证书获取系统和方法、管理通信装置、认证管理机构的制作方法

文档序号:7956794阅读:195来源:国知局
专利名称:证书获取系统和方法、管理通信装置、认证管理机构的制作方法
技术领域
本发明涉及一种具有管理通信装置的证书获取系统,其中该管理通信装置连接到一种设备并且还通过网络连接到管理中心,管理中心用于对该设备进行远程管理,并且该管理通信装置从设备获取管理信息,然后将该信息发送到管理中心,本发明还涉及一种发放数字证书的证书管理机构。
背景技术
已经提出了一种远程管理系统,作为用于管理打印装置(例如复印机、打印机、传真机、数字多功能机等等)的系统,在所述远程管理系统中,管理中心通过网络对打印装置进行远程管理。在该远程管理系统中,将一种可选的管理通信装置从外部连接到打印装置,并且通过网络从管理通信装置将各种类型的信息(关于测量值、错误、纸张、耗材、工作状态、任务等等)发送到管理中心。
如果上述远程管理系统具有一种用于通过开放式网络(例如互联网)来进行管理通信装置和管理中心之间的通信的结构,那么管理通信装置和管理中心之间的通信就会面临被窃听或更改的危险。此外,因为管理中心在互联网上提供服务,所以它就会面临各种攻击的危险。
为了避免这些攻击,最好对管理通信装置和管理中心之间的通信采取使用数字证书的安全技术,例如具有客户认证的SSL。当使用具有客户认证的SSL时,需要在管理通信装置中安装数字证书。
通常,按照下述过程将数字证书安装到个人计算机(PC)或蜂窝电话中。首先,用户(例如PC的用户)向认证管理机构请求发放数字证书。接下来,认证管理机构在通过任意适当的方法(例如亲自、普通邮件、或电子邮件)确认了用户的身份之后,就发放数字证书。最后,用户获取并安装(例如安装到PC)发放的数字证书。用户通过这种方式人工地获取数字证书,这是因为有必要在数字证书的发放过程中验证发放请求的来源。
如果将上述的一般过程不加改变地应用于远程管理系统,则用户或客户工程师(CE)将从认证管理机构获取数字证书并且将其安装到管理通信装置中。在这种情况下,由于用户必须发放请求、执行验证过程、获取和安装,因此对用户来说负担较重。

发明内容
根据本发明的一个方面,提供了一种证书获取系统,它包括管理通信装置,该装置连接到一个设备并且还通过网络连接到用于管理设备的管理中心,并且该管理通信装置从该设备获取管理信息,将该管理信息发送到管理中心,并且向认证管理机构请求数字证书,所述系统包含登记信息存储部分,其中预先登记了管理通信装置和应该连接的设备的标识信息;标识信息获取部分,该部分从设备获取设备标识信息;证书发放请求部分,该部分请求认证管理机构发放数字证书,并且请求包含所获取的设备标识信息和管理通信装置标识信息;发放请求接收部分,该部分接收发放数字证书的请求;证书发放部分,该部分通过将包含在请求中的标识信息与预先登记的标识信息进行比较来对管理通信装置进行验证,并且在验证成功的情况下发放数字证书;以及证书获取部分,该部分在验证成功的情况下从认证管理机构获取发放的数字证书。
根据本发明的另一个方面,提供了一种用于一种包含管理通信装置的系统的证书获取方法,该管理通信装置连接到一个设备并且还通过网络连接到用于管理设备的管理中心,将所述设备的管理信息发送到管理中心,并且从证书管理机构获取数字证书,该方法包含以下步骤从设备获取设备标识信息;请求认证管理机构发放数字证书,该请求包含所获取的设备标识信息和管理通信装置标识信息;通过将包含在请求中的标识信息与预先登记在认证管理机构中的管理通信装置和应该连接的设备的标识信息进行比较,从而对管理通信装置进行验证以及在验证成功的情况下发放数字证书。
根据本发明的另一个方面,提供了一种管理通信装置,该管理通信装置连接到一个设备并且还通过网络连接到用于管理设备的管理中心,该管理通信装置从设备获取管理信息,并将管理信息发送到管理中心,该装置包括标识信息获取部分,该部分从设备获取设备标识信息;证书发放请求部分,该部分请求认证管理机构发放数字证书,并且请求包含所获取的设备标识信息和管理通信装置标识信息;以及证书获取部分,该部分在验证成功的情况下从认证管理机构获取由该认证管理机构发放的数字证书。
根据本发明的另一个方面,提供了一种认证管理机构,它向管理通信装置发放数字证书,该管理通信装置连接到一种设备并且还通过网络连接到用于管理设备的管理中心,该管理通信装置从设备获取管理信息,并将管理信息发送到管理中心,另外该认证管理机构具有登记信息存储器部分,其中预先登记了管理通信装置和应该连接的设备的标识信息;发放请求接收部分,该部分从管理通信装置接收发放数字证书的请求,并且该请求包含管理通信装置标识信息和设备标识信息;以及证书发放部分,该部分通过将包含在请求中的标识信息和预先登记的标识信息进行比较,从而对管理通信装置进行验证,并且在验证成功的情况下发放数字证书。
根据本发明的另一个方面,提供了一种存储有将在管理通信装置上执行的程序的计算机可读存储介质,所述管理通信装置连接到一个设备并且还通过网络连接到用于管理设备的管理中心,所述管理通信装置从设备获取管理信息,并且将管理信息发送到管理中心,该程序使得管理通信装置能够执行以下功能从设备获取设备标识信息;请求认证管理机构发放数字证书,该请求包含所获取的设备标识信息和管理通信装置标识信息;以及在验证成功的情况下从认证管理机构接收由认证管理机构发放的数字证书。


接下来将根据下述附图,详细描述本发明的实施例,其中图1是显示了涉及实施例的证书获取系统的结构的框图;图2是显示了管理通信装置和认证管理机构的功能结构的框图;图3举例说明了证书获取系统中的证书获取过程(第一示例性过程);图4举例说明了证书获取系统中的另一个证书获取过程(第二示例性过程);以及图5举例说明了证书获取系统中的另一个证书获取过程(第三示例性过程)。
具体实施例方式
接下来将参考附图详细描述本发明的实施例。
图1是显示涉及实施例的证书获取系统1的结构的框图。在包含设备10、管理通信装置20和管理中心30的远程管理系统中,证书获取系统1会减轻例如用户在将数字证书(下文中称作证书)安装到管理通信装置20时的负担。
远程管理系统首先,将描述远程管理系统。在图1中,远程管理系统包含设备10、管理通信装置20和管理中心30。
设备10是需要在远程管理系统中对其进行管理的装置。这里,设备10是一种用于通过适当的打印系统(例如电子照相打印系统或喷墨系统)在记录介质上(例如纸)形成图像的打印装置,例如复印机、打印机、传真机、数字多功能机等等。
管理通信装置20是一种可选的装置,使得能够对设备10进行远程管理,并且在用户请求远程管理服务时从外部连接到设备10。因为远程管理服务是用户提出要求时才提供的一种可选服务,所以设备10自身并不具有远程管理服务的功能。
管理通信装置20通过通信电缆40(例如串行电缆)连接到设备10,并且通过网络50(例如互联网)连接到管理中心30。例如,当采用拨号(调制解调器)访问时,管理通信装置20通过调制解调器、公共电话线路、互联网服务提供商(ISP)和互联网连接到管理中心30。此外,在采用有线LAN时,管理通信装置20通过有线LAN、防火墙和互联网连接到管理中心30。此外,在采用采用无线访问时,管理通信装置20通过蜂窝电话网络连接到管理中心30。
管理通信装置20通过通信电缆40从设备10获取管理设备10时所需的管理信息,并且将这些信息通过网络50发送到管理中心30。这里,管理信息包含各种类型的信息,例如设备10的工作状态,并且涉及已打印的纸的数量(测量值)、错误、纸张、耗材、工作状态等等。
管理中心30是一种用于通过网络50和管理通信装置20对设备10进行远程管理的计算机系统。例如,管理中心30配有一种记帐服务器,用于从管理通信装置20接收测量值并且根据该测量值执行预定的记帐处理。
尽管图1中仅显示了一组设备10和管理通信装置20,但是应该注意到,可以有多组这种设备。
在上述远程管理系统中,因为是通过网络50进行管理通信装置20和管理中心30之间的通信的,所以这种通信会面临被窃听或更改的危险。而且,因为管理中心30在网络上提供各种服务,所以它也会面临各种风险。
在本实施例中,管理通信装置20和管理中心30采用了一种安全技术,该安全技术通过在通信中使用证书,例如用于具有客户认证的SSL的证书,来抵抗上述风险。
证书获取系统如果在上述远程管理系统中使用了具有客户认证的SSL,那么就有必要将证书安装到管理通信装置20中。如果需要由用户或CE将证书安装到管理通信装置20中,那么这就会给用户或CE增加负担。为了消除这种负担,例如用户身上的负担,在涉及本实施例的证书获取系统1中,管理通信装置20通过向认证管理机构60提交验证信息从而请求发放证书,然后从认证管理机构60获取证书。
在图1中,主要通过管理通信装置20和认证管理机构60对证书获取系统1进行配置。认证管理机构60是一种证书发放装置,用于响应于外部请求发放证书,并且在例如计算机系统中实现。管理通信装置20和认证管理机构60通过网络50相互连接。
图2是显示了管理通信装置20和认证管理机构60的功能结构的框图。接下来将参考图2更详细地描述证书获取系统1的结构。
管理通信装置20具有一个标识信息获取部分21、证书发放请求部分22和证书获取部分23。
标识信息获取部分21从设备10获取设备10的标识信息(此后称作“设备标识信息”)。设备标识信息通过例如型号名、序列号或组件信息(软件版本、可选设备的组件信息,例如装订完稿机(finisher)或高容量碟片)这样的信息或者这些信息的组合来标识设备10。
证书发放请求部分22提交在认证管理机构60处对管理通信装置20进行验证时需要用到的信息,其中该验证信息显示了管理通信装置20的标识信息(此后称作“管理通信装置标识信息”)和从标识信息获取部分21获得的设备标识信息的组合,并且请求认证管理机构60发放证书。在管理通信装置20中预先设置了管理通信装置标识信息,以便标识管理通信装置20,并且该信息是可以使管理通信装置20能够被验证的任意类型的信息。例如,该信息可以是管理通信装置20的序列号或MAC地址。
如果基于验证信息的验证是成功的,那么证书获取部分23就获取由认证管理机构60发放的证书。
可以通过任意形式实现上述标识信息获取部分21、证书发放请求部分22和证书获取部分23,例如通过记录在记录介质上(例如ROM)的程序,并且由CPU执行该程序。
另一方面,认证管理机构60具有一个发放请求接收部分61、登记信息存储部分62和证书发放部分63。
发放请求接收部分61从管理通信装置20接收上述的验证信息和与之相伴的证书发放请求。
登记信息存储部分62是一种登记有登记信息的适当的存储介质,其中该登记信息显示了管理通信装置20和应该与其相连的设备10的标识信息的组合。
证书发放部分63通过将管理通信装置20提供的验证信息与登记在登记信息存储器部分62中的登记信息进行比较从而对管理通信装置20进行验证。如果该验证是成功的,那么就将证书发放给管理通信装置20。
接下来将描述本实施例中的对管理通信装置20的验证。尽管制造商或销售商知道关于哪个管理通信装置20将被连接到哪一个设备10的信息,但是第三方并不知道。在本实施例中,通过判断管理通信装置20是否连接到正确的设备10来确认管理通信装置20的正确性。因此,验证信息和登记信息是使认证管理机构60通过判断连接组合的正确性就可对管理通信装置20进行验证的任意类型的信息。
在上述结构中,为了提高安全级别,验证信息和登记信息最好指示了管理通信装置标识信息、设备标识信息和秘密信息(共享的秘密)的组合,其中该秘密信息是例如在管理通信装置20和认证管理机构60之间共享的许可密钥。在这种情况下,通过判断管理通信装置标识信息、设备标识信息和秘密信息的组合的正确性,来对管理通信装置20进行验证。
此外,在上述结构中,可以在管理通信装置20一侧或在认证管理机构60一侧生成包含一个私钥和一个公钥的密钥对。
可以通过任意形式实现上述发放请求接收部分61和证书发放部分63,例如通过记录在记录介质上(例如ROM)的程序,并且由CPU执行该程序。
图3到图5分别举例说明了证书获取系统1中的证书获取过程。该证书获取过程被分为第一到第三示例性过程,并且参考图3到图5对其进行精确地描述。
第一示例性过程图3中显示了第一示例性过程,其中用于安装PC的一种安装过程触发管理通信装置20开始证书获取过程,并且在管理通信装置20处生成一对密钥。可以在管理通信装置20的安装期间使用该过程。
在步骤S1,设备制造商将设备10的标识信息(设备标识信息)登记到认证管理机构60中。
在步骤S2,管理通信装置制造商将管理通信装置的标识信息(管理通信装置标识信息)和应该与其连接的设备的标识信息登记到认证管理机构60。管理通信装置制造商与设备制造商可以是相同的,也可以是不同的。
在步骤S3,管理通信装置制造商在认证管理机构60处登记已经被设置在管理通信装置20中的秘密信息。
从上述的步骤S1到S3,将其中映射有管理通信装置标识信息、设备标识信息和秘密信息的组合信息(登记信息)登记到认证管理机构60中。尽管在图3中显示了通过箭头将设备10和管理通信装置20连接到认证管理机构60,但是实际上它们之间可以连接,也可以不连接。
如图3中的虚线箭头所示,将设备10和管理通信装置20移动到实际的安装位置(例如客户位置)。
在步骤S4,CE将安装PC 70连接到管理通信装置20,并且从安装PC 70将安装命令发送到管理通信装置20。在该示例性过程中,由该安装命令启动管理通信装置20所执行的下述证书获取过程。
在步骤S5,管理通信装置20从与其连接的设备10获取设备标识信息。
在步骤S6,管理通信装置20生成包含有一个私钥和一个公钥的密钥对。
在步骤S7,管理通信装置20获取它自己的标识信息(管理通信装置标识信息)。
在步骤S8,管理通信装置20获取已经设置在其中的秘密信息。
在步骤S9,管理通信装置20根据设备标识信息、管理通信装置标识信息、私钥、公钥和秘密信息生成一个证书发放请求。更具体地,管理通信装置20生成包含有管理通信装置标识信息、设备标识信息和公钥的发放请求信息。接下来,管理通信装置20使用私钥生成发放请求信息的签名,并且将生成的签名添加到发放请求信息,然后生成签名后的发放请求信息。接下来,将秘密信息添加到该签名后的发放请求信息,并且通过用一种预定的散列(hash)函数对获取的信息进行处理从而计算得到一个散列值。然后,将该散列值添加到签名后的发放请求信息,以便生成证书发放请求。具体而言,该证书发放请求包含管理通信装置标识信息、设备标识信息、公钥、签名和散列值。
在步骤S10,管理通信装置20将证书发放请求发送到认证管理机构60。
在步骤S11,认证管理机构60从管理通信装置20接收证书发放请求。
在步骤S12,认证管理机构60通过使用预先登记的管理通信装置标识信息、设备标识信息和秘密信息对管理通信装置20进行验证。
更具体地,认证管理机构60查询登记信息存储器部分62,并且识别对应于包含在证书发放请求中的管理通信装置标识信息的秘密信息。然后,通过使用识别后的秘密信息,对包含在证书发放请求中的散列值进行验证。具体而言,将识别后的秘密信息添加到应包含在证书发放请求中的签名后的发放请求信息,并且通过用一种预先确定的散列函数对获取的信息进行处理从而计算得到一个散列值。然后,将计算得到的散列值和包含在证书发放请求中的散列值进行比较。该散列值验证确认所述秘密信息的正确性。因此,如果该验证是失败的,那么就不会发放证书。
如果散列值验证是成功的,那么认证管理机构60就使用包含在证书发放请求中的公钥,验证包含在证书发放请求中的签名。具体而言,就是使用公钥对签名进行解密,然后比较通过解密获得的信息和包含在证书发放请求中的发放请求信息。
如果签名验证是成功的,那么认证管理机构60就将包含在证书发放请求中的管理通信装置标识信息和设备标识信息的组合,与预先登记的管理通信装置标识信息和设备标识信息的组合进行比较。通过比较这些组合就可以确认管理通信装置20和设备10的组合的正确性。因此,如果该比较是失败的,那么就不会发放证书。另一方面,如果该比较是成功的,那么就继续执行步骤S13。
在步骤S13,认证管理机构60通过将认证管理机构60的签名添加到包含有公钥和包含在证书发放请求中的管理通信装置标识信息的信息中从而生成证书。
在步骤S14,认证管理机构60将生成的证书发送到管理通信装置20。
在步骤S15,管理通信装置20从认证管理机构60接收认证管理机构60响应于证书发放请求而发放的证书。
尽管在本例子中使用了秘密信息,但是也可以不使用该秘密信息。如果不使用秘密信息,那么就不需要上述的步骤S3和S8。而且,在上述步骤S9中,不需要计算散列值,并且签名后的发放请求信息变为证书发放请求。而且,在上述步骤S12中,不需要验证散列值。
第二示例性过程图4中显示了第二示例性过程,其中管理通信装置20自动地开始证书获取过程,并且在管理通信装置20处生成密钥对。可以在证书更新期间使用该过程。
步骤S21到S23与上述步骤S1到S3相同。如图4中的虚线箭头所示,在步骤S23之后,设备10和管理通信装置20被移到实际安装位置(例如客户位置)。
在该过程中,没有触发动作,例如安装PC的安装命令,并且管理通信装置20自动地开始证书获取过程。例如,当管理通信装置20通电时,它就自动地开始该过程,或者该过程按照一定的周期自动开始执行。
步骤S24到S34与上述的步骤S5到S15相同。
第三示例性过程图5中显示了第三示例性过程,其中管理通信装置20自动地开始证书获取过程,并且在认证管理机构60处生成密钥对。可以在证书更新期间使用该过程。
步骤S41到S43与上述步骤S1到S3相同。如图5中的虚线箭头所示,在步骤S43之后,设备10和管理通信装置20被移到实际安装位置(例如客户位置)。然后,管理通信装置20按照与上述第二示例性过程类似的方式自动地开始进行证书获取过程。
在步骤S44,管理通信装置20从与其连接的设备10获取设备标识信息。
在步骤S45,管理通信装置20获取它自己的标识信息(管理通信装置标识信息)。
在步骤S46,管理通信装置20获取已经设置在其中的秘密信息。
在步骤S47,管理通信装置20根据设备标识信息、管理通信装置标识信息和秘密信息生成一个证书发放请求。更具体地,管理通信装置20生成包含有管理通信装置标识信息和设备标识信息的发放请求信息。接下来,将秘密信息添加到该发放请求信息,并且通过用一种预定的散列函数对获取的信息进行处理从而计算得到一个散列值。然后,将该散列值添加到发放请求信息,以便生成证书发放请求。具体而言,证书发放请求包含管理通信装置标识信息、设备标识信息和散列值。
在步骤S48,管理通信装置20将证书发放请求发送到认证管理机构60。
在步骤S49,认证管理机构60从管理通信装置20接收证书发放请求。
在步骤S50,认证管理机构60通过使用预先登记的管理通信装置标识信息、设备标识信息和秘密信息对管理通信装置20进行验证。
更具体地,认证管理机构60查询登记信息存储部分62,并且识别对应于包含在证书发放请求中的管理通信装置标识信息的秘密信息。然后,通过使用识别的秘密信息,对包含在证书发放请求中的散列值进行验证。具体而言,将识别的秘密信息添加到包含在证书发放请求中的发放请求信息,并且通过用一种预定的散列函数对获取的信息进行处理从而计算得到一个散列值。然后,将计算得到的散列值和包含在证书发放请求中的散列值进行比较。该散列值验证就可以确认该秘密信息的有效性。因此,如果该验证是失败的,那么就不会发放证书。
如果散列值验证是成功的,那么认证管理机构60就将包含在证书发放请求中的管理通信装置标识信息和设备标识信息的组合,与预先登记的管理通信装置标识信息和设备标识信息的组合进行比较。通过比较这些组合就可以确认管理通信装置20和设备10的组合的有效性。因此,如果该比较是失败的,那么就不会发放证书。另一方面,如果该比较是成功的,那么就继续执行步骤S51。
在步骤S51,认证管理机构60生成包含有一个私钥和一个公钥的密钥对。
在步骤S52,认识管理机构60通过将认证管理机构60的签名添加到包含有所生成的公钥和包含在证书发放请求中的管理通信装置标识信息的信息中,从而生成证书。
在步骤S53,认证管理机构60将生成的证书发送到管理通信装置20。
在步骤S54,管理通信装置20从认证管理机构60接收认证管理机构60响应于证书发放请求而发放的证书。
通过一种适当的密钥传送系统,将认证管理机构60生成的私钥从认证管理机构60发送到管理通信装置20。因为认证管理机构60在本示例性过程中可以存储私钥,所以可以避免发生这样一种问题如果管理通信装置20内的私钥丢失了,就无法对加密后的数据进行解密。
如上面所述,在本实施例中,管理通信装置20通过将它自己的验证信息提交给认证管理机构60从而获取证书。因此,根据本实施例,可以降低或消除例如用户在将证书安装到管理通信装置20时的负担。
此外,因为在验证时使用了管理通信装置标识信息和设备标识信息的组合,所以可以实现一种简单的和安全的验证。此外,如果管理通信装置20和设备10之间的连接是未经规定的,那么可以防止使用管理通信装置20。
此外,因为在验证时使用了管理通信装置标识信息、设备标识信息和秘密信息的组合,所以可以进行一种更为安全的验证。此外,该秘密信息可以包含关于允许发放何种类型的证书的控制信息,从而使得对许可级别的控制变得简单。
应该理解,上述实施例并不限制本发明,在本发明的范围内并且在不偏离本发明的精神的情况下可以有多种变形。
例如,设备10并不限于打印装置,它可以是另一种受到控制的设备,例如网络家用电器或自动售货机。
而且,设备10和管理通信装置20的连接并不限于有线连接,它可以是无线连接。
而且,在上述示例性过程中,验证信息包含在证书发放请求中,并且验证信息和发放请求的提交是同时进行的。但是,它们也可以不同时进行。例如,在发送了一个不包含验证信息的证书发放请求之后,管理通信装置20响应于认证管理机构60发出的提交请求从而将认证消息发送到认证管理机构60。
根据本发明的一个方面,提供了一种证书获取系统,它包含一种管理通信装置,该装置连接到一种设备并且还通过网络连接到用于管理设备的管理中心,并且该管理通信装置从该设备获取管理信息,然后将该信息发送到管理中心,并且请求认证管理机构发放数字证书,所述系统具有登记信息存储器部分,其中预先登记了管理通信装置和应该与其连接的设备的标识信息;标识信息获取部分,该部分从该设备获取设备标识信息;证书发放请求部分,该部分请求认证管理机构发放数字证书,并且该请求包含获取的设备标识信息和管理通信装置标识信息;发放请求接收部分,该部分接收对发放数字证书的请求;证书发放部分,该部分通过将包含在请求中的标识信息和预先登记的标识信息进行比较来对管理通信装置进行验证,并且在验证成功的情况下发放数字证书;以及证书获取部分,该部分在验证成功的情况下从认证管理机构获取发放的数字证书。
根据本发明的另一个方面,对数字证书的请求可以包含在管理通信装置和认证管理机构之间共享的秘密信息;并且该秘密信息也可以预先登记在登记信息存储器部分。
根据本发明的另一个方面,证书发放请求部分可以生成一个私钥和一个公钥,通过将基于该私钥的签名添加到包含有管理通信装置标识信息、设备标识信息和公钥的信息从而生成签名后的发放请求,并且发送签名后的发放请求;证书发放部分可以根据公钥对签名进行验证,对接收到的管理通信装置和设备的标识信息与预先登记的标识信息进行比较,并且如果签名的验证和标识信息的比较是成功的,就通过将认证管理机构的签名添加到包含接收到的管理通信装置标识信息和公钥的信息从而生成数字证书。
根据本发明的另一个方面,证书发放请求部分可以生成一个私钥和一个公钥,通过将基于该私钥的签名添加到包含有管理通信装置标识信息、设备标识信息和公钥的信息从而生成签名后的发放请求,将已安装在管理通信装置中的秘密信息添加到签名的发放请求,并且生成包含签名后的发放请求和添加的秘密信息的信息的散列值,并且发送签名后的发放请求和散列值;证书发放部分可以根据预先登记在登记信息存储器部分中的秘密信息从而验证散列值,根据公钥验证签名,并且将接收到的管理通信装置和设备的标识信息,与预先登记的标识信息进行比较,并且如果散列值的验证、签名的验证和标识信息的比较是成功的,就通过将认证管理机构的签名添加到包含接收到的管理通信装置标识信息和公钥的信息从而生成数字证书,并且发送生成的数字证书。
根据本发明的另一方面,如果标识信息的比较是成功的,那么证书发放部分可以生成一个私钥和一个公钥,通过将认证管理机构的签名添加到接收到的管理通信装置标识信息和生成的公钥,从而生成数字证书,并且发送生成的数字证书。
根据本发明的另一个方面,证书发放请求部分生成发放请求的散列值,并且发送发放请求信息和散列值;证书发放部分根据预先登记在登记信息存储部分中的秘密信息验证散列值,并将接收到的管理通信装置和设备的标识信息,与预先登记的标识信息进行比较,并且如果散列值的验证和标识信息的比较是成功的,就生成一个私钥和一个公钥,并且通过将认证管理机构的签名添加到包含接收到的管理通信装置标识信息和公钥的信息从而生成数字证书,并且发送生成的数字证书。
根据本发明的另一个方面,该设备可以是用于在记录介质上形成图像的一种打印装置。
根据本发明的另一个方面,提供了一种系统中的证书获取方法,该系统包含管理通信装置,该管理通信装置连接到一个设备并且还通过网络连接到用于管理设备的管理中心,该管理通信装置将该设备的管理信息发送到管理中心,从认证管理机构获取数字证书,所述方法包含以下步骤从设备获取设备标识信息;请求认证管理机构发放数字证书,并且该请求包含获取的设备标识信息和管理通信装置标识信息;通过将包含在请求中的标识信息与预先登记在认证管理机构中的管理通信装置和应该与其连接的设备的标识信息进行比较,从而对管理通信装置进行验证;并且在验证成功的情况下发放数字证书。
根据本发明的另一个方面,对数字证书的请求可以包含在管理通信装置和认证管理机构之间共享的秘密信息;并且该秘密信息也可以预先登记在认证管理机构处。
根据本发明的另一个方面,提供了一种管理通信装置,该装置连接到一个设备并且还通过网络连接到用于管理设备的管理中心,并且该管理通信装置从该设备获取管理信息,并将该管理信息发送到管理中心,该管理通信装置具有标识信息获取部分,该部分从设备获取设备标识信息;证书发放请求部分,该部分请求认证管理机构发放数字证书,并且该请求包含获取的设备标识信息和管理通信装置标识信息;以及证书获取部分,该部分在验证成功的情况下从认证管理机构获取由该认证管理机构发放的数字证书。
根据本发明的另一个方面,对数字证书的请求可以包含在管理通信装置和认证管理机构之间共享的秘密信息。
根据本发明的另一个方面,提供了一种认证管理机构,它向管理通信装置发放数字证书,该装置连接到一种设备并且还通过网络连接到用于管理设备的管理中心,并且该管理通信装置从该设备获取管理信息,然后将该管理信息发送到管理中心,另外该认证管理机构具有登记信息存储部分,其中预先登记了管理通信装置和应该与其连接的设备的标识信息;发放请求接收部分,该部分从管理通信装置接收发放数字证书的请求,并且该请求包含管理通信装置标识信息和设备标识信息;以及证书发放部分,该部分通过比较包含在请求中的标识信息和预先登记的标识信息从而对管理通信装置进行验证,并且在验证成功的情况下发放数字证书。
根据本发明的另一个方面,管理通信装置发出的请求可以包含在管理通信装置和认证管理机构之间共享的秘密信息;并且该秘密信息也可以预先登记在登记信息存储部分。
根据本发明的另一个方面,提供了一种计算机可读存储介质,它存储有可以在管理通信装置上执行的一段程序,并且该管理通信装置连接到一个设备并且还通过网络连接到用于管理设备的管理中心,另外从该设备获取管理信息,并且将该管理信息发送到管理中心,该程序使得管理通信装置执行以下功能从该设备获取设备标识信息;请求认证管理机构发放数字证书,该请求包含获取的设备标识信息和管理通信装置标识信息;以及在验证成功的情况下从认证管理机构接收由认证管理机构发出的数字证书。
根据本发明的另一个方面,对数字证书的请求可以包含在管理通信装置和认证管理机构之间共享的秘密信息。
权利要求
1.一种包含管理通信装置的证书获取系统,所述管理通信装置连接到一个设备并且还通过网络连接到用于管理所述设备的管理中心,所述管理通信装置从所述设备获取管理信息,将该管理信息发送到所述管理中心,并且向认证管理机构请求数字证书,所述系统包含登记信息存储部分,其中预先登记了管理通信装置和应该被连接的设备的标识信息;标识信息获取部分,用于从所述设备获取设备标识信息;证书发放请求部分,用于请求所述认证管理机构发放所述数字证书,该请求包含所述获取的设备标识信息和管理通信装置标识信息;发放请求接收部分,用于接收所述对发放所述数字证书的请求;证书发放部分,用于通过将包含在所述请求中的所述标识信息与所述预先登记的标识信息进行比较,从而对所述管理通信装置进行验证,并且如果所述验证成功,则发放所述数字证书;以及证书获取部分,用于如果所述验证成功,则从所述认证管理机构获取所述发放的数字证书。
2.如权利要求1所述的证书获取系统,其中对所述数字证书的请求包含在所述管理通信装置和所述认证管理机构之间共享的秘密信息;并且该秘密信息也预先登记在所述登记信息存储部分。
3.如权利要求1所述的证书获取系统,其中所述证书发放请求部分生成一个私钥和一个公钥,通过将基于该私钥的签名添加到包含所述管理通信装置标识信息、所述设备标识信息和所述公钥的信息,从而生成签名后的发放请求,并且发送该签名后的发放请求;以及所述证书发放部分根据所述公钥对所述签名进行验证,将接收到的所述管理通信装置和所述设备的标识信息与所述预先登记的标识信息进行比较,并且如果所述签名的验证和所述标识信息的比较是成功的,就通过将所述认证管理机构的签名添加到包含所述接收到的管理通信装置标识信息和所述公钥的信息,从而生成数字证书。
4.如权利要求2所述的证书获取系统,其中所述证书发放请求部分生成一个私钥和一个公钥,通过将基于该私钥的签名添加到包含所述管理通信装置标识信息、所述设备标识信息和所述公钥的信息,从而生成签名后的发放请求,将已安装在所述管理通信装置中的秘密信息添加到所述签名后的发放请求,并且生成包含所述签名后的发放请求和所述添加的秘密信息的信息的散列值,并且发送所述签名后的发放请求和所述散列值;以及所述证书发放部分根据预先登记在所述登记信息存储部分中的所述秘密信息来验证所述散列值,根据所述公钥验证所述签名,并且将接收到的所述管理通信装置和所述设备的标识信息,与所述预先登记的标识信息进行比较,并且如果所述散列值的验证、所述签名的验证和所述标识信息的比较都是成功的,就通过将所述认证管理机构的签名添加到包含所述接收到的管理通信装置标识信息和所述公钥的信息,从而生成数字证书,并且发送所述生成的数字证书。
5.如权利要求1所述的证书获取系统,其中如果所述标识信息的比较是成功的,则所述证书发放部分生成一个私钥和一个公钥,通过将所述认证管理机构的签名添加到所述接收到的管理通信装置标识信息和所述生成的公钥,从而生成数字证书,并且发送所述生成的数字证书。
6.如权利要求2所述的证书获取系统,其中所述证书发放请求部分生成所述发放请求的散列值,并且发送所述发放请求信息和所述散列值;以及所述证书发放部分根据预先登记在所述登记信息存储部分中的所述秘密信息验证所述散列值,将接收到的所述管理通信装置和所述设备的标识信息,与所述预先登记的标识信息进行比较,并且如果所述散列值的验证和所述标识信息的比较是成功的,则生成一个私钥和一个公钥,并且通过将所述认证管理机构的签名添加到包含所述接收到的管理通信装置标识信息和所述公钥的信息,从而生成数字证书,并且发送所述生成的数字证书。
7.如权利要求1所述的证书获取系统,其中,所述设备是用于在记录介质上形成图像的打印装置。
8.一种包含管理通信装置的系统中的证书获取方法,所述管理通信装置连接到一个设备并且还通过网络连接到用于管理所述设备的管理中心,所述管理通信装置将所述设备的管理信息发送到所述管理中心,并且从证书管理机构获取数字证书,所述方法包括从所述设备获取设备标识信息;请求所述认证管理机构发放数字证书,所述请求包含所述获取的设备标识信息和管理通信装置标识信息;通过将包含在所述请求中的标识信息与预先登记在所述认证管理机构中的、所述管理通信装置和所述应该连接的设备的标识信息进行比较,从而对所述管理通信装置进行验证;以及如果所述验证成功,则发放数字证书。
9.如权利要求8所述的证书获取方法,其中对所述数字证书的请求包含在所述管理通信装置和所述认证管理机构之间共享的秘密信息;并且该秘密信息也预先登记在所述证书管理机构中。
10.一种管理通信装置,其连接到一个设备并且还通过网络连接到用于管理所述设备的管理中心,所述管理通信装置从所述设备获取管理信息,并将该管理信息发送到所述管理中心,所述管理通信装置包含标识信息获取部分,用于从所述设备获取设备标识信息;证书发放请求部分,用于请求所述认证管理机构发放数字证书,所述请求包含所述获取的设备标识信息和管理通信装置标识信息;以及证书获取部分,用于如果验证成功,则从所述认证管理机构获取由该认证管理机构发放的数字证书。
11.如权利要求10所述的管理通信装置,其中对所述数字证书的请求包含在所述管理通信装置和所述认证管理机构之间共享的秘密信息。
12.一种认证管理机构,用于向管理通信装置发放数字证书,该管理通信装置连接到一个设备并且还通过网络连接到用于管理所述设备的管理中心,并且所述管理通信装置从所述设备获取管理信息,并将该管理信息发送到所述管理中心,所述认证管理机构包含登记信息存储部分,用于预先登记管理通信装置和应该连接的设备的标识信息;发放请求接收部分,用于从所述管理通信装置接收发放数字证书的请求,该请求包含管理通信装置标识信息和设备标识信息;以及证书发放部分,用于通过将包含在所述请求中的标识信息与预先登记的标识信息进行比较,从而对所述管理通信装置进行验证,并且如果所述验证成功,则发放数字证书。
13.如权利要求12所述的认证管理机构,其中来自所述管理通信装置的所述请求包含在所述管理通信装置和所述认证管理机构之间共享的秘密信息;并且该秘密信息也预先登记在所述登记信息存储部分中。
14.一种计算机可读存储介质,用于存储在管理通信装置上执行的程序,所述管理通信装置连接到一个设备并且还通过网络连接到用于管理所述设备的管理中心,所述管理通信装置从所述设备获取管理信息,并且将所述管理信息发送到所述管理中心,所述程序使得管理通信装置执行以下功能从设备获取设备标识信息;请求认证管理机构发放数字证书,该请求包含所述获取的设备标识信息和管理通信装置标识信息;以及如果验证成功,则从所述认证管理机构接收由该认证管理机构发出的数字证书。
15.如权利要求14所述的存储介质,其中,对所述数字证书的请求包含在所述管理通信装置和所述认证管理机构之间共享的秘密信息。
全文摘要
一种包含管理通信装置的证书获取系统,该装置连到一设备并通过网络连到用于管理设备的管理中心,并且该装置从该设备获取管理信息,并将其发送到管理中心,并向认证管理机构请求数字证书,该系统包含预先登记了管理通信装置和应连接设备的标识信息的登记信息存储部分;从设备获取设备标识信息的标识信息获取部分;请求认证管理机构发放数字证书的证书发放请求部分,请求包含获取的设备和管理通信装置的标识信息;接收发放数字证书请求的发放请求接收部分;证书发放部分,通过比较请求中包含的标识信息和预先登记的标识信息来验证管理通信装置,如果验证成功则发放数字证书;证书获取部分,如果验证成功,则从认证管理机构获取发放的数字证书。
文档编号H04L12/24GK1838593SQ20061005980
公开日2006年9月27日 申请日期2006年3月7日 优先权日2005年3月7日
发明者横田智文 申请人:富士施乐株式会社
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1