ホーム > 特許ランキング > 株式会社制御システム研究所
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-09-22
(45)【発行日】2023-10-02
(54)【発明の名称】電子証明書の組み込み方法及び電子証明書の組み込みシステム
(51)【国際特許分類】
G06F 21/33 20130101AFI20230925BHJP
【FI】
G06F21/33
【請求項の数】
6
(21)【出願番号】P 2021212404
(22)【出願日】2021-12-27
(65)【公開番号】P2023096560
(43)【公開日】2023-07-07
【審査請求日】2022-09-28
(73)【特許権者】
【識別番号】515121634
【氏名又は名称】株式会社制御システム研究所
(74)【代理人】
【識別番号】110002675
【氏名又は名称】弁理士法人ドライト国際特許事務所
(72)【発明者】
【氏名】森本 賢一
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2015-139104(JP,A)
【文献】米国特許第9172699(US,B1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/33
(57)【特許請求の範囲】
【請求項1】
単一の端末を複数のユーザが異なるタイミングで使用する場合に、証明局のサーバにより、ユーザごとに、前記端末を認証するための電子証明書を時系列で発行し、前記複数のユーザのうちの一のユーザが前記端末を使用しているとき、前記端末で動作する所定のソフトウェアにより、
前記サーバにより発行された直前の電子証明書が前記端末に存在するか否かを確認し、
前記直前の電子証明書が前記端末に存在する場合、前記サーバにより発行された次の電子証明書を前記端末に組み込む、
電子証明書の組み込み方法。
【請求項2】
前記サーバにより、ユーザごとに、個人認証のためのユーザ証明書を発行し、前記直前の電子証明書が前記端末に存在する場合、前記一のユーザの前記ユーザ証明書の情報と、前記直前の電子証明書の情報とを、ネットワークを介して前記端末から前記サーバに送信し、
前記端末から受信した前記ユーザ証明書の情報及び前記直前の電子証明書の情報に基づいて、前記サーバにより、前記一のユーザの個人認証及び前記端末の認証をすることができた場合、前記次の電子証明書を、前記ネットワークを介して前記サーバから前記端末に送信する、請求項1に記載の方法。
【請求項3】
前記サーバにより発行された各電子証明書には有効期限が設定されている、請求項1又は2に記載の方法。
【請求項4】
前記次の電子証明書を前記端末に組み込んだ後、前記端末の個体識別情報及びセットアップ情報を含む端末情報を、ネットワークを介して前記端末から前記サーバに送信し、前記サーバは、前記端末から受信した前記端末情報を登録する、請求項1~3の何れか1項に記載の方法。
【請求項5】
前記サーバにより、多要素認証によって、前記端末を使用する前記複数のユーザの各々を特定する、請求項1~4の何れか1項に記載の方法。
【請求項6】
単一の端末と、前記端末にネットワークを介して接続され、前記端末を複数のユーザが異なるタイミングで使用する場合に、ユーザごとに、前記端末を認証するための電子証明書を時系列で発行する証明局のサーバと、
を備え、
前記端末は、
前記複数のユーザのうちの一のユーザが前記端末を使用しているとき、所定のソフトウェアにより、
前記サーバにより発行された直前の電子証明書が前記端末に存在するか否かを確認し、
前記直前の電子証明書が前記端末に存在する場合、前記サーバにより発行された次の電子証明書を組み込む、
電子証明書の組み込みシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子証明書の組み込み方法及び電子証明書の組み込みシステムに関するものである。
【背景技術】
【0002】
近年、工場やインフラストラクチャなどの設備の現場において、サイバーセキュリティ対策が求められており、設備のネットワークに不適切な端末を接続させないことが最重要課題となっている。
【0003】
例えば、企業の事務部門で使用される端末は、従業員(ユーザ)が保有する個人認証端末であるため、ユーザのみが知るパスワードなどの情報を用いて、ユーザと端末とを紐付けることができる。よって、端末を保有するユーザの個人認証(ログイン)によって、適切な端末であるか否かを識別している。端末を認証するため、一般に、二要素認証(例えば、ユーザのみが知るメールアドレスとユーザ所有の携帯電話へのメッセージコードを用いた認証)によって、端末を識別する電子証明書を当該端末にインストールする手法が用いられている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【文献】国際公開第2013/003419号
【発明の概要】
【発明が解決しようとする課題】
【0005】
一方、設備の現場では、チームで共有するパーソナルコンピュータや操作パネルのように、各ユーザと直接的に紐付けられない端末が多く存在する。この場合、設備の責任者が、設備内の各端末に電子証明書をインストールすることは困難である。また、操作パネルのように専用のソフトウェアが導入される端末では、端末の納入業者と受領者、そしてソフトウェアをインストールして設備と連動させるインテグレータが異なることも予想される。この場合、設備オーナー会社の従業員だけではなく外部の業者も、同一端末での作業の一部を受託することが予想される。このように、単一の端末のシステム構築に複数の組織の複数のユーザが関与する場合、上述のように、端末に電子証明書をインストールする各ユーザの個人認証によって端末を識別する手法では、設備のセキュリティを担保することができず、信頼性が損なわれてしまうという課題が生じる。
【0006】
本発明は、上記課題に鑑みてなされたものであり、単一の端末のシステム構築に複数のユーザが関与する場合においても、信頼性を損なうことなく当該端末に電子証明書を組み込む方法及びシステムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の一態様に係る電子証明書の組み込み方法は、単一の端末を複数のユーザが異なるタイミングで使用する場合に、証明局のサーバにより、ユーザごとに、端末を認証するための電子証明書を時系列で発行し、複数のユーザのうちの一のユーザが端末を使用しているとき、端末で動作する所定のソフトウェアにより、サーバにより発行された直前の電子証明書が端末に存在するか否かを確認し、直前の電子証明書が端末に存在する場合、サーバにより発行された次の電子証明書を端末に組み込む。
【0008】
本発明の一態様に係る電子証明書の組み込みシステムは、単一の端末と、当該端末にネットワークを介して接続され、端末を複数のユーザが異なるタイミングで使用する場合に、ユーザごとに、端末を認証するための電子証明書を時系列で発行する証明局のサーバと、を備える。端末は、複数のユーザのうちの一のユーザが端末を使用しているとき、所定のソフトウェアにより、サーバにより発行された直前の電子証明書が端末に存在するか否かを確認し、直前の電子証明書が端末に存在する場合、サーバにより発行された次の電子証明書を組み込む。
【発明の効果】
【0009】
本発明によれば、サーバにより発行された直前の電子証明書が端末に存在する場合に、次の電子証明書を当該端末に組み込むようにしたことにより、当該端末のシステム構築に複数のユーザが関与する場合においても、信頼性を損なうことなく当該端末に電子証明書を組み込むことができる。
【図面の簡単な説明】
【0010】
【図1】本発明の各実施形態に係る電子証明書の組み込みシステムの構成を示す模式図である。
【図2】本発明の第1実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図3】第1実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図4】第1実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図5】第1実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図6】第1実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図7】第1実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図8】第1実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図9】本発明の第2実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【図10】第2実施形態に係る電子証明書の組み込み方法を示すシーケンス図の一部である。
【発明を実施するための形態】
【0011】
以下、図面を参照して、本発明の実施形態に係る電子証明書の組み込み方法及び電子証明書の組み込みシステムについて説明する。
【0012】
本実施形態では、工場などの設備に、電子証明書を用いたネットワーク接続の認証システムが導入されているものとする。このような認証システムでは、一般的に、IEEE802.1X認証又はRADIUS認証と呼ばれる認証プロトコルが用いられる。無線LANの場合は、EAP-TLS認証が一般的に用いられる。これらの認証方式では、ユーザが入力するパスワード又は事前公開鍵のような入力文字列ではなく、端末内の電子証明書を用いて、ネットワークへの接続を許可するか否かを判断している。
【0013】
図1に示すように、電子証明書の組み込みシステム100は、電子証明書を発行する証明局120のサーバ102と、設備140に設置された端末104とから構成され、サーバ102と端末104とは、インターネットなどのネットワーク106を介して接続可能である。以下では、電子証明書を単に「証明書」と呼ぶことがある。
【0014】
本実施形態では、端末104が、複数のシステム技術者が関与するケースの多いパーソナルコンピュータなどの汎用コンピュータであるものとして説明するが、端末104として、制御システムなどの組み込み型の専用コンピュータを採用してもよい。
【0015】
本実施形態では、設備140のシステムに単一の端末104を追加する際に関与する複数のユーザをCi(i=1、…、n:nは2以上の整数)と表記し、ユーザCiが端末104を使用するときに端末104を認証するために発行される証明書をbiと表記し、ユーザCiが端末104上で実施する作業をWiと表記する。ここで、複数のユーザCiとして、外部の業者、設備140の従業員などが挙げられる。作業Wiとしては、端末104への各種ソフトウェアのインストールやセットアップ作業などが挙げられる。
【0016】
【0017】
証明局120のサーバ102には、端末104で作業Wiを実施する複数のユーザCiの情報(例えば、氏名、IDコード、携帯電話の番号など)と、ユーザCiが作業Wiを実施する順番iとが対応付けて登録されている。まず、サーバ102は、ユーザごとに、ユーザCiを認証するための電子証明書であるCi証明書(ユーザ証明書)を作成するとともに、bi証明書を端末104にインストールするためのソフトウェアbswを作成する(図2のステップ202)。Ci証明書はドングルに格納され、bswは、USBメモリなどの記憶媒体に格納される。Ci証明書及びbi証明書には、いずれも公開鍵が内包されており、対応する秘密鍵は、サーバ102に保存される。
【0018】
bswには、各bi証明書を端末104にインストールするための秘密の文字列(インストールキー)が組み込まれている。
【0019】
Ci証明書及びbswが作成されると、証明局120から各ユーザCiに、Ci証明書が格納されたドングルとbswが格納された記憶媒体とが配付される(ステップ204)。なお、一つのドングル(又は一つの記憶媒体)にCi証明書とbswの双方を格納し、各ユーザCiにドングルのみ(又は記憶媒体のみ)を配付するようにしてもよい。
【0020】
次に、証明書の発行依頼者のコンピュータにおいて、端末104の名称が指定され(ステップ206)、ネットワーク106を介して、指定された端末名とともに証明書の発行要求がサーバ102に送信される(ステップ208)。
【0021】
サーバ102は、証明書の発行要求を受けると、端末104にインストールされる予定のb1証明書、b2証明書、…、bn証明書を作成する(ステップ210)。各bi証明書には有効期限limit(i)が設定される。limit(i)は、作業Wiの順番、重要度などに応じて設定される。具体的には、最後に発行されるbn証明書の有効期限limit(n)を一番長くする。例えば、b1証明書の有効期限limit(1)を90日、b2証明書~b(n-1)証明書の有効期限limit(2)~limit(n-1)を30日、bn証明書の有効期限limit(n)を10年に設定する。
【0022】
次いで、サーバ102は、b1証明書、その秘密鍵、指定された端末名、及びエージェントソフトウェアを暗号化したファイルb0を作成し(ステップ212)、ファイルb0を、ネットワーク106を介して、端末保有者の端末104に送信する(ステップ214)。ここで、エージェントソフトウェアとは、端末104の状態を表す端末情報を外部に報告するためのソフトウェアである。端末情報は、シリアルナンバー、Media Access Control(MAC)アドレス、インストールされたアプリケーションの一覧、オペレーティングシステム(OS)のバージョン、アップデート日時など、端末104の個体識別情報及びセットアップ情報を含む。
【0023】
ファイルb0は、端末104に保存される(図3のステップ302)。そして、端末104の名称が指定名に変更される(ステップ304)。その後、端末104は、端末保有者から最初のユーザC1に渡される(ステップ306)。
【0024】
ユーザC1は、ステップ204で受領したドングルを端末104に接続し、端末104上で指定された作業W1を実施する(ステップ308)。その後、ユーザC1は、ステップ204で受領した記憶媒体を端末104に接続する。これにより、記憶媒体に格納されたbswが起動する(ステップ310)。ステップ310では、ファイルb0に含まれるb1証明書がインストールされるとともに(ステップ312)、エージェントソフトウェアがインストールされる(ステップ314)。b1証明書は端末104内の所定の記憶エリアに格納される。bswの実行が完了すると、端末104は次のユーザC2に渡される(ステップ316)。
【0025】
なお、予めユーザC1に端末104を渡しておき、ステップ302及び304をユーザC1側で実行するようにしてもよい。
【0026】
ユーザC2は、ステップ204で受領したドングルを端末104に接続し、端末104上で指定された作業W2を実施する(図4のステップ402)。次いで、端末104をネットワーク106に接続させる(ステップ404)。その後、ユーザC2は、ステップ204で受領した記憶媒体を端末104に接続する。これにより、記憶媒体に格納されたbswが起動し、端末104がネットワーク106を介して証明局120のサーバ102に接続され(ステップ406)、bswの実行が開始される(ステップ408)。
【0027】
ステップ408では、まず、端末104内に直前の証明書であるb1証明書が存在するか否か、b1証明書が有効期限limit(1)内であるか否かが確認される(ステップ410)。有効期限内のb1証明書が存在しない場合(ステップ410:NG)、bswが終了する。一方、端末104内に有効期限内のb1証明書が存在する場合(ステップ410:OK)、端末104は、C2証明書の情報及びb1証明書の情報を、ネットワーク106を介してサーバ102に送信するとともに、エージェントソフトウェアを起動して、端末104の現在の状態を表す端末情報(個体識別情報及びセットアップ情報)を、ネットワーク106を介してサーバ102に送信する(ステップ412)。ここで、サーバ102に送信されるC2証明書の情報及びb1証明書の情報は、例えば、これらの証明書に内包された公開鍵であり、その証明書を発行した証明局120の証明書、すなわち証明局120の公開鍵を内包する。
【0028】
なお、ステップ412において、C2証明書及びb1証明書の秘密鍵をサーバ102に送信してもよいが、この場合、秘密鍵を暗号化して送信する必要がある。
【0029】
サーバ102は、受信したC2証明書に内包される証明局120の中間証明書およびルート証明書の公開鍵を自らが保有する秘密鍵を用いて確認するか、または別途暗号化されて送付されたC2証明書の公開鍵に対応する秘密鍵を用いて、C2証明書を確認する。さらに、受信したb1証明書に内包される証明局120の中間証明書およびルート証明書の公開鍵を自らが保有する秘密鍵を用いて確認するか、または別途暗号化されて送付されたb1証明書の公開鍵に対応する秘密鍵を用いて、b1証明書を確認し、さらに、受信した端末情報から、端末104で作業W2が適切に行われたか否かを確認する(ステップ414)。
【0030】
サーバ102により、C2証明書、b1証明書、及び作業W2の少なくとも一つを確認することができなかった場合(ステップ414:NG)、サーバ102は、その旨を端末104に通知し、プロセスを終了する。この場合、端末104にb2証明書はインストールされない。
【0031】
一方、サーバ102が、C2証明書、b1証明書、及び作業W2の全てを確認することができた場合(ステップ414:OK)、サーバ102は、b2証明書及びその秘密鍵を暗号化し(図5のステップ502)、暗号化されたファイルを、ネットワーク106を介して端末104に送信する(ステップ504)。
【0032】
bswを実行中の端末104は、サーバ102からダウンロードしたb2証明書をインストールする(ステップ506)。b2証明書は端末104内の所定の記憶エリアに格納される。そして、端末104は、エージェントソフトウェアを起動して(ステップ508)、端末104の現在の状態を表す端末情報(上述の個体識別情報及びセットアップ情報)を、ネットワーク106を介してサーバ102に送信する(ステップ510)。
【0033】
サーバ102は、受信した端末情報を登録するとともに(ステップ512)、b2証明書のインストール完了を登録する(ステップ514)。その後、サーバ102は、b2証明書を削除する(ステップ516)。
【0034】
一方、端末104へのb2証明書のインストールが完了すると、端末104は次のユーザC3に渡される(ステップ518)。
【0035】
次に、図6及び図7を参照して、3番目~(n-1)番目のユーザCi(i=3、4、…、n-1)が端末104を使用するときのプロセスについて、図4及び図5と異なる点のみ説明する。なお、図6以降では、証明書の発行依頼者の図示を省略している。
【0036】
図6のステップ602~614は、図4のステップ402~414において、W2、b1、C2を、それぞれ、Wi、b(i-1)、Ciに置き換えたものである。図7のステップ702~710は、図5のステップ502~510において、b2をbiに置き換えたものである。以下、図7のステップ712以降を説明する。
【0037】
サーバ102は、ステップ710で受信した端末104の端末情報と、サーバ102に登録済みの端末情報とを比較する(ステップ712)。サーバ102は、ステップ712における比較の結果、同一の端末ではないと判断すると(ステップ712:NG)、不適切な端末である旨を端末104に通知し、プロセスを終了する。一方、サーバ102は、ステップ712において、同一の端末であると判断すると(ステップ712:OK)、ステップ710で受信した端末情報を登録するとともに、bi証明書のインストール完了を登録し(ステップ714)、bi証明書を削除する(ステップ716)。
【0038】
一方、端末104へのbi証明書のインストールが完了すると、端末104は次のユーザC(i+1)に渡される(ステップ718)。ここで、ユーザCiが使用している端末104が不適切な端末と判断された場合(ステップ712:NG)、たとえ、端末104が次のユーザC(i+1)に渡されたとしても、次のb(i+1)証明書が端末104にインストールされることはない。
【0039】
【0040】
端末104がユーザCnから端末保有者に返還されると(図8のステップ802)、その端末104が適切な端末であるか否かを確認するため、端末保有者の操作により、端末104をサーバ102に接続させ、サーバ102に対し、端末104の端末情報の履歴とインストールの履歴を送付するように要求する(ステップ804)。サーバ102から、ネットワーク106を介して端末情報の履歴とインストールの履歴を受信すると(ステップ806)、端末104は、受信した履歴のデータと、端末104内の履歴のデータとを比較し(ステップ808)、比較結果を、ネットワーク106を介してサーバ102に送信する(ステップ810)。
【0041】
サーバ102に登録された履歴と端末104内の履歴とが一致している場合(ステップ812:YES)、サーバ102は、プロセスを終了する。一方、履歴の不一致がある場合(ステップ812:NO)、サーバ102は、Ci証明書の情報、bi証明書の情報、端末情報の履歴、インストールの履歴などの全ての関連データを失効させ(ステップ814)、プロセスを終了する。
【0042】
端末104側では、履歴の不一致があることが確認されると、不適切な端末であると判断し、端末104内の関連データ(Ci証明書の情報、bi証明書の情報、端末情報の履歴、インストールの履歴など)を初期化し、一方、履歴が一致していることが確認されると、プロセスを終了する(ステップ816)。
【0043】
以上のように、第1実施形態によれば、単一の端末104を複数のユーザCiが異なるタイミングで使用する場合、端末104上で動作するbswは、直前のb(i-1)証明書が端末104に存在しない限り、次のbi証明書を端末104にインストールさせないようにしている。また、サーバ102は、Ci証明書の情報と直前のb(i-1)証明書の情報とに基づき、端末104を使用しているユーザCiの個人認証と端末104の認証とを行った後に、次のbi証明書を発行するようにしている。すなわち、b1証明書、b2証明書、…、bn証明書が、チェーンのように時系列につながって単一の端末104にインストールされることから、全てのユーザC1、C2、…、Cnが結託しない限り、不適切な端末が設備140のネットワークに接続されることはない。したがって、単一の端末104のシステム構築に複数のユーザCiが関与する場合においても、信頼性を損なうことなく端末104に電子証明書を組み込むことができる。
【0044】
また、各bi証明書には有効期限limit(i)が設定されていることから、たとえ、ユーザCiが不正にbi証明書を複製したとしても、その複製されたbi証明書は有効期限内しか機能しないため、セキュリティのリスクを低減させることができる。さらに、端末104で作業Wiが適切に行われたことを確認した後にbi証明書を発行するようにしているため、複数のユーザCiの作業Wiが決められた順番で適切に行われたことを担保することができる。
【0045】
さらに、ユーザCiが端末104で指定作業Wiを実施し、bi証明書が端末104にインストールされた後、エージェントソフトウェアにより、端末104の状態を表す端末情報(個体識別情報及びセットアップ情報)がサーバ102に通知され、サーバ102は当該端末情報を登録している。これにより、単一の端末104へのセットアップ作業の推移がトレーサブルとなるため、不適切なソフトウェアやデータが端末104にインストールされても、そのような作業を行ったユーザを特定することができる。
【0046】
なお、電子証明書をインストールするためのソフトウェアとして、全てのユーザCiが同一のソフトウェアbswを使い、各ユーザCiに配布されたドングルにCi証明書が格納されている例を示したが、各ユーザCiが、自身のCi証明書が組み込まれたソフトウェアbswiを使うようにしてもよい。この場合、上述のドングルは不要である。
【0047】
<第2実施形態>
上述の第1実施形態では、ユーザCiが端末104で指定作業Wiを実施した後に、ユーザCiの個人認証、端末104の認証を実施し、bi証明書を端末104にインストールしているが、第2実施形態では、指定作業Wiの後だけでなく、指定作業Wiの前にも、個人認証及び端末認証を実施する。
上述の第1実施形態では、ユーザCiが端末104で指定作業Wiを実施した後に、ユーザCiの個人認証、端末104の認証を実施し、bi証明書を端末104にインストールしているが、第2実施形態では、指定作業Wiの後だけでなく、指定作業Wiの前にも、個人認証及び端末認証を実施する。
【0048】
【0049】
以下では、作業Wiの直前にインストールされる電子証明書をbi(1)、作業Wiの直後にインストールされる電子証明書をbi(2)と表記し、bi(1)証明書をインストールするためのソフトウェアをbsw(1)、bi(2)証明書をインストールするためのソフトウェアをbsw(2)と表記する。bsw(1)及びbsw(2)には、それぞれ、bi(1)証明書及びbi(2)証明書を端末104にインストールするためのインストールキーが組み込まれている。
【0050】
ユーザCiは、予め受領した、Ci証明書が格納されたドングルと、bsw(1)が格納された記憶媒体とを端末104に接続する。これにより、bsw(1)が起動する(図9のステップ902)。ステップ902では、まず、端末104内に直前の証明書であるb(i-1)(2)証明書が存在するか否か、b(i-1)(2)証明書が有効期限内であるか否かが確認される(ステップ904)。
【0051】
有効期限内のb(i-1)(2)証明書が端末104に存在しない場合(ステップ904:NG)、bsw(1)が終了する。一方、端末104内に有効期限内のb(i-1)(2)証明書が存在する場合(ステップ904:OK)、端末104は、Ci証明書の情報及びb(i-1)(2)証明書の情報を、ネットワーク106を介してサーバ102に送信するとともに、エージェントソフトウェアを起動して、端末104の現在の状態を表す端末情報(個体識別情報及びセットアップ情報)を、ネットワーク106を介してサーバ102に送信する(ステップ906)。ここで、サーバ102に送信されるCi証明書の情報及びb(i-1)(2)証明書の情報は、例えば、これらの証明書に内包された公開鍵であり、その証明書を発行した証明局120の証明書、すなわち証明局120の公開鍵を内包する。
【0052】
なお、ステップ906において、Ci証明書及びb(i-1)(2)証明書の秘密鍵をサーバ102に送信してもよいが、この場合、秘密鍵を暗号化して送信する必要がある。
【0053】
サーバ102は、受信したCi証明書に内包される証明局120の中間証明書およびルート証明書の公開鍵を自らが保有する秘密鍵を用いて確認するか、または別途暗号化されて送付されたCi証明書の公開鍵に対応する秘密鍵を用いてCi証明書を確認する。さらに、受信したb(i-1)(2)証明書に内包される証明局120の中間証明書およびルート証明書の公開鍵を自らが保有する秘密鍵を用いて確認するか、または別途暗号化されて送付されたb(i-1)(2)証明書の公開鍵に対応する秘密鍵を用いてb(i-1)(2)証明書を確認し、さらに、受信した端末情報から、端末104で作業W(i-1)が適切に行われたか否かを確認する(ステップ908)。
【0054】
サーバ102により、Ci証明書、b(i-1)(2)証明書、及び作業W(i-1)の少なくとも一つを確認することができなかった場合(ステップ908:NG)、サーバ102は、その旨を端末104に通知し、プロセスを終了する。この場合、端末104にbi(1)証明書はインストールされない。
【0055】
一方、サーバ102が、Ci証明書、b(i-1)(2)証明書、及び作業W(i-1)の全てを確認することができた場合(ステップ908:OK)、サーバ102は、bi(1)証明書及びその秘密鍵を暗号化し(ステップ910)、暗号化されたファイルを、ネットワーク106を介して端末104に送信する(ステップ912)。
【0056】
bsw(1)を実行中の端末104は、サーバ102からダウンロードしたbi(1)証明書をインストールする(ステップ914)。bi(1)証明書は端末104内の所定の記憶エリアに格納される。そして、端末104は、エージェントソフトウェアを起動して、端末104の現在の状態を表す端末情報(個体識別情報及びセットアップ情報)を、ネットワーク106を介してサーバ102に送信する(ステップ916)。
【0057】
サーバ102は、ステップ916で受信した端末104の端末情報と、サーバ102に登録済みの端末情報とを比較する(ステップ918)。サーバ102は、ステップ918における比較の結果、同一の端末ではないと判断すると(ステップ918:NG)、不適切な端末である旨を端末104に通知し、プロセスを終了する。一方、サーバ102は、ステップ918において、同一の端末であると判断すると(ステップ918:OK)、ステップ916で受信した端末情報を登録するとともに、bi(1)証明書のインストール完了を登録し(ステップ920)、bi(1)証明書を削除する(ステップ922)。
【0058】
一方、端末104へのbi(1)証明書のインストールが完了し、bsw(1)の実行が終了すると、ユーザCiは、端末104上で指定された作業Wiを実施する(ステップ924)。作業Wiの終了後、bsw(2)の実行が開始される(ステップ926)。ステップ926では、まず、端末104内に直前の証明書であるbi(1)証明書が存在するか否か、bi(1)証明書が有効期限内であるか否かが確認される(図10のステップ928)。
【0059】
有効期限内のbi(1)証明書が端末104に存在しない場合(ステップ928:NG)、bsw(2)が終了する。一方、端末104内に有効期限内のbi(1)証明書が存在する場合(ステップ928:OK)、端末104は、Ci証明書の情報及びbi(1)証明書の情報を、ネットワーク106を介してサーバ102に送信するとともに、エージェントソフトウェアを起動して、端末104の現在の状態を表す端末情報(個体識別情報及びセットアップ情報)を、ネットワーク106を介してサーバ102に送信する(ステップ930)。ここで、サーバ102に送信されるCi証明書の情報及びbi(1)証明書の情報は、例えば、これらの証明書に内包された公開鍵であり、その証明書を発行した証明局120の証明書、すなわち証明局120の公開鍵を内包する。
【0060】
なお、ステップ930において、Ci証明書及びbi(1)証明書の秘密鍵をサーバ102に送信してもよいが、この場合、秘密鍵を暗号化して送信する必要がある。
【0061】
サーバ102は、受信したCi証明書に内包される証明局120の中間証明書およびルート証明書の公開鍵を自らが保有する秘密鍵を用いて確認するか、または別途暗号化されて送付されたCi証明書の公開鍵に対応する秘密鍵を用いてCi証明書を確認する。さらに、受信したbi(1)証明書に内包される証明局120の中間証明書およびルート証明書の公開鍵を自らが保有する秘密鍵を用いて確認するか、または別途暗号化されて送付されたbi(1)証明書の公開鍵に対応する秘密鍵を用いてbi(1)証明書を確認し、さらに、受信した端末情報から、端末104で作業Wiが適切に行われたか否かを確認する(ステップ932)。
【0062】
サーバ102により、Ci証明書、bi(1)証明書、及び作業Wiの少なくとも一つを確認することができなかった場合(ステップ932:NG)、サーバ102は、その旨を端末104に通知し、プロセスを終了する。この場合、端末104にbi(2)証明書はインストールされない。
【0063】
一方、サーバ102が、Ci証明書、bi(1)証明書、及び作業Wiの全てを確認することができた場合(ステップ932:OK)、サーバ102は、bi(2)証明書及びその秘密鍵を暗号化し(ステップ934)、暗号化されたファイルを、ネットワーク106を介して端末104に送信する(ステップ936)。
【0064】
bsw(2)を実行中の端末104は、サーバ102からダウンロードしたbi(2)証明書をインストールする(ステップ938)。bi(2)証明書は端末104内の所定の記憶エリアに格納される。そして、端末104は、エージェントソフトウェアを起動して、端末104の現在の状態を表す端末情報(個体識別情報及びセットアップ情報)を、ネットワーク106を介してサーバ102に送信する(ステップ940)。
【0065】
サーバ102は、ステップ940で受信した端末104の端末情報と、サーバ102に登録済みの端末情報とを比較する(ステップ942)。サーバ102は、ステップ942における比較の結果、同一の端末ではないと判断すると(ステップ942:NG)、不適切な端末である旨を端末104に通知し、プロセスを終了する。一方、サーバ102は、ステップ942において、同一の端末であると判断すると(ステップ942:OK)、ステップ940で受信した端末情報を登録するとともに、bi(2)証明書のインストール完了を登録し(ステップ944)、bi(2)証明書を削除する(ステップ946)。
【0066】
一方、端末104へのbi(2)証明書のインストールが完了すると、端末104は次のユーザC(i+1)に渡される(ステップ948)。ここで、ユーザCiが使用している端末104が不適切な端末と判断された場合(ステップ942:NG)、たとえ、端末104が次のユーザC(i+1)に渡されたとしても、次の電子証明書が端末104にインストールされることはない。
【0067】
最後のユーザCnが、bn(2)証明書を端末104にインストールした後は、図8に示すプロセスが実行される。
【0068】
以上のように、第2実施形態によれば、指定作業Wiの前後において、それぞれ、ソフトウェアbsw(1)及びbsw(2)により、bi(1)証明書及びbi(2)証明書が端末104にインストールされる。これにより、設備140のセキュリティを一層高めることができる。
【0069】
なお、本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲内で種々の変更が可能であり、当業者によってなされる他の実施形態、変形例も本発明に含まれる。
【0070】
例えば、上述の各実施形態では、端末104を使用するユーザCiを特定するために、電子証明書であるCi証明書のみを用いているが、多要素認証を採用してもよい。例えば、サーバ102からユーザCiの携帯電話にショートメッセージサービス(SMS)でワンタイムパスワードを送信し、そのワンタイムパスワードを端末104に入力し、サーバ102に送信することで、ユーザCiの携帯電話と端末104とを用いた二要素認証をすることができる。
【符号の説明】
【0071】
100 電子証明書の組み込みシステム
102 サーバ
104 端末
106 ネットワーク
120 証明局
140 設備
102 サーバ
104 端末
106 ネットワーク
120 証明局
140 設備
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】