[go: up one dir, main page]

JP2015162880A - 通信システム管理装置、情報処理端末及び通信システム - Google Patents

通信システム管理装置、情報処理端末及び通信システム Download PDF

Info

Publication number
JP2015162880A
JP2015162880A JP2014038810A JP2014038810A JP2015162880A JP 2015162880 A JP2015162880 A JP 2015162880A JP 2014038810 A JP2014038810 A JP 2014038810A JP 2014038810 A JP2014038810 A JP 2014038810A JP 2015162880 A JP2015162880 A JP 2015162880A
Authority
JP
Japan
Prior art keywords
information
node
communication system
association
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014038810A
Other languages
English (en)
Inventor
純 中嶋
Jun Nakajima
純 中嶋
健嗣 八百
Kenji Yao
健嗣 八百
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2014038810A priority Critical patent/JP2015162880A/ja
Publication of JP2015162880A publication Critical patent/JP2015162880A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 本発明によれば、無線ネットワークの各ノードの固有鍵をより安全かつ効率的に配信することができる。【解決手段】 本発明は、無線ネットワークのそれぞれに配置された通信管理装置と、ノードと、通信システム管理装置とを備える通信システムに関する。そして、通信システム管理装置は、それぞれのノードの識別情報と鍵情報を含むノード情報を管理する手段と、それぞれの上記ノードと、それぞれの上記通信管理装置との関連付けを決定する関連付け決定手段と、決定された関連付けの内容に基づいて、ノード情報管理手段で管理している鍵情報を当該鍵情報に係るノードに関連付けられた通信管理装置に配信する手段とを有することを特徴とする。【選択図】 図1

Description

この発明は、通信システム管理装置、情報処理端末及び通信システムに関し、例えば、鍵情報を配信して認証するシステムを備えた通信システムに適用し得る。
従来、暗号化が適用されたセキュアなネットワークに、センサノードのように入出力インターフェースを期待できないノードを新規追加する場合に、該ネットワークに加入するための認証情報(暗号鍵情報など)を新規ノードに設定する方法として特許文献1が開示されている。
具体的には無線ネットワークの管理端末(センサネットワークにおけるコーディネータ、無線LAN(Local Area Network)におけるアクセスポイント、特許文献1においてはAPと表記している端末。)が管理するネットワーク共通鍵を該新規ノードに設定するために、新規ノードに固有の暗号鍵を製造時に持たせておき、一方インターネットN2上の鍵管理サーバにも該ノードの固有鍵のコピーと、無線ネットワーク管理端末のネットワーク共通鍵のコピーを記憶させておき、スマートフォンなどの第3の端末から該鍵管理サーバにノードのIDと無線ネットワーク管理端末のIDを送り、該サーバはこれを受けて該ノードの鍵で暗号化したネットワーク共通鍵を該無線ネットワーク管理端末に送り、該無線ネットワーク管理端末は該ノードに該暗号化されたネットワーク共通鍵を転送し、ノードは該暗号化されたネットワーク共通鍵を受信してノード固有の暗号鍵でネットワーク共通鍵を復号化することにより該ネットワーク共通鍵を設定してネットワークに加入する。
特開2009−71707号公報
ところで、従来、TLS−PSK(IETF RFC4279:Pre−Shared Key Ciphersuites for Transport Layer Security)プロトコルを用いて無線ネットワーク管理端末とノードとがピア・ツー・ピアでの暗号通信を行う場合、TLS−PSKのハンドシェイク(以下、TLS−PSKハンドシェイクと呼ぶ)を行う前に、ノードごとに固有の事前共有鍵(PreShared Key:PSK)と呼ばれる共通鍵情報を、無線ネットワーク管理端末とノードとの間で事前共有する必要がある。
事前共有方法の1つとして、無線ネットワーク管理端末が各ノードの事前共通鍵を任意に決めてノードの側にインストールする方法がある。このような事前共有鍵に関する従来技術についても特許文献1に記載されている。
一方、製造時にノードに固有の鍵情報をインストールし、そのコピーを無線ネットワーク管理端末に配信する方法が考えられる。この方法では特許文献1をそのまま適用することは難しいが、こちらの方が事前共有時にノードが通信を行う必要が無いというメリットがある。
ただしこの方法を適用する場合、ノードが接続する無線ネットワーク管理端末を切り替える場合に、ノードの固有鍵を更新しなければ、切り替え前の無線ネットワーク管理端末が、切り替え先の無線ネットワーク管理端末とノードとの間でやりとりする暗号文を解読できることを考慮しなければならない。
上述のような問題点に鑑みて無線ネットワークの各ノードの固有鍵をより安全かつ効率的に配信することができる通信システム管理装置、情報処理端末及び通信システムが望まれている。
第1の本発明は、通信管理装置が配置された1又は複数の無線ネットワークを管理する通信システム管理装置において、(1)それぞれの上記ノードの識別情報と鍵情報を含むノード情報を管理するノード情報管理手段と、(2)それぞれの上記ノードと、それぞれの上記通信管理装置との関連付けを決定する関連付け決定手段と、(3)上記関連付け決定手段で決定された関連付けの内容に基づいて、上記ノード情報管理手段で管理している鍵情報を当該鍵情報に係るノードに関連付けられた上記通信管理装置に配信する鍵配信手段とを有することを特徴とする。
第2の本発明は、1又は複数の無線ネットワークのそれぞれに配置された通信管理装置と、上記無線ネットワークに接続する1又は複数のノードと、通信システム管理装置とを備える通信システムにおいて、上記通信システム管理装置として第1の本発明の通信システム管理装置を適用したことを特徴とする。
第3の本発明の情報処理端末は、(1)ユーザ又は無線ネットワークに配置された無線ネットワーク管理端末と、上記無線ネットワークに接続するノードとを関連づける関連付け情報を生成する関連付け情報生成手段と、(2)第1の本発明の通信システム管理装置に、上記関連付け情報生成手段が生成した関連付け情報を送信する関連付け情報送信手段とを有することを特徴とする。
本発明によれば、無線ネットワークの各ノードの固有鍵をより安全かつ効率的に配信することができる。
実施形態に係る通信システムの動作について示したシーケンス図である。 実施形態に係る通信システムの全体構成について示したブロック図である。 実施形態に係る通信システムを構成する無線ノードの機能的構成について示したブロック図である。 実施形態に係る通信システムを構成する無線NW管理端末の機能的構成について示したブロック図である。 実施形態に係る通信システムを構成するセンターサーバの機能的構成について示したブロック図である。 実施形態に係る通信システムを構成する関連付け端末の機能的構成について示したブロック図である。 実施形態に係るセンターサーバで管理されるノードテーブルの構成例について示した説明図である。 実施形態に係るセンターサーバで管理される無線ネットワーク管理端末テーブルの構成例について示した説明図である。 実施形態に係るセンターサーバで管理されるユーザテーブルの構成例について示した説明図である。 実施形態に係る無線ノードの動作について示したフローチャートである 実施形態に係るセンターサーバの動作について示したフローチャートである。
(A)主たる実施形態
以下、本発明による通信システム管理装置、情報処理端末及び通信システムの一実施形態を、図面を参照しながら詳述する。以下では、本発明のシステム管理装置及び情報処理端末を、センターサーバ及び関連付け端末に適用する例について説明する。
(A−1)実施形態の構成
図2は、この実施形態の通信システム1の全体構成について示したブロック図である。
通信システム1には、複数の無線ネットワークN1と、インターネットN2が配置されている。
各無線ネットワークN1には、1又は複数のノード100と、当該無線ネットワークN1でのノード100の接続等を管理する装置(コーディネータ)として無線NW管理端末200が配置されている。なお、通信システム1内での無線ネットワークN1の数及びノード100の数は限定されないものである。
そして、各無線NW管理端末200は、インターネットN2にも接続されている。また、インターネットN2には、1又は複数の関連付け端末400も接続されている。なお、関連付け端末400の数は限定されていないものである。
ここでは、無線NW管理端末200が各無線ネットワークN1におけるアクセスポイントとして機能するものとして説明するが、別途アクセスポイントとなる通信装置を配置し、無線NW管理端末200が各ノード100の管理(認証等)を行うようにしてもよい。
センターサーバ300はデータベースを保持しており、該データベースでは無線ノード100と無線NW管理端末200およびユーザの各種情報を管理している。センターサーバ300が保持するデータベースの具体的な構成については後述する。また、センターサーバ300は、無線NW管理端末200に各ノード100の鍵を配信する機能を担っている。
関連付け端末400は、センターサーバ300に関連付ける無線NW管理端末200とノード100の情報を通知するためのユーザーインタフェースとなる端末である。関連付け端末400としては、例えば、インターネットN2に接続されたスマートフォンやタブレット端末を適用することができる。
次に、図3を用いて、各ノード100の構成について説明する。各ノード100で異なる構成としてもよいが、ここでは、全てのノード100は図3のブロック図で示すことができる構成であるものとして説明する。
ノード100は、無線通信部101、接続先決定部102、接続先候補保持部103、TLS−PSKハンドシェイク部104、PSK保持部105、PSK更新部106、PSK更新鍵保持部107、及びPSK更新制御部108を有している。なお、各ノード100は、例えば、無線通信可能なコンピュータを備える装置に図3に示す各構成要素に対応するプログラム(実施形態の無線通信プログラムを含む)をインストールすることにより実現するようにしてもよい。
無線通信部101は、無線ネットワークN1にアクセスするための通信インターフェースである。
接続先決定部102は接続先となるネットワークが複数ある場合に、その中から接続先を任意に選択するものである。ただし接続先決定部102では、その選択方法については限定されないものである。
接続先候補保持部103は複数の無線ネットワークN1を検知した場合にその情報を一時的に記憶するものである。ただし、接続先候補保持部103は認証に失敗した無線ネットワークN1については候補から外す。
TLS−PSKハンドシェイク部104は、無線ネットワーク管理端末とTLS−PSKハンドシェイクを行うことにより、暗号通信路を確立する。
PSK保持部105は、TLS−PSKハンドシェイクで利用する事前共有鍵(PSK)を記憶するものである。この実施形態のノード100では、その事前共有鍵(PSK)が、事前にインストール(製造時にプレインストール)されているものとし、そのコピーがセンターサーバ300のデータベースにも保持されているものとする。
PSK更新部106は事前共有鍵(PSK)を更新するものである。
PSK更新部106が行う更新方法(事前共有鍵の更新方法)は必ずしも1通りではない。この実施形態のPSK更新部106は、鍵更新鍵を用い、現在の事前共有鍵情報と、当該鍵更新鍵とを鍵付ハッシュ関数の入力とし、その出力された情報を更新された事前共有鍵として取得するものとする。鍵付ハッシュ関数は、たとえばIETF RFC2104において定義されているHMAC(Keyed―Hashing for Message Authentication)関数を利用することができる。
PSK更新鍵保持部107は、PSK更新部106が取得した鍵更新鍵を記憶するものである。
PSK更新制御部108はPSK更新部106を動作させるタイミングを制御するものである。この実施形態において、PSK更新制御部108が、鍵更新を行うタイミングを、新しい無線ネットワークN1に接続するときとして説明するが、鍵更新のタイミングについては限定されないものである。
次に、図4を用いて無線NW管理端末200の構成について説明する。
無線NW管理端末200は、無線通信部201、TLS−PSKハンドシェイク部202、PSK保持部203、インターネット通信部204、及びネットワーク管理部205を有している。なお、無線NW管理端末200は、例えば、無線通信可能なコンピュータを備える装置に、図4に示す各構成要素に対応するプログラム(実施形態の通信管理プログラムを含む)をインストールすることにより実現するようにしてもよい。
無線通信部201は、無線ネットワークN1のノードと通信するための通信インターフェースである。
TLS−PSKハンドシェイク部202は、ノード100とTLS−PSKハンドシェイクを行うことにより、暗号通信路を確立するものである。
PSK保持部203は、配下の各ノード100の事前共有鍵情報を記憶するものである。
インターネット通信部204はインターネットN2にアクセスするためのインターフェースであり、センターサーバ300と通信するため等に利用される。この実施形態では、無線NW管理端末200がセンターサーバ300と行う通信はすべて暗号化されているものとする。無線NW管理端末200とセンターサーバ300との間の暗号化通信路の確立手段としては、例えば、SSL(Secure Socket Layer)やIPSec等の種々の手段を適用することができる。
ネットワーク管理部205は、無線ネットワークN1のコーディネータ機能を実装した部分である。この実施形態では、ネットワーク管理部205は、TLS−PSKによる暗号通信路を確立できたノード100を、無線NW管理端末200による管理下のネットワークに参加するものとして扱う。
次に、図5を用いてセンターサーバ300の構成について説明する。
センターサーバ300は、インターネット通信部301、ログイン管理部302、関連付け決定部303、関連付け参照子保持部304、テーブル操作部305、データベース306、鍵配送部307、PSK更新部308、及びPSK更新制御部309を有している。なお、センターサーバ300は、例えば、ネットワーク接続可能なコンピュータを備える装置に、図5に示す各構成要素に対応するプログラム(実施形態の通信システム管理プログラムを含む)をインストールすることにより実現するようにしてもよい。
インターネット通信部301はインターネットN2にアクセスして、各無線NW管理端末及び、各関連付け端末400と通信するためのインターフェースである。
ログイン管理部302は、ユーザが関連付け端末400から送ってきたログイン情報に対してデータベース306にアクセスして、ユーザIDとパスワードの組が正しいかどうかを検証すると共に、ログイン状態を管理する。
なお、ログイン管理部302が管理するログイン方法に関しては、上述の例に限定されないものであり、種々のアカウント管理と同様の構成を適用することができる。
関連付け決定部303は関連付け端末400から、関連付け情報を受け取り、該関連付け情報を解釈して、関連付け端末400を操作するユーザと無線NW管理端末200及びノード100とを関連付けると共に、関連付け参照子保持部304に無線NW管理端末IDとノードIDとを送る。また、関連付け決定部303は、ノード100の機器IDについては鍵配送部307にも送る。関連付け情報の例としては、ノード100と無線NW管理端末200の機器IDを連結した情報が考えられるが、これ以外にユーザIDと無線NW管理端末200とが1対1に対応するならば、ユーザIDとノードIDの連結でも良い。この実施形態では、関連付け決定部303が処理する関連付け情報の構成に関して特定の構成に限定されないものである。
関連付け参照子保持部304は、関連付け決定部303から無線NW管理端末200のIDとノード100のIDとを受け取り、これをキーとしてデータベース306に対して、無線NW管理端末200のIPアドレスと、ノード100の事前共有鍵情報を問い合わせる。関連付け参照子保持部304は、問い合わせの結果を、関連付け決定部303に供給する。
テーブル操作部305はデータベース306にアクセスして、検索や情報の登録を行う。
データベース306は、ノードテーブル306aと無線ネットワーク管理端末テーブル306bと、ユーザテーブル306cを有している。
ノードテーブル306aは、図7に示すように、各ノード100について管理するためのテーブルである。図7に示すノードテーブル306aは、各ノード100について、識別子としての機器ID(ノードID)と、各ノード100にプレインストールされている事前共有鍵情報と、当該事前共有鍵情報に対応する更新鍵の情報(PSK更新鍵情報)の情報をキーとするテーブルとなっている。
なお、この実施形態では、PSK更新鍵情報については、無線ノード100とセンターサーバ300とで同じ内容が共有されているものとして説明する。
また無線ネットワーク管理端末テーブル306bは図8に示すように、各無線NW管理端末200について管理するためのテーブルである。図8に示す無線ネットワーク管理端末テーブル306bは、各無線NW管理端末200について、無線NW管理端末200の機器ID(無線NW管理端末ID)とそのグローバルIPアドレスの情報を管理するテーブルとなっている。
ユーザテーブル306cは、図9に示すように、各ユーザ(無線ノード100のユーザ)に係る情報を管理するためのテーブルである。図9に示すユーザテーブル306cは、各ユーザについて、当該ユーザのユーザID、当該ユーザIDに対応するパスワード、当該ユーザが所有する無線NW管理端末200のリスト(識別子としての機器IDのリスト)、当該ユーザが所有する無線ノード100のリスト(識別子としての機器IDのリスト)の情報を管理するテーブルとなっている。
鍵配送部307は、関連付け決定部303からノード100の機器IDを受け取ると共に、データベース306から無線NW管理端末200のIPアドレスと、ノード100の事前共有鍵情報とを受け取る。そして、鍵配送部307は、当該無線NW管理端末200のIPアドレスに対して、当該ノード100の機器ID情報と鍵情報をインターネット通信部301を介して配信する。
PSK更新部308は、各ノード100の事前共有鍵(PSK)を更新する。更新方法はノード100における事前共有鍵更新(PSK更新)と同様の手順であり、この実施形態では、例として、ノードテーブル306aからPSKとPSK更新鍵情報(鍵更新鍵情報)を読み出して鍵付ハッシュ関数を適用した結果の情報を新しい事前共有鍵情報とする。
PSK更新制御部309はPSK更新部308を動作させるタイミングを制御する。この実施形態では、PSK更新制御部309は、例として、鍵更新タイミングを、関連付けが決定したときとする。
次に、図6を用いて関連付け端末400の構成について説明する。
関連付け端末400は、インターネット通信部401、センターサーバアドレス保持部402、認証情報入力部403、機器ID取得部404、及び関連付け指定部405を有している。なお、関連付け端末400は、例えば、ネットワーク接続可能なコンピュータを備える装置(例えば、スマートホンやタブレットPC等)に、図6に示す各構成要素に対応するプログラム(実施形態の情報処理プログラムを含む)をインストールすることにより実現するようにしてもよい。
インターネット通信部401はインターネットN2にアクセスするためのインターフェースであり、センターサーバ300と通信するために利用される。この実施形態では、センターサーバ300との通信はすべて暗号化されているものとする。暗号化通信路の確立手段としては、インターネットN2において広く普及している暗号化技術であるSSLやIPSecなどを適用することができる。
センターサーバアドレス保持部402はセンターサーバ300のグローバルIPアドレスを保持するものである。
認証情報入力部403は、センターサーバ300に対してログインをするための認証情報をユーザが入力する手段であり、本実施例では特定の方法に限定することはしないが、例えば直接タッチキーから入力したりする方法が考えられる。
機器ID取得部404は、ユーザが無線NW管理端末200やノード100の機器IDを関連付け端末400に入力する手段である。例えば、機器ID取得部404は、タッチキーなどのユーザ入力インターフェースや、QRコード(登録商標)をカメラで撮像してデコードすることによる方法により、ID入力を受付けるようにしてもよい。
関連付け指定部405は、無線NW管理端末200とノード100とを関連付けることを、インターネット通信部401を介してセンターサーバ300に通知するものである。この実施形態では、関連付け指定部405は、無線NW管理端末200とノード100の各機器IDを用いて、関連付けの指定を行うものとして説明する。なお、関連付け指定部405は、機器IDについて、機器ID取得部404から入力させて取得するようにしてもよい。また、関連付け指定部405は、無線NW管理端末200の機器IDについて、例えばログインしたときにユーザが所有する無線NW管理端末200のIDをダウンロードすることによって取得しても良い。
(A−2)実施形態の動作
次に、以上のような構成を有するこの実施形態の通信システム1の動作を説明する。
図1は、通信システム1の動作について示したシーケンス図である。
ここでは、まず任意のノード100のPSK保持部105には初期に事前共有鍵(PSK)が設定されており、そのコピーがセンターサーバ300のデータベース306にも記憶されているものとする(S101)。この事前設定は例えば製造時にランダムに生成したビット列を事前共有鍵としてノード100にインストールし、そのコピーをセンターサーバ300に安全に送ることにより実現できるが、この事前設定方法だけに限定されないものである。
次に、ステップS101で初期PSKが事前設定された任意のノード100に係る情報について、センターサーバ300及び無線NW管理端末200に登録される動作(後述するステップS102〜S105)について説明する。
まず、当該ノード100のユーザが、当該ノード100を所望の無線ネットワークN1に係る無線NW管理端末200と関連付けを行うために、関連付け端末400を用いてセンターサーバ300にログインしたものとする(S102)。
ここでは、当該ユーザが、関連付け端末400(認証情報入力部403)に対してユーザIDとパスワードを入力してログインが行われるものとする。そして、関連付け端末400(インターネット通信部401)は、センターサーバアドレス保持部402に記憶されているセンターサーバ300のアドレスに対してSSL等を用いて暗号通信セッションを構築する。そして、関連付け端末400(インターネット通信部401)は、入力されたユーザIDとパスワードをセンターサーバ300に送る。そして、センターサーバ300では、送られてきたユーザIDとパスワードをログイン管理部302においてテーブル操作部305を操作してデータベース306のユーザテーブルから該当するユーザIDと対応するパスワードを読み出して照合し、一致した場合、認証成功を無線NW管理端末200に回答すると共に、当該ユーザがログインした状態となったものとして管理を行う。
そして、関連付け端末400でログインが成功し、運用担当者の操作により、無線NW管理端末200とノード100の各機器IDが、機器ID取得部404に入力され、さらに、各機器IDから関連付け情報が生成され、センターサーバ300に送信されたものとする(S103)。
そして、センターサーバ300(関連付け決定部303)は、関連付け端末400からの制御に基づいて、当該関連付け情報を解釈し、ノード100と無線NW管理端末200の各機器IDを関連付け参照子保持部304に送る。関連付け参照子保持部304はテーブル操作部305を操作して、ノード100の事前共有鍵をノードテーブル306aから、無線NW管理端末200のIPアドレスを無線ネットワーク管理端末テーブル306bからそれぞれ読み出して鍵配送部307に出力させる。
センターサーバ300では、上述のステップS102のログイン後、関連付け端末400から関連付け情報が送られてきたタイミングでPSK更新制御部309がPSK更新部308に事前共有鍵(PSK)を更新するように指示する。これにより、センターサーバ300のPSK更新部308は、テーブル操作部305を制御してデータベース306のノードテーブル306aからノードのPSK更新鍵情報を読み取って事前共有鍵(PSK)を更新する(S104)。
次に、センターサーバ300の鍵配送部307は、当該無線NW管理端末200のIPアドレスに対してインターネット通信部301を介してセキュアに接続し、ノード100の機器IDと事前共有鍵(PSK)を配信する(S105)。
以上のような動作により、それぞれの無線ノード100に係る機器IDと事前共有鍵(PSK)が、無線NW管理端末200に配信される。
次に、無線NW管理端末200に機器IDと事前共有鍵(PSK)が配信されたノード100が、無線ネットワークN1(機器IDと事前共有鍵が配信された無線NW管理端末200)に接続する際の動作(後述するステップS106〜S111)について説明する。
まず、利用者により、ノード100の電源がオンにされたものとする(S106)。
ノード100は、起動すると直ちに接続先の無線ネットワークN1の候補を探すため待機し、ビーコン(無線NW管理端末200からのビーコン)を受信したものとする(S107)。
ビーコンを受信すると、ノード100は、そのビーコンの情報(ビーコンに含まれる送信元の情報)から無線NW管理端末200に対して接続要求を送信する(S108)。
そして、無線NW管理端末200は、ノード100に対して仮の接続許可を送信する(S109)。
この接続はTLS−PSKハンドシェイクを実行するための仮の接続であり、TLS−PSKハンドシェイクが失敗した場合には、無線NW管理端末200は、強制的に当該仮の接続を切断する。
仮の接続が確立すると、ノード100(PSK更新制御部108)は、無線NW管理端末200が、前回TLS−PSKを実行した相手と違う場合に、PSK更新部106に事前共有鍵情報の更新を指示し、PSK更新部106はPSK更新鍵保持部107からPSK更新鍵情報を読み出して、事前共有鍵(PSK)を更新する(S110)。
次に、ノード100(TLS−PSKハンドシェイク部104)は、PSK保持部105に記憶されている事前共有鍵(PSK)を用いて、無線NW管理端末200と事前共有鍵を用いたTLS−PSKを実行する。無線NW管理端末200ではPSK保持郡203に記憶されている、ノード100に対応した事前共有鍵をTLS−PSKハンドシェイクの事前共有鍵としてTLS−PSKハンドシェイク部202に送り、ノード100とTLS−PSKハンドシェイクを実行することにより、TLS暗号通信セッションを確立する(S111)。
次に、図10のフローチャートを用いて、無線ノード100で電源がONになった場合の動作(上述のステップS106以後の動作)について図10のフローチャートを用いて説明する。
無線ノード100は電源ONとなり(S201)、起動後に通信部101がビーコンを受信すると、当該ビーコンの送信元(無線NW管理端末200)へ、接続要求を送信する(S202)。
そして、無線ノード100は、接続要求を送信した無線NW管理端末200からの応答を確認して(S203)、接続OKの応答があった場合後述するステップS204から動作し、そうでない場合には接続先の無線NW管理端末200を変更(他のビーコンを受信した無線NW管理端末200を選択)して上述のステップS202から動作する。
接続OKを受信すると無線ノード100は、当該接続先の無線NW管理端末200について前回と異なる無線ネットワークN1であるか否か(送信元の無線NW管理端末200の識別子が前回と異なるか否か)を確認する(S204)。すなわち、各無線ノード100では、前回接続した無線ネットワークN1(無線NW管理端末200)に対応する事前共有鍵(PSK)のバックアップを保持しているものとする。
無線ノード100は、前回と異なる無線ネットワークN1へ接続する場合には、無線NW管理端末200と事前共有鍵(PSK)の鍵更新を行うシーケンスを実行してからTLS−PSKハンドシェイクにより通信を確立する(S205、S206)。
一方、前回と同じ無線ネットワークN1へ接続する場合には、無線ノード100は、鍵更新を行わずに、現在の事前共有鍵(PSK)を用いて、ステップS206へ進み、TLS−PSKハンドシェイクにより通信を確立する。
次に、図11のフローチャートを用いて、センターサーバ300における関連付け端末400からの要求に基づいた動作を説明する。
まず、センターサーバ300が待ち状態で、関連付け端末400からログイン要求(接続要求)があり、ログイン認証が行われる(S302、S303)。センターサーバ300は、ログイン認証に失敗した場合上述のステップS301に戻って待機状態となる。
一方、ログイン認証が成功すると、センターサーバ300は、関連付け端末400から送信されるメッセージ(例えば、関連付け情報等)を受信して内容を確認し(S304)、受信メッセージが関連付け情報の場合は後述するステップS305から動作し、そうでない場合には、当該受信メッセージに対応する処理を行って(S307)、上述のステップS301の処理に戻ることになる。
関連付けメッセージを受信した場合、センターサーバ300は、当該関連付け情報に基づき、対応する無線ノード10に係る事前共有鍵(PSK)を更新して(S305)、ノードIDと共に、対応する無線NW管理端末200に送信して、処理を終了し、上述のステップS301に戻って動作する。
(A−3)実施形態の効果
この実施形態によれば、以下のような効果を奏することができる。
通信システム1では、無線ノード100と無線NW管理端末200との間で、事前共有鍵(PSK)の共有に際して、無線ノード100が通信を行うことなく事前共有鍵(PSK)を共有することができるようになる。
また、無線ノード100が接続する無線NW管理端末200(無線ネットワークN1)の切替えにあたって、事前共有鍵(PSK)をオフラインで更新することにより、ノードが通信を行うことなく、無線ネットワークN1ごとの事前共有鍵(PSK)を使用することができるようになる。
(B)他の実施形態
本発明は、上記の実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(B−1)通信システム1では、TLS−PSK以外にも、事前に鍵を共有する必要のあるプロトコルを無線ノード100の認証に適用することができる。
(B−2)上記の実施形態では、センターサーバ300は、関連付け情報を受信すると、直ちに無線NW管理端末200に対してノードID及び事前共有鍵(PSK)を配信していたが、この場合は、無線NW管理端末200がインターネットN2の通信ボートを開いておく必要があり、セキュリティ上の脆弱性を作りやすくなる。
そこで、無線NW管理端末200は、無線ノード100が、当該無線NW管理端末200に接続したタイミングで、センターサーバに接続して、このタイミングで関連付け情報に基づいて、ノードIDと事前共有鍵(PSK)を取得するようにしてもよい。
この場合、センターサーバ300側では、関連付け情報を受信した後、すぐに無線NW管理端末200に対してノードID及び事前共有鍵(PSK)を配信せずに、当該無線NW管理端末200からの要求に応じたタイミングで配信することになる。さらにこの場合、センターサーバ300において、無線NW管理端末200のIPアドレス情報を把握している必要はない。
(B−3)上記の実施形態では、センターサーバ300での事前共有鍵(PSK)の更新タイミングは、無線NW管理端末200に配信する直前(ステップS105の直前のステップS104)に行っているが、配信直後に実行(ステップS105の後にステップS104を実行)し、無線ノード100側では、無線NW管理端末200とのTLS−PSKハンドシェイクにより通信路が確立した後に鍵更新を実行(ステップS111の後にステップ110の処理を実行)するようにしてもよい。
また、センターサーバ300では任意のタイミングで鍵更新を行い、その後に、センターサーバ300から、無線NW管理端末200を介して、無線ノード100に鍵更新の命令を行い、無線ノード100側では命令を受信したタイミングで鍵更新を行うようにしてもよい。
(B−5)センターサーバ300は、無線NW管理端末200に無線ノード100の事前共有鍵(PSK)を配信するのに先立って、当該無線NW管理端末を認証しても良い。無線NW管理端末の認証方法は、特に限定されるものではないが、例えば既存のEAP−TLS等を利用することができる。
(B−6)無線NW管理端末1台について1つのユーザログイン情報を作成しても良い。この場合、関連付けられる無線NW管理端末は一意に特定されるため、関連付け情報から無線NW管理端末情報を省略することができる。また、この場合、無線NW管理端末テーブルとユーザテーブルは統合でき、例えばユーザテーブルのID情報を無線NW管理端末のIDで置き換え、所有する無線NW管理端末リストは抹消したテーブルとして統合する形態が考えられる。
1…通信システム、N1…無線ネットワーク、N2…インターネット、100…無線ノード、101…通信部、102…接続先決定部、103…接続先候補保持部、104…TLS−PSKハンドシェイク部、105…PSK保持部、106…PSK更新部、107…PSK更新鍵保持部、108…PSK更新制御部、200…無線NW管理端末、201…無線通信部、202…TLS−PSKハンドシェイク部、203…PSK保持部、204…インターネット通信部、205…ネットワーク管理部、300…センターサーバ、301…インターネット通信部、302…ログイン管理部、303…関連付け決定部、304…関連付け参照子保持部、305…テーブル操作部、306…データベース、306a…ノードテーブル、306b…無線ネットワーク管理端末テーブル、306c…ユーザテーブル、307…鍵配送部、308…PSK更新部、309…PSK更新制御部、400…関連付け端末、401…インターネット通信部、402…センターサーバアドレス保持部、403…認証情報入力部、404…機器ID取得部、405…関連付け指定部。

Claims (13)

  1. 通信管理装置が配置された1又は複数の無線ネットワークを管理する通信システム管理装置において、
    それぞれの上記ノードの識別情報と鍵情報を含むノード情報を管理するノード情報管理手段と、
    それぞれの上記ノードと、それぞれの上記通信管理装置との関連付けを決定する関連付け決定手段と、
    上記関連付け決定手段で決定された関連付けの内容に基づいて、上記ノード情報管理手段で管理している鍵情報を当該鍵情報に係るノードに関連付けられた上記通信管理装置に配信する鍵配信手段と
    を有することを特徴とする通信システム管理装置。
  2. ユーザごとに、対応するノードのノード識別子、及び対応する通信管理装置の管理装置識別子を管理するユーザ情報管理手段をさらに備え、
    上記関連付け決定手段は、上記ユーザ情報管理手段が管理する情報に基づいて、それぞれの上記ノードと、それぞれの上記通信管理装置との関連付けを決定する
    ことを特徴とする請求項1に記載の通信システム管理装置。
  3. 通信管理装置ごとに、対応するノードのノード識別子を管理する通信管理装置情報管理手段をさらに備え、
    上記関連付け決定手段は、上記通信管理装置情報管理手段が管理する情報に基づいて、それぞれ上記ノードと、当該通信管理装置との関連付けを決定する
    ことを特徴とする請求項1に記載の通信システム管理装置。
  4. 外部の情報処理端末から、ユーザ又は上記通信管理装置と、上記ノードとを関連付ける関連付け情報を取得する関連付け情報受信手段をさらに備え、
    上記ユーザ情報管理手段は、取得した関連付け情報に基づいて、管理する情報を更新する
    ことを特徴とする請求項2又は3に記載の通信システム管理装置。
  5. ユーザ又は無線ネットワークに配置された無線ネットワーク管理端末と、上記無線ネットワークに接続するノードとを関連づける関連付け情報を生成する関連付け情報生成手段と、
    請求項3に記載の通信システム管理装置に、上記関連付け情報生成手段が生成した関連付け情報を送信する関連付け情報送信手段と
    を有することを特徴とする情報処理端末。
  6. 上記関連付け情報生成手段は、ユーザからの入力操作に応じて関連付け情報を生成することを特徴とする請求項5に記載の情報処理端末。
  7. 1又は複数の無線ネットワークのそれぞれに配置された通信管理装置と、上記無線ネットワークに接続する1又は複数のノードと、通信システム管理装置とを備える通信システムにおいて、
    上記通信システム管理装置として請求項1に記載の通信システム管理装置を適用したことを特徴とする通信システム。
  8. 上記通信システム管理装置として請求項3に記載の通信システム管理装置を適用し、
    さらに、請求項5に記載の情報処理端末を有することを特徴とする通信システム。
  9. 上記通信システム管理装置は、上記ノード情報管理手段が保持する鍵情報を所定の方式で更新する鍵更新手段をさらに備え
    上記鍵配信手段は、上記鍵更新手段により更新された鍵情報を対応する上記通信管理装置に配信する
    ことを特徴とする請求項8に記載の通信システム。
  10. 上記ノードは、接続先の上記通信管理装置が切り替わった時点で、上記通信システム管理装置と同様の方式で保持している鍵情報を更新することを特徴とする請求項9に記載の通信システム。
  11. 上記通信システム管理装置は、記鍵更新手段により鍵更新が行われた場合、当該更新された鍵情報に対応する上記ノードに対して鍵更新命令を送信する命令送信手段をさらに有し、
    上記ノードは、上記通信システム管理装置から鍵更新命令を受信したタイミングで保持している鍵情報を更新する
    ことを特徴とする請求項10に記載の通信システム。
  12. 上記通信管理装置は、当該通信管理装置が管理する無線ネットワークに、上記ノードが接続したタイミングで、当該ノードの鍵情報の配信を上記通信システム管理装置に要求する鍵情報要求手段をさらに有し、
    上記通信システム管理装置は、上記通信管理装置からの要求に応じて、当該要求に対応するノードの鍵情報を、当該通信管理装置に配信する
    ことを特徴とする請求項11に記載の通信システム。
  13. 上記ノードが、接続する無線ネットワーク管理端末を第1の無線ネットワーク管理端末から第2の無線ネットワーク管理端末に変える前に、第1の無線ネットワーク管理端末と共有する事前鍵情報を保持しておき、再び第1の無線ネットワーク管理端末に接続する場合には、鍵更新を行うのではなく保持してある鍵情報を利用することを特徴とする請求項12に記載の通信システム。
JP2014038810A 2014-02-28 2014-02-28 通信システム管理装置、情報処理端末及び通信システム Pending JP2015162880A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014038810A JP2015162880A (ja) 2014-02-28 2014-02-28 通信システム管理装置、情報処理端末及び通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014038810A JP2015162880A (ja) 2014-02-28 2014-02-28 通信システム管理装置、情報処理端末及び通信システム

Publications (1)

Publication Number Publication Date
JP2015162880A true JP2015162880A (ja) 2015-09-07

Family

ID=54185679

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014038810A Pending JP2015162880A (ja) 2014-02-28 2014-02-28 通信システム管理装置、情報処理端末及び通信システム

Country Status (1)

Country Link
JP (1) JP2015162880A (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003259417A (ja) * 2002-03-06 2003-09-12 Nec Corp 無線lanシステム及びそれに用いるアクセス制御方法
JP2004214779A (ja) * 2002-12-27 2004-07-29 Nec Corp 無線通信システム、共通鍵管理サーバ、および無線端末装置
JP2005033265A (ja) * 2003-07-07 2005-02-03 Canon Inc ネットワークシステム、ネットワークシステムの接続方法、ネットワークシステムを構成する機器、それらを制御するための制御方法、及びプログラム
JP2009071707A (ja) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd 鍵共有方法、鍵配信システム
JP2010502132A (ja) * 2006-08-24 2010-01-21 クゥアルコム・インコーポレイテッド 無線通信システム用の鍵管理のためのシステムおよび方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003259417A (ja) * 2002-03-06 2003-09-12 Nec Corp 無線lanシステム及びそれに用いるアクセス制御方法
JP2004214779A (ja) * 2002-12-27 2004-07-29 Nec Corp 無線通信システム、共通鍵管理サーバ、および無線端末装置
JP2005033265A (ja) * 2003-07-07 2005-02-03 Canon Inc ネットワークシステム、ネットワークシステムの接続方法、ネットワークシステムを構成する機器、それらを制御するための制御方法、及びプログラム
JP2010502132A (ja) * 2006-08-24 2010-01-21 クゥアルコム・インコーポレイテッド 無線通信システム用の鍵管理のためのシステムおよび方法
JP2009071707A (ja) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd 鍵共有方法、鍵配信システム

Similar Documents

Publication Publication Date Title
US11863541B2 (en) System and method for end-to-end secure communication in device-to-device communication networks
US12063180B2 (en) Method and apparatus for MoCA network with protected set-up
CN107005569B (zh) 端对端服务层认证
CN103597774B (zh) 提供机器到机器服务的方法和装置
KR102318279B1 (ko) 무선 통신 시스템에서 인증 정보 송수신 방법 및 장치
US8375207B2 (en) Method and apparatus for authenticating a network device
CN104956638B (zh) 用于在热点网络中未知设备的受限证书注册
TW201919363A (zh) 量子金鑰的分發系統及其分發方法和資料處理方法
TWI778171B (zh) 待配網設備連接網路熱點設備的方法和系統
KR101528855B1 (ko) 홈 네트워크에서 인증 정보를 관리하는 방법 및 그 장치
JP4824086B2 (ja) 無線分散システムの認証方法
JP5364796B2 (ja) 暗号情報送信端末
EP2993933B1 (en) Wireless terminal configuration method, apparatus and wireless terminal
CN104683343B (zh) 一种终端快速登录WiFi热点的方法
CN108781110B (zh) 用于通过通信网络中继数据的系统和方法
CN106031120A (zh) 密钥管理
JP6329947B2 (ja) 電気通信ネットワークのネットワークノードを構成する方法、電気通信ネットワーク、プログラム、及びコンピュータプログラム
JP2016053967A (ja) 中継機、無線通信システムおよび無線通信方法
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
WO2015157947A1 (zh) 基于软件定义网络的组网方法及设备
US20230107045A1 (en) Method and system for self-onboarding of iot devices
JP2015162880A (ja) 通信システム管理装置、情報処理端末及び通信システム
CN113194471A (zh) 基于区块链网络的无线网络接入方法、装置和终端
JP6546846B2 (ja) 認証サーバ、アクセスポイント及びプログラム
JP2015177453A (ja) 認証システム、電子機器、証明書の更新方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170711

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180213