JP2013192169A - 通信装置及びネットワーク認証システム - Google Patents

通信装置及びネットワーク認証システム Download PDF

Info

Publication number
JP2013192169A
JP2013192169A JP2012058692A JP2012058692A JP2013192169A JP 2013192169 A JP2013192169 A JP 2013192169A JP 2012058692 A JP2012058692 A JP 2012058692A JP 2012058692 A JP2012058692 A JP 2012058692A JP 2013192169 A JP2013192169 A JP 2013192169A
Authority
JP
Japan
Prior art keywords
network
key
authentication
communication device
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012058692A
Other languages
English (en)
Inventor
Hiroki Uchiyama
宏樹 内山
Tadashi Kaji
忠司 鍛
Toshihiko Nakano
利彦 中野
Satoshi Okubo
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012058692A priority Critical patent/JP2013192169A/ja
Publication of JP2013192169A publication Critical patent/JP2013192169A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】
簡単な構成でネットワーク内の安全性を向上させ得る通信装置及びネットワーク認証システム。
【解決手段】
同一のネットワークに接続された他の通信装置を認証する通信装置において、ネットワークに新規に通信装置を接続する場合及びネットワークから他の通信装置を削除する場合に動作モードを切り替えるモード切替部と、自装置用の暗号鍵を生成する鍵生成部と、暗号鍵と共有鍵とが格納された鍵情報リストを管理する鍵管理部と、共有鍵を用いて他の通信装置に対する認証処理を行う認証処理部と、ネットワーク内の複数の通信装置に対する認証状態が格納された装置リストを管理する装置管理部とを備え、鍵生成部は、自身の暗号鍵と他の通信装置における別の暗号鍵とを所定のアルゴリズムに適用することにより他の通信装置の鍵生成部で生成される共有鍵と同一の共有鍵を生成し、装置管理部は、認証済みの通信装置との間で通信を許可する。
【選択図】図1

Description

本発明は、通信装置及びネットワーク認証システムに関し、社会インフラシステムを構成するネットワークに適用して好適なものである。
電力、鉄道、水道、又はガスといった社会インフラを管理するネットワークシステムには、バルブやポンプ等の物理デバイスを制御するための制御装置(コントローラ)が設けられている。ネットワークシステムのコントローラは、他のコントローラ及び上位のサーバとネットワークを介して接続され、コントローラ自身が収集したセンサの検出情報と、他のコントローラ及び上位のサーバから受信した情報とに基づいて、物理デバイスを制御する。
また、社会インフラ用のネットワークには性能要件の充足や動作の安定性が求められる。そして、従来から社会インフラ用に用いられているネットワークは、他のネットワークとは物理的に隔離されて専用のプロトコルが使用されることが多いことから、ネットワーク内では平文による通信が行われていた。
しかし、近年では、制御処理の効率化のために社会インフラ用のネットワークが他の様々なシステムと相互に接続され、コスト削減のために汎用のネットワークや汎用のプロトコルが使用されるようになっている。その結果、ネットワーク内のデータに対する盗聴や改ざん、及び、ネットワークに不正な装置を接続して行われるDoS攻撃(Denial of Service attack)等による危険性が高まってきた。
このような従来の社会インフラ用のネットワークにおける危険性を防止するために、以下に示す技術が開示されている。
例えば、特許文献1には、安全な閉域グループを実現する通信方法が開示されている。特許文献1に開示された通信方法では、既存の装置内で共有しているグループ鍵を新規装置に対して安全に配布し、ネットワーク内のデータに対する盗聴や改ざんを防止する。
また、例えば、非特許文献1には、ネットワーク内に認証サーバを構築し、新規装置は認証サーバとの認証が完了するまでは他の装置と通信できないように制御することにより、ネットワーク内における不正な装置の接続を排除する技術が開示されている。
特開2002−111679号公報
RFC2865、"Remote Authentication Dial In UserService (RADIUS)"、[online]、[2011年12月26日検索]、インターネット<URL: http://www.ietf.org/rfc/rfc2865.txt>
しかし、特許文献1に開示された閉域グループの通信方法では、閉域グループに不正な装置が接続された場合に、当該装置が正当な装置であるか否かを判定する処理がないため、不正な装置が正当な装置と同様の処理を実行することができ、不正な装置の接続によるDoS攻撃等の危険性を排除することができないという問題がある。また、特許文献1に開示された閉域グループの通信方法は、グループ鍵の配送に公開鍵暗号を使用するので、処理性能の要件が厳しい社会インフラ用のネットワークシステムにそのまま適用することが難しい。
また、非特許文献1に開示された不正な装置を排除する技術では、新規装置は認証サーバとの認証が完了するまでは他の装置と通信できないことから、不正者による攻撃や不具合によって認証サーバがダウンした場合には、ネットワークシステムにどの装置も接続できなくなるという可用性の問題がある。また、非特許文献1に開示された技術では、認証サーバと新規装置との間で認証を行うために、事前に何らかの秘密情報を共有しておく必要があり、秘密情報を管理するための構成上及び処理部の負荷が増大してしまう。
本発明は以上の点を考慮してなされたもので、簡単な構成でネットワーク内の安全性を向上させ得る通信装置及びネットワーク認証システムを提案しようとするものである。
かかる課題を解決するため本発明においては、同一のネットワークに接続された他の通信装置を認証する通信装置において、前記ネットワークに新規に前記通信装置を接続する場合及び前記ネットワークから前記他の通信装置を削除する場合に、内部状態に応じて設定される複数の動作モードを切り替えるモード切替部と、自通信装置が使用する暗号鍵を生成する鍵生成部と、前記暗号鍵と前記ネットワークに接続された前記複数の通信装置によって使用される共有鍵とが格納された鍵情報リストを管理する鍵管理部と、前記鍵情報リストに格納された共有鍵を用いて前記他の通信装置に対する認証処理を行う認証処理部と、前記ネットワークに接続された複数の前記通信装置に対する認証状態が格納された装置リストを管理する装置管理部とを備え、前記鍵生成部は、自身が生成した前記暗号鍵と他の前記通信装置における前記鍵生成部で生成された別の暗号鍵とを所定のアルゴリズムに適用することにより、前記他の通信装置の前記鍵生成部で生成される共有鍵と同一の前記共有鍵を生成し、前記装置管理部は、認証状態が認証済みである他の前記通信装置との間で通信を許可する通信装置が提供される。
また、かかる課題を解決するため本発明においては、ネットワークと、前記ネットワークに接続されて相互に認証する複数の前記通信装置とを備えたネットワーク認証システムにおいて、それぞれの前記通信装置は、前記ネットワークに新規に前記通信装置を接続する場合及び前記ネットワークから前記他の通信装置を削除する場合に、内部状態に応じて設定される複数の動作モードを切り替えるモード切替部と、自通信装置が使用する暗号鍵を生成する鍵生成部と、前記暗号鍵と前記ネットワークに接続された前記複数の通信装置によって使用される共有鍵とが格納された鍵情報リストを管理する鍵管理部と、前記鍵情報リストに格納された共有鍵を用いて前記他の通信装置に対する認証処理を行う認証処理部と、前記ネットワークに接続された複数の前記通信装置に対する認証状態が格納された装置リストを管理する装置管理部とを有し、前記鍵生成部は、自身が生成した前記暗号鍵と他の前記通信装置における前記鍵生成部で生成された別の暗号鍵とを所定のアルゴリズムに適用することにより、前記他の通信装置の前記鍵生成部で生成される共有鍵と同一の前記共有鍵を生成し、前記装置管理部は、認証状態が認証済みである前記他の通信装置との間で通信を許可するネットワーク認証システムが提供される。
本発明によれば、簡単な構成でネットワーク内の安全性を向上させ得る。
第1の実施の形態によるネットワーク認証システムの構成を示すブロック図である。 図1の各装置のハードウェア構成例を示すブロック図である。 動作モードを説明する遷移図である。 新規追加される装置の初期化処理の手続を示すフローチャートである。 新規追加された装置に対する認証処理の手続を示すフローチャートである。 新規追加された装置からのコマンド実行処理(その1)の手続を示すフローチャートである。 新規追加された装置からのコマンド実行処理(その2)の手続を示すフローチャートである。 認証結果の有効期限が切れた装置の再認証処理の手続を示すフローチャートである。 装置の停止処理の手続を示すフローチャートである。 装置の削除処理の手続を示すフローチャートである。 鍵更新の処理手続を示すフローチャートである。 セキュリティ情報の収集処理の手続を示すフローチャートである。 第2の実施の形態によるネットワーク認証システムの構成を示すブロック図である。 新ネットワーク側の装置から旧ネットワーク側の装置へのコマンド送信の処理手続を示すフローチャートである。 旧ネットワーク側の装置から新ネットワーク側の装置へのコマンド送信の処理手続を示すフローチャートである。 装置リストのテーブル構成例を示す説明図である。 鍵情報リストのテーブル構成例を示す説明図である。 モード通知情報のテーブル構成例を示す説明図である。
(1)第1の実施の形態
(1−1)本実施の形態によるネットワーク認証システムの構成
図1において、1は全体として第1の実施の形態によるネットワーク認証システムを示す。ネットワーク認証システム1は、ネットワーク40に新たに接続される新規制御装置10、ネットワーク40に既に接続されている既存制御装置20A〜20N(以下、既存制御装置20と表すこともある。)、ネットワーク40に接続される装置を監視する監視装置30、及び、これらの装置が接続されるネットワーク40を備える。
また、新規制御装置10は、図2に示すように、通信制御を行う通信装置11と、装置に対する入出力を制御する入出力装置12と、各種のデータやプログラムを格納する記憶装置13と、記憶装置13に格納されたプログラムの実行によって装置内の各部を制御する制御装置(CPU:Central Processing Unit)14と、CPU14によるプログラムの実行の際にプログラムがロードされて使用されるメモリ15とが、内部信号線18によって連結されてなる。さらに、記憶媒体17からデータやプログラムの入力が行われる場合には、記憶媒体17からデータを読み込む読取装置16が設けられてもよい。さらに、CPU14が実行するプログラムは、ネットワーク40又はネットワーク40を伝播する搬送波等の通信媒体を介して、必要なタイミングで新規制御装置10に導入されるようにしてもよい。
なお、図2に示すハードウェア構成は、ネットワーク認証システム1に備えられる既存制御装置20及び監視装置30においても同様であり、例えば、既存制御装置20では、通信装置21と、入出力装置22と、記憶装置23と、CPU24と、メモリ25と、記憶媒体27が挿入される読取装置26とが、バス28を介して連結される。また、例えば、監視装置30では、通信装置31と、入出力装置32と、記憶装置33と、CPU34と、メモリ35と、記憶媒体37が挿入される読取装置36とが、バス38を介して連結される。
(1−2)本実施の形態における各装置の機能的構成
次に、図1に示す新規制御装置10、既存制御装置20及び監視装置30における機能的構成とその機能とを説明する。
(1−2−1)新規制御装置の機能的構成及びその機能
新規制御装置10は、通信部101、制御処理部102、モード切替部103、認証処理部104、暗号処理部105、状態変化認識部106、装置管理部107、鍵生成部108、鍵管理部109、経過時間管理部110、制御情報保管部111、識別情報保管部112、モード情報保管部113、装置リスト保管部114、鍵情報保管部115、及び時刻情報保管部116を有する。
ここで、通信部101は、通信装置11によって実現される。通信部101は、ネットワーク40を介して既存制御装置20及び監視装置30との間で通信を行う。また、制御処理部102、モード切替部103、認証処理部104、暗号処理部105、状態変化認識部106、装置管理部107、鍵生成部108、鍵管理部109、及び経過時間管理部110は、CPU14によるプログラムの実行によりそれぞれの制御処理を行う。
制御処理部102は、新規制御装置10の各部101〜116を制御し、新規制御装置10に固有の処理を行う。モード切替部103は、自装置である新規制御装置10の動作モードを切り替える処理を行う。動作モードの切り替えについては、図3について後述する。
認証処理部104は、ネットワーク40内の既存制御装置20及び監視装置30との間で認証処理を行う。暗号処理部105は、ネットワーク40内の既存制御装置20及び監視装置30との間で暗号通信を行うために必要な暗号処理を行う。状態変化認識部106は、ネットワーク40内の既存制御装置20及び監視装置30における動作モードの変化を認識する。装置管理部107は、ネットワーク40に接続される新規制御装置10、既存制御装置20及び監視装置30における接続状態及び認証状態等が格納された装置リストを管理する。装置リストの構成については、図16について後述する。
鍵生成部108は、認証や暗号通信で使用する鍵(暗号鍵)を生成する。また、鍵生成部108は、新規制御装置10で使用される鍵とネットワーク40に接続される既存制御装置20及び監視装置30のそれぞれで使用される鍵とを所定のアルゴリズムに適用することにより、ネットワーク共有鍵を生成する。
鍵管理部109は、ネットワーク40内の新規制御装置10、既存制御装置20及び監視装置30が使用する鍵に関する情報(鍵情報)が格納された鍵情報リストを管理する。鍵情報リストの構成については、図17について後述する。経過時間管理部110は、新規制御装置10、既存制御装置20又は監視装置30において動作モードが変化してからの経過時間を管理する。
また、制御情報保管部111、識別情報保管部112、モード情報保管部113、装置リスト保管部114、鍵情報保管部115、及び時刻情報保管部116は、各種データが格納される記憶装置13によって実現される。
制御情報保管部111には、制御処理部102による新規制御装置10に固有の処理の実行のために必要な制御情報が格納される。識別情報保管部112には、自装置である新規制御装置10を識別するための識別情報(装置ID)が格納される。識別情報は、例えば、認証処理部104による認証処理及び暗号処理部105による暗号処理で利用される。モード情報保管部113には、新規制御装置10の動作モードを示すモード情報が格納される。
装置リスト情報保管部114には、新規制御装置10、既存制御装置20及び監視装置30における接続状態及び認証状態等が装置リストとして格納される。装置リストは、ネットワーク40内の新規制御装置10、既存制御装置20及び監視装置30のIDと、新規制御装置10、既存制御装置20及び監視装置30のそれぞれにおける現在の稼動状態や認証状態等を示す情報とを組み合わせたリストであり、認証処理部104をはじめとする各部によって使用される。
装置リストの具体的な構成例としては、図16の装置リスト160に示すように、装置を識別する装置IDが格納される装置ID欄1601、当該装置の情報を確認した日時を示す情報が格納される装置確認日時欄1602、当該装置の状態(例えば、オンライン、オフライン、又は不正接続)を示す情報が格納される装置状態欄1603、当該装置の認証状態(例えば、認証済又は未認証)を示す情報が格納される装置認証状態欄1604、当該認証を行った装置を示す装置IDが格納される装置認証装置ID欄1605、当該認証が行われた日時を示す情報が格納される装置認証日時欄1606、及び当該認証の有効期限を示す情報が格納される装置認証有効期限欄1607を含むように構成される。なお、装置認証有効期限欄1607に格納される認証有効期限は、管理者によって個別に設定されてもよいし、認証の有効期間が管理者によって予め設定され、装置認証日時欄1606に格納された日時を基準として自動算出されるようにしてもよい。
鍵情報リスト保管部115には、鍵情報リストが格納される。鍵情報リストは、ネットワーク40内の新規制御装置10、既存制御装置20及び監視装置30のそれぞれで使用される、又は使用されていた鍵に関する鍵情報が記載されたリストである。例えば、鍵生成部108によって鍵が生成された場合には、当該鍵に関する鍵情報が、鍵情報リストに追加又は上書きされる。
鍵情報リストの具体的な構成例としては、図17の鍵情報リスト170に示すように、ネットワーク40に接続された各装置を識別する装置IDが格納される装置ID欄1701、ネットワーク40内で共有して使用されるネットワーク共有鍵が格納されるネットワーク共有鍵欄1702、各装置で現在使用されている鍵を示す情報が格納される装置新鍵欄1703、及び各装置で過去に使用されていた鍵を示す情報が格納される装置旧鍵欄1704を含むように構成される。なお、装置旧鍵欄1704に格納される旧鍵を示す情報は、一つ前に使用されていた鍵を示す情報だけでなく、稼動後に使用された全ての鍵を示す情報が格納されてもよい。
また、鍵情報リスト170のネットワーク共有鍵欄1702には、ネットワーク40に接続されている新規制御装置10、既存制御装置20及び監視装置30の全てについて、同じネットワーク共有鍵が格納される。これは、ネットワーク40に接続されている新規制御装置10、既存制御装置20及び監視装置30において同一のネットワーク共有鍵が使用されることを意味する。
そして、ネットワーク共有鍵は、鍵生成部108について上述したように、ネットワーク40に接続された新規制御装置10、既存制御装置20及び監視装置30のそれぞれで使用される鍵を所定のアルゴリズムに適用することにより生成されるが、アルゴリズムが適用される鍵の組み合わせが同じであれば、新規制御装置10の鍵生成部108でも、既存制御装置20の鍵生成部208でも、さらに、監視装置30の鍵生成部307でも、同一の鍵が生成されることになる。従って、新規制御装置10、既存制御装置20、及び監視装置30が同じ内容の鍵情報リストを有していれば、鍵生成部108、208、及び307は、それぞれ鍵情報リストに記載されている鍵の情報を所定のアルゴリズムに適用することによって、同一のネットワーク共有鍵を生成することができる。
また、ネットワーク共有鍵は、現在オンラインの装置で使用されている鍵を組み合わせて所定のアルゴリズムに適用して生成してもよいし、過去に使用されていた鍵を含めて所定のアルゴリズムに適用して生成してもよいし、又、新規制御装置10、既存制御装置20、及び監視装置30のそれぞれで使用される鍵とは関係なく生成してもよい。このようないずれの場合でも、上述したように鍵情報リストの内容を共有することにより、新規制御装置10、既存制御装置20、及び監視装置30のそれぞれで、同一のネットワーク共有鍵が生成される。
時刻情報保管部116には、新規制御装置10、既存制御装置20又は監視装置30において動作モードが切り替えられた時刻が格納される。
(1−2−2)既存制御装置の機能的構成及びその機能
既存制御装置20は、新規制御装置10と同様の処理部及び保管部を有する。具体的には、既存制御装置20(20A〜20N)は、通信部201(201A〜201N)、制御処理部202(202A〜202N)、モード切替部203(203A〜203N)、認証処理部204(204A〜204N)、暗号処理部205(205A〜205N)、状態変化認識部206(206A〜206N)、装置管理部207(207A〜207N)、鍵生成部208(208A〜208N)、鍵管理部209(209A〜209N)、経過時間管理部210(210A〜210N)、制御情報保管部211(211A〜211N)、識別情報保管部212(212A〜212N)、モード情報保管部213(213A〜213N)、装置リスト保管部214(214A〜214N)、鍵情報保管部215(215A〜215N)、及び時刻情報保管部216(216A〜216N)を有する。各部の機能は、上述の新規制御装置10の各部の機能と同様であり、説明を省略する。
(1−2−3)監視装置の機能的構成及びその機能
監視装置30は、新規制御装置10又は既存制御装置20とほぼ同様の処理部位を有するが、装置固有の制御処理を行うための部位の代わりに、ネットワーク40に接続されている新規制御装置10及び既存制御装置20から情報を収集する部位や、収集した情報を出力する部位等を有する。具体的には、監視装置30は、通信部301、モード切替部302、認証処理部303、暗号処理部304、状態変化認識部305、装置管理部306、鍵生成部307、鍵管理部308、経過時間管理部309、装置リスト収集部310、鍵情報リスト収集部311、出力部312、識別情報保管部313、モード情報保管部314、装置リスト保管部315、鍵情報保管部316、時刻情報保管部317、収集装置リスト保管部318、及び収集鍵情報リスト保管部319を有する。
通信部301は、ネットワーク40を介して他の新規制御装置10及び既存制御20との間で通信を行う。モード切替部302は、自装置である監視装置30の動作モードを切り替える処理を行う。認証処理部303は、ネットワーク40内の新規制御装置10及び既存制御装置20との間で認証処理を行う。暗号処理部304は、ネットワーク40内の新規制御装置10及び既存制御装置20との間で暗号通信を行うために必要な暗号処理を行う。状態変化認識部305は、ネットワーク40内の新規制御装置10及び既存制御装置20における動作モードの変化を認識する。装置管理部306は、ネットワーク40に接続される新規制御装置10、既存制御装置20及び監視装置30における接続状態及び認証状態等を管理する。鍵生成部307は、認証や暗号通信で使用する鍵を生成する。鍵管理部308は、ネットワーク40内の新規制御装置10、既存制御装置20及び監視装置30の鍵情報を管理する。経過時間管理部309は、新規制御装置10、既存制御装置20又は監視装置30において動作モードが変化してからの経過時間を管理する。
装置リスト収集部310は、装置リスト保管部114及び装置リスト保管部214に格納されている装置リストを収集する。鍵情報リスト収集部311は、鍵情報リスト保管部114及び鍵情報リスト保管部214に格納されている鍵情報リストを収集する。
出力部312は、装置リスト収集部310及び鍵情報リスト収集部311によって収集されたリストの情報を出力する。例えば、出力部312は、ネットワーク40に接続された表示端末(図示せず)にリストの情報を出力する。
また、識別情報保管部313には、自装置である監視装置30を識別するための識別情報(装置ID)が格納される。識別情報は、例えば、認証処理部303による認証処理及び暗号処理部304による暗号処理で利用される。モード情報保管部314には、監視装置30の動作モードを示すモード情報が格納される。装置リスト情報保管部315には、新規制御装置10、既存制御装置20及び監視装置30における接続状態及び認証状態等を示す装置リストが格納される。装置リストは、認証処理部303をはじめとする各部によって使用される。鍵情報リスト保管部316には、新規制御装置10、既存制御装置20及び監視装置30の鍵情報を示す鍵情報リストが格納される。鍵情報リストは、鍵生成部307によって生成された鍵の情報によって追加又は上書きされ、鍵管理部308によって管理される。時刻情報保管部317には、新規制御装置10、既存制御装置20又は監視装置30において動作モードが切り替えられた時刻が格納される。収集装置リスト保管部318には、装置リスト収集部310によって収集された装置リストが格納される。収集鍵情報リスト保管部319には、鍵情報リスト収集部311によって収集された鍵情報リストが格納される。
(1−3)動作モードの遷移
第1の実施の形態による新規制御装置10、既存制御装置20、及び監視装置30では、各装置で内部状態に応じた複数の動作モードが設定される。例えば、新規制御装置10では、図3に示すように動作モードの状態が遷移する。以下では、一例として新規制御装置10における動作モードの状態遷移を説明するが、既存制御装置20又は監視装置30においても同様の動作モードが存在する。
新規制御装置10では、モード切替部103によって行われ、切り替えられた動作モードを示すモード情報がモード情報保管部113に格納される。以下では、説明の簡略のために、「モード切替部103が動作モードを切り替える」とだけ表現することもある。
まず、新規制御装置10が起動された場合に、モード切替部103は、モード情報保管部113に格納されている新規制御装置10の動作モードを起動モードとする(ステップS301)。そして、起動モードでは、制御処理部102が、新規制御装置10に認証や暗号通信を行うために必要となる情報が格納されているかを判定する。例えば、認証を行うために必要となる情報とは、装置リスト保管部114に格納される装置の認証状態を示す情報であり、暗号通信を行うために必要となる情報とは、鍵情報リスト保管部115に格納される鍵情報である。
起動モードにおいて、認証や暗号通信を行うために必要となる情報が格納されていなかった場合には、モード切替部103は、動作モードを初期化モードに変更し(ステップS302)、初期化処理が行われる。例えば、初期化処理とは、既存制御装置20との間で行われる認証処理や、暗号通信を行うための鍵を既存制御装置20及び監視装置30と共有する処理等に相当する。
初期化モードで初期化処理が完了した場合、又は、起動モードで認証や暗号通信を行うために必要となる情報が確認された場合には、モード切替部103は、動作モードを運用モードに変更する(ステップS303)。運用モードは、通常の運用処理が行われる動作モードである。
運用モードにおいてネットワーク40に新たに装置を追加する場合、ネットワーク40に接続されていた装置を除去する場合、又は、ネットワーク40に接続されている新規制御装置10、既存制御装置20又は監視装置30における暗号通信のための鍵を更新する場合には、モード切替部103は、動作モードを保守モードに変更する(ステップS304)。このとき、モード切替部103は、ネットワーク40に接続された既存制御装置20の状態変化認識部206及び監視装置30の状態変化認識部305に対して、動作モードが保守モードに移行したことを通知する。ネットワーク認証システム1では、ネットワーク40に接続している新規制御装置10又は既存制御装置20のいずれかが保守モードに遷移することにより、当該装置は、ネットワーク40に新たな装置を接続する処理を行うことができる。また、モード切替部103は、新たな装置の追加、既存装置の除去、又は鍵の更新といった処理が終了した場合に動作モードを保守モードから運用モードに変更するが、それ以外に、一定時間経過した場合及びユーザによって所定の操作が行われた場合にも、保守モードから運用モードにする。
そして、電源断によって新規制御装置10の動作が停止される場合には、モード切替部103は、動作モードを運用モードから停止モードに変更する(ステップS305)。このとき、モード切替部103は、ネットワーク40に接続された既存制御装置20の状態変化認識部206及び監視装置30の状態変化認識部305に対して、動作モードが停止モードに移行したことを通知する。停止モードになった新規制御装置10が再び起動されると、動作モードはステップS301に示す起動モードに遷移する。
なお、上述したような動作モードの変更がモード切替部103によって行われた場合には、モード情報保管部113には、変更後の当該モードを示すモード情報が格納される。
(1−4)本実施の形態のネットワーク認証システムにおける処理
以下では、本実施の形態によるネットワーク認証システム1における各種の処理を説明する。なお、図4〜図11を参照して以下に説明する処理では、主に新規制御装置10と既存制御装置20との間で行われる処理について説明する。これらの処理の説明では、簡略のために監視装置30における処理について述べないが、実際の監視装置30では、既存制御装置20における処理と同様に、後述する装置リストや鍵リストの更新等の処理が行われる。
(1−4−1)新規追加される装置の初期化処理
はじめに、既存制御装置20A〜20Nが接続されているネットワーク認証システム1に新たに新規制御装置10を追加する場合の処理を、図4を参照しながら説明する。処理開始前の既存制御装置20A〜20Nは、運用モードで動作している。ここで、ユーザによって所定の操作が行われたり、所定の信号が送信されたりする等によって、ネットワーク認証システム1に新規制御装置10を追加する処理が開始される。
まず、既存制御装置20A〜20Nのうちから、新規制御装置10の追加処理を行う装置が選択される。ここでは例えば、ユーザの選択に従って既存制御装置20Aが選択されるとする。このとき、モード切替部203Aは、動作モードを保守モードに切り替える(ステップS401)。なお、モード切替部203Aが動作モードを保守モードに切り替える場合には、管理者用のパスワード認証を事前に要求する等して、操作者を限定してもよい。
次に、ステップS402では、経過時間管理部210Aが、動作モードが保守モードに切り替えられた時刻を確認し、その時刻情報を時刻情報保管部216Aに格納する。次に、モード切替部203Aは、通信部201Aを介して、ネットワーク40に接続された他の既存制御装置20B〜20Nに対して、新規制御装置10を追加するために保守モードに変更したことを伝える保守モード通知A401を送信する。
保守モード通知A401は、ネットワーク内の装置間で動作モードの変更を通知するモード通知情報の1つである。図18に示すように、モード通知情報180は、動作モードが変更された装置を識別する装置IDが格納される発信装置ID欄1801、発信元の装置における動作モード(起動モード、初期化モード、運用モード、保守モード、又は停止モード)が格納されるモード種類欄1802、保守モードにおいて実際に行う保守内容を示す処理内容が格納される処理内容欄1803、及び、保守モードの通知を受けた各装置が必要なデータの再送要求を行うまでの待ち時間が格納される許容待ち時間欄1804が含まれて構成される。なお、モード切替部103、203及び302によるモード通知情報180の作成にあたっては、許容待ち時間欄1804の入力を省略することが可能であり、そのような場合には、許容待ち時間欄1804には受信した装置が予め管理者によって規定されている値を設定する。
なお、新規制御装置10、既存制御装置20及び監視装置30の間で行われるメッセージやコマンドの送受信は、それぞれの通信部101、201、又は301を介して行われるが、以下では、通信部101、201及び301の記載を省略し、「モード切替部203Aは、他の既存制御装置20B〜20Nに対して、保守モード通知A401を送信する」といったように記載することがある。
ステップS402の後に、保守モード通知A401を受信した既存制御装置20B〜20Nでは、既存制御装置20B〜20Nのそれぞれの経過時間管理部210B〜210Nが、時刻情報を取得して時刻情報保管部216B〜216Nに格納する(ステップS403)。
一方、新たにネットワーク認証システム1に追加される新規制御装置10では、まず、制御処理部102が、通信部101を介して新規制御装置10をネットワーク40に接続し(ステップS404)、新規制御装置10を起動する(ステップS405)。次に、モード切替部103は、新規制御装置10で初期化処理を行うために、動作モードを初期化モードに変更する(ステップS406)。そして、ステップS407では、経過時間管理部110が、動作モードが初期化モードに切り替えられた時刻を確認し、その時刻情報を時刻情報保管部116に格納する。その後、制御処理部102は、ネットワーク40に接続された既存制御装置20A〜20Nに対して、新規制御装置10の新規接続を要求する新規接続要求コマンドA402又はA403を送信する。ここで、新規接続要求コマンドA402及びA403には、識別情報保管部112に格納されている新規制御装置10の装置IDが含まれる。装置IDには、IPアドレス(Internet Protocol address)やMACアドレス(Media Access Control address)といったネットワーク上の識別子を用いてよく、また、装置に個別に割り当てられた固有の識別子を用いてもよい。
ステップS407の後に、新規制御装置10から新規接続要求コマンドA402を受信した既存制御装置20Aでは、鍵生成部208Aが、新規制御装置10用の鍵を生成する(ステップS408)。鍵の生成方法は、乱数を用いて生成してもよいし、予め格納されているデータ列の一部を切り出しても良いし、乱数や予め格納されているデータ列を暗号演算で変換することにより生成してもよい。
次に、鍵管理部209Aは、鍵情報リスト保管部215Aに格納されている鍵情報リストに、新規接続要求コマンドA402に含まれる新規制御装置10の装置IDと、ステップS408で生成された鍵の鍵情報とを追加し、鍵情報リストを更新する(ステップS409)。ステップS409において、鍵管理部209Aは、鍵生成部208Aにネットワーク共有鍵の再生成を指示し、再生成されたネットワーク共有鍵で鍵情報リストのネットワーク共有鍵を更新する。
次に、装置管理部107は、装置リスト保管部114に格納されている装置リストに新規制御装置10の情報を追加し、装置リストを更新する(ステップS410)。その後、制御処理部202Aは、新規制御装置10に対してリスト通知A404を送信し、既存制御装置20B〜20Nに対してリスト通知A405を送信する。リスト通知A404及びA405は、ステップS408で更新された鍵情報リスト及びステップS409で更新された装置リストを送信先に通知するメッセージである。
既存制御装置20Aからリスト通知A404を受信した新規制御装置10では、鍵管理部109が、リスト通知A404に含まれる鍵情報リストを鍵情報リスト保管部115に格納する(ステップS411)。さらに、装置管理部107が、リスト通知A404に含まれる装置リストを装置リスト保管部114に格納する(ステップS412)。
また、リスト通知A404及びA405を送信した既存制御装置20Aでは、鍵管理部209Aが、ステップS408で更新された鍵情報リストを鍵情報リスト保管部215Aに格納し(ステップS413)、装置管理部207Aが、ステップS409で更新された装置リストを装置リスト保管部214Aに格納する(ステップS414)。その後、既存制御装置20Aは、新規制御装置10又は他の既存制御装置20B〜20Nからのコマンドを受信するまで、待ち受け状態に遷移する(ステップS415)。
また、既存制御装置20Aからリスト通知A405を受信した既存制御装置20B〜20Nでは、それぞれの鍵管理部209B〜209Nによって鍵情報リストの更新が行われ(ステップS416)、それぞれの装置管理部207B〜207Nによって装置リストの更新(ステップS417)が行われる。
ステップS411〜S417の処理によって、ネットワーク40に接続された新規制御装置10及び既存制御装置20A〜20Nにおいて、更新された鍵情報リストと更新された装置リストとが共有される。
次に、新規制御装置10では、ステップS407で取得した時刻情報から所定の時間が経過した場合に、制御処理部102は、後に認証や暗号通信を行うために必要となる情報が不足していないか判定する(ステップS418)。ここで、認証や暗号通信を行うために必要となる情報とは、鍵情報リスト保管部115に格納されている鍵情報リスト及び装置リスト保管部114に格納されている装置リストである。
ステップS418において不足している情報があった場合には(ステップS418のYES)、制御処理部102は、不足している情報の送信を要求する不足情報要求コマンドA406を既存制御装置20Aに送信する。不足情報要求コマンドA406を受信した既存制御装置20Aは、要求された情報を不足情報A407で新規制御装置10に返信する。そして、不足情報A407を受信した新規制御装置10は、受信した情報を所定の保管部に格納する(ステップS419)。
ステップS418において不足している情報がなかった場合(ステップS418のNO)、又は、ステップS419において不足情報の格納が完了した場合には、モード切替部103は、新規制御装置10の動作モードを初期化モードから運用モードに切り替える(ステップS420)。
一方、既存制御装置20B〜20Nでは、ステップS403で取得した時刻情報から所定の時間が経過した場合に、制御処理部202B〜202Nが、既存制御装置20Aから受信する鍵情報リストや装置リストが不足していないか判定する(ステップS421)。この判定は、制御処理部202B〜202Nが鍵情報リスト保管部215B〜215N及び装置リスト保管部214B〜214Nを確認することによって行われる。不足している情報がなかった場合には(ステップS421のNO)、特別な処理は行われない。
ステップS421において不足している情報があった場合には(ステップS421のYES)、当該既存制御装置20の制御処理部202は、不足している情報の送信を要求する不足情報要求コマンドA408を既存制御装置20Aに送信する。不足情報要求コマンドA408を受信した既存制御装置20Aは、要求された情報を不足情報A409で当該既存装置20に返信する。そして、不足情報A409を受信した当該既存制御装置20は、受信した情報を所定の保管部に格納する(ステップS422)。既存制御装置20B〜20Nの動作モードは、ステップS403からステップS422に至るまで運用モードのままなので切り替える必要がなく、ステップS422の後は、処理が終了される。
なお、不足情報要求コマンドA406及びA408は、不足している情報の送信を要求するとしたが、必要な情報が1つでも不足している場合には、不足情報要求コマンドA406及びA408によって、必要な情報を全て再送するように要求してもよい。このとき、返信メッセージとして、ステップS409で更新された鍵情報リストとステップS410で更新された装置リストとを含む不足情報A407又はA409が、要求元の新規制御装置10又は既存制御装置20B〜20Nに返信される。
ところで、既存制御装置20AはステップS415において待ち受け状態に遷移しているが、その後、経過時間管理部210Aが、ステップS402で取得した時刻情報から一定時間が経過したかどうかを判定する(ステップS423)。一定時間が経過していない場合には(ステップS423のNO)、既存制御装置20Aは、ステップS415に戻り、新規制御装置10又は他の既存制御装置20B〜20Nからの問い合わせを待つ。ステップS423で一定時間が経過した場合には(ステップS423のYES)、制御処理部202Aは、待ち受け状態を解除し(ステップS424)、モード切替部203Aは、動作モードを保守モードから運用モードに切り替える(ステップS425)。
図4について上述した処理によって、新規制御装置10は、ネットワーク認証システム1に追加され、初期化処理が行われる。しかし、ステップS425の処理が終了した段階では、新規制御装置10は、まだ既存制御装置20及び監視装置30との間で認証処理が行われておらず、ネットワーク認証システム1に登録されたにすぎない。従って、新規制御装置10は、これらの既存制御装置20及び監視装置30に対して自由にデータの送受信を行うことは許可されていない。
(1−4−2)新規追加された装置に対する認証処理
次に、ネットワーク認証システム1において、初期化処理が終了した後に実施される認証処理について、図5を参照しながら説明する。以下では、図4について示したように新規制御装置10がネットワーク認証システム1に追加されて初期化モードが終了した場合について説明するが、初期化処理が実施された既存制御装置20を再起動した場合にも同様の認証処理が行われる。この場合の処理は、図5に示す新規制御装置10を、当該初期化処理が実施された既存制御装置20に置き換えるとよい。
まず、新規制御装置10において、モード切替部103が動作モードを運用モードに切り替える(ステップS501)。次に、制御処理部102は、ネットワーク40に接続された既存制御装置20A〜20Nに対して、オンライン状態にある既存制御装置20を探すための装置存在確認コマンドA501又はA502を送信する。
装置存在確認コマンドA501を受信した既存制御装置20Aでは、制御処理部202Aが、装置リスト保管部214Aに格納されている装置リストを参照し、装置リストに装置存在確認コマンドA501の送信元(すなわち、新規制御装置10)が含まれているか否か判定する(ステップS502A)。装置リストに新規制御装置10が含まれていた場合には(ステップS502AのYES)、制御処理部202Aは、装置存在確認コマンドA501に対する返信メッセージとなる装置存在レスポンスA503を新規制御装置10に返信する。
一方、ステップS502Aにおいて装置リストに新規制御装置10が含まれていなかった場合には(ステップS502AのNO)、制御処理部202Aは、新規制御装置10を、図4に示した初期化処理が行われていない不正な装置であると判断する。このとき、制御処理部202Aは、既存制御装置20A内の計時機能や他の装置の日時情報を利用して日時情報を取得し(ステップS503A)、初期化制御装置10のネットワーク上の識別子や固有の識別子等の情報を不正装置情報として取得する(ステップS504A)。そして、装置管理部207Aは、ステップS503Aで取得した日時情報とステップS504Aで取得した不正装置情報とを、装置リスト保管部214Aに格納されている装置リストに追加する(ステップS505A)。その後、新規制御装置10から受信した装置存在確認コマンドA501は破棄されて(ステップS506A)、処理が終了する。
また、装置存在コマンドA502を受信した既存制御装置20B〜20Nのそれぞれの装置においても、ステップS502A〜S506Aに示したのと同様の処理が行われる。そして最終的に、新規制御装置10の存在が確認できた場合には、装置存在確認コマンドA502に対する返信メッセージとなる装置存在レスポンスA504が新規制御装置10に返信され、新規制御装置10の存在が確認できなかった場合には、装置存在確認コマンドA502が破棄されて処理が終了する。
既存装置20A〜20Nから装置存在レスポンスA503及びA504を受信した新規制御装置10では、制御処理部102は、装置存在レスポンスA503及びA504の送信元を参照することにより、現時点でネットワーク40にオンラインで存在している既存制御装置20を把握することができる。そして、装置管理部107が、把握できた既存制御装置20について、装置リスト保管部114に格納されている装置リストを更新する(S507)。
次に、認証処理部104は、認証処理を依頼する既存制御装置20を選択する(ステップS508)。認証処理を依頼する装置の選択方法には、例えば、装置存在レスポンスの応答時間が最も短かったものを選択する方法や、ネットワーク上の識別子(IPアドレス)が最も近接しているものを選択する等の方法を用いる。ここでは既存制御装置20Aを選択したとする。そして、認証処理部104は、ステップS508で選択した既存制御装置20Aに対して、相互認証の処理を依頼する認証依頼A505を送信する。
認証依頼A505を受信した既存制御装置20Aでは、認証処理部204Aが、新規制御装置10の認証処理部104との間で認証処理を行う(ステップS509)。ここで行われる認証処理は、例えば、チャレンジアンドレスポンス認証やワンタイムパスワード認証等の二者間で互いの正当性を確認する処理である。この他にも、互いの鍵情報リスト保管部115及び215Aに格納されている秘密情報(鍵)を用いて相互に認証可能な方式であれば、どのような認証方式を用いても良い。また、一般に、認証では認証結果の有効期限が設定され、認証結果の有効期限を超過した装置は、認証されていない未認証の状態と判断される。
ステップS509で認証処理が終了すると、認証処理部204Aは、その認証結果を検証する(ステップS510)。認証に成功したと判断した場合には(ステップS510のYES)、後述のステップS518の処理が行われる。認証に失敗したと判断した場合には(ステップS510のNO)、認証処理部204Aは、新規制御装置10に認証エラーA506を送信する。
一方、新規制御装置10でも、認証処理部104が認証結果を検証する(ステップS511)。認証に成功したと判断した場合には(ステップS511のYES)、既存制御装置20から暗号化済装置リストを受信するまで待ち、それから後述のステップS522の処理が行われる。認証に失敗したと判断した場合には(ステップS511のNO)、認証処理部104は、認証相手である既存制御装置20Aに、鍵情報リストの提供を要求する鍵情報リスト取得コマンドA507を送信する。また、既存制御装置20Aから認証エラーA506を受信した場合も、認証が失敗したことを意味するので、認証処理部104は、既存制御装置20Aに鍵情報リスト取得コマンドA507を送信する。
そして、既存制御装置20Aでは、鍵管理部209Aが、鍵情報リスト保管部215Aに格納されている鍵情報リストを取得し(ステップS512)、鍵情報リストから新規制御装置10の鍵を取得する(ステップS513)。そして、鍵管理部209Aは、ステップS513で取得した新規制御装置10の鍵を使ってステップS512で取得した鍵情報リストを暗号化する(ステップS514)。その後、制御処理部202Aは、ステップS514で暗号化された暗号化済鍵情報リストA508を新規制御装置10に送信する。
新規制御装置10では、暗号化済鍵情報リストA508を受信すると、鍵管理部109が、鍵情報リスト保管部115から自装置の鍵情報が記載された鍵情報リストを取得する(ステップS515)。そして、鍵管理部109は、ステップS515で取得した自装置の鍵を用いて、受信した暗号化済鍵情報リストA508を復号する(ステップS516)。そして、鍵管理部109は、復号した鍵情報リストを鍵情報リスト保管部115に格納する(ステップS517)。その後、ステップS508の処理に戻り、再び認証処理の実行が行われる。
ステップS518では、ステップS509における相互認証処理が成功した場合の処理が行われる。ステップS518において、制御処理部202Aは、既存制御装置20A内の計時機能や他の装置の日時情報を利用して日時情報を取得し、時刻情報保管部216Aに格納する。そして、装置管理部207Aは、装置リスト保管部214に格納されている装置リストに、新規制御装置10が認証に成功したという認証結果と、ステップS518で取得した日時情報とを記載して、装置リストを更新する(ステップS519)。次に、鍵管理部209Aが、鍵情報リスト保管部215Aに格納されているネットワーク共有鍵を取得し(ステップS520)、ステップS519で更新した装置リストを暗号化する(ステップS521)。ここまでの処理が終わると、制御処理部202Aは、新規制御装置10及び既存制御装置20B〜20Nに対して、ステップS521で暗号化した暗号化済装置リストA509又はA510を送信する。
暗号化済装置リストA509を受信した新規制御装置10では、鍵管理部109が、鍵情報リスト保管部115に格納されているネットワーク共有鍵を取得し(ステップS523)、受信した暗号化済装置リストA509を復号する(ステップS523)。そして、装置管理部107が、復号した装置リストに基づいて、装置リスト保管部115に格納されている装置リストを更新する(ステップS524)。
その後、制御処理部102は、装置リストを参照して、現時点でネットワーク40にオンラインの状態にある新規制御装置10、既存制御装置20及び監視装置30が全て認証済みとなっているか確認する(ステップS525)。認証されていない装置(未認証の装置)があると判断された場合には(ステップS525のNO)、ステップS508に戻り、未認証の装置を選択した認証処理が行われる。新規制御装置10、既存制御装置20及び監視装置30が全て認証済みであると判断された場合には(ステップS525のYES)、新規制御装置10において、認証に関する一連の処理が終了する。
一方、暗号化済装置リストA510を受信した既存制御装置20B〜20Nでも、新規制御装置10におけるステップS522〜S524の処理と同様に、ネットワーク共有鍵の取得(ステップS526)、暗号化済装置リストA510の復号(ステップS527)、及び装置リストの更新(ステップS528)が行われる。
図5について上述した処理によって、新規制御装置10と既存制御装置20Aとの間で相互認証処理が行われ、その認証結果は暗号化済装置リストA510によって他の既存制御装置20B〜20Nにも共有される。
(1−4−3)新規追加された装置からのコマンド実行処理
次に、ネットワーク認証システム1において、相互認証処理が終了した新規制御装置10からコマンドが発行される場合の処理について説明する。図6には、コマンドの発行先である既存制御装置20Aで、コマンドの発行元である新規制御装置10に対する認証確認が行われるまでの処理手続が示されている。また、図7には、当該認証確認が行われた後に、ネットワーク認証システム1内の新規制御装置10及び既存制御装置20のそれぞれで行われる処理手続が示されている。
まず、新規制御装置10の制御処理部102が、既存制御装置20Aを宛先とするコマンドを生成する(ステップS601)。次に、鍵管理部109が、鍵情報リスト保管部115に格納されているネットワーク共有鍵を取得し(ステップS602)、取得したネットワーク共有鍵によって、ステップS601で生成したコマンドを暗号化する(ステップS603)。そして、制御処理部102は、既存制御装置20Aに対して、ステップS603で暗号化した暗号化済既存制御装置宛てコマンドA601を送信する。
暗号化済既存制御装置宛てコマンドA601を受信した既存制御装置20Aでは、制御処理部201Aが当該コマンドA601の宛先を確認する(ステップS604A)。宛先が自装置、すなわち既存制御装置20Aではなかった場合には(ステップS604AのNO)、暗号化済既存制御装置宛てコマンドA601は破棄され(ステップS605A)、処理が終了する。宛先が自装置、すなわち既存制御装置20Aであった場合には(ステップS604AのYES)、ステップS606の処理が行われる。
なお、ネットワーク認証システム1では、その仕様上、コマンドのマルチキャスト送信やブロードキャスト送信が求められることがある。このような場合には、制御処理部102は、暗号化済既存制御装置宛てコマンドA601を既存制御装置20Aに送信するのと同時に、既存制御装置20B〜20Nに対して、暗号化済既存制御装置宛てコマンドA602を送信する。そして、暗号化済既存制御装置宛てコマンドA602を受信したそれぞれの既存制御装置20B〜20Nでは、ステップS604Aと同様に、コマンドの宛先の確認が行われる(ステップS604N)。そして、自装置が宛先ではないと判定されると、受信した暗号化済既存制御装置宛てコマンドA602が破棄される(ステップS605N)。
ステップS606では、制御処理部202Aが、装置リスト保管部214Aに格納されている装置リストを参照し、装置リストに暗号化済既存制御装置宛てコマンドA601の送信元(すなわち、新規制御装置10)が含まれているか否か判定する。装置リストに新規制御装置10が含まれていなかった場合には(ステップS606のNO)、制御処理部202Aは、新規制御装置10を不正な装置であると判断する。このとき、制御処理部202Aは、既存制御装置20A内の計時機能を利用して日時情報を取得し(ステップS607)、初期化制御装置10のネットワーク上の識別子や固有の識別子等の情報を不正装置情報として取得する(ステップS608)。そして、装置管理部207Aは、ステップS607で取得した日時情報とステップS608で取得した不正装置情報とを、装置リスト保管部214Aに格納されている装置リストに追加する(ステップS609)。その後、新規制御装置10から受信した暗号化済既存制御装置宛てコマンドA601は破棄されて(ステップS610)、処理が終了する。
一方、ステップS606において装置リストに新規制御装置10が含まれていた場合には(ステップS606のYES)、認証処理部204Aが、装置リスト保管部214Aの装置リストを参照し、暗号化済既存制御装置宛てコマンドA601の送信元である新規制御装置10の認証状態を確認する(ステップS611)。その結果、認証されていないと判断した場合には(ステップS611のNO)、認証処理部204Aは、新規制御装置10に対して認証エラーA603を送信する。
ステップS611において認証済みであると確認された場合には(ステップS611のYES)、認証処理部204Aは、装置リストを参照して、新規制御装置10の装置認証有効期限が現在の日時以降であるか否かを確認する(ステップS612)。現在の日時以前、つまり、有効期限切れであった場合には(ステップS612のNO)、認証処理部204Aは、新規制御装置10に対して認証エラーA604を送信する。
ステップS611及びS612による認証確認の処理は、いずれかでもNOと判定された場合には、新規制御装置10が認証されていない(認証失敗)と判断される。このような場合には、前述のように認証エラーA603又はA604が送信される。認証エラーA603又はA604が送信された後は、受信側の新規制御装置10で、図7のステップS705に示す処理が実行される。
また、ステップS612において新規制御装置10の装置認証有効期限が有効期限内であった場合には(ステップS612のYES)、ステップS611及びS612の両方の処理でYESと判定されているので、新規制御装置10が認証済みと判断される。このような場合に、既存制御装置20Aでは、図7のステップS701に示す処理が実行される。
図7のステップS701では、新規制御装置10が認証済みであることが確認された後の処理が開始され、まず、既存制御装置20Aの鍵管理部209Aが、鍵情報リスト保管部215に格納されているネットワーク共有鍵を取得する。次に、鍵管理部209Aは、ステップS701で取得したネットワーク共有鍵によって、新規制御装置10から受信した暗号化済既存制御装置宛てコマンドA601を復号する(ステップS702)。そして、制御処理部202Aは、ステップS702で復号されたコマンドの内容に従って、コマンドの処理を行う(ステップS703)。コマンドの処理が終わると、暗号処理部205Aが、応答メッセージの暗号化を行う(ステップS704)。ステップS704で暗号化された応答メッセージは、暗号化済レスポンスA701として、新規制御装置10に送信される。
一方、新規制御装置10では、認証処理部104が、認証エラーが発生しているか否かを判定する(ステップS705)。具体的には、認証処理部104は、図6のステップS611又はS612の処理の結果、認証エラーA603又はA604を受信した場合には認証エラーが発生したと判定し、前述の暗号化済レスポンスA701を受信した場合には認証済みの状態が確認されて認証エラーは発生していないと判定する。
ステップS705において認証エラーの発生が確認されなかった場合には(ステップS705のNO)、鍵管理部109が、鍵情報リスト保管部115に格納されているネットワーク共有鍵を取得する(ステップS706)。次に、鍵管理部109は、ステップS706で取得したネットワーク共有鍵によって、既存制御装置20Aから受信した暗号化済レスポンスA701を復号し(ステップS707)、処理を終了する。
ステップS705において認証エラーの発生が確認された場合には(ステップS705のYES)、認証処理部104は、認証エラーA603又はA604の発信元の装置、ここでは既存制御装置20Aに対して、相互認証の処理を依頼する認証依頼A702を送信する。その後、認証依頼A702の送信元である新規制御装置10と送信先である既存制御装置20Aとの間で、図5のステップS509〜S517に示した処理と同様の一連の認証処理が行われる。
その後、認証処理が終了すると、新規制御装置10は、暗号化済既存制御装置宛てコマンド再送A703又はA704として、以前に送信した暗号化済既存制御装置宛てコマンドA601又はA602と同じコマンドを、既存制御装置20A及び既存制御装置20B〜20Nに再送する。
図6及び図7について上述した処理によって、相互に認証された状態にある新規制御装置10と既存制御装置20Aとの間で、暗号化されたコマンドの送受信及びその復号が実行される。
(1−4−4)認証結果の有効期限が切れた装置の再認証処理
図5では、ネットワーク認証システム1に接続された新規制御装置10や既存制御装置20に対する認証処理について説明したが、認証結果の有効期限を超過すると、再度認証処理を行う必要がある。そこで、以下では、新規制御装置10について認証結果の有効期限を確認し、必要に応じて再度認証処理を行う手続の一例について、図8を参照しながら説明する。
まず、新規制御装置10の制御処理部102は、既存制御装置10内の計時機能や他の装置の日時情報を利用して日時情報を取得する(ステップS801)。そして、認証処理部104は、装置リスト保管部114に格納されている装置リストを参照し、ステップS801で取得された日時情報に基づいて、新規制御装置10の装置認証有効期限が有効期限以内であるか否かを確認する(ステップS802)。新規制御装置10の装置認証有効期限が有効期限内であった場合には(ステップS802のYES)、認証処理部104は、新たに認証処理を行う必要はないので、処理を終了する(ステップS803)。
一方、ステップS802において新規制御装置10の装置認証有効期限が有効期限切れであった場合には(ステップS802のNO)、認証処理部104は、再度認証処理を行う必要があるので、認証処理を依頼する既存制御装置20を選択する(ステップS804)。認証処理を依頼する装置の選択方法には、例えば、過去に認証を行ったことがある装置を選択する方法や、直近で通信を行った装置を選択する等の方法を用いる。ここでは既存制御装置20Aを選択したとする。そして、認証処理部104は、ステップS804で選択した既存制御装置20Aに対して、相互認証の処理を依頼する認証依頼A801を送信する。その後、認証依頼A801の送信元である新規制御装置10と送信先である既存制御装置20Aとの間で、図5のステップS509〜S517に示した処理と同様の一連の認証処理が行われる。
図8について上述した処理によって、認証結果の有効期限が超過した場合に、当該超過した装置に対して再度認証処理を実施することができる。
(1−4−5)装置の停止処理
次に、ネットワーク認証システム1に接続された装置を停止する場合の処理について、図9を参照しながら説明する。装置の停止とは、例えば電源断によって当該装置の各部が機能を停止する状態を示す。以下では、新規制御装置10を停止する場合の処理を説明する。
まず、ユーザによって電源断を指示する所定の操作が行われる等を契機として、新規制御装置10のモード切替部103が、動作モードを停止モードに切り替える(ステップS901)。次に、モード切替部103は、ネットワーク40に接続された他の既存制御装置20A〜20Nに対して、新規制御装置10を停止することを伝える停止モード通知A901又はA902を送信する。停止モード通知A901及びA902は、上述したモード通知情報の1つであり、図18で例示したモード通知情報180と同様のテーブル構成からなる。例えば、停止モード通知A901における発信装置ID欄1801には、停止する新規制御装置10の装置IDが記載される。
そして、停止モード通知A901及びA902を送信した後に、新規制御装置10の装置管理部107は、装置リスト保管部114に格納されている装置リストにおける新規制御装置10の装置状態をオフラインに更新する(ステップS902)。そして、制御処理部102は、新規制御装置10の動作を停止するための終了処理を行う(ステップS903)。
一方、停止モード通知A901又はA902を受信した既存制御装置20A〜20Nでは、それぞれの装置ごとに、装置管理部207が、装置リスト保管部214に格納されている装置リストにおける新規制御装置10の装置状態をオフラインに更新する(ステップS904A〜S904N)。
図9について上述した処理によって、新規制御装置10は停止モードで停止し、既存制御装置20A〜20Nのそれぞれの装置リストには、新規制御装置10が停止したことが記載される。なお、装置の停止によってネットワーク認証システム1における登録が解除されるわけではないので、電源が投入される等して再度起動した場合には、新規制御装置10は、起動モードから運用モードにモード移行して、ネットワーク認証システム1内で通常の動作を行うことができる。
(1−4−6)装置の削除処理
次に、ネットワーク認証システム1に接続された装置を削除する場合の処理について、図10を参照しながら説明する。装置の削除とは、当該装置をネットワーク40から物理的に外す、又は、ネットワーク認証システム1から当該装置の接続を解除する等によって、ネットワーク認証システム1における登録が解除される状態を示す。以下では、ネットワーク認証システム1に登録済みの新規制御装置10を削除する場合の処理を説明する。
まず、既存制御装置20A〜20Nのうちから、新規制御装置10の削除処理を行う装置が選択される。ここでは例えば、操作部(図示せず)に対するユーザの選択に従って既存制御装置20Aが選択されるとする。このとき、モード切替部203Aは、動作モードを保守モードに切り替える(ステップS1001)。なお、モード切替部203Aが動作モードを保守モードに切り替える場合には、管理者用のパスワード認証を事前に要求する等して、操作者を限定してもよい。
次に、ステップS1002では、経過時間管理部210Aが、動作モードが保守モードに切り替えられた時刻を確認し、その時刻情報を時刻情報保管部216Aに格納する。次に、モード切替部203Aは、ネットワーク40に接続された他の既存制御装置20B〜20Nに対して、新規制御装置10を削除するために保守モードに変更したことを伝える保守モード通知A1001を送信する。
次に、保守モード通知A1001を受信した既存制御装置20B〜20Nでは、各装置の経過時間管理部210B〜210Nが、時刻情報を取得して時刻情報保管部216B〜216Nに格納する(ステップS1003)。
一方、既存制御装置20Aでは、保守モード通知A1001の送信後に、削除の対象とする装置の情報が、ユーザからの所定の操作等によって入力される(ステップS1004)。この入力は、例えば、ステップS1001において削除処理を行う装置が選択される場合に併せて入力されていてもよい。そして、制御処理部202Aは、装置リスト保管部214Aに格納されている装置リストを参照し、ステップS1004で入力された削除対象の装置、この場合には新規制御装置10の装置IDを取得し、取得した新規制御装置10の装置IDを削除装置IDA1002として既存制御装置20B〜20Nに送信する。
削除装置IDA1002を受信した既存制御装置20B〜20Nでは、既存制御装置20B〜20Nの各装置管理部207B〜207Nが、受信した削除装置IDA1002に基づいて、各装置リスト保管部214B〜214Nに格納されている装置リストから新規制御装置10に関するデータを削除する(ステップS1005)。さらに、既存制御装置20B〜20Nの各鍵管理部209B〜209Nは、受信した削除装置IDA1002に基づいて、各鍵情報リスト保管部215B〜215Nに格納されている鍵情報リストから新規制御装置10に関するデータを削除する(ステップS1006)。
また、削除装置IDA1002を送信した既存制御装置20A側でも、装置管理部207Aが、装置リスト保管部214Aに格納されている装置リストから新規制御装置10に関するデータを削除し(ステップS1007)、鍵管理部209Aが、鍵情報リスト保管部215Aに格納されている鍵情報リストから新規制御装置10に関するデータを削除する(ステップS1008)。
次に、既存制御装置20A〜20Nで用いられる鍵を更新するために、鍵生成部208Aが新しい鍵情報群を生成する(S1009)。この新鍵情報群は、現時点でオンラインに接続されている既存制御装置20A〜20Nに対する鍵として生成される。そして、鍵管理部209Aは、ステップS1009で生成された鍵情報群を取得し(ステップS1010)、取得した鍵情報群のそれぞれの鍵を、現在使用中の暗号鍵によって暗号化する(ステップS1011)。そして、鍵管理部209Aは、暗号化した暗号化済新鍵情報群A1003を既存制御装置20B〜20Nに送信する。
暗号化済新鍵情報群A1003を受信した既存制御装置20B〜20Nでは、既存制御装置20B〜20Nの各鍵管理部209B〜209Nが、暗号化済新鍵情報群A1003を取得する(ステップS1012)。そして、鍵管理部209B〜209Nは、取得した暗号化済新鍵情報群A1003を現在使用中の暗号鍵によって復号する(ステップS1013)。次に、鍵管理部209B〜209Nは、復号した新鍵情報群を鍵情報リスト保管部215B〜2215Nに格納されている鍵情報リストに格納する(ステップS1014)。なお、ステップS1014で復号した新鍵情報群を鍵情報リストに格納する際には、現在使用中の鍵を旧鍵として残し、復号した新鍵情報群を新鍵として追加する。
また、既存制御装置20Aでも、ステップS1014に示した既存制御装置20B〜20Nにおける処理と同様に、ステップS1009で生成した新鍵情報群を鍵情報リスト保管部215Aに格納されている鍵情報リストに追加格納する(ステップS1015)。その後、制御処理部202Aは、所定の時間が経過するまで待ち受け状態に移行する(ステップS1016)。
一方、既存制御装置20B〜20Nでは、ステップS1003で取得した時刻情報に基づいて所定の時間が経過したタイミングで、制御処理部202B〜202Nが、新規制御装置10の削除処理に必要となる情報が不足していないか確認する(ステップS1017)。この確認で不足情報がないと判定された場合には(ステップS1017のNO)、ステップS1024の処理が行われる。
ステップS1017において不足情報があると判定された場合には(ステップS1017のYES)、制御処理部202B〜202Nが、既存制御装置20Aに不足情報の提供を要求する不足情報要求コマンドA1004を送信する。既存制御装置20Aでは、不足情報要求コマンドA1004に応じて、制御処理部202Aが、要求された不足情報A1005を既存制御装置20B〜20Nに返信する。そして、既存制御装置20B〜20Nでは、制御処理部202B〜202Nが、受信した不足情報A1005を所定の保管部に格納する(ステップS1018)。その後、ステップS1024の処理が行われる。
また、ステップS1016で待ち受け状態に移行した既存制御装置20Aでは、制御処理部202Aが、ステップS1002で時刻情報を取得した時刻から所定の時間が経過したか否かを判定する(ステップS1019)。所定の時間が経過していなかった場合には(ステップS1019のNO)再びステップS1016に戻り、既存制御装置20Aは、既存制御装置20B〜20Nから不足情報要求コマンドA1004が送信される場合に備える。
ステップS1019において所定の時間が経過したと判定された場合には(ステップS1019のYES)、制御処理部202Aは、既存制御装置20Aの待ち受け状態を解除する(ステップS1020)。そして、鍵管理部209Aは、ステップS1015で更新した鍵情報リストに記載された鍵を所定のアルゴリズムに適用してネットワーク共有鍵を生成し(ステップS1021)、生成したネットワーク共有鍵を鍵情報リスト保管部215Aの鍵情報リストに格納する(ステップS1022)。その後、モード切替部203Aが、動作モードを保守モードから運用モードに切り替える(ステップS1023)。
また、既存制御装置20B〜20Nでも、ステップS1024において、鍵管理部209B〜209Nが、ステップS1014で更新した鍵情報リストに記載された鍵を所定のアルゴリズムに適用してネットワーク共有鍵を生成し(ステップS1024)、生成したネットワーク共有鍵を鍵情報リスト保管部215B〜215Nの鍵情報リストに格納する(ステップS1025)。
ここで、ステップS1014で更新された既存制御装置20B〜20Nの鍵情報リストの内容と、ステップS1015で更新された既存制御装置20Aの鍵情報リストの内容は同じである。従って、ステップS1021及びステップS1024で生成されるネットワーク共有鍵は、同じ内容の鍵情報リストが所定のアルゴリズムに適用されて生成されることになるので、同一のネットワーク共有鍵となる。
図10について上述した処理によって、ネットワーク認証システム1における新規制御装置10の登録が解除され、ネットワーク40内に残った既存制御装置20A〜20Nの間で、ネットワーク共有鍵が再生成されて共有される。
(1−4−7)鍵の更新処理
次に、ネットワーク認証システム1に接続された新規制御装置10及び既存制御装置20における鍵の更新処理について、図11を参照しながら説明する。以下では、既存制御装置20Aによってネットワーク認証システム1に接続された新規制御装置10及び既存制御装置20の鍵を更新する場合について説明するが、鍵の更新は、新規制御装置10や既存制御装置20B〜20Nといった他の装置によって実施されてもよい。
まず、モード切替部203Aが、動作モードを保守モードに切り替える(ステップS1101)。そして、経過時間管理部210Aが、動作モードが保守モードに切り替えられた時刻を確認し、その時刻情報を時刻情報保管部216Aに格納する(ステップS1102)。そして、モード切替部203Aは、ネットワーク40に接続された新規制御装置10及び既存制御装置20B〜20Nに対して、鍵更新を行うために保守モードに変更したことを伝える保守モード通知A1101又はA1102を送信する。
保守モード通知A1102を受信した既存制御装置20B〜20Nでは、経過時間管理部210B〜210Nが、時刻情報を取得して時刻情報保管部216B〜216Nに格納する(ステップS1103)。また、保守モード通知A1101を受信した新規制御装置10では、経過時間管理部110が、時刻情報を取得して時刻情報保管部116に格納する(ステップS1104)。
その後、既存制御装置20Aでは、新規制御装置10及び既存制御装置20の鍵を更新するために、鍵生成部208Aが新しい鍵情報群を生成する(ステップS1105)。この新鍵情報群は、現時点でオンラインに接続されている新規制御装置10及び既存制御装置20に対する鍵として生成される。そして、鍵管理部209Aは、ステップS1105で生成された鍵情報群を取得し(ステップS1106)、取得した鍵情報群のそれぞれの鍵を、現在使用中の暗号鍵によって暗号化する(ステップS1107)。そして、鍵管理部209Aは、暗号化した暗号化済新鍵情報群A1103又はA1104を新規制御装置10又は既存制御装置20B〜20Nに送信する。
暗号化済新鍵情報群A1103を受信した新規制御装置10では、図10のステップS1012〜S1004、S1018、及びS1024〜S1025に示した処理と同様の処理によって、暗号化済新鍵情報群A1103に含まれる新鍵による鍵更新が行われ、ネットワーク共有鍵が生成及び格納される。
処理を簡単に説明すると、新規制御装置10では、新鍵情報群の取得(ステップS1111)、現在使用中の暗号鍵による新鍵情報群の復号(ステップS1112)、及び復号した新鍵情報群の格納(ステップS1113)が行われる。そして、鍵情報の更新のために必要な情報が不足していないかの判定が行われ(ステップS1118)、不足していた場合には、既存制御装置20Aと不足情報要求コマンドA1107及び不足情報A1108を送受信することによって不足情報が補われる(ステップS1119)。その後、ネットワーク共有鍵が生成(ステップS1127)及び格納される(ステップS1128)。
また、暗号化済新鍵情報群A1104を受信した既存制御装置20B〜20Nでも、暗号化済新鍵情報群A1103を受信した新規制御装置10と同様の処理が行われる(ステップS1108〜S1110、S1116〜S1117、及びS1125〜1126)。
一方、暗号化済新鍵情報群A1103及びA1104を送信した既存制御装置20Aでは、図10のステップS1015〜1016及びS1019〜1022に示した処理と同様の処理によって、ステップS1009で生成された新鍵情報群による鍵更新が行われ、ネットワーク共有鍵が生成及び格納される(ステップS1114〜S1115及びS1120〜S1123)。そして、最後にモード切替部203Aが動作モードを保守モードから運用モードに切り替え(ステップS1124)、処理が終了する。
図11について上述した処理によって、ネットワーク認証システム1に接続された新規制御装置10及び既存制御装置20A〜20Nにおける鍵が既存制御装置20Aによって更新される。
(1−4−8)監視装置によるセキュリティ情報の収集処理
次に、監視装置30がネットワーク認証システム1に接続されている新規制御装置10及び既存制御装置20が保有しているセキュリティ情報を収集する処理について、図12を参照しながら説明する。ここでいうセキュリティ情報とは、装置リスト及び鍵情報リストに相当する。なお、監視装置30は、新規制御装置10及び既存制御装置20A〜20Nと同様に、ネットワーク認証システム1に接続されている装置である。
まず、監視装置30のモード切替部302が、動作モードを保守モードに切り替える(ステップS1201)、ネットワーク40に接続された新規制御装置10及び既存制御装置20A〜20Nに対して、各装置の状態を取得するために保守モードに変更したことを伝える保守モード通知A1201、A1202又はA1203を送信する。なお、監視装置30による保守モード通知A1201、A1202及びA1203の送信が行われた後に、新規制御装置10及び既存制御装置20A〜20Nのそれぞれと監視装置30との間で、同様の処理が行われる。従って以下では、簡略のために、監視装置30と新規制御装置10との間で行われる処理だけを説明する。
保守モード通知A1201を受信した新規制御装置10では、経過時間管理部110が、時刻情報を取得して時刻情報保管部116に格納し(ステップS1202)、新規制御装置10は待ち受け状態に移行する(ステップS1203)。
一方、監視装置30では、保守モード通知A1201を送信した後に、装置リスト収集部310が、ネットワーク認証システム1に接続されている新規制御装置10及び既存制御装置20A〜20Nが保有している装置リストを収集するための装置リスト取得コマンドを生成し(ステップS1206)、新規制御装置10及び既存制御装置20A〜20Nに対して装置リスト取得コマンドA1204、A1205又はA1206を送信する。
そして、装置リスト取得コマンドA1204を受信した新規制御装置10では、装置管理部107が装置リスト保管部114に格納されている装置リストを取得し(ステップS1207)、取得した装置リストA1207を監視装置30に返信する。そして、監視装置30では、装置リスト収集部310が、新規制御装置10及び既存制御装置20A〜20Nから受信した装置リストA1207、A1208及びA1209を収集装置リスト保管部318に格納する(ステップS1209)。
次に、監視装置30では、鍵情報リスト収集部311が、ネットワーク認証システム1に接続されている新規制御装置10及び既存制御装置20A〜20Nが保有している鍵情報リストを収集するための鍵情報取得コマンドを生成し(ステップS1210)、新規制御装置10及び既存制御装置20A〜20Nに対して鍵情報リスト取得コマンドA1210、A1211又はA1212を送信する。
そして、鍵情報リスト取得コマンドA1210を受信した新規制御装置10では、鍵管理部109が鍵情報リスト保管部115に格納されている鍵情報リストを取得し(ステップS1211)、取得した鍵情報リストA1213を監視装置30に返信する。そして、監視装置30では、鍵情報リスト収集部311が、新規制御装置10及び既存制御装置20A〜20Nから受信した鍵情報リストA1213、A1214及びA1215を収集鍵情報リスト保管部319に格納する(ステップS1213)。その後、監視装置30のモード切替部302は、動作モードを保守モードから運用モードに切り替え(ステップS1214)、処理が終了する。
なお、ステップS1213とステップS1214の間に、監視装置30の出力部312が、ステップS1209で収集装置リスト保管部318に格納された装置リスト、及びステップS1213で収集鍵情報リスト保管部319に格納された鍵情報リストを、表示部(図示せず)に出力するようにしてもよい。
また、鍵情報リストA1213を送信した新規制御装置10では、経過時間管理部110が、ステップS1202で取得した時刻情報に基づいて、所定の時間が経過したか否かを判定する(ステップS1215)。所定の時間が経過していないと判定された場合には(ステップS1215のNO)、ステップS1203の待ち受け状態に戻る(ステップS1216)。ステップS1215で所定の時間が経過していると判定された場合には(ステップS1215のYES)、制御処理部102が待ち受け状態を解除し(ステップS1217)、処理が終了する。
なお、図12の処理では、監視装置30と新規制御装置10及び既存制御装置20との間で事前に認証処理が完了しているとして、装置リスト及び鍵情報リストを収集する場合に、監視装置30と新規制御装置10及び既存制御装置20との間で認証処理が行われていない。しかし、例えば、保守モード通知A1201〜A1203が送信された時や、各リストの収集時に、認証済みか否かを確認する処理が追加されてもよい。また、装置リストや鍵情報リストの収集を行う場合に、各リストを暗号化して送受信するようにしてもよい。
図12について上述した処理によって、監視装置30は、ネットワーク認証システム1に接続されている新規制御装置10及び既存制御装置20から装置リスト及び鍵情報リストを収集し、収集装置リスト保管部318及び収集鍵情報リスト保管部319に格納することができる。
(1−5)本実施の形態によるネットワーク認証システムの効果
このようなネットワーク認証システム1では、暗号通信及び認証処理を行うための特別なサーバを構築することなく、又、事前に秘密情報を共有することもなくネットワーク40に接続する新規制御装置10、既存制御装置20及び監視装置30を相互に認証することができるので、ネットワーク認証システム1における構成上の負担及び処理上の負荷が増加することを抑制できる。
また、このようなネットワーク認証システム1では、新規制御装置10、既存制御装置20、及び監視装置30のそれぞれがモード切替部103、203又は302によって切り替えられる複数の動作モードを有し、新規の装置がネットワーク認証システム1に接続可能な状態を保守モードだけに限定することにより、外部からのアクセスを許容する状態を制限する。その結果、不正な装置の接続によって悪意のある第三者から攻撃を受ける可能性を低減させ、簡単な構成でネットワーク40内の安全性を確保又は向上させることができる。
さらに、このようなネットワーク認証システム1は、ネットワーク認証システム1に登録されている装置に送信された制御コマンドについて、制御コマンドの送信元の装置がネットワーク認証システム1に登録済みで、かつ、有効期限付きの認証処理済みであることが確認されない場合には、当該コマンドを破棄するので、不正な装置や未認証状態の装置からのコマンド実行を防止し、安全性をさらに向上させることができる。
さらに、このようなネットワーク認証システム1は、図5に示した処理のように、2装置間(例えば、図5では新規制御装置10及び既存制御装置20A)で行われた相互認証の認証結果が、暗号化済装置リストA509及びA510の送信によってネットワーク40内の新規制御装置10及び既存制御装置20(及び監視装置30)の全てで共有されるので、ネットワーク認証システム1全体で行う認証回数を削減することができる。その結果、ネットワーク認証システム1は、認証処理による負荷を低減し、安全性を確保したままシステム全体における処理能力を向上させることができる。
さらに、このようなネットワーク認証システム1では、監視装置30が、ネットワーク40内の新規制御装置10及び既存制御装置20から、各装置が保有しているセキュリティ情報(装置リスト及び鍵情報リスト)を収集することができるので、管理者は、このセキュリティ情報をネットワーク認証システム1の管理に活用することができる。また、収集されたセキュリティ情報が出力部312によって出力される場合には、セキュリティ情報を可視化して、さらなる管理上の効果をも期待することができる。
(2)第2の実施の形態
次に、第2の実施の形態によるネットワーク認証システム2について説明する。
(2−1)本実施の形態によるネットワーク認証システムの構成
図13に示すように、ネットワーク認証システム2は、ブリッジ装置60を介して、旧制御装置80(個別には80A〜80N)が接続された旧ネットワーク70に接続されている。ネットワーク認証システム2は、図1に示した第1の実施の形態のネットワーク認証システム1の構成にブリッジ装置60が追加された構成となっており、ネットワーク認証システム1と同様の構成要素については、同一の符号を付し、その説明を省略する。但し図12では、旧ネットワーク70と区別するために、図1のネットワーク40を新ネットワーク50と記載している。
ブリッジ装置60は、新ネットワーク通信部601、モード切替部602、認証処理部603、暗号処理部604、状態変化認識部605、装置管理部606、鍵生成部607、鍵管理部608、経過時間管理部609、旧ネットワーク通信部610、識別情報保管部611、モード情報保管部612、新ネットワーク装置リスト保管部613、旧ネットワーク装置リスト保管部614、鍵情報リスト保管部615、及び時刻情報保管部616を有する。
ブリッジ装置60は、新規制御装置10、既存制御装置20、又は監視装置30と同様のハードウェア構成を有する。そして例えば、新ネットワーク通信部601及び旧ネットワーク通信部610は、図2に示す通信装置61によって実現される。また、モード切替部602、認証処理部603、暗号処理部604、状態変化認識部605、装置管理部606、鍵生成部607、鍵管理部608、及び経過時間管理部609は、CPU64によるプログラムの実行によりそれぞれの制御処理を行う。また、識別情報保管部611、モード情報保管部612、新ネットワーク装置リスト保管部613、旧ネットワーク装置リスト保管部614、鍵情報リスト保管部615、及び時刻情報保管部616は、各種データが格納される記憶装置63によって実現される。
新ネットワーク通信部601は、新ネットワーク50を介して新規制御装置10、既存制御装置20及び監視装置30との間で通信を行う。旧ネットワーク通信部610は、旧ネットワーク70を介して旧制御装置80との間で通信を行う。新ネットワーク装置リスト保管部613には、新ネットワーク50内の新規制御装置10、既存制御装置20、監視装置30及びブリッジ装置60における接続状態や認証状態等が装置リストとして格納される。旧ネットワーク装置リスト保管部614には、旧ネットワーク70内の旧制御装置80の接続状態が装置リストとして格納される。なお、新ネットワーク装置リスト保管部613及び旧ネットワーク装置リスト保管部614にそれぞれ格納される装置リストは、図16に示した装置リスト160と同様のテーブル構成を有する。
なお、ブリッジ装置60におけるモード切替部602、認証処理部603、暗号処理部604、状態変化認識部605、装置管理部606、鍵生成部607、鍵管理部608、経過時間管理部609、識別情報保管部611、モード情報保管部612、鍵情報リスト保管部615、及び時刻情報保管部616は、ネットワーク認証システム1又は2内の新規制御装置10、既存制御装置20又は監視装置30における同名の構成と同様の機能を有するので、説明を省略する。
また、ブリッジ装置60のハードウェア構成は、図2に示した新規制御装置10のハードウェア構成と同様である。例えば、新ネットワーク通信部601及び旧ネットワーク通信部610は通信装置11によって実現され、モード切替部602、認証処理部603、・・・、及び経過時間管理部609は、プログラムの実行に従って制御を行うCPU14によって実現される。また、例えば、各保管部611〜616は、記憶装置13によって実現される。
また、旧制御装置80は、ネットワーク認証システム2の外部にある装置の一例であり、旧制御装置80とネットワーク認証システム2との間では、暗号化されない平文のデータが送受信される。これら旧制御装置80(80A〜80N)は、旧ネットワークと通信を行う通信部801(801A〜801N)、旧制御装置80の各部を制御し旧制御装置80に固有の処理を行う制御処理部802(802A〜802N)、及び制御処理部802による制御処理を行うために必要となるデータを格納する制御情報保管部803(803A〜803N)を有する。
(2−2)本実施の形態のネットワーク認証システムにおける処理
本実施の形態によるネットワーク認証システム2における各種の処理を説明する。なお、ネットワーク認証システム2内の新規制御装置10、既存制御装置20及び監視装置30の間で行われる新規接続時の初期化処理、認証処理、コマンド実行処理、装置の停止処理、装置の削除処理、鍵の更新処理、及びセキュリティ情報の収集処理については、第1の実施の形態で説明したのと同様の処理であるので、説明を省略する。以下では、新ネットワーク50側の新規制御装置10、既存制御装置20又は監視装置30と旧ネットワーク70側の旧制御装置80との間で行われる通信の処理について説明する。
(2−2−1)新ネットワーク側の装置から旧ネットワーク側の装置へのコマンド送信
新ネットワーク50側の新規制御装置10、既存制御装置20、又は監視装置30が旧ネットワーク70側の旧制御装置80に制御コマンドを送信する場合の処理について、図14を参照しながら説明する。ここでは、一例として、既存制御装置20Aから旧制御装置80Aにコマンドが送信されるとする。
まず、既存制御装置20Aの制御処理部202Aが、旧制御装置80Aを宛先とするコマンドを生成する(ステップS1401)。次に、鍵管理部209Aが、鍵情報リスト保管部215Aに格納されているネットワーク共有鍵を取得し(ステップS1402)、取得したネットワーク共有鍵によって、ステップS1401で生成したコマンドを暗号化する(ステップS1403)。そして、制御処理部202Aは、新ネットワーク50側の他の装置(新規制御装置10、既存制御装置20B〜20N、監視装置30及びブリッジ装置60)に対して、ステップS1403で暗号化した暗号化済旧制御装置宛てコマンドA1401を送信する。なお、新ネットワーク50側の新規制御装置10、既存制御装置20B〜20N及び監視装置30にコマンドA1401が送信されてからの、新規制御装置10、既存制御装置20B〜20N又は監視装置30と既存制御装置20Aとの間に行われる処理は、図6及び図7で示した処理と同様であり、説明を省略する。
暗号化済旧制御装置宛てコマンドA1401を受信したブリッジ装置60では、装置管理部606が、新ネットワーク装置リスト保管部613に格納されている装置リストを参照し、装置リストに暗号化済旧制御装置宛てコマンドA1401の送信元である既存制御装置20Aが含まれているか判定する(ステップS1404)。装置リストに既存制御装置20Aが含まれていなかった場合には(ステップS1404のNO)、装置管理部606は、既存制御装置20Aを不正な装置であると判断し、ブリッジ装置60内の計時機能や他の装置の日時情報を利用して日時情報を取得し(ステップS1405)、既存制御装置20Aのネットワーク上の識別子や固有の識別子等の情報を不正装置情報として取得する(ステップS1406)。そして、装置管理部606は、ステップS1405で取得した日時情報とステップS1406で取得した不正装置情報とを、新ネットワーク装置リスト保管部613に格納されている装置リストに追加する(ステップS1407)。その後、既存制御装置20Aから受信した暗号化済旧制御装置宛てコマンドA1401は破棄されて(ステップS1408)、処理が終了する。
一方、ステップS1404において新ネットワーク装置リストに既存制御装置20Aが含まれていた場合には(ステップS1404のYES)、装置管理部606は、旧ネットワーク装置リスト保管部614に格納されている装置リストを参照し、当該コマンドA1401の宛先が当該装置リストに含まれる管理対象内の装置であるか確認する(ステップS1409)。宛先が管理対象内の装置ではなかった場合には(ステップS1409のNO)、装置管理部606は、暗号化済旧制御装置宛てコマンドA1401を破棄し(ステップS1410)、処理を終了する。宛先が管理対象内の装置であった場合には(ステップS1409のYES)、ステップS1411の処理が行われる。
ステップS1411では、認証処理部603が、新ネットワーク装置リスト保管部613の装置リストを参照し、暗号化済旧制御装置宛てコマンドA1401の送信元である既存制御装置20Aの認証状態を確認する(ステップS1411)。その結果、認証されていないと判断した場合には(ステップS1411のNO)、認証処理部603は、既存制御装置20Aに対して認証エラーA1402を送信する。
ステップS1411において認証済みであると確認された場合には(ステップS1411のYES)、認証処理部603は、新ネットワーク装置リスト保管部613の装置リストを参照して、既存制御装置20Aの装置認証有効期限が現在の日時以降であるか否かを確認する(ステップS1412)。現在の日時以前、つまり、有効期限切れであった場合には(ステップS1412のNO)、認証処理部603は、既存制御装置20Aに対して認証エラーA1403を送信する。
ステップS1412において既存制御装置20Aの装置認証有効期限が現在の日時以降であった場合には(ステップS1412のYES)、ステップS1411及びS1412の両方の処理でYESと判定されているので、既存制御装置20Aが認証済みと判断される。このような場合に、ブリッジ装置60では、ステップS1413に示す処理が実行される。
ステップS1413では、ブリッジ装置60の鍵管理部608が、鍵情報リスト保管部615に格納されているネットワーク共有鍵を取得する。次に、鍵管理部608は、既存制御装置20Aから受信した暗号化済旧制御装置宛てコマンドA1401を、ステップS1413で取得したネットワーク共有鍵によって復号し(ステップS1414)、ネットワーク70を介して旧制御装置80Aに対して、復号された旧制御装置宛てコマンドA1404を送信する。
旧制御装置宛てコマンドA1404を受信した旧制御装置80Aでは、制御処理部802Aが、受信したコマンドに応じた処理を実行する(ステップS1415)。その後、制御処理部802Aは、ブリッジ装置60に対して、応答メッセージであるレスポンスA1405を送信する。レスポンスA1405は、例えば、旧制御装置宛てコマンドA1404に応じて読み出されたデータや、旧制御装置宛てコマンドA1404の実行結果を示すメッセージである。
レスポンスA1405を受信したブリッジ装置60では、暗号処理部604が、ステップS1413で取得したネットワーク共有鍵によって受信したレスポンスを暗号化する(ステップS1416)。そして、暗号処理部604は、ステップS1416で暗号化したレスポンスを暗号化レスポンスA1406として既存制御装置20Aに送信する。
そして、暗号化レスポンスA1406を受信した既存制御部20Aでは、暗号処理部205Aが、鍵情報リスト保管部215Aに格納されている鍵情報リストを参照し、受信した暗号化レスポンスA1406を鍵情報リストに記載されているネットワーク共有鍵によって復号する(ステップS1417)。
図14について上述した処理によって、既存制御装置20Aから発信される暗号化されたコマンドは、ブリッジ装置60で平文のコマンドに復号されて旧制御装置80Aに送信され、当該コマンドに対する平文のレスポンスは、ブリッジ装置60で暗号化されて既存制御装置20Aに返信される。
(2−2−2)旧ネットワーク側の装置から新ネットワーク側の装置へのコマンド送信
次に、旧ネットワーク70側の旧制御装置80が新ネットワーク50側の新規制御装置10、既存制御装置20又は監視装置30に制御コマンドを送信する場合の処理について、図15を参照しながら説明する。ここでは、一例として、旧制御装置80Aから既存制御装置20Aにコマンドが送信されるとする。
まず、旧制御装置80Aの制御処理部802Aが、既存制御装置20Aを宛先とするコマンドを生成する(ステップS1501)。そして、制御処理部802Aは、ブリッジ装置60に対して、ステップS1501で生成した既存制御装置宛てコマンドA1501を送信する。
既存制御装置宛てコマンドA1501を受信したブリッジ装置60では、装置管理部606が、新ネットワーク装置リスト保管部613に格納されている装置リストを参照し、当該コマンドA1501の宛先が当該装置リストに含まれる装置であるか確認する(ステップS1502)。宛先が装置リストに含まれていなかった場合には(ステップS1502のNO)、装置管理部606は、既存制御装置宛てコマンドA1501を破棄し(ステップS1503)、処理を終了する。宛先が装置リストに含まれていた場合には(ステップS1502のYES)、ステップS1504の処理が行われる。
ステップS1504では、ブリッジ装置60の鍵管理部608が、鍵情報リスト保管部615に格納されているネットワーク共有鍵を取得する。次に、鍵管理部608は、旧制御装置80Aから受信した既存制御装置宛てコマンドA1501を、ステップS1504で取得したネットワーク共有鍵によって暗号化(ステップS1505)、既存制御装置20Aに対して、暗号化済既存制御装置宛てコマンドA1502を送信する。
暗号化済既存制御装置宛てコマンドA502を受信した既存制御装置20Aでは、装置管理部207Aが、装置リスト保管部214Aに格納されている装置リストを参照し、装置リストに旧制御装置80Aが含まれているか判定する(ステップS1506)。装置リストに旧制御装置80Aが含まれていなかった場合には(ステップS1506のNO)、装置管理部207Aは、旧制御装置80Aを不正な装置であると判断し、既存制御装置20A内の計時機能や他の装置の日時情報を利用して日時情報を取得し(ステップS1507)、旧制御装置80Aのネットワーク上の識別子や固有の識別子等の情報を不正装置情報として取得する(ステップS1508)。そして、装置管理部207Aは、ステップS1507で取得した日時情報とステップS1508で取得した不正装置情報とを、装置リスト保管部214Aに格納されている装置リストに追加する(ステップS1509)。その後、ブリッジ装置60から受信した暗号化済既存制御装置宛てコマンドA1502は破棄されて(ステップS1510)、処理が終了する。
ステップS1506において装置リストに旧制御装置80Aが含まれていた場合には(ステップS1506のYES)、制御処理部201Aが当該コマンドA1502の宛先を確認する(ステップS1511)。宛先が自装置、すなわち既存制御装置20Aではなかった場合には(ステップS1511のNO)、暗号化済既存制御装置宛てコマンドA1502は破棄され(ステップS1512)、処理が終了する。宛先が自装置、すなわち既存制御装置20Aであった場合には(ステップS1511のYES)、ステップS1513の処理が行われる。
ステップS1513では、認証処理部204Aが、装置リスト保管部214Aの装置リストを参照し、暗号化済既存制御装置宛てコマンドA1502の送信元であるブリッジ装置60の認証状態を確認する。その結果、認証されていないと判断した場合には(ステップS1513のNO)、認証処理部204Aは、ブリッジ装置60に対して認証エラーA1503を送信する。
ステップS1513において認証済みであると確認された場合には(ステップS1513のYES)、認証処理部204Aは、装置リストを参照して、ブリッジ装置60の装置認証有効期限が現在の日時以降であるか否かを確認する(ステップS1514)。現在の日時以前、つまり、有効期限切れであった場合には(ステップS1514のNO)、認証処理部204Aは、ブリッジ装置60に対して認証エラーA1504を送信する。
ステップS1514において新規制御装置10の装置認証有効期限が現在の日時以降であった場合には(ステップS1514のYES)、ステップS1513及びS1514の両方の処理でYESと判定されているので、ブリッジ装置60が認証済みと判断される。このような場合に、既存制御装置20Aでは、ステップS1515に示す処理が実行される。
ステップS1515では、既存制御装置20Aの鍵管理部209Aが、鍵情報リスト保管部215に格納されているネットワーク共有鍵を取得する。次に、鍵管理部209Aは、ステップS1515で取得したネットワーク共有鍵によって、ブリッジ装置60から受信した暗号化済既存制御装置宛てコマンドA1502を復号する(ステップS1516)。そして、制御処理部202Aは、ステップS1516で復号されたコマンドの内容に従って、コマンドの処理を行う(ステップS1517)。コマンドの処理が終わると、暗号処理部205Aが、応答メッセージの暗号化を行う(ステップS1518)。ステップS1518で暗号化された応答メッセージは、暗号化レスポンスA1505として、ブリッジ装置60に送信される。
そして、暗号化レスポンスA1505を受信したブリッジ装置60では、暗号処理部604が、鍵情報リスト保管部615に格納されている鍵情報リストを参照し、受信した暗号化レスポンスA1505を鍵情報リストに記載されているネットワーク共有鍵によって復号し(ステップS1519)、ネットワーク70を介して旧制御装置80AにレスポンスA1506を送信する。
図15について上述した処理によって、旧制御装置80Aから発信された平文のコマンドは、ブリッジ装置60で暗号化されて既存制御装置20Aに送信され、当該コマンドに対する暗号化されたレスポンスは、ブリッジ装置60で復号されて旧制御装置20Aに返信される。
このようなネットワーク認証システム2では、第1の実施の形態によるネットワーク認証システム1における効果に加えてさらに、コマンドの暗号化及び復号を行って通信を仲介するブリッジ装置60を備えることにより、認証処理及び暗号化通信を必要とする新ネットワーク50内の新規制御装置10、既存制御装置20又は監視装置30と、セキュリティレベルの異なる外部の旧制御装置80との間におけるコマンドの送受信を実現することができる。
(3)他の実施の形態
なお、第1及び第2の実施の形態によるネットワーク認証システム1及び2では、ネットワーク40に接続された新規制御装置10及び既存制御装置20が互いに認証するような場合について述べたが、新規制御装置10及び既存制御装置20は、いずれも同一のネットワーク40に接続された他の通信装置を認証する通信装置の一例である。そして、第2の実施の形態によるネットワーク認証システム2では、ブリッジ装置60が新ネットワーク50側の新規制御装置10又は既存制御装置20と、旧ネットワーク70側の旧制御装置80との通信を実現するような場合について述べたが、ここで、旧ネットワーク70はネットワーク40と異なる第2のネットワークに相当し、旧制御装置80は第2のネットワークに接続された第2の通信装置の一例である。
また、第1及び第2の実施の形態によるネットワーク認証システム1及び2では、図7に示したステップS705において認証エラーの発生が確認された場合に、認証処理部104が既存制御装置20Aに認証依頼A702を送信するような場合について述べたが、本発明はこれに限らず、ネットワーク認証システム1にオンラインで接続している他の装置(例えば、既存制御装置20B〜20Nのいずれか)に、認証依頼A702を送信するようにしてもよい。例えば、既存制御装置20Aに高い処理負荷がかかっているような場合には、既存制御装置20Aは、認証依頼A702を受信しても認証処理を実施できない可能性があるので、このような場合に、認証処理部104は、既存制御装置20B〜20Nのいずれかに認証依頼A702を送信するようにしてもよい。このとき、ネットワーク認証システム1は、高負荷の状態にある既存制御装置20Aに認証依頼A702を送信して認証処理が遅延又は未実施となる事態を防止し、効率良く認証処理を実施することができる。
また、第1及び第2の実施の形態によるネットワーク認証システム1及び2では、新規制御装置10又は既存制御装置20のそれぞれが、1つの装置内に複数の処理部(例えば、既存制御装置20Aでいえば、モード切替部203A、認証処理部204A、・・・、及び経過時間管理部210A等)が設けられるような場合について述べたが、本発明はこれに限らず、例えば、上記複数の処理部が複数の装置に分割して格納され、当該複数の装置を組み合わせて処理を行うようにしてもよい。このとき、複数の処理部を分割して格納するそれぞれの装置は、新規制御装置10及び既存制御装置20に比べて、より簡素な構成で実現できるので、ネットワーク認証システム1又は2を構成する装置に必要とされる機能スペックを下げることができる。
また、第1及び第2の実施の形態によるネットワーク認証システム1及び2では、新規制御装置10の制御処理部102及び既存制御装置20の制御処理部202が装置固有の制御を行うような場合について述べたが、本発明はこれに限らず、制御処理部102及び202による処理は、新規制御装置10における制御処理部102及び既存制御装置20における制御処理部202以外の各部に分散して実行されるようにしてもよい。このような場合に、例えば、図5のステップS525において制御処理部102が装置リストを参照して、現時点でネットワーク40にオンラインの状態にある新規制御装置10、既存制御装置20及び監視装置30が全て認証済みとなっているか確認するのではなく、装置管理部107がこれらの確認を行う。
本発明は、社会インフラシステムを構成するネットワークに適用することができる。
1,2 ネットワーク認証システム
10 新規制御装置
11 通信装置
12 入出力装置
13 記憶装置
14 制御装置(CPU)
15 メモリ
16 読取装置
17 記憶媒体
18 内部信号線
20,20A〜20N 既存制御装置
30 監視装置
40 ネットワーク
50 新ネットワーク
60 ブリッジ装置
70 旧ネットワーク
80,80A〜80N 旧制御装置
101,201A〜201N,301 通信部
102,202A〜202N 制御処理部
103,203A〜203N,302,602 モード切替部
104,204A〜204N,303,603 認証処理部
105,205A〜205N,304,604 暗号処理部
106,206A〜206N,305,605 状態変化認識部
107,207A〜207N,306,606 装置管理部
108,208A〜208N,307,607 鍵生成部
109,209A〜209N,308,608 鍵管理部
110,210A〜210N,309,609 経過時間管理部
111,211A〜211N 制御情報保管部
112,212A〜212N,313,611 識別情報保管部
113,213A〜213N,314,612 モード情報保管部
114,214A〜214N,315 装置リスト保管部
115,215A〜215N,316,615 鍵情報リスト保管部
116,216A〜216N,317,616 時刻情報保管部
310 装置リスト収集部
311 鍵情報リスト収集部
312 出力部
318 収集装置リスト保管部
319 収集鍵情報リスト保管部
601 新ネットワーク通信部
610 旧ネットワーク通信部
613 新ネットワーク装置リスト保管部
614 旧ネットワーク装置リスト保管部

Claims (15)

  1. 同一のネットワークに接続された他の通信装置を認証する通信装置において、
    前記ネットワークに新規に前記通信装置を接続する場合及び前記ネットワークから前記他の通信装置を削除する場合に、内部状態に応じて設定される複数の動作モードを切り替えるモード切替部と、
    自通信装置が使用する暗号鍵を生成する鍵生成部と、
    前記暗号鍵と前記ネットワークに接続された前記複数の通信装置によって使用される共有鍵とが格納された鍵情報リストを管理する鍵管理部と、
    前記鍵情報リストに格納された共有鍵を用いて前記他の通信装置に対する認証処理を行う認証処理部と、
    前記ネットワークに接続された複数の前記通信装置に対する認証状態が格納された装置リストを管理する装置管理部と
    を備え、
    前記鍵生成部は、自身が生成した前記暗号鍵と他の前記通信装置における前記鍵生成部で生成された別の暗号鍵とを所定のアルゴリズムに適用することにより、前記他の通信装置の前記鍵生成部で生成される共有鍵と同一の前記共有鍵を生成し、
    前記装置管理部は、認証状態が認証済みである他の前記通信装置との間で通信を許可する
    ことを特徴とする通信装置。
  2. 前記装置管理部は、前記装置リストに認証済みであることが記載されていない通信装置からの通信の記録を保管し、該通信を破棄する
    ことを特徴とする請求項1に記載の通信装置。
  3. 前記認証処理部は、前記他の通信装置から動作モードの切り替えを通知された場合に、当該他の通信装置に対する認証処理を行う
    ことを特徴とする請求項1に記載の通信装置。
  4. 通信を暗号化又は復号する暗号処理部をさらに備え、
    前記暗号処理部は、通信対象の前記他の通信装置に対して前記認証処理部による認証処理が成功した場合に、前記鍵生成部によって生成された前記暗号鍵を用いて当該他の通信装置に対する通信を暗号化する
    ことを特徴とする請求項1に記載の通信装置。
  5. 前記認証処理部は、前記ネットワークに接続された他の1つの前記通信装置に対して認証処理を行った場合に、当該ネットワークに接続された他の前記通信装置に当該認証の結果を送信する
    ことを特徴とする請求項1に記載の通信装置。
  6. ネットワークと、
    前記ネットワークに接続されて相互に認証する複数の前記通信装置と
    を備えたネットワーク認証システムにおいて、
    それぞれの前記通信装置は、
    前記ネットワークに新規に前記通信装置を接続する場合及び前記ネットワークから前記他の通信装置を削除する場合に、内部状態に応じて設定される複数の動作モードを切り替えるモード切替部と、
    自通信装置が使用する暗号鍵を生成する鍵生成部と、
    前記暗号鍵と前記ネットワークに接続された前記複数の通信装置によって使用される共有鍵とが格納された鍵情報リストを管理する鍵管理部と、
    前記鍵情報リストに格納された共有鍵を用いて前記他の通信装置に対する認証処理を行う認証処理部と、
    前記ネットワークに接続された複数の前記通信装置に対する認証状態が格納された装置リストを管理する装置管理部とを有し、
    前記鍵生成部は、自身が生成した前記暗号鍵と他の前記通信装置における前記鍵生成部で生成された別の暗号鍵とを所定のアルゴリズムに適用することにより、前記他の通信装置の前記鍵生成部で生成される共有鍵と同一の前記共有鍵を生成し、
    前記装置管理部は、認証状態が認証済みである前記他の通信装置との間で通信を許可する
    ことを特徴とするネットワーク認証システム。
  7. 前記装置管理部は、前記装置リストに認証済みであることが記載されていない通信装置からの通信の記録を保管し、該通信を破棄する
    ことを特徴とする請求項6に記載のネットワーク認証システム。
  8. 前記認証処理部は、前記他の通信装置から動作モードの切り替えを通知された場合に、当該他の通信装置に対する認証処理を行う
    ことを特徴とする請求項6に記載のネットワーク認証システム。
  9. それぞれの前記通信装置は、通信を暗号化又は復号する暗号処理部をさらに有し、
    前記暗号処理部は、通信対象の前記他の通信装置に対して前記認証処理部による認証処理が成功した場合に、前記鍵生成部によって生成された前記暗号鍵を用いて当該他の通信装置に対する通信を暗号化する
    ことを特徴とする請求項6に記載のネットワーク認証システム。
  10. 前記認証処理部は、前記ネットワークに接続された他の1つの前記通信装置に対して認証処理を行った場合に、当該ネットワークに接続された他の前記通信装置に当該認証の結果を送信する
    ことを特徴とする請求項6に記載のネットワーク認証システム。
  11. 前記ネットワークに新たに新規通信装置が接続される場合に、当該ネットワークに接続された1つの前記通信装置では、前記モード切替部が動作モードを前記新規通信装置の接続を受け入れるための動作モードに切り替え、前記鍵生成部が前記新規通信装置用の新暗号鍵を生成し、前記鍵管理部が前記生成された新暗号鍵を鍵情報リストに追加して前記新規通信装置に送信し、前記装置管理部が前記新規通信装置に対する情報を装置リストに追加して前記新規通信装置に送信する
    ことを特徴とする請求項6に記載のネットワーク認証システム。
  12. 前記ネットワークに接続される前記複数の通信装置の状態を収集する監視装置をさらに備え、
    前記監視装置は、前記複数の通信装置のそれぞれから前記装置リスト及び前記鍵情報リストを収集し、収集結果を出力する
    ことを特徴とする請求項6に記載のネットワーク認証システム。
  13. 前記ネットワークと、前記ネットワークと異なる第2のネットワークとを接続するブリッジ装置をさらに備え、
    前記ブリッジ装置は、
    内部状態に応じて設定される複数の動作モードを切り替える第2のモード切替部と、
    前記ネットワークに接続された前記複数の通信装置によって使用される共有鍵が格納された鍵情報リストを管理する第2の鍵管理部と、
    前記第2の鍵管理部によって管理される共有鍵を用いて前記ネットワークに接続された前記通信装置に対する認証処理を行う第2の認証処理部と、
    前記ネットワークに接続された前記通信装置に対する認証状態と前記第2のネットワークに接続された第2の通信装置の状態とが格納された第2の装置リストを管理する第2の装置管理部と、
    通信を暗号化又は復号する第2の暗号処理部とを有する
    ことを特徴とする請求項6に記載のネットワーク認証システム。
  14. 前記ネットワークに接続された前記通信装置から前記第2のネットワークに接続された前記第2の通信装置に対して通信が行われる場合に、前記ブリッジ装置は、送信元の前記通信装置に対する認証処理を行い、前記通信装置から送信された暗号化データを復号し、復号したデータを第2のネットワークを介して前記第2の通信装置に送信する
    ことを特徴とする請求項13に記載のネットワーク認証システム。
  15. 前記第2のネットワークに接続された前記第2の通信装置から前記ネットワークに接続された前記通信装置に対して通信が行われる場合に、前記ブリッジ装置は、送信先の前記通信装置に対する認証処理を行い、平文データの暗号化を行い、前記ネットワークを介して前記暗号化したデータを前記通信装置に送信する
    ことを特徴とする請求項13に記載のネットワーク認証システム。
JP2012058692A 2012-03-15 2012-03-15 通信装置及びネットワーク認証システム Pending JP2013192169A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012058692A JP2013192169A (ja) 2012-03-15 2012-03-15 通信装置及びネットワーク認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012058692A JP2013192169A (ja) 2012-03-15 2012-03-15 通信装置及びネットワーク認証システム

Publications (1)

Publication Number Publication Date
JP2013192169A true JP2013192169A (ja) 2013-09-26

Family

ID=49391977

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012058692A Pending JP2013192169A (ja) 2012-03-15 2012-03-15 通信装置及びネットワーク認証システム

Country Status (1)

Country Link
JP (1) JP2013192169A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016181585A1 (ja) * 2015-05-08 2016-11-17 パナソニックIpマネジメント株式会社 認証方法、認証システムおよびコントローラ
WO2016181586A1 (ja) * 2015-05-08 2016-11-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 認証方法及び認証システム
JP2019050597A (ja) * 2015-05-08 2019-03-28 パナソニックIpマネジメント株式会社 認証方法、認証システムおよびコントローラ

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016181585A1 (ja) * 2015-05-08 2016-11-17 パナソニックIpマネジメント株式会社 認証方法、認証システムおよびコントローラ
WO2016181586A1 (ja) * 2015-05-08 2016-11-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 認証方法及び認証システム
CN106415573A (zh) * 2015-05-08 2017-02-15 松下知识产权经营株式会社 认证方法、认证系统以及控制器
JPWO2016181586A1 (ja) * 2015-05-08 2018-02-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 認証方法及び認証システム
JPWO2016181585A1 (ja) * 2015-05-08 2018-02-22 パナソニックIpマネジメント株式会社 認証方法、認証システムおよびコントローラ
JP2019050597A (ja) * 2015-05-08 2019-03-28 パナソニックIpマネジメント株式会社 認証方法、認証システムおよびコントローラ
JP2020039154A (ja) * 2015-05-08 2020-03-12 パナソニックIpマネジメント株式会社 認証方法、認証システムおよびコントローラ
US10951400B2 (en) 2015-05-08 2021-03-16 Panasonic Intellectual Property Corporation Of America Authentication method, authentication system, and controller
CN112560007A (zh) * 2015-05-08 2021-03-26 松下电器(美国)知识产权公司 认证方法、认证系统以及控制器
CN112560007B (zh) * 2015-05-08 2024-05-31 松下电器(美国)知识产权公司 认证方法、认证系统以及控制器

Similar Documents

Publication Publication Date Title
CN101605137B (zh) 安全分布式文件系统
EP2424185A1 (en) Method and device for challenge-response authentication
CN101772024B (zh) 一种用户身份确定方法及装置和系统
EP3111584B1 (en) Method to authenticate two devices to establish a secure channel
EP3148235B1 (en) Authorization method and apparatus for management of embedded universal integrated circuit card
CN101296086A (zh) 接入认证的方法、系统和设备
CN109714170B (zh) 一种联盟链中数据隔离方法及相应的联盟链系统
US10686787B2 (en) Use of personal device for convenient and secure authentication
JP2013503514A (ja) Wlanアクセス認証に基づくサービスアクセス方法、システム及び装置
KR101568871B1 (ko) 멀티캐스트 통신방식을 적용한 바이탈 제어 시스템의 암호화 방법
CN102884756A (zh) 通信装置和通信方法
CN101656720A (zh) 对信息系统中访问对象信息统一维护的方法及装置
JP2013192169A (ja) 通信装置及びネットワーク認証システム
JP6043738B2 (ja) 鍵管理装置および鍵管理方法
CN103152326A (zh) 一种分布式认证方法及认证系统
JP2006197065A (ja) 端末装置および認証装置
JP5102701B2 (ja) 秘密鍵配布方法、秘密鍵配布システム
JP4777693B2 (ja) 認証システム及び端末装置及び認証装置及び認証方法
JP2019213085A (ja) データ通信システム
CN105071939A (zh) 一种用户信息认证方法及系统
EP2389031A1 (en) Secure handoff method and system
CN109922042B (zh) 遗失设备的子密钥管理方法和系统
KR20150135717A (ko) 모바일 멀티홉 네트워크에서 비밀키를 공유하는 장치 및 방법
JP5768622B2 (ja) メッセージ認証システム、通信装置及び通信プログラム
CN111487887B (zh) 用于绑定家电设备的方法、装置、用户终端、家电设备及服务器