[发明专利]信息处理设备和信息处理方法

说明书

(本申请是申请日为2007年1月17日、申请号为2007100009824、发明名称为“信息处理设备和控制方法”的申请的分案申请。)

技术领域

本发明涉及一种信息处理设备和控制方法，尤其涉及一种使用电子证书(electronic certificate)进行通信的信息处理设备和控制方法。

背景技术

多种加密技术被用于对网络上的通信对方进行认证，或者对构成通信内容的数据进行加密。特别是近年来，被称为公钥基础设施(Public Key Infrastructure)即PKI的加密技术得到了最广泛的使用；例如，参见日本特开2004-007512号公报。

PKI的基础是使用电子证书的认证技术，该电子证书是为了保证给定参与者的身份通过包括但不局限于RSA加密或数字签名的公钥加密和被称为认证机构(certificate authority)即CA的认证代理发行的。

利用电子证书通过进行客户端-服务器认证、数据加密密钥的交换，并使用这样交换的密钥进行加密数据通信，能够维持网络通信的安全性。

作为万维网(World Wide Web，WWW)上常用的加密通信协议的安全套接层(Secure Socket Layer，SSL)和传输层安全(Transport Layer Security，TLS)在开始加密通信之前，使用电子证书进行客户端-服务器认证。

目前，电子证书的常用数据格式基于由国际电信同盟(International Telecommunications Union，ITU)制订的数字证书规范的被称为X.509的标准。X.509格式的电子证书包括X.509版本号、电子证书序列号、公钥信息、发行电子证书的认证机构的识别信息、证书的有效期、以及被证明的参与者即电子证书的接受者的识别信息等。

当CA发行电子证书时，从被证明的参与者即电子证书的接受者向CA发出证书签发请求(Certificate Signing Request，CSR)格式的数据。CA根据在该CSR中描述的内容发行电子证书。

CSR格式使用被称为RFC2986因特网X.509认证请求消息格式版本1.7即PKCS#10的标准。CSR典型地包含如下信息：由电子证书的接受者所保持的公钥信息、以及关于被证明的参与者即电子证书的接受者的信息。

即使CA向打印装置或其它信息处理设备即客户端发行了电子证书，客户端也需要创建包含其保持的公钥信息和其识别信息的CSR，并请求CA发行该证书。

考虑运行如下系统的情况：该系统执行如从CA发行电子证书以对客户端进行认证、或者使用电子证书对因特网、WAN或LAN环境下的客户端装置进行认证等的功能。CSR即CA向客户端发行电子证书的请求包含关于被证明的参与者即电子证书的接受者的识别信息，例如X.509格式的主题字段(subject field)或主题可选名称字段(subject alternative name field)。假定在识别信息中包括如完全合格域名(fully qualified domain name)即FQDN或IP地址等分配给客户端的并被描述为客户端识别信息的元素。

使用电子证书的具体例子是从终端设备使用SSL上的因特网打印协议(Internet Printing Protocol，IPP)等通信协议进行访问和处理。

在此假定客户端为打印装置。在将终端设备连接到该打印装置，并根据SSL协议进行协商即确定加密算法和客户端-服务器认证之后，将加密后的打印数据发送到该打印装置。在协商的服务器认证处理中使用电子证书。

一旦确定了通信路径加密算法，作为SSL服务器的打印机装置就发送电子证书。终端设备对包含在所接收到的电子证书中的签名进行验证，并将包括但不局限于打印装置服务器地址的主机识别信息与包含在由该打印机装置发送的电子证书中的打印机装置识别信息进行比较。这些处理允许为了识别装置伪装(spoofing)而进行认证。

然而，如果当打印机装置正请求CA发行电子证书时改变打印机装置的主机识别信息，则CSR及电子证书的打印装置识别信息和主机识别信息将不再匹配。同样，当使用由CA发行的电子证书时获得类似的结果。在这种情况下，出现的问题是不能执行装置认证和伪装企图的识别。

特别在LAN环境下存在大量的例子，其中，执行操作使得不向打印装置分配FQDN，而将由DHCP服务器动态分配的IP地址当作主机识别信息。在这种情况下对打印装置主机识别信息的改变使上述问题发生的可能性大大提高。