JP2014042095A - Authentication system and method - Google Patents
Authentication system and method Download PDFInfo
- Publication number
- JP2014042095A JP2014042095A JP2012182297A JP2012182297A JP2014042095A JP 2014042095 A JP2014042095 A JP 2014042095A JP 2012182297 A JP2012182297 A JP 2012182297A JP 2012182297 A JP2012182297 A JP 2012182297A JP 2014042095 A JP2014042095 A JP 2014042095A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- authentication
- wireless
- connection request
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
Description
本発明は、ネットワークに接続される通信デバイスの認証を行う認証システム及び方法に関する。 The present invention relates to an authentication system and method for authenticating a communication device connected to a network.
従来から、プラントや工場等においては、高度な自動操業を実現すべく、フィールド機器と呼ばれる現場機器(測定器、操作器)と、これらの制御を行う制御装置とが通信手段を介して接続された分散制御システム(DCS:Distributed Control System)が構築されている。このような分散制御システムの基礎をなす通信システムは、有線によって通信を行うものが殆どであったが、近年においてはISA100.11aやWirelessHART(登録商標)等の産業用無線通信規格に準拠した無線通信を行うものも実現されている。 Conventionally, in plants and factories, field devices (measuring instruments, operating devices) called field devices and control devices for controlling these devices are connected via communication means in order to realize advanced automatic operations. A distributed control system (DCS) has been constructed. Most of the communication systems that form the basis of such a distributed control system perform communication by wire, but in recent years, wireless communication that conforms to industrial wireless communication standards such as ISA100.11a and WirelessHART (registered trademark). Something that communicates has also been realized.
上記の通信システムには、セキュリティを確保するために、PKI(Public Key Infrastructure:公開鍵基盤)を用いて有線又は無線のネットワークに接続される通信デバイスを認証する認証システムが設けられる。とりわけ、無線ネットワークを介して通信を行う通信システムでは、通信デバイス(無線デバイス)が電波の到達エリア内に配置されていれば無線ネットワークに接続し得るため、セキュリティを確保する観点から上記の認証システムは必須になる。 The above communication system is provided with an authentication system for authenticating a communication device connected to a wired or wireless network using PKI (Public Key Infrastructure) in order to ensure security. In particular, in a communication system that performs communication via a wireless network, if the communication device (wireless device) is disposed within a radio wave reachable area, the communication system can be connected to the wireless network. Becomes mandatory.
ここで、上記の認証システムは、信頼できる認証局(CA:Certification Authority)が発行した証明書を管理するとともに、この証明書を用いて通信デバイスの認証を行う管理装置を備える。具体的に、この管理装置は、通信デバイスから提示される証明書の正当性を、自らが管理している証明書を用いて検証した上で、通信デバイスとの間でチャレンジ・レスポンス方式によりデータ(メッセージ)の送受信を行うことによって通信デバイスの認証を行う。 Here, the authentication system includes a management apparatus that manages a certificate issued by a trusted certification authority (CA) and authenticates a communication device using the certificate. Specifically, this management apparatus verifies the validity of the certificate presented by the communication device using the certificate managed by itself, and then performs data exchange with the communication device using a challenge / response method. The communication device is authenticated by transmitting and receiving (message).
尚、通信デバイスが管理装置に対して証明書を提示する方法としては、ネットワークへの接続要求(ジョイン要求)とともに証明書を提示する方式(ピギーバック(PiggyBack)方式)と、ネットワークに対して匿名接続を行っている最中に証明書を提示する方式(匿名接続方式)とが挙げられる。以下の特許文献1には、プラントや工場等に設けられる認証システムで用いられるものではないが、従来のPKIを用いたチャレンジ・レスポンス認証方法が開示されている。 The communication device presents a certificate to the management device as a method for presenting a certificate together with a connection request (join request) to the network (PiggyBack method), and anonymity for the network. And a method of presenting a certificate during connection (anonymous connection method). The following Patent Document 1 discloses a challenge / response authentication method using a conventional PKI, which is not used in an authentication system provided in a plant or factory.
ところで、上述した認証局から通信デバイス(認証システムの管理装置によって認証を受ける通信デバイス)に付与される証明書は、一般的にセキュリティを高めるために有効期限が設定されている。このような有効期限が設定された証明書が用いられている場合には、その有効期限が経過する前に、ネットワークを介した安全な通信(セキュアな通信)によって証明書を更新する必要がある。 By the way, a certificate granted to a communication device (a communication device that is authenticated by a management apparatus of the authentication system) from the above-described certificate authority is generally set with an expiration date in order to increase security. When a certificate with such an expiration date is used, it is necessary to renew the certificate by secure communication (secure communication) via the network before the expiration date elapses. .
しかしながら、プラントや工場等で用いられるフィールド機器等の通信デバイスは、出荷された後で直ちに用いられるもの以外に、予備として長期間保管されるものもある。このような通信デバイスは、保管中に証明書の有効期限が経過してしまうと、ネットワークに接続することができなくなる。上述の通り、証明書の更新は、ネットワークを介した通信により行われるため、証明書の有効期限の経過によってネットワークに接続できなくなると、証明書の更新も行うことができなくなる。このため、従来は、ネットワークに接続される可能性のある全ての通信デバイスについて証明書の期限管理をしなければならず、極めて煩雑な手間を要するという問題があった。 However, communication devices such as field devices used in plants, factories, and the like are stored for a long period of time in addition to those used immediately after shipment. Such a communication device cannot be connected to the network if the expiration date of the certificate elapses during storage. As described above, since the certificate is updated through communication via the network, the certificate cannot be updated when the certificate cannot be connected to the network due to the expiration of the certificate expiration date. For this reason, conventionally, there has been a problem that certificate expiration management has to be performed for all communication devices that may be connected to the network, which requires extremely complicated work.
また、上述した無線通信規格ISA100.11a等に準拠した無線ネットワークは、電池を電源として間欠動作を行う無線デバイス(無線フィールド機器)や無線ルータ等によって形成されるため、省電力で低速(通信帯域が狭い)であるという特質を有する。このような特質から、上記の無線ネットワークを介して送受信されるパケットの大きさは、百バイト程度(例えば、128バイト)に制限されており、無線デバイスで測定された圧力、流量、温度等のプロセス量を示すデータは、このパケットを単位として通信されている。 In addition, a wireless network compliant with the above-described wireless communication standard ISA100.11a or the like is formed by a wireless device (wireless field device) or a wireless router that performs intermittent operation using a battery as a power source. Is narrow). Due to these characteristics, the size of a packet transmitted / received via the wireless network is limited to about 100 bytes (for example, 128 bytes), such as pressure, flow rate, temperature, etc. measured by the wireless device. Data indicating the process amount is communicated in units of this packet.
しかしながら、無線デバイスの認証に用いられる証明書は、データ量が数キロバイト程度以上であり、上記のプロセス量を示すデータに比べてデータ量が多い。このため、無線デバイスから管理装置に対して証明書を送信するためには、多くのリソースが必要になり、証明書を送信する無線デバイスと管理装置との間の通信経路上に配置された無線ルータ等の無線デバイスのリソースが多く消費されてしまう。これにより、電池の交換時期が早まる、本来のプロセス量のデータ送信に支障が生ずる可能性がある等の問題があった、 However, the certificate used for authentication of the wireless device has a data amount of about several kilobytes or more, and has a larger data amount than the data indicating the process amount. For this reason, in order to transmit the certificate from the wireless device to the management apparatus, a lot of resources are required, and the wireless device disposed on the communication path between the wireless device that transmits the certificate and the management apparatus. Many resources of wireless devices such as routers are consumed. As a result, there were problems such as the battery replacement time being advanced, and the data transmission of the original process amount may be hindered.
本発明は上記事情に鑑みてなされたものであり、通信デバイスの認証に用いられる証明書の管理を簡素化することができるとともに、証明書の送受信に要するリソースを削減することができる認証システム及び方法を提供することを目的とする The present invention has been made in view of the above circumstances, and an authentication system capable of simplifying management of a certificate used for authentication of a communication device and reducing resources required for transmitting and receiving a certificate, and Aims to provide a method
上記課題を解決するために、本発明の認証システムは、ネットワーク(N1)に接続される通信デバイス(10a〜10c)の認証を行う認証システム(1、2)において、前記通信デバイスを認証するために用いられる第1証明書(C11〜C13)を格納するデータベース(50)と、前記通信デバイスからの接続要求があった場合に、当該接続要求を行った前記通信デバイスを認証するための第1証明書を前記データベースから読み出し、当該第1証明書を用いて当該接続要求を行った前記通信デバイスの認証を行う管理装置(40)とを備えることを特徴としている。
この発明によると、通信デバイスからの接続要求があった場合に、その接続要求を行った通信デバイスを認証するための第1証明書がデータベースから読み出され、読み出された第1証明書を用いて接続要求を行った通信デバイスの認証が管理装置によって行われる。
また、本発明の認証システムは、前記データベースに格納される前記第1証明書が、前記第1証明書を検証するための第2証明書(C20)を用いて検証されたものであることを特徴としている。
また、本発明の認証システムは、前記ネットワークとは異なるネットワーク(N3)を介して前記管理装置に接続され、前記データベースに格納された情報を提供するサーバ装置(70)を備えており、前記管理装置が、前記サーバ装置から前記データベースに格納された前記第1証明書を取得することを特徴としている。
また、本発明の認証システムは、前記データベースに格納される第1証明書(C31〜C33)を発行する認証局サーバ装置(80)を備えることを特徴としている。
また、本発明の認証システムは、前記通信デバイスには、前記第1証明書が付与されており、前記管理装置が、当該接続要求を行った前記通信デバイスを認証するための前記第1証明書が前記データベースに格納されていない場合には、当該接続要求を行った前記通信デバイスに付与されている前記第1証明書を取得して、当該接続要求を行った前記通信デバイスの認証を行うことを特徴としている。
本発明の認証方法は、ネットワーク(N1)に接続される通信デバイス(10a〜10c)の認証を行う認証方法であって、前記通信デバイスからの接続要求を受信する第1ステップ(S22、S31)と、前記通信デバイスを認証するために用いられる第1証明書(C11〜C13)を格納するデータベース(50)から、前記接続要求を行った前記通信デバイスを認証するための第1証明書を読み出す第2ステップ(S23)と、前記第2ステップで読み出した前記第1証明書を用いて、前記接続要求を行った前記通信デバイスの認証を行う第3ステップ(S24)とを有することを特徴としている。
In order to solve the above problems, an authentication system of the present invention is for authenticating the communication device in an authentication system (1, 2) that authenticates communication devices (10a to 10c) connected to a network (N1). A first database (50) for storing the first certificate (C11 to C13) used for the authentication, and a first authentication for authenticating the communication device that has made the connection request when there is a connection request from the communication device. And a management device (40) that reads a certificate from the database and authenticates the communication device that has made the connection request using the first certificate.
According to the present invention, when there is a connection request from a communication device, the first certificate for authenticating the communication device that has made the connection request is read from the database, and the read first certificate is The management device authenticates the communication device that has used the connection request.
In the authentication system of the present invention, the first certificate stored in the database is verified using a second certificate (C20) for verifying the first certificate. It is a feature.
The authentication system of the present invention includes a server device (70) connected to the management device via a network (N3) different from the network and providing information stored in the database. A device is characterized in that the first certificate stored in the database is acquired from the server device.
In addition, the authentication system of the present invention includes a certificate authority server device (80) that issues first certificates (C31 to C33) stored in the database.
In the authentication system of the present invention, the first certificate is given to the communication device, and the management apparatus authenticates the communication device that has made the connection request. Is not stored in the database, the first certificate assigned to the communication device that has made the connection request is acquired, and the communication device that has made the connection request is authenticated. It is characterized by.
The authentication method of the present invention is an authentication method for authenticating the communication devices (10a to 10c) connected to the network (N1), and the first step of receiving a connection request from the communication device (S22, S31). And reading a first certificate for authenticating the communication device that has made the connection request from a database (50) storing a first certificate (C11 to C13) used for authenticating the communication device. A second step (S23); and a third step (S24) for authenticating the communication device that has made the connection request using the first certificate read in the second step. Yes.
本発明によれば、通信デバイスからの接続要求があった場合に、その接続要求を行った通信デバイスを認証するための第1証明書をデータベースから読み出し、読み出した第1証明書を用いて接続要求を行った通信デバイスの認証を行うようにしている。このため、通信デバイスを認証するための第1証明書の管理はデータベースに格納されたものを管理すれば良いため、通信デバイスの認証に用いられる証明書の管理を簡素化することができるという効果がある。また、接続要求を行った通信デバイスとの間で証明書の送受信は行われないため、証明書の送受信に要するリソースを削減することができるという効果がある。 According to the present invention, when there is a connection request from a communication device, the first certificate for authenticating the communication device that has made the connection request is read from the database, and the connection is made using the read first certificate. The communication device that made the request is authenticated. For this reason, since the management of the first certificate for authenticating the communication device only needs to manage what is stored in the database, it is possible to simplify the management of the certificate used for authentication of the communication device. There is. Further, since the certificate is not transmitted / received to / from the communication device that has made the connection request, it is possible to reduce the resources required for the certificate transmission / reception.
以下、図面を参照して本発明の実施形態による認証システム及び方法について詳細に説明する。 Hereinafter, an authentication system and method according to embodiments of the present invention will be described in detail with reference to the drawings.
〔第1実施形態〕
図1は、本発明の第1実施形態による認証システムの全体構成を示すブロック図である。図1に示す通り、本実施形態の認証システム1は、無線デバイス10a〜10c(通信デバイス)、無線ルータ20a,20b、バックボーンルータ30、システムマネージャ40(管理装置)、及び認証データベース50(データベース)を備えており、システムマネージャ40が認証データベース50を用いて無線ネットワークN1(ネットワーク)に接続される無線デバイス10a〜10cの認証を行う。尚、図1に示す無線デバイス10a〜10c及び無線ルータ20a,20bの数は任意である。
[First Embodiment]
FIG. 1 is a block diagram showing the overall configuration of an authentication system according to the first embodiment of the present invention. As shown in FIG. 1, the authentication system 1 of this embodiment includes
図1中の無線ネットワークN1は、システムマネージャ40の管理制御の下で、無線デバイス10a〜10c、無線ルータ20a,20b、及びバックボーンルータ30によって形成され、省電力で低速(通信帯域が狭い)であるという特質を有する無線のネットワークである。また、バックボーンルータ30及びシステムマネージャ40が接続されるバックボーンネットワークN2は、広帯域であるという特質を有する認証システム1の基幹となる有線又は無線のネットワークである。
The wireless network N1 in FIG. 1 is formed by the
無線デバイス10a〜10cは、例えば流量計や温度センサ等のセンサ機器、流量制御弁や開閉弁等のバルブ機器、ファンやモータ等のアクチュエータ機器等のプラントや工場に設置される無線フィールド機器である。これら無線デバイス10a〜10cは、電池を電源として間欠動作を行い、インダストリアル・オートメーション用無線通信規格であるISA100.11aに準拠した無線通信を行う。
The
ここで、無線デバイス10a〜10cは、システムマネージャ40によって認証されなければ正規に無線ネットワークN1に接続することができない。このため、これら無線デバイス10a〜10cには、自身が正規の無線デバイスであることを示す証明書C11〜C13(図2参照)がそれぞれ予め用意されている。但し、詳細は後述するが、証明書C11〜C13は、認証データベース50に格納されるため、必ずしも無線デバイス10a〜10cに保持されている必要は無い。
Here, the
無線ルータ20a,20bは、無線デバイス10a〜10c及びバックボーンルータ30との間で無線通信規格ISA100.11aに準拠した無線通信を行い、無線デバイス10a〜10cとバックボーンルータ30との間で送受信されるデータを中継する。これら無線ルータ20a,20bも、無線デバイス10a〜10cと同様に、電池を電源として間欠動作を行う。上記の無線デバイス10a〜10c、無線ルータ20a,20b、及びバックボーンルータ30が互いに無線接続されることにより、スター・メッシュ状の無線ネットワークN1が形成される。尚、無線ルータ20a,20bに代えて、無線ルータ20a,20bの機能(中継機能)を備える無線デバイスが設けられていても良い。
The
バックボーンルータ30は、無線ネットワークN1とバックボーンネットワークN2とを接続し、無線デバイス10a〜10c等とシステムマネージャ40との間で送受信される各種データの中継を行う。このバックボーンルータ30は、例えばバックボーンネットワークN2から供給される直流電力、或いはバックボーンネットワークN2とは別の経路を介して供給される直流電力により連続して動作し、上記の無線通信規格ISA100.11aに準拠した無線通信を行う。
The
システムマネージャ40は、例えば商用電源から供給される電力により連続して動作し、認証システム1を統括して管理制御する。例えば、システムマネージャ40は、無線ネットワークN1を介して行われる無線通信の制御を行う。具体的には、無線デバイス10a〜10c、無線ルータ20a,20b、及びバックボーンルータ30に対する無線通信リソース(タイムスロット及び通信チャネル)の割り当て制御を行って、無線ネットワークN1を介したTDMA(Time Division Multiple Access:時分割多元接続)による無線通信を実現する。
The
また、システムマネージャ40は、認証データベース50に格納された証明書C11〜C13及び証明書C20(図2参照)を用いて無線ネットワークN1に接続される無線デバイス10a〜10cの認証を行う。具体的に、システムマネージャ40は、無線デバイス10a〜10cからの接続要求があった場合に、認証データベース50に格納された証明書C11〜C13(図2参照)を、証明書C20(図2参照)を用いて検証した上で、チャレンジ・レスポンス方式により接続要求を行った無線デバイス10a〜10cの認証を行う。
In addition, the
認証データベース50は、無線デバイス10a〜10cの認証を行うために必要な情報が格納されるデータベースである。具体的に、認証データベース50には、無線デバイス10a〜10cについての証明書C11〜C13(第1証明書:図2参照)と、信頼できる認証局によって発行された証明書であって、証明書C11〜C13を検証するために用いられる証明書C20(第2証明書:図2参照)とが格納される。尚、無線デバイス10a〜10cについての証明書C11〜C13は、無線デバイス10a〜10cを一意に特定する識別子(例えば、EUI64アドレス)に対応付けられて認証データデース50に格納される。
The
ここで、無線デバイス10a〜10cについての証明書C11〜C13は、本来であれば無線デバイス10a〜10cにそれぞれ保持されるものであるが、本実施形態では、認証データベース50に格納することとしている。これは、無線デバイス10a〜10cについての証明書の管理を簡素化するとともに、無線ネットワークN1を介した証明書C11〜C13の送受信を無くすことによって、証明書C11〜C13の送受信のために必要となるリソースを削減するためである。
Here, the certificates C11 to C13 for the
図2は、本発明の第1実施形態で用いられるPKI(Public Key Infrastructure:公開鍵基盤)を説明するための図である。図2に示す通り、無線デバイス10a〜10cについての証明書C11〜C13、及びこれら証明書C11〜C13を検証するために用いられる証明書C20は、システムマネージャ40が信頼できる認証局60(例えば、公的な認証局)によって発行されたものである。この認証局60によって発行された証明書C11〜C13及び証明書C20は、認証データベース50に格納される。尚、無線デバイス10a〜10cについての証明書C11〜C13は、認証データベース50に格納されるとともに、無線デバイス10a〜10cにそれぞれ保持されていても良い。
FIG. 2 is a diagram for explaining a PKI (Public Key Infrastructure) used in the first embodiment of the present invention. As shown in FIG. 2, the certificates C11 to C13 for the
ここで、図2では図示を省略しているが、証明書C11〜C13及び証明書C20にはそれぞれ異なる公開鍵が含まれている。証明書C11〜C13に含まれている公開鍵に対応する秘密鍵は、無線デバイス10a〜10cにそれぞれ保持されている。証明書C20に含まれている公開鍵に対応する秘密鍵は、認証局60に保持されて厳重に管理されている。
Here, although not shown in FIG. 2, the certificates C11 to C13 and the certificate C20 include different public keys. Private keys corresponding to the public keys included in the certificates C11 to C13 are held in the
無線ネットワークN1に対する接続要求が無線デバイス10aからあった場合には、図2に示す通り、認証データベース50に格納された証明書C11と証明書20とを用いた無線デバイス10aの認証がシステムマネージャ40によって行われる。尚、無線ネットワークN1に対する接続要求が無線デバイス10bからあった場合には、認証データベース50に格納された証明書C12と証明書20とを用いて無線デバイス10bの認証が行われ、同接続要求が無線デバイス10cからあった場合には、認証データベース50に格納された証明書C13と証明書20とを用いて無線デバイス10cの認証が行われる。
When a connection request for the wireless network N1 is received from the
次に、認証局60によって発行される証明書C11〜C13及び証明書C20の組み込み方法について説明する。図3は、本発明の第1実施形態における証明書の組み込み方法の一例を示す図である。プラントや工場で実現される無線ネットワークN1は、インターネット等の一般的なネットワークとは異なり、無線ネットワークN1を構成する機器(無線デバイス10a〜10c、無線ルータ20a,20b、及びバックボーンルータ30)の設置場所、数、種類等が綿密に計画されて設計されるネットワークである。このため、無線ネットワークN1の設計が終了した段階で、無線ネットワークN1に接続させる必要のある無線デバイスが確定し、その認証に必要となる証明書も確定する。
Next, a method for incorporating the certificates C11 to C13 and the certificate C20 issued by the
無線ネットワークN1の設計が終了すると、無線デバイスのベンダVは、認証局60に対し、無線ネットワークN1に接続させる必要のある無線デバイス10a〜10cについての証明書C11〜C13及び証明書C20の発行を要求する。認証局60から発行された証明書C11〜C13及び証明書C20を取得すると、ベンダVは、証明書C11〜C13を無線デバイス10a〜10cにそれぞれ組み込むとともに、証明書C11〜C13及び証明書C20をCD−ROM又はDVD(登録商標)−ROM等のコンピュータ読み取り可能な記録媒体Mにコピーする。そして、ベンダVは、証明書の組み込みを終えた無線デバイス(図3に示す例では、無線デバイス10a)並びに証明書C11〜C13及び証明書C20が記録された記録媒体Mを、ユーザU(例えば、プラントや工場で認証システム1の運用を行っている者)に発送する。
When the design of the wireless network N1 is completed, the vendor V of the wireless device issues a certificate C11 to C13 and a certificate C20 for the
ユーザUは、ベンダVから発送されてきた無線デバイス10aを、設計段階で規定された位置に設置し、ベンダVから発送されてきた記録媒体Mに記録された証明書C11〜C13及び証明書C20をシステムマネージャ40に組み込む。尚、システムマネージャ40に組み込まれた証明書C11〜C13は、無線デバイス10a〜10cを一意に特定する識別子に対応付けられて認証データデース50に格納され、システムマネージャ40に組み込まれた証明書C20は、単独で認証データデース50に格納される。このようにして、認証データベース50に対する証明書C11〜C13及び証明書C20の組み込みが行われる。
The user U installs the
ここで、ユーザUが無線ネットワークN1のネットワーク設計書NDを参照してベンダVに依頼すれば、無線ネットワークN1に接続させようとしている無線デバイスの証明書であって、認証データベース50に格納されていないものを取得することが可能である。また、ユーザUがベンダVに依頼して新たな有効期限が設定された証明書C11〜C13或いは証明書C20を取得すれば、認証データベース50に格納された証明書C11〜C13或いは証明書C20を更新することも可能である。尚、証明書C11〜C13及び証明書C20は、公開しても良いものであるため、ユーザUがベンダVから記録媒体Mを入手する経路は適宜選択することができる。
Here, if the user U refers to the network design document ND of the wireless network N1 and requests the vendor V, the certificate of the wireless device to be connected to the wireless network N1 is stored in the
次に、上記構成における認証システム1の動作について説明する。尚、以下では、無線ネットワークN1に接続させようとしている無線デバイスが無線デバイス10aであるものとし、この無線デバイス10aの認証を行う場合の動作を例に挙げて説明する。ここで、認証システム1の動作は、ピギーバック(PiggyBack)方式に準じた方法で証明書が提示される際の動作(第1動作)と、匿名接続法によって証明書が提示される際の動作(第2動作)とに大別される。以下では、これら第1,第2動作について順に説明する。
Next, operation | movement of the authentication system 1 in the said structure is demonstrated. In the following description, it is assumed that the wireless device to be connected to the wireless network N1 is the
〈第1動作〉
図4は、本発明の第1実施形態による認証システムの第1動作を示すフローチャートであり、図5は、同認証システムの第1動作を示すタイミングチャートである。図4,図5に示す通り、まず無線デバイス10aを認証するために用いられる証明書を準備するオフライン時の動作が行われ(ステップS10)、次にオフライン時に準備された証明書を用いて無線デバイス10aの認証を行うオンライン時の動作が行われる(ステップS20)。
<First operation>
FIG. 4 is a flowchart showing a first operation of the authentication system according to the first embodiment of the present invention, and FIG. 5 is a timing chart showing a first operation of the authentication system. As shown in FIG. 4 and FIG. 5, first, an offline operation for preparing a certificate used for authenticating the
オフライン時の動作が開始されると、まず認証局60が発行した証明書C20を取得して認証データベース50に格納する処理がシステムマネージャ40で行われる(ステップS11)。例えば、図3を用いて説明した記録媒体M(ベンダVから発送された記録媒体M)に記録された証明書C20をシステムマネージャ40が読み出して、認証データベース50に格納する処理が行われる。
When the offline operation is started, the
次に、認証局60が発行した証明書C11〜C13を取得し、これら証明書C11〜C13の正当性を、証明書C20を用いて検証する処理がシステムマネージャ40で行われる(ステップS12)。例えば、図3を用いて説明した記録媒体M(ベンダVから発送された記録媒体M)に記録された証明書C11〜C13を読み出すとともに、ステップS11の処理で認証データベース50に格納した証明書C20を読み出し、証明書C11〜C13の正当性を、証明書C20を用いて検証する処理がシステムマネージャ40で行われる。
Next, the
次いで、証明書C11〜C13が正当であるか否かがシステムマネージャ40で判断される(ステップS13)。仮に、証明書C11〜C13が不当なものであるとシステムマネージャ40が判断した場合(判断結果が「NO」の場合)には、図4に示す一連の処理は終了する。これに対し、証明書C11〜C13が正当なものであるとシステムマネージャ40が判断した場合(判断結果が「YES」の場合)には、無線デバイス10a〜10cを一意に特定する識別子に対応付けて証明書C11〜C13を認証データベース50に格納する処理が行われる(ステップS14)。以上の処理が終了すると、オフライン時の動作が終了し、オンライン時の動作が開始される。
Next, the
オンライン時の動作が開始されると、システムマネージャ40は、無線ネットワークN1を介した接続要求の受信待ち状態になる(ステップS21)。かかる状態のときに、無線ネットワークN1に対する接続要求が無線デバイス10aから送信されたとすると、この接続要求はシステムマネージャ40で受信される(ステップS22:第1ステップ)。ここで、本来のピギーバック法であれば、接続要求とともに無線デバイス10aについての証明書が無線デバイス10aからシステムマネージャ40に送信されるが、本実施形態では証明書は送付されずに接続要求のみが送信される。このため、システムマネージャ22では、無線デバイス10aの接続要求のみが受信される。
When the online operation is started, the
無線デバイス10aからの接続要求を受信すると、システムマネージャ40は、無線デバイス10aの識別子に対応付けられている証明書C11を認証データベース50から読み出す(ステップS23:第2ステップ)。尚、認証データベース50を検索する際に用いられる無線デバイス10aの識別子は、接続要求に付随して無線デバイス10aから送信されたものである。
When receiving the connection request from the
無線デバイス10aについての証明書C11を読み出すと、システムマネージャ40は、チャレンジ・レスポンス方式により無線デバイス10aとの間でデータ(メッセージ)の送受信を行って無線デバイス10aの認証を行う(ステップS24:第3ステップ)。具体的には、まず、システムマネージャ40が、ステップS23で認証データベース50から読み出した証明書C11に含まれる公開鍵を用いて特殊なメッセージを暗号化し、この暗号化したメッセージを、無線ネットワークN1を介して無線デバイス10aに対して送信する(チャレンジ)。
When the certificate C11 for the
システムマネージャ40から送信されてきたメッセージを受信すると、無線デバイス10aは、自身が保持している秘密鍵を用いてメッセージを復号する。尚、システムマネージャ40からのメッセージは、無線デバイス10aについての証明書C11に含まれる公開鍵を用いて暗号化されているため、無線デバイス10aに保持されている秘密鍵のみで復号することができる。
When receiving the message transmitted from the
システムマネージャ40からのメッセージを復号すると、無線デバイス10aは、復号したメッセージをセキュアな方法でシステムマネージャ40に提示する(レスポンス)。例えば、無線デバイス10aは、システムマネージャ40の公開鍵を用いてメッセージ(復号したメッセージ)を暗号化し、暗号化したメッセージをシステムマネージャ40に向けて送信する。
When the message from the
尚、無線デバイス10aからシステムマネージャ40に送信されたメッセージは、システムマネージャ40に保持されて管理されている秘密鍵のみで復号することができるため、無線デバイス10aは、復号したメッセージをセキュアな方法でシステムマネージャ40に提示することができる。或いは、無線デバイス10aが、復号したメッセージの一部を対象鍵とみなし、その鍵によって、復号したメッセージ又はメッセージの一部を暗号処理することで、セキュアな方法でシステムマネージャ40に提示することができる。
Note that since the message transmitted from the
無線デバイス10aから提示されたメッセージを受信すると、システムマネージャ40は、無線デバイス10aに送信したメッセージの内容から無線デバイス10aの認証に成功したか否かを判断する(ステップS25)。具体的には、無線デバイス10aに送信したメッセージと無線デバイス10aから提示されたメッセージとが事前に定義された一定の検証ルールに従って一致するか否かによって、無線デバイス10aの認証に成功したか否かを判断する。
When receiving the message presented from the
認証に成功したと判断した場合(ステップS25の判断結果が「YES」の場合)には、システムマネージャ40は、無線デバイス10aからの接続要求を受け入れ、認証に成功した旨を示す認証結果を無線デバイス10aに通知する(ステップS26)。以上の処理によって、無線デバイス10aは、正規に無線ネットワークN1に接続され、システムマネージャ40の管理の下で無線ネットワークN1を介した通信が可能になる。
When it is determined that the authentication has succeeded (when the determination result in step S25 is “YES”), the
これに対し、認証に失敗したと判断した場合(ステップS25の判断結果が「NO」の場合)には、システムマネージャ40は、無線デバイス10aからの接続要求を拒否し、認証に失敗した旨を示す認証結果を無線デバイス10aに通知する(ステップS27)。以上の処理によって、無線デバイス10aの無線ネットワークN1に対する接続要求は拒否されるため、無線デバイス10aは、無線ネットワークN1に接続されず、無線ネットワークN1を介した通信を行うことができない。
On the other hand, when it is determined that the authentication has failed (when the determination result of step S25 is “NO”), the
〈第2動作〉
図6は、本発明の第1実施形態による認証システムの第2動作を示すフローチャートであり、図7は、同認証システムの第2動作を示すタイミングチャートである。尚、図6,図7においては、図4,図5に示した処理と同様の処理が行われるステップには同一の符号を付してある。図6,図7に示す通り、本動作においても、最初にオフライン時の動作が行われ(ステップS10)、続いてオンライン時の動作が行われる(ステップS20)。但し、本動作におけるオフライン時の動作は第1動作におけるオフライン時の動作と同様であるため、以下ではオフライン時の動作の説明を省略し、オンライン時の動作についてのみ説明する。
<Second operation>
FIG. 6 is a flowchart showing the second operation of the authentication system according to the first embodiment of the present invention, and FIG. 7 is a timing chart showing the second operation of the authentication system. 6 and 7, the same reference numerals are given to steps in which the same processes as those shown in FIGS. 4 and 5 are performed. As shown in FIGS. 6 and 7, also in this operation, the offline operation is first performed (step S10), and then the online operation is performed (step S20). However, since the offline operation in this operation is the same as the offline operation in the first operation, description of the offline operation will be omitted and only the online operation will be described below.
オンライン時の動作が開始されると、システムマネージャ40は、無線ネットワークN1を介した接続要求の受信待ち状態になる(ステップS21)。かかる状態のときに、無線ネットワークN1に対する匿名接続要求が無線デバイス10aから送信されたとすると、この匿名接続要求はシステムマネージャ40で受信されて受け入れられ、無線デバイス10aとシステムマネージャ40との間で匿名接続が確立される(ステップS31:第1ステップ)。尚、ここでは、従来の匿名接続法と同様に、無線デバイス10aからシステムマネージャ40に対する証明書の送付は行われない。
When the online operation is started, the
無線デバイス10aとの間の匿名接続が確立されると、システムマネージャ40は、無線デバイス10aの識別子に対応付けられている証明書C11を認証データベース50から読み出す(ステップS23)。尚、認証データベース50を検索する際に用いられる無線デバイス10aの識別子は、匿名接続要求に付随して無線デバイス10aから送信されたものである。
When the anonymous connection with the
無線デバイス10aについての証明書C11を読み出すと、システムマネージャ40は、チャレンジ・レスポンス方式により無線デバイス10aとの間でデータ(メッセージ)の送受信を行って無線デバイス10aの認証を行う(ステップS24)。尚、チャレンジ・レスポンス方式による無線デバイス10aの認証は、第1動作と同様の処理により行われるため、ここでの詳細な説明は省略する。
When the certificate C11 for the
次いで、システムマネージャ40は、無線デバイス10aの認証に成功したか否かを判断する(ステップS25)。認証に成功したと判断した場合(判断結果が「YES」の場合)には、システムマネージャ40は、無線デバイス10aとの間で確立されている匿名接続を正規な接続に切り替える処理を行う(ステップS32)。以上の処理によって、無線デバイス10aは、正規に無線ネットワークN1に接続され、システムマネージャ40の管理の下で無線ネットワークN1を介した通信が可能になる。
Next, the
これに対し、認証に失敗したと判断した場合(ステップS25の判断結果が「NO」の場合)には、システムマネージャ40は、無線デバイス10aとの間の匿名接続を切断する処理を行う(ステップS33)。以上の処理によって、無線デバイス10aは無線ネットワークN1から切り離されるため、無線ネットワークN1を介した通信を行うことができなくなる。
On the other hand, when it is determined that the authentication has failed (when the determination result of step S25 is “NO”), the
以上説明した通り、本実施形態では、無線デバイス10a〜10cについての証明書C11〜C13(証明書C20を用いて検証されたもの)を格納する認証データベース50を設けるようにしている。そして、無線デバイス10aからの接続要求又は匿名接続要求があった場合には、システムマネージャ40が、無線デバイス10aについての証明書C11を認証データベース50から読み出して無線デバイス10aの認証を行うようにしている。
As described above, in this embodiment, the
これにより、無線デバイス10a〜10cについての証明書C11〜C13の管理は、認証データベース50に格納されたものについて行えば良く、無線デバイス10a〜10cに保持されるものについては行う必要がなくなるため、証明書C11〜C13の管理を簡素化することができる。また、前述した第1,第2動作の何れの動作が行われる場合であっても、無線ネットワークN1を介して証明書C11〜C13が送受信されることが無くなるため、証明書C11〜C13の送受信に要するリソースを削減することができる。
Thereby, the management of the certificates C11 to C13 for the
〔第2実施形態〕
図8は、本発明の第2実施形態による認証システムの全体構成を示すブロック図である。尚、図8においては、図1に示した構成と同様の構成については同一の符号を付してある。図8に示す通り、本実施形態の認証システム2は、認証データベース50に格納されている証明書を提供する認証サーバ70(サーバ装置)を設け、システムマネージャ40と認証サーバ70とをLAN(Local Area Network)等のネットワークN3で接続した構成である。
[Second Embodiment]
FIG. 8 is a block diagram showing the overall configuration of the authentication system according to the second embodiment of the present invention. In FIG. 8, the same components as those shown in FIG. 1 are denoted by the same reference numerals. As shown in FIG. 8, the authentication system 2 of this embodiment includes an authentication server 70 (server device) that provides a certificate stored in the
前述した第1実施形態の認証システム1では、システムマネージャ40が認証データベース50に直接接続されており、システムマネージャ40が、認証データベース50からの証明書C11〜C13の読み出しを行っていた。これに対し、本実施形態の認証システム2では、システムマネージャ40が、認証サーバ70に対して証明書C11〜C13の読み出し要求を行えば、要求に応じた証明書C11〜C13が認証サーバ70によって提供される。尚、システムマネージャ40が、証明書C11〜C13の読み出し要求を行う場合には、無線デバイス10a〜10cを一意に特定する識別子を認証サーバ70に提供する必要がある。
In the authentication system 1 of the first embodiment described above, the
以上の通り、本実施形態では、認証データベース50に格納されている証明書を提供する認証サーバ70を設けているため、システムマネージャ40の負荷を低減することができる。尚、図8では、1つの認証サーバ70がネットワークN3を介してシステムマネージャ40に接続されている構成を例示しているが、複数の認証サーバ70がネットワークN3を介してシステムマネージャ40に接続されている構成であっても良い。また、認証サーバ70は、バックボーンネットワークN2を介してシステムマネージャ40に接続されていても良い。
As described above, in this embodiment, since the
〔第3実施形態〕
次に、本発明の第3実施形態について説明する。前述した第1,第2実施形態では、システムマネージャ40が信頼できる認証局60(例えば、公的な認証局)が発行した証明書C11〜C13及び証明書C20を用いて無線デバイス10a〜10cの認証を行っていた。これに対し、本実施形態では、ユーザUが独自に構築した認証局が発行した証明書を用いて無線デバイス10a〜10cの認証を行うものである。
[Third Embodiment]
Next, a third embodiment of the present invention will be described. In the first and second embodiments described above, the
図9は、本発明の第3実施形態で用いられるPKIを説明するための図である。図9に示す通り、本実施形態では、ユーザUが独自に構築した認証局である認証局サーバ装置00が設けられている。この認証局サーバ装置80は、無線デバイス10a〜10cの認証を行うために用いられる証明書C31〜C33(第1証明書)を発行する。尚、認証局サーバ装置80は、例えば図8に示す認証システム2に設けられているネットワークN3に接続されていても良いが、セキュリティを向上させるために認証システム2とは分離されていても良い。
FIG. 9 is a diagram for explaining the PKI used in the third embodiment of the present invention. As shown in FIG. 9, in the present embodiment, a certificate authority server device 00 that is a certificate authority uniquely constructed by the user U is provided. The certificate
認証局サーバ装置80が新たに発行した証明書C31〜C33を認証データベース50に格納すれば、システムマネージャ40によって証明書C31〜C33を用いた無線デバイス10a〜10cの認証が行われる。しかしながら、無線デバイス10a〜10cに格納された秘密鍵を更新することは容易ではない。
If the certificates C31 to C33 newly issued by the certificate
そこで、図9に示す通り、システムマネージャ40が認証データベース50から、例えば無線デバイス10aに対応した証明書C11を取り出し、そこに含まれる公開鍵を提示して認証局サーバ装置80に署名要求を行う。このような認証局サーバ装置80を設ければ、ユーザUが独自に構築した認証局を用いて、これまでに述べたようなPKIを用いた無線デバイスの認証が可能となる。また、こうして生成した証明書C31を無線デバイス10aにシステムマネージャ40を介して組み込んでも良い。尚、無線デバイス10a〜10cが、秘密鍵を設定するインターフェイスを提供している場合、図3のベンダVが行ったように認証局サーバ装置80が秘密鍵とペアになる公開鍵を含む証明書を生成し、システムマネージャ40を介して、それらを組み込んでも良い。
Therefore, as shown in FIG. 9, the
〔第4実施形態〕
次に、本発明の第4実施形態について説明する。前述した第1,第2実施形態では、システムマネージャ40が認証データベース50に格納された証明書C11〜C13を用いて無線デバイス10a〜10cの認証を行っていた。本実施形態では、無線デバイス10a〜10cの認証を行うための証明書C11〜C13が認証データベース50に格納されていない場合にも、無線デバイス10a〜10cに保持されている証明書C11〜C13を取得することにより、無線デバイス10a〜10cの認証を可能とするものである(フォールバック)。
[Fourth Embodiment]
Next, a fourth embodiment of the present invention will be described. In the first and second embodiments described above, the
このため、本実施形態では、有効期限が経過していない証明書C11〜C13が無線デバイス10a〜10cに保持されていることが前提となる。尚、本実施形態による認証システムの全体構成は、図1に示す第1実施形態による認証システム1或いは図8に示す第2実施形態による認証システム2と同様である。
For this reason, in the present embodiment, it is assumed that the certificates C11 to C13 whose expiration dates have not expired are held in the
図10は、本発明の第4実施形態による認証システムの動作を示すフローチャートである。この図10に示すフローチャートは、図6に示すフローチャートと同様に、匿名接続法によって証明書が提示される際の動作(第2動作)を示すものである。尚、図10においては、オフライン時の動作(ステップS10)を省略し、オンライン時の動作(ステップS20)のみを図示している。また、尚、図10においては、図6に示した処理と同様の処理が行われるステップには同一の符号を付してある。 FIG. 10 is a flowchart showing the operation of the authentication system according to the fourth embodiment of the present invention. The flowchart shown in FIG. 10 shows the operation (second operation) when a certificate is presented by the anonymous connection method, similarly to the flowchart shown in FIG. In FIG. 10, the offline operation (step S10) is omitted, and only the online operation (step S20) is shown. In FIG. 10, the same reference numerals are given to steps in which the same processing as the processing shown in FIG. 6 is performed.
オンライン時の動作が開始されると、システムマネージャ40は、第1実施形態における第2動作と同様に、無線ネットワークN1を介した接続要求の受信待ち状態になる(ステップS21)。かかる状態のときに、無線ネットワークN1に対する匿名接続要求が無線デバイス10aから送信されたとすると、この匿名接続要求はシステムマネージャ40で受信されて受け入れられ、無線デバイス10aとシステムマネージャ40との間で匿名接続が確立される(ステップS31)。尚、ここでは、従来の匿名接続法と同様に、無線デバイス10aからシステムマネージャ40に対する証明書の送付は行われない。
When the online operation is started, the
無線デバイス10aとの間の匿名接続が確立されると、システムマネージャ40は、無線デバイス10aの識別子に対応付けられている証明書C11を認証データベース50から読み出す(ステップS23)。尚、認証データベース50を検索する際に用いられる無線デバイス10aの識別子は、匿名接続要求に付随して無線デバイス10aから送信されたものである。
When the anonymous connection with the
次に、システムマネージャ40は、認証データベース50からの証明書C11の読み出しに成功したか否かを判断する(ステップS41)。証明書C11の読み出しに成功したと判断した場合(判断結果が「YES」の場合)には、システムマネージャ40は、第1実施形態と同様に、チャレンジ・レスポンス方式により無線デバイス10aの認証を行う(ステップS24)。
Next, the
これに対し、証明書C11の読み出しに失敗したと判断した場合(判断結果が「NO」の場合)には、システムマネージャ40は、無線デバイス10aに対して証明書C11の送信要求を行い、無線デバイス10aから証明書C11を取得する(ステップS42)。そして、無線デバイス10aから取得した証明書C11に含まれる公開鍵を用いて、チャレンジ・レスポンス方式により無線デバイス10aの認証を行う(ステップS24)。
On the other hand, when it is determined that the reading of the certificate C11 has failed (when the determination result is “NO”), the
尚、無線デバイス10aの認証に成功した場合には、第1実施形態と同様に、無線デバイス10aとの間で確立されている匿名接続を正規な接続に切り替える処理がシステムマネージャ40によって行われる(ステップS32)。また、無線デバイス10aの認証に失敗した場合には、第1実施形態と同様に、無線デバイス10aとの間の匿名接続を切断する処理がシステムマネージャ40によって行われる(ステップS33)。
If the authentication of the
以上説明した通り、本実施形態では、無線デバイス10a〜10cについての証明書C11〜C13が認証データベース50に格納されていない場合には、無線デバイス10a〜10cに保持された証明書C11〜C13を取得して無線デバイス10a〜10cの認証を行うようにしている。このため、例えば認証データベース50に障害が生じた場合であっても、従来と同じ方法で無線デバイス10a〜10cを無線ネットワークN1に接続させることができる。
As described above, in the present embodiment, when the certificates C11 to C13 for the
以上、本発明の実施形態による認証システム及び方法について説明したが、本発明は上述した実施形態に制限されることなく、本発明の範囲内で自由に変更が可能である。例えば、上記実施形態では、オフライン時(図4,図6中のステップS10)において、無線デバイス10a〜10cの認証に用いられる証明書C11〜C13を、証明書C20を用いて予め検証し、検証されたもののみを認証データベース50に格納するようにしていた。しかしながら、オフライン時における証明書C11〜C13の検証(証明書C20を用いた検証)は行わず、オンライン時に無線デバイス10a〜10cからの接続要求又は匿名接続要求があったときに上記の検証を行うようにしても良い。
The authentication system and method according to the embodiment of the present invention have been described above, but the present invention is not limited to the above-described embodiment, and can be freely changed within the scope of the present invention. For example, in the above embodiment, when offline (step S10 in FIGS. 4 and 6), the certificates C11 to C13 used for authentication of the
また、上記実施形態では、バックボーンルータ30とシステムマネージャ40とが別々に設けられている態様について説明したが、本発明は、バックボーンルータ30とシステムマネージャ40とが一体化されている態様であっても良い。かかる態様の場合には、バックボーンネットワークN2を省略することができる。また、上記実施形態では、無線ネットワークN1に接続される無線デバイス10a〜10cを認証する例について説明したが、本発明は有線のネットワークに接続される通信デバイスの認証にも適用することができる。
In the above embodiment, the aspect in which the
1,2 認証システム
10a〜10c 無線デバイス
40 システムマネージャ
50 認証データベース
70 認証サーバ
80 認証局サーバ装置
C11〜C13 証明書
C20 証明書
C31〜C33 証明書
N1 無線ネットワーク
N3 ネットワーク
DESCRIPTION OF SYMBOLS 1, 2
Claims (6)
前記通信デバイスを認証するために用いられる第1証明書を格納するデータベースと、
前記通信デバイスからの接続要求があった場合に、当該接続要求を行った前記通信デバイスを認証するための第1証明書を前記データベースから読み出し、当該第1証明書を用いて当該接続要求を行った前記通信デバイスの認証を行う管理装置と
を備えることを特徴とする認証システム。 In an authentication system that authenticates communication devices connected to a network,
A database that stores a first certificate used to authenticate the communication device;
When there is a connection request from the communication device, a first certificate for authenticating the communication device that has made the connection request is read from the database, and the connection request is made using the first certificate. And a management device that authenticates the communication device.
前記管理装置は、前記サーバ装置から前記データベースに格納された前記第1証明書を取得する
ことを特徴とする請求項1又は請求項2記載の認証システム。 A server device connected to the management device via a network different from the network and providing information stored in the database;
The authentication system according to claim 1, wherein the management device acquires the first certificate stored in the database from the server device.
前記管理装置は、当該接続要求を行った前記通信デバイスを認証するための前記第1証明書が前記データベースに格納されていない場合には、当該接続要求を行った前記通信デバイスに付与されている前記第1証明書を取得して、当該接続要求を行った前記通信デバイスの認証を行う
ことを特徴とする請求項1から請求項4の何れか一項に記載の認証システム。 The communication device is provided with the first certificate,
If the first certificate for authenticating the communication device that has made the connection request is not stored in the database, the management apparatus is assigned to the communication device that has made the connection request The authentication system according to any one of claims 1 to 4, wherein the first certificate is acquired, and the communication device that has made the connection request is authenticated.
前記通信デバイスからの接続要求を受信する第1ステップと、
前記通信デバイスを認証するために用いられる第1証明書を格納するデータベースから、前記接続要求を行った前記通信デバイスを認証するための第1証明書を読み出す第2ステップと、
前記第2ステップで読み出した前記第1証明書を用いて、前記接続要求を行った前記通信デバイスの認証を行う第3ステップと
を有することを特徴とする認証方法。 An authentication method for authenticating a communication device connected to a network,
A first step of receiving a connection request from the communication device;
A second step of reading a first certificate for authenticating the communication device that has made the connection request from a database that stores a first certificate used for authenticating the communication device;
And a third step of authenticating the communication device that made the connection request using the first certificate read in the second step.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012182297A JP2014042095A (en) | 2012-08-21 | 2012-08-21 | Authentication system and method |
PCT/JP2013/072285 WO2014030669A1 (en) | 2012-08-21 | 2013-08-21 | Authentication system, management device, and authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012182297A JP2014042095A (en) | 2012-08-21 | 2012-08-21 | Authentication system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014042095A true JP2014042095A (en) | 2014-03-06 |
Family
ID=50149975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012182297A Withdrawn JP2014042095A (en) | 2012-08-21 | 2012-08-21 | Authentication system and method |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2014042095A (en) |
WO (1) | WO2014030669A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019176441A (en) * | 2018-03-29 | 2019-10-10 | セコム株式会社 | Electric lock |
JP2021090138A (en) * | 2019-12-04 | 2021-06-10 | 日立Geニュークリア・エナジー株式会社 | Wireless communication control system and wireless communication control method |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106412901B (en) * | 2016-10-28 | 2020-02-04 | 上海斐讯数据通信技术有限公司 | Anti-network-rubbing wireless routing method and routing system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002501708A (en) * | 1997-05-30 | 2002-01-15 | 3コム コーポレイション | Method and apparatus for providing security in a star network connection using public key cryptography |
JP2002208960A (en) * | 2001-01-11 | 2002-07-26 | Fuji Xerox Co Ltd | Electronic mail device |
JP2004259281A (en) * | 2003-02-25 | 2004-09-16 | Microsoft Corp | Enrolling/sub-enrolling of digital right management (drm) server into drm architecture |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
US5774552A (en) * | 1995-12-13 | 1998-06-30 | Ncr Corporation | Method and apparatus for retrieving X.509 certificates from an X.500 directory |
US5908469A (en) * | 1997-02-14 | 1999-06-01 | International Business Machines Corporation | Generic user authentication for network computers |
JP2006059223A (en) * | 2004-08-23 | 2006-03-02 | Bank Of Tokyo-Mitsubishi Ltd | Information communication mediation device, and control method and program for information communication mediation device |
-
2012
- 2012-08-21 JP JP2012182297A patent/JP2014042095A/en not_active Withdrawn
-
2013
- 2013-08-21 WO PCT/JP2013/072285 patent/WO2014030669A1/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002501708A (en) * | 1997-05-30 | 2002-01-15 | 3コム コーポレイション | Method and apparatus for providing security in a star network connection using public key cryptography |
JP2002208960A (en) * | 2001-01-11 | 2002-07-26 | Fuji Xerox Co Ltd | Electronic mail device |
JP2004259281A (en) * | 2003-02-25 | 2004-09-16 | Microsoft Corp | Enrolling/sub-enrolling of digital right management (drm) server into drm architecture |
Non-Patent Citations (2)
Title |
---|
CSNB200300077001; 塚田孝則: 企業システムのためのPKI , 20011225, p.387-391, 日経BP社 * |
JPN6014032724; 塚田孝則: 企業システムのためのPKI , 20011225, p.387-391, 日経BP社 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019176441A (en) * | 2018-03-29 | 2019-10-10 | セコム株式会社 | Electric lock |
JP7001524B2 (en) | 2018-03-29 | 2022-01-19 | セコム株式会社 | Electric lock |
JP2021090138A (en) * | 2019-12-04 | 2021-06-10 | 日立Geニュークリア・エナジー株式会社 | Wireless communication control system and wireless communication control method |
JP7274400B2 (en) | 2019-12-04 | 2023-05-16 | 日立Geニュークリア・エナジー株式会社 | Wireless communication control system and wireless communication control method |
Also Published As
Publication number | Publication date |
---|---|
WO2014030669A1 (en) | 2014-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10951400B2 (en) | Authentication method, authentication system, and controller | |
CN107784223B (en) | Computer arrangement for transmitting a certificate to an instrument in a device | |
US8892869B2 (en) | Network device authentication | |
CN107659406B (en) | Resource operation method and device | |
US20170111357A1 (en) | Authentication method and authentication system | |
EP3425842B1 (en) | Communication system and communication method for certificate generation | |
KR101765917B1 (en) | Method for authenticating personal network entity | |
US20140281497A1 (en) | Online personalization update system for externally acquired keys | |
US20070098176A1 (en) | Wireless LAN security system and method | |
JP6372809B2 (en) | Authentication system, authentication method, and authentication apparatus | |
JP2006060779A (en) | Certificate transmission apparatus, communication system, certificate transmission method, program and recording medium | |
KR101706117B1 (en) | Apparatus and method for other portable terminal authentication in portable terminal | |
JP6410189B2 (en) | Authentication system and authentication method | |
JP7292263B2 (en) | Method and apparatus for managing digital certificates | |
JP2009071707A (en) | Key sharing method, and key distribution system | |
JP6464511B2 (en) | Authentication system and authentication method | |
CN104539420A (en) | General intelligent hardware safe secret key management method | |
WO2015092953A1 (en) | Authentication system, and authentication method | |
JP2014042095A (en) | Authentication system and method | |
CN108352982B (en) | Communication device, communication method, and recording medium | |
KR20130051636A (en) | Method for mutual authentication and security in m2m environment | |
JP2021073564A (en) | Communication device, communication method, and computer program | |
JP2020136863A (en) | Communication control system | |
KR102224726B1 (en) | METHOD FOR ISSUING TEMPORAY CERTIFICATE FOR IoT DEVICE | |
KR100921153B1 (en) | Method for authentication in network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131205 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140805 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20140918 |