JPWO2013084381A1 - 証明書配付装置およびその方法、並びにコンピュータプログラム - Google Patents

証明書配付装置およびその方法、並びにコンピュータプログラム Download PDF

Info

Publication number
JPWO2013084381A1
JPWO2013084381A1 JP2013548053A JP2013548053A JPWO2013084381A1 JP WO2013084381 A1 JPWO2013084381 A1 JP WO2013084381A1 JP 2013548053 A JP2013548053 A JP 2013548053A JP 2013548053 A JP2013548053 A JP 2013548053A JP WO2013084381 A1 JPWO2013084381 A1 JP WO2013084381A1
Authority
JP
Japan
Prior art keywords
certificate
distribution
private key
network
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013548053A
Other languages
English (en)
Other versions
JP5731673B2 (ja
Inventor
浩康 木村
浩康 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2013548053A priority Critical patent/JP5731673B2/ja
Publication of JPWO2013084381A1 publication Critical patent/JPWO2013084381A1/ja
Application granted granted Critical
Publication of JP5731673B2 publication Critical patent/JP5731673B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

証明書および秘密鍵を効率よく配付可能とすることと、セキュリティの向上との両立を図る。装置群にネットワークを介して接続される証明書配付装置である。証明書配付装置は、配付用として装置別に用意された証明書および秘密鍵を記憶する証明書/秘密鍵記憶部と、装置群に属する各装置のセキュリティレベルを記憶するセキュリティレベル記憶部と、装置群の中から1または複数の装置を選択することをユーザに促す選択用画面WDを表示部に表示するとともに、ユーザによる前記選択の指示を受け取る表示/指示部と、表示/指示部によって選択の指示がなされた1または複数の装置に対して、証明書/秘密鍵記憶部に記憶された装置別の証明書および秘密鍵を前記ネットワークを介して配付する証明書/秘密鍵配付部とを備え、選択用画面WDは、各装置のセキュリティレベルを装置毎に表示する。
【選択図】 図17

Description

本発明は、ネットワークを介して接続された装置群に証明書および秘密鍵を配付する技術に関する。
複数台の装置の認証と通信路の暗号化を行うために、事前に用意した証明書と秘密鍵をネットワーク経由で各装置に配付することが行われる。本明細書では、「装置」とは、ネットワークを構成するノードのうちのOS(Operating System)を持つインテリジェントなもので、例えば、スイッチやルータなどのネットワーク機器や、コンピュータやサーバ等の情報処理装置が該当する。
前記証明書と秘密鍵の配付は、ネットワークを経由することなく、ユーザがメディアを利用して持ち込んで、ユーザが直接、装置にインストールするのが一般的であり、最もセキュアな方法である。この方法では、大量の装置を配付対象としたとき、あまりにも手数がかかりすぎるため、証明書および秘密鍵を配付する方法が提案されている。例えば、特許文献1に記載された方法は、証明書配付用のサーバを設け、ユーザ端末と配付先の装置との間をネットワークに接続されていないローカルで結ぶことで配付先の装置をネットワークから孤立させ、セキュリティの向上を図ろうというものである。
特開2006−352560号公報 特開2005−192110号公報
しかしながら、特許文献1に記載された方法では、証明書配付サーバとユーザ端末との間をネットワークで結ぶ必要があることから、十分なセキュリティを得ることができないという問題があった。こうした問題を考慮し、本発明が解決しようとする課題は、証明書および秘密鍵を効率よく配付可能とすることと、セキュリティの向上との両立を図ることである。
本発明は、上述の課題の少なくとも一部を解決するために以下の形態または適用例として実現することが可能である。
例えば、一態様として、情報処理装置及び前記情報処理装置間に配置されるネットワーク機器の少なくとも一方を含む複数の装置群にネットワークを介して接続される証明書配付装置は、前記装置群に属する各装置のセキュリティレベルを含む前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け、選択の指示がなされた1または複数の装置に対して、装置別の証明書および秘密鍵を前記ネットワークを介して配付する。上記態様によれば、配付の効率の向上とセキュリティの向上との両立を図ることができる。
本発明の第1実施例としての通信システム10の構成を示す説明図である。 証明書配付サーバ100の内部構成を模式的に示す説明図である。 装置210の内部構成を模式的に示す説明図である。 クライアントPC400の構成を模式的に示す説明図である。 証明書配付サーバ100に備えられた証明書管理データベース190のデータモデル構造を示す説明図である。 装置管理テーブル1100を構成する各項目の内容の一例を示す説明図である。 グループ管理テーブル1200を構成する各項目の内容の一例を示す説明図である。 装置内証明書テーブル1300を構成する各項目の内容の一例を示す説明図である。 配付用証明書テーブル1400を構成する各項目の内容の一例を示す説明図である。 更新間隔項目テーブル1410を構成する各項目の内容の一例を示す説明図である。 物理的遮蔽テーブル1500を構成する各項目の内容の一例を示す説明図である。 物理的遮蔽選択テーブル1510を構成する各項目の内容の一例を示す説明図である。 L2機能テーブル1600を構成する各項目の内容の一例を示す説明図である。 L2機能選択テーブル1610を構成する各項目の内容の一例を示す説明図である。 L3機能テーブル1700を構成する各項目の内容の一例を示す説明図である。 L3機能選択テーブル1710を構成する各項目の内容の一例を示す説明図である。 証明書配付サーバに備えられたGUIによる表示画面WDの一例を示す説明図である。 証明書配付サーバによって実行される処理を示すフローチャートである。 第2実施例における証明書表示フィールドFD2を例示する説明図である。 第3実施例におけるネットワーク構成表示フィールドFD1の表示の一例を示す説明図である。 第3実施例の変形例におけるネットワーク構成表示フィールドFD1の表示の一例を示す説明図である。
以下、本発明を実施するための形態を実施例に基づいて、以下の順序で説明する。
A.第1実施例:
A1.システム構成:
A2.装置等の構成:
A3.データモデル構造:
A4.GUIによる表示画面:
A5.証明書配付サーバによる処理:
A6.実施例効果:
B.第2実施例:
C.第3実施例:
D.変形例:
A.第1実施例:
A1.システム構成:
図1は、本発明の第1実施例としての通信システム10の構成を示す説明図である。通信システム10は、認証局50と、証明書配付サーバ100と、n台の装置210〜2n0(nは正数)と、クライアントパーソナルコンピュータ(以下、「クライアントPC」と呼ぶ)300とを含む。装置210〜2n0は、レイヤー2(L2:データリンク層)、レイヤー3(L3:ネットワーク層)の転送機能を持つスイッチやルータなどのネットワーク機器や、コンピュータやサーバ等の情報処理装置である。装置210〜2n0は、証明書と秘密鍵を使った認証と通信路の暗号化の機能を持つ。各装置210〜2n0の認証と通信路の暗号化を行う場合、装置に接続するクライアント側かサーバとなる装置側に証明書と秘密鍵をインストールする必要がある。本実施例では、サーバ認証が採用されている。なお、装置210〜2n0は、以下、「A装置」、「B装置」、…と順に英字を付与して呼ぶ。なお、第n番目の装置2n0は「n装置」と呼ぶ。
証明書配付サーバ100は、インターネットINTを経由して、認証局50およびクライアントPC400に通信可能に接続されている。すなわち、TCP、UDP、HTTPなどのインターネットにおいて一般的に利用されているプロトコルで接続されている。また、証明書配付サーバ100は、ネットワークNTを経由して、各装置210〜2n0に通信可能に接続されている。ネットワークNTは、本実施例では、LAN(Local Area Network)である。証明書配付サーバ100と認証局50との間、クライアントPC400と認証局50との間は、インターネットINTに換えて他のネットワークとすることもできる。また、上記2つの間は、同一の種類のネットワークに限ることもなく、異なる種類のネットワークとすることもできる。
装置210〜2n0のうちのいずれかは、必要によってグループに所属する。図示の例は、A装置210およびB装置220が第1グループG1に所属する。C装置230およびD装置240は、A装置210に接続されるとともに、第2グループG2に所属する。n装置2n0は第mグループGmに所属する(mは正数)。E装置250、F装置260はどのグループにも所属しない。証明書と秘密鍵は、グループごとに配付することができる。
本実施例では、証明書と秘密鍵を用いた、装置の認証と通信路の暗号化の機能を装置210〜2n0側に持たせるために、証明書配付サーバ100は、配付用の証明書と秘密鍵を用意し、ネットワークNTを経由して各装置210〜2n0に前記証明書と秘密鍵を配付する。証明書と秘密鍵は、装置210〜2n0毎に個別のものである。
証明書配付サーバ100での前記証明書と秘密鍵の事前の用意は、次の3通りの方法で行うことができる。第1の方法は、認証局50で証明書と秘密鍵とを作成し、認証局50から証明書と秘密鍵とをネットワークNT経由で受け取って保管する方法である。第2の方法は、証明書配付サーバ100が証明書と秘密鍵を独自に作成し、証明書と秘密鍵とを第1のネットワークNT1を経由して認証局50に送り、認証局50で認証を済ませた上で、証明書配付サーバ100で保管する方法である。第3の方法は、証明書配付サーバ100が証明書と秘密鍵を独自に作成し保管する方法である。証明書配付サーバ100で保管される証明書と秘密鍵の対のそれぞれは、前記3通りのいずれの方法で用意されたものであってもよい。
各装置210〜2n0は、証明書配付サーバ100からネットワークNT経由で配付された各証明書と秘密鍵を、それぞれインストールする。
クライアントPC400は、証明書配付サーバ100に接続されるコンピュータであり、証明書配付サーバ100に備えられるGUI130の表示部として機能するとともに、各種指令やデータを入力する入力部として機能する。これにより、クライアントPC400は、証明書と秘密鍵を配付する装置を、装置210〜2n0の中からユーザの指令に応じて選択し、その選択結果を証明書配付サーバ100に対して通知する。証明書配付サーバ100は、その通知を受けて、全装置210〜2n0のうちの前記選択結果に応じた装置に対して、証明書と秘密鍵を配付する。
A2.装置等の構成:
図2は、証明書配付サーバ100の内部構成を模式的に示す説明図である。図示するように、証明書配付サーバ100は、Webサーバ110と、通信部120と、GUI(Graphical User Interface)130と、証明書生成部140と、秘密鍵生成部150と、証明書保管部160と、秘密鍵保管部170と、表示/指示部180と、配付部185と、証明書管理データベース190とを備えている。
Webサーバ110は、インターネットINTに接続される認証局50およびクライアントPCとの間の通信を制御するためのもので、Webブラウザに対して、HTMLやオブジェクト(画像など)の表示を提供する。通信部120は、ネットワークNTに接続される各装置210〜2n0との間の通信を制御する。GUI130は、ユーザに対するグラフィカルな情報の表示と、マウスなどのポインティングデバイスによる入力指示とを制御する。
証明書配付サーバ100は、実際は、図示しないCPUと、ROMやRAMなどの内部記憶装置を含んでおり、CPUで処理を行うことで機能的にWebサーバ110、GUI130、証明書生成部140、秘密鍵生成部150、表示/指示部180、および配付部185を実現する。詳しくは、内部記憶装置に所定のコンピュータプログラムが格納されており、CPUはコンピュータプログラムを実行することにより、各部130〜185の機能を実現する。なお、各部130〜185の処理内容については、A5節で詳述する。
証明書配付サーバ100は、また、ハードディスクドライブ(HDD)などの外部記憶装置を含んでおり、外部記憶装置内に、証明書保管部160、秘密鍵保管部170、および証明書管理データベース190が用意される。証明書保管部160は配付用の各装置の証明書を記憶する記憶エリアであり、秘密鍵保管部170は配付用の各装置の秘密鍵を記憶する記憶エリアである。証明書管理データベース190は、証明書や秘密鍵の情報を管理するためのデータベースであり、後ほど詳述する。証明書保管部160および秘密鍵保管部170が、[課題を解決するための手段]の欄に記載した「証明書/秘密鍵記憶部」に相当する。証明書管理データベース190が、[課題を解決するための手段]の欄に記載した「セキュリティレベル記憶部」および「有効期限記憶部」に相当する。
外部記憶装置内には、また、前記コンピュータプログラムが予め格納されている。外部記憶装置に格納された前記プログラムは内部記憶装置に一旦ロードされた上で、CPUによって実行される。なお、コンピュータプログラムの格納場所は、HDDに換えて、CD−ROM、メモリーカード等の他の記録媒体に換えてもいいし、インターネットなど各種通信手段を通じて配信されたりすることもできる。
図3は、装置210の内部構成を模式的に示す説明図である。図示するように、装置210は、Webサーバ211と、通信部212と、L2/L3機能管理部213と、証明書格納部214と、秘密鍵格納部215とを備えている。各部211〜215はバス等により相互に接続されている。通信部212は、ネットワークNTに接続される証明書配付サーバ100との間の通信を制御する。
装置210は、実際は、図示しないCPUと、ROMやRAMなどの内部記憶装置を含んでおり、CPUで処理を行うことで機能的に前記L2/L3機能管理部213、証明書格納部214、および秘密鍵格納部215を実現する。また、内部記憶装置内に、証明書格納部214の格納場所としての記憶エリア、および秘密鍵格納部215の格納場所としての記憶エリアを用意する。L2/L3機能管理部216は、L2/L3機能を設定、管理し、LANによる通信を可能としている。証明書格納部214は、証明書配付サーバ100から配付された証明書を通信部212を介して取得し、その証明書を内部記憶装置内に格納する。秘密鍵格納部215は、証明書配付サーバ100から配付された秘密鍵を通信部212を介して取得し、その秘密鍵を内部記憶装置内に格納する。なお、他の装置211〜2n0は装置210と同じ構成である。
図4は、クライアントPC400の構成を模式的に示す説明図である。クライアントPC400は、いわゆるパーソナルコンピュータであり、図示するように、Webサーバ410と、通信部420と、GUI430と、入出力制御部440と、ディスプレイ制御部450とを備える。Webサーバ410は、WWW(World Wide Web)による情報送信を行う。入出力制御部440は入力部としてのマウス470やキーボード480を制御し、ディスプレイ制御部450は表示部としてのディスプレイ490を制御する。GUI430は、証明書配付サーバ100の有するGUI130と画面仕様が同じものである。こうした構成により、クライアントPC400は、証明書配付サーバ100と同じユーザインターフェースを、クライアントPC400の操作者に提供することができる。なお、クライアントPC400は、いわゆるパーソナルコンピュータの形態に限る必要はなく、スマートフォンやPDA等のモバイル機器としてもよい。
A3.データモデル構造:
図5は、証明書配付サーバ100に備えられた証明書管理データベース190のデータモデル構造を示す説明図である。実装を行うに当たって取り扱うデータの種類と、各データの関連性が、図示するデータモデル構造によって表記されている。ただし、実装によっては、各項目の関連性はCPU、メモリ、ストレージなどのハードウェアリソースの状況やユースケースによって変化し、データモデル構造は図示のものとは変わりうる。
図示するように、証明書管理データベース190は、装置管理テーブル1100をデータモデル構造の中心に備える。装置管理テーブル1100は、装置ID1101、装置名1102、IPアドレス1103、登録グループ1104、安全度1105、装置証明書1106、配付用証明書1107の各項目により構成される。
図6は、装置管理テーブル1100を構成する各項目の内容の一例を示す説明図である。装置ID1101には、各装置210〜2n0を識別するためのIDが格納される。装置名1102には、各装置210〜2n0の名称を示すデータが格納される。IPアドレス1103には、各装置210〜2n0に付されたIPアドレスが格納される。登録グループ1104には、各装置210〜2n0の所属するグループG1〜Gmを識別するためのIDが格納される。安全度1105には、各装置210〜2n0のセキュリティレベル(安全度)を数値化した値が格納される。装置証明書1106には、各装置210〜2n0の証明書を識別するためのIDが格納される。各装置210〜2n0の証明書は図3の証明書格納部214に格納された証明書である。配付用証明書1107には、配付用の証明書を識別するためのIDが格納される。配付用証明書は、図2の証明書保管部160に格納された証明書である。
装置管理テーブル1100に含まれる各210〜2n0を示すレコード(行データ)は、通信システム10に新たな装置が追加される都度に追加される。その際、装置ID1101は、自動的に割り振られる。装置名1102、IPアドレス1103は、ユーザによってクライアントPC400を用いて任意に登録される。
図5に戻って、登録グループ1104に格納されるグループG1〜GmのIDは、グループ管理テーブル1200と関連づけられている。グループ管理テーブル1200は、グループID1201、グループ名1202の各項目により構成される。
図7は、グループ管理テーブル1200を構成する各項目の内容の一例を示す説明図である。グループID1201には、グループG1〜Gmを識別するためのIDが格納される。グループ名1202には、各グループG1〜Gmの名称が格納される。グループID1201はグループ設定がなされた際に自動的に登録される。グループ名1202はユーザによって任意に登録される。グループに所属しない装置は、グループID「A0000」に対応するグループ名「所属グループ無し」と定義することにより、グループに所属しない装置となる。図5に示すE装置250、F装置260がグループに所属していない装置である。図5において関連づけられているように、装置管理テーブル1100の登録グループ1104に格納されるグループIDをキーにしてグループ管理テーブル1200を検索することにより、前記グループIDに対応するグループ名1202を読み出すことができる。
装置管理テーブル1100の装置証明書1106に格納される証明書のIDは、装置内証明書テーブル1300と関連づけられている。装置内証明書テーブル1300は、証明書ID1301、証明書期限1302、最終更新日1303の各項目により構成される。
図8は、装置内証明書テーブル1300を構成する各項目の内容の一例を示す説明図である。証明書ID1301には、証明書を識別するためのIDが格納される。証明書期限1302には、証明書の期限が格納される。この証明書の期限は、各装置210〜2n0に備えられる証明書格納部214(図3)に格納された証明書の有効期限と一致する。最終更新日1303には、証明書が本証明書配付サーバ100によって更新された日付が格納される。図5において関連づけられているように、装置管理テーブル1100の装置証明書1106に格納される証明書IDをキーにして装置内証明書テーブル1300を検索することにより、前記証明書IDに対応する証明書期限1302と最終更新日1303を読み出すことができる。
装置管理テーブル1100の配付用証明書1107に格納される配付用証明書のIDは、配付用証明書テーブル1400と関連づけられている。配付用証明書テーブル1400は、配付用証明書ID1401、更新間隔1402、証明書期限1403、更新予定日1404の各項目により構成される。
図9は、配付用証明書テーブル1400を構成する各項目の内容の一例を示す説明図である。配付用証明書ID1401には、配付用証明書を識別するためのIDが格納される。更新間隔1402には、証明書と秘密鍵を更新する間隔を示すための更新間隔IDが格納される。証明書期限1403には、配付用証明書の期限が格納される。この配付用証明書の期限は、装置管理テーブル1100に備えられる証明書保管部160(図2)に格納された装置210〜2n0毎の証明書の有効期限と一致する。更新予定日1404には、配付用証明書の更新予定日が格納される。この更新予定日は、装置内証明書テーブル1300に含まれる最終更新日1303に更新間隔1402の日にちを足した日となる。更新間隔IDは、図5に示すように、更新間隔項目テーブル1410と関連づけられている。更新間隔項目テーブル1410は、更新間隔ID1411、期間1412の各項目により構成される。
図10は、更新間隔項目テーブル1410を構成する各項目の内容の一例を示す説明図である。更新間隔ID1411には、更新間隔を識別するためのIDが格納される。期間1412には、更新間隔の期間が格納される。期間1412には、例えば、最短「1ヶ月」、最長「2年」の期間が格納される。
図5において関連づけられているように、配付用証明書テーブル1400の更新間隔1402に格納される更新間隔IDをキーにして更新間隔項目テーブル1410を検索することにより、前記更新間隔IDに対応する期間1412を読み出すことができる。さらに、装置管理テーブル1100の配付用証明書1107に格納される配付用証明書のIDをキーにして配付用証明書テーブル1400を検索することにより、前記IDに対応する更新間隔1402(最終的には期間1412)と証明書期限1403と更新予定日1404を読み出すことができる。
なお、装置内証明書テーブル1300に含まれる証明書期限1302および最終更新日1303、配付用証明書テーブル1400に含まれる証明書期限1403および更新予定日1404、更新間隔項目テーブル1410に含まれる期間1412の各値は、年月日による表記であったが、本発明ではこれに限られない。例えば、秒を含めたより詳細な時刻としてもよく、あるいは、年月だけの大まかな表記としてもよい。
装置管理テーブル1100に含まれる配付用証明書1107と、配付用証明書テーブル1400とは、証明書配付サーバ100が証明書と秘密鍵を取得したときに、配付用証明書の内容に基づいて自動的に更新される。装置管理テーブル1100に含まれる装置証明書1106と、装置内証明書テーブル1300とは、証明書配付サーバ100が証明書と秘密鍵を配付したときに、配付した証明書の内容に基づいて自動的に更新される。
証明書管理データベース190は、図5のデータモデル構造に示すように、さらに、セキュリティレベルを定義するための項目である物理的遮蔽、L2機能、L3機能についての各テーブル1500、1600、1700を備える。物理的遮蔽テーブル1500は、物理ID1501、内容1502、優先値1503の各項目により構成される。
図11は、物理的遮蔽テーブル1500を構成する各項目の内容の一例を示す説明図である。物理ID150には、物理的遮蔽の種類を識別するためのIDが格納される。内容1502には、物理的遮蔽の内容が格納される。物理的遮蔽の内容は、当該装置毎に、その装置の周囲の環境を示すものである。物理的遮蔽の内容としては、例えば、「人の立ち入り不可」、「施錠」、「監視カメラ」、「指紋認証によるアクセス」、「警備員」等がある。優先値1503には、セキュリティレベル(安全度)を演算する際の重要度を示す係数が格納される。優先値1503は物理的遮蔽についてのものである。先の内容1502の例示においては、「人の立ち入り不可」の場合に最もセキュリティレベルが高く、優先値1503に「5」がセットされる。「施錠」の場合は次にセキュリティレベルが高く、優先値1503に「4」がセットされる。「警備員」の場合は最もセキュリティレベルが低く、優先値1503に「1」がセットされる。
図5に戻って、この物理的遮蔽テーブル1500は、物理的遮蔽選択テーブル1510を仲介することで、装置管理テーブル1100と関連づけられている。物理的遮蔽選択テーブル1510は、装置ID1511、物理ID1512の各項目により構成される。
図12は、物理的遮蔽選択テーブル1510を構成する各項目の内容の一例を示す説明図である。装置ID1511には、各装置210〜2n0を識別するためのIDが格納される。物理ID1512には、物理的遮蔽の種類を識別するためのIDが格納される。図5に戻って、装置管理テーブル1100の装置ID1101に格納される装置のIDをキーにして物理的遮蔽選択テーブル1510を検索することにより、前記装置のIDに対応する物理ID1512を読み出し、この物理ID1512をキーにして物理的遮蔽テーブル1500を検索することにより、前記物理ID1512に対応する内容1502と優先値1503を読み出すことができる。この結果、各装置210〜2n0が、物理的遮蔽についてどういった内容であるか、また、物理的遮蔽についての優先値はどれだけかを知ることが可能となる。
L2機能テーブル1600は、L2機能ID1601、内容1602、優先値1603の各項目により構成される。図13は、L2機能テーブル1600を構成する各項目の内容の一例を示す説明図である。L2機能ID1601には、L2の対象となる機能を識別するためのIDが格納される。内容1602には、その機能の内容が格納される。その機能の内容としては、「MACアドレスフィルター」、「VLAN」等がある。優先値1603には、安全度を演算する際の重要度を示す係数が格納される。優先値1603は、L2の対象となる機能についてのものである。先の内容1602の例示においては、「MACアドレスフィルター」の場合にセキュリティレベルが低く、優先値1603に「3」がセットされる。「VLAN」の場合はセキュリティレベルが高く、優先値1603に「5」がセットされる。
図5に戻って、このL2機能テーブル1600は、L2機能選択テーブル1610を仲介することで、装置管理テーブル1100と関連づけられている。L2機能選択テーブル1610は、装置ID1611、L2機能ID1612の各項目により構成される。
図14は、L2機能選択テーブル1610を構成する各項目の内容の一例を示す説明図である。装置ID1611には、各装置210〜2n0を識別するためのIDが格納される。L2機能ID1612には、L2の対象となる機能を識別するためのIDが格納される。図5に戻って、装置管理テーブル1100の装置ID1101に格納される装置のIDをキーにしてL2機能選択テーブル1610を検索することにより、前記装置のIDに対応するL2機能ID1612を読み出し、このL2機能ID1612をキーにしてL2機能テーブル1600を検索することにより、前記L2機能ID1612に対応する内容1602と優先値1603を読み出すことができる。この結果、各装置210〜2n0が、L2機能についてどういった内容であるか、また、L2機能についての優先値はどれだけかを知ることが可能となる。
L3機能テーブル1700は、L3機能ID1701、内容1702、優先値1703の各項目により構成される。図15は、L3機能テーブル1700を構成する各項目の内容の一例を示す説明図である。L3機能ID1701には、L3の対象となる機能を識別するためのIDが格納される。内容1702には、その機能の内容が格納される。その機能の内容としては、「IPアドレスフィルター」、「送信元IPアドレス制御」、「送信先IPアドレス制御」等がある。優先値1703には、安全度を演算する際の重要度を示す係数が格納される。優先値1703は、L3の対象となる機能についてのものである。先の内容1702の例示においては、「IPアドレスフィルター」の場合に最もセキュリティレベルが高く、優先値1703に「5」がセットされる。「送信元IPアドレス制御」の場合は次にセキュリティレベルが高く、優先値1703に「3」がセットされる。「送信先IPアドレス制御」の場合は最もセキュリティレベルが低く、優先値1503に「2」がセットされる。
図5に戻って、このL3機能テーブル1700は、L3機能選択テーブル1710を仲介することで、装置管理テーブル1100と関連づけられている。L3機能選択テーブル1710は、装置ID1711、L3機能ID1712の各項目により構成される。
図16は、L3機能選択テーブル1710を構成する各項目の内容の一例を示す説明図である。装置ID1711には、各装置210〜2n0を識別するためのIDが格納される。L3機能ID1712には、L3の対象となる機能を識別するためのIDが格納される。図5に戻って、装置管理テーブル1100の装置ID1101に格納される装置のIDをキーにしてL3機能選択テーブル1710を検索することにより、前記装置のIDに対応するL3機能ID1712を読み出し、このL3機能ID1712をキーにしてL3機能テーブル1700を検索することにより、前記L3機能ID1712に対応する内容1702と優先値1703を読み出すことができる。この結果、各装置210〜2n0が、L3機能についてどういった内容であるか、また優先値はどれだけかを知ることが可能となる。
すなわち、物理的遮蔽テーブル1500、L2機能テーブル1600、およびL3機能テーブル1700に含まれる各内容1502、1602、1702はユーザが証明書と秘密鍵をネットワーク配付するための安全の担保となる項目が登録されると言える。各内容1502、1602、1702は、システムデフォルトの項目とユーザによる登録が可能である。また、それぞれに応じて決定される優先値1503、1603、1703は、システムデフォルトの値とユーザによる登録が可能である。
装置管理テーブル1100に含まれる安全度1105の値は、装置210〜2n0毎に、前述した物理的遮蔽についての優先値1503、L2機能についての優先値1603、およびL3機能についての優先値1703の各値を足し合わせることで求められる。この結果、図6に例示するように、装置210〜2n0毎の各安全度1105に値が格納される。なお、安全度1105の計算手法は、本発明ではこれに限る必要はない。例えば、各値に対して重み付けを設定し、各値に各重み付けの係数を掛けた総和を安全度の値とする構成等、種々の統計的な計算を採用することができる。
A4.GUIによる表示画面:
図17は、証明書配付サーバ100に備えられたGUI130による表示画面WDの一例を示す説明図である。ここで、「表示画面」とは、表示部に表示されるウィンドウのことである。前述したように、GUI130はクライアントPC400に備えられたGUI430と同じ画面仕様であることから、図17に示した表示画面WDは、クライアントPC400のディスプレイ490の表示画面でもある。図示するように、表示画面WDには、ネットワーク構成表示フィールドFD1と、証明書表示フィールドFD2とが設けられている。
ネットワーク構成表示フィールドFD1には、証明書配付サーバ100に接続される各装置210〜2n0のネットワーク構成が表示される。図示するように、各装置210〜2n0は装置名u3で示され、各装置名u3は、装置が所属するグループのグループ名u2にぶら下がっている。これにより、装置がどのグループに所属するかを示している。各グループ名u2は、証明書配付サーバ100に接続される装置210〜2n0の全てを示す「ALL」の文字列u1にぶら下がっている。各装置210〜2n0のうちでどのグループにも所属しない装置は、グループ名u2を介さず直接、「ALL」の文字列u1にぶら下がっている。
ネットワーク構成表示フィールドFD1の表示の内容は、証明書配付サーバ100に備えられた証明書管理データベース190に基づくものである。各装置名u3は、証明書管理データベース190に含まれる装置管理テーブル1100の装置名1102(図5)に対応している。グループ名u2は、装置管理テーブル1100の登録グループ1104をキーとして読み出されるグループ名1202(図5)に対応している。
「ALL」の文字列u1、グループ名u2、装置名u3のそれぞれは、クライアントPC400に接続されたマウス470によるクリック操作を受けることが可能であり、クリックされた対象に該当する装置の証明書等が、ネットワーク構成表示フィールドFD1の右隣に位置する証明書表示フィールドFD2に表示される。図示の例は、「ALL」の文字列u1がクリックされたときのもので、証明書表示フィールドFD2には、全ての装置210〜2n0についての証明書等の情報が表示されている。
証明書表示フィールドFD2には、ネットワーク構成表示フィールドFD1で対象となった装置のそれぞれについての証明書等の情報が表示される。詳しくは、図示するように、装置名v1、IPアドレスv2、安全度v3、証明書期限v4、最終更新日v5、更新間隔v6、証明書期限v7、更新予定日v8の各項目を有する表の形で表示される。
証明書表示フィールドFD2の表示の内容も、証明書配付サーバ100に備えられた証明書管理データベース190に基づくものである。装置名v1は証明書管理データベース190に含まれる装置管理テーブル1100の装置名1102(図5)に、IPアドレスv2は装置管理テーブル1100のIPアドレス1103(図5)に、安全度v3は装置管理テーブル1100の安全度1105(図5)にそれぞれ対応している。証明書期限v4は装置内証明書テーブル1300の証明書期限1302に、最終更新日v5は装置内証明書テーブル1300の最終更新日1303にそれぞれ対応している。更新間隔v6は配付用証明書テーブル1400の更新間隔1402に、証明書期限v7は配付用証明書テーブル1400の証明書期限1403に、更新予定日v8は配付用証明書テーブル1400の更新予定日1404にそれぞれ対応している。
証明書表示フィールドFD2において、各装置の装置名v1の左側には、配付先の装置を選択するためのチェックボックスcbが設けられている。ユーザは、1または複数の装置のチェックボックスcbをクリックすることで、証明書および秘密鍵の配付を希望する装置を全ての装置210〜2n0の中から選択することができる。証明書表示フィールドFD2の左下側には、配付の実行を指示するための[配付]ボタンdbが設けられている。ユーザは、チェックボックスcbをクリックし、その後、[配付]ボタンdbをクリックすることで、配付を希望する装置を証明書配付サーバ100に対して指示することができる。なお、この表示画面WDを以下、選択用画面WDと呼ぶ。
A5.証明書配付サーバによる処理:
図18は、証明書配付サーバ100によって実行される処理を示すフローチャートである。この処理は、ユーザが規定したスケジュールに従って定期的に繰り返し実行される。証明書配付サーバ100は、処理が開始されると、まず、認証局50から証明書と秘密鍵を取得し、配付用として保管する処理を行う(ステップS10)。この処理は、前述した第1の方法に該当する。すなわち、証明書配付サーバ100は、認証局50から証明書と秘密鍵とをネットワークNT経由で受け取って、その証明書と秘密鍵を証明書保管部160および秘密鍵保管部170(図2)に記憶(保管)する。
なお、ステップS10の処理は、第1の方法に替えて前述した第2の方法によっても行うことができる。すなわち、証明書配付サーバ100は、証明書生成部140および秘密鍵生成部150によって証明書と秘密鍵を生成し、証明書と秘密鍵とを第1のネットワークNT1を経由して認証局50に送り、認証局50で認証を済ませた上で、認証局50から認証済みの証明書と秘密鍵を受け取り、その証明書と秘密鍵を証明書保管部160および秘密鍵保管部170に記憶(保管)する。
ステップS10の実行後、証明書配付サーバ100は、認証局50を使用しない場合に、証明書配付サーバ100は、証明書と秘密鍵を生成し、その証明書と秘密鍵を配付用として証明書保管部160および秘密鍵保管部170に保管する(ステップS20)。この処理は、前述した第3の方法によるものである。
ステップS20の実行後、証明書配付サーバ100は、証明書管理データベースにおける配付用証明書に関する情報を更新する(ステップS30)。具体的には、装置管理テーブル1100に含まれる配付用証明書1107と、配付用証明書テーブル1400とを更新する。なお、更新間隔項目テーブル1410も必要に応じて更新される。この更新は、前述したように配付用証明書の内容に基づいて更新される。
ステップS30の実行後、証明書配付サーバ100は、装置管理テーブル1100の内容に基づいて図17に示した選択用画面WDを表示し、ユーザによる配付先の選択の指示を受ける(ステップS40)。この処理は、図2に示した表示/指示部180の機能に相当し、GUI130と協働して行われる。詳しくは、前述したチェックボックスcbと[配付]ボタンdbを用いたクリックの入力を受けることで、証明書配付サーバ100は、証明書および秘密鍵の配付先の選択指示を受けることができる。
なお、ユーザは、選択用画面WDに表示される各装置210〜2n0についての安全度v3、証明書期限v4を確認して、安全度が高いことと、証明書の期限まで余裕があることの双方を満たす装置を選択するようにする。また、ステップS40の処理は、GUI130と同じGUI430を提供するクライアントPC400側で実際は行われており、ユーザはクライアントPC400を操作することで、上記の確認および選択を行う。
この選択用画面WDは、証明書配付サーバ100に備えられたGUI130によるものであるが、前述したように、クライアントPC400でも表示される。したがって、ユーザはクライアントPC400を操作することで、ステップS40の処理を実現することができる。
ステップS40の実行後、証明書配付サーバ100は、ステップS40で配付先として選択された1または複数の装置についての配付用の証明書および秘密鍵を、証明書保管部160および秘密鍵保管部170から取り出して、前記配付用の証明書および秘密鍵を該当する装置に対して配付する(ステップS50)。この処理は、図2に示した配付部185の機能に相当する。
ステップS50の実行後、証明書配付サーバ100は、証明書管理データベースにおける装置用証明書に関する情報を更新する(ステップS60)。具体的には、装置管理テーブル1100に含まれる装置証明書1106と、装置内証明書テーブル1300とを更新する。この更新は、前述したように配付後の各装置210〜2n0における証明書の内容に基づいて更新される。ステップS60の実行後、この処理を終了する。
A6.実施例効果:
以上のように構成された通信システム10によれば、証明書配付サーバ100により、ユーザは、各装置210〜2n0についての装置名と安全度とを選択用画面WDで確認して、配付先とする装置を選択することができる。このため、ユーザは、証明書および秘密鍵を配付する装置の安全度を確認することが可能となる。また、証明書配付サーバ100は、ネットワークNTを経由して配付することができる。これらのことから、証明書配付サーバ100によれば、配付の効率の向上とセキュリティの向上との両立を図ることができる。
さらに、証明書配付サーバ100により、ユーザは、各装置210〜2n0についての装置名と現在保持している証明書の有効期限とを選択用画面WDで確認して、配付先とする装置を選択することができる。このため、ユーザは、有効期限の点で配付することが適当であるかの確認が可能となる。したがって、証明書配付サーバ100によれば、配付することの妥当性の向上を図ることもできる。
B.第2実施例:
本発明の第2実施例について次に説明する。第2実施例の通信システムは、第1実施例の通信システム10と比較して、選択用画面WDに含まれる安全度v3と証明書期限v4の表示の態様が相違し、その他の点は同一である。
図19は、第2実施例における証明書表示フィールドFD2を例示する説明図である。証明書表示フィールドFD2は、選択用画面WD(図17)の一部であり、第1実施例と同様に、装置名v1、IPアドレスv2、安全度v3、証明書期限v4、最終更新日v5、更新間隔v6、証明書期限v7、更新予定日v8の各項目を有する。前述したように、第2実施例では、安全度v3、証明書期限v4の表示の態様が異なる。第2実施例の証明書配付サーバは、安全度v3の値が閾値(例えば値25)以下であるか否かを判定し、閾値以下の場合に、安全度v3の欄を協調表示する。また、現在の日付から証明書期限v4の日付までの残存期間を計算し、残存期間の長さが閾値(例えば30日)以下であるか否かを判定し、閾値以下の場合に、証明書期限v4の欄を強調表示する。
前記強調表示は、視覚的な認識性の度合いを高めるための表示であり、該当する欄の塗りつぶしの色(あるいはパターン)を他の欄の塗りつぶしの色(あるいはパターン)と比べて変化させる構成、あるいは該当する欄を点滅させる構成とすることができる。さらに、欄全体ではなく、表示されている文字色を変化させたり、点滅させることもできる。図示の例でいえば、「A装置」の安全度v3は値30で強調表示されないが、「B装置」の安全度v3は値25で強調表示されている。「A装置」および「B装置」の証明書期限v4は現在の日付(例えば20-Dec-11)から30日を切っていることから強調表示されている。
前記第1実施例によれば、ユーザが、選択用画面WDに含まれる安全度v3と証明書期限v4を見て、配付するか否かの判断を行っていることから、同じ安全度v3と証明書期限v4の表示であっても、人によって異なった判断となることがあった。これに対して、第2実施例では、安全度v3や、証明書期限v4が許容範囲を超えたことをユーザに報知(注意喚起)することができることから、セキュリティの向上をより確実なものとすることができる。
なお、前記第2実施例では、強調表示するかしないかによって、視覚的な認識性の度合いを2段階に切り替える構成であったが、これに替えて、強調表示を、緩く協調する表示と、強く協調する表示との多段にして、全体としては3段階以上に切り替える構成としてもよい。例えば、安全度v3の値が第1の閾値(例えば値30)を上回るときは協調表示を行わず、安全度v3の値が第1の閾値(例えば値30)以下でかつ第2の閾値(例えば値20)を上回るときは緩く協調する表示(例えば黄色表示)を行い、安全度v3の値が第2の閾値以下であるときは強く強調する表示(例えば赤色表示)を行う。また、現在の日付から証明書期限v4の日付までの残存期間を計算し、残存期間の長さが第1の閾値(例えば30日)を上回るときは協調表示を行わず、残存期間の長さが第1の閾値以下でかつマイナスでない(すなわち、現在の日付が証明書期限v4の日付を超えていない)ときは緩く協調する表示(例えば黄色表示)を行い、現在の日付が証明書期限v4の日付を超えているときは強く強調する表示(例えば赤色表示)を行う。かかる構成によれば、セキュリティの向上をより確実なものとすることができる。
C.第3実施例:
本発明の第3実施例について次に説明する。第3実施例の通信システムは、第1実施例の通信システム10と比較して、選択用画面WDに含まれるネットワーク構成表示フィールドFD1の表示の態様が相違し、その他の点は同一である。
図20は、第3実施例におけるネットワーク構成表示フィールドFD1の表示の一例を示す説明図である。第3実施例のネットワーク構成表示フィールドFD1の表示は、第1実施例のネットワーク構成表示フィールドFD1の表示と比較して、マークMKが付加されていることが相違し、その他の表示は同一である。第3実施例の証明書配付サーバは、安全度v3の値が閾値(例えば値25)以下であるか否かを判定し、閾値以下の場合に、ネットワーク構成表示フィールドFD1に含まれる該当する装置についての装置名u3の右側にマークMKを表示する。また、現在の日付から証明書期限v4の日付までの期間を計算し、その期間の長さが閾値(例えば30日)以下であるか否かを判定し、閾値以下の場合に、該当する装置についての装置名u3の右側にマークMKを表示する。すなわち、安全度v3の値についての前記判定と、証明書期限v4の日付についての前記判定の少なくとも一方が満たされた場合に、前記マークMKを表示する。
以上のように構成された第3実施例では、安全度v3や、証明書期限v4が許容範囲を超えた装置がいずれであるかをユーザに報知(注意喚起)することができることから、セキュリティをより向上することができる。
なお、第3実施例においても、第2実施例と同様に、注意喚起を2段階以上で行うことができる。図21は、注意喚起を2段階としたときのネットワーク構成表示フィールドFD1の表示の一例を示す説明図である、証明書配付サーバは、安全度v3の値が第1の閾値(例えば値30)以下でかつ第2の閾値(例えば値20)を上回るときはマークMKを1つ表示し、安全度v3の値が第2の閾値以下であるときはマークMKを2つ表示する。また、現在の日付から証明書期限v4の日付までの期間を計算し、その期間の長さが第1の閾値(例えば30日)以下でかつマイナスでない(すなわち、現在の日付が証明書期限v4の日付を超えていない)ときはマークをMKを1つ表示し、現在の日付が証明書期限v4の日付を超えているときはマークMKを2つ表示する。かかる構成によれば、マークMKの数によって、セキュリティの度合いや有効期限までの残存期間の程度を知ることができることから、証明書および秘密鍵の配付をより効率よく行うことができる。
なお、前記マークの数は1つまたは2つに限る必要もなく、3つ以上の数のマークを用いて、より多段で視覚的な認識性の度合いを切り替える構成としてもよい。この構成によれば、閾値の数を3つ以上とすればよい。
また、マークの数ではなく、マークの形や大きさによって視覚的な認識性の度合いを切り替える構成とすることもできる。
D.変形例:
なお、この発明は上記の実施例や各変形例に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
・変形例1:
前記各実施例および各変形例では、選択用画面WDは、安全度v3と証明書期限v4の両方を表示する構成としていたが、これに替えて、安全度v3と証明書期限v4のうちのいずれか一方だけを表示する構成としてもよい。また、選択用画面WDについては、その構成の一例を示したもので、選択用画面WDが含む各項目は、本発明の要旨を逸脱しない範囲において任意に定めることができる。例えば、各実施例に例示した要素以外の要素を備えるものとしても良い。
・変形例2:
前記各実施例および各変形例において、ハードウェアによって実現されるものとした構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されるものとした構成の一部をハードウェアに置き換えるようにしてもよい。
なお、前述した実施例および各変形例における構成要素の中の、独立請求項で記載された要素以外の要素は、付加的な要素であり、適宜省略可能である。また、本発明はこれらの実施例および各変形例になんら限定されるものではなく、その要旨を逸脱しない範囲内において種々の態様での実施が可能であり、例えば、以下の適用例として実現することも可能である。
[適用例1] ネットワークを介して装置群に接続される証明書配付装置であって、
前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する証明書/秘密鍵記憶部と、
前記装置群に属する各装置のセキュリティレベルを記憶するセキュリティレベル記憶部と、
前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る表示/指示部と、
前記表示/指示部によって選択の指示がなされた1または複数の装置に対して、前記証明書/秘密鍵記憶部に記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する証明書/秘密鍵配付部と
を備え、
前記選択用画面は、前記各装置の前記セキュリティレベルを前記装置毎に表示する、証明書配付装置。
適用例1に記載の証明書配付装置によれば、選択用画面によって、ユーザは、各装置のセキュリティレベルを確認し、配付先とする装置を選択することができる。このため、ユーザは、証明書および秘密鍵を配付する装置のセキュリティレベルを確認することが可能となる。また、証明書および秘密鍵をユーザが直接持ち込むのではなく、証明書配付装置はネットワークを経由して配付することができる。これらのことから、この証明書配付装置によれば、配付の効率の向上とセキュリティの向上との両立を図ることができる。
[適用例2]
適用例1に記載の証明書配付装置において、
前記セキュリティレベル記憶部は、
前記装置毎に、前記セキュリティレベルを定義するための前記装置が設置される環境に関する物理的遮蔽、データリンク層に関する通信機能、およびネットワーク層に関する通信機能についての3つの情報のうちの少なくとも1つを記憶する項目と、前記記憶された情報に基づいて算出される前記セキュリティレベルを記憶する項目とを含むデータベースを備える、証明書配付装置。
この構成によれば、セキュリティレベルは、物理的遮蔽、データリンク層に関する通信機能、およびネットワーク層に関する通信機能についての3つの情報のうちの少なくとも1つに基づいて算出されるものであることから、セキュリティをより向上することができる。
[適用例3]
適用例1または2に記載の証明書配付装置において、
前記選択用画面は、前記セキュリティレベルに応じて、各装置についての視覚的な認識性の度合いが切り換えられたものである、証明書配付装置。
この構成によれば、セキュリティレベルが許容範囲を超えたことをユーザに報知することができることから、セキュリティの向上をより確実なものとすることができる。
[適用例4]
適用例3に記載の証明書配付装置において、
前記視覚的な認識性の度合いの切り換えが、表示色の変化によるものである、証明書配付装置。
この構成によれば、表示色の変化によって、視覚的な認識性の度合いを容易に高めることができる。
[適用例5]
適用例3に記載の証明書配付装置において、
前記視覚的な認識性の度合いの切り換えが、注意喚起マークによるものである、証明書配付装置。
この構成によれば、注意喚起マークによって、視覚的な認識性の度合いを容易に高めることができる。
[適用例6]
適用例1ないし5のいずれかに記載の証明書配付装置において、
前記装置群に属する各装置が保持する証明書の有効期限を記憶する有効期限記憶部をさらに備え、
前記選択用画面は、前記各装置についての前記証明書の有効期限を前記装置毎にさらに表示する、証明書配付装置。
この構成によれば、選択用画面によって、ユーザは証明書の有効期限が残っているかの確認が可能となる。
[適用例7]
適用例6に記載の証明書配付装置において、
前記選択用画面は、現在から前記有効期限までの残存期間の長さに応じて、前記各装置についての視覚的な認識性の度合いが切り換えられたものである、証明書配付装置。
この構成によれば、有効期限の残存期間が短いことをユーザに報知することができることから、セキュリティの向上をより確実なものとすることができる。
[適用例8]
適用例7に記載の証明書配付装置において、
前記視覚的な認識性の度合いの切り換えが、表示色の変化によるものである、証明書配付装置。
この構成によれば、表示色の変化によって、視覚的な認識性の度合いを容易に高めることができる。
[適用例9]
適用例7に記載の証明書配付装置において、
前記視覚的な認識性の度合いの切り換えが、注意喚起マークによるものである、証明書配付装置。
この構成によれば、注意喚起マークによって、視覚的な認識性の度合いを容易に高めることができる。
[適用例10]
ネットワークを介して装置群に接続される証明書配付装置であって、
前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する証明書/秘密鍵記憶部と、
前記装置群に属する各装置が保持する証明書の有効期限を記憶する有効期限記憶部と、
前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る表示/指示部と、
前記表示/指示部によって選択の指示がなされた1または複数の装置に対して、前記証明書/秘密鍵記憶部に記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する証明書/秘密鍵配付部と
を備え、
前記選択用画面は、前記各装置についての前記有効期限を前記装置毎に表示する、証明書配付装置。
適用例10に記載の証明書配付装置によれば、選択用画面によって、ユーザは、各装置についての証明書の有効期限を確認し、配付先とする装置を選択することができる。このため、ユーザは、有効期限の点で配付することが適当であるかの確認が可能となる。また、証明書および秘密鍵をユーザが直接持ち込むのではなく、証明書配付装置はネットワークを経由して配付することができる。これらのことから、この証明書配付装置によれば、配付の効率の向上と配付することの妥当性の向上の両立を図ることができる。
[適用例11]
適用例10に記載の証明書配付装置であって、
前記選択用画面は、現在から前記有効期限までの残存期間の長さに応じて、前記各装置についての視覚的な認識性の度合いが切り換えられたものである、証明書配付装置。
この構成によれば、有効期限の残存期間が短いことをユーザに報知することができることから、セキュリティの向上をより確実なものとすることができる。
[適用例12]
適用例11に記載の証明書配付装置であって、
前記視覚的な認識性の度合いの切り換えが、表示色の変化によるものである、証明書配付装置。
この構成によれば、表示色の変化によって、視覚的な認識性の度合いを容易に高めることができる。
[適用例13]
適用例11に記載の証明書配付装置において、
前記視覚的な認識性の度合いの切り換えが、注意喚起マークによるものである、証明書配付装置。
この構成によれば、注意喚起マークによって、視覚的な認識性の度合いを容易に高めることができる。
[適用例14]
適用例10ないし13のいずれかに記載の証明書配付装置において、
前記選択用画面は、前記配付用の証明書の有効期限を前記装置毎にさらに表示する、証明書配付装置。
この構成によれば、各装置が保持する証明書の有効期限と、配付用の証明書の有効期限とを併せてユーザに報せることができることから、配付用の証明書が有効期限の点で入れ替えるに妥当かをユーザに判断させることが可能となる。
[適用例15]
ネットワークを介して接続された装置群に証明書および秘密鍵を配付する証明書配付方法であって、
コンピュータが、前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する工程と、
コンピュータが、前記装置群に属する各装置のセキュリティレベルを記憶する工程と、
コンピュータが、前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る工程と、
コンピュータが、前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する工程と
を備え、
前記選択用画面は、前記各装置の前記セキュリティレベルを前記装置毎に表示する、証明書配付方法。
[適用例16]
ネットワークを介して接続された装置群に証明書および秘密鍵を配付する証明書配付方法であって、
コンピュータが、前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する工程と、
コンピュータが、前記装置群に属する各装置が保持する証明書の有効期限を記憶する有効期限記憶部と、
コンピュータが、前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る工程と、
コンピュータが、前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する工程と
を備え、
前記選択用画面は、前記各装置についての前記有効期限を前記装置毎に表示する、証明書配付方法。
[適用例17]
ネットワークを介して接続された装置群に証明書および秘密鍵を配付するためのコンピュータプログラムであって、
前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する機能と、
前記装置群に属する各装置のセキュリティレベルを記憶する機能と、
前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る機能と、
前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する機能と
をコンピュータに実現させ、
前記選択用画面は、前記各装置の前記セキュリティレベルを前記装置毎に表示する、コンピュータプログラム。
[適用例18]
ネットワークを介して接続された装置群に証明書および秘密鍵を配付するためのコンピュータプログラムであって、
前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する機能と、
前記装置群に属する各装置が保持する証明書の有効期限を記憶する機能と、
前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る機能と、
前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する機能と
をコンピュータに実現させ、
前記選択用画面は、前記各装置についての前記有効期限を前記装置毎に表示する、コンピュータプログラム。
適用例15の証明書配付方法および適用例17のコンピュータプログラムは、適用例1の証明書配付装置と同様に、配付の効率の向上とセキュリティの向上との両立を図ることができる。適用例16の証明書配付方法および適用例18のコンピュータプログラムは、適用例7の証明書配付装置と同様に、配付の効率の向上と配付することの妥当性の向上の両立を図ることができる。
本発明は、上記適用例のほか、種々の形態にて実現され得る。例えば、本発明は、適用例1ないし8のいずれかに記載の証明書配付装置を備えた通信システム、適用例14または15のコンピュータプログラムを記録する記録媒体として実現される。記録媒体としては、例えば、フレキシブルディスクやCD−ROM、DVD−ROM、光磁気ディスク、メモリーカード、ハードディスク等の種々の媒体を利用することができる。
10…通信システム
100…証明書配付サーバ
110…Webサーバ
120…通信部
130…GUI
140…証明書生成部
150…秘密鍵生成部
160…証明書保管部
170…秘密鍵保管部
185…配付部
190…証明書管理データベース
210〜2n0…装置
211…Webサーバ
212…通信部
213…L2/L3機能管理部
214…証明書格納部
215…秘密鍵格納部
400…PCクライアント
410…Webサーバ
420…通信部
430…GUI
440…入出力制御部
450…ディスプレイ制御部
470…マウス
480…キーボード
490…ディスプレイ
1100…装置管理テーブル
1200…グループ管理テーブル
1300…装置内証明書テーブル
1400…配付用証明書テーブル
1410…更新間隔項目テーブル
1500…物理的遮蔽テーブル
1510…物理的遮蔽選択テーブル
1600…L2機能テーブル
1610…L2機能選択テーブル
1700…L3機能テーブル
1710…L3機能選択テーブル
WD…表示画面(選択用画面)
FD1…ネットワーク構成表示フィールド
FD2…証明書表示フィールド
v1…装置名
v2…IPアドレス
u3…装置名
v3…安全度
v4…証明書期限
v5…最終更新日
v6…更新間隔
v7…証明書期限
v8…更新予定日

Claims (18)

  1. 情報処理装置及び前記情報処理装置間に配置されるネットワーク装置の少なくとも一方を含む複数の装置群にネットワークを介して接続される証明書配付装置であって、
    前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する証明書/秘密鍵記憶部と、
    前記装置群に属する各装置のセキュリティレベルを記憶するセキュリティレベル記憶部と、
    前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る表示/指示部と、
    前記表示/指示部によって選択の指示がなされた1または複数の装置に対して、前記証明書/秘密鍵記憶部に記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する証明書/秘密鍵配付部と
    を備え、
    前記選択用画面は、前記各装置の前記セキュリティレベルを前記装置毎に表示する、証明書配付装置。
  2. 請求項1に記載の証明書配付装置において、
    前記セキュリティレベル記憶部は、
    前記装置毎に、前記セキュリティレベルを定義するための前記装置が設置される環境に関する物理的遮蔽、データリンク層に関する通信機能、およびネットワーク層に関する通信機能についての3つの情報のうちの少なくとも1つを記憶する項目と、前記記憶された情報に基づいて算出される前記セキュリティレベルを記憶する項目とを含むデータベースを備える、証明書配付装置。
  3. 請求項1または2に記載の証明書配付装置において、
    前記選択用画面は、前記セキュリティレベルに応じて、各装置についての視覚的な認識性の度合いが切り換えられたものである、証明書配付装置。
  4. 請求項3に記載の証明書配付装置において、
    前記視覚的な認識性の度合いの切り換えが、表示色の変化によるものである、証明書配付装置。
  5. 請求項3に記載の証明書配付装置において、
    前記視覚的な認識性の度合いの切り換えが、注意喚起マークによるものである、証明書配付装置。
  6. 請求項1ないし5のいずれかに記載の証明書配付装置において、
    前記装置群に属する各装置が保持する証明書の有効期限を記憶する有効期限記憶部をさらに備え、
    前記選択用画面は、前記各装置についての前記証明書の有効期限を前記装置毎にさらに表示する、証明書配付装置。
  7. 請求項6に記載の証明書配付装置において、
    前記選択用画面は、現在から前記有効期限までの残存期間の長さに応じて、前記各装置についての視覚的な認識性の度合いが切り換えられたものである、証明書配付装置。
  8. 請求項7に記載の証明書配付装置において、
    前記視覚的な認識性の度合いの切り換えが、表示色の変化によるものである、証明書配付装置。
  9. 請求項7に記載の証明書配付装置において、
    前記視覚的な認識性の度合いの切り換えが、注意喚起マークによるものである、証明書配付装置。
  10. 情報処理装置及び前記情報処理装置間に配置されるネットワーク装置の少なくとも一方を含む複数の装置群にネットワークを介して接続される証明書配付装置であって、
    前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する証明書/秘密鍵記憶部と、
    前記装置群に属する各装置が保持する証明書の有効期限を記憶する有効期限記憶部と、
    前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る表示/指示部と、
    前記表示/指示部によって選択の指示がなされた1または複数の装置に対して、前記証明書/秘密鍵記憶部に記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する証明書/秘密鍵配付部と
    を備え、
    前記選択用画面は、前記各装置についての前記有効期限を前記装置毎に表示する、証明書配付装置。
  11. 請求項10に記載の証明書配付装置であって、
    前記選択用画面は、現在から前記有効期限までの残存期間の長さに応じて、各装置についての視覚的な認識性の度合いが切り換えられたものである、証明書配付装置。
  12. 請求項11に記載の証明書配付装置であって、
    前記視覚的な認識性の度合いの切り換えが、表示色の変化によるものである、証明書配付装置。
  13. 請求項11に記載の証明書配付装置において、
    前記視覚的な認識性の度合いの切り換えが、注意喚起マークによるものである、証明書配付装置。
  14. 請求項10ないし13のいずれかに記載の証明書配付装置において、
    前記選択用画面は、前記配付用の証明書の有効期限を前記装置毎にさらに表示する、証明書配付装置。
  15. ネットワークを介して接続された情報処理装置及び前記情報処理装置間に配置されるネットワーク装置の少なくとも一方を含む複数の装置群に証明書および秘密鍵を配付する証明書配付方法であって、
    コンピュータが、前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する工程と、
    コンピュータが、前記装置群に属する各装置のセキュリティレベルを記憶する工程と、
    コンピュータが、前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る工程と、
    コンピュータが、前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する工程と
    を備え、
    前記選択用画面は、前記各装置の前記セキュリティレベルを前記装置毎に表示する、証明書配付方法。
  16. ネットワークを介して接続された情報処理装置及び前記情報処理装置間に配置されるネットワーク装置の少なくとも一方を含む複数の装置群に証明書および秘密鍵を配付する証明書配付方法であって、
    コンピュータが、前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する工程と、
    コンピュータが、前記装置群に属する各装置が保持する証明書の有効期限を記憶する有効期限記憶部と、
    コンピュータが、前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る工程と、
    コンピュータが、前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する工程と
    を備え、
    前記選択用画面は、前記各装置についての前記有効期限を前記装置毎に表示する、証明書配付方法。
  17. ネットワークを介して接続された情報処理装置及び前記情報処理装置間に配置されるネットワーク装置の少なくとも一方を含む複数の装置群に証明書および秘密鍵を配付するためのコンピュータプログラムであって、
    前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する機能と、
    前記装置群に属する各装置のセキュリティレベルを記憶する機能と、
    前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る機能と、
    前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する機能と
    をコンピュータに実現させ、
    前記選択用画面は、前記各装置の前記セキュリティレベルを前記装置毎に表示する、コンピュータプログラム。
  18. ネットワークを介して接続された情報処理装置及び前記情報処理装置間に配置されるネットワーク装置の少なくとも一方を含む複数の装置群に証明書および秘密鍵を配付するためのコンピュータプログラムであって、
    前記配付用として前記装置別に用意された証明書および秘密鍵を記憶する機能と、
    前記装置群に属する各装置が保持する証明書の有効期限を記憶する機能と、
    前記装置群の中から1または複数の装置を選択することをユーザに促す選択用画面を表示部に表示するとともに、ユーザによる前記選択の指示を受け取る機能と、
    前記選択の指示がなされた1または複数の装置に対して、前記記憶された前記装置別の証明書および秘密鍵を前記ネットワークを介して配付する機能と
    をコンピュータに実現させ、
    前記選択用画面は、前記各装置についての前記有効期限を前記装置毎に表示する、コンピュータプログラム。
JP2013548053A 2011-12-09 2012-08-08 証明書配付装置およびその方法、並びにコンピュータプログラム Active JP5731673B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013548053A JP5731673B2 (ja) 2011-12-09 2012-08-08 証明書配付装置およびその方法、並びにコンピュータプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011270582 2011-12-09
JP2011270582 2011-12-09
PCT/JP2012/005037 WO2013084381A1 (ja) 2011-12-09 2012-08-08 証明書配付装置およびその方法、並びにコンピュータプログラム
JP2013548053A JP5731673B2 (ja) 2011-12-09 2012-08-08 証明書配付装置およびその方法、並びにコンピュータプログラム

Publications (2)

Publication Number Publication Date
JPWO2013084381A1 true JPWO2013084381A1 (ja) 2015-04-27
JP5731673B2 JP5731673B2 (ja) 2015-06-10

Family

ID=48573776

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013548053A Active JP5731673B2 (ja) 2011-12-09 2012-08-08 証明書配付装置およびその方法、並びにコンピュータプログラム

Country Status (4)

Country Link
US (1) US9363246B2 (ja)
EP (1) EP2790350A4 (ja)
JP (1) JP5731673B2 (ja)
WO (1) WO2013084381A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014201234A1 (de) * 2014-01-23 2015-07-23 Siemens Aktiengesellschaft Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät
JP6209673B2 (ja) * 2014-03-11 2017-10-04 富士機械製造株式会社 部品実装関連アプリケーションのアカウント権限管理装置及びアカウント権限管理方法
US9716716B2 (en) 2014-09-17 2017-07-25 Microsoft Technology Licensing, Llc Establishing trust between two devices
WO2018029508A1 (en) * 2016-08-09 2018-02-15 Appviewx Inc Application centric centralized certificate management system for managing certificates across data centers
DE102016219207A1 (de) * 2016-10-04 2018-04-05 Mbda Deutschland Gmbh Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette
JP7208707B2 (ja) * 2017-02-17 2023-01-19 キヤノン株式会社 情報処理装置及びその制御方法とプログラム
JP7155766B2 (ja) * 2018-09-05 2022-10-19 富士フイルムビジネスイノベーション株式会社 管理装置及びプログラム
JP7225958B2 (ja) * 2019-03-14 2023-02-21 オムロン株式会社 制御装置および制御システム
CN110493004B (zh) * 2019-07-25 2022-09-02 东软集团股份有限公司 数字证书配置方法及装置、数字证书签发方法及装置
US11463268B2 (en) * 2019-09-17 2022-10-04 International Business Machines Corporation Sensor calibration

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005124097A (ja) * 2003-10-20 2005-05-12 Nippon Telegr & Teleph Corp <Ntt> ルート証明書配布システム、ルート証明書配布方法、コンピュータ実行可能なルート証明書配布プログラム、サーバ装置及びクライアント装置
JP2006352560A (ja) * 2005-06-16 2006-12-28 Ntt Docomo Inc 通信装置、鍵配布方法
JP2007184769A (ja) * 2006-01-06 2007-07-19 Toshiba Tec Corp 商品販売データ処理装置
JP2008219670A (ja) * 2007-03-06 2008-09-18 Ntt Communications Kk デジタル証明書配布システム、デジタル証明書配布方法、及びデジタル証明書配布プログラム
JP2008228004A (ja) * 2007-03-14 2008-09-25 Seiko Epson Corp ネットワーク機器、ネットワーク機器の制御方法、および、ネットワーク機器制御プログラム
JP2009260508A (ja) * 2008-04-15 2009-11-05 Murata Mach Ltd サーバ装置
JP2010004516A (ja) * 2008-06-19 2010-01-07 Internatl Business Mach Corp <Ibm> 暗号鍵および証明書の配備および配付の自動妥当性検査および実行のためのシステムおよび方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7028180B1 (en) * 2000-06-09 2006-04-11 Northrop Grumman Corporation System and method for usage of a role certificate in encryption and as a seal, digital stamp, and signature
JP2005192110A (ja) 2003-12-26 2005-07-14 Chuo System Giken Kk 移動型端末機器の認証及び動的鍵配布方法並びに移動型端末装置
US8639627B2 (en) * 2007-07-06 2014-01-28 Microsoft Corporation Portable digital rights for multiple devices
US8055528B2 (en) * 2007-12-21 2011-11-08 Browz, Llc System and method for informing business management personnel of business risk
US8788811B2 (en) * 2010-05-28 2014-07-22 Red Hat, Inc. Server-side key generation for non-token clients
US8683605B1 (en) * 2012-03-27 2014-03-25 Adobe Systems Incorporated Long-term validation of a digital signature status indicator

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005124097A (ja) * 2003-10-20 2005-05-12 Nippon Telegr & Teleph Corp <Ntt> ルート証明書配布システム、ルート証明書配布方法、コンピュータ実行可能なルート証明書配布プログラム、サーバ装置及びクライアント装置
JP2006352560A (ja) * 2005-06-16 2006-12-28 Ntt Docomo Inc 通信装置、鍵配布方法
JP2007184769A (ja) * 2006-01-06 2007-07-19 Toshiba Tec Corp 商品販売データ処理装置
JP2008219670A (ja) * 2007-03-06 2008-09-18 Ntt Communications Kk デジタル証明書配布システム、デジタル証明書配布方法、及びデジタル証明書配布プログラム
JP2008228004A (ja) * 2007-03-14 2008-09-25 Seiko Epson Corp ネットワーク機器、ネットワーク機器の制御方法、および、ネットワーク機器制御プログラム
JP2009260508A (ja) * 2008-04-15 2009-11-05 Murata Mach Ltd サーバ装置
JP2010004516A (ja) * 2008-06-19 2010-01-07 Internatl Business Mach Corp <Ibm> 暗号鍵および証明書の配備および配付の自動妥当性検査および実行のためのシステムおよび方法

Also Published As

Publication number Publication date
EP2790350A4 (en) 2015-11-04
US20140337632A1 (en) 2014-11-13
EP2790350A1 (en) 2014-10-15
WO2013084381A1 (ja) 2013-06-13
JP5731673B2 (ja) 2015-06-10
US9363246B2 (en) 2016-06-07

Similar Documents

Publication Publication Date Title
JP5731673B2 (ja) 証明書配付装置およびその方法、並びにコンピュータプログラム
CN101729551B (zh) 控制受信网络节点的访问权限的方法和系统
JP6337947B2 (ja) ネットワーク管理サービスシステム、制御装置、方法およびプログラム
JP5382819B2 (ja) ネットワークマネジメントシステム及びサーバ
US8448220B2 (en) Merge rule wizard
JP6176245B2 (ja) 制御装置、通信システム、スイッチ制御方法及びプログラム
US20130080201A1 (en) System and method for tracking task data
CN108432210A (zh) 有机组成的IoT网络
JP5817728B2 (ja) 条件マッチングシステム、条件マッチング連係装置および条件マッチング処理方法
JP2024060071A (ja) デバイス管理装置の制御方法及びプログラム
JP6357335B2 (ja) ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム
JP2005004549A (ja) ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム
JP2010049331A (ja) ネットワーク機器の管理装置、管理方法及び管理プログラム
JP6127622B2 (ja) Dnsサーバ装置、ネットワーク機器、および通信システム
CN104718551B (zh) 策略更新系统以及策略更新装置
JP5328828B2 (ja) パスワード管理装置、パスワード管理方法、及びパスワード管理システム
JP2010160742A (ja) 認証処理装置、認証処理システム、認証処理方法、及びプログラム
JP2017098763A (ja) 管理サーバーおよび管理方法
JP4432595B2 (ja) ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法
JP2007272387A (ja) ファイルアクセス権限設定システム
JP4854184B2 (ja) 階層データ管理装置、階層データ管理方法、階層データ管理プログラム
JP5236603B2 (ja) セキュリティポリシー情報設定装置
JP2013182295A (ja) 処理実行装置及びコンピュータプログラム及び処理実行方法
JP5668536B2 (ja) 中継サーバ及び中継通信システム
WO2015154466A1 (zh) 路由选择方法及装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150409

R150 Certificate of patent or registration of utility model

Ref document number: 5731673

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250