检查装置、通信系统、检查方法、计算机可执行程序产品和计算机可读记录介质的制作方法

专利名称：检查装置、通信系统、检查方法、计算机可执行程序产品和计算机可读记录介质的制作方法
技术领域：
本发明一般地涉及检查装置、检查方法、通信系统、计算机可执行程序产品和计算机可读记录介质，具体涉及检查装置和检查方法，用于检查用于使用公共密钥加密来进行鉴别处理的通信器件；通信系统，包括用于检查通信器件的检查装置和作为检查对象的通信器件；以及计算机可执行程序产品，用于使得计算机作为用于检查通信器件的检查装置；计算机可读记录介质，其上记录有程序，以使得计算机作为用于检查通信器件的检查装置。
背景技术：
传统上，每个都具有通信功能的多个通信器件通过网络而相互连接，以便构造各种系统。作为示例，已经构造了一种系统、即所谓的“电子商务系统”，以便作为客户端的、诸如PC(个人计算机)等的计算机发送产品的订单，并且通过因特网而连接到所述客户端的服务器计算机接受那个订单。另外，提出了一种系统，其中，向各种电子装置实现所述客户端或服务器计算机的功能，并且所述电子装置通过网络而彼此连接，以通过内部通信而进行所述电子装置的远程管理。
为了构造这种系统，重要的是，查看通信伙伴是否正确伙伴或当与通信伙伴通信时从通信伙伴发送的信息是否被篡改。另外，特别是在因特网中，信息一般通过不相关的计算机到达通信伙伴。当发送保密信息时，必须保护所述保密信息的内容。随后，作为与此要求对应的通信协议，例如，已经开发和广泛使用了被称为SSL(加密套接字协议层)的协议。在使用此协议的通信中，有可能通过下述方式来防止篡改和截取通过除了将公共密钥加密方法和共享密钥加密方法组合并且鉴别通信伙伴之外，还加密保密信息。而且，在通信伙伴侧，有可能鉴别作为请求通信的通信始发者的器件。
日本公开专利申请第2002-353959号和第2002-251492号公开了与使用SSL的鉴别和公共密钥加密相关联的技术。
下面，在关注鉴别处理部分的同时，将说明按照SSL来进行相互鉴别的情况下的通信规程。图1是示出当通信器件A和B按照SSL进行相互鉴别时由通信器件A和B的每个进行的流程图以及在每个处理中使用的信息的图。
如图1中所示，当按照SSL而进行相互鉴别时，通信器件A和B必须分别存储根密钥证书和私有密钥的组合以及根密钥证书和公共密钥证书的组合。所述私有密钥是CA(证书管理机构)对于通信器件A和B的每个发出的密钥。公共密钥证书是数字证书，其中，CA另外向与私有密钥对应的公共密钥提供数字签名。而且，根密钥证书是数字证书，其中，CA另外向与用于所述数字签名的根私有密钥对应的根密钥提供所述数字签名。
图2A和图2B示出了它们的关系。
如图2A中所示，公共密钥A包括密钥主体，用于解密通过使用私有密钥A而加密的文件；著录信息，包括关于公共密钥的发放者(CA)、有效期限等的信息。为了示出所述密钥主体和著录信息未被篡改，CA通过使用根私有密钥对通过对于公共密钥A进行散列(hash)处理而获得的散列值进行加密，并且另外向客户机的公共密钥提供被加密为数字签名的所述散列值。而且，在这种情况下，用于所述数字签名的根私有密钥的标识信息被另外提供到公共密钥A的著录信息来作为签名密钥信息。因此，被提供此数字签名的公共密钥证书是公共密钥证书A。
在使用公共密钥证书A来用于鉴别处理的情况下，通过使用根密钥的密钥主体来作为与根公共密钥对应的公共密钥而解码在公共密钥证书A中包括的数字签名。当正常地进行此解密时，可以识别所述数字签名肯定是由CA提供的。而且，如果通过对于公共密钥A部分进行散列处理而获得的散列值与从解密获得的散列值相同，则可以识别密钥本身未被损害和篡改。
而且，如果通过使用公共密钥A来正常地解密所接收的数据，则可以识别所接收的数据肯定是从私有密钥A的拥有者发送的。
为了进行鉴别处理，必须预先存储根密钥。如图2B中所示，根密钥页被存储为根密钥证书，CA向其提供数字签名。在这种情况下，根密钥证书是自签名格式，其中，可以使用在根密钥证书本身中包括的公共密钥来解密数字签名。当使用根密钥时，通过使用在根密钥证书中包括的密钥主体来解密数字签名，并且将根密钥与通过散列处理获得的散列值相比较。如果根密钥与所述散列值相同，则可以确认根密钥未被泄露。
将说明图1中所示的每个流程图。应当注意，在两个流程图之间的箭头表示数据传输。发送者侧在箭头开始点的步骤中进行发送处理，当接收者侧从发送者侧接收到数据时，接收者侧在箭头的结束点的步骤进行处理。而且，如果在每个步骤中的处理未正常结束，则向通信伙伴返回示出鉴别失败的响应，并且在那个步骤结束所述处理。当从通信伙伴接收到鉴别失败时，或当处理超时时，类似地，向通信伙伴返回示出鉴别识别的响应，并且在那个步骤终止所述处理。
在这种情况下，通信器件A向通信器件B发送请求以便与其通信，在进行通信请求的情况下，通信器件A的CPU通过执行预定的控制程序而按照在图1左侧所示的流程图来开始处理。然后，通信器件A在步骤S211向通信器件B发送通信请求。
另一方面，当通信器件B的CPU接收到通信请求时，通信器件B通过执行预定的控制程序而按照在图1右侧示出的流程图来开始处理。在步骤S221，产生第一随机数，并且通过使用私有密钥B来加密它。然后，在步骤S222，向通信器件A发送被加密的第一随机数和公共密钥证书B。
在通信器件A处，当接收到所述被加密的第一随机数和公共密钥证书B时，在步骤S212，通过使用根密钥证书来确认公共密钥证书B的有效性。
当确认了有效性时，在步骤S213，通过使用在从通信器件B接收的公共密钥证书B中包括的公共密钥B来解密第一随机数。如果第一随机数被成功地解密，则可以确认第一随机数肯定是从公共密钥证书B的发放主体接收的。
其后，在步骤S214中产生除了第一随机数之外的第二随机数和共享密钥的种子(seed)。例如，可以根据在内部通信期间与通信器件B交换的数据来建立所述共享密钥的种子。然后，在步骤S215，通过使用私有密钥A来加密所述第二随机数，并且通过使用公共密钥B来加密所述共享密钥的种子。在步骤S216，使用公共密钥证书A向通信器件B发送所述第二随机数和所述共享密钥的种子。加密所述共享密钥的种子，以便除了通信伙伴之类的任何器件不能识别所述共享密钥的种子。
而且，在步骤S216之后的步骤S217中，从在步骤S214中产生的共享密钥的种子来产生共享密钥，以便使用来加密以用于进一步的通信。
在通信器件B，当接收到在步骤S216从通信器件A发送的数据时，在步骤S223，通过使用根密钥证书来确定公共密钥证书A的有效性。当确认有效性时，在步骤S224，通过使用在从通信器件A接收的公共密钥证书A中包括的公共密钥A来解密第二随机数。当成功地解密了所述第二随机数时，可以确认所述第二随机数肯定是从公共密钥证书A的发放主体接收的。
其后，在步骤S225，通过使用私有密钥B来解密共享密钥的种子。通过先前进行的处理，通信器件A和通信器件B彼此共享共享密钥的种子。而且除了产生共享密钥的种子的通信器件A和处理私有密钥B的通信器件B之外，任何器件不能知道共享密钥的种子。当上述进行的处理成功时，从在步骤S226解密和和获得的共享密钥的种子产生共享密钥，以便用于进一步的通信。
随后，当在通信器件A的在步骤S217中的处理和在通信器件B的在步骤S226的处理完成时，通信器件A和B相互确认所述成功鉴别和用于进一步通信的加密方法。因此，通信器件A和B开始通过使用在通信器件A和B的每侧产生的共享密钥来按照所述加密方法彼此通信，并且终止关于鉴别的处理。当通信器件A和B相互确认所述成功的鉴别和用于进一步通信的加密方法时，通信器件A和B发送示出成功鉴别的响应。通过上述的处理，通信器件A和B彼此建立通信。在下面的通信中，通信器件A和B使用分别在步骤S217和S226产生的共享密钥，并且可以通过使用所述共享密钥来加密在所述加密方法中的数据而彼此通信。
通过进行上述的处理，通信器件A和B首先彼此鉴别，然后共享所述共享密钥以便建立彼此安全通信的路径。
在例如应用单向鉴别的情况下，如果仅仅通信器件B可以鉴别通信器件A，则有可能省略在图1中所示的鉴别处理中的第一随机数的加密和第一随机数的发送。在这种情况下，为了安全地从通信器件A向通信器件B发送共享密钥的种子，可以使用通信器件B的公共密钥B进行加密，但是不必确认被附加到公共密钥B的数字签名的有效性。因此，在这种情况下的鉴别可以被简化，如图3中所示。即，不需要在通信器件A的步骤S212和S213，并且不需要在通信器件B的步骤S221。而且，可以部分地简化其他处理。
在上述的鉴别处理中，仅仅通过具有与所述公共密钥对应的私有密钥的器件来解密使用公共密钥加密的内容，并且仅仅使用与所述私有密钥对应的公共密钥来解密使用所述公共密钥加密的内容。由于此特性，通信伙伴鉴别所述公共密钥证书将所述器件描述为发放目的地(或所述公共密钥证书将用户描述为发放目的地)。
日本公开专利申请第2003-348068号(第0004段)和第2002-190796号公开了与用于鉴别处理的公共密钥的管理相关联的技术。
日本公开专利申请第2003-348068号公开了在网络上实现密钥注册器件，并且管理公共密钥，以便减低用户的工作负荷。
日本公开专利申请第2002-190796号公开了仅仅向电子邮件装置的公共密钥库自动注册必要的公共密钥，并且自动管理，以便在使用公共密钥涓埃米的情况下仅仅保留有效的公共密钥，以便加密电子邮件。
但是，在公共密钥加密方法中，不利的是，如果依赖于密钥长度而花费足够的时间，则可以从公共密钥获得私有密钥。因此，如果识别了私有密钥，则第三方可以冒充私有密钥的拥有者。因此，不能保持鉴别的可靠性和通信的安全性。因此，应用提供有效日期的安全策略并且如上所述更新在预定时段设置的密钥的用户的数量增加。因此，例如，在如上所述使用相互鉴别而提供远程管理系统的情况下，需要向客户保证可以更新密钥。
作为用于向通信器件——要通过使用公共密钥证书来鉴别它——分发新的公共密钥证书以更新的方法，CA在所使用的公共密钥证书的有效日期期满之前向所述通信器件发放新的公共密钥证书和新的私有密钥，并且所述CA或取代CA的管理装置除了所述公共密钥证书和私有密钥之外还使用SSL通过通信路径来向更新主体的器件发送和设置根密钥证书，所述SSL是通过使用所使用的公共密钥证书而建立的。
以这种方式，所述通信器件可以在有效日期期满之前自动地更新用于鉴别的公共密钥证书等。因此，不对于所述通信器件的用户带来任何麻烦，有可能将所述通信器件保持在可能鉴别的状态中。而且，在通信因特网而进行发送的情况下，有可能在保持通信路径安全的同时进行公共密钥证书等的发送。
但是，即使通过使用SSL而将所述通信路径保持为安全，在通过因特网的通信的情况下，因为可以通过几个服务器来传送信息，因此不能完全地消除窃取和篡改要传送的信息的可能性。如果窃取恶劣私有密钥，有可能欺骗。因此，期望消除诸如欺骗之类的风险，即使所述风险的可能性较小。
但是，在这种情况下，如果向所通信器件和CA或所述管理装置之间的紧急通信路径的部件，则有可能获得新的公共密钥证书以通过所述紧急通信路径来建立规则的通信连接。在此紧急通信路径，例如，具有较长有效日期的公共密钥证书、与所述公共密钥证书对应的根密钥和根密钥证书可以被存储在由卖方生产的器件中，并且彼此共享，并且可以在每个器件和CA或管理装置之间建立使用SSL的通信路径。
关于这种技术，本发明的申请人提交了日本专利申请第2003-341329号，此申请现在还没有被公布。
通常不使用此紧急通信路径。但是，即使规则的通信路径有什么错误，需要保证此紧急通信路径。因此，难于类似于所述规则通信路径而严格地执行鉴别处理。例如，在如上所述向每个器件存储共享的公共密钥证书的情况下，因为不能在公共密钥证书中描述每个器件的标识信息，结果不可能当通过使用SSL来进行鉴别处理时引用每个器件的标识信息。因此，CA或管理装置使得所述通信器件在建立通信路径后发送标识信息，依赖于所述标识信息，并且向所述通信器件发送更新的公共密钥证书等。
因此，关于所述紧急通信路径，有问题在于它较为容易伪装为正确的通信器件来获得更新的公共密钥证书。因此，即使在使用紧急通信路径的情况下，即，即使在不使用规则的通信路径的情况下，期望有效地防止欺骗。
关于此点，上述的专利文件未公开在不能使用被规则地使用的公共密钥证书的状态中公共密钥证书的更新。
而且，由于生产设备等的原因，像紧急公共密钥证书那样，必须相对于被规则使用的公共密钥证书而对于每个器件数字共享的公共密钥证书。在这种情况下，类似于使用紧急通信路径的情况，即使在有效期限内更新被规则使用的公共密钥证书，也期望有效地方式欺骗。

发明内容
本发明的一般目的是提供检查装置、检查方法、通信系统、计算机可执行程序产品和计算机可读记录媒体，其中消除了上述的问题。
本发明的更具体的目的是提供检查装置、检查方法、通信系统、计算机可执行程序产品和计算机可读记录媒体，具体而言提供检查装置和检查方法，用于检查用于使用公共密钥加密来进行鉴别处理的通信器件；通信系统，包括用于检查通信器件的检查装置和作为检查对象的通信器件；以及计算机可执行程序产品，用于使得计算机作为用于检查通信器件的检查装置；计算机可读记录介质，被记录了程序，以使得计算机作为用于检查通信器件的检查装置，其中，有可能在需要通过使用具有较低安全性的公共密钥证书来识别通信器件的情况下，有效地防止欺骗。
本发明的上述目的通过一种检查装置实现，该装置用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查装置包括接收部分，从所述通信器件接收所述通信器件的公共密钥证书和所述通信器件的标识信息，所述通信器件通过使用所述公共密钥加密来进行鉴别处理，并且仅仅向特定的通信伙伴发送用于所述鉴别处理的公共密钥证书；获取部分，根据所述标识信息从除了所述通信器件之外的位置获取信息，所述信息示出了与由所述接收部分接收的标识信息对应的公共密钥证书的内容；以及检查部分，通过引用由所述获取部分获取的信息，根据由所述接收部分接收的公共密钥证书是否正确来检查所述通信器件。
在所述检查装置中，所述检查部分可以包括基于由所述接收部分接收的公共密钥证书的内容与由所述获取部分获取的信息是否相同来确定是否所述公共密钥证书是正确的部分。
而且，本发明的上述目的通过一种检查装置实现，该装置用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查装置包括接收部分，从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；获取部分，根据所述标识信息从除了所述通信器件之外的位置获取与由所述接收部分接收的标识信息对应的公共密钥；以及检查部分，根据由所述获取部分获取的公共密钥是否与由所述接收部分接收的私有密钥对应来检查所述通信器件。
所述检查装置可以还包括用于存储在所述通信器件的标识信息和用于鉴别处理的公共密钥之间的对应性的部分。
在所述检查装置中，所述检查部分包括通过使用由所述获取部分获取的公共密钥和由所述接收部分接收的私有密钥之一对给定数据加密、对通过所述公共密钥和私有密钥中的另一个来加密的数据进行解密、以及根据解密结果来进行检查的部分。
所述检查装置可以还包括发送部分，当所述通信器件通过所述检查部分进行的检查时，向所述通信器件发送所述公共密钥证书作为所述通信器件的新公共密钥证书。
在所述检查装置中，由所述发送部分发送的公共密钥证书是包括由所述接收部分接收的所述通信器件的标识信息的公共密钥证书。
而且，本发明的上述目的通过一种通信系统实现，该通信系统包括通信器件；和检查装置，其中，所述通信器件包括鉴别部分，通过使用公共密钥加密进行鉴别处理，并且仅仅向指定伙伴发送用于鉴别处理的公共密钥证书；以及发送部分，向所述检查装置发送所述通信器件本身的公共密钥证书和所述通信器件本身的标识信息，并且所述检查装置包括接收部分，用于接收所述通信装置的公共密钥证书和所述通信装置的标识信息；获取部分，通过引用所述标识信息，从除了所述通信器件之外的位置获取信息，所述信息示出了与由所述接收部分接收的标识信息对应的公共密钥证书的内容；以及检查部分，通过引用由所述获取部分获取的信息，根据由所述接收部分接收的公共密钥证书是否正确来检查所述通信器件。
在所述通信系统中，所述检查装置的检查部分包括基于由所述接收部分接收的公共密钥证书与由所述获取部分获取的信息是否相同来确定所述公共密钥证书是否正确的部分。
而且，本发明的目的通过一种通信系统实现，该通信系统包括通信器件；和检查装置，其中，所述通信器件包括鉴别部分，通过使用公共密钥加密来进行鉴别处理；以及发送部分，向所述检查装置发送所述通信器件本身的私有密钥和所述通信器件本身的标识信息；并且所述检查装置包括接收部分，接收所述通信器件的私有密钥和所述通信器件的标识信息；获取部分，基于所述标识信息，从除了所述通信器件之外的位置获取与从所述接收部分接收的标识信息对应的公共密钥；以及检查部分，基于由所述获取部分获取的公共密钥与由所述接收部分接收的私有密钥是否对应来检查所述通信器件。
在所述通信系统中，所述检查装置还包括用于存储在所述通信器件的标识信息和由所述通信器件所使用的用于鉴别处理的公共密钥之间的对应性的部分。
而且，在所述通信系统中，所述检查装置的检查部分包括用于通过使用由所述获取部分获取的公共密钥和由接收部分接收的私有密钥中的任何一个对给定数据加密、对由所述公共密钥和私有密钥中的另一个加密的数据进行解密、以及基于解密结果来进行所述检查的部分。
在所述通信系统中，所述检查装置还包括发送部分，用于当所述通信器件通过由所述检查部分进行的检查时，向所述通信器件发送公共密钥证书作为所述通信器件的新公共密钥证书；并且所述通信器件还包括用于接收所述公共密钥证书的部分。
在所述通信系统中，从所述检查装置的发送部分发送来的公共密钥证书是包括由所述接收部分接收的所述通信器件的标识信息的公共密钥证书。
在所述通信系统中，在所述通信器件中，用于鉴别处理的公共密钥证书和私有密钥独立地存储在多个可替换的存储单元中。
而且，本发明的上述目的通过一种检查方法实现，该检查方法用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查方法包括步骤从所述通信器件接收所述通信器件的公共密钥证书和所述通信器件的标识信息，所述通信器件通过使用所述公共密钥加密来进行鉴别处理，并且向特定伙伴发送用于所述鉴别处理的公共密钥证书；基于所述标识信息，从除了所述通信器件之外的位置获取信息，所述信息示出了与在接收所述公共密钥证书的步骤中接收的标识信息对应的公共密钥证书的内容；并且，通过引用在获取所述信息的步骤中获取的信息，基于在所述接收公共密钥证书步骤中接收的公共密钥证书是否正确来检查所述通信器件。
在所述检查方法中，所述检查所述通信器件的步骤包括步骤基于在接收公共密钥证书中接收的公共密钥证书的内容与在获取所述信息的步骤中获取的信息是否相同来确定所述公共密钥证书是否正确。
而且，本发明的上述目的通过一种检查方法实现，该检查方法用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查方法包括步骤从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；从除了所述通信器件之外的位置获取与在接收私有密钥的步骤中接收的标识信息对应的公共密钥；以及基于在获取公共密钥的步骤中获取的公共密钥与在接收私有密钥的步骤中接收的私有密钥是否相同来检查所述通信器件。
在所述检查方法中，所述通信器件的标识信息和所述通信器件所使用的用于鉴别处理的公共密钥之间的对应性存储在进行接收私有密钥、获取公共密钥和检查通信器件的步骤的装置中。
而且，所述检查所述通信器件的步骤包括步骤通过使用由所述获取部分获取的公共密钥和由所述接收部分接收的私有密钥之一对给定数据加密；通过所述公共密钥和私有密钥中的另一个对加密的数据解密，并且基于解密结果来进行检查。
所述检查方法可以还包括步骤当所述通信器件通过在检查所述通信器件的步骤中进行的检查时，向所述通信器件发送所述公共密钥证书作为所述通信器件的新的公共密钥证书。
而且，在发送所述新公共密钥证书的步骤中发送的所述公共密钥证书是包括在接收所述私有密钥的步骤中接收的所述通信器件的标识的公共密钥证书。
而且，本发明的上述目的通过一种计算机可执行程序产品实现，该程序产品用于使得计算机通过使用公共密钥加密来进行鉴别处理，所述计算机可执行程序产品包括用于下列步骤的代码从所述通信器件接收所述通信器件的公共密钥证书和所述通信器件的标识信息，所述通信器件通过使用所述公共密钥加密来进行鉴别处理，并且向特定伙伴发送用于所述鉴别处理的公共密钥证书；基于所述标识信息，从除了所述通信器件之外的位置获取信息，所述信息示出了与在接收所述公共密钥证书的代码中接收的标识信息对应的公共密钥证书的内容；以及通过引用在获取所述信息的代码中获取的信息，基于在所述接收公共密钥证书代码中接收的公共密钥证书是否正确来检查所述通信器件。
在所述计算机可执行程序产品中，所述检查所述通信器件的代码包括代码基于在接收公共密钥证书中接收的公共密钥证书的内容与在获取所述信息的代码中获取的信息是否相同来确定所述公共密钥证书是否正确。
而且，本发明的上述目的通过一种计算机可执行程序产品实现，该程序产品用于使得计算机通过使用公共密钥加密来进行鉴别处理，所述计算机可执行程序产品包括用于下列步骤的代码从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；从除了所述通信器件之外的位置获取与在接收私有密钥的代码中接收的标识信息对应的公共密钥；基于在获取公共密钥的代码中获取的公共密钥与在接收私有密钥的代码中接收的私有密钥是否相同来检查所述通信器件。
所述计算机可执行程序产品可以包括用于下列的代码存储在所述通信器件的标识信息和所述通信器件所使用的用于鉴别处理的公共密钥之间的对应性。
而且，所述检查所述通信器件的代码可以包括用于下列的代码通过使用由所述获取部分获取的公共密钥和由所述接收部分接收的私有密钥之一对给定数据加密；通过所述公共密钥和私有密钥中的另一个对加密的数据解密，并且基于解密结果来进行检查。。
所述计算机可执行程序产品还包括用于下列的代码当所述通信器件通过在检查所述通信器件的代码中进行的检查时，向所述通信器件发送所述公共密钥证书作为所述通信器件的新的公共密钥证书。
而且，由用于发送公共密钥证书的代码设置的所述公共密钥证书可以是包括通过用于接收所述私有密钥的代码所接收的所述通信装置的标识信息的公共密钥证书。
而且，本发明的上述目的可以通过一种计算机可读记录介质实现，该记录介质记录有程序，所述程序使得计算机通过使用公共密钥加密来进行鉴别处理，所述计算机可执行程序产品包括用于下列的代码从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；从除了所述通信器件之外的位置获取与在接收私有密钥的代码中接收的标识信息对应的公共密钥；基于在获取公共密钥的代码中获取的公共密钥与在接收私有密钥的代码中接收的私有密钥是否相同来检查所述通信器件


通过下面结合附图的详细说明，本发明的其他目的、特征和优点将变得更清楚，其中图1是示出了当两个通信器件按照SSL而进行相互鉴别时由每个器件使用用于处理的信息来执行的所述处理的流程图。
图2A和图2B是用于说明在图1中所示的鉴别处理中在根密钥、根私有密钥和公共密钥证书之间的关系的图。
图3是示出了对应于在图1中的相互鉴别的、当两个通信器件按照SSL而进行单向鉴别时由每个器件执行的处理的图。
图4是示出了按照本发明的一个实施例的通信系统的配置示例的方框图。
图5是示出了按照本发明的所述实施例的、在图4中示出的管理装置的硬件配置的方框图。
图6是示出了按照本发明的所述实施例的、在图4中所示的管理装置和管理主体器件中的、与本发明的特征相关联的部分的功能配置的方框图。
图7是用于说明按照本发明的所述实施例的、用于确定是否可以由在图6中所示的管理主体器件的请求管理部分执行命令的确定基础的图。
图8是用于说明按照本发明的所述实施例的、用于由在图4和图6中所示的管理装置和管理主体器件进行的鉴别处理的证书和密钥的图。
图9是用于说明按照本发明的所述实施例的、在图8中所示的公共密钥证书的格式示例的图。
图10是示出按照本发明的所述实施例的、按照图9中所述的格式的管理主体器件的规则公共密钥证书的示例的图。
图11是示出按照本发明的所述实施例的、用于管理主体器件的解救公共密钥证书的示例的图。
图12是用于说明按照本发明的所述实施例的、在图4中所示的通信系统中的规则鉴别信息和解救鉴别信息的图。
图13是示出按照本发明的所述实施例的、当工作装置设置正式的鉴别信息时被发送到管理主体器件的证书等的配置的图。
图14是示出按照本发明的所述实施例的、在更新不能用于在图4中所示的通信系统中的管理主体器件的鉴别的官方鉴别信息的情况下、由每个器件进行的处理的流程的时序图。
图15是示出了按照本发明的所述实施例的、在图4中所示的管理装置的证书存储部分中安装的证书数据库的配置示例的一部分的图。
图16是示出按照本发明的所述实施例的、在图4中所示的管理装置的证书存储部分中安装的证书数据库的配置示例的另一部分的图。
图17是用于说明按照本发明的所述实施例的、在进行图14中所示的处理的情况下与管理主体器件进行的处理的流程图。
图18是示出按照本发明的所述实施例的、在管理装置通过使用与管理主体器件的规则通信而检查作为发放目的地的管理主体器件以便更新官方鉴别信息的情况下更新官方鉴别信息时由管理主体器件进行的处理的流程的时序图。
图19是示出按照本发明的所述实施例的、在管理装置通过使用与管理主体器件的规则通信而检查作为发放目的地的管理主体器件以便更新官方鉴别信息的情况下更新官方鉴别信息时由管理装置进行的处理的流程的时序图。
图20是示出按照本发明的所述实施例的、在管理装置通过使用与管理主体器件的规则通信而检查作为发放目的地的管理主体器件以便更新官方鉴别信息的情况下更新官方鉴别信息时由管理装置进行的处理的、从图19的延续流程的时序图。
图21是示出按照本发明的所述实施例的、使用在图19中的步骤S97中所示的公共密钥证书的检查处理的一个示例的流程图。
图22是示出按照本发明的所述实施例的、使用在图19中的步骤S97中所示的公共密钥证书的检查处理的另一个示例的流程图。
图23是示出按照本发明的所述实施例的、使用在步骤S98中所示的私有密钥的检查处理的一个示例的流程图。
图24是用于说明按照本发明的所述实施例的、在图6中所示的管理主体器件的证书存储部分的配置的一个示例的图。
图25是用于说明按照本发明的所述实施例的、在图6中所示的管理主体器件的证书存储部分的配置的另一个示例的图。
图26是用于说明按照本发明的所述实施例的、在图6中所示的管理主体器件的证书存储部分的配置的另一个示例的图。
图27是用于示出按照本发明的所述实施例的、在图4中所示的通信系统中布置多个管理主体器件的配置的示例的图。
具体实施例方式
下面，参照附图来说明本发明的一个实施例。
在本实施例中，如图3中所示，通信系统包括作为检查装置的管理装置30；管理主体器件40，它是作为管理装置30的通信伙伴的通信器件。
然后，在此通信系统1000中，在管理装置30试图与管理主体器件40通信的情况下，当管理装置30成功地使用公共密钥加密和数字证书(公共密钥证书)通过按照作为鉴别方法的SSL(加密套接字协议层)协议的鉴别处理来将管理主体器件40鉴别为有效的通信伙伴时，在管理装置30和管理主体器件40之间建立通信。随后，对于由管理装置30发送的操作请求(命令)，管理主体器件40进行必要的处理，并且返回响应。因此，管理装置30和所述通信伙伴起作用和实现客户/服务器系统。
另一方面，即使在管理主体器件40试图与管理装置30通信的情况下，类似地，当管理装置30被按照SSL的鉴别处理鉴别为有效通信伙伴时，管理主体器件40与管理装置30建立通信。对于从管理主体器件40发送的操作请求(命令)，管理装置30进行必要的处理并且向管理主体器件40返回响应。因此，管理装置30和所述通信伙伴起作用和实现客户/服务器系统。
在任何一种情况下，请求通信的一侧作为客户机，被请求的一侧作为服务器。
在此通信系统1000中，管理装置30包括用于管理管理主体器件40的功能，并且也包括用于重新发放公共密钥证书的功能，以用于在不能进行如上所述的通过SSL的鉴别和通过使用被规则使用的公共密钥证书的鉴别的状态中对于管理主体器件进行规则鉴别，所述管理装置30并且包括用于当进行重新发放时通过检查其重发目的地管理主体器件40来确定是否可以重新发放公共密钥证书的功能。
在图4中，仅仅示出了一个管理主体器件40。但是，如图23中所示，可以布置多个管理主体器件40。而且，管理主体器件40不必是一种类型。另一方面，对于一个通信系统1000布置一个管理装置30。
在通信系统1000中，在管理装置30和管理主体器件40之间的通信中，发送“请求”以请求相对于应用程序的方法的处理。所述处理通过RPC(远程规程调用)而被实现在管理装置30和管理主体器件40中。然后可以获得示出所请求的处理的结果的“响应”。
为了实现所述RPC，可以使用公知的协议(通信规程)、技术和规范，诸如SOAP(简单对象访问协议)、HTTP(超文本传送协议)、FTP(文件传送协议)、COM(组件对象模型)、CORBA(通用对象请求代理程序体系结构)等。
接着将详细说明管理装置30和管理主体器件40的每个配置和功能。
可以响应于器件、电子商务等的目的而各种地配置图4中所示的管理装置30和管理主体器件40。例如，在远程管理的情况下，除了诸如打印机、传真机、复印机、扫描器、数字复印机等之类的图像处理装置之外，还可以将网络家庭电子器件、自动售货机、医疗仪器、功率器件、空调系统、煤气、水、电等的测量装置、诸如汽车、飞机等的电子装置布置为要管理的管理主体器件40。而且，可以将用于从管理主体器件40收集信息并且发送命令以操作管理主体器件40的管理装置布置为管理装置30。
图5是示出按照本发明的所述实施例的管理装置30的硬件配置示例的图。如图5中所示，例如，管理装置30包括CPU(中央处理单元)11、ROM(只读存储器)12、RAM(随机存取存储器)13、HDD(硬盘驱动器)14和通信接口(I/F)15，它们经由系统总线16而相互连接。CPU 11通过执行在ROM 12或HDD 14中存储的各种控制程序而控制管理装置30的操作，并且实现各种功能，诸如鉴别通信伙伴、与管理主体器件40通信、管理管理主体器件40、发放和管理公共密钥证书等。
当然，公知的计算机可以近似地被用作管理装置30，如果必要的话可以另外安装其他的硬件。
管理主体器件40也包括CPU、ROM、RAM、用于通过网络而与外部器件通信的通信接口、用于从鉴别处理所需要的信息的存储单元，并且通过执行在ROM中存储的预定控制程序的CPU来实现按照本发明的各种功能。
应当注意，对于在管理装置30和管理主体器件40之间的通信，无论有线或无线，可以应用能够构造网络的各种通信线路(通信路径)。
图6是示出按照本发明的所述实施例的、与管理装置30和管理主体器件40的特性相关联的不分功能配置分方框图。应当注意，在图6中所示的箭头示出在不能如上所述使用规则的公共密钥证书来鉴别管理主体器件40的状态中向管理主体器件40重发所述规则的公共密钥证书的情况下的数据流。
首先，管理装置30包括HTTPS(超文本传送协议安全)客户机功能部分31、HTTPS服务器功能部分32、鉴别处理分布33、证书存储部分34、证书检查部分35、证书发放部分36、命令发放部分37、请求管理部分38和命令处理部分39。
HTTPS客户机功能部分31包括用于通过使用包括按照SSL的鉴别处理和加密处理的HTTPS协议向具有诸如管理主体器件40之类的HTTPS服务器的功能的器件请求通信的功能。
另一方面，HTTPS服务器功能部分32包括用于从具有诸如管理主体器件40之类的HTTPS客户机的器件接受使用HTTPS协议的请求的功能。
因此，HTTPS客户机功能部分31和HTTPS服务器功能部分32实现了通过向通信伙伴发送命令和数据而使得通信伙伴执行与命令对应的操作的功能和下述功能所述功能用于从通信伙伴接收请求和数据，并且使得在管理装置30中的一个或部分执行与所述命令对应的操作，并且用于向所述通信伙伴返回示出结果的响应。在这种情况下，请求通信的一侧可以发送命令，并且接收通信请求的一侧可以发送命令。可以对于所述响应进行类似的方式。
鉴别处理分布33包括鉴别部件的功能，用于当HTTPS客户机功能部分31或HTTPS服务器功能部分32鉴别通信伙伴时使用从通信伙伴接收的公共密钥证书、在证书存储部分34中存储的各种证书、私有密钥等来进行鉴别处理。另外，为了向通信伙伴请求鉴别，鉴别处理分布33包括下述功能用于通过HTTPS客户机功能部分31或HTTPS服务器功能部分32向通信伙伴发送在证书存储部分34中存储的公共密钥证书。
证书存储部分34包括用于存储诸如公共密钥证书、私有密钥、根密钥证书等的功能，并且向由鉴别处理分布33进行的鉴别处理提供鉴别信息。而且，虽然将后述细节，但是证书存储部分34存储的鉴别信息包括用于当进行规则通信时的鉴别处理的官方鉴别信息；作为当不同通过官方鉴别信息来进行鉴别时作为恢复紧急情况的解救鉴别信息。而且，证书存储部分34包括下述功能用于将由证书发放部分36发放的公共密钥证书和关于其发放目的地和发放日期的信息存储为数据库。
证书检查部分35包括下述功能用于当鉴别处理分布33通过使用解救鉴别信息来与管理主体器件40进行鉴别处理时根据从管理主体器件40接收的诸如器件编号、证书大等之类的信息来向管理主体器件40发放更新的公共密钥证书和更新的私有密钥。证书发放部分36包括下述功能当证书检查部分35检查和确定可以发放更新的公共密钥证书和更新的公共密钥证书时，向管理主体器件40发放更新的公共密钥证书和更新的私有密钥。应当注意，关于公共密钥证书的发放，数字签名可以另外地被提供到由管理主体器件40建立和发送的公共密钥，并且可以被返回到管理主体器件40。
命令发放部分37包括下述功能向管理主体器件40发放各种命令，并且使得管理主体器件40按照所发送的命令而执行操作。由管理主体器件40执行的操作可以是有发送关于管理主体器件40的操作内容和设置状态的操作、用于存储从管理装置30发送的更新的公共密钥证书和更新的私有密钥的操作、用于根据所述信息来进行设置改变的操作等。命令发放部分37包括下述功能使得管理主体器件40按照从管理主体器件40获得的信息来执行各种操作，以便管理管理主体器件40。
请求管理部分38包括下述功能当从管理装置30接收到命令时确定是否可以执行基于所述命令的操作。而且，请求管理部分38包括下述功能用于当允许执行所述操作时向用于执行基于所述命令的操作的功能部分通知所述命令。应当注意，可以将用于执行基于所述命令的操作的功能部分实际上配置为多个独立的模块。但是，在图6中，所述多个独立的模块被一起示出为命令处理部分39。由命令处理部分39可以执行的操作可以例如是用于与来自管理主体器件40的异常发生的通知对应的操作、用于响应于来自管理主体器件40的请求而发送由管理装置30存储的数据的操作。
可以通过管理装置30的CPU来实现上述部分的每个功能，所述CPU通过执行预定的控制程序来控制管理装置30的上述部分的每个功能。
接着，管理主体器件40包括HTTPS客户机功能部分41、HTTPS服务器功能部分42、鉴别处理部分43、调用通知部分44、定期通知部分45、证书存储部分46、证书通知部分47、请求管理部分48、证书定义部分49和命令处理分布50。
HTTPS客户机功能部分41包括下述功能类似于管理装置30的HTTPS客户机功能部分31，请求连接到使用HTTPS协议的、诸如管理装置30的包括HTTPS服务器功能的装置，并且发送命令和接收响应。
HTTPS服务器功能部分42也包括下述功能类似于管理装置30的HTTPS服务器功能部分32，从具有HTTPS客户机功能的装置接收通信请求，并且发送命令和接收响应。
鉴别处理部分43也包括类似于管理装置30的鉴别处理分布33的功能，但是在证书存储部分46中存储用于鉴别处理的证书等。
调用通知部分44包括下述功能用于当检查到异常状态或者用户进行指令时进行调用以向管理装置30发送通知。
定期通知部分45包括向管理装置30发送来自管理主体器件40的定期通知的功能。通知的内容可以例如是如果管理装置30是图像形成装置则为图像形成计数器的计数器值；如果管理装置30是计量系统则为计量值。
类似于管理装置30的证书存储部分34，证书存储部分46包括证书存储部件的功能用于存储诸如各种证书、私有密钥等的鉴别信息，并且向由鉴别处理部分43进行的鉴别处理提供鉴别信息。但是，由证书存储部分46存储的证书等与在证书存储部分34中存储的证书等不同。
在不能进行使用官方鉴别信息的鉴别并且由管理装置30进行使用解救鉴别信息的鉴别等的情况下，当需要管理装置30通过使用官方鉴别信息来检查时，证书通知部分47向管理装置30发送当前正在使用的官方鉴别信息以及管理主体器件40的器件编号，并且包括通过管理主体器件40来检查管理主体器件40的功能。
请求管理部分48包括用于确定是否可以对于从管理装置30接收的命令执行基于所述命令的操作的功能。而且，请求管理部分48还包括用于向用于执行基于命令的相应操作的诸如证书定义部分49和命令处理分布50之类的功能部分通知所述命令的功能。
在图7中，示出了用于确定是否可以执行所述命令的确定基础。所述确定基础基于所述命令的类型和用于鉴别处理部分43的鉴别处理的鉴别信息。如图7中所示，当通过使用官方鉴别信息来成功地进行鉴别时，请求管理部分48允许所有的操作。另一方面，当通过解救鉴别信息来进行鉴别时，请求管理部分48仅仅允许用于定义证书(包括私有密钥)的预定操作。应当注意，在这种情况下，仅仅定义(更新)形成官方鉴别信息的证书，但是不定义形成解救鉴别信息的证书。因此，解救鉴别信息是就当在管理主体器件40存储官方鉴别信息时使用的鉴别信息。
证书定义部分49包括下述功能响应于从管理装置30接收的命令而向证书存储部分46设置更新的公共密钥证书以用于鉴别处理，并且使用所述更新的公共密钥证书来更新公共密钥证书。
命令处理分布50包括下述功能响应于从管理装置30接收的命令而执行操作。所述操作可以例如是发送在管理主体器件40中存储的数据、如果必要的话控制引擎部分(未示出)的操作等。类似于管理装置30的命令处理部分39，用于执行基于所述命令的从的功能部分可以实际上被配置为多个独立的模块。如上所述的证书定义部分49可以被当作这样的模块之一。
可以通过管理主体器件40的CPU来实现上述部分的每个功能，所述CPU用于通过执行预定的控制程序而控制管理主体器件40的上述部分的每个操作。
接着，图8A和图8B是示出按照本发明的所述实施例的、用于由管理装置30和管理主体器件40的鉴别处理的证书和密钥的类型的图。图8A示出了在管理主体器件40的证书存储部分46中存储的证书和密钥的类型，图8B示出了在管理装置30的证书存储部分34中存储的证书和密钥的类型。在图8A和图8B中，仅仅用于管理装置30和管理主体器件40的鉴别处理的证书和密钥被示出。
在图8A中，管理主体器件40主要存储在鉴别信息70中的官方鉴别信息71和解救鉴别信息73。而且，官方鉴别信息71包括关于管理主体器件40本身的鉴别信息711、关于通信伙伴的鉴别信息712。而且，鉴别信息711包括规则公共密钥证书711a(用于管理主体器件40)和用于管理主体器件40本身的规则私有密钥711b。而且，鉴别信息712包括用于鉴别管理装置30的规则根密钥证书712a。类似地，解救鉴别信息73包括关于管理主体器件40本身的鉴别信息731和关于通信伙伴的鉴别信息732。而且，鉴别信息731包括用于管理主体器件40本身的解救公共密钥证书731a和解救私有密钥731b。而且，鉴别信息732包括用于管理装置30的解救根密钥证书732。
在图8B中，管理装置30主要存储在鉴别信息80中的官方鉴别信息81和解救鉴别信息83。而且，官方鉴别信息81包括关于管理装置30本身的鉴别信息811、关于通信伙伴的鉴别信息812。而且，鉴别信息811包括规则的公共密钥证书811a(用于管理装置30)和用于管理装置30本身的规则私有密钥811b。而且，鉴别信息812包括用于鉴别管理主体器件40的规则根密钥证书812a。类似地，解救鉴别信息83包括关于管理装置30本身的鉴别信息831和关于通信伙伴的鉴别信息832。而且，鉴别信息831包括用于管理装置30本身的解救公共密钥证书831a和解救私有密钥831b。而且，鉴别信息832包括用于管理主体器件40的解救根密钥证书832a。
如上所述，分别通过规则公共密钥证书711a和811a、解救公共密钥证书731a和831a、规则私有密钥711b和811b、规则根密钥证书712a和812a、解救根密钥证书732a和832a来形成官方鉴别信息71和81与解救鉴别信息73和83。而且，官方鉴别信息71和81是用于在规则通信的鉴别处理的鉴别信息。解救鉴别信息73和83是用于在不能使用使用官方鉴别信息来进行鉴别的情况下用于在紧急恢复处理的鉴别信息。
管理装置30和管理主体器件40每个在正常通信期间使用其鉴别信息与其通信伙伴进行通过图1中所示的规程的相互鉴别或通过按照SSL的在图3中所示的规程的单向鉴别。
在这种情况下，例如，可以使用图9中所示的公共密钥证书的格式。除了公共密钥本身，在所述格式中，描述了诸如证书发放者、证书的有效日期和序号、要验证的主体(作为证书的发放目的地的器件或用户)等。详细而言，例如，可以按照被称为X.509格式的格式来建立公共密钥证书。/图10是删除按照X.509格式而建立的、用于管理主体器件40的公共密钥证书示例的图。
在所述公共密钥证书示例中，附图标号A示出了公共密钥证书的序号。附图标号B示出了发送所述公共密钥证书的管理装置30(其中另外向公共密钥提供了数字签名)的标识信息。附图标号D示出了作为证书的发送目的地的管理主体器件40的标识信息。每个上述信息包括诸如位置、名称、器件编号或代码等的信息。但是，不强制描述用于识别每个器件的可能的标识信息，诸如作为发送目的地的器件的器件编号。另外，附图标号C通过指示开始日期和结束日期而示出了有效期限。附图标号E示出了所述管理主体器件的规则公共密钥的主体。
而且，管理装置30的规则私有密钥是与用于管理主体器件40的规则公共密钥对应的私有密钥，并且管理主体器件40的规则根密钥证书是这样的用于鉴别管理主体器件40的数字证书，能够自身通过使用与其本身对应的根私有密钥来确认有效性的数字签名被提供给规则根密钥以管理主体器件40。
在提供了多个管理主体器件40的情况下，通过使用同一根私有密钥来向每个器件的管理主体器件40规则公共密钥提供数字签名，并且共享用于确认其有效性所需要的根密钥证书。但是，在管理主体器件40的规则公共密钥证书中包括的公共密钥和与所述公共密钥对应的私有密钥对于每个器件不同。
用于管理装置30的规则公共密钥证书、用于管理装置30的规则私有密钥和用于鉴别管理装置30的规则根密钥证书具有类似的关系。
例如，在管理装置30和管理主体器件40进行相互鉴别的情况下，响应于来自管理主体器件40的通信请求，管理装置30使用用于管理装置30的规则公共密钥证书来向管理主体器件40发送通过使用管理装置30的规则私有密钥而加密的第一随机数。首先，管理主体器件40通过使用用于鉴别管理装置30的规则密钥证书来确认管理装置30的规则公共密钥证书的有效性(示出无泄露和无篡改)。当确认所述有效性时，管理主体器件40通过使用在公共密钥证书中包括的公共密钥来解密第一随机数。在此解密成功的情况下，管理主体器件40可以确定地识别作为通信伙伴的管理装置30是管理装置30的规则公共密钥证书的发送目的地，并且可以从在所述公共密钥证书中包括的胡斯别信息来指定管理装置30。因此，管理主体器件40有可能查看指定的装置是否适合于通信伙伴，并且根据查看结果来确定所述鉴别是否成功或失败。
而且，管理装置30接收当在管理主体器件40的所述鉴别成功时发送的、在管理主体器件40的规则公共密钥证书和通过使用管理主体器件40的规则私有密钥而加密的随机数，然后通过使用在管理装置30中存储的管理装置30的规则根密钥证书来进行类似的鉴别。
当管理主体器件40通过HTTPS客户机功能部分41向管理装置30的HTTPS服务器功能部分32请求通信时执行此规程。在管理装置30通过HTTPS客户机功能部分31向管理主体器件40的HTTPS服务器功能部分42请求通信时，使用相同的证书和密钥，但是管理装置30和管理主体器件40的处理彼此相反。
从上述的说明来看，在每个器件向通信伙伴发送规则公共密钥证书的情况下，当所述证书被泄露或所述证书的有效性数据期满时，不能进行鉴别。因此，在这样的状态中，如果在鉴别信息的更新处理期间切断了电源，则更新失败，或者，如果器件保持在断电状态中并且通过了所述证书的有效日期，则在有效日期之前可以不进行所述更新。
如果每个器件被允许仅仅使用规则的公共密钥证书来进行鉴别，则在所述规则公共密钥证书被泄露已经过了有效期限的状态中，没有方法来安全地通过网络向主体器件发送新的规则公共密钥证书、新的规则公共密钥和新的规则根密钥证书。但是，执行通信系统1000的每个器件存储解救鉴别信息以便处理此情况。即，有可能通过使用两种数字证书来鉴别通信伙伴。通过使用解救鉴别信息，有可能安全地通过网络从管理装置30向管理主体器件40发送新的规则公共密钥证书等。
类似于官方鉴别信息而形成此解救鉴别信息。例如，管理主体器件40的解救公共密钥证书是数字证书，其中，通过使用用于鉴别管理主体器件40的解救根密钥来向由解救CA(未示出)建立的解救公共密钥提供能够确认有效性的数字签名。而且，管理主体器件40的解救私有密钥是与其解救公共密钥对应的私有密钥，并且管理主体器件40的解救根密钥证书是数字证书，其中，向管理主体器件40本身的解救根密钥提供能够通过使用管理主体器件40的解救根密钥来确认有效性的数字签名。
作为这样的解救鉴别信息，例如解救公共密钥证书可以使用未被提供器件的标识信息的数字证书。
在这种情况下，对于同一级的器件(在图4中所示的示例中，存在管理装置30和管理主体器件40的多个级)，对于所有的器件存储同一解救公共密钥证书。因为不必在同一级的器件之间区别，因此，不仅解救公共密钥证书而且在所述解救公共密钥证书中包括的解救公共密钥和与解救公共密钥对应的私有密钥可以为所有的器件共享。另外，因为通信伙伴的所有其后公共密钥证书相同，因此对于特定级的器件的所有通信伙伴，共享同一解救公共密钥证书。即，如图27中所示，即使在提供多个管理主体器件的情况下，也对于所有的管理主体器件存储同一解救鉴别信息。
这种方式被应用到管理装置30的解救鉴别信息。
而且，也类似于规则公共密钥证书来建立这样的解救公共密钥证书。例如，可以如图11中所示来形成解救公共密钥证书。在这种情况下，例如，如附图标号G所示，可以将发送目的地器件的器件编号(CN)描述为“0”，以便指示共享的证书，作为发送始发者CA的信息，附图标号F示出了解救CA的标识信息。
因为解救鉴别信息具有对于同一级的所有器件共享解救鉴别信息的特性，因此当制造器件时记录由器件类型定义的解救鉴别信息。即，因为解救鉴别信息不是其中提供了器件的标识信息的信息，因此不必准备和记录完成了测试步骤并且提供了识别号的每个器件的单独证书因此，可以通过简单的操作来向多个器件记录解救鉴别信息。例如，在控制程序的主体中包括解救鉴别信息，并且当向每个器件复制控制程序时记录所述解救鉴别信息。
其后，如果抑制解救鉴别信息以不更新，则即使如上所述在官方鉴别信息不能被更新和被泄并且规则的公共密钥证书不能进行鉴别的情况下，有可能保持能够使用在解救鉴别信息中包括的解救公共密钥证书来进行鉴别的状态。
而且，在不更新解救公共密钥证书和解救根密钥证书的情况下，它们的有效期限最好被设置为更大，以便它们的有效日期在实际中不当发送目的地器件在使用中时来到。例如，在图11中所示的示例中，将有效期限设置为50年。
在使用未被提供器件的标识信息的解救公共密钥证书的情况下，如果进行使用解救公共密钥证书的鉴别，则不能详细地指定作为通信伙伴的器件。但是，有可能获得特定的信息量。
即，例如，特定的卖方向作为卖方产品的管理主体器件40的所有器件记录管理主体器件40的解救鉴别信息(管理主体器件的解救公共密钥证书、管理主体器件的解救私有密钥和用于鉴别管理装置30的解救根密钥证书)，并且向作为管理主体器件40的通信伙伴管理装置30的所有装置记录管理装置30的解救鉴别信息(管理装置30的解救公共密钥证书、管理装置30的解救私有密钥和用于鉴别管理主体器件40的解救根密钥证书)。因此，管理主体器件40可以识别作为由同一卖方产生的管理装置30的、发送公共密钥证书的通信伙伴，所述公共密钥证书能够通过用于鉴别管理装置30的解救根密钥证书来确认有效性，所述公共密钥证书被记录在管理主体器件40本身中。另一方面，管理装置30可以识别作为由同一卖方产生的管理主体器件40的、发送公共密钥证书的通信伙伴，所述公共密钥证书能够通过用于鉴别管理主体器件40的解救根密钥证书来确认有效性，所述公共密钥证书被记录在管理装置30本身中。
当所述鉴别处理成功时，可以如上所述通过使用与通信伙伴共享公共密钥的共享密钥加密来提供安全的通信路径。其后，有可能通过交换器件编号等来指定通信伙伴。
因此，不使用在规则公共密钥证书中所述的标识信息，有可能指定通信伙伴。
在图8中所示的鉴别信息中，可以不涉及鉴别主体而使用同一规则根密钥证书(用于鉴别管理装置的规则根密钥证书可以与用于鉴别管理主体器件的规则根密钥证书相同)。因为在规则证书中提供了所述通信器件或所述管理装置的标识信息，因此如果可以通过使用根密钥证书来确认规则证书的有效性，则有可能通过引用所述标识信息来指定通信器件或管理装置的器件类型和级。
但是，在其中不向公共密钥证书提供通信器件或管理装置的标识信息的应用解救鉴别信息的情况下，因为所述通信器件或管理装置的标识信息不提供给所述公共密钥证书，因此可以基于该有效性是否可以通过特定的根密钥证书得以确认而区分通信器件或管理装置的器件类型。因此，在这种情况下，需要解救根密钥证书对于鉴别主体的每个级不同。
但是，在按照SSL协议而进行鉴别处理的情况下，因为服务器不能知道当服务器接收到来自客户机的通信请求时的客户机的状态，因此最后，当客户机访问特定URL(统一资源定位符)时总是返回同一公共密钥证书。因此，一般，不可能实现这样的一种配置其中，一个服务器具有多个公共密钥证书，并且选择性地发送适合于用于通过通信伙伴的鉴别的公共密钥证书的类型的正确公共密钥证书。但是，在图4中所示的管理装置30和管理主体器件40的每个中，通过应用特殊的配置，有可能选择性地使用规则的公共密钥证书和解救公共密钥证书。
接着，将参照图12来说明选择性使用处理。
如上所述，服务器一般不能向对于服务器发送通信请求的客户机返回除了特定公共密钥证书之外的任何其他证书。但是，在接收到通信请求的不同URL的情况下，有可能返回每个URL的不同公共密钥证书。
因此，在图12中所示的情况下，管理装置30和管理主体器件40的每个提供了用于通过使用规则公共密钥证书而进行鉴别的规则URL、用于通过使用解救公共密钥证书来进行鉴别的解救URL。发送通信请求的一侧(作为客户机的一侧)通过根据所请求的鉴别的类型而选择性地正式规则URL和解救URL的任何一个来发送通信请求。
在向在管理装置30和管理主体器件40之间的通信协议应用SSL的情况下，因为端口443一般用于通信，因此需要改变规则URL和解救URL的IP地址。因此，管理装置30和管理主体器件40可以被配置由多个部分(被包括在单独类中或在同一类中)形成的一个单元。并且可以对于每个所述部分设置不同的IP地址。
在此配置中，接收通信请求的一侧(作为服务器的一侧)通过所接受的URL来识别通信请求。当接受到规则URL时，返回规则的公共密钥证书。另一方面，当接受到解救URL时，返回解救公共密钥证书。
应当注意，因为作为发送通信请求的客户机的一侧可以识别通信请求发送到哪个URL，因此当进行相互鉴别时，可以选择和发送适合于所述URL的正确公共密钥证书。
然后，在管理主体器件40试图与管理装置30通信的情况下，首先，管理主体器件40试图使用规则公共密钥证书来进行鉴别。当因为规则公共密钥证书被泄露或有效期限已过而鉴别失败时，管理主体器件40试图使用所述解救公共密钥证书来进行另一个鉴别。而且，如果管理装置30是正确的通信伙伴，则使用解救公共密钥证书的鉴别一般是成功的。管理装置30包括下述功能当使用解救公共密钥证书的鉴别时更新管理主体器件40的官方鉴别信息。
即，当管理主体器件40向管理装置30发送通信请求时，首先，管理主体器件40向规则URL发送通信请求，并且使用规则公共密钥证书来进行鉴别。当此鉴别失败时，接着，管理主体器件40向解救URL发送通信请求，并且使用解救公共密钥证书来进行鉴别。
随后，管理装置30通过使用解救公共密钥证书来鉴别管理主体器件40。当管理主体器件40被鉴别为正确的通信伙伴时，管理装置30发送更新的官方鉴别信息，并且通过发送更新的官方鉴别信息来请求管理主体器件40存储更新的官方鉴别信息。
即使通过使用解救公共密钥证书来进行鉴别，因为可以类似于规则公共密钥证书而共享共享密钥，也有可能通过使用共享密钥来加急所述证书等，并且安全地发送所述证书等。应当注意，所述证书等是如图13中所示的那些，并且用于形成官方鉴别信息71以存储在管理主体器件40中。管理主体器件40的更新的规则公共密钥证书在有效期限内。在这种情况下，如图13中所示，管理主体器件40的规则公共密钥证书、管理主体器件40的规则私有密钥和用于鉴别管理装置的规则根密钥可以形成一组，并且可以作为证书集而被发送。
而且，当管理主体器件40接收到上述请求时，管理主体器件40通过证书定义部分49而在证书存储部分46中存储所接收的证书等，并且更新所述官方鉴别信息。
当正常地进行更新时，管理主体器件40再次存储未被泄露和在有效期限内的规则公共密钥证书。因此，管理主体器件40在可能使用规则公共密钥证书来进行鉴别的状态中，其后，管理主体器件40使用规则公共密钥证书来进行鉴别以与管理装置通信。
但是，在更新作为解救公共密钥证书的官方鉴别信息的情况下，如果不包括发送主体器件的器件编号的解救公共密钥证书被使用，则在建立了通信路径后。管理装置30必须信任发送所述通信请求的管理主体器件40的器件编号。此器件编号被管理主体器件40存储在例如非易失性存储器中。但是，因为未向器件编号本身的信息提供用于防止篡改的手段，因此较为容易篡改所述信息，并且假装另一个器件。
因此，在此通信系统1000中，当通过使用解救鉴别信息来鉴别管理主体器件40时，管理装置30进行检查，用于确认从管理主体器件40发送的器件编号的可靠性。所述检查使得管理主体器件40当鉴别合格了管理主体器件40时发送在管理主体器件40中存储的官方鉴别信息，并且确定所述官方鉴别信息是否与从管理主体器件40发送的器件编号对应。
接着，将说明一种处理，所述处理涉及通过使用两种鉴别信息——官方鉴别信息和解救鉴别信息——来更新证书。
首先，参见图14中所示的时序图，将说明整个更新处理。图14示出了在因为管理主体器件40的规则公共密钥证书——被存储在管理主体器件40中——被泄露或已经过了有效期限而不可能鉴别的状态中的处理示例。
在这个示例中，首先，当管理主体器件40与管理装置30通信时，管理主体器件40确认要与通信请求一起发送的URL(S11)，控制HTTPS客户机来作为管理装置的客户机，并且向在步骤S11中确认的规则URL发送通信请求(S12)。在这种情况下，当管理装置30通过HTTPS服务器功能部分32而接收到所述通信请求、向鉴别处理分布33通知所述通信请求时，鉴别处理分布33按照SSL协议而通过使用在证书存储部分34中存储的管理装置30的规则私有密钥来产生和加密第一随机数，并且向管理主体器件40发送管理装置30的规则公共密钥证书——它也被存储在管理装置30管理主体器件40中——与第一随机数。
管理主体器件40向鉴别处理部分43发送所述规则公共密钥证书和第一随机数，以进行鉴别处理。在这种情况下，可以通过使用在证书存储部分46中存储的规则根密钥证书来确认从管理装置30接收的管理装置30的规则公共密钥证书的有效性。因此，确定所述鉴别是成功的(S14)，管理主体器件40通过使用在证书存储部分46中存储的管理主体器件40的规则私有密钥来产生和加密第二随机数，并且向管理装置30发送也在证书存储部分46中存储的管理主体器件40的规则公共密钥证书以及第二随机数(S15)。在步骤S15中，通过使用在步骤S13中接收的管理装置30的规则公共密钥而加密的共享密钥的种子也被发送到管理装置30。
管理装置30接收和向鉴别处理分布33发送管理主体器件40的规则公共密钥证书、第二随机密钥和共享密钥的种子。在这种情况下，因为不能鉴别管理主体器件40的规则公共密钥证书，因此确定所述鉴别失败(S16)。因此，管理装置30与管理主体器件40断开通信。
当断开通信时，管理主体器件40在此阶段向解救URL发送通信请求，因为通过使用规则公共密钥证书而未鉴别合格管理主体器件40(S17和S18)。随后，管理主体器件40试图通过一起使用解救公共密钥证书来与管理装置30进行相互鉴别(S19，S20和S21)。仅仅鉴别的类型不同，但是在步骤S19、AS20和S21中的处理类似于在步骤S13-S15中的处理，将省略其说明。
在此阶段，鉴别成功(S22)，并且管理装置30向管理主体器件40发送示出鉴别成功的响应(S23)。当管理主体器件40从管理装置30接收到响应时，管理主体器件40向管理装置30发送器件编号、在证书存储部分46中存储的官方鉴别信息等(S24)。然后，管理装置30的证书检查部分35根据器件编号、官方鉴别信息等来检查管理主体器件40。当证书检查部分35确定可以发送更新证书时(S25)，证书发放部分36发送所述更新证书，并且也向证书存储部分34的证书数据库注册被发送的公共密钥和发送目的地器件的标识信息(S26)。
其后，管理装置30向管理主体器件40传送被发送的更新证书与证书定义命令(S27)。
当管理主体器件40定义了作为用于与管理装置30通信的通信伙伴的、被附加到所述证书定义命令的更新证书时(S28)，向管理装置30返回示出定义结果的响应(S29)。其后，中止用于通过使用解救鉴别信息而更新管理主体器件40的规则证书的处理。
在用于更新规则证书的上述处理中，如果必须与更新证书一起发送或定义公共密钥或根密钥证书，则与更新证书一起发送或定义公共密钥或根密钥证书。或者。可以通过公共密钥证书、私有密钥和跟来密钥证书来形成证书集。
在图1中所示的通信系统1000中，即使在不能在管理主体器件40中鉴别形成官方鉴别信息的公共密钥证书的状态中，通过上述处理，也可以通过更新管理主体器件40的证书来恢复这个状态，以便成为可以进行鉴别的正常状态。而且，在从官方鉴别信息的私有密钥或根密钥被泄露等的情况下，仅仅其中鉴别处理在步骤S11到S16中失败并且在步骤S17中处理的阶段是与如上所述相同的。
接着，将说明在管理装置30的证书存储部分34中提供的证书数据库的数据结构。
如图15和图16中所示，例如，所述证书数据库包括两个表格。在图15中所示的第一表格中，通过彼此对应而注册了作为公共密钥证书的发送目的地器件(管理主体器件)的标识信息的器件编号、最后被发送到器件的公共密钥证书的序号和公共密钥证书的发送日期。
而且，在图16中所示的第二表格中，通过彼此对应而注册了公共密钥证书的序号和公共密钥证书的内容。作为公共密钥证书的内容，包括如图10中所示的著录项目的公共密钥证书被原样注册。除了所述公共密钥证书的序号和公共密钥证书的内容之外，或者，还可以注册公共密钥证书的有效日期、发送器件的国家、发送器件的区域等，它们是从在著录信息中的项目提取的。
因此，在第二表格中，在当发送公共密钥证书时的阶段，注册公共密钥证书。可以在从管理主体器件40接收到示出成功定义的响应后更新第一表格的内容。
通过准备如上所述的表格，管理装置30可以从证书数据库获得管理装置30应当存储在其中的公共密钥证书(即如果所述定义未失败则被发送到管理装置30的最新公共密钥证书)。
为了即使在向管理主体器件40发送新的公共密钥证书后也存储包括先前发送的旧公共密钥证书的所有公共密钥证书，准备在图15和图16中所示的两个表格。而且，因为不推崇除了发送目的地器件之外的器件保存私有密钥，因此不在图15和图16中的两个表格中注册私有密钥。因为对于多个管理主体器件40存储同一根密钥共享密钥的种子，因此在另一个表格(未示出)中管理根密钥证书。并且可以通过使用在公共密钥证书中包括的根密钥证书的版本密钥信息来获得所述根密钥证书，以便可以降低数据量。
接着，将详细说明在进行如图14中所示的更新处理的情况下、由管理主体器件40进行的处理。图17示出了用于说明由管理主体器件40进行的处理的流程图。通过执行预定控制程序的管理主体器件40的CPU来进行所述处理。
当该管理主体器件40向管理装置30发送命令和通知时，管理主体器件40按照图17中的流程图来开始处理，并且管理主体器件40进行轮询处理以从管理装置30接收命令和通知。首先，在步骤S41中，管理装置30向管理装置30的规则URL发送通信请求。涓埃定管理主体器件40存储了作为通信伙伴管理装置30的通信请求目的地的规则URL和解救URL。
随后，在步骤S42中，管理主体器件40对于管理装置30发送和接收规则公共密钥证书、随机数和共享密钥的种子，并且使用图1中所示的SSL来与管理装置30进行相互鉴别。接着，管理主体器件40在步骤S43中鉴别是所述鉴别是否成功。当所述鉴别成功时，管理主体器件40与管理装置30建立通信，进行到步骤S44，并且按照规则的通信来进行处理。优选的是，在步骤S42中的鉴别是相互鉴别。但是，至少如果管理装置30可以鉴别管理主体器件40，则可以使用相互鉴别和单向鉴别的任何一个。
在步骤S44中，从在步骤S42中的鉴别处理中发送的共享密钥的种子来产生共享密钥。随后，在步骤S45中，管理主体器件40通过使用共享密钥来解密，并且向与管理主体器件40通信的器件(在这种情况下是管理装置30)发送命令和对于从管理装置30接收的命令的响应。在步骤S46中，管理主体器件40从与管理主体器件40通信的器件(在这种情况下是管理装置30)接收通过使用同一共享密钥而加密的命令和对于上述发送的命令的响应。在步骤S47中，管理主体器件40确定是否发送和接收了所有的命令和所有的响应。如果未发送和接收了所有的命令和响应，则管理主体器件40进行到步骤S48，与管理装置30断开连接，然后终止在图17中所示的处理。
步骤S45和步骤S46的步骤顺序不重要。而且，如果没有任何命令和响应，则可以省略步骤S45和S46。另外，在存储了所接收的命令和所接收的响应的同时，从按照图17中所示的流程图而进行的处理开始，独立地进行如下处理进行涉及所接收的命令处理和产生响应、解译所接收的响应的内容以及进行与所接收的响应的操作对应的处理。
另一方面，当在步骤S43中鉴别失败时，管理主体器件40进行到步骤S49，并且通过使用解救鉴别信息来进行获取更新的证书的处理。但是，如果未由于不是从通信错误、证书错误大那嘎引发的错误而引起鉴别失败。
在步骤S49后的步骤中，在步骤S49中，管理主体器件40向管理装置30的解救URL发送通信请求。在步骤S50中，在管理主体器件40和管理装置30之间发送和接收解救公共密钥证书、随机数和共享密钥的种子，并且管理主体器件40使用图1中所示的SSL来进行相互鉴别处理。
在步骤S51中，确定鉴别是否成功。当鉴别失败时，管理主体器件40返回步骤S48，并且断开与管理装置30的通信。当鉴别成功时，管理主体器件40建立与管理装置30的连接，进行到步骤S52，并且进行用于获取和定义更新证书的处理。
即，首先，在步骤S52中，从在步骤S50中的鉴别处理中发送的共享密钥的种子来产生共享密钥。在步骤S53中，管理主体器件40发送诸如通过共享密钥而加密的器件编号之类的信息。另外，在步骤S54中，管理主体器件40通过使用同一共享密钥而解密在证书存储部分46中存储的官方鉴别信息，并且向管理装置30发送所述官方鉴别信息。在步骤S53和步骤S54中，可以在单个消息中描述所有的必要信息。
在步骤S53和步骤S54中发送的信息用于管理装置30检查是否可以向管理主体器件40发送更新的证书，并且也被用作管理主体器件40的标识信息以在更新证书中描述。
另外，例如，示出为什么不能获得当前使用的官方鉴别信息的原因的通知可以是除了在步骤S53中发送的器件编号之外的信息。然后，例如，作为要通知的原因，可以通知因为在替换包括证书存储部分46的及其的存储单元的同时一个器件未连接而不能自动地更新所述证书，因为在更新证书的同时关闭电源而使得数据有缺陷等。
而且，在步骤S54中发送的官方鉴别信息是管理主体器件40试图在步骤S42中使用的信息，并且在因为所述官方鉴别信息有缺陷、公共密钥证书的有效日期期满等而不能正常地鉴别所述官方鉴别信息的状态中。但是，为了通过管理装置30来检查管理主体器件40，向管理装置30发送所述官方鉴别信息。因为检查基础不同于使用SSL的鉴别处理，因此几乎撒所述官方鉴别信息具有上述的问题也向管理装置30发送所述官方鉴别信息。另外，私有密钥不被原始地发送到另一个器件。但是，因为与私有密钥的对应公共密钥证书不能用于鉴别，因此即使当通过网络而发送所述私有密钥时另一个器件识别了所述私有密钥，也没有问题。
而且，所述官方鉴别信息包括图8中所示的公共密钥证书、私有密钥、根密钥证书等，但是不需要发送它们全部。另外，当所述官方鉴别信息的整体或部分有缺陷时，可以发送示出所述缺陷的信息。或者，可以通过排除具有缺陷的信息来发送所述官方鉴别信息。
在步骤S54后，在步骤S55中，管理主体器件40等待直到管理主体器件40从管理装置30接收到证书定义命令。如上所述，如果进行使用解救公共密钥证书的鉴别，则不进行涉及除了证书定义命令之外的请求的操作。
当管理主体器件40接收到所述证书定义命令时，管理主体器件40进行到步骤S56，存储与所述证书定义命令一起接收的证书，并且将所述证书定义为用于与管理装置30的通信的官方鉴别信息。
当管理主体器件40结束定义官方鉴别信息时，管理主体器件40在步骤S57向管理装置30返回响应。随后，管理主体器件40断开与管理装置30的连接，并且本身重新启动。必须重新启动，以便改变重要的设置，诸如在这种情况下是证书的设置。当管理主体器件40在此重启时，管理主体器件40可以获得用户的许可。图17示出了在步骤S58后中止处理，但是实际上当管理主体器件40在步骤S58中重新启动时处理才中止。或者，可以不重启而中止处理。
在图17中，描述了当管理主体器件40的规则公共密钥证书有缺陷时期满时更新证书的情况。但是，有另一种情况，其中管理装置30最好当更新所述证书时检查管理主体器件40。
图18示出了在另一种情况下的通信伙伴的整体处理的序列流程。
在这种情况下，当管理主体器件40检查到在用于在管理主体器件40和管理装置30之间的鉴别处理的公共密钥证书的有效日期之前是特定期限时(S61)，管理主体器件40确定这是更新官方鉴别信息的时间，并且作为要在图17中的步骤S45中发送规则命令的处理中向管理装置30发送的命令，将用于请求管理装置30的证书请求命令注册到公共密钥证书等以更新。。
其后，在有关的定时，管理主体器件40向管理装置30的规则URL发送通信请求。在这种情况下，通过使用所述官方鉴别信息来进行相互鉴别。如果鉴别信息没有问题，则详细说明与图14中的相同，并且将被省略。然后，鉴别处理成功(S71、S72、S73、S74、S75、S76和S77)。在此鉴别中使用的管理主体器件40的公共密钥证书是共享的公共密钥证书。
当所述鉴别成功时，管理主体器件40向管理装置30发送在步骤S62中注册的证书请求命令(S78)。在步骤S78中，也向管理装置30发送在证书存储部分46中存储的器件编号和官方鉴别信息。例如，作为证书请求命令的边远而发送器件编号和官方鉴别信息。
然后，管理装置30的证书检查部分35根据器件编号和官方鉴别信息来检查管理主体器件40，并且确定可以发送所述更新的证书(S79)。然后，证书发放部分36发送所述更新证书，并且也向证书数据库中注册被发送的公共密钥证书、发送目的地器件的标识信息等(S80)。
其后，在步骤S80中发送的更新证书和证书定义命令被发送到管理主体器件40(S81)。
当管理主体器件40接收到证书定义命令和更新证书时，管理主体器件40将被附加了证书定义命令的更新证书定位为用于与管理装置30的通信的官方鉴别信息(S82)，管理主体器件40向管理装置30返回示出定义结果的响应(S83)。
如上所述，中止由管理主体器件40进行的规则证书的更新处理。在步骤S80中发送的更新证书最好是单独的公共密钥证书，用于描述在步骤S78中接收的器件编号和所述发送目的地器件的标识信息。而且，管理主体器件40在图17中的步骤S46中进行的规则命令接收处理中接收在步骤S81中发送的证书更新命令，然后进行涉及所接收的命令的处理。
接着，参照图19和图20来说明在参照图14到图18所述的官方鉴别信息的更新处理中由管理装置30进行的处理。当管理装置30的CPU在解救URL接收到通信请求时开始所述处理，通过执行预定程序的CPU 11来进行所述处理。而且，当在规则URL接收到通信请求时进行在步骤S95后的处理，然后在规则地发送和接收命令的同时接收证书请求命令。与图19和图20中所示的处理独立地进行当管理装置30的CPU在所述规则的URL接收到通信请求时进行的、涉及规则命令发送的处理。
在图19中所示的处理中，首先，在步骤S91中，管理装置30的CPU在管理装置30和通信请求的发送者器件(在这种情况下是管理主体器件40)之间发送和接收汇集公共密钥证书与随机数和共享密钥的种子，并且使用如图1中所示的SSL来进行相互的鉴别处理。
然后，管理装置30在步骤S92确定此鉴别是否成功。当所述鉴别成功时，管理装置30进行到图20中的步骤S108，断开与发送者器件的通信，并且中止所述处理。另一方面，当鉴别成功时，管理装置30与通信请求的发送者器件建立通信，进行到步骤S93。在随后的步骤中，管理装置30进行下述处理检查通信请求的发送者器件，并且定义更新证书。而且，当鉴别成功时，管理装置30可以识别哪个管理主体器件是通信请求的发送者器件。在下面，假定通信请求的发送者器件是管理主体器件40。
在所述处理中，首先在步骤S93中，从在步骤S91中的鉴别处理中接收的共享密钥的种子产生共享密钥。随后，在步骤S94中，从管理主体器件40接收通过使用共享密钥而加密的器件编号、官方鉴别信息等。但是，在管理主体器件40不发送整个的官方鉴别信息的情况下，管理装置30接收仅仅官方鉴别信息的一部分，或者管理装置30可以不接收整个的官方鉴别信息。
在步骤S94的处理与接收公共密钥证书的步骤对应，并且管理装置30的CPU 11作为接收部件。
在步骤S94后，管理装置30进行到步骤S95，并且确定所述器件编号是否示出了作为通信伙伴的正确器件。在进行作为涉及证书请求命令的处理的此处理的情况下(管理主体器件40被定义为发送者器件)，除了证书请求命令之外，也确定与所述证书请求命令一起被接收的器件编号。
如果确定管理主体器件40不是正确的通信伙伴，则不进行随后的检查，可以识别不能向管理主体器件40发送更新证书。管理装置30进行到在图20中的步骤S109。在步骤S109中，管理装置30向管理主体器件40发送描述检查失败和检查失败原因的消息。在步骤S110中，管理装置30向管理装置30的操作员通知检查失败及其原因，与管理主体器件40断开连接，并且中止此处理。例如，可以认为，虽然管理主体器件40要成为管理装置30的管理主体，但是管理主体器件40不被注册为管理主体，因为还没有达成管理合同。
另一方面，当确定管理主体器件40是正确的通信伙伴时，管理装置30进行到步骤S96。在步骤S96中，通过使用在步骤S94中接收的器件编号来搜索证书存储部分34的证书数据库(参见图15和图16中的两个数据库)，并且获取关于最新规则公共密钥证书和最鲜的规则根密钥证书的信息，所述最新规则公共密钥证书和最鲜的规则根密钥证书被假定存储在管理主体器件40中。从与管理主体器件40不同的位置获取所述信息。而且，要获取的信息可以是公共密钥证书的整体或一部分。例如，所述信息可以是从所述公共密钥证书提取的必要信息，诸如根密钥证书、证书的序号、发送目的地装置的标识信息、有效日期、发送日期等。即，上述的必要信息足以进行在步骤S97、S98和S99中的检查。而且，被获取的公共密钥证书以是共享的公共密钥证书。
在步骤S96中的处理是获取信息的步骤，管理装置30的CPU 11作为获取部件。
接着，步骤S97是用于使用在步骤S94中接收的公共密钥证书来进行检查的处理，并且通过使用在步骤S94中从管理主体器件40接收的公共密钥证书和在步骤S96中获取的信息来检查管理主体器件40。检查结果被注册在结果表格中。可以考虑如何通过使用公共密钥证书来检查管理主体器件40的各种方法。至少，当在步骤S94中接收到所述公共密钥证书时，确定所述公共密钥证书与由在步骤S94中接收的器件编号指定的器件中存储的另一个公共密钥证书相同。例如，通过比较从管理主体器件40接收的整体公共密钥证书和从证书数据库获取的整体公共密钥证书、通过将两个公共密钥证书彼此部分地比较、或通过彼此比较从两个公共密钥证书提取的参数，当两个公共密钥证书彼此相同时，可以确定管理主体器件40是正确的通信伙伴。
图21示出了用于说明在步骤S97中使用公共密钥证书的检查处理的处理示例的流程图。
在所述检查处理中，首先，在步骤S111中，确定在图19中的步骤S94中是否从管理主体器件40接收到作为官方鉴别信息的公共密钥证书。如果所述公共密钥证书被接收为所述官方鉴别信息，则所述检查处理进行到步骤S 112，并且确定在步骤S94中接收的公共密钥证书与在图19中的步骤S96中从证书数据库获取的公共密钥证书是否相同。
如果在步骤S94中接收的公共密钥证书与在步骤S96从所述证书数据库获取的公共密钥证书相同，则确定在步骤S94中接收的公共密钥证书是管理主体器件40存储的证书。这个确定结果支持通信伙伴是管理主体器件40。因此，在步骤S113中，向结果表注册“OK”来作为公共密钥证书的检查结果，并且检查处理返回。另一方面，如果在步骤S94中接收的公共密钥证书不与在步骤S96从证书数据库获取的公共密钥证书，则确定解救鉴别信息不是管理主体器件40。在步骤S114中，向结果表注册“NG(不适用)”来作为检查结果，并且检查处理返回。
如果在步骤S111中未接收到公共密钥证书，则在步骤S115中将“NONE(无)”注册为检查结果，检查处理返回。
例如，可以通过进行上述的步骤S111-S115来实现在图19中的步骤S97中的检查处理。
一般，因为所述公共密钥证书未被保持为保密数据并且如果必要的话被发送到通信伙伴，因此即使一个器件存储公共密钥证书，也难于确定所述器件是所述公共密钥证书被发送到的发送目的地器件。
但是，在其中仅仅允许特定的通信伙伴来通信并且仅仅向特定的器件提供所述公共密钥证书的通信系统1000中，完全无关的器件存储管理主体器件40的公共密钥证书的可能很低。而且，如果作为管理主体器件40的通信伙伴的器件是与管理主体器件40相同的卖方的产品，则有可能控制使得所述通信伙伴密钥公共密钥证书，并且不向另一个器件传送所述公共密钥证书。
例如，在管理主体器件40被布置在防火墙中的假定下构造系统。在管理主体器件40和管理装置30之间的通信中，管理主体器件40总是在调用管理装置30的一侧，并且管理主体器件40不向除了管理装置30之外的任何器件发送通信请求。因此，管理主体器件40的公共密钥证书不被发送到除了管理装置30之外的任何装置。而且，在管理主体器件40中，以杂乱的状态来在存储器中存储所述公共密钥证书，所述存储器诸如快闪ROM(只读存储器)、在基底上固定的EPROM(可擦除可编程只读存储器)。有可能防止离线读出所述公共密钥证书，并且有可能进一步防止管理主体器件40的公共密钥证书被存储在除了管理主体器件40和管理装置30之外的任何器件和装置中。
因此，在这种情况下，如果管理装置30接收到所述公共密钥证书——其中管理装置30假定具有特定器件编号的器件存储所述公共密钥证书，则确定所述器件实际上高度可靠地发送了所述公共密钥证书。特别是，在管理主体器件40的通信伙伴是单独的管理装置30的情况下，被发送到管理主体器件40的公共密钥证书仅仅被存储在管理主体器件40和管理装置30中。因此，当管理装置30接收到与在管理装置30中管理的公共密钥证书相同的公共密钥证书时，管理装置30确定所述器件是由相关联的器件编号指定的特定器件。
而且，参见图22中的流程图，将说明在步骤S97中使用公共密钥证书的检查处理的另一个示例。优选的是，当进行与证书请求命令对应的处理时用于在图22中的检查处理。
在图22中的检查处理中，首先，在步骤S121和步骤S122，类似于在图21中的步骤S111和步骤S112而进行检查。
其后，通过使用诸如从管理主体器件40接收的器件编号和从管理主体器件40接收的公共密钥证书的有效期限之类的信息，并且通过参见通过使用上述信息来作为关键字而记录关于作为管理主体的器件的信息的表(未示出)，确定管理主体器件40是否作为管理主体的器件，并且管理主体器件40的管理合同期限长于当前使用的公共密钥证书的有效日期(S123和S124)。
对于不是管理主体的任何器件，不必进一步将通信保持为可用。如果所述管理合同期限在当前使用的公共密钥证书的有效日期内期满，则不必进一步将通信保持为可用。因此，。如果在步骤S123或S124中的确定结果示出“否”，则在步骤S127中设置检查NG(失败)，并且检查处理返回。
在步骤S124中，当根据管理合同期限来定义公共密钥证书的有效日期时，可以确定管理合同是否被延长。
而且，如果在步骤S124和步骤S124中的确定结果都示出“是”，则检查处理进行到步骤S125，并且确定当前的公共密钥证书是否接近期满(例如在有效日期之前的一个月内)。因为接近期满时而发送证书请求命令，则当这个确定结果示出“否”时，认为发生异常，在步骤S127中设置检查“NG”(失败)，并且检查处理返回。
而且，在步骤S121到S125中的所有确定结果示出“是”，在步骤S126中设置检查“OK”(成功)，并且检查处理返回。
通过上述的检查处理，检查发送器件编号的器件，并且可以确定是否可以发送公共密钥证书。图21和图22简单地示出了要在检查处理中确定的项目的示例。响应于管理主体器件40的使用、由管理装置30进行管理操作等，可以近似地定义所述项目。
再次参见图19，在下一个步骤S98中，进行使用在步骤S94中接收的私有密钥的检查处理。通过使用在步骤S94从管理主体器件40接收的私有密钥和在步骤S96中获取的信息来检查管理主体器件40，并且在结果表中注册所述检查结果。可以考虑使用私有密钥来进行检查的各种方法。至少，当在步骤S94中接收到私有密钥时，确定所述私有密钥是否与在步骤S94中接收的器件编号指定的器件中存储的公共密钥对应。例如，通过使用从管理主体器件40接收的私有密钥和在从证书数据库获取的公共密钥证书中包括的公共密钥的任何一个来加密适当的数据，并且使用所述私有密钥和公共密钥的另一个来解密所述适当数据。当通过这个解密来正确地执行原始数据时，确定从管理主体器件40接收的私有密钥是正确的私有密钥。
参见图23中的流程图，将说明在步骤S98中使用私有密钥而进行的检查处理的示例。
在这个检查处理中，首先，在步骤S141中，确定从管理主体器件40接收到私有密钥是否作为在图19中的步骤S94中的官方鉴别信息。如果接收到所述私有密钥，则检查处理进行到步骤S142，并且通过使用所述私有密钥加密适当的数据。在步骤S143中，通过使用在图19中的步骤S96中从所述证书数据库获取的公共密钥证书中包括的公共密钥来解密被加密的数据。如果通过使用在从管理主体器件40接收的公共密钥证书中包括的私有密钥和公共密钥来解密被加密的数据，则简单地识别出管理主体器件40存储私有密钥和与私有密钥对应的公共密钥。因此，取代使用在从证书数据库获取的公共密钥证书中包括的公共密钥而使用来自紧急通信路径管理主体器件40的公共密钥是效率低的。
随后，在步骤S144中确定解密是否成功，即确定所述解密结果是否示出了在加密之前的原始数据。
如果再现了原始数据，则确定在步骤S94中接收的私有密钥与由管理装置30管理的公共密钥对应。结果，确认通信伙伴是管理主体器件40。私有密钥的检查结果在步骤S145中在结果表中被注册为“OK”，并且检查处理返回。另一方面，如果未再现原始日期，则确认通信伙伴不是管理主体器件40。因此，检查结果在步骤S146中在结果表中被注册为“NG”(失败)，并且检查处理返回。
而且，如果在步骤S141中未接收到私有密钥，则在步骤S147中在结果表中将私有密钥的检查结果注册为“NONE”，并且检查处理返回。
例如，如上所述检查在图19中的步骤S98中的检查处理。
所述私有密钥一般是仅仅发送主体器件存储的数据。如果一个器件发送具有特定器件编号的器件存储的私有密钥，则实际上具有所述特定器件编号的所述器件很可能发送所述私有密钥。但是，如果管理装置30存储被发送到每个器件以比较的私有密钥，则管理装置30可以被假装为管理主体器件40。这种情况在系统设计中是不可取的。因此，在图23中所示的示例中，确认所接收的公共密钥证书与被当作由具有所述特定器件编号的器件存储的公共密钥的私有密钥对应时，以便有可能间接地确认所接收的公共密钥证书是假定被存储在具有所述特定器件编号的所述器件中的私有密钥。
或者，会在技术上可能在证书数据库中存储所述私有密钥。并且将从管理主体器件40接收的私有密钥与从证书数据库获取的私有密钥相比较。
再次参见图19，在下一个步骤S99中，进行使用在步骤S94中接收的根具有证书的检查处理。在步骤S99中，通过使用在步骤S94中从管理主体器件40接收的根密钥证书和在步骤S96中获取的信息来检查管理主体器件40，并且在结果表中注册检查结果。可以考虑用于使用根密钥证书来进行检查处理的各种方法。用于使用根密钥证书来进行检查处理的方法可以类似于公共密钥证书，并且将省略其说明。在一个详细的处理示例中，将“公共密钥证书”的所有说明取代为“根密钥证书”，并且可以应用类似的方法。
类似于公共密钥证书，一般不把所述根密钥证书保存为保密数据。而且，属于同一级的管理主体器件40的器件中共同地存储所述公共密钥证书。因此，即使一个器件存储根密钥证书，也难于将所述器件识别为特定器件。
但是，一旦在所述器件中定义了所述根密钥证书，则因为一般不向外部器件发送所述根密钥证书，因此完全无关的器件存储所述根密钥证书的可能性很小。因此，在这种情况下，如果一个器件发送被管理装置30认为存储在作为特定级的器件中的密钥证书，则至少可以高度可靠地确定实际上所述特定级的器件本身发送了所述根密钥证书。
而且，在混合多个版本的公共密钥证书和相关联的根密钥证书的情况下，如果通信伙伴发送与由管理装置30管理的公共密钥证书对应的根密钥证书，则可以识别所述通信伙伴实际上是由从所述通信伙伴发送的器件编号指定的器件。
使用所述根密钥证书的检查处理的检查结果示出了闭使用公共密钥证书或私有密钥的检查处理更低的可能性。但是，通过与使用公共密钥证书和私有密钥的检查处理的至少一个组合，会足够地有益。
在步骤S99后，检查处理进行到在图20中的步骤S100。通过使用在步骤S97-S99中在结果表中注册的所有检查结果的内容，对于与管理装置30通信的管理主体器件40执行结论性的检查。在此检查中，当确定通信伙伴是由在步骤S94中接收的器件编号指定的器件时设置检查“OK”。另一方面，当通信伙伴不猢狲由在步骤S94中接收的器件编号指定的器件时设置检查“NG”(失败)。
例如，作为此基础，如果所有的检查结果示出对于公共密钥证书、私有密钥和根密钥证书为“OK”，则将结论性结果设置为“OK”。另一方面，即使检查结果之一示出了“NONE”，也可以将结论性结果设置为“OK”。而且，取代设置“OK”和“NG”(失败)，可以发送警告以催促管理装置30的操作员确定所述结论性结果。可以根据卖方的管理装置30的操作基础、管理主体器件40的使用和功能等来适当地定义这些基础。
而且，当在步骤S94中接收到示出为什么不能使用官方鉴别信息的原因的信息时，可以将所述信息用于检查。例如，可以根据所述原因来改变所述检查基础。
步骤S97到S100是检查通信器件，管理装置30的CPU 11作为检查部件。应当注意，不强制进行所有的步骤S97到S99。并且可以进行至少步骤S97到步骤S99之一。
接着，在步骤S101中，确定在步骤S100中的检查结果是否OK。当在步骤S100中的检查结果是OK时，管理装置30进行到步骤S102以进行证书更新处理。
在步骤S102中，通过证书发放部分36的功能，建立包括在步骤S94中接收的器件编号的更新证书。在图10中所示的示例中，在公共密钥证书中描述了除了所述器件编号之外的发送主体器件的标识信息。在描述所述标识信息的情况下，管理装置30可以参见数据库，或使得管理主体器件40发送所述标识信息。
在步骤S102后，在步骤S103，向证书数据库注册在步骤S102中建立的证书的信息。在此处理中，例如，在使用在图15和图16中所示的格式的证书数据库的情况下，将公共密钥证书注册到图16中所示的第二表。
接着，在步骤S104中，在步骤S102中建立的证书被发送到管理主体器件40。同时，管理装置30发送证书定义命令，用于请求管理主体器件40定义为用于与管理装置30通信的证书。
管理装置30在步骤S105中等待对于所述证书定义命令的响应。当管理装置30从管理主体器件40接收到响应时，管理装置30进行到步骤S106，并且确定证书的更新是否成功。如果证书的更新成功，则在步骤S107，管理装置30更新与管理主体器件40的器件编号对应的公共密钥证书的信息，该管理装置30使得更新该证书。详细而言，管理装置30使用在步骤S104中发送的证书中所示的信息来更新在图15中所示的第一表中注册的序号和发送日期的信息。其后，在步骤S108，管理装置30断开与管理主体器件40的通信，并且中止所述处理。
当在步骤S106中证书的更新不成功时，管理装置30断开与管理主体器件40的通信，并且中止此处理。类似地，如果管理装置30在步骤S105中在预定时间中没有从管理主体器件40接收到响应，则断开所述通信，并且中止此处理。在这种情况下，管理主体器件40可以再次访问管理装置30。因此，如果管理装置30断开与管理主体器件40的通信，则没有问题。在这种情况下，假定管理主体器件40仍然存储与在更新证书之前相同的官方鉴别信息。因此，管理装置30不更新图15中所示的第一表。
另一方面，当在步骤S101中的检查结果不是“OK”时，管理装置30进行到步骤S109。在步骤S109中，管理装置30向作为通信伙伴的管理主体器件40发送示出检查失败和原因的消息。在步骤S110中，管理装置30也向管理装置30的操作员通知所述检查失败和原因。在步骤S108中，管理装置30断开与管理主体器件40的连接，并且中止此处理。或者，如果向管理主体器件40通知所述检查失败和原因不正确，则管理装置30仅仅断开所述通信，或者在断开之前向管理主体器件40发送伪消息。
在图1中所示的通信系统1000中，通过进行上述的处理，即使在不能在管理主体器件40使用用于在管理装置30和管理主体器件40之间的规则鉴别处理的公共密钥证书的情况下，并且即使在必须通过使用具有较低安全性的公共密钥证书而识别通信器件的情况下，也可以更新管理主体器件40，并且有可能再次恢复为可能在管理装置30和管理主体器件40之间进行规则鉴别处理的状态。
而且，在这种情况下，即使在较为容易被欺骗的使用解救鉴别信息的紧急通信路径的情况下，在管理主体器件40中存储的官方鉴别信息被发送到具有器件编号的管理装置30，并且所述管理装置30根据所述官方鉴别信息和器件编号来检查管理主体器件40。因此，有可能较高可能地防止欺骗，有可能防止非法地获取更新的公共密钥证书。
而且，在使用共享的公共密钥证书来作为在官方鉴别信息中包括的规则公共密钥证书的情况下，有可能当更新证书时防止欺骗，并且可以获得相同的效果。
另外，按照如上所述的方法，因为可以自动地更新公共密钥证书，因此特别是，当向作为远程维护主体的图像形成装置等——诸如有线电视机的机顶盒——或包括检查装置的通信系统发送公共密钥证书时，向在例如操作员不能更新证书的位置的装置应用所述方法是有效的，所述装置诸如用于进行检查的所述检查装置。
接着，将说明在管理主体器件40中的证书存储部分46的优选配置。
首先，图24示出了证书存储部分46的配置示例。
在管理主体器件40中，如图24中所示，作为配置了证书存储部分46的存储器，独立地布置可以替换的第一存储单元46a和第二存储单元46b。例如，在第一存储单元46a中，如图8A中所示，存储官方鉴别信息和解救鉴别信息。在第二存储单元46b中，可以存储全部或部分的官方鉴别信息。在图24中，第二存储单元46b存储规则的公共密钥证书。或者，可以存储规则私有密钥、规则根密钥证书或其组合。作为第一和第二存储单元46a和46b，使用可替换的非易失性存储器。例如，可以使用SRAM(静态随机存取存储器)、快闪存储器、SD卡、硬盘驱动器等。
第一存储单元46a包括官方鉴别信息75和解救鉴别信息77，所述官方鉴别信息75包括用于较低器件的规则公共密钥证书75a、用于较低器件的规则私有密钥75b和用于鉴别较高器件的规则根密钥证书75c，所述解救鉴别信息77包括用于较低器件的解救公共密钥证书77a、用于较低器件的解救公共密钥证书77b和用于鉴别较高器件的解救根密钥证书77c。第二存储单元46b包括用于较低器件的规则公共密钥证书75d。
即使在图24中所示的配置中，一般通过使用在第一存储单元中存储的官方鉴别信息来进行鉴别处理。但是，在管理主体器件40的操作期间，可以因为第一存储单元46a被损坏而要求替换第一存储单元46a，或者可以因为损坏了母板而要求替换安装第一存储单元46a的母板。
在这种情况下，如果所述解救鉴别信息不包括管理主体器件40的标识信息，则因为至少对于具有同一器件类型的管理主体器件40，解救鉴别信息是共享的相同信息，因此有可能当制造新的第二存储单元46b时向用于替代的新第二存储单元46b记录解救鉴别信息。然后，管理主体器件40可以请求管理装置30通过使用所述解救的鉴别信息而彼此通信，并且可以请求管理装置30发送新的官方鉴别信息。
但是，如果仅仅第一存储单元46a存储了官方鉴别信息，则当从管理主体器件40移去第一存储单元46a时，管理主体器件40包括在其本身内的官方鉴别信息。因此，当请求新的官方鉴别信息时，管理装置30不能检查管理主体器件40，因为不能向管理装置30提供官方鉴别信息。另外，在当检查结果因为基于在管理装置30的检查基础的较高安全性而示出“NONE”时检查不能成功的情况下，管理主体器件40不能通过所述检查，并且不能接收新的官方鉴别信息。
另一方面，如果第二存储单元46b存储官方鉴别信息，则如图25中所示，即使在去除第一存储单元46a的情况下，所存储的官方鉴别信息也仍然保持在第二存储单元46b中。因此，可以通过向管理装置30发送官方鉴别信息来检查管理主体器件40。如果所述官方鉴别信息正确的信息，则管理主体器件40可以通过所述检查，并且接收由管理装置30发送的新官方鉴别信息来作为更新的官方鉴别信息。
而且，管理主体器件40可以向第一存储单元46a存储从管理装置30接收的更新官方鉴别信息，并且也可以向第二存储单元46b存储更新的官方鉴别信息的全部或部分，以便实现图24中所示的原始状态。
如上所述，在所述实施例中的通信系统1000中，有效的是，管理主体器件40彼向多个存储单元此独立和可替换地分发和存储形成官方鉴别信息的公共密钥证书和私有密钥。在这种情况下，可以向多个存储单元存储公共密钥证书和私有密钥。
如图26中所示，用于较低器件的规则公共密钥证书75d等被存储在第二存储单元46b中来作为官方鉴别信息75-2，而不必被存储在第一存储单元46a中。在这种情况下，在第二存储单元46b中存储的规则公共密钥证书75d等用于鉴别处理。即使第一存储单元46a和第二存储单元46b的任何一个被去除或替换，所述规则公共密钥证书75d等仍然被存储在第一存储单元46a和第二存储单元46b的另一个中。这种配置也分发关于证书的信息。
关于证书存储部分46和管理主体器件40的说明结束。
而且，不仅可以应用如上所述的修改，而且可以应用下面的修改。
首先，在所述实施例中，管理装置30包括作为CA的功能，管理装置30本身发送更新证书。但是，管理装置30和CA可以是独立的装置。在这种情况下，优选的是，在管理装置30和CA之间的通信路径是专用线路。但是，除非保持了安全的通信路径——SSL、VPN等，可以通过因特网来建立通信路径。
在这种配置中，例如，在管理装置30检查了本身是作为更新公共密钥的发送者器件的管理主体的器件、并且确定所述器件通过了检查后，管理装置30请求CA发送更新证书，从CA接收更新证书，向证书数据库注册更新证书，并且向管理主体器件40传送更新证书。
而且，CA可以包括证书数据库，并且管理装置30可以从CA获取关于用于检查的公共密钥证书和根密钥证书的信息。在从CA获取所述信息的这种情况下，管理装置30从与管理主体器件40不同的位置获取所述信息，如上所述。在这种情况下，取代通过CA来发送更新证书，管理装置30有可能本身发送更新证书。
而且，可以在CA中包括如上所述在管理装置30中包括的用于检查处理的功能。在这种情况下，管理装置30向CA传送用于检查的从管理主体器件40接收的器件编号、官方鉴别信息等，使得CA进行检查处理，当检查结果示出“OK”时候获取由CA发送的更新证书并且当检查结果示出“NG”(失败)时获取示出检查失败的信息，并且向管理主体器件40传送所述检查结果。当管理装置30接收到所述更新证书时，管理装置30指令管理主体器件40定义更新证书。
而且，在所述实施例中，管理装置30管理管理主体器件40。但是，不强制具有检查通信伙伴的功能的器件管理检查主体的器件。有可能将本发明应用到用于相互交换数据的简单配置。
而且，在所述实施例中，管理装置30和管理主体器件40按照如上参照图1或图3所述的SSL来进行鉴别。但是，所述鉴别不限于使用SSL的方法。即使使用另一种鉴别，本发明仍然可以提供类似的效果。
改善SSL的TLS(传送层安全)是公知的，本发明可以被应用到根据TLS来进行鉴别处理的情况。而且，关于公共密钥加密，不仅可以应用RSA(RivestShamir Adleman)，而且可以应用椭圆曲线密码等。
另外，可以近似地组合如上所述变化方式。
而且，按照本发明的程序是用于使得控制管理装置30的计算机实现上述功能的程序。通过使得计算机执行所述程序，可以获得上述的效果。
所述程序可以被存储在诸如原始被安装在计算机中的、诸如ROM或HDD之类的存储单元中。而且，可以通过向任何其他记录媒体记录来提供所述程序，所述其他记录媒体诸如SRAM(静态RAM)、EEPROM(电子可擦除和可编程只读存储器)、存储卡等。在存储器中记录的所述程序被安装到计算机，以使得CPU执行所述程序，或CPU从存储器读出所述程序以执行如上所述的每个处理。
而且，可以从具有记录所述程序并且连接到网络的外部器件或在存储单元中记录所述程序的外部器件下载所述程序以执行所述程序。
如上所述，通过按照本发明的检查装置、通信系统、检查方法、计算机可执行程序产品或计算机可读记录介质，有可能即使在必须通过使用具有较低安全性的公共密钥证书来识别通信器件的情况下也有效地防止欺骗。
因此，通过向操作通信系统1000以便每个节点使用数字证书而进行鉴别处理以彼此通信的情况应用到本发明，有可能实现进一步加强安全的系统。
图27是示出其中在图4中所示的通信系统中布置多个管理主体器件的配置的一个示例的图。在图27中，如上所述，管理装置30包括用于管理装置30的解救公共密钥证书831a、用于管理装置30的解救私有密钥831b、用于管理主体器件的解救根密钥证书832a。管理主体器件A40a、管理主体器件B40b、管理主体器件C 40c和管理主体器件D 40d包括用于其器件的解救公共密钥证书731a、用于其器件的解救私有密钥731b和用于鉴别管理装置30的解救根密钥证书732a。在图27中，所述解救公共密钥证书、解救私有密钥和解救根密钥的含义与如上所述相同。
本发明不限于具体公开的实施例，可以在不脱离本发明的范围的情况下进行改变和修改。
本发明基于在2004年7月20日提交的日本优先权申请第2004-211760号和在2005年6月27日提交的第2005-187405号，其整体内容通过引用而被并入在此。
权利要求
1.一种检查装置，用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查装置包括接收部分，从所述通信器件接收所述通信器件的公共密钥证书和所述通信器件的标识信息，所述通信器件通过使用所述公共密钥加密来进行鉴别处理，并且仅仅向特定的通信伙伴发送用于所述鉴别处理的公共密钥证书；获取部分，根据所述标识信息从除了所述通信器件之外的位置获取信息，所述信息示出了与由所述接收部分接收的标识信息对应的公共密钥证书的内容；以及，检查部分，通过引用由所述获取部分获取的信息，根据由所述接收部分接收的公共密钥证书是否正确来检查所述通信器件。
2.按照权利要求1的检查装置，其中，所述检查部分包括基于由所述接收部分接收的公共密钥证书的内容与由所述获取部分获取的信息是否相同来确定是否所述公共密钥证书是正确的部分。
3.一种检查装置，用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查装置包括接收部分，从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；获取部分，根据所述标识信息从除了所述通信器件之外的位置获取与由所述接收部分接收的标识信息对应的公共密钥；以及，检查部分，根据由所述获取部分获取的公共密钥是否与由所述接收部分接收的私有密钥对应来检查所述通信器件。
4.按照权利要求3的检查装置，还包括用于存储在所述通信器件的标识信息和用于鉴别处理的公共密钥之间的对应性的部分。
5.按照权利要求3的检查装置，其中，所述检查部分包括通过使用由所述获取部分获取的公共密钥和由所述接收部分接收的私有密钥之一对给定数据加密、对通过所述公共密钥和私有密钥中的另一个来加密的数据进行解密、以及根据解密结果来进行检查的部分。
6.按照权利要求1的检查装置，还包括发送部分，当所述通信器件通过所述检查部分进行的检查时，向所述通信器件发送所述公共密钥证书作为所述通信器件的新公共密钥证书。
7.按照权利要求6的检查装置，其中，由所述发送部分发送的公共密钥证书是包括由所述接收部分接收的所述通信器件的标识信息的公共密钥证书。
8.一种通信系统，包括通信器件；和检查装置，其中所述通信器件包括鉴别部分，通过使用公共密钥加密进行鉴别处理，并且仅仅向指定伙伴发送用于鉴别处理的公共密钥证书；以及发送部分，向所述检查装置发送所述通信器件本身的公共密钥证书和所述通信器件本身的标识信息，并且所述检查装置包括接收部分，用于接收所述通信装置的公共密钥证书和所述通信装置的标识信息；获取部分，通过引用所述标识信息，从除了所述通信器件之外的位置获取信息，所述信息示出了与由所述接收部分接收的标识信息对应的公共密钥证书的内容；以及检查部分，通过引用由所述获取部分获取的信息，根据由所述接收部分接收的公共密钥证书是否正确来检查所述通信器件。
9.按照权利要求8的通信系统，其中，所述检查装置的检查部分包括基于由所述接收部分接收的公共密钥证书与由所述获取部分获取的信息是否相同来确定所述公共密钥证书是否正确的部分。
10.一种通信系统，包括通信器件；和检查装置，其中所述通信器件包括鉴别部分，通过使用公共密钥加密来进行鉴别处理；以及发送部分，向所述检查装置发送所述通信器件本身的私有密钥和所述通信器件本身的标识信息；并且所述检查装置包括接收部分，接收所述通信器件的私有密钥和所述通信器件的标识信息；获取部分，基于所述标识信息，从除了所述通信器件之外的位置获取与从所述接收部分接收的标识信息对应的公共密钥；以及检查部分，基于由所述获取部分获取的公共密钥与由所述接收部分接收的私有密钥是否对应来检查所述通信器件。
11.按照权利要求10的通信系统，其中，所述检查装置还包括用于存储在所述通信器件的标识信息和由所述通信器件所使用的用于鉴别处理的公共密钥之间的对应性的部分。
12.按照权利要求10的通信系统，其中，所述检查装置的检查部分包括用于通过使用由所述获取部分获取的公共密钥和由接收部分接收的私有密钥中的任何一个对给定数据加密、对由所述公共密钥和私有密钥中的另一个加密的数据进行解密、以及基于解密结果来进行所述检查的部分。
13.按照权利要求8的通信系统，其中所述检查装置还包括发送部分，用于当所述通信器件通过由所述检查部分进行的检查时，向所述通信器件发送公共密钥证书作为所述通信器件的新公共密钥证书；并且所述通信器件还包括用于接收所述公共密钥证书的部分。
14.按照权利要求13的通信系统，其中，从所述检查装置的发送部分发送来的公共密钥证书是包括由所述接收部分接收的所述通信器件的标识信息的公共密钥证书。
15.按照权利要求8的通信系统，其中，在所述通信器件中，用于鉴别处理的公共密钥证书和私有密钥独立地存储在多个可替换的存储单元中。
16.一种检查方法，用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查方法包括步骤从所述通信器件接收所述通信器件的公共密钥证书和所述通信器件的标识信息，所述通信器件通过使用所述公共密钥加密来进行鉴别处理，并且向特定伙伴发送用于所述鉴别处理的公共密钥证书；基于所述标识信息，从除了所述通信器件之外的位置获取信息，所述信息示出了与在接收所述公共密钥证书的步骤中接收的标识信息对应的公共密钥证书的内容；并且，通过引用在获取所述信息的步骤中获取的信息，基于在所述接收公共密钥证书步骤中接收的公共密钥证书是否正确来检查所述通信器件。
17.按照权利要求16的检查方法，其中，所述检查所述通信器件的步骤包括步骤基于在接收公共密钥证书中接收的公共密钥证书的内容与在获取所述信息的步骤中获取的信息是否相同来确定所述公共密钥证书是否正确。
18.一种检查方法，用于检查用于使用公共密钥加密来进行鉴别处理的通信器件，所述检查方法包括步骤从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；从除了所述通信器件之外的位置获取与在接收私有密钥的步骤中接收的标识信息对应的公共密钥；基于在获取公共密钥的步骤中获取的公共密钥与在接收私有密钥的步骤中接收的私有密钥是否相同来检查所述通信器件。
19.按照权利要求18的检查方法，其中，所述通信器件的标识信息和所述通信器件所使用的用于鉴别处理的公共密钥之间的对应性存储在进行接收私有密钥、获取公共密钥和检查通信器件的步骤的装置中。
20.按照权利要求18的检查方法，其中，所述检查所述通信器件的步骤包括步骤通过使用由所述获取部分获取的公共密钥和由所述接收部分接收的私有密钥之一对给定数据加密；通过所述公共密钥和私有密钥中的另一个对加密的数据解密，并且基于解密结果来进行检查。
21.按照权利要求16的检查方法，还包括步骤当所述通信器件通过在检查所述通信器件的步骤中进行的检查时，向所述通信器件发送所述公共密钥证书作为所述通信器件的新的公共密钥证书。
22.按照权利要求21的检查方法，其中，在发送所述新公共密钥证书的步骤中发送的所述公共密钥证书是包括在接收所述私有密钥的步骤中接收的所述通信器件的标识的公共密钥证书。
23.一种计算机可执行程序产品，用于使得计算机通过使用公共密钥加密来进行鉴别处理，所述计算机可执行程序产品包括用于下列步骤的代码从所述通信器件接收所述通信器件的公共密钥证书和所述通信器件的标识信息，所述通信器件通过使用所述公共密钥加密来进行鉴别处理，并且向特定伙伴发送用于所述鉴别处理的公共密钥证书；基于所述标识信息，从除了所述通信器件之外的位置获取信息，所述信息示出了与在接收所述公共密钥证书的代码中接收的标识信息对应的公共密钥证书的内容；并且，通过引用在获取所述信息的代码中获取的信息，基于在所述接收公共密钥证书代码中接收的公共密钥证书是否正确来检查所述通信器件。
24.按照权利要求23的计算机可执行程序产品，其中，所述检查所述通信器件的代码包括代码基于在接收公共密钥证书中接收的公共密钥证书的内容与在获取所述信息的代码中获取的信息是否相同来确定所述公共密钥证书是否正确。
25.一种计算机可执行程序产品，用于使得计算机通过使用公共密钥加密来进行鉴别处理，所述计算机可执行程序产品包括用于下列步骤的代码从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；从除了所述通信器件之外的位置获取与在接收私有密钥的代码中接收的标识信息对应的公共密钥；基于在获取公共密钥的代码中获取的公共密钥与在接收私有密钥的代码中接收的私有密钥是否相同来检查所述通信器件。
26.按照权利要求25中的计算机可执行程序产品，还包括用于下列的代码存储在所述通信器件的标识信息和所述通信器件所使用的用于鉴别处理的公共密钥之间的对应性。
27.按照权利要求25中的计算机可执行程序产品，其中，所述检查所述通信器件的代码包括代码通过使用由所述获取部分获取的公共密钥和由所述接收部分接收的私有密钥之一对给定数据加密；通过所述公共密钥和私有密钥中的另一个对加密的数据解密，并且基于解密结果来进行检查。
28.按照按照权利要求23的计算机可执行程序产品，还包括用于下列的代码当所述通信器件通过在检查所述通信器件的代码中进行的检查时，向所述通信器件发送所述公共密钥证书作为所述通信器件的新的公共密钥证书。
29.按照权利要求28的计算机可执行程序产品，其中，由用于发送公共密钥证书的代码设置的所述公共密钥证书是包括通过用于接收所述私有密钥的代码所接收的所述通信装置的标识信息的公共密钥证书。
30.一种计算机可读记录介质，它记录有程序，所述程序使得计算机通过使用公共密钥加密来进行鉴别处理，所述计算机可执行程序产品包括用于下列的代码从使用所述公共密钥加密来进行鉴别处理的所述通信器件接收所述通信器件的私有密钥和所述通信器件的标识信息；从除了所述通信器件之外的位置获取与在接收私有密钥的代码中接收的标识信息对应的公共密钥；基于在获取公共密钥的代码中获取的公共密钥与在接收私有密钥的代码中接收的私有密钥是否相同来检查所述通信器件。
全文摘要
一种检查装置包括接收部分、获取部分和检查部分。所述接收部分从所述通信器件接收所述通信器件的公共密钥证书和标识信息，所述通信器件通过使用所述公共密钥加密来进行鉴别处理，并且仅仅向特定的通信伙伴发送用于所述鉴别处理的公共密钥证书。所述获取部分根据所述标识信息从除了所述通信器件之外的位置获取信息，所述信息示出了与由接收部分接收的标识信息对应的公共密钥证书的内容。并且，所述检查部分通过引用由所述获取部分获取的信息来根据由所述接收部分接收的公共密钥证书是否正确而检查所述通信器件。
文档编号H04L9/08GK1860725SQ20058000118
公开日2006年11月8日 申请日期2005年7月20日 优先权日2004年7月20日
发明者柿井弘 申请人:株式会社理光