WO2015111221A1 - 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム - Google Patents
機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム Download PDFInfo
- Publication number
- WO2015111221A1 WO2015111221A1 PCT/JP2014/051687 JP2014051687W WO2015111221A1 WO 2015111221 A1 WO2015111221 A1 WO 2015111221A1 JP 2014051687 W JP2014051687 W JP 2014051687W WO 2015111221 A1 WO2015111221 A1 WO 2015111221A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- certificate
- communication
- device identifier
- identifier
- unit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Definitions
- the present invention relates to a technique for introducing an electronic certificate into a communication device.
- Patent Document 1 discloses a technique related to an authentication system including a server, a certificate authority (CA), a device, and a registration terminal.
- a temporary public key certificate that is not associated with device information and a public key certificate that is associated with device information are used as follows in order for the device to connect to the server.
- the registration terminal acquires a temporary public key certificate from a certificate authority, and writes the acquired temporary public key certificate to an IC card (IC: Integrated Circuit).
- IC card stores the device private key and public key.
- the user connects the IC card to the device, and the device requests the certification authority to issue the public key certificate using its own device information and the temporary public key certificate written in the IC card.
- Patent Document 2 discloses a technique for an authentication device, a higher-level device, and a lower-level device to perform secure communication with each other.
- secure communication is ensured by each device authenticating each other using an individual public key certificate. If the individual public key certificate of the lower device is damaged, the upper device authenticates the lower device based on the information of the lower device and the common public key certificate common to each device, and the lower device An individual public key certificate is acquired from the authentication device via the device.
- it is necessary to introduce the common public key certificate into each device in advance.
- An object of the present invention is to enable electronic certificates to be safely introduced into communication devices.
- the device certificate providing apparatus of the present invention is A device identifier storage unit for storing the first device identifier and the first communication address; A device identifier request including the first communication address stored in the device identifier storage unit as a destination communication address is transmitted to a network to which one or more communication devices are connected, and one of the one or more communication devices A device identifier inquiry unit for receiving a communication device identifier for identifying the first communication device from a first communication device; A device identifier determination unit for determining whether the communication device identifier received by the device identifier inquiry unit is the same device identifier as the first device identifier stored in the device identifier storage unit; If the device identifier determination unit determines that the communication device identifier is the same device identifier as the first device identifier, a device certificate that is an electronic certificate of the first communication device is used as the first communication. A device certificate transmission unit for transmitting to the device.
- an electronic certificate can be safely introduced into a communication device.
- FIG. 1 is a configuration diagram of a device authentication system 100 according to Embodiment 1.
- FIG. 3 is a functional configuration diagram of a security GW 200 according to Embodiment 1.
- FIG. 3 is a functional configuration diagram of a device information server 300 according to Embodiment 1.
- FIG. It is a figure which shows the user information file 391 in Embodiment 1.
- FIG. It is a figure which shows the apparatus information file 392 in Embodiment 1.
- FIG. 2 is a functional configuration diagram of a communication device 400 according to Embodiment 1.
- FIG. 4 is a flowchart showing device certificate introduction processing of the device authentication system 100 according to the first embodiment.
- 5 is a flowchart showing device information acquisition processing (S110) in the first embodiment.
- 3 is a diagram illustrating an example of a hardware configuration of a security GW 200 according to Embodiment 1.
- FIG. 1 is a configuration diagram of a device authentication system 100 according to Embodiment 1.
- FIG. 3 is
- Embodiment 1 An embodiment in which an electronic certificate is introduced into a communication device will be described.
- FIG. 1 is a configuration diagram of a device authentication system 100 according to the first embodiment. The configuration of the device authentication system 100 according to Embodiment 1 will be described with reference to FIG.
- the device authentication system 100 (an example of a device certificate providing system) is a system that introduces an electronic certificate into the communication device 400 so that the communication device 400 performs communication using the electronic certificate.
- An electronic certificate is also called a public key certificate.
- the public key certificate proves the owner of the public key (for example, the communication device 400).
- the device authentication system 100 includes a security GW 200 (GW: gateway), a device information server 300, a communication device 400, and a certificate authority server 110. These communicate via the network 109.
- the security GW 200 (an example of a device certificate providing device) is a device that provides an electronic certificate to the communication device 400.
- the device information server 300 is a device that manages device information related to the communication device 400.
- the communication device 400 is a device that performs communication using an electronic certificate provided from the security GW 200.
- the certificate authority server 110 is a device that issues an electronic certificate.
- the certificate authority server 110 includes a certificate issuing unit 111 that issues an electronic certificate. Further, the certificate authority server 110 includes a certificate authority storage unit (not shown) that stores a secret key (hereinafter referred to as a certificate authority secret key) of the certificate authority server 110 and the like.
- the electronic certificate of the communication device 400 is referred to as a device certificate
- the public key of the communication device 400 is referred to as a device public key
- the secret key of the communication device 400 is referred to as a device secret key.
- the electronic certificate of the security GW 200 is called a GW certificate
- the public key of the security GW 200 is called a GW public key
- the private key of the security GW 200 is called a GW private key
- the electronic certificate of the device information server 300 is called a server certificate
- the public key of the device information server 300 is called a server public key
- the private key of the device information server 300 is called a server private key.
- FIG. 2 is a functional configuration diagram of the security GW 200 according to the first embodiment. A functional configuration of the security GW 200 in the first embodiment will be described with reference to FIG.
- the security GW 200 (an example of a device certificate providing device) includes a mutual authentication unit 210, an encryption communication unit 220, a device ID registration unit 230 (ID: identifier), a device certificate introduction unit 240, and a security GW storage unit 290. With.
- the mutual authentication unit 210 authenticates the communication partner using the electronic certificate of the communication partner, and authenticates from the communication partner using its own electronic certificate (GW certificate).
- the encryption communication unit 220 encrypts the communication data using the public key included in the electronic certificate of the communication partner, and transmits the encrypted communication data to the communication partner.
- the encryption communication unit 220 receives the encrypted communication data from the communication partner, and decrypts the received communication data using its own secret key (GW secret key).
- the device ID registration unit 230 (an example of a device identifier acquisition unit or device information acquisition unit) transmits a device ID 291 (for example, a serial number) for identifying the communication device 400 to the device information server 300, and device information 292 regarding the communication device 400.
- a device ID 291 for example, a serial number
- the device information 292 includes an IP address 293 (IP: Internet Protocol) and a MAC address 294 (MAC: Media Access Control).
- the device certificate introduction unit 240 introduces the device certificate 494 into the communication device 400.
- the device certificate introduction unit 240 includes a device ID inquiry unit 241, a device ID determination unit 242, a public key acquisition unit 243, a device certificate acquisition unit 244, and a device certificate transmission unit 245.
- the device ID inquiry unit 241 receives a device ID from the communication device 400 connected to the network 109 or an unauthorized communication device.
- the device ID determination unit 242 determines whether or not the received device ID is the same as the device ID 291 stored in the security GW storage unit 290.
- the public key acquisition unit 243 receives the device public key 492 from the communication device 400 that has transmitted the same device ID as the device ID 291.
- the device certificate acquisition unit 244 acquires a device certificate 494 including the device public key 492 from the certificate authority server 110.
- the device certificate transmission unit 245 transmits the device certificate 494 to the communication device 400.
- the security GW storage unit 290 stores data used, generated or input / output by the security GW 200.
- the security GW storage unit 290 is associated with the device ID 291 (an example of the first device identifier), the device information 292 (the first communication address, an example of the first device information), the device public key 492, The device certificate 494 is stored.
- the security GW storage unit 290 stores a GW certificate including a GW public key, a GW private key, a server certificate including a server public key, and the like (not shown).
- FIG. 3 is a functional configuration diagram of the device information server 300 according to the first embodiment. A functional configuration of the device information server 300 according to Embodiment 1 will be described with reference to FIG.
- the device information server 300 includes a mutual authentication unit 310, an encryption communication unit 320, a user authentication unit 330, a device information management unit 340, and a server storage unit 390.
- the mutual authentication unit 310 authenticates the communication partner using the electronic certificate of the communication partner, and authenticates from the communication partner using its own electronic certificate (server certificate).
- the encryption communication unit 320 encrypts communication data using a public key included in the electronic key certificate of the communication partner, and transmits the encrypted communication data to the communication partner.
- the encryption communication unit 320 receives encrypted communication data from the communication partner, and decrypts the received communication data using its own secret key (server secret key).
- the user authentication unit 330 authenticates a user who uses the security GW 200 based on the user information file 391.
- the device information management unit 340 transmits the device information included in the device information file 392 to the security GW 200.
- the server storage unit 390 stores data used, generated, or input / output by the device information server 300.
- the server storage unit 390 stores a user information file 391 and a device information file 392.
- the server storage unit 390 stores a server certificate including a server public key, a server private key, a GW certificate including a GW public key, and the like (not shown).
- the user information file 391 includes user information related to a user who is permitted to use the security GW 200.
- the device information file 392 includes device information regarding the communication device 400 into which the device certificate is introduced.
- FIG. 4 is a diagram showing the user information file 391 in the first embodiment.
- the user information file 391 in Embodiment 1 will be described with reference to FIG.
- the user information file 391 includes user data for each user.
- the user data includes a data number for identifying the user data and user information (user ID, password, etc.) regarding the user.
- FIG. 5 is a diagram showing the device information file 392 according to the first embodiment.
- the device information file 392 according to the first embodiment will be described with reference to FIG.
- the device information file 392 includes device data for each communication device.
- the device data includes a data number for identifying the device data, a device ID for identifying the communication device, and device information (IP address, MAC address, etc.) regarding the communication device.
- FIG. 6 is a functional configuration diagram of the communication device 400 according to the first embodiment. A functional configuration of communication device 400 in the first embodiment will be described with reference to FIG.
- the communication device 400 includes a mutual authentication unit 410, an encryption communication unit 420, an encryption key generation unit 430, a device certificate introduction unit 440, and a device storage unit 490.
- the mutual authentication unit 410 authenticates the communication partner using the electronic certificate of the communication partner, and authenticates from the communication partner using its own electronic certificate (device certificate 494).
- the encryption communication unit 420 encrypts communication data using the public key included in the electronic key certificate of the communication partner, and transmits the encrypted communication data to the communication partner.
- the encryption communication unit 420 receives the encrypted communication data from the communication partner, and decrypts the received communication data using its own secret key (device secret key 493).
- the encryption key generation unit 430 generates a device public key 492 and a device secret key 493 based on a public key key generation algorithm.
- the device certificate introduction unit 440 receives the device certificate 494 transmitted from the security GW 200 and stores the received device certificate 494 in the device storage unit 490.
- the device storage unit 490 stores data used, generated, or input / output by the communication device 400.
- the device storage unit 490 stores a device ID 491, a device public key 492, a device secret key 493, and a device certificate 494.
- the device storage unit 490 stores a communication partner's electronic certificate including the communication partner's public key (not shown).
- FIG. 7 is a flowchart showing device certificate introduction processing of the device authentication system 100 according to the first embodiment.
- Device certificate introduction processing of the device authentication system 100 according to Embodiment 1 will be described with reference to FIG.
- the device ID registration unit 230 acquires device information 292 corresponding to the device ID 291 from the device information server 300 (S110).
- the device ID inquiry unit 241 acquires the device ID 491 from the communication device 400 using information included in the device information 292 (S120).
- the public key acquisition unit 243 acquires the device public key 492 from the communication device 400 (S140).
- the device certificate acquisition unit 244 acquires the device certificate 494 including the device public key 492 from the certificate authority server 110 (S150).
- the device certificate transmission unit 245 transmits the device certificate 494 to the communication device 400 (S160).
- the device certificate 494 is introduced into the communication device 400 by the device certificate introduction process described above.
- the device ID registration unit 230 of the security GW 200 acquires device information 292 corresponding to the device ID 291 from the device information server 300. Details of the device information acquisition process (S110) will be described later. After S110, the process proceeds to S120.
- the device ID inquiry unit 241 of the security GW 200 generates a device ID request using the IP address 293 included in the device information 292 as the destination communication address, and transmits the generated device ID request to the network 109.
- the device ID inquiry unit 241 may transmit a device ID request using the MAC address 294 as a destination communication address.
- the device ID request is communication data for requesting the device ID 491 stored in the communication device 400 to the communication device 400 identified by the device ID 291.
- the device certificate introduction unit 440 of the communication device 400 receives the device ID request, generates a device ID response, and transmits the generated device ID response to the security GW 200.
- the device ID response is communication data including the device ID 491 stored in the device storage unit 490.
- the device ID inquiry unit 241 of the security GW 200 receives a device ID response including the device ID 491. At this time, the device ID inquiry unit 241 may receive a device ID response transmitted from an unauthorized communication device. When the communication device 400 is not connected to the network 109 (including the case where the communication device 400 is off), the device ID inquiry unit 241 cannot receive a device ID response from the communication device 400. After S120, the process proceeds to S130.
- the device ID determination unit 242 of the security GW 200 compares the device ID 491 included in the device ID response with the device ID 291 stored in the security GW storage unit 290. If the device ID 491 and the device ID 291 are not the same, the device ID determination unit 242 discards the device ID 491 and waits until a device ID response including the same device ID 491 as the device ID 291 is received. If a device ID response including the same device ID 491 as the device ID 291 is received before the device ID response wait time elapses (YES), the process proceeds to S140.
- the device ID determination unit 242 indicates that the communication device 400 is connected to the network 109. A message indicating that there is no message is displayed. In this case, the device certificate introduction process ends without the device certificate 494 being introduced into the communication device 400.
- the public key acquisition unit 243 of the security GW 200 transmits a public key request to the communication device 400.
- the communication device 400 is a device that has transmitted a device ID response including the same device ID 491 as the device ID 291.
- the public key request is communication data for requesting the device public key 492 from the communication device 400.
- the device certificate introduction unit 440 of the communication device 400 receives the public key request, generates a public key response that is communication data including the device public key 492, and transmits the generated public key response to the security GW 200.
- the encryption key generation unit 430 may generate the device public key 492 and the device secret key 493 at this timing, or may generate the device public key 492 and the device secret key 493 in advance.
- the public key acquisition unit 243 of the security GW 200 receives a public key response including the device public key 492. After S140, the process proceeds to S150.
- the device certificate acquisition unit 244 of the security GW 200 generates a certificate request including the device public key 492 and device information 292 (which may include the device ID 291), and the generated certificate request is transmitted to the certificate authority server 110. Send to.
- the certificate request is communication data for requesting the device certificate 494.
- the certificate issuing unit 111 of the certificate authority server 110 receives the certificate request, acquires the device public key 492 and the device information 292 from the certificate request, and uses the device public key 492, the device information 292, and the certificate authority private key. Thus, an electronic signature of the certificate authority server 110 (hereinafter referred to as a certificate authority signature) is generated. Then, the certificate issuing unit 111 generates a device certificate 494 including the device public key 492, device information 292, and the certificate authority signature, and generates a certificate response that is communication data including the generated device certificate 494. The generated certificate response is transmitted to the security GW 200.
- the device certificate acquisition unit 244 of the security GW 200 receives the certificate response including the device certificate 494. After S150, the process proceeds to S160.
- the device certificate transmission unit 245 of the security GW 200 transmits the device certificate 494 to the communication device 400.
- the device certificate introduction unit 440 of the communication device 400 receives the device certificate 494 and stores the received device certificate 494 in the device storage unit 490.
- the device certificate 494 is introduced into the communication device 400.
- the communication device 400 can receive authentication from the communication partner using the device certificate 494 and the device secret key 493.
- the communication device 400 can perform encrypted communication (secret communication) using the device certificate 494 and the device secret key 493.
- an unauthorized communication device cannot receive authentication from a communication partner (for example, the communication device 400, the security GW 200, or the device information server 300) because a device certificate is not introduced, and can communicate with the communication partner. Can not.
- the device certificate introduction process ends.
- FIG. 8 is a flowchart showing the device information acquisition process (S110) in the first embodiment.
- Device information acquisition processing (S110) in the first embodiment will be described with reference to FIG.
- the mutual authentication unit 210 of the security GW 200 transmits the GW certificate to the device information server 300 and receives the server certificate from the device information server 300.
- the mutual authentication unit 210 confirms that the communication partner is the device information server 300 based on server information (information on the device information server 300) included in the received server certificate.
- the mutual authentication unit 210 encrypts the authentication code using the GW private key, and transmits the encrypted authentication code to the device information server 300.
- the mutual authentication unit 210 receives the authentication code encrypted using the server private key from the device information server 300, and decrypts the received authentication code using the server public key included in the server certificate. If the authentication code can be decrypted, the mutual authentication unit 210 authenticates the device information server 300.
- the mutual authentication unit 310 of the device information server 300 transmits a server certificate to the security GW 200 and receives a GW certificate from the security GW 200.
- the mutual authentication unit 310 confirms that the communication partner is the security GW 200 based on the GW information (information on the security GW 200) included in the received GW certificate.
- the mutual authentication unit 310 encrypts the authentication code using the server private key, and transmits the encrypted authentication code to the security GW 200.
- the mutual authentication unit 310 receives the authentication code encrypted using the GW private key from the security GW 200, and decrypts the received authentication code using the GW public key included in the GW certificate. If the authentication code can be decrypted, the mutual authentication unit 310 authenticates the security GW 200. After S111, the process proceeds to S112.
- the user inputs the user ID and password to the security GW 200.
- the device ID registration unit 230 of the security GW 200 acquires the input user ID and password. After S112, the process proceeds to S113.
- the device ID registration unit 230 of the security GW 200 transmits an authentication request, which is communication data including a user ID and a password, to the device information server 300. After S113, the process proceeds to S114.
- the user authentication unit 330 of the device information server 300 receives the authentication request, and the user information including the user ID included in the authentication request and the password included in the authentication request is included in the user information file 391. It is determined whether or not.
- the user using the security GW 200 is a valid user.
- the user authentication unit 330 transmits an authentication response, which is communication data indicating that the user has been authenticated, to the security GW 200, and the device of the security GW 200
- the ID registration unit 230 receives the authentication response. Then, the process proceeds to S115.
- the user authentication unit 330 transmits an authentication response, which is communication data indicating that the user has not been authenticated, to the security GW 200.
- the device ID registration unit 230 of the security GW 200 receives the authentication response and displays an error message indicating that the authentication has not been performed. Then, the security GW 200 cannot acquire the device information 292, the device information acquisition process (S110) ends, and the device certificate 494 is not introduced into the communication device 400, and the device certificate introduction process (see FIG. 7) ends. .
- the device ID registration unit 230 of the security GW 200 displays an authentication message indicating that authentication has been performed.
- the user inputs the device ID 291 of the communication device 400 to which the device certificate 494 is to be introduced into the security GW 200.
- the device ID registration unit 230 of the security GW 200 acquires the input device ID 291 and stores the acquired device ID 291 in the security GW storage unit 290.
- the process proceeds to S116.
- the device ID registration unit 230 of the security GW 200 generates a device information request including the device ID 291, and transmits the generated device information request to the device information server 300.
- the device information request is communication data for requesting device information 292.
- the device information management unit 340 of the device information server 300 receives the device information request and selects device information data including the same device ID as the device ID 291 included in the received device information request from the device information file 392.
- the device information management unit 340 acquires device information 292 from the selected device information data, generates a device information response that is communication data including the acquired device information 292, and transmits the generated device information response to the security GW 200.
- the device information management unit 340 may set information (for example, IP address) regarding the security GW 200 included in the device information request in the selected device information data.
- the device ID registration unit 230 of the security GW 200 receives the device information response, acquires device information 292 from the received device information response, and stores the acquired device information 292 in the security GW storage unit 290. After S117, the device information acquisition process (S110) ends.
- the communication data communicated from S113 to S117 in FIG. 8 is encrypted at the time of transmission and decrypted at the time of reception by the encryption communication unit 220 of the security GW 200 and the encryption communication unit 320 of the device information server 300.
- FIG. 9 is a diagram illustrating an example of a hardware configuration of the security GW 200 according to the first embodiment.
- An example of the hardware configuration of the security GW 200 in the first embodiment will be described with reference to FIG.
- the hardware configuration of the security GW 200 may be different from the configuration shown in FIG.
- the hardware configurations of the device information server 300, the communication device 400, and the certificate authority server 110 are the same as those of the security GW 200.
- the security GW 200 is a computer including an arithmetic device 901, an auxiliary storage device 902, a main storage device 903, a communication device 904, and an input / output device 905.
- the arithmetic device 901, auxiliary storage device 902, main storage device 903, communication device 904, and input / output device 905 are connected to the bus 909.
- the arithmetic device 901 is a CPU (Central Processing Unit) that executes a program.
- the auxiliary storage device 902 is, for example, a ROM (Read Only Memory), a flash memory, or a hard disk device.
- the main storage device 903 is, for example, a RAM (Random Access Memory).
- the communication device 904 performs communication via the Internet, a LAN (local area network), a telephone line network, or other networks in a wired or wireless manner.
- the input / output device 905 is, for example, a mouse, a keyboard, or a display device.
- the program is normally stored in the auxiliary storage device 902, loaded into the main storage device 903, read into the arithmetic device 901, and executed by the arithmetic device 901.
- an operating system OS
- a program for realizing the function described as “ ⁇ unit” is stored in the auxiliary storage device 902.
- the OS and the program that realizes the functions described as “ ⁇ units” are loaded into the main storage device 903 and executed by the arithmetic device 901. “ ⁇ part” can be read as “ ⁇ processing” and “ ⁇ process”.
- Embodiment 1 the configuration in which the device certificate 494 is introduced into the communication device 400 has been described.
- the device certificate 494 can be introduced into the communication device 400 securely and easily.
- the device certificate 494 can be introduced into the communication device 400 without using an external storage medium such as an IC card. That is, the device certificate 494 can be introduced into the communication device 400 that does not include a read / write device for using an external storage medium. Then, it is possible to prevent the device certificate 494 from being introduced into an unauthorized communication device due to the IC card being stolen. It is possible to prevent the device certificate 494 from being introduced into an unauthorized communication device and to prevent communication with an unauthorized communication device into which the device certificate 494 is not introduced.
- the first embodiment is an example of the device authentication system 100. That is, the device authentication system 100 does not have to include some of the components described in the first embodiment.
- the device authentication system 100 may include components that are not described in the first embodiment.
- the security GW 200 may include the function of the certificate authority server 110 (certificate issuing unit 111) and generate the device certificate 494 without requesting the certificate authority server 110 for the device certificate 494. In this case, the device authentication system 100 does not need to include the certificate authority server 110.
- the processing procedure described in the first embodiment using a flowchart or the like is an example of the processing procedure of the method and program according to the first embodiment.
- the method and program according to the first embodiment may be realized by a processing procedure that is partially different from the processing procedure described in the first embodiment.
Abstract
Description
その技術において、機器がサーバに接続するために、機器情報に関連付けられていない仮公開鍵証明書と、機器情報に関連付けられている本公開鍵証明書とが、以下のように使用される。
まず、登録端末は認証局から仮公開鍵証明書を取得し、取得した仮公開鍵証明書をICカード(IC:Integrated Circuit)に書き込む。ICカードには機器の秘密鍵および公開鍵が書き込まれている。
そして、利用者は機器にICカードを接続し、機器は自身の機器情報とICカードに書き込まれている仮公開鍵証明書とを用いて認証局に本公開鍵証明書の発行を要求し、認証局から本公開鍵証明書を取得する。
その技術において、各装置がそれぞれ個別公開鍵証明書を用いて相互に認証することによってセキュアな通信が確保される。そして、下位装置の個別公開鍵証明書が破損してしまった場合、上位装置は下位装置の情報と各装置に共通な共通公開鍵証明書とに基づいて下位装置を認証し、下位装置は上位装置を経由して認証装置から個別公開鍵証明書を取得する。
つまり、特許文献2の技術によって個別公開鍵証明書を復旧するためには、共通公開鍵証明書が各装置に予め導入されている必要がある。
しかし、各装置に共通公開鍵証明書を予め導入することが困難な場合が考えられる。例えば、機器製造者とサービス提供者とが異なる場合、機器の製造時にサービス提供者が発行する共通公開鍵証明書を機器に導入することは難しい。
第一の機器識別子と第一の通信アドレスとを記憶する機器識別子記憶部と、
前記機器識別子記憶部に記憶された前記第一の通信アドレスを宛先の通信アドレスとして含む機器識別子要求を一つ以上の通信機器が接続するネットワークに送信し、前記一つ以上の通信機器のうちの第一の通信機器から前記第一の通信機器を識別する通信機器識別子を受信する機器識別子問い合わせ部と、
前記機器識別子問い合わせ部によって受信された前記通信機器識別子が前記機器識別子記憶部に記憶された前記第一の機器識別子と同じ機器識別子であるか否かを判定する機器識別子判定部と、
前記機器識別子判定部によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器の電子証明書である機器証明書を前記第一の通信機器に送信する機器証明書送信部とを備える。
通信機器に電子証明書を導入する形態について説明する。
実施の形態1における機器認証システム100の構成について、図1に基づいて説明する。
機器認証システム100は、セキュリティGW200(GW:ゲートウェイ)と、機器情報サーバ300と、通信機器400と、認証局サーバ110とを備える。これらはネットワーク109を介して通信を行う。
機器情報サーバ300は、通信機器400に関する機器情報を管理する装置である。
通信機器400は、セキュリティGW200から提供される電子証明書を用いて通信を行う機器である。
認証局サーバ110は、電子証明書を発行する証明書発行部111を備える。
また、認証局サーバ110は、認証局サーバ110の秘密鍵(以下、認証局秘密鍵という)などを記憶する認証局記憶部を備える(図示省略)。
また、セキュリティGW200の電子証明書をGW証明書といい、セキュリティGW200の公開鍵をGW公開鍵といい、セキュリティGW200の秘密鍵をGW秘密鍵という。
また、機器情報サーバ300の電子証明書をサーバ証明書といい、機器情報サーバ300の公開鍵をサーバ公開鍵といい、機器情報サーバ300の秘密鍵をサーバ秘密鍵という。
実施の形態1におけるセキュリティGW200の機能構成について、図2に基づいて説明する。
暗号通信部220は、通信相手の電子証明書に含まれる公開鍵を用いて通信データを暗号化し、暗号化した通信データを通信相手に送信する。
暗号通信部220は、暗号化された通信データを通信相手から受信し、受信した通信データを自身の秘密鍵(GW秘密鍵)を用いて復号する。
機器情報292は、IPアドレス293(IP:Internet Protocol)およびMACアドレス294(MAC:Media Access Control)などを含む。
機器証明書導入部240は、機器ID問い合わせ部241と、機器ID判定部242と、公開鍵取得部243と、機器証明書取得部244と、機器証明書送信部245とを備える。
機器ID問い合わせ部241は、ネットワーク109に接続する通信機器400または不正な通信機器から機器IDを受信する。
機器ID判定部242は、受信された機器IDがセキュリティGW記憶部290に記憶されている機器ID291と同じであるか否かを判定する。
公開鍵取得部243は、機器ID291と同じ機器IDを送信した通信機器400から機器公開鍵492を受信する。
機器証明書取得部244は、機器公開鍵492を含んだ機器証明書494を認証局サーバ110から取得する。
機器証明書送信部245は、機器証明書494を通信機器400に送信する。
例えば、セキュリティGW記憶部290は、機器ID291(第一の機器識別子の一例)に対応付けて、機器情報292(第一の通信アドレス、第一の機器情報の一例)と、機器公開鍵492と、機器証明書494とを記憶する。また、セキュリティGW記憶部290は、GW公開鍵を含むGW証明書、GW秘密鍵、サーバ公開鍵を含むサーバ証明書などを記憶する(図示省略)。
実施の形態1における機器情報サーバ300の機能構成について、図3に基づいて説明する。
暗号通信部320は、暗号化された通信データを通信相手から受信し、受信した通信データを自身の秘密鍵(サーバ秘密鍵)を用いて復号する。
例えば、サーバ記憶部390は、利用者情報ファイル391と、機器情報ファイル392とを記憶する。また、サーバ記憶部390は、サーバ公開鍵を含むサーバ証明書、サーバ秘密鍵、GW公開鍵を含むGW証明書などを記憶する(図示省略)。
利用者情報ファイル391は、セキュリティGW200を利用することを許可される利用者に関する利用者情報を含む。
機器情報ファイル392は、機器証明書が導入される通信機器400に関する機器情報を含む。
実施の形態1における利用者情報ファイル391について、図4に基づいて説明する。
利用者情報ファイル391は利用者毎の利用者データを備える。
利用者データは、利用者データを識別するデータ番号と、利用者に関する利用者情報(利用者ID、パスワードなど)とを含む。
実施の形態1における機器情報ファイル392について、図5に基づいて説明する。
機器情報ファイル392は、通信機器毎の機器データを備える。
機器データは、機器データを識別するデータ番号と、通信機器を識別する機器IDと、通信機器に関する機器情報(IPアドレス、MACアドレスなど)とを含む。
実施の形態1における通信機器400の機能構成について、図6に基づいて説明する。
暗号通信部420は、暗号化された通信データを通信相手から受信し、受信した通信データを自身の秘密鍵(機器秘密鍵493)を用いて復号する。
例えば、機器記憶部490は、機器ID491と、機器公開鍵492と、機器秘密鍵493と、機器証明書494とを記憶する。また、機器記憶部490は、通信相手の公開鍵を含む通信相手の電子証明書を記憶する(図示省略)。
実施の形態1における機器認証システム100の機器証明書導入処理について、図7に基づいて説明する。
機器ID登録部230は、機器ID291に対応する機器情報292を機器情報サーバ300から取得する(S110)。
機器ID問い合わせ部241は、機器情報292に含まれる情報を用いて通信機器400から機器ID491を取得する(S120)。
機器ID291と同じ機器ID491が取得された場合、公開鍵取得部243は、通信機器400から機器公開鍵492を取得する(S140)。
機器証明書取得部244は、機器公開鍵492を含む機器証明書494を認証局サーバ110から取得する(S150)。
機器証明書送信部245は、機器証明書494を通信機器400に送信する(S160)。
以上の機器証明書導入処理によって、機器証明書494が通信機器400に導入される。
S110において、セキュリティGW200の機器ID登録部230は、機器ID291に対応する機器情報292を機器情報サーバ300から取得する。
機器情報取得処理(S110)の詳細については後述する。
S110の後、処理はS120に進む。
機器ID要求は、機器ID291によって識別される通信機器400に対して、通信機器400に記憶されている機器ID491を要求する通信データである。
機器ID応答は、機器記憶部490に記憶されている機器ID491を含んだ通信データである。
このとき、機器ID問い合わせ部241は、不正な通信機器から送信される機器ID応答を受信する可能性がある。
また、通信機器400がネットワーク109に接続されていない場合(通信機器400がオフの場合を含む)、機器ID問い合わせ部241は、通信機器400から機器ID応答を受信できない。
S120の後、処理はS130に進む。
機器ID491と機器ID291とが同じでない場合、機器ID判定部242は機器ID491を破棄し、機器ID291と同じ機器ID491を含む機器ID応答が受信されるまで待機する。
機器ID応答の待ち時間が経過するまでに、機器ID291と同じ機器ID491を含む機器ID応答が受信された場合(YES)、処理はS140に進む。
機器ID応答の待ち時間が経過するまでに、機器ID291と同じ機器ID491を含む機器ID応答が受信されなかった場合(NO)、機器ID判定部242は、通信機器400がネットワーク109に接続されていない旨のメッセージを表示する。この場合、機器証明書494が通信機器400に導入されずに、機器証明書導入処理は終了する。
公開鍵要求は、通信機器400に対して機器公開鍵492を要求する通信データである。
暗号鍵生成部430は、このタイミングで機器公開鍵492および機器秘密鍵493を生成してもよいし、機器公開鍵492および機器秘密鍵493を予め生成してもよい。
S140の後、処理はS150に進む。
証明書要求は、機器証明書494を要求する通信データである。
そして、証明書発行部111は、機器公開鍵492と機器情報292と認証局署名とを含む機器証明書494を生成し、生成した機器証明書494を含んだ通信データである証明書応答を生成し、生成した証明書応答をセキュリティGW200に送信する。
S150の後、処理はS160に進む。
通信機器400の機器証明書導入部440は機器証明書494を受信し、受信した機器証明書494を機器記憶部490に記憶する。
機器証明書494が導入された後、通信機器400は、機器証明書494および機器秘密鍵493を用いて通信相手から認証を受けることができる。また、通信機器400は、機器証明書494および機器秘密鍵493を用いて暗号化通信(秘匿通信)を行うことができる。
一方、不正な通信機器は、機器証明書が導入されないため、通信相手(例えば、通信機器400、セキュリティGW200または機器情報サーバ300)から認証を受けることができず、通信相手と通信を行うことができない。
S160の後、機器証明書導入処理は終了する。
実施の形態1における機器情報取得処理(S110)について、図8に基づいて説明する。
相互認証部210は、受信したサーバ証明書に含まれるサーバ情報(機器情報サーバ300に関する情報)に基づいて、通信相手が機器情報サーバ300であることを確認する。
相互認証部210はGW秘密鍵を用いて認証コードを暗号化し、暗号化した認証コードを機器情報サーバ300に送信する。
相互認証部210は、サーバ秘密鍵を用いて暗号化された認証コードを機器情報サーバ300から受信し、受信した認証コードをサーバ証明書に含まれるサーバ公開鍵を用いて復号する。
認証コードを復号することができた場合、相互認証部210は機器情報サーバ300を認証する。
相互認証部310は、受信したGW証明書に含まれるGW情報(セキュリティGW200に関する情報)に基づいて、通信相手がセキュリティGW200であることを確認する。
相互認証部310はサーバ秘密鍵を用いて認証コードを暗号化し、暗号化した認証コードをセキュリティGW200に送信する。
相互認証部310は、GW秘密鍵を用いて暗号化された認証コードをセキュリティGW200から受信し、受信した認証コードをGW証明書に含まれるGW公開鍵を用いて復号する。
認証コードを復号することができた場合、相互認証部310はセキュリティGW200を認証する。
S111の後、処理はS112に進む。
セキュリティGW200の機器ID登録部230は、入力された利用者IDとパスワードとを取得する。
S112の後、処理はS113に進む。
S113の後、処理はS114に進む。
認証要求に含まれる利用者IDと認証要求に含まれるパスワードとを含んだ利用者データが利用者情報ファイル391に含まれる場合、セキュリティGW200を利用している利用者は正当な利用者である。
セキュリティGW200を利用している利用者が正当な利用者である場合(YES)、利用者認証部330は認証されたことを示す通信データである認証応答をセキュリティGW200に送信し、セキュリティGW200の機器ID登録部230は認証応答を受信する。そして、処理はS115に進む。
セキュリティGW200の機器ID登録部230は認証応答を受信し、認証されなかったことを示すエラーメッセージを表示する。
そして、セキュリティGW200が機器情報292を取得できずに機器情報取得処理(S110)は終了し、機器証明書494が通信機器400に導入されずに機器証明書導入処理(図7参照)は終了する。
利用者は、機器証明書494を導入したい通信機器400の機器ID291をセキュリティGW200に入力する。
セキュリティGW200の機器ID登録部230は入力された機器ID291を取得し、取得した機器ID291をセキュリティGW記憶部290に記憶する。
S115の後、処理はS116に進む。
機器情報要求は、機器情報292を要求する通信データである。
S116の後、処理はS117に進む。
機器情報管理部340は選択した機器情報データから機器情報292を取得し、取得した機器情報292を含んだ通信データである機器情報応答を生成し、生成した機器情報応答をセキュリティGW200に送信する。
機器情報管理部340は、機器情報要求に含まれるセキュリティGW200に関する情報(例えば、IPアドレス)を、選択した機器情報データに設定してもよい。
S117の後、機器情報取得処理(S110)は終了する。
実施の形態1におけるセキュリティGW200のハードウェア構成の一例について、図9に基づいて説明する。但し、セキュリティGW200のハードウェア構成は図9に示す構成と異なる構成であってもよい。
なお、機器情報サーバ300、通信機器400および認証局サーバ110のそれぞれのハードウェア構成はセキュリティGW200と同様である。
演算装置901、補助記憶装置902、主記憶装置903、通信装置904および入出力装置905はバス909に接続している。
補助記憶装置902は、例えば、ROM(Read Only Memory)、フラッシュメモリまたはハードディスク装置である。
主記憶装置903は、例えば、RAM(Random Access Memory)である。
通信装置904は、有線または無線でインターネット、LAN(ローカルエリアネットワーク)、電話回線網またはその他のネットワークを介して通信を行う。
入出力装置905は、例えば、マウス、キーボード、ディスプレイ装置である。
例えば、オペレーティングシステム(OS)が補助記憶装置902に記憶される。また、「~部」として説明している機能を実現するプログラムが補助記憶装置902に記憶される。そして、OSおよび「~部」として説明している機能を実現するプログラムは主記憶装置903にロードされ、演算装置901によって実行される。「~部」は「~処理」「~工程」と読み替えることができる。
通信機器400にセキュア且つ簡易に機器証明書494を導入することができる。
ICカードなどの外部記憶媒体を用いずに、通信機器400に機器証明書494を導入することができる。つまり、外部記憶媒体を使用するための読み書き装置を備えない通信機器400に機器証明書494を導入することができる。そして、ICカードが盗難されることによって不正な通信機器に機器証明書494が導入されるのを防ぐことができる。
機器証明書494が不正な通信機器に導入されることを防ぎ、機器証明書494が導入されない不正な通信機器との通信を防ぐことができる。
つまり、機器認証システム100は、実施の形態1で説明した構成要素の一部を備えなくても構わない。また、機器認証システム100は、実施の形態1で説明していない構成要素を備えても構わない。
例えば、セキュリティGW200は、認証局サーバ110の機能(証明書発行部111)を備え、認証局サーバ110に機器証明書494を要求せずに機器証明書494を生成しても構わない。この場合、機器認証システム100が認証局サーバ110を備える必要はない。
Claims (9)
- 第一の機器識別子と第一の通信アドレスとを記憶する機器識別子記憶部と、
前記機器識別子記憶部に記憶された前記第一の通信アドレスを宛先の通信アドレスとして含む機器識別子要求を一つ以上の通信機器が接続するネットワークに送信し、前記一つ以上の通信機器のうちの第一の通信機器から前記第一の通信機器を識別する通信機器識別子を受信する機器識別子問い合わせ部と、
前記機器識別子問い合わせ部によって受信された前記通信機器識別子が前記機器識別子記憶部に記憶された前記第一の機器識別子と同じ機器識別子であるか否かを判定する機器識別子判定部と、
前記機器識別子判定部によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器の電子証明書である機器証明書を前記第一の通信機器に送信する機器証明書送信部と
を備えることを特徴とする機器証明書提供装置。 - 前記機器証明書提供装置は、
前記機器識別子判定部によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器から公開鍵を取得する公開鍵取得部と、
前記公開鍵取得部によって取得された前記公開鍵を含む電子証明書を前記機器証明書として取得する機器証明書取得部と
を備えることを特徴とする請求項1に記載の機器証明書提供装置。 - 前記機器証明書取得部は、電子証明書を生成する認証局サーバに前記公開鍵を送信し、前記認証局サーバから前記機器証明書を受信する
ことを特徴とする請求項2に記載の機器証明書提供装置。 - 前記機器識別子記憶部は、第一の機器情報を記憶し、
前記機器証明書取得部は、前記公開鍵と前記第一の機器情報とを前記認証局サーバに送信し、前記認証局サーバから前記公開鍵と前記第一の機器情報とを含んだ電子証明書である前記機器証明書を受信する
ことを特徴とする請求項3に記載の機器証明書提供装置。 - 前記機器証明書提供装置は、
前記第一の機器識別子を取得する機器識別子取得部と、
前記機器識別子取得部によって取得された前記第一の機器識別子を前記第一の通信アドレスと前記第一の機器情報とに対応付けて前記第一の機器識別子を記憶する機器情報サーバに送信し、前記機器情報サーバから前記第一の通信アドレスと前記第一の機器情報とを受信する機器情報取得部とを備え、
前記機器識別子記憶部は、
前記機器識別子取得部によって取得された前記第一の機器識別子と、前記機器情報取得部によって取得された前記第一の通信アドレスと前記第一の機器情報とを記憶する
ことを特徴とする請求項4に記載の機器証明書提供装置。 - 前記機器証明書提供装置は、
前記第一の機器識別子を取得する機器識別子取得部と、
前記機器識別子取得部によって取得された前記第一の機器識別子を前記第一の通信アドレスに対応付けて前記第一の機器識別子を記憶する機器情報サーバに送信し、前記機器情報サーバから前記第一の通信アドレスを受信する機器情報取得部とを備え、
前記機器識別子記憶部は、
前記機器識別子取得部によって取得された前記第一の機器識別子と、前記機器情報取得部によって取得された前記第一の通信アドレスとを記憶する
ことを特徴とする請求項1に記載の機器証明書提供装置。 - 請求項1に記載の機器証明書提供装置と、
前記第一の機器識別子に対応付けて前記第一の通信アドレスを記憶し、前記機器証明書提供装置から前記第一の機器識別子を受信し、前記第一の通信アドレスを前記機器証明書提供装置に送信する機器情報サーバと
を備えることを特徴とする機器証明書提供システム。 - 請求項2に記載の機器証明書提供装置と、
前記機器証明書提供装置から前記公開鍵を受信し、受信した前記公開鍵を含む前記機器証明書を生成し、生成した前記機器証明書を前記機器証明書提供装置に送信する認証局サーバと
を備えることを特徴とする機器証明書提供システム。 - 第一の機器識別子に対応付けて記憶される第一の通信アドレスを宛先の通信アドレスとして含む機器識別子要求を一つ以上の通信機器が接続するネットワークに送信し、前記一つ以上の通信機器のうちの第一の通信機器から前記第一の通信機器を識別する通信機器識別子を受信する機器識別子問い合わせ処理と、
前記機器識別子問い合わせ処理によって受信された前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であるか否かを判定する機器識別子判定処理と、
前記機器識別子判定処理によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器の電子証明書である機器証明書を前記第一の通信機器に送信する機器証明書送信処理と
をコンピュータに実行させるための機器証明書提供プログラム。
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE112014006265.0T DE112014006265T5 (de) | 2014-01-27 | 2014-01-27 | Gerätezertifikatbereitstellungsvorrichtung, Gerätezertifikatbereitstellungssystem, und Gerätezertifikatbereitstellungsprogramm |
CN201480072407.3A CN105900374A (zh) | 2014-01-27 | 2014-01-27 | 设备证书提供装置、设备证书提供系统和设备证书提供程序 |
US15/039,979 US20170041150A1 (en) | 2014-01-27 | 2014-01-27 | Device certificate providing apparatus, device certificate providing system, and non-transitory computer readable recording medium which stores device certificate providing program |
KR1020167023304A KR20160113248A (ko) | 2014-01-27 | 2014-01-27 | 기기 증명서 제공 장치, 기기 증명서 제공 시스템 및 기기 증명서 제공 프로그램을 기록한 컴퓨터 판독 가능한 비 일시적 기록 매체 |
PCT/JP2014/051687 WO2015111221A1 (ja) | 2014-01-27 | 2014-01-27 | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム |
JP2015558711A JP6012888B2 (ja) | 2014-01-27 | 2014-01-27 | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム |
TW103111656A TWI565286B (zh) | 2014-01-27 | 2014-03-28 | Machine certificate providing device, machine certificate providing system and machine certificate providing program product |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2014/051687 WO2015111221A1 (ja) | 2014-01-27 | 2014-01-27 | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015111221A1 true WO2015111221A1 (ja) | 2015-07-30 |
Family
ID=53681047
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2014/051687 WO2015111221A1 (ja) | 2014-01-27 | 2014-01-27 | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム |
Country Status (7)
Country | Link |
---|---|
US (1) | US20170041150A1 (ja) |
JP (1) | JP6012888B2 (ja) |
KR (1) | KR20160113248A (ja) |
CN (1) | CN105900374A (ja) |
DE (1) | DE112014006265T5 (ja) |
TW (1) | TWI565286B (ja) |
WO (1) | WO2015111221A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017175228A (ja) * | 2016-03-18 | 2017-09-28 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
WO2020012677A1 (ja) * | 2018-07-12 | 2020-01-16 | 三菱電機株式会社 | 証明書発行システム、要求装置、証明書発行方法および証明書発行プログラム |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171439B2 (en) * | 2015-09-24 | 2019-01-01 | International Business Machines Corporation | Owner based device authentication and authorization for network access |
CN105959299B (zh) * | 2016-03-23 | 2019-05-07 | 四川长虹电器股份有限公司 | 一种下发安全证书的方法和安全证书服务器 |
US10454690B1 (en) | 2017-08-04 | 2019-10-22 | Amazon Technologies, Inc. | Digital certificates with distributed usage information |
CN109982150B (zh) * | 2017-12-27 | 2020-06-23 | 国家新闻出版广电总局广播科学研究院 | 智能电视终端的信任链建立方法和智能电视终端 |
CN111376257A (zh) * | 2018-12-29 | 2020-07-07 | 深圳市优必选科技有限公司 | 一种舵机id重复的检测方法、装置、存储介质及机器人 |
DE102019130067B4 (de) * | 2019-11-07 | 2022-06-02 | Krohne Messtechnik Gmbh | Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät |
US20210273920A1 (en) * | 2020-02-28 | 2021-09-02 | Vmware, Inc. | Secure certificate or key distribution for synchronous mobile device management (mdm) clients |
CN112785318B (zh) * | 2021-01-16 | 2022-05-17 | 苏州浪潮智能科技有限公司 | 基于区块链的透明供应链认证方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005109913A (ja) * | 2003-09-30 | 2005-04-21 | Hitachi Electronics Service Co Ltd | 無線通信装置およびなりすまし端末検出方法 |
JP2005110213A (ja) * | 2003-09-12 | 2005-04-21 | Ricoh Co Ltd | 証明書設定方法 |
JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
JP2012022520A (ja) * | 2010-07-14 | 2012-02-02 | Kddi Corp | プログラム配信システム、および方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3859667B2 (ja) * | 2004-10-26 | 2006-12-20 | 株式会社日立製作所 | データ通信方法およびシステム |
JP2006246272A (ja) * | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
JP4551381B2 (ja) * | 2006-10-12 | 2010-09-29 | 株式会社日立製作所 | データ通信方法およびシステム |
US20140164645A1 (en) * | 2012-12-06 | 2014-06-12 | Microsoft Corporation | Routing table maintenance |
CN202957842U (zh) * | 2012-12-20 | 2013-05-29 | 中国工商银行股份有限公司 | 一种电子证书装置以及安全认证系统 |
-
2014
- 2014-01-27 JP JP2015558711A patent/JP6012888B2/ja not_active Expired - Fee Related
- 2014-01-27 CN CN201480072407.3A patent/CN105900374A/zh active Pending
- 2014-01-27 DE DE112014006265.0T patent/DE112014006265T5/de not_active Withdrawn
- 2014-01-27 WO PCT/JP2014/051687 patent/WO2015111221A1/ja active Application Filing
- 2014-01-27 US US15/039,979 patent/US20170041150A1/en not_active Abandoned
- 2014-01-27 KR KR1020167023304A patent/KR20160113248A/ko active IP Right Grant
- 2014-03-28 TW TW103111656A patent/TWI565286B/zh not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005110213A (ja) * | 2003-09-12 | 2005-04-21 | Ricoh Co Ltd | 証明書設定方法 |
JP2005109913A (ja) * | 2003-09-30 | 2005-04-21 | Hitachi Electronics Service Co Ltd | 無線通信装置およびなりすまし端末検出方法 |
JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
JP2012022520A (ja) * | 2010-07-14 | 2012-02-02 | Kddi Corp | プログラム配信システム、および方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017175228A (ja) * | 2016-03-18 | 2017-09-28 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
WO2020012677A1 (ja) * | 2018-07-12 | 2020-01-16 | 三菱電機株式会社 | 証明書発行システム、要求装置、証明書発行方法および証明書発行プログラム |
Also Published As
Publication number | Publication date |
---|---|
CN105900374A (zh) | 2016-08-24 |
TWI565286B (zh) | 2017-01-01 |
JP6012888B2 (ja) | 2016-10-25 |
DE112014006265T5 (de) | 2016-10-13 |
JPWO2015111221A1 (ja) | 2017-03-23 |
KR20160113248A (ko) | 2016-09-28 |
US20170041150A1 (en) | 2017-02-09 |
TW201531080A (zh) | 2015-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6012888B2 (ja) | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム | |
CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
US8532620B2 (en) | Trusted mobile device based security | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
WO2010067812A1 (ja) | 自己認証通信機器および機器認証システム | |
KR101686167B1 (ko) | 사물 인터넷 기기의 인증서 배포 장치 및 방법 | |
JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
US8397281B2 (en) | Service assisted secret provisioning | |
JP5380583B1 (ja) | デバイス認証方法及びシステム | |
EP3461100B1 (en) | Authenticating a networked camera using a certificate having device binding information | |
JP5431040B2 (ja) | 認証要求変換装置、認証要求変換方法および認証要求変換プログラム | |
JP2009212731A (ja) | カード発行システム、カード発行サーバ、カード発行方法およびプログラム | |
US20190325146A1 (en) | Data encryption and decryption method and system and network connection apparatus and data encryption and decryption method thereof | |
JP2015194879A (ja) | 認証システム、方法、及び提供装置 | |
JP2014049994A (ja) | ネットワーク接続方法および電子機器 | |
JP6719503B2 (ja) | ログイン制御方法 | |
WO2017029708A1 (ja) | 個人認証システム | |
JP4552785B2 (ja) | 暗号化通信管理サーバ | |
JP6527115B2 (ja) | 機器リスト作成システムおよび機器リスト作成方法 | |
JP2019004289A (ja) | 情報処理装置およびその制御方法、情報処理システム | |
JP6813030B2 (ja) | 通信システム | |
JP6542722B2 (ja) | 機器リスト作成システムおよび機器リスト作成方法 | |
JP2009122921A (ja) | 認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラム | |
JP2008152737A (ja) | サービス提供サーバ、認証サーバ、および認証システム | |
JP5553914B1 (ja) | 認証システム、認証装置、及び認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14879556 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2015558711 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15039979 Country of ref document: US |
|
WWE | Wipo information: entry into national phase |
Ref document number: 112014006265 Country of ref document: DE |
|
ENP | Entry into the national phase |
Ref document number: 20167023304 Country of ref document: KR Kind code of ref document: A |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 14879556 Country of ref document: EP Kind code of ref document: A1 |