JP2019004289A - Information processing apparatus, control method of the same, and information processing system - Google Patents

Information processing apparatus, control method of the same, and information processing system Download PDF

Info

Publication number
JP2019004289A
JP2019004289A JP2017117018A JP2017117018A JP2019004289A JP 2019004289 A JP2019004289 A JP 2019004289A JP 2017117018 A JP2017117018 A JP 2017117018A JP 2017117018 A JP2017117018 A JP 2017117018A JP 2019004289 A JP2019004289 A JP 2019004289A
Authority
JP
Japan
Prior art keywords
certificate
authority
information processing
confirmation
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017117018A
Other languages
Japanese (ja)
Inventor
江口 貴巳
Takami Eguchi
貴巳 江口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2017117018A priority Critical patent/JP2019004289A/en
Publication of JP2019004289A publication Critical patent/JP2019004289A/en
Pending legal-status Critical Current

Links

Images

Abstract

To issue client certificates to devices more properly.SOLUTION: The information processing apparatus that operates as a certificate authority that issues a certificate to a device, and includes: existence confirmation means that connects to the device and checks existence of the device; authorization confirmation means for referring to given access authority information to confirm access authority regarding a given service of the device; and issuing means for issuing a client certificate to the device on the basis of the confirmation result by the existence confirmation means and the confirmation result by the authority confirmation means.SELECTED DRAWING: Figure 3

Description

本発明は、公開鍵証明書を発行する認証局として動作する情報処理装置およびその制御方法、システムに関するものである。   The present invention relates to an information processing apparatus that operates as a certificate authority that issues a public key certificate, a control method thereof, and a system.

IPネットワークの通信路を暗号化するプロトコルであるTLS(Transport Layer Security)等で、通信相手のなり済ましを防ぐために公開鍵証明書が使用されている。例えば、Webサーバから送信された公開鍵証明書(サーバ証明書)をWebブラウザが検証することによってWebサーバが正当な通信相手であることを認証することができる。   A public key certificate is used to prevent spoofing of a communication partner in TLS (Transport Layer Security) that is a protocol for encrypting a communication path of an IP network. For example, it is possible to authenticate that the Web server is a valid communication partner by verifying the public key certificate (server certificate) transmitted from the Web server by the Web browser.

サーバ認証に用いる公開鍵証明書であるサーバ証明書は以下の手順で発行される。まず、サーバ上で当該サーバの公開鍵を含んだ証明書署名要求を生成し、認証局に送信する。次に、認証局がサーバの実在性を確認した上でサーバの公開鍵に認証局の秘密鍵を用いて署名し、所定のフォーマットで公開鍵証明書を生成する。   A server certificate, which is a public key certificate used for server authentication, is issued according to the following procedure. First, a certificate signing request including the public key of the server is generated on the server and transmitted to the certificate authority. Next, after confirming the existence of the server, the certificate authority signs the server's public key using the certificate authority's private key, and generates a public key certificate in a predetermined format.

非特許文献1には、サーバ証明書の発行と設定の自動化を目的としたACMEプロトコルが提案されている。ACMEプロトコルでは、認証局がサーバにアクセスし存在確認することにより、証明書署名要求生成から公開鍵証明書発行までの一連のプロセスを自動化している。   Non-Patent Document 1 proposes an ACME protocol for the purpose of issuing server certificates and automating settings. In the ACME protocol, a certificate authority accesses a server and confirms its existence, thereby automating a series of processes from generation of a certificate signature request to issuance of a public key certificate.

Automatic Certificate Management Environment (ACME), draft-ietf-acme-acme-03,https://datatracker.ietf.org/doc/draft-ietf-acme-acme/,2016年Automatic Certificate Management Environment (ACME), draft-ietf-acme-acme-03, https://datatracker.ietf.org/doc/draft-ietf-acme-acme/, 2016

しかしながら、上述のACMEプロトコルにおいては、TLSサーバ機能とTLSクライアント機能とを併せ持つ機器に対する適切なクライアント証明書の発行ルールについての規定が存在しない。そのため、クライアント証明書の発行をサーバ証明書の発行と同様に行った場合、発行したクライアント証明書は「ホスト名が適切に設定されたデバイス」ということを証明しているに過ぎない。すなわち、サービスへのアクセス権限を持つことについては証明することが出来ない。   However, in the above-mentioned ACME protocol, there is no provision for an appropriate rule for issuing a client certificate for a device having both a TLS server function and a TLS client function. Therefore, when issuing a client certificate in the same manner as issuing a server certificate, the issued client certificate merely proves that the device has a host name appropriately set. In other words, it cannot be proved that the user has authority to access the service.

本発明はこのような問題を鑑みてなされたものであり、機器に対するクライアント証明書の発行をより適切に実行可能とする機構を提供することを目的とする。   The present invention has been made in view of such problems, and an object of the present invention is to provide a mechanism that can more appropriately execute issuance of a client certificate to a device.

上述の問題点を解決するため、本発明に係る情報処理装置は以下の構成を備える。すなわち、機器に対して証明書を発行する認証局として動作する情報処理装置は、機器に接続して該機器の存在確認をする存在確認手段と、所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認手段と、前記存在確認手段による確認結果と前記権限確認手段による確認結果とに基づいて前記機器にクライアント証明書を発行する第1の発行手段と、を有する。   In order to solve the above-described problems, an information processing apparatus according to the present invention has the following configuration. That is, an information processing apparatus that operates as a certificate authority that issues a certificate to a device is connected to the device to check presence of the device, and refers to the given access authority information to the device. Authority confirming means for confirming the access authority for the given service; first issuing means for issuing a client certificate to the device based on the confirmation result by the existence confirming means and the confirmation result by the authority confirming means; Have.

本発明によれば、機器に対するクライアント証明書の発行をより適切に実行可能とする機構を提供することができる。   According to the present invention, it is possible to provide a mechanism that can more appropriately issue a client certificate to a device.

第1実施形態に係る情報処理システムの構成要素を示したブロック図である。It is the block diagram which showed the component of the information processing system which concerns on 1st Embodiment. デバイス/サービス対応表を例示的に示す図である。It is a figure which shows an example device / service correspondence table | surface. 第1実施形態におけるクライアント証明書の発行動作を示すシーケンス図である。It is a sequence diagram which shows the issuing operation | movement of the client certificate in 1st Embodiment. 第2実施形態におけるクライアント証明書の発行動作を示すシーケンス図である。It is a sequence diagram which shows the issuing operation | movement of the client certificate in 2nd Embodiment. 情報処理装置のハードウェア構成を示す図である。It is a figure which shows the hardware constitutions of information processing apparatus.

以下に、図面を参照して、この発明の実施の形態の一例を詳しく説明する。なお、以下の実施の形態はあくまで例示であり、本発明の範囲を限定する趣旨のものではない。   Hereinafter, an example of an embodiment of the present invention will be described in detail with reference to the drawings. The following embodiments are merely examples, and are not intended to limit the scope of the present invention.

(第1実施形態)
本発明に係る情報処理装置の第1実施形態として、ACMEプロトコルに則って機器(デバイス)の存在確認を行う認証局(ACMEサーバ)を例に挙げて以下に説明する。ACMEは、Automatic Certificate Management Environmentの略である。 (First embodiment)
As a first embodiment of the information processing apparatus according to the present invention, a certificate authority (ACME server) that confirms the existence of a device (device) according to the ACME protocol will be described below as an example. ACME is an abbreviation for Automatic Certificate Management Environment.

<システム構成>
図1は、第1実施形態に係る情報処理システムの構成要素を示したブロック図である。情報処理システムは、公開鍵証明書(クライアント証明書など)のインストール先である機器100と、公開鍵証明書を発行する認証局200とを含む。機器100と認証局200とは任意の通信路を介して通信可能になるように接続されている。 <System configuration>
FIG. 1 is a block diagram illustrating components of the information processing system according to the first embodiment. The information processing system includes a device 100 on which a public key certificate (client certificate or the like) is installed, and a certificate authority 200 that issues the public key certificate. The device 100 and the certificate authority 200 are connected so as to be communicable via an arbitrary communication path.

機器100は、HTTPサーバ101、TLSサーバ102、HTTPクライアント103、TLSクライアント104の各機能部を有している。すなわち、機器100は、HTTPプロトコルを介して他の装置にアクセスする機能、及び、他の機器からのアクセスを受け付ける機能を有している。また、当該アクセスにTLSを用いることが可能になるように構成されている。機器100は、さらに、ACMEプロトコル処理で利用されるアカウント公開鍵106およびアカウント秘密鍵107を有している。なお、アカウント公開鍵106およびアカウント秘密鍵107を格納した記憶媒体(光学ディスク、半導体記憶メディアなど)にアクセスする構成でもよい。   The device 100 includes functional units of an HTTP server 101, a TLS server 102, an HTTP client 103, and a TLS client 104. In other words, the device 100 has a function of accessing other devices via the HTTP protocol and a function of accepting access from other devices. In addition, TLS can be used for the access. The device 100 further includes an account public key 106 and an account secret key 107 that are used in the ACME protocol process. In addition, the structure which accesses the storage medium (an optical disc, a semiconductor storage medium, etc.) which stored the account public key 106 and the account private key 107 may be sufficient.

認証局200は、HTTPサーバ201、TLSサーバ202、HTTPクライアント203、TLSクライアント204の各機能部を有している。すなわち、認証局200も、HTTPプロトコルを介して他の装置にアクセスする機能、及び、他の機器からのアクセスを受け付ける機能を有している。また、当該アクセスにTLSを用いることが可能になるように構成されている。認証局200は、さらに、デバイス/サービス対応表205を備える。デバイス/サービス対応表205の詳細については後述する。   The certificate authority 200 has functional units of an HTTP server 201, a TLS server 202, an HTTP client 203, and a TLS client 204. In other words, the certificate authority 200 also has a function of accessing other devices via the HTTP protocol and a function of accepting access from other devices. In addition, TLS can be used for the access. The certificate authority 200 further includes a device / service correspondence table 205. Details of the device / service correspondence table 205 will be described later.

図5は、情報処理システムの各装置(機器100、認証局200)を構成する情報処理装置500のハードウェア構成を示す図である。ここでは、一例として一般に普及しているPCと同様の構成を示している。情報処理装置500が、所定のソフトウェアプログラムを実行することにより、機器100、認証局200それぞれにおける各機能が実現される。   FIG. 5 is a diagram illustrating a hardware configuration of an information processing apparatus 500 that configures each apparatus (device 100 and certificate authority 200) of the information processing system. Here, as an example, a configuration similar to that of a generally popular PC is shown. When the information processing apparatus 500 executes a predetermined software program, each function in the device 100 and the certificate authority 200 is realized.

情報処理装置500の内部では、バス510により後述する各ブロックが接続され、種々のデータの受け渡しが可能である。MPU501は、情報処理装置500内部の各ブロックの動作を制御し、あるいはHDD503もしくはROM504に記憶されたプログラムを実行することができる。主記憶装置502は、MPU501において行われる処理のために、一時的にプログラムや処理対象のデータを格納しておく装置である。   Inside the information processing apparatus 500, blocks which will be described later are connected by a bus 510, and various data can be transferred. The MPU 501 can control the operation of each block in the information processing apparatus 500 or can execute a program stored in the HDD 503 or the ROM 504. The main storage device 502 is a device that temporarily stores programs and data to be processed for processing performed in the MPU 501.

入力インタフェース(I/F)507は、キーボード505もしくはマウス506を介してユーザから入力された情報を情報処理装置500に入力する。また、ディスプレイ508は、ユーザのための操作画面を表示する。また、ネットワークインタフェース(I/F)509は、他の機器との通信に利用される。なお、上述のユーザからの入力および操作画面の表示をネットワークI/F509を介して、外部の機器で行うよう構成してもよい。   An input interface (I / F) 507 inputs information input from a user via the keyboard 505 or the mouse 506 to the information processing apparatus 500. The display 508 displays an operation screen for the user. A network interface (I / F) 509 is used for communication with other devices. In addition, you may comprise so that the input from the above-mentioned user and the display of an operation screen may be performed with an external apparatus via network I / F509.

<デバイス/サービス対応表>
図2は、デバイス/サービス対応表205を例示的に示す図である。デバイス/サービス対応表205は、「デバイスID」、「URI」、「接続可否」の3つの情報を関連付けたレコードを含むテーブルである。ただし、テーブル形式で構成せず、他の形式の所与のアクセス権限情報として構成してもよい。 <Device / service compatibility table>
FIG. 2 is a diagram exemplarily showing the device / service correspondence table 205. The device / service correspondence table 205 is a table including a record in which three pieces of information of “device ID”, “URI”, and “connection availability” are associated. However, it may be configured as given access authority information in another format without being configured in a table format.

「デバイスID」フィールドは、機器の識別情報(識別子)を値として格納するフィールドである。例えば、機器のシリアル番号が格納される。「URI」フィールドは、所与のサービスにアクセスするためのアクセス先を示す情報を値として格納するフィールドである。ここでは、サービスに対応するURI(Uniform Resource Identifier)が格納される。「接続可否」フィールドは、「デバイスID」フィールドで指定された機器が「URI」フィールドで識別されるサービスにアクセス可能か否かを示す情報を値として格納するフィールドである。例えば、アクセス可能な場合には「許可」、アクセスできない場合には「不許可」の値が入る。   The “device ID” field is a field for storing device identification information (identifier) as a value. For example, the serial number of the device is stored. The “URI” field is a field for storing information indicating an access destination for accessing a given service as a value. Here, a URI (Uniform Resource Identifier) corresponding to the service is stored. The “connectability” field is a field that stores, as a value, information indicating whether the device specified in the “device ID” field can access the service identified in the “URI” field. For example, a value of “permitted” is entered when access is possible, and “not permitted” is entered when access is not possible.

図2では、一例として、デバイスIDが”AAA”の装置に対する、サーバ”Example.com”で提供される各サービスへのアクセス可否を示すテーブルを示している。ここでは、閲覧(browse)サービスへのアクセスは許可するが、アップロード(upload)サービスへのアクセスは許可しない例を示している。   FIG. 2 shows, as an example, a table indicating whether or not each apparatus provided by the server “Example.com” can be accessed with respect to a device whose device ID is “AAA”. Here, an example is shown in which access to the browse service is permitted, but access to the upload service is not permitted.

デバイス/サービス対応表205は、操作画面の1つである管理UIを介して管理者が手動で入力し生成してもよいし、少なくとも一部を自動的に生成してもよい。例えば、機器のMACアドレス等のネットワーク識別子を用いてデバイスIDを自動的に生成してもよい。また、所定のURIを有するサービス提供サーバと通信し当該機器の接続可否を決定してもよい。   The device / service correspondence table 205 may be manually input by an administrator via a management UI that is one of operation screens, or may be automatically generated at least partially. For example, the device ID may be automatically generated using a network identifier such as a device MAC address. Further, communication with a service providing server having a predetermined URI may be performed to determine whether or not the device can be connected.

<システムの動作>
図3は、第1実施形態におけるクライアント証明書の発行動作を示すシーケンス図である。第1実施形態では、「事前準備(S301〜S303)」「存在確認(S304〜S310)」「サーバ証明書発行(S311〜S315)」「クライアント証明書発行(S316〜S325)」の4つのフェーズから構成される。 <System operation>
FIG. 3 is a sequence diagram showing a client certificate issuance operation in the first embodiment. In the first embodiment, there are four phases: “Preliminary preparation (S301 to S303)”, “Existence confirmation (S304 to S310)”, “Server certificate issuance (S311 to S315)”, and “Client certificate issuance (S316 to S325)”. Consists of

ステップS301では、機器100は、アカウント公開鍵106およびアカウント秘密鍵107のペアを生成する。ステップS302では、機器100は、アカウント公開鍵106を認証局200へ送信する。ステップS303では、認証局200は、受信したアカウント公開鍵106を登録する。これにより、機器100は、ACMEクライアントとしてACMEサーバである認証局200への登録を完了させておく。   In step S301, the device 100 generates a pair of the account public key 106 and the account secret key 107. In step S <b> 302, the device 100 transmits the account public key 106 to the certificate authority 200. In step S303, the certificate authority 200 registers the received account public key 106. As a result, the device 100 completes registration with the certificate authority 200, which is an ACME server, as an ACME client.

ステップS304では、機器100は、ホスト名をIdentifierとして認証局200へ送信する。ステップS305では、認証局200は、機器100へチャレンジを送信する。ここでのチャレンジは、tokenと呼ばれる乱数である。ステップS306では、機器100は、tokenをアカウント秘密鍵107で変換して得られる値であるレスポンスを認証局200へ送信する。また、機器100は、認証局200にアクセスさせるURIを”http://{domain}/.well−known/acme−challenge/{token}”として構成し、認証局200からアクセス可能にする。   In step S304, the device 100 transmits the host name as an identifier to the certificate authority 200. In step S305, the certificate authority 200 transmits a challenge to the device 100. The challenge here is a random number called token. In step S <b> 306, the device 100 transmits a response that is a value obtained by converting token with the account secret key 107 to the certificate authority 200. In addition, the device 100 configures the URI to be accessed by the certificate authority 200 as “http: // {domain} /.well-known/acme- challenge / {token}”, and makes the certificate authority 200 accessible.

ステップS307では、認証局200は、”http://{domain}/.well−known/acme−challenge/{token}”にアクセスする。ステップS308では、機器100は、アクセスに対するレスポンスを送信する。ステップS309では、認証局200は、レスポンスをアカウント公開鍵106で変換した結果がtokenと等しくなることを確認する。ステップS310では、機器100は、認証局200にポーリングし、認証が完了したことを通知する。これにより、認証局200は、ACMEプロトコルに準拠した通信により機器100が存在することを確認することが出来る。   In step S307, the certificate authority 200 accesses “http: // {domain} /.well-known/acme-charge/ {token}”. In step S308, the device 100 transmits a response to access. In step S309, the certificate authority 200 confirms that the result of converting the response with the account public key 106 is equal to token. In step S310, the device 100 polls the certificate authority 200 to notify that the authentication is complete. As a result, the certificate authority 200 can confirm that the device 100 exists by communication conforming to the ACME protocol.

ステップS311では、機器100は、S312〜S315で使用されることになる秘密鍵および公開鍵を生成する。ステップS312では、機器100は、証明書署名要求(CSR:certificate signing request)を生成する。具体的には、ホスト名、有効期間等に基づいて、サーバ証明書署名要求を生成する。ステップS313では、機器100は、サーバ証明書署名要求にアカウント秘密鍵で署名を付与した上で認証局200へ送信する。   In step S311, the device 100 generates a secret key and a public key to be used in S312 to S315. In step S312, the device 100 generates a certificate signing request (CSR). Specifically, a server certificate signature request is generated based on the host name, validity period, and the like. In step S313, the device 100 adds a signature to the server certificate signature request with the account private key and transmits the request to the certificate authority 200.

ステップS314では、認証局200は、署名されたサーバ証明書署名要求をアカウント公開鍵を利用して検証し、検証に成功すればサーバ証明書を生成する。ステップS315では、認証局200は、サーバ証明書と更新用URIを機器100へ送信する。   In step S314, the certificate authority 200 verifies the signed server certificate signing request using the account public key, and generates a server certificate if the verification is successful. In step S315, the certificate authority 200 transmits the server certificate and the update URI to the device 100.

ステップS316では、機器100は、S317〜S325で使用されることになる秘密鍵および公開鍵を生成する。ステップS317では、機器100は、証明書署名要求(CSR)を生成する。具体的には、デバイスID、有効期間等に基づいて、クライアント証明書署名要求を生成する。ステップS318では、機器100は、クライアント証明書署名要求にアカウント秘密鍵で署名を付与した上で認証局200へ送信する。   In step S316, the device 100 generates a secret key and a public key to be used in S317 to S325. In step S317, the device 100 generates a certificate signature request (CSR). Specifically, the client certificate signature request is generated based on the device ID, the validity period, and the like. In step S318, the device 100 adds a signature to the client certificate signature request with the account private key and transmits the request to the certificate authority 200.

ステップS319では、認証局200は、アカウント公開鍵で署名を検証する。検証に失敗したら(S319のNO)、クライアント証明書を発行せずに処理を終了する。検証に成功したら(S319のYES)、S320に進む。   In step S319, the certificate authority 200 verifies the signature with the account public key. If the verification fails (NO in S319), the process ends without issuing a client certificate. If the verification is successful (YES in S319), the process proceeds to S320.

ステップS320では、認証局200は、S313で受信した証明書署名要求に含まれている公開鍵とS318で受信した証明書署名要求に含まれている公開鍵とを比較する。もし同一と判定されたならば(S320のNO)、クライアント証明書を抑止し処理を終了する。もし同一でなければ(S320のYES)、S321に進む。   In step S320, the certificate authority 200 compares the public key included in the certificate signature request received in S313 with the public key included in the certificate signature request received in S318. If it is determined that they are the same (NO in S320), the client certificate is suppressed and the process is terminated. If not the same (YES in S320), the process proceeds to S321.

ステップS321では、認証局200は、S318で受信した証明書署名要求に含まれている使用用途がクライアント証明書として適切である所定の用途であるか否かを確認する。ここでは、「Key Usage」及び「Extended Key Usage」の値を確認する。具体的には、「Key usage」の値が「Digital signature」であり、かつ、「Extended key usage」の値が「TLS Web client」であるか否かを確認する。適切であれば(S321のYES)S322に進み、適切でなければ(S321のNO)クライアント証明書を抑止し処理を終了する。   In step S321, the certificate authority 200 confirms whether or not the usage included in the certificate signature request received in S318 is a predetermined usage that is appropriate as a client certificate. Here, the values of “Key Usage” and “Extended Key Usage” are confirmed. Specifically, it is confirmed whether the value of “Key usage” is “Digital signature” and the value of “Extended key usage” is “TLS Web client”. If it is appropriate (YES in S321), the process proceeds to S322. If it is not appropriate (NO in S321), the client certificate is suppressed and the process is terminated.

ステップS322では、認証局200は、証明書署名要求中の「Subject」フィールドがデバイス/サービス対応表205の「デバイスID」項目と等しく、かつ、「接続可否」項目が「許可」となっていることを確認(権限確認)する。もし、デバイス/サービス対応表205に対応するデバイスIDが存在しなければ(ステップS322のNO)、クライアント証明書を抑止し処理を終了する。存在すれば(ステップS322のYES)、S323に進む。   In step S322, the certificate authority 200 has the “Subject” field in the certificate signature request equal to the “Device ID” item in the device / service correspondence table 205, and the “Connectability” item is “Allowed”. Confirm (permission confirmation). If there is no device ID corresponding to the device / service correspondence table 205 (NO in step S322), the client certificate is suppressed and the process is terminated. If it exists (YES in step S322), the process proceeds to S323.

ステップS323では、認証局200は、クライアント証明書を生成する。ステップS324では、認証局200は、機器100へクライアント証明書と更新用URIを送信する。ステップS325では、認証局200は、発行したクライアント証明書を、デバイス/サービス対応表205のURI項目のサービス提供サーバに送信し、登録させる。   In step S323, the certificate authority 200 generates a client certificate. In step S324, the certificate authority 200 transmits the client certificate and the update URI to the device 100. In step S325, the certificate authority 200 transmits the issued client certificate to the service providing server of the URI item of the device / service correspondence table 205 to register it.

なお、サーバ証明書発行(S311〜S315)に関する処理は省略してもよい。その場合はS320も不要となる。また、S316における公開鍵・秘密鍵の生成を電源投入時に行うように変更してもよい。   The processing related to server certificate issuance (S311 to S315) may be omitted. In that case, S320 is also unnecessary. Further, the public key / private key generation in S316 may be changed to be performed when the power is turned on.

以上説明したとおり第1実施形態によれば、機器の存在の確認結果と当該機器のサービスへのアクセス権限の確認結果とに基づいて、当該機器へのクライアント証明書を発行する。これにより、サービスへのアクセス権限に対応したクライアント証明書を適切に発行することが可能となる。   As described above, according to the first embodiment, the client certificate for the device is issued based on the confirmation result of the presence of the device and the confirmation result of the authority to access the service of the device. This makes it possible to appropriately issue a client certificate corresponding to the access authority to the service.

また、第1実施形態では、ACMEプロトコルに則って認証局が機器の存在確認を行った後に、クライアント証明書用のCSRを機器から認証局に送信する。そして、認証局で機器が接続してよいか確認してからクライアント証明書を発行する。したがって、この形態は、ACMEを用いて頻繁にサーバ証明書を更新する場合、同時にクライアント証明書を取得するユースケースに適合する。   In the first embodiment, after the certificate authority confirms the existence of the device in accordance with the ACME protocol, the client certificate CSR is transmitted from the device to the certificate authority. The certificate authority issues a client certificate after confirming whether the device can be connected. Therefore, this form is suitable for a use case of acquiring a client certificate at the same time when the server certificate is frequently updated using ACME.

(第2実施形態)
第2実施形態では、認証局が、サーバ認証を実行するためにTLS通信路を用いて証明書署名要求(CSR)を機器100から取得し、クライアント証明書を発行する形態について説明する。この形態は、ネットワーク監視サーバのように、常時TLSクライアントとTLSサーバが稼働する場合に好適に実施され得る。 (Second Embodiment)
In the second embodiment, a mode is described in which a certificate authority obtains a certificate signature request (CSR) from the device 100 using a TLS communication path and issues a client certificate in order to execute server authentication. This form can be suitably implemented when a TLS client and a TLS server are always operating like a network monitoring server.

<システムの動作>
図4は、第2実施形態におけるクライアント証明書の発行動作を示すシーケンス図である。第2実施形態では、「TLS通信路確立(S401〜S406)」「クライアント証明書発行(S408〜S416)」の2つのフェーズから構成される。 <System operation>
FIG. 4 is a sequence diagram illustrating a client certificate issuance operation according to the second embodiment. The second embodiment includes two phases: “TLS communication path establishment (S401 to S406)” and “client certificate issuance (S408 to S416)”.

ステップS401では、機器100は、認証局200にHTTPクライアントとして接続リクエストを送信する。ステップS402では、認証局200は、機器100とのTLS確立手順を開始する。すなわち、「ClientHello」メッセージを機器100に送信する。ステップS403では、機器100は、「ServerHello」メッセージ、サーバ証明書、「ServerHelloDone」メッセージを送信する。   In step S401, the device 100 transmits a connection request as an HTTP client to the certificate authority 200. In step S402, the certificate authority 200 starts a TLS establishment procedure with the device 100. That is, a “ClientHello” message is transmitted to the device 100. In step S403, the device 100 transmits a “ServerHello” message, a server certificate, and a “ServerHelloDone” message.

ステップS404では、認証局200は、サーバ証明書のデジタル署名を検証する。デジタル署名検証に成功したら、S405に進む。ステップS405では、認証局200は、暗号化鍵生成に使用するPreMasterSecretをサーバ証明書の公開鍵で暗号化する。暗号化されたPreMasterSecretを「ClientKeyExchange」メッセージで送信する。さらに、「ChangeCipherSpec」、「Finished」メッセージを送信する。ステップS406は、機器100は、「ChangeCipherSpec」、「Finished」メッセージを送信する。   In step S404, the certificate authority 200 verifies the digital signature of the server certificate. If the digital signature verification is successful, the process proceeds to S405. In step S405, the certificate authority 200 encrypts the PreMasterSecret used for generating the encryption key with the public key of the server certificate. The encrypted PreMasterSecret is transmitted with a “ClientKeyExchange” message. Further, a “Change Cipher Spec” and “Finished” message are transmitted. In step S406, the device 100 transmits a “Change Cipher Spec” and “Finished” message.

以上のTLS確立手順が完了すると、機器100と認証局200の間でTLS通信路が確立し、データを暗号化して送受信できる。また、TLS確立手順により、認証局200は、機器100の存在確認と行うことが可能となる。   When the above TLS establishment procedure is completed, a TLS communication path is established between the device 100 and the certificate authority 200, and data can be encrypted and transmitted / received. Further, the certificate authority 200 can confirm the existence of the device 100 by the TLS establishment procedure.

なお、上述の説明においては、TLS接続確立時に送受信するメッセージは、サーバ証明書を使用し、サーバ証明書の公開鍵を用いて鍵交換する暗号スイートを用いる形態について説明したが、サーバ認証を行う他の暗号スイートを用いてもよい。例えば、ECDH(Elliptic curve Diffie-Hellman)鍵交換方式を用いる暗号スイートが利用可能である。ただし、この場合は、送受信するメッセージは上述の説明と一部異なることになる。   In the above description, the message transmitted and received at the time of establishing the TLS connection has been described using the server certificate, and the cipher suite for exchanging keys using the public key of the server certificate. However, server authentication is performed. Other cipher suites may be used. For example, a cipher suite using an ECDH (Elliptic curve Diffie-Hellman) key exchange method can be used. However, in this case, the message to be transmitted / received is partially different from the above description.

クライアント証明書発行(S408〜S416)は、第1実施形態のS316〜S325に相当する。ただし、上述したように、サーバ証明書の検証処理(S404)によって認証局200による機器100の存在確認が完了している。そのため、認証局200がアカウント公開鍵での署名検証(S319)は必要ないことになる。   The client certificate issuance (S408 to S416) corresponds to S316 to S325 of the first embodiment. However, as described above, the existence confirmation of the device 100 by the certificate authority 200 is completed by the server certificate verification process (S404). Therefore, the certificate authority 200 does not need to verify the signature with the account public key (S319).

以上説明したとおり第2実施形態によれば、認証局200は、TLS通信路を確立した上で機器100に証明書署名要求を送信させ、クライアント証明書を発行する。すなわち、TLS確立手順の完了をもって機器100の存在確認とすることにより、より簡易な処理とすることが可能となる。   As described above, according to the second embodiment, the certificate authority 200 establishes a TLS communication path, causes the device 100 to transmit a certificate signature request, and issues a client certificate. In other words, by confirming the presence of the device 100 upon completion of the TLS establishment procedure, simpler processing can be achieved.

(その他の実施例)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 (Other examples)
The present invention supplies a program that realizes one or more functions of the above-described embodiments to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus read and execute the program This process can be realized. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

100 機器; 101 HTTPサーバ; 102 TLSサーバ; 103 HTTPクライアント; 104 TLSクライアント; 106 アカウント公開鍵; 107 アカウント秘密鍵; 200 認証局; 201 HTTPサーバ; 202 TLSサーバ; 203 HTTPクライアント; 204 TLSクライアント; 205 デバイス/サービス対応表   100 equipment; 101 HTTP server; 102 TLS server; 103 HTTP client; 104 TLS client; 106 account public key; 107 account secret key; 200 certificate authority; 201 HTTP server; 202 TLS server; 203 HTTP client; Device / service compatibility table

Claims (10)

機器に対して証明書を発行する認証局として動作する情報処理装置であって、
機器に接続して該機器の存在確認をする存在確認手段と、
所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認手段と、
前記存在確認手段による確認結果と前記権限確認手段による確認結果とに基づいて前記機器にクライアント証明書を発行する第1の発行手段と、
を有することを特徴とする情報処理装置。 An information processing apparatus that operates as a certificate authority that issues a certificate to a device,
A presence checking means for connecting to a device and checking the presence of the device;
Authority confirmation means for confirming access authority regarding a given service of the device with reference to given access authority information;
First issuing means for issuing a client certificate to the device based on the confirmation result by the presence confirmation means and the confirmation result by the authority confirmation means;
An information processing apparatus comprising: 前記存在確認手段は、ACME(Automatic Certificate Management Environment)プロトコルに準拠した通信により前記存在確認を実行する
ことを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the presence confirmation unit performs the presence confirmation through communication based on an ACME (Automatic Certificate Management Environment) protocol. 前記機器にサーバ証明書を発行する第2の発行手段と、
前記機器から受信したサーバ証明書の証明書署名要求に含まれる第2の公開鍵と、該機器から受信したクライアント証明書の証明書署名要求に含まれる第1の公開鍵と、を比較する比較手段と、
を更に有し、
前記第1の発行手段は、前記比較手段により前記第1の公開鍵と前記第2の公開鍵とが同一であると判定された場合、前記クライアント証明書の発行を抑止する
ことを特徴とする請求項1又は2に記載の情報処理装置。 Second issuing means for issuing a server certificate to the device;
Comparison comparing the second public key included in the certificate signing request for the server certificate received from the device and the first public key included in the certificate signing request for the client certificate received from the device Means,
Further comprising
The first issuing unit suppresses the issuance of the client certificate when the comparing unit determines that the first public key and the second public key are the same. The information processing apparatus according to claim 1 or 2. 前記存在確認手段は、前記機器とTLS通信路を確立することにより前記存在確認を実行する
ことを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the presence check unit executes the presence check by establishing a TLS communication path with the device. 前記存在確認手段は、前記TLS通信路を確立する際に前記機器から受信されるサーバ証明書を検証することにより前記存在確認を実行する
ことを特徴とする請求項4に記載の情報処理装置。 The information processing apparatus according to claim 4, wherein the presence check unit performs the presence check by verifying a server certificate received from the device when the TLS communication path is established. 前記機器から受信したクライアント証明書の証明書署名要求に含まれる第1の公開鍵の使用用途が所定の用途であるか否かを確認する確認手段を更に有し、
前記第1の発行手段は、前記確認手段により前記第1の公開鍵の使用用途が前記所定の用途ではないと確認された場合、前記クライアント証明書の発行を抑止する
ことを特徴とする請求項1乃至5の何れか1項に記載の情報処理装置。 Further comprising confirmation means for confirming whether or not the usage of the first public key included in the certificate signature request of the client certificate received from the device is a predetermined usage;
The said 1st issuing means suppresses issuing of the said client certificate, when it is confirmed by the said confirmation means that the use use of the said 1st public key is not the said predetermined use. The information processing apparatus according to any one of 1 to 5. 前記所与のアクセス権限情報は、機器の識別子と、サービスを示すURI(Uniform Resource Identifier)と、該機器の該サービスへのアクセス可否を示す情報と、を関連付けたレコードを含むテーブルとして構成される
ことを特徴とする請求項1乃至6の何れか1項に記載の情報処理装置。 The given access authority information is configured as a table including a record in which a device identifier, a URI (Uniform Resource Identifier) indicating a service, and information indicating whether the device can access the service are associated with each other. The information processing apparatus according to any one of claims 1 to 6. 機器に対して証明書を発行する認証局として動作する情報処理装置の制御方法であって、
機器に接続して該機器の存在確認をする存在確認工程と、
所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認工程と、
前記存在確認工程における確認結果と前記権限確認工程における確認結果とに基づいて前記機器にクライアント証明書を発行する発行工程と、
を有することを特徴とする情報処理装置の制御方法。 A method of controlling an information processing apparatus that operates as a certificate authority that issues a certificate to a device,
A presence confirmation step of connecting to a device and confirming the presence of the device;
An authority confirmation step for confirming access authority for a given service of the device with reference to given access authority information;
Issuing step of issuing a client certificate to the device based on the confirmation result in the presence confirmation step and the confirmation result in the authority confirmation step;
A method for controlling an information processing apparatus, comprising: コンピュータを、請求項1乃至7の何れか1項に記載の情報処理装置の各手段として機能させるためのプログラム。   The program for functioning a computer as each means of the information processing apparatus of any one of Claims 1 thru | or 7. 機器と該機器に対して証明書を発行する認証局とを含む情報処理システムであって、
前記認証局は、
前記機器に接続して該機器の存在確認をする存在確認手段と、
所与のアクセス権限情報を参照して前記機器の所与のサービスに関するアクセス権限を確認する権限確認手段と、
前記存在確認手段による確認結果と前記権限確認手段による確認結果とに基づいて前記機器にクライアント証明書を発行する発行手段と、
を有することを特徴とする情報処理システム。 An information processing system including a device and a certificate authority that issues a certificate to the device,
The certificate authority
Presence checking means for connecting to the device and checking the presence of the device;
Authority confirmation means for confirming access authority regarding a given service of the device with reference to given access authority information;
Issuing means for issuing a client certificate to the device based on the confirmation result by the existence confirmation unit and the confirmation result by the authority confirmation unit;
An information processing system comprising:
JP2017117018A 2017-06-14 2017-06-14 Information processing apparatus, control method of the same, and information processing system Pending JP2019004289A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017117018A JP2019004289A (en) 2017-06-14 2017-06-14 Information processing apparatus, control method of the same, and information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017117018A JP2019004289A (en) 2017-06-14 2017-06-14 Information processing apparatus, control method of the same, and information processing system

Publications (1)

Publication Number Publication Date
JP2019004289A true JP2019004289A (en) 2019-01-10

Family

ID=65006140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017117018A Pending JP2019004289A (en) 2017-06-14 2017-06-14 Information processing apparatus, control method of the same, and information processing system

Country Status (1)

Country Link
JP (1) JP2019004289A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210011714A (en) * 2019-07-23 2021-02-02 에스케이씨 주식회사 Film for bonding and light transmitting layered product comprising of the same
WO2022259312A1 (en) * 2021-06-07 2022-12-15 日本電信電話株式会社 Certificate issuance assistance system, certificate issuance assistance method, and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210011714A (en) * 2019-07-23 2021-02-02 에스케이씨 주식회사 Film for bonding and light transmitting layered product comprising of the same
WO2022259312A1 (en) * 2021-06-07 2022-12-15 日本電信電話株式会社 Certificate issuance assistance system, certificate issuance assistance method, and program

Similar Documents

Publication Publication Date Title
CN110770695B (en) Internet of things (IOT) device management
US10630489B2 (en) Apparatus and method for managing digital certificates
US8532620B2 (en) Trusted mobile device based security
JP5980961B2 (en) Multi-factor certificate authority
US9680827B2 (en) Geo-fencing cryptographic key material
US9647998B2 (en) Geo-fencing cryptographic key material
US9654922B2 (en) Geo-fencing cryptographic key material
JP5745690B2 (en) Dynamic platform reconfiguration with multi-tenant service providers
US20090240941A1 (en) Method and apparatus for authenticating device in multi domain home network environment
JP2018007039A (en) Communication device, communication method, communication system, and program
JP2007159134A (en) System and method for setting temporary and permanent credential for safe, on-line commercial transaction
JP6012888B2 (en) Device certificate providing apparatus, device certificate providing system, and device certificate providing program
US11323433B2 (en) Digital credential management method and device
JP2018092446A (en) Authentication approval system, information processing apparatus, authentication approval method, and program
JP2018041224A (en) Software update system
WO2008002081A1 (en) Method and apparatus for authenticating device in multi domain home network environment
JP2007181123A (en) Digital certificate exchange method, terminal device, and program
JP6465426B1 (en) Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method
JP2019004289A (en) Information processing apparatus, control method of the same, and information processing system
CN113647080B (en) Providing digital certificates in a cryptographically secure manner
JP6451965B2 (en) Communication apparatus, counterpart communication apparatus, and communication program
WO2020049754A1 (en) Information processing method, information processing program, information processing apparatus, and information processing system
JP6045018B2 (en) Electronic signature proxy server, electronic signature proxy system, and electronic signature proxy method
JP2019134333A (en) Information processing system, client device, authentication and authorization server, control method, and program thereof
US11924286B2 (en) Encrypted communication processing apparatus, encrypted communication processing system, and non-transitory recording medium