JP5372100B2 - 通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム - Google Patents

通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム Download PDF

Info

Publication number
JP5372100B2
JP5372100B2 JP2011219359A JP2011219359A JP5372100B2 JP 5372100 B2 JP5372100 B2 JP 5372100B2 JP 2011219359 A JP2011219359 A JP 2011219359A JP 2011219359 A JP2011219359 A JP 2011219359A JP 5372100 B2 JP5372100 B2 JP 5372100B2
Authority
JP
Japan
Prior art keywords
identification information
communication
communication terminal
authentication
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011219359A
Other languages
English (en)
Other versions
JP2013081035A (ja
Inventor
弘樹 神谷
悟士 小田部
智明 小川
秀紀 俊長
健一郎 武藤
盛 知加良
幸太郎 鈴木
幹 安田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011219359A priority Critical patent/JP5372100B2/ja
Publication of JP2013081035A publication Critical patent/JP2013081035A/ja
Application granted granted Critical
Publication of JP5372100B2 publication Critical patent/JP5372100B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信装置の計算資源や通信帯域が制限されている環境において、通信装置間で相互に機器を認証し、安全に情報を共有するための技術に関する。
無数に配置された無線端末から様々な情報を無線で送信し、その無線を複数の基地局で受信して収集するネットワークが提案されている(例えば非特許文献1参照)。このようなネットワークでは、収集された情報に応じて各無線端末へ制御信号が送信されることもある。例えば、様々な種類のセンサーや家電機器などの装置に無線端末が設置され、各無線端末は各装置の状況や状態を表す情報を送信する。そして、情報に応じて各装置を制御するための制御信号が各無線端末に向けて送信される。
これらの無線端末から送信される情報や無線端末へ向けて送信される制御信号は、データ量が非常に小さい。また、情報や制御信号が送信される頻度は非常に低い。コスト低減のため、広帯域の通信網を用いて上記ネットワークを構築せず、一般的にはコスト低減が図りやすい狭帯域の通信網を用いて構築される。例えば、一つの無線チャネル当たり最大9600bps(Bits Per Second)の通信帯域を一定時間毎に分割して半二重通信方式で数万台の無線端末で共有する。また、コスト低減のため、無線端末にはデータ記憶能力(メモリ容量、揮発性か否か、電池寿命など)や演算速度が乏しい装置を用いて上記ネットワークが構築される。
服部武、藤岡雅宣編著,「ワイヤレスブロードバンド教科書 改訂三版(高速IPワイヤレス編)」,インプレスR&D,2008年
このように構築された上記ネットワークでは、収容される無線端末の台数が非常に多い。そのため、一台の無線端末によって送信されるデータ量のわずかな増減が、全体として非常に大きな問題となってしまう。例えば、認証やセキュリティに要するデータ量がともに増加してしまう。また、無線端末のデータ記憶能力や演算速度は乏しい。そのため、暗号の処理演算を無線端末で行うと、その記憶能力や演算速度が圧迫されてしまう。したがって、セキュリティ要件を満足させようとすると、セキュリティ用のデータ領域確保のため通信帯域を広帯域化し、暗号処理のために端末能力の高機能化を行う必要があり、コスト増加の要因となる
また、このような要求は、通信端末が無線通信を行う場合に限ったものではなく、有線通信が行われる場合にも共通する要求である。
上記事情に鑑み、本発明は、通信端末から送信された通信データを中継する中継装置及び通信端末の間の通信において、限られたリソースの下、より少ない通信データで安全に認証し、安全に情報共有を行う技術を提供することを目的としている。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムであって、前記中継装置は、自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御部と、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶部と、前記通信端末が送信したデータの送信時に用いられた前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継部と、を備え、前記通信端末は、自装置に割り当てられた前記第一識別情報を記憶する識別情報記憶部と、前記第一識別情報を用いて且つ前記第二識別情報を用いずにデータを送信する送信部と、を備える。
本発明の一態様は、上記の通信システムであって、前記中継装置の前記認証制御部は、前記第一識別情報及び前記第二識別情報に加えて更に自装置の識別情報を用いて前記通信端末を認証する。
本発明の一態様は、上記の通信システムであって、前記通信端末は、第一識別情報と、第二識別情報と、前記中継装置の識別情報とを用いた演算の結果に基づいて認証情報を取得し、取得した前記認証情報を前記中継装置へ送信する認証制御部をさらに備え、前記中継装置の前記認証制御部は、前記通信端末の前記認証制御部と同様の処理を実行することによって前記認証情報を取得し、前記通信端末から受信した前記認証情報と比較し、両者が一致する場合に前記通信端末を認証する。
本発明の一態様は、上記の通信システムであって、前記中継装置の前記認証制御部は、第一識別情報と、第二識別情報と、前記中継装置の識別情報とを用いた演算の結果に基づいて他の認証情報を取得し、取得した前記他の認証情報を前記通信端末へ送信し、前記通信端末の前記認証制御部は、前記中継装置の前記認証制御部と同様の処理を実行することによって前記他の認証情報を取得し、前記中継装置から受信した前記他の認証情報と比較し、両者が一致する場合に前記中継装置を認証する。
本発明の一態様は、上記の通信システムであって、前記中継装置は、第二乱数を生成する第二乱数生成部をさらに備え、前記通信端末の前記認証制御部は、前記中継装置から受信した前記第二乱数と、前記第一識別情報と、前記第二識別情報と、前記中継装置の識別情報と、前記中継装置との間で共有している鍵情報と、を用いて認証情報を算出し、算出された認証情報の全部又は所定の一部を前記認証情報として取得し保存する。
本発明の一態様は、上記の通信システムであって、前記通信端末は、第一乱数を生成する第一乱数生成部をさらに備え、前記中継装置の前記認証制御部は、前記通信端末から受信した前記第一乱数と、前記第二乱数と、前記第一識別情報と、前記第二識別情報と、自身の識別情報と、前記通信端末との間で共有している鍵情報と、を用いて認証情報を算出し、算出された認証情報の全部又は所定の一部を前記他の認証情報として取得し保存する。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記中継装置であって、自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御部と、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶部と、前記通信端末が送信したデータであって前記第一識別情報を用いて且つ前記第二識別情報を用いずに送信されたデータの前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継部と、を備える。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記通信端末であって、前記中継装置が自身と通信する前記通信端末を識別できる第一識別情報と、前記中継装置が他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御部と、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶部と、前記通信端末が送信したデータの送信時に用いられた前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継部と、を備える中継装置と通信する通信部と、自装置に割り当てられた前記第一識別情報を記憶する識別情報記憶部と、前記第一識別情報を用いて且つ前記第二識別情報を用いずにデータを前記通信部により前記中継装置へ送信する送信部と、を備える。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムが行う通信方法であって、前記中継装置が、自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御ステップと、前記中継装置が、前記認証制御ステップにおいて認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて識別情報記憶部に記憶する識別情報記憶ステップと、前記中継装置が、前記通信端末が送信したデータの送信時に用いられた前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継処理ステップと、前記通信端末が、自装置に割り当てられた前記第一識別情報を記憶する識別情報記憶部から前記第一識別情報を読み出し、前記第一識別情報を用いて且つ前記第二識別情報を用いずにデータを送信する送信ステップと、を有する。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記中継装置が行う中継方法であって、前記中継装置が、自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御ステップと、前記中継装置が、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶ステップと、前記中継装置が、前記通信端末が送信したデータであって前記第一識別情報を用いて且つ前記第二識別情報を用いずに送信されたデータの前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継ステップと、を有する。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記通信端末が行う通信方法であって、前記通信端末が、前記中継装置が自身と通信する前記通信端末を識別できる第一識別情報と、前記中継装置が他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御部と、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶部と、前記通信端末が送信したデータの送信時に用いられた前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継部と、を備える中継装置と通信する通信ステップと、前記通信端末が、自装置に割り当てられた前記第一識別情報を記憶する識別情報記憶部から前記第一識別情報を読み出し、前記第一識別情報を用いて且つ前記第二識別情報を用いずにデータを送信する送信ステップと、を有する。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記中継装置に対し、自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御ステップと、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶ステップと、前記通信端末が送信したデータであって前記第一識別情報を用いて且つ前記第二識別情報を用いずに送信されたデータの前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継ステップと、を実行させるためのコンピュータプログラムである。
本発明の一態様は、複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記通信端末に対し、前記中継装置が自身と通信する前記通信端末を識別できる第一識別情報と、前記中継装置が他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御部と、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶部と、前記通信端末が送信したデータの送信時に用いられた前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継部と、を備える中継装置と通信する通信ステップと、自装置に割り当てられた前記第一識別情報を記憶する識別情報記憶部から前記第一識別情報を読み出し、前記第一識別情報を用いて且つ前記第二識別情報を用いずにデータを送信する送信ステップと、を実行させるためのコンピュータプログラムである。
本発明により、認証の際に二つの識別情報を結びつけて、その後は第一識別情報のみを用いて、通信端末から送信された通信データを中継する中継装置及び通信端末の間の通信において、限られたリソースの下、より少ない通信データで安全に認証し、安全に秘密の情報を共有する事が可能となる。
通信システム100のシステム構成を表すシステム構成図である。 無線端末10の機能構成を表す概略ブロック図である。 基地局装置20の機能構成を表す概略ブロック図である。 端末識別情報テーブルの概略を表す図である。 鍵情報テーブルの概略を表す図である。 通信システム100における相互認証処理のシーケンスを表すシーケンス図である。 相互認証が完了した後の上り方向の通信のシーケンスを表すシーケンス図である。 相互認証が完了した後の下り方向の通信のシーケンスを表すシーケンス図である。
図1は、通信システム100のシステム構成を表すシステム構成図である。通信システム100は、複数の無線端末10(10−1−1,10−1−2,・・・,10−2−1,10−2−2,・・・),複数の基地局装置20(20−1,20−2,・・・)、端末情報管理装置30、位置情報管理装置40、端末装置50を備える。基地局装置20、端末情報管理装置30、位置情報管理装置40、端末装置50(50−1,50−2,・・・)は、いずれもネットワーク60に接続されている。ネットワーク60は、例えば有線のIP通信網として構成されても良いし、他の態様で構成されても良い。
複数の無線端末10は、それぞれ自装置に対応する基地局装置20と無線通信する。複数の基地局装置20は、それぞれ自装置に対応する複数の無線端末10と無線通信し、ネットワーク60に接続された装置(例えば端末装置50)と無線端末10との間でデータを中継する。例えば、複数の無線端末10−1(10−1−1,10−1−2,・・・)と基地局装置20−1とは互いに無線通信を行い、複数の無線端末10−2(10−2−1,10−2−2,・・・)と基地局装置20−2とは互いに無線通信を行う。
各無線端末10には、MAC−ID(第一識別情報)とNET−ID(第二識別情報)という二つの識別情報が付与される。MAC−IDは、基地局装置20が自身と無線通信する複数の無線端末10の中で各無線端末10を一意に識別するための識別情報である。すなわち、MAC−IDはOSI参照モデルにおける第二層の情報である。そのため、一の基地局装置20が無線通信する無線端末10には、重複したMAC−IDは割り当てられることはない。ただし、MAC−IDは基地局から無線端末へ動的に割り当てられるため、一の基地局装置20と他の基地局装置20との間では、異なる無線端末10に同一のMAC−IDが重複して割り当てられる可能性はある。
NET−IDは、通信システム100に設置された全ての無線端末10を一意に識別するための識別情報である。すなわち、NET−IDはOSI参照モデルにおける第三層の情報である。そのため、通信システム100に設置された無線端末10には、重複したNET−IDは割り当てられることはない。
通信システム100では、無線端末10と基地局装置20との間において、NET−IDを用いずMAC−IDを用いて通信データを送信することで、NET−ID及びMAC−IDを用いて通信データが送信される場合に比べて通信データのデータ量を削減する。通信データとは、無線端末10と基地局装置20との間で送受信されるデータのことである。
以下、通信システム100の詳細について説明する。
図2は、無線端末10の機能構成を表す概略ブロック図である。無線端末10は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、通信プログラムを実行する。通信プログラムの実行によって、無線端末10は、通信部101、記憶部102、第一乱数生成部103、認証制御部104、データ処理部105を備える装置として機能する。なお、無線端末10の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。
通信部101は、基地局装置20との間で無線通信を行う。具体的には、通信部101は、認証制御部104、データ処理部105によって生成された通信データを変調し、無線信号を基地局装置20へ送信する。また、通信部101は、基地局装置20から送信された無線信号を受信し、復調することによって通信データを復元し、認証制御部104、データ処理部105に転送する。
記憶部102は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。記憶部102は、端末識別情報記憶部102a及び鍵情報記憶部102bとして機能する。端末識別情報記憶部102aは、自装置(無線端末10)に割り当てられたMAC−ID及びNET−IDと、自装置が無線通信する基地局装置20の識別情報である基地局IDを記憶する。基地局IDは、基地局装置20との間の無線通信でのみ用いられる識別情報である。鍵情報記憶部102bは、自装置(無線端末10)が基地局装置20との認証処理や通信で用いる鍵情報を記憶する。
第一乱数生成部103は、認証制御部104が認証処理に用いる第一乱数を生成する。
認証制御部104は、無線端末10と基地局装置20との間で相互認証処理を行う。具体的には、認証制御部104は、第一乱数生成部103によって生成された第一乱数を含む相互認証要求を生成し、基地局装置20に対して送信する。この処理によって無線端末10と基地局装置20との間における認証処理が開始される。また、認証制御部104は、MAC−ID、NET−ID、鍵情報、後述する基地局から送信される第二乱数等に基づいて演算を行い、演算結果である第二認証子を基地局装置20に送信することによって、基地局装置20による認証を受ける。また、認証制御部104は、MAC−ID、NET−ID、鍵情報、第一乱数、第二乱数等に基づいて演算を行い、基地局装置20による同様の演算結果である第一認証子と比較(照合)することによって、基地局装置20を認証する。
相互認証処理において基地局装置20にデータを送信する場合、認証制御部104は、相互認証要求を送信する際には、MAC−ID及びNET−IDを用いてデータを送信する。一方、認証制御部104は、相互認証要求以外のデータを送信する際には、NET−IDを用いずに、MAC−IDを用いてデータを送信する。具体的には、認証制御部104は例えば以下のようにデータを送信しても良い。
認証制御部104は、事前に帯域割当要求を基地局装置20に送信する。基地局装置20は、帯域割当要求に応じて、無線端末10に対して帯域とMAC−IDを割り当て、この帯域とMAC−IDとを対応付けて記憶する。基地局装置20は、割り当てた帯域を表す帯域割当応答を送信する。割り当てられる帯域は、例えば時間で特定されても良いし、周波数で特定されても良いし、時間及び周波数で特定されても良い。帯域割当要求と帯域割当応答との対応付けは、特定の周波数、あるいは時間割り当て、またはそれに付随する識別情報を用いることで実現される。このとき、基地局装置20は、MAC−IDを含むデータを帯域割当応答とともに送信する。認証制御部104は、帯域割当応答を受信し、自装置に割り当てられた帯域で、相互認証処理で送信すべきデータを基地局装置20へ送信する。このようにして、無線端末10が使用する帯域とMAC−IDとが関連づけられる。
相互認証要求を送信する場合には、認証制御部104は、NET−IDを含むデータを、自装置に割り当てられた帯域で送信する。基地局装置20は、このデータを受信すると、受信したデータの送信に用いられた帯域に対応付けて記憶しているMAC−IDと、受信したデータに含まれるNET−IDとを対応付けて端末識別情報テーブルに登録する。また、相互認証要求以外のデータを送信する場合には、認証制御部104は、MAC−IDを含みNET−IDを含まないデータを、自装置に割り当てられた帯域で送信する。このようにして、認証制御部104が送信するデータは、MAC−ID及びNET−IDに関連づけられる。
データ処理部105は、ネットワーク60を介して端末装置50へ送信するデータ(以下、「送信データ」という。)を生成し、通信部101へ出力する。本説明から明らかなように、送信データは上記の通信データの一種である。データ処理部105は、送信データの送信元を表す識別情報として、NET−IDを用いず、MAC−IDを用いる。データ処理部105は、例えば、事前に自装置に割り当てられたMAC−IDと帯域を用いて、送信データを送信しても良い。送信データは、例えば無線端末10が接続された外部装置Z(Z−1−1,Z−1−2,・・・,Z−2−1,Z−2−2,・・・)によって生成されたデータを含む。外部装置Zは、例えばセンサーや家電装置などの装置であり、監視や制御の対象となる装置である。送信データに含まれるデータには、例えばセンサーの検出結果や、各外部装置Zにおいて予め送信するように設定されたデータ等がある。
図3は、基地局装置20の機能構成を表す概略ブロック図である。基地局装置20は、バスで接続されたCPUやメモリや補助記憶装置などを備え、中継プログラムを実行する。中継プログラムの実行によって、基地局装置20は、第一通信部201、第二通信部202、記憶部203、第二乱数生成部204、認証制御部205、中継部206を備える装置として機能する。なお、基地局装置20の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
第一通信部201は、無線端末10との間で無線通信を行う。具体的には、第一通信部201は、中継部206によって中継された通信データを変調し、無線端末10に送信する。また、第一通信部201は、無線端末10から送信された無線信号を受信し、復調することによって通信データを復元し、中継部206に転送する。
第二通信部202は、ネットワーク60との間で通信を行う。具体的には、第二通信部202は、中継部206によって中継された通信データを変換し、ネットワーク60に送信する。また、第二通信部202は、ネットワーク60から無線端末10宛に送信された信号を受信し、変換することによって通信データを、中継部206に転送する。
記憶部203は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。記憶部203は、基地局識別情報記憶部203a、端末識別情報テーブル記憶部203b、鍵情報テーブル記憶部203cとして機能する。基地局識別情報記憶部203aは、自装置(基地局装置20)に割り当てられた基地局IDを記憶する。前述した通り、基地局IDは、端末装置10との間の無線通信でのみ用いられる識別情報である。基地局IDは、通信システム100に設置された全ての基地局装置20を一意に識別するための識別情報である。そのため、通信システム100に設置された基地局装置20には、重複した基地局IDは割り当てられることはない。ネットワーク60が有線のIP通信網で構成される場合、基地局識別情報記憶部203aは、ネットワーク60との間で通信を行うための識別情報として自装置(基地局装置20)に割り当てられたIPアドレスを記憶する。
端末識別情報テーブル記憶部203bは、端末識別情報テーブルを記憶する。鍵情報テーブル記憶部203cは、鍵情報テーブルを記憶する。図4は、端末識別情報テーブルの概略を表す図である。端末識別情報テーブルは、無線端末10のNET−IDとMAC−IDとを対応付けた端末識別情報レコード21を、自装置(基地局装置20)と通信する無線端末10毎に有する。図5は、鍵情報テーブルの概略を表す図である。鍵情報テーブルは、無線端末10のNET−IDと鍵情報とを対応付けた鍵情報レコード22を、自装置(基地局装置20)と通信する無線端末10毎に有する。
図3に戻って基地局装置20の構成の説明を続ける。第二乱数生成部204は、認証制御部205が認証処理に用いる第二乱数を生成する。
認証制御部205は、無線端末10と基地局装置20との間で相互認証処理を行う。具体的には、認証制御部205は、MAC−ID、NET−ID、鍵情報、第一乱数、第二乱数等に基づいて演算を行い、演算結果である第一認証子、及び第二乱数を無線端末10に送信することによって、無線端末10による認証を受ける。また、認証制御部205は、MAC−ID、NET−ID、鍵情報、第二乱数等に基づいて演算を行い、無線端末10による同様の演算結果である第二認証子と比較(照合)することによって、無線端末10を認証する。
相互認証処理において無線端末10にデータを送信する場合、認証制御部205はMAC−IDを用いて、且つ、NET−IDを用いずにデータを送信する。具体的には、認証制御部205は例えば以下のようにデータを送信しても良い。認証制御部205は、事前に帯域割当要求に応じて、無線端末10に対して帯域を割り当て、この帯域とMAC−IDとを対応付けて記憶する。認証制御部205は、割り当てた帯域を表す帯域割当応答を無線端末10に送信する。このとき、認証制御部205は、MAC−IDを含みNET−IDを含まないデータとして帯域割当応答を送信する。無線端末10は、帯域割当応答を受信し、自装置に割り当てられた帯域を記憶する。そして、認証制御部205は、無線端末10に対して割り当てた帯域で、相互認証処理で送信すべきデータを無線端末10に送信する。このようにして、認証制御部205が送信するデータは、MAC−IDに関連づけられる。なお、上述したように、帯域割当応答にはNET−IDが含まれないため、認証制御部205が送信するデータはNET−IDには関連づけられない。相互認証処理の詳細については後述する。
中継部206は、無線端末10からネットワーク60に接続された端末装置50宛に送信された送信データを中継する。無線端末10からネットワーク60に接続された端末装置50宛に送信された送信データは、送信元の無線端末10を表す識別情報としてMAC−IDと関連づけられている。中継部206は、端末識別情報テーブルに基づいて、送信データが関連づけられたMAC−IDに対応するNET−ID又はNET−IDと同等の識別情報を検索する。そして、中継部206は、検索したNET−ID又はNET−IDと同等の識別情報をデータの送信元を表す識別情報として送信データに与え中継する。
NET−IDと同等の識別情報とは、通信システム100に設置された全ての無線端末10を一意に識別できる識別情報である。NET−IDと同等の識別情報の具体例として、サービスIDがある。サービスIDは、ネットワーク60において用いられる識別情報である。サービスIDは、NET−IDよりもさらに大きなデータ量を有しても良い。サービスIDは、例えば端末識別情報テーブルのレコード21において、NET−ID及びMAC−IDとともに記録されていても良い。サービスIDの具体例として、例えばURL(Uniform Resource Locator)や、FQDN(Fully Qualified Domain Name)等がある。
中継部206は、ネットワーク60に接続された端末装置50から無線端末10宛に送信されたデータを、無線端末10へ中継する。ネットワーク60に接続された端末装置50から無線端末10宛に送信されたデータには、宛先の無線端末10を表す識別情報としてNET−ID又はNET−IDと同等の識別情報(サービスID)が含まれている。中継部206は、端末識別情報テーブルに基づいて、NET−ID又はサービスIDに対応するMAC−IDを検索する。中継部206は、検索されたMAC−IDを用いてデータを中継する。
端末情報管理装置30は、メインフレームやワークステーションやパーソナルコンピュータなどの情報処理装置を用いて構成される。端末情報管理装置30は、通信システム100に設置された全ての無線端末10のNET−IDと、その無線端末10に付与された鍵情報と、を対応付けて記憶する。また、端末情報管理装置30は、通信システム100に設置された全ての無線端末10のNET−IDと、各無線端末10が送信データを送信する宛先となる端末装置50の識別情報(以下、「ホスト名」という。)と、を対応付けて記憶する。また、端末情報管理装置30は、通信システム100に設置された全ての無線端末10のNET−IDと、ネットワーク60において各無線端末10を表すサービスIDと、を対応付けて記憶する。端末情報管理装置30は、基地局装置20からNET−IDに基づいた問い合わせ(端末情報要求)を受けると、NET−IDに対応する鍵情報、ホスト名、サービスIDを端末情報応答として基地局装置20に返信する。
位置情報管理装置40は、メインフレームやワークステーションやパーソナルコンピュータなどの情報処理装置を用いて構成される。位置情報管理装置40は、通信システム100に設置された全ての無線端末10のサービスIDと、各無線端末10が無線通信を行っている基地局装置20のIPアドレスと、を対応付けて記憶する。位置情報管理装置40が記憶するデータによって、無線端末10がどこに位置しているか、すなわちどの基地局装置20の配下にあるかを特定できる。位置情報管理装置40は、端末装置50から、サービスIDに基づいたIPアドレスの問い合わせ(DNS参照要求)を受けると、サービスIDに対応する基地局装置20のIPアドレスをDNS参照応答として端末装置50に返信する。また、位置情報管理装置40は、通信システム100に設置された端末装置50のホスト名とIPアドレスとを対応付けて記憶する。位置情報管理装置40は、基地局装置20から、ホスト名に基づいたIPアドレスの問い合わせ(DNS参照要求)を受けると、ホスト名に対応するIPアドレスをDNS参照応答として基地局装置20に返信する。
端末装置50は、メインフレームやワークステーションやパーソナルコンピュータなどの情報処理装置を用いて構成される。端末装置50は、基地局装置20を介して無線端末10から送信された送信データを受信する。端末装置50は、位置情報管理装置40にデータ送信先となる無線端末10のサービスIDに基づいて無線端末10が接続している基地局装置20のIPアドレスを特定する事により、基地局装置20を介して無線端末10にデータを送信する事が可能となる。これにより、各無線端末10に接続された外部装置Zに対する制御信号を無線端末10に対し送信する。
図6は、通信システム100における相互認証処理のシーケンスを表すシーケンス図である。相互認証処理は、無線端末10が基地局装置20とデータの送受信を開始する際に行われる前処理である。相互認証処理によって互いに正当な装置であると認証した後に、無線端末10及び基地局装置20はデータの送受信を開始する。例えば、無線端末10による送信データの送信は、相互認証処理の後に開始される。以下、通信システム100の無線端末10及び基地局装置20が行う相互認証処理の流れについて説明する。
まず、基地局装置20の無線信号が無線端末装置にて受信可能になり、通信可能な基地局IDを取得できた時点で、無線端末10の端末識別情報記憶部102aには、通信可能な基地局装置20の基地局IDが記録される。
次に、基地局装置20を介して通信システム100に接続しようとする無線端末10の認証制御部104が、基地局装置20に対してMAC−ID割当要求(前述の帯域割当要求と同義)を送信する(ステップS101)。この時点では、無線端末10にはNET−IDは割り当てられているものの、MAC−IDは割り当てられていない。そのため、この時点で無線端末10の端末識別情報記憶部102aには、NET−IDは記録されているが、MAC−IDは記録されていない。
基地局装置20の認証制御部205は、無線端末10からMAC−ID割当要求を受信すると、自装置(基地局装置20)と現時点で無線通信を行っている他の無線端末10に未だ割り当てられていないMAC−IDを生成する。そして、認証制御部205は、生成したMAC−IDを含むMAC−ID割当応答を送信する(ステップS102)。MAC−ID割当要求の送信元である無線端末10は、基地局装置20から送信されたMAC−ID割当応答を受信する。例えば、無線端末10の認証制御部104は、自装置(無線端末10)に未だMAC−IDが割り当てられていない場合に、MAC−ID割当要求を送信した後に最初に受信したMAC−ID割当応答を自装置宛のデータであると判断しても良い。また、無線端末10の認証制御部104はMAC−ID割当要求に識別情報を付与して送信し、基地局装置20の認証制御部205は同じ識別情報を付与したMAC−ID割当応答を返信し、無線端末10の認証制御部104は同じ識別情報が付与されたMAC−ID割当応答が自装置宛のデータであると判断しても良い。無線端末10の認証制御部104が自装置宛のMAC−ID割当応答を判別する方法は他の方法であっても良い。
無線端末10の認証制御部104は、自装置宛のMAC−ID割当応答を受信すると、MAC−ID割当応答に含まれるMAC−IDを自装置(無線端末10)に割り当てられたMAC−IDとして端末識別情報記憶部102aに書き込む。
次に、無線端末10の第一乱数生成部103が、第一乱数を生成する(ステップS103)。次に、認証制御部104が、相互認証要求を生成し基地局装置20へ送信する(ステップS104)。相互認証要求は、第一乱数を含み、自装置(無線端末10)に割り当てられているNET−ID及びMAC−IDを用いて送信される。
基地局装置20の認証制御部205は、相互認証要求を受信すると、受信した相互認証要求の送信に用いられたNET−ID及びMAC−IDを取得し、取得したNET−ID及びMAC−IDを対応付けたレコード21を生成する。認証制御部205は、生成したレコード21を端末識別情報テーブルに書き込む。認証制御部205は、取得したNET−IDを含む端末情報要求を端末情報管理装置30へ送信する(ステップS105)。端末情報管理装置30は、端末情報要求を受信すると、端末情報要求に含まれるNET−IDに対応する鍵情報、端末装置50のホスト名、サービスIDを検索する。そして、端末情報管理装置30は、検索された鍵情報、端末装置50のホスト名、サービスIDを含む端末情報応答を生成し、端末情報要求の送信元である基地局装置20に送信する(ステップS106)。
基地局装置20の認証制御部205は、端末情報応答を受信すると、端末情報応答から鍵情報を取得する。そして、認証制御部205は、ステップS104において受信した相互認証要求に含まれるNET−IDと取得した鍵情報とを対応付けたレコード22を生成し、鍵情報テーブルに書き込む。
第二乱数生成部204は、第二乱数を生成する(ステップS107)。認証制御部205は、第一認証子(第一の認証情報)及び第一秘密情報を生成し、第一秘密情報を保存する(ステップS108)。第一秘密情報及び第一認証子の生成方法の一例は以下の通りである。まず、認証制御部205は、ステップS104において受信した相互認証要求に含まれるNET−IDとMAC−IDと第一乱数と、自装置(基地局装置20)の基地局IDと、第二乱数と、NET−IDに対応する鍵情報と、を用いて認証情報を算出する。認証制御部205は、算出された認証情報の全部又は所定の一部を第一認証子として取り扱う。また、認証制御部205は、算出された認証情報の全部又は所定の一部を第一秘密情報として保存する。上記処理において、第一秘密情報と第一認証子とは異なるデータとなるように処理が行われる。より望ましくは、算出された認証情報のうち、一部が第一認証子として取り扱われ、第一認証子と重複しない他の一部が第一秘密情報として取り扱われる。このようにして第一秘密情報及び第一認証子が生成され、第一秘密情報が保存される。なお、認証情報の具体的な算出方法としては、鍵付きハッシュやブロック暗号などがある。
以下、第一認証子の算出方法のさらに詳細な具体例について説明する。以下に説明する具体例では、NET−IDは48ビットであり、MAC−IDは16ビットであり、基地局IDは32ビットであり、第一乱数及び第二乱数はともに128ビットであり、鍵情報は128ビットである。まず、認証制御部205は、第一入力として以下の順に並んだ128ビットのビット列を生成する。1ビット分の“0”、31ビット分の“0”、48ビット分のNET−ID、16ビット分のMAC−ID、32ビット分の基地局ID。最初の1ビット分の“0”は、第一認証子の演算であることを表すビットである。次に続く31ビット分の“0”はパディング(padding)のためのビット列である。第二入力及び第三入力は、それぞれ第一乱数及び第二乱数である。
認証制御部205は、第一入力、第二入力、第三入力、及び鍵情報を用いて、認証子演算処理を実行する。認証子演算処理の具体例として128ビットブロック暗号を利用したCMAC(Cipher-based Message Authentication Code)等がある。また、CMACで用いるブロック暗号の具体例として、例えばCamelliaやAES(Advanced Encryption Standard)等がある。このような認証子演算処理の演算結果として、128ビットの認証情報が算出される。認証制御部205は、得られた認証情報から第一認証子を生成する。例えば、認証制御部205は、認証情報の上位64ビットを第一認証子として生成しても良い。以上で第一認証子の算出方法の具体例についての説明を終え、相互認証処理のシーケンスの説明に戻る。
第一認証子を生成すると、認証制御部205が、基地局認証応答を生成し無線端末10へ送信する(ステップS109)。基地局認証応答は、第一認証子と、第二乱数と、を含む。基地局認証応答は、相互認証要求を送出した無線端末に割り当てられたMAC−IDを用いて、且つ、NET−IDを用いずに送信される。
無線端末10の認証制御部104は、基地局認証応答を受信すると、基地局認証処理を行う(ステップS110)。基地局認証処理は以下の通りである。まず、認証制御部104は、基地局装置20の認証制御部205と同じ演算を行うことによって第一認証子を算出する。このとき、認証制御部104が演算で用いる値のうち、第二乱数は基地局認証応答に含まれていた値であり、他の値(第一乱数、鍵情報、MAC−ID、NET−ID、基地局ID)は自装置(無線端末10)において保持している値である。認証制御部104は、算出した第一認証子と、受信した基地局認証応答に含まれる第一認証子とを比較する。両者が一致した場合には、認証制御部104は、基地局装置20が正当な装置であると認証する。一方、両者が一致しない場合には、認証制御部104は、基地局装置20が正当な装置であるとは認証しない。また、認証制御部104は、第一認証子を算出する過程で得られる認証情報に基づいて、基地局装置20の認証制御部205と同じ演算を行うことによって第一秘密情報を算出する。第一認証子の長さが充分に長く、無線端末10と基地局装置20との間で第一認証子が一致する場合には、第一秘密情報も両装置の間で極めて高い確率で一致する。そのため、両装置の間で第一秘密情報を安全に共有することが可能となる。
次に、無線端末10の認証制御部104は、第二認証子(第二の認証情報)及び第二秘密情報を生成し、第二秘密情報を保存する(ステップS111)。第二秘密情報及び第二認証子の生成方法の一例は以下の通りである。まず、認証制御部104は、端末識別情報記憶部102aに記憶されるNET−IDとMAC−IDと基地局IDと、鍵情報記憶部102bに記憶される鍵情報と、基地局認証応答に含まれる第二乱数と、を用いて認証情報を算出する。認証制御部104は、算出された認証情報の全部又は所定の一部を第二認証子として取り扱う。また、認証制御部104は、算出された認証情報の全部又は所定の一部を第二秘密情報として保存する。上記処理において、第二秘密情報と第二認証子とは異なるデータとなるように処理が行われる。より望ましくは、算出された認証情報のうち、一部が第二認証子として取り扱われ、第二認証子と重複しない他の一部が第二秘密情報として取り扱われる。このようにして第二秘密情報及び第二認証子が生成され、第二秘密情報が保存される。
以下、第二認証子の算出方法のさらに詳細な具体例について説明する。以下に説明する具体例では、第一認証子の算出方法における具体例と同様に、NET−IDは48ビットであり、MAC−IDは16ビットであり、基地局IDは32ビットであり、第二乱数は128ビットであり、鍵情報は128ビットである。まず、認証制御部104は、第一入力として以下の順に並んだ128ビットのビット列を生成する。1ビット分の“1”、31ビット分の“0”、48ビット分のNET−ID、16ビット分のMAC−ID、32ビット分の基地局ID。最初の1ビット分の“1”は、第二認証子の演算であることを表すビットである。次に続く31ビット分の“0”はパディングのためのビット列である。第二入力は、第二乱数である。
認証制御部104は、第一入力、第二入力、及び鍵情報を用いて、認証子演算処理を実行する。認証子演算処理の具体例として128ビットブロック暗号を利用したCMAC(Cipher-based Message Authentication Code)等がある。また、CMACで用いるブロック暗号の具体例として、例えばCamelliaやAES等がある。このような認証子演算処理の演算結果として、128ビットの認証情報が算出される。認証制御部104は、得られた認証情報から第二認証子を生成する。例えば、認証制御部104は、認証情報の上位64ビットを第二認証子として生成しても良い。なお、第二認証子の生成において、第一乱数をさらに用いても良い。以上で第二認証子の算出方法の具体例についての説明を終え、相互認証処理のシーケンスの説明に戻る。
第二認証子を生成すると、認証制御部104が、端末認証応答を生成し基地局装置20へ送信する(ステップS112)。端末認証応答は、第二認証子を含む。端末認証応答は、自装置(無線端末10)のMAC−IDを用いて、且つ、NET−IDを用いずに送信される。
基地局装置20の認証制御部205は、端末認証応答を受信すると、端末認証処理を行う(ステップS113)。端末認証処理は以下の通りである。まず、認証制御部205は、無線端末10の認証制御部104と同じ演算を行うことによって第二認証子を算出する。このとき、認証制御部205が演算で用いる値(第二乱数、鍵情報、MAC−ID、NET−ID、基地局ID)は、いずれも自装置(基地局装置20)において保持している値である。認証制御部205は、算出した第二認証子と、受信した端末認証応答に含まれる第二認証子とを比較する。両者が一致した場合には、認証制御部205は、無線端末10が正当な装置であると認証する。一方、両者が一致しない場合には、認証制御部205は、無線端末10が正当な装置であるとは認証しない。また、認証制御部205は、第二認証子を算出する過程で得られる認証情報に基づいて、無線端末10の認証制御部104と同じ演算を行うことによって第二秘密情報を算出する。第一認証子の長さが充分に長く、無線端末10と基地局装置20との間で第二認証子が一致する場合には、第二秘密情報も両装置の間で極めて高い確率で一致する。そのため、両装置の間で第二秘密情報を安全に共有することが可能となる。
端末認証処理において無線端末10が正当な装置であると認証した場合、認証制御部205は、端末登録要求を位置情報管理装置40へ送信する(ステップS114)。端末登録要求は、自装置(基地局装置20)のIPアドレスと、ステップS113の端末認証処理で認証した無線端末10のサービスIDとを含む。位置情報管理装置40は、端末登録要求を受信すると、端末登録要求に含まれているサービスID及び基地局装置20のIPアドレスを対応付けて記憶する。そして、位置情報管理装置40は、サービスID及び基地局装置20のIPアドレスの登録が完了したことを表す端末登録応答を基地局装置20へ送信する(ステップS115)。
以上の処理で、無線端末10と基地局装置20との間で認証情報に基づいた共有情報(第一秘密情報及び第二秘密情報)の生成が完了し、両者の間で行われる相互認証が完了する(ステップS116)。この処理の後、無線端末10は、相互認証を行った基地局装置20を経由することで、ネットワーク60に接続された端末装置50にデータを送信することが可能となる。また、無線端末10は、相互認証を行った基地局装置20を経由することで、ネットワーク60に接続された端末装置50からデータを受信することが可能となる。以下、これらの処理の流れについてもそれぞれ説明する。
図7は、相互認証が完了した後の上り方向の通信のシーケンスを表すシーケンス図である。以下に説明する処理は、上述した処理により相互認証が完了した後に行われる処理である。まず、外部装置Zがデータを生成して無線端末10に出力する。無線端末10のデータ処理部105は、外部装置Zから出力されたデータに基づいて送信データを生成する(ステップS201)。例えばステップS201の処理では、基地局装置20と共有した秘密情報、外部装置Zから出力される情報、NET−ID、MAC−ID等を用いて、送信データに対して暗号化、又は改ざん防止のための処理を施し、送信データを構成しても良い。データ処理部105は、送信データを基地局装置20へ送信する(ステップS202)。送信データの送信元を表す情報として、NET−IDは用いられず、MAC−IDが用いられる。
基地局装置20の中継部206は、送信データの送信元を表す情報をMAC−IDに基づいて端末識別情報テーブルを検索し、対応するサービスID及び端末装置50のホスト名を取得する(ステップS203)。認証時に無線端末10と共有した秘密情報を用いて、S201での処理に対応した復号又は改ざん検出の処理を入れても良い。中継部206は、送信元を表す情報としてサービスIDを送信データに付与する(ステップS204)。また、中継部206は、DNS参照要求を位置情報管理装置40へ送信することによって(ステップS205)、DNS参照応答を受信し、ホスト名に対応するIPアドレスを取得する(ステップS206)。中継部206は、取得したIPアドレスを、送信先のアドレスとして送信データに付与する(ステップS207)。そして、中継部206は、送信データをネットワーク60へ送信する。中継部206によって送信された送信データは、ネットワーク60を介して端末装置50へ到達する(ステップS208)。
図8は、相互認証が完了した後の下り方向の通信のシーケンスを表すシーケンス図である。以下に説明する処理は、上述した処理により相互認証が完了した後に行われる処理である。
まず、端末装置50は、無線端末10に送信する送信データを生成する(ステップS301)。端末装置50は、位置情報管理装置40に対し、データ送信先の無線端末10のサービスIDに基づいたIPアドレスの問い合わせ(DNS参照要求)を送信する(ステップS302)。端末装置50は、無線端末10が接続している基地局装置20のIPアドレスを、位置情報管理装置40からDNS参照応答として取得する(ステップS303)。端末装置50は、取得した基地局装置20のIPアドレス宛てにデータを送信することによって、基地局装置20を介して無線端末10にデータを送信する(ステップS304)。基地局装置20の中継部206は、送信データの送信先を表す情報を、送信データに含まれるサービスIDに基づいて端末識別情報テーブルを検索し、対応するMAC−IDを取得する(ステップS305)。中継部206は、送信先を表す情報としてMAC−IDを送信データに付与する(ステップS306)。そして、中継部206は、送信データをMAC−IDに対応する無線端末10へ送信する(ステップS307)。例えばステップS306では、中継部206は無線端末10へ送信データを送信する際に、無線端末10と共有した秘密情報、NET−ID、MAC−ID等を用いて送信データに対して暗号化、又は改ざん防止のための処理を施し、送信データを構成しても良い。また、認証時に無線端末10と共有した秘密情報を用いて、S201での処理に対応した復号又は改ざん検出の処理を入れても良い。
このように構成された通信システム100では、相互認証要求(図6のステップS104)を除いて、無線端末10と基地局装置20との間での通信には、無線端末10を表す識別情報としてNET−IDが用いられず、MAC−IDが用いられる。NET−IDを使用せず、MAC−IDを用いて通信を行うことによって、NET−IDを毎回送信するオーバーヘッドを削減し、通信データのデータ量を削減することが可能となる。
なお、MAC−IDは、NET−IDに比べてデータ量が小さくなるように構成することが可能である。このように構成された場合には、より効果的に通信データのデータ量を削減することが可能となる。
また、第一認証子及び第二認証子の演算において、MAC−IDと、NET−IDと、が用いられる。これにより、MAC−IDとNET−IDとが関連付けられた事を保証できるため、上記のようにNET−IDを用いずにMAC−IDを識別情報としてデータの送受信通信を行ったとしても、正当な対向装置とのデータの送受信を実現することが可能となる。
<変形例>
無線端末10は、有線通信を行う有線端末に置き換えられても良い。この場合、有線端末10と基地局装置20との間の通信は、有線通信で実現される。このように構成された場合にも、有線端末と基地局装置20との間の有線通信において、通信データのデータ量を削減することによって、通信帯域を削減することが可能となる。
無線端末10と基地局装置20との間で行われる認証処理について、互いに認証し合う相互認証処理について説明したが、いずれか一方が他方を認証する処理であっても良い。
基地局装置20によって無線端末10に対してMAC−IDが付与されるのではなく、無線端末10が予めMAC−IDを記憶していても良い。この場合、基地局装置20に対して無線通信を開始する以前に、無線端末10の端末識別情報記憶部102aは自装置(無無線端末10)に付与されたMAC−IDを予め記憶している。
また、MAC−ID割当要求(ステップS101)及びMAC−ID割当応答(ステップS102)の処理は不要となり、認証制御部205は相互認証要求(ステップS104)に含まれるMAC−ID及びNET−IDを対応付けて端末識別情報テーブルに記録する。
無線端末10から端末装置50へ送信される送信データは、暗号化されていても良いし、メッセージ認証子(Message Authentication Code)が付与されていても良い。
基地局装置20は、端末情報管理装置30及び位置情報管理装置40の機能を備えるように構成されても良い。この場合、基地局装置20は、端末情報管理装置30や位置情報管理装置40と通信することなく、データの中継を行うことができる。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
100…通信システム, 10…無線端末(通信端末), 20…基地局装置(中継装置), 30…端末情報管理装置, 40…位置情報管理装置, 50…端末装置, 101…通信部, 102…記憶部, 102a…端末識別情報記憶部, 102b…鍵情報記憶部, 103…第一乱数生成部, 104…認証制御部(認証部), 105…データ処理部, 201…第一通信部, 202…第二通信部, 203…記憶部, 203a…基地局識別情報記憶部, 203b…端末識別情報テーブル記憶部(識別情報記憶部), 203c…鍵情報テーブル記憶部, 204…第二乱数生成部, 205…認証制御部(認証部), 206…中継部

Claims (10)

  1. 複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムであって、
    前記中継装置は、
    自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御部と、
    前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶部と、
    前記通信端末が送信したデータの送信時に用いられた前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継部と、を備え、
    前記通信端末は、
    自装置に割り当てられた前記第一識別情報を記憶する識別情報記憶部と、
    前記第一識別情報を用いて且つ前記第二識別情報を用いずにデータを送信する送信部と、を備える通信システム。
  2. 前記中継装置の前記認証制御部は、前記第一識別情報及び前記第二識別情報に加えて更に自装置の識別情報を用いて前記通信端末を認証する、請求項1に記載の通信システム。
  3. 前記通信端末は、第一識別情報と、第二識別情報と、前記中継装置の識別情報とを用いた演算の結果に基づいて認証情報を取得し、取得した前記認証情報を前記中継装置へ送信する認証制御部をさらに備え、
    前記中継装置の前記認証制御部は、前記通信端末の前記認証制御部と同様の処理を実行することによって前記認証情報を取得し、前記通信端末から受信した前記認証情報と比較し、両者が一致する場合に前記通信端末を認証する、請求項2に記載の通信システム。
  4. 前記中継装置の前記認証制御部は、第一識別情報と、第二識別情報と、前記中継装置の識別情報とを用いた演算の結果に基づいて他の認証情報を取得し、取得した前記他の認証情報を前記通信端末へ送信し、
    前記通信端末の前記認証制御部は、前記中継装置の前記認証制御部と同様の処理を実行することによって前記他の認証情報を取得し、前記中継装置から受信した前記他の認証情報と比較し、両者が一致する場合に前記中継装置を認証する、請求項3に記載の通信システム。
  5. 前記中継装置は、第二乱数を生成する第二乱数生成部をさらに備え、
    前記通信端末の前記認証制御部は、前記中継装置から受信した前記第二乱数と、前記第一識別情報と、前記第二識別情報と、前記中継装置の識別情報と、前記中継装置との間で共有している鍵情報と、を用いて認証情報を算出し、算出された認証情報の全部又は所定の一部を前記認証情報として取得し保存する、請求項4に記載の通信システム。
  6. 前記通信端末は、第一乱数を生成する第一乱数生成部をさらに備え、
    前記中継装置の前記認証制御部は、前記通信端末から受信した前記第一乱数と、前記第二乱数と、前記第一識別情報と、前記第二識別情報と、自身の識別情報と、前記通信端末との間で共有している鍵情報と、を用いて認証情報を算出し、算出された認証情報の全部又は所定の一部を前記他の認証情報として取得し保存する、請求項5に記載の通信システム。
  7. 複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記中継装置であって、
    自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御部と、
    前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶部と、
    前記通信端末が送信したデータであって前記第一識別情報を用いて且つ前記第二識別情報を用いずに送信されたデータの前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継部と、を備える中継装置。
  8. 複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムが行う通信方法であって、
    前記中継装置が、自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御ステップと、
    前記中継装置が、前記認証制御ステップにおいて認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて識別情報記憶部に記憶する識別情報記憶ステップと、
    前記中継装置が、前記通信端末が送信したデータの送信時に用いられた前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継処理ステップと、
    前記通信端末が、自装置に割り当てられた前記第一識別情報を記憶する識別情報記憶部から前記第一識別情報を読み出し、前記第一識別情報を用いて且つ前記第二識別情報を用いずにデータを送信する送信ステップと、を有する通信方法。
  9. 複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記中継装置が行う中継方法であって、
    前記中継装置が、自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御ステップと、
    前記中継装置が、前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶ステップと、
    前記中継装置が、前記通信端末が送信したデータであって前記第一識別情報を用いて且つ前記第二識別情報を用いずに送信されたデータの前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継ステップと、を有する中継方法。
  10. 複数の通信端末と、複数の前記通信端末と通信する複数の中継装置と、を備える通信システムにおける前記中継装置に対し、
    自装置と通信する前記通信端末を識別できる第一識別情報と、他の中継装置と通信する前記通信端末を含めた全ての前記通信端末を識別できる第二識別情報とを用いて前記通信端末を認証する認証制御ステップと、
    前記認証制御部によって認証された前記通信端末の前記第一識別情報と前記第二識別情報とを対応付けて記憶する識別情報記憶ステップと、
    前記通信端末が送信したデータであって前記第一識別情報を用いて且つ前記第二識別情報を用いずに送信されたデータの前記第一識別情報に対応する前記第二識別情報を前記識別情報記憶部から読み出し、前記第二識別情報に基づいて前記データを中継する中継ステップと、を実行させるためのコンピュータプログラム。
JP2011219359A 2011-10-03 2011-10-03 通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム Active JP5372100B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011219359A JP5372100B2 (ja) 2011-10-03 2011-10-03 通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011219359A JP5372100B2 (ja) 2011-10-03 2011-10-03 通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2013081035A JP2013081035A (ja) 2013-05-02
JP5372100B2 true JP5372100B2 (ja) 2013-12-18

Family

ID=48527091

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011219359A Active JP5372100B2 (ja) 2011-10-03 2011-10-03 通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP5372100B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756450B (zh) 2017-11-03 2021-06-15 华为技术有限公司 一种物联网通信的方法、装置、系统和存储介质
CN110913080B (zh) * 2019-11-14 2022-02-11 北京明略软件系统有限公司 一种数据传输方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4682912B2 (ja) * 2006-05-08 2011-05-11 株式会社日立製作所 センサネットシステム、センサネット位置特定プログラム

Also Published As

Publication number Publication date
JP2013081035A (ja) 2013-05-02

Similar Documents

Publication Publication Date Title
JP6938702B2 (ja) 通信保護を備えた聴覚装置および関連する方法
US11909870B2 (en) ECDHE key exchange for mutual authentication using a key server
RU2005101217A (ru) Генерирование ключей в системе связи
CN101772024B (zh) 一种用户身份确定方法及装置和系统
CN112019647A (zh) 一种获得设备标识的方法及装置
Boakye-Boateng et al. Encryption protocol for resource-constrained devices in fog-based IoT using one-time pads
CN106953729B (zh) 基于量子密钥的卫星通信加密系统及方法
KR20050101110A (ko) 브로드캐스트 암호키 배포 시스템
KR20180119201A (ko) 인증 시스템을 위한 전자 장치
CN101938500B (zh) 源地址验证方法及系统
CN101720071A (zh) 基于安全sim卡的短消息两阶段加密传输和安全存储方法
US20160373260A1 (en) Public Key Based Network
JP2005303459A (ja) アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム
KR20180096189A (ko) 암호화 통신을 수행하는 저전력 장거리 통신 모듈 및 그 방법
CN102271330A (zh) 终端、网络服务器及终端与网络服务器间的通讯方法
US20210336781A1 (en) Network device, method for security and computer readable storage medium
CN110166410B (zh) 一种安全传输数据的方法、终端及多模通信终端
JP5361970B2 (ja) 通信システム、第一通信装置、第二通信装置、暗号化通信方法及びプログラム
JP5372100B2 (ja) 通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム
US20140334383A1 (en) Network system, node device, and method of controlling network system
CN110495153A (zh) 在预关联的状态中加密数据
JP5552104B2 (ja) 通信システム及び通信方法
JP2002314532A (ja) 複製端末発見方法
JP5367040B2 (ja) 通信システム、第一通信装置、第二通信装置、通信方法及びプログラム
KR20170083359A (ko) Aes 알고리즘을 이용한 사물인터넷 기기간 암호화 및 복호화 방법

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20130606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130625

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130801

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130917

R150 Certificate of patent or registration of utility model

Ref document number: 5372100

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350