JP2017102707A - Device authentication system and device authentication method - Google Patents
Device authentication system and device authentication method Download PDFInfo
- Publication number
- JP2017102707A JP2017102707A JP2015235535A JP2015235535A JP2017102707A JP 2017102707 A JP2017102707 A JP 2017102707A JP 2015235535 A JP2015235535 A JP 2015235535A JP 2015235535 A JP2015235535 A JP 2015235535A JP 2017102707 A JP2017102707 A JP 2017102707A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- network
- identification information
- request
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
この発明は、例えばM2M(Machine to Machine)通信を用いて、データを送信するデバイスをネットワークを介してプラットフォームに接続するシステムにおいて、デバイスの認証を行うためのデバイス認証システムおよびデバイス認証方法に関する。 The present invention relates to a device authentication system and a device authentication method for authenticating a device in a system in which a device that transmits data is connected to a platform via a network using, for example, M2M (Machine to Machine) communication.
近年、情報通信技術の発達に伴いM2M通信が普及している。M2M通信を使用したシステムとしては、例えばセンサやアクチュエータ等を収容したM2Mデバイスをネットワークを介してM2Mコントローラに接続する。そして、センサから出力された測定データをM2MデバイスからM2Mコントローラへ送信し、M2Mコントローラが上記測定データに基づいてアクチュエータへコマンドを送信し動作させるものが考えられる。 In recent years, M2M communication has become widespread with the development of information communication technology. As a system using M2M communication, for example, an M2M device containing a sensor, an actuator, or the like is connected to an M2M controller via a network. Then, the measurement data output from the sensor is transmitted from the M2M device to the M2M controller, and the M2M controller transmits a command to the actuator based on the measurement data to be operated.
ところで、この種のシステムを実現するには、センサやアクチュエータ等を収容するM2Mデバイスについて認証を行う必要がある。その1つの方式として、各M2Mデバイスに認証鍵を配布すると共に当該確認証鍵をアクセスポイント等のネットワーク接続装置において管理し、M2Mデバイスからのアクセス要求に対しネットワーク接続装置が上記認証鍵を用いて認証を行う方式が提案されている(例えば非特許文献1を参照)。
また他の方式として、WiFi(登録商標)通信を用いたシステムにおいて、M2Mデバイスにボタン等のユーザインタフェースを設け、M2Mデバイスからアクセスする際にユーザが認証情報を入力し送信する方式も提案されている(例えば非特許文献2を参照)。
By the way, in order to realize this type of system, it is necessary to authenticate an M2M device that accommodates sensors, actuators, and the like. As one method, an authentication key is distributed to each M2M device and the confirmation key is managed in a network connection device such as an access point. The network connection device uses the authentication key in response to an access request from the M2M device. A method for performing authentication has been proposed (see, for example, Non-Patent Document 1).
As another method, in a system using WiFi (registered trademark) communication, a method is also proposed in which a user interface such as a button is provided on the M2M device, and the user inputs and transmits authentication information when accessing from the M2M device. (See Non-Patent Document 2, for example).
ところが、非特許文献1に記載された方式は、M2Mデバイスが自身に割り当てられた認証鍵を記憶すると共に、すべてのM2Mデバイスの認証鍵をM2M基盤が一括管理するものとなっている。このため、M2Mデバイスの記憶容量が圧迫される。通常、M2Mデバイスを認証する際に用いられる認証鍵は、接続時の認証にのみ用いられるものであり、認証後は用いられることはない。M2Mデバイスは小型化される傾向があり、記憶容量の少ないものもある。このようなM2Mデバイスにとって、接続時の認証にのみ用いられる認証鍵を保持するために大容量の記憶領域を確保することは大きな負担であり、記憶リソースを有効活用する上で障害になる。 However, in the method described in Non-Patent Document 1, the M2M device stores the authentication key assigned to itself, and the M2M base collectively manages the authentication keys of all M2M devices. This puts pressure on the storage capacity of the M2M device. Usually, the authentication key used when authenticating the M2M device is used only for authentication at the time of connection, and is not used after authentication. M2M devices tend to be smaller and some have less storage capacity. For such an M2M device, securing a large-capacity storage area in order to hold an authentication key used only for authentication at the time of connection is a heavy burden and becomes an obstacle to effective use of storage resources.
一方、非特許文献2に記載された方式では、各M2Mデバイスにおいて認証鍵記憶領域が不要となるが、ユーザインタフェースを設けなければならない。このため、M2Mデバイスの大型化が避けられない。また、例えばセンサの測定データを定期的に自動送信するようなシステムには適用が困難である。 On the other hand, in the method described in Non-Patent Document 2, an authentication key storage area is not required in each M2M device, but a user interface must be provided. For this reason, the enlargement of the M2M device is inevitable. Further, for example, it is difficult to apply to a system that automatically transmits sensor measurement data periodically.
さらに非特許文献1および2のいずれも、すべてのM2Mデバイスの認証処理のためにすべての認証鍵を記憶しておく必要がある。このため、M2Mデバイスの台数が増加するにつれM2M基盤が管理する認証情報の量が多くなる。このため、M2M基盤に大容量の記憶リソースが必要となり、また認証処理に係るM2M基盤の処理負荷が高くなる。 Further, in both Non-Patent Documents 1 and 2, it is necessary to store all authentication keys for authentication processing of all M2M devices. For this reason, as the number of M2M devices increases, the amount of authentication information managed by the M2M infrastructure increases. For this reason, a large-capacity storage resource is required for the M2M infrastructure, and the processing load of the M2M infrastructure for authentication processing increases.
この発明は上記事情に着目してなされたもので、通信デバイスの記憶リソースの有効利用とさらなる小型化を可能とし、さらにネットワーク接続装置の認証情報記憶領域の削減と認証に係る処理負荷を軽減するようにしたデバイス認証システムおよびデバイス認証方法を提供しようとするものである。 The present invention has been made paying attention to the above circumstances, and enables effective utilization and further downsizing of storage resources of a communication device, and further reduces the authentication information storage area of the network connection device and the processing load related to authentication. A device authentication system and a device authentication method are provided.
上記課題を解決するためにこの発明の第1の態様は、通信デバイスをネットワークに接続するためのネットワーク接続装置と、上記ネットワークに接続される情報処理装置とを具備するデバイス認証システム、又はこのシステムにより実行されるデバイス認証方法にあって、前記通信デバイスから接続要求を受信した場合に、前記ネットワーク接続装置が、当該接続要求から前記通信デバイスの物理アドレスを示す識別情報を抽出し、当該抽出した識別情報を含む認証要求を前記ネットワークを介して前記情報処理装置へ送信する。前記認証要求を受信した前記情報処理装置は、当該認証要求に含まれる識別情報を予め記憶された識別情報のリストと照合し、前記認証要求に含まれる識別情報に対応する通信端末の正当性の有無を判定して、その判定結果を表す認証結果情報を前記ネットワークを介して前記ネットワーク接続装置へ返信する。前記ネットワーク接続装置は、前記情報処理装置から返信された認証結果情報を受信すると、前記接続要求を送信した通信デバイスと前記ネットワークとの間に通信リンクを確立するようにしたものである。 In order to solve the above problems, a first aspect of the present invention is a device authentication system comprising a network connection device for connecting a communication device to a network and an information processing device connected to the network, or this system In the device authentication method executed by the method, when a connection request is received from the communication device, the network connection device extracts identification information indicating the physical address of the communication device from the connection request, and the extracted An authentication request including identification information is transmitted to the information processing apparatus via the network. The information processing apparatus that has received the authentication request collates the identification information included in the authentication request with a list of identification information stored in advance, and checks the validity of the communication terminal corresponding to the identification information included in the authentication request. The presence / absence is determined, and authentication result information indicating the determination result is returned to the network connection device via the network. When the network connection apparatus receives the authentication result information returned from the information processing apparatus, the network connection apparatus establishes a communication link between the communication device that has transmitted the connection request and the network.
この発明の第2の態様は、前記ネットワーク接続装置が、前記情報処理装置から前記通信デバイスの正当性を表す認証結果情報が通知された場合に、該当する通信デバイスの物理アドレスを表す識別情報をメモリに保存し、前記通信デバイスから接続要求を受信した場合に、当該接続要求から抽出した通信デバイスの物理アドレスを示す識別情報が前記メモリに保存されているか否かを判定し、保存されていると判定された場合に、前記接続要求を送信した通信デバイスと前記ネットワークとの間に通信リンクを確立する処理を、さらに実行するようにしたものである。 According to a second aspect of the present invention, when the network connection apparatus is notified of authentication result information indicating the validity of the communication device from the information processing apparatus, identification information indicating a physical address of the corresponding communication device is provided. When the connection request is received from the communication device and stored in the memory, it is determined whether or not the identification information indicating the physical address of the communication device extracted from the connection request is stored in the memory. In the case where it is determined that the connection request is transmitted, a process for establishing a communication link between the communication device that has transmitted the connection request and the network is further executed.
この発明の第3の態様は、前記ネットワーク接続装置が、前記メモリに保存されている識別情報を、予め設定した条件を満たさなくなった場合に前記メモリから削除する処理をさらに実行するようにしたものである。 According to a third aspect of the present invention, the network connection device further executes a process of deleting the identification information stored in the memory from the memory when the predetermined condition is not satisfied. It is.
この発明の第1の態様によれば、通信デバイスが通信するときの物理アドレスを表す識別情報を利用して認証処理が行われる。このため、通信デバイスに認証鍵を記憶させる必要がなくなり、また認証鍵を入力するためのユーザインタフェースも不要となる。従って、通信デバイスの記憶リソースの有効利用を図ることができ、デバイスのさらなる小型化も可能となる。さらに、上記識別情報を用いた認証処理がネットワーク接続装置ではなく情報処理装置において行われる。このため、ネットワーク接続装置において通信デバイスの識別情報を管理する必要がなくなり、これによりネットワーク接続装置の記憶容量を削減し、かつ認証処理に係る処理負荷を軽減することができる。 According to the first aspect of the present invention, the authentication process is performed using the identification information indicating the physical address when the communication device communicates. This eliminates the need to store the authentication key in the communication device and eliminates the need for a user interface for inputting the authentication key. Accordingly, it is possible to effectively use the storage resources of the communication device, and it is possible to further reduce the size of the device. Further, the authentication process using the identification information is performed in the information processing apparatus instead of the network connection apparatus. This eliminates the need to manage the identification information of the communication device in the network connection apparatus, thereby reducing the storage capacity of the network connection apparatus and reducing the processing load related to the authentication process.
この発明の第2の態様によれば、情報処理装置により正当性が確認された通信デバイスの物理アドレスを表す識別情報が、ネットワーク接続装置においてキャッシュデータとして保存される。このため、例えばネットワーク環境の影響によりネットワーク接続装置が認証要求を送信してから情報処理装置からその応答情報が返送されるまでに時間が掛かり、これにより通信デバイスから送信された接続要求がタイムアウトにより無効になった場合でも、その後通信デバイスから送信される再接続要求に応じて通信リンクを確立することが可能となる。 According to the second aspect of the present invention, the identification information indicating the physical address of the communication device whose validity has been confirmed by the information processing apparatus is stored as cache data in the network connection apparatus. For this reason, for example, due to the influence of the network environment, it takes time until the response information is returned from the information processing apparatus after the network connection apparatus transmits the authentication request, so that the connection request transmitted from the communication device is timed out. Even when the communication becomes invalid, it is possible to establish a communication link in response to a reconnection request transmitted from the communication device thereafter.
この発明の第3の態様によれば、ネットワーク接続装置に保存されたキャッシュデータは予め設定された条件を満たさなくなった場合、例えばキャッシュデータの保存時間が一定時間を超えた場合又は一定の接続回数を超えた場合に、自動的に削除される。このため、情報処理装置において識別情報のリストが更新された場合に、更新前の古くなったキャッシュデータを用いて通信リンクが確立されてしまう不具合を防止することが可能となる。 According to the third aspect of the present invention, when the cache data stored in the network connection device does not satisfy a preset condition, for example, when the storage time of the cache data exceeds a certain time, or a certain number of connections If it exceeds, it is automatically deleted. For this reason, when the list of identification information is updated in the information processing apparatus, it is possible to prevent a problem that a communication link is established using old cache data before update.
すなわちこの発明によれば、通信デバイスの記憶リソースの有効利用とさらなる小型化を可能とし、さらにネットワーク接続装置の認証情報記憶領域の削減と認証に係る処理負荷を軽減することを可能にしたデバイス認証システムおよびデバイス認証方法を提供することができる。 That is, according to the present invention, device authentication that enables effective use and further downsizing of storage resources of the communication device, and further reduces the authentication information storage area of the network connection device and the processing load related to authentication. A system and device authentication method can be provided.
以下、図面を参照してこの発明に係わる実施形態を説明する。
[第1の実施形態]
(構成)
図1は、この発明の第1の実施形態に係るデバイス認証システムを含むM2Mデータ伝送システムの構成を示すブロック図である。
第1の実施形態に係るデバイス認証システムは、ネットワーク接続装置としての機能を有する複数のアクセスポイント1a〜1nと、これらのアクセスポイント1a〜1nとの間でネットワーク(図示省略)を介して通信が可能なM2M−PF(Machine to Machine-Platform)2と、このM2M−PF2との間で上記ネットワークを介して通信が可能なサプライヤ装置3とから構成され、アクセスポイント1a〜1nに複数のM2Mデバイス4が接続される。なお、アクセスポイント1a〜1nはM2M基盤を構成し、またM2M−PF2およびサプライヤ装置3は情報処理装置を構成する。
Embodiments according to the present invention will be described below with reference to the drawings.
[First Embodiment]
(Constitution)
FIG. 1 is a block diagram showing a configuration of an M2M data transmission system including a device authentication system according to the first embodiment of the present invention.
In the device authentication system according to the first embodiment, communication is performed between a plurality of access points 1a to 1n having a function as a network connection apparatus and the access points 1a to 1n via a network (not shown). M2M-PF (Machine to Machine-Platform) 2 and a supplier apparatus 3 capable of communicating with the M2M-PF2 via the network, and a plurality of M2M devices at the access points 1a to 1n. 4 is connected. The access points 1a to 1n constitute an M2M base, and the M2M-PF 2 and the supplier apparatus 3 constitute an information processing apparatus.
M2Mデバイス4は、例えば端末又はセットトップボックスからなり、M2M基盤通信部41を備えている。M2M基盤通信部41は、図示しない複数のセンサから出力されたセンサデータを、センサの識別情報(センサID)および計測日時を表す情報と共に、一定の周期でローカルネットワーク(図示省略)を介して上記アクセスポイント1a〜1nへ送信する。 The M2M device 4 is composed of a terminal or a set top box, for example, and includes an M2M infrastructure communication unit 41. The M2M-based communication unit 41 outputs sensor data output from a plurality of sensors (not shown) together with sensor identification information (sensor ID) and information indicating measurement date and time via a local network (not shown) at a constant cycle. Transmit to access points 1a-1n.
なお、センサとしては、例えば温度や湿度、気圧等を観測する気象センサが用いられるが、他にも赤外線カメラや可視カメラ等の画像センサ、電力量センサ、心拍センサ、歩数センサ、位置センサ、3次元加速度センサ等を使用することも可能である。また、ローカルネットワークとしては、無線LAN、Bluetooth(登録商標)等の近距離無線データ通信規格を採用した通信インタフェースが使用される。 As the sensor, for example, a weather sensor for observing temperature, humidity, atmospheric pressure or the like is used. However, an image sensor such as an infrared camera or a visible camera, an electric energy sensor, a heart rate sensor, a step sensor, a position sensor, 3 It is also possible to use a dimensional acceleration sensor or the like. As the local network, a communication interface adopting a short-range wireless data communication standard such as a wireless LAN or Bluetooth (registered trademark) is used.
アクセスポイント1a〜1nはいずれも、M2Mデバイス通信部11と、認証情報取得部12とを備えている。 Each of the access points 1a to 1n includes an M2M device communication unit 11 and an authentication information acquisition unit 12.
M2Mデバイス通信部11は、上記M2Mデバイス4から送信される接続要求およびセンサデータを、ローカルネットワークを介して受信する。そして、接続要求を受信した場合には、当該接続要求から送信元のM2Mデバイスの物理アドレスを示す識別情報、例えばMACアドレスを抽出し、これをデバイス情報として認証情報取得部12に通知する機能を有する。 The M2M device communication unit 11 receives the connection request and sensor data transmitted from the M2M device 4 via the local network. When a connection request is received, a function of extracting identification information indicating the physical address of the transmission source M2M device, for example, a MAC address from the connection request, and notifying this to the authentication information acquisition unit 12 as device information is provided. Have.
認証情報取得部12は、上記M2Mデバイス通信部11においてM2Mデバイス4から送信された接続要求が受信された場合に、M2M−PF2に対し認証要求を送信すると共に、その認証結果に応じてM2Mデバイス4とネットワークとの間に通信リンクを確立するもので、以下のように構成される。図2にその機能構成を示す。 When the connection request transmitted from the M2M device 4 is received by the M2M device communication unit 11, the authentication information acquisition unit 12 transmits an authentication request to the M2M-PF 2 and, according to the authentication result, the M2M device 4 establishes a communication link between the network 4 and the network, and is configured as follows. FIG. 2 shows the functional configuration.
すなわち、認証情報取得部12はCPU(Central Processing Unit)およびプログラムメモリを備え、この第1の実施形態を実施するために必要な処理機能として、認証問合せ処理部121と、ネットワーク確立制御部(NW確立制御部)122とを有している。 That is, the authentication information acquisition unit 12 includes a CPU (Central Processing Unit) and a program memory. As processing functions necessary to implement the first embodiment, an authentication inquiry processing unit 121 and a network establishment control unit (NW) Establishment control unit) 122.
認証問合せ処理部121は、M2Mデバイス通信部11から接続要求元のM2MデバイスのMACアドレスが通知された場合に、当該MACアドレスを含む認証要求を作成してM2M−PF2へ送信する処理を行う。 When the MAC address of the connection request source M2M device is notified from the M2M device communication unit 11, the authentication inquiry processing unit 121 creates an authentication request including the MAC address and transmits the request to the M2M-PF2.
NW確立制御部122は、上記認証要求の送信に対し、M2M−PF2から認証結果を表す応答情報が返送された場合に、当該応答情報が接続要求元のM2Mデバイス4の正当性を認めるものか否かを判定し、正当性を認めるものだった場合にM2Mデバイス通信部11に対し通信リンクの確立を指示する処理を行う。 Whether the NW establishment control unit 122 recognizes the validity of the connection request source M2M device 4 when the response information indicating the authentication result is returned from the M2M-PF2 in response to the transmission of the authentication request. If it is determined that the validity is acceptable, the M2M device communication unit 11 is instructed to establish a communication link.
M2M−PF2は、例えばクラウドサーバからなり、デバイス情報管理部21と、デバイス情報記憶部22とを備えている。デバイス情報記憶部22は、サプライヤ装置3から伝送された各M2Mデバイス4のMACアドレスのリストを格納するために使用される。 M2M-PF2 consists of a cloud server, for example, and is provided with the device information management part 21 and the device information storage part 22. FIG. The device information storage unit 22 is used to store a list of MAC addresses of each M2M device 4 transmitted from the supplier apparatus 3.
デバイス情報管理部21は、M2Mデバイスの認証処理を行うもので、以下のように構成される。図2にその機能構成を示す。
すなわち、デバイス情報管理部21はCPU(Central Processing Unit)およびプログラムメモリを備え、この実施形態を実施するために必要な処理機能として、デバイス情報登録制御部211と、ID認証処理部212と、認証結果応答部213とを有している。
The device information management unit 21 performs M2M device authentication processing and is configured as follows. FIG. 2 shows the functional configuration.
That is, the device information management unit 21 includes a CPU (Central Processing Unit) and a program memory. As processing functions necessary for implementing this embodiment, a device information registration control unit 211, an ID authentication processing unit 212, an authentication And a result response unit 213.
デバイス情報登録制御部211は、サプライヤ装置3から伝送される各M2Mデバイス4のMACアドレスのリストを受信し、この受信された識別情報のリストをデバイス情報としてデバイス情報記憶部22に記憶させる処理を行う。 The device information registration control unit 211 receives a list of MAC addresses of each M2M device 4 transmitted from the supplier apparatus 3, and stores the received list of identification information as device information in the device information storage unit 22. Do.
ID認証処理部212は、上記アクセスポイント1a〜1nから認証要求が送られた場合に、当該認証要求に含まれる接続要求元のM2MデバイスのMACアドレスを上記デバイス情報記憶部22に記憶されている識別情報のリストと照合し、接続要求元のM2Mデバイスの正当性を判定する処理を行う。 When an authentication request is sent from the access points 1a to 1n, the ID authentication processing unit 212 stores the MAC address of the connection request source M2M device included in the authentication request in the device information storage unit 22. A process for checking the validity of the M2M device that is the connection request source is performed by comparing with the list of identification information.
認証結果応答部213は、上記ID認証処理部212による判定結果を、認証結果の応答情報としてアクセスポイント1a〜1nへ返送する。 The authentication result response unit 213 returns the determination result by the ID authentication processing unit 212 to the access points 1a to 1n as response information of the authentication result.
サプライヤ装置3は、M2Mサービス事業者が運用する端末又はサーバ装置からなり、M2M基盤通信部31と、デバイス情報記憶部32とを備えている。M2M基盤通信部31は、上記M2M−PF2との間で、ネットワークを介してデバイス情報の登録処理に係る通信を行う。デバイス情報記憶部32は、システムが使用するすべてのM2MデバイスのMACアドレスをデバイス情報として管理する。 The supplier device 3 includes a terminal or a server device operated by an M2M service provider, and includes an M2M infrastructure communication unit 31 and a device information storage unit 32. The M2M-based communication unit 31 communicates with the M2M-PF2 for device information registration processing via the network. The device information storage unit 32 manages the MAC addresses of all M2M devices used by the system as device information.
(動作)
次に、以上のように構成されたデバイス認証システムの動作を説明する。図3は、図1に示したシステムの動作手順と動作内容を示すシーケンス図である。
(1)デバイス情報の登録
システムの運用に先立ち、当該システムの運用事業者は例えば事業所内の各部署又は個人にM2Mデバイスを配布し設置させる。
サプライヤ装置3は、上記配布された複数のM2Mデバイス4について、その物理アドレスを示すMACアドレスをリスト化してこれをデバイス情報としてデバイス情報記憶部32で管理している。そして、上記デバイス情報記憶部32で管理されているデバイス情報を、システムの運用開始前および更新するごとにステップS11により読み出し、ステップS12においてM2M基盤通信部31からM2M−PF2へネットワークを介して送信する。
(Operation)
Next, the operation of the device authentication system configured as described above will be described. FIG. 3 is a sequence diagram showing an operation procedure and operation contents of the system shown in FIG.
(1) Registration of device information Prior to system operation, an operator operating the system distributes and installs M2M devices to, for example, each department or individual in the office.
The supplier device 3 lists the MAC addresses indicating the physical addresses of the plurality of distributed M2M devices 4 and manages them as device information in the device information storage unit 32. The device information managed in the device information storage unit 32 is read out in step S11 before the system operation is started and updated, and is transmitted from the M2M base communication unit 31 to the M2M-PF2 via the network in step S12. To do.
これに対しM2M−PF2は、デバイス情報管理部21のデバイス情報登録制御部211の制御の下、上記サプライヤ装置3から送信されたデバイス情報を受信し、受信したデバイス情報をステップS13によりデバイス情報記憶部22に新規に記憶させるか、又はデバイス情報記憶部22に記憶されている古いデバイス情報を上記新たに受信したデバイス情報に更新する。 On the other hand, the M2M-PF 2 receives the device information transmitted from the supplier apparatus 3 under the control of the device information registration control unit 211 of the device information management unit 21, and stores the received device information in step S13. The new device information is stored in the unit 22 or the old device information stored in the device information storage unit 22 is updated to the newly received device information.
(2)M2Mデバイスの認証
M2Mデバイス4が設置され起動されると、M2Mデバイス4からはM2M基盤通信部41により接続要求が送信される。これに対しアクセスポイント1a〜1nは、M2Mデバイス通信部11により上記接続要求を受信すると、この受信した接続要求から送信元のM2Mデバイスの物理アドレスを示すMACアドレスをステップS14で検知し、このMACアドレスをステップS15により認証情報取得部12に通知する。
(2) Authentication of M2M Device When the M2M device 4 is installed and activated, a connection request is transmitted from the M2M device 4 by the M2M infrastructure communication unit 41. On the other hand, when the M2M device communication unit 11 receives the connection request, the access points 1a to 1n detect the MAC address indicating the physical address of the transmission source M2M device from the received connection request in step S14. The address is notified to the authentication information acquisition unit 12 in step S15.
上記MACアドレスが通知されると認証情報取得部12は、認証問合せ処理部121の制御の下、ステップS16において、上記通知されたMACアドレスを含む認証要求を作成して、M2M−PF2へ送信する。 When the MAC address is notified, the authentication information acquisition unit 12 creates an authentication request including the notified MAC address in step S16 under the control of the authentication inquiry processing unit 121, and transmits the authentication request to the M2M-PF2. .
これに対しM2M−PF2は、上記認証要求を受信すると、ID認証処理部212の制御の下、ステップSW17によりデバイス情報記憶部22からMACアドレスのリストを読み出し、ステップS18において、上記受信された認証要求に含まれるMACアドレスを上記読み出されたMACアドレスのリストと照合する。そして、この照合の結果、上記受信された認証要求に含まれるMACアドレスがMACアドレスのリストに登録されていれば接続要求元のM2Mデバイスの正当性を認める旨を、一方登録されていなければ接続要求元のM2Mデバイスの正当性を認めない旨を、認証結果応答部213が認証結果の応答情報に含め、ステップS19により認証要求元のアクセスポイント1a〜1nへネットワークを介して返送する。 On the other hand, when the M2M-PF2 receives the authentication request, under the control of the ID authentication processing unit 212, the M2M-PF2 reads a list of MAC addresses from the device information storage unit 22 in step SW17. The MAC address included in the request is checked against the list of read MAC addresses. If the MAC address included in the received authentication request is registered in the MAC address list as a result of the verification, the validity of the connection request source M2M device is recognized. The authentication result response unit 213 includes in the response information of the authentication result that the validity of the request source M2M device is not recognized, and returns it to the authentication request source access points 1a to 1n via the network in step S19.
M2M−PF2から認証結果の応答情報を受信するとアクセスポイント1a〜1nは、NW確立制御部122の制御の下、上記返送された応答情報が正当性を認めるものか否かを判定し、正当性を認めるものであればステップS20によりM2Mデバイス通信部11に対し通信リンクの確立を指示する。この結果、接続要求元のM2Mデバイス4とアクセスポイント1a〜1nとの間には通信リンクが確立され、以後M2Mデバイス4はネットワークを介してM2M−PF2へセンサデータの送信が可能となる。 When the response information of the authentication result is received from the M2M-PF2, the access points 1a to 1n determine whether or not the returned response information is valid under the control of the NW establishment control unit 122. In step S20, the M2M device communication unit 11 is instructed to establish a communication link. As a result, a communication link is established between the connection request source M2M device 4 and the access points 1a to 1n. Thereafter, the M2M device 4 can transmit sensor data to the M2M-PF2 via the network.
一方、上記返送された応答情報が正当性を認めないものであれば、M2Mデバイス通信部11に対し通信リンクの確立指示を与えず、上記M2Mデバイス4から送信された接続要求を破棄する。 On the other hand, if the returned response information does not recognize validity, the connection request transmitted from the M2M device 4 is discarded without giving a communication link establishment instruction to the M2M device communication unit 11.
(効果)
以上詳述したように第1の実施形態では、M2Mデバイス4から接続要求が送信された場合に、アクセスポイント1a〜1nが当該接続要求から送信元のM2Mデバイス4の物理アドレスを示すMACアドレスを検知して、当該MACアドレスを含む認証要求をM2M−PF2へ送信する。M2M−PF2は、システムで使用されるM2Mデバイス4のMACアドレスのリストを管理しており、上記アクセスポイント1a〜1nから送られた認証要求に含まれるMACアドレスを上記MACアドレスのリストと照合することで、上記接続要求元のM2Mデバイス4の認証を行い、その認証結果を表す応答情報を認証要求元のアクセスポイント1a〜1nへ返送する。アクセスポイント1a〜1nは、上記認証結果の応答情報に基づいて、接続要求元のM2Mデバイス4との間に通信リンクを確立するようにしている。
(effect)
As described above in detail, in the first embodiment, when a connection request is transmitted from the M2M device 4, the access points 1a to 1n use the MAC address indicating the physical address of the source M2M device 4 from the connection request. Upon detection, an authentication request including the MAC address is transmitted to M2M-PF2. The M2M-PF 2 manages the MAC address list of the M2M device 4 used in the system, and collates the MAC address included in the authentication request sent from the access points 1a to 1n with the MAC address list. Thus, the M2M device 4 as the connection request source is authenticated, and response information indicating the authentication result is returned to the access points 1a to 1n as the authentication request source. The access points 1a to 1n establish a communication link with the M2M device 4 that is the connection request source based on the response information of the authentication result.
したがって、M2Mデバイス4の物理アドレスを表すMACアドレスを用いて認証処理が行われる。このため、M2Mデバイス4では、認証鍵を記憶させる必要がなくなり、また認証鍵を入力するためのユーザインタフェースも不要となる。従って、M2Mデバイス4の記憶リソースの有効利用を図ることができ、M2Mデバイスのさらなる小型化が可能となる。 Therefore, the authentication process is performed using the MAC address representing the physical address of the M2M device 4. For this reason, in the M2M device 4, it is not necessary to store the authentication key, and a user interface for inputting the authentication key is also unnecessary. Accordingly, the storage resources of the M2M device 4 can be effectively used, and the M2M device can be further downsized.
さらに、上記MACアドレスを用いた認証処理がアクセスポイント1a〜1nではなくM2M−PF2において行われる。このため、アクセスポイント1a〜1nにおいてM2Mデバイス4のMACアドレスを管理する必要がなくなり、これによりアクセスポイント1a〜1nの記憶容量を削減し、かつ認証処理に係る処理負荷を軽減することが可能となる。 Further, the authentication process using the MAC address is performed in the M2M-PF2 instead of the access points 1a to 1n. This eliminates the need to manage the MAC address of the M2M device 4 at the access points 1a to 1n, thereby reducing the storage capacity of the access points 1a to 1n and reducing the processing load related to the authentication process. Become.
[第2の実施形態]
この発明の第2の実施形態は、アクセスポイントが、M2M−PFから返信された認証結果の応答情報がM2Mデバイスの正当性を認めるものだった場合に、当該M2MデバイスのMACアドレスをキャッシュ保持部に保存する。そして、この状態でM2Mデバイスから送信された再接続要求を受信した場合に、当該再接続要求から検知したMACアドレスを上記キャッシュ保持部に保存されているMACアドレスと照合し、一致すれば要求元のM2Mデバイスとの間に通信リンクを確立するようにしたものである。
[Second Embodiment]
In the second embodiment of the present invention, when the access point returns the authentication result response information returned from the M2M-PF as validating the M2M device, the access point receives the MAC address of the M2M device from the cache holding unit. Save to. When a reconnection request transmitted from the M2M device is received in this state, the MAC address detected from the reconnection request is checked against the MAC address stored in the cache holding unit. A communication link is established with the M2M device.
図4はこの発明の第2の実施形態に係るデバイス認証システムを含むM2Mデータ伝送システムの構成を示すブロック図、図5は図4に示したデータ認証システムのアクセスポイントおよびM2M−PFの機能構成を示すブロック図である。なお、図4および図5において、前記図1および図2と同一部分には同一符号を付して詳しい説明は省略する。 4 is a block diagram showing a configuration of an M2M data transmission system including a device authentication system according to the second embodiment of the present invention, and FIG. 5 is a functional configuration of an access point and M2M-PF of the data authentication system shown in FIG. FIG. 4 and 5, the same parts as those in FIGS. 1 and 2 are denoted by the same reference numerals, and detailed description thereof is omitted.
アクセスポイント5a〜5nはいずれも、M2Mデバイス通信部51および認証情報取得部52に加え、キャッシュ保持部53を備えている。 Each of the access points 5a to 5n includes a cache holding unit 53 in addition to the M2M device communication unit 51 and the authentication information acquisition unit 52.
M2Mデバイス通信部51は、上記M2Mデバイス4から送信される接続要求およびセンサデータを、ローカルネットワークを介して受信する。そして、接続要求を受信した場合には、当該接続要求から送信元のM2Mデバイス4の物理アドレスを示す識別情報、例えばMACアドレスを抽出し、これをデバイス情報として認証情報取得部52に通知する機能を有する。 The M2M device communication unit 51 receives the connection request and sensor data transmitted from the M2M device 4 via the local network. When receiving a connection request, the function extracts the identification information indicating the physical address of the source M2M device 4 from the connection request, for example, the MAC address, and notifies this to the authentication information acquisition unit 52 as device information. Have
認証情報取得部52は、CPU(Central Processing Unit)およびプログラムメモリを備え、この第2の実施形態を実施するために必要な処理機能として、認証問合せ処理部521と、NW確立制御部522とを有している。 The authentication information acquisition unit 52 includes a CPU (Central Processing Unit) and a program memory. As processing functions necessary to implement the second embodiment, an authentication inquiry processing unit 521 and an NW establishment control unit 522 are provided. Have.
認証問合せ処理部521は、M2Mデバイス通信部51から接続要求元のM2MデバイスのMACアドレスが通知された場合に、当該MACアドレスがキャッシュ保持部53に保存されているか否かを判定し、保存されていなければ上記MACアドレスを含む認証要求を作成してM2M−PF2へ送信する処理を行う。また認証問合せ処理部521は、上記MACアドレスがキャッシュ保持部53に保存されていれば、接続要求元のM2Mデバイス4の正当性を認める旨の認証結果をNW確立制御部522に通知する。 When the MAC address of the M2M device that is the connection request source is notified from the M2M device communication unit 51, the authentication inquiry processing unit 521 determines whether or not the MAC address is stored in the cache holding unit 53, and is stored. If not, an authentication request including the MAC address is generated and transmitted to M2M-PF2. If the MAC address is stored in the cache holding unit 53, the authentication inquiry processing unit 521 notifies the NW establishment control unit 522 of an authentication result indicating that the M2M device 4 that is the connection request source is authorized.
NW確立制御部522は、上記認証要求の送信に対し、M2M−PF2から認証結果を表す応答情報が返送された場合に、当該応答情報が接続要求元のM2Mデバイス4の正当性を認めるものか否かを判定し、正当性を認めるものだった場合に、キャッシュ保持部53に接続要求元のM2Mデバイス4のMACアドレスを格納し、M2Mデバイス通信部51に対し通信リンクの確立を指示する。またNW確立制御部522は、上記認証問合せ処理部521から接続要求元のM2Mデバイス4の正当性を認める旨の認証結果を受け取った場合に、M2Mデバイス通信部51に対し通信リンクの確立を指示する。 Whether the NW establishment control unit 522 acknowledges the validity of the connection request source M2M device 4 when response information indicating the authentication result is returned from the M2M-PF2 in response to the transmission of the authentication request. If it is determined that the validity has been accepted, the MAC address of the connection request source M2M device 4 is stored in the cache holding unit 53, and the M2M device communication unit 51 is instructed to establish a communication link. In addition, when the NW establishment control unit 522 receives an authentication result indicating that the M2M device 4 as the connection request source is recognized from the authentication inquiry processing unit 521, the NW establishment control unit 522 instructs the M2M device communication unit 51 to establish a communication link. To do.
(動作)
次に、以上のように構成されたデバイス認証システムの動作を説明する。図6は、図4に示したシステムの動作手順と動作内容を示すシーケンス図である。なお、図6においても前記図3と同一部分には同一符号を付して詳しい説明は省略する。
(Operation)
Next, the operation of the device authentication system configured as described above will be described. FIG. 6 is a sequence diagram showing an operation procedure and operation contents of the system shown in FIG. In FIG. 6, the same parts as those in FIG.
アクセスポイント5a〜5nは、ステップS19においてM2M−PF2からの認証結果を示す応答情報を受信すると、NW確立制御部522の制御の下、上記返送された認証結果の応答情報が正当性を認めるものか否かを判定し、正当性を認めるものであればステップS21により、上記正当性が認められたM2Mデバイス4のMACアドレスをキャッシュ保持部53に記憶させる。図7にキャッシュ保持部53に記憶されたMACアドレスの一例を示す。 When the access points 5a to 5n receive the response information indicating the authentication result from the M2M-PF 2 in step S19, the response information of the returned authentication result confirms the validity under the control of the NW establishment control unit 522. If the validity is recognized, the cache holding unit 53 stores the MAC address of the M2M device 4 for which the validity is confirmed in step S21. FIG. 7 shows an example of the MAC address stored in the cache holding unit 53.
そしてNW確立制御部522は、M2Mデバイス通信部51に対し通信リンクの確立を指示する。この結果、接続要求元のM2Mデバイス4とアクセスポイント5a〜5nとの間には通信リンクが確立され、以後M2Mデバイス4はネットワークを介してM2M−PF2へセンサデータの送信が可能となる。 Then, the NW establishment control unit 522 instructs the M2M device communication unit 51 to establish a communication link. As a result, a communication link is established between the connection request source M2M device 4 and the access points 5a to 5n. Thereafter, the M2M device 4 can transmit sensor data to the M2M-PF2 via the network.
一方、上記ネットワーク環境の悪化等により、アクセスポイント5a〜5nからM2M−PF2へ認証要求を送信してからM2M−PF2からその応答情報を受信するまでに時間が掛かり、その間に接続要求元のM2Mデバイス4から送信された接続要求がタイムアウトにより無効になったとする。 On the other hand, due to the deterioration of the network environment, it takes time until the response information is received from the M2M-PF2 after the authentication request is transmitted from the access points 5a to 5n to the M2M-PF2, and during that time, the connection request source M2M It is assumed that the connection request transmitted from the device 4 is invalidated due to timeout.
しかし、接続要求元のM2Mデバイス4から、上記接続要求の送信後に再接続要求が送信されると、アクセスポイント5a〜5nの認証問合せ処理部521は、M2Mデバイス通信部51からステップS22により通知される接続要求元のM2Mデバイス4のMACアドレスが、キャッシュ保持部53に保存されているか否かを判定する。そして、保存されていれば接続要求元のM2Mデバイス4の正当性を認める旨の認証結果をNW確立制御部522に通知する。 However, when a reconnection request is transmitted after the connection request is transmitted from the connection request source M2M device 4, the authentication inquiry processing unit 521 of the access points 5a to 5n is notified from the M2M device communication unit 51 in step S22. It is determined whether or not the MAC address of the connection request source M2M device 4 is stored in the cache holding unit 53. If it is stored, the NW establishment control unit 522 is notified of an authentication result indicating that the validity of the M2M device 4 that is the connection request source is recognized.
NW確立制御部522は、上記認証問合せ処理部521から接続要求元のM2Mデバイス4の正当性を認める旨の認証結果を受け取ると、M2Mデバイス通信部51に対しステップS23により通信リンクの確立を指示する。この結果、再接続要求元のM2Mデバイス4とアクセスポイント5a〜5nとの間には通信リンクが確立され、以後M2Mデバイス4はネットワークを介してM2M−PF2へセンサデータの送信が可能となる。 When the NW establishment control unit 522 receives an authentication result indicating that the M2M device 4 as the connection request source is recognized from the authentication inquiry processing unit 521, the NW establishment control unit 522 instructs the M2M device communication unit 51 to establish a communication link in step S23. To do. As a result, a communication link is established between the M2M device 4 that is the reconnection request source and the access points 5a to 5n, and thereafter, the M2M device 4 can transmit sensor data to the M2M-PF2 via the network.
(効果)
以上説明したように第2の実施形態では、アクセスポイント6a〜5nが、M2M−PF2から返信された認証結果の応答情報がM2Mデバイス4の正当性を認めるものだった場合に、当該M2Mデバイス4のMACアドレスをキャッシュ保持部53に保存する。そして、この状態でM2Mデバイス4から送信された再接続要求を受信した場合に、当該再接続要求から検知したMACアドレスを上記キャッシュ保持部53に保存されているMACアドレスと照合し、一致すれば再接続要求元のM2Mデバイス4との間に通信リンクを確立するようにしている。
(effect)
As described above, in the second embodiment, when the access points 6a to 5n recognize that the response information of the authentication result returned from the M2M-PF2 confirms the validity of the M2M device 4, the M2M device 4 Are stored in the cache holding unit 53. When a reconnection request transmitted from the M2M device 4 is received in this state, the MAC address detected from the reconnection request is checked against the MAC address stored in the cache holding unit 53, and if they match, A communication link is established with the M2M device 4 that is the reconnection request source.
従って、例えばネットワーク環境の悪化等により、アクセスポイント5a〜5nからM2M−PF2へ認証要求を送信してからM2M−PF2からその応答情報を受信するまでに時間が掛かり、その間に接続要求元のM2Mデバイス4から送信された接続要求がタイムアウトにより無効になったとしても、その後M2Mデバイス4から送信される再接続要求に応じて、要求元のM2Mデバイス4との間に通信リンクを確立することが可能となる。 Therefore, for example, due to deterioration of the network environment, it takes time until the response information is received from the M2M-PF2 after the authentication request is transmitted from the access points 5a to 5n to the M2M-PF2, and during that time, the connection request source M2M Even if the connection request transmitted from the device 4 becomes invalid due to timeout, a communication link can be established with the requesting M2M device 4 in response to the reconnection request transmitted from the M2M device 4 thereafter. It becomes possible.
また、M2M−PF2による認証処理により一旦正当性が認められたM2Mデバイスについては、その後キャッシュ保持部53に記憶されたMACアドレスをもとに認証が確認されて通信リンクが確立される。このため、M2Mデバイス4からの接続要求のすべてに対し、アクセスポイント5a〜5nとM2M−PF2との間で認証手順を実行する必要がなくなり、これによりネットワークのトラフィックの増加を抑制することができる。 For the M2M device once validated by the authentication process by the M2M-PF2, authentication is confirmed based on the MAC address stored in the cache holding unit 53, and a communication link is established. For this reason, it is not necessary to perform an authentication procedure between the access points 5a to 5n and the M2M-PF 2 for all connection requests from the M2M device 4, thereby suppressing an increase in network traffic. .
[第3の実施形態]
この発明の第3の実施形態は、アクセスポイントにおいて、キャッシュ保持部に保存されたMACアドレスに取得日時を付加し、キャッシュ保持部に保存されたMACアドレスの保存時間がその取得日時から予め設定されたキャッシュ期限を超過すると、その時点で当該MACアドレスをキャッシュ保持部から削除するようにしたものである。
[Third Embodiment]
In the third embodiment of the present invention, at the access point, the acquisition date is added to the MAC address stored in the cache holding unit, and the storage time of the MAC address stored in the cache holding unit is preset from the acquisition date. When the cache time limit is exceeded, the MAC address is deleted from the cache holding unit at that time.
図8はこの発明の第3の実施形態に係るデバイス認証システムを含むM2Mデータ伝送システムの構成を示すブロック図、図9は図8に示したデータ認証システムのアクセスポイントおよびM2M−PFの機能構成を示すブロック図である。なお、図8および図9において、前記図4および図6と同一部分には同一符号を付して詳しい説明は省略する。 FIG. 8 is a block diagram showing a configuration of an M2M data transmission system including a device authentication system according to the third embodiment of the present invention, and FIG. 9 is a functional configuration of an access point and M2M-PF of the data authentication system shown in FIG. FIG. 8 and 9, the same parts as those in FIGS. 4 and 6 are denoted by the same reference numerals, and detailed description thereof is omitted.
アクセスポイント6a〜6nはいずれも、第2の実施形態と同様に、M2Mデバイス通信部61および認証情報取得部62に加え、キャッシュ保持部63を備えている。 As with the second embodiment, each of the access points 6a to 6n includes a cache holding unit 63 in addition to the M2M device communication unit 61 and the authentication information acquisition unit 62.
M2Mデバイス通信部61は、上記M2Mデバイス4から送信される接続要求およびセンサデータを、ローカルネットワークを介して受信する。そして、接続要求を受信した場合には、当該接続要求から送信元のM2Mデバイス4の物理アドレスを示す識別情報、例えばMACアドレスを抽出し、これをデバイス情報として認証情報取得部62に通知する機能を有する。 The M2M device communication unit 61 receives the connection request and sensor data transmitted from the M2M device 4 via the local network. When receiving a connection request, the function extracts the identification information indicating the physical address of the source M2M device 4 from the connection request, for example, the MAC address, and notifies this to the authentication information acquisition unit 62 as device information Have
認証情報取得部62は、CPU(Central Processing Unit)およびプログラムメモリを備え、この第3の実施形態を実施するために必要な処理機能として、認証問合せ処理部621およびNW確立制御部622に加え、キャッシュ管理部623を有している。 The authentication information acquisition unit 62 includes a CPU (Central Processing Unit) and a program memory, and in addition to the authentication inquiry processing unit 621 and the NW establishment control unit 622 as processing functions necessary to implement the third embodiment, A cache management unit 623 is included.
認証問合せ処理部621は、M2Mデバイス通信部61から接続要求元のM2MデバイスのMACアドレスが通知された場合に、当該MACアドレスがキャッシュ保持部63に保存されているか否かを判定し、保存されていなければ上記MACアドレスを含む認証要求を作成してM2M−PF2へ送信する処理を行う。また認証問合せ処理部621は、上記MACアドレスがキャッシュ保持部63に保存されていれば、接続要求元のM2Mデバイス4の正当性を認める旨の認証結果をNW確立制御部622に通知する。 When the MAC address of the M2M device that is the connection request source is notified from the M2M device communication unit 61, the authentication inquiry processing unit 621 determines whether or not the MAC address is stored in the cache holding unit 63, and is stored. If not, an authentication request including the MAC address is generated and transmitted to M2M-PF2. If the MAC address is stored in the cache holding unit 63, the authentication inquiry processing unit 621 notifies the NW establishment control unit 622 of an authentication result indicating that the M2M device 4 that is the connection request source is authorized.
NW確立制御部622は、上記認証要求の送信に対し、M2M−PF2から認証結果を表す応答情報が返送された場合に、当該応答情報が接続要求元のM2Mデバイス4の正当性を認めるものか否かを判定し、正当性を認めるものだった場合に、キャッシュ保持部63に接続要求元のM2Mデバイス4のMACアドレスを格納し、M2Mデバイス通信部61に対し通信リンクの確立を指示する。またNW確立制御部622は、上記認証問合せ処理部621から接続要求元のM2Mデバイス4の正当性を認める旨の認証結果を受け取った場合に、M2Mデバイス通信部61に対し通信リンクの確立を指示する。 If the NW establishment control unit 622 returns response information indicating the authentication result from the M2M-PF2 in response to the transmission of the authentication request, does the NW establishment control unit 622 recognize the validity of the M2M device 4 that is the connection request source? If it is determined that the validity is confirmed, the cache holding unit 63 stores the MAC address of the connection request source M2M device 4 and instructs the M2M device communication unit 61 to establish a communication link. When the NW establishment control unit 622 receives an authentication result indicating that the M2M device 4 as the connection request source is valid from the authentication inquiry processing unit 621, the NW establishment control unit 622 instructs the M2M device communication unit 61 to establish a communication link. To do.
キャッシュ管理部623は、キャッシュ保持部63にMACアドレスが保存された場合に、当該MACアドレスにその取得日時を付加する。そして、キャッシュ保持部63に保存されたMACアドレスの保存時間がその取得日時から予め設定されたキャッシュ期限を超過した時点で、当該MACアドレスをキャッシュ保持部63から削除する処理を行う。 When the MAC address is stored in the cache holding unit 63, the cache management unit 623 adds the acquisition date and time to the MAC address. Then, when the storage time of the MAC address stored in the cache holding unit 63 exceeds a preset cache time limit from the acquisition date and time, a process of deleting the MAC address from the cache holding unit 63 is performed.
(動作)
次に、以上のように構成されたデバイス認証システムの動作を説明する。図10は、図8に示したシステムの動作手順と動作内容を示すシーケンス図である。なお、図10において前記図6と同一部分には同一符号を付して詳しい説明は省略する。
(Operation)
Next, the operation of the device authentication system configured as described above will be described. FIG. 10 is a sequence diagram showing an operation procedure and operation contents of the system shown in FIG. In FIG. 10, the same parts as those of FIG.
アクセスポイント6a〜6nは、ステップS19においてM2M−PF2からの認証結果を示す応答情報を受信すると、NW確立制御部622の制御の下、上記返送された認証結果の応答情報が正当性を認めるものか否かを判定し、正当性を認めるものであればステップS30により、上記正当性が認められたM2Mデバイス4のMACアドレスをキャッシュ保持部63に格納する。またその際、上記MACアドレスの取得日時を表す情報を、MACアドレスに対応付けてキャッシュ保持部63に記憶させる。図11にキャッシュ保持部63に記憶されたMACアドレスと取得日時情報の一例を示す。 When the access points 6a to 6n receive the response information indicating the authentication result from the M2M-PF 2 in step S19, the response information of the returned authentication result is valid under the control of the NW establishment control unit 622. In step S30, the MAC address of the M2M device 4 for which the validity is recognized is stored in the cache holding unit 63. At this time, information indicating the acquisition date and time of the MAC address is stored in the cache holding unit 63 in association with the MAC address. FIG. 11 shows an example of the MAC address and acquisition date information stored in the cache holding unit 63.
上記キャッシュ保持部63にMACアドレスが記憶されると、キャッシュ管理部623はステップS31により、上記キャッシュ保持部63に記憶された各MACアドレスについて、それぞれ取得日時を起点として保存時間を計時する。そして、保存時間が予め設定したキャッシュ期限を超過すると、その時点で当該MACアドレスをキャッシュ保持部63から削除する。 When the MAC address is stored in the cache holding unit 63, in step S31, the cache management unit 623 measures the storage time for each MAC address stored in the cache holding unit 63, starting from the acquisition date and time. When the storage time exceeds a preset cache time limit, the MAC address is deleted from the cache holding unit 63 at that time.
従って、上記キャッシュ期限以降にM2Mデバイス4から再接続要求が送信され、M2Mデバイス通信部61からステップS32により接続要求元のM2Mデバイス4のMACアドレスが通知されても、認証問合せ処理部621は当該MACアドレスがキャッシュ保持部63に記憶されていないため、再接続要求元のM2Mデバイス4の正当性を認める旨の認証結果をNW確立制御部622に通知しない。そして、その代わりにステップS33において、上記M2Mデバイス通信部61から通知されたMACアドレスを含む認証要求を作成し、M2M−PF2へ送信する。 Therefore, even if a reconnection request is transmitted from the M2M device 4 after the cache expiration date and the MAC address of the M2M device 4 that is the connection request source is notified from the M2M device communication unit 61 in step S32, the authentication inquiry processing unit 621 Since the MAC address is not stored in the cache holding unit 63, the NW establishment control unit 622 is not notified of an authentication result indicating that the reconnection request source M2M device 4 is valid. Instead, in step S33, an authentication request including the MAC address notified from the M2M device communication unit 61 is created and transmitted to the M2M-PF2.
(効果)
以上説明したように第3の実施形態では、キャッシュ管理部623が、キャッシュ保持部63に記憶された各MACアドレスについて、それぞれ取得日時を起点とする保存時間が予め設定したキャッシュ期限を超過すると、その時点で当該MACアドレスをキャッシュ保持部63から削除するようにしている。
(effect)
As described above, in the third embodiment, when the cache management unit 623 exceeds the preset cache expiration time for each MAC address stored in the cache holding unit 63, the storage time starting from the acquisition date and time is exceeded. At that time, the MAC address is deleted from the cache holding unit 63.
このため、アクセスポイント6a〜6nのキャッシュ保持部63に保持されたMACアドレスにより、M2Mデバイス4について半永久的に通信リンクの確立が可能となる不具合は防止される。従って、例えばサプライヤ装置3において任意のM2Mデバイス4が認証対象から除外され、これに伴いM2M−PF2のデバイス情報記憶部22から上記任意のM2Mデバイス4のMACアドレスがリストから削除された場合には、該当するM2Mデバイス4について通信リンクは確立されない。 For this reason, the MAC address held in the cache holding unit 63 of the access points 6a to 6n prevents a problem that a communication link can be established semipermanently for the M2M device 4. Therefore, for example, when an arbitrary M2M device 4 is excluded from the authentication target in the supplier device 3 and the MAC address of the arbitrary M2M device 4 is deleted from the list from the device information storage unit 22 of the M2M-PF2 accordingly. No communication link is established for the corresponding M2M device 4.
[その他の実施形態]
上記各実施形態ではM2M−PF2とサプライヤ装置3とを別装置とした場合について説明したが、1つの情報処理装置に両方の装置の機能を持たせるようにしてもよい。また、上記各実施形態ではネットワーク接続装置として無線LANで使用するアクセスポイントを適用した場合を例にとって説明したが、他に公衆移動通信システムの無線基地局や、Bluetooth(登録商標)等の小電力無線データ通信システムにおいてマスタとして動作する通信装置、その他のローカル移動通信システムの親機、マルチホップ通信方式を採用したシステムの親機、プロバイダサーバ等を適用することもできる。
[Other Embodiments]
In each of the above embodiments, the case where the M2M-PF 2 and the supplier apparatus 3 are separate apparatuses has been described. However, one information processing apparatus may have the functions of both apparatuses. In each of the above embodiments, the case where an access point used in a wireless LAN is applied as a network connection device has been described as an example. However, other wireless base stations of a public mobile communication system, low power such as Bluetooth (registered trademark) A communication device that operates as a master in a wireless data communication system, a parent device of another local mobile communication system, a parent device of a system that employs a multi-hop communication method, a provider server, and the like can also be applied.
その他、M2Mデバイス、ネットワーク接続装置および情報処理装置の種類やその構成、ネットワーク接続装置および情報処理装置における動作手順と動作手順等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。 In addition, the types and configurations of the M2M device, the network connection device and the information processing device, and the operation procedure and operation procedure in the network connection device and the information processing device can be variously modified and implemented without departing from the gist of the present invention. It is.
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。 In short, the present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the components without departing from the scope of the invention in the implementation stage. Moreover, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in each embodiment. Furthermore, you may combine suitably the component covering different embodiment.
1a〜1n,5a〜5n,6a〜6n…アクセスポイント、2…M2M−PF、3…サプライヤ装置、4…M2Mデバイス、11,51,61…M2Mデバイス通信部、12,52,62…認証情報取得部、21…デバイス情報管理部、22…デバイス情報記憶部、31…M2M基盤通信部、32…デバイス情報記憶部、41…M2M基盤通信部、53,63…キャッシュ保持部、121,521,621…認証問合せ処理部、122,522,622…NW確立制御部、211…デバイス情報登録制御部、212…ID認証処理部、213…認証結果応答部、623…キャッシュ管理部。 1a to 1n, 5a to 5n, 6a to 6n ... access point, 2 ... M2M-PF, 3 ... supplier device, 4 ... M2M device, 11, 51, 61 ... M2M device communication unit, 12, 52, 62 ... authentication information Acquisition unit, 21 ... Device information management unit, 22 ... Device information storage unit, 31 ... M2M infrastructure communication unit, 32 ... Device information storage unit, 41 ... M2M infrastructure communication unit, 53, 63 ... Cache holding unit, 121, 521 621 ... Authentication inquiry processing unit, 122, 522, 622 ... NW establishment control unit, 211 ... Device information registration control unit, 212 ... ID authentication processing unit, 213 ... Authentication result response unit, 623 ... Cache management unit.
Claims (6)
前記ネットワーク接続装置は、
前記通信デバイスから接続要求を受信した場合に、当該接続要求から前記通信デバイスの物理アドレスを示す識別情報を抽出し、当該抽出した識別情報を含む認証要求を前記ネットワークを介して前記情報処理装置へ送信する手段と、
前記認証要求に対し前記情報処理装置から前記通信デバイスの正当性を表す認証結果情報が返信された場合に、前記接続要求を送信した通信デバイスと前記ネットワークとの間に通信リンクを確立する手段と
を備え、
前記情報処理装置は、
前記通信デバイスの物理アドレスを示す識別情報のリストを記憶する手段と、
前記ネットワーク接続装置から送信された前記認証要求を受信した場合に、当該認証要求に含まれる識別情報を前記記憶された識別情報のリストと照合し、前記認証要求に含まれる識別情報に対応する通信端末の正当性の有無を判定する手段と、
前記正当性の有無の判定結果を表す認証結果情報を前記ネットワークを介して前記ネットワーク接続装置へ返信する手段と
を備えることを特徴とするデバイス認証システム。 A network connection device for connecting a communication device to a network, and an information processing device connected to the network,
The network connection device is:
When a connection request is received from the communication device, identification information indicating the physical address of the communication device is extracted from the connection request, and an authentication request including the extracted identification information is sent to the information processing apparatus via the network. Means for transmitting;
Means for establishing a communication link between the communication device that transmitted the connection request and the network when authentication result information indicating the validity of the communication device is returned from the information processing apparatus in response to the authentication request; With
The information processing apparatus includes:
Means for storing a list of identification information indicating a physical address of the communication device;
When the authentication request transmitted from the network connection device is received, the identification information included in the authentication request is checked against the stored list of identification information, and communication corresponding to the identification information included in the authentication request Means for determining the validity of the terminal;
A device authentication system comprising: means for returning authentication result information representing a result of determination of the presence / absence of validity to the network connection device via the network.
前記情報処理装置から前記通信デバイスの正当性を表す認証結果情報が通知された場合に、該当する通信デバイスの物理アドレスを表す識別情報をメモリに保存する手段と、
前記通信デバイスから接続要求を受信した場合に、当該接続要求から抽出した通信デバイスの物理アドレスを示す識別情報が前記メモリに保存されているか否かを判定し、保存されていると判定された場合に、前記接続要求を送信した通信デバイスと前記ネットワークとの間に通信リンクを確立する手段と
を、さらに備えることを特徴とする請求項1記載のデバイス認証システム。 The network connection device is:
Means for storing identification information representing a physical address of a corresponding communication device in a memory when authentication result information representing the validity of the communication device is notified from the information processing apparatus;
When a connection request is received from the communication device, it is determined whether or not identification information indicating the physical address of the communication device extracted from the connection request is stored in the memory. The device authentication system according to claim 1, further comprising: means for establishing a communication link between the communication device that has transmitted the connection request and the network.
前記ネットワーク接続装置が、前記通信デバイスから接続要求を受信した場合に、当該接続要求から前記通信デバイスの物理アドレスを示す識別情報を抽出し、当該抽出した識別情報を含む認証要求を前記ネットワークを介して前記情報処理装置へ送信する過程と、
前記情報処理装置が、前記ネットワーク接続装置から送信された前記認証要求を受信した場合に、当該認証要求に含まれる識別情報を予め記憶された識別情報のリストと照合し、前記認証要求に含まれる識別情報に対応する通信端末の正当性の有無を判定する過程と、
前記情報処理装置が、前記正当性の有無の判定結果を表す認証結果情報を前記ネットワークを介して前記ネットワーク接続装置へ返信する過程と、
前記ネットワーク接続装置が、前記情報処理装置から返信された認証結果情報を受信した場合に、前記接続要求を送信した通信デバイスと前記ネットワークとの間に通信リンクを確立する過程と
を具備することを特徴とするデバイス認証方法。 A device authentication method executed by a system comprising a network connection device for connecting a communication device to a network and an information processing device connected to the network,
When the network connection apparatus receives a connection request from the communication device, the network connection device extracts identification information indicating the physical address of the communication device from the connection request, and sends an authentication request including the extracted identification information via the network. Transmitting to the information processing apparatus,
When the information processing device receives the authentication request transmitted from the network connection device, the identification information included in the authentication request is checked against a list of identification information stored in advance, and is included in the authentication request. A process of determining the validity of the communication terminal corresponding to the identification information;
A process in which the information processing apparatus returns authentication result information representing the determination result of the validity to the network connection apparatus via the network;
A step of establishing a communication link between the communication device that has transmitted the connection request and the network when the network connection device receives the authentication result information returned from the information processing device. A device authentication method.
前記ネットワーク接続装置が、前記通信デバイスから接続要求を受信した場合に、当該接続要求から抽出した通信デバイスの物理アドレスを示す識別情報が前記メモリに保存されているか否かを判定し、保存されていると判定された場合に、前記接続要求を送信した通信デバイスと前記ネットワークとの間に通信リンクを確立する過程と
を、さらに具備することを特徴とする請求項4記載のデバイス認証方法。 When the network connection device receives the authentication result information returned from the information processing device, a process of storing identification information representing a physical address of a corresponding communication device in a memory;
When the network connection apparatus receives a connection request from the communication device, the network connection apparatus determines whether or not identification information indicating the physical address of the communication device extracted from the connection request is stored in the memory. 5. The device authentication method according to claim 4, further comprising a step of establishing a communication link between the communication device that has transmitted the connection request and the network when it is determined that the connection request is received.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015235535A JP6346884B2 (en) | 2015-12-02 | 2015-12-02 | Device authentication system and device authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015235535A JP6346884B2 (en) | 2015-12-02 | 2015-12-02 | Device authentication system and device authentication method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017102707A true JP2017102707A (en) | 2017-06-08 |
| JP6346884B2 JP6346884B2 (en) | 2018-06-20 |
Family
ID=59016570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015235535A Active JP6346884B2 (en) | 2015-12-02 | 2015-12-02 | Device authentication system and device authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6346884B2 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001111544A (en) * | 1999-10-05 | 2001-04-20 | Nec Corp | Authenticating method in radio lan system and authentication device |
| JP2016143396A (en) * | 2015-02-05 | 2016-08-08 | 日立電線ネットワークス株式会社 | Authentication system |
-
2015
- 2015-12-02 JP JP2015235535A patent/JP6346884B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001111544A (en) * | 1999-10-05 | 2001-04-20 | Nec Corp | Authenticating method in radio lan system and authentication device |
| US7039021B1 (en) * | 1999-10-05 | 2006-05-02 | Nec Corporation | Authentication method and apparatus for a wireless LAN system |
| JP2016143396A (en) * | 2015-02-05 | 2016-08-08 | 日立電線ネットワークス株式会社 | Authentication system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6346884B2 (en) | 2018-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101687340B1 (en) | Method for setting home network operating environment and apparatus therefor | |
| KR102478098B1 (en) | Method and apparatus for controlling visitor calling in home network system | |
| KR102060547B1 (en) | Method and apparatus for registering wireless device in wireless communication system | |
| KR101118524B1 (en) | Authentication manager system of sensor node having subscription function and method for operating the system | |
| JP2020522060A (en) | Connected gateway server system for real-time vehicle control service | |
| US9549318B2 (en) | System and method for delayed device registration on a network | |
| US8810839B2 (en) | Information processing apparatus for transferring image data, server apparatus for receiving transferred image data, and control methods and storage media therefor | |
| WO2014048236A1 (en) | Method and apparatus for registering terminal | |
| US10193871B2 (en) | Information processing apparatus, control method, and program | |
| KR101465522B1 (en) | Method and System for Executing IoT Service with Shortrange Communication Tag | |
| CN105873055B (en) | Wireless network access authentication method and device | |
| JP2017535122A (en) | Sensor code verification processing method, apparatus, network platform device, and Internet gateway of things | |
| CN111066014B (en) | Apparatus, method, and program for remotely managing devices | |
| WO2017097129A1 (en) | Method and apparatus for establishing short-distance wireless channel | |
| JP2010231396A (en) | Communication system, communication device and authentication device | |
| US20200174798A1 (en) | Device bootstrapping | |
| JP6346884B2 (en) | Device authentication system and device authentication method | |
| US20180013853A1 (en) | Information processing device, information processing system, non-transitory computer-readable storage medium, and information processing method | |
| CN103188662A (en) | Method and device for verifying wireless access point | |
| KR101658168B1 (en) | Phishing preventing system and the method | |
| JP6521181B2 (en) | User authentication integrated device, method and program | |
| US20180270319A1 (en) | Network device, wireless communication terminal and non-transitory computer readable medium | |
| KR20130125055A (en) | Network information controller system by using ip address and mac address and method thereof | |
| JP6240636B2 (en) | Authentication method and authentication apparatus | |
| JP2021036645A (en) | Communication node, multi-hop network, method and program for checking validity of device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170725 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180306 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180313 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180509 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180522 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180528 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6346884 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |