JP2005130456A - Communication apparatus, communication system, and certificate setting method - Google Patents
Communication apparatus, communication system, and certificate setting method Download PDFInfo
- Publication number
- JP2005130456A JP2005130456A JP2004228595A JP2004228595A JP2005130456A JP 2005130456 A JP2005130456 A JP 2005130456A JP 2004228595 A JP2004228595 A JP 2004228595A JP 2004228595 A JP2004228595 A JP 2004228595A JP 2005130456 A JP2005130456 A JP 2005130456A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- communication
- public key
- authentication
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、通信手段を備え、該通信手段によって通信相手と通信可能な通信装置、このような通信装置である下位装置とその通信相手となる上位装置を備える通信システム、およびこのような通信装置に証明書を設定する証明書設定方法に関する。 The present invention includes a communication device including a communication unit and capable of communicating with a communication partner by the communication unit, a communication device including a lower-level device as such a communication device and a higher-level device serving as the communication partner, and such a communication device. The present invention relates to a certificate setting method for setting a certificate in a certificate.
従来から、それぞれ通信機能を備えた複数の通信装置をネットワークを介して通信可能に接続し、様々なシステムを構築することが行われている。その一例としては、クライアント装置として機能するPC等のコンピュータから商品の注文を送信し、これとインターネットを介して通信可能なサーバ装置においてその注文を受け付けるといった、いわゆる電子商取引システムが挙げられる。また、種々の電子装置にクライアント装置あるいはサーバ装置の機能を持たせてネットワークを介して接続し、相互間の通信によって電子装置の遠隔管理を行うシステムも提案されている。 2. Description of the Related Art Conventionally, a variety of systems have been constructed by connecting a plurality of communication devices each having a communication function via a network so that communication is possible. As an example, there is a so-called electronic commerce system in which an order for a product is transmitted from a computer such as a PC functioning as a client device, and the order is received by a server device that can communicate with the order via the Internet. In addition, a system has also been proposed in which various electronic devices are connected via a network with the functions of a client device or a server device, and the electronic device is remotely managed by communication between them.
このようなシステムを構築する上では、通信を行う際に、通信相手が適切か、あるいは送信されてくる情報が改竄されていないかといった確認が重要である。また、特にインターネットによる通信を行う場合には、情報が通信相手に到達するまでに無関係なコンピュータを経由する場合が多いことから、機密情報を送信する場合、その内容を盗み見られないようにする必要もある。そして、このような要求に応える通信プロトコルとして、例えばSSL(Secure Socket Layer)と呼ばれるプロトコルが開発されており、広く用いられている。このプロトコルを用いて通信を行うことにより、公開鍵暗号方式と共通鍵暗号方式とを組み合わせ、通信相手の認証を行うと共に、情報の暗号化により改竄及び盗聴の防止を図ることができる。また、通信相手の側でも、通信を要求してきた通信元の装置を認証することができる。
このようなSSLや公開鍵暗号を用いた認証に関連する技術としては、例えば特許文献1及び特許文献2に記載のものが挙げられる。
Examples of techniques related to authentication using SSL or public key cryptography include those described in
ここで、このSSLに従った相互認証を行う場合の通信手順について、認証処理の部分に焦点を当てて説明する。図21は、通信装置Aと通信装置BとがSSLに従った相互認証を行う際の各装置において実行する処理のフローチャートを、その処理に用いる情報と共に示す図である。
図21に示すように、SSLに従った相互認証を行う際には、まず双方の通信装置にルート鍵証明書及び、私有鍵と公開鍵証明書を記憶させておく必要がある。この私有鍵は、認証局(CA:certificate authority)が各装置に対して発行した私有鍵であり、公開鍵証明書は、その私有鍵と対応する公開鍵にCAがデジタル署名を付してデジタル証明書としたものである。また、ルート鍵証明書は、CAがデジタル署名に用いたルート私有鍵と対応するルート鍵に、デジタル署名を付してデジタル証明書としたものである。
Here, a communication procedure in the case of performing mutual authentication according to the SSL will be described focusing on the authentication processing part. FIG. 21 is a diagram illustrating a flowchart of processing executed in each device when the communication device A and the communication device B perform mutual authentication according to SSL, together with information used for the processing.
As shown in FIG. 21, when performing mutual authentication according to SSL, it is necessary to first store a root key certificate, a private key, and a public key certificate in both communication apparatuses. This private key is a private key issued to each device by a certificate authority (CA). A public key certificate is digitally signed by the CA with a digital signature on the public key corresponding to the private key. It is a certificate. The root key certificate is a digital certificate obtained by attaching a digital signature to a root key corresponding to the root private key used by the CA for the digital signature.
図22にこれらの関係を示す。
図22(a)に示すように、公開鍵Aは、私有鍵Aを用いて暗号化された文書を復号化するための鍵本体と、その公開鍵の発行者(CA)や有効期限等の情報を含む書誌情報とによって構成される。そして、CAは、鍵本体や書誌情報が改竄されていないことを示すため、公開鍵Aをハッシュ処理して得たハッシュ値を、ルート私有鍵を用いて暗号化し、デジタル署名としてクライアント公開鍵に付す。またこの際に、デジタル署名に用いるルート私有鍵の識別情報を署名鍵情報として公開鍵Aの書誌情報に加える。そして、このデジタル署名を付した公開鍵証明書が、公開鍵証明書Aである。
FIG. 22 shows these relationships.
As shown in FIG. 22A, the public key A includes a key body for decrypting a document encrypted using the private key A, an issuer (CA) of the public key, an expiration date, and the like. Bibliographic information including information. The CA encrypts the hash value obtained by hashing the public key A using the root private key to indicate that the key body or bibliographic information has not been tampered with, and uses it as a digital signature for the client public key. Attached. At this time, the identification information of the root private key used for the digital signature is added to the bibliographic information of the public key A as the signature key information. The public key certificate with the digital signature is public key certificate A.
この公開鍵証明書Aを認証処理に用いる場合には、ここに含まれるデジタル署名を、ルート私有鍵と対応する公開鍵であるルート鍵の鍵本体を用いて復号化する。この復号化が正常に行われれば、デジタル署名が確かにCAによって付されたことがわかる。また、公開鍵Aの部分をハッシュ処理して得たハッシュ値と、復号して得たハッシュ値とが一致すれば、鍵自体も損傷や改竄を受けていないことがわかる。さらに、受信したデータをこの公開鍵Aを用いて正常に復号化できれば、そのデータは、私有鍵Aの持ち主から送信されたものであることがわかる。 When this public key certificate A is used for authentication processing, the digital signature included therein is decrypted using the key body of the root key, which is the public key corresponding to the root private key. If this decryption is carried out normally, it can be seen that the digital signature is certainly attached by the CA. If the hash value obtained by hashing the public key A portion matches the hash value obtained by decryption, it is understood that the key itself is not damaged or tampered. Further, if the received data can be normally decrypted using the public key A, it is understood that the data is transmitted from the owner of the private key A.
ここで、認証を行うためには、ルート鍵を予め記憶しておく必要があるが、このルート鍵も、図22(b)に示すように、CAがデジタル署名を付したルート鍵証明書として記憶しておく。このルート鍵証明書は、自身に含まれる公開鍵でデジタル署名を復号化可能な、自己署名形式である。そして、ルート鍵を使用する際に、そのルート鍵証明書に含まれる鍵本体を用いてデジタル署名を復号化し、ルート鍵をハッシュ処理して得たハッシュ値と比較する。これが一致すれば、ルート鍵が破損等していないことを確認できるのである。 Here, in order to perform authentication, it is necessary to store a root key in advance. This root key is also a root key certificate with a digital signature by the CA, as shown in FIG. Remember. This root key certificate is a self-signed form in which a digital signature can be decrypted with a public key included in the root key certificate. When the root key is used, the digital signature is decrypted using the key body included in the root key certificate, and compared with the hash value obtained by hashing the root key. If they match, it can be confirmed that the root key is not damaged.
図21のフローチャートの説明に入る。なお、この図において、2本のフローチャート間の矢印は、データの転送を示し、送信側は矢印の根元のステップで転送処理を行い、受信側はその情報を受信すると矢印の先端のステップの処理を行うものとする。また、各ステップの処理が正常に完了しなかった場合には、その時点で認証失敗の応答を返して処理を中断するものとする。相手から認証失敗の応答を受けた場合、処理がタイムアウトした場合等も同様である。 The flowchart of FIG. 21 will be described. In this figure, the arrow between the two flowcharts indicates the data transfer, the transmission side performs the transfer process at the step at the base of the arrow, and the reception side receives the information, the process at the tip of the arrow Shall be performed. In addition, if the process of each step is not completed normally, an authentication failure response is returned at that time and the process is interrupted. The same applies to the case where an authentication failure response is received from the other party or the process times out.
ここでは、通信装置Aが通信装置Bに通信を要求するものとするが、この要求を行う場合、通信装置AのCPUは、所要の制御プログラムを実行することにより、図21の左側に示すフローチャートの処理を開始する。そして、ステップS11で通信装置Bに対して接続要求を送信する。
一方通信装置BのCPUは、この接続要求を受信すると、所要の制御プログラムを実行することにより、図21の右側に示すフローチャートの処理を開始する。そして、ステップS21で第1の乱数を生成し、これを私有鍵Bを用いて暗号化する。そして、ステップS22でその暗号化した第1の乱数と公開鍵証明書Bとを通信装置Aに送信する。
Here, it is assumed that the communication apparatus A requests communication to the communication apparatus B. When this request is made, the CPU of the communication apparatus A executes a required control program, thereby causing a flowchart shown on the left side of FIG. Start processing. In step S11, a connection request is transmitted to the communication apparatus B.
On the other hand, when the CPU of the communication apparatus B receives this connection request, it executes the required control program to start the processing of the flowchart shown on the right side of FIG. In step S21, a first random number is generated and encrypted using the private key B. In step S22, the encrypted first random number and the public key certificate B are transmitted to the communication device A.
通信装置A側では、これを受信すると、ステップS12でルート鍵証明書を用いて公開鍵証明書Bの正当性を確認する。
そして確認ができると、ステップS13で、受信した公開鍵証明書Bに含まれる公開鍵Bを用いて第1の乱数を復号化する。ここで復号化が成功すれば、第1の乱数は確かに公開鍵証明書Bの発行対象から受信したものだと確認できる。
その後、ステップS14でこれとは別に第2の乱数及び共通鍵の種を生成する。共通鍵の種は、例えばそれまでの通信でやり取りしたデータに基づいて作成することができる。そして、ステップS15で第2の乱数を私有鍵Aを用いて暗号化し、共通鍵の種を公開鍵Bを用いて暗号化し、ステップS16でこれらを公開鍵証明書Aと共にサーバ装置に送信する。共通鍵の種の暗号化は、通信相手以外の装置に共通鍵の種を知られないようにするために行うものである。
また、次のステップS17では、ステップS14で生成した共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
When receiving this, the communication apparatus A confirms the validity of the public key certificate B using the root key certificate in step S12.
If it can be confirmed, the first random number is decrypted using the public key B included in the received public key certificate B in step S13. Here, if the decryption is successful, it can be confirmed that the first random number is certainly received from the issue target of the public key certificate B.
Thereafter, in step S14, a second random number and a common key seed are generated separately. The common key seed can be created based on, for example, data exchanged through communication so far. In step S15, the second random number is encrypted using the private key A, the seed of the common key is encrypted using the public key B, and these are transmitted to the server apparatus together with the public key certificate A in step S16. The encryption of the common key seed is performed so that the apparatus other than the communication partner does not know the common key seed.
In the next step S17, a common key used for encryption of subsequent communication is generated from the seed of the common key generated in step S14.
通信装置B側では、通信装置AがステップS16で送信してくるデータを受信すると、ステップS23でルート鍵証明書を用いて公開鍵証明書Aの正当性を確認する。そして確認ができると、ステップS24で、受信した公開鍵証明書Aに含まれる公開鍵Aを用いて第2の乱数を復号化する。ここで復号化が成功すれば、第2の乱数は確かに公開鍵証明書Aの発行対象から受信したものだと確認できる。
その後、ステップS25で私有鍵Bを用いて共通鍵の種を復号化する。ここまでの処理で、通信装置A側と通信装置B側に共通鍵の種が共有されたことになる。そして、この共通鍵の種は、生成した通信装置Aと、私有鍵Bを持つ通信装置B以外の装置が知ることはない。ここまでの処理が成功すると、通信装置B側でもステップS26で復号化で得た共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
On the communication device B side, when the communication device A receives the data transmitted in step S16, the validity of the public key certificate A is confirmed using the root key certificate in step S23. If it can be confirmed, the second random number is decrypted by using the public key A included in the received public key certificate A in step S24. Here, if the decryption is successful, it can be confirmed that the second random number is certainly received from the issue target of the public key certificate A.
Thereafter, the seed of the common key is decrypted using the private key B in step S25. With the processing so far, the type of the common key is shared between the communication device A side and the communication device B side. The common key seed is not known by any device other than the generated communication device A and the communication device B having the private key B. If the processing so far is successful, the communication device B also generates a common key used for encryption of subsequent communication from the seed of the common key obtained by decryption in step S26.
そして、通信装置A側のステップS17と通信装置B側のステップS26の処理が終了すると、相互に認証の成功と以後の通信に使用する暗号化方式とを確認し、生成した共通鍵を用いてその暗号化方式で以後の通信を行うものとして認証に関する処理を終了する。なお、この確認には、通信装置Bからの認証が成功した旨の応答も含むものとする。以上の処理によって互いに通信を確立し、以後はステップS17又はS26で生成した共通鍵を用い、共通鍵暗号方式でデータを暗号化して通信を行うことができる。 When the processing of step S17 on the communication device A side and step S26 on the communication device B side is completed, the authentication success and the encryption method used for the subsequent communication are mutually confirmed, and the generated common key is used. The processing related to authentication is terminated assuming that subsequent communication is performed using the encryption method. Note that this confirmation includes a response indicating that the authentication from the communication apparatus B is successful. Communication can be established by the above processing, and thereafter, communication can be performed by encrypting data by the common key encryption method using the common key generated in step S17 or S26.
このような処理を行うことにより、通信装置Aと通信装置Bが安全に共通鍵を共有することができ、通信を安全に行う経路を確立することができる。
ただし、上述した処理において、第2の乱数を公開鍵Aで暗号化し、公開鍵証明書Aを通信装置Bに送信することは必須ではない。この場合、通信装置B側のステップS23及びS24の処理は不要になり、処理は図23に示すようになる。このようにすると、通信装置Bが通信装置Aを認証することはできないが、通信装置Aが通信装置Bを認証するだけでよい場合にはこの処理で十分である。そしてこの場合には、通信装置Aに記憶させるのはルート鍵証明書のみでよく、私有鍵A及び公開鍵証明書Aは不要である。また、通信装置Bにはルート鍵証明書を記憶させる必要はない。
By performing such processing, the communication device A and the communication device B can safely share a common key, and a route for performing communication safely can be established.
However, in the above-described processing, it is not essential to encrypt the second random number with the public key A and transmit the public key certificate A to the communication device B. In this case, the processing of steps S23 and S24 on the communication device B side is not necessary, and the processing is as shown in FIG. In this way, the communication device B cannot authenticate the communication device A, but this processing is sufficient when the communication device A only needs to authenticate the communication device B. In this case, only the root key certificate may be stored in the communication device A, and the private key A and the public key certificate A are not necessary. Further, it is not necessary for the communication device B to store the root key certificate.
一方、このような公開鍵証明書を発行する第3者機関として、私有鍵の保有者の確認を行い、その私有鍵に対応した公開鍵に対してデジタル署名を行い、公開鍵証明書を発行する商用サービスが、例えばベリサイン社やボルチモア社によって提供されている。そして、公開鍵発行のためのシステムが私有鍵を含めて厳重に管理されている信頼性の高い第3者機関が発行する公開鍵証明書は、広く認証に利用されている。また、デジタル証明書を用いた認証を行う場合、信頼性の高い第3者機関が発行した公開鍵証明書を使用したいという要求もある。 On the other hand, as a third-party organization that issues such public key certificates, the owner of the private key is confirmed, the public key corresponding to the private key is digitally signed, and the public key certificate is issued Commercial services are provided by VeriSign and Baltimore, for example. Public key certificates issued by highly reliable third-party organizations in which a system for issuing public keys is strictly managed including private keys are widely used for authentication. There is also a demand for using a public key certificate issued by a highly reliable third party when performing authentication using a digital certificate.
