情報機器管理システム、制御方法及びコンピュータで読み取り可能な記憶媒体
【課題】情報機器管理者が情報機器の存在確認を行い、且つ、情報機器管理装置が情報機器の認証を行うことによって、CAを導入しないでも良いようにすることを可能にする。
【解決手段】情報機器管理者が情報機器の存在確認を行い、且つ、情報機器管理装置が情報機器の認証を行うことによって、認証局(CA)を導入しないでも良いようにすることを可能にする。すなわち、情報機器管理装置が公開鍵ペアを生成し、情報機器の認証コードで暗号化して送信し、情報機器は、受信したデータを認証コードで復号して公開鍵ペアを得て登録する。
【解決手段】情報機器管理者が情報機器の存在確認を行い、且つ、情報機器管理装置が情報機器の認証を行うことによって、認証局(CA)を導入しないでも良いようにすることを可能にする。すなわち、情報機器管理装置が公開鍵ペアを生成し、情報機器の認証コードで暗号化して送信し、情報機器は、受信したデータを認証コードで復号して公開鍵ペアを得て登録する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報機器管理において必要な公開鍵の登録管理を安全かつ確実に制御する方法に係る情報機器管理システム、制御方法及びコンピュータで読み取り可能な記憶媒体に関する。
【背景技術】
【0002】
従来の情報機器管理システムにおいて、公開鍵の登録管理は、認証局(Certificate Authority:以降、CAと表記する)が“公開鍵と情報機器の関係”を保証することによって、安全かつ確実に行われていた(例えば、特許文献1参照)。
【特許文献1】特開2001−209313号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、CAは、その運用コストが膨大にかかるため、容易に導入することができないという問題があった。
【0004】
本出願に係る発明の目的は、上記問題点を解決するためになされたもので、情報機器管理者が情報機器の存在確認を行い、且つ、情報機器管理装置が情報機器の認証を行うことによって、CAを導入しないでも良いようにすることを可能にするものである。
【課題を解決するための手段】
【0005】
情報機器管理装置が管理対象の情報機器との間で情報をやり取りして管理を行う際の情報機器管理システムであって、
前記情報機器管理装置が、
前記情報機器の公開鍵ペアを生成する手段と、
前記情報機器固有の認証コードを生成する手段と、
前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信する手段と、
前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号する手段と、
前記認証コードの受信によって前記情報機器を認証する手段とを持ち、
前記情報機器は、
前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信する手段と、
前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号する手段と、
復号した前記公開鍵ペアを登録する手段とを有する。
【発明の効果】
【0006】
本発明によれば、情報機器管理者が情報機器の存在確認を行い、且つ、情報機器管理装置が情報機器の認証を行うことによって、CAを導入しないでも良いようにすることを可能にする。
【発明を実施するための最良の形態】
【0007】
以下、本発明の実施の形態について、図面を参照して説明する。
【実施例】
【0008】
図1は、本発明の一実施例を適用可能なネットワーク構成について記した図である。
【0009】
図1において、110は情報機器管理装置、111および112および113は管理対象となる情報機器である。110から113までのデバイスは、ネットワーク114を通じて相互に接続されている。
【0010】
図2は、本発明の情報機器管理装置110あるいは情報機器111あるいは112あるいは113の内部構成を示した図である。
【0011】
図2において、200は、本発明の情報機器管理装置あるいは情報機器であり、図1における110あるいは111あるいは112あるいは113と同等である。情報機器管理装置あるいは情報機器は、ROM202もしくはハードディスク(HD)204に記憶されたソフトウェアを実行するCPU201を備え、システムバス206に接続される各デバイスを総括的に制御する。
【0012】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。205はLANで、ネットワーク207を通じて、他のネットワーク機器あるいは他のPCと双方向にデータをやりとりする。
【0013】
次に、情報機器管理装置110、情報機器111あるいは112あるいは113の相互関係について、図3を用いて概説する。動作の詳細については、フローチャートを用いて後述する。
【0014】
図3は、情報機器管理装置110と情報機器111あるいは112あるいは113との間において、プロセスあるいはタスクとして実行されるプログラム間の相互の関係について記載した図である。情報機器管理装置300は情報機器管理装置110に対応し、情報機器310は情報機器111〜113のそれぞれに対応する。
【0015】
301は公開鍵ペア生成手段である。302は認証コード生成手段である。303は情報機器認証手段である。304は暗号化送信手段である。305は復号受信手段である。301および302および303および304および305は、情報機器管理装置110上で動作する。311は、公開鍵ペア登録手段である。312は暗号化送信手段である。313は復号受信手段である。311および312および313は、情報機器111あるいは112あるいは113上で動作する。
【0016】
図4は、公開鍵ペア登録手段311の動作を示すフローチャートである。
【0017】
本動作は、情報機器111上のCPU201によって実行される。
【0018】
情報機器111上のCPU201が、情報機器管理者による認証コードの入力を受け付けるとプログラムが開始(ステップ401)する。次に、ステップ402において、ステップ401により受け付けた認証コードをあらかじめ記憶保持している情報機器管理装置の公開鍵で暗号化し、あらかじめ設定されている情報機器管理装置のアドレスに送信する。次に、ステップ403において、ステップ402の応答として、情報機器管理装置から認証コードで暗号化された公開鍵ペアを受信した場合、ステップ404に進み、それ以外は、ステップ406に進む。ステップ404において、ステップ403で得たデータを認証コードで復号し公開鍵ペアを得て、ステップ405に進む。ステップ405において、ステップ404で得た公開鍵を登録する。ステップ406において、情報機器はエラーダイアログ「認証コードが正しくありません。」を表示し、ステップ407に進み処理を終了する。
【0019】
図5は、公開鍵ペア生成手段311の動作を示すフローチャートである。
【0020】
本動作は、情報機器管理装置110上のCPU201によって実行される。
【0021】
情報機器管理装置110上のCPU201が、公開鍵で暗号化された認証コードの入力を受信するとプログラムが開始(ステップ501)する。次に、ステップ502において、ステップ501で受信した暗号化された認証コードをあらかじめ記憶保持している秘密鍵で復号する。ステップ503において、ステップ502で復号した値が、事前に情報機器管理装置自身が生成し記憶保持している認証コードの値と一致しているか検証し、一致していれば、ステップ504に進み、それ以外は、ステップ508に進む。ステップ504において、情報機器管理装置は公開鍵ペアを生成し、認証コードと関連付けて記憶保持しておく。次に、ステップ505において、ステップ504で生成した公開鍵ペアを、対応する認証コードで暗号化し、あらかじめ記憶保持している情報機器のアドレスに送信する。次に、ステップ506において、公開鍵ペアを生成した証としてアクティベーションフラグを立て、ステップ507に進み処理を終了する。ステップ508において、情報機器管理装置は、認証コードが一致しないという内容のエラーコードを情報機器に送信し、ステップ507に進み処理を終了する。
【図面の簡単な説明】
【0022】
【図1】実施例の情報機器管理システムが動作可能なネットワークの構成を示す図
【図2】実施例の情報機器管理装置あるいは情報機器の内部構成を示した図
【図3】情報機器管理装置および情報機器上で動作する各プログラム間の相互関係について記載した図
【図4】情報機器上で動作する公開鍵ペア登録処理の動作について記載したフローチャート
【図5】情報機器管理装置上で動作する公開鍵ペア生成処理の動作について記載したフローチャート
【符号の説明】
【0023】
110 機器管理装置
111、112、113 情報機器
114 ネットワーク
300 情報機器管理装置
301 公開鍵ペア生成手段
302 認証コード生成手段
303 情報機器認証手段
304 暗号化送信手段
305 復号受信手段
310 情報機器
311 公開鍵ペア登録手段
312 暗号化送信手段
313 復号受信手段
【技術分野】
【0001】
本発明は、情報機器管理において必要な公開鍵の登録管理を安全かつ確実に制御する方法に係る情報機器管理システム、制御方法及びコンピュータで読み取り可能な記憶媒体に関する。
【背景技術】
【0002】
従来の情報機器管理システムにおいて、公開鍵の登録管理は、認証局(Certificate Authority:以降、CAと表記する)が“公開鍵と情報機器の関係”を保証することによって、安全かつ確実に行われていた(例えば、特許文献1参照)。
【特許文献1】特開2001−209313号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、CAは、その運用コストが膨大にかかるため、容易に導入することができないという問題があった。
【0004】
本出願に係る発明の目的は、上記問題点を解決するためになされたもので、情報機器管理者が情報機器の存在確認を行い、且つ、情報機器管理装置が情報機器の認証を行うことによって、CAを導入しないでも良いようにすることを可能にするものである。
【課題を解決するための手段】
【0005】
情報機器管理装置が管理対象の情報機器との間で情報をやり取りして管理を行う際の情報機器管理システムであって、
前記情報機器管理装置が、
前記情報機器の公開鍵ペアを生成する手段と、
前記情報機器固有の認証コードを生成する手段と、
前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信する手段と、
前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号する手段と、
前記認証コードの受信によって前記情報機器を認証する手段とを持ち、
前記情報機器は、
前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信する手段と、
前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号する手段と、
復号した前記公開鍵ペアを登録する手段とを有する。
【発明の効果】
【0006】
本発明によれば、情報機器管理者が情報機器の存在確認を行い、且つ、情報機器管理装置が情報機器の認証を行うことによって、CAを導入しないでも良いようにすることを可能にする。
【発明を実施するための最良の形態】
【0007】
以下、本発明の実施の形態について、図面を参照して説明する。
【実施例】
【0008】
図1は、本発明の一実施例を適用可能なネットワーク構成について記した図である。
【0009】
図1において、110は情報機器管理装置、111および112および113は管理対象となる情報機器である。110から113までのデバイスは、ネットワーク114を通じて相互に接続されている。
【0010】
図2は、本発明の情報機器管理装置110あるいは情報機器111あるいは112あるいは113の内部構成を示した図である。
【0011】
図2において、200は、本発明の情報機器管理装置あるいは情報機器であり、図1における110あるいは111あるいは112あるいは113と同等である。情報機器管理装置あるいは情報機器は、ROM202もしくはハードディスク(HD)204に記憶されたソフトウェアを実行するCPU201を備え、システムバス206に接続される各デバイスを総括的に制御する。
【0012】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。205はLANで、ネットワーク207を通じて、他のネットワーク機器あるいは他のPCと双方向にデータをやりとりする。
【0013】
次に、情報機器管理装置110、情報機器111あるいは112あるいは113の相互関係について、図3を用いて概説する。動作の詳細については、フローチャートを用いて後述する。
【0014】
図3は、情報機器管理装置110と情報機器111あるいは112あるいは113との間において、プロセスあるいはタスクとして実行されるプログラム間の相互の関係について記載した図である。情報機器管理装置300は情報機器管理装置110に対応し、情報機器310は情報機器111〜113のそれぞれに対応する。
【0015】
301は公開鍵ペア生成手段である。302は認証コード生成手段である。303は情報機器認証手段である。304は暗号化送信手段である。305は復号受信手段である。301および302および303および304および305は、情報機器管理装置110上で動作する。311は、公開鍵ペア登録手段である。312は暗号化送信手段である。313は復号受信手段である。311および312および313は、情報機器111あるいは112あるいは113上で動作する。
【0016】
図4は、公開鍵ペア登録手段311の動作を示すフローチャートである。
【0017】
本動作は、情報機器111上のCPU201によって実行される。
【0018】
情報機器111上のCPU201が、情報機器管理者による認証コードの入力を受け付けるとプログラムが開始(ステップ401)する。次に、ステップ402において、ステップ401により受け付けた認証コードをあらかじめ記憶保持している情報機器管理装置の公開鍵で暗号化し、あらかじめ設定されている情報機器管理装置のアドレスに送信する。次に、ステップ403において、ステップ402の応答として、情報機器管理装置から認証コードで暗号化された公開鍵ペアを受信した場合、ステップ404に進み、それ以外は、ステップ406に進む。ステップ404において、ステップ403で得たデータを認証コードで復号し公開鍵ペアを得て、ステップ405に進む。ステップ405において、ステップ404で得た公開鍵を登録する。ステップ406において、情報機器はエラーダイアログ「認証コードが正しくありません。」を表示し、ステップ407に進み処理を終了する。
【0019】
図5は、公開鍵ペア生成手段311の動作を示すフローチャートである。
【0020】
本動作は、情報機器管理装置110上のCPU201によって実行される。
【0021】
情報機器管理装置110上のCPU201が、公開鍵で暗号化された認証コードの入力を受信するとプログラムが開始(ステップ501)する。次に、ステップ502において、ステップ501で受信した暗号化された認証コードをあらかじめ記憶保持している秘密鍵で復号する。ステップ503において、ステップ502で復号した値が、事前に情報機器管理装置自身が生成し記憶保持している認証コードの値と一致しているか検証し、一致していれば、ステップ504に進み、それ以外は、ステップ508に進む。ステップ504において、情報機器管理装置は公開鍵ペアを生成し、認証コードと関連付けて記憶保持しておく。次に、ステップ505において、ステップ504で生成した公開鍵ペアを、対応する認証コードで暗号化し、あらかじめ記憶保持している情報機器のアドレスに送信する。次に、ステップ506において、公開鍵ペアを生成した証としてアクティベーションフラグを立て、ステップ507に進み処理を終了する。ステップ508において、情報機器管理装置は、認証コードが一致しないという内容のエラーコードを情報機器に送信し、ステップ507に進み処理を終了する。
【図面の簡単な説明】
【0022】
【図1】実施例の情報機器管理システムが動作可能なネットワークの構成を示す図
【図2】実施例の情報機器管理装置あるいは情報機器の内部構成を示した図
【図3】情報機器管理装置および情報機器上で動作する各プログラム間の相互関係について記載した図
【図4】情報機器上で動作する公開鍵ペア登録処理の動作について記載したフローチャート
【図5】情報機器管理装置上で動作する公開鍵ペア生成処理の動作について記載したフローチャート
【符号の説明】
【0023】
110 機器管理装置
111、112、113 情報機器
114 ネットワーク
300 情報機器管理装置
301 公開鍵ペア生成手段
302 認証コード生成手段
303 情報機器認証手段
304 暗号化送信手段
305 復号受信手段
310 情報機器
311 公開鍵ペア登録手段
312 暗号化送信手段
313 復号受信手段
【特許請求の範囲】
【請求項1】
情報機器管理装置が管理対象の情報機器との間で情報をやり取りして管理を行う際の情報機器管理システムであって、
前記情報機器管理装置が、
前記情報機器の公開鍵ペアを生成する手段と、
前記情報機器固有の認証コードを生成する手段と、
前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信する手段と、
前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号する手段と、
前記認証コードの受信によって前記情報機器を認証する手段とを持ち、
前記情報機器は、
前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信する手段と、
前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号する手段と、
復号した前記公開鍵ペアを登録する手段とを持つことを特徴とする情報機器管理システム。
【請求項2】
情報機器管理装置が管理対象の情報機器にとの間で情報をやり取りして管理を行う際の情報機器管理システムの制御方法であって、
前記情報機器管理装置が、前記情報機器の公開鍵ペアを生成するステップと、
前記情報機器管理装置が、前記情報機器固有の認証コードを生成するステップと、
前記情報機器管理装置が、前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信するステップと、
前記情報機器管理装置が、前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号するステップと、
前記情報機器管理装置が、前記認証コードの受信によって前記情報機器を認証するステップと、
前記情報機器が、前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信するステップと、
前記情報機器が、前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号するステップと、
前記情報機器が、復号した前記公開鍵ペアを登録するステップとを有することを特徴とする情報機器管理システムの制御方法。
【請求項3】
情報機器管理装置が管理対象の情報機器にとの間で情報をやり取りして管理を行う際の情報機器管理システムの制御方法を含むコンピュータで読み取り可能な記憶媒体であって、
前記制御方法は、
前記情報機器管理装置が、前記情報機器の公開鍵ペアを生成するステップと、
前記情報機器管理装置が、前記情報機器固有の認証コードを生成するステップと、
前記情報機器管理装置が、前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信するステップと、
前記情報機器管理装置が、前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号するステップと、
前記情報機器管理装置が、前記認証コードの受信によって前記情報機器を認証するステップと、
前記情報機器が、前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信するステップと、
前記情報機器が、前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号するステップと、
前記情報機器が、復号した前記公開鍵ペアを登録するステップとを有することを特徴とする情報機器管理システムの制御方法を含むコンピュータで読み取り可能な記憶媒体。
【請求項1】
情報機器管理装置が管理対象の情報機器との間で情報をやり取りして管理を行う際の情報機器管理システムであって、
前記情報機器管理装置が、
前記情報機器の公開鍵ペアを生成する手段と、
前記情報機器固有の認証コードを生成する手段と、
前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信する手段と、
前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号する手段と、
前記認証コードの受信によって前記情報機器を認証する手段とを持ち、
前記情報機器は、
前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信する手段と、
前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号する手段と、
復号した前記公開鍵ペアを登録する手段とを持つことを特徴とする情報機器管理システム。
【請求項2】
情報機器管理装置が管理対象の情報機器にとの間で情報をやり取りして管理を行う際の情報機器管理システムの制御方法であって、
前記情報機器管理装置が、前記情報機器の公開鍵ペアを生成するステップと、
前記情報機器管理装置が、前記情報機器固有の認証コードを生成するステップと、
前記情報機器管理装置が、前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信するステップと、
前記情報機器管理装置が、前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号するステップと、
前記情報機器管理装置が、前記認証コードの受信によって前記情報機器を認証するステップと、
前記情報機器が、前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信するステップと、
前記情報機器が、前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号するステップと、
前記情報機器が、復号した前記公開鍵ペアを登録するステップとを有することを特徴とする情報機器管理システムの制御方法。
【請求項3】
情報機器管理装置が管理対象の情報機器にとの間で情報をやり取りして管理を行う際の情報機器管理システムの制御方法を含むコンピュータで読み取り可能な記憶媒体であって、
前記制御方法は、
前記情報機器管理装置が、前記情報機器の公開鍵ペアを生成するステップと、
前記情報機器管理装置が、前記情報機器固有の認証コードを生成するステップと、
前記情報機器管理装置が、前記生成した公開鍵ペアを前記認証コードにより暗号化し、あらかじめ設定された前記情報機器登録情報に基づいて該当する前記情報機器に送信するステップと、
前記情報機器管理装置が、前記情報機器から送信されたデータを受信し、前記情報機器管理装置の秘密鍵によって復号するステップと、
前記情報機器管理装置が、前記認証コードの受信によって前記情報機器を認証するステップと、
前記情報機器が、前記情報機器の管理者が入力した値を前記情報機器管理装置の公開鍵で暗号化して前記情報機器管理装置に送信するステップと、
前記情報機器が、前記情報機器管理装置から送付された値を受信し、前記認証コードによって暗号化された公開鍵ペアを前記管理者が入力した値で復号するステップと、
前記情報機器が、復号した前記公開鍵ペアを登録するステップとを有することを特徴とする情報機器管理システムの制御方法を含むコンピュータで読み取り可能な記憶媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−158775(P2007−158775A)
【公開日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願番号】特願2005−351893(P2005−351893)
【出願日】平成17年12月6日(2005.12.6)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願日】平成17年12月6日(2005.12.6)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]