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019130930A JP7298356B2 (ja) | 2019-07-16 | 2019-07-16 | 情報処理装置及び情報処理プログラム |
| JP2019-130930 | 2019-07-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112242989A true CN112242989A (zh) | 2021-01-19 |
Family
ID=74170377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010159074.5A Pending CN112242989A (zh) | 2019-07-16 | 2020-03-09 | 信息处理装置以及记录媒体 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11588807B2 (zh) |
| JP (1) | JP7298356B2 (zh) |
| CN (1) | CN112242989A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4002756B1 (en) * | 2020-11-24 | 2022-11-02 | Axis AB | Systems and methods of managing a certificate associated with a component located at a remote location |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1497472A (zh) * | 2002-10-16 | 2004-05-19 | ��ʽ����Ntt����Ħ | 服务验证系统、认证要求终端、服务使用终端及提供方法 |
| JP2004179724A (ja) * | 2002-11-25 | 2004-06-24 | Mitsubishi Electric Corp | サーバ装置及び証明書検証方法及びプログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| CN1968095A (zh) * | 2005-11-18 | 2007-05-23 | 株式会社日立制作所 | 登录本地机的方法和装置 |
| CN101997931A (zh) * | 2009-08-28 | 2011-03-30 | 中国移动通信集团公司 | 位置信息获取方法和设备 |
| US20110213963A1 (en) * | 2010-02-26 | 2011-09-01 | Andrew Wnuk | Using an ocsp responder as a crl distribution point |
| CN102907039A (zh) * | 2010-05-24 | 2013-01-30 | 瑞萨电子株式会社 | 通信系统、车载终端、路侧装置 |
| CN104661044A (zh) * | 2015-02-14 | 2015-05-27 | 广州珠江数码集团有限公司 | 一种广电ott融合终端及其实现方法 |
| CN108306921A (zh) * | 2017-08-04 | 2018-07-20 | 深圳壹账通智能科技有限公司 | 调用外部服务方法及应用服务器 |
| US20180302375A1 (en) * | 2017-04-14 | 2018-10-18 | Calix, Inc. | Device specific website filtering using a bifurcated domain name system |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8732457B2 (en) * | 1995-10-02 | 2014-05-20 | Assa Abloy Ab | Scalable certificate validation and simplified PKI management |
| US5922074A (en) * | 1997-02-28 | 1999-07-13 | Xcert Software, Inc. | Method of and apparatus for providing secure distributed directory services and public key infrastructure |
| US6223291B1 (en) * | 1999-03-26 | 2001-04-24 | Motorola, Inc. | Secure wireless electronic-commerce system with digital product certificates and digital license certificates |
| JP2002305531A (ja) | 2001-04-09 | 2002-10-18 | Shiyougan Ko | 情報処理装置、dnsサーバシステム、情報処理システム及び方法並びに情報処理用プログラム |
| US20030037234A1 (en) * | 2001-08-17 | 2003-02-20 | Christina Fu | Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster |
| US7093121B2 (en) * | 2002-01-10 | 2006-08-15 | Mcafee, Inc. | Transferring data via a secure network connection |
| US20040111634A1 (en) * | 2002-05-31 | 2004-06-10 | Ingman Robert M. | Security permissions for an integrated dispatch system |
| US6842449B2 (en) * | 2002-07-09 | 2005-01-11 | Verisign, Inc. | Method and system for registering and automatically retrieving digital-certificates in voice over internet protocol (VOIP) communications |
| US7437551B2 (en) * | 2004-04-02 | 2008-10-14 | Microsoft Corporation | Public key infrastructure scalability certificate revocation status validation |
| US7503074B2 (en) * | 2004-08-27 | 2009-03-10 | Microsoft Corporation | System and method for enforcing location privacy using rights management |
| JP4740649B2 (ja) | 2005-05-20 | 2011-08-03 | 日本放送協会 | 公開鍵証明書発行装置、公開鍵証明書発行システム、公開鍵証明書発行プログラムおよび公開鍵証明書発行方法 |
| JP4501912B2 (ja) | 2006-08-17 | 2010-07-14 | コニカミノルタビジネステクノロジーズ株式会社 | 画像形成認証システム |
| US8010786B1 (en) * | 2006-10-30 | 2011-08-30 | Citigroup Global Markets Inc. | Systems and methods for managing digital certificate based communications |
| US8332928B2 (en) * | 2007-02-22 | 2012-12-11 | Hewlett-Packard Development Company, L.P. | Location attestation service |
| JP4488018B2 (ja) * | 2007-03-28 | 2010-06-23 | 株式会社日立製作所 | 公開鍵証明書検証システム |
| EP2034661A1 (en) * | 2007-09-07 | 2009-03-11 | Deutsche Telekom AG | Method and system for distributed, localized authentication in the framework of 802.11 |
| US8090949B2 (en) * | 2008-03-13 | 2012-01-03 | GM Global Technology Operations LLC | Certificate assignment strategies for efficient operation of the PKI-based security architecture in a vehicular network |
| US8386785B2 (en) * | 2008-06-18 | 2013-02-26 | Igt | Gaming machine certificate creation and management |
| US20100318791A1 (en) * | 2009-06-12 | 2010-12-16 | General Instrument Corporation | Certificate status information protocol (csip) proxy and responder |
| US9225525B2 (en) * | 2010-02-26 | 2015-12-29 | Red Hat, Inc. | Identity management certificate operations |
| CN101909053B (zh) * | 2010-06-30 | 2014-10-08 | 华为技术有限公司 | 一种对时方法和基站 |
| US8627422B2 (en) * | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
| US9038158B1 (en) * | 2011-07-07 | 2015-05-19 | Symantec Corporation | Systems and methods for enforcing geolocation-based policies |
| US9098687B2 (en) | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
| US9654922B2 (en) * | 2014-03-21 | 2017-05-16 | Venafi, Inc. | Geo-fencing cryptographic key material |
| US9674173B2 (en) | 2014-04-10 | 2017-06-06 | Blue Cedar Networks, Inc. | Automatic certificate enrollment in a special-purpose appliance |
| US9742569B2 (en) * | 2014-05-05 | 2017-08-22 | Nxp B.V. | System and method for filtering digital certificates |
| US10708734B2 (en) * | 2015-06-30 | 2020-07-07 | Apple Inc. | Proxy coordinated wireless communication operation for vehicular environments |
| JP6680022B2 (ja) | 2016-03-18 | 2020-04-15 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
| US10645094B2 (en) * | 2018-02-16 | 2020-05-05 | Integrity Security Services Llc | Systems, methods, and devices for provisioning and processing geolocation information for computerized devices |
-
2019
- 2019-07-16 JP JP2019130930A patent/JP7298356B2/ja active Active
-
2020
- 2020-03-09 CN CN202010159074.5A patent/CN112242989A/zh active Pending
- 2020-03-16 US US16/819,716 patent/US11588807B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1497472A (zh) * | 2002-10-16 | 2004-05-19 | ��ʽ����Ntt����Ħ | 服务验证系统、认证要求终端、服务使用终端及提供方法 |
| JP2004179724A (ja) * | 2002-11-25 | 2004-06-24 | Mitsubishi Electric Corp | サーバ装置及び証明書検証方法及びプログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| CN1968095A (zh) * | 2005-11-18 | 2007-05-23 | 株式会社日立制作所 | 登录本地机的方法和装置 |
| CN101997931A (zh) * | 2009-08-28 | 2011-03-30 | 中国移动通信集团公司 | 位置信息获取方法和设备 |
| US20110213963A1 (en) * | 2010-02-26 | 2011-09-01 | Andrew Wnuk | Using an ocsp responder as a crl distribution point |
| CN102907039A (zh) * | 2010-05-24 | 2013-01-30 | 瑞萨电子株式会社 | 通信系统、车载终端、路侧装置 |
| CN104661044A (zh) * | 2015-02-14 | 2015-05-27 | 广州珠江数码集团有限公司 | 一种广电ott融合终端及其实现方法 |
| US20180302375A1 (en) * | 2017-04-14 | 2018-10-18 | Calix, Inc. | Device specific website filtering using a bifurcated domain name system |
| CN108306921A (zh) * | 2017-08-04 | 2018-07-20 | 深圳壹账通智能科技有限公司 | 调用外部服务方法及应用服务器 |
Non-Patent Citations (1)
| Title |
|---|
| YING CHEN等: "Location Aware Messaging - Integrating LBS Middleware and Converged Services", 《IEEE》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021016119A (ja) | 2021-02-12 |
| JP7298356B2 (ja) | 2023-06-27 |
| US11588807B2 (en) | 2023-02-21 |
| US20210021586A1 (en) | 2021-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12093419B2 (en) | Methods and devices for managing user identity authentication data | |
| CN113056741B (zh) | 基于分布式账本的简档验证 | |
| KR20160144991A (ko) | 보조 디바이스를 사용한 서비스 승인 | |
| KR102357559B1 (ko) | 시스템, 디바이스 관리 시스템 및 그 방법 | |
| WO2023009969A1 (en) | Non-fungible token authentication | |
| US9009483B2 (en) | Replacing blinded authentication authority | |
| US9985961B2 (en) | Information processing system and authentication method | |
| CN106549919B (zh) | 一种信息注册、认证方法及装置 | |
| US20150280920A1 (en) | System and method for authorization | |
| US20070086049A1 (en) | Image forming system and method using authentication information, image forming apparatus, authentication information providing device and method of using image forming apparatus | |
| JP2020119342A (ja) | 情報処理システム、認証基盤、認可情報検証方法、及びプログラム | |
| CN106330812A (zh) | 文件安全性识别方法及装置 | |
| JP2009070385A (ja) | 装置使用データを管理する手法 | |
| US11184181B2 (en) | System for assigning access rights to user device and method thereof | |
| US10389913B2 (en) | Information management control apparatus, image processing apparatus, and information management control system | |
| CN112242989A (zh) | 信息处理装置以及记录媒体 | |
| US20220232005A1 (en) | Information processing apparatus, method, and computer readable medium | |
| JP2019061324A (ja) | 情報処理装置及び情報処理プログラム | |
| JP6179434B2 (ja) | 情報処理装置、情報処理システム及び情報処理プログラム | |
| US20220417378A1 (en) | Authentication system, information processing apparatus, and image forming apparatus | |
| US10425397B2 (en) | Information processing system, information processing apparatus, and non-transitory computer readable recording medium storing information processing program | |
| KR102259674B1 (ko) | 블록체인을 활용한 운영프로그램 인증 방법 | |
| JP7077826B2 (ja) | 情報処理システム | |
| JP6244764B2 (ja) | 認証システムおよび認証方法 | |
| JP2021016129A (ja) | 情報処理装置及び情報処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: No. 3, chiban 9, Dingmu 7, Tokyo port, Japan Applicant after: Fuji film business innovation Co.,Ltd. Address before: No. 3, chiban 9, Dingmu 7, Tokyo port, Japan Applicant before: Fuji Xerox Co.,Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |