JP4671783B2 - 通信システム - Google Patents

通信システム Download PDF

Info

Publication number
JP4671783B2
JP4671783B2 JP2005187219A JP2005187219A JP4671783B2 JP 4671783 B2 JP4671783 B2 JP 4671783B2 JP 2005187219 A JP2005187219 A JP 2005187219A JP 2005187219 A JP2005187219 A JP 2005187219A JP 4671783 B2 JP4671783 B2 JP 4671783B2
Authority
JP
Japan
Prior art keywords
certificate
public key
key
communication
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005187219A
Other languages
English (en)
Other versions
JP2006060779A (ja
Inventor
弘 柿井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2005187219A priority Critical patent/JP4671783B2/ja
Priority to US11/183,071 priority patent/US20060020782A1/en
Publication of JP2006060779A publication Critical patent/JP2006060779A/ja
Application granted granted Critical
Publication of JP4671783B2 publication Critical patent/JP4671783B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

この発明は、証明書及び該証明書と対応する私有鍵を記憶する通信装置と証明書送信装置とを備えた通信システムに関する。
従来から、それぞれ通信機能を備えた複数の通信装置をネットワークを介して通信可能に接続し、様々なシステムを構築することが行われている。その一例としては、クライアント装置として機能するPC(パーソナルコンピュータ)等のコンピュータから商品の注文を送信し、これとインターネットを介して通信可能なサーバ装置においてその注文を受け付けるといった、いわゆる電子商取引システムが挙げられる。また、種々の電子装置にクライアント装置あるいはサーバ装置の機能を持たせてネットワークを介して接続し、相互間の通信によって電子装置の遠隔管理を行うシステムも提案されている。
このようなシステムを構築する上では、通信を行う際に、通信相手が適切か、あるいは送信されてくる情報が改竄されていないかといった確認が重要である。また、特にインターネットにおいては、情報が通信相手に到達するまでに無関係なコンピュータを経由する場合が多いことから、機密情報を送信する場合、その内容を盗み見られないようにする必要もある。そして、このような要求に応える通信プロトコルとして、例えばSSL(Secure Socket Layer)と呼ばれるプロトコルが開発されており、広く用いられている。このプロトコルを用いて通信を行うことにより、公開鍵暗号方式と共通鍵暗号方式とを組み合わせ、通信相手の認証を行うと共に、情報の暗号化により改竄及び盗聴の防止を図ることができる。また、通信相手の側でも、通信を要求してきた通信元の装置を認証することができる。
このようなSSLや公開鍵暗号を用いた認証に関連する技術としては、例えば特許文献1及び特許文献2に記載のものが挙げられる。
特開2002−353959号公報 特開2002−251492号公報
ここで、このSSLに従った相互認証を行う場合の通信手順について、認証処理の部分に焦点を当てて説明する。図21は、通信装置Aと通信装置BとがSSLに従った相互認証を行う際に各装置において実行する処理のフローチャートを、その処理に用いる情報と共に示す図である。
図21に示すように、SSLに従った相互認証を行う際には、まず双方の通信装置に、ルート鍵証明書及び、私有鍵と公開鍵証明書を記憶させておく必要がある。この私有鍵は、認証局(CA:certificate authority)が各装置に対して発行した私有鍵であり、公開鍵証明書は、その私有鍵と対応する公開鍵にCAがデジタル署名を付してデジタル証明書としたものである。また、ルート鍵証明書は、CAがデジタル署名に用いたルート私有鍵と対応するルート鍵に、デジタル署名を付してデジタル証明書としたものである。
図22にこれらの関係を示す。
図22(a)に示すように、公開鍵Aは、私有鍵Aを用いて暗号化された文書を復号化するための鍵本体と、その公開鍵の発行者(CA)や有効期間等の情報を含む書誌情報とによって構成される。そして、CAは、鍵本体や書誌情報が改竄されていないことを示すため、公開鍵Aをハッシュ処理して得たハッシュ値を、ルート私有鍵を用いて暗号化し、デジタル署名としてクライアント公開鍵に付す。またこの際に、デジタル署名に用いるルート私有鍵の識別情報を署名鍵情報として公開鍵Aの書誌情報に加える。そして、このデジタル署名を付した公開鍵証明書が、公開鍵証明書Aである。
この公開鍵証明書Aを認証処理に用いる場合には、ここに含まれるデジタル署名を、ルート私有鍵と対応する公開鍵であるルート鍵の鍵本体を用いて復号化する。この復号化が正常に行われれば、デジタル署名が確かにCAによって付されたことがわかる。また、公開鍵Aの部分をハッシュ処理して得たハッシュ値と、復号して得たハッシュ値とが一致すれば、鍵自体も損傷や改竄を受けていないことがわかる。
また、受信したデータを公開鍵Aを用いて正常に復号化できれば、そのデータは、私有鍵Aの持ち主から送信されたものであることがわかる。
ここで、認証を行うためには、ルート鍵を予め記憶しておく必要があるが、このルート鍵も、図22(b)に示すように、CAがデジタル署名を付したルート鍵証明書として記憶しておく。このルート鍵証明書は、自身に含まれる公開鍵でデジタル署名を復号化可能な自己署名形式である。そして、ルート鍵を使用する際に、そのルート鍵証明書に含まれる鍵本体を用いてデジタル署名を復号化し、ルート鍵をハッシュ処理して得たハッシュ値と比較する。これが一致すれば、ルート鍵が破損等していないことを確認できるのである。
図21のフローチャートの説明に入る。なお、この図において、2本のフローチャート間の矢印は、データの転送を示し、送信側は矢印の根元のステップで転送処理を行い、受信側はその情報を受信すると矢印の先端のステップの処理を行うものとする。また、各ステップの処理が正常に完了しなかった場合には、その時点で認証失敗の応答を返して処理を中断するものとする。相手から認証失敗の応答を受けた場合、処理がタイムアウトした場合等も同様である。
ここでは、通信装置Aが通信装置Bに通信を要求するものとするが、この要求を行う場合、通信装置AのCPUは、所要の制御プログラムを実行することにより、図21の左側に示すフローチャートの処理を開始する。そして、ステップS111で通信装置Bに対して接続要求を送信する。
一方通信装置BのCPUは、この接続要求を受信すると、所要の制御プログラムを実行することにより、図21の右側に示すフローチャートの処理を開始する。そして、ステップS121で第1の乱数を生成し、これを私有鍵Bを用いて暗号化する。そして、ステップS122でその暗号化した第1の乱数と公開鍵証明書Bとを通信装置Aに送信する。
通信装置A側では、これを受信すると、ステップS112でルート鍵証明書を用いて公開鍵証明書Bの正当性を確認する。
そして確認ができると、ステップS113で、受信した公開鍵証明書Bに含まれる公開鍵Bを用いて第1の乱数を復号化する。ここで復号化が成功すれば、第1の乱数は確かに公開鍵証明書Bの発行対象から受信したものだと確認できる。
その後、ステップS114でこれとは別に第2の乱数及び共通鍵の種を生成する。共通鍵の種は、例えばそれまでの通信でやり取りしたデータに基づいて作成することができる。そして、ステップS115で第2の乱数を私有鍵Aを用いて暗号化し、共通鍵の種を公開鍵Bを用いて暗号化し、ステップS116でこれらを公開鍵証明書Aと共にサーバ装置に送信する。共通鍵の種の暗号化は、通信相手以外の装置に共通鍵の種を知られないようにするために行うものである。
また、次のステップS117では、ステップS114で生成した共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
通信装置B側では、通信装置AがステップS116で送信してくるデータを受信すると、ステップS123でルート鍵証明書を用いて公開鍵証明書Aの正当性を確認する。そして確認ができると、ステップS124で、受信した公開鍵証明書Aに含まれる公開鍵Aを用いて第2の乱数を復号化する。ここで復号化が成功すれば、第2の乱数は確かに公開鍵証明書Aの発行対象から受信したものだと確認できる。
その後、ステップS125で私有鍵Bを用いて共通鍵の種を復号化する。ここまでの処理で、通信装置A側と通信装置B側に共通鍵の種が共有されたことになる。そして、この共通鍵の種は、生成した通信装置Aと、私有鍵Bを持つ通信装置B以外の装置が知ることはない。ここまでの処理が成功すると、通信装置B側でもステップS126で復号化で得た共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
そして、通信装置A側のステップS117と通信装置B側のステップS126の処理が終了すると、相互に認証の成功と以後の通信に使用する暗号化方式とを確認し、生成した共通鍵を用いてその暗号化方式で以後の通信を行うものとして認証に関する処理を終了する。なお、この確認には、通信装置Bからの認証が成功した旨の応答も含むものとする。以上の処理によって互いに通信を確立し、以後はステップS117又はS126で生成した共通鍵を用い、共通鍵暗号方式でデータを暗号化して通信を行うことができる。
このような処理を行うことにより、通信装置Aと通信装置Bが互いに相手を認証した上で安全に共通鍵を共有することができ、通信を安全に行う経路を確立することができる。
なお、片方向認証を採用し、例えば通信装置Bが通信要求元の通信装置Aを認証するのみでよいのであれば、図21に示した認証処理において、第1の乱数の暗号化及び送信を省略することができる。この場合でも、共通鍵の種を通信装置Aから通信装置Bに安全に送信するために、通信装置Bの公開鍵Bを用いた暗号化を行うとよいが、公開鍵Bに付されたデジタル署名の正当性を確認することは行わなくてよい。そして、この場合の認証処理は、図23に示すように簡略化されたものになる。すなわち、通信装置A側のステップS112及びS113の処理は不要となり、通信装置B側のステップS121の処理も不要となる。また、その他の処理も一部簡略化することができる。
以上のような認証処理においては、公開鍵で暗号化された内容は対応する私有鍵を持つ装置でしか復号できず、また、私有鍵で暗号化された内容は対応する公開鍵でしか復号できないことを利用して、通信相手が公開鍵証明書にその発行先として記載されている装置である(又はその装置の利用者が公開鍵証明書にその発行先として記載されている利用者である)と認証することになる。
なお、このような認証処理に使用する公開鍵の管理に関する技術としては、例えば特許文献3及び4に記載の技術が知られている。
特許文献3には、ネットワーク上に鍵登録装置を実装して公開鍵の管理をすることにより、ユーザの負荷を軽減することが記載されている。
特許文献4には、電子メールの暗号化を行うために公開鍵暗号を利用する場合において、電子メール装置の公開鍵データベースに必要な公開鍵のみを自動的に登録したり、有効な公開鍵のみが保持されるように自動的に管理することが記載されている。
特開2003−348068号公報(段落0004) 特開2002−190796号公報
ところで、公開鍵暗号方式においては、鍵長にもよるが、時間をかければ公開鍵から私有鍵を導くことができる。そして、私有鍵がわかってしまえば、第3者がその私有鍵の持ち主になりすますことが可能になるので、認証の確実性や通信の安全性が保たれない。そこで、上述のように鍵に有効期限を設け、所定期間毎に鍵のセットを更新するというセキュリティポリシーを採用するユーザが増えている。このため、例えば上記のような相互認証を利用した遠隔管理システム等を提供する場合には、顧客に対し、鍵の更新が可能なシステムであるという保証を行う必要が生じている。
また、第3者機関により公開鍵証明書を発行するサービスも提供されているが、このような機関が発行する公開鍵証明書は、安全性を考慮し、有効期間が1〜3年程度と短い。そして、この期間が過ぎた証明書では認証が失敗するようにしてある。そこで、このような第3者機関が発行した公開鍵証明書を利用しようとする場合には、有効期間が経過する前に証明書を新しいものに更新する必要がある。
なお、上述した特許文献3及び4に記載の技術は、他の装置から受信したその送信元装置の公開鍵を、単にその送信元装置の情報と対応させて管理したり有効性を検証したりすることが記載されているのみであり、新たな公開鍵証明書の発行については特に記載されていない。
公開鍵証明書を用いて認証を受ける通信装置にこのような更新用の新しい公開鍵証明書を配布する方式としては、使用中の公開鍵証明書の有効期限が切れる前に、CAが通信装置に対して新たな公開鍵証明書と私有鍵を発行し、これらとルート鍵証明書のセットを、CAあるいはそれに代わる管理装置が、使用中の公開鍵証明書を用いて確立したSSLによる通信経路で更新対象の装置に送信して設定させる方式が考えられる。
このようにすれば、通信装置が認証に使用する公開鍵証明書等を、有効期限が切れる前に自動的に更新することができるので、ユーザの手を煩わせることなく、通信装置を認証可能な状態に保つことができる。また、インターネットを介して送信を行う場合でも、安全な通信経路を確保して公開鍵証明書等の転送を行うことができる。
