TWI565286B - Machine certificate providing device, machine certificate providing system and machine certificate providing program product - Google Patents
Machine certificate providing device, machine certificate providing system and machine certificate providing program product Download PDFInfo
- Publication number
- TWI565286B TWI565286B TW103111656A TW103111656A TWI565286B TW I565286 B TWI565286 B TW I565286B TW 103111656 A TW103111656 A TW 103111656A TW 103111656 A TW103111656 A TW 103111656A TW I565286 B TWI565286 B TW I565286B
- Authority
- TW
- Taiwan
- Prior art keywords
- machine
- certificate
- identifier
- communication
- unit
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本發明係關於將電子證明書導入通信機器的技術。
在專利文獻1中揭露了關於有伺服器、認證局(CA)、機器、登錄終端機的認證系統的技術。
在該技術中,機器為了要和伺服器連線,以如後述的方式使用與機器資訊無關聯的暫時公開金鑰證明書、及與機器資訊有關連的本公開金鑰證明書。
首先,登錄終端機從認證局取得暫時公開金鑰證明書,將已取得的暫時公開金鑰證明書寫入IC(Integrated Circuit)卡。機器的秘密金鑰和公開金鑰已寫入IC卡中。
繼之,利用者將IC卡和機器連接,機器使用其本身的機器資訊和已寫入IC卡的暫時公開金鑰證明書向認證局要求發出本公開金鑰證明書,並從認證局取得本公開金鑰證明書。
在專利文獻2中揭露了用於認證裝置和上位裝置及下位裝置彼此進行安全通信的技術。
在此技術中,各裝置分別使用個別公開金鑰證明書彼此進行認證,藉此確保安全的通信。繼之,當下位裝置的個別公開
金鑰證明書損壞時,上位裝置基於下位裝置的資訊及各裝置共通的共通公開金鑰證明書以認證下位裝置,而下位裝置經由上位裝置從認證裝置取得個別公開金鑰證明書。
亦即,依據專利文獻2的技術,為了恢復個別公開金鑰證明書,必須事先將共通公開金鑰證明書導入各裝置。
但是,有時難以事先將共通公開金鑰證明書導入各裝置。例如,在機器製造者和服務提供者相異的情況,難以在機器製造時將服務提供者發行的共通公開金鑰證明書導入機器。
先行技術文獻
專利文獻
專利文獻1:國際公開第2007/099608號
專利文獻2:特開2005-65236號公報
本發明目的在於能夠安全地將電子證明書導入通信機器。
本發明的機器證明書提供裝置,其包括:機器識別子儲存部,其儲存第一機器識別子及第一通信位址;機器識別子詢問部,將以包含該機器識別子儲存部所儲存之該第一通信位址作為收件的通信位址之機器識別子要求傳送到與一個以上的通信機器連線的網路,並從該等一個以上的通信機器當中的第一通信機器接收識別該第一通信機器的通信機器識別
子;機器識別子判斷部,判斷由該機器識別子詢問部接收的該通信機器識別子是否為和儲存於該機器識別子儲存部中的該第一機器識別子相同的機器識別子;及機器證明書傳送部,當該機器識別子判斷部判斷該通信機器識別子為和該第一機器識別子相同的機器識別子的情況下,將作為該第一通信機器的電子證明書的機器證明書傳送到該第一通信機器。
依據本發明,能夠安全地將電子證明書導入通信機器。
100‧‧‧機器認證系統
109‧‧‧網路
110‧‧‧認證局伺服器
111‧‧‧證明書發行部
200‧‧‧安全閘道
210‧‧‧相互認證部
220‧‧‧密碼通信部
230‧‧‧機器ID登錄部
240‧‧‧機器證明書導入部
241‧‧‧機器ID詢問部
242‧‧‧機器ID判斷部
243‧‧‧公開金鑰取得部
244‧‧‧機器證明書取得部
245‧‧‧機器證明書傳送部
290‧‧‧安全閘道儲存部
291‧‧‧機器ID
292‧‧‧機器資訊
293‧‧‧IP位址
294‧‧‧MAC位址
300‧‧‧機器資訊伺服器
310‧‧‧相互認證部
320‧‧‧密碼通信部
330‧‧‧使用者認證部
340‧‧‧機器資訊管理部
390‧‧‧伺服器儲存部
391‧‧‧使用者資訊檔案
392‧‧‧機器資訊檔案
400‧‧‧通信機器
410‧‧‧相互認證部
420‧‧‧密碼通信部
430‧‧‧密碼金鑰產生部
440‧‧‧機器證明書導入部
490‧‧‧機器儲存部
491‧‧‧機器ID
492‧‧‧機器公開金鑰
493‧‧‧機器秘密金鑰
494‧‧‧機器證明書
901‧‧‧計算裝置
902‧‧‧輔助儲存裝置
903‧‧‧主儲存裝置
904‧‧‧通信裝置
905‧‧‧輸出入裝置
909‧‧‧匯流排
第1圖為顯示實施形態1的機器認證系統100的構成圖。
第2圖為顯示實施形態1的安全閘道200的功能構成圖。
第3圖為顯示實施形態1的機器資訊伺服器300的功能構成圖。
第4圖為顯示實施形態1的使用者資訊檔案391的圖。
第5圖為實施形態1的機器資訊檔案392的圖。
第6圖為顯示實施形態1的通信機器400的功能構成圖。
第7圖為顯示實施形態1的機器認證系統100的機器證明書導入處理的流程圖。
第8圖為顯示實施形態1的機器資訊取得處理(S110)的流程圖。
第9圖為顯示實施形態1的安全閘道200的硬體構成之一例
的圖。
實施形態1
茲說明電子證明書導入通信機器的形態。
第1圖為顯示實施形態1的機器認證系統100的構成圖。
基於第1圖說明在實施形態1中的機器認證系統100的構成。
機器認證系統100(機器證明書提供系統之一例),係為了通信機器400使用電子證明書進行通信,而將電子證明書導入通信機器400的系統。電子證明書亦稱之為公開金鑰證明書。公開金鑰證明書係證明公開金鑰的所有者(例如,通信機器400)。
機器認證系統100包括:安全閘道(gateway,GW)200、機器資訊伺服器300、通信機器400、認證局伺服器110。這些裝置透過網路109進行通信。
安全閘道200(機器證明書提供裝置之一例)為將電子證明書提供給通信機器400的裝置。
機器資訊伺服器300為管理關於通信機器400的機器資訊的裝置。
通信機器400使用由安全閘道200提供的電子證明書進行通信的機器。
認證局伺服器110為發行電子證明書的裝置。
認證局伺服器110具有發行電子證明書的證明書發行部
111。
另外,認證局伺服器110,具有儲存認證局伺服器110的秘密金鑰(以下稱之為認證局秘密金鑰)等的認證局儲存部(圖示省略)。
下文中,將通信機器400的電子證明書稱之為機器
證明書。通信機器400的公開金鑰稱之為機器公開金鑰,通信機器400的秘密金鑰稱之為機器秘密金鑰。
另外,將安全閘道200的電子證明書稱之為GW證明書,安全閘道200的公開金鑰稱之為GW公開金鑰,安全閘道200的秘密金鑰稱之為GW秘密金鑰。
另外,機器資訊伺服器300的電子證明書稱之為伺服器證明書,機器資訊伺服器300的公開金鑰稱之為伺服器公開金鑰,機器資訊伺服器300的秘密金鑰稱之為伺服器秘密金鑰。
第2圖為顯示實施形態1的安全閘道200的功能構成圖。
基於第2圖,說明實施形態1的安全閘道200的功能構成。
安全閘道200(機器證明書提供裝置之一例)包括:相互認證部210、密碼通信部220、機器ID登錄部230(ID:識別子)、機器證明書導入部240、及安全閘道儲存部290。
相互認證部210,使用通信對象的電子證明書認證通信對象,並使用其本身的電子證明書(GW證明書)被通信對象認證。
密碼通信部220,使用包含於通信對象的電子證明書中的公開金鑰將通信資料加密,並將已加密的通信資料傳送
至通信對象。
密碼通信部220,從通信對象接收已加密的通信資料,並使用本身的秘密金鑰(GW秘密金鑰)將已接收的通信資料解密。
機器ID登錄部230(機器識別子取得部,機器資訊
取得部之一例),將識別通信機器400的機器ID291(例如,製造號碼)傳送至機器資訊伺服器300,並接收關於通信機器400的機器資訊292。
機器資訊292包含IP位址293(IP:Internet Protocol)及MAC位址294(MAC:Media Access Control)等。
機器證明書導入部240將機器證明書494導入通信
機器400。
機器證明書導入部240包含:機器ID詢問部241、機器ID判斷部242、公開金鑰取得部243、機器證明書取得部244、及機器證明書傳送部245。
機器ID詢問部241從連接於網路109的通信機器400或不正當的通信機器接收機器ID。
機器ID判斷部242,判斷已接收的機器ID和儲存於安全閘道儲存部290中的機器ID291是否為相同。
公開金鑰取得部243,從傳送了與機器ID291相同的機器ID之通信機器400接收機器公開金鑰492。
機器證明書取得部244,從認證局伺服器110取得包含機器公開金鑰492的機器證明書494。
機器證明書傳送部245,將機器證明書494傳送至通信機器
400。
安全閘道儲存部290儲存安全閘道200所使用、產生或輸出入的資料。
例如,安全閘道儲存部290,對應於機器ID291(第一機器識別子之一例)儲存機器資訊292(第一通信位址,第一機器資訊之一例)、機器公開金鑰492、及機器證明書494。另外,安全閘道儲存部290,儲存包含GW公開金鑰的GW證明書、GW秘密金鑰、包含伺服器公開金鑰的伺服器證明書等(圖示省略)。
第3圖為顯示實施形態1的機器資訊伺服器300的功能構成圖。
基於第3圖,說明實施形態1的機器資訊伺服器300的功能構成。
機器資訊伺服器300包括:相互認證部310、密碼通信部320、使用者認證部330、機器資訊管理部340、及伺服器儲存部390。
相互認證部310,使用通信對象的電子證明書認證通信對象,並使用其本身的電子證明書(伺服器證明書)被通信對象認證。
密碼通信部320,使用包含於通信對象的電子證明書中的公開金鑰將通信資料加密,並將已加密的通信資料傳送至通信對象。
密碼通信部320,從通信對象接收已加密的通信資料,並使用本身的秘密金鑰(伺服器秘密金鑰)將已接收的通信資料
解密。
使用者認證部330,基於使用者資訊檔案391認證使用安全閘道200的使用者。
機器資訊管理部340,將包含於機器資訊檔案392的機器資訊傳送至安全閘道200。
伺服器儲存部390,儲存機器資訊伺服器300所使用、產生或輸出入的資料。
例如,伺服器儲存部390儲存使用者資訊檔案391、及機器資訊檔案392。另外,伺服器儲存部390儲存包含伺服器公開金鑰的伺服器證明書、伺服器秘密金鑰、包含GW公開金鑰的GW證明書等(圖示省略)。
使用者資訊檔案391包含關於獲許可使用安全閘道200的使用者之使用者資訊。
機器資訊檔案392包含關於被導入機器證明書的通信機器400的機器資訊。
第4圖為顯示實施形態1的使用者資訊檔案391的圖。
基於第4圖,說明實施形態1的使用者資訊檔案391。
使用者資訊檔案391包含各使用者的使用者資料。
使用者資料包括:識別使用者資料的資料號碼、關於使用者的使用者資訊(使用者ID、密碼等)。
第5圖為實施形態1的機器資訊檔案392的圖。
基於第5圖,說明實施形態1的機器資訊檔案392。
機器資訊檔案392包含各通信機器的機器資料。
機器資料包括:識別機器資料的資料號碼、識別通信機器的機器ID、關於通信機器的機器資料(IP位址、MAC位址等)。
第6圖為顯示實施形態1的通信機器400的功能構成圖。
基於第6圖,說明實施形態1的通信機器400的功能構成。
通信機器400包括:相互認證部410、密碼通信部420、密碼金鑰產生部430、機器證明書導入部440、及機器儲存部490。
相互認證部410,使用通信對象的電子證明書認證通信對象,並使用其本身的電子證明書(機器證明書494)被通信對象認證。
密碼通信部420,使用包含於通信對象的電子證明書中的公開金鑰將通信資料加密,並將已加密的通信資料傳送至通信對象。
密碼通信部420,從通信對象接收已加密的通信資料,並使用本身的秘密金鑰(機器秘密金鑰493)將已接收的通信資料解密。
密碼金鑰產生部430,基於公開金鑰方法的金鑰產生演算法,產生機器公開金鑰492及機器秘密金鑰493。
機器證明書導入部440,接收從安全閘道200傳送的機器證明書494,並將已接收的機器證明書494儲存在機器儲存部490。
機器儲存部490儲存通信機器400所使用、產生或輸出入的資料。
例如,機器儲存部490儲存機器ID491、機器公開金鑰492、機器秘密金鑰493、及機器證明書494。另外,機器儲存部490儲存包含通信對象的公開金鑰的通信對象的電子證明書(圖示省略)。
第7圖為顯示實施形態1的機器認證系統100的機器證明書導入處理的流程圖。
基於第7圖,說明實施形態1的機器認證系統100的機器證明書導入處理。
首先,說明機器證明書導入處理的概要。
機器ID登錄部230,從機器資訊伺服器300取得對應於機器ID291的機器資訊292(S110)。
機器ID詢問部241,使用包含於機器資訊292的資訊,從通信機器400取得機器ID491(S120)。
當取得與機器ID291相同的機器ID491時,公開金鑰取得部243從通信機器400取得機器公開金鑰492(S140)。
機器證明書取得部244,從認證局伺服器110取得包含機器公開金鑰492的機器證明書494(S150)。
機器證明書傳送部245,將機器證明書494傳送至通信機器400(S160)。
藉由上述的機器證明書導入處理,將機器證明書494導入通信機器400。
繼之,說明機器證明書導入處理的細節。
在S110中,安全閘道200的機器ID登錄部230,從機器資訊伺服器300取得對應於機器ID291的機器資訊292。
以下說明機器資訊取得處理(S110)的細節。
在S110之後,處理進行S120。
在S120中,安全閘道200的機器ID詢問部241,使用包含於機器資訊292的IP位址293作為收信對象的通信位址以產生機器ID要求,並將所產生的機器ID要求傳送至網路109。不過,機器ID詢問部241也可以用MAC位址294作為收信對象的通信位址以傳送機器ID要求。
機器ID要求,係對於由機器ID291識別的通信機器400,要求儲存在通信機器400的機器ID491的通信資料。
通信機器400的機器證明書導入部440接收機器ID
要求,產生機器ID回應,並將所產生機器ID回應傳送至安全閘道200。
機器ID回應,為包含儲存在機器儲存部490的機器ID491的通信資料。
安全閘道200的機器ID詢問部241,接收包含機器
ID491的機器ID回應。
此時,機器ID詢問部241有可能會接收到由不正當的通信機器傳送來的機器ID回應。
另外,在通信機器400沒有連接於網路109的情況下(包含通信機器400為關閉的情況),機器ID詢問部241無法由通信機器400接收機器ID回應。
在S120之後,處理進行S130。
在S130中,安全閘道200的機器ID判斷部242,比
較包含於機器ID應答的機器ID491,和儲存於安全閘道儲存部
290的機器ID291。
在機器ID491和機器ID291不同的情況下,機器ID判斷部242丟棄機器ID491,待機直到接收到包含與機器ID291相同的機器ID491的機器ID應答為止。
在到達機器ID應答的等待時間之前,有接收到包含與機器ID291相同的機器ID491的機器ID應答的情況下(是),處理進行S140。
在到達機器ID應答的等待時間之前,沒有接收到包含與機器ID291相同的機器ID491的機器ID應答的情況下(否),機器ID判斷部242顯示通信機器400沒有連接到網路109的訊息。在此情況下,機器證明書494沒有被導入通信機器400,機器證明書導入處理結束。
在S140中,安全閘道200的公開金鑰取得部243,
將公開金鑰要求傳送至通信機器400。該通信機器400,為傳送了包含與機器ID291相同的機器ID491的機器ID應答的機器。
公開金鑰要求,為對通信機器400要求機器公開金鑰492的通信資料。
通信機器400的機器證明書導入部440接收公開金
鑰要求,產生包含機器公開金鑰492的通信資料之公開金鑰回應,並將所產生的公開金鑰回應傳送至安全閘道200。
密碼金鑰產生部430,可以在此時間點產生機器公開金鑰492及機器秘密金鑰493,也可以事先產生機器公開金鑰492及機器秘密金鑰493。
安全閘道200的公開金鑰取得部243,接收包含機
器公開金鑰492的公開金鑰回應。
在S140之後,處理進行S150。
在S150中,安全閘道200的機器證明書取得部
244,產生包含機器公開金鑰492和機器資訊292(也可以包含機器ID291)的證明書要求,並將所產生的證明書要求傳送至認證局伺服器110。
證明書要求,為要求機器證明書494的通信資料。
認證局伺服器110的證明書發行部111接收證明書
要求,從證明書要求中取得機器公開金鑰492和機器資訊292,使用機器公開金鑰492和機器資訊292以及認證局秘密金鑰,產生認證局伺服器110的電子簽名(以下稱之為認證局簽名)。
繼之,證明書發行部111,產生包含機器公開金鑰492和機器資訊292以及認證局簽名的機器證明書494,並產生包含所產生的機器證明書494的通信資料之證明書回應,將所產生的證明書回應傳送至安全閘道200。
安全閘道200的機器證明書取得部244接收包含機
器證明書494的證明書回應。
在S150之後,處理進行S160。
在S160中,安全閘道200的機器證明書傳送部
245,將機器證明書494傳送至通信機器400。
通信機器400的機器證明書導入部440接收機器證明書494,並將所接收的機器證明書494儲存在機器儲存部490中。
藉此,將機器證明書494導入通信機器400。
將機器證明書494導入之後,通信機器400能夠使用機器證
明書494和機器秘密金鑰493而被通信對象認證。
另外,通信機器400,能夠使用機器證明書494和機器秘密金鑰493進行加密通信(秘密通信)。
另一方面,不正當的通信機器,因為沒有導入機器證明書,無法受到通信對象(例如,通信機器400、安全閘道200或機器資訊伺服器300)的認證,無法和通信對象進行通信。
在S160之後,機器證明書導入處理結束。
第8圖為顯示實施形態1的機器資訊取得處理
(S110)的流程圖。
基於第8圖,說明實施形態1的機器資訊取得處理(S110)。
在S111中,安全閘道200的相互認證部210將GW證
明書傳送到機器資訊伺服器300,從機器資訊伺服器300接收伺服器證明書。
相互認證部210,基於已接收的伺服器證明書中所包含的伺服器資訊(關於機器資訊伺服器300的資訊),確認通信對象為機器資訊伺服器300。
相互認證部210使用GW秘密金鑰將認證碼加密,並將已加密的認證碼傳送至機器資訊伺服器300。
相互認證部210,從機器資訊伺服器300接收使用伺服器秘密金鑰加密後的認證碼,將已接收的認證碼用包含在伺服器證明書中的伺服器公開金鑰解碼。
在能夠將認證碼解碼的情況下,相互認證部210認證機器資訊伺服器300。
同樣地,機器資訊伺服器300的相互認證部310將
伺服器證明書傳送到安全閘道200,從安全閘道200接收GW證明書。
相互認證部310,基於已接收的GW證明書中所包含的GW資訊(關於安全閘道200的資訊),確認通信對象為安全閘道200。
相互認證部310使用伺服器秘密金鑰將認證碼加密,並將已加密的認證碼傳送至安全閘道200。
相互認證部310,從安全閘道200接收使用GW秘密金鑰加密後的認證碼,將已接收的認證碼用包含在GW證明書中的GW公開金鑰解碼。
在能夠將認證碼解碼的情況下,相互認證部310認證安全閘道200。
在S111之後,處理進行S112。
在S112中,使用者將使用者ID和密碼輸入安全閘
道200。
安全閘道200的機器ID登錄部230,取得已輸入的使用者ID和密碼。
在S112之後,處理進行S113。
在S113中,安全閘道200的機器ID登錄部230,將
包含使用者ID和密碼的通信資料之認證要求傳送至機器資訊伺服器300。
在S113之後,處理進行S114。
在S114中,機器資訊伺服器300的使用者認證部
330接收認證要求,判斷包含認證要求中的使用者ID和認證要
求中的密碼的使用者資料是否包含於使用者資訊檔案391中。
包含認證要求中的使用者ID和認證要求中的密碼的使用者資料包含於使用者資訊檔案391中的情況下,使用安全閘道200的使用者為正當的使用者。
在使用安全閘道200的使用者為正當的使用者的情況下(是),使用者認證部330將表示已獲認證的通信資料之認證回應傳送至安全閘道200,安全閘道200的機器ID登錄部230接收認證回應。繼之,處理進行S115。
使用安全閘道200的使用者不是正當的使用者的
情況下(否),使用者認證部330將表示未獲認證的通信資料之認證回應傳送至安全閘道200。
安全閘道200的機器ID登錄部230接收認證回應,顯示表示未獲認證的錯誤訊息。
繼之,安全閘道200無法取得機器資訊292並結束資訊取得處理(S110),不將機器證明書494導入通信機器400並結束機器證明書導入處理(參照第7圖)。
在S115中,安全閘道200的機器ID登錄部230顯示
表示已獲認證的認證訊息。
使用者將欲導入機器證明書494的通信機器400的機器ID291輸入安全閘道200。
安全閘道200的機器ID登錄部230取得已輸入的機器ID291,並將已取得的機器ID291儲存在安全閘道儲存部290。
在S115之後,處理進行S116。
在S116中,安全閘道200的機器ID登錄部230產生
包含機器ID291的機器資訊要求,並將所產生的機器資訊要求傳送至機器資訊伺服器300。
機器資訊要求,為要求機器資訊292的通信資料。
在S116之後,處理進行S117。
在S117中,機器資訊伺服器300的機器資訊管理部
340接收機器資訊要求,從機器資訊檔案392中選擇包含與已接收的機器資訊要求中的機器ID291相同的機器ID的機器資訊資料。
從機器資訊管理部340所選擇的機器資訊資料中取得機器資訊292,產生包含所取得的機器資訊292之通信資料之機器資訊回應,並將所產生的機器資訊回應傳送到安全閘道200。
機器資訊管理部340,可以將包含於機器資訊要求中的關於安全閘道200的資訊(例如,IP位址)設定在已選擇的機器資訊資料中。
安全閘道200的機器ID登錄部230接收機器資訊回
應,從已接收的機器資訊回應中取得機器資訊292,將所取得的機器資訊292儲存在安全閘道儲存部290中。
在S117之後,機器資訊取得處理(S110)結束。
在第8圖的S113到S117中被傳送接收的通信資
料,藉由安全閘道200的密碼通信部220以及機器資訊伺服器300的密碼通信部320,在傳送時被加密,而在接收時被解密。
第9圖為顯示實施形態1的安全閘道200的硬體構
成之一例的圖。
基於第9圖,說明實施形態1的安全閘道200的硬體構成之
一例。不過,安全閘道200的硬體構成也可以為與第9圖所示之構成相異的構成。
另外,機器資訊伺服器300、通信機器400及認證局伺服器110之各別的硬體構成和安全閘道200相同。
安全閘道200為具備後述元件的電腦:計算裝置
901、輔助儲存裝置902、主儲存裝置903、通信裝置904、輸出入裝置905。
計算裝置901、輔助儲存裝置902、主儲存裝置903、通信裝置904、輸出入裝置905連接於匯流排909上。
計算裝置901為執行程式的中央處理單元(CPU)。
輔助儲存裝置902為例如唯讀儲存體(ROM)、快閃儲存體、或硬碟裝置。
主儲存裝置903為隨機存取儲存體(RAM)。
通信裝置904以有線或無線的方式透過網路、LAN(Local Area Network)、電話線路網或其他的網路進行通信。
輸出入裝置905為例如滑鼠、鍵盤、顯示器裝置等。
程式通常係事先儲存於輔助儲存裝置902中,在載入到主儲存裝置903的狀態下,由演算裝置901讀取並由演算裝置901執行。
例如,作業系統(OS)儲存在輔助儲存裝置902中。另外,實現說明為「~部」的功能之程式儲存在輔助儲存裝置902中。而且,OS以及實現說明為「~部」的功能的程式載入主儲存裝置903中,由計算裝置901執行。「~部」可以改寫為「~處理」、「~程序」。
電腦程式產品(亦簡單稱之為程式產品)不限於外觀形式的物,其係為載有電腦可讀取的程式之物。表示「~的判斷」、
「~的判定」、「~的擷取」、「~的檢知」、「~的設定」、「~的登錄」、「~的選擇」、「~的產生」、「~的輸入」、「~的輸出」等的處理的結果的資訊、資料、檔案、信號值、或變數值係儲存在主儲存裝置903或輔助儲存裝置902中。另外,安全閘道200所使用的其他的資料儲存在主儲存裝置903或輔助儲存裝置902中。
在實施形態1中,係說明將機器證明書494導入通信機器400的形態。
藉由實施形態1,可以達到例如後述的效果。
能夠安全且簡單地將機器證明書494導入通信機器400。
不使用IC卡等外部儲存媒體,而能夠將機器證明書494導入通信機器400。亦即,能夠將機器證明書494導入不具備用於使用外部儲存媒體的讀寫裝置的通信機器400。而且,能夠防止因為IC卡被竊而導致將機器證明書494導入不正當的通信機器的情況。
防止將機器證明書494導入不正當的通信機器,而能夠防止和未導入機器證明書494的不正當通信機器通信。
實施形態1為機器認證系統100的形態之一例。
亦即,機器認證系統100不具備實施形態1中說明的構成要素的一部份亦可。另外,機器認證系統100,具備實施形態1中未說明的構成要素亦可。
例如,安全閘道200也可以具備認證局伺服器110的功能(證明書發行部111),不向認證局伺服器110要求機器證明書494而產生機器證明書494。在此情況下,機器認證系統100不需要
具備認證局伺服器110。
在實施形態1中使用流程圖等說明的處理程序,為實施形態1的方法及程式的處理程序之一例。實施形態1的方法及程式,也可以用與實施形態1說明的處理程序部分相異的處理程序實現。
100‧‧‧機器認證系統(機器證明書提供系統)
109‧‧‧網路
110‧‧‧認證局伺服器
111‧‧‧證明書發行部
200‧‧‧安全閘道
300‧‧‧機器資訊伺服器
Claims (9)
- 一種機器證明書提供裝置,其包括:機器識別子儲存部,其儲存第一機器識別子及第一通信位址;機器識別子詢問部,將以包含該機器識別子儲存部所儲存之該第一通信位址作為收件的通信位址之機器識別子要求傳送到與一個以上的通信機器連線的網路,並從該等一個以上的通信機器當中的第一通信機器接收識別該第一通信機器的通信機器識別子;機器識別子判斷部,判斷由該機器識別子詢問部接收的該通信機器識別子是否為和儲存於該機器識別子儲存部中的該第一機器識別子相同的機器識別子;及機器證明書傳送部,當該機器識別子判斷部判斷該通信機器識別子為和該第一機器識別子相同的機器識別子的情況下,將作為該第一通信機器的電子證明書的機器證明書傳送到該第一通信機器。
- 如申請專利範圍第1項所述之機器證明書提供裝置,更包括:公開金鑰取得部,當該機器識別子判斷部判斷該通信機器識別子為和該第一機器識別子相同的機器識別子的情況下,從該第一通信機器取得公開金鑰;及機器證明書取得部,取得為包含由該公開金鑰取得部取得之該公開金鑰的電子證書之該機器證明書。
- 如申請專利範圍第2項所述之機器證明書提供裝置,該機器 證明書取得部將該公開金鑰傳送到產生電子證明書的認證局伺服器,並從該認證局伺服器接收該機器證明書。
- 如申請專利範圍第3項所述之機器證明書提供裝置,其中:該機器識別子儲存部儲存第一機器資訊,該機器證明書取得部,將該公開金鑰及該第一機器資訊傳送至該認證局伺服器,並從該認證局伺服器取得為包含該公開金鑰及該第一機器資訊的電子證書之該機器證明書。
- 如申請專利範圍第4項所述之機器證明書提供裝置,更包括:機器識別子取得部,其取得該第一機器識別子;及機器資訊取得部,將該機器識別子取得部所取得的第一機器識別子傳送到與該第一通信位址及該第一機器資訊對應儲存該第一機器識別子的機器資訊伺服器,從該機器資訊伺服器接收該第一通信位址及該第一機器資訊,其中該機器識別子儲存部,儲存由該機器識別子取得部取得的該第一機器識別子、以及由該機器資訊取得部取得之該第一通信位址及該第一機器資訊。
- 如申請專利範圍第1項所述之機器證明書提供裝置,更包括:機器識別子取得部,其取得該第一機器識別子;及機器資訊取得部,將該機器識別子取得部所取得的第一機器識別子傳送到與該第一通信位址對應儲存該第一機器識別子的機器資訊伺服器,從該機器資訊伺服器接收該第一通信位址, 其中該機器識別子儲存部,儲存由該機器識別子取得部取得的該第一機器識別子、以及由該機器資訊取得部取得之該第一通信位址。
- 一種機器證明書提供系統,其包括:如申請專利範圍第1項所述之機器證明書提供裝置;及機器資訊伺服器,其將該第一通信位址對應於該第一機器識別子儲存,從該機器證明書提供裝置接收該第一機器識別子將該第一通信位址傳送至該機器證明書提供裝置。
- 一種機器證明書提供系統,其包括:如申請專利範圍第2項所述之機器證明書提供裝置;及認證局伺服器,其從該機器證明書提供裝置接收該公開金鑰,產生包含已接收的該公開金鑰的該機器證明書,並將已產生的該機器證明書傳送至該機器證明書提供裝置。
- 一種機器證明書提供程式產品,其係為使電腦執行後述處理的程式產品:機器識別子詢問處理,將以包含儲存為與第一機器識別子對應之第一通信位址作為收件的通信位址之機器識別子要求傳送到與一個以上的通信機器連線的網路,並從該等一個以上的通信機器當中的第一通信機器接收識別該第一通信機器的通信機器識別子;機器識別子判斷處理,判斷由該機器識別子詢問處理接收的該通信機器識別子是否為和儲存於該機器識別子儲存部中的該第一機器識別子相同的機器識別子;及機器證明書傳送處理,當該機器識別子判斷處理判斷該通 信機器識別子為和該第一機器識別子相同的機器識別子的情況下,將作為該第一通信機器的電子證明書的機器證明書傳送到該第一通信機器。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2014/051687 WO2015111221A1 (ja) | 2014-01-27 | 2014-01-27 | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201531080A TW201531080A (zh) | 2015-08-01 |
TWI565286B true TWI565286B (zh) | 2017-01-01 |
Family
ID=53681047
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW103111656A TWI565286B (zh) | 2014-01-27 | 2014-03-28 | Machine certificate providing device, machine certificate providing system and machine certificate providing program product |
Country Status (7)
Country | Link |
---|---|
US (1) | US20170041150A1 (zh) |
JP (1) | JP6012888B2 (zh) |
KR (1) | KR20160113248A (zh) |
CN (1) | CN105900374A (zh) |
DE (1) | DE112014006265T5 (zh) |
TW (1) | TWI565286B (zh) |
WO (1) | WO2015111221A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171439B2 (en) * | 2015-09-24 | 2019-01-01 | International Business Machines Corporation | Owner based device authentication and authorization for network access |
JP6680022B2 (ja) * | 2016-03-18 | 2020-04-15 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
CN105959299B (zh) * | 2016-03-23 | 2019-05-07 | 四川长虹电器股份有限公司 | 一种下发安全证书的方法和安全证书服务器 |
US10454690B1 (en) * | 2017-08-04 | 2019-10-22 | Amazon Technologies, Inc. | Digital certificates with distributed usage information |
CN109982150B (zh) * | 2017-12-27 | 2020-06-23 | 国家新闻出版广电总局广播科学研究院 | 智能电视终端的信任链建立方法和智能电视终端 |
JP2020010297A (ja) * | 2018-07-12 | 2020-01-16 | 三菱電機株式会社 | 証明書発行システム、要求装置、証明書発行方法および証明書発行プログラム |
CN111376257A (zh) * | 2018-12-29 | 2020-07-07 | 深圳市优必选科技有限公司 | 一种舵机id重复的检测方法、装置、存储介质及机器人 |
DE102019130067B4 (de) * | 2019-11-07 | 2022-06-02 | Krohne Messtechnik Gmbh | Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät |
US20210273920A1 (en) * | 2020-02-28 | 2021-09-02 | Vmware, Inc. | Secure certificate or key distribution for synchronous mobile device management (mdm) clients |
CN112785318B (zh) * | 2021-01-16 | 2022-05-17 | 苏州浪潮智能科技有限公司 | 基于区块链的透明供应链认证方法、装置、设备及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005110213A (ja) * | 2003-09-12 | 2005-04-21 | Ricoh Co Ltd | 証明書設定方法 |
JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3759137B2 (ja) * | 2003-09-30 | 2006-03-22 | 日立電子サービス株式会社 | 無線通信装置およびなりすまし端末検出方法 |
JP3859667B2 (ja) * | 2004-10-26 | 2006-12-20 | 株式会社日立製作所 | データ通信方法およびシステム |
JP2006246272A (ja) * | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
JP4551381B2 (ja) * | 2006-10-12 | 2010-09-29 | 株式会社日立製作所 | データ通信方法およびシステム |
JP5495996B2 (ja) * | 2010-07-14 | 2014-05-21 | Kddi株式会社 | プログラム配信システム、および方法 |
US20140164645A1 (en) * | 2012-12-06 | 2014-06-12 | Microsoft Corporation | Routing table maintenance |
CN202957842U (zh) * | 2012-12-20 | 2013-05-29 | 中国工商银行股份有限公司 | 一种电子证书装置以及安全认证系统 |
-
2014
- 2014-01-27 DE DE112014006265.0T patent/DE112014006265T5/de not_active Withdrawn
- 2014-01-27 KR KR1020167023304A patent/KR20160113248A/ko active IP Right Grant
- 2014-01-27 WO PCT/JP2014/051687 patent/WO2015111221A1/ja active Application Filing
- 2014-01-27 US US15/039,979 patent/US20170041150A1/en not_active Abandoned
- 2014-01-27 CN CN201480072407.3A patent/CN105900374A/zh active Pending
- 2014-01-27 JP JP2015558711A patent/JP6012888B2/ja not_active Expired - Fee Related
- 2014-03-28 TW TW103111656A patent/TWI565286B/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005110213A (ja) * | 2003-09-12 | 2005-04-21 | Ricoh Co Ltd | 証明書設定方法 |
JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
Also Published As
Publication number | Publication date |
---|---|
DE112014006265T5 (de) | 2016-10-13 |
CN105900374A (zh) | 2016-08-24 |
WO2015111221A1 (ja) | 2015-07-30 |
KR20160113248A (ko) | 2016-09-28 |
US20170041150A1 (en) | 2017-02-09 |
JP6012888B2 (ja) | 2016-10-25 |
TW201531080A (zh) | 2015-08-01 |
JPWO2015111221A1 (ja) | 2017-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI565286B (zh) | Machine certificate providing device, machine certificate providing system and machine certificate providing program product | |
CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
WO2018099285A1 (zh) | 物联网设备的烧录校验方法及装置、身份认证方法及装置 | |
US8532620B2 (en) | Trusted mobile device based security | |
JP4907895B2 (ja) | プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム | |
CN103701919A (zh) | 远程登录方法与系统 | |
KR101686167B1 (ko) | 사물 인터넷 기기의 인증서 배포 장치 및 방법 | |
JP5475035B2 (ja) | 認証権限移譲システム、情報端末、トークン発行局、サービス提供装置、認証権限移譲方法、及びプログラム | |
JP6911122B2 (ja) | 端末の攻撃警告メッセージログを取得する権限付与方法およびシステム | |
JP4470071B2 (ja) | カード発行システム、カード発行サーバ、カード発行方法およびプログラム | |
US8397281B2 (en) | Service assisted secret provisioning | |
JP5431040B2 (ja) | 認証要求変換装置、認証要求変換方法および認証要求変換プログラム | |
JP2012530311A5 (zh) | ||
EP3782062B1 (en) | Password reset for multi-domain environment | |
US20190325146A1 (en) | Data encryption and decryption method and system and network connection apparatus and data encryption and decryption method thereof | |
JP2015194879A (ja) | 認証システム、方法、及び提供装置 | |
KR20200060193A (ko) | 상호인증 기반 안전한 패치파일 배포를 위한 통합관리 서버 및 그 동작 방법 | |
TW201901508A (zh) | 用於登入的認證方法 | |
WO2017029708A1 (ja) | 個人認証システム | |
JP2017108237A (ja) | システム、端末装置、制御方法、およびプログラム | |
JP6527115B2 (ja) | 機器リスト作成システムおよび機器リスト作成方法 | |
JP6631210B2 (ja) | 端末装置認証用のプログラム、端末装置認証方法、サーバ装置、および、認証システム | |
JP5553914B1 (ja) | 認証システム、認証装置、及び認証方法 | |
CN114238915A (zh) | 数字证书添加方法、装置、计算机设备和存储介质 | |
TW201935357A (zh) | 電子交易方法及系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |