JP2005204283A - デジタル証明書転送方法、デジタル証明書転送装置、デジタル証明書転送システム、プログラム及び記録媒体 - Google Patents
デジタル証明書転送方法、デジタル証明書転送装置、デジタル証明書転送システム、プログラム及び記録媒体 Download PDFInfo
- Publication number
- JP2005204283A JP2005204283A JP2004336441A JP2004336441A JP2005204283A JP 2005204283 A JP2005204283 A JP 2005204283A JP 2004336441 A JP2004336441 A JP 2004336441A JP 2004336441 A JP2004336441 A JP 2004336441A JP 2005204283 A JP2005204283 A JP 2005204283A
- Authority
- JP
- Japan
- Prior art keywords
- digital certificate
- certificate
- communication
- transfer
- digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 110
- 238000004891 communication Methods 0.000 claims abstract description 374
- 238000012546 transfer Methods 0.000 claims description 184
- 230000004044 response Effects 0.000 claims description 38
- 238000012790 confirmation Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 95
- 238000012545 processing Methods 0.000 description 91
- 230000008569 process Effects 0.000 description 74
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 9
- 102100032566 Carbonic anhydrase-related protein 10 Human genes 0.000 description 5
- 101000867836 Homo sapiens Carbonic anhydrase-related protein 10 Proteins 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Abstract
【解決手段】 上位装置30から、第1CAが発行したデジタル証明書を記憶している下位装置40にデジタル証明書を転送する場合において、上位装置30と下位装置40とが通信する際に、第1CAが発行したデジタル証明書を用いて認証を行い(S302〜307)、SSLによる安全な通信経路を確保して、その通信経路で、上位装置30から下位装置40に第2CA20が発行したデジタル証明書と、下位装置40がそのデジタル証明書を用いてアクセスすべき通信先の識別情報とを転送するようにした(S312)。このとき、上位装置30から下位装置40に、受信したデジタル証明書及び通信先の識別情報を設定するよう要求するようにするとよい。
【選択図】 図16
Description
このようなSSLや公開鍵暗号を用いた認証に関連する技術としては、例えば特許文献1及び特許文献2に記載のものが挙げられる。
図19に示すように、SSLに従った相互認証を行う際には、まず双方の通信装置に、ルート鍵証明書及び、私有鍵と公開鍵証明書を記憶させておく必要がある。この私有鍵は、認証局(CA:certificate authority)が各装置に対して発行した私有鍵であり、公開鍵証明書は、その私有鍵と対応する公開鍵にCAがデジタル署名を付してデジタル証明書としたものである。また、ルート鍵証明書は、CAがデジタル署名に用いたルート私有鍵と対応するルート鍵に、デジタル署名を付してデジタル証明書としたものである。
図20(a)に示すように、公開鍵Aは、私有鍵Aを用いて暗号化された文書を復号化するための鍵本体と、その公開鍵の発行者(CA)や有効期間等の情報を含む書誌情報とによって構成される。そして、CAは、鍵本体や書誌情報が改竄されていないことを示すため、公開鍵Aをハッシュ処理して得たハッシュ値を、ルート私有鍵を用いて暗号化し、デジタル署名としてクライアント公開鍵に付す。またこの際に、デジタル署名に用いるルート私有鍵の識別情報を署名鍵情報として公開鍵Aの書誌情報に加える。そして、このデジタル署名を付した公開鍵証明書が、公開鍵証明書Aである。
一方通信装置BのCPUは、この接続要求を受信すると、所要の制御プログラムを実行することにより、図19の右側に示すフローチャートの処理を開始する。そして、ステップS21で第1の乱数を生成し、これを私有鍵Bを用いて暗号化する。そして、ステップS22でその暗号化した第1の乱数と公開鍵証明書Bとを通信装置Aに送信する。
そして確認ができると、ステップS13で、受信した公開鍵証明書Bに含まれる公開鍵Bを用いて第1の乱数を復号化する。ここで復号化が成功すれば、第1の乱数は確かに公開鍵証明書Bの発行対象から受信したものだと確認できる。そして、これが確認できた場合、通信装置Bに対して認証成功の旨を示す情報を送信する。
また、通信装置B側では、この情報を受信すると、ステップS23で通信装置Aに対し、認証のための公開鍵証明書の送信を要求する。
すると、通信装置A側ではこれに応じてステップS14で第2の乱数及び共通鍵の種を生成する。共通鍵の種は、例えばそれまでの通信でやり取りしたデータに基づいて作成することができる。そして、ステップS15で第2の乱数を私有鍵Aを用いて暗号化し、共通鍵の種を公開鍵Bを用いて暗号化し、ステップS16でこれらを公開鍵証明書Aと共にサーバ装置に送信する。共通鍵の種の暗号化は、通信相手以外の装置に共通鍵の種を知られないようにするために行うものである。
また、次のステップS17では、ステップS14で生成した共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
その後、ステップS26で私有鍵Bを用いて共通鍵の種を復号化する。ここまでの処理で、通信装置A側と通信装置B側に共通の共通鍵の種が共有されたことになる。そして、この共通鍵の種は、生成した通信装置Aと、私有鍵Bを持つ通信装置B以外の装置が知ることはない。ここまでの処理が成功すると、通信装置B側でもステップS27で復号化で得た共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
ただし、上述した処理において、第2の乱数を私有鍵Aで暗号化し、公開鍵証明書Aを通信装置Bに送信することは必須ではない。このようにすると、通信装置Bが通信装置Aを認証することはできないが、通信装置Aが通信装置Bを認証するだけでよい場合にはこの処理で十分である。そしてこの場合には、通信装置Aに記憶させるのはルート鍵証明書のみでよく、私有鍵A及び公開鍵証明書Aは不要である。また、通信装置Bにはルート鍵証明書を記憶させる必要はない。
また、公開鍵証明書内に多くの情報を記載するため、公開鍵証明書のフォーマットを変更したいという要求もあった。
新たに生産する装置にこのような新たな鍵長なアルゴリズムに対応した証明書や鍵及びアドレスを記憶させる場合には、例えば非特許文献1に記載のような技術を適用することが考えられる。
"RSA Keon(登録商標)Factory−CA ソリューション"、[online]、RSAセキュリティ株式会社、[平成15年11月26日検索]、インターネット<URL:http://www.rsasecurity.com/japan/products/keon/keon_factory-ca.html>
特に、上述した電子装置の遠隔管理システムのように、人が関与せずに自動的に動作させることを前提としたシステムにおいて上記のような認証を行おうとする場合、管理対象の装置においては、通信の要求先や、認証処理の際に使用するデジタル証明書や鍵は、当然のことながら、自動的に選択する必要がある。そして、新たな証明書の設定も、自動的に行えるようにすることが好ましい。
この発明は、このような問題を解決し、通信装置のデジタル証明書を更新し、新たなデジタル証明書を用いた通信に移行する動作を、容易かつ安全に行うことができるようにすることを目的とする。
さらに、上記第1のデジタル証明書と上記第2のデジタル証明書とで、その正当性の確認に使用する証明鍵が異なるようにするとよい。
さらに、上記証明書転送装置が、上記通信装置を上記第1のデジタル証明書を用いて認証した場合に、上記第2のデジタル証明書及び通信先の識別情報の転送を行うようにするとよい。
さらにまた、上記証明書転送装置が、上記第2のデジタル証明書及び通信先の識別情報の転送を行う場合に、転送先の通信装置に、それらの情報を設定するよう要求するようにするとよい。
さらに、上記第1のデジタル証明書と上記第2のデジタル証明書とで、その正当性の確認に使用する証明鍵が異なるようにするとよい。
さらに、上記通信装置を、その通信装置から受信したデジタル証明書を用いて認証する認証手段を設け、上記証明書転送手段を、上記認証手段が上記通信装置を上記第1のデジタル証明書を用いて認証した場合に、上記第2のデジタル証明書及び通信先の識別情報の転送を行う手段とするとよい。
さらにまた、上記証明書転送手段に、上記第2のデジタル証明書及び通信先の識別情報の転送を行う場合に、転送先の通信装置に、それらの情報を設定するよう要求する手段を設けるとよい。
さらに、上記第1のデジタル証明書と上記第2のデジタル証明書とで、その正当性の確認に使用する証明鍵が異なるようにするとよい。
さらに、上記通信装置に、上記デジタル証明書転送装置にデジタル証明書を送信して認証を要求する手段を設け、上記デジタル証明書転送装置において、上記通信相手を、その通信相手から受信したデジタル証明書を用いて認証する認証手段を設け、上記証明書転送手段を、上記認証手段が上記通信相手を上記第1のデジタル証明書を用いて認証した場合に、上記第2のデジタル証明書及び通信先の識別情報の転送を行う手段とするとよい。
さらにまた、上記デジタル証明書転送装置において、上記証明書転送手段に、上記第2のデジタル証明書及び通信先の識別情報の転送を行う場合に、転送先の通信装置に、それらの情報を設定するよう要求する手段を設け、上記通信装置に、その要求に応じて受信した第2のデジタル証明書及び通信先の識別情報を、通信に使用するデジタル証明書及び通信先として設定する手段を設けるとよい。
また、この発明の記録媒体は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
また、この発明のプログラムによれば、デジタル証明書転送装置を制御するコンピュータにデジタル証明書の転送に関する機能を実現させて上記の特徴を実現し、同様な効果を得ることができる。この発明の記録媒体によれば、上記のプログラムを記憶していないコンピュータにそのプログラムを読み出させて実行させ、上記の効果を得ることができる。
まず、この発明によるデジタル証明書転送方法に係る処理を実行するデジタル証明書転送装置と、そのデジタル証明書転送装置を用いて構成したこの発明のデジタル証明書転送システムの実施形態の構成について説明する。
この実施形態においては、デジタル証明書転送装置である上位装置30及びその通信相手となる通信装置である下位装置40によってデジタル証明書転送システムを構成している。また、上位装置30は、上位装置30及び下位装置40に対してデジタル証明書を発行する第1の認証局(第1CA)10とも通信可能な状態となっている。第2の認証局(第2CA)20については後述する。
どちらの場合も、通信を要求する側がクライアント、要求される側がサーバとして機能するものとする。
なお、図1において、下位装置40は1つしか示していないが、図17に示すように下位装置40を複数設けることも可能である。また、上位装置30は1つのデジタル証明書転送システムについて1つのみであるが、1つの第1CA10を複数の上位装置30と通信可能とし、複数のデジタル証明書転送システムと通信可能としても構わない。
この、RPCを実現するためには、SOAP(Simple Object Access Protocol),HTTP(Hyper Text Transfer Protocol),FTP(File Transfer Protocol),COM(Component Object Model),CORBA(Common Object Request Broker Architecture)等の既知のプロトコル(通信規格),技術,仕様などを利用することができる。
図2は、第1CA10のハードウェア構成を示すブロック図である。この図に示す通り、第1CA10は、CPU51,ROM52,RAM53,HDD54,通信インタフェース(I/F)55を備え、これらがシステムバス56によって接続されている。そして、CPU51がROM52やHDD54に記憶している各種制御プログラムを実行することによってこの第1CA10の動作を制御し、デジタル証明書の発行や管理等の機能を実現させている。
なお、第1CA10のハードウェアとしては、適宜公知のコンピュータを採用することができる。もちろん、必要に応じて他のハードウェアを付加してもよい。
なお、この通信には、有線,無線を問わず、ネットワークを構築可能な各種通信回線(通信経路)を採用することができる。第1CA10との間の通信についても同様にすることができる。ただし、第1CA10との間の通信については、セキュリティ面を考慮し、専用線によるネットワークにより行うようにするとよく、ここではそのようにしている。
まず、上位装置30には、HTTPS(Hypertext Transfer Protocol Security)クライアント機能部31,HTTPSサーバ機能部32,認証処理部33,証明書設定要求部34,証明書記憶部35,対CA通信機能部36を備えている。
一方、HTTPSサーバ機能部32は、HTTPSクライアントの機能を有する装置からのHTTPSプロトコルを用いた通信要求を受け付ける機能を有する。
そして、これらのHTTPSクライアント機能部31とHTTPSサーバ機能部32とで、通信相手に対して動作要求(コマンド)やデータを送信してそれに応じた動作を実行させる機能と、通信相手から要求やデータを受信してそれに応じた動作を装置の各部に実行させ、その結果を応答として要求元に返す機能とを実現している。この場合において、通信を要求した側が動作要求を送信することもあるし、通信要求を受け付けた側が動作要求を送信することもある。応答についても同様である。
証明書記憶部35は、各種の証明書や私有鍵等の認証情報を記憶し、認証処理部33における認証処理に供する機能を有する。
そして、これらの各部の機能は、上位装置30のCPUが所要の制御プログラムを実行して上位装置30の各部の動作を制御することにより実現される。
HTTPSクライアント機能部41は、上位装置30のHTTPSクライアント機能部31と同様に、HTTPSプロトコルを用いて上位装置30等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、動作要求やそれに対する応答を送受信する機能を有する。
認証処理部43の機能も、上位装置30の認証処理部33と同様であるが、認証処理に使用する証明書等は、証明書記憶部45に記憶しているものである。
要求管理部44は、上位装置から受信した要求について、その要求に基づいた動作の実行可否を判断する機能を有する。そして、実行を許可する場合に、その要求に基づいた動作を実行する機能部46〜49に対して動作要求を伝える機能も有する。
コール通知部46は、異常を検知したりユーザによる指示があったりした場合に上位装置30に対してその旨を通知するコールを行う機能を有する。このコールは、上位装置30からのポーリングによる問い合わせに対する応答として送信してもよいし、HTTPSクライアント機能部41から上位装置に通信を要求して送信してもよい。
証明書設定部48は、上位装置30から受信した証明書等を認証処理に使用するものとして証明書記憶部45に設定し、証明書等を更新する機能を有する。
そして、これらの各部の機能は、下位装置40のCPUが所要の制御プログラムを実行して下位装置40の各部の動作を制御することにより実現される。
この図に示すように、第1CA10は、通信機能部11,証明書更新部13,証明用鍵作成部14,証明書発行部15,証明書管理部16を備えている。
通信機能部11は、上位装置30と通信し、証明書セットの発行要求を受信したり、発行した証明書セットを送信したりといった動作を始め、受信した要求やデータに応じた動作を装置の各部に実行させ、要求元に応答を返す機能を有する。
なお、上位装置30との間の通信にSSLを用いる場合には、通信機能部11にHTTPSサーバ機能部やHTTPSクライアント機能部のような機能を持たせることも考えられる。この場合には、上位装置30や下位装置40の場合と同様な認証処理部を設け、適当な証明書を用いた認証処理を行うようにすることになる。
証明書発行部15は、上位装置30と下位装置40とに対してSSLプロトコルに従った認証処理に用いる公開鍵及びこれと対応する私有鍵を発行する機能を有する。そしてさらに、それぞれ発行した公開鍵に証明用鍵作成部14で作成したルート私有鍵を用いてデジタル署名を付して、デジタル証明書である公開鍵証明書を発行する証明書発行手段の機能を有する。また、ルート鍵にデジタル署名を付したルート鍵証明書の発行もこの証明書発行部15の機能である。
そして、これらの各部の機能は、第1CA10のCPUが所要の制御プログラムを実行して第1CA10の各部の動作を制御することにより実現される。
この図に示すように、上位装置30及び下位装置40は、認証情報として、自分に関する認証情報である公開鍵証明書及び私有鍵と、通信相手に関する認証情報であるルート鍵証明書とを記憶している。
そして、各装置は、通常の通信時はこれらの認証情報を用いてSSLに従った図19を用いて説明したような手順の認証処理を行う。
ここで、公開鍵証明書のフォーマットは、例えば図6に示したものを用いることができ、公開鍵そのものの他、証明書の発行者や証明書の有効期限、証明される対象(証明書の発行先の装置あるいは利用者)等の情報が記載されている。具体的には、例えばX.509と呼ばれるフォーマットに従って作成することができ、このフォーマットに従って作成された公開鍵証明書は、例えば図7に示すようなものになる。
なお、下位装置40を複数設けた場合でも、各装置の第1CA公開鍵に付すデジタル署名は同じルート私有鍵を用いて付し、正当性確認に必要な第1CAルート鍵証明書は共通にする。しかし、第1CA公開鍵証明書に含まれる第1CA公開鍵やこれと対応する私有鍵は、装置毎に異なる。
上位装置用第1CA公開鍵証明書と上位装置用第1CA私有鍵と上位装置認証用第1CAルート鍵証明書も同様な関係である。
なお、この手順は下位装置40がHTTPSクライアント機能部41によって上位装置30のHTTPSサーバ機能部32に対して通信を要求する場合の処理であり、上位装置30がHTTPSクライアント機能部31によって下位装置40のHTTPSサーバ機能部42に対して通信を要求する場合には、使用する証明書や鍵は同じであるが、上位装置30と下位装置40の処理が逆になる。
なお、第2CA20のハードウェア構成及び機能構成は、発行する証明書セットに含まれる証明書や鍵の形式が異なる点以外は、第1のCA10の場合と同様なものである。
従って、上記の手順の途中で、上位装置30に第1CA認証情報と第2CA認証情報とが共存する場合、これらを使い分けるための構成を取る必要が生じる。
上述した通り、サーバは基本的には通信を要求してくるクライアントに対して特定の公開鍵証明書しか返すことができない。しかし、通信要求に係るURLが異なる場合には、URL毎に異なる公開鍵証明書を返すことも可能である。
上位装置30と下位装置40との間の通信プロトコルにSSLを採用する場合、通信に使用するポートは443と決まっていることから、第1CA用URLと第2CA用URLとではIPアドレスを変更する必要がある。従って、上位装置30は、別々のIPアドレスを設定可能な複数の部分(別々の筐体でも同一の筐体でもよい)からなる装置として構成することになる。
なお、通信を要求する下位装置40の側では、どのURLに対して通信要求を送ったかがわかるので、相互認証を行う場合には、仮に第1CA公開鍵証明書と第2CA公開鍵証明書の両方を記憶していたとしても、通信要求を送ったURLに応じた適切な公開鍵証明書を選択して送信することができる。
そこで、この証明書転送システムにおいては、上位装置30は、図10に示すような、下位装置40に第2CA20が発行した証明書セットと、そこに含まれるデジタル証明書を用いてアクセスすべき通信先の識別情報である第2CA用URLとを転送するようにしている。
このとき、例えば、第2CA20が発行した証明書セットにIDを付し、第2CA用URLに、どのIDの証明書セットを用いて通信する際に使用するURLであるかを示す情報を付す等により、これらの2つの情報をひも付け、転送先において対応関係が認識できるようにしている。なお、これら2つの情報を一括して転送することは必須ではない。
また、上位装置30と下位装置40との間の通信を、ポート番号を指定可能なプロトコルで行う場合には、第1CA用URLと第2CA用URLとで、IPアドレスを共通にし、ポート番号のみを異ならせるようにすることもできる。このようにすれば、上位装置30に設定するIPアドレスは1つでよいので、装置を複数の部分から構成する必要がない。
なお、この処理のうち、ステップS101乃至S106及びS114の処理は、第2CA20とは関係なく行う処理である。そして、第2CA20を設け、第2CA用URLを用意して、さらに図5(b)に仮想線で示したように上位装置30に第2CA認証情報として第2CA20が発行した証明書セットを記憶させ、第2CA公開鍵証明書を用いた認証処理が可能になった場合に、ステップS107乃至S113の処理を追加して行うようにしている。
そして、まずステップS101で、通信要求の要求元の装置との間で第1CA公開鍵証明書と乱数及び共通鍵の種を送受信し、図19に示したようなSSLによる相互認証処理を行う。この処理には、受信した公開鍵証明書から、通信要求の要求元の識別情報を取得する処理も含まれる。
そして、ステップS104で、コマンド及び受信したコマンドに対する応答を、生成した共通鍵で暗号化して通信中の装置(ここでは下位装置40)に送信し、ステップS105で、コマンド及び送信したコマンドに対する応答を、同じ共通鍵で暗号化された状態で通信中の装置から受信する。そして、ステップS106でコマンド及び応答を全て送受信したか否か判断し、まだ残っていればステップS104に戻って処理を繰り返し、全て送受信していればステップS107に進む。
ここで、第2CA証明書利用フラグは、図12に示すように、上位装置30が、通信相手となり得る各下位装置40について、その識別情報(ここではID)と対応させて記憶しているフラグである。そして、ONである場合に、対応する識別情報を持つ装置に、第2CA20が発行した証明書セットを転送する必要があることを示すフラグである。また、このフラグの設定は、上位装置30のオペレータが手動で行ってもよいし、上位装置30において第2CA公開鍵証明書を用いた認証処理が可能になった場合等に、上位装置30自身が自動で行うようにしてもよい。
そして、ステップS107でこの第2CA証明書利用フラグがOFFであれば、証明書セットを送信する必要はないので、そのままステップS114に進んで通信を切断し、処理を終了する。
すると、第2CA20はそのIDの装置に対して証明書セットを発行して上位装置30に送信してくるので、ステップS109でその証明書セットを第2CA20から受信して取得する。
なお、このような送信は、証明書及びURLを、証明書設定コマンドの引数として送信することによって行ってもよい。また、これらの送信は、第1CA10が発行した証明書セットを用いて確保した、SSLによる安全な通信経路で行うものである。また、証明書及びURLを別々のタイミングで送信し、両方の送信が完了した時点で証明書設定コマンドを送信するようにすることも考えられる。
ステップS112で成功していなければ(所定時間以内に応答がなかった場合も成功していないものとする)、そのままステップS114に進んで通信を切断し、処理を終了する。この場合には、同じ下位装置から次に第1CA用URLに通信要求があった場合に、再度第2CA証明書セットの設定を試みることになる。
ここで、上位装置30から証明書設定コマンドを受信した場合に下位装置40が実行する処理を図13に示す。
一方、ステップS201で適当なもの(OK)であれば、ステップS202に進み、証明書設定コマンドによって設定を要求された証明書セットを、上位装置30との通信に使用する証明書セットとして設定する。次に、ステップS203で、証明書設定コマンドによって設定を要求されたURLを、上位装置30に通信を要求する際の、すなわち新たな証明書セットを用いて通信する際の通信要求先として設定する。
なお、図11に示した処理において、ステップS107乃至S113の証明書転送に係る処理を、ステップS104乃至S106のコマンド及び応答の送受信に係る処理よりも後で行うようにしているのは、証明書を設定させることになる場合でも、このステップS205での再起動によって通信が切断されないうちに、他のコマンド及び応答の送受信を済ませてしまうことができるようにするためである。
なお、ステップS202及びS203における設定は、証明書セットやURLを証明書記憶部45に記憶させることによって行う。
また、証明書設定コマンドによって設定を要求される証明書セットやURLを証明書設定コマンドと別に受信する場合には、受信した証明書セットやURLは適当な記憶領域に一時的に保存しておき、証明書コマンドを受信した時点で図13に示す処理を開始し、証明書セット及びURLの設定を行うようにすればよい。
そして、上記のようにデジタル証明書や鍵の変更の必要が生じる場合でも、1つの用途について2つの証明書や鍵を共存させるとすると、適当な証明書や通信先を選択するための処理を装置が行うようにしなければならず、処理負担の増加や、アプリケーション開発負担の増加につながる。従って、1つの用途(例えば遠隔管理システムにおいては「遠隔管理」という用途)については、使用する証明書や鍵及び通信先は常に1種類にしておきたいという要求があった。
そして、このような処理を行う場合に、一つの装置から場合によって異なる公開鍵証明書が送信されてくるとすると、上記の問い合わせをどのCAに対して行ったらよいかを、対象の装置がどの装置であるかということとは別に管理し、また判断しなければならなくなってしまう。逆に、一つの装置から送信されてくる公開鍵証明書が常に一種類であれば、ある装置(であると名乗る装置)から受信した公開鍵証明書の正当性は、その装置に送信してある公開鍵証明書を発行した特定のCAに問い合わせるようにすることができ、問い合わせの処理を簡略化することができる。
また、その他のシステムにおいて、人が証明書等の選択を行うことが可能な場合であっても、その選択の手間や選択を要求する処理をなくし、アプリケーション開発の負担を低減するという観点から、同様の要求があった。
そこで、下位装置40においては、このような要求を満たすため、上位装置30との通信に使用する証明書セットは、常に1種類としている。従って、新たな証明書セットやURLを設定する場合には、それまでの証明書セットやURLに上書きする形式で行うようにしている。
ここで、証明書セットを記憶させる記憶領域と、その証明書セットを認証に使用する際に通信を要求すべきURLを記憶させる記憶領域とは、証明書セットとURLとの対応関係が把握できるようにしてあれば、必ずしも隣接あるいは近接した領域でなくても構わない。
ただし、この場合、仮に第2CA20が発行した証明書セットだけ先に受信してしまったとすると、証明書セットだけ上書き更新してしまうことになる。そして、この場合には、通信先は元のままであるので、第1CA用URLでの認証処理を、第2CA20が発行した証明書セットによって要求してしまうことになる。
また、このような状況は、第2CA用URLだけ先に受信してしまった場合にも同様に発生する。
また、上記のように第2CA用証明書セットと第2CA用URLとを一括して転送するようにする場合には、図18に示すように1つの証明書パッケージに含める形で送信するようにすることが考えられる。
この例においては、まず下位装置40が、上位装置30と通信する際に、通信要求を送信すべきURLを確認し(S301)、HTTPSクライアント機能部41を対上位装置クライアントとして機能させて、確認した第1CA用URLに通信要求を送信する(S302)。この場合、上位装置30側ではHTTPSサーバ機能部32が通信要求を受け、認証処理部33にこの要求を伝える。また、上位装置30は第1CA公開鍵証明書を用いた認証を要求されたことになる。そして認証処理部33は、SSLプロトコルに従い、証明書記憶部35に記憶している上位装置用第1CA私有鍵で暗号化した第1の乱数と共に、同じく証明書記憶部35に記憶している上位装置用第1CA公開鍵証明書を下位装置40に返す(S303)。
以上により、上位装置30と下位装置40との間でSSLによる安全な通信経路での通信が確立され、その後、上位装置30と下位装置40は、コマンド及び応答の送受信を、交換した共通鍵の種を用いて生成した共通鍵によって通信を暗号化した状態で行う(S308)。
そして上位装置30は、この第2CA証明書セットを受信すると、この証明書セットを用いた通信を行う際の通信要求先である第2CA用URLの情報と対応付け、証明書セット更新コマンドと共に下位装置40に転送する(S312)。
そして、再起動が完了した後は、下位装置40が上位装置30と通信する際に通信要求を送信するURLとしては第2CA用URLが登録されているので、ここに通信を要求し、第2CAが発行した証明書セットに含まれる公開鍵証明書、私有鍵及びルート鍵証明書を用いて認証処理を行うことができるようになる(S314〜S319)。
そして、下位装置40が複数ある場合には、上位装置30が、各下位装置40から第1CA用URLに通信要求を受ける度に図11に示した処理を実行することにより、順次各下位装置40の証明書セット及び通信先情報を更新することができる。そして、最終的には、図17に示すように、全ての下位装置に第2CA20が発行した証明書セットが記憶され、通信先情報として第2CA用URLが記憶されるようにすることができる。
そして、このような状態になると、上位装置30側でも、第1CA公開鍵証明書を用いた認証を行う必要がなくなるので、第2CA20が発行した公開鍵証明書のみを残すようにすればよく、通信要求の受付を第2CA用URLに一本化して処理やソフトウェア構成を簡略化することができる。
また、上位装置30が、下位装置40を下位装置用第1CA公開鍵証明書を用いて認証した場合に、第2CA証明書セット及び第2CA用URLを転送するようにしているので、下位装置40が確かに転送しようとする第2CA証明書セットの発行先であることを確認してから転送を行うことができる。
また、以上説明した処理は、ルート鍵証明書(及びルート私有鍵)を変更する場合にも適用できる。上位装置30と下位装置40とのうち一方についてのみルート鍵を更新してしまうと、相手の公開鍵証明書の正当性が確認できなくなり、認証が失敗してしまう。しかし、上述のように、通信先を変更し、新たな証明書セットと、そこに含まれる公開鍵証明書を用いてアクセスすべき通信先の識別情報とを送信するようにすれば、認証が可能な状態を維持したまま安全に新たな証明書セットを配布することができる。