さらに、このような第3者機関の発行する公開鍵証明書を利用する場合、主要な第3者機関によるデジタル署名の内容を確認するためのルート鍵は、インターネットエクスプローラ(登録商標)やネットスケープ(登録商標)のような一般的なウェブブラウザには予め埋め込まれているため、ウェブブラウザの操作者は、新たにルート鍵を入手して設定する必要がないという利点がある。
また、予めルート鍵を設定されていない装置であっても、信頼性の高い第3者機関のものであればユーザがルート鍵の設定に同意しやすいし、ルート鍵を入手して設定すれば、同じ第3者機関が発行した公開鍵証明書を持つ装置は、装置自体のベンダーに関わらず認証することができるという利点もある。従って、自社製の装置を他社製の装置に接続したい場合等には、第3者機関の発行する公開鍵証明書を利用することが効果的である。また、装置のユーザ側からも、このような公開鍵証明書を利用したいという要望がある。
Furthermore, when using such a public key certificate issued by a third party organization, the root key for confirming the contents of the digital signature by the main third party organization is Internet Explorer (registered trademark) or Netscape ( Since it is embedded in a general web browser such as a registered trademark in advance, there is an advantage that the operator of the web browser does not need to obtain and set a new root key.
Even if the device does not have a root key set in advance, it is easy for the user to agree to the setting of the root key if it is of a highly reliable third party, and if the root key is obtained and set An apparatus having a public key certificate issued by the same third party has the advantage that it can be authenticated regardless of the vendor of the apparatus itself. Therefore, when it is desired to connect a device manufactured by one company to a device manufactured by another company, it is effective to use a public key certificate issued by a third party organization. There is also a demand from the user side of the apparatus to use such a public key certificate.
ところで、このような第3者機関が発行した公開鍵証明書を使用する場合であっても、公開鍵証明書を記憶する部品が破損し、これを交換してしまったような場合には、公開鍵証明書も部品と共に取り去られてしまう。このため、装置の認証が不可能になってしまうことになり、ネットワークを介した安全な通信経路を確保できなくなってしまう。
このような場合であっても、部品の交換後に操作者が装置を操作して新たな公開鍵証明書を容易に設定できるような場合は、操作者を認証する等してセキュリティを保持することができるため、さほど深刻な問題にはならない。しかし、ユーザの習熟度や利用環境から操作者による設定が困難であったり、装置の運用上、操作者に自由に証明書を設定させることが好ましくなかったりする等の理由で通信システム上の他の通信装置からリモートで証明書を設定するような構成とする場合は、認証が行えない状態ではセキュリティを保持するための手段がなく、この点が深刻な問題となる。
By the way, even when using a public key certificate issued by such a third-party organization, if a part storing the public key certificate is damaged and replaced, The public key certificate is also removed along with the parts. For this reason, authentication of the device becomes impossible, and a secure communication path via the network cannot be secured.
Even in such a case, if the operator can easily set a new public key certificate by operating the device after parts replacement, the security should be maintained by authenticating the operator, etc. Because it can, it will not be a serious problem. However, other settings on the communication system may be difficult because it is difficult for the operator to set due to the user's proficiency and usage environment, or because it is not preferable for the operator to set the certificate freely. When a certificate is set remotely from the communication device, there is no means for maintaining security in a state where authentication cannot be performed, and this is a serious problem.
この点について、例えば交換後の部品に適切な公開鍵証明書が記憶されていれば、部品を交換した時点で再度安全な通信経路を確保可能な状態にできる。しかし、どの機関が発行した公開鍵証明書を使用するかは、装置やシステムの運用者が適宜定めるものであるから、部品がどの通信装置で使用されるかがわからない状態で、予め適切な機関が発行した公開鍵証明書を記憶させておくことは困難であるという問題があった。また、どのような証明書を記憶させておけばよいかわかる場合であっても、通信装置の運用者が従前の契約を打ち切り、新たな第3者機関との契約を締結する場合も考えられる。 In this regard, for example, if an appropriate public key certificate is stored in the part after replacement, a safe communication path can be secured again when the part is replaced. However, the public key certificate issued by which organization is determined by the operator of the device or system as appropriate. There is a problem that it is difficult to store the public key certificate issued by. Even if it is clear what kind of certificate should be stored, the operator of the communication device may terminate the previous contract and conclude a contract with a new third party organization. .
さらに、上記のような第3者機関が発行する公開鍵証明書は、その信頼性を保つために、有効期間が例えば1年などと比較的短く設定されていることが多い。そして、このような有効期間の短い証明書を記憶させておく場合、販売店、生産・物流拠点、サービス拠点等にストックしておくうちに証明書の有効期限が切れてしまうことも考えられる。従って、有効期限が切れたものについては回収して再度新しい証明書を記憶させる必要がある等、効率の悪い生産体制を強いられることになるという問題もあった。 Furthermore, in order to maintain the reliability of the public key certificate issued by the third party organization as described above, the valid period is often set relatively short, for example, one year. If such a certificate with a short validity period is stored, it is possible that the validity period of the certificate will expire while being stored in a store, production / distribution base, service base, or the like. Therefore, there has been a problem that an inefficient production system is forced, such as it is necessary to collect the expired certificate and store a new certificate again.
この発明は、このような問題を解決し、通信手段によって通信相手と通信可能な通信装置あるいはこのような通信装置を備える通信システムにおいて、セキュリティを維持しながら、認証に必要な証明書を記憶する部品を交換する必要が生じた場合でも、容易かつ速やかに正常な認証が行える状態に回復させることができるようにすることを目的とする。 The present invention solves such a problem, and stores a certificate necessary for authentication while maintaining security in a communication device capable of communicating with a communication partner by communication means or a communication system including such a communication device. It is an object of the present invention to make it possible to recover to a state where normal authentication can be performed easily and promptly even when a part needs to be replaced.
上記の目的を達成するため、この発明の通信装置は、通信手段を備え、その通信手段によって通信相手と通信可能な通信装置において、パブリック認証局によって発行されたデジタル証明書であるパブリック証明書とプライベート認証局によって発行されたデジタル証明書であるプライベート証明書とを記憶する記憶領域を、交換可能な最小単位の交換部品に設け、上記通信手段を、通信を行う際に上記通信相手に認証を受けるために上記パブリック証明書を提供する手段を備え、そのパブリック証明書によって上記通信相手に認証された場合に通信を行う手段としたものである。 In order to achieve the above object, a communication apparatus according to the present invention includes a public certificate that is a digital certificate issued by a public certificate authority in a communication apparatus that includes a communication unit and can communicate with a communication partner using the communication unit. A storage area for storing a private certificate, which is a digital certificate issued by a private certificate authority, is provided in the smallest replaceable replacement part, and the communication means authenticates the communication partner when performing communication. A means for providing the public certificate to receive the information is provided, and a means for performing communication when the communication partner is authenticated by the public certificate.
このような通信装置において、上記通信手段に、通信を行う際に通信相手に認証を受けるために上記プライベート証明書を提供する手段も設け、上記プライベート証明書によって通信相手に認証された場合に上記通信手段を介してその通信相手から上記パブリック証明書を取得して上記記憶領域に記憶させる証明書設定手段を設けるとよい。
さらに、上記交換部品を、上記通信装置に装着される前には、上記プライベート証明書を記憶し、上記パブリック証明書を記憶していない部品とするとよい。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行うものとし、上記デジタル証明書をその認証処理に使用する公開鍵証明書とするとよい。
In such a communication apparatus, the communication means is also provided with means for providing the private certificate in order to receive authentication from the communication partner when performing communication, and when the communication partner is authenticated by the private certificate, It is preferable to provide certificate setting means for acquiring the public certificate from the communication partner via the communication means and storing it in the storage area.
Further, the replacement part may be a part that stores the private certificate and does not store the public certificate before being attached to the communication device.
Further, the authentication may be performed by an authentication process according to an SSL or TLS protocol, and the digital certificate may be a public key certificate used for the authentication process.
また、この発明の通信システムは、上位装置と、その上位装置の通信相手となる下位装置とを備えた通信システムにおいて、上記下位装置において、パブリック認証局によって発行されたデジタル証明書であるパブリック証明書とプライベート認証局によって発行されたデジタル証明書であるプライベート証明書とを記憶する記憶領域を、交換可能な最小単位の交換部品に設け、上記通信手段を、通信を行う際に上記通信相手に認証を受けるために上記プライベート証明書を提供する手段を備え、そのパブリック証明書によって上記通信相手に認証された場合に通信を行う手段としたものである。 Further, the communication system of the present invention is a communication system comprising a higher-level device and a lower-level device that is a communication partner of the higher-level device, and a public certificate that is a digital certificate issued by a public certificate authority in the lower-level device. Storage area for storing a certificate and a private certificate, which is a digital certificate issued by a private certificate authority, is provided in a replaceable unit of the smallest unit that can be exchanged, and the communication means is connected to the communication partner when performing communication. A means for providing the private certificate to receive authentication is provided, and means for performing communication when the communication partner is authenticated by the public certificate.
このような通信システムにおいて、上記下位装置の通信手段に、通信を行う際に通信相手に認証を受けるために上記プライベート証明書を提供する手段も設け、上記下位装置に、上記プライベート証明書によって通信相手に認証された場合に上記通信手段を介してその通信相手から上記パブリック証明書を取得して上記記憶領域に記憶させる証明書設定手段を設けるとよい。
さらに、上記交換部品を、上記下位装置に装着される前には、上記プライベート証明書を記憶し、上記パブリック証明書を記憶していない部品とするとよい。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行うものとし、上記デジタル証明書をその認証処理に使用する公開鍵証明書とするとよい。
In such a communication system, the communication means of the lower device is also provided with means for providing the private certificate to authenticate the communication partner when performing communication, and the lower device communicates with the private certificate. It is preferable to provide certificate setting means for acquiring the public certificate from the communication partner via the communication means and storing it in the storage area when authenticated by the other party.
Further, the replacement part may be a part that stores the private certificate and does not store the public certificate before being attached to the lower-level device.
Further, the authentication may be performed by an authentication process according to an SSL or TLS protocol, and the digital certificate may be a public key certificate used for the authentication process.
また、この発明の証明書設定方法は、通信手段を備え、その通信手段によって通信相手と通信可能な通信装置に、パブリック認証局によって発行されたデジタル証明書であるパブリック証明書を設定する証明書設定方法において、上記パブリック証明書と、プライベート認証局によって発行されたデジタル証明書であるプライベート証明書とを記憶する記憶領域を備えた交換可能な最小単位の交換部品を、上記プライベート証明書を記憶させ、上記パブリック証明書を記憶させない状態で上記通信装置に装着し、上記通信装置に、通信を行う際に通信相手に認証を受けるために上記プライベート証明書を提供させ、そのプライベート証明書によって上記通信相手に認証された場合に上記通信手段を介してその通信相手から上記パブリック証明書を取得させて上記記憶領域に記憶させるようにしたものである。
このような証明書設定方法において、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行うものとし、上記デジタル証明書をその認証処理に使用する公開鍵証明書とするとよい。
Also, the certificate setting method of the present invention includes a communication unit, and a certificate for setting a public certificate, which is a digital certificate issued by a public certificate authority, in a communication device that can communicate with a communication partner using the communication unit. In the setting method, the private certificate is stored as a minimum replaceable replacement part having a storage area for storing the public certificate and a private certificate that is a digital certificate issued by a private certificate authority. Attached to the communication device without storing the public certificate, and causing the communication device to provide the private certificate in order to receive authentication from a communication partner when performing communication. When the communication partner is authenticated, the public certificate is sent from the communication partner via the communication means. The so obtained is obtained so as to be stored in the storage area.
In such a certificate setting method, the authentication may be performed by an authentication process according to an SSL or TLS protocol, and the digital certificate may be a public key certificate used for the authentication process.
以上のようなこの発明の通信装置、通信システムあるいは証明書更新方法によれば、通信手段によって通信相手と通信可能な通信装置あるいはこのような通信装置を備える通信システムにおいて、セキュリティを維持しながら、認証に必要な証明書を記憶する部品を交換する必要が生じた場合でも、容易かつ速やかに正常な認証が行える状態に容易に回復させることができる。 According to the communication apparatus, communication system or certificate update method of the present invention as described above, in a communication apparatus capable of communicating with a communication partner by communication means or a communication system including such a communication apparatus, while maintaining security, Even when it is necessary to replace a component that stores a certificate necessary for authentication, it is possible to easily restore a state where normal authentication can be performed easily and quickly.
以下、この発明の好ましい実施の形態を図面を参照して説明する。
まず、この発明による通信装置と、その通信装置を用いて構成したこの発明の通信システムの実施形態の構成について説明する。
図1はその通信システムの構成を示すブロック図である。
この通信システムは、図1に示すように、それぞれ通信手段を備える上位装置10及び下位装置20をネットワーク30によって接続して構成している。そして、下位装置20がこの発明の通信装置の実施形態である。また、上位装置10も通信機能を備えた通信装置であり、下位装置20の通信相手となる。
ネットワーク30としては、有線,無線を問わず、ネットワークを構築可能な各種通信回線(通信経路)を採用することができる。また、ここでは下位装置20を1つしか示していないが、図20に示すように通信システム内に下位装置20を複数設けることも可能である。
Preferred embodiments of the present invention will be described below with reference to the drawings.
First, the configuration of an embodiment of a communication apparatus according to the present invention and a communication system according to the present invention configured using the communication apparatus will be described.
FIG. 1 is a block diagram showing the configuration of the communication system.
As shown in FIG. 1, this communication system is configured by connecting a higher-
As the
このような通信システムについて、まず上位装置10及び下位装置20のハードウェア構成から説明する。上位装置10及び下位装置20のハードウェア構成は、単純化して示すと、図2に示すようなものである。
この図に示す通り、上位装置10は、CPU11,ROM12,RAM13,HDD14,通信インタフェース(I/F)15を備え、これらがシステムバス16によって接続されている。そして、CPU11がROM12やHDD14に記憶している各種制御プログラムを実行することによってこの上位装置10の動作を制御し、通信相手の認証や下位装置20のデジタル証明書更新等の機能を実現している。なお、この明細書において、デジタル証明書とは、偽造されないようにするための署名が付されたデジタルデータを指すものとする。
Such a communication system will be described first from the hardware configuration of the
As shown in this figure, the
下位装置20も、上位装置10の場合と同様にCPU21,ROM22,RAM23,HDD24,通信インタフェース(I/F)25を備え、これらがシステムバス26によって接続されている。CPU21が、ROM22やHDD24に記憶している各種制御プログラムを必要に応じて実行し、装置の制御を行うことにより、通信手段、証明書設定手段等の種々の手段としての機能を実現できるようにしている。
なお、この通信システムにおいて、上位装置10及び下位装置20が、遠隔管理,電子商取引等の目的に応じて種々の構成をとることができることは、もちろんである。そして、上位装置10や下位装置20のハードウェアとしては、適宜公知のコンピュータを採用することもできる。もちろん、必要に応じて他のハードウェアを付加してもよいし、上位装置10と下位装置20が同一の構成である必要もない。
The
In this communication system, it is needless to say that the
次に、この通信システムのうちこの実施形態の特徴に関連する部分として、上位装置10及び下位装置20の証明書の設定に関連する部分の機能構成を図3に示す。上位装置10に係るこれらの機能は、上位装置10のCPU11がROM12やHDD14に記憶している所要の制御プログラムを実行することにより実現されるものであり、下位装置20に係るこれらの機能は、下位装置20のCPU21がROM22やHDD24等に記憶している所要の制御プログラムを実行することにより実現されるものである。
Next, as a part related to the feature of this embodiment in the communication system, a functional configuration of a part related to the certificate setting of the
図3に示すように、上位装置10には、HTTPS(Hypertext Transfer Protocol Security)クライアント機能部31,HTTPSサーバ機能部32,認証処理部33,証明書更新要求部34,証明書記憶部35を備えている。
HTTPSクライアント機能部31は、SSLに従った認証や暗号化の処理を含むHTTPSプロトコルを用いて下位装置20等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、通信相手に対して要求(コマンド)やデータを送信してそれに応じた動作を実行させる機能を有する。
As shown in FIG. 3, the
The HTTPS
一方、HTTPSサーバ機能部32は、HTTPSクライアントの機能を有する装置からのHTTPSプロトコルを用いた通信要求を受け付け、その装置から要求やデータを受信してそれに応じた動作を装置の各部に実行させ、その結果を応答として要求元に返す機能を有する。
認証処理部33は、HTTPSクライアント機能部31やHTTPSサーバ機能部32が通信相手を認証する際に、通信相手から受信したデジタル証明書や、証明書記憶部35に記憶している各種証明書、私有鍵等を用いて認証処理を行う認証手段の機能を有する。また、通信相手に認証を要求するために証明書記憶部35に記憶しているデジタル証明書をHTTPSクライアント機能部31やHTTPSサーバ機能部32を介して通信相手に送信する機能も有する。
On the other hand, the HTTPS
When the HTTPS
証明書更新要求部34は、後述するように所定の場合に下位装置20等の通信相手に対して通常公開鍵証明書を送信してこれを記憶するよう要求する機能を有する。なお、ここで送信する証明書は、この通信システムの外部の証明書管理装置(CA)50に必要な情報を送信して発行させる。
証明書記憶部35は、各種の証明書や私有鍵等の認証情報を記憶し、認証処理部33における認証処理に供する機能を有する。これらの各種証明書や私有鍵の種類及びその用途や作成方法については後に詳述する。
As will be described later, the certificate
The
一方、下位装置20には、HTTPSクライアント機能部41,HTTPSサーバ機能部42,認証処理部43,要求管理部44,証明書記憶部45,状態通知部46,ログ通知部47,証明書設定部48,コマンド受信部49を備えている。
HTTPSクライアント機能部41は、上位装置10のHTTPSクライアント機能部31と同様に、HTTPSプロトコルを用いて上位装置10等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、送信する要求やデータ等に応じた動作を実行させる機能を有する。
On the other hand, the
Similar to the HTTPS
HTTPSサーバ機能部42も、上位装置10のHTTPSサーバ機能部32と同様であり、HTTPSクライアントの機能を有する装置からの通信要求を受け付け、受信した要求やデータに応じた動作を装置の各部に実行させ、要求元に応答を返す機能を有する。
認証処理部43の機能も、上位装置10の認証処理部33と同様であるが、認証処理に使用する証明書等は、証明書記憶部45に記憶しているものである。
要求管理部44は、上位装置から受信した要求について、その要求に基づいた動作の実行可否を判断する機能を有する。そして、実行を許可する場合に、その要求に基づいた動作を実行する機能部46〜49に対して動作要求を伝える機能も有する。
The HTTPS
The function of the
The
図4にこの実行可否の判断基準を示すが、その判断基準は、要求の種類及び認証処理部43において認証処理に使用したデジタル証明書の種類である。上位装置10及び下位装置20が記憶しているデジタル証明書には、詳細は後述するが、第1の認証局であるパブリック認証局により発行された第1の証明書でありパブリック証明書である通常公開鍵証明書と、第2の認証局であるプライベート認証局により発行された第2の証明書でありプライベート証明書であるレスキュー公開鍵証明書があり、要求管理部44は、図3に示すように、通常公開鍵証明書による認証処理を行った場合には全ての動作を許可するが、レスキュー公開鍵証明書による認証処理を行った場合には証明書の設定動作のみを許可するようにしている。従って、レスキュー公開鍵証明書は、下位装置20に新たな通常公開鍵証明書を記憶させる場合のみに使用する証明書ということになる。
FIG. 4 shows criteria for determining whether or not execution is possible. The criteria are the type of request and the type of digital certificate used in the authentication process in the
証明書記憶部45は、上位装置の証明書記憶部35と同様に各種の証明書や私有鍵等の認証情報を記憶し、認証処理部43における認証処理に供する証明書記憶手段の機能を有する。ただし、記憶している証明書等は、後述するように証明書記憶部35とは異なる。
状態通知部46は、異常を検知したりユーザによる指示があったりした場合に上位装置10に対して下位装置20の状態を通知するコールを行う機能を有する。この通知は、上位装置10からの問い合わせに対する応答として送信してもよいし、HTTPSクライアント機能部41から上位装置10に通信を要求して送信してもよい。
The
The
ログ通知部47は、下位装置20から上位装置10へのログの通知を行う機能を有する。その通知の内容としては、下位装置20の動作ログの他、例えば画像形成装置であれば画像形成枚数カウンタのカウント値、計量システムであればその計量値等が考えられる。この通知は緊急を要さないので、上位装置10からの問い合わせに対する応答として送信するとよい。
証明書設定部48は、上位装置10から受信する後述する通常公開鍵証明書等によって証明書記憶部45に記憶している証明書等を設定及び更新する証明書設定手段の機能を有する。
コマンド受信部49は、上述した各機能部46〜48以外の機能に係る要求に対応する動作を実行する機能を有する。この動作としては、例えば下位装置20が記憶しているデータの送信や、必要に応じてエンジン部の動作を制御することが挙げられる。なお、状態通知部46やログ通知部47は、コマンド受信部49が提供する機能の具体例として示したものであり、これらのような機能を設けることは必須ではない。
The
The
The
次に、この通信システムにおける上位装置10と下位装置20との間の通信方式について説明する。図5はその通信方式の概要を示す説明図である。
この通信システムにおいて、上位装置10は、下位装置20と通信を行おうとする場合、まず下位装置20に対して通信を要求する。そして、従来の技術の項で図21又は図23を用いて説明したようなSSLプロトコルに従った認証処理によって下位装置20を正当な通信相手として認証した場合に、下位装置20との間で通信を確立させるようにしている。この認証処理は、SSLハンドシェイクと呼ばれる。ただし、図21に示したような相互認証は必須ではなく、図23に示したような片方向認証でもよい。
この処理において、下位装置20は自身の公開鍵証明書を上位装置10に送信して、認証を受ける。そして、相互認証を行う場合には上位装置10も下位装置20に自身の公開鍵証明書を送信して認証を受けるが、片方向認証の場合にはこちらの認証は行わない。
Next, a communication method between the higher-
In this communication system, when the
In this process, the lower-
以上の認証が成功すると、上位装置10は、下位装置20が実装するアプリケーションプログラムのメソッドに対する処理の依頼である要求を、構造化言語形式であるXML形式で記載したSOAPメッセージ60として生成し、HTTP(Hyper Text Transfer Protocol)に従ってHTTPリクエストとして下位装置20に送信する。このような要求は、RPC(Remote Procedure Call)と呼ばれる。
そして、下位装置20はこの要求の内容に応じた処理を実行し、その結果を応答のSOAPメッセージ70として生成し、HTTPレスポンスとして上位装置10に送信する。ここで、これらの要求と応答は、SSLハンドシェイクの処理において共有された共通鍵を用いて暗号化して送信し、通信の安全性を確保している。
If the above authentication is successful, the
Then, the
また、これらの要求と応答とによって、この通信システムは、上位装置10をクライアント、下位装置20をサーバとするクライアント・サーバシステムとして機能している。なお、逆に下位装置20から上位装置10に通信を要求し、下位装置20をクライアント、上位装置10をサーバとするクライアント・サーバシステムとして機能する場合もある。
また、RPCを実現するためには、上記の技術の他、FTP(File Transfer Protocol),COM(Component Object Model),CORBA(Common Object Request Broker Architecture)等の既知のプロトコル(通信規格),技術,仕様などを利用することができる。
Also, with these requests and responses, this communication system functions as a client / server system in which the
In order to realize RPC, in addition to the above-described technology, known protocols (communication standards) such as FTP (File Transfer Protocol), COM (Component Object Model), CORBA (Common Object Request Broker Architecture), technology, Specifications can be used.
次に、上述した上位装置10及び下位装置20が上述した認証処理に用いる認証情報である各証明書や鍵の特性及び用途について説明する。図6は、(a)に下位装置20が認証情報として記憶している証明書及び鍵の種類を示し、(b)に上位装置10が認証情報として記憶している証明書及び鍵の種類を示す図である。
図1に示した上位装置10及び下位装置20は、図6に示すように、大きく分けて通常認証情報とレスキュー認証情報とを記憶している。そして、これらの認証情報は、それぞれ自分に関する認証情報である公開鍵証明書及び私有鍵と、通信相手に関する認証情報であるルート鍵証明書とによって構成される。
Next, the characteristics and applications of each certificate and key, which are authentication information used by the above-described
As shown in FIG. 6, the
また、例えば下位装置用通常公開鍵証明書は、証明書管理装置50が下位装置20に対して発行した通常公開鍵に、下位装置認証用通常ルート鍵を用いて正当性を確認可能なデジタル署名を付したデジタル証明書であり、パブリック証明書に該当する。なお、ここでは証明書管理装置50がパブリック認証局、あるいはパブリック認証局が証明書の発行及び管理に使用する装置に該当するものとする。また、パブリック認証局とは、背景技術の項で説明した第3者機関のように広く世間で信頼性が認められた認証局、あるいは公的に信頼性が認められた認証局、法的に証明書の効力が認められるような認証局等、一般的に通用するような証明書を発行できる認証局を指すものとする。また、パブリック認証局は、証明書の利用者と異なる運営者が運営する認証局である。
Further, for example, the low-level device normal public key certificate is a digital signature that can be verified with the normal public key issued by the
ここで、公開鍵証明書のフォーマットは、例えば図7に示したものを用いることができ、公開鍵そのものの他、証明書の発行者や証明書の有効期限、証明される対象(証明書の発行先の装置あるいは利用者)等の情報が記載されている。具体的には、例えばX.509と呼ばれるフォーマットに従って作成することができ、このフォーマットに従って作成された公開鍵証明書は、例えば図8に示すようなものになる。
この例においては、AがCAの識別情報を示し、Cが証明書の発行先の装置の識別情報を示す。これらは、それぞれ所在地、名称、機番あるいはコード等の情報を含む。また、Bが有効期間を示し、その開始日時と終了日時によって有効期間を指定している。
Here, for example, the format of the public key certificate shown in FIG. 7 can be used. In addition to the public key itself, the issuer of the certificate, the expiration date of the certificate, the subject to be certified (the certificate Information such as the issuer's device or user) is described. Specifically, for example, X. The public key certificate created according to this format can be as shown in FIG. 8, for example.
In this example, A indicates CA identification information, and C indicates identification information of a certificate issuing device. These include information such as location, name, machine number or code, respectively. B indicates the effective period, and the effective period is designated by the start date and time and the end date and time.
なお、装置を特定する目的のみであれば、公開鍵証明書に付す識別情報に機番情報を含めることは必須ではないのであるが、ここで識別情報に機番情報と同一の情報を含めるようにしているのは、通信システムを運営する場合の要求に応えるためである。すなわち、この通信システムを装置の管理に使用する場合、装置の特定は機番情報によって行うことが多いが、識別情報が機番情報を含んでいない場合には、上位装置10側で識別情報と機番情報との対応関係をテーブル等として別途管理しておく必要が生じるのである。そして、このような管理を行う場合、下位装置20を新たに生産する度にデータを追加する必要があるし、下位装置20の数は数万台、数十万台あるいはそれ以上になる場合もあり、非常に大きな量のデータを管理する必要が生じるので、管理の負担が大きくなってしまう。
しかし、公開鍵証明書に付す識別情報に機番情報と同一の情報を含めておけば、認証処理において通信相手の機番を直接特定できる。従って、このようにすることにより、公開鍵証明書に付す識別情報と機番情報との対応関係を管理する必要がなくなり、管理負担を低減できるのである。
もちろん、このような機番情報を証明書に記載しなくてもよいし、逆に、この他に下位装置20の機種番号や登録ユーザ等の情報も記載するようにしてもよい。
For the purpose of specifying the device only, it is not essential to include the machine number information in the identification information attached to the public key certificate, but here the identification information includes the same information as the machine number information. The reason for this is to meet the demand when operating a communication system. That is, when this communication system is used for device management, the device is often specified by the device number information. However, if the identification information does not include the device number information, the higher-
However, if the identification information attached to the public key certificate includes the same information as the machine number information, the machine number of the communication partner can be directly specified in the authentication process. Therefore, by doing so, it is not necessary to manage the correspondence between the identification information attached to the public key certificate and the machine number information, and the management burden can be reduced.
Of course, such machine number information may not be described in the certificate, and conversely, information such as the model number of the lower-
また、下位装置用通常私有鍵は、上記の通常公開鍵と対応する私有鍵、下位装置認証用通常ルート鍵証明書は、下位装置認証用通常ルート鍵に自身と対応するルート私有鍵を用いて自身で正当性を確認可能なデジタル署名を付したデジタル証明書である。
そして、下位装置20を複数設けた場合でも、各装置の通常公開鍵に付すデジタル署名は同じルート私有鍵を用いて付し、正当性確認に必要な通常ルート鍵証明書は共通にする。しかし、通常公開鍵証明書に含まれる通常公開鍵やこれと対応する私有鍵は、装置毎に異なる。
上位装置用通常公開鍵証明書と上位装置用通常私有鍵と上位装置認証用通常ルート鍵証明書も同様な関係である。
また、各装置に、複数のパブリック認証局が発行した公開鍵証明書の正当性を確認できるようにするため、その各パブリック認証局と対応したルート鍵証明書を記憶させるようにすることも考えられる。
Also, the private private key for the lower level device is a private key corresponding to the above normal public key, and the normal root key certificate for lower level device authentication is the root private key corresponding to itself as the normal root key for lower level device authentication. It is a digital certificate with a digital signature that can be verified by itself.
Even when a plurality of lower-
The higher-level device normal public key certificate, the higher-level device normal private key, and the higher-level device authentication normal root key certificate have the same relationship.
In addition, in order to enable each device to check the validity of public key certificates issued by a plurality of public certificate authorities, it is also possible to store a root key certificate corresponding to each public certificate authority. It is done.
そして、例えば上位装置10と下位装置20とが通常認証情報を用いて相互認証を行う場合には、上位装置10からの通信要求に応じて、下位装置20は下位装置用通常私有鍵を用いて暗号化した第1の乱数を下位装置用通常公開鍵証明書と共に上位装置10に送信する。上位装置10側では下位装置認証用通常ルート鍵証明書を用いてまずこの下位装置用通常公開鍵証明書の正当性(損傷や改竄を受けていないこと)を確認し、これが確認できた場合にここに含まれる公開鍵で第1の乱数を復号化する。この復号化が成功した場合に、上位装置10は通信相手の下位装置20が確かに下位装置用通常公開鍵証明書の発行先であると認識でき、その証明書に含まれる識別情報から装置を特定することができる。そして、特定した装置が通信相手としてふさわしいか否かに応じて認証の成功と失敗を決定することができる。
また、下位装置20側でも、上位装置10側で認証が成功した場合に送信されてくる上位装置用通常公開鍵証明書及び、上位装置用通常私有鍵で暗号化された乱数を受信し、記憶している上位装置認証用ルート鍵証明書を用いて同様な認証を行うことができる。
For example, when the
The
ところで、これらの公開鍵証明書や私有鍵は、ROM22あるいはRAM23を構成するフラッシュメモリのような書き換え可能な不揮発性記憶手段に記憶させておくものである。従って、発明の開示の項で述べたように、このような記憶手段を含む部品を交換する場合には、記憶している公開鍵証明書や私有鍵は、取り外した旧部品と共に取り去られてしまう。そしてこのような場合、再度通常公開鍵証明書を用いた認証(通常証明書セットを用いた認証)を可能にするためには、取り去られた証明書や鍵を再度記憶させる必要がある。
By the way, these public key certificates and private keys are stored in a rewritable nonvolatile storage means such as a flash memory constituting the
ここで、各装置が通常公開鍵証明書を用いた認証しか行えないとすると、この認証が行えなくなっている状態では、新たな通常公開鍵証明書等をネットワーク30を介して安全に対象の装置に送信する方法はないことになる。しかし、この実施形態の通信システムを構成する各装置は、このような事態に対処するためにレスキュー認証情報を記憶しており、通信相手を異なる2種類のデジタル証明書を用いて認証することができるようにしている。そして、レスキュー認証情報を用いることにより、必要な装置にネットワーク30を介して新たな通常公開鍵証明書等を安全に送受信できるようにしている。
Here, if each device can only perform authentication using a normal public key certificate, a new normal public key certificate or the like can be safely passed through the
このレスキュー認証情報は、通常認証情報と概ね同様な構成となっている。例えば下位装置用レスキュー公開鍵証明書は、CAが下位装置に対して発行したレスキュー公開鍵に、上位装置認証用レスキュールート鍵を用いて正当性を確認可能なデジタル署名を付したデジタル証明書であり、プライベート証明書に該当する。また、上位装置用レスキュー私有鍵はそのレスキュー公開鍵と対応する私有鍵、下位装置認証用レスキュールート鍵証明書は、下位装置認証用レスキュールート鍵に自身を用いて正当性を確認可能なデジタル署名を付したデジタル証明書である。そして、これらのレスキュー公開鍵証明書とレスキュー私有鍵とレスキュールート鍵証明書とを合わせて、レスキュー証明書セットと呼ぶことにする。上位装置10側に記憶させるレスキュー認証情報についても同様とする。
The rescue authentication information has substantially the same configuration as the normal authentication information. For example, the rescue public key certificate for the lower level device is a digital certificate in which the rescue public key issued by the CA to the lower level device is attached with a digital signature that can be verified using the rescue root key for higher level device authentication. Yes, it corresponds to a private certificate. The higher-level device rescue private key is a private key corresponding to the rescue public key, and the lower-level device authentication rescue root key certificate is a digital signature that can be used to confirm the validity of the lower-level device authentication rescue root key. This is a digital certificate with The rescue public key certificate, the rescue private key, and the rescue root key certificate are collectively called a rescue certificate set. The same applies to the rescue authentication information stored on the
しかし、正規認証情報と大きく異なる点は、レスキュー公開鍵証明書は、プライベート認証局によって発行された公開鍵証明書である点である。プライベート認証局とは、特に世間に広く信頼性が認められているわけではなく、発行する証明書が一般的に通用するわけではない認証局を指す。また、証明書の利用者が運営する認証局であり、例えば、自社内で利用する証明書を管理するためにその企業が運営する認証局である。
このような認証局が発行する証明書は、通常はパブリック認証局が発行する証明書よりも信頼性が低いと考えられるが、プライベート認証局は、安全性と利便性を考慮して設置者が独自のポリシーにより運営することができるため、用途に適合した証明書を発行し易いという利点もある。また、プライベート認証局であっても、安全性に配慮すれば、比較的安全性の高い証明書を提供することも可能である。
However, the major difference from the regular authentication information is that the rescue public key certificate is a public key certificate issued by a private certificate authority. A private certificate authority is a certificate authority whose certificate is not generally accepted, and is not widely accepted. Further, it is a certificate authority operated by a certificate user, for example, a certificate authority operated by the company in order to manage a certificate used in the company.
Certificates issued by such certificate authorities are generally considered to be less reliable than certificates issued by public certificate authorities, but private certificate authorities are not considered by installers in consideration of safety and convenience. Since it can be operated according to its own policy, there is also an advantage that it is easy to issue a certificate suitable for the application. Even in the case of a private certificate authority, if security is taken into consideration, it is possible to provide a certificate with relatively high security.
ここで、図9に通常公開鍵証明書の例を、図10にレスキュー公開鍵証明書の例を示す。
これらは、同じ装置に設定して認証処理に使用させる公開鍵証明書である。しかし、証明書の発行者は、通常公開鍵証明書については符号Dで示すようにYYY社の「PublicCA」としている一方、レスキュー公開鍵証明書については符号Gで示すようにXXX社の「PrivateCA」というように、異なるCAとしている。「PublicCA」はパブリック認証局、「PrivateCA」はプライベート認証局に該当するものとする。またここでは、プライベート認証局は、発行先装置のメーカーであるXXX社が設けている。
そして、このようなレスキュー公開鍵証明書を含むレスキュー認証情報を用意し、レスキュー認証情報の内容を、輸出規制や、各地域で普及している認証処理の内容等を考慮しても下位装置20が使用されると想定される種々の環境で共通に使用できるような認証処理により認証を行うことができるようなものにするとよい。
Here, FIG. 9 shows an example of a normal public key certificate, and FIG. 10 shows an example of a rescue public key certificate.
These are public key certificates that are set in the same device and used for authentication processing. However, the issuer of the certificate normally uses “PublicCA” of YYY as shown by the symbol D for the public key certificate, while “PublicCA” of XXX as shown by the symbol G of the rescue public key certificate. "This is a different CA. “PublicCA” corresponds to a public certificate authority, and “PrivateCA” corresponds to a private certificate authority. Here, the private certificate authority is provided by XXX, which is the manufacturer of the issuing device.
Then, the rescue authentication information including such a rescue public key certificate is prepared, and even if the contents of the rescue authentication information are taken into consideration of export restrictions, the contents of authentication processing spread in each region, etc. It is preferable that authentication can be performed by an authentication process that can be commonly used in various environments assumed to be used.
このようにすれば、通常公開鍵証明書を用いた認証が行えないような環境下でも、レスキュー公開鍵証明書により通信相手を認証することができる。そして、このような認証が成功すれば、前述のように通信相手との間で共通鍵を共有して共通鍵暗号を用いた安全な通信経路を設けることができる。従って、この通信経路を利用して、通信時点の環境に適合した新しい通常公開鍵証明書を通信相手に送信し、設定させることが可能となる。
また、パブリック認証局の発行する公開鍵証明書では、厳格な管理や安全性が要求されるため、上記のように種々の環境で共通に使用できるような証明書を発行することが難しい場合もあるし、費用もかかる。しかし、プライベート認証局であれば、証明書の仕様を比較的自由に定められるので、暗号強度を低くしたり、最新であまり普及していない認証処理アルゴリズムを避けたりして、種々の環境で共通に使用できるような証明書を発行することも可能である。また、装置のメーカー自身がプライベート認証局を提供すれば、安価に証明書を発行することも可能である。さらに、例えば下位装置20と上位装置10でメーカーが異なったり、通信システムの運用者が種々にカスタマイズを行ったりするような場合でも、レスキュー公開鍵証明書を無償で提供する等して、これらのメーカーや運用者に、レスキュー公開鍵証明書を用いた認証に対応できるようにするよう働きかけることも容易となる。
In this way, the communication partner can be authenticated by the rescue public key certificate even in an environment where authentication using the normal public key certificate cannot be performed. If such authentication is successful, the common key is shared with the communication partner as described above, and a secure communication path using common key encryption can be provided. Therefore, using this communication path, a new normal public key certificate suitable for the environment at the time of communication can be transmitted to the communication partner and set.
In addition, since public key certificates issued by public certificate authorities require strict management and security, it may be difficult to issue certificates that can be used in various environments as described above. Yes, it costs money. However, since private certificate authorities can specify the specifications of certificates relatively freely, they can be used in various environments by reducing encryption strength and avoiding the latest and less popular authentication processing algorithms. It is also possible to issue a certificate that can be used for Also, if the device manufacturer itself provides a private certificate authority, it is possible to issue a certificate at a low cost. Further, for example, even when the lower-
そして、証明書の記憶領域を備える部品の製造時に、予めレスキュー認証情報を記憶させておくようにすれば、レスキュー公開鍵証明書を用いた認証に上位装置10が対応している場合、通信相手を認証することができる。そして、このような認証が成功すれば、前述のように通信相手との間で共通鍵を共有して共通鍵暗号を用いた安全な通信経路を設けることができる。従って、この通信経路を利用して、通信相手に新しい通常公開鍵証明書(を含む通常認証情報)を送信し、設定することが可能となる。
なお、下位装置20を用いた通信システムを構成するユーザが、必ずしも上位装置10をレスキュー公開鍵証明書を用いた認証に対応させるとは限らない。しかし、レスキュー公開鍵証明書を用いた認証に対応させることにより、上記のように、交換後の部品に新しい通常公開鍵証明書を安全にリモートで設定できるという機能を利用できるようになることから、ユーザ側にもレスキュー公開鍵証明書を利用可能にするメリットがある。
If the rescue authentication information is stored in advance at the time of manufacturing the component having the certificate storage area, if the
Note that a user configuring a communication system using the
また、レスキュー公開鍵証明書については、1つのCAが発行した証明書を記憶させておけば足り、またこの証明書はプライベート認証局が提供する証明書であり、装置のメーカー自身が提供することができるので、これを交換部品に記憶させること自体には、さほどコストはかからない。
そこで、当初は上位装置10がレスキュー公開鍵証明書を用いた認証に対応しておらず、レスキュー認証情報を使用できない状態であっても、証明書記憶領域を有する交換部品全てにレスキュー認証情報を記憶させておき、事後的に上位装置10をレスキュー公開鍵証明書を用いた認証に対応させるようにすることも考えられる。このような場合でも、上位装置10の対応後は、部品を交換した下位装置20に、レスキュー公開鍵証明書を用いた認証を行って確立した安全な通信経路で通常認証情報を設定することができる。
なお、プライベート認証局が発行するレスキュー公開鍵証明書は、パブリック認証局が発行する通常公開鍵証明書と比べた場合に、安全性や信頼性が劣ることも考えられる。しかしながら、レスキュー認証情報を用いて認証処理を行った場合に、通常公開鍵証明書を始めとする正規認証情報の更新のような限られた要求のみ実行を許可するようにすれば、若干安全性が低下したとしても、大きな問題にはならない。
As for the rescue public key certificate, it is sufficient to store a certificate issued by one CA, and this certificate is a certificate provided by a private certificate authority and must be provided by the device manufacturer itself. Therefore, storing this in the replacement part itself does not cost much.
Therefore, even when the
Note that the rescue public key certificate issued by the private certificate authority may be inferior in safety and reliability as compared to the normal public key certificate issued by the public certificate authority. However, if authentication processing is performed using rescue authentication information, if only limited requests such as updating of regular authentication information such as normal public key certificates are permitted, security may be slightly Even if it falls, it does not become a big problem.
ここで、図9及び図10の説明に戻ると、これらの2つの公開鍵証明書において、通常公開鍵証明書では、符号Eで示すように有効期間が2003年1月1日午前0時から2004年1月1日午前0時までの1年間である一方、レスキュー公開鍵証明書では、符号Hで示すように2000年1月1日午前0時から2050年1月1日午前0時までの50年間としている。
すなわち、通常公開鍵証明書はパブリック認証局が発行するものであるから、装置の製造者や使用者が有効期間を自由に定めることができず、また安全性を考慮して有効期間が短く設定されているのが通常である。一方で、レスキュー認証情報は、プライベート認証局が発行するものであるから、装置の製造者が自由に有効期間を定めることができる。そこで、有効期間をこのように通常公開鍵証明書よりも長く設定するようにしている。
このようにすれば、有効期間が長い分、有効期限切れにより使用不能になってしまう事態も生じにくい。従って、証明書の記憶領域を備える部品の製造時に、予めレスキュー認証情報を記憶させておくようにしても、部品を長期間ストックしておき、交換が必要になった場合に速やかにこれに対応することができる。
Returning to the description of FIG. 9 and FIG. 10, in these two public key certificates, the normal public key certificate has an effective period from midnight on January 1, 2003 as indicated by the symbol E. While it is one year from midnight on January 1, 2004, in the rescue public key certificate, as indicated by the symbol H, from midnight on January 1, 2000 to midnight on January 1, 2050 For 50 years.
In other words, since a public certificate is usually issued by a public certificate authority, the manufacturer or user of the device cannot freely set the validity period, and the validity period is set short for safety reasons. It is usually done. On the other hand, since the rescue authentication information is issued by the private certificate authority, the device manufacturer can freely set the valid period. Therefore, the validity period is set longer than the normal public key certificate in this way.
In this way, since the effective period is long, a situation in which it becomes unusable due to expiration of the effective period is unlikely to occur. Therefore, even if the rescue authentication information is stored in advance when manufacturing a part with a certificate storage area, the part is stocked for a long period of time and can be quickly dealt with when replacement is necessary. can do.
なお、レスキュー認証情報を用いて認証処理を行った場合に、通常公開鍵証明書を始めとする正規認証情報の更新のような限られた要求のみ実行を許可するようにすれば、有効期間を長くしたために若干安全性が低下したとしても、大きな問題にはならない。
また、この点を考慮すると、レスキュー公開鍵証明書の有効期間経過後には部品に再度レスキュー公開鍵証明書を設定し直す必要が生じてしまうので、レスキュー公開鍵証明書の有効期間は長い方が好ましい。具体的には、例えば記憶させる装置の製品寿命よりも長い有効期間を設定するとよい。この製品寿命は、装置の想定運用期間あるいは想定動作期間であり、開発時に想定している使用期間や想定耐用年数、装置の品質保証期間等から定めることができる。
また、レスキュー公開鍵証明書の有効期間を、装置をメンテナンスしながら正常に動作させられると想定される期間よりも長く設定すれば、レスキュー公開鍵証明書は装置の動作中には有効期限が切れない証明書であるということができる。従って、装置の動作中は、常にレスキュー公開鍵証明書を用いた認証(レスキュー証明書セットを用いた認証)が可能な状態を保つことができる。従って、一旦レスキュー公開鍵証明書を記憶させて製造した部品に対し、ストック中にこの証明書の有効期限が切れて、これを更新する必要が生じることもない。
If the authentication process is performed using rescue authentication information, the validity period can be increased if only limited requests such as updating of regular authentication information such as normal public key certificates are permitted. Even if the safety is slightly lowered due to the lengthening, it does not become a big problem.
In addition, considering this point, it is necessary to set the rescue public key certificate again on the part after the rescue public key certificate expires, so the longer the valid period of the rescue public key certificate is, preferable. Specifically, for example, an effective period longer than the product life of the device to be stored may be set. The product life is an assumed operation period or an assumed operation period of the apparatus, and can be determined from a use period assumed at the time of development, an assumed useful life, a quality assurance period of the apparatus, and the like.
In addition, if the validity period of the rescue public key certificate is set longer than the period during which it is assumed that the rescue public key certificate can be operated normally while maintaining the equipment, the rescue public key certificate will expire during the operation of the equipment. It can be said that there is no certificate. Accordingly, during operation of the apparatus, it is possible to always maintain a state where authentication using the rescue public key certificate (authentication using the rescue certificate set) is possible. Therefore, once the parts are manufactured by storing the rescue public key certificate, the validity period of the certificate does not expire in stock, and there is no need to update the certificate.
また、上記の製品寿命や装置の動作期間よりも極めて長い有効期間を定めるようにすれば、なおよい。図10に示した例では、有効期間を50年に設定しており、通常の装置であればこの程度で十分と考えられるが、これはX.509フォーマットに従って設定できる有効期間の最大が50年であるためこのようにしただけで、さらに長い期間、例えば100年や数百年を設定してもよいことはもちろんである。このように有効期間を定めた場合、有効期間の終期は、単に公開鍵証明書のフォーマット上の要求により記載したものであり、レスキュー公開鍵証明書の有効期限は事実上ないものと考えることができる。また、対象の装置によっては、20年や30年程度あるいはそれ以下の有効期間であっても、同様に考えることができる場合もある。
さらにまた、たとえレスキュー公開鍵証明書の有効期間が製品寿命より短かったとしても、通常公開鍵証明書の有効期間よりも長ければ、通常公開鍵証明書を記憶させておく場合よりも部品のストック可能期間を延ばすことができるという効果を得ることはできる。
通常公開鍵証明書の有効期間については、パブリック認証局の運営者が安全性を考慮して適当な期間を定めるが、上記のように、この期間は、製品寿命よりも短く、また装置の動作中に有効期限が切れるような期間となることが多い。
It is even better if an effective period that is much longer than the product life and the operation period of the apparatus is determined. In the example shown in FIG. 10, the validity period is set to 50 years, and this level is considered sufficient for a normal device. Since the maximum valid period that can be set according to the 509 format is 50 years, it is a matter of course that a longer period, for example, 100 years or hundreds of years may be set only by doing this. When the validity period is set in this way, the end of the validity period is simply described by a request in the format of the public key certificate, and the validity period of the rescue public key certificate is considered to be virtually unlimited. it can. In addition, depending on the target device, even when it is valid for about 20 years, 30 years or less, it may be considered in the same way.
Furthermore, even if the validity period of the rescue public key certificate is shorter than the product lifetime, the stock of parts is longer than the case where the normal public key certificate is stored if it is longer than the normal public key certificate validity period. The effect that the possible period can be extended can be obtained.
Normally, the public certificate authority operator sets an appropriate period for the validity period of the public key certificate in consideration of security. As mentioned above, this period is shorter than the product lifetime and the operation of the device. In many cases, the period expires.
また、ここでは、レスキュー公開鍵証明書の書誌情報には装置の識別情報を記載せず、同じ階位の装置(図1あるいは図20に示した例では、上位装置と下位装置の階位が存在するものとする)には、全て同じレスキュー公開鍵証明書を記憶させることができるようにしている。この場合、同じ階位の各装置を個別に区別する必要がないので、証明書に含まれるレスキュー公開鍵及びこれと対応するレスキュー私有鍵も含めて、全く共通のものでよい。そして、通信相手のレスキュー公開鍵証明書が全て同じであることから、ルート鍵証明書については、ある階位の装置の通信相手となる全ての装置について共通となる。すなわち、下位装置20を複数設けた場合でも、全ての下位装置20に同じレスキュー認証情報を記憶させることになる。
これは、上位装置10のレスキュー認証情報についても同様である。
そして、通常公開鍵証明書とデータ形式を統一化するため、図10に示した例において、発行先装置の機番として0を記載してレスキュー公開鍵証明書であることを示すようにしている。なお、「Subject」の項目を空白としてこのことを示すことも考えられる。
Also, here, the device identification information is not described in the bibliographic information of the rescue public key certificate, and the devices of the same rank (in the example shown in FIG. 1 or FIG. The same rescue public key certificate can be stored in all of them. In this case, since it is not necessary to individually distinguish the devices at the same level, the rescue public key included in the certificate and the rescue private key corresponding thereto may be completely the same. Since all the rescue public key certificates of the communication counterparts are the same, the root key certificate is common to all the devices that are communication counterparts of a certain rank device. That is, even when a plurality of
The same applies to the rescue authentication information of the
In order to unify the data format with the normal public key certificate, in the example shown in FIG. 10, 0 is entered as the machine number of the issue destination device to indicate that it is a rescue public key certificate. . It is also possible to indicate this by leaving the “Subject” item blank.
このようにすることは必須ではないが、このように、レスキュー認証情報を同じ階位の装置について全て共通にできるようにすると、証明書の記憶領域を備える部品の製造時に、その部品を装着する装置の機種に応じて定まる階位に対応するものを画一的に記憶させてしまうことができる。そして、このようなレスキュー認証情報を記憶しており、通常認証情報を記憶していない部品であれば、製造時に装置の識別情報が必要ないため、装置の識別情報によらず共通に使用可能な部品として生産することができる。 Although it is not essential to do so, if the rescue authentication information can be made common to all devices of the same rank in this way, the component is mounted when the component having the certificate storage area is manufactured. What corresponds to the rank determined according to the model of the apparatus can be stored uniformly. And if such rescue authentication information is memorized, and it is a part that does not normally memorize authentication information, since it does not require device identification information at the time of manufacture, it can be used in common regardless of device identification information. Can be produced as a part.
なお、レスキュー公開鍵証明書には装置の識別情報を付さないようにする場合、レスキュー公開鍵証明書を用いた認証を行った場合でも、通信相手の装置を具体的に特定することはできない。しかし、通信相手についてある程度の情報は得ることができる。
すなわち、例えばあるベンダーが自社製品のうち下位装置20に該当する装置全てに下位装置用のレスキュー証明書セットを記憶させ、その通信相手となる上位装置10に該当する装置全てに上位装置用のレスキュー証明書セットを記憶させておけば、認証が成功した場合、下位装置20は、自己の記憶している上位装置認証用レスキュールート鍵証明書で正当性を確認できる公開鍵証明書を送信してきた相手が同じベンダーの上位装置10であることを認識できるし、逆に上位装置10も自己の記憶している下位装置認証用レスキュールート鍵証明書で正当性を確認できる公開鍵証明書を送信してきた相手は同じベンダーの下位装置20であることを認識できる。
If the rescue public key certificate is not attached with device identification information, the communication partner device cannot be specifically identified even if authentication is performed using the rescue public key certificate. . However, some information about the communication partner can be obtained.
That is, for example, a certain vendor stores a rescue certificate set for a lower-level device in all devices corresponding to the lower-
従って、通信を要求した装置あるいは要求してきた装置が通信相手として適当な装置か否かについて、識別情報を参照できなくてもある程度の判断を行うことができる。
そして、このような認証が成功すれば、前述のように通信相手との間で共通鍵を共有して共通鍵暗号を用いた安全な通信経路を設けることができるので、その後機番情報等を交換して通信相手を特定することも可能である。
Accordingly, it is possible to make a certain degree of determination as to whether or not the identification information can be referred to whether or not the apparatus that has requested communication or the apparatus that has requested communication is an appropriate apparatus as a communication partner.
And if such authentication is successful, it is possible to share a common key with a communication partner as described above and provide a secure communication path using common key encryption. It is also possible to specify the communication partner by exchanging.
ところで、サーバとして機能する下位装置20は、SSLハンドシェイクの際に、通信を要求してきた相手を識別できないため、基本的には全ての相手に同一の公開鍵証明書を送信することになる。しかし、この通信システムにおいては、状況に応じて通常公開鍵証明書とレスキュー公開鍵とを使い分ける必要がある。そこで、次にこの使い分けのための構成について図11を用いて説明する。
SSLプロトコルにおいては、サーバは、クライアントから通信要求があった時点ではクライアントの状態を知ることができないため、必然的に、特定のURL(Uniform Resource Locator)にアクセスされた場合には常に同じ公開鍵証明書を提供することになる。従って基本的には、通常公開鍵証明書を複数持ち、通信相手の持つ通常ルート鍵証明書の種類に合わせて適当なものを選択して送信するといった構成を取ることはできない。しかし、通信要求を受け付けるアドレスが異なる場合には、アドレス毎に異なる公開鍵証明書を返すことも可能である。このアドレスは、例えばURLによって定めることができる。
By the way, the
In the SSL protocol, the server cannot know the state of the client when a communication request is made from the client. Therefore, the server always has the same public key whenever a specific URL (Uniform Resource Locator) is accessed. You will provide a certificate. Therefore, basically, it is not possible to adopt a configuration in which there are a plurality of normal public key certificates and an appropriate one selected according to the type of the normal root key certificate of the communication partner is transmitted. However, when the address for receiving a communication request is different, a different public key certificate can be returned for each address. This address can be determined by a URL, for example.
従ってここでは、図11に示すように、上位装置10及び下位装置20にそれぞれ、通常公開鍵証明書による認証を行う通常URLとレスキュー公開鍵証明書による認証を行うレスキューURLとを設け、通信を要求する側(クライアントとして機能する側)が、要求する認証の種類に応じていずれかのURLを選択的に指定して通信要求を送るようにしている。これらのURLは、IPアドレスやポート番号(いずれか一方でもよい)を変えることにより、物理的には同じ装置のURLであっても、論理的には異なる装置のURLとして取り扱うことができるようにしている。すなわち、いわゆるバーチャルサーバの機能を実現するためのものである。
Therefore, as shown in FIG. 11, the
このようにした場合、通信を要求される側(サーバとして機能する側)は、返す証明書を通信要求を受け付けたURLによって区別し、通常URLで受け付けた場合には通常公開鍵証明書を返し、レスキューURLで受け付けた場合にはレスキュー公開鍵証明書を返すことができる。
なお、通信を要求するクライアントの側では、どのURLに対して通信要求を送ったかがわかるので、相互認証を行う場合にはURLに応じた適切な公開鍵証明書を選択して送信することができる。
In this case, the communication request side (the side functioning as a server) distinguishes the certificate to be returned by the URL that received the communication request, and returns the normal public key certificate if it is received by the normal URL. When the rescue URL is accepted, the rescue public key certificate can be returned.
Since the client requesting communication knows to which URL the communication request has been sent, when performing mutual authentication, an appropriate public key certificate corresponding to the URL can be selected and transmitted. .
従って、この通信システムにおいては、上位装置10と下位装置20との間で基本的には通常公開鍵証明書を用いた認証を行いながら、これが部品の交換によって取り去られた場合にも、新たな部品が装着された後でレスキュー公開鍵証明書を用いた認証を行い、安全な通信経路を確保することができる。レスキュー公開鍵証明書を用いた認証であっても、共通鍵の共有は通常公開鍵証明書の場合と同様に可能であるためである。そして、この通信経路を用いて上位装置10から下位装置20に設定用の通常認証情報を送信して記憶させることにより、再度通常認証情報を用いた認証が可能な状態に復帰させることができる。
Therefore, in this communication system, even when authentication is performed using a normal public key certificate between the
また、レスキュー公開鍵証明書を用いた認証であっても、上述のようにある程度相手の装置を特定することができるので、例えば自社の製造した装置のみに通常公開鍵証明書を送信するようにする等の制限をかけることができ、不正な装置に通常公開鍵証明書を送信して記憶させてしまうことを防止できる。
以上のように、この通信システムにおいては、通常認証情報に加えてレスキュー認証情報も使用することにより、認証に必要な証明書を記憶する部品を交換する必要が生じた場合でも、容易かつ速やかに正常な認証が行える状態に容易に回復させることができる。従って、人手での証明書更新が困難であり自動更新に頼らざるを得ないような装置であっても、信頼性の高いパブリック認証局が発行する証明書を有効に活用することができる。
In addition, even with authentication using a rescue public key certificate, the partner device can be specified to some extent as described above. For example, a normal public key certificate is transmitted only to a device manufactured by the company. It is possible to prevent the transmission of a normal public key certificate to an unauthorized device and store it.
As described above, in this communication system, the rescue authentication information is used in addition to the normal authentication information, so that even when it is necessary to replace a part storing a certificate necessary for authentication, it is easy and quick. It can be easily restored to a state where normal authentication can be performed. Therefore, even a device that is difficult to manually update a certificate and must rely on automatic updating can effectively use a certificate issued by a highly reliable public certificate authority.
なお、図6に示した認証情報は、上位装置10と下位装置20とが相互認証を行う場合には全て記憶している必要があるが、下位装置20がサーバとして機能し、かつ上位装置10が下位装置20を認証する片方向認証だけを行う場合には、一部の証明書等については記憶しておく必要はない。通常認証情報とレスキュー認証情報の双方について、下位装置20においては、上位装置認証用ルート鍵証明書は不要となるし、上位装置10においては、上位装置用公開鍵証明書と上位装置用私有鍵が不要となる。
The authentication information shown in FIG. 6 needs to be stored entirely when the
次に、下位装置20や上位装置10において、上述した認証情報を記憶する記憶領域を設けるハードウェアについて説明する。
下位装置20や上位装置10において、このような記憶領域は、不揮発性の記録媒体であれば設計上はどこにでも設けることができる(ただし、通常証明書セットを記憶する領域は書き換え可能な記録媒体に設けることが好ましい)。例えば、下位装置20において、通常証明書セットを記憶する記憶領域をRAM23に、レスキュー証明書セットを記憶する記憶領域をROM22に設けることもできる。
しかしながら、通常証明書セットとレスキュー証明書セットの記憶領域を別々に交換可能な部品に設けると、以下のような問題が生じる。図12を用いてこの問題について説明する。図12は、この実施形態の比較例における、証明書の記憶領域を設ける交換部品の構成及びその問題点について説明するための図である。
Next, hardware that provides a storage area for storing the authentication information described above in the
In the
However, if the storage areas for the normal certificate set and the rescue certificate set are provided in separately replaceable parts, the following problems occur. This problem will be described with reference to FIG. FIG. 12 is a diagram for explaining the configuration of a replacement part that provides a certificate storage area and its problems in a comparative example of this embodiment.
比較例として、図12(a)に示すように、別々に交換可能な部品Xと部品Yにそれぞれ通常証明書セット記憶領域とレスキュー証明書セット記憶領域を設けた構成を考える。すると、なお、部品Xについては、製造時に通常公開鍵証明書を記憶させておいてもストック中に有効期間が過ぎてしまう可能性があるため、通常証明書セットは記憶させない状態で製造することになる。一方、部品Yについては、レスキュー公開鍵証明書であれば有効期間が過ぎてしまうことはあまりないと想定し、その機種や階位に適したレスキュー証明書セットをあらかじめ記憶させた状態で製造するようにすることができる。 As a comparative example, consider a configuration in which a normal certificate set storage area and a rescue certificate set storage area are provided in separately replaceable parts X and Y as shown in FIG. Then, for the part X, even if the normal public key certificate is stored at the time of manufacture, the validity period may expire in the stock, so the normal certificate set is not stored. become. On the other hand, the component Y is manufactured in a state in which a rescue certificate set suitable for the model and rank is stored in advance, assuming that the validity period will not expire if it is a rescue public key certificate. Can be.
そして、下位装置20′において部品Xと部品Yが破損等してこれらを交換した場合(部品Xのみを交換した場合でも同じ)、(b)に示すように、下位装置20′には、レスキュー証明書セットのみが記憶され、通常証明書セットは記憶されていない状態となる。この状態において、上位装置10がこの下位装置20′をレスキュー証明書セットに含まれる下位装置用レスキュー公開鍵証明書を用いた認証処理によって認証すると、通常証明書セットを下位装置20′に送信し、これを通常証明書セット記憶領域に設定させる。そしてこの後は、この通常証明書セットに含まれる下位装置用通常公開鍵証明書を用いて認証可能な状態となる。
When the parts X and Y are replaced in the
しかし、その後(c)に示すように下位装置20′から部品Xを取り外して部品Xと同様な記憶領域を有する偽部品X′を装着した場合、(b)の場合と同様に下位装置20′にレスキュー証明書セットのみが記憶された状態となるため、上位装置10は再度下位装置20′に通常証明書セットを送信して記憶させてしまう。そして、証明書の記憶領域を設ける部品自体はメモリカード等の汎用性の高い部品とすることも多いため、正規の部品Xと同様な記憶領域を設けることのできる偽部品X′を入手することは容易である場合が多い。従って、偽部品への交換を繰り返すことにより、ユーザは正規の通常証明書セットを記憶させた偽部品X′を大量に取得し、場合によっては成りすまし等に悪用することも可能になってしまうという問題があるのである。なお、部品Yさえ正規のものを使用すれば、正規の部品Xを一切使用しなくても上記と同様なことが可能になってしまう。
However, when the component X is then removed from the
次に、この実施形態の構成及びその効果について、図13を用いて説明する。図13は、下位装置20における、証明書の記憶領域を設ける交換部品の構成及びその効果について説明するための図である。
この実施形態の下位装置20においては、上記の問題を解決するため、図12(a)に示した比較例の構成とは異なり、図13(a)に示すように、通常証明書セットを記憶する記憶領域と、レスキュー証明書セットを記憶する記憶領域とを両方とも、交換可能な最小単位の交換部品上に設けている。しかし、このような構成を採る場合でも、証明書の特性は変わらないので、この部品Aを、レスキュー証明書セットのみ予め記憶させ、通常証明書セットは記憶させない状態で製造することになる点は、図12(a)の場合と同様である。
Next, the configuration and effects of this embodiment will be described with reference to FIG. FIG. 13 is a diagram for explaining the configuration of a replacement part that provides a certificate storage area and its effects in the
In order to solve the above problem, the
ここで、下位装置20において部品Aが破損等してこれらを交換した場合、図13(b)に示すように、下位装置20には、レスキュー証明書セットのみが記憶され、通常証明書セットは記憶されていない状態となる。そして、図12(b)の場合と同様に、上位装置10がこの下位装置20を下位装置用レスキュー公開鍵証明書を用いた認証処理によって認証すると、通常証明書セットを下位装置20に送信して設定させ、下位装置用通常公開鍵証明書を用いて認証可能な状態とする。
Here, when the component A is damaged and replaced in the
しかし、その後図13(c)に示すように下位装置から部品Aを取り外して部品Aと同様な記憶領域を有する偽部品A′を装着した場合でも、偽部品A′は正しいレスキュー証明書セットを記憶していない。正当なベンダー以外は正しいレスキュー証明書セットを知らないので、正しいレスキュー証明書セットを記憶した偽部品A′を製造することができないためである。従って、図12(c)の場合とは異なり、下位装置20は上位装置10に認証を受けることができないので、上位装置10が下位装置に通常証明書セットを送信して記憶させてしまうこともない。従って、部品Aをハードウェアとしては汎用性の高い部品で構成したとしても、通常証明書セットを偽部品A′に不正に設定されてしまうことを防止できる。
部品Aを取り外して別の正規の部品Aに交換した場合には、新たな通常証明書セットがそこに記憶されることになるが、正規の部品Aであれば、ベンダー側が流通をコントロールすることが可能であるので、ユーザに必要以上の数の部品Aを供給しないようにすればよい。
However, as shown in FIG. 13 (c), even when the part A is removed from the lower level device and the fake part A ′ having the same storage area as the part A is attached, the fake part A ′ has the correct rescue certificate set. I don't remember. This is because a fake part A ′ in which the correct rescue certificate set is stored cannot be manufactured because only a valid vendor knows the correct rescue certificate set. Therefore, unlike the case of FIG. 12C, the
When part A is removed and replaced with another regular part A, a new normal certificate set will be stored there, but if it is regular part A, the vendor will control the distribution. Therefore, it is only necessary to prevent the user from supplying more parts A than necessary.
