JP2017175228A - 情報処理装置、情報処理システム、情報処理方法及びプログラム - Google Patents

情報処理装置、情報処理システム、情報処理方法及びプログラム Download PDF

Info

Publication number
JP2017175228A
JP2017175228A JP2016056179A JP2016056179A JP2017175228A JP 2017175228 A JP2017175228 A JP 2017175228A JP 2016056179 A JP2016056179 A JP 2016056179A JP 2016056179 A JP2016056179 A JP 2016056179A JP 2017175228 A JP2017175228 A JP 2017175228A
Authority
JP
Japan
Prior art keywords
certificate
information processing
individual
processing apparatus
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016056179A
Other languages
English (en)
Other versions
JP6680022B2 (ja
Inventor
佐藤 淳
Atsushi Sato
佐藤  淳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2016056179A priority Critical patent/JP6680022B2/ja
Priority to US15/459,129 priority patent/US10623191B2/en
Publication of JP2017175228A publication Critical patent/JP2017175228A/ja
Application granted granted Critical
Publication of JP6680022B2 publication Critical patent/JP6680022B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】 同一機器の設置処理、返却処理、初期化処理等を複数回実施する場合でも、効率よく、当該機器とサーバ装置との間の通信の安全性を確保できるようにする。
【解決手段】 サービスサーバ200において、契約管理部224がユーザ端末100に対するサービス提供契約の情報を登録し、ユーザ端末100からの所定のアクセスに応じて、登録したサービス提供契約からそのアクセス元のユーザ端末100に対するサービス提供契約を検索し、発見したサービス提供契約に対して識別情報を付す。証明書取得部223が、CA300から、その識別情報を含む電子証明書である個別証明書を取得する。アクセス受付部221が、上記個別証明書をアクセス元のユーザ端末100に送信する。さらに、上記個別証明書を用いて認証した機器に対して、その個別証明書に含まれる識別情報が示すサービス提供契約に従ったサービスの提供を許可する。
【選択図】 図3

Description

この発明は、情報処理装置、情報処理システム、情報処理方法及びプログラムに関する。
近年、ユーザ側環境に配置するクライアント装置に対してクラウド環境に配置されたサーバ装置からサービスを提供し、これらを連携させて装置の機能を拡張することが行われている。ユーザ側環境に配置されたデジタル複合機(MFP)等の画像処理装置について、画像処理装置のメーカ等、保守作業を担当する業者がインターネットを介して監視する遠隔監視システムを構成する等である。
この場合において、クライアント装置からサーバ装置が提供するサービスを利用する場合、そのサーバ装置に対し、種々の情報を提供する必要がある。このため、その送信経路上におけるデータの改ざんや盗み見、あるいは装置のなりすましを防止すべく、クライアント装置とサーバ装置との間ではSSL(Secure Socket Layer)による相互認証及び暗号化通信が行われていたり、クライアント装置からサーバ装置への送信データにデータ署名しサーバで署名検証することが行われている。
相互認証を行うためには、クライアント装置及びサーバ装置共に、それぞれ秘密鍵を有している必要がある。秘密鍵は、遠隔監視システムのセキュリティを担保するために絶対に漏洩してはいけない情報である。
サービスを受けるクライアント装置に対してこの秘密鍵と、秘密鍵に対応する電子証明書(公開鍵証明書)を安全に設定するための技術として、従来から、特許文献1及び特許文献2に記載の技術が知られている。
特許文献1には、第1証明書を用いて確保した通信経路で、サービスの提供を受ける際に用いる第2証明書をクライアントに設定する技術が記載されている。
特許文献2には、プロダクトキーに対するライセンスの認証に成功した時に証明書更新を実施する方式で、PC(パーソナルコンピュータ)ソフトのように複製が配布されるプログラムに対しても一意な電子証明書を適切に割り当てる技術が記載されている。
また、これらとは別に、特許文献3には、クライアント装置に記憶させた公開鍵証明書を無効化する技術が記載されている。
特許文献1あるいは特許文献2に記載のような、クライアント装置に対して秘密鍵及び公開鍵証明書を設定する従来の手法は、クライアント装置の製造工程や初回設置時に適した構成にはなっている。しかし、クラウド環境のサーバ装置において同一機器の設置処理(アクティベーション)、返却処理(アクティベーション解除)、初期化処理等を複数回実施したりする機器のアクティベーションのライフサイクル全体について十分考慮された手法とは言い難かった。すなわち、例えば同一機器を複数の利用者にレンタルして使いまわしたりするサービスを提供する場合に好適な手法ではなかった。
この発明は、このような事情に鑑みてなされたものであり、同一機器の設置処理、返却処理、初期化処理等を複数回実施する場合でも、効率よく、当該機器とサーバ装置との間の通信の安全性を確保できるようにすることを目的とする。
この発明の情報処理装置は、上記の目的を達成するため、機器に対するサービス提供契約の情報を登録する登録手段と、機器からの所定のアクセスに応じて、上記登録手段が登録するサービス提供契約から該アクセス元の機器に対するサービス提供契約を検索する検索手段と、上記検索手段が発見したサービス提供契約に対して識別情報を付すと共に、所定の認証局から、該識別情報を含む電子証明書である個別証明書を取得する証明書取得手段と、上記証明書取得手段が取得した個別証明書を上記アクセス元の機器に送信する証明書送信手段と、上記個別証明書を用いて認証した機器に対して、該個別証明書に含まれる識別情報が示すサービス提供契約に従ったサービスの提供を許可する制御手段とを設けたものである。
上記構成によれば、同一機器の設置処理、返却処理、初期化処理等を複数回実施する場合でも、効率よく、当該機器とサーバ装置との間の通信の安全性を確保できるようにすることができる。
この発明の情報処理装置の一実施形態であるサービスサーバを含む、各種装置の配置例を示す図である。 図1に示すサービスサーバのハードウェア構成を示す図である。 図1に示すユーザ端末、サービスサーバ及びCAが備える機能のうち、証明書、サービス提供契約及びサービスの取り扱いに関連する機能の構成を示す図である。 ユーザ端末がとり得る状態及びその遷移を示す図である。 ユーザ端末における個別証明書の設定状態及びその遷移を示す図である。 出荷状態においてユーザ端末及びサービスサーバが記憶する証明書とCAにおける個別証明書の登録状態を示す図である。 設置状態においてユーザ端末及びサービスサーバが記憶する証明書とCAにおける個別証明書の登録状態を示す図である。 未設置状態においてユーザ端末及びサービスサーバが記憶する証明書とCAにおける個別証明書の登録状態を示す図である。 ユーザ端末とサービスサーバが行うSSLを用いた相互認証処理の手順を示す図である。 ユーザ端末の設置動作の手順を示すシーケンス図である。 ユーザ端末がサービスサーバからサービスの提供を受ける動作の手順を示すシーケンス図である。 サービスサーバがサービス提供契約を無効化し、個別証明書を返却させる動作の手順を示すシーケンス図である。 ユーザ端末が個別証明書を返却する動作の手順を示すシーケンス図である。 ユーザ端末がユーザ端末自身を初期化する動作の手順を示すシーケンス図である。 ユーザ端末の再設置動作の変形例の手順を示すシーケンス図である。
以下、この発明の実施形態について、図面を参照しつつ説明する。
図1に、この発明の情報処理装置の一実施形態であるサービスサーバを含む、各種装置の配置例を示す。
図1の例において、サービスサーバ200が、この発明の情報処理装置の一実施形態である。このサービスサーバ200は、インターネットNに接続される装置に対して広くサービスを提供するため、クラウド環境20に配置されている(ただし、インターネットN以外の、ローカルネットワーク等のネットワークを用いることも妨げられない)。
CA(認証局)300は、サービスサーバ200及びユーザ端末100に使用させる電子証明書を発行する認証局である。サービスサーバ200と運営者が同じであっても異なっていてもよい。
また、ユーザ端末100−1〜n(以下、個体を区別する必要がない場合には「−」以降の数字がない符号を用いる。他の符号についても同様である)は、サービスサーバ200が提供するサービスを利用するユーザが使用する端末装置である。具体的には、ユーザ端末100は、PC(パーソナルコンピュータ)、タブレット型コンピュータ、スマートフォン等の汎用性の高い機器であっても、MFP(デジタル複合機)、プリンタ、ファクシミリ通信装置、プロジェクタ、電子会議システム等の特定用途向けの機器であってもよい。いずれにせよ、インターネットNを介してサービスサーバ200にアクセスして認証を受け、サービスサーバ200が提供するサービスを利用する機能を備えていればよい。
各ユーザ端末100は、サービスサーバ200が提供するサービスの利用契約(サービスサーバ200側から見ればサービスの提供契約)の識別情報を含む電子証明書である個別証明書を用いてサービスサーバ200に認証を受けた場合に、サービスサーバ200が提供するサービスを利用可能である。この点については後述する。
ユーザ端末100が配置されるユーザ環境10は、自宅、会社、学校、公共ネットワークなど、ユーザがユーザ端末100を使用する任意のネットワーク環境である。なお、図1では各ユーザ環境10にユーザ端末100を1台配置しているが、複数台配置されていてよいことはもちろんである。また、ユーザ環境10にユーザ端末100以外の装置があってもよいことはもちろんである。
以上のサービスサーバ200が第1情報処理装置に該当し、ユーザ端末100が第2情報処理装置に該当し、これらの装置がこの発明の情報処理システムの実施形態を構成する。
次に、図2に、図1に示したサービスサーバ200のハードウェア構成を示す。
図2に示すように、サービスサーバ200は、CPU201、ROM202、RAM203、HDD(ハードディスクドライブ)204、通信I/F(インタフェース)205、操作部206、表示部207を備え、これらをシステムバス208により接続した構成としている。
そして、CPU201が、RAM203をワークエリアとしてROM202あるいはHDD204に記憶されたプログラムを実行することにより、サービスサーバ200全体を制御し、図3を用いて後述するものをはじめとする種々の機能を実現する。
ROM202及びHDD204は、不揮発性記憶媒体(記憶手段)であり、CPU201が実行する各種プログラムや後述する各種データを格納している。
通信I/F205は、インターネットNを介してユーザ端末100等の他の装置と通信するためのインタフェースである。
操作部206は、ユーザからの操作を受け付けるための操作手段であり、各種のキー、ボタン、タッチパネル等により構成することができる。
表示部207は、サービスサーバ200の動作状態や設定内容、メッセージ等をユーザに提示するための提示手段であり、液晶ディスプレイやランプ等を備える。
なお、操作部206及び表示部207は外付けであってもよい。また、サービスサーバ200がユーザからの操作を直接受ける必要がない(通信I/F205を介して接続された外部装置により操作を受け付けたり情報の提示を行ったりすればよい)場合には、操作部206や表示部207を設けなくてよい。
ユーザ端末100も、図2に示した範囲のハードウェア構成は基本的に共通である。ただし、機種や性能が同じである必要はないし、HDD204に代えて他の記憶手段を用いることもできる。
以上説明してきた各装置の機能において特徴的な点の一つは、サービスサーバ200が、ユーザ端末100等の機器に対するサービスの提供契約の情報と、ユーザ端末100に使用させる個別証明書とを対応付けて管理し、上記提供契約と個別証明書とでライフサイクルを共通化した点である。以下、この点について詳細に説明する。
図3に、ユーザ端末100、サービスサーバ200、およびCA300が備える機能のうち、証明書、サービス提供契約及びサービスの取り扱いに関連する機能の構成を示す。図3に示す各部の機能は、各装置のCPUが、所要のプログラムを実行して所要のハードウェアを制御することにより実現されるものである。
図3に示すように、ユーザ端末100は、要求送信部121、登録要求部122、証明書登録部123、動作要求部124を備える。
このうち要求送信部121は、他の各部からの要求に基づき、サービスサーバ200に対して、何からの動作の実行を求める要求を送信する機能を備える。要求送信部121による要求の送信には、オペレータの指示に従って、オペレータからの要求を伝えるものと、ユーザ端末100自身からの要求を伝えるものとがある。
いずれの場合も、要求送信部121は、サービスサーバ200のアクセス受付部221に対し、後述の個別証明書あるいは共通証明書を用いたデバイス認証の要求を行う。そして、その認証が成功した後、アクセス受付部221に対して動作の要求を送信する。なお、共通証明書はサービスサーバ200にサービスの提供を受ける複数の装置が共通して使用する電子証明書、個別証明書はサービスサーバ200のサービス提供契約と紐付けられた、契約に固有の電子証明書である。ユーザ端末100が認証に用いる証明書は基本的には個別証明書であり、共通証明書を用いるのは特殊な場合である。
登録要求部122は、ユーザの指示に従いあるいは自動的に、サービスサーバ200に対し、ユーザ端末100をサービスの提供対象として登録すること(設置)、ユーザ端末100のサービスの提供対象としての登録を解除すること(返却)、およびユーザ端末100を出荷時の状態に戻すこと(初期化)の要求を行う機能を備える。これらの要求は、要求送信部121からサービスサーバ200に送信させる。
証明書登録部123は、ユーザ端末100がサービスサーバ200との通信に使用する証明書を登録する機能を備える。どのような証明書を登録するかについては、ユーザ端末100の状態により異なり、詳細は後述する。
動作要求部124は、サービスサーバ200に対し、サービスの提供に係る種々の動作を要求する機能を備える。この要求は、要求送信部121からサービスサーバ200に送信させる。
次に、サービスサーバ200は、アクセス受付部221、認証処理部222、証明書取得部223、契約管理部224、契約確認部225、要求処理部226、証明書無効化部227を備える。
これらのうちアクセス受付部221は、ユーザ端末100からの、共通証明書又は個別証明書を用いた認証の要求を受け付け、認証処理部222にそれらを用いたデバイス認証を行わせる機能を備える。また、アクセス受付部221は、認証済みのユーザ端末100から受信した受信した要求を、その要求を処理する処理部に渡して処理させる。
認証処理部222は、アクセス受付部221からの要求に従い、共通証明書又は個別証明書を用いたデバイス認証を行う機能を備える。その際、証明書の有効性等について、必要に応じてCA300の証明書管理部322に問い合わせる。
証明書取得部223は、アクセス受付部221からの要求に従い、CA300に個別証明書を発行させてこれを取得する機能を備える。
契約管理部224は、サービスサーバ200の機能によりユーザ端末100にサービスを提供する旨のサービス提供契約の情報を登録して管理する登録手段の機能を備える。また、契約管理部224に契約を登録する動作は、登録手順の動作である。契約管理部224が管理する契約情報は、ここでは表1に示すものである。
Figure 2017175228
この契約情報には、「管理ID」、「AID」、「ユーザ」、「提供サービス」、「アクティベーションコード」、「契約期間」等の情報が含まれる。
このうち「管理ID」は、各サービス提供契約を管理するための、契約自体の識別情報である。
「AID」は、アクティベーションIDであり、サービス提供契約に従ってユーザ端末100にサービスを提供する際にユーザ端末100及び適用される契約を識別するために用いる識別情報である。
「ユーザ」は、契約相手のユーザの情報である。ユーザのアカウントが別途登録されていれば、契約情報として管理するのはユーザIDのみでよい。そうでない場合は、連絡先等も管理するとよい。
「提供サービス」は、該当の契約によりユーザ端末100に提供するサービスの種類や範囲である。
「アクティベーションコード」は、該当の契約に従ったサービスの提供対象としてユーザ端末100を登録する際に用いる認証情報である。このアクティベーションコードは、サービスの提供者からユーザへ、電子メール、紙に印刷しての配付等、何らかの方法で伝達する。また、ユーザは、ユーザ端末100を操作してサービスサーバ200に対して設置を要求させる際に、ユーザ端末100にこのアクティベーションコードを入力してサービスサーバ200に送信させる。
「契約期間」は、該当の契約の有効期間である。
契約情報に、これら以外の情報が含まれていても構わないことは、もちろんである。
次に、契約確認部225は、個別証明書を用いて認証されたユーザ端末100から、サービス提供に係る要求を受け付けた場合に、アクセス受付部221からの指示に従い、その動作要求が、そのユーザ端末100に適用される契約の範囲内のものであるか否かを確認する機能を備える。
要求処理部226は、アクセス受付部221が受け付けた要求に従って、サービスサーバ200が要求元にサービスを提供するための処理を行う機能を備える。
証明書無効化部227は、アクセス受付部221からの指示に従い、ユーザ端末100に対して発行した個別証明書を無効化する機能を備える。ただし、無効化の方法には2通りあり、この点については後に詳述する。
次に、CA300は、証明書発行部321及び証明書管理部322を備える。
これらのうち証明書発行部321は、サービスサーバ200の証明書取得部223からの要求に基づき、指定されたAIDを含む個別証明書を発行する機能を備える。
証明書管理部322は、発行済みの証明書を管理する機能を備える。この例では、証明書管理部322は共通証明書と個別証明書の双方を管理する。証明書管理部322が管理する証明書情報は、ここでは表2に示すものである。
Figure 2017175228
この証明書情報には、「証明書ID」、「証明書」、「AID」、「状態」の情報が含まれる。
このうち「証明書ID」は、証明書を管理するための、証明書自体の識別情報である。
「証明書」は、発行した証明書のデータである。
「AID」は、該当の証明書に記載したAIDである。なお、このデータが「common」である証明書は、共通証明書である。
「状態」は、証明書の状態であり、「有効」と「無効」がある。
なお、表2の例で証明書IDに抜けがあるのは、一旦発行した証明書を、発行済みという情報も含めて削除する場合があるためであり、この点については後述する。
次に、図4を用いて、本実施形態のシステムにおいてユーザ端末100が取り得る状態及びその遷移について説明する。
ユーザ端末100は、そのメーカーにおいて製造され、出荷される状態では、出荷状態41である。この出荷状態41では、サービスサーバ200によるサービスの提供対象とはなっていない。サービスサーバ200においても、サービス提供契約にAIDが付与されていない。
その後、ユーザ端末100がユーザ環境10に搬入され、ユーザあるいはサービススタッフにより、ユーザ端末100をサービスサーバ200によるサービスの提供対象として登録する「設置」の操作が行われると、ユーザ端末100は、設置状態42に移行する。なお、このときまでに、ユーザがサービス提供者とサービス提供契約を結び、その情報が契約管理部224に登録されていることが前提である。この「設置」の動作は、「アクティベーション」と呼ばれる、サービスを有効にするための動作に該当する。
設置状態42では、ユーザ端末100は、サービスサーバによるサービスの提供対象としてサービスサーバ200に認識される。この認識は、サービスサーバ200において、上記ユーザとのサービス提供契約にAIDを割り当て、そのAIDを含む個別証明書をユーザ端末100に設定させて、ユーザ端末を、そのAIDを付与を含む個別証明書を用いて認証することにより得られる。
また、設置状態42において、「初期化」の操作が行われると、ユーザ端末100は出荷状態41に戻る。この「初期化」は、ユーザ端末100に設定された個別証明書を削除し、サービスサーバ200側でもその個別証明書を発行した旨の記録を削除し、サービス提供契約に設定したAIDも削除して、サービスサーバ200やCA300における登録も含めて、ユーザ端末100が出荷された時の状態に戻すものである。なお、ユーザ端末100に対するサービスの提供中に、何らかの理由でそのサービスに係るAID以外の契約情報が変更されていた場合には、その契約情報を元に戻す必要はない。
また、設置状態42において「返却」の動作が行われると、ユーザ端末100は未設置状態43に移行する。この「返却」の動作は、ユーザの操作に従いユーザ端末100からサービスサーバ200へ要求することもできるし、サービスサーバ200が何らかのイベントあるいは管理者等からの指示等に応じて実行することもできる。また、この「返却」の動作は、ユーザ端末100をサービスサーバ200によるサービスの提供対象から外す動作である。この「返却」の動作は、「アクティベーション解除」と呼ばれる、サービスを無効にするための動作に該当する。
具体的には、ユーザ端末100に対して発行した個別証明書をCA300に無効化させることにより、以後、ユーザ端末100がサービスサーバ200から個別証明書を用いた認証を受けられなくするものである。このことにより、ユーザ端末100はサービスサーバ200が提供するサービスを利用できなくなる。また、ユーザ端末100側でも、個別証明書をサービスサーバ200との通信に使用しないよう設定を行う。ただし、サービスサーバ200において、サービス提供契約に付与したAIDは残したままである。従って、無効な個別証明書に含まれるAIDが付与されていることになる。
「初期化」と「返却」の違いは、個別証明書及びAIDの削除を行うか否かにある。「返却」では、個別証明書及びAID自体は削除しないため、ユーザ端末100が以前どの契約に従ってサービスの提供を受けていたかは、返却後でも把握可能である。また、一旦無効化した個別証明書を再度有効化することが許容される場合、再度「設置」を行う際に、一旦無効化した個別証明書を再利用することができる。
なお、未設置状態43からでも、設置状態42の場合と同様に「初期化」を行い、ユーザ端末100を出荷状態41に戻すことができる。
なお、図4に示したユーザ端末100の各状態は、ユーザ端末100に設定される個別証明書の状態と対応している。図5に、ユーザ端末100における個別証明書の設定状態及びその遷移を示す。
まず、出荷状態41においては、ユーザ端末100に個別証明書は設定されておらず、設定状態は証明書なし51である。この状態から「設置」の動作がなされ個別証明書がユーザ端末100に設定されると、設定状態は、有効な個別証明書が設定されている証明書あり52に移行する。この設定に当たってユーザ端末100がサービスサーバ200へ個別証明書の送信を要求するためのコマンドが「getkey」である。
また、証明書あり52の状態で「初期化」の動作がなされると、設定状態は証明書なし51へ戻る。このときにユーザ端末100がサービスサーバ200へ初期化を要求するためのコマンドが「deletekey」である。
また、証明書あり52の状態で「返却」の動作がなされると、設定状態は、個別証明書が記憶はされているが無効である証明書無効53に移行する。このときにユーザ端末100がサービスサーバ200へ返却を要求するためのコマンドが「removekey」である。
証明書無効53の状態から「getkey」コマンドにより再設置して証明書あり52の状態へ移行することも、証明書無効53の状態から「deletekey」コマンドにより初期化して証明書なし51の状態へ移行することも、図4の状態遷移と対応するものである。
次に、図6乃至図8を用いて、図4及び図5に示した各状態において、ユーザ端末100及びサービスサーバ200が記憶する証明書と、CA300における個別証明書の登録状態について説明する。なお、CA300については、ユーザ端末100に設定されている個別証明書の登録状態を示している。
まず、図6乃至図8からわかるように、全ての状態で、ユーザ端末100は共通公開鍵証明書及びこれと対応する秘密鍵と、サーバルート証明書とを記憶している。また、サービスサーバ200は、サーバ公開鍵証明書及び秘密鍵と、CAルート証明書とを記憶している。
共通公開鍵証明書及びこれと対応する秘密鍵は、サービスサーバ200との間の相互認証及び暗号化通信において、ユーザ端末100側の公開鍵証明書及び秘密鍵として用いられる。ただし、共通公開鍵証明書及びこれと対応する秘密鍵は、サービスサーバ200からサービスの提供を受け得る装置が共通して用いるものである。ただし、サービスの提供を受け得る全ての装置に共通とする必要はない。例えば、ファームウェアに埋め込んでユーザ端末100にダウンロードさせ、ファームウェアが共通する装置の間でのみ、共通に用いるようにしてもよい。また、秘密鍵が流出した場合には、流出した秘密鍵及び対応する共通公開鍵証明書を無効にすると共に、新たな共通公開鍵証明書及びこれと対応する秘密鍵を、新しいバージョンのファームウェアに埋め込んで配付することにより、共通公開鍵証明書及びこれと対応する秘密鍵を更新することができる。
CAルート証明書は、共通公開鍵証明書を発行した認証局(ここではCA300とする)の証明書であり、サービスサーバ200は、ユーザ端末100から送信される共通公開鍵証明書が改ざん等されていないことを、CAルート証明書を用いて確認することができる。
また、サーバ公開鍵証明書及び秘密鍵は、ユーザ端末100との間の相互認証及び暗号化通信において、サービスサーバ200側の公開鍵証明書及び秘密鍵として用いられる、サービスサーバ200に固有の証明書及び秘密鍵である。サーバルート証明書は、サーバ公開鍵証明書を発行した認証局(ここではCA300以外の認証局とする)の証明書であり、ユーザ端末100は、サービスサーバ200から送信されるサーバ公開鍵証明書が改ざん等されていないことを、サーバルート証明書を用いて確認することができる。
図6の出荷状態においては、ユーザ端末100に個別証明書が設定されていないため、各装置が記憶する証明書は以上述べたもののみであり、CA300にも、個別証明書の情報は登録されていない。また、ユーザ端末100には、共通公開鍵証明書をサービスサーバ200との通信に用いることが設定されている。
図7の設置状態では、ユーザ端末100に個別証明書(より詳細には個別公開鍵証明書及びこれと対応する秘密鍵)が記憶される。これに対応して、CA300にも、その個別証明書が発行済みでかつ有効である旨の情報が登録される。個別公開鍵証明書及びこれと対応する秘密鍵も、サービスサーバ200との間の相互認証及び暗号化通信において、ユーザ端末100側の公開鍵証明書及び秘密鍵として用いられる。また、サービスサーバ200に登録されたサービス提供契約と対応付けられ、サービス提供契約に付されたAIDが記載されたものである。ここでは、個別公開鍵証明書も、共通公開鍵証明書と同じ認証局が発行したものとし、CAルート証明書にて、改ざん等されていないことを確認できる。
設置状態では、ユーザ端末100には、個別公開鍵証明書をサービスサーバ200との通信に用いることが設定されている。そして、ユーザ端末100は、個別公開鍵証明書を用いてサービスサーバ200に認証を受けることにより、どのAIDのサービス提供契約に基づくサービス提供対象かを、サービスサーバ200に認識させることができる。
図8の未設置状態でも、図7の設置状態の場合と同じ証明書がユーザ端末100及びサービスサーバ200に記憶されている。しかし、CAにおいて個別公開鍵証明書が無効である旨が登録されているため、サービスサーバ200において、個別公開鍵証明書を用いた認証は失敗する。また、ユーザ端末100においては、共通公開鍵証明書をサービスサーバ200との通信に用いることが設定されている。従って、認証に関する実質的な動作は、図6の出荷状態と同様となる。
次に、図9に、ユーザ端末100とサービスサーバ200が、図6乃至図8を用いて説明した証明書等を用いて行うSSLを用いた相互認証処理の手順を示す。なお、ユーザ端末100が使用する証明書が個別公開鍵証明書であっても共通公開鍵証明書であっても図9の手順は変わらない。図9には、これらを合わせて、クライアント側の公開鍵証明書という意味で、「クライアント公開鍵証明書」と記載している。また、これと対応する秘密鍵を「クライアント秘密鍵」と記載している。
図9の手順において、通信の開始時に、ユーザ端末100は、SSLバージョン番号、サポートしている暗号セット、及び乱数等をサービスサーバ200に送信する(S301)。続いて、サービスサーバ200は、SSLバージョン番号、使用する暗号セット、及び乱数等をユーザ端末100に送信する(S302)。続いて、サービスサーバ200は、ユーザ端末100にサーバ公開鍵証明書を送信する(S303)。続いて、サービスサーバ200は、ユーザ端末100に証明書の提示を要求する(S304)。その後、サービスサーバ200は、ユーザ端末100からの応答を待つ。
サーバ公開鍵証明書を受信すると、ユーザ端末100は、サーバルート証明書を用いて当該サーバ公開鍵証明書を検証する(S305)。サーバ公開鍵証明書の正当性が確認された場合、ユーザ端末100は、クライアント公開鍵証明書をサービスサーバ200に送信する(S306)。続いて、ユーザ端末100は、ここまでやり取りしたデータのハッシュ値から計算したプリマスターシークレット(乱数)をサーバ公開鍵証明書に含まれるサーバ公開鍵で暗号化する(S307)。続いて、ユーザ端末100は、暗号化されたプリマスターシークレットをサービスサーバ200に送信する(S308)。続いて、ユーザ端末100は、ここまでやり取りしたデータを使って計算された乱数データにクライアント秘密鍵で署名を行う(S309)。続いて、ユーザ端末100は、署名された乱数データをサービスサーバ200に送信する(S310)。続いて、ユーザ端末100は、2つのシードとプリマスターシークレットとに基づいてセッション鍵を作成する(S311)。
続いて、サービスサーバ200は、受信したクライアント公開鍵証明書をサービスサーバ200が有するCAルート証明書を用いて検証する。また、サービスサーバ200は、署名付きデータをクライアント公開鍵証明書を用いて検証する。更に、サービスサーバ200は、サーバ秘密鍵で復号したプリマスターシークレットと2つのシードとによりセッション鍵を作成する(S312)。
続いて、ユーザ端末100は、「今後この共通鍵でデータを送信する旨」のメッセージと、SSL認証終了メッセージをサービスサーバ200に送信する(S313)。続いて、サービスサーバ200は、「今後この共通鍵でデータを送信する旨」のメッセージと、SSL認証終了メッセージをユーザ端末100に送信する(S314)。以降はセッション鍵による暗号化通信が開始される。斯かる暗号化通信によって、ユーザ端末100は、サービスサーバ200に対する機器情報等の送信を行う。したがって、ユーザ端末100において、正当な個別公開鍵証明書が導入されていない場合は、同図の認証を通過することができず、その後の通信を行うことができない。
なお、図9の処理は、サービスサーバ200が証明書の持ち主以外の偽造サーバだと秘密鍵を持っていないので、ユーザ端末100から送信されたプリマスターシークレットが復号することはできず、また、ユーザ端末100が証明書の持ち主以外の偽造クライアントだとサービスサーバ200においてユーザ端末100からの署名が確認できない、という理論から相互認証を達成している。
以降の図10乃至図14のシーケンス図に示す動作において、認証処理は、ユーザ端末100からの要求に基づきサービスサーバ200が行うように記載している。しかし、これは説明を簡単にするためであり、実際には認証処理において図9に示すような相互認証が行われる。ただし、相互認証は必須ではなく、サービスサーバ200がユーザ端末100を認証するのみでもよい。
次に、以上説明してきた各装置が実行する、ユーザ端末100の状態遷移及びユーザ端末100へのサービス提供に関する動作の手順について説明する。ここで用いる図10乃至図14のシーケンス図では、ユーザ端末100、サービスサーバ200、およびCA300が動作の主体となっているが、図3に示した各部の機能と動作との対応関係については随時説明を加える。
まず図10に、ユーザ端末100の設置動作の手順を示す。
ユーザがユーザ端末100を操作して、サービスサーバ200が提供するサービスを利用するためのアプリケーション(汎用ブラウザでもよい)を起動して、サービスサーバ200へのアクセスを指示すると、ユーザ端末100は図10の動作を開始する。なお、ユーザ端末100に個別証明書が設定されていればユーザ端末100は図11の動作を実行するので、実際には設定されている証明書により動作が分岐することになる。
図10の動作において、ユーザ端末100は、共通証明書をサービスサーバ200との間の通信に使用することが設定されている(すなわち状態が出荷状態41あるいは未設置状態43である)ことを検出すると(S11)、サービスサーバ200に対し、共通証明書を用いた認証を要求する(S12)。この要求は、要求送信部121の機能によるものである。
サービスサーバ200では、アクセス受付部221がこの要求を受け付け、認証処理部222に認証処理を実行させる。認証処理部222は、CA300の証明書管理部322に、受け取った共通証明書の状態を問い合わせる(S13)。
この問い合わせに対する回答としては、該当の証明書を発行したことがあり、現在でも有効である、を意味する「OK」、該当の証明書を発行したことがあるが、有効期限が過ぎている、を意味する「Expire」、該当の証明書を発行したことがあるが、無効化されている、を意味する「Invalid」、該当の証明書を発行したことはない、を意味する「Error」のいずれかである。また、証明書管理部322から、失効済みの証明書のリストである失効リストを定期的に取得し、認証の度に証明書管理部322に問い合わせすることなく、その失効リストに載っていない証明書は有効であると判断するようにしてもよい。
いずれにせよ、ステップS13で共通証明書が有効状態(OK)であれば、その共通証明書を用いた認証処理を行う(S14)。共通証明書が無効状態あるいは発行記録がなければ、認証処理は直ちに認証失敗とする。ここでは、認証が成功したとし、この場合、サービスサーバ200はユーザ端末100に認証成功の認証結果を伝える(S15)。
これを受けたユーザ端末100は、登録要求部122の機能により、ユーザからアクティベーションコードの入力を受け付ける(S16)。このアクティベーションコードは、上述のように予めユーザに通知されており、ユーザ端末100に適用するサービス提供契約を特定するために用いる。
ユーザ端末100は、要求送信部121の機能により、ステップS16で入力されたアクティベーションコードを含む個別証明書要求(図5のgetkeyコマンド)をサービスサーバ200に送信する(S17)。
サービスサーバ200では、アクセス受付部221がこの要求を受け付け、要求に応じて、契約管理部224の機能により、アクティベーションコードで特定される契約を検索して、発見された契約にAIDが付与済みでなければAIDを付与する(S18)。AIDは、サービスサーバ200内でユニークであれば、任意の値でよい。ステップS18の検索が検索手順の動作であり、検索手段の機能と対応する。また、共通証明書を用いた認証要求と、その後のステップS17の要求が、機器からの所定のアクセスに該当する。
次に、サービスサーバ200は、証明書取得部223の機能により、ステップS18で付与したAID(付与済みであれば既に付与されていたAID)を含む個別証明書を、CA300に対して要求する(S19)。
この要求を受けたCA300は、証明書発行部321の機能により、指定されたAIDを記載した個別証明書(及び対応する秘密鍵)を発行する(S20)。また、証明書管理部322の機能によりその発行した個別証明書を有効な証明書として表2の証明書情報に登録する(S21)。その後、CA300は、サービスサーバ200の証明書取得部223に、発行した個別証明書を渡す(S22)。以上のステップS18乃至S22におけるAID付与と個別証明書の取得に関する動作が証明書取得手順の動作であり、証明書取得手段の機能と対応する。
サービスサーバ200では、アクセス受付部221が証明書取得部223から上記の個別証明書を取得し、ステップS17の要求に対する応答としてユーザ端末100に送信する(S23)。この送信の動作が証明書送信手順の動作であり、証明書送信手段の機能と対応する。
ユーザ端末100では、証明書登録部123が、ステップS23で渡された個別証明書を、サービスサーバ200に対する通信の際に使用する証明書として登録する(S24)。
以上の動作により、ユーザ端末100は、共通証明書をクレデンシャルとして用いて、サービス提供契約とAIDにより紐付けられた個別証明書の発行を受け、以後サービスサーバ200に認証を受ける際に使用できるように登録することができる。サービスサーバ200から見れば、ユーザ端末100からの所定のアクセスに応じて、ユーザ端末100に適用するサービス提供契約の識別情報を含む個別証明書を取得して、ユーザ端末100に送信し、設定させることができる。従って、以後、個別証明書を用いてユーザ端末100を認証した場合、個別証明書に含まれる識別情報により特定されるサービス提供契約に従ってそのユーザ端末100にサービスを提供すればよい。
なお、図10の動作は、ユーザの指示によらず、ユーザ端末100が、ネットワークに接続されたことを等をトリガに自動的に開始するようにしてもよい。
次に、図11に、ユーザ端末100がサービスサーバ200からサービスの提供を受ける動作の手順を示す。
図10で説明したように、ユーザがユーザ端末100を操作してサービスサーバ200へのアクセスを指示し、そのときに、個別証明書をサービスサーバ200との間の通信に使用することが設定されている(すなわち状態が設置状態42である)ことを検出すると(S31)、ユーザ端末100は、サービスサーバ200に対し、個別証明書を用いた認証を要求する(S32)。この要求は、要求送信部121の機能によるものである。
サービスサーバ200では、アクセス受付部221がこの要求を受け付け、認証処理部222に認証処理を実行させる。認証処理部222は、CA300の証明書管理部322に、受け取った個別証明書の状態を問い合わせ(S33)、有効状態であれば、その個別証明書を用いた認証処理を行う(S34)。個別証明書が無効状態あるいは発行記録がなければ、認証処理は直ちに認証失敗とする。ここでは、認証が成功したとし、この場合、サービスサーバ200はユーザ端末100に認証成功の認証結果を伝える(S35)。
これを受けたユーザ端末100は、動作要求部124の機能により、サービスサーバ200に対して、サービスサーバ200が提供するサービスに関する動作を要求する動作要求を送信する(S36)。
サービスサーバ200では、アクセス受付部221がこの要求を受け付け、要求に応じて、契約管理部224を参照し、受け付けた要求が、ステップS34の認証処理に用いた個別証明書に含まれるAIDで特定される契約の範囲内の要求か否かを判断する(S37)。ここでは、契約の範囲内と確認できたとすると、要求処理部226が要求に係る動作を実行し(S38)、アクセス受付部221を介して、要求元のユーザ端末100に実行結果の応答を返す。
ステップS37で契約の範囲内でなければ、アクセス受付部221は、要求に係る動作は実行できない旨の応答をユーザ端末100に返す(S39)。
以上のステップS37及びS38の動作が、制御手順の動作であり、制御手段の機能と対応する。
以上の動作により、サービスサーバ200は、個別証明書を用いて認証した機器に対して、その個別証明書に含まれるAIDが示すサービス提供契約に従ったサービスの提供を行うことができる。
なお、図12以降のシーケンス図で説明する返却や初期化の処理も、サービス提供契約に従ったサービスの提供の一種であると考えることもできる。また、図11の動作は、ユーザの指示によらず、ユーザ端末100が、所定時間経過等をトリガに自動的に開始するようにしてもよい。ユーザ端末100の状態を定期的にサービスサーバ200に通知してモニタさせる場合等である。
次に、図12に、サービスサーバ200が、契約無効化指示に応じてユーザ端末100に対するサービス提供契約を無効化し、ユーザ端末100に個別証明書を返却させる動作の手順を示す。
この場合、サービスサーバ200は、サービス提供契約を特定した契約無効化指示を検出すると(S51)、図12の動作を開始する。なお、この無効化指示は、サービスサーバ200の管理者等、人手によるものであっても、契約期限の到来等、何らかのイベントに応じて自動で発生させるものであってもよい。
いずれにせよ、サービスサーバ200は、証明書無効化部227の機能により、契約管理部224を参照して、無効化指示に係る契約のAIDに付与されているAIDを特定する(S52)。そしてその後、そのAIDを含む個別証明書による認証が要求されるまで待機する。
そして、ユーザ端末100から、ステップS52で特定したAIDを含む個別証明書による認証が要求されると(S53)、図11のステップS33乃至S34の場合と同様に認証処理を行う(S54,S55)。この認証が成功すると、サービスサーバ200は、証明書無効化部227の機能により、CA300に対し、ステップS52で特定したAIDを含む個別証明書を無効にするよう要求する(S56)。
この要求を受けたCA300は、証明書管理部322の機能により、指定されたAIDを記載した個別証明書が無効である旨を、表2の証明書情報に登録し(S57)、その結果をサービスサーバ200に返す(S58)。
この応答を受けたサービスサーバ200では、アクセス受付部221の機能により、ステップS53の認証要求に対する応答として、認証成功の旨と、個別証明書無効化要求(図5のremovekeyコマンド)とを送信する(S59)。なお、表1の契約情報中のAIDは元のまま残しておいてよい。
個別無効化要求を受けたユーザ端末100は、証明書登録部123に登録された証明書のうちサービスサーバ200との通信に用いる証明書を共通証明書に変更することにより、個別証明書を、サービスサーバ200との通信において無効化する(S60)。そして、その応答をサービスサーバ200へ返す(S61)。
以上の動作において、ステップS56及びS59の動作が、無効化手段の機能に対応する。
以上の動作により、サービスサーバ200は、任意のサービス提供契約を所望のタイミングで無効にし、その契約に基づきサービスを提供していたユーザ端末100に、以後サービスを提供しないようにすることができる。ステップS53でのアクセスを待つ時間は、ユーザ端末100が定期的にサービスサーバ200にアクセスする場合、さほど長いものとならないと考えられる。しかし、長い時間待つことになったとしても、その間にユーザ端末100からのアクセスがなく、従ってユーザ端末100にサービスを提供することもないので、この点は特に問題とならない。
次に、図13に、ユーザ端末100が、ユーザからの指示に応じて個別証明書を返却する動作の手順を示す。
この場合、ユーザ端末100は、ユーザからの個別証明書返却指示を検出すると(S71)、図13の動作を開始する。そして、サービスサーバ200から認証を受けていない状態であれば、図11のステップS32乃至S35の場合と同様に個別証明書を用いた認証を受ける(S72乃至S75)。その後、登録要求部122の機能により、個別証明書返却要求(図5のremovekeyコマンド)をサービスサーバ200に送信する(S76)。
この要求を受けたサービスサーバ200は、図12のステップS56乃至S58の場合と同様、CA300に要求して個別証明書が無効になったことを登録させる(S77乃至S79)。なお、ここで用いるAIDは、ステップS74の認証に用いた個別証明書に含まれるAIDである。また、表1の契約情報中のAIDは元のまま残しておいてよい。
ステップS79の後、サービスサーバ200は、アクセス受付部221の機能により、ユーザ端末100に対し、個別証明書返却要求に対する方法として、無効化が完了したことを通知する(S80)。この応答を受けたユーザ端末100は、図12のステップS60の場合と同様、証明書登録部123に登録された証明書のうちサービスサーバ200との通信に用いる証明書を共通証明書に変更する(S81)。
以上の動作において、ステップS77の動作が、無効化手段の機能に対応する。
以上の動作により、サービスサーバ200は、ユーザ端末100からの要求に応じて、そのユーザ端末100に対し以後サービスを提供しないようにすることができる。
次に、図14に、ユーザ端末100が、ユーザからの指示に応じてユーザ端末100を初期化する動作の手順を示す。
この場合、ユーザ端末100は、ユーザからの初期化指示を検出すると(S91)、図14の動作を開始する。そして、サービスサーバ200から認証を受けていない状態であれば、図11のステップS32乃至S35の場合と同様に個別証明書を用いた認証を受ける(S92乃至S95)。その後、登録要求部122の機能により、初期化要求(図5のdeletekeyコマンド)をサービスサーバ200に送信する(S96)。
この要求を受けたサービスサーバ200は、証明書無効化部227の機能により、CA300に対し、ステップS94の認証に用いた個別証明書に含まれるAIDを含む個別証明書(認証に用いた個別証明書自体)の登録を削除するよう要求する(S97)。このステップS98の動作が、登録削除手段の機能と対応する動作である。
この要求を受けたCA300は、証明書管理部322の機能により、指定されたAIDを記載した個別証明書を発行したことの登録を、表2の証明書情報から削除する(S98)。このことにより、そのAIDを記載した個別証明書は、初めから発行されていなかったことになる。その後、CA300は、削除の結果をステップS97の要求に対する応答としてサービスサーバ200に返す(S99)。
ステップS99の応答を受けたサービスサーバ200は、契約管理部224の機能により、表1の契約情報から、ステップS94の認証に用いた個別証明書に含まれるAIDを削除する(S100)。このことにより、それまでそのAIDが付与されていた契約は、AIDが付されていない状態に戻る。
ステップS100の後、サービスサーバ200は、アクセス受付部221の機能により、ユーザ端末100に対し、初期化要求に対する方法として、初期化が完了したことを通知する(S101)。この応答を受けたユーザ端末100は、証明書登録部123に登録されている個別証明書及び対応する私有鍵を削除する(S102)と共に、サービスサーバ200との通信に用いる証明書を共通証明書に変更する(S103)。さらに、サービスサーバ200との通信に専用のアプリを用いており、かつ出荷状態ではそのアプリがインストールされていない場合、そのアプリも削除する(S104)。
以上の動作により、サービスサーバ200は、ユーザ端末100からの要求に応じて、そのユーザ端末100に対し以後サービスを提供しないようにすると共に、そのユーザ端末100に使用させていた個別証明書やAIDも、発行していない状態に戻すことができる。
以上説明してきたシステムにおいては、個別証明書を、サービス提供契約と対応付けて管理し、契約に付与したAIDを含む個別証明書をサービス提供対象のユーザ端末に使用させる。このことにより、契約中にサービス提供対象のユーザ端末100を交換するような場合でも、契約と、サービス提供対象のユーザ端末100との関係を、容易に把握することができる。特に、1台のユーザ端末100を、状況によって異なるサービス提供契約に基づき運用したい場合であっても、契約を切り替える際にアクティベーション解除と再度のアクティベーションを行うことにより、問題なく複数の契約を使い分けることができる。
また、出荷状態41及び設置状態42の他に、未設置状態43を設けたことにより、同一のユーザ端末100についてアクティベーションとアクティベーション解除を複数回繰り返す場合でも、これを効率よく管理し、ユーザ端末100とサービスサーバ200との間の通信の安全を確保することができる。すなわち、再度アクティベーションすることが想定される場合には、アクティベーション解除を、「返却」で行うことにより、AIDを残したままアクティベーションを解除することができる。そして、次に別のユーザ端末100からアクティベーションを行う場合、残したAIDを引き継いで利用可能である。
また、一旦無効にした個別証明書を再度有効にすることが許容される場合には、再アクティベーションの際に、個別証明書を再発行する必要はなく、アクティベーション解除の際に無効にした個別証明書を、再度有効にする設定を行うだけで足りる。従って、証明書の発行数を低減し、証明書の管理負荷を低減できる。
この構成を採用する場合には、再アクティベーション(再設置)時の図10の動作は、図15に示すようになる。すなわち、ステップS17の要求に応じたステップS18′では、アクティベーションコードで特定される契約にAIDは付与済みである。従って、サービスサーバ200は、CA300に対して、その付与済みのAIDを特定して個別証明書の有効化要求を行い(SA)、CA300は、その要求に応じて、当該AIDを含む、一旦無効化されている個別証明書を、再度有効にする旨を表2の証明書情報に登録する(SB)。
その後の動作は、図10のステップS22以降と同様でよい。ただし、ステップS22で送信する個別証明書は、証明書情報として登録されていた、発行済みの個別証明書である。ここで再度個別証明書を送信するのは、アクティべーション解除を行ったユーザ端末100と再アクティベーションを行ったユーザ端末100とが異なり、再アクティベーションを行ったユーザ端末100に、まだ個別証明書が登録されていない可能性があるためである。
また、以上の他、「初期化」を行えば、個別証明書やAIDを完全に削除できるため、サービス提供対象から外す装置にシステムに関する情報を残したくないというニーズや、サービスサーバ200側に、サービス提供対象から外す装置の情報を残したくないというニーズにも対応可能である。
以上説明してきたシステムは、例えば、顧客オフィス等に設置されたユーザ端末100である、複写機、プリンタ、ファクシミリ通信装置、デジタル複合機等の画像処理装置を、サービスサーバ200から遠隔監視する遠隔監視システムに適用することが考えられる。
この遠隔監視システムは、監視対象の情報(各種カウンタ値や稼働状況等を示す情報。以下、「機器情報」という。)を、相互認証を経たSSL等の暗号化通信によってクラウド環境20のサービスサーバ200に転送する。また、サービスサーバ200は、機器監視システムの通常運用時において、ユーザ端末100からの機器情報を受信し、蓄積するといった機器監視サービスを提供する。さらに、その機器情報に基づき、異常の発生やサプライ切れ等を監視するサービスを提供することも考えられる。
また、サービスサーバ200は、ユーザ端末100からクラウド環境20に対して行われる通信等の安全性を担保するための処理において、ユーザ端末100とCA300との間の仲介を行う。より具体的には、ユーザ端末100からの要求に応じ、ユーザ端末100の設置ごとに固有の秘密鍵や公開鍵証明書等を含むデータの発行をCA300に要求し、CA300に発行される個別証明書パッケージをユーザ端末100に返信する。
当該秘密鍵や公開鍵証明書等(個別証明書パッケージ)は、ユーザ端末100が機器情報を転送する際にクラウド環境20のサービスサーバ200との間の相互認証や暗号化通信に用いられる。なお、本実施の形態において、個別証明書パッケージは、PKCS(Public Key Cryptography Standards)に基づく電子証明書のパッケージである。サービスサーバ200は、機器のアクティベーション機能も保持し、機器に関するアクティベーションを行う。
以上で実施形態の説明を終了するが、この発明において、装置の具体的な構成、具体的な処理の手順、データの形式、証明書の種類や数、通信に用いるプロトコル、ネットワークの構成等は、実施形態で説明したものに限るものではない。
例えば、上述した実施形態において、図10等のアクティベーションにアクティベーションコードを用いていたが、これは必須ではない。これに代えて、ユーザのIDやパスワード等を用いて該当ユーザが結んでいる契約を検索できるようにし、その中からユーザ端末100に紐付ける契約をユーザが選択できるようにすることも考えられる。
例えば、上述した実施形態において各装置が備えていた機能は、複数の装置に分散して設け、それらの装置を協働させて特定の機能を実現させたり、逆に、複数の装置に分散して設けられていた機能を1つの装置に統合して設けたりしてもよい。例えば、サービスサーバ200が、複数の装置が連携してその機能を実現するものであってもよい。サービスサーバ200とCA300が一体であってもよい。
また、この発明のプログラムの実施形態は、コンピュータに所要のハードウェアを制御させて上述した実施形態におけるユーザ端末100、サービスサーバ200、あるいはその他の装置の機能を実現させるためのプログラムである。
このようなプログラムは、はじめからコンピュータに備えるROMや他の不揮発性記憶媒体(フラッシュメモリ,EEPROM等)などに格納しておいてもよい。しかし、メモリカード、CD、DVD、ブルーレイディスク等の任意の不揮発性記録媒体に記録して提供することもできる。それらの記録媒体に記録されたプログラムをコンピュータにインストールして実行させることにより、上述した各機能を実現させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部装置あるいはプログラムを記憶手段に記憶した外部装置からダウンロードし、コンピュータにインストールして実行させることも可能である。
また、以上説明してきた各実施形態及び変形例の構成は、相互に矛盾しない限り任意に組み合わせて実施可能であることは勿論である。
10:ユーザ環境、20:クラウド環境、100:ユーザ端末、121:要求送信部、122:登録要求部、123:証明書登録部、124:動作要求部、200:サービスサーバ、201:CPU、202:ROM、203:RAM、204:HDD、205:通信I/F、206:操作部、207:表示部、208:システムバス、221:アクセス受付部、222:認証処理部、223:証明書取得部、224:契約管理部、225:契約確認部、226:要求処理部、227:証明書無効化部、300:認証局(CA)、321:証明書発行部、322:証明書管理部
特許第4576210号公報 特許第5042109号公報 特許第4758095号公報

Claims (11)

  1. 機器に対するサービス提供契約の情報を登録する登録手段と、
    機器からの所定のアクセスに応じて、前記登録手段が登録するサービス提供契約から該アクセス元の機器に対するサービス提供契約を検索する検索手段と、
    前記検索手段が発見したサービス提供契約に対して識別情報を付すと共に、所定の認証局から、該識別情報を含む電子証明書である個別証明書を取得する証明書取得手段と、
    前記証明書取得手段が取得した個別証明書を前記アクセス元の機器に送信する証明書送信手段と、
    前記個別証明書を用いて認証した機器に対して、該個別証明書に含まれる識別情報が示すサービス提供契約に従ったサービスの提供を許可する制御手段とを備えることを特徴とする情報処理装置。
  2. 請求項1に記載の情報処理装置であって、
    前記識別情報を付したサービス提供契約を無効化する指示に応じて、前記認証局に、該識別情報を持つ個別証明書を無効化させる無効化手段を備えることを特徴とする情報処理装置。
  3. 請求項2に記載の情報処理装置であって、
    前記無効化手段は、前記個別証明書の無効化を行った場合に、前記証明書送信手段による該個別証明書の送信先機器に対し、該個別証明書を使用しないよう要求することを特徴とする情報処理装置。
  4. 請求項1に記載の情報処理装置であって、
    前記証明書送信手段による前記個別証明書の送信先機器から、該個別証明書の無効化を要求された場合に、前記認証局に、該個別証明書を無効化させる無効化手段を備えることを特徴とする情報処理装置。
  5. 請求項2乃至4のいずれか一項に記載の情報処理装置であって、
    前記証明書取得手段は、前記検索手段が発見したサービス提供契約に既に識別情報が付されている場合に、前記認証局に、該識別情報を含む個別証明書であって一旦無効化された個別証明書を再度有効化させる再有効化手段を備えることを特徴とする情報処理装置。
  6. 請求項1乃至5のいずれか一項に記載の情報処理装置であって、
    前記証明書送信手段による前記個別証明書の送信先機器から、該個別証明書の初期化を要求された場合に、前記認証局に、該個別証明書を発行した旨の記録を削除させると共に、前記登録手段における、該個別証明書に含まれる識別情報の登録を削除する登録削除手段を備えることを特徴とする情報処理装置。
  7. 請求項1乃至6のいずれか一項に記載の情報処理装置であって、
    前記登録手段が登録するサービス提供契約の状態は、識別情報が付されていない第1状態と、有効な個別証明書に含まれる識別情報が付された第2状態と、無効な個別証明書に含まれる識別情報が付された第3状態とを取り得ることを特徴とする情報処理装置。
  8. 第1情報処理装置と第2情報処理装置とを備え、
    前記第1情報処理装置は、
    前記第2情報処理装置に対するサービス提供契約の情報を登録する登録手段と、
    前記第2情報処理装置からの所定のアクセスに応じて、前記登録手段が登録するサービス提供契約から該アクセス元の第2情報処理装置に対するサービス提供契約を検索する検索手段と、
    前記検索手段が発見したサービス提供契約に対して識別情報を付すと共に、所定の認証局から、該識別情報を含む電子証明書である個別証明書を取得する証明書取得手段と、
    前記証明書取得手段が取得した個別証明書を前記アクセス元の第2情報処理装置に送信する証明書送信手段と、
    前記個別証明書を用いて認証した前記第2情報処理装置に対して、該個別証明書に含まれる識別情報が示すサービス提供契約に従ったサービスの提供を許可する制御手段とを備え、
    前記第2情報処理装置が、
    前記第1情報処理装置に対する前記所定のアクセスを行うアクセス手段と、
    前記第1情報処理装置から送信された個別証明書を、前記第1情報処理装置に認証を受けるための証明書として登録する証明書登録手段と、
    前記第1情報処理装置に対して、前記証明書登録手段が登録した証明書を用いた認証を要求する認証要求手段とを備えることを特徴とする情報処理システム。
  9. 請求項1に記載の情報処理システムであって、
    前記第1情報処理装置が、
    前記証明書送信手段による前記個別証明書の送信先である第2情報処理装置から、該個別証明書の初期化を要求された場合に、前記認証局に、該個別証明書を発行した旨の記録を削除させると共に、前記登録手段における、該個別証明書に含まれる識別情報の登録を削除し、その後、要求元の第2情報処理装置に応答を返す登録削除手段をさらに備え、
    前記第2情報処理装置に、
    前記第1情報処理装置に対して前記個別証明書の初期化を要求する手段と、
    該初期化の要求に対して初期化完了の応答を受信した後で、前記証明書登録手段が登録している個別証明書を削除する手段とを備えることを特徴とする情報処理システム。
  10. 機器に対するサービス提供契約の情報を登録手段に登録する登録手順と、
    機器からの所定のアクセスに応じて、前記登録手順で登録したサービス提供契約から該アクセス元の機器に対するサービス提供契約を検索する検索手順と、
    前記検索手順で発見したサービス提供契約に対して識別情報を付すと共に、所定の認証局から、該識別情報を含む電子証明書である個別証明書を取得する証明書取得手順と、
    前記証明書取得手順で取得した個別証明書を前記アクセス元の機器に送信する証明書送信手順と、
    前記個別証明書を用いて認証した機器に対して、該個別証明書に含まれる識別情報が示すサービス提供契約に従ったサービスの提供を許可する制御手順とを備えることを特徴とする情報処理方法。
  11. コンピュータを請求項1乃至7のいずれか一項に記載の情報処理装置として機能させるためのプログラム。
JP2016056179A 2016-03-18 2016-03-18 情報処理装置、情報処理システム、情報処理方法及びプログラム Expired - Fee Related JP6680022B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016056179A JP6680022B2 (ja) 2016-03-18 2016-03-18 情報処理装置、情報処理システム、情報処理方法及びプログラム
US15/459,129 US10623191B2 (en) 2016-03-18 2017-03-15 Information processing apparatus, information processing system, information processing method, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016056179A JP6680022B2 (ja) 2016-03-18 2016-03-18 情報処理装置、情報処理システム、情報処理方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2017175228A true JP2017175228A (ja) 2017-09-28
JP6680022B2 JP6680022B2 (ja) 2020-04-15

Family

ID=59847173

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016056179A Expired - Fee Related JP6680022B2 (ja) 2016-03-18 2016-03-18 情報処理装置、情報処理システム、情報処理方法及びプログラム

Country Status (2)

Country Link
US (1) US10623191B2 (ja)
JP (1) JP6680022B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019161256A (ja) * 2018-03-07 2019-09-19 株式会社東芝 情報管理装置、認証装置、情報管理システム、情報管理方法、およびコンピュータプログラム
JP2021016119A (ja) * 2019-07-16 2021-02-12 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP2021056596A (ja) * 2019-09-27 2021-04-08 セイコーエプソン株式会社 情報処理システム、サービスシステム及び電子機器
CN114168922A (zh) * 2022-02-10 2022-03-11 亿次网联(杭州)科技有限公司 一种基于数字证书的用户ca证书生成方法和系统
JP7463606B1 (ja) 2023-09-19 2024-04-08 株式会社 日立産業制御ソリューションズ 接続切替えサーバおよび接続切替え方法

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9258117B1 (en) * 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US11216568B2 (en) * 2018-01-10 2022-01-04 Dropbox, Inc. Server-side rendering password protected documents
US11762980B2 (en) * 2018-03-14 2023-09-19 Microsoft Technology Licensing, Llc Autonomous secrets renewal and distribution
US10819701B2 (en) 2018-03-14 2020-10-27 Microsoft Technology Licensing, Llc Autonomous secrets management for a managed service identity
US10965457B2 (en) 2018-03-14 2021-03-30 Microsoft Technology Licensing, Llc Autonomous cross-scope secrets management
US11146540B2 (en) * 2018-05-09 2021-10-12 Datalogic Ip Tech S.R.L. Systems and methods for public key exchange employing a peer-to-peer protocol
CN110472377B (zh) * 2018-05-10 2023-11-10 鸿合科技股份有限公司 一种软件自动激活验证方法、服务器、用户终端及系统
DE102018211597A1 (de) * 2018-07-12 2020-01-16 Siemens Aktiengesellschaft Verfahren zur Einrichtung eines Berechtigungsnachweises für ein erstes Gerät
CN112751852B (zh) * 2020-12-29 2022-10-11 平安普惠企业管理有限公司 数据传输方法及相关设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002169719A (ja) * 2000-08-31 2002-06-14 Sony Corp コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
JP2007094874A (ja) * 2005-09-29 2007-04-12 Oki Electric Ind Co Ltd 金融サービス提供システム
JP2011045016A (ja) * 2009-08-24 2011-03-03 Secom Co Ltd 通信システム
JP2013179489A (ja) * 2012-02-28 2013-09-09 Ricoh Co Ltd 機器管理装置、機器管理方法、機器管理プログラム
WO2015111221A1 (ja) * 2014-01-27 2015-07-30 三菱電機株式会社 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4655345B2 (ja) * 2000-08-31 2011-03-23 ソニー株式会社 情報処理装置および情報処理方法、並びにプログラム提供媒体
JP4586250B2 (ja) * 2000-08-31 2010-11-24 ソニー株式会社 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体
JP2003233590A (ja) * 2002-02-08 2003-08-22 Hitachi Ltd 移動追従型サービス提供方法、システム及びプログラム
US20040030887A1 (en) * 2002-08-07 2004-02-12 Harrisville-Wolff Carol L. System and method for providing secure communications between clients and service providers
JP4576210B2 (ja) 2003-12-16 2010-11-04 株式会社リコー 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体
JP4758095B2 (ja) 2004-01-09 2011-08-24 株式会社リコー 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体
JP2006067135A (ja) 2004-08-25 2006-03-09 Fuji Xerox Co Ltd 電子証明書利用装置及び方法並びにシステム
KR20060032888A (ko) * 2004-10-13 2006-04-18 한국전자통신연구원 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법
US20060106920A1 (en) * 2004-11-15 2006-05-18 Microsoft Corporation Method and apparatus for dynamically activating/deactivating an operating system
US8078688B2 (en) * 2006-12-29 2011-12-13 Prodea Systems, Inc. File sharing through multi-services gateway device at user premises
DE102007012749A1 (de) * 2007-03-16 2008-09-18 Siemens Ag Verfahren und System zur Bereitstellung von Diensten für Endgeräte
JP5104188B2 (ja) * 2007-10-15 2012-12-19 ソニー株式会社 サービス提供システム及び通信端末装置
JP5042109B2 (ja) * 2008-04-17 2012-10-03 株式会社リコー 電子証明書発行システム、電子証明書発行方法、及び電子証明書発行プログラム
US8948726B2 (en) * 2008-12-29 2015-02-03 Blackberry Limited Device-based network service provisioning
US8996002B2 (en) * 2010-06-14 2015-03-31 Apple Inc. Apparatus and methods for provisioning subscriber identity data in a wireless network
US20120166248A1 (en) * 2010-12-28 2012-06-28 Silberstein Yoav Remote identification and verification of storage systems
JP5855362B2 (ja) 2011-05-31 2016-02-09 株式会社日立システムズ 情報機器ライフサイクル管理システム及びその管理方法、情報管理センタ、情報管理装置並びにその情報管理方法
US9363241B2 (en) * 2012-10-31 2016-06-07 Intel Corporation Cryptographic enforcement based on mutual attestation for cloud services
US10305885B2 (en) * 2016-03-03 2019-05-28 Blackberry Limited Accessing enterprise resources using provisioned certificates

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002169719A (ja) * 2000-08-31 2002-06-14 Sony Corp コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
JP2007094874A (ja) * 2005-09-29 2007-04-12 Oki Electric Ind Co Ltd 金融サービス提供システム
JP2011045016A (ja) * 2009-08-24 2011-03-03 Secom Co Ltd 通信システム
JP2013179489A (ja) * 2012-02-28 2013-09-09 Ricoh Co Ltd 機器管理装置、機器管理方法、機器管理プログラム
WO2015111221A1 (ja) * 2014-01-27 2015-07-30 三菱電機株式会社 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019161256A (ja) * 2018-03-07 2019-09-19 株式会社東芝 情報管理装置、認証装置、情報管理システム、情報管理方法、およびコンピュータプログラム
JP2021016119A (ja) * 2019-07-16 2021-02-12 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP7298356B2 (ja) 2019-07-16 2023-06-27 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
JP2021056596A (ja) * 2019-09-27 2021-04-08 セイコーエプソン株式会社 情報処理システム、サービスシステム及び電子機器
JP7375425B2 (ja) 2019-09-27 2023-11-08 セイコーエプソン株式会社 情報処理システム、サービスシステム及び電子機器
CN114168922A (zh) * 2022-02-10 2022-03-11 亿次网联(杭州)科技有限公司 一种基于数字证书的用户ca证书生成方法和系统
JP7463606B1 (ja) 2023-09-19 2024-04-08 株式会社 日立産業制御ソリューションズ 接続切替えサーバおよび接続切替え方法

Also Published As

Publication number Publication date
JP6680022B2 (ja) 2020-04-15
US10623191B2 (en) 2020-04-14
US20170272257A1 (en) 2017-09-21

Similar Documents

Publication Publication Date Title
JP6680022B2 (ja) 情報処理装置、情報処理システム、情報処理方法及びプログラム
US10375069B2 (en) Authorization delegation system, information processing apparatus, authorization server, control method, and storage medium
CN110264182B (zh) 电子凭证管理系统
US8402459B2 (en) License management system, license management computer, license management method, and license management program embodied on computer readable medium
KR102169947B1 (ko) 에이전트 디바이스에 대한 신뢰된 신원을 확립하는 방법
JP4758095B2 (ja) 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体
JP7174237B2 (ja) 鍵生成装置、鍵更新方法および鍵更新プログラム
JP6609788B1 (ja) 情報通信機器、情報通信機器用認証プログラム及び認証方法
JP5476866B2 (ja) 通信装置、通信方法、通信用プログラムおよび通信システム
JP2005110212A (ja) 通信装置、通信システム及び証明書設定方法
JP2005284985A (ja) ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム
US20090265546A1 (en) Information processing device, electronic certificate issuing method, and computer-readable storage medium
JP2015052996A (ja) 画像形成装置、及び画像形成装置の制御方法
JP2005223891A (ja) デジタル証明書転送方法、デジタル証明書転送装置、デジタル証明書転送システム、プログラム及び記録媒体
US10185523B2 (en) Information processing system, information processing apparatus and control method therefor, and program for preventing inconsistency of a setting
JP2019067264A (ja) ソフトウェア管理システム、ソフトウェア更新装置、ソフトウェア更新方法、及びソフトウェア更新プログラム
JP2023078380A (ja) 情報処理装置、情報処理装置の制御方法、及び、プログラム
JP6786830B2 (ja) 証明書管理システム、証明書管理方法及びプログラム
JP4504130B2 (ja) 通信装置、通信システム、証明書送信方法及びプログラム
JP2017173893A (ja) 情報処理システム、更新方法、情報機器およびプログラム
JP2021179694A (ja) 管理サーバ、管理システム、管理方法、及びプログラム
JP5614197B2 (ja) 通信装置及び管理システム
JP4671638B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4778210B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP2018097888A (ja) 画像形成装置、及び画像形成装置の制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200302

R151 Written notification of patent or utility model registration

Ref document number: 6680022

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees