JP2005184835A - エンドデバイスの認識を備えるメッシュネットワーク - Google Patents

エンドデバイスの認識を備えるメッシュネットワーク Download PDF

Info

Publication number
JP2005184835A
JP2005184835A JP2004366477A JP2004366477A JP2005184835A JP 2005184835 A JP2005184835 A JP 2005184835A JP 2004366477 A JP2004366477 A JP 2004366477A JP 2004366477 A JP2004366477 A JP 2004366477A JP 2005184835 A JP2005184835 A JP 2005184835A
Authority
JP
Japan
Prior art keywords
router
certificate
mesh
end device
mesh router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004366477A
Other languages
English (en)
Other versions
JP4714459B2 (ja
JP2005184835A5 (ja
Inventor
Daniel R Simon
アール.サイモン ダニエル
Helen Jiahe Wang
チャーヒ ワン ヘレン
Paramvir Bahl
バール パラムビア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005184835A publication Critical patent/JP2005184835A/ja
Publication of JP2005184835A5 publication Critical patent/JP2005184835A5/ja
Application granted granted Critical
Publication of JP4714459B2 publication Critical patent/JP4714459B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Investigating Or Analysing Biological Materials (AREA)

Abstract

【課題】 エンドデバイスの認識を備えるメッシュネットワークを提供すること。
【解決手段】 例示的なルータは、別のルータによって発行された少なくとも1つの証明書をエンドデバイスから受信する動作、当該別のルータが、所定の近隣範囲のメンバであるかどうかを確定する動作、当該少なくとも1つの証明書が有効であるかどうかを判定する動作、および、当該別のルータが所定の近隣範囲のメンバであることが確認され、当該少なくとも1つの証明書が有効であると判定された場合、エンドデバイスが、特権を有するものと認識する動作、を含む動作を行う。
【選択図】 図1

Description

本開示は、一般にはメッシュネットワークに関し、特に、制限ではなく例として、所与のメッシュネットワークの近隣範囲内で、あるメッシュルータと連携するエンドデバイスを他のメッシュルータによって認識できるようにすることに関する。
音声とデータの両方の通信に無線ネットワークの利用が増えている。そのような無線通信は、送信機から受信機に無線信号を伝搬することにより達成され、送信機と受信機はそれぞれ無線ネットワークのノードを構成することができる。従来のセルラ無線ネットワークのノードには、例えば、固定基地局と移動局が含まれる。移動局は、固定基地局を介してセルラ無線ネットワークにアクセスする。基地局は、セルラ無線ネットワークを設計し、無線ネットワークへのアクセスを制御し、および/または無線ネットワーク内の安全対策を働かせることができるネットワークサービスプロバイダによって運営される。すなわち、単一のエンティティ(entity)が大規模に複数の基地局を運営し、その結果、単一の事業体が、ある程度の組織化と安全対策、ならびにセルラ無線ネットワークに対しある水準の全体的なネットワーク管理を提供することができる。
自然発生的に形成される無線ネットワークなどの他の種類の無線ネットワークは、普通はそのような大規模な計画、組織化、管理を伴わない。例えば、アドホックの無線ネットワークは、共に結びついて無線ネットワークのノードを形成することを互いに決定する複数のデバイスによって作られ、一般には、それら複数のデバイスの所有者間で事前あるいは事後に明示的な取り決めは行われない。したがって、ネットワークのアクセス規則を強制する、セキュリティ問題に対処する、標準に基づく要件を監視する、または一般に許容される無線ネットワークの振る舞いを保証するような包括的な運営者あるいは他のエンティティは存在しない。そのため、そのようなアドホックネットワークの正当な参加者と不正な参加者は、著しい制約や実際の影響を受けることなく、軽率に、無差別に、またはまさに悪意を持って行動する可能性がある。
したがって、自然発生的に形成された無線ネットワークに一定の管理および/または責任を導入することが可能な方式および/または技術が必要である。
例示的なルータの実施例では、ルータは、少なくとも1つのプロセッサと、少なくとも1つのプロセッサによって実行されることが可能なプロセッサ実行可能命令を含む1つまたは複数の媒体とを含み、プロセッサ実行可能命令は、別のルータによって発行された少なくとも1つの証明書をエンドデバイスから受信する動作、当該別のルータが、所定の近隣範囲のメンバであるかどうかを確定する動作、当該少なくとも1つの証明書が有効であるかどうかを判定する動作、および、当該別のルータが所定の近隣範囲のメンバであることが確認され、当該少なくとも1つの証明書が有効であると判定された場合、エンドデバイスが、サービスのレベルに関連する特権のあるステータスを有するものと認識する動作、を含む動作を行うようにルータに指示するように適合される。
例示的なメッシュルータの実施例では、メッシュルータは、他のメッシュルータと無線メッシュネットワークを確立することができ、さらに、近隣範囲管理者とするメッシュルータを指定することができ、メッシュルータは、特定のメッシュルータが、指定された近隣範囲管理者メッシュルータの近隣範囲のメンバである場合は、その特定のメッシュルータによって発行された特定の証明書に関連付けられた特定のエンドデバイスに、特権のあるステータスを付与するように適合される。
別の例示的なメッシュルータの実施例では、メッシュルータは、無線リンクを介してエンドデバイスと接続を確立する動作、エンドデバイスから、署名を有する少なくとも1つの証明書を受信する動作、当該少なくとも1つの証明書の署名に署名検証手順を行う動作、署名検証手順が成功した場合は、エンドデバイスに優先アクセス権を与える動作、および、署名検証手順が失敗である場合は、エンドデバイスに標準アクセス権を与える動作、を含む動作を行うように構成される。
本明細書では、この他の方法、システム、手法、装置、ルータ、デバイス、媒体、手順、構成などの実施例について説明する。
すべての図面を通して、同様の、および/または対応する態様、特徴、および構成要素は、同じ符号を使用して参照される。
図1は、メッシュルータ層とエンドデバイス層を含む例示的な無線メッシュネットワーク100である。メッシュルータ層はメッシュルータ102から形成され、メッシュルータ102は、無線メッシュネットワーク100のメッシュルータネットワーク部分を作る。エンドデバイス層は、エンドデバイス104から形成される。エンドデバイス104は、メッシュルータネットワークの1つまたは複数のメッシュルータ102を介して互いに通信することができる。
図示されるように、5つのメッシュルータ102(A)、102(B)、102(C)、102(D)、および102(E)がメッシュルータネットワークを形成して、マルチホップ無線ネットワークの少なくとも一部分を実現している。ただし、2つ以上(場合により数十、数百、数千等)のメッシュルータ102がメッシュルータネットワークを形成することができる。各メッシュルータ102は、例えば無線送信機および/または受信機(トランシーバなど)を使用して無線で通信することができる。
メッシュルータ102(A)は、メッシュルータ102(B)との間に無線リンク108ABを有し、メッシュルータ102(D)との間に無線リンク108ADを有する。メッシュルータ102(B)は、さらに、メッシュルータ102(C)と102(E)の間にそれぞれ無線リンク108BCと108BEを有する。同様に、メッシュルータ102(C)も、無線リンク108CEを介してメッシュルータ102(E)と無線通信を行い、メッシュルータ102(E)も、無線リンク108DEを介してメッシュルータ102(D)と無線通信を行う。
各メッシュルータ102は、1つから3つのエンドデバイス104と無線通信を行うように図示しているが、各メッシュルータは、これに代えて任意の数のエンドデバイス104と通信してもよい。メッシュルータ102(A)は、それぞれ無線リンク110(A1)および110(A2)を介して2つのエンドデバイス104(A1)および104(A2)と無線通信を行う。メッシュルータ102(B)は、無線リンク110(B1)を介して1つのエンドデバイス104(B1)と無線通信を行う。メッシュルータ102(C)は、それぞれ無線リンク110(C1)と110(C2)を介して2つのエンドデバイス104(C1)および104(C2)と無線通信を行う。同様に、メッシュルータ102(E)は、3つのエンドデバイス104(E1)、104(E2)、および104(E3)との間に無線リンク110(E)を有する。メッシュルータ102(D)は、2つのエンドデバイス104(D1)と104(D2)の間にそれぞれ無線リンク110(D1)および110(D2)を有する。
説明する実施例では、メッシュルータ102は、動作面から見て比較的標準的な装置の組からなる。例えば、各メッシュルータ102は、同様の(あるいは全く同じでもよい)ハードウェアおよび/またはソフトウェアを有するものであってもよい。ハードウェアは、無線通信と、ソフトウェア(ファームウェアを含む)の実行が可能である。
メッシュルータ102は、少なくとも相互運用可能な機能の基本セットを備えるようにエンティティによって設計および/または製造される。例えば、最初の製造で、第1のバージョンとしてハードウェアとソフトウェアの両方の観点から全く同じメッシュルータ102が、結果として製造される可能性がある。利用可能な(ファームウェアを含むソフトウェアなどの)アップグレードは、オプションの追加的な機能を提供する第2およびそれ以降のバージョンをもたらす。2番目の製造で、以前のバージョンと異なるものの、なお下位互換性のある後のバージョンのメッシュルータ102が製造されるかもしれない。要するに、メッシュルータ102を製造するエンティティは、ルータのハードウェアおよびソフトウェアコンポーネントに関してある程度の決定権をもつ。
これと対比して、エンドデバイス104は、計画性のない動作能力を備えた任意のハードウェアおよびソフトウェアを有するかもしれない、比較的多様な装置の組からなる。各エンドデバイス104は、ラップトップ、携帯電話、携帯情報端末(PDA)、家庭用コンピュータ、娯楽機器、または他の機器などであってよい。エンドデバイス104は、各種のオペレーティングシステム、アプリケーション、管理プログラムコーディングなどのいずれかを実行しているかもしれない。他の点では多様に異なっていても、そのようなエンドデバイス104は、認められたプロトコルを使用してメッシュルータ102を介して無線メッシュネットワーク100にアクセスすることができる。
メッシュルータ102を製造するエンティティは、安定した予測可能なメッシュルータネットワークが比較的自動的に確立されるようにメッシュルータ102を作成する。無論、無線メッシュルータネットワークの安定性と予測可能性は、送信機と受信機間の距離、干渉、無線媒体の変更などによって影響を受ける無線通信の予測不能な変動によって制約を受ける。それでも、メッシュルータ102は、起動されると、範囲内にあるメッシュルータ102と通信することにより無線メッシュネットワーク100に加わることを試みる。無線メッシュネットワーク100の確立については、特に図2および3を参照して下記でさらに説明する。メッシュルータ102を製造するエンティティがルータの動作機能を決定するので、悪意を持った、あるいはその他の点で不適切なネットワークの振る舞いはある程度低減することができる。
一方、エンドデバイス104は、その動作機能が中央で管理されないので、実質的に恣意的な動作、および/または意図的で悪意を持った動作を行える場合がある。しかし、エンドデバイス104は、無線リンク110で示すように、メッシュルータ102を介して無線メッシュネットワーク100に接続するので、エンドデバイス104の動作はある程度抑制することができる。(i)エンドデバイス104からメッシュルータ102への通信のための無線リンク110と、(ii)メッシュルータ102間の通信のための無線リンク108を管理する無線アクセスプロトコルは、同じであっても異なってもよいことに留意されたい。
例として、エンドデバイス104(A1)がエンドデバイス104(C1)に通信を送信することを試みる場合、エンドデバイス104(A1)は、その通信を無線リンク110(A1)を介してメッシュルータ102(A)に送信する。メッシュルータ102(A)は、メッシュルータ102(B)、またはメッシュルータ102(D)および102(E)を介して、その通信をメッシュルータ102(C)にルーティングする。そして、メッシュルータ102(C)は、無線リンク110(C1)を介してエンドデバイス104(C1)にその通信を送信する。
図示するように、エンドデバイス104(C1)はリソース106(C1)を備える。図には1つのみのリソース106を示すが、無線メッシュネットワーク100では同じメッシュルータ102または異なるメッシュルータ102に複数のリソース106が存在する場合がある。各リソース106は、例えば、ローカルサーバまたは(例えば下位区分用の)情報のリポジトリ、インターネットアクセスポイント(ITap)、マルチメディアデータ(小さなコミュニティの興味を引くもの)の集合などである。
図2に、各メッシュルータ102が証明書202に関連付けられた、メッシュルータ層の例示的な公開鍵インフラストラクチャ(PKI)を示す。3つの例示的なメッシュルータ102(A)、102(B)、および102(C)を具体的に示している。図示するように、各メッシュルータ102は、証明書202、公開鍵(PbK)204、秘密鍵(PvK)206、およびルートキー208を含む。各証明書202は、名前210、署名212、および対応する公開鍵204を含む。メッシュルータ「A」102(A)を特に使用して、メッシュルータ層における例示的PKIのこれら一般的態様を説明する。
メッシュルータ102(A)について説明する一実施例で、製造エンティティは、製造エンティティ用の公開鍵−秘密鍵のペアをともに形成する署名鍵(図示せず)とルートキー208に関連付けられる。製造エンティティは、名前A210(A)に、ある操作を実行することにより、秘密署名鍵で証明書202(A)に署名して署名212(A)を作成する。証明書202(A)は、公開鍵204(A)が、メッシュルータ102(A)の名前である名前A210(A)に結び付けられていることを証明する。名前A210(A)は、例えばメッシュルータ102(A)のシリアルナンバーである。
証明書202(A)は、メッシュルータ102(A)が、ルートキー208に関連付けられた製造エンティティによって証明された有効なメッシュルータ102であることを表す。したがって、証明書202(A)は、メッシュルータ102(A)が、(図1の)無線メッシュネットワーク100に加わることを許可されるべきであることを示す。証明書202(A)に加えて、メッシュルータ102(A)は、公開鍵204(A)、秘密鍵206(A)、およびルートキー208(A)を含んでいる(例えば記憶している)。秘密鍵206(A)は公開鍵204(A)に対応し、これらはともに、メッシュルータ102(A)に関連付けられた公開鍵−秘密鍵のペアを形成する。ルートキー208(A)は、製造エンティティのルートキー208のコピーであり、メッシュルータ102(A)に記憶される。
要するに、各メッシュルータ102は、関連付けられた証明書202とともに「出荷」される。したがって、メッシュルータ「B」102(B)は証明書202(B)を含み、メッシュルータ「C」102(C)は証明書202(C)を含む。証明書202(B)は、メッシュルータ102(B)がその製造エンティティが提供している有効なメッシュルータ102であり、メッシュルータ102(B)が、公開鍵204(B)に対応する秘密鍵206(B)に結び付けられていることを示す、名前B210(B)、署名212(B)、および公開鍵204(B)を含む。同様に、証明書202(C)は、メッシュルータ102(C)がその製造エンティティが提供している有効なメッシュルータ102であり、メッシュルータ102(C)が、公開鍵204(C)に対応する秘密鍵206(C)に結び付けられていることを示す、名前C210(C)、署名212(C)、および公開鍵204(C)を含む。
メッシュルータ102は、起動されると、他のメッシュルータ102に接触して無線メッシュネットワーク100を確立すること(例えば、ネットワーク100に参加すること)を試みる。起動されたメッシュルータ102が別のメッシュルータ102に接触すると、起動されたメッシュルータ102ともう一方のメッシュルータ102は、認証/鍵交換プロトコルを行う。2つのメッシュルータ102は、ルートキー208を使用した署名検証手順によって、互いが当該製造エンティティが提供している有効なメッシュルータ102であることを相互に示す証明書を交換する。
次いで、1つまたは両方のメッシュルータ102は、相手の公開鍵204を使用して、起動されたメッシュルータ102ともう一方のメッシュルータ102だけが共有する秘密対称鍵(secret symmetric key)を確立する。この秘密鍵は、鍵転送手順または鍵同意手順によって確立することができる。そして、この共有秘密鍵を使用して、各メッシュルータ102を他方に対して認証する。共有秘密鍵は、2つのメッシュルータ102間の通信で情報の機密性を保証するためにも使用することができる。
例として、メッシュルータ102(A)は、起動後、範囲内にあり、隣接ルータである可能性のある他のメッシュルータ102を探し、発見する。メッシュルータ102(B)に関して、メッシュルータ102(A)と102(B)は、証明書202(A)と202(B)を交換する。秘密鍵確立手順の後、鍵AB214が作成され、メッシュルータ102(A)と102(B)との間で共有される。
メッシュルータ102(A)で、鍵AB214(A)は、メッシュルータ「B」に関連付けられて記憶され/対応付けられる。これらのメッシュルータと鍵の対応付けは、例えばあるデータ構造に格納することができる。メッシュルータ102(B)では、鍵AB214(B)は、メッシュルータ「A」と関連付けられて記憶され/対応付けられる。鍵AB214を使用してメッシュルータ102(A)をメッシュルータ102(B)に対して認証することができ、その逆も同様であり、また任意で暗号化によって通信内容の機密性を保証することもできる。
同様に、メッシュルータ102(A)と102(C)は、証明書202(A)と202(C)を交換する。秘密鍵確立手順の後、鍵AC216が作成され、メッシュルータ102(A)と102(C)に共有される。鍵AC216(A)は、メッシュルータ102(A)でメッシュルータ「C」に対応付けられ、鍵AC216(C)は、メッシュルータ102(C)でメッシュルータ「A」に対応付けられる。メッシュルータ102(A)と102(C)間の認証/鍵交換のプロトコルと鍵確立手順は、メッシュルータ102(A)と102(C)が互いの無線範囲内にないときでも、(例えばメッシュルータ102(B)などの1つまたは複数のメッシュルータ102を介して)無線メッシュネットワーク100のメッシュルータネットワーク部分を介し起こり得る。同様に、証明書202(B)と202(C)の交換と秘密鍵確立手順の後、鍵BC218が作成され、メッシュルータ102(B)と102(C)の間で共有される。鍵BC218(B)は、メッシュルータ102(B)でメッシュルータ「C」に対応付けられ、鍵BC218(C)は、メッシュルータ102(C)でメッシュルータ「B」に対応付けられる。
図3に、パケット302を通信するためのメッシュルータ層におけるPKIの例示的な利用を示す。メッシュルータ102(A)が、対象とする受信側メッシュルータ102(B)にパケット302を送信している。パケット302は、別のメッシュルータ102からあるいはエンドデバイス104(A)からなどメッシュルータ102(A)で受信される、あるいはメッシュルータ102(A)で初めに作成される、等が可能である。メッシュルータ102(A)は、メッセージ認証コード(MAC)でパケット302にタグ付けを行う。
パケット302はメッシュルータ102(A)からメッシュルータ102(B)に送信されるので、メッシュルータ102(A)は、データ構造(表など)でメッシュルータ「B」を検索し、それらの間で共有される秘密鍵を確定する。この例では、メッシュルータ102(A)が取り出す共有秘密鍵は、鍵AB214(A)である。したがってメッシュルータ102(A)は、鍵AB214(A)を使用してMAC−AB302(AB)を生成する。次いで、送信の前にMAC−AB302(AB)をパケット302にタグ付けする。メッシュルータ102(B)は、パケット302を受信すると、自身の秘密鍵データ構造にアクセスしメッシュルータ「A」に対するエントリで、メッシュルータ(A)に対応付けられた共有秘密鍵、すなわち鍵AB214(B)を取り出す。メッシュルータ102(B)は、MAC−AB302(AB)と併せて鍵AB214(B)を使用して、パケット302が、有効で支障を来たしていないメッシュルータ102であるメッシュルータ102(A)から送信されたことを確かめる。
この例では、パケット302は、最終的には、メッシュルータ102(C)で無線メッシュネットワーク100に接続された(無線メッシュネットワーク100の一部と考えることができる)エンドデバイス104(C1)のリソース106(C1)を宛先とする。メッシュルータ102(B)は、無線メッシュネットワーク100についてのルーティング機能を有し、パケット302をメッシュルータ102(C)に送信すべきであると判定する。したがってメッシュルータ102(B)は、鍵BC218(B)がメッシュルータ「C」に対応付けられていることを確定し、鍵BC218(B)を利用してMAC−BC302(BC)を生成する。MAC−BC302(BC)は、パケット302にタグ付けされ、メッシュルータ102(C)に送信される。メッシュルータ102(C)は、記憶された自身の鍵BC218(C)を使用して、パケット302が既知の信頼されるメッシュルータ102(B)から受信されたことを確かめる。
このように、認証はホップバイホップ(hop‐by‐hop)で行われる。通信の情報内容の機密保持も(例えば暗号化によって)、hop by hopで果たすことができ、各通信は、各隣接メッシュルータ102の各ペアの共有秘密鍵で暗号化される。あるいは、暗号化は、終端間で行ってもよい。例えば、メッシュルータ102(A)と102(C)は、共有秘密鍵AC216を確立しているので、パケット302の内容は、鍵AC216を使用して暗号化することができる。その結果、メッシュルータ102(B)など途中にあるメッシュルータ102は、パケット302が終端間暗号化で無線メッシュネットワーク100を介してルーティングされる際に、パケット302の内容を理解することができない。
図4に、無線メッシュネットワーク100の例示的な近隣範囲の確立(neighborhood establishment)を示す。無線メッシュネットワーク100は、任意の速度で、有機的に無秩序に増大して、実質的に制限のない巨大な規模になる可能性がある。さらに、ネットワークが円滑に機能し続けることを保証する一元化された全体のネットワーク管理者は存在しない。したがって、同意された近隣範囲管理者404を任命あるいは指定する準公的な近隣範囲を比較的民主的に確立する権限がメッシュルータ102に与えられる。
図4に示すように、メッシュルータ102(A)はまた、メッシュルータ102(D)とともに共有秘密鍵AD402も確立している。鍵AD402(A)は、メッシュルータ102(A)でメッシュルータ「D」に対応付けられ、鍵AD402(D)は、メッシュルータ102(D)でメッシュルータ「A」に対応付けられている。各メッシュルータと秘密鍵の対応付けのデータ構造に含まれる省略記号は、さらにエントリが存在する可能性を表す。このような追加的エントリは、図4に図示する他のメッシュルータ102と、図4には明確には含まれない他のメッシュルータ102とを対象とすることができる。
説明する一実施例では、メッシュルータ102(C)が、無線メッシュネットワーク100内の複数のメッシュルータ102に対して自身を近隣範囲管理者404として進呈するか提供する。各メッシュルータ102は、製造エンティティによって当初提供され使用可能にされた、認められている機能の(望ましくは)範囲内で個々のメッシュルータ102の働きを管理する、その所有者などの個人管理者(図示せず)を有する。
メッシュルータ102の各個人管理者は、近隣範囲管理者を指定するために選択をすることができる。図4にはそのように示していないが、近隣範囲管理者は、管理される近隣範囲に物理的に位置しない場合もあり、例えば近隣範囲管理者は、実際にはインターネットサービスである場合もある。物理的な位置に関係なく、近隣範囲管理者は、少なくとも管理決定のサブセットに関してローカルの近隣範囲を管理することを任せられる。下記で図5〜7を特に参照してさらに説明するように、この管理決定のサブセットには、不良なメッシュルータ102/証明書202の排除が含まれる。ローカル近隣範囲の大きさは、近隣範囲管理者からの所定の(しかし変更可能な)ホップ数によって制限することができる。
図4の例では、メッシュルータ102(C)が、利用可能な近隣範囲管理者404である。メッシュルータ102(A)、102(B)、102(D)、および102(E)は、それぞれ406A、406B、406D、および406Eでメッシュルータ「C」を近隣範囲管理者に指定する。その結果、近隣範囲管理者の指定が無効にされるまで、メッシュルータ102(A)、102(B)、102(D)、102(E)は、管理決定のサブセットについてメッシュルータ102(C)に従う。任意で、個々の個人管理者がさらに、個々のメッシュルータ102が従うべき管理決定のサブセットから選択された決定を特定してもよい。
図5に、不良なメッシュルータ/証明書についての例示的な排除機構の一態様を示す。メッシュルータ102は、規定されたネットワークの振る舞いの制限を超えて、悪意を持って意図的に、何かの事情で偶発的に、あるいはそれらの何らかの組み合わせ等で動作する可能性がある。いずれの場合も、禁止されたネットワークの振る舞いに関与するメッシュルータ102は、不良と考えることができる。したがって、不良なメッシュルータ102に関連付けられた証明書202も不良とみなされる。
説明する一実施例では、不良な振る舞いには、これらに限定しないが、(i)許可された速度(rate)を上回る速度での送信、(ii)所与の期間にメッシュネットワークを介して最大数の許可パケットを超えるパケットを送信することを試みること、(iii)有効なメッシュルータとの通信を拒絶すること、(iv)転送しないことを含む正当なパケットの廃棄、(v)ネットワークに対する攻撃を開始すること、(vi)それらの組み合わせ等が含まれる。任意で、ローカルの近隣範囲および/または近隣範囲管理者は、特に製造エンティティによって公表されたリストの中から不良とみなす動作を選択的に決めることができる。不良なメッシュルータは、例えば、セキュアなトレース経路、物理的な測定、トラフィックフローの監視、特化されたメッシュ管理ツール(例えば統計分析)、他の近隣範囲管理者からの通知、それらの何らかの組み合わせ等を使用して発見することができる。
図5に示す例では、メッシュルータ102(A)が不良であることが判明している。その結果、メッシュルータ102(C)は、502(C)に示すように(図2の)証明書202(A)を排除する。排除の指示がメッシュルータ「A」に関連/対応付けられる。この排除の指示は、共有秘密鍵を記憶するデータ構造と同じデータ構造か、または別のデータ構造に含めることができる。
製造エンティティは、初めに、メッシュルータ102(A)の有効性を示し、その公開鍵−秘密鍵をメッシュルータ102(A)に結び付ける証明書202(A)を発行している。しかし、証明書202(A)が排除された結果、メッシュルータ102(C)は、(i)無線メッシュネットワーク100のために証明書202(A)が無効であるとみなし、(ii)関連付けられたメッシュルータ102(A)からのトラフィックをルーティングすることを拒否する。
近隣範囲管理者404としてのメッシュルータ102(C)は、その近隣範囲内のメッシュルータ102に対し排除の決定を伝搬する責任はないにせよ能力を有する。メッシュルータ102(C)は、自身の近隣範囲内のメッシュルータ102に排除メッセージ504をブロードキャストする。排除メッセージ−メッシュルータA504は、メッシュルータ202(A)の識別子および/または証明書202(A)を含んでいる。この識別子は、例えば、(図2の)名前A210(A)、証明書202(A)のすべてまたは一部などを含む。
図5に示すように、メッシュルータ102(B)、102(D)、および102(E)は、排除メッセージ−メッシュルータA504を受信する。任意で、排除メッセージ−メッシュルータA504をメッシュルータ102(A)に送信して、メッシュルータ102(A)とその個人管理者に証明書202(A)の排除とメッシュルータ102(A)の排除を通知してもよい。あるいは、排除メッセージ−メッシュルータA504は、何らかの帯域外の手段を使用してメッシュルータ102および/またはその個人管理者に送信してもよい。そのような手段には、電子メール、通常の郵便、インスタントメッセージ、電話などが含まれる。
図6に、不良のメッシュルータ102(A)/証明書202(A)についての例示的な排除機構の別の態様を示す。図5を参照して上述したように、各メッシュルータ102(B)、102(D)、および102(E)は、メッシュルータ102(C)から排除メッセージ−メッシュルータA504を受信する。排除メッセージ−メッシュルータA504を受信するのに応答して、メッシュルータ102(B)、102(D)、102(E)は、それぞれ502(B)、502(D)、および502(E)で、排除の指示をメッシュルータ「A」および/または証明書202(A)を関連付け/対応付ける。
排除メッセージ−メッシュルータA504を受信する前に、メッシュルータ102(A)との間にすでに共有秘密鍵が確立されている場合は、その共有秘密鍵を以後無視することができる。例えば、排除の指示502(B)および502(D)で、鍵AB214(B)と鍵AD402(D)を関連性がないとすることができる。任意で、そのような鍵を例えば追跡の目的等にその後使用しない場合は、鍵AB214(B)と鍵AD402(D)を削除することができる。
途切れた無線リンク108ABと108ADで表すように、メッシュルータ102(A)は、メッシュルータ102(C)が近隣範囲管理者404となっている近隣範囲から排除されている。例えば、メッシュルータ102(B)が、MAC−AB302(AB)でタグ付けされたパケット302を受信した場合、メッシュルータ102(B)は、パケット302をそれ以上(別のメッシュルータ102またはエンドデバイス104(B1)に)ルーティングすることを拒否する。
一方、排除メッセージ−メッシュルータA504を受信する前にメッシュルータ102(A)との間に共有秘密鍵がまだ確立されていない場合、識別子および/または証明書がメッセージ中に提供される場合は、排除の指示をメッシュルータ102(A)の識別子および/または証明書202(A)に対応付けることができる。この識別子は、例えば、(図2の)名前A210(A)か、または証明書202(A)のすべてまたは一部である。図6に示すように、メッシュルータ102(E)のデータ構造のエントリ602(E)は、メッシュルータ「A」の識別子を排除の指示502(E)に対応付けている。メッシュルータ102(A)がその後メッシュルータ102(E)との通信を試み、有効性と信頼性を表すものとして証明書202(A)を提供する場合、メッシュルータ102(E)は、メッシュルータ102(A)と認証/鍵交換プロトコルを実行することを拒否する。
図7は、無線メッシュネットワーク内で排除機能を実施する例示的方法を説明する流れ図700である。流れ図700は、6つのブロック702〜712を含んでいる。ブロック702〜712の動作は他の実施例および環境で実行することが可能であるが、特に図2〜6を使用してこの方法の特定の態様を明らかにする。例えば、流れ図700は、メッシュルータ「C」102(C)とメッシュルータ「B」102(B)の2つの部分に分割される。図示するように、メッシュルータ「C」102(C)が3つのブロック702〜706の動作を行い、メッシュルータ「B」102(B)が3つのブロック708〜712の動作を行う。
ブロック702で、近隣範囲管理者のステータスが確立される。例えば、メッシュルータ「C」102(C)が近隣範囲管理者404になることを申し出て、少なくとも1つの他のメッシュルータ102が、メッシュルータ「C」102(C)を近隣範囲管理者404に指定する。例えば高価値のリソース106の所有者が、自身のメッシュルータ102を近隣範囲管理者404として提供することができる。
ブロック704で、不良なメッシュルータが検出される。例えば、上述の機構の1つまたは複数を介して、メッシュルータ102(A)が不良であることを検出することができる。ブロック706で、近隣範囲のメッシュルータに不良のメッシュルータが通知される。例えば、メッシュルータ「C」102(C)が、証明書202(A)をメッセージに含めるなどにより、メッシュルータ202(A)を識別する排除メッセージ−メッシュルータA504をブロードキャストすることができる。排除メッセージ−メッシュルータA504は、無線メッシュネットワーク100を介してまたは何らかの帯域外の手段を通じて送信することができる。
メッシュルータ「B」102(B)に関して、ブロック708で、このメッシュルータにより近隣範囲管理者が指定される。例えば、メッシュルータ「B」102(B)は、メッシュルータ「C」102(C)を、指定された近隣範囲管理者406Bに指定することができる。この指定を達成する通信交換が、メッシュルータ「B」102(B)が近隣範囲に加わったことをメッシュルータ「C」102(C)に通知する。その結果、メッシュルータ「C」102(C)から提供される(例えば送信される)排除の通知は、メッシュルータ「B」102(B)を対象とする。
ブロック710で、メッシュルータが、指定された近隣範囲管理者から不良メッシュルータの通知を受信する。例えば、メッシュルータ「B」102(B)が、メッシュルータ102(A)の証明書202(A)を識別する排除メッセージ−メッシュルータA504を、メッシュルータ「C」102(C)から受信することができる。排除の通知が、指定された近隣範囲管理者404から出されたものであることをメッシュルータ「B」102(B)が確認できるように、排除メッセージ−メッシュルータA504は、メッシュルータ「C」102(C)によって署名することができる。
ブロック712で、メッシュルータは、識別された不良メッシュルータに関連付けられた証明書に基づいて、識別された不良メッシュルータを排除する。例えば、メッシュルータ「B」102(B)は、証明書202(A)またはメッシュルータ102(A)との間に確立された秘密鍵で認証されるパケットを転送する、あるいはその他の方法でルーティングすることを拒否するなど、メッシュルータ102(A)と通信することを拒否することができる。
証明書202(A)は、メッシュルータ102の製造エンティティにより、メッシュルータ102(A)に対して発行される。メッシュルータ102(C)は、メッシュルータ102(B)に証明書202(A)の排除ステータスを通知する。その結果、メッシュルータ102(B)は、その通知に基づいて証明書202(A)を排除する。この排除は、有効性と信頼性を示すものとして証明書202(A)を提示することを試みるメッシュルータ102(A)または任意のメッシュルータ102にも影響する。したがって、メッシュルータ102(B)は、メッシュルータ102(B)によりこの排除権限を持つように指定された非発行元エンティティ(non‐issuing entity)、すなわちメッシュルータ102(C)からの通知に基づいて、事実上証明書202(A)を、取り消された、および/または無効であるとして扱う。
図8に、エンドデバイス104(B1)に関する例示的な認識機構の一態様を示す。エンドデバイス104(B1)は、無線リンク110(B1)を介してメッシュルータ102(B)と通信を行う。この例示的な認識機構は、所与の近隣範囲内の複数のメッシュルータ102によってエンドデバイス104(B1)が特別に認識されることを可能にする。例えば、エンドデバイス104(B1)は、メッシュルータ102(C)の近隣範囲のメンバであるメッシュルータ102(B)と連携される。エンドデバイス104(B1)が、同じ近隣範囲の一部であるメッシュルータ102(E)など別のメッシュルータ102に移動すると、そのもう一方のメッシュルータ102は、エンドデバイス104(B1)を特権のあるエンドデバイス104として認識する。このメッシュルータ102(E)への移動とメッシュルータ102(E)による認識については、図9を参照して下記でさらに説明する。
図8に示すように、メッシュルータ102(E)は、証明書202(E)を含むものとして明示的に図示している。証明書202(E)は、名前E210(E)、署名212(E)、および公開鍵204(E)を含んでいる。公開鍵204(E)は、メッシュルータ102(E)の秘密鍵206(E)(明示的には図示せず)に対応する。証明書202については上記で図2を特に参照して概説した。エンドデバイス104(B1)は、証明書202(B1)および証明書202(B)(のコピー)を含むものとして図示している。
説明する一実施例では、メッシュルータ102(C)が、所与の近隣範囲に対して確立された近隣範囲管理者404である。メッシュルータ102(C)の近隣範囲は、(例えば図1、4、5の)メッシュルータ102(B)、メッシュルータ102(E)、メッシュルータ102(D)、(排除されていなければ)メッシュルータ102(A)、および場合によっては明確には図示していない他のメッシュルータ102を含む。メッシュルータ102(C)の近隣範囲のメッシュルータ102は、406でメッシュルータ「C」をそれらの近隣範囲管理者に指定している。
近隣範囲の形成は、上述の排除機能の実施を可能にする一方式である。近隣範囲の形成は、所与の近隣範囲のメッシュルータ102間の別の種類の連携も可能にする。例えば、同じ近隣範囲の他のメッシュルータ102と連携したエンドデバイス104に、特権のあるアクセス権をメッシュルータ102により与えることができる。
説明する一実施例では、エンドデバイス104は、様々な特権/優先度のレベルで(例えば図1の)無線メッシュネットワーク100へのアクセス権を与えられる。例えば、エンドデバイス104には、標準的なアクセス権または優先アクセス権を与えることができる。デフォルトのアクセスシナリオでは、どのエンドデバイス104も標準のアクセスレベルで無線メッシュネットワーク100にアクセスすることができる。より高いアクセス権のシナリオでは、所与の近隣範囲の特定のメッシュルータ102と連携したエンドデバイス104は、優先アクセスレベルで、所与の近隣範囲のどのメッシュルータ102にもアクセスすることができる。所与の近隣範囲の特定のメッシュルータ102とエンドデバイス104との連携(affiliation)の証拠は、少なくとも一部は、メッシュルータ層のPKIを使用して提供される。
エンドデバイス104(B1)は、メッシュルータ102(B)と連携される。例えば、メッシュルータ102(B)の個人管理者は、エンドデバイス104(B1)の所有者を知っているかもしれないし、または実際にエンドデバイス104(B1)の所有者であるかもしれない。したがって、個人管理者は、エンドデバイス104(B1)が、少なくともメッシュルータ102(B)を介した無線メッシュネットワーク100への優先アクセス権を与えられることを必要とする場合がある。エンドデバイス104(B1)にこの連携の証拠を提供するために、メッシュルータ102(B)は、証明書202(B)によって署名された証明書202(B1)をエンドデバイス104(B1)に発行する。
言い換えれば、エンドデバイス104(B1)には、証明書202(B)によって署名された証明書202(B1)が発行され、このエンドデバイス104(B1)は、その証明書202(B1)に関連付けられる。したがって、証明書202(B1)の名前が、エンドデバイス104(B1)を識別する。証明書202(B1)の公開鍵は秘密鍵に対応しており、その結果、公開鍵と秘密鍵の対がエンドデバイス104(B1)に関連付けられることになる。証明書202(B1)の署名は、メッシュルータ102(B)の(図2の)秘密鍵206(B)を使用して、秘密鍵操作によって生成される。エンドデバイス104(B1)は、証明書202(B)と併せて証明書202(B1)を使用して、エンドデバイス104(B1)がメッシュルータ102(B)と連携していることをメッシュルータ102(B)に証明することができる。
証明書202(B1)などエンドデバイス104に発行される証明書は、恐らくは、製造エンティティによってメッシュルータ102(B)などのメッシュルータ102に発行される証明書に比べて安全性が低いので、有効期限とともに発行することができる。メッシュルータ102(B)は、証明書を発行する権限をエンドデバイス104(B1)に委任してもよい。エンドデバイス104(B1)は、その後、追加的な証明書202を他のエンドデバイス104に発行して証明書チェーン(certificate chain)を作成することができる。証明書チェーンは、エンドデバイス104の連携を証明し、また連携していないメッシュルータ102による認識を防ぐために使用することができる。
所与のメッシュルータ102の個人管理者が、自身の所与のメッシュルータ102によって発行された特定のエンドデバイス証明書202が疑わしい(例えば関連付けられたエンドデバイス104の信頼性が損なわれているため等)ことに気づいた場合、個人管理者またはその所与のメッシュルータ102は、疑わしいエンドデバイス証明書202を排除することを要求する。この要求は近隣範囲管理者404に対して行われ、近隣範囲管理者404は、疑わしいエンドデバイス証明書202を識別する排除通知メッセージをブロードキャストすることができる。
エンドデバイス104(B1)は、証明書202(B)と併せて証明書202(B1)を使用して、自身が、メッシュルータ102(C)の近隣範囲内にある連携していないメッシュルータ102への優先アクセス権の資格があることも証明することができる。これは、例えば、メッシュルータ102(B)が機能しない場合、および/またはエンドデバイス104(B1)がメッシュルータ102(B)の範囲外に移動した場合に起きる可能性がある。例えば、エンドデバイス104(B1)は、メッシュルータ102(E)の範囲内に移動する可能性がある。
図9に、エンドデバイス104(B1)についての例示的な認識機構の別の態様を示す。図8と比較すると、エンドデバイス104(B1)が、メッシュルータ102(E)の範囲内に移動している。エンドデバイス104(B1)は、無線リンク110(E/B1)を介してメッシュルータ102(E)と通信を行う。この例示的な認識機構は、エンドデバイス104(B1)が、メッシュルータ102(E)によりメッシュルータ102(C)の近隣範囲の一部であるとして特別に認識されることを可能にする。
メッシュルータ102(E)は、近隣範囲のメンバであるメッシュルータ102をリストあるいは列挙するデータ構造902を含む。この例では、列挙される近隣範囲メンバは、メッシュルータ102(C)を、406B、406E等で、各自の近隣範囲管理者として指定したメッシュルータ102である。データ構造902は、メッシュルータ「B」[102(B)]、近隣範囲管理者(NA)として識別することが可能なメッシュルータ「C」[102(C)]、メッシュルータ「D」[102(D)]などをリストする。
データ構造902は、共有秘密鍵を記憶するデータ構造、排除の指示を記憶するデータ構造等の他のデータ構造の一部であっても、および/または他のデータ構造を含んでもよい。図9にはそのように示していないが、メッシュルータ102(C)の近隣範囲の一部である各メッシュルータ102(メッシュルータ102(B)など)も、データ構造902に類似するデータ構造を含んでいる。
動作の際、エンドデバイス104(B1)とメッシュルータ102(E)は、それらの間に無線リンク110(E/B1)を確立する。エンドデバイス104(B1)は、メッシュルータ102(E)に証明書202(B)と証明書202(B1)を提供する。メッシュルータ102(E)は、証明書202(B)に基づき、データ構造902にアクセスして、名前を付けられたメッシュルータ、すなわちメッシュルータ102(B)が、メッシュルータ102(E)が属するメッシュルータ102(C)の近隣範囲のメンバであるかどうかを確定する。データ構造902が、排除されたメッシュルータ102を含んでいる場合、メッシュルータ102(E)は、メッシュルータ102(B)が排除されていないことも確かめる。
メッシュルータ102(B)はメッシュルータ102(C)の近隣範囲のメンバであり、そのため近隣範囲メンバのデータ構造902にリストされるので、メッシュルータ102(E)は証明書202(B)を分析する。メッシュルータ102(E)とメッシュルータ102(B)が以前に証明書の交換/鍵の確立の手順を行ったことがあり、メッシュルータ102(E)が証明書202(B)のコピーを記憶していた場合、メッシュルータ102(E)は、単に、記憶された証明書202(B)のコピーを、エンドデバイス104(B1)から提供された証明書202(B)のコピーと比較して、証明書202(B)の正当性を裏付けることができる。それ以外の場合、メッシュルータ102(E)は、記憶された自身のルートキー208(E)(明示的には図示せず)を使用して、署名検証手順を証明書202(B)に行い証明書202(B)を検証する。
メッシュルータ102(B)が同じ近隣範囲のメンバであり、提示された証明書202(B)が正当/有効であることをメッシュルータ102(E)が確定すると、メッシュルータ102(E)は、証明書202(B1)を分析する。証明書202(B1)を分析して、証明書202(B1)が、証明書(B)に関連付けられたメッシュルータ102(B)によって発行されたことを裏付ける。したがって、メッシュルータ102(E)は、証明書202(B)の公開鍵204(B)を使用して証明書202(B1)の署名に署名検証手順を行って、証明書202(B1)の署名が、近隣範囲メンバであるメッシュルータ102(B)の対応する秘密鍵206(B)によって署名されたことを検証する。
この署名検証手順が成功した場合、メッシュルータ102(E)は、証明書202(B1)が有効であり、エンドデバイス104(B1)が、メッシュルータ102(C)の近隣範囲の近隣範囲メンバであるメッシュルータ102(B)と連携していることを判定している。その結果、メッシュルータ102(E)は、エンドデバイス104(B1)に標準アクセス権ではなく優先アクセス権を与える。メッシュルータ102(E)とエンドデバイス104(B1)は、鍵確立手順を行って、それら2つのノード間の通信を認証/暗号化するための共有秘密鍵を確立することもできる。
特権のあるステータスは、単なる標準アクセス権の代わりに優先アクセス権の資格を与えられるなどのサービスのレベルに関連する。優先アクセス権とこれに対する標準アクセス権は、それぞれ、より高いデータレートとより低いデータレート、保証されたスループットとベストエフォートのスループット、より高い送受信の優先度とより低い送受信の優先度、それらの何らかの組み合わせ等からなることができる。サービスのレベルは、3つ以上の異なるレベルのサービス/ステータスを含めることができる。
通信されるトラフィックについての優先アクセス権とこれに対する標準アクセス権(あるいはより多くの数の異なるサービスレベル)は、トラフィックにタグを付けることにより、無線メッシュネットワーク100全体にわたって順守されることができることに留意されたい。例えば、ルータ102は、各自の送信パケットに、各自で決定した分類(例えば「標準アクセスレート」や「優先アクセスレート」)でタグ付けすることができる。その結果、エンドデバイス104が無線メッシュネットワーク100中にパケットを送出し、分類の判定が行われるルータ102だけでなく、無線メッシュネットワーク100全体でパケット分類の相違を考慮することができる。
したがって、この例示的な認識機構は、特定のメッシュルータ102(B)と連携したエンドデバイス104(B1)が、メッシュルータ102(C)によって管理される同じ近隣範囲のメンバである他のメッシュルータ102によって特別に認識されることを可能にする。その結果、第1の層のピア(メッシュルータ102など)が、第1の層の他のピアによって認識される第2の異なる層に(例えばエンドデバイス104に)階層的に証明書202を発行することができる。
図10は、無線メッシュネットワーク内でエンドデバイスの認識を実施する例示的な方法を説明する流れ図1000である。流れ図1000は、10のブロック1002〜1020を含む。ブロック1002〜1020の動作は他の実施例および環境で行ってもよいが、図2、8、9を特に使用してこの方法の特定の態様を明らかにする。例えば、流れ図1000は、メッシュルータ「B」102(B)、メッシュルータ「B」のエンドデバイス104(B1)、およびメッシュルータ「E」102(E)の3つの部分に分割される。図示するように、メッシュルータ「B」102(B)がブロック1002の動作を行い、メッシュルータ「B」のエンドデバイス104(B1)が5つのブロック1004〜1012の動作を行い、メッシュルータ「E」102(E)が4つのブロック1014〜1020の動作を行う。
ブロック1004で、エンドデバイスが、連携したメッシュルータに接続する。例えば、エンドデバイス104(B1)が、無線リンク110(B1)を介してメッシュルータ102(B)に接続することができる。メッシュルータ102(B)の個人管理者がエンドデバイス104(B1)の所有者/操作者を知っているか、その他の方法で信頼する場合、エンドデバイス104(B1)は、メッシュルータ102(B)と連携することができる。
ブロック1002で、連携したメッシュルータが、連携したメッシュルータのメッシュルータ証明書によって署名されたエンドデバイス証明書を、エンドデバイスに発行する。例えば、メッシュルータ102(B)は、関連付けられた自身の証明書202(B)を使用して、エンドデバイス104(B1)に発行される証明書202(B1)に署名することができる。証明書202(B)と証明書202(B1)の両方は、無線リンク110(B1)を介してメッシュルータ102(B)からエンドデバイス104(B1)に提供することができる。
ブロック1006で、エンドデバイス証明書とメッシュルータ証明書がエンドデバイスによって記憶される。例えば、証明書202(B1)と証明書202(B)が、エンドデバイス104(B1)によって記憶される。ブロック1008で、エンドデバイスが新しい場所に移動する。例えば、エンドデバイス104(B1)が、メッシュルータ102(B)から切断した後、メッシュルータ102(B)の範囲内からメッシュルータ102(E)の範囲内に移動することができる。アステリスク()で表すように、これは、エンドデバイス104(B1)がメッシュルータ102(B)と102(E)両方の範囲内にある可能性があり、1つの場所からその両方と無線通信を行うことが可能な場合があるため、オプションの動作である。
ブロック1010で、エンドデバイスは、近隣範囲の(しかし連携していない)メッシュルータに接続する。例えば、エンドデバイス104(B1)は、無線リンク110(E/B1)を介してメッシュルータ102(E)に接続することができる。メッシュルータ102(E)は、エンドデバイス104(B1)が提携しているメッシュルータ102(B)と同じ近隣範囲のメンバである。言い換えると、メッシュルータ102(B)とメッシュルータ102(E)の両方が、メッシュルータ102(C)における同じ近隣範囲管理者404を指定している。
ブロック1012で、エンドデバイスが、エンドデバイス証明書と、エンドデバイス証明書を署名するのに使用されたメッシュルータ証明書の両方を、連携していない近隣範囲メッシュルータに提供する。例えば、エンドデバイス104(B1)が、証明書202(B1)と証明書202(B)をメッシュルータ102(E)に提供することができる。あるいは、メッシュルータ102(E)が、その近隣範囲内の各メッシュルータ102の関連付けられた証明書202のコピーを記憶している場合、エンドデバイス104(B1)は、単に、証明書202(B1)と、証明書202(B1)に含めることができるメッシュルータ102(B)の識別子とをメッシュルータ102(E)に送信することができる。
ブロック1014で、近隣範囲メッシュルータは、そのメッシュルータ証明書に関連付けられたメッシュルータが近隣範囲のメンバであるかどうかを確認する。例えば、メッシュルータ102(E)は、近隣範囲メンバのデータ構造902にアクセスして、そのエントリに、メッシュルータ102(B)を対象とする/メッシュルータ102(B)を含むエントリがあるかどうかを確かめる。エントリがない場合は、ブロック1020で、近隣範囲メッシュルータは、エンドデバイスに標準アクセス権を付与する。例えば、メッシュルータ102(E)が、エンドデバイス104(B1)に標準アクセス権を与えることができる。
一方、メッシュルータ証明書に関連付けられたメッシュルータが近隣範囲メンバであることを近隣範囲メッシュルータが確定した(ブロック1014)場合、方法はブロック1016に進む。ブロック1016で、近隣範囲メッシュルータは、エンドデバイス証明書が有効であるかどうかを判定する。例えば、メッシュルータ102(E)が、場合によっては証明書202(B)の分析と併せて証明書202(B1)を分析して、証明書202(B1)が正当なメッシュルータ102(B)の秘密鍵206(B)によって発行されたかどうかを判定する。この分析には、証明書202(B1)の署名に対する署名検証手順に少なくとも1回の公開鍵204(B)操作を伴う可能性がある。
エンドデバイス証明書が有効であると判定されない(ブロック1016)場合は、ブロック1020で、近隣範囲メッシュルータにより標準アクセス権がエンドデバイスに与えられる。他方、近隣範囲メッシュルータが、エンドデバイス証明書が有効であると判定した(ブロック1016)場合、方法はブロック1018に進む。ブロック1018で、近隣範囲メッシュルータは、優先アクセス権をエンドデバイスに与える。例えば、メッシュルータ102(E)がエンドデバイス104(B1)に優先アクセス権を与えることができる。このように、この例示的な方法では、エンドデバイスが、そのエンドデバイスが連携しているメッシュルータと同じ近隣範囲のメンバである、提携していないメッシュルータから特権のあるアクセス権を受け取ることができるように、無線メッシュネットワーク内でエンドデバイスの認識を実施する。
図11に、近隣範囲間の移動に関わるエンドデバイス104(B1)についての別の例示的な認識機構を示す。エンドデバイス104(B1)は、連携するメッシュルータ102(B)をメンバとして有する第1の近隣範囲から第2の近隣範囲に移動することができる。図11に示すように、この別の例示的な認識機構では、エンドデバイス104(B1)は、第2の近隣範囲のメンバであるメッシュルータ102により特別に認識されることができる。
図示するように、404Cで、メッシュルータ「C」102(C)を第1の近隣範囲の近隣範囲管理者として表している。メッシュルータ102(B)は、メッシュルータ102(C)の第1の近隣範囲のメンバである。メッシュルータ「G」102(G)は、404Gで、別の第2の近隣範囲の近隣範囲管理者として表している。メッシュルータ102(F)は、メッシュルータ102(G)の第2の近隣範囲のメンバである。メッシュルータ102(F)は、406Fで、メッシュルータ「G」を近隣範囲管理者に指定している。メッシュルータ102(F)は証明書202(F)に関連付けられ、メッシュルータ102(G)は証明書202(G)に関連付けられている。
説明する一実施例では、メッシュルータ102(C)と102(G)の近隣範囲管理者404Cと404Gは、それぞれ相互関係の(reciprocity)認識1102に同意している。言い換えると、メッシュルータ102(C)とメッシュルータ102(G)はそれぞれ、互いのメンバであるメッシュルータ102と連携したエンドデバイス104を特別に認識することに同意している。あるいは、この認識の同意は、相互的かつ双方的である代わりに一方的であってもよい。
メッシュルータ102(G)は、無線リンク108FGを介してメッシュルータ102(F)と通信を行う。メッシュルータ102(G)は、無線リンク108FGを介して、信頼メッシュルータ「C」メッセージ1104をメッシュルータ102(F)に送信する。言い換えると、メッシュルータ102(G)は、メッシュルータ102(C)が、良好かつ/または信頼できる近隣範囲を運営していることを主張している。メッシュルータ102(G)は、また、メッシュルータ102(G)の近隣範囲内で適切なメッシュルータ102となるという義務を果たすために、メッシュルータ102(C)の近隣範囲のメッシュルータ102と連携するエンドデバイス104を特別に認識するようにメッシュルータ102(F)に指示する。
メッシュルータ102(F)は、信頼すべき近隣範囲管理者をリストあるいは列挙するデータ構造1106を含んでいる。信頼メッシュルータ「C」メッセージ1104に応答して、メッシュルータ102(F)は、メッシュルータ「C」[102(C)]を含む/識別するエントリを追加する。データ構造1106は、省略記号で示すように追加的なエントリも含むことができる。さらに、信頼される近隣範囲管理者のデータ構造1106は、本明細書で別に説明するものを含む他のデータ構造と組み合わせてもよい。図11にはそのように示していないが、認識の同意1102が相互的(reciprocal)である場合は、メッシュルータ102(B)も、メッシュルータ「G」[102(G)]を列挙する、類似した信頼される近隣範囲管理者のデータ構造1106を含む。
説明する一実施例では、時間T=Xに、エンドデバイス104(B1)は、無線リンク110(B1)を介してメッシュルータ102(B)と通信している。エンドデバイス104(B1)は、これもエンドデバイス104(B1)により記憶された証明書202(B)によって署名された証明書202(B1)に関連付けられ、この証明書202(B1)を含んでいる。メッシュルータ102(B)も、証明書202(C)によって署名されているメンバーシップ証明書202(CB)をエンドデバイス104(B1)に提供する。メンバーシップ証明書202(CB)と証明書202(C)が、メッシュルータ102(C)からメッシュルータ102(B)に提供される。
デジタル証明書を使用して、あるエンティティが特定の属性を有することを証明することもできる。エンティティが特定の属性を有することを表す証明書を属性証明書と呼ぶ。この属性がメンバーシップである場合、属性証明書をメンバーシップ証明書と称することができる。メンバーシップ証明書202(CB)は、メッシュルータ102(B)がメッシュルータ102(C)の近隣範囲のメンバであることを示す。メンバーシップ証明書202(CB)は、近隣範囲管理者404Cであるメッシュルータ102(C)により証明書202(C)で署名される。
時間T=X+1に、エンドデバイス104(B1)は、メッシュルータ102(C)の近隣範囲のメッシュルータ102(B)の範囲内から、メッシュルータ102(G)の近隣範囲のメッシュルータ102(F)の範囲内に移動する。メッシュルータ102(F)とエンドデバイス104(B1)は、無線リンク110(F/B1)を介して接続を確立する。エンドデバイス104(B1)は、無線リンク110(F/B1)を介して、証明書202(B1)、証明書202(B)、メンバーシップ証明書202(CB)、および証明書202(C)をメッシュルータ102(F)に送信する。別の実施例では、メンバーシップ証明書202(CB)および/または証明書202(C)をメッシュルータ102(G)からメッシュルータ102(F)に提供することができる。
メッシュルータ102(F)は、証明書202(B1)と証明書(B)を使用して、エンドデバイス104(B1)が、署名検証手順を介してメッシュルータ102(B)と実際に連携している有効なメッシュルータ102であることを裏付ける。メッシュルータ102(F)は、メンバーシップ証明書202(CB)と証明書202(C)を使用して、メッシュルータ102(B)が実際にメッシュルータ102(C)の近隣範囲のメンバであることを裏付ける。
信頼される近隣範囲管理者のデータ構造1106にアクセスし、メッシュルータ「C」[102(C)]を含む/対象とするエントリを見つけると、メッシュルータ102(F)は、メッシュルータ102(C)の近隣範囲のメンバであるメッシュルータ102と連携するエンドデバイス104に、特別の認識を与えるべきであると判断する。したがって、メッシュルータ102(F)は、エンドデバイス104(B1)に特別な認識を与える。例えば、エンドデバイス104(B1)に優先アクセス権のステータスの権利を与えることができる。
図8〜10を参照すると、近隣範囲メンバのデータ構造902の手法の代わりに、近隣範囲間の移動の実施には属性証明書202を使用することができることに留意されたい。例えば、図9の移動についてのそのような実施例では、エンドデバイス104(B1)は、証明書202(B1)と証明書202(B)に加えて、メンバーシップ属性証明書202(CB)(および場合によっては証明書202(C))をメッシュルータ102(E)に送信する。次いで、メッシュルータ102(E)は、データ構造902にアクセスする(またはデータ構造902を記憶する)代わりに証明書202を分析する。
図1〜11のルータ、装置、動作、態様、特徴、構成要素などは、複数のブロックに分割した図に示している。しかし、図1〜11が記載および/または図示される順序、相互のつながり、相互の関係、レイアウトなどは制限と解釈すべきではなく、任意の数のブロックを変更する、組み合わせる、配置を変更する、増加させる、省略するなどどんな方法でも、メッシュネットワーク実装のための1つまたは複数のシステム、方法、装置、手順、媒体、アプリケーションプログラミングインタフェース(API)、器具、構成などを実施することができる。さらに、本明細書の説明は、特定の実施例(および下記の図12の例示的な動作環境)に対する言及を含んでいるが、図示および/または説明する実施例は、任意の適切なデバイスアーキテクチャ、コーディングパラダイム、通信手法、無線エアインタフェース方式(wireless air interface scheme)などを使用して、任意の適切なハードウェア、ソフトウェア、ファームウェア、またはそれらの組み合わせで実施することができる。
図12に、本明細書で説明するメッシュネットワーク実装のための少なくとも1つのシステム、ルータ、装置、器具、構成要素、構成、プロトコル、手法、方法、手順、媒体、API、それらの何らかの組み合わせなどを(完全に、または部分的に)実施することができる例示的なコンピューティング(または汎用装置の)動作環境1200を示す。動作環境1200は、以下で説明するコンピュータおよびネットワークアーキテクチャで利用することができる。
例示的な動作環境1200は、環境の一例に過ぎず、適用可能な装置(コンピュータ、ルータやエンドデバイスなどのネットワークノード、娯楽装置、移動器具、一般的な電子装置など)のアーキテクチャの使用または機能の範囲について制限を示唆することを意図するものではない。また、動作環境1200(またその装置)は、図12に示される構成要素の任意の1つまたは任意の組み合わせに関連する依存性や必要性を有するものとも解釈すべきでない。
また、メッシュネットワークの実施例は、数多くの他の汎用または特殊目的の装置(コンピューティングシステムあるいは無線システムを含む)環境または構成で実現することができる。使用に適しうる周知のデバイス、システム、環境、および/または構成の例には、これらに限定しないが、パーソナルコンピュータ、サーバコンピュータ、シンクライアント(thin clients)、シッククライアント(thick clients)、携帯情報端末(PDA)あるいは携帯電話、腕時計、ハンドヘルドまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサを利用したシステム、セットトップボックス、プログラム可能な家庭電化製品、ビデオゲーム機、ゲームコンソール、携帯型またはハンドヘルド型のゲーム装置、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、有線または無線ネットワークノード(一般的なルータまたは特殊ルータを含む)、上記のシステムまたは装置のいずれかを含む分散型あるいはマルチ処理コンピューティング環境、これらの何らかの組み合わせなどが挙げられる。
メッシュネットワークの実施例の実現は、プロセッサ実行可能命令の一般的なコンテキストで説明することができる。一般に、プロセッサ実行可能命令には、特定のタスクを実行するおよび/または可能にする、および/または特定の抽象データ型を実装するルーチン、プログラム、モジュール、プロトコル、オブジェクト、インタフェース、コンポーネント、データ構造などが含まれる。本明細書で特定の実施形態に記載されるメッシュネットワークの実施は、通信リンクおよび/またはネットワークを通じて接続された、遠隔でリンクされた処理デバイスによってタスクが行われる分散処理環境で実施してもよい。分散コンピューティング環境に限らないが、分散コンピューティング環境では特に、プロセッサ実行可能命令は、別個の記憶媒体に配置する、異なるプロセッサで実行する、および/または伝送媒体を介して伝播することができる。
例示的な動作環境1200は、コンピュータ1202の形態の汎用コンピューティング装置を含み、これは、計算/処理機能を有する任意の(例えば電子)装置からなることができる。コンピュータ1202の構成要素は、これらに限定しないが、1つまたは複数のプロセッサまたは処理装置1204、システムメモリ1206、およびプロセッサ1204を含む各種のシステム構成要素をシステムメモリ1206に接続するシステムバス1208を含むことができる。
プロセッサ1204は、それらが形成される材料、あるいはその内部で用いられる処理機構によって制限されない。例えば、プロセッサ1204は、半導体および/またはトランジスタ(電子集積回路(IC)など)から構成することができる。そのような状況では、プロセッサ実行可能命令は、電子的に実行可能な命令とすることができる。あるいは、プロセッサ1204の機構、したがってコンピュータ1202のまたはコンピュータ1202のための機構は、これらに限定しないが、量子コンピューティング、光コンピューティング、機械式コンピューティング(例えば、ナノテクノロジーを使用したもの)などを含むことができる。
システムバス1208は、各種のバスアーキテクチャのいずれかを使用した、メモリバスまたはメモリコントローラ、2地点間接続、スイッチングファブリック、ペリフェラルバス、アクセラレーテッドグラフィックポート、およびプロセッサバスあるいはローカルバスを含む、多種の有線または無線バス構造のいずれかの1つまたは複数を表す。例として、そのようなアーキテクチャには、ISA(Industry Standard Architecture)バス、MCA(Micro Channel Architecture)バス、EISA(Enhanced ISA)バス、VESA(Video Electronics Standards Association)ローカルバス、メザニンバスとして知られているPCI(Peripheral Component Interconnects)バス、それらの何らかの組み合わせなどが挙げられる。
コンピュータ1202は、通常、プロセッサからアクセス可能な各種媒体を含む。そのような媒体は、コンピュータ1202または別の(例えば電子)装置からアクセス可能な任意の利用可能な媒体でよく、揮発性および不揮発性の媒体、取り外し可能および固定の媒体、記憶媒体および伝送媒体を含む。
システムメモリ1206は、ランダムアクセスメモリ(RAM)1240などの揮発性メモリ、および/または読み出し専用メモリ(ROM)1212などの不揮発性メモリの形態のプロセッサアクセス可能な記憶媒体を含む。起動時などにコンピュータ1202内の構成要素間の情報転送を支援する基本ルーチンを含む基本入出力システム(BIOS)1214が、通例ROM1212に記憶される。RAM1210には、通常、処理装置1204から即座にアクセス可能な、および/または処理装置1204によって現在操作中のデータおよび/またはプログラムモジュール/命令が入っている。
コンピュータ1202は、この他の取り外し可能/固定の、および/または揮発性/不揮発性の記憶媒体も含むことができる。例として、図12には、(通常は)固定で、不揮発性の磁気媒体(別個に図示せず)の読み書きを行うハードディスクドライブあるいはディスクドライブアレイ1216、(通常は)取り外し可能で、不揮発性の磁気ディスク1220(例えば「フロッピー(登録商標)ディスク」)の読み書きを行う磁気ディスクドライブ1218、および(通常は)取り外し可能で、不揮発性のCD、DVD、またはその他の光媒体などの光ディスク1224の読み書きを行う光ディスクドライブ1222を示す。ハードディスクドライブ1216、磁気ディスクドライブ1218、光ディスクドライブ1222はそれぞれ、1つまたは複数の記憶媒体インタフェース1226によりシステムバス1208に接続される。あるいは、ハードディスクドライブ1216、磁気ディスクドライブ1218、光ディスクドライブ1222は、1つまたは複数の別個のインタフェースあるいは組み合わせたインタフェース(図示せず)によりシステムバス1208に接続してもよい。
これらディスクドライブとそれに関連付けられたプロセッサアクセス可能な媒体は、コンピュータ1202のためのデータ構造、プログラムモジュール、および他のデータなどのプロセッサ実行可能命令の不揮発性の記憶装置を提供する。例示的なコンピュータ1202には、ハードディスク1216、取り外し可能な磁気ディスク1220、および取り外し可能光ディスク1224を示すが、磁気カセットあるいは他の磁気記憶装置、フラッシュメモリ、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、あるいはその他の光記憶装置、RAM、ROM、電気的消去可能プログラム可能読み出し専用メモリ(EEPROM)等の他の種類のプロセッサアクセス可能な媒体が、デバイスからアクセスできる命令を記憶してもよいことは理解されたい。そのような媒体としては、いわゆる特殊目的のICチップやハードワイヤードのICチップも含まれる。言い換えると、例示的な動作環境1200の記憶媒体の実現するために、任意のプロセッサアクセス可能な媒体を利用することができる。
ハードディスク1216、磁気ディスク1220、光ディスク1224、ROM1212、および/またはRAM1240には、任意数のプログラムモジュール(または命令/コードの他の単位またはセット)を記憶することができ、これには、一般的な例として、オペレーティングシステム1228、1つまたは複数のアプリケーションプログラム1230、他のプログラムモジュール1232、プログラムデータ1234が含まれる。そのような命令は、無線メッシュネットワークに加わり、参加するためのモジュール、排除機構を実施するモジュール、PKIをエンドデバイス層に拡張するモジュール、データ構造を対応付けるモジュールなどを含むことができる。
ユーザは、キーボード1236やポインティングデバイス1238(例えば「マウス」)等の入力装置を介してコンピュータ1202にコマンドおよび/または情報を入力することができる。他の入力装置1240(明確には図示せず)としては、マイクロフォン、ジョイスティック、ゲームパッド、衛星受信アンテナ、シリアルポート、スキャナなどを挙げることができる。上記および他の入力装置は、システムバス1208に接続された入出力インタフェース1242を介して処理装置1204に接続される。しかし、入力装置および/または出力装置は、代わりに、パラレルポート、ゲームポート、ユニバーサルシリアルバス(USB)ポート、赤外線ポート、IEEE1394(「Firewire」)インタフェース、IEEE802.11または他の一般的な無線インタフェース、Bluetooth(登録商標)無線インタフェースなどの他のインタフェースおよびバス構造で接続することもできる。
モニタ/ビュー画面1244または他の種類の表示装置も、ビデオアダプタ1246などのインタフェースを介してシステムバス1208に接続することができる。ビデオアダプタ1246(または別のコンポーネント)は、グラフィックを集中的に扱う計算を処理し、厳しいディスプレイ要件に対処するグラフィックカードとするか、グラフィックカードを含むことができる。通常、グラフィックカードは、グラフィックの迅速な表示とグラフィック動作の性能を助けるグラフィック処理装置(GPU)、ビデオRAM(VRAM)などを含む。モニタ1244に加えて、他の出力周辺装置には、スピーカ(図示せず)やプリンタ1248などのコンポーネントが含むことができ、それらは入出力インタフェース1242を介してコンピュータ1202に接続することができる。
コンピュータ1202は、リモートコンピューティング装置1250などの1つまたは複数のリモートコンピュータとの論理接続を使用するネットワーク環境で動作することができる。例として、リモートコンピューティング装置1250は、パーソナルコンピュータ、携帯型コンピュータ(ラップトップコンピュータ、タブレットコンピュータ、PDA、モバイルステーションなど)、パーム型あるいはポケットサイズのコンピュータ、腕時計、ゲーム機、サーバ、ルータ、ネットワークコンピュータ、ピアデバイス、別のネットワークノード、または上記で挙げた別の装置の種類などである。ただし、リモートコンピューティングデバイス1250は、コンピュータ1202に関して本明細書で説明する構成要素および機能の多くまたはすべてを含むことができる携帯型コンピュータとして示されている。
コンピュータ1202とリモートコンピュータ1250間の論理接続は、ローカルエリアネットワーク(LAN)1252と一般的なワイドエリアネットワーク(WAN)1254として図示している。このようなネットワーキング環境は、オフィス、企業内のコンピュータネットワーク、イントラネット、インターネット、固定電話網および移動電話網、アドホックおよびインフラストラクチャの無線ネットワーク、他の無線ネットワーク、ゲームネットワーク、それらの何らかの組み合わせなどに一般的に見られる。そのようなネットワークおよび通信接続は、伝送媒体の例である。
LANネットワーキング環境で実施される場合、コンピュータ1202は、通例、ネットワークインタフェースまたはアダプタ1256を介してLAN1252に接続される。WANネットワーキング環境で実施される場合、コンピュータ1202は通常、WAN1254を介して通信を確立するモデム1258あるいは他の構成要素を含む。モデム1258は、コンピュータ1202の内部にあっても外部にあってもよく、入出力インタフェース1242あるいは他の任意の適切な機構を介してシステムバス1208に接続することができる。図に示すネットワーク接続は例示的なものであり、コンピュータ1202と1250の間に無線リンクを含む通信リンクを確立する他の方式を用いてもよいことは理解されたい。
動作環境1200に示すようなネットワーク環境では、コンピュータ1202との関連で図示したプログラムモジュールまたは他の命令、あるいはその一部は、遠隔の媒体記憶装置にすべてあるいは一部を記憶することができる。例として、リモートアプリケーションプログラム1260が、リモートコンピュータ1250のメモリコンポーネントに存在するが、これは、コンピュータ1202を介して使用することができ、または他の方法でアクセスすることができる。また、説明のために、アプリケーションプログラム1230とオペレーティングシステム1228などの他のプロセッサ実行可能命令は、個別のブロックとして図示しているが、そのようなプログラム、コンポーネント、および他の命令は、様々な時にコンピューティング装置1202(および/またはリモートコンピューティング装置1250)の異なる記憶要素に存在し、コンピュータ1202(および/またはリモートコンピューティング装置1250)のプロセッサ1204によって実行されることが理解されよう。
システム、媒体、ルータ、装置、方法、手順、器具、技術、API、方式、手法、手順、構成、およびその他の実施について、構造、論理、アルゴリズム、および機能面から見た特徴および/または図に固有の術語で説明したが、添付の特許請求の範囲で規定する本発明は、必ずしも説明した特定の特徴あるいは図に制限されないことを理解されたい。むしろ、特定の特徴および図は、本発明を実施する例示的形態として開示される。
メッシュルータ層とエンドデバイス層を含む例示的な無線メッシュネットワークの図である。 各メッシュルータが証明書に関連付けられたメッシュルータ層における例示的な公開鍵インフラストラクチャを示す図である。 パケットを通信するためのメッシュルータ層におけるPKIの例示的な利用法を示す図である。 無線メッシュネットワークの例示的な近隣範囲確立を示す図である。 不良のメッシュルータ/証明書に関する例示的な排除機構の一態様を示す図である。 不良のメッシュルータ/証明書に関する例示的な排除機構の別の態様を示す図である。 無線メッシュネットワークにおける排除機能を実施する例示的方法を説明する流れ図である。 エンドデバイスについての例示的な認識機構の一態様を示す図である。 エンドデバイスについての例示的な認識機構の別の態様を示す図である。 無線メッシュネットワークにおけるエンドデバイスの認識を実施する例示的方法を説明する流れ図である。 近隣範囲間の移動に関わるエンドデバイスについての別の例示的認識機構の図である。 本明細書で説明するメッシュネットワークの少なくとも1つの態様を(すべて、あるいは部分的に)実施することが可能な例示的なコンピューティング(または汎用装置の)動作環境を示す図である。
符号の説明
1204 処理装置
1206 システムメモリ
1208 システムバス
1226 記憶媒体インタフェース
1228 オペレーティングシステム
1230 アプリケーションプログラム
1232 プログラムモジュール
1234 プログラムデータ
1236 キーボード
1238 マウス
1240 他のデバイス
1242 I/Oインタフェース
1244 モニタ
1246 ビデオアダプタ
1248 プリンタ
1250 リモートコンピューティング装置
1254 インターネット
1256 ネットワークアダプタ
1258 モデム
1260 リモートアプリケーションプログラム

Claims (40)

  1. 少なくとも1つのプロセッサと、
    前記少なくとも1つのプロセッサによって実行されることが可能なプロセッサ実行可能命令を含む1つまたは複数の媒体と
    を備えるルータであって、
    前記プロセッサ実行可能命令は、
    別のルータによって発行された少なくとも1つの証明書をエンドデバイスから受信する動作と、
    前記別のルータが、所定の近隣範囲のメンバであるかどうかを確定する動作と、
    前記少なくとも1つの証明書が有効であるかどうかを判定する動作と、
    前記別のルータが前記所定の近隣範囲のメンバであることが確認され、前記少なくとも1つの証明書が有効であると判定される場合、前記エンドデバイスが、サービスのレベルに関連する特権のあるステータスを有するものと認識する動作と
    を備える動作を行うように前記ルータに指示するように適合されることを特徴とするルータ。
  2. エンドデバイスおよび/または他のルータとの無線通信を可能にする無線送受信機をさらに備えることを特徴とする請求項1に記載のルータ。
  3. 前記受信の動作は、
    前記エンドデバイスから、前記少なくとも1つの証明書と前記別のルータの識別を受信する動作
    を含むことを特徴とする請求項1に記載のルータ。
  4. 前記受信の動作は、
    前記エンドデバイスから、前記少なくとも1つの証明書と別の証明書とを受信する動作を含み、前記別の証明書は前記別のルータに関連付けられ、前記別の証明書の公開鍵に対応する秘密鍵を使用して前記少なくとも1つの証明書に署名することを特徴とする請求項1に記載のルータ。
  5. 前記受信の動作は、
    前記エンドデバイスから、(i)前記少なくとも1つの証明書、(ii)前記別のルータに関連付けられ、前記少なくとも1つの証明書に署名した別の証明書、(iii)前記別のルータが前記所定の近隣範囲のメンバであることを示すメンバーシップ証明書、および(iv)前記所定の近隣範囲の近隣範囲管理者の証明書、を受信する動作を含み、前記近隣範囲管理者の証明書が前記メンバーシップ証明書に署名していることを特徴とする請求項1に記載のルータ。
  6. 前記1つまたは複数の媒体はさらに、前記ルータもメンバである近隣範囲のメンバである複数のルータを列挙するデータ構造を含み、前記確定する動作は、
    前記データ構造にアクセスする動作と、
    前記別のルータが前記データ構造に列挙されているかどうかを調べる動作と
    を含むことを特徴とする請求項1に記載のルータ。
  7. 前記データ構造はさらに、前記ルータとの間に確立された個々の共有秘密鍵を、前記複数のルータの少なくとも一部の個々のルータに対応付けることを特徴とする請求項6に記載のルータ。
  8. 前記確定する動作は、
    前記別のルータが前記所定の近隣範囲のメンバであるかどうかを確定する動作を含み、前記所定の近隣範囲は、前記ルータもメンバである近隣範囲からなることを特徴とする請求項1に記載のルータ。
  9. 前記確定する動作は、
    前記別のルータが前記所定の近隣範囲のメンバであるかどうかを確定する動作を含み、前記所定の近隣範囲は、前記ルータがメンバである近隣範囲の近隣範囲管理者によって信頼される近隣範囲管理者を有する近隣範囲からなることを特徴とする請求項1に記載のルータ。
  10. 前記判定の動作は、
    前記少なくとも1つの証明書の署名に署名検証手順を行う動作を含むことを特徴とする請求項1に記載のルータ。
  11. 前記判定の動作は、
    前記別のルータに関連付けられた別の証明書からの公開鍵を使用して、前記少なくとも1つの証明書に公開鍵操作を行う動作を備えることを特徴とする請求項1に記載のルータ。
  12. 前記認識の動作は、
    前記エンドデバイスが、ある近隣範囲のメンバである前記別のルータと連携していると認識する動作を含むことを特徴とする請求項1に記載のルータ。
  13. 前記認識の動作は、
    前記エンドデバイスが、前記ルータがメンバである近隣範囲との間に相互関係の認識を有する近隣範囲のメンバである前記別のルータと連携していると認識する動作を含むことを特徴とする請求項1に記載のルータ。
  14. 前記認識の動作は、
    前記エンドデバイスに、無線メッシュネットワークへの優先アクセス権を付与する動作を含むことを特徴とする請求項1に記載のルータ。
  15. 前記プロセッサ実行可能命令は、
    前記別のルータが前記所定の近隣範囲のメンバであると確定されないか、または前記少なくとも1つの証明書が有効と判定されない場合は、前記エンドデバイスに、無線メッシュネットワークへの標準アクセス権を付与する動作を含むさらなる動作を前記ルータに行わせるように適合されることを特徴とする請求項1に記載のルータ。
  16. 前記プロセッサ実行可能命令は、
    前記別のルータによって認識されることが可能な異なる証明書を異なるエンドデバイスに発行する動作を含むさらなる動作を前記ルータに行わせるように適合され、
    前記ルータおよび前記別のルータは、無線メッシュネットワーク内でピアであることを特徴とする請求項1に記載のルータ。
  17. エンドデバイスの認識を可能にする構成であって、
    エンドデバイスから少なくとも1つの証明書を受信する受信手段であって、前記少なくとも1つの証明書は、前記エンドデバイスが連携しているルータによって前記エンドデバイスに発行される受信手段と、
    前記ルータが所定の近隣範囲のメンバであるかどうかを確定する確定手段と、
    前記少なくとも1つの証明書が有効であるかどうかを判定する判定手段と、
    前記確定手段および前記判定手段に応答して、前記エンドデバイスが特権のあるステータスを有するものと認識する認識手段と
    を備えることを特徴とする構成。
  18. 前記認識手段は、前記ルータが前記所定の近隣範囲のメンバであることを前記確定手段が確定し、前記少なくとも1つの証明書が有効であると前記判定手段が判定した場合、前記エンドデバイスが前記特権のあるステータスを有するものと認識するように適合されることを特徴とする請求項17に記載の構成。
  19. 前記認識手段は、前記確定手段および前記判定手段に応答して前記エンドデバイスに優先アクセス権を付与する手段を含むことを特徴とする請求項17に記載の構成。
  20. 前記確定手段は、
    近隣範囲のメンバを格納するデータ構造手段と、
    前記ルータが前記データ構造手段に列挙されるかどうかを調べるアクセス手段とを含むことを特徴とする請求項17に記載の構成。
  21. 前記確定手段は、
    信頼される近隣範囲管理者を格納するデータ構造手段と、
    メンバーシップ証明書によって示される前記ルータの近隣範囲管理者が、前記データ構造手段に列挙されるかどうかを調べるアクセス手段とを含むことを特徴とする請求項17に記載の構成。
  22. 前記判定手段は、
    前記少なくとも1つの証明書の署名に署名検証手順を行う検証手段を含むことを特徴とする請求項17に記載の構成。
  23. 前記判定手段は、
    前記エンドデバイスが連携する前記ルータに関連付けられた別の証明書からの公開鍵を使用して、前記少なくとも1つの証明書に公開鍵操作を行う動作手段を含むことを特徴とする請求項17に記載の構成。
  24. 前記構成は、(i)メッシュルータ、および(ii)1つまたは複数のプロセッサアクセス可能媒体、の少なくとも1つを備えることを特徴とする請求項17に記載の構成。
  25. 無線リンクを介してエンドデバイスとの間に接続を確立する動作と、
    署名を有する少なくとも1つの証明書を前記エンドデバイスから受信する動作と、
    前記少なくとも1つの証明書の署名に署名検証手順を行う動作と、
    前記署名検証手順が成功した場合、前記エンドデバイスに優先アクセス権を付与する動作と、
    前記署名検証手順が失敗した場合、前記エンドデバイスに標準アクセス権を付与する動作と
    を含む動作を行うように構成されたことを特徴とするメッシュルータ。
  26. 前記メッシュルータは、
    前記少なくとも1つの証明書を前記エンドデバイスに発行した別のメッシュルータの識別子を受信する動作と、
    前記少なくとも1つの証明書を発行した前記別のメッシュルータが、前記メッシュルータもメンバである近隣範囲のメンバであるかどうかを、前記識別子との関係で確定する動作を含むさらなる動作を行うように構成されることを特徴とする請求項25に記載のメッシュルータ。
  27. 前記受信の動作は、
    前記少なくとも1つの証明書と別の証明書を受信する動作を含み、前記少なくとも1つの証明書は前記エンドデバイスに関連付けられ、前記別の証明書は別のメッシュルータに関連付けられることを特徴とする請求項25に記載のメッシュルータ。
  28. 前記受信の動作は、
    前記エンドデバイスから前記少なくとも1つの証明書を受信する動作を含み、前記少なくとも1つの証明書は前記エンドデバイスに関連付けられ、前記署名は、別のメッシュルータに関連付けられた秘密鍵を使用した秘密鍵操作の結果であることを特徴とする請求項25に記載のメッシュルータ。
  29. 他のメッシュルータと無線メッシュネットワークを確立することが可能なメッシュルータであって、さらに、近隣範囲管理者とするメッシュルータを指定することができ、特定のメッシュルータが、前記指定された近隣範囲管理者メッシュルータの近隣範囲のメンバである場合、前記特定のメッシュルータによって発行された特定の証明書に関連付けられた特定のエンドデバイスに特権のあるステータスを与えるように適合されることを特徴とするメッシュルータ。
  30. 前記特定のエンドデバイスに関連付けられた前記特定の証明書は、(i)前記特定のエンドデバイスの名前、(ii)前記特定のエンドデバイスに関連付けられた公開鍵−秘密鍵の対の公開鍵、および(iii)前記特定のメッシュルータに関連付けられた公開鍵−秘密鍵の対の秘密鍵で署名された署名、を含むことを特徴とする請求項29に記載のメッシュルータ。
  31. 前記メッシュルータはさらに、前記メッシュルータがノードを形成する前記無線メッシュネットワークに関して、前記特定のエンドデバイスに優先アクセス権を付与するように適合されることを特徴とする請求項29に記載のメッシュルータ。
  32. 前記メッシュルータはさらに、前記メッシュルータにとってピアであり、かつ所定の近隣範囲のメンバである前記他のメッシュルータによってエンドデバイスに階層的に発行された証明書を認識するように適合されることを特徴とする請求項29に記載のメッシュルータ。
  33. 前記所定の近隣範囲は、(i)前記指定された近隣範囲管理者であるメッシュルータの近隣範囲、および(ii)信頼される近隣範囲管理者であるメッシュルータを有する近隣範囲、の少なくとも1つからなることを特徴とする請求項32に記載のメッシュルータ。
  34. 前記メッシュルータはさらに、所与のメッシュルータが、信頼される近隣範囲管理者であるメッシュルータを有する近隣範囲のメンバである場合に、前記所与のメッシュルータによって発行された所与の証明書に関連付けられた所与のエンドデバイスに、特権のあるステータスを与えるように適合されることを特徴とする請求項29に記載のメッシュルータ。
  35. エンドデバイスの認識を可能にする方法であって、
    特定のルータによって発行された少なくとも1つの証明書をエンドデバイスから受信するステップと、
    前記特定のルータが所定の近隣範囲のメンバであるかどうかを確定するステップと、
    前記特定のルータが前記所定の近隣範囲のメンバでない場合、前記エンドデバイスに標準アクセス権を付与するステップと、
    前記特定のルータが前記所定の近隣範囲のメンバである場合、前記少なくとも1つの証明書が有効であるかどうかを判定するステップと、
    前記少なくとも1つの証明書が有効である場合、前記エンドデバイスが特権のあるステータスを有するものと認識するステップと
    を備えることを特徴とする方法。
  36. 前記特定のルータの秘密鍵を使用して、前記特定のルータにより前記少なくとも1つの証明書に署名するステップと、
    前記特定のルータにより、前記エンドデバイスに前記少なくとも1つの証明書を発行するステップとをさらに備えることを特徴とする請求項35に記載の方法。
  37. 前記エンドデバイスにより、近隣範囲ルータに接続するステップと、
    前記エンドデバイスにより、前記少なくとも1つの証明書と前記特定のルータの証明書とを前記近隣範囲ルータに提供するステップとをさらに備え、
    前記近隣範囲のルータは、前記受信、確定、判定、および認識のステップを行うことを特徴とする請求項35に記載の方法。
  38. 実行されると請求項35に記載の方法を行うようにルータに指示するプロセッサ実行可能命令を備えることを特徴とする1つまたは複数のプロセッサアクセス可能媒体。
  39. 前記確定ステップは、
    (i)同じ近隣範囲のメンバであるルータ、および(ii)信頼される近隣範囲管理者、の少なくとも1つを列挙するデータ構造にアクセスするステップを含むことを特徴とする請求項35に記載の方法。
  40. 前記確定ステップは、
    前記特定のルータが、所与の近隣範囲管理者を有する近隣範囲のメンバであることを表すメンバーシップ証明書を参照して、信頼される近隣範囲管理者を列挙するデータ構造にアクセスするステップを含むことを特徴とする請求項35に記載の方法。
JP2004366477A 2003-12-17 2004-12-17 エンドデバイスの認識を備えるメッシュネットワーク Expired - Fee Related JP4714459B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/738,802 2003-12-17
US10/738,802 US7489645B2 (en) 2003-12-17 2003-12-17 Mesh networks with end device recognition

Publications (3)

Publication Number Publication Date
JP2005184835A true JP2005184835A (ja) 2005-07-07
JP2005184835A5 JP2005184835A5 (ja) 2008-02-28
JP4714459B2 JP4714459B2 (ja) 2011-06-29

Family

ID=34523180

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004366477A Expired - Fee Related JP4714459B2 (ja) 2003-12-17 2004-12-17 エンドデバイスの認識を備えるメッシュネットワーク

Country Status (7)

Country Link
US (1) US7489645B2 (ja)
EP (1) EP1545074B1 (ja)
JP (1) JP4714459B2 (ja)
KR (1) KR101117829B1 (ja)
CN (1) CN100592705C (ja)
AT (1) ATE399419T1 (ja)
DE (1) DE602004014582D1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074391A (ja) * 2005-09-07 2007-03-22 Ntt Docomo Inc 安全なアドホックネットワークを構成するデバイスおよび認証方法並びに認証プログラム
JP2012517737A (ja) * 2009-02-06 2012-08-02 ソニー株式会社 無線ホームメッシュネットワークブリッジアダプタ
JP2015511082A (ja) * 2012-03-07 2015-04-13 モトローラ モビリティ エルエルシーMotorola Mobility Llc 所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシー
JP2018174575A (ja) * 2013-06-25 2018-11-08 グーグル エルエルシー IPv6プロトコルのための効率的ネットワーク層
JP2020512732A (ja) * 2017-03-06 2020-04-23 サイトリックス システムズ,インコーポレイテッド ピアツーピア通信に基づく仮想プライベート・ネットワーキング
WO2020179710A1 (ja) * 2019-03-04 2020-09-10 株式会社 東芝 通信システム
WO2022185553A1 (ja) * 2021-03-05 2022-09-09 株式会社Free-D メッシュネットワークシステム

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050138365A1 (en) * 2003-12-19 2005-06-23 Bellipady Guruprashanth A. Mobile device and method for providing certificate based cryptography
US7626944B1 (en) * 2004-03-31 2009-12-01 Packeteer, Inc. Methods, apparatuses and systems facilitating remote, automated deployment of network devices
CA2565970A1 (en) * 2004-05-11 2005-12-29 Oregon Health And Science University Interfacial stent and method of maintaining patency of surgical fenestrations
US7626967B2 (en) * 2005-01-05 2009-12-01 Intel Corporation Methods and apparatus for providing a transparent bridge associated with a wireless mesh network
US11733958B2 (en) * 2005-05-05 2023-08-22 Iii Holdings 1, Llc Wireless mesh-enabled system, host device, and method for use therewith
US7657255B2 (en) * 2005-06-23 2010-02-02 Microsoft Corporation Provisioning of wireless connectivity for devices using NFC
EP2041910A4 (en) * 2006-07-06 2013-05-22 Apple Inc WIRELESS ACCESS POINT SECURITY FOR MULTIHOP NETWORKS
US20080065890A1 (en) * 2006-09-11 2008-03-13 Motorola, Inc. Secure support for hop-by-hop encrypted messaging
US8037510B2 (en) * 2006-09-18 2011-10-11 Intel Corporation Techniques for negotiation of security policies in wireless mesh networks
KR100808339B1 (ko) * 2006-11-23 2008-02-27 엘지노텔 주식회사 메시 네트워크 내에서 액세스 포인트 장치 및 핸드 오프방법
CN101222331B (zh) * 2007-01-09 2013-04-24 华为技术有限公司 一种认证服务器及网状网中双向认证的方法及系统
US8000334B2 (en) * 2007-01-11 2011-08-16 Sprint Spectrum L.P. Methods and improvements for joining wireless mesh networks
US7729278B2 (en) * 2007-02-14 2010-06-01 Tropos Networks, Inc. Wireless routing based on data packet classifications
US8244249B1 (en) 2007-03-09 2012-08-14 Sprint Spectrum L.P. Methods and systems for a mesh-network takeover
US8130747B2 (en) 2007-08-06 2012-03-06 Blue Coat Systems, Inc. System and method of traffic inspection and stateful connection forwarding among geographically dispersed network appliances organized as clusters
JP4881813B2 (ja) * 2007-08-10 2012-02-22 キヤノン株式会社 通信装置、通信装置の通信方法、プログラム、記憶媒体
US8280057B2 (en) 2007-09-04 2012-10-02 Honeywell International Inc. Method and apparatus for providing security in wireless communication networks
CN101772124B (zh) * 2008-12-30 2013-01-30 瑞昱半导体股份有限公司 无线网络
US9596613B2 (en) * 2013-05-30 2017-03-14 Wistron Neweb Corporation Method of establishing smart architecture cell mesh (SACM) network
CN104901930A (zh) * 2014-04-21 2015-09-09 孟俊 一种基于cpk标识认证的可追溯网络行为管理方法
US10313349B2 (en) * 2014-07-31 2019-06-04 Hewlett Packard Enterprise Development Lp Service request modification
CN107239474B (zh) * 2016-03-29 2021-05-04 创新先进技术有限公司 一种数据记录方法及装置
US10749692B2 (en) 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
US10791118B2 (en) 2018-03-29 2020-09-29 Mcafee, Llc Authenticating network services provided by a network
KR102114992B1 (ko) 2018-04-25 2020-05-25 (주)휴맥스 무선 통신 장비 및 무선 통신 장비의 메쉬 네트워크 구성 방법
DE102019216533A1 (de) * 2019-10-28 2021-04-29 Robert Bosch Gmbh System, maschine, verfahren zur konfiguration eines systems und verfahren zum betrieb einer maschine

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0758771A (ja) * 1993-08-12 1995-03-03 Sharp Corp アドレス管理装置
JP2001313979A (ja) * 2000-04-28 2001-11-09 Oki Electric Ind Co Ltd 移動端末接続方法
JP2002125270A (ja) * 2000-10-18 2002-04-26 Oki Electric Ind Co Ltd 移動端末接続方法
JP2003513513A (ja) * 1999-10-27 2003-04-08 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおける配列と方式
JP2003281096A (ja) * 2002-03-22 2003-10-03 Yamaha Corp サーバ装置、通信端末装置、配信システム及び配信プログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6397329B1 (en) * 1997-11-21 2002-05-28 Telcordia Technologies, Inc. Method for efficiently revoking digital identities
US6389532B1 (en) * 1998-04-20 2002-05-14 Sun Microsystems, Inc. Method and apparatus for using digital signatures to filter packets in a network
US6425004B1 (en) * 1999-02-24 2002-07-23 Nortel Networks Limited Detecting and locating a misbehaving device in a network domain
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
US6571221B1 (en) * 1999-11-03 2003-05-27 Wayport, Inc. Network communication service with an improved subscriber model using digital certificates
US6917985B2 (en) 2000-03-10 2005-07-12 The Regents Of The University Of California Core assisted mesh protocol for multicast routing in ad-hoc Networks
US20020022483A1 (en) * 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
US7047409B1 (en) * 2000-06-09 2006-05-16 Northrop Grumman Corporation Automated tracking of certificate pedigree
US20020053020A1 (en) * 2000-06-30 2002-05-02 Raytheon Company Secure compartmented mode knowledge management portal
DE60219431T2 (de) * 2001-02-06 2007-12-13 Certicom Corp., Mississauga Mobile zertifikatverteilung in einer infrastruktur mit öffentlichem schlüssel
US7096359B2 (en) * 2001-03-01 2006-08-22 University Of Cincinnati Authentication scheme for ad hoc and sensor wireless networks
GB2385955A (en) * 2002-02-28 2003-09-03 Ibm Key certification using certificate chains
US6879574B2 (en) * 2002-06-24 2005-04-12 Nokia Corporation Mobile mesh Ad-Hoc networking
US20040117440A1 (en) 2002-12-17 2004-06-17 Singer Mitch Fredrick Media network environment
FI20030429A0 (fi) 2003-03-24 2003-03-24 Nokia Corp Ryhmäliikennöinti matkaviestinverkossa

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0758771A (ja) * 1993-08-12 1995-03-03 Sharp Corp アドレス管理装置
JP2003513513A (ja) * 1999-10-27 2003-04-08 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおける配列と方式
JP2001313979A (ja) * 2000-04-28 2001-11-09 Oki Electric Ind Co Ltd 移動端末接続方法
JP2002125270A (ja) * 2000-10-18 2002-04-26 Oki Electric Ind Co Ltd 移動端末接続方法
JP2003281096A (ja) * 2002-03-22 2003-10-03 Yamaha Corp サーバ装置、通信端末装置、配信システム及び配信プログラム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074391A (ja) * 2005-09-07 2007-03-22 Ntt Docomo Inc 安全なアドホックネットワークを構成するデバイスおよび認証方法並びに認証プログラム
JP4730735B2 (ja) * 2005-09-07 2011-07-20 株式会社エヌ・ティ・ティ・ドコモ 安全なアドホックネットワークを構成するデバイスおよび認証方法並びに認証プログラム
JP2012517737A (ja) * 2009-02-06 2012-08-02 ソニー株式会社 無線ホームメッシュネットワークブリッジアダプタ
JP2015511082A (ja) * 2012-03-07 2015-04-13 モトローラ モビリティ エルエルシーMotorola Mobility Llc 所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシー
JP2018174575A (ja) * 2013-06-25 2018-11-08 グーグル エルエルシー IPv6プロトコルのための効率的ネットワーク層
JP2020512732A (ja) * 2017-03-06 2020-04-23 サイトリックス システムズ,インコーポレイテッド ピアツーピア通信に基づく仮想プライベート・ネットワーキング
WO2020179710A1 (ja) * 2019-03-04 2020-09-10 株式会社 東芝 通信システム
JP2020145495A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信システム
JP7204534B2 (ja) 2019-03-04 2023-01-16 株式会社東芝 通信システム
JP7458470B2 (ja) 2019-03-04 2024-03-29 株式会社東芝 通信制御装置
WO2022185553A1 (ja) * 2021-03-05 2022-09-09 株式会社Free-D メッシュネットワークシステム

Also Published As

Publication number Publication date
JP4714459B2 (ja) 2011-06-29
DE602004014582D1 (de) 2008-08-07
US20050135268A1 (en) 2005-06-23
EP1545074A1 (en) 2005-06-22
CN1630269A (zh) 2005-06-22
KR20050061292A (ko) 2005-06-22
KR101117829B1 (ko) 2012-03-20
EP1545074B1 (en) 2008-06-25
ATE399419T1 (de) 2008-07-15
US7489645B2 (en) 2009-02-10
CN100592705C (zh) 2010-02-24

Similar Documents

Publication Publication Date Title
JP4738808B2 (ja) 排除機能を備えるメッシュネットワーク
JP4714459B2 (ja) エンドデバイスの認識を備えるメッシュネットワーク
US20220286354A1 (en) Blockchains For Securing IoT Devices
JP4808348B2 (ja) 通信ネットワークにおける配列と方式
TWI502925B (zh) 網路連接裝置之連接路徑的監視技術
RU2297037C2 (ru) Управление защищенной линией связи в динамических сетях
JP4770423B2 (ja) ディジタル証明書に関する情報の管理方法、通信相手の認証方法、情報処理装置、mfp、およびコンピュータプログラム
JP4859336B2 (ja) 安全通信装置及び方法
Lacuesta et al. A secure protocol for spontaneous wireless ad hoc networks creation
US20050141706A1 (en) System and method for secure ad hoc mobile communications and applications
JP2006352834A (ja) 暗号化通信方法及びシステム
Xu et al. A policy enforcing mechanism for trusted ad hoc networks
RU2685975C2 (ru) Обеспечение безопасности связи с расширенными мультимедийными платформами
CN1798021A (zh) 通信支持服务器、通信支持方法、及通信支持系统
Zhou et al. Towards fine-grained access control in enterprise-scale Internet-of-Things
JP5556180B2 (ja) 電子証明書を用いた認証に係るネットワークシステム、認証サーバ装置および認証方法
JP5011314B2 (ja) ネットワーク装置からなるコミュニティに装置を組み入れるための方法および装置
Graarud Implementing a secure ad hoc network
Alasiri A Taxonomy of Security Features for the Comparison of Home Automation Protocols
Kumar et al. A Systematic Survey on VANET: Routing Protocols, Harmful Attacks, and Security
Wang Securing Bluetooth Low Energy: A Literature Review
Zhou Managing Enterprise-Scale Internet of Things: From Service Discovery, Access Control, to Command Execution
Alotaibi Stability of secure routing protocol in ad hoc wireless network.
Apolinarski System Support for Security and Privacy in Pervasive Computing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080109

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090903

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20091007

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101022

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110125

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110328

LAPS Cancellation because of no payment of annual fees