この通信システムにおいては、以上のような構成を採ることにより、通常公開鍵証明書を不正に取得されることを防止し、成りすまし等の危険を低減して通信の高い安全性を維持することができる。
なお、ここでいう交換可能な最小単位の交換部品とは、ユーザの作業やサービスマンによる出張メンテナンス等の作業によって交換可能な部品のうち、交換する場合にはその全部を交換する必要がある部品を指すものとする。例えばROM22やRAM23を構成するフラッシュメモリやNVRAM等を備えたメモリカードやメモリユニット、あるいはCPU21と共に書き換え可能な不揮発性メモリを搭載したCPUボード等が考えられる。しかし、例えば、CPUボード上に複数のメモリチップが搭載されており、工場等で特殊な設備を使用すればこれらを個別に交換可能であったとしても、ユーザの作業やサービスマンによる出張メンテナンス等の作業では通常交換できない場合には、それは交換可能とは言わないものとする。
In this communication system, by adopting the configuration as described above, it is possible to prevent unauthorized acquisition of a normal public key certificate, to reduce the risk of impersonation and to maintain high security of communication. it can.
Note that the replaceable minimum unit replacement part here is a part that can be replaced by a user's work or work such as a business trip maintenance by a service person. Shall be pointed to. For example, a memory card or memory unit including a flash memory or NVRAM that constitutes the
次に、このような証明書セットの記憶領域を設けた部品A及びその部品Aを装着した下位装置20の製造工程について説明する。
まず、これらの製造工程の概略を図14に示す。この図においては、証明書セットの設定に関する部分を中心に示し、それ以外の部分については大幅に簡略化して示している。
Next, the manufacturing process of the component A provided with such a certificate set storage area and the
First, an outline of these manufacturing steps is shown in FIG. In this figure, the part relating to the setting of the certificate set is mainly shown, and the other parts are shown greatly simplified.
この図に示すように、下位装置20を製造する場合、まず部品製造工程において証明書セットの記憶領域を設けた部品Aを製造するが、この工程では、部品Aを組み立て、検査して、その後工場のソフトウェア複写装置130によって下位装置20用のレスキュー証明書セットを書き込む。この時点では、ソフトウェア複写装置130と部品Aとの間でネットワークを介した安全な通信経路を設けることはできないし、レスキュー証明書セットは漏洩した場合の影響が通常証明書セットの場合より大きいため、書き込みは専用の冶具を用いて直接行うようにしている。またこの時、下位装置20の制御に使用するソフトウェアのうち部品Aに記憶させるものも同時に書き込むようにするとよい。
以上で部品Aが完成し、これを部品として流通させる場合には、梱包した上出荷することになる。
ここで、レスキュー公開鍵証明書に装置の識別情報を記載しない場合には、書き込むべきレスキュー証明書セットは部品Aを装着する装置の機種や階位に応じて定まるので、これを予めソフトウェア複写装置130に記憶させておけばよい。また、部品Aが規格化されたメモリカード等の場合には、組み立てる必要がない場合もある。
As shown in this figure, when manufacturing the
When the part A is completed as described above and is distributed as a part, it is packaged and shipped.
Here, when the identification information of the device is not described in the rescue public key certificate, the rescue certificate set to be written is determined according to the model and rank of the device on which the component A is mounted. 130 may be stored. Further, when the component A is a standardized memory card or the like, it may not be necessary to assemble it.
一方、部品Aを下位装置20の製造に使用する場合には、レスキュー証明書セットを書き込んだ部品Aを製品組み立て工程に回し、これを組み立て中の下位装置20の本体部に装着する。そして、下位装置20の組み立てが完了した後、その機能検査を行い、合格した装置に機番を付与する。その後、装置の機番情報や初期設定値を下位装置20に記憶させる。また、どのような通常証明書セットを記憶させればよいかがわかる場合には、その通常証明書セットを、証明書書き込み装置160によって下位装置20に記憶させる。その後、外観を検査し、梱包して出荷する。
以上の工程で下位装置20を製造することができる。また、記憶させるレスキュー証明書セットは異なるが、上位装置10についても同様な工程で製造することができる。なお、部品製造工程と製品組み立て工程とは、別々の工場で行われることが多い。
On the other hand, when the part A is used for manufacturing the
The
また、図15に部品Aに各証明書セットを記憶させる工程の説明図を示す。
この図に示すように、部品Aには部品製造工程においてレスキュー証明書セットのみを記憶させ、通常証明書セットは記憶させない。そしてこの状態で、製品組み立て工程で新しい装置の組み立てに用いる部品と、市場に販売済の装置のための交換部品(サービスパーツ)とのどちらの用途にも使用できる部品として完成する。
そして、工場においてユーザからの注文に応じて装置を生産するような場合には、機番が付与された段階で、その装置を使用するユーザや、その装置が接続される通信システムがわかっている場合もある。そして、このような場合には、利用環境に適した通常証明書セットを、装置製造の段階で設定してしまうことも可能である。
FIG. 15 shows an explanatory diagram of a process of storing each certificate set in the component A.
As shown in this figure, the part A stores only the rescue certificate set in the part manufacturing process, and does not store the normal certificate set. In this state, the product is completed as a part that can be used for both the part used for assembling a new apparatus in the product assembly process and the replacement part (service part) for the apparatus already sold in the market.
And when manufacturing a device in response to an order from a user in a factory, the user who uses the device and the communication system to which the device is connected are known at the stage where the device number is given. In some cases. In such a case, a normal certificate set suitable for the use environment can be set at the stage of device manufacture.
そこで、このような場合、部品Aが装置の組み立て工場において製品組み立て工程で装置に装着された場合には、その装置が検査に合格し、装置に機番が付与された後で、証明書書き込み装置160によって通常証明書セットが書き込まれる。このとき、機番情報入力装置161から証明書書き込み装置160に書き込み対象の装置の機番を入力し、証明書書き込み装置160がその機番の情報を識別情報として含む通常証明書セットを取得して書き込むことになる。
この通常証明書セットは、パブリックCAである証明書管理装置50が発行するものである。そして、証明書管理装置50は、設定対象の下位装置20が接続される予定の通信システムにおいて、上位装置10が行う認証処理で使用可能な証明書を発行するパブリックCAである。
Therefore, in such a case, when the part A is mounted on the device in the product assembly process at the device assembly factory, the device passes the inspection and the certificate is written after the device number is given to the device. The
This normal certificate set is issued by the
なお、このようにパブリックCAが発行する公開鍵証明書を利用する場合には、証明書書き込み装置160からパブリックCAに対して直接証明書の発行を依頼し、証明書の管理もそのCAに任せてしまうよりは、発行された証明書を管理する機能を証明書書き込み装置160に設けたり、証明書書き込み装置160が間に発行された証明書を管理する装置を介してCAに証明書の発行を依頼するような構成が好ましい。特に、工場においては複数のパブリックCAから証明書を取得することも考えられるから、このような構成が特に好ましいと言える。
When using a public key certificate issued by a public CA in this way, the
また、証明書書き込み装置160が下位装置20に通常証明書セットを設定する際には、証明書書き込み装置160と下位装置20とを接続した上で、証明書書き込み装置160から下位装置20のレスキューURLに通信を要求し、下位装置20に記憶しているレスキュー証明書セットを用いて、SSLによる認証処理を行う。そして、証明書書き込み装置160が下位装置20が正当な装置であると認証した場合に証明書設定要求と共に通常証明書セットを送信して部品Aの通常証明書セット記憶領域に書き込ませるようにしている。
When the
ここで、通常証明書セットを書き込む際に下位装置20側で実行する処理を図16のフローチャートに示す。
下位装置20は、通信相手がレスキューURLに通信を要求してきた場合、図16のフローチャートに示す処理を開始する。
この処理においては、まずステップS201で、通信相手(ここでは証明書書き込み装置160)に認証を受けるために下位装置用レスキュー公開鍵証明書を、下位装置用レスキュー私有鍵で暗号化した第1の乱数と共に通信相手に送信する。この処理は、図23のステップS21及びS22の処理に相当する。
Here, the process executed on the
When the communication partner requests communication to the rescue URL, the
In this process, first, in step S201, a first public apparatus public key certificate for a lower apparatus is encrypted with a rescue private key for a lower apparatus in order to be authenticated by a communication partner (here, certificate writing apparatus 160). Send to communication partner with random number. This processing corresponds to the processing in steps S21 and S22 in FIG.
通信相手は、下位装置20が送信した証明書と乱数を受信すると、これを用いて認証処理を行い、その結果を応答として返してくる。また、認証が成功していれば、共通鍵の種を下位装置20に送信すると共に共通鍵を作成して以後の通信に使用するようにする。ここでの認証には、下位装置認証用レスキュールート鍵証明書を使用し、この処理は図23のステップS12乃至S17の処理に相当する。
下位装置20は、この認証結果を受け取ると、ステップS202で認証が成功したか否か判断し、失敗であればそのまま処理を終了するが、成功していればステップS203に進んで受信した共通鍵の種を用いて共通鍵を作成して以後の通信に使用するようにする。これらの処理は、図19のステップS25及びS26の処理に相当する。
When the communication partner receives the certificate and the random number transmitted by the
Upon receiving this authentication result, the
その後、ステップS204で要求の受信を待ち、要求を受信するとステップS205に進む。そして、図4を用いて説明したように、下位装置20の要求管理部44は、レスキュー公開鍵証明書を用いた認証を行った場合には、証明書設定動作のみを許可するようにしているので、ステップS205で受信した要求が証明書設定要求か否かを判断する。そして、証明書設定要求でなければその要求は無視してステップS204に戻って次の要求を待つ。ここで、要求を受け付けられない旨の応答を返すようにしてもよい。
Thereafter, the reception of the request is waited in step S204, and when the request is received, the process proceeds to step S205. Then, as described with reference to FIG. 4, the
ステップS205で証明書設定要求であれば、ステップS206に進んで証明書設定要求と共に受信(通信相手から取得)した証明書セットを部品Aの通常証明書セット記憶領域に記憶させて図6(a)に示した通常証明書セットをその内容に設定する。この処理において、下位装置20のCPU21が証明書設定手段として機能する。
その後、ステップS207で設定結果を応答として送信元に通知して処理を終了する。
下位装置20がこのような処理を実行することにより、証明書書き込み装置160が、下位装置20が通常証明書セットの書き込み対象であることについて少なくとも最低限の確認を行うことができるので、全く異なる装置に誤って通常証明書セットを送信してしまうような事態を防止できる。
If it is a certificate setting request in step S205, the process proceeds to step S206, and the certificate set received together with the certificate setting request (obtained from the communication partner) is stored in the normal certificate set storage area of the part A, and FIG. Set the contents of the normal certificate set shown in In this process, the
Thereafter, in step S207, the setting result is notified to the transmission source as a response, and the process is terminated.
Since the
また、証明書書き込み装置160側にもレスキュー証明書セットを記憶させ、認証処理において下位装置20との間で相互認証を行うようにしてもよい。この場合に使用するレスキュー証明書セットは、上位装置10に記憶させるものと同じものになり、下位装置20側の認証処理も、図21に示した処理に対応したものになる。そして、このようにすれば、下位装置20側でも、不正な証明書書き込み装置から送られてくる通常証明書セットを設定してしまうことがないようにすることができる。
さらに、通信要求について、下位装置20側から証明書書き込み装置160に対して通信要求を行うようにすることも考えられる。この場合でも、証明書書き込み装置160と下位装置20とがレスキュー公開鍵証明書を用いた認証処理を行い、これが成功した場合に証明書書き込み装置160が下位装置20に通常公開鍵証明書を送信して設定させることは、上述の処理の場合と同様である。
さらに、通常証明書セットを送信する際に、必要に応じて、その通常証明書セットに含まれる公開鍵証明書や私有鍵を用いた認証処理を行うために必要なソフトウェアも共に送信し、下位装置20に設定させるようにしてもよい。
Also, the rescue certificate set may be stored on the
Further, regarding the communication request, it is conceivable to make a communication request to the
In addition, when sending a normal certificate set, if necessary, send the software necessary for authentication processing using the public key certificate and private key included in the normal certificate set. The
一方で、図15において、部品Aがサービスパーツとして出荷され、設置先で稼動中の下位装置20に装着された場合には、その下位装置20と対応する上位装置10によって通常証明書セットが書き込まれることになる。このとき、機番情報入力装置171から上位装置10に書き込み対象の装置の機番を入力し、上位装置10がその機番の情報を識別情報として含む通常証明書セットを証明書管理装置50に発行させ、これを取得して下位装置20に設定させることになる。下位装置20の機番等の識別情報については、上位装置10からの要求に応じて下位装置20から上位装置10に送信させるようにしてもよい。
また、証明書管理装置50は、上位装置10が行う認証処理で使用可能な証明書を発行するパブリックCAである。そして、発行された証明書を管理する機能を上位装置10に設けたり、上位装置10が間に発行された証明書を管理する装置を介してCAに証明書の発行を依頼するような構成が好ましいことは、上述した証明書書き込み装置160の場合と同様である。
On the other hand, in FIG. 15, when the part A is shipped as a service part and attached to the
The
また、上位装置10が下位装置20に通常証明書セットを設定する際には、上位装置10から下位装置20のレスキューURLに通信を要求し、下位装置20に記憶しているレスキュー証明書セットを用いて、SSLによる認証処理を行う。そして、上位装置10が下位装置20は正当な装置であると認証した場合に通常証明書セットを送信して部品Aの通常証明書セット記憶領域に設定させるようにしている。この場合に下位装置20側で行う処理は、図16のフローチャートに示したものと同じものである。もちろん、相互認証を行うようにしてもよい。このことによる効果は、証明書書き込み装置160によって書き込む場合と同様であるが、どのような装置と接続されるかわからない出荷後の方が、接続対象が限定される工場内においてよりも安全性向上の要求は強いと言える。
また、下位装置20が上位装置10に通信要求を行うようにしてもよいことも、上述の証明書書き込み装置160によって書き込む場合と同様である。
また、工場で下位装置20の通常証明書セットを設定できなかった場合には、部品Aにレスキュー証明書セットのみを記憶させて出荷し、設置先で上記の市場機の場合と同様に通常証明書セットを記憶させるようにすることができる。
When the
Further, the
Also, if the normal certificate set of the
以上の説明から明らかなように、下位装置20に対して、工場での生産時と市場での部品交換時とにおいて全く同じ手順で通常公開鍵証明書を記憶させることができる。
なお、下位装置20に、その機番情報を装置の識別情報として付された通常公開鍵証明書を記憶させるようにする場合であっても、機番は、装置の組み立てが完了し、機能の検査に合格した装置に付すようにしたいという要求がある。なぜなら、検査前に機番を付してしまうと、検査に不合格となった装置の機番が欠番になってしまい、このような欠番があるとその後の製品管理に不都合があるためにである。
As is apparent from the above description, the ordinary public key certificate can be stored in the
Even when the
従って、この要求を満たしつつ、機番情報を装置の識別情報として付された公開鍵証明書を装置の製造工程で記憶させるとすると、必然的に組み立てが全て完了した状態で行うことになる。そして、このような状態においては、レスキュー証明書セットの場合のように特殊なインタフェース(専用の冶具)を用いて証明書を記憶させるよりも、下位装置20が備え、かつ通常使用するインタフェースを介して記憶させる方が好ましい。デザインや機能上の制約から、特殊なインタフェースの接続口は、作業しやすい位置や構成では設けにくいためである。
Therefore, if the public key certificate attached with the machine number information as the device identification information is stored in the device manufacturing process while satisfying this requirement, the assembly is inevitably performed in a state where all the assembly is completed. In such a state, rather than storing the certificate using a special interface (dedicated jig) as in the case of the rescue certificate set, the lower-
ここで説明した下位装置20は、ネットワークを介して通常証明書セットを書き込むことが可能であるので、装置の組み立て完了後であっても、装置に備えているネットワークケーブルの接続I/Fを介して証明書書き込み装置160と接続し、通常証明書セットの書き込み作業を行うことができる。従って、効率のよい作業を行うことができるし、作業中に装置を破損等してしまう危険も極めて少ない。また、この書き込み工程において通信を暗号化できるので、通常証明書セットを安全に記憶させることができる。
Since the
なお、通常公開鍵証明書とレスキュー公開鍵証明書とでは用途も機能も異なるため、図15に示したように、これらの証明書は別々のCAが発行するようにすることが好ましい。
また、ここではレスキュー公開鍵証明書は同じ階位の装置全てに同じものを記憶させるため、レスキュールート私有鍵が漏洩するとセキュリティの維持が著しく困難になるので、秘密保持を特に厳重に行う必要がある。一方で、各装置について個別に異なる証明書を作成して記憶させる必要はない。そこで、安全性を重視し、外部からアクセス不能なCAを用いるとよい。プライベートCAであれば、このような条件を満たすCAを用意することは容易である。
Note that since the use and function are different between the normal public key certificate and the rescue public key certificate, it is preferable that these certificates be issued by different CAs as shown in FIG.
Also, since the same rescue public key certificate is stored in all devices at the same level here, it is extremely difficult to maintain security if the rescue root private key is leaked, so it is necessary to maintain confidentiality especially strictly. is there. On the other hand, it is not necessary to create and store different certificates for each device individually. Therefore, it is preferable to use a CA that places importance on safety and is inaccessible from the outside. If it is a private CA, it is easy to prepare a CA that satisfies such conditions.
一方、通常公開鍵証明書は必要に応じて更新できるため、通常ルート私有鍵が漏洩したとしても、これを更新すればセキュリティを保つことができる。そして、装置毎に個別に証明書を作成して記憶させる必要があることから、インターネット等のオープンネットワークに接続したCAを用いるとよい。
なお、CAをさらに細分化し、下位装置用の証明書を発行するCA,上位装置用の証明書を発行するCA等、証明書を発行する対象の装置の階位に応じてCAを分けるようにしてもよい。
また、通常証明書セットとレスキュー証明書セットとで全く形式の異なるデジタル証明書を使用することも可能である。
On the other hand, since the normal public key certificate can be updated as necessary, even if the normal root private key is leaked, the security can be maintained by updating it. And since it is necessary to create and memorize | store a certificate separately for every apparatus, it is good to use CA connected to open networks, such as the internet.
The CA is further subdivided so that the CA is divided according to the rank of the device to which the certificate is issued, such as the CA that issues the certificate for the lower device and the CA that issues the certificate for the higher device. May be.
It is also possible to use digital certificates of completely different formats for the normal certificate set and the rescue certificate set.
次に、上述した製品組み立て工程において通常証明書セットを下位装置20に設定するために使用する設備について説明する。図17はその概略構成を示すブロック図である。
この図に示すように、製品組み立て工程を行う生産工場Eには、通常証明書セットを設定するための設備として、生産管理システム140,通信端末150,証明書書き込み装置160が設置されている。
そして、生産管理システム140は、上位装置10や下位装置20等の装置の日々の生産台数を管理する。
Next, equipment used for setting the normal certificate set in the
As shown in this figure, a
The
通信端末150は、証明書データベース(DB)154a,入力装置156,表示装置157を備えている。そして、生産管理システム140からその日の機種別の生産台数及び付与予定の機番の情報(ここでは機種コードとシリアル番号とを含めた情報)を取得する。また、その情報に基づいて、その機番の装置が使用する予定の通常公開鍵証明書を発行するCAである証明書管理装置50に生産予定の装置に記憶させるべき通常証明書セットを発行させ、これを入手して証明書DB154aに記憶させる。なお、機番毎に通常公開鍵証明書を発行するCAが異なることも考えられるし、CAを特定できない、工場からは適切なCAと通信できない等の理由により工場では通常証明書セットの設定を行わないという情報を記憶させておくことも考えられる。
証明書書き込み装置160は、機番情報入力装置161を備えており、装置の生産時にその機番情報入力装置161から生産中の装置の機番の入力を受け付ける。そして、これが入力された場合に、その機番に対応する証明書を通信端末150から入手し、それを対応する装置へ送信してその装置の不揮発性メモリに設けた通常証明書セット記憶領域に設定させる。下位装置20を生産する場合には、部品Aに設けた記憶領域に設定させることになる。
The
The
次に、図18に生産工場Eにおける通信端末150および証明書書き込み装置160の周辺の状況の概略を示す。
生産工場Eにおいては、通信端末150は、セキュリティ面を考慮して管理者室Fに設置している。そして、その管理者室Fは、特定の管理者しか入れないように、ドアGに鍵をかけるようにしており、通信端末150は、特定のIDとパスワードが入力された場合にのみ操作できるようにしている。
またこの例では、生産工場Eには上位装置10の生産用ライン1001と下位装置20の生産用ライン1002とを設けている。そして、その各生産用ライン毎に証明書書き込み装置160(160a,160b)を設置している。
Next, FIG. 18 shows an outline of the situation around the
In the production factory E, the
Further, in this example, the production factory E is provided with a
そして、各証明書書き込み装置160にはそれぞれ、機番情報入力装置161(161a,161b)と接続するための機番情報入力用I/F162(162a,162b)、および生産する装置(上位装置10及び下位装置20)と接続するための書き込み用I/F165(165a,165b)がそれぞれ接続されている。
このような生産ラインにおいては、例えば下位装置20を生産する場合、機能検査に合格した装置に識別番号を付与する際に、定格銘板を貼付する。この定格銘板の例を図19に示すが、定格銘板には、定格電圧,消費電力等の情報と共に、装置の機番を記載している。そしてさらに、この機番の情報を示すバーコードBCも記載している。
Each
In such a production line, for example, when producing the low-
そして、通常証明書セットの設定工程においては、まず書き込み用I/F165としてクロスケーブルを用いて証明書書き込み装置160と設定対象の下位装置20を接続する。ここでクロスケーブルを用いるのは、生産される各装置は初期値として同じIPアドレスを有しており、証明書書き込み装置160とLAN接続すると、IPアドレスが重複してしまうためである。
続いて機番情報入力装置161としてバーコードリーダを用い、定格銘板上のバーコードBCを読み取って作業対象の装置の機番の情報を証明書書き込み装置160に入力する。すると、証明書書き込み装置160がその機番に対応する証明書を通信端末150から入手し、書き込み用I/F165を介して接続する下位装置20へ送信してその装置の部品Aに設けた通常証明書セット記憶領域に設定させる。なお、証明書DB154aに証明書を設定しない旨の情報が記憶されていた場合には、通常証明書セットの設定は行わない。
以上の作業及び処理により、生産する各下位装置20に、その機番情報を装置の識別情報として付され、かつその機番の装置が使用する予定の通常公開鍵証明書を簡単な作業で記憶させることができる。
In the normal certificate set setting step, first, the
Subsequently, a bar code reader is used as the machine number
Through the above operations and processing, each
なお、以上説明した実施形態では、上位装置10と下位装置20を始めとする各装置間で、図21あるいは図23を用いて説明したようなSSLに従った認証を行う場合の例について説明した。しかし、この認証が必ずしもこのようなものでなくてもこの実施形態は効果を発揮する。
SSLを改良したTLS(Transport Layer Security)も知られているが、このプロトコルに基づく認証処理を行う場合にも当然適用可能である。
In the embodiment described above, an example in which authentication according to SSL as described with reference to FIG. 21 or FIG. 23 is performed between each device including the
TLS (Transport Layer Security) improved from SSL is also known, but it is naturally applicable to the case where authentication processing based on this protocol is performed.
また、上述した実施形態では、パブリック認証局が発行した通常公開鍵証明書と、プライベート認証局が発行したレスキュー公開鍵証明書とを用いる例について説明したが、前者はセキュリティ強度が高い証明書、後者はセキュリティ強度が比較的低い証明書と捉えることもできる。
一般に、セキュリティ強度が高い証明書には、多くの情報を記載する必要があったり、輸出制限があったり特殊な認証処理プログラムが必要であったりして利用可能な環境が限られていたりするため、全ての装置に同じように記憶させて認証処理に用いることが難しい場合がある。一方で、セキュリティ強度が低い証明書であれば、このような制限が少なく、全ての装置に同じように記憶させて認証処理に用いることが比較的容易であると考えられる。
In the above-described embodiment, the example using the normal public key certificate issued by the public certificate authority and the rescue public key certificate issued by the private certificate authority has been described. The former is a certificate with high security strength, The latter can be regarded as a certificate with relatively low security strength.
Generally, a certificate with high security strength needs to contain a lot of information, and there are restrictions on exports or special authentication processing programs, so the usable environment is limited. In some cases, it is difficult to store all devices in the same way and use them for authentication processing. On the other hand, if the certificate has a low security strength, there are few such restrictions, and it is considered that it is relatively easy to store the same in all devices and use it for the authentication process.
そこで、セキュリティ強度が低い証明書を記憶させた装置を製造・販売した上で、利用環境に合わせてセキュリティ強度が高い証明書を事後的に記憶させることができるようにしたいという要求がある。例えば、システムの運用者によって種々に認証処理の内容を工夫したり信頼性の高いCAを選択したりしてセキュリティの向上を図る場合も考えられるが、このような場合、ある装置を1つのシステムから他のシステムに移動(単に設定を変更するのみの場合も含む)させる場合、通常の認証処理に使用する証明書を入れ換える必要があることが考えられる。また、セキュリティの高い証明書に後で欠陥が発見され、認証処理の方式を変更する必要が生じることも考えられる。 Therefore, there is a demand for manufacturing and selling a device that stores a certificate having a low security strength, and subsequently storing a certificate having a high security strength in accordance with the usage environment. For example, it may be possible to improve security by devising various authentication processing contents or selecting a highly reliable CA by the system operator. When moving from the system to another system (including the case of simply changing the setting), it may be necessary to replace the certificate used for normal authentication processing. In addition, it is possible that a defect is found in a high-security certificate later and it is necessary to change the authentication processing method.
このような場合に、上述した実施形態の構成を利用し、セキュリティ強度が高い証明書を記憶する記憶領域とセキュリティ強度が低い証明書を記憶する記憶領域とを、交換可能な最小単位の交換部品に設けることにより、セキュリティ強度が高い証明書を不正に取得されることを防止し、成りすまし等の危険を低減して通信の高い安全性を維持することができる。また、製造する部品に種々の環境で共通に利用できるようなセキュリティの比較的低い証明書を記憶させておくようにすることにより、その部品を種々の環境で共通に利用することができるので、部品供給が容易になる。 In such a case, by using the configuration of the above-described embodiment, a storage unit that stores a certificate having a high security strength and a storage region that stores a certificate having a low security strength can be replaced with a minimum replacement unit. Accordingly, it is possible to prevent a certificate having a high security strength from being illegally obtained, to reduce the risk of impersonation and to maintain high communication safety. Also, by storing a relatively low security certificate that can be commonly used in various environments for the parts to be manufactured, the parts can be commonly used in various environments. Parts supply becomes easy.
また、上述した実施形態では、通常公開鍵証明書に装置の識別情報を記載する例について説明したが、パブリック認証局がこのようなサービスを提供していれば、通常公開鍵証明書にも装置の識別情報を含めず、同じ階位の装置には、全て同じ通常公開鍵証明書を記憶させるようにしてもよい。このようにしたとしても、通信相手との間で共通鍵を共有して共通鍵暗号を用いた安全な通信経路を設けた後で機番情報等を交換して通信相手を特定することが可能であることは、レスキュー公開鍵証明書の場合と同様である。そして、このようにしたとしても、パブリック認証局が発行するものであるから信頼性は高いと考えられる。また、レスキュー公開鍵証明書よりも有効期間が短ければ、その分だけレスキュー公開鍵証明書よりも安全性を高めることができる。
また、通常公開鍵証明書とレスキュー公開鍵証明書の有効期間についても、特に上述した関係に限定されることはない。さらに、認証局の種類についても、セキュリティ高低の1つの要素と捉え、有効期間、装置の識別情報の有無、証明書を用いた認証処理の暗号強度等により、通常公開鍵証明書とレスキュー公開鍵証明書の差を出すようにすることも考えられる。
In the above-described embodiment, the example in which the identification information of the device is described in the normal public key certificate has been described. However, if the public certificate authority provides such a service, the device is also included in the normal public key certificate. The same ordinary public key certificate may be stored in all devices of the same rank without including the identification information. Even if you do this, you can share a common key with a communication partner and provide a secure communication path using common key cryptography, and then identify the communication partner by exchanging machine number information etc. This is the same as in the case of the rescue public key certificate. Even in such a case, it is considered that the reliability is high because it is issued by a public certificate authority. Further, if the validity period is shorter than that of the rescue public key certificate, it is possible to increase the security compared to the rescue public key certificate.
Further, the validity period of the normal public key certificate and the rescue public key certificate is not particularly limited to the above-described relationship. Furthermore, the type of certificate authority is also regarded as one element of security level, and the normal public key certificate and rescue public key are determined according to the validity period, presence / absence of device identification information, encryption strength of authentication processing using the certificate, etc. It is also possible to make a difference between certificates.
また、上述した実施形態では、証明書管理装置50を上位装置10と別に設ける例について説明したが、これらが一体である構成を排除するものではない。この場合、証明書管理装置50の機能を実現するためのCPU,ROM,RAM等の部品を独立して設けてもよいが、上位装置10のCPU,ROM,RAM等を使用し、そのCPUに適当なソフトウェアを実行させることにより、証明書管理装置50として機能させるようにしてもよい。
このような場合において、証明書管理装置50と、これと一体になっている上位装置10との間の通信には、ハードウェアを証明書管理装置50として機能させるためのプロセスと、ハードウェアを上位装置10として機能させるためのプロセスとの間のプロセス間通信を含むものとする。
In the above-described embodiment, the example in which the
In such a case, for communication between the
また、上述した実施形態では、通信システムを上位装置10と下位装置20のみによって構成したが、他の装置を含めて構成するようにしてもよい。例えば、上位装置10と下位装置20との間の通信を仲介する仲介装置を設け、上位装置10と下位装置20とがこの仲介装置を介して要求や応答を授受するようにしてもよい。あるいは、上位装置10の更に上位の装置を設けてもよい。この場合には、上位装置10を「下位装置」、その更に上位の装置を「上位装置」と見れば、これらの装置についても上述した実施形態の場合と同様な取り扱いが可能である。
In the above-described embodiment, the communication system is configured by only the
また、従来から、通信機能を備えたプリンタ,ファクシミリ(FAX)装置,デジタル複写機,スキャナ装置,デジタル複合機等の画像処理装置を被管理装置とし、これらの被管理装置と通信可能な管理装置によってこれらの被管理装置を遠隔管理する遠隔管理システムが提案されている。
例えば、画像形成手段を備えた画像処理装置については、感光体静電プロセスを用いて普通紙に画像形成するものが一般的であるが、このような感光体静電プロセスを行う機構からは、トラブル(異常)が発生する割合も高く、更に性能維持のための定期的なオーバホールの必要性から、保守管理のサービス体制を採っている。
そして、この保守管理を充実させる目的で、画像形成装置を被管理装置とする遠隔管理システムとして、画像形成装置の内部又は外部に通信装置を設け、画像形成装置とサービスセンタ(管理センタ)に設置された管理装置とを公衆回線(電話回線)を介して接続し、画像形成装置の異常発生時にその旨を管理装置に通報するようにしたものが既に開発され運用されている。
Conventionally, an image processing apparatus such as a printer having a communication function, a facsimile (FAX) apparatus, a digital copying machine, a scanner apparatus, a digital multi-function apparatus or the like is a managed apparatus, and a management apparatus capable of communicating with these managed apparatuses. Has proposed a remote management system for remotely managing these managed devices.
For example, an image processing apparatus provided with an image forming unit generally forms an image on plain paper using a photoreceptor electrostatic process. From a mechanism that performs such a photoreceptor electrostatic process, The rate of occurrence of trouble (abnormality) is high, and a maintenance management service system is adopted because of the necessity of periodic overhaul to maintain performance.
For the purpose of enhancing this maintenance management, as a remote management system in which the image forming apparatus is a managed apparatus, a communication device is provided inside or outside the image forming apparatus and installed in the image forming apparatus and a service center (management center). A management apparatus that has been connected to the management apparatus via a public line (telephone line) and that notifies the management apparatus when an abnormality occurs in the image forming apparatus has already been developed and operated.
上述した実施形態は、このような遠隔管理システムにも適用可能であり、この場合、被管理装置を下位装置とし、被管理装置を管理する管理装置やユーザ環境内にあって複数の被管理装置の情報を取りまとめるような装置を上位装置とするとよい。
遠隔管理を行う場合には、被管理装置の近くに管理装置の操作者がいないことが多いため、被管理装置の特定は、通信によって行う必要がある。そして、通信によって特定された被管理装置が確かにその装置であることを保証する仕組みが必要になる。従って、上述の実施形態で説明したように通常公開鍵証明書を用いた認証を容易に運用できるようにすることによる効果は大きい。
The above-described embodiment can also be applied to such a remote management system. In this case, the managed device is a lower-level device, and the managed device manages the managed device or a plurality of managed devices in the user environment. A device that collects the above information may be a higher-level device.
When performing remote management, since there is often no operator of the management apparatus near the managed apparatus, it is necessary to specify the managed apparatus by communication. Then, a mechanism for guaranteeing that the managed device specified by communication is surely the device is required. Therefore, as described in the above-described embodiment, the effect of enabling easy operation using the normal public key certificate is great.
なお、遠隔管理の対象としては、画像処理装置に限られず、ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,自動車,航空機あるいは汎用コンピュータ等の種々の電子装置に通信機能を持たせた通信装置を被管理装置とすることが考えられる。ただし、下位装置20が遠隔管理システムにおける被管理装置に限られるものでないことも、もちろんである。
Remote management targets are not limited to image processing devices, such as network home appliances, vending machines, medical equipment, power supply devices, air conditioning systems, gas / water / electricity measuring systems, automobiles, aircraft, general-purpose computers, etc. A communication device in which various electronic devices have a communication function can be considered as a managed device. However, it goes without saying that the
以上説明してきたように、この発明の通信装置、通信システム、証明書更新方法を用いれば、通信手段によって通信相手と通信可能な通信装置あるいはこのような通信装置を備える通信システムにおいて、セキュリティを維持しながら、認証に必要な証明書を記憶する部品を交換する必要が生じた場合でも、容易かつ速やかに正常な認証が行える状態に容易に回復させることができる。
従って、この発明を、このような通信装置あるいは通信システムに適用することにより、より安全性の高い装置あるいはシステムを提供することができる。
As described above, with the communication device, communication system, and certificate update method of the present invention, security is maintained in a communication device that can communicate with a communication partner by communication means or in a communication system including such a communication device. However, even when it is necessary to replace a part that stores a certificate necessary for authentication, it is possible to easily restore a state where normal authentication can be performed easily and quickly.
Therefore, by applying the present invention to such a communication apparatus or communication system, a more secure apparatus or system can be provided.
10…上位装置、11…CPU、12…ROM、13…RAM、14…HDD、
15…通信I/F、16…システムバス、20,20′…下位装置、
31,41…HTTPSクライアント機能部、32,42…HTTPSサーバ機能部、
33,43…認証処理部、34…証明書更新要求部、35,45…証明書記憶部、
44…要求管理部、46…状態通知部、47…ログ通知部、48…証明書設定部、
49…コマンド受信部、50…証明書管理装置、60,70…SOAPメッセージ、
140…生産管理システム、150…通信端末、154a…証明書DB、
156…入力装置、157…表示装置、160…証明書書き込み装置、
161…機番情報入力装置、162…機番情報入力用I/F、
165…書き込み用I/F、
BC…バーコード、E…生産工場、F…管理者室、G…ドア
DESCRIPTION OF
15 ... Communication I / F, 16 ... System bus, 20, 20 '... Subordinate device,
31, 41 ... HTTPS client function unit, 32, 42 ... HTTPS server function unit,
33, 43 ... authentication processing unit, 34 ... certificate update request unit, 35, 45 ... certificate storage unit,
44 ... request management unit, 46 ... status notification unit, 47 ... log notification unit, 48 ... certificate setting unit,
49 ... Command receiving unit, 50 ... Certificate management device, 60, 70 ... SOAP message,
140 ... Production management system, 150 ... Communication terminal, 154a ... Certificate DB,
156 ... Input device, 157 ... Display device, 160 ... Certificate writing device,
161 ... Machine number information input device, 162 ... I / F for machine number information input,
165 ... I / F for writing,
BC ... Barcode, E ... Production factory, F ... Administrator's room, G ... Door
Claims (10)
パブリック認証局によって発行されたデジタル証明書であるパブリック証明書とプライベート認証局によって発行されたデジタル証明書であるプライベート証明書とを記憶する記憶領域を、交換可能な最小単位の交換部品に設け、
前記通信手段を、通信を行う際に前記通信相手に認証を受けるために前記パブリック証明書を提供する手段を備え、該パブリック証明書によって前記通信相手に認証された場合に通信を行う手段としたことを特徴とする通信装置。 A communication device comprising a communication means and capable of communicating with a communication partner by the communication means,
A storage area for storing a public certificate, which is a digital certificate issued by a public certificate authority, and a private certificate, which is a digital certificate issued by a private certificate authority, is provided in a replaceable unit of a minimum replaceable unit,
The communication means includes means for providing the public certificate to authenticate the communication partner when performing communication, and performs communication when the public certificate authenticates the communication partner. A communication device.
前記通信手段に、通信を行う際に通信相手に認証を受けるために前記プライベート証明書を提供する手段も設け、
前記プライベート証明書によって通信相手に認証された場合に前記通信手段を介して該通信相手から前記パブリック証明書を取得して前記記憶領域に記憶させる証明書設定手段を設けたことを特徴とする通信装置。 The communication device according to claim 1,
The communication means also includes means for providing the private certificate in order to receive authentication from a communication partner when performing communication,
A communication is provided, comprising: certificate setting means for acquiring the public certificate from the communication partner via the communication means and storing the public certificate in the storage area when the communication certificate is authenticated by the private certificate. apparatus.
前記交換部品は、前記通信装置に装着される前には、前記プライベート証明書を記憶し、前記パブリック証明書を記憶していない部品であることを特徴とする通信装置。 The communication device according to claim 2,
The replacement device is a communication device that stores the private certificate and does not store the public certificate before being attached to the communication device.
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行うものであり、
前記デジタル証明書はその認証処理に使用する公開鍵証明書であることを特徴とする通信装置。 The communication device according to any one of claims 1 to 3,
The authentication is performed by an authentication process according to an SSL or TLS protocol,
The communication apparatus, wherein the digital certificate is a public key certificate used for the authentication process.
前記下位装置において、
パブリック認証局によって発行されたデジタル証明書であるパブリック証明書とプライベート認証局によって発行されたデジタル証明書であるプライベート証明書とを記憶する記憶領域を、交換可能な最小単位の交換部品に設け、
前記通信手段を、通信を行う際に前記通信相手に認証を受けるために前記プライベート証明書を提供する手段を備え、該パブリック証明書によって前記通信相手に認証された場合に通信を行う手段としたことを特徴とする通信システム。 A communication system comprising a higher-level device and a lower-level device that is a communication partner of the higher-level device,
In the subordinate device,
A storage area for storing a public certificate, which is a digital certificate issued by a public certificate authority, and a private certificate, which is a digital certificate issued by a private certificate authority, is provided in a replaceable unit of a minimum replaceable unit,
The communication means includes means for providing the private certificate to be authenticated to the communication partner when performing communication, and performs communication when the communication partner is authenticated by the public certificate. A communication system characterized by the above.
前記下位装置の通信手段に、通信を行う際に通信相手に認証を受けるために前記プライベート証明書を提供する手段も設け、
前記下位装置に、前記プライベート証明書によって通信相手に認証された場合に前記通信手段を介して該通信相手から前記パブリック証明書を取得して前記記憶領域に記憶させる証明書設定手段を設けたことを特徴とする通信システム。 The communication system according to claim 5, wherein
In the communication means of the lower-level device, means for providing the private certificate to authenticate the communication partner when performing communication is also provided,
The lower apparatus is provided with a certificate setting means for acquiring the public certificate from the communication partner via the communication means and storing it in the storage area when authenticated to the communication partner by the private certificate. A communication system characterized by the above.
前記交換部品は、前記下位装置に装着される前には、前記プライベート証明書を記憶し、前記パブリック証明書を記憶していない部品であることを特徴とする通信システム。 The communication system according to claim 6, wherein
The communication system according to claim 1, wherein the replacement part is a part that stores the private certificate and does not store the public certificate before being attached to the lower-level device.
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行うものであり、
前記デジタル証明書はその認証処理に使用する公開鍵証明書であることを特徴とする通信システム。 A communication system according to any one of claims 5 to 7,
The authentication is performed by an authentication process according to an SSL or TLS protocol,
The communication system, wherein the digital certificate is a public key certificate used for the authentication process.
前記パブリック証明書と、プライベート認証局によって発行されたデジタル証明書であるプライベート証明書とを記憶する記憶領域を備えた交換可能な最小単位の交換部品を、前記プライベート証明書を記憶させ、前記パブリック証明書を記憶させない状態で前記通信装置に装着し、
前記通信装置に、通信を行う際に通信相手に認証を受けるために前記プライベート証明書を提供させ、該プライベート証明書によって前記通信相手に認証された場合に前記通信手段を介して該通信相手から前記パブリック証明書を取得させて前記記憶領域に記憶させることを特徴とする証明書設定方法。 A certificate setting method for setting a public certificate, which is a digital certificate issued by a public certificate authority, in a communication device including a communication unit and capable of communicating with a communication partner by the communication unit;
The exchangeable component of the smallest unit that has a storage area for storing the public certificate and a private certificate that is a digital certificate issued by a private certificate authority, stores the private certificate, and stores the public certificate. Attach to the communication device without storing the certificate,
The communication device is provided with the private certificate for authentication to the communication partner when performing communication, and when the communication certificate is authenticated by the communication partner by the private certificate, from the communication partner via the communication means A certificate setting method, wherein the public certificate is acquired and stored in the storage area.
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行うものであり、
前記デジタル証明書はその認証処理に使用する公開鍵証明書であることを特徴とする証明書設定方法。
The certificate setting method according to claim 9,
The authentication is performed by an authentication process according to an SSL or TLS protocol,
The certificate setting method, wherein the digital certificate is a public key certificate used for the authentication process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004228595A JP4778210B2 (en) | 2003-09-12 | 2004-08-04 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM |
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003321762 | 2003-09-12 | ||
JP2003321762 | 2003-09-12 | ||
JP2003341329 | 2003-09-30 | ||
JP2003341329 | 2003-09-30 | ||
JP2004228595A JP4778210B2 (en) | 2003-09-12 | 2004-08-04 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005130456A true JP2005130456A (en) | 2005-05-19 |
JP4778210B2 JP4778210B2 (en) | 2011-09-21 |
Family
ID=34657707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004228595A Expired - Fee Related JP4778210B2 (en) | 2003-09-12 | 2004-08-04 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4778210B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007329731A (en) * | 2006-06-08 | 2007-12-20 | Hitachi Ltd | Method, system, and program for certificate update |
JP2012134710A (en) * | 2010-12-21 | 2012-07-12 | Panasonic Corp | Authentication system, authentication device and program |
US8966504B2 (en) | 2010-12-13 | 2015-02-24 | Fujitsu Limited | Information processing apparatus, electrical power control method, and computer product |
JPWO2017170203A1 (en) * | 2016-03-31 | 2018-10-11 | 日本電気株式会社 | Biometric data registration support apparatus, biometric data registration support system, biometric data registration support method, biometric data registration support program, and storage medium for storing biometric data registration support program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001237820A (en) * | 2000-02-25 | 2001-08-31 | Nec Corp | Certificate rewrite system for authentication |
US20030046544A1 (en) * | 2001-09-06 | 2003-03-06 | Roskind James Anthony | Digital certificate proxy |
JP2003067326A (en) * | 2001-08-27 | 2003-03-07 | Sony Corp | Resource distribution system on network and mutual authentication system |
JP2003124926A (en) * | 2001-10-15 | 2003-04-25 | Hitachi Ltd | Authentication processing method for encryption communication system and its system |
-
2004
- 2004-08-04 JP JP2004228595A patent/JP4778210B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001237820A (en) * | 2000-02-25 | 2001-08-31 | Nec Corp | Certificate rewrite system for authentication |
JP2003067326A (en) * | 2001-08-27 | 2003-03-07 | Sony Corp | Resource distribution system on network and mutual authentication system |
US20030046544A1 (en) * | 2001-09-06 | 2003-03-06 | Roskind James Anthony | Digital certificate proxy |
JP2003124926A (en) * | 2001-10-15 | 2003-04-25 | Hitachi Ltd | Authentication processing method for encryption communication system and its system |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007329731A (en) * | 2006-06-08 | 2007-12-20 | Hitachi Ltd | Method, system, and program for certificate update |
US8966504B2 (en) | 2010-12-13 | 2015-02-24 | Fujitsu Limited | Information processing apparatus, electrical power control method, and computer product |
JP2012134710A (en) * | 2010-12-21 | 2012-07-12 | Panasonic Corp | Authentication system, authentication device and program |
JPWO2017170203A1 (en) * | 2016-03-31 | 2018-10-11 | 日本電気株式会社 | Biometric data registration support apparatus, biometric data registration support system, biometric data registration support method, biometric data registration support program, and storage medium for storing biometric data registration support program |
US11030290B2 (en) | 2016-03-31 | 2021-06-08 | Nec Corporation | Biological data registration support device, biological data registration support system, biological data registration support method, biological data registration support program, recording medium for strong biological data registration support program |
US11663308B2 (en) | 2016-03-31 | 2023-05-30 | Nec Corporation | Biological data registration support device, biological data registration support system, biological data registration support method, biological data registration support program, recording medium for strong biological data registration support program |
US12067099B2 (en) | 2016-03-31 | 2024-08-20 | Nec Corporation | Biological data registration support device, biological data registration support system, biological data registration support method, biological data registration support program, recording medium for strong biological data registration support program |
Also Published As
Publication number | Publication date |
---|---|
JP4778210B2 (en) | 2011-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4712325B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4509678B2 (en) | Certificate setting method | |
JP4583833B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4611680B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4778210B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4671638B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4504130B2 (en) | Communication apparatus, communication system, certificate transmission method and program | |
JP4712330B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4611679B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4712326B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4611676B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4657642B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4611678B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP5348148B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4657643B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4657641B2 (en) | Certificate setting method and certificate setting device | |
JP2011072046A (en) | Certificate setting method | |
JP5418507B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP4509675B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD | |
JP4537797B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM | |
JP4542848B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM | |
JP4570919B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM | |
JP4611681B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070309 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100727 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100927 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20100927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110118 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110322 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110628 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110701 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4778210 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140708 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |