知財求人 - 知財ポータルサイト「IP Force」
特許6351742機器の証明書を含むメッセージの生成方法およびそのメッセージを生成するための装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6351742
(24)【登録日】2018年6月15日
(45)【発行日】2018年7月4日
(54)【発明の名称】機器の証明書を含むメッセージの生成方法およびそのメッセージを生成するための装置
(51)【国際特許分類】
H04L 9/32 20060101AFI20180625BHJP
【FI】
H04L9/00 675B
【請求項の数】12
【全頁数】16
(21)【出願番号】特願2016-554456(P2016-554456)
(86)(22)【出願日】2014年12月8日
(65)【公表番号】特表2017-506859(P2017-506859A)
(43)【公表日】2017年3月9日
(86)【国際出願番号】EP2014076868
(87)【国際公開番号】WO2015128014
(87)【国際公開日】20150903
【審査請求日】2016年10月26日
(31)【優先権主張番号】102014203766.2
(32)【優先日】2014年2月28日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】390039413
【氏名又は名称】シーメンス アクチエンゲゼルシヤフト
【氏名又は名称原語表記】Siemens Aktiengesellschaft
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100135633
【弁理士】
【氏名又は名称】二宮 浩康
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】ライナー ファルク
(72)【発明者】
【氏名】シュテフェン フリース
【審査官】
青木 重徳
(56)【参考文献】
【文献】
特表2012−520027(JP,A)
【文献】
特開2006−236349(JP,A)
【文献】
特開2001−195373(JP,A)
【文献】
特開平10−308733(JP,A)
【文献】
米国特許第06754829(US,B1)
【文献】
秋月 康志 ほか,ベアメタルハイパーバイザを用いたカーネルレベルルートキット検知システムの実現,電子情報通信学会技術研究報告,日本,社団法人電子情報通信学会,2010年 5月 6日,Vol.110 No.24,pp.33−38
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
プロセッサを使用して、機器(G)の証明書(ZERT)を含むメッセージ(VMSG)の生成方法であって、
前記証明書(ZERT)は、当該証明書(ZERT)の正当性の検査(PROOF1)を行うための署名(SIG)を有する、生成方法において、
前記プロセッサによって、
前記メッセージ(VMSG)に、ポジティブリスト(WL)に基づいて前記証明書(ZERT)の容認性の判定(PROOF2)を行うための容認性情報(ZINFO)を追加する、生成方法において、
前記プロセッサによって、前記容認性情報(ZINFO)に、前記機器(G)の第2の使用法(APP2)を実施するための第2の使用法情報(ANWI2)を追加し、
前記第2の使用法情報(ANWI2)は、前記機器(G)が肯定的に承認された場合に、(i)前記署名(SIG1)の正当性の検査の結果が肯定的であり、かつ(ii)前記ポジティブリスト(WL)に基づく前記証明書(ZERT)の容認性の判定(PROOF2)の結果が否定的であることによって適用できるものである、
ことを特徴とする生成方法。
前記証明書(ZERT)は、当該証明書(ZERT)の正当性の検査(PROOF1)を行うための署名(SIG)を有する、生成方法において、
前記プロセッサによって、
前記メッセージ(VMSG)に、ポジティブリスト(WL)に基づいて前記証明書(ZERT)の容認性の判定(PROOF2)を行うための容認性情報(ZINFO)を追加する、生成方法において、
前記プロセッサによって、前記容認性情報(ZINFO)に、前記機器(G)の第2の使用法(APP2)を実施するための第2の使用法情報(ANWI2)を追加し、
前記第2の使用法情報(ANWI2)は、前記機器(G)が肯定的に承認された場合に、(i)前記署名(SIG1)の正当性の検査の結果が肯定的であり、かつ(ii)前記ポジティブリスト(WL)に基づく前記証明書(ZERT)の容認性の判定(PROOF2)の結果が否定的であることによって適用できるものである、
ことを特徴とする生成方法。
【請求項2】
前記プロセッサによって、
前記容認性情報(ZINFO)に有効性情報(GI)を追加し、
前記有効性情報(GI)は、前記容認性の判定(PROOF2)の際に使用されるポジティブリスト(WL)の特徴を記述する以下のパラメータ:
ポジティブリスト(WL)の容認可能な発行者(ZULA);
ポジティブリスト(WL)の最大許容存続期間(MAXG);
ポジティブリスト(WL)の使用環境パラメータ(AUP);
使用されるポジティブリスト(WL)のステートメント(REF)
のうち少なくとも1つを有する、
請求項1記載の生成方法。
前記容認性情報(ZINFO)に有効性情報(GI)を追加し、
前記有効性情報(GI)は、前記容認性の判定(PROOF2)の際に使用されるポジティブリスト(WL)の特徴を記述する以下のパラメータ:
ポジティブリスト(WL)の容認可能な発行者(ZULA);
ポジティブリスト(WL)の最大許容存続期間(MAXG);
ポジティブリスト(WL)の使用環境パラメータ(AUP);
使用されるポジティブリスト(WL)のステートメント(REF)
のうち少なくとも1つを有する、
請求項1記載の生成方法。
【請求項3】
前記プロセッサによって、
前記容認性情報(ZINFO)に、前記機器(G)の第1の使用法(APP1)を実施するための第1の使用法情報(ANWI1)を追加し、
前記第1の使用法情報(ANWI1)は、前記機器(G)が肯定的に承認された場合に、(i)前記署名(SIG1)の正当性の検査の結果が肯定的であり、かつ(ii)前記ポジティブリスト(WL)に基づく前記証明書(ZERT)の容認性の判定(PROOF2)の結果が肯定的であることによって適用できるものである、
請求項1または2記載の生成方法。
前記容認性情報(ZINFO)に、前記機器(G)の第1の使用法(APP1)を実施するための第1の使用法情報(ANWI1)を追加し、
前記第1の使用法情報(ANWI1)は、前記機器(G)が肯定的に承認された場合に、(i)前記署名(SIG1)の正当性の検査の結果が肯定的であり、かつ(ii)前記ポジティブリスト(WL)に基づく前記証明書(ZERT)の容認性の判定(PROOF2)の結果が肯定的であることによって適用できるものである、
請求項1または2記載の生成方法。
【請求項4】
前記プロセッサによって、
前記証明書(ZERT)のどの特性に基づいて前記判定(PROOF2)を行えるかをそれぞれ記述している以下の実施パラメータ(APA):
前記証明書の連続番号(PI1);
前記証明書の発行者(PI4);
前記証明書のフィンガプリント(PI2);
公開鍵のフィンガプリント(PI3);
前記証明書の複製(PI5)
のうち少なくとも1つを、前記容認性情報(ZINFO)に追加する、
請求項1から3までのいずれか1項記載の生成方法。
前記証明書(ZERT)のどの特性に基づいて前記判定(PROOF2)を行えるかをそれぞれ記述している以下の実施パラメータ(APA):
前記証明書の連続番号(PI1);
前記証明書の発行者(PI4);
前記証明書のフィンガプリント(PI2);
公開鍵のフィンガプリント(PI3);
前記証明書の複製(PI5)
のうち少なくとも1つを、前記容認性情報(ZINFO)に追加する、
請求項1から3までのいずれか1項記載の生成方法。
【請求項5】
請求項1から4までのいずれか1項に従って生成されたメッセージ(VMSG)に基づいて機器(G)を承認する方法において、
(c)証明書(ZERT)の正当性の検査(PROOF1)を行った結果が肯定的であり、かつ、
(d)ポジティブリスト(WL)に基づいて当該証明書(ZERT)の容認性の判定(PROOF2)を行った結果が肯定的である
場合、
前記プロセッサによって、
第1のカテゴリ(K1)の少なくとも1つの使用法が適用されることについて前記機器(G)を承認する
ことを特徴とする方法。
(c)証明書(ZERT)の正当性の検査(PROOF1)を行った結果が肯定的であり、かつ、
(d)ポジティブリスト(WL)に基づいて当該証明書(ZERT)の容認性の判定(PROOF2)を行った結果が肯定的である
場合、
前記プロセッサによって、
第1のカテゴリ(K1)の少なくとも1つの使用法が適用されることについて前記機器(G)を承認する
ことを特徴とする方法。
【請求項6】
請求項1から4までのいずれか1項に従って生成されたメッセージ(VMSG)に基づいて機器(G)を承認する方法において、
(c)証明書(ZERT)の正当性の検査(PROOF1)を行った結果が肯定的であり、かつ、
(d)ポジティブリスト(WL)に基づいて当該証明書(ZERT)の容認性の判定(PROOF2)を行った結果が否定的である
場合、
前記プロセッサによって、
第2のカテゴリ(K2)の少なくとも1つの使用法が適用されることについて前記機器(G)を承認する、
とりわけ請求項5記載の方法。
(c)証明書(ZERT)の正当性の検査(PROOF1)を行った結果が肯定的であり、かつ、
(d)ポジティブリスト(WL)に基づいて当該証明書(ZERT)の容認性の判定(PROOF2)を行った結果が否定的である
場合、
前記プロセッサによって、
第2のカテゴリ(K2)の少なくとも1つの使用法が適用されることについて前記機器(G)を承認する、
とりわけ請求項5記載の方法。
【請求項7】
前記プロセッサによって、
前記証明書(ZERT)の特性をそれぞれ表す以下の実施パラメータ(APA):
前記証明書の連続番号(PI1);
前記証明書の発行者(PI4);
前記証明書のフィンガプリント(PI2);
公開鍵のフィンガプリント(PI3);
前記証明書の複製(PI5)
のうち少なくとも1つに基づいて、前記証明書(ZERT)の容認性の判定(PROOF2)を行う、
請求項5または6記載の方法。
前記証明書(ZERT)の特性をそれぞれ表す以下の実施パラメータ(APA):
前記証明書の連続番号(PI1);
前記証明書の発行者(PI4);
前記証明書のフィンガプリント(PI2);
公開鍵のフィンガプリント(PI3);
前記証明書の複製(PI5)
のうち少なくとも1つに基づいて、前記証明書(ZERT)の容認性の判定(PROOF2)を行う、
請求項5または6記載の方法。
【請求項8】
前記プロセッサによって、
前記容認性の判定(PROOF2)において、有効性情報(GI)を解析し、
前記有効性情報(GI)は、前記容認性の判定(PROOF2)の際に使用されるポジティブリスト(WL)の特徴を記述する以下のパラメータ:
ポジティブリスト(WL)の容認可能な発行者(ZULA);
ポジティブリスト(WL)の最大許容存続期間(MAXG);
ポジティブリスト(WL)の使用環境パラメータ(AUP);
使用されるポジティブリスト(WL)のステートメント(REF)
のうち少なくとも1つを有する、
請求項5から7までのいずれか1項記載の方法。
前記容認性の判定(PROOF2)において、有効性情報(GI)を解析し、
前記有効性情報(GI)は、前記容認性の判定(PROOF2)の際に使用されるポジティブリスト(WL)の特徴を記述する以下のパラメータ:
ポジティブリスト(WL)の容認可能な発行者(ZULA);
ポジティブリスト(WL)の最大許容存続期間(MAXG);
ポジティブリスト(WL)の使用環境パラメータ(AUP);
使用されるポジティブリスト(WL)のステートメント(REF)
のうち少なくとも1つを有する、
請求項5から7までのいずれか1項記載の方法。
【請求項9】
メッセージ(VMSG)を生成するための第1の装置(VOR1)であって、
機器(G)の証明書(ZERT)を前記メッセージ(VMSG)に挿入するための第1のユニット(M1)であって、前記証明書(ZERT)は前記証明書(ZERT)の正当性の検査(PROOF1)を行うための署名(SIG)を有する、第1のユニット(M1)と、
ポジティブリスト(WL)に基づいて前記証明書(ZERT)の容認性の判定(PROOF2)を行うための容認性情報(ZINFO)を追加するための第2のユニット(M2)と
を備えている、第1の装置(VOR1)において、
前記容認性情報(ZINFO)に、前記機器(G)の第2の使用法(APP2)を実施するための第2の使用法情報(ANWI2)を追加し、
前記第2の使用法情報(ANWI2)は、前記機器(G)が肯定的に承認された場合に、(i)前記署名(SIG1)の正当性の検査の結果が肯定的であり、かつ(ii)前記ポジティブリスト(WL)に基づく前記証明書(ZERT)の容認性の判定(PROOF2)の結果が否定的であることによって適用できるものである、
ことを特徴とする第1の装置(VOR1)。
機器(G)の証明書(ZERT)を前記メッセージ(VMSG)に挿入するための第1のユニット(M1)であって、前記証明書(ZERT)は前記証明書(ZERT)の正当性の検査(PROOF1)を行うための署名(SIG)を有する、第1のユニット(M1)と、
ポジティブリスト(WL)に基づいて前記証明書(ZERT)の容認性の判定(PROOF2)を行うための容認性情報(ZINFO)を追加するための第2のユニット(M2)と
を備えている、第1の装置(VOR1)において、
前記容認性情報(ZINFO)に、前記機器(G)の第2の使用法(APP2)を実施するための第2の使用法情報(ANWI2)を追加し、
前記第2の使用法情報(ANWI2)は、前記機器(G)が肯定的に承認された場合に、(i)前記署名(SIG1)の正当性の検査の結果が肯定的であり、かつ(ii)前記ポジティブリスト(WL)に基づく前記証明書(ZERT)の容認性の判定(PROOF2)の結果が否定的であることによって適用できるものである、
ことを特徴とする第1の装置(VOR1)。
【請求項10】
請求項1から4までのいずれか1項記載の生成方法に従って生成されたメッセージ(VMSG)に基づいて機器(G)を承認するための第2の装置(VOR2)であって、
前記メッセージ(VMSG)の証明書(ZERT)の正当性の検査(PROOF1)を行うための第3のユニット(M3)と、
ポジティブリスト(WL)に基づいて前記証明書(ZERT)の容認性の判定(PROOF2)を行うための第4のユニット(M4)と、
前記検査(PROOF1)および前記判定(PROOF2)の各結果が肯定的である場合、前記機器(G)を第1のカテゴリ(K1)の少なくとも1つの使用法の適用について承認するための第5のユニット(M5)と
を有することを特徴とする第2の装置(VOR2)。
前記メッセージ(VMSG)の証明書(ZERT)の正当性の検査(PROOF1)を行うための第3のユニット(M3)と、
ポジティブリスト(WL)に基づいて前記証明書(ZERT)の容認性の判定(PROOF2)を行うための第4のユニット(M4)と、
前記検査(PROOF1)および前記判定(PROOF2)の各結果が肯定的である場合、前記機器(G)を第1のカテゴリ(K1)の少なくとも1つの使用法の適用について承認するための第5のユニット(M5)と
を有することを特徴とする第2の装置(VOR2)。
【請求項11】
前記第5のユニット(M5)はさらに、前記検査(PROOF1)の結果が肯定的であり、かつ前記判定(PORRF2)の結果が否定的である場合、前記機器(G)に第1のカテゴリ(K1)の少なくとも1つの使用法を適用することについて承認するように構成されている、
請求項10記載の第2の装置(VOR2)。
請求項10記載の第2の装置(VOR2)。
【請求項12】
前記第3のユニット(M3)、前記第4のユニット(M4)および前記第5のユニット(M5)はさらに、請求項2から4までのいずれか1項記載の生成方法における前記容認性情報(ZINFO)の生成のうち少なくとも1つを実施できるように構成されている、
請求項10または11記載の第2の装置(VOR2)。
請求項10または11記載の第2の装置(VOR2)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ポジティブリストを用いる証明書を使用する方法および装置に関する。
【0002】
オートメーションシステムへの、「ハッカー攻撃」としても知られている悪意の攻撃は、最近著しく増加している。よって、たとえば製造ロボットまたはコントローラ等の機器に対して認証を行えるようにするため、かかる機器に特殊なデジタル証明書が用いられる。この認証により、たとえば、正当であると認証された機器しか、オートメーションシステムにおいて作動することができないことが保証される。また、産業環境において、たとえば技術者に対してメンテナンスアクセスを許可するために、人に関連付けられたデジタル証明書を使用することも可能である。
【0003】
文献[1]には、「デジタル証明書[・・・]は、人または物の所定の特性を認定するデジタルデータセットであって、正当性および完全性が暗号手法により検証され得るデータセットである。デジタル証明書はとりわけ、自己の検証に必要なデータを含む」と記載されている。
【0004】
さらに文献[2]には、「属性証明書[・・・]はデジタル証明書であり、信頼できる機関によってデジタル署名された、所定のデジタル情報(属性)と、これにより属性定義される他のデジタル証明書とを繋ぐものである」と記載されている。文献[2]にはさらに、「属性証明書[・・・]は典型的には証明書自体を、または人を詳細に特徴記述する特性を特徴とする」と記載されている。
【0005】
デジタル証明書の有効性を制限する他の1つの手段が、文献[3]から知られている。同文献では、認証ルーティンの一環で、デジタル証明書をホワイトリスト(=英語“white list”または“certificate white list”)と照合することが提案されている。「ポジティブリスト」とも称されるこのホワイトリストは、被認証ユニットの認証対象のデジタル証明書を認証することが許可されているか否かを示すものである。たとえば認証ユニットは、ポジティブリストにおいて、認証対象のデジタル証明書ないしは当該デジタル証明書への参照を記録したエントリを探索することができる。かかるエントリが発見された場合には認証がなされ、そうでない場合には認証は停止される。
【0006】
従来技術の欠点は、デジタル証明書の認証ないしは有効性検証(「証明書有効性確認」ともいう)がポジティブリストに基づいて行われるか否かが不明であるということである。他方、たとえば機器が所定の環境でしか動作することが許容されていないので、ポジティブリストを用いて証明書をさらに検証する必要がある可能性があるにもかかわらず、認証ユニットは、存在する証明書だけで既に、ポジティブリストの検証を行うことなく機器の認証を肯定的に行うことができてしまう。
【0007】
よって課題は、デジタル証明書を使用するときのセキュリティの向上を可能にする方法および装置を実現することである。
【0008】
前記課題は、従属請求項に記載の特徴によって解決される。従属請求項に、本発明の実施形態が記載されている。
【0009】
本発明は、機器Gの証明書を含むメッセージの生成方法に関し、当該証明書は、当該証明書の正当性を検査するための署名を有し、本生成方法は、前記メッセージに、ポジティブリストに基づいて証明書の容認性を判定するための容認性情報を追加することを特徴とする。
【0010】
本発明の利点は、機器の承認を行うときにメッセージを用いて署名を判定する他、ポジティブリスト上に証明書が存在するか否かも判定することである。よって、署名に基づく証明書の検査と、容認性の判定との双方を行わなければならないことにより、機器の承認に際してのセキュリティが向上する。かかる検査と判定との双方を行うことの「強制」は、メッセージによって制御されるので、認証を行うユニットが証明書の署名の検査の他にポジティブリストに基づく証明書の判定も行うか否かに対する従属性が、偶然に委ねられることはない。したがって、署名の検査結果は肯定的であるがポジティブリストに基づく判定はなされていない場合に承認が成功することが回避される。さらに、承認の通知がなされるときに機器に対して、検査および判定の双方が行われ、かつその結果が肯定的であることが明らかになることにより、承認の確実性も向上する。
【0011】
一実施例では、メッセージは宛先フィールドと、上述の証明書と、容認性情報とを含むことができる。他の一実施例では、メッセージは証明書と容認性情報とを含む。さらに、容認性情報を証明書とは別個にメッセージ内に配置することができ、または証明書の一部としてメッセージ内に配置することもできる。後者の場合には、メッセージは新規の証明書を記述することも可能である。
【0012】
一発展形態では、容認性情報に有効性情報を追加する。この有効性情報は、容認性の判定の際に使用されるポジティブリストWLの特徴を記述する以下のパラメータのうち少なくとも1つを有する:・ポジティブリストの容認可能な発行者;
・ポジティブリストの最大許容存続期間;
・ポジティブリストの使用環境パラメータAUP;
・使用されるポジティブリストのステートメントREF
【0013】
かかる態様の容認性情報を使用することにより、機器の承認の確実性がさらに向上する。というのも、有効性情報により、判定に使用できるポジティブリストの数が絞られるからである。場合によっては、このように絞った後に判定に用いられるポジティブリストが無くなり、承認が失敗したり、低いセキュリティレベルでしか機器の承認を行うことができなくなることもある。
【0014】
本発明の1つの有利な発展形態では、容認性情報に、Gの第1の使用法を実施するための第1の使用法情報を追加する。この第1の使用法情報は、機器が肯定的に承認された場合に、(i)署名の正当性の検査結果が肯定的であり、かつ(ii)ポジティブリストに基づく証明書の容認性の判定結果が肯定的であることによって適用できるものである。これにより、機器に対し、肯定的な承認により容認される取扱法すなわち使用法を割り当てることができる。よって、上述の承認結果に依存して機器に対して第1の使用法すなわち第1のカテゴリの少なくとも1つの使用法が割り当てられることにより、セキュリティが向上する。
【0015】
本発明の1つの有利な発展形態では、容認性情報に、機器の第2の使用法を実施するための第2の使用法情報を追加する。この第2の使用法情報は、機器が肯定的に承認された場合に、(i)署名の正当性の検査結果が肯定的であり、かつ(ii)ポジティブリストに基づく証明書の容認性の判定結果が否定的であることによって適用できるものである。よって、上述の検査および判定の結果に依存して機器に対して第2の使用法すなわち第2のカテゴリの少なくとも1つの使用法が割り当てられることにより、セキュリティが向上する。第2のカテゴリの使用法としては、低セキュリティレベルの使用法を考慮することができる。
【0016】
本発明の一発展形態では、証明書のどの特性に基づいて判定を行えるかを記述している以下の実施パラメータのうち少なくとも1つを、容認性情報に追加する:・証明書の連続番号;
・証明書の発行者;
・証明書のフィンガプリント;
・公開鍵のフィンガプリント;
・証明書の複製PI5。
【0017】
これにより、判定を行うユニットに対してメッセージは、実施パラメータのうちどれを当該ユニットが判定の実施のために使用すべきか、ないしは使用できるかを、明示的に通知できるので、承認の確実性をさらに向上させることができる。
【0018】
本発明は、上記ステップのうちいずれか1つによって生成し得るメッセージに基づいて機器を承認するための方法にも関し、当該方法では、(a)証明書の正当性の検査を行った結果が肯定的であり、かつ、
(b)ポジティブリストに基づいて当該証明書ZERTの容認性の判定を行った結果が肯定的である
場合、第1のカテゴリの少なくとも1つの使用法を適用することについて当該機器を承認する。
【0019】
本発明の利点は、機器の承認を行うときにメッセージを用いて署名を判定する他、ポジティブリスト上に証明書が存在するか否かも判定することである。よって、署名に基づく証明書の検査と、容認性の判定との双方を行わなければならないことにより、機器の承認に際してのセキュリティが向上する。かかる検査と判定との双方を行うことの「強制」は、メッセージによって制御されるので、認証を行うユニットが証明書の署名の検査の他にポジティブリストに基づく証明書の判定も行うか否かに対する従属性が、偶然に委ねられることはない。したがって、署名の検査結果は肯定的であるがポジティブリストに基づく判定はなされていない場合に承認が成功することが回避される。さらに、承認の通知がなされるときに機器に対して、検査および判定の双方が行われ、かつその結果が肯定的であることが明らかになることによっても、承認の確実性が向上する。
【0020】
本発明は、上記ステップのうちいずれか1つによって生成し得るメッセージVMSGに基づいて、とりわけ上述の方法により機器を承認するための方法にも関し、当該方法では、(a)証明書の正当性の検査を行った結果が肯定的であり、かつ、
(b)ポジティブリストに基づいて当該証明書の容認性の判定を行った結果が否定的である
場合、第2のカテゴリの少なくとも1つの使用法を適用することについて当該機器を承認する。
【0021】
かかる方法により、上述の利点の他にさらに、判定結果が否定的である場合に承認が必ずしも失敗するとは限らず、低いセーフティレベルで承認を行うこと、すなわち、機器が安全上危険な使用法を行わないこと、または安全上危険な使用法に関与できないようにすることが可能となるという利点が奏される。このことにより、機器はたとえばアップデートを行うことはできるが、機器自体は他の機器と共に製造の実施に関与することができない。
【0022】
有利な一実施形態では、証明書の容認性の判定を、それぞれ当該証明書の特性を表す以下の実施パラメータのうち少なくとも1つに基づいて行う:・証明書の連続番号;
・証明書の発行者;
・証明書のフィンガプリント;
・公開鍵のフィンガプリント;
・証明書の複製
【0023】
これにより、判定を行うユニットに対してメッセージは、実施パラメータのうちどれを当該ユニットが判定の実施のために使用すべきか、ないしは使用できるかを、明示的に通知できるので、承認の確実性をさらに向上させることができる。
【0024】
本発明の一発展形態では、容認性の判定において有効性情報を解析する。この有効性情報は、容認性の判定の際に使用されるポジティブリストの特徴を記述する以下のパラメータのうち少なくとも1つを有する:・ポジティブリストの容認可能な発行者;
・ポジティブリストの最大許容存続期間MAXG;
・ポジティブリストの使用環境パラメータ(AUP);
・使用されるポジティブリストのステートメントREF
【0025】
かかる容認性情報を使用することにより、機器の承認の確実性がさらに向上する。というのも、有効性情報により、判定に使用できるポジティブリストの数が絞られるからである。場合によっては、このように絞った後に判定に用いられるポジティブリストが無くなり、承認が失敗したり、低いセキュリティレベルでしか機器の承認を行うことができなくなることもある。
【0026】
本発明はさらに、機器の証明書と、ポジティブリストに基づいて証明書の容認性を判定するための容認性情報とを含むメッセージにも関し、当該証明書は、当該証明書ZERTの正当性を検査するための署名を有する。さらに当該メッセージは、上述のメッセージを生成するためのステップのうちいずれかに従って形成することができる。
【0027】
かかるメッセージの利点は、上記メッセージ生成のための上述の各実施形態から導き出すことができる。
【0028】
本発明は、メッセージを生成するための第1の装置にも関し、当該装置は、・機器の証明書であって、当該証明書の正当性を検査するための署名SIGを有する証明書ZERTを、メッセージに挿入するための第1のユニットと、
・ポジティブリストに基づいて証明書の容認性を判定するための容認性情報を追加するための第2のユニットと
を備えている。
第2のユニットはさらに、上述のメッセージ生成のための実施形態のうちいずれかに従って容認性情報を拡張可能であるように構成することもできる。
【0029】
第1の装置についての利点は、上記メッセージ生成のための上述の各実施形態と同一である。
【0030】
本発明はさらに、上述のステップのうちいずれかに従って生成し得るメッセージに基づいて機器を承認するための第2の装置にも関し、当該第2の装置は、メッセージVMSGの証明書の正当性を検査するための第3のユニットと、
ポジティブリストに基づいて証明書の容認性を判定するための第4のユニットと、
前記検査および前記判定の各結果が肯定的である場合、前記機器を第1のカテゴリK1の少なくとも1つの使用法の適用について承認するための第5のユニットと
を有する。
【0031】
第5のユニットはさらに、前記検査の結果は肯定的であり、かつ前記判定の結果が否定的である場合、前記機器を第1のカテゴリの少なくとも1つの使用法の適用について承認するように構成することもできる。
【0032】
また、前記第3のユニット、第4のユニットおよび第5のユニットは、上述の方法の容認性情報の発展形態のうち少なくとも1つを実施できるように構成することも可能である。
【0033】
各第2の装置についての利点は、上記メッセージ承認のための上述の各実施形態と同一である。
【0034】
図面を参照して、本発明とその実施形態とを詳細に説明する。
【図面の簡単な説明】
【0035】
【図1】機器から検査ユニットへのメッセージの転送を示す図である。
【図2】証明書および容認性情報を含むメッセージの構造を示す図である。
【図3】メッセージの容認性情報の一部としての有効性情報を示す図である。
【図4】メッセージを生成するためのフローチャートおよび第1の装置を示す図である。
【図5】メッセージを用いて機器を承認するためのフローチャートおよび第2の装置を示す図である。
【図6】ASN.1標準規格に従って符号化された証明書を示す図である。
【0036】
各図中、同一の機能や作用を有する構成要素には、同一の符号を付している。
【0037】
本発明の第1の実施例は、産業用排水浄化設備において故障したポンプを交換しようとしており、この排水浄化設備の制御通信に接続する前にその承認をしようというものである。こうするためには、サービス技術者が故障ポンプに代えて新規のポンプGを取り付ける。この新規のポンプ(以下「機器G」ともいう)は配電網に接続完了すると、メッセージVMSGを生成する。このメッセージVMSGは、ポンプGの証明書を含む。図1および図2を参照されたい。証明書ZERTの方は、少なくとも1つの署名SIGを有し、この署名SIGに基づいて、証明書ZERTの正当性ないしは有効性の検査PROOF1を行うことができる。
【0038】
メッセージVMSGはさらに、ポンプGのそれはメッセージVMSGに容認性情報ZINFOを追加する。容認性情報ZINFOは、署名SIGの検査の他にポジティブリストWLに基づく証明書ZERTの容認性の判定も行うべき旨を、当該容認性情報ZINFOによって検査ユニットZに通知することを目的とするものである。この容認性情報は有利には、ポンプGの証明書に含まれている。しかし、容認性情報をメッセージVMSGの他の部分に含むことも可能である。
【0039】
ポンプGの証明書はたとえば、当該ポンプの製造者によって発行された機器証明書、ポンプGの自己署名証明書、または、排水浄化設備のオペレータによって当該ポンプに対して発行された証明書であって、ポンプの設置前にポンプG上にて構成された証明書とすることができる。また、ポンプGの初回稼働時に、排水浄化設備において有効な、当該ポンプGに対する証明書を要求するため、まず最初にポンプが証明書要求メッセージを作成してこれを送信することも可能である。排水浄化設備の証明書サーバがこれに応答して、容認性情報を含む証明書をポンプGへ提供することができる。かかる証明書はその後、上述のように、ポンプGが検査ユニットZと通信するために使用することができる。
【0040】
図2に、メッセージVMSGの一例を示す。このメッセージVMSGは、署名SIGと、容認性情報ZINFOについての1つまたは複数のステートメントとを含む。第1の実施例では、容認性情報は標識信号FLGのみを有する。この標識信号FLGは、証明書ZERTの上述の検査の他にさらに、ポジティブリストWLに基づいて当該証明書ZERTの容認性の判定PROOF2も行うことにより当該証明書ZERTを検証すべき旨を示すものである。
【0041】
「ホワイトリスト」としても知られているポジティブリストWLは、1つまたは複数のエントリを編纂したものであり、各エントリはそれぞれ、個別の証明書のために構成することができる。一般的に「ポジティブリストに基づく証明書の容認性の判定」とは、証明書自体ないしは証明書の導出された情報または証明書に対応付け可能な情報が、ポジティブリスト内に存在するか否かを検査することを意味する。検査対象の証明書に対応するエントリがポジティブリスト内にて発見されない場合には、判定結果は否定的となり、そうでない場合には肯定的となる。ポジティブリストWLは、上位のエンティティから検査ユニットZへ供給することができ、ポジティブリストWLは本実施例では、産業用設備すなわちその特殊な環境において有効性確認をすると一般的に肯定的な結果にしかならない機器の証明書のリストを含む。
【0042】
上述の第1の実施例では、証明書ZERTの正当性についての検査PROOF1によって、証明書ZERTの署名SIGの検証結果は肯定的となる。ポジティブリストWLに基づく証明書の容認性の判定PROOF2により、証明書ZERTは当該ポジティブリストWL内に格納されており、よって、第2の検査PROOF2の結果も肯定的であるという結果になる。第1の検査PROOF1および第2の検査PROOF2の双方の結果が肯定的となったので、ポンプGを産業用設備において使用することが容認される。次にその旨が、応答メッセージRMSGを用いてポンプGに通知される。これにより、ポンプGが第1のカテゴリK1の使用法を適用することについて承認される。このようにしてポンプは、たとえば制御コンピュータから制御データを、改ざん保護されて受け取ることができる。この制御データはたとえば、ポンプを起動または停止するための制御指令である。他の一例では、ポンプはたとえば、診断データを保護された状態で、排水浄化設備の診断サーバへ供給することができる。
【0043】
標識信号FLGを用いて、検査PROOF1および判定PROOF2の双方を行うべき旨を検査ユニットZに通知する手段の他、検査ユニットZにはさらに、判定の一環でポジティブリストWLの有効性の確認を当該検査ユニットZにさせる有効性情報GIを、共に付与することもできる。図3を参照されたい。こうするためには、有効性情報GIはたとえば、以下のパラメータのうち1つまたは複数を有することができる:
【0044】
・ポジティブリストWLの容認可能な発行者ZULA:当該パラメータは、証明書ZERTの容認性の判定に使用できるのは、有効性情報によって容認可能と定義された1または複数の発行者によって作成されたポジティブリストWLだけである旨を示すものであり、たとえば、ポンプの証明書はシーメンス社のポジティブリストまたは排水浄化設備のオペレータのポジティブリストに掲載されていることを要する。
【0045】
・ポジティブリストWLの最大許容存続期間MAXG:当該パラメータでは、判定PROOF2の基礎となるポジティブリストWLがどの程度の期間存続しているかが特定される。たとえば、最大許容存続期間MAXGが示す期間は5週間であり、容認性の判定に使用可能な複数のポジティブリストのうち1つは、既に6週間前に生成されたものである。よって、このポジティブリストは5月より長い期間存続しているので、判定においては使用されない。
【0046】
・ポジティブリストWLの使用環境パラメータAUP:当該パラメータでは、メッセージVMSGが機器Gの使用場所ないしは環境についての情報を示すことができる。たとえば、配電網に接続された後、ポンプGに所定のドメインのIPアドレスが、たとえば192.168.180.xが割り当てられている。使用環境パラメータAUPは192.168.180.xにセットされる。容認性の判定のための1つまたは複数のポジティブリストWLの選択に際し、検査ユニットZにより、各ポジティブリストが各使用環境パラメータAUPに鑑みて容認されるか否かが検査される。たとえば、第1のポジティブリストは168.180.180.xの使用環境パラメータについてのみ容認され、第2のポジティブリストは使用環境パラメータ168.178.180.xについてのみ認容される。したがって容認性の判定により、第2のポジティブリストのみが容認性の検証に使用されることとなる。使用環境パラメータAUPは一般的には、機器の使用場所を、本実施例ではポンプGの使用場所を詳細に表す1つまたは複数の個別の特性を記述するものである。使用環境パラメータAUPはIPアドレスの他に、温度、空気中湿度、機器周辺の他の機器の個別の特性、たとえばMACアドレスもしくはIPアドレスとすることができ、または、たとえば無線WLAN(WLAN−Wireless Local Area Network)、ネットワークもしくはGPSベースの現在地情報(GPS‐Global Positioning System)の識別標識等の、無線データからの情報とすることもできる。
【0047】
第1の実施例の1つの拡張態様では、容認性情報ZINFOにさらに、機器Gの第1の使用法APP1を行うための第1の使用法情報ANWI1も追加することができる。この使用法情報AUTH1は、検査PROOF1および容認性の判定PROOF2の双方の結果が肯定的となった場合に、機器Gが何の使用法APP1を行えるかを示すものである。たとえば本実施例では、ポンプは産業用設備の危険な領域においても動作することができるものであり、たとえば、ポンプが非常に高温の媒体や非常に低温の媒体をポンピングしなければならない領域でも動作することができる。たとえば第1の使用法APP1のステートメントを用いて、産業用設備のどの領域においてポンプを使用できるかを示すことができる。これにより、第1の使用法についての証明書の容認性が判定される。
【0048】
本実施例の1つの発展態様では、容認性情報ZINFOに、1つまたは複数の第2の使用法APP2を行うための第2の使用法情報ANWI2を追加することができる。この使用法情報ANWI2は、検査PROOF1の結果が肯定的であり、かつ容認性の判定PROOF2の結果が否定的となった場合に、機器が何のタスクないしは使用法を行えるかを示すものである。具体的には、証明書の署名は有効であるが、証明書が(または証明書への参照が)検査ユニットZのどの有効なポジティブリストについてアクセス可能でない、ということである。この場合、可能な第2の使用法APP2は、ポンプGを産業用設備において使用できないように構成することができる。他の1つの実施形態では、ポンプGに対して、たとえば危険でない温度領域で、たとえば10℃から25℃までの温度領域で媒体をポンピングするための使用等の、危険でないタスクのみを委託することが可能である。さらに、一実施形態の第2の使用法は、ポンプは1つまたは複数の隣接する機器および検査ユニットとの通信に加入することができるが、当該ポンプ自体は媒体をポンピングできないように実施することも可能である。
【0049】
メッセージVMSGの生成について、図4を参照して詳細に説明する。同図では4つのステップS0〜S3を示しており、これらのステップは当該生成のフローチャートとなっている。さらに図4は、メッセージを作成するためのステップを実施するための第1のユニットM1および第2のユニットM2を備えた第1の装置VOR1も示している。
【0050】
ステップS0において、フローチャートが開始する。
【0051】
第1のユニットM1によって実施される第1のステップS1において、少なくとも署名SIGを含む証明書を生成する。
【0052】
第2のステップS2において、メッセージVMSGに容認性情報ZINFOを追加する。この第2のステップS2は、第2のユニットM2によって実施される。メッセージVMSGへの容認性情報ZINFOの追加はとりわけ、容認性情報を含む証明書をメッセージZINFOに追加することによって行うことができる。
【0053】
図2のフローチャートは、第3のステップS3において終了する。
【0054】
他の一実施例では、図5を参照して、メッセージVMSGに基づいてポンプの承認を行うための特殊なステップを詳細に説明する。図5は、ステップT0からT10までを有するフローチャートと、当該ステップを実施するための複数のユニットM3〜M5を示している。これらのユニットは第2の装置VOR2を構成している。
【0055】
フローチャートはステップT0において開始する。
【0056】
第1のステップT1において、第2の装置V2がメッセージVMSGを受け取る。図5では、メッセージVMSGは証明書の他に容認性情報ZINFOも含んでおり、この容認性情報は、ポジティブリストWLの「最大許容存続期間MAXG」タイプの有効性情報GIを含むと仮定する。有利には、容認性情報ZINFOは証明書内に符号化されている。しかし容認性情報ZINFOは、別個の情報としてメッセージVMSG内に符号化することもできる。さらに、メッセージVMSGは他に、第1の使用法情報ANWI1および第2の使用法情報ANWI2も有する。この第1の使用法情報ANWI1および第2の使用法情報ANWI2は、証明書内に符号化するか、またはそれぞれ別個の情報としてメッセージVMSG内に符号化することができる。
【0057】
次の第2のステップT2において、証明書ZERTの署名SIGを用いて当該証明書の正当性の検査PROOF1を行う。第3のユニットM3がこの第2のステップT2を行い、第5のユニットM5が第3のステップT3を行う。
【0058】
第3のステップT3において、検査PROOF1の結果が肯定的であるかまたは否定的であるかを検査する。否定的である場合、経路Nにおいて第3のステップT3から離れ、次に第10のステップT10を実施する。検査PROOF1の結果が肯定的であった場合、第3のステップT3から離れて経路Jを通り、次に第4のステップT4を実施する。
【0059】
第4のステップT4において最初に、最大許容存続期間MAXGによって表される有効性情報を使用して、容認性を判定するために存在するポジティブリストWLを選択する。検査ユニットZに、有効性情報GIがこれについて充足するポジティブリストWLが存在しない場合、判定PROOF2の第1段階は否定的となる。そうでない場合には、この第1段階は肯定的となる。
【0060】
第1段階の結果が否定的であった場合、第5のステップT5において経路Nに入り、この経路Nは第9のステップT9に到達する。そうでない場合には、第5のステップT5はフローチャートの経路Jを経由して第6のステップT6まで達する。
【0061】
第6のステップT6において、判定PROOF2の第2段階で、証明書ないしは証明書から導出された探索値が、ポジティブリストWL内にて発見されるか否かを特定する。証明書ないしは導出された探索値について、証明書に関連するエントリがポジティブリスト内に存在する場合には、第6のステップT6において判定の第2段階の結果は肯定的となる。そうでない場合には、第6のステップT6において第2段階は否定的となる。
【0062】
次の第7のステップT7において、第6のステップT6の判定の第2段階を分析する。これが否定的である場合には、経路Nを経由して第7のステップT7から離れ、フローチャートの第9のステップT9に移行する。そうでない場合には、第7のステップからフローチャートの経路Jを経由して第8のステップT8へ移行する。
【0063】
本発明の他の一実施形態ではメッセージVMSGは、容認性情報ZINFOが単に標識信号FLGの形態となるように、すなわち、メッセージVMSG内に有効性情報GIが存在しないように構成することができる。かかる場合には、容認性の判定PROOF2はステップT6,T7のみによって実現され、第4および第5のステップT4,T5は飛ばす。第4のユニットがこの第4ないしは第6のステップT4,T6を行い、第5のユニットM5が第5ないしは第7のステップT6,F7を行う。
【0064】
証明書の正当性についての検査PROOF1と、ポジティブリストWLに基づく当該証明書の容認性についての判定PROOF2との双方の各結果が肯定的である場合、フローチャートは第8のステップT8に来る。かかる場合、第8のステップT8において機器すなわちポンプGが、第1のカテゴリK1の使用法を、たとえば第1の使用法APP1を実施する承認を受ける。第1のカテゴリK1の使用法の適用が終了すると、第8のステップを最後のステップT10の呼び出しによって終了させる。しかし、第1のカテゴリの使用法を第1の使用法情報によって定義する必要はなく、たとえばデフォルトにより、使用法の第1のカテゴリは機器の動作の許可であると規定することが可能である。
【0065】
第9のステップT9においてフローチャートは、証明書の正当性の検査の結果が肯定的であったことを表示する。しかしこの第9のステップT9では、ポジティブリストに基づく証明書の容認性の判定結果は否定的となっている。よって第9のステップでは、ポンプについて第2のカテゴリK2の使用法を承認することができる。この使用法の第2のカテゴリはたとえば、どの使用法も実施することができず、ポンプを産業用設備において使用することが許容されないものとすることができる。これに代えて、第9のステップT9においてポンプにより、たとえば安全上危険でない第2の使用法APP2を行うことができる。第9のステップT9の終了後、フローチャートを第10のステップT10に移行させる。
【0066】
第10のステップT10において、図5のフローチャートを終了させる。
【0067】
証明書の容認性についての判定PROOF2は、証明書およびポジティブリストの以下の実施パラメータAPAのうち少なくとも1つに基づいて行うことができる:・証明書の連続番号:メッセージVMSGに含まれる証明書の連続番号に基づき、検査ユニットZは、ポジティブリストWL内において当該証明書を特定することができる。
・証明書の発行者:検査ユニットZは、証明書の発行者にも基づいて第2の検査の実施を行うことができる。たとえば、証明書の発行者がポジティブリスト内に記録されていない場合には、第2の検査PROOF2の結果は否定的となる。
・証明書のフィンガプリント:証明書の「フィンガプリント」とは、証明書そのものを容認性の判定の実施に使用するのではなく、たとえばハッシュ符号等で符号化された形態の証明書を判定の実施に使用することを意味する。たとえば、検査ユニットは証明書のハッシュ値を、メッセージVMSGの証明書から得ることができる。次にこのハッシュ値を使用して、ポジティブリスト内において同名のハッシュ値を識別する。同名のハッシュ値が発見されない場合には、判定結果は否定的となり、そうでない場合には肯定的となる。
・署名中の公開鍵のフィンガプリント:これに係る手続は、上記項目「証明書のフィンガプリント」と類似しており、証明書全部を用いる代わりに、署名の公開鍵のみを判定に用いる。
・証明書の複製:その手続も「証明書のフィンガプリント」に類似しており、本発明の当該実施態様では、符号化された形態の証明書を用いる代わりに証明書を平文で使用することができる。これにより、平文の証明書が、ポジティブリスト内での探索対象であるインデックスとなる。
【0068】
本発明の一発展形態では、メッセージも、上述の実施パラメータAPAのうちいずれかを有することができる。これによって検査ユニットに対し、ポジティブリスト内において証明書を特定するためにどのパラメータを使用すべきかが通知される。
【0069】
図6は、証明書ZERTと容認性情報ZINFOとを含むメッセージを示す図である。図6の実施例は、いわゆるID証明書に対応するASN.1符号化(ASN.1=Abstract Syntax Notation One)を用いたX.509準拠の符号化である。図6のメッセージは、証明書ZERT領域と、容認性情報ZINFOを記述する領域とに分かれる。容認性情報ZINFOはさらに、有効性情報GI、使用されるポジティブリストREFと当該ポジティブリストの容認可能な発行者ZULAとについてのステートメント、および、容認性の判定PROOF2を実施するための実施パラメータAPAを記述する。実施パラメータAPAに関して特殊な点は、判定を行うための3つの選択肢が検査ユニットZに一緒に付与されることである。たとえば、検査ユニットZは証明書の連続番号およびフィンガプリントに基づいて、または公開鍵のフィンガプリントに基づいて、第2の検査を行うことができる。ID証明書の使用に代えて、本発明を属性証明書に用いることも可能である。これに係る手続は、図6に示されたものと同様である。
【0070】
メッセージを生成するための第1の装置は、第1のユニットおよび第2のユニットによって実現される。よって、この第1のユニットおよび第2のユニットは検査ユニットZとなる。機器を承認するための第2の装置は、第3、第4および第5のユニット手段によって実現される。
【0071】
本明細書において示した各ユニットは、ソフトウェア、ハードウェアまたはソフトウェアとハードウェアとの組み合わせで実現することができる。その際には、本発明の各ステップを機械可読の形態でメモリに記憶することができる。その際には、プロセッサがこの機械可読の指令を読み出して処理できるように、メモリをプロセッサに接続する。さらに、プロセッサへないしはプロセッサからデータを交換するための入出力インタフェースを当該プロセッサに結合することもできる。
【0072】
複数の実施例を参照して本発明とその実施形態とを説明したが、本発明は、これらの具体的な実施例に限定されない。さらに、各実施例や各実施形態を任意に組み合わせることも可能である。