RU2682926C2 - Устройство обработки информации, способ управления и программа - Google Patents

Устройство обработки информации, способ управления и программа Download PDF

Info

Publication number
RU2682926C2
RU2682926C2 RU2017120178A RU2017120178A RU2682926C2 RU 2682926 C2 RU2682926 C2 RU 2682926C2 RU 2017120178 A RU2017120178 A RU 2017120178A RU 2017120178 A RU2017120178 A RU 2017120178A RU 2682926 C2 RU2682926 C2 RU 2682926C2
Authority
RU
Russia
Prior art keywords
information
certificate
command
installation
service
Prior art date
Application number
RU2017120178A
Other languages
English (en)
Other versions
RU2017120178A (ru
RU2017120178A3 (ru
Inventor
Аюму АСАНО
Original Assignee
Кэнон Кабусики Кайся
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Кэнон Кабусики Кайся filed Critical Кэнон Кабусики Кайся
Publication of RU2017120178A publication Critical patent/RU2017120178A/ru
Publication of RU2017120178A3 publication Critical patent/RU2017120178A3/ru
Application granted granted Critical
Publication of RU2682926C2 publication Critical patent/RU2682926C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Television Signal Processing For Recording (AREA)
  • Studio Devices (AREA)
  • Facsimiles In General (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)

Abstract

Изобретение относится к области вычислительной техники. Технический результат заключается в снижении операционных накладных расходов и потерь времени, когда множественные клиентские устройства выполняют установки безопасности на устройстве обработки информации с использованием разных протоколов. Раскрыто устройство обработки информации для выполнения установки для осуществления зашифрованной связи, содержащее: первое средство обработки для выполнения установки, на устройстве обработки информации, для осуществления зашифрованной связи на основе службы управления устройством, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на службе управления устройством; второе средство обработки для выполнения установки, на устройстве обработки информации, для осуществления зашифрованной связи на основе расширенной службы безопасности, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на расширенной службе безопасности; и средство передачи, при этом второе средство обработки автоматически выполняет, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством, если первым средством обработки выполнена данная установка для службы управления устройством, и при этом средство передачи передает на внешнее устройство информацию, указывающую, что упомянутая установка для расширенной службы безопасности выполнена в соответствии с упомянутой установкой службы управления устройством, если команда, основывающаяся на расширенной службе безопасности, принята от этого внешнего устройства после того, как вторым средством обработки выполнена, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством. 3 н. и 16 з.п. ф-лы, 16 ил.

Description

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
[0001] Настоящее изобретение относится к установке функции безопасности в устройстве обработки информации, которое передает захваченное изображение на клиентское устройство через сеть.
УРОВЕНЬ ТЕХНИКИ
[0002] В общем, известен способ выполнения установки для функции безопасности устройства формирования изображения на устройстве формирования изображения клиентским устройством, соединенным с устройством формирования изображения через сеть.
[0003] Например, клиентское устройство может инструктировать устройство формирования изображения генерировать ключ и устанавливать сертификат, которые используются для процесса связи, использующего протокол уровня безопасных сокетов (соединений) (SSL).
[0004] В качестве команды для установки функции безопасности на устройство формирования изображения клиентским устройством, известна группа команд, определенная спецификацией, разработанной форумом по сетевому видео интерфейсу (ONVIF). В ONVIF, настройки SSL, IEEE802.1X и аутентификация клиента стандартизованы в ассоциации с функцией безопасности.
[0005] Например, команда, определенная в службе управления устройством ONVIF (NPL 1), может передаваться от клиентского устройства на устройство формирования изображения, так что генерация ключа и настройка сертификата выполняются в устройстве формирования изображения, которое поддерживает службу управления устройством.
[0006] Кроме того, например, команда, определенная в расширенной службе безопасности ONVIF (NPL 2), может передаваться от клиентского устройства на устройство формирования изображения, так что генерация ключа и установка сертификата выполняются в устройстве формирования изображения, которое поддерживает расширенную службу безопасности.
Список цитированных документов
Непатентные документы
[0007] NPL 1: ONVIF-Core-Specification-v242(http://www.onvif.org/specs/core/ONVIF-Core-Specification-v242.pdf)
NPL 2: ONVIF-AdvancedSecurity-Service-Spec-v102(http://www.onvif.org/specs/srv/security/ONVIF-AdvancedSecurity-Service-Spec-v102.pdf)
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
ТЕХНИЧЕСКАЯ ЗАДАЧА
[0008] В случае, когда множество процедур связи (протоколов) может быть использовано клиентским устройством для установки функции безопасности на устройство обработки информации (устройство формирования изображения, например), вероятно, что возникает следующая проблема. Более конкретно, к содержанию установки, ассоциированной с функцией безопасности, выполненной в устройстве обработки информации первой процедурой связи, не может обращаться клиентское устройство, которое использует вторую процедуру связи, отличающуюся от первой процедуры связи.
РЕШЕНИЕ ПРОБЛЕМЫ
[0009] Для решения задачи, описанной выше, настоящее изобретение обеспечивает устройство обработки информации, включающее в себя первое средство обработки для выполнения установки для выполнения зашифрованной связи на устройстве обработки информации в ответ на команду, основанную на первой процедуре связи, второе средство обработки для выполнения установки для выполнения зашифрованной связи на устройстве обработки информации в ответ на команду, основанную на второй процедуре связи, и средство передачи для передачи информации, указывающей, что установка для выполнения зашифрованной связи, осуществлена в ответ на команду, основанную на первой процедуре связи, к устройству приема, если команда, основанная на второй процедуре связи, принята от устройства приема после того, как первое средство обработки выполняет настройку для выполнения зашифрованной связи на устройстве обработки информации в ответ на команду, основанную на первой процедуре связи.
ПОЛЕЗНЫЕ РЕЗУЛЬТАТЫ ИЗОБРЕТЕНИЯ
[0010] При этой конфигурации, к содержанию установки, ассоциированной с функцией безопасности, выполненной на устройстве обработки информации с использованием первой процедуры связи, не может обращаться клиентское устройство, которое использует вторую процедуру связи, отличающуюся от первой процедуры связи.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0011]
Фиг. 1A является блок-схемой, иллюстрирующей систему безопасной связи в соответствии с первым вариантом осуществления.
Фиг. 1B является блок-схемой, иллюстрирующей систему безопасной связи в соответствии с первым вариантом осуществления.
Фиг. 2A является диаграммой, иллюстрирующей процесс установки сертификата и т.д.
Фиг. 2B является диаграммой, иллюстрирующей процесс установки сертификата и т.д.
Фиг. 3 является блок-схемой последовательности операций, иллюстрирующей процесс генерации сертификата.
Фиг. 4 является блок-схемой последовательности операций, иллюстрирующей процесс загрузки сертификата.
Фиг. 5 является блок-схемой последовательности операций, иллюстрирующей процесс получения сертификата.
Фиг. 6 является блок-схемой последовательности операций, иллюстрирующей процесс удаления сертификата.
Фиг. 7 является блок-схемой последовательности операций, иллюстрирующей процесс установки статуса сертификата.
Фиг. 8 является блок-схемой последовательности операций, иллюстрирующей процесс получения статуса сертификата.
Фиг. 9 является блок-схемой последовательности операций, иллюстрирующей процесс установки статуса сертификата.
Фиг. 10 является блок-схемой последовательности операций, иллюстрирующей процесс получения статуса сертификата.
Фиг. 11 является блок-схемой, иллюстрирующей систему безопасной связи в соответствии со вторым вариантом осуществления.
Фиг. 12 является диаграммой, иллюстрирующей пользовательские интерфейсы страницы установки SSL.
Фиг. 13 является блок-схемой последовательности операций, иллюстрирующей процесс генерации самостоятельно подписанного сертификата.
Фиг. 14 является блок-схемой последовательности операций, иллюстрирующей процесс использования сертификата, подписанного посредством CA.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[0012] Далее, варианты осуществления настоящего изобретения будут подробно описаны со ссылкой на приложенные чертежи.
Первый вариант осуществления
[0013] В этом варианте осуществления в качестве примера будет описан случай, в котором первое и второе клиентские устройства выполняют установки функции безопасности на устройстве формирования изображения, служащем в качестве устройства обработки информации в соответствии с процедурами, предписываемыми посредством ONVIF,.
[0014] В этом варианте осуществления первое клиентское устройство выполняет установку функции безопасности на устройстве формирования изображения на основе службы управления устройством (далее упоминается как ʺDM-службаʺ), предписанной посредством ONVIF (первая процедура). Кроме того, второе клиентское устройство выполняет установку функции безопасности на устройстве формирования изображения на основе расширенной службы безопасности (далее упоминается как ʺAS-службаʺ), предписанной посредством ONVIF (вторая процедура).
[0015] Здесь, DM-служба и AS-служба, предписанные посредством ONVIF, являются независимыми службами. Клиентское устройство, осуществляющее связь с устройством формирования изображения посредством одной из служб, не может обращаться к содержанию установки, установленной на устройстве формирования изображения на основе другой из служб.
[0016] Например, первое клиентское устройство выполняет установку функции безопасности на устройстве формирования изображения на основе DM-службы. Затем второе клиентское устройство пытается обратиться к установке функции безопасности, установленной в устройстве формирования изображения, с использованием команды, предписанной AS-службой. В этом случае второе клиентское устройство не может обращаться к содержанию установки безопасности, осуществленной на основе DM-службы посредством первого клиентского устройства.
[0017] Поэтому, даже в случае, когда первое клиентское устройство выполнило установку безопасности на устройстве формирования изображения, второе клиентское устройство не может распознать, что установка была выполнена на устройстве формирования изображения. Соответственно, вероятно, что пользователь второго клиентского устройства вновь выполняет установку безопасности на устройстве формирования изображения, и существующая установка заменяется новой установкой безопасности.
[0018] Соответственно, устройство формирования изображения согласно этому варианту осуществления записывает информацию, указывающую, что установка была выполнена на устройстве формирования изображения с использованием команды, предписанной DM-службой, в устройстве формирования изображения в качестве информации Alias (альтернативного имени, псевдонима), предписанной посредством AS-службы. При этом даже клиентское устройство, использующее AS-службу, может распознать, что установка функции безопасности была выполнена на основе DM-службы. Таким путем клиентское устройство, которое выполняет установку на устройстве формирования изображения с использованием одного из протоколов, может распознать, что установка была выполнена с использованием другого из протоколов.
[0019] Кроме того, если установка безопасности выполняется на основе DM-службы, устройство формирования изображения в этом варианте осуществления автоматически генерирует и записывает, с использованием содержания установки, содержание установки, основанной на AS-службе. Затем устройство формирования изображения записывает информацию, указывающую, что содержание установки, основанной на AS-службе, было сгенерировано в ответ на команду для установки безопасности посредством DM-службы, в качестве информации псевдонима.
[0020] Например, устройство формирования изображения принимает команду, побуждающую устройство формирования изображения генерировать сертификат, подлежащий использованию для зашифрованной связи на основе DM-службы. В этом случае устройство формирования изображения автоматически выполняет установку пути сертификации и установку пары ключей, которые требуются для установки безопасности, основанной на AS-службе, и которые не предписаны в установке безопасности, основанной на DM-службе. Затем устройство формирования изображения записывает информацию, указывающую, что установка пути сертификации и установка пары ключей были выполнены в ответ на прием команды, основанной на DM-службе, в качестве информации псевдонима.
[0021] За счет этого пользователь может распознать, что установка безопасности, основанная на AS-службе, была выполнена в ответ на команду, основанную на DM-службе.
[0022] Пример конфигурации аппаратных средств системы формирования изображения в соответствии с первым вариантом осуществления будет описан со ссылкой на фиг. 1A. В первом варианте осуществления в качестве примера описан случай, в котором устройство 100 формирования изображения соединено с клиентскими устройствами 200 и 300 через сеть 108. В этом варианте осуществления устройство 100 формирования изображения передает захваченное изображение на клиентские устройства 200 и 300 через сеть. Хотя блок 101 формирования изображения встроен в устройство 100 формирования изображения в этом варианте осуществления, настоящее изобретение не ограничено этим. Любая конфигурация может быть использована, поскольку установка безопасности для передачи захваченного изображения является управляемой, и вместо устройства 100 формирования изображения может использоваться устройство обработки информации, которое принимает захваченное изображение от внешнего устройства формирования изображения и ретранслирует захваченное изображение на клиентские устройства 200 и 300.
[0023] Данные изображения, захваченные блоком 101 формирования изображения устройства 100 формирования изображения, обрабатываются блоком 102 обработки изображения, описанным ниже, и затем передаются на клиентские устройства 200 и 300 через сеть 108.
[0024] Блок 101 формирования изображения захватывает изображение объекта и генерирует сигнал изображения. Блок 101 формирования изображения образован линзой и элементом формирования изображения, таким как комплементарная структура металл-оксид-полупроводник (CMOS). Элемент формирования изображения преобразует изображение объекта, сформированное линзой, в сигнал изображения.
[0025] Блок 102 обработки изображения выполняет обработку изображения на сигнале изображения, сгенерированном блоком 101 формирования изображения. Блок 102 обработки изображения, например, кодирует изображение, захваченное блоком 101 формирования изображения. Блок 102 обработки изображения является процессором, таким, например, как центральный процессор (CPU). Альтернативно, блок 102 обработки изображения является, например, процессором, выполняющим обработку изображения, таким как блок обработки графики (GPU).
[0026] Блок 103 управления устройства 100 формирования изображения управляет компонентами, включенными в устройство 100 формирования изображения, показанное на фиг. 1A. Блок 103 управления является процессором, например, таким как CPU. В случае, когда блок 103 управления сконфигурирован как процессор, блок 103 управления исполняет программы, записанные в блоке 104 записи, описанном ниже, чтобы управлять компонентами, включенными в устройство 100 формирования изображения.
[0027] Блок 103 управления выполняет управление так, чтобы реализовать функции устройства 100 формирования изображения, описанного ниже со ссылкой на фиг. 1B. В частности, блок 103 управления включает в себя первый блок 106 обработки, который реализует функцию блока 112 службы управления устройством (далее упоминается как ʺблок 112 DM-службыʺ), описанного ниже со ссылкой на фиг. 1B. Кроме того, блок 103 управления включает в себя второй блок 107 обработки, который реализует функцию блока 113 расширенной службы безопасности (далее упоминается как ʺблок 113 AS-службыʺ), описанного ниже. Блок 103 управления выполняет управление так, что информация, указывающая, что установка выполнена на устройстве 100 формирования изображения в ответ на команду на основе одной из различных процедур связи, записывается в блок 104 записи.
[0028] Блок 104 записи записывает изображение, которое было захвачено блоком 101 формирования изображения и которое подвергалось обработке изображения, выполняемой блоком 102 обработки изображения. Кроме того, блок 104 записи записывает программы и управляющие параметры, подлежащие использованию блоком 103 управления. Кроме того, блок 104 записи записывает содержание различных настроек, подлежащих записи в блок 114 хранилища ключей, описанный ниже.
[0029] Блок 104 записи может представлять собой память, например, такую как оперативная память (RAM) или постоянная память (ROM). Альтернативно, блок 104 записи может быть носителем записи, таким как накопитель на жестком диске (HDD). Кроме того, блок 104 записи может быть съемным носителем, таким как флэш-память или карта памяти.
[0030] Блок 105 связи передает изображение, которое захвачено блоком 101 формирования изображения и которое подвергнуто процессу обработки, выполненному блоком 102 обработки изображения, на клиентские устройства 200 и 300. Когда захваченное изображение передается, используется передача, зашифрованная в соответствии с информацией установки, записанной в блоке 104 записи. Кроме того, блок 105 связи передает информацию, указывающую, что установка была выполнена на устройстве формирования изображения 100 в соответствии с командой, основанной на одной из первой и второй процедур связи, на клиентское устройство 200 или клиентское устройство 300 в соответствии с командой, основанной на другой из первой и второй процедур связи. Кроме того, блок 105 связи принимает команды управления, выданные клиентскими устройствами 200 и 300, на устройство 100 формирования изображения.
[0031] В случае, когда блок 105 связи принимает команду, основанную на второй процедуре связи, от клиентского устройства 300 после того, как первый блок обработки выполняет установку для зашифрованной связи на устройстве 100 формирования изображения, блок 105 связи передает следующую информацию. Более конкретно, блок 105 связи передает информацию, указывающую, что установка для выполнения зашифрованной связи была выполнена в ответ на команду, основанную на первой процедуре связи, к клиентскому устройству 300.
[0032] Клиентские устройства 200 и 300 выполняют установки безопасности связи на устройстве 100 формирования изображения. Клиентское устройство 200 включает в себя блок 201 связи, используемый, например, для выполнения связи с устройством 100 формирования изображения. Клиентское устройство 200 дополнительно включает в себя блок 202 управления, используемый для управления компонентами клиентского устройства 200. Блок 202 управления представляет собой процессор, такой, например, как CPU. В случае, когда блок 202 управления выполнен в виде процессора, блок 202 управления исполняет программы, записанные в блоке 203 записи, описанном ниже, чтобы управлять компонентами, включенными в клиентское устройство 200. Клиентское устройство 200 дополнительно включает в себя блок 203 записи, который записывает программы и управляющие параметры, подлежащие использованию блоком 202 управления. Блок 203 записи представляет собой память, такую, например, как RAM или ROM. Альтернативно, блок 203 записи может представлять собой носитель записи, такой как HDD. Кроме того, блок 203 записи может быть съемным носителем, таким как флэш-память или карта памяти.
[0033] Конфигурация клиентского устройства 200 не ограничена особым образом и не ограничена тем, как описано выше. Части конфигурации, описанной выше, могут заменяться другими компонентами, или другие компоненты могут добавляться к конфигурации, описанной выше. Конфигурация клиентского устройства 300 является такой же, как конфигурация клиентского устройства 200, и поэтому ее описание здесь опущено.
[0034] Клиентские устройства 200 и 300 представляют собой, например, персональные компьютеры (PC). Альтернативно, клиентские устройства 200 и 300 могут быть мобильными терминалами, такими как планшетные терминалы и смартфоны.
[0035] Сеть 108 образована посредством Интернета, локальной сети (LAN) и беспроводной LAN, сети широкого охвата (WAN), аналоговой кабельной сети и т.п. Стандарт связи, размер и конфигурация сети 108 не ограничены. В качестве стандарта связи может использоваться, например, LAN, Ethernet (зарегистрированный товарный знак).
[0036] Далее функции устройства 100 формирования изображения и клиентских устройств 200 и 300 этого варианта осуществления будут описаны со ссылкой на функциональный блок на фиг. 1B.
[0037] Клиентское устройство 200, показанное на фиг. 1B, имеет функцию передачи команды, ассоциированной с безопасностью DM-службы, на устройство 100 формирования изображения. Клиентское устройство 300 имеет функцию передачи команды AS-службы на устройство 100 формирования изображения. Клиентские устройства 200 и 300 имеют функцию установки ключа (Key) и сертификата (Certificate) для устройства 100 формирования изображения через сеть 108. Сертификат указывает, что ключ, включенный в сертификат, был зарегистрирован в органе сертификации. Сертификат указывает, что ключ, описанный в сертификате, был зарегистрирован в органе сертификации и включает в себя, например, информацию об открытом ключе, зарегистрированном в органе сертификации, информацию о владельце открытого ключа, информацию об органе сертификации, который издал сертификат, и подпись органа сертификации, который издал сертификат.
[0038] Устройство 100 формирования изображения поддерживает DM-службу и AS-службу, предписываемые ONVIF. Более конкретно, устройство 100 формирования изображения в этом варианте осуществления выполняет установку функции безопасности, если принимается команда, используемая в DM-службе. Кроме того, устройство 100 формирования изображения в этом варианте осуществления может выполнять установку функции безопасности, если принимается команда, используемая в AS-службе.
[0039] Блок 111 HTTP-сервера устройства 100 формирования изображения принимает SOAP-сообщение, передаваемое от клиентского устройства 200 или клиентского устройства 300. SOAP-сообщение передается и принимается с использованием простого протокола доступа к объектам (SOAP).
[0040] Блок 111 HTTP-сервера принимает SOAP-сообщение, передаваемое от клиентских устройств 200 и 300. Затем блок 111 HTTP-сервера передает принятое сообщение в блок 112 DM-службы или блок 113 AS-службы.
Клиентские устройства 200 и 300 отправляют SOAP-сообщение на унифицированный идентификатор ресурса (URI), который задает блок 112 DM-службы или блок 113 AS-службы устройства 100 формирования изображения. SOAP-сообщение может, таким образом, передаваться. Отправка сообщения выполняется с использованием способа отправки согласно протоколу передачи гипертекста (HTTP). В этом варианте осуществления функция блока 111 HTTP-сервера реализована блоком 105 связи, показанным на фиг. 1A.
[0041] Каждый из блока 112 DM-службы и блока 113 AS-службы анализирует принятое SOAP-сообщение и возвращает установку безопасности или установленное содержание устройства 100 формирования изображения в соответствии с командой и установленным содержанием в качестве ответа. В этом варианте осуществления функции блока 112 DM-службы и блока 113 AS-службы реализованы блоком 103 управления, показанным на фиг. 1A.
[0042] В случае, когда блок 103 управления реализует функцию блока 112 DM-службы, блок 103 управления функционирует как первое средство обработки, которое выполняет команду, основанную на DM-службе (первой процедуре связи), выданную клиентским устройством 200 на устройство 100 формирования изображения. В случае, когда блок 103 управления реализует функцию блока 113 AS-службы, блок 103 управления функционирует как второе средство обработки, которое выполняет команду, основанную на AS-службе (второй процедуре связи, отличающейся от первой процедуры связи), выданную клиентским устройством 300 на устройство 100 формирования изображения.
[0043] Блок 112 DM-службы выполняет команду, основанную на DM-службе, выполняемой клиентским устройством 200, на устройстве 100 формирования изображения. Команда, основанная на DM-службе, включает в себя команду для установки открытого ключа (первую информацию открытого ключа), используемую для выполнения зашифрованной передачи на устройство формирования изображения 100, и команду для установки секретного ключа (первую информацию секретного ключа), соответствующую первой информации открытого ключа, на устройство 100 формирования изображения. Команда, основанная на DM-службе, дополнительно включает в себя команду для установки сертификата (первую информацию сертификата), указывающую, что открытый ключ является действительной информацией ключа, на устройство 100 формирования изображения. Не требуется, чтобы блок 112 DM-службы выполнял все команды, и блок 112 DM-службы выполняет по меньшей мере одну из команд.
[0044] Блок 113 AS-службы выполняет команду, основанную на AS-службе, выполняемой клиентским устройством 300, на устройстве 100 формирования изображения. Команда, основанная на AS-службе, включает в себя команду для установки информации пары ключей, указывающую, что открытый ключ (вторая информация открытого ключа), используемый для выполнения зашифрованной связи, соответствует секретному ключу (второй информации секретного ключа), на устройство 100 формирования изображения. Команда, основанная на AS-службе, дополнительно включает в себя команду для установки сертификата (вторую информацию сертификата), указывающую, что открытый ключ является действительной информацией ключа, на устройство 100 формирования изображения. Команда, основанная на AS-службе, дополнительно включает в себя команду для установки пути сертификации (информацию пути сертификации), указывающую другую информацию сертификата, ассоциированную с сертификатом, на устройство 100 формирования изображения. Не требуется, чтобы блок 113 AS-службы выполнял все команды, а блок 113 AS-службы выполняет по меньшей мере одну из команд.
[0045] Блок 114 хранилища ключей является базой данных, которая хранит информацию хранилища ключей для хранилища ключей (Keystore), определенного в расширенной безопасности ONVIF. В этом варианте осуществления функция блока 114 хранилища ключей реализована блоком 104 записи, показанным на фиг. 1A. Блок 114 хранилища ключей включает в себя следующие блоки записи.
[0046] Блок 115 пары ключей: записаны KeyID (ID ключа), который уникальным образом указывает секретный ключ (Privatekey), открытый ключ (Publickey), псевдоним (Alias), для которого произвольная строка символов установлена клиентом, и пара ключей (Keypair), которые ассоциированы друг с другом.
[0047] Блок 116 сертификата: записаны информация CertificateID (ID сертификата), которая уникальным образом указывает сертификат (Certificate), псевдоним и KeyID пары ключей (Keypair), в которой сохранен открытый ключ сертификата, которые ассоциированы друг с другом.
[0048] Блок 117 пути сертификации: записаны информация CertificationPathID (ID пути сертификации), которая уникальным образом указывает ID пути сертификации, псевдоним и путь сертификации (CertificationPath), которые ассоциированы друг с другом. ID пути сертификации (CertificationPathID) указывает порядок множества сертификатов посредством по меньшей мере одного CertificateID.
[0049] Путь сертификации указывает порядок ссылки на сертификаты, выполняемой устройством 100 формирования изображения для зашифрованной связи, и иерархическую структуру множества сертификатов. Например, в связи по протоколу SSL и т.п., чтобы подтвердить, что первый орган сертификации, который издал первый сертификат, является надежным, второй орган сертификации издает второй сертификат. Кроме того, чтобы подтвердить, что второй орган сертификации является надежным, корневой орган сертификации издает третий сертификат. В этом примере, сертификаты с первого по третий составляют иерархическую структуру. Путь сертификации является информацией, указывающей такую иерархическую структуру сертификатов. Хотя в предшествующем примере описан случай, в котором иерархическая структура имеет три уровня сертификатов, количество уровней не ограничено тремя, и произвольное количество уровней может быть использовано. Устройство 100 формирования изображения ссылается на первый сертификат, если выполняется зашифрованная связь с использованием сертификата. Затем устройство 100 формирования изображения ссылается на подпись органа сертификации, включенную в первый сертификат, и ссылается на второй сертификат. Кроме того, устройство 100 формирования изображения ссылается на подпись органа сертификации, включенную во второй сертификат, и ссылается на третий сертификат. Таким путем, устройство 100 формирования изображения ссылается на сертификаты с первого по третий в этом порядке. Хотя в приведенном выше примере был описан порядок из трех сертификатов, количество сертификатов не ограничено тремя, и может быть использовано произвольное количество сертификатов.
[0050] Каждый из блока 115 пары ключей, блока 116 сертификата и блока 117 пути сертификации имеет область записи (Alias), используемую для записи произвольной строки символов.
[0051] Процесс установки открытого ключа, секретного ключа и сертификата в устройстве 100 формирования изображения посредством клиентского устройства 200 на основе DM-службы будет описан далее со ссылкой на фиг. 2A и 2B. Открытый ключ, секретный ключ и сертификат должны быть записаны заранее в устройство 100 формирования изображения, прежде чем устройство 100 формирования изображения и клиентское устройство 200 будут выполнять безопасную связь с использованием HTTPS.
[0052] Сначала будет описан процесс, выполняемый клиентским устройством 200, со ссылкой на блок-схему последовательности операций согласно фиг. 2A. Процесс определения, показанный на фиг. 2A, может быть выполнен клиентским устройством 200 в ответ на команду пользователя. Альтернативно, блок 202 управления считывает и выполняет программу, сохраненную в блоке 203 записи, чтобы выполнять процесс, проиллюстрированный на фиг. 2A.
[0053] Клиентское устройство 200 получает информацию о статусе, указывающую, разрешена ли служба безопасности протокола передачи гипертекста (HTTPS) в устройстве 100 формирования изображения (S201).
[0054] Статус, в котором установка посредством HTTPS разрешена, является статусом, в котором может быть начата HTTPS-связь с использованием SSL, безопасности транспортного уровня (TLS) и т.п. Более конкретно, открытый ключ, секретный ключ и сертификат, которые должны быть использованы при HTTPS-связи, установлены в устройстве 100 формирования изображения.
[0055] С другой стороны, состояние, в котором установка посредством HTTPS блокирована, является статусом, в котором открытый ключ, секретный ключ и сертификат, которые должны быть использованы при HTTPS-связи, не установлены в устройстве 100 формирования изображения. Статус, в котором установка посредством HTTPS блокирована, включает в себя, например, статус, в котором сертификат истек, аннулирован или временно недоступен, и поэтому HTTPS-связь не может быть выполнена с использованием сертификата.
[0056] На этапе S201, the клиентское устройство 200 передает команду GetNetworkProtocols (получить сетевые протоколы) к устройству 100 формирования изображения. Путем передачи команды GetNetworkProtocols, клиентское устройство 200 запрашивает получение информации о статусах служб HTTP, HTTPS и протокола потоковой передачи реального времени (RTSP), предоставляемых устройством 100 формирования изображения. Информация статуса включает в себя информацию, указывающую, что каждая из служб разрешена или блокирована. Кроме того, клиентское устройство 200 запрашивает получение информации о номерах портов, используемых службами, посредством команды GetNetworkProtocols Устройство 100 формирования изображения передает ответ GetNetworkProtocols к клиентскому устройству 200.
[0057] Затем клиентское устройство 200 проверяет ответ GetNetworkProtocols и определяет, разрешена ли установка посредством HTTPS (S202). Если установка HTTPS блокирована (ʺНетʺ на этапе S202), процесс переходит к этапу S207 описанному ниже.
[0058] Если установка посредством HTTPS разрешена (ʺДаʺ на этапе S202), клиентское устройство 200 определяет, следует ли использовать существующие установки посредством HTTPS, или установки посредством HTTPS следует выполнить заново (S203). Если существующие установки посредством HTTPS следует использовать (ʺдаʺ на этапе S203), установка открытого ключа, секретного ключа и сертификата, выполняема на устройстве 100 формирования изображения в текущее время, завершается.
[0059] С другой стороны, установка посредством HTTPS должна быть выполнена заново (ʺНетʺ на этапе S203), клиентское устройство 200 получает все сертификаты, включенные в устройство 100 формирования изображения (S204).
[0060] На этапе S204, клиентское устройство 200 передает команду GetCertificates (получить сертификаты) на устройство 100 формирования изображения. Устройство 100 формирования изображения передает ответ GetCertificates на клиентское устройство 200. Команда GetCertificates выдается клиентским устройством 200, чтобы запросить получение информации, указывающей все сертификаты, включенные в устройство 100 формирования изображения.
[0061] В качестве ответа GetCertificates, получают сертификаты (Certificates), включенные в устройство 100 формирования изображения. Клиентское устройство 200 определяет, следует ли использовать один из полученных сертификатов, или сертификат должен генерироваться заново (S205). Определение на этапе S205 может быть выполнено в соответствии с командой для определения сертификата, подлежащего использованию, выданной пользователем.
[0062] Если выбранный один из сертификатов, полученных от устройства 100 формирования изображения, должен использоваться для HTTPS-связи (ʺДаʺ на этапе S205), клиентское устройство 200 устанавливает выбранный сертификат на устройстве формирования изображения 100 (S206). Для установки сертификата, может быть использована команда SetCertificatesStatus (установить статус сертификатов). Команда SetCertificatesStatus является командой для записи информации установки, используемой для зашифрованной связи, в блок 104 записи. Команда SetCertificatesStatus является командой, выданной на основе DM-службы (первой процедуры связи) клиентским устройством 200 на устройство 100 формирования изображения.
[0063] На этапе S205, если определено, что сертификат должен быть сгенерирован заново (ʺНетʺ на этапе S205), то клиентское устройство 200 определяет, должны ли открытый ключ, секретный ключ и сертификат заново генерироваться в устройстве 100 формирования изображения (S207).
[0064] Если открытый ключ, секретный ключ и сертификат должны заново генерироваться в устройстве 100 формирования изображения (ʺДаʺ на этапе S207), то клиентское устройство 200 инструктирует устройство 100 формирования изображения генерировать открытый ключ, секретный ключ и самостоятельно подписанный сертификат. Самостоятельно подписанный сертификат упоминается как ʺSelfSignedCertificateʺ, где это уместно.
[0065] Клиентское устройство 200 запрашивает устройство 100 формирования изображения генерировать открытый ключ и секретный ключ посредством команды CreateCertificate (создать сертификат) и запрашивает устройство 100 формирования изображения генерировать самостоятельно подписанный сертификат с использованием открытого ключа и секретного ключа.
[0066] Если определено, что открытый ключ, секретный ключ и сертификат не следует заново генерировать в устройстве 100 формирования изображения (ʺНетʺ на этапе S207), то клиентское устройство 200 само генерирует открытый ключ, секретный ключ и сертификат (S210). Затем клиентское устройство 200 загружает сгенерированный секретный ключ и сгенерированный сертификат в устройство 100 формирования изображения с использованием команды LoadCertificateWithPrivateKey (загрузить сертификат с секретным ключом) (S211). Процесс загрузки секретного ключа и сертификата с клиентского устройства 200 в устройство 100 формирования изображения будет описан ниже детально со ссылкой на фиг. 4.
[0067] После того как процесс на этапе S209 или процесс на этапе S211 завершен, клиентское устройство 200 выполняет установку в устройстве 100 формирования изображения, так что сгенерированный открытый ключ, сгенерированный секретный ключ и сгенерированный сертификат подлежат использованию для HTTPS-связи.
[0068] Клиентское устройство 200 получает информацию статуса, указывающую, доступен ли сертификат для HTTPS-связи с использованием команды GetCertificatesStatus (получить статус сертификатов). В случае, когда сертификат генерировался с использованием команды CreateCertificate, установка для использования сгенерированного сертификата в HTTPS-связи не выполнялась. Поэтому клиентское устройство 200 передает команду SetCertificatesStatus на устройство 100 формирования изображения, чтобы установить ʺистинноʺ для статуса. Таким путем может выполняться установка для использования сгенерированного сертификата в HTTPS-связи.
[0069] Команда SetNetworkProtocols (установить сетевые протоколы) используется для установки статусов разрешения/блокирования HTTP-службы, HTTPS-службы и RTSP-службы и номеров портов служб. Если HTTPS разрешено, устройство 100 формирования изображения выполняет установку блока 111 HTTP-сервера, так что сертификат, в котором статус установлен как ʺистинноʺ, должен использоваться для HTTPS-связи.
[0070] Отметим, что последовательность установки для выполнения HTTP-связи между устройством 100 формирования изображения и клиентским устройством 200 иллюстрируется на фиг. 2B. Таким путем клиентское устройство 200 выполняет установку в устройстве 100 формирования изображения на основе DM-службы.
[0071] С другой стороны, если клиентское устройство 300 выполняет установку для HTTPS-связи на основе AS-службы, клиентское устройство 300 устанавливает пару ключей (KeyPair), сертификат (Certificate) и путь сертификации (CertificationPath) на устройстве 100 формирования изображения. Клиентское устройство 300 устанавливает путь сертификации, используемый для HTTPS-связи, в устройстве 100 формирования изображения с использованием команды AddServerCertificateAssignment (добавить назначение сертификата сервера). Пара ключей и путь сертификации являются концепциями AS-службы, которые не включены в DM-службу.
[0072] Здесь, в случае, когда клиентское устройство 300 выполняет установку для HTTPS-связи на устройстве 100 формирования изображения с использованием AS-службы, и затем клиентское устройство 200 начинает установку для HTTPS-связи на устройстве 100 формирования изображения с использованием DM-службы, выполняется следующая операция.
[0073] Например, после того как клиентское устройство 300 выполняет установку, клиентское устройство 200 выполняет команду GetNetworkProtocols на этапе S201 согласно фиг. 2A, чтобы проверить, была ли выполнена установка для HTTPS на устройстве 100 формирования изображения. В этом случае поскольку установка для HTTPS была разрешена клиентским устройством 300, устройство 100 формирования изображения передает информацию, указывающую, что установка для HTTPS-связи включена (Enable), на клиентское устройство 200 в качестве ответа. Более конкретно, информация, указывающая, что открытый ключ, секретный ключ и сертификат, подлежащие использованию в HTTPS-связи, были установлены в устройстве 100 формирования изображения, передается в качестве ответа.
[0074] Однако, даже если клиентское устройство 200 запрашивает сертификат на этапе S204, сертификат, установленный клиентским устройством 300, не передается к клиентскому устройству 200. Это объясняется тем, что сертификат, установленный в устройстве 100 формирования изображения с использованием команды AS-службы, не может передаваться в качестве ответа на команду GetCertificates DM-службы.
[0075] Соответственно, пользователь клиентского устройства 200 может быть приведен в замешательство, поскольку пользователь не может распознать причину того, что, хотя сертификат был установлен в устройстве 100 формирования изображения, сертификат не может быть передан в ответ на команду запроса сертификата.
[0076] Кроме того, даже если клиентское устройство 200 исполняет команду GetCertificatesStatus на этапе S212, сертификат, имеющий статус ʺпустойʺ, передается на клиентское устройство 200. Это объясняется тем, что DM-служба не имеет концепций пути сертификации и пары ключей AS-службы, и, соответственно, ничто не может передаваться в ответ на GetCertificatesStatus.
[0077] Кроме того, поскольку DM-служба не имеет концепции CACertificate (промежуточного сертификата, CA-сертификата или перекрестно-корневого сертификат), который может быть установлен в AS-службе, его установка не может указываться в DM-службе.
[0078] Кроме того, в случае, когда клиентское устройство 200 выполняет установку для HTTPS-связи на основе DM-службы, поскольку AS не имеет концепции статуса сертификата, AS-служба не может ссылаться на содержание установки, выполненной на основе DM-службы.
[0079] Соответственно, устройство 100 формирования изображения согласно данному варианту осуществления использует предписанное хранилище ключей (Keystore) в качестве AS-службы, так что обеспечивается непротиворечивость между содержанием установки устройства 100 формирования изображения, на которое ссылается клиентское устройство 200, и установки устройства 100 формирования изображения, на которое ссылается клиентское устройство 300. Детальная конфигурация, которая гарантирует непротиворечивость между установкой устройства 100 формирования изображения, на которую ссылается клиентское устройство 200, и установкой устройства 100 формирования изображения, на которую ссылается клиентское устройство 300, будет описана со ссылкой на блок-схему последовательности операций согласно фиг. 3.
[0080] Фиг. 3 является блок-схемой последовательности операций, иллюстрирующей процесс, выполняемый устройством 100 формирования изображения. В режиме, в котором блок 103 управления устройства 100 формирования изображения включает в себя процессор и память, процесс, иллюстрируемый на фиг. 3, реализуется, когда блок 103 управления выполняет процедуру, проиллюстрированную на фиг. 3, путем исполнения программы, сохраненной в блоке 104 записи. Альтернативно, часть процесса или весь процесс, иллюстрируемый на фиг. 3, может выполняться аппаратными средствами.
[0081] Фиг. 3 является блок-схемой последовательности операций, иллюстрирующей процесс, выполняемый блоком 112 DM-службы, когда выдается команда CreateCertificate, как иллюстрируется на фиг. 2A. Команда CreateCertificate выдается таким образом, что клиентское устройство 200 инструктирует устройство 100 формирования изображения генерировать сертификат.
[0082] Устройство 100 формирования изображения принимает команду для инструктирования генерации сертификата от клиентского устройства 200 (S301). В этом варианте осуществления на этапе S301, устройство 100 формирования изображения принимает команду CreateCertificate от клиентского устройства 200.
[0083] В этом варианте осуществления будет описан случай, когда клиентское устройство 200 устанавливает следующее содержание на устройстве 100 формирования изображения на этапе S301.
[0084]
CertificateID 123456
Subject CN=sample.com
ValidNOtBefore 01-01-2015T01:00:00Z
ValidNOtAfter 12-31-2020T23:59:59Z
[0085] При приеме команды CreateCertificate посредством блока 111 HTTP-сервера, блок 112 DM-службы генерирует открытый ключ и секретный ключ (S302). В соответствии с командой CreateRSAKeyPair (создать пару RSA-ключей) AS-службы, длина ключа RSA может быть установлена путем специфицирования Keylength. Однако такая установка не может быть выполнена посредством команды CreateCertificate DM-службы, и поэтому ключи генерируются с фиксированной длиной ключа, например, 2048 битов.
[0086] Затем блок 112 DM-службы генерирует самостоятельно подписанный сертификат с использованием сгенерированного открытого ключа и сгенерированного секретного ключа (S303). Самостоятельно подписанный сертификат представляет собой информацию сертификата, которая подтверждает, что открытый ключ является действительной информацией ключа, и информация подписи добавляется блоком 112 DM-службы к информации сертификата. В спецификации DM-службы, Subject (объект) является типом строки, и метод для установки имени страны (Country) и общего имени (CommonName) не определен. В этом варианте осуществления общее имя установлено после ʺCN=ʺ. Строка символов ʺsample.comʺ после ʺCN=ʺ установлена на объект (Subject) и издателя (Issuer) самостоятельно подписанного сертификата, ʺValidNOtBeforeʺ установлено на начальную дату периода действительности, и ʺValidNOtAfterʺ установлено на конечную дату периода действительности.
[0087] Затем содержание установки записывается в блок 115 пары ключей блока 114 хранилища ключей (S304). На этапе S304 открытый ключ, секретный ключ и самостоятельно подписанный сертификат сохраняются в блоке 115 пары ключей. Кроме того, на этапе S304, уникальная строка символов, которая не была записана в блоке 115 пары ключей, генерируется как KeyID (информация пары ключей) и сохраняется в блоке 115 пары ключей. KeyID ассоциируется со сгенерированным открытым ключом и сгенерированным секретным ключом на этапе S304 и указывает, что открытый ключ и секретный ключ соответствуют друг другу. Кроме того, на этапе S304 информация, указывающая, что информация пары ключей была сгенерирована в ответ на команду, основанную на DM-службе, записывается в псевдоним (Alias) блока 115 пары ключей. Информация, записанная в псевдоним блока 115 пары ключей, может быть строкой символов, такой как ʺONVIFDeviceManagementʺ (управление устройством ONVIF).
[0088] Таким путем, информация пары ключей, которая не включена в DM-службу в качестве концепции, может автоматически генерироваться в ответ на команду для генерации сертификата, обеспечиваемого DM-службой. Кроме того, информация, указывающая, что информация пары ключей была сгенерирована в ответ на команду DM-службы, может быть записана в блок 104 записи.
[0089] Аналогичным образом, на этапе S304 строка символов, указывающая, что самостоятельно подписанный сертификат был сгенерирован в ответ на команду DM-службы, записывается в псевдоним блока 115 пары ключей.
[0090] Затем, содержание установки записывается в блок 116 сертификата блока 114 хранилища ключей (S305). На этапе S305 сгенерированный самостоятельно подписанный сертификат сохраняется в блоке 116 сертификата. Кроме того, на этапе S305, уникальная строка символов, которая не была включена в блок 116 сертификата, генерируется в качестве CertificateID, подлежащего записи в блок 116 сертификата. Кроме того, на этапе S305, строка символов, указывающая, что установка, ассоциированная с HTTPS, была установлена в устройстве 100 формирования изображения в ответ на команду DM-службы, записывается в псевдоним блока 116 сертификата. Кроме того, на этапе S305 KeyID, записанный в блоке 115 пары ключей, также сохраняется в блоке 116 сертификата, так что информация, записанная в блоке 116 сертификата, и информация, записанная в блоке 115 пары ключей, ассоциированы друг с другом.
[0091] Затем, содержание установки записывается в блок 117 пути сертификации (certificationpath) блока 114 хранилища ключей (S306). Если сертификат сгенерирован в ответ на команду CreateCertificate, то используется самостоятельно подписанный сертификат, и поэтому число уровней иерархии равно 1. Поэтому, на этапе S306, только CertificateID, сгенерированный на этапе S305, устанавливается в блоке 117 пути сертификации как CertificationPathID. Кроме того, информация, указывающая, что информация пути сертификации была сгенерирована в ответ на команду DM-службы, в псевдониме блока 117 пути сертификации записывается в блок 104 записи.
[0092] Таким образом, информация пути сертификации, которая не включена в AS-службе в качестве концепции, может автоматически генерироваться в ответ на команду для генерации сертификата, предусмотренную DM-службой. Кроме того, информация, указывающая, что информация пути сертификации была сгенерирована в ответ на команду DM-службы, может быть записана в блоке 104 записи.
[0093] Наконец, CertificateID, сгенерированный на этапе S305, и самостоятельно подписанный сертификат назначаются CertificatеID и сертификату, которые включены в ответ на CereateCertitificate. Затем CertificateID и самостоятельно подписанный сертификат передаются на клиентское устройство 200 (S307).
[0094] Таким образом, клиентское устройство 300 может ссылаться на открытый ключ и секретный ключ, которые установлены клиентским устройством 200 на устройство 100 формирования изображения в качестве пары ключей. В этом варианте осуществления клиентское устройство 300 передает команду GetAllKeys (получить все ключи) на устройство 100 формирования изображения, чтобы ссылаться на пару ключей (Keypair). Строка символов, указывающая, что открытый ключ и секретный ключ установлены в ответ на команду DM-службы, записана в псевдониме блока 115 пары ключей. Содержание псевдонима передается от устройства 100 формирования изображения на клиентское устройство 300 в качестве ответ на команду GetAllKeys. Соответственно, пользователь клиентского устройства 300 может распознать, что открытый ключ и секретный ключ были установлены в устройстве 100 формирования изображения клиентским устройством 200, которое использует DM-службу.
[0095] Кроме того, строка символов, указывающая, что сертификат и путь сертификации были установлены в ответ на команду DM-службы, описана в псевдониме блока 116 сертификата. Содержание псевдонима передается от устройства 100 формирования изображения на клиентское устройство 300.
[0096] Соответственно, пользователь клиентского устройства 300 может распознать, что сертификат и путь сертификации были установлены клиентским устройством 200, которое использует DM-службу. Клиентское устройство 300 задает CertificationPathID посредством команды AddServerCertificateAssignment, так что самостоятельно подписанный сертификат, сгенерированный клиентским устройством 200, должен использоваться в HTTPS-связи.
[0097] Далее, процесс, выполняемый устройством 100 формирования изображения, когда секретный ключ и сертификат загружены из клиентского устройства 200 в устройство 100 формирования изображения в процессе этапа S211, иллюстрируемого на фиг. 2A, будет описан со ссылкой на фиг. 4. Процесс, иллюстрируемый на фиг. 4, выполняется устройством 100 формирования изображения. В режиме, в котором блок 103 управления устройства 100 формирования изображения включает в себя процессор и память, процесс, иллюстрируемый на фиг. 4, реализуется, когда блок 103 управления выполняет процедуру, иллюстрируемую на фиг. 4, путем исполнения программы, сохраненной в блоке 104 записи. Альтернативно, часть процесса или весь процесс, иллюстрируемый на фиг. 4, может быть выполнен посредством аппаратных средств.
[0098] Устройство 100 формирования изображения принимает команду (Load Certificates) для загрузки сертификата с клиентского устройства 200 (S401). Команда LoadCertificates включает в себя следующее содержание.
CertificateID: ID сертификата, задаваемый, когда запрос подписи сертификата (CertificateSigningRequest: CSR) генерируется посредством GetPkcs10Request
Certificate: сертификат, подписанный (Sign) органом сертификации (CertificationAuthority: CA)
При приеме команды LoadCertificates, блок 112 DM-службы получает информацию (информацию пары ключей), сохраненную в блоке 115 пары ключей блока 114 хранилища ключей (S402). Затем, блок 112 DM-службы получает открытый ключ от блока 116 сертификата (S403).
[0099] Что касается самостоятельно подписанного сертификата, генерируемого устройством 100 формирования изображения в ответ на команду CreateCertificate, открытый ключ и секретный ключ сохранены в блоке 115 пары ключей блока 114 хранилища ключей. Аналогично, сертификат, подписанный в ответ на запрос подписи сертификата (CertificateSigningRequest: CSR), генерируемый на основе CertificateID собственного сертификата, имеет ассоциированную пару ключей. Устройство 100 формирования изображения определяет, совпадает ли один из открытых ключей, записанных в блоке 115 пары ключей, с открытым ключом, полученным на этапе S403 (S404).
[0100] Если любой из открытых ключей, записанных в блоке 115 пары ключей блока 114 хранилища ключей, не совпадает с открытым ключом в блоке 116 сертификата (ʺНетʺ на этапе S404), сертификат не может быть использован, и, соответственно, выполняется процесс обработки ошибки (S410).
[0101] С другой стороны, если один из открытых ключей, записанных в блоке 115 пары ключей блока 114 хранилища ключей, совпадает с открытым ключом в блоке 116 сертификата (ʺДаʺ на этапе S404), путь сертификации, включающий в себя CertificateID, удаляется (S405). Таким образом, путь сертификации, установленный для самостоятельно подписанного сертификата, может быть удален.
[0102] Затем сертификат, имеющий CertificateID, указанный информацией, записанной в блоке 116 сертификата блока 114 хранилища ключей, удаляется (S406). После этого устанавливается путь сертификации, включающий в себя сертификат, загруженный из клиентского устройства 200. В дополнение к загруженному сертификату псевдоним, указывающий, что установка была выполнена в ответ на команду DM-службы, сохраняется в блоке 117 пути сертификации блока 114 хранилища ключей (S407). После этого генерируется путь сертификации, в который установлен CertificateID. Затем уникальный CertificationPathID и псевдоним, указывающий, что установка была выполнена с использованием DM-службы, сохраняются в блоке 117 пути сертификации блока 114 хранилища ключей.
[0103] Поскольку команда LoadCertificates может задавать множество сертификатов, подлежащих загрузке, определяется, следует ли загружать другой сертификат (S409). Если определено, что другой сертификат должен быть загружен (ʺДаʺ на этапе S409), то процесс возвращается на этап S403. Если все сертификаты обработаны (ʺНетʺ на этапе S409), то ответ на команду LoadCertificates передается на клиентское устройство 200 (S411).
[0104] В этот момент, сертификат, загруженный клиентским устройством 200, может быть установлен как сертификат, подлежащий использованию, когда зашифрованная связь выполняется клиентским устройством 300 с устройством 100 формирования изображения в соответствии со следующей процедурой. Более конкретно, если клиентское устройство 300 задает CertificationPathID посредством команды AddServerCertificateAssignment, сертификат может быть использован в HTTPS-связи (например, SSL).
[0105] Если блок 112 DM-службы обрабатывает команду LoadCACertificates (загрузить СА-сертификаты), секретный ключ CA-сертификата не включен в блок 115 пары ключей блока 114 хранилища ключей. Поэтому пару ключей получают от блока 114 хранилища ключей. Тогда пара ключей, в которой открытый ключ загруженного сертификата и секретный ключ, сохраненный в блоке 115 пары ключей, совпадают друг с другом, может быть определена как ошибка. Если совпадение не обнаружено, то открытый ключ, полученный от блока 116 сертификата, и уникальный KeyID сохраняются в блоке 115 пары ключей блока 114 хранилища ключей, и информация, указывающая, что установка была выполнена в ответ на команду DM-службы, устанавливается в его псевдониме. Кроме того, сертификат и уникальный CertificateID сохраняются в блоке 116 сертификата блока 114 хранилища ключей, и информация, указывающая, что установка была выполнена в ответ на команду DM-службы, устанавливается в его псевдониме.
[0106] Далее процесс, выполняемый, когда устройство 100 формирования изображения принимает GetCertificates от клиентского устройства 200, будет описан со ссылкой на фиг. 5. Процесс на фиг. 5 реализуется блоком 112 DM-службы, иллюстрируемым на фиг. 2B.
[0107] При приеме GetCertificates от клиентского устройства 200 (S501) блок 112 DM-службы получает пару ключей и сертификат от блока 114 хранилища ключей (S502).
[0108] Затем блок 112 DM-службы обращается к блоку 115 пары ключей, ассоциированному с полученным сертификатом, чтобы определить, включен ли секретный ключ в блок 115 пары ключей (S503). Если секретный ключ обнаружен (ʺДаʺ на этапе S503), то сертификат добавляется к NVTCertificate, служащему в качестве ответа (S504).
[0109] Если секретный ключ не включен в блок 115 пары ключей (ʺНетʺ на этапе S503), сертификат не включается в ответ. Это объясняется тем, что если секретный ключ не включен, то может быть обнаружен CACertificate.
[0110] В случае, когда множество сертификатов получено на этапе S502, определяется, должен ли каждый из сертификатов быть включен в ответ (S505). Если следующий сертификат существует, процесс на этапе S503 выполняется вновь. Если определение выполнено по всем сертификатам (ʺНетʺ на этапе S505), ответ передается на клиентское устройство 200 (S506).
[0111] В случае, когда команда GetCACertificates обработана в блоке 112 DM-службы, сертификат, в котором негативное определение выполнено на этапе S503 на фиг. 5, может быть передан в качестве ответа, так как CA-сертификат не имеет секретного ключа.
[0112] Фиг. 6 является блок-схемой последовательности операций, иллюстрирующей процесс удаления сертификата, выполняемый блоком 112 DM-службы. Команды, ассоциированные с безопасностью DM-службы, не имеют концепций пути сертификации (CertificationPath) и пары ключей (Keypair). В этом варианте осуществления в случае, когда сертификат удаляется посредством команды DeleteCertificates (удалить сертификаты), основанной на DM-службе, путь сертификации и пара ключей, основанные на AM-службе, также удаляются.
[0113] Команда DeleteCertificates выдается на основе DM-службы, чтобы запросить удаление информации сертификата, записанной в блоке 104 записи. Хотя в этом варианте осуществления описан процесс удаления сертификата, сертификат может быть блокирован. Старый сертификат может быть блокирован путем замены на новый сертификат.
[0114] При приеме команды DeleteCertificates (S601), блок 112 DM-службы получает пары ключей, сертификаты и пути сертификации из блока 114 хранилища ключей (S602).
[0115] Затем определяется, включен ли путь сертификации, включающий в себя CertificateID, заданный посредством команды DeleteCertificates (S603). Если такой путь сертификации не включен (ʺНетʺ на этапе S603), путь сертификации сертификата, заданного посредством CertificateID, не требуется удалять. Определяется, включен ли сертификат, имеющий тот же самый CertificateID, в блок 116 сертификата блока 114 хранилища ключей (S604). Если такой сертификат не включен, то есть, заданный сертификат не включен, то блок 113 AS-службы передает уведомление об ошибке на клиентское устройство 200 в качестве ответа (S611). Если такой сертификат включен, то сертификат, соответствующий заданному CertificateID, удаляется (S607).
[0116] Если на этапе S603 определено, что путь сертификации, включающий в себя заданный CertificateID, включен (ʺДаʺ на этапе S603), то определяется, используется ли путь сертификации в SSL или т.п. Если путь сертификации используется (ʺДаʺ на этапе S605), то сертификат не может быть удален, и поэтому блок 113 AS-службы передает уведомление об ошибке на клиентское устройство 200 в качестве ответа (S611).
[0117] Если путь сертификации не используется (ʺНетʺ на этапе S605), путь сертификации удаляется (S606), и сертификат, заданный посредством CertificateID, удаляется (S607). Затем удаляется пара ключей, ассоциированная с сертификатом. Пара ключей не может быть удалена посредством любой команды безопасности DM-службы, и поэтому требуется, чтобы пара ключей была удалена посредством команды DeleteCertificates.
[0118] Однако поскольку пара ключей может быть ассоциирована с другим сертификатом, определяется, ассоциирована ли пара ключей с другим сертификатом, на этапе S610. Если пара ключей не ассоциирована с другим сертификатом (ʺНетʺ на этапе S608), пара ключей, ассоциированная с сертификатом, который является целью удаления, удаляется (S609). Если пара ключей ассоциирована с другим сертификатом (ʺДаʺ на этапе S608), то пара ключей не удаляется. Поскольку команда DeleteCertificates может задавать множество CertificateID, если следующий CertificateID существует (ʺДаʺ на этапе S610), то процесс удаления выполняется над следующим CertificateID (процесс возвращается к этапу S603). После того как все CertificateID обработаны (ʺНетʺ на этапе S610), блок 112 DM-службы передает информацию, указывающую, что процесс успешно завершен, на клиентское устройство 200.
[0119] Таким образом, блок 112 DM-службы удаляет информацию о паре ключей, соответствующую информации о сертификате, заданном посредством команды DeleteCertificates (первой команды) от блока 104 записи. Кроме того, блок 112 DM-службы удаляет информацию о пути сертификации, соответствующем сертификату, заданному посредством команды DeleteCertificates от блока 104 записи. Как описано выше, сертификат может быть блокирован путем замены другим или добавления информации, указывающей недоступность сертификата.
[0120] Далее будет описан процесс установки статуса сертификата. Команда SetCertificatesStatus является командой, выполняемой на основе DM-службы, и выдается, чтобы задать сертификат, используемый для HTTPS-связи, такой как SSL. Далее в варианте осуществления зашифрованная связь с использованием SSL принята в качестве примера. В этом варианте осуществления информация статуса (Status) сертификата разрешена (enable), так что установка с использованием сертификата в SSL может быть выполнена, и Status блокируется (disable), так что установка может выполняться так, чтобы не использовать сертификат в SSL.
[0121] Однако в DM-службе, только статус одного сертификата может быть изменен, и DM-служба не имеет пути сертификации в качестве концепции, в отличие от AS-службы, и поэтому сертификаты во множестве стадий могут не быть заданы. Соответственно, в этом варианте осуществления в случае, когда CertificateID задан посредством команды SetCertificatesStatus (установить статус сертификатов), могут быть выполнены следующие два процесса.
[0122] Во-первых, в случае, когда идентификационная информация сертификата, заданного посредством команды SetCertificatesStatus, совпадает с идентификационной информацией первого сертификата в порядке сертификатов, указанном посредством пути сертификации, путь сертификации используется для установки в SSL. Идентификационная информация сертификата указана как CertificateID в ONVIF.
[0123] Во-вторых, другим из процессов является процесс, выполняемый, когда путь сертификации, в котором идентификационная информация сертификата, которая совпадает с идентификационной информацией сертификата, заданной командой SetCertificatesStatus, установлена в качестве идентификационной информации первого (начального) сертификата в порядке сертификатов, не записан в блоке 104 записи. В этом случае установка выполняется так, что путь сертификации в одной стадии генерируется с использованием сертификата, соответствующего CertificateID, заданному посредством команды SetCertificatesStatus, и записывается в блок 104 записи в качестве пути сертификации, подлежащего использованию в SSL. Отдельные методы для выполнения процессов будут описаны детально ниже.
[0124] Далее процесс выполнения команды SetCertificatesStatus в блоке 112 DM-службы будет описан со ссылкой на фиг. 7. В блок-схеме последовательности операций процесса, иллюстрируемого на фиг. 7, если обнаружено совпадение CertificationID первой (начальной) части пути сертификации, соответствующий путь сертификации используется для установки SSL. При приеме SetCertificatesStatus (S701), блок 112 DM-службы получает пары ключей, сертификаты и пути сертификации из блока 114 хранилища ключей (S702). Затем осуществляется поиск пути сертификации, имеющего первый CertificateID, который совпадает с заданным CertificateID (S703). Если совпадение не обнаружено (ʺНетʺ на этапе S703), блок 112 DM-службы передает уведомление об ошибке на клиентское устройство 200 (S704). Если совпадение обнаружено (ʺДаʺ на этапе S703) и если статус (Status) соответствует ʺистинноʺ, то устанавливается путь сертификации, подлежащий использованию в SSL, в то время как если статус соответствует ʺложноʺ, то устанавливается путь сертификации, который не может быть использован в SSL (S705). Поскольку команда SetCertificatesStatus может задавать множество CertificateIDs, если существует следующий CertificateID (ʺДаʺ на этапе S706), процесс возвращается к этапу S703, и процесс на этапе S703 выполняется вновь. После того как все CertificateID обработаны (ʺНетʺ на этапе S706), блок 112 DM-службы передает информацию, указывающую, что процесс успешно завершен, на клиентское устройство 200.
[0125] Таким образом, в случае, когда клиентское устройство 300 устанавливает путь сертификации, включающий в себя множество CertificateIDs, заранее, клиентское устройство 200 может установить путь сертификации, включающий в себя множество CertificateID, для SSL.
[0126] Далее, процесс, выполняемый блоком 112 DM-службы, когда устройство 100 формирования изображения принимает команду GetCertificatesStatus (получить статус сертификатов) от клиентского устройства 200, будет описан со ссылкой на фиг. 8. Команда GetCertificatesStatus является командой, основанной на DM-службе. Команда GetCertificatesStatus является командой для запроса передачи информации, указывающей статус сертификата (информации, указывающей, может ли сертификат использоваться для зашифрованной связи), записанной в блок 104 записи.
[0127] Со ссылкой на пример согласно фиг. 8, будет описан случай, в котором путь сертификации, имеющий первый сертификат, соответствующий CertificateID, заданному командой SetCertificatesStatus, записан в блоке 104 записи в качестве пути сертификации, используемого для установки в SSL.
[0128] Команда GetCertificatesStatus, обеспечиваемая посредством DM-службы, возвращает статус одного сертификата и поэтому не может указать путь сертификации AS-службы. В информации пути сертификации, основанной на AS-службе, указана идентификационная информация (CertificateID) множества сертификатов. Поэтому в случае, когда принимается команда GetCertificatesStatus, основанная на DM-службе, следует определить статус одного из множества сертификатов, который должен быть возвращен. Поэтому, в этом варианте осуществления среди множества сертификатов, указываемых путем сертификации, информация (например, информация статуса) о первом сертификате в порядке обращения (ссылки), выполняемого устройством 100 формирования изображения для зашифрованной связи, передается в качестве ответа.
[0129] При приеме команды GetCertificatesStatus (S801) блок 112 DM-службы получает сертификаты и пути сертификации из блока 114 хранилища ключей (S802). Если какой-либо из CertificateID сертификатов в блоке 114 хранилища ключей не совпадает с первым CertificateID пути сертификации (ʺНетʺ на этапе S803), сертификат не может быть использован для установки SSL. Поэтому, ничто не добавляется к ответу на команду GetCertificatesStatus, и процесс переходит к этапу S807. Если один из CertificateID сертификатов в блоке 114 хранилища ключей совпадает с первым CertificateID пути сертификации, то определяется, используется ли данный путь сертификации в SSL (S804). Если путь сертификации используется в SSL (ʺДаʺ на этапе S804), то представляющий интерес CertificateID и статус, для которого установлено ʺистинноʺ, добавляются к ответу. Если путь сертификации не используется в SSL (ʺНетʺ на этапе S804), то представляющий интерес CertificateID и статус, для которого установлено ʺложноʺ, добавляются к ответу. Если существует другой сертификат, то процесс возвращается к этапу S803 для процесса ответа (ʺДаʺ на этапе S807). Если все сертификаты обработаны (ʺНетʺ на этапе S807), блок 113 AS-службы передает ответ на клиентское устройство 200 (S808).
[0130] Фиг. 9 является блок-схемой последовательности операций, иллюстрирующей процесс, выполняемый блоком 112 DM-службы в ответ на команду SetCertificatesStatus. В процессе, иллюстрируемом на фиг. 9, если обнаружено совпадение CertificateID первой части пути сертификации, то путь сертификации используется для установки SSL. С другой стороны, если установка пути сертификации не была выполнена, путь сертификации одной стадии, включающий в себя сертификат, соответствующий заданному CertificateID, генерируется и используется для установки SSL.
[0131] При приеме команды SetCertificatesStatus (S901) блок 112 DM-службы получает пары ключей, сертификаты и пути сертификации от блока 114 хранилища ключей (S902).
[0132] Затем определяется, совпадает ли заданный CertificateID с первым CertificateID одного из путей сертификации (S903). Если обнаружено совпадение (ʺДаʺ на этапе S903), путь сертификации используется в SSL, если значение заданного статуса соответствует ʺистинноʺ, в то время как путь сертификации не используется в SSL, если значение заданного статуса соответствует ʺложноʺ.
[0133] Если определено, что путь сертификации, включающий в себя первый CertificateID, соответствующий заданному CertificateID, не обнаружен на этапе S903 (ʺНетʺ на этапе S903), то определяется, включен ли сертификат, соответствующий заданному CertificateID, в сертификаты в блоке 114 хранилища ключей (S904). Если сертификат не обнаружен, то в качестве ответа передается уведомление об ошибке (S905).
[0134] Если определение положительно, то генерируется путь сертификации в одной стадии с использованием CertificateID (S906), и заданный статус отображается (S907). Поскольку команда SetCertificatesStatus может задавать множество CertificateID, если следующий CertificateID существует (ʺДаʺ на этапе S908), то процесс возвращается к этапу S903, и обрабатывается следующий CertificateID. После того как все CertificateID обработаны, (ʺНетʺ на этапе S908), блок 112 DM-службы передает информацию, указывающую, что процесс успешно завершен, на клиентское устройство 200.
[0135] Блок 112 DM-службы согласно этому варианту осуществления выполняет следующий процесс, чтобы генерировать путь сертификации, даже если CertificateID, который не совпадает с первыми частями путей сертификации, задан посредством команды SetCertificatesStatus. Более конкретно, CertificateID, который не совпадает первыми частями путей сертификации, также передается в ответе на команду GetCertificatesStatus.
[0136] Далее, процесс, выполняемый блоком 112 DM-службы в ответ на команду GetCertificatesStatus, будет описан со ссылкой на фиг. 10. В примере согласно фиг. 10 описан случай, в котором сертификат и путь сертификации установлены в соответствии с процессом, иллюстрируемым на фиг. 9.
[0137] При приеме команды GetCertificatesStatus (S1001) блок 112 DM-службы получает пути сертификации, сертификаты и пары ключей от блока 114 хранилища ключей (S1001). Затем осуществляется поиск сертификата, имеющего CertificateID, который задан командой GetCertificatesStatus и который совпадает с первым CertificateID в порядке, указанном путем сертификации. Если совпадение обнаружено (ʺДаʺ на этапе S1003), то определяется, используется ли путь сертификации в SSL (S1004).
[0138] Если путь сертификации используется в SSL (ʺДаʺ на этапе S1004), его CertificateID добавляется к ответу, и его статус устанавливается в ʺистинноʺ (S1005). Если путь сертификации не используется в SSL (ʺНетʺ на этапе S1004), то его CertificateID добавляется к ответу и его статус устанавливается в «ложно» (S1007).
[0139] Таким образом, блок 112 DM-службы обрабатывает третью команду для запроса получения информации, указывающей, установлена ли информация сертификата, записанная в блоке 104 записи, как информация сертификата, подлежащая использованию для выполнения зашифрованной связи. Затем, в соответствии с третьей командой, информация, указывающая, что четвертая информация сертификата, указывающая, что информация пути сертификации находится в первой части в порядке, установлена в качестве информации сертификата, подлежащей использованию для выполнения зашифрованной связи (например, статус соответствует ʺистинноʺ), записывается в блок 104 записи. Кроме того, блок 112 DM-службы записывает информацию, указывающую, что пятая информация сертификата, отличающаяся от четвертой информации сертификата, не установлена, чтобы использоваться для выполнения зашифрованной связи (например, статус соответствует ʺложноʺ), в блоке 104 записи.
[0140] Затем, в случае, если CertificateID не обнаружен в блоке 117 пути сертификации (ʺНетʺ на этапе S1003), сертификат, используемый как самостоятельно подписанный сертификат, генерируется в качестве ответа. Секретный ключ устанавливается для пары ключей, ассоциированной с сертификатом, используемым в качестве самостоятельно подписанного сертификата. Если определено, что секретный ключ включен в блок 115 пары ключей (ʺДаʺ на этапе S1006), CertificateID сертификата добавляется к ответу, и его статус устанавливается в ʺложноʺ. Если секретный ключ не включен в блок 115 пары ключей (ʺНетʺ на этапе S1006), то его CertificateID не включается в ответ.
[0141] Таким образом, если блок 112 DM-службы выполняет GetCertificatesStatus (третью команду), информация о сертификатах, которые не ассоциированы с информацией пары ключей, среди множества сертификатов, указанных посредством пути сертификации, может не передаваться.
[0142] Поскольку команда SetCertificatesStatus может задавать множество CertificateID, если следующий CertificateID существует (ʺДаʺ на этапе S1008), то процесс возвращается этапу S1003, и обрабатывается следующий CertificateID. После того как все CertificateID обработаны (ʺНетʺ на этапе S1008), блок 112 DM-службы передает ответ на клиентское устройство 200.
[0143] Команда LoadCertificatesWithPrivatekey (загрузить сертификаты с секретным ключом) используется для загрузки сертификата, секретного ключа и открытых ключей, соответствующих сертификату и секретному ключу, в устройство 100 формирования изображения. При приеме этой команды, блок 112 DM-службы получает открытые ключи отдельно от сертификата и секретного ключа, и если совпадение не обнаружено, то выполняется процесс обработки ошибки. Если совпадение обнаружено, то секретный ключ, открытый ключ и уникальный KeyID сохраняются в блоке 114 хранилища ключей, и информация, указывающая, что установка была выполнена командой DM-службы, устанавливается в его псевдоним. Кроме того, сертификат и CertificateID сохраняются в блоке 116 сертификата блока 114 хранилища ключей, и информация, указывающая, что установка была выполнена командой DM-службы, устанавливается в его псевдоним.
[0144] Как описано выше, в случае, когда блок 112 DM-службы обрабатывает команду, ассоциированную с безопасностью, установки пары ключей и пути сертификации могут не выполняться с использованием команд, ассоциированных с безопасностью DM. Поэтому, в этом варианте осуществления установки, соответствующие паре ключей, сертификату и пути сертификации, записываются в блок 114 хранилища ключей. Таким образом, состояние установки может совместно использоваться клиентским устройством 200, которое использует команды безопасности DM, и клиентским устройством 300, которое выполняет установки с использованием команд AS-службы.
[0145] Кроме того, если пара ключей, сертификат и путь сертификации сохранены в блоке 114 хранилища ключей, информация, указывающая, что установки выполнены на основе DM-службы, записывается в псевдоним. Тогда блок 105 связи может передавать информацию, указывающую, что установки были выполнены на устройстве 100 формирования изображения в соответствии с командами, основанными на DM-службе, в соответствии с командой, основанной на AS-службе (командой, используемой для ссылки на установки). Таким образом, даже если клиентское устройство 200 выполняет установки безопасности, клиентское устройство 300 может распознать эти установки.
[0146] Выше был описан первый вариант осуществления настоящего изобретения. Однако настоящее изобретение не ограничено этим вариантом осуществления, и различные модификации и изменения могут быть выполнены в рамках объема настоящего изобретения. Блок 105 связи может записывать информацию, указывающую, что установка была выполнена на устройстве 100 формирования изображения в соответствии с командой, основанной на AS-службе, и передавать информацию в соответствии с командой, основанной на DM-службе (командой, используемой для ссылки на установку). Таким образом, даже если клиентское устройство 300 выполняет установки безопасности, клиентское устройство 200 может распознать установки.
Второй вариант осуществления
[0147] Устройство формирования изображения, имеющее функцию установки функции безопасности в соответствии со вторым вариантом осуществления настоящего изобретения, будет описано ниже со ссылкой на фиг. 11-15.
[0148] Устройство 100 формирования изображения согласно этому варианту осуществления способно выполнять установку устройства 100 формирования изображения с использованием средства, иного, чем процедура связи ONVIF. В этом варианте осуществления устройство 100 формирования изображения, служащее в качестве устройства обработки информации, активирует WEB-страницу, подлежащую использованию клиентским устройством 1100, чтобы выполнять установку на устройстве 100 формирования изображения. Пользователь может получить доступ к камере через WEB-браузер с использованием клиентского устройства 1100, чтобы изменить установку.
[0149] Кроме того, в случае установки SSL, например, устройство 100 формирования изображения обеспечивает WEB-страницу для установки в SSL, и установка сертификата и управление началом и концом SSL-службы выполняются с использованием WEB-страницы. Далее WEB-страница для установки упоминается как ʺстраница установкиʺ.
[0150] В этом варианте осуществления будет описано устройство 100 формирования изображения, в котором на функцию, ассоциированную с безопасностью, настроенную в странице установки, можно ссылаться посредством команд безопасности DM-службы ONVIF и команд безопасности AS-службы ONVIF. Более конкретно, содержание установки, выполненной клиентским устройством 1100 на устройстве 100 формирования изображения с использованием страницы установки, может быть проверено посредством клиентских устройств 200 и 300 первого варианта осуществления.
[0151] В ONVIF предписаны группа команд для установки секретного ключа, открытого ключа и сертификата, группа команд для выполнения установки таким образом, что секретный ключ, открытый ключ и сертификат используются в SSL и IEEE802.1X, и команда для установки начала и конца службы.
[0152] Например, хотя CertificateID получают, когда сертификат генерируется или загружается, использование сертификата не определено в этот момент. В случае SSL, использование сертификата определяется командой SetCertificatesStatus среди команд безопасности, используемых в DM-службе. Кроме того, использование сертификата определяется командой Add/ReplaceServerCertificateAssignment (добавить/ заменить назначение сертификата сервера) среди команд, используемых в AS-службе.
[0153] В случае, когда должна быть обеспечена страница установки, подходящая для команды для установки безопасности ONVIF, ожидается, что различные страницы используются для установки сертификата и для применения сертификата к услуге SSL или т.п. В этом случае выполняется установка сертификата, и сертификат задается в другой странице. Однако, если установка сертификата и начало и конец службы завершаются на странице установки SSL, то реализуется удобная для пользователя страница установки.
[0154] Кроме того, хотя блок 114 хранилища ключей может устанавливать множество сертификатов в общем случае, в случае страницы установки SSL, достаточно, что установлен один сертификат для сервера SSL или один сертификат для сервера SSL и пара сертификатов в промежуточном уровне.
[0155] В этом варианте осуществления в качестве примера описан случай, когда установка SSL выполняется на устройстве 100 формирования изображения, способном выполнять установку с использованием страницы установки. В частности, будет описан способ для взаимного отображения страницы установки, установки команды безопасности DM-службы и установки команды AS-службы с использованием псевдонима блока 114 хранилища ключей.
[0156] Блок 103 управления устройства 100 формирования изображения согласно этому варианту осуществления выполняет, в дополнение к функциям блока 112 DM-службы и блока 113 AS-службы, функцию блока 118 управления страницей установки, описанного ниже. Например, первый блок 106 обработки может выполнять функцию блока 118 управления страницей установки. Другие конфигурации являются теми же самыми, что и показанные на фиг. 2A, и поэтому их описания опущены. Фиг. 11 является диаграммой, иллюстрирующей устройство 100 формирования изображения и клиентское устройство 1100, которое выполняет установку безопасности на устройстве 100 формирования изображения с использованием страницы установки.
[0157] Кроме того, функциональная конфигурация устройства 100 формирования изображения этого варианта осуществления описана со ссылкой на фиг. 11. Устройство 100 формирования изображения этого варианта осуществления включает в себя, как в первом варианте осуществления, блок 111 HTTP-сервера, блок 112 DM-службы, блок 113 AS-службы и блок 114 хранилища ключей. Устройство 100 формирования изображения во втором варианте осуществления отличается от такового в первом варианте осуществления по своей конфигурации тем, что блок 114 хранилища ключей может управляться блоком 118 управления страницей установки.
[0158] Блок 118 управления страницей установки выполняет команду, выданную клиентским устройством 1100 (первым устройством приема), которое использует страницу установки, на устройство 100 формирования изображения на основе HTTP (первая процедура связи). Команда, основанная на HTTP, включает в себя команду для записи первой информации пары ключей, указывающей, что открытый ключ (первая информация открытого ключа), используемый для выполнения зашифрованной связи, соответствует секретному ключу (первой информации секретного ключа), используемому для выполнения зашифрованной связи, в блоке 104 записи. Кроме того, команда, основанная на HTTP, включает в себя команду для передачи информации пары ключей (первой информации пары ключей), указывающей соотношение соответствия между открытым ключом и секретным ключом, от блока 105 связи. Кроме того, команда, основанная на HTTP, включает в себя команду для блокирования (например, удаления) информации пары ключей, записанной в блок 104 записи. Кроме того, команда, основанная на HTTP, включает в себя команду для генерации самостоятельно подписанного сертификата, который является информацией сертификата, используемой для подтверждения, что информация открытого ключа является действительной информацией, и который включает в себя информацию подписи, добавленную к нему блоком 118 управления страницей установки. Не требуется, чтобы блок 118 управления страницей установки выполнял все команды, и блок 118 управления страницей установки выполняет по меньшей мере одну из команд.
[0159] При приеме запроса страницы установки SSL от клиентского устройства 1100, устройство 100 формирования изображения этого варианта осуществления передает страницу установки, иллюстрируемую на фиг. 12, в качестве ответа.
[0160] Кнопки с зависимой фиксацией (1201, 1202 и 1203) отображаются для выбора блокирования SSL, использования самостоятельно подписанного сертификата или использования сертификата, подписанного посредством CA.
[0161] Объект (subject) 1204 является полем ввода, используемым для установки объекта, подлежащего использованию для самостоятельно подписанного сертификата. Содержание ввода устанавливается на ʺобъектʺ и ʺиздательʺ (Issuer) самостоятельно подписанного документа. Например, ʺCN=example.comʺ установлено в объекте 1204, и ʺexample.comʺ установлено на CommonName.
[0162] Кроме того, поля ввода 1205 и 1206 используются для установки начальной даты и конечной даты периода действительности, соответственно. Если кнопка 1207 генерации нажата после того, как объект 1204 и поля ввода 1205 и 1206 установлены, то генерируется самостоятельно подписанный сертификат. Кнопка 1208 отображения используется для отображения сгенерированного самостоятельно подписанного сертификата в другом окне посредством всплывающего окна. Кнопка 1209 удаления используется для удаления самостоятельно подписанного сертификата.
[0163] Объект 1210 используется для установки объекта запроса подписи сертификата и устанавливается тем же методом, что и для объекта 1204. Кнопка 1211 генерации используется для генерации запроса подписи сертификата в соответствии с объектом, установленным в поле объекта 1210, и кнопка 1212 отображения используется для отображения запроса подписи сертификата в другом окне посредством всплывающего окна.
[0164] Кнопка 1213 инсталляции используется, чтобы инструктировать инсталляцию сертификата, подписанного посредством CA в ответ на запрос подписи сертификата. Файл сертификата выбирается со ссылкой на файловую систему устройства, которую исполняет клиентское устройство 1100. Кнопка 1214 отображения используется для выдачи инструкции отображения сертификата в другом окне. Кнопка 1215 удаления используется для выдачи инструкции удаления сертификата.
[0165] Кнопка 1216 инсталляции используется для выдачи инструкции инсталляции CA-сертификата (сертификата на промежуточном уровне или перекрестного корневого сертификата), обеспечиваемого посредством CA. Если выбрана кнопка 1216 инсталляции, то файл сертификата выбирается со ссылкой на системный файл устройства, который исполняет клиентское устройство 1100. Кнопка 1217 отображения используется, чтобы отображать сертификат в другом окне. Кнопка 1218 удаления используется, чтобы удалять сертификат. Кнопка 1219 применения используется, чтобы отображать установку. Кнопка 1220 отмены используется, чтобы отменять установку.
[0166] Процесс, выполняемый, когда выбрана кнопка 1202 с зависимой фиксацией, объект 1204 и поля ввода 1205 и 1206 установлены, и кнопка 1207 генерации нажата, описан со ссылкой на фиг. 13. Путем выполнения установки таким путем самостоятельно подписанный сертификат, подлежащий использованию в SSL, генерируется в устройстве 100 формирования изображения. Устройство 100 формирования изображения отображает содержание установки в блоке 114 хранилища ключей.
[0167] Устройство 100 формирования изображения сначала генерирует открытый ключ и секретный ключ (S1302). Хотя алгоритм шифрования и подписи и длина ключа могут устанавливаться, sha-2WithRSAEncryption (алгоритм SHA-2 с RDA-шифрованием) и 2048 битов установлены в качестве фиксированных установок. Генерация открытого ключа, секретного ключа и самостоятельно подписанного сертификата может выполняться блоком 103 управления. В функциональной конфигурации согласно фиг. 11, открытый ключ, секретный ключ и самостоятельно подписанный сертификат могут генерироваться блоком 111 HTTP-сервера.
[0168] Затем самостоятельно подписанный сертификат генерируется в соответствии с установленными значениями (S1302). Затем сертификат и т.д., установленные на странице установки, сохраняются в блоке 114 хранилища ключей, так что к сертификату и т.д. может обращаться команда безопасности DM и команда AS.
[0169] Сначала уникальный KeyID генерируется в дополнение к открытому ключу и секретному ключу и сохраняется в паре ключей (Keypair) блока 114 хранилища ключей. Кроме того, информация, указывающая, что установка была выполнена с использованием самостоятельно подписанного сертификата на странице установки, записывается в его псевдоним (S1303). Затем, уникальный CertificateID генерируется в дополнение к самостоятельно подписанному сертификату и сохраняется в блоке 116 сертификата блока 114 хранилища ключей. Информация, указывающая, что установка была выполнена с использованием самостоятельно подписанного сертификата на странице установки, записывается в его псевдоним (S1304).
[0170] Затем путь сертификации, включающий в себя только один CertificateID, и уникальный CertificationPathID генерируются и сохраняются в блоке 117 пути сертификации блока 114 хранилища ключей. Затем, информация, указывающая, что установка была выполнена с использованием самостоятельно подписанного сертификата на странице установки, устанавливается в его псевдоним (S1303). Кроме того, поскольку самостоятельно подписанный сертификат, который генерируется на странице установки SSL, естественно используется в SSL, сгенерированный путь сертификации устанавливается, чтобы использоваться в SSL (S1306).
[0171] При этом клиентское устройство 300 может ссылаться на секретный ключ и открытый ключ самостоятельно подписанного сертификата, сгенерированного на странице установки, с использованием команды GetAllKeys (получить все ключи). Кроме того, клиентское устройство 300 может ссылаться на самостоятельно подписанный сертификат с использованием команды GetAllCertificates (получить все сертификаты). Кроме того, клиентское устройство 300 может распознать, что самостоятельно подписанный сертификат был установлен на одной стадии с использованием команды GetCertificationPath (получить путь сертификации). Кроме того, клиентское устройство 300 может распознать, что путь сертификации должен использоваться в SSL с использованием команды GetAssignedServerCertificates (получить сертификаты назначенного сервера). Кроме того, поскольку информация, указывающая, что установка была выполнена с использованием самостоятельно подписанного сертификата на странице установки, установлена в псевдонимах, на информацию можно ссылаться, когда клиентское устройство 300 ссылается на установку или заменяет установку.
[0172] Далее будет описан процесс, выполняемый в случае, когда пользователь нажимает кнопку 1208 отображения в клиентском устройстве 1100. Информация, указывающая, что установка была выполнена с использованием самостоятельно подписанного сертификата на странице установки, была установлена в псевдоним блока 116 сертификата блока 114 хранилища ключей. Поэтому выполняется получение списка сертификатов, поиск одного из сертификатов, соответствующих псевдониму, и отображение полученного сертификата в клиентском устройстве 1100.
[0173] В случае, когда установка самостоятельно подписанного сертификата, не была выполнена на странице установки SSL, когда приводится в действие кнопка 1208 отображения, может выполняться следующая операция. Более конкретно, если путь сертификации, который использует самостоятельно подписанный сертификат, был установлен в блоке 117 пути сертификации, самостоятельно подписанный сертификат, установленный в клиентском устройстве 200 или клиентском устройстве 300, может быть отображен. В этом случае блок 117 пути сертификации осуществляет поиск пути сертификации, используемого в SSL. Если такой путь сертификации включен, выполняется ссылка на сертификат с использованием CertificateID, установленного в блоке 117 пути сертификации, и если сертификат является самостоятельно подписанным сертификатом, сертификат отображается в клиентском устройстве 1100.
[0174] Далее будет описан процесс, выполняемый, когда пользователь нажимает кнопку 1209 удаления. Информация, указывающая, что установка была выполнена с использованием самостоятельно подписанного сертификата на странице установки, была установлена в псевдониме блока 115 пары ключей, блока 116 сертификата и блока 117 пути сертификации блока 114 хранилища ключей. Если выбрана кнопка 1209 удаления, информация удаляется. Сначала, путь сертификации устанавливается, чтобы не использоваться в SSL. Затем, путь сертификации, соответствующий псевдониму, удаляется, и аналогичным образом, сертификат и пара ключей удаляются в этом порядке.
[0175] Кнопка 1209 удаления может быть использована для удаления установки, выполненной с использованием самостоятельно подписанного сертификата в блоке 117 пути сертификации, даже если установка самостоятельно подписанного сертификата не выполняется на странице установки SSL. Например, самостоятельно подписанный сертификат, установленный в клиентском устройстве 200 или в клиентском устройстве 300, может быть удален. В этом случае блок 117 пути сертификации осуществляет поиск пути сертификации, используемого в SSL, и если такой путь сертификации обнаружен, то выполняется ссылка на сертификат с использованием CertificateID, установленного в блоке 117 пути сертификации. Если сертификат является самостоятельно подписанным сертификатом, путь сертификации устанавливается, чтобы не использоваться в SSL, и путь сертификации, сертификат и пара ключей удаляются в этом порядке.
[0176] Далее будет описан процесс, выполняемый, когда используется сертификат, подписанный посредством CA. Если объект установлен на объект 1210, и нажата кнопка 1211 генерации, сначала генерируются открытый ключ и секретный ключ. Затем открытый ключ, секретный ключ и уникальный KeyID сохраняются в блоке 115 пары ключей блока 114 хранилища ключей, и информация, указывающая установку с использованием сертификата, подписанного посредством CA, устанавливается в его псевдоним. Кроме того, запрос подписи сертификата генерируется с использованием значения, установленного в объекте 1210. Если кнопка 1212 отображения нажата, запрос подписи сертификата, генерируемый кнопкой 1211 генерации, отображается в другом окне, которое независимо генерируется в клиентском устройстве 1100.
[0177] Фиг. 14 является блок-схемой последовательности операций процесса, выполняемого, когда сертификат и CA-сертификат установлены посредством кнопок 1213 и 1216 инсталляции в случае, когда должен использоваться сертификат, подписанный посредством CA. Здесь издатель сертификата и CommonName CA-сертификата проверяются, так что определяется, были ли инсталлированные сертификаты сгенерированы в ответ на запрос подписи сертификата, и CertificationPath для AS устанавливается соответствующим образом.
[0178] Сначала пару ключей, имеющую псевдоним, указывающий, что должен использоваться сертификат, подписанный посредством CA, получают из блока 115 пары ключей блока 114 хранилища ключей (S1401). Затем получают открытый ключ из сертификата, инсталлированного кнопкой 1213 инсталляции (S1402). Открытый ключ полученной пары ключей и открытый ключ сертификата сравниваются друг с другом. Если они не совпадают друг с другом (ʺНетʺ на этапе S1403), комбинация открытого ключа и секретного ключа является несоответствующей, и, соответственно, выполняется обработка ошибки (S1412). Если обнаружено совпадение (ʺДаʺ на этапе S1403), то из сертификата получают издателя, так что проверяется путь сертификата (S1404), и из СА-сертификата получают объект (S1405).
[0179] Издатель и объект, полученные таким образом, сравниваются друг с другом. Если они не совпадают друг с другом (ʺНетʺ на этапе S1406), то путь сертификата является несоответствующим, и, соответственно, выполняется обработка ошибки (S1402). Если обнаружено совпадение (ʺДаʺ на этапе S1406), процесс переходит к этапу S1407. Хотя предполагается, что только один CA-сертификат используется в этом варианте осуществления если существует множество CA-сертификатов, то необходимо проверить аналогичным образом множество путей сертификатов.
[0180] Затем сертификат, установленный посредством кнопки 1213 инсталляции, устанавливается в сертификат блока 114 хранилища ключей. Сертификат, уникальный CertificateID и KeyID пары ключей, полученные на этапе S1401, сохраняются в сертификате блока 114 хранилища ключей. Затем информация, указывающая, что должен использоваться сертификат, подписанный посредством CA-сертификата, устанавливается в его псевдоним (S1407).
[0181] Затем CA-сертификат, установленный посредством кнопки 1216 инсталляции, устанавливается в блок 115 пары ключей и блок 116 сертификата блока 114 хранилища ключей. Открытый ключ и уникальный KeyID CA-сертификата сохраняются в блоке 115 пары ключей блока 114 хранилища ключей, и информация, указывающая, что должен использоваться сертификат, подписанный посредством CA-сертификата, устанавливается в его псевдоним (S1408). Кроме того, CA-сертификат, уникальный CertificateID и KeyID, установленные на этапе S1408, ассоциируются друг с другом и сохраняются в сертификате блока 114 хранилища ключей. Затем информация, указывающая, что должен использоваться сертификат, подписанный посредством CA-сертификата, устанавливается в его псевдоним (S1409).
[0182] Затем путь сертификации, включающий в себя CertificateID сертификата, установленного на этапе S1407, в первой (начальной) части и включающий в себя CertificateID CA-сертификата, установленный в части после первой части, сохраняется в блоке 117 пути сертификации блока 114 хранилища ключей. Затем информация, указывающая, что должен использоваться сертификат, подписанный посредством CA-сертификата, устанавливается в его псевдоним (S1410). Наконец, устанавливается сгенерированный путь сертификации (CertificationPath), подлежащий использованию в SSL (S1411).
[0183] Если нажата кнопка 1214 отображения, то получают список информации, записанной в блоке 116 сертификата блока 114 хранилища ключей, и отыскивается псевдоним, который указывает, что должен быть использован сертификат, подписанный посредством CA-сертификата. Затем определяется, включен ли секретный ключ (Privatekey) в KeyID, ассоциированные с сертификатами. Если секретный ключ обнаружен, то выполняется отображение.
[0184] Если кнопка 1217 отображения нажата, то получают список сертификатов в блоке 114 хранилища ключей, и отыскивается сертификат, соответствующий псевдониму, который указывает, что должен быть использован сертификат, подписанный посредством CA-сертификата. Затем определяется, включен ли секретный ключ в KeyID, ассоциированные с сертификатами. Если секретный ключ не включен, то выполняется отображение.
[0185] Если нажата кнопка 1215 удаления, то в блоке 114 хранилища ключей выполняется поиск пути сертификации, имеющего псевдоним, который указывает информацию, указывающую, что должен быть использован сертификат, подписанный посредством CA-сертификата. Если такой путь сертификации обнаружен, то этот путь сертификации устанавливается, чтобы не использоваться в SSL, и далее путь сертификации удаляется. Затем отыскивается сертификат, соответствующий псевдониму, который указывает информацию, указывающую, что должен быть использован сертификат, подписанный посредством CA-сертификата. Если KeyID, ассоциированный с сертификатом, включает в себя секретный ключ, то выполняется удаление.
[0186] Если нажата кнопка 1218 удаления, то в блоке 114 хранилища ключей осуществляется поиск пути сертификации, имеющего псевдоним, включающий в себя информацию, которая указывает, что должен быть использован сертификат, подписанный посредством CA-сертификата. Если такой путь сертификации обнаружен, путь сертификации устанавливается, чтобы не использоваться в SSL, и далее путь сертификации удаляется. Затем отыскивается сертификат, соответствующий псевдониму, который включает в себя информацию, указывающую, что должен быть использован сертификат, подписанный посредством CA-сертификата. Если KeyID, ассоциированный с сертификатом, не включает в себя секретного ключа, выполняется удаление.
[0187] Кнопка 1219 применения используется для выполнения процесса запуска или остановки SSL-службы в соответствии с выбором одной из кнопок (1201, 1202 и 1203) с зависимой фиксацией. Кроме того, если нажата кнопка 1220 с зависимой фиксацией, выполненные установки объекта и сертификата отменяются.
[0188] Здесь, в случае установки с использованием сертификата, подписанного посредством CA, тот же самый псевдоним устанавливается в сертификат и CA-сертификат. Однако могут быть использованы различные псевдонимы. Для удаления сертификата и CA-сертификата и для удаления пути сертификации, сертификата и пары ключей, которое выполняется вместе с удалением сертификата и CA-сертификата, может быть выполнен поиск с использованием псевдонима.
[0189] Как описано выше, даже если установка SSL выполняется на странице установки, на установку может также ссылаться с использованием команды AS-службы путем установки пары ключей, сертификата и пути сертификации в блоке 114 хранилища ключей. Кроме того, на установку SSL, выполненную на странице установки, можно ссылаться с использованием команды безопасности DM путем выполнения процесса команды безопасности DM, описанного в первом варианте осуществления.
[0190] Таким образом, блок 105 связи может передавать информацию, указывающую, что установка была выполнена на устройстве 100 формирования изображения в ответ на команду, основанную на HTTP, с использованием страницы установки в соответствии с командой, основанной на AS-службе (командой, используемой, чтобы ссылаться на установку). Кроме того, блок 105 связи может передать информацию, указывающую, что установка была выполнена на устройстве 100 формирования изображения в ответ на команду, основанную на HTTP, с использованием страницы установки в соответствии с командой, основанной на DM-службе (командой, используемой, чтобы ссылаться на установку).
[0191] Хотя в этом варианте осуществления описана установка SSL, установка может быть отображена посредством установки псевдонима в другую функцию, использующую сертификат.
[0192] Выше был описан второй вариант осуществления настоящего изобретения. Однако настоящее изобретение не ограничено этими вариантами осуществления, и различные модификации и изменения могут быть выполнены в рамках объема настоящего изобретения.
Другие варианты осуществления
[0193] Настоящее изобретение может быть реализовано процессом ввода программы, которая реализует по меньшей мере одну функцию в вышеописанных вариантах осуществления, в систему или устройство через сеть или носитель записи и считывания и исполнения программы по меньшей мере одним процессором компьютера, включенного в систему или устройство. Кроме того, настоящее изобретение может быть реализовано схемой (например, ASIC), которая реализует по меньшей мере одну функцию.
[0194] Настоящее изобретение не ограничено вышеописанными вариантами осуществления, и различные модификации и изменения могут быть выполнены без отклонения от сущности и объема настоящего изобретения. Соответственно, нижеследующие пункты формулы изобретения определяют объем настоящего изобретения.
Перечень ссылочных позиций
[0195]
100 устройство формирования изображения
103 блок управления
104 блок записи
105 блок связи
106 первый блок обработки
107 второй блок обработки
200 первое клиентское устройство
300 второе клиентское устройство

Claims (57)

1. Устройство обработки информации для выполнения установки для осуществления зашифрованной связи, содержащее:
первое средство обработки для выполнения установки, на устройстве обработки информации, для осуществления зашифрованной связи на основе службы управления устройством, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на службе управления устройством;
второе средство обработки для выполнения установки, на устройстве обработки информации, для осуществления зашифрованной связи на основе расширенной службы безопасности, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на расширенной службе безопасности; и
средство передачи,
при этом второе средство обработки автоматически выполняет, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством, если первым средством обработки выполнена данная установка для службы управления устройством, и
при этом средство передачи передает на внешнее устройство информацию, указывающую, что упомянутая установка для расширенной службы безопасности выполнена в соответствии с упомянутой установкой службы управления устройством, если команда, основывающаяся на расширенной службе безопасности, принята от этого внешнего устройства после того, как вторым средством обработки выполнена, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством.
2. Устройство обработки информации по п. 1, дополнительно содержащее средство управления для выполнения управления таким образом, что информация, указывающая, что установка была выполнена на устройстве обработки информации в ответ на команду, основывающуюся на службе управления устройством, записывается в средстве записи.
3. Устройство обработки информации по п. 2, в котором
первое средство обработки исполняет команду для установки на устройство обработки информации по меньшей мере одной из первой информации открытого ключа, которая используется для осуществления зашифрованной связи, первой информации секретного ключа, которая соответствует первой информации открытого ключа и которая используется для осуществления зашифрованной связи, и первой информации сертификата, которая подтверждает, что информация открытого ключа является действительной информацией ключа, причем команда исполняется первым внешним устройством на устройстве обработки информации на основе службы управления устройством, и
второе средство обработки исполняет команду для установки на устройство обработки информации по меньшей мере одной из информации пары ключей, указывающей, что вторая информация открытого ключа, используемая для осуществления зашифрованной связи, соответствует второй информации секретного ключа, используемой для осуществления зашифрованной связи, второй информации сертификата, которая подтверждает, что вторая информация открытого ключа является действительной информацией ключа, и информации пути сертификации, указывающей третью информацию сертификата, ассоциированную со второй информацией сертификата, причем команда исполняется вторым внешним устройством на устройстве обработки информации на основе расширенной службы безопасности.
4. Устройство обработки информации по п. 2, в котором
первое средство обработки исполняет по меньшей мере одну из команды для записи в средстве записи первой информации пары ключей, указывающей, что первая информация открытого ключа, используемая для осуществления зашифрованной связи, соответствует первой информации секретного ключа, используемой для осуществления зашифрованной связи, команды для передачи первой информации пары ключей от средства передачи, команды для блокирования первой информации пары ключей, записанной в средстве записи, и команды для генерации информации сертификата, которая подтверждает, что первая информация открытого ключа является действительной информацией ключа и которая включает в себя информацию подписи, добавленную к ней первым средством обработки, причем команды исполняются первым внешним устройством на устройстве обработки информации на основе службы управления устройством,
второе средство обработки исполняет команду для записи в средстве записи по меньшей мере одной из информации пары ключей, указывающей, что вторая информация открытого ключа, используемая для осуществления зашифрованной связи, соответствует второй информации секретного ключа, используемой для осуществления зашифрованной связи, второй информации сертификата, которая подтверждает, что вторая информация открытого ключа является действительной информацией ключа, и информации пути сертификации, указывающей третью информацию сертификата, ассоциированную со второй информацией сертификата, причем команда исполняется вторым внешним устройством на устройстве обработки информации на основе расширенной службы безопасности, и
средство передачи передает, в ответ на команду, основывающуюся на расширенной службе безопасности, информацию, указывающую, что установка была выполнена на устройстве обработки информации в ответ на команду, основывающуюся на службе управления устройством.
5. Устройство обработки информации по п. 3, в котором
первое средство обработки генерирует информацию сертификата, которая подтверждает, что информация открытого ключа является действительной информацией ключа, и которая включает в себя информацию подписи, добавленную к ней первым средством обработки, информацию пары ключей и информацию пути сертификации, в ответ на команду, которая основывается на службе управления устройством и которая выдается для генерации первой информации сертификата, и записывает информацию сертификата, информацию пары ключей и информацию пути сертификации в средстве записи, и
средство управления выполняет управление таким образом, что информация, указывающая, что информация сертификата, информация пары ключей и информация пути сертификации были сгенерированы в ответ на команду, основывающуюся на службе управления устройством, записывается в средстве записи.
6. Устройство обработки информации по п. 3, в котором первое средство обработки исполняет первую команду, которая основывается на службе управления устройством и которая выдана для запрашивания блокировки информации сертификата, записанной в средстве записи, чтобы блокировать информацию пары ключей, соответствующую информации сертификата, заданной первой командой, или информацию пути сертификации, соответствующую информации сертификата, заданной посредством первой команды.
7. Устройство обработки информации по п. 3, в котором
информация пути сертификации указывает порядок ссылки для множества информаций сертификата, записанных в средстве записи, выполняемой устройством обработки информации для осуществления зашифрованной связи, и
в ответ на вторую команду, которая используется для задания информации сертификата, подлежащей использованию для зашифрованной связи, и которая основывается на службе управления устройством, первое средство обработки записывает в средстве записи информацию пути сертификации, указывающую, что информация сертификата, соответствующая идентификационной информации, заданной второй командой, находится в головной части порядка в качестве информации пути сертификации, подлежащей использованию для осуществления зашифрованной связи.
8. Устройство обработки информации по п. 3, в котором
информация пути сертификации указывает порядок ссылки для множества информаций сертификата, записанных в средстве записи, выполняемой устройством обработки информации для осуществления зашифрованной связи, и
средство передачи передает информацию, указывающую информацию сертификата, среди множества информаций сертификата, записанных в средстве записи, указывающую, что информация пути сертификации находится в головной части порядка, в ответ на команду, которая основывается на службе управления устройством и которая выдана для запрашивания передачи информации касаемо информации сертификата, записанной в средстве записи.
9. Устройство обработки информации по п. 3, в котором
информация пути сертификации указывает порядок ссылки для множества информаций сертификата, записанных в средстве записи, выполняемой устройством обработки информации для осуществления зашифрованной связи, и
в ответ на третью команду для запрашивания получения информации, указывающей, установлена ли информация сертификата, записанная в средстве записи, в качестве информации сертификата, используемой для осуществления зашифрованной связи, первое средство обработки записывает в средстве записи информацию, указывающую, что четвертая информация сертификата, указывающая, что информация пути сертификации среди множества информаций сертификата находится в головной части порядка, установлена в качестве информации сертификата, используемой для осуществления зашифрованной связи, и записывает в средстве записи информацию, указывающую, что установка для использования пятой информации сертификата, отличающейся от четвертой информации сертификата, среди множества информаций сертификата, для осуществления зашифрованной связи не была осуществлена.
10. Устройство обработки информации по п. 9, в котором, если первое средство обработки исполняет третью команду, средство передачи не передает информацию сертификата, которая не ассоциирована с информацией пары ключей среди множества информаций сертификата.
11. Устройство обработки информации по п. 3, в котором средство управления записывает информацию хранилища ключей и информацию псевдонима, которые основываются на расширенной службе безопасности, в средстве записи и записывает информацию, указывающую, что установка была выполнена на устройстве обработки информации в ответ на команду, основывающуюся на службе управления устройством, в средстве записи в качестве информации псевдонима.
12. Устройство обработки информации по п. 11, в котором
первое средство обработки исполняет по меньшей мере одну из команды LoadCertificates, команды LoadCACertificates, команды LoadCertificateWithPrivateKey и команды LoadCertificateWithPrivateKey, которые являются командами, основывающимися на службе управления устройством, и которые являются командами, используемыми для загрузки первой информации сертификата в устройстве обработки информации, и
если первое средство обработки исполняет по меньшей мере одну из команды LoadCertificates, команды LoadCACertificates, команды LoadCertificateWithPrivateKey и команды LoadCertificateWithPrivateKey на основе службы управления устройством, средство управления записывает информацию, указывающую, что загрузка сертификата была выполнена с использованием службы управления устройством, в средстве записи в качестве информации псевдонима.
13. Устройство обработки информации по п. 11, в котором
средство управления записывает информацию пары ключей и вторую информацию сертификата, которые ассоциированы друг с другом, в средстве записи,
первое средство обработки исполняет команду GetCertificates, которая является командой, основывающейся на службе управления устройством, и которая является командой для запрашивания устройства обработки информации передать информацию сертификата, и GetCACertificates, которая является командой, предусмотренной службой управления устройством, и которая является командой для запрашивания устройства обработки информации передать информацию сертификата, изданного органом сертификации, и
средство передачи передает вторую информацию сертификата, ассоциированную с информацией пары ключей, если первое средство обработки исполняет команду GetCertificates и передает третью информацию сертификата, которая не ассоциирована с информацией пары ключей, если первое средство обработки исполняет команду GetCACertificates.
14. Устройство обработки информации по п. 11, в котором
первое средство обработки исполняет команду DeleteCertificates, которая является командой, основывающейся на службе управления устройством, и которая является командой для запрашивания удаления информации сертификата, записанной в средстве записи, чтобы удалить информацию пары ключей, соответствующую информации сертификата, заданной командой DeleteCertificates, или информацию пути сертификации, соответствующую информации сертификата, заданной посредством команды DeleteCertificates, из средства записи.
15. Устройство обработки информации по п. 2, дополнительно содержащее:
средство формирования изображения,
при этом средство передачи передает изображение, захваченное средством формирования изображения, через зашифрованную связь в соответствии с информацией, записанной в средстве записи.
16. Способ управления устройством обработки информации для выполнения установки для осуществления зашифрованной связи, содержащий:
первый этап обработки, на котором выполняют установку, на устройстве обработки информации, для осуществления зашифрованной связи на основе службы управления устройством, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на службе управления устройством;
второй этап обработки, на котором выполняют установку, на устройстве обработки информации, для осуществления зашифрованной связи на основе расширенной службы безопасности, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на расширенной службе безопасности; и
этап передачи,
при этом на втором этапе обработки автоматически выполняют, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством, если на первом этапе обработки выполнена данная установка для службы управления устройством, и
при этом на этапе передачи передают на внешнее устройство информацию, указывающую, что упомянутая установка для расширенной службы безопасности выполнена в соответствии с упомянутой установкой службы управления устройством, если команда, основывающаяся на расширенной службе безопасности, принята от этого внешнего устройства после того, как на втором этапе обработки выполнена, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством.
17. Способ управления по п. 16, дополнительно содержащий этап управления, на котором выполняют управление таким образом, что информация, указывающая, что установка была выполнена на устройстве обработки информации в ответ на команду, основывающуюся на службе управления устройством, записывается в средстве записи.
18. Способ управления по п. 17, в котором
на первом этапе обработки исполняют команду для установки на устройство обработки информации по меньшей мере одной из первой информации открытого ключа, которая используется для осуществления зашифрованной связи, первой информации секретного ключа, которая соответствует первой информации открытого ключа и которая используется для осуществления зашифрованной связи, и первой информации сертификата, которая подтверждает, что информация открытого ключа является действительной информацией ключа, причем команда исполняется первым внешним устройством на устройстве обработки информации на основе службы управления устройством, и
на втором этапе обработки исполняют команду для установки на устройство обработки информации по меньшей мере одной из информации пары ключей, указывающей, что вторая информация открытого ключа, используемая для осуществления зашифрованной связи, соответствует второй информации секретного ключа, используемой для осуществления зашифрованной связи, второй информации сертификата, которая подтверждает, что вторая информация открытого ключа является действительной информацией ключа, и информации пути сертификации, указывающей третью информацию сертификата, ассоциированную с второй информацией сертификата, причем команда исполняется вторым внешним устройством на устройстве обработки информации на основе расширенной службы безопасности.
19. Машиночитаемый носитель, на котором сохранена программа, которая предписывает устройству обработки информации исполнять:
первый процесс обработки для выполнения установки, на устройстве обработки информации, для осуществления зашифрованной связи на основе службы управления устройством, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на службе управления устройством;
второй процесс обработки для выполнения установки, на устройстве обработки информации, для осуществления зашифрованной связи на основе расширенной службы безопасности, определенной в стандарте ONVIF, в ответ на команду, основывающуюся на расширенной службе безопасности; и
процесс передачи,
при этом второй процесс обработки автоматически выполняет, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством, если первым процессом обработки выполнена данная установка для службы управления устройством, и
при этом процесс передачи передает на внешнее устройство информацию, указывающую, что упомянутая установка для расширенной службы безопасности выполнена в соответствии с упомянутой установкой службы управления устройством, если команда, основывающаяся на расширенной службе безопасности, принята от этого внешнего устройства после того, как вторым процессом обработки выполнена, по меньшей мере, часть упомянутой установки для расширенной службы безопасности в соответствии с упомянутой установкой службы управления устройством.
RU2017120178A 2014-11-13 2014-11-13 Устройство обработки информации, способ управления и программа RU2682926C2 (ru)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/080094 WO2016075792A1 (ja) 2014-11-13 2014-11-13 情報処理装置、制御方法、及び、プログラム

Publications (3)

Publication Number Publication Date
RU2017120178A RU2017120178A (ru) 2018-12-13
RU2017120178A3 RU2017120178A3 (ru) 2018-12-13
RU2682926C2 true RU2682926C2 (ru) 2019-03-22

Family

ID=55953905

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017120178A RU2682926C2 (ru) 2014-11-13 2014-11-13 Устройство обработки информации, способ управления и программа

Country Status (7)

Country Link
US (1) US10193871B2 (ru)
EP (1) EP3252989B1 (ru)
JP (1) JP6381667B2 (ru)
CN (1) CN107005405B (ru)
RU (1) RU2682926C2 (ru)
SG (1) SG11201703705TA (ru)
WO (1) WO2016075792A1 (ru)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7208707B2 (ja) 2017-02-17 2023-01-19 キヤノン株式会社 情報処理装置及びその制御方法とプログラム
JP6968610B2 (ja) * 2017-08-01 2021-11-17 キヤノン株式会社 撮像装置、情報処理方法及びプログラム
JP6939310B2 (ja) * 2017-09-20 2021-09-22 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム
JP7262938B2 (ja) 2018-06-29 2023-04-24 キヤノン株式会社 情報処理装置、情報処理装置の制御方法、及び、プログラム
JP7147405B2 (ja) * 2018-09-18 2022-10-05 セイコーエプソン株式会社 印刷装置の制御方法および印刷装置
US11233650B2 (en) 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11361660B2 (en) * 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
JP7337601B2 (ja) * 2019-08-28 2023-09-04 キヤノン株式会社 印刷装置、制御方法およびプログラム
US20220141033A1 (en) * 2020-10-15 2022-05-05 Jelurida IP B.V. Method of verifying origin of a signed file

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6538668B1 (en) * 1999-04-09 2003-03-25 Sun Microsystems, Inc. Distributed settings control protocol
US20050086240A1 (en) * 2003-10-21 2005-04-21 Sharp Laboratories Of America, Inc. Generating passive metadata from user interface selections at an imaging device
RU2273102C2 (ru) * 1999-09-30 2006-03-27 Квэлкомм Инкорпорейтед Способ и устройство для шифрования передач в системе связи
RU2485710C1 (ru) * 2011-12-23 2013-06-20 Общество с ограниченной ответственностью "ЕвроКомСервис" Криптокамера

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4345796B2 (ja) * 2006-09-29 2009-10-14 ブラザー工業株式会社 通信方法、通信システムならびに通信システムを構成するサーバ、クライアントおよびコンピュータプログラム
JP4613969B2 (ja) 2008-03-03 2011-01-19 ソニー株式会社 通信装置、及び通信方法
JP2013054441A (ja) * 2011-09-01 2013-03-21 Canon Inc 印刷システム、画像形成装置、印刷方法、およびプログラム
JP5875463B2 (ja) * 2012-05-21 2016-03-02 キヤノン株式会社 撮像装置、マスク画像設定方法、および、プログラム
JP5955171B2 (ja) * 2012-09-11 2016-07-20 キヤノン株式会社 送信装置、受信装置、送信方法、受信方法、及びプログラム
JP6184133B2 (ja) * 2013-03-07 2017-08-23 キヤノン株式会社 撮像装置
KR102015955B1 (ko) * 2013-03-27 2019-10-21 한화테크윈 주식회사 클라이언트 인증 방법
US9432390B2 (en) * 2013-12-31 2016-08-30 Prometheus Security Group Global, Inc. Scene identification system and methods
CN103780900B (zh) * 2014-01-16 2016-02-17 国家电网公司 一种onvif模拟测试装置及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6538668B1 (en) * 1999-04-09 2003-03-25 Sun Microsystems, Inc. Distributed settings control protocol
RU2273102C2 (ru) * 1999-09-30 2006-03-27 Квэлкомм Инкорпорейтед Способ и устройство для шифрования передач в системе связи
US20050086240A1 (en) * 2003-10-21 2005-04-21 Sharp Laboratories Of America, Inc. Generating passive metadata from user interface selections at an imaging device
RU2485710C1 (ru) * 2011-12-23 2013-06-20 Общество с ограниченной ответственностью "ЕвроКомСервис" Криптокамера

Also Published As

Publication number Publication date
EP3252989A1 (en) 2017-12-06
RU2017120178A (ru) 2018-12-13
CN107005405A (zh) 2017-08-01
EP3252989A4 (en) 2018-10-24
JP6381667B2 (ja) 2018-08-29
WO2016075792A1 (ja) 2016-05-19
JPWO2016075792A1 (ja) 2017-08-24
US10193871B2 (en) 2019-01-29
EP3252989B1 (en) 2020-05-20
RU2017120178A3 (ru) 2018-12-13
US20160142383A1 (en) 2016-05-19
SG11201703705TA (en) 2017-08-30
CN107005405B (zh) 2020-12-15

Similar Documents

Publication Publication Date Title
RU2682926C2 (ru) Устройство обработки информации, способ управления и программа
KR102500461B1 (ko) 정보처리장치, 화상형성장치, 시스템, 그 제어 방법, 및 기억매체
EP3065436B1 (en) Non-transitory computer-readable information recording medium, information processing apparatus, and communications method
US11956631B2 (en) Secure storage pass-through device
JP2014186655A (ja) 携帯型情報端末装置、プログラム及びサービス利用システム
EP3588917A1 (en) Information processing apparatus, control method for information processing apparatus, and storage medium
KR20190007959A (ko) 클라우드를 이용한 프린팅 방법 및 시스템
KR102295460B1 (ko) 정보 처리 장치, 정보 처리 장치를 제어하는 제어 방법, 및 컴퓨터 프로그램
JP6385100B2 (ja) 情報処理装置、情報処理システム、情報処理装置の制御方法およびコンピュータプログラム
US20160094623A1 (en) Information processing apparatus, communication system, information processing method, and non-transitory computer readable medium
US9736329B2 (en) Method that performs from scanning to storing scan data using scan job ticket
US11853102B2 (en) Remote control system, remote control method, and non-transitory information recording medium
US11076010B2 (en) Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11128623B2 (en) Service providing system, service delivery system, service providing method, and non-transitory recording medium
EP3985497A1 (en) Information processing system, output system, output method, and recording medium
JP6346478B2 (ja) 中継装置、中継方法、中継システム、及びプログラム
JP6366668B2 (ja) 設定方法、情報処理装置、携帯端末及びプログラム
US11108772B2 (en) Service providing system, service delivery system, service providing method, and non-transitory recording medium
JP6228421B2 (ja) 情報処理装置及びその制御方法、並びにプログラム
KR20180028705A (ko) 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법
KR102349682B1 (ko) 증강현실을 이용한 금고 서비스 방법 및 이를 제공하는 이동단말기
JP6492670B2 (ja) 中継装置、中継システム及びプログラム
US20230109921A1 (en) Information processing apparatus, information processing system, and non-transitory recording medium
JP6583723B2 (ja) 画像形成装置及びアクセス制御プログラム並びにアクセス制御方法
US9667834B1 (en) Method that performs from scanning to storing scan data using scan send ticket