JP2023020344A - 情報処理装置における証明書からの情報取得方法 - Google Patents

情報処理装置における証明書からの情報取得方法 Download PDF

Info

Publication number
JP2023020344A
JP2023020344A JP2021125656A JP2021125656A JP2023020344A JP 2023020344 A JP2023020344 A JP 2023020344A JP 2021125656 A JP2021125656 A JP 2021125656A JP 2021125656 A JP2021125656 A JP 2021125656A JP 2023020344 A JP2023020344 A JP 2023020344A
Authority
JP
Japan
Prior art keywords
certificate
issuer
attribute
printer
attributes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021125656A
Other languages
English (en)
Inventor
修一 閏間
Shuichi Uruma
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2021125656A priority Critical patent/JP2023020344A/ja
Publication of JP2023020344A publication Critical patent/JP2023020344A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)

Abstract

【課題】 印刷装置がオンラインのプリントサービスと接続するとき等、外部サーバとTLS通信を行う際はサーバ証明書の検証を行うが、検証に利用する印刷装置内のルート証明書の検索処理に課題がある。印刷装置に搭載されている暗号モジュールのバージョンアップ等により、証明書から取得されるイシュア属性の要素順が変わった場合、ルート証明書の検索に失敗して、結果としてTLS通信に失敗するという課題である。【解決手段】 イシュア属性内の、要素と順番の対応付けを記録した変換テーブルを設け、イシュア属性の要素順をこの変換テーブルで変換し、順番が必ず固定となるようにする。【選択図】 図4

Description

本発明は、情報処理装置において、デジタル証明書から情報を取り出す際の方法に関する。
近年、印刷装置は高機能化し、インターネット上のプリントサービスと接続し、印刷を行う機能を備えるものがある。このとき、セキュリティ向上のために、プリントサービスとTLSで接続し、盗聴、改ざん、なりすましの脅威を防ぐことが一般的である。TLS接続を行う場合はサーバ証明書が正しいかの検証を行うが、検証は、印刷装置にあらかじめ格納されているルート証明書を用いて行う。ここで、どのルート証明書を用いればよいかの検索は、サーバ証明書のイシュア属性とルート証明書のサブジェクト属性のマッチングにより行う(イシュア属性の利用については特許文献1を参照)。
特開2004-260834号公報
しかしながらイシュア属性を単純に参照する方法では、サブジェクト属性をルート証明書から抽出して印刷装置内のストレージに保存して、証明書検証の際に参照するということを行っていた場合に問題が発生する可能性がある。
どういうことかというと、なんらかの理由(例えば、イシュア属性/サブジェクト属性の取り出しに使用する暗号ライブラリのバージョンアップ)により、サブジェクト属性内の要素の順番が変わった場合、マッチングに失敗するようになってしまうからである。
本発明の目的は、暗号ライブラリのバージョンアップ等により、取り出したサブジェクト属性の要素順が変わっても、証明書検証に失敗しなくなる情報処理装置における証明書からの情報取得方法を提供することにある。
上記目的を達成するために、請求項1記載の情報処理装置における証明書からの情報取得方法は、証明書検証処理を備えた情報処理装置であって、証明書検証部と、暗号処理ラッパー部と、暗号処理部と、を備え、証明書から属性取り出しをした際に、変換テーブルに基づいて属性内の要素順の並び替えを行うことを特徴とする、
本発明によれば、暗号ライブラリのバージョンアップ等により、取り出したサブジェクト属性の要素順が変わっても、証明書検証に失敗しなくなる。
実施例におけるシステム構成を示す図である。 印刷装置のハードウェア構成を示す図である。 印刷装置のソフトウェア構成を示す図である。 印刷装置における証明書のイシュア属性の要素の並び順を変更する処理のフロー図である。
以下、本発明を実施するための形態について図面を用いて説明する
[実施例1]
図1は、本発明を適用した印刷装置を含むプリントシステムを示す構成図である。101は本発明を適用した印刷装置である。103は、インターネット102上で提供されるプリントサービスである。印刷装置101はプリントサービス103にTLSで接続し、印刷ジョブの取り出しなどを行う。
<印刷装置のハードウェア構成>
図2は、印刷装置101のハードウェア構成を示す簡略図である。CPU201は印刷装置101全体の動作を制御する中央演算装置(プロセッサ)である。RAM(Random Access Memory)203は揮発性メモリであり、ワークエリア、ROM202及びHDD204に格納された各種制御プログラムを展開するための一時記憶領域として用いられる。
ROM202は不揮発性メモリであり、印刷装置101のブートプログラムなどが格納されている。HDD204はRAM203と比較して大容量な不揮発性のハードディスクである。HDD204には、印刷装置101の制御用プログラムが格納されている。また、OS(Operating System)やアプリケーションプログラムもHDD204に格納されている。さらに、印刷装置101が備える各種機能に関する設定の設定値もHDD204に格納される。
CPU201は印刷装置101の起動時、ROM202に格納されているブートプログラムを実行する。このブートプログラムは、HDD204に格納されているOS(Operating System)のプログラムを読み出し、RAM203上に展開するためのものである。CPU201はブートプログラムを実行すると、続けてRAM203上に展開したOSのプログラムを実行し、印刷装置101の制御を行う。また、CPU201は制御用プログラムによる動作に用いるデータもRAM203上に格納して読み書きを行う。
なお、印刷装置101は、1つのCPU201が後述するシーケンスやフローチャートに示す各処理を実行するものとするが、他の態様であっても構わない。例えば、複数のCPUやマイクロプロセッサ(MPU)が協働して後述するフローチャートに示す各処理を実行するようにすることもできる。また、後述する処理の一部をASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)等のハードウェア回路を用いて実行するようにしても良い。
操作部205は、タッチ操作可能なディスプレイである。プリンタ206は、通信部207を介して外部から受信した印刷データをプリントするプリンタエンジンである。通信部207は、インターネットやオフィスのLAN(Local Area Network)に接続する為のネットワークインタフェースである。なお、ユーザ端末103およびプリントサービス102にも、CPU201、ROM202、RAM203、HDD204と同様のハードウェア構成が備えられている。
<ソフトウェア構成>
図3は、印刷装置101のソフトウェア構成を示す簡略図であり、ROM202に記憶されたプログラムをRAM203に展開しCPU201がプログラムを実行することで実現されるソフトウェア構成である。
暗号通信処理部301は、TLS通信の処理を行う。
証明書検証部302は、TLS通信などで必要になった際に、証明書検証を行う。その際、暗号処理ラッパー部304とデータベース303を利用する。データベース303には、ルート証明書そのものと、ルート証明書から取り出したサブジェクト属性が格納されている。
暗号処理ラッパー部304は、暗号処理部305に対して、暗号処理や、証明書からの情報取り出しの依頼を行う。
暗号処理部305は、暗号処理や、証明書からの情報取り出しを行う。
<処理フロー>
印刷装置における証明書のイシュア属性の要素の並び順を変更する処理を、図4のフロー図を用いて説明する。このフロー図は、ユーザの印刷操作等により、暗号通信処理部301がプリントサービス103へのTLS通信を行う際に実施される処理の一部を示している。
TLS通信のシーケンスに従い通信相手(この場合はプリントサービス103)のサーバ証明書の検証を行う。そのために、証明書検証部302は、検証対象のサーバ証明書からイシュア属性を取り出す要求を出し、暗号処理ラッパー部が要求を受ける(401)。
すると暗号処理ラッパー部304は、暗号処理部305を通して、サーバ証明書からイシュア属性を取り出す(402)。例として、以下の要素順でイシュア属性が取り出せたとする。
CN = GlobalSign, OU = GlobalSign Root CA - R2, O = GlobalSign
次に、暗号処理ラッパー部304は、内部で保持している変換テーブルに基づいて要素の並び替えを行う(403)。変換テーブルは、例えば表1のようになっている。
Figure 2023020344000002
並び替えの結果、イシュア属性は以下のようになる。
CN = GlobalSign, O = GlobalSign, OU = GlobalSign Root CA - R2
暗号処理ラッパー部304は、この並び替えた結果のイシュア属性を証明書検証部302に返却する。
以上が、証明書のイシュア属性の要素の並び順を変更する処理の説明である。
この後の処理として、証明書検証部302はイシュア属性と、データベースに格納されているサブジェクト属性のマッチングを行って、証明書検証に利用すべき証明書の検索を行うが、要素の並び順が固定となったことにより、検索に失敗することはなくなる。
302 印刷装置101の証明書検証部
303 印刷装置101のデータベース
304 印刷装置101の暗号処理ラッパー部
305 印刷装置101の暗号処理部

Claims (1)

  1. 証明書検証処理を備えた情報処理装置であって、
    証明書検証部と、
    暗号処理ラッパー部と、
    暗号処理部と、を備え、
    証明書から属性取り出しをした際に、変換テーブルに基づいて属性内の要素順の並び替えを行うことを特徴とする、情報処理装置における証明書からの情報取得方法。
JP2021125656A 2021-07-30 2021-07-30 情報処理装置における証明書からの情報取得方法 Pending JP2023020344A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021125656A JP2023020344A (ja) 2021-07-30 2021-07-30 情報処理装置における証明書からの情報取得方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021125656A JP2023020344A (ja) 2021-07-30 2021-07-30 情報処理装置における証明書からの情報取得方法

Publications (1)

Publication Number Publication Date
JP2023020344A true JP2023020344A (ja) 2023-02-09

Family

ID=85159442

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021125656A Pending JP2023020344A (ja) 2021-07-30 2021-07-30 情報処理装置における証明書からの情報取得方法

Country Status (1)

Country Link
JP (1) JP2023020344A (ja)

Similar Documents

Publication Publication Date Title
US9146755B2 (en) System and method for transporting platform independent power configuration parameters
US8959586B2 (en) Enterprise biometric authentication system
US10460123B1 (en) System and method for automatically securing sensitive data in public cloud using a serverless architecture
US8065662B1 (en) Compatibility testing of an application programming interface
US8832143B2 (en) Client-side statement cache
CN108073823B (zh) 数据处理方法、装置及系统
US11184431B2 (en) System and control method
JP4386459B1 (ja) ファイル格納システム、サーバ装置及びプログラム
US20190394188A1 (en) Information processing apparatus, information processing method, and authentication linking system
WO2021169305A1 (zh) 声纹数据处理方法、装置、计算机设备和存储介质
US20180373516A1 (en) Techniques for distributing code to components of a computing system
JP5451277B2 (ja) 管理装置、情報処理装置、ログ情報管理方法、及びコンピュータプログラム
US20240135028A1 (en) System and method of dynamic search result permission checking
US20130208651A1 (en) Relay system, relay device, and control method and control program of relay device
JP4136433B2 (ja) 印刷装置、情報処理装置、プリントサーバ、印刷装置及び印刷システムの制御方法並びに情報処理方法
JP2023020344A (ja) 情報処理装置における証明書からの情報取得方法
US20200045085A1 (en) Authentication method for anonymous account and server
US10102396B2 (en) Application data storage area generation method, application data storage area generation apparatus, and application data storage area generation program
JP3756457B2 (ja) アクセス制御付ディレクトリ機能装置及びプログラム
JP4765174B2 (ja) アプリケーション実行装置、通信システム、およびアプリケーション実行方法
EP3975501A1 (en) Communication program, communication apparatus, and communication method
CN113923203B (zh) 网络请求校验方法、装置、设备及存储介质
JP4207409B2 (ja) データ処理装置およびその方法
RU2750642C2 (ru) Система и способ регистрации уникального идентификатора мобильного устройства
CN113934700A (zh) 共享文件夹访问控制方法、访问方法及访问控制系统