自我认证通信设备以及设备认证系统

摘要

在通信设备使用电子证书进行安全的通信的系统中，即使没有自我证书的事前离线分配，也可以使通信对方的设备验证自我证书是否确实由该自我证书中示出的设备生成。通信设备(200)根据主密钥和公开参数(293a)生成以设备固有ID(291b)为公开密钥的ID基础加密私人密钥(293b)。接下来，通信设备(200)使用ID基础加密私人密钥(293b)生成RSA公开密钥(292b)的电子签名而作为ID基础加密签名(294b)。接下来，通信设备(200)以RSA公开密钥(292b)、有效期限、主机名(291c)、设备固有ID(291b)以及ID基础加密签名(294b)为对象而生成RSA自我签名(294a)。然后，通信设备(200)包括ID基础加密签名(294b)和RSA自我签名(294a)在内而生成自我签名证书(294)。

说明书

技术分野

本发明涉及例如用于设备彼此、设备与管理终端、设备与服务器 经由网络进行安全的通信的自我认证(self-authentication)通信设备、 自我认证验证通信设备、设备认证系统、设备认证系统的设备认证方 法、自我认证通信程序以及自我认证验证通信程序。

背景技术

伴随网络的发展，出现了监视照相机与影像记录仪、汽车导航系 统与地图分发服务器、住宅/大厦设施设备与它们的管理终端等通过网 络连接来提供附加价值的产品、服务。

通过网络的连接，会产生数据的窃取/篡改、或冒充的威胁，所 以对设备、终端、服务器搭载使用SSL(Secure Socket Layer，安全 套接层)/TLS(Transport Layer Security，传输层安全)、或IPSec (IP Security，IP安全)之类的公开密钥证书的事实标准(de-facto -standard)的加密认证通信功能这样的需求增大。

在实施加密认证通信时，需要对设备设定加密和认证所需的密钥 和证书。并且，在该证书中，需要包括设备的主机名或IP地址。

如专利文献1那样，在制造时向设备保存私人密钥(private key) 以及证书的情况下，无法将IP地址、主机名等设备的制造时未决定的 信息保存到证书中。

其结果，在设备使用私人密钥以及证书来进行通信的情况(例如， 设备具有SSL服务器功能的情况)下，在从浏览器对该设备通过https 通信进行了访问时，浏览器中显示“访问目的地的设备存在冒充的危险 性”的意思的消息。这是因为，由于通过浏览器指定的URL开头部的 主机名相应部分与从该设备发出的证书的主题名(subject name)的 CommonName中保存的主机名相应部分不一致，所以浏览器无法判 别该设备是否为用主机名指定的合法的设备。

另一方面，为了在构筑系统时将主机名等设备识别信息包含到设 备的证书中，需要在对设备设定了设备识别信息之后在设备中实施证 书生成处理，对证书设定该设备识别信息。

在设备的管理者从认证站得到证书、并对设备设定所得到的证书 这样的过程被允许的情况下，容易对设备设定包括主机名的证书。但 是，一般不允许对住宅/大厦中设置的设施设备、面向家庭销售的信息 家电实施上述那样的人工干预的复杂的过程。

作为设施设备的一种的网络照相机具备在系统构筑时自动生成 包括主机名的证书的功能。但是，该证书是自我签名证书(SelfSign  Certificate)。自我签名证书与能够根据从认证站另行发行的证书来 验证合法性的证书不同，不存在用于验证合法性的认证站的证书。因 此，在使用自我签名证书的情况下，需要预先使用安全的离线(offline) 传送方法将该自我签名证书配送到验证侧系统，并作为可以相信该自 我签名证书的证书而安装到验证侧系统中。

专利文献1：日本特表2004-519874号公报

专利文献2：日本特开2001-211171号公报

专利文献3：日本特表2002-535740号公报

发明内容

本发明的目的例如为以下。

在设施设备、信息家电等设备使用证书进行安全的通信的系统 中，设备可以自动地生成/更新包含有制造时未决定的主机名等设备识 别信息的证书。

即使没有进行证书的事前离线分配，通信对方的设备、系统也可 以验证证书是否确实由该证书中示出的设备所生成。

本发明的自我认证通信设备具备：设备ID密钥生成部，根据识 别自身设备的设备ID(Identity：标识)，使用CPU(Central Processing  Unit：中央处理单元)来生成加密密钥数据而作为设备ID密钥；设备 ID认证信息生成部，根据自身设备的公开密钥数据和由所述设备ID 密钥生成部生成的设备ID密钥，使用CPU来生成所述公开密钥数据 的认证信息而作为设备ID认证信息；自我认证信息生成部，根据规 定的数据和自身设备的私人密钥数据，使用CPU来生成所述规定的数 据的认证信息而作为自我认证信息；以及自我证书发送部，将电子证 书作为自我证书(也称为自我签名证书)，使用通信装置发送到特定 设备，其中，所述电子证书包括所述规定的数据、由所述设备ID认 证信息生成部生成的设备ID认证信息、以及由所述自我认证信息生 成部生成的自我认证信息。

所述自我认证信息生成部将包括所述公开密钥数据、所述设备 ID、以及所述设备ID认证信息的数据作为所述规定的数据而生成所 述自我认证信息，所述自我证书发送部发送包括所述设备ID认证信 息、所述自我认证信息、以及除了所述设备ID认证信息以外的所述 规定的数据的自我证书。

所述自我认证通信设备还具备认证密钥对更新部，该认证密钥对 更新部将所述私人密钥数据和所述公开密钥数据作为认证密钥对，在 规定的定时(timing)使用CPU来进行更新，所述设备ID认证信息 生成部根据由所述认证密钥对更新部更新了的公开密钥数据，新生成 所述设备ID认证信息，所述自我认证信息生成部根据由所述认证密 钥对更新部更新了的私人密钥数据，新生成所述自我认证信息，所述 自我证书发送部将包括由所述设备ID认证信息生成部新生成的设备 ID认证信息、和由所述自我认证信息生成部新生成的自我认证信息的 自我证书发送到所述特定设备。

所述设备ID密钥生成部通过ID基础加密方式，生成以所述设备 ID为ID基础加密公开密钥的ID基础加密私人密钥而作为所述设备 ID密钥，所述设备ID认证信息生成部使用所述ID基础加密私人密 钥，生成所述公开密钥数据的电子签名即ID基础加密私人密钥签名 而作为所述设备ID认证信息，所述自我认证信息生成部使用所述私 人密钥数据生成所述规定的数据的电子签名即自我签名，而作为所述 自我认证信息。

所述自我证书发送部将包括所述公开密钥数据、所述设备ID、 所述ID基础加密私人密钥签名以及所述自我签名的所述自我证书发 送到所述特定设备。

所述设备ID密钥生成部通过公开密钥加密方式，使用所述设备 ID来生成作为私人密钥数据的设备个体私人密钥和作为公开密钥数 据的设备个体公开密钥，而作为所述设备ID密钥，所述设备ID认证 信息生成部使用所述设备个体私人密钥来生成所述自身设备的公开密 钥数据的电子签名即设备个体私人密钥签名，而作为所述设备ID认 证信息，所述自我认证信息生成部使用所述自身设备的私人密钥数据 来生成所述规定的数据的电子签名即自我签名，而作为所述自我认证 信息。

所述自我证书发送部包括所述自身设备的公开密钥数据、所述设 备个体公开密钥、所述设备个体私人密钥签名、以及所述自我签名在 内而将所述自我证书发送到所述特定设备。

所述自我认证通信设备还具备设备个体签名生成部，该设备个体 签名生成部根据所述自身设备的私人密钥数据，使用CPU来生成所述 设备个体公开密钥的电子签名而作为设备个体签名，所述自我证书发 送部将包括由所述设备个体签名生成部生成的设备个体签名的所述自 我证书发送到所述特定设备。

所述设备ID密钥生成部通过共用密钥加密方式，使用所述设备 ID来生成作为共用密钥数据的设备个体共用密钥而作为所述设备ID 密钥，所述设备ID认证信息生成部使用所述设备个体共用密钥来生 成所述公开密钥数据的MAC(Message Authentication Code：信息证 实代码)即设备个体共用密钥MAC，而作为所述设备ID认证信息， 所述自我认证信息生成部使用所述私人密钥数据来生成所述规定的数 据的电子签名即自我签名，而作为所述自我认证信息。

所述自我证书发送部包括所述公开密钥数据、所述设备ID、所 述设备个体共用密钥MAC、以及所述自我签名在内而将所述自我证 书发送到所述特定设备。

本发明的自我认证验证通信设备具备：自我证书接收部，使用通 信装置接收由所述自我认证通信设备发送的自我证书；以及自我证书 验证部，使用CPU来验证由所述自我证书接收部接收到的自我证书。

所述自我证书接收部接收如下的自我证书，该自我证书包含使用 以所述设备ID为ID基础加密公开密钥的ID基础加密私人密钥来生 成的所述公开密钥数据的电子签名即ID基础加密私人密钥签名而作 为所述设备ID认证信息，并且包含使用所述私人密钥数据来生成的 所述规定的数据的电子签名即自我签名而作为所述自我认证信息，所 述自我证书验证部使用所述公开密钥数据来验证所述自我签名，并且 使用所述设备ID来验证所述ID基础加密私人密钥签名。

所述自我证书接收部接收如下的自我证书，该自我证书包含使用 基于所述设备ID的私人密钥数据即设备个体私人密钥来生成的作为 所述公开密钥数据的电子签名的设备个体私人密钥签名而作为所述设 备ID认证信息，并且包含使用所述私人密钥数据来生成的所述规定 的数据的电子签名即自我签名而作为所述自我认证信息，所述自我证 书验证部使用所述公开密钥数据来验证所述自我签名，并且使用与所 述设备个体私人密钥对应的设备个体公开密钥来验证所述设备个体私 人密钥签名。

所述自我证书接收部接收如下的自我证书，该自我证书包括使用 基于所述设备ID的共用密钥数据即设备个体共用密钥来生成的所述 公开密钥数据的MAC(Message Authentication Code)即设备个体密 钥MAC而作为所述设备ID认证信息，并且包括使用所述私人密钥数 据来生成的所述规定的数据的电子签名即自我签名而作为所述自我认 证信息，所述自我证书验证部使用所述公开密钥数据来验证所述自我 签名，并且使用所述设备个体共用密钥来验证所述设备个体密钥 MAC。

本发明的设备认证系统具有所述自我认证通信设备和所述自我 认证验证通信设备。

本发明的设备认证系统的设备认证方法是具有自我认证通信设 备和自我认证验证通信设备的设备认证系统的设备认证方法，在自我 认证通信设备中，设备ID密钥生成部进行如下的设备ID密钥生成处 理：根据识别自身设备的设备ID(IDentity)，使用CPU(Central  Processing Unit)来生成加密密钥数据而作为设备ID密钥，设备ID 认证信息生成部进行如下的设备ID认证信息生成处理：根据自身设 备的公开密钥数据和由所述设备ID密钥生成部生成的设备ID密钥， 使用CPU来生成所述公开密钥数据的认证信息而作为设备ID认证信 息，自我认证信息生成部进行如下的自我认证信息生成处理：根据规 定的数据和自身设备的私人密钥数据，使用CPU来生成所述规定的数 据的认证信息而作为自我认证信息，自我证书发送部进行如下的自我 证书发送处理：将包括所述规定的数据、由所述设备ID认证信息生 成部生成的设备ID认证信息、以及由所述自我认证信息生成部生成 的自我认证信息的电子证书作为自我证书，使用通信装置发送到特定 设备，在自我认证验证通信设备中，自我证书接收部进行如下的自我 证书接收处理：使用通信装置来接收由自我认证通信设备发送的自我 证书，自我证书验证部进行如下的自我证书验证处理：使用CPU来验 证由所述自我证书接收部接收到的自我证书。

本发明的自我认证通信程序使通信设备执行如下处理：设备ID 密钥生成处理，根据识别自身设备的设备ID(IDentity)，使用CPU (Central Processing Unit)来生成加密密钥数据而作为设备ID密钥； 设备ID认证信息生成处理，根据自身设备的公开密钥数据和通过所 述设备ID密钥生成处理生成的设备ID密钥，使用CPU来生成所述 公开密钥数据的认证信息而作为设备ID认证信息；自我认证信息生 成处理，根据规定的数据和自身设备的私人密钥数据，使用CPU来生 成所述规定的数据的认证信息而作为自我认证信息；以及自我证书发 送处理，将包括所述规定的数据、通过所述设备ID认证信息生成处 理生成的设备ID认证信息、以及通过所述自我认证信息生成处理生 成的自我认证信息的电子证书作为自我证书，使用通信装置发送到特 定设备。

本发明的自我认证验证通信程序使通信设备执行如下处理：自我 证书接收处理，使用通信装置来接收由所述自我认证通信设备发送的 自我证书；以及自我证书验证处理，使用CPU来验证通过所述自我证 书接收处理接收到的自我证书。

根据本发明，例如起到以下的效果。

在设施设备、信息家电等通信设备使用电子证书来进行安全的通 信的系统中，即使没有进行自我签名证书(电子证书的一个例子)的 事前离线分配，也可以使通信对方的设备验证自我签名证书是否确实 由该自我签名证书中示出的设备生成。

附图说明

图1是实施方式1中的设备认证系统100的结构图。

图2是示出实施方式1中的通信设备200的硬件资源的一个例子 的图。

图3是实施方式1中的通信设备200的功能结构图。

图4是示出实施方式1中的通信设备200的制造时(制造时处理 前)的保存数据的图。

图5是示出实施方式1中的通信设备200的制造时处理的流程图。

图6是示出实施方式1中的通信设备200的制造时(制造时处理 后)的保存数据的图。

图7是示出实施方式1中的通信设备200的系统构筑时处理的流 程图。

图8是示出实施方式1中的通信设备200的系统构筑时(系统构 筑时处理后)的保存数据的图。

图9是示出实施方式1中的设备认证系统100的运用概要的图。

图10是示出实施方式1中的通信设备200的运用时处理的流程 图。

图11是示出实施方式2中的通信设备200的制造时处理的流程 图。

图12是实施方式3中的通信设备200的功能结构图。

图13是示出实施方式3中的自我签名证书更新处理的流程图。

图14是实施方式4中的通信设备200的功能结构图。

图15是示出实施方式4中的通信设备200的制造时(制造时处 理前)的保存数据的图。

图16是示出实施方式4中的通信设备200的制造时处理的流程 图。

图17是示出实施方式4中的通信设备200的制造时(制造时处 理后)的保存数据的图。

图18是示出实施方式4中的通信设备200的系统构筑时处理的 流程图。

图19是示出实施方式4中的通信设备200的系统构筑时(系统 构筑时处理后)的保存数据的图。

图20是示出实施方式4中的通信设备200的运用时处理的流程 图。

图21是实施方式5中的通信设备200的功能结构图。

图22是示出实施方式5中的通信设备200的制造时(制造时处 理前)的保存数据的图。

图23是示出实施方式5中的通信设备200的制造时处理的流程 图。

图24是示出实施方式5中的通信设备200的制造时(制造时处 理后)的保存数据的图。

图25是示出实施方式5中的通信设备200的系统构筑时处理的 流程图。

图26是示出实施方式5中的通信设备200的系统构筑时(系统 构筑时处理后)的保存数据的图。

图27是示出实施方式5中的设备认证系统100的运用概要的图。

图28是示出实施方式5中的通信设备200的运用时处理的流程 图。

图29是实施方式6中的通信设备200的功能结构图。

图30是示出实施方式6中的通信设备200的制造时处理的流程 图。

图31是示出实施方式6中的通信设备200的系统构筑时处理的 流程图。

图32是示出实施方式6中的通信设备200的运用时处理的流程 图。

附图标记说明

100：设备认证系统；110：通信网络；120：USB令牌；200：通 信设备；201：通信设备A；202：通信设备B；203：通信终端；210： ID基础加密私人密钥生成部；211：设备个体RSA密钥对生成部；212： 设备个体签名生成部；213：设备个体证书生成部；214：设备个体共 用密钥生成部；220：系统信息设定部；221：RSA密钥对生成部；222： 自我签名生成部；223：自我签名证书生成部；224：证书更新契机检 测部；230：ID基础加密签名生成部；231：设备个体RSA签名生成 部；232：设备个体共用密钥MAC生成部；240：SSL通信部；241： 自我签名证书验证部；242：加密认证通信部；280：命令访问部；281： 登记部；282：ID基础加密签名验证部；283：RSA  密解密部；284： SSL签名生成部；290：设备存储部；291a：主密钥；291b：设备固有 ID；291c：主机名；291d：主RSA密钥对；291d1：主RSA私人密 钥；291d2：主RSA公开密钥；291e：主共用密钥；292：RSA密钥 对；292a：RSA私人密钥；292b：RSA公开密钥；293a：公开参数； 293b：ID基础加密私人密钥；293c：设备个体RSA密钥对；293c1： 设备个体RSA私人密钥；293c2：设备个体RSA公开密钥；293d：设 备个体共用密钥；294：自我签名证书；294a：RSA自我签名；294b： ID基础加密签名；294c：设备个体RSA签名；294d：设备个体共用 密钥MAC；295a：预主密码(premaster secret)；295b：会话密钥； 295c：SSL签名；295d：通信数据；296：设备个体证书；296a：设备 个体签名；800：IC芯片；801：IC芯片存储器；810：命令访问控制 部；911：CPU；912：总线；913：ROM；914：RAM；915：通信板 (communication board)；920：磁盘装置；921：OS；923：程序群； 924：文件群。

具体实施方式

实施方式1.

说明如下情形：各设备在制造时生成ID基础加密私人密钥，各 设备在系统构筑时生成包含有使用了ID基础加密私人密钥的RSA公 开密钥(注册商标“RSA”，以下相同)的签名的自我签名证书，设备 彼此在运用时使用该自我签名证书来进行相互认证。

图1是实施方式1中的设备认证系统100的结构图。

以下，根据图1，说明实施方式1中的设备认证系统100的结构。

在设备认证系统100中，多个通信设备200(通信设备A 201、 通信设备B 202)(自我认证通信设备的一个例子)(自我认证验证 通信设备的一个例子)经由因特网、LAN(局域网)等通信网络110 进行通信。

各通信设备200在开始通信时，相互发送自我签名证书294(自 我证书的一个例子)，验证通信对方的自我签名证书294来确认通信 对方是否被其他通信设备200冒充。

通信设备200是具有通信功能的设备即可，作为通信设备200的 一个例子，可以举出具有通信功能的监视照相机、影像记录仪、终端 装置(例如，个人计算机)等。

图2是示出实施方式1中的通信设备200的硬件资源的一个例子 的图。

在图2中，通信设备200具备执行程序的CPU 911(还被称为 Central Processing Unit、中央处理装置、处理装置、运算装置、微处 理器、微型计算机、处理器)。CPU 911经由总线912而与ROM 913、 RAM 914、通信板915、磁盘装置920连接，并控制这些硬件设备。 也可以代替磁盘装置920而使用其他存储装置(例如，RAM、闪存等 半导体存储器)。

RAM 914是易失性存储器的一个例子。ROM 913、磁盘装置920 的存储介质是非易失性存储器的一个例子。它们是存储设备、存储装 置或者存储部的一个例子。另外，存储了输入数据的存储设备是输入 设备、输入装置或者输入部的一个例子，存储了输出数据的存储设备 是输出设备、输出装置或者输出部的一个例子。

通信板915是输入输出设备、输入输出装置或者输入输出部的一 个例子。

通信板915以有线或者无线方式，与LAN、因特网、WAN(广 域网)、电话线路等通信网连接。

在磁盘装置920中，存储有OS 921(操作系统)、程序群923、 文件群924。程序群923的程序由CPU 911、OS 921执行。

在上述程序群923中，存储有执行在实施方式中说明为“～部”的 功能的程序。程序由CPU 911读出并执行。

在文件群924中，存储有在实施方式中执行了“～部”的功能时的 “～的判定结果”、“～的计算结果”、“～的处理结果”等结果数据、在执行 “～部”的功能的程序之间交换的数据、其他的信息、数据、信号值、变 量值、参数，而作为“～文件”、“～数据库”的各项目。

“～文件”、“～数据库”存储在盘、存储器等记录介质中。盘、存储 器等存储介质中存储的信息、数据、信号值、变量值、参数经由读写 电路被CPU 911读出到主存储器、高速缓冲存储器中，利用于抽取、 检索、参照、比较、运算、计算、处理、输出、印刷、显示等CPU的 动作。在这些CPU的动作的期间，信息、数据、信号值、变量值、参 数临时存储到主存储器、高速缓冲存储器、缓冲存储器中。

另外，在实施方式中说明的流程图的箭头的部分主要表示数据、 信号的输入输出，数据、信号值记录到RAM 914的存储器、磁盘装 置920的磁盘、其他的记录介质中。另外，数据、信号值通过总线912、 信号线、电缆(cable)及其他传送介质而被在线传送。

另外，在实施方式中说明为“～部”的部分既可以是“～电路”、“～ 装置”、“～设备”，或者，也可以是“～步骤”、“～过程”、“～处理”。即， 说明为“～部”的部分也可以通过ROM 913中存储的固件来实现。或者， 也可以仅通过软件、或者仅通过元件、设备、基板、配线等硬件、或 者通过软件与硬件的组合或进一步通过与固件的组合来实施。固件和 软件作为程序，存储在磁盘、其他记录介质中。程序被CPU 911读出， 并由CPU 911执行。即，程序使计算机作为“～部”而发挥功能。或者， 使通信设备200(计算机)执行“～部”的过程、方法。

图3是实施方式1中的通信设备200的功能结构图。

以下，根据图3，说明实施方式1中的通信设备200(自我认证 通信设备的一个例子)(自我认证验证通信设备的一个例子)的功能 结构。

通信设备200具备ID基础加密私人密钥生成部210(设备ID密 钥生成部的一个例子)、系统信息设定部220、RSA密钥对生成部221、 自我签名生成部222(自我认证信息生成部的一个例子)、自我签名 证书生成部223、ID基础加密签名生成部230(设备ID认证信息生成 部的一个例子)、SSL通信部240(自我证书发送部的一个例子)(自 我证书接收部的一个例子)、自我签名证书验证部241(自我证书验 证部的一个例子)、加密认证通信部242以及设备存储部290。

设备存储部290使用存储介质来存储由通信设备200使用的数 据。

例如，设备存储部290存储后述的主密钥291a、设备固有ID 291b、主机名291c、RSA密钥对292、公开参数293a、ID基础加密 私人密钥293b、自我签名证书294、RSA自我签名294a、ID基础加 密签名294b、预主密码295a、会话密钥295b、SSL签名295c以及通 信数据295d。

ID基础加密私人密钥生成部210(设备ID密钥生成部的一个例 子)根据识别自身设备的设备固有ID 291b(设备ID)(ID：Identity (标识)、Identifier(标识符))，使用CPU来生成加密密钥数据 而作为设备ID密钥。

具体而言，ID基础加密私人密钥生成部210通过ID基础加密方 式，生成以设备固有ID 291b为ID基础加密公开密钥的ID基础加密 私人密钥293b(设备ID密钥的一个例子)。

系统信息设定部220对设备存储部290设定(存储)由管理者在 系统构筑时决定并输入的信息(例如，IP地址、主机名等设备识别名)。

RSA密钥对生成部221通过RSA公开密钥加密方式，使用CPU 生成RSA密钥对292(RSA私人密钥292a、RSA公开密钥292b)。

自我签名生成部222(自我认证信息生成部的一个例子)根据规 定的数据和自身设备的私人密钥数据，使用CPU来生成规定的数据的 认证信息而作为自我认证信息。

具体而言，自我签名生成部222使用RSA私人密钥292a(私人 密钥数据的一个例子)，生成针对RSA公开密钥292b(公开密钥数 据的一个例子)、自我签名证书294的有效期限、主机名291c、设备 固有ID 291b以及ID基础加密签名294b(设备ID认证信息的一个例 子)(以上，规定的数据的一个例子)的电子签名，而作为RSA自我 签名294a(自我认证信息的一个例子)。

自我签名证书生成部223使用CPU使规定的数据、ID基础加密 签名294b以及RSA自我签名294a结合而生成自我签名证书294。

具体而言，自我签名证书生成部223使RSA公开密钥292b、自 我签名证书294的有效期限、主机名291c、设备固有ID 291b、ID基 础加密签名294b以及RSA自我签名294a结合而生成自我签名证书 294。

ID基础加密签名生成部230(设备ID认证信息生成部的一个例 子)根据自身设备的公开密钥数据以及设备ID密钥，使用CPU来生 成公开密钥数据的认证信息而作为设备ID认证信息。

具体而言，ID基础加密签名生成部230使用ID基础加密私人密 钥293b来生成RSA公开密钥292b的电子签名，而作为ID基础加密 签名294b(ID基础加密私人密钥签名)(设备ID认证信息的一个例 子)。

SSL通信部240在基于SSL协议的过程中，使用通信装置来发 送和接收通信对方的通信设备200和各种数据，与通信对方的通信设 备200建立会话。

例如，SSL通信部240(自我证书发送部的一个例子)将自我签 名证书294发送到通信对方的通信设备200。

另外，例如SSL通信部240(自我证书接收部的一个例子)接收 由通信对方的通信设备200发送的自我签名证书294。

自我签名证书验证部241(自我证书验证部的一个例子)使用 CPU来验证通过SSL通信部240接收到的通信对方的自我签名证书 294。

具体而言，自我签名证书验证部241使用通信对方的RSA公开 密钥292b来验证RSA自我签名294a，并且使用通信对方的设备固有 ID 291b来验证ID基础加密签名294b。

加密认证通信部242在通过SSL通信部240建立了会话之后，与 通信对方的通信设备200，使用通信装置来发送和接收用会话密钥 295b加密了的通信数据295d。

以下，将设备认证系统100的寿命周期(life cycle)分成“制造”、 “系统构筑”以及“运用”，说明各工序中的通信设备200的处理。

首先，说明在制造时通信设备200执行的处理(通信设备200的 制造时处理)。

通信设备200在制造时生成ID基础加密私人密钥293b并存储。

图4是示出实施方式1中的通信设备200的制造时(制造时处理 前)的保存数据的图。

如图4所示，在通信设备200被制造时，在通信设备200的设备 存储部290(图示省略)中登记(存储)了主密钥291a、公开参数293a 以及设备固有ID 291b。

主密钥291a以及公开参数293a是ID基础加密私人密钥293b的 生成中使用的信息，在所有的通信设备200中相同。主密钥291a和公 开参数293a是在ID基础加密方式中成对的信息，分别被称为系统私 人密钥和系统公开密钥，或者被称为主私人密钥和主公开密钥。例如， 通信设备200的制造者在自己公司制造的所有的通信设备200(也可 以仅限于相同的机型)中登记同一主密钥291a以及公开参数293a。

设备固有ID 291b是以个体方式识别通信设备200的唯一的信 息，针对每个设备是固有的并且不变。MAC地址(MAC：Media Access  Control，媒体访问控制)、设备制造编号是设备固有ID 291b的一个 例子。在制造时对各通信设备200分配设备固有ID 291b并登记。

图5是示出实施方式1中的通信设备200的制造时处理的流程图。

以下，根据图5，说明实施方式1中的通信设备200的制造时处 理。

通信设备200的各“～部”使用CPU来执行以下说明的处理。

ID基础加密私人密钥生成部210根据主密钥291a、设备固有ID 291b以及公开参数293a来生成ID基础加密私人密钥293b(S110)， 删除主密钥291a(S120)。

以下，详细说明各处理(S110、S120)。

<S110：设备ID密钥生成处理的一个例子>

ID基础加密私人密钥生成部210从设备存储部290取得主密钥 291a、设备固有ID 291b以及公开参数293a。

ID基础加密私人密钥生成部210以所取得的主密钥291a、设备 固有ID 291b以及公开参数293a为输入值，执行ID基础加密方式的 密钥生成算法，生成以设备固有ID 291b为公开密钥(ID基础加密公 开密钥)的ID基础加密私人密钥293b。

ID基础加密私人密钥生成部210将所生成的ID基础加密私人密 钥293b存储到设备存储部290中。

在S110之后，处理进入到S120。

<S120>

ID基础加密私人密钥生成部210从设备存储部290删除(消除) ID基础加密私人密钥293b的生成中使用的主密钥291a。

ID基础加密私人密钥生成部210通过删除主密钥291a，由此防 止如下情形：从制造场所搬出的通信设备200泄漏主密钥291a，使用 所泄漏的主密钥291a来伪造ID基础加密私人密钥293b。

在S120之后，处理结束。

通信设备200的制造时处理例如由制造者手动地执行，或者在主 密钥291a、设备固有ID 291b以及公开参数293a的登记时执行。

图6是示出实施方式1中的通信设备200的制造时(制造时处理 后)的保存数据的图。

如图6所示，在通信设备200的制造时处理后，在通信设备200 的设备存储部290(图示省略)中存储有公开参数293a、设备固有ID 291b以及ID基础加密私人密钥293b。

接下来，说明在系统构筑时通信设备200执行的处理(通信设备 200的系统构筑时处理)。

通信设备200在系统构筑时生成自我签名证书294并存储。

图7是示出实施方式1中的通信设备200的系统构筑时处理的流 程图。

以下，使用图7，说明实施方式1中的通信设备200的系统构筑 时处理。

通信设备200的各“～部”使用CPU执行以下说明的处理。

系统信息设定部220设定主机名291c(S210)，RSA密钥对生 成部221生成RSA密钥对292(S220)。

ID基础加密签名生成部230使用ID基础加密私人密钥293b来 生成RSA公开密钥292b的ID基础加密签名294b(S230)，自我签 名生成部222使用RSA私人密钥292a生成自我签名证书信息的RSA 自我签名294a(S240)，自我签名证书生成部223使自我签名证书信 息和RSA自我签名294a结合而生成自我签名证书294(S250)。

接下来，详细说明各处理(S210～S250)。

<S210>

在系统构筑时，由管理者向通信设备200输入系统构筑、运用所 需的信息(例如，设备识别名)。主机名、IP地址是设备识别名的一 个例子，针对每个通信设备200不同。以下，设对通信设备200输入 了“主机名”而继续进行说明。

系统信息设定部220对设备存储部290设定(存储)由管理者输 入的主机名。

在S210之后，处理进入到S220。

<S220>

RSA密钥对生成部221执行RSA公开密钥加密方式的密钥生成 算法，生成RSA密钥对292。RSA密钥对292由RSA私人密钥292a 以及RSA公开密钥292b构成。RSA密钥对生成部221将所生成的 RSA密钥对292存储到设备存储部290中。

在S220之后，处理进入到S230。

<S230：设备ID认证信息生成处理的一个例子>

ID基础加密签名生成部230从设备存储部290取得在制造时 (S110)生成的ID基础加密私人密钥293b和在S220中生成的RSA 公开密钥292b。

ID基础加密签名生成部230以所取得的ID基础加密私人密钥 293b以及RSA公开密钥292b为输入值，执行ID基础加密方式的签 名算法，生成RSA公开密钥292b的ID基础加密签名294b。RSA公 开密钥292b的ID基础加密签名294b是以RSA公开密钥292b为对 象而使用ID基础加密私人密钥293b来生成的电子签名。

ID基础加密签名生成部230将所生成的RSA公开密钥292b的 ID基础加密签名294b存储在设备存储部290中。

在S230之后，处理进入到S240。

<S240：自我认证信息生成处理的一个例子>

自我签名生成部222从设备存储部290取得在S220中生成的 RSA私人密钥292a以及自我签名证书294中包含的各种信息(自我 签名证书信息)。

自我签名生成部222以所取得的RSA私人密钥292a以及自我签 名证书信息为输入值，执行RSA公开密钥加密方式的签名算法，生成 自我签名证书信息的RSA自我签名294a。自我签名证书信息的RSA 自我签名294a是以自我签名证书信息为对象而使用RSA私人密钥 292a来生成的电子签名。

以下，将ID基础加密签名294b、自我签名证书294的有效期限、 主机名291c、设备固有ID 291b以及RSA公开密钥292b的ID基础 加密签名294b作为自我签名证书信息而继续进行说明。自我签名证书 294的有效期限是对当前日期时间加上规定的有效期间(例如，2年) 而计算出的日期时间。自我签名证书信息不限于此。

在S240之后，处理进入到S250。

<S250>

自我签名证书生成部223使自我签名证书信息和在S240中生成 的RSA自我签名294a结合而生成自我签名证书294(电子证书)， 将生成的自我签名证书294存储到设备存储部290中。

例如，主机名291c被设定到电子证书的主题名的CommonName 栏，设备固有ID 291b被设定到电子证书的标准扩展项目的 SubjectAltName栏，ID基础加密签名294b被设定到电子证书的标准 扩展项目的SubjectKeyIdentifier栏。其中，设备固有ID 291b以及 ID基础加密签名294b设定成与电子证书的格式吻合的范围即可，也 可以并非设定为标准扩展项目。例如，自我签名证书生成部223既可 以将设备固有ID 291b以及ID基础加密签名294b设定为在电子证书 中新定义的专用扩展项目栏，也可以设定到标准扩展项目的其他栏。

在S250之后，处理结束。

在S230～S250中进行的证书生成处理中，对在OpenSSL等中实 施的一般的RSA公开密钥的自我签名证书生成处理过程，追加了针对 RSA公开密钥292b利用ID基础加密私人密钥293b进行的签名生成 处理(S230)、以及使证书的签名对象包括作为ID基础加密公开密 钥的设备固有ID 291b和基于ID基础加密私人密钥293b的签名(ID 基础加密签名294b)的处理(S240)。

图8是示出实施方式1中的通信设备200的系统构筑时(系统构 筑时处理后)的保存数据的图。

如图8所示，在通信设备200的系统构筑时处理后，在通信设备 200的设备存储部290(图示省略)中存储有公开参数293a、设备固 有ID 291b、ID基础加密私人密钥293b、主机名291c、RSA密钥对 292以及自我签名证书294。

在自我签名证书294中，设定有RSA公开密钥292b、自我签名 证书294的有效期限、主机名291c、设备固有ID 291b、ID基础加密 的公开密钥即主机名291c、RSA公开密钥292b的ID基础加密签名 294b以及RSA自我签名294a。

接下来，说明在运用时通信设备200执行的处理(通信设备200 的运用时处理)。

图9是示出实施方式1中的设备认证系统100的运用概要的图。

如图9所示，通信设备A 201和通信设备B 202经由通信网络110 而通信自我签名证书294，在验证自我签名证书294而相互进行了确 认之后，经由通信网络110而通信进行了加密的通信数据295d。

在运用时，在各通信设备200(通信设备A 201、通信设备B 202) 的设备存储部290(图示省略)中，存储有在制造时登记的公开参数 293a以及设备固有ID 291b、在制造时生成的ID基础加密私人密钥 293b、在系统构筑时设定的主机名291c、在系统构筑时生成的RSA 密钥对292以及自我签名证书294。

以下，说明以通信设备A 201为SSL服务器、以通信设备B 202 为SSL客户机而在运用时进行SSL通信的情况。

其中，在通信设备200的运用时处理中，无需一定进行SSL通 信，只要通过RSA自我签名294a的验证和ID基础加密签名294b的 验证来确认通信对方是否为由设备固有ID 291b确定的通信设备200 即可。

图10是示出实施方式1中的通信设备200的运用时处理的流程 图。

以下，根据图10，说明实施方式1中的通信设备200的运用时处 理。

通信设备A 201以及通信设备B 202的各“～部”使用CPU执行以 下说明的处理。

通信设备A 201与通信设备B 202交换SSL会话信息(S310)。

通信设备A 201与通信设备B 202相互通信自我签名证书294 (S320)。

通信设备B 202的自我签名证书验证部241验证通信设备A 201 的自我签名证书294(S330)，验证对自我签名证书294设定的ID基 础加密签名294b(S331)。

通信设备B 202的SSL通信部240将使用通信设备A 201的RSA 公开密钥292b而加密了的预主密码295a发送到通信设备A 201 (S340)，通信设备A 201的SSL通信部240对通信设备B 202的预 主密码295a进行解密(S341)，通信设备B 202的SSL通信部240 将SSL签名295c发送到通信设备A 201(S350)。

通信设备A 201的自我签名证书验证部241验证通信设备B 202 的自我签名证书294(S360)，验证对自我签名证书294设定的ID基 础加密签名294b(S361)。

通信设备A 201的SSL通信部240验证通信设备B 202的SSL 签名295c(S370)。

通信设备A 201和通信设备B 202使用预主密码295a来生成会 话密钥295b(S380)，通信使用会话密钥295b进行了加密的通信数 据295d(S381)。

在以往的SSL通信中没有进行的S331以及S361是实施方式1 中的设备认证系统100的特征之一。

接下来，详细说明各处理(S310～S381)。

<S310>

首先，通信设备B 202(客户机侧)的SSL通信部240指定通信 设备A 201(服务器侧)的URL(https://“主机名”)，将特定的随 机数以及可利用的算法(加密、压缩)的列表(SSL会话信息)发送 到通信设备A 201(服务器侧)。

随机数是通过执行规定的算法而生成的，可利用的算法被预先设 定到设备存储部290中。

通信设备A 201的SSL通信部240接收SSL通信部240的SSL 会话信息，从SSL会话信息中示出的列表之中选择1个自己可利用的 算法，并将所选择的算法(加密、压缩)通知到通信设备B 202。

在S310中，在通信设备A 201与通信设备B 202之间，共有特 定的随机数，决定所使用的算法。

在通过S310开始了SSL会话之后，处理进入到S320中。

<S320：自我证书发送处理、自我证书接收处理的一个例子>

在S310之后，通信设备A 201的SSL通信部240从设备存储部 290取得自我签名证书294，将所取得的自我签名证书294发送到通信 设备B 202。

通信设备B 202的SSL通信部240接收由通信设备A 201发送的 自我签名证书294(通信设备A 201的自我签名证书294)并存储到设 备存储部290中。

通信设备A 201的SSL通信部240将证书要求发送到通信设备B 202。

通信设备B 202的SSL通信部240在接收到证书要求时，从设备 存储部290取得自己的自我签名证书294，将所取得的自我签名证书 294发送到通信设备A 201。

通信设备A 201的SSL通信部240接收由通信设备B 202发送的 自我签名证书294(通信设备B 202的自我签名证书294)并存储到设 备存储部290中。

在S320之后，处理进入到S330。

<S330：自我签名证书验证处理(自我证书验证处理的一个例子) >

通信设备B 202的自我签名证书验证部241从设备存储部290取 得通信设备A 201的自我签名证书294，执行RSA公开密钥加密方式 的验证算法来验证通信设备A 201的自我签名证书294。

具体而言，自我签名证书验证部241使用对自我签名证书294设 定的RSA公开密钥292b来验证对自我签名证书294设定的RSA自我 签名294a。

而且，自我签名证书验证部241将对自我签名证书294设定的有 效期限与当前时刻进行比较，验证自我签名证书294的有效期限是否 到期。

而且，自我签名证书验证部241验证对自我签名证书294设定的 主机名291c是否与对在S310中指定的URL设定的主机名一致。

在所有的验证中有效的自我签名证书294是保证没有被篡改并且 有效期限尚未到期的有效的证书。

但是，关于自我签名证书294，由于未由认证站保证RSA公开密 钥292b的生成源，所以有可能由冒充通信设备A 201的其他的设备生 成。

即，在该时刻，无法保证通信设备B 202的通信对方是通信设备 A 201。

在通信设备A 201的自我签名证书294有效的情况下(认证OK)， 处理进入到S331。

在通信设备A 201的自我签名证书294并非有效的情况(无效的 情况)下(认证NG)，通信设备B 202结束与通信设备A 201的通 信，通信设备200的运用时处理结束。

对于通信设备A 201的自我签名证书294并非有效的情况的处理 分支，省略图示。

<S331：ID基础加密签名验证处理(自我证书验证处理的一个例 子)>

通信设备B 202的自我签名证书验证部241从设备存储部290取 得公开参数293a。

通信设备B 202的自我签名证书验证部241使用公开参数293a 和对通信设备A 201的自我签名证书294设定的RSA公开密钥292b 来执行ID基础加密方式的验证算法，验证对通信设备A 201的自我 签名证书294设定的ID基础加密签名294b。

对通信设备A 201的自我签名证书294设定的ID基础加密签名 294b是使用能够仅根据通信设备A 201的设备固有ID 291b以及公开 参数293a而生成的ID基础加密私人密钥293b来生成的。

因此，在ID基础加密签名294b的验证结果有效的情况下，能保 证由设定有通信设备A 201的设备固有ID 291b以及公开参数293a的 设备(即，通信设备A 201)生成自我签名证书294。

即，在该时刻，能保证通信设备B 202的通信对方是通信设备A 201。

在ID基础加密签名294b有效的情况下，处理进入到S340。

在ID基础加密签名294b并非有效的情况(无效的情况)下，通 信设备B 202结束与通信设备A 201的通信，通信设备200的运用时 处理结束。

对于ID基础加密签名294b并非有效的情况的处理分支，省略图 示。

<S340>

通信设备B 202的SSL通信部240生成会话密钥295b的生成中 使用的信息即预主密码295a，将所生成的预主密码295a存储到设备 存储部290中。

而且，通信设备B 202的SSL通信部240从通信设备A 201的自 我签名证书294取得RSA公开密钥292b，使用所取得的RSA公开密 钥292b对预主密码295a进行加密，将加密后的预主密码295a发送到 通信设备A 201。

在S340之后，处理进入到S341。

<S341>

通信设备A 201的SSL通信部240接收在S340中由通信设备B 202发送的预主密码295a。

通信设备A 201的SSL通信部240从设备存储部290取得自己的 RSA私人密钥292a，使用RSA私人密钥292a对所接收到的预主密码 295a进行解密，将所解密的预主密码295a存储到设备存储部290中。

在S341之后，处理进入到S350。

在S340～S341中，在通信设备A 201与通信设备B 202之间共有 预主密码295a。

<S350>

通信设备B 202的SSL通信部240从设备存储部290取得自己的 RSA私人密钥292a，使用所取得的RSA私人密钥292a来生成从S310 至S341在通信设备A 201与通信设备B 202之间通信了的信息(称为 “握手消息(handshake message)”)的签名而作为SSL签名295c， 将所生成的SSL签名295c发送到通信设备A 201。

SSL签名295c由通信设备A 201的SSL通信部240接收并存储 到设备存储部290中。

在S350之后，处理进入到S360。

<S360：自我签名证书验证处理(自我证书验证处理的一个例子) >

通信设备A 201的自我签名证书验证部241与S330中的通信设 备B 202同样地，验证通信设备B 202的自我签名证书294。

在自我签名证书294有效的情况下，处理进入到S361。

在自我签名证书294并非有效的情况下，通信设备A 201结束与 通信设备B 202的通信，通信设备200的运用时处理结束。

对于自我签名证书294并非有效的情况下的处理分支，省略图示。

<S361：ID基础加密签名验证处理(自我证书验证处理的一个例 子)>

通信设备A 201的自我签名证书验证部241与S331中的通信设 备B 202同样地，验证对通信设备B 202的自我签名证书294设定的 ID基础加密签名294b。

在ID基础加密签名294b有效的情况下，处理进入到S370。

在ID基础加密签名294b并非有效的情况下，通信设备A 201结 束与通信设备B 202的通信，通信设备200的运用时处理结束。

对于ID基础加密签名294b并非有效的情况下的处理分支，省略 图示。

<S370>

通信设备A 201的SSL通信部240从设备存储部290取得通信设 备B 202的SSL签名295c以及自我签名证书294，使用通信设备B 202 的自我签名证书294中包含的RSA公开密钥292b来验证通信设备B 202的SSL签名295c。

在SSL签名295c有效的情况下，处理进入到S380。

在SSL签名295c并非有效的情况下，通信设备B 202结束与通 信设备A 201的通信，通信设备200的运用时处理结束。

对于SSL签名295c并非有效的情况下的处理分支，省略图示。

<S380>

通信设备A 201的SSL通信部240和通信设备B 202的SSL通 信部240分别从设备存储部290取得在S340～S341中共有的预主密码 295a，使用所取得的预主密码295a和在S310中共有的随机数来生成 会话密钥295b。

在S380之后，处理进入到S381。

<S381>

通信设备A 201的加密认证通信部242和通信设备B 202的加密 认证通信部242分别使用在S380中生成的会话密钥295b对通信数据 295d进行加密，相互通信进行了加密的通信数据295d。

在S381中必要的数据通信结束之后，处理结束。

在以往的SSL通信以及证书验证中不进行ID基础加密签名验证 处理(S331、S361)，ID基础加密签名验证处理(S331、S361)是实 施方式1中的设备认证系统100的特征之一。通过本处理，能保证自 我签名证书294是由用设备固有ID 291b确定的设备生成的证书。

在实施方式1中说明例如以下那样的设备认证系统100。

通信设备200在制造时，生成并保存与设备固有ID 291b对应的 ID基础加密私人密钥293b。

而且，通信设备200在系统构筑时生成自我签名证书294，该自 我签名证书294包括主机名291c、和使用ID基础加密私人密钥293b 而利用RSA公开密钥292b生成的ID基础加密签名294b。

而且，通信设备200在运用时，对自我签名证书294中包含的 RSA自我签名294a以及ID基础加密签名294b进行验证，而作为通 信对方的自我签名证书294的验证。

由此，无需通过认证站发行证书或离线地验证证书等麻烦的过 程，而能实施保证如下情况的可靠的设备认证，其中，所述情况为： 通信对方的设备是分配了指定的主机名的设备、以及通信对方的设备 是由自我签名证书294中包含的设备固有ID 291b确定的设备。

例如，设备认证系统100可以用作在由同一制造商制造的设备之 间发送和接收隐匿性高的数据的通信系统。

在实施方式1中也可以代替RSA公开密钥加密方式，而使用椭 圆加密、DSA、DH等其他公开密钥加密方式。

在RSA公开密钥加密方式中，使用了SHA1、MD5等散列函数。

实施方式1可以应用于：在通信设备200具有私人密钥和公开密 钥证书而通过基于私人密钥的签名使对方设备认证自身设备、或对使 用了对方设备的证书中包含的公开密钥的会话密钥进行加密的方式中 成为证书验证的其安全性的基础的所有方式。

实施方式2.

对不是在系统构筑时而是在制造时由通信设备200生成自我签名 证书294的方式进行说明。

以下，主要说明与实施方式1不同的事项。省略说明的事项与实 施方式1相同。

图11是示出实施方式2中的通信设备200的制造时处理的流程 图。

以下，根据图11，说明实施方式2中的通信设备200的制造时处 理。

图11所示的流程图是在实施方式1中的通信设备200的制造时 处理(参照图5)中追加了S130～S160的图。

而且，S130～S150与实施方式1中的通信设备200的系统构筑时 处理(参照图7)的S220～S240相同。

在S160中，自我签名证书生成部223与S250(参照图7)同样 地，使自我签名证书信息与RSA自我签名294a结合而生成自我签名 证书294，将所生成的自我签名证书294存储到设备存储部290中。

但是，由于对制造时的通信设备200没有设定主机名291c，所以 主机名291c不包含在自我签名证书信息中，自我签名证书生成部223 对自我签名证书294的主题名的CommonName栏设定设备固有ID 291b而代替主机名291c。

通信设备200的系统构筑时处理仅在S210(主机名291c的设定) 中执行，在S220～S250中不执行(参照图7)。

通信设备200的运用时处理除了不对自我签名证书294设定主机 名291c以外，与实施方式1(图10)相同。

即，在自我签名证书验证处理(S330、S360)中，不进行主机名 的验证。

在实施方式2中说明例如以下那样的设备认证系统100。

通信设备200在制造时生成并保存与设备固有ID 291b对应的ID 基础加密私人密钥293b，使用ID基础加密私人密钥293b来生成自我 签名证书294，其中，该自我签名证书294包括根据RSA公开密钥292b 生成的ID基础加密签名294b。

而且，通信设备200在运用时对自我签名证书294中包含的RSA 自我签名294a以及ID基础加密签名294b进行验证，而作为通信对 方的自我签名证书294的验证。

通过在制造时生成自我签名证书294，由此主机名291c、IP地址 等系统构筑时所决定的设备识别名不会被设定到自我签名证书294。 因此，失去通信对方的设备是分配了所指定的主机名的设备这样的保 证。但是，与实施方式1同样地能保证通信对方的设备是由设备固有 ID 291b确定的合法的设备。

实施方式3.

说明通信设备200更新自我签名证书294的方式。

以下，主要说明与实施方式1不同的事项。省略说明的事项与实 施方式1相同。

图12是实施方式3中的通信设备200的功能结构图。

以下，根据图12，说明实施方式3中的通信设备200的功能结构。

通信设备200除了在实施方式1中说明的结构(参照图3)以外， 还具备证书更新契机检测部224。

证书更新契机检测部224使用CPU来检测更新自我签名证书 294的契机(规定的定时)。

例如，证书更新契机检测部224验证对自我签名证书294设定的 有效期限，将有效期限的规定时间前或者有效期限的经过时，作为自 我签名证书294的更新契机而进行检测。

另外，例如证书更新契机检测部224将由管理者指定了证书更新 指示时，作为自我签名证书294的更新契机而进行检测。

RSA密钥对生成部221(认证密钥对更新部的一个例子)在由证 书更新契机检测部224检测到RSA密钥对292的更新契机时，更新 RSA密钥对292(RSA私人密钥292a、RSA公开密钥292b)。

ID基础加密签名生成部230根据由RSA密钥对生成部221更新 后的RSA公开密钥292b，新生成ID基础加密签名294b。

自我签名生成部222根据由RSA密钥对生成部221更新后的 RSA私人密钥292a，新生成RSA自我签名294a。

自我签名证书生成部223使规定的数据、新的ID基础加密签名 294b、以及新的RSA自我签名294a结合而生成自我签名证书294。

SSL通信部240将由自我签名证书生成部223新生成的自我签名 证书294发送到通信对方的通信设备200。

图13是示出实施方式3中的自我签名证书更新处理的流程图。

以下，根据图13，说明通信设备200更新自我签名证书294的自 我签名证书更新处理。

通信设备200的各“～部”使用CPU来执行以下说明的处理。

以下说明的自我签名证书更新处理在由证书更新契机检测部224 检测到自我签名证书294的更新契机时执行。

<S410>

RSA密钥对生成部221与S220(参照图7)同样地，新生成RSA 密钥对292，将所生成的RSA密钥对292存储到设备存储部290中。

然后，RSA密钥对生成部221从设备存储部290删除旧的RSA 密钥对292。

在S410之后，处理进入到S420。

<S420>

ID基础加密签名生成部230与S230(参照图7)同样地，生成 新的RSA公开密钥292b的ID基础加密签名294b，将所生成的ID基 础加密签名294b存储到设备存储部290中。

然后，ID基础加密签名生成部230从设备存储部290删除旧的 ID基础加密签名294b。

在S420之后，处理进入到S430。

<S430>

自我签名生成部222与S240(参照图7)同样地，使用新的RSA 私人密钥292a来生成自我签名证书信息的RSA自我签名294a。在自 我签名证书信息中包括新的RSA公开密钥292b以及新的ID基础加 密私人密钥293b。

在S430之后，处理进入到S440。

<S440>

自我签名证书生成部223与S250(参照图7)同样地，使自我签 名证书信息与新的RSA自我签名294a结合而生成自我签名证书294， 将所生成的自我签名证书294存储到设备存储部290中。

然后，自我签名证书生成部223从设备存储部290删除旧的自我 签名证书294。

在S440之后，处理结束。

在实施方式3中说明例如以下那样的设备认证系统100。

通信设备200在运用时消除了已有的RSA密钥对292以及自我 签名证书294之后，再生成RSA密钥对292，更新自我签名证书294。

由此，不用实施与认证站的交互所需的证书再发行过程，而可以 由设备单体执行证书(自我签名证书294)的更新，可以大幅减轻证 书更新的运用负荷。

实施方式4.

说明如下情形：通信设备200并非使用ID基础加密私人密钥 293b而使用设备固有的RSA私人密钥来生成RSA公开密钥292b的 电子签名，对自我签名证书294设定所生成的RSA公开密钥292b的 电子签名。

以下，主要说明与实施方式1不同的事项。省略说明的事项与实 施方式1相同。

图14是实施方式4中的通信设备200的功能结构图。

以下，根据图14，说明实施方式4中的通信设备200的功能结构。

通信设备200相对于在实施方式1中说明的结构(参照图3)， 以下的点不同。

通信设备200代替ID基础加密私人密钥生成部210而具备设备 个体RSA密钥对生成部211(设备ID密钥生成部的一个例子)、设 备个体签名生成部212和设备个体证书生成部213。

通信设备200代替ID基础加密签名生成部230而具备设备个体 RSA签名生成部231(设备ID认证信息生成部的一个例子)。

在设备存储部290中，代替主密钥291a和公开参数293a而存储 主RSA密钥对291d(主RSA私人密钥291d1、主RSA公开密钥 291d2)，代替ID基础加密私人密钥293b而存储设备个体RSA密钥 对293c(设备个体RSA私人密钥293c1、设备个体RSA公开密钥 293c2)，代替ID基础加密签名294b而存储设备个体RSA签名294c。

而且，在设备存储部290中，存储设备个体证书296和设备个体 签名296a。

设备个体RSA密钥对生成部211(设备ID密钥生成部的一个例 子)通过公开密钥加密方式，根据设备固有ID 291b，使用CPU来生 成设备个体RSA密钥对293c(设备个体RSA私人密钥293c1、设备 个体RSA公开密钥293c2)(设备ID密钥的一个例子)。

设备个体签名生成部212根据主RSA私人密钥291d1(自身设 备的私人密钥数据的一个例子)，使用CPU来生成设备个体RSA公 开密钥293c2(设备个体公开密钥的一个例子)的电子签名而作为设 备个体签名296a。

设备个体证书生成部213使用CPU 而使设备个体签名296a和设 备固有ID 291b结合，生成设备个体证书296。

设备个体RSA签名生成部231(设备ID认证信息生成部的一个 例子)使用设备个体RSA私人密钥293c1，生成RSA公开密钥292b 的电子签名而作为设备个体RSA签名294c(设备ID认证信息的一个 例子)。

图15是示出实施方式4中的通信设备200的制造时(制造时处 理前)的保存数据的图。

如图15所示，在通信设备200被制造时，在通信设备200的设 备存储部290(图示省略)中，登记主RSA密钥对291d(主RSA私 人密钥291d1、主RSA公开密钥291d2)以及设备固有ID 291b。

主RSA密钥对291d是对设备个体证书296设定的设备个体签名 296a的生成中使用的信息，在所有的通信设备200中相同。

图16是示出实施方式4中的通信设备200的制造时处理的流程 图。

以下，根据图16，说明实施方式4中的通信设备200的制造时处 理。

设备个体RSA密钥对生成部211根据设备固有ID 291b而生成 设备个体RSA密钥对293c(S111)，设备个体签名生成部212使用 主RSA私人密钥291d1来生成设备个体证书信息的设备个体签名 296a(S112)，设备个体证书生成部213使设备个体证书信息和设备 个体签名296a结合而生成设备个体证书296(S113)，设备个体证书 生成部213删除主RSA私人密钥291d1(S121)。

以下，详细说明各处理(S111～S113、S121)。

<S111：设备ID密钥生成处理的一个例子>

设备个体RSA密钥对生成部211从设备存储部290取得设备固 有ID 291b。

设备个体RSA密钥对生成部211以所取得的设备固有ID 291b 为输入值而执行RSA公开密钥加密方式的密钥生成算法，生成设备个 体RSA密钥对293c。

然后，设备个体RSA密钥对生成部211将所生成的设备个体RSA 密钥对293c存储到设备存储部290中。

在S111之后，处理进入到S112。

<S112>

设备个体签名生成部212从设备存储部290取得主RSA私人密 钥291d1和设备个体证书296中包含的各种信息(设备个体证书信息)。

设备个体签名生成部212以所取得的主RSA私人密钥291d1以 及设备个体证书信息为输入值而执行RSA公开密钥加密方式的签名 算法，生成设备个体证书信息的设备个体签名296a。

以下，以设备个体RSA公开密钥293c2以及设备固有ID 291b 为设备个体证书信息而继续进行说明。设备个体证书信息不限于此。

在S112之后，处理进入到S113。

<S113>

设备个体证书生成部213使设备个体证书信息和在S112中生成 的设备个体签名296a结合而生成设备个体证书296，将所生成的设备 个体证书296存储到设备存储部290中。

在S113之后，处理进入到S121。

<S121>

设备个体签名生成部212从设备存储部290删除设备个体签名 296a的生成中使用的主RSA私人密钥291d1。设备个体签名生成部 212通过删除主RSA私人密钥291d1，防止如下情况：主RSA私人密 钥291d1泄漏，使用所泄漏的主RSA私人密钥291d1来伪造设备个 体签名296a。

在S121之后，处理结束。

图17是示出实施方式4中的通信设备200的制造时(制造时处 理后)的保存数据的图。

如图17所示，在通信设备200的制造时处理后，在通信设备200 的设备存储部290(图示省略)中存储主RSA公开密钥291d2、设备 固有ID 291b、设备个体RSA密钥对293c以及设备个体证书296。

对设备个体证书296设定了设备个体RSA公开密钥293c2、设备 固有ID 291b以及设备个体签名296a。

图18是示出实施方式4中的通信设备200的系统构筑时处理的 流程图。

以下，根据图18，说明实施方式4中的通信设备200的系统构筑 时处理。

图18所示的流程图是将实施方式1中的通信设备200的系统构 筑时处理(参照图7)的S230变更为以下说明的S231而得到的图。

<S231：设备ID认证信息生成处理的一个例子>

在S220之后，设备个体RSA签名生成部231从设备存储部290 取得设备个体RSA私人密钥293c1和RSA公开密钥292b。

设备个体RSA签名生成部231以所取得的设备个体RSA私人密 钥293c1以及RSA公开密钥292b为输入值而执行RSA公开密钥加密 方式的签名算法，生成RSA公开密钥292b的设备个体RSA签名294c。

设备个体RSA签名生成部231将所生成的RSA公开密钥292b 的设备个体RSA签名294c存储到设备存储部290中。

在S231之后，处理进入到S240。

在S240以及S250中，在自我签名证书信息中，代替设备固有ID 291b而包含有设备个体证书296，代替ID基础加密签名294b而包含 有设备个体RSA签名294c。

图19是示出实施方式4中的通信设备200的系统构筑时(系统 构筑时处理后)的保存数据的图。

如图19所示，在通信设备200的系统构筑时处理后，在通信设 备200的设备存储部290(图示省略)中存储有主RSA公开密钥291d2、 设备固有ID 291b、设备个体RSA密钥对293c、设备个体证书296、 主机名291c、RSA密钥对292以及自我签名证书294。

对自我签名证书294设定了RSA公开密钥292b、自我签名证书 294的有效期限、主机名291c、设备个体证书296、RSA公开密钥292b 的设备个体RSA签名294c以及RSA自我签名294a。

图20是示出实施方式4中的通信设备200的运用时处理的流程 图。

以下，根据图20，说明实施方式4中的通信设备200的运用时处 理。

图20所示的流程图是对实施方式1中的通信设备200的运用时 处理(参照图10)加上以下说明的S332以及S362，并将S331以及 S361变更为以下说明的S333以及S363而得到的图。

<S332：设备个体证书验证处理(自我证书验证处理的一个例子) >

在S330之后，通信设备B 202的自我签名证书验证部241从设 备存储部290取得主RSA公开密钥291d2，从通信设备A 201的自我 签名证书294取得设备个体证书296，使用主RSA公开密钥291d2来 验证对设备个体证书296设定的设备个体签名296a。

能保证设备个体签名296a有效的设备个体证书296没有被篡改。

即，能保证对设备个体证书296设定的设备个体RSA公开密钥 293c2由用对设备个体证书296设定的设备固有ID 291b确定的通信 设备A 201生成。

在设备个体签名296a有效的情况下，处理进入到S333。

在设备个体签名296a并非有效的情况下，通信设备B 202结束 与通信设备A 201的通信，通信设备200的运用时处理结束。

对于设备个体签名296a并非有效的情况下的条件分支，省略图 示。

<S333：设备个体RSA签名验证处理(自我证书验证处理的一个 例子)>

通信设备B 202的自我签名证书验证部241使用对设备个体证书 296设定的设备个体RSA公开密钥293c2来执行RSA公开密钥方式 的验证算法，验证对通信设备A 201的自我签名证书294设定的设备 个体RSA签名294c。

由于能保证在S332中设备个体RSA公开密钥293c2由通信设备 A 201生成，因此在RSA公开密钥292b的设备个体RSA签名294c 有效的情况下，能保证对自我签名证书294设定的RSA公开密钥292b 由通信设备A 201生成。而且，通过S330中的RSA自我签名294a 的验证，能保证自我签名证书294没有被篡改，所以能保证自我签名 证书294由通信设备A 201生成。

即，能保证通信设备B 202的通信对方是通信设备A 201。

在设备个体RSA签名294c有效的情况下，处理进入到S340。

在设备个体RSA签名294c并非有效的情况下，通信设备B 202 结束与通信设备A 201的通信，通信设备200的运用时处理结束。

对于设备个体RSA签名294c并非有效的情况下的处理分支，省 略图示。

<S362：设备个体证书验证处理(自我证书验证处理的一个例子) >

在S360之后，通信设备A 201的自我签名证书验证部241与S332 中的通信设备B 202同样地，取得对通信设备B 202的自我签名证书 294设定的设备个体证书296，验证对设备个体证书296设定的设备个 体签名296a。

在设备个体签名296a有效的情况下，处理进入到S363。

在设备个体签名296a并非有效的情况下，通信设备A 201结束 与通信设备B 202的通信，通信设备200的运用时处理结束。

对于设备个体签名296a并非有效的情况下的处理分支，省略图 示。

<S363：设备个体RSA签名验证处理(自我证书验证处理的一个 例子)>

通信设备A 201的自我签名证书验证部241与S333中的通信设 备B 202同样地，验证对通信设备B 202的自我签名证书294设定的 设备个体RSA签名294c。

在设备个体RSA签名294c有效的情况下，处理进入到S370。

在设备个体RSA签名294c并非有效的情况下，通信设备A 201 结束与通信设备B 202的通信，通信设备200的运用时处理结束。

对于设备个体RSA签名294c并非有效的情况下的处理分支，省 略图示。

在实施方式4中，说明了如下情形：通信设备200并非使用ID 基础加密私人密钥293b而使用设备固有的RSA私人密钥来生成RSA 公开密钥292b的电子签名，对自我签名证书294设定所生成的RSA 公开密钥292b的电子签名。

设备认证系统100与实施方式1同样地，起到如下效果：即使没 有从认证站接收到证书的发行，也根据自我签名证书294来保证通信 对方。

通信设备200也可以与实施方式2同样地，在制造时处理中生成 自我签名证书294。

另外，通信设备200也可以与实施方式3同样地，更新自我签名 证书294。

实施方式5.

说明如下情形：通信设备200并非使用ID基础加密私人密钥 293b而使用设备固有的共用密钥来生成RSA公开密钥292b的电子签 名，对自我签名证书294设定所生成的RSA公开密钥292b的电子签 名。

以下，主要说明与实施方式1不同的事项。省略说明的事项与实 施方式1相同。

图21是实施方式5中的通信设备200的功能结构图。

以下，根据图21，说明实施方式5中的通信设备200的功能结构。

通信设备200相对于在实施方式1中说明的结构(参照图3)， 以下的点不同。

通信设备200代替ID基础加密私人密钥生成部210而具备设备 个体共用密钥生成部214(设备ID密钥生成部的一个例子)。

通信设备200代替ID基础加密签名生成部230而具备设备个体 共用密钥MAC生成部232(设备ID认证信息生成部的一个例子)。

在设备存储部290中，代替主密钥291a和公开参数293a而存储 主共用密钥291e，代替ID基础加密私人密钥293b而存储设备个体共 用密钥293d，代替ID基础加密签名294b而存储设备个体共用密钥 MAC 294d。

设备个体共用密钥生成部214(设备ID密钥生成部的一个例子) 通过共用密钥加密方式，根据设备固有ID 291b，使用CPU来生成设 备个体共用密钥293d(设备ID密钥的一个例子)。

设备个体共用密钥MAC生成部232(设备ID认证信息生成部的 一个例子)使用设备个体共用密钥293d来生成RSA公开密钥292b 的MAC(Message Authentication Code)(设备ID认证信息的一个 例子)，而作为设备个体共用密钥MAC 294d。

图22是示出实施方式5中的通信设备200的制造时(制造时处 理前)的保存数据的图。

如图22所示，在通信设备200被制造时，在通信设备200的设 备存储部290(图示省略)中登记主共用密钥291e以及设备固有ID 291b。

主共用密钥291e是设备个体共用密钥293d的生成中使用的信 息，在所有的通信设备200中相同。

图23是示出实施方式5中的通信设备200的制造时处理的流程 图。

以下，根据图23，说明实施方式5中的通信设备200的制造时处 理。

设备个体共用密钥生成部214根据主共用密钥291e以及设备固 有ID 291b生成设备个体共用密钥293d(S114)，删除主共用密钥291e (S122)。

以下，详细说明各处理(S114、S122)。

<S114：设备ID密钥生成处理的一个例子>

设备个体共用密钥生成部214从设备存储部290取得主共用密钥 291e和设备固有ID 291b。

设备个体共用密钥生成部214以所取得的主共用密钥291e以及 设备固有ID 291b为输入值而执行MAC算法(例如，HMAC-SHA1、 HMAC-MD5)，生成设备个体共用密钥293d。

设备个体共用密钥生成部214将所生成的设备个体共用密钥 293d存储到设备存储部290中。

在S114之后，处理进入到S122。

<S122>

设备个体共用密钥生成部214从设备存储部290删除设备个体共 用密钥293d的生成中使用的主共用密钥291e。设备个体共用密钥生 成部214通过删除主共用密钥291e，防止如下情形：主共用密钥291e 泄漏，使用所泄漏的主共用密钥291e来伪造设备个体共用密钥293d。

在S122之后，处理结束。

图24是示出实施方式5中的通信设备200的制造时(制造时处 理后)的保存数据的图。

如图24所示，在通信设备200的制造时处理后，在通信设备200 的设备存储部290(图示省略)中存储了设备固有ID 291b以及设备 个体共用密钥293d。

图25是示出实施方式5中的通信设备200的系统构筑时处理的 流程图。

以下，根据图25，说明实施方式5中的通信设备200的系统构筑 时处理。

图25所示的流程图是将实施方式1中的通信设备200的系统构 筑时处理(参照图7)的S230变更为以下说明的S232的图。

<S232>

在S220之后，设备个体共用密钥MAC生成部232从设备存储 部290取得设备个体共用密钥293d和RSA公开密钥292b。

设备个体共用密钥MAC生成部232以所取得的设备个体共用密 钥293d以及RSA公开密钥292b为输入值而执行MAC算法(例如， HMAC-SHA1、HMAC-MD5)，生成RSA公开密钥292b的设备 个体共用密钥MAC 294d。

设备个体共用密钥MAC生成部232将所生成的RSA公开密钥 292b的设备个体共用密钥MAC 294d存储到设备存储部290中。

在S232之后，处理进入到S240。

在S240以及S250中，在自我签名证书信息中，代替ID基础加 密签名294b而包含有设备个体共用密钥MAC 294d。

图26是示出实施方式5中的通信设备200的系统构筑时(系统 构筑时处理后)的保存数据的图。

如图26所示，在通信设备200的系统构筑时处理后，在通信设 备200的设备存储部290(图示省略)中存储了设备固有ID 291b、设 备个体共用密钥293d、主机名291c、RSA密钥对292以及自我签名 证书294。

对自我签名证书294设定有RSA公开密钥292b、自我签名证书 294的有效期限、主机名291c、设备固有ID 291b、设备个体共用密 钥MAC 294d以及RSA自我签名294a。

图27是示出实施方式5中的设备认证系统100的运用概要的图。

如图27所示，通信设备A 201与通信终端203进行通信。

通信终端203具有连接USB令牌120(USB：Universal Serial Bus， 通用串行总线)的接口。例如，通信终端203是个人计算机。

另外，通信终端203具备SSL通信部240、自我签名证书验证部 241以及加密认证通信部242。

通信终端203的用户在从通信终端203访问通信设备A 201时， 将存储有与在制造时登记到通信设备200的密钥相同的主共用密钥 291e的USB令牌120连接到通信终端203。也可以代替USB令牌120， 而使用IC卡等其他介质来作为可以安全地保管主共用密钥291e的介 质。

在通信设备A 201中，存储有许可访问通信设备A 201的用户的 用户ID以及口令。

图28是示出实施方式5中的通信设备200的运用时处理的流程 图。

以下，根据图28，说明实施方式5中的通信设备200的运用时处 理。

<S311>

通信设备A 201和通信终端203与实施方式1(参照图10)的 S310中的通信设备A 201以及通信设备B 202同样地，交换SSL会话 信息。

在S311之后，处理进入到S321。

<S321：自我证书发送处理、自我证书接收处理的一个例子>

通信设备A 201的SSL通信部240与实施方式1中的S320同样 地，将自我签名证书294发送到通信终端203。

通信终端203的SSL通信部240也可以不将自我签名证书294 发送到通信设备A 201。

在S321之后，处理进入到S330。

<S334：自我签名证书验证处理(自我证书验证处理的一个例子) >

通信终端203的自我签名证书验证部241与实施方式1的S330 中的通信设备B 202同样地，验证通信设备A 201的自我签名证书294。

在通信设备A 201的自我签名证书294有效的情况下，处理进入 到S335。

<S335：设备个体共用密钥MAC验证处理(自我证书验证处理 的一个例子)>

通信终端203的自我签名证书验证部241从与通信终端203连接 的USB令牌120取得主共用密钥291e。

在S335之后，处理进入到S336。

<S336：设备个体共用密钥MAC验证处理(自我证书验证处理 的一个例子)>

通信终端203的自我签名证书验证部241以在S335中取得的主 共用密钥291e和对通信设备A 201的自我签名证书294设定的设备固 有ID 291b为输入值而执行MAC算法，生成设备个体共用密钥293d。 在S335、S336中，有时还在机密地保持主共用密钥291e的USB令牌 120的内部实施设备个体共用密钥293d的生成。在该情况下，设备个 体共用密钥293d成为与设备固有ID 291b的输入对应的输出。

处理内容与由通信设备A 201执行的设备个体共用密钥293d的 生成处理(S1的14、参照图23)相同。

在S336之后，处理进入到S337。

<S337：设备个体共用密钥MAC验证处理(自我证书验证处理 的一个例子)>

通信终端203的自我签名证书验证部241以在S336中生成的设 备个体共用密钥293d和对通信设备A 201的自我签名证书294设定的 RSA公开密钥292b为输入值而执行MAC算法，生成RSA公开密钥 292b的设备个体共用密钥MAC 294d。

处理内容与由通信设备A 201执行的设备个体共用密钥MAC 294d的生成处理(S232、参照图25)相同。

在S337之后，处理进入到S338。

<S338：设备个体共用密钥MAC验证处理(自我证书验证处理 的一个例子)>

通信终端203的自我签名证书验证部241比较对通信设备A 201 的自我签名证书294设定的设备个体共用密钥MAC 294d、和在S337 中生成的设备个体共用密钥MAC 294d。

通信终端203的自我签名证书验证部241在设备个体共用密钥 MAC 294d一致的情况下，判定为对通信设备A 201的自我签名证书 294设定的设备个体共用密钥MAC 294d有效，在设备个体共用密钥 MAC 294d不一致的情况下，判定为对通信设备A 201的自我签名证 书294设定的设备个体共用密钥MAC 294d并非有效。

通信终端203的自我签名证书验证部241与利用和通信设备A 201相同的方法生成的设备个体共用密钥MAC 294d进行比较，来验 证对自我签名证书294设定的设备个体共用密钥MAC 294d。

因此，在设备个体共用密钥MAC 294d有效的情况下，能保证通 信设备B 202的通信对方是通信设备A 201。

在设备个体共用密钥MAC 294d有效的情况下，处理进入到 S342。

在设备个体共用密钥MAC 294d并非有效的情况下，通信设备B 202结束与通信设备A 201的通信，通信设备200的运用时处理结束。

对于设备个体共用密钥MAC 294d并非有效的情况下的处理分 支，省略图示。

<S342>

通信终端203的SSL通信部240与实施方式1中的S340同样地， 生成预主密码295a，将使用RSA公开密钥292b进行了加密的预主密 码295a发送到通信设备A 201。

在S342之后，处理进入到S343。

<S343>

通信设备A 201的SSL通信部240与实施方式1中的S341同样 地，使用RSA私人密钥292a对从通信终端203接收到的预主密码295a 进行解密。

在S343之后，处理进入到S382。

<S382>

通信设备A 201的SSL通信部240和通信终端203的SSL通信 部240与实施方式1中的S380同样地，根据预主密码295a生成会话 密钥295b。

在S382之后，处理进入到S383。

<S383>

通信终端203的用户将自身的用户ID以及口令输入到通信终端 203。

通信终端203的加密认证通信部242使用会话密钥295b对由用 户输入的用户ID以及口令进行加密，将加密后的用户ID以及口令发 送到通信设备A 201。

在S383之后，处理进入到S384。

<S384>

通信设备A 201的加密认证通信部242接收由通信终端203发送 的用户ID以及口令，使用会话密钥295b对所接收到的用户ID以及 口令进行解密。

通信设备A 201的加密认证通信部242将所解密的用户ID以及 口令与设备存储部290中预先存储的用户ID以及口令进行比较。

通信设备A 201的加密认证通信部242在比较一致的情况下，将 通信终端203的用户设为认证许可，在比较不一致的情况下，将通信 终端203的用户设为认证不许可。

在用户认证是不许可的情况下，直到用户认证被许可为止，反复 进行S383～S384。对于用户认证是不许可的情况下的处理分支，省略 图示。

在用户认证被许可的情况下，处理进入到S385。

<S385>

通信设备A 201的加密认证通信部242和通信终端203的加密认 证通信部242与实施方式1中的S381同样地，通信使用会话密钥295b 进行了加密的通信数据295d。

在S385中必要的数据通信结束之后，处理结束。

通信终端203也可以是与通信设备A 201同样地生成自我签名证 书294，并将所生成的自我签名证书294发送到通信对方(通信设备 A 201)的通信设备200。

在该情况下，通信设备A 201与由通信终端203执行的处理 (S330、S334～S337)同样地，验证通信终端203的自我签名证书294 以及对自我签名证书294设定的设备个体共用密钥MAC 294d。

在实施方式5中，说明了如下情形：通信设备200并非使用ID 基础加密私人密钥293b而是使用设备固有的共用密钥来生成RSA公 开密钥292b的电子签名，并对自我签名证书294设定所生成的RSA 公开密钥292b的电子签名。

设备认证系统100与实施方式1同样地，起到如下效果：即使从 认证站没有接收证书的发行，也基于自我签名证书294来保证通信对 方。

通信设备200也可以与实施方式2同样地，在制造时处理中生成 自我签名证书294。

另外，通信设备200也可以与实施方式3同样地，更新自我签名 证书294。

实施方式6.

说明通信设备200防止ID基础加密私人密钥293b、RSA私人密 钥292a的泄漏的情形。

以下，主要说明与实施方式1不同的事项。省略说明的事项与实 施方式1相同。

图29是实施方式6中的通信设备200的功能结构图。

以下，根据图29，说明实施方式6中的通信设备200的功能结构。

通信设备200具备IC芯片800(IC：Integrated Circuit，集成 电路)，IC芯片800具备IC芯片存储器801(访问限制数据存储部 的一个例子)。

另外，通信设备200具备命令访问部280，该命令访问部280生 成用于对IC芯片800要求特定的处理的命令。

在IC芯片存储器801中，存储主密钥291a、设备固有ID 291b、 RSA密钥对292(RSA私人密钥292a、RSA公开密钥292b)、公开 参数293a、ID基础加密私人密钥293b、RSA自我签名294a以及ID 基础加密签名294b(访问限制数据的一个例子)。

其他数据存储到IC芯片800外的设备存储部290中。

使用预先定义的命令(接口)来进行针对IC芯片800的处理的 要求。

另外，即使是从通信设备200内，也无法从IC芯片800的外部 直接访问IC芯片存储器801中存储的数据。

例如，定义了(1)登记命令、(2)IDBE私人密钥生成命令(IDBE： ID-Based Encryption：基于ID的加密)、(3)证书生成命令、(4) IDBE签名验证命令、(5)RSA加密解密命令、(6)SSL签名命令。

(1)登记命令是用于登记主密钥291a、公开参数293a以及设备 固有ID 291b的命令。

(2)IDBE私人密钥生成命令是用于生成ID基础加密私人密钥 293b的命令。

(3)证书生成命令是用于生成自我签名证书294的命令。

(4)IDBE签名验证命令是用于验证ID基础加密签名294b的 命令。

(5)RSA加密解密命令是用于进行使用了RSA密钥对292的加 密解密的命令。

(6)SSL签名命令是用于生成SSL签名295c的命令。

另外，例如定义了(7)RSA密钥对生成命令、(8)密钥读出命 令。

(7)RSA密钥对生成命令是用于生成RSA密钥对292的命令。

(8)密钥读出命令是读出主密钥291a、RSA密钥对292、ID基 础加密私人密钥293b以及公开参数293a的命令。

IC芯片800具备ID基础加密私人密钥生成部210、RSA密钥对 生成部221、自我签名生成部222、自我签名证书生成部223、ID基 础加密签名生成部230、登记部281、ID基础加密签名验证部282、 RSA加密解密部283、SSL签名生成部284以及命令访问控制部810 (访问限制部的一个例子)。

通信设备200的其他结构设置于IC芯片800外。

命令访问控制部810仅接受不将IC芯片存储器801中存储的特 定的数据(例如，ID基础加密私人密钥293b、RSA私人密钥292a) 输出到IC芯片800外的命令，并根据所接受到的命令使IC芯片800 内的结构进行动作。

命令访问控制部810通过限制所接受的命令，由此限制向存储于 IC芯片存储器801中的数据进行的访问，防止数据的泄漏。

例如，命令访问控制部810接受上述(1)～(6)的命令，但不 接受而拒绝上述(7)～(8)的命令。

登记部281将主密钥291a、设备固有ID 291b以及公开参数293a 登记到IC芯片存储器801中。

ID基础加密签名验证部282使用IC芯片存储器801中存储的公 开参数293a，验证ID基础加密签名294b。

RSA加密解密部283使用IC芯片存储器801中存储的RSA密 钥对292，对数据进行加密以及解密。

SSL签名生成部284使用IC芯片存储器801中存储的RSA私人 密钥292a，生成SSL签名295c。

图30是示出实施方式6中的通信设备200的制造时处理的流程 图。

以下，根据图30，说明实施方式6中的通信设备200的制造时处 理。

<S101>

制造者将要登记的主密钥291a、设备固有ID 291b以及公开参数 293a输入到通信设备200。

命令访问部280生成设定了所输入的主密钥291a、设备固有ID 291b以及公开参数293a的登记命令，并将所生成的登记命令输入到 IC芯片800。登记命令是由IC芯片800的命令访问控制部810许可 接受的命令。

IC芯片800的命令访问控制部810判定所输入的登记命令，接 受登记命令。

登记部281将对登记命令设定的主密钥291a、设备固有ID 291b 以及公开参数293a存储到IC芯片存储器801中。

在S101之后，处理进入到S102。

<S102>

命令访问部280生成IDBE私人密钥生成命令，并将所生成的 IDBE私人密钥生成命令输入到IC芯片800。IDBE私人密钥生成命 令是由IC芯片800的命令访问控制部810许可接受的命令。

在S102之后，处理进入到S110。

<S110>

IC芯片800的命令访问控制部810判定所输入的IDBE私人密 钥生成命令，接受IDBE私人密钥生成命令。

ID基础加密私人密钥生成部210与实施方式1(参照图5)同样 地，根据主密钥291a、设备固有ID 291b以及公开参数293a，生成ID 基础加密私人密钥293b。主密钥291a、设备固有ID 291b以及公开参 数293a被存储到IC芯片存储器801中。

ID基础加密私人密钥生成部210将所生成的ID基础加密私人密 钥293b存储到IC芯片存储器801中。

在S110之后，处理进入到S120。

<S120>

ID基础加密私人密钥生成部210与实施方式1同样地，删除主 密钥291a。主密钥291a从IC芯片存储器801中被删除。

通过S120，制造时处理结束。

图31是示出实施方式6中的通信设备200的系统构筑时处理的 流程图。

以下，根据图31，说明实施方式6中的通信设备200的系统构筑 时处理。

<S210>

系统信息设定部220与实施方式1(参照图7)同样地，将管理 者输入的主机名291c存储到设备存储部290中。

在S210之后，处理进入到S290。

<S290>

命令访问部280生成将主机名291c、其他数据设定为包含于自我 签名证书信息中的数据的证书生成命令，并将所生成的证书命令输入 到IC芯片800。证书生成命令是由IC芯片800的命令访问控制部810 许可接受的命令。

在S290之后，处理进入到S220。

<S220>

IC芯片800的命令访问控制部810判定所输入的证书生成命令， 接受证书生成命令。

RSA密钥对生成部221与实施方式1(参照图7)同样地，生成 RSA密钥对292(RSA私人密钥292a、RSA公开密钥292b)。

RSA密钥对生成部221将所生成的RSA密钥对292存储到IC 芯片存储器801中。

在S220之后，处理进入到S230。

<S230>

ID基础加密签名生成部230与实施方式1同样地，使用ID基础 加密私人密钥293b，生成RSA公开密钥292b的ID基础加密签名 294b。ID基础加密私人密钥293b以及RSA公开密钥292b被存储到 IC芯片存储器801中。

ID基础加密签名生成部230将所生成的RSA公开密钥292b的 ID基础加密签名294b存储到IC芯片存储器801中。

在S230之后，处理进入到S240。

<S240>

自我签名生成部222与实施方式1同样地，使用RSA私人密钥 292a来生成自我签名证书信息的RSA自我签名294a。对证书生成命 令设定了自我签名证书信息中的包括主机名291c的一部分数据。另 外，RSA私人密钥292a存储在IC芯片存储器801中。

自我签名生成部222将所生成的RSA自我签名294a存储到IC 芯片存储器801中。

在S240之后，处理进入到S250。

<S250>

自我签名证书生成部223与实施方式1同样地，使自我签名证书 信息和RSA自我签名294a结合而生成自我签名证书294。

命令访问控制部810将所生成的自我签名证书294输出到命令访 问部280，命令访问部280将所输出的自我签名证书294存储到设备 存储部290中。

通过S250，系统构筑时处理结束。

图32是示出实施方式6中的通信设备200的运用时处理的流程 图。

以下，根据图32，说明实施方式6中的通信设备200的运用时处 理。

<S310～S320>

通信设备A 201和通信设备B 202与实施方式1(参照图10)同 样地，交换SSL会话信息(S310)，相互通信自我签名证书294(S320)。

在S320之后，处理进入到S330。

<S330>

通信设备B 202的自我签名证书验证部241与实施方式1同样地， 验证通信设备A 201的自我签名证书294。

在S330之后，处理进入到S331。其中，与实施方式1同样地， 在自我签名证书294无效的情况下，运用时处理结束。

<S331>

通信设备B 202的自我签名证书验证部241对命令访问部280要 求IDBE签名验证命令。

命令访问部280生成设定了通信设备A 201的自我签名证书294 的IDBE签名验证命令，并将所生成的IDBE签名验证命令输入到IC 芯片800。IDBE签名验证命令是由IC芯片800的命令访问控制部810 许可接受的命令。

IC芯片800的命令访问控制部810判定所输入的IDBE签名验 证命令，接受IDBE签名验证命令。

ID基础加密签名验证部282与实施方式1中的自我签名证书验 证部241同样地，验证自我签名证书294的ID基础加密签名294b。 对IDBE签名验证命令设定自我签名证书294。验证中使用的公开参 数293a存储到IC芯片存储器801中。

命令访问控制部810将验证结果输出到命令访问部280，命令访 问部280将所输出的验证结果输出到自我签名证书验证部241。

在S331之后，处理进入到S340。其中，与实施方式1同样地， 在ID基础加密签名294b无效的情况下，运用时处理结束。

<S340>

通信设备B 202的SSL通信部240与实施方式1同样地，生成预 主密码295a，对所生成的预主密码295a进行加密，将加密了的预主 密码295a发送到通信设备A 201。

在S340之后，处理进入到S341。

<S341>

通信设备A 201的SSL通信部240接收进行了加密的预主密码 295a。

通信设备A 201的SSL通信部240对命令访问部280要求对预主 密码295a进行解密的RSA解密命令。

命令访问部280生成设定了被加密的预主密码295a的RSA解密 命令，并将所生成的RSA解密命令输入到IC芯片800。RSA解密命 令是由IC芯片800的命令访问控制部810许可接受的命令。

IC芯片800的命令访问控制部810判定所输入的RSA解密命令， 接受RSA解密命令。

RSA加密解密部283与实施方式1中的SSL通信部240同样地， 使用RSA私人密钥292a对预主密码295a进行解密。RSA私人密钥 292a存储在IC芯片存储器801中。

命令访问控制部810将所解密的预主密码295a输出到命令访问 部280，命令访问部280将所输出的预主密码295a存储到设备存储部 290中。

在S341之后，处理进入到S350。

<S350>

通信设备B 202的SSL通信部240对命令访问部280要求SSL 签名命令。

命令访问部280生成设定了握手消息(在通信设备A 201与通信 设备B 202之间通信的信息)的SSL签名命令，并将所生成的SSL签 名命令输入到IC芯片存储器801。SSL签名命令是由IC芯片800的 命令访问控制部810许可接受的命令。

IC芯片800的命令访问控制部810判定所输入的SSL签名命令， 接受SSL签名命令。

SSL签名生成部284与实施方式1中的SSL通信部240同样地， 使用RSA私人密钥292a来生成握手消息的签名而作为SSL签名295c。 RSA私人密钥292a存储在IC芯片存储器801中。

命令访问控制部810将SSL签名295c输出到命令访问部280， 命令访问部280将SSL签名295c输出到SSL通信部240，SSL通信 部240将SSL签名295c发送到通信设备A 201。

通信设备A 201的SSL通信部240接收通信设备B 202的SSL 签名295c，并将所接收到的SSL签名295c存储到设备存储部290中。

在S350之后，处理进入到S360。

<S360>

通信设备A 201与S330中的通信设备B 202同样地，验证通信 设备B 202的自我签名证书294。

在S360之后，处理进入到S361。其中，与S330同样地，在自 我签名证书294无效的情况下，运用时处理结束。

<S361>

通信设备A 201与S331中的通信设备B 202同样地，验证对通 信设备B 202的自我签名证书294设定的ID基础加密签名294b。

在S361之后，处理进入到S370。其中，与S331同样地，在ID 基础加密签名294b无效的情况下，运用时处理结束。

<S370>

通信设备A 201的SSL通信部240与实施方式1同样地，验证通 信设备B 202的SSL签名295c。

在S370之后，处理进入到S380。其中，与实施方式1同样地， 在SSL签名295c无效的情况下，运用时处理结束。

<S380～S381>

S380～S381与实施方式1同样地进行。

通信设备A 201的SSL通信部240和通信设备B 202的SSL通 信部240生成会话密钥295b(S380)，使用所生成的会话密钥295b 对通信数据295d进行加密通信(S381)。

通过S381，运用时处理结束。

在实施方式6中，说明了例如以下那样的设备认证系统100。

设备认证系统100解决以下那样的课题。

(1)如果ID基础加密私人密钥293b泄漏到外部，则有可能根 据所泄漏的ID基础加密私人密钥293b生成ID基础加密签名294b， 第三者冒充他人来进行通信。

(2)第三者有可能非法使用ID基础加密签名生成部230，生成 使用了自己的RSA公开密钥的ID基础加密签名294b，冒充他人来进 行通信。

(3)如果RSA私人密钥292a泄漏到外部，则有可能预主密码 被解密，第三者冒充他人来进行通信。

通信设备200具备具有证书生成功能的IC芯片800，所以无需 具备与证书发行服务器的通信功能。即，由于无需在与证书发行服务 器之间实现安全性高的通信，所以可以削减相应的成本。

通信设备200实施ID基础加密私人密钥293b的泄漏、ID基础 加密签名生成部230的非法使用以及RSA私人密钥292a的泄漏的对 策，防止被其他通信设备冒充。

在自我签名证书294的验证成功了的情况下，基于以下的理由， 能保证自我签名证书294中包含的ID基础加密签名294b由用自我签 名证书294中包含的设备固有ID 291b识别的通信设备200生成。

(1)IC芯片800中保存的ID基础加密私人密钥293b仅在证书 生成命令的执行时被访问。并且，对ID基础加密私人密钥293b尝试 访问的其他命令被命令访问控制部810拒绝。因此，能防止ID基础 加密签名294b被伪造。

(2)与自我签名证书294中包含的RSA公开密钥292b对应的 RSA私人密钥292a仅在证书生成命令、RSA解密命令以及SSL签名 命令的执行时被访问。并且，对RSA私人密钥292a尝试访问的其他 命令被命令访问控制部810拒绝。因此，能防止RSA私人密钥292a 泄漏到外部。即，自我签名证书294不会被伪造，能保证自我签名证 书294由用ID基础加密签名294b的生成中使用的设备固有ID 291b 识别的通信设备200生成。

IC芯片800(IC芯片存储器801)是限制向内部的数据进行的访 问的结构的一个例子。也可以通过IC芯片800以外的结构来限制向 RSA私人密钥292a、ID基础加密私人密钥293b等的访问。

通信设备200也可以与实施方式2同样地，在制造时处理中生成 自我签名证书294。

通信设备200也可以与实施方式3同样地，更新自我签名证书 294。

通信设备200也可以与实施方式4同样地，代替ID基础加密私 人密钥293b而使用设备个体RSA密钥对293c，代替ID基础加密签 名294b而对自我签名证书294设定设备个体RSA签名294c。

另外，通信设备200也可以与实施方式5同样地，代替ID基础 加密私人密钥293b而使用设备个体共用密钥293d，代替ID基础加密 签名294b而对自我签名证书294设定设备个体共用密钥MAC 294d。