网络系统、证书管理方法以及证书管理程序
阅读:404发布:2020-05-12
专利汇可以提供网络系统、证书管理方法以及证书管理程序专利检索,专利查询,专利分析的服务。并且一种网络系统,包括管理设备和多个设备。管理设备包括准备指示单元,用于将准备证书 请求 的指令传输至多个设备;收集单元,用于收集证书请求;请求单元,用于向证书认证方请求证书的发行;重置指示单元,用于将发行的证书传输至多个设备并指示重置证书。多个设备包括存储单元,该存储单元包括用于储存第一证书的操作区域和临时操作区域;临时操作单元,用于将第一证书转移至临时操作区域,并生成证书请求,并将证书请求传输至管理设备;设定单元,用于将由证书认证方发行的第二证书储存在操作区域中,并指示通信装置通过切换证书来执行通信。,下面是网络系统、证书管理方法以及证书管理程序专利的具体信息内容。
1.一种网络系统,其特征在于,包括:
管理设备;以及
所述管理设备能管理的多个设备,所述多个设备能够经由网络使用证书与所述管理设备进行安全通信,
所述管理设备包括:
证书请求准备指示单元,将准备证书请求的指令传输至所述多个设备;
证书请求收集单元,响应于所述准备证书请求的指令,收集由所述多个设备准备的所述证书请求;
证书发行请求单元,向证书认证方集体地请求所述多个设备的证书的发行;以及证书重置指示单元,将响应于所述证书发行请求而发行的所述证书传输至对应的设备,并指示所述多个设备中的每一个设备重置证书,
所述多个设备中的每一个设备包括:
证书存储单元,所述证书存储单元包括操作区域和临时操作区域,所述操作区域用于储存被用于操作的第一证书;
安全通信单元,使用所述第一证书来执行安全通信;
证书临时操作单元,在从所述管理设备接收到所述准备证书请求的指令时即将被储存在所述操作区域中的所述第一证书转移至所述临时操作区域,指示所述安全通信单元使用被临时储存在所述临时操作区域中的所述第一证书来执行所述安全通信,并准备公钥对并基于公钥生成证书请求,以及将所述证书请求传输至所述管理设备;
证书设定单元,响应于接收自所述管理设备的所述重置证书的指令,所述证书设定单元将由所述证书授权者发行的并传输自所述管理设备的第二证书储存在所述证书存储单元的所述操作区域中,并指示所述安全通信单元通过将用于安全通信的证书从被临时储存在所述临时操作区域中的所述第一证书切换为被储存在所述操作区域中的所述第二证书来执行所述安全通信。
2.如权利要求1所述的网络系统,其特征在于,所述管理设备进一步包括信息存储单元,所述信息存储单元储存包括到期信息的与所述多个设备的所述证书相关的证书管理信息,
其中基于被储存在所述信息存储单元中的所述证书管理信息,所述证书请求准备指示单元将所述准备证书请求的指令传输至所述多个设备中的每一个设备。
3.如权利要求1或2所述的网络系统,其特征在于,所述多个设备中的每一个设备都包括验证单元,所述验证单元验证传输自所述管理设备的所述证书的有效性,且所述证书设定单元只将被所述验证单元验证为有效的所述证书储存在所述证书存储单元的所述操作区域中,并指示所述安全通信单元使用被储存在所述操作区域中的所述证书来执行所述安全通信。
4.一种用于网络系统的证书管理方法,所述网络系统使用证书且包括管理设备和所述管理设备能管理的多个设备,所述多个设备能够与所述管理设备进行安全通信,其特征在于,所述方法包含以下步骤:
在所述管理设备中:
1)将准备证书请求的指令传输至所述多个设备;
2)响应于所述准备证书请求的指令,收集由所述多个设备准备的所述证书请求;
3)向证书认证方集体地请求所述多个设备的证书的发行;
4)将响应于所述证书发行请求而发行的所述证书传输至对应的设备并指示重置证书;
在所述多个设备中的每一个设备中:
5)使用被储存在包括操作区域和临时操作区域的证书存储单元中的证书来执行安全通信,所述操作区域用于储存被用于操作的第一证书;
6)在从所述管理设备接收到所述准备证书请求的指令时,即将被储存在所述操作区域中的所述第一证书转移至所述临时操作区域;
7)使用被临时储存在所述临时操作区域中的所述第一证书来执行所述安全通信;
8)准备公钥对以便基于公钥生成证书请求,并将所述证书请求传输至所述管理设备;
9)响应于接收自所述管理设备的重置证书的指令,将由所述证书授权方发行的并传输自所述管理设备的第二证书储存在所述证书存储单元的操作区域中;以及
10)通过将用于安全通信的证书从被临时储存在所述临时操作区域中的所述第一证书切换为被储存在所述操作区域中的所述第二证书来执行所述安全通信。
网络系统、证书管理方法以及证书管理程序
技术领域
[0001] 本发明涉及一种网络系统、一种证书管理方法以及一种证书管理程序,且更特别地涉及可以快速、便利且经济地重置证书的网络系统、证书管理方法以及证书管理程序。
背景技术
[0002] 随着例如因特网的网络的普及,现在可以通过使用有线和/或者无线类型的网络进行数据通信。这种基于网络的数据通信需要保护以防止例如数据伪造、欺骗等等的篡改。
[0003] 典型地,位于终端用户位置处的图像处理设备经由例如因特网的网络被连接至位于供应商位置的管理用信息处理设备(例如设备的制造商、维护服务提供者等等)。用户位置可以是营业处,该营业处可以使用复印机、打印机、传真和例如图像处理设备的多功能外围设备。供应商位置可以包括用于经由因特网监控位于用户位置的图像处理设备的管理用信息处理设备。具体而言,在这种配置中,在用户位置处的图像处理设备和管理用信息处理设备可以互相交流被用于管理图像处理设备的数据。因为管理用信息处理设备可以被定位于远离用户位置的位置,所以这种配置可以被称为远程监控系统,该远程监控系统远程地监控图像处理设备并在预定的定时间隔或者在某些特定情形下提供例如维护的服务。
[0004] 这种远程监控/管理系统可能需要交流例如服务费数据、用户个人数据等等的保密信息来作为管理数据。因此,必须防止对这种数据的篡改,例如数据伪造和/或者欺骗。
[0005] 典型地,这种远程监控/管理系统采用加密以便防止这种数据伪造和/或者欺骗。举例来说,通过采用使用例如安全套接层(SSL)的加密的相互认证处理,在用户位置或者用户侧的管理用信息处理设备处的图像处理设备可以与供应商侧的管理用信息处理设备进行通信。
[0006] 用于远程监控系统的这种SSL通信可以采用例如用于数据通信的私钥/公钥系统的加密系统。举例来说,供应商侧的管理用信息处理设备持有私钥,且用户侧的管理用信息处理设备或者在用户位置处的图像处理设备持有公钥。更进一步地,供应商侧的设备和用户侧的设备使用由公用私钥编码的由认证授权发行的公用密钥证书以便验证数据传输发送者的身份。利用这种配置,例如数据伪造和/或者欺骗的篡改可以被防止,且数据安全可以被提高。
[0007] 然而,为了在连接多个设备的网络上使用这种证书系统,需要在每个设备处设置证书。因此,如果连接至网络的设备的数目增加到数百个或者数千个,那么能够支持证书使用的环境的构建不仅在初期需要更高的成本,而且为了证书的不间断的维护和管理也需要更高的成本。
[0008] 在传统的证书分配系统中,可以提前为设定对象设备和管理终端设备中的每一个设备配置设定用私钥/证书,且然后验证处理和密钥共享被执行,并且通信通过编码被保护。在完成设定后,接着删除为设定对象设备配置的设定用私钥/证书,从而使设定用私钥/证书不可使用。
[0009] 在这种传统的证书管理方法中,在通过使用设定用私钥/证书完成设定后,安全通信可以被获得。然而,举例来说,当证书的截止日期趋近且证书必须被重置时,因为设定用私钥/证书已经被删除,所以无法利用和最初引进私钥/证书相同的处理来执行证书的重置。
[0010] 考虑到这种问题,JP-2005-175992-A中公开了不删除设定用私钥和证书的方法,其中设定用密钥和证书没有被删除,并为设定对象设备设定操作模式标志。通过在设定模式中使用设定用私钥/证书,证书被重置,且然后模式被切换为操作模式,从而使设定用私钥/证书不可使用。
[0011] 然而,当证书过期且必须被重置时,无法以与最初引进私钥/证书同样的方式执行证书的重置。因此,在当前证书正在被维持的同时,新的证书无法被安装,这使得证书更新处理不便利且花费大。
发明内容
[0012] 本发明的一方面设计了一种网络系统。网络系统包括管理设备;以及管理设备能管理的多个设备,多个设备能够经由网络使用证书与管理设备进行安全通信。管理设备包括证书请求准备指示单元,用于将准备证书请求的指令传输至多个设备;证书请求收集单元,用于响应于所述准备证书请求的指令,收集由多个设备准备的证书请求;证书发行请求单元,用于向证书认证方集体地请求多个设备的证书的发行;证书重置指示单元,用于将作为对证书发行请求的响应而发行的证书传输至对应的设备并指示多个设备中的每一个设备重置证书,且多个设备中的每一个设备包括:证书存储单元,该证书存储单元包括操作区域和临时操作区域,该操作区域用于储存被用于操作的第一证书;安全通信单元,用于使用第一证书来执行安全通信;证书临时操作单元,用于在从管理设备接收到准备证书请求的指令时即将被储存在操作区域中的第一证书转移至临时操作区域,用于指示安全通信单元使用被临时储存在临时操作区域中的第一证书来执行安全通信,并用于准备公钥对并基于公钥生成证书请求,以及将证书请求传输至管理设备;证书设定单元,响应于接收自管理设备的重置证书的指令,该证书设定单元将由证书认证者发行的并传输自管理设备的第二证书储存在证书存储单元的操作区域中,并指示安全通信单元通过将用于安全通信的证书从被临时储存在临时操作区域中的第一证书切换为被储存在操作区域中的第二证书来执行安全通信。
[0013] 在本发明的另一个方面中,设计了用于管理设备和管理设备能管理的多个设备的证书管理方法,该多个设备在网络系统中能够使用证书与管理设备进行安全通信。该方法包括以下步骤:在管理设备中,1)将准备证书请求的指令传输至多个设备;2)响应于准备证书请求的指令,收集由多个设备准备的证书请求;3)向证书认证者集体地请求多个设备的证书的发行;4)将作为对证书发行请求的响应而发行的证书传输至对应的设备并指示重置证书;在多个设备的每一个设备中;5)使用被储存在包括操作区域和临时操作区域的证书存储单元中的证书来执行安全通信,该操作区域用于储存被用于操作的第一证书;6)在从管理设备接收到准备证书请求的指令时即将被储存在操作区域中的第一证书转移至临时操作区域;7)使用被临时储存在临时操作区域中的第一证书来执行安全通信;8)准备公钥对以便基于公钥生成证书请求,并将证书请求传输至管理设备;9)响应于接收自管理设备的重置证书的指令,将由证书认证方发行的并传输自管理设备的第二证书储存在证书存储单元的操作区域中;以及10)通过将用于安全通信的证书从被临时储存在临时操作区域的第一证书切换为被储存在操作区域中的第二证书来执行安全通信。附图说明
[0015] 图1A显示了根据示例的实施例的网络系统的示例配置;
[0017] 图2显示了设备的功能方框图;
[0018] 图3显示了管理设备的功能方框图;
[0019] 图4显示了证书管理的处理的步骤的流程图;
[0020] 图5(a)至5(d)显示了设备中的证书管理的处理;以及
[0021] 图6显示了证书管理处理的序列。
[0022] 附图是为了描述本发明的示范实施例且不应当被解释为用于限制其范围。不应当将附图考虑为是按比例画出的,除非有明确的注释,且在这几个图中用相同的或者类似的引用数字指代相同的或者类似的组件。
具体实施方式
[0023] 现在给出对本发明的示范实施例的描述。应当注意的是虽然在这里可能使用了诸如第一、第二等这种术语来描述多个部件、组件、区、层和/或者部,但是需要理解的是这种部件、组件、区、层和/或者部并不因此而受到限制,这是因为这种术语是相对的,也就是说,只是用来区分一个部件、组件、区、层或者部和另一个区、层或者部。因此,举例来说,下面所讨论的第一部件、组件、区、层或者部可以被称为第二部件、组件、区、层或者部而不偏离本发明的教导。
[0024] 此外,应当注意的是这里所使用的术语仅仅是为了描述特定的实施例而不是用于限制本发明。因此,举例来说,如这里所使用的单数形式“一”(“a”、“an”和“the”)也同样意指包括复数形式,除非在上下文中明确表明。此外,当在本说明书中使用术语“包括”(“includes”和/或者“including”)时,指明了所述的特性、整体、步骤、操作、部件和/或者组件的存在,但是并不排除存在有或者有附加的一个以上的其他特性、整体、步骤、操作、部件、组件和/或者它们的组合。
[0025] 此外,虽然在对附图所示的图的描述中,为了清楚起见采用具体的术语,但是本发明并不局限于所选择的具体的术语,且需要理解的是每一个具体的部分都包括了所有的以类似方式操作并取得类似结果的技术等价物。现在参考附图在下文中描述根据示例的实施例的设备或者系统。
[0026] 图1至6显示了根据示例的实施例的可以使用证书管理方法和证书管理程序进行操作的网络系统的实例。图1显示了根据示例的实施例的使用证书管理方法和证书管理程序的网络系统1的系统配置的示例。
[0027] 如图1所示,网络系统1可以配置有经由网络NW相互连接的管理设备AC和多个设备K1至Kn,网络NW可以例如是有线网络或者无线网络,例如因特网。
[0028] 举例来说,设备K1至Kn为图像处理设备,例如多功能设备、传真机、复印机、打印机、扫描仪和电脑,且可以利用认证所需的证书来设定设备K1至Kn。在网络通信环境中相互连接的管理设备AC和设备K1至Kn可以使用基于证书的安全功能,例如编码/解码功能、交互认证功能和数字签名功能。
[0029] 参考图1B给出对例如在网络系统1中使用的管理设备AC和多个设备K1至Kn的设备的硬件配置的描述。举例来说,设备包括通过使用总线相互连接的中央处理器(CPU)110、随机存取存储器(RAM)111、只读存储器(ROM)112、硬盘驱动器(HDD)113和网络接口114。CPU110基于程序和指令控制每一单元,并根据需要执行特定的计算处理。RAM111从ROM112和HDD113,以及外部存储或者存储器读出程序,并读写图像数据和多个参数。
ROM112和HDD113存储例如图像数据和参数的多个数据以及特定处理所使用的程序。网络接口114可以被用于经由网络NW连接其他设备,并被用于输入/输出图像数据和参数,以及读出和分配程序。
ROM112和HDD113存储例如图像数据和参数的多个数据以及特定处理所使用的程序。网络接口114可以被用于经由网络NW连接其他设备,并被用于输入/输出图像数据和参数,以及读出和分配程序。
[0030] 可以以任何便利的形式实行本发明,例如使用专用硬件或者专用硬件和软件的混合。本发明可以被实行作为被一个或多个联网的处理设备实行的计算机软件。网络可以包括任何传统的地面通信网络或者无线通信网络,例如因特网。处理设备可以包括任何合适的经过编程的设备,例如通用计算机、掌上电脑、移动电话(例如无线应用协议(WAP)或者支持3G的电话)等等。因为本发明可以被作为软件实行,因此本发明的每个方面都包括了可以在可编程装置上实行的计算机软件。
[0031] 通过使用任何用于储存处理器可读代码的例如柔性磁盘、只读光盘(CD-ROM)、数字通用光盘只读存储器(DVD-ROM)、DVD只可记录/可重写的(DVD-R/RW)、电可擦且可编程只读存储器(EEPROM)、可擦可编程只读存储器(EPROM)、存储卡或者记忆棒的存储介质或者载体媒介,可以向可编程装置提供计算机软件,其中存储卡或者记忆棒可以是例如USB存储器、存储器芯片、迷你光碟(MD)、光磁盘(MO)、磁带、服务器中的硬盘、固体存储器装置等等,但是并不局限于这些。
[0032] 硬件平台包括任何所期望类型的硬件资源,举例来说,包括中央处理器(CPU)、随机存取存储器(RAM)和硬盘驱动器(HDD)。CPU可以由任何所期望类型的任何所期望数目的处理器来实现。RAM可以由任何所期望类型的非永久性或者永久性存储器来实现。HDD可以由任何所期望类型的能够储存大量数据的永久性存储器来实现。依据设备的类型,硬件资源另外还可以包括输入装置、输出装置或者网络装置。另外地,HDD还可以被提供在设备的外面,只要HDD是可访问的。在本实例中,CPU,例如CPU的高速缓冲存储器,以及RAM可以起到设备的物理存储器或者主存储器的作用,同时HDD可以起到设备的辅助存储器的作用。
[0033] 在上面所描述的示例的实施例中,可以结合计算机可读程序使用计算机,计算机可读程序由例如C++、Java(注册商标)、JavaScript(注册商标)、Perl、Ruby或者例如机器语言、汇编语言的传统的程序设计语言的面向对象程序设计语言描述,从而控制设备或者系统所使用的功能单元。举例来说,特定的计算机(例如个人计算机、工作站)可以通过使用可以执行以上所述的处理或者步骤的计算机可读程序来控制信息处理设备或者例如图像形成设备的图像处理设备。在以上所述的实施例中,设备的至少一个或多个的单元可以在硬件中被实现或者可以作为硬件/软件的组合被实现。在示例的实施例中,处理单元、计算单元或者控制器可以配置成使用多种类型的处理器、电路等等,例如编程的处理器、电路、专用集成电路(ASIC),多种类型的处理器、电路被单独使用或者组合地使用。
[0034] 根据示例的实施例的用于执行证书管理方法的证书管理程序可以被储存在以上所述的存储介质或者载体媒介中。设备K1至Kn可以从这种存储介质或者载体媒介读出证书管理程序,并可以被配置成为以相对较低的成本有效地执行证书管理的设备。
[0035] 举例来说,设备K1至Kn中的每一个设备可以通过装载证书管理程序来配置如图2所示的功能方框图。
[0036] 具体而言,通过将证书管理程序装载在操作系统(OS)上,如图2所示,举例来说,设备K1至Kn中的每一个设备可以配置有证书存储单元11、安全通信单元12、证书临时操作单元13、证书设定单元14、验证单元15和网络接口(I/F)16。
[0037] 网络I/F16可以被连接至与管理设备AC连接的网络NW,并可以被用作设备K1至Kn的经由网络NW的通信接口。
[0038] 举例来说,证书存储单元11是可重写式永久性存储器,并包括操作区域11a和临时操作区域11b。操作区域11a是用于储存当前操作所使用的证书的存储区域。临时操作区域11b是用于临时储存已经被使用过且将很快被更新的证书的存储区域。具体而言,当这种证书趋近于期满且需要被更新时,这种证书被转移至临时操作区域11b以便使用这种被转移的证书继续基于证书的操作。
[0039] 安全通信单元12为了与管理设备AC的经由网络NW的安全通信而使用被储存在证书存储单元11中的证书,其中安全通信是例如编码/解码功能、交互认证功能和数字签名功能。
[0040] 在经由网络I/F16从管理设备AC接收到准备证书请求的指令时,证书临时操作单元13即将被储存在操作区域11a中的证书转移至证书存储单元11的临时操作区域11b。然后,证书临时操作单元13指示安全通信单元12使用被转移并被储存在临时操作区域11b中的这种证书执行安全通信。更进一步地,证书临时操作单元13准备公钥对(公钥和私钥)以便基于公钥生成证书请求,并将证书请求传输至管理设备AC。在本公开中,为了表达的简单性,被储存在操作区域11a中且将被更新的证书可以被称为第一证书(或者证书A),且将要替换第一证书的证书可以被称为第二证书(或者证书B)。
[0041] 在经由网络I/F16从管理设备AC接收到重置证书的指令时,证书设定单元14即指示验证单元15验证接收到的证书的有效性。如果验证单元15验证了接收到的证书的有效性,那么与重置证书的指令一致,证书设定单元14将由证书认证方(CA)发行的并从管理设备AC传输来的证书储存在证书存储单元11的操作区域11a中。然后,证书设定单元14指示安全通信单元12通过将用于安全通信的证书从临时被储存在临时操作区域11b中的证书切换为被储存在操作区域11a中的证书来执行安全通信。如果验证单元15否决了证书的有效性,则证书设定单元14将这种有效性否决报告给管理设备AC。
[0042] 验证单元15利用重置证书的指令验证从管理设备AC传输来的证书的有效性,并将验证结果输出给证书设定单元14。举例来说,验证单元15通过验证证书是由真实的或者可靠的证书认证方(CA)发行的、以及通过验证证书的有效日期是正确的等等来验证证书的有效性。
[0043] 根据示例的实施例,可以将管理设备AC配置成使用典型的硬件配置和软件配置、以及计算装置,该计算装置装载有用于执行证书管理方法的证书管理程序。
[0044] 根据示例的实施例的用于执行证书管理方法的证书管理程序可以被储存在以上所述的存储介质或者载体媒介中。与以上所述的设备K1至Kn相类似,管理设备AC可以从这种存储介质或者载体媒介读出证书管理程序,并可以被配置成为以相对较低的成本有效地执行证书管理的设备。
[0045] 通过将证书管理程序装载在操作系统(OS)上,管理设备AC可以被配置有图3所示的功能方框图。
[0046] 如图3所示,举例来说,管理设备AC可以配置有证书请求准备指示单元21、证书请求收集单元22、证书发行请求单元23、证书重置指示单元24和网络I/F25。
[0047] 当当前安全功能所使用的证书(例如编码/解码功能、双向认证功能和数字签名功能)需要被更新时,证书请求准备指示单元21经由网络I/F25和网络NW将证书请求准备指令传输至多个设备K1至Kn以便开始证书的更新。
[0048] 然后,作为对准备证书请求的这种指令的响应,证书请求收集单元22经由网络NW和网络I/F25收集由设备K1至Kn准备的证书请求。
[0049] 然后,证书发行请求单元23将所收集的对于多个设备K1至Kn的证书请求集体传输至证书认证方CA,以便集体请求发行对于设备K1至Kn的证书。
[0050] 举例来说,上述的证书认证方CA是外部证书认证方。如果管理设备AC具有证书认证的功能,那么管理设备AC可以起到证书认证方CA的作用从而发行证书。
[0051] 证书认证方CA检查接收自管理设备AC的证书请求,并接着基于检查结果发行证书。具体而言,证书认证方CA检查证书请求是否没有被篡改,证书请求者的名称是否是真实的等等。
[0052] 作为对向多个设备K1至Kn请求的证书发行请求的响应,证书重置指示单元24通过使用安全功能并经由网络I/F25和网络NW传输由证书认证方CA发行的证书,并且证书重置指示单元24指示多个设备K1至Kn进行证书重置。
[0053] 对网络系统1的证书重置操作的描述被给出。在网络系统1中,证书的重置可以被简单且更便宜地执行,同时维持了在对证书的重置操作期间内基于证书的操作的有效性。
[0054] 在网络系统1中,管理设备AC和设备K1至Kn中的每一个设备通过使用具有有例如有效日期的有效期限的证书执行安全通信,且这种证书需要在有效日期之前被更新。
[0055] 管理设备AC基于例如设备K1至Kn中的每一个设备的证书的有效日期的证书管理信息来管理设备K1至Kn中的每一个设备的证书的有效日期。证书管理信息通过证书请求准备指示单元21被收集并被储存在被用作信息存储单元的内部的永久性存储器中。
[0056] 当多个设备K1至Kn中一个或多个设备的证书的有效日期将要达到一给定的时间以内时,如图4所示,证书请求准备指示单元21经由网络I/F25和网络NW将准备证书请求的指令集体传输至多个设备K1至Kn(步骤S101)以便更新证书。
[0057] 设备K1至Kn中的每一个设备接收这种准备证书请求的指令,如图5(a)所示,在设备K1至Kn中的每一个设备处,安全通信单元12当前正在使用被储存在证书存储单元11的操作区域11a中的证书(在下文中称为证书A)。
[0058] 如图5(b)所示,当设备K1至Kn中的每一个设备接受准备证书请求的指令时,证书临时操作单元13将证书A从操作区域11a转移至临时操作区域11b,并然后指示安全通信单元12对随后的安全通信使用转移至临时操作区域11b的证书A。
[0059] 照这样,证书临时操作单元13改变证书的存储区域,并接着证书临时操作单元13指示安全通信单元12执行使用被储存在临时操作区域11b中的证书A的操作,临时操作区域11b也就是传递证书A之后的存储区域。然后,如图5(b)所示,证书临时操作单元13准备公钥对(公钥和私钥),通过使用公钥生成证书请求,将证书请求储存在操作区域11a中,并接着将证书请求传输至管理设备AC。
[0060] 在管理设备AC中,证书请求收集单元22收集由设备K1至Kn中的每一个设备生成的证书请求(步骤S101)。证书发行请求单元23将由设备K1至Kn中的每一个设备生成的并由证书请求收集单元22收集的证书请求集体传输至证书认证方CA以便请求证书认证方CA发行证书(步骤S102)。
[0061] 在从管理设备AC接收到证书请求时,证书认证方CA即检查证书请求并接着基于检查结果发行证书。具体而言,证书认证方CA检查证书请求是否没有被篡改,证书请求者的名称是否是真实的等等。证书认证方CA将发行的证书传输至管理设备AC。
[0062] 在接收到由证书认证方CA发行的证书时,如图4所示,管理设备AC的证书重置指示单元24即经由网络I/F25和网络NW将发行的证书中的每一个证书传输至对应的设备K1至Kn中的每一个设备(步骤S103),并向对应的设备K1至Kn中的每一个设备指示证书的重置。
[0063] 在接收到证书和重置证书的指令时,设备K1至Kn中的每一个设备的验证单元15即判定发行的证书是否是有效的(步骤S104)。
[0064] 如图5(c)所示,如果验证单元15判定证书是有效的(步骤S104:是),则证书设定单元14将接收自管理设备AC的证书(在下文中称为如图5所示的证书B)储存(或者重置)在证书存储单元11的操作区域11a中(步骤S105),且设备K1至Kn中的每一个设备将重置完成通知报告给管理设备AC,如图6中的虚线所示。在从设备K1至Kn接收到重置完成通知时,管理设备AC的证书重置指示单元24即将设定-执行指令传输至设备K1至Kn,如图6中的实线所示。
[0065] 在接收到设定-执行指令时,设备K1至Kn中的每一个设备的证书设定单元14即执行设定-执行处理,在设定-执行处理中证书设定单元14指示安全通信单元12切换用于例如安全通信的基于证书的操作的证书。具体而言,如图5(d)所示,安全通信单元12将用于基于证书的操作的证书从被临时储存在临时操作区域11b中的证书A切换为现在被储存在操作区域11a中的证书B。然后,证书设定单元14将执行的结果传输至管理设备AC(步骤S106)。
[0066] 通过执行以上所述的证书更新处理,当按以上所述准备证书请求时,不仅设备K1至Kn的证书被生成,而且公钥对也被生成,并因此,当更新证书时,私钥和公钥的更新也可以被执行。
[0067] 更进一步地,如果验证单元15判定证书是无效的(步骤S104:否),则证书设定单元14否决证书的设定,并将这种否决作为错误消息传输至管理设备AC(步骤S107)。
[0068] 当管理设备AC从设备K1至Kn接收到在设备K1至Kn处新的证书的设定被实行并被完成的通知时,证书请求准备指示单元21将与证书相关的证书管理信息,例如到期信息,储存在被用作信息存储单元的永久性存储器中(步骤S108)。当下一个证书管理处理被执行时,可以使用这种被储存的证书管理信息,在下一个证书管理处理中,基于证书管理信息,证书请求的准备请求被执行。
[0069] 更进一步地,在从设备K1至Kn接收到表明证书是无效的错误消息时,管理设备AC即对这种错误情况执行特定的处理,例如向预先设定的管理人员/管理人报告,以及请求证书认证方CA再次发行证书。
[0070] 在以上所述的示例的实施例中,网络系统被设计。网络系统包括管理设备(AC);和管理设备(AC)可管理的多个设备(K1-Kn),通过使用证书该多个设备(K1-Kn)能够经由网络与管理设备(AC)进行安全通信。管理设备(AC)包括:证书请求准备指示单元(21),用于将准备证书请求的指令传输至多个设备(K1-Kn);证书请求收集单元(22),用于收集由多个设备(K1-Kn)准备的作为对准备证书请求的指令的响应的证书请求;证书发行请求单元(23),用于向证书认证方集体请求对多个设备(K1-Kn)的证书的发行;证书重置指示单元(24),用于将作为对证书发行请求的响应而发行的证书传输至对应的设备(K1-Kn)并向设备(K1-Kn)中的每一个设备指示重置证书。设备(K1-Kn)中的每一个设备包括证书存储单元(11),该证书存储单元(11)包括操作区域(11a)和临时操作区域(11b),该操作区域(11a)用于储存被用于操作的第一证书;安全通信单元(12),用于使用第一证书来执行安全通信;证书临时操作单元(13),用于在从管理设备(AC)接收到准备证书请求的指令时即将被储存在操作区域(11a)中的第一证书转移至临时操作区域(11b),用于指示安全通信单元(12)使用被临时储存在临时操作区域(11b)中的第一证书来执行安全通信,并用于准备公钥对并基于公钥生成证书请求,以及将证书请求传输至管理设备(AC);以及证书设定单元(14),作为对重置接收自管理设备(AC)的证书的指令的响应,该证书设定单元(14)将由证书授权发行的并传输自管理设备(AC)的第二证书储存在证书存储单元(11)的操作区域(11a)中,并且该证书设定单元(14)指示安全通信单元(12)通过将用于安全通信的证书从被临时储存在临时操作区域(11b)中的第一证书切换为被储存在操作区域(11a)中的第二证书来执行安全通信。
[0071] 在根据以上所述的示例的实施例的这种配置中,对于分配下一个证书,不需要由设备K1至Kn分别管理设定用的私钥和证书,并且不需要为了使用设定用的私钥和证书而切换操作模式。在根据以上所述的示例的实施例的这种配置中,在维持安全通信的同时,可以通过使用当前使用的证书同时执行对多个设备K1至Kn的证书的重置,通过这样,可以对多个设备K1至Kn更便宜地且安全地执行证书的重置。
[0072] 在以上所述的示例的实施例中,用于管理设备(AC)和管理设备(AC)可管理的多个设备(K1-Kn)的证书管理方法被设计,该多个设备(K1-Kn)能够在网络系统中使用证书与管理设备(AC)进行安全通信。该方法包括以下步骤。在管理设备(AC)中,1)将准备证书请求的指令传输至多个设备(K1-Kn);2)收集由多个设备(K1-Kn)准备的证书请求作为对准备证书请求的指令的响应;3)向证书认证方集体请求多个设备(K1-Kn)的证书的发行;以及4)将作为对证书发行请求的响应而发行的证书传输至对应的设备(K1-Kn)并指示重置证书。在设备(K1-Kn)中的每一个设备中,5)使用被储存在包括操作区域(11a)和临时操作区域(11b)的证书存储单元(11)中的证书来执行安全通信,该操作区域(11a)用于储存被用于操作的第一证书;6)在从管理设备(AC)接收到准备证书请求的指令时,即将被储存在操作区域(11a)中的第一证书转移至临时操作区域(11b);7)使用被临时储存在临时操作区域(11b)中的第一证书来执行安全通信;8)准备公钥对以便基于公钥生成证书请求,并将证书请求传输至管理设备(AC);9)作为对接收自管理设备(AC)的重置证书的指令的响应,将由证书授权发行的并传输自管理设备(AC)的第二证书储存在证书存储单元(11)的操作区域(11a)中;10)通过将用于安全通信的证书从被临时储存在临时操作区域(11b)中的第一证书切换为被储存在操作区域(11a)中的第二证书来执行安全通信。
[0073] 在根据以上所述的示例的实施例的这种配置中,对于分配下一个证书,不需要由设备K1至Kn分别管理设定用的私钥和证书,并且不需要为了使用设定用的私钥和证书而切换操作模式。在根据以上所述的示例的实施例的这种配置中,在维持安全通信的同时,可以通过使用当前使用的证书同时执行对多个设备K1至Kn的证书的重置,通过这样,可以对多个设备K1至Kn更便宜地且安全地执行证书的重置。
[0074] 在以上所述的示例的实施例中,设计了储存有以下所述的程序的非暂时计算机可读存储介质,当该程序被计算机执行时,该程序使得计算机执行用于管理设备(AC)和管理设备(AC)可管理的多个设备(K1-Kn)的证书管理的方法,该多个设备(K1-Kn)能够在网络系统中使用证书与管理设备(AC)进行安全通信。该方法包括以下步骤。在管理设备(AC)中,1)将准备证书请求的指令传输至多个设备(K1-Kn);2)收集由多个设备(K1-Kn)准备的证书请求作为对准备证书请求的指令的响应;3)向证书认证方集体请求多个设备(K1-Kn)的证书的发行;以及4)将作为对证书发行请求的响应而发行的证书传输至对应的设备(K1-Kn)并指示重置证书。在设备(K1-Kn)中的每一个设备中,5)使用被储存在包括操作区域(11a)和临时操作区域(11b)的证书存储单元(11)中的证书来执行安全通信,该操作区域(11a)用于储存被用于操作的第一证书;6)在从管理设备(AC)接收到准备证书请求的指令时,即将被储存在操作区域(11a)中的第一证书转移至临时操作区域(11b);7)使用被临时储存在临时操作区域(11b)中的第一证书来执行安全通信;8)准备公钥对以便基于公钥生成证书请求,并将证书请求传输至管理设备(AC);9)作为对接收自管理设备(AC)的重置证书的指令的响应,将由证书授权发行的并传输自管理设备(AC)的第二证书储存在证书存储单元(11)的操作区域(11a)中;10)通过将用于安全通信的证书从被临时储存在临时操作区域(11b)中的第一证书切换为被储存在操作区域(11a)中的第二证书来执行安全通信。
[0075] 在根据以上所述的示例的实施例的这种配置中,对于分配下一个证书,不需要由设备K1至Kn分别管理设定用的私钥和证书,并且不需要为了使用设定用的私钥和证书而切换操作模式。在根据以上所述的示例的实施例的这种配置中,在维持安全通信的同时,可以通过使用当前使用的证书同时执行对多个设备K1至Kn的证书的重置,通过这样,可以对多个设备K1至Kn更便宜地且安全地执行证书的重置。
[0076] 更进一步地,就以上所述的网络系统1而言,管理设备AC包括作为用于存储证书管理信息的信息存储单元的永久性存储器,证书管理信息例如是对设备K1至Kn设定的证书的到期信息。证书请求准备指示单元21基于被储存在永久性存储器中的证书管理信息来传输准备证书请求的指令。
[0077] 因此,可以自动地、更便宜地并且有效地执行证书的更新,其中直到有效日期为止,证书的更新具有更少的时间。
[0078] 更进一步地,就以上所述的网络系统1而言,举例来说,设备K1至Kn中的每一个设备包括验证单元15,该验证单元15验证传输自管理设备AC的证书的有效性。证书设定单元14只将被验证单元15验证为对操作区域11a有效的证书储存在证书存储单元11中。在完成证书更新时,证书设定单元14即指示安全通信单元12通过将用于安全通信的证书从被临时储存在临时操作区域11b的证书切换为被储存在操作区域11a中的证书来执行安全通信。
[0079] 利用这种配置,可以防止无效证书的设定,并且因此可以提高安全性能。照这样,在以上所述的示例的实施例中,可以更便宜地并安全地执行对多个设备的证书的重置。
[0080] 就以上所述的示例的实施例而言,设计了储存有以下所述的程序的非暂时计算机可读存储介质,当该程序被计算机执行时,该程序使得计算机执行对管理设备的证书管理的方法和管理设备可管理的多个设备,该多个设备能够在网络系统中使用证书与管理设备进行安全通信。该方法包括以下步骤:在管理设备中,1)将准备证书请求的指令传输至多个设备;2)收集由多个设备准备的证书请求作为对准备证书请求的指令的响应;3)向证书认证方集体请求多个设备的证书的发行;4)将作为对证书发行请求的响应而发行的证书传输至对应的设备并指示重置证书;在每一个设备中,5)使用被储存在包括操作区域和临时操作区域的证书存储单元中的证书来执行安全通信,该操作区域用于储存被用于操作的第一证书;6)在从管理设备接收到准备证书请求的指令时,即将被储存在操作区域中的第一证书转移至临时操作区域;7)使用被临时储存在临时操作区域中的第一证书来执行安全通信;8)准备公钥对以便基于公钥生成证书请求,并将证书请求传输至管理设备;9)作为对接收自管理设备的重置证书的指令的响应,将由证书认证方发行的并传输自管理设备的第二证书储存在证书存储单元的操作区域中;以及10)通过将用于安全通信的证书从被临时储存在临时操作区域中的第一证书切换为被储存在操作区域中的第二证书来执行安全通信。
[0081] 考虑到上述的教导,很多其他的变型和变化是可能的。因此可以理解的是,在附加的权利要求的范围内,可以以除了此处具体描述的方式来实现本发明公开的内容。举例来说,在本公开和附加的权利要求的范围内,不同的实例和说明性的实施例的部件和/或者特性可以被相互结合和/或者相互替代。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种数字证书管理方法及设备 | 2020-05-12 | 562 |
| 一种证书请求消息发送方法、接收方法和装置 | 2020-05-11 | 869 |
| 用于验证SCEP证书注册请求的系统和方法 | 2020-05-11 | 324 |
| 书架页面的展示方法、电子设备及计算机存储介质 | 2020-05-11 | 688 |
| 用于证书签署请求处理的生物特征认证的系统和方法 | 2020-05-11 | 553 |
| 基于请求粒度的证书动态加载方法、装置和服务器 | 2020-05-11 | 157 |
| 证书生成/分发系统、证书生成/分发方法和证书生成/分发程序 | 2020-05-13 | 722 |
| 一种许可证书管理方法、装置及系统 | 2020-05-11 | 515 |
| 证书生成/分发系统、证书生成/分发方法和证书生成/分发程序 | 2020-05-13 | 140 |
| 证书管理方法、装置、设备及计算机可读存储介质 | 2020-05-13 | 816 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