さらにまた、通信先情報としてURLを用いる例について説明したが、この情報は、下位装置40が上位装置30と通信する際の通信要求の送信先を示すことができる情報であれば、他の形式で記載された情報であっても構わない。例えば、IP(Internet Protocol)アドレス等が考えられる。
SSLを改良したTLS(Transport Layer Security)も知られているが、このプロトコルに基づく認証処理を行う場合にも当然適用可能である。
このような場合において、CAと、これと一体になっている上位装置30との間の通信には、ハードウェアをCAとして機能させるためのプロセスと、ハードウェアを上位装置30として機能させるためのプロセスとの間のプロセス間通信を含むものとする。
このようなプログラムは、初めからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
従って、この発明を、各ノードが通信に際してデジタル証明書を用いた認証処理を行うような通信システムを運用する際に利用することにより、システムの安全性を保ったままデジタル証明書のフォーマット変更や安全性向上等を容易に行えるようなシステムを、比較的安価かつ容易に構成することができる。
13:証明書更新部 14:証明用鍵作成部
15:証明書発行部 16:証明書管理部
20:第2CA
31,41:HTTPSクライアント機能部
32,42:HTTPSサーバ機能部
33,43:認証処理部 34:証明書設定要求部
35,45:証明書記憶部 36:対CA通信機能部
44:要求管理部 46:コール通知部
47:定期通知部 48:証明書設定部
49:コマンド受信部 51:CPU
52:ROM 53:RAM
54:HDD 55:通信I/F
56:システムバス
Claims (20)
- 証明書転送装置から、その通信相手となる通信装置であって第1のデジタル証明書を記憶している通信装置に、前記第1のデジタル証明書と異なる第2のデジタル証明書を転送するデジタル証明書転送方法であって、
前記証明書転送装置から前記通信装置に、前記第2のデジタル証明書と、その通信装置がその第2のデジタル証明書を用いてアクセスすべき通信先の識別情報とを、前記第1のデジタル証明書を用いて確保した安全な通信経路で転送することを特徴とするデジタル証明書転送方法。 - 請求項1記載のデジタル証明書転送方法であって、
前記証明書転送装置から前記通信装置に、前記第2のデジタル証明書と前記通信先の識別情報とを一括して転送することを特徴とするデジタル証明書転送方法。 - 請求項1又は2記載のデジタル証明書転送方法であって、
前記第1のデジタル証明書と前記第2のデジタル証明書とで、その正当性の確認に使用する証明鍵が異なることを特徴とするデジタル証明書転送方法。 - 請求項1乃至3のいずれか一項記載のデジタル証明書転送方法であって、
前記証明書転送装置が、前記通信装置を前記第1のデジタル証明書を用いて認証した場合に、前記第2のデジタル証明書及び通信先の識別情報の転送を行うようにしたことを特徴とするデジタル証明書転送方法。 - 請求項1乃至4のいずれか一項記載のデジタル証明書転送方法であって、
前記証明書転送装置が、前記第1のデジタル証明書を用いた通信を行うためのアドレスで前記通信装置からの通信要求を受信し、かつ前記第2のデジタル証明書の転送が必要であると設定されていた場合に、前記第2のデジタル証明書及び通信先の識別情報の転送を行うようにしたことを特徴とするデジタル証明書転送方法。 - 請求項1乃至5のいずれか一項記載のデジタル証明書転送方法であって、
前記証明書転送装置が、前記第2のデジタル証明書及び通信先の識別情報の転送を行う場合に、転送先の通信装置に、それらの情報を設定するよう要求するようにしたことを特徴とするデジタル証明書転送方法。 - 第1のデジタル証明書を記憶している通信装置にその第1のデジタル証明書と異なる第2のデジタル証明書を転送するデジタル証明書転送装置であって、
前記通信装置に対して、前記第2のデジタル証明書と、前記通信相手がその第2のデジタル証明書を用いてアクセスすべき通信先の識別情報とを、前記第1のデジタル証明書を用いて確保した安全な通信経路で転送する証明書転送手段を設けたことを特徴とするデジタル証明書転送装置。 - 請求項7記載のデジタル証明書転送装置であって、
前記証明書転送手段が、前記通信装置に対して、前記第2のデジタル証明書と前記通信先の識別情報とを一括して転送する手段を有することを特徴とするデジタル証明書転送装置。 - 請求項7又は8記載のデジタル証明書転送装置であって、
前記第1のデジタル証明書と前記第2のデジタル証明書とで、その正当性の確認に使用する証明鍵が異なることを特徴とするデジタル証明書転送装置。 - 請求項7乃至9のいずれか一項記載のデジタル証明書転送装置であって、
前記通信装置を、その通信装置から受信したデジタル証明書を用いて認証する認証手段を設け、
前記証明書転送手段を、前記認証手段が前記通信装置を前記第1のデジタル証明書を用いて認証した場合に、前記第2のデジタル証明書及び通信先の識別情報の転送を行う手段としたことを特徴とするデジタル証明書転送装置。 - 請求項7乃至10のいずれか一項記載のデジタル証明書転送装置であって、
前記証明書転送手段を、前記第1のデジタル証明書を用いた通信を行うためのアドレスで前記通信装置からの通信要求を受信し、かつ前記第2のデジタル証明書の転送が必要であると設定されていた場合に、前記第2のデジタル証明書及び通信先の識別情報の転送を行う手段としたことを特徴とするデジタル証明書転送装置。 - 請求項7乃至11のいずれか一項記載のデジタル証明書転送装置であって、
前記証明書転送手段に、前記第2のデジタル証明書及び通信先の識別情報の転送を行う場合に、転送先の通信装置に、それらの情報を設定するよう要求する手段を設けたことを特徴とするデジタル証明書転送装置。 - 予め第1のデジタル証明書を記憶させてある通信相手にデジタル証明書を転送するデジタル証明書転送装置と、そのデジタル証明書転送装置の通信相手となる通信装置とを備えるデジタル証明書転送システムであって、
前記デジタル証明書転送装置に、前記通信装置に対して、前記第1のデジタル証明書と異なる第2のデジタル証明書と、その通信装置がその第2のデジタル証明書を用いてアクセスすべき通信先の識別情報とを、前記第1のデジタル証明書を用いて確保した安全な通信経路で転送する証明書転送手段を設け、
前記通信装置に、前記証明書転送手段から前記第2のデジタル証明書と前記通信先の識別情報とを受信して記憶する手段を設けたことを特徴とするデジタル証明書転送システム。 - 請求項13記載のデジタル証明書転送システムであって、
前記デジタル証明書転送装置の証明書転送手段が、前記通信装置に対して、前記第2のデジタル証明書と前記通信先の識別情報とを一括して転送する手段を有することを特徴とするデジタル証明書転送システム。 - 請求項13又は14記載のデジタル証明書転送システムであって、
前記第1のデジタル証明書と前記第2のデジタル証明書とで、その正当性の確認に使用する証明鍵が異なることを特徴とするデジタル証明書転送システム。 - 請求項13乃至15のいずれか一項記載のデジタル証明書転送システムであって、
前記通信装置に、前記デジタル証明書転送装置にデジタル証明書を送信して認証を要求する手段を設け、
前記デジタル証明書転送装置において、
前記通信相手を、その通信相手から受信したデジタル証明書を用いて認証する認証手段を設け、
前記証明書転送手段を、前記認証手段が前記通信相手を前記第1のデジタル証明書を用いて認証した場合に、前記第2のデジタル証明書及び通信先の識別情報の転送を行う手段としたことを特徴とするデジタル証明書転送システム。 - 請求項13乃至16のいずれか一項記載のデジタル証明書転送システムであって、
前記デジタル証明書転送装置において、前記証明書転送手段を、前記第1のデジタル証明書を用いた通信を行うためのアドレスで前記通信装置からの通信要求を受信し、かつ前記第2のデジタル証明書の転送が必要であると設定されていた場合に、前記第2のデジタル証明書及び通信先の識別情報の転送を行う手段としたことを特徴とするデジタル証明書転送システム。 - 請求項13乃至17のいずれか一項記載のデジタル証明書転送システムであって、
前記デジタル証明書転送装置において、前記証明書転送手段に、前記第2のデジタル証明書及び通信先の識別情報の転送を行う場合に、転送先の通信装置に、それらの情報を設定するよう要求する手段を設け、
前記通信装置に、その要求に応じて受信した第2のデジタル証明書及び通信先の識別情報を、通信に使用するデジタル証明書及び通信先として設定する手段を設けたことを特徴とするデジタル証明書転送システム。 - 通信装置にデジタル証明書を転送するデジタル証明書転送装置を制御するコンピュータに、
第1のデジタル証明書を記憶している通信装置にその第1のデジタル証明書と異なる第2のデジタル証明書を転送する機能を実現させるためのプログラムであって、
前記コンピュータを、前記通信装置に対して、前記第2のデジタル証明書と、前記装置がその第2のデジタル証明書を用いてアクセスすべき通信先の識別情報とを、前記第1のデジタル証明書を用いて確保した安全な通信経路で転送する証明書転送手段として機能させるためのプログラムを含むことを特徴とするプログラム。 - 請求項19記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004336441A JP4576210B2 (ja) | 2003-12-16 | 2004-11-19 | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 |
DE602004022764T DE602004022764D1 (de) | 2003-12-16 | 2004-12-14 | Verfahren, Vorrichtung und System zur Aktualisierung eines digitalen Zertifikats |
EP04257772A EP1545049B1 (en) | 2003-12-16 | 2004-12-14 | Digital Certificate Updating Method, and Apparatus and System therefor |
US11/011,045 US7546455B2 (en) | 2003-12-16 | 2004-12-15 | Digital certificate transferring method, digital certificate transferring apparatus, digital certificate transferring system, program and recording medium |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003418677 | 2003-12-16 | ||
JP2004336441A JP4576210B2 (ja) | 2003-12-16 | 2004-11-19 | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005204283A true JP2005204283A (ja) | 2005-07-28 |
JP4576210B2 JP4576210B2 (ja) | 2010-11-04 |
Family
ID=34525521
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004336441A Active JP4576210B2 (ja) | 2003-12-16 | 2004-11-19 | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 |
Country Status (4)
Country | Link |
---|---|
US (1) | US7546455B2 (ja) |
EP (1) | EP1545049B1 (ja) |
JP (1) | JP4576210B2 (ja) |
DE (1) | DE602004022764D1 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012521155A (ja) * | 2009-03-20 | 2012-09-10 | サンディスク テクノロジィース インコーポレイテッド | 証明書および鍵を含む製品を製造する方法 |
JP2017175227A (ja) * | 2016-03-18 | 2017-09-28 | 株式会社リコー | 証明書管理システム、証明書管理方法及びプログラム |
JP2019057793A (ja) * | 2017-09-20 | 2019-04-11 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
US10623191B2 (en) | 2016-03-18 | 2020-04-14 | Ricoh Company, Ltd. | Information processing apparatus, information processing system, information processing method, and recording medium |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7765398B2 (en) * | 2005-07-07 | 2010-07-27 | At&T Intellectual Property I, L.P. | Method of promulgating a transaction tool to a recipient |
US7870383B2 (en) * | 2006-02-09 | 2011-01-11 | International Business Machines Corporation | System, method and program to update certificates in a computer |
CN100448239C (zh) * | 2006-02-28 | 2008-12-31 | 西安西电捷通无线网络通信有限公司 | 鉴别服务实体的安全接入协议符合性测试的方法及其系统 |
US20070283161A1 (en) * | 2006-06-06 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for generating verifiable device user passwords |
JP5464794B2 (ja) * | 2006-07-24 | 2014-04-09 | コニカミノルタ株式会社 | ネットワーク管理方法およびネットワーク管理システム |
US8010784B2 (en) * | 2006-10-10 | 2011-08-30 | Adobe Systems Incorporated | Method and apparatus for achieving conformant public key infrastructures |
US8458455B2 (en) * | 2006-10-10 | 2013-06-04 | International Business Machines Corporation | Techniques for handling SSL certificate expiration and renewal |
US10255445B1 (en) * | 2006-11-03 | 2019-04-09 | Jeffrey E. Brinskelle | Identifying destinations of sensitive data |
US20080167888A1 (en) * | 2007-01-09 | 2008-07-10 | I4 Commerce Inc. | Method and system for identification verification between at least a pair of entities |
FR2912578B1 (fr) * | 2007-02-13 | 2009-05-22 | Airbus France Sas | Methode d'authentification d'un document electronique et methode de verification d'un document ainsi authentifie. |
US8908870B2 (en) | 2007-11-01 | 2014-12-09 | Infineon Technologies Ag | Method and system for transferring information to a device |
US8065517B2 (en) * | 2007-11-01 | 2011-11-22 | Infineon Technologies Ag | Method and system for transferring information to a device |
US8627079B2 (en) | 2007-11-01 | 2014-01-07 | Infineon Technologies Ag | Method and system for controlling a device |
CN101521883B (zh) * | 2009-03-23 | 2011-01-19 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
US9032213B2 (en) * | 2013-07-25 | 2015-05-12 | Fujitsu Limited | Data distribution path verification |
US9893885B1 (en) | 2015-03-13 | 2018-02-13 | Amazon Technologies, Inc. | Updating cryptographic key pair |
US9674162B1 (en) | 2015-03-13 | 2017-06-06 | Amazon Technologies, Inc. | Updating encrypted cryptographic key pair |
US10003467B1 (en) * | 2015-03-30 | 2018-06-19 | Amazon Technologies, Inc. | Controlling digital certificate use |
US9479340B1 (en) | 2015-03-30 | 2016-10-25 | Amazon Technologies, Inc. | Controlling use of encryption keys |
US10205598B2 (en) * | 2015-05-03 | 2019-02-12 | Ronald Francis Sulpizio, JR. | Temporal key generation and PKI gateway |
JP6459805B2 (ja) * | 2015-07-03 | 2019-01-30 | 富士ゼロックス株式会社 | 情報処理システム、情報処理装置及びプログラム |
CN108964917B (zh) * | 2017-05-17 | 2021-05-07 | 北京安软天地科技有限公司 | 一种用户自助式数字证书远程安全管理方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1020779A (ja) * | 1996-07-08 | 1998-01-23 | Hitachi Inf Syst Ltd | 公開鍵暗号方式における鍵変更方法 |
JPH11317735A (ja) * | 1998-02-17 | 1999-11-16 | Seetharaman Ramasubramani | デ―タネットワ―クにおける2方向インタ―ラクティブコミュニケ―ションデバイスのための集中証明書管理システム |
JP2002064479A (ja) * | 2000-08-15 | 2002-02-28 | Fuji Xerox Co Ltd | ネットワーク装置及びホスト装置 |
JP2002118546A (ja) * | 2000-10-11 | 2002-04-19 | Fuji Xerox Co Ltd | 公開鍵取扱装置及び通信装置 |
JP2003503901A (ja) * | 1999-06-29 | 2003-01-28 | サムスン エレクトロニクス カンパニー リミテッド | インターネット環境の移動通信システムにおける使用者情報セキュリティ装置及びその方法 |
JP2003209542A (ja) * | 2002-01-10 | 2003-07-25 | Toshiba Corp | デジタル放送装置及びデジタル放送方法、デジタル放送受信装置及びデジタル放送受信方法、デジタル放送受信システム |
JP2003318873A (ja) * | 2002-04-22 | 2003-11-07 | Fuji Xerox Co Ltd | データ処理装置、データ処理方法およびデータ処理プログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4888801A (en) * | 1988-05-02 | 1989-12-19 | Motorola, Inc. | Hierarchical key management system |
FR2800539B1 (fr) * | 1999-10-27 | 2002-03-29 | Sagem | Procede de renouvellement, par une autorite de certification de cles de confidentialite detenues par un abonne |
US6816900B1 (en) * | 2000-01-04 | 2004-11-09 | Microsoft Corporation | Updating trusted root certificates on a client computer |
JP4070413B2 (ja) | 2001-02-22 | 2008-04-02 | 株式会社リコー | 電子取引装置、方法及び電子取引システム |
FR2823929B1 (fr) * | 2001-04-19 | 2003-07-25 | Magic Axess | Procede et dispositif d'authentification |
JP3724564B2 (ja) | 2001-05-30 | 2005-12-07 | 日本電気株式会社 | 認証システム及び認証方法並びに認証用プログラム |
JP2003304229A (ja) | 2002-04-09 | 2003-10-24 | Ricoh Co Ltd | 暗号化データ通信装置、管理装置、暗号化データ通信装置管理プログラム、管理装置管理プログラム |
-
2004
- 2004-11-19 JP JP2004336441A patent/JP4576210B2/ja active Active
- 2004-12-14 EP EP04257772A patent/EP1545049B1/en active Active
- 2004-12-14 DE DE602004022764T patent/DE602004022764D1/de active Active
- 2004-12-15 US US11/011,045 patent/US7546455B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1020779A (ja) * | 1996-07-08 | 1998-01-23 | Hitachi Inf Syst Ltd | 公開鍵暗号方式における鍵変更方法 |
JPH11317735A (ja) * | 1998-02-17 | 1999-11-16 | Seetharaman Ramasubramani | デ―タネットワ―クにおける2方向インタ―ラクティブコミュニケ―ションデバイスのための集中証明書管理システム |
JP2003503901A (ja) * | 1999-06-29 | 2003-01-28 | サムスン エレクトロニクス カンパニー リミテッド | インターネット環境の移動通信システムにおける使用者情報セキュリティ装置及びその方法 |
JP2002064479A (ja) * | 2000-08-15 | 2002-02-28 | Fuji Xerox Co Ltd | ネットワーク装置及びホスト装置 |
JP2002118546A (ja) * | 2000-10-11 | 2002-04-19 | Fuji Xerox Co Ltd | 公開鍵取扱装置及び通信装置 |
JP2003209542A (ja) * | 2002-01-10 | 2003-07-25 | Toshiba Corp | デジタル放送装置及びデジタル放送方法、デジタル放送受信装置及びデジタル放送受信方法、デジタル放送受信システム |
JP2003318873A (ja) * | 2002-04-22 | 2003-11-07 | Fuji Xerox Co Ltd | データ処理装置、データ処理方法およびデータ処理プログラム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012521155A (ja) * | 2009-03-20 | 2012-09-10 | サンディスク テクノロジィース インコーポレイテッド | 証明書および鍵を含む製品を製造する方法 |
JP2017175227A (ja) * | 2016-03-18 | 2017-09-28 | 株式会社リコー | 証明書管理システム、証明書管理方法及びプログラム |
US10623191B2 (en) | 2016-03-18 | 2020-04-14 | Ricoh Company, Ltd. | Information processing apparatus, information processing system, information processing method, and recording medium |
JP2019057793A (ja) * | 2017-09-20 | 2019-04-11 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20050160476A1 (en) | 2005-07-21 |
EP1545049B1 (en) | 2009-08-26 |
DE602004022764D1 (de) | 2009-10-08 |
JP4576210B2 (ja) | 2010-11-04 |
US7546455B2 (en) | 2009-06-09 |
EP1545049A3 (en) | 2006-04-12 |
EP1545049A2 (en) | 2005-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4576210B2 (ja) | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 | |
JP4607567B2 (ja) | 証明書転送方法、証明書転送装置、証明書転送システム、プログラム及び記録媒体 | |
JP4555175B2 (ja) | 審査装置、通信システム、審査方法、プログラム及び記録媒体 | |
JP4758095B2 (ja) | 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体 | |
JP4712325B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP4522771B2 (ja) | 通信装置、通信システム、通信装置の制御方法及びプログラム | |
JP4509678B2 (ja) | 証明書設定方法 | |
JP4611680B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP4504130B2 (ja) | 通信装置、通信システム、証明書送信方法及びプログラム | |
JP4611679B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP4611676B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP4657642B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP4611678B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP5434956B2 (ja) | 証明書無効化装置、証明書無効化システム、プログラム及び記録媒体 | |
JP4657643B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP4671638B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP4509675B2 (ja) | 通信装置、通信システム及び通信方法 | |
JP4537797B2 (ja) | 通信装置、通信システム、通信装置の制御方法及びプログラム | |
JP4542848B2 (ja) | 通信装置、通信システム、通信装置の制御方法及びプログラム | |
JP4494827B2 (ja) | デジタル証明書管理システム、デジタル証明書管理装置、デジタル証明書管理方法およびプログラム | |
JP4570919B2 (ja) | 通信装置、通信システム、通信装置の制御方法及びプログラム | |
JP4611681B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP5418507B2 (ja) | 通信装置、通信システム、通信方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070216 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100601 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100802 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20100802 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100817 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100823 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4576210 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |