JP5845333B2 - 管理装置、システム、及び方法 - Google Patents
管理装置、システム、及び方法 Download PDFInfo
- Publication number
- JP5845333B2 JP5845333B2 JP2014260514A JP2014260514A JP5845333B2 JP 5845333 B2 JP5845333 B2 JP 5845333B2 JP 2014260514 A JP2014260514 A JP 2014260514A JP 2014260514 A JP2014260514 A JP 2014260514A JP 5845333 B2 JP5845333 B2 JP 5845333B2
- Authority
- JP
- Japan
- Prior art keywords
- node
- device key
- participating
- key
- assigned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明の実施形態は、管理装置、システム、及び方法に関する。
従来、1つの根ノード(ルートノードという)となるノードを含み且つ隣接する階層のノ
ード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成
する無線メッシュネットワークにおいて、1つのグループ鍵を無線メッシュネットワーク
内の各ノードで共有する技術がある。
ード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成
する無線メッシュネットワークにおいて、1つのグループ鍵を無線メッシュネットワーク
内の各ノードで共有する技術がある。
グループ鍵は、例えば、無線メッシュネットワークに接続された各ノードに対する通信の
可否を確認するための認証に用いられる。
可否を確認するための認証に用いられる。
新規ノードは、無線メッシュネットワークに新たに参加する時に、新規ノードとルートノ
ードとの間で実行されるネットワークアクセス認証を行う。ネットワークアクセス認証が
成功すれば、ルートノードと新規ノードは、それぞれ共通の暗号鍵を生成し、共通の暗号
鍵を共有する。
ードとの間で実行されるネットワークアクセス認証を行う。ネットワークアクセス認証が
成功すれば、ルートノードと新規ノードは、それぞれ共通の暗号鍵を生成し、共通の暗号
鍵を共有する。
そして、ルートノードは、新規ノードに対して、暗号鍵で暗号化したグループ鍵を送信す
る。
る。
このように、新規ノードはルートノードからグループ鍵を取得することができる。
グループ鍵は、有効期限を持ち、有効期限切れになる前に更新され、新しいグループ鍵が
生成されることがある。そして、新しいグループ鍵は、無線メッシュネットワークに接続
する全てのノードで共有する必要がある。
生成されることがある。そして、新しいグループ鍵は、無線メッシュネットワークに接続
する全てのノードで共有する必要がある。
ルートノードが、新しいグループ鍵を、無線メッシュネットワークに接続するノードに通
知する際、無線メッシュネットワーク外に新しいグループ鍵が漏えいすることを防ぐため
、新しいグループ鍵を暗号化する必要がある。
知する際、無線メッシュネットワーク外に新しいグループ鍵が漏えいすることを防ぐため
、新しいグループ鍵を暗号化する必要がある。
データの暗号化の方法として、MKB(Media Key Block)を用いた方法がある。
MKBを用いた方法では、データ送付対象の各機器に各々異なるデバイス鍵を割り当てる
。次に、割り当てたデバイス鍵全てを用いてデータを暗号化してMKBを生成する。各機
器は、MKBを受け取ると、デバイス鍵を用いてMKBを復号し、データを取得する。こ
こでMKBのサイズは、デバイス鍵の組み合わせ方次第で決まる。
。次に、割り当てたデバイス鍵全てを用いてデータを暗号化してMKBを生成する。各機
器は、MKBを受け取ると、デバイス鍵を用いてMKBを復号し、データを取得する。こ
こでMKBのサイズは、デバイス鍵の組み合わせ方次第で決まる。
MKBは、従来からHD DVD等に用いられている技術である。HD DVDにMKBを
書き込み、HD DVD機器は、デバイス鍵を用いてMKBを復号して、データを取得す
ることができる。
書き込み、HD DVD機器は、デバイス鍵を用いてMKBを復号して、データを取得す
ることができる。
MKBをHD DVDで用いる場合、他の機器にデータが流出することを防ぐため、リボ
ケーション機能が用いられている。リボケーション機能は、デバイス鍵が情報流出等した
場合に、当該デバイス鍵を無効化し、当該デバイス鍵の使用を禁止する機能である。
ケーション機能が用いられている。リボケーション機能は、デバイス鍵が情報流出等した
場合に、当該デバイス鍵を無効化し、当該デバイス鍵の使用を禁止する機能である。
MKBを無線メッシュネットワークに用いる場合、例えば、以下のようにデータの暗号化
、復号が行われる。ルートノードは、無線メッシュネットワークに参加したノード各々に
対して、異なるデバイス鍵を割り当てる。ルートノードは、無線メッシュネットワークに
参加したノード各々に割り当てたデバイス鍵全てを用いて、新しいグループ鍵を暗号化し
、MKBを生成する。ルートノードは、無線メッシュネットワークに参加する全てのノー
ドに対して、MKBを送信する。各ノードは、デバイス鍵を用いて、MKBを復号して、
新しいグループ鍵を取得する。
、復号が行われる。ルートノードは、無線メッシュネットワークに参加したノード各々に
対して、異なるデバイス鍵を割り当てる。ルートノードは、無線メッシュネットワークに
参加したノード各々に割り当てたデバイス鍵全てを用いて、新しいグループ鍵を暗号化し
、MKBを生成する。ルートノードは、無線メッシュネットワークに参加する全てのノー
ドに対して、MKBを送信する。各ノードは、デバイス鍵を用いて、MKBを復号して、
新しいグループ鍵を取得する。
無線メッシュネットワークでは、ノードが無線メッシュネットワークへの参加と退出を頻
繁に繰り返すことがありうる。ここで、ルートノードが、ノードが退出をするたびに、デ
バイス鍵を削除し、参加するたびに、新たなデバイス鍵を割り当てた場合を想定する。つ
まり、MKBをHD DVDに用いる場合に適用されるリボケーション機能をそのまま無
線メッシュネットワークでも適用する場合を想定する。この場合、ノードが参加と退出を
繰り返すほど、ルートノードが選択しうるデバイス鍵の選択肢は減ることとなる。前述し
たように、MKBのサイズは、デバイス鍵の組み合わせ方次第で決まる。したがって、M
KB生成のためのデバイス鍵の選択肢が減ると、ルートノードが生成するMKBのサイズ
は増大することとなる。この結果、無線メッシュネットワークに接続するノードの処理負
荷が増大することとなりうる。
繁に繰り返すことがありうる。ここで、ルートノードが、ノードが退出をするたびに、デ
バイス鍵を削除し、参加するたびに、新たなデバイス鍵を割り当てた場合を想定する。つ
まり、MKBをHD DVDに用いる場合に適用されるリボケーション機能をそのまま無
線メッシュネットワークでも適用する場合を想定する。この場合、ノードが参加と退出を
繰り返すほど、ルートノードが選択しうるデバイス鍵の選択肢は減ることとなる。前述し
たように、MKBのサイズは、デバイス鍵の組み合わせ方次第で決まる。したがって、M
KB生成のためのデバイス鍵の選択肢が減ると、ルートノードが生成するMKBのサイズ
は増大することとなる。この結果、無線メッシュネットワークに接続するノードの処理負
荷が増大することとなりうる。
本発明の一側面は、ネットワーク内の各ノードに対して、サイズの小さいMKBを送付し
、各ノードの処理負荷を低減することを目的とする。
、各ノードの処理負荷を低減することを目的とする。
本発明の一側面に係る管理装置は、複数の群に有限個数ずつ属し、暗号文を復号可能なデ
バイス鍵が各々割り当てられた複数の参加ノードを含むネットワーク内で、前記デバイス
鍵を管理する管理装置であって、参加ノード管理部と、デバイス鍵割り当て部と、暗号文
生成部とを備える。参加ノード管理部は、前記ネットワークに新たに参加する新規ノード
を検出する。デバイス鍵割り当て部は、前記新規ノードが前記ネットワークに過去参加し
ていた過去参加ノードである場合、前記新規ノードに過去割り当てられていたデバイス鍵
を再度割り当てる。暗号文生成部は、前記ネットワーク内の前記参加ノード及び前記新規
ノードに対してメッセージを送信する際、前記参加ノードに割り当てられているデバイス
鍵及び前記新規ノードに割り当てられたデバイス鍵を用いて、前記メッセージを暗号化し
て暗号文を生成する。前記暗号文は、前記参加ノードに割り当てられているデバイス鍵及
び前記新規ノードに割り当てられたデバイス鍵が、前記複数の群のうち少ない群から選択
されていればいるほど、小さいサイズとなる。
バイス鍵が各々割り当てられた複数の参加ノードを含むネットワーク内で、前記デバイス
鍵を管理する管理装置であって、参加ノード管理部と、デバイス鍵割り当て部と、暗号文
生成部とを備える。参加ノード管理部は、前記ネットワークに新たに参加する新規ノード
を検出する。デバイス鍵割り当て部は、前記新規ノードが前記ネットワークに過去参加し
ていた過去参加ノードである場合、前記新規ノードに過去割り当てられていたデバイス鍵
を再度割り当てる。暗号文生成部は、前記ネットワーク内の前記参加ノード及び前記新規
ノードに対してメッセージを送信する際、前記参加ノードに割り当てられているデバイス
鍵及び前記新規ノードに割り当てられたデバイス鍵を用いて、前記メッセージを暗号化し
て暗号文を生成する。前記暗号文は、前記参加ノードに割り当てられているデバイス鍵及
び前記新規ノードに割り当てられたデバイス鍵が、前記複数の群のうち少ない群から選択
されていればいるほど、小さいサイズとなる。
以下、本発明の実施の形態について、図面を参照しながら説明する。尚、各図において同
一箇所については同一の符号を付すとともに、重複した説明は省略する。
一箇所については同一の符号を付すとともに、重複した説明は省略する。
<第1の実施形態>
図1は、本発明の第1の実施形態にかかるシステム10を示すブロック図である。
図1は、本発明の第1の実施形態にかかるシステム10を示すブロック図である。
システム10は、1つの根ノード(ルートノードという)を含み且つ隣接する階層のノード
間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する
無線メッシュネットワーク10である。本実施例のシステム10は、ルートノード10を第1階
層としたとき、最下位層のノードは第N+1階層であるシステムであるとする。
間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する
無線メッシュネットワーク10である。本実施例のシステム10は、ルートノード10を第1階
層としたとき、最下位層のノードは第N+1階層であるシステムであるとする。
ルートノード100は、無線メッシュネットワーク10内に一つ存在する。ルートノード100は
、システム10の最上位層(第1階層)のノードである。
、システム10の最上位層(第1階層)のノードである。
ルートノード100は、無線メッシュネットワーク10内の各ノードの管理を行う。また、ル
ートノード100は、無線メッシュネットワーク10内の各ノード間で共有するグループ鍵の
管理を行う。尚、グループ鍵についての説明は、後述する。
ートノード100は、無線メッシュネットワーク10内の各ノード間で共有するグループ鍵の
管理を行う。尚、グループ鍵についての説明は、後述する。
ここで、ルートノード100が行うノードの管理とは、例えば、無線メッシュネットワーク1
0へのノードの参加の許可若しくは禁止することや、ノードが、無線メッシュネットワー
ク10から離脱することを検出することや、無線メッシュネットワーク10内のノード一覧を
把握することである。また、グループ鍵の管理とは、例えば、グループ鍵を生成すること
、グループ鍵の有効期限を監視すること、及びグループ鍵を更新して新しいグループ鍵
を生成することである。
0へのノードの参加の許可若しくは禁止することや、ノードが、無線メッシュネットワー
ク10から離脱することを検出することや、無線メッシュネットワーク10内のノード一覧を
把握することである。また、グループ鍵の管理とは、例えば、グループ鍵を生成すること
、グループ鍵の有効期限を監視すること、及びグループ鍵を更新して新しいグループ鍵
を生成することである。
ネットワーク103は、システム10のうち、第2階層のノードから第N−1階層のノードを含
むネットワークである。図1において、ノード101A及び101Dは第2階層のノードであり、ノ
ード101B及び101Eは、第3階層のノードであり、ノード101C、ノード101Fは、第N-1階層の
ノードである。
むネットワークである。図1において、ノード101A及び101Dは第2階層のノードであり、ノ
ード101B及び101Eは、第3階層のノードであり、ノード101C、ノード101Fは、第N-1階層の
ノードである。
親ノード101Gは、システム10の第N階層のノードである。親ノード101は、ネットワーク10
3内のノード101Cと接続する。ノード101Cから受け取ったデータを、子ノード101Hに対し
て、転送する。より詳細には、親ノード101Gは、ノード101から受け取ったMKBを、自装置
のデバイス鍵で復号し、更新後のグループ鍵を取得するとともに、子ノード101HにMKBを
転送する。
3内のノード101Cと接続する。ノード101Cから受け取ったデータを、子ノード101Hに対し
て、転送する。より詳細には、親ノード101Gは、ノード101から受け取ったMKBを、自装置
のデバイス鍵で復号し、更新後のグループ鍵を取得するとともに、子ノード101HにMKBを
転送する。
子ノード101Hは、親ノード101Gとの間でデータの送受信を行う。子ノード101Hは、システ
ム10の最下位層(第N+1階層)のノードである。より詳細には、子ノード101Hは、親ノー
ド101Gが送信したMKBを受け取ると、自装置のデバイス鍵で復号し、更新後のグループ鍵
を取得する。
ム10の最下位層(第N+1階層)のノードである。より詳細には、子ノード101Hは、親ノー
ド101Gが送信したMKBを受け取ると、自装置のデバイス鍵で復号し、更新後のグループ鍵
を取得する。
尚、一般的に、親ノード及び子ノードとは、ルーティングツリー上の相対的位置関係から
導き出される。つまり、2つの隣接する階層のノードのうち、上位の層にあるノードが親
ノードであり、下位の層にあるノードが子ノードである。つまり、親ノード101Gは、子ノ
ード101Hにとっての親ノードであるが、ノード101Cにとっては子ノードである。
導き出される。つまり、2つの隣接する階層のノードのうち、上位の層にあるノードが親
ノードであり、下位の層にあるノードが子ノードである。つまり、親ノード101Gは、子ノ
ード101Hにとっての親ノードであるが、ノード101Cにとっては子ノードである。
本実施例では、説明の明確化のために、図1に示すように、システム10の最下位層(第N
+1階層)のノードを子ノードとし、最下位層より1層上(第N階層)のノードであるノー
ドを親ノードとして説明する。
+1階層)のノードを子ノードとし、最下位層より1層上(第N階層)のノードであるノー
ドを親ノードとして説明する。
図3は、ルートノード100を示すブロック図である。
通信部300は、無線メッシュネットワーク10内の各ノードと通信を行う。
グループ鍵生成部301は、グループ鍵を生成する。
参加ノード管理部302は、ノードが、無線メッシュネットワーク10に新たに参加(接続
)したことを検出し、新たに参加したノード(新規ノードと称する。)との間でネットワ
ークアクセス認証処理を行う。ネットワークアクセス認証処理を行うと、認証結果を、デ
バイス鍵割り当て部304に通知する。
)したことを検出し、新たに参加したノード(新規ノードと称する。)との間でネットワ
ークアクセス認証処理を行う。ネットワークアクセス認証処理を行うと、認証結果を、デ
バイス鍵割り当て部304に通知する。
また、参加ノード管理部302は、ノードが、無線メッシュネットワーク10から離脱した
ことを検出する。参加ノード管理部302は、ノードの参加、若しくは離脱を検出すると、
参加ノードDB303を更新する。更新方法の具体的方法は後述する。また、ノードの参加
を検出すると、デバイス鍵割り当て部304に対して、デバイス鍵の割り当てを指示する。
ことを検出する。参加ノード管理部302は、ノードの参加、若しくは離脱を検出すると、
参加ノードDB303を更新する。更新方法の具体的方法は後述する。また、ノードの参加
を検出すると、デバイス鍵割り当て部304に対して、デバイス鍵の割り当てを指示する。
参加ノードDB303は、無線メッシュネットワーク10に現在参加しているノード(参加ノ
ードと称する。)と過去参加したノード(過去参加ノードと称する。)を管理する。例え
ば、図4(a)に示すように、ノードを特定する情報(例えば、ノードを特定する識別子)と
当該ノードの参加状況を記憶する。前述した、参加ノードとは、参加状況が「現在参加」
中のノードであり、過去参加ノードとは、参加状況が、「過去参加」のノードである。こ
こで、参加ノードの情報とは、ノードを特定する情報と参加状況が「現在参加」である
との情報の組み合わせの情報であるとする。また、過去参加ノードの情報とは、ノードを
特定する情報と参加状況が「過去参加」であるとの情報の組み合わせである。尚、参加ノ
ードの情報及び過去参加ノードの情報とは、これらの情報に限られず、どのノードがどう
いった参加状況であるかを特定できる情報であればよい。
ードと称する。)と過去参加したノード(過去参加ノードと称する。)を管理する。例え
ば、図4(a)に示すように、ノードを特定する情報(例えば、ノードを特定する識別子)と
当該ノードの参加状況を記憶する。前述した、参加ノードとは、参加状況が「現在参加」
中のノードであり、過去参加ノードとは、参加状況が、「過去参加」のノードである。こ
こで、参加ノードの情報とは、ノードを特定する情報と参加状況が「現在参加」である
との情報の組み合わせの情報であるとする。また、過去参加ノードの情報とは、ノードを
特定する情報と参加状況が「過去参加」であるとの情報の組み合わせである。尚、参加ノ
ードの情報及び過去参加ノードの情報とは、これらの情報に限られず、どのノードがどう
いった参加状況であるかを特定できる情報であればよい。
図4(a)に、参加ノードDB303が記憶する情報の一例を示す。参加ノード管理部302が
、ノードの参加若しくは離脱を検出すると、参加ノードDB303の情報は更新される。例
えば、過去に参加したノード101Hが、再度参加した場合、参加状況が、「過去参加」から
「現在参加」に更新される。また、新たに参加したノードが、過去に参加したことがない
ノードである場合、新たに参加したノードをデータベースに追加する。また、ノードが、
無線メッシュネットワークから離脱した場合、離脱したノードの参加状況を「現在参加」
から「過去参加」に更新する。参加ノードDB303が記憶する参加状況は、後述する暗号
文生成部307が、更新後のグループ鍵を暗号化してMKBを生成する際に、参照する。参照す
ることで、現在参加しているノードが復号可能で、現在参加していないノードが復号不可
能なMKBを生成する。暗号文生成部307のMKBを生成する動作の詳細は後述する。
、ノードの参加若しくは離脱を検出すると、参加ノードDB303の情報は更新される。例
えば、過去に参加したノード101Hが、再度参加した場合、参加状況が、「過去参加」から
「現在参加」に更新される。また、新たに参加したノードが、過去に参加したことがない
ノードである場合、新たに参加したノードをデータベースに追加する。また、ノードが、
無線メッシュネットワークから離脱した場合、離脱したノードの参加状況を「現在参加」
から「過去参加」に更新する。参加ノードDB303が記憶する参加状況は、後述する暗号
文生成部307が、更新後のグループ鍵を暗号化してMKBを生成する際に、参照する。参照す
ることで、現在参加しているノードが復号可能で、現在参加していないノードが復号不可
能なMKBを生成する。暗号文生成部307のMKBを生成する動作の詳細は後述する。
デバイス鍵割り当て部304は、参加ノード管理部302からデバイス鍵の割り当ての指示を受
けると、無線メッシュネットワーク10に参加したノードに対して、デバイス鍵の割り当て
を行う。デバイス鍵割り当て部304は、無線メッシュネットワーク10に参加したノードに
対して、割り当てたデバイス鍵を通知する。この際、通知するデバイス鍵は、参加したノ
ードとの間で共通鍵であるルート鍵で暗号化して通知する。このルート鍵は、参加ノード
管理部302が、ネットワークアクセス認証処理を行った結果である認証結果を用い、生成
する。デバイス鍵割り当て部304は、無線メッシュネットワーク10に参加したノードに対
してデバイス鍵を割り当てると、デバイス鍵割り当てDB306を更新する。デバイス鍵割
り当てDB306の具体的更新方法は後述する。新たに無線メッシュネットワーク10に参加
したノードが過去参加したことがあるノードである場合、当該ノードには過去参加したと
きに割り当てられたデバイス鍵がある。そのデバイス鍵の有効期限が切れていない場合、
デバイス鍵割り当て部304は、過去に割り当てられたデバイス鍵を割り当てる。一方、過
去に割り当てたデバイス鍵の有効期限が切れている場合、新たなデバイス鍵を割り当てる
。また、参加したノードが過去参加したことがないノードである場合、新たなデバイス鍵
を割り当てる。
けると、無線メッシュネットワーク10に参加したノードに対して、デバイス鍵の割り当て
を行う。デバイス鍵割り当て部304は、無線メッシュネットワーク10に参加したノードに
対して、割り当てたデバイス鍵を通知する。この際、通知するデバイス鍵は、参加したノ
ードとの間で共通鍵であるルート鍵で暗号化して通知する。このルート鍵は、参加ノード
管理部302が、ネットワークアクセス認証処理を行った結果である認証結果を用い、生成
する。デバイス鍵割り当て部304は、無線メッシュネットワーク10に参加したノードに対
してデバイス鍵を割り当てると、デバイス鍵割り当てDB306を更新する。デバイス鍵割
り当てDB306の具体的更新方法は後述する。新たに無線メッシュネットワーク10に参加
したノードが過去参加したことがあるノードである場合、当該ノードには過去参加したと
きに割り当てられたデバイス鍵がある。そのデバイス鍵の有効期限が切れていない場合、
デバイス鍵割り当て部304は、過去に割り当てられたデバイス鍵を割り当てる。一方、過
去に割り当てたデバイス鍵の有効期限が切れている場合、新たなデバイス鍵を割り当てる
。また、参加したノードが過去参加したことがないノードである場合、新たなデバイス鍵
を割り当てる。
ネットワークアクセス認証DB305は、無線メッシュネットワークに参加するノードを認
証するための情報を記憶している。図4(b)にネットワークアクセス認証DB305が
記憶する情報の一例を示す。ネットワークアクセス認証DBは、ノード毎に、認証のため
に必要な情報を記憶する。認証のために必要な情報の一つとして、ノードが過去に無線メ
ッシュネットワークに接続したか否かの情報も記憶していても良い。
証するための情報を記憶している。図4(b)にネットワークアクセス認証DB305が
記憶する情報の一例を示す。ネットワークアクセス認証DBは、ノード毎に、認証のため
に必要な情報を記憶する。認証のために必要な情報の一つとして、ノードが過去に無線メ
ッシュネットワークに接続したか否かの情報も記憶していても良い。
デバイス鍵割り当てDB306は、デバイス鍵と当該デバイス鍵を割り当てたノードとの対
応関係を記憶する。なお、デバイス鍵割り当てDB306は、デバイス鍵そのものを記憶して
もよいし、デバイス鍵を識別する情報を記憶してもよい。デバイス鍵割り当てDB306は、
また、当該デバイス鍵を割り当てたノードが現在、無線メッシュネットワークに参加して
いるか否かを記憶する。また、デバイス鍵が、有効であるか無効であるかを記憶する。こ
こで、「有効」とは、デバイス鍵が使用可能であることを示し、「無効」とは、デバイス
鍵が、使用不可能であり、今後使われないことを示す。また、デバイス鍵割り当てDB30
6は、デバイス鍵の割り当てられたノードが現在、無線メッシュネットワークに参加して
いるか否かを記憶する。また、デバイス鍵割り当てDB306は、デバイス鍵の有効期限が
いつであるかを管理する。図4(C)に、デバイス鍵割り当てDB306の一例を示す。例え
ば、デバイス鍵X2は、ノード101Bに割り当てられ、有効であり、当該ノード101Bは参加中
であり、有効期限は2012年10月であることを示している。
応関係を記憶する。なお、デバイス鍵割り当てDB306は、デバイス鍵そのものを記憶して
もよいし、デバイス鍵を識別する情報を記憶してもよい。デバイス鍵割り当てDB306は、
また、当該デバイス鍵を割り当てたノードが現在、無線メッシュネットワークに参加して
いるか否かを記憶する。また、デバイス鍵が、有効であるか無効であるかを記憶する。こ
こで、「有効」とは、デバイス鍵が使用可能であることを示し、「無効」とは、デバイス
鍵が、使用不可能であり、今後使われないことを示す。また、デバイス鍵割り当てDB30
6は、デバイス鍵の割り当てられたノードが現在、無線メッシュネットワークに参加して
いるか否かを記憶する。また、デバイス鍵割り当てDB306は、デバイス鍵の有効期限が
いつであるかを管理する。図4(C)に、デバイス鍵割り当てDB306の一例を示す。例え
ば、デバイス鍵X2は、ノード101Bに割り当てられ、有効であり、当該ノード101Bは参加中
であり、有効期限は2012年10月であることを示している。
暗号文生成部307は、更新された新しいグループ鍵を、無線メッシュネットワークに参加
中のノードに割り当てられたデバイス鍵を用いて暗号化してMKBを生成し、送信する。暗
号文生成部307は、参加ノードDB303、ネットワークアクセス認証DB305、デバイス鍵
割り当てDB306いずれかの情報から、現在参加しているノードを認識し、デバイス鍵割り
当てDB306を参照し、当該参加しているノードに割り当てられているデバイス鍵を求
めて、当該デバイス鍵を用いてMKBを生成する。
中のノードに割り当てられたデバイス鍵を用いて暗号化してMKBを生成し、送信する。暗
号文生成部307は、参加ノードDB303、ネットワークアクセス認証DB305、デバイス鍵
割り当てDB306いずれかの情報から、現在参加しているノードを認識し、デバイス鍵割り
当てDB306を参照し、当該参加しているノードに割り当てられているデバイス鍵を求
めて、当該デバイス鍵を用いてMKBを生成する。
ここで、生成に用いるデバイス鍵とMKBとの関係を説明する。一般に、MKBは、用い
るデバイス鍵の組み合わせによってサイズが大きくなる場合と短くなる場合がある。以下
では、図4(C)を用いて説明する。図4(C)において、デバイス鍵X1〜X4の群(以下
、群Xと称する。)のいずれか(若しくはすべて)のデバイス鍵を用いて、データを暗号
化した場合、生成されるMKBが、CXと表せるとする。また、デバイス鍵Y1〜Y4の群(
以下、群Yと称する。)のいずれか(若しくはすべて)のデバイス鍵を用いて、データを
暗号化した場合、生成されるMKBが、CYと表せるとする。また、デバイス鍵Z1〜Z4の
群(以下、群Zと称する。)のいずれか(若しくはすべて)のデバイス鍵を用いて、デー
タを暗号化した場合、生成されるMKBが、CZと表せるとする。そして、2つの群(例
えば、群Xと群Y)のデバイス鍵を用いてMKBを生成した場合、CXCYと表される。3つの群
を用いてMKBを生成した場合、同様に、CXCYCZと表される。つまり、少ない群のデ
バイス鍵を用いてMKBを生成した場合、MKBのサイズは小さくなり、多くの群のデバ
イス鍵を用いてMKBを生成した場合、MKBのサイズが大きくなる。本実施例では、M
KBのサイズを小さくするための最適なデバイス鍵の組み合わせとは、ノードに対してデ
バイス鍵を割り当てる際、できるだけ少ない群からデバイス鍵を割り当てることである。
るデバイス鍵の組み合わせによってサイズが大きくなる場合と短くなる場合がある。以下
では、図4(C)を用いて説明する。図4(C)において、デバイス鍵X1〜X4の群(以下
、群Xと称する。)のいずれか(若しくはすべて)のデバイス鍵を用いて、データを暗号
化した場合、生成されるMKBが、CXと表せるとする。また、デバイス鍵Y1〜Y4の群(
以下、群Yと称する。)のいずれか(若しくはすべて)のデバイス鍵を用いて、データを
暗号化した場合、生成されるMKBが、CYと表せるとする。また、デバイス鍵Z1〜Z4の
群(以下、群Zと称する。)のいずれか(若しくはすべて)のデバイス鍵を用いて、デー
タを暗号化した場合、生成されるMKBが、CZと表せるとする。そして、2つの群(例
えば、群Xと群Y)のデバイス鍵を用いてMKBを生成した場合、CXCYと表される。3つの群
を用いてMKBを生成した場合、同様に、CXCYCZと表される。つまり、少ない群のデ
バイス鍵を用いてMKBを生成した場合、MKBのサイズは小さくなり、多くの群のデバ
イス鍵を用いてMKBを生成した場合、MKBのサイズが大きくなる。本実施例では、M
KBのサイズを小さくするための最適なデバイス鍵の組み合わせとは、ノードに対してデ
バイス鍵を割り当てる際、できるだけ少ない群からデバイス鍵を割り当てることである。
本実施例においては、MKBのサイズをできるだけ小さくするため、ノードに対してデバ
イス鍵を割り当てる際、できるだけ少ない群のデバイス鍵を用いることを目的とした工夫
をしている。具体的には、ノードが無線メッシュネットワークから離脱しても、当該ノー
ドに割り当てられていたデバイス鍵を使用不可能とせず、ノードが再度参加した場合に、
過去割り当てたデバイス鍵を、再度割り当てる工夫をしている。
イス鍵を割り当てる際、できるだけ少ない群のデバイス鍵を用いることを目的とした工夫
をしている。具体的には、ノードが無線メッシュネットワークから離脱しても、当該ノー
ドに割り当てられていたデバイス鍵を使用不可能とせず、ノードが再度参加した場合に、
過去割り当てたデバイス鍵を、再度割り当てる工夫をしている。
次に、このような工夫をすることで、少ない群の中からデバイス鍵を割り当てることがで
きる理由を説明する。
きる理由を説明する。
図4(c)において、過去参加していたノード101Hが、再度参加した場合を考える。
本実施例の工夫を用いない場合、ノード101Hに過去に割り当てられたデバイス鍵Y4は、ノ
ードの離脱により使用禁止となっているため、ノードが再び参加した場合に、割り当てる
ことができない。この場合、ノード101Hに、Z1〜Z4いずれかのデバイス鍵を割り当てるこ
ととなる。その結果、データを暗号化して生成されるMKBは、CXCYCZとなる。一方
、本実施例の工夫がある場合、ノード101Hに過去割り当てられたデバイス鍵Y4を、使用不
可能とせず、再度割り当てることができる。その結果、生成されるMKBは、CXCYとな
る。以上のように、本実施例の工夫を用いると、MKBのサイズを小さくすることができ
る。その結果、無線メッシュネットワーク内の各ノードの処理負荷低減につながる。
ードの離脱により使用禁止となっているため、ノードが再び参加した場合に、割り当てる
ことができない。この場合、ノード101Hに、Z1〜Z4いずれかのデバイス鍵を割り当てるこ
ととなる。その結果、データを暗号化して生成されるMKBは、CXCYCZとなる。一方
、本実施例の工夫がある場合、ノード101Hに過去割り当てられたデバイス鍵Y4を、使用不
可能とせず、再度割り当てることができる。その結果、生成されるMKBは、CXCYとな
る。以上のように、本実施例の工夫を用いると、MKBのサイズを小さくすることができ
る。その結果、無線メッシュネットワーク内の各ノードの処理負荷低減につながる。
以上の説明においては、一つの群を構成するデバイス鍵が4つである例を説明したが、こ
れに限られない。しかしながら、一つの群を構成するデバイス鍵の数は有限個数である。
したがって、本実施例の工夫を用いて、過去割り当てたデバイス鍵を再割り当てすること
で、無線メッシュネットワークに参加するノードに対して、より少ない群のデバイス鍵を
割り当てることが可能となる。特に、無線メッシュネットワークにおいては、多数のノー
ドが、参加と離脱を繰り返す可能性がある。そのようなことを想定すると本技術はサイズ
の小さいMKBを生成するために有効な技術であるといえる。
れに限られない。しかしながら、一つの群を構成するデバイス鍵の数は有限個数である。
したがって、本実施例の工夫を用いて、過去割り当てたデバイス鍵を再割り当てすること
で、無線メッシュネットワークに参加するノードに対して、より少ない群のデバイス鍵を
割り当てることが可能となる。特に、無線メッシュネットワークにおいては、多数のノー
ドが、参加と離脱を繰り返す可能性がある。そのようなことを想定すると本技術はサイズ
の小さいMKBを生成するために有効な技術であるといえる。
次に、本実施例で、MKBを用いる場面を説明する。MKBは、無線メッシュネットワーク
内の各ノードに、更新後のグループ鍵を配布する場面で用いる。
内の各ノードに、更新後のグループ鍵を配布する場面で用いる。
まず、グループ鍵について説明する。グループ鍵は、例えば、無線メッシュネットワーク
10内のデータの暗号化等に使用される。そして、グループ鍵は、無線メッシュネットワー
ク10内のすべてのノード間で共有される情報である。つまり、グループ鍵は、無線メッシ
ュネットワーク10内の各ノードにとって共通鍵である。グループ鍵を用いた暗号化復号は
、共通鍵暗号方式が用いられる。
10内のデータの暗号化等に使用される。そして、グループ鍵は、無線メッシュネットワー
ク10内のすべてのノード間で共有される情報である。つまり、グループ鍵は、無線メッシ
ュネットワーク10内の各ノードにとって共通鍵である。グループ鍵を用いた暗号化復号は
、共通鍵暗号方式が用いられる。
グループ鍵は、無線メッシュネットワーク10に参加する全てのノードで共有する必要があ
る。
る。
グループ鍵は、ノードが無線メッシュネットワーク10に参加する際に、ルートノードが、
新たに接続したノードに対して、通知する(詳細な動作は後述する)。この際、グループ
鍵は、無線メッシュネットワーク外に漏えいすることを防ぐため、暗号化されて通知され
る。この際に用いられる暗号化鍵は、ルートノードと新たに参加したノードとの間で共有
する暗号化鍵である。暗号化鍵は、ノードがルートノードに新たに参加する際に行われる
ネットワークアクセス認証の際に生成されるものである。
新たに接続したノードに対して、通知する(詳細な動作は後述する)。この際、グループ
鍵は、無線メッシュネットワーク外に漏えいすることを防ぐため、暗号化されて通知され
る。この際に用いられる暗号化鍵は、ルートノードと新たに参加したノードとの間で共有
する暗号化鍵である。暗号化鍵は、ノードがルートノードに新たに参加する際に行われる
ネットワークアクセス認証の際に生成されるものである。
ここで、グループ鍵は有効期限を持つ。したがって、ルートノードは、使用中のグループ
鍵が有効期限切れになる前にグループ鍵の更新を行い、更新後の新しいグループ鍵を無線
メッシュネットワーク内の各ノードに送信する必要がある。無線メッシュネットワーク内
の各ノードが常に有効なグループ鍵を保持するように維持するためである。この更新後の
新しいグループ鍵を含むメッセージも暗号化されて通知される必要がある。グループ鍵が
無線メッシュネットワーク外に漏えいしないようにするためである。
鍵が有効期限切れになる前にグループ鍵の更新を行い、更新後の新しいグループ鍵を無線
メッシュネットワーク内の各ノードに送信する必要がある。無線メッシュネットワーク内
の各ノードが常に有効なグループ鍵を保持するように維持するためである。この更新後の
新しいグループ鍵を含むメッセージも暗号化されて通知される必要がある。グループ鍵が
無線メッシュネットワーク外に漏えいしないようにするためである。
無線メッシュネットワーク内の各ノードに、情報の漏えいを通知することなるく通知する
方法として、更新後の新しいグループ鍵を暗号化してMKBによって各ノードに通知する方
法がある。
方法として、更新後の新しいグループ鍵を暗号化してMKBによって各ノードに通知する方
法がある。
次に、ルートノード100が、MKBを用いて、無線メッシュネットワーク内の各ノードに
更新後のグループ鍵を通知する方法を説明する。
更新後のグループ鍵を通知する方法を説明する。
ここで、MKBとは、あるデータ(本実施例では、グループ鍵)を複数のデバイス鍵を用
いて暗号化したデータである。そして、暗号化に用いたデバイス鍵を有するノードが、M
KBを取得すると、当該デバイス鍵を用いて、MKBを復号し、データを取得することが
できる。一方、暗号化に用いたデバイス鍵を有しないノードは、MKBを取得しても、M
KBを復号できず、データを取得できない。このように、MKBを用いると、データを、
特定の対象(デバイス鍵を有するもの)すべてに、1回の送信で通知することができる。
つまり、効率よく、かつ安全に情報を伝達することができる。
いて暗号化したデータである。そして、暗号化に用いたデバイス鍵を有するノードが、M
KBを取得すると、当該デバイス鍵を用いて、MKBを復号し、データを取得することが
できる。一方、暗号化に用いたデバイス鍵を有しないノードは、MKBを取得しても、M
KBを復号できず、データを取得できない。このように、MKBを用いると、データを、
特定の対象(デバイス鍵を有するもの)すべてに、1回の送信で通知することができる。
つまり、効率よく、かつ安全に情報を伝達することができる。
次に、MKBを用いてグループ鍵を伝達する方法を説明する。
図2は、図1のシステムにおいて、MKBで暗号化した更新後のグループ鍵を配布する動作
を示すシーケンス図である。
を示すシーケンス図である。
以下では、子ノード101Hが、無線メッシュネットワーク10に新たに参加する場合を例に
とって説明する。
とって説明する。
子ノード101Hが、無線メッシュネットワーク10に新たに参加する場合、子ノード101Hは、
ルートノード100との間でネットワークアクセス認証を行う(S100)。
ルートノード100との間でネットワークアクセス認証を行う(S100)。
ルートノード100が、子ノード101Hの認証を成功すると、子ノード101Hは、ルートノード1
00から認証成功の通知を受信する。
00から認証成功の通知を受信する。
子ノード101Hは、認証成功の通知を受信すると、認証結果を用いて、ルート鍵を生成する
(S102)。また、ルートノード100も、認証成功の通知を子ノード101Hに対して通知する
とともに、認証結果を用いて、子ノード101Hと同様の方法でルート鍵を生成する(S101)
。この結果、ルートノード100と子ノード101Hの間で、ルート鍵を共有することになる。
(S102)。また、ルートノード100も、認証成功の通知を子ノード101Hに対して通知する
とともに、認証結果を用いて、子ノード101Hと同様の方法でルート鍵を生成する(S101)
。この結果、ルートノード100と子ノード101Hの間で、ルート鍵を共有することになる。
次に、ルートノード100は、ルートノード100が管理するグループ鍵及びデバイス鍵を、ル
ート鍵を用いて暗号化し、子ノード101Hに対して送信する。ここで、子ノード101Hに対し
て、どのデバイス鍵を割り当てるかの割り当て方法については後述する。子ノード101Hは
、暗号化されたグループ鍵及びデバイス鍵の通知を受信する(S103)。子ノード101Hは、ル
ート鍵でグループ鍵及びデバイス鍵を復号し、グループ鍵及びデバイス鍵を得る。
ート鍵を用いて暗号化し、子ノード101Hに対して送信する。ここで、子ノード101Hに対し
て、どのデバイス鍵を割り当てるかの割り当て方法については後述する。子ノード101Hは
、暗号化されたグループ鍵及びデバイス鍵の通知を受信する(S103)。子ノード101Hは、ル
ート鍵でグループ鍵及びデバイス鍵を復号し、グループ鍵及びデバイス鍵を得る。
次に、ルートノード100が、グループ鍵を更新した場合の動作を説明する。
ルートノード100は、グループ鍵を更新すると、更新後のグループ鍵を暗号化しMKBを
生成し、無線メッシュネットワーク内の各ノードに通知する。MKBは、ブロードキャス
トで通知しても良いし、ユニキャストで通知しても良い。図4(c)の例においては、MKBは
、群Xと群Yのデバイス鍵を用いて生成されるため、MKBは、CXCYとなる。
生成し、無線メッシュネットワーク内の各ノードに通知する。MKBは、ブロードキャス
トで通知しても良いし、ユニキャストで通知しても良い。図4(c)の例においては、MKBは
、群Xと群Yのデバイス鍵を用いて生成されるため、MKBは、CXCYとなる。
次に、親ノード101G及び子ノード101Hが更新後のグループ鍵を取得する方法を説明する。
親ノード101Gは、MKBを取得すると、自身のデバイス鍵Y3によってMKBを復号し、グ
ループ鍵を取得する。また、親ノード101Gは、子ノード101Hに対して、MKBを転送する(
S105)。子ノード101Hは、親ノード101GからMKBを取得すると、自身のデバイス鍵Y4で
MKBを復号し、更新後の新しいグループ鍵を取得する。
ループ鍵を取得する。また、親ノード101Gは、子ノード101Hに対して、MKBを転送する(
S105)。子ノード101Hは、親ノード101GからMKBを取得すると、自身のデバイス鍵Y4で
MKBを復号し、更新後の新しいグループ鍵を取得する。
以上の動作では、図1において示したルートノード100と親ノード101Gと子ノード102Hとの
間での処理を説明した。しかしながら、以上の動作は、ネットワーク103内の各ノードに
ついても同様の処理が実行される。つまり、ネットワーク103内の各ノードは、自身のデ
バイス鍵で、ルートノード100が送信した新しいグループ鍵を復号するとともに、下の階
層のノードに対してMKBを転送する。この処理をノード間で繰り返すことで、新しいグ
ループ鍵を次々に伝搬することができる。
間での処理を説明した。しかしながら、以上の動作は、ネットワーク103内の各ノードに
ついても同様の処理が実行される。つまり、ネットワーク103内の各ノードは、自身のデ
バイス鍵で、ルートノード100が送信した新しいグループ鍵を復号するとともに、下の階
層のノードに対してMKBを転送する。この処理をノード間で繰り返すことで、新しいグ
ループ鍵を次々に伝搬することができる。
以上の動作により、ルートノードが構成する無線メッシュネットワーク内のノード全てが
、更新された新しいグループ鍵を安全にかつ効率的に共有することができる。
、更新された新しいグループ鍵を安全にかつ効率的に共有することができる。
次に、無線メッシュネットワークに新たに参加した子ノード101Hに対してデバイス鍵を
割り当てる方法を説明する。図1に示すように、以下では、無線メッシュネットワーク10
に参加中のノードがノード101A〜101Gであり、新たに参加するノードが子ノード101Hで
ある場合を例に説明する。
割り当てる方法を説明する。図1に示すように、以下では、無線メッシュネットワーク10
に参加中のノードがノード101A〜101Gであり、新たに参加するノードが子ノード101Hで
ある場合を例に説明する。
図5は、ルートノード100の動作を示すフローチャートである。
まず、参加ノード管理部302は、無線メッシュネットワーク10に新規のノードが参加した
か否かを判定する(S200)。参加ノード管理部302が、新規のノードが参加したと判定す
ると、デバイス鍵割り当て部304は、ノード101Hが過去に無線メッシュネットワーク10参
加したノードであるか否かを判定する(S202)。デバイス鍵割り当て部304は、ノード101
Hが過去に参加したノードであるかを、例えば、参加ノードDB303の情報を基に判定す
る。図4に、本実施例の参加ノードDB303の情報の1例を示す。図4の例では、ノード101
Hは、過去参加したノードであると判定することができる。
か否かを判定する(S200)。参加ノード管理部302が、新規のノードが参加したと判定す
ると、デバイス鍵割り当て部304は、ノード101Hが過去に無線メッシュネットワーク10参
加したノードであるか否かを判定する(S202)。デバイス鍵割り当て部304は、ノード101
Hが過去に参加したノードであるかを、例えば、参加ノードDB303の情報を基に判定す
る。図4に、本実施例の参加ノードDB303の情報の1例を示す。図4の例では、ノード101
Hは、過去参加したノードであると判定することができる。
次に、デバイス鍵割り当て部304は、新たに参加したノードが過去に参加したノードであ
ると判定した場合、当該ノードに過去に割り当てたデバイス鍵の有効期限が切れているか
否かを判定する(S203)。デバイス鍵割り当て部304は、例えば、デバイス鍵割り当てDB3
06の情報を基に判定する。デバイス鍵割り当て部304は、デバイス鍵の有効期限が切れて
いないと判定した場合、過去に割り当てたデバイス鍵を再度ノードに割り当てる(S205)
。例えば、図4(c)を見ると、ノード101Hは、過去参加したノードであり、有効期限が2011
年6月であることがわかる。現在、2011年2月であるとすると、有効期限は切れていないこ
とがわかる。
ると判定した場合、当該ノードに過去に割り当てたデバイス鍵の有効期限が切れているか
否かを判定する(S203)。デバイス鍵割り当て部304は、例えば、デバイス鍵割り当てDB3
06の情報を基に判定する。デバイス鍵割り当て部304は、デバイス鍵の有効期限が切れて
いないと判定した場合、過去に割り当てたデバイス鍵を再度ノードに割り当てる(S205)
。例えば、図4(c)を見ると、ノード101Hは、過去参加したノードであり、有効期限が2011
年6月であることがわかる。現在、2011年2月であるとすると、有効期限は切れていないこ
とがわかる。
一方、ステップS203において、デバイス鍵の有効期限が切れていると判定した場合、デバ
イス鍵割り当て部304は、ノードに新しいデバイス鍵を割り当てる(S204)。また、ステ
ップS202において、ノードが過去に参加したノードでなかった場合も、同様に当該ノード
に新しいデバイス鍵を割り当てる(S204)。デバイス鍵割り当て部304は、割り当てるデ
バイス鍵を決定すると、通信部300を介して、参加ノードに通知する。また、デバイス鍵
割り当て部304は、デバイス鍵割り当てDB306の情報を更新する。また、参加ノード管理部
302は、参加ノードDB303の情報を更新する(S206)。
イス鍵割り当て部304は、ノードに新しいデバイス鍵を割り当てる(S204)。また、ステ
ップS202において、ノードが過去に参加したノードでなかった場合も、同様に当該ノード
に新しいデバイス鍵を割り当てる(S204)。デバイス鍵割り当て部304は、割り当てるデ
バイス鍵を決定すると、通信部300を介して、参加ノードに通知する。また、デバイス鍵
割り当て部304は、デバイス鍵割り当てDB306の情報を更新する。また、参加ノード管理部
302は、参加ノードDB303の情報を更新する(S206)。
一方、ステップS200においてノードが参加していないと判定した場合、参加ノード管理部
302は、ノードが離脱したか否かを判定する(S201)。参加ノード管理部302が、ノードが
離脱したと判定した場合、参加ノードDB303とネットワークアクセス認証DB305とデバイ
ス鍵割り当てDB306とを更新する。
302は、ノードが離脱したか否かを判定する(S201)。参加ノード管理部302が、ノードが
離脱したと判定した場合、参加ノードDB303とネットワークアクセス認証DB305とデバイ
ス鍵割り当てDB306とを更新する。
そして、ステップS201において、ノードが離脱しなかった場合、あるいはステップS206の
処理の後、一連の処理を終了する。
処理の後、一連の処理を終了する。
尚、以上の動作では、S202において、デバイス鍵割り当て部304が、ノード101Hが過去に
参加したノードであるか否かを判定する際、参加ノードDB303の情報を基に判定したが
、ネットワークアクセス認証DB305、デバイス鍵割り当てDB306の情報を用いても判定する
ことができる。図4を用いて説明する。ネットワークアクセス認証DBは、認証情報として
、ノード101Hが過去に参加したか否かの情報を記憶しておくことができる。また、デバイ
ス鍵割り当てDB306は、ノード101Hについて、参加状況として「過去参加」という情報を
記憶しておくことができる。したがって、デバイス鍵割り当て部304は、ノード101Hが過
去に参加したノードであるか否かを判定する際、ネットワークアクセス認証DB305、若し
くはデバイス鍵割り当てDB306の情報を用いて判定することができる。
参加したノードであるか否かを判定する際、参加ノードDB303の情報を基に判定したが
、ネットワークアクセス認証DB305、デバイス鍵割り当てDB306の情報を用いても判定する
ことができる。図4を用いて説明する。ネットワークアクセス認証DBは、認証情報として
、ノード101Hが過去に参加したか否かの情報を記憶しておくことができる。また、デバイ
ス鍵割り当てDB306は、ノード101Hについて、参加状況として「過去参加」という情報を
記憶しておくことができる。したがって、デバイス鍵割り当て部304は、ノード101Hが過
去に参加したノードであるか否かを判定する際、ネットワークアクセス認証DB305、若し
くはデバイス鍵割り当てDB306の情報を用いて判定することができる。
次に、以下では、参加中のノードが離脱した場合、及びノードが参加した場合に、参加ノ
ードDB304、ネットワークアクセス認証DB305、デバイス鍵割当てDBがどのように更新され
、どのようなデバイス鍵が割り当てられ、生成されるMKBはどのようなデータになるかを
説明する。特に、新たに参加ノードが参加した場合については、ノードが過去に参加した
か否か、過去に参加したノードに割り当てられたデバイス鍵が、有効期限内であるか否
かによって、参加ノードDB304、ネットワークアクセス認証DB305、デバイス鍵割当てDBが
どのように更新され、参加ノードには、どのようなデバイス鍵が割り当てられ、生成され
るMKBはどのようなデータになるかを説明する。
ードDB304、ネットワークアクセス認証DB305、デバイス鍵割当てDBがどのように更新され
、どのようなデバイス鍵が割り当てられ、生成されるMKBはどのようなデータになるかを
説明する。特に、新たに参加ノードが参加した場合については、ノードが過去に参加した
か否か、過去に参加したノードに割り当てられたデバイス鍵が、有効期限内であるか否
かによって、参加ノードDB304、ネットワークアクセス認証DB305、デバイス鍵割当てDBが
どのように更新され、参加ノードには、どのようなデバイス鍵が割り当てられ、生成され
るMKBはどのようなデータになるかを説明する。
以下では、図1のシステム10を用いて説明する。図1のシステムにおいては、無線メッシ
ュネットワークに参加しているノードは、ノード101A、101B、101C、101D、101E、101F、
101G、101Hであるとする。
ュネットワークに参加しているノードは、ノード101A、101B、101C、101D、101E、101F、
101G、101Hであるとする。
この状態での参加ノードDB304、ネットワークアクセス認証DB305、デバイス鍵割当てDB30
6は、図6のようになる。MKBを生成する際は、群Xのデバイス鍵(X1 、X2 、X3 、X4)と
群Yのデバイス鍵(Y1 、Y2 、Y3 、Y4)を用いて生成するため、生成されるMKBは、CX
CYと表されることとなる。
6は、図6のようになる。MKBを生成する際は、群Xのデバイス鍵(X1 、X2 、X3 、X4)と
群Yのデバイス鍵(Y1 、Y2 、Y3 、Y4)を用いて生成するため、生成されるMKBは、CX
CYと表されることとなる。
次に、この状態から子ノード101Hが離脱する場合を説明する。
この状態から子ノード101Hが離脱すると、ネットワークアクセス認証DB305、デバイス鍵
割当てDBは、図4のようになる。図6と図4の違いの1つ目は、図4(a)の参加ノードDB304
のノード101Hの参加状況が、「現在参加」から「過去参加」となっていることである。図
6と図4の違いの2つ目は、図4(c)のデバイス鍵割り当てDB304のノード101Hの参加状況が
、「現在参加」から「過去参加」となっていることである。MKBを生成する際は、群Xのデ
バイス鍵(X1 、X2 、X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3 )を用いて生成する
ため、生成されるMKBは、CXCYと表されることとなる。
割当てDBは、図4のようになる。図6と図4の違いの1つ目は、図4(a)の参加ノードDB304
のノード101Hの参加状況が、「現在参加」から「過去参加」となっていることである。図
6と図4の違いの2つ目は、図4(c)のデバイス鍵割り当てDB304のノード101Hの参加状況が
、「現在参加」から「過去参加」となっていることである。MKBを生成する際は、群Xのデ
バイス鍵(X1 、X2 、X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3 )を用いて生成する
ため、生成されるMKBは、CXCYと表されることとなる。
次に、図1において、子ノード101Hが一旦離脱した後、再度参加する場合であって、子ノ
ード101Hに過去に割り当てられたデバイス鍵の有効期限が切れていない場合を説明する。
ード101Hに過去に割り当てられたデバイス鍵の有効期限が切れていない場合を説明する。
子ノード101Hが、再度参加すると、ネットワークアクセス認証DB305、デバイス鍵割当てD
Bは、図4の状態から図6の状態になる。図6と図4の違いの1つ目は、図4(a)の参加ノード
DB304のノード101Hの参加状況が、「過去参加」から「現在参加」となっていることであ
る。図6と図4の違いの1つ目は、図4(a)の参加ノードDB304のノード101Hの参加状況が、
「過去参加」から「現在参加」となっていることである。MKBを生成する際は、群Xのデバ
イス鍵(X1 、X2 、X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3 、Y4)を用いて生成す
るため、生成されるMKBは、CXCYと表されることとなる。
Bは、図4の状態から図6の状態になる。図6と図4の違いの1つ目は、図4(a)の参加ノード
DB304のノード101Hの参加状況が、「過去参加」から「現在参加」となっていることであ
る。図6と図4の違いの1つ目は、図4(a)の参加ノードDB304のノード101Hの参加状況が、
「過去参加」から「現在参加」となっていることである。MKBを生成する際は、群Xのデバ
イス鍵(X1 、X2 、X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3 、Y4)を用いて生成す
るため、生成されるMKBは、CXCYと表されることとなる。
次に、図1において、子ノード101Hが一旦離脱した後、再度参加する場合であって、子ノ
ード101Hに過去に割り当てられたデバイス鍵の有効期限が切れている場合を説明する。
ード101Hに過去に割り当てられたデバイス鍵の有効期限が切れている場合を説明する。
子ノード101Hが、再度参加すると、ネットワークアクセス認証DB305、デバイス鍵割当てD
Bは、図4の状態から図7の状態になる。図7と図4の違いの1つ目は、参加ノードDB304のノ
ード101Hの参加状況が、「過去参加」から「現在参加」となっていることである。図7と
図4の違いの2つ目は、デバイス鍵割り当てDB306の、デバイス鍵Y4の有効無効状況が、「
有効」から「無効」となっていることである。図7と図4の違いの3つ目は、デバイス鍵Z1
が、新たにノードHに割り当てられていることである。MKBを生成する際は、群Xのデバイ
ス鍵(X1 、X2 、X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3)と群Yのデバイス鍵(Z1
)を用いて生成するため、生成されるMKBは、CXCYCZと表されることとなる。
Bは、図4の状態から図7の状態になる。図7と図4の違いの1つ目は、参加ノードDB304のノ
ード101Hの参加状況が、「過去参加」から「現在参加」となっていることである。図7と
図4の違いの2つ目は、デバイス鍵割り当てDB306の、デバイス鍵Y4の有効無効状況が、「
有効」から「無効」となっていることである。図7と図4の違いの3つ目は、デバイス鍵Z1
が、新たにノードHに割り当てられていることである。MKBを生成する際は、群Xのデバイ
ス鍵(X1 、X2 、X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3)と群Yのデバイス鍵(Z1
)を用いて生成するため、生成されるMKBは、CXCYCZと表されることとなる。
次に、図1において、子ノード101Hが過去参加したことがなく、子ノード101Hが初めて参
加する場合を例に説明する。
加する場合を例に説明する。
子ノード101Hが、参加する前の各DBの情報データは、図8のようになる。子ノード101Hが
、参加した後の各DBの情報データは、図6のようになる。図8と図6の違いの1つ目は、図6
では、参加ノードDB304に、ノード101Hが追加されていることである。図8と図6の違いの1
つ目は、図6では、デバイス鍵割り当てDB306において、デバイス鍵Y4がノード101Hに新
たに割り当てられていることである。MKBを生成する際は、群Xのデバイス鍵(X1 、X2 、
X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3 、Y4)を用いて生成するため、生成される
MKBは、CXCYと表されることとなる。
、参加した後の各DBの情報データは、図6のようになる。図8と図6の違いの1つ目は、図6
では、参加ノードDB304に、ノード101Hが追加されていることである。図8と図6の違いの1
つ目は、図6では、デバイス鍵割り当てDB306において、デバイス鍵Y4がノード101Hに新
たに割り当てられていることである。MKBを生成する際は、群Xのデバイス鍵(X1 、X2 、
X3 、X4)と群Yのデバイス鍵(Y1 、Y2 、Y3 、Y4)を用いて生成するため、生成される
MKBは、CXCYと表されることとなる。
以上、本実施例においては、ノードが参加、離脱を繰り返す場合であっても、一度割り当
てたデバイス鍵を再割り当てする。その結果、より少ないデバイス鍵の群を用いて、MKB
を生成することができる。
てたデバイス鍵を再割り当てする。その結果、より少ないデバイス鍵の群を用いて、MKB
を生成することができる。
以上説明した少なくとも1つの実施形態によれば、無線メッシュネットワークの更新後の
グループ鍵を転送する際に生成するMKBのサイズを小さくすることができるため、無線
メッシュワーク内のノードの処理負荷を低減することができる。
グループ鍵を転送する際に生成するMKBのサイズを小さくすることができるため、無線
メッシュワーク内のノードの処理負荷を低減することができる。
以上、本実施例では、一つの群を用いて生成するMKBが、用いるデバイス鍵の数によらず
、一定の長さのデータ(例えば、CX)であると説明したが、デバイス鍵の数によってデ
ータの長さは変わる場合もある。また、生成されるMKBは、用いるデバイス鍵の数によら
ず、二つの群、三つの群をまたがって生成する場合、それぞれ、CXCY、CXCYCZであ
ると説明したが、データの長さは、デバイス鍵の長さによって変わる場合もある。この場
合であっても、同じ数のデバイス鍵を用いてMKBを生成する場合、生成されるMKBのデータ
の長さは、より少ない群からデバイス鍵を選択する場合ほど、短くなる。つまり、所定の
数のデバイス鍵を用いてMKBを生成する場合、より少ない群からデバイス鍵を選択するこ
とで小さいサイズのMKBを生成することができる。
、一定の長さのデータ(例えば、CX)であると説明したが、デバイス鍵の数によってデ
ータの長さは変わる場合もある。また、生成されるMKBは、用いるデバイス鍵の数によら
ず、二つの群、三つの群をまたがって生成する場合、それぞれ、CXCY、CXCYCZであ
ると説明したが、データの長さは、デバイス鍵の長さによって変わる場合もある。この場
合であっても、同じ数のデバイス鍵を用いてMKBを生成する場合、生成されるMKBのデータ
の長さは、より少ない群からデバイス鍵を選択する場合ほど、短くなる。つまり、所定の
数のデバイス鍵を用いてMKBを生成する場合、より少ない群からデバイス鍵を選択するこ
とで小さいサイズのMKBを生成することができる。
また、本実施例では、生成されるMKBは、一つの群からデバイス鍵を生成する場合であ
って、例えば、X群からデバイス鍵を生成する場合とY群からデバイス鍵を選択する場合
で、データCX、CYの長さは、それぞれ異なる長さであってもよいし、同じ長さであって
もよい。異なる長さである場合、デバイス鍵割り当ての際、より短い長さのデータを生成
する群からデバイス鍵を優先的に選択していくことが好ましい。
って、例えば、X群からデバイス鍵を生成する場合とY群からデバイス鍵を選択する場合
で、データCX、CYの長さは、それぞれ異なる長さであってもよいし、同じ長さであって
もよい。異なる長さである場合、デバイス鍵割り当ての際、より短い長さのデータを生成
する群からデバイス鍵を優先的に選択していくことが好ましい。
また、本実施例では、デバイス鍵の群として3つの場合を説明したが、群の数は、3つに
限られない。
限られない。
また、本実施例では、一つの群には、デバイス鍵の数は4つである例を示したが、一つの
群に含まれるデバイス鍵は4つに限られない。
群に含まれるデバイス鍵は4つに限られない。
例えば、一つの群に含まれるデバイス鍵は一つであってもよい。この場合、MKBのデータ
が小さい最適なデバイス鍵を選択して割り当てることとは、より小さいMKBを生成可能な
デバイス鍵を優先的に選択することである。
が小さい最適なデバイス鍵を選択して割り当てることとは、より小さいMKBを生成可能な
デバイス鍵を優先的に選択することである。
また、本実施例では、更新後のグループ鍵を暗号化してMKBを生成する例を説明したが、
更新後のグル―プ鍵以外の情報を暗号化してMKBを生成して、無線メッシュワーク内の各
ノードに当該情報を伝達しても良い。暗号化する情報は、例えば、無線メッシュワーク内
の各ノードに、無線メッシュネットワーク外に情報漏えいしたくない情報である。また、
無線メッシュネットワーク内の特定のデバイスに情報を伝達したい場合も、MKBを用いる
ことができる。
更新後のグル―プ鍵以外の情報を暗号化してMKBを生成して、無線メッシュワーク内の各
ノードに当該情報を伝達しても良い。暗号化する情報は、例えば、無線メッシュワーク内
の各ノードに、無線メッシュネットワーク外に情報漏えいしたくない情報である。また、
無線メッシュネットワーク内の特定のデバイスに情報を伝達したい場合も、MKBを用いる
ことができる。
また、本実施例では、更新後のグループ鍵を暗号化してMKBを生成する例を説明したが、
グループ鍵を暗号化する手法は、MKB以外でも良い。即ち、暗号化手法は、以下のような
条件を満たせば良い。具体的には、まず、無線メッシュワーク内の各ノードに、各ノード
固有の鍵を割り当てる。そして、ルートノードが、各ノードに割り当てた鍵を用いて更新
後のグループ鍵を暗号化し、暗号文を生成する。無線メッシュワーク内の各ノードは、各
ノード固有の鍵を用いて当該暗号文を復号し、更新後のグループ鍵を取得するとともに、
下の階層のノードに、暗号文を転送する。このような条件を満たす手法であれば良い。例
えば、ブロードキャスト暗号や放送暗号で、このような手法を用いている。
グループ鍵を暗号化する手法は、MKB以外でも良い。即ち、暗号化手法は、以下のような
条件を満たせば良い。具体的には、まず、無線メッシュワーク内の各ノードに、各ノード
固有の鍵を割り当てる。そして、ルートノードが、各ノードに割り当てた鍵を用いて更新
後のグループ鍵を暗号化し、暗号文を生成する。無線メッシュワーク内の各ノードは、各
ノード固有の鍵を用いて当該暗号文を復号し、更新後のグループ鍵を取得するとともに、
下の階層のノードに、暗号文を転送する。このような条件を満たす手法であれば良い。例
えば、ブロードキャスト暗号や放送暗号で、このような手法を用いている。
また、本実施例では、更新後のグループ鍵を暗号化する際、参加中の全てのノードに割り
当てたデバイス鍵を用いてMKBを生成し、参加中の全てのノードにMKBを送信する例
を説明した。しかしながら、参加中の一部のノードに割り当てたデバイス鍵を用いてMK
Bを生成し、当該一部のノードにMKBを送信しても良い。例えば、図1においては、ノ
ード101A、101B、101C、101D、101Hに割り当てたデバイス鍵を用いてMKBを生成し、ノー
ド101A、101B、101C、101D、101Hに更新後のグループ鍵を伝達してもよい。そして、その
他のノードに対しても、それぞれ送信対象のノード毎にMKBを生成し、更新後のグループ
鍵を伝達しても良い。このようにすることで、よりMKBのサイズを小さくすることができ
るため、無線メッシュネットワーク内の各ノードの処理負荷低減を達成することができる
。
当てたデバイス鍵を用いてMKBを生成し、参加中の全てのノードにMKBを送信する例
を説明した。しかしながら、参加中の一部のノードに割り当てたデバイス鍵を用いてMK
Bを生成し、当該一部のノードにMKBを送信しても良い。例えば、図1においては、ノ
ード101A、101B、101C、101D、101Hに割り当てたデバイス鍵を用いてMKBを生成し、ノー
ド101A、101B、101C、101D、101Hに更新後のグループ鍵を伝達してもよい。そして、その
他のノードに対しても、それぞれ送信対象のノード毎にMKBを生成し、更新後のグループ
鍵を伝達しても良い。このようにすることで、よりMKBのサイズを小さくすることができ
るため、無線メッシュネットワーク内の各ノードの処理負荷低減を達成することができる
。
また、本実施例では、デバイス鍵割り当てDB306の、デバイス鍵の有効期限として、年月
を記憶していたが、年月に限られない。例えば、有効期限として、最初にノードにデバイ
ス鍵を割り当てた時から所定の期間経過後として定めても良い。また、有効期限として、
ノードに当該デバイス鍵を割り当てる回数として定めても良い。
を記憶していたが、年月に限られない。例えば、有効期限として、最初にノードにデバイ
ス鍵を割り当てた時から所定の期間経過後として定めても良い。また、有効期限として、
ノードに当該デバイス鍵を割り当てる回数として定めても良い。
尚、ルートノード100は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用
いることでも実現することが可能である。すなわち、通信部300、グループ鍵生成部301、
参加ノード管理部302、参加ノードDB303、デバイス鍵割り当て部304、ネットワークア
クセス認証DB305、デバイス鍵割り当てDB306、暗号文生成部307、は、上記のコンピュ
ータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することがで
きる。このとき、ルートノード100は、上記のプログラムをコンピュータ装置にあらかじ
めインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、
あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュ
ータ装置に適宜インストールすることで実現してもよい。また、参加ノードDB303、ネ
ットワークアクセス認証DB305、デバイス鍵割り当てDB306は、上記のコンピュータ装置
に内蔵あるいは外付けされたメモリ、ハードディスクもしくはCD−R、CD−RW、D
VD−RAM、DVD−Rなどの記憶媒体などを適宜利用して実現することができる。
いることでも実現することが可能である。すなわち、通信部300、グループ鍵生成部301、
参加ノード管理部302、参加ノードDB303、デバイス鍵割り当て部304、ネットワークア
クセス認証DB305、デバイス鍵割り当てDB306、暗号文生成部307、は、上記のコンピュ
ータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することがで
きる。このとき、ルートノード100は、上記のプログラムをコンピュータ装置にあらかじ
めインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、
あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュ
ータ装置に適宜インストールすることで実現してもよい。また、参加ノードDB303、ネ
ットワークアクセス認証DB305、デバイス鍵割り当てDB306は、上記のコンピュータ装置
に内蔵あるいは外付けされたメモリ、ハードディスクもしくはCD−R、CD−RW、D
VD−RAM、DVD−Rなどの記憶媒体などを適宜利用して実現することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したもの
であり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他
の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省
略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要
旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
であり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他
の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省
略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要
旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100・・・ルートノード、101A、101B、101C、101D、101E、101F・・・ノード、101G・・
・親ノード、101H・・・子ノード、103・・・ネットワーク、300・・・通信部、301・・
・グループ鍵生成部、302・・・参加ノード管理部、303・・・参加ノードDB、304・・
・デバイス鍵割り当て部、305・・・ネットワークアクセス認証DB、306・・・デバイス鍵
割り当てDB、307・・・暗号文生成部。
・親ノード、101H・・・子ノード、103・・・ネットワーク、300・・・通信部、301・・
・グループ鍵生成部、302・・・参加ノード管理部、303・・・参加ノードDB、304・・
・デバイス鍵割り当て部、305・・・ネットワークアクセス認証DB、306・・・デバイス鍵
割り当てDB、307・・・暗号文生成部。
Claims (12)
- 複数の群に有限個数ずつ属し、暗号文を復号可能なデバイス鍵が各々割り当てられた複
数の参加ノードを含むネットワーク内で、前記デバイス鍵を管理する管理装置であって、
前記ネットワークに新たに参加する新規ノードを検出する参加ノード管理部と、
前記新規ノードが前記ネットワークに過去参加していた過去参加ノードである場合、前
記新規ノードに過去割り当てられていたデバイス鍵を再度割り当てるデバイス鍵割り当て
部と、
前記ネットワーク内の前記参加ノード及び前記新規ノードに対してメッセージを送信す
る際、前記参加ノードに割り当てられているデバイス鍵及び前記新規ノードに割り当てら
れたデバイス鍵を用いて、前記メッセージを暗号化して暗号文を生成する暗号文生成部と
を備え、
前記暗号文は、前記参加ノードに割り当てられているデバイス鍵及び前記新規ノードに
割り当てられたデバイス鍵が、前記複数の群のうち少ない群から選択されていればいるほ
ど、小さいサイズとなる、
管理装置。 - 前記メッセージは、グループ鍵を含む、
請求項1記載の管理装置。 - 前記デバイス鍵割り当て部は、
前記参加ノードと前記参加ノードに割り当てられているデバイス鍵との対応関係と、前記
過去参加ノードと前記過去参加ノードに割り当てられていたデバイス鍵との対応関係とに
基づいて、前記新規ノードに過去割り当てられていたデバイス鍵を再度割り当てる、請求
項1又は2に記載の管理装置。 - 前記デバイス鍵割り当て部は、前記新規ノードに割り当てたデバイス鍵を暗号化して前
記新規ノードに通知する、
請求項1乃至3のいずれか一項に記載の管理装置。 - 前記ネットワークの複数の参加ノードは隣接する階層の参加ノード間で親子関係を有し
、
前記暗号文は、前記参加ノード及び新規ノード各々が復号可能であるとともに、前記参
加ノードが、前記暗号文を、前記参加ノード各々の子ノードに対して、転送可能である、
請求項1記載の管理装置。 - 前記暗号文は、MKBである、
請求項1記載の管理装置。 - 前記メッセージは、前記参加ノード間の第1の共通鍵であるグループ鍵が更新された場
合に生成される更新グループ鍵である、
請求項1記載の管理装置。 - 前記参加ノード管理部は、前記新規ノードを検出すると、前記新規ノードとの間でネッ
トワークアクセス認証を行うとともに、前記ネットワークアクセス認証の認証結果を生成
し、
前記デバイス鍵割り当て部は、前記認証結果を用いて、前記新規ノードとの間の第2の
共通鍵を生成し、前記第2の共通鍵を用いて、前記デバイス鍵を暗号化して前記新規ノー
ドに通知する、
請求項1記載の管理装置。 - 前記参加ノードと前記参加ノードに割り当てられているデバイス鍵との対応関係を記憶
するとともに、前記ネットワークに過去参加していた過去参加ノードと前記過去参加ノー
ドに割り当てられていたデバイス鍵との対応関係を記憶するデバイス鍵割り当て記憶部と
を更に備える、
請求項1記載の管理装置。 - 前記デバイス鍵割り当て記憶部は、更に、前記デバイス鍵各々の有効期限を記憶し、
前記デバイス鍵割り当て部は、前記新規ノードが前記過去参加ノードである場合であっ
て、前記新規ノードに、過去に割り当てられていたデバイス鍵の有効期限が切れていない
場合、前記過去に割り当てていたデバイス鍵を再度割り当て、前記有効期限が切れている
場合、新しいデバイス鍵を割り当てる、
請求項9記載の管理装置。 - 請求項1記載の管理装置と、前記複数の参加ノードとを含む、
管理システム。 - 複数の群に有限個数ずつ属し、暗号文を復号可能なデバイス鍵が各々割り当てられた複
数の参加ノードを含むネットワーク内で、前記デバイス鍵を管理する管理装置の管理方法
であって、
参加ノード管理部が、前記ネットワークに新たに参加する新規ノードを検出し、
前記新規ノードが前記ネットワークに過去参加していた過去参加ノードである場合、デ
バイス鍵割り当て部が、前記新規ノードに過去割り当てられていたデバイス鍵を再度割り
当て、
前記ネットワーク内の前記参加ノード及び前記新規ノードに対してメッセージを送信す
る際、暗号文生成部が、前記参加ノードに割り当てられているデバイス鍵及び前記新規ノ
ードに割り当てられたデバイス鍵を用いて、前記メッセージを暗号化して暗号文を生成し
、
前記暗号文は、前記参加ノードに割り当てられているデバイス鍵及び前記新規ノードに
割り当てられたデバイス鍵が、前記複数の群のうち少ない群から選択されていればいるほ
ど、小さいサイズとなる、
管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014260514A JP5845333B2 (ja) | 2014-12-24 | 2014-12-24 | 管理装置、システム、及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014260514A JP5845333B2 (ja) | 2014-12-24 | 2014-12-24 | 管理装置、システム、及び方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011065270A Division JP5676331B2 (ja) | 2011-03-24 | 2011-03-24 | ルートノード及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015097403A JP2015097403A (ja) | 2015-05-21 |
| JP5845333B2 true JP5845333B2 (ja) | 2016-01-20 |
Family
ID=53374479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014260514A Active JP5845333B2 (ja) | 2014-12-24 | 2014-12-24 | 管理装置、システム、及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5845333B2 (ja) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6049878A (en) * | 1998-01-20 | 2000-04-11 | Sun Microsystems, Inc. | Efficient, secure multicasting with global knowledge |
| JP2002281013A (ja) * | 2000-12-18 | 2002-09-27 | Matsushita Electric Ind Co Ltd | 著作権保護のための鍵管理装置、記録媒体、再生装置、記録装置、鍵管理方法、再生方法、鍵管理プログラム及び鍵管理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| US7039803B2 (en) * | 2001-01-26 | 2006-05-02 | International Business Machines Corporation | Method for broadcast encryption and key revocation of stateless receivers |
| GB2400526B (en) * | 2003-04-08 | 2005-12-21 | Hewlett Packard Development Co | Cryptographic key update management |
| JP4569464B2 (ja) * | 2005-12-20 | 2010-10-27 | 沖電気工業株式会社 | マルチホップネットワークにおける鍵更新システム,鍵管理装置,通信端末および鍵情報構築方法 |
| JP2009027557A (ja) * | 2007-07-20 | 2009-02-05 | Toshiba Corp | コンテンツデータ配信端末、及びコンテンツデータ配信システム |
| US9729316B2 (en) * | 2008-02-27 | 2017-08-08 | International Business Machines Corporation | Unified broadcast encryption system |
-
2014
- 2014-12-24 JP JP2014260514A patent/JP5845333B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015097403A (ja) | 2015-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5676331B2 (ja) | ルートノード及びプログラム | |
| EP3242437B1 (en) | Light-weight key update mechanism with blacklisting based on secret sharing algorithm in wireless sensor networks | |
| JP6223884B2 (ja) | 通信装置、通信方法およびプログラム | |
| EP3491801B1 (en) | Identifying a network node to which data will be replicated | |
| JP2011130012A (ja) | アクターノード、センサノード、担当区画変更方法、パラメータ変更方法、プログラムおよび情報処理システム | |
| JP2012195774A (ja) | ノード及びプログラム | |
| CN109873801B (zh) | 在用户和可信计算集群之间建立可信通道的方法、装置、存储介质及计算设备 | |
| JP2010098597A (ja) | 通信装置、通信方法及び通信プログラム | |
| JP2012090324A (ja) | ブロードキャスト暗号化システムにおける除かれたノードリストの生成方法 | |
| JP2016171530A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| KR100825735B1 (ko) | 지그비 네트워크 상의 통신 불가 노드에 대한 주소 공간관리 방법 | |
| JP2014530554A (ja) | グループメンバによるグループ秘密の管理 | |
| US20170123859A1 (en) | Systems and methods for distributed assignment of task identifiers | |
| CN115134075A (zh) | 跨子网调用方法、装置、电子设备和存储介质 | |
| JP2018157246A (ja) | 管理装置、および管理方法 | |
| JP5845333B2 (ja) | 管理装置、システム、及び方法 | |
| JP5637139B2 (ja) | ネットワーク鍵更新システム、サーバ、ネットワーク鍵更新方法および記録媒体 | |
| WO2014016864A1 (ja) | ノードおよび通信方法 | |
| JP6211818B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| EP4012689A1 (en) | Key management system providing secure management of cryptographic keys, and methods of operating the same | |
| KR101299698B1 (ko) | 계층 구조를 갖는 무선 센서 네트워크에서 통신량에 따른 키 갱신 방법 | |
| Souaidi et al. | Dynamic clustering for iot key management in hostile application area | |
| WO2016067471A1 (ja) | 通信制御装置、通信制御方法およびプログラム | |
| KR100933689B1 (ko) | 센서 네트워크에서의 클러스터링 기반 동적 키 관리 방법및 이를 기록한 기록매체 | |
| JP6903786B2 (ja) | 管理装置、および管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150213 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20150216 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20150218 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150703 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150723 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20150903 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151023 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151120 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5845333 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |