JP2019213131A - 中央処理装置、検針システムおよび不正アクセス検出方法 - Google Patents

中央処理装置、検針システムおよび不正アクセス検出方法 Download PDF

Info

Publication number
JP2019213131A
JP2019213131A JP2018109811A JP2018109811A JP2019213131A JP 2019213131 A JP2019213131 A JP 2019213131A JP 2018109811 A JP2018109811 A JP 2018109811A JP 2018109811 A JP2018109811 A JP 2018109811A JP 2019213131 A JP2019213131 A JP 2019213131A
Authority
JP
Japan
Prior art keywords
authentication
terminal device
processing unit
central processing
topology information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018109811A
Other languages
English (en)
Other versions
JP7050585B2 (ja
Inventor
肇 平井
Hajime Hirai
肇 平井
徹 武曽
Toru Takeso
徹 武曽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2018109811A priority Critical patent/JP7050585B2/ja
Publication of JP2019213131A publication Critical patent/JP2019213131A/ja
Application granted granted Critical
Publication of JP7050585B2 publication Critical patent/JP7050585B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Selective Calling Equipment (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】アドレスで判定できない不正アクセスを検出することが可能な中央処理装置を得ること。【解決手段】認証サーバ6は、マルチホップネットワークを構成する正当な端末装置のマルチホップネットワークにおける正当な接続位置を示すトポロジー情報を取得し、端末装置から受信したデータに基づいてデータの送信元の端末装置のマルチホップネットワークにおける接続位置を求め、求めた接続位置とトポロジー情報とに基づいて不正アクセスを検出する検出処理を実施する認証処理部62、を備える。【選択図】図2

