JP2011259134A - Management method of terminal equipment, terminal equipment, program and network system - Google Patents

Management method of terminal equipment, terminal equipment, program and network system Download PDF

Info

Publication number
JP2011259134A
JP2011259134A JP2010130915A JP2010130915A JP2011259134A JP 2011259134 A JP2011259134 A JP 2011259134A JP 2010130915 A JP2010130915 A JP 2010130915A JP 2010130915 A JP2010130915 A JP 2010130915A JP 2011259134 A JP2011259134 A JP 2011259134A
Authority
JP
Japan
Prior art keywords
terminal device
data
server
identifier
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010130915A
Other languages
Japanese (ja)
Other versions
JP5252591B2 (en
Inventor
Hideyuki Asada
英之 浅田
Kikuo Wada
喜久男 和田
Takashi Ito
隆司 伊藤
Tatsuya Koizumi
達也 小泉
Toyokazu Ishii
豊和 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
LETech Co Ltd
Original Assignee
NEC AccessTechnica Ltd
LETech Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC AccessTechnica Ltd, LETech Co Ltd filed Critical NEC AccessTechnica Ltd
Priority to JP2010130915A priority Critical patent/JP5252591B2/en
Publication of JP2011259134A publication Critical patent/JP2011259134A/en
Application granted granted Critical
Publication of JP5252591B2 publication Critical patent/JP5252591B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a technology by which connection of unauthorized terminal equipment can be detected regardless of a server operation state in a network system.SOLUTION: A shared data key is given to two or more pieces of authorized terminal equipment. First terminal equipment, which is authorized terminal equipment, transmits data encrypted with the data key via a network system or third terminal equipment, which is one piece of terminal equipment other than the two or more pieces of terminal equipment connected to the network system, transmits data D. When second terminal equipment, which is authorized terminal equipment, receives the encrypted data or the data D, the second terminal equipment decrypts the received data using the data key of the own storage device. Whether the third terminal equipment is authorized terminal equipment or not is determined according to the decryption result of the encrypted data.

Description

本発明はネットワークシステムにおける不正な端末機器の検出と、不正端末機器からの正規端末機器の保護に関する。   The present invention relates to detection of unauthorized terminal devices in a network system and protection of authorized terminal devices from unauthorized terminal devices.

ネットワークシステムに端末機器を不正に接続して、そのネットワークシステム内の他の端末機器やサーバに不正にアクセスすることは、情報セキュリティの観点から好ましくない。不正な端末機器がネットワークに接続された場合には、速やかに検出して適切な対処を講ずることが求められている。   It is not preferable from the viewpoint of information security to illegally connect a terminal device to a network system and to illegally access other terminal devices or servers in the network system. When an unauthorized terminal device is connected to a network, it is required to promptly detect and take appropriate measures.

従来のネットワークシステムでは、例えば、ネットワークシステム内の通信状況をサーバにて監視して不正な端末機器の存在を検出するものがある。例えば特許文献1には、予め端末に格納した端末鍵を用いて端末を認証することにより不正端末を検出する技術が開示されている。以下、本明細書ではこの種のサーバを監視サーバと呼ぶものとする。   Some conventional network systems detect, for example, the presence of unauthorized terminal devices by monitoring a communication state in the network system with a server. For example, Patent Document 1 discloses a technique for detecting an unauthorized terminal by authenticating a terminal using a terminal key stored in advance in the terminal. Hereinafter, in this specification, this type of server is referred to as a monitoring server.

こうした従来技術によれば、監視サーバにて不正端末機器の検出を行う都合上、監視サーバにて障害が発生したとき等、監視サーバにて不具合が生じたときには不正端末機器を検出することができなくなる。   According to such a conventional technique, for the purpose of detecting an unauthorized terminal device in the monitoring server, when a failure occurs in the monitoring server, such as when a failure occurs in the monitoring server, the unauthorized terminal device can be detected. Disappear.

特開2005−228299JP 2005-228299 A

監視サーバでの不具合発生に備える方法のひとつとしては、監視サーバの冗長化が考えられる。即ち、監視サーバとして通常運用サーバとバックアップサーバとを設けて、通常は通常運用サーバの監視機能のみ作動させて、バックアップサーバの監視機能は停止しておき、通常運用サーバにて不具合が生じると、通常運用サーバからバックアップサーバに監視機能を移管する。これにより、ネットワークシステム内にて監視機能が稼動していない状態が起きるのを防ぐことができる。   As one method for preparing for the occurrence of a malfunction in the monitoring server, redundancy of the monitoring server can be considered. That is, when a normal operation server and a backup server are provided as monitoring servers, only the normal operation server monitoring function is normally operated, the backup server monitoring function is stopped, and a problem occurs in the normal operation server. Transfer the monitoring function from the normal operation server to the backup server. This can prevent a situation in which the monitoring function is not operating in the network system.

しかしながら、こうした監視サーバの冗長化によれば、通常運用サーバとバックアップサーバの両方を管理する必要があり、システムの管理コストが増えるという問題がある。   However, according to such redundancy of the monitoring server, it is necessary to manage both the normal operation server and the backup server, and there is a problem that the management cost of the system increases.

また、監視サーバの冗長化によれば、通常運用サーバからバックアップサーバに監視機能を移管する間、ネットワークシステム内に監視機能は働かない。このため、機能の移管中に不正な端末機器がネットワークシステムに接続し、正規の端末機器やサーバに対して不正アクセスして、正規端末機器へのなりすまし、データの改竄、情報の漏洩等が行われることが懸念される。   Further, according to the redundancy of the monitoring server, the monitoring function does not work in the network system while the monitoring function is transferred from the normal operation server to the backup server. For this reason, unauthorized terminal devices connected to the network system during the transfer of functions, illegal access to authorized terminal devices and servers, impersonation of authorized terminal devices, data tampering, information leakage, etc. There is a concern that

本発明はこのような状況に鑑みてなされたものであり、本発明が解決しようとする課題は、ネットワークシステムにおいて、サーバの動作状況に係りなく、不正端末機器の接続を検出可能な技術を提供することである。   The present invention has been made in view of such a situation, and a problem to be solved by the present invention is to provide a technology capable of detecting connection of an unauthorized terminal device in a network system regardless of the operation status of a server. It is to be.

上述の課題を解決するため、本発明は次のような端末機器、プログラム、端末機器の管理方法を提供する。   In order to solve the above-described problems, the present invention provides the following terminal device, program, and terminal device management method.

本発明は、その一態様として、それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を記憶する記憶装置と、前記複数の端末機器の一端末機器であって、当該端末機器以外の第1の端末機器が、当該第1の端末機器の記憶装置に記憶された前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて暗号化して、前記ネットワークシステムを介して送信した暗号化データを、前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて復号する復号手段と、前記暗号化データの復号結果に応じて前記第1の端末機器が正規の端末機器であると判定する判定手段とを備えることを特徴とする端末機器を提供する。   As one aspect, the present invention includes a plurality of servers each belonging to a different hierarchy, and a first identifier for identifying servers belonging to the same hierarchy is assigned to each of the plurality of servers, In a network system in which a plurality of terminal devices are connected to each of the servers, when a seed is given in advance as a data key of the highest server, the terminal device belongs to and Data that is one encryption key generated by inputting the identifier of 1 and the data key of the server belonging to the level one higher than the server as viewed from the terminal device into a secret function to a third party A storage device for storing a key, and a terminal device of the plurality of terminal devices, wherein a first terminal device other than the terminal device stores the storage device of the first terminal device The encrypted data transmitted through the network system is generated based on the data key or the data key by encrypting using the data key stored in the network or the encryption key generated based on the data key. A terminal comprising: decryption means for decrypting using the encrypted key; and determination means for determining that the first terminal device is a legitimate terminal device in accordance with a decryption result of the encrypted data. Provide equipment.

また、本発明は、その一態様として、それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を記憶装置に記憶する記憶手順と、
前記複数の端末機器の一端末機器であって、当該端末機器以外の第1の端末機器が、当該第1の端末機器の前記記憶装置に記憶された前記データ鍵を用いて暗号化し、前記ネットワークシステムを介して送信した暗号化データを復号する第1の復号手順と、
前記暗号化データの復号結果に応じて前記第1の端末機器が正規の端末機器であると判定する第1の判定手順と、
をコンピュータに実行させるためのプログラムを提供する。 Moreover, the present invention includes, as one aspect thereof, a plurality of servers each belonging to a different hierarchy, and a first identifier for identifying each other of servers belonging to the same hierarchy is assigned to each of the plurality of servers, In a network system in which a plurality of terminal devices are connected to each lowermost server, when a seed is given in advance as a data key of the highest server, the terminal device belongs and belongs to one of the above layers And a single encryption key generated by inputting the data key of the server belonging to the level one higher than the server as viewed from the terminal device into a secret function to a third party. A storage procedure for storing a data key in a storage device;
A terminal device of the plurality of terminal devices, wherein a first terminal device other than the terminal device encrypts the data using the data key stored in the storage device of the first terminal device; A first decryption procedure for decrypting encrypted data transmitted via the system;
A first determination procedure for determining that the first terminal device is a legitimate terminal device according to a decryption result of the encrypted data;
A program for causing a computer to execute the program is provided.

また、本発明は、その一態様として、それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を、前記複数の端末機器のそれぞれの記憶装置に記憶する記憶段階と、
前記複数の端末機器のうちの一端末機器である第1の端末機器が、前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて暗号化した暗号化データを、前記ネットワークシステムを介して送信する送信段階と、
前記複数の端末機器のうちの一端末機器であって、前記第1の端末機器以外の端末機器である第2の端末機器が前記暗号化データを受信する受信段階と、
前記第2の端末機器が、自身の前記記憶装置に記憶されている前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて、前記暗号化データを復号する復号段階と、
前記暗号化データの復号結果に応じて前記第1の端末機器が正規の端末機器であると前記第2の端末機器が判定する判定段階と
を含むことを特徴とする、端末機器の管理方法を提供する。 Moreover, the present invention includes, as one aspect thereof, a plurality of servers each belonging to a different hierarchy, and a first identifier for identifying each other of servers belonging to the same hierarchy is assigned to each of the plurality of servers, In a network system in which a plurality of terminal devices are connected to each lowermost server, when a seed is given in advance as a data key of the highest server, the terminal device belongs and belongs to one of the above layers And a single encryption key generated by inputting the data key of the server belonging to the level one higher than the server as viewed from the terminal device into a secret function to a third party. A storage step of storing a data key in each storage device of the plurality of terminal devices;
A first terminal device that is one terminal device among the plurality of terminal devices uses the network system to encrypt data that is encrypted using the data key or an encryption key generated based on the data key. A transmission stage to transmit via,
A receiving step in which a second terminal device that is one terminal device of the plurality of terminal devices and is a terminal device other than the first terminal device receives the encrypted data;
A decryption step in which the second terminal device decrypts the encrypted data using the data key stored in its storage device or an encryption key generated based on the data key;
A terminal device management method comprising: a determination step in which the second terminal device determines that the first terminal device is a legitimate terminal device according to a decryption result of the encrypted data. provide.

本発明によれば、端末機器が正規のものであるか否かの判定を、その端末機器と同じデータ鍵を予め付与された別の端末機器にて行う。このため、不正端末機器を検出するための監視サーバを設けることなく、或いは設けていてもその動作状態に関係なく、不正端末機器を検出することができる。その際、バックアップ監視サーバのような追加の装置は必要ない。   According to the present invention, the determination as to whether or not the terminal device is legitimate is performed by another terminal device to which the same data key as that terminal device is assigned in advance. For this reason, it is possible to detect an unauthorized terminal device without providing a monitoring server for detecting the unauthorized terminal device, or even if it is provided, regardless of the operation state. At this time, no additional device such as a backup monitoring server is required.

本発明の一実施の形態であるネットワークシステム100のブロック図である。1 is a block diagram of a network system 100 according to an embodiment of the present invention. ネットワークシステム100のグループ1−1−4〜1−1−7に属する端末機器について説明するための図である。3 is a diagram for describing terminal devices belonging to groups 1-1-4 to 1-1-7 of the network system 100. FIG. 端末機器1−2−1〜1−2−4の構成について説明するためのブロック図である。It is a block diagram for demonstrating the structure of the terminal devices 1-2-1-1-2-4. データ鍵の生成方法について説明するための図である。It is a figure for demonstrating the generation method of a data key. 本発明の実施例1におけるネットワークシステム100の動作を説明するための図である。It is a figure for demonstrating operation | movement of the network system 100 in Example 1 of this invention. 認証部1−2−1−1の機能ブロック図である。It is a functional block diagram of the authentication part 1-2-1-1. 監視部1−2−1−2の機能ブロック図である。It is a functional block diagram of monitoring part 1-2-1-2. 本発明の実施例2におけるネットワークシステム100の動作を説明するための図である。It is a figure for demonstrating operation | movement of the network system 100 in Example 2 of this invention. 本発明の実施例3における認証部1−2−1−1の機能ブロック図である。It is a functional block diagram of the authentication part 1-2-1-1 in Example 3 of this invention. 本発明の実施例3における監視部1−2−1−2の機能ブロック図である。It is a functional block diagram of the monitoring part 1-2-1-2 in Example 3 of this invention.

本発明の一実施の形態であるネットワークシステム100について図1を参照して説明する。ネットワークシステム100はMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス等のアドレス情報によってサーバ乃至端末機器を指定してデータを送信するコンピュータネットワークである。   A network system 100 according to an embodiment of the present invention will be described with reference to FIG. The network system 100 is a computer network that transmits data by designating a server or a terminal device by address information such as a MAC (Media Access Control) address and an IP (Internet Protocol) address.

[センター][本社][支社][グループ]はそれぞれ属性を示す。これら各属性を結ぶネットワークで構成されている組織は、[センター]を先頭に[本社]、[支社]、[グループ]の属性順にピラミッド構造を成している。   [Center] [Head office] [Branch office] [Group] indicate attributes. An organization configured by a network connecting these attributes has a pyramid structure in the order of attributes of [Headquarters], [Branch offices], and [Groups] with [Center] at the top.

1−1−1はセンターサーバを示し、ネットワークで構成される組織、即ち配下にある各属性のサーバと各[グループ]に属する端末機器を管理する。1−1−2、1−1−3はそれぞれ異なる本社サーバを示し、その配下にある支社サーバと[グループ]の中にある端末機器を管理する。1−1−4〜1−1−7はそれぞれ異なる支社サーバを示し、その配下にある[グループ]に属する端末機器を管理する。1−1−8〜1−1−15はグループを示す。グループは複数の端末機器からなる。   Reference numeral 1-1-1 denotes a center server, which manages an organization configured by a network, that is, a server of each attribute under the network and terminal devices belonging to each [group]. Reference numerals 1-1-2 and 1-1-3 denote different head office servers, which manage branch office servers under the server and terminal devices in the [group]. 1-1-4 to 1-1-7 represent different branch office servers, and manage terminal devices belonging to [Group] under the server. 1-1-8 to 1-1-15 represent groups. A group consists of a plurality of terminal devices.

本社サーバ1−1−2、1−1−3にはそれぞれ属性値IDとして異なる値が付与される。本社サーバ1−1−2の属性値IDは001であり、本社サーバ1−1−3の属性値IDは002である。支社サーバ1−1−4〜1−1−7にはそれぞれ属性値IDが付与される。支社サーバ1−1−4〜1−1−7の属性値IDはそれぞれ順に001、002、001、002である。同一本社サーバの配下にある支社サーバの属性値IDはそれぞれ異なる。更に同様に、グループにはそれぞれ属性値IDが付与される。グループ1−1−8〜1−1−15の属性値IDはそれぞれ順に001、002、001、002、001、002、001、002である。同一支社サーバの配下にあるグループの属性値IDはそれぞれ異なる。属性値は第三者に知られても構わないが、秘密にすることが好ましい。 A different value is assigned to each of the head office servers 1-1-2 and 1-1-3 as the attribute value ID x . Attribute ID x headquarters server 1-1-2 is 001, the attribute value ID x headquarters server 1-1-3 is 002. An attribute value ID y is assigned to each of the branch office servers 1-1-4 to 1-1-7. The attribute values ID y of the branch office servers 1-1-4 to 1-1-7 are 001, 002, 001, and 002, respectively. The attribute values ID y of branch office servers under the same head office server are different. Further, similarly, an attribute value ID z is assigned to each group. The attribute values ID z of the groups 1-1-8 to 1-1-15 are 001, 002, 001, 002, 001, 002, 001, and 002, respectively. The attribute values ID z of the groups under the same branch server are different. The attribute value may be known to a third party, but is preferably kept secret.

このようにして定められた属性値ID、ID、IDを用いて、グループ1−1−8〜1−1−15をそれぞれ一意に表すことができる。即ち、ネットワークシステム100のグループは、それぞれ、そのグループの属性値IDと、そのグループが属する支社サーバの属性値IDと、その支社サーバが属する本社サーバの属性値IDの組である(ID,ID,ID)により一意に表すことができる。あるグループに属する端末機器の全てに対し、そのグループを示す属性値の組(ID,ID,ID)をその端末機器の属性値として付与する。例えば、グループ1−1−8に属する端末機器の属性値(ID,ID,ID)は、(001,001,001)である。また、グループ1−1−12に属する端末機器の属性値(ID,ID,ID)は、(002,001,001)である。図1において各グループの下にそのグループに属する端末機器の属性値を記す。 Using the attribute values ID x , ID y , and ID z thus determined, the groups 1-1-8 to 1-1-15 can be uniquely represented. That is, each group of the network system 100 is a set of the attribute value ID z of the group, the attribute value ID y of the branch office server to which the group belongs, and the attribute value ID x of the head office server to which the branch server belongs ( ID x , ID y , ID z ). A set of attribute values (ID x , ID y , ID z ) indicating the group is assigned to all terminal devices belonging to a certain group as attribute values of the terminal device. For example, the attribute values (ID x , ID y , ID z ) of the terminal devices belonging to the group 1-1-8 are (001, 001, 001). Further, the attribute values (ID x , ID y , ID z ) of the terminal devices belonging to the group 1-1-12 are (002, 001, 001). In FIG. 1, the attribute values of the terminal devices belonging to each group are shown below each group.

以下、図1のようなピラミッド構造において、あるサーバAの直下にサーバBがあるとき、サーバAをサーバBの親サーバと呼び、サーバBをサーバAの子サーバと呼ぶものとする。サーバBの子サーバであるサーバCはサーバAの孫サーバと呼ぶものとする。サーバB及びCはサーバAの配下にあり、サーバAはサーバB及びCの上位にあるとも記すものとする。サーバ/端末機器が互いに親‐子、祖父‐孫、曽祖父‐曾孫の関係にある場合、親族関係があると記すものとする。例えば、支社サーバ1−1−8〜1−1−15はセンターサーバ1−1−1の孫サーバである。本社サーバ1−1−2の子サーバは支社サーバ1−1−4、1−1−5である。端末機器1−2−1〜1−2−4からみたとき、支社サーバ1−1−4は親サーバ、本社サーバ1−1−2は祖父サーバ、センターサーバ1−1−1は曽祖父サーバである。端末機器1−2−1、支社サーバ1−1−4、本社サーバ1−1−2、センターサーバ1−1−1は親族関係がある。   In the following, in the pyramid structure as shown in FIG. 1, when the server B is directly under a certain server A, the server A is called a parent server of the server B, and the server B is called a child server of the server A. Server C, which is a child server of server B, is called a grandchild server of server A. It is also noted that servers B and C are under server A, and server A is above servers B and C. If the server / terminal devices are in a parent-child, grandfather-grandchild, great-grandfather-great-grandchild relationship, they shall be marked as having a kinship relationship. For example, the branch office servers 1-1-8 to 1-1-15 are grandchild servers of the center server 1-1-1. The child servers of the head office server 1-1-2 are branch office servers 1-1-4 and 1-1-5. When viewed from the terminal devices 1-2-1 to 1-2-4, the branch office server 1-1-4 is the parent server, the head office server 1-1-2 is the grandfather server, and the center server 1-1-1 is the great grandfather server. It is. The terminal device 1-2-1, the branch office server 1-1-4, the head office server 1-1-2, and the center server 1-1-1 have a kinship relationship.

図2を参照して各グループに属する、或いは、各グループを構成する端末機器について説明する。上述したように、同一のグループに属する端末機器には同一の属性値(ID,ID,ID)が付与されるが、属性値とは別に、端末機器はそれぞれ固有IDを有する。固有IDは唯一無二の識別子であり、例えばベンダー名に製造番号を連接したもの、具体的にはMAC(Media Access Control)アドレスである。図2に示すように、ネットワークシステム100では各グループに4台ずつの端末機器が属している。それぞれの端末機器の直下に丸括弧()で囲んで記したのがその端末機器の固有IDであり、文字Nと3桁の数字からなる。4つの端末機器の4つの固有IDの下には、これら端末機器の属性値が記載されている。グループ1−1−8を例に挙げると、このグループに属する4つの端末機器1−2−1、1−2−2、1−2−3、1−2−4の固有IDは、それぞれN001、N002、N003、N004であり、それぞれ異なる値であるが、これら4台の端末機器の属性値(ID,ID,ID)は(001,001,001)であり、4台とも共通である。 With reference to FIG. 2, terminal devices belonging to each group or constituting each group will be described. As described above, terminal devices belonging to the same group are assigned the same attribute values (ID x , ID y , ID z ), but each terminal device has a unique ID. The unique ID is a unique identifier, for example, a vendor name concatenated with a production number, specifically, a MAC (Media Access Control) address. As shown in FIG. 2, in the network system 100, four terminal devices belong to each group. A unique ID of the terminal device is shown in parentheses () immediately below each terminal device, and consists of a letter N and a three-digit number. Under the four unique IDs of the four terminal devices, attribute values of these terminal devices are described. Taking the group 1-1-8 as an example, the unique IDs of the four terminal devices 1-2-1, 1-2-2, 1-2-3, 1-2-4 belonging to this group are N001, respectively. , N002, N003, and N004, which are different values, but the attribute values (ID x , ID y , ID z ) of these four terminal devices are (001, 001, 001) and are common to all four devices. It is.

端末機器1−2−1〜1−2−32の構成について説明する。これら端末機器の構成は基本的に同じであり、ここでは、グループ1−1−8を構成する端末機器1−2−1〜1−2−4を例に挙げる。図3に示すように、端末機器1−2−1〜1−2−4はいずれもハブ1−4−1を介して支社サーバ1−1−4に接続されている。各端末機器は認証部と監視部とを備える。   The configuration of the terminal devices 1-2-1 to 1-232 will be described. The configuration of these terminal devices is basically the same, and here, the terminal devices 1-2-1 to 1-2-4 constituting the group 1-1-8 are taken as an example. As shown in FIG. 3, all the terminal devices 1-2-1 to 1-2-4 are connected to the branch office server 1-1-4 via a hub 1-4-1. Each terminal device includes an authentication unit and a monitoring unit.

認証部は、通信相手となるサーバを認証する。また、同一グループの他の端末機器から送信された暗号化された機器制御コマンドを復号し、機器制御部1−5−17に渡す。認証部について詳しくは図6を参照して後述する。   The authentication unit authenticates a server that is a communication partner. Also, the encrypted device control command transmitted from another terminal device in the same group is decrypted and passed to the device control unit 1-5-17. Details of the authentication unit will be described later with reference to FIG.

監視部は、同じグループに属する他の端末機器がサーバと行う通信を監視し、不正な端末機器から送信されたものであることを検出すると、同じグループに属する他の端末機器に対して、機能制御コマンドを送出する旨の指示を行う。監視部について詳しくは図7を参照して後述する。   When the monitoring unit monitors communication performed by the other terminal device belonging to the same group with the server and detects that the terminal device is transmitted from an unauthorized terminal device, the monitoring unit functions to the other terminal device belonging to the same group. An instruction to send a control command is given. Details of the monitoring unit will be described later with reference to FIG.

また、各端末機器はその端末機器の固有IDを格納する記憶装置を備える。この記憶装置は例えばネットワークインタフェースカード内蔵のフラッシュROMである。更に、その端末機器に対して予め付与された属性値(ID,ID,ID)や、後述するデータ鍵、認証鍵、送信権限テーブルを格納する記憶装置を備える。この記憶装置はコンピュータとしての端末機器の主記憶装置、補助記憶装置であり、より具体的には半導体メモリ装置、固定磁気ディスク記録装置である。例えば、端末機器1−2−1は認証部1−2−1−1、監視部1−2−1−2、固有IDとしてN001を格納する記憶装置1−2−1−3、属性値として(001、001、001)を格納し、更に、後述するデータ鍵としてdsxyz、dfxy、dc、sを格納する記憶装置1−2−1−4、送信権限テーブルを格納する記憶装置1−2−1−5を備える。尚、ここでは固有ID、属性値、データ鍵、認証鍵、送信権限テーブルを格納する記憶装置をそれぞれ別の記憶装置として説明したが、同じ記憶装置の別の記憶領域であっても構わない。端末機器1−2−1は不図示の要素として更に演算装置を備え、必要に応じてキーボード、マウス等の入力装置、ディスプレイ等の出力装置を備えることとしてもよい。端末機器1−2−2〜1−2−4も同様の構成であり、更に、他のグループ1−1−9〜1−1−15の端末機器においても同様である。 Each terminal device includes a storage device that stores a unique ID of the terminal device. This storage device is, for example, a flash ROM with a built-in network interface card. Furthermore, a storage device is provided that stores attribute values (ID x , ID y , ID z ) given in advance to the terminal device, a data key, an authentication key, and a transmission authority table to be described later. This storage device is a main storage device or auxiliary storage device of a terminal device as a computer, more specifically, a semiconductor memory device or a fixed magnetic disk recording device. For example, the terminal device 1-2-1 includes an authentication unit 1-2-1-1, a monitoring unit 1-2-1-2, a storage device 1-2-1-3 that stores N001 as a unique ID, and an attribute value (001, 001, 001) is stored, and further, a storage device 1-2-1-4 for storing ds xyz , df xy , dc x , s as data keys to be described later, and a storage device 1 for storing a transmission authority table 2-1-5. Here, the storage devices that store the unique ID, the attribute value, the data key, the authentication key, and the transmission authority table have been described as separate storage devices, but may be different storage areas of the same storage device. The terminal device 1-2-1 further includes an arithmetic device as an element (not shown), and may include an input device such as a keyboard and a mouse and an output device such as a display as necessary. The terminal devices 1-2-2 to 1-2-4 have the same configuration, and the same applies to the terminal devices of other groups 1-1-9 to 1-1-15.

データ鍵について図4を参照して説明する。データ鍵は端末機器とサーバとの間で暗号化通信を行う際に用いる共通鍵方式の暗号鍵である。   The data key will be described with reference to FIG. The data key is a common key encryption key used when performing encrypted communication between the terminal device and the server.

センターサーバ1−1−1は、配下にある各本社サーバの属性値ID、各支社サーバの属性値ID、各グループの属性値IDを予め記憶装置に格納している。各グループの端末機器の属性値は、その端末機器が属する本社サーバ、支社サーバ、グループの属性値の組であり、容易に求めることができるので、各端末機器の属性値については必要に応じて求めることとしてもよいし、予めその属するサーバの属性値から求めた上で記憶装置に格納しておいてもよい。 The center server 1-1-1 stores the attribute value ID x of each subordinate head office server, the attribute value ID y of each branch server, and the attribute value ID z of each group in a storage device in advance. The attribute value of the terminal device of each group is a set of the attribute value of the head office server, branch office server, and group to which the terminal device belongs, and can be easily obtained. It may be obtained or may be obtained in advance from the attribute value of the server to which it belongs and stored in the storage device.

本社サーバ1−1−2、1−1−3は、自身に付与された属性値IDと、その配下にある支社サーバの属性値ID、グループの属性値IDを予め記憶装置に格納している。例えば、本社サーバ1−1−2は、自身の属性値ID=001、支社サーバ1−1−4の属性値ID=001、支社サーバ1−1−5の属性値ID=002、グループ1−1−8の属性値ID=001、グループ1−1−9の属性値ID=002、グループ1−1−10の属性値ID=001、グループ1−1−11の属性値ID=002を記憶装置に格納している。 The head office servers 1-1-2 and 1-1-3 store the attribute value ID x assigned to them, the attribute value ID y of the branch server under their control, and the attribute value ID z of the group in the storage device in advance. is doing. For example, the head office server 1-1-2 has its own attribute value ID x = 001, the attribute value ID y = 001 of the branch office server 1-1-4, the attribute value ID y = 002 of the branch office server 1-1-5, Group 1-1-8 attribute value ID z = 001, Group 1-1-9 attribute value ID z = 002, Group 1-1-10 attribute value ID z = 001, Group 1-1-11 attribute The value ID z = 002 is stored in the storage device.

支社サーバ1−1−4〜1−1−7は、自身に付与された属性値IDと、その配下にあるグループの属性値IDを予め記憶装置に格納している。例えば、支社サーバ1−1−4は、自身の属性値ID=001、グループ1−1−8の属性値ID=001、グループ1−1−9の属性値ID=002を格納している。 Branch server 1-1-4~1-1-7 has an attribute value ID y assigned to itself, are stored in advance in the storage device attribute value ID z group working under the. For example, the branch server 1-1-4 stores its own attribute value ID y = 001, attribute value ID z = 001 of group 1-1-8, and attribute value ID z = 002 of group 1-1-9. ing.

このように、各サーバは、自身の属性値と、その配下にあるサーバの属性値とを記憶装置に格納している。この状態で、各サーバは、その親サーバから自身のデータ鍵を受け取り、自身のデータ鍵と子サーバの属性値とを連接したものをハッシュ演算することにより、その子サーバのデータ鍵を生成し、その子サーバと、配下にある端末機器に送信する。ハッシュ演算に用いるハッシュ関数や、ハッシュ演算の結果生成されたデータ鍵は第三者に対して特に秘密にされる。データ鍵の送信は、該当するサーバ/端末機器のみが復号可能であるような別の暗号鍵、別の暗号化技術を用いて暗号化した上で、該当するサーバ/端末機器のみを宛先として行うことが好ましい。或いは、暗号化してデータ鍵を送信する代わりに、データ鍵を記録媒体に格納して、子サーバにて読み込むこととしてもよい。   In this way, each server stores its own attribute value and the attribute values of the servers under it in the storage device. In this state, each server receives its own data key from its parent server, generates a data key of its child server by performing a hash operation on the concatenation of its own data key and the attribute value of the child server, The data is transmitted to the child server and the terminal device under its control. The hash function used for the hash calculation and the data key generated as a result of the hash calculation are particularly confidential to a third party. The data key is transmitted using another encryption key that can be decrypted only by the corresponding server / terminal device, using another encryption technology, and only the corresponding server / terminal device is used as the destination. It is preferable. Alternatively, instead of encrypting and transmitting the data key, the data key may be stored in a recording medium and read by the child server.

更に、必要に応じて或いは予め、各サーバは孫サーバのデータ鍵を生成する。即ち、生成した子サーバのデータ鍵と、ある孫サーバの属性値とを連接したものをハッシュ演算することにより、その孫サーバのデータ鍵を生成する。孫サーバのデータ鍵については子サーバが生成・送信するので送信する必要はない。本実施の形態では曾孫以下の子孫サーバは存在しないが、存在する場合は同様にして必要に応じて或いは予め求める。   Further, each server generates a grandchild data key as necessary or in advance. That is, the data key of the grandchild server is generated by performing a hash operation on the concatenation of the data key of the generated child server and the attribute value of a grandchild server. The data key of the grandchild server does not need to be transmitted because the child server generates and transmits it. In the present embodiment, there is no descendant server below the great-grandchild, but if it exists, it is obtained in the same manner as necessary or in advance.

具体的には、最初に、ネットワークシステム100の管理者が、センターサーバ1−1−1のデータ鍵即ち秘密シードsをセンターサーバ1−1−1に入力する。センターサーバ1−1−1は秘密シードsをすべての端末機器1−2−1〜1−2−32に送信する。秘密シードはその名が示すように第三者に対して秘密にされる。また、センターサーバ1−1−1は、秘密シードsと属性値ID=001とを連接したものをハッシュ演算することにより、本社サーバ1−1−2のデータ鍵dcを生成し、本社サーバ1−1−2、端末機器1−2−1〜1−2−16に送信する。同様に、センターサーバ1−1−1は、秘密シードsと属性値IDx=002とを連接したものをハッシュ演算することにより、本社サーバ1−1−3のデータ鍵dcを生成し、本社サーバ1−1−3、端末機器1−2−17〜1−2−32に送信する。また、センターサーバ1−1−1は、必要に応じてまたは予め、ある本社サーバのデータ鍵dcと、その本社サーバの子サーバである支社サーバの属性値IDとを連接したものをハッシュ演算することにより、その支社サーバのデータ鍵dfxyを生成する。更に同様にしてセンターサーバ1−1−1はグループのデータ鍵dsxyzを必要に応じて或いは予め生成する。 Specifically, first, the administrator of the network system 100 inputs the data key of the center server 1-1-1, that is, the secret seed s, to the center server 1-1-1. The center server 1-1-1 transmits the secret seed s to all the terminal devices 1-2-1 to 1-232. The secret seed is kept secret to third parties as its name suggests. The center server 1-1-1 generates a data key dc x of the head office server 1-1-2 by performing a hash operation on the concatenation of the secret seed s and the attribute value ID x = 001, The data is transmitted to the server 1-1-2 and the terminal devices 1-2-1 to 1-2-16. Similarly, the center server 1-1-1 generates the data key dc x of the head office server 1-1-3 by performing a hash operation on the concatenation of the secret seed s and the attribute value IDx = 002, and the head office The data is transmitted to the server 1-1-3 and the terminal devices 1-2-17 to 1-232. Further, the center server 1-1-1 hashes the data key dc x of a certain head office server and the attribute value ID y of a branch office server that is a child server of the head office server as necessary or previously hashed. By calculating, the data key df xy of the branch office server is generated. Similarly, the center server 1-1-1 generates a group data key ds xyz as necessary or in advance.

各本社サーバでは、センターサーバから受け取った自身のデータ鍵dcと、配下の支社サーバの属性値IDとを連接したものをハッシュ演算することにより、その支社サーバのデータ鍵dfxyを生成し、その支社サーバに送信する。また、必要に応じて或いは予め、孫の関係にあるグループのデータ鍵dsxyzを生成する。例えば、本社サーバ1−1−2は、自身のデータ鍵dcと、支社サーバ1−1−4の属性値ID=001から支社サーバ1−1−4のデータ鍵dfxyを生成し、支社サーバ1−1−4、端末機器1−2−1〜1−2−8に送信する。 Each head office server generates a data key df xy of the branch server by performing a hash operation on the concatenation of its own data key dc x received from the center server and the attribute value ID y of the subordinate branch server. , Send it to that branch server. Further, a data key ds xyz of a group having a grandchild relationship is generated as necessary or in advance. For example, the head office server 1-1-2 generates the data key df xy of the branch server 1-1-4 from its own data key dc x and the attribute value ID y = 001 of the branch server 1-1-4, It transmits to the branch office server 1-1-4 and the terminal devices 1-2-1 to 1-2-8.

各支社サーバでは、親サーバにあたる本社サーバから受け取った自身のデータ鍵dfxyと、その配下のグループの属性値IDとを連接したものをハッシュ演算することにより、そのグループのデータ鍵dsxyzを生成し、そのグループに属する各端末機器に送信する。 Each branch server performs a hash operation on the concatenation of its own data key df xy received from the head office server as the parent server and the attribute value ID z of the subordinate group, thereby obtaining the data key ds xyz of the group. Generated and transmitted to each terminal device belonging to the group.

このようにしてデータ鍵s、dc、dfxy、dsxyzを端末機器に配布すると、各端末機器は、自身が属するグループのデータ鍵、自身の親サーバ(支社サーバ)、祖父サーバ(本社サーバ)、曽祖父サーバ(センターサーバ)のデータ鍵を持つことになる。また、各サーバは、自身のデータ鍵と自身の配下にあるサーバのデータ鍵を利用可能になる。このとき、ある端末機器にてデータ鍵s、dc、dfxy、dsxyzを用いて暗号化した暗号化情報の復号の可否は次の表1のようになる。 When the data keys s, dc x , df xy , and ds xyz are distributed to the terminal devices in this way, each terminal device has its own group data key, its own parent server (branch server), grandfather server (head office server). ), Have the data key of great-grandfather server (center server). Each server can use its own data key and the data key of the server under its control. At this time, whether or not the encrypted information encrypted using the data keys s, dc x , df xy , and ds xyz in a certain terminal device can be decrypted is as shown in Table 1 below.

Figure 2011259134
Figure 2011259134

表1に示すように、データ鍵dsxyz、dfxyによる暗号は互いに親族関係にあるすべてのサーバ/端末機器にて復号することができる。データ鍵dcによる暗号は互いに親族関係にある端末機器、本社サーバ、センターサーバにて復号することができる。データ鍵(秘密シード)sによる暗号は同グループの端末機器とセンターサーバにて復号することができる。互いに親族関係にないサーバ、異グループの端末機器では復号することができない。尚、同グループの端末機器は互いに親族関係にある。データ鍵はいずれも共通鍵方式の暗号鍵であるため、ある端末機器における、他端末機器やサーバにて暗号化した暗号化情報の復号の可否についても表1のようになる。 As shown in Table 1, the ciphers using the data keys ds xyz and df xy can be decrypted by all the server / terminal devices that are related to each other. The encryption using the data key dc x can be decrypted by the terminal device, the head office server, and the center server that are in a relative relationship with each other. Encryption using the data key (secret seed) s can be decrypted by the terminal device and the center server of the same group. Decryption cannot be performed by servers that are not in a relative relationship with each other or terminal devices of different groups. Note that the terminal devices of the same group have a relative relationship with each other. Since all the data keys are common key encryption keys, whether or not the encrypted information encrypted by another terminal device or server in a certain terminal device can be decrypted is as shown in Table 1.

つまり、暗号化の際に用いるデータ鍵を選択することによって、復号可能な端末機器、サーバをある程度指定することができる。あるサーバにて復号可能な暗号化情報は、そのサーバと親族関係にあるより上位のサーバで常に復号可能である一方、そのサーバと親族関係にあってもより下位のサーバでは復号可能とは限らない。このことを、上位のサーバは下位のサーバよりも高い受信権限を有する、或いは逆に、下位のサーバは上位のサーバよりも低い受信権限を有すると呼ぶこととする。尚、親族関係ではない本社サーバ、支社サーバは復号できない。   That is, by selecting a data key used for encryption, a terminal device and a server that can be decrypted can be specified to some extent. Encrypted information that can be decrypted by a server can always be decrypted by a higher-order server that is in a kinship relationship with that server, but may not be decrypted by a lower-order server even if it is in a kinship relationship with that server. Absent. This is referred to as a higher server having a higher reception authority than a lower server, or conversely, a lower server has a lower reception authority than a higher server. In addition, the head office server and the branch office server that are not related to each other cannot be decrypted.

図4では、端末機器がデータ鍵を用いて暗号化したステータス情報[status]を、親族関係にある支社サーバ、本社サーバを介してセンターサーバに送信している。端末機器にて暗号化の際に使用するデータ鍵を適切に選択することにより、所望の受信権限を持たない下位サーバでは復号できず、所望の受信権限以上の受信権限を有する上位サーバ、及び、同グループに属する端末機器では復号可能であるように暗号化したステータス情報[status]を送信することができる。   In FIG. 4, the status information [status] encrypted by the terminal device using the data key is transmitted to the center server via the branch office server and the head office server that are related to each other. By appropriately selecting the data key to be used for encryption at the terminal device, it cannot be decrypted by a lower server that does not have the desired reception authority, and the upper server that has a reception authority higher than the desired reception authority, and The terminal device belonging to the same group can transmit encrypted status information [status] so that it can be decrypted.

このように、受信権限は、端末機器からサーバへの向きのデータ送信に関して各サーバに付与される権限であり、階層化した暗号鍵を用いて実現している。これに対して、逆向きの通信、即ち、サーバから端末機器への向きのコマンド送信に関して各サーバに送信権限を付与する。サーバから端末機器にコマンドを送信する際、サーバはその端末機器が属するグループのデータ鍵dsxyzにてコマンドを暗号化して端末機器に送信する。このコマンドはその端末機器を含み、その端末機器と親族関係にあるすべてのサーバ、端末機器にて復号可能であるが、コマンドの対象となった端末機器がそのコマンドを実行するか否かは、送信元のサーバの属性毎に予め定められた送信権限によってその端末機器が判定する。 As described above, the reception authority is an authority given to each server with respect to data transmission in the direction from the terminal device to the server, and is realized using a hierarchical encryption key. On the other hand, transmission authority is given to each server regarding reverse communication, that is, command transmission in the direction from the server to the terminal device. When transmitting a command from the server to the terminal device, the server encrypts the command with the data key ds xyz of the group to which the terminal device belongs and transmits the command to the terminal device. This command includes the terminal device, and can be decrypted by all servers and terminal devices that have a relative relationship with the terminal device, but whether or not the terminal device that is the target of the command executes the command, The terminal device determines based on the transmission authority predetermined for each attribute of the transmission source server.

送信権限を実現するため、端末機器は送信権限テーブルを記憶装置に格納している。送信権限テーブルは、コマンド、そのコマンドの送信元のサーバ、及び、そのコマンドの実行の可否の関連づけを格納するテーブルである。端末機器は、自身の記憶装置に予め格納されている送信権限テーブルを参照し、コマンドの送信元のサーバがそのコマンドの送信権限を有するか否か判定し、有する場合に限りそのコマンドを実行する。送信権限テーブルの例を表2に示す。受信権限と送信権限を総称してアクセス権限と称することとする。   In order to realize the transmission authority, the terminal device stores a transmission authority table in the storage device. The transmission authority table is a table that stores associations between commands, servers that transmitted the commands, and whether or not the commands can be executed. The terminal device refers to the transmission authority table stored in advance in its own storage device, determines whether or not the command transmission source server has the authority to transmit the command, and executes the command only if it has . An example of the transmission authority table is shown in Table 2. The reception authority and transmission authority are collectively referred to as access authority.

Figure 2011259134
Figure 2011259134

例えば、表2において、コマンドcommand1の送信権限、即ち、端末機器に対してコマンドcommand1の実行を要求する権限を有するサーバはセンターサーバのみである。一方、コマンドauth_multi_xの送信権限を有するのは、センターサーバと、相手端末機器と親族関係にある本社サーバのみであり、親族関係であっても支社サーバには送信権限はない。親族関係にない本社サーバ、支社サーバにも送信権限はない。   For example, in Table 2, the center server is the only server that has the authority to transmit command command1, that is, the authority to request the terminal device to execute command command1. On the other hand, only the center server and the head office server that is in a kinship relationship with the counterpart terminal device have the authority to send the command auth_multi_x. There is no transmission authority for the head office server and branch office servers that are not related to each other.

サーバの識別はそのサーバの属性をハッシュして得られる値に基づいて行なうことが考えられる。例えば、本社サーバ1−1−2が端末機器1−2−1に対してコマンドcommandを送信する場合、本社サーバ1−1−2の属性IDをハッシュして値acを生成し、次に、カウンタ値countをキーとして値acをMAC(Message Authentication Code)演算してMAC(ac, count)を生成して、端末機器に実行させようとするコマンド[command]、カウンタ値count、MAC演算値MAC(ac, count)を連接したもの
[command]||(count||MAC(ac, count))
を、本社サーバ1−1−2から端末機器1−2−1に送信する。これを受信した端末機器1−2−1は、カウント値countをキーとして既知の本社サーバ1−1−2の属性IDから値ac、MAC演算値MAC(ac, count)を生成し、このMAC演算値と、コマンド[command]に連接して受信したMAC演算値とを比較し、両者が一致する場合、端末機器1−2−1はコマンド[command]の送信元が本社サーバ1−1−2であると認証する。続いて、端末機器1−2−1は、送信権限テーブル1−2−1−5を参照して、本社サーバ1−1−2がコマンド[command]の送信権限を有するか否か判定する。 A server can be identified based on a value obtained by hashing the attribute of the server. For example, when the head office server 1-1-2 sends a command command to the terminal device 1-2-1, the attribute ID x of the head office server 1-1-2 is hashed to generate the value ac x. In addition, a command [command], a counter value count, and a command to be executed by the terminal device by generating a MAC (ac x , count) by performing MAC (Message Authentication Code) operation on the value ac x using the counter value count as a key. Concatenated MAC operation values MAC (ac x , count) [command] || (count || MAC (ac x , count))
Is transmitted from the head office server 1-1-2 to the terminal device 1-2-1. Receiving this, the terminal device 1-2-1 generates the value ac x and the MAC operation value MAC (ac x , count) from the known attribute ID x of the head office server 1-1-2 using the count value count as a key. When the MAC operation value is compared with the MAC operation value received in connection with the command [command], and the two match, the terminal device 1-2-1 sends the command [command] to the head office server 1. Authenticate that it is -1-2. Subsequently, the terminal device 1-2-1 refers to the transmission authority table 1-2-1-5 and determines whether or not the head office server 1-1-2 has an authority to transmit the command [command].

図4において各サーバのアクセス権限を比較すると、センターサーバ、本社サーバ、支社サーバの順に高いアクセス権限を有する。端末機器から各サーバに対し、データ鍵を用いて暗号化した暗号化情報を送信する際には、送信先のサーバにて復号可能であって、かつ、復号する必要がない下位のサーバでは復号不可能なデータ鍵を用いることが好ましい。例えば、本社サーバはデータ鍵dc、dfxy、dsxyzを持っているので、これらデータ鍵のどれで暗号化した暗号化情報であっても、復号に必要なデータ鍵を持っているが、支社サーバに知らせる必要がない情報であれば、支社サーバでは復号できないようにデータ鍵dcを用いて暗号化することが好ましい。 In FIG. 4, when the access authority of each server is compared, the access authority is higher in the order of the center server, the head office server, and the branch office server. When transmitting encrypted information encrypted using a data key from a terminal device to each server, it can be decrypted by a lower server that can be decrypted by the destination server and does not need to be decrypted. It is preferable to use an impossible data key. For example, since the head office server has data keys dc x , df xy , and ds xyz , the encryption information encrypted with any of these data keys has the data key necessary for decryption, If the information does not need to be notified to the branch office server, it is preferable to encrypt it using the data key dc x so that it cannot be decrypted by the branch office server.

同じグループに属する端末機器同士の属性値は同じなので、保持するデータ鍵も同じである。従って、ある端末機器がデータ鍵を用いて暗号化情報を生成するとき、その端末機器と同じグループに属する他の端末機器はその暗号化情報を復号するために必要なデータ鍵を持っていることになる。   Since the terminal devices belonging to the same group have the same attribute value, the held data key is also the same. Therefore, when a terminal device generates encryption information using a data key, other terminal devices belonging to the same group as the terminal device have a data key necessary for decrypting the encryption information. become.

図1に戻ると、各端末機器が有する4つのデータ鍵s、dc、dfxy、dsxyzは、その端末機器の属性値によって異なるが、同じグループに属する端末機器の属性値は互いに同じである。ネットワークシステム100全体としては、8つのグループ1−1−8〜1−1−15に対応して、データ鍵s、dc、dfxy、dsxyzの組が8通りある。あるグループに属するある端末機器が保持しているデータ鍵のひとつを用いて暗号化情報を生成し、いずれかのサーバに送信するとする。このとき、同じグループに属する他の端末機器は、いずれも、送信元の端末機器と全く同じデータ鍵の組を持っているので、暗号化に使用されたデータ鍵が4つのどれであっても、この暗号化情報を復号するために必要なデータ鍵を常に持っていることになる。 Returning to FIG. 1, the four data keys s, dc x , df xy , and ds xyz that each terminal device has vary depending on the attribute values of the terminal device, but the attribute values of the terminal devices belonging to the same group are the same. is there. The network system 100 as a whole has eight groups of data keys s, dc x , df xy , and ds xyz corresponding to the eight groups 1-1-8 to 1-1-15. Assume that encryption information is generated using one of the data keys held by a certain terminal device belonging to a certain group and is transmitted to one of the servers. At this time, since all other terminal devices belonging to the same group have the same data key set as the source terminal device, any of the four data keys used for encryption can be used. Therefore, it always has a data key necessary for decrypting the encrypted information.

例えば図3において、端末機器1−2−1が自身の記憶装置1−2−1−4に格納しているデータ鍵dcを用いて暗号化情報を生成し、本社サーバ1−1−2に送信するとき、端末機器1−2−1と同じグループに属する端末機器1−2−2は、自身の記憶装置1−2−2−4にも全く同じデータ鍵dcを格納している。端末機器1−2−3、1−2−4も同様である。 For example, in FIG. 3, the terminal device 1-2-1 generates encryption information using the data key dc x stored in its own storage device 1-2-1-4, and the head office server 1-1-2. Terminal device 1-2-2 belonging to the same group as the terminal device 1-2-1 stores the same data key dc x in its own storage device 1-2-2-4. . The same applies to the terminal devices 1-2-3 and 1-2-4.

これを利用して、ネットワークシステム100では、ある端末機器Aがデータ鍵を用いて暗号化通信を行うと、端末機器Aと同じグループに属し、同じデータ鍵を有する他の端末機器Bの監視部が、その暗号化通信を受信して復号を試みる。そして、復号の結果に応じて、端末機器Bの監視部は端末機器Aが正規の端末機器であるか、それとも正規の端末機器に成りすましてネットワークシステム100に接続された不正な端末機器であるかを判定する。この判定結果により不正端末機器を検出する。また、不正端末機器を検出すると、端末機器Bの監視部は、同グループの他端末機器に対し、機能の一部乃至全部の停止を促す機器制御コマンドを送出すると共に、端末機器Bの機器制御部に対し、端末機器Bの機能の一部乃至全部の停止を指示する。   Using this, in the network system 100, when a certain terminal device A performs encrypted communication using a data key, the monitoring unit of another terminal device B that belongs to the same group as the terminal device A and has the same data key Receives the encrypted communication and attempts to decrypt it. Then, according to the decryption result, the monitoring unit of the terminal device B determines whether the terminal device A is a legitimate terminal device or an unauthorized terminal device impersonating the legitimate terminal device and connected to the network system 100. Determine. An unauthorized terminal device is detected based on the determination result. When an unauthorized terminal device is detected, the monitoring unit of the terminal device B sends a device control command for urging to stop part or all of the functions to other terminal devices in the group and controls the device control of the terminal device B. To stop a part or all of the functions of the terminal device B.

図5を参照して、ネットワークシステム100において、端末機器の上位サーバの動作に不具合が生じているときに行う、不正端末機器の検出、及び、そのときの対応について実施例1として説明する。端末機器の上位サーバが不具合により動作不能になっても、同じ認証鍵を持つ端末機器同士がお互いに監視し合うことで、一定のセキュリティを確保する。   With reference to FIG. 5, in the network system 100, detection of an unauthorized terminal device performed when a malfunction occurs in the operation of the host server of the terminal device, and the response at that time will be described as a first embodiment. Even when the host server of the terminal device becomes inoperable due to a malfunction, the terminal devices having the same authentication key monitor each other to ensure a certain level of security.

図1と同じ構成で[センター]以下に3つの属性[本社]:ID、[支社]:ID、[グループ]:IDを定義する。[センター]、[本社]、[支社]にはそれぞれ対応するサーバ、即ちセンターサーバ1−1−1、本社サーバ1−1−2、1−1−3、支社サーバ1−1−4〜1−1−7が存在する。[グループ]には対応するサーバを設けず、代わりに、ゲートウェイなどの通信機器でサブネットワークを構築し、各サブネットワークに対して[グループ]の属性値IDを付与する。従って、実質的に[グループ]の属性IDは、支社サーバが担う事となる。 In the same configuration as FIG. 1, three attributes [head office]: ID x , [branch office]: ID y , and [group]: ID z are defined below [center]. [Center], [Head office], and [Branch office] respectively correspond to servers, that is, center server 1-1-1, head office servers 1-1-2, 1-1-3, and branch office servers 1-1-4 to 1. -1-7 exists. [Group] does not have a corresponding server. Instead, a sub-network is constructed with a communication device such as a gateway, and an attribute value ID z of [Group] is assigned to each sub-network. Therefore, the branch office server is responsible for the attribute ID z of [Group].

センターサーバ1−1−1、本社サーバ1−1−2、1−1−3、支社サーバ1−1−4〜1−1−7、グループサーバ1−1−8〜1−1−15はそれぞれ次のような情報をあらかじめ各自の記憶装置に保持しているものとする。ただし上述のようにグループに関する情報は支社サーバが保持する。   The center server 1-1-1, head office servers 1-1-2, 1-1-3, branch office servers 1-1-4 to 1-1-7, and group servers 1-1-8 to 1-1-15 Assume that the following information is stored in advance in each storage device. However, as described above, information on the group is held by the branch office server.

認証鍵は、サーバ或いは端末機器の属性値(ID、ID、ID)に対応する一組の鍵(ac、af、as)を指す。また、これら一組の鍵の各要素ac、af、asの排他的論理和を指す。例えば、xをハッシュして得られる値yをy=H(x)で表すとき、ac=H(IDx)、af=H(IDy)、as=H(IDz)である。特に、ID=000の認証鍵をaf0とし、ID=000の認証鍵をas0とする。特に、ID=000の認証鍵をaf0とし、ID=000の認証鍵をas0とする。iは端末機器の固有IDである。 Authentication key refers server or terminal device attribute value (ID x, ID y, ID z) a set of keys corresponding to (ac x, af y, as z) a. Also refers to exclusive OR of these a set of elements ac x keys, af y, as z. For example, when a value y obtained by hashing x is expressed by y = H (x), ac x = H (IDx), af y = H (IDy), and as z = H (IDz). In particular, an authentication key with ID y = 000 is af0, and an authentication key with ID z = 000 is as0. In particular, an authentication key with ID y = 000 is af0, and an authentication key with ID z = 000 is as0. i is a unique ID of the terminal device.

・センターサーバ1−1−1
秘密シード:s
認証鍵:ac、af、as
端末機器1−2−1〜1−2−32の固有番号N001〜N032
端末機器1−2−1〜1−2−32の属性値IDx、IDy、IDz、(001、001、001)、(001、001、002)、(001、002、001)、(001、002、002)、(002、001、001)、(002、001、002)、(002、002、001)、(002、002、002)
・本社サーバ1−1−2、1−1−3
データ鍵dc
認証鍵:ac、af、as
・支社サーバ1−1−4〜1−1−7
データ鍵dfxy
認証鍵:ac、af、as
・グループ1−1−8〜1−1−15
データ鍵dsxyz
認証鍵:ac、af、as
・端末機器1−2−1〜1−2−32
秘密シード:s
データ鍵dc、dfxy、dsxyz
認証鍵:ac、af、as
自身の固有番号
自身の属性値IDx、IDy、IDz ・ Center server 1-1-1
Secret seed: s
Authentication key: ac x, af y, as z
The unique numbers N001 to N032 of the terminal devices 1-2-1 to 1-232
Attribute values IDx, IDy, IDz, (001, 001, 001), (001, 001, 002), (001, 002, 001), (001, 002) of the terminal devices 1-2-1 to 1-232. , 002), (002, 001, 001), (002, 001, 002), (002, 002, 001), (002, 002, 002)
・ Head office server 1-1-2, 1-1-3
Data key dc x
Authentication key: ac z , af 0 , as 0
・ Branch server 1-1-4 to 1-1-7
Data key df xy
Authentication key: ac x, af y, as 0
Group 1-1-8 to 1-1-15
Data key ds xyz
Authentication key: ac x, af y, as z
・ Terminal equipment 1-2-1 to 1-232
Secret seed: s
Data keys dc x , df xy , ds xyz
Authentication key: ac x, af y, as z
Own unique number Own attribute value IDx, IDy, IDz

本実施例のシーケンスは次の4つに分かれている。
(1)各属性と端末機器における属性IDx、IDy、IDzの認証
(2)支社サーバ不具合で通信断
(3)端末機器での認証結果の返信
(4)監視部による異常検出時の機能
以下、図5を参照して説明する。 The sequence of this embodiment is divided into the following four.
(1) Authentication of each attribute and attribute IDx, IDy, IDz in the terminal device (2) Communication disconnection due to a branch server failure (3) Return of the authentication result in the terminal device (4) Function at the time of abnormality detection by the monitoring unit This will be described with reference to FIG.

(1)各属性と端末機器における属性IDx、IDy、IDzの認証
シーケンス2−1、2−4、2−7に示すように、すべての本社サーバ、支社サーバ、端末機器に対し、本社の属性を示すIDの認証を行うために、次の実行式を実行するように求める。なお、本実施例において認証の命令を発信するのはセンターサーバ1−1−1である。 (1) Authentication of attributes IDx, IDy, and IDz in each attribute and terminal device As shown in Sequences 2-1, 2-4, and 2-7, the attributes of the headquarters for all headquarter servers, branch servers, and terminal devices to authenticate ID x indicating the obtained to perform the next execution formula. In this embodiment, the center server 1-1-1 transmits an authentication command.

[auth_mlti_x]||(count||MAC(ac,count)
ここで[auth_mlti_x]はIDの認証を要求する実行コマンドを示す。countは1ずつ増えるカウンタ値を示す。このまま[auth_mlti_x]以下を暗号化せずにマルチキャスト送信を行う。 [Auth_mlti_x] || (count || MAC (ac x , count)
Here, [auth_mlti_x] indicates an execution command for requesting authentication of ID x . “count” indicates a counter value incremented by one. In this state, multicast transmission is performed without encrypting [auth_mlti_x] and below.

[auth_mlti_x]以下は、送信先の属性IDが正しいか否かを認証するための実行式を示す。即ち、サーバや端末機器それぞれにおいて、countのMAC値を自身が保持する属性IDの認証鍵acで計算し、同じMAC値になること、即ち、本社サーバ、支社サーバ、端末機器が保持する認証鍵acと、センターサーバが保持する認証鍵acとが一致することを確認する。 [Auth_mlti_x] The following shows an execution expression for authenticating whether or not the attribute ID x of the transmission destination is correct. That is, in each of the server and the terminal device, the MAC value of the count is calculated with the authentication key ac x of the attribute ID x held by itself, and the same MAC value is obtained, that is, the head office server, the branch server, and the terminal device hold. to make sure that the authentication key ac x, and an authentication key ac x the center server to hold matches.

次に、シーケンス2−1、2−4、2−7に示すように、センターサーバ1−1−1は、すべての本社サーバ、支社サーバ、端末機器に対し、支社の属性を示すIDの認証を行うために、次の実行式を実行するように求める。 Next, as shown in sequence 2-1, 2-4, 2-7, the center server 1-1-1 has ID y indicating the attribute of the branch office for all head office servers, branch office servers, and terminal devices. In order to perform authentication, it asks to execute the following execution formula.

[auth_mlti_y]||(count||MAC(af,count)
ここで[auth_mlti_y]はIDの認証を要求する実行コマンドを示す。このまま[auth_mlti_y]以下を暗号化せずにマルチキャスト送信を行う。 [Auth_mlti_y] || (count || MAC (af y , count)
Here, [auth_mlti_y] indicates an execution command for requesting authentication of ID y . In this state, multicast transmission is performed without encrypting [auth_mlti_y] and below.

[auth_mlti_y]以下は、送信先の属性IDが正しいか否かを認証するための実行式を示す。即ち、サーバや端末機器それぞれにおいて、countのMAC値を自身が保持する属性IDの認証鍵afで計算し、同じMAC値になること、即ち、本社サーバ、支社サーバ、端末機器が保持する認証鍵afと、センターサーバが保持する認証鍵afとが一致することを確認する。 [Auth_mlti_y] The following shows an execution formula for authenticating whether or not the destination attribute ID y is correct. That is, in each server or terminal device, and calculates the authentication key af y attribute ID y which holds the MAC value of the count itself, be the same MAC value, i.e., the head office server, branch server, the terminal device holds to make sure that the authentication key af y, and the authentication key af y the center server to hold matches.

次に、シーケンス2−3、2−6、2−9が示すように、センターサーバ1−1−1は、すべての本社サーバ、支社サーバ、端末機器に対し、グループの属性を示すIDの認証を行うために、次の実行式を実行するように求める。 Next, as shown in sequences 2-3, 2-6, and 2-9, the center server 1-1-1 has the ID z indicating the group attribute for all head office servers, branch office servers, and terminal devices. In order to perform authentication, it asks to execute the following execution formula.

[auth_mlti_z]||(count||MAC(as,count)
[auth_mlti_z]はIDの認証を要求する実行コマンドを示す。このまま[auth_mlti_z]以下を暗号化せずにマルチキャスト送信を行う。 [Auth_mlti_z] || (count || MAC (as z , count)
[Auth_mlti_z] indicates an execution command that requests authentication of ID z . In this state, multicast transmission is performed without encrypting the data below [auth_mlti_z].

[auth_mlti_z]以下は、送信先の属性IDzが正しいか否かを認証するための実行式を示す。即ち、サーバや端末機器それぞれにおいて、countのMAC値を自身が保持する属性IDの認証鍵asで計算し、同じMAC値になること、即ち、本社サーバ、支社サーバ、端末機器が保持する認証鍵asと、センターサーバが保持する認証鍵asとが一致することを確認する。 [Auth_mlti_z] The following shows an execution formula for authenticating whether or not the attribute IDz of the transmission destination is correct. That is, in each of the server and the terminal device, the MAC value of the count is calculated with the authentication key as z of the attribute ID z held by itself, and the same MAC value is obtained, that is, the head office server, the branch server, and the terminal device hold. to make sure that the authentication key as z, and the authentication key as z the center server to hold matches.

(2)支社サーバ不具合で通信断
なんらかの原因により支社サーバに不具合が発生し、データ通信が断となった状態となる。つまり、サーバとしてネットワークへの送信もネットワークからの受信も受け付けられなくなった状態である。これ以降、端末機器は何のレスポンスも返らない事から、端末機器は自己がサーバから独立したことを知る。また、端末機器の運用においてサーバが無くても条件付の最低限の動作を実現できるとする。 (2) Communication disconnection due to a branch server failure A malfunction occurs in the branch server for some reason, and data communication is cut off. In other words, neither transmission to the network nor reception from the network is accepted as a server. Thereafter, since the terminal device does not return any response, the terminal device knows that it is independent from the server. In addition, it is assumed that a conditional minimum operation can be realized without a server in the operation of the terminal device.

(3)端末機器での認証結果の返信
(2)で自己が支社サーバから独立した事を知った端末機器は、それでもルールに従い次のシーケンス2−10を返信する。 (3) Returning the authentication result at the terminal device The terminal device that knows that it is independent from the branch server server in (2) still returns the next sequence 2-10 according to the rule.

[auth_mlti_res]||E(dsxyz,n||Acki
ただし
=count||MAC(ac*af,count)
Acki=[auth_ok]||IDx||IDy||IDz||i
[auth_mlti_res]は、レスポンスを示す。*はacとafの排他的論理和を示す。ここで、MAC値を生成するための認証鍵としてacとafの排他的論理和を用いているのは、単なる一例である。ここで用いる認証鍵は、送り手である端末機器、受け手であるサーバ、及び、送り手端末機器と同じグループに属する他端末機器のいずれの記憶装置にも予め格納されている一の認証鍵、或いは、複数の認証鍵の排他的論理和の中から、予め定めておくものとする。 [Auth_mlti_res] || E (ds xyz , n i || Ack i )
Where n i = count || MAC (ac x * af y , count)
Ack i = [auth_ok] || IDx || IDy || IDz || i
[Auth_mlti_res] indicates a response. * Denotes the exclusive OR of the ac x and af y. Here, is used exclusive of the ac x and af y as the authentication key to generate the MAC value is merely an example. The authentication key used here is one authentication key stored in advance in any storage device of the terminal device that is the sender, the server that is the receiver, and other terminal devices that belong to the same group as the sender terminal device, Alternatively, it is determined in advance from an exclusive OR of a plurality of authentication keys.

図6を参照して、レスポンス[auth_mlti_res]を生成する際の端末機器の認証部の動作について、端末機器1−2−1を例に挙げて更に詳しく説明する。   With reference to FIG. 6, the operation of the authentication unit of the terminal device when generating the response [auth_mlti_res] will be described in more detail using the terminal device 1-2-1 as an example.

図5のシーケンス2−7、2−8、2−9において、センターサーバからマルチキャストにて送信された実行コマンドを受信した端末機器1−2−1において、これら実行コマンドは認証情報入力1−5−1として認証部1−2−1−1に入力される。   In sequences 2-7, 2-8, and 2-9 in FIG. 5, in the terminal device 1-2-1 that has received the execution command transmitted by multicast from the center server, these execution commands are input authentication information 1-5. −1 is input to the authentication unit 1-2-1-1.

復号演算器1−5−2を通過して便宜的に復号結果1−5−4の認証情報count||MAC(as,count)となる。更に、この認証情報は、認証鍵as1−5−6とMAC演算器1−5−5により認証演算が正しく行なわれたか否かを判断器1−5−7で判断され、センターへ返信すべき情報として、認証結果1−5−12へと導き出される。尚、ここでは認証情報入力1−5−1は暗号化されていないため、復号演算器1−5−2による認証情報入力1−5−1の復号演算は実施されず通過としている。 For convenience, authentication information count || MAC (as z , count) of the decryption result 1-5-4 is passed through the decryption computing unit 1-5-2. Further, this authentication information is determined by the determination unit 1-5-7 whether or not the authentication calculation is correctly performed by the authentication key as z 1-5-6 and the MAC calculator 1-5-5, and is returned to the center. As information to be obtained, it is led to an authentication result 1-5-12. Here, since the authentication information input 1-5-1 is not encrypted, the decryption operation of the authentication information input 1-5-1 by the decryption computing unit 1-5-2 is not performed and is passed.

次に、この認証結果を支社サーバへ返信するため、カウンタ1−5−9と認証鍵1−5−11をMAC演算器1−5−10でMAC演算し、支社サーバで自分(端末機器)を認証してもらうための認証情報1−5−13を作成し、更に前述の認証結果1−5−12と認証情報1−5−13を、データ鍵1−5−14を使って暗号演算器1−5−15で暗号化を実施した後、図5に示すシーケンス2−10のように、次式の認証結果返信出力1−5−16として支社サーバ向けに送出される。   Next, in order to return this authentication result to the branch office server, the MAC calculator 1-5-10 performs MAC calculation of the counter 1-5-9 and the authentication key 1-5-11, and the branch server itself (terminal device) Authentication information 1-5-13 for authenticating the user, and the above-described authentication result 1-5-12 and authentication information 1-5-13 are encrypted using the data key 1-5-14. After the encryption is performed by the device 1-5-15, it is sent to the branch office server as an authentication result reply output 1-5-16 of the following equation, as shown in sequence 2-10 in FIG.

[auth_mlti_res]||E(dsxyz,count||MAC(ac*af,count)||Ack
ここで、
Ack=[auth_ok]||ID||ID||ID||i
または
Ack=[auth_ng]||ID||ID||ID||i
である。 [Auth_mlti_res] || E (ds xyz , count || MAC (ac x * af y , count) || Ack i )
here,
Ack i = [auth_ok] || ID x || ID y || ID z || i
Or Ack i = [auth_ng] || ID x || ID y || ID z || i
It is.

(4)監視部による異常検出時の機能
端末機器1−2−1が認証結果返信出力1−5−16を送信すると、端末機器1−2−1と同グループに属する他の端末機器(N002)1−2−2、端末機器(N003)1−2−3、端末機器(N004)1−2−4は、認証結果返信出力1−5−16を受信し、それぞれの監視部1−2−2−2、1−2−3−2、1−2−4−2により送信元の端末機器が正規の端末機器であるか否かを判定する。 (4) Function at the time of abnormality detection by the monitoring unit When the terminal device 1-2-1 transmits the authentication result reply output 1-5-16, another terminal device (N002) belonging to the same group as the terminal device 1-2-1. ) 1-2-2, the terminal device (N003) 1-2-3, and the terminal device (N004) 1-2-4 receive the authentication result reply output 1-5-16, and each monitoring unit 1-2 Whether the transmission source terminal device is a legitimate terminal device is determined by -2-2, 1-2-3-2, and 1-2-4-2.

ここでは例として端末機器1−2−2の監視部1−2−2−2を挙げ、図7を参照して説明する。監視部1−2−2−2は、監視結果1−6−12を監視結果出力1−6−16から出力できる機能を除いて、図6に示した認証部とほとんど同じである。説明の便宜上図6と図7を別にしたが、共用できる機能は共通化してもよい。   Here, the monitoring unit 1-2-2-2 of the terminal device 1-2-2 is taken as an example and will be described with reference to FIG. The monitoring unit 1-2-2-2 is almost the same as the authentication unit illustrated in FIG. 6 except for a function that can output the monitoring result 1-6-12 from the monitoring result output 1-6-16. Although FIG. 6 and FIG. 7 are separated for convenience of explanation, functions that can be shared may be shared.

送信元の端末機器1−2−1と同じ属性値(001、001、001)を持つ端末機器1−2−2は、記憶装置1−2−2−4に同じデータ鍵を保持しているので、端末機器1−2−1が送信した認証結果返信出力1−5−16は端末機器1−2−2でも復号可能である。   The terminal device 1-2-2 having the same attribute value (001, 001, 001) as the transmission source terminal device 1-2-1 holds the same data key in the storage device 1-2-2-4. Therefore, the authentication result reply output 1-5-16 transmitted by the terminal device 1-2-1 can also be decrypted by the terminal device 1-2-2.

[auth_mlti_res]||E(dsxyz,count||MAC(ac*af,count)||Ack
監視部1−2−2−2に対して、認証結果返信出力1−5−16が他端末機器の認証情報入力1−6−1として入力されると、復号演算器1−6−2はデータ鍵dsxyzを用いて復号し、count||MAC(ac*af,count)を復号結果1−6−4として取得する。復号結果1−6−4のcountと、あらかじめ保持している認証鍵ac*afを用いてMAC演算器1−6−5にてMAC演算を行い、判断器1−6−7にて両者が一致するか否か判定する。以下、同グループに属する他の端末機器が不正なものであるか否かの判定を、同グループ不正端末機器判定と呼ぶものとすると、ここでの同グループ不正端末機器判定は、復号して得たカウント値及び予め保持している認証鍵に基づいて生成したMAC値と、復号して得たMAC値との比較結果に基づくものである。 [Auth_mlti_res] || E (ds xyz , count || MAC (ac x * af y , count) || Ack i )
When the authentication result reply output 1-5-16 is input as the authentication information input 1-6-1 of the other terminal device to the monitoring unit 1-2-2-2, the decoding arithmetic unit 1-6-2 Decryption is performed using the data key ds xyz , and count || MAC (ac x * af y , count) is obtained as a decryption result 1-6-4. The MAC operation unit 1-6-5 performs the MAC operation using the count of the decryption result 1-6-4 and the authentication key ac x * af y held in advance, and the determination unit 1-6-7 It is determined whether or not both match. Hereinafter, if the determination as to whether other terminal devices belonging to the same group are illegal is referred to as the same group unauthorized terminal device determination, the same group unauthorized terminal device determination is obtained by decoding. This is based on a comparison result between the MAC value generated based on the count value and the authentication key held in advance and the MAC value obtained by decryption.

両者が一致する場合、判断器1−6−7は何も出力しない。両者が不一致の場合、判断器1−6−7は判断器出力1−6−8として、監視結果1−6−12を出力する。そして、他端末機器等が端末機器1−2−2を認証するための認証情報1−6−13を生成し、監視結果1−6−12と認証情報1−6−13とをデータ鍵dsxyzを用いて暗号演算器1−6−15にて暗号化し、監視結果出力1−6−16として出力する。監視結果1−6−16は同じ属性値(001、001、001)を有する端末機器に対して、不正端末機器の検出を通知すると共に、機能制限コマンド、例えば一部乃至全部の機能の停止を促すコマンドであり、次のような実行式である。 If the two match, the decision unit 1-6-7 outputs nothing. If they do not match, the determiner 1-6-7 outputs a monitoring result 1-6-12 as a determiner output 1-6-8. Then, the authentication information 1-6-13 for the other terminal device or the like to authenticate the terminal device 1-2-2 is generated, and the monitoring result 1-6-12 and the authentication information 1-6-13 are stored in the data key ds. Encryption is performed by the cryptographic calculator 1-6-15 using xyz, and output as a monitoring result output 1-6-16. The monitoring result 1-6-16 notifies the terminal device having the same attribute value (001, 001, 001) of the detection of the unauthorized terminal device, and also stops the function restriction command, for example, some or all of the functions. This is a command that prompts, and is an execution expression such as the following:

[information]||E(dsxyz,count||MAC(ac*af,count)||STOP)
ここでSTOPは、受信した端末機器に対して機能の一部乃至全部の制限を求める機能制限コマンドである。尚、判断器1−6−7は、監視結果1−6−8の出力と共に、自端末機器の機器制御部に対して機能の一部乃至全部の制限を指示することとしてもよい。 [Information] || E (ds xyz , count || MAC (ac x * af y , count) || STOP)
Here, STOP is a function restriction command for requesting restriction of part or all of the functions of the received terminal device. Note that the determiner 1-6-7 may instruct the device control unit of the terminal device to restrict some or all of the functions together with the output of the monitoring result 1-6-8.

実施例1によれば、同属性値の端末機器同士は、他の端末機器による暗号化通信を、互いに復号可能なので、同じ属性値を有するはずの端末機器が送出した暗号化通信が復号できないときに、送信元の端末機器が不正な機器であると判定することができる。   According to the first embodiment, since terminal devices having the same attribute value can decrypt encrypted communication by other terminal devices, the encrypted communication transmitted by the terminal device that should have the same attribute value cannot be decrypted. In addition, it can be determined that the transmission source terminal device is an unauthorized device.

また、本実施例によれば、不正端末機器の検出に応じて、不正端末機器の接続を検出した端末機器の機能だけではなく、同じグループに属する端末機器の機能をも一部乃至全部制限することができる。これにより、不正端末機器の接続によって同グループの端末機器に生じる被害を未然に防ぐことができる。   Further, according to the present embodiment, depending on the detection of the unauthorized terminal device, not only the function of the terminal device that detected the connection of the unauthorized terminal device, but also part or all of the functions of the terminal devices belonging to the same group are restricted. be able to. As a result, it is possible to prevent damage to terminal devices of the same group due to connection of unauthorized terminal devices.

次に、ネットワークシステム100において、端末機器の上位サーバの動作に不具合が生じた後、不正な端末機器が送信した偽のステータス情報に基づいて不正端末機器を検出するときの動作について実施例2として説明する。本実施例は概略次の3つのステップからなる。   Next, in the network system 100, as a second embodiment, an operation when an unauthorized terminal device is detected based on false status information transmitted by an unauthorized terminal device after a malfunction occurs in the operation of the host server of the terminal device. explain. This embodiment is roughly composed of the following three steps.

(1)支社サーバ不具合発生前における端末機器ステータスの送信
(2)支社サーバ不具合発生で通信断
(3)支社サーバ不具合発生後における不正端末機器ステータスの送信
以下図8を参照してそれぞれについて説明する。 (1) Transmission of terminal device status before occurrence of branch server failure (2) Communication interruption due to occurrence of branch server failure (3) Transmission of unauthorized terminal device status after occurrence of branch server failure Each will be described below with reference to FIG. .

(1)支社サーバ不具合発生前における端末機器ステータスの送信
シーケンス3−1に示すように、ある端末機器から支社サーバに向けて、端末機器の状態を示すステータス情報が次の実行式として送信される。 (1) Transmission of terminal device status before occurrence of branch server failure As shown in sequence 3-1, status information indicating the state of the terminal device is transmitted from a certain terminal device to the branch server as the next execution expression. .

[status]||E(dsxyz,count||MAC(ac,count)||status)
[status]は、本実行式が端末機器のステータス情報であることを示す。countは乱数を示す。count及びMAC値と連接されたstatusはその名のとおりその端末機器のステータスを示す。 [Status] || E (ds xyz , count || MAC (ac x , count) || status)
[Status] indicates that the execution expression is status information of the terminal device. “count” indicates a random number. The status concatenated with the count and the MAC value indicates the status of the terminal device as the name suggests.

ステータス情報を受け取った支社サーバは、データ鍵dsxyzを使用して暗号を復号し、更に認証鍵acを用いて、確かに端末機器から届いたステータス情報であることを確認する。 The branch office server that has received the status information decrypts the encryption using the data key ds xyz , and further confirms that the status information has arrived from the terminal device using the authentication key ac x .

その後支社サーバは、シーケンス3−1−1が示すように、確かに端末機器からのステータス情報を受け取ったことを送信元の端末機器に知らせるため、次の実行式を返信する。   Thereafter, the branch office server returns the following execution formula in order to notify the transmission source terminal device that the status information from the terminal device has been received, as shown in sequence 3-1-1.

[status_res]||E(dsxyz,count||MAC(ac,count)||ack)
[status_res]は、本実行式が端末機器のステータス情報に対する受け取った側のレスポンスであることを示す。countは乱数を示す。”ack”は、その名のとおり支社サーバが正しく受け取った意味を示す。 [Status_res] || E (ds xyz , count || MAC (ac x , count) || ack)
[Status_res] indicates that this execution expression is a response on the receiving side with respect to the status information of the terminal device. “count” indicates a random number. “Ack” indicates the meaning that the branch server correctly received as the name implies.

前記のレスポンス情報を受け取った端末機器は、データ鍵dsxyzを使用して暗号を復号し、更に認証鍵acを用いて、確かな支社サーバから届いたレスポンス情報であることを確認する。これで一連のステータス情報のやりとりは完結する。 The terminal device that has received the response information decrypts the cipher using the data key ds xyz , and further confirms that the response information has arrived from the reliable branch server using the authentication key ac x . This completes the exchange of status information.

(2)支社サーバ不具合発生で通信断
何らかの原因により、支社サーバに不具合が発生し、データ通信が断となった状態。つまり、サーバとしてネットワークへの送信もネットワークからの受信も受け付けられなくなった状態。なお、これ以降、端末機器は何のレスポンスも返らない事から、端末機器は自己がサーバから独立したことを知り、更に端末機器の運用においてサーバが無くても条件付の最低限の動作を実現できるとする。 (2) Communication disconnection due to branch server failure A problem has occurred in the branch server due to some reason and data communication has been interrupted. In other words, as a server, neither transmission to the network nor reception from the network can be accepted. In addition, since the terminal device does not return any response after this, the terminal device knows that it is independent from the server, and realizes the minimum conditional operation even if there is no server in the operation of the terminal device. Suppose you can.

(3)支社サーバ不具合発生後における不正端末機器ステータスの送信
今、シーケンス3−2が示すように、不正端末機器から正規のパケットフォーマットと異なる、次の実行式のようなステータス情報を送信したとする。 (3) Transmission of unauthorized terminal device status after occurrence of branch server failure As shown in Sequence 3-2, it is assumed that status information such as the following execution formula, which is different from the normal packet format, is transmitted from the unauthorized terminal device. To do.

[status]||status
図3を参照して説明したように、このデータは同グループに属する他の端末機器でも受信することができるので、図7に示した判断器1−6−7までの過程により、不正なデータか否かを判断できる。 [Status] || status
As described with reference to FIG. 3, since this data can be received by other terminal devices belonging to the same group, illegal data is obtained through the processes up to the decision units 1-6-7 shown in FIG. It can be determined whether or not.

また、正規の端末機器が最近に送信したステータス情報を何らかの手段によりコピーしたものを、不正端末機器が出力する可能性もある。このような場合、正しいシーケンス3−1から分かるとおり、認証データに使われているcountは、逐次更新されているため、不正であることが判断できる。   In addition, an unauthorized terminal device may output a copy of status information recently transmitted by a legitimate terminal device by some means. In such a case, as can be seen from the correct sequence 3-1, the count used in the authentication data is updated sequentially, so that it can be determined to be illegal.

不正な端末機器が接続されると、シーケンス3−3、3−4、3−5のように、同じ属性値を持つ端末機器が不正端末機器を検出し、次の実行式を送出して、同じ属性値を持つ正規の端末機器の動作を一時的に止める。   When an unauthorized terminal device is connected, as shown in sequences 3-3, 3-4, and 3-5, the terminal device having the same attribute value detects the unauthorized terminal device, and sends the next execution expression. Temporarily stop the operation of legitimate terminal devices with the same attribute value.

[information]||E(dsxyz,n||STOP)
ただしn=count||MAC(ac*af,count)
これにより、必要最低限の運用動作の中で生じる不正端末機器の出現に対し、正規端末機器を一時的に機能停止する対応策を講じることができる。 [Information] || E (ds xyz , n i || STOP)
Where n i = count || MAC (ac x * af y , count)
As a result, it is possible to take measures to temporarily stop the function of the authorized terminal device against the appearance of an unauthorized terminal device that occurs in the minimum necessary operation.

実施例1では、MAC値の比較結果に基づいて同グループ不正端末機器判定を行なった。本実施例では、MAC値の比較と併用してCRC(Cyclic Redundancy Check)を用いる。   In Example 1, the same group unauthorized terminal device determination was performed based on the MAC value comparison result. In this embodiment, CRC (Cyclic Redundancy Check) is used in combination with the MAC value comparison.

実施例1(3)「端末機器での認証結果の返信」において、端末機器は、次のような認証結果返信出力1−5−16を送出する。   In Example 1 (3) “Reply of authentication result at terminal device”, the terminal device sends out the following authentication result reply output 1-5-16.

[auth_mlti_res]||E(dsxyz,count||MAC(ac*af,count)||Ack
このとき、データ鍵dsxyzでの暗号化に先立って、暗号化の対象部分である
count||MAC(ac*af,count)||Ack
のCRCを生成する。このため、図9に示すように、暗号演算器1−5−15の直前にCRC演算器1−5−20を追加し、生成したCRCを更に連接したものを暗号演算器1−5−15にて暗号化して、次のような認証結果返信出力1−5−16aを生成する。 [Auth_mlti_res] || E (ds xyz , count || MAC (ac x * af y , count) || Ack i )
In this case, prior to encryption with the data key ds xyz, a target portion of the encrypted count || MAC (ac x * af y, count) || Ack i
The CRC is generated. For this reason, as shown in FIG. 9, a CRC calculator 1-5-20 is added immediately before the cryptographic calculator 1-5-15, and the generated CRC is further concatenated to obtain a cryptographic calculator 1-5-15. And the following authentication result reply output 1-5-16a is generated.

[auth_mlti_res]||E(dsxyz,count||MAC(ac*af,count)||Ack||CRC)
実施例1(4)「監視機能による異常検出時の機能」において、実施例1ではMAC値の比較結果のみに基づいて同グループ不正端末機器判定を行なったが、本実施例では、MAC値の比較に先だってCRCのチェックを行なう。このため、図10に示すように、復号演算器1−6−2の後段に、CRC演算器1−6−20、判断器1−6−21を備える。 [Auth_mlti_res] || E (ds xyz , count || MAC (ac x * af y , count) || Ack i || CRC)
In Example 1 (4) “Function at the time of abnormality detection by the monitoring function”, in Example 1, the same group unauthorized terminal device determination is performed based only on the comparison result of the MAC value. Prior to the comparison, the CRC is checked. For this reason, as shown in FIG. 10, a CRC calculator 1-6-20 and a determiner 1-6-21 are provided in the subsequent stage of the decoding calculator 1-6-2.

復号演算器1−6−2は予め保持しているデータ鍵dsxyzを用いて他端末機器の認証情報入力1−6−1を復号する。CRC演算器1−6−20は、復号演算器1−6−2の出力に基づいて、
count||MAC(ac*af,count)||Ack
のCRCを生成する。 The decryption computing unit 1-6-2 decrypts the authentication information input 1-6-1 of the other terminal device using the data key ds xyz held in advance. The CRC computing unit 1-6-20 is based on the output of the decoding computing unit 1-6-2.
count || MAC (ac x * af y , count) || Ack i
The CRC is generated.

判断器1−6−20は、復号演算器1−6−2の出力に含まれるCRCと、CRC演算器1−6−20が出力するCRCとを比較する。両者が一致する場合、暗号化に用いられたデータ鍵と、復号化に用いられたデータ鍵とは一致すると見なし、何もしない。他方、不一致の場合は判断器出力1−6−22として監視結果1−6−12を出力する。以後は実施例1にて判断器出力1−6−8として監視結果1−6−12を出力する場合と同様である。   The determiner 1-6-20 compares the CRC included in the output of the decoding calculator 1-6-2 with the CRC output from the CRC calculator 1-6-20. If they match, the data key used for encryption and the data key used for decryption are considered to match and do nothing. On the other hand, in the case of mismatch, the monitoring result 1-6-12 is output as the determiner output 1-6-22. The subsequent processing is the same as that in the case where the monitoring result 1-6-12 is output as the judging device output 1-6-8 in the first embodiment.

更に、実施例1と同様に、MAC演算器1−6−5、認証鍵1−6−6、判断器1−6−7により、復号して得たカウント値及び予め保持している認証鍵に基づいて生成したMAC値と、復号して得たMAC値とを比較する。不一致の場合は、実施例1と同様に判断器出力1−6−8として監視結果1−6−12を出力し、以後は実施例1と同様である。   Further, as in the first embodiment, the MAC calculator 1-6-5, the authentication key 1-6-6, and the count value obtained by decryption by the determiner 1-6-7 and the authentication key held in advance. The MAC value generated based on the above is compared with the MAC value obtained by decoding. In the case of discrepancy, the monitoring result 1-6-12 is output as the determiner output 1-6-8 in the same manner as in the first embodiment, and thereafter the same as in the first embodiment.

CRC演算に基づく判断結果により、正しく復号できたか否かを判断することができる。言い換えれば、他端末機器の認証情報入力1−6−1を送信した相手が正しい暗号鍵dsxyzを知っていて暗号化に使用したか否か、即ち、相手端末機器が正規のものであるか否かを暫定的に判断することができる。その後のMAC演算器1−6−5と判断器1−6−7による認証は、CRC演算による暫定的判断を補うもので、送信相手を更に信用するに値するかを判断する機能と考えてもよい。 Based on the determination result based on the CRC calculation, it can be determined whether or not the decoding has been correctly performed. In other words, whether the other party who transmitted the authentication information input 1-6-1 of the other terminal device knows the correct encryption key ds xyz and used it for encryption, that is, whether the other terminal device is legitimate. It can be temporarily determined whether or not. The subsequent authentication by the MAC computing unit 1-6-5 and the judging unit 1-6-7 supplements the provisional judgment by the CRC computation, and it can be considered as a function for judging whether the transmission partner is more trustworthy. Good.

以上、実施の形態及び実施例に即して本発明について説明したが、本発明はこれらに限定されるものではなく、本発明の技術的範囲内において自由に変更を加えることができるのはいうまでもない。   As described above, the present invention has been described with reference to the embodiments and examples. However, the present invention is not limited to these, and it can be freely modified within the technical scope of the present invention. Not too long.

例えば、実施の形態及び実施例においては、不正端末機器の検出動作の主体となるのは他の端末機器であるが、これに限定されるものではなく、サーバにて検出することとしてもよい。また、検出対象は不正な端末機器であったが、これに限定されるものではなく、不正なサーバを検出するために適用することとしてもよい。   For example, in the embodiment and the example, it is the other terminal device that becomes the subject of the unauthorized terminal device detection operation, but the present invention is not limited to this, and it may be detected by the server. Moreover, although the detection target is an unauthorized terminal device, the present invention is not limited to this, and may be applied to detect an unauthorized server.

また、上述の実施形態及び実施例では、端末機器は互いにハブを介して支社サーバと接続されていたが、本発明はこれに限定されるものではなく、トークンリングにより接続されることとしてもよい。   In the above-described embodiments and examples, the terminal devices are connected to the branch office server via the hub. However, the present invention is not limited to this, and may be connected by a token ring. .

同グループ不正端末機器判定を行なう際、実施例1はMAC値の比較結果に基づいて行ない、実施例3はCRCチェックによる復号の成否の判定結果とMAC値の比較結果とに基づいて行なったが、本発明はこれらに限定されるものではなく、CRCチェックによる復号の成否判定結果のみに基づく同グループ不正端末機器判定であってもよいし、または、MAC値の比較、CRCチェックによる復号の成否判定に代えて、或いは、これらに併用して、他の判定方法を用いて同グループ不正端末機器判定を行なうこととしてもよい。   When performing the group unauthorized terminal device determination, the first embodiment is performed based on the comparison result of the MAC value, and the third embodiment is performed based on the determination result of the success or failure of the decoding by the CRC check and the comparison result of the MAC value. However, the present invention is not limited to these, and it may be the same group unauthorized terminal device determination based only on the decoding success / failure determination result by the CRC check, or the MAC value comparison and the decoding success / failure by the CRC check Instead of the determination, or in combination with these, the same group unauthorized terminal device determination may be performed using another determination method.

ネットワークシステム100のアドレス情報の例として、MACアドレス、IPアドレスを挙げたが、これ以外のアドレス情報に基づいて送信先のサーバ/端末機器を指定することとしてもよい。例えば、属性値はネットワークシステム100内のサーバ、端末機器を一意に指定するので、属性値をアドレスとして用いることとしてもよい。この場合、属性値を平文の状態で認証情報に添付して送信することとなり、属性値は第三者も知りうる情報として扱う必要がある。   As an example of the address information of the network system 100, a MAC address and an IP address are given. However, a destination server / terminal device may be specified based on other address information. For example, the attribute value uniquely specifies a server and a terminal device in the network system 100, so the attribute value may be used as an address. In this case, the attribute value is transmitted in the plain text attached to the authentication information, and the attribute value needs to be handled as information that can be known by a third party.

100 ネットワークシステム
1−1−1 センターサーバ
1−1−2、1−1−3 本社サーバ
1−1−4〜1−1−7 支社サーバ
1−1−8〜1−1−15 グループ
1−4−1 ハブ
1−2−1−1、1−2−2−1、1−2−3−1、1−2−4−1 認識部
1−2−1−2、1−2−2−2、1−2−3−2、1−2−4−2 監視部
1−2−1−3、1−2−2−3、1−2−3−3、1−2−4−3、1−2−1−4、1−2−2−4、1−2−3−4、1−2−4−4 記憶部
1−5−1 認証情報入力
1−5−2、1−6−2 復号演算器
1−5−4 復号結果
1−5−5、1−6−5 MAC演算器
1−5−6、1−6−6 認証鍵
1−5−7、1−6−7 判断器
1−5−12 認証結果
1−5−13 認証情報
1−5−14 データ鍵
1−5−15、1−6−15 暗号演算器
1−5−16 認証結果返信出力
1−5−17 機器制御部
1−5−20、 CRC演算器
1−6−1 他端末機器の認証情報入力
1−6−3、1−6−14 データ鍵
1−6−12 監視結果
1−6−13 認証情報
1−6−16 監視結果出力 100 Network system 1-1-1 Center server 1-1-2, 1-1-3 Head office server 1-1-4 to 1-1-7 Branch office server 1-1-8 to 1-1-15 Group 1 4-1 Hub 1-2-1-1, 1-2-2-1, 1-2-3-1, 1-2-4-1 recognition unit 1-2-1-2, 1-2-2 -1-2, 1-2-3-2, 1-2-4-2 monitoring unit 1-2-1-3, 1-2-2-3, 1-2-3-3, 1-2-4- 3, 1-2-1-4, 1-2-2-4, 1-2-3-4, 1-2-4-4 storage unit 1-5-1 authentication information input 1-5-2, 1 -6-2 Decryption Operation Unit 1-5-4 Decryption Results 1-5-5, 1-6-5 MAC Operation Units 1-5-6, 1-6-6 Authentication Keys 1-5-7, 1-6 -7 Judger 1-5-12 Authentication result 1-5-13 Authentication information 1-5-14 Data key 1- -15, 1-6-15 Cryptographic operator 1-5-16 Authentication result reply output 1-5-17 Device controller 1-5-20, CRC operator 1-6-1 Authentication information input 1 of other terminal device -6-3, 1-6-14 Data key 1-6-12 Monitoring result 1-6-13 Authentication information 1-6-16 Monitoring result output

Claims (37)

それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を記憶する記憶装置と、
前記複数の端末機器の一端末機器であって、当該端末機器以外の第1の端末機器が、当該第1の端末機器の記憶装置に記憶された前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて暗号化して、前記ネットワークシステムを介して送信した暗号化データを、前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて復号する復号手段と、
前記暗号化データの復号結果に応じて前記第1の端末機器が正規の端末機器であると判定する判定手段と
を備えることを特徴とする端末機器。 Each of the plurality of servers is provided with a plurality of servers, each of which includes a plurality of servers belonging to different hierarchies, and each of the servers at the lowest level includes a plurality of terminal devices. In a connected network system, when a seed is given in advance as a data key of the highest server, the terminal device belongs to the first identifier of the server belonging to any one of the layers, and the terminal device A storage device that stores a data key that is a single encryption key generated by inputting a data key of a server that belongs to a hierarchy higher than that of the server to a secret function to a third party;
One terminal device of the plurality of terminal devices, wherein a first terminal device other than the terminal device is generated based on the data key or the data key stored in the storage device of the first terminal device Decrypting means using the encryption key and decrypting encrypted data transmitted via the network system using the data key or an encryption key generated based on the data key;
A terminal device comprising: determination means for determining that the first terminal device is a legitimate terminal device according to a decryption result of the encrypted data. 前記ネットワークシステムに接続された前記複数の端末機器以外の一端末機器である第3の端末機器が、前記ネットワークシステムを介してデータDを送信すると、前記判定手段は、前記データDの復号結果に応じて前記第3の端末機器が不正な端末機器であると判定し、
前記判定手段にて前記第3の端末機器が不正な端末機器であると判定したとき、自分自身を含む前記複数の端末機器の少なくとも一部に対して、予め定められた処理の実行を指示する信号を送信する手段を備えることを特徴とする、請求項1に記載の端末機器。 When a third terminal device, which is one terminal device other than the plurality of terminal devices connected to the network system, transmits data D via the network system, the determination means includes a decoding result of the data D. In response, the third terminal device is determined to be an unauthorized terminal device,
When the determining means determines that the third terminal device is an unauthorized terminal device, it instructs at least some of the plurality of terminal devices including itself to execute a predetermined process. The terminal device according to claim 1, further comprising means for transmitting a signal. 前記予め定められた処理は、当該端末機器の機能の一部乃至全部を制限する処理であることを特徴とする請求項2に記載の端末機器。   The terminal device according to claim 2, wherein the predetermined process is a process of restricting a part or all of the functions of the terminal device. 前記記憶手段は、同じ階層に属するサーバを互いに識別するための識別子であって、第三者に対して秘密にされた識別子である第2の識別子を記憶し、
前記暗号化データは、その少なくとも一部として、前記第2の識別子に基づいて生成したデータを前記データ鍵にて暗号化したデータを含み、
前記判定手段は、前記記憶装置に記憶した前記第2の識別子、及び、前記復号手段での復号結果に基づいて判定する
ことを特徴とする、請求項1乃至3のいずれかに記載の端末機器。 The storage means stores a second identifier that is an identifier for identifying servers belonging to the same hierarchy and is an identifier kept secret from a third party,
The encrypted data includes, as at least a part thereof, data obtained by encrypting data generated based on the second identifier with the data key,
4. The terminal device according to claim 1, wherein the determination unit makes a determination based on the second identifier stored in the storage device and a decoding result of the decoding unit. 5. . 前記第2の識別子は、第三者に対して秘密にされた関数に前記第1の識別子を入力して生成することを特徴とする請求項4に記載の端末機器。   The terminal device according to claim 4, wherein the second identifier is generated by inputting the first identifier into a function kept secret from a third party. 前記暗号化データは、第1のデータと、前記第1のデータのCRC(Cyclic Redundancy Check)である第2のデータとを含むデータを暗号化したものを含み、
前記判定手段は、前記復号結果に含まれる前記第1のデータから生成したCRCと、前記復号結果に含まれる第2のデータとを比較する
ことを特徴とする請求項1乃至5のいずれかに記載の端末機器。 The encrypted data includes encrypted data including first data and second data which is a CRC (Cyclic Redundancy Check) of the first data,
The determination unit compares the CRC generated from the first data included in the decoding result with the second data included in the decoding result. The terminal device described. 前記第三者に対して秘密の関数はハッシュ関数であることを特徴とする請求項1乃至6のいずれかに記載の端末機器。   The terminal device according to claim 1, wherein the secret function for the third party is a hash function. それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を記憶する記憶装置と、
前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて暗号化した暗号化データを、前記ネットワークシステムを介して送信する送信手段とを備え、
前記複数の端末機器の当該他の端末機器が、その記憶装置に記憶している前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用い、前記暗号化データを復号した復号結果に応じて行なう判定を受ける
ことを特徴とする端末機器。 Each of the plurality of servers is provided with a plurality of servers, each of which includes a plurality of servers belonging to different hierarchies, and each of the servers at the lowest level includes a plurality of terminal devices. In a connected network system, when a seed is given in advance as a data key of the highest server, the terminal device belongs to the first identifier of the server belonging to any one of the layers, and the terminal device A storage device that stores a data key that is a single encryption key generated by inputting a data key of a server that belongs to a hierarchy higher than that of the server to a secret function to a third party;
Transmission means for transmitting encrypted data encrypted using the data key or an encryption key generated based on the data key via the network system;
The other terminal device of the plurality of terminal devices uses the data key stored in the storage device or an encryption key generated based on the data key and responds to a decryption result obtained by decrypting the encrypted data A terminal device characterized by receiving a determination to be performed. 更に、前記当該他の端末機器が、前記複数の端末機器の一の端末機器を不正な端末機器であると判定し、送信した指示に応じて、予め定められた処理を実行することを特徴とする請求項8に記載の端末機器。   Further, the other terminal device determines that one terminal device of the plurality of terminal devices is an unauthorized terminal device, and executes a predetermined process in accordance with the transmitted instruction. The terminal device according to claim 8. 前記予め定められた処理は、その端末機器の機能の一部乃至全部を制限する処理であることを特徴とする請求項9に記載の端末機器。   The terminal device according to claim 9, wherein the predetermined process is a process of restricting a part or all of functions of the terminal device. 同じ階層に属するサーバを互いに識別するための識別子であって、第三者に対して秘密にされた識別子である第2の識別子を前記記憶装置に記憶し、
前記暗号化データは、前記第2の識別子に基づいて生成したデータを前記データ鍵にて暗号化したものを含み、
前記当該他の端末機器の記憶装置に記憶した前記第2の識別子、及び、前記復号結果に基づく判定を受ける
ことを特徴とする、請求項8乃至10のいずれかに記載の端末機器。 Storing in the storage device a second identifier that is an identifier for identifying servers belonging to the same hierarchy and is an identifier kept secret from a third party;
The encrypted data includes data generated based on the second identifier and encrypted with the data key,
The terminal device according to claim 8, wherein the terminal device receives determination based on the second identifier stored in the storage device of the other terminal device and the decoding result. 前記第2の識別子は、第三者に対して秘密にされた関数に前記第1の識別子を入力して生成することを特徴とする請求項11に記載の端末機器。   The terminal device according to claim 11, wherein the second identifier is generated by inputting the first identifier into a function kept secret from a third party. 前記暗号化データは、第1のデータと、前記第1のデータのCRC(Cyclic Redundancy Check)である第2のデータとを暗号化したものを含み、
前記当該他の端末機器は、前記復号結果に含まれる前記第1のデータから生成したCRCと、前記復号結果に含まれる第2のデータとを比較する
ことを特徴とする請求項8乃至12のいずれかに記載の端末機器。 The encrypted data includes encrypted first data and second data which is a CRC (Cyclic Redundancy Check) of the first data,
The said other terminal device compares CRC produced | generated from the said 1st data contained in the said decoding result, and the 2nd data contained in the said decoding result, The Claims 8 thru | or 12 characterized by the above-mentioned. A terminal device according to any one of the above. 前記第三者に対して秘密の関数はハッシュ関数であることを特徴とする請求項8乃至13のいずれかに記載の端末機器。   The terminal device according to claim 8, wherein the secret function for the third party is a hash function. それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を記憶装置に記憶する記憶手順と、
前記複数の端末機器の一端末機器であって、当該端末機器以外の第1の端末機器が、当該第1の端末機器の前記記憶装置に記憶された前記データ鍵を用いて暗号化し、前記ネットワークシステムを介して送信した暗号化データを復号する第1の復号手順と、
前記暗号化データの復号結果に応じて前記第1の端末機器が正規の端末機器であると判定する第1の判定手順と、
をコンピュータに実行させるためのプログラム。 Each of the plurality of servers is provided with a plurality of servers, each of which includes a plurality of servers belonging to different hierarchies, and each of the servers at the lowest level includes a plurality of terminal devices. In a connected network system, when a seed is given in advance as a data key of the highest server, the terminal device belongs to the first identifier of the server belonging to any one of the layers, and the terminal device A storage procedure for storing, in a storage device, a data key that is one encryption key generated by inputting a data key of a server that belongs to a level higher than that server to a secret function to a third party When,
A terminal device of the plurality of terminal devices, wherein a first terminal device other than the terminal device encrypts the data using the data key stored in the storage device of the first terminal device; A first decryption procedure for decrypting encrypted data transmitted via the system;
A first determination procedure for determining that the first terminal device is a legitimate terminal device according to a decryption result of the encrypted data;
A program that causes a computer to execute. 前記ネットワークシステムに接続された前記複数の端末機器以外の一端末機器である第3の端末機器が前記ネットワークシステムを介して送信したデータDを復号する第2の復号手順と、
前記データDの復号結果に応じて前記第3の端末機器が不正な端末機器であると判定する第2の判定手順と、
前記第2の判定手順にて前記第3の端末機器が不正な端末機器であると判定したとき、自分自身を含む前記複数の端末機器の少なくとも一部に対して、予め定められた処理の実行を指示する手順をコンピュータに更に実行させるための請求項15に記載のプログラム。 A second decoding procedure for decoding data D transmitted through the network system by a third terminal device that is one terminal device other than the plurality of terminal devices connected to the network system;
A second determination procedure for determining that the third terminal device is an unauthorized terminal device according to a decoding result of the data D;
When it is determined in the second determination procedure that the third terminal device is an unauthorized terminal device, execution of a predetermined process for at least some of the plurality of terminal devices including itself The program according to claim 15, for causing the computer to further execute a procedure for instructing. 前記予め定められた処理は、当該端末機器の機能の一部乃至全部を制限する処理であることを特徴とする請求項16に記載のプログラム。   The program according to claim 16, wherein the predetermined process is a process that restricts a part or all of the functions of the terminal device. 前記記憶手順にて、同じ階層に属するサーバを互いに識別するための識別子であって、第三者に対して秘密にされた識別子である第2の識別子を、当該第2の識別子に該当するサーバ、及び、そのサーバに属する端末機器の記憶装置に記憶し、
前記暗号化データは、前記前記第2の識別子に基づいて生成したデータを前記データ鍵にて暗号化したものを含み、
前記第1の判定手順は、前記記憶手順にて記憶装置に記憶した前記第2の識別子、及び、前記第1の復号手順での復号結果に基づいて判定する
ことを特徴とする、請求項15乃至17のいずれかに記載のプログラム。 In the storage procedure, a second identifier that is an identifier for mutually identifying servers belonging to the same hierarchy and is kept secret from a third party is a server corresponding to the second identifier. And stored in a storage device of a terminal device belonging to the server,
The encrypted data includes data generated based on the second identifier and encrypted with the data key,
The first determination procedure is determined based on the second identifier stored in a storage device in the storage procedure and a decoding result in the first decoding procedure. The program in any one of thru | or 17. 前記第2の識別子は、第三者に対して秘密にされた関数に前記第1の識別子を入力して生成することを特徴とする請求項18に記載のプログラム。   The program according to claim 18, wherein the second identifier is generated by inputting the first identifier into a function kept secret from a third party. 前記暗号化データは、第1のデータと、前記第1のデータのCRC(Cyclic Redundancy Check)である第2のデータとを含むデータを暗号化したものを含み、
前記第1の判定手順にて、前記復号結果に含まれる前記第1のデータから生成したCRCと、前記復号結果に含まれる第2のデータとを比較する
ことを特徴とする請求項15乃至19のいずれかに記載のプログラム。 The encrypted data includes encrypted data including first data and second data which is a CRC (Cyclic Redundancy Check) of the first data,
20. The CRC generated from the first data included in the decoding result and the second data included in the decoding result are compared in the first determination procedure. A program according to any of the above. 前記第三者に対して秘密の関数はハッシュ関数であることを特徴とする請求項15乃至20のいずれかに記載のプログラム。   21. The program according to claim 15, wherein the secret function for the third party is a hash function. それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を記憶する記憶手順と、
前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて暗号化した暗号化データを、前記ネットワークシステムを介して送信する送信手順とをコンピュータに実行させて、
前記複数の端末機器の当該他の端末機器が、その記憶装置に記憶している前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用い、前記暗号化データを復号した復号結果に応じて行なう判定を、前記コンピュータに受けさせる
ことを特徴とするプログラム。 Each of the plurality of servers is provided with a plurality of servers, each of which includes a plurality of servers belonging to different hierarchies, and each of the servers at the lowest level includes a plurality of terminal devices. In a connected network system, when a seed is given in advance as a data key of the highest server, the terminal device belongs to the first identifier of the server belonging to any one of the layers, and the terminal device A storage procedure for storing a data key, which is a single encryption key generated by inputting a data key of a server belonging to a hierarchy above that server to a third party as a secret function;
Causing a computer to execute a transmission procedure for transmitting encrypted data encrypted using the data key or an encryption key generated based on the data key, via the network system;
The other terminal device of the plurality of terminal devices uses the data key stored in the storage device or an encryption key generated based on the data key and responds to a decryption result obtained by decrypting the encrypted data A program that causes the computer to receive the determination to be performed. 更に、前記当該他の端末機器が、前記複数の端末機器の一の端末機器を不正な端末機器であると判定して送信した指示を受信すると、前記指示に応じて、予め定められた処理を実行することを特徴とする請求項22に記載のプログラム。   Further, when the other terminal device receives an instruction transmitted by determining that one terminal device of the plurality of terminal devices is an unauthorized terminal device, a predetermined process is performed according to the instruction. The program according to claim 22, wherein the program is executed. 前記予め定められた処理は、その端末機器の機能の一部乃至全部を制限する処理であることを特徴とする請求項23に記載のプログラム。   The program according to claim 23, wherein the predetermined process is a process of restricting a part or all of the functions of the terminal device. 同じ階層に属するサーバを互いに識別するための識別子であって、第三者に対して秘密にされた識別子である第2の識別子を前記記憶装置に記憶し、
前記暗号化データは、前記第2の識別子に基づいて生成したデータを前記データ鍵にて暗号化したものを含み、
前記当該他の端末機器の記憶装置に記憶した前記第2の識別子、及び、前記復号結果に基づく判定を受ける
ことを特徴とする、請求項22乃至24のいずれかに記載のプログラム。 Storing in the storage device a second identifier that is an identifier for identifying servers belonging to the same hierarchy and is an identifier kept secret from a third party;
The encrypted data includes data generated based on the second identifier and encrypted with the data key,
The program according to any one of claims 22 to 24, which receives a determination based on the second identifier stored in the storage device of the other terminal device and the decoding result. 前記第2の識別子は、第三者に対して秘密にされた関数に前記第1の識別子を入力して生成することを特徴とする請求項25に記載のプログラム。   26. The program according to claim 25, wherein the second identifier is generated by inputting the first identifier into a function kept secret from a third party. 前記暗号化データは、第1のデータと、前記第1のデータのCRC(Cyclic Redundancy Check)である第2のデータとを暗号化したものを含み、
前記当該他の端末機器は、前記復号結果に含まれる前記第1のデータから生成したCRCと、前記復号結果に含まれる第2のデータとを比較する
ことを特徴とする請求項22乃至26のいずれかに記載のプログラム。 The encrypted data includes encrypted first data and second data which is a CRC (Cyclic Redundancy Check) of the first data,
27. The other terminal device compares the CRC generated from the first data included in the decoding result with the second data included in the decoding result. The program according to any one. 前記第三者に対して秘密の関数はハッシュ関数であることを特徴とする請求項22乃至27のいずれかに記載のプログラム。   28. The program according to claim 22, wherein the secret function for the third party is a hash function. 請求項15及び28のいずれかに記載のプログラムを格納したコンピュータ読取可能な記録媒体。   A computer-readable recording medium storing the program according to any one of claims 15 and 28. それぞれが異なる階層に属する複数のサーバを備え、
同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、
最下層のサーバそれぞれに複数の端末機器が接続され、
請求項1乃至7に記載の端末機器、及び、請求項15乃至21に記載のプログラムに従って動作するコンピュータのいずれか少なくともひとつを備え、
請求項8乃至14に記載の端末機器、及び、請求項22乃至28に記載のプログラムに従って動作するコンピュータのいずれか少なくともひとつを備えるネットワークシステム。 Each with multiple servers belonging to different tiers,
A first identifier for identifying servers belonging to the same hierarchy from each other is given to each of the plurality of servers,
Multiple terminal devices are connected to each lowermost server,
At least one of the terminal device according to claim 1 and the computer that operates according to the program according to claims 15 to 21,
A network system comprising at least one of the terminal device according to claim 8 and a computer that operates according to the program according to claim 22. それぞれが異なる階層に属する複数のサーバを備え、同じ階層に属するサーバ同士を互いに識別するための第1の識別子が前記複数のサーバのそれぞれに付与され、最下層のサーバそれぞれに複数の端末機器が接続されたネットワークシステムにて、最上位のサーバのデータ鍵としてシードが予め与えられているとき、その端末機器が属し、前記階層のいずれかに属するサーバの第1の識別子と、その端末機器から見てそのサーバよりひとつ上の階層に属するサーバのデータ鍵とを、第三者に対して秘密の関数に入力することにより生成したひとつの暗号鍵であるデータ鍵を、前記複数の端末機器のそれぞれの記憶装置に記憶する記憶段階と、
前記複数の端末機器のうちの一端末機器である第1の端末機器が、前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて暗号化した暗号化データを、前記ネットワークシステムを介して送信する送信段階と、
前記複数の端末機器のうちの一端末機器であって、前記第1の端末機器以外の端末機器である第2の端末機器が前記暗号化データを受信する受信段階と、
前記第2の端末機器が、自身の前記記憶装置に記憶されている前記データ鍵または前記データ鍵に基づいて生成された暗号鍵を用いて、前記暗号化データを復号する復号段階と、
前記暗号化データの復号結果に応じて前記第1の端末機器が正規の端末機器であると前記第2の端末機器が判定する判定段階と
を含むことを特徴とする、端末機器の管理方法。 Each of the plurality of servers is provided with a plurality of servers, each of which includes a plurality of servers belonging to different hierarchies, and each of the servers at the lowest level includes a plurality of terminal devices. In a connected network system, when a seed is given in advance as a data key of the highest server, the terminal device belongs to the first identifier of the server belonging to any one of the layers, and the terminal device A data key that is a single encryption key generated by inputting a data key of a server that is one level higher than that server into a secret function with respect to a third party is obtained from the plurality of terminal devices. A storage stage to store in each storage device;
A first terminal device that is one terminal device among the plurality of terminal devices uses the network system to encrypt data that is encrypted using the data key or an encryption key generated based on the data key. A transmission stage to transmit via,
A receiving step in which a second terminal device that is one terminal device of the plurality of terminal devices and is a terminal device other than the first terminal device receives the encrypted data;
A decryption step in which the second terminal device decrypts the encrypted data using the data key stored in its storage device or an encryption key generated based on the data key;
A terminal device management method, comprising: a determination step in which the second terminal device determines that the first terminal device is a legitimate terminal device according to a decryption result of the encrypted data. 前記送信段階にて、前記ネットワークシステムに接続された前記複数の端末機器以外の一端末機器である第3の端末機器がデータDを送信し、
前記受信段階にて前記第2の端末機器が前記データDを受信し、
前記復号段階にて前記第2の端末機器が前記データDを復号し、
前記判定段階にて前記データDの復号結果に応じて前記第3の端末機器が不正な端末機器であると前記第2の端末機器が判定し、
更に、前記判定段階にて前記第3の端末機器が不正な端末機器であると判定したとき、前記第2の端末機器が、自分自身を含む前記複数の端末機器の少なくとも一部に対して、予め定められた処理の実行を指示する段階を含むことを特徴とする、請求項31に記載の端末機器の管理方法。 In the transmission stage, a third terminal device that is one terminal device other than the plurality of terminal devices connected to the network system transmits data D,
In the reception stage, the second terminal device receives the data D,
In the decoding step, the second terminal device decodes the data D,
In the determination step, the second terminal device determines that the third terminal device is an unauthorized terminal device according to the decoding result of the data D,
Furthermore, when it is determined in the determination step that the third terminal device is an unauthorized terminal device, the second terminal device is configured to at least a part of the plurality of terminal devices including itself. 32. The terminal device management method according to claim 31, further comprising a step of instructing execution of a predetermined process. 前記予め定められた処理は、当該端末機器の機能の一部乃至全部を制限する処理であることを特徴とする請求項32に記載の端末機器の管理方法。   The terminal device management method according to claim 32, wherein the predetermined process is a process of restricting a part or all of the functions of the terminal device. 前記記憶段階にて、同じ階層に属するサーバを互いに識別するための識別子であって、第三者に対して秘密にされた識別子である第2の識別子を、当該第2の識別子に該当するサーバ、及び、そのサーバに属する端末機器の記憶装置に記憶し、
前記送信段階にて、前記第1の端末機器は、前記暗号化データの少なくとも一部として、前記第2の識別子に基づいて生成したデータを前記データ鍵にて暗号化して送信し、
前記判定段階にて、前記第2の端末機器は、前記記憶段階にて記憶装置に記憶した前記第2の識別子、及び、前記復号段階での復号結果に基づいて判定する
ことを特徴とする、請求項31乃至33のいずれかに記載の端末機器の管理方法。 In the storage step, a second identifier that is an identifier for mutually identifying servers belonging to the same hierarchy and is kept secret from a third party is a server corresponding to the second identifier. And stored in a storage device of a terminal device belonging to the server,
In the transmission stage, the first terminal device encrypts and transmits data generated based on the second identifier as the at least part of the encrypted data with the data key,
In the determination step, the second terminal device makes a determination based on the second identifier stored in the storage device in the storage step and the decoding result in the decoding step. The terminal device management method according to claim 31. 前記第2の識別子は、第三者に対して秘密にされた関数に前記第1の識別子を入力して生成することを特徴とする請求項34に記載の端末機器の管理方法。   The terminal device management method according to claim 34, wherein the second identifier is generated by inputting the first identifier into a function kept secret from a third party. 前記送信段階にて、第1のデータと、前記第1のデータのCRC(Cyclic Redundancy Check)である第2のデータとを含むデータを暗号化し、
前記判定段階にて、前記第2の端末機器は、前記復号結果に含まれる前記第1のデータから生成したCRCと、前記復号結果に含まれる第2のデータとを比較する
ことを特徴とする請求項31乃至35のいずれかに記載の端末機器の管理方法。 In the transmission step, data including first data and second data that is a CRC (Cyclic Redundancy Check) of the first data is encrypted.
In the determination step, the second terminal device compares the CRC generated from the first data included in the decoding result with the second data included in the decoding result. The terminal device management method according to any one of claims 31 to 35. 前記第三者に対して秘密の関数はハッシュ関数であることを特徴とする請求項31乃至36のいずれかに記載の端末機器の管理方法。   37. The terminal device management method according to claim 31, wherein the secret function for the third party is a hash function.
JP2010130915A 2010-06-08 2010-06-08 TERMINAL DEVICE MANAGEMENT METHOD, TERMINAL DEVICE, PROGRAM, AND NETWORK SYSTEM Expired - Fee Related JP5252591B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010130915A JP5252591B2 (en) 2010-06-08 2010-06-08 TERMINAL DEVICE MANAGEMENT METHOD, TERMINAL DEVICE, PROGRAM, AND NETWORK SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010130915A JP5252591B2 (en) 2010-06-08 2010-06-08 TERMINAL DEVICE MANAGEMENT METHOD, TERMINAL DEVICE, PROGRAM, AND NETWORK SYSTEM

Publications (2)

Publication Number Publication Date
JP2011259134A true JP2011259134A (en) 2011-12-22
JP5252591B2 JP5252591B2 (en) 2013-07-31

Family

ID=45474839

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010130915A Expired - Fee Related JP5252591B2 (en) 2010-06-08 2010-06-08 TERMINAL DEVICE MANAGEMENT METHOD, TERMINAL DEVICE, PROGRAM, AND NETWORK SYSTEM

Country Status (1)

Country Link
JP (1) JP5252591B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06501120A (en) * 1990-11-07 1994-01-27 タウ システム コーポレイション Safety system for remotely starting software on personal computers
JP2008124884A (en) * 2006-11-14 2008-05-29 Nec Corp Encryption key management method, system and program therefor
JP2008148029A (en) * 2006-12-11 2008-06-26 Yamatake Corp Radio communication system and device
JP2009542118A (en) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Hierarchical deterministic pairwise key pre-distribution scheme
JP2011077750A (en) * 2009-09-30 2011-04-14 Nec Access Technica Ltd Method, system and program for managing terminal device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06501120A (en) * 1990-11-07 1994-01-27 タウ システム コーポレイション Safety system for remotely starting software on personal computers
JP2009542118A (en) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Hierarchical deterministic pairwise key pre-distribution scheme
JP2008124884A (en) * 2006-11-14 2008-05-29 Nec Corp Encryption key management method, system and program therefor
JP2008148029A (en) * 2006-12-11 2008-06-26 Yamatake Corp Radio communication system and device
JP2011077750A (en) * 2009-09-30 2011-04-14 Nec Access Technica Ltd Method, system and program for managing terminal device

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CSNB199900255001; 池野信一,小山謙二: "現代暗号理論" 初版第6刷, 19971116, p.220-223, 社団法人電子情報通信学会 *
JPN6012053955; 池野信一,小山謙二: "現代暗号理論" 初版第6刷, 19971116, p.220-223, 社団法人電子情報通信学会 *
JPN7012003988; 野島良,楫勇一: '"落とし戸付き一方向性関数を利用した木構造鍵管理方式"' 暗号と情報セキュリティシンポジウム(SCIS2003)講演論文集CD-ROM 3B 鍵配送・管理(1), 20030126, 3B-4, 電子情報通信学会 情報セキュリティ研究専門委員会 *

Also Published As

Publication number Publication date
JP5252591B2 (en) 2013-07-31

Similar Documents

Publication Publication Date Title
US10200194B2 (en) Theft and tamper resistant data protection
WO2021114923A1 (en) Data storage method and apparatus and data reading method and apparatus for private data
CN104735087B (en) Multi-cluster Hadoop system security optimization method based on public key algorithm and SSL protocol
TWI706658B (en) Cryptographic calculation, method for creating working key, cryptographic service platform and equipment
KR102555164B1 (en) Enabling access to data
KR101753859B1 (en) Server and method for managing smart home environment thereby, method for joining smart home environment and method for connecting communication session with smart device
JP2013512625A (en) System and method for securing data in motion
CN109995530B (en) Safe distributed database interaction system suitable for mobile positioning system
JP6072806B2 (en) Group secret management by group members
CN105516980A (en) Token authentication method for wireless sensor network based on Restful architecture
CN107508672A (en) A kind of cipher key synchronization method and key synchronization device based on pool of symmetric keys, key synchronization system
JP4875781B1 (en) Distributed data storage system
US10129025B2 (en) Binding data to a network in the presence of an entity with revocation capabilities
JP4860779B1 (en) Distributed data storage system
CN101282208A (en) Method for updating safety connection incident master key as well as server and network system
CN109446793B (en) Account encryption method and device based on Windows agent
CN106452752A (en) Method and system of modifying cipher, client, server and smart device
US20210409210A1 (en) Hardware Security Module
US20230299971A1 (en) Data protection apparatus, electronic apparatus, method, and storage medium
JP5252591B2 (en) TERMINAL DEVICE MANAGEMENT METHOD, TERMINAL DEVICE, PROGRAM, AND NETWORK SYSTEM
CN111523154B (en) Method and system for obtaining hardware unique identifier and corresponding computer equipment
JP4906005B2 (en) Terminal device management method, system, and program
US11907351B2 (en) Secure cross-device authentication system
JP2012155360A (en) Data distribution management system
WO2016158908A1 (en) Network communication method and network communication system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121017

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130321

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130411

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160426

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees