[go: up one dir, main page]

JP2006042208A - COMMUNICATION DEVICE AND COMMUNICATION SYSTEM HAVING AUTHENTICATION FUNCTION - Google Patents

COMMUNICATION DEVICE AND COMMUNICATION SYSTEM HAVING AUTHENTICATION FUNCTION Download PDF

Info

Publication number
JP2006042208A
JP2006042208A JP2004222574A JP2004222574A JP2006042208A JP 2006042208 A JP2006042208 A JP 2006042208A JP 2004222574 A JP2004222574 A JP 2004222574A JP 2004222574 A JP2004222574 A JP 2004222574A JP 2006042208 A JP2006042208 A JP 2006042208A
Authority
JP
Japan
Prior art keywords
network
authentication
common information
communication device
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004222574A
Other languages
Japanese (ja)
Inventor
Hiroyasu Komagome
博泰 駒込
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004222574A priority Critical patent/JP2006042208A/en
Publication of JP2006042208A publication Critical patent/JP2006042208A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 通信機器間で既に認証関係が成立している互いに独立した2つのネットワークを統合する際に、認証サーバ等の専用の機器を導入することなく、共通情報等の認証に必要な情報の設定を自動的に行う通信機器を提供する。
【解決手段】 第1及び第2のネットワークから、それぞれ代表機器を任意に1つ選択し新規の共通情報を設定する。両ネットワークの代表機器は、各ネットワークにおいて既に認証関係が成立している通信機器間で用いる共通情報を交換する。両ネットワークの代表機器は、各ネットワークを構成する通信機器に相手代表機器と交換した共通情報を配布する。
【選択図】 図5
PROBLEM TO BE SOLVED: To integrate information necessary for authentication of common information without introducing a dedicated device such as an authentication server when integrating two independent networks in which an authentication relationship has already been established between communication devices. Provide a communication device that automatically configures settings.
One representative device is arbitrarily selected from each of first and second networks, and new common information is set. The representative devices of both networks exchange common information used between communication devices that have already established an authentication relationship in each network. The representative devices of both networks distribute the common information exchanged with the partner representative device to the communication devices constituting each network.
[Selection] Figure 5

Description

本発明は、認証機能を備えた通信機器及び通信システムに関し、より特定的には、互いに認証関係にある複数の通信機器から構成される独立した2つのネットワークを統合する際に、統合後のネットワークにおいて新たに認証関係を成立させる通信機器と認証に必要な情報を自動的に交換する通信機器、及び複数の通信機器から構成される通信システムに関する。   The present invention relates to a communication device and a communication system having an authentication function, and more specifically, when integrating two independent networks composed of a plurality of communication devices having an authentication relationship with each other. The present invention relates to a communication device that newly establishes an authentication relationship, a communication device that automatically exchanges information necessary for authentication, and a communication system that includes a plurality of communication devices.

近年、インターネットを中心としたIP(インターネットプロトコル)ネットワークが急速に拡大し、PCの他、AV機器や監視カメラ、IP電話等の様々な家電機器がIPネットワークに接続される傾向にある。また、家庭内にIPネットワークを張りめぐらし、家電機器間で通信サービスを提供する機運も高まっている。しかし、これらのネットワークの拡大に伴い、なりすまし等による不正侵入などの脅威も増加している。そのため、IPネットワークを介して家電機器間で通信を行うときも、不正侵入などの脅威に対処しなくてはならない。   In recent years, the IP (Internet Protocol) network centering on the Internet has rapidly expanded, and various home appliances such as AV devices, surveillance cameras, and IP telephones tend to be connected to the IP network in addition to PCs. In addition, there is an increasing momentum for providing communication services between home appliances by setting up an IP network in the home. However, with the expansion of these networks, threats such as unauthorized intrusion due to impersonation and the like are also increasing. Therefore, when communicating between home appliances via an IP network, it is necessary to deal with threats such as unauthorized intrusion.

これらの脅威からネットワークを保護するためのセキュリティ技術の一つとして、通信相手の機器が正当な機器であることを確認する機器認証が用いられている。機器認証とは、互いの機器同士のみが知る共通の情報(以下、共通情報と記す)の存在を、通信を行う機器同士が確認することで行われることが多い。複数の通信機器で構成されるネットワークに関して、既に各通信機器間で機器認証を用いた認証関係が成立している独立した二つのネットワークを一つのネットワークに統合する場合、統合に際し新たに認証関係が成立する通信機器間において秘密裏に共通情報を設定する必要がある。従来、この様な共通情報は、通信機器毎に利用者が手入力することになっており、これがネットワーク統合時の作業を煩雑にしていた。特に通信機器の台数が多い場合には、共通情報を設定する作業がさらに繁雑となっていた。   As one of security technologies for protecting a network from these threats, device authentication for confirming that a communication partner device is a valid device is used. Device authentication is often performed by devices that communicate with each other to confirm the presence of common information known only by the devices (hereinafter referred to as common information). For a network consisting of multiple communication devices, when two independent networks that have already established an authentication relationship using device authentication between each communication device are integrated into one network, a new authentication relationship will be created at the time of integration. It is necessary to secretly set common information between established communication devices. Conventionally, such common information is manually input by the user for each communication device, which complicates the work during network integration. In particular, when the number of communication devices is large, the work of setting common information has become more complicated.

ネットワーク統合の際、手入力によらないで共通情報を設定するシステムとしては、従来、各ネットワークが備える認証サーバ同士が共通情報(秘密鍵)を交換するシステムが開示されている(例えば、特許文献1)。図24は、従来の認証サーバ同士が秘密鍵の交換を行う認証システムの一例を示す図である。図24において、認証サーバ1007及び認証サーバ1008は、互いに接続されることで1つのネットワークを形成し、通信機器1001〜1004の秘密鍵を共同で管理している。このネットワークに、通信機器1005及び通信機器1006の秘密鍵を管理する認証サーバ1009(認証サーバ1009のネットワーク)を新たに接続(統合)したとする。   As a system for setting common information without manual input at the time of network integration, a system in which authentication servers included in each network exchange common information (secret key) has been disclosed (for example, Patent Literature) 1). FIG. 24 is a diagram illustrating an example of an authentication system in which secret keys are exchanged between conventional authentication servers. In FIG. 24, an authentication server 1007 and an authentication server 1008 are connected to each other to form one network, and jointly manage the secret keys of the communication devices 1001 to 1004. Assume that an authentication server 1009 (network of the authentication server 1009) that manages the secret keys of the communication device 1005 and the communication device 1006 is newly connected (integrated) to this network.

この場合、認証サーバ1007あるいは認証サーバ1008は、新たな認証サーバ1009の接続を検知し、認証サーバ1009に対して自身のアドレスを通知する。認証サーバ1009は、通知されたアドレスを互いに連携する認証サーバのアドレスとして記憶する。この作業を経て認証サーバ1009は、統合後のネットワークにおいて互いに連携して認証を行う認証サーバ群の一員となる。その後、認証サーバ1007〜1009は、各認証サーバが持つ秘密鍵が同じ内容になるように各認証サーバ間で秘密鍵を交換する。すなわち、認証サーバ1007〜1009は、統合後のネットワークに所属する全ての通信機器(この例では、通信機器1001〜1006)の秘密鍵を記憶することになる。これにより、例えば、認証サーバ1009に接続されている通信機器1006は、認証サーバ1007に接続されている通信機器1002と秘密鍵を用いた認証を行うことができるようになる。
特開2003−337801号公報 In this case, the authentication server 1007 or the authentication server 1008 detects the connection of the new authentication server 1009 and notifies the authentication server 1009 of its own address. The authentication server 1009 stores the notified address as the address of the authentication server that cooperates with each other. Through this work, the authentication server 1009 becomes a member of an authentication server group that performs authentication in cooperation with each other in the integrated network. Thereafter, the authentication servers 1007 to 1009 exchange secret keys between the authentication servers so that the secret keys of the authentication servers have the same contents. That is, the authentication servers 1007 to 1009 store the secret keys of all the communication devices (in this example, the communication devices 1001 to 1006) belonging to the network after integration. Thereby, for example, the communication device 1006 connected to the authentication server 1009 can perform authentication using the secret key with the communication device 1002 connected to the authentication server 1007.
JP 2003-337801 A

しかしながら、従来の認証システムにおいては、所属する通信機器の秘密鍵を管理する認証サーバをネットワーク上に設置しなければならず、認証サーバを設置するコストや認証サーバを管理するのに専門の知識等が必要である。そのため、従来の認証システムは、宅内ネットワーク等の比較的規模の小さなネットワークに導入するには向かない。   However, in the conventional authentication system, an authentication server that manages the secret key of the communication device to which it belongs must be installed on the network, and the cost of installing the authentication server, specialized knowledge to manage the authentication server, etc. is required. Therefore, the conventional authentication system is not suitable for introduction into a relatively small network such as a home network.

それ故に、本発明の目的は、ネットワーク同士を統合する際に、認証サーバ等の専用の機器を導入することなく、共通情報等の認証に必要な情報の設定を自動的に行う通信機器、及び通信機器から構成される通信システムを提供することである。   Therefore, an object of the present invention is to automatically set the information necessary for authentication such as common information without introducing a dedicated device such as an authentication server when integrating networks, and It is providing the communication system comprised from a communication apparatus.

本発明は、ネットワークの統合によって、相手ネットワークを構成する他の通信機器と新たに認証関係を成立させる通信機器に向けられている。そして上記目的を達成するために、本発明の通信機器は、記憶部、設定部、送信部、受信部及び制御部を備える。記憶部は、自ネットワーク上で認証関係にある他の通信機器との認証に必要な共通情報と、機器固有の識別情報とを対応付けて記憶する。設定部には、相手ネットワークの代表機器との認証に必要な新たな共通情報が入力される。送信部は、記憶部に記憶されている共通情報と識別情報とを代表機器に送信する。受信部は、代表機器から相手ネットワークを構成する他の通信機器との認証に必要な共通情報と、共通情報に対応した機器固有の識別情報とを受信する。制御部は、新たな共通情報と受信部で受信された共通情報及び識別情報とを、記憶部に記憶すると共に、自ネットワークを構成する他の通信機器に送信する。   The present invention is directed to a communication device that newly establishes an authentication relationship with another communication device that constitutes a counterpart network by network integration. And in order to achieve the said objective, the communication apparatus of this invention is provided with a memory | storage part, a setting part, a transmission part, a receiving part, and a control part. The storage unit stores common information necessary for authentication with other communication devices having an authentication relationship on the own network and device-specific identification information in association with each other. New common information necessary for authentication with the representative device of the partner network is input to the setting unit. The transmission unit transmits the common information and identification information stored in the storage unit to the representative device. The receiving unit receives, from the representative device, common information necessary for authentication with other communication devices constituting the counterpart network and device-specific identification information corresponding to the common information. The control unit stores the new common information and the common information and identification information received by the reception unit in the storage unit and transmits them to other communication devices that constitute the network.

また、記憶部が記憶する共通情報は、他の通信機器に認証を要求する際に用いる要求共通情報と、他の通信機器からの認証要求を確認する際に用いる確認共通情報とで構成されてもよい。   Further, the common information stored in the storage unit includes request common information used when requesting authentication from another communication device and confirmation common information used when confirming an authentication request from another communication device. Also good.

好ましくは、記憶部は、共通情報に対応する新規フラグを記憶する領域を有する。制御部は、新たな共通情報と受信部で受信された共通情報及び識別情報とを記憶部に記憶する際に新規フラグを設定することができる。   Preferably, the storage unit has an area for storing a new flag corresponding to the common information. The control unit can set a new flag when storing the new common information and the common information and identification information received by the receiving unit in the storage unit.

また、設定部には、ネットワークを分割する指示が入力される場合がある。その場合、 制御部は、設定部を介して受信するネットワーク分割指示に応じて、ネットワークを構成する他の通信機器に対して、新規フラグが設定されている共通情報及び識別情報を記憶部から削除するよう指示すると共に、自身の記憶部から新規フラグが設定されている共通情報及び識別情報を削除する。   In addition, an instruction to divide the network may be input to the setting unit. In that case, the control unit deletes, from the storage unit, the common information and the identification information for which the new flag is set for other communication devices configuring the network in response to the network division instruction received via the setting unit. And deletes the common information and the identification information for which the new flag is set from its own storage unit.

好ましくは、制御部は、受信部を介してネットワークを分割する指示を受信すると、記憶部から新規フラグが設定されている共通情報及び識別情報を削除する。   Preferably, when the control unit receives an instruction to divide the network via the receiving unit, the control unit deletes the common information and the identification information for which the new flag is set from the storage unit.

上述した通信機器の記憶部、設定部、送信部、受信部及び制御部が行うそれぞれの処理は、一連の処理手順を与える相手ネットワークを構成する他の通信機器と新たに認証関係を成立させる方法としても捉えることができる。すなわち、相手ネットワークの代表機器との認証に必要な新たな共通情報が入力し、予め記憶されている自ネットワークを構成する他の通信機器との認証に必要な共通情報と機器固有の識別情報とを代表機器に送信し、代表機器から相手ネットワークを構成する他の通信機器との認証に必要な共通情報と共通情報に対応した機器固有の識別情報とを受信し、新たな共通情報と受信した共通情報及び識別情報とを記憶し、新たな共通情報と受信された共通情報及び識別情報とを自ネットワークを構成する他の通信機器に送信する方法である。   Each process performed by the storage unit, the setting unit, the transmission unit, the reception unit, and the control unit of the communication device described above is a method for newly establishing an authentication relationship with another communication device that constitutes a counterpart network that provides a series of processing procedures. Can also be understood. That is, new common information necessary for authentication with the representative device of the partner network is input, and common information necessary for authentication with other communication devices constituting the own network stored in advance and device-specific identification information To the representative device, received from the representative device common information necessary for authentication with other communication devices that make up the partner network, and device-specific identification information corresponding to the common information, and received new common information and In this method, the common information and the identification information are stored, and the new common information and the received common information and the identification information are transmitted to other communication devices constituting the local network.

好ましくは、この相手ネットワークを構成する他の通信機器と新たに認証関係を成立させる方法は、一連の処理手順を通信機器に実行させるためのプログラムの形式で提供される。このプログラムは、コンピュータに読みとり可能な記憶媒体に記憶されてもよい。   Preferably, a method for newly establishing an authentication relationship with another communication device constituting the partner network is provided in the form of a program for causing the communication device to execute a series of processing procedures. This program may be stored in a computer-readable storage medium.

また、本発明は、複数の通信機器から構成される自ネットワークと相手ネットワークとの統合によって、相手ネットワークを構成する他の通信機器と新たに認証関係を成立させる通信システムにも向けられている。そして上記目的を達成するために、本発明の通信システムは、自ネットワークを構成する複数の通信機器の1つである主機器と、自ネットワークを構成する主機器以外の通信機器である副機器とから構成されている。   The present invention is also directed to a communication system in which an authentication relationship is newly established with another communication device constituting the partner network by integrating the own network composed of a plurality of communication devices and the partner network. In order to achieve the above object, a communication system according to the present invention includes a main device that is one of a plurality of communication devices constituting the own network, and a sub device that is a communication device other than the main device constituting the own network. It is composed of

主機器は、第1の記憶部、設定部、送信部、第1の受信部、及び第1の制御部を備える。第1の記憶部は、自ネットワーク上で認証関係にある他の通信機器との認証に必要な共通情報と、機器固有の識別情報とを対応付けて記憶する。設定部には、相手ネットワークの代表機器との認証に必要な新たな共通情報が入力される。送信部は、第1の記憶部に記憶されている共通情報と識別情報とを代表機器に送信する。第1の受信部は、代表機器から相手ネットワークを構成する他の通信機器との認証に必要な共通情報と、共通情報に対応する機器固有の識別情報とを受信する。第1の制御部は、新たな共通情報と第1の受信部で受信された共通情報及び識別情報とを、第1の記憶部に記憶すると共に、自ネットワークを構成する他の通信機器に送信する。   The main device includes a first storage unit, a setting unit, a transmission unit, a first reception unit, and a first control unit. The first storage unit stores common information necessary for authentication with other communication devices having an authentication relationship on the own network and device-specific identification information in association with each other. New common information necessary for authentication with the representative device of the partner network is input to the setting unit. The transmission unit transmits the common information and identification information stored in the first storage unit to the representative device. The first receiving unit receives, from the representative device, common information necessary for authentication with other communication devices constituting the partner network and device-specific identification information corresponding to the common information. The first control unit stores the new common information and the common information and identification information received by the first receiving unit in the first storage unit and transmits them to other communication devices constituting the own network. To do.

副機器は、第2の記憶部、第2の受信部及び第2の制御部を備える。第2の記憶部は、自ネットワーク上で認証関係にある他の通信機器との認証に必要な共通情報と、機器固有の識別情報とを対応付けて記憶する。第2の受信部は、第1の制御部によって送信された情報を受信する。第2の制御部は、第2の受信部で受信された情報を前記第2の記憶部に記憶する。   The sub device includes a second storage unit, a second reception unit, and a second control unit. The second storage unit stores common information necessary for authentication with other communication devices having an authentication relationship on the own network and device-specific identification information in association with each other. The second receiving unit receives information transmitted by the first control unit. The second control unit stores information received by the second receiving unit in the second storage unit.

以上のように、本発明によれば、ネットワーク統合の際、相手ネットワークに所属していた通信機器と新たに認証関係を成立させるために必要な情報(共通情報)を自動的に設定することができる。そのため、統合後のネットワークにおいて、手入力による共通情報の設定や、認証サーバ等の専用の機器を導入することなく、相手ネットワークに所属していた通信機器と新たに認証関係を成立させることができる。また、認証を要求する際に用いる共通情報と、認証を確認する際に用いる共通情報とを異なる情報にすることで、さらに安全性の高い機器認証を行うことができる。   As described above, according to the present invention, it is possible to automatically set information (common information) necessary for establishing a new authentication relationship with a communication device belonging to a partner network at the time of network integration. it can. Therefore, it is possible to establish a new authentication relationship with a communication device belonging to the partner network without manually setting common information or introducing a dedicated device such as an authentication server in the integrated network. . Further, by making the common information used when requesting authentication different from the common information used when confirming authentication, it is possible to perform device authentication with higher safety.

本発明が提供する通信機器を説明する前に、まず本発明の通信機器が適用されるネットワーク構成について説明する。図1は、本発明の通信機器が適用されるネットワーク構成を説明する図である。図1において、第1のネットワークは、ネットワーク接続された複数の通信機器11〜1Mによって構成される。また、第2のネットワークは、ネットワーク接続された複数の通信機器21〜2Nによって構成される。ただし、M及びNは、2以上の任意の整数である。本発明の前提として、第1のネットワーク内の通信機器11〜1Mは、同一ネットワーク内の全ての通信機器と互いに認証関係が成立しているもとする。また、第2のネットワーク内の通信機器21〜2Nについても、同一ネットワーク内において全ての通信機器と認証関係が成立しているものとする。   Before describing the communication device provided by the present invention, a network configuration to which the communication device of the present invention is applied will be described first. FIG. 1 is a diagram illustrating a network configuration to which a communication device of the present invention is applied. In FIG. 1, the first network includes a plurality of communication devices 11 to 1M connected to the network. The second network includes a plurality of communication devices 21 to 2N connected to the network. However, M and N are arbitrary integers of 2 or more. As a premise of the present invention, it is assumed that the communication devices 11 to 1M in the first network have an authentication relationship with all the communication devices in the same network. It is also assumed that the communication devices 21 to 2N in the second network have an authentication relationship with all the communication devices in the same network.

(第1の実施形態)
図2は、第1の実施形態において前提となる認証関係を説明する図である。図2(a)において、第1のネットワークは、通信機器11と通信機器12との間で、共通情報a12を用いた認証関係が既に成立しているものとする。また、第2のネットワークにおいても、通信機器21と通信機器22との間で共通情報b22を用いた認証関係が既に成立しているものとする。ここで共通情報とは、互いに機器認証を行う通信機器同士のみが知る情報である。具体的には、共通情報としては、個別のパスワードや秘密鍵などが用いられる。 (First embodiment)
FIG. 2 is a diagram for explaining an authentication relationship which is a premise in the first embodiment. In FIG. 2A, it is assumed that the first network has already established an authentication relationship using the common information a12 between the communication device 11 and the communication device 12. Also in the second network, it is assumed that an authentication relationship using the common information b22 has already been established between the communication device 21 and the communication device 22. Here, the common information is information known only to communication devices that mutually perform device authentication. Specifically, an individual password or a secret key is used as the common information.

図2(b)において、第1のネットワークは、さらに通信機器13を備える。この場合も、通信機器13は、通信機器11及び通信機器12と共通情報a13を用いた認証関係を成立させているものとする。第2のネットワークにおいても同様に、通信機器23は、通信機器21及び通信機器22と共通情報b23を用いた認証関係を成立させているものとする。
また、第1のネットワーク及び第2のネットワークが4つ以上の通信機器を備える場合も、同様に全ての通信機器間で認証関係が成立しているものとする。例えば、第1のネットワークに通信機器14が追加された場合も、通信機器14は、通信機器11〜13と共通情報a14を用いた認証関係を成立させる。なお、図2においては、第1のネットワーク及び第2のネットワークを構成する通信機器の数が同じである場合を示したが、互いのネットワークを構成する通信機器の数が異なっていてもよい。 In FIG. 2B, the first network further includes a communication device 13. Also in this case, it is assumed that the communication device 13 establishes an authentication relationship using the common information a13 with the communication device 11 and the communication device 12. Similarly, in the second network, it is assumed that the communication device 23 establishes an authentication relationship using the common information b23 with the communication device 21 and the communication device 22.
Similarly, when the first network and the second network include four or more communication devices, it is assumed that the authentication relationship is established among all the communication devices. For example, even when the communication device 14 is added to the first network, the communication device 14 establishes an authentication relationship using the common information a14 with the communication devices 11 to 13. Although FIG. 2 shows the case where the number of communication devices constituting the first network and the second network is the same, the number of communication devices constituting each other's network may be different.

図3は、第1の実施形態に係る通信機器11の構成を示す図である。図3において、通信機器11は、記憶部111、設定部112、制御部113、送受信部114、認証確認部115、及び認証要求部116を備える。記憶部111は、機器認証に用いる情報が設定される認証テーブルを記憶する。設定部112は、制御部113に各種情報を入力する。なお、具体的には、設定部112は、キーボード等の入力インタフェースである。制御部113は、通信機器が行う各種動作を制御する。送受信部114は、ネットワークを介して他の通信機器と各種情報の送受信を行う。認証確認部115は、他の通信機器から受信した認証要求に対する確認を行う。認証要求部116は、他の通信機器に対して認証を要求する。なお、通信機器12〜1M、及び通信機器21〜2Nも、通信機器11と同様の構成である。   FIG. 3 is a diagram illustrating a configuration of the communication device 11 according to the first embodiment. In FIG. 3, the communication device 11 includes a storage unit 111, a setting unit 112, a control unit 113, a transmission / reception unit 114, an authentication confirmation unit 115, and an authentication request unit 116. The storage unit 111 stores an authentication table in which information used for device authentication is set. The setting unit 112 inputs various information to the control unit 113. Specifically, the setting unit 112 is an input interface such as a keyboard. The control unit 113 controls various operations performed by the communication device. The transmission / reception unit 114 transmits / receives various information to / from other communication devices via the network. The authentication confirmation unit 115 confirms an authentication request received from another communication device. The authentication request part 116 requests | requires authentication with respect to another communication apparatus. The communication devices 12 to 1M and the communication devices 21 to 2N have the same configuration as the communication device 11.

図4は、記憶部111に記憶される認証テーブルの一例を示す図である。図4において、認証テーブルは、識別情報、共通情報及び属性情報から構成される。識別情報とは、ネットワーク上において通信機器を一意に識別するための情報である。具体的には、識別情報としては、IPアドレスやMACアドレス等の所謂ネットワークアドレスや、機器の名称や機器個別に設定された番号などが用いられる。共通情報とは、上述した通り互いに機器認証を行う通信機器同士のみが知る情報である。属性情報とは、通信機器の属性を示す情報である。通信機器の属性としては、例えば、通信機器が電子レンジであれば“調理機器”、オーディオプレイヤであれば“オーディオ機器”等が設定される。なお、属性情報は、必須の情報ではなく必要時にのみ設定することが可能である。   FIG. 4 is a diagram illustrating an example of an authentication table stored in the storage unit 111. In FIG. 4, the authentication table includes identification information, common information, and attribute information. The identification information is information for uniquely identifying a communication device on the network. Specifically, as the identification information, a so-called network address such as an IP address or a MAC address, a device name, a number set for each device, or the like is used. The common information is information that is known only to communication devices that perform mutual device authentication as described above. The attribute information is information indicating the attribute of the communication device. As the attribute of the communication device, for example, “cooking device” is set if the communication device is a microwave oven, and “audio device” is set if the communication device is an audio player. Note that the attribute information is not essential information and can be set only when necessary.

図5は、ネットワーク統合のイメージを説明する図である。図5において、第1のネットワーク及び第2のネットワークを統合する際には、それぞれのネットワークを代表する代表機器を任意に選択する。ここでは、第1のネットワークにおける代表機器として通信機器12(以下、代表機器12と記す)を、第2のネットワークにおける代表機器として通信機器22(以下、代表機器22と記す)を選択したものとする。各ネットワークの代表機器には、代表機器間で機器認証を行うときに用いられる新規の共通情報x、及び相手ネットワークの代表機器の識別情報が入力される(図6参照)。なお、以下の説明では、相手ネットワークの代表機器を特に相手代表機器と省略して記す。   FIG. 5 is a diagram for explaining an image of network integration. In FIG. 5, when integrating the first network and the second network, representative devices representing the respective networks are arbitrarily selected. Here, the communication device 12 (hereinafter referred to as representative device 12) is selected as the representative device in the first network, and the communication device 22 (hereinafter referred to as representative device 22) is selected as the representative device in the second network. To do. New common information x used when device authentication is performed between the representative devices and identification information of the representative device of the partner network are input to the representative device of each network (see FIG. 6). In the following description, the representative device of the partner network is specifically abbreviated as the partner representative device.

次に、ネットワーク統合時に各通信機器が行う動作について、図7〜11を用いて説明する。図7は、第1の実施形態に係る代表機器12のネットワーク統合時の動作を示すシーケンス図である。図8は、ネットワーク統合後の代表機器12が記憶する情報の一例を示す図である。図9は、ネットワーク統合後の代表機器22が記憶する情報の一例を示す図である。図10は、ネットワーク追加メッセージを受信した通信機器11の動作を示すシーケンス図である。図11は、ネットワーク統合後の通信機器11が記憶する情報の一例を示す図である。   Next, operations performed by each communication device during network integration will be described with reference to FIGS. FIG. 7 is a sequence diagram illustrating an operation of the representative device 12 according to the first embodiment during network integration. FIG. 8 is a diagram illustrating an example of information stored in the representative device 12 after network integration. FIG. 9 is a diagram illustrating an example of information stored in the representative device 22 after network integration. FIG. 10 is a sequence diagram illustrating the operation of the communication device 11 that has received the network addition message. FIG. 11 is a diagram illustrating an example of information stored in the communication device 11 after network integration.

図7を参照して、代表機器12には、新規の共通情報x、及び相手代表機器22の識別情報が入力される(ステップS11)。代表機器12は、新規の共通情報x、及び相手代表機器22の識別情報が入力されると、相手代表機器22を受け入れるか否かを判断する(ステップS12)。この判断は、属性情報を用いて行うことができる。例えば、代表機器12は、相手代表機器22に設定された属性情報と、自身に設定された属性情報とが同一の場合に相手代表機器22を受け入れる。なお、代表機器12は、この相手代表機器22を受け入れるか否かの判断(ステップS12)を省略できるものとする。   With reference to FIG. 7, the new common information x and the identification information of the counterpart representative device 22 are input to the representative device 12 (step S11). When the new common information x and the identification information of the counterpart representative device 22 are input, the representative device 12 determines whether to accept the counterpart representative device 22 (step S12). This determination can be made using attribute information. For example, the representative device 12 accepts the partner representative device 22 when the attribute information set in the partner representative device 22 is the same as the attribute information set in itself. It is assumed that the representative device 12 can omit the determination (step S12) as to whether or not to accept the counterpart representative device 22.

代表機器12は、相手代表機器22を受け入れると判断した場合、新規の共通情報xと相手代表機器22の識別情報とを対応させて記憶する(ステップS13)。すなわち、代表機器12が記憶する認証テーブルには、相手代表機器22の識別情報及び新規の共通情報xが追加される(図8における符号R13を参照)。一方、代表機器12は、相手代表機器22を受け入れないと判断した場合はネットワークの統合処理を終了する。   When the representative device 12 determines to accept the partner representative device 22, the representative device 12 stores the new common information x and the identification information of the partner representative device 22 in association with each other (step S13). That is, the identification information of the partner representative device 22 and the new common information x are added to the authentication table stored in the representative device 12 (see the symbol R13 in FIG. 8). On the other hand, if the representative device 12 determines that the partner representative device 22 is not accepted, the network integration process ends.

代表機器12は、自身が記憶する認証テーブル(図8)を参照して、第1のネットワークにて既に認証関係が成立している通信機器(通信機器11、13〜1M)の識別情報を“ネットワーク代表メッセージ”として、相手代表機器22に送信する(ステップS14)。また、相手代表機器22においても同様の動作を行っているため、代表機器12は、相手代表機器22から、第2のネットワークにて既に認証関係が成立している通信機器(通信機器21、23〜2N)の識別情報を、“ネットワーク代表メッセージ”として受信する(ステップS15)。   The representative device 12 refers to the authentication table stored in itself (FIG. 8), and identifies the identification information of the communication devices (communication devices 11, 13-1M) that have already established the authentication relationship in the first network. It is transmitted to the partner representative device 22 as a “network representative message” (step S14). Since the partner representative device 22 performs the same operation, the representative device 12 communicates with the communication device (communication devices 21 and 23) that has already established an authentication relationship in the second network from the partner representative device 22. ˜2N) is received as a “network representative message” (step S15).

代表機器12は、相手代表機器22から“ネットワーク代表メッセージ”を受信すると、当該メッセージによって受信した識別情報に新規の共通情報xを対応させて記憶する(ステップS16)。すなわち、代表機器12が記憶する認証テーブルには、第2のネットワークに所属する通信機器(通信機器21、23〜2N)の識別情報、及び新規の共通情報xが追加される(図8における符号R16を参照)。   Upon receiving the “network representative message” from the partner representative device 22, the representative device 12 stores the new common information x in association with the identification information received by the message (step S16). That is, identification information of communication devices (communication devices 21, 23 to 2N) belonging to the second network and new common information x are added to the authentication table stored in the representative device 12 (reference numerals in FIG. 8). See R16).

その後、代表機器12は、自身が記憶する認証テーブル(図9)を参照して、ネットワーク統合後に追加された識別情報及び共通情報(図8における符号R13及びR16を参照)を、“ネットワーク追加メッセージ”として、自ネットワークにおいて既に認証関係が成立している通信機器(通信機器11、13〜1M)に対して送信する(ステップS17)。   After that, the representative device 12 refers to the authentication table (FIG. 9) stored in itself, and uses the identification information and common information (see reference numerals R13 and R16 in FIG. 8) added after the network integration to “network addition message”. "" To the communication device (communication devices 11, 13-1M) already established in the local network (step S17).

なお、第2のネットワークにおいても、代表機器22は、上述したステップS11〜S17と同様の動作を行う。すなわち、代表機器22が記憶する識別テーブル(図9)には、第1のネットワークに所属する通信機器(通信機器11、13〜1M)の識別情報、及び新規の共通情報xが追加される(図9における破線で囲まれた情報を参照)。   Note that, also in the second network, the representative device 22 performs the same operation as in steps S11 to S17 described above. That is, the identification information stored in the representative device 22 (FIG. 9) is added with the identification information of the communication devices (communication devices 11, 13 to 1M) belonging to the first network and the new common information x ( (Refer to information surrounded by a broken line in FIG. 9).

次に、“ネットワーク追加メッセージ”を受信した通信機器11の動作について、図10を用いて説明する。図10において、通信機器11は、代表機器12から“ネットワーク追加メッセージ”を受信する(ステップS21)。通信機器11は、“ネットワーク追加メッセージ”によって通知された識別情報と新規の共通情報xとを対応させて記憶する(ステップS22)。すなわち、通信機器11が記憶する認証テーブル(図11)には、第2のネットワークに所属する通信機器(通信機器21、23〜2N)の識別情報及び新規の共通情報xが追加される(図11における破線で囲まれた情報を参照)。なお、第1のネットワークにおける通信機器13〜1M、及び第2のネットワークにおける通信機器21、23〜2Nの動作も、上述した通信機器11の動作と同様である。   Next, the operation of the communication device 11 that has received the “network addition message” will be described with reference to FIG. In FIG. 10, the communication device 11 receives a “network addition message” from the representative device 12 (step S21). The communication device 11 stores the identification information notified by the “network addition message” and the new common information x in association with each other (step S22). That is, identification information and new common information x of the communication devices (communication devices 21, 23 to 2N) belonging to the second network are added to the authentication table (FIG. 11) stored in the communication device 11 (FIG. 11). 11 (see information surrounded by a broken line in FIG. 11). The operations of the communication devices 13 to 1M in the first network and the communication devices 21 and 23 to 2N in the second network are the same as the operation of the communication device 11 described above.

上述した動作ステップにより、統合後のネットワークにおいて、第1の実施形態に係る通信機器は、相手ネットワークに所属していた通信機器と新たに認証関係を成立させることができる。図12は、第1の実施形態に係る通信機器間でネットワーク統合後に成り立つ認証関係の一例を示す図である。図12において、通信機器11〜13は、ネットワークの統合によって、それぞれ新たに通信機器21〜23と共通情報xを用いた認証関係を成立させる。なお、図12において、ネットワーク統合前から既に認証関係が成立していた通信機器間は破線の矢印で、ネットワーク統合後に新たに認証関係を成立させた通信機器間は実線の矢印で示している。   Through the operation steps described above, in the network after integration, the communication device according to the first embodiment can establish a new authentication relationship with the communication device belonging to the partner network. FIG. 12 is a diagram illustrating an example of an authentication relationship that is established after network integration between communication devices according to the first embodiment. In FIG. 12, the communication devices 11 to 13 establish a new authentication relationship using the common information x with the communication devices 21 to 23, respectively, by network integration. In FIG. 12, communication devices that have already established an authentication relationship before network integration are indicated by broken-line arrows, and communication devices that have newly established an authentication relationship after network integration are indicated by solid-line arrows.

次に、統合後のネットワークにおいて、第1の実施形態に係る通信機器が行う機器認証の詳細な動作について説明する。ここでは、通信機器12と通信機器22との間で機器認証を伴う通信サービスが行われる場合を説明する。ただし、通信機器12が認証を要求し、認証機器22がその確認を行うものとする。
通信機器12は、通信機器22との通信サービスを開始する前に、通信機器22との間で機器認証を行う。具体的には、通信機器12は、自身が記憶する認証テーブル(図8)から通信機器22に対応する共通情報を読み出し、読み出した共通情報の少なくとも1部を用いた認証鍵を元に認証情報を生成する。なお、通信機器12は、さらに通信機器22から通知されるNONCEと呼ばれる不定値を用いて認証情報を生成してもよい。この認証情報を生成する手順は、予め通信機器22との間で決められているものとする。通信機器12は、生成した認証情報を、認証要求メッセージとして通信機器22に対して送信する。 Next, detailed operation of device authentication performed by the communication device according to the first embodiment in the integrated network will be described. Here, a case where a communication service with device authentication is performed between the communication device 12 and the communication device 22 will be described. However, it is assumed that the communication device 12 requests authentication and the authentication device 22 performs confirmation.
The communication device 12 performs device authentication with the communication device 22 before starting a communication service with the communication device 22. Specifically, the communication device 12 reads the common information corresponding to the communication device 22 from the authentication table (FIG. 8) stored therein, and the authentication information based on the authentication key using at least a part of the read common information. Is generated. The communication device 12 may further generate authentication information using an indefinite value called NANCE notified from the communication device 22. It is assumed that the procedure for generating the authentication information is determined in advance with the communication device 22. The communication device 12 transmits the generated authentication information to the communication device 22 as an authentication request message.

通信機器22は、通信機器12から認証要求メッセージを受信すると、自身が記憶する認証テーブル(図9)から通信機器12に対応した共通情報を読み出し、読み出した共通情報を元に検査用の認証情報を生成する。この検査用の認証情報を生成する手順は、通信機器12が行う認証情報の作成手順と同一であり、予め通信機器12との間で決められた手順に従うものとする。通信機器22は、認証要求メッセージによって要求された認証情報と、検査用の認証情報とを比較して、一致した場合に通信機器12が正しいものと確認する。   When the communication device 22 receives the authentication request message from the communication device 12, the communication device 22 reads the common information corresponding to the communication device 12 from the authentication table (FIG. 9) stored therein, and the authentication information for inspection based on the read common information. Is generated. The procedure for generating the authentication information for inspection is the same as the procedure for creating the authentication information performed by the communication device 12, and follows a procedure determined in advance with the communication device 12. The communication device 22 compares the authentication information requested by the authentication request message with the authentication information for inspection, and confirms that the communication device 12 is correct if they match.

なお、通信機器12及び通信機器22は、如何なるメッセージを送信する際にも、相手通信機器の識別情報に対応した共通情報の少なくとも一部を元に暗号鍵を生成し、この暗号鍵を用いてメッセージを暗号化することもできるものとする。この際、メッセージの一部のみを暗号化することも可能である。   Note that the communication device 12 and the communication device 22 generate an encryption key based on at least a part of the common information corresponding to the identification information of the partner communication device when transmitting any message, and use this encryption key. It is also assumed that the message can be encrypted. At this time, it is also possible to encrypt only a part of the message.

なお、第1の実施形態に係る通信機器は、ネットワークの統合等によって新しく認証関係が成立した通信機器に関する情報を認証テーブルから自動的に削除(すなわち、ネットワークを分割)する機能を備えてもよい。この場合、記憶部が記憶する認証テーブル(図13)は、さらに新規フラグを備えるものとする。新規フラグとは、ネットワークの統合等によって、新しく認証関係が成立した通信機器に関する情報を示すフラグである。制御部は、新しく認証関係が成立した通信機器に関する共通情報を認証テーブルに追加する際に、新規フラグを“ON”に設定する。
統合後のネットワークにおいて、ネットワークを分割する指示は任意の通信機器に対して要求することができる。ここでは、ネットワークを分割する際の通信機器の動作を、通信機器11(図3参照)の構成を用いて説明する。通信機器11には、設定部112を介して、ネットワークを分割する要求(分割要求)が入力される。通信機器11は、分割要求を受けると、統合後のネットワークに接続された各通信機器に対して、分割要求メッセージを送信する。その後、通信機器11は、自身が記憶する認証テーブルから、新規フラグが“ON”になっている通信機器に関する情報を削除する。また、分割要求メッセージを受けた通信機器は、記憶部が記憶する認証テーブルから、新規フラグが“ON”になっている通信機器に関する情報を削除する。 Note that the communication device according to the first embodiment may have a function of automatically deleting, from the authentication table (that is, dividing the network), information related to a communication device that has newly established an authentication relationship by network integration or the like. . In this case, the authentication table (FIG. 13) stored in the storage unit further includes a new flag. The new flag is a flag indicating information related to a communication device in which an authentication relationship is newly established by network integration or the like. The control unit sets the new flag to “ON” when adding the common information regarding the communication device with which the authentication relationship is newly established to the authentication table.
In the network after integration, an instruction to divide the network can be requested to any communication device. Here, the operation of the communication device when the network is divided will be described using the configuration of the communication device 11 (see FIG. 3). A request for dividing the network (division request) is input to the communication device 11 via the setting unit 112. Upon receiving the division request, the communication device 11 transmits a division request message to each communication device connected to the integrated network. Thereafter, the communication device 11 deletes information related to the communication device whose new flag is “ON” from the authentication table stored by itself. In addition, the communication device that has received the division request message deletes information regarding the communication device whose new flag is “ON” from the authentication table stored in the storage unit.

以上のように、本発明の第1の実施形態に係る通信機器によれば、ネットワーク統合の際、相手ネットワークに所属していた通信機器と新たに認証関係を成立させるために必要な情報(共通情報)を自動的に設定することができる。そのため、統合後のネットワークにおいて、手入力による共通情報の設定や、認証サーバ等の専用の機器を導入することなく、相手ネットワークに所属していた通信機器と新たに認証関係を成立させることができる。   As described above, according to the communication device according to the first embodiment of the present invention, information necessary for establishing a new authentication relationship with the communication device belonging to the partner network at the time of network integration (common) Information) can be set automatically. Therefore, it is possible to establish a new authentication relationship with a communication device belonging to the partner network without manually setting common information or introducing a dedicated device such as an authentication server in the integrated network. .

(第2の実施形態)
第2の実施形態において前提となる認証関係について、図14〜図17を用いて説明する。図14は、第2の実施形態において前提となる認証関係を説明する図である。図15は、図14の通信機器11が記憶する情報の一例を示す図である。図16は、図14の通信機器12が記憶する情報の一例を示す図である。図17は、図14の通信機器13が記憶する情報の一例を示す図である。
第2の実施形態に係る通信機器は、第1の実施形態に係る通信機器が認証を要求する際に使用する共通情報(以下、要求共通情報と記す)と、認証を確認する際に使用する共通情報(以下、確認共通情報と記す)とが同じ情報であったの対して、要求共通情報と確認共通情報とに異なる情報を用いる。すなわち、第2の実施形態に係る通信機器は、要求共通情報が設定される認証要求テーブル、及び確認共通情報が設定される認証確認テーブルの両方を記憶部に記憶する(図15〜17参照)。 (Second Embodiment)
The authentication relationship which is a premise in the second embodiment will be described with reference to FIGS. FIG. 14 is a diagram for explaining an authentication relationship that is a premise in the second embodiment. FIG. 15 is a diagram illustrating an example of information stored in the communication device 11 of FIG. FIG. 16 is a diagram illustrating an example of information stored in the communication device 12 of FIG. FIG. 17 is a diagram illustrating an example of information stored in the communication device 13 of FIG.
The communication device according to the second embodiment is used when the communication device according to the first embodiment uses the common information (hereinafter referred to as request common information) used when requesting authentication and the authentication is confirmed. Whereas the common information (hereinafter referred to as confirmation common information) is the same information, different information is used for the request common information and the confirmation common information. That is, the communication device according to the second embodiment stores both the authentication request table in which the request common information is set and the authentication confirmation table in which the check common information is set in the storage unit (see FIGS. 15 to 17). .

図14において、通信機器13から通信機器11に対して認証を要求する(r11)とき、通信機器13は、自身が記憶する認証要求テーブル(図17)を参照し、通信機器11に対して設定されている共通情報a13を通信機器11に提示して認証を要求する。通信機器11は、通信機器13から共通情報a13を提示されると、自身が記憶する認証確認テーブル(図15)を参照し、通信機器13に対して設定されている共通情報a13を確認することで認証を行う。
また、通信機器13から通信機器12に対して認証を要求する(r12)ときも、通信機器13は、自身が記憶する認証要求テーブル(図17)を参照し、通信機器12に対して設定されている共通情報a13を、通信機器12に提示して認証を要求する。通信機器12は、通信機器13から共通情報a13を提示されると、自身が記憶する認証確認テーブル(図16)を参照することで認証を確認する。 In FIG. 14, when the communication device 13 requests authentication from the communication device 11 (r11), the communication device 13 refers to the authentication request table (FIG. 17) stored therein and sets the communication device 11 Presented common information a13 is presented to the communication device 11 to request authentication. When the communication device 11 is presented with the common information a13 from the communication device 13, the communication device 11 refers to the authentication confirmation table (FIG. 15) stored therein and confirms the common information a13 set for the communication device 13. Authenticate with
Further, when the communication device 13 requests authentication from the communication device 12 (r12), the communication device 13 is set for the communication device 12 with reference to the authentication request table (FIG. 17) stored therein. Common information a13 is presented to the communication device 12 to request authentication. When the common information a13 is presented from the communication device 13, the communication device 12 confirms the authentication by referring to the authentication confirmation table (FIG. 16) stored therein.

次に、第2の実施形態において、ネットワーク統合時の各通信機器が行う動作について、図18〜図21を用いて説明する。
図18は、第2の実施形態に係る代表機器12のネットワーク統合時の動作を示すシーケンス図である。図19は、ネットワーク統合後の第2の実施形態に係る代表機器12が記憶する情報の一例を示す図である。図20は、ネットワーク統合後の第2の実施形態に係る代表機器22が記憶する情報の一例を示す図である。図21は、ネットワーク追加メッセージを受信した第2の実施形態に係る通信機器11の動作を示すシーケンス図である。図22は、ネットワーク統合後の第2の実施形態に係る通信機器11が記憶する情報の一例を示す図である。 Next, operations performed by each communication device during network integration in the second embodiment will be described with reference to FIGS.
FIG. 18 is a sequence diagram illustrating an operation during network integration of the representative device 12 according to the second embodiment. FIG. 19 is a diagram illustrating an example of information stored in the representative device 12 according to the second embodiment after network integration. FIG. 20 is a diagram illustrating an example of information stored in the representative device 22 according to the second embodiment after network integration. FIG. 21 is a sequence diagram illustrating an operation of the communication device 11 according to the second embodiment that has received the network addition message. FIG. 22 is a diagram illustrating an example of information stored in the communication device 11 according to the second embodiment after network integration.

図18を参照して、第2の実施形態では、ステップS11〜12までの動作は、第1の実施形態と同様である。代表機器12は、相手代表機器22を受け入れると判断すると、新規の共通情報xと相手代表機器22の識別情報とを対応させて、認証要求テーブル及び認証確認テーブルに記憶する(ステップS33)。すなわち、代表機器12が記憶する認証要求テーブル及び認証確認テーブルには、相手代表機器22の識別情報及び新規の共通情報xが追加される(図19における符号R33を参照)。一方、代表機器12は、相手代表機器22を受け入れないと判断した場合はネットワークの統合処理を終了する。   Referring to FIG. 18, in the second embodiment, the operations from step S11 to step S12 are the same as those in the first embodiment. When the representative device 12 determines to accept the partner representative device 22, the new common information x and the identification information of the partner representative device 22 are associated with each other and stored in the authentication request table and the authentication confirmation table (step S33). That is, the identification information of the partner representative device 22 and the new common information x are added to the authentication request table and the authentication confirmation table stored in the representative device 12 (see reference numeral R33 in FIG. 19). On the other hand, if the representative device 12 determines that the partner representative device 22 is not accepted, the network integration process ends.

代表機器12は、自身が記憶する認証要求テーブル(図19)を参照して、ネットワーク統合の前から認証関係が成立している通信機器(通信機器11、13〜1M)の識別情報及び共通情報を“ネットワーク代表メッセージ”として、相手代表機器機器22に送信する(ステップS34)。また、相手代表機器22においても同様の動作を行っているため、代表機器12は、相手代表機器22から、第2のネットワークにて既に認証関係が成立している通信機器(通信機器21、23〜2N)の識別情報及び共通情報を、“ネットワーク代表メッセージ”として受信する(ステップS35)。   The representative device 12 refers to the authentication request table stored in itself (FIG. 19), and the identification information and common information of the communication devices (communication devices 11, 13 to 1M) in which the authentication relationship has been established before the network integration. Is transmitted as a “network representative message” to the partner representative device 22 (step S34). Since the partner representative device 22 performs the same operation, the representative device 12 communicates with the communication device (communication devices 21 and 23) that has already established an authentication relationship in the second network from the partner representative device 22. (2N) are received as “network representative message” (step S35).

代表機器12は、相手代表機器22から“ネットワーク代表メッセージ”を受信すると、当該メッセージで受信した識別情報及び共通情報を認証確認テーブルに記憶する(ステップS36)。また、通信機器12は、当該メッセージによって受信した識別情報に、新規の共通情報xを対応させて認証要求テーブルに記憶する(ステップS37)。すなわち、通信機器12が記憶する認証要求テーブル及び認証確認テーブルには、第2のネットワークに所属する通信機器(通信機器21、23〜2N)の識別情報及び共通情報が追加される(図19における符号R36及びR37を参照)。   When the representative device 12 receives the “network representative message” from the counterpart representative device 22, the representative device 12 stores the identification information and common information received in the message in the authentication confirmation table (step S36). In addition, the communication device 12 stores the new common information x in association with the identification information received by the message in the authentication request table (step S37). That is, the identification information and common information of the communication devices (communication devices 21, 23-2N) belonging to the second network are added to the authentication request table and the authentication confirmation table stored in the communication device 12 (in FIG. 19). (See symbols R36 and R37).

その後、代表機器12は、自身が記憶する認証確認テーブル(図19)を参照して、ネットワーク統合後に追加された識別情報、及び識別情報に対応する共通情報(図19における符号R33及びR36を参照)を、“ネットワーク追加メッセージ”として、自ネットワークにおいて既に認証関係が成立している通信機器(通信機器11、13〜1M)に対して送信する(ステップS38)。   After that, the representative device 12 refers to the authentication confirmation table stored in itself (FIG. 19), identifies the identification information added after the network integration, and common information corresponding to the identification information (refer to reference numerals R33 and R36 in FIG. 19). ) Is transmitted as a “network addition message” to the communication devices (communication devices 11, 13-1M) that have already established the authentication relationship in the local network (step S38).

なお、第2のネットワークにおいても、代表機器22は、上述したステップS33〜38と同様の動作を行う。すなわち、代表機器22が記憶する認証要求テーブル及び認証確認テーブルには、第1のネットワークに所属する通信機器(例えば、通信機器11、13〜1M)の識別情報及び共通情報が追加される(図20における破線で囲まれた情報を参照)。   Note that, also in the second network, the representative device 22 performs the same operation as in steps S33 to S38 described above. That is, identification information and common information of communication devices (for example, communication devices 11 and 13 to 1M) belonging to the first network are added to the authentication request table and the authentication confirmation table stored in the representative device 22 (see FIG. 20 (see information enclosed in broken lines at 20).

次に、“ネットワーク追加メッセージ”を受信した通信機器11の動作について、図21を用いて説明する。図21において、通信機器11は、代表機器12から“ネットワーク追加メッセージ”を受信する(ステップS41)。通信機器11は、“ネットワーク追加メッセージ”によって受信した識別情報及び共通情報を認証確認テーブルに記憶する(ステップS42)。また、通信機器11は、当該メッセージによって受信した識別情報を、認証要求テーブルが既に記憶している共通情報(共通情報a12)と対応させて認証要求テーブルに記憶する(ステップS43)。すなわち、通信機器11が記憶する認証要求テーブル及び認証確認テーブルには、第2のネットワークに所属する通信機器(通信機器21、23〜2N)の識別情報及び共通情報が追加される(図22における破線で囲まれた情報を参照)。   Next, the operation of the communication device 11 that has received the “network addition message” will be described with reference to FIG. In FIG. 21, the communication device 11 receives a “network addition message” from the representative device 12 (step S41). The communication device 11 stores the identification information and common information received by the “network addition message” in the authentication confirmation table (step S42). The communication device 11 stores the identification information received by the message in the authentication request table in association with the common information (common information a12) already stored in the authentication request table (step S43). That is, identification information and common information of the communication devices (communication devices 21, 23 to 2N) belonging to the second network are added to the authentication request table and the authentication confirmation table stored in the communication device 11 (in FIG. 22). See the information enclosed in a dashed line).

上述した動作ステップにより、統合後のネットワークにおいて、第2の実施形態に係る通信機器は、相手ネットワークに所属していた通信機器と新たに認証関係を成立させることができる。図23は、第2の実施形態に係る通信機器間でネットワーク統合後に成り立つ認証関係の一例を示す図である。図23において、通信機器11〜13は、ネットワークの統合によって、それぞれ新たに通信機器21〜23と所定の共通情報を用いた認証関係を成立させる。なお、ネットワーク統合前から既に認証関係が成立していた通信機器間は破線の矢印で、ネットワーク統合後に新たに認証関係を成立させた通信機器間は実線の矢印で示している。   Through the operation steps described above, in the network after integration, the communication device according to the second embodiment can establish a new authentication relationship with the communication device belonging to the partner network. FIG. 23 is a diagram illustrating an example of an authentication relationship that is established after network integration between communication devices according to the second embodiment. In FIG. 23, the communication devices 11 to 13 establish a new authentication relationship using predetermined common information with the communication devices 21 to 23, respectively, by network integration. Communication devices that have already established an authentication relationship before network integration are indicated by broken arrows, and communication devices that have newly established an authentication relationship after network integration are indicated by solid arrows.

以上のように、本発明の第2の実施形態に係る通信機器によれば、第1の実施形態に係る通信機器と同様の効果を得ることができる。また、認証を要求する際に用いる共通情報と、認証を確認する際に用いる共通情報とを異なる情報にすることで、さらに安全性の高い機器認証を行うことができる。   As described above, according to the communication device according to the second embodiment of the present invention, the same effect as that of the communication device according to the first embodiment can be obtained. Further, by making the common information used when requesting authentication different from the common information used when confirming authentication, it is possible to perform device authentication with higher safety.

本発明の通信機器は、既に認証関係が成立しているネットワーク同士を統合すること等に適しており、特に新しく認証関係を成立させる通信機器に、機器認証で用いる共通情報を自動的に設定する場合等に有効である。   The communication device of the present invention is suitable for integrating networks that have already established an authentication relationship, and automatically sets common information used for device authentication to a communication device that establishes a new authentication relationship. It is effective in some cases.

本発明の通信機器が適用されるネットワーク構成を説明する図The figure explaining the network structure to which the communication apparatus of this invention is applied 第1の実施形態において前提となる認証関係を説明する図The figure explaining the authentication relation used as a premise in a 1st embodiment 第1の実施形態に係る通信機器11の構成を示す図The figure which shows the structure of the communication apparatus 11 which concerns on 1st Embodiment. 記憶部111に記憶される認証テーブルの一例を示す図The figure which shows an example of the authentication table memorize | stored in the memory | storage part 111. ネットワークの統合のイメージを説明する図Diagram explaining the image of network integration 第1のネットワーク及び第2のネットワークにおける各代表機器の構成を示す図The figure which shows the structure of each representative apparatus in a 1st network and a 2nd network 第1の実施形態に係る代表機器12のネットワーク統合時の動作を示すシーケンス図The sequence diagram which shows the operation | movement at the time of network integration of the representative apparatus 12 which concerns on 1st Embodiment. ネットワーク統合後の代表機器12が記憶する情報の一例を示す図The figure which shows an example of the information which the representative apparatus 12 after network integration memorize | stores ネットワーク統合後の代表機器22が記憶する情報の一例を示す図The figure which shows an example of the information which the representative apparatus 22 after network integration memorize | stores ネットワーク追加メッセージを受信した通信機器11の動作を示すシーケンス図The sequence diagram which shows operation | movement of the communication apparatus 11 which received the network addition message ネットワーク統合後の通信機器11が記憶する情報の一例を示す図The figure which shows an example of the information which the communication apparatus 11 after network integration memorize | stores 第1の実施形態に係る通信機器間でネットワーク統合後に成り立つ認証関係の一例を示す図The figure which shows an example of the authentication relationship formed after network integration between the communication apparatuses which concern on 1st Embodiment. 新規フラグを備える認証テーブルの一例を示す図The figure which shows an example of an authentication table provided with a new flag 第2の実施形態において前提となる認証関係を説明する図The figure explaining the authentication relation used as a premise in 2nd Embodiment 図14の通信機器11が記憶する情報の一例を示す図The figure which shows an example of the information which the communication apparatus 11 of FIG. 14 memorize | stores 図14の通信機器12が記憶する情報の一例を示す図The figure which shows an example of the information which the communication apparatus 12 of FIG. 14 memorize | stores 図14の通信機器13が記憶する情報の一例を示す図The figure which shows an example of the information which the communication apparatus 13 of FIG. 14 memorize | stores 第2の実施形態に係る代表機器12のネットワーク統合時の動作を示すシーケンス図The sequence diagram which shows the operation | movement at the time of network integration of the representative apparatus 12 which concerns on 2nd Embodiment ネットワーク統合後の第2の実施形態に係る代表機器12が記憶する情報の一例を示す図The figure which shows an example of the information which the representative apparatus 12 which concerns on 2nd Embodiment after network integration memorize | stores ネットワーク統合後の第2の実施形態に係る代表機器22が記憶する情報の一例を示す図The figure which shows an example of the information which the representative apparatus 22 which concerns on 2nd Embodiment after network integration memorize | stores ネットワーク追加メッセージを受信した第2の実施形態に係る通信機器11の動作を示すシーケンス図The sequence diagram which shows operation | movement of the communication apparatus 11 which concerns on 2nd Embodiment which received the network addition message. ネットワーク統合後の第2の実施形態に係る通信機器11が記憶する情報の一例を示す図The figure which shows an example of the information which the communication apparatus 11 which concerns on 2nd Embodiment after network integration memorize | stores 第2の実施形態に係る通信機器間でネットワーク統合後に成り立つ認証関係の一例を示す図The figure which shows an example of the authentication relationship formed after network integration between the communication apparatuses which concern on 2nd Embodiment. 従来の認証サーバ同士が秘密鍵の交換を行う認証システムの一例を示す図The figure which shows an example of the authentication system in which the conventional authentication servers exchange a secret key

符号の説明Explanation of symbols

11〜1M、21〜2N 通信機器
111 記憶部
112 設定部
113 制御部
114 送受信部
115 認証確認部
116 認証要求部
1001〜1006 通信機器
1007〜1009 認証サーバ


11 to 1M, 21 to 2N Communication device 111 Storage unit 112 Setting unit 113 Control unit 114 Transmission / reception unit 115 Authentication confirmation unit 116 Authentication request unit 1001 to 1006 Communication device 1007 to 1009 Authentication server


Claims (8)

ネットワークの統合によって、相手ネットワークを構成する他の通信機器と新たに認証関係を成立させる通信機器であって、
自ネットワーク上で認証関係にある他の通信機器との認証に必要な共通情報と、機器固有の識別情報とを対応付けて記憶する記憶部と、
相手ネットワークの代表機器との認証に必要な新たな共通情報が入力される設定部と、
前記記憶部に記憶されている共通情報と識別情報とを前記代表機器に送信する送信部と、
前記代表機器から相手ネットワークを構成する他の通信機器との認証に必要な共通情報と、当該共通情報に対応した機器固有の識別情報とを受信する受信部と、
前記新たな共通情報と前記受信部で受信された共通情報及び識別情報とを、前記記憶部に記憶すると共に、自ネットワークを構成する他の通信機器に送信する制御部とを備えることを特徴とする、通信機器。 A communication device that establishes an authentication relationship with another communication device constituting the partner network by integrating the network,
A storage unit that stores common information necessary for authentication with other communication devices that are in an authentication relationship on the local network and device-specific identification information in association with each other;
A setting unit for inputting new common information necessary for authentication with the representative device of the partner network;
A transmission unit that transmits the common information and identification information stored in the storage unit to the representative device;
A receiving unit that receives from the representative device common information necessary for authentication with other communication devices constituting the counterpart network, and device-specific identification information corresponding to the common information;
A control unit that stores the new common information and the common information and identification information received by the receiving unit in the storage unit and transmits them to another communication device that configures the own network. Communication equipment. 前記記憶部が記憶する共通情報は、他の通信機器に認証を要求する際に用いる要求共通情報と、他の通信機器からの認証要求を確認する際に用いる確認共通情報とで構成されることを特徴とする、請求項1に記載の通信機器。   The common information stored in the storage unit includes request common information used when requesting authentication from another communication device, and confirmation common information used when confirming an authentication request from another communication device. The communication device according to claim 1, wherein: 前記記憶部は、前記共通情報に対応する新規フラグを記憶する領域を有し、
前記制御部は、前記新たな共通情報と前記受信部で受信された共通情報及び識別情報とを前記記憶部に記憶する際に、前記新規フラグを設定することを特徴とする、請求項1又は2のいずれかに記載の通信機器。 The storage unit has an area for storing a new flag corresponding to the common information,
The control unit sets the new flag when storing the new common information and the common information and identification information received by the receiving unit in the storage unit. 2. The communication device according to any one of 2. 前記設定部には、ネットワークを分割する指示が入力され、
前記制御部は、前記設定部を介して受信するネットワーク分割指示に応じて、ネットワークを構成する他の通信機器に対して、前記新規フラグが設定されている前記共通情報及び識別情報を前記記憶部から削除するよう指示すると共に、自身の前記記憶部から前記新規フラグが設定されている前記共通情報及び識別情報を削除することを特徴とする、請求項3に記載の通信機器。 An instruction to divide the network is input to the setting unit,
In response to a network division instruction received via the setting unit, the control unit stores the common information and identification information in which the new flag is set for other communication devices configuring the network. The communication device according to claim 3, wherein the communication device instructs to delete the common information and the identification information for which the new flag is set from the storage unit of the communication device. 前記制御部は、前記受信部を介してネットワークを分割する指示を受信すると、前記記憶部から前記新規フラグが設定されている前記共通情報及び識別情報を削除することを特徴とする、請求項3に記載の通信機器。   The control unit, when receiving an instruction to divide a network through the reception unit, deletes the common information and identification information in which the new flag is set from the storage unit. The communication device described in 1. ネットワークの統合によって、相手ネットワークを構成する他の通信機器と新たに認証関係を成立させるために通信機器が行う方法であって、
相手ネットワークの代表機器との認証に必要な新たな共通情報が入力されるステップと、
予め記憶されている自ネットワークを構成する他の通信機器との認証に必要な共通情報と機器固有の識別情報とを、前記代表機器に送信するステップと、
前記代表機器から相手ネットワークを構成する他の通信機器との認証に必要な共通情報と、当該共通情報に対応した機器固有の識別情報とを受信するステップと、
前記新たな共通情報と前記受信するステップで受信された共通情報及び識別情報とを記憶するステップと、
前記新たな共通情報と前記受信するステップで受信された共通情報及び識別情報とを自ネットワークを構成する他の通信機器に送信するステップとを備えることを特徴とする、方法。 It is a method performed by a communication device in order to establish a new authentication relationship with another communication device constituting the partner network by network integration,
A step of inputting new common information necessary for authentication with the representative device of the partner network;
Transmitting pre-stored common information necessary for authentication with other communication devices constituting the own network and device-specific identification information to the representative device;
Receiving, from the representative device, common information necessary for authentication with other communication devices constituting the counterpart network, and device-specific identification information corresponding to the common information;
Storing the new common information and the common information and identification information received in the receiving step;
Transmitting the new common information and the common information and identification information received in the receiving step to another communication device constituting the local network. ネットワークの統合によって、相手ネットワークを構成する他の通信機器と新たに認証関係を成立させるために通信機器が実行するプログラムであって、
相手ネットワークの代表機器との認証に必要な新たな共通情報が入力されるステップと、
予め記憶されている自ネットワークを構成する他の通信機器との認証に必要な共通情報と機器固有の識別情報とを、前記代表機器に送信するステップと、
前記代表機器から相手ネットワークを構成する他の通信機器との認証に必要な共通情報と、当該共通情報に対応した機器固有の識別情報とを受信するステップと、
前記新たな共通情報と前記受信するステップで受信された共通情報及び識別情報とを、記憶するステップと、
前記新たな共通情報と前記受信するステップで受信された共通情報及び識別情報とを自ネットワークを構成する他の通信機器に送信するステップとを実行させるための、プログラム。 A program executed by a communication device in order to establish a new authentication relationship with another communication device constituting the partner network by network integration,
A step of inputting new common information necessary for authentication with the representative device of the partner network;
Transmitting pre-stored common information necessary for authentication with other communication devices constituting the own network and device-specific identification information to the representative device;
Receiving, from the representative device, common information necessary for authentication with other communication devices constituting the counterpart network, and device-specific identification information corresponding to the common information;
Storing the new common information and the common information and identification information received in the receiving step;
A program for executing the new common information and the step of transmitting the common information and the identification information received in the receiving step to another communication device constituting the own network. 複数の通信機器から構成される自ネットワークと相手ネットワークとの統合によって、相手ネットワークを構成する他の通信機器と新たに認証関係を成立させる通信システムであって、
自ネットワークを構成する複数の通信機器の1つである主機器は、
自ネットワーク上で認証関係にある他の通信機器との認証に必要な共通情報と、機器固有の識別情報とを対応付けて記憶する第1の記憶部と、
相手ネットワークの代表機器との認証に必要な新たな共通情報が入力される設定部と、
前記第1の記憶部に記憶されている共通情報と識別情報とを前記代表機器に送信する送信部と、
前記代表機器から相手ネットワークを構成する他の通信機器との認証に必要な共通情報と、当該共通情報に対応する機器固有の識別情報とを受信する第1の受信部と、
前記新たな共通情報と前記第1の受信部で受信された共通情報及び識別情報とを、前記第1の記憶部に記憶すると共に、自ネットワークを構成する他の通信機器に送信する第1の制御部とを備え、
自ネットワークを構成する前記主機器以外の通信機器である副機器は、
自ネットワーク上で認証関係にある他の通信機器との認証に必要な共通情報と、機器固有の識別情報とを対応付けて記憶する第2の記憶部と、
前記第1の制御部によって送信された情報を受信する第2の受信部と、
前記第2の受信部で受信された情報を前記第2の記憶部に記憶する第2の制御部とを備えることを特徴とする、通信システム。


A communication system that establishes a new authentication relationship with another communication device that constitutes the partner network by integrating the own network composed of a plurality of communication devices and the partner network,
The main device, which is one of a plurality of communication devices that make up its own network,
A first storage unit that stores common information necessary for authentication with other communication devices that are in an authentication relationship on the local network and device-specific identification information in association with each other;
A setting unit for inputting new common information necessary for authentication with the representative device of the partner network;
A transmission unit that transmits the common information and identification information stored in the first storage unit to the representative device;
A first receiving unit that receives, from the representative device, common information necessary for authentication with another communication device constituting the counterpart network, and device-specific identification information corresponding to the common information;
The new common information and the common information and identification information received by the first receiving unit are stored in the first storage unit, and are transmitted to other communication devices constituting the local network. A control unit,
A sub device that is a communication device other than the main device constituting the own network is
A second storage unit that stores common information necessary for authentication with other communication devices that are in an authentication relationship on the local network and device-specific identification information in association with each other;
A second receiver for receiving information transmitted by the first controller;
A communication system comprising: a second control unit that stores information received by the second reception unit in the second storage unit.


JP2004222574A 2004-07-29 2004-07-29 COMMUNICATION DEVICE AND COMMUNICATION SYSTEM HAVING AUTHENTICATION FUNCTION Pending JP2006042208A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004222574A JP2006042208A (en) 2004-07-29 2004-07-29 COMMUNICATION DEVICE AND COMMUNICATION SYSTEM HAVING AUTHENTICATION FUNCTION

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004222574A JP2006042208A (en) 2004-07-29 2004-07-29 COMMUNICATION DEVICE AND COMMUNICATION SYSTEM HAVING AUTHENTICATION FUNCTION

Publications (1)

Publication Number Publication Date
JP2006042208A true JP2006042208A (en) 2006-02-09

Family

ID=35906672

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004222574A Pending JP2006042208A (en) 2004-07-29 2004-07-29 COMMUNICATION DEVICE AND COMMUNICATION SYSTEM HAVING AUTHENTICATION FUNCTION

Country Status (1)

Country Link
JP (1) JP2006042208A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009278417A (en) * 2008-05-15 2009-11-26 Mega Chips Corp Communication system and communication equipment
JP2014509760A (en) * 2011-03-14 2014-04-21 クゥアルコム・インコーポレイテッド Hybrid networking master passphrase

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009278417A (en) * 2008-05-15 2009-11-26 Mega Chips Corp Communication system and communication equipment
JP2014509760A (en) * 2011-03-14 2014-04-21 クゥアルコム・インコーポレイテッド Hybrid networking master passphrase

Similar Documents

Publication Publication Date Title
US7680878B2 (en) Apparatus, method and computer software products for controlling a home terminal
JP4000111B2 (en) Communication apparatus and communication method
KR100786443B1 (en) Encryption communication method and system
US7418591B2 (en) Network configuration method and communication system and apparatus
KR101096149B1 (en) Communication system, communication terminal and communication method
US11812263B2 (en) Methods and apparatus for securely storing, using and/or updating credentials using a network device at a customer premises
KR101765917B1 (en) Method for authenticating personal network entity
US9344417B2 (en) Authentication method and system
JP2010158030A (en) Method, computer program, and apparatus for initializing secure communication among and for exclusively pairing device
WO2006134476A1 (en) Management of access control in wireless networks
WO2004105333A1 (en) Safe virtual private network
JP4762660B2 (en) Wireless LAN system, wireless LAN terminal, and initial setting method of wireless LAN terminal
US8130953B2 (en) Security protection for data communication
JP2016053967A (en) Relay device, radio communication system, and radio communication method
JP2005286783A (en) Wireless lan connection method and wireless lan client software
JP6056970B2 (en) Information processing apparatus, terminal, information processing system, and information processing method
EP1343342B1 (en) Security protection for data communication
JP2006042208A (en) COMMUNICATION DEVICE AND COMMUNICATION SYSTEM HAVING AUTHENTICATION FUNCTION
JP3851781B2 (en) Wireless communication apparatus, wireless communication system, and connection authentication method
JP5141096B2 (en) Automatic file encryption apparatus using acquired network connection information, method and program thereof
JP4073931B2 (en) Terminal, communication apparatus, communication establishment method and authentication method
JP2003296279A (en) Authentication method, and client device, server device, and program thereof
JP2006042207A (en) Communication equipment
KR100463751B1 (en) Method for generating packet-data in wireless-communication and method and apparatus for wireless-communication using that packet-data
JP4169534B2 (en) Mobile communication service system