JP6667371B2 - 通信システム、通信装置、通信方法、及びプログラム - Google Patents
通信システム、通信装置、通信方法、及びプログラム Download PDFInfo
- Publication number
- JP6667371B2 JP6667371B2 JP2016109334A JP2016109334A JP6667371B2 JP 6667371 B2 JP6667371 B2 JP 6667371B2 JP 2016109334 A JP2016109334 A JP 2016109334A JP 2016109334 A JP2016109334 A JP 2016109334A JP 6667371 B2 JP6667371 B2 JP 6667371B2
- Authority
- JP
- Japan
- Prior art keywords
- public key
- unit
- key certificate
- client
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
仮に、単一の公開鍵証明書を複数のドア装置に用いることが可能となれば、利用者にとっての利便性は向上する。しかし、最も短い有効期限に従って、公開鍵証明書を失効させた場合、失効させた公開鍵証明書とペアになる全てのドア鍵に対する利用権限を失うこととなる。
以上の問題は、ドア鍵に限らず、所定の動作を行う装置についてもあてはまる。
本発明は、上記問題を解決すべくなされたもので、その目的は、所定の動作を行う装置との間で電子鍵を共有して、該電子鍵を使用して該装置に所定の動作を行わせる通信システムにおいて、電子鍵の権限を柔軟に管理することにある。
(2)本発明の一態様は、上記(1)に記載の通信システムにおいて、前記第1の通信装置は、前記リスト作成部が作成した前記リストに含まれる前記公開鍵証明書の前記シリアル番号に対応付けて、前記公開鍵証明書の有効期限を設定する設定部を備え、前記リスト作成部は、前記設定部が設定した有効期限に基づいて、前記リストを更新する、通信システムである。
(3)本発明の一態様は、上記(1)又は上記(2)に記載の通信システムにおいて、前記端末装置は、公開鍵証明書を発行する認証局を備え、前記第2の記憶部は、外部からアクセスできない記憶領域である、通信システムである。
(4)本発明の一態様は、上記(1)から上記(3)のいずれか1項に記載の通信システムにおいて、前記端末装置は、前記第2の通信装置によって送信されるチャレンジを前記第2の記憶部に格納された前記公開鍵証明書に登録されている公開鍵とペアをなす秘密鍵で暗号化することによってレスポンスを生成する第2の暗号処理部と、前記第2の通信装置によって送信されるチャレンジを受信し、前記第2の暗号処理部が生成したレスポンスを前記第2の通信装置へ送信する第2の通信部とを備え、前記第2の通信装置は、前記チャレンジを生成し、前記第3の認証処理部によって前記クライアント認証が成功した場合に、前記端末装置が送信した前記レスポンスを前記公開鍵で復号する第3の暗号処理部とを備え、前記検証部は、前記第3の暗号処理部が生成した前記チャレンジに基づいて、前記第3の暗号処理部によって復号された前記レスポンスを検証し、前記第3の通信部は、前記第3の暗号処理部が生成した前記チャレンジを、前記端末装置へ送信し、前記端末装置が送信したレスポンスを受信し、前記制御部は、前記検証部による検証が成功した場合に、前記所定の動作を行う、通信システムである。
(5)本発明の一態様は、上記(4)に記載の通信システムにおいて、前記制御部は、前記リストに含まれる前記公開鍵証明書の前記シリアル番号に関連付けて、ステータス情報として、前記端末装置が、前記クライアント認証を行っていないことを示す情報を記憶し、前記検証部によって、検証が成功である場合に、前記公開鍵証明書のシリアル番号に関連付けられている前記ステータス情報として、前記クライアント認証を行っていないことを示す情報が記憶されていない場合に、前記所定の動作を行う、通信システムである。
(6)本発明の一態様は、第1の記憶部と、端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と前記端末装置が生成した公開鍵の公開鍵証明書とを取得する第1の取得部と、前記第1の取得部が取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行う第1の認証処理部と、前記第1の認証処理部によって、前記クライアント認証の結果が成功である場合に、前記第1の記憶部に、前記端末装置のユーザのアカウント情報と、前記公開鍵証明書のシリアル番号と、前記公開鍵証明書によって所定の動作を行わせる他の通信装置の識別情報と、有効期限とを関連付けて登録する登録部と、前記第1の記憶部に記憶した前記公開鍵証明書の前記シリアル番号のうち、有効期限が到来していない公開鍵証明書のシリアル番号のリストを作成するリスト作成部と、前記リスト作成部が作成した前記リストを、第2の通信装置へ送信する第1の通信部とを備える通信装置である。
(7)本発明の一態様は、端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と、前記端末装置が生成した公開鍵の公開鍵証明書とを取得する第3の取得部と、前記第3の取得部が取得した前記公開鍵証明書の有効期限が到来していない公開鍵証明書のシリアル番号のリストに含まれるか否かを検証する検証部と、前記検証部によって、検証が成功である場合に、前記第3の取得部が取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行う第3の認証処理部と、前記第3の認証処理部によって前記クライアント認証が成功した場合に、所定の動作を行う制御部とを備える、通信装置である。
(8)本発明の一態様は、第1の通信装置と、該第1の通信装置と通信を行う第2の通信装置によって実行される通信方法であって、第1の通信装置は、端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と前記端末装置が生成した公開鍵の公開鍵証明書とを取得するステップと、取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、前記クライアント認証の結果が成功である場合に、前記端末装置のユーザのアカウント情報と、前記公開鍵証明書のシリアル番号と、前記公開鍵証明書によって所定の動作を行わせる第2の通信装置の識別情報と、有効期限とを関連付けて登録するステップと、記憶した前記公開鍵証明書の前記シリアル番号のうち、有効期限が到来していない公開鍵証明書のシリアル番号のリストを作成するステップと、前記リストを作成するステップで作成した前記リストを、前記第2の通信装置へ送信するステップとを実行し、前記第2の通信装置は、前記第1の通信装置が送信した前記リストを受信するステップと、前記端末装置が備える前記第2の記憶部に格納された前記クライアント公開鍵証明書と、前記端末装置が生成した前記公開鍵の前記公開鍵証明書とを取得するステップと、取得した前記公開鍵証明書が前記リストに含まれるか否かを検証するステップと、検証が成功である場合に、取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、前記クライアント認証が成功した場合に、所定の動作を行うステップとを実行する、通信方法である。
(9)本発明の一態様は、第1の通信装置のコンピュータに、端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と前記端末装置が生成した公開鍵の公開鍵証明書とを取得するステップと、取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、前記クライアント認証の結果が成功である場合に、前記端末装置のユーザのアカウント情報と、前記公開鍵証明書のシリアル番号と、前記公開鍵証明書によって所定の動作を行わせる他の通信装置の識別情報と、有効期限とを関連付けて登録するステップと、記憶した前記公開鍵証明書の前記シリアル番号のうち、有効期限が到来していない公開鍵証明書のリストを作成するステップと、前記リストを作成するステップで作成した前記リストを、第2の通信装置へ送信するステップとを実行させる、プログラムである。
(10)本発明の一態様は、第2の通信装置のコンピュータに、第1の通信装置が送信した有効期限が到来していない公開鍵証明書のシリアル番号のリストを受信するステップと、端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と、前記端末装置が生成した公開鍵の前記公開鍵証明書とを取得するステップと、取得した前記公開鍵証明書が前記リストに含まれるか否かを検証するステップと、検証が成功である場合に、取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、前記クライアント認証が成功した場合に、所定の動作を行うステップとを実行させる、プログラムである。
なお、実施形態を説明するための全図において、同一の機能を有するものは同一符号を用い、繰り返しの説明は省略する。
図1は、実施形態に係る通信システム1を示す構成図である。図1において、通信システム1は、装置2と、制御装置3と、管理装置4とを備える。
装置2は、SIM(Subscriber Identity Module)100等のセキュアエレメント(Secure Element)と、通信部130と、制御部140とを備える。装置2の一例は、携帯電話、スマートフォン、タブレット端末等の端末装置、ICカード等である。
SIM100はSIM識別情報simid1を格納する。SIM識別情報simid1は、SIM100に固有の識別情報である。
SIM100は、鍵生成部101と、公開鍵証明書生成部102と、暗号処理部104と、記憶部105と、秘密鍵記憶部106とを備える。
SIM200はSIM識別情報simid2を格納する。SIM識別情報simid2は、SIM200に固有の識別情報である。SIM200は、認証処理部202と、検証部203と、暗号処理部204と、記憶部205とを備える。なお、単一の制御装置ではなく、複数の制御装置であってもよく、複数の制御装置のそれぞれが異なるSIM識別情報を有してもよい。
SIM100において、記憶部105は、認証局公開鍵証明書C_Krpと認証局秘密鍵Krsのペアを記憶する。認証局公開鍵証明書C_Krpは、認証局秘密鍵Krsのペアの認証局公開鍵Krp(不図示)の公開鍵証明書である。認証局公開鍵証明書C_Krpと認証局秘密鍵Krsとは、例えばSIM100の製造時などに、安全にSIM100に格納される。
さらに、記憶部105は、クライアント公開鍵証明書C_Kkpとクライアント秘密鍵Kksのペアを記憶する。クライアント公開鍵証明書C_Kkpは、クライアント秘密鍵Kksのペアのクライアント公開鍵Kkp(不図示)の公開鍵証明書である。クライアント公開鍵証明書C_Kkpとクライアント秘密鍵Kksとは、例えばSIM100の製造時などに、安全にSIM100に格納される。
記憶部205は、SIM200内の記憶領域のうち、SIM200の外部からアクセスできない不揮発性記憶領域に設けられる。
検証部203は、通信部230が装置2から受信した公開鍵証明書を検証する。
暗号処理部204は、装置2のクライアント公開鍵証明書のクライアント公開鍵Kkpとペアのクライアント秘密鍵Kksを使用して、公開鍵暗号方式の暗号処理を実行する。
(ステップS301)装置2において、公開鍵/秘密鍵発行アプリケーションは、SIM100に対して、公開鍵と秘密鍵のペアの生成を指示する。SIM100の鍵生成部101は、該指示に応じて、公開鍵K1p(不図示)と秘密鍵K1s(不図示)を生成する。この公開鍵K1pと秘密鍵K1sの生成は、SIM100内のセキュアRAM(Secure RAM)において行われる。SIM100内のセキュアRAMは、SIM100の外部からアクセスできない揮発性記憶領域である。よって、SIM100内のセキュアRAMにおいて行われる処理は、SIM100の外部から秘匿される。SIM100において、秘密鍵記憶部106は、鍵生成部101が生成した秘密鍵K1sを格納する。秘密鍵K1sは、SIM100内のセキュアROMに格納される。
また、公開鍵証明書フォーマットの例として、ITU−T(International Telecommunication Union−Telecommunication)等で規定されている「X.509」規格の公開鍵証明書フォーマットを使用する。「X.509」規格の公開鍵証明書フォーマット中の所定位置に公開鍵K1pを格納する。また、「X.509」規格の公開鍵証明書フォーマット中の「サブジェクトパラメータ:主体者の名前」の位置にSIM識別情報simid1を格納する。
次いで、公開鍵証明書生成部102は、ハッシュ値hash(K1p,simid1)を、SIM100の記憶部105に記憶されている認証局秘密鍵Krsで暗号化する。この暗号化データKrs(hash(K1p,simid1))は、公開鍵K1pの電子署名である。
次いで、公開鍵証明書生成部102は、公開鍵K1pと、SIM識別情報simid1と、公開鍵K1pの電子署名Krs(hash(K1p,simid1))とを含む「X.509」規格の公開鍵証明書フォーマットの公開鍵証明書C_K1p「K1p,simid1,Krs(hash(K1p,simid1))」を構成する。
SIM100は、公開鍵証明書生成部102が生成した公開鍵証明書C_K1p「K1p,simid1,Krs(hash(K1p,simid1))」を、クライアント認証アプリケーションへ渡す。
管理装置4において、認証処理部302は、クライアント公開鍵証明書C_Kkp「Kkp,simid1,Krs(hash(Kkp,simid1))」の認証の結果を鍵管理アプリケーションへ通知する。
管理装置4において、鍵管理アプリケーションは、リスト作成部306によって作成された有効な公開鍵証明書のリストを制御装置3へ送信するように指示する。制御部345は、リスト作成部306に、作成した有効な公開鍵証明書のリストを、通信部325へ出力させる。
(ステップS307)管理装置4において、鍵管理アプリケーションは、リスト作成部306が有効な公開鍵証明書のリストを通信部325へ出力すると、通信部325は、有効な公開鍵証明書のリストをOTA(Over The Air)(例えば、通信事業者の無線ネットワーク)で制御装置3へ送信する。通信事業者の無線ネットワークを使用することによって、公衆無線LAN等のオープンなネットワークと比較して、安全に送信できる。
制御装置3において、公開鍵証明書管理アプリケーションは、管理装置4から受信した有効な公開鍵証明書のリストを記憶するように指示する。制御部240は、有効な公開鍵証明書のリストを記憶部205へ格納する。制御部240は、有効な公開鍵証明書のリストにステータス情報として制御装置3が装置2のクライアント認証を未だ行っていないことを示す(つまり、装置2のユーザが制御装置3を初めて利用することを示す)初回利用であることを示す情報を関連付けて記憶する。
次に、公開鍵証明書を用いた制御手順について説明する。
制御装置3において、通信部230は、装置2から施錠又は解錠要求を受信する。通信部230は、該施錠又は解錠要求を施錠解錠アプリケーションへ渡す。
制御装置3において、検証部203は、公開鍵証明書C_K1p「K1p,simid1,Krs(hash(K1p,simid1))」の検証の結果を施錠解錠アプリケーションへ通知する。
制御装置3において、認証処理部202は、クライアント公開鍵証明書C_Kkp「Kkp,simid1,Krs(hash(Kkp,simid1))」の認証の結果を施錠解錠アプリケーションへ通知する。
そして、認証処理部202は、記憶部205に記憶されている有効な公開鍵証明書のリストに関連付けられて記憶されているステータス情報を、合意済を表す情報に書き換える。これによって、装置2と制御装置3との間でクライアント認証が行われ、制御装置3に電子鍵(クライアント公開鍵Kkp)が設定されたことが示される。
(ステップS407)装置2において、施錠解錠要求アプリケーションは、制御装置3の施錠解錠アプリケーションから受信したチャレンジ値に基づいて、レスポンス値を作成するように指示する。暗号処理部104は、チャレンジ値を、装置2のクライアント公開鍵証明書C_Kkpのクライアント公開鍵Kkpとペアのクライアント秘密鍵Kksで暗号化することによってレスポンス値Kks(乱数)を作成する。暗号処理部104は、レスポンス値Kks(乱数)を通信部130へ出力する。
(ステップS408)装置2において、施錠解錠要求アプリケーションは、レスポンス値を制御装置3へ送信するように指示する。通信部130は、制御装置3へ、レスポンス値Kks(乱数)を送信する。
(ステップS410)制御装置3において、制御部240は、レスポンス値Kks(乱数)の検証の結果が合格である場合には所定の制御を実行する。例えば、制御部240は、装置2によって要求された施錠又は解錠を実行する。一方、制御部240は、レスポンス値Kks(乱数)の検証が不合格である場合には所定の制御を実行しない。制御部240は、レスポンス値Kks(乱数)の検証が不合格である場合には所定のエラー処理を実行してもよい。
なお、装置2は、制御装置3から受信したチャレンジ値をクライアント秘密鍵Kksで暗号化してレスポンス値Kks(乱数)として制御装置3へ送信し、制御装置3は、レスポンス値をクライアント公開鍵Kkpで復号し、チャレンジ値と比較することでレスポンス値の正当性を検証したが、装置2、制御装置3との間で事前に共通鍵を生成、共有しておき、該共通鍵を用いて、チャレンジ値の暗号化及び復号を行うことで、レスポンス値の正当性を検証してもよい。
また、上述した実施形態において、装置2が送信する登録要求の送付先(宛先)は、管理装置4が予め装置2のユーザに対して通知してもよい。また、装置2が送信する施錠又は解錠要求の送付先(宛先)に関する情報は、予め管理装置4が記憶しておき、管理装置4から装置2のユーザに対してアカウント情報を発行する際に通知してもよい。また、装置2のユーザが制御装置3の利用を終了する場合(装置2が管理装置4に対し施錠又は解錠要求の送信を行わない場合)、装置2が管理装置4対し登録削除要求を送信してもよい。
本実施形態によれば、制御装置3に、ドア鍵の施錠又は解錠を行う権限を管理する機能を設ける。これによって、仮に、制御装置3が複数ある場合でも、各制御装置が独立してドア鍵を管理できる。
一般的に、公開鍵証明書が有効であるか否か検証は、証明書失効リスト(Certificate Revocation List: CRL)や、Online Certificate Status Protocol(OCSP)等を用いて、無効な公開鍵証明書のリストを確認する手法が一般的である。
しかし、本実施形態では、デフォルトで全ての公開鍵証明書を失効状態であると仮定して、有効な公開鍵証明書のリストを作成する。そして、制御装置3は、有効な公開鍵証明書のリストを参照することによって、装置2から受信する公開鍵証明書が有効であるか否かを検証する。さらに、装置2から受信するクライアント公開鍵証明書によって、装置2のユーザを認証する。これによって、ドア鍵を複数の利用者の間で共有する場合であっても、公開鍵証明書の不要な再発行を回避できるとともに、不特定多数の装置と制御装置との組み合わせた場合に、ドア鍵の有効性や、権限をきめ細かく、且つ適切に管理することができる。
また、SIM100にて、生成または保管される公開鍵(公開鍵証明書)と秘密鍵のペアは、複数であってもよい。この場合、例えば、装置2は、通信相手先に応じて公開鍵(公開鍵証明書)と秘密鍵のペアを使い分けてもよい。また、装置2は、ある公開鍵(公開鍵証明書)と秘密鍵のペアが漏洩した場合に、別のペアに切り替えてもよい。
また、制御装置3は、記憶部205に記憶した有効な公開鍵証明書のリストに含まれる公開鍵証明書のうち、有効期限が経過した公開鍵証明書を削除するようにしてもよい。
図5は、変形例に係る通信システムを示す構成図である。図5において、通信システムは、装置5と、配信サーバ6と、管理装置7とを備える。装置5は上述した実施形態の装置2を適用でき、管理装置7は上述した管理装置4を適用できる。
配信サーバ6は、SIM400等のセキュアエレメントと、通信部430と、制御部440と、記憶部500とを備える。
ステップS601−ステップS608は、図3に示されるステップS301−ステップS308を適用できる。
次に、図7を参照して、公開鍵証明書を用いた制御手順について説明する。
(ステップS701)装置5において、コンテンツ配信要求アプリケーションは、SIM100からクライアント公開鍵証明書C_Kkp「Kkp,simid1,Krs(hash(Kkp,simid1))」と、公開鍵証明書C_K1p「K1p,simid1,Krs(hash(K1p,simid1))」とを受け取る。コンテンツ配信要求アプリケーションは、SIM100から受け取ったクライアント公開鍵証明書C_Kkp「Kkp,simid1,Krs(hash(Kkp,simid1))」と、公開鍵証明書C_K1p「K1p,simid1,Krs(hash(K1p,simid1))」とを含むコンテンツ配信要求を通信部130へ出力する。通信部130は、該コンテンツ配信要求を配信サーバ6へ送信する。
配信サーバ6において、通信部430は、装置2からコンテンツ配信要求を受信する。通信部430は、該コンテンツ配信要求をコンテンツ配信アプリケーションへ渡す。
ただし、ステップS704では、配信サーバ6において、認証処理部402は、クライアント公開鍵証明書C_Kkp「Kkp,simid1,Krs(hash(Kkp,simid1))」の認証の結果をコンテンツ配信アプリケーションへ通知する。
そして、認証処理部402は、記憶部405に記憶されている有効な公開鍵証明書のリストに関連付けられて記憶されているステータス情報を、合意済を表す情報に書き換える。これによって、装置2と配信サーバ6との間でクライアント認証が行われ、配信サーバ6に電子鍵(クライアント公開鍵)が設定されたことが示される。
(ステップS710)配信サーバ6において、制御部440は、レスポンス値Kks(乱数)の検証の結果が合格である場合には所定の制御を実行する。例えば、制御部440は、記憶部500に記憶されたコンテンツ550のうち、装置2によって要求されたコンテンツを配信する。一方、制御部440は、レスポンス値Kks(乱数)の検証が不合格である場合にはコンテンツを配信しない。制御部440は、レスポンス値Kks(乱数)の検証が不合格である場合には所定のエラー処理を実行してもよい。
なお、上述した実施形態に係る通信装置又は通信端末の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Claims (10)
- 第1の通信装置と、該第1の通信装置と通信を行う第2の通信装置とを備える通信システムであって、
第1の通信装置は、
第1の記憶部と、
端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と、前記端末装置が生成した公開鍵の公開鍵証明書とを取得する第1の取得部と、
前記第1の取得部が取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行う第1の認証処理部と、
前記第1の認証処理部によって、前記クライアント認証の結果が成功である場合に、前記第1の記憶部に、前記端末装置のユーザのアカウント情報と、前記公開鍵証明書のシリアル番号と、前記公開鍵証明書によって所定の動作を行わせる第2の通信装置の識別情報と、有効期限とを関連付けて登録する登録部と、
前記第1の記憶部に記憶した前記公開鍵証明書の前記シリアル番号のうち、有効期限が到来していない公開鍵証明書のシリアル番号のリストを作成するリスト作成部と、
前記リスト作成部が作成した前記リストを、前記第2の通信装置へ送信する第1の通信部と
を備え、
前記第2の通信装置は、
前記第1の通信装置が送信した前記リストを受信する第3の通信部と、
前記第3の通信部が受信した前記リストを記憶する第3の記憶部と、
前記端末装置が備える前記第2の記憶部に格納された前記クライアント公開鍵証明書と、前記端末装置が生成した前記公開鍵の前記公開鍵証明書とを取得する第3の取得部と、
前記第3の取得部が取得した前記公開鍵証明書が前記リストに含まれるか否かを検証する検証部と、
前記検証部によって、検証が成功である場合に、前記第3の取得部が取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行う第3の認証処理部と、
前記第3の認証処理部によって前記クライアント認証が成功した場合に、所定の動作を行う制御部と
を備える、通信システム。 - 前記第1の通信装置は、
前記リスト作成部が作成した前記リストに含まれる前記公開鍵証明書の前記シリアル番号に対応付けて、前記公開鍵証明書の有効期限を設定する設定部
を備え、
前記リスト作成部は、前記設定部が設定した有効期限に基づいて、前記リストを更新する、請求項1に記載の通信システム。 - 前記端末装置は、
公開鍵証明書を発行する認証局
を備え、
前記第2の記憶部は、外部からアクセスできない記憶領域である、請求項1又は請求項2に記載の通信システム。 - 前記端末装置は、
前記第2の通信装置によって送信されるチャレンジを前記第2の記憶部に格納された前記公開鍵証明書に登録されている公開鍵とペアをなす秘密鍵で暗号化することによってレスポンスを生成する第2の暗号処理部と、
前記第2の通信装置によって送信されるチャレンジを受信し、前記第2の暗号処理部が生成したレスポンスを前記第2の通信装置へ送信する第2の通信部と
を備え、
前記第2の通信装置は、
前記チャレンジを生成し、前記第3の認証処理部によって前記クライアント認証が成功した場合に、前記端末装置が送信した前記レスポンスを前記公開鍵で復号する第3の暗号処理部とを備え、
前記検証部は、前記第3の暗号処理部が生成した前記チャレンジに基づいて、前記第3の暗号処理部によって復号された前記レスポンスを検証し、
前記第3の通信部は、前記第3の暗号処理部が生成した前記チャレンジを、前記端末装置へ送信し、前記端末装置が送信したレスポンスを受信し、
前記制御部は、前記検証部による検証が成功した場合に、前記所定の動作を行う、請求項1から請求項3のいずれか1項に記載の通信システム。 - 前記制御部は、前記リストに含まれる前記公開鍵証明書の前記シリアル番号に関連付けて、ステータス情報として、前記端末装置が、前記クライアント認証を行っていないことを示す情報を記憶し、
前記検証部によって、検証が成功である場合に、前記公開鍵証明書のシリアル番号に関連付けられている前記ステータス情報として、前記クライアント認証を行っていないことを示す情報が記憶されていない場合に、前記所定の動作を行う、請求項4に記載の通信システム。 - 第1の記憶部と、
端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と前記端末装置が生成した公開鍵の公開鍵証明書とを取得する第1の取得部と、
前記第1の取得部が取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行う第1の認証処理部と、
前記第1の認証処理部によって、前記クライアント認証の結果が成功である場合に、前記第1の記憶部に、前記端末装置のユーザのアカウント情報と、前記公開鍵証明書のシリアル番号と、前記公開鍵証明書によって所定の動作を行わせる他の通信装置の識別情報と、有効期限とを関連付けて登録する登録部と、
前記第1の記憶部に記憶した前記公開鍵証明書の前記シリアル番号のうち、有効期限が到来していない公開鍵証明書のシリアル番号のリストを作成するリスト作成部と、
前記リスト作成部が作成した前記リストを、第2の通信装置へ送信する第1の通信部と
を備える通信装置。 - 端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と、前記端末装置が生成した公開鍵の公開鍵証明書とを取得する第3の取得部と、
前記第3の取得部が取得した前記公開鍵証明書の有効期限が到来していない公開鍵証明書のシリアル番号のリストに含まれるか否かを検証する検証部と、
前記検証部によって、検証が成功である場合に、前記第3の取得部が取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行う第3の認証処理部と、
前記第3の認証処理部によって前記クライアント認証が成功した場合に、所定の動作を行う制御部と
を備える、通信装置。 - 第1の通信装置と、該第1の通信装置と通信を行う第2の通信装置によって実行される通信方法であって、
第1の通信装置は、
端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と前記端末装置が生成した公開鍵の公開鍵証明書とを取得するステップと、
取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、
前記クライアント認証の結果が成功である場合に、前記端末装置のユーザのアカウント情報と、前記公開鍵証明書のシリアル番号と、前記公開鍵証明書によって所定の動作を行わせる第2の通信装置の識別情報と、有効期限とを関連付けて登録するステップと、
記憶した前記公開鍵証明書の前記シリアル番号のうち、有効期限が到来していない公開鍵証明書のシリアル番号のリストを作成するステップと、
前記リストを作成するステップで作成した前記リストを、前記第2の通信装置へ送信するステップと
を実行し、
前記第2の通信装置は、
前記第1の通信装置が送信した前記リストを受信するステップと、
前記端末装置が備える前記第2の記憶部に格納された前記クライアント公開鍵証明書と、前記端末装置が生成した前記公開鍵の前記公開鍵証明書とを取得するステップと、
取得した前記公開鍵証明書が前記リストに含まれるか否かを検証するステップと、
検証が成功である場合に、取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、
前記クライアント認証が成功した場合に、所定の動作を行うステップと
を実行する、通信方法。 - 第1の通信装置のコンピュータに、
端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と前記端末装置が生成した公開鍵の公開鍵証明書とを取得するステップと、
取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、
前記クライアント認証の結果が成功である場合に、前記端末装置のユーザのアカウント情報と、前記公開鍵証明書のシリアル番号と、前記公開鍵証明書によって所定の動作を行わせる他の通信装置の識別情報と、有効期限とを関連付けて登録するステップと、
記憶した前記公開鍵証明書の前記シリアル番号のうち、有効期限が到来していない公開鍵証明書のリストを作成するステップと、
前記リストを作成するステップで作成した前記リストを、第2の通信装置へ送信するステップと
を実行させる、プログラム。 - 第2の通信装置のコンピュータに、
第1の通信装置が送信した有効期限が到来していない公開鍵証明書のシリアル番号のリストを受信するステップと、
端末装置が備える第2の記憶部に格納されたクライアント公開鍵証明書と、前記端末装置が生成した公開鍵の前記公開鍵証明書とを取得するステップと、
取得した前記公開鍵証明書が前記リストに含まれるか否かを検証するステップと、
検証が成功である場合に、取得した前記クライアント公開鍵証明書に基づいて、クライアント認証を行うステップと、
前記クライアント認証が成功した場合に、所定の動作を行うステップと
を実行させる、プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016109334A JP6667371B2 (ja) | 2016-05-31 | 2016-05-31 | 通信システム、通信装置、通信方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016109334A JP6667371B2 (ja) | 2016-05-31 | 2016-05-31 | 通信システム、通信装置、通信方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017216596A JP2017216596A (ja) | 2017-12-07 |
JP6667371B2 true JP6667371B2 (ja) | 2020-03-18 |
Family
ID=60577285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016109334A Active JP6667371B2 (ja) | 2016-05-31 | 2016-05-31 | 通信システム、通信装置、通信方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6667371B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7001524B2 (ja) * | 2018-03-29 | 2022-01-19 | セコム株式会社 | 電気錠 |
KR102254499B1 (ko) * | 2018-03-30 | 2021-05-21 | 주식회사 코인플러그 | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 |
JP7106965B2 (ja) * | 2018-04-25 | 2022-07-27 | 富士通株式会社 | 情報処理装置、認証制御システム、及び認証制御プログラム |
JP6713612B1 (ja) * | 2019-01-22 | 2020-06-24 | 株式会社ビットキー | 利用管理システム、管理装置、利用制御装置、利用管理方法、およびコンピュータで読み取り可能なプログラム |
JP7321443B2 (ja) * | 2019-01-22 | 2023-08-07 | 株式会社ビットキー | 利用管理システム、管理装置、利用制御装置、利用管理方法、およびコンピュータで読み取り可能なプログラム |
JP6792229B1 (ja) * | 2019-08-28 | 2020-11-25 | 株式会社ビットキー | 利用管理システム、管理装置、利用制御装置、利用管理方法、およびプログラム |
JP2021036687A (ja) * | 2020-10-26 | 2021-03-04 | 株式会社ビットキー | 利用管理システム、管理装置、利用制御装置、利用者端末、利用管理方法、およびプログラム |
JPWO2023021968A1 (ja) * | 2021-08-20 | 2023-02-23 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002149814A (ja) * | 2000-11-10 | 2002-05-24 | Digicom Inc | 個人情報管理システム |
JP2002281028A (ja) * | 2001-01-12 | 2002-09-27 | Nippon Telegr & Teleph Corp <Ntt> | 認証システムおよび方法、記録媒体、プログラム |
JP2003160209A (ja) * | 2001-11-27 | 2003-06-03 | Nippon Telegr & Teleph Corp <Ntt> | 物品管理システムおよびその方法、物品管理プログラムならびにそのプログラムを記録した記録媒体 |
JP4199156B2 (ja) * | 2004-05-17 | 2008-12-17 | 大日本印刷株式会社 | 管理システム及び管理方法 |
JP5000974B2 (ja) * | 2006-10-19 | 2012-08-15 | 株式会社三共 | 生体認証装置 |
JP2009053885A (ja) * | 2007-08-27 | 2009-03-12 | Hitachi Ltd | 電子書類利用状況管理装置及び電子書類利用状況管理方法 |
JP5459845B2 (ja) * | 2010-02-17 | 2014-04-02 | 株式会社東芝 | 携帯可能電子装置、携帯可能電子装置の制御方法及びicカード |
-
2016
- 2016-05-31 JP JP2016109334A patent/JP6667371B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017216596A (ja) | 2017-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6667371B2 (ja) | 通信システム、通信装置、通信方法、及びプログラム | |
KR101974452B1 (ko) | 프로그래밍이 가능한 블록체인과 통합 아이디 기반의 사용자정보 관리 방법 및 시스템 | |
US10567370B2 (en) | Certificate authority | |
JP6471112B2 (ja) | 通信システム、端末装置、通信方法、及びプログラム | |
KR20170139093A (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
JP4803145B2 (ja) | 鍵共有方法、鍵配信システム | |
JP2010158030A (ja) | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 | |
US20060224890A1 (en) | System and method for achieving machine authentication without maintaining additional credentials | |
EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
JP2004046430A (ja) | リモートアクセスシステム、リモートアクセス方法、リモートアクセスプログラム及びリモートアクセスプログラムが記録された記録媒体 | |
KR101686167B1 (ko) | 사물 인터넷 기기의 인증서 배포 장치 및 방법 | |
US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
CN112291245A (zh) | 一种身份授权方法、装置、存储介质及设备 | |
CN114238999A (zh) | 数据传送方法、控制数据使用的方法以及密码设备 | |
CN112955884A (zh) | 基础设施设备登记 | |
JP5380583B1 (ja) | デバイス認証方法及びシステム | |
KR20120079892A (ko) | 개인망 엔티티 인증을 위한 방법 | |
CN108352982B (zh) | 通信装置、通信方法及记录介质 | |
JP4332071B2 (ja) | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム | |
JP2021145205A (ja) | 認証システム | |
JP7021376B2 (ja) | 通信装置、通信方法、およびコンピュータプログラム | |
US11985229B2 (en) | Method, first device, first server, second server and system for accessing a private key | |
WO2018207174A1 (en) | Method and system for sharing a network enabled entity | |
JP6501701B2 (ja) | システム、端末装置、制御方法、およびプログラム | |
KR20150005789A (ko) | 인증서를 이용한 사용자 인증 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20160601 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170905 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170906 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180523 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180710 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180815 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20180817 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190205 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190404 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191001 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191030 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200212 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200225 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6667371 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |