JP6451086B2 - 中継装置、サービス実行システム、及びプログラム - Google Patents

中継装置、サービス実行システム、及びプログラム Download PDF

Info

Publication number
JP6451086B2
JP6451086B2 JP2014111794A JP2014111794A JP6451086B2 JP 6451086 B2 JP6451086 B2 JP 6451086B2 JP 2014111794 A JP2014111794 A JP 2014111794A JP 2014111794 A JP2014111794 A JP 2014111794A JP 6451086 B2 JP6451086 B2 JP 6451086B2
Authority
JP
Japan
Prior art keywords
service
certificate
certificate data
server
communication unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014111794A
Other languages
English (en)
Other versions
JP2015226292A (ja
Inventor
倫 渡邉
倫 渡邉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Brother Industries Ltd
Original Assignee
Brother Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Brother Industries Ltd filed Critical Brother Industries Ltd
Priority to JP2014111794A priority Critical patent/JP6451086B2/ja
Priority to US14/722,474 priority patent/US9648010B2/en
Publication of JP2015226292A publication Critical patent/JP2015226292A/ja
Application granted granted Critical
Publication of JP6451086B2 publication Critical patent/JP6451086B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Facsimiles In General (AREA)

Description

本発明は、サーバ証明書データを検証しようとするクライアント装置にCA証明書データを提供する中継装置に関する。
従来より、サービスを提供するサーバ装置と当該サービスを利用するクライアント装置との間において、SSL(Secure Sockets Layerの略)を用いた通信が行われることがある(例えば、特許文献1参照)。SSLは、サーバ装置になりすました他の機器と通信すること、及びクライアント装置とサーバ装置との間で送受信されるデータの傍受や改ざんを防ぐのに有効である。
具体的には、クライアント装置は、サーバ装置のサービスを利用するに先立って、サーバ装置からサーバ証明書データを取得し、認証局が発行するCA(Certification Authorityの略)証明書データで当該サーバ証明書データを検証し、検証されたサーバ証明書データに含まれる公開鍵で暗号化した秘密鍵をサーバ装置へ送信する。そして、クライアント装置とサーバ装置との間で送受信されるデータは、この秘密鍵を用いて暗号化される。
特開2006−239930号公報
クライアント装置の記憶部に記憶されるCA証明書データの数は、当該クライアント装置が利用するサービスの増加に伴って増加する。その結果、クライアント装置の記憶領域がCA証明書データで圧迫されるという課題を生じる可能性がある。この課題は、記憶領域のサイズが小さいクライアント装置において特に顕著に現れる。
本発明は、上記の事情に鑑みてなされたものであり、その目的は、クライアント装置の記憶領域をCA証明書データが圧迫することなく、当該クライアント装置に多数のサービスを利用させることができる中継装置を提供することにある。
本明細書に記載の中継装置は、サービスを提供するサーバ装置、及び前記サービスを利用するクライアント装置と通信する通信部と、前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部と、制御部とを備える。前記制御部は、前記サービスを前記クライアント装置に利用させるためのサービス利用情報を前記通信部を通じて前記サーバ装置から受信したことに応じて、当該サービス利用情報を前記通信部を通じて前記クライアント装置に送信する中継処理と、前記CA証明書データを特定するキー情報を含む送信指示情報を前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部を通じて前記クライアント装置に送信する送信処理とを実行する。
上記構成によれば、サーバ装置からクライアント装置へ中継したサービス利用情報によって利用可能なサービスに対応するCA証明書データを、クライアント装置からの要求に応じて提供することができる。その結果、CA証明書データによってクライアント装置の記憶領域が圧迫されることなく、当該クライアント装置に多数のサービスを利用させることができる。
本明細書に記載のプログラムは、サービスを提供するサーバ装置、及び前記サービスを利用するクライアント装置と通信する通信部と、前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部とを備えるコンピュータによって実行可能である。該プログラムは、前記サービスを前記クライアント装置に利用させるためのサービス利用情報を前記通信部を通じて前記サーバ装置から受信したことに応じて、当該サービス利用情報を前記通信部を通じて前記クライアント装置に送信する中継処理と、前記CA証明書データを特定するキー情報を含む送信指示情報を前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部を通じて前記クライアント装置に送信する送信処理と、を前記コンピュータに実行させる。
本明細書に記載のサービス実行システムは、サービスを提供するサーバ装置と、前記サービスを利用するクライアント装置と、中継装置とを備える。前記中継装置は、前記サーバ装置及び前記クライアント装置と通信する通信部と、前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部と、制御部とを備える。前記制御部は、前記サービスを前記クライアント装置に利用させるためのサービス利用情報を前記通信部を通じて前記サーバ装置から受信したことに応じて、当該サービス利用情報を前記通信部を通じて前記クライアント装置に送信する中継処理と、前記CA証明書データを特定するキー情報を含む送信指示情報を前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部を通じて前記クライアント装置に送信する送信処理とを実行する。
本明細書に記載の中継装置によれば、サーバ装置からクライアント装置へ中継したサービス利用情報によって利用可能なサービスに対応するCA証明書データを、クライアント装置からの要求に応じて提供することができる。その結果、CA証明書データによってクライアント装置の記憶領域が圧迫されることなく、当該クライアント装置に多数のサービスを利用させることができる。
図1は、実施形態に係るサービス実行システム100のブロック図である。 図2は、複合機10のデータ記憶領域32Bのデータ構造の一例であって、(A)はサービス利用情報記憶領域36を、(B)は第1記憶領域37を、(C)は第2記憶領域38を示す。 図3は、中継装置50のデータ記憶領域62Bのデータ構造の一例であって、(A)は第1記憶領域66を、(B)は第2記憶領域67を示す。 図4は、CA証明書登録処理のフローチャートである。 図5は、サービス実行システム100の動作を示すフローチャートである。 図6は、検証処理のフローチャートである。 図7は、CA証明書検索処理のフローチャートである。 図8は、サービス一覧表示画面の一例である。
以下、適宜図面を参照して本発明の実施形態について説明する。なお、以下に説明される実施形態は本発明の一例にすぎず、本発明の要旨を変更しない範囲で、本発明の実施形態を適宜変更できることは言うまでもない。
図1は、本実施形態に係るサービス実行システム100の概略図である。図1に示されるサービス実行システム100は、複合機10と、中継装置50と、サーバ装置70、80、90とで構成されている。複合機10、中継装置50、及びサーバ装置70〜90は、通信ネットワーク102を介して相互に通信可能とされている。通信ネットワーク102の具体例は特に限定されないが、例えば、インターネット、移動体通信網、有線LAN(Local Area Networkの略)、無線LAN、或いはこれらの組み合わせであってもよい。本実施形態では、複合機10はLANに接続されており、中継装置50及びサーバ装置70〜90はインターネットに接続されている。
また、複合機10が接続されたLANは、不図示のルータを通じてインターネットに接続されている。このルータは、ファイアウォールとして機能する。すなわち、当該ルータは、複合機10から中継装置50或いはサーバ装置70〜90へ送信されるリクエスト、及び中継装置50或いはサーバ装置70〜90から複合機10へ送信されるレスポンスを通過させる。一方、当該ルータは、中継装置50或いはサーバ装置70〜90から複合機10へ送信されるリクエストを遮断する。
そこで、複合機10と中継装置50との間でXMPP over BOSH(Extensible Messaging and Presence Protocol Over Bidirectional−Streams Over Synchronous HTTPの略)によるコネクションを確立させることによって、中継装置50からのリクエストをルータを経由して複合機10に受信させることができる。
XMPP over BOSHは、コネクションを確立した状態をほぼ常時維持するプロトコルである。但し、複合機10と中継装置50との間でコネクションを確立させるプロトコルは、XMPP over BOSHに限定されず、例えば、接続確立型のプロトコル、常時接続型のプロトコル、或いは接続維持型のプロトコルと呼ばれるプロトコルであればよい。
[複合機10]
複合機10は、図1に示されるように、プリンタ部11と、スキャナ部12と、表示部23と、操作部24と、通信部25と、CPU(Central Processing Unitの略)31と、記憶部32と、通信バス33とを主に備える。複合機10を構成する各構成要素は、通信バス33を介して相互に接続されている。複合機10は、サーバ装置70〜90が提供するサービスを利用するクライアント装置或いは画像記録装置の一例である。但し、クライアント装置の具体例は複合機10に限定されず、例えば、プリンタ、ラベルプリンタ、スキャナ、FAX装置、ミシン、工作機械等の専用機、スマートフォン、携帯電話、タブレット端末等の携帯端末、PC(Personal Computerの略)等であってもよい。
[プリンタ部11、スキャナ部12]
プリンタ部11は、画像データで示される画像を記録用紙に記録する記録処理を実行する。プリンタ部11の記録方式は特に限定されないが、例えば、インクジェット方式や電子写真方式などの公知の方式を採用することができる。スキャナ部12は、記録用紙に記録されている画像を読み取って画像データを生成するスキャン処理を実行する。複合機10は、FAXの送受信を行うFAX機能、記録用紙に記録された画像を読み取って他の記録用紙に記録するコピー機能等をさらに有してもよい。
[表示部23]
表示部23は、各種情報を表示する表示画面を備える。表示部23の具体的な構成は特に限定されないが、例えば、液晶ディスプレイ(Liquid Crystal Displayの略)、有機ELディスプレイ(Organic Electro−Luminescence Displayの略)等を採用することができる。
[操作部24]
操作部24は、表示部23の表示画面に表示されたオブジェクトを選択するユーザの操作を受け付ける。具体的には、操作部24は、例えば押ボタンを有しており、押下された押ボタンに対応づけられた各種の操作信号をCPU31へ出力する。さらに、操作部24は、表示部23の表示画面に重畳された膜状のタッチセンサを有していてもよい。すなわち、表示部23がタッチパネルディスプレイとして構成されてもよい。タッチセンサには、静電容量方式、抵抗膜方式等の周知の方式を採用することができる。
なお、「オブジェクト」とは、ユーザが操作部24を操作することによって選択可能な画像を指す。一例として、オブジェクトは表示部23に表示された文字列であって、操作部24の方向キーを押下することによってオブジェクトの1つがハイライト表示され、操作部24の決定ボタンを押下することによってハイライト表示されたオブジェクトが選択されてもよい。他の例として、操作部24がタッチパネルである場合のオブジェクトは表示部23に表示されたアイコン、ボタン、リンク等であって、タッチ位置に表示されたオブジェクトが選択されてもよい。
[通信部25]
通信部25は、通信ネットワーク102を通じて外部装置と通信を行うためのインタフェースである。すなわち、複合機10は、通信部25を通じて中継装置50或いはサーバ装置70〜90に各種情報を出力し、通信部25を通じて中継装置50或いはサーバ装置70〜90から各種データ又は各種情報を受信する。
[CPU31]
CPU31は、複合機10の全体動作を制御するものである。CPU31は、操作部24から出力される各種情報、及び通信部25を通じて外部装置から取得した各種情報等に基づいて、後述する各種プログラムを記憶部32から取得して実行する。すなわち、CPU31及び記憶部32は、制御部の一例を構成する。
[記憶部32]
記憶部32は、プログラム記憶領域32Aと、データ記憶領域32Bとを有する。プログラム記憶領域32Aには、OS(Operating Systemの略)34と、制御プログラム35とが格納される。なお、制御プログラム35は、単一のプログラムであってもよいし、複数のプログラムの集合体であってもよい。データ記憶領域32Bには、制御プログラム35の実行に必要なデータ或いは情報が記憶される。
なお、本明細書中の「データ」と「情報」とは、コンピュータによって取り扱い可能なビット或いはビット列である点において共通する。「データ」とは、各ビットが示す意味内容をコンピュータが考慮することなく取り扱えるものを指す。これに対して、「情報」とは、各ビットが示す意味内容によってコンピュータの動作が分岐するものを指す。さらに、「指示」は、送信先の装置に対して次の動作を促すための制御信号であって、情報を含んでいることもあるし、それ自体が情報としての性質を有していることもある。
また、「データ」及び「情報」は、形式(例えば、テキスト形式、バイナリ形式、フラグ形式等)がコンピュータ毎に変更されたとしても、同一の意味内容と認識される限り、同一のデータ及び情報として取り扱われる。例えば、「2つ」であることを示す情報が、あるコンピュータではASCIIコードで”0x32”というテキスト形式の情報として保持され、別のコンピュータでは二進数表記で”10”というバイナリ形式の情報として保持されてもよい。
但し、上記の「データ」及び「情報」の区別は厳密なものではなく、例外的な取り扱いも許容される。例えば、データが一時的に情報として扱われてもよいし、情報が一時的にデータとして扱われてもよい。また、ある装置ではデータとして扱われるものが、他の装置では情報として扱われてもよい。さらには、データの中から情報が取り出されてもよいし、情報の中からデータが取り出されてもよい。
記憶部32は、例えば、RAM(Random Access Memoryの略)、ROM(Read Only Memoryの略)、EEPROM(Electrically Erasable Programmable Read−Only Memoryの略)、HDD(Hard Disk Driveの略)、CPU31が備えるバッファ等、或いはそれらの組み合わせによって構成される。
なお、記憶部32は、コンピュータが読み取り可能なストレージ媒体であってもよい。コンピュータが読み取り可能なストレージ媒体とは、non−transitoryな媒体である。non−transitoryな媒体には、上記の例の他に、CD−ROM、DVD−ROM等の記録媒体も含まれる。また、non−transitoryな媒体は、tangibleな媒体でもある。一方、インターネット上のサーバなどからダウンロードされるプログラムを搬送する電気信号は、コンピュータが読み取り可能な媒体の一種であるコンピュータが読み取り可能な信号媒体であるが、non−transitoryなコンピュータが読み取り可能なストレージ媒体には含まれない。
プログラム記憶領域32Aに記憶されているプログラムは、CPU31によって実行される。しかしながら、本明細書では、CPU31を省略して各プログラムの動作を説明することがある。すなわち、以下の説明において、「プログラムAが処理Aを実行する」という趣旨の記述は、「CPU31がプログラムAに記述された処理Aを実行する」ことを指してもよい。後述する中継装置50についても同様である。
OS34は、複合機10を構成するハードウェアであるプリンタ部11、スキャナ部12、表示部23、操作部24、及び通信部25等を制御するためのAPI(Application Programming Interfaceの略)を提供する基本プログラムである。すなわち、上記の各プログラムは、OS34が提供するAPIを呼び出すことによって、各ハードウェアを制御する。しかしながら、本明細書では、OS34を省略して各プログラムの動作を説明する。すなわち、以下の説明において、「プログラムBがハードウェアCを制御する」という趣旨の記述は、「プログラムBがOS34のAPIを通じてハードウェアCを制御する」ことを指してもよい。後述する中継装置50についても同様である。
データ記憶領域32Bは、図2に示されるように、図2(A)に示されるサービス利用情報記憶領域36と、図2(B)に示される第1記憶領域37と、図2(C)に示される第2記憶領域38とを含む。サービス利用情報記憶領域36及び第1記憶領域37は、例えば、不揮発性のROMによって構成されている。一方、第2記憶領域38は、例えば、揮発性のRAMによって構成されている。但し、各記憶領域36〜38の具体的な構成は、これらに限定されない。また、各記憶領域36〜38に記憶されるデータ及び情報の詳細は、後述する。
[中継装置50]
中継装置50は、図1に示されるように、表示部53と、操作部54と、通信部55と、CPU61と、記憶部62と、通信バス63とを主に備える。中継装置50に含まれる表示部53、操作部54、通信部55、CPU61、記憶部62、及び通信バス63は、複合機10に含まれる表示部23、操作部24、通信部25、CPU31、記憶部32、及び通信バス33と共通するので、再度の説明は省略する。CPU61及び記憶部62は制御部の一例を構成する。記憶部62のプログラム記憶領域62Aには、OS64と、制御プログラム65とが格納されている。記憶部62のデータ記憶領域62Bは、図3(A)に示される第1記憶領域66と、図3(B)に示される第2記憶領域67とを含む。各記憶領域66、67に記憶されるデータ及び情報の詳細は、後述する。
[サーバ装置70、80、90]
サーバ装置70、80、90は、複合機10に利用させるサービスを提供する装置である。サーバ装置70、80は、中継装置50の管理者に予め認められた特定サーバ装置の一例である。以下、サーバ装置70、80が提供するサービスを特定サービスと表記する。サーバ装置70、80の具体例は特に限定されないが、例えば、「Dropbox(登録商標)」、「Google Docs(登録商標)」、「Evernote(登録商標)」等のサービスを提供する装置である。一方、サーバ装置90は、特定サーバ装置と異なる外部サーバ装置の一例である。以下、サーバ装置90が提供するサービスを外部サービスと表記する。
サーバ装置70〜90が提供するサービスの具体例は特に限定されないが、例えば、クラウドプリント処理、スキャンToクラウド処理、デバイス情報収集処理等が挙げられる。クラウドプリント処理は、サーバ装置70〜90に記憶された画像データを複合機10に受信させ、当該画像データに対する記録処理をプリンタ部11に実行させる処理である。スキャンToクラウド処理は、スキャナ部12にスキャン処理を実行させ、当該スキャン処理で生成された画像データをサーバ装置70〜90に送信させる処理である。デバイス情報収集処理は、複合機10のデバイス情報をサーバ装置70〜90に送信させる処理である。デバイス情報は、例えば、プリンタ部11によって画像が記録された記録用紙の枚数、プリンタ部11に装着されたインクカートリッジ内のインク残量等を含む。
また、サーバ装置70〜90が提供するサービスによって送受信されるデータ或いは情報は、SSLによって暗号化される。サーバ装置70〜90は、例えばクラウドプリント処理において、暗号化した画像データを複合機10へ送信する。また、複合機10は、例えばスキャンToクラウド処理において、暗号化した画像データをサーバ装置70〜90へ送信する。さらに、複合機10は、例えばデバイス情報収集処理において、暗号化したデバイス情報をサーバ装置70〜90へ送信する。
図2(A)に示されるサービス利用情報記憶領域36には、サーバ装置70、80が提供する特定サービスを利用するための特定サービス利用情報が記憶されている。サービスID”001”で識別されるサービス利用情報は、例えば、サーバ装置70が提供するサービスを利用するための情報である。サービスID”002”で識別されるサービス利用情報は、例えば、サーバ装置80が提供するサービスを利用するための情報である。特定サービス利用情報は、特定サービスを識別するサービスIDと、インタフェース定義ファイルと、アクセスURL(Uniform Resource Locatorの略)とを含む。後述する外部サービス利用情報についても同様である。特定サービス利用情報及び外部サービス利用情報は、サービス利用情報の一例である。
サービスIDは、サービスを一意に識別するための識別子である。サービスIDは、例えば、中継装置50の管理者によって各サービスに割り当てられる。サービスIDは、サービス識別子の一例である。インタフェース定義ファイルは、サービスの利用を開始するサービス利用指示を複合機10のユーザから受け付けるために、サービス一覧表示画面に含めるサービスアイコンを定義するファイルである。インタフェース定義ファイルは、例えば、HTML(HyperText Markup Languageの略)或いはXML(Extensible Markup Languageの略)で記述される。アクセスURLは、サービスの利用を開始する際に複合機10にアクセスさせるサーバ装置70〜90の所在を示す所在情報の一例である。なお、サービス利用情報記憶領域36には、インタフェース定義ファイルに代えて、当該サービスを表す文字列が記憶されてもよい。この場合、サービス一覧表示画面には、サービスアイコンに代えて当該文字列が含まれてもよい。
図2(B)に示される複合機10の第1記憶領域37には、CA証明書データと、当該CA証明書データを特定するキー情報とが互いに対応づけられて記憶されている。CA証明書データは、サーバ装置70〜90から提供されるサーバ証明書データを検証するために、認証局(「Certification Authority」を指す。)によって発行されたものである。第1記憶領域37に記憶されるCA証明書データは、例えば、複合機10の製造時にプリインストールされたものである。
CA証明書データは、例えば、当該証明書の発行者(ITU−T X.509で規定される「Issuer」を指す。)、コモンネーム(ITU−T X.509で規定される「Common Name」を指す。)、組織名(ITU−T X.509で規定される「Organizational Unit」を指す。)、当該証明書の有効期限(ITU−T X.509で規定される「Validity」を指す。)、及びCA公開鍵データ等を含む。キー情報は、CA証明書データに含まれる情報によって構成される。キー情報は、例えば、コモンネーム或いは組織名を含む。CA証明書データ及びサーバ証明書データは、例えば、ITU−T X.509で規定されたデジタル証明書のフォーマットに対応する。
図2(C)に示される複合機10の第2記憶領域38には、CA証明書データと、キー情報と、サービスIDと、最終アクセス日時とが互いに対応づけられて記憶可能となっている。最終アクセス日時は、対応するCA証明書データをサーバ証明書データの検証に用いた直近の日時を示す日時情報の一例である。第2記憶領域38には、N(Nは自然数)個のCA証明書データ、より詳細には図2(C)に示されるN行のレコードを記憶可能なメモリサイズが割り当てられている。そして、第2記憶領域38には、中継装置50から受信したCA証明書データ及びサービスIDと、当該CA証明書データから抽出されたキー情報とが記憶可能である。但し、RAMによって構成された第2記憶領域38には、複合機10の電源をONした時点において、何も記憶されていない。
図3(A)に示される中継装置50の第1記憶領域66には、CA証明書データと、キー情報とが互いに対応づけられて記憶される。図3(B)に示される中継装置50の第2記憶領域67には、CA証明書データと、キー情報と、サービスIDとが互いに対応づけられて記憶されている。データ記憶領域62Bに記憶されるCA証明書データは、例えば、図4に示されるCA証明書登録処理によって登録される。図4に示されるCA証明書登録処理は、例えば、中継装置50の制御プログラム65によって実現される。CA証明書登録処理は、登録処理の一例である。
[CA証明書登録処理]
まず、制御プログラム65は、中継装置50の管理者から管理者I/Fを通じてCA証明書データを取得したことに応じて(S11:管理者I/F)、取得したCA証明書データと、当該CA証明書データから抽出したキー情報とを対応づけて第1記憶領域66に記憶させる(S12)。管理者I/Fは、例えば、中継装置50の表示部53及び操作部54の組み合わせによって実現される。なお、本明細書中の「に応じて」は、当該文字列の前に記載された条件が満たされた場合に、当該文字列の後に記載された処理が実行されることを示す。なお、処理が実行されるタイミングは、条件が満たされた後であればよく、当該条件が満たされた直後である必要は必ずしもない。
一方、制御プログラム65は、CA証明書データ及びサービスIDを通信部55を通じてサーバ装置90から受信したことに応じて(S11:サーバ装置)、受信したCA証明書データ及びサービスIDと、当該CA証明書データから抽出したキー情報とを対応づけて第2記憶領域67に記憶させる(S13)。なお、第2記憶領域64に記憶されるCA証明書データの取得方法は、上記の例に限定されない。例えば、サーバ装置90の管理者は、中継装置50にCA証明書データをアップロードするための受付画面をサーバ装置90と異なる端末に表示させ、当該受付画面を通じてCA証明書データを中継装置50にアップロードしてもよい。そして、制御プログラム65は、受付画面を通じて受信したCA証明書データを第2記憶領域64に記憶させてもよい。
なお、複合機10の第1記憶領域37及び中継装置50の第1記憶領域66には、例えば、パブリック認証局によって発行されたCA証明書データのみが記憶される。また、中継装置50の第2記憶領域67には、例えば、プライベート認証局によって発行されたCA証明書データのみが記憶されてもよいし、パブリック認証局によって発行されたCA証明書データがさらに記憶されてもよい。さらに、複合機10の第2記憶領域38には、中継装置50の第1記憶領域66或いは第2記憶領域67に記憶されたCA証明書データが記憶され得る。なお、各記憶領域37、38、66、67に記憶されるCA証明書データの種類は、上記の例に限定されない。例えば、プライベート認証局によって発行されたCA証明書データが第1記憶領域37、66にさらに記憶されてもよい。また、第1記憶領域37、66と第2記憶領域38、67とが区別されていなくてもよい。
パブリック認証局とは、認証業務運用規程を公開する等によって世間一般に高い信頼性が認められている認証局であって、例えば、GMOグローバルサイン株式会社や日本ベリサイン株式会社等によって設立されたものである。一方、プライベート認証局とは、例えば、サーバ装置90の管理者等が独自の運用基準を設けて設立したものである。但し、パブリック認証局とプライベート認証局との区別は一義的なものではなく、複合機10の製造者或いは中継装置50の管理者によって適宜判断されてもよい。
[サービス実行システム100の動作]
図5〜図8を参照して、サービス実行システム100の動作を説明する。本実施形態に係るサービス実行システム100において、サーバ装置70〜90が提供するサービスを利用しようとする複合機10は、当該サーバ装置70〜90から受信したサーバ証明書データを、データ記憶領域32Bに記憶されたCA証明書データ或いは中継装置50から受信したCA証明書データを用いて検証(SSLにおける「validate」を指す。)する。
まず、複合機10の制御プログラム35は、XMPP over BOSHに準拠した手順で中継装置50との間にコネクション(以下、「XMPPコネクション」と表記する。)を確立する(S21)。XMPPコネクションは、中継装置50から複合機10へリクエストを送信する(所謂、「サーバプッシュ」を指す。)ためのコネクションである。なお、XMPPコネクションは、予め定められた接続維持期間が経過したことによって切断される。そこで、制御プログラム35は、接続維持期間より短い再接続期間が経過したことに応じて、中継装置50との間にXMPPコネクションを確立する。XMPPコネクションは、例えば図5〜図7の処理が実行されている間、複合機10によって維持される。
次に、中継装置50の制御プログラム65は、通信部55を通じてサーバ装置90から外部サービス利用情報を受信したことに応じて(S22)、当該外部サービス利用情報を通信部55を通じて複合機10に送信する(S23)。中継装置50と複合機10とは、ステップS23において、XMPPコネクションを通じて外部サービス利用情報を送受信する。ステップS22、S23の処理は、中継処理の一例である。
外部サービス利用情報は、複数のアクセスURLと、各アクセスURLに対応する複数のサービスIDとを含んでいてもよい。また、外部サービス利用情報は、インタフェース定義ファイルに代えて、サービス利用指示を含んでもよい。サービス利用指示は、当該外部サービス利用情報によって利用可能な外部サービスの利用を複合機10に開始させるための指示である。そして、この場合の外部サービス利用情報は、サービス利用指示によって利用されるサービスに対応するアクセスURL及びサービスIDを1つずつ含んでいればよい。
次に、複合機10の制御プログラム35は、通信部25を通じて中継装置50から外部サービス利用情報を受信する(S23)。ステップS23において外部サービス利用情報を受信する処理は、第1受信処理の一例である。制御プログラム35は、通信部25を通じて中継装置50から受信した外部サービス利用情報にインタフェース定義ファイルが含まれている、換言すれば、当該外部サービス利用情報にサービス利用指示が含まれていないことに応じて(S24:No)、サービス一覧表示画面を表示部23に表示させる(S25)。図8は、サービス一覧表示画面の一例である。図8に示されるサービス一覧表示画面は、サービス利用情報記憶領域36に記憶されたインタフェース定義ファイル、及び外部サービス利用情報に含まれるインタフェース定義ファイルそれぞれで定義されるサービスアイコンを含む。また、各サービスアイコンには、対応するサービスを特定する情報の一例であるサービスの名称が記述されている。
次に、制御プログラム35は、サービス一覧表示画面に含まれる複数のサービスアイコンの1つをタップするユーザ操作を操作部24が受け付けたことに応じて(S26:Yes)、対応するサーバ装置70〜90に通信部25を通じて接続要求する(S27)。具体的には、制御プログラム35は、ステップS26においてタップされたサービスアイコンに対応するアクセスURLに、HTTPS(Hypertext Transfer Protocol Secureの略)接続要求する。本実施形態において、サービスAはサーバ装置70が提供するサービスの名称であり、サービスBはサーバ装置80が提供するサービスの名称であり、サービスC及びサービスDはサーバ装置90が提供するサービスの名称である。ステップS26においてサービスアイコンをタップする操作は、対応するサービスの利用を開始するサービス利用指示の入力の一例である。
一方、制御プログラム35は、通信部25を通じて中継装置50から受信した外部サービス利用情報にサービス利用指示が含まれている、換言すれば、当該外部サービス利用情報にインタフェース定義ファイルが含まれていないことに応じて(S24:Yes)、ステップS25、S26の処理をスキップする。そして、制御プログラム35は、通信部25を通じてサーバ装置90にHTTPS接続要求する(S27)。
次に、サーバ装置70、80は、複合機10からの接続要求に応じて(S27)、HTTPS通信におけるSSLネゴシエーション処理の一環として、サーバ装置70、80のサーバ証明書データ(以下、「特定サーバ証明書データ」と表記する。)を複合機10に送信する(S28)。同様に、サーバ装置90は、複合機10からの接続要求に応じて(S27)、HTTPS通信におけるSSLネゴシエーション処理の一環として、サーバ装置90のサーバ証明書データ(以下、「外部サーバ証明書データ」と表記する。)を複合機10に送信する(S28)。
サーバ証明書データは、サーバ装置70〜90が信頼できることを証明するために、認証局によって発行され、サーバ装置70〜90に設定されるものである。本実施形態において、特定サーバ証明書データは、パブリック認証局によって発行される。一方、外部サーバ証明書データは、パブリック認証局によって発行されてもよいし、プライベート認証局によって発行されてもよい。
サーバ証明書データは、例えば、サーバ公開鍵データ、当該サーバ証明書データを検証するCA証明書データを特定するキー情報、及び署名データを含む。署名データは、例えば、キー情報で特定されるCA証明書データに含まれるCA公開鍵データに対応するCA秘密鍵データでサーバ公開鍵データを暗号化したものである。なお、サーバ証明書データに含まれるキー情報は、第1記憶領域37、66及び第2記憶領域38、67に記憶されたCA証明書データを一意に特定することができればよく、第1記憶領域37、66及び第2記憶領域38、67に記憶されたキー情報と厳密に一致していなくてもよい。
次に、複合機10の制御プログラム35は、通信部25を通じてサーバ装置70〜90からサーバ証明書データを受信したことに応じて(S28)、当該サーバ証明証データを検証するための一連の処理(以下、「検証処理」と表記する。)を実行する(S29〜S33)。ステップS28において外部サーバ証明書データを受信する処理は、第2受信処理の一例である。また、ステップS28において特定サーバ証明書データを受信する処理は、第3受信処理の一例である。
制御プログラム35は、ステップS28において特定サーバ証明書データを受信したことに応じて(S41:Yes)、第1記憶領域37に記憶されたCA証明書データを用いて、当該特定サーバ証明書データを検証(S42)し、検証処理を終了する。ステップS42における制御プログラム35は、特定サーバ証明書データに含まれるキー情報に対応づけられたCA証明書データを第1記憶領域37から取得する。次に、制御プログラム35は、取得したCA証明書データに含まれるCA公開鍵データを用いて、特定サーバ証明書データに含まれる署名データを復号する。そして、制御プログラム35は、特定サーバ証明書データに含まれるサーバ公開鍵データと、署名データを復号して得られる復号公開鍵データとを比較する。ステップS42の処理は、第3検証処理の一例である。
また、制御プログラム35は、ステップS28において外部サーバ証明書データを受信したことに応じて(S41:No)、当該外部サーバ証明書データを検証するためのCA証明書データが第2記憶領域38に記憶されているか否かを判断する(S43)。具体的には、ステップS43における制御プログラム35は、当該外部サーバ証明書データに含まれるキー情報及び外部サービス利用情報に含まれるサービスIDに対応づけられたCA証明書データが第2記憶領域38に記憶されているか否かを判断する。ステップS43の処理は、判断処理の一例である。
そして、制御プログラム35は、外部サーバ証明書データを検証するためのCA証明書データが第2記憶領域38に記憶されていることに応じて(S43:Yes)、当該CA証明書データを用いて外部サーバ証明書データを検証する(S44)。外部サーバ証明書データの具体的な検証方法はステップS42と共通であってもよい。ステップS44の処理は、第1検証処理の一例である。また、制御プログラム35は、ステップS44において検証に用いたCA証明書データに対応づけて第2記憶領域38に記憶された最終アクセス日時を現在日時に更新して検証処理を終了する(S45)。
また、制御プログラム35は、外部サーバ証明書データを検証するためのCA証明書データが第2記憶領域38に記憶されていないことに応じて(S43:No)、通信部25を通じて中継装置50に送信指示情報を送信する(S46)。送信指示情報は、外部サーバ証明書データを検証するためのCA証明書データを中継装置50に送信させるための情報である。送信指示情報は、例えば、外部サーバ証明書データに含まれるキー情報と、外部サービス利用情報に含まれるサービスIDとを含む。
中継装置50の制御プログラム65は、通信部55を通じて複合機10から送信指示情報を受信したことに応じて(S30)、CA証明書検索処理を実行する(S31)。CA証明書検索処理は、第1記憶領域66及び第2記憶領域67に記憶されたCA証明書データのうちから、送信指示情報で特定されるCA証明書データを検索する処理である。図7を参照して、CA証明書検索処理を詳細に説明する。
まず、制御プログラム65は、送信指示情報に含まれるキー情報に対応づけられたCA証明書データが第1記憶領域66に記憶されているか否かを判断する(S61)。また、制御プログラム65は、当該CA証明書データが第1記憶領域66に記憶されていないことに応じて(S61:No)、送信指示情報に含まれるキー情報及びサービスIDに対応づけられたCA証明書データが第2記憶領域67に記憶されているか否かを判断する(S63)。
そして、制御プログラム65は、当該CA証明書データが第1記憶領域66に記憶されていることに応じて(S61:Yes)、当該CA証明書データを第1記憶領域66から取得する(S62)。また、制御プログラム65は、当該CA証明書データが第1記憶領域66に記憶されておらず且つ当該CA証明書データが第2記憶領域67に記憶されていることに応じて(S63:Yes)、当該CA証明書データを第2記憶領域67から取得する(S64)。さらに、制御プログラム65は、当該CA証明書データが第1記憶領域66に記憶されておらず且つ当該CA証明書データが第2記憶領域67に記憶されていないことに応じて(S63:No)、エラー情報を生成する(S65)。エラー情報は、送信指示情報で特定されるCA証明書データが中継装置50に登録されていないことを示す情報である。
そして、制御プログラム65は、ステップS62において第1記憶領域66から取得したCA証明書データ、ステップS64において第2記憶領域67から取得したCA証明書データ、或いはステップS65において生成したエラー情報を、通信部55を通じて複合機10に送信する(S32)。ステップS22の処理は、送信処理の一例である。
図6に戻って、複合機10の制御プログラム35は、通信部25を通じて中継装置からCA証明書データを受信したことに応じて(S47:Yes)、当該CA証明書データで外部サーバ証明書データを検証する(S48)。外部サーバ証明書データの具体的な検証方法はステップS42、S44と共通であってもよい。ステップS46〜S48の処理は、第2検証処理の一例である。
次に、制御プログラム35は、第2記憶領域38に記憶されているCA証明書データの数を確認する(S49)。そして、制御プログラム35は、第2記憶領域38に記憶されているCA証明書データがN個であることに応じて(S49:Yes)、最も古い最終アクセス日時に対応づけられて第2記憶領域38に記憶されたキー情報、サービスID、及びCA証明書データを、送信指示情報に含めたキー情報及びサービスIDと、ステップS47において受信したCA証明書データとで上書きし、さらに最終アクセス日時を現在日時に更新して検証処理を終了する(S50)。
なお、ステップS50における「上書き」とは、最も古いCA証明書データが記憶されていた第2記憶領域38のメモリ領域そのものに、新たに受信したCA証明書データを書き込むことに限定されない。例えば、第2記憶領域38は、ステップS43において検索の対象となるか否かを示すフラグを、各CA証明書データに対応づけて記憶していてもよい。本実施形態では、検索対象となるCA証明書データに対応づけられたフラグには”ON”が設定され、検索対象から外れるCA証明書データに対応づけられたフラグには”OFF”が設定される。そして、制御プログラム35は、ステップS50において、最も古いCA証明書データに対応するフラグに”OFF”を設定し、第2記憶領域38に新たに記憶させるCA証明書データに対応するフラグに”OFF”を設定してもよい。
一方、制御プログラム35は、第2記憶領域38に記憶されているCA証明書データがN個未満であることに応じて(S49:No)、送信指示情報に含めたキー情報及びサービスIDと、ステップS47において受信したCA証明書データと、現在日時とを対応づけて第2記憶領域38に追加して検証処理を終了する(S51)。ステップS51における「追加」とは、第2記憶領域38に既に記憶されているCA証明書データと異なるメモリ領域に、新たに受信したCA証明書データを記憶させることを指す。ステップS49〜S51の処理は、記憶制御処理の一例である。
一方、制御プログラム35は、通信部25を通じて中継装置からエラー情報を受信したことに応じて(S47:No)、検索処理を終了する。なお、ステップS46における送信指示情報の送信、ステップS47におけるCA証明書データ或いはエラー情報の受信は、XMPPコネクションを通じて行ってもよいし、中継装置50との間に新たに確立されたXMPPコネクションとは異なるコネクションを通じて行ってもよい。
制御プログラム35は、ステップS33において、サーバ証明書データに含まれるサーバ公開鍵データと、署名データを復号して得られる復号公開鍵データとが一致したことに応じて、検証が成功したと判断する。一方、制御プログラム35は、ステップS33において、サーバ証明書データに含まれるサーバ公開鍵データと、署名データを復号して得られる復号公開鍵データとが一致しないことに応じて、検証が失敗したと判断する。そして、制御プログラム35は、サーバ証明書データの検証が成功したことに応じて(S34:Yes)、ステップS24、S26で取得したサービス利用指示で示されるサービスの利用を開始する(S35)。一方、制御プログラム35は、サーバ証明書データの検証が失敗したことに応じて(S34:No)、ステップS35をスキップする。
ステップS35における制御プログラム35は、例えば、利用するサービスに用いる秘密鍵データをサーバ公開鍵データで暗号化し、暗号化した秘密鍵データを通信部25を通じて当該サービスを提供するサーバ装置70〜90に送信する。暗号化された秘密鍵データを複合機10から受信したサーバ装置70〜90は、当該暗号化された秘密鍵データを、サーバ公開鍵データに対応するサーバ秘密鍵データで復号する。そして、複合機10及びサーバ装置70〜90は、送信するデータ或いは情報を秘密鍵データで暗号化し、受信したデータ或いは情報を秘密鍵データで復号する。
[本実施形態の作用効果]
上記の実施形態によれば、サーバ装置70〜90から複合機10へ中継したサービス利用情報によって利用可能なサービスに対応するCA証明書データを、複合機10からの要求に応じて提供することができる。その結果、CA証明書データによって複合機10のデータ記憶領域32Bのメモリ領域が圧迫されることなく、複合機10に多数のサービスを利用させることができる。
また、上記の実施形態によれば、データ記憶領域62Bを第1記憶領域66及び第2記憶領域67に分割することによって、プリインストールされた相対的に信頼性の高いCA証明書データと、通信部55を通じてサーバ装置70〜90から受信した相対的に信頼性の低いCA証明書データとを区別して記憶することができる。その結果、通信部55を通じてサーバ装置70〜90から受信したCA証明書データで、プリインストールされたCA証明書データが上書きされることを防止できる。
また、上記の実施形態によれば、送信指示情報に含まれるサービスIDと第2記憶領域67に記憶されたサービスIDとが一致することに応じて、当該サービスIDに対応づけられたCA証明書データを複合機10に送信する。さらに、送信指示情報に含まれるキー情報に対応づけられたCA証明書データが第1記憶領域66に記憶されている場合に、相対的に信頼性の高い当該CA証明書データが優先的に複合機10に送信される。これにより、サーバ装置70〜90になりすました他の機器と複合機10とが通信することを抑制できる。
なお、第1記憶領域37、66及び第2記憶領域38、67のデータ構造は、図2及び図3の例に限定されず、例えばキー情報が省略されていてもよい。そして、制御プログラム35、65は、ステップS42、S43、S61、S63において、各記憶領域37、38、66、67に記憶されたCA証明書データを解析することによって、キー情報に対応するCA証明書データを特定してもよい。また、制御プログラム35は、ステップS43において、キー情報に対応するCA証明書データが第1記憶領域37に記憶されているか否かをさらに判断してもよい。
また、各実施形態の複合機10及び中継装置50において、記憶部32、62のプログラム記憶領域32A、62Aに記憶された各種プログラムがCPU31、61によって実行されることによって、本発明の制御部が実行する各処理が実現される例を説明した。しかしながら、制御部の構成はこれに限定されず、その一部又は全部を集積回路(IC(Integrated Circuitの略)とも言う。)等のハードウェアで実現してもよい。
さらに、本発明は、複合機10或いは中継装置50として実現できるだけでなく、複合機10或いは中継装置50に処理を実行させるプログラムとして実現してもよい。そして、当該プログラムは、non−transitoryな記録媒体に記録されて提供されてもよい。non−transitoryな記録媒体は、CD−ROM、DVD−ROM等の他、通信ネットワーク102を介して複合機10或いは中継装置50に接続可能なサーバ装置に搭載された記憶部を含んでもよい。そして、サーバ装置の記憶部に記憶されたプログラムは、当該プログラムを示す情報或いは信号として、インターネット等の通信ネットワーク102を介して配信されてもよい。
10・・・複合機
25,55・・・通信部
31,61・・・CPU
32,62・・・記憶部
35,65・・・制御プログラム
50・・・中継装置
70,80,90・・・サーバ装置
100・・・サービス実行システム

Claims (12)

  1. サービスを提供するサーバ装置が接続されたインターネットに接続可能な通信部と、
    前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部と、
    制御部と、を備えており、
    前記制御部は、
    前記インターネットとファイアウォールを通じて接続されたローカルな通信ネットワークに接続されたクライアント装置との間に、前記ファイアウォールを超えた通信を可能にするコネクションを確立する通信確立処理と、
    ービス利用情報を当該インターネットを通じて送信するサーバ装置から、当該インターネット及び前記通信部を通じて当該サービス利用情報を受信したことに応じて、受信した当該サービス利用情報を、前記通信確立処理で確立した前記コネクションを用いて、前記通信部及び前記ファイアウォールを通じて前記クライアント装置に送信する中継処理と、を実行し、前記サービス利用情報は、前記サーバ装置が提供するサービスを利用するためのアクセスを前記クライアント装置が当該サーバ装置に行うために必要な情報であり、
    前記サービス利用情報を受信した前記クライアント装置が、受信した当該サービス利用情報を用いて前記サーバ装置と通信を行って前記サーバ装置から受信したサーバ証明書に含まれるキー情報であって、前記CA証明書データを特定するキー情報を含む送信指示情報を前記ファイアウォール及び前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部及び前記ファイアウォールを通じて前記クライアント装置に送信する送信処理と、を実行する中継装置。
  2. サービスを提供するサーバ装置、及び前記サービスを利用するクライアント装置と通信する通信部と、
    前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部と、
    制御部と、を備えており、
    前記制御部は、
    前記サービスを前記クライアント装置に利用させるためのサービス利用情報を前記通信部を通じて前記サーバ装置から受信したことに応じて、当該サービス利用情報を前記通信部を通じて前記クライアント装置に送信する中継処理と、
    前記CA証明書データを特定するキー情報を含む送信指示情報を前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部を通じて前記クライアント装置に送信する送信処理と、
    前記サーバ証明書データの検証に用いられる前記CA証明書データを発行するプライベート認証局が発行した前記CA証明書データである自己CA証明書データ及び前記サービスを識別するサービス識別子を前記通信部を通じて前記サーバ装置から受信したことに応じて、受信した前記自己CA証明書データ、当該自己CA証明書データから抽出された前記キー情報、及び受信した前記サービス識別子を、互いに対応づけて前記記憶部に記憶させる登録処理と、を実行する中継装置。
  3. 前記記憶部は、
    前記プライベート認証局が発行した前記自己証明データ及び前記キー情報に加え、当該プライベート認証局とは異なる認証局であるパブリック認証局が発行した前記CA証明書データである認証局CA証明書データ、及び当該認証局CA証明書データから抽出された前記キー情報互いに対応づけ予め記憶する請求項に記載の中継装置。
  4. 前記制御部は、
    前記中継処理において、前記サービス識別子を含む前記サービス利用情報を前記通信部を通じて前記サーバ装置から受信したことに応じて、当該サービス利用情報を前記通信部を通じて前記クライアント装置に送信し、
    前記キー情報及び前記サービス識別子を含む前記送信指示情報を前記通信部を通じて前記クライアント装置から受信したことに応じて実行される前記送信処理において、当該キー情報に対応づけて前記記憶部に記憶された前記認証局CA証明書データ、或いは当該キー情報及び当該サービス識別子に対応づけて前記記憶部に記憶された前記自己CA証明書データを、前記通信部を通じて前記クライアント装置に送信する請求項に記載の中継装置。
  5. 前記制御部は、前記送信処理において、
    前記キー情報に対応づけられた前記CA証明書データが前記記憶部に記憶されていることに応じて、当該CA証明書データを前記通信部を通じて前記クライアント装置に送信し、
    前記キー情報に対応づけられた前記CA証明書データが前記記憶部に記憶されておらず、且つ前記キー情報及び前記サービス識別子に対応づけられた前記CA証明書データが前記記憶部に記憶されていることに応じて、当該CA証明書データを前記通信部を通じて前記クライアント装置に送信する請求項に記載の中継装置。
  6. 前記制御部は、前記送信処理において、前記キー情報に対応づけられた前記CA証明書データが前記記憶部に記憶されておらず、且つ前記キー情報及び前記サービス識別子に対応づけられた前記CA証明書データが前記記憶部に記憶されていないことに応じて、前記CA証明書データが登録されていないことを示すエラー情報を前記通信部を通じて前記クライアント装置に送信する請求項に記載の中継装置。
  7. 前記記憶部は、
    前記パブリック認証局によって発行された前記認証局CA証明書データが記憶される第1記憶領域と、
    前記プライベート認証局によって発行された前記自己CA証明書データが前記登録処理によって登録される第2記憶領域と、を含む請求項からのいずれかに記載の中継装置。
  8. 前記キー情報は、前記CA証明書データのコモンネーム或いは組織名を含む請求項1からのいずれかに記載の中継装置。
  9. サービスを提供するサーバ装置が接続されたインターネットに接続可能な通信部と、前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部と、を備えるコンピュータによって実行可能なプログラムであって、
    前記インターネットとファイアウォールを通じて接続されたローカルな通信ネットワークに接続されたクライアント装置との間に、前記ファイアウォールを超えた通信を可能にするコネクションを確立する通信確立処理と、
    ービス利用情報を当該インターネットを通じて送信するサーバ装置から、当該インターネット及び前記通信部を通じて当該サービス利用情報を受信したことに応じて、受信した当該サービス利用情報を、前記通信確立処理で確立した前記コネクションを用いて、前記通信部及び前記ファイアウォールを通じて前記クライアント装置に送信する中継処理と、を前記コンピュータに実行させ、前記サービス利用情報は、前記サーバ装置が提供するサービスを利用するためのアクセスを前記クライアント装置が当該サーバ装置に行うために必要な情報であり、
    前記サービス利用情報を受信した前記クライアント装置が、受信した当該サービス利用情報を用いて前記サーバ装置と通信を行って前記サーバ装置から受信したサーバ証明書に含まれるキー情報であって、前記CA証明書データを特定するキー情報を含む送信指示情報を前記ファイアウォール及び前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部及び前記ファイアウォールを通じて前記クライアント装置に送信する送信処理をコンピュータに実行させるプログラム。
  10. サービスを提供するサーバ装置、及び前記サービスを利用するクライアント装置と通信する通信部と、前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部とを備えるコンピュータによって実行可能なプログラムであって、
    前記サービスを前記クライアント装置に利用させるためのサービス利用情報を前記通信部を通じて前記サーバ装置から受信したことに応じて、当該サービス利用情報を前記通信部を通じて前記クライアント装置に送信する中継処理と、
    前記CA証明書データを特定するキー情報を含む送信指示情報を前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部を通じて前記クライアント装置に送信する送信処理と、
    前記サーバ証明書データの検証に用いられる前記CA証明書データを発行するプライベート認証局が発行した前記CA証明書データである自己CA証明書データ及び前記サービスを識別するサービス識別子を前記通信部を通じて前記サーバ装置から受信したことに応じて、受信した前記自己CA証明書データ、当該自己CA証明書データから抽出された前記キー情報、及び受信した前記サービス識別子を、互いに対応づけて前記記憶部に記憶させる登録処理と、を前記コンピュータに実行させるプログラム。
  11. サービスを提供するサーバ装置と、前記サービスを利用するクライアント装置と、中継装置とを備えるサービス実行システムであって、
    前記中継装置は、
    前記サーバ装置が接続されたインターネットに接続可能な通信部と、
    前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部と、
    制御部と、を備えており、
    前記制御部は、
    前記インターネットとファイアウォールを通じて接続されたローカルな通信ネットワークに接続されたクライアント装置との間に、前記ファイアウォールを超えた通信を可能にするコネクションを確立する通信確立処理と、
    ービス利用情報を当該インターネットを通じて送信するサーバ装置から、当該インターネット及び前記通信部を通じて当該サービス利用情報を受信したことに応じて、受信した当該サービス利用情報を、前記通信確立処理で確立した前記コネクションを用いて、前記通信部及び前記ファイアウォールを通じて前記クライアント装置に送信する中継処理と、を実行し、前記サービス利用情報は、前記サーバ装置が提供するサービスを利用するためのアクセスを前記クライアント装置が当該サーバ装置に行うために必要な情報であり、
    前記サービス利用情報を受信した前記クライアント装置が、受信した当該サービス利用情報を用いて前記サーバ装置と通信を行って前記サーバ装置から受信したサーバ証明書に含まれるキー情報であって、前記CA証明書データを特定するキー情報を含む送信指示情報を前記ファイアウォール及び前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部及び前記ファイアウォールを通じて前記クライアント装置に送信する送信処理と、を実行するサービス実行システム。
  12. サービスを提供するサーバ装置と、前記サービスを利用するクライアント装置と、中継装置とを備えるサービス実行システムであって、
    前記中継装置は、
    前記サーバ装置及び前記クライアント装置と通信する通信部と、
    前記サービスの提供主体であることを証明するために前記サーバ装置から提供されるサーバ証明書データを検証するためのCA証明書データを記憶する記憶部と、
    制御部と、を備えており、
    前記制御部は、
    前記サービスを前記クライアント装置に利用させるためのサービス利用情報を前記通信部を通じて前記サーバ装置から受信したことに応じて、当該サービス利用情報を前記通信部を通じて前記クライアント装置に送信する中継処理と、
    前記CA証明書データを特定するキー情報を含む送信指示情報を前記通信部を通じて前記クライアント装置から受信したことに応じて、前記記憶部に記憶されており且つ前記キー情報で特定される前記CA証明書データを前記通信部を通じて前記クライアント装置に送信する送信処理と、
    前記サーバ証明書データの検証に用いられる前記CA証明書データを発行するプライベート認証局が発行した前記CA証明書データである自己CA証明書データ及び前記サービスを識別するサービス識別子を前記通信部を通じて前記サーバ装置から受信したことに応じて、受信した前記自己CA証明書データ、当該自己CA証明書データから抽出された前記キー情報、及び受信した前記サービス識別子を、互いに対応づけて前記記憶部に記憶させる登録処理と、を実行するサービス実行システム。
JP2014111794A 2014-05-29 2014-05-29 中継装置、サービス実行システム、及びプログラム Active JP6451086B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014111794A JP6451086B2 (ja) 2014-05-29 2014-05-29 中継装置、サービス実行システム、及びプログラム
US14/722,474 US9648010B2 (en) 2014-05-29 2015-05-27 Relay device, non-transitory storage medium storing instructions executable by the relay device, and service performing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014111794A JP6451086B2 (ja) 2014-05-29 2014-05-29 中継装置、サービス実行システム、及びプログラム

Publications (2)

Publication Number Publication Date
JP2015226292A JP2015226292A (ja) 2015-12-14
JP6451086B2 true JP6451086B2 (ja) 2019-01-16

Family

ID=54703038

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014111794A Active JP6451086B2 (ja) 2014-05-29 2014-05-29 中継装置、サービス実行システム、及びプログラム

Country Status (2)

Country Link
US (1) US9648010B2 (ja)
JP (1) JP6451086B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220021522A1 (en) * 2020-07-20 2022-01-20 Fujitsu Limited Storage medium, relay device, and communication method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110830498A (zh) * 2019-11-19 2020-02-21 武汉思普崚技术有限公司 一种基于挖掘的持续攻击检测方法及***

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003050880A (ja) * 2001-08-07 2003-02-21 Konica Corp 保守管理サービス支援ホスト装置
US8726015B2 (en) * 2001-10-29 2014-05-13 Omtool, Ltd. Methods and apparatus for secure content routing
JP3808784B2 (ja) * 2002-02-13 2006-08-16 日本電信電話株式会社 証明書格納制御装置、証明書格納制御方法、コンピュータプログラムおよびコンピュータプログラムを記録した記録媒体
JP3791464B2 (ja) * 2002-06-07 2006-06-28 ソニー株式会社 アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム
JP4676703B2 (ja) * 2003-03-20 2011-04-27 株式会社リコー ユーザ認証装置、ユーザ認証方法、ユーザ認証プログラム及び記録媒体
TW200423677A (en) * 2003-04-01 2004-11-01 Matsushita Electric Ind Co Ltd Communication apparatus and authentication apparatus
JP4657642B2 (ja) * 2003-07-25 2011-03-23 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
JP4520840B2 (ja) * 2004-12-02 2010-08-11 株式会社日立製作所 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体
JP2006239930A (ja) 2005-03-01 2006-09-14 Canon Inc 証明書管理機能を備えた印刷装置
JP2007011754A (ja) * 2005-06-30 2007-01-18 Toshiba Corp 通信装置及び通信方法
JP4501885B2 (ja) * 2006-03-30 2010-07-14 村田機械株式会社 失効リスト取得機能付きサーバー装置。
JP4449931B2 (ja) * 2006-03-30 2010-04-14 ブラザー工業株式会社 管理装置、および管理システム
JP4449934B2 (ja) * 2006-03-31 2010-04-14 ブラザー工業株式会社 通信装置及びプログラム
JP4290179B2 (ja) * 2006-06-15 2009-07-01 キヤノン株式会社 署名検証装置、及び、その制御方法、プログラム、記憶媒体
JP5464794B2 (ja) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 ネットワーク管理方法およびネットワーク管理システム
JP4345796B2 (ja) * 2006-09-29 2009-10-14 ブラザー工業株式会社 通信方法、通信システムならびに通信システムを構成するサーバ、クライアントおよびコンピュータプログラム
JP4208912B2 (ja) * 2006-10-06 2009-01-14 キヤノン株式会社 文書検証装置およびその方法
JP2008146351A (ja) * 2006-12-11 2008-06-26 Hitachi Ltd ゲートウェイシステム
CN101783848B (zh) * 2009-01-20 2013-03-27 京瓷办公信息***株式会社 图像形成***
JP5316515B2 (ja) * 2010-11-04 2013-10-16 ブラザー工業株式会社 通信システムおよび中継装置
JP2012137975A (ja) * 2010-12-27 2012-07-19 Canon Marketing Japan Inc 中継処理装置、及びその制御方法、プログラム
JP5820188B2 (ja) * 2011-08-19 2015-11-24 キヤノン株式会社 サーバおよびその制御方法、並びにプログラム
JP5895415B2 (ja) * 2011-09-19 2016-03-30 株式会社リコー 通信システム、通信装置、プログラム及び割当装置
JP5853655B2 (ja) * 2011-12-05 2016-02-09 ブラザー工業株式会社 多機能機及び画面提供サーバ
JP2013250760A (ja) * 2012-05-31 2013-12-12 Brother Ind Ltd 中継サーバ
US9374401B2 (en) * 2013-05-20 2016-06-21 International Business Machines Corporation Communication traffic management
US9154307B2 (en) * 2013-09-23 2015-10-06 Ricoh Company, Ltd. System, apparatus, application and method for bridging certificate deployment
JP6354336B2 (ja) * 2014-05-29 2018-07-11 ブラザー工業株式会社 クライアント装置、サービス実行システム、及びプログラム
JP6364999B2 (ja) * 2014-06-24 2018-08-01 ブラザー工業株式会社 通信システム、サーバ装置、及びクライアント装置
JP2016071693A (ja) * 2014-09-30 2016-05-09 ブラザー工業株式会社 プログラム、情報処理装置および情報処理装置の制御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220021522A1 (en) * 2020-07-20 2022-01-20 Fujitsu Limited Storage medium, relay device, and communication method

Also Published As

Publication number Publication date
US20150349964A1 (en) 2015-12-03
US9648010B2 (en) 2017-05-09
JP2015226292A (ja) 2015-12-14

Similar Documents

Publication Publication Date Title
JP6354336B2 (ja) クライアント装置、サービス実行システム、及びプログラム
JP4994752B2 (ja) 情報処理システム
US10050944B2 (en) Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS)
JP6364999B2 (ja) 通信システム、サーバ装置、及びクライアント装置
CN108462810A (zh) 信息处理装置、图像形成装置、***及方法和存储介质
JP6507863B2 (ja) 情報処理装置及びプログラム
JP2022153604A (ja) 情報処理装置、情報処理装置の制御方法、及び、プログラム
JP6387740B2 (ja) サーバ装置、画像形成装置、プログラム、及び通信システム
EP3588917A1 (en) Information processing apparatus, control method for information processing apparatus, and storage medium
EP3588907B1 (en) Information processing apparatus, control method for information processing apparatus, and storage medium
JP2019050511A (ja) 情報処理装置、および、コンピュータプログラム
JP6451086B2 (ja) 中継装置、サービス実行システム、及びプログラム
JP2007274403A (ja) 画像処理装置におけるユーザ証明書登録方法及びユーザ署名付き送信方法
JP2018037927A (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
US8276187B2 (en) Information processing system
JP6844107B2 (ja) プログラム、fax装置、及び携帯端末
JP7234014B2 (ja) 情報処理装置、情報処理システム、およびその制御方法
JP6458367B2 (ja) 画像処理装置、画像処理方法及びプログラム
JP6582930B2 (ja) データ送受信システム、情報処理装置、データ送受信方法およびデータ送受信プログラム
JP5958612B2 (ja) 編集制御システム、画像処理装置、編集制御プログラム、及び記録媒体
JP2014183413A (ja) 情報処理装置、情報処理方法、及び、プログラム
JP2018107604A (ja) 画像読取装置および画像送信方法
JP2015176525A (ja) 情報処理装置、情報処理システム及び情報処理方法
JP2015065549A (ja) 画像処理装置、データ復号方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170523

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180215

RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20180215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180410

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180605

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181126

R150 Certificate of patent or registration of utility model

Ref document number: 6451086

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150