專利名稱:信息處理裝置����、證書管理方法、證書管理程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種信息處理裝置、證書管理方法�����、證書管理程序,
尤其涉及具有使用數(shù)字證書的應(yīng)用Application)的信息處理裝置�、證 書管理方法、證書管理程序�。
背景技術(shù):
最近�,隨著互聯(lián)網(wǎng)或局域網(wǎng)(LAN)等網(wǎng)絡(luò)的發(fā)展和普及,復(fù)合機發(fā) 展為具有通信功能�����。.具有通信功能的復(fù)合機可以通過網(wǎng)絡(luò)連接于外部 設(shè)備��。
這種可以連接于外部設(shè)備的復(fù)合機需要具備禁止沒有正當使用權(quán) 限的用戶進行不正當訪問的訪問控制單元�����、防止冒充及偽造的數(shù)字署 名、防止盜聽的進行加密等的結(jié)構(gòu)。因此�����,以往是使用數(shù)字證書進行 通信����,試圖防止冒充或偽造����。
復(fù)合機上可以安裝進行通信的多個應(yīng)用,以往針對每個應(yīng)用進行 了數(shù)字證書的管理。如日本專利公開2004-320715號、日本專利公開 2005-039790號�、日本專利公開2007-174314號。
但是��,當針對每個應(yīng)用進行數(shù)字證書的管理時���,存在應(yīng)用的執(zhí)行 效率或復(fù)合機的資源利用效率非常低的問題�。即����,在各應(yīng)用中����,關(guān)于 數(shù)字證書的管理可能會重復(fù)進行幾乎相同的執(zhí)行。并且,即使在各應(yīng) 用中可以使用相同的數(shù)字證書的情況下��,由于各應(yīng)用之間沒有共同的 認識���,因此需要在每個應(yīng)用中分別導(dǎo)入數(shù)字證書�,這導(dǎo)致在復(fù)合機中 占用很多沒必要的存儲區(qū)域
發(fā)明內(nèi)容
本發(fā)明是為了解決如上所述的問題而提出的��,其目的在于提供一種在設(shè)有使用數(shù)字證書的多個應(yīng)用的環(huán)境中�����,可以適當?shù)剡M行數(shù)字證書的管理的信息處理裝置、證書管理方法����、證書管理程序。
為了解決上述問題�����,本發(fā)明的具有使用數(shù)字證書進行通信的多個應(yīng)用的信息處理裝置��,具有管理單元����,用于針對所述多個應(yīng)用分別管理數(shù)字證書與所述多個應(yīng)用之間的關(guān)聯(lián),所述應(yīng)用使用在所述管理單元中與該應(yīng)用相關(guān)聯(lián)的數(shù)字證書�。
在這種信息處理裝置中,在設(shè)有使用數(shù)字證書的多個應(yīng)用的環(huán)境中,可以適當?shù)剡M行數(shù)字證書的管理。
根據(jù)本發(fā)明�,可以提供在設(shè)有使用數(shù)字證書的多個應(yīng)用的環(huán)境中�����,可以適當?shù)毓芾頂?shù)字證書的信息處理裝置、證書管理方法����、證書管理程序。
圖l為表示本發(fā)明實施方式的復(fù)合機硬件結(jié)構(gòu)的一個例子的圖�����。
圖2為表示本發(fā)明實施方式的復(fù)合機軟件的構(gòu)成的例子的圖����。
圖3為表示本發(fā)明實施方式的復(fù)合機軟件組件的構(gòu)成的例子的圖�。
圖4為表示設(shè)備操作畫面的顯示例子的圖。
圖5為表示使用應(yīng)用設(shè)定畫面的顯示例子的圖���。
圖6為用于說明制作各畫面所需的信息的收集處理的順序圖��。
圖7為用于說明導(dǎo)入設(shè)備證書時的處理順序的順序圖����。
圖8為用于說明處理設(shè)備證書的關(guān)聯(lián)時的順序的順序圖�。圖9為用于說明使用設(shè)備證書時的處理順序的順序圖��。圖10為表示第二使用應(yīng)用設(shè)定畫面的顯示例子的圖���。.
圖ll為表示第三使用應(yīng)用設(shè)定畫面的顯示例子的圖。圖12為表示證書選擇確認畫面的顯示例子的圖��。圖13為概念性地表示JVM中的屬性的圖。圖14為表示JCE的供應(yīng)商的圖��。
圖15為用于說明設(shè)定及參照屬性值的處理順序的順序圖。
圖16為用于說明SSL密碼通信開始時的處理順序的順序圖。
主要符號說明
l為復(fù)合機,IO為應(yīng)用單元(mechanism), ll為打印機應(yīng)用��,12為PCFAX(電腦傳真)應(yīng)用,13為文檔保管應(yīng)用,20為服務(wù)單元(mechanism), 21為掃描服務(wù),22為繪圖服務(wù)�����,23為保管文檔服務(wù)���,24為用戶資料庫服務(wù),25為UI服務(wù)�,26為存儲服務(wù)�����,27為通信服務(wù),30為設(shè)備單元(mechanism), 40為面向?qū)?aspect layer), 41為證書狀態(tài)管理部,42為證書別名管理部,43為設(shè)備證書保管部,44為CA證書保管都����,IOI為OS�����, 102為J2ME(Java2 Micro Edition), 103為0SGi框架(framework), 104為捆綁,105為原生代碼���,271為打印服務(wù)器�����,272為郵件接收服務(wù)器,273為FAX (傳真)服務(wù)器���,274為HTTP (超文件傳輸協(xié)議)服務(wù)器����,275為郵件轉(zhuǎn)發(fā)客戶,276為FAX通信客戶���,277為文件轉(zhuǎn)發(fā)客戶�,601為控制器,602為操作面板,603為傳真控制單元�����,604為攝像部�,605為打印部�,611為CPU, 612為ASIC(專用集成電路,ApplicationSpecific Integrated Circuit) ����, 621為NB(北橋�����,Northbridge) ����, 622為SB(南橋�����,Southbridge), 631為MEM-P, 632為MEM-C, 633為HDD�, 634為存儲卡插槽��,635為存儲卡�����,641為NIC (Network InterfaceController,網(wǎng)絡(luò)界面控制器)�����,642為USB設(shè)備(device) �����, 643為IEEE1394設(shè)備�,644為并行(Centronics)設(shè)備�,1021為JVM(Java VirtualMachine)���。
本發(fā)明的最佳實施方式
下面�,基于
本發(fā)明的實施方式��。在本實施方式中,將復(fù)合機作為信息處理裝置的一個例子來進行說明。復(fù)合機1為將打印����、復(fù)印、掃描或傳真等多種功能集為一體的圖像形成裝置。
圖1為表示本發(fā)明實施方式的復(fù)合機的硬件結(jié)構(gòu)的一個例子的圖。
復(fù)合機1的硬件包括控制器601、操作面板602�、傳真控制單元(FCU)603��、攝像部604�、打印部605����。
控制部601包括CPU611、 ASIC612、 NB621、 SB622、 MEM-P631、MEM-C632���、 HDD(硬盤驅(qū)動器)633�、存儲卡插槽634、 NIC641�����、 USB設(shè)備642、 IEEE1394設(shè)備643�����、并行設(shè)備644�。
CPU611為各種信息處理用IC(集成電歪各)��。ASIC612為各種圖像處理用IC�。 NB621為控制器601的北橋���。SB622為控制器601的南橋。MEM-P631為復(fù)合機1的系統(tǒng)存儲器�。MEM-C632為復(fù)合機1的本地存儲器(local memory) 。 HDD633為復(fù)合機1的存儲器。存儲卡插槽634為用于安裝存儲卡635的插槽���。NIC641為根據(jù)MAC地址的網(wǎng)絡(luò)通信用的控制器�����。USB設(shè)備642為用于提供USB規(guī)格的連接端子的設(shè)備��。IEEE1394設(shè)備643為用于提供IEEE1394規(guī)格的連接端子的設(shè)備。并行設(shè)備644為用于提供并行的連接端子的設(shè)備����。操作面板602為操作人員向復(fù)合機1進行輸入的硬件(操作裝置)��,同時還是操作人員從復(fù)合機1獲得輸出的硬件(顯示裝置)�。
圖2表示本發(fā)明實施方式的復(fù)合機軟件的構(gòu)成的圖���。
如圖所示���,復(fù)合機1包含OS (Operating System) 101���、J2ME(Java(注冊商標)2 Micro Edition) 102、 0SGi(0pen Services GatewayInitiative,開放服務(wù)網(wǎng)關(guān)協(xié)議)框架(framework) 103�、捆綁104及原生代碼105等。
OS101是所謂的0S(0perating System) �����。 J2ME102為用于提供Java(注冊商標)的運行環(huán)境等的Java(注冊商標)平臺���。本實施方式的J2ME102以CDC(Connected Device Configuration)為虛擬運行環(huán)境
7(configuration,配置),并采用JVM (Java Virtual Machine) 1021作為Java(注冊商標)虛擬機。JYM1021將字節(jié)碼變換為可以在OS101上執(zhí)行的原生代碼而運行����。
0SGi框架103是根據(jù)0SGi聯(lián)盟的標準化技術(shù)���,是基于基于Java (注冊商標)語言的開放的軟件組件化技術(shù)而制作的��、用于提供軟件組件的運行環(huán)境的軟件平臺���。在0SGi框架103上���,Java(注冊商標)語言的軟件以被稱作"捆綁體"的軟件組件的形式安裝。 一個捆綁體由一個JAR (Java (注冊商標)Archive)文件構(gòu)成�,可以分別獨立地動態(tài)地(無需重新啟動裝置)安裝。捆綁104就是表示這種捆綁體���。在此,捆綁體104可以有多個���。原生代碼105為例如由C語言等制作的、直接在0S101上執(zhí)行的程序。
復(fù)合機1中安裝有各軟件組件��,作為捆綁104�、原生代碼105或通常的(不是捆綁體)JAR文件�。圖3為本發(fā)明實施方式的復(fù)合機的軟件組件的構(gòu)成的例子的圖。
如圖所示���,復(fù)合機1中的軟件組件(下面簡稱"組件")被分為應(yīng)用單元IO����、服務(wù)單元20、設(shè)備單元30及面向?qū)?aspect layer) 40等層。圖中的層的上下關(guān)系基于層之間的調(diào)用關(guān)系。在圖中,基本上由上層調(diào)用下層�����。即��,在圖3中,基于捆綁104或原生代碼105之間的調(diào)用關(guān)系來整理組件的關(guān)系而進行了顯示���。在此��,各組件例如被存儲在HDD633中,在執(zhí)行時被下載到MEM-P631并通過CPU611運行而實現(xiàn)其功能。
應(yīng)用單元10中具有讓用戶使用復(fù)合機1所提供的功能或信息(數(shù)據(jù))等資源的組件。圖中列舉了打印應(yīng)用11���、 PCFAX應(yīng)用12及文檔保管應(yīng)用13等����。
打印應(yīng)用11根據(jù)通過網(wǎng)絡(luò)連接的PC等發(fā)送的打印請求而執(zhí)行打印處理(打印工作)��。PCFAX應(yīng)用12根據(jù)通過網(wǎng)絡(luò)連接的PC等發(fā)送的FAX(傳真)的發(fā)送請求而執(zhí)行FAX發(fā)送處理(FAX發(fā)送工作)。文檔保管應(yīng)用13執(zhí)行將由攝像部604掃描的圖像數(shù)據(jù)積存到HDD633的處理���。
服務(wù)單元20具有被應(yīng)用單元10所具有的組件共同使用的��、提供更基本的功能(服務(wù))的組件�。在圖中���,列舉了掃描服務(wù)21、繪圖(plotter)服務(wù)22�、保管文檔服務(wù)23����、用戶資料庫(User R印ository)服務(wù)24、 UI(用戶界面)服務(wù)25、存儲服務(wù)26及通信服務(wù)27等���。
掃描服務(wù)21控制使用攝像部604的圖像數(shù)據(jù)的讀取處理�。繪圖服務(wù)22控制使用打印部605的圖像數(shù)據(jù)的打印處理。保管文檔服務(wù)23控制圖像數(shù)據(jù)向HDD633的積存或讀取等。用戶資料庫服務(wù)24管理記錄在HDD633的用戶信息(帳戶信息或地址簿信息等)��。UI服務(wù)25進行畫面的生成等�,以用于顯示在操作面板602或通過網(wǎng)絡(luò)連接的PC (Personal Co即uter)等���。通信服務(wù)27控制根據(jù)各種協(xié)議的通信。
設(shè)備單元30具有用來控制復(fù)合機1中所設(shè)置的設(shè)備的��、通常被稱作設(shè)備驅(qū)動器的組件����。
面向?qū)?0具有被應(yīng)用單元10��、服務(wù)單元20及設(shè)備單元30共同使用的橫跨性組件。在圖中�,面向?qū)?0中包含證書狀態(tài)管理部41��、證書別名管理部42�、設(shè)備證書保管部43及CA證書保管部44等。
證書狀態(tài)管理部41管理設(shè)備證書的狀態(tài)����。在此����,設(shè)備證書為在復(fù)合機1進行網(wǎng)絡(luò)通信時����,為了證明通信數(shù)據(jù)的制作者是該復(fù)合機1且通信數(shù)據(jù)未被偽造等情況而使用的公鑰證書等數(shù)字證書。在本實施方式中�,為了避免與后述的CA證書混同�,稱為"設(shè)備證書"。設(shè)備證書可以在設(shè)備中作為自簽證書來發(fā)行����,或者由認證局(CA(CertificateAuthority))發(fā)行及簽名�,并導(dǎo)入到復(fù)合機1���。所謂的設(shè)備證書狀態(tài)為表示設(shè)備證書是否導(dǎo)入完畢等的信息。更具體來講,在本實施方式中預(yù)先準備五個區(qū)域(下面稱為"設(shè)備證書收藏區(qū)域")作為用于收藏設(shè)備證書的存儲區(qū)域���。所謂的設(shè)備證書狀態(tài)為表示設(shè)備證書是否被導(dǎo)入
9到各設(shè)備證書收藏區(qū)域的信息�。在此�,各設(shè)備證書收藏區(qū)域中被賦予了名稱(識別名),該名稱分別作為被收藏在設(shè)備證書收藏區(qū)域的設(shè)備
證書的別名來使用���。因此�����,具體而言����,證書狀態(tài)管理部41按照別名來管理表示設(shè)備證書是否被導(dǎo)入的信息���。
設(shè)備證書的導(dǎo)入等工作通過設(shè)備證書操作畫面來執(zhí)行。圖4為表示設(shè)備證書操作畫面的顯示例子的圖�。如圖所示��,設(shè)備證書操作畫面510具有一覽表511、制作按鈕512、請求按鈕513���、導(dǎo)入按鈕514��、刪除按鈕515、導(dǎo)出按鈕516及使用應(yīng)用設(shè)定按鈕517等�����。
一覽表511中按照每個設(shè)備證書(收藏設(shè)備證書的設(shè)備證書收藏區(qū)域)顯示別名���、發(fā)行處���、發(fā)行者、有效期限及證書狀態(tài)等���。別名為設(shè)備證書的別名或設(shè)備證書收藏區(qū)域名。發(fā)行處����、發(fā)行者及有效期限為設(shè)備證書的發(fā)行處����、發(fā)行者及有效期限��。證書狀態(tài)表示設(shè)備證書是否被導(dǎo)入到復(fù)合機1內(nèi)(即���,設(shè)備證書的狀態(tài))。
當按下制作按鈕512時����,開始新制作(從CA接收發(fā)行)設(shè)備證書的處理��。當按下請求按鈕513時�,開始進行從任意的CA接受簽名的證書請求的制作處理���。當按下導(dǎo)入按鈕514時,開始進行將所制作的設(shè)備證書導(dǎo)入到設(shè)備證書收藏區(qū)域的處理����,該設(shè)備證書收藏區(qū)域?qū)?yīng)于在一覽表511中復(fù)選按鈕被選擇的行����。當按下導(dǎo)出按鈕516時���,開始進行將對應(yīng)于所選擇的行的設(shè)備證書的公鑰導(dǎo)出的處理�����。當按下使用應(yīng)用設(shè)定按鈕517時��,開始進行設(shè)定使用各設(shè)備證書的應(yīng)用的處理�。在此���,這里所說的應(yīng)用主要是屬于通信服務(wù)27的各種軟件組件����,使用設(shè)備證書進行安全的通信的應(yīng)用。
證書別名管理部42針對各設(shè)備證書而管理設(shè)備證書的別名和使用該證書的應(yīng)用之間的關(guān)聯(lián)��。在本實施方式中, 一個設(shè)備證書可以被多個應(yīng)用使用�。在設(shè)備證書操作畫面510中�,在按下使用應(yīng)用設(shè)定按鈕517時顯示該關(guān)聯(lián)��,在使用應(yīng)用設(shè)定畫面中設(shè)定����。圖5為表示使用應(yīng)用設(shè)定畫面的顯示例子的圖�����。在圖中表示的使 用應(yīng)用設(shè)定畫面520a中�,針對每個應(yīng)用可以通過下拉式列表選擇所使 用的設(shè)備證書。下拉式列表上顯示導(dǎo)入完畢的設(shè)備證書的別名的一覽��, 或者不管導(dǎo)入或未導(dǎo)入���,顯示設(shè)備證書收藏區(qū)域名的一覽。
設(shè)備證書保管部43進行向存儲介質(zhì)(例如���,HDD633)存儲設(shè)備證書 及從存儲介質(zhì)讀取設(shè)備證書等的工作。但是,該存儲介質(zhì)最好是安全 的設(shè)備���。
CA證書保管部44進行將CA(Certificate Authority)證書存儲到 存儲介質(zhì)及從存儲介質(zhì)讀取CA證書等的工作�����。在此��,所謂的CA證書 是發(fā)行設(shè)備證書的CA等的數(shù)字證書�����。在此,"CA等"是指中間認證局 及來源認證局等各CA。因此,在CA證書保管部44中管理CA證書的目 錄����。
在本實施方式中,尤其關(guān)注通過面向?qū)?0中的各組件來實現(xiàn)的功 能。下面說明在復(fù)合機l中執(zhí)行該功能的處理順序���。
首先,說明為了生成設(shè)備證書操作畫面510或使用證書設(shè)定畫面 520a等的GUI (Graphical User Interface,圖形用戶界面)而執(zhí)行的 處理�。圖6為說明制作各畫面所需的信息的收集處理的順序圖。
首先,使用任意一個設(shè)備證書的各應(yīng)用51在預(yù)定的時間(例如��, 在安裝該應(yīng)用時等)在證書狀態(tài)管理部41注冊自己的識別信息(例如, 應(yīng)用名)(S101 S103)�����。因此,證書狀態(tài)管理部41中管理著應(yīng)用名的 一覽��。
接著��,當有設(shè)備證書操作畫面510等的顯示請求時��,或者在此之 前�,UI服務(wù)25執(zhí)行下面的處理�����。首先����,UI服務(wù)25從證書狀態(tài)管理部 41獲取使用設(shè)備證書的應(yīng)用名的一覽(S104���、 S105)。
接著,UI服務(wù)25向證書別名管理部42請求獲得設(shè)備證書收藏區(qū) 域名(即,設(shè)備證書的別名,而與導(dǎo)入完畢或未導(dǎo)入無關(guān))的一覽(S106)�。證書別名管理部42從該存儲介質(zhì)獲得被附加在存儲有設(shè)備證 書的存儲介質(zhì)上的各設(shè)備證書收藏區(qū)域名(S107���、 S108)���,并將所獲得 的名稱一覽作為別名的一覽而發(fā)送給UI服務(wù)25 (S109)。
接著�����,UI服務(wù)25指定包含在所取得的別名一覽中的一個別名�����,向 設(shè)備證書保管部43査詢與該別名的設(shè)備證書(或設(shè)備證書收藏區(qū)域)有 關(guān)的信息(下面稱為"證書信息")(S110)��。設(shè)備證書保管部43從存儲 介質(zhì)獲取被指定的別名的設(shè)備證書的證書信息(Slll����、 S112)�。證書信 息中包含是否導(dǎo)入完畢��、發(fā)行處、發(fā)行者及有效期限等�。其中����,發(fā)行 處、發(fā)行者及有效期限只有在設(shè)備證書被導(dǎo)入完畢的情況下才能獲取��。 設(shè)備證書保管部43將所取得的證書信息發(fā)送給III服務(wù)25 (S113)。在 此�����,步驟S110 S113的處理可重復(fù)多次,重復(fù)的次數(shù)可相當于步驟 S109中所獲取的別名一覽中包含的別名的數(shù)量(S110-n S113-n)���。
基于通過上述處理而獲得的信息�����,UI服務(wù)25在設(shè)備證書操作畫面 510或使用應(yīng)用設(shè)定畫面520a被請求顯示時,生成設(shè)備證書操作畫面 510或使用應(yīng)用設(shè)定畫面520a。例如�,設(shè)備證書操作畫面510可以基 于步驟S109中取得的別名的一覽及在步驟SU0 S113中取得的證書 信息而生成。使用應(yīng)用設(shè)定畫面520a可以基于在步驟S105中獲取的 應(yīng)用的一覽及在步驟S109中獲取的別名的一覽而生成�����。即,在使用應(yīng) 用設(shè)定畫面520a中,可以在針對每個應(yīng)用而配置的列表框中設(shè)定在步 驟S109中所獲取的別名一覽。在此,設(shè)備證書操作畫面510或使用應(yīng) 用設(shè)定畫面520a等可以生成為Web頁面(HTML數(shù)據(jù)),可以顯示在操作 面板602或通過網(wǎng)絡(luò)連接于復(fù)合機1的PC (Personal Computer)等計算 機的顯示裝置上。
接著���,說明導(dǎo)入設(shè)備證書時的處理順序�����。圖7為用于說明導(dǎo)入設(shè) 備證書時的處理順序的順序圖。
在設(shè)備證書操作畫面510中�����,當未導(dǎo)入行的復(fù)選按鈕518被選擇
12并按下導(dǎo)入按鈕514時���,根據(jù)UI服務(wù)25的控制而顯示證書導(dǎo)入畫面�����。 在證書導(dǎo)入畫面中�,選擇作為導(dǎo)入對象的設(shè)備證書。在此���,通過按下 制作按鈕512���,預(yù)先接受從CA發(fā)行的作為導(dǎo)入對象的設(shè)備證書并與證 書信息共同進行存儲。但是�����,在該狀態(tài)下,還不能使應(yīng)用使用設(shè)備證 書����。設(shè)備證書通過導(dǎo)入行為才可能與應(yīng)用相關(guān)聯(lián),進而可以被應(yīng)用使 用���。
在證書導(dǎo)入畫面中���,當作為導(dǎo)入對象的設(shè)備證書被指定時,UI服 務(wù)25以別名作為鍵(key)�,向設(shè)備證書保管部43請求存儲該設(shè)備證書及 該證書信息(S201〉���。設(shè)備證書保管部43查詢被指定的別名的設(shè)備證書 的導(dǎo)入狀態(tài)(S202)�。證書狀態(tài)管理部41取得針對該別名的設(shè)備證書收 藏區(qū)域的導(dǎo)入狀態(tài)(S203),并將該結(jié)果發(fā)送到設(shè)備證書保管部 43(S204)�。
當關(guān)于該別名未導(dǎo)入設(shè)備證書時�,設(shè)備證書保管部43將作為導(dǎo)入 對象的設(shè)備證書及證書信息存儲到記錄介質(zhì)中的對應(yīng)于該別名的設(shè)備 證書收藏區(qū)域中(S205)�����。接著���,設(shè)備證書保管部43向證書狀態(tài)管理部 41請求將該別名相關(guān)的設(shè)備證書的導(dǎo)入狀態(tài)變更為導(dǎo)入完畢(S206)。 響應(yīng)于該請求,證書狀態(tài)管理部41將針對該別名的導(dǎo)入狀態(tài)更新為導(dǎo) 入完畢����。
在步驟S204中����,當發(fā)送導(dǎo)入完畢的信息的情況下����,由于針對同一 個別名不能導(dǎo)入多個設(shè)備證書,因此不會再執(zhí)行步驟S205之后處理, 而向UI服務(wù)25發(fā)送錯誤的信息。
接著���,通過使用應(yīng)用設(shè)定畫面520a����,說明當有應(yīng)用與設(shè)備證書之 間的關(guān)聯(lián)的請求時的處理順序����。圖8為用于說明設(shè)備證書的關(guān)聯(lián)時的處
理順序的順序圖�����。
通過操作使用應(yīng)用設(shè)定畫面520a的下拉式列表�,可以選擇針對各 應(yīng)用的設(shè)備證書的別名,當按下登錄按鈕521時�����,UI服務(wù)25按照畫面上的設(shè)置內(nèi)容來指定應(yīng)用名和別名的組合��,并向證書別名管理部42請求 關(guān)于該組的關(guān)聯(lián)(S301)��。證書別名管理部42在存儲介質(zhì)中存儲表示被 指定的組合的應(yīng)用名和別名之間的關(guān)聯(lián)的信息(S302)�。
接著,說明設(shè)備證書被應(yīng)用使用時的處理順序�。圖9為用于說明使 用設(shè)備證書時的處理順序的順序圖。
當需要使用設(shè)備證書時��,應(yīng)用51指定自身的識別信息(應(yīng)用名)�, 并向別名管理部42查詢與自身關(guān)聯(lián)的設(shè)備證書的別名(S401)。別名管 理部42基于記錄在記錄介質(zhì)的信息(在圖8的步驟S302中存儲的信息), 獲得與被指定的應(yīng)用名相關(guān)聯(lián)的別名(S403)��,并將該別名發(fā)送給應(yīng)用 51(S404)。
接著,應(yīng)用51指定所取得的別名,向設(shè)備證書保管部43請求取得 設(shè)備證書(S405)�����。設(shè)備證書保管部43指定別名��,向證書狀態(tài)管理部41 査詢設(shè)備證書的導(dǎo)入狀態(tài)(S406)。證書狀態(tài)管理部41取得與該別名相 關(guān)聯(lián)的設(shè)備證書收藏區(qū)域的導(dǎo)入狀態(tài)(S407)�����,并將該結(jié)果發(fā)送到設(shè)備 證書保管部43 (S408)�。
當設(shè)備證書處于導(dǎo)入完畢的狀態(tài)時,設(shè)備證書保管部43從存儲介 質(zhì)中的、與該別名相關(guān)聯(lián)的設(shè)備證書收藏區(qū)域取得設(shè)備證書(S409、 S410)����,并將所取得的設(shè)備證書發(fā)送給應(yīng)用51(S411)���。然后����,取得設(shè)備 證書的應(yīng)用51通過使用設(shè)備證書進行通信等���。
在圖5中示出的使用應(yīng)用設(shè)定畫面520a中,針對一個應(yīng)用只能使一 個設(shè)備證書相關(guān)聯(lián)。因此����,還可以將使用應(yīng)用設(shè)定畫面構(gòu)成為下面的 形態(tài)���。
圖10為表示第二使用應(yīng)用設(shè)定畫面的顯示例子的圖�。在圖中的使 用應(yīng)用設(shè)定畫面520b中��,關(guān)于各設(shè)備證書�,針對每個應(yīng)用配置用于設(shè) 定是否使用該證書的選擇按鈕�����。根據(jù)這種結(jié)構(gòu)���,針對各應(yīng)用可以設(shè)定 多個設(shè)備證書作為使用對象���。例如��,關(guān)于圖中的[SSL/TLS]����,可以設(shè)定證書1及證書3作為使用對象。
圖ll為表示第三使用應(yīng)用設(shè)定畫面的顯示例子的圖��。在圖中的使 用應(yīng)用設(shè)定畫面520c中����,針對每個應(yīng)用用"◎"表示推薦使用的設(shè)備 證書����。關(guān)于推薦哪一種設(shè)備證書�����,可以在安裝應(yīng)用時進行設(shè)定��,并基 于該設(shè)定顯示"◎"。根據(jù)這種結(jié)構(gòu)�����,可以在進行設(shè)定時由用戶提供 判斷基準��。在此����,當選擇與所推薦的設(shè)備證書不同的設(shè)備證書時����,可 以顯示下面的畫面。
圖12為表示證書選擇確認畫面的顯示例子的圖。如圖所示�,證書 選擇確認畫面530中顯示著對S/MIME推薦使用"證書l"的信息。根據(jù)
該信息,當選擇與推薦的設(shè)備證書不同的證書時可以引起注意�����。在此��, 在使用應(yīng)用設(shè)定畫面520a 520c等中,還可以使未導(dǎo)入的設(shè)備證書(設(shè)
備證書收藏區(qū)域)與應(yīng)用之間進行關(guān)聯(lián)。此時���,將會在進行關(guān)聯(lián)后導(dǎo)入 設(shè)備證書��,通過進行這種設(shè)定可以使導(dǎo)入及關(guān)聯(lián)的一連串操作變得有 彈性。
如上所述���,根據(jù)本實施方式的復(fù)合機l,可以根據(jù)證書狀態(tài)管理部 41��、證書別名管理部42及設(shè)備證書保管部43等��,對多個應(yīng)用所使用的 設(shè)備證書進行一元管理(統(tǒng)一地管理)���,而且可以根據(jù)證書別名管理部 42來管理應(yīng)用與設(shè)備證書之間的關(guān)聯(lián)。
因此�,可以避免對設(shè)備證書的冗長的管理。并且��,由于應(yīng)用不可 以任意地選擇設(shè)備證書�����,而強制性地限制應(yīng)用只能選擇關(guān)聯(lián)的設(shè)備證 書���,因此可以提高安全性。
在此,例如可以在設(shè)備證書操作畫面510等中改變別名�����。 其次�����,說明在復(fù)合機1中的CA證書的操作情況��。將CA證書的信息作 為JVM1201的屬性值來進行管理�����。各應(yīng)用通過査詢JVM1201來獲取該屬性值���。
圖13為概念性地表示JVM中的屬性值的圖。如圖所示,例如設(shè)定SSL(Secure socket layer,安全套接層)密碼組(Suites)屬性pl���、 CA 證書訪問用密碼屬性p2及CA證書存儲位置屬性p3等值作為屬性值�����。SSL 密碼組屬性pl的值表示進行SSL通信時的密碼化的種類(方式)的推薦 值����。CA證書訪問用密碼屬性p2的值表示為了訪問CA證書而請求的密碼。 CA證書存儲位置屬性p3的值表示CA證書的存儲位置�。在此����,可以通過 "setProperty()"(設(shè)定屬性0)的方法來設(shè)定屬性值�?����?梢酝ㄟ^ "getProperty ()"(獲取屬性0)的方法取得屬性值。
屬性值的處理(對JVM1201的設(shè)定等)可以由Java(注冊商標)密碼 擴展功能(JCE(Java(注冊商標)Cryptography Extension))的供應(yīng)商實 現(xiàn)��。圖14為表示JCE的供應(yīng)商的圖����。在圖中����,在J2ME102中表示的JCE為 Java(注冊商標)標準的擴展功能����,用于提供任意地擴展針對預(yù)先決定
的接口的實現(xiàn)的工具��。被擴展的實現(xiàn)稱為供應(yīng)商。在本實施方式中�����,
說明在供應(yīng)商107實現(xiàn)上述屬性值的處理的例子����。
圖15為用于說明屬性值的設(shè)定及參照的處理順序的順序圖。 當某一個程序模塊通過JCE1022進行有關(guān)密碼功能的請求時
(S501),該請求被轉(zhuǎn)交到供應(yīng)商107(S502)����。供應(yīng)商107響應(yīng)該請求,
例如針對JVM1021設(shè)定屬性pl�、 p2及p3的值(S503)。
接著��,或者當程序模塊(可以為與步驟S501的程序模塊不同的程序
模塊)針對JVM1021請求參照屬性pl����、 p2或p3的值時(S504), JVM1021發(fā)
送對應(yīng)于該屬性而設(shè)定的值(S505)���。
如此��,通過使供應(yīng)商進行屬性值的設(shè)定����,無需使上位的程序模塊
考慮屬性值的設(shè)定,當存在與密碼功能有關(guān)的請求時��,可以設(shè)定屬性
值。在此��,步驟S501的請求在JVM1021起動時也進行。因此��,至少在由
應(yīng)用51等請求參照之前����,各屬性值將會被設(shè)定���。
例如�����,圖16為用于說明SSL密碼通信時的處理順序的順序圖�����。 或者,當應(yīng)用51通過JCE1022請求SSL密碼通信功能時(S601),該
16請求被轉(zhuǎn)交到供應(yīng)商107(S602)。供應(yīng)商107響應(yīng)于該請求�,針對 JVM1021設(shè)定SSL密碼組屬性pl的值(S603)��。接著���,JCE1022從JVM1021 獲取SSL密碼組屬性pl的值(S604、 S605),根據(jù)該值指定的密碼方式���, 使SSL通信處于可進行的狀態(tài)(S606)���。
在此,當通過JSSE(Java(注冊商標)Secure Socket Extension) 請求SSL密碼通信時����,在JSSE中使用CA證書存儲位置屬性p3或SSL密碼 組屬性pl等的值。因此,可以防止根據(jù)上位的應(yīng)用的任意的加密方式 進行通信的情況����。因此���,如本實施方式的復(fù)合機l,在可以自由(被第 三方等)增設(shè)應(yīng)用的情況下,可以適當?shù)卮_保關(guān)于網(wǎng)絡(luò)通信的安全性。
上面詳細說明了本發(fā)明的實施例�,但是本發(fā)明并不限定于這種特 定的實施方式�,在不脫離本發(fā)明思想的情況下,在本發(fā)明權(quán)利要求的 范圍內(nèi)可以進行各種變更�、變形�。
1權(quán)利要求
1���、一種信息處理裝置,具有使用數(shù)字證書進行通信的多個應(yīng)用�����,所述信息處理裝置的特征在于,具有管理單元,用于針對所述多個應(yīng)用分別管理數(shù)字證書與所述多個應(yīng)用之間的關(guān)聯(lián),所述應(yīng)用使用在所述管理單元中與該應(yīng)用相關(guān)聯(lián)的數(shù)字證書�����。
2����、 根據(jù)權(quán)利要求l所述的信息處理裝置�����,其特征在于,具有接受 設(shè)定單元�����,通過用來設(shè)定所述應(yīng)用與所述數(shù)字證書之間的關(guān)聯(lián)的設(shè)定 畫面來接受所述關(guān)聯(lián)的設(shè)定����,并將所設(shè)定的關(guān)聯(lián)登錄到所述管理單元�����。
3����、 根據(jù)權(quán)利要求2所述的信息處理裝置,其特征在于�,在所述設(shè) 定畫面中��,所述接受設(shè)定單元接受對收藏所述數(shù)字證書的存儲區(qū)域與 所述應(yīng)用之間的關(guān)聯(lián)的設(shè)定。
4����、 根據(jù)權(quán)利要求3所述的信息處理裝置,其特征在于,所述管理 單元管理所述存儲區(qū)域的識別名與所述應(yīng)用的識別名之間的關(guān)聯(lián)�。
5�����、 一種證書管理方法�,由具有使用數(shù)字證書進行通信的多個應(yīng)用 的信息處理裝置運行���,所述證書管理方法的特征在于,包含在存儲介質(zhì)中針對所述多個應(yīng)用記錄數(shù)字證書與所述多個應(yīng)用之 間的關(guān)聯(lián)的記錄步驟�,所述應(yīng)用使用在所述存儲介質(zhì)中與該應(yīng)用相關(guān)聯(lián)的數(shù)字證書的證 書使用步驟��。
6�����、 根據(jù)權(quán)利要求5所述的證書管理方法�����,其特征在于, 包含通過用來設(shè)定所述應(yīng)用與所述數(shù)字證書之間的關(guān)聯(lián)的設(shè)定畫面來接受所述關(guān)聯(lián)的設(shè)定的接受設(shè)定步驟�����,所述記錄步驟在所述記錄介質(zhì)中記錄在所述接受設(shè)定步驟中所接受的關(guān)于設(shè)定的關(guān)聯(lián)。
7、 根據(jù)權(quán)利要求6所述的證書管理方法��,其特征在于�����,在所述設(shè)定畫面中��,所述接受設(shè)定步驟接受對收藏所述數(shù)字證書的存儲區(qū)域與 所述應(yīng)用之間的關(guān)聯(lián)的設(shè)定����。
8���、 根據(jù)權(quán)利要求7所述的證書管理方法�����,其特征在于,所述記錄 步驟記錄所述存儲區(qū)域的識別名與所述應(yīng)用的識別名之間的關(guān)聯(lián)����。
9�����、 一種證書管理程序�����,使具有使用數(shù)字證書進行通信的多個應(yīng)用 的信息處理裝置運行如下步驟在存儲介質(zhì)中針對所述多個應(yīng)用記錄數(shù)字證書與所述多個應(yīng)用之 間的關(guān)聯(lián)的記錄步驟��,所述應(yīng)用使用在所述存儲介質(zhì)中與該應(yīng)用相關(guān)聯(lián)的數(shù)字證書的證 書使用步驟。
10�、 根據(jù)權(quán)利要求9所述的證書管理程序����,其特征在于����, 包含通過用來設(shè)定所述應(yīng)用與所述數(shù)字證書之間的關(guān)聯(lián)的設(shè)定畫面來接受所述關(guān)聯(lián)的設(shè)定的接受設(shè)定步驟�,所述記錄步驟在所述記錄介質(zhì)中記錄在所述接受設(shè)定歩驟中所接 受的關(guān)于設(shè)定的關(guān)聯(lián)。
11、 根據(jù)權(quán)利要求10所述的證書管理程序�,其特征在于���,在所述 設(shè)定畫面中,所述接受設(shè)定步驟接受對收藏所述數(shù)字證書的存儲區(qū)域 與所述應(yīng)用之間的關(guān)聯(lián)的設(shè)定�����。
12��、 根據(jù)權(quán)利要求ll所述的證書管理程序,其特征在于��,所述記 錄步驟記錄所述存儲區(qū)域的識別名與所述應(yīng)用的識別名之間的關(guān)聯(lián)�����。
全文摘要
本發(fā)明提供一種在有使用數(shù)字證書的多個應(yīng)用的環(huán)境中�����,可以適當?shù)剡M行對數(shù)字證書的管理的信息處理裝置��、證書管理方法、證書管理程序�。本發(fā)明所提供的信息處理裝置,具有使用數(shù)字證書進行通信的多個應(yīng)用,所述信息處理裝置具有管理單元���,用于針對所述多個應(yīng)用分別管理數(shù)字證書與所述多個應(yīng)用之間的關(guān)聯(lián),所述應(yīng)用使用在所述管理單元中與該應(yīng)用相關(guān)聯(lián)的數(shù)字證書���。
文檔編號H04L9/32GK101471780SQ20081018445
公開日2009年7月1日 申請日期2008年12月24日 優(yōu)先權(quán)日2007年12月25日
發(fā)明者古川英照 申請人:株式會社理光