JP4504130B2 - 通信装置、通信システム、証明書送信方法及びプログラム - Google Patents
通信装置、通信システム、証明書送信方法及びプログラム Download PDFInfo
- Publication number
- JP4504130B2 JP4504130B2 JP2004217826A JP2004217826A JP4504130B2 JP 4504130 B2 JP4504130 B2 JP 4504130B2 JP 2004217826 A JP2004217826 A JP 2004217826A JP 2004217826 A JP2004217826 A JP 2004217826A JP 4504130 B2 JP4504130 B2 JP 4504130B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- authentication
- communication
- public key
- level device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この発明は、通信手段を備え、通信の際に通信相手をデジタル証明書を用いて認証する通信装置、このような通信装置の通信相手となる通信装置、このような通信装置である上位装置とその通信相手となる下位装置とによって構成される通信システム、これらの通信装置あるいは通信システムにおいて認証に使用するデジタル証明書を通信相手に送信する証明書送信方法、およびコンピュータを上記の通信装置として機能させるためのプログラムに関する。
従来から、それぞれ通信機能を備えた複数の通信装置をネットワークを介して通信可能に接続し、様々なシステムを構築することが行われている。その一例としては、クライアント装置として機能するPC(パーソナルコンピュータ)等のコンピュータから商品の注文を送信し、これとインターネットを介して通信可能なサーバ装置においてその注文を受け付けるといった、いわゆる電子商取引システムが挙げられる。また、種々の電子装置にクライアント装置あるいはサーバ装置の機能を持たせてネットワークを介して接続し、相互間の通信によって電子装置の遠隔管理を行うシステムも提案されている。
このようなシステムを構築する上では、通信を行う際に、通信相手が適切か、あるいは送信されてくる情報が改竄されていないかといった確認が重要である。また、特にインターネットにおいては、情報が通信相手に到達するまでに無関係なコンピュータを経由する場合が多いことから、機密情報を送信する場合、その内容を盗み見られないようにする必要もある。そして、このような要求に応える通信プロトコルとして、例えばSSL(Secure Socket Layer)と呼ばれるプロトコルが開発されており、広く用いられている。このプロトコルを用いて通信を行うことにより、公開鍵暗号方式と共通鍵暗号方式とを組み合わせ、通信相手の認証を行うと共に、情報の暗号化により改竄及び盗聴の防止を図ることができる。また、通信相手の側でも、通信を要求してきた通信元の装置を認証することができる。
このようなSSLや公開鍵暗号を用いた認証に関連する技術としては、例えば特許文献1及び特許文献2に記載のものが挙げられる。
特開2002−353959号公報
特開2002−251492号公報
このようなSSLや公開鍵暗号を用いた認証に関連する技術としては、例えば特許文献1及び特許文献2に記載のものが挙げられる。
ここで、このSSLに従った相互認証を行う場合の通信手順について、認証処理の部分に焦点を当てて説明する。図22は、通信装置Aと通信装置BとがSSLに従った相互認証を行う際に各装置において実行する処理のフローチャートを、その処理に用いる情報と共に示す図である。
図22に示すように、SSLに従った相互認証を行う際には、まず双方の通信装置に、ルート鍵証明書及び、私有鍵と公開鍵証明書を記憶させておく必要がある。この私有鍵は、認証局(CA:certificate authority)が各装置に対して発行した私有鍵であり、公開鍵証明書は、その私有鍵と対応する公開鍵にCAがデジタル署名を付してデジタル証明書としたものである。また、ルート鍵証明書は、CAがデジタル署名に用いたルート私有鍵と対応するルート鍵に、デジタル署名を付してデジタル証明書としたものである。
図22に示すように、SSLに従った相互認証を行う際には、まず双方の通信装置に、ルート鍵証明書及び、私有鍵と公開鍵証明書を記憶させておく必要がある。この私有鍵は、認証局(CA:certificate authority)が各装置に対して発行した私有鍵であり、公開鍵証明書は、その私有鍵と対応する公開鍵にCAがデジタル署名を付してデジタル証明書としたものである。また、ルート鍵証明書は、CAがデジタル署名に用いたルート私有鍵と対応するルート鍵に、デジタル署名を付してデジタル証明書としたものである。
図23にこれらの関係を示す。
図23(a)に示すように、公開鍵Aは、私有鍵Aを用いて暗号化された文書を復号化するための鍵本体と、その公開鍵の発行者(CA)や有効期間等の情報を含む書誌情報とによって構成される。そして、CAは、鍵本体や書誌情報が改竄されていないことを示すため、公開鍵Aをハッシュ処理して得たハッシュ値を、ルート私有鍵を用いて暗号化し、デジタル署名としてクライアント公開鍵に付す。またこの際に、デジタル署名に用いるルート私有鍵の識別情報を署名鍵情報として公開鍵Aの書誌情報に加える。そして、このデジタル署名を付した公開鍵証明書が、公開鍵証明書Aである。
図23(a)に示すように、公開鍵Aは、私有鍵Aを用いて暗号化された文書を復号化するための鍵本体と、その公開鍵の発行者(CA)や有効期間等の情報を含む書誌情報とによって構成される。そして、CAは、鍵本体や書誌情報が改竄されていないことを示すため、公開鍵Aをハッシュ処理して得たハッシュ値を、ルート私有鍵を用いて暗号化し、デジタル署名としてクライアント公開鍵に付す。またこの際に、デジタル署名に用いるルート私有鍵の識別情報を署名鍵情報として公開鍵Aの書誌情報に加える。そして、このデジタル署名を付した公開鍵証明書が、公開鍵証明書Aである。
この公開鍵証明書Aを認証処理に用いる場合には、ここに含まれるデジタル署名を、ルート私有鍵と対応する公開鍵であるルート鍵の鍵本体を用いて復号化する。この復号化が正常に行われれば、デジタル署名が確かにCAによって付されたことがわかる。また、公開鍵Aの部分をハッシュ処理して得たハッシュ値と、復号して得たハッシュ値とが一致すれば、鍵自体も損傷や改竄を受けていないことがわかる。さらに、受信したデータをこの公開鍵Aを用いて正常に復号化できれば、そのデータは、私有鍵Aの持ち主から送信されたものであることがわかる。
ここで、認証を行うためには、ルート鍵を予め記憶しておく必要があるが、このルート鍵も、図23(b)に示すように、CAがデジタル署名を付したルート鍵証明書として記憶しておく。このルート鍵証明書は、自身に含まれる公開鍵でデジタル署名を復号化可能な、自己署名形式である。そして、ルート鍵を使用する際に、そのルート鍵証明書に含まれる鍵本体を用いてデジタル署名を復号化し、ルート鍵をハッシュ処理して得たハッシュ値と比較する。これが一致すれば、ルート鍵が破損等していないことを確認できるのである。
図22のフローチャートの説明に入る。なお、この図において、2本のフローチャート間の矢印は、データの転送を示し、送信側は矢印の根元のステップで転送処理を行い、受信側はその情報を受信すると矢印の先端のステップの処理を行うものとする。また、各ステップの処理が正常に完了しなかった場合には、その時点で認証失敗の応答を返して処理を中断するものとする。相手から認証失敗の応答を受けた場合、処理がタイムアウトした場合等も同様である。
ここでは、通信装置Aが通信装置Bに通信を要求するものとするが、この要求を行う場合、通信装置AのCPUは、所要の制御プログラムを実行することにより、図22の左側に示すフローチャートの処理を開始する。そして、ステップS11で通信装置Bに対して接続要求を送信する。
一方通信装置BのCPUは、この接続要求を受信すると、所要の制御プログラムを実行することにより、図22の右側に示すフローチャートの処理を開始する。そして、ステップS21で第1の乱数を生成し、これを私有鍵Bを用いて暗号化する。そして、ステップS22でその暗号化した第1の乱数と公開鍵証明書Bとを通信装置Aに送信する。
一方通信装置BのCPUは、この接続要求を受信すると、所要の制御プログラムを実行することにより、図22の右側に示すフローチャートの処理を開始する。そして、ステップS21で第1の乱数を生成し、これを私有鍵Bを用いて暗号化する。そして、ステップS22でその暗号化した第1の乱数と公開鍵証明書Bとを通信装置Aに送信する。
通信装置A側では、これを受信すると、ステップS12でルート鍵証明書を用いて公開鍵証明書Bの正当性を確認する。
そして確認ができると、ステップS13で、受信した公開鍵証明書Bに含まれる公開鍵Bを用いて第1の乱数を復号化する。ここで復号化が成功すれば、第1の乱数は確かに公開鍵証明書Bの発行対象から受信したものだと確認できる。
その後、ステップS14でこれとは別に第2の乱数及び共通鍵の種を生成する。共通鍵の種は、例えばそれまでの通信でやり取りしたデータに基づいて作成することができる。そして、ステップS15で第2の乱数を私有鍵Aを用いて暗号化し、共通鍵の種を公開鍵Bを用いて暗号化し、ステップS16でこれらを公開鍵証明書Aと共にサーバ装置に送信する。共通鍵の種の暗号化は、通信相手以外の装置に共通鍵の種を知られないようにするために行うものである。
また、次のステップS17では、ステップS14で生成した共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
そして確認ができると、ステップS13で、受信した公開鍵証明書Bに含まれる公開鍵Bを用いて第1の乱数を復号化する。ここで復号化が成功すれば、第1の乱数は確かに公開鍵証明書Bの発行対象から受信したものだと確認できる。
その後、ステップS14でこれとは別に第2の乱数及び共通鍵の種を生成する。共通鍵の種は、例えばそれまでの通信でやり取りしたデータに基づいて作成することができる。そして、ステップS15で第2の乱数を私有鍵Aを用いて暗号化し、共通鍵の種を公開鍵Bを用いて暗号化し、ステップS16でこれらを公開鍵証明書Aと共にサーバ装置に送信する。共通鍵の種の暗号化は、通信相手以外の装置に共通鍵の種を知られないようにするために行うものである。
また、次のステップS17では、ステップS14で生成した共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
通信装置B側では、通信装置AがステップS16で送信してくるデータを受信すると、ステップS23でルート鍵証明書を用いて公開鍵証明書Aの正当性を確認する。そして確認ができると、ステップS24で、受信した公開鍵証明書Aに含まれる公開鍵Aを用いて第2の乱数を復号化する。ここで復号化が成功すれば、第2の乱数は確かに公開鍵証明書Aの発行対象から受信したものだと確認できる。
その後、ステップS25で私有鍵Bを用いて共通鍵の種を復号化する。ここまでの処理で、通信装置A側と通信装置B側に共通鍵の種が共有されたことになる。そして、この共通鍵の種は、生成した通信装置Aと、私有鍵Bを持つ通信装置B以外の装置が知ることはない。ここまでの処理が成功すると、通信装置B側でもステップS26で復号化で得た共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
その後、ステップS25で私有鍵Bを用いて共通鍵の種を復号化する。ここまでの処理で、通信装置A側と通信装置B側に共通鍵の種が共有されたことになる。そして、この共通鍵の種は、生成した通信装置Aと、私有鍵Bを持つ通信装置B以外の装置が知ることはない。ここまでの処理が成功すると、通信装置B側でもステップS26で復号化で得た共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
そして、通信装置A側のステップS17と通信装置B側のステップS26の処理が終了すると、相互に認証の成功と以後の通信に使用する暗号化方式とを確認し、生成した共通鍵を用いてその暗号化方式で以後の通信を行うものとして認証に関する処理を終了する。なお、この確認には、通信装置Bからの認証が成功した旨の応答も含むものとする。以上の処理によって互いに通信を確立し、以後はステップS17又はS26で生成した共通鍵を用い、共通鍵暗号方式でデータを暗号化して通信を行うことができる。
このような処理を行うことにより、通信装置Aと通信装置Bが互いに相手を認証した上で安全に共通鍵を共有することができ、通信を安全に行う経路を確立することができる。
ただし、上述した処理において、第2の乱数を公開鍵Aで暗号化し、公開鍵証明書Aを通信装置Bに送信することは必須ではない。この場合、通信装置B側のステップS23及びS24の処理は不要になり、処理は図24に示すようになる。このようにすると、通信装置Bが通信装置Aを認証することはできないが、通信装置Aが通信装置Bを認証するだけでよい場合にはこの処理で十分である。そしてこの場合には、通信装置Aに記憶させるのはルート鍵証明書のみでよく、私有鍵A及び公開鍵証明書Aは不要である。また、通信装置Bにはルート鍵証明書を記憶させる必要はない。
ただし、上述した処理において、第2の乱数を公開鍵Aで暗号化し、公開鍵証明書Aを通信装置Bに送信することは必須ではない。この場合、通信装置B側のステップS23及びS24の処理は不要になり、処理は図24に示すようになる。このようにすると、通信装置Bが通信装置Aを認証することはできないが、通信装置Aが通信装置Bを認証するだけでよい場合にはこの処理で十分である。そしてこの場合には、通信装置Aに記憶させるのはルート鍵証明書のみでよく、私有鍵A及び公開鍵証明書Aは不要である。また、通信装置Bにはルート鍵証明書を記憶させる必要はない。
ところで、以上の認証処理においては、公開鍵で暗号化された内容は対応する私有鍵を持つ装置でしか復号できず、また、私有鍵で暗号化された内容は対応する公開鍵でしか復号できないことを利用して、通信相手が公開鍵証明書にその発行先として記載されている装置である(又はその装置の利用者が公開鍵証明書にその発行先として記載されている利用者である)と認証することになる。
また、CAのルート私有鍵の秘密保全性を前提にして、公開鍵証明書はCAが認証したものであり、CA(の提供者)が公開鍵証明書の記載内容の正確性を保証していることもわかる。しかし、通信相手が確かに公開鍵証明書に記載されている装置と同一であることは、公開鍵証明書を発行したCAの保証を信頼して判断する他ない。従って、CAの信頼性は、公開鍵暗号を用いた認証による通信の安全確保の際に重要なファクターとなる。
また、CAのルート私有鍵の秘密保全性を前提にして、公開鍵証明書はCAが認証したものであり、CA(の提供者)が公開鍵証明書の記載内容の正確性を保証していることもわかる。しかし、通信相手が確かに公開鍵証明書に記載されている装置と同一であることは、公開鍵証明書を発行したCAの保証を信頼して判断する他ない。従って、CAの信頼性は、公開鍵暗号を用いた認証による通信の安全確保の際に重要なファクターとなる。
一方で、暗号化や認証の技術は日々進歩しており、より強度の高い暗号やその暗号を利用した認証の技術が提案され、実用化されている。このような強度の高い暗号は、上記の公開鍵暗号の場合には、鍵長を長くする、より強度の高い暗号方式を採用するなどによって実現される。そして、このように暗号強度が強い方式が実用化された場合、セキュリティレベルを考慮してそれらの方式を採用することが考えられる。
このようなとき、通信システム上で暗号強度の高いデジタル証明書が発行され運用され始めた場合、通信装置が従来から記憶しているデジタル証明書では通信相手から認証を受けられない状態となってしまう場合があるという問題があった。
このようなとき、通信システム上で暗号強度の高いデジタル証明書が発行され運用され始めた場合、通信装置が従来から記憶しているデジタル証明書では通信相手から認証を受けられない状態となってしまう場合があるという問題があった。
このような問題は、操作者が認証を受けられない状態となった時点で装置を操作し新たなデジタル証明書を容易に設定できるような場合は、操作者を認証する等してセキュリティを保持できるため、さほど深刻にはならない。しかし、ユーザの習熟度や利用環境から操作者による設定が困難であったり、装置の運用上、操作者に自由に証明書を設定させることが好ましくなかったりする等の理由で通信システム上の他の通信装置からリモートで証明書を設定するようにする場合には、認証が行えない状態ではセキュリティを保持するための手段がなく、この点が深刻な問題となる。
この発明は、このような問題を解決し、通信の際に通信相手をデジタル証明書を用いて認証する通信装置あるいはこのような通信装置を用いて構成した通信システムにおいて、セキュリティを維持しながら、認証に異常があった場合でも正常な認証が行える状態に容易に回復させることができるようにすることを目的とする。
上記の目的を達成するため、この発明の通信装置は、通信手段を備え、通信の際に通信相手を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信装置において、上記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて上記通信相手の認証を行う認証手段と、上記認証手段による認証が成功した場合に、上記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して上記通信相手に送信する証明書送信手段とを設けたものである。
このような通信装置において、上記通信相手と通信する場合にまず第1の証明書を用いて認証を行うようにし、上記認証手段を、その認証が正常に行えなかった場合に上記第2の証明書を用いた認証を行う手段とするとよい。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記通信相手の公開鍵証明書とするとよい。
また、この発明は、上記のいずれか一項記載の通信装置を通信相手として通信可能な通信装置において、上記第1の証明書と上記第2の証明書とを記憶する証明書記憶手段と、通信相手から上記第1の証明書を受信して上記証明書記憶手段に記憶させる手段とを設けた通信装置も提供する。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記通信相手の公開鍵証明書とするとよい。
また、この発明は、上記のいずれか一項記載の通信装置を通信相手として通信可能な通信装置において、上記第1の証明書と上記第2の証明書とを記憶する証明書記憶手段と、通信相手から上記第1の証明書を受信して上記証明書記憶手段に記憶させる手段とを設けた通信装置も提供する。
また、この発明の通信システムは、それぞれ通信手段を備える上位装置と下位装置とによって構成され、通信の際にその上位装置が下位装置を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信システムにおいて、上記下位装置に、上記2種類のデジタル証明書を記憶する証明書記憶手段を設け、上記上位装置に、上記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて上記下位装置の認証を行う認証手段と、上記認証手段による認証が成功した場合に、上記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得してその下位装置に送信する証明書送信手段とを設けたものである。
このような通信システムにおいて、上記上位装置が、上記下位装置と通信する場合にまず第1の証明書を用いて認証を行うようにし、上記認証手段を、その認証が正常に行えなかった場合に上記第2の証明書を用いた認証を行う手段としたものである。
これらの通信システムにおいて、上記第2の証明書を、上記下位装置に第1の証明書を記憶させる場合にのみ使用する証明書とするとよい。
さらに、上記下位装置を複数設け、その全ての下位装置の証明書記憶手段に同一の上記第2の証明書を記憶させるようにするとよい。
さらにまた、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記下位装置の公開鍵証明書とするとよい。
これらの通信システムにおいて、上記第2の証明書を、上記下位装置に第1の証明書を記憶させる場合にのみ使用する証明書とするとよい。
さらに、上記下位装置を複数設け、その全ての下位装置の証明書記憶手段に同一の上記第2の証明書を記憶させるようにするとよい。
さらにまた、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記下位装置の公開鍵証明書とするとよい。
また、この発明の証明書送信方法は、通信手段を備え、通信の際に通信相手を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信装置において上記認証に使用するデジタル証明書を送信する証明書送信方法において、上記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて上記通信相手の認証を行い、その認証が成功した場合に、上記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して上記通信相手に送信するようにしたものである。
このような証明書送信方法において、上記通信相手と通信する場合にまず第1の証明書を用いて認証を行い、その認証が正常に行えなかった場合に上記第2の証明書を用いた認証を行うようにするとよい。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記通信相手の公開鍵証明書とするとよい。
このような証明書送信方法において、上記通信相手と通信する場合にまず第1の証明書を用いて認証を行い、その認証が正常に行えなかった場合に上記第2の証明書を用いた認証を行うようにするとよい。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記通信相手の公開鍵証明書とするとよい。
また、この発明の証明書送信方法は、それぞれ通信手段を備える上位装置と下位装置とによって構成され、通信の際にその上位装置が下位装置を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信システムにおいて上記認証に使用するデジタル証明書を送信する証明書送信方法において、上記下位装置に上記2種類のデジタル証明書を記憶させ、上記上位装置が、上記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて上記下位装置を認証し、その認証が成功した場合に、上記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して上記下位装置に送信するようにしたものである。
このような証明書送信方法において、上記上位装置が、上記下位装置と通信する場合にまず第1の証明書を用いて認証を行い、その認証が正常に行えなかった場合に上記第2の証明書を用いた認証を行うようにするとよい。
さらに、上記第2の証明書を、上記下位装置に第1の証明書を記憶させる場合にのみ使用する証明書とするとよい。
さらに、上記下位装置を複数設ける場合にその全ての下位装置の証明書記憶手段に同一の上記第2の証明書を記憶させるようにするとよい。
さらにまた、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記下位装置の公開鍵証明書とするとよい。
さらに、上記第2の証明書を、上記下位装置に第1の証明書を記憶させる場合にのみ使用する証明書とするとよい。
さらに、上記下位装置を複数設ける場合にその全ての下位装置の証明書記憶手段に同一の上記第2の証明書を記憶させるようにするとよい。
さらにまた、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記下位装置の公開鍵証明書とするとよい。
また、この発明のプログラムは、コンピュータを、通信手段を備え、通信の際に通信相手を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信装置として機能させるためのプログラムにおいて、上記コンピュータを、上記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて上記通信相手の認証を行う認証手段と、上記認証手段による認証が成功した場合に、上記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して上記通信相手に送信する証明書送信手段として機能させるためのプログラムを含めたものである。
さらに、上記コンピュータに、上記通信相手と通信する場合にまず第1の証明書を用いて認証を行う機能を実現させるためのプログラムを含め、上記認証手段を、その認証処理による認証が正常に行えなかった場合に上記第2の証明書を用いた認証を行う手段とするとよい。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記通信相手の公開鍵証明書とするとよい。
さらに、上記コンピュータに、上記通信相手と通信する場合にまず第1の証明書を用いて認証を行う機能を実現させるためのプログラムを含め、上記認証手段を、その認証処理による認証が正常に行えなかった場合に上記第2の証明書を用いた認証を行う手段とするとよい。
さらに、上記認証を、SSL又はTLSのプロトコルに従った認証処理によって行い、上記第1の証明書を上記通信相手の公開鍵証明書とするとよい。
この発明のプログラムは、コンピュータを、上記のいずれか一項記載の通信装置を通信相手として通信可能な通信装置として機能させるためのプログラムにおいて、上記第1の証明書と上記第2の証明書とを記憶する証明書記憶手段と、通信相手から上記第1の証明書を受信して上記証明書記憶手段に記憶させる手段として機能させるためのプログラムを含むものである。
以上のようなこの発明の通信装置、通信システムあるいは証明書送信方法によれば、通信の際に通信相手をデジタル証明書を用いて認証する通信装置あるいはこのような通信装置を用いて構成した通信システムにおいて、セキュリティを維持しながら、認証に異常があった場合でも正常な認証が行える状態に容易に回復させることができるようにすることができる。
また、この発明のプログラムによれば、コンピュータを上記の通信装置として機能させてその特徴を実現し、同様な効果を得ることができる。
また、この発明のプログラムによれば、コンピュータを上記の通信装置として機能させてその特徴を実現し、同様な効果を得ることができる。
以下、この発明の好ましい実施の形態を図面を参照して説明する。
まず、この発明による通信装置と、その通信装置を用いて構成したこの発明の通信システムの第1の実施形態の構成について説明する。この実施形態においては、それぞれ通信装置である上位装置30及び下位装置40によって通信システムを構成し、上位装置30と証明書管理装置20とをネットワークを介して通信可能な状態にして、通信システムと証明書管理装置とによってデジタル証明書管理システムを構成している。図1にその上位装置及び下位装置の、図2に証明書管理装置の、それぞれこの実施形態の特徴に関連する部分の機能構成を示す機能ブロック図を示す。これらの図において、この実施形態の特徴と関連しない部分の図示は省略している。なお、この明細書において、デジタル証明書とは、偽造されないようにするための署名が付されたデジタルデータを指すものとする。
まず、この発明による通信装置と、その通信装置を用いて構成したこの発明の通信システムの第1の実施形態の構成について説明する。この実施形態においては、それぞれ通信装置である上位装置30及び下位装置40によって通信システムを構成し、上位装置30と証明書管理装置20とをネットワークを介して通信可能な状態にして、通信システムと証明書管理装置とによってデジタル証明書管理システムを構成している。図1にその上位装置及び下位装置の、図2に証明書管理装置の、それぞれこの実施形態の特徴に関連する部分の機能構成を示す機能ブロック図を示す。これらの図において、この実施形態の特徴と関連しない部分の図示は省略している。なお、この明細書において、デジタル証明書とは、偽造されないようにするための署名が付されたデジタルデータを指すものとする。
この通信システムにおいて、上位装置30は、下位装置40と通信を行おうとする場合、公開鍵暗号とデジタル証明書を用いる認証方式であるSSLプロトコルに従った認証処理によって下位装置40を正当な通信相手として認証した場合に、下位装置40との間で通信を確立させるようにしている。そして、上位装置30が送信した要求に対し、下位装置40が必要な処理を行って応答を返すことにより、クライアント・サーバシステムとして機能する。
逆に、下位装置40が上位装置30と通信を行おうとする場合にも、同じくSSLに従った認証処理によって上位装置30を正当な通信相手として認証した場合に、上位装置30との間で通信を確立させるようにしている。そして、下位装置40が送信した要求に対し、上位装置30が必要な処理を行って応答を返すことにより、クライアント・サーバシステムとして機能する。
どちらの場合も、通信を要求する側がクライアント、要求される側がサーバとして機能するものとする。
逆に、下位装置40が上位装置30と通信を行おうとする場合にも、同じくSSLに従った認証処理によって上位装置30を正当な通信相手として認証した場合に、上位装置30との間で通信を確立させるようにしている。そして、下位装置40が送信した要求に対し、上位装置30が必要な処理を行って応答を返すことにより、クライアント・サーバシステムとして機能する。
どちらの場合も、通信を要求する側がクライアント、要求される側がサーバとして機能するものとする。
また、証明書管理装置20は、上記の相互認証に用いるデジタル証明書を発行及び管理する装置であり、CAに相当する。
なお、図1及び図2において、下位装置40は1つしか示していないが、図21に示すように下位装置40を複数設けることも可能である。
なお、図1及び図2において、下位装置40は1つしか示していないが、図21に示すように下位装置40を複数設けることも可能である。
このような通信システムにおいて、上述の上位装置30と下位装置40との間の通信も含め、証明書管理装置20,上位装置30,下位装置40の各ノードは、RPC(remote procedure call)により、相互の実装するアプリケーションプログラムのメソッドに対する処理の依頼である「要求」を送信し、この依頼された処理の結果である「応答」を取得することができるようになっている。
この、RPCを実現するためには、SOAP(Simple Object Access Protocol),HTTP(Hyper Text Transfer Protocol),FTP(File Transfer Protocol),COM(Component Object Model),CORBA(Common Object Request Broker Architecture)等の既知のプロトコル(通信規格),技術,仕様などを利用することができる。
この、RPCを実現するためには、SOAP(Simple Object Access Protocol),HTTP(Hyper Text Transfer Protocol),FTP(File Transfer Protocol),COM(Component Object Model),CORBA(Common Object Request Broker Architecture)等の既知のプロトコル(通信規格),技術,仕様などを利用することができる。
次に、この通信システムを構成する各装置の構成と機能についてより詳細に説明する。
図3は、図2に示した証明書管理装置20のハードウェア構成を示すブロック図である。この図に示す通り、証明書管理装置20は、CPU11,ROM12,RAM13,HDD14,通信インタフェース(I/F)15を備え、これらがシステムバス16によって接続されている。そして、CPU11がROM12やHDD14に記憶している各種制御プログラムを実行することによってこの証明書管理装置20の動作を制御し、デジタル証明書の作成や管理等の機能を実現させている。
なお、証明書管理装置20のハードウェアとしては、適宜公知のコンピュータを採用することができる。もちろん、必要に応じて他のハードウェアを付加してもよい。
図3は、図2に示した証明書管理装置20のハードウェア構成を示すブロック図である。この図に示す通り、証明書管理装置20は、CPU11,ROM12,RAM13,HDD14,通信インタフェース(I/F)15を備え、これらがシステムバス16によって接続されている。そして、CPU11がROM12やHDD14に記憶している各種制御プログラムを実行することによってこの証明書管理装置20の動作を制御し、デジタル証明書の作成や管理等の機能を実現させている。
なお、証明書管理装置20のハードウェアとしては、適宜公知のコンピュータを採用することができる。もちろん、必要に応じて他のハードウェアを付加してもよい。
上位装置30及び下位装置40については、装置の遠隔管理,電子商取引等の目的に応じて種々の構成をとることができる。例えば、遠隔管理の場合には、プリンタ,FAX装置,コピー機,スキャナ,デジタル複合機等の画像処理装置を始め、ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,自動車,航空機等の電子装置を被管理装置である下位装置40とし、これらの被管理装置から情報を収集したり、コマンドを送って動作させたりするための管理装置を上位装置30とすることが考えられる。
しかし、上位装置30及び下位装置40は、少なくともそれぞれCPU,ROM,RAM,ネットワークを介して外部装置と通信するための通信I/F、および認証処理に必要な情報を記憶する記憶手段を備え、CPUがROM等に記憶した所要の制御プログラムを実行することにより、装置にこの実施形態の特徴に係る各機能を実現させることができるものとする。
なお、この通信には、有線,無線を問わず、ネットワークを構築可能な各種通信回線(通信経路)を採用することができる。証明書管理装置20との間の通信についても同様である。
なお、この通信には、有線,無線を問わず、ネットワークを構築可能な各種通信回線(通信経路)を採用することができる。証明書管理装置20との間の通信についても同様である。
図1には、上述のように、上位装置30及び下位装置40のこの実施形態の特徴となる部分の機能構成を示している。
まず、上位装置30には、HTTPS(Hypertext Transfer Protocol Security)クライアント機能部31,HTTPSサーバ機能部32,認証処理部33,証明書更新要求部34,証明書記憶部35を備えている。
HTTPSクライアント機能部31は、SSLに従った認証や暗号化の処理を含むHTTPSプロトコルを用いて下位装置40等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、通信相手に対して要求(コマンド)やデータを送信してそれに応じた動作を実行させる機能を有する。
まず、上位装置30には、HTTPS(Hypertext Transfer Protocol Security)クライアント機能部31,HTTPSサーバ機能部32,認証処理部33,証明書更新要求部34,証明書記憶部35を備えている。
HTTPSクライアント機能部31は、SSLに従った認証や暗号化の処理を含むHTTPSプロトコルを用いて下位装置40等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、通信相手に対して要求(コマンド)やデータを送信してそれに応じた動作を実行させる機能を有する。
一方、HTTPSサーバ機能部32は、HTTPSクライアントの機能を有する装置からのHTTPSプロトコルを用いた通信要求を受け付け、その装置から要求やデータを受信してそれに応じた動作を装置の各部に実行させ、その結果を応答として要求元に返す機能を有する。
認証処理部33は、HTTPSクライアント機能部31やHTTPSサーバ機能部32が通信相手を認証する際に、通信相手から受信したデジタル証明書や、証明書記憶部35に記憶している各種証明書、私有鍵等を用いて認証処理を行う認証手段の機能を有する。また、通信相手に認証を要求するために証明書記憶部35に記憶しているデジタル証明書をHTTPSクライアント機能部31やHTTPSサーバ機能部32を介して通信相手に送信する機能も有する。さらに、後述するように所定の場合に通常公開鍵証明書を用いた認証に異常があると判断する異常検知手段の機能も有する。
認証処理部33は、HTTPSクライアント機能部31やHTTPSサーバ機能部32が通信相手を認証する際に、通信相手から受信したデジタル証明書や、証明書記憶部35に記憶している各種証明書、私有鍵等を用いて認証処理を行う認証手段の機能を有する。また、通信相手に認証を要求するために証明書記憶部35に記憶しているデジタル証明書をHTTPSクライアント機能部31やHTTPSサーバ機能部32を介して通信相手に送信する機能も有する。さらに、後述するように所定の場合に通常公開鍵証明書を用いた認証に異常があると判断する異常検知手段の機能も有する。
証明書更新要求部34は、後述するように所定の場合に下位装置40等の通信相手に対して通常公開鍵証明書を送信する証明書送信手段と、さらにこれを記憶するよう要求する証明書更新手段の機能とを有する。
証明書記憶部35は、各種の証明書や私有鍵等の認証情報を記憶し、認証処理部33における認証処理に供する機能を有する。これらの各種証明書や私有鍵の種類及びその用途や作成方法については後に詳述する。
そして、これらの各部の機能は、上位装置30のCPUが所要の制御プログラムを実行して上位装置30の各部の動作を制御することにより実現される。
証明書記憶部35は、各種の証明書や私有鍵等の認証情報を記憶し、認証処理部33における認証処理に供する機能を有する。これらの各種証明書や私有鍵の種類及びその用途や作成方法については後に詳述する。
そして、これらの各部の機能は、上位装置30のCPUが所要の制御プログラムを実行して上位装置30の各部の動作を制御することにより実現される。
次に、下位装置40には、HTTPSクライアント機能部41,HTTPSサーバ機能部42,認証処理部43,要求管理部44,証明書記憶部45,状態通知部46,ログ通知部47,証明書更新部48,コマンド受信部49を備えている。
HTTPSクライアント機能部41は、上位装置30のHTTPSクライアント機能部31と同様に、HTTPSプロトコルを用いて上位装置30等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、送信する要求やデータ等に応じた動作を実行させる機能を有する。
HTTPSクライアント機能部41は、上位装置30のHTTPSクライアント機能部31と同様に、HTTPSプロトコルを用いて上位装置30等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、送信する要求やデータ等に応じた動作を実行させる機能を有する。
HTTPSサーバ機能部42も、上位装置30のHTTPSサーバ機能部32と同様であり、HTTPSクライアントの機能を有する装置からの通信要求を受け付け、受信した要求やデータに応じた動作を装置の各部に実行させ、要求元に応答を返す機能を有する。
認証処理部43の機能も、上位装置30の認証処理部33と同様であるが、認証処理に使用する証明書等は、証明書記憶部45に記憶しているものである。
要求管理部44は、上位装置から受信した要求について、その要求に基づいた動作の実行可否を判断する機能を有する。そして、実行を許可する場合に、その要求に基づいた動作を実行する機能部46〜49に対して動作要求を伝える機能も有する。
認証処理部43の機能も、上位装置30の認証処理部33と同様であるが、認証処理に使用する証明書等は、証明書記憶部45に記憶しているものである。
要求管理部44は、上位装置から受信した要求について、その要求に基づいた動作の実行可否を判断する機能を有する。そして、実行を許可する場合に、その要求に基づいた動作を実行する機能部46〜49に対して動作要求を伝える機能も有する。
図4にこの実行可否の判断基準を示すが、その判断基準は、要求の種類及び認証処理部43において認証処理に使用したデジタル証明書の種類である。上位装置30及び下位装置40が記憶しているデジタル証明書には、詳細は後述するが、暗号強度のより高い認証処理に対応した第1の証明書である通常公開鍵証明書と、暗号強度のより低い認証処理に対応した第2の証明書であるレスキュー公開鍵証明書があり、要求管理部44は、図4に示すように、通常公開鍵証明書による認証を行った場合には全ての動作を許可するが、レスキュー公開鍵証明書による認証を行った場合には証明書の更新動作のみを許可するようにしている。なお、ここでは更新する証明書は通常公開鍵証明書のみとし、レスキュー公開鍵証明書は更新しないものとする。従って、レスキュー公開鍵証明書は、下位装置40に新たな通常公開鍵証明書(及びこれに付随して記憶させる私有鍵やルート鍵証明書)を記憶させる場合にのみ使用する証明書ということになる。
証明書記憶部45は、上位装置の証明書記憶部35と同様に各種の証明書や私有鍵等の認証情報を記憶し、認証処理部33における認証処理に供する証明書記憶手段の機能を有する。ただし、記憶している証明書等は、後述するように証明書記憶部35とは異なる。
状態通知部46は、異常を検知したりユーザによる指示があったりした場合に上位装置30に対して下位装置40の状態を通知するコールを行う機能を有する。この通知は、上位装置30からの問い合わせに対する応答として送信してもよいし、HTTPSクライアント機能部41から上位装置に通信を要求して送信してもよい。
状態通知部46は、異常を検知したりユーザによる指示があったりした場合に上位装置30に対して下位装置40の状態を通知するコールを行う機能を有する。この通知は、上位装置30からの問い合わせに対する応答として送信してもよいし、HTTPSクライアント機能部41から上位装置に通信を要求して送信してもよい。
ログ通知部47は、下位装置40から上位装置30へのログの通知を行う機能を有する。その通知の内容としては、下位装置40の動作ログの他、例えば画像形成装置であれば画像形成枚数カウンタのカウント値、計量システムであればその計量値等が考えられる。この通知は緊急を要さないので、上位装置30からの問い合わせに対する応答として送信するとよい。
証明書更新部48は、上位装置30から受信した証明書等によって証明書記憶部45に記憶している証明書等を更新する機能を有する。
コマンド受信部49は、上述した各機能部46〜48以外の機能に係る要求に対応する動作を実行する機能を有する。この動作としては、例えば下位装置40が記憶しているデータの送信や、必要に応じて図示を省略したエンジン部の動作を制御することが挙げられる。
そして、これらの各部の機能は、下位装置40のCPUが所要の制御プログラムを実行して下位装置40の各部の動作を制御することにより実現される。なお、状態通知部46やログ通知部47は、コマンド受信部49が提供する機能の具体例として示したものであり、これらのような機能を設けることは必須ではない。
証明書更新部48は、上位装置30から受信した証明書等によって証明書記憶部45に記憶している証明書等を更新する機能を有する。
コマンド受信部49は、上述した各機能部46〜48以外の機能に係る要求に対応する動作を実行する機能を有する。この動作としては、例えば下位装置40が記憶しているデータの送信や、必要に応じて図示を省略したエンジン部の動作を制御することが挙げられる。
そして、これらの各部の機能は、下位装置40のCPUが所要の制御プログラムを実行して下位装置40の各部の動作を制御することにより実現される。なお、状態通知部46やログ通知部47は、コマンド受信部49が提供する機能の具体例として示したものであり、これらのような機能を設けることは必須ではない。
また図2には、上述のように、証明書管理装置20のこの実施形態の特徴となる部分の機能構成を示している。
この図に示すように、証明書管理装置20は、HTTPSサーバ機能部21,認証処理部22,証明書更新部23,証明用鍵作成部24,証明書発行部25,証明書管理部26を備えている。
HTTPSサーバ機能部21は、上位装置30や下位装置40のHTTPSサーバ機能部と同様、HTTPSクライアントの機能を有する装置からの通信要求を受け付け、受信した要求やデータに応じた動作を装置の各部に実行させ、要求元に応答を返す機能を有する。
この図に示すように、証明書管理装置20は、HTTPSサーバ機能部21,認証処理部22,証明書更新部23,証明用鍵作成部24,証明書発行部25,証明書管理部26を備えている。
HTTPSサーバ機能部21は、上位装置30や下位装置40のHTTPSサーバ機能部と同様、HTTPSクライアントの機能を有する装置からの通信要求を受け付け、受信した要求やデータに応じた動作を装置の各部に実行させ、要求元に応答を返す機能を有する。
認証処理部22の機能も、上位装置30や下位装置40の認証処理部と同様であるが、認証処理に使用する証明書等は、証明書管理部26に記憶しているものであり、この種類及び用途や機能については後述する。
証明書更新部23は、上位装置30から通常証明書発行要求があった場合に、証明用鍵作成部24や証明書発行部25に対象の下位装置40の新たな通常公開鍵証明書を発行させ、これを証明書管理部26からHTTPSサーバ機能部21を介して上位装置30に送信させる機能を有する。
証明書更新部23は、上位装置30から通常証明書発行要求があった場合に、証明用鍵作成部24や証明書発行部25に対象の下位装置40の新たな通常公開鍵証明書を発行させ、これを証明書管理部26からHTTPSサーバ機能部21を介して上位装置30に送信させる機能を有する。
証明用鍵作成部24は、デジタル署名の作成に用いる証明用私有鍵であるルート私有鍵と、そのデジタル証明書の正当性を確認するための、ルート私有鍵と対応する証明用公開鍵(証明鍵)であるルート鍵とを作成する証明用鍵作成手段の機能を有する。
証明書発行部25は、証明書管理装置20自身及び上位装置30と下位装置40とに対してSSLプロトコルに従った認証処理に用いる公開鍵及びこれと対応する私有鍵を発行する機能を有する。そしてさらに、それぞれ発行した公開鍵に証明用鍵作成部24で作成したルート私有鍵を用いてデジタル署名を付して、デジタル証明書である公開鍵証明書を発行する証明書発行手段の機能を有する。また、ルート鍵にデジタル署名を付したルート鍵証明書の発行もこの証明書発行部25の機能である。
証明書発行部25は、証明書管理装置20自身及び上位装置30と下位装置40とに対してSSLプロトコルに従った認証処理に用いる公開鍵及びこれと対応する私有鍵を発行する機能を有する。そしてさらに、それぞれ発行した公開鍵に証明用鍵作成部24で作成したルート私有鍵を用いてデジタル署名を付して、デジタル証明書である公開鍵証明書を発行する証明書発行手段の機能を有する。また、ルート鍵にデジタル署名を付したルート鍵証明書の発行もこの証明書発行部25の機能である。
証明書管理部26は、証明書発行部25が発行したデジタル証明書、その作成に用いたルート私有鍵、およびそのルート私有鍵と対応するルート鍵を管理する証明書管理手段の機能を有する。そして、これらの証明書や鍵を、その有効期限や発行先、ID、更新の有無等の情報と共に記憶する。また、自身に対して発行した証明書や私有鍵については、認証処理部22における認証処理に供する機能も有する。
そして、これらの各部の機能は、証明書管理装置20のCPUが所要の制御プログラムを実行して証明書管理装置20の各部の動作を制御することにより実現される。
そして、これらの各部の機能は、証明書管理装置20のCPUが所要の制御プログラムを実行して証明書管理装置20の各部の動作を制御することにより実現される。
次に、上述した各装置が認証処理に用いる各証明書や鍵の特性及び用途について説明する。図5は、(a)に下位装置40の証明書記憶部45に記憶している証明書及び鍵の種類を示し、(b)に上位装置30の証明書記憶部35に記憶している証明書及び鍵の種類を示す図である。また、図6は証明書管理装置20の証明書管理部26に記憶している証明書及び鍵のうち、証明書管理装置20における認証処理に用いるものを示す図である。
上位装置30,下位装置40,証明書管理装置20は、大きく分けて正規認証情報とレスキュー認証情報を記憶している。そして、これらの正規認証情報とレスキュー認証情報は、それぞれ自分に関する認証情報である公開鍵証明書及び私有鍵と、通信相手に関する認証情報であるルート鍵証明書とによって構成される。
そして、各装置は、通常の通信時は正規認証情報を用いてSSLに従った図22に示したような手順の相互認証あるいは図24に示したような片方向認証を行う。
上位装置30,下位装置40,証明書管理装置20は、大きく分けて正規認証情報とレスキュー認証情報を記憶している。そして、これらの正規認証情報とレスキュー認証情報は、それぞれ自分に関する認証情報である公開鍵証明書及び私有鍵と、通信相手に関する認証情報であるルート鍵証明書とによって構成される。
そして、各装置は、通常の通信時は正規認証情報を用いてSSLに従った図22に示したような手順の相互認証あるいは図24に示したような片方向認証を行う。
また、例えば下位装置用通常公開鍵証明書は、証明書管理装置20が下位装置40に対して発行した通常公開鍵に、下位装置認証用通常ルート鍵を用いて正当性を確認可能なデジタル署名を付したデジタル証明書であり、第1の証明書に該当する。
ここで、公開鍵証明書のフォーマットは、例えば図7に示したものを用いることができ、公開鍵そのものの他、証明書の発行者や証明書の有効期限、証明される対象(証明書の発行先の装置あるいは利用者)等の情報が記載されている。具体的には、例えばX.509と呼ばれるフォーマットに従って作成することができ、このフォーマットに従って作成された公開鍵証明書は、例えば図8に示すようなものになる。
この例においては、AがCAの識別情報を示し、Cが証明書の発行先の装置の識別情報を示す。これらは、それぞれ所在地、名称、機番あるいはコード等の情報を含む。また、Bが有効期間を示し、その開始日時と終了日時によって有効期間を指定している。また、Dが公開鍵証明書に含まれる公開鍵の長さ(ここでは1024ビット)を、EがCAがデジタル署名に用いたアルゴリズム(ここでは「md5WithRSAEncryption」)をそれぞれ示している。
ここで、公開鍵証明書のフォーマットは、例えば図7に示したものを用いることができ、公開鍵そのものの他、証明書の発行者や証明書の有効期限、証明される対象(証明書の発行先の装置あるいは利用者)等の情報が記載されている。具体的には、例えばX.509と呼ばれるフォーマットに従って作成することができ、このフォーマットに従って作成された公開鍵証明書は、例えば図8に示すようなものになる。
この例においては、AがCAの識別情報を示し、Cが証明書の発行先の装置の識別情報を示す。これらは、それぞれ所在地、名称、機番あるいはコード等の情報を含む。また、Bが有効期間を示し、その開始日時と終了日時によって有効期間を指定している。また、Dが公開鍵証明書に含まれる公開鍵の長さ(ここでは1024ビット)を、EがCAがデジタル署名に用いたアルゴリズム(ここでは「md5WithRSAEncryption」)をそれぞれ示している。
また、下位装置用通常私有鍵は、上記の通常公開鍵と対応する私有鍵、下位装置認証用通常ルート鍵証明書は、下位装置認証用通常ルート鍵に自身と対応するルート私有鍵を用いて自身で正当性を確認可能なデジタル署名を付したデジタル証明書である。
そして、下位装置40を複数設けた場合でも、各装置の通常公開鍵に付すデジタル署名は同じルート私有鍵を用いて付し、正当性確認に必要な通常ルート鍵証明書は共通にする。しかし、通常公開鍵証明書に含まれる通常公開鍵やこれと対応する私有鍵は、装置毎に異なる。
上位装置用通常公開鍵証明書と上位装置用通常私有鍵と上位装置認証用通常ルート鍵証明書も同様な関係であり、CA用通常公開鍵証明書とCA用通常私有鍵とCA認証用通常ルート鍵証明書も同様な関係である。
なお、各装置に、複数の認証局が発行した公開鍵証明書の正当性を確認できるようにするため、それらの各認証局と対応したルート鍵証明書を記憶させるようにすることも考えられる。
そして、下位装置40を複数設けた場合でも、各装置の通常公開鍵に付すデジタル署名は同じルート私有鍵を用いて付し、正当性確認に必要な通常ルート鍵証明書は共通にする。しかし、通常公開鍵証明書に含まれる通常公開鍵やこれと対応する私有鍵は、装置毎に異なる。
上位装置用通常公開鍵証明書と上位装置用通常私有鍵と上位装置認証用通常ルート鍵証明書も同様な関係であり、CA用通常公開鍵証明書とCA用通常私有鍵とCA認証用通常ルート鍵証明書も同様な関係である。
なお、各装置に、複数の認証局が発行した公開鍵証明書の正当性を確認できるようにするため、それらの各認証局と対応したルート鍵証明書を記憶させるようにすることも考えられる。
そして、例えば上位装置30と下位装置40とが相互認証を行う場合には、上位装置30からの通信要求に応じて、下位装置40は下位装置用通常私有鍵を用いて暗号化した第1の乱数を下位装置用通常公開鍵証明書と共に上位装置30に送信する。上位装置30側では下位装置認証用通常ルート鍵証明書を用いてまずこの下位装置用通常公開鍵証明書の正当性(損傷や改竄を受けていないこと)を確認し、これが確認できた場合にここに含まれる公開鍵で第1の乱数を復号化する。この復号化が成功した場合に、上位装置30は通信相手の下位装置40が確かに下位装置用通常公開鍵証明書の発行先であると認識でき、その証明書に含まれる識別情報から装置を特定することができる。そして、特定した装置が通信相手としてふさわしいか否かに応じて認証の成功と失敗を決定することができる。
また、下位装置40側でも、上位装置30側で認証が成功した場合に送信されてくる上位装置用通常公開鍵証明書及び上位装置用通常私有鍵で暗号化された乱数を受信し、記憶している上位装置認証用ルート鍵証明書を用いて同様な認証を行うことができる。
なお、この手順は上位装置30がHTTPSクライアント機能部31によって下位装置40のHTTPSサーバ機能部42に対して通信を要求する場合の処理であり、下位装置40がHTTPSクライアント機能部41によって上位装置30のHTTPSサーバ機能部32に対して通信を要求する場合には、使用する証明書や鍵は同じであるが、上位装置30と下位装置40の処理が逆になる。
上位装置30と証明書管理装置20とが通信する場合の処理についても同様である。
なお、この手順は上位装置30がHTTPSクライアント機能部31によって下位装置40のHTTPSサーバ機能部42に対して通信を要求する場合の処理であり、下位装置40がHTTPSクライアント機能部41によって上位装置30のHTTPSサーバ機能部32に対して通信を要求する場合には、使用する証明書や鍵は同じであるが、上位装置30と下位装置40の処理が逆になる。
上位装置30と証明書管理装置20とが通信する場合の処理についても同様である。
ところで、既に述べたように、各装置が通信相手から通常公開鍵証明書を受信した場合、その発行元の認証局が発行した公開鍵証明書の正当性を確認するためのルート鍵(証明書)を記憶していなければ、受信した通常公開鍵証明書の正当性を確認することができない。従って、この場合には認証を行うことができないことになる。
また、各装置が通信相手から受信した通常公開鍵証明書による認証を行うための機能(暗号化/復号化を実現するためのモジュール等)を備えていなければ、当然のことながらその通常公開鍵証明書による認証を行うことはできない。上位装置30において認証処理に使用する証明書を切り替えたり、下位装置40が以前と異なる認証局の証明書を使用する上位装置30を含む通信システムに接続される等した場合には、このような事態が発生することも考えられる。
どの認証方式に対応した証明書を採用するか、あるいはどの認証局が発行する証明書を採用するかは、通信システムの運用者が種々の条件を考慮して適宜定めるものだからである。そして、暗合強度の高い新しい方式が実用化された場合には、運用者の裁量でこのような方式を適宜採用することが考えられる。
また、各装置が通信相手から受信した通常公開鍵証明書による認証を行うための機能(暗号化/復号化を実現するためのモジュール等)を備えていなければ、当然のことながらその通常公開鍵証明書による認証を行うことはできない。上位装置30において認証処理に使用する証明書を切り替えたり、下位装置40が以前と異なる認証局の証明書を使用する上位装置30を含む通信システムに接続される等した場合には、このような事態が発生することも考えられる。
どの認証方式に対応した証明書を採用するか、あるいはどの認証局が発行する証明書を採用するかは、通信システムの運用者が種々の条件を考慮して適宜定めるものだからである。そして、暗合強度の高い新しい方式が実用化された場合には、運用者の裁量でこのような方式を適宜採用することが考えられる。
ここで、各装置が通常公開鍵証明書を用いた認証(通常認証情報を用いた認証)しか行えないとすると、このように認証処理に対応していなかったり、証明書の正当性が確認できなかったりする状態では、使用可能な通常公開鍵証明書や通常私有鍵及び通常ルート鍵証明書等を設定しようとしても、これらをネットワークを介して安全に対象の装置に送信する方法はないことになる。
また、装置の電源がOFFされていたことにより自動更新が行えずに証明書の有効期限が切れてしまったり、更新処理中に電源がOFFされる等により証明書が破損してしまったりした場合にも、認証が行えない状態になってしまうが、このような場合にも同様な問題が発生する。
また、装置の電源がOFFされていたことにより自動更新が行えずに証明書の有効期限が切れてしまったり、更新処理中に電源がOFFされる等により証明書が破損してしまったりした場合にも、認証が行えない状態になってしまうが、このような場合にも同様な問題が発生する。
しかし、この実施形態の通信システムを構成する各通信装置は、このような事態に対処するためにレスキュー認証情報を記憶しており、通信相手を異なる2種類のデジタル証明書を用いて認証することができるようにしている。そして、レスキュー認証情報を用いることにより、必要な装置にネットワークを介して新たな通常公開鍵証明書等を安全に送信できるようにしている。
このレスキュー認証情報は、正規認証情報と概ね同様な構成となっており、例えば下位装置用レスキュー公開鍵証明書は、証明書管理装置20が下位装置に対して発行したレスキュー公開鍵に、下位装置認証用レスキュールート鍵を用いて正当性を確認可能なデジタル署名を付したデジタル証明書であり、第2の証明書に該当する。また、下位装置用レスキュー私有鍵はそのレスキュー公開鍵と対応する私有鍵、下位装置認証用レスキュールート鍵証明書は、下位装置認証用レスキュールート鍵に自身を用いて正当性を確認可能なデジタル署名を付したデジタル証明書である。
ここで、図9に下位装置40の通常公開鍵証明書の例を、図10に下位装置40のレスキュー公開鍵証明書の例を示す。
これらは、符号H及びMで示すように、発行先の装置の識別情報が同一であり、同じ装置に対して発行された公開鍵証明書である。通常公開鍵証明書では符号Iで示すように公開鍵の鍵長が2048ビットとしているのに対し、レスキュー公開鍵証明書では公開鍵の鍵長は符号Nで示すように1024ビットとしている。
これらは、符号H及びMで示すように、発行先の装置の識別情報が同一であり、同じ装置に対して発行された公開鍵証明書である。通常公開鍵証明書では符号Iで示すように公開鍵の鍵長が2048ビットとしているのに対し、レスキュー公開鍵証明書では公開鍵の鍵長は符号Nで示すように1024ビットとしている。
すなわち、通常公開鍵証明書では、より暗号強度の高い認証処理(ここでは2048ビットの公開鍵や私有鍵を用いた認証処理)に対応させてセキュリティの強化を図る一方、レスキュー公開鍵証明書では、より暗号強度の低い認証処理(ここでは1024ビットの公開鍵や私有鍵を用いた認証処理)に対応させるようにしている。このようにすることにより、通信システムが暗号強度の高い認証処理に対応していない場合であっても、適当なルート鍵証明書を通信システムを構成し得る各装置に記憶させておけば、レスキュー公開鍵証明書を用いた認証処理を行うことができる。
そして、このような認証が成功すれば、前述のように通信相手との間で共通鍵を共有して共通鍵暗号を用いた安全な通信経路を設けることができる。従って、この通信経路を利用して、通信時点の環境に適合した新しい通常公開鍵証明書を通信相手に送信し、設定させることが可能となる。
そして、このような認証が成功すれば、前述のように通信相手との間で共通鍵を共有して共通鍵暗号を用いた安全な通信経路を設けることができる。従って、この通信経路を利用して、通信時点の環境に適合した新しい通常公開鍵証明書を通信相手に送信し、設定させることが可能となる。
なお、レスキュー公開鍵証明書における暗号強度や認証処理の内容は、輸出規制や、各地域で普及している認証処理の内容等を考慮しても、下位装置40が使用されると想定される種々の環境で共通に使用できるような認証処理により認証を行うことができるようなものにする。このようにすることにより、レスキュー公開鍵証明書(を含むレスキュー認証情報)を、通常公開鍵証明書を用いた認証処理が行えなかった場合に非常用の通信経路を確保するための認証情報として使用することができる。
また、ここではデジタル署名に用いるアルゴリズムは通常公開鍵証明書とレスキュー公開鍵証明書とで共通としているが、これらを別々のものにしてもよい。
また、ここではデジタル署名に用いるアルゴリズムは通常公開鍵証明書とレスキュー公開鍵証明書とで共通としているが、これらを別々のものにしてもよい。
また、暗号強度の低い認証処理に対応したレスキュー公開鍵証明書は、暗号強度の高い認証処理に対応した通常公開鍵証明書と比べた場合に、安全性や信頼性が劣ることも考えられる。しかし、レスキュー認証情報を用いて認証処理を行った場合に、通常公開鍵証明書を始めとする正規認証情報の更新のような限られた要求のみ実行を許可するようにすれば、この点は大きな問題にはならない。
ここで、図9及び図10の説明に戻ると、これらの2つの公開鍵証明書において、通常公開鍵証明書では証明書の発行者を符号Fで示すようにYYY社の「PublicCA」とする一方、レスキュー公開鍵証明書では符号Kで示すようにXXX社の「PrivateCA」としており、発行者を異なるCAとしている。「PublicCA」はパブリック認証局、「PrivateCA」はプライベート認証局に該当するものとする。
そして、パブリック認証局とは、広く世間で信頼性が認められた認証局、あるいは公的に信頼性が認められた認証局、法的に証明書の効力が認められるような認証局等、一般的に通用するような証明書を発行できる認証局を指すものとする。このようなパブリック認証局により公開鍵証明書を発行する商用サービスは、例えばベリサイン社やボルチモア社のような第3者機関によって提供されている。また、プライベート認証局とは、特に世間に広く信頼性が認められているわけではなく、発行する証明書が一般的に通用するわけではない認証局を指すものとする。ここでは、プライベート認証局は、発行先装置のメーカーであるXXX社が設けている。
そして、パブリック認証局とは、広く世間で信頼性が認められた認証局、あるいは公的に信頼性が認められた認証局、法的に証明書の効力が認められるような認証局等、一般的に通用するような証明書を発行できる認証局を指すものとする。このようなパブリック認証局により公開鍵証明書を発行する商用サービスは、例えばベリサイン社やボルチモア社のような第3者機関によって提供されている。また、プライベート認証局とは、特に世間に広く信頼性が認められているわけではなく、発行する証明書が一般的に通用するわけではない認証局を指すものとする。ここでは、プライベート認証局は、発行先装置のメーカーであるXXX社が設けている。
パブリック認証局の発行する公開鍵証明書は、厳格な管理がなされ、安全性や信頼性が広く一般に認められていることから、通常公開鍵証明書としては、このような証明書を採用するとよい。しかし、パブリック認証局の発行する公開鍵証明書は、厳格な管理や安全性が要求されるため、レスキュー公開鍵証明書のように種々の環境で共通に使用できるような証明書を発行することが難しい場合もあるし、費用もかかる。
一方、プライベート認証局であれば、証明書の仕様を比較的自由に定められるので、暗号強度を低くしたり、最新であまり普及していない認証処理アルゴリズムを避けたりして、種々の環境で共通に使用できるような証明書を発行することも可能である。また、装置のメーカー自身がプライベート認証局を提供すれば、安価に証明書を発行することも可能である。
一方、プライベート認証局であれば、証明書の仕様を比較的自由に定められるので、暗号強度を低くしたり、最新であまり普及していない認証処理アルゴリズムを避けたりして、種々の環境で共通に使用できるような証明書を発行することも可能である。また、装置のメーカー自身がプライベート認証局を提供すれば、安価に証明書を発行することも可能である。
さらに、例えば下位装置40と上位装置30でメーカーが異なったり、通信システムの運用者が種々にカスタマイズを行ったりするような場合でも、レスキュー公開鍵証明書を無償で提供する等して、これらのメーカーや運用者に、レスキュー公開鍵証明書を用いた認証に対応できるようにするよう働きかけることも容易となる。そこで、レスキュー公開鍵証明書にはプライベート認証局が発行した証明書を採用している。
なお、プライベート認証局が発行するレスキュー公開鍵証明書は、パブリック認証局が発行する通常公開鍵証明書と比べた場合に、安全性や信頼性が劣ることも考えられるが、上述のように、レスキュー認証情報を用いて認証処理を行った場合に許可する機能を制限するようにすれば、この点は大きな問題にはならない。
なお、プライベート認証局が発行するレスキュー公開鍵証明書は、パブリック認証局が発行する通常公開鍵証明書と比べた場合に、安全性や信頼性が劣ることも考えられるが、上述のように、レスキュー認証情報を用いて認証処理を行った場合に許可する機能を制限するようにすれば、この点は大きな問題にはならない。
また、再度図9及び図10の説明に戻ると、これらの2つの公開鍵証明書において、通常公開鍵証明書では、符号Gで示すように有効期間を2003年1月1日午前0時から2004年1月1日午前0時までの1年間としている一方、レスキュー公開鍵証明書では、符号Lで示すように2000年1月1日午前0時から2050年1月1日午前0時までの50年間としている。
すなわち、通常公開鍵証明書はパブリック認証局が発行するものとしているので、装置の製造者や使用者が有効期間を自由に定めることができず、また安全性を考慮して有効期間が短く設定されているのが通常である。従って、有効期間内に証明書を更新する必要がある。そして、証明書の更新を自動で行う必要があるような装置においては、更新期限の徒過や更新時の異常による証明書の破損の危険がある。
すなわち、通常公開鍵証明書はパブリック認証局が発行するものとしているので、装置の製造者や使用者が有効期間を自由に定めることができず、また安全性を考慮して有効期間が短く設定されているのが通常である。従って、有効期間内に証明書を更新する必要がある。そして、証明書の更新を自動で行う必要があるような装置においては、更新期限の徒過や更新時の異常による証明書の破損の危険がある。
一方で、レスキュー認証情報を、通常公開鍵証明書による認証が行えなくなった場合に非常用の通信経路を確保するための認証情報であると位置付けるならば、レスキュー公開鍵証明書の有効期間経過後には、通常公開鍵証明書の有効期間が過ぎてしまった場合にもはや公開鍵証明書による認証を行うことができなくなってしまうので、レスキュー公開鍵証明書の有効期間は長い方が好ましい。また、更新が必要になってしまうと、やはり期限の徒過や破損の危険があるので、更新が不要である方が好ましい。
具体的には、例えば記憶させる装置の製品寿命よりも長い有効期間を設定するとよい。この製品寿命は、装置の想定運用期間あるいは想定動作期間であり、開発時に想定している使用期間や想定耐用年数、装置の品質保証期間等から定めることができる。
また、レスキュー公開鍵証明書の有効期間を、装置をメンテナンスしながら正常に動作させられると想定される期間よりも長く設定すれば、レスキュー公開鍵証明書は装置の動作中には有効期限が切れない証明書であるということができる。従って、装置の動作中は、常にレスキュー公開鍵証明書を用いた認証(レスキュー認証情報を用いた認証)が可能な状態を保つことができる。また、レスキュー公開鍵証明書を更新する必要がないので、更新時の破損等を防止できる。
また、レスキュー公開鍵証明書の有効期間を、装置をメンテナンスしながら正常に動作させられると想定される期間よりも長く設定すれば、レスキュー公開鍵証明書は装置の動作中には有効期限が切れない証明書であるということができる。従って、装置の動作中は、常にレスキュー公開鍵証明書を用いた認証(レスキュー認証情報を用いた認証)が可能な状態を保つことができる。また、レスキュー公開鍵証明書を更新する必要がないので、更新時の破損等を防止できる。
また、上記の製品寿命や装置の動作期間よりも極めて長い有効期間を定めるようにすれば、なおよい。図10に示した例では、有効期間を50年に設定しており、通常の装置であればこの程度で十分と考えられるが、これはX.509フォーマットに従って設定できる有効期間の最大が50年であるためこのようにしただけで、さらに長い期間、例えば100年や数百年を設定してもよいことはもちろんである。このように有効期間を定めた場合、有効期間の終期は、単に公開鍵証明書のフォーマット上の要求により記載したものであり、レスキュー公開鍵証明書の有効期限は事実上ないものと考えることができる。また、対象の装置によっては、20年や30年程度あるいはそれ以下の有効期間であっても、同様に考えることができる場合もある。
さらにまた、たとえレスキュー公開鍵証明書の有効期間が製品寿命より短かったとしても、通常公開鍵証明書の有効期間よりも長ければ、通常公開鍵証明書の有効期間経過後も一定の期間レスキュー公開鍵証明書を用いた認証が可能な状態を保つことができるという効果を得ることはできる。
さらにまた、たとえレスキュー公開鍵証明書の有効期間が製品寿命より短かったとしても、通常公開鍵証明書の有効期間よりも長ければ、通常公開鍵証明書の有効期間経過後も一定の期間レスキュー公開鍵証明書を用いた認証が可能な状態を保つことができるという効果を得ることはできる。
そして、レスキュー公開鍵証明書をプライベート認証局が発行するようにすれば、有効期間は発行者が適宜定めればよいので、これらの要求に応えるような有効期間を定めることも可能である。また、有効期間の長い公開鍵証明書は、有効期間の短い公開鍵証明書と比べた場合には安全性が若干劣るものの、上述のように、レスキュー公開鍵証明書を用いて認証を行った場合に実行を許可する動作を制限することにより、この点は大きな問題にはならないようにすることができる。
また、このようなレスキュー公開鍵証明書により非常用の通信経路を確保できるようにしておけば、暗号強度が高く有効期間の短い通常証明書を使用する場合であっても、認証方式の不対応及び期限切れや更新時の破損等による不都合を最小限に留めることができ、人手での証明書更新が困難であり自動更新に頼らざるを得ないような装置であっても、暗号強度が強く有効期間が短いような信頼性の高い証明書を有効に活用することができる。
また、このようなレスキュー公開鍵証明書により非常用の通信経路を確保できるようにしておけば、暗号強度が高く有効期間の短い通常証明書を使用する場合であっても、認証方式の不対応及び期限切れや更新時の破損等による不都合を最小限に留めることができ、人手での証明書更新が困難であり自動更新に頼らざるを得ないような装置であっても、暗号強度が強く有効期間が短いような信頼性の高い証明書を有効に活用することができる。
以上のように、通信システムを構成し得る各通信装置にレスキュー公開鍵証明書を記憶させておくようにすれば、通常公開鍵証明書を用いた認証が正常に行えなかった(失敗した)場合に、同じ通信相手に対してレスキュー公開鍵証明書を用いた認証を試みることにより、通常公開鍵証明書を用いた認証における異常の有無を判断することができる。
すなわち、レスキュー公開鍵証明書を用いた認証が成功すれば、相手が通信相手として想定している装置であることがわかるので、それでも認証が正常に行えなかったのは、通常公開鍵証明書を用いた認証に異常があるためと判断できる。
すなわち、レスキュー公開鍵証明書を用いた認証が成功すれば、相手が通信相手として想定している装置であることがわかるので、それでも認証が正常に行えなかったのは、通常公開鍵証明書を用いた認証に異常があるためと判断できる。
また、レスキュー公開鍵証明書を用いた認証が失敗すれば、相手が通信相手として想定していない装置であることがわかるので、通常公開鍵証明書を用いた認証が正常に行えなかったのは通信相手が不適切だったからで、認証に異常が発生したわけではないと判断できる。通常公開鍵証明書とレスキュー公開鍵証明書の2種類のデジタル証明書を利用してこのような判断を行う点が、この実施形態の特徴の1つである。
なお、認証が失敗する原因としては通信の障害も考えられるが、この場合には証明書等の受信の段階で異常がわかるため、証明書等の内容が不適切だった場合とは区別することができる。
なお、認証が失敗する原因としては通信の障害も考えられるが、この場合には証明書等の受信の段階で異常がわかるため、証明書等の内容が不適切だった場合とは区別することができる。
ところで、SSLプロトコルに従った認証処理を行う場合には、サーバは、クライアントから通信要求があった時点ではクライアントの状態を知ることができないため、必然的に、特定のURL(Uniform Resource Locator)にアクセスされた場合には常に同じ公開鍵証明書を返すことになる。従って、基本的には、1つの装置が公開鍵証明書を複数持ち、通信相手が認証に使用しようとする公開鍵証明書の種類に合わせて適当なものを選択して送信するといった構成を取ることはできない。しかし、図1及び図2に示した各装置においては、特殊な構成を取ることにより、通常公開鍵証明書とレスキュー公開鍵証明書とを場合によって使い分けることができるようにしている。
そこで、次に、この使い分けのための構成を、図11を用いて説明する。図11には上位装置30と下位装置40のみを示すが、証明書管理装置20についても同様な構成が可能である。
上述した通り、サーバは基本的には通信を要求してくるクライアントに対して特定の公開鍵証明書しか返すことができない。しかし、通信要求を受け付けるアドレスが異なる場合には、アドレス毎に異なる公開鍵証明書を返すことも可能である。このアドレスは、例えばURLによって定めることができる。
上述した通り、サーバは基本的には通信を要求してくるクライアントに対して特定の公開鍵証明書しか返すことができない。しかし、通信要求を受け付けるアドレスが異なる場合には、アドレス毎に異なる公開鍵証明書を返すことも可能である。このアドレスは、例えばURLによって定めることができる。
従ってここでは、図11に示すように、上位装置30及び下位装置40にそれぞれ、通常公開鍵証明書による認証を行う通常URLと、レスキュー公開鍵証明書による認証を行うレスキューURLとを設け、通信を要求する側(クライアントとして機能する側)が、要求する認証の種類に応じていずれかのURLを選択的に指定して通信要求を送るようにしている。これらのURLは、IPアドレスやポート番号(いずれか一方でもよい)を変えることにより、物理的には同じ装置のURLであっても、論理的には異なる装置のURLとして取り扱うことができるようにしている。すなわち、いわゆるバーチャルサーバの機能を実現するためのものである。
このようにした場合、通信を要求される側(サーバとして機能する側)は、返す証明書を通信要求を受け付けたURLによって区別し、通常URLで受け付けた場合には通常公開鍵証明書を返し、レスキューURLで受け付けた場合にはレスキュー公開鍵証明書を返すことができる。
なお、通信を要求するクライアントの側では、どのURLに対して通信要求を送ったかがわかるので、相互認証を行う場合にはそのURLに応じた適切な公開鍵証明書を選択して送信することができる。
なお、通信を要求するクライアントの側では、どのURLに対して通信要求を送ったかがわかるので、相互認証を行う場合にはそのURLに応じた適切な公開鍵証明書を選択して送信することができる。
そして、上位装置30が下位装置40を認証しようとする場合には、まず通常URLに通信要求を送信して通常公開鍵証明書を用いた認証を試みるが、これが失敗した場合に、今度はレスキューURLに通信要求を送信してレスキュー公開鍵証明書を用いた認証を行うようにしている。そして、これが成功した場合、更新用の証明書セットを証明書管理装置20から取得し、下位装置40に送信してこれを記憶するよう要求するようにしている。レスキュー公開鍵証明書を用いた認証であっても、共通鍵の共有は通常公開鍵証明書の場合と同様に可能であるから、証明書セットの送信は共有した共通鍵を用いて暗号化して安全に行うことができる。
なお、この証明書セットの構成は図12に示すものである。そして、このうち下位装置用通常公開鍵証明書の作成に用いるルート私有鍵は、取得の時点で上位装置30に記憶している下位装置認証用通常ルート鍵証明書に含まれるルート鍵と対応するものであるし、上位装置認証用通常ルート鍵証明書は、同じく上位装置30に記憶している上位装置用通常公開鍵証明書に付されているデジタル署名の正当性を確認できるルート鍵を含むものである。従って、下位装置40に、上位装置30が対応しているCAと異なるCAが発行した通常公開鍵証明書が記憶されていた場合でも、更新用の証明書セットには、上位装置30が対応しているCAが発行した下位装置用通常公開鍵証明書や上位装置認証用通常ルート鍵証明書が含まれることになる。従って、上位装置30にて利用可能な認証方式での認証処理に使用することができる証明書等が含まれることになる。
なお、下位装置用通常公開鍵証明書中の公開鍵本体や、下位装置用通常私有鍵については、新たに生成するだけでなく、証明書管理装置20において、過去に下位装置40に対して発行した鍵を管理しているのであれば、その鍵をそのまま使うようにすることも考えられる。また、更新用の証明書セットを発行する際に、ルート私有鍵を新たに発行し、公開鍵証明書のバージョンアップ(公開鍵に新たなルート私有鍵を用いてデジタル署名を付して公開鍵証明書を発行するようにすること)を行うようにすることも考えられる。
なお、下位装置用通常公開鍵証明書中の公開鍵本体や、下位装置用通常私有鍵については、新たに生成するだけでなく、証明書管理装置20において、過去に下位装置40に対して発行した鍵を管理しているのであれば、その鍵をそのまま使うようにすることも考えられる。また、更新用の証明書セットを発行する際に、ルート私有鍵を新たに発行し、公開鍵証明書のバージョンアップ(公開鍵に新たなルート私有鍵を用いてデジタル署名を付して公開鍵証明書を発行するようにすること)を行うようにすることも考えられる。
一方、下位装置40は、上記の証明書を記憶する旨の要求を受けた場合に、受信した証明書セットを証明書更新部48によって証明書記憶部45に記憶させ、従前の正規認証情報を更新するようにしている。
この更新が正常に行われれば、下位装置40には再び有効期間内の通常公開鍵証明書が記憶されることになり、通常公開鍵証明書を用いた認証を行うことができる状態になる。従ってこの後は、通常公開鍵証明書を用いた認証を行って通信を実行するようにすればよい。
この更新が正常に行われれば、下位装置40には再び有効期間内の通常公開鍵証明書が記憶されることになり、通常公開鍵証明書を用いた認証を行うことができる状態になる。従ってこの後は、通常公開鍵証明書を用いた認証を行って通信を実行するようにすればよい。
なお、図5及び図6に示した認証情報において、ルート鍵証明書は認証対象によらず同じものを用いるようにしてもよい(例えば上位装置認証用通常ルート鍵証明書と下位装置認証用通常ルート鍵証明書が同じものでもよい)。これは、公開鍵証明書には装置の識別情報が付されているため、ルート鍵証明書を用いてその正当性を確認できれば、あとはその識別情報を参照して装置の機種や機番を特定できるためである。
次に、このような通常公開鍵証明書とレスキュー公開鍵証明書の2種類の証明書を用いた異常の検出及び証明書の更新に関する処理について説明する。図13のフローチャートに上位装置30側の処理を、図14のフローチャートに下位装置40側の処理を示す。これらの処理は、上位装置30及び下位装置40のCPUがそれぞれ所要の制御プログラムを実行して行うものであり、この発明の異常検知方法及び証明書送信方法の実施形態に係る処理である。
なお、これらのフローチャートにおいては、上位装置30が下位装置40に対して通信を要求する場合の処理を示している。また、説明を簡単にするため、認証処理としては上位装置30が下位装置40から受信した公開鍵証明書を用いて下位装置40を認証する部分のみを示している(図24に示したような片方向認証を行う場合の処理を示している)が、上位装置30から下位装置40にも公開鍵証明書を送信し、図22に示したような双方向認証を行うようにしてもよいことはもちろんである。
なお、これらのフローチャートにおいては、上位装置30が下位装置40に対して通信を要求する場合の処理を示している。また、説明を簡単にするため、認証処理としては上位装置30が下位装置40から受信した公開鍵証明書を用いて下位装置40を認証する部分のみを示している(図24に示したような片方向認証を行う場合の処理を示している)が、上位装置30から下位装置40にも公開鍵証明書を送信し、図22に示したような双方向認証を行うようにしてもよいことはもちろんである。
上位装置30は、下位装置40に対して要求や通知を送信したり、下位装置40からの要求や通知を受け取るために通信要求を行ったりする場合、図13のフローチャートに示す処理を開始し、まずステップS101で下位装置40の通常URLに対して通信要求を送信する。なお、上位装置30は通信相手となる装置全てについて、通信要求先として通常URLとレスキューURLとを記憶しているものとする。
そして、下位装置40は、通信要求を受けると図14のフローチャートに示す処理を開始し、ステップS201で通信要求のあったURLが通常URLかレスキューURLかを判断する。
そして、通常URLへの通信要求であれば、ステップS202に進んで正常な通常公開鍵証明書を記憶しているか否か判断する。通常は図5(a)に示したように通常公開鍵証明書(下位装置用通常公開鍵証明書)を記憶しているはずであるが、更新時に誤って消去されたり破損したりしてしまったり、製品出荷時に通常公開鍵証明書を記憶させていなかったりした場合には、この判断がNOになる場合もある。また、有効期間が過ぎていた場合でも、形式的に正常な通常公開鍵証明書を記憶していれば、ステップS202の判断はYESとしてよい。
そして、通常URLへの通信要求であれば、ステップS202に進んで正常な通常公開鍵証明書を記憶しているか否か判断する。通常は図5(a)に示したように通常公開鍵証明書(下位装置用通常公開鍵証明書)を記憶しているはずであるが、更新時に誤って消去されたり破損したりしてしまったり、製品出荷時に通常公開鍵証明書を記憶させていなかったりした場合には、この判断がNOになる場合もある。また、有効期間が過ぎていた場合でも、形式的に正常な通常公開鍵証明書を記憶していれば、ステップS202の判断はYESとしてよい。
そして、ステップS202で記憶していれば、ステップS203で通常公開鍵証明書を通常私有鍵(下位装置用通常私有鍵)で暗号化した第1の乱数と共に上位装置30に送信する。この処理は、図22又は図24のステップS21及びS22の処理に相当する。
また、ステップS202で記憶していなければ、ステップS211で通常公開鍵証明書を送信できない旨の応答を返して処理を終了する。
また、ステップS202で記憶していなければ、ステップS211で通常公開鍵証明書を送信できない旨の応答を返して処理を終了する。
上位装置30側では、これらのいずれかの応答を受け取るか、あるいは所定時間経過すると、ステップS102に進んで下位装置40が公開鍵証明書を送信してきたか否か判断する。そして、送信してきていれば、ステップS103に進んで認証処理を行う。ここでの認証には、下位装置認証用通常ルート鍵証明書を使用し、この処理は、図22又は図24のステップS12及びS13の処理に相当する。また、ステップS101乃至S103の処理において、上位装置30のCPUが第1の認証手段として機能する。
そして、ステップS104で認証が成功したか否か判断し、成功していればステップS113に進んで共通鍵の種を下位装置40に送信すると共に共通鍵を作成して以後の通信に使用するようにする。この処理は、図22又は図24のステップS14乃至S17の処理に相当する。
そして、ステップS104で認証が成功したか否か判断し、成功していればステップS113に進んで共通鍵の種を下位装置40に送信すると共に共通鍵を作成して以後の通信に使用するようにする。この処理は、図22又は図24のステップS14乃至S17の処理に相当する。
下位装置40側では、ステップS203で通常公開鍵証明書を送信した場合にはステップS204でこの送信を待ち、共通鍵の種を受信した場合には上位装置30に認証されたと判断し、ステップS205に進んで共通鍵を作成して以後の通信に使用するようにする。これらの処理は、図22のステップS23乃至S26あるいは図24のステップS25及びS26の処理に相当する。
また、上位装置30側では、ステップS113の後、ステップS114で下位装置40に対して要求(コマンド)を必要なデータと共に送信し、ステップS115でその応答を待つ。そして、ステップS116で要求を全て送信したか否か判断し、まだ残っていればステップS114に戻って処理を繰り返し、全て送信していればステップS117に進んで通信を切断して処理を終了する。
また、上位装置30側では、ステップS113の後、ステップS114で下位装置40に対して要求(コマンド)を必要なデータと共に送信し、ステップS115でその応答を待つ。そして、ステップS116で要求を全て送信したか否か判断し、まだ残っていればステップS114に戻って処理を繰り返し、全て送信していればステップS117に進んで通信を切断して処理を終了する。
下位装置40側では、ステップS205の後はステップS206に進んで上位装置30から要求を受信したか否か判断し、受信した場合にはステップS207で要求に応じた処理を行って上位装置30に応答を返す。また、ステップS208ではコールや定期通知等の上位装置30に通知すべき情報があるか否かを判断し、あればステップS209で通知を送信する。そして、ステップS210で上位装置30が通信を切断したか否か判断し、切断していなければステップS206に戻って処理を繰り返すが、切断していれば処理を終了する。
一方、上位装置30側の処理においてステップS104で認証が失敗した場合、認証失敗の原因としては、上位装置30が受信した公開鍵証明書を用いた認証処理の方式に対応していなかった、公開鍵証明書を発行したCAがルート鍵証明書と合わずに正当性が確認できなかった、公開鍵証明書バージョンがルート鍵証明書と合わずに正当性が確認できなかった、公開鍵証明書の有効期限が切れていた、公開鍵証明書が破損していた、そもそも全く関係ない装置と通信しようとしていた、公開鍵証明書に付された識別情報が通信相手として不適切な装置のものであった等が考えられる。
そして、次のステップS105では、その原因が公開鍵証明書に付された識別情報が通信相手として不適切な装置のものであったためか否かを判断し、この判断がYESであれば処理を終了する。なお、その他の原因でもこの時点で処理を終了してしまうようにする方がよい場合も考えられる。例えば、ステップS101での通信要求に全く応答がなかった場合や、認証処理に対応していない旨の応答を返してきた場合には、通信相手は上位装置30と全く関係ない装置であることが考えられるので、このような場合にはステップS105の時点で処理を終了させてしまうようにしてもよい。
そして、次のステップS105では、その原因が公開鍵証明書に付された識別情報が通信相手として不適切な装置のものであったためか否かを判断し、この判断がYESであれば処理を終了する。なお、その他の原因でもこの時点で処理を終了してしまうようにする方がよい場合も考えられる。例えば、ステップS101での通信要求に全く応答がなかった場合や、認証処理に対応していない旨の応答を返してきた場合には、通信相手は上位装置30と全く関係ない装置であることが考えられるので、このような場合にはステップS105の時点で処理を終了させてしまうようにしてもよい。
ステップS106以降の処理は、通常公開鍵証明書を用いた認証が正常に行えなかった場合にその原因を把握して必要な場合に通信相手に適当なデジタル証明書を記憶させる処理であるところ、ステップS104での認証失敗の原因が識別情報が不適切なものであったことであれば、証明書や認証処理の課程が正常であったことは明らかであるので、改めて確認を行う必要はなく、また証明書を更新したとしても状況が改善することもなく、ステップS106以降の処理を行う必要がないためである。この場合、ステップS101で通信要求を送信したURLには以後通信を要求しないようにするとよい。
一方、ステップS105の判断がNOである場合には、公開鍵証明書が適当なものでなかったため認証処理が正常に行えなかったと考えられるため、その原因を把握すべくステップS106に進んで以降の処理を行う。ステップS102で下位装置40が公開鍵証明書を送信してこなかった場合も同様である。
ステップS106では、通常URLでの通信ができないことがわかっているので、今度は下位装置40のレスキューURLに対して通信要求を送信する。
ステップS106では、通常URLでの通信ができないことがわかっているので、今度は下位装置40のレスキューURLに対して通信要求を送信する。
この場合には、下位装置40は改めて図14のフローチャートに示した処理を開始するが、ステップS201の判断はレスキューURLとなり、ステップS212に進んで、下位装置用レスキュー公開鍵証明書を、レスキュー私有鍵(下位装置用レスキュー私有鍵)で暗号化した第1の乱数と共に上位装置30に送信する。この処理も、ステップS203の場合と同様、図22又は図24のステップS21及びS22の処理に相当する。レスキュー公開鍵証明書は、通常公開鍵証明書と異なり、有効期間を長くすれば、装置の製造時に記憶させた後は更新しないようにすることができるので、このようにした場合、下位装置40として適当な装置であれば適当なものを記憶しているはずである。
上位装置30側では、ステップS107で下位装置40がステップS212で送信した証明書と乱数を受信すると、これを用いて認証処理を行う。ここでの認証には、下位装置認証用レスキュールート鍵証明書を使用し、この処理は、ステップS102及びS103の場合と同様、図22又は図24のステップS12及びS13の処理に相当する。なお、ステップS106の後所定時間内に受信しない場合には認証失敗として取り扱うようにしてもよい。また、ステップS106及びS107の処理において、上位装置30のCPUが第2の認証手段として機能する。
そして、ステップS108で認証が成功したか否か判断し、成功していればステップS109に進んで共通鍵の種を下位装置40に送信すると共に共通鍵を作成して以後の通信に使用するようにする。これらの処理は、ステップS104及びS114の場合と同様、図22又は図24のステップS14乃至S17の処理に相当する。
下位装置40側では、ステップS212の後ステップS213でこの送信を待ち、共通鍵の種を受信した場合には上位装置30に認証されたと判断し、ステップS214に進んで共通鍵を作成して以後の通信に使用するようにする。これらの処理は、ステップS204及びS205の場合と同様、図22のステップS23乃至S26あるいは図24のステップS25及びS26の処理に相当する。
下位装置40側では、ステップS212の後ステップS213でこの送信を待ち、共通鍵の種を受信した場合には上位装置30に認証されたと判断し、ステップS214に進んで共通鍵を作成して以後の通信に使用するようにする。これらの処理は、ステップS204及びS205の場合と同様、図22のステップS23乃至S26あるいは図24のステップS25及びS26の処理に相当する。
一方、上位装置30側では、ステップS108でレスキュー公開鍵証明書を用いた認証が成功したことにより、下位装置40との間の通常公開鍵証明書を用いた認証に異常があると判断する。このステップS108の処理において、上位装置30のCPUが異常検知手段としても機能する。そして、下位装置40の証明書を更新すべく、ステップS109の次にステップS110で、証明書管理装置20に必要な情報を送信して更新用の新証明書セットを作成させ、これを取得するが、この処理の説明については後に詳述する。
上位装置30は、証明書管理装置20から新証明書セットを取得すると、ステップS111で下位装置40に証明書更新要求と共にその新証明書セットを送信し、記憶している(あるいは存在しなかった)正規認証情報を、新証明書セットの内容に更新するよう要求する。この処理において、上位装置30のCPUが証明書送信手段として機能する。
そして、ステップS112で下位装置40からの応答を待ってステップS117に進み、通信を切断して処理を終了する。始めに送信しようとしていた要求等を送信する場合には、再度処理を開始すればよいが、この時点では通常公開鍵証明書による認証が可能になっているはずであるので、ステップS104からS113に進み、以降の処理で下位装置40に要求を送信してこれに係る動作を実行させることが可能である。
そして、ステップS112で下位装置40からの応答を待ってステップS117に進み、通信を切断して処理を終了する。始めに送信しようとしていた要求等を送信する場合には、再度処理を開始すればよいが、この時点では通常公開鍵証明書による認証が可能になっているはずであるので、ステップS104からS113に進み、以降の処理で下位装置40に要求を送信してこれに係る動作を実行させることが可能である。
一方、下位装置40側では、ステップS214の後はステップS215で要求の受信を待ち、要求を受信するとステップS216に進む。そして、図4を用いて説明したように、下位装置40の要求管理部44は、レスキュー公開鍵証明書を用いた認証を行った場合には、証明書更新動作のみを許可するようにしているので、ステップS216で受信した要求が証明書更新要求か否かを判断する。そして、証明書更新要求でなければその要求は無視してステップS215に戻って次の要求を待つ。ここで、要求を受け付けられない旨の応答を返すようにしてもよい。
ステップS216で証明書更新要求であれば、ステップS217に進んで証明書更新要求と共に受信した新証明書セットを証明書記憶部45に記憶させて図5(a)に示した正規認証情報をその内容に更新し、ステップS218で更新結果を応答として送信元に通知して処理を終了する。
ステップS216で証明書更新要求であれば、ステップS217に進んで証明書更新要求と共に受信した新証明書セットを証明書記憶部45に記憶させて図5(a)に示した正規認証情報をその内容に更新し、ステップS218で更新結果を応答として送信元に通知して処理を終了する。
次に、上位装置30及び下位装置40が図13及び図14に示した処理を実行する場合の処理シーケンスの例を、証明書管理装置20における処理も含めて説明する。図15及び図16にこの処理シーケンスを示す。なおここでは、下位装置40に記憶している下位装置用通常公開鍵証明書が、上位装置30が実行可能な認証処理では取り扱えないものであった場合の処理例を示す。この原因としては、例えば下位装置用通常公開鍵証明書が、上位装置30が取り扱えない鍵長の公開鍵を含む証明書であることが考えられる。
この例においては、まず上位装置30が、HTTPSクライアント機能部31を対下位装置クライアントとして機能させて、下位装置40の通常URLに通信要求を送信する(S301)。この場合、下位装置40側で要求を受けるのはHTTPSサーバ機能部42であり、認証処理部43にこの要求を伝える。また、下位装置40は通常公開鍵証明書を用いた認証を要求されたことになる。そして認証処理部43は、SSLプロトコルに従い、証明書記憶部45に記憶している下位装置用通常私有鍵で暗号化した乱数と共に、同じく証明書記憶部45に記憶している下位装置用通常公開鍵証明書を上位装置30に返す(S302)。
上位装置30側では、これを認証処理部33に渡して認証処理を試みるが、認証処理部33では受信した下位装置用通常公開鍵証明書を用いた認証処理を行うことができないため、認証失敗と判断し(S303)、下位装置40に対して認証失敗応答を返す(S304)。ただしこの時点では、上位装置30は、通信を要求した相手が本当に下位装置40であるか否かは認識できていない。
そして、認証失敗の原因が公開鍵証明書の正当性が確認できなかったことであるので、通信を要求した通常URLに係る装置が通信相手として適当でありうる装置であるか否かを調査するため、レスキューURLに通信要求を送信する(S305)。
そして、認証失敗の原因が公開鍵証明書の正当性が確認できなかったことであるので、通信を要求した通常URLに係る装置が通信相手として適当でありうる装置であるか否かを調査するため、レスキューURLに通信要求を送信する(S305)。
下位装置40側では、この要求はステップS301の場合と同様に認証処理部43に伝えられるが、今度は下位装置40はレスキュー公開鍵証明書を用いた認証を要求されたことになる。そして認証処理部43は、SSLプロトコルに従い、証明書記憶部45に記憶している下位装置用レスキュー私有鍵で暗号化した乱数と共に、同じく証明書記憶部45に記憶している下位装置用レスキュー公開鍵証明書を上位装置30に返す(S306)。
上位装置30側では、これを認証処理部33に渡して認証処理を行うが、ここでは下位装置40は上位装置30の通信相手となりうる装置であるから、下位装置用レスキュー公開鍵証明書は認証処理部33が認証処理において取り扱うことができる形式のものであり、かつ上位装置30に記憶している下位装置認証用レスキュールート鍵証明書を用いて正当性を確認できるものであり、また乱数の復号化も問題なく行うことができ、認証成功と判断する(S307)。
上位装置30側では、これを認証処理部33に渡して認証処理を行うが、ここでは下位装置40は上位装置30の通信相手となりうる装置であるから、下位装置用レスキュー公開鍵証明書は認証処理部33が認証処理において取り扱うことができる形式のものであり、かつ上位装置30に記憶している下位装置認証用レスキュールート鍵証明書を用いて正当性を確認できるものであり、また乱数の復号化も問題なく行うことができ、認証成功と判断する(S307)。
そして上位装置30は、片方向認証の場合には下位装置用レスキュー公開鍵証明書に含まれる公開鍵で暗号化した共通鍵の種を下位装置40のレスキューURLに返す(S308)。相互認証を行う場合には、ここで第2の乱数を証明書記憶部35に記憶している上位装置用レスキュー私有鍵を用いて暗号化し、上位装置用レスキュー公開鍵証明書と共に返す。
下位装置40は、これを認証処理部43に渡して共通鍵の種を下位装置用レスキュー私有鍵を用いて復号化し、相互認証の場合にはさらに上位装置用レスキュー公開鍵証明書の正当性を上位装置認証用ルート鍵証明書を用いて確認した後第2の乱数をここに含まれる公開鍵を用いて復号化することによって認証処理を行う。そして、ここではこれらを正常に行うことができるので、認証成功と判断し(S309)、上位装置30に認証成功応答を返す(S310)。そしてその後、上位装置30と下位装置40はステップS308で送受信した共通鍵の種を用いて共通鍵を生成する(図示省略)。
一方、上位装置30は、ステップS310の応答を受信すると、ステップS301で通信を要求した相手は正当な通信相手でありうる装置であり、通信や認証処理の課程には特に異常がないことがわかる。また一方で、ステップS303において、認証処理が失敗したのは通信異常等のためでなく、下位装置40から受信した通常公開鍵証明書を認証処理において取り扱えなかったことはわかっているから、通常公開鍵証明書を用いた認証が失敗したのは、下位装置40が記憶しているべき証明書の異常に起因して認証に異常が発生しているためであると判断する(S311)。すなわち、本来通常公開鍵証明書を用いた認証が成功するはずの装置であるので、証明書に異常がある(証明書の形式や採用されている暗号方式が想定外のものであったり、証明書を記憶していなかったりする場合等も含む)ために認証が失敗していると判断する。
そして、図16に示す続きの処理に進み、HTTPSクライアント機能部31を対管理装置クライアントとして機能させて、証明書管理装置20に対して通常証明書発行要求と共に下位装置40の機番,IPアドレス及びMACアドレスを送信して、下位装置40用の新たな証明書セットの作成を要求する(S312)。なお、ここで要求を送信する証明書管理装置20は、上位装置30が認証処理において取り扱うことのできる公開鍵証明書を発行する証明書管理装置20である。そして、認証処理時に下位装置40が送信してきた公開鍵証明書を発行したCAと同じCAであっても別のCAであってもよい。
また、ここで証明書管理装置20に送信する情報は、通信相手の情報として上位装置30が予め記憶しておくようにしてもよいし、レスキュー公開鍵証明書による認証が成功した後で下位装置40に送信させて取得するようにしてもよい。また、証明書セットは図12に示した各証明書及び私有鍵を含むが、片方向認証を行う場合には上位装置認証用通常ルート鍵証明書は必要ない。また、図示は省略したが、上位装置30と証明書管理装置20とが通信する場合も、上位装置30と下位装置40とが通信する場合と同様、通常公開鍵証明書を用いてSSLプロトコルに従った認証処理を行い、安全な通信経路を確立してから要求等を送信するものとする。
証明書管理装置20は、ステップS312の要求を受けると、証明書セット及びその設定要求を作成する(S313)が、ここで作成する証明書セットに含まれる公開鍵証明書は、当然有効期間内のものである。例えば、作成時点から有効期間が開始し、所定期間後に終了するように作成するようにする。
また、証明書管理装置20は上位装置30が記憶している下位装置認証用通常ルート鍵証明書のバージョンを管理しているので、このルート鍵証明書で正当性を確認可能なデジタル署名を付し、下位装置40の識別情報として機番を含む通常公開鍵証明書を作成することができる。この場合において、証明書管理装置20が、上位装置30から受信した機番とIPアドレス及びMACアドレスを、自身が管理している情報と照合し、通常公開鍵証明書の発行先が適切な装置であることを確認できるようにしてもよい。
また、証明書管理装置20は上位装置30が記憶している下位装置認証用通常ルート鍵証明書のバージョンを管理しているので、このルート鍵証明書で正当性を確認可能なデジタル署名を付し、下位装置40の識別情報として機番を含む通常公開鍵証明書を作成することができる。この場合において、証明書管理装置20が、上位装置30から受信した機番とIPアドレス及びMACアドレスを、自身が管理している情報と照合し、通常公開鍵証明書の発行先が適切な装置であることを確認できるようにしてもよい。
また、証明書管理装置20が下位装置40に対して発行した公開鍵や私有鍵も記憶していれば、これらの鍵自体は更新せず、デジタル署名のみを変更して新たな証明書を作成することも可能である。また、上位装置30に対して発行した上位装置用通常公開鍵証明書に付したデジタル署名のバージョンを管理しているので、このデジタル署名の正当性を確認できるような上位装置認証用通常ルート鍵証明書を作成することができる。このとき、デジタル署名に用いるルート私有鍵を新たに生成し、ルート鍵証明書の更新も同時に行うようにしてもよい。そして、ここで作成した新たな各証明書及び鍵は、証明書管理部26に記憶させて管理する。
上位装置30は、ステップS312の要求を送信した後、証明書の作成が完了した頃に証明書管理装置20に対して通信要求を行い、証明書管理装置20から上位装置30への要求の有無を問い合わせる(S314)。このとき、ステップS313の処理が完了していれば、証明書管理装置20は通信要求に対する応答として、証明書設定要求と共に、新証明書セット,これを記憶させる下位装置40のIPアドレス及びMACアドレスを上位装置30に返す(S315)。すなわち、上位装置30は証明書設定要求と共に、下位装置40に記憶させるべき新証明書セットを取得することができる。
上位装置30はこの要求を受けると、指定されたIPアドレスのレスキューURLに対して証明書更新要求と共に新証明書セットを送信する(S316)。このとき、まず送信先からMACアドレスを取得し、証明書設定要求に記載されていたMACアドレスと一致していることを確認してから新証明書セットを送信するようにしてもよい。
一方、下位装置40は受信した証明書更新要求をHTTPSサーバ機能部42から要求管理部44に伝え、要求管理部44が証明書更新部48に証明書更新処理を実行させて、証明書記憶部45に記憶している正規認証情報を受信した新証明書セットの内容に更新する(S317)。そして、更新処理の結果を示す証明書更新要求応答を上位装置30に返し(S318)、上位装置30はその応答を基に証明書管理装置20に証明書設定要求に対する応答を返す(S319)。そして以上で一旦処理を終了する。
なお、上位装置30と下位装置40との間の通信は、ステップS310の後で一旦切断し、ステップS316の送信を行う際に改めてレスキューURLに対して通信要求を送信して認証を行うようにするとよい。
一方、下位装置40は受信した証明書更新要求をHTTPSサーバ機能部42から要求管理部44に伝え、要求管理部44が証明書更新部48に証明書更新処理を実行させて、証明書記憶部45に記憶している正規認証情報を受信した新証明書セットの内容に更新する(S317)。そして、更新処理の結果を示す証明書更新要求応答を上位装置30に返し(S318)、上位装置30はその応答を基に証明書管理装置20に証明書設定要求に対する応答を返す(S319)。そして以上で一旦処理を終了する。
なお、上位装置30と下位装置40との間の通信は、ステップS310の後で一旦切断し、ステップS316の送信を行う際に改めてレスキューURLに対して通信要求を送信して認証を行うようにするとよい。
ところで、これ以降の処理は図13及び図14のフローチャートでは図示を省略したが、以上のような証明書の更新が終了すると、下位装置40は、HTTPSクライアント機能部41を対上位装置クライアントとして機能させ、上位装置30の通常URLに対して通信要求を送信する。そして、更新処理の結果を通知する証明書更新結果通知と共に、機番,IPアドレス,更新後の証明書セットのバージョン情報を通知する(S321)。上位装置30は、この通知に対して応答を返す(S322)。この通信の際には通常公開鍵証明書を用いた認証を行うが、新証明書セットに含まれる証明書を用いれば、この認証は問題なく行うことができる。
さらに、上位装置30は、ステップS321の通知を受けると、下位装置の通常URLに対して通信要求を送信し、下位装置40の再検索を行う(S331)。これは、上位装置30側から通信を要求する際にも通常公開鍵証明書を用いた認証が成功し、通信が正常に行えることを確認するためのものである。下位装置40はこれに対して応答を返す(S332)。
この応答を受信すると、上位装置30は証明書の更新が成功し、その結果通常証明書を用いた認証の異常が解消したことを確認でき、ステップS321で受信した証明書更新結果通知及びその付属情報を証明書管理装置20に送信して更新処理が成功したことを通知する(S333)。証明書管理装置20はこれに対して応答を返す(S334)。
この応答を受信すると、上位装置30は証明書の更新が成功し、その結果通常証明書を用いた認証の異常が解消したことを確認でき、ステップS321で受信した証明書更新結果通知及びその付属情報を証明書管理装置20に送信して更新処理が成功したことを通知する(S333)。証明書管理装置20はこれに対して応答を返す(S334)。
図1及び図2に示した通信システムにおいては、下位装置40における正規認証情報を構成する証明書のバージョンが上位装置30のそれと合わずに認証が正常に行えない場合、以上の処理により、下位装置の証明書を更新して認証が正常に行えるようにしている。
また、上述した構成を有する上位装置30と下位装置40が以上のような処理を実行することにより、通常の場合は通信を要求する場合に通常公開鍵証明書を用いた認証を行い、通信相手を特定して認証を行い、SSLによる安全な通信経路を確立できる一方、通常公開鍵証明書を用いた認証が正常に行えなかった場合には、暗号強度が通常公開鍵証明書の場合よりも低い認証処理に対応し、広汎な環境で認証処理を行うことができるレスキュー公開鍵証明書を用いた認証を行い、これが成功した場合に通常公開鍵証明書を用いた認証の失敗は認証の異常が原因であると判断できる。従って、速やかに異常の解消に向けた動作を行うことができる。
また、レスキュー公開鍵証明書を用いた認証のみが成功した場合には、下位装置用通常公開鍵証明書を始めとする、下位装置40に記憶している正規認証情報の異常が原因であると推測できるため、レスキュー公開鍵証明書を用いた認証が成功した場合に上位装置30が新証明書セットを取得して下位装置40に送信し、通常認証情報を更新させることにより、速やかに異常の解消を図ることができる。
また、上述した構成を有する上位装置30と下位装置40が以上のような処理を実行することにより、通常の場合は通信を要求する場合に通常公開鍵証明書を用いた認証を行い、通信相手を特定して認証を行い、SSLによる安全な通信経路を確立できる一方、通常公開鍵証明書を用いた認証が正常に行えなかった場合には、暗号強度が通常公開鍵証明書の場合よりも低い認証処理に対応し、広汎な環境で認証処理を行うことができるレスキュー公開鍵証明書を用いた認証を行い、これが成功した場合に通常公開鍵証明書を用いた認証の失敗は認証の異常が原因であると判断できる。従って、速やかに異常の解消に向けた動作を行うことができる。
また、レスキュー公開鍵証明書を用いた認証のみが成功した場合には、下位装置用通常公開鍵証明書を始めとする、下位装置40に記憶している正規認証情報の異常が原因であると推測できるため、レスキュー公開鍵証明書を用いた認証が成功した場合に上位装置30が新証明書セットを取得して下位装置40に送信し、通常認証情報を更新させることにより、速やかに異常の解消を図ることができる。
このような暗号強度が比較的低い認証処理に対応したレスキュー公開鍵証明書は、暗号強度が高い認証処理に対応した通常公開鍵証明書と比べた場合には安全性が若干劣るが、相当程度の安全性は確保できる。そして、このような証明書を用意しておくことにより、設定されている通常公開鍵証明書による認証で対応できない環境下に置かれたり、通常公開鍵証明書が破損や有効期限切れ等により使用できなくなってしまった場合でも、レスキュー公開鍵証明書が利用可能な環境下であれば、共通鍵暗号を用いた安全な通信経路を確保できるという効果がある。また、プライベート認証局であれば、広汎な環境下で利用可能であり、かつ有効期間が長く期限切れが起こらず、更新を不要として更新時の破損を防止できるようなレスキュー公開鍵証明書を発行することができる。
さらに、レスキュー公開鍵証明書を用いた認証により、送信先が通信相手として適当な装置であることを確認してから新証明書セットを送信することができるので、証明書セットを誤って不適当な装置に記憶させてしまうことがない。相互認証を行う場合には、下位装置40側でも、新証明書セットの送信元が上位装置30であることを確認して受信することができるので、正規認証情報として不正な証明書を記憶してしまうことがない。さらにまた、通常公開鍵証明書を用いた認証が行えない場合でもレスキュー公開鍵証明書を用いた認証が可能であることから、新証明書セットをSSLを用いた安全な通信経路で送信することができるので、内容が第3者に漏れることがなく、セキュリティを維持できる。
また、下位装置40が、レスキュー公開鍵証明書を用いて認証した相手からの要求は、証明書の更新要求以外は受け付けないようにしているので、その他の情報については、通常公開鍵証明書によって認証した適当な通信相手のみにアクセスを許可することができ、万一レスキュー公開鍵証明書の有効期間内にレスキュー私有鍵が不正に取得されてしまった場合でも、重要な情報に不正にアクセスされることを防止できる。
そして、この実施形態によれば、自動的に公開鍵証明書を更新することができるので、この実施形態は、設置先の操作者による証明書の更新が行えないような装置、例えばケーブルテレビのセットトップボックスや遠隔保守の対象となる画像形成装置等、を通信相手とする通信装置や、そのような通信装置を含む通信システムに適用すると、特に効果的である。
そして、この実施形態によれば、自動的に公開鍵証明書を更新することができるので、この実施形態は、設置先の操作者による証明書の更新が行えないような装置、例えばケーブルテレビのセットトップボックスや遠隔保守の対象となる画像形成装置等、を通信相手とする通信装置や、そのような通信装置を含む通信システムに適用すると、特に効果的である。
〔実施形態の変形例:図17乃至図20〕
次に、上述した実施形態についての種々の変形例について説明する。
ここまでの説明では、通常公開鍵証明書を用いた認証が正常に行えず、レスキュー公開鍵証明書を用いた認証が成功した場合に下位装置40の正規認証情報を更新する例について説明した。ここで下位装置40の正規認証情報を更新するようにしたのは、この実施形態の通信システムにおいて、下位装置40は上位装置30に複数接続可能であり、着脱も可能であることから、下位装置40の方が管理を行い難く、そのため設定されている通常公開鍵証明書が使用できなくなるような環境変化が発生しやすいためである。
しかし、上位装置30においてこのような環境変化が起こったり、自ら使用する暗号強度や認証処理の方式を変える場合等も考えられることから、上位装置30は、これを認識した場合に自身の正規認証情報の更新を試みるようにしてもよい。
次に、上述した実施形態についての種々の変形例について説明する。
ここまでの説明では、通常公開鍵証明書を用いた認証が正常に行えず、レスキュー公開鍵証明書を用いた認証が成功した場合に下位装置40の正規認証情報を更新する例について説明した。ここで下位装置40の正規認証情報を更新するようにしたのは、この実施形態の通信システムにおいて、下位装置40は上位装置30に複数接続可能であり、着脱も可能であることから、下位装置40の方が管理を行い難く、そのため設定されている通常公開鍵証明書が使用できなくなるような環境変化が発生しやすいためである。
しかし、上位装置30においてこのような環境変化が起こったり、自ら使用する暗号強度や認証処理の方式を変える場合等も考えられることから、上位装置30は、これを認識した場合に自身の正規認証情報の更新を試みるようにしてもよい。
この場合の処理シーケンスの例を図17に示す。
この場合には、まずHTTPSクライアント機能部31を対CAクライアントとして機能させて、証明書管理装置20に対して通常証明書発行要求と共に自身の機番情報を送信して、自身用の新たな証明書セットの作成を要求する(S401)。このときも通常公開鍵証明書を用いてSSLプロトコルに従った認証処理を行い、安全な通信経路を確立してから要求等を送信するが、上位装置30の正規認証情報に異常があることから、この認証が正常に行えない場合も考えられる。図示は省略するが、このような場合には、証明書管理装置20のレスキューURLにアクセスしてレスキュー公開鍵証明書を用いた認証を行うようにする。
この場合には、まずHTTPSクライアント機能部31を対CAクライアントとして機能させて、証明書管理装置20に対して通常証明書発行要求と共に自身の機番情報を送信して、自身用の新たな証明書セットの作成を要求する(S401)。このときも通常公開鍵証明書を用いてSSLプロトコルに従った認証処理を行い、安全な通信経路を確立してから要求等を送信するが、上位装置30の正規認証情報に異常があることから、この認証が正常に行えない場合も考えられる。図示は省略するが、このような場合には、証明書管理装置20のレスキューURLにアクセスしてレスキュー公開鍵証明書を用いた認証を行うようにする。
証明書管理装置20は、ステップS401の要求を受けると、証明書セット及びその設定要求を作成する(S402)が、証明書管理装置20が上位装置30に対して発行した公開鍵及び私有鍵や、過去に使用した全てのバージョンのルート私有鍵及びルート鍵を記憶していれば、どのバージョンの証明書でも作成することができるが、最新バージョンの証明書を作成するようにするとよい。そして、ここで作成した新たな各証明書及び鍵も、それまでの証明書等と同様、証明書管理部26に記憶させて管理する。
上位装置30は、ステップS401の要求を送信した後、証明書の作成が完了した頃に証明書管理装置20に対して通信要求を行い、証明書管理装置20から上位装置30への要求の有無を問い合わせる(S403)。このとき、ステップS402の処理が完了していれば、証明書管理装置20は通信要求に対する応答として、証明書更新要求と共に新証明書セットを上位装置30に返す(S404)。
上位装置30はこの要求を受けると、証明書記憶部45に記憶している正規認証情報を受信した新証明書セットの内容に更新し(S405)、更新処理の結果を示す証明書更新要求応答を証明書管理装置20に返す(S406)。証明書管理装置20はこれに対して応答を受信した旨の通知を返す(S407)。
上位装置30はこの要求を受けると、証明書記憶部45に記憶している正規認証情報を受信した新証明書セットの内容に更新し(S405)、更新処理の結果を示す証明書更新要求応答を証明書管理装置20に返す(S406)。証明書管理装置20はこれに対して応答を受信した旨の通知を返す(S407)。
以上の処理によって、下位装置40の場合と同様に上位装置30の正規認証情報を更新することができるが、この更新によって通常公開鍵証明書が変更されるため、更新前に通常公開鍵証明書を用いた認証が行えていた下位装置40との間で、この認証が正常に行えなくなってしまった可能性がある。そこで、各下位装置40の通常URLに対して通信を要求し、下位装置の再検索を行うようにしている(S408)。そして、下位装置40が応答として送信してくる通常公開鍵証明書を用いて認証を行い、この認証が正常に行えなかった下位装置40については、図15及び図16のステップS305以下と同様な処理を行って通常公開鍵証明書を含む正規認証情報を更新する(S409)。
全ての下位装置40に対してこのような検索と更新が終了すると、上位装置30は再び全ての下位装置40を通常公開鍵証明書を用いて認証できる状態になる。従って、このような処理を行うことにより、通常公開鍵証明書を用いた認証の異常が上位装置30の正規認証情報の異常に起因する場合でも、この異常を解消することができる。
また、図17のステップS408以降に示したような再検索は、上位装置30の証明書更新とは無関係に行ってもよい。このような処理により、定期的に通常公開鍵証明書を用いた認証の成否を確認し、異常があった場合には下位装置40の通常公開鍵証明書を更新して通信システムの各装置が通常公開鍵証明書を用いて通信相手を認証可能な状態を保つことができる。
また、図17のステップS408以降に示したような再検索は、上位装置30の証明書更新とは無関係に行ってもよい。このような処理により、定期的に通常公開鍵証明書を用いた認証の成否を確認し、異常があった場合には下位装置40の通常公開鍵証明書を更新して通信システムの各装置が通常公開鍵証明書を用いて通信相手を認証可能な状態を保つことができる。
さらに、通信相手として記憶している装置のIPアドレスだけでなく、定められたIPアドレスの範囲全てに対してこの検索を行うようにすれば、新たな下位装置40が接続された場合でも、自動的に検出して通常公開鍵証明書を用いた認証が可能な状態にすることができる。製造時に下位装置40に通常公開鍵証明書が記憶されていなかった場合でも、レスキュー公開鍵証明書を用いた認証が成功すれば、証明書管理装置20にその下位装置に対する通常公開鍵証明書を発行させ、記憶させることができる。
従って、このような検索を用いれば、工場での製造時には下位装置40にレスキュー認証情報のみを記憶させて出荷しておき、装置が顧客先に設置され、上位装置30と接続した後でネットワークを介して正規認証情報を配布してこれを記憶させるといったことも可能となる。
なお、この検索によって通常公開鍵証明書を用いた認証に異常がある装置を発見した場合には、ただちに通常公開鍵証明書の更新(又は新規記憶)を行うので、このような検索は、下位装置40に新たな通常公開鍵証明書を記憶させる動作の一部であると考えることができる。
なお、この検索によって通常公開鍵証明書を用いた認証に異常がある装置を発見した場合には、ただちに通常公開鍵証明書の更新(又は新規記憶)を行うので、このような検索は、下位装置40に新たな通常公開鍵証明書を記憶させる動作の一部であると考えることができる。
また、上述した実施形態では、通信の要求を上位装置30から下位装置40に対して行う例について説明したが、このようにすることは必須ではない。すなわち、下位装置40から上位装置30に対して通信を行う場合でも、同様な処理が可能である。
図18乃至図20に、このようにする場合の、図15と対応する部分の処理シーケンスを示す。ただし、図18乃至図20においては、シーケンスを図15の場合よりも簡略化して示している。
図18乃至図20に、このようにする場合の、図15と対応する部分の処理シーケンスを示す。ただし、図18乃至図20においては、シーケンスを図15の場合よりも簡略化して示している。
まず、図18には、通常公開鍵証明書を用いた認証を行う場合も、レスキュー公開鍵証明書を用いた認証を行う場合も、下位装置40から上位装置30に対して通信を要求するようにする場合の例を示している。
この場合、下位装置40が上位装置30と通常の通信を行うべく、通常URLに通信を要求すると(S501)、これに応じて上位装置30と下位装置40との間で通常公開鍵証明書を用いた認証処理を行う(S502)。
この場合、下位装置40が上位装置30と通常の通信を行うべく、通常URLに通信を要求すると(S501)、これに応じて上位装置30と下位装置40との間で通常公開鍵証明書を用いた認証処理を行う(S502)。
この認証処理は、図22に示したような相互認証であっても、片方向認証であっても構わないが、少なくとも、上位装置30が下位装置40の公開鍵証明書を用いて下位装置40を認証するものとする。そして、この例では下位装置40がクライアントに該当するため、片方向認証を行う場合の処理は、図24に示したものとは若干異なることになるが、下位装置40が自身の私有鍵で乱数を暗号化して公開鍵証明書と共に上位装置30に送信し、上位装置30側で公開鍵証明書の正当性を確認した上で乱数を復号化して認証を行うという点では同様な処理を行えばよい。
そして、上位装置30がステップS502での認証が失敗したと判断すると(S503)、下位装置40に認証失敗応答を返す(S504)。すると、この応答を受けた下位装置40が、次は上位装置30のレスキューURLに対して通信を要求する(S505)。そして、レスキュー公開鍵証明書を用いた認証処理を行い(S506)、上位装置30が認証成功と判断すると(S507)、図15のステップS311の場合と同様、通常公開鍵証明書を用いた認証が失敗したのは、下位装置40が記憶しているべき証明書の異常に起因して認証に異常が発生しているためであると判断する(S508)。そして、図16に示した処理を実行して下位装置40の正規認証情報を更新する。
また、図19には、通常公開鍵証明書を用いた認証を行う場合には下位装置40から上位装置30に対して通信を要求し、レスキュー公開鍵証明書を用いた認証を行う場合には、上位装置30から下位装置40に対して通信を要求するようにする場合の例を示している。
この場合、ステップS511〜S514の処理は、図18のステップS501〜S504の場合と同様であるが、上位装置30は、下位装置40に認証失敗応答を返すと、その後下位装置40のレスキューURLに対して通信を要求する(S515)。そして、レスキュー公開鍵証明書を用いた認証処理を行い(S516)、認証成功と判断すると(S517)、図15のステップS311の場合と同様、通常公開鍵証明書を用いた認証が失敗したのは、下位装置40が記憶しているべき証明書の異常に起因して認証に異常が発生しているためであると判断する(S518)。そして、図13に示した処理を実行して下位装置40の正規認証情報を更新する。
この場合、ステップS511〜S514の処理は、図18のステップS501〜S504の場合と同様であるが、上位装置30は、下位装置40に認証失敗応答を返すと、その後下位装置40のレスキューURLに対して通信を要求する(S515)。そして、レスキュー公開鍵証明書を用いた認証処理を行い(S516)、認証成功と判断すると(S517)、図15のステップS311の場合と同様、通常公開鍵証明書を用いた認証が失敗したのは、下位装置40が記憶しているべき証明書の異常に起因して認証に異常が発生しているためであると判断する(S518)。そして、図13に示した処理を実行して下位装置40の正規認証情報を更新する。
また、図20には、逆に通常公開鍵証明書を用いた認証を行う場合には上位装置30から下位装置40に対して通信を要求し、レスキュー公開鍵証明書を用いた認証を行う場合には、下位装置40から上位装置30に対して通信を要求するようにする場合の例を示している。
この場合、上位装置30が下位装置40と通常の通信を行うべく、通常URLに通信を要求すると(S521)、これに応じて上位装置30と下位装置40との間で通常公開鍵証明書を用いた認証処理を行う(S522)。認証処理の内容については、図22に示したような相互認証でも図24に示したような片方向認証でもよい。
この場合、上位装置30が下位装置40と通常の通信を行うべく、通常URLに通信を要求すると(S521)、これに応じて上位装置30と下位装置40との間で通常公開鍵証明書を用いた認証処理を行う(S522)。認証処理の内容については、図22に示したような相互認証でも図24に示したような片方向認証でもよい。
そして、上位装置30がステップS522での認証が失敗したと判断すると(S523)、下位装置40に認証失敗応答を送信する(S524)。そして、下位装置40は、この応答を受信すると、上位装置30のレスキューURLに対して通信を要求する(S525)。そして、レスキュー公開鍵証明書を用いた認証処理を行い(S526)、上位装置30が認証成功と判断すると(S527)、図15のステップS311の場合と同様、通常公開鍵証明書を用いた認証が失敗したのは、下位装置40が記憶しているべき証明書の異常に起因して認証に異常が発生しているためであると判断する(S528)。そして、図16に示した処理を実行して下位装置40の正規認証情報を更新する。
以上のような図18乃至図20のいずれに示したシーケンスを採用した場合でも、上述した実施形態の場合と同様、通常公開鍵証明書を用いた認証が失敗した場合にレスキュー公開鍵証明書を用いた認証を行い、これが成功した場合に通常公開鍵証明書を用いた認証の失敗は認証の異常が原因であると判断できる。従って、上位装置30が新証明書セットを取得して下位装置40に送信し、正規認証情報を更新させることにより、速やかに異常の解消を図ることができる。
また、どちらの装置が通信要求を行うかを、場合に応じて変えることができるようにしてもよい。例えば、通常公開鍵証明書を用いた認証が失敗した場合に上位装置30が下位装置40のレスキューURLに通信を要求するようにしたり、通常公開鍵証明書を用いた認証が失敗した旨の応答を受信した場合に下位装置40が上位装置30のレスキューURLに通信を要求したりするようにすれば、初めの通常URLへの通信をどちらの装置から行ったとしても、以後の処理を同じように進めることができる。
なお、新証明書セットの送信に係る図16のステップS316の通信も、下位装置40側から通信要求を行い、上位装置30側からその通信要求に応じて証明書更新要求を送信するようにしてもよい。
なお、新証明書セットの送信に係る図16のステップS316の通信も、下位装置40側から通信要求を行い、上位装置30側からその通信要求に応じて証明書更新要求を送信するようにしてもよい。
さらに、上述した各実施形態では、証明書管理装置20がルート鍵やデジタル証明書を自ら作成する例について説明したが、図2に示した証明用鍵作成部24や証明書発行部25の機能を証明書管理装置20とは別の装置に設け、証明書管理装置20がその装置からルート鍵やデジタル証明書の供給を受けてこれらを取得するようにしてもよい。
特に、パブリック認証局が発行する公開鍵証明書を利用する場合には、上位装置30からパブリック認証局に対して直接証明書の発行を依頼し、証明書の管理も認証局である証明書管理装置20に任せてしまうよりは、間に発行された証明書を管理する装置を介して認証局に証明書の発行を依頼するような構成が好ましい。
特に、パブリック認証局が発行する公開鍵証明書を利用する場合には、上位装置30からパブリック認証局に対して直接証明書の発行を依頼し、証明書の管理も認証局である証明書管理装置20に任せてしまうよりは、間に発行された証明書を管理する装置を介して認証局に証明書の発行を依頼するような構成が好ましい。
また、レスキュー公開鍵証明書については、有効期間が長いため、レスキュールート私有鍵が漏洩すると通信の安全性維持が著しく困難になるので、秘密保持を特に厳重に行う必要がある。そこで、安全性を重視し、例えば証明書を記憶させる工程を有する工場のみと専用線で通信可能なような、外部からアクセス不能な証明書管理装置を用いるとよい。
さらに、下位装置用の証明書を発行する証明書管理装置,上位装置用の証明書を発行する証明書管理装置,各証明書管理装置の証明書を発行する証明書管理装置等、証明書を発行する対象の装置の種類に応じて証明書管理装置を分けるようにしてもよい。
さらに、下位装置用の証明書を発行する証明書管理装置,上位装置用の証明書を発行する証明書管理装置,各証明書管理装置の証明書を発行する証明書管理装置等、証明書を発行する対象の装置の種類に応じて証明書管理装置を分けるようにしてもよい。
また、上述した実施形態では、より暗号強度が高い認証処理に対応した通常公開鍵証明書と、より暗号強度が低い認証処理に対応したレスキュー公開鍵証明書とを用いる例について説明したが、前者はセキュリティ強度が高い証明書、後者はセキュリティ強度が比較的低い証明書と捉えることもできる。
一般に、セキュリティ強度が高い証明書には、多くの情報を記載する必要があったり、輸出制限があったり特殊な認証処理プログラムが必要であったりして利用可能な環境が限られていたりするため、全ての装置に同じように記憶させて認証処理に用いることが難しい場合がある。一方で、セキュリティ強度が低い証明書であれば、このような制限が少なく、全ての装置に同じように記憶させて認証処理に用いることが比較的容易であると考えられる。
一般に、セキュリティ強度が高い証明書には、多くの情報を記載する必要があったり、輸出制限があったり特殊な認証処理プログラムが必要であったりして利用可能な環境が限られていたりするため、全ての装置に同じように記憶させて認証処理に用いることが難しい場合がある。一方で、セキュリティ強度が低い証明書であれば、このような制限が少なく、全ての装置に同じように記憶させて認証処理に用いることが比較的容易であると考えられる。
そこで、セキュリティ強度が低い証明書を記憶させた装置を製造・販売した上で、利用環境に合わせてセキュリティ強度が高い証明書を事後的に記憶させることができるようにしたいという要求がある。例えば、システムの運用者によって種々に認証処理の内容を工夫したり信頼性の高いCAを選択したりしてセキュリティの向上を図る場合も考えられるが、このような場合、ある装置を1つのシステムから他のシステムに移動(単に設定を変更するのみの場合も含む)させる場合、通常の認証処理に使用する証明書を入れ換える必要があることが考えられる。また、セキュリティの高い証明書に後で欠陥が発見され、認証処理の方式を変更する必要が生じることも考えられる。
このような場合に、上述した実施形態の処理を利用し、セキュリティの高い証明書を用いた認証が失敗した場合にセキュリティの低い証明書を用いた認証を行い、これが成功した場合にセキュリティの高い証明書を用いた認証の失敗は認証の異常が原因であると判断して、上位装置30がセキュリティの高い証明書を含む証明書セットを取得して下位装置40に送信し、これを記憶させることにより、ある程度の安全性を確保しながら、顧客先に設置した後の装置に利用シーンに合った証明書を記憶させることも可能となる。
このような場合に、上述した実施形態の処理を利用し、セキュリティの高い証明書を用いた認証が失敗した場合にセキュリティの低い証明書を用いた認証を行い、これが成功した場合にセキュリティの高い証明書を用いた認証の失敗は認証の異常が原因であると判断して、上位装置30がセキュリティの高い証明書を含む証明書セットを取得して下位装置40に送信し、これを記憶させることにより、ある程度の安全性を確保しながら、顧客先に設置した後の装置に利用シーンに合った証明書を記憶させることも可能となる。
また、上述した実施形態では、上位装置30と下位装置40あるいは証明書管理装置20が、図22あるいは図24を用いて説明したようなSSLに従った認証を行う場合の例について説明した。しかし、この認証が必ずしもこのようなものでなくても上述した実施形態のような効果を得ることができる。
SSLを改良したTLS(Transport Layer Security)も知られているが、このプロトコルに基づく認証処理を行う場合にも当然適用可能である。
SSLを改良したTLS(Transport Layer Security)も知られているが、このプロトコルに基づく認証処理を行う場合にも当然適用可能である。
また、上述した実施形態では、証明書管理装置20を上位装置30と別に設ける例について説明したが、これと一体として設けることを妨げるものではない。この場合、証明書管理装置20の機能を実現するためのCPU,ROM,RAM等の部品を独立して設けてもよいが、上位装置30のCPU,ROM,RAM等を使用し、そのCPUに適当なソフトウェアを実行させることにより、証明書管理装置20として機能させるようにしてもよい。
このような場合において、証明書管理装置20と、これと一体になっている上位装置30との間の通信には、ハードウェアを証明書管理装置20として機能させるためのプロセスと、ハードウェアを上位装置30として機能させるためのプロセスとの間のプロセス間通信を含むものとする。
さらに、上述した各実施形態では、証明書管理装置20がルート鍵やデジタル証明書を自ら作成する例について説明したが、図2に示した証明用鍵作成部24や証明書発行部25の機能を証明書管理装置20とは別の装置に設け、証明書管理装置20がその装置からルート鍵やデジタル証明書の供給を受けてこれらを取得するようにしてもよい。
さらに、上述した各実施形態では、証明書管理装置20がルート鍵やデジタル証明書を自ら作成する例について説明したが、図2に示した証明用鍵作成部24や証明書発行部25の機能を証明書管理装置20とは別の装置に設け、証明書管理装置20がその装置からルート鍵やデジタル証明書の供給を受けてこれらを取得するようにしてもよい。
また、上述した実施形態では、レスキュー公開鍵証明書にも装置の識別情報を記載する例について説明したが、レスキュー公開鍵証明書には装置の識別情報を含めず、同じ階位の装置(図1及び図2に示した例では、証明書管理装置,上位装置,下位装置の階位が存在するものとする)には、全て同じレスキュー公開鍵証明書を記憶させるようにしてもよい。この場合、同じ階位の各装置を個別に区別する必要がないので、証明書に含まれるレスキュー公開鍵及びこれと対応するレスキュー私有鍵も含めて、全く共通のものでよい。そして、通信相手のレスキュー公開鍵証明書が全て同じであることから、ルート鍵証明書については、ある階位の装置の通信相手となる全ての装置について共通となる。すなわち、図21に示したように下位装置を複数設けた場合でも、全ての下位装置に同じレスキュー認証情報を記憶させることになる。
これは、上位装置30のレスキュー認証情報や証明書管理装置20のレスキュー認証情報についても同様である。
なお、通常公開鍵証明書とデータ形式を統一化する場合には、例えば図8に示した形式において「Subject」の項目を空白としたり、ベンダー名のみ記載して機番として0を記載してレスキュー公開鍵証明書であることを示すこと等も考えられる。
なお、通常公開鍵証明書とデータ形式を統一化する場合には、例えば図8に示した形式において「Subject」の項目を空白としたり、ベンダー名のみ記載して機番として0を記載してレスキュー公開鍵証明書であることを示すこと等も考えられる。
このようにすれば、レスキュー認証情報は同じ階位の装置について全て共通となるので、装置の製造時にその機種に応じて定まる階位に応じたものを記憶させてしまうことができる。すなわち、装置の識別情報を付した情報ではないため、検査工程を終了して識別番号を付した各装置に対してそれぞれ個別の証明書を用意して記憶させる必要はなく、多数の装置に対して単純作業によって記憶させることができる。例えば、制御プログラムのマスタにレスキュー認証情報を含めておき、制御プログラムを装置にコピーする際にレスキュー認証情報も共に記憶させる等である。
そして、レスキュー公開鍵証明書に十分長期の有効期間を設定しておけば、その後レスキュー認証情報を更新する必要はなく、上記のように通常公開鍵証明書の有効期間が過ぎて通常公開鍵証明書による認証が行えなくなった場合でも、レスキュー認証情報に含まれるレスキュー公開鍵証明書を用いた認証は可能な状態を保つことができる。
そして、レスキュー公開鍵証明書に十分長期の有効期間を設定しておけば、その後レスキュー認証情報を更新する必要はなく、上記のように通常公開鍵証明書の有効期間が過ぎて通常公開鍵証明書による認証が行えなくなった場合でも、レスキュー認証情報に含まれるレスキュー公開鍵証明書を用いた認証は可能な状態を保つことができる。
なおこの場合、レスキュー公開鍵証明書には装置の識別情報を付していないため、レスキュー公開鍵証明書を用いた認証を行った場合でも、通信相手の装置を具体的に特定することはできない。しかし、通信相手についてある程度の情報は得ることができる。
すなわち、例えばあるベンダーが自社製品のうち下位装置40に該当する装置全てに下位装置用のレスキュー認証情報(下位装置用レスキュー公開鍵証明書,下位装置用レスキュー私有鍵及び上位装置認証用レスキュールート鍵証明書)を記憶させ、その通信相手となる上位装置30に該当する装置全てに上位装置用のレスキュー認証情報(上位装置用レスキュー公開鍵証明書,上位装置用レスキュー私有鍵及び下位装置認証用レスキュールート鍵証明書)を記憶させておけば、下位装置40は、認証処理が成功した場合、自己の記憶している上位装置認証用レスキュールート鍵証明書で正当性を確認できる公開鍵証明書を送信してきた相手が同じベンダーの上位装置30であることを認識できるし、逆に上位装置30も自己の記憶しているレスキュールート鍵証明書で正当性を確認できる公開鍵証明書を送信してきた相手は同じベンダーの下位装置40であることを認識できる。
すなわち、例えばあるベンダーが自社製品のうち下位装置40に該当する装置全てに下位装置用のレスキュー認証情報(下位装置用レスキュー公開鍵証明書,下位装置用レスキュー私有鍵及び上位装置認証用レスキュールート鍵証明書)を記憶させ、その通信相手となる上位装置30に該当する装置全てに上位装置用のレスキュー認証情報(上位装置用レスキュー公開鍵証明書,上位装置用レスキュー私有鍵及び下位装置認証用レスキュールート鍵証明書)を記憶させておけば、下位装置40は、認証処理が成功した場合、自己の記憶している上位装置認証用レスキュールート鍵証明書で正当性を確認できる公開鍵証明書を送信してきた相手が同じベンダーの上位装置30であることを認識できるし、逆に上位装置30も自己の記憶しているレスキュールート鍵証明書で正当性を確認できる公開鍵証明書を送信してきた相手は同じベンダーの下位装置40であることを認識できる。
そして、このような認証が成功すれば、前述のように通信相手との間で共通鍵を共有して共通鍵暗号を用いた安全な通信経路を設けることができるので、その後機種機番情報等を交換して通信相手を特定することも可能である。また、証明書管理装置20と上位装置30の間についても同様なことが可能である。
なお、通常公開鍵証明書についても、同様に装置の識別情報を含めないものとすることも考えられる。このようにしたとしても、対応している認証処理の暗号強度が高い分だけ安全性が高いと考えられる。また、レスキュー公開鍵証明書よりも有効期間が短ければ、その分だけレスキュー公開鍵証明書よりも安全性を高めることができる。
また、通常公開鍵証明書とレスキュー公開鍵証明書の有効期間や、これらを発行する認証局についても、特に上述した関係に限定されることはない。逆に、暗号強度についても、セキュリティ高低の1つの要素と捉え、認証局や有効期間、装置の識別情報の有無等により、通常公開鍵証明書とレスキュー公開鍵証明書の差を出すようにすることも考えられる。
なお、通常公開鍵証明書についても、同様に装置の識別情報を含めないものとすることも考えられる。このようにしたとしても、対応している認証処理の暗号強度が高い分だけ安全性が高いと考えられる。また、レスキュー公開鍵証明書よりも有効期間が短ければ、その分だけレスキュー公開鍵証明書よりも安全性を高めることができる。
また、通常公開鍵証明書とレスキュー公開鍵証明書の有効期間や、これらを発行する認証局についても、特に上述した関係に限定されることはない。逆に、暗号強度についても、セキュリティ高低の1つの要素と捉え、認証局や有効期間、装置の識別情報の有無等により、通常公開鍵証明書とレスキュー公開鍵証明書の差を出すようにすることも考えられる。
また、この発明によるプログラムは、コンピュータを、通信手段を備え、通信の際に通信相手をデジタル証明書を用いて認証する通信装置又はその通信相手となる通信装置である、上位装置30あるいは下位装置40のような装置として機能させるためのプログラムであり、このようなプログラムをコンピュータに実行させることにより、上述したような効果を得ることができる。
このようなプログラムは、はじめからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
以上説明してきた通り、この発明の通信装置、通信システム、証明書送信方法あるいはプログラムを用いれば、通信の際に通信相手をデジタル証明書を用いて認証する通信装置あるいはこのような通信装置を用いて構成した通信システムにおいて、セキュリティを維持しながら、認証に異常があった場合でも正常な認証が行える状態に容易に回復させることができる。
従って、この発明を、このような通信装置又は通信システムに適用することにより、セキュリティの高い通信システムを構成することができる。
従って、この発明を、このような通信装置又は通信システムに適用することにより、セキュリティの高い通信システムを構成することができる。
11:CPU 12:ROM
13:RAM 14:HDD
15:通信I/F 16:システムバス
20:証明書管理装置
21,32,42:HTTPSサーバ機能部
22,33,43:認証処理部
23,48:証明書更新部 24:証明用鍵作成部
25:証明書発行部 26:証明書管理部
30:上位装置
31,41:HTTPSクライアント機能部
34:証明書更新要求部 35,45:証明書記憶部
40:下位装置 44:要求管理部
46:状態通知部 47:ログ通知部
49:コマンド受信部
13:RAM 14:HDD
15:通信I/F 16:システムバス
20:証明書管理装置
21,32,42:HTTPSサーバ機能部
22,33,43:認証処理部
23,48:証明書更新部 24:証明用鍵作成部
25:証明書発行部 26:証明書管理部
30:上位装置
31,41:HTTPSクライアント機能部
34:証明書更新要求部 35,45:証明書記憶部
40:下位装置 44:要求管理部
46:状態通知部 47:ログ通知部
49:コマンド受信部
Claims (21)
- 通信手段を備え、通信の際に通信相手を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信装置であって、
前記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて前記通信相手の認証を行う認証手段と、
前記認証手段による認証が成功した場合に、前記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して前記通信相手に送信する証明書送信手段とを設けたことを特徴とする通信装置。 - 請求項1記載の通信装置であって、
前記通信相手と通信する場合にまず第1の証明書を用いて認証を行うようにし、前記認証手段は、該認証が正常に行えなかった場合に前記第2の証明書を用いた認証を行う手段であることを特徴とする通信装置。 - 請求項1又は2記載の通信装置であって、
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行い、
前記第1の証明書は前記通信相手の公開鍵証明書であることを特徴とする通信装置。 - 請求項1乃至3のいずれか一項記載の通信装置を通信相手として通信可能な通信装置であって、
前記第1の証明書と前記第2の証明書とを記憶する証明書記憶手段と、
通信相手から前記第1の証明書を受信して前記証明書記憶手段に記憶させる手段とを設けたことを特徴とする通信装置。 - それぞれ通信手段を備える上位装置と下位装置とによって構成され、通信の際にその上位装置が下位装置を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信システムであって、
前記下位装置に、
前記2種類のデジタル証明書を記憶する証明書記憶手段を設け、
前記上位装置に、
前記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて前記下位装置の認証を行う認証手段と、
前記認証手段による認証が成功した場合に、前記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して該下位装置に送信する証明書送信手段とを設けたことを特徴とする通信システム。 - 請求項5記載の通信システムであって、
前記上位装置は、前記下位装置と通信する場合にまず第1の証明書を用いて認証を行うようにし、前記認証手段は、該認証が正常に行えなかった場合に前記第2の証明書を用いた認証を行う手段であることを特徴とする通信システム。 - 請求項5又は6記載の通信システムであって、
前記第2の証明書は、前記下位装置に第1の証明書を記憶させる場合にのみ使用する証明書であることを特徴とする通信システム。 - 請求項5乃至7のいずれか一項記載の通信システムであって、
前記下位装置を複数設け、その全ての下位装置の証明書記憶手段に同一の前記第2の証明書を記憶させたことを特徴とする通信システム。 - 請求項5乃至8のいずれか一項記載の通信システムであって、
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行い、
前記第1の証明書は前記下位装置の公開鍵証明書であることを特徴とする通信システム。 - 通信手段を備え、通信の際に通信相手を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信装置において前記認証に使用するデジタル証明書を送信する証明書送信方法であって、
前記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて前記通信相手の認証を行い、該認証が成功した場合に、前記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して前記通信相手に送信することを特徴とする証明書送信方法。 - 請求項10記載の証明書送信方法であって、
前記通信相手と通信する場合にまず第1の証明書を用いて認証を行い、該認証が正常に行えなかった場合に前記第2の証明書を用いた認証を行うことを特徴とする証明書送信方法。 - 請求項10又は11記載の証明書送信方法であって、
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行い、
前記第1の証明書は前記通信相手の公開鍵証明書であることを特徴とする証明書送信方法。 - それぞれ通信手段を備える上位装置と下位装置とによって構成され、通信の際に該上位装置が下位装置を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信システムにおいて前記認証に使用するデジタル証明書を送信する証明書送信方法であって、
前記下位装置に前記2種類のデジタル証明書を記憶させ、
前記上位装置が、前記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて前記下位装置を認証し、該認証が成功した場合に、前記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して前記下位装置に送信することを特徴とする証明書送信方法。 - 請求項13記載の証明書送信方法であって、
前記上位装置が、前記下位装置と通信する場合にまず第1の証明書を用いて認証を行い、該認証が正常に行えなかった場合に前記第2の証明書を用いた認証を行うことを特徴とする証明書送信方法。 - 請求項13又は14記載の証明書送信方法であって、
前記第2の証明書は、前記下位装置に第1の証明書を記憶させる場合にのみ使用する証明書であることを特徴とする証明書送信方法。 - 請求項13乃至15のいずれか一項記載の証明書送信方法であって、
前記下位装置を複数設ける場合にその全ての下位装置の証明書記憶手段に同一の前記第2の証明書を記憶させることを特徴とする証明書送信方法。 - 請求項13乃至16のいずれか一項記載の証明書送信方法であって、
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行い、
前記第1の証明書は前記下位装置の公開鍵証明書であることを特徴とする証明書送信方法。 - コンピュータを、通信手段を備え、通信の際に通信相手を異なる暗号強度での認証処理に対応した2種類のデジタル証明書を用いて認証する通信装置として機能させるためのプログラムであって、
前記コンピュータを、前記2種類のデジタル証明書のうち、暗号強度が低い方の認証処理に対応した第2の証明書を用いて前記通信相手の認証を行う認証手段と、
前記認証手段による認証が成功した場合に、前記2種類のデジタル証明書のうち、暗号強度が高い方の認証処理に対応した第1の証明書を取得して前記通信相手に送信する証明書送信手段として機能させるためのプログラムを含むことを特徴とするプログラム。 - 請求項18記載のプログラムであって、
前記コンピュータに、前記通信相手と通信する場合にまず第1の証明書を用いて認証を行う機能を実現させるためのプログラムを含み、
前記認証手段が、該認証処理による認証が正常に行えなかった場合に前記第2の証明書を用いた認証を行う手段であることを特徴とするプログラム。 - 請求項18又は19記載のプログラムであって、
前記認証は、SSL又はTLSのプロトコルに従った認証処理によって行い、
前記第1の証明書は前記通信相手の公開鍵証明書であることを特徴とするプログラム。 - コンピュータを、請求項1乃至3のいずれか一項記載の通信装置を通信相手として通信可能な通信装置として機能させるためのプログラムであって、
前記第1の証明書と前記第2の証明書とを記憶する証明書記憶手段と、
通信相手から前記第1の証明書を受信して前記証明書記憶手段に記憶させる手段として機能させるためのプログラムを含むことを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004217826A JP4504130B2 (ja) | 2003-07-25 | 2004-07-26 | 通信装置、通信システム、証明書送信方法及びプログラム |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003201638 | 2003-07-25 | ||
| JP2003341329 | 2003-09-30 | ||
| JP2004217826A JP4504130B2 (ja) | 2003-07-25 | 2004-07-26 | 通信装置、通信システム、証明書送信方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005130452A JP2005130452A (ja) | 2005-05-19 |
| JP4504130B2 true JP4504130B2 (ja) | 2010-07-14 |
Family
ID=34657696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004217826A Expired - Fee Related JP4504130B2 (ja) | 2003-07-25 | 2004-07-26 | 通信装置、通信システム、証明書送信方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4504130B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4537797B2 (ja) * | 2003-09-22 | 2010-09-08 | 株式会社リコー | 通信装置、通信システム、通信装置の制御方法及びプログラム |
| US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
| JP5053424B2 (ja) * | 2010-07-29 | 2012-10-17 | 株式会社バッファロー | 中継装置、無線通信装置、ネットワークシステム、プログラム、および、方法 |
| JP5284405B2 (ja) * | 2011-03-30 | 2013-09-11 | 株式会社三共 | 遊技用システムおよび遊技用装置 |
| JP5450497B2 (ja) * | 2011-03-30 | 2014-03-26 | 株式会社三共 | 遊技用システムおよび遊技用装置 |
| JP5450564B2 (ja) * | 2011-10-28 | 2014-03-26 | 株式会社三共 | 遊技用システムおよび遊技用装置 |
| BR112015005740A2 (pt) * | 2012-09-18 | 2017-07-04 | Koninklijke Philips Nv | método para controlar o acesso a dados sendo processados por um recurso de computação remoto, meio legível por computador, e sistema para controlar o acesso a dados sendo processados por um recurso de computação remoto |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001507528A (ja) * | 1995-11-14 | 2001-06-05 | マイクロソフト コーポレーション | ルート・キーが危機にさらされた時の回復 |
| JP2002287629A (ja) * | 2001-03-26 | 2002-10-04 | Toppan Printing Co Ltd | 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム |
| JP2003006161A (ja) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム |
| JP2003196160A (ja) * | 2001-12-28 | 2003-07-11 | Mitsubishi Electric Corp | Icカードおよびicカードの記録情報管理方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05336108A (ja) * | 1992-06-04 | 1993-12-17 | Toshiba Corp | 無線通信システム |
| JPH06268638A (ja) * | 1993-03-10 | 1994-09-22 | Nippon Telegr & Teleph Corp <Ntt> | 端末認証制御法 |
| JPH118619A (ja) * | 1997-06-18 | 1999-01-12 | Hitachi Ltd | 電子証明書発行方法及びシステム |
| JP3905961B2 (ja) * | 1997-11-11 | 2007-04-18 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 臨時署名認証の方法及びそのシステム |
-
2004
- 2004-07-26 JP JP2004217826A patent/JP4504130B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001507528A (ja) * | 1995-11-14 | 2001-06-05 | マイクロソフト コーポレーション | ルート・キーが危機にさらされた時の回復 |
| JP2002287629A (ja) * | 2001-03-26 | 2002-10-04 | Toppan Printing Co Ltd | 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム |
| JP2003006161A (ja) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム |
| JP2003196160A (ja) * | 2001-12-28 | 2003-07-11 | Mitsubishi Electric Corp | Icカードおよびicカードの記録情報管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005130452A (ja) | 2005-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4555175B2 (ja) | 審査装置、通信システム、審査方法、プログラム及び記録媒体 | |
| EP1521426B1 (en) | Communication apparatus, communication system, certificate transmission method and program | |
| JP4607567B2 (ja) | 証明書転送方法、証明書転送装置、証明書転送システム、プログラム及び記録媒体 | |
| JP4712325B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4576210B2 (ja) | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 | |
| JP4758095B2 (ja) | 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体 | |
| JP4504130B2 (ja) | 通信装置、通信システム、証明書送信方法及びプログラム | |
| JP4611680B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4611679B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP2005110213A (ja) | 証明書設定方法 | |
| JP4657642B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4611676B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4583833B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4611678B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4657643B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4671638B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4611681B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4712330B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4509675B2 (ja) | 通信装置、通信システム及び通信方法 | |
| JP4778210B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP4537797B2 (ja) | 通信装置、通信システム、通信装置の制御方法及びプログラム | |
| JP4712326B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| JP5434956B2 (ja) | 証明書無効化装置、証明書無効化システム、プログラム及び記録媒体 | |
| JP4542848B2 (ja) | 通信装置、通信システム、通信装置の制御方法及びプログラム | |
| JP4570919B2 (ja) | 通信装置、通信システム、通信装置の制御方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061218 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100420 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100422 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140430 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |