通信認証用の電子証明書管理システム及び端末装置
【課題】更新用の新しい電子証明書の通信中にデータの破損が生じても通信が不能になるのを避けることができる電子証明書管理システムを提供する。
【解決手段】通信管理装置11とIP回線ユニット63はセンタ端末間VPN21で接続され、VPN接続時の認証に電子証明書が使われる。通信管理装置11のアカウント管理サーバ41は証明書管理装置に相当し、更新用の新しい電子証明書を端末装置へ送信する。IP回線ユニット63は端末装置であり、その制御部101は、記憶部103に更新前の電子証明書を残しつつ、受信した新しい電子証明書をも記憶させる。制御部101は、通信接続部105に新しい電子証明書を用いた通信接続を指示する。通信接続部105が通信接続に失敗したときに、制御部101は、記憶部103に残された更新前の電子証明書を用いた通信接続を通信接続部105に指示する。
【解決手段】通信管理装置11とIP回線ユニット63はセンタ端末間VPN21で接続され、VPN接続時の認証に電子証明書が使われる。通信管理装置11のアカウント管理サーバ41は証明書管理装置に相当し、更新用の新しい電子証明書を端末装置へ送信する。IP回線ユニット63は端末装置であり、その制御部101は、記憶部103に更新前の電子証明書を残しつつ、受信した新しい電子証明書をも記憶させる。制御部101は、通信接続部105に新しい電子証明書を用いた通信接続を指示する。通信接続部105が通信接続に失敗したときに、制御部101は、記憶部103に残された更新前の電子証明書を用いた通信接続を通信接続部105に指示する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信接続時の認証のために端末装置に割り当てられた電子証明書を証明書管理装置で管理する通信認証用の電子証明書管理システムに関し、特に、電子証明書の更新処理に関する。
【背景技術】
【0002】
従来、店舗、工場等の監視対象を遠隔の監視センタで監視するシステムにおいては、監視対象に設置された監視端末が監視センタと通信する。監視端末は、監視映像や、センサによって検出された警備関連の信号などを監視センタへと送信する。
【0003】
近年、ネットワーク技術の発展を背景として、監視システムの通信回線としてブロードバンド回線を利用することが提案されている。ただし、送信されるデータが、監視映像や警備関連の信号といったように秘匿性の要求が高いデータであるため、通信のセキュリティについての要求レベルも高い。そこで、仮想的な専用線として機能するVPN(仮想プライベートネットワーク)を監視センタと監視端末の間に構築して、通信のセキュリティを確保することが提案されている(特許文献1)。
【0004】
監視システムにVPNを適用する場合、監視センタにVPNサーバを備え、各監視端末をVPNクライアントとして機能させることが考えられる。監視センタと各々の監視端末の間にVPNトンネルが構築され、そして、監視情報のパケットがカプセル化され、VPNトンネルを通して監視センタと監視端末の間で通信される。このような構成により、監視センタは、複数の監視端末からVPNを利用して監視情報を入手できる。
【0005】
VPNトンネルを構築するときは、クライアントである監視端末の認証が行われる。この認証には、監視端末毎に割り振られた電子証明書が好適に利用される。監視端末から監視センタへ電子証明書を含むVPN接続要求が送信され、公開鍵認証が行われ、これにより、監視端末が正規の端末であることが証明される。
【0006】
電子証明書には、電子署名等の正当性を検証する際に利用され、信頼のある第三者機関から発行されるものを用いる。このような電子証明書には通常有効期限が設定されている。そのため、電子証明書の期限切れが近くなると、自動的に新しい電子証明書を発行するシステムが提案されている(特許文献2)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2006−203313号公報
【特許文献2】特開2002−215826号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、電子証明書の自動更新を、上述のようなVPN利用型の監視システムに適用すると、新しい電子証明書のデータが監視センタから監視端末へ送信中に破損した場合に、VPN接続ができなくなり、監視情報をVPNで送信できなくなってしまうという問題があった。
【0009】
より詳細に説明すると、VPNにおいては、VPNクライアントとVPNサーバのうちで、VPNトンネル構築を要求する役割は、VPNクライアントが担っている。VPNクライアントがVPN接続要求をVPNサーバへと送り、この要求に応えてVPNトンネルが構築される。また、VPNの切断もVPNクライアント側の処理によって行われる。
【0010】
したがって、監視センタ及び監視端末がそれぞれVPNサーバ及びVPNクライアントである場合、監視端末がVPN接続要求をVPNサーバに送ることにより、VPN接続が確立され、VPNトンネルが構築される。このとき、電子証明書がVPN接続要求に付加されて、認証に利用される。また、VPNの切断も、監視端末側の処理によって行われる。
【0011】
さて、このような監視システムにおいて、電子証明書の期限切れが近づき、監視センタから監視端末へ新しい電子証明書をダウンロードしたとする。上述したように、VPNの接続要求と切断は、監視端末側の役目である。そこで、監視端末は、新しい電子証明書を受信すると、VPNを一旦切断し、それから新しい電子証明書を用いたVPN接続要求を監視センタに送信し、再接続を試みる。
【0012】
しかし、監視センタから監視端末へのダウンロード中に何らかの理由で電子証明書のデータが破損していたとする。監視端末は、新しい電子証明書の破損を検出できない。そのため、新しい電子証明書が破損しているにも拘わらず、監視端末は、VPNを切断してしまう。続いて監視端末は新しい電子証明書を含むVPN接続要求を監視センタに送り、通信接続を試みるが、電子証明書のデータが破損しているために、認証が成功せず、VPNトンネルが構築されない。監視端末は自らVPNを切断してしまっているので、代わりの新しい電子証明書をVPN経由でダウンロードすることすらもできない。その結果、監視端末と監視センタのVPN通信が不可能になり、監視情報も送信できなくなる。
【0013】
監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高い。そのため、上記のような電子証明書の破損によって通信が不能になる事態を極力回避することが望まれる。
【0014】
上記では、VPN利用型の監視システムを取り上げて、本発明の背景について説明した。しかし、同様の問題は、監視システム以外でも生じ得るし、VPN以外でも生じ得る。すなわち、通信の認証に電子証明書を用いるシステムにおいて、電子証明書の更新を通信で行う場合、上記の例と同様、新しい電子証明書のデータ破損によって、通信が不能になる事態が生じるという問題がある。
【0015】
本発明は、上記背景の下でなされたもので、その目的は、通信接続時の認証に電子証明書を用いるシステムにおいて、更新用の新しい電子証明書を端末装置へ送信中にデータの破損が生じても通信が不能になるのを避けられる技術を提供することにある。
【課題を解決するための手段】
【0016】
本発明は、通信接続時の認証のために端末装置に割り当てられた電子証明書を証明書管理装置で管理する通信認証用の電子証明書管理システムであって、前記証明書管理装置は、前記端末装置に記憶してある更新前の電子証明書に代えて使用すべき新しい電子証明書を前記端末装置へ送信し、前記端末装置は、前記電子証明書を記憶する記憶部と、前記電子証明書を用いて通信接続を行う通信接続部と、前記通信接続部を制御し、前記更新前の電子証明書から前記新しい電子証明書への証明書更新のための処理を行う制御部とを有し、前記制御部は、前記証明書管理装置からの前記新しい電子証明書を受信すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示する。
【0017】
上記のように、本発明によれば、端末装置は、新しい電子証明書を受信したときに、更新前の電子証明書を記憶部に残しつつ、新しい電子証明書を記憶部に記憶する。そして、新しい電子証明書を用いた通信接続に失敗したときに、記憶部に残された更新前の電子証明書を用いて通信接続を行う。したがって、更新用の新しい電子証明書を端末装置へ送信中に電子証明書のデータの破損が生じても通信が不能になるのを避けることができる。
【0018】
さらに、本発明によれば、上記のように更新前の電子証明書を用いることによって通信可能な状態を確保しているので、再度、新しい電子証明書を端末装置に送信することができ、これにより電子証明書の更新を完了することもできる。
【0019】
また、本発明の別の態様は、通信接続時の認証に電子証明書が必要な通信を行う端末装置であって、前記電子証明書を記憶する記憶部と、前記電子証明書を用いて通信接続を行う通信接続部と、前記記憶部に記憶した更新前の電子証明書に代えて使用すべき新しい電子証明書を通信により取得し、前記通信接続部を制御し、証明書更新のための処理を行う制御部とを有し、前記制御部は、前記新しい電子証明書を通信により取得すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示する。
【0020】
この端末装置の態様によっても、新しい電子証明書を受信したときに、更新前の電子証明書を記憶部に残しておくことで、更新用の新しい電子証明書を端末装置へ送信中にデータの破損が生じても通信が不能になるのを避けることができ、したがって、上述の電子証明書管理システムと同様の利点が得られる。
【0021】
また、前記制御部は、前記新しい電子証明書を用いた通信接続が成功したときに、前記記憶部に残してある前記更新前の電子証明書を破棄してよく、前記新しい電子証明書を用いた通信接続が失敗したときに、前記記憶部から前記新しい電子証明書を破棄してよい。
【0022】
この構成により、更新前の電子証明書と新しい電子証明書を記憶部に併存させた状態から、使用不能な電子証明書を破棄し、使用可能な電子証明書を記憶部に残し、以降に電子証明書を使用する処理に適切に対応できる。
【0023】
また、前記通信接続部は、通信接続の処理として、前記電子証明書を含むVPN接続要求を送信するように構成されてよく、前記制御部は、前記新しい電子証明書を含むVPN接続要求によるVPN接続に失敗したときに、前記記憶部に残された更新前の電子証明書を含むVPN接続要求を前記通信接続部に送信させてよい。
【0024】
この構成では、本発明がVPNに適用され、そして、電子証明書を端末装置へ送信中に破損した場合でもVPN接続が不能になることを回避できる。この点に関し、VPNの端末装置は、新しい電子証明書を使うにあたり、まず、自ら現在のVPNを一旦切断してしまい、それから新しい電子証明書を含むVPN接続要求をVPNサーバに送る。しかし、電子証明書が破損していると、VPNサーバでの認証が失敗し、VPNが構築されない。このような場合でも、本発明によれば、更新前の電子証明書を使ってVPN接続を確保でき、そして、VPNを介して新しい電子証明書を再度端末装置に供給することができる。
【0025】
また、前記端末装置が監視システムの監視対象に設けられてよく、前記証明書管理装置が遠隔の監視センタに設けられてよく、前記監視対象と前記監視センタが監視情報を通信してよい。
【0026】
上記構成では、本発明が監視システムに適用され、より具体的には、監視センタと接続される監視装置(監視端末)に適用される。監視装置から監視センタへは監視情報が送信される。そして、監視装置への新しい電子証明書の送信中にデータの破損が生じても、通信が不能になる事態を避けることができる。監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。
【0027】
本発明は、上記の電子証明書管理システム及び端末装置の態様に限定されない。本発明は、その他の装置又はシステムの態様で表現されてよく、また、本発明は、方法、プログラム、又は同プログラムを記録したコンピュータで読取可能な記録媒体のかたちで実現されてよい。
【発明の効果】
【0028】
上記のように、本発明によれば、通信の認証に電子証明書を用いるシステムにおいて、更新用の新しい電子証明書を端末装置へ送信中にデータの破損が生じても通信が不能になるのを避けることができる。
【図面の簡単な説明】
【0029】
【図1】本実施の形態の監視システムの全体的な構成を示す図である。
【図2】監視システムの構成をより具体的に示すブロック図である。
【図3】監視システムに組み込まれた本発明の電子証明書管理システムに係る主要な構成を示すブロック図である。
【図4】アカウント管理サーバでの処理を示すフローチャートである。
【図5】IP回線ユニットでの処理を示すフローチャートである。
【図6】更新処理の動作例を示す図である。
【発明を実施するための形態】
【0030】
以下、本発明の実施の形態について説明する。本実施の形態では、本発明の電子証明書管理システムが監視システムに適用される。監視システムでは、監視対象と監視センタとが監視情報を通信する。電子証明書管理システムは、端末装置と証明書管理装置で構成される。下記の実施の形態では、端末装置が監視対象の監視装置に設けられ、証明書管理装置が監視センタの通信管理装置に設けられる。ここではまず、監視システムの構成について説明する。
【0031】
図1は、本発明の監視システムの全体的な構成を示している。図示のように、監視システム1では、監視センタ3、監視対象5及び利用者拠点7の間で通信が行われる。ここで利用者とは、監視システム1による監視対象5の監視サービスの利用者を意味する。本実施の形態の例では、監視対象5が店舗であり、利用者拠点7は店舗のオーナーの事務所である。
【0032】
監視センタ3には、通信管理装置11及び複数のセンタ装置13が備えられており、これらは通信可能に接続されている。通信管理装置11及び複数のセンタ装置13は、地理的には離れた場所に配置されてよい。複数のセンタ装置13は、複数の担当地域にそれぞれ配置されてよい。また、複数のセンタ装置13は機能を分担してよい。例えば、あるセンタ装置13が、警備関連の信号を処理する管制センタ装置として機能してよく、別のセンタ装置13が、監視映像を主に処理する画像センタ装置として機能してよい。なお、本発明の範囲でセンタ装置13が一つでもよい。
【0033】
監視対象5及び利用者拠点7には、それぞれ、監視装置15及び利用者装置17が設けられている。監視装置15及び利用者装置17は本発明の端末に相当する。監視装置15は、監視情報をセンタ装置13及び利用者装置17へ送る。監視情報は、例えば、監視カメラの画像であり、また、監視対象5にて検出された監視信号である。監視信号は、例えば異常発生を示す警備信号であり、警備信号は、監視対象5に設置されたセンサからの検出信号に基づいて生成され、あるいは、警報ボタン(スイッチ)が操作されたときに生成される。また、利用者装置17は、監視装置15へ制御信号や、音声信号を送る。このような利用者装置17から監視装置15への信号も、監視情報に含まれる。
【0034】
図1では、1つの監視対象5及び1つの利用者拠点7が示されている。しかし、実際には、監視センタ3は複数の監視対象5及び複数の利用者拠点7と通信する。したがって、通信管理装置11も、複数の監視装置15及び複数の利用者装置17と通信する。各々の監視装置15は関連づけられた利用者装置17(店舗のオーナーの端末)と通信する。
【0035】
図1の監視システム1において、例えば、監視装置15がセンサ信号等により異常を検出したとする。この場合、監視情報として警備信号が、監視対象5の映像と共に、監視センタ3へ送信される。監視センタ3では、オペレータがセンタ装置13のモニタで警備信号や映像を確認し、警備員に必要な指示を出す。指示を受けた警備員が監視対象5に急行し、異常に対処する。
【0036】
また例えば、監視装置15は、監視対象5の映像等を定期的に、あるいはその他の設定に従って利用者装置17へ送る。例えば、センサによって来客が検出されたときに、映像等が利用者装置17へ送られる。また、利用者装置17から映像等の送信が要求されることもある。オーナーは、映像等によって店舗の様子を把握できる。また、オーナーは、利用者装置17から監視装置15に音声等を送り、店員に必要事項を指示することができる。
【0037】
次に、監視システム1の通信形態について説明する。通信管理装置11、監視装置15及び利用者装置17は、インターネットに接続されている。
【0038】
さらに、通信管理装置11は、インターネット上でセンタ端末間VPN(仮想プライベートネットワーク)21によって監視装置15及び利用者装置17と接続される。センタ端末間VPN21を構築するために、通信管理装置11にVPNサーバ機能が備えられ、監視装置15及び利用者装置17にVPNクライアント機能が備えられる。VPNでは、VPNトンネルが構築され、暗号化通信が行われ、高いセキュリティ性が実現される。
【0039】
また、監視装置15と利用者装置17は、通信管理装置11を介してSIP通信23を行う。SIP通信23は、上記のセンタ端末間VPN21を介して行われる。通信管理装置11にはSIPサーバ機能が備えられている。
【0040】
また、監視装置15と利用者装置17は、通信管理装置11を介さずに、直接に端末間VPN25によって接続される。この端末間VPN25を構築するために、利用者装置17にVPNサーバ機能が備えられ、監視装置15にVPNクライアント機能が備えられる。
【0041】
ここで、センタ端末間VPN21は、常時接続されVPNトンネルが構築されており、センタ装置13と監視装置15及び利用者装置17の間での通信に利用される。これに対して、端末間VPN25は、必要なときのみ構築される。
【0042】
次に、図2を参照し、監視システム1の構成をより具体的に説明する。通信管理装置11は、ファイアウォール31、HTTPサーバ33、VPNサーバ35、SIPサーバ37、アカウント管理サーバ41及びデータベース43を備える。
【0043】
ファイアウォール31は、通信管理装置11と監視装置15及び利用者装置17との間で使用される通信データ以外のデータを遮断する装置である。HTTPサーバ33はインターネット接続のための構成である。VPNサーバ35は、VPNトンネル構築のための認証と暗号化を行うサーバである。
【0044】
VPNサーバ35は、センタ端末間VPN21を実現する構成であり、通信管理装置11と監視装置15の間にVPNを構築し、また、通信管理装置11と利用者装置17の間にVPNを構築する。監視装置15からの信号は、VPNサーバ35で復号化されて、センタ装置13へ送信される。また、センタ装置13からの信号は、VPNサーバ35で暗号化されて、監視装置15へ送信される。また、通信管理装置11が監視装置15に信号を送るときも、VPNサーバ35で暗号化が行われる。通信管理装置11と利用者装置17の通信でも、VPNサーバ35が同様に暗号化及び復号化を行う。
【0045】
SIPサーバ37は、SIPプロトコルに従ってシグナリングの処理を行い、監視装置15と利用者装置17を接続する。SIPサーバ37は、利用者装置17が監視装置15に接続を要求する場合に、もしくは、監視装置15が利用者装置17に接続を要求する場合に、SIPの接続制御の機能を果たす。
【0046】
SIPのシグナリングでは、メッセージが交換される。具体的には、INVITE(招待)メッセージとOKメッセージが交換される。このメッセージ交換を利用して、前述したように、VPN接続確立のためにIPアドレス及び電子証明書が交換される。
【0047】
アカウント管理サーバ41は、認証等の各種の情報を管理するサーバである。管理される情報は、データベース43に格納される。管理される情報は、IP回線のアカウント、VPN接続(トンネル構築)のための電子証明書、鍵ペアの情報を含む。また、本実施の形態では、SIPのシグナリングの過程で、端末間の接続について認証及び認可が行われる。この処理のための情報も、データベース43に保持され、アカウント管理サーバ41に使用される。尚、端末間の接続についての認証及び認可はSIPサーバ37自身が行うようにすることもできる。
【0048】
センタ装置13は、監視卓51と回線接続装置53を備える。監視卓51が回線接続装置53を介して通信管理装置11に接続される。例えば、センタ装置13が画像センタである場合、監視映像が監視卓51に供給され、監視卓51にて管理される。また、センタ装置13が管制センタである場合、警備関連の情報が監視卓51に供給される。監視映像も管制センタのモニタに好適に表示される。監視映像等は、センタ装置同士の間でも通信されてよい。
【0049】
次に、監視装置15について説明する。監視装置15は、コントローラ61、IP回線ユニット63、ルータ65、周辺機器67及び監視対象PC(パーソナルコンピュータ)71で構成されている。
【0050】
コントローラ61はコンピュータで構成されており、周辺機器67と連携して、監視機能を実現する。コントローラ61は、監視センタ3とはIP回線ユニット63を介して接続される。また、コントローラ61は、利用者装置17とも、IP回線ユニット63を介して接続される。
【0051】
図2では、周辺機器67として監視カメラ73、センサ75及び警報ボタン77が例示されている。コントローラ61は、監視映像に対して画像認識処理を施して異常を検出する。また、コントローラ61は、センサ75から入力される検出信号により、異常を検出する。警報ボタン77が押されたときにも異常が検出される。その他の周辺機器が異常検出に用いられてよい。異常が発生すると、コントローラ61はセンタ装置13と通信し、警備信号と画像信号を送信する。監視カメラ73と共にマイクが備えられており、音声信号も送信される。このようにして、コントローラ61は監視対象5の警備機能を実現する。
【0052】
また、監視映像及び音声は、センタ装置13から要求されたときにも送信される。さらに、監視映像及び音声は、利用者装置17にも送られる。利用者装置17への送信は、例えば定期的に行われ、また、その他の設定に従って行われる。例えば、センサ75により来客が検知されると、映像等が利用者装置17に送られる。また、利用者装置17から要求されたときも、監視装置15は映像等を送信する。
【0053】
IP回線ユニット63は、コントローラ61が通信管理装置11と通信するためのVPNトンネルを構築する。また、コントローラ61が利用者装置17と通信するためのVPNトンネルを構築する。前者は、センタ端末間VPN21に対応し、後者は、端末間VPN25に対応する。これらの接続において、IP回線ユニット63は、VPNクライアントの機能を実現する。
【0054】
図2では、IP回線ユニット63がコントローラ61の内部構成として示されている。これは、物理的な配置を表現している。通信構成としては、IP回線ユニット63は、コントローラ61とルータ65の間に配置されている。そして、IP回線ユニット63は、コントローラ61と、イーサネット(登録商標)でLAN接続されている。ルータ65は、ブロードバンド回線用のルータである。
【0055】
監視対象PC71は、監視対象5に設置されるPCである。本実施の形態の例では、監視対象5が店舗である。したがって、監視対象PC71は店舗用のPCでよい。
【0056】
次に、利用者装置17について説明する。利用者装置17は、VPN終端装置(以下、VTE)81、ルータ83及び利用者PC(パーソナルコンピュータ)85で構成されている。
【0057】
VTE81は、ブロードバンド接続のための回線終端装置である。そして、VTE81は、通信管理装置11のVPNサーバ35とVPNトンネルを構築し、また、監視装置15のIP回線ユニット63とVPNトンネルを構築する。前者では、VTE81がVPNクライアントとして機能し、後者では、VTE81がVPNサーバとして機能する。ルータ83は、ブロードバンド回線用のルータである。
【0058】
VTE81は、利用者PC85と接続される。VTE81は、監視装置15のコントローラ61から受信した映像、音声及び制御信号を利用者PC85に転送する。また、VTE81は、利用者PC85から受信した音声及び制御信号をコントローラ61へ転送する。
【0059】
本実施の形態では、利用者拠点7が、店舗のオーナーの事務所等である。したがって、利用者PC85は、店舗のオーナーのPCでよい。
【0060】
以上に、監視システム1の全体的な構成を説明した。次に、本発明の特徴に係る構成について説明する。
【0061】
上述のように、本実施の形態では、監視装置15と通信管理装置11がセンタ端末間VPN21で接続される。VPNでは、端末装置の認証のために電子証明書が好適に利用される。そこで、図1の例では、電子証明書が監視装置15毎、より具体的にはIP回線ユニット63毎に割り振られる。電子証明書は、VPNを構築するときの認証に用いられる。また、電子証明書は、VPN構築後にも必要に応じて利用され、例えば、電子証明書の情報を定期的に確認するときに用いられる。
【0062】
電子証明書は、既に述べたように、電子署名等の正当性を検証する際に利用され、信頼のある第三者機関から発行されるものを用いる。このような電子証明書には有効期限が設定されている。そのため、有効期限が近づくと、電子証明書を更新する必要がある。
【0063】
本実施の形態は、このような電子証明書の更新を適切に行うように構成されている。特に、本実施の形態は、端末側のIP回線ユニット63へのダウンロード中に電子証明書のデータが破損した場合を想定し、このような電子証明書破損によって通信が不能になるのを回避でき、通信不能リスクを最低限に抑えられる技術を提供する。
【0064】
以下の説明では、更新前の現在の電子証明書を、「現証明書」といい、更新後の新しい電子証明書を「新証明書」という。現証明書は、既存のセンタ端末間VPN21の構築時に使われた電子証明書であり、定期的な証明書の鍵情報の確認などにも使われている電子証明書である。新証明書は、現証明書に代わってVPN構築及びその後の処理に使われるべき電子証明書である。
【0065】
図3は、監視システム1の一部であって、本発明の電子証明書の更新に関連する主要な構成を示している。図3において、図1及び図2で説明された要素には、同一の符号が付されている。
【0066】
図3において、通信管理装置11とIP回線ユニット63は、センタ端末間VPN21を介して接続されている。電子証明書の更新処理では、通信管理装置11のアカウント管理サーバ41が、IP回線ユニット63と通信する。この通信は、VPNサーバ35を介し、センタ端末間VPN21を利用して行われる。
【0067】
通信管理装置11において、アカウント管理サーバ41は、各々のIP回線ユニット63に割り振られる電子証明書を管理する。アカウント管理サーバ41は、IP回線ユニット63毎の現証明書の有効期限も管理しており、更新時期をスケジュール化している。更新時期は、有効期限から所定期間前に設定されてよい。更新時期のスケジュールは、データベース43に記憶されていてよい。アカウント管理サーバ41は、データベース43を参照し、更新時期が到来すると更新通知をIP回線ユニット63に送る。そして、アカウント管理サーバ41は、IP回線ユニット63からのダウンロードの要求に応え、新証明書をIP回線ユニット63に送信する。
【0068】
また、アカウント管理サーバ41は、VPNサーバ35に対して、認証機能に新証明書を追加する指示を送る。ここでは、新証明書のコモンネームがVPNサーバ35に伝達される。これにより、VPNサーバ35は、新証明書の認証処理を実行可能な状態になる。
【0069】
また、VPNサーバ35は、新証明書のコモンネームを受け付けても、現証明書のコモンネームをすぐには破棄せず、保持しつづける。これにより、VPNサーバ35は、新証明書及び現証明書の両方の認証を実行可能な状態におかれる。VPNサーバ35は、新証明書を受信して、その認証に成功すると、現証明書のコモンネームを破棄し、新証明書のみを有効にするように構成されている。
【0070】
一方、IP回線ユニット63は、制御部101、記憶部103及び通信接続部105を有する。
【0071】
記憶部103は、IP回線ユニット73で処理される各種の情報を記憶する。本実施の形態に関連して、記憶部103は、電子証明書を記憶する。新証明書がダウンロードされたとき、記憶部103は、制御部101の制御下で、現証明書を残しつつ、新証明書を記憶する。
【0072】
通信接続部105は、制御部101の制御下で、VPNの接続と切断を行う端末側の構成である。通信接続部105は、通信接続時、電子証明書を付加したVPN接続要求を通信管理装置11に送信する。通信管理装置11のVPNサーバ35で、電子証明書の認証が成功すると、VPN接続が確立し、VPNトンネルが構築される。
【0073】
制御部101は、IP回線ユニット63の全体を制御する構成である。制御部101は、IP回線ユニット63の機能を実現するためのプログラムをコンピュータが実行することにより実現される。制御部101は、本実施の形態の証明書更新機能のプログラムも実行する。これにより、制御部101は、記憶部103及び通信接続部105を制御して、新証明書を取得し、現証明書から新証明書への証明書更新のための処理を行う。制御部101の処理については以下の説明で詳細に述べる。
【0074】
次に、図4及び図5を参照し、アカウント管理サーバ41及びIP回線ユニット63で行われる処理を説明する。
【0075】
図4は、アカウント管理サーバ41の処理を示すフローチャートである。アカウント管理サーバ41は、前述のように、IP回線ユニット63毎の電子証明書の更新時期をスケジュールとして管理している。更新時期が到来すると、図4の処理が開始する。
【0076】
アカウント管理サーバ41は、VPNサーバ35に認証可能な電子証明書として新証明書を追加することを指示する(S1)。ここでは、アカウント管理サーバ41は、認証処理に必要な新証明書のコモンネームをVPNサーバ35に伝達し、新証明書を認証可能な電子証明書に設定させる。
【0077】
アカウント管理サーバ41は、さらに、更新通知をIP回線ユニット63に送る(S3)。更新通知は、新証明書の更新時期が到来したことを知らせるものである。そして、アカウント管理サーバ41は、新証明書のダウンロードの要求をIP回線ユニット63から受信し(S5)、新証明書をIP回線ユニット63に送信する(S7)。
【0078】
アカウント管理サーバ41は、新証明書をダウンロードした後、IP回線ユニット63から端末側の更新完了通知を受信したか否かを判定する(S9)。更新完了通知は、新証明書を使ったVPN接続が成功し、端末側の証明書更新が完了したことを示す。更新完了通知を受信すると、アカウント管理サーバ41は、更新完了をデータベース43に記録して(S11)、更新関連の処理を終了する。
【0079】
ステップ9で、更新完了通知が受信されない場合、アカウント管理サーバ41は、新証明書のダウンロード完了から所定の待ち時間が経過したか否かを判断する(S13)。ステップS13がNoの場合(待ち時間がまだ経過していない場合)、ステップS9に戻り、アカウント管理サーバ41は、更新完了通知を待ち続ける。
【0080】
待ち時間が経過し、ステップS13がYesになると、アカウント管理サーバ41は、ステップS1に戻る。したがって、アカウント管理サーバ41は、再度更新通知を送信し、新証明書をIP回線ユニット63にダウンロードする。
【0081】
上記の待ち時間は、更新所要時間に応じて設定されている。更新所要時間は、新証明書を使ったVPN接続に要する標準的な時間である。待ち時間は、更新所要時間に適当な余裕時間を加えた時間に好適に設定される。また、待ち時間は、更新時期から現証明書の有効期間満了までの時間よりも十分短く設定される。これにより、更新時期から有効期限満了までの間に、新証明書を複数回ダウンロードすることが可能であり、証明書失効前に更新を完了できる。
【0082】
図5は、IP回線ユニット63の制御部101により実行される電子証明書の更新関連の処理を示している。図5の処理は、通信管理装置11から更新通知を受信すると開始する。
【0083】
図5において、制御部101は、更新通知を受信すると、新証明書のダウンロードの要求をアカウント管理サーバ41に送り(S21)、新証明書をダウンロードする(S23)。制御部101は、ダウンロードした新証明書を記憶部103に格納する(S25)。このとき、制御部101は、現証明書を記憶部103に残しつつ、新証明書を記憶部103に追加する。
【0084】
次に、制御部101は、通信接続部105に対して、VPNの切断を指示し(S27)、続いて、新証明書を用いたVPN接続を通信接続部105に指示する(S29)。ここでは、具体的には、新証明書を含むVPN接続要求の送信が指示される。このVPN接続の指示が、本発明における通信接続の指示に相当する。通信接続部105は、制御部101の指示に従い、センタ端末間VPN21を一旦切断し、そして、新証明書を含むVPN接続要求を通信管理装置11のVPNサーバ35に送る。
【0085】
次に、制御部101は、VPN接続が成功したか否かを判断する(S31)。この判断は、VPNサーバ35からの通知に基づいて行われる。VPNサーバ35は、新証明書を含むVPN接続要求を受信すると、コモンネームを用いて新証明書の認証を行う。認証に失敗すると、VPN接続も失敗する。VPNサーバ35は、VPN接続が成功したか失敗したかの通知をIP回線ユニット63に送る。したがって、制御部101は、VPNサーバ35からの通知により、VPN接続に成功したか否かを判断できる。
【0086】
ステップS31の判断がYesの場合、制御部101は、記憶部103の現証明書を破棄する(S33)。また、制御部101は、更新完了通知をアカウント管理サーバ41に送信する(S35)。更新完了通知は、前述したように、IP回線ユニット63が新証明書を使ったVPN接続に成功したことを示す。
【0087】
一方、ステップS31の判断がNoの場合、制御部101は、記憶部103に残してある現証明書を用いたVPN接続を通信接続部105に指示する(S37)。通信接続部105は、制御部101の指示に従い、現証明書を含むVPN接続要求をVPNサーバ35に送る。VPNサーバ35は、新証明書だけでなく、現証明書も認証可能な状態にある。このために、VPNサーバ35は、現証明書のコモンネームを保持している。したがって、認証が成功し、VPN接続も成功する。制御部101は、使用不能であった新証明書を破棄し(S39)、処理を終了する。
【0088】
上記の処理において、ステップS23で新証明書が正常にダウンロードされていたとする。この場合、VPN接続が成功し、ステップS31の判断がYesになり、ステップS33、S35を経て電子証明書の更新が無事に完了する。
【0089】
一方、ステップS23で新証明書が正常にダウンロードされず、何らかの原因で新証明書のデータが破損していたとする。制御部101は、新証明書の破損を判別できない。そのため、制御部101は、ステップS27で通信接続部105にセンタ端末間VPN21の切断を指示し、更に、ステップS29にて、破損した新証明書を用いたVPN接続を通信接続部105に指示してしまう。したがって、VPN接続は失敗に終わり、ステップS31の判断がNoになる。
【0090】
この場合、制御部101は、ステップS37にて現証明書を使ったVPN接続を通信接続部105に指示する。これにより、通信不能状態が避けられる。その後、図4のアカウント管理サーバ41側の処理で、所定の待ち時間が経過し、ステップS13の判断がYesになり、再度更新通知が送信される。その結果、制御部101は新証明書を入手することができる。
【0091】
図6は、システム全体の動作の例を示している。この例では、最初の更新処理が失敗に終わる。そして、待ち時間経過後の再度の更新処理が成功する。図6において、アカウント管理サーバ41とIP回線ユニット63の通信は、VPNサーバ35を介して行われる。
【0092】
図6において、アカウント管理サーバ41は、認証可能な電子証明書として新証明書を追加する指示をVPNサーバ35に送り(S51)、電子証明書の更新通知をIP回線ユニット63に送る(S53)。IP回線ユニット63は、新証明書のダウンロード要求をアカウント管理サーバ41に送り(S55)、新証明書がIP回線ユニット63にダウンロードされる(S57)。
【0093】
こうして、最初の新証明書がダウンロードされる。ただし、新証明書のデータは破損していたとする。
【0094】
IP回線ユニット63は、新証明書を含むVPN接続要求をVPNサーバ35に送る(S59)。新証明書のデータが破損しているため、VPNサーバ35での認証は失敗に終わり、VPN接続も失敗に終わり、接続失敗がIP回線ユニット63に通知される(S61)。
【0095】
この場合、IP回線ユニット63は、現証明書を含むVPN接続要求をVPNサーバ35に送る(S63)。今度は認証が成功し、VPN接続も成功し、接続成功がIP回線ユニット63に通知される(S65)。
【0096】
こうして、新証明書のデータが破損している場合、現証明書を使ってVPN接続が確保される。しかし、このままでは、現証明書の有効期限がいつかは切れてしまう。このような事態を避けるため、下記のように再度、更新処理が行われる。
【0097】
図6に示すように、ステップS65の後、時間が経過して、新証明書のダウンロードからの経過時間が、所定の待ち時間に達する(S67)。アカウント管理サーバ41は、待ち時間が経過すると、再度、認証可能な電子証明書として新証明書を追加する指示をVPNサーバ35に送り(S69)、電子証明書の更新通知をIP回線ユニット63に送る(S71)。最初の更新動作と同様、IP回線ユニット63は、新証明書のダウンロード要求をアカウント管理サーバ41に送り(S73)、新証明書がIP回線ユニット63にダウンロードされる(S75)。IP回線ユニット63では、現証明書を記憶部103に記憶させつつ、再ダウンロードした新証明書を記憶する。
【0098】
ここでは、アカウント管理サーバ41は、前回の新証明書とは別の新証明書をIP回線ユニット63に供給する。また、VPNサーバ35では、ステップS69の指示に応答して、別の新証明書のコモンネームが、前回の新証明書のコモンネームに上書きされる。これにより、VPNサーバ35は、現証明書と、前回の新証明書とは別の新証明書とを認証可能な状態になる。
【0099】
ステップS75でIP回線ユニット63に再度ダウンロードされた新証明書は、破損することなく、正常にダウンロードされたとする。この場合、IP回線ユニット63が、新証明書を含むVPN接続要求をVPNサーバ35に送り(S77)、VPN接続が成功し、成功通知がIP回線ユニット63に送信される(S79)。また、VPNサーバ35は、現証明書のコモンネームを破棄し、新証明書のみを有効にする。IP回線ユニット63が、更新完了通知をアカウント管理サーバ41に送り(S81)、アカウント管理サーバ41が更新完了を記録する。
【0100】
以上のようにして、最初の更新に失敗しても、現証明書を使ってVPN接続が確保され、再度更新を行うことができ、有効期限内に更新を完了できる。
【0101】
以上に本発明の実施の形態に係る電子証明書管理システムについて説明した。本実施の形態では、IP回線ユニット63が本発明の端末装置であり、アカウント管理サーバ41が本発明の証明書管理装置であった。本実施の形態によれば、端末装置は、新証明書を受信したときに、更新前の現証明書を記憶部103に残しつつ、新証明書を記憶部103に記憶する。そして、端末装置は、新証明書を用いた通信接続に失敗したときに、記憶部103に残された更新前の電子証明書を用いて通信接続を行う。したがって、ダウンロード中に新証明書のデータの破損が生じても通信が不能になるのを避けることができ、通信不能リスクを最低限に抑えられる。
【0102】
さらに、本発明によれば、上記のように現証明書を用いることによって通信可能な状態を確保しているので、再度、新証明書を端末装置に送信することができ、これにより電子証明書の更新を完了することもできる。
【0103】
また、本実施の形態によれば、端末装置は、新しい電子証明書を用いた通信接続が成功したときに、記憶部103に残してある現証明書を破棄する。また、端末装置は、新証明書を用いた通信接続が失敗したときに、記憶部103から新証明書を破棄する。これにより、現証明書と新証明書を記憶部103に併存させた状態から、使用不能な電子証明書を破棄し、使用可能な電子証明書を記憶部に残し、以降に電子証明書を使用する処理に適切に対応できる。
【0104】
また、本実施の形態によれば、本発明がVPNに適用される。VPNの端末装置は、新証明書を使うためには、まず、自らVPNを一旦切断してしまい、それから新証明書を含むVPN接続要求をサーバに送る。しかし、電子証明書が破損していると、VPNサーバでの認証が失敗し、VPNが構築されない。このような場合でも、本発明によれば、現証明書を使ってVPN接続を確保でき、そして、VPNを介して新しい電子証明書を再度端末装置に供給することができる。
【0105】
また、本実施の形態では、本発明が監視システム1に適用される。そして、監視装置15への新証明書の通信中にデータの破損が生じても、通信が不能になる事態を避けることができる。監視システム1は、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。
【0106】
上記の実施の形態では、IP回線ユニット63の電子証明書の更新に本発明が適用された。しかし、VTE81の電子証明書の更新にも本発明が適用されてよい。
【0107】
また、本発明の範囲内で、本発明が監視システム以外に適用されてよく、VPN以外の通信に適用されてよい。しかし、監視システムでは上記のようにシステムの安全性の要求レベルが高い。また、VPNでは、電子証明書の更新時に端末装置が一旦VPNを切断する。そのため、本発明が適用されないと、VPNの再接続が不可能になる。したがって、本発明は、VPN利用型の監視システムにおいて特に有用であるといえる。
【0108】
以上に本発明の好適な実施の形態を説明したが、本発明は上述の実施の形態に限定されず、当業者が本発明の範囲内で上述の実施の形態を変形可能なことはもちろんである。
【産業上の利用可能性】
【0109】
本発明にかかる電子証明書管理システムは、通信の認証に電子証明書を用いるシステムにおいて有用であり、例えば監視システムに好適に適用される。
【符号の説明】
【0110】
1 監視システム
3 監視センタ
5 監視対象
7 利用者拠点
11 通信管理装置
13 センタ装置
15 監視装置
17 利用者装置
21 センタ端末間VPN
23 SIP通信
25 端末間VPN
33 HTTPサーバ
35 VPNサーバ
37 SIPサーバ
41 アカウント管理サーバ
43 データベース
61 コントローラ
63 IP回線ユニット
65、83 ルータ
73 監視カメラ
81 VPN終端装置(VTE)
85 利用者PC
101 制御部
103 記憶部
105 通信接続部
【技術分野】
【0001】
本発明は、通信接続時の認証のために端末装置に割り当てられた電子証明書を証明書管理装置で管理する通信認証用の電子証明書管理システムに関し、特に、電子証明書の更新処理に関する。
【背景技術】
【0002】
従来、店舗、工場等の監視対象を遠隔の監視センタで監視するシステムにおいては、監視対象に設置された監視端末が監視センタと通信する。監視端末は、監視映像や、センサによって検出された警備関連の信号などを監視センタへと送信する。
【0003】
近年、ネットワーク技術の発展を背景として、監視システムの通信回線としてブロードバンド回線を利用することが提案されている。ただし、送信されるデータが、監視映像や警備関連の信号といったように秘匿性の要求が高いデータであるため、通信のセキュリティについての要求レベルも高い。そこで、仮想的な専用線として機能するVPN(仮想プライベートネットワーク)を監視センタと監視端末の間に構築して、通信のセキュリティを確保することが提案されている(特許文献1)。
【0004】
監視システムにVPNを適用する場合、監視センタにVPNサーバを備え、各監視端末をVPNクライアントとして機能させることが考えられる。監視センタと各々の監視端末の間にVPNトンネルが構築され、そして、監視情報のパケットがカプセル化され、VPNトンネルを通して監視センタと監視端末の間で通信される。このような構成により、監視センタは、複数の監視端末からVPNを利用して監視情報を入手できる。
【0005】
VPNトンネルを構築するときは、クライアントである監視端末の認証が行われる。この認証には、監視端末毎に割り振られた電子証明書が好適に利用される。監視端末から監視センタへ電子証明書を含むVPN接続要求が送信され、公開鍵認証が行われ、これにより、監視端末が正規の端末であることが証明される。
【0006】
電子証明書には、電子署名等の正当性を検証する際に利用され、信頼のある第三者機関から発行されるものを用いる。このような電子証明書には通常有効期限が設定されている。そのため、電子証明書の期限切れが近くなると、自動的に新しい電子証明書を発行するシステムが提案されている(特許文献2)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2006−203313号公報
【特許文献2】特開2002−215826号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、電子証明書の自動更新を、上述のようなVPN利用型の監視システムに適用すると、新しい電子証明書のデータが監視センタから監視端末へ送信中に破損した場合に、VPN接続ができなくなり、監視情報をVPNで送信できなくなってしまうという問題があった。
【0009】
より詳細に説明すると、VPNにおいては、VPNクライアントとVPNサーバのうちで、VPNトンネル構築を要求する役割は、VPNクライアントが担っている。VPNクライアントがVPN接続要求をVPNサーバへと送り、この要求に応えてVPNトンネルが構築される。また、VPNの切断もVPNクライアント側の処理によって行われる。
【0010】
したがって、監視センタ及び監視端末がそれぞれVPNサーバ及びVPNクライアントである場合、監視端末がVPN接続要求をVPNサーバに送ることにより、VPN接続が確立され、VPNトンネルが構築される。このとき、電子証明書がVPN接続要求に付加されて、認証に利用される。また、VPNの切断も、監視端末側の処理によって行われる。
【0011】
さて、このような監視システムにおいて、電子証明書の期限切れが近づき、監視センタから監視端末へ新しい電子証明書をダウンロードしたとする。上述したように、VPNの接続要求と切断は、監視端末側の役目である。そこで、監視端末は、新しい電子証明書を受信すると、VPNを一旦切断し、それから新しい電子証明書を用いたVPN接続要求を監視センタに送信し、再接続を試みる。
【0012】
しかし、監視センタから監視端末へのダウンロード中に何らかの理由で電子証明書のデータが破損していたとする。監視端末は、新しい電子証明書の破損を検出できない。そのため、新しい電子証明書が破損しているにも拘わらず、監視端末は、VPNを切断してしまう。続いて監視端末は新しい電子証明書を含むVPN接続要求を監視センタに送り、通信接続を試みるが、電子証明書のデータが破損しているために、認証が成功せず、VPNトンネルが構築されない。監視端末は自らVPNを切断してしまっているので、代わりの新しい電子証明書をVPN経由でダウンロードすることすらもできない。その結果、監視端末と監視センタのVPN通信が不可能になり、監視情報も送信できなくなる。
【0013】
監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高い。そのため、上記のような電子証明書の破損によって通信が不能になる事態を極力回避することが望まれる。
【0014】
上記では、VPN利用型の監視システムを取り上げて、本発明の背景について説明した。しかし、同様の問題は、監視システム以外でも生じ得るし、VPN以外でも生じ得る。すなわち、通信の認証に電子証明書を用いるシステムにおいて、電子証明書の更新を通信で行う場合、上記の例と同様、新しい電子証明書のデータ破損によって、通信が不能になる事態が生じるという問題がある。
【0015】
本発明は、上記背景の下でなされたもので、その目的は、通信接続時の認証に電子証明書を用いるシステムにおいて、更新用の新しい電子証明書を端末装置へ送信中にデータの破損が生じても通信が不能になるのを避けられる技術を提供することにある。
【課題を解決するための手段】
【0016】
本発明は、通信接続時の認証のために端末装置に割り当てられた電子証明書を証明書管理装置で管理する通信認証用の電子証明書管理システムであって、前記証明書管理装置は、前記端末装置に記憶してある更新前の電子証明書に代えて使用すべき新しい電子証明書を前記端末装置へ送信し、前記端末装置は、前記電子証明書を記憶する記憶部と、前記電子証明書を用いて通信接続を行う通信接続部と、前記通信接続部を制御し、前記更新前の電子証明書から前記新しい電子証明書への証明書更新のための処理を行う制御部とを有し、前記制御部は、前記証明書管理装置からの前記新しい電子証明書を受信すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示する。
【0017】
上記のように、本発明によれば、端末装置は、新しい電子証明書を受信したときに、更新前の電子証明書を記憶部に残しつつ、新しい電子証明書を記憶部に記憶する。そして、新しい電子証明書を用いた通信接続に失敗したときに、記憶部に残された更新前の電子証明書を用いて通信接続を行う。したがって、更新用の新しい電子証明書を端末装置へ送信中に電子証明書のデータの破損が生じても通信が不能になるのを避けることができる。
【0018】
さらに、本発明によれば、上記のように更新前の電子証明書を用いることによって通信可能な状態を確保しているので、再度、新しい電子証明書を端末装置に送信することができ、これにより電子証明書の更新を完了することもできる。
【0019】
また、本発明の別の態様は、通信接続時の認証に電子証明書が必要な通信を行う端末装置であって、前記電子証明書を記憶する記憶部と、前記電子証明書を用いて通信接続を行う通信接続部と、前記記憶部に記憶した更新前の電子証明書に代えて使用すべき新しい電子証明書を通信により取得し、前記通信接続部を制御し、証明書更新のための処理を行う制御部とを有し、前記制御部は、前記新しい電子証明書を通信により取得すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示する。
【0020】
この端末装置の態様によっても、新しい電子証明書を受信したときに、更新前の電子証明書を記憶部に残しておくことで、更新用の新しい電子証明書を端末装置へ送信中にデータの破損が生じても通信が不能になるのを避けることができ、したがって、上述の電子証明書管理システムと同様の利点が得られる。
【0021】
また、前記制御部は、前記新しい電子証明書を用いた通信接続が成功したときに、前記記憶部に残してある前記更新前の電子証明書を破棄してよく、前記新しい電子証明書を用いた通信接続が失敗したときに、前記記憶部から前記新しい電子証明書を破棄してよい。
【0022】
この構成により、更新前の電子証明書と新しい電子証明書を記憶部に併存させた状態から、使用不能な電子証明書を破棄し、使用可能な電子証明書を記憶部に残し、以降に電子証明書を使用する処理に適切に対応できる。
【0023】
また、前記通信接続部は、通信接続の処理として、前記電子証明書を含むVPN接続要求を送信するように構成されてよく、前記制御部は、前記新しい電子証明書を含むVPN接続要求によるVPN接続に失敗したときに、前記記憶部に残された更新前の電子証明書を含むVPN接続要求を前記通信接続部に送信させてよい。
【0024】
この構成では、本発明がVPNに適用され、そして、電子証明書を端末装置へ送信中に破損した場合でもVPN接続が不能になることを回避できる。この点に関し、VPNの端末装置は、新しい電子証明書を使うにあたり、まず、自ら現在のVPNを一旦切断してしまい、それから新しい電子証明書を含むVPN接続要求をVPNサーバに送る。しかし、電子証明書が破損していると、VPNサーバでの認証が失敗し、VPNが構築されない。このような場合でも、本発明によれば、更新前の電子証明書を使ってVPN接続を確保でき、そして、VPNを介して新しい電子証明書を再度端末装置に供給することができる。
【0025】
また、前記端末装置が監視システムの監視対象に設けられてよく、前記証明書管理装置が遠隔の監視センタに設けられてよく、前記監視対象と前記監視センタが監視情報を通信してよい。
【0026】
上記構成では、本発明が監視システムに適用され、より具体的には、監視センタと接続される監視装置(監視端末)に適用される。監視装置から監視センタへは監視情報が送信される。そして、監視装置への新しい電子証明書の送信中にデータの破損が生じても、通信が不能になる事態を避けることができる。監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。
【0027】
本発明は、上記の電子証明書管理システム及び端末装置の態様に限定されない。本発明は、その他の装置又はシステムの態様で表現されてよく、また、本発明は、方法、プログラム、又は同プログラムを記録したコンピュータで読取可能な記録媒体のかたちで実現されてよい。
【発明の効果】
【0028】
上記のように、本発明によれば、通信の認証に電子証明書を用いるシステムにおいて、更新用の新しい電子証明書を端末装置へ送信中にデータの破損が生じても通信が不能になるのを避けることができる。
【図面の簡単な説明】
【0029】
【図1】本実施の形態の監視システムの全体的な構成を示す図である。
【図2】監視システムの構成をより具体的に示すブロック図である。
【図3】監視システムに組み込まれた本発明の電子証明書管理システムに係る主要な構成を示すブロック図である。
【図4】アカウント管理サーバでの処理を示すフローチャートである。
【図5】IP回線ユニットでの処理を示すフローチャートである。
【図6】更新処理の動作例を示す図である。
【発明を実施するための形態】
【0030】
以下、本発明の実施の形態について説明する。本実施の形態では、本発明の電子証明書管理システムが監視システムに適用される。監視システムでは、監視対象と監視センタとが監視情報を通信する。電子証明書管理システムは、端末装置と証明書管理装置で構成される。下記の実施の形態では、端末装置が監視対象の監視装置に設けられ、証明書管理装置が監視センタの通信管理装置に設けられる。ここではまず、監視システムの構成について説明する。
【0031】
図1は、本発明の監視システムの全体的な構成を示している。図示のように、監視システム1では、監視センタ3、監視対象5及び利用者拠点7の間で通信が行われる。ここで利用者とは、監視システム1による監視対象5の監視サービスの利用者を意味する。本実施の形態の例では、監視対象5が店舗であり、利用者拠点7は店舗のオーナーの事務所である。
【0032】
監視センタ3には、通信管理装置11及び複数のセンタ装置13が備えられており、これらは通信可能に接続されている。通信管理装置11及び複数のセンタ装置13は、地理的には離れた場所に配置されてよい。複数のセンタ装置13は、複数の担当地域にそれぞれ配置されてよい。また、複数のセンタ装置13は機能を分担してよい。例えば、あるセンタ装置13が、警備関連の信号を処理する管制センタ装置として機能してよく、別のセンタ装置13が、監視映像を主に処理する画像センタ装置として機能してよい。なお、本発明の範囲でセンタ装置13が一つでもよい。
【0033】
監視対象5及び利用者拠点7には、それぞれ、監視装置15及び利用者装置17が設けられている。監視装置15及び利用者装置17は本発明の端末に相当する。監視装置15は、監視情報をセンタ装置13及び利用者装置17へ送る。監視情報は、例えば、監視カメラの画像であり、また、監視対象5にて検出された監視信号である。監視信号は、例えば異常発生を示す警備信号であり、警備信号は、監視対象5に設置されたセンサからの検出信号に基づいて生成され、あるいは、警報ボタン(スイッチ)が操作されたときに生成される。また、利用者装置17は、監視装置15へ制御信号や、音声信号を送る。このような利用者装置17から監視装置15への信号も、監視情報に含まれる。
【0034】
図1では、1つの監視対象5及び1つの利用者拠点7が示されている。しかし、実際には、監視センタ3は複数の監視対象5及び複数の利用者拠点7と通信する。したがって、通信管理装置11も、複数の監視装置15及び複数の利用者装置17と通信する。各々の監視装置15は関連づけられた利用者装置17(店舗のオーナーの端末)と通信する。
【0035】
図1の監視システム1において、例えば、監視装置15がセンサ信号等により異常を検出したとする。この場合、監視情報として警備信号が、監視対象5の映像と共に、監視センタ3へ送信される。監視センタ3では、オペレータがセンタ装置13のモニタで警備信号や映像を確認し、警備員に必要な指示を出す。指示を受けた警備員が監視対象5に急行し、異常に対処する。
【0036】
また例えば、監視装置15は、監視対象5の映像等を定期的に、あるいはその他の設定に従って利用者装置17へ送る。例えば、センサによって来客が検出されたときに、映像等が利用者装置17へ送られる。また、利用者装置17から映像等の送信が要求されることもある。オーナーは、映像等によって店舗の様子を把握できる。また、オーナーは、利用者装置17から監視装置15に音声等を送り、店員に必要事項を指示することができる。
【0037】
次に、監視システム1の通信形態について説明する。通信管理装置11、監視装置15及び利用者装置17は、インターネットに接続されている。
【0038】
さらに、通信管理装置11は、インターネット上でセンタ端末間VPN(仮想プライベートネットワーク)21によって監視装置15及び利用者装置17と接続される。センタ端末間VPN21を構築するために、通信管理装置11にVPNサーバ機能が備えられ、監視装置15及び利用者装置17にVPNクライアント機能が備えられる。VPNでは、VPNトンネルが構築され、暗号化通信が行われ、高いセキュリティ性が実現される。
【0039】
また、監視装置15と利用者装置17は、通信管理装置11を介してSIP通信23を行う。SIP通信23は、上記のセンタ端末間VPN21を介して行われる。通信管理装置11にはSIPサーバ機能が備えられている。
【0040】
また、監視装置15と利用者装置17は、通信管理装置11を介さずに、直接に端末間VPN25によって接続される。この端末間VPN25を構築するために、利用者装置17にVPNサーバ機能が備えられ、監視装置15にVPNクライアント機能が備えられる。
【0041】
ここで、センタ端末間VPN21は、常時接続されVPNトンネルが構築されており、センタ装置13と監視装置15及び利用者装置17の間での通信に利用される。これに対して、端末間VPN25は、必要なときのみ構築される。
【0042】
次に、図2を参照し、監視システム1の構成をより具体的に説明する。通信管理装置11は、ファイアウォール31、HTTPサーバ33、VPNサーバ35、SIPサーバ37、アカウント管理サーバ41及びデータベース43を備える。
【0043】
ファイアウォール31は、通信管理装置11と監視装置15及び利用者装置17との間で使用される通信データ以外のデータを遮断する装置である。HTTPサーバ33はインターネット接続のための構成である。VPNサーバ35は、VPNトンネル構築のための認証と暗号化を行うサーバである。
【0044】
VPNサーバ35は、センタ端末間VPN21を実現する構成であり、通信管理装置11と監視装置15の間にVPNを構築し、また、通信管理装置11と利用者装置17の間にVPNを構築する。監視装置15からの信号は、VPNサーバ35で復号化されて、センタ装置13へ送信される。また、センタ装置13からの信号は、VPNサーバ35で暗号化されて、監視装置15へ送信される。また、通信管理装置11が監視装置15に信号を送るときも、VPNサーバ35で暗号化が行われる。通信管理装置11と利用者装置17の通信でも、VPNサーバ35が同様に暗号化及び復号化を行う。
【0045】
SIPサーバ37は、SIPプロトコルに従ってシグナリングの処理を行い、監視装置15と利用者装置17を接続する。SIPサーバ37は、利用者装置17が監視装置15に接続を要求する場合に、もしくは、監視装置15が利用者装置17に接続を要求する場合に、SIPの接続制御の機能を果たす。
【0046】
SIPのシグナリングでは、メッセージが交換される。具体的には、INVITE(招待)メッセージとOKメッセージが交換される。このメッセージ交換を利用して、前述したように、VPN接続確立のためにIPアドレス及び電子証明書が交換される。
【0047】
アカウント管理サーバ41は、認証等の各種の情報を管理するサーバである。管理される情報は、データベース43に格納される。管理される情報は、IP回線のアカウント、VPN接続(トンネル構築)のための電子証明書、鍵ペアの情報を含む。また、本実施の形態では、SIPのシグナリングの過程で、端末間の接続について認証及び認可が行われる。この処理のための情報も、データベース43に保持され、アカウント管理サーバ41に使用される。尚、端末間の接続についての認証及び認可はSIPサーバ37自身が行うようにすることもできる。
【0048】
センタ装置13は、監視卓51と回線接続装置53を備える。監視卓51が回線接続装置53を介して通信管理装置11に接続される。例えば、センタ装置13が画像センタである場合、監視映像が監視卓51に供給され、監視卓51にて管理される。また、センタ装置13が管制センタである場合、警備関連の情報が監視卓51に供給される。監視映像も管制センタのモニタに好適に表示される。監視映像等は、センタ装置同士の間でも通信されてよい。
【0049】
次に、監視装置15について説明する。監視装置15は、コントローラ61、IP回線ユニット63、ルータ65、周辺機器67及び監視対象PC(パーソナルコンピュータ)71で構成されている。
【0050】
コントローラ61はコンピュータで構成されており、周辺機器67と連携して、監視機能を実現する。コントローラ61は、監視センタ3とはIP回線ユニット63を介して接続される。また、コントローラ61は、利用者装置17とも、IP回線ユニット63を介して接続される。
【0051】
図2では、周辺機器67として監視カメラ73、センサ75及び警報ボタン77が例示されている。コントローラ61は、監視映像に対して画像認識処理を施して異常を検出する。また、コントローラ61は、センサ75から入力される検出信号により、異常を検出する。警報ボタン77が押されたときにも異常が検出される。その他の周辺機器が異常検出に用いられてよい。異常が発生すると、コントローラ61はセンタ装置13と通信し、警備信号と画像信号を送信する。監視カメラ73と共にマイクが備えられており、音声信号も送信される。このようにして、コントローラ61は監視対象5の警備機能を実現する。
【0052】
また、監視映像及び音声は、センタ装置13から要求されたときにも送信される。さらに、監視映像及び音声は、利用者装置17にも送られる。利用者装置17への送信は、例えば定期的に行われ、また、その他の設定に従って行われる。例えば、センサ75により来客が検知されると、映像等が利用者装置17に送られる。また、利用者装置17から要求されたときも、監視装置15は映像等を送信する。
【0053】
IP回線ユニット63は、コントローラ61が通信管理装置11と通信するためのVPNトンネルを構築する。また、コントローラ61が利用者装置17と通信するためのVPNトンネルを構築する。前者は、センタ端末間VPN21に対応し、後者は、端末間VPN25に対応する。これらの接続において、IP回線ユニット63は、VPNクライアントの機能を実現する。
【0054】
図2では、IP回線ユニット63がコントローラ61の内部構成として示されている。これは、物理的な配置を表現している。通信構成としては、IP回線ユニット63は、コントローラ61とルータ65の間に配置されている。そして、IP回線ユニット63は、コントローラ61と、イーサネット(登録商標)でLAN接続されている。ルータ65は、ブロードバンド回線用のルータである。
【0055】
監視対象PC71は、監視対象5に設置されるPCである。本実施の形態の例では、監視対象5が店舗である。したがって、監視対象PC71は店舗用のPCでよい。
【0056】
次に、利用者装置17について説明する。利用者装置17は、VPN終端装置(以下、VTE)81、ルータ83及び利用者PC(パーソナルコンピュータ)85で構成されている。
【0057】
VTE81は、ブロードバンド接続のための回線終端装置である。そして、VTE81は、通信管理装置11のVPNサーバ35とVPNトンネルを構築し、また、監視装置15のIP回線ユニット63とVPNトンネルを構築する。前者では、VTE81がVPNクライアントとして機能し、後者では、VTE81がVPNサーバとして機能する。ルータ83は、ブロードバンド回線用のルータである。
【0058】
VTE81は、利用者PC85と接続される。VTE81は、監視装置15のコントローラ61から受信した映像、音声及び制御信号を利用者PC85に転送する。また、VTE81は、利用者PC85から受信した音声及び制御信号をコントローラ61へ転送する。
【0059】
本実施の形態では、利用者拠点7が、店舗のオーナーの事務所等である。したがって、利用者PC85は、店舗のオーナーのPCでよい。
【0060】
以上に、監視システム1の全体的な構成を説明した。次に、本発明の特徴に係る構成について説明する。
【0061】
上述のように、本実施の形態では、監視装置15と通信管理装置11がセンタ端末間VPN21で接続される。VPNでは、端末装置の認証のために電子証明書が好適に利用される。そこで、図1の例では、電子証明書が監視装置15毎、より具体的にはIP回線ユニット63毎に割り振られる。電子証明書は、VPNを構築するときの認証に用いられる。また、電子証明書は、VPN構築後にも必要に応じて利用され、例えば、電子証明書の情報を定期的に確認するときに用いられる。
【0062】
電子証明書は、既に述べたように、電子署名等の正当性を検証する際に利用され、信頼のある第三者機関から発行されるものを用いる。このような電子証明書には有効期限が設定されている。そのため、有効期限が近づくと、電子証明書を更新する必要がある。
【0063】
本実施の形態は、このような電子証明書の更新を適切に行うように構成されている。特に、本実施の形態は、端末側のIP回線ユニット63へのダウンロード中に電子証明書のデータが破損した場合を想定し、このような電子証明書破損によって通信が不能になるのを回避でき、通信不能リスクを最低限に抑えられる技術を提供する。
【0064】
以下の説明では、更新前の現在の電子証明書を、「現証明書」といい、更新後の新しい電子証明書を「新証明書」という。現証明書は、既存のセンタ端末間VPN21の構築時に使われた電子証明書であり、定期的な証明書の鍵情報の確認などにも使われている電子証明書である。新証明書は、現証明書に代わってVPN構築及びその後の処理に使われるべき電子証明書である。
【0065】
図3は、監視システム1の一部であって、本発明の電子証明書の更新に関連する主要な構成を示している。図3において、図1及び図2で説明された要素には、同一の符号が付されている。
【0066】
図3において、通信管理装置11とIP回線ユニット63は、センタ端末間VPN21を介して接続されている。電子証明書の更新処理では、通信管理装置11のアカウント管理サーバ41が、IP回線ユニット63と通信する。この通信は、VPNサーバ35を介し、センタ端末間VPN21を利用して行われる。
【0067】
通信管理装置11において、アカウント管理サーバ41は、各々のIP回線ユニット63に割り振られる電子証明書を管理する。アカウント管理サーバ41は、IP回線ユニット63毎の現証明書の有効期限も管理しており、更新時期をスケジュール化している。更新時期は、有効期限から所定期間前に設定されてよい。更新時期のスケジュールは、データベース43に記憶されていてよい。アカウント管理サーバ41は、データベース43を参照し、更新時期が到来すると更新通知をIP回線ユニット63に送る。そして、アカウント管理サーバ41は、IP回線ユニット63からのダウンロードの要求に応え、新証明書をIP回線ユニット63に送信する。
【0068】
また、アカウント管理サーバ41は、VPNサーバ35に対して、認証機能に新証明書を追加する指示を送る。ここでは、新証明書のコモンネームがVPNサーバ35に伝達される。これにより、VPNサーバ35は、新証明書の認証処理を実行可能な状態になる。
【0069】
また、VPNサーバ35は、新証明書のコモンネームを受け付けても、現証明書のコモンネームをすぐには破棄せず、保持しつづける。これにより、VPNサーバ35は、新証明書及び現証明書の両方の認証を実行可能な状態におかれる。VPNサーバ35は、新証明書を受信して、その認証に成功すると、現証明書のコモンネームを破棄し、新証明書のみを有効にするように構成されている。
【0070】
一方、IP回線ユニット63は、制御部101、記憶部103及び通信接続部105を有する。
【0071】
記憶部103は、IP回線ユニット73で処理される各種の情報を記憶する。本実施の形態に関連して、記憶部103は、電子証明書を記憶する。新証明書がダウンロードされたとき、記憶部103は、制御部101の制御下で、現証明書を残しつつ、新証明書を記憶する。
【0072】
通信接続部105は、制御部101の制御下で、VPNの接続と切断を行う端末側の構成である。通信接続部105は、通信接続時、電子証明書を付加したVPN接続要求を通信管理装置11に送信する。通信管理装置11のVPNサーバ35で、電子証明書の認証が成功すると、VPN接続が確立し、VPNトンネルが構築される。
【0073】
制御部101は、IP回線ユニット63の全体を制御する構成である。制御部101は、IP回線ユニット63の機能を実現するためのプログラムをコンピュータが実行することにより実現される。制御部101は、本実施の形態の証明書更新機能のプログラムも実行する。これにより、制御部101は、記憶部103及び通信接続部105を制御して、新証明書を取得し、現証明書から新証明書への証明書更新のための処理を行う。制御部101の処理については以下の説明で詳細に述べる。
【0074】
次に、図4及び図5を参照し、アカウント管理サーバ41及びIP回線ユニット63で行われる処理を説明する。
【0075】
図4は、アカウント管理サーバ41の処理を示すフローチャートである。アカウント管理サーバ41は、前述のように、IP回線ユニット63毎の電子証明書の更新時期をスケジュールとして管理している。更新時期が到来すると、図4の処理が開始する。
【0076】
アカウント管理サーバ41は、VPNサーバ35に認証可能な電子証明書として新証明書を追加することを指示する(S1)。ここでは、アカウント管理サーバ41は、認証処理に必要な新証明書のコモンネームをVPNサーバ35に伝達し、新証明書を認証可能な電子証明書に設定させる。
【0077】
アカウント管理サーバ41は、さらに、更新通知をIP回線ユニット63に送る(S3)。更新通知は、新証明書の更新時期が到来したことを知らせるものである。そして、アカウント管理サーバ41は、新証明書のダウンロードの要求をIP回線ユニット63から受信し(S5)、新証明書をIP回線ユニット63に送信する(S7)。
【0078】
アカウント管理サーバ41は、新証明書をダウンロードした後、IP回線ユニット63から端末側の更新完了通知を受信したか否かを判定する(S9)。更新完了通知は、新証明書を使ったVPN接続が成功し、端末側の証明書更新が完了したことを示す。更新完了通知を受信すると、アカウント管理サーバ41は、更新完了をデータベース43に記録して(S11)、更新関連の処理を終了する。
【0079】
ステップ9で、更新完了通知が受信されない場合、アカウント管理サーバ41は、新証明書のダウンロード完了から所定の待ち時間が経過したか否かを判断する(S13)。ステップS13がNoの場合(待ち時間がまだ経過していない場合)、ステップS9に戻り、アカウント管理サーバ41は、更新完了通知を待ち続ける。
【0080】
待ち時間が経過し、ステップS13がYesになると、アカウント管理サーバ41は、ステップS1に戻る。したがって、アカウント管理サーバ41は、再度更新通知を送信し、新証明書をIP回線ユニット63にダウンロードする。
【0081】
上記の待ち時間は、更新所要時間に応じて設定されている。更新所要時間は、新証明書を使ったVPN接続に要する標準的な時間である。待ち時間は、更新所要時間に適当な余裕時間を加えた時間に好適に設定される。また、待ち時間は、更新時期から現証明書の有効期間満了までの時間よりも十分短く設定される。これにより、更新時期から有効期限満了までの間に、新証明書を複数回ダウンロードすることが可能であり、証明書失効前に更新を完了できる。
【0082】
図5は、IP回線ユニット63の制御部101により実行される電子証明書の更新関連の処理を示している。図5の処理は、通信管理装置11から更新通知を受信すると開始する。
【0083】
図5において、制御部101は、更新通知を受信すると、新証明書のダウンロードの要求をアカウント管理サーバ41に送り(S21)、新証明書をダウンロードする(S23)。制御部101は、ダウンロードした新証明書を記憶部103に格納する(S25)。このとき、制御部101は、現証明書を記憶部103に残しつつ、新証明書を記憶部103に追加する。
【0084】
次に、制御部101は、通信接続部105に対して、VPNの切断を指示し(S27)、続いて、新証明書を用いたVPN接続を通信接続部105に指示する(S29)。ここでは、具体的には、新証明書を含むVPN接続要求の送信が指示される。このVPN接続の指示が、本発明における通信接続の指示に相当する。通信接続部105は、制御部101の指示に従い、センタ端末間VPN21を一旦切断し、そして、新証明書を含むVPN接続要求を通信管理装置11のVPNサーバ35に送る。
【0085】
次に、制御部101は、VPN接続が成功したか否かを判断する(S31)。この判断は、VPNサーバ35からの通知に基づいて行われる。VPNサーバ35は、新証明書を含むVPN接続要求を受信すると、コモンネームを用いて新証明書の認証を行う。認証に失敗すると、VPN接続も失敗する。VPNサーバ35は、VPN接続が成功したか失敗したかの通知をIP回線ユニット63に送る。したがって、制御部101は、VPNサーバ35からの通知により、VPN接続に成功したか否かを判断できる。
【0086】
ステップS31の判断がYesの場合、制御部101は、記憶部103の現証明書を破棄する(S33)。また、制御部101は、更新完了通知をアカウント管理サーバ41に送信する(S35)。更新完了通知は、前述したように、IP回線ユニット63が新証明書を使ったVPN接続に成功したことを示す。
【0087】
一方、ステップS31の判断がNoの場合、制御部101は、記憶部103に残してある現証明書を用いたVPN接続を通信接続部105に指示する(S37)。通信接続部105は、制御部101の指示に従い、現証明書を含むVPN接続要求をVPNサーバ35に送る。VPNサーバ35は、新証明書だけでなく、現証明書も認証可能な状態にある。このために、VPNサーバ35は、現証明書のコモンネームを保持している。したがって、認証が成功し、VPN接続も成功する。制御部101は、使用不能であった新証明書を破棄し(S39)、処理を終了する。
【0088】
上記の処理において、ステップS23で新証明書が正常にダウンロードされていたとする。この場合、VPN接続が成功し、ステップS31の判断がYesになり、ステップS33、S35を経て電子証明書の更新が無事に完了する。
【0089】
一方、ステップS23で新証明書が正常にダウンロードされず、何らかの原因で新証明書のデータが破損していたとする。制御部101は、新証明書の破損を判別できない。そのため、制御部101は、ステップS27で通信接続部105にセンタ端末間VPN21の切断を指示し、更に、ステップS29にて、破損した新証明書を用いたVPN接続を通信接続部105に指示してしまう。したがって、VPN接続は失敗に終わり、ステップS31の判断がNoになる。
【0090】
この場合、制御部101は、ステップS37にて現証明書を使ったVPN接続を通信接続部105に指示する。これにより、通信不能状態が避けられる。その後、図4のアカウント管理サーバ41側の処理で、所定の待ち時間が経過し、ステップS13の判断がYesになり、再度更新通知が送信される。その結果、制御部101は新証明書を入手することができる。
【0091】
図6は、システム全体の動作の例を示している。この例では、最初の更新処理が失敗に終わる。そして、待ち時間経過後の再度の更新処理が成功する。図6において、アカウント管理サーバ41とIP回線ユニット63の通信は、VPNサーバ35を介して行われる。
【0092】
図6において、アカウント管理サーバ41は、認証可能な電子証明書として新証明書を追加する指示をVPNサーバ35に送り(S51)、電子証明書の更新通知をIP回線ユニット63に送る(S53)。IP回線ユニット63は、新証明書のダウンロード要求をアカウント管理サーバ41に送り(S55)、新証明書がIP回線ユニット63にダウンロードされる(S57)。
【0093】
こうして、最初の新証明書がダウンロードされる。ただし、新証明書のデータは破損していたとする。
【0094】
IP回線ユニット63は、新証明書を含むVPN接続要求をVPNサーバ35に送る(S59)。新証明書のデータが破損しているため、VPNサーバ35での認証は失敗に終わり、VPN接続も失敗に終わり、接続失敗がIP回線ユニット63に通知される(S61)。
【0095】
この場合、IP回線ユニット63は、現証明書を含むVPN接続要求をVPNサーバ35に送る(S63)。今度は認証が成功し、VPN接続も成功し、接続成功がIP回線ユニット63に通知される(S65)。
【0096】
こうして、新証明書のデータが破損している場合、現証明書を使ってVPN接続が確保される。しかし、このままでは、現証明書の有効期限がいつかは切れてしまう。このような事態を避けるため、下記のように再度、更新処理が行われる。
【0097】
図6に示すように、ステップS65の後、時間が経過して、新証明書のダウンロードからの経過時間が、所定の待ち時間に達する(S67)。アカウント管理サーバ41は、待ち時間が経過すると、再度、認証可能な電子証明書として新証明書を追加する指示をVPNサーバ35に送り(S69)、電子証明書の更新通知をIP回線ユニット63に送る(S71)。最初の更新動作と同様、IP回線ユニット63は、新証明書のダウンロード要求をアカウント管理サーバ41に送り(S73)、新証明書がIP回線ユニット63にダウンロードされる(S75)。IP回線ユニット63では、現証明書を記憶部103に記憶させつつ、再ダウンロードした新証明書を記憶する。
【0098】
ここでは、アカウント管理サーバ41は、前回の新証明書とは別の新証明書をIP回線ユニット63に供給する。また、VPNサーバ35では、ステップS69の指示に応答して、別の新証明書のコモンネームが、前回の新証明書のコモンネームに上書きされる。これにより、VPNサーバ35は、現証明書と、前回の新証明書とは別の新証明書とを認証可能な状態になる。
【0099】
ステップS75でIP回線ユニット63に再度ダウンロードされた新証明書は、破損することなく、正常にダウンロードされたとする。この場合、IP回線ユニット63が、新証明書を含むVPN接続要求をVPNサーバ35に送り(S77)、VPN接続が成功し、成功通知がIP回線ユニット63に送信される(S79)。また、VPNサーバ35は、現証明書のコモンネームを破棄し、新証明書のみを有効にする。IP回線ユニット63が、更新完了通知をアカウント管理サーバ41に送り(S81)、アカウント管理サーバ41が更新完了を記録する。
【0100】
以上のようにして、最初の更新に失敗しても、現証明書を使ってVPN接続が確保され、再度更新を行うことができ、有効期限内に更新を完了できる。
【0101】
以上に本発明の実施の形態に係る電子証明書管理システムについて説明した。本実施の形態では、IP回線ユニット63が本発明の端末装置であり、アカウント管理サーバ41が本発明の証明書管理装置であった。本実施の形態によれば、端末装置は、新証明書を受信したときに、更新前の現証明書を記憶部103に残しつつ、新証明書を記憶部103に記憶する。そして、端末装置は、新証明書を用いた通信接続に失敗したときに、記憶部103に残された更新前の電子証明書を用いて通信接続を行う。したがって、ダウンロード中に新証明書のデータの破損が生じても通信が不能になるのを避けることができ、通信不能リスクを最低限に抑えられる。
【0102】
さらに、本発明によれば、上記のように現証明書を用いることによって通信可能な状態を確保しているので、再度、新証明書を端末装置に送信することができ、これにより電子証明書の更新を完了することもできる。
【0103】
また、本実施の形態によれば、端末装置は、新しい電子証明書を用いた通信接続が成功したときに、記憶部103に残してある現証明書を破棄する。また、端末装置は、新証明書を用いた通信接続が失敗したときに、記憶部103から新証明書を破棄する。これにより、現証明書と新証明書を記憶部103に併存させた状態から、使用不能な電子証明書を破棄し、使用可能な電子証明書を記憶部に残し、以降に電子証明書を使用する処理に適切に対応できる。
【0104】
また、本実施の形態によれば、本発明がVPNに適用される。VPNの端末装置は、新証明書を使うためには、まず、自らVPNを一旦切断してしまい、それから新証明書を含むVPN接続要求をサーバに送る。しかし、電子証明書が破損していると、VPNサーバでの認証が失敗し、VPNが構築されない。このような場合でも、本発明によれば、現証明書を使ってVPN接続を確保でき、そして、VPNを介して新しい電子証明書を再度端末装置に供給することができる。
【0105】
また、本実施の形態では、本発明が監視システム1に適用される。そして、監視装置15への新証明書の通信中にデータの破損が生じても、通信が不能になる事態を避けることができる。監視システム1は、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。
【0106】
上記の実施の形態では、IP回線ユニット63の電子証明書の更新に本発明が適用された。しかし、VTE81の電子証明書の更新にも本発明が適用されてよい。
【0107】
また、本発明の範囲内で、本発明が監視システム以外に適用されてよく、VPN以外の通信に適用されてよい。しかし、監視システムでは上記のようにシステムの安全性の要求レベルが高い。また、VPNでは、電子証明書の更新時に端末装置が一旦VPNを切断する。そのため、本発明が適用されないと、VPNの再接続が不可能になる。したがって、本発明は、VPN利用型の監視システムにおいて特に有用であるといえる。
【0108】
以上に本発明の好適な実施の形態を説明したが、本発明は上述の実施の形態に限定されず、当業者が本発明の範囲内で上述の実施の形態を変形可能なことはもちろんである。
【産業上の利用可能性】
【0109】
本発明にかかる電子証明書管理システムは、通信の認証に電子証明書を用いるシステムにおいて有用であり、例えば監視システムに好適に適用される。
【符号の説明】
【0110】
1 監視システム
3 監視センタ
5 監視対象
7 利用者拠点
11 通信管理装置
13 センタ装置
15 監視装置
17 利用者装置
21 センタ端末間VPN
23 SIP通信
25 端末間VPN
33 HTTPサーバ
35 VPNサーバ
37 SIPサーバ
41 アカウント管理サーバ
43 データベース
61 コントローラ
63 IP回線ユニット
65、83 ルータ
73 監視カメラ
81 VPN終端装置(VTE)
85 利用者PC
101 制御部
103 記憶部
105 通信接続部
【特許請求の範囲】
【請求項1】
通信接続時の認証のために端末装置に割り当てられた電子証明書を証明書管理装置で管理する通信認証用の電子証明書管理システムであって、
前記証明書管理装置は、前記端末装置に記憶してある更新前の電子証明書に代えて使用すべき新しい電子証明書を前記端末装置へ送信し、
前記端末装置は、
前記電子証明書を記憶する記憶部と、
前記電子証明書を用いて通信接続を行う通信接続部と、
前記通信接続部を制御し、前記更新前の電子証明書から前記新しい電子証明書への証明書更新のための処理を行う制御部とを有し、
前記制御部は、前記証明書管理装置からの前記新しい電子証明書を受信すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示することを特徴とする通信認証用の電子証明書管理システム。
【請求項2】
通信接続時の認証に電子証明書が必要な通信を行う端末装置であって、
前記電子証明書を記憶する記憶部と、
前記電子証明書を用いて通信接続を行う通信接続部と、
前記記憶部に記憶した更新前の電子証明書に代えて使用すべき新しい電子証明書を通信により取得し、前記通信接続部を制御し、証明書更新のための処理を行う制御部とを有し、
前記制御部は、前記新しい電子証明書を通信により取得すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示することを特徴とする端末装置。
【請求項3】
前記制御部は、前記新しい電子証明書を用いた通信接続が成功したときに、前記記憶部に残してある前記更新前の電子証明書を破棄し、前記新しい電子証明書を用いた通信接続が失敗したときに、前記記憶部から前記新しい電子証明書を破棄することを特徴とする請求項2に記載の端末装置。
【請求項4】
前記通信接続部は、通信接続の処理として、前記電子証明書を含むVPN接続要求を送信するように構成され、
前記制御部は、前記新しい電子証明書を含むVPN接続要求によるVPN接続に失敗したときに、前記記憶部に残された更新前の電子証明書を含むVPN接続要求を前記通信接続部に送信させることを特徴とする請求項2又は3に記載の端末装置。
【請求項5】
前記端末装置が監視システムの監視対象に設けられ、前記証明書管理装置が遠隔の監視センタに設けられ、前記監視対象と前記監視センタが監視情報を通信することを特徴とする請求項2〜4のいずれかに記載の端末装置。
【請求項1】
通信接続時の認証のために端末装置に割り当てられた電子証明書を証明書管理装置で管理する通信認証用の電子証明書管理システムであって、
前記証明書管理装置は、前記端末装置に記憶してある更新前の電子証明書に代えて使用すべき新しい電子証明書を前記端末装置へ送信し、
前記端末装置は、
前記電子証明書を記憶する記憶部と、
前記電子証明書を用いて通信接続を行う通信接続部と、
前記通信接続部を制御し、前記更新前の電子証明書から前記新しい電子証明書への証明書更新のための処理を行う制御部とを有し、
前記制御部は、前記証明書管理装置からの前記新しい電子証明書を受信すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示することを特徴とする通信認証用の電子証明書管理システム。
【請求項2】
通信接続時の認証に電子証明書が必要な通信を行う端末装置であって、
前記電子証明書を記憶する記憶部と、
前記電子証明書を用いて通信接続を行う通信接続部と、
前記記憶部に記憶した更新前の電子証明書に代えて使用すべき新しい電子証明書を通信により取得し、前記通信接続部を制御し、証明書更新のための処理を行う制御部とを有し、
前記制御部は、前記新しい電子証明書を通信により取得すると、前記記憶部に前記更新前の電子証明書を残しつつ、前記新しい電子証明書を記憶させ、前記通信接続部に前記新しい電子証明書を用いた通信接続を指示し、前記新しい電子証明書を用いた通信接続に失敗したときに、前記記憶部に残された更新前の電子証明書を用いた通信接続を前記通信接続部に指示することを特徴とする端末装置。
【請求項3】
前記制御部は、前記新しい電子証明書を用いた通信接続が成功したときに、前記記憶部に残してある前記更新前の電子証明書を破棄し、前記新しい電子証明書を用いた通信接続が失敗したときに、前記記憶部から前記新しい電子証明書を破棄することを特徴とする請求項2に記載の端末装置。
【請求項4】
前記通信接続部は、通信接続の処理として、前記電子証明書を含むVPN接続要求を送信するように構成され、
前記制御部は、前記新しい電子証明書を含むVPN接続要求によるVPN接続に失敗したときに、前記記憶部に残された更新前の電子証明書を含むVPN接続要求を前記通信接続部に送信させることを特徴とする請求項2又は3に記載の端末装置。
【請求項5】
前記端末装置が監視システムの監視対象に設けられ、前記証明書管理装置が遠隔の監視センタに設けられ、前記監視対象と前記監視センタが監視情報を通信することを特徴とする請求項2〜4のいずれかに記載の端末装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−251945(P2010−251945A)
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願番号】特願2009−97793(P2009−97793)
【出願日】平成21年4月14日(2009.4.14)
【出願人】(000108085)セコム株式会社 (596)
【Fターム(参考)】
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願日】平成21年4月14日(2009.4.14)
【出願人】(000108085)セコム株式会社 (596)
【Fターム(参考)】
[ Back to top ]