しかしながら、SSLを用いて安全な通信経路を確保したとしても、インターネットを経由して通信する場合、どのようなサーバを介して情報が転送されるかわからないのであるから、転送する情報を盗み見られたり、改竄されたりする可能性はゼロではない。そして、万一私有鍵を盗み見られてしまうと、なりすましが可能になってしまうので、このような危険性は例え僅かなものであっても排除したいという要求があった。
この発明は、このような要求に応え、通信装置が認証に使用する証明書を自動的に更新することを可能としながら、私有鍵の漏洩の可能性を低下させ、安全な更新を実現させることを目的とする。
また、この発明の通信システムは、通信装置と証明書送信装置とを備える通信システムにおいて、上記通信装置に、通信相手の装置に認証を受けるための証明書及びその証明書と対応する私有鍵を記憶する記憶手段と、上記記憶手段に記憶している証明書の更新時期を検出する更新時期検出手段と、上記更新時期検出手段が、上記記憶手段に記憶している証明書が更新時期になったことを検出したときに、対になる公開鍵及び私有鍵を生成する鍵生成手段と、上記記憶手段に記憶している証明書の有効期限が切れる前に、その証明書を上記証明書送信装置に送信し、その証明書を用いて上記証明書送信装置に認証されたときに、その証明書送信装置に上記鍵生成手段が生成した公開鍵を送信する公開鍵送信手段と、上記公開鍵送信手段による公開鍵の送信に応じて上記証明書送信装置から送信されてくる、その公開鍵を含む証明書と、上記鍵生成手段が生成したその公開鍵と対になる私有鍵とを、相手先装置に認証を受けるための新たな証明書及びその新たな証明書と対応する私有鍵として上記記憶手段に記憶させる証明書設定手段とを設け、上記証明書送信装置に、証明書を受信してその証明書を用いてその証明書の送信元を認証する認証手段と、上記認証手段が認証した送信元から公開鍵を受信する受信手段と、上記公開鍵の送信元を、その送信元について管理契約期間が上記認証手段の受信した証明書の有効期限後まであることを確認する工程を少なくとも含む工程により審査する審査手段と、上記審査手段による審査に合格した場合に、上記受信手段が受信した公開鍵を含む証明書を上記公開鍵の送信元に送信する送信手段とを設けたものである。
このような通信システムにおいて、上記証明書送信装置に、上記受信手段が受信した公開鍵に署名を付して証明書を作成する証明書作成手段を設けるとよい。
さらに、上記証明書送信装置の証明書作成手段に、作成する証明書に、上記受信した証明書に記載されている、その証明書の送信元の識別情報を記載する手段を設けるとよい。
さらに、上記証明書送信装置の審査手段を、上記認証手段が受信した証明書を用いて、上記認証手段が受信した証明書の有効期限までの期間が所定の閾値以下であることを確認する工程を含む上記送信元の審査を行う手段とするとよい。
さらにまた、上記通信装置の上記公開鍵送信手段が上記証明書送信装置に認証を受けるために送信する証明書が、その通信装置の製造時にその通信装置に設定された証明書であるとよい。
また、上記証明書送信装置の審査手段を、上記認証手段が受信した証明書に記載されている、その証明書の送信元の識別情報を用いてその送信元の審査を行う手段とするとよい。
さらに、上記証明書送信装置の送信手段に、上記公開鍵証明書を送信する場合に、その公開鍵証明書と共に、その公開鍵証明書の正当性を確認するための証明鍵も送信する手段を設け、上記通信装置の上記証明書設定手段に、上記公開鍵送信手段による公開鍵の送信に応じて上記相手先装置から上記証明書に加えてその証明書の正当性を確認するための証明鍵も受信し、その証明鍵を用いて受信した証明書の正当性を確認した後で、受信した証明書を上記記憶手段に記憶させる手段を設けるとよい
以上のようなこの発明の通信システムによれば、通信装置が認証に使用する証明書を自動的に更新することを可能としながら、私有鍵の漏洩の可能性を低下させ、安全な更新を実現させることができる。
以下、この発明の好ましい実施の形態を図面を参照して説明する。
まず、この発明の証明書送信装置と、その証明書送信装置を用いて構成したこの発明の通信システムの実施形態の構成について説明する。
図1にその通信システムの構成を示す。
この実施形態においては、証明書送信装置である管理装置30及びその通信相手となる通信装置である管理対象機器40によって通信システムを構成している。なお、この通信システムにおいて、管理装置30は、管理対象機器40を管理する機能の他、管理対象機器40に対して認証処理に使用するデジタル証明書として公開鍵証明書を発行して送信する機能も有する。
また、この通信システムにおいて、管理装置30は、管理対象機器40と通信を行おうとする場合、公開鍵暗号とデジタル証明書を用いる認証方式であるSSLプロトコルに従った認証処理によって管理対象機器40を正当な通信相手として認証した場合に、管理対象機器40との間で通信を確立させるようにしている。そして、管理装置30が送信した動作要求(コマンド)に対し、管理対象機器40が必要な処理を行って応答を返すことにより、クライアント・サーバシステムとして機能する。
逆に、管理対象機器40が管理装置30と通信を行おうとする場合にも、同じくSSLに従った認証処理によって管理装置30を正当な通信相手として認証した場合に、管理装置30との間で通信を確立させるようにしている。そして、管理対象機器40が送信した動作要求(コマンド)に対し、管理装置30が必要な処理を行って応答を返すことにより、クライアント・サーバシステムとして機能する。
どちらの場合も、通信を要求する側がクライアント、要求される側がサーバとして機能するものとする。
なお、図1において、管理対象機器40は1つしか示していないが、図20に示すように管理対象機器40を複数設けることも可能である。また、管理対象機器40が1種類である必要もない。ただし、管理装置30は1つの通信システムについて1つである。
このような通信システムにおいて、上述の管理装置30と管理対象機器40との間の通信は、RPC(remote procedure call)により、相互の実装するアプリケーションプログラムのメソッドに対する処理の依頼である「要求」を送信し、この依頼された処理の結果である「応答」を取得することができるようになっている。
この、RPCを実現するためには、SOAP(Simple Object Access Protocol),HTTP(Hyper Text Transfer Protocol),FTP(File Transfer Protocol),COM(Component Object Model),CORBA(Common Object Request Broker Architecture)等の既知のプロトコル(通信規格),技術,仕様などを利用することができる。
次に、図1に示した各装置の構成と機能についてより詳細に説明する。
図1に示した管理装置30及び管理対象機器40は、装置の遠隔管理,電子商取引等の目的に応じて種々の構成をとることができる。例えば、遠隔管理の場合には、プリンタ,FAX装置,コピー機,スキャナ,デジタル複合機等の画像処理装置を始め、ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,自動車,航空機等の電子装置を被管理装置である管理対象機器40とし、これらの被管理装置から情報を収集したり、コマンドを送って動作させたりするための管理装置を管理装置30とすることが考えられる。ただし、どのような構成とした場合でも、管理装置30は、後述するように管理対象機器40に公開鍵証明書を送信する機能を有するものとする。
ここで、図2に管理装置30のハードウェア構成例を示す。この図に示す通り、管理装置30は、例えばCPU11,ROM12,RAM13,HDD14,通信インタフェース(I/F)15を設け、これらをシステムバス16によって接続して構成することができる。そして、CPU11がROM12やHDD14に記憶している各種制御プログラムを実行することによってこの管理装置30の動作を制御し、通信相手の認証、管理対象機器40との通信、管理対象機器40の管理、公開鍵証明書の発行や管理等の機能を実現させている。
もちろん、管理装置30として適宜公知のコンピュータを用いたり、必要に応じて他のハードウェアを付加したりしてもよい。
また、管理対象機器40も、少なくともそれぞれCPU,ROM,RAM,ネットワークを介して外部装置と通信するための通信I/F、および認証処理に必要な情報を記憶する記憶手段を備え、CPUがROM等に記憶した所要の制御プログラムを実行することにより、装置にこの発明に係る各機能を実現させることができるものとする。
なお、この管理装置30と管理対象機器40との間の通信には、有線,無線を問わず、ネットワークを構築可能な各種通信回線(通信経路)を採用することができる。
ここで、図3に、管理装置30及び管理対象機器40の、この実施形態の特徴に関連する部分の機能構成に係る機能ブロック図を示す。なお、図中の矢印は、後述するように管理対象機器40の公開鍵証明書の更新を行う場合のデータの流れを示すものである。
まず、管理装置30は、HTTPS(Hypertext Transfer Protocol Security)クライアント機能部31,HTTPSサーバ機能部32,認証処理部33,証明書記憶部34,要求管理部35,証明書審査部36,証明書発行部37,コマンド処理部38,コマンド発行部39を備えている。
HTTPSクライアント機能部31は、SSLに従った認証や暗号化の処理を含むHTTPSプロトコルを用いて、管理対象機器40等のHTTPSサーバの機能を有する装置に対して通信を要求する機能を有する。
一方、HTTPSサーバ機能部32は、HTTPSクライアントの機能を有する装置からのHTTPSプロトコルを用いた通信要求を受け付ける機能を有する。
そして、これらのHTTPSクライアント機能部31とHTTPSサーバ機能部32とで、通信相手に対してコマンドやデータを送信してそれに応じた動作を実行させる機能と、通信相手から要求やデータを受信してそれに応じた動作を装置の各部に実行させ、その結果を応答として要求元に返す機能とを実現している。この場合において、通信を要求した側がコマンドを送信することもあるし、通信要求を受け付けた側がコマンドを送信することもある。応答についても同様である。
認証処理部33は、HTTPSクライアント機能部31やHTTPSサーバ機能部32が通信相手を認証する際に、通信相手から受信した公開鍵証明書や、証明書記憶部34に記憶している各種証明書、私有鍵等を用いて認証処理を行う認証手段の機能を有する。また、通信相手に認証を要求するために証明書記憶部34に記憶している公開鍵証明書をHTTPSクライアント機能部31やHTTPSサーバ機能部32を介して通信相手に送信する機能も有する。
証明書記憶部34は、公開鍵証明書や私有鍵、ルート鍵証明書等の認証情報を記憶し、認証処理部33における認証処理に供する機能を有する。また、証明書発行部37が発行した公開鍵証明書及びその発行先に関する情報をデータベースとして記憶しておく機能も有する。
要求管理部35は、管理装置から受信したコマンドについて、そのコマンドに基づいた動作の実行可否を判断する機能を有する。そして、実行を許可する場合に、そのコマンドに基づいた動作を実行する機能部に対してコマンドを伝える機能も有する。なお、図3においては、コマンドに基づいた動作を実行する機能部として、具体的なものは証明書審査部36及び証明書発行部37のみを示し、これら以外の機能部は、コマンド処理部38として一括して示している。
証明書審査部36は、通信相手から更新用公開鍵を受信した場合に、その送信元に対して公開鍵証明書を発行してよいか否かを審査する機能を有する。証明書発行部37は、証明書審査部36が審査で公開鍵証明書を発行してよいと判断した場合に、受信した更新用公開鍵にデジタル署名を付して更新用公開鍵証明書を発行し、更新用公開鍵の送信元に送信する機能を有する。なお、証明書発行部37は、これ以外にも、後述する生産工場にて管理対象機器40に記憶させる公開鍵証明書を発行する機能も有する。
コマンド処理部38は、証明書審査部36及び証明書発行部37以外の機能に係る要求に対応する動作を実行する機能を有する。この動作としては、例えば管理対象機器40からの異常発生通知に対する対応や、管理対象機器40からの要求に応じて管理装置30が記憶しているデータを送信する動作等が挙げられる。
コマンド発行部39は、管理対象機器40に対して種々のコマンドを発行して管理対象機器40にそのコマンドに従った動作を実行させる機能を有する。管理対象機器40に実行させる動作としては、管理対象機器40の動作内容や設定状態に関する情報の送信、管理装置30から送信した情報の記憶やそれに応じた設定変更等が考えられる。そして、コマンド発行部39は、管理対象機器40から取得した情報に従って管理対象機器40に種々の動作を実行させることにより、管理対象機器40を管理する機能も有する。
そして、これらの各部の機能は、管理装置30のCPUが所要の制御プログラムを実行して管理装置30の各部の動作を制御することにより実現される。
次に、管理対象機器40には、HTTPSクライアント機能部41,HTTPSサーバ機能部42,認証処理部43,コール通知部44,定期通知部45,証明書記憶部46,証明書更新部47,鍵生成部48,鍵通知部49,要求管理部50,コマンド処理部51を備えている。
HTTPSクライアント機能部41は、管理装置30のHTTPSクライアント機能部31と同様に、HTTPSプロトコルを用いて管理装置30等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、コマンドやそれに対する応答を送受信する機能を有する。
HTTPSサーバ機能部42も、管理装置30のHTTPSサーバ機能部32と同様であり、HTTPSクライアントの機能を有する装置からの通信要求を受け付けると共に、コマンドやそれに対する応答を送受信する機能を有する。
認証処理部43の機能も、管理装置30の認証処理部33と同様であるが、認証処理に使用する証明書等は、証明書記憶部46に記憶しているものである。
コール通知部44は、異常を検知したりユーザによる指示があったりした場合に管理装置30に対してその旨を通知するコールを行う機能を有する。
定期通知部45は、管理対象機器40から管理装置30への定期的な通知を行う機能を有する。その通知の内容としては、例えば画像形成装置であれば画像形成枚数カウンタのカウント値、計量システムであればその計量値等が考えられる。
証明書記憶部46は、管理装置30の証明書記憶部34と同様に各種の証明書や私有鍵等の認証情報を記憶し、認証処理部43における認証処理に供する証明書記憶手段の機能を有する。ただし、記憶している証明書等は、後述するように証明書記憶部34とは異なる。
証明書更新部47は、証明書記憶部46に記憶している公開鍵証明書のうち、管理装置30との間の認証処理に使用している公開鍵証明書の有効期限が近づいた場合に、鍵生成部48と鍵通知部49にその更新を行わせる機能を有する。
そして、鍵生成部48は、更新用の鍵ペアとして更新用公開鍵と更新用私有鍵のセットを所定のアルゴリズムに従って生成し、更新用私有鍵を証明書記憶部46に記憶させると共に更新用公開鍵を鍵通知部49に渡してこれを管理装置30に送信させる機能を有する。
鍵通知部49は、鍵生成部48が生成した更新用公開鍵を管理装置30に送信すると共に、管理装置30がこれにデジタル署名を付して返してくる更新用公開鍵証明書を受信し、この更新用公開鍵証明書を更新用私有鍵と対応させて証明書記憶部46に記憶させ、これらを管理装置30との間の認証処理に使用する公開鍵証明書及び私有鍵として設定する機能を有する。
要求管理部50は、管理装置30から受信したコマンドについて、そのコマンドに基づいた動作の実行可否を判断する機能を有する。そして、実行を許可する場合に、コマンド処理部51中でそのコマンドに基づいた動作を実行する機能部に対してコマンドを伝える機能も有する。
コマンド処理部51は、管理装置30から受信したコマンドに応じた動作を実行する機能を有する。この動作としては、例えば管理対象機器40が記憶しているデータの送信や、必要に応じて図示を省略したエンジン部の動作を制御することが挙げられる。
そして、これらの各部の機能は、管理対象機器40のCPUが所要の制御プログラムを実行して管理対象機器40の各部の動作を制御することにより実現される。
次に、図4に、上述した管理装置30及び管理対象機器40が認証処理に用いる各証明書や鍵の種類を示す。この図において、(a)に管理対象機器40の証明書記憶部46に記憶している証明書及び鍵の種類を示し、(b)に管理装置30の証明書記憶部34に記憶している証明書及び鍵の種類を示している。なお、これらの図には、各装置が通信相手との間の認証処理に使用する証明書及び鍵のみを示している。
この図に示すように、管理装置30及び管理対象機器40は、それぞれ自分に関する認証情報である公開鍵証明書及び私有鍵と、通信相手に関する認証情報であるルート鍵証明書を記憶している。そして、各装置は、通常の通信時はこれらの認証情報を用いて通信相手とSSLに従った図21に示したような手順の相互認証あるいは図23に示したような片方向認証を行う。
ここで、公開鍵証明書のフォーマットは、例えば図5に示したものを用いることができ、公開鍵そのものの他、証明書の発行者や証明書の有効期限、証明される対象(証明書の発行先の装置あるいは利用者)等の情報が記載されている。このような公開鍵証明書は、具体的には、例えばX.509と呼ばれるフォーマットに従って作成することができる。
図6に、上記のX.509フォーマットに従って作成された管理対象機器用公開鍵証明書の例を示す。
この例においては、Aが公開鍵証明書を発行した(公開鍵にデジタル署名を付した)管理装置30の識別情報を示し、Cが証明書の発行先である管理対象機器40の識別情報を示す。これらは、それぞれ所在地、名称、機番あるいはコード等の情報を含む。ただし、発行先の装置について、機番のように個々の装置を識別できるような識別情報を記載することは必須ではない。また、Bが有効期間を示し、その開始日時と終了日時とによって有効期間を指定している。そして、Dが公開鍵本体である。
また、管理対象機器用私有鍵は、上記の管理対象機器公開鍵と対応する私有鍵、管理対象機器認証用ルート鍵証明書は、管理対象機器認証用ルート鍵に自身と対応するルート私有鍵を用いて自身で正当性を確認可能なデジタル署名を付したデジタル証明書である。
なお、管理対象機器40を複数設けた場合でも、各装置の管理対象機器用公開鍵に付すデジタル署名は同じルート私有鍵を用いて付し、正当性確認に必要なルート鍵証明書は共通にする。しかし、管理対象機器用公開鍵証明書に含まれる公開鍵やこれと対応する私有鍵は、装置毎に異なる。
管理装置用公開鍵証明書と管理装置用私有鍵と管理装置認証用ルート鍵証明書も同様な関係である。
そして、例えば管理装置30と管理対象機器40とが相互認証を行う場合には、管理対象機器40からの通信要求に応じて、管理装置30は管理装置用私有鍵を用いて暗号化した第1の乱数を管理装置用公開鍵証明書と共に管理対象機器40に送信する。管理対象機器40側では管理装置認証用ルート鍵証明書を用いてまずこの管理装置用公開鍵証明書の正当性(損傷や改竄を受けていないこと)を確認し、これが確認できた場合にここに含まれる公開鍵で第1の乱数を復号化する。この復号化が成功した場合に、管理対象機器40は通信相手の管理装置30が確かに管理装置用公開鍵証明書の発行先であると認識でき、その証明書に含まれる識別情報から装置を特定することができる。そして、特定した装置が通信相手としてふさわしいか否かに応じて認証の成功と失敗を決定することができる。
また、管理装置30側でも、管理対象機器40側で認証が成功した場合に送信されてくる管理対象機器用公開鍵証明書及び、管理対象機器用私有鍵で暗号化された乱数を受信し、記憶している管理対象機器認証用ルート鍵証明書を用いて同様な認証を行うことができる。
なお、この手順は管理対象機器40がHTTPSクライアント機能部41によって管理装置30のHTTPSサーバ機能部32に対して通信を要求する場合の処理であり、管理装置30がHTTPSクライアント機能部31によって管理対象機器40のHTTPSサーバ機能部42に対して通信を要求する場合には、使用する証明書や鍵は同じであるが、管理装置30と管理対象機器40の処理が逆になる。
ところで、以上説明したような認証処理を行うためには、管理装置30と管理対象機器40とにそれぞれ、図4に示したような公開鍵証明書や鍵を設定し、認証処理に使用できる状態にしておく必要がある。そして、管理装置30については、自身で公開鍵証明書やルート鍵証明書を発行できるので、自身でこれを設定すればよい。
しかし、管理対象機器40については、機器毎に設定する必要がある。また、識別情報として管理対象機器40の機番等を記載した公開鍵証明書を用いるのであれば、各機器に対応する公開鍵証明書を発行し、これを適切な機器に設定する必要があるが、このような設定は、管理対象機器40の生産時に生産工場にて行うことができる。
以下、生産工場にて管理対象機器40に証明書を設定する場合に使用する設備や設定の手順について説明する。
図7は、管理対象機器40を生産する生産工場及び関連施設に設ける、証明書の設定に関連する設備の構成例を示すブロック図である。
この図に示すように、管理対象機器40を生産する生産工場Eには、通信端末150及び工場端末160が設置されている。また、関連施設には、生産管理装置140を設け、また管理装置30も管理対象機器40に記憶させる公開鍵証明書を発行するCAとして用いるために設けている。
このうち、生産管理装置140は、メーカーにおける装置の生産計画を立案・管理するための装置であり、管理対象機器40等の日々の生産数を管理するためにも使用される。そして、管理装置30は、公開鍵証明書や私有鍵の発行、署名、管理等を行う機能を有し、外部装置からの要求に応じて公開鍵証明書を発行し、送信することもできる。
通信端末150は、生産工場Eの外部と通信を行い、必要な情報を取得したり、要求を送信したりする装置である。この通信は、種々のネットワークを使用して行うことができる。そして、インターネットを用いる場合には、SSL等の適当な方法によりセキュリティを確保するものとする。そして、生産管理装置140と通信して機種毎にその日の通信装置の生産台数の情報を取得すると共に、生産予定の各装置に付す機種機番が含まれる図4(a)に示したような証明書セットを管理装置30から取得する機能を有する。
また、証明書データベース(DB)154aは、通信端末150のハードディスクドライブ(HDD)に設けたデータベースである。入力装置156と表示装置157は、それぞれ入出力のためのキーボードやディスプレイ等である。
バーコードリーダ141は、生産工場Eで生産される装置に貼付された定格銘板あるいは対応するチェックシート上の機番(識別情報)を示すバーコードの情報を読み取って工場端末160へ送信するハンドタイプの小型バーコードリーダである。
そして、工場端末160は、機番が入力された場合に、その機番に対応する証明書を通信端末150から入手し、それを対応する管理対象機器40へ送信してその不揮発性メモリ(記憶手段)に書き込ませる1以上の装置である。
次に、図8のシーケンス図に、図7に示した設備によって生産工場Eで管理対象機器40に公開鍵証明書等を設定するための処理の流れを示す。この図におけるローマ数字は、図7に示したローマ数字と対応する通信であることを示す。
生産工場Eにて管理対象機器40を生産する場合、図8に示すように、まず通信端末が予め決められた日時に、生産管理装置140から、生産工場Eで生産する装置の機種コード一覧や各日の機種毎の生産予定台数等の情報を取得する(I)。
また、通信端末150は、毎日決められた時刻に、生産管理装置140から取得した情報に基づいて、当日生産予定の各通信装置に設定すべき個別証明書セットの送信を要求する証明書発行要求を生成して管理装置30に送信する。
すると、管理装置30がこれに応じて、その証明書発行要求と共に受信した機番情報を公開鍵証明書に含む証明書セットを、各機番情報について作成し、通信端末150に送信してくるので、通信端末150はこれを受信して証明書DB154aに記憶する(II)。
次に、生産用ラインにおいて組み立てられ、検査を受けた管理対象機器40が、機番を付され、定格銘板を貼付されて個別証明書の設定工程に供されると、作業員が、これを書き込み用I/Fを介して工場端末160と接続した上でバーコードリーダ141で定格銘板のバーコードを読み取り、機番を工場端末160に入力する(III)。
すると、工場端末160はその機番を含む証明書セットの送信を通信端末150に要求し、通信端末150は、これに応じて、指定された機番と同じ機番を公開鍵証明書に含む証明書セットを証明書DB154aから読み出して工場端末160へ送信する。
これを受信した工場端末160は、書き込み用I/Fを介して接続されている、機番が読み取られた管理対象機器40に、通信端末150から受信した証明書セットを管理装置30との間の認証に使用する証明書セットとして設定するよう要求する(IV)。
一方、管理対象機器40は、この要求を受信すると、この要求と共に受信した証明書セットを証明書メモリに書き込んで設定し、その結果を工場端末160に送信する。
また、通信端末150は、この工程により設定の完了した証明書を、定期的にチェックして削除するようにするとよい。
以上の処理により、通信端末150が、生産管理装置140から取得した生産計画に従って、識別情報として機種機番情報を含む証明書セットを必要な数だけ管理装置30から取得し、生産した管理対象機器40に工場端末160を介して設定することができる。
このとき、管理対象機器40の証明書メモリには、管理装置30と通信を行うための情報として、図9に示すような情報が記憶される。すなわち、証明書セットSと、その証明書セットに含まれる公開鍵証明書を用いて認証処理を行う通信相手である管理装置30に通信を要求する際の通信先情報Uと、証明書セットSに含まれる公開鍵証明書のバージョンを示すバージョン情報Vとが記憶される。
なお、通信先情報Uは、図9の例ではURL(Uniform Resource Locator)として記載しているが、これに限られることはない。また、証明書セットSを記憶させる記憶領域と、通信先情報Uを記憶させる記憶領域と、バージョン情報Vを記憶させる記憶領域とは、各々の対応関係が把握できるようにしてあれば、必ずしも隣接あるいは近接した領域でなくても構わない。また、証明書セットSについても、公開鍵証明書と私有鍵とルート鍵証明書とを常にセットで取り扱うことは、必須ではない。
また、上記のように工場での生産時に管理対象機器40に設定される管理対象機器40の最初の公開鍵証明書を、「オリジナル証明書」と呼ぶことにする。
以上のような設定は、管理対象機器40の生産者が管理できる生産工場内で行われることから、通信内容が外部に漏れることは考えにくく、安全に証明書の設定を行うことができる。また、管理装置30を生産工場Eの外部に設ける場合でも、管理装置30と通信端末150との間の通信を専用線を介して行うようにすれば、かなり高い安全性を得ることができる。
ところで、上述した通り、オリジナル証明書を含め、公開鍵証明書には通常は有効期限が設定されており、有効期限が切れた公開鍵証明書を用いて認証を要求された場合には、認証が失敗するようにしている。従って、管理対象機器40に設定する公開鍵証明書は、有効期限が切れる前に更新する必要がある。そしてこの時点では、管理対象機器40は事業所や住居等のユーザ側環境にて使用されていることが多いと想定されるので、図7及び図8を用いて説明したものと同様な手順により更新用の公開鍵証明書を設定することは難しいと考えられる。
そこで、次に、管理対象機器40がユーザ側環境にて使用されている状態で公開鍵証明書を更新する際に管理装置30及び管理対象機器40が実行する処理について説明する。
まず、図10のシーケンス図に、更新処理全体の流れを示す。
図10に示すとおり、この処理においては、管理対象機器40は、管理装置30との間の認証処理に使用する公開鍵証明書の有効期限の一定期間前(例えば1ヶ月前)になったことを検出すると(S11)、公開鍵証明書の更新時期になったと判断し、以下の証明書更新に関する処理を行う。なお、公開鍵更新に関する処理を開始する条件は、別の基準で定めるようにしてもよい。
そして、ステップS12以下においては、まず鍵生成部48の機能により、新たな公開鍵と私有鍵のペアを、更新用鍵ペアとして生成する(S12)。その後、管理装置30に通信を要求して通常通り認証処理に使用するものとして設定されている証明書を用いた認証処理を行い(S13)、認証が成功したら、鍵通知部49の機能により、ステップS12で生成した新たな公開鍵を更新用公開鍵として記載した自己生成公開鍵通知を管理装置30に送信する(S14)。なお、自己生成公開鍵通知は、管理装置30に対して、送信した公開鍵にデジタル署名を付して公開鍵証明書を発行することを要求するコマンドであると考えることもできる。また、ステップS13での認証は、相互認証が好ましいが、少なくとも管理装置30が管理対象機器40を認証できれば、相互認証でも片方向認証でも構わない。
管理装置30は、管理対象機器から自己生成公開鍵通知を受信すると、要求通り公開鍵証明書を発行してよいかどうか判断するため、証明書審査部36の機能により、通知の送信元である管理対象機器40を審査する(S15)。この審査は、受信した公開鍵自体の情報の他、ステップS13での認証処理時に管理対象機器40から受信した公開鍵証明書に記載されている事項も用いて行うが、その内容に付いては後に詳述する。
そして、管理対象機器40が審査に合格した場合、証明書発行部37の機能により、受信した更新用公開鍵にデジタル署名を付して更新用公開鍵証明書を作成して発行し、これを証明書記憶部34のデータベースに登録する(S16)。そして、作成した更新用公開鍵証明書を管理対象機器40に送信する(S17)。この送信は、ステップS14で受信したコマンドに対する応答であると考えることができる。また、更新用公開鍵証明書の有効期限は、通常は少なくとも管理対象装置40に現在設定されている証明書の有効期限よりは後である。
そして、更新用公開鍵証明書を受信した管理対象機器40は、その受信した更新用公開鍵証明書と、ステップS12で生成した更新用私有鍵とを、管理装置30との間の認証処理に使用する公開鍵証明書及び私有鍵として設定する(S18)。
以上の処理により、管理対象機器40は、それまで使用していた公開鍵証明書よりも有効期限までの期間が長い公開鍵証明書を取得し、以後これを用いて管理装置30との間の認証処理を行うことができるようにするとことができる。そして、このような処理を行うことにより、管理対象機器40が管理装置30と通信可能な状態である場合には公開鍵証明書の更新が可能となる。この処理は、管理対象機器40に設定されている証明書がオリジナル証明書である場合にも、既に更新が行われた証明書である場合(2回目以降の更新を行う場合)でも、同様に行うことができる。
以下、このような更新処理を行う場合に管理装置30及び管理対象機器40が実行する処理について、より詳細に説明する。
まず、図11に、図10に示した処理を実行する場合の管理装置30側の処理のフローチャートを示す。この図に示す処理は、管理装置30のCPU11が所要の制御プログラムを実行することにより行うものである。
そして、管理装置30のCPU11は、管理対象機器40から通信の要求を受けると、図11のフローチャートに示す処理を開始し、まずステップS21でSSLによる認証処理を行って管理対象機器40を認証する。この処理としては、例えば背景技術の項で図21を用いて説明したものを採用することができるので、詳細な説明は省略する。ただし、この認証処理において管理対象機器40から受信する公開鍵証明書は、後の処理に使用するので、適当な記憶手段に記憶しておくようにする。
また、SSLによる認証処理をSSLアクセラレータのような専用のハードウェアを用いて行う場合、認証に使用した証明書の内容を別の処理で参照することが困難な場合もある。このような場合には、認証が成功した後で、管理対象機器40に再度管理装置30に対して公開鍵証明書を送信させるようにするとよい。
ステップS21での認証が成功すると、ステップS22で管理対象機器40から更新用公開鍵を受信する。この受信は、図10に示した自己生成公開鍵通知によるものであり、受信する公開鍵のフォーマットは例えば図12に示すようなものである。すなわち、公開鍵の本体に、その公開鍵の鍵長や生成アルゴリズムを示す情報が付加されたものである。ただし、管理対象機器40自体の情報は、公開鍵に記載されている必要はなく、図12の例では記載されていない。
また、管理対象機器40は、この自己生成公開鍵通知をSOAPリクエストの形式で行うことができる。このメッセージは構造化言語であるXMLの形式で記載されており、具体例は図13に示すものとなる。この例においては、SOAPボディに、自己生成公開鍵通知であることを示す「自己生成公開鍵通知」タグを設け、その下位のタグに、更新用公開鍵を記載している。
このステップS22の処理が受信手順の処理であり、この処理においては、CPU11が受信手段として機能する。そして、ステップS22の後は、ステップS23に進む。
ステップS23では、ステップS21でのSSLによる認証処理時に受信した公開鍵証明書を用いて、更新用公開鍵の送信元の装置(ここでは管理対象機器40)を審査する。ステップS21での認証が成功しているということは、更新用公開鍵の送信元は、現時点では通信相手として適切な装置であるが、更新用公開鍵証明書を発行してよい相手か否かは、通信相手として適切か否かとは別の基準で判断することが望ましいため、ここでは別途審査の手順を設けているのである。
このステップS23の処理が審査手順の処理であり、この処理においてはCPU11が審査手段として機能する。
図14に、このステップS23での審査処理の内容の一例を示す。
この図に示す処理においては、まずステップS31で、SSLによる認証処理時に受信した公開鍵証明書から、発行対象装置の識別情報と公開鍵証明書の期限の情報とを取得する。
そして、これらの情報をキーにして、管理対象とする装置についての情報を記録している図示しないテーブルを参照し、更新用公開鍵の送信元が管理対象の装置であるか否か、および更新用公開鍵の送信元について管理契約期間が使用中の公開鍵証明書の有効期限後まであるか否かを判断する(S32,S33)。そして、更新用公開鍵の管理対象の装置以外に対しては、今後も通信が可能な状態にしておく必要はないし、管理契約期間が使用中の公開鍵証明書の有効期限内で終了するのであれば、その後通信が可能な状態にしておく必要はないので、ステップS32又はS33の判断がNOである場合は、ステップS39で審査NG(不合格)として以下の処理に進む。
なお、ステップS33については、公開鍵証明書の有効期限を管理契約の期限をもとに定めてある場合には、管理延長契約がなされているか否かを基準に判断するようにしてもよい。
また、ステップS32とS33でYESであれば、ステップS34に進み、現在の公開鍵証明書が期限切れ間近(例えば有効期限まで1ヶ月以内)か否か判断する。図10に示した公開鍵更新処理は、公開鍵証明書の期限切れ間近に行われるはずであるから、この判断がNOの場合には、何らかの異常が発生していると考えられ、やはりステップS39で審査NGとしてもとの処理に戻る。
ステップS34でもYESであれば、ステップS35〜S37で、受信した更新用公開鍵の内容をチェックする。具体的には、例えばフォーマット(S35)、生成アルゴリズム(S36)、鍵長(S37)をチェックする。これらの判断は、受信した更新用公開鍵に記載されている情報をもとに行うことができる。また、受信した更新用公開鍵に関する情報が例えば使用中の公開鍵証明書に含まれる公開鍵に関する情報と同じ場合に適切であると判断することも考えられる。
そして、これらのうちいずれか1つでも不適切であれば、やはり何らかの異常が発生していると考えられるので、ステップS39で審査NGとしてもとの処理に戻る。
また、以上のステップS32乃至S37の判断が全てYESであれば、ステップS38で審査OK(合格)として元の処理に戻る。
以上の処理により、更新用公開鍵証明書の送信元装置を審査すると共に、受信した更新用公開鍵の内容を検査し、公開鍵証明書を発行してよいか否かを判断することができる。なお、この判断にSSLによる認証処理時に受信した公開鍵証明書に記載されている情報を用いることは必須ではない。しかし、自身の持つ管理対象機器認証用ルート鍵で公開鍵証明書の正当性が確認できていれば、そこに記載されている情報は信頼でき、改竄もされていないと考えられることから、公開鍵証明書に記載されている情報を用いることが好ましい。
また、審査処理において判断すべき項目については、図14に示したものは一例に過ぎず、管理対象機器40の用途や管理装置30による管理の運用形態等に応じて適宜定めればよいことは、もちろんである。
図11の説明に戻る。
ステップS23の審査処理の後は、ステップS24に進み、審査がOKであったか否か判断する。そして、OKであればステップS25に進み、ステップS22で受信した更新用公開鍵に、認証処理時に使用しているルート鍵で正当性を確認できるデジタル署名を付加して更新用公開鍵証明書を作成する。
ここでいうデジタル署名の付加は、図12に示したような更新用公開鍵に、公開鍵証明書の発行先装置や署名を付した装置の識別情報、証明書のシリアル番号、有効期限等の書誌情報を付し、さらにその全体をハッシュ処理して得たハッシュ値をルート私有鍵を用いて暗号化したものを付加することによって行うことができる。従って、更新用公開鍵証明書は、更新用公開鍵を含む公開鍵証明書である。そして、ここで用いるルート私有鍵は、管理装置30が管理対象機器40との間の認証処理を行う際に使用する管理対象機器認証用ルート鍵証明書に含まれるルート鍵と対応するものであり、ステップS21での認証処理時に受信した管理対象機器40の公開鍵証明書にデジタル署名を付した際に使用したルート私有鍵と同じものである。
また、更新用公開鍵に付す書誌情報についても、オリジナル証明書の場合と同じ管理装置30が同じ管理対象機器40に対して公開鍵証明書を発行するのであるから、少なくとも、公開鍵証明書の発行先装置や署名を付した装置の識別情報は、認証処理時に受信した管理対象機器40の公開鍵証明書のものと同じものになる。そしてここでは、シリアル番号と有効期限以外の情報は全て、認証処理時に受信した管理対象機器40の公開鍵証明書のものと同じものとしている。
このステップS25の処理が証明書作成手順の処理であり、この処理においてはCPU11が証明書作成手段として機能する。
次のステップS26では、ステップS25で発行した更新用公開鍵証明書を証明書記憶部34のデータベースに登録する。図15にこのデータベースの例を示すが、データベースに登録すべき項目としては、例えば証明書のシリアル番号,証明書の内容,有効期限,発行先装置の機番,証明書の発行日等が挙げられる。そして、証明書の内容については、発行した公開鍵証明書をそのまま記憶し、それ以外の項目については公開鍵証明書に付した書誌事項から抽出して記憶するようにするとよい。
このようなデータベースを作成することは必須ではないが、発行した公開鍵証明書をこのように記憶しておくようにすれば、管理動作や認証動作等に異常が生じた場合に、適当な項目をキーに検索して公開鍵証明書を取得し、異常の原因究明に役立てることができる。
ステップS26の次はステップS27に進み、ステップS25で発行した更新用公開鍵証明書及び、その正当性を確認するための管理対象機器認証用ルート鍵証明書を、更新用公開鍵の送信元に送信し、以上で管理装置30側の処理を終了する。
なお、図4に示したように、管理対象機器40は、自身が記憶する公開鍵証明書の正当性を確認するためのルート鍵証明書は記憶していない。そこで、ステップS27において、更新用公開鍵証明書と共に、その正当性を確認するためのルート鍵を含むルート鍵証明書(管理対象機器認証用ルート鍵証明書)も送信するようにするとよい。このようにすれば、管理対象機器40は、受信した更新用公開鍵証明書が正しいものであり、破損等していないことをルート鍵証明書を用いて確認した上で設定できるため、公開鍵証明書更新処理の安定性を増すことができる。
もし管理対象機器40が破損している更新用公開鍵証明書を設定してしまうと、管理装置30との間の認証処理が失敗し、通信ができない状態になってしまうので、復旧に手間や時間がかかることから、このような事態を防止するため、更新用公開鍵証明書と共に管理対象機器認証用ルート鍵証明書も管理対象機器40に送信することが好ましい。ただし、ルート鍵証明書の送信は必須ではない。
また、更新用公開鍵証明書及びルート鍵証明書の送信は、自己生成公開鍵通知のSOAPリクエストに対するSOAPレスポンスの形式で行うことができる。このメッセージも構造化言語であるXMLの形式で記載されており、具体例は図16に示すものとなる。この例においては、SOAPボディに、自己生成公開鍵通知に対する応答であることを示す「自己生成公開鍵通知response」タグを設け、その下位のタグに、ステップS23での審査の結果(OK)、更新用公開鍵証明書、およびその正当性を確認するためのルート鍵証明書を記載している。
このステップS27の処理が送信手順の処理であり、この処理においてCPU11が送信手段として機能する。
また、ステップS24で審査がNGであれば、ステップS28に進み、更新用公開鍵証明書に代えて審査時の不合格理由を記載したエラー通知を、更新用公開鍵の送信元に送信して処理を終了する。
このようなエラー通知も、自己生成公開鍵通知のSOAPリクエストに対するSOAPレスポンスの形式で行うことができる。この場合の具体例は図17に示すものとなる。この例においては、SOAPボディに、自己生成公開鍵通知に対する応答であることを示す「自己生成公開鍵通知response」タグを設け、その下位のタグに、ステップS23での審査の結果(NG)及びその理由を記載している。
なお、審査時の不合格理由が特定の内容であった場合、例えば使用中の公開鍵証明書の有効期限までにまだ時間があった場合等に、管理装置30のオペレータにその旨を通知し、オペレータが管理対象機器40のユーザに問い合わせを行うことができるようにしてもよい。
以上の処理により、管理装置30は、管理対象機器40から公開鍵を受信し、審査の結果管理対象機器40に対して公開鍵証明書を送信してよいと判断した場合に、受信した公開鍵を含む公開鍵証明書を送信することができる。
なお、自己生成公開鍵通知を他のコマンドと同列に考える場合、管理装置30側では、自己生成公開鍵通知を受信する前のSSLによる認証処理の時点では、公開鍵証明書の更新処理を行っていると認識していなくてよい。そして、管理対象機器40から自己生成公開鍵通知(コマンド)を受信した時点で、そのコマンドに応じた処理としてステップS23以下の処理を行うようにしてもよい。ただし、このようにした場合にでも、SSLによる認証処理を行う際に管理対象機器40から受信した公開鍵証明書に含まれる情報を審査に用いるのであれば、認証処理の時点でその公開鍵証明書を記憶しておくようにする。
次に、図18に、図10に示した処理を実行する場合の管理対象機器40側の処理のフローチャートを示す。この図に示す処理は、管理対象機器40のCPUが所要の制御プログラムを実行することにより行うものである。
そして、管理対象機器40のCPUは、管理装置30との間の認証処理に使用する公開鍵証明書の有効期限が近づいたことを検知すると、図18のフローチャートに示す処理を開始する。なお、上述したように、この処理の開始条件すなわち公開鍵証明書の更新処理を行う条件は、別の基準で定めるようにしてもよい。
そして、まずステップS41で、更新用の一対の鍵ペアとして、更新用公開鍵と、その公開鍵と対応する更新用私有鍵を生成する。この生成の際には、図12に示したように、鍵本体の他、必要な書誌情報も付すものとする。
その後、ステップS42で管理装置30に通信を要求し、ステップS43で管理装置30との間でSSLによる認証処理を行う。このとき、少なくとも管理対象機器40が管理装置に認証を受けるが、逆に管理対象機器40も管理装置30を認証するようにするとよく、この場合、例えば背景技術の項で図21を用いて説明した認証処理を採用することができる。
そして、ステップS43での認証処理が成功すると、ステップS44で更新用公開鍵を記載した自己生成公開鍵通知を生成し、この通知により更新用公開鍵を管理装置30に送信する。そして、管理装置30からの応答を待ち、ステップS45でこの応答を受信する。
図11を用いて説明した通り、管理装置30からの応答には、管理装置30が更新用公開鍵にデジタル署名を付して発行した更新用公開鍵証明書及びその正当性を確認するためのルート鍵証明書か、またはエラー通知が記載されているはずである。そこで、次のステップS46で、更新用公開鍵証明書を受信したか否か判断する。
ここで受信していればステップS47に進み、受信した更新用公開鍵証明書の正当性を、共に受信したルート鍵証明書を用いて確認する。そして、これが確認できると、ステップS48からS49に進み、受信した更新用公開鍵証明書と、ステップS41で生成した更新用私有鍵とを、管理装置30との通信に使用するものとして設定して処理を終了する。
一方、ステップS46で更新用公開鍵証明書を受信していない(エラー通知を受信した)場合、あるいはステップS48で更新用公開鍵証明書の正当性が確認できなかった場合には、ステップS50でエラー処理をして終了する。
なお、エラー処理の内容はエラー通知の内容や更新用公開鍵証明書の確認結果に応じて異なるものであり、例えば更新用公開鍵証明書の正当性を確認できなかった場合には、証明書が破損していたと判断して再度図18のフローチャートの処理を繰り返したり、管理契約期間が延長されていなかった場合には延長の案内メッセージを表示部に表示させたりといった動作が考えられる。
また、図16及び図17に示した例のように応答に審査結果を記載するようにした場合には、ステップS47でその審査結果がOKかNGかを判断するようにしてもよい。この場合、OKがYESに、NGがNOに該当する。
以上の処理により、更新が成功した場合には、管理対象機器40自身が生成した公開鍵に管理装置30がデジタル署名を付して作成した公開鍵証明書を、管理装置30との間の認証に使用する公開鍵証明書として設定することができる。また、私有鍵についても、管理対象機器40自身が生成した公開鍵と対応する私有鍵を、管理装置30との間の認証に使用するものとして設定することができる。
この場合において、図9に示したような更新前の証明書メモリの内容は、公開鍵証明書及び私有鍵の部分が更新後のものに置き換えられる。
図19に、この更新後の証明書メモリの内容を示す。この図において、更新前と更新後とで変化する部分に下線を付した。
この図からわかるように、更新前と更新後とで、公開鍵(デジタル署名も含む)や私有鍵の内容は当然異なるが、それ以外の部分で異なるのは、主として公開鍵証明書のシリアル番号と有効期限のみである。そして、署名アルゴリズムや署名者、公開鍵証明書の発行先の識別情報等は、更新前のものと変わらない。
従って、更新後の公開鍵証明書は、更新前のものを単に有効期限までの期間が長いものに更新したものであるということができる。
以上説明してきたような公開鍵証明書の更新処理においては、管理対象機器40が使用する私有鍵は、管理対象機器40自身が生成し、その後他の装置に送信されることがない。従って、転送中に盗み見られる危険性はない。従って、更新処理中に私有鍵が漏洩する可能性は極めて低く、高い安全性を確保することができる。また、更新後にあっても、他の装置に保管された私有鍵が流用されてしまうといった恐れもないため、高い安全性を確保することができる。
また、以上説明してきた方式によれば、自動的に公開鍵証明書を更新することができるので、この方式は、設置先の操作者による証明書の更新が行えないような装置、例えばケーブルテレビのセットトップボックスや遠隔保守の対象となる画像形成装置等、に公開鍵証明書を送信する証明書送信装置や、そのような証明書送信装置を含む通信システムに適用すると、特に効果的である。
また、以上説明してきた方式以外にも、公開鍵証明書の更新には、例えば管理装置30が要求に応じて更新用の公開鍵と私有鍵の鍵ペアを作成し、公開鍵にデジタル署名を付して公開鍵証明書とし、この公開鍵証明書と私有鍵とを管理対象機器40に転送して設定させるという方式も考えられる。しかし、以上説明してきた方式は、記憶すべき装置以外が私有鍵に一切触れない状態で公開鍵証明書の更新を行うことができ、当然私有鍵がネットワーク上を流れることもないため、管理装置30が鍵ペアを生成する方式よりも高い安全性が確保できると言える。
私有鍵は、本来これを使用する装置のみが保持しているべきものであるが、CAや管理装置が私有鍵を配布するとすると、これを使用する装置だけでなく、CAや管理装置にも私有鍵が保持され得ることになってしまう。CAや管理装置と私有鍵を使用する装置とを同じ主体が管理するのであればこの点はあまり問題にならないが、ベンダーが機器のユーザに対して管理装置によって管理サービスを提供する場合等は、管理装置に機器の私有鍵を保持し得る状態をユーザが好まないことも考えられる。そこで、機器の私有鍵はその機器のみが保持している状態にしておきたいという要求もあった。
そして、以上説明してきた方式によれば、管理対象機器40が認証に使用する私有鍵を、管理装置30等の他の装置が保持できないようにしながら管理対象機器40に対する公開鍵証明書の発行を可能とすることができるので、このような要求に応えることができる。
なお、以上説明してきた方式を採用する場合でも、生産工場で最初に管理対象機器40に記憶させる証明書セットは、全て管理装置30側で生成し、生産工場の通信端末に転送したものである。しかし、出荷時点から管理対象機器40に自身で生成した私有鍵を使用させるようにするため、工場においても図10乃至図18を用いて説明したような処理により証明書を設定するようにしてもよい。このようにすれば、出荷当初から管理対象機器40に安全性の高い私有鍵を使用させることができる。
この場合、管理対象機器40側に公開鍵証明書が設定されていない段階で管理装置30が管理対象機器40を審査する方法が問題となるが、この点については、例えば、図8に示した処理のように作業員がバーコードリーダで読み取ったバーコードの内容を、通信端末150を介して管理装置30に送信し、これをもとに審査するようにすることが考えられる。あるいは、図8を用いて説明したような処理により設定する証明書セットを仮の証明書セットとし、その設定後に、管理対象機器40に自身で図10乃至図18を用いて説明したような処理により証明書を更新させるようにすることも考えられる。
また、工場以外の場所で、管理対象機器40に仮の証明書セットを設定し、その設定後に、管理対象機器40に自身で図10乃至図18を用いて説明したような処理により証明書を更新させて、認証処理に使用する正規の証明書セットを設定することができるようにしてもよい。このような手法は、メモリの破損等により使用していた証明書セットが消滅してしまった場合の復旧作業時等に有効である。
また、上述した実施形態では、管理装置30にCAの機能を設け、デジタル署名を管理装置30自身が付す例について説明したが、管理装置30とCAとを別々の装置とすることを妨げるものではない。この場合、例えば、管理装置30が更新用公開鍵の送信元である被管理機器を審査して合格と判断した後、CAに更新用公開鍵を転送し、デジタル署名を付して更新用公開鍵証明書を発行するよう要求するようにすることができる。そして、CAが発行した更新用公開鍵証明書を受信して管理対象機器40に送信するようにすることができる。この場合において、CAと管理装置30との間の通信経路は、専用線とするとよいが、SSLやVPN等により安全な通信経路を確保できれば、インターネットを介したものであってもよい。
さらに、上述した実施形態においては、管理装置30が管理対象機器40を管理する通信システムの例について説明したが、公開鍵証明書を送信する機能を有する装置が、その送信対象の装置を管理することは必須ではない。単に相互に通信してデータの授受を行うような構成であっても、この発明を適用することは可能である。
また、上述した実施形態では、管理装置30と管理対象機器40が、図21あるいは図23を用いて説明したようなSSLに従った認証を行う場合の例について説明した。しかし、この認証が必ずしもこのようなものでなくてもこの発明は効果を発揮する。
SSLを改良したTLS(Transport Layer Security)も知られているが、このプロトコルに基づく認証処理を行う場合にも当然適用可能である。また、公開鍵暗号の方式についても、RSA(Rivest Shamir Adleman)だけでなく、楕円曲線暗号等の他の方式のものにも適用可能である。
また、以上説明した各変形を、適宜組み合わせて適用できることはもちろんである。
また、この発明によるプログラムは、管理装置30を制御するコンピュータに、以上説明したような機能を実現させるためのプログラムであり、このようなプログラムをコンピュータに実行させることにより、上述したような効果を得ることができる。
このようなプログラムは、初めからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
以上説明してきた通り、この発明の通信システムによれば、通信装置が認証に使用する証明書を自動的に更新することを可能としながら、私有鍵の漏洩の可能性を低下させ、安全な更新を実現させることができる。
従って、この発明を、各ノードが通信に際して証明書を用いた認証処理を行うような通信システムを運用する際に利用することにより、有効期限のある証明書を認証処理に使用する場合でも、なりすましの危険性を低減し、より安全なシステムを構成することができる。
この発明の実施形態である通信システムの構成例を示すブロック図である。 図1に示した管理装置のハードウェア構成を示すブロック図である。 図1に示した管理装置及び管理対象機器について、この発明の特徴に関連する部分の機能構成を示す機能ブロック図である。 図1及び図3に示した管理装置及び管理対象機器が認証処理に用いる証明書及び鍵について説明するための図である。 図4に示した公開鍵証明書のフォーマット例について説明するための図である。 図5に記載したフォーマットに従った管理対象機器用公開鍵証明書の例を示す図である。 図1に示した管理対象機器を生産する生産工場及び関連施設に設ける、証明書の設定に関連する設備の構成例を示すブロック図である。 図7に示した設備によって生産工場で管理対象機器に公開鍵証明書等を設定するための処理の流れを示すシーケンス図である。 図1に示した管理対象機器の証明書メモリに記憶させる、管理装置と通信を行うための情報の例を示す図である。 図1に示した通信システムにおいて、管理対象機器の公開鍵証明書を更新する場合の処理の流れを示すシーケンス図である。
図10に示した処理を実行する場合の管理装置側の処理のフローチャートである。 図11に示した処理において管理装置が受信する公開鍵のフォーマット例を示す図である。 管理対象機器が管理装置に送信する自己生成公開鍵通知をSOAPリクエストとして記載した例を示す図である。 図11のステップS23での審査処理の内容の一例を示すフローチャートである。 管理装置の証明書記憶部に作成する公開鍵証明書データベースの例を示す図である。 管理装置における審査が合格だった場合の、図13に示したSOAPリクエストに対する応答のSOAPレスポンスの例を示す図である。 管理装置における審査が不合格だった場合の、図13に示したSOAPリクエストに対する応答のSOAPレスポンスの例を示す図である。 図10に示した処理を実行する場合の管理対象機器側の処理のフローチャートである。 図10に示した処理による更新後に証明書メモリに記憶される情報の例を示す図である。 図1に示した通信システムにおいて管理対象機器を複数設けた例を示す図である。 2つの通信装置がSSLに従った相互認証を行う際に各装置において実行する処理のフローチャートを、その処理に用いる情報と共に示す図である。 図21に示した認証処理におけるルート鍵、ルート私有鍵、および公開鍵証明書の関係について説明するための図である。 2つの通信装置がSSLに従った片方向認証を行う際の各装置において実行する処理を示す、図21と対応する図である。
符号の説明
30…管理装置、31,41…HTTPSクライアント機能部、
32,42…HTTPSサーバ機能部、33,43…認証処理部、
34,46…証明書記憶部、35,50…要求管理部、36…証明書審査部、
37…証明書発行部、38,51…コマンド処理部、39…コマンド発行部、
40…管理対象機器、44…コール通知部、45…定期通知部、47…証明書更新部
48…鍵生成部、49…鍵通知部

Claims (7)

  1. 通信装置と証明書送信装置とを備える通信システムであって、
    前記通信装置に、
    通信相手の装置に認証を受けるための証明書及び該証明書と対応する私有鍵を記憶する記憶手段と、
    前記記憶手段に記憶している証明書の更新時期を検出する更新時期検出手段と、
    前記更新時期検出手段が、前記記憶手段に記憶している証明書が更新時期になったことを検出したときに、対になる公開鍵及び私有鍵を生成する鍵生成手段と、
    前記記憶手段に記憶している証明書の有効期限が切れる前に、該証明書を前記証明書送信装置に送信し、該証明書を用いて前記証明書送信装置に認証されたときに、該証明書送信装置に前記鍵生成手段が生成した公開鍵を送信する公開鍵送信手段と、
    前記公開鍵送信手段による公開鍵の送信に応じて前記証明書送信装置から送信されてくる、該公開鍵を含む証明書と、前記鍵生成手段が生成した該公開鍵と対になる私有鍵とを、相手先装置に認証を受けるための新たな証明書及び該新たな証明書と対応する私有鍵として前記記憶手段に記憶させる証明書設定手段とを設け、
    前記証明書送信装置に、
    証明書を受信して該証明書を用いて該証明書の送信元を認証する認証手段と、
    前記認証手段が認証した送信元から公開鍵を受信する受信手段と、
    前記公開鍵の送信元を、該送信元について管理契約期間が前記認証手段の受信した証明書の有効期限後まであることを確認する工程を少なくとも含む工程により審査する審査手段と、
    前記審査手段による審査に合格した場合に、前記受信手段が受信した公開鍵を含む証明書を前記公開鍵の送信元に送信する送信手段とを設けた
    ことを特徴とする通信システム。
  2. 請求項記載の通信システムであって、
    前記証明書送信装置に、前記受信手段が受信した公開鍵に署名を付して証明書を作成する証明書作成手段を設けたことを特徴とする通信システム。
  3. 請求項記載の通信システムであって、
    前記証明書送信装置の証明書作成手段に、作成する証明書に、前記受信した証明書に記載されている、その証明書の送信元の識別情報を記載する手段を設けたことを特徴とする通信システム。
  4. 請求項1乃至3のいずれか一項記載の通信システムであって、
    前記証明書送信装置の審査手段が、前記認証手段が受信した証明書を用いて、前記認証手段が受信した証明書の有効期限までの期間が所定の閾値以下であることを確認する工程を含む前記送信元の審査を行う手段であることを特徴とする通信システム。
  5. 請求項記載の通信システムであって、
    前記通信装置の前記公開鍵送信手段が前記証明書送信装置に認証を受けるために送信する証明書が、該通信装置の製造時に該通信装置に設定された証明書であることを特徴とする通信システム。
  6. 請求項1乃至3のいずれか一項記載の通信システムであって、
    前記証明書送信装置の審査手段が、前記認証手段が受信した証明書に記載されている、その証明書の送信元の識別情報を用いて該送信元の審査を行う手段であることを特徴とする通信システム。
  7. 請求項1乃至6のいずれか一項記載の通信システムであって、
    前記証明書送信装置の送信手段に、前記公開鍵証明書を送信する場合に、該公開鍵証明書と共に、該公開鍵証明書の正当性を確認するための証明鍵も送信する手段を設け、
    前記通信装置の前記証明書設定手段に、前記公開鍵送信手段による公開鍵の送信に応じて前記相手先装置から前記証明書に加えて該証明書の正当性を確認するための証明鍵も受信し、該証明鍵を用いて受信した証明書の正当性を確認した後で、受信した証明書を前記記憶手段に記憶させる手段を設けたことを特徴とする通信システム。
JP2005187219A 2004-07-20 2005-06-27 通信システム Active JP4671783B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005187219A JP4671783B2 (ja) 2004-07-20 2005-06-27 通信システム
US11/183,071 US20060020782A1 (en) 2004-07-20 2005-07-18 Certificate transmission apparatus, communication system, certificate transmission method, and computer-executable program product and computer-readable recording medium thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004211626 2004-07-20
JP2005187219A JP4671783B2 (ja) 2004-07-20 2005-06-27 通信システム

Publications (2)

Publication Number Publication Date
JP2006060779A JP2006060779A (ja) 2006-03-02
JP4671783B2 true JP4671783B2 (ja) 2011-04-20

Family

ID=35658619

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005187219A Active JP4671783B2 (ja) 2004-07-20 2005-06-27 通信システム

Country Status (2)

Country Link
US (1) US20060020782A1 (ja)
JP (1) JP4671783B2 (ja)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007329731A (ja) * 2006-06-08 2007-12-20 Hitachi Ltd 証明書更新方法、システム及びプログラム
JP4787730B2 (ja) * 2006-12-22 2011-10-05 Necインフロンティア株式会社 無線lan端末及び無線lanシステム
JP4763627B2 (ja) * 2007-01-31 2011-08-31 三菱電機株式会社 公開鍵証明書発行装置及び証明書要求装置
EP2562956B1 (en) 2007-12-13 2017-09-27 Certicom Corp. System and method for controlling features on a device
US8989383B2 (en) 2009-01-05 2015-03-24 Imation Corp. Data authentication using plural electronic keys
US8499154B2 (en) * 2009-01-27 2013-07-30 GM Global Technology Operations LLC System and method for establishing a secure connection with a mobile device
JP2011081762A (ja) * 2009-03-10 2011-04-21 Ricoh Co Ltd 機器設定装置及び機器設定装置における機器再設定方法
JP4760938B2 (ja) 2009-03-23 2011-08-31 富士ゼロックス株式会社 鍵生成プログラム、鍵記録プログラム、鍵生成装置、pkiカード及び鍵記録システム
DE102009029651A1 (de) 2009-09-22 2011-03-24 Evonik Röhm Gmbh Verfahren zur Herstellung freier Carbonsäuren
US9602425B2 (en) 2009-12-31 2017-03-21 Cable Television Laboratories, Inc. Zero sign-on authentication
US8793769B2 (en) * 2009-12-31 2014-07-29 Cable Television Laboratories, Inc. Zero sign-on authentication
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
US8955078B2 (en) * 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
US8762990B2 (en) 2011-07-25 2014-06-24 The Boeing Company Virtual machines for aircraft network data processing systems
US9239247B1 (en) 2011-09-27 2016-01-19 The Boeing Company Verification of devices connected to aircraft data processing systems
US8806579B1 (en) 2011-10-12 2014-08-12 The Boeing Company Secure partitioning of devices connected to aircraft network data processing systems
US8589020B1 (en) * 2011-11-29 2013-11-19 The Boeing Company Updating identity information in aircraft network data processing systems
US9727511B2 (en) 2011-12-30 2017-08-08 Bedrock Automation Platforms Inc. Input/output module with multi-channel switching capability
US11314854B2 (en) 2011-12-30 2022-04-26 Bedrock Automation Platforms Inc. Image capture devices for a secure industrial control system
US12061685B2 (en) 2011-12-30 2024-08-13 Analog Devices, Inc. Image capture devices for a secure industrial control system
US10834094B2 (en) 2013-08-06 2020-11-10 Bedrock Automation Platforms Inc. Operator action authentication in an industrial control system
US8971072B2 (en) 2011-12-30 2015-03-03 Bedrock Automation Platforms Inc. Electromagnetic connector for an industrial control system
US9600434B1 (en) 2011-12-30 2017-03-21 Bedrock Automation Platforms, Inc. Switch fabric having a serial communications interface and a parallel communications interface
US11144630B2 (en) 2011-12-30 2021-10-12 Bedrock Automation Platforms Inc. Image capture devices for a secure industrial control system
US9467297B2 (en) 2013-08-06 2016-10-11 Bedrock Automation Platforms Inc. Industrial control system redundant communications/control modules authentication
US8868813B2 (en) 2011-12-30 2014-10-21 Bedrock Automation Platforms Inc. Communications control system with a serial communications interface and a parallel communications interface
US8862802B2 (en) 2011-12-30 2014-10-14 Bedrock Automation Platforms Inc. Switch fabric having a serial communications interface and a parallel communications interface
US10834820B2 (en) 2013-08-06 2020-11-10 Bedrock Automation Platforms Inc. Industrial control system cable
US11967839B2 (en) 2011-12-30 2024-04-23 Analog Devices, Inc. Electromagnetic connector for an industrial control system
US9191203B2 (en) 2013-08-06 2015-11-17 Bedrock Automation Platforms Inc. Secure industrial control system
US9437967B2 (en) 2011-12-30 2016-09-06 Bedrock Automation Platforms, Inc. Electromagnetic connector for an industrial control system
JP5840016B2 (ja) * 2012-02-02 2016-01-06 キヤノン株式会社 中継装置、情報処理システム、制御方法、管理方法およびコンピュータプログラム
US9881301B2 (en) 2012-04-27 2018-01-30 Google Llc Conversion tracking of a user across multiple devices
US8688984B2 (en) * 2012-04-27 2014-04-01 Google Inc. Providing content to a user across multiple devices
US9514446B1 (en) 2012-04-27 2016-12-06 Google Inc. Remarketing content to a user associated with multiple devices
US8966043B2 (en) 2012-04-27 2015-02-24 Google Inc. Frequency capping of content across multiple devices
US9258279B1 (en) 2012-04-27 2016-02-09 Google Inc. Bookmarking content for users associated with multiple devices
US8978158B2 (en) 2012-04-27 2015-03-10 Google Inc. Privacy management across multiple devices
US11127001B2 (en) * 2013-05-09 2021-09-21 Wayne Fueling Systems Llc Systems and methods for secure communication
KR20160040277A (ko) * 2013-08-06 2016-04-12 베드락 오토메이션 플렛폼즈 인크. 보안 산업용 제어 시스템
US10613567B2 (en) 2013-08-06 2020-04-07 Bedrock Automation Platforms Inc. Secure power supply for an industrial control system
US9332081B2 (en) * 2013-08-30 2016-05-03 Google Inc. Anonymous cross-device linking using temporal identifiers
WO2015193945A1 (ja) * 2014-06-16 2015-12-23 富士通株式会社 更新プログラム及び方法、及び、管理プログラム及び方法
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
CN111293495B (zh) 2014-07-07 2022-05-24 基岩自动化平台公司 工业控制系统电缆
US10460098B1 (en) 2014-08-20 2019-10-29 Google Llc Linking devices using encrypted account identifiers
JP6331031B2 (ja) * 2015-03-26 2018-05-30 パナソニックIpマネジメント株式会社 認証方法、認証システム及び通信機器
US10169719B2 (en) * 2015-10-20 2019-01-01 International Business Machines Corporation User configurable message anomaly scoring to identify unusual activity in information technology systems
JP6524556B2 (ja) * 2016-07-05 2019-06-05 株式会社プラットフィールド 認証鍵複製システム
US10148653B2 (en) * 2016-12-14 2018-12-04 The Boeing Company Authenticating an aircraft data exchange using detected differences of onboard electronics
JP7262938B2 (ja) 2018-06-29 2023-04-24 キヤノン株式会社 情報処理装置、情報処理装置の制御方法、及び、プログラム
JP2019146257A (ja) * 2019-05-07 2019-08-29 ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド 安全な産業用制御システム
US11296872B2 (en) * 2019-11-07 2022-04-05 Micron Technology, Inc. Delegation of cryptographic key to a memory sub-system
EP3866428B1 (en) * 2020-02-13 2021-12-29 Axis AB A method for re-provisioning a digital security certificate and a system and a non-transitory computer program product thereof
CN111917538B (zh) * 2020-07-08 2023-10-17 北京汽车研究总院有限公司 基于车载设备的密钥衍生方法、装置及车载设备
JP7552943B1 (ja) 2024-02-21 2024-09-18 株式会社ナカヨ 遠隔保守システム、保守装置、プログラム、および遠隔保守方法

Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09200194A (ja) * 1995-12-29 1997-07-31 Intel Corp 安全保護の行われた通信を行うための装置および方法
JPH10135943A (ja) * 1996-10-25 1998-05-22 Dainippon Printing Co Ltd 携帯可能情報記憶媒体及びそれを用いた認証方法、認証システム
JPH11331142A (ja) * 1998-05-08 1999-11-30 Hitachi Ltd 公開鍵証書管理方法および装置
JP2001111538A (ja) * 1999-10-05 2001-04-20 Dainippon Printing Co Ltd 通信システムとその方法、通信装置およびicカード
JP2001197054A (ja) * 2000-01-06 2001-07-19 Mitsubishi Electric Systemware Corp 認証書管理装置及び認証書管理方法及びコンピュータ読み取り可能な記録媒体
JP2001320356A (ja) * 2000-02-29 2001-11-16 Sony Corp 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法
JP2002140534A (ja) * 2000-11-01 2002-05-17 Sony Corp ログ管理構成を持つコンテンツ配信システムおよびコンテンツ配信方法
JP2002140630A (ja) * 2000-11-01 2002-05-17 Sony Corp チケットに基づくコンテンツ料金精算システムおよびチケットに基づくコンテンツ料金精算方法
JP2002139996A (ja) * 2000-11-01 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> 署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法
JP2002141895A (ja) * 2000-11-01 2002-05-17 Sony Corp コンテンツ配信システムおよびコンテンツ配信方法
JP2002215826A (ja) * 2001-01-19 2002-08-02 Hitachi Ltd 証明書自動更新装置および方法
JP2002215462A (ja) * 2001-01-18 2002-08-02 Hitachi Ltd 計算機システム
JP2002287629A (ja) * 2001-03-26 2002-10-04 Toppan Printing Co Ltd 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム
JP2002287630A (ja) * 2001-03-28 2002-10-04 Hitachi Ltd 電子証明書の失効方法
JP2003273855A (ja) * 2002-03-13 2003-09-26 Fujitsu Fip Corp ディジタル証明書管理方法、ディジタル証明書配布サーバ、ディジタル証明書送信クライアント、ディジタル証明書管理プログラム及び記録媒体
JP2004320494A (ja) * 2003-04-16 2004-11-11 Ntt Communications Kk 電子署名付き文書検証装置、電子署名付き文書検証方法、電子署名付き文書検証プログラム及びプログラム記録媒体
JP2005175992A (ja) * 2003-12-12 2005-06-30 Mitsubishi Electric Corp 証明書配布システムおよび証明書配布方法
JP2005354200A (ja) * 2004-06-08 2005-12-22 Canon Inc 情報処理装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9626241D0 (en) * 1996-12-18 1997-02-05 Ncr Int Inc Secure data processing method and system
US6950933B1 (en) * 2000-05-19 2005-09-27 Networks Associates Technology, Inc. Method and system for management and notification of electronic certificate changes
US7349912B2 (en) * 2000-12-22 2008-03-25 Oracle International Corporation Runtime modification of entries in an identity system
KR100529550B1 (ko) * 2001-10-18 2005-11-22 한국전자통신연구원 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법
JP3890959B2 (ja) * 2001-11-22 2007-03-07 株式会社日立製作所 公開鍵証明書の生成システム及び検証システム
JP3897613B2 (ja) * 2002-02-27 2007-03-28 株式会社日立製作所 公開鍵暗号方式における登録局サーバの運用方法、登録局サーバ、及びプログラム

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09200194A (ja) * 1995-12-29 1997-07-31 Intel Corp 安全保護の行われた通信を行うための装置および方法
JPH10135943A (ja) * 1996-10-25 1998-05-22 Dainippon Printing Co Ltd 携帯可能情報記憶媒体及びそれを用いた認証方法、認証システム
JPH11331142A (ja) * 1998-05-08 1999-11-30 Hitachi Ltd 公開鍵証書管理方法および装置
JP2001111538A (ja) * 1999-10-05 2001-04-20 Dainippon Printing Co Ltd 通信システムとその方法、通信装置およびicカード
JP2001197054A (ja) * 2000-01-06 2001-07-19 Mitsubishi Electric Systemware Corp 認証書管理装置及び認証書管理方法及びコンピュータ読み取り可能な記録媒体
JP2001320356A (ja) * 2000-02-29 2001-11-16 Sony Corp 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法
JP2002139996A (ja) * 2000-11-01 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> 署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法
JP2002140630A (ja) * 2000-11-01 2002-05-17 Sony Corp チケットに基づくコンテンツ料金精算システムおよびチケットに基づくコンテンツ料金精算方法
JP2002140534A (ja) * 2000-11-01 2002-05-17 Sony Corp ログ管理構成を持つコンテンツ配信システムおよびコンテンツ配信方法
JP2002141895A (ja) * 2000-11-01 2002-05-17 Sony Corp コンテンツ配信システムおよびコンテンツ配信方法
JP2002215462A (ja) * 2001-01-18 2002-08-02 Hitachi Ltd 計算機システム
JP2002215826A (ja) * 2001-01-19 2002-08-02 Hitachi Ltd 証明書自動更新装置および方法
JP2002287629A (ja) * 2001-03-26 2002-10-04 Toppan Printing Co Ltd 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム
JP2002287630A (ja) * 2001-03-28 2002-10-04 Hitachi Ltd 電子証明書の失効方法
JP2003273855A (ja) * 2002-03-13 2003-09-26 Fujitsu Fip Corp ディジタル証明書管理方法、ディジタル証明書配布サーバ、ディジタル証明書送信クライアント、ディジタル証明書管理プログラム及び記録媒体
JP2004320494A (ja) * 2003-04-16 2004-11-11 Ntt Communications Kk 電子署名付き文書検証装置、電子署名付き文書検証方法、電子署名付き文書検証プログラム及びプログラム記録媒体
JP2005175992A (ja) * 2003-12-12 2005-06-30 Mitsubishi Electric Corp 証明書配布システムおよび証明書配布方法
JP2005354200A (ja) * 2004-06-08 2005-12-22 Canon Inc 情報処理装置

Also Published As

Publication number Publication date
JP2006060779A (ja) 2006-03-02
US20060020782A1 (en) 2006-01-26

Similar Documents

Publication Publication Date Title
JP4671783B2 (ja) 通信システム
US7809945B2 (en) Examination apparatus, communication system, examination method, computer-executable program product, and computer-readable recording medium
JP4712325B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4758095B2 (ja) 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体
US7584351B2 (en) Method of transferring digital certificate,apparatus for transferring digital certificate, and system, program, and recording medium for transferring digital certificate
JP4576210B2 (ja) 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体
EP1515518B1 (en) Method of setting digital certificate to authenticate communication apparatus
JP4611680B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4504130B2 (ja) 通信装置、通信システム、証明書送信方法及びプログラム
JP4611679B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4611676B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4657642B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4611678B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4671638B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4509675B2 (ja) 通信装置、通信システム及び通信方法
JP5434956B2 (ja) 証明書無効化装置、証明書無効化システム、プログラム及び記録媒体
JP4778210B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4657643B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4712326B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4494827B2 (ja) デジタル証明書管理システム、デジタル証明書管理装置、デジタル証明書管理方法およびプログラム
JP5418507B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP4611681B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP5348148B2 (ja) 通信装置、通信システム、通信方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101012

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20101012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110118

R150 Certificate of patent or registration of utility model

Ref document number: 4671783

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140128

Year of fee payment: 3