装置300被认证处理部220认证的情况下,请求处理部210根据处理请求301所包含的请求信息391执行处理,向控制装置200发送包含处理结果的处理响应302。
[0076]认证处理部220使用控制存储部290中存储的认证用参照信息292,进行针对通信装置300的处理请求301的认证处理。
[0077]在不存在针对通信装置300的处理请求301的认证处理中使用的认证用参照信息292的情况下,验证委托部230向验证服务器400发送包含用于生成认证用参照信息292的验证委托信息291的验证请求201,接收包含认证用参照信息292的验证响应202。
[0078]控制存储部290存储控制装置200使用的数据。
[0079]例如,控制存储部290存储由验证委托部230生成的验证委托信息291、由验证委托部230取得的认证用参照信息292等。
[0080]图4是实施方式I中的验证服务器400的结构图。
[0081]根据图4,对实施方式I中的验证服务器400的结构进行说明。
[0082]验证服务器400具备验证处理部410、参照信息生成部420和验证存储部490。
[0083]验证处理部410从控制装置200接收验证请求201,使用验证用参照信息491来进行针对验证请求201所包含的验证委托信息291的验证处理。另外,验证处理部410向控制装置200发送包含由参照信息生成部420生成的认证用参照信息292的验证响应202。
[0084]参照信息生成部420根据验证处理部410的验证结果,生成认证用参照信息292。
[0085]验证存储部490存储验证服务器400使用的数据。
[0086]例如,验证存储部490预先存储验证处理中使用的验证用参照信息491。
[0087]图5是示出实施方式I中的安全处理的流程图。
[0088]根据图5,对安全系统100的安全处理进行说明。
[0089]首先,对安全处理的概要进行说明。
[0090]通信装置300向控制装置200发送处理请求301,控制装置200接收处理请求301 (SllO)。
[0091]控制装置200检索针对通信装置300的处理请求301的认证处理中使用的认证用参照信息292(S120) ο
[0092]在不存在认证用参照信息292的情况下(S121 ??是),控制装置200向验证服务器400发送验证请求201,验证服务器400接收验证请求201 (S122)。
[0093]验证服务器400发送包含认证用参照信息292的验证响应202,控制装置200接收验证响应202(S130)。
[0094]控制装置200使用认证用参照信息292,执行针对通信装置300的处理请求301的认证处理(S140)。
[0095]在认证了通信装置300的处理请求301的情况下(S150 ??是),控制装置200执行处理请求301所请求的处理(S151)。
[0096]控制装置200向通信装置300发送针对处理请求301的处理响应302,通信装置300接收处理响应302 (S152)。
[0097]接下来,对安全处理的详细情况进行说明。
[0098]在SllO中,通信装置300向控制装置200发送处理请求301,控制装置200接收处理请求301。
[0099]图6是示出实施方式I中的通信装置处理(SllO)的流程图。
[0100]根据图6,对实施方式I中的通信装置处理(SllO)进行说明。
[0101]通信装置300 (参照图2)具备处理请求部310和认证信息生成部320。
[0102]在Slll中,处理请求部310生成表示向控制装置200请求的请求处理的内容的请求信息391。
[0103]在Slll之后,处理进入S112。
[0104]在S112中,认证信息生成部320使用私钥394生成针对请求信息391的数字签名(也称为电子签名)。以下,将数字签名称为数字签名或签名。
[0105]认证信息生成部320如以下这样生成数字签名。
[0106]认证信息生成部320使用签名用的哈希(hash)函数,计算请求信息391的哈希值。然后,认证信息生成部320使用私钥394对请求信息391的哈希值进行加密。请求信息391的加密后的哈希值是数字签名。
[0107]在S112之后,处理进入S113。
[0108]在SI 13中,认证信息生成部320生成认证信息392,认证信息392包含:包含公钥的电子证书(证书395);以及在SI 12中所生成的数字签名(签名396)。
[0109]但是,认证信息392也可以是包含证书395的一部分信息(例如,公钥、用于识别证书395的序列号)或与证书395相关的其他信息(例如,证书395的哈希值)的信息。
[0110]在S113之后,处理进入S114。
[0111]在SI 14中,处理请求部310生成包含Slll中生成的请求信息391和SI 13中生成的认证信息392的处理请求301。
[0112]在S114之后,处理进入S115。
[0113]在SI 15中,处理请求部310向控制装置200发送SI 14中生成的处理请求301。然后,控制装置200(参照图3)的请求处理部210接收处理请求301。
[0114]在S115之后,结束通信装置处理(SllO)。
[0115]图7是实施方式I中的处理请求301的结构图。
[0116]如图7所示,处理请求301包含请求信息391和认证信息392。
[0117]另外,认证信息392包含证书395和签名396。
[0118]图8是示出实施方式I中的证书395的一例的图。
[0119]根据图8,作为实施方式I中的证书395的一例,对X.509v3的证书395进行说明。
[0120]证书395包含基本域、扩展域和发行者(CA)的签名。
[0121]基本域设定有用于识别证书395的“序列号(标识符的一例)”、对发行了证书395的发行者进行识别的“发行者名(标识符的一例)”、证书395的“有效期间”、通信装置300的“公钥”等信息。在实施方式中,将表示有效期间的有效期间信息简称为有效期间。对于设定在基本域中的其他信息,省略说明。
[0122]扩展域包含基本域和设定有任意信息的专用区域。对于设定在基本域或专用区域中的信息,省略说明。
[0123]发行者的签名是针对证书395的数字签名,由发行证书395的发行者生成。
[0124]返回图5,继续进行安全处理的说明。
[0125]在SllO之后,处理进入S120。
[0126]在S120中,控制装置200 (参照图3)的认证处理部220从控制存储部290中检索针对通信装置300的处理请求301的认证处理中使用的认证用参照信息292。
[0127]认证处理部220如以下这样检索认证用参照信息292。
[0128]认证处理部220使用参照信息用的哈希函数,计算处理请求301 (参照图7)所包含的证书395的哈希值。然后,认证处理部220检索包含与证书395的哈希值相同的哈希值的认证用参照信息292。哈希值是用于检索认证用参照信息292的索引值或用于识别证书395的标识符的一例。
[0129]但是,认证处理部220也可以通过上述以外的方法来检索认证用参照信息292。例如,在认证用参照信息292是包含电子证书或电子证书的序列号的信息的情况下,认证处理部220检索包含与证书395相同的电子证书或与证书395的序列号相同的序列号的认证用参照信息292。
[0130]在S120之后,处理进入S121。
[0131]在S121中,控制装置200的认证处理部220根据S120的检索结果,判定是否存在针对通信装置300的处理请求301的认证处理中使用的认证用参照信息292。
[0132]在存在相应的认证用参照信息292的情况下(是),处理进入S150。
[0133]在不存在相应的认证用参照信息292的情况下(否),处理进入S122。
[0134]在S122中,控制装置200的验证委托部230从处理请求301 (参照图7)中取得证书395,生成包含证书395的信息作为验证委托信息291。不过,验证委托信息291也可以是包含证书395 (参照图8)的一部分信息(例如序列号、公钥)或与证书395相关的其他信息(例如证书395的哈希值)的信息。
[0135]然后,验证委托部230生成包含验证委托信息291的验证请求201,向验证服务器400发送所生成的验证请求201。验证服务器400接收验证请求201。
[0136]在S122之后,处理进入S130。
[0137]在S130中,验证服务器400生成认证用参照信息292,生成包含所生成的认证用参照信息292的验证响应202。
[0138]然后,验证服务器400向控制装置200发送验证响应202,控制装置200接收验证响应202。
[0139]在S130之后,处理进入S140。
[0140]图9是示出实施方式I中的验证服务器处理(S130)的流程图。
[0141]根据图9,对实施方式I中的验证服务器处理(S130)进行说明。
[0142]验证服务器400 (参照图4)具备验证处理部410和参照信息生成部420。
[0143]在S131中,验证处理部410使用验证用参照信息491和验证请求201所包含的验证委托信息291,执行针对通信装置300的证书395的验证处理。
[0144]例如,验证处理部410如以下的(I)至(3)那样进行验证处理。
[0145](I)假设验证委托信息291包含证书395的序列号。另外,假设验证用参照信息491是表不无效的电子证书的序列号一览的证书失效列表(CRL)。
[0146]验证处理部410检索证书395的序列号是否包含在证书失效列表中。
[0147]在证书395的序列号包含在证书失效列表中的情况下,验证结果是“无效”,在证书395的序列号未包含在证书失效列表中的情况下,验证结果是“有效”。