JP5297529B2 - 認証システム - Google Patents

認証システム Download PDF

Info

Publication number
JP5297529B2
JP5297529B2 JP2011519919A JP2011519919A JP5297529B2 JP 5297529 B2 JP5297529 B2 JP 5297529B2 JP 2011519919 A JP2011519919 A JP 2011519919A JP 2011519919 A JP2011519919 A JP 2011519919A JP 5297529 B2 JP5297529 B2 JP 5297529B2
Authority
JP
Japan
Prior art keywords
node
domain
authentication
user
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011519919A
Other languages
English (en)
Other versions
JPWO2010150817A1 (ja
Inventor
尚弘 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2011519919A priority Critical patent/JP5297529B2/ja
Publication of JPWO2010150817A1 publication Critical patent/JPWO2010150817A1/ja
Application granted granted Critical
Publication of JP5297529B2 publication Critical patent/JP5297529B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

本発明は、情報通信網に端末として接続されるノードが他のノードによるサービスを享受するにあたり、サービスが他者に利用されることのないように他のノードと安全に通信することが可能となるようにサービスに関連付けて認証を行う認証システムに関する。
一般に、インターネットやホームネットワークのような情報通信網に端末として接続されるノード(ノードの一部機能でもよい)において、他のノード(ノードの一部機能でもよい)が提供するサービスを享受する場合には、他者にサービスが利用されるのを防止するために、サービスの提供側のノードと享受側のノードとの通信内容を暗号化している。
また、通信を暗号化する暗号鍵には、サービスの提供側と享受側とのノードに配布した共通のセッション鍵を用いることが考えられている。この種のセッション鍵を各ノードに配布するにあたっては、他者に知られないように安全に配送することが要求される。
この種の要求を満たすために、信頼された第三者機関により共有鍵暗号方式による認証を行うことによって、セッション鍵を配布する認証システムが提案されている。この種の認証方法としては、たとえば、クリプトナイト(KryptoKnight)が知られている(たとえば、特許第3078841号公報参照)。
この種の認証方法では、通信の開始者であるノードと通信の応答者であるノードとに共通のセッション鍵を配布するにあたり、第三者機関である認証手段においてセッション鍵を生成し、各ノードごとに規定した秘密鍵を用いてセッション鍵を含む暗号文を生成することにより、セッション鍵を各ノードに対して安全に配布することを可能にしている。すなわち、認証手段が生成したセッション鍵を、各ノードの持つ秘密鍵によってしか開封できない暗号文として各ノードに送信することにより、各ノードに共通のセッション鍵を各ノードごとに安全に配布することが可能になっている。
認証方法には、プッシュシナリオとプルシナリオとがある。プッシュシナリオでは、開始者となるノードが、開始者のノードと応答者のノードとのセッション鍵を含む暗号文を認証手段から受け取って、開始者のノードに宛てたセッション鍵を復号し、認証手段から受け取った応答者のノードへの暗号文を応答者のノードに転送する。また、プルシナリオでは、開始者のノードが応答者のノードを介して認証手段にセッション鍵の配布を要求すると、応答者のノードがセッション鍵を含む暗号文を認証手段から受け取って、応答者のノードに宛てた暗号文を復号し、認証手段から受け取った開始者への暗号文を開始者のノードに転送する。
ところで、共有鍵暗号方式で認証を行う場合に、認証手段にはノードと共通の秘密鍵が何らかの方法で登録される。秘密鍵はノードごとに登録されるから、認証手段では、ノードごとの秘密鍵を用いてセッション鍵を含む暗号文を各ノードに送信することにより、ノードごとにセッション鍵を配布することが可能になる。すなわち、複数のノードに共通のセッション鍵が配布されるから、セッション鍵を用いて暗号化した暗号文を用いてノード間で安全に通信することができる。ただし、認証手段には、各ノードに対応する秘密鍵が1個ずつしか登録されないから、情報通信網内にドメインを1個しか形成することができない。
ここで、ノードが参加するドメインごとに異なるサービスを提供可能とし、1台のノードが享受するサービスを変更可能とするには、ドメインごとに認証手段を設けることが必要であり、またノードにはドメインごとに用いる複数個の秘密鍵が必要になる。したがって、ノードが享受しようとするサービスを変更可能にするには複数の認証手段を設けることが必要であり、しかも、ノードは享受しようとするサービスに応じた認証手段を選択するとともに、選択した認証手段により認証を受けてセッション鍵を取得することが必要である。
すなわち、ノードは享受しようとするサービスごとに秘密鍵を選択するとともに、当該秘密鍵を用いて認証を受けるための認証手段にアクセスすることが必要であるから、サービスの変更に非常に手間がかかるという問題がある。言い換えると、ノードが享受するサービスを変更するには秘密鍵および認証手段を選択しなければならず、ノードの利用者にとって各ノードでセッション鍵を取得する際の手順が複雑になるという問題がある。
本発明は上記事由に鑑みて為されたものであり、その目的は、サービスの内容に応じてノードが通信する範囲であるドメインを規定し、しかもノードが享受するサービスを変更するにあたって、各ドメインで用いるセッション鍵を各ノードが容易に取得できるようにした認証システムを提供することにある。
本発明に係る認証システムは、利用者が利用する利用者ノードと、所属するドメインに対応するサービスを提供する複数のサービスノードと、認証用データベース記憶ユニットと、認証ユニットと、ユーザ情報データベース記憶ユニットと、鍵配布ユニットと、を備える。上記認証用データベース記憶ユニットは、上記利用者ノードの秘密鍵が上記ドメインごとに予め登録された認証用データベースを記憶するように構成される。上記利用者ノードの秘密鍵は上記ドメイン毎に互いに異なっている。上記ユーザ情報データベース記憶ユニットは、上記利用者ノードに上記ドメインを関連付けるアカウントが登録されるユーザ情報データベースを記憶するように構成される。上記利用者ノードは、上記利用者ノードが所属している現在のドメインから上記利用者ノードが所属を希望する希望ドメインへの変更を要求するにあたって、ドメイン変更要求を上記鍵配布ユニットに上記情報通信網を通じて送信するように構成される。上記鍵配布ユニットは、上記利用者ノードから上記ドメイン変更要求を受け取った場合に、上記ユーザ情報データベースに上記利用者ノードに上記希望ドメインを関連付ける上記アカウントが登録されていれば、上記認証用データベースを利用して、上記希望ドメインに対応する上記利用者ノードの上記秘密鍵を取得して上記利用者ノードに上記情報通信網を通じて送信するように構成される。上記認証ユニットは、上記利用者ノードが上記希望ドメインに対応する上記秘密鍵を取得した後に、上記希望ドメインにおいて上記利用者ノードと上記希望ドメインに属する上記サービスノードとの間の暗号化通信に用いられるセッション鍵を発行し、上記発行されたセッション鍵を上記希望ドメインに対応する上記秘密鍵で暗号化して上記情報通信網を通じて上記利用者ノードに送信するように構成される。
好ましい形態では、上記ユーザ情報データベース記憶ユニットに接続された登録ユニットを備え、上記登録ユニットは、上記利用者が操作する入力装置の操作により上記アカウントを上記ユーザ情報データベースに登録するように構成される。
より好ましい形態では、上記複数のサービスノードのうちの連携サービスノードは、上記利用者ノードと連携して動作するサービスを提供するように構成される。上記登録手段は、上記利用者ノードと上記連携サービスノードとの組を上記入力装置の操作によりグループとして上記ユーザ情報データベースに登録する機能を有する。上記鍵配布ユニットは、上記利用者ノードから上記ドメイン変更要求を受け取った場合に、上記ユーザ情報データベースに上記利用者ノードと上記希望ドメインとを関連付ける上記アカウントが登録されており、かつ、上記利用者ノードと上記希望ドメインに属する上記連携サービスノードとの組が上記ユーザ情報データベースに上記グループとして登録されていれば、上記認証用データベース記憶手段に記憶された上記認証用データベースを利用して、上記希望ドメインに対応する上記利用者ノードの上記秘密鍵を取得して上記利用者ノードに上記情報通信網を通じて送信するように構成される。
好ましい形態では、上記鍵配布ユニットは、上記ドメイン変更要求に応じて上記希望ドメインに対応する上記秘密鍵を上記利用者ノードに送信した後に、上記利用者ノードから確認応答を受け取ると、上記現在ドメインに対応する上記秘密鍵を上記認証用データベースから削除するように構成される。
好ましい形態では、上記利用者ノードは、上記認証ユニットから現在の上記ドメインに対応する上記セッション鍵を取得できなくなると、上記利用者ノードが所属している上記ドメインごとにあらかじめ定められた順番で他の上記ドメインに対応する上記セッション鍵を要求するように構成される。
好ましい形態では、上記サービスノードは複数種類のサービスを提供するように構成され、上記認証用データベースには、上記各サービスノードが提供するサービスごとにアクセス制限を行うためのアクセス制限情報が登録され、上記認証ユニットは、上記利用者ノードおよび上記サービスノードに上記セッション鍵を配布する際に上記アクセス制限情報を上記利用者ノードおよび上記サービスノードに設定するように構成される。
本発明に用いるシステムの構成例を示す構成図である。 同上におけるセッション鍵の配布手順を示す動作説明図である。 同上に用いる3者間の鍵配布プロトコルの例を示す動作説明図である。 同上におけるドメインの変更手順を示す動作説明図である。 同上におけるセッション鍵の配布手順を示す動作説明図である。 同上におけるドメインの変更手順を示す動作説明図である。 同上におけるドメインの変更手順を示す動作説明図である。 同上のシステムのサーバの構成例を示す構成図である。
以下に説明する実施形態では、情報通信網に複数のドメインを設け、利用者が管理するノードの所属するドメインを利用者自身によって変更できる構成を示す。ノードは、認証手段からドメインに対応するセッション鍵が配布されることにより、所属するドメインが決められる。
図1に示すように、ここでは、3個のドメインDを設けた場合について説明する。なお、必要に応じて3個のドメインDを符号D1,D2,D3で区別する。ただし、ドメインDの個数は2個でもよく、また4個以上のドメインDを設ける場合もある。また、図示例では、4個のノードNを示しているが、ノードの個数に制限はない。なお、必要に応じて4個のノードNを符号N0,N1,N2,N3で区別する。
図示例において、ノードN0〜N3のうち、ノードN0は以下の説明において着目しているノードであって、ホームネットワークシステムにおける機器を想定している。すなわち、ノードN0は利用者が利用する。このようにノードN0は利用者が利用する利用者ノードNuである。
一方、ノードN1はドメインD1に、ノードN2はドメインD2に、ノードN3はドメインD3に、それぞれ属するノードを示している。ノードN1,N2は、ホームネットワークシステムにおいて利用されるサーバであって、宅内に配置される宅内サーバ、機器の製造者や管理者が利用するサーバなどを想定している。したがって、ノードN1,N2は、所属する各ドメインD1,D2においてノードN0にサービスを提供する。また、ノードN3は、ドメインD3においてノードN0と連携して動作する。ノードN3がノードN0と連携する動作は、ノードN3がノードN0に対して提供するサービスとみなすことができる。このように、ノードN1〜N3は、サービスを提供するノード(サービスノード)Nsである。各ノードN1〜N3は、1種類のサービスを提供するだけではなく、複数種類のサービスを提供してもよい。
各ノードN0〜N3は、インターネット網や宅内網のような情報通信網NTに接続されている。ノードN0は識別子ID0を、ノードN1は識別子ID1を、ノードN2は識別子ID2を、ノードN3は識別子ID3を、それぞれ有する。いずれかの識別子ID0〜ID3を用いることで、ノードNを特定できる。また、各ノードN0〜N3は、情報通信網NTを介してサーバS1と通信するように構成されている。
サーバS1は、ノードN0がノードN1〜N3の提供するサービスを享受するために、ノードN0とノードN1〜N3との関連付けを行う機能を有する。サーバS1の具体的な機能は後述する。
以下では、情報通信網NTにおいて何らかの機能を有する単位を「オブジェクト」として扱う。本実施形態におけるオブジェクトの種別(クラス)には、ノードN0の利用者と、利用者に提供するサービスと、利用者とサービスとの関係を管理するホスト(サーバS1)とがある。
ノードN0の利用者はノードN0の識別子で他のノードの利用者と区別される。ノードN0の識別子ID0とノードN0が属するドメインDとの組み合わせをサーバS1に認証させることによって、ノードN0の所属するドメインDが決定される。さらに、後述するように、各ノードN1〜N3が提供するサービスに識別子(サービス識別子)が付与される。サービス識別子とドメインDとの組み合わせをサーバS1に認証させることによって、ノードN0の享受するサービスが決定される。
本実施形態では、ノードN0が所望のノードNsの提供するサービスを享受するためには、ノードN0が所望のノードNsと共通のセッション鍵を持つ必要がある。セッション鍵は、サーバS1に設けられた認証手段(認証サーバ)AMからノードN0に提供される。ノードN0が、所望のノードNsとセッション鍵を用いて暗号化した通信を行うことにより通信を安全(セキュア)に行うことが可能になっている。なお、必要に応じて3個の認証手段AMを符号AM1〜AM3で区別する。
認証手段AM1はドメインD1に、認証手段AM2はドメインD2に、認証手段AM3はドメインD3にそれぞれ対応付けられている。よって、認証手段AM1はドメインD1のセッション鍵を発行し、認証手段AM2はドメインD2のセッション鍵を発行し、認証手段AM3はドメインD3のセッション鍵を発行する。セッション鍵は、セッション鍵を発行した認証手段AMに対応付けられたドメインDでのみ有効になる。よって、ノードNにセッション鍵を配布することによって、ノードN0の所属するドメインDを決めることができる。
サーバS1は、認証手段AM1〜AM3に加えて、各ドメインD1〜D3に属しているノードN0〜N3の識別子ID0〜ID3および各ノードN0〜N3が各ドメインD1〜D3で使用する秘密鍵とが対応付けて登録される認証用データベースDB1〜DB3と、ノードN0〜N3と共有する秘密鍵をノードN0に配布するプロキシサービスとしての鍵配布手段KD1とを備える。
すなわち、サーバS1は、図8に示すように、認証手段AM1〜AM3に加えて、3つの認証用データベース記憶手段DSと、鍵配布手段(鍵配布ユニット)KD1と、を備える。なお、必要に応じて3つの認証用データベース記憶手段DSを符号DS1,DS2,DS3で区別する。
認証用データベース記憶手段DS1は、ドメインD1に対応する認証用データベース(第1認証用データベース)DB1を記憶するように構成される。第1認証用データベースDB1には、ノードN0の識別子ID0とノードN0がドメインD1で使用する秘密鍵とが対応付けて登録されている。また、第1認証用データベースDB1には、ノードN1の識別子ID1とノードN1がドメインD1で使用する秘密鍵とが対応付けて登録されている。
認証用データベース記憶手段DS2は、ドメインD2に対応する認証用データベース(第2認証用データベース)DB2を記憶するように構成される。第2認証用データベースDB2には、ノードN0の識別子ID0とノードN0がドメインD2で使用する秘密鍵とが対応付けて登録されている。また、第2認証用データベースDB2には、ノードN2の識別子ID2とノードN2がドメインD2で使用する秘密鍵とが対応付けて登録されている。
認証用データベース記憶手段DS3は、ドメインD3に対応する認証用データベース(第3認証用データベース)DB3を記憶するように構成される。第3認証用データベースDB3には、ノードN0の識別子ID0とノードN0がドメインD3で使用する秘密鍵とが対応付けて登録されている。また、第3認証用データベースDB3には、ノードN3の識別子ID3とノードN3がドメインD3で使用する秘密鍵とが対応付けて登録されている。
本実施形態において、3つの認証用データベース記憶手段DSは、認証用データベース記憶ユニットを構成している。認証用データベース記憶ユニットは、第1〜第3認証用データベースDB1〜DB3よりなる認証用データベースDBを記憶しており、この認証用データベースDBには、ノードN0の秘密鍵がドメインDごとに予め登録されている。
鍵配布手段KD1は、ノードN0〜N3と共有する秘密鍵をノードN0に配布するプロキシサービスを行うように構成されている。
このように本実施形態では、認証用データベースDBにおいて、1台のノードN0にドメインD毎に異なる秘密鍵が対応付けられている。さらに、ドメインD2についてはノードN0に対して異なる2個の秘密鍵が対応付けられている。後述する具体例で言えば、ノードN0に関して、第1認証用データベースDB1には秘密鍵K0−1が、第2認証用データベースDB2には秘密鍵K0−21,K0−22、第3認証用データベースDB3には秘密鍵K0−3が、それぞれあらかじめ登録される。K0−Nは、ノードN0の秘密鍵を示す。ここで、「−N」が異なることは秘密鍵が異なることを意味する。すなわち、ノードN0には4種類の秘密鍵K0−1,K0−21,K0−22,K0−3が対応付けられている。ノードN0の状態(ノードN0が所属しているドメインD)によりいずれか1種類の秘密鍵が用いられる。
上述の秘密鍵は、ノードNの製造者などにより事前に認証用データベースDB(DB1〜DB3)に登録される。サーバS1では、認証手段AM1が第1認証用データベースDB1を、認証手段AM2が第2認証用データベースDB2を、認証手段AM3が第3認証用データベースDB3を、それぞれ参照可能になっている。また、鍵配布手段KD1はすべての認証用データベースDBを参照可能になっている。さらに、サーバS1は、ユーザ情報データベース記憶手段(ユーザ情報データベース記憶ユニット)DSuと、登録手段(登録ユニット)RG1とを備えている。
記認証手段(認証ユニット)AMは、セッション鍵生成モジュール10と、秘密鍵取得モジュール11と、暗号化モジュール12と、セッション鍵送信モジュール13と、を備えている。
セッション鍵生成モジュール10は、利用者ノードNu、または、利用者ノードNuにサービスを提供するサービスノードNsである特定サービスノードNsから情報通信網NTを通じてセッション鍵配布要求を受け取ると、利用者ノードNuと特定サービスノードNsとの間の暗号化通信に用いられるセッション鍵を生成するように構成される。
秘密鍵取得モジュール11は、セッション鍵配布要求を受け取ると、認証用データベース記憶ユニットに記憶された認証用データベースDBを参照して、特定サービスノードNsが属するドメインDに対応する利用者ノードNuの秘密鍵(第1秘密鍵)を取得するとともに、特定サービスノードNsの秘密鍵(第2秘密鍵)を取得するように構成される。
暗号化モジュール12は、セッション鍵生成モジュール10が生成したセッション鍵を秘密鍵取得モジュール11が取得した利用者ノードNuの第1秘密鍵を使用して暗号化して利用者用暗号メッセージを作成するとともに、セッション鍵生成モジュール10が生成したセッション鍵を秘密鍵取得モジュール11が取得した特定サービスノードNsの第2秘密鍵を使用して暗号化してサービス用暗号メッセージを作成するように構成される。
セッション鍵送信モジュール13は、暗号化モジュール12が作成した利用者用暗号メッセージを利用者ノードNuに情報通信網NTを通じて送信するとともに、暗号化モジュール12が作成したサービス用暗号メッセージを特定サービスノードNsに情報通信網NTを通じて送信するように構成される。
利用者ノードNuは、利用者ノードNuが所属している現在のドメインDに対応する第1秘密鍵を記憶している。利用者ノードNuは、認証手段AMのセッション鍵送信モジュール13から利用者用暗号メッセージを受け取ると、利用者ノードNuが記憶している第1秘密鍵を利用して利用者暗号メッセージを復号するように構成される。これによって、利用者ノードNuは、認証手段AMからセッション鍵を取得する。
サービスノードNsは、サービスノードNsが所属しているドメインDに対応する第2秘密鍵を記憶している。サービスノードNsは、認証手段AMのセッション鍵送信モジュール13からサービス用暗号メッセージを受け取ると、サービスノードNsが記憶している第2秘密鍵を利用して利用者暗号メッセージを復号するように構成される。これによって、サービスノードNsは、認証手段AMからセッション鍵を取得する。なお、各サービスノードNsの第2秘密鍵は互いに異なる。
このように、利用者ノードNuがサービスノードNsと同じセッション鍵を取得できることは、利用者ノードNuがサービスノードNsと同じドメインDに所属しているということを意味する。
ユーザ情報データベース記憶ユニットDSuは、利用者ノードNuとドメインDとを関連付けるアカウントが登録されるユーザ情報データベースDBuを記憶するように構成される。
利用者ノードNuは、利用者ノードNuが所属している現在のドメインD(例えばドメインD1)から利用者ノードNuが所属を希望する希望ドメインD(例えばドメインD2)への変更を要求するにあたって、希望ドメインDを示すドメイン変更要求を鍵配布手段KD1に情報通信網NTを通じて送信するように構成される。
鍵配布手段KD1は、アカウント確認モジュール20と、秘密鍵要求モジュール21と、秘密鍵送信モジュール22と、を備える。
アカウント確認モジュール20は、ドメイン変更要求を受け取ると、ユーザ情報データベースDSuに、利用者ノードNuと希望ドメインDとを関連付けるアカウントが登録されているか否かを判断するように構成される。
秘密鍵要求モジュール21は、アカウント確認モジュール20がユーザ情報データベースDBuに利用者ノードNuと希望ドメインDとを関連付けるアカウントが登録されていると判断すると、認証用データベース記憶手段に記憶された認証用データベースDBを利用して、希望ドメインDに対応する利用者ノードNuの第1秘密鍵を取得するように構成される。
秘密鍵送信モジュール22は、秘密鍵要求モジュール21が取得した利用者ノードNuの第1秘密鍵を利用者ノードNuに情報通信網NTを通じて送信するように構成される。
利用者ノードNuは、鍵配布手段KD1の秘密鍵送信モジュール22から第1秘密鍵を受け取ると、受け取った第1秘密鍵を現在のドメインDに対応する第1秘密鍵として記憶するように構成される。
利用者ノードNuは、鍵配布手段KD1にドメイン変更要求を送信することによって、鍵配布手段KD1から希望ドメインDに対応する第1秘密鍵を取得できる。その結果、利用者ノードNuは、希望ドメインDに属するサービスノードNsと同じセッション鍵を認証手段AMから受け取ることができるようになる。
本実施形態では、ノードN0の享受するサービスがドメインD1〜D3ごとに異なっている。また、ノードN0は、ドメインD1、ドメインD2、ドメインD3の順でより高次のサービスを享受できる。各ドメインD1〜D3のサービスは個々に独立している。基本的にはノードN0が属するドメインDに応じてノードN0が享受可能なサービスは異なる。ただし、ドメインD1〜D3が階層化されている場合には、ノードN0が最上位のドメインD3に属していると、ノードN0は、ドメインD3におけるサービスだけではなく、ドメインD1,D2におけるサービスも享受することができるようにしてもよい。また、ノードN0がドメインD2に属していると、ノードN0は、ドメインD1,D2の両方のサービスを享受可能になるようにしてもよい。すなわち、ノードN0が属しているドメインDを基準のドメインとしてノードN0が高次のサービスを享受し、必要に応じて、ノードN0が一時的に下位のドメインDに属する状態に切り換えることでノードN0が低次のサービスを享受することを可能にしてもよい。
本実施形態では、ノードN0がドメインDに属することにより享受できるサービスを以下のように規定する。すなわち、ノードN0がドメインD1に属していると、ノードN0はファームウェアアップデートのような最小限のサービスを享受することができる。また、ノードN0がドメインD2に属していると、ノードN0は対価との引き替えに機能拡張のサービスを受けることができる。このドメインD2におけるサービスでは、ノードN0に新たな機能を付加するためのプログラムが提供される。ドメインD1,D2におけるサービスは、ノードN0が単独で動作するためのサービスであるが、ドメインD3では、ノードN0は他のノードとグループを形成するサービスを享受することができる。すなわち、ノードN0は、グループ内のノードと連携することが可能になる。
1.利用者を制限しない場合
初期状態として、ノードN0が工場出荷後に情報通信網NTに接続された状態を想定する。ノードN0は情報通信網NTに接続されて起動されると情報通信網NTに参加を通知する。ノードN0の参加はサーバS1に通知され、サーバS1の第1認証用データベースDB1に登録される。
ノードN1において、他のノード(図示例では、ノードN0)のファームウェアのアップデートを無償で行う必要が生じたときには、ノードN0との間でセキュアに通信を行うことができるように、サーバS1に対して、ノードN0との間で用いるセッション鍵の配布を要求する。言い換えると、共通のセッション鍵をサーバS1から受け取ることによりノードN0,N1は同じドメインD1に属することになる。ドメインD1で用いるセッション鍵は、以下の手順で配布される。
ここでは、何らかの方法によって、ノードN0についてファームウェアのアップデートが必要であることをノードN1が認識したとする。たとえば、ノードN0がノードN1に対して、定期的(1ヶ月に1回、1年に1回など)に、ファームウェアのアップデータの有無を問い合わせれば、ノードN1では、ノードN0のファームウェアのアップデートの要否を認識することができる。
ノードN1がノードN0のファームウェアのアップデートを行うときには、まず、図2に示すように、ノードN1がノードN0にサービスの提供を通知し(P100)、これによって、ノードN0は、サーバS1にセッション鍵の配布を要求するためにセッション鍵配布要求をサーバS1に送信する(P101)。サーバS1では、認証手段AM1がノードN0からのセッション鍵配布要求を受け取り、第1認証用データベースDB1を参照してノードN0の識別子ID0に対応する秘密鍵を取得する。すなわち、認証手段AM1は、ノードN0の識別子1D0を第1認証用データベースDB1に照合する(P102,P103)。
第1認証用データベースDB1には、ドメインD1に属するノードN0,N1の識別子ID0,ID1とともに、ノードN0の秘密鍵(第1秘密鍵)K0−1およびノードN1の秘密鍵(第2秘密鍵)K1が事前(工場出荷時など)に登録されている。認証手段AM1は、秘密鍵K0−1,K1と識別子ID0,ID1とを用い、クリプトナイト(KryptoKnight)あるいはケルベロス(Kerberos)のような周知の3者間の鍵配布プロトコルによりセッション鍵をノードN0,N1に配布する(P104,P105)。なお、以下の説明においても、とくに説明しないが、3者間の鍵配布プロトコルには、クリプトナイトやケルベロスのような周知のプロトコルが用いられる。
以下に説明する動作例では、第1認証用データベースDB1にはノードN0に対応する秘密鍵(第1秘密鍵)K0−1およびノードN1に対応する秘密鍵(第2秘密鍵)K1が、第2認証用データベースDB2にはノードN0に対応する2つの秘密鍵(第1秘密鍵)K0−21,K0−22およびノードN2に対応する秘密鍵(第2秘密鍵)K2が、第3認証用データベースDB3にはノードN0に対応する秘密鍵(第1秘密鍵)K0−3およびノードN3に対応する秘密鍵(第2秘密鍵)K3が、それぞれ事前に登録されている。
なお、秘密鍵K0−21は、ノードN0の所属するドメインDがドメイン(下位ドメイン)D1からドメイン(上位ドメイン)D2に変更された場合に、ノードN0に配布される。一方、秘密鍵K0−22は、ノードN0の所属するドメインDがドメイン(上位ドメイン)D3からドメイン(下位ドメイン)D2に変更された場合に、ノードN0に配布される。
上述のように、ノードN1がノードN0を介してサーバS1にセッション鍵の配布を要求すると、ノードN0,N1に共通のセッション鍵が配布される。これによって、ノードN0はノードN1と同じドメインD1に含まれ(セキュアグループSG1を形成し)、互いに通信することが可能になる。すなわち、ノードN0はドメインD1において提供されるサービス(ここでは、ファームウェアのアップデート)を享受することが可能になる。
上述した3者間鍵配布プロトコルでは、ノードN0がノードN1へのセッション鍵をサーバS1から受け取ると(P104)、ノードN0はセッション鍵をノードN1に引き渡す(P105)。上述の3者間鍵配布プロトコルでは、手順P105の後に、ノードN0,N1に同じセッション鍵が設定されたことを確認する手順を含めてもよい(P106)。手順P106はオプションであるから省略してもよい。
以下に、3者間の鍵配布プロトコル(3PKDP=3 Party Key Distribution Protocol)について簡単に説明する。この鍵配布プロトコルでは、通信の開始者となるノードと通信の応答者となるノードとの一方が他方のデータを中継して認証手段と通信する。これによって、認証手段が生成したセッション鍵を両ノードで共有することができる。3PKDPにおいては、開始者のノードと応答者のノードとのどちらが認証手段と通信するかに応じてプッシュシナリオとプルシナリオとが考えられている。
プッシュシナリオでは、開始者のノードが、応答者のノードと通信した後に認証手段と通信する。これによって、開始者のノードが、認証手段から開始者のノードに宛てた暗号文と応答者のノードに宛てた暗号文とを受け取る。そして、開始者のノードが、開始者のノードに宛てた暗号文からセッション鍵を取得するとともに、応答者のノードに宛てた暗号文を応答者のノードに引き渡す。これによって、応答者のノードがセッション鍵を取得する。
一方、プルシナリオでは、開始者のノードが応答者のノードと通信すると、応答者のノードが、認証手段と通信する。これによって、応答者のノードが、認証手段から開始者のノードに宛てた暗号文と応答者のノードに宛てた暗号文とを受け取る。そして、応答者のノードが、応答者のノードに宛てた暗号文からセッション鍵を取得するとともに、開始者のノードに宛てた暗号文を開始者のノードに引き渡す。これによって、開始者のノードがセッション鍵を取得する。
上述した動作例では、通信の開始者がノードN1であり、通信の応答者がノードN0であり、ノードN0が認証手段AM1にセッション鍵の配布を要求している。よって、上述した動作例は、プルシナリオである。しかしながら、本実施形態では、ノードN0が通信の開始者となって認証手段AM1と通信するプッシュシナリオを採用してもよい。
プッシュシナリオとプルシナリオとのいずれのプロトコルを用いるかにかかわらず、セッション鍵を含む暗号文の正真性(改竄されていないこと)を保証するために、暗号文にはMAC値が付加される。また、認証手段からノードに宛てた暗号文は、認証手段と各ノードとにおいて事前に登録されている秘密鍵を用いて暗号化および復号化される。また、認証手段では、ノードで生成されたノンスとセッション鍵とノードの識別情報とをメッセージとし秘密鍵を用いてMAC値を算出し、ノードに宛ててセッション鍵とMAC値を含めて暗号化した暗号文を送信する。
プルシナリオの一例を図3に示す。図示例では、ノードA(上述の動作例ではノードN1)が開始者であり、ノードB(上述の動作例ではノードN0)が応答者になる。ここで、ノードAは、認証手段AMと共通の秘密鍵(共通鍵)Ka(上述の動作例では秘密鍵K1)を事前に保有しており、ノードBは、認証手段AMと共通の秘密鍵(共通鍵)Kb(上述の動作例では秘密鍵K2)を事前に保有している。
ノードAは、ノンスNaを生成し、ノードAの識別情報IDaとともに、生成したノンスNaを送信する(P1)。ノードAから識別情報IDaとノンスNaとを受け取ったノードBは、ノンスNbを生成し、ノードAから受け取った識別情報IDaとノンスNaとに加えて、ノードBの識別情報IDbとノンスNbとを含むセッション鍵配布要求を認証手段AMに送信する(P2)。
認証手段AM(セッション鍵生成モジュール10)は、セッション鍵配布要求(識別情報IDa,IDbおよびノンスNa,Nb)をノードBから受け取ると、セッション鍵Ksを生成する。また、認証手段AM(秘密鍵取得モジュール11)は、認証用データベースDBからノードAと共通の秘密鍵Kaを取得する。認証手段AM(暗号化モジュール12)は、ノードAと共通の秘密鍵Kaを用いて、ノンスNaとセッション鍵KsとノードBの識別情報IDbとでメッセージ認証コードの値(MAC値)MAC〔Ka〕(Na,Ks,IDb)を計算する。さらに、認証手段AM(暗号化モジュール12)は、計算されたMAC値をノンスNsa(=MAC〔Ka〕(Na,Ks,IDb))に用い、ノンスNsaとセッション鍵Ksとを暗号化した暗号文(サービス用暗号メッセージ){ENC〔Ka〕(Nsa) XOR Ks}を生成する。
加えて、認証手段AM(秘密鍵取得モジュール11)は、認証用データベースDBからノードBと共通の秘密鍵Kbを取得する。認証手段AM(暗号化モジュール12)は、ノードBと共通の秘密鍵Kbを用いて、ノンスNbとセッション鍵KsとノードAの識別情報IDaとでMAC値MAC〔Kb〕(Nb,Ks,IDa)を計算する。さらに、認証手段AM(暗号化モジュール12)は、計算されたMAC値をノンスNsb(=MAC〔Kb〕(Nb,Ks,IDa))に用い、ノンスNsbとセッション鍵Ksとを暗号化した暗号文(利用者用暗号メッセージ){ENC〔Kb〕(Nsb) XOR Ks}を生成する。
認証手段AM(セッション鍵送信モジュール13)によって、セッション鍵Ksを含む2つの暗号文(利用者用暗号メッセージ、サービス用暗号メッセージ)は、それぞれMAC値が付加されてノードBに送信される(P3)。ノードBは、認証手段AMから暗号文を受け取ると、秘密鍵Kbで暗号化された暗号文を復号化して、ノンスNsbとセッション鍵Ksとを取得する。また、ノンスNsbは、MAC値MAC〔Kb〕(Nb,Ks,IDa)である。よって、ノードBは、既知のノンスNbおよび識別情報IDaと取得したセッション鍵Ksとを用いてMAC値を計算する。ノードBは、計算したMAC値を受信したMAC値と照合することにより、暗号文の正真性を確認する。
次に、ノードBは、認証手段AMから受け取ったノードAへの暗号文{ENC〔Ka〕(Nsa) XOR Ks}とMAC値MAC〔Ka〕(Na,Ks,IDb)とをノードAに転送する。また、ノードBは、セッション鍵KsによるMAC値MAC〔Ks〕(Na,Nb,IDb)を計算し、認証手段AMから受け取ったノードAへの暗号文およびMAC値に、計算したMAC値とノンスNbとを付加してノードAに送信する(P4)。
ノードAは、ノードBから暗号文{ENC〔Ka〕(Nsa) XOR Ks}を受信すると、秘密鍵Kaを用いて復号化し、ノンスNsaとセッション鍵Ksとを取得する。また、ノードAは、ノードBと同様に、MAC値MAC〔Ka〕(Na,Ks,IDb)、MAC〔Ks〕(Na,Nba,IDb)を計算する。ノードAは、計算されたMAC値を受信したMAC値と照合することにより、暗号文の正真性を確認する。
その後、ノードAは、セッション鍵KsによるMAC値MAC〔Ks〕(Na,Nb)を算出し、ノードBに返送する(P5)。ノードBは、手順P1においてナンスNaを受け取っている。そのため、ノードBは、MAC値MAC〔Ks〕(Na,Nb)を算出することにより、ノードAからの応答であることを確認することができる。
なお、ノードA,Bがセッション鍵Ksを受け取ったことを認証手段AMにおいて確認する必要があれば、手順P5の前に、ノードAは、秘密鍵KaによるMAC値MAC〔Ka〕(Na,Ks)を算出して、MAC値MAC〔Ks〕(Na,Nb)とともにノードBに送信してもよい。この場合、ノードBは、ノードAからの応答を確認すると、秘密鍵KbによるMAC値MAC〔Kb〕(Nb,Ks)を算出して、ノードAから受け取ったMAC値〔Ka〕(Na,Ks)とともに認証手段AMに送信する(P6)。
認証手段AMは、ノードBから受け取った2個のMAC値MAC〔Ks〕(Na,Nb),MAC〔Kb〕(Nb,Ks)を用いてノードA,Bがセッション鍵Ksを受け取ったことを確認することができる。
2.利用者を制限する場合
上述したように、ノードN0は、ドメインD1においては、ファームウェアの無償アップデートのような必要最小限のサービスしか享受できない。ノードN0がさらに高次のサービスを受けるには、ノードN2が提供するサービスを享受することができるように、ノードN2の属しているドメインD2にノードN0が参加することが必要になる。
ところで、高次のサービスを提供する場合、サービス提供者は、サービスに対する対価を求める場合が多い。ここでは、ドメインD2において高次のサービスを提供するにあたり、ノードN0の利用者による対価の支払いが可能になるように、ノードN0をドメインD2に参加させるための付帯条件としてノードN0を利用する利用者の登録を要求している。
ノードN0は、機器であって、利用者の登録を行うための入力手段を備えているとは限らない。そのため、利用者の登録にあたっては、ノードN0とは別に設けられた入力装置IMが用いられる。入力装置IMは、たとえば移動体電話機や情報端末(パーソナルコンピュータやPDAなど)である。サーバS1には、利用者の登録を行う機能を実現するために、上述したように登録手段RG1とユーザ情報データベース記憶手段DSuとが設けられている。登録手段RG1は、移動体電話網のような情報通信網NT2を介して入力装置IMと通信するように構成される。ユーザ情報データベース記憶手段DSuは、利用者名とノードN0の識別子ID0とを対応付けて登録されたユーザ情報データベースDBuを記憶している。
ノードN0の利用者の登録を入力装置IMを用いて行うには、まず、入力装置IMによって登録手段RG1にアクセスする(P200)。その後に、利用者名とノードN0の識別子ID0とを登録手段RG1を介してユーザ情報データベースDBuに登録する(P201,P202)。
ユーザ情報データベースDBuには、ノードNxの利用者Usのアカウントは、Us:{IDx}という形式で登録される。たとえば、ノードN0の利用者U0が登録を行うと、ユーザ情報データベースDBuには、U0:{ID0}という形式でアカウントが登録される。また、ノードN0、N2における利用者U0のアカウントは、U0:{ID2,ID0}で表される。ユーザ情報データベースDBuの内容については後述する。
ユーザ情報データベースDBuに設定されたアカウントは入力装置IMに返送される(P203)。入力装置IMは、ユーザ情報データベースに登録された内容を入力装置IMの表示部に表示させる。したがって、入力装置IMの操作者が登録内容を確認できる。
ノードN0の利用者U0のアカウントがユーザ情報データベースDBuに登録されていると、ノードN0が所属するドメインの変更が可能になる。ドメインの変更は、ノードN0から鍵配布手段KD1に対して要求する。すなわち、利用者は、ノードN0を操作することにより、ドメインD1からドメインD2への変更を鍵配布手段KD1に要求する。ドメインD1からドメインD2に変更する要求(ドメイン変更要求)には、ノードN0の識別子ID0と、所属を希望するドメイン(希望ドメイン)D2の識別子とが含まれる。
利用者がノードN0の所属するドメインの変更を要求するのは、たとえば、ノードN0の利用者U0が現状のサービスよりも高次のサービスの存在を認知し、そのサービスを享受しようとする場合である。ノードN0の利用者U0が高次のサービスの存在を認知する契機には、ノードN0がサービスを検知した場合、ノードN0が定期的にサービスの変更を確認している場合、他ノードからノードN0に新たなサービスを通知してきた場合などがある。
ここでは、図4に示す手順を用いて、ドメインD1に属しているノードN0がドメインD2に属する状態への変更を要求するとする。この場合、ノードN0は、ノードN0の識別子ID0と現在のドメイン(現在ドメイン)D1と希望するドメイン(希望ドメイン)D2とを指定して鍵配布手段KD1にドメイン変更要求を送信する(P300)。鍵配布手段KD1は、各ドメインD1〜D3と各認証手段AM1〜AM3とを対応付けた表1のようなテーブルを備えている。鍵配布手段KD1は、ドメイン変更要求に含まれる現在ドメインD1および希望ドメインD2を表1のテーブルと照合し、認証手段AM1,AM2を抽出する。
Figure 0005297529
また、鍵配布手段KD1(アカウント確認モジュール20)は、ノードN0からドメイン変更要求を受け取ると、ユーザ情報データベースDBuにノードN0の利用者U0のアカウントが登録されているか否かを確認する(P301,P302)。ユーザ情報データベースに利用者U0のアカウントが登録されていると、鍵配布手段KD1(秘密鍵要求モジュール21)は、現在ドメインD1に対応して表1のテーブルから抽出された認証手段AM1と、希望ドメインD2に対応して表1のテーブルから抽出された認証手段AM2とに、それぞれ識別子ID0を引き渡す(P303,P304)。
認証手段AM1は、鍵配布手段KD1から識別子ID0を受け取ると、認証手段AM1に付設された第1認証用データベースDB1に識別子ID0を照合する。同様に、認証手段AM2は、鍵配布手段KD1から識別子ID0を受け取ると、認証手段AM2に付設された第2認証用データベースDB2に識別子ID0を照合する(P305〜P308)。これによって、認証手段AM1は、秘密鍵K0−1を取得する。また、認証手段AM2は、ノードN0に対応する秘密鍵K0−21と、ノードN2に対応する秘密鍵K2とを取得する。
認証手段AM1は、ノードN0に対応する秘密鍵を第1認証用データベースDB1から取得できるか否かによって、ノードN0がドメインD1に属しているか否かを確認する。上記の場合、認証手段AM1は、秘密鍵K0−1を第1認証用データベースDB1から取得できたから、ノードN0がドメインD1に属していると判定する。認証手段AM1は、判定した結果を鍵配布手段KD1に通知する(P309)。ノードN0がドメインD1に属していることが確認された場合、鍵配布手段KD1(秘密鍵要求モジュール21)は、認証手段AM2が第2認証用データベースDB2から取得したドメインD2の秘密鍵K0−21を認証手段AM2から取得する(P310)。鍵配布手段KD1(秘密鍵送信モジュール22)は、認証手段AM2から取得した秘密鍵K0−21をノードN0に配布する(P311)。ノードN0は、ドメインD2に対応する秘密鍵K0−21を受け取ると、ドメインD1に属していたときに用いていた秘密鍵(すなわち、現在ドメインD1に対応する秘密鍵)K0−1を削除し、以後の通信では秘密鍵(希望ドメインD2に対応する秘密鍵)K0−21を用いる。この動作により、ノードN0が所属するドメインDがドメインD1からドメインD2に変更される。
一方、鍵配布手段KD1は、ノードN0に秘密鍵K0−21を配布した後、第1認証用データベースDB1からのノードN0の識別子ID0および秘密鍵K0−1のエントリの削除と(P312)、第2認証用データベースDB2へのノードN0の識別子ID0および秘密鍵K0−21のエントリの作成(P313)とを行う。鍵配布手段KD1によるエントリの削除と作成とは、どちらを先に行ってもよい。
ここで、第1認証用データベースDB1からのノードN0の識別子ID0および秘密鍵K0−1のエントリの削除は、ノードN0に秘密鍵K0−21を配布したことをもって自動的に行うことが可能できる。この場合、仮にノードN0への秘密鍵K0−21の配布が失敗したとすると、ノードN0は秘密鍵K0−1のみを持つことになる。一方、第1認証用データベースDB1から秘密鍵K0−1のエントリが削除されているから、ノードN0は秘密鍵K0−1を用いても、ドメインD1に属することができない。また、秘密鍵K0−21を持っていないから、ノードN0はドメインD2にも属することができない。つまり、ノードN0はドメインD1,D2のいずれにも属することができなくなる。
このような事態を回避するために、ノードN0をドメインD1に属する状態からドメインD2に属する状態に変更したこと(つまり、秘密鍵K0−21を受け取ったこと)についてノードN0から鍵配布手段KD1に確認応答を行ってもよい(P314)。この場合、鍵配布手段KD1は、ノードN0からの確認応答をトリガとして、第1認証用データベースDB1からのノードN0の識別子ID0および秘密鍵K0−21のエントリの削除を行う。つまり、ノードN0が秘密鍵K0−21を受け取ったことを鍵配布手段KD1が確認した後にノードN0をドメインD1から削除する。これによって、両ドメインD1,D2のいずれかにノードN0が属することを保証することができる。なお、手順P312はオプションであり、適宜に選択可能である。
上述のようにしてノードN0がドメインD2に属するための秘密鍵K0−21を取得すると、図5に示すように、認証手段AM2は、秘密鍵K2,K0−21を用い、周知の3者間の鍵配布プロトコルによって、ノードN0,N2がドメインD2において用いるセッション鍵を配布する(この手順は、図2に示した手順と同様である)。
すなわち、ノードN2がノードN0にサービスを提供するときには、まず、ノードN0にサービスの提供を通知し(P400)、これによって、ノードN0がサーバS1の認証手段AM2にセッション鍵の配布を要求する(P401)。サーバS1では、認証手段AM2が、ノードN0からのセッション鍵配布要求を受け取って、第2認証用データベースDB2を参照して、ノードN0の識別子ID0に対応する秘密鍵K−021と、ノードN2の識別子ID2に対応する秘密鍵K2とを取得する(P402,P403)。
そして、認証手段AM2は、秘密鍵K0−21,K2と識別子ID0,ID2とを用い、周知の3者間の鍵配布プロトコルによりセッション鍵をノードN0,N2に配布する(P404,P405)。
上述のように、ノードN2がノードN0を介してサーバS1にセッション鍵の配布を要求し、ノードN0,N2に共通のセッション鍵が配布される。これによって、ノードN0はノードN2と同じドメインD2に含まれ、互いに通信することが可能になる。すなわち、ノードN0はドメインD2において提供されるサービス(ここでは、機能拡張のサービス)を享受することが可能になる。
上述した3者間の鍵配布プロトコルでは、ノードN0がノードN2へのセッション鍵をサーバS1から受け取ると(P404)、受け取ったセッション鍵をノードN2に引き渡す(P405)。上述した3者間の鍵配布プロトコルでは、手順P405の後に、ノードN0,N2に同じセッション鍵が設定されたことを確認する手順を含めてもよい(P406)。ただし、手順P406はオプションであるから省略してもよい。
なお、上述の例では、ノードN0がドメインD2に属するときに、秘密鍵K0−21を1個だけ持たせている。しかしながら、ノードN0がドメインD2に属するときに、下位のドメインD1で用いる秘密鍵K0−1を削除せずにそのまま持たせてもよい。この場合、ノードN0は、ドメインD2で用いる秘密鍵K0−21をデフォルトで用いる。
すなわち、ノードN0は2個の秘密鍵K0−1,K0−21を持っていてもよい。この場合、ノードN0は、デフォルトで秘密鍵K2を用いることによってドメインD2に属する。ノードN0がドメインD1のサービスを享受しようとするときには、ノードN0は、認証手段AM1にアクセスし、秘密鍵K0−1を用いて認証手段AM1からノードN1とのセッション鍵を取得する。この動作によって、ノードN0はノードN1にアクセスすることが可能になる。そのため、ノードN0は、ファームウェアのアップデートなどドメインD1におけるサービスを享受することができる。
このように、ノードN0のドメインDを下位のドメインD1から上位のドメインD2に変更した場合に、ノードN0は、両ドメインD1,D2に対応する2個の秘密鍵K0−1,K0−21を保有していてもよい。この場合、ノードN0は、通常は上位のドメインD2に対応した秘密鍵K0−21を用いることができる。しかも、ノードN0は、必要に応じて下位のドメインD1に対応した秘密鍵K0−1を用いて認証手段AM1からセッション鍵を取得することが可能になる。
この場合、ノードN0はドメインD1でのサービスの享受を終了した後に、セッション鍵の有効期間が満了すると秘密鍵K0−21を用いる状態に自動的に復帰する。あるいはまた、ノードN0において適宜の操作がなされることにより秘密鍵K0−21を用いる状態に戻る。つまり、ノードN0は一時的にドメインD1に属することになる。
さらに、ノードN0が上位のドメインD2に属する状態において一時的に下位のドメインD1に属する状態を選択する動作に代えて、上位のドメインD2に属する状態で、下位のドメインD1にも属するようにしてもよい。すなわち、下位のドメインD1と上位のドメインD2とを選択することなく同時に利用可能としてもよい。
3.グループを形成する場合
上述したように、ノードN0がドメインD1あるいはドメインD2に属するときには、ノードN0は単独でサービスを享受している。以下では、ノードN0がさらに上位のドメインD3に属することによって、ノードN0のグループ登録を可能にする場合について説明する。グループ登録が行われると、たとえば、ノードN0と、ノードN0と同グループに属している他のノードとの連携動作が可能になる。
ノードN0がドメインD3でのサービスを享受するには、ドメインD2でのサービスを享受する場合と同様に、利用者U0のアカウントがユーザ情報データベースDBuに登録されている必要がある(図4の手順P200〜P203を参照)。ノードN0がドメインD3に属する状態に変更される前にドメインD2に属していた場合には、ユーザ情報データベースDBuには利用者U0のアカウントがすでに登録されている。そのため、利用者U0のアカウントを利用できる。しかしながら、ドメインD3では、グループ登録を行うから、アカウントには、利用者名およびノードN0の識別子ID0のほかに、ノードN0とともにグループをなすノードの登録も必要である。
以下では、ノードN3をノードN0とともにグループをなすノードとする。つまり、ユーザ登録データベースにアカウントを登録する際に、利用者名およびノードN0の識別子ID0を登録することに加え、ノードN0の識別子ID0とノードN3の識別子ID3とのグループ登録を行う。ユーザ登録データベースDBuへの利用者U0のアカウントの登録には、ドメインD2のサービスを享受する場合と同様に入力装置IMが用いられる。
ユーザ情報データベースDBuにおいて、ノードNxを利用する利用者Usのアカウントについて、ノードNxをグループGyに登録するには次のようにすればよい。すなわち、ノードNxを利用者Usに対応付けるために、アカウントをUs:{IDx}という形式で登録する。さらに、ノードNxをグループGyに登録するために、グループをGy:{IDx}という形式で登録する。ここでのノードNxの識別子IDxは、利用者UsやグループGyに対応付けられるすべてのノードの識別子を含む。
ドメインD3に含まれるノードN3のほか、ドメインD3の下位のドメインD2に含まれるノードN2も利用者に対応付けるとすると、ノードN0の利用者U0のアカウントとして、U0:{ID2,ID3,ID0}という内容が登録される。また、利用者U0がグループ登録を行うグループをG1として、グループG1において、ドメインD3のノードN3のみをノードN0に対応付けるとすれば、G1:{ID3,ID0}という内容が登録される。
上述のように、ユーザ情報データベースDBuにおいて、ノードN0の利用者U0のアカウントとして、利用者U0に3個のノードN0,N2,N3が対応付けられ、そのうち、グループG1に2個のノードN0,N3が対応付けて登録されている場合を想定する。つまり、ユーザ情報データベースDBuにおいて、利用者U0のアカウントとして、グループG1に対応付けるノードN0,N3の識別子ID0,ID3が登録されているものとする。
ここで、ノードN0のドメインDがドメインD2からドメインD3に変更されるように、利用者がノードN0を操作すると、図6に示すように、ノードN0は、ノードN0の識別子ID0と現在ドメインD2と希望ドメインD3とを指定して鍵配布手段KD1にドメイン変更要求を送信する(P600)。利用者がノードN0の所属するドメインを変更するための操作を行う契機は、ノードN0がドメインD1に属している状態からドメインD2に属する状態に変更する場合と同様である。
ノードN0から鍵配布手段KD1へのドメインの変更要求では、現在ドメインD2と希望ドメインD3とが指定されている。そのため、ドメイン変更要求を受けた鍵配布手段KD1は、表1のテーブルを参照して、現在ドメインD2および希望ドメインD3にそれぞれ対応する認証手段AM2,AM3を抽出する。
ノードN0がドメインD3に属するためには、ノードN0が利用する秘密鍵を変更する必要がある。すなわち、ノードN0がドメインD2に属しているときには、ノードN0は秘密鍵K0−21を用いているが、ドメインD3では秘密鍵K0−3を用いる。現状の秘密鍵K0−21から新たな秘密鍵K0−3を取得する手順は、ノードN0のドメインDをドメインD1からドメインD2に変更する際の手順P300〜P311と同様である。ただし、認証手段AM1を認証手段AM2に、認証手段AM2を認証手段AM3に、認証用データベースDB1を認証用データベースDB2に、認証用データベースDB2を認証用データベースDB3に、それぞれ読み替える必要がある。
ノードN0のドメインDをドメインD2からドメインD3に変更する手順を、以下に簡単に説明する。上述したように鍵配布手段KD1は、ノードN0からドメイン変更要求を受けて、認証手段AM2,AM3を抽出する。さらに、鍵配布手段KD1は、ユーザ情報データベースDBuにノードN0の利用者U0のアカウントが登録されているか否かを確認する(P601,P602)。利用者U0のアカウントがユーザ情報データベースDBu登録されていると、鍵配布手段KD1は、認証手段AM2,AM3にそれぞれノードN0の識別子ID0を引き渡す(P603,P604)。その後、認証手段AM2は第2認証用データベースDB2に識別子ID0に対応する秘密鍵が登録されているか否かを確認する。また、認証手段AM3は第3認証用データベースDB3に識別子ID0に対応する秘密鍵が登録されているか否かを確認する(P605〜P608)。
これによって、認証手段AM2は、ノードN0がドメインD2で使用する秘密鍵K0−21を取得する。また、認証手段AM3は、ノードN0がドメインD3で使用する秘密鍵K0−3を取得する。
認証手段AM2は秘密鍵K0−21を、認証手段AM3は秘密鍵K0−3を、それぞれ鍵配布手段KD1に渡す(P609,P610)。鍵配布手段KD1は、秘密鍵K0−21を用いてノードN0に秘密鍵K0−3を配布する(P611)。ノードN0は、秘密鍵K0−3を受け取ると、ドメインD2に属していたときに用いていた秘密鍵(すなわち現在ドメインD2に対応する秘密鍵)K0−21を削除する。ノードN0は、以後の通信では秘密鍵(希望ドメインD3に対応する秘密鍵)K0−3を用いる。これによって、ノードN0の属するドメインDがドメインD2からドメインD3に変更されたことになる。
また、鍵配布手段KD1は、ノードN0に秘密鍵K0−3を配布した後、第2認証用データベースDB2からのノードN0の識別子ID1および秘密鍵K0−21のエントリの削除と(P612)、第3認証用データベースDB3へのノードN0の識別子ID1および秘密鍵K0−3のエントリの作成(P613)とを行う。ドメインD1からドメインD2への変更と同様に、鍵配布手段KD1によるエントリの削除と作成とは、どちらを先に行ってもよい。
また、ノードN0に秘密鍵K0−3を配布した後に、第2認証用データベースDB2からノードN0の識別子ID1および秘密鍵K0−21のエントリを自動的に削除してもよい。しかしながら、ノードN0への秘密鍵K0−3の配布が失敗していたとすると、ノードN0は秘密鍵K0−3を持たないにもかかわらず、秘密鍵K0−21のエントリが第2認証用データベースDB2から削除されている。そのため、ノードN0はドメインD2,D3のいずれにも属することができなくなる。
そこで、ノードN0が秘密鍵K0−3を受け取った後に鍵配布手段KD1に対して確認応答を行う処理(P614)と、鍵配布手段KD1がノードN0から確認応答を受信したことをトリガとして認証用データベースDB2からのノードN0の識別子ID1および秘密鍵K0−21のエントリの削除を行う処理とをオプションとして付加してもよい。
ノードN0がドメインD3に属するための秘密鍵K0−3を取得した後は、ドメインD3に属するノードN0,N3の間で通信が必要になったときに、認証手段AM3では、秘密鍵K3,K0−3を用い、周知の3者間の鍵配布プロトコルを用いてドメインD3に属する各ノードN0,N3にセッション鍵を配布する。セッション鍵の配布手順は、図2に示した手順P100〜P106、あるいは図5に示した手順P400〜P406と同様であるから説明を省略する。
ドメインD3に属する各ノードN0,N3にセッション鍵が配布されると、ノードN0はノードN3とグループを形成する。これによって、ノードN0とノードN3との連携動作が可能になる。連携動作については後述する。
なお、上述の例では、ドメインD3に属するノードN0は、秘密鍵K0−3だけを有している。しかしながら、秘密鍵K−021を必ずしも削除する必要はない。すなわち、ドメインD3に属するノードN0は、秘密鍵K−03と秘密鍵K0−21との両方を有していてもよい。この場合、ノードN0は、秘密鍵K0−3をデフォルトで用いる。
この場合、鍵配布手段KD1は、秘密鍵K0−3をノードN0に配布した後に、第2認証用データベースDB2におけるノードN0の識別子ID0および秘密鍵K0−21のエントリを削除しないように構成される。また、ノードN0も秘密鍵K0−21を削除しないように構成される。
ノードN0は、秘密鍵K0−3をデフォルトで用いる。そのため、ノードN0は、デフォルトでドメインD3に属する。ノードN0は、ドメインD2のサービスを享受しようとするときには、認証手段AM2にアクセスしてドメインD2で用いる秘密鍵K0−21を用いて認証手段AM2からノードN2と同じセッション鍵を取得する。この動作によって、ノードN0はノードN2にアクセスすることが可能になる。よって、ノードN0は、ドメインD2におけるサービスを享受することが可能になる。
上述の例ではドメインD2でのサービスを享受する場合について説明したが、同様の処理をドメインD1からドメインD2への変更の際にも行ってもよい。すなわち、ノードN0が3種類の秘密鍵K0−1,K0−21,K0−3を保持していれば、ドメインD2でのサービスだけではなく、ドメインD1でのサービスも享受することが可能である。
ノードN0に複数種類の秘密鍵を持たせる場合に、ドメインD3以外でのサービスの享受を終了した後に、セッション鍵の有効期間が満了すると秘密鍵K0−3を用いる状態に自動的に復帰するのが望ましい。また、ノードN0において適宜の操作がなされることにより秘密鍵K0−3を用いる状態に復帰させてもよい。
さらに、上述のようにノードN0が属するドメインを切り換える動作に代えて、複数のドメインに同時に属するようにしてもよい。すなわち、ノードN0が上位のドメインD3でのサービスを利用する状態において、下位のドメインD1,D2でのサービスも同時に利用可能にしてもよい。
上述の動作例では、ノードN0の属するドメインDをドメインD1からドメインD2に変更する場合と、ドメインD2からドメインD3に変更する場合とが例示されている。しなしながら、ノードN0のドメインDをドメインD1からドメインD3に変更することも可能であり、その場合も、同様の手順を用いることができる。
ノードN0のドメインDをドメインD1からドメインD3に変更する場合の手順を簡単に説明する。上述のように、ノードN0がドメインD3に属するためには、まず、登録手段RG1を用いてユーザ情報データベースDBuに利用者のアカウントを登録するとともにグループ登録を行う必要がある。次に、ノードN0が、鍵配布手段KD1に、ドメインD1からドメインD3へのドメイン変更要求を送信する。変更要求を受けた鍵配布手段KD1は、認証手段AM1,AM3を抽出する。鍵配布手段KD1は、第1認証用データベースDB1に登録されている秘密鍵K0−1と第3認証用データベースDB3に登録されている秘密鍵K0−3を用いることにより、ノードN0に秘密鍵K0−3を送信する。これによって、ノードN0の保有する秘密鍵が秘密鍵K0−1から秘密鍵K0−3に変更される。
なお、ノードN0がドメインD1またはドメインD2に属する場合は、ドメインD1,D2に含まれるすべてのノードN1,N2との間でセッション鍵を共有して安全に通信することができる。しかしながら、ノードN0がドメインD3に属する場合は、ドメインD3内においてノードN0とグループG1をなす一部のノードN3との間でセッション鍵を共有して安全に通信を行うことになる。
4.下位ドメインに変更する場合
以下では、ノードN0が属するドメインを上位ドメインから下位ドメインに変更する手順について説明する。各ドメインD1〜D3でのサービスをあらためて例示しておく。すなわち、上述の例では、ドメインD1ではノードN0はファームウェアアップデートのような基本的なサービスを無料で享受できる。ドメインD2ではノードN0は有料のサービスを享受できる。ドメインD3ではノードN0はドメイン内の他のノードとグループを形成することができ、これによって複数のノードの連携動作が可能になる。
したがって、ノードN0が属するドメインDを上位ドメインD3から下位ドメインD2に変更すると、連携動作ができなくなる。ノードN0が属するドメインDを上位ドメインD2から下位ドメインD1に変更すると、有料のサービスを享受できなくなる。さらに、ノードN0のドメインDをドメインD3からドメインD1に変更することも可能である。
以下では、ノードN0のドメインDがドメインD3からドメインD2に変更される場合を例として説明する。しかしながら、ノードN0のドメインDがドメインD2からドメインD1に変更される場合や、ノードN0のドメインDがドメインD3からドメインD1に変更される場合も同様の手順になる。
ノードN0のドメインDをドメインD3からドメインD2に変更する場合には、ユーザ情報データベースDBuの利用者U0のアカウントU0:{ID2,ID3,ID0}からノードN0の識別子ID0を削除する。ただし、ユーザ情報データベースDBuには、ドメインD2に対応するアカウントU0:{ID2,ID0}が必要である。よって、上述したアカウントU0:{ID2,ID3,ID0}からドメインD3に属するノードN3の識別子ID3を削除するようにしてもよい。また、グループ登録を解除するから、ユーザ情報データベースDBuのグループG1の登録内容G1:{ID3,ID0}からノードN0の識別情報ID0を削除する。
ユーザ情報データベースDBuにおける利用者のアカウントやグループ登録の登録内容を変更するには、利用者のアカウントやグループをユーザ情報データベースDBuに登録した場合と同様に、入力装置IMにより登録手段RG1にアクセスし、入力装置IMにより登録手段RG1を介して、ユーザ情報データベースDBuからノードN0のドメインD3に関するアカウントおよびグループ(グループ登録)を削除する。
ユーザ情報データベースDBuの変更は、登録手段RG1を介して入力装置IMに返送される。したがって、ユーザ情報データベースDBuの変更を入力装置IMに付設された表示部で確認することができる。登録か削除かの相違はあるが、この手順は図4に示した手順P200〜P203と同様である。
上述した動作例に従えば、ノードN0がドメインD3に属しているときに、ノードN0の利用者U0のアカウントはU0:{ID2,ID3,ID0}であり、グループはG1:{ID3,ID0}になっている。したがって、ノードN0におけるドメインD3に関するアカウントおよびドメインD3に関するグループをユーザ情報データベースDBuから削除すると、アカウントはU0:{ID2,ID0}になり、グループはG1:{ID3}になる。
その後、ノードN0において、ドメインDをドメインD3からドメインD2に変更する操作を行うと、ドメインを下位ドメインから上位ドメインに変更する場合と同様に、ノードN0は鍵配布手段KD1にアクセスする(P900)。ここで、鍵配布手段KD1は、ユーザ情報データベースDBuのアカウントを確認する(P901,P902)。すなわち、鍵配布手段KD1は、ユーザ情報データベースDBuを利用して、ノードN0がドメインD2におけるサービスを享受しようとしていることを確認する。
したがって、鍵配布手段KD1は、表1に示されたテーブルを参照して、現在ドメインD3に対応する認証手段AM3と、希望ドメインD2に対応する認証手段AM2とをそれぞれ抽出する。鍵配布手段KD1は、抽出された認証手段AM3に、現在ドメインD3に対応する秘密鍵K0−3が認証用データベースDB3に登録されているか否かを確認させる。このようにして、鍵配布手段KD1は、認証用データベースDB3に秘密鍵K0−3が登録されていることを確認する(P903〜P906)。
その後、鍵配布手段KD1は、認証手段AM2を介して認証用データベースDB2にアクセスし、第2認証用データベースDB2からノードN0に対応する秘密鍵K0−22を取得する(P907〜P910)。
鍵配布手段KD1は、秘密鍵K0−22を取得すると、ノードN0に秘密鍵K0−22を配布する(P911)。また、鍵配布手段KD1は、認証用データベースDB3からノードN0の識別子ID1および秘密鍵K0−3のエントリを削除する。これによって、ノードN0がドメインD3におけるサービスを享受できなくなる。
ここで、認証用データベースDB3からノードN0の識別子ID1および秘密鍵K0−3のエントリを削除するタイミングは、ノードN0の属するドメインDを上位のドメインDに変更する場合と同様に、鍵配布手段KD1が秘密鍵K0−22をノードN0に配布した後の任意のタイミングとしてもよい。しかしながら、ノードN0が秘密鍵K0−22を受け取った際に確認応答を行う場合(P912)、鍵配布手段KD1はノードN0から確認応答が受け取った際に、認証用データベースDB3におけるノードN0の識別子ID1および秘密鍵K0−3のエントリを削除するのが好ましい。もちろん、手順P912は適宜に選択できるオプションである。
上述のようにしてノードN0が秘密鍵K0−22を取得すると、認証手段AM2は、秘密鍵K3,K0−22を用い、周知の3者間の鍵配布プロトコルによって、ノードN0,N2にドメインD2用のセッション鍵を配布する。セッション鍵を配布する手順は、図2における手順P100〜P106、図5における手順P400〜P406と同様であるから説明を省略する。
なお、ノードN0の属するドメインDを下位のドメインD1から上位のドメインD2に変更した場合は、上位のドメインD2におけるサービスだけではなく下位のドメインD1におけるサービスを享受することを可能にする場合もある。しかしながら、ノードN0の属するドメインDを上位のドメインD3から下位のドメインD2に変更した場合は、上位のドメインD3におけるサービスを享受することはできなくなる。
上述の動作例では、ノードN0の属するドメインDをドメインD3からドメインD2に変更する場合のみを例示したが、ドメインD2からドメインD1に変更する場合、ドメインD3からドメインD1に変更する場合も同様の動作になる。
ところで、ユーザ情報データベースDBuにおける利用者Usのアカウントでは、上述したように、利用者UsにノードNxの識別子IDxが対応付けられている。また、ユーザ情報データベースDBuにおける利用者Usのアカウントのグループ登録では、ノードNがグループに対応付けられている。
ユーザ情報データベースDBuに利用者Usのアカウントを設定する場合、グループ登録を行うか否かにかかわらず、登録手段RG1により利用者Usに対応付けてノードNxの識別子IDxが登録されるか削除される。グループ登録を行う場合、登録手段RG1によりグループに含まれるノードNxの識別子IDxが登録されるか削除される。なお、ユーザ情報データベースDBuからアカウントが削除された後には、アカウントは未登録になる。
また、上述したように、ノードの利用者がユーザ情報データベースDBuにアカウントを登録しただけではノードの属するドメインは変更されない。プロキシサービスとしての鍵配布手段KD1の管理下において認証手段AMが対応するドメインDで使用されるセッション鍵をノードN0に発行することによりノードN0のドメインDが変更される。
下記の表2は、ユーザ情報データベースDBuの具体例を示す。なお、表2において、ステータスの値は、アカウントの状態を示す。たとえば、「0」が未登録、「1」が登録、「2」が削除を表す。
Figure 0005297529
5.ドメイン変更の優先度
以下では、ノードN0の設定変更などにより、ノードN0の属しているドメインDで用いるセッション鍵を認証手段AMから得ることができなくなった場合に、ノードN0の属するドメインDを変更する動作を説明する。
上述したように、認証システムは、3つのドメインD1〜D3に階層化されている。ドメインD3はドメインD2よりも上位のドメインであり、ドメインD2はドメインD1よりも上位のドメインである。また、ノードN0が属しているドメインDに応じてドメインDを変更する順番(優先度)の規則が表3のように規定されている。
Figure 0005297529
表3によれば、たとえば、ドメインD3に属しているノードN0が認証手段AM3からドメインD3に対応するセッション鍵を取得できなくなると、ノードN0はまずドメインDをドメインD3からドメインD2への変更しようとする。つまり、ノードN0は、認証手段AM2にアクセスしてドメインD2に対応するセッション鍵を取得しようとする。ここで、認証手段AM2からセッション鍵を受け取ることができない場合には、ノードN0はドメインDをドメインD3からドメインD1へ変更しようとする。つまり、ノードN0は認証手段AM1にアクセスしてドメインD1に対応するセッション鍵を取得しようとする。
同様にして、ドメインD2に属しているノードN0が認証手段AM2からドメインD2に対応するセッション鍵を取得できなくなると、ノードN0はまずドメインDをドメインD2からドメインD3へ変更しようとする。つまり、ノードN0は、認証手段AM3にアクセスしてドメインD3に対応するセッション鍵を取得しようとする。認証手段AM3からセッション鍵が得られない場合は、ノードN0はドメインDをドメインD2からドメインD1へ変更しようとする。つまり、ノードN0は、認証手段AM1にアクセスしてドメインD1に対応するセッション鍵を取得しようとする。
さらに、ドメインD1に属するノードN0が認証手段AM1からドメインD1に対応するセッション鍵を取得することができない場合には、ノードN0はまずドメインDをドメインD1からドメインD2へ変更しようとする。つまり、ノードN0は、認証手段AM2にアクセスしてドメインD2に対応するセッション鍵を取得しようとする。認証手段AM2からドメインD2に対応するセッション鍵が得られない場合は、ノードN0はドメインDをドメインD1からドメインD3へ変更しようとする。つまり、ノードN0は、認証手段AM3にアクセスしてドメインD3に対応するセッション鍵を取得しようとする。
本動作例では、3種類のドメインD1〜D3を用いている。ノードN0が2種類のドメインについてセッション鍵の取得を試みてもセッション鍵を取得することができなければ、ノードN0はいずれの認証手段AM1〜AM3からもセッション鍵を得ることができないということになる。このような場合には、ノードN0を初期状態に戻し、情報通信網NTにあらためて参加させる。
上述したように、ノードN0が、自身が所属するドメインDの認証手段AMからセッション鍵を取得できなくなると、表3に示した規則に従って他のドメインDの認証手段AMにアクセスしてセッション鍵を取得しようとする。すなわち、ノードN0が属しているドメインDに応じて、セッション鍵を取得するためにアクセスする認証手段AMの順番が決められている。ノードN0は、この決められた順番で認証手段AMにアクセスする。なお、表3に示した規則では、ノードN0のドメインDが現在のドメインDよりも上位のドメインDに変更されるように、ドメインDの優先順位が決定されている。
6.サービスを単位とする場合
上述した動作例では、各ノードNs(N1〜N3)が1つのサービスを提供する例を示した。しかしながら、各ノードNs(N1〜N3)は、複数のサービスを提供するように構成されていてもよい。この場合、各ノードNsは、サービスごとにノードN0に提供するか否かを選択するように構成されていてもよい。一例としては、ドメインD2においてサービスを享受するために課金が必要な場合に、料金別にサービスを変更するような場合がある。
以下では、ノードNiの識別子をIDiとする。また、ノードNiにおいて提供ないし享受するサービスに識別子Bjを付与する。なお、以下の説明において「サービスBj」という表記は、識別子Bjで特定されるサービスを意味する。
ノードNiにおいてサービスBjを提供可能である場合には、(Ni provide Bj)と記述する。ノードNiにおいてサービスBjを享受する形態としては、読出、書込、実行の3種類がある。ノードNiにおいてサービスBjの読出/書込/実行が可能である場合には、(Ni read/write/exec Bj)と記述する。これらの情報(アクセス制限)は、入力装置IMを用いるなどして認証手段AMにあらかじめ登録されている。認証手段AMがノードNiにセッション鍵を与える際に各ノードNiに設定される。
上述した各動作例では、ノードNiのアクセス可能範囲がドメインの範囲内であって、ノードを単位としたアクセス制限がなされている。これに対して、各ノードNiにおいてサービスBjについて提供と享受とを分ける場合には、サービスBjを単位として操作内容を含むアクセス制限がなされる。したがって、各ノードNiにおいて、複数のサービスBjが実行可能であり、各サービスBjを単位としてアクセス制限がなされる。
たとえば、ノードN0が、ドメインD1において、ノードN1の提供するファームウェアアップデートというサービスB1を享受する場合には、認証手段AM1(認証用データベースDB1)に、(N0 read B1)と(N1 provide B1)とが登録される。
また、ドメインD2において、ノードN2が提供する読出と書込とが可能な課金されたサービスB2をノードN0が享受する場合には、認証手段AM2に、(N0 read/write B2)と(N2 provide B2)とが登録される。ドメインD2において、ノードN2が提供するファームウェアアップデートのような読出のみの課金されたサービスB2′をノードN0が享受する場合には、認証手段AM2に、(N0 read B2′)と(N2
provide B2′)とが登録される。
さらに、ドメインD3において、ノードN0がノードN3と連携する場合には、ノードN3の提供するサービスB3に対して読出と書込とに加えて実行が必要になる。そのため、認証手段AM3に、(N0 read/write/exec B3)と(N3 provide B3)とが登録される。
上述した動作を表4、表5にまとめる。表4におけるアクセス制限は認証手段AMに登録される。認証手段AMに登録されたアクセス制限は、認証手段AMに対応したドメインDに所属するノードNにセッション鍵の配布時に設定される。表5には各サービスBjの内容をまとめている。
Figure 0005297529
Figure 0005297529
本動作では、ノードN0が属するドメインDに応じて、ドメインDに含まれるノードNとセッション鍵を共有することによりサービスを享受するだけではない。本動作では、サービスB1,B2,B2′,B3と表4にアクセス制限として示した規則を適用することにより、ドメインD内においてサービスを細分化して享受することを可能にしている。
すなわち、ノードN0にドメインDの範囲内でノードNと共通のセッション鍵が配布されることにより、ノードN0はドメインDで制限された範囲内のサービスを享受する。さらに、サービスBjの提供と供給とを分けることにより、サービスBjを単位として操作内容を含むアクセス制限が可能になる。言い換えると、各ノードNsは、複数のサービスを提供することが可能になる。しかも、アクセス制限の規則を付加することで、ドメインD内でもサービスの提供範囲を制限することが可能になる。
一例として、利用者U0が、登録手段RG1の設定でノードN0に対して、有料のファームウェアアップデートというサービスB2′を選択した場合を想定する。この場合、表4における(ID0 read B2′)と(ID2 provide B2′)とのアクセス制限が利用者情報データベースDBuに設定される。したがって、ノードN0がドメインD2で用いるセッション鍵を認証手段AM2から取得する際には、有料のファームウェアアップデートという限定的なサービスB2′のみにアクセスすることが可能になる。すなわち、利用者データベースDBuに設定されたアクセス制限は、その後、認証手段AM(対応する認証用データベースDB1〜DB3)に設定され、また、ノードNにも設定される。アクセス制限は、利用者データベースDBuと認証手段AM(対応する認証用データベースDB1〜DB3)との双方で設定された後に、ノードNに設定されてもよい。
ところで、サービスによるアクセス制限を行う場合に、サービスを享受するノードにおいては読出(read)が設定され、サービスを提供するノードにおいては提供(provide)が設定されていなければ、サービスを享受するノードはサービスを提供するノードにアクセスできない。すなわち、サービスを享受するノードのアクセス制限の情報とサービスを提供するノードのアクセス制限の情報との間に対応関係がなければ、ビジビリティ(視認性)がない(つまり、不可視である)。そのため、この特徴を利用してサービスの存在を隠蔽することが可能である。
表4を用いて例示すると、(N0 read B2′)がノードN0に、(N2 provide B2′)がノードN2にそれぞれ設定されていなければ、ノードN0からはノードN2のサービスB2′が不可視である。つまり、サービスを享受するノードN0(Nu)とサービスを提供するノードN2(Ns)とのいずれか一方(実際には、ノードN0)で上述の設定が行われていなければ、ノードN0からはサービスB2′が不可視になる。そのため、サービスB2′の存在を隠蔽することができる。
なお、ノードが属するドメインを変更しなくても、ドメイン間の信頼関係によって異なるドメインに属するノード間で通信することを可能にすれば、他のドメインのノードが提供している特定のサービスを享受することも可能である。
なお、ドメイン間の信頼関係は、クリプトナイトにおける複数ドメイン間をまたがるノード間のセキュア通信を行う際に用いられる。ドメイン間の信頼関係は、ドメイン同士が相手のドメイン鍵(上述した秘密鍵)を保有していることを意味する。
さらに、上述の例では、各ドメインDに認証手段AMと認証用データベース記憶手段DSとが対応付けられている。すなわち、3つの認証手段AM1,AM2,AM3と、3つの認証用データベース記憶手段DS1,DS2,DS3とが設けられている。しかしながら、3つの認証手段AM1〜AM3の機能をすべて有する1つの認証手段が設けられていてもよい。また、3つの認証用データベースDS1〜DS3の機能をすべて有する1つの認証用データベース記憶手段を有していてもよい。
以上述べたように本実施形態の認証システムは、情報通信網に設けられ利用者が利用するノードとサービスを提供するノードとを含む複数のノードと、情報通信網に設定した複数のドメインを有し利用者が利用する1つのノードに対してドメインごとに異なる秘密鍵が事前に登録された認証用データベースと、認証用データベースにノードを照合し当該ノードが属するドメインでの秘密鍵を取得する認証手段と、利用者が利用するノードにサービスを提供するノードを関連付けるアカウントが登録されるユーザ情報データベースと、利用者が利用するノードから所属するドメインの変更要求を受けると当該ノードに関するアカウントがユーザ情報データベースに登録されていることを確認し認証手段を通して当該ノードについて変更後のドメインにおける秘密鍵を取得して変更後の秘密鍵をノードに配布する鍵配布手段とを有し、認証手段は、利用者の利用するノードが変更後のドメインで用いる秘密鍵を取得した後に、変更後のドメインにおいて当該ノードが他のノードと通信する際に用いるセッション鍵を発行するとともに、当該ドメインで用いる秘密鍵によるメッセージ認証を行ったセッション鍵を各ノードに配布することを特徴とする。
すなわち、本実施形態の認証システムは、利用者が利用する利用者ノードNuと、所属するドメインDに対応するサービスを提供する複数のサービスノードNsと、認証用データベース記憶ユニットDSと、認証ユニット(認証手段)AMと、ユーザ情報データベース記憶ユニットDSuと、鍵配布ユニット(鍵配布手段)KD1と、を備える。認証用データベース記憶ユニットDSは、利用者ノードNuの秘密鍵がドメインD(D1〜D3)ごとに予め登録された認証用データベース(DB1〜DB3)を記憶するように構成される。利用者ノードNuの秘密鍵はドメインD毎に互いに異なっている。ユーザ情報データベース記憶ユニットDSuは、利用者ノードNuにドメインDを関連付けるアカウントが登録されるユーザ情報データベースDBuを記憶するように構成される。利用者ノードNuは、利用者ノードNuが所属している現在のドメインDから利用者ノードNuが所属を希望する希望ドメインDへの変更を要求するにあたって、ドメイン変更要求を鍵配布ユニットKD1に情報通信網NTを通じて送信するように構成される。鍵配布ユニットKD1は、利用者ノードNuからドメイン変更要求を受け取った場合に、ユーザ情報データベースDBuに利用者ノードNuに希望ドメインDを関連付けるアカウントが登録されていれば、認証用データベースDB1〜DB3を利用して、希望ドメインDに対応する利用者ノードNuの秘密鍵を取得して利用者ノードNuに情報通信網NTを通じて送信するように構成される。認証ユニットAMは、利用者ノードNuが希望ドメインDに対応する秘密鍵を取得した後に、希望ドメインDにおいて利用者ノードNuと希望ドメインDに属するサービスノードNsとの間の暗号化通信に用いられるセッション鍵を発行し、発行されたセッション鍵を希望ドメインDに対応する秘密鍵で暗号化して情報通信網NTを通じて利用者ノードNuに送信するように構成される。
本実施形態の構成によれば、利用者が利用するノードN0が所属するドメインDをあらかじめユーザ情報データベースDbuに登録しておき、アカウントが設定されているときには、鍵配布手段KD1によりドメインDに応じた秘密鍵をノードNに配布し、当該秘密鍵を用いてセッション鍵を配布するから、秘密鍵の配布にあたってアカウントの設定を用いることによって、秘密鍵により規定されるドメインDを安全に変更することができる。しかも、各ドメインDに対応する秘密鍵を用いてセッション鍵を配布するから、セッション鍵はドメインDを超えて使用されることがなく、サービスの提供範囲をドメインDの範囲内に制限することができる。
また、利用者が操作する入力装置の操作によりアカウントを登録する登録手段がユーザ情報データベースに付設されていてもよい。
すなわち、好ましい形態では、ユーザ情報データベース記憶ユニットDSuに接続された登録ユニット(登録手段)RG1を備える。登録ユニットRG1は、利用者が操作する入力装置IMの操作によりアカウントをユーザ情報データベースDBuに登録するように構成される。
このように、ユーザ情報データベースDBuにアカウントを設定する際に利用者が操作する入力装置IMを用いる構成を採用すれば、アカウントの設定と秘密鍵の配布とが独立して行われ、秘密鍵の配布の際の安全性を高めることができる。
さらに、ドメインのうちのいずれかでは、ノードが利用者の利用するノードと連携して動作することをサービスとして提供し、登録手段は、連携して動作するノードの組を入力装置の操作によりグループとしてユーザ情報データベースに登録する機能を有し、認証手段は、利用者が利用するノードから当該ドメインに所属するようにドメインの変更が要求されると、ユーザ情報データベースにグループが登録されているときに当該ドメインで用いる秘密鍵を配布するようにしてもよい。
すなわち、より好ましい形態では、複数のサービスノードNsのうちの連携サービスノードN3は、利用者ノードNuと連携して動作するサービスを提供するように構成される。登録手段RG1は、利用者ノードNuと連携サービスノードN3との組を入力手段(入力装置)IMの操作によりグループとしてユーザ情報データベースDbuに登録する機能を有する。鍵配布ユニットKD1は、利用者ノードNuからドメイン変更要求を受け取った場合に、ユーザ情報データベースDbuに利用者ノードNuと希望ドメインDとを関連付けるアカウントが登録されており、かつ、利用者ノードNuと希望ドメインDに属する連携サービスノードN3との組がユーザ情報データベースDbuにグループとして登録されていれば、認証用データベースDB1〜DB3を利用して、希望ドメインDに対応する利用者ノードNuの秘密鍵を取得して利用者ノードNuに情報通信網NTを通じて送信するように構成される。
このように、ドメインDに所属する複数台のノードNをグループとして連携させる際に、ユーザ情報データベースDBuにおいてグループになるノードNが登録されているときに、ノードNの連携を可能にするドメインD(D3)で用いる秘密鍵の配布を可能にする構成を採用すれば、利用者のアカウントだけではなくグループを確認することで、秘密鍵をより安全に配布することが可能になる。
鍵配布手段は、利用者が利用するノードから所属するドメインの変更が要求されることにより当該ドメインにおける秘密鍵を当該ノードに配布した後に、当該ノードから確認応答を受け取ると、変更前のドメインで用いていた秘密鍵のエントリを前記認証用データベースから削除することができる。
すなわち、好ましい形態では、鍵配布ユニット(鍵配布手段)KD1は、ドメイン変更要求に応じて希望ドメインに対応する秘密鍵を利用者ノードNuに送信した後に、利用者ノードNuから確認応答を受け取ると、現在ドメインDに対応する秘密鍵を認証用データベースDB1〜DB3から削除するように構成される。
このように、秘密鍵をノードNに配布した後に確認応答を受け取った後に、認証用データベースDB1〜DB3における秘密鍵(のエントリ)を削除する構成を採用すれば、通信の異常などによりノードNが持つ秘密鍵と認証用データベースDB1〜DB3における秘密鍵のエントリとに矛盾が生じるという事態を避けることができ、ノードNが所属するドメインDの変更を確実に行うことができる。
さらに、利用者の利用するノードは、認証手段からセッション鍵を取得できなくなると、ノードが所属しているドメインごとにあらかじめ定められた順番で他のドメインに対応する認証手段からのセッション鍵の取得を試みるようにしてもよい。
すなわち、好ましい形態では、利用者ノードNuは、認証ユニットAMから現在のドメインDに対応するセッション鍵を取得できなくなると、利用者ノードNuが所属しているドメインDにあらかじめ定められた順番で他のドメインDに対応するセッション鍵を要求するように構成される。
このように、利用者の利用するノードNuが認証手段AMからセッション鍵を取得できなくなると、他のドメインDの認証手段AMからのセッション鍵の取得を試みる構成を採用すれば、セッション鍵を用いた通信が不通になった場合でも、優先度に従って通信を回復できる可能性が高くなる。たとえば、サービスに対価を支払っているドメインDでセッション鍵を取得することができない場合に、対価が不要なサービスを行うドメインDで用いるセッション鍵の取得を要求すれば、ノードに残されている秘密鍵を用いてセッション鍵が取得可能な場合があり、このような事例においてノードはセッション鍵を取得し、あらためてドメインDの変更を要求することが可能になる。
また、サービスを提供するノードは複数種類のサービスを提供可能であって、認証用データベースは、各ノードが提供するサービスごとにアクセス制限を行う情報を持ち、認証手段は、ノードへのセッション鍵の配布を行う際にアクセス制限の情報をノードに設定するようにしてもよい。
すなわち、好ましい形態では、サービスノードNsは複数種類のサービスを提供するように構成される。認証用データベースDB1〜DB3には、各サービスノードNsが提供するサービスごとにアクセス制限を行うためのアクセス制限情報が登録される。認証ユニットAMは、利用者ノードNuおよびサービスノードNsにセッション鍵を配布する際にアクセス制限情報を利用者ノードNuおよびサービスノードNsに設定するように構成される。
このように、サービスを提供するノードNが複数種類のサービスを提供可能である場合には、認証用データベースDB1〜DB3においてサービスごとにアクセス制限を行うようにすれば、サービスの提供範囲をドメインの範囲に制限することに加えて、サービスを単位としてアクセスの範囲を制限することになり、サービスをより限定した範囲で提供することが可能になる。したがって、サービスに対価を求めるドメインDを規定している場合に、サービスの単位でアクセス制限を行うことにより、料金に応じてサービスの内容を異ならせるという対応が可能になる。

Claims (6)

  1. 利用者が利用する利用者ノードと、
    所属するドメインに対応するサービスを提供する複数のサービスノードと、
    認証用データベース記憶ユニットと、
    認証ユニットと、
    ユーザ情報データベース記憶ユニットと、
    鍵配布ユニットと、を備え、
    上記認証用データベース記憶ユニットは、上記利用者ノードの秘密鍵が上記ドメインごとに予め登録された認証用データベースを記憶するように構成され、
    上記利用者ノードの秘密鍵は上記ドメイン毎に互いに異なっており、
    上記ユーザ情報データベース記憶ユニットは、上記利用者ノードに上記ドメインを関連付けるアカウントが登録されるユーザ情報データベースを記憶するように構成され、
    上記利用者ノードは、上記利用者ノードが所属している現在のドメインから上記利用者ノードが所属を希望する希望ドメインへの変更を要求するにあたって、ドメイン変更要求を上記鍵配布ユニットに上記情報通信網を通じて送信するように構成され、
    上記鍵配布ユニットは、上記利用者ノードから上記ドメイン変更要求を受け取った場合に、上記ユーザ情報データベースに上記利用者ノードに上記希望ドメインを関連付ける上記アカウントが登録されていれば、上記認証用データベースを利用して、上記希望ドメインに対応する上記利用者ノードの上記秘密鍵を取得して上記利用者ノードに上記情報通信網を通じて送信するように構成され、
    上記認証ユニットは、上記利用者ノードが上記希望ドメインに対応する上記秘密鍵を取得した後に、上記希望ドメインにおいて上記利用者ノードと上記希望ドメインに属する上記サービスノードとの間の暗号化通信に用いられるセッション鍵を発行し、上記発行されたセッション鍵を上記希望ドメインに対応する上記秘密鍵で暗号化して上記情報通信網を通じて上記利用者ノードに送信するように構成される
    ことを特徴とする認証システム。
  2. 上記ユーザ情報データベース記憶ユニットに接続された登録ユニットを備え、
    上記登録ユニットは、上記利用者が操作する入力装置の操作により上記アカウントを上記ユーザ情報データベースに登録するように構成される
    ことを特徴とする請求項1記載の認証システム。
  3. 上記複数のサービスノードのうちの連携サービスノードは、上記利用者ノードと連携して動作するサービスを提供するように構成され、
    上記登録手段は、上記利用者ノードと上記連携サービスノードとの組を上記入力装置の操作によりグループとして上記ユーザ情報データベースに登録する機能を有し、
    上記鍵配布ユニットは、
    上記利用者ノードから上記ドメイン変更要求を受け取った場合に、
    上記ユーザ情報データベースに上記利用者ノードと上記希望ドメインとを関連付ける上記アカウントが登録されており、かつ、上記利用者ノードと上記希望ドメインに属する上記連携サービスノードとの組が上記ユーザ情報データベースに上記グループとして登録されていれば、
    上記認証用データベース記憶手段に記憶された上記認証用データベースを利用して、上記希望ドメインに対応する上記利用者ノードの上記秘密鍵を取得して上記利用者ノードに上記情報通信網を通じて送信するように
    構成されている
    ことを特徴とする請求項2記載の認証システム。
  4. 上記鍵配布ユニットは、上記ドメイン変更要求に応じて上記希望ドメインに対応する上記秘密鍵を上記利用者ノードに送信した後に、上記利用者ノードから確認応答を受け取ると、上記現在ドメインに対応する上記秘密鍵を上記認証用データベースから削除するように構成される
    ことを特徴とする請求項1記載の認証システム。
  5. 上記利用者ノードは、上記認証ユニットから現在の上記ドメインに対応する上記セッション鍵を取得できなくなると、上記利用者ノードが所属している上記ドメインにあらかじめ定められた順番で他の上記ドメインに対応する上記セッション鍵を要求するように構成されている
    ことを特徴とする請求項1記載の認証システム。
  6. 上記サービスノードは複数種類のサービスを提供するように構成され、
    上記認証用データベースには、上記各サービスノードが提供するサービスごとにアクセス制限を行うためのアクセス制限情報が登録され、
    上記認証ユニットは、上記利用者ノードおよび上記サービスノードに上記セッション鍵を配布する際に上記アクセス制限情報を上記利用者ノードおよび上記サービスノードに設定するように構成される
    ことを特徴とする請求項1記載の認証システム。
JP2011519919A 2009-06-23 2010-06-23 認証システム Active JP5297529B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011519919A JP5297529B2 (ja) 2009-06-23 2010-06-23 認証システム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009148960 2009-06-23
JP2009148960 2009-06-23
JP2011519919A JP5297529B2 (ja) 2009-06-23 2010-06-23 認証システム
PCT/JP2010/060643 WO2010150817A1 (ja) 2009-06-23 2010-06-23 認証システム

Publications (2)

Publication Number Publication Date
JPWO2010150817A1 JPWO2010150817A1 (ja) 2012-12-10
JP5297529B2 true JP5297529B2 (ja) 2013-09-25

Family

ID=43386586

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011519919A Active JP5297529B2 (ja) 2009-06-23 2010-06-23 認証システム

Country Status (6)

Country Link
US (1) US8656164B2 (ja)
EP (1) EP2448171A4 (ja)
JP (1) JP5297529B2 (ja)
CN (1) CN102461061B (ja)
SG (1) SG176968A1 (ja)
WO (1) WO2010150817A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171525B1 (en) 2011-09-15 2012-05-01 Google Inc. Enabling users to select between secure service providers using a central trusted service manager
US8255687B1 (en) * 2011-09-15 2012-08-28 Google Inc. Enabling users to select between secure service providers using a key escrow service
US8385553B1 (en) 2012-02-28 2013-02-26 Google Inc. Portable secure element
US8429409B1 (en) 2012-04-06 2013-04-23 Google Inc. Secure reset of personal and service provider information on mobile devices
JP5395938B1 (ja) * 2012-09-25 2014-01-22 株式会社東芝 連携サービス提供システム及びサーバ装置
US9166791B2 (en) 2013-11-20 2015-10-20 At&T Intellectual Property I, L.P. Method and apparatus for user identity verification
DE102014109906B4 (de) * 2014-07-15 2016-03-03 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt
US9806887B1 (en) 2014-09-23 2017-10-31 Amazon Technologies, Inc. Authenticating nonces prior to encrypting and decrypting cryptographic keys
US10467429B2 (en) * 2016-09-14 2019-11-05 Faraday & Future Inc. Systems and methods for secure user profiles
US10951600B2 (en) * 2017-05-08 2021-03-16 Microsoft Technology Licensing, Llc Domain authentication
JP7373832B2 (ja) * 2019-06-28 2023-11-06 株式会社ユピテル システム、及びプログラム等

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228501A (ja) * 2006-02-27 2007-09-06 Kddi Corp ユーザ認証方法、認証サーバ及びシステム
JP2008310506A (ja) * 2007-06-13 2008-12-25 Toshiba Corp 情報端末装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6136204A (ja) 1984-07-27 1986-02-20 Mitsui Petrochem Ind Ltd 歯牙用硬化性樹脂組成物
US5729608A (en) 1993-07-27 1998-03-17 International Business Machines Corp. Method and system for providing secure key distribution in a communication system
US7711122B2 (en) * 2001-03-09 2010-05-04 Arcot Systems, Inc. Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
CN1204712C (zh) * 2003-06-11 2005-06-01 中国科学院计算技术研究所 一种实现跨管理域文件共享的方法
FR2881596A1 (fr) * 2005-01-28 2006-08-04 Thomson Licensing Sa Procede de protection de contenus numeriques audio et/ou video et dispositifs electroniques mettant en oeuvre ce procede
KR20070032885A (ko) 2005-09-20 2007-03-23 엘지전자 주식회사 유비쿼터스 망의 보안 시스템 및 방법
CN101652956B (zh) * 2007-04-05 2013-08-21 皇家飞利浦电子股份有限公司 无线传感器网络密钥分配

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228501A (ja) * 2006-02-27 2007-09-06 Kddi Corp ユーザ認証方法、認証サーバ及びシステム
JP2008310506A (ja) * 2007-06-13 2008-12-25 Toshiba Corp 情報端末装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CSNH199900212007; 貫井春美,平沢裕,中村英夫: '"セキュリティ技術 分散環境におけるユーザ認証システム"' 東芝レビュー 第47巻,第6号, 19920601, p.491-494, 株式会社東芝 *
JPN6013023208; 貫井春美,平沢裕,中村英夫: '"セキュリティ技術 分散環境におけるユーザ認証システム"' 東芝レビュー 第47巻,第6号, 19920601, p.491-494, 株式会社東芝 *
JPN6013023211; Jennifer G. Steiner, Clifford Neuman, Jeffrey I. Schiller: "Kerberos: An Authentication Service for Open Network Systems" , 19880330, p.191-202, [online] *
JPN7012004412; Larry J. Hughes, Jr. 著/長原宏治 監訳: "インターネットセキュリティ" 初版, 19970221, p.94-108、120-121, 株式会社インプレス *

Also Published As

Publication number Publication date
EP2448171A1 (en) 2012-05-02
CN102461061A (zh) 2012-05-16
JPWO2010150817A1 (ja) 2012-12-10
SG176968A1 (en) 2012-02-28
CN102461061B (zh) 2014-09-10
EP2448171A4 (en) 2015-09-09
WO2010150817A1 (ja) 2010-12-29
US8656164B2 (en) 2014-02-18
US20120096266A1 (en) 2012-04-19

Similar Documents

Publication Publication Date Title
JP5297529B2 (ja) 認証システム
CN110059503B (zh) 可追溯的社交信息防泄露方法
US8059818B2 (en) Accessing protected data on network storage from multiple devices
US7813510B2 (en) Key management for group communications
CN100388852C (zh) 用于询问-应答用户鉴权的方法和系统
CN113691560B (zh) 数据传送方法、控制数据使用的方法以及密码设备
US20060159268A1 (en) Method and system for device authentication in home network
EP3726797A1 (en) Key distribution method, device and system
KR101985179B1 (ko) 블록체인 기반의 ID as a Service
CN110191153B (zh) 基于区块链的社交通信方法
JP4620755B2 (ja) ワイヤレスホームエリアネットワークを動作させる方法及び装置
CN101483866B (zh) Wapi终端证书的管理方法、装置及系统
Asokan Anonymity in a mobile computing environment
CN102447679B (zh) 一种保障对等网络数据安全的方法及系统
WO2005078988A1 (en) Key management for network elements
US8819415B2 (en) Method and device for authenticating personal network entity
CN101300543A (zh) 用于提供授权材料的方法和装置
US20080189297A1 (en) Securely Storing and Accessing Data
JP2017216596A (ja) 通信システム、通信装置、通信方法、及びプログラム
CN110034925A (zh) 跨机房可信计算集群形成及通信方法和装置
EP1843274B1 (en) Digital rights management system
KR20090084632A (ko) 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를위한 장치
JP2007074369A (ja) 無線lan暗号化通信システム
JP4837470B2 (ja) Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム
KR100449489B1 (ko) 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130521

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130614

R150 Certificate of patent or registration of utility model

Ref document number: 5297529

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150