JP2019004289A - Information processing apparatus, control method of the same, and information processing system - Google Patents
Information processing apparatus, control method of the same, and information processing system Download PDFInfo
- Publication number
- JP2019004289A JP2019004289A JP2017117018A JP2017117018A JP2019004289A JP 2019004289 A JP2019004289 A JP 2019004289A JP 2017117018 A JP2017117018 A JP 2017117018A JP 2017117018 A JP2017117018 A JP 2017117018A JP 2019004289 A JP2019004289 A JP 2019004289A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- authority
- information processing
- confirmation
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、公開鍵証明書を発行する認証局として動作する情報処理装置およびその制御方法、システムに関するものである。 The present invention relates to an information processing apparatus that operates as a certificate authority that issues a public key certificate, a control method thereof, and a system.
IPネットワークの通信路を暗号化するプロトコルであるTLS(Transport Layer Security)等で、通信相手のなり済ましを防ぐために公開鍵証明書が使用されている。例えば、Webサーバから送信された公開鍵証明書(サーバ証明書)をWebブラウザが検証することによってWebサーバが正当な通信相手であることを認証することができる。 A public key certificate is used to prevent spoofing of a communication partner in TLS (Transport Layer Security) that is a protocol for encrypting a communication path of an IP network. For example, it is possible to authenticate that the Web server is a valid communication partner by verifying the public key certificate (server certificate) transmitted from the Web server by the Web browser.
サーバ認証に用いる公開鍵証明書であるサーバ証明書は以下の手順で発行される。まず、サーバ上で当該サーバの公開鍵を含んだ証明書署名要求を生成し、認証局に送信する。次に、認証局がサーバの実在性を確認した上でサーバの公開鍵に認証局の秘密鍵を用いて署名し、所定のフォーマットで公開鍵証明書を生成する。 A server certificate, which is a public key certificate used for server authentication, is issued according to the following procedure. First, a certificate signing request including the public key of the server is generated on the server and transmitted to the certificate authority. Next, after confirming the existence of the server, the certificate authority signs the server's public key using the certificate authority's private key, and generates a public key certificate in a predetermined format.
非特許文献1には、サーバ証明書の発行と設定の自動化を目的としたACMEプロトコルが提案されている。ACMEプロトコルでは、認証局がサーバにアクセスし存在確認することにより、証明書署名要求生成から公開鍵証明書発行までの一連のプロセスを自動化している。 Non-Patent Document 1 proposes an ACME protocol for the purpose of issuing server certificates and automating settings. In the ACME protocol, a certificate authority accesses a server and confirms its existence, thereby automating a series of processes from generation of a certificate signature request to issuance of a public key certificate.
しかしながら、上述のACMEプロトコルにおいては、TLSサーバ機能とTLSクライアント機能とを併せ持つ機器に対する適切なクライアント証明書の発行ルールについての規定が存在しない。そのため、クライアント証明書の発行をサーバ証明書の発行と同様に行った場合、発行したクライアント証明書は「ホスト名が適切に設定されたデバイス」ということを証明しているに過ぎない。すなわち、サービスへのアクセス権限を持つことについては証明することが出来ない。 However, in the above-mentioned ACME protocol, there is no provision for an appropriate rule for issuing a client certificate for a device having both a TLS server function and a TLS client function. Therefore, when issuing a client certificate in the same manner as issuing a server certificate, the issued client certificate merely proves that the device has a host name appropriately set. In other words, it cannot be proved that the user has authority to access the service.
本発明はこのような問題を鑑みてなされたものであり、機器に対するクライアント証明書の発行をより適切に実行可能とする機構を提供することを目的とする。 The present invention has been made in view of such problems, and an object of the present invention is to provide a mechanism that can more appropriately execute issuance of a client certificate to a device.
上述の問題点を解決するため、本発明に係る情報処理装置は以下の構成を備える。すなわち、機器に対して証明書を発行する認証局として動作する情報処理装置は、機器に接続して該機器の存在確認をする存在確認手段と、所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認手段と、前記存在確認手段による確認結果と前記権限確認手段による確認結果とに基づいて前記機器にクライアント証明書を発行する第1の発行手段と、を有する。 In order to solve the above-described problems, an information processing apparatus according to the present invention has the following configuration. That is, an information processing apparatus that operates as a certificate authority that issues a certificate to a device is connected to the device to check presence of the device, and refers to the given access authority information to the device. Authority confirming means for confirming the access authority for the given service; first issuing means for issuing a client certificate to the device based on the confirmation result by the existence confirming means and the confirmation result by the authority confirming means; Have.
本発明によれば、機器に対するクライアント証明書の発行をより適切に実行可能とする機構を提供することができる。 According to the present invention, it is possible to provide a mechanism that can more appropriately issue a client certificate to a device.
以下に、図面を参照して、この発明の実施の形態の一例を詳しく説明する。なお、以下の実施の形態はあくまで例示であり、本発明の範囲を限定する趣旨のものではない。 Hereinafter, an example of an embodiment of the present invention will be described in detail with reference to the drawings. The following embodiments are merely examples, and are not intended to limit the scope of the present invention.
(第1実施形態)
本発明に係る情報処理装置の第1実施形態として、ACMEプロトコルに則って機器(デバイス)の存在確認を行う認証局(ACMEサーバ)を例に挙げて以下に説明する。ACMEは、Automatic Certificate Management Environmentの略である。
(First embodiment)
As a first embodiment of the information processing apparatus according to the present invention, a certificate authority (ACME server) that confirms the existence of a device (device) according to the ACME protocol will be described below as an example. ACME is an abbreviation for Automatic Certificate Management Environment.
<システム構成>
図1は、第1実施形態に係る情報処理システムの構成要素を示したブロック図である。情報処理システムは、公開鍵証明書(クライアント証明書など)のインストール先である機器100と、公開鍵証明書を発行する認証局200とを含む。機器100と認証局200とは任意の通信路を介して通信可能になるように接続されている。
<System configuration>
FIG. 1 is a block diagram illustrating components of the information processing system according to the first embodiment. The information processing system includes a
機器100は、HTTPサーバ101、TLSサーバ102、HTTPクライアント103、TLSクライアント104の各機能部を有している。すなわち、機器100は、HTTPプロトコルを介して他の装置にアクセスする機能、及び、他の機器からのアクセスを受け付ける機能を有している。また、当該アクセスにTLSを用いることが可能になるように構成されている。機器100は、さらに、ACMEプロトコル処理で利用されるアカウント公開鍵106およびアカウント秘密鍵107を有している。なお、アカウント公開鍵106およびアカウント秘密鍵107を格納した記憶媒体(光学ディスク、半導体記憶メディアなど)にアクセスする構成でもよい。
The
認証局200は、HTTPサーバ201、TLSサーバ202、HTTPクライアント203、TLSクライアント204の各機能部を有している。すなわち、認証局200も、HTTPプロトコルを介して他の装置にアクセスする機能、及び、他の機器からのアクセスを受け付ける機能を有している。また、当該アクセスにTLSを用いることが可能になるように構成されている。認証局200は、さらに、デバイス/サービス対応表205を備える。デバイス/サービス対応表205の詳細については後述する。
The
図5は、情報処理システムの各装置(機器100、認証局200)を構成する情報処理装置500のハードウェア構成を示す図である。ここでは、一例として一般に普及しているPCと同様の構成を示している。情報処理装置500が、所定のソフトウェアプログラムを実行することにより、機器100、認証局200それぞれにおける各機能が実現される。
FIG. 5 is a diagram illustrating a hardware configuration of an
情報処理装置500の内部では、バス510により後述する各ブロックが接続され、種々のデータの受け渡しが可能である。MPU501は、情報処理装置500内部の各ブロックの動作を制御し、あるいはHDD503もしくはROM504に記憶されたプログラムを実行することができる。主記憶装置502は、MPU501において行われる処理のために、一時的にプログラムや処理対象のデータを格納しておく装置である。
Inside the
入力インタフェース(I/F)507は、キーボード505もしくはマウス506を介してユーザから入力された情報を情報処理装置500に入力する。また、ディスプレイ508は、ユーザのための操作画面を表示する。また、ネットワークインタフェース(I/F)509は、他の機器との通信に利用される。なお、上述のユーザからの入力および操作画面の表示をネットワークI/F509を介して、外部の機器で行うよう構成してもよい。
An input interface (I / F) 507 inputs information input from a user via the keyboard 505 or the
<デバイス/サービス対応表>
図2は、デバイス/サービス対応表205を例示的に示す図である。デバイス/サービス対応表205は、「デバイスID」、「URI」、「接続可否」の3つの情報を関連付けたレコードを含むテーブルである。ただし、テーブル形式で構成せず、他の形式の所与のアクセス権限情報として構成してもよい。
<Device / service compatibility table>
FIG. 2 is a diagram exemplarily showing the device / service correspondence table 205. The device / service correspondence table 205 is a table including a record in which three pieces of information of “device ID”, “URI”, and “connection availability” are associated. However, it may be configured as given access authority information in another format without being configured in a table format.
「デバイスID」フィールドは、機器の識別情報(識別子)を値として格納するフィールドである。例えば、機器のシリアル番号が格納される。「URI」フィールドは、所与のサービスにアクセスするためのアクセス先を示す情報を値として格納するフィールドである。ここでは、サービスに対応するURI(Uniform Resource Identifier)が格納される。「接続可否」フィールドは、「デバイスID」フィールドで指定された機器が「URI」フィールドで識別されるサービスにアクセス可能か否かを示す情報を値として格納するフィールドである。例えば、アクセス可能な場合には「許可」、アクセスできない場合には「不許可」の値が入る。 The “device ID” field is a field for storing device identification information (identifier) as a value. For example, the serial number of the device is stored. The “URI” field is a field for storing information indicating an access destination for accessing a given service as a value. Here, a URI (Uniform Resource Identifier) corresponding to the service is stored. The “connectability” field is a field that stores, as a value, information indicating whether the device specified in the “device ID” field can access the service identified in the “URI” field. For example, a value of “permitted” is entered when access is possible, and “not permitted” is entered when access is not possible.
図2では、一例として、デバイスIDが”AAA”の装置に対する、サーバ”Example.com”で提供される各サービスへのアクセス可否を示すテーブルを示している。ここでは、閲覧(browse)サービスへのアクセスは許可するが、アップロード(upload)サービスへのアクセスは許可しない例を示している。 FIG. 2 shows, as an example, a table indicating whether or not each apparatus provided by the server “Example.com” can be accessed with respect to a device whose device ID is “AAA”. Here, an example is shown in which access to the browse service is permitted, but access to the upload service is not permitted.
デバイス/サービス対応表205は、操作画面の1つである管理UIを介して管理者が手動で入力し生成してもよいし、少なくとも一部を自動的に生成してもよい。例えば、機器のMACアドレス等のネットワーク識別子を用いてデバイスIDを自動的に生成してもよい。また、所定のURIを有するサービス提供サーバと通信し当該機器の接続可否を決定してもよい。 The device / service correspondence table 205 may be manually input by an administrator via a management UI that is one of operation screens, or may be automatically generated at least partially. For example, the device ID may be automatically generated using a network identifier such as a device MAC address. Further, communication with a service providing server having a predetermined URI may be performed to determine whether or not the device can be connected.
<システムの動作>
図3は、第1実施形態におけるクライアント証明書の発行動作を示すシーケンス図である。第1実施形態では、「事前準備(S301〜S303)」「存在確認(S304〜S310)」「サーバ証明書発行(S311〜S315)」「クライアント証明書発行(S316〜S325)」の4つのフェーズから構成される。
<System operation>
FIG. 3 is a sequence diagram showing a client certificate issuance operation in the first embodiment. In the first embodiment, there are four phases: “Preliminary preparation (S301 to S303)”, “Existence confirmation (S304 to S310)”, “Server certificate issuance (S311 to S315)”, and “Client certificate issuance (S316 to S325)”. Consists of
ステップS301では、機器100は、アカウント公開鍵106およびアカウント秘密鍵107のペアを生成する。ステップS302では、機器100は、アカウント公開鍵106を認証局200へ送信する。ステップS303では、認証局200は、受信したアカウント公開鍵106を登録する。これにより、機器100は、ACMEクライアントとしてACMEサーバである認証局200への登録を完了させておく。
In step S301, the
ステップS304では、機器100は、ホスト名をIdentifierとして認証局200へ送信する。ステップS305では、認証局200は、機器100へチャレンジを送信する。ここでのチャレンジは、tokenと呼ばれる乱数である。ステップS306では、機器100は、tokenをアカウント秘密鍵107で変換して得られる値であるレスポンスを認証局200へ送信する。また、機器100は、認証局200にアクセスさせるURIを”http://{domain}/.well−known/acme−challenge/{token}”として構成し、認証局200からアクセス可能にする。
In step S304, the
ステップS307では、認証局200は、”http://{domain}/.well−known/acme−challenge/{token}”にアクセスする。ステップS308では、機器100は、アクセスに対するレスポンスを送信する。ステップS309では、認証局200は、レスポンスをアカウント公開鍵106で変換した結果がtokenと等しくなることを確認する。ステップS310では、機器100は、認証局200にポーリングし、認証が完了したことを通知する。これにより、認証局200は、ACMEプロトコルに準拠した通信により機器100が存在することを確認することが出来る。
In step S307, the
ステップS311では、機器100は、S312〜S315で使用されることになる秘密鍵および公開鍵を生成する。ステップS312では、機器100は、証明書署名要求(CSR:certificate signing request)を生成する。具体的には、ホスト名、有効期間等に基づいて、サーバ証明書署名要求を生成する。ステップS313では、機器100は、サーバ証明書署名要求にアカウント秘密鍵で署名を付与した上で認証局200へ送信する。
In step S311, the
ステップS314では、認証局200は、署名されたサーバ証明書署名要求をアカウント公開鍵を利用して検証し、検証に成功すればサーバ証明書を生成する。ステップS315では、認証局200は、サーバ証明書と更新用URIを機器100へ送信する。
In step S314, the
ステップS316では、機器100は、S317〜S325で使用されることになる秘密鍵および公開鍵を生成する。ステップS317では、機器100は、証明書署名要求(CSR)を生成する。具体的には、デバイスID、有効期間等に基づいて、クライアント証明書署名要求を生成する。ステップS318では、機器100は、クライアント証明書署名要求にアカウント秘密鍵で署名を付与した上で認証局200へ送信する。
In step S316, the
ステップS319では、認証局200は、アカウント公開鍵で署名を検証する。検証に失敗したら(S319のNO)、クライアント証明書を発行せずに処理を終了する。検証に成功したら(S319のYES)、S320に進む。
In step S319, the
ステップS320では、認証局200は、S313で受信した証明書署名要求に含まれている公開鍵とS318で受信した証明書署名要求に含まれている公開鍵とを比較する。もし同一と判定されたならば(S320のNO)、クライアント証明書を抑止し処理を終了する。もし同一でなければ(S320のYES)、S321に進む。
In step S320, the
ステップS321では、認証局200は、S318で受信した証明書署名要求に含まれている使用用途がクライアント証明書として適切である所定の用途であるか否かを確認する。ここでは、「Key Usage」及び「Extended Key Usage」の値を確認する。具体的には、「Key usage」の値が「Digital signature」であり、かつ、「Extended key usage」の値が「TLS Web client」であるか否かを確認する。適切であれば(S321のYES)S322に進み、適切でなければ(S321のNO)クライアント証明書を抑止し処理を終了する。
In step S321, the
ステップS322では、認証局200は、証明書署名要求中の「Subject」フィールドがデバイス/サービス対応表205の「デバイスID」項目と等しく、かつ、「接続可否」項目が「許可」となっていることを確認(権限確認)する。もし、デバイス/サービス対応表205に対応するデバイスIDが存在しなければ(ステップS322のNO)、クライアント証明書を抑止し処理を終了する。存在すれば(ステップS322のYES)、S323に進む。
In step S322, the
ステップS323では、認証局200は、クライアント証明書を生成する。ステップS324では、認証局200は、機器100へクライアント証明書と更新用URIを送信する。ステップS325では、認証局200は、発行したクライアント証明書を、デバイス/サービス対応表205のURI項目のサービス提供サーバに送信し、登録させる。
In step S323, the
なお、サーバ証明書発行(S311〜S315)に関する処理は省略してもよい。その場合はS320も不要となる。また、S316における公開鍵・秘密鍵の生成を電源投入時に行うように変更してもよい。 The processing related to server certificate issuance (S311 to S315) may be omitted. In that case, S320 is also unnecessary. Further, the public key / private key generation in S316 may be changed to be performed when the power is turned on.
以上説明したとおり第1実施形態によれば、機器の存在の確認結果と当該機器のサービスへのアクセス権限の確認結果とに基づいて、当該機器へのクライアント証明書を発行する。これにより、サービスへのアクセス権限に対応したクライアント証明書を適切に発行することが可能となる。 As described above, according to the first embodiment, the client certificate for the device is issued based on the confirmation result of the presence of the device and the confirmation result of the authority to access the service of the device. This makes it possible to appropriately issue a client certificate corresponding to the access authority to the service.
また、第1実施形態では、ACMEプロトコルに則って認証局が機器の存在確認を行った後に、クライアント証明書用のCSRを機器から認証局に送信する。そして、認証局で機器が接続してよいか確認してからクライアント証明書を発行する。したがって、この形態は、ACMEを用いて頻繁にサーバ証明書を更新する場合、同時にクライアント証明書を取得するユースケースに適合する。 In the first embodiment, after the certificate authority confirms the existence of the device in accordance with the ACME protocol, the client certificate CSR is transmitted from the device to the certificate authority. The certificate authority issues a client certificate after confirming whether the device can be connected. Therefore, this form is suitable for a use case of acquiring a client certificate at the same time when the server certificate is frequently updated using ACME.
(第2実施形態)
第2実施形態では、認証局が、サーバ認証を実行するためにTLS通信路を用いて証明書署名要求(CSR)を機器100から取得し、クライアント証明書を発行する形態について説明する。この形態は、ネットワーク監視サーバのように、常時TLSクライアントとTLSサーバが稼働する場合に好適に実施され得る。
(Second Embodiment)
In the second embodiment, a mode is described in which a certificate authority obtains a certificate signature request (CSR) from the
<システムの動作>
図4は、第2実施形態におけるクライアント証明書の発行動作を示すシーケンス図である。第2実施形態では、「TLS通信路確立(S401〜S406)」「クライアント証明書発行(S408〜S416)」の2つのフェーズから構成される。
<System operation>
FIG. 4 is a sequence diagram illustrating a client certificate issuance operation according to the second embodiment. The second embodiment includes two phases: “TLS communication path establishment (S401 to S406)” and “client certificate issuance (S408 to S416)”.
ステップS401では、機器100は、認証局200にHTTPクライアントとして接続リクエストを送信する。ステップS402では、認証局200は、機器100とのTLS確立手順を開始する。すなわち、「ClientHello」メッセージを機器100に送信する。ステップS403では、機器100は、「ServerHello」メッセージ、サーバ証明書、「ServerHelloDone」メッセージを送信する。
In step S401, the
ステップS404では、認証局200は、サーバ証明書のデジタル署名を検証する。デジタル署名検証に成功したら、S405に進む。ステップS405では、認証局200は、暗号化鍵生成に使用するPreMasterSecretをサーバ証明書の公開鍵で暗号化する。暗号化されたPreMasterSecretを「ClientKeyExchange」メッセージで送信する。さらに、「ChangeCipherSpec」、「Finished」メッセージを送信する。ステップS406は、機器100は、「ChangeCipherSpec」、「Finished」メッセージを送信する。
In step S404, the
以上のTLS確立手順が完了すると、機器100と認証局200の間でTLS通信路が確立し、データを暗号化して送受信できる。また、TLS確立手順により、認証局200は、機器100の存在確認と行うことが可能となる。
When the above TLS establishment procedure is completed, a TLS communication path is established between the
なお、上述の説明においては、TLS接続確立時に送受信するメッセージは、サーバ証明書を使用し、サーバ証明書の公開鍵を用いて鍵交換する暗号スイートを用いる形態について説明したが、サーバ認証を行う他の暗号スイートを用いてもよい。例えば、ECDH(Elliptic curve Diffie-Hellman)鍵交換方式を用いる暗号スイートが利用可能である。ただし、この場合は、送受信するメッセージは上述の説明と一部異なることになる。 In the above description, the message transmitted and received at the time of establishing the TLS connection has been described using the server certificate, and the cipher suite for exchanging keys using the public key of the server certificate. However, server authentication is performed. Other cipher suites may be used. For example, a cipher suite using an ECDH (Elliptic curve Diffie-Hellman) key exchange method can be used. However, in this case, the message to be transmitted / received is partially different from the above description.
クライアント証明書発行(S408〜S416)は、第1実施形態のS316〜S325に相当する。ただし、上述したように、サーバ証明書の検証処理(S404)によって認証局200による機器100の存在確認が完了している。そのため、認証局200がアカウント公開鍵での署名検証(S319)は必要ないことになる。
The client certificate issuance (S408 to S416) corresponds to S316 to S325 of the first embodiment. However, as described above, the existence confirmation of the
以上説明したとおり第2実施形態によれば、認証局200は、TLS通信路を確立した上で機器100に証明書署名要求を送信させ、クライアント証明書を発行する。すなわち、TLS確立手順の完了をもって機器100の存在確認とすることにより、より簡易な処理とすることが可能となる。
As described above, according to the second embodiment, the
(その他の実施例)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
(Other examples)
The present invention supplies a program that realizes one or more functions of the above-described embodiments to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus read and execute the program This process can be realized. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.
100 機器; 101 HTTPサーバ; 102 TLSサーバ; 103 HTTPクライアント; 104 TLSクライアント; 106 アカウント公開鍵; 107 アカウント秘密鍵; 200 認証局; 201 HTTPサーバ; 202 TLSサーバ; 203 HTTPクライアント; 204 TLSクライアント; 205 デバイス/サービス対応表 100 equipment; 101 HTTP server; 102 TLS server; 103 HTTP client; 104 TLS client; 106 account public key; 107 account secret key; 200 certificate authority; 201 HTTP server; 202 TLS server; 203 HTTP client; Device / service compatibility table
Claims (10)
機器に接続して該機器の存在確認をする存在確認手段と、
所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認手段と、
前記存在確認手段による確認結果と前記権限確認手段による確認結果とに基づいて前記機器にクライアント証明書を発行する第1の発行手段と、
を有することを特徴とする情報処理装置。 An information processing apparatus that operates as a certificate authority that issues a certificate to a device,
A presence checking means for connecting to a device and checking the presence of the device;
Authority confirmation means for confirming access authority regarding a given service of the device with reference to given access authority information;
First issuing means for issuing a client certificate to the device based on the confirmation result by the presence confirmation means and the confirmation result by the authority confirmation means;
An information processing apparatus comprising:
ことを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the presence confirmation unit performs the presence confirmation through communication based on an ACME (Automatic Certificate Management Environment) protocol.
前記機器から受信したサーバ証明書の証明書署名要求に含まれる第2の公開鍵と、該機器から受信したクライアント証明書の証明書署名要求に含まれる第1の公開鍵と、を比較する比較手段と、
を更に有し、
前記第1の発行手段は、前記比較手段により前記第1の公開鍵と前記第2の公開鍵とが同一であると判定された場合、前記クライアント証明書の発行を抑止する
ことを特徴とする請求項1又は2に記載の情報処理装置。 Second issuing means for issuing a server certificate to the device;
Comparison comparing the second public key included in the certificate signing request for the server certificate received from the device and the first public key included in the certificate signing request for the client certificate received from the device Means,
Further comprising
The first issuing unit suppresses the issuance of the client certificate when the comparing unit determines that the first public key and the second public key are the same. The information processing apparatus according to claim 1 or 2.
ことを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the presence check unit executes the presence check by establishing a TLS communication path with the device.
ことを特徴とする請求項4に記載の情報処理装置。 The information processing apparatus according to claim 4, wherein the presence check unit performs the presence check by verifying a server certificate received from the device when the TLS communication path is established.
前記第1の発行手段は、前記確認手段により前記第1の公開鍵の使用用途が前記所定の用途ではないと確認された場合、前記クライアント証明書の発行を抑止する
ことを特徴とする請求項1乃至5の何れか1項に記載の情報処理装置。 Further comprising confirmation means for confirming whether or not the usage of the first public key included in the certificate signature request of the client certificate received from the device is a predetermined usage;
The said 1st issuing means suppresses issuing of the said client certificate, when it is confirmed by the said confirmation means that the use use of the said 1st public key is not the said predetermined use. The information processing apparatus according to any one of 1 to 5.
ことを特徴とする請求項1乃至6の何れか1項に記載の情報処理装置。 The given access authority information is configured as a table including a record in which a device identifier, a URI (Uniform Resource Identifier) indicating a service, and information indicating whether the device can access the service are associated with each other. The information processing apparatus according to any one of claims 1 to 6.
機器に接続して該機器の存在確認をする存在確認工程と、
所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認工程と、
前記存在確認工程における確認結果と前記権限確認工程における確認結果とに基づいて前記機器にクライアント証明書を発行する発行工程と、
を有することを特徴とする情報処理装置の制御方法。 A method of controlling an information processing apparatus that operates as a certificate authority that issues a certificate to a device,
A presence confirmation step of connecting to a device and confirming the presence of the device;
An authority confirmation step for confirming access authority for a given service of the device with reference to given access authority information;
Issuing step of issuing a client certificate to the device based on the confirmation result in the presence confirmation step and the confirmation result in the authority confirmation step;
A method for controlling an information processing apparatus, comprising:
前記認証局は、
前記機器に接続して該機器の存在確認をする存在確認手段と、
所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認手段と、
前記存在確認手段による確認結果と前記権限確認手段による確認結果とに基づいて前記機器にクライアント証明書を発行する発行手段と、
を有することを特徴とする情報処理システム。 An information processing system including a device and a certificate authority that issues a certificate to the device,
The certificate authority
Presence checking means for connecting to the device and checking the presence of the device;
Authority confirmation means for confirming access authority regarding a given service of the device with reference to given access authority information;
Issuing means for issuing a client certificate to the device based on the confirmation result by the existence confirmation unit and the confirmation result by the authority confirmation unit;
An information processing system comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017117018A JP2019004289A (en) | 2017-06-14 | 2017-06-14 | Information processing apparatus, control method of the same, and information processing system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017117018A JP2019004289A (en) | 2017-06-14 | 2017-06-14 | Information processing apparatus, control method of the same, and information processing system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019004289A true JP2019004289A (en) | 2019-01-10 |
Family
ID=65006140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017117018A Pending JP2019004289A (en) | 2017-06-14 | 2017-06-14 | Information processing apparatus, control method of the same, and information processing system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019004289A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210011714A (en) * | 2019-07-23 | 2021-02-02 | 에스케이씨 주식회사 | Film for bonding and light transmitting layered product comprising of the same |
WO2022259312A1 (en) * | 2021-06-07 | 2022-12-15 | 日本電信電話株式会社 | Certificate issuance assistance system, certificate issuance assistance method, and program |
-
2017
- 2017-06-14 JP JP2017117018A patent/JP2019004289A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210011714A (en) * | 2019-07-23 | 2021-02-02 | 에스케이씨 주식회사 | Film for bonding and light transmitting layered product comprising of the same |
WO2022259312A1 (en) * | 2021-06-07 | 2022-12-15 | 日本電信電話株式会社 | Certificate issuance assistance system, certificate issuance assistance method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110770695B (en) | Internet of things (IOT) device management | |
US10630489B2 (en) | Apparatus and method for managing digital certificates | |
US8532620B2 (en) | Trusted mobile device based security | |
JP5980961B2 (en) | Multi-factor certificate authority | |
US9680827B2 (en) | Geo-fencing cryptographic key material | |
US9647998B2 (en) | Geo-fencing cryptographic key material | |
US9654922B2 (en) | Geo-fencing cryptographic key material | |
JP5745690B2 (en) | Dynamic platform reconfiguration with multi-tenant service providers | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
JP2018007039A (en) | Communication device, communication method, communication system, and program | |
JP2007159134A (en) | System and method for setting temporary and permanent credential for safe, on-line commercial transaction | |
JP6012888B2 (en) | Device certificate providing apparatus, device certificate providing system, and device certificate providing program | |
US11323433B2 (en) | Digital credential management method and device | |
JP2018092446A (en) | Authentication approval system, information processing apparatus, authentication approval method, and program | |
JP2018041224A (en) | Software update system | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
JP2007181123A (en) | Digital certificate exchange method, terminal device, and program | |
JP6465426B1 (en) | Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method | |
JP2019004289A (en) | Information processing apparatus, control method of the same, and information processing system | |
CN113647080B (en) | Providing digital certificates in a cryptographically secure manner | |
JP6451965B2 (en) | Communication apparatus, counterpart communication apparatus, and communication program | |
WO2020049754A1 (en) | Information processing method, information processing program, information processing apparatus, and information processing system | |
JP6045018B2 (en) | Electronic signature proxy server, electronic signature proxy system, and electronic signature proxy method | |
JP2019134333A (en) | Information processing system, client device, authentication and authorization server, control method, and program thereof | |
US11924286B2 (en) | Encrypted communication processing apparatus, encrypted communication processing system, and non-transitory recording medium |