JPWO2007094035A1 - 機器、検証サーバ、情報処理サーバ、機器登録サーバ、及び情報処理方法 - Google Patents
機器、検証サーバ、情報処理サーバ、機器登録サーバ、及び情報処理方法 Download PDFInfo
- Publication number
- JPWO2007094035A1 JPWO2007094035A1 JP2008500352A JP2008500352A JPWO2007094035A1 JP WO2007094035 A1 JPWO2007094035 A1 JP WO2007094035A1 JP 2008500352 A JP2008500352 A JP 2008500352A JP 2008500352 A JP2008500352 A JP 2008500352A JP WO2007094035 A1 JPWO2007094035 A1 JP WO2007094035A1
- Authority
- JP
- Japan
- Prior art keywords
- server
- public key
- verification
- information processing
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
ネットワークを介した機器の接続を自動化することを目的とする。機器7は耐タンパ構造を有する耐タンパ部を備えており、出荷前に耐タンパ部内で機器秘密鍵と機器公開鍵のペアを生成する。CA3は、これに対し機器公開鍵証明書を作成する。機器登録サーバ6は、機器公開鍵証明書と検証サーバ5に接続するための検証サーバ接続情報を機器7に送出し、機器7はこれらを耐タンパ部に記憶する。機器7がネットワークに接続されると、機器7は、検証サーバ接続情報を用いて検証サーバ5に接続し、機器秘密鍵でデジタル署名された検証要求情報を送信する。検証サーバ5は、予め機器登録サーバ6から提供されている機器公開鍵を用いて検証要求情報のデジタル署名を確認し、これによって、機器7が正統なものであることを検証する。そして、検証サーバ5はこれを顧客サーバ4に通知する。
Description
本発明は、機器、検証サーバ、情報処理サーバ、機器登録サーバ、及び情報処理方法に関し、例えば、機器を情報処理サーバに接続する際に、検証サーバで機器の正統性を検証するものに関する。
従来から、ガスメータや水道メータなどの計測値は、検針作業者がユーザ宅を一軒ずつ訪問して計測していた。
これに対し、近年のネットワーク技術の進展により、計測機器と計測値を収集するサーバとをネットワーク接続し、計測値をネットワーク経由で自動収集するものも用いられるようになってきた。
計測機器をネットワークに接続して設置する場合、この計測機器が正統なものであることを確認するために機器認証を行っている。
このように一般に電子機器の認証を行う技術として次の電子機器、認証局、電子機器認証システム、電子機器の認証方法がある。
特開2003−298574公報
これに対し、近年のネットワーク技術の進展により、計測機器と計測値を収集するサーバとをネットワーク接続し、計測値をネットワーク経由で自動収集するものも用いられるようになってきた。
計測機器をネットワークに接続して設置する場合、この計測機器が正統なものであることを確認するために機器認証を行っている。
このように一般に電子機器の認証を行う技術として次の電子機器、認証局、電子機器認証システム、電子機器の認証方法がある。
この技術は、公開鍵と秘密鍵のペア(対)を用いる所謂PKI(Public Key Infrastructure)の技術を用いて電子機器の認証を行うものである。
ところで、計測機器をネットワークに接続する場合、ネットワーク環境が様々であるため、専門知識を有する技術者が現地まで赴き計測機器を1台ずつ設置していた。
また、秘密情報を記憶したICカードを機器に装着して機器認証させるなど、機器認証作業も専門知識を有する技術者が行う必要があった。
また、秘密情報を記憶したICカードを機器に装着して機器認証させるなど、機器認証作業も専門知識を有する技術者が行う必要があった。
そこで、本発明の目的は、ネットワークを介した機器の接続を自動化することである。
本発明は、前記目的を達成するために、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する機器であって、秘密鍵と公開鍵の対を生成する非対称暗号鍵生成手段と、前記生成した秘密鍵を記憶する秘密鍵記憶手段と、前記生成した公開鍵を提供する公開鍵提供手段と、前記検証サーバに接続するための検証サーバ接続情報が予め記憶された検証サーバ接続情報記憶手段と、前記記憶した検証サーバ接続情報を用いて前記検証サーバに接続する検証サーバ接続手段と、前記記憶した秘密鍵を用いて所定の情報を署名し、当該署名した署名情報を前記接続した検証サーバに送信する署名情報送信手段と、前記情報処理サーバと接続する情報処理サーバ接続手段と、を具備したことを特徴とする機器を提供する(第1の構成)。
第1の構成において、前記情報処理サーバ接続手段は、前記検証サーバ接続手段で前記検証サーバに接続した際に、前記検証サーバから前記情報処理サーバへの接続情報を取得し、当該取得した情報処理サーバへの接続情報を用いて前記情報処理サーバと接続するように構成することもできる(第2の構成)。
第1の構成において、前記情報処理サーバ接続手段は、前記情報処理サーバからの接続要求を受けることにより前記情報処理サーバと接続するように構成することもできる(第3の構成)。
第1の構成、第2の構成、又は第3の構成において、前記非対称暗号鍵生成手段と前記秘密鍵記憶手段は、耐タンパ性を有する耐タンパモジュール内に形成されており、前記耐タンパモジュールは、外部から前記秘密鍵へのアクセスを防止するように構成することもできる(第4の構成)。
第1の構成から第4の構成までのうちの何れか1の構成において、ネットワークに設置された際に、前記ネットワークを介して当該機器に接続するための接続情報を取得する接続情報取得手段と、前記取得した接続情報を前記検証サーバに送信する接続情報送信手段と、を具備するように構成することもできる(第5の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する検証サーバであって、前記機器の秘密鍵と対を成す公開鍵を取得し、前記機器と対応づけて記憶する公開鍵記憶手段と、前記機器の検証結果を送信する情報処理サーバと前記機器を対応づけて記憶する情報処理サーバ機器対応記憶手段と、前記機器から前記秘密鍵で署名された署名情報を受信する署名情報受信手段と、前記公開鍵記憶手段で当該機器と対応づけた公開鍵を取得する公開鍵取得手段と、前記取得した公開鍵を用いて、前記受信した署名情報の正統性を確認することにより前記機器の正統性を検証する検証手段と、前記情報処理サーバ機器対応記憶手段で、当該機器に対応づけられている情報処理サーバに前記検証手段による検証結果を送信する検証結果送信手段と、を具備したことを特徴とする検証サーバを提供する(第6の構成)。
第6の構成において、前記機器から、当該機器に接続するための接続情報を受信する接続情報受信手段と、前記受信した接続情報を、当該機器に対応づけられている情報処理サーバに送信する接続情報送信手段と、を具備するように構成することもできる(第7の構成)。
第6の構成、又は第7の構成において、機器の正統性を検証する際に、機器が有効であるか失効であるかの有効性を記憶した失効状態記憶手段から、当該機器の有効性を取得する有効性検証手段を具備し、前記取得した有効性が失効である場合に、前記検証結果の送信を行わないように構成することもできる(第8の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する情報処理サーバであって、前記検証サーバから、前記機器の検証結果を受信する検証結果受信手段と、前記受信した検証結果が前記機器の正統性を認めるものであった場合に前記機器に接続する接続手段と、を具備したことを特徴とする情報処理サーバを提供する(第9の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、前記公開鍵の公開鍵証明書を作成する公開鍵証明サーバと、前記検証サーバで検証対象となる機器を前記検証サーバに登録する機器登録サーバと、を用いて構成された情報処理システムで使用する機器登録サーバであって、前記機器から公開鍵を取得する公開鍵取得手段と、前記取得した公開鍵を前記公開鍵証明サーバに送信して公開鍵証明書の発行を要求する公開鍵証明書発行要求手段と、前記公開鍵証明サーバから発行された公開鍵証明書を前記検証サーバに送信する公開鍵証明書送信手段と、を具備したことを特徴とする機器登録サーバを提供する(第10の構成)。
第10の構成において、前記検証サーバに接続するための検証サーバ接続情報を前記機器に送信するように構成することもできる(第11の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する機器で行う情報処理であって、前記機器は、非対称暗号鍵生成手段と、秘密鍵記憶手段と、公開鍵提供手段と、前記検証サーバに接続するための検証サーバ接続情報が予め記憶された検証サーバ接続情報記憶手段と、検証サーバ接続手段と、検証情報送信手段と、情報処理サーバ接続手段と、を備えており、前記非対称暗号鍵生成手段によって、秘密鍵と公開鍵の対を生成する非対称暗号鍵生成ステップと、前記秘密鍵記憶手段によって、前記生成した秘密鍵を記憶する秘密鍵記憶ステップと、前記公開鍵提供手段によって、前記生成した公開鍵を提供する公開鍵提供ステップと、前記検証サーバ接続手段によって、前記検証サーバ接続情報記憶手段で記憶した検証サーバ接続情報を用いて前記検証サーバに接続する検証サーバ接続ステップと、前記署名情報送信手段によって、前記秘密鍵を用いて所定の情報を署名し、当該署名した署名情報を前記接続した検証サーバに送信する署名情報送信ステップと、前記情報処理サーバ接続手段によって、前記情報処理サーバと接続する情報処理サーバ接続ステップと、から構成されたことを特徴とする情報処理方法を提供する(第12の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する検証サーバで行う情報処理方法であって、前記検証サーバは、公開鍵記憶手段と、情報処理サーバ機器対応記憶手段と、署名情報受信手段と、公開鍵取得手段と、検証手段と、検証結果送信手段と、を備え、前記公開鍵記憶手段によって、前記機器の秘密鍵と対を成す公開鍵を取得し、前記機器と対応づけて記憶する公開鍵記憶ステップと、前記情報処理サーバ機器対応記憶手段によって、前記機器の検証結果を送信する情報処理サーバと前記機器を対応づけて記憶する情報処理サーバ機器対応記憶ステップと、前記署名情報受信手段によって、前記機器から前記秘密鍵で署名された署名情報を受信する署名情報受信ステップと、前記公開鍵取得手段によって、前記公開鍵記憶手段で当該機器と対応づけた公開鍵を取得する公開鍵取得ステップと、前記検証手段によって、前記取得した公開鍵を用いて、前記受信した署名情報の正統性を確認することにより前記機器の正統性を検証する検証ステップと、前記検証結果送信手段によって、前記情報処理サーバ機器対応記憶手段で、当該機器に対応づけられている情報処理サーバに前記検証手段による検証結果を送信する検証結果送信ステップと、から構成されたことを特徴とする情報処理方法を提供する(第13の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する情報処理サーバで行う情報処理方法であって、前記情報処理サーバは、検証結果受信手段と、接続手段と、を備え、前記検証結果受信手段によって、前記検証サーバから、前記機器の検証結果を受信する検証結果受信ステップと、前記接続手段によって、前記受信した検証結果が前記機器の正統性を認めるものであった場合に前記機器に接続する接続ステップと、から構成されたことを特徴とする情報処理方法を提供する(第14の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、前記公開鍵の公開鍵証明書を作成する公開鍵証明サーバと、前記検証サーバで検証対象となる機器を前記検証サーバに登録する機器登録サーバと、を用いて構成された情報処理システムで使用する機器登録サーバで行う情報処理方法であって、前記機器登録サーバは、公開鍵取得手段と、公開鍵証明書発行要求手段と、公開鍵証明書送信手段と、を備え、前記公開鍵取得手段によって、前記機器から公開鍵を取得する公開鍵取得ステップと、前記公開鍵証明書発行要求手段によって、前記取得した公開鍵を前記公開鍵証明サーバに送信して公開鍵証明書の発行を要求する公開鍵証明書発行要求ステップと、前記公開鍵証明書送信手段によって、前記公開鍵証明サーバから発行された公開鍵証明書を前記検証サーバに送信する公開鍵証明書送信ステップと、から構成されたことを特徴とする情報処理方法を提供する(第15の構成)。
第1の構成において、前記情報処理サーバ接続手段は、前記検証サーバ接続手段で前記検証サーバに接続した際に、前記検証サーバから前記情報処理サーバへの接続情報を取得し、当該取得した情報処理サーバへの接続情報を用いて前記情報処理サーバと接続するように構成することもできる(第2の構成)。
第1の構成において、前記情報処理サーバ接続手段は、前記情報処理サーバからの接続要求を受けることにより前記情報処理サーバと接続するように構成することもできる(第3の構成)。
第1の構成、第2の構成、又は第3の構成において、前記非対称暗号鍵生成手段と前記秘密鍵記憶手段は、耐タンパ性を有する耐タンパモジュール内に形成されており、前記耐タンパモジュールは、外部から前記秘密鍵へのアクセスを防止するように構成することもできる(第4の構成)。
第1の構成から第4の構成までのうちの何れか1の構成において、ネットワークに設置された際に、前記ネットワークを介して当該機器に接続するための接続情報を取得する接続情報取得手段と、前記取得した接続情報を前記検証サーバに送信する接続情報送信手段と、を具備するように構成することもできる(第5の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する検証サーバであって、前記機器の秘密鍵と対を成す公開鍵を取得し、前記機器と対応づけて記憶する公開鍵記憶手段と、前記機器の検証結果を送信する情報処理サーバと前記機器を対応づけて記憶する情報処理サーバ機器対応記憶手段と、前記機器から前記秘密鍵で署名された署名情報を受信する署名情報受信手段と、前記公開鍵記憶手段で当該機器と対応づけた公開鍵を取得する公開鍵取得手段と、前記取得した公開鍵を用いて、前記受信した署名情報の正統性を確認することにより前記機器の正統性を検証する検証手段と、前記情報処理サーバ機器対応記憶手段で、当該機器に対応づけられている情報処理サーバに前記検証手段による検証結果を送信する検証結果送信手段と、を具備したことを特徴とする検証サーバを提供する(第6の構成)。
第6の構成において、前記機器から、当該機器に接続するための接続情報を受信する接続情報受信手段と、前記受信した接続情報を、当該機器に対応づけられている情報処理サーバに送信する接続情報送信手段と、を具備するように構成することもできる(第7の構成)。
第6の構成、又は第7の構成において、機器の正統性を検証する際に、機器が有効であるか失効であるかの有効性を記憶した失効状態記憶手段から、当該機器の有効性を取得する有効性検証手段を具備し、前記取得した有効性が失効である場合に、前記検証結果の送信を行わないように構成することもできる(第8の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する情報処理サーバであって、前記検証サーバから、前記機器の検証結果を受信する検証結果受信手段と、前記受信した検証結果が前記機器の正統性を認めるものであった場合に前記機器に接続する接続手段と、を具備したことを特徴とする情報処理サーバを提供する(第9の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、前記公開鍵の公開鍵証明書を作成する公開鍵証明サーバと、前記検証サーバで検証対象となる機器を前記検証サーバに登録する機器登録サーバと、を用いて構成された情報処理システムで使用する機器登録サーバであって、前記機器から公開鍵を取得する公開鍵取得手段と、前記取得した公開鍵を前記公開鍵証明サーバに送信して公開鍵証明書の発行を要求する公開鍵証明書発行要求手段と、前記公開鍵証明サーバから発行された公開鍵証明書を前記検証サーバに送信する公開鍵証明書送信手段と、を具備したことを特徴とする機器登録サーバを提供する(第10の構成)。
第10の構成において、前記検証サーバに接続するための検証サーバ接続情報を前記機器に送信するように構成することもできる(第11の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する機器で行う情報処理であって、前記機器は、非対称暗号鍵生成手段と、秘密鍵記憶手段と、公開鍵提供手段と、前記検証サーバに接続するための検証サーバ接続情報が予め記憶された検証サーバ接続情報記憶手段と、検証サーバ接続手段と、検証情報送信手段と、情報処理サーバ接続手段と、を備えており、前記非対称暗号鍵生成手段によって、秘密鍵と公開鍵の対を生成する非対称暗号鍵生成ステップと、前記秘密鍵記憶手段によって、前記生成した秘密鍵を記憶する秘密鍵記憶ステップと、前記公開鍵提供手段によって、前記生成した公開鍵を提供する公開鍵提供ステップと、前記検証サーバ接続手段によって、前記検証サーバ接続情報記憶手段で記憶した検証サーバ接続情報を用いて前記検証サーバに接続する検証サーバ接続ステップと、前記署名情報送信手段によって、前記秘密鍵を用いて所定の情報を署名し、当該署名した署名情報を前記接続した検証サーバに送信する署名情報送信ステップと、前記情報処理サーバ接続手段によって、前記情報処理サーバと接続する情報処理サーバ接続ステップと、から構成されたことを特徴とする情報処理方法を提供する(第12の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する検証サーバで行う情報処理方法であって、前記検証サーバは、公開鍵記憶手段と、情報処理サーバ機器対応記憶手段と、署名情報受信手段と、公開鍵取得手段と、検証手段と、検証結果送信手段と、を備え、前記公開鍵記憶手段によって、前記機器の秘密鍵と対を成す公開鍵を取得し、前記機器と対応づけて記憶する公開鍵記憶ステップと、前記情報処理サーバ機器対応記憶手段によって、前記機器の検証結果を送信する情報処理サーバと前記機器を対応づけて記憶する情報処理サーバ機器対応記憶ステップと、前記署名情報受信手段によって、前記機器から前記秘密鍵で署名された署名情報を受信する署名情報受信ステップと、前記公開鍵取得手段によって、前記公開鍵記憶手段で当該機器と対応づけた公開鍵を取得する公開鍵取得ステップと、前記検証手段によって、前記取得した公開鍵を用いて、前記受信した署名情報の正統性を確認することにより前記機器の正統性を検証する検証ステップと、前記検証結果送信手段によって、前記情報処理サーバ機器対応記憶手段で、当該機器に対応づけられている情報処理サーバに前記検証手段による検証結果を送信する検証結果送信ステップと、から構成されたことを特徴とする情報処理方法を提供する(第13の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する情報処理サーバで行う情報処理方法であって、前記情報処理サーバは、検証結果受信手段と、接続手段と、を備え、前記検証結果受信手段によって、前記検証サーバから、前記機器の検証結果を受信する検証結果受信ステップと、前記接続手段によって、前記受信した検証結果が前記機器の正統性を認めるものであった場合に前記機器に接続する接続ステップと、から構成されたことを特徴とする情報処理方法を提供する(第14の構成)。
また、本発明は、秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、前記公開鍵の公開鍵証明書を作成する公開鍵証明サーバと、前記検証サーバで検証対象となる機器を前記検証サーバに登録する機器登録サーバと、を用いて構成された情報処理システムで使用する機器登録サーバで行う情報処理方法であって、前記機器登録サーバは、公開鍵取得手段と、公開鍵証明書発行要求手段と、公開鍵証明書送信手段と、を備え、前記公開鍵取得手段によって、前記機器から公開鍵を取得する公開鍵取得ステップと、前記公開鍵証明書発行要求手段によって、前記取得した公開鍵を前記公開鍵証明サーバに送信して公開鍵証明書の発行を要求する公開鍵証明書発行要求ステップと、前記公開鍵証明書送信手段によって、前記公開鍵証明サーバから発行された公開鍵証明書を前記検証サーバに送信する公開鍵証明書送信ステップと、から構成されたことを特徴とする情報処理方法を提供する(第15の構成)。
本発明によれば、検証サーバで機器の正統性を検証することにより、ネットワークを介した機器の接続を自動化することができる。
(1)実施の形態の概要
機器登録サーバ6は機器7の生産時などに、機器固有情報(機器IDなど)が登録されている。
機器7(図5)は耐タンパ構造を有する耐タンパ部を備えており、出荷前に耐タンパ部内で機器秘密鍵と機器公開鍵のペアを生成する。機器登録サーバ6は機器7から入手した機器公開鍵をCA3に送出し、CA3は、これをCA秘密鍵を用いてデジタル署名することにより機器公開鍵証明書を作成する。
機器登録サーバ6はCA3より機器公開鍵証明書を入手し、機器公開鍵証明書と検証サーバ5に接続するための検証サーバ接続情報を機器7に送出し、機器7はこれらを耐タンパ部に記憶する。この後機器7は顧客に出荷される。
機器登録サーバ6は機器7の生産時などに、機器固有情報(機器IDなど)が登録されている。
機器7(図5)は耐タンパ構造を有する耐タンパ部を備えており、出荷前に耐タンパ部内で機器秘密鍵と機器公開鍵のペアを生成する。機器登録サーバ6は機器7から入手した機器公開鍵をCA3に送出し、CA3は、これをCA秘密鍵を用いてデジタル署名することにより機器公開鍵証明書を作成する。
機器登録サーバ6はCA3より機器公開鍵証明書を入手し、機器公開鍵証明書と検証サーバ5に接続するための検証サーバ接続情報を機器7に送出し、機器7はこれらを耐タンパ部に記憶する。この後機器7は顧客に出荷される。
機器7がネットワークに接続されると、機器7は、検証サーバ接続情報を用いて検証サーバ5に接続し、機器秘密鍵でデジタル署名された検証要求情報を送信する。
検証サーバ5は、予めCA3から提供されている機器公開鍵を用いて検証要求情報のデジタル署名の正統性を確認し、これによって、機器7が正統なものであることを検証する。
即ち、デジタル署名の正統性を確認することにより機器7が機器秘密鍵を記憶していることを確認することができ、機器秘密鍵を記憶しているのは機器7だけであるので、機器7が正統品であることを確認することができる。
検証サーバ5は、予めCA3から提供されている機器公開鍵を用いて検証要求情報のデジタル署名の正統性を確認し、これによって、機器7が正統なものであることを検証する。
即ち、デジタル署名の正統性を確認することにより機器7が機器秘密鍵を記憶していることを確認することができ、機器秘密鍵を記憶しているのは機器7だけであるので、機器7が正統品であることを確認することができる。
そして、機器7が、正統品として検証された場合、検証サーバ5はこれを顧客サーバ4に通知する。顧客サーバ4は、検証サーバ5より機器7が正統品であるとの検証結果を受け、機器7と通信を行う。
顧客サーバ4は、機器7に顧客サーバ接続情報と顧客サーバ公開鍵を通知し、機器7は、顧客サーバ公開鍵を用いて情報を暗号化し、顧客サーバ4に接続してこれを送信することができる。
顧客サーバ4は、機器7に顧客サーバ接続情報と顧客サーバ公開鍵を通知し、機器7は、顧客サーバ公開鍵を用いて情報を暗号化し、顧客サーバ4に接続してこれを送信することができる。
このように、本実施の形態では、予め検証サーバ5の接続情報を機器7に記憶させておくため、どのようなネットワーク環境に置かれたとしても機器7は検証サーバ5にアクセスすることができる。
そして、検証サーバ5は、機器7が機器秘密鍵を記憶していることを確認することにより機器7の正統性を検証し、顧客サーバ4は検証サーバ5から通知により、機器7が正統品であることを確認することができる。
そして、検証サーバ5は、機器7が機器秘密鍵を記憶していることを確認することにより機器7の正統性を検証し、顧客サーバ4は検証サーバ5から通知により、機器7が正統品であることを確認することができる。
(2)実施の形態の詳細
図1は、本実施の形態に係る情報処理システムのネットワーク構成の一例を示したブロック図である。
情報処理システム1は、CA3、3、検証サーバ5、顧客サーバ4、4、機器登録サーバ6、機器7、7、7、・・・、基地局8などがネットワーク10を介して接続可能に配置されており、CA3、3の上位には親CA2が設けられている。
以後、CA3、3、顧客サーバ4、4、機器7、7、・・・など複数存在するものに関しては、特に区別しない場合は単にCA3、顧客サーバ4、機器7と記すことにする。
図1は、本実施の形態に係る情報処理システムのネットワーク構成の一例を示したブロック図である。
情報処理システム1は、CA3、3、検証サーバ5、顧客サーバ4、4、機器登録サーバ6、機器7、7、7、・・・、基地局8などがネットワーク10を介して接続可能に配置されており、CA3、3の上位には親CA2が設けられている。
以後、CA3、3、顧客サーバ4、4、機器7、7、・・・など複数存在するものに関しては、特に区別しない場合は単にCA3、顧客サーバ4、機器7と記すことにする。
親CA2とCA3は、何れも公開鍵証明書を作成する認証局の認証サーバであり、親CA2が発行するルート証明書によりCA3のCA公開鍵の正統性を証明する証明書信頼チェーンを構成している。
情報処理システム1で複数のCA3を設けたのは、機器7が大量に流通するため、これを例えば、製造ロットごと、あるいは機器7を使用する顧客ごとなどに区分してCA3に割り当てることができるようにするためである。
このように、証明書信頼チェーンを用いるのは事業の便宜のためであり、単一のCAによって全ての機器7を取り扱うように構成してもよい。
情報処理システム1で複数のCA3を設けたのは、機器7が大量に流通するため、これを例えば、製造ロットごと、あるいは機器7を使用する顧客ごとなどに区分してCA3に割り当てることができるようにするためである。
このように、証明書信頼チェーンを用いるのは事業の便宜のためであり、単一のCAによって全ての機器7を取り扱うように構成してもよい。
CA3の公開鍵を証明するCA公開鍵証明書の正統性は、親CA2の発行するルート証明書により確認される。
より詳細には、CA3のCA公開鍵は、親CA2の親CA秘密鍵によりデジタル署名されており、このデジタル署名の正統性を親CA公開鍵で検証することによりCA公開鍵の正統性を確認することができる。
CA公開鍵証明書やルート証明書は、安全な方法により予め顧客サーバ4、検証サーバ5、機器7などに提供されている。
より詳細には、CA3のCA公開鍵は、親CA2の親CA秘密鍵によりデジタル署名されており、このデジタル署名の正統性を親CA公開鍵で検証することによりCA公開鍵の正統性を確認することができる。
CA公開鍵証明書やルート証明書は、安全な方法により予め顧客サーバ4、検証サーバ5、機器7などに提供されている。
顧客サーバ4は、機器7を利用して測定を行う顧客が運用する情報処理サーバである。なお、機器7の販売者側から見て機器7のユーザは販売者の顧客であるためユーザを顧客と呼んでいる。
顧客サーバ4は、A社が運用するものやB社が運用するものなど、顧客がそれぞれ運用している。
機器7は、例えば、ガスメータなどの計測装置であり、顧客サーバ4は、ネットワーク10を介してこれら機器7から計測値を収集する。収集された計測値によりガス料金などが計算される。
顧客サーバ4は、A社が運用するものやB社が運用するものなど、顧客がそれぞれ運用している。
機器7は、例えば、ガスメータなどの計測装置であり、顧客サーバ4は、ネットワーク10を介してこれら機器7から計測値を収集する。収集された計測値によりガス料金などが計算される。
機器7は、ネットワーク10に接続可能に設置された計測機器などであり、ガスメータなどの固定式のもののほか、移動式のものを用いることもできる。
機器7は、例えば、A社の機器7はA社の顧客サーバ4に接続し、B社の機器7はB社の顧客サーバ4に接続するというように、所有者に対応した顧客サーバ4に接続して計測値などの情報を顧客サーバ4に送信する。
機器7は、有線のほか、無線によってネットワーク10に接続することも可能であり、この場合は、基地局8を介してネットワーク10に接続するようになっている。
機器7は、例えば、A社の機器7はA社の顧客サーバ4に接続し、B社の機器7はB社の顧客サーバ4に接続するというように、所有者に対応した顧客サーバ4に接続して計測値などの情報を顧客サーバ4に送信する。
機器7は、有線のほか、無線によってネットワーク10に接続することも可能であり、この場合は、基地局8を介してネットワーク10に接続するようになっている。
検証サーバ5は、機器7をネットワーク10に設置して顧客サーバ4に接続する際に、機器7の正統性を検証し、なりすましなどの機器7の不正使用を防ぐためのサーバである。
検証サーバ5で機器7が正統品であることが検証された後、顧客サーバ4は機器7と接続する。
検証サーバ5で機器7が正統品であることが検証された後、顧客サーバ4は機器7と接続する。
機器登録サーバ6は、機器7が機器公開鍵証明書などをCA3に発行してもらうに際して機器7とCA3との仲介を行うと共に、機器7を検証サーバ5に登録するサーバである。
なお、機器登録サーバ6は、機器登録サーバ秘密鍵を記憶しており、検証サーバ5は、この秘密鍵に対応する機器登録サーバ公開鍵を記憶している。
そして、機器登録サーバ6は、機器7を機器登録するための登録要求情報を検証サーバ公開鍵で暗号化して検証サーバ5に送信し、検証サーバ5は、これを検証サーバ秘密鍵で復号化するようになっている。
検証サーバ5は、登録要求情報が登録サーバ秘密鍵でデジタル署名することにより、この情報が確かに機器登録サーバ6から送信されたものであることを確認することができる。
なお、機器登録サーバ6は、機器登録サーバ秘密鍵を記憶しており、検証サーバ5は、この秘密鍵に対応する機器登録サーバ公開鍵を記憶している。
そして、機器登録サーバ6は、機器7を機器登録するための登録要求情報を検証サーバ公開鍵で暗号化して検証サーバ5に送信し、検証サーバ5は、これを検証サーバ秘密鍵で復号化するようになっている。
検証サーバ5は、登録要求情報が登録サーバ秘密鍵でデジタル署名することにより、この情報が確かに機器登録サーバ6から送信されたものであることを確認することができる。
以上のように構成された情報処理システム1において、親CA2、CA3、検証サーバ5、及び機器登録サーバ6は、機器7の製造事業者や販売事業者などの販売側事業者によって運用されており、顧客サーバ4は、機器7を購入した顧客によって運用されている。
販売側事業者は機器7の製造番号や機器7の納入先の顧客などに関する情報を有しているため、親CA2、CA3、検証サーバ5、機器登録サーバ6を運用して顧客に機器検証サービスを提供するのに適した立場にある。
販売側事業者は機器7の製造番号や機器7の納入先の顧客などに関する情報を有しているため、親CA2、CA3、検証サーバ5、機器登録サーバ6を運用して顧客に機器検証サービスを提供するのに適した立場にある。
また、機器7、検証サーバ5、機器登録サーバ6、顧客サーバ4などがネットワーク10を介して形成する通信経路はSSL(Secure Sockets Layer)などの技術を用いて暗号化されており、情報処理システム1のセキュリティが高められている。
次に、図2を用いて機器7のハードウェア的な構成について説明する。
機器7は、大きく分けて耐タンパ部20と計測部35がバスラインによって接続されて構成されている。
耐タンパ部20は、機器認証などセキュリティに関わる情報処理を行う機能部であり、例えば、耐タンパ仕様の集積回路を収納したICチップによって構成された耐タンパモジュールである。
機器7は、大きく分けて耐タンパ部20と計測部35がバスラインによって接続されて構成されている。
耐タンパ部20は、機器認証などセキュリティに関わる情報処理を行う機能部であり、例えば、耐タンパ仕様の集積回路を収納したICチップによって構成された耐タンパモジュールである。
耐タンパ仕様とは、例えば、内部構造を解析しようとすると自動的に内部構造を破壊するなど、改竄や複製、内部の論理構造の解読などの不正行為に対して十分な防御手段を講じるための仕様である。
そのため、耐タンパ部20は、外部からの解析が著しく困難で一種のブラックボックスとなっており、例えば、機器秘密鍵などの秘密情報を安全に保持することができる。
なお、タンパ(tamper)とは、装置に手を加えるという意味や、情報などを不正に変更するという意味があり、耐タンパとは、これらの操作に対して耐性を保持していることを意味する。
そのため、耐タンパ部20は、外部からの解析が著しく困難で一種のブラックボックスとなっており、例えば、機器秘密鍵などの秘密情報を安全に保持することができる。
なお、タンパ(tamper)とは、装置に手を加えるという意味や、情報などを不正に変更するという意味があり、耐タンパとは、これらの操作に対して耐性を保持していることを意味する。
耐タンパ部20は、CPU(Central Processing Unit)21、内部クロック22、ROM(Read Only Memory)23、RAM(Random Access Memory)24、EEPROM(Electrically Erasable and Programmable ROM)25などが図示しないバスラインによって接続されて構成されている。
CPU21は、EEPROM25、ROM23、RAM24などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
本実施の形態では、機器公開鍵と機器秘密鍵のペアを生成したり、検証サーバ5と通信して機器7の機器認証を行ったり、顧客サーバ4と通信する際に情報の暗号化・復号化を行ったりする。
本実施の形態では、機器公開鍵と機器秘密鍵のペアを生成したり、検証サーバ5と通信して機器7の機器認証を行ったり、顧客サーバ4と通信する際に情報の暗号化・復号化を行ったりする。
内部クロック22は、耐タンパ部20を駆動するためのクロックを発生させるほか、例えば、耐タンパ部20が計測部35の計測値に対して時刻情報を付与するタイプの機器7に関しては、時刻情報を付与するための時計として使用することができる。内部クロック22は、計測部35の外部クロック28と同期しており、CPU21とCPU29はタイミングを同期させて協働して動作することができる。
ROM23は、読み出し専用の記憶装置(メモリ)であって、耐タンパ部20を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM24は、読み書き可能な記憶装置であって、CPU21が各種の情報処理を行う際のワーキングエリアを提供する。
ROM23は、読み出し専用の記憶装置(メモリ)であって、耐タンパ部20を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM24は、読み書き可能な記憶装置であって、CPU21が各種の情報処理を行う際のワーキングエリアを提供する。
EEPROM25は、読み書きが可能な不揮発性の記憶装置であり、プログラムやデータなどが記憶されている。
本実施の形態では、一例として、非対称暗号鍵生成プログラム、機器秘密鍵、機器公開鍵証明書、検証サーバ公開鍵証明書、検証サーバ接続情報、検証要求プログラム、CA公開鍵証明書や、図示しない、通信プログラム、OS(Operating System)などが記憶されている。
本実施の形態では、一例として、非対称暗号鍵生成プログラム、機器秘密鍵、機器公開鍵証明書、検証サーバ公開鍵証明書、検証サーバ接続情報、検証要求プログラム、CA公開鍵証明書や、図示しない、通信プログラム、OS(Operating System)などが記憶されている。
非対称暗号鍵生成プログラムは、機器7が顧客に渡される前に、機器7の管理者(通常は機器7の製造事業者)が実行するプログラムであり、このプログラムをCPU21で実行すると、耐タンパ部20の内部で機器秘密鍵と機器公開鍵の非対称暗号鍵ペア(対)が生成される。
機器7は、生成した機器秘密鍵をEEPROM25に記憶し、外部からこの機器秘密鍵を知ることはできないようになっている。
機器7は、生成した機器秘密鍵をEEPROM25に記憶し、外部からこの機器秘密鍵を知ることはできないようになっている。
機器公開鍵証明書は、生成した機器公開鍵を機器7が機器登録サーバ6を介してCA3に送信し、CA3がCA秘密鍵でデジタル署名した公開鍵証明書である。
機器公開鍵証明書を受け取ったものは、CA公開鍵でデジタル署名を検証することにより機器公開鍵証明書に記載されている機器公開鍵が正統なものであることを確認することができる。
機器公開鍵証明書を受け取ったものは、CA公開鍵でデジタル署名を検証することにより機器公開鍵証明書に記載されている機器公開鍵が正統なものであることを確認することができる。
検証サーバ公開鍵証明書は、検証サーバ5の公開鍵である検証サーバ公開鍵をCA3がCA秘密鍵でデジタル署名した公開鍵証明書である。
後述するように、機器7は、検証サーバ公開鍵に記録されている検証サーバ公開鍵を用いて情報を暗号化し、検証サーバ5に送信する。この暗号化情報は、検証サーバ5が有する検証サーバ秘密鍵でしか復号化することができないため、検証サーバ5以外のものがこの暗号化情報を受信しても復号化できず、セキュリティを高めることができる。
なお、検証サーバ公開鍵の正統性は、CA公開鍵で検証サーバ公開鍵証明書のデジタル署名を検証することにより確認することができる。
後述するように、機器7は、検証サーバ公開鍵に記録されている検証サーバ公開鍵を用いて情報を暗号化し、検証サーバ5に送信する。この暗号化情報は、検証サーバ5が有する検証サーバ秘密鍵でしか復号化することができないため、検証サーバ5以外のものがこの暗号化情報を受信しても復号化できず、セキュリティを高めることができる。
なお、検証サーバ公開鍵の正統性は、CA公開鍵で検証サーバ公開鍵証明書のデジタル署名を検証することにより確認することができる。
CA公開鍵証明書は、CA3の公開鍵であるCA公開鍵を親CA2が親CA秘密鍵でデジタル署名した公開鍵証明書である。機器7は、CA公開鍵証明書に記載されているCA公開鍵を用いて、検証サーバ5の検証サーバ公開鍵証明書や顧客サーバ4の顧客サーバ公開鍵証明書(何れもCA3のCA公開鍵によりデジタル署名されている)の正統性を検証することができる。
また、図示しないが、機器7は、EEPROM25に親CA2が発行したルート証明書を記憶しており、ルート証明書に記載されている親CA公開鍵によって、CA公開鍵証明書の正統性を確認することができる。
また、図示しないが、機器7は、EEPROM25に親CA2が発行したルート証明書を記憶しており、ルート証明書に記載されている親CA公開鍵によって、CA公開鍵証明書の正統性を確認することができる。
検証サーバ接続情報は、機器7がネットワーク10に接続した際に、検証サーバ5に接続するためのアドレス情報であり、例えば、検証サーバ5のURL(Uniform Resource Locators)で構成されている。
機器7は、ネットワーク10に設置された際に、検証サーバ接続情報を用いて検証サーバ5に接続し、機器検証を受ける。
このように、本実施の形態では、機器7に予め検証サーバ接続情報を埋め込んでおくため、どのようなネットワーク環境下で機器7が設置されても、機器7から検証サーバ5にアクセスすることができる。
機器7は、ネットワーク10に設置された際に、検証サーバ接続情報を用いて検証サーバ5に接続し、機器検証を受ける。
このように、本実施の形態では、機器7に予め検証サーバ接続情報を埋め込んでおくため、どのようなネットワーク環境下で機器7が設置されても、機器7から検証サーバ5にアクセスすることができる。
検証要求プログラムは、検証サーバ5に機器に検証を要求するためのプログラムである。
機器7をネットワーク10に接続した後(例えば、電源投入直後)、CPU21で検証要求プログラムを実行すると、CPU21は、後述の検証情報を生成する。そしてCPU21は、検証サーバ接続情報を用いて機器7を検証サーバ5に接続し、検証情報を検証サーバ5に送信する。
また、図示しないが、EEPROM25には、計測部35で計測した計測値を暗号化するなど、セキュリティに関わる情報処理を行うためのプログラムが格納されている。
以上、耐タンパ部20の各構成要素について説明したが、この他に耐タンパ部20と計測部35との通信を制御する通信制御部なども構成されている。
機器7をネットワーク10に接続した後(例えば、電源投入直後)、CPU21で検証要求プログラムを実行すると、CPU21は、後述の検証情報を生成する。そしてCPU21は、検証サーバ接続情報を用いて機器7を検証サーバ5に接続し、検証情報を検証サーバ5に送信する。
また、図示しないが、EEPROM25には、計測部35で計測した計測値を暗号化するなど、セキュリティに関わる情報処理を行うためのプログラムが格納されている。
以上、耐タンパ部20の各構成要素について説明したが、この他に耐タンパ部20と計測部35との通信を制御する通信制御部なども構成されている。
計測部35は、計測を行う機能部であり、CPU29、ROM27、RAM30、外部クロック28、表示部31、入力部32、記憶部33、計測装置部34などから構成されている。
計測装置部34は、計測を行う装置であって、CPU29から要求があると計測値をデジタル情報としてCPU29に出力する。
計測装置部34としては、例えば、ガス・水道・電気の使用量を計測するもののほか、温度計測、湿度計測、水質計測、大気汚染計測を行うものや、自動販売機に設置して在庫や販売状況などを計測するものなど、各種のものを採用することができる。
計測装置部34は、計測を行う装置であって、CPU29から要求があると計測値をデジタル情報としてCPU29に出力する。
計測装置部34としては、例えば、ガス・水道・電気の使用量を計測するもののほか、温度計測、湿度計測、水質計測、大気汚染計測を行うものや、自動販売機に設置して在庫や販売状況などを計測するものなど、各種のものを採用することができる。
CPU29は、記憶部33、ROM27、RAM30などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
CPU29は、CPU21と協働して動作し、例えば、機器7の設置の際に、耐タンパ部20から出力された検証情報を検証サーバ5に送信したり、設置後は、計測装置部34から計測値を取得してこれを耐タンパ部20でデジタル署名して顧客サーバ4に送信したりなどする。
CPU29は、CPU21と協働して動作し、例えば、機器7の設置の際に、耐タンパ部20から出力された検証情報を検証サーバ5に送信したり、設置後は、計測装置部34から計測値を取得してこれを耐タンパ部20でデジタル署名して顧客サーバ4に送信したりなどする。
外部クロック28は、計測部35を駆動するためのクロックを発生させる。また、一般に外部クロック28は内部クロック22よりも精度が高いため、外部クロック28を外部の電波などで更正し、更正された外部クロック28を用いて内部クロック22を更正するように構成されている。
ROM27は、読み出し専用の記憶装置であって、CPU29を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM30は、読み書き可能な記憶装置であって、CPU29が各種の情報処理を行う際のワーキングエリアを提供する。
RAM30は、読み書き可能な記憶装置であって、CPU29が各種の情報処理を行う際のワーキングエリアを提供する。
記憶部33は、例えば、EEPROMによって更正されており、各種プログラムやデータなどが記憶されている。
記憶部33に記憶しているプログラムをCPU29で実行することにより、計測装置部34から計測値を取得する機能、耐タンパ部20と通信して協働して情報処理を行う機能、通信部26を制御して、検証サーバ5や顧客サーバ4と通信する機能などを実現することができる。
また、記憶部33は、計測装置部34で計測された計測値を一時的に記憶するのに用いることもできる。
記憶部33に記憶しているプログラムをCPU29で実行することにより、計測装置部34から計測値を取得する機能、耐タンパ部20と通信して協働して情報処理を行う機能、通信部26を制御して、検証サーバ5や顧客サーバ4と通信する機能などを実現することができる。
また、記憶部33は、計測装置部34で計測された計測値を一時的に記憶するのに用いることもできる。
表示部31は、例えば、液晶表示パネルなどの表示デバイスを備えており、設置担当者が機器7をネットワーク10に設置する際の操作指示や、計測装置部34の計測値など、各種の情報を表示することができる。
入力部32は、操作ボタンなどを備えており、例えば、設置担当者が機器7をネットワーク10に設置する際に機器7を操作するのに用いられる。
入力部32は、操作ボタンなどを備えており、例えば、設置担当者が機器7をネットワーク10に設置する際に機器7を操作するのに用いられる。
通信部26は、機器7をネットワーク10に接続するためのインターフェースを構成しており、CPU21やCPU29は通信部26を介して機器登録サーバ6、検証サーバ5、顧客サーバ4などと通信することができる。機器7が無線でネットワーク10に接続する場合、通信部26はRF回路などを備える。
次に図3を用いて検証サーバ5のハードウェア的な構成について説明する。
検証サーバ5は、CPU41、ROM42、RAM43、記憶部46、及び通信部45などから構成されている。
CPU41は、ROM42、RAM43、記憶部46などに記憶されているプログラムに従って動作し、機器7を検証するための各種の情報処理を行う。
検証サーバ5は、CPU41、ROM42、RAM43、記憶部46、及び通信部45などから構成されている。
CPU41は、ROM42、RAM43、記憶部46などに記憶されているプログラムに従って動作し、機器7を検証するための各種の情報処理を行う。
ROM42は、読み出し専用の記憶装置であって、CPU41を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM43は、読み書き可能な記憶装置であって、CPU41が各種の情報処理を行う際のワーキングエリアを提供する。
通信部45は、検証サーバ5をネットワーク10に接続するインターフェースである。
RAM43は、読み書き可能な記憶装置であって、CPU41が各種の情報処理を行う際のワーキングエリアを提供する。
通信部45は、検証サーバ5をネットワーク10に接続するインターフェースである。
記憶部46は、例えば、ハードディスクなどの大容量の記憶媒体を用いて構成されており、図示したような各種プログラムやデータが格納されている。
検証プログラムは、機器7を機器検証するためのプログラムであり、CPU41は機器検証プログラムを実行することにより、機器7から送信されてきた検証情報を検証し、検証結果を顧客サーバ4に送信することができる。
検証プログラムは、機器7を機器検証するためのプログラムであり、CPU41は機器検証プログラムを実行することにより、機器7から送信されてきた検証情報を検証し、検証結果を顧客サーバ4に送信することができる。
CA公開鍵証明書は、CA3のCA公開鍵の公開鍵証明書である。また、図示しないが、親CA2のルート証明書も記憶している。これらの証明書は、例えば、担当者間で手渡しするなど、安全な方法により提供されたものである。
検証サーバ秘密鍵は、検証サーバ公開鍵に対応する秘密鍵であり、情報の暗号化やデジタル署名などに用いられる。
検証サーバ秘密鍵は、検証サーバ公開鍵に対応する秘密鍵であり、情報の暗号化やデジタル署名などに用いられる。
顧客サーバ接続情報は、ネットワーク10を介して顧客サーバ4に接続するための情報であり、例えば顧客サーバ4のURLやIPアドレスなどによって構成されている。
顧客サーバ接続情報は、予め顧客に提供してもらい記憶部46に記憶したものである。
検証サーバ5は、検証結果を顧客サーバ4に送信する際に、顧客サーバ接続情報を用いて顧客サーバ4に接続して送信する。
顧客サーバ接続情報は、予め顧客に提供してもらい記憶部46に記憶したものである。
検証サーバ5は、検証結果を顧客サーバ4に送信する際に、顧客サーバ接続情報を用いて顧客サーバ4に接続して送信する。
次に、機器登録データベースについて説明する。
機器登録データベースは、検証を要する機器7を予め登録したデータベースであり、その論理的な構成の一例を図4に示す。
図に示したように、機器登録データベースは、「顧客ID」、「顧客サーバ接続情報」、「機器ID」、「機器公開鍵」、・・・などの各項目から構成されている。
機器登録データベースは、検証を要する機器7を予め登録したデータベースであり、その論理的な構成の一例を図4に示す。
図に示したように、機器登録データベースは、「顧客ID」、「顧客サーバ接続情報」、「機器ID」、「機器公開鍵」、・・・などの各項目から構成されている。
「顧客ID」は、顧客サーバ4、4、・・・を運用する各顧客を特定するID情報である。このように、顧客は予め検証サーバ5に登録されており、ID情報が付与されている。
「顧客サーバ接続情報」は、顧客サーバ4に接続するための接続情報であり、顧客IDと対応づけて記憶されている。
なお、図では、各顧客に1つの顧客サーバ接続情報が記載されているが、顧客が複数の顧客サーバ4を用いる場合は、これら複数の顧客サーバ接続情報が顧客IDに対応づけられる。
「顧客サーバ接続情報」は、顧客サーバ4に接続するための接続情報であり、顧客IDと対応づけて記憶されている。
なお、図では、各顧客に1つの顧客サーバ接続情報が記載されているが、顧客が複数の顧客サーバ4を用いる場合は、これら複数の顧客サーバ接続情報が顧客IDに対応づけられる。
「機器ID」は、機器7、7、・・・の個々に付与されたID情報であり、例えば、製造シリアル番号などを用いることができる。
「機器公開鍵」は、機器秘密鍵に対応する機器公開鍵を各機器7ごとに記憶したものである。機器公開鍵は、CA3が検証サーバ5に送信した機器公開鍵証明書から取得されたものである。
「機器公開鍵」は、機器秘密鍵に対応する機器公開鍵を各機器7ごとに記憶したものである。機器公開鍵は、CA3が検証サーバ5に送信した機器公開鍵証明書から取得されたものである。
機器7を何れの顧客サーバ接続情報に対応させて登録するかは、例えば、機器7の販売時に顧客から機器7を接続する顧客サーバ4の指定を受け、これを検証サーバ5の管理者が対応させたものである。
以上、検証サーバ5のハードウェア的な構成について説明したが、顧客サーバ4や機器登録サーバ6及びCA3などのハードウェア的な構成も検証サーバ5と同様である。
CA3、親CA2は、予め記憶した所定のプログラムをCPUが実行することにより公開鍵証明書を作成したりなどの各種情報処理を行う機能を発揮する。
更に、CA3の場合は、機器公開鍵証明書を発行した機器7の失効情報を記憶した失効リストを記憶部46に記憶している。
失効リストは、CA3が機器公開鍵証明書を発行した機器7が現在失効状態か否かを機器IDの有無に対応させて記憶したデータリストであり、機器公開鍵証明書発行後直後は、当該機器に関する情報は何も登録されていない。そして、失効は、顧客からの申告により当該機器IDを失効リストに登録することにより設定される。
検証サーバ5は、顧客サーバ4などから有効性の問い合わせがあった場合に、CA3の失効リストを参照し、有効性を検証する。
即ち、検証サーバ5は、機器7の正統性を検証する際に、機器が失効状態であるか否かを記憶した失効状態記憶手段(CA3の失効リスト)を用いて機器7の有効性を検証する有効性検証手段を備えている。
CA3、親CA2は、予め記憶した所定のプログラムをCPUが実行することにより公開鍵証明書を作成したりなどの各種情報処理を行う機能を発揮する。
更に、CA3の場合は、機器公開鍵証明書を発行した機器7の失効情報を記憶した失効リストを記憶部46に記憶している。
失効リストは、CA3が機器公開鍵証明書を発行した機器7が現在失効状態か否かを機器IDの有無に対応させて記憶したデータリストであり、機器公開鍵証明書発行後直後は、当該機器に関する情報は何も登録されていない。そして、失効は、顧客からの申告により当該機器IDを失効リストに登録することにより設定される。
検証サーバ5は、顧客サーバ4などから有効性の問い合わせがあった場合に、CA3の失効リストを参照し、有効性を検証する。
即ち、検証サーバ5は、機器7の正統性を検証する際に、機器が失効状態であるか否かを記憶した失効状態記憶手段(CA3の失効リスト)を用いて機器7の有効性を検証する有効性検証手段を備えている。
顧客サーバ4の場合は、記憶部46に機器マスタと計測値データベースなどが記憶されている。
機器マスタは、顧客サーバ4が接続する機器7のマスタ情報であり、例えば、機器7の機器ID、機器7に接続するための機器接続情報、機器公開鍵といった基本的な事項や、機器7の設置場所、設置日時といった付属的な情報から構成されている。顧客サーバ4は、機器マスタによって各機器7を管理する。
機器マスタは、顧客サーバ4が接続する機器7のマスタ情報であり、例えば、機器7の機器ID、機器7に接続するための機器接続情報、機器公開鍵といった基本的な事項や、機器7の設置場所、設置日時といった付属的な情報から構成されている。顧客サーバ4は、機器マスタによって各機器7を管理する。
例えば、基本的な事項は、機器検証の際に検証サーバ5から受信して記憶したものであり、付属的な事項は顧客サーバ4の管理者が入力したものである。
機器7が失効となった場合は、顧客サーバ4の管理者が顧客サーバ4に当該機器7の失効を入力して機器マスタから削除する。この際に、顧客サーバ4は、失効要求をCA3に送信し、CA3が失効リストに登録されることにより失効とされる。
機器7が失効となった場合は、顧客サーバ4の管理者が顧客サーバ4に当該機器7の失効を入力して機器マスタから削除する。この際に、顧客サーバ4は、失効要求をCA3に送信し、CA3が失効リストに登録されることにより失効とされる。
計測値データベースは、ネットワーク10を経由して機器7から送信されてきた計測値を記憶・蓄積したデータベースである。
計測値データベースでは、各計測値がこれを計測した機器7の機器IDに対応づけられ、計測日時なども記憶される。
計測値データベースでは、各計測値がこれを計測した機器7の機器IDに対応づけられ、計測日時なども記憶される。
機器登録サーバ6は、機器7が機器公開鍵証明書を取得する際に機器7とCA3との仲介を行う機能や、 登録要求情報を生成して検証サーバ5に送信し、検証サーバ5に機器7を登録する機能などをCPUに発揮させるプログラムを記憶部46に記憶しており、これを実行することによりこれらの機能を発揮する。また、機器登録サーバ6は、機器7に入力するための検証サーバ接続情報なども記憶している。
次に、図5を用いて、機器7の出荷前処理から設置までの手順の全体構成について説明する。図中に手順の順序を括弧にて示してあり、以下、この順序に従って説明していく。
なお、手順(1)から手順(4)までは、機器7の設置前(好ましくは顧客への出荷前)に行う作業である。
(1)(機器秘密鍵と機器公開鍵の非対称暗号鍵ペアの生成)
機器7のハードウェアが完成すると、作業担当者が機器7を操作して非対称暗号鍵生成プログラムを実行し、耐タンパ部20内でCPU21に機器秘密鍵と機器公開鍵のペアを生成させる(非対称暗号鍵生成手段)。
そして、機器7は、生成した機器秘密鍵をEEPROM25の所定のエリアに記憶する(秘密鍵記憶手段)。
なお、手順(1)から手順(4)までは、機器7の設置前(好ましくは顧客への出荷前)に行う作業である。
(1)(機器秘密鍵と機器公開鍵の非対称暗号鍵ペアの生成)
機器7のハードウェアが完成すると、作業担当者が機器7を操作して非対称暗号鍵生成プログラムを実行し、耐タンパ部20内でCPU21に機器秘密鍵と機器公開鍵のペアを生成させる(非対称暗号鍵生成手段)。
そして、機器7は、生成した機器秘密鍵をEEPROM25の所定のエリアに記憶する(秘密鍵記憶手段)。
(2)(機器公開鍵の送信)
機器7は、作業担当者によって当該機器7を担当する機器登録サーバ6に接続され、生成した機器公開鍵や機器固有情報などを機器登録サーバ6に送信する(公開鍵提供手段)。
ここで、機器固有情報には、機器ID、耐タンパ部のMACアドレスなど機器7に固有の情報が含まれている。
機器登録サーバ6は、機器7からこれらの情報を受信する(公開鍵取得手段)。そして、機器登録サーバ6は、機器公開鍵や機器IDなどをCA3に送信し、CA3に機器公開鍵証明書の発行を要求する(公開鍵証明書発行要求手段)。
機器7は、作業担当者によって当該機器7を担当する機器登録サーバ6に接続され、生成した機器公開鍵や機器固有情報などを機器登録サーバ6に送信する(公開鍵提供手段)。
ここで、機器固有情報には、機器ID、耐タンパ部のMACアドレスなど機器7に固有の情報が含まれている。
機器登録サーバ6は、機器7からこれらの情報を受信する(公開鍵取得手段)。そして、機器登録サーバ6は、機器公開鍵や機器IDなどをCA3に送信し、CA3に機器公開鍵証明書の発行を要求する(公開鍵証明書発行要求手段)。
(3)(機器証明書の書き込み)
CA3は、機器登録サーバ6から機器公開鍵から機器証明書を作成する。そして、CA3は、機器証明書に検証サーバ5の検証サーバ公開鍵証明書を加えて機器証明書を作成し、機器登録サーバ6に送信する。
機器登録サーバ6は、機器証明書をCA3から受信すると、これに検証サーバ接続情報を付加して機器7に送信する。
機器7は、機器登録サーバ6から機器証明書を受信して耐タンパ部20に記憶する。
以上のように、機器証明書には、機器公開鍵証明書、検証サーバ接続情報、検証サーバ公開鍵証明書などが含まれている。
CA3は、機器登録サーバ6から機器公開鍵から機器証明書を作成する。そして、CA3は、機器証明書に検証サーバ5の検証サーバ公開鍵証明書を加えて機器証明書を作成し、機器登録サーバ6に送信する。
機器登録サーバ6は、機器証明書をCA3から受信すると、これに検証サーバ接続情報を付加して機器7に送信する。
機器7は、機器登録サーバ6から機器証明書を受信して耐タンパ部20に記憶する。
以上のように、機器証明書には、機器公開鍵証明書、検証サーバ接続情報、検証サーバ公開鍵証明書などが含まれている。
より詳細には、機器公開鍵証明書は、機器7の機器公開鍵をCA3のCA秘密鍵(証明サーバ秘密鍵)でデジタル署名した公開鍵証明書である(公開鍵証明書作成手段)。このようにCA3は秘密鍵記憶手段を備えている。
より詳細には、機器公開鍵証明書は、例えば、「公開鍵[ab12・・・01]は、機器ID[12・・・]の機器公開鍵である。」といった内容のメッセージと、当該メッセージから生成したダイジェスト(例えば、メッセージのハッシュ値を用いる)をCA3のCA秘密鍵で暗号化したデジタル署名などから構成されている。
機器公開鍵証明書を受信したものは、CA3のCA公開鍵(証明サーバ公開鍵)を用いてデジタル署名を復号化し、更に、メッセージのダイジェストを作成して両者の一致を確認することにより、メッセージが改編されていないことを確認することができる。
より詳細には、機器公開鍵証明書は、例えば、「公開鍵[ab12・・・01]は、機器ID[12・・・]の機器公開鍵である。」といった内容のメッセージと、当該メッセージから生成したダイジェスト(例えば、メッセージのハッシュ値を用いる)をCA3のCA秘密鍵で暗号化したデジタル署名などから構成されている。
機器公開鍵証明書を受信したものは、CA3のCA公開鍵(証明サーバ公開鍵)を用いてデジタル署名を復号化し、更に、メッセージのダイジェストを作成して両者の一致を確認することにより、メッセージが改編されていないことを確認することができる。
検証サーバ接続情報は、ネットワーク10上で検証サーバ5に接続するための情報であり、例えば、検証サーバ5のURL(Uniform Resource Locators)やIPアドレスで構成されている(検証サーバ接続情報記憶手段)。
検証サーバ公開鍵証明書は、検証サーバ公開鍵をCA3の秘密鍵でデジタル署名した公開鍵証明書である。
検証サーバ公開鍵証明書には、検証サーバ公開鍵が含まれているため、機器7はこれによって検証サーバ公開鍵を取得する。
なお、機器7は、予め組み込まれているCA公開鍵などを用いて、機器公開鍵証明書や検証サーバ公開鍵証明書の正統性を検証することができる。
なお、本実施の形態の機器登録サーバ6は、CA3から受信した機器証明書に検証サーバ公開鍵証明書を含めて機器7に送信したが、これに限定せず、CA3から受信した機器証明書と、検証サーバ接続情報を別々に機器7に送信するように構成することもできる。
検証サーバ公開鍵証明書には、検証サーバ公開鍵が含まれているため、機器7はこれによって検証サーバ公開鍵を取得する。
なお、機器7は、予め組み込まれているCA公開鍵などを用いて、機器公開鍵証明書や検証サーバ公開鍵証明書の正統性を検証することができる。
なお、本実施の形態の機器登録サーバ6は、CA3から受信した機器証明書に検証サーバ公開鍵証明書を含めて機器7に送信したが、これに限定せず、CA3から受信した機器証明書と、検証サーバ接続情報を別々に機器7に送信するように構成することもできる。
(4)(機器7の登録要求)
機器登録サーバ6は、機器7に対してCA3が機器証明書を発行する際に、機器公開鍵証明書を取得することができる。
そして、機器登録サーバ6は、このようにして得た機器公開鍵証明書と、機器固有情報(機器ID)などが含まれる登録要求情報を作成して、検証サーバ5に送信し、検証サーバ5に機器7の登録を要求する(公開鍵証明書送信手段)。
検証サーバ5は、登録要求情報を機器登録サーバ6から受信し、これを用いて機器登録データベースを更新する。
機器登録サーバ6は、機器7に対してCA3が機器証明書を発行する際に、機器公開鍵証明書を取得することができる。
そして、機器登録サーバ6は、このようにして得た機器公開鍵証明書と、機器固有情報(機器ID)などが含まれる登録要求情報を作成して、検証サーバ5に送信し、検証サーバ5に機器7の登録を要求する(公開鍵証明書送信手段)。
検証サーバ5は、登録要求情報を機器登録サーバ6から受信し、これを用いて機器登録データベースを更新する。
また、機器7の販売側事業者は、機器7の販売先の顧客から当該機器7を接続する顧客サーバ4の指定を受けた後、当該顧客サーバ4の顧客サーバ接続情報を機器7に対応させて検証サーバ5に入力するようになっている。
即ち、検証サーバ5は、登録要求情報に含まれる機器公開鍵を機器7に対応づけて機器登録データベースに記憶し(公開鍵記憶手段)、更に機器7と顧客サーバ4を対応づけて機器登録データベースに記憶する(情報処理サーバ機器対応記憶手段)。
即ち、検証サーバ5は、登録要求情報に含まれる機器公開鍵を機器7に対応づけて機器登録データベースに記憶し(公開鍵記憶手段)、更に機器7と顧客サーバ4を対応づけて機器登録データベースに記憶する(情報処理サーバ機器対応記憶手段)。
(5)(出荷)
機器7は、検証サーバ5に登録された後、顧客に出荷される。機器7は、出荷された後は顧客の管理下におかれる。
機器7は、検証サーバ5に登録された後、顧客に出荷される。機器7は、出荷された後は顧客の管理下におかれる。
(6)(検証要求)
機器7は、出荷された後、設置担当者によってネットワーク10に接続され、検証要求プログラムが実行される。
検証要求プログラムが実行されると、機器7は、検証要求情報を生成する。そして、機器7は、EEPROM25に記憶してある検証サーバ接続情報を用いて検証サーバ5に接続し(検証サーバ接続手段)、検証要求情報を送信する。
機器7は、出荷された後、設置担当者によってネットワーク10に接続され、検証要求プログラムが実行される。
検証要求プログラムが実行されると、機器7は、検証要求情報を生成する。そして、機器7は、EEPROM25に記憶してある検証サーバ接続情報を用いて検証サーバ5に接続し(検証サーバ接続手段)、検証要求情報を送信する。
検証要求情報は、機器ID、顧客サーバ4から機器7に接続するための機器接続情報、環境情報(ネットワーク接続環境に関する情報)などを機器秘密鍵でデジタル署名したものを、検証サーバ公開鍵で暗号化したものである。
このように、機器7は、ネットワーク10に接続されると自身の機器接続情報を取得し(接続情報取得手段)、これを検証サーバ5に送信する(接続情報送信手段)。これに対し、検証サーバ5は、これを受信する接続情報受信手段を備えている。
また、検証要求情報は、機器秘密鍵でダイジェスト(所定の情報)を暗号化したデジタル署名が含まれており、署名情報として機能する。このように機器7は署名情報送信手段を有している。
このように、機器7は、ネットワーク10に接続されると自身の機器接続情報を取得し(接続情報取得手段)、これを検証サーバ5に送信する(接続情報送信手段)。これに対し、検証サーバ5は、これを受信する接続情報受信手段を備えている。
また、検証要求情報は、機器秘密鍵でダイジェスト(所定の情報)を暗号化したデジタル署名が含まれており、署名情報として機能する。このように機器7は署名情報送信手段を有している。
(7)(失効リストの参照)
検証サーバ5は、機器7から検証情報を受信すると(署名情報受信手段)、これを検証サーバ秘密鍵で復号化する。そして、検証サーバ5は、機器登録データベースから当該機器7の機器公開鍵を取得し(公開鍵取得手段)、これを用いてデジタル署名の正統性を確認することにより、機器7が正統品であるか否かを検証する(検証手段)。
更に、図示しないが、検証サーバ5は、当該機器7が失効であるか否かをCA3に問い合わせて確認する(有効性検証手段)。
(8)(検証結果の通知)
当該機器7が有効であった場合、検証サーバ5は、機器登録データベースで当該機器7に対応づけられている顧客サーバ接続情報を用いて顧客サーバ4に検証結果を送信する(検証結果送信手段)。
検証結果は、例えば、機器7の機器公開鍵証明書、機器7への機器接続情報、検証結果などを検証サーバ秘密鍵で暗号化したものである。このように、検証サーバ5は、機器7への接続情報を顧客サーバ4に送信する接続情報送信手段を備えている。
検証サーバ5は、機器7から検証情報を受信すると(署名情報受信手段)、これを検証サーバ秘密鍵で復号化する。そして、検証サーバ5は、機器登録データベースから当該機器7の機器公開鍵を取得し(公開鍵取得手段)、これを用いてデジタル署名の正統性を確認することにより、機器7が正統品であるか否かを検証する(検証手段)。
更に、図示しないが、検証サーバ5は、当該機器7が失効であるか否かをCA3に問い合わせて確認する(有効性検証手段)。
(8)(検証結果の通知)
当該機器7が有効であった場合、検証サーバ5は、機器登録データベースで当該機器7に対応づけられている顧客サーバ接続情報を用いて顧客サーバ4に検証結果を送信する(検証結果送信手段)。
検証結果は、例えば、機器7の機器公開鍵証明書、機器7への機器接続情報、検証結果などを検証サーバ秘密鍵で暗号化したものである。このように、検証サーバ5は、機器7への接続情報を顧客サーバ4に送信する接続情報送信手段を備えている。
顧客サーバ4は、検証結果を予め記憶した検証サーバ公開鍵で復号化することにより検証結果の正統性を確認することができる。あるいは、検証結果を検証サーバ5の検証サーバ秘密鍵でデジタル署名することにより正統性を保証してもよい。
機器7が失効であった場合は、機器7にエラーメッセージを送信し、検証結果は顧客サーバ4に通知しない。または、検証サーバ5が失効となった機器7からの検証要求があった旨の通知を顧客サーバ4に行うように構成してもよい。
機器7が失効であった場合は、機器7にエラーメッセージを送信し、検証結果は顧客サーバ4に通知しない。または、検証サーバ5が失効となった機器7からの検証要求があった旨の通知を顧客サーバ4に行うように構成してもよい。
(9)(顧客サーバ情報の通知)
顧客サーバ4は、検証サーバ5から検証結果を受信して(検証結果受信手段)、当該機器7が正統品であると検証されたことを確認した後、機器7と接続して(接続手段)顧客サーバ4に顧客サーバ情報を送信する。
顧客サーバ情報は、顧客サーバ公開鍵証明書や機器7がネットワーク10を介して顧客サーバ4に接続するための顧客サーバ接続情報などが含まれている。
顧客サーバ4は、検証サーバ5から検証結果を受信して(検証結果受信手段)、当該機器7が正統品であると検証されたことを確認した後、機器7と接続して(接続手段)顧客サーバ4に顧客サーバ情報を送信する。
顧客サーバ情報は、顧客サーバ公開鍵証明書や機器7がネットワーク10を介して顧客サーバ4に接続するための顧客サーバ接続情報などが含まれている。
なお、顧客サーバ4と機器7の接続は、顧客サーバ4から機器7に接続してもよいし、あるいは、機器7から顧客サーバ4に接続してもよい。
前者の場合は、顧客サーバ4が機器7の接続情報を用いて機器7に接続し、後者の場合は、機器7が検証要求の際に検証サーバ5から顧客サーバ接続情報を受信しておき、これを用いて顧客サーバ4に接続するようにする。
前者の場合は、顧客サーバ4が機器7の接続情報を用いて機器7に接続し、後者の場合は、機器7が検証要求の際に検証サーバ5から顧客サーバ接続情報を受信しておき、これを用いて顧客サーバ4に接続するようにする。
(10)(機器7と顧客サーバ4の通信)
機器7は、顧客サーバ4から送信された顧客サーバ公開鍵証明書(CA秘密鍵でデジタル署名されている)を予め記憶したCA公開鍵で検証し、顧客サーバ4の正統性を確認することができる。
以降、機器7と顧客サーバ4は通信可能な状態となり、機器7は計測データを顧客サーバ公開鍵で暗号化して顧客サーバ4に送信する。
計測データは顧客サーバ秘密鍵を有する顧客サーバ4しか復号化できないため、計測データの送信途上での漏洩を防止することができる。
機器7は、顧客サーバ4から送信された顧客サーバ公開鍵証明書(CA秘密鍵でデジタル署名されている)を予め記憶したCA公開鍵で検証し、顧客サーバ4の正統性を確認することができる。
以降、機器7と顧客サーバ4は通信可能な状態となり、機器7は計測データを顧客サーバ公開鍵で暗号化して顧客サーバ4に送信する。
計測データは顧客サーバ秘密鍵を有する顧客サーバ4しか復号化できないため、計測データの送信途上での漏洩を防止することができる。
(11)(失効要求)
例えば、機器7を新しい機器で置き換えるなどして機器7が使用されなくなった場合、顧客は、機器マスタで当該機器7を失効にすると共に、CA3に対して当該機器7の失効要求を行う。
CA3の失効リストで機器7を失効とすることにより、機器7が他の場所に新たに設置されたり、あるいは不正利用されることを防ぐことができる。
例えば、機器7を新しい機器で置き換えるなどして機器7が使用されなくなった場合、顧客は、機器マスタで当該機器7を失効にすると共に、CA3に対して当該機器7の失効要求を行う。
CA3の失効リストで機器7を失効とすることにより、機器7が他の場所に新たに設置されたり、あるいは不正利用されることを防ぐことができる。
以上に、機器7を設置するまでの全体的な手順について説明したが、次に、フローチャートを用いてこれらの手順について詳細に説明する。
図6は、機器7を顧客に出荷するまでの手順を説明するためのフローチャートである。
機器7は、組み立てラインで組み立てられた後、機器登録部門に送られる。機器登録部門では、当該機器7を購入する顧客、機器7を接続する顧客サーバ4、当該機器7を割り当てるCA3などを予め把握している。
図6は、機器7を顧客に出荷するまでの手順を説明するためのフローチャートである。
機器7は、組み立てラインで組み立てられた後、機器登録部門に送られる。機器登録部門では、当該機器7を購入する顧客、機器7を接続する顧客サーバ4、当該機器7を割り当てるCA3などを予め把握している。
作業担当者は、機器7をCA3に接続して入力部32を操作し、非対称暗号鍵生成プログラムをCPU21に実行させる。
すると、CPU21は、例えば、乱数を用いるなどして、機器7に固有の非対称暗号鍵ペアである機器秘密鍵と機器公開鍵を生成する(ステップ5)。
なお、CA3への接続は、機器秘密鍵と機器公開鍵を生成した後でもよい。
すると、CPU21は、例えば、乱数を用いるなどして、機器7に固有の非対称暗号鍵ペアである機器秘密鍵と機器公開鍵を生成する(ステップ5)。
なお、CA3への接続は、機器秘密鍵と機器公開鍵を生成した後でもよい。
CPU21は、生成した機器秘密鍵をEEPROM25内の所定エリアに格納する。そして、CPU21は、予めEEPROM25に記憶されている機器IDや耐タンパ部20のMACアドレスなどの機器7に固有な機器固有情報を読み出し、これらを機器公開鍵と共に機器登録サーバ6に送信する(ステップ10)。
検証サーバ5は、機器7から機器公開鍵や機器固有情報などを受信し、CA3に送信する(ステップ13)。
検証サーバ5は、機器7から機器公開鍵や機器固有情報などを受信し、CA3に送信する(ステップ13)。
CA3は、機器登録サーバ6から機器7の機器公開鍵と機器固有情報を受信する(ステップ15)。
そして、CA3は、機器固有情報から機器IDを抽出し、例えば、「機器公開鍵○○○は、機器ID○○○の機器公開鍵です。証明者はCA3です。」といった、機器公開鍵、機器ID、証明者、及びその他の例えば証明日時からなるメッセージを生成する。
更にCA3は、メッセージからダイジェストを生成し、これをCA秘密鍵で暗号化することによりデジタル署名する。
そして、CA3は、機器固有情報から機器IDを抽出し、例えば、「機器公開鍵○○○は、機器ID○○○の機器公開鍵です。証明者はCA3です。」といった、機器公開鍵、機器ID、証明者、及びその他の例えば証明日時からなるメッセージを生成する。
更にCA3は、メッセージからダイジェストを生成し、これをCA秘密鍵で暗号化することによりデジタル署名する。
CA3は、メッセージとデジタル署名から機器公開鍵証明書を作成した後(ステップ20)、当該機器公開鍵証明書と検証サーバ公開鍵証明書を用いて機器証明書を生成する(ステップ25)。
そして、CA3は、生成した機器証明書を機器登録サーバ6に送信する(ステップ30)。
機器登録サーバ6は、CA3から機器証明書を受信し、これに検証サーバ接続情報を添付して機器7に送信する(ステップ33)。なお、検証サーバ接続情報は、機器証明書とは別に送信してもよい。
そして、CA3は、生成した機器証明書を機器登録サーバ6に送信する(ステップ30)。
機器登録サーバ6は、CA3から機器証明書を受信し、これに検証サーバ接続情報を添付して機器7に送信する(ステップ33)。なお、検証サーバ接続情報は、機器証明書とは別に送信してもよい。
機器7は、機器証明書を受信し、これを耐タンパ部20内のEEPROM25に記憶する(ステップ35)。
EEPROM25内には、予めCA3のCA公開鍵証明書や親CA2のルート証明書が記憶されており、機器7は、これらを用いて機器証明書の正統性を確認することができる。
EEPROM25内には、予めCA3のCA公開鍵証明書や親CA2のルート証明書が記憶されており、機器7は、これらを用いて機器証明書の正統性を確認することができる。
一方、機器登録サーバ6は、機器7に機器証明書を送信した後、検証サーバ5に機器ID、機器公開鍵証明書などからなる登録要求情報を送信して、当該機器7の機器登録データベースへの登録要求を行う(ステップ40)。
この際、機器登録サーバ6は、登録要求情報を機器登録サーバ秘密鍵でデジタル署名して検証サーバ5に送信し、検証サーバ5が機器登録サーバ公開鍵で検証要求情報の正統性を確認できるようにする。
この際、機器登録サーバ6は、登録要求情報を機器登録サーバ秘密鍵でデジタル署名して検証サーバ5に送信し、検証サーバ5が機器登録サーバ公開鍵で検証要求情報の正統性を確認できるようにする。
検証サーバ5は、機器登録サーバ6が登録要求情報をデジタル署名し、これを検証サーバ5が確認することにより登録要求情報の正統性を確認する。
検証サーバ5は、機器登録サーバ公開鍵を用いて機器公開鍵証明書の正統性を確認し、登録要求情報に含まれる顧客サーバ接続情報、機器ID、機器公開鍵の対応関係を機器登録データベースに登録する(ステップ45)。
検証サーバ5は、機器登録サーバ公開鍵を用いて機器公開鍵証明書の正統性を確認し、登録要求情報に含まれる顧客サーバ接続情報、機器ID、機器公開鍵の対応関係を機器登録データベースに登録する(ステップ45)。
以上により、機器7の出荷前処理を完了し、機器秘密鍵と検証サーバ接続情報が耐タンパ部20に埋め込まれた機器7が顧客に出荷される。
一方、検証サーバ5では、機器7の検証に備えて、機器7に関する情報が記憶される。
なお、フローチャートには記さなかったが、機器7が接続すべき顧客サーバ4の顧客サーバ接続情報は、検証サーバ5の機器登録データベースに別途入力される。
一方、検証サーバ5では、機器7の検証に備えて、機器7に関する情報が記憶される。
なお、フローチャートには記さなかったが、機器7が接続すべき顧客サーバ4の顧客サーバ接続情報は、検証サーバ5の機器登録データベースに別途入力される。
次に、図7のフローチャートを用いて、機器7を設置現場に設置して、ネットワーク10を介して顧客サーバ4に接続するまでの手順について説明する。
機器7は、顧客に出荷されると、顧客の事業計画に基づいて設置箇所に搬送される。
設置担当者は現地に赴き、機器7をネットワーク10に接続して、検証要求プログラムを起動する。
すると、機器7は、ネットワーク10上での自己のIPアドレスといった機器接続情報や、例えば、ルータを介して接続されているなどの環境情報を収集する(ステップ50)。
機器7は、顧客に出荷されると、顧客の事業計画に基づいて設置箇所に搬送される。
設置担当者は現地に赴き、機器7をネットワーク10に接続して、検証要求プログラムを起動する。
すると、機器7は、ネットワーク10上での自己のIPアドレスといった機器接続情報や、例えば、ルータを介して接続されているなどの環境情報を収集する(ステップ50)。
次に、機器7は、自己の機器IDをEEPROM25から読み出し、これを先に収集した機器接続情報や環境情報と共に機器秘密鍵でデジタル署名して検証要求情報を作成する。
そして、機器7は、検証要求情報を検証サーバ公開鍵で暗号化することにより暗号化した検証要求情報を作成する。
次に、機器7は、検証サーバ接続情報を用いて検証サーバ5に接続し、暗号化した検証要求情報を検証サーバ5に送信し、自身の検証を検証サーバ5に要求する(ステップ55)。
そして、機器7は、検証要求情報を検証サーバ公開鍵で暗号化することにより暗号化した検証要求情報を作成する。
次に、機器7は、検証サーバ接続情報を用いて検証サーバ5に接続し、暗号化した検証要求情報を検証サーバ5に送信し、自身の検証を検証サーバ5に要求する(ステップ55)。
検証サーバ5は、機器7から暗号化した検証情報を受信し、これを予め記憶した検証サーバ秘密鍵で復号化する。
検証サーバ秘密鍵は検証サーバ5しか有していないため、暗号化した検証情報は送信途上で他者に渡ったとしても復号化することはできない。
次に、検証サーバ5は、検証要求情報に含まれる機器IDを機器登録データベースで検索し、当該機器IDに対応づけられている機器公開鍵を取得する。
検証サーバ秘密鍵は検証サーバ5しか有していないため、暗号化した検証情報は送信途上で他者に渡ったとしても復号化することはできない。
次に、検証サーバ5は、検証要求情報に含まれる機器IDを機器登録データベースで検索し、当該機器IDに対応づけられている機器公開鍵を取得する。
次に、検証サーバ5は、この機器公開鍵を用いてデジタル署名を確認し、検証情報の正統性を確認する(ステップ60)。
より詳細には、検証サーバ5は検証要求情報からダイジェストを生成すると共にデジタル署名を機器公開鍵で復号化してダイジェストを復元し、両者が一致することをもって検証要求情報が正統であると確認する。
両者が一致しない場合、検証サーバ5は、機器7が正統でないとしてエラーメッセージを機器7に送信する。
より詳細には、検証サーバ5は検証要求情報からダイジェストを生成すると共にデジタル署名を機器公開鍵で復号化してダイジェストを復元し、両者が一致することをもって検証要求情報が正統であると確認する。
両者が一致しない場合、検証サーバ5は、機器7が正統でないとしてエラーメッセージを機器7に送信する。
検証サーバ5は、機器7の正統性を確認した後、当該機器7の機器IDなどを図示しないCA3に送信し、当該機器7の失効の有無を問い合わせる。
そして、検証サーバ5は、機器7の失効の有無をCA3から受信し、これによって機器7の有効性を確認する(ステップ65)。
当該機器7が有効である場合、検証サーバ5は、機器7の機器ID、接続情報、正統であるとの検証結果、接続環境などを検証サーバ秘密鍵でデジタル署名し、検証結果を作成する(ステップ70)。
そして、検証サーバ5は、機器7の失効の有無をCA3から受信し、これによって機器7の有効性を確認する(ステップ65)。
当該機器7が有効である場合、検証サーバ5は、機器7の機器ID、接続情報、正統であるとの検証結果、接続環境などを検証サーバ秘密鍵でデジタル署名し、検証結果を作成する(ステップ70)。
次に、検証サーバ5は、機器7の機器IDを機器登録データベースで検索し、当該機器7に対応づけられている顧客サーバ4の顧客サーバ接続情報を取得する。
そして、検証サーバ5は、これを用いて顧客サーバ4に接続し、検証結果を送信する(ステップ75)。
一方、当該機器7が機器登録データベースで失効となっていた場合、検証サーバ5は、エラーメッセージを機器7に送信し、顧客サーバ4へは検証結果を送信しない。なお、検証されなかった旨の通知を顧客サーバ4に送信するように構成することもできる。
そして、検証サーバ5は、これを用いて顧客サーバ4に接続し、検証結果を送信する(ステップ75)。
一方、当該機器7が機器登録データベースで失効となっていた場合、検証サーバ5は、エラーメッセージを機器7に送信し、顧客サーバ4へは検証結果を送信しない。なお、検証されなかった旨の通知を顧客サーバ4に送信するように構成することもできる。
顧客サーバ4は、検証サーバ5から検証結果を受信し、これを予め記憶してある検証サーバ公開鍵で復号化することにより検証サーバ5の正統性を検証する(ステップ85)。
即ち、検証結果を検証サーバ秘密鍵でデジタル署名できるのは検証サーバ5だけであるので、検証結果を検証サーバ公開鍵で復号化できることにより検証サーバ5の正統性を検証することができる。
なお、検証結果は、サーバ秘密鍵でデジタル署名し、これを顧客サーバ4で検証するように構成してもよい。
即ち、検証結果を検証サーバ秘密鍵でデジタル署名できるのは検証サーバ5だけであるので、検証結果を検証サーバ公開鍵で復号化できることにより検証サーバ5の正統性を検証することができる。
なお、検証結果は、サーバ秘密鍵でデジタル署名し、これを顧客サーバ4で検証するように構成してもよい。
顧客サーバ4は、検証サーバ5の正統性を確認した後、検証結果に含まれる機器ID、機器公開鍵、機器接続情報などを機器マスタに記憶し、機器7を顧客サーバ4の正統な計測機器として登録する。
一方、顧客サーバ4は、正統性が確認できなかった場合、エラーメッセージを検証サーバ5に送信する。
一方、顧客サーバ4は、正統性が確認できなかった場合、エラーメッセージを検証サーバ5に送信する。
次に、顧客サーバ4は、機器マスタに登録した機器接続情報を用いて機器7に接続し、顧客サーバ情報を送信する(ステップ90)。
顧客サーバ情報には、公開鍵証明書(CA公開鍵でデジタル署名された顧客サーバ公開鍵証明書)や、URLやIPアドレスなどからなる顧客サーバ4への接続情報が含まれている。
顧客サーバ情報には、公開鍵証明書(CA公開鍵でデジタル署名された顧客サーバ公開鍵証明書)や、URLやIPアドレスなどからなる顧客サーバ4への接続情報が含まれている。
機器7は、顧客サーバ4から顧客サーバ情報を受信すると、CA公開鍵を用いて顧客サーバ公開鍵証明書のデジタル署名を検証し、顧客サーバ4の正統性を確認する。
そして、機器7は、顧客サーバ接続情報をEEPROM25に記憶し、顧客サーバ4に接続する際に用いる。
以後、顧客サーバ4と機器7は通信可能となり(ステップ95)、機器7は計測値を顧客サーバ4に送信することができる。この際、機器7は、計測値を顧客サーバ公開鍵で暗号化して顧客サーバ4に送信することにより、計測値の漏洩を防止する。
そして、機器7は、顧客サーバ接続情報をEEPROM25に記憶し、顧客サーバ4に接続する際に用いる。
以後、顧客サーバ4と機器7は通信可能となり(ステップ95)、機器7は計測値を顧客サーバ4に送信することができる。この際、機器7は、計測値を顧客サーバ公開鍵で暗号化して顧客サーバ4に送信することにより、計測値の漏洩を防止する。
以上の例では、顧客サーバ4から機器7に接続したが、機器7から顧客サーバ4に接続するように構成することもできる。
この場合、検証サーバ5は、顧客サーバ4に検証結果を送信した後(ステップ75)、顧客サーバ4から機器7を登録した旨の通知を受ける。
検証サーバ5は、このようにして機器7が登録されたことを確認した後、顧客サーバ接続情報を機器7に送信する(ステップ80)。
機器7は、検証サーバ5から顧客サーバ接続情報を受信し、これを用いて顧客サーバ4に接続する。
以後、顧客サーバ4と機器7は通信可能となる(ステップ95)。
この場合、検証サーバ5は、顧客サーバ4に検証結果を送信した後(ステップ75)、顧客サーバ4から機器7を登録した旨の通知を受ける。
検証サーバ5は、このようにして機器7が登録されたことを確認した後、顧客サーバ接続情報を機器7に送信する(ステップ80)。
機器7は、検証サーバ5から顧客サーバ接続情報を受信し、これを用いて顧客サーバ4に接続する。
以後、顧客サーバ4と機器7は通信可能となる(ステップ95)。
以上に説明した情報処理システム1では、機器7の有効性をCA3の失効リストで管理したが、失効リストのコピーを検証サーバ5で管理するように構成することもできる。
この場合、例えば、1日1回程度、バッチ処理にて検証サーバ5の機器登録データベースをCA3の失効リストに同期させる。
そして、機器7の検証の際に、検証サーバ5の機器登録データベースで機器7が失効であった場合、(失効になったものが有効になることはないので)検証サーバ5はCA3に問い合わせを行わなくても、当該機器7が失効であることを確認することができる。
そのため、検証サーバ5は、自己の機器登録データベースで機器7が有効であった場合にCA3に失効の有無を問い合わせればよい。この場合、前回バッチ処理を行った後、失効となった機器7が失効としてCA3から検証サーバ5に通知される。
このように、失効リストのコピーを用いることによりCA3への問い合わせ回数を減らすことができ、CA3の負荷を低減することができる。
この場合、例えば、1日1回程度、バッチ処理にて検証サーバ5の機器登録データベースをCA3の失効リストに同期させる。
そして、機器7の検証の際に、検証サーバ5の機器登録データベースで機器7が失効であった場合、(失効になったものが有効になることはないので)検証サーバ5はCA3に問い合わせを行わなくても、当該機器7が失効であることを確認することができる。
そのため、検証サーバ5は、自己の機器登録データベースで機器7が有効であった場合にCA3に失効の有無を問い合わせればよい。この場合、前回バッチ処理を行った後、失効となった機器7が失効としてCA3から検証サーバ5に通知される。
このように、失効リストのコピーを用いることによりCA3への問い合わせ回数を減らすことができ、CA3の負荷を低減することができる。
また、本実施の形態では、CA3、機器登録サーバ6及び検証サーバ5を別のサーバとして構成したが、1台のサーバで両者の機能を発揮するように構成することもできる。
例えば、検証サーバ5と機器登録サーバ6の機能を備えたサーバとCA3、機器登録サーバ6とCA3の機能を備えたサーバと検証サーバ5、検証サーバ5とCA3の機能を備えたサーバと機器登録サーバ6、あるいは、CA3、検証サーバ5、機器登録サーバ6の機能を備えたサーバを構成することもできる。これらの場合、サーバのメンテナンス作業などを軽減することができる。
例えば、検証サーバ5と機器登録サーバ6の機能を備えたサーバとCA3、機器登録サーバ6とCA3の機能を備えたサーバと検証サーバ5、検証サーバ5とCA3の機能を備えたサーバと機器登録サーバ6、あるいは、CA3、検証サーバ5、機器登録サーバ6の機能を備えたサーバを構成することもできる。これらの場合、サーバのメンテナンス作業などを軽減することができる。
以上に説明した本実施の形態により次のような効果を得ることができる。
(1)耐タンパ部20内で非対称鍵のペア(機器秘密鍵、機器公開鍵)を生成することにより、機器7に機器秘密鍵を外部から秘匿して記憶させることができる。
(2)機器公開鍵を用いて機器7が機器秘密鍵を記憶していることを確認することにより機器7が正統な機器であることを検証することができる。
(3)機器7と顧客サーバ4を接続する際に、機器7の正統性を検証サーバ5で検証することにより、顧客サーバ4に対して機器7が正統な機器であることを保証することができる。
(4)検証サーバの接続情報を予め機器7に記憶させておくことにより、機器7の接続環境にかかわらず、機器7を検証サーバ5に接続することができる。
(5)失効となった機器7を失効リストで管理することにより、失効になった機器7と顧客サーバ4の接続を防止することができる。
(6)機器7の検証をネットワーク10を介して自動的に行うため、機器7の設置現場に高度な技術を有する技術者を派遣する必要がない。
(1)耐タンパ部20内で非対称鍵のペア(機器秘密鍵、機器公開鍵)を生成することにより、機器7に機器秘密鍵を外部から秘匿して記憶させることができる。
(2)機器公開鍵を用いて機器7が機器秘密鍵を記憶していることを確認することにより機器7が正統な機器であることを検証することができる。
(3)機器7と顧客サーバ4を接続する際に、機器7の正統性を検証サーバ5で検証することにより、顧客サーバ4に対して機器7が正統な機器であることを保証することができる。
(4)検証サーバの接続情報を予め機器7に記憶させておくことにより、機器7の接続環境にかかわらず、機器7を検証サーバ5に接続することができる。
(5)失効となった機器7を失効リストで管理することにより、失効になった機器7と顧客サーバ4の接続を防止することができる。
(6)機器7の検証をネットワーク10を介して自動的に行うため、機器7の設置現場に高度な技術を有する技術者を派遣する必要がない。
1 情報処理システム
2 親CA
3 CA
4 顧客サーバ
5 検証サーバ
6 機器登録サーバ
7 機器
8 基地局
10 ネットワーク
2 親CA
3 CA
4 顧客サーバ
5 検証サーバ
6 機器登録サーバ
7 機器
8 基地局
10 ネットワーク
Claims (15)
- 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する機器であって、
秘密鍵と公開鍵の対を生成する非対称暗号鍵生成手段と、
前記生成した秘密鍵を記憶する秘密鍵記憶手段と、
前記生成した公開鍵を提供する公開鍵提供手段と、
前記検証サーバに接続するための検証サーバ接続情報が予め記憶された検証サーバ接続情報記憶手段と、
前記記憶した検証サーバ接続情報を用いて前記検証サーバに接続する検証サーバ接続手段と、
前記記憶した秘密鍵を用いて所定の情報を署名し、当該署名した署名情報を前記接続した検証サーバに送信する署名情報送信手段と、
前記情報処理サーバと接続する情報処理サーバ接続手段と、
を具備したことを特徴とする機器。 - 前記情報処理サーバ接続手段は、前記検証サーバ接続手段で前記検証サーバに接続した際に、前記検証サーバから前記情報処理サーバへの接続情報を取得し、当該取得した情報処理サーバへの接続情報を用いて前記情報処理サーバと接続することを特徴とする請求項1に記載の機器。
- 前記情報処理サーバ接続手段は、前記情報処理サーバからの接続要求を受けることにより前記情報処理サーバと接続することを特徴とする請求項1に記載の機器。
- 前記非対称暗号鍵生成手段と前記秘密鍵記憶手段は、耐タンパ性を有する耐タンパモジュール内に形成されており、前記耐タンパモジュールは、外部から前記秘密鍵へのアクセスを防止することを特徴とする請求項1、請求項2、又は請求項3に記載の機器。
- ネットワークに設置された際に、前記ネットワークを介して当該機器に接続するための接続情報を取得する接続情報取得手段と、
前記取得した接続情報を前記検証サーバに送信する接続情報送信手段と、
を具備したことを特徴とする請求項1から請求項4までのうちの何れか1の請求項に記載の機器。 - 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する検証サーバであって、
前記機器の秘密鍵と対を成す公開鍵を取得し、前記機器と対応づけて記憶する公開鍵記憶手段と、
前記機器の検証結果を送信する情報処理サーバと前記機器を対応づけて記憶する情報処理サーバ機器対応記憶手段と、
前記機器から前記秘密鍵で署名された署名情報を受信する署名情報受信手段と、
前記公開鍵記憶手段で当該機器と対応づけた公開鍵を取得する公開鍵取得手段と、
前記取得した公開鍵を用いて、前記受信した署名情報の正統性を確認することにより前記機器の正統性を検証する検証手段と、
前記情報処理サーバ機器対応記憶手段で、当該機器に対応づけられている情報処理サーバに前記検証手段による検証結果を送信する検証結果送信手段と、
を具備したことを特徴とする検証サーバ。 - 前記機器から、当該機器に接続するための接続情報を受信する接続情報受信手段と、
前記受信した接続情報を、当該機器に対応づけられている情報処理サーバに送信する接続情報送信手段と、
を具備したことを特徴とする請求項6に記載の検証サーバ。 - 機器の正統性を検証する際に、機器が有効であるか失効であるかの有効性を記憶した失効状態記憶手段から、当該機器の有効性を取得する有効性検証手段を具備し、
前記取得した有効性が失効である場合に、前記検証結果の送信を行わないことを特徴とする請求項6又は請求項7に記載の検証サーバ。 - 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する情報処理サーバであって、
前記検証サーバから、前記機器の検証結果を受信する検証結果受信手段と、
前記受信した検証結果が前記機器の正統性を認めるものであった場合に前記機器に接続する接続手段と、
を具備したことを特徴とする情報処理サーバ。 - 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、前記公開鍵の公開鍵証明書を作成する公開鍵証明サーバと、前記検証サーバで検証対象となる機器を前記検証サーバに登録する機器登録サーバと、を用いて構成された情報処理システムで使用する機器登録サーバであって、
前記機器から公開鍵を取得する公開鍵取得手段と、
前記取得した公開鍵を前記公開鍵証明サーバに送信して公開鍵証明書の発行を要求する公開鍵証明書発行要求手段と、
前記公開鍵証明サーバから発行された公開鍵証明書を前記検証サーバに送信する公開鍵証明書送信手段と、
を具備したことを特徴とする機器登録サーバ。 - 前記検証サーバに接続するための検証サーバ接続情報を前記機器に送信することを特徴とする請求項10に記載の機器登録サーバ。
- 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する機器で行う情報処理であって、
前記機器は、非対称暗号鍵生成手段と、秘密鍵記憶手段と、公開鍵提供手段と、前記検証サーバに接続するための検証サーバ接続情報が予め記憶された検証サーバ接続情報記憶手段と、検証サーバ接続手段と、検証情報送信手段と、情報処理サーバ接続手段と、を備えており、
前記非対称暗号鍵生成手段によって、秘密鍵と公開鍵の対を生成する非対称暗号鍵生成ステップと、
前記秘密鍵記憶手段によって、前記生成した秘密鍵を記憶する秘密鍵記憶ステップと、
前記公開鍵提供手段によって、前記生成した公開鍵を提供する公開鍵提供ステップと、
前記検証サーバ接続手段によって、前記検証サーバ接続情報記憶手段で記憶した検証サーバ接続情報を用いて前記検証サーバに接続する検証サーバ接続ステップと、
前記署名情報送信手段によって、前記秘密鍵を用いて所定の情報を署名し、当該署名した署名情報を前記接続した検証サーバに送信する署名情報送信ステップと、
前記情報処理サーバ接続手段によって、前記情報処理サーバと接続する情報処理サーバ接続ステップと、
から構成されたことを特徴とする情報処理方法。 - 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する検証サーバで行う情報処理方法であって、
前記検証サーバは、公開鍵記憶手段と、情報処理サーバ機器対応記憶手段と、署名情報受信手段と、公開鍵取得手段と、検証手段と、検証結果送信手段と、を備え、
前記公開鍵記憶手段によって、前記機器の秘密鍵と対を成す公開鍵を取得し、前記機器と対応づけて記憶する公開鍵記憶ステップと、
前記情報処理サーバ機器対応記憶手段によって、前記機器の検証結果を送信する情報処理サーバと前記機器を対応づけて記憶する情報処理サーバ機器対応記憶ステップと、
前記署名情報受信手段によって、前記機器から前記秘密鍵で署名された署名情報を受信する署名情報受信ステップと、
前記公開鍵取得手段によって、前記公開鍵記憶手段で当該機器と対応づけた公開鍵を取得する公開鍵取得ステップと、
前記検証手段によって、前記取得した公開鍵を用いて、前記受信した署名情報の正統性を確認することにより前記機器の正統性を検証する検証ステップと、
前記検証結果送信手段によって、前記情報処理サーバ機器対応記憶手段で、当該機器に対応づけられている情報処理サーバに前記検証手段による検証結果を送信する検証結果送信ステップと、
から構成されたことを特徴とする情報処理方法。 - 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、を用いて構成された情報処理システムで使用する情報処理サーバで行う情報処理方法であって、
前記情報処理サーバは、検証結果受信手段と、接続手段と、を備え、
前記検証結果受信手段によって、前記検証サーバから、前記機器の検証結果を受信する検証結果受信ステップと、
前記接続手段によって、前記受信した検証結果が前記機器の正統性を認めるものであった場合に前記機器に接続する接続ステップと、
から構成されたことを特徴とする情報処理方法。 - 秘密鍵を有する機器と、前記秘密鍵で署名された署名情報の正統性を前記秘密鍵と対をなす公開鍵で確認することにより前記機器の正統性を検証する検証サーバと、前記検証サーバで正統性であると検証された場合に前記機器と通信する情報処理サーバと、前記公開鍵の公開鍵証明書を作成する公開鍵証明サーバと、前記検証サーバで検証対象となる機器を前記検証サーバに登録する機器登録サーバと、を用いて構成された情報処理システムで使用する機器登録サーバで行う情報処理方法であって、
前記機器登録サーバは、公開鍵取得手段と、公開鍵証明書発行要求手段と、公開鍵証明書送信手段と、を備え、
前記公開鍵取得手段によって、前記機器から公開鍵を取得する公開鍵取得ステップと、
前記公開鍵証明書発行要求手段によって、前記取得した公開鍵を前記公開鍵証明サーバに送信して公開鍵証明書の発行を要求する公開鍵証明書発行要求ステップと、
前記公開鍵証明書送信手段によって、前記公開鍵証明サーバから発行された公開鍵証明書を前記検証サーバに送信する公開鍵証明書送信ステップと、
から構成されたことを特徴とする情報処理方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2006/302465 WO2007094035A1 (ja) | 2006-02-13 | 2006-02-13 | 検証サーバ機器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2007094035A1 true JPWO2007094035A1 (ja) | 2009-07-02 |
Family
ID=38371231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008500352A Pending JPWO2007094035A1 (ja) | 2006-02-13 | 2006-02-13 | 機器、検証サーバ、情報処理サーバ、機器登録サーバ、及び情報処理方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JPWO2007094035A1 (ja) |
| WO (1) | WO2007094035A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5012574B2 (ja) * | 2008-03-03 | 2012-08-29 | 日本電気株式会社 | 共通鍵自動共有システム及び共通鍵自動共有方法 |
| JP5325061B2 (ja) * | 2009-09-25 | 2013-10-23 | 株式会社日立製作所 | 鍵管理装置および鍵管理方法 |
| JP2014174560A (ja) * | 2013-03-05 | 2014-09-22 | Canon Inc | 情報処理装置及びサーバとその制御方法、プログラム及び記憶媒体 |
| US11310050B2 (en) | 2018-09-17 | 2022-04-19 | Microsoft Technology Licensing, Llc | Verifying a computing device after transport |
| WO2020004494A1 (ja) * | 2018-06-26 | 2020-01-02 | 日本通信株式会社 | オンラインサービス提供システム、icチップ、アプリケーションプログラム |
| US11617084B2 (en) | 2018-06-26 | 2023-03-28 | Japan Communications Inc. | Online service providing system and application program |
| EP3817279A4 (en) * | 2018-06-26 | 2022-03-23 | Japan Communications, Inc. | ONLINE SERVICE DELIVERY SYSTEM AND APPLICATION PROGRAM |
| JP6653029B1 (ja) * | 2019-01-15 | 2020-02-26 | レノボ・シンガポール・プライベート・リミテッド | 情報処理システム、情報処理装置、及び情報処理方法 |
| JP7452750B1 (ja) | 2023-10-20 | 2024-03-19 | 大日本印刷株式会社 | 電子情報記憶媒体、icチップ、icカード、公開鍵照合方法、及びプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09261217A (ja) * | 1996-03-27 | 1997-10-03 | Nippon Telegr & Teleph Corp <Ntt> | 通信装置及びその方法 |
| JP4764536B2 (ja) * | 1998-11-17 | 2011-09-07 | 株式会社リコー | 画像計測機器 |
| JP3971890B2 (ja) * | 2000-11-01 | 2007-09-05 | 日本電信電話株式会社 | 署名検証支援装置、署名検証支援方法、及び電子署名検証方法 |
-
2006
- 2006-02-13 WO PCT/JP2006/302465 patent/WO2007094035A1/ja active Application Filing
- 2006-02-13 JP JP2008500352A patent/JPWO2007094035A1/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007094035A1 (ja) | 2007-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11516016B2 (en) | Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer | |
| US11743054B2 (en) | Method and system for creating and checking the validity of device certificates | |
| JPWO2007094035A1 (ja) | 機器、検証サーバ、情報処理サーバ、機器登録サーバ、及び情報処理方法 | |
| CN102246455B (zh) | 自我认证通信设备以及设备认证系统 | |
| US20060206433A1 (en) | Secure and authenticated delivery of data from an automated meter reading system | |
| JP3971890B2 (ja) | 署名検証支援装置、署名検証支援方法、及び電子署名検証方法 | |
| JP2006060779A (ja) | 証明書送信装置、通信システム、証明書送信方法、プログラム及び記録媒体 | |
| GB2530028A (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
| JP2017175226A (ja) | 公開鍵証明書を発行するためのプログラム、方法およびシステム | |
| JP2005110212A (ja) | 通信装置、通信システム及び証明書設定方法 | |
| US20090106548A1 (en) | Method for controlling secured transactions using a single physical device, corresponding physical device, system and computer program | |
| KR20100010831A (ko) | 전문가의 전자서명을 이용한 문서 인증 시스템, 방법 및 그기록매체 | |
| JP4918717B2 (ja) | 計測装置 | |
| JP2000066590A (ja) | データ保管システム、データ保管方法、保管データ存在証明方法、プログラム記録媒体 | |
| JP4868322B2 (ja) | 情報処理システム、及び情報処理方法 | |
| JP4509678B2 (ja) | 証明書設定方法 | |
| JP3717848B2 (ja) | 電子公証システム及び電子公証方法 | |
| JP2008005090A (ja) | 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法 | |
| JP4541740B2 (ja) | 認証用鍵の更新システム、および認証用鍵の更新方法 | |
| JP2004140636A (ja) | 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム | |
| JPH07160198A (ja) | 暗号通信における公開鍵登録方法および公開鍵証明書の発行局 | |
| JP4499027B2 (ja) | 時刻監査サーバ及び時刻監査方法 | |
| JP2007215104A (ja) | 端末機器 | |
| CN113706261A (zh) | 一种基于区块链的电力交易方法、装置及系统 | |
| US20220158852A1 (en) | Providing a Proof of Origin for a Digital Key Pair |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110527 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110714 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110812 |