JP2014183413A - 情報処理装置、情報処理方法、及び、プログラム - Google Patents

情報処理装置、情報処理方法、及び、プログラム Download PDF

Info

Publication number
JP2014183413A
JP2014183413A JP2013055726A JP2013055726A JP2014183413A JP 2014183413 A JP2014183413 A JP 2014183413A JP 2013055726 A JP2013055726 A JP 2013055726A JP 2013055726 A JP2013055726 A JP 2013055726A JP 2014183413 A JP2014183413 A JP 2014183413A
Authority
JP
Japan
Prior art keywords
certificate
information processing
server
communication
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013055726A
Other languages
English (en)
Inventor
Toshinari Agata
俊成 縣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP2013055726A priority Critical patent/JP2014183413A/ja
Publication of JP2014183413A publication Critical patent/JP2014183413A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】より少ない手順で通信端末が複数のサーバと暗号化通信を開始する。
【解決手段】通信端末30との間で暗号化通信を行う情報処理装置1は、証明書生成装置20が生成したサーバ証明書であって、証明書生成装置20のルート証明書を用いて検証される情報処理装置1のサーバ証明書を、ネットワークを介して受信する第1通信部104と、証明書生成装置20が生成した証明書生成装置20のサーバ証明書をルート証明書を用いて検証することに成功した通信端末30からの暗号化通信の接続要求を、ネットワークを介して受信する第2通信部105と、第2通信部105が受信した接続要求に対して、第1通信部104が受信した情報処理装置1のサーバ証明書を通信端末30に送信するように、第2通信部105を制御する制御部とを備える。
【選択図】図2

Description

本発明は、情報処理装置、情報処理方法、及び、プログラムに関する。
従来、ネットワークを介した通信において、通信相手へのなりすまし、通信の盗聴又は通信の改ざんを防止するために、暗号化通信が行われている。暗号化通信は、例えば、SSL(Secure Sockets Layer )又はTLS(Transport Layer Security)プロトコルにより実現される。以降では、これらのプロトコルの代表としてSSLを用いて説明する。
通信端末が通信相手であるWebサーバ(以降、単にサーバとも記載する)との間でSSL通信をするには、まず、通信端末が通信相手であるサーバを認証することで、なりすましがないことを検証する。具体的には、通信端末は、サーバに対して認証局が発行したサーバ証明書をサーバから取得し、当該認証局が発行したルート証明書を用いて当該サーバ証明書の検証を行うことで当該サーバを認証する。ここで、通信端末が、認証局が発行したルート証明書を保有していない場合には、通信端末は、何らかの方法でルート証明書を取得することが必要である。
オフィス環境などにおいて、通信端末がデジタル複合機との間でSSL通信を行う場合にも、通信端末は、上記と同様にデジタル複合機のサーバ証明書を発行した認証局のルート証明書を保有することが必要である。このような場合に、デジタル複合機が認証局の機能を有し、認証局としてのデジタル複合機が、サーバとしてのデジタル複合機のサーバ証明書を発行することが行われる。
Webサーバとして動作するデジタル複合機の初回起動時にルート証明書及びサーバ証明書を生成して、通信端末が簡単にSSL通信を行うことができるデジタル複合機が開示されている(特許文献1参照)。
特開2009−200565号公報
従来技術によれば、ネットワークに存在する複数のサーバのそれぞれと暗号化通信をしようとする通信端末は、複数のサーバのそれぞれのルート証明書を保有しなければならない。ユーザは、ルート証明書を通信端末に保有させる(インストールする)作業を行う必要があり、手間がかかるという問題がある。
そこで、本発明は、より少ない手順で通信端末が複数のサーバと暗号化通信を開始することができる情報処理装置を提供する。
上記課題を解決するために、本発明の一態様に係る情報処理装置は、通信端末との間で暗号化通信を行う情報処理装置であって、ルート証明書、及び前記ルート証明書を用いて検証されるサーバ証明書を生成する証明書生成装置と通信を行う第1通信部と、前記通信端末と通信を行う第2通信部と、(i)前記証明書生成装置が生成したサーバ証明書であって、前記ルート証明書を用いて検証される前記情報処理装置のサーバ証明書を前記第1通信部が受信し、かつ、(ii)前記証明書生成装置が生成した前記証明書生成装置のサーバ証明書を前記ルート証明書を用いて検証することに成功した前記通信端末から暗号化通信の接続要求を前記第2通信部が受信した場合に、受信した前記情報処理装置のサーバ証明書を前記通信端末に送信するように、前記第2通信部を制御する制御部とを備える。
これによれば、通信端末が情報処理装置に接続要求を送信したときには、通信端末は、既に証明書生成装置のルート証明書を保有している。当該接続要求に対して情報処理装置は、当該情報処理装置のサーバ証明書を通信端末に送信する。通信端末は、保有しているルート証明書を用いて、当該情報処理装置のサーバ証明書を検証することができる。つまり、通信端末は、証明書生成装置のルート証明書と異なる認証局のルート証明書を新たに入手することなく、当該サーバ証明書を検証することができる。よって、通信端末は、より少ない手順で複数のサーバと暗号化通信を開始することができる。
また、前記制御部は、前記情報処理装置のサーバ証明書と、当該サーバ証明書に対応する秘密鍵との生成要求を前記証明書生成装置に送信するように、前記第1通信部を制御し、前記第1通信部は、前記生成要求に応じて前記証明書生成装置が生成した前記情報処理装置のサーバ証明書と、当該サーバ証明書に対応する秘密鍵とを、当該証明書生成装置から受信するとしてもよい。
これによれば、情報処理装置は、情報処理装置自身で秘密鍵を作成することなく、当該秘密鍵に対応するサーバ証明書を取得することができる。情報処理装置は、秘密鍵を作成する能力を有しない場合にも、秘密鍵と当該秘密鍵に対応するサーバ証明書とを保持することができる。
また、前記証明書生成装置は、複数存在し、前記情報処理装置は、さらに、複数の前記証明書生成装置のうちのいずれかを示す指定情報を取得する選択部を備え、前記制御部は、前記指定情報により示される前記証明書生成装置に前記生成要求を送信するように第1通信部を制御し、前記第1通信部は、前記指定情報により示される前記証明書生成装置が前記生成要求に応じて生成した前記情報処理装置のサーバ証明書と前記秘密鍵とを、当該証明書生成装置から受信するとしてもよい。
これによれば、ネットワーク上に複数の証明書生成装置がある場合に、複数の証明書生成装置のうちの指定された証明書生成装置が情報処理装置のサーバ証明書を生成する。ユーザからの指定を受け付け、当該指定に従って証明書生成装置を選択するようにすれば、ユーザが指定した証明書生成装置が情報処理装置のサーバ証明書を生成することができる。
また、前記第1通信部は、所定のファイルフォーマットのファイルを用いて前記証明書生成装置と通信を行うとしてもよい。
これによれば、証明書生成装置は、証明書生成装置が作成した秘密鍵を情報処理装置に送信する際に、悪意者が秘密鍵を取得することを防ぐことができる。
また、前記制御部は、秘密鍵を生成し、生成した前記秘密鍵と、前記ルート証明書とを用いて署名要求を生成し、生成した前記署名要求を前記証明書生成装置に送信するように前記第1通信部を制御し、前記第1通信部は、前記署名要求に基づいて生成された前記情報処理装置のサーバ証明書を前記証明書生成装置から受信するとしてもよい。
これによれば、情報処理装置が秘密鍵を生成し、通信端末が保有しているルート証明書を発行した証明書生成装置が、当該秘密鍵に対応するサーバ証明書を生成することができる。
また、前記情報処理装置は、さらに、前記第1通信部が受信した前記サーバ証明書を記憶している記憶部を備え、前記制御部は、前記記憶部が記憶している前記サーバ証明書を送信するように、前記第2通信部を制御するとしてもよい。
これによれば、情報処理装置は、情報処理装置のサーバ証明書を記憶しておくことができる。
また、本発明の一態様に係る情報処理方法は、通信端末との間で暗号化通信を行う情報処理装置であって、ルート証明書、及び前記ルート証明書を用いて検証されるサーバ証明書を生成する証明書生成装置と通信を行う第1通信部と、前記通信端末と通信を行う第2通信部とを備える情報処理装置における情報処理方法であって、前記証明書生成装置が生成したサーバ証明書であって、前記ルート証明書を用いて検証される前記情報処理装置のサーバ証明書を前記第1通信部が受信する受信ステップと、前記証明書生成装置が生成した前記証明書生成装置のサーバ証明書を前記ルート証明書を用いて検証することに成功した前記通信端末から暗号化通信の接続要求を前記第2通信部が受信した場合に、前記受信ステップで受信した前記情報処理装置のサーバ証明書を前記通信端末に送信するように、前記第2通信部を制御する制御ステップとを含む。
これにより、上記の情報処理装置と同様の効果を奏する。
また、本発明の一態様に係るプログラムは、上記に記載の情報処理方法をコンピュータに実行させるためのプログラムである。
これにより、上記の情報処理装置と同様の効果を奏する。
また、本発明の一態様に係る証明書生成装置は、ルート証明書を有する証明書生成装置であって、情報処理装置のサーバ証明書と、当該サーバ証明書に対応する秘密鍵との生成要求を、前記情報処理装置から受信する受信部と、前記受信部が受信した前記生成要求に応じて、公開鍵と当該公開鍵に対応する秘密鍵とを生成し、生成した公開鍵に対して前記ルート証明書に対応する認証情報を付加したサーバ証明書を生成する鍵生成部と、前記鍵生成部が生成した前記サーバ証明書と前記秘密鍵とを、前記情報処理装置へ送信する送信部とを備える。
これによれば、情報処理装置は、情報処理装置自身で秘密鍵を作成することなく、当該秘密鍵に対応するサーバ証明書を取得することができる。秘密鍵は、当該秘密鍵に対応する公開鍵とペアで作成されるが、これらを作成する処理は負荷が大きい。このように負荷が大きい処理を、情報処理装置で行う代わりに証明書生成装置で行うので、情報処理装置は、処理負荷を削減することができる。
なお、本発明は、装置として実現できるだけでなく、その装置を構成する処理手段をステップとする方法として実現したり、それらステップをコンピュータに実行させるプログラムとして実現したり、そのプログラムを記録したコンピュータ読み取り可能なCD−ROMなどの記録媒体として実現したり、そのプログラムを示す情報、データ又は信号として実現したりすることもできる。そして、それらプログラム、情報、データ及び信号は、インターネット等の通信ネットワークを介して配信してもよい。
本発明に係る情報処理装置は、通信端末が複数のサーバを認証する際の手間を軽減することができる。
図1は、実施の形態1に係る情報処理装置が接続されるネットワークの構成図である。 図2は、実施の形態1に係る情報処理装置の機能ブロック図である。 図3は、サーバ証明書の説明図である。 図4は、認証局におけるサーバ証明書の作成方法の説明図である。 図5は、サーバ証明書の検証方法の説明図である。 図6は、実施の形態1に係る情報処理装置のSSL通信開始までの処理を示すフローチャートである。 図7は、実施の形態1に係る情報処理装置等のSSL通信開始までの処理を示すシーケンス図である。 図8は、実施の形態2に係る情報処理装置が接続されるネットワークの構成図である。 図9は、実施の形態2に係る情報処理装置の機能ブロック図である。 図10は、実施の形態2に係る情報処理装置のSSL通信開始までの処理を示すフローチャートである。 図11は、実施の形態2に係る操作画面の例である。
なお、以下で説明する実施の形態は、いずれも本発明の好ましい一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、本発明の最上位概念を示す独立請求項に記載されていない構成要素については、より好ましい形態を構成する任意の構成要素として説明される。
なお、同一の構成要素には同一の符号を付し、説明を省略する場合がある。
(実施の形態1)
本実施の形態において、証明書生成装置のルート証明書を予め保有している通信端末がより少ない手順で複数のサーバのそれぞれとSSL通信を開始できる情報処理装置について説明する。
図1は、本実施の形態に係る情報処理装置1が接続されるネットワーク10の構成図である。
図1に示されるように、ネットワーク10には、情報処理装置1と、証明書生成装置20と、通信端末30とが接続されている。なお、ネットワーク10に接続される装置を、「通信装置」と表記することがある。つまり、情報処理装置1と、証明書生成装置20と、通信端末30とのそれぞれは、「通信装置」に該当する。
情報処理装置1は、Webサーバの機能を有し、他の通信装置から受けるHTTP(Hypertext Transfer Protocol)プロトコルによるアクセスを受信し、当該アクセスに対応するファイル等を当該通信装置に送信する。また、情報処理装置1は、SSLサーバの機能を有し、通信装置との間でSSLを用いた暗号化通信(SSL通信)を行う。なお、情報処理装置1は、画像処理サーバ、画像蓄積サーバ、画像印刷サーバ、又は、デジタル複合機などの一機能として実現されてもよい。また、情報処理装置1と通信装置との暗号化通信は、さまざまな用途がありうる。この用途は、例えば、通信装置による情報処理装置1内のファイルの閲覧、操作若しくは取得、又は、通信装置による情報処理装置1への指示若しくは制御などである。
証明書生成装置20は、認証局の機能を有し、Webサーバに対して、当該Webサーバのサーバ証明書を発行する。また、証明書生成装置20は、Webサーバの機能及びSSLサーバの機能を有する。さらに、証明書生成装置20は、サーバ証明書と秘密鍵とを生成する機能を有する。具体的には、他の通信装置から、当該通信装置のサーバ証明書と秘密鍵との生成要求を受けると、公開鍵と秘密鍵とのペアを作成し、作成した公開鍵に対するサーバ証明書を作成し、作成した秘密鍵とサーバ証明書とを当該通信装置に送信する。なお、証明書生成装置20は、認証局として、当該証明書生成装置20自身のサーバ証明書を発行することができる。なお、証明書生成装置20は、例えば、デジタル複合機の一機能として実現される。また、証明書生成装置20は、画像処理サーバ、画像蓄積サーバ、又は、画像印刷サーバなどの一機能として実現されてもよい。
なお、証明書生成装置20は、作成した秘密鍵とサーバ証明書とを通信装置に送信する際には、PKCS#12に従ったファイルフォーマット(所定のファイルフォーマット)のファイルを用いることができる。これにより、悪意者が秘密鍵を取得することを防ぐことができる。
通信端末30は、Webクライアントの機能を有し、Webサーバに対して、HTTPプロトコルによりアクセスし、アクセスに対する応答を当該Webサーバから受信する。また、通信端末30は、SSLクライアントの機能を有し、SSLサーバとの間でSSLを用いた暗号化通信(SSL通信)を行う。
図2は、本実施の形態に係る情報処理装置1の機能ブロック図である。
図2に示されるように、情報処理装置1は、証明書取得部101と、証明書保持部102と、SSL処理部103と、第1通信部104と、第2通信部105とを備える。なお、証明書取得部101と、証明書保持部102と、SSL処理部103とをまとめて制御部106と称することがある。
証明書取得部101は、証明書生成装置20から、情報処理装置1のサーバ証明書と秘密鍵とを取得する。具体的には、証明書取得部101は、証明書生成装置20に対して、サーバ証明書と秘密鍵との生成要求を送信する。そして、当該生成要求に対して証明書生成装置20が作成及び送信するサーバ証明書と秘密鍵とを受信することによって、取得する。
証明書保持部102は、証明書取得部101が取得したサーバ証明書と秘密鍵とを保持するメモリである。
SSL処理部103は、他の通信装置との間で行うSSL通信のための処理を行う。具体的には、通信端末30が、情報処理装置1にSSLによりアクセスした場合に、証明書保持部102に保持されているサーバ証明書と秘密鍵とを用いて、通信端末30との間でSSL通信を行う。ここで、当該サーバ証明書は、証明書生成装置20が認証局として発行したものである。よって、通信端末30がSSLによりアクセスをした時点で、通信端末30が証明書生成装置20のルート証明書を保有している場合には、通信端末は、保有している証明書生成装置20のルート証明書を用いて当該サーバ証明書を検証することができる。つまり、通信端末30は、証明書生成装置20のルート証明書と異なる認証局のルート証明書を新たに入手することなく、当該サーバ証明書を検証することができる。
第1通信部104は、証明書生成装置20との通信を行うための通信インタフェースである。
第2通信部105は、通信端末30との通信を行うための通信インタフェースである。
なお、第1通信部104が、第2通信部105の機能をさらに有してもよい。その場合、第2通信部105は不要である。つまり、第1通信部104と第2通信部105とが、1つの通信部で実現されてもよい。
図3、図4及び図5を参照して、サーバ証明書の作成方法及び検証方法と、サーバの認証方法について説明する。
図3は、サーバ証明書の説明図である。
図3に示されるように、サーバ証明書301は、認証局の識別名と、サーバの識別名と、サーバの公開鍵と、署名値とを含む。認証局の識別名は、サーバ証明書301を発行した認証局をネットワーク上で一意に識別するための識別名である。サーバの識別名は、このサーバ証明書で検証されるサーバをネットワーク上で一意に識別するための識別名である。サーバの公開鍵は、サーバ証明書301で検証されるサーバの公開鍵である。署名値は、サーバの公開鍵に対して認証局が付加した電子署名である。
図4は、認証局におけるサーバ証明書の作成方法の説明図である。
認証局は、認証を受けようとするサーバから、サーバの識別名と、サーバの公開鍵とを取得する。次に、認証局は、認証局の識別名と、取得したサーバの識別名及びサーバの公開鍵とを含む情報である電子文書402を所定のハッシュ関数で演算し(ステップS411)、その結果を認証局の秘密鍵で暗号化して署名値を生成する(ステップS412)。そして、認証局は、認証局の識別名と、サーバの識別名と、サーバの公開鍵と、署名値とを含むサーバ証明書401を作成する。
図5は、通信装置におけるサーバ証明書の検証方法の説明図である。
サーバとSSL通信をしようとする通信装置は、サーバから、図5に示されるサーバ証明書501を取得する。次に、サーバ証明書501に含まれる電子文書502を所定のハッシュ関数で演算(ステップS511)して得られる値と、サーバ証明書501に含まれる署名値を認証局の公開鍵で復号(ステップS512)して得られる値とを比較する(ステップS513)。比較の結果、上記の2つの値が一致する場合、当該サーバ証明書を提供したサーバが確かに当該サーバであり、かつ、当該サーバ証明書が改ざんされたものでないことが検証される(認証成功)(ステップS514)。一方、上記の2つの値が一致しなければ、当該サーバ証明書を提供したサーバが当該サーバでないか、又は、当該サーバ証明書が改ざんされたものであることが検証される(認証失敗)(ステップS515)。このようにして、通信装置は、サーバを認証する。
図6は、本実施の形態に係る情報処理装置1のSSL通信開始までの処理を示すフローチャートである。
まず、証明書取得部101は、証明書生成装置20が起動中であるか否かを判定する(ステップS601)。判定する方法については、限定しない。例えば、証明書取得部101が所定の通信パケットを証明書生成装置20に送信し、その応答として証明書生成装置20が送信する通信パケットを受信することによって、証明書生成装置20が起動中であると判定することができる。他の例としては、証明書生成装置20が起動中に所定の間隔で所定の通信パケットを送信するようにしておき、証明書取得部101が所定の通信パケットを受信することで、証明書生成装置20が起動中であると判定することができる。証明書取得部101が、証明書生成装置20が起動中であると判定した場合(ステップS601でYes)に、ステップS602の処理へ進む。一方、証明書取得部101が、証明書生成装置20が起動中でないと判定した場合(ステップS601でNo)には、処理を終了する。
次に、証明書取得部101は、サーバ証明書と秘密鍵との生成要求を、証明書生成装置20に送信する(ステップS602)。生成要求は、少なくとも、情報処理装置1の識別名をサーバの識別名として含む。
次に、証明書取得部101は、生成要求を受けて図4に示される作成方法で証明書生成装置20が作成したサーバ証明書と秘密鍵とを取得するまで待機する(ステップS603)。具体的には、証明書取得部101が、証明書生成装置20が作成したサーバ証明書と秘密鍵とを取得していない場合(ステップS603でNo)には、ステップS603の処理を繰り返し実行する。一方、証明書取得部101がサーバ証明書と秘密鍵とを取得した場合(ステップS603でYes)には、ステップS604の処理を実行する。
次に、証明書保持部102は、ステップS603で証明書取得部101が取得したサーバ証明書と秘密鍵とを保持する(ステップS604)。
次に、SSL処理部103は、通信端末30からのSSL通信の接続要求を受信する(ステップS605)。ここで、通信端末30は、既に証明書生成装置20のルート証明書を保有している状態である。
次に、SSL処理部103は、情報処理装置1のサーバ証明書を通信端末30に送信する(ステップS606)。具体的には、SSL処理部103は、証明書保持部102が保持しているサーバ証明書を、通信端末30に送信する。通信端末30は、受信したサーバ証明書を、予め保有している証明書生成装置20のルート証明書を用いて、図5に示される検証方法で検証することができる。通信端末30が情報処理装置1を認証した後、SSL処理部103は、通信端末30と通信可能な状態となる。
次に、SSL処理部103は、通信端末30との間でSSL通信を行う(ステップS607)。
図7は、本実施の形態に係る情報処理装置1等のSSL通信開始までの処理を示すシーケンス図である。図7において、図6のフローチャートのステップに対応する処理については、対応するステップの番号を記載する。また、証明書生成装置20のWebサーバ機能のことを「サーバA」と記載し、情報処理装置1のWebサーバ機能のことを「サーバB」と記載する。
図7に示されるように、通信端末30は、認証局のルート証明書のインストール、サーバAに対するSSL接続要求、及び、サーバAの認証を行い、サーバAとの暗号化通信を行う(シーケンス701)。ここまでは、従来の暗号化通信の処理で実現される。
次に、情報処理装置1は、通信端末30との暗号化通信のための処理を行う(シーケンス702)。具体的には、情報処理装置1は、サーバBのサーバ証明書と秘密鍵とを取得し(図6のステップS604)、通信端末30からのSSL接続要求を受信した(図6のステップS605)後、通信端末30へサーバBのサーバ証明書を送信する(図6のステップS606)。通信端末30は、サーバBのサーバ証明書を検証することでサーバBを認証し、認証が成功したら、情報処理装置1との暗号化通信を行う(図6のステップS607)。なお、シーケンス701において通信端末30がサーバAの認証を成功した後であれば、シーケンス702を開始することができる。
このように、通信端末30は、サーバAの認証を完了した時点で、有効な認証局のルート証明書を保有しているので、当該ルート証明書を用いてサーバBの認証を行うことができる。その際に、新たなルート証明書を入手する必要はない。
以上のように、本実施の形態にかかる情報処理装置によれば、通信端末が情報処理装置に接続要求を送信したときには、通信端末は、既に証明書生成装置のルート証明書を保有している。当該接続要求に対して情報処理装置は、当該情報処理装置のサーバ証明書を通信端末に送信する。通信端末は、保有しているルート証明書を用いて、当該情報処理装置のサーバ証明書を検証することができる。つまり、通信端末は、証明書生成装置のルート証明書と異なる認証局のルート証明書を新たに入手することなく、当該サーバ証明書を検証することができる。よって、通信端末は、より少ない手順で複数のサーバと暗号化通信を開始することができる。
また、情報処理装置は、情報処理装置自身で秘密鍵を作成することなく、当該秘密鍵に対応するサーバ証明書を取得することができる。情報処理装置は、秘密鍵を作成する能力を有しない場合にも、秘密鍵と当該秘密鍵に対応するサーバ証明書とを保持することができる。
また、証明書生成装置は、証明書生成装置が作成した秘密鍵を情報処理装置に送信する際に、悪意者が秘密鍵を取得することを防ぐことができる。
また、情報処理装置が秘密鍵を生成し、通信端末が保有しているルート証明書を発行した証明書生成装置が、当該秘密鍵に対応するサーバ証明書を生成することができる。
また、情報処理装置は、情報処理装置のサーバ証明書を記憶しておくことができる。
(実施の形態2)
本実施の形態において、複数の証明書生成装置がネットワーク上に存在する場合に、証明書を発行する証明書生成装置を選択することができる情報処理装置について説明する。なお、実施の形態1におけるものと同一の構成要素には同一の符号を付し、詳細な説明を省略することがある。
図8は、本実施の形態に係る情報処理装置2が接続されるネットワーク11の構成図である。
図8に示されるように、ネットワーク11には、情報処理装置2と、複数の証明書生成装置21〜25と、通信端末30とが接続されている。実施の形態1のネットワーク10と異なるのは、本実施の形態のネットワーク11には、複数の証明書生成装置21〜25が接続されている点である。
図9は、本実施の形態に係る情報処理装置2の機能ブロック図である。
図9に示されるように、情報処理装置2は、証明書取得部101Aと、証明書保持部102と、SSL処理部103と、第1通信部104と、第2通信部105と、選択部111とを備える。実施の形態1の情報処理装置1と異なるのは、情報処理装置2が、証明書取得部101Aと、選択部111とを備える点である。なお、証明書取得部101と、証明書保持部102と、SSL処理部103と、選択部111とをまとめて制御部106Aと称することがある。
選択部111は、複数の証明書生成装置21〜25のうちから、情報処理装置2のサーバ証明書を発行する証明書生成装置を選択する。選択する方法は、さまざまな方法がありうる。選択する方法の一例を、後で詳しく説明する。
証明書取得部101Aは、選択部111が選択した証明書生成装置を示す情報を受け取り、当該証明書生成装置から情報処理装置1のサーバ証明書と秘密鍵とを取得する。つまり、証明書取得部101Aは、選択部111が選択した証明書生成装置を示す情報を受け取った後、当該証明書生成装置との間で、実施の形態1における証明書取得部101と同様の処理を行う。
図10は、本実施の形態に係る情報処理装置2のSSL通信開始までの処理を示すフローチャートである。実施の形態1の情報処理装置1と異なるのは、ステップS1001及びS1002である。
まず、選択部111は、複数の証明書生成装置21〜25のうちから、情報処理装置2のサーバ証明書を発行する証明書生成装置を選択する(ステップS1001)。
次に、証明書取得部101は、ステップS1001で選択部111が選択した証明書生成装置を示す情報を受け取り、当該証明書生成装置が起動中であるか否かを判定する(ステップS1002)。つまり、証明書取得部101Aは、選択部111が選択した証明書生成装置を示す情報を受け取った後、当該証明書生成装置との間で、実施の形態1におけるステップS601と同様の動作を行う。
ステップS1002の後に、情報処理装置2の各機能ブロックは、実施の形態1におけるステップS602〜ステップS607と同一の動作を行う。
図11は、本実施の形態に係る操作画面の例である。図11を参照しながら、選択部111が、複数の証明書生成装置21〜25のうちから、情報処理装置2のサーバ証明書を発行する証明書生成装置を選択する方法の一例について説明する。
選択部111は、図11に示される操作画面を、情報処理装置2を操作するための画面(又は、画面内の一部)に表示し、ユーザからの操作入力を取得することで選択する。図11に示される操作画面は、ユーザに対して証明書生成装置を選択させる旨のメッセージ1101と、証明書生成装置21〜25に対応するホスト名(MFP001〜MFP005)の文字列1102と、それらの1つを選択するためのボタン1103と、選択を確定するためのボタン1104とを有する。ユーザは、情報処理装置2のサーバ証明書を発行させる証明書生成装置をボタン1103により選択し、ボタン1104を操作することにより選択を確定することができる。また、上記のような画面の代わりに、証明書生成装置を選択させる旨のメッセージを音声で出力し、ユーザの音声を受けるけることで証明書を選択してもよい。なお、選択候補となる証明書生成装置は、あらかじめ設定されたものであってもよいし、選択部111が所定の通信手段等によってネットワーク上に接続された証明書生成装置を発見した結果を用いてもよい。また、図11に示される操作画面は、情報処理装置の表示画面に表示されてもよいし、通信端末30の表示画面に表示されてもよい。通信端末30の表示画面に表示される場合には、選択部111は、画面の表示内容を示すデータをネットワーク11を介して通信端末に送信し、通信端末に対するユーザの操作をネットワーク11を介して受信する。
以上のように、本実施の形態にかかる情報処理装置によれば、ネットワーク上に複数の証明書生成装置がある場合に、複数の証明書生成装置のうちの指定された証明書生成装置が情報処理装置のサーバ証明書を生成する。ユーザからの指定を受け付け、当該指定に従って証明書生成装置を選択するようにすれば、ユーザが指定した証明書生成装置が情報処理装置のサーバ証明書を生成することができる。
以上、本発明の情報処理装置について、実施の形態に基づいて説明したが、本発明は、この実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本発明の範囲内に含まれる。
本発明は、証明書生成装置のルート証明書を予め保有している通信端末がより少ない手順で複数のサーバのそれぞれとSSL通信を行う通信装置に利用可能である。
1、2 情報処理装置
10、11 ネットワーク
20、21、22、25 証明書生成装置
30 通信端末
101、101A 証明書取得部
102 証明書保持部
103 SSL処理部
104 第1通信部
105 第2通信部
106、106A 制御部
111 選択部
301、401、501 サーバ証明書
402、502 電子文書
1101 メッセージ
1102 文字列
1103、1104 ボタン

Claims (9)

  1. 通信端末との間で暗号化通信を行う情報処理装置であって、
    ルート証明書、及び前記ルート証明書を用いて検証されるサーバ証明書を生成する証明書生成装置と通信を行う第1通信部と、
    前記通信端末と通信を行う第2通信部と、
    (i)前記証明書生成装置が生成したサーバ証明書であって、前記ルート証明書を用いて検証される前記情報処理装置のサーバ証明書を前記第1通信部が受信し、かつ、
    (ii)前記証明書生成装置が生成した前記証明書生成装置のサーバ証明書を前記ルート証明書を用いて検証することに成功した前記通信端末から暗号化通信の接続要求を前記第2通信部が受信した場合に、受信した前記情報処理装置のサーバ証明書を前記通信端末に送信するように、前記第2通信部を制御する制御部とを備える
    情報処理装置。
  2. 前記制御部は、
    前記情報処理装置のサーバ証明書と、当該サーバ証明書に対応する秘密鍵との生成要求を前記証明書生成装置に送信するように、前記第1通信部を制御し、
    前記第1通信部は、
    前記生成要求に応じて前記証明書生成装置が生成した前記情報処理装置のサーバ証明書と、当該サーバ証明書に対応する秘密鍵とを、当該証明書生成装置から受信する
    請求項1に記載の情報処理装置。
  3. 前記証明書生成装置は、複数存在し、
    前記情報処理装置は、さらに、
    複数の前記証明書生成装置のうちのいずれかを示す指定情報を取得する選択部を備え、
    前記制御部は、
    前記指定情報により示される前記証明書生成装置に前記生成要求を送信するように第1通信部を制御し、
    前記第1通信部は、
    前記指定情報により示される前記証明書生成装置が前記生成要求に応じて生成した前記情報処理装置のサーバ証明書と前記秘密鍵とを、当該証明書生成装置から受信する
    請求項2に記載の情報処理装置。
  4. 前記第1通信部は、所定のファイルフォーマットのファイルを用いて前記証明書生成装置と通信を行う
    請求項1〜3のいずれか1項に記載の情報処理装置。
  5. 前記制御部は、
    秘密鍵を生成し、生成した前記秘密鍵と、前記ルート証明書とを用いて署名要求を生成し、生成した前記署名要求を前記証明書生成装置に送信するように前記第1通信部を制御し、
    前記第1通信部は、
    前記署名要求に基づいて生成された前記情報処理装置のサーバ証明書を前記証明書生成装置から受信する
    請求項1に記載の情報処理装置。
  6. 前記情報処理装置は、さらに、
    前記第1通信部が受信した前記サーバ証明書を記憶している記憶部を備え、
    前記制御部は、前記記憶部が記憶している前記サーバ証明書を送信するように、前記第2通信部を制御する
    請求項1〜5のいずれか1項に記載の情報処理装置。
  7. 通信端末との間で暗号化通信を行う情報処理装置であって、ルート証明書、及び前記ルート証明書を用いて検証されるサーバ証明書を生成する証明書生成装置と通信を行う第1通信部と、前記通信端末と通信を行う第2通信部とを備える情報処理装置における情報処理方法であって、
    前記証明書生成装置が生成したサーバ証明書であって、前記ルート証明書を用いて検証される前記情報処理装置のサーバ証明書を前記第1通信部が受信する受信ステップと、
    前記証明書生成装置が生成した前記証明書生成装置のサーバ証明書を前記ルート証明書を用いて検証することに成功した前記通信端末から暗号化通信の接続要求を前記第2通信部が受信した場合に、前記受信ステップで受信した前記情報処理装置のサーバ証明書を前記通信端末に送信するように、前記第2通信部を制御する制御ステップとを含む
    情報処理方法。
  8. 請求項7に記載の情報処理方法をコンピュータに実行させるためのプログラム。
  9. ルート証明書を有する証明書生成装置であって、
    情報処理装置のサーバ証明書と、当該サーバ証明書に対応する秘密鍵との生成要求を、前記情報処理装置から受信する受信部と、
    前記受信部が受信した前記生成要求に応じて、公開鍵と当該公開鍵に対応する秘密鍵とを生成し、生成した公開鍵に対して前記ルート証明書に対応する認証情報を付加したサーバ証明書を生成する鍵生成部と、
    前記鍵生成部が生成した前記サーバ証明書と前記秘密鍵とを、前記情報処理装置へ送信する送信部とを備える
    証明書生成装置。
JP2013055726A 2013-03-18 2013-03-18 情報処理装置、情報処理方法、及び、プログラム Pending JP2014183413A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013055726A JP2014183413A (ja) 2013-03-18 2013-03-18 情報処理装置、情報処理方法、及び、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013055726A JP2014183413A (ja) 2013-03-18 2013-03-18 情報処理装置、情報処理方法、及び、プログラム

Publications (1)

Publication Number Publication Date
JP2014183413A true JP2014183413A (ja) 2014-09-29

Family

ID=51701745

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013055726A Pending JP2014183413A (ja) 2013-03-18 2013-03-18 情報処理装置、情報処理方法、及び、プログラム

Country Status (1)

Country Link
JP (1) JP2014183413A (ja)

Similar Documents

Publication Publication Date Title
JP5521736B2 (ja) 通信制御装置、通信制御プログラム及び通信制御システム
US11838430B2 (en) Information processing apparatus, method of controlling the same, and storage medium
JP6609788B1 (ja) 情報通信機器、情報通信機器用認証プログラム及び認証方法
CN108959878B (zh) 用户认证系统中采用的方法以及其中包括的信息处理装置
JP6354336B2 (ja) クライアント装置、サービス実行システム、及びプログラム
JP4579597B2 (ja) 情報処理装置、情報処理方法およびプログラム
JP2011081762A (ja) 機器設定装置及び機器設定装置における機器再設定方法
JP2020141331A (ja) サービス利用装置、方法、及びプログラム
JP6465426B1 (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
JP5734095B2 (ja) 端末装置およびサーバ装置および電子証明書発行システムおよび電子証明書受信方法および電子証明書送信方法およびプログラム
US20080065776A1 (en) Method of connecting a first device and a second device
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
US8276187B2 (en) Information processing system
WO2017029708A1 (ja) 個人認証システム
JP6451086B2 (ja) 中継装置、サービス実行システム、及びプログラム
JP5487659B2 (ja) 情報処理装置、情報処理方法およびプログラム
JP2019087889A (ja) サーバ装置、機器、証明書発行方法、証明書要求方法、証明書発行プログラム及び証明書要求プログラム
JP2007172213A (ja) 認証装置及び認証プログラム
JP2014183413A (ja) 情報処理装置、情報処理方法、及び、プログラム
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
JP6972821B2 (ja) 認証連携装置、サービス提供装置、認証連携システム及び情報処理プログラム
JP6094496B2 (ja) カラオケシステム、カラオケシステムにおけるログイン方法
US11924286B2 (en) Encrypted communication processing apparatus, encrypted communication processing system, and non-transitory recording medium
JP2019159971A (ja) 機器システム、ジョブ処理方法、情報処理装置、プログラム
US20200201982A1 (en) Information processing device, terminal device, information processing system, and computer-readable medium