Description

本発明は、端末装置の認証を行う中央処理装置、検針システムおよび不正アクセス検出方法に関する。
近年、様々な情報が電子化されて管理されつつある。これに伴い、情報の管理または収集を行う情報システムへの不正アクセスを防止する技術が注目されている。不正アクセスを防止するためには、情報システムは、不正アクセスであるか否かを判定する必要がある。
特許文献1には、正当な機器のMAC(Media Access Control)アドレス等のアドレスを通信制御装置に事前に登録しておき、機器から受信したデータに格納されるアドレスと登録されているアドレスとが一致するか否かに基づいて、不正アクセスであるか否かを判定する技術が開示されている。
特開2016−72801号公報
特許文献1に記載の技術では、送信されたデータに格納されるアドレスを用いて、不正アクセスであるか否かを判定している。このため、特許文献1に記載の技術では、不正な機器が、アドレスを偽装することにより通信制御装置に登録されているアドレスを用いてデータを送信した場合には、正当なアクセスと判定されてしまう。また、特許文献1に記載の技術では、正当な機器が、正しい所有者により所持されているか否かが区別できず、正当な機器を用いて不正な所有者が不正アクセスを行った場合にも、不正アクセスであると判定することができない。特許文献1に記載の技術では、このように、アドレスで判定できないような不正アクセスを検出することができないという問題があった。
本発明は、上記に鑑みてなされたものであって、アドレスで判定できない不正アクセスを検出することが可能な中央処理装置を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明にかかる中央処理装置は、マルチホップネットワークを構成する正当な端末装置のマルチホップネットワークにおける正当な接続位置を示すトポロジー情報を取得し、端末装置から受信したデータに基づいてデータの送信元の端末装置のマルチホップネットワークにおける接続位置を求め、求めた接続位置とトポロジー情報とに基づいて不正アクセスを検出する検出処理を実施する認証処理部、を備える。
本発明によれば、アドレスで判定できない不正アクセスを検出することが可能となるという効果を奏する。
本発明の実施の形態にかかる検針システムの構成例を示す図 実施の形態の中央処理システムの構成例を示す図 実施の形態の認証サーバを実現する計算機システムの構成例を示す図 認証サーバが保持するトポロジー情報の構成例を示す図 鍵サーバが保持する認証鍵テーブルの構成例を示す図 鍵サーバが保持する暗号鍵テーブルの構成例を示す図 認証ログの一例を示す図 実施の形態の端末装置の構成例を示す図 端末装置が保持する認証ログの一例を示す図 実施の形態の集約装置の構成例を示す図 集約装置が保持するトポロジー情報の一例を示す図 実施の形態の認証処理手順の一例を示すチャート図 不正端末装置が無線接続される例を示す図 実施の形態の認証サーバにおける認証処理手順の一例を示すフローチャート ステップS29の不正端末判定処理の処理手順の一例を示すフローチャート 端末装置の通信可能な範囲の推定値の一例を示す図 ステップS29の不正端末判定処理の処理手順の別の一例を示すフローチャート 端末装置が不正に取り外された例を示す図 認証処理にトポロジー情報を用いた判定を含める場合の認証手順の一例を示すフローチャート
以下に、本発明の実施の形態にかかる中央処理装置、検針システムおよび不正アクセス検出方法を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態.
図1は、本発明の実施の形態にかかる検針システムの構成例を示す図である。本実施の形態の検針システムは、スマートメータと呼ばれる端末装置1−1〜1−11と、集約装置2−1,2−2と、ヘッドエンドシステム(HES(Head End System))と呼ばれる中央処理システム3と、メータデータ管理システム(MDMS(Meter Data Management System))4とを備える。集約装置2−1,2−2と中央処理システム3は、ネットワーク5により接続される。ネットワーク5は、例えば光回線ネットワーク、携帯電話ネットワークであるが、これらに限定されない。
以下、端末装置1−1〜1−11のそれぞれを、区別せずに示す場合には端末装置1と記載し、集約装置2−1,2−2のそれぞれを、区別せずに示す場合には集約装置2と記載する。図1では、端末装置1を11台、集約装置2を2台、それぞれ図示しているが、これらは一例であり、端末装置1および集約装置2の数は、図1に示した例に限定されない。
端末装置1−1〜1−11は、それぞれが家庭、事業所等に設置され、家庭、事業所等における電力の使用量を計量し、計量結果を、対応する集約装置2へ向けて送信する。端末装置1−1〜1−11には、各々に対応する集約装置2が定められている。集約装置2は、正当な端末である端末装置1−1〜1−11から送信されるデータを集約し、端末装置1−1〜1−11と中央処理システム3との間の通信を中継する。
集約装置2および端末装置1−1〜1−11は、無線マルチホップ方式により通信を行う。すなわち、集約装置2および端末装置1−1〜1−11は無線マルチホップネットワークを構成する。集約装置2および端末装置1−1〜1−11は、経路制御プロトコルに従って周期的に制御メッセージを交換し、経路情報、すなわち無線マルチホップネットワークにおける接続位置に関する情報を、トポロジー情報として保持している。経路制御プロトコルの一例は、RPL(IPv6(Internet Protocol version 6) Routing Protocol for Low power and Lossy Network)であるが、経路制御プロトコルはこれに限定されない。以下、端末装置1−1〜1−11から集約装置2へ向かう通信の方向を上り方向と呼び、集約装置2から端末装置1−1〜1−11へ向かう通信の方向を下り方向と呼ぶ。
具体的には、各端末装置1が保持しているトポロジー情報には、上り方向の経路上の次の端末装置1または集約装置2を示す情報が格納されている。以下、無線マルチホップネットワークを構成する端末装置1および集約装置2のそれぞれをノードとも呼ぶ。また、各スマートメータの上り方向および下り方向の経路上の次の端末装置1または集約装置2を、次のノードと呼ぶ。下り方向の経路については、集約装置2が各端末装置1へデータを送信する際に、経由するノード、すなわち経由する端末装置1を示す情報が、該データに格納されてもよいし、下り方向についても各端末装置1が宛先ごとの次のノードの情報をトポロジー情報として保持していてもよい。
端末装置1−1〜1−11は、自身が計測した計量結果を、対応する集約装置2へ向けて送信する。ここで、端末装置1が集約装置2へ向けてデータを送信することは、具体的には、各端末装置1が保持しているトポロジー情報に基づいて、次のノードへデータを送信することを意味する。各端末装置1は、他の端末装置1からデータを受信すると、受信したデータが集約装置2へ宛てたデータである場合、自身が保持しているトポロジー情報に基づいて次のノードへデータを転送する。この転送は、データが集約装置2へ到着するまで経路上の各端末装置1によって順次行われる。下り方向についても、同様に、次のノードへデータが順次転送されることにより、集約装置2から各端末装置1へデータが到着する。下り方向の経路は、例えば、集約装置2により指定される。
集約装置2は、端末装置1から受信した計量結果を集約して、ネットワーク5経由で中央処理システム3へ送信する。集約装置2は、例えば、電柱などに設置される。中央処理システム3は、集約装置2から計量結果を収集し、収集した計量結果をMDMS4へ送信する。MDMS4は、中央処理システム3から受信した計量結果を管理する。
図1に示した無線マルチホップネットワークを構成するノード間を接続する線は通信経路の一例であり、1つのノードが無線接続可能なノードの数は1つに限定されない。各ノードは複数のノードと無線接続可能であってもよく、ノード間で通信障害が生じた場合などには、各端末装置1と対応する集約装置2との間の通信経路は変更されてもよい。また、端末装置1は通常1つの集約装置2と対応付けられているが、予備の集約装置2が設定されていてもよい。これにより、端末装置1は、対応付けられている集約装置2に障害が発生した場合等には予備の集約装置2と通信を行うことができる。集約装置2は、自身が通信を中継している端末装置1を管理している。なお、ここでは、集約装置2および端末装置1−1〜1−11が、無線マルチホップ方式が用いられる例を説明するが、電力線通信によるマルチホップ方式が用いられてもよい。すなわち、端末装置1と集約装置2とがマルチホップネットワークを構成していればよい。
図2は、本実施の形態の中央処理システム3の構成例を示す図である。中央処理システム3は、本発明にかかる中央処理装置の一例である認証サーバ6と、端末装置1−1〜1−11の認証鍵および暗号鍵を管理する鍵サーバ7とを備える。中央処理システム3は、認証サーバ6および鍵サーバ7以外の装置を備えていてもよい。本実施の形態では、端末装置1から中央処理システム3へ送信される計量結果は暗号化される。また、中央処理システム3と端末装置1との間でやりとりされる端末装置1を制御するための制御データについても暗号化される。端末装置1は、定められたタイミングで、認証サーバ6に対して認証要求を行い、認証サーバ6は、認証に成功した端末装置1に対して、上述した暗号化で用いられる暗号鍵を送信する。定められたタイミングは、例えば、24時間おきなど周期的なタイミングである。また、端末装置1は、端末装置1の電源投入時、端末装置1が通信障害などにより通信ができなくなってから復帰した時にも認証要求を行い、暗号鍵を取得する。認証サーバ6は、端末装置1ごとに、認証のたびに暗号鍵を変更する。これにより、周期的に暗号鍵が変更されることになる。
認証サーバ6は、通信部61、認証処理部62、暗号処理部63、収集管理部64、鍵取得部65および記憶部66を備える。通信部61は、ネットワーク5を介して集約装置2との間で通信を行う。認証処理部62は、端末装置1の認証処理を行う。認証処理の詳細については後述する。暗号処理部63は、端末装置1へ送るデータである平文を端末装置1に対応する暗号鍵を用いて暗号化して暗号文を生成し、通信部61を介して暗号文を端末装置1へ送信する。また、暗号処理部63は、通信部61を介して端末装置1から受信した暗号文を、端末装置1に対応する暗号鍵を用いて復号することにより平文を得る。認証処理部62は、端末装置1に対応する暗号鍵を、鍵取得部65を介して鍵サーバ7から取得する。暗号処理部63は、復号して得られた平文が計量結果である場合には、計量結果を収集管理部64へ渡す。
収集管理部64は、端末装置1から送信された計量結果を、暗号処理部63から受け取り、記憶部66に計量情報として記憶する。また、収集管理部64は、記憶部66に記憶されて蓄積された計量情報を、通信部61を介してMDMS4へ送信する。なお、本実施の形態では、認証サーバ6が収集した計量結果を計量情報として蓄積してMDMS4へ送信するようにしたが、認証サーバ6は、計量結果を中央処理システム3内の図示しない他のサーバへ送り、他のサーバが計量結果を計量情報として蓄積してMDMS4へ送信するようにしてもよい。なお、計量結果は、端末装置1から、例えば、30分ごとといったように定期的に送信される。端末装置1が自発的に計量結果を送信してもよいし、収集管理部64が、暗号処理部63および通信部61を介して、端末装置1に計量結果の送信を要求することにより、端末装置1が計量結果を送信してもよい。
鍵取得部65は、鍵サーバ7との間で通信を行う。鍵取得部65は、認証処理部62から端末装置1の認証鍵の取得要求があると、鍵サーバ7から、端末装置1に対応する認証鍵を取得し、認証処理部62へ渡す。また、鍵取得部65は、暗号処理部63から、認証処理部62を介して端末装置1の暗号鍵の取得要求があると、鍵サーバ7から、端末装置1に対応する暗号鍵を取得し、暗号処理部63へ渡す。また、認証処理部62は後述するように、認証処理の過程で暗号鍵を端末装置1へ送信する。このとき、認証処理部62は、鍵取得部65に端末装置1の暗号鍵の取得を要求する。鍵取得部65は、認証処理部62から端末装置1の暗号鍵の取得要求があると、鍵サーバ7から、端末装置1に対応する暗号鍵を取得し、認証処理部62へ渡す。
記憶部66は、認証ログ、トポロジー情報、計量情報を記憶する。認証ログは、端末装置1の認証結果を記録したログ情報であり、トポロジー情報は、各端末装置1の無線マルチホップネットワーク上の接続位置を示す情報である。認証ログおよびトポロジー情報の詳細については後述する。
鍵サーバ7は、通信部71、制御部72および記憶部73を備える。通信部71は、認証サーバ6との間で通信を行う。記憶部73には、端末装置ごとの認証鍵が認証鍵テーブルとして記憶されている。また、記憶部73には、端末装置ごとの暗号鍵が暗号鍵テーブルとして記憶されている。なお、この例に限らず、記憶部73に、端末ごとに、認証鍵と暗号鍵とがまとめて1つのテーブルとして記憶されていてもよい。
制御部72は、通信部71を介して端末装置1の認証鍵の取得要求を受け取ると、認証鍵テーブルから対応する認証鍵を読み出して、通信部71を介して認証サーバ6へ送信する。制御部72は、通信部71を介して端末装置1の暗号鍵の取得要求を受け取ると、暗号鍵テーブルから対応する暗号鍵を読み出して、通信部71を介して認証サーバ6へ送信する。なお、上述したように、暗号鍵は周期的なタイミングで更新される。端末装置1の認証のたびに暗号鍵が更新されるため、認証サーバ6の鍵取得部65は、認証処理部62から暗号鍵の取得要求があった場合には、鍵サーバ7に端末装置1の鍵更新を通知する。鍵サーバ7の制御部72は、通信部71を介して端末装置1の鍵更新の通知を受けると、端末装置1の暗号鍵を更新し、更新後の暗号鍵を認証サーバ6へ、通信部71を介して送信するとともに、暗号鍵テーブルを更新する。なお、暗号鍵の更新タイミング、更新方法はこの例に限定されない。認証サーバ6からの通知によらずに、鍵サーバ7が定期的に各端末装置1の暗号鍵を更新してもよい。
認証サーバ6は、具体的には、計算機システム、すなわちコンピュータである。この計算機システム上で認証サーバ6が実行する処理が記述された認証処理プログラムが実行されることにより、認証サーバ6として機能する。認証処理プログラムは、本実施の形態の後述する不正アクセス検出方法をコンピュータに実行させるためのプログラムを含む。
図3は、本実施の形態の認証サーバ6を実現する計算機システムの構成例を示す図である。図3に示すように、この計算機システムは、制御部101と入力部102と記憶部103と表示部104と通信部105と出力部106とを備え、これらはシステムバス107を介して接続されている。
図3において、制御部101は、例えば、CPU(Central Processing Unit)等である。制御部101は、本実施の形態の認証処理プログラムを実行する。入力部102は、たとえばキーボード、マウスなどで構成され、計算機システムのユーザーが、各種情報の入力を行うために使用する。記憶部103は、RAM(Random Access Memory),ROM(Read Only Memory)などの各種メモリおよびハードディスクなどのストレージデバイスを含み、上記制御部101が実行すべきプログラム、処理の過程で得られた必要なデータなどを記憶する。また、記憶部103は、プログラムの一時的な記憶領域としても使用される。表示部104は、LCD(液晶表示パネル)などで構成され、計算機システムのユーザーに対して各種画面を表示する。通信部105は、通信処理を実施する通信回路などである。通信部105は、複数の通信方式にそれぞれ対応する複数の通信回路で構成されていてもよい。出力部106は、プリンタ、外部記憶装置などの外部の装置へデータを出力する出力インタフェイスである。なお、図3は、一例であり、計算機システムの構成は図3の例に限定されない。
ここで、本実施の形態の認証処理プログラムが実行可能な状態になるまでの計算機システムの動作例について説明する。上述した構成をとる計算機システムには、たとえば、図示しないCD(Compact Disc)−ROMまたはDVD(Digital Versatile Disc)−ROMドライブにセットされたCD−ROMドライブまたはDVD−ROMから、認証処理プログラムが記憶部103にインストールされる。そして、認証処理プログラムの実行時に、記憶部103から読み出された認証処理プログラムが記憶部103に格納される。この状態で、制御部101は、記憶部103に格納されたプログラムに従って、本実施の形態の認証サーバ6としての処理を実行する。
なお、上記の説明においては、CD−ROMまたはDVD−ROMを記録媒体として、認証サーバ6における処理を記述したプログラムを提供しているが、これに限らず、計算機システムの構成、提供するプログラムの容量などに応じて、たとえば、通信部105を経由してインターネットなどの伝送媒体により提供されたプログラムを用いることとしてもよい。
図2に示した認証処理部62、暗号処理部63および収集管理部64は、図3の制御部101により実現される。図2に示した記憶部66は、図3に示した記憶部103の一部である。図2に示した通信部61は、図3に示した通信部105により実現される。図2に示した鍵取得部65は、図3に示した通信部105および制御部101により実現される。
鍵サーバ7も、具体的には、計算機システム、すなわちコンピュータである。鍵サーバ7を実現する計算機システムの構成例は、図3に例示した計算機システムと同様である。鍵サーバ7の機能を実現するためのプログラムが制御部101により実行されることにより、鍵サーバ7としての機能が実現される。このプログラムが実行可能な状態になるまでの計算機システムの動作例は、認証サーバ6と同様である。図2に示した制御部72は、図3に示した制御部101により実現され、図2に示した記憶部73は図3に示した記憶部103により実現され、図2に示した通信部71は、図3に示した通信部105により実現される。
次に、本実施の形態の認証サーバ6および鍵サーバ7が記憶する情報について説明する。図4は、認証サーバ6が保持するトポロジー情報の構成例を示す図である。認証サーバ6が保持するトポロジー情報は、マルチホップネットワークを構成する正当な端末装置1のマルチホップネットワークにおける正当な接続位置を示す情報である。詳細には、認証サーバ6が保持するトポロジー情報は、正当な端末装置ごとの、正当な端末装置のアドレスと中央処理装置との間の通信を中継する装置である中継装置の識別情報とを含む。具体的には、図4に示すように、認証サーバ6が保持するトポロジー情報は、端末装置1ごとの、端末装置1の通信を中継する集約装置2と中継する端末装置1とを示す情報である。この例では、中継装置は複数であり、複数の中継装置は集約装置2および1つ以上の正当な端末装置1である。認証サーバ6が保持するトポロジー情報は、端末装置と集約装置と中継する端末装置とをそれぞれ示す情報を含む。
詳細には、図4の左から1列目に示すように、端末装置を示す情報としては、端末装置1の識別情報である端末装置1のアドレスであるMACアドレスが格納される。集約装置を示す情報としては、図4の左から2列目に示すように、端末装置1の通信を中継する集約装置2のMACアドレスが格納される。中継する端末装置を示す情報としては、図4の左から3列目に示すように、端末装置1の通信を中継する端末装置1のMACアドレスが格納される。M1−1〜M1−5は、それぞれ端末装置1−1〜1−5のMACアドレスを示している。M2−1,M2−2は、それぞれ集約装置2−1,2−2のMACアドレスを示している。後述するように、集約装置2は、自身が管理している端末装置1に関するトポロジー情報を保持している。認証サーバ6は、各集約装置2から集約装置2が保持するトポロジー情報を取得し、検針システムを構成する端末装置1のトポロジー情報として記憶部66に保持する。
図4では、図1に示した構成例におけるトポロジー情報の一部を示している。例えば、端末装置1−1は、端末装置1−3および集約装置2−1を介して中央処理システム3と接続される。このため、図4の1行目に示すように、左から1列目に端末装置1−1のMACアドレスであるM1−1が格納される行では、左から2列目に集約装置2−1のMACアドレスであるM2−1が格納され、左から3列目に端末装置1−3のMACアドレスであるM1−3が格納される。また、図1に示すように、端末装置1−5は、端末装置1−6,1−8および集約装置2−2を介して中央処理システム3と接続される。したがって、図4の5行目に示すように、左から1列目に端末装置1−5のMACアドレスであるM1−5が格納される行では、左から2列目に集約装置2−2のMACアドレスであるM2−2が格納され、左から3列目に端末装置1−6,1−8のMACアドレスであるM1−6,M1−8が格納される。
なお、図4に示した例では、上り方向と下り方向で通信経路が同一であるとして、中継する端末装置1を、上り方向と下り方向とで区別せずに示している。これに限らず、トポロジー情報として、上り方向と下り方向とで分けて端末装置1を管理してもよい。
なお、図4に示したトポロジー情報の構成は一例であり、構成する情報の順序はこの例に限定されない。また、トポロジー情報として、上述した情報以外の情報が含まれていてもよい。また、トポロジー情報として、端末装置1の通信を中継する端末装置を示す情報が含まれていなくてもよい。
図5は、鍵サーバ7が保持する認証鍵テーブルの構成例を示す図である。図5に示すように、鍵サーバ7が保持する認証鍵テーブルは、端末装置1を示す情報である端末装置1のMACアドレスと、対応する認証鍵とを含む。認証鍵K1−1〜K1−5は、それぞれ端末装置1−1〜1−5の認証鍵である。認証鍵は、一般には、暗号鍵のように頻繁に更新されず、例えば、3年程度で更新される。なお、認証鍵の更新頻度はこの例に限定されない。認証鍵テーブルは、例えば、端末装置1が設置されるときに、運用者等により更新される。したがって、認証鍵テーブルには、本実施の形態の検針システムに参入可能な正当な端末装置1のMACアドレスと認証鍵が格納される。
図6は、鍵サーバ7が保持する暗号鍵テーブルの構成例を示す図である。図6に示すように、鍵サーバ7が保持する暗号鍵テーブルは、端末装置1を示す情報である端末装置1のMACアドレスと、対応する暗号鍵とを含む。暗号鍵C1−1〜C1−5は、それぞれ端末装置1−1〜1−5の暗号鍵である。暗号鍵は、上述したように定期的に更新される。
本実施の形態では、認証サーバ6の認証処理部62は、端末装置1から認証要求を受信した場合、認証結果、すなわち認証が成功したか失敗したかを認証ログとして記憶部66に記録する。図7は、認証ログの一例を示す図である。図7に示すように、認証ログは、認証した時刻(図7では時刻と記載)と、端末装置を示す情報と、認証結果とを含む。認証サーバ6が保持する認証ログ、すなわち記憶部66に記憶される認証ログは第1の認証ログである。
なお、ここでは、トポロジー情報において、端末装置1および集約装置2を識別するための識別情報としてMACアドレスを用いられる例を示すが、端末装置1および集約装置2を識別するための識別情報はMACアドレスに限定されず、装置固有の識別情報であればよい。識別情報としてMACアドレス以外を用いる場合、認証サーバ6は、この識別情報とMACアドレスとの対応を保持する。認証鍵テーブル、暗号鍵テーブルおよび認証ログにおいても、同様に識別情報としてMACアドレス以外の識別情報が用いられてもよい。
図8は、本実施の形態の端末装置1の構成例を示す図である。図8に示すように、端末装置1は、通信部11、認証処理部12、暗号処理部13、制御部14および記憶部15を備える。通信部11は、他の端末装置1または集約装置2との間で無線通信を行う。認証処理部12は、中央処理システム3と通信を行うために、認証サーバ6との間で認証処理を実施する。認証処理は、上述したように、端末装置1が起動している間は、24時間ごとといったように周期的に行われる。例えば、端末装置1は、認証処理を行う周期を計測するタイマを保持しており、タイマが満了するたびに、認証要求を認証サーバ6へ向けて送信する。また、認証処理は、端末装置1の電源投入時、通信障害からの復帰時等にも行われる。認証処理の詳細については後述する。
暗号処理部13は、記憶部15に記憶されている暗号鍵を用いて、中央処理システム3へ送信するデータである平文を暗号化することにより暗号文を生成し、暗号文を通信部11経由で中央処理システム3へ向けて送信する。中央処理システム3へ送信するデータには、端末装置1内のまたは端末装置1に接続された図示しない計量計による計量結果が含まれる。計量結果は、端末装置1が設置される需要家において使用された電力量を含む。また、計量結果は、端末装置1が設置される需要家において発電された発電量を含んでいてもよい。また、計量結果は、端末装置1が設置される需要家において使用された電力量から発電量が差し引かれたものであってもよい。また、暗号処理部13は、通信部11経由で中央処理システム3から受信した暗号文を記憶部15に記憶されている暗号鍵を用いて復号し、復号して得られた平文のデータを制御部14へ渡す。
制御部14は、暗号処理部13を介して、中央処理システム3から受信したデータに従って、端末装置1の動作を制御する。例えば、中央処理システム3から受信したデータが計量結果の送信を要求するものであった場合には、暗号処理部13に対して図示しない計量計による計量結果を暗号化して中央処理システム3へ送信するよう指示する。
記憶部15は、認証ログ、認証鍵、暗号鍵を記憶する。認証鍵は、端末装置1固有の認証鍵であり、あらかじめ記憶部15に格納されている。認証鍵は、鍵サーバ7により保持されている認証鍵と一致している。認証鍵が更新される際には、端末装置1の記憶部15に格納される認証鍵と、鍵サーバ7により保持されている認証鍵との両方が更新される。暗号鍵は、認証処理の過程で認証サーバ6から送信される。認証処理部12は、暗号鍵を受信すると記憶部15に格納されている暗号鍵を、受信した暗号鍵に更新する。
図9は、端末装置1が保持する認証ログの一例を示す図である。第2の認証ログである端末装置1が保持する認証ログは、図9に示すように、認証を行った時刻と認証結果とを含む。図9に示した例では、記憶容量を抑制するために、同一の認証結果の時刻をまとめて示している。端末装置1が保持する認証ログは、図9に示した例に限定されず、認証ごとに時刻と認証結果とを示すものであってもよく、その他の形式であってもよい。
端末装置1のハードウェア構成について説明する。通信部11は、通信回路により実現され、認証処理部12、暗号処理部13および制御部14は、処理回路により実現され、記憶部15はメモリにより実現される。処理回路は、専用の回路であってもよいし、プロセッサとメモリを備える制御回路であってもよい。
図10は、本実施の形態の集約装置2の構成例を示す図である。図10に示すように、集約装置2は、通信部21、制御部22および記憶部23を備える。通信部21は、端末装置1との間で無線通信を行う。また、通信部21は、中央処理システム3との間でネットワーク5を介して通信を行う。制御部22は、自身に直接または他の端末装置1を介して接続される端末装置1から通信部21を介して受信したデータに基づいて、記憶部23のトポロジー情報を更新する。
図11は、集約装置2が保持するトポロジー情報の一例を示す図である。集約装置2が保持するトポロジー情報は、図11に示すように、端末装置1を示す情報と中継する端末装置1を示す情報とを含む。図11に示した例では、上り方向と下り方向で通信経路が同一であるとして、中継する端末装置1を、上り方向と下り方向とで区別せずに示している。これに限らず、集約装置2は、トポロジー情報として、上り方向と下り方向とで分けて端末装置1を管理してもよい。下り方向の通信経路に関しては、経路制御プロトコルにしたがって、集約装置2が指定する。このため、端末装置1ごとの下り方向の通信経路は、集約装置2が保持している。上り方向の通信経路に関しては、各端末装置1が、上り方向のデータを中継するときに、順次、自身の識別情報を付加していくことにより、集約装置2が上り方向の通信経路を把握するようにしてもよい。集約装置2が、各端末装置1から、次ノードの情報を収集することにより、上り方向の通信経路を把握してもよい。
次に、本実施の形態の動作について説明する。本実施の形態の検針システムでは、不正な端末装置が検証システムに接続されないように認証サーバ6が認証処理を行っている。図12は、本実施の形態の認証処理手順の一例を示すチャート図である。図12に示した例では、RFC(Request For Comments)5191 PANA(Protocol for carrying Authentication for Network Access)に従って認証処理を行う例を示している。なお、認証処理手順は図12に示した例に限定されない。
図12に示すように、端末装置1は、認証処理の開始を要求する認証開始要求を集約装置2へ向けて送信する(ステップS1)。次に、集約装置2が端末装置1に認証の開始に必要な情報の取得を要求する(ステップS2)。端末装置1は、ステップS2の要求に応じて認証の開始に必要な情報を集約装置2へ送信し(ステップS3)、集約装置2が応答を返信する(ステップS4)。端末装置1は、認証鍵を格納した認証要求を集約装置2へ送信し、集約装置2が認証要求を認証サーバ6へ転送する(ステップS5)。認証要求には、送信元である端末装置1のMACアドレスも含まれており、認証サーバ6は、端末装置1のMACアドレスに基づいて、鍵サーバ7から端末装置1の認証鍵を取得し、取得した認証鍵に基づいて情報を生成する(ステップS6)。このとき生成される情報は、正しい認証鍵がないと正しい計算結果が得られない情報である。この情報、およびこの情報を用いた処理などについては、RFC5191 PANAで定められたものを用いることができるため、詳細な説明は省略する。
認証サーバ6は、生成した情報を、集約装置2を介して端末装置1へ送信する(ステップS7)。端末装置1は、受信した情報と保持している認証鍵とを用いて計算を行い(ステップS8)、計算結果を、集約装置2を介して認証サーバ6へ送信する(ステップS9)。認証サーバ6は、受信した計算結果と正しい計算結果とを比較し、一致した場合には認証成功と判定し、認証成功を通知する応答を、集約装置2を介して端末装置1へ送信する(ステップS10)。なお、認証サーバ6は、認証に失敗した場合には、認証に失敗したことを端末装置1へ通知し、認証処理を終了する。このとき、認証サーバ6は、認証に失敗した通知を送信しなくてもよい。
認証成功を通知された端末装置1は、集約装置2を介して暗号鍵の取得を認証サーバ6へ要求する(ステップS11)。認証サーバ6は、鍵サーバ7から端末装置1に対応する暗号鍵を取得し、暗号鍵を、集約装置2を介して端末装置1へ送信する(ステップS12)。端末装置1は、ステップS12に対する応答を集約装置2へ送信する(ステップS13)。以上の手順により認証処理が実施される。この過程で、端末装置1と中央処理システム3との間の暗号化通信に用いられる暗号鍵が、認証サーバ6から端末装置1へ送信される。以降、端末装置1は、中央処理システム3との間で暗号化通信を行う。
仮に、正しいMACアドレスを偽装した不正端末が、本実施の形態の検証システムに接続しようとしたとする。この場合、MACアドレスは正しいため、MACアドレスを用いて不正な端末かどうかを判断することはできない。図13は、不正端末装置が無線接続される例を示す図である。なお、図13では、ネットワーク5、中央処理システム3およびMDMS4の図示を省略している。図13に示した例では、不正端末装置8は、検針システムの運用者によって設置された端末装置ではない不正な端末装置である。不正端末装置8が、端末装置1−5のMACアドレスを偽装して、端末装置1−8と通信可能な範囲に配置されたとする。不正端末装置8は、端末装置1−5が保持している認証鍵は保持していないものの、認証鍵をなんらかの方法で推定して、認証処理を試みる可能性がある。認証鍵が正しくない場合には、認証サーバ6により認証失敗と判断されるが、不正端末装置8が複数回認証鍵を変更して認証処理を実施することにより、不正端末装置8が正しい認証鍵を送信して認証が成功してしまう可能性がある。一方で、正しい端末装置1であっても通信路で生じたビット誤り等により認証失敗となる可能性もある。
本実施の形態では、このような場合に不正端末装置8を不正な端末と判定できるように、後述するように、認証サーバ6が、トポロジー情報を用いた不正端末の判定処理を実施する。図13に示すように、不正端末装置8が使用したMACアドレスに対応する正しい端末装置1−5は端末装置1−6を経由して集約装置2−2と通信を行う。これに対して、不正端末装置8は、端末装置1−6を経由せずに集約装置2−2と通信を行っている。したがって、通信経路を示すトポロジー情報を用いることで、不正端末装置8が不正な端末装置であることを判定することができる。なお、正しい端末装置1と同じ通信経路となるような位置に不正端末装置8が配置される場合、正しい端末装置1と不正端末装置8とでMACアドレスが同一であるため干渉が生じ通信ができなくなる。したがって、一般に、MACアドレスを偽装する不正端末装置8は、偽装の元となる正しいMACアドレスを有する正しい端末装置1とは通信経路が異なる。
図14は、本実施の形態の認証サーバ6における認証処理手順の一例を示すフローチャートである。図14に示すように、認証サーバ6の認証処理部62は、端末装置1から認証要求を受信したか否かを判断する(ステップS21)。この認証要求は、図12のステップS5に相当する。端末装置1から認証要求を受信していない場合(ステップS21 No)、ステップS21を繰り返す。
端末装置1から認証要求を受信した場合(ステップS21 Yes)、認証サーバ6の認証処理部62は、認証要求に格納されている要求元の端末装置1のMACアドレスが正当であるかを確認する(ステップS22)。詳細には、ステップS22では、認証処理部62は、認証要求を受信すると、鍵取得部65を介して、認証要求の要求元の端末装置1のMACアドレスに対応する認証鍵を鍵サーバ7から取得する。このとき、鍵サーバ7は、認証鍵テーブルに認証鍵の取得が要求された端末装置1のMACアドレスが無い場合には認証鍵が登録されていないことを認証サーバ6に通知し、認証鍵テーブルに認証鍵の取得が要求された端末装置1のMACアドレスが有る場合には認証鍵を認証サーバ6に通知する。認証サーバ6の認証処理部62は、鍵サーバ7から認証鍵を取得できた場合に、要求元のMACアドレスは正当であると判断する。一方、認証サーバ6の認証処理部62は、鍵サーバ7から、認証鍵が登録されていないことを通知された場合、要求元の端末装置1のMACアドレスが正当でないと判断する。
ステップS22でMACアドレスが正当であると判断した場合(ステップS22 Yes)、認証処理部62は、認証のための情報を生成し、認証のための情報を送信する(ステップS23)。この情報の送信は、図12のステップS6,S7に相当する。認証処理部62は、認証要求の要求元の端末装置1から正しい計算結果を受信したか否かを判断する(ステップS24)。この計算結果は、図12のステップS8で説明したように、端末装置1が保持している認証鍵を用いて計算した結果である。したがって、正しい認証鍵を保持していないと正しい計算結果とならない。
認証処理部62は、認証要求の要求元の端末装置1から正しい計算結果を受信した場合(ステップS24 Yes)、認証要求の要求元の認証成功を端末装置1へ通知する(ステップS25)。次に、認証処理部62は、認証要求の要求元の端末装置1から暗号鍵の取得を要求する暗号鍵要求を受信したか否かを判断し(ステップS26)、受信した場合(ステップS26 Yes)、暗号鍵を該端末装置1へ送信し(ステップS27)、処理を終了する。暗号鍵要求を受信しない場合(ステップS26 No)、ステップS26を繰り返す。ステップS25の実施から一定時間経過しても暗号鍵要求を受信しない場合には、処理を終了するようにしてもよい。
一方、MACアドレスが正当でない場合(ステップS22 No)、不正端末であること、すなわち不正アクセスがあったことを報知し(ステップS31)、処理を終了する。不正端末であることの報知は、例えば、画面表示により行ってもよいし、音声により行ってもよいし、あらかじめ定められた運用者のメールアドレスに電子メールを送信することにより行ってもよく、どのように行われてもよい。また、不正なMACアドレスを記録しておき、同一の不正なMACアドレスを用いた認証要求を受信する回数が閾値を超えた場合に、ステップS31へ進み、MACアドレスを用いた認証要求を受信する回数が閾値未満の場合には、ステップS31を実施せずに処理を終了してもよい。
ステップS24で、正しい計算結果を受信しなかった場合(ステップS24 No)、認証処理部62は、認証失敗を端末装置1へ通知し(ステップS28)、トポロジー情報を用いて不正端末判定処理を実施する(ステップS29)。認証処理部62は、ステップS24で正しい結果を受信した場合、認証成功として記憶部66の認証ログに記録し、ステップS24で正しい結果を受信しなかった場合、認証成功として記憶部66の認証ログに記録する。
図15は、ステップS29の不正端末判定処理の処理手順の一例を示すフローチャートである。認証処理部62は、まず、認証要求の要求元の端末装置1の通信経路を確認する(ステップS41)。ここでは、端末装置1から送信されるデータにこのデータの通信経路すなわち中継した端末装置1および集約装置2を示す情報が格納されているとする。したがって、認証処理部62は、端末装置1から受信した認証要求から、通信経路を示す情報を抽出することにより、認証要求の要求元の端末装置1の通信経路を確認することができる。
認証処理部62は、通信経路、具体的には認証要求の要求元の端末装置1の通信経路が正しいか否かを判断する(ステップS42)。詳細には、認証処理部62は、記憶部66に記憶されているトポロジー情報から認証要求の要求元の端末装置1に対応する集約装置2および中継する端末装置1を示す情報を抽出する。認証処理部62は、抽出した情報と認証要求の要求元の端末装置1の通信経路とが一致するか否かに基づいて、通信経路が正しいか否かを判断する。通信経路は、無線マルチホップネットワークにおける端末装置1の接続位置を示す情報でもある。本実施の形態では、不正端末判定処理で不正端末であると判定された場合、該不正端末からの認証要求は不正アクセスであると判断する。これにより、不正端末判定処理で不正端末であると判定されることにより不正アクセスを検出することができる。すなわち、本実施の形態の認証処理部62は、記憶部66からトポロジー情報を取得し、端末装置1から受信したデータに基づいてデータの送信元の端末装置1のマルチホップネットワークにおける接続位置を求め、求めた接続位置とトポロジー情報とに基づいて不正アクセスを検出する検出処理を実施する。
次に、認証処理部62は、通信経路が正しい場合(ステップS42 Yes)、不正端末でないと判定し(ステップS43)、通信経路が正しくない場合(ステップS42 No)、不正端末であると判定し(ステップS44)、不正端末判定処理を終了する。
以上のように、図15に示した例では、認証処理部62は、認証要求から認証要求を中継した装置の識別情報を抽出し、抽出した識別情報とトポロジー情報に含まれる中継装置の識別情報とが一致する場合に、正当な端末装置1との間で共通に保持している認証鍵を用いた認証を実施する。一方、認証処理部62は、抽出した識別情報とトポロジー情報に含まれる中継装置の識別情報とが一致しない場合に、不正アクセスと判定する。
図14の説明に戻る。ステップS29の不正端末判定処理により不正端末と判定した場合(ステップS30 Yes)、認証処理部62は、処理をステップS31に進める。ステップS29の不正端末判定処理により不正端末でないと判定した場合(ステップS30 No)、認証処理部62は、処理を終了する。
なお、以上の説明では、通信経路全体、すなわち中継する端末装置1および集約装置2が正しいか否かにより、通信経路が正しいか否かを判断するようにしたが、通信経路のうちの一部を用いて通信経路が正しいか否かを判断しても良い。すなわち、認証処理部62は、端末装置1と中央処理システム3との間の通信経路となる端末装置1および集約装置2のうち1つ以上を用いて通信経路が正しいか否かを判断すればよい。例えば、経由する集約装置2が正しいか否かにより通信経路が正しいか否かを判断してもよい。または、認証処理部62は、経由する集約装置2とトポロジー情報に格納されている中継する端末装置1のうち選択された1つの端末装置1とを定めておき、認証要求の要求元の端末装置1の通信経路がこの2つを経由するものであれば正しい通信経路と判断するようにしてもよい。
また、通信経路が正しいか否かの判断として、図4に示したトポロジー情報を用いるのではなく、端末装置1が配置される地理的位置と通信可能な範囲とを用いて中継可能な端末装置1を判定してもよい。一般に、端末装置1が配置される地理的位置は事業者が把握しているため、この情報を設備情報として認証サーバ6の記憶部66に記憶しておく。端末装置1が通信可能な範囲は端末装置1の仕様により概ね判定可能である。図16は、端末装置1−6の通信可能な範囲の推定値の一例を示す図である。認証処理部62は、図16に示すように、端末装置1−6の地理的位置を中心とし、端末装置1の無線通信で用いる周波数帯および送信電力に基づいて無線通信可能な範囲9を推定する。そして、認証処理部62は、この範囲9内に配置される端末装置1を設備情報から検索して、中継候補端末装置としてあらかじめ定めておく。図16に示した例では、端末装置1−5,1−7,1−8が範囲9内に配置されている。端末装置1−6から送信されるデータは、端末装置1−5,1−7,1−8のうちの少なくとも1つを必ず経由して認証サーバ6に到着するはずである。
一方で、端末装置1−6のMACアドレスを偽装した端末装置は、端末装置1−5,1−7,1−8を経由しない可能性が高い。したがって、端末装置1ごとに範囲9を求め、範囲9内に存在する端末装置1を中継候補端末装置としてあらかじめ定めておくことにより、中継候補端末装置のうちのいずれも経由しない認証要求を受信した場合に、要求元の端末装置の通信経路は正しくないと判定することができる。正しい端末装置1であっても通信障害などにより通信経路が変更されて、認証サーバ6が保持している通信経路と一時的に異なってしまうことがある。地理的位置に基づいて中継候補端末装置を定めておくことにより、このような場合に正しい端末装置1が不正端末と誤判定されることを抑制することができる。
なお、図14に示した例では、認証に失敗した場合、すなわち、ステップS24でNoと判定された場合に、トポロジー情報を用いた不正アクセスを検出する検出処理である不正端末判定処理を実施するようにしたが、連続して認証に失敗した回数が閾値以上である場合に不正端末判定処理を実施するようにしてもよい。すなわち、認証処理部62は、正当な端末装置1との間で共通に保持している認証鍵を用いた認証に連続して失敗した回数が閾値以上となった場合に、不正端末判定処理を実施してもよい。閾値は1回以上である。MACアドレスが偽装された場合、上述したように、不正な端末装置は正しい認証鍵を保持していないため、認証鍵を変更して複数回認証を試みる可能性がある。正当な端末装置1からの正当なアクセスで通信異常などにより認証失敗となる可能性がある。閾値を複数回に設定すると、正当なアクセス時に不正端末判定処理を実施する可能性を低下させることができ、処理負荷を低減させることができる。
図17は、ステップS29の不正端末判定処理の処理手順の別の一例を示すフローチャートである。認証処理部62は、端末装置1へ下りの通信経路を用いて端末装置1へ認証ログの取得要求を送信する(ステップS51)。詳細には、認証処理部62は、記憶部66のトポロジー情報に基づいて、下りの通信経路、すなわち中継する集約装置2および端末装置1を指定して、認証ログの取得要求を端末装置1へ送信する。認証ログの取得要求を端末装置1は、記憶部15に記憶されている認証ログを認証サーバ6へ送信する。
認証処理部62は、端末装置1から受信した認証ログと自身が保持している認証ログとを比較する(ステップS52)。例えば、認証処理部62は、図7に示したように、時刻t3で端末装置1−5の認証に失敗したとする。認証処理部62は、ステップS51により、端末装置1−5から認証ログを取得する。認証処理部62は、端末装置1−5から受信した認証ログに、時刻t3における認証が失敗したという情報が含まれているかを確認する。なお、一般に端末装置1と認証サーバ6とでは任意の時刻同期方法により時刻同期が実施されているとする。ただし、処理および伝送遅延などにより、端末装置1が認識している認証時刻と認証サーバ6に記憶されている認証時刻とが完全に一致しないことがあるため、認証サーバ6は、端末装置1から取得した認証時刻に一定時間を加算するなどにより時刻を補正して比較しても良い。また、補正を行ったとしても両者の時刻が完全に一致しないことも考えられるため、例えば、1〜5分程度など、両者の時刻差が規定時間以下であれば、認証時刻は一致していると判断してもよい。
端末装置1から受信した認証ログと自身が保持している認証ログとが一致した場合(ステップS53 Yes)、認証処理部62は、不正端末でないと判定し(ステップS54)、不正端末判定処理を終了する。端末装置1から受信した認証ログと自身が保持している認証ログとが一致しない場合(ステップS53 No)、認証処理部62は不正端末であると判定し(ステップS55)、不正端末判定処理を終了する。本実施の形態では、不正端末判定処理で不正端末であると判定された場合、該不正端末からの認証要求は不正アクセスであると判断する。すなわち、不正端末判定処理は、不正アクセスを検出する検出処理である。
以上のように、図17に示した例では、認証処理部62は、端末装置の認証を行うたびに該端末装置のアドレスと認証の時刻と認証結果とを記憶部66に第1の認証ログとして記録する。認証処理部62は、データからデータの送信元の端末装置のアドレスである送信元アドレスを抽出し、トポロジー情報から、送信元アドレスに対応する中継装置の識別情報を抽出する。認証処理部62は、抽出した中継装置の識別情報に基づく通信経路で送信元アドレスに宛てて、端末装置において過去の認証結果を記録した情報である第2の認証ログの取得を要求し、第2の認証ログと第1の認証ログとが一致しない場合に不正アクセスと判定する。
なお、図14に示したステップS31の不正端末であることの報知において、不正端末と判定された要因についても報知されてもよい。すなわち、認証サーバ6は、MACアドレスが不正であると判断されたのかMACアドレスは正しくトポロジー情報を用いた不正端末判定処理で不正である判定されたのかを区別して報知するようにしてもよい。不正端末であるとの報知を検知した運用者は、不正端末であると判定された端末装置から送信されたデータから通信経路を特定することにより、不正な端末装置が存在すると思われる箇所を特定し、特定した箇所に基づいて現地の調査などを実施してもよい。
上述した例では、認証に失敗した場合に、トポロジー情報による不正端末判定処理を実施するようにしたが、トポロジー情報による不正端末判定処理を実施するトリガーはこの例に限定されない。例えば、端末装置1が、他の端末装置から集約装置2へ転送するデータを受信した場合、このデータのフォーマットが定められたフォーマットと異なっているなど、受信したデータになんらかの異常を検出した場合、データの送信元の端末装置のMACアドレスとともに認証サーバ6へ異常を通知してもよい。そして、認証サーバ6は、異常の通知を受けた場合に、通知されたMACアドレスの端末から受信したデータに基づいて、トポロジー情報による不正端末判定処理を実施してもよい。
また、定期的にトポロジー情報による不正端末判定処理を実施してもよい。検針システムでは、本来、検針システムを構築する事業者が、端末装置1から受信する計量結果に基づいて電気料金の課金などを行うため、端末装置1は事業者と契約する需要家と正しく紐付けられる必要がある。移設などにより事業者の管理の元で端末装置1が移動される場合を除き、端末装置1の設置位置は通常は固定である。一方、端末装置1が、不正な使用者によって、本来の設置位置、すなわち事業者によりその端末装置1が設置された需要家内の箇所からはずされて、不正な使用者により別の場所に設置されるといった不正も考えられる。このような場合、端末装置1自体は正当な端末装置であり正しい認証鍵を保持しているため、認証処理を通過してしまう可能性がある。認証処理を通過してしまうと、この端末装置1に対応する本来の需要家に、不正な使用者により使用された電力量が課金されてしまうことになる。
図18は、端末装置1−7が不正に取り外された例を示す図である。図18に示した例では、事業者により設置された正しい位置は、破線で示された端末装置1−8に無線接続可能な位置である。この場合に、端末装置1−7が不正に取り外され、異なる位置に移動され、端末装置1−4と無線接続可能な位置に設置されたとする。この場合、端末装置1−7は、正しいMACアドレスと正しい認証鍵を有しているため、端末装置1−4を介して認証サーバ6に対して認証要求を行うと、認証に成功してしまう可能性がある。本実施の形態では、認証サーバ6が、上述したように、トポロジー情報を用いた不正端末の判定処理を実施することにより、端末装置1−7の通信経路すなわち接続位置が正しくないと判定できるので、このようなケースも端末装置1−7を不正端末として検出可能である。この場合には、認証に成功してしまう可能性があるため、認証に失敗したときにトポロジー情報を用いた不正端末判定処理を実施するだけでなく、定期的な実施等、認証とは関係のないタイミングでトポロジー情報を用いた不正端末判定処理を実施すると、より不正端末の検出精度を向上させることができる。
また、認証処理自体にトポロジー情報を用いた不正端末判定処理を含めてしまってもよい。すなわち、認証鍵およびMACアドレスが正しいだけでなく、トポロジー情報に基づいて通信経路が正しいと判定されたときに認証成功と判断するようにしてもよい。図19は、認証処理にトポロジー情報を用いた判定を含める場合の認証手順の一例を示すフローチャートである。ステップS21は、図14に示したステップS21と同様である。
ステップS21の後、認証サーバ6の認証処理部62は、認証要求に格納されている要求元の端末装置1のMACアドレスと通信経路が正当であるかを確認する(ステップS22a)。MACアドレスが正当であるかの確認は図14のステップS22と同様である。通信経路が正当であるかの確認は図15のステップS41およびステップS42と同様である。
認証処理部62は、MACアドレスと通信経路が正当である場合(ステップS22a Yes)、ステップS23以降の処理を実施する。MACアドレスおよび通信経路のうち少なくとも一方が正当でない場合(ステップS22a No)、認証処理部62は、ステップS31の処理を実施する。ステップS23〜S31の処理は、図14の例と同様である。
なお、図19に示した例に限らず、例えば、ステップS22aの替わりに図14のステップS22を実施し、ステップS24でYesの場合に、通信経路が正しいか否かの判定を行い、通信経路が正しい場合にステップS25に進むようにしてもよい。
以上のように、本実施の形態では、無線マルチホップネットワークにおける端末装置1の正しい接続位置を示すトポロジー情報に基づいて、認証要求の要求元の端末装置が不正であるか否かを判定するようにした。このため、MACアドレスが偽装された場合のようにアドレスで判定できない不正アクセスを検出することができる。また、端末装置1が不正に移設された場合にも、不正に移設された端末装置1を不正端末と判定することができる。
以上の実施の形態に示した構成は、本発明の内容の一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、本発明の要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。
1,1−1〜1−11 端末装置、2,2−1,2−2 集約装置、3 中央処理システム、4 MDMS、5 ネットワーク、6 認証サーバ、7 鍵サーバ、11,61,71 通信部、12,62 認証処理部、13,63 暗号処理部、14,72 制御部、15,66,73 記憶部、64 収集管理部、65 鍵取得部。

Claims (9)

  1. マルチホップネットワークを構成する正当な端末装置の前記マルチホップネットワークにおける正当な接続位置を示すトポロジー情報を取得し、端末装置から受信したデータに基づいて前記データの送信元の端末装置のマルチホップネットワークにおける接続位置を求め、求めた接続位置と前記トポロジー情報とに基づいて不正アクセスを検出する検出処理を実施する認証処理部、
    を備えることを特徴とする中央処理装置。
  2. 前記認証処理部は、前記正当な端末装置との間で共通に保持している認証鍵を用いた認証に連続して失敗した回数が閾値以上となった場合に、前記検出処理を実施することを特徴とする請求項1に記載の中央処理装置。
  3. 前記トポロジー情報は、前記正当な端末装置ごとの、前記正当な端末装置のアドレスと前記中央処理装置との間の通信を中継する装置である中継装置の識別情報とを含み、
    前記認証処理部は、端末装置の認証を行うたびに該端末装置のアドレスと認証の時刻と認証結果とを第1の認証ログとして記録し、前記データから前記データの送信元の端末装置のアドレスである送信元アドレスを抽出し、前記トポロジー情報から、前記送信元アドレスに対応する前記中継装置の識別情報を抽出し、抽出した前記中継装置の識別情報に基づく通信経路で前記送信元アドレスに宛てて、端末装置において過去の認証結果を記録した情報である第2の認証ログの取得を要求し、前記第2の認証ログと前記第1の認証ログとが一致しない場合に不正アクセスと判定することを特徴とする請求項2に記載の中央処理装置。
  4. 前記トポロジー情報は、前記正当な端末装置と前記中央処理装置との間の通信を中継する装置である中継装置の識別情報を含み、
    前記認証処理部は、前記データの送信元の端末装置のマルチホップネットワークにおける接続位置として前記データを中継した装置の識別情報を抽出し、抽出した識別情報と前記トポロジー情報に含まれる前記中継装置の識別情報とに基づいて前記不正アクセスを検出することを特徴とする請求項1または2に記載の中央処理装置。
  5. 前記マルチホップネットワークは、前記正当な端末装置と前記正当な端末装置から送信されるデータを集約する集約装置とを含み、
    前記中継装置は前記集約装置であることを特徴とする請求項3に記載の中央処理装置。
  6. 前記中継装置は複数であり、複数の前記中継装置は前記正当な端末装置から送信されるデータを集約する集約装置および1つ以上の前記正当な端末装置であることを特徴とする請求項3に記載の中央処理装置。
  7. 前記トポロジー情報は、前記正当な端末装置ごとの、前記正当な端末装置のアドレスと前記中央処理装置との間の通信を中継する装置である中継装置の識別情報とを含み、
    前記認証処理部は、認証を要求する認証要求を受信すると、前記認証要求から前記認証要求を中継した装置の識別情報を抽出し、抽出した識別情報と前記トポロジー情報に含まれる前記中継装置の識別情報とが一致した場合に、前記正当な端末装置との間で共通に保持している認証鍵を用いた認証を実施し、前記抽出した識別情報と前記トポロジー情報に含まれる前記中継装置の識別情報とが一致しない場合に、不正アクセスと判定することを特徴とする請求項1に記載の中央処理装置。
  8. マルチホップネットワークを構成するスマートメータと、
    前記マルチホップネットワークと接続可能であり、前記スマートメータにより計量された計量結果を収集する中央処理装置と、
    を備え、
    前記中央処理装置は、
    前記マルチホップネットワークにおける正当な前記スマートメータの接続位置を示すトポロジー情報を取得し、受信したデータに基づいて前記データの送信元の装置のマルチホップネットワークにおける接続位置を求め、求めた接続位置と前記トポロジー情報とに基づいて不正アクセスを検出する検出処理を実施する認証処理部、
    を備えることを特徴とする検針システム。
  9. マルチホップネットワークに接続可能な中央処理装置における不正アクセス検出方法であって、
    前記中央処理装置が、前記マルチホップネットワークを構成する正当な端末装置の前記マルチホップネットワークにおける正当な接続位置を示すトポロジー情報を取得する取得ステップと、
    端末装置から受信したデータに基づいて前記データの送信元の端末装置のマルチホップネットワークにおける接続位置を求め、求めた接続位置と前記トポロジー情報とに基づいて不正アクセスを検出する検出ステップと、
    を含むことを特徴とする不正アクセス検出方法。
JP2018109811A 2018-06-07 2018-06-07 中央処理装置、検針システムおよび不正アクセス検出方法 Active JP7050585B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018109811A JP7050585B2 (ja) 2018-06-07 2018-06-07 中央処理装置、検針システムおよび不正アクセス検出方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018109811A JP7050585B2 (ja) 2018-06-07 2018-06-07 中央処理装置、検針システムおよび不正アクセス検出方法

Publications (2)

Publication Number Publication Date
JP2019213131A true JP2019213131A (ja) 2019-12-12
JP7050585B2 JP7050585B2 (ja) 2022-04-08

Family

ID=68847115

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018109811A Active JP7050585B2 (ja) 2018-06-07 2018-06-07 中央処理装置、検針システムおよび不正アクセス検出方法

Country Status (1)

Country Link
JP (1) JP7050585B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021111921A (ja) * 2020-01-14 2021-08-02 富士通株式会社 制御方法、デバイス及び制御システム
JP7072731B1 (ja) * 2021-02-15 2022-05-20 三菱電機株式会社 通信システム、集約装置、中央装置、端末、通信方法および通信プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011121713A1 (ja) * 2010-03-29 2011-10-06 富士通株式会社 ノード、転送方法、および転送プログラム
JP2013201481A (ja) * 2012-03-23 2013-10-03 Nakayo Telecommun Inc 個人認証機能を有する無線中継システム
JP5828439B1 (ja) * 2015-02-27 2015-12-09 楽天株式会社 情報処理装置、情報処理方法、プログラム、記憶媒体

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011121713A1 (ja) * 2010-03-29 2011-10-06 富士通株式会社 ノード、転送方法、および転送プログラム
JP2013201481A (ja) * 2012-03-23 2013-10-03 Nakayo Telecommun Inc 個人認証機能を有する無線中継システム
JP5828439B1 (ja) * 2015-02-27 2015-12-09 楽天株式会社 情報処理装置、情報処理方法、プログラム、記憶媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021111921A (ja) * 2020-01-14 2021-08-02 富士通株式会社 制御方法、デバイス及び制御システム
JP7363497B2 (ja) 2020-01-14 2023-10-18 富士通株式会社 制御方法、デバイス及び制御システム
JP7072731B1 (ja) * 2021-02-15 2022-05-20 三菱電機株式会社 通信システム、集約装置、中央装置、端末、通信方法および通信プログラム
WO2022172455A1 (ja) * 2021-02-15 2022-08-18 三菱電機株式会社 通信システム、集約装置、中央装置、端末、通信方法および通信プログラム

Also Published As

Publication number Publication date
JP7050585B2 (ja) 2022-04-08

Similar Documents

Publication Publication Date Title
CN111835520B (zh) 设备认证的方法、服务接入控制的方法、设备及存储介质
CN108737394A (zh) 离线验证系统、扫码设备和服务器
US9817999B2 (en) Performing demand reset in a secure mobile network environment
WO2008011376A2 (en) System and method for providing network device authentication
JP4129216B2 (ja) グループ判定装置
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
JP7050585B2 (ja) 中央処理装置、検針システムおよび不正アクセス検出方法
JP4992066B2 (ja) 通信システムおよび通信装置
EP2905940B1 (en) Network element authentication in communication networks
CA3204592A1 (en) Secure messaging for outage events
JP5839125B2 (ja) ノードおよび通信方法
US9760717B2 (en) Communication device, system, and control method
JP6290044B2 (ja) 認証システム、認証サーバ、クライアント装置及び認証方法
JP5514521B2 (ja) 通信システムおよび通信装置
JP5949909B2 (ja) ゲートウェイおよび地震検知方法
JP6475271B2 (ja) ゲートウェイ装置、機器、及び通信システム
JP2015170220A (ja) 機器認証方法および機器認証システム
CN117203936A (zh) 使用网络分流器设备监视安全网络
TWI776982B (zh) 支援無線網路切換的可靠伺服管理方法以及裝置
JP6601774B2 (ja) 通信システム及び通信装置
KR100953068B1 (ko) 인터넷 환경에서 보안 이웃 탐색 방법
JP7142272B2 (ja) 通信システム、暗号鍵配布方法、管理通信装置、及び、通信装置
JP5494828B2 (ja) 鍵設定方法、ノード、サーバ、およびネットワークシステム
CN111131200B (zh) 网络安全性检测方法及装置
JP5402087B2 (ja) 通信方法及び通信システム並びにその処理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220329

R150 Certificate of patent or registration of utility model

Ref document number: 7050585

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150