JP6277846B2 - COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PRINTER - Google Patents

COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PRINTER Download PDF

Info

Publication number
JP6277846B2
JP6277846B2 JP2014087983A JP2014087983A JP6277846B2 JP 6277846 B2 JP6277846 B2 JP 6277846B2 JP 2014087983 A JP2014087983 A JP 2014087983A JP 2014087983 A JP2014087983 A JP 2014087983A JP 6277846 B2 JP6277846 B2 JP 6277846B2
Authority
JP
Japan
Prior art keywords
time
authentication
information
time information
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014087983A
Other languages
Japanese (ja)
Other versions
JP2015207925A5 (en
JP2015207925A (en
Inventor
永治 河西
永治 河西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seiko Epson Corp
Original Assignee
Seiko Epson Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seiko Epson Corp filed Critical Seiko Epson Corp
Priority to JP2014087983A priority Critical patent/JP6277846B2/en
Publication of JP2015207925A publication Critical patent/JP2015207925A/en
Publication of JP2015207925A5 publication Critical patent/JP2015207925A5/ja
Application granted granted Critical
Publication of JP6277846B2 publication Critical patent/JP6277846B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワークに接続する際にサーバーとクライアントの間で電子証明書を用いた認証を行う技術に関する。特に、電子証明書を用いた認証を行う通信装置、プリンター、および、その制御方法に関する。   The present invention relates to a technique for performing authentication using a digital certificate between a server and a client when connecting to a network. In particular, the present invention relates to a communication device that performs authentication using an electronic certificate, a printer, and a control method thereof.

ネットワークを経由してデータを送受信する装置(クライアント)において、ネットワークに接続する際に認証サーバーとの間で電子証明書を用いた認証を行い、セキュリティを確保する方法が用いられている。例えば、EAP−TLS認証プロトコルによる認証では、クライアントがネットワークに接続する際に、クライアントが認証サーバーを審査するサーバー認証を行う。サーバー認証では、認証サーバーの電子証明書であるサーバー証明書をクライアントが審査する。サーバー証明書には、認証局などによる署名情報や有効期間などの情報が含まれ、クライアントはその内容を審査する。クライアントがサーバー証明書の認証に成功し、更に、認証サーバーがクライアントの認証に成功した場合に、ネットワークへの接続サービスが開始される。サーバー証明書は、予め、何らかの手段でクライアントに供給される。   In a device (client) that transmits and receives data via a network, a method of ensuring security by performing authentication using an electronic certificate with an authentication server when connecting to the network. For example, in the authentication using the EAP-TLS authentication protocol, when the client connects to the network, the client performs server authentication for examining the authentication server. In server authentication, a client examines a server certificate that is an electronic certificate of an authentication server. The server certificate includes information such as the signature information from the certificate authority and the validity period, and the client examines the contents. When the client successfully authenticates the server certificate and the authentication server succeeds in authenticating the client, a service for connecting to the network is started. The server certificate is supplied to the client in advance by some means.

サーバー認証では、検証項目の1つとして、クライアントが、サーバー証明書が有効期間内のものであるか否かを審査する時刻検証が行われる。時刻検証では、サーバー証明書に含まれる有効期間と、クライアントが持つ時刻情報(現在時刻)との整合性を検証する。具体的には、現在時刻がサーバー証明書の有効期間内の時刻であるか否かを検証する。クライアントが持つ時刻情報は、クライアントが内蔵時計を持つ場合には、内蔵時計が示す時刻情報を用いることができる。しかしながら、クライアントの内蔵時計が電源オフ時などに止まってしまう場合、クライアントを再起動したときの内蔵時計の時刻は正しい現在時刻と異なるおそれがある。従って、時刻検証を正確に行うことができず、有効期間を過ぎたサーバー証明書を有効期間内のものであると誤判定してしまうおそれがある。また、クライアントの内蔵時計が狂った場合に、ありえないような有効期間のサーバー証明書(例えば、まだ発行されているはずのない未来の期間のサーバー証明書)を有効期間内のものであると誤判定してしまうおそれがある。   In server authentication, as one of verification items, time verification is performed in which the client examines whether or not the server certificate is within the valid period. In the time verification, the consistency between the validity period included in the server certificate and the time information (current time) held by the client is verified. Specifically, it is verified whether or not the current time is within the valid period of the server certificate. As the time information held by the client, when the client has a built-in clock, the time information indicated by the built-in clock can be used. However, if the internal clock of the client stops when the power is turned off, the time of the internal clock when the client is restarted may be different from the correct current time. Therefore, time verification cannot be performed accurately, and a server certificate that has passed the validity period may be erroneously determined to be within the validity period. Also, if the client's built-in clock is messed up, a server certificate with a valid period that is impossible (for example, a server certificate with a future period that should not have been issued) is mistakenly valid. There is a risk of judging.

このように、内蔵時計が正しく動かなかったり、内蔵時計を持たない装置がクライアントである場合、自らが持つ情報だけでは正しい時刻検証を行うことができない。そこで、何らかの手段で正しい現在時刻をクライアントに取得させる必要がある。正しい現在時刻の供給源としては、ネットワーク上に存在するNTPサーバーがあるが、サーバー認証が成功しない限りネットワークに接続できないクライアントでは、NTPサーバーから現在時刻を取得することは不可能である。そこで、特許文献1では、正しい現在時刻の情報を持たない場合は、クライアントは、時刻検証を行わずに他の情報の信頼性をチェックする仮認証を行い、仮認証に成功したらネットワークに接続し、ネットワーク上の時刻サーバーから正確な時刻情報を取得する。そして、取得した時刻情報を用いた時刻検証を含む本認証を行うことで、サーバー証明書の信頼性をチェックする。   As described above, when the built-in clock does not move correctly or the device without the built-in clock is a client, it is not possible to perform the correct time verification only with the information held by itself. Therefore, it is necessary for the client to acquire the correct current time by some means. As a source of the correct current time, there is an NTP server that exists on the network. However, a client that cannot connect to the network unless the server authentication is successful cannot obtain the current time from the NTP server. Therefore, in Patent Document 1, if the client does not have the correct current time information, the client performs temporary authentication to check the reliability of other information without performing time verification, and if the temporary authentication is successful, the client connects to the network. Get accurate time information from a time server on the network. Then, the authenticity of the server certificate is checked by performing the main authentication including the time verification using the acquired time information.

特開2010−193158号公報JP 2010-193158 A

特許文献1の認証方法では、ネットワークを経由して正しい現在時刻を取得し、この時刻に基づいて時刻検証を行うことができる。従って、内蔵時計を持たない場合や、内蔵時計の時刻が正しくない場合でもサーバー証明書の有効期間を正確に検証でき、ネットワークへの接続時のセキュリティを確保できる。しかしながら、特許文献1の方法では、クライアントはサーバー証明書の有効期間を検証することなくネットワークに接続している。したがって、クライアントが有効期限の切れたサーバー証明書を受けとってもネットワークに接続してしまい、セキュリティを確保できないという問題点がある。また、有効期限切れを検出するためにネットワークに接続するため、無駄な処理が行われ、効率が悪いという問題点がある。   In the authentication method of Patent Literature 1, it is possible to acquire the correct current time via a network and perform time verification based on this time. Therefore, the validity period of the server certificate can be accurately verified even when the built-in clock is not provided or the time of the built-in clock is not correct, and security when connecting to the network can be ensured. However, in the method of Patent Document 1, the client is connected to the network without verifying the validity period of the server certificate. Therefore, even if the client receives a server certificate that has expired, the client is connected to the network, and there is a problem that security cannot be ensured. Moreover, since it connects to a network in order to detect the expiration date, there is a problem that wasteful processing is performed and efficiency is poor.

特許文献1のような2段階認証以外で正しい時刻検証を行う方法としては、予め、ネットワークの管理者がネットワークに接続するクライアントのユーザーにサーバー証明書の有効期間内の時刻を通知し、ユーザーに手動で時刻を設定させる方法がある。通知された時刻をクライアントに記憶保持させておけば、サーバー証明書が更新されるまでは時刻検証が失敗することはないので、本認証のみを行えば済む。しかしながら、このような方法では、サーバー証明書が更新される毎に、同じサーバー証明書を用いる多数のクライアントの全てについて、ユーザーが時刻設定を手動で更新しなければならない。従って、ユーザーの負担が大きく、運用コストが増大するという問題点がある。   As a method for verifying the correct time other than the two-step authentication as in Patent Document 1, the network administrator notifies the user of the client connected to the network of the time within the validity period of the server certificate in advance. There is a method to set the time manually. If the notified time is stored in the client, the time verification will not fail until the server certificate is updated, so only the main authentication is required. However, with such a method, each time a server certificate is updated, the user must manually update the time setting for all of the many clients that use the same server certificate. Therefore, there is a problem that the burden on the user is large and the operation cost increases.

本発明の課題は、このような点に鑑みて、自らが持つ時刻情報が正しくない可能性があるクライアント(通信装置)によるサーバー証明書の認証を効率的且つ正確に行い、運用コストを増大させずにネットワーク接続時のセキュリティを確保することにある。   In view of these points, the problem of the present invention is to efficiently and accurately authenticate a server certificate by a client (communication device) that may have incorrect time information, and to increase operational costs. It is to ensure security when connecting to the network.

上記の課題を解決するために、本発明は、ネットワークへの接続時に、有効期間が設定された電子証明書であるサーバー証明書を審査するサーバー認証を行う通信装置の制御方法であって、前記サーバー認証において、前記通信装置が保持する時刻情報が示す時点が、前記有効期間の開始時点よりも前、前記有効期間の範囲内、前記有効期間の終了時点よりも後のいずれであるかを判定する第1認証ステップを実行し、前記第1認証ステップの判定の結果、前記時刻情報が示す時点が、前記有効期間の終了時点よりも後であった場合には、前記サーバー証明書を用いた前記ネットワークへの接続を中止するステップを実行し、前記時刻情報が示す時点が、前記有効期間の範囲内であった場合には、前記サーバー証明書に含まれる他の認証情報を審査する第2認証ステップを実行し、前記時刻情報が示す時点が、前記有効期間の開始時点よりも前であった場合には、予め設定した処理を行うステップを実行することを特徴とする。   In order to solve the above-described problem, the present invention provides a method for controlling a communication apparatus that performs server authentication for examining a server certificate that is an electronic certificate with a valid period set when connected to a network. In server authentication, it is determined whether the time indicated by the time information held by the communication device is before the start of the valid period, within the valid period, or after the end of the valid period The server certificate is used when the time indicated by the time information is later than the end of the valid period as a result of the determination in the first authentication step. Executing the step of canceling the connection to the network, and if the time indicated by the time information is within the valid period, other authentication information included in the server certificate It performs a second authentication step of judging, when showing the time information is, in the case was before the beginning of the validity period, and executes a step of performing a process set in advance.

また、本発明の通信装置は、時刻情報を保持する時刻管理部と、ネットワークへの接続時に、有効期間が設定された電子証明書であるサーバー証明書を審査するサーバー認証を行う認証部と、を有し、前記認証部は、前記サーバー認証において、前記時刻管理部が保持する時刻情報が示す時点が、前記有効期間の開始時点よりも前、前記有効期間の範囲内、前記有効期間の終了時点よりも後のいずれであるかを判定する第1認証を行い、前記第1認証の判定の結果、前記時刻情報が示す時点が、前記有効期間の終了時点よりも後であった場合には、前記サーバー証明書を用いた前記ネットワークへの接続を中止し、前記時刻情報が示す時点が、前記有効期間の範囲内であった場合には、前記サーバー証明書に含まれる他の認証情報を審査する第2認証を行い、前記時刻情報が示す時点が、前記有効期間の開始時点よりも前であった場合には、予め設定した処理を行うことを特徴とする。   In addition, the communication device of the present invention includes a time management unit that holds time information, an authentication unit that performs server authentication for examining a server certificate that is an electronic certificate with a valid period when connected to a network, The authentication unit includes a time point indicated by the time information held by the time management unit in the server authentication, before the start time of the effective period, within the effective period, and at the end of the effective period. When the first authentication is performed to determine whether the time is later than the time, and when the time indicated by the time information is later than the end of the valid period as a result of the determination of the first authentication If the connection to the network using the server certificate is stopped and the time indicated by the time information is within the valid period, other authentication information included in the server certificate is stored. Review 2 performs authentication, time when the time information is indicated in the case was before the beginning of the validity period, and performs the process set in advance.

本発明は、このように、ネットワークへの接続条件であるサーバー認証において、通信装置が保持する時刻情報が示す時点とサーバー証明書の有効期間との比較判定を行い、比較判定結果によって最適な処理を行う。すなわち、通信装置が持つ時刻情報が有効期間よりも後であって明らかに有効期限切れの場合には、その時点でサーバー証明書を用いたネットワークへの接続を断念して無駄な処理を行わない。また、正しい時刻情報と有効なサーバー証明書を持つ場合は確実に時刻検証(第1認証)が成功する。そして、時刻情報が有効期間よりも前の場合には、何らかの理由で時刻情報が古いとすれば、実際は有効期限の範囲内かもしれないため、この点を考慮した処理を行ってネットワークへの接続を試みることができる。このようにすると、通信装置が保持する時刻情報とサーバー証明書の有効期間との整合性を従来よりも適正に、且つ、効率的に審査できる。よって、ネットワーク接続時のセキュリティ確保と、ネットワーク接続の効率的な確立を両立できる。また、ユーザーの負荷を増大させることがなく、運用コストの増大を回避できる。   As described above, in the server authentication which is a connection condition to the network, the present invention performs the comparison determination between the time point indicated by the time information held by the communication device and the validity period of the server certificate, and performs the optimum processing according to the comparison determination result. I do. That is, when the time information of the communication device is after the valid period and is clearly expired, the connection to the network using the server certificate is abandoned at that point and no unnecessary processing is performed. In addition, when the correct time information and a valid server certificate are provided, time verification (first authentication) is surely successful. And if the time information is earlier than the valid period, if the time information is old for some reason, it may actually be within the valid period. Can try. In this way, the consistency between the time information held by the communication device and the validity period of the server certificate can be examined more appropriately and efficiently than before. Therefore, it is possible to achieve both security at the time of network connection and efficient establishment of the network connection. Further, it is possible to avoid an increase in operation cost without increasing the load on the user.

本発明の通信装置およびその制御方法において、前記予め設定した処理は、前記時刻情報を前記有効期間の範囲内の予め設定した時点を示す情報に仮設定する仮設定処理であり、当該仮設定処理を行った後、再度前記第1認証ステップを実行することが望ましい。このようにすると、サーバー証明書が有効である可能性がある場合に、とりあえず時刻検証(第1認証)を成功させてネットワークへの接続を試みることができる。従って、有効なサーバー証明書を持っているにもかかわらず、内部時計を持たない、あるいは内部時計が何らかの理由で止まったことが理由でネットワークに接続できないという不都合を回避でき、そのための運用コストの増大も回避できる。   In the communication apparatus and the control method thereof according to the present invention, the preset process is a provisional setting process in which the time information is provisionally set to information indicating a preset time point within the range of the valid period. It is desirable to execute the first authentication step again after performing the above. In this case, when there is a possibility that the server certificate is valid, it is possible to attempt to connect to the network by succeeding time verification (first authentication) for the time being. Therefore, you can avoid the inconvenience of not having an internal clock even if you have a valid server certificate, or being unable to connect to the network because the internal clock has stopped for some reason. An increase can also be avoided.

本発明の通信装置およびその制御方法において、前記ネットワークを経由せずに現在時刻を示す情報を受信した場合には、前記時刻情報を前記受信した現在時刻に更新し、更新後の前記時刻情報を用いて、前記第1認証ステップを実行することが望ましい。このように、ネットワーク接続以外で正しい時刻情報を取得できた場合は、時刻情報を更新することで、より正確に時刻検証(第1認証)を行うことができる。ネットワーク接続以外で時刻情報を取得する方法としては、時刻情報を含む各種の電波情報、例えば、GPS情報、ビーコン、電波時計用の電波情報、携帯電話の基地局から供給される電波情報、デジタルテレビやFM多重放送の電波情報などがある。また、ローカルエリアネットワーク内の機器から時刻情報を取得できる場合は、その情報を用いてもよい。   In the communication device and the control method thereof according to the present invention, when the information indicating the current time is received without going through the network, the time information is updated to the received current time, and the updated time information is updated. Preferably, the first authentication step is performed. As described above, when correct time information can be acquired except for network connection, time verification (first authentication) can be performed more accurately by updating the time information. As a method of acquiring time information other than the network connection, various radio wave information including time information, for example, GPS information, beacons, radio wave information for radio clocks, radio wave information supplied from mobile phone base stations, digital TV And radio wave information of FM multiplex broadcasting. In addition, when time information can be acquired from a device in the local area network, the information may be used.

本発明の通信装置およびその制御方法において、前記サーバー証明書を用いた前記ネットワークへの接続が可能になった場合には、前記時刻情報を、前記ネットワークを経由して取得した現在時刻に更新する時刻更新処理(時刻更新ステップ)を実行することが望ましい。このようにすると、ネットワーク上の時刻サーバー(NTPサーバー)から取得した正しい時刻情報を通信装置に保持させることができる。従って、以後のサーバー認証において、通信装置が持つ時刻情報とサーバー証明書の有効期間との整合性を正しく検証できる。   In the communication apparatus and the control method thereof according to the present invention, when connection to the network using the server certificate becomes possible, the time information is updated to the current time acquired via the network. It is desirable to execute time update processing (time update step). In this way, the correct time information acquired from the time server (NTP server) on the network can be held in the communication device. Therefore, in the subsequent server authentication, it is possible to correctly verify the consistency between the time information possessed by the communication apparatus and the validity period of the server certificate.

この場合に、本発明の通信装置およびその制御方法において、前記時刻更新処理(時刻更新ステップ)において、前記時刻情報と前記現在時刻の時間差が予め設定した閾値以上であることを条件として、前記時刻情報を更新することが望ましい。このようにすると、不必要に高頻度に時刻情報が更新されることを回避できる。また、ネットワーク上の時刻サーバーに接続して現在情報を取得する際の所要時間による時間ずれ程度では時刻更新が行われないので、このような時間ずれが原因で時刻更新処理が繰り返されることを回避できる。   In this case, in the communication device and the control method thereof according to the present invention, in the time update process (time update step), on the condition that the time difference between the time information and the current time is equal to or greater than a preset threshold value, It is desirable to update the information. If it does in this way, it can avoid updating time information unnecessarily frequently. In addition, time update is not performed at the time lag due to the required time when connecting to a time server on the network and acquiring current information, so that the time update process is not repeated due to such time lag. it can.

次に、本発明のプリンターは、上記の通信装置と、前記通信装置を経由して受信したデータを印刷媒体に印刷する印刷部と、を有することを特徴とする。   Next, a printer according to the present invention includes the above-described communication device and a printing unit that prints data received via the communication device on a print medium.

本発明によれば、ネットワークへの接続条件であるサーバー認証において、通信装置が保持する時刻情報が示す時点とサーバー証明書の有効期間との比較判定を行い、比較判定結果によって最適な処理を行う。従って、通信装置が保持する時刻情報とサーバー証明書の有効期間との整合性を従来よりも適正に、且つ、効率的に審査できる。よって、ネットワーク接続時のセキュリティ確保と、ネットワーク接続の効率的な確立を両立できる。また、ユーザーの負荷が増大することがなく、運用コストの増大を回避できる。   According to the present invention, in server authentication, which is a connection condition to the network, a comparison determination is performed between the time point indicated by the time information held by the communication device and the validity period of the server certificate, and an optimum process is performed based on the comparison determination result. . Accordingly, the consistency between the time information held by the communication device and the validity period of the server certificate can be examined more appropriately and efficiently than before. Therefore, it is possible to achieve both security at the time of network connection and efficient establishment of the network connection. Further, the user's load does not increase, and an increase in operation cost can be avoided.

本発明の実施形態に係る通信装置を備えたプリンターを含む印刷システムの構成図である。1 is a configuration diagram of a printing system including a printer including a communication device according to an embodiment of the present invention. サーバー証明書の説明図である。It is explanatory drawing of a server certificate. 通信部の主要部を示すブロック図である。It is a block diagram which shows the principal part of a communication part. サーバー認証のフローチャートである。It is a flowchart of server authentication. 時刻検証の説明図である。It is explanatory drawing of time verification.

(印刷システム)
図1は、本発明の実施形態に係る通信装置を備えたプリンターを含む印刷システムの構成図である。プリンター1は携帯型のモバイルプリンターであり、通信部11(通信装置)と、通信部11から受信したデータを印刷媒体に印刷する印刷部12と、通信部11および印刷部12を制御する制御部13を備える。印刷部12は、印刷ヘッドと、印刷ヘッドによる印刷位置を経由して印刷媒体を搬送する搬送機構などを含む。プリンター1は、通信部11を介して、有線通信あるいは無線通信による通信網であるローカルエリアネットワーク2に接続可能である。ローカルエリアネットワーク2は、例えば、IEEE802.11などの標準規格に準拠した通信網であり、複数のプリンター1が接続可能である。なお、プリンター1はモバイルプリンターに限定されるものではなく、他のプリンターであってもよい。 (Printing system)
FIG. 1 is a configuration diagram of a printing system including a printer including a communication device according to an embodiment of the present invention. The printer 1 is a portable mobile printer, and includes a communication unit 11 (communication device), a printing unit 12 that prints data received from the communication unit 11 on a print medium, and a control unit that controls the communication unit 11 and the printing unit 12. 13 is provided. The printing unit 12 includes a print head and a transport mechanism that transports the print medium via a print position by the print head. The printer 1 can be connected via a communication unit 11 to a local area network 2 that is a communication network by wired communication or wireless communication. The local area network 2 is a communication network compliant with a standard such as IEEE 802.11, for example, and a plurality of printers 1 can be connected thereto. The printer 1 is not limited to a mobile printer, and may be another printer.

ローカルエリアネットワーク2内のプリンター1は、ルーター3を介して外部ネットワーク4(ネットワーク)に接続可能である。外部ネットワーク4は、インターネット・プロトコル(IP)を用いた通信網(いわゆる、インターネット)である。外部ネットワーク4には、管理サーバー5、NTPサーバー6などが接続されている。管理サーバー5は、例えば、プリンター1で処理するデータを管理するサーバーである。また、NTPサーバー6は、NTPプロトコル(Network Time Protocol)を用いて外部ネットワーク4に接続可能な通信機器の時刻同期を行うサーバーである。   The printer 1 in the local area network 2 can be connected to an external network 4 (network) via a router 3. The external network 4 is a communication network (so-called Internet) using the Internet protocol (IP). A management server 5, an NTP server 6 and the like are connected to the external network 4. The management server 5 is a server that manages data processed by the printer 1, for example. The NTP server 6 is a server that performs time synchronization of communication devices that can be connected to the external network 4 using the NTP protocol (Network Time Protocol).

ローカルエリアネットワーク2内のプリンター1は、外部ネットワーク4にセキュアな接続をするとき、まず、暗号化通信を確立するための認証を行う。本形態では、ルーター3として、ルーター機能およびサーバープログラムを備えた通信機器を用いており、ルーター3に認証サーバー7の機能が実装されている。もしくは、ルーター3がローカルエリアネットワーク2上あるいは外部ネットワーク4上に設置された認証サーバーとの間で通信を行って認証を行う形態であってもよい。また、ルーター3とプリンター1がアクセスポイントを経由して接続される形態であってもよい。この場合には、アクセスポイントが認証サーバーの機能を備えるか、あるいは認証サーバーの機能を備える機器に接続可能であってもよい。   When the printer 1 in the local area network 2 makes a secure connection to the external network 4, first, authentication is performed for establishing encrypted communication. In this embodiment, a communication device having a router function and a server program is used as the router 3, and the function of the authentication server 7 is implemented in the router 3. Alternatively, the router 3 may perform authentication by communicating with an authentication server installed on the local area network 2 or the external network 4. Alternatively, the router 3 and the printer 1 may be connected via an access point. In this case, the access point may have an authentication server function, or may be connectable to a device having the authentication server function.

外部ネットワーク4への接続時の認証として、認証サーバー7の信頼性をプリンター1が審査するサーバー認証と、プリンター1の信頼性を認証サーバー7が審査するクライアント認証を行う相互認証が行われる。このような相互認証方式の一例として、例えば、EAP−TLS(Extensible Authentication Protocol−Transport Layer Security)認証プロトコルが用いられる。EAP−TLS認証プロトコルでは、サーバー認証とクライアント認証が電子証明書を用いて行われる。サーバー認証では、プリンター1によって、認証サーバー7の信頼性を証明する電子証明書であるサーバー証明書8が審査される。また、クライアント認証では、認証サーバー7によって、プリンター1の信頼性を証明する電子証明書であるクライアント証明書が審査される。なお、サーバー認証は電子証明書を用いて行い、クライアント認証については、ユーザーIDとパスワードなどを用いて認証する方式を用いてもよい。サーバー認証とクライアント認証がいずれも成功することで、相互認証が成功する。   As authentication at the time of connection to the external network 4, server authentication in which the printer 1 examines the reliability of the authentication server 7 and mutual authentication in which client authentication in which the authentication server 7 examines the reliability of the printer 1 is performed. As an example of such a mutual authentication method, for example, an EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) authentication protocol is used. In the EAP-TLS authentication protocol, server authentication and client authentication are performed using electronic certificates. In the server authentication, the printer 1 examines a server certificate 8 that is an electronic certificate that proves the reliability of the authentication server 7. In the client authentication, the authentication server 7 examines a client certificate that is an electronic certificate that proves the reliability of the printer 1. Note that server authentication may be performed using an electronic certificate, and client authentication may be performed using a user ID and password. Mutual authentication succeeds when both server authentication and client authentication succeed.

図2はサーバー証明書8の説明図である。サーバー証明書8は、信頼された認証局によって認証された電子証明書であり、認証サーバー7の身元を示す署名情報などの認証情報81を含む。また、サーバー証明書8には有効期間82が設定されており、有効期間82の情報を含む。更に、サーバー証明書8は、データの暗号化に用いる公開鍵などの情報を含む。有効期間82は、例えば、数ヶ月や1年などの期間が設定される。サーバー証明書8は、認証サーバー7からプリンター1にインストールされる。あるいは、ユーザーが手動でプリンター1にインストールすることもできる。サーバー証明書8は、有効期間82が終了する前に新たなものが発行され、プリンター1やそのユーザーに供給される。   FIG. 2 is an explanatory diagram of the server certificate 8. The server certificate 8 is an electronic certificate authenticated by a trusted certificate authority, and includes authentication information 81 such as signature information indicating the identity of the authentication server 7. The server certificate 8 has a valid period 82 and includes information on the valid period 82. Further, the server certificate 8 includes information such as a public key used for data encryption. As the effective period 82, for example, a period such as several months or one year is set. The server certificate 8 is installed in the printer 1 from the authentication server 7. Alternatively, the user can manually install the printer 1. A new server certificate 8 is issued before the validity period 82 ends, and is supplied to the printer 1 and its user.

(通信部)
図3は通信部11の主要部を示すブロック図である。通信部11は、記憶部14と、時刻管理部15と、認証部16を備える。記憶部14はサーバー証明書8を含む各種のデータを記憶する。時刻管理部15は、時刻情報17の保持およびその更新処理などを行う。時刻情報17は、時系列上のある時点を特定する情報である。認証部16は、上述した相互認証におけるクライアント側(すなわち、通信部11側)の認証処理であるサーバー認証を行う。通信部11は、プリンター1に着脱可能なネットワークカードなどの拡張カードの形態であっても良いし、プリンター1に組み込んだ形態であってもよい。 (Communication Department)
FIG. 3 is a block diagram showing the main part of the communication unit 11. The communication unit 11 includes a storage unit 14, a time management unit 15, and an authentication unit 16. The storage unit 14 stores various data including the server certificate 8. The time management unit 15 holds the time information 17 and updates the time information 17. The time information 17 is information that identifies a certain point in time. The authentication unit 16 performs server authentication that is authentication processing on the client side (that is, the communication unit 11 side) in the mutual authentication described above. The communication unit 11 may be in the form of an expansion card such as a network card that can be attached to and detached from the printer 1 or may be incorporated in the printer 1.

プリンター1は内部時計を持たないため、通信部11に、外部から供給された時刻情報17を保持する時刻管理部15が設けられている。例えば、時刻管理部15は、ユーザーが入力した特定の時刻を時刻情報17に設定して保持することができる。また、時刻管理部15は、後述するように、外部ネットワーク4への接続サービスが開始されているとき、外部ネットワーク4経由でNTPサーバー6から正しい現在時刻を取得して、保持している時刻情報17を新たに取得した現在時刻に置き換える時刻更新処理を行うことができる。   Since the printer 1 does not have an internal clock, the communication unit 11 is provided with a time management unit 15 that holds time information 17 supplied from the outside. For example, the time management unit 15 can set and hold a specific time input by the user in the time information 17. Further, as will be described later, the time management unit 15 acquires the correct current time from the NTP server 6 via the external network 4 and holds the time information when the connection service to the external network 4 is started. A time update process can be performed in which 17 is replaced with the newly acquired current time.

ここで、時刻管理部15による時刻更新処理は、新たに取得した現在時刻と、保持されている時刻情報17との時間差が予め設定した閾値以上(例えば、12時間以上)であったときのみ更新を行い、時間差が予め設定した閾値未満のときには時刻情報17を更新しないようにすることもできる。12時間以上などの時間差を閾値に設定すれば、不必要に高頻度に時刻更新処理を行わないようにすることができる。よって、処理負荷の増大を抑制できる。また、FlashROMなどの記憶媒体への書き込み回数がへり、記憶媒体の寿命を延ばすことができる。更に、時刻更新処理が繰り返して行われるという事態を回避できる。   Here, the time update process by the time management unit 15 is updated only when the time difference between the newly acquired current time and the stored time information 17 is equal to or greater than a preset threshold (for example, 12 hours or more). It is also possible to prevent the time information 17 from being updated when the time difference is less than a preset threshold value. If a time difference such as 12 hours or more is set as the threshold value, the time update process can be prevented from being performed unnecessarily frequently. Therefore, an increase in processing load can be suppressed. In addition, the number of times of writing to a storage medium such as FlashROM is reduced, and the life of the storage medium can be extended. Furthermore, it is possible to avoid a situation in which the time update process is repeatedly performed.

(サーバー認証)
図4はサーバー認証のフローチャートである。通信部11は、プリンター1の制御部13から外部ネットワーク4への接続要求を受け取ると、認証部16を起動してサーバー認証を開始する。認証部16は、まず、認証サーバー7のサーバー証明書8を記憶部14から読み出す(ステップS1)。なお、ステップS1で、予め記憶しているサーバー証明書8を読み出す代わりに、接続要求があったタイミングで認証サーバー7からサーバー証明書をその都度取得してもよい。そして、ステップS1に続いて、第1認証を行う(ステップS2)。第1認証は、サーバー証明書8が時期的に有効であるか否かの検証であり、サーバー証明書8の有効期間82と、時刻管理部15で保持している時刻情報17との比較判定を行う時刻検証である。 (Server authentication)
FIG. 4 is a flowchart of server authentication. When receiving a connection request to the external network 4 from the control unit 13 of the printer 1, the communication unit 11 activates the authentication unit 16 and starts server authentication. First, the authentication unit 16 reads the server certificate 8 of the authentication server 7 from the storage unit 14 (step S1). In step S1, instead of reading the server certificate 8 stored in advance, a server certificate may be obtained from the authentication server 7 each time a connection request is made. Then, following step S1, first authentication is performed (step S2). The first authentication is verification of whether or not the server certificate 8 is valid in terms of time, and a comparison determination between the validity period 82 of the server certificate 8 and the time information 17 held in the time management unit 15 is performed. Is time verification.

図5は時刻検証の説明図である。図5において、P1は有効期間82の開始時点、P2は有効期間82の終了時点である。また、Pは時刻管理部15で保持している時刻情報17が示す時点である。認証部16は、第1認証(時刻検証)において、終了時点P2よりも後(すなわち、有効期間82よりも後)の期間である第1期間T1と、開始時点P1から終了時点P2まで(すなわち、有効期間82の範囲内)の期間である第2期間T2と、開始時点P1よりも前(すなわち、有効期間82よりも前)の期間である第3期間T3の3つの区間のうち、どの区間に時刻情報17が示す時点Pが含まれているかを判定する。図5では、時刻情報17が示す時点Pが有効期間82の範囲内の場合を図示している。   FIG. 5 is an explanatory diagram of time verification. In FIG. 5, P <b> 1 is the start time of the effective period 82, and P <b> 2 is the end time of the effective period 82. P is the time indicated by the time information 17 held in the time management unit 15. In the first authentication (time verification), the authenticating unit 16 performs a first period T1 that is a period after the end time P2 (that is, after the effective period 82), and from the start time P1 to the end time P2 (that is, Of the three periods, the second period T2 that is within the valid period 82) and the third period T3 that is before the start time point P1 (that is, before the valid period 82). It is determined whether the time point P indicated by the time information 17 is included in the section. FIG. 5 illustrates a case where the time point P indicated by the time information 17 is within the valid period 82.

(1)時刻情報が有効期間後(第1期間T1)の場合
第1認証において、時刻情報17が示す時点Pが第1期間T1に含まれる場合(ステップS2:P2<P)、認証部16は、サーバー証明書8がすでに期限切れであると判定し、その時点でサーバー認証を終了して待機状態に移行する(ステップS3)。すなわち、サーバー証明書8が期限切れであれば相互認証が失敗することは明らかであるため、認証部16は、サーバー証明書8を用いた外部ネットワーク4への接続を中止する。 (1) When the time information is after the valid period (first period T1) In the first authentication, when the time point P indicated by the time information 17 is included in the first period T1 (step S2: P2 <P), the authentication unit 16 Determines that the server certificate 8 has already expired, and ends the server authentication at that time and shifts to a standby state (step S3). That is, since it is clear that mutual authentication fails if the server certificate 8 has expired, the authentication unit 16 stops the connection to the external network 4 using the server certificate 8.

(2)時刻情報が有効期間内(第2期間T2)の場合
第1認証において、時刻情報17が示す時点Pが第2期間T2に含まれる場合(ステップS2:P1≦P≦P2)、認証部16は、第1認証が成功したと判断し、第2認証に進む(ステップS4)。すなわち、正確な時刻情報と有効なサーバー証明書8を保持する場合には第1認証が成功し、サーバー証明書8が現時点で有効と判断されることになる。 (2) When the time information is within the valid period (second period T2) In the first authentication, when the time point P indicated by the time information 17 is included in the second period T2 (step S2: P1 ≦ P ≦ P2), the authentication The unit 16 determines that the first authentication is successful and proceeds to the second authentication (step S4). That is, when accurate time information and a valid server certificate 8 are held, the first authentication is successful, and the server certificate 8 is determined to be valid at the present time.

第2認証は、署名情報などの認証情報81の信頼性を検証する処理であり、例えば、認証情報81の改ざん検出などを行う。認証部16は、認証情報81に不審な点が検出されない場合、第2認証に成功したと判断する。第1認証および第2認証がいずれも成功すると、サーバー認証は成功とされる。あるいは、他の認証をさらに行い、それらも成功した場合にサーバー認証の成功としてもよい。認証部16は、第2認証が失敗すると(ステップS4:失敗)、サーバー認証を終了して待機状態に移行する(ステップS3)。一方、サーバー認証が成功し(ステップS4:成功)、且つ、認証サーバー7側で行われるクライアント認証が成功した場合、相互認証は成功となる(ステップS5)。この場合、プリンター1に対して外部ネットワーク4との接続サービスが開始される(ステップS6)。従って、プリンター1は、通信部11を介して、暗号化通信によって外部ネットワーク4上の機器と通信を行うことが可能になる。よって、プリンター1は、管理サーバー5から通信部11を介して印刷データなどを受信し、印刷を行うことが可能になる。   The second authentication is a process for verifying the reliability of the authentication information 81 such as signature information. For example, the authentication information 81 is falsified. If no suspicious point is detected in the authentication information 81, the authentication unit 16 determines that the second authentication is successful. When both the first authentication and the second authentication are successful, the server authentication is successful. Alternatively, the server authentication may be successful if other authentications are further performed and they are also successful. When the second authentication fails (step S4: failure), the authentication unit 16 ends the server authentication and shifts to a standby state (step S3). On the other hand, when the server authentication is successful (step S4: success) and the client authentication performed on the authentication server 7 side is successful, the mutual authentication is successful (step S5). In this case, a connection service with the external network 4 is started for the printer 1 (step S6). Accordingly, the printer 1 can communicate with devices on the external network 4 by encrypted communication via the communication unit 11. Therefore, the printer 1 can receive print data from the management server 5 via the communication unit 11 and perform printing.

通信部11は、外部ネットワーク4への接続サービスが開始されると、外部ネットワーク4上のNTPサーバー6に接続して、NTPサーバー6から正確な現在時刻の情報を取得して時刻情報17をこれに同期させる時刻更新処理を行う(ステップS7)。これにより、時刻管理部15で保持している時刻情報17が正しい現在時刻からずれていた場合に、その時間ずれが修正される。   When the connection service to the external network 4 is started, the communication unit 11 connects to the NTP server 6 on the external network 4, acquires accurate current time information from the NTP server 6, and obtains the time information 17. The time update process to synchronize with is performed (step S7). Thereby, when the time information 17 held in the time management unit 15 is deviated from the correct current time, the time deviation is corrected.

(3)時刻情報が有効期間より前(第3期間T3)の場合
第1認証において、時刻情報17が示す時点Pが第3期間T3に含まれる場合(ステップS2:P<P1)、時刻管理部15の時刻更新処理が適切に行われていないなどの理由で時刻情報17は古いままであるが、サーバー証明書8は有効期間82内である可能性がある。そこで、認証部16は、この場合には、予め設定した処理を行って相互認証を成功させることを試みる。具体的には、時刻情報17を予め設定した方法で変更する仮設定処理を行う(ステップS8)。仮設定処理は、時刻更新処理とは異なり、変更前の時刻情報17への復帰が可能な処理である。本形態では、仮設定処理として、有効期間82内の予め設定した時点(例えば、有効期間82の開始時点P1)を示す情報に、時刻情報17を変更する処理を行う。しかる後に、サーバー認証をリセットする(ステップS9)。すなわち、実行中のサーバー認証については中止して、新たなサーバー認証を再度開始する。これにより、ステップS9からステップS2に戻ることになる。 (3) When the time information is before the valid period (third period T3) In the first authentication, when the time point P indicated by the time information 17 is included in the third period T3 (step S2: P <P1), time management Although the time information 17 remains old because the time update process of the unit 15 is not properly performed, the server certificate 8 may be within the validity period 82. Therefore, in this case, the authentication unit 16 attempts to make the mutual authentication successful by performing a preset process. Specifically, a temporary setting process for changing the time information 17 by a preset method is performed (step S8). Unlike the time update process, the temporary setting process is a process that can return to the time information 17 before the change. In this embodiment, as the temporary setting process, a process of changing the time information 17 to information indicating a preset time point within the valid period 82 (for example, a start time point P1 of the valid period 82) is performed. Thereafter, the server authentication is reset (step S9). That is, the server authentication being executed is stopped and a new server authentication is started again. As a result, the process returns from step S9 to step S2.

仮設定処理の後、再度サーバー認証を第1認証から行うと、時刻情報17が有効期間82内の時点を示す情報に置き換えられているために、確実に第1認証が成功する。その結果、上述した第2認証が行われ(ステップS4)、これが成功してクライアント認証も成功すれば、相互認証が成功となり(ステップS5)、外部ネットワーク4への接続サービスが開始される(ステップS6)。そして、上述したように、NTPサーバー6に接続して正確な現在時刻の情報を取得して時刻更新処理を行う(ステップS7)。これにより、仮設定で変更されていた時刻情報17が、正しい現在時刻に更新される。   When server authentication is performed again from the first authentication after the temporary setting process, the first authentication is surely successful because the time information 17 is replaced with information indicating a point in time within the valid period 82. As a result, the second authentication described above is performed (step S4). If this is successful and the client authentication is also successful, the mutual authentication is successful (step S5) and the connection service to the external network 4 is started (step S5). S6). Then, as described above, it connects to the NTP server 6 to acquire accurate current time information and perform time update processing (step S7). As a result, the time information 17 that has been changed by the temporary setting is updated to the correct current time.

なお、仮設定処理によって相互認証が成功した場合には、外部ネットワーク4への接続サービスをNTPサーバー6への接続に限定することもできる。この場合には、外部ネットワーク4への接続後、直ちに時刻更新処理を行うのではなく、時刻情報17をNTPサーバー6から取得した現在時刻に再度仮設定して再度サーバー認証を行い、これが成功した場合にNTPサーバー6への接続に限定せずに外部ネットワーク4への接続サービスを開始し、時刻更新処理を行う。このようにすると、サーバー証明書8が有効であることをより確実に検証できる。よって、セキュリティを向上させることができる。   When mutual authentication is successful by the temporary setting process, the connection service to the external network 4 can be limited to the connection to the NTP server 6. In this case, the time update process is not performed immediately after connection to the external network 4, but the time information 17 is temporarily set again at the current time acquired from the NTP server 6 and the server authentication is performed again. In this case, the connection service to the external network 4 is started without being limited to the connection to the NTP server 6, and the time update process is performed. In this way, it can be verified more reliably that the server certificate 8 is valid. Therefore, security can be improved.

(本形態の主な作用効果)
以上のように、本形態のプリンター1が備える通信部11(通信装置)は、有効期間82が設定された電子証明書であるサーバー証明書8を記憶する記憶部14と、時刻情報17の保持およびその設定や更新を行う時刻管理部15と、外部ネットワーク4への接続時に、サーバー証明書8を審査するサーバー認証を行う認証部16を備える。認証部16は、サーバー認証において、通信部11が保持する時刻情報17が示す時点とサーバー証明書8の有効期間82との比較判定(第1認証/時刻検証/ステップS2)を行い、比較判定結果によって最適な処理を行う。すなわち、通信部11が持つ時刻情報17が有効期間82よりも後であって明らかに有効期限切れの場合には、その時点でサーバー証明書8を用いた外部ネットワーク4への接続を断念して無駄な処理を行わない。また、正しい時刻情報17と有効なサーバー証明書8を持つ場合は確実に第1認証(時刻検証)が成功する。そして、時刻情報17が有効期間82よりも前の場合には、何らかの理由で時刻情報17が古いとすれば、実際は有効期間82の範囲内かもしれないため、この点を考慮した処理(仮設定処理:ステップS8)を行って外部ネットワーク4への接続を試みることができる。 (Main effects of this embodiment)
As described above, the communication unit 11 (communication device) included in the printer 1 of this embodiment includes the storage unit 14 that stores the server certificate 8 that is an electronic certificate in which the validity period 82 is set, and holds the time information 17. And a time management unit 15 that performs setting and updating thereof, and an authentication unit 16 that performs server authentication for examining the server certificate 8 when connected to the external network 4. In the server authentication, the authentication unit 16 performs a comparison determination (first authentication / time verification / step S2) between the time point indicated by the time information 17 held by the communication unit 11 and the validity period 82 of the server certificate 8 to perform the comparison determination. The optimum process is performed according to the result. That is, when the time information 17 held by the communication unit 11 is later than the valid period 82 and clearly expires, the connection to the external network 4 using the server certificate 8 is abandoned at that time. Do not perform any processing. Further, when the correct time information 17 and the valid server certificate 8 are provided, the first authentication (time verification) is surely successful. If the time information 17 is before the valid period 82, if the time information 17 is old for some reason, it may actually be within the valid period 82. Processing: Step S8) can be performed to attempt connection to the external network 4.

このようにすると、通信部11が保持する時刻情報17とサーバー証明書8の有効期間82との整合性を従来よりも適正に、且つ、効率的に審査できる。よって、外部ネットワーク4との接続時のセキュリティ確保と、効率的なネットワーク接続の確立を両立できる。また、ユーザーが手動で時刻情報17を設定する必要がないため、ユーザーの負荷が増大することがなく、運用コストの増大を回避できる。   In this way, the consistency between the time information 17 held by the communication unit 11 and the validity period 82 of the server certificate 8 can be examined more appropriately and efficiently than before. Therefore, security can be ensured at the time of connection to the external network 4 and efficient network connection can be established. In addition, since it is not necessary for the user to manually set the time information 17, the load on the user is not increased, and an increase in operation cost can be avoided.

また、本形態では、第1認証において、何らかの理由で時刻情報17が古く、実際は有効期間82の範囲内である可能性があるときの処理として、有効期間82の範囲内の時刻を時刻情報17として仮設定する(ステップS8)。このようにすると、とりあえず第1認証(時刻検証)を確実に成功させて外部ネットワーク4への接続を試みることができる。従って、有効なサーバー証明書8を持っているにもかかわらず、内部時計を持たない、あるいは内部時計が何らかの理由で止まったことが理由で接続サービスが開始されないという不都合を回避でき、そのための運用コストの増大も回避できる。   Further, in the present embodiment, in the first authentication, as a process when the time information 17 is old for some reason and may actually be within the valid period 82, the time within the valid period 82 is converted to the time information 17. Is temporarily set as (step S8). In this case, the first authentication (time verification) can be surely succeeded for the time being and the connection to the external network 4 can be attempted. Therefore, it is possible to avoid the inconvenience that the connection service is not started because the internal clock has stopped for some reason even though it has a valid server certificate 8, and the operation for that purpose is avoided. An increase in cost can also be avoided.

また、本形態では、相互認証が成功して、サーバー証明書8を用いた外部ネットワーク4への接続サービスが開始されたとき、外部ネットワーク4上のNTPサーバー6から正しい時刻情報を取得して通信部11の時刻情報17をこれに同期させる時刻更新処理(ステップS7)を行う。これにより、時刻情報17を修正でき、以後のサーバー認証において、通信部11が持つ時刻情報17とサーバー証明書8の有効期間82との整合性を正しく検証できる。   In this embodiment, when mutual authentication is successful and a connection service to the external network 4 using the server certificate 8 is started, communication is performed by acquiring correct time information from the NTP server 6 on the external network 4. The time update process (step S7) which synchronizes the time information 17 of the part 11 with this is performed. As a result, the time information 17 can be corrected, and the consistency between the time information 17 of the communication unit 11 and the validity period 82 of the server certificate 8 can be correctly verified in subsequent server authentication.

(変形例)
上記形態では、通信部11は外部ネットワーク4上のNTPサーバー6に接続することで正しい現在時刻を取得しているが、外部ネットワーク4経由以外で正しい現在時刻を取得できる場合もありうる。そこで、時刻管理部15は、そのような方法で正しい現在時刻を取得できた場合は、その時点で時刻情報17を更新する処理を行う。外部ネットワーク4上の機器以外で正しい時刻情報の供給源となりうるのは、例えば、ローカルエリアネットワーク2内に存在する内部時計を有する装置である。従って、このような装置から、ローカルエリアネットワーク2経由で正しい現在時刻を取得することができる。 (Modification)
In the above embodiment, the communication unit 11 acquires the correct current time by connecting to the NTP server 6 on the external network 4, but there may be a case where the correct current time can be acquired other than via the external network 4. Therefore, when the correct current time can be acquired by such a method, the time management unit 15 performs a process of updating the time information 17 at that time. A device other than the devices on the external network 4 that can supply correct time information is, for example, a device having an internal clock that exists in the local area network 2. Therefore, the correct current time can be acquired from such a device via the local area network 2.

また、通信部11が、時刻情報を含む各種の電波情報、例えば、GPS情報、ビーコン、電波時計用の電波情報、携帯電話の基地局から供給される電波情報、デジタルテレビやFM多重放送の電波情報などを受信する受信部を備えており、これらの電波情報を受信できる環境で使用される場合は、これらの電波情報を適宜受信して現在時刻を抽出することができる。時刻管理部15は、これらの方法で正しい現在時刻を取得したときは、通信部11が保持する時刻情報17を更新する。時刻情報17が更新されれば、認証部16は、更新された時刻情報を用いてサーバー認証を行うことができる。従って、より正しく第1認証を行うことができ、より正確に、且つ、効率的にサーバー認証を行うことができる。   In addition, the communication unit 11 includes various types of radio wave information including time information, such as GPS information, beacons, radio wave information for radio clocks, radio wave information supplied from mobile phone base stations, radio waves for digital television and FM multiplex broadcasting. When a reception unit that receives information and the like is provided and used in an environment in which such radio wave information can be received, the current time can be extracted by appropriately receiving the radio wave information. The time management unit 15 updates the time information 17 held by the communication unit 11 when the correct current time is acquired by these methods. If the time information 17 is updated, the authentication unit 16 can perform server authentication using the updated time information. Therefore, the first authentication can be performed more correctly, and the server authentication can be performed more accurately and efficiently.

1…プリンター、2…ローカルエリアネットワーク、3…ルーター、4…外部ネットワーク(ネットワーク)、5…管理サーバー、6…NTPサーバー、7…認証サーバー、8…サーバー証明書、11…通信部(通信装置)、12…印刷部、13…制御部、14…記憶部、15…時刻管理部、16…認証部、17…時刻情報、81…認証情報、82…有効期間、P1…開始時点、P2…終了時点、T1…第1期間、T2…第2期間、T3…第3期間 DESCRIPTION OF SYMBOLS 1 ... Printer, 2 ... Local area network, 3 ... Router, 4 ... External network (network), 5 ... Management server, 6 ... NTP server, 7 ... Authentication server, 8 ... Server certificate, 11 ... Communication part (communication device) , 12 ... Printing section, 13 ... Control section, 14 ... Storage section, 15 ... Time management section, 16 ... Authentication section, 17 ... Time information, 81 ... Authentication information, 82 ... Valid period, P1 ... Start point, P2 ... End point, T1 ... 1st period, T2 ... 2nd period, T3 ... 3rd period

Claims (6)

サーバー証明書を用いたネットワークへの接続時に、有効期間が設定された前記サーバー証明書認証を行う通信装置の制御方法であって、
記認証において、前記通信装置が保持する時刻情報が示す時点が、前記有効期間の開始時点よりも前、前記有効期間の範囲内、前記有効期間の終了時点よりも後のいずれであるかを判定する第1認証ステップを実行し、
前記第1認証ステップの判定の結果、
前記時刻情報が示す時点が、前記有効期間の終了時点よりも後である場合には、前記サーバー証明書を用いた前記ネットワークへの接続を中止
前記時刻情報が示す時点が、前記有効期間の範囲内である場合には、前記サーバー証明書に含まれる他の認証情報を審査する第2認証ステップを実行し、
前記時刻情報が示す時点が、前記有効期間の開始時点よりも前である場合には、前記時刻情報を前記有効期間の範囲内の予め設定した時点を示す情報に仮設定し、再度前記第1認証ステップを実行することを特徴とする通信装置の制御方法。 When connecting to a network using a server certificate, a control method for a communication apparatus that performs authentication of the validity period is set the server certificate,
Before Ki認 card, point shown time information by the communication device is held is, prior to the beginning of the expiration time, the range of the validity period, whether it is a later than the end time of the validity period Performing a first authentication step for determining
As a result of the determination in the first authentication step,
Wherein the time information is the time indicated, when it is later than the end time of the validity period, stops the connection to the network using the server certificate,
Time indicated by the time information is, wherein when a range of the effective period, performs the second authentication step of judging the other authentication information contained in the server certificate,
Time indicated by the time information is, wherein when it is before the start of the validity period, temporarily sets the time information to the preset information indicating the time within the range of the effective period, again the first A control method for a communication apparatus, characterized in that an authentication step is executed . 前記ネットワークを介さずに現在時刻を示す情報を受信した場合には、前記時刻情報を受信した前記現在時刻に更新し、更新後の前記時刻情報を用いて、前記第1認証ステップを実行することを特徴とする請求項1に記載の通信装置の制御方法。 When receiving the information indicating the current time without going through the network, it updates the time information to the current time received, by using the time information after the update, executing the first authentication step The method for controlling a communication apparatus according to claim 1 . 前記サーバー証明書を用いた前記ネットワークへの接続が可能になった場合には、
前記時刻情報を、前記ネットワークを介して取得した現在時刻に更新する時刻更新ステップを実行することを特徴とする請求項1又は2に記載の通信装置の制御方法。 When connection to the network using the server certificate becomes possible,
The method of controlling a communication device according to claim 1 or 2 , wherein a time update step of updating the time information to a current time acquired via the network is executed. 前記時刻更新ステップは、前記時刻情報と前記現在時刻の時間差が予め設定した閾値以上であることを条件として、前記時刻情報を更新することを特徴とする請求項に記載の通信装置の制御方法。 The method of controlling a communication device according to claim 3 , wherein the time update step updates the time information on condition that a time difference between the time information and the current time is equal to or greater than a preset threshold value. . 時刻情報を保持する時刻管理部と、
サーバー証明書を用いたネットワークへの接続時に、有効期間が設定された前記サーバー証明書認証を行う認証部と、を有し、
前記認証部は、
記認証において、前記時刻管理部が保持する時刻情報が示す時点が、前記有効期間の開始時点よりも前、前記有効期間の範囲内、前記有効期間の終了時点よりも後のいずれであるかを判定する第1認証を行い、
前記第1認証の判定の結果、
前記時刻情報が示す時点が、前記有効期間の終了時点よりも後である場合には、前記サーバー証明書を用いた前記ネットワークへの接続を中止し、
前記時刻情報が示す時点が、前記有効期間の範囲内である場合には、前記サーバー証明書に含まれる他の認証情報を審査する第2認証を行い、
前記時刻情報が示す時点が、前記有効期間の開始時点よりも前である場合には、前記時刻情報を前記有効期間の範囲内の予め設定した時点を示す情報に仮設定し、再度前記第1認証を行うことを特徴とする通信装置。 A time management unit for holding time information;
When connecting to a network using a server certificate has an authentication unit for authenticating the validity period is set the server certificate,
The authentication unit
Before Ki認 card, when the time information the time management unit is held indicated, before the beginning of the expiration time, the range of the validity period, is either later than the end of the expiration time Perform first authentication to determine whether
As a result of the determination of the first authentication,
Wherein the time information is the time indicated, when it is later than the end time of the validity period, stops the connection to the network using the server certificate,
Time indicated by the time information is, if it is within the scope of the validity period, performing a second authentication to review other authentication information contained in the server certificate,
Time indicated by the time information is, wherein when it is before the start of the validity period, temporarily sets the time information to the preset information indicating the time within the range of the effective period, again the first A communication device that performs authentication . 請求項に記載の通信装置と、
前記通信装置を経由して受信したデータを印刷媒体に印刷する印刷部と、を有することを特徴とするプリンター。 A communication device according to claim 5 ;
A printer that prints data received via the communication device on a print medium.
JP2014087983A 2014-04-22 2014-04-22 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PRINTER Expired - Fee Related JP6277846B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014087983A JP6277846B2 (en) 2014-04-22 2014-04-22 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PRINTER

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014087983A JP6277846B2 (en) 2014-04-22 2014-04-22 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PRINTER

Publications (3)

Publication Number Publication Date
JP2015207925A JP2015207925A (en) 2015-11-19
JP2015207925A5 JP2015207925A5 (en) 2017-04-13
JP6277846B2 true JP6277846B2 (en) 2018-02-14

Family

ID=54604425

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014087983A Expired - Fee Related JP6277846B2 (en) 2014-04-22 2014-04-22 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PRINTER

Country Status (1)

Country Link
JP (1) JP6277846B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6459642B2 (en) * 2014-05-19 2019-01-30 セイコーエプソン株式会社 Printer control method and printer

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005352940A (en) * 2004-06-14 2005-12-22 Matsushita Electric Ind Co Ltd Network terminal and program therefor
JP2006005613A (en) * 2004-06-17 2006-01-05 Secom Trust Net Co Ltd Authentication system
JP4788141B2 (en) * 2005-01-12 2011-10-05 パナソニック株式会社 Information display system
JP5332701B2 (en) * 2009-02-18 2013-11-06 沖電気工業株式会社 Wireless communication device and wireless communication device authentication method
JP5704322B2 (en) * 2011-03-10 2015-04-22 セイコーエプソン株式会社 Image generating apparatus, projector and image generating method

Also Published As

Publication number Publication date
JP2015207925A (en) 2015-11-19

Similar Documents

Publication Publication Date Title
US20170353320A1 (en) Obtaining and using time information on a secure element (se)
US7849314B2 (en) Method and system for secure authentication in a wireless network
CN108521333B (en) Login method and system for off-line authentication based on dynamic password
US8479001B2 (en) Self-authentication communication device and device authentication system
US8943310B2 (en) System and method for obtaining a digital certificate for an endpoint
US20170250826A1 (en) Obtaining and using time information on a secure element (se)
US9232400B2 (en) Restricted certificate enrollment for unknown devices in hotspot networks
US9867042B2 (en) Radio frequency identification technology incorporating cryptographics
CN107784223B (en) Computer arrangement for transmitting a certificate to an instrument in a device
US8474020B2 (en) User authentication method, wireless communication apparatus, base station, and account management apparatus
US8447977B2 (en) Authenticating a device with a server over a network
US20180198631A1 (en) Obtaining and using time information on a secure element (se)
US8312263B2 (en) System and method for installing trust anchors in an endpoint
US9137021B2 (en) Image forming apparatus, secure network system, method for controlling image forming apparatus, and method for updating certificate information
JP6459642B2 (en) Printer control method and printer
US8707025B2 (en) Communication apparatus mediating communication between instruments
JP5475035B2 (en) Authentication authority transfer system, information terminal, token issuing authority, service providing apparatus, authentication authority transfer method, and program
US9280645B1 (en) Local and remote verification
US10075428B2 (en) Time check method and base station
JP2018174507A (en) Communication device
JP6277846B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PRINTER
JP4787730B2 (en) Wireless LAN terminal and wireless LAN system
JP6647259B2 (en) Certificate management device
JP2015170220A (en) Equipment authentication method and equipment authentication system
JP4018584B2 (en) Wireless connection device authentication method and wireless connection device

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160617

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20160628

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170307

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170307

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180101

R150 Certificate of patent or registration of utility model

Ref document number: 6277846

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees