WO2024058095A1 - ネットワークシステム、情報処理装置および通信方法 - Google Patents

ネットワークシステム、情報処理装置および通信方法 Download PDF

Info

Publication number
WO2024058095A1
WO2024058095A1 PCT/JP2023/032977 JP2023032977W WO2024058095A1 WO 2024058095 A1 WO2024058095 A1 WO 2024058095A1 JP 2023032977 W JP2023032977 W JP 2023032977W WO 2024058095 A1 WO2024058095 A1 WO 2024058095A1
Authority
WO
WIPO (PCT)
Prior art keywords
public key
network address
network
electronic certificate
devices
Prior art date
Application number
PCT/JP2023/032977
Other languages
English (en)
French (fr)
Inventor
久利寿 帝都
Original Assignee
コネクトフリー株式会社
久利寿 帝都
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コネクトフリー株式会社, 久利寿 帝都 filed Critical コネクトフリー株式会社
Publication of WO2024058095A1 publication Critical patent/WO2024058095A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Definitions

  • the present disclosure relates to a network system including a plurality of devices, an information processing apparatus for the network system, and a communication method in the network system.
  • ICT Information and Communication Technology
  • Patent Document 1 discloses a completely new method of determining a network address using a public key.
  • the present disclosure provides solutions to novel problems that may arise in network systems that use public keys to determine network addresses.
  • a network system including a plurality of devices.
  • Each of the plurality of devices includes a communication unit for performing data communication with the other device, and a determination unit that determines the network address of the other device based on the public key received from the other device.
  • a first device included in the plurality of devices has a first public key and a second public key, and access specifying a first network address determined based on the first public key; And, it is configured to be able to respond to any access that specifies the second network address determined based on the second public key.
  • the first device may be configured to notify at least one of having multiple network addresses and having multiple public keys.
  • the first device When the first device receives access specifying the first network address, the first device notifies the access source of at least one of the existence of the second public key and the existence of the second network address. Good too.
  • the first device may have a first electronic certificate associated with the first public key.
  • the first device detects at least one of the existence of the second public key and the existence of the second network address as the access source. may be notified.
  • the first device When the first device receives an inquiry about the validity of the first network address from another device, it may respond according to the validity period of the first electronic certificate.
  • the second device included in the plurality of devices determines a second network address based on the second public key, and also uses the determined second network address.
  • the routing table may be updated with the network address.
  • the second device may notify an application running on the second device of the second network address.
  • the first device may transmit a third public key possessed by the third device to the second device.
  • An information processing device capable of data communication with another information processing device includes a determining unit that determines a network address of the other device based on a public key received from the other device.
  • the information processing device has a first public key and a second public key, and access specifying a first network address determined based on the first public key, and the second public key.
  • the second network address is configured to be able to respond to any access that specifies the second network address determined based on the second network address.
  • a communication method in a network system including a plurality of devices includes the steps of each of the plurality of devices storing a public key of its own device, and the step of each of the plurality of devices storing a public key received from another device. determining a network address of another device based on the key; and if a first device included in the plurality of devices has a first public key and a second public key; responding to both an access specifying a first network address determined based on the public key of the second network address and an access specifying a second network address determined based on the second public key. include.
  • FIG. 3 is a schematic diagram showing an example of communication processing in the network system according to the present embodiment.
  • FIG. 7 is a schematic diagram showing another example of communication processing in the network system according to the present embodiment.
  • FIG. 2 is a schematic diagram showing an example of a public key and electronic certificate generation process in the network system according to the present embodiment.
  • 3 is a flowchart illustrating an example of public key generation processing in the network system according to the present embodiment.
  • 3 is a flowchart illustrating an example of electronic certificate generation processing in the network system according to the present embodiment.
  • FIG. 1 is a schematic diagram showing an example of the hardware configuration of a device according to the present embodiment.
  • FIG. 1 is a schematic diagram showing an example of a functional configuration of a device according to the present embodiment.
  • FIG. 2 is a schematic diagram showing a processing example when a device has multiple network addresses in the network system according to the present embodiment.
  • FIG. 2 is a schematic diagram showing an example of processing for notifying a plurality of network addresses in the network system according to the present embodiment.
  • FIG. 3 is a diagram for explaining the history of network addresses in the network system according to the present embodiment.
  • FIG. 2 is a schematic diagram showing an example of processing when changing a network address in the network system according to the present embodiment.
  • FIG. 7 is a schematic diagram showing another example of processing when changing a network address in the network system according to the present embodiment.
  • FIG. 3 is a schematic diagram showing an example of updating a routing table in the network system according to the present embodiment.
  • FIG. 7 is a schematic diagram showing an example of processing for notifying the network address of another device in the network system according to the present embodiment.
  • FIG. 1 is a schematic diagram showing an example of communication processing in the network system 1 according to the present embodiment.
  • network system 1 includes a plurality of devices 100A, 100B,... (hereinafter also collectively referred to as "devices 100").
  • the term “device” includes any information processing apparatus capable of communication processing.
  • Devices include, for example, personal computers (stationary and portable), smartphones, tablets, smartphones, wearable devices (e.g. smart watches, AR glasses, etc.) worn on the user's body (e.g. arm or head), smart This includes home appliances, connected cars, control equipment installed in factories, IoT devices, etc.
  • Each of the devices 100 has a public key 154.
  • Each of devices 100 may have a private key that corresponds to public key 154.
  • device 100A has a public key 154A
  • device 100B has a public key 154B.
  • the device 100A sends the public key 154A that the device 100A has to the device 100B.
  • the device 100B sends the public key 154B that the device 100B has to the device 100A.
  • the device 100A inputs the public key 154B into the address determination module 172 to determine the network address B of the device 100B. Similarly, device 100B inputs public key 154A into address determination module 172 to determine network address A for device 100A.
  • the device 100A and the device 100B can acquire each other's network addresses.
  • the exchange of the public key 154 between the device 100A and the device 100B does not need to be performed every time communication is started, and may be performed at least once.
  • network address means identification information for identifying a device existing on a network, and is not limited to commonly used IP (Internet Protocol) addresses (IPv4 and IPv6), but also unique address system (any address length can be adopted).
  • the address determination module 172 of the device 100 determines the network address of the other device 100 based on the public key 154 received from the other device 100. More specifically, the address determination module 172 calculates a hash value from the input public key 154 using an irreversible cryptographic hash function (hereinafter also referred to as "hash function 173"). Address determination module 172 determines a network address using the calculated hash value.
  • hash function 173 an irreversible cryptographic hash function
  • the network address may be determined only from the hash value.
  • the hash value may be designed to have a length equal to or longer than the number of digits (or number of bits) required for the network address.
  • a 128-bit hash value may be calculated, and when determining an IPv4 IP address, a 32-bit hash value may be calculated. Note that when calculating a 128-bit hash value, any 32 bits of the calculated hash value may be extracted and determined as the IPv4 IP address. Alternatively, after calculating a 256-bit or 512-bit hash value, any 128 bits (or 32 bits) of the calculated hash value may be extracted and determined as the IP address. .
  • the network address may be determined by adding a predetermined value to the calculated hash value. For example, the value of a specific digit (or specific bit position) of a hash value of a predetermined bit length is changed to a predetermined value (for example, a value indicating a specific attribute), and the result is determined as the network address. Good too.
  • the hash function 173 may be of any type as long as it is shared among the devices 100; for example, BLAKE, Keccak, etc. can be used. Additionally, any cryptographic hash function developed in the future can be employed.
  • any character string may be additionally input to the hash function 173.
  • the arbitrary character string for example, the name of an organization related to the network address or the trademark owned by the organization may be used.
  • an electronic certificate indicating the validity of the public key 154 may be used.
  • FIG. 2 is a schematic diagram showing another example of communication processing in a network system according to the present embodiment.
  • each of the devices 100 has a public key 154 and a digital certificate 164 associated with the public key 154.
  • the network system 1 may further include a certificate authority 200.
  • Certification authority 200 issues electronic certificate 164 associated with public key 154 in response to a request.
  • the network system 1 may include a plurality of certificate authorities 200. When multiple certificate authorities 200 are arranged, a root certificate authority and one or more intermediate certificate authorities may be provided.
  • the device 100A has a public key 154A and a digital certificate 164A
  • the device 100B has a public key 154B and a digital certificate 164B.
  • the device 100A transmits the public key 154A and the electronic certificate 164A that the device 100A has to the device 100B.
  • the device 100B transmits the public key 154B and the electronic certificate 164B that the device 100B has to the device 100A.
  • the device 100A uses the electronic certificate 164B from the device 100B to determine the validity of the public key 154B.
  • the device 100A confirms the validity of the public key 154B, the device 100A inputs the public key 154B into the address determination module 172 to determine the network address B of the device 100B.
  • the device 100B uses the electronic certificate 164A from the device 100A to determine the validity of the public key 154B.
  • the device 100B inputs the public key 154A into the address determination module 172 to determine the network address A of the device 100A.
  • the device 100A and the device 100B can acquire each other's network addresses.
  • the acquired network address is not tampered with and is more reliably authenticated by the mechanism including the electronic certificate 164 as described above.
  • the authenticated network address the validity of the network address of the device 100 can be guaranteed to a communication partner or a third party.
  • the device 100A and the device 100B may determine the validity of the electronic certificate 164B and the electronic certificate 164A by inquiring the certificate authority 200.
  • FIG. 3 is a schematic diagram showing an example of a public key and electronic certificate generation process in the network system 1 according to the present embodiment.
  • network system 1 includes a key pair generation module 140, an evaluation module 142, a digital certificate information generation module 240, and a digital certificate generation module 242.
  • the key pair generation module 140 sequentially generates a key pair 150 consisting of a private key 152 and a public key 154.
  • the key pair generation module 140 generates a bit string of a predetermined length (for example, 512 bits) as the private key 152 using a random number generator.
  • the key pair generation module 140 generates a public key 154 consisting of a bit string of a predetermined length (for example, 256 bits) from the private key 152 according to a known asymmetric cryptographic algorithm (for example, an elliptic curve cryptographic algorithm).
  • the random number generator used in the key pair generation module 140 may be realized using functions provided by an OS (Operating System), or may be realized using a hardwired circuit such as an ASIC (Application Specific Integrated Circuit). You can.
  • OS Operating System
  • ASIC Application Specific Integrated Circuit
  • the device 100 When the device 100 acquires the key pair 150 from outside, it may acquire the key pair 150 (private key 152 and public key 154), or it may acquire only the private key 152 and not the public key 154.
  • the information may be generated by the device 100 itself.
  • the evaluation module 142 determines whether the public key 154 included in the generated key pair 150 can be used as a network address. More specifically, the evaluation module 142 has a hash function 173, uses the hash function 173 to calculate a hash value from the public key 154, and determines whether the calculated hash value is appropriate as a network address. Determine whether it exists or not. The determination as to whether the address is appropriate as a network address may be made based on whether a specific digit (or bit position) of the calculated hash value indicates a predefined value. More specifically, it may be determined whether the calculated hash value conforms to predetermined network address assignment rules. For example, if the first two digits (16 bits in 8-bit representation) of the calculated hash value indicate "00", it may be determined that the network address is an appropriate network address.
  • the public key 154 included in the key pair 150 that the evaluation module 142 has determined can be used as a network address is output to the electronic certificate information generation module 240.
  • the electronic certificate information generation module 240 generates electronic certificate information 160 included in the electronic certificate 164 associated with the public key 154.
  • the electronic certificate information 160 includes, for example, the following information.
  • the name of the certificate authority 200 is stored as the name of the issuer
  • the name of the device 100 is stored as the name of the subject
  • the name of the evaluation module 142 is stored as the subject's public key.
  • the value of the output public key 154 is stored.
  • a start date and time and an end date and time may be stored as the validity period.
  • the length of the validity period can be set arbitrarily, but for example, it may be set to a period that is considered to be cryptographically secure.
  • the electronic certificate generation module 242 generates an electronic certificate 164 by adding an issuer's signature 162 (signature value) to the electronic certificate information 160. More specifically, the electronic certificate generation module 242 calculates a hash value of the electronic certificate information 160 using the private key 252 of the certificate authority 200 as the signature 162.
  • the electronic certificate generation module 242 may include information indicating the signature algorithm used to calculate the signature 162 in the electronic certificate 164.
  • the electronic certificate generation module 242 may include the issuer's public key (subject public key) in the electronic certificate 164. Since the electronic certificate 164 includes the issuer's public key, the validity of the electronic certificate 164 can be confirmed sequentially from the intermediate certificate authority to the root certificate authority according to the certificate chain.
  • the electronic certificate generation module 242 registers the generated electronic certificate 164 in the registry 250 and outputs it to the device 100.
  • the key pair generation module 140 and the evaluation module 142 may be placed in the device 100 or in the certificate authority 200.
  • the electronic certificate information generation module 240 and the electronic certificate generation module 242 are located in the certificate authority 200.
  • the registry 250 may be located in a different certificate authority 200 from the certificate authority 200 that generates the electronic certificate 164.
  • FIG. 4 is a flowchart illustrating an example of the public key 154 generation process in the network system 1 according to the present embodiment.
  • FIG. 4 shows, as an example, an example in which the device 100 generates a public key 154 for use as a network address. However, all or part of the process of generating the public key 154 may be performed by a processing entity other than the device 100.
  • device 100 generates private key 152 using a random number generator (step S2). Note that the device 100 may acquire the private key 152 from outside. Subsequently, the device 100 generates a public key 154 corresponding to the generated private key 152 according to the cryptographic algorithm (step S4).
  • the device 100 uses the hash function 173 to calculate a hash value from the generated public key 154 (step S6), and tentatively determines a network address using the calculated hash value (step S8).
  • step S10 determines whether the provisionally determined network address can be used as a network address. If the network address cannot be used as the provisionally determined network address (NO in step S10), the processes from step S2 onwards are repeated.
  • the device 100 stores the key pair 150 consisting of the private key 152 and the public key 154 (step S12).
  • the device 100 requests the certificate authority 200 to issue the electronic certificate 164 associated with the public key 154, as necessary (step S14). Upon acquiring the electronic certificate 164 from the certificate authority 200, the device 100 stores it in association with the key pair 150 (public key 154) (step S16). Then, the process ends.
  • FIG. 5 is a flowchart illustrating an example of the electronic certificate generation process in the network system 1 according to the present embodiment.
  • FIG. 5 shows, as an example, an example in which the certificate authority 200 generates the electronic certificate 164.
  • the certificate authority 200 when requested to issue the electronic certificate 164 associated with the public key 154 (YES in step S20), issues the electronic certificate including the requested public key 154 and the validity period.
  • the certificate information 160 is generated (step S22), and a hash value of the generated electronic certificate information 160 is calculated using the private key 252 of the certificate authority 200 (step S24).
  • the certificate authority 200 generates the electronic certificate 164 by adding the calculated hash value as the signature 162 to the electronic certificate information 160 (step S26).
  • the certificate authority 200 registers the generated electronic certificate 164 in the registry 250 (step S28) and transmits it to the requester (step S30). Then, the process ends.
  • FIG. 6 is a schematic diagram showing an example of the hardware configuration of device 100 according to this embodiment.
  • FIG. 6 shows, as a typical example, a hardware configuration example of a device 100 that is a personal computer.
  • device 100 includes one or more processors 102, memory 104, storage 106, display 108, input section 110, and communication section 112.
  • the processor 102 is an arithmetic circuit that sequentially reads and executes computer-readable instructions.
  • the processor 102 includes, for example, a CPU (Central Processing Unit), an MPU (Micro Processing Unit), a GPU (Graphics Processing Unit), and the like.
  • Device 100 may have multiple processors 102, or a single processor 102 may have multiple cores.
  • the processor 102 is not only a processor in the narrow sense, but also an ASIC (Application Specific Integrated Circuit) in which a circuit for realizing processing is formed in advance, and an FPGA in which a configuration for realizing processing is realized by configuration. (Field-Programmable Gate Array). Furthermore, in this specification, the processor 102 may also include an SoC (System on Chip) that integrates various processing elements. Therefore, the processor 102 can also be referred to as a processing circuit.
  • ASIC Application Specific Integrated Circuit
  • FPGA Field-Programmable Gate Array
  • SoC System on Chip
  • the memory 104 is, for example, a volatile storage device such as DRAM (Dynamic Random Access Memory) or SRAM (Static Random Access Memory).
  • the storage 106 is, for example, a nonvolatile storage device such as a HDD (Hard Disk Drive), an SSD (Solid State Drive), or a flash memory.
  • the storage 106 stores various programs and data.
  • the processor 102 develops designated programs on the memory 104 and sequentially executes them among the various programs stored in the storage 106, thereby realizing various processes as described below.
  • the storage 106 stores an OS 120, one or more applications 122, and a communication processing program 124.
  • the OS 120 is a program that provides an environment for executing various processes on the device 100.
  • the application 122 is a program that is arbitrarily created depending on the purpose.
  • the communication processing program 124 is a program for realizing communication processing according to this embodiment.
  • the storage 106 may be provided with a data storage area 128 (see FIG. 7) for storing the public key 154 and the electronic certificate 164.
  • the data storage area 128 may be realized using a security chip (not shown) instead of the storage 106.
  • the device 100 has a storage unit (for example, the storage 106 or a security chip) for storing the public key 154 of the device itself and the electronic certificate 164 associated with the public key 154.
  • a storage unit for example, the storage 106 or a security chip
  • the public key 154 of the device 100 may be calculated each time from the private key 152 stored in the storage unit. That is, it is not necessary to permanently store the public key 154 of the device 100 in the storage unit, and it may be generated each time a request is made.
  • the display 108 presents the processing results of the processor 102 to the outside.
  • the display 108 may be, for example, an LCD (Liquid Crystal Display) or an organic EL (Electro-Luminescence) display.
  • the display 108 may be a head-mounted display worn on the user's head, or may be a projector that projects an image onto a screen. Display 108 may be an indicator placed anywhere on the housing of device 100.
  • the input unit 110 receives user operations and the like on the device 100.
  • the input unit 110 may be, for example, a keyboard, a mouse, a touch panel placed on the display 108, a switch placed anywhere on the housing of the device 100, or the like.
  • the communication unit 112 performs data communication with other devices 100. More specifically, the communication unit 112 is a network interface for connecting the device 100 to a network.
  • the communication unit 112 includes wired connection terminals such as an Ethernet (registered trademark) port, a USB (Universal Serial Bus) port, a serial port such as IEEE1394, and a legacy parallel port.
  • the communication unit 112 may include a processing circuit, an antenna, etc. for wireless communication with devices, routers, mobile base stations, and the like.
  • Wireless communications supported by the communication unit 112 include, for example, Wi-Fi (registered trademark), Bluetooth (registered trademark), ZigBee (registered trademark), LPWA (Low Power Wide Area), GSM (registered trademark), W-CDMA, It may be any of CDMA200, LTE (Long Term Evolution), and 5th generation mobile communication system (5G).
  • Wi-Fi registered trademark
  • Bluetooth registered trademark
  • ZigBee registered trademark
  • LPWA Low Power Wide Area
  • GSM registered trademark
  • W-CDMA It may be any of CDMA200, LTE (Long Term Evolution), and 5th generation mobile communication system (5G).
  • 5G 5th generation mobile communication system
  • the device 100 further includes a component for reading various programs (computer readable instructions) and/or various data from a non-transitory medium in which the various programs (computer readable instructions) and/or various data are stored.
  • the media may be, for example, optical media such as a DVD (Digital Versatile Disc), semiconductor media such as a USB memory, or the like.
  • FIG. 7 is a schematic diagram showing an example of the functional configuration of device 100 according to this embodiment.
  • device 100 includes an OS 120, an application 122 that exchanges data with other devices 100, and a communication module 170.
  • the communication module 170 may be realized by the processor 102 executing the communication processing program 124 (FIG. 6), or may be realized by a dedicated hard-wired circuit.
  • the application 122 exchanges data with other devices 100 (or applications executed on other devices 100) via the communication module 170.
  • Communication module 170 has an interface 126 that accepts commands from application 122.
  • the communication module 170 executes communication processing according to this embodiment.
  • the communication module 170 includes an address determination module 172, a validity determination module 174, a table management module 176, a routing module 178, and a validity period management module 180.
  • the communication module 170 stores the public key 154 and the electronic certificate 164 associated with the public key 154 in the data storage area 128. Furthermore, the communication module 170 can refer to the routing table 182.
  • the address determination module 172 determines the network address of the other device 100 from the public key 154 of the other device 100, as described above.
  • the validity determination module 174 determines the validity of the public key 154B using the electronic certificate 164 from the other device 100.
  • the table management module 176 adds and changes information stored in the routing table 182.
  • the routing module 178 refers to the routing table 182 and transfers data (for example, packets or frames) to the destination device 100.
  • the routing module 178 can not only transfer data transmitted by its own device, but also transfer data received from other devices 100.
  • the validity period management module 180 manages whether the electronic certificate 164 has a sufficient validity period remaining, and when the validity period of the electronic certificate 164 is nearing its expiration date or has expired, it performs processing as described below. Execute.
  • the routing table 182 stores the network address of the device 100 and routing information in association with each other.
  • the routing module 178 determines a route for transferring data to the destination device 100 by referring to the routing table 182.
  • the routing table 182 may be placed in the device 100, or may be placed in a server device or the like separate from the device 100.
  • the communication module 170 may include the key pair generation module 140 and evaluation module 142 shown in FIG. 3.
  • FIG. 8 is a schematic diagram showing a processing example when the device 100 has multiple network addresses in the network system 1 according to the present embodiment.
  • device 100B includes a public key 154B1 and a digital certificate 164B1 associated with the public key 154B1, and a public key 154B2 and a digital certificate 164B2 associated with the public key 154B2. do.
  • Device 100B may have three or more sets of public key 154 and electronic certificate 164.
  • the public key 154B1 corresponds to the network address B1
  • the public key 154B2 corresponds to the network address B2.
  • the device 100B is configured to be able to respond to both accesses that specify network address B1 and accesses that specify network address B2. That is, the device 100B has multiple network addresses.
  • the device 100A accesses the device 100B by specifying the network address B1 (sequence SQ2). Then, device 100B responds to device 100A (sequence SQ4).
  • device 100C accesses device 100B by specifying network address B2 (sequence SQ6). Then, device 100B responds to device 100C (sequence SQ8).
  • FIG. 8 illustrates the communication process between the device 100A and the device 100B and the communication process between the device 100C and the device 100B, the same applies to the communication process between any devices 100. .
  • the device 100 can have multiple network addresses.
  • the device 100 when one device 100 belongs to multiple domains, by having a network address corresponding to each domain, the device 100 can communicate with other devices 100 belonging to which domain. can. That is, the devices 100 can act as members of their respective domains.
  • the device 100 may have respective network addresses determined by processing the same public key 154 with each hash function 173. .
  • the device 100 may have multiple network addresses (or multiple public keys 154), it may have multiple network addresses and/or multiple public keys 154. Any device 100 may be notified that it has the key 154. More specifically, the following communication processing may be performed.
  • the device 100B that has multiple network addresses receives an access specifying one network address (network address B1)
  • the device 100B that has multiple network addresses has multiple network addresses for the access source device 100A. It may also be possible to notify that the user has a plurality of public keys 154 (or that the user has a plurality of public keys 154).
  • FIG. 9 is a schematic diagram showing an example of processing for notifying a plurality of network addresses in the network system 1 according to the present embodiment.
  • the device 100B sends an access source device 100A to a network address that the device 100B has (for example, network address B2) other than the specified network address (network address B1). ) may be notified (sequence SQ5).
  • the device 100B informs the access source device 100A of the existence of a public key (for example, 154B2) corresponding to a network address owned by the device 100B other than the specified network address (network address B1). You may also be notified.
  • a public key for example, 154B2
  • network address B1 a network address owned by the device 100B other than the specified network address
  • the access source device 100 can learn the multiple network addresses possessed by the access destination device 100.
  • the process of notifying the existence of the network address or public key 154 is not only the process of transmitting a message etc. notifying the existence of the network address or public key 154 to the access source device 100A, but also the process of transmitting the public key 154 to the access source device 100A. It may include processing of transmitting to the device 100A.
  • an electronic certificate 164 associated with the public key 154 may be transmitted to the accessing device 100A.
  • the accessing device 100 may inquire of the accessed device 100 whether it has multiple network addresses and/or multiple public keys 154.
  • the network address history (for example, the target network
  • the network address used immediately before the address (or information for identifying the corresponding public key 154) may also be transmitted.
  • the destination device 100 can determine the network address that the device 100 currently has based on the public key 154, and can identify the network address that the device 100 had in the past by referring to the history.
  • the routing table 182 includes an entry corresponding to a network address that a certain device 100 had in the past, the entry corresponding to the past network address may be deleted, or the entry corresponding to the past network address may be deleted.
  • network address may be updated to the current network address determined based on the transmitted public key 154.
  • the history may include not only network addresses that the same device 100 had in the past, but also information for identifying network addresses that were used by the same user or organization. For example, if the device 100 that a user was using is replaced with a new device 100 due to a failure, the network address of the new device 100 will be the same as the network address of the failed device 100. A history indicating that the address has been taken over may be sent to the other device 100. By transmitting such relationships (history) between network addresses to other devices 100, network addresses can be more easily updated even when the device 100 is out of order.
  • the network address history can also be realized using a known certificate chain technology. That is, the electronic certificate 164 associated with the public key 154 corresponding to a certain network address is provided with information for identifying other network addresses related to the network address (for example, identifying the corresponding electronic certificate 164). information).
  • FIG. 10 is a diagram for explaining the history of network addresses in the network system 1 according to the present embodiment.
  • device 100 is currently using public key 154-3 and electronic certificate 164-3 (corresponding to network address 3).
  • the device 100 used a public key 154-2 and a digital certificate 164-2 (corresponding to network address 2), and even before that, it used a public key 154-1 and a digital certificate.
  • 164-1 (corresponding to network address 1).
  • network addresses other than the currently used network address may be treated as valid or invalid.
  • the device 100 can have multiple network addresses.
  • An example of the reason why it is necessary to have multiple network addresses is the validity period of the electronic certificate 164 corresponding to the network address. The validity period of the electronic certificate 164 will be explained below.
  • each of the devices 100 can also confirm the validity of the public key 154 based on the electronic certificate 164 associated with the public key 154.
  • the electronic certificate 164 has a defined validity period
  • the validity of the public key 154 cannot be confirmed if the validity period has passed.
  • the network address (not necessarily an authenticated network address) of the communication partner device 100 can be determined.
  • the network address will also be changed as the public key 154 of the device 100 is changed.
  • the device 100 detects the existence of the newly issued public key 154 and a new network address corresponding to the newly issued public key 154.
  • the access source (other device 100) may be notified of the existence of at least one of the . More specifically, the following process may be adopted.
  • FIG. 11 is a schematic diagram showing an example of processing when changing a network address in the network system 1 according to the present embodiment.
  • communication processing between the device 100A and the device 100B is illustrated in FIG. 11 and FIG. 12 described later, but the same applies to the communication processing with other devices 100.
  • the device 100B has a new public key 154B2 and the electronic certificate 164B2 associated with the public key 154B2.
  • the public key 154B1 corresponds to the network address B1
  • the public key 154B2 corresponds to the network address B2.
  • the device 100A has previously acquired the network address B1 of the device 100B, and accesses the device 100B by specifying the network address B1 in order to specify the device 100B (sequence SQ10).
  • the device 100B Since the validity period of the electronic certificate 164B1 corresponding to the network address B1 is about to expire or has expired, the device 100B transmits a new public key 154B2 and the electronic certificate 164B2 to the device 100A (sequence SQ12).
  • Device 100A may detect in advance that the validity period of electronic certificate 164B1 corresponding to network address B1 is about to expire or has expired, and may then transmit a new public key 154B2 and electronic certificate 164B2 when access is received specifying network address B1.
  • the device 100A may check the validity period of the electronic certificate 164 corresponding to the network address.
  • the device 100A determines the network address B2 of the device 100B based on the public key 154B2 and electronic certificate 164B2 from the device 100B (sequence SQ14). Then, the device 100A updates the routing table 182 with the network address B2 of the device 100B (sequence SQ16). After that, the device 100A specifies a new network address B2 and accesses the device 100B (sequence SQ18).
  • the device 100A determines the network address B2 based on the public key 154B2, and updates the routing table 182 with the determined network address B2. .
  • the device 100B (validity period management module 180) performs network management based on the public key 154B1.
  • a public key 154B2 different from public key 154B1 and an electronic certificate 164B2 associated with public key 154B2 are transmitted to the access source.
  • the new public key 154B2 (network address B2) and the electronic certificate 164B2 can be seamlessly transitioned to.
  • FIG. 12 is a schematic diagram showing another example of processing when changing a network address in network system 1 according to the present embodiment.
  • device 100A has previously acquired network address B1 of device 100B. Before transmitting data or the like to device 100B, device 100A inquires of device 100B about the validity of network address B1 (sequence SQ20).
  • the device 100B replies that the network address B1 is valid if the electronic certificate 164B1 corresponding to the network address B1 has a sufficient validity period remaining (sequence SQ22).
  • device 100A specifies network address B1 and accesses device 100B.
  • the device 100B transmits a new public key 154B2 and the electronic certificate 164B2 to the device 100A (sequence SQ24). Note that the device 100B may respond that the network address B1 is not valid.
  • the device 100B (validity period management module 180) receives an inquiry about the validity of the network address B1 from another device 100, it responds according to the validity period of the electronic certificate 164B1. That is, the content of the response differs depending on whether the validity period of the electronic certificate 164B1 is close to expiration or has expired.
  • the device 100A determines the network address B2 of the device 100B based on the public key 154B2 and electronic certificate 164B2 from the device 100B (sequence SQ26). The device 100A then updates the routing table 182 with the network address B2 of the device 100B (sequence SQ28). After that, the device 100A specifies a new network address B2 and accesses the device 100B (sequence SQ30).
  • the device 100A determines the network address B2 based on the public key 154B2, and updates the routing table 182 with the determined network address B2. .
  • the device 100B (validity period management module 180) performs network management based on the public key 154B1.
  • a public key 154B2 different from public key 154B1 and an electronic certificate 164B2 associated with public key 154B2 are transmitted to the access source.
  • the new public key 154B2 (network address B2) and the electronic certificate 164B2 can be seamlessly transitioned to.
  • the device 100 may be configured to be able to execute both the process in FIG. 11 and the process in FIG. 12. For example, the validity of the network address may be inquired of the communication partner only when the elapsed time since the previous access exceeds a predetermined threshold time.
  • the timing to inquire about the validity of a network address can be set arbitrarily. For example, by preparing a function for inquiring about the validity of a network address, the application 122 can execute the inquiry at a necessary timing.
  • FIG. 13 is a schematic diagram showing an example of updating the routing table 182 in the network system 1 according to the present embodiment.
  • routing table 182 includes routing information for each network address. When a network address is changed, only the corresponding network address may be changed while the routing information is maintained, or entries containing the changed network address and routing information may be added one after another. .
  • an alias may be set in order to maintain the relationship with the network address before the change.
  • the alias can be set within the device 100. , you can switch to the changed network address.
  • the application 122 running on the device 100 may not be able to know that the network address of another device 100 has changed, and in such a case, the communication module 170 may notify the application 122 of the change. The network address before and after the change may be notified.
  • the communication module 170 notifies the application 122 of the changed network address that corresponds to the specified network address before the change. You may also do so.
  • the application 122 can update the network address it manages to the notified changed network address.
  • the communication module 170 may notify the application 122 executed on the device 100 of the changed network address. Such notification allows changes in the network addresses of other devices 100 to be reflected on the application 122 as well.
  • the device 100 may notify not only its own network address (public key 154) but also the network address (public key 154) of another device such as the new device 100.
  • FIG. 14 is a schematic diagram showing an example of processing for notifying the network address of another device in the network system 1 according to the present embodiment.
  • the device 100B in addition to the public key 154B1 of the own device and the electronic certificate 164B1 associated with the public key 154B1, the device 100B also receives the public key 154C1 of the device 100C and the electronic certificate associated with the public key 154C1. 164C1.
  • the device 100B transmits the public key 154C1 and electronic certificate 164C1 of the device 100C to the device 100A in response to an instruction from the user or in response to the fulfillment of an arbitrary condition.
  • Device 100A determines network address C1 based on public key 154C1 and electronic certificate 164C1. Then, the device 100A specifies and accesses the network address C1. Since the network address C1 is a network address owned by the device 100C, the device 100A will access the device 100C.
  • the device 100B when the device 100B sends the public key 154 (and the associated electronic certificate 164) held by another device to the device 100A, the device 100A can send the public key 154 (and the associated electronic certificate 164) held by another device to the other device.
  • Data communication can be performed with.
  • a network address for which the validity period of the corresponding electronic certificate 164 has expired can be treated as a completely invalid network address, or can be treated as a valid network address with low reliability.
  • each device 100 will not specify the network address from its own device and send data, and the network address will not be specified in data received from another device. In this case, the data may be discarded.
  • each device 100 may specify the network address from its own device and send data, or the network address may be included in data received from another device. If specified, the data may be transferred. However, the priority of data transmission and transfer may be set relatively low. Setting a low priority may also reduce the effective speed of data transmission and transfer.
  • a message may be sent from the communication module 170 (validity period management module 180) to the application 122 executed on the device 100 to notify that the expiration date is near or has expired.
  • the contents or attributes of the message may be changed depending on the remaining period until the end date and time of the validity period. For example, the content or attributes of the message may be changed in stages when the remaining period reaches one month, two weeks, or one week.
  • the contents or attributes of the message may be different for each of the near-expiry and expired messages.
  • the application 122 may execute processing according to the received message.
  • the executed processes include, for example, a process of notifying the user of the device 100 or the application 122 that the electronic certificate 164 needs to be updated.
  • the process to be executed can be arbitrarily determined by the creator of the application 122.
  • an indicator placed somewhere on the housing of the device 100 may be used to visually notify that the validity period of the electronic certificate 164 is about to expire or has expired.
  • Examples of visual notification methods include lighting an indicator, blinking an indicator, and changing the display color of an indicator.
  • an audio output device or the like placed in any position of the housing of the device 100 may be used to audibly notify that the validity period of the electronic certificate 164 is about to expire or has expired.
  • auditory notification methods include generating a notification sound and changing the notification sound.
  • Visual notification and auditory notification may be provided together. Further, notification may be made in other forms.
  • the communication module 170 (validity period management module 180) of the device 100 notifies the application 122 executed on the device 100 that the validity period of the electronic certificate 164 is about to expire or has expired.
  • Such a notification function allows the user to easily understand that it is necessary to obtain a new electronic certificate 164.
  • the validity period of the electronic certificate 164 associated with the currently used public key 154 is about to expire or has expired, at least a new electronic certificate 164 needs to be obtained. That is, (1) obtain a new electronic certificate 164 associated with the same public key 154, or (2) generate a new key pair 150 and add the public key 154 included in the key pair 150. It is necessary to take one of two measures: acquiring the associated electronic certificate 164.
  • the communication module 170 of the device 100 performs the above-mentioned (1) and/or (2) when notifying that the validity period of the electronic certificate 164 associated with the currently used public key 154 is about to expire or has expired.
  • the countermeasure may also be notified.
  • a UI User Interface
  • either (1) or (2) can be set in advance, and when the validity period of the electronic certificate 164 associated with the public key 154 currently in use is approaching, the set method will be used. It may also be possible to accept execution of a process to obtain a new electronic certificate 164.
  • the communication module 170 of the device 100 obtains at least a new electronic certificate 164 from the certificate authority in response to a user operation.
  • a UI or the like may be provided to support payment of expenses necessary for acquiring a new electronic certificate 164.
  • the communication module 170 of the device 100 may provide an input screen for credit cards, etc., and may transmit the input credit card number to a payment server (not shown) to determine the necessary cost.
  • seamless communication can be realized even when one device has multiple network addresses.
  • the communication partner device 100 belongs to a different domain, when multiple types of hash functions 173 can be used, when the expiration date of the electronic certificate 164 is approaching or has expired.
  • the device 100 has multiple network addresses and can continue communication because any of the network addresses can be used.
  • the network address cannot be completely authenticated due to the expiration of the validity period of the electronic certificate. It is possible to seamlessly migrate to new public keys and digital certificates to address the issue of not being able to handle existing public keys and digital certificates. As a result, even if one of the devices becomes required to obtain a new electronic certificate, communication between the devices can be continued without interruption.
  • 1 network system 100, 100A, 100B, 100C device, 102 processor, 104 memory, 106 storage, 108 display, 110 input unit, 112 communication unit, 120 OS, 122 application, 124 communication processing program, 126 interface, 128 data storage area, 140 key pair generation module, 142 evaluation module, 150 key pair, 152, 252 private key, 154, 154A, 154B1, 154B, 154B2, 154C1 Public key, 160, digital certificate information, 162, signature, 164, 164A, 164B, 164B2, 164B1, 164C1, digital certificate, 170, communication module, 172, address determination module, 173, hash function, 174, validity determination module, 176, table management module, 178, routing module, 180, validity period management module, 182, routing table, 200, certification authority, 240, digital certificate information generation module, 242, digital certificate generation module, 250, registry.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

複数のデバイスを含むネットワークシステムが提供される。複数のデバイスの各々は、他のデバイスとデータ通信を行うための通信部と、他のデバイスから受信した公開鍵に基づいて、他のデバイスのネットワークアドレスを決定する決定部とを含む。第1のデバイスは、第1の公開鍵および第2の公開鍵を有しており、第1の公開鍵に基づいて決定される第1のネットワークアドレスを指定したアクセス、および、第2の公開鍵に基づいて決定される第2のネットワークアドレスを指定したアクセスのいずれにも応答可能に構成される。

Description

ネットワークシステム、情報処理装置および通信方法
 本開示は、複数のデバイスからなるネットワークシステム、そのネットワークシステムに向けられた情報処理装置、およびそのネットワークシステムにおける通信方法に関する。
 近年の情報通信技術(Information and Communication Technology:ICT)の進歩は目覚ましく、インターネットなどのネットワークに接続されるデバイスは、従来のパーソナルコンピュータやスマートフォンといった情報処理装置に限らず、様々なモノ(things)に広がっている。このような技術トレンドは、「IoT(Internet of Things;モノのインターネット)」と称され、様々な技術およびサービスが提案および実用化されつつある。将来的には、地球上の数十億人と数百億または数兆のデバイスとが同時につながる世界が想定されている。このようなネットワーク化された世界を実現するためには、よりシンプル、より安全、より自由につながることができるソリューションを提供する必要がある。
 このようなソリューションを提供する一つのコア技術として、国際公開第2020/049754号(特許文献1)は、公開鍵を用いてネットワークアドレスを決定する全く新しい手法を開示する。
国際公開第2020/049754号
 本開示は、公開鍵を用いてネットワークアドレスを決定するネットワークシステムにおいて生じ得る新規な課題に対する解決手段を提供する。
 本開示のある形態に従えば、複数のデバイスを含むネットワークシステムが提供される。複数のデバイスの各々は、他のデバイスとデータ通信を行うための通信部と、他のデバイスから受信した公開鍵に基づいて、他のデバイスのネットワークアドレスを決定する決定部とを含む。複数のデバイスに含まれる第1のデバイスは、第1の公開鍵および第2の公開鍵を有しており、第1の公開鍵に基づいて決定される第1のネットワークアドレスを指定したアクセス、および、第2の公開鍵に基づいて決定される第2のネットワークアドレスを指定したアクセスのいずれにも応答可能に構成される。
 第1のデバイスは、複数のネットワークアドレスを有していること、および、複数の公開鍵を有していることのうち少なくとも一方を通知するように構成されてもよい。
 第1のデバイスは、第1のネットワークアドレスを指定したアクセスを受けると、第2の公開鍵の存在、および、第2のネットワークアドレスの存在のうち、少なくとも一方をアクセス元に通知するようにしてもよい。
 第1のデバイスは、第1の公開鍵に関連付けられた第1の電子証明書を有していてもよい。第1のデバイスは、第1の電子証明書の有効期間が期限間近または期限切れである場合に、第2の公開鍵の存在、および、第2のネットワークアドレスの存在のうち、少なくとも一方をアクセス元に通知するようにしてもよい。
 第1のデバイスは、他のデバイスから第1のネットワークアドレスの有効性の問合せを受けると、第1の電子証明書の有効期間に応じて応答するようにしてもよい。
 複数のデバイスに含まれる第2のデバイスは、第1のデバイスから第2の公開鍵を取得すると、第2の公開鍵に基づいて第2のネットワークアドレスを決定するとともに、当該決定した第2のネットワークアドレスでルーティングテーブルを更新するようにしてもよい。
 第2のデバイスは、第2のネットワークアドレスを第2のデバイスで実行されるアプリケーションに通知するようにしてもよい。
 第1のデバイスは、第3のデバイスが有している第3の公開鍵を第2のデバイスに送信するようにしてもよい。
 本開示の別の形態に従う他の情報処理装置とデータ通信が可能な情報処理装置は、他のデバイスから受信した公開鍵に基づいて、他のデバイスのネットワークアドレスを決定する決定部を含む。情報処理装置は、第1の公開鍵および第2の公開鍵を有しており、第1の公開鍵に基づいて決定される第1のネットワークアドレスを指定したアクセス、および、第2の公開鍵に基づいて決定される第2のネットワークアドレスを指定したアクセスのいずれにも応答可能に構成される。
 本開示のさらに別の形態に従う複数のデバイスを含むネットワークシステムにおける通信方法は、複数のデバイスの各々が自デバイスの公開鍵を格納するステップと、複数のデバイスの各々が他のデバイスから受信した公開鍵に基づいて、他のデバイスのネットワークアドレスを決定するステップと、複数のデバイスに含まれる第1のデバイスが、第1の公開鍵および第2の公開鍵を有している場合に、第1の公開鍵に基づいて決定される第1のネットワークアドレスを指定したアクセス、および、第2の公開鍵に基づいて決定される第2のネットワークアドレスを指定したアクセスのいずれにも応答するステップとを含む。
 本開示によれば、公開鍵を用いてネットワークアドレスを決定するネットワークシステムにおいて生じ得る新規な課題に対する解決手段を提供できる。
本実施の形態に従うネットワークシステムにおける通信処理の一例を示す模式図である。 本実施の形態に従うネットワークシステムにおける通信処理の別の一例を示す模式図である。 本実施の形態に従うネットワークシステムにおける公開鍵および電子証明書の生成処理の一例を示す模式図である。 本実施の形態に従うネットワークシステムにおける公開鍵の生成処理の一例を示すフローチャートである。 本実施の形態に従うネットワークシステムにおける電子証明書の生成処理の一例を示すフローチャートである。 本実施の形態に従うデバイスのハードウェア構成例を示す模式図である。 本実施の形態に従うデバイスの機能構成例を示す模式図である。 本実施の形態に従うネットワークシステムにおいてデバイスが複数のネットワークアドレスを有している場合の処理例を示す模式図である。 本実施の形態に従うネットワークシステムにおいて複数のネットワークアドレスを通知する処理例を示す模式図である。 本実施の形態に従うネットワークシステムにおけるネットワークアドレスの履歴を説明するための図である。 本実施の形態に従うネットワークシステムにおけるネットワークアドレス変更時の処理例を示す模式図である。 本実施の形態に従うネットワークシステムにおけるネットワークアドレス変更時の別の処理例を示す模式図である。 本実施の形態に従うネットワークシステムにおけるルーティングテーブルの更新例を示す模式図である。 本実施の形態に従うネットワークシステムにおける別のデバイスのネットワークアドレスを通知する処理例を示す模式図である。
 本開示に係る実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。
 <A.ネットワークシステム1における通信処理>
 まず、本実施の形態に従うネットワークシステム1における通信処理の一例について説明する。
 図1は、本実施の形態に従うネットワークシステム1における通信処理の一例を示す模式図である。図1を参照して、ネットワークシステム1は、複数のデバイス100A,100B,…(以下、「デバイス100」とも総称する。)を含む。
 本明細書において、「デバイス」との用語は、通信処理が可能な任意の情報処理装置を含む。デバイスは、例えば、(据置型および携帯型)パーソナルコンピュータ、スマートフォン、タブレット、スマートフォン、ユーザの身体(例えば、腕や頭など)に装着されるウェアラブルデバイス(例えば、スマートウォッチやARグラスなど)、スマート家電、コネクティッド自動車、工場などに設置された制御機器、IoTデバイスなどを含む。
 デバイス100の各々は、公開鍵154を有している。デバイス100の各々は、公開鍵154に対応する秘密鍵を有していてもよい。
 図1に示す例では、デバイス100Aは、公開鍵154Aを有しており、デバイス100Bは、公開鍵154Bを有している。
 デバイス100Aとデバイス100Bとが通信を開始するにあたって、デバイス100Aは、デバイス100Aが有している公開鍵154Aをデバイス100Bに送信する。同様に、デバイス100Bは、デバイス100Bが有している公開鍵154Bをデバイス100Aに送信する。
 デバイス100Aは、公開鍵154Bをアドレス決定モジュール172に入力して、デバイス100BのネットワークアドレスBを決定する。同様に、デバイス100Bは、公開鍵154Aをアドレス決定モジュール172に入力して、デバイス100AのネットワークアドレスAを決定する。
 以上の処理によって、デバイス100Aおよびデバイス100Bは、互いのネットワークアドレスを取得できる。
 なお、デバイス100Aおよびデバイス100Bとの間の公開鍵154の交換は、通信を開始する毎に実行する必要はなく、少なくとも1回実行すればよい。
 本明細書において、「ネットワークアドレス」は、ネットワークに存在するデバイスを特定するための識別情報を意味し、一般的に用いられているIP(Internet Protocol)アドレス(IPv4およびIPv6)に限られず、独自のアドレス体系(任意の長さのアドレス長を採用できる)であってもよい。
 デバイス100のアドレス決定モジュール172は、他のデバイス100から受信した公開鍵154に基づいて、当該他のデバイス100のネットワークアドレスを決定する。より具体的には、アドレス決定モジュール172は、不可逆な暗号学的ハッシュ関数(以下、「ハッシュ関数173」とも称す。)を用いて、入力された公開鍵154からハッシュ値を算出する。アドレス決定モジュール172は、算出したハッシュ値を用いて、ネットワークアドレスを決定する。
 例えば、ハッシュ値のみからネットワークアドレスを決定してもよい。この場合には、ネットワークアドレスに必要な桁数(あるいは、ビット数)と同じまたはそれ以上の長さのハッシュ値が算出されるように設計してもよい。
 IPv6のIPアドレスを決定する場合には、128ビットのハッシュ値を算出すればばよいし、IPv4のIPアドレスを決定する場合には、32ビットのハッシュ値を算出すればよい。なお、128ビットのハッシュ値を算出する場合には、算出されたハッシュ値のうち任意の32ビット分を抽出してIPv4のIPアドレスとして決定してもよい。あるいは、256ビットまたは512ビットのハッシュ値が算出されるようにした上で、算出されたハッシュ値のうち任意の128ビット分(または32ビット分)を抽出してIPアドレスとして決定してもよい。
 さらに、算出されたハッシュ値に予め定められた値を付加してネットワークアドレスを決定してもよい。例えば、所定ビット長のハッシュ値のうち、特定桁(あるいは、特定のビット位置)の値を予め定められた値(例えば、特定の属性を示す値)に変更した結果をネットワークアドレスとして決定してもよい。
 ハッシュ関数173としては、デバイス100の間で共通化されていれば、どのようなものであってもよいが、例えば、BLAKEやKeccakなどを用いることができる。また、将来的に開発される任意の暗号学的ハッシュ関数を採用することができる。
 なお、ハッシュ関数173には、公開鍵154だけではなく、任意の文字列を追加的に入力するようにしてもよい。任意の文字列としては、例えば、ネットワークアドレスに関連する組織の名称や当該組織が有している商標などを用いてもよい。
 さらに、ネットワークアドレスに対する認証レベルを高めるために、公開鍵154の正当性を示す電子証明書を用いてもよい。
 図2は、本実施の形態に従うネットワークシステムにおける通信処理の別の一例を示す模式図である。図2を参照して、デバイス100の各々は、公開鍵154と公開鍵154に関連付けられた電子証明書164とを有している。
 ネットワークシステム1は、認証局200をさらに含んでいてもよい。認証局200は、要求に応じて、公開鍵154に関連付けられた電子証明書164を発行する。なお、ネットワークシステム1は、複数の認証局200を含んでいてもよい。複数の認証局200が配置される場合には、ルート認証局と1または複数の中間認証局とを設けてもよい。
 図1に示す例では、デバイス100Aは、公開鍵154Aおよび電子証明書164Aを有しており、デバイス100Bは、公開鍵154Bおよび電子証明書164Bを有している。
 デバイス100Aとデバイス100Bとが通信を開始するにあたって、デバイス100Aは、デバイス100Aが有している公開鍵154Aおよび電子証明書164Aをデバイス100Bに送信する。同様に、デバイス100Bは、デバイス100Bが有している公開鍵154Bおよび電子証明書164Bをデバイス100Aに送信する。
 デバイス100Aは、デバイス100Bからの電子証明書164Bを利用して、公開鍵154Bの正当性を判断する。デバイス100Aは、公開鍵154Bの正当性を確認できると、公開鍵154Bをアドレス決定モジュール172に入力して、デバイス100BのネットワークアドレスBを決定する。
 同様に、デバイス100Bは、デバイス100Aからの電子証明書164Aを利用して、公開鍵154Bの正当性を判断する。デバイス100Bは、公開鍵154Bの正当性を確認できると、公開鍵154Aをアドレス決定モジュール172に入力して、デバイス100AのネットワークアドレスAを決定する。
 以上の処理によって、デバイス100Aおよびデバイス100Bは、互いのネットワークアドレスを取得できる。取得されるネットワークアドレスは、上述したような電子証明書164を含む仕組みによって、改ざんなどがなされておらず、より確実に認証されたものとなる。認証済みネットワークアドレスを用いることで、通信相手あるいは第三者に対して、デバイス100のネットワークアドレスの正当性を保証できる。
 なお、デバイス100Aおよびデバイス100Bは、認証局200に問い合わせることで、電子証明書164Bおよび電子証明書164Aの正当性を判断してもよい。
 以下の説明においては、デバイス100の間では、公開鍵154および公開鍵154に関連付けられた電子証明書164を交換する例を主として説明するが、電子証明書164および認証局200は、必須の構成ではなく、要求される認証のレベルや運用に応じて、適宜採用されてもよい。
 <B.ネットワークシステム1における公開鍵および電子証明書の生成処理>
 次に、本実施の形態に従うネットワークシステム1における公開鍵および電子証明書の生成処理の一例について説明する。
 図3は、本実施の形態に従うネットワークシステム1における公開鍵および電子証明書の生成処理の一例を示す模式図である。図3を参照して、ネットワークシステム1は、鍵ペア生成モジュール140と、評価モジュール142と、電子証明書情報生成モジュール240と、電子証明書生成モジュール242とを含む。
 鍵ペア生成モジュール140は、秘密鍵152および公開鍵154からなる鍵ペア150を順次発生する。一例として、鍵ペア生成モジュール140は、秘密鍵152として、乱数発生器を用いて所定長さのビット列(例えば、512ビット)を発生する。そして、鍵ペア生成モジュール140は、公知の非対称暗号アルゴリズム(例えば、楕円曲線暗号アルゴリズム)に従って秘密鍵152から所定長さのビット列(例えば、256ビット)からなる公開鍵154を生成する。
 鍵ペア生成モジュール140に用いられる乱数発生器は、OS(Operating System)が提供する機能を利用して実現してもよいし、ASIC(Application Specific Integrated Circuit)などのハードワイヤード回路を用いて実現してもよい。
 デバイス100が鍵ペア150を外部から取得する場合には、鍵ペア150(秘密鍵152および公開鍵154)を取得するようにしてもよいし、秘密鍵152のみを取得し、公開鍵154についてはデバイス100自身が生成するようにしてもよい。
 評価モジュール142は、生成される鍵ペア150に含まれる公開鍵154がネットワークアドレスとして使用できるか否かを判断する。より具体的には、評価モジュール142は、ハッシュ関数173を有しており、ハッシュ関数173を用いて公開鍵154からハッシュ値を算出するとともに、算出されたハッシュ値がネットワークアドレスとして適切なものであるか否かを判断する。ネットワークアドレスとして適切なものであるか否かの判断は、算出されたハッシュ値の特定桁(あるいは、ビット位置)が予め規定された値を示すか否かに基づいて行われてもよい。より具体的には、算出されたハッシュ値が予め定められたネットワークアドレスの割当規則に適合しているか否かを判断するようにしてもよい。例えば、算出されたハッシュ値の先頭2桁(8ビット表示であれば、16ビット分)が「00」を示す場合に、適切なネットワークアドレスであると判断するようにしてもよい。
 評価モジュール142がネットワークアドレスとして使用できると判断した鍵ペア150に含まれる公開鍵154は、電子証明書情報生成モジュール240へ出力される。
 電子証明書情報生成モジュール240は、公開鍵154に関連付けられた電子証明書164に含まれる電子証明書情報160を生成する。電子証明書情報160は、例えば、以下のような情報を含む。
 ・発行者(issuer)の名称
 ・主体者(subject)の名称
 ・主体者の公開鍵(subject public key)
 ・有効期間(validity)
 本実施の形態に従うネットワークシステム1において、発行者の名称として、認証局200の名称が格納され、主体者の名称として、デバイス100の名称が格納され、主体者の公開鍵として、評価モジュール142から出力された公開鍵154の値が格納される。
 有効期間として、開始日時および終了日時が格納されていてもよい。有効期間の長さについては、任意に設定可能であるが、例えば、暗号学的に安全性が確保できると考えられる期間に設定されてもよい。
 電子証明書生成モジュール242は、電子証明書情報160に発行者の署名162(signature value)を付与して、電子証明書164を生成する。より具体的には、電子証明書生成モジュール242は、署名162として、認証局200の秘密鍵252を用いて、電子証明書情報160のハッシュ値を算出する。
 電子証明書生成モジュール242は、署名162の算出に用いた署名アルゴリズムを示す情報を電子証明書164に含めてもよい。
 電子証明書生成モジュール242は、発行者の公開鍵(subject public key)を電子証明書164に含めてもよい。電子証明書164が発行者の公開鍵を含むことで、電子証明書164の正当性を、証明書チェーンに従って中間認証局からルート認証局まで順次確認することができる。
 電子証明書生成モジュール242は、生成した電子証明書164をレジストリ250に登録するとともに、デバイス100へ出力する。
 なお、鍵ペア生成モジュール140および評価モジュール142は、デバイス100に配置されてもよいし、認証局200に配置されてもよい。電子証明書情報生成モジュール240および電子証明書生成モジュール242は、認証局200に配置される。なお、レジストリ250は、電子証明書164を生成する認証局200とは別の認証局200に配置されてもよい。
 図4は、本実施の形態に従うネットワークシステム1における公開鍵154の生成処理の一例を示すフローチャートである。図4には、一例として、デバイス100がネットワークアドレスとして使用するための公開鍵154を生成する例を示す。但し、公開鍵154を生成する処理の全部または一部をデバイス100以外の処理主体が実行するようにしてもよい。
 図4を参照して、デバイス100は、乱数発生器を用いて秘密鍵152を生成する(ステップS2)。なお、デバイス100は、秘密鍵152を外部から取得してもよい。続いて、デバイス100は、暗号アルゴリズムに従って、生成した秘密鍵152に対応する公開鍵154を生成する(ステップS4)。
 デバイス100は、ハッシュ関数173を用いて、生成した公開鍵154からハッシュ値を算出し(ステップS6)、算出したハッシュ値を用いてネットワークアドレスを暫定的に決定する(ステップS8)。
 続いて、デバイス100は、暫定的に決定したネットワークアドレスがネットワークアドレスとして使用できるか否かを判断する(ステップS10)。暫定的に決定したネットワークアドレスとして使用できなければ(ステップS10においてNO)、ステップS2以下の処理が繰り返される。
 暫定的に決定したネットワークアドレスとして使用できれば(ステップS10においてYES)、デバイス100は、秘密鍵152および公開鍵154からなる鍵ペア150を格納する(ステップS12)。
 デバイス100は、必要に応じて、公開鍵154に関連付けられた電子証明書164の発行を認証局200に要求する(ステップS14)。デバイス100は、認証局200から電子証明書164を取得すると、鍵ペア150(公開鍵154)と関連付けて格納する(ステップS16)。そして、処理は終了する。
 図5は、本実施の形態に従うネットワークシステム1における電子証明書の生成処理の一例を示すフローチャートである。図5には、一例として、認証局200が電子証明書164を生成する例を示す。
 図5を参照して、公開鍵154に関連付けられた電子証明書164の発行を要求されると(ステップS20においてYES)、認証局200は、要求された公開鍵154および有効期間を含む電子証明書情報160を生成し(ステップS22)、認証局200の秘密鍵252を用いて、生成した電子証明書情報160のハッシュ値を算出する(ステップS24)。認証局200は、算出したハッシュ値を署名162として電子証明書情報160に付加することで、電子証明書164を生成する(ステップS26)。
 そして、認証局200は、生成した電子証明書164をレジストリ250に登録する(ステップS28)とともに、要求元に送信する(ステップS30)。そして、処理は終了する。
 <C.デバイス100の構成例>
 次に、本実施の形態に従うデバイス100の構成例について説明する。
 (c1:ハードウェア構成例)
 図6は、本実施の形態に従うデバイス100のハードウェア構成例を示す模式図である。図6には、典型例として、パーソナルコンピュータであるデバイス100のハードウェア構成例を示す。
 図6を参照して、デバイス100は、1または複数のプロセッサ102と、メモリ104と、ストレージ106と、ディスプレイ108と、入力部110と、通信部112とを含む。
 プロセッサ102は、コンピュータ可読命令(computer-readable instructions)を順次読出して実行する演算回路である。プロセッサ102は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)などで構成される。デバイス100は、複数のプロセッサ102を有していてもよいし、単一のプロセッサ102が複数のコアを有していてもよい。
 プロセッサ102は、狭義のプロセッサだけではなく、処理を実現するための回路が予め形成されているASIC(Application Specific Integrated Circuit)、および、コンフィグレーションにより処理を実現するための構成が実現されているFPGA(Field-Programmable Gate Array)といったハードワイヤード回路を含み得る。さらに、本明細書において、プロセッサ102は、様々な処理要素を集積したSoC(System on Chip)も含み得る。そのため、プロセッサ102は、処理回路(processing circuitry)と言い換えることもできる。
 メモリ104は、例えば、DRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などの揮発性記憶装置である。ストレージ106は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリなどの不揮発性記憶装置である。
 ストレージ106には、各種プログラムおよび各種データが格納されている。プロセッサ102は、ストレージ106に格納された各種プログラムのうち、指定されたプログラムをメモリ104上に展開して順次実行することで、後述するような各種処理を実現する。
 一例として、ストレージ106には、OS120と、1または複数のアプリケーション122と、通信処理プログラム124とが格納されている。OS120は、デバイス100で各種処理を実行するための環境を提供するプログラムである。アプリケーション122は、目的に応じて任意に作成されるプログラムである。通信処理プログラム124は、本実施の形態に従う通信処理を実現するためのプログラムである。また、ストレージ106には、公開鍵154および電子証明書164を格納するためのデータ格納領域128(図7参照)が用意されていてもよい。
 データ格納領域128は、ストレージ106ではなく、図示しないセキュリティチップを用いて実現してもよい。
 このように、デバイス100は、自デバイスの公開鍵154および公開鍵154に関連付けられた電子証明書164を格納するための記憶部(例えば、ストレージ106やセキュリティチップ)を有している。なお、デバイス100の公開鍵154は、記憶部に格納されている秘密鍵152から都度計算するようにしてもよい。すなわち、デバイス100の公開鍵154を記憶部に永続的に格納しておく必要はなく、要求されたタイミングで都度生成するようにしてもよい。
 ディスプレイ108は、プロセッサ102での処理結果などを外部へ提示する。ディスプレイ108は、例えば、LCD(Liquid Crystal Display)や有機EL(Electro-Luminescence)ディスプレイなどであってもよい。ディスプレイ108は、ユーザの頭部に装着されるヘッドマウントディスプレイであってもよいし、画像をスクリーン上に投影するプロジェクターであってもよい。ディスプレイ108は、デバイス100の筐体のいずれかの位置に配置されたインジケータであってもよい。
 入力部110は、デバイス100に対するユーザ操作などを受け付ける。入力部110は、例えば、キーボード、マウス、ディスプレイ108上に配置されたタッチパネル、デバイス100の筐体のいずれかの位置に配置されたスイッチなどであってもよい。
 通信部112は、他のデバイス100とデータ通信を行う。より具体的には、通信部112は、デバイス100をネットワークに接続するためのネットワークインターフェイスである。例えば、通信部112は、イーサネット(登録商標)ポート、USB(Universal Serial Bus)ポート、IEEE1394などのシリアルポート、レガシーなパラレルポートといった有線接続端子を含む。あるいは、通信部112は、デバイス、ルータ、移動体基地局などと無線通信するための処理回路およびアンテナなどを含んでもよい。通信部112が対応する無線通信は、例えば、Wi-Fi(登録商標)、Bluetooth(登録商標)、ZigBee(登録商標)、LPWA(Low Power Wide Area)、GSM(登録商標)、W-CDMA、CDMA200、LTE(Long Term Evolution)、第5世代移動通信システム(5G)のいずれであってもよい。
 デバイス100は、各種プログラム(コンピュータ可読命令)および/または各種データが格納された非一過性(non-transitory)のメディアから各種プログラムおよび/または各種データを読み出すためのコンポーネントをさらに有していてもよい。メディアは、例えば、DVD(Digital Versatile Disc)などの光学メディア、USBメモリなどの半導体メディアなどであってもよい。
 なお、メディアを介して各種プログラムおよび/または各種データをデバイス100にインストールするのではなく、ネットワーク上の配信サーバから必要なプログラムおよびデータをデバイス100にインストールするようにしてもよい。
 なお、本実施の形態に従う機能の提供および処理の実行を実現するための構成は、図6に示すデバイス100のハードウェア構成例に限られず、実現される時代に応じた任意のハードウェア構成を採用すればよい。
 (c2:機能構成例)
 図7は、本実施の形態に従うデバイス100の機能構成例を示す模式図である。図7を参照して、デバイス100は、OS120と、他のデバイス100との間でデータをやり取りするアプリケーション122と、通信モジュール170とを含む。通信モジュール170は、プロセッサ102が通信処理プログラム124(図6)を実行することで実現されてもよいし、専用のハードワイヤード回路により実現されてもよい。
 アプリケーション122は、通信モジュール170を介して、他のデバイス100(あるいは、他のデバイス100で実行されるアプリケーション)との間でデータをやり取りする。通信モジュール170は、アプリケーション122からの指令を受け付けるインターフェイス126を有している。
 通信モジュール170は、本実施の形態に従う通信処理を実行する。通信モジュール170は、アドレス決定モジュール172と、正当性判断モジュール174と、テーブル管理モジュール176と、ルーティングモジュール178と、有効期間管理モジュール180とを含む。
 通信モジュール170は、公開鍵154および公開鍵154に関連付けられた電子証明書164をデータ格納領域128に格納している。また、通信モジュール170は、ルーティングテーブル182を参照可能になっている。
 アドレス決定モジュール172は、上述したように、他のデバイス100の公開鍵154から当該他のデバイス100のネットワークアドレスを決定する。
 正当性判断モジュール174は、他のデバイス100からの電子証明書164を利用して、公開鍵154Bの正当性を判断する。
 テーブル管理モジュール176は、ルーティングテーブル182に格納される情報を追加および変更する。
 ルーティングモジュール178は、ルーティングテーブル182を参照して、データ(例えば、パケットやフレーム)を送信先のデバイス100へ転送する。ルーティングモジュール178は、自デバイスが送信するデータの転送だけではなく、他のデバイス100から受信したデータを転送することもできる。
 有効期間管理モジュール180は、電子証明書164の有効期間が十分に残っているか否かを管理するとともに、電子証明書164の有効期間が期限間近または期限切れである場合には、後述するような処理を実行する。
 ルーティングテーブル182は、デバイス100のネットワークアドレスとルーティング情報とを対応付けて格納している。ルーティングモジュール178は、ルーティングテーブル182を参照することで、送信先のデバイス100へデータを転送する経路などを決定する。
 ルーティングテーブル182は、デバイス100に配置されてもよいし、デバイス100とは別のサーバ装置などに配置されてもよい。
 なお、通信モジュール170は、図3に示す鍵ペア生成モジュール140および評価モジュール142を含んでいてもよい。
 <D.複数のネットワークアドレス>
 次に、デバイス100が複数の公開鍵154(あるいは、複数の公開鍵154からそれぞれ算出される複数のネットワークアドレス)を有している場合の例について説明する。
 図8は、本実施の形態に従うネットワークシステム1においてデバイス100が複数のネットワークアドレスを有している場合の処理例を示す模式図である。
 図8を参照して、デバイス100Bは、公開鍵154B1および公開鍵154B1に関連付けられた電子証明書164B1と、公開鍵154B2および公開鍵154B2に関連付けられた電子証明書164B2とを有しているとする。デバイス100Bは、公開鍵154および電子証明書164の組を3つ以上有していてもよい。
 ここで、公開鍵154B1は、ネットワークアドレスB1に対応し、公開鍵154B2は、ネットワークアドレスB2に対応する。
 デバイス100Bは、ネットワークアドレスB1を指定したアクセス、および、ネットワークアドレスB2を指定したアクセスのいずれにも応答可能に構成されている。すなわち、デバイス100Bは、複数のネットワークアドレスを有している。
 例えば、デバイス100Aは、ネットワークアドレスB1を指定してデバイス100Bにアクセスしたとする(シーケンスSQ2)。すると、デバイス100Bは、デバイス100Aに対して応答する(シーケンスSQ4)。同様に、デバイス100Cは、ネットワークアドレスB2を指定してデバイス100Bにアクセスしたとする(シーケンスSQ6)。すると、デバイス100Bは、デバイス100Cに対して応答する(シーケンスSQ8)。
 なお、図8には、デバイス100Aとデバイス100Bとの間の通信処理、および、デバイス100Cとデバイス100Bとの間の通信処理を例示したが、任意のデバイス100間の通信処理についても同様である。
 このように、本実施の形態に従うネットワークシステム1において、デバイス100は、複数のネットワークアドレスを有することができる。
 例えば、1つのデバイス100が複数のドメインに属している場合などに、それぞれのドメインに対応するネットワークアドレスをそれぞれ有しておくことで、デバイス100は、いずれのドメインに属する他のデバイス100と通信できる。すなわち、デバイス100は、それぞれのドメインのメンバとして振る舞うことができる。
 また、複数のハッシュ関数173を利用できる場合などには、デバイス100は、同一の公開鍵154をそれぞれのハッシュ関数173で処理することで決定されるそれぞれのネットワークアドレスを有しておいてもよい。
 図8に示すように、デバイス100が複数のネットワークアドレス(あるいは、複数の公開鍵154)を有している場合には、複数のネットワークアドレスを有していること、および/または、複数の公開鍵154を有していることを任意のデバイス100に通知するようにしてもよい。より具体的には、以下のような通信処理を行ってもよい。
 例えば、複数のネットワークアドレスを有しているデバイス100Bは、1つのネットワークアドレス(ネットワークアドレスB1)を指定したアクセスを受けた場合に、アクセス元のデバイス100Aに対して、複数のネットワークアドレスを有している旨(または、複数の公開鍵154を有している旨)を通知するようにしてもよい。
 図9は、本実施の形態に従うネットワークシステム1において複数のネットワークアドレスを通知する処理例を示す模式図である。図9を参照して、例えば、デバイス100Bは、アクセス元のデバイス100Aに対して、指定されたネットワークアドレス(ネットワークアドレスB1)以外の、デバイス100Bが有しているネットワークアドレス(例えば、ネットワークアドレスB2)の存在を通知するようにしてもよい(シーケンスSQ5)。
 あるいは、デバイス100Bは、アクセス元のデバイス100Aに対して、指定されたネットワークアドレス(ネットワークアドレスB1)以外の、デバイス100Bが有しているネットワークアドレスに対応する公開鍵(例えば、154B2)の存在を通知するようにしてもよい。
 このような通信処理によって、アクセス元のデバイス100は、アクセス先のデバイス100が有している複数のネットワークアドレスを知ることができる。
 なお、ネットワークアドレスまたは公開鍵154の存在を通知する処理は、ネットワークアドレスまたは公開鍵154の存在を通知するメッセージ等をアクセス元のデバイス100Aに送信する処理だけではなく、公開鍵154をアクセス元のデバイス100Aに送信する処理を含み得る。なお、公開鍵154に加えて、公開鍵154に関連付けられた電子証明書164をアクセス元のデバイス100Aに送信するようにしてもよい。
 逆に、アクセス元のデバイス100がアクセス先のデバイス100に対して、複数のネットワークアドレスおよび/または複数の公開鍵154を有しているか否かを問合せできるようにしてもよい。
 また、複数のネットワークアドレスを有しているデバイス100が、他のデバイス100に公開鍵154(および関連付けられた電子証明書164)を送信する場合には、ネットワークアドレスの履歴(例えば、対象のネットワークアドレスの1つ前に使用されていたネットワークアドレス(あるいは、対応する公開鍵154)を特定するための情報)を併せて送信してもよい。送信先のデバイス100は、公開鍵154に基づいて、デバイス100が現在有しているネットワークアドレスを決定するとともに、履歴を参照して、デバイス100が過去に有していたネットワークアドレスを特定できる。
 さらに、あるデバイス100が過去に有していたネットワークアドレスに対応するエントリがルーティングテーブル182に含まれている場合には、当該過去のネットワークアドレスに対応するエントリを削除してもよいし、当該過去のネットワークアドレスを送信された公開鍵154に基づいて決定される現在のネットワークアドレスに更新してもよい。
 なお、同一のデバイス100が過去に有していたネットワークアドレスだけではなく、同一のユーザあるいは組織が利用していたネットワークアドレスを特定するための情報を履歴に含めてもよい。例えば、あるユーザが利用していたデバイス100が故障により、新たなデバイス100に交換されたような場合には、当該新たなデバイス100のネットワークアドレスは、当該故障したデバイス100が有していたネットワークアドレスを引き継いだものであることを示す履歴を他のデバイス100に送信するようにしてもよい。このようなネットワークアドレス間の関係性(履歴)を他のデバイス100に送信することで、デバイス100が故障した場合などにおいても、ネットワークアドレスの更新をより容易に実現できる。
 なお、ネットワークアドレスの履歴は、公知の証明書チェーンの技術を用いて実現することもできる。すなわち、あるネットワークアドレスに対応する公開鍵154に関連付けられた電子証明書164は、当該ネットワークアドレスと関係のある他のネットワークアドレスを特定するための情報(例えば、対応する電子証明書164を特定する情報)を含んでいてもよい。
 図10は、本実施の形態に従うネットワークシステム1におけるネットワークアドレスの履歴を説明するための図である。図10を参照して、例えば、デバイス100は、公開鍵154-3および電子証明書164-3(ネットワークアドレス3に対応)を現在使用しているとする。当該デバイス100は、その直前には、公開鍵154-2および電子証明書164-2(ネットワークアドレス2に対応)を使用しており、さらにその前には、公開鍵154-1および電子証明書164-1(ネットワークアドレス1に対応)を使用していたとする。
 ネットワークアドレスの履歴を他のデバイス100に送信することで、ネットワークアドレスの変遷や関連性などを把握できる。なお、現在使用しているネットワークアドレス以外のネットワークアドレスについては、有効なものとして取り扱ってもよいし、無効なものとして取り扱ってもよい。
 <E.ネットワークシステム1における電子証明書の有効期間>
 本実施の形態に従うネットワークシステム1において、デバイス100は、複数のネットワークアドレスを有することができる。複数のネットワークアドレスを有する必要が生じる原因の一例として、ネットワークアドレスに対応する電子証明書164の有効期間がある。以下、電子証明書164の有効期間について説明する。
 ネットワークシステム1において、デバイス100の各々は、公開鍵154に関連付けられた電子証明書164に基づいて、公開鍵154の正当性を確認することもできる。電子証明書164に有効期間が規定されている場合において、当該有効期間が経過しているときには、公開鍵154の正当性を確認できない。但し、公開鍵154の正当性を確認できない場合であっても、通信相手のデバイス100のネットワークアドレス(認証済みネットワークアドレスとは限らない)は決定できる。
 そのため、電子証明書164の有効期間が期限間近になると、いずれかの処理が必要となる。
 (1)同一の公開鍵154に関連付けられた新たな電子証明書164を発行する
 (2)新たな鍵ペア150を生成するとともに、当該鍵ペア150に含まれる公開鍵154に関連付けられた電子証明書164を発行する
 (1)の処理を採用する場合には、後述するような方法で、電子証明書164の有効期間が期限間近であることを通知するようにしてもよい。
 (2)の処理を採用する場合には、デバイス100の公開鍵154が変更されることに伴って、ネットワークアドレスも変更されることになる。
 そのため、変更後のネットワークアドレスを他のデバイス100が何らかの方法で取得できるような仕組みが必要となる。一例として、デバイス100は、電子証明書164の有効期間が期限間近または期限切れである場合に、新たに発行した公開鍵154の存在、および、新たに発行した公開鍵154に対応する新たなネットワークアドレスの存在のうち、少なくとも一方をアクセス元(他のデバイス100)に通知するようにしてもよい。より具体的には、以下のような処理を採用してもよい。
 <F.ネットワークシステム1におけるネットワークアドレス変更時の処理>
 次に、ネットワークシステム1におけるネットワークアドレス変更時の処理について説明する。
 (f1:処理例その1)
 図11は、本実施の形態に従うネットワークシステム1におけるネットワークアドレス変更時の処理例を示す模式図である。説明の便宜上、図11および後述の図12には、デバイス100Aとデバイス100Bとの間の通信処理を例示するが、他のデバイス100との間の通信処理についても同様である。
 一例として、デバイス100Bの公開鍵154B1に関連付けられた電子証明書164B1の有効期間が期限間近または期限切れであるとする(後述の図12においても同様である)。そのため、デバイス100Bは、公開鍵154B1および電子証明書164B1に加えて、新たな公開鍵154B2および公開鍵154B2に関連付けられた電子証明書164B2を有している。なお、公開鍵154B1は、ネットワークアドレスB1に対応し、公開鍵154B2は、ネットワークアドレスB2に対応する。
 デバイス100Aは、デバイス100BのネットワークアドレスB1を予め取得しており、デバイス100Bを特定するためにネットワークアドレスB1を指定してアクセスしたとする(シーケンスSQ10)。
 ネットワークアドレスB1に対応する電子証明書164B1の有効期間が期限間近または期限切れであるため、デバイス100Bは、新たな公開鍵154B2および電子証明書164B2をデバイス100Aに送信する(シーケンスSQ12)。
 デバイス100Aは、ネットワークアドレスB1に対応する電子証明書164B1の有効期間が期限間近または期限切れであることを予め検出しておくことで、ネットワークアドレスB1を指定したアクセスを受けると、新たな公開鍵154B2および電子証明書164B2を送信するようにしてもよい。
 あるいは、デバイス100Aは、自デバイスのネットワークアドレスを指定したアクセスを受けると、当該ネットワークアドレスに対応する電子証明書164の有効期間を都度確認するようにしてもよい。
 デバイス100Aは、デバイス100Bからの公開鍵154B2および電子証明書164B2に基づいて、デバイス100BのネットワークアドレスB2を決定する(シーケンスSQ14)。そして、デバイス100Aは、デバイス100BのネットワークアドレスB2でルーティングテーブル182を更新する(シーケンスSQ16)。その後、デバイス100Aは、新たなネットワークアドレスB2を指定して、デバイス100Bにアクセスする(シーケンスSQ18)。
 このように、デバイス100Aは、デバイス100Bから公開鍵154B2および電子証明書164B2を取得すると、公開鍵154B2に基づいてネットワークアドレスB2を決定するとともに、当該決定したネットワークアドレスB2でルーティングテーブル182を更新する。
 上述したように、デバイス100B(有効期間管理モジュール180)は、公開鍵154B1に関連付けられた電子証明書164B1の有効期間が期限間近または期限切れである場合に、公開鍵154B1に基づいて決定されるネットワークアドレスB1を指定したアクセスを受けると、公開鍵154B1とは異なる公開鍵154B2および公開鍵154B2に関連付けられた電子証明書164B2をアクセス元に送信する。これによって、デバイス100Bが有している公開鍵154B1に関連付けられた電子証明書164B1の有効期間が期限間近または期限切れになったとしても、新たな公開鍵154B2(ネットワークアドレスB2)および電子証明書164B2にシームレスに移行することができる。
 すなわち、同一のデバイス100のネットワークアドレスが変更された場合においても、通信処理を継続できる。
 (f2:処理例その2)
 図12は、本実施の形態に従うネットワークシステム1におけるネットワークアドレス変更時の別の処理例を示す模式図である。
 図12を参照して、デバイス100Aは、デバイス100BのネットワークアドレスB1を予め取得している。デバイス100Aは、デバイス100Bへデータなどを送信する前に、デバイス100Bに対してネットワークアドレスB1の有効性を問い合わせる(シーケンスSQ20)。
 デバイス100Bは、デバイス100Aからの問合せに応答して、ネットワークアドレスB1に対応する電子証明書164B1の有効期間が十分に残っている場合には、ネットワークアドレスB1が有効であることを返答する(シーケンスSQ22)。デバイス100Aは、デバイス100Bからの返答に従って、ネットワークアドレスB1を指定してデバイス100Bにアクセスする。
 一方、ネットワークアドレスB1に対応する電子証明書164B1の有効期間が期限間近または期限切れであれば、デバイス100Bは、新たな公開鍵154B2および電子証明書164B2をデバイス100Aに送信する(シーケンスSQ24)。なお、デバイス100Bは、ネットワークアドレスB1が有効ではないことを返答してもよい。
 このように、デバイス100B(有効期間管理モジュール180)は、他のデバイス100からネットワークアドレスB1の有効性の問合せを受けると、電子証明書164B1の有効期間に応じて応答する。すなわち、電子証明書164B1の有効期間が期限間近または期限切れであるか否かに応じて、応答内容が異なる。
 デバイス100Aは、デバイス100Bからの公開鍵154B2および電子証明書164B2に基づいて、デバイス100BのネットワークアドレスB2を決定する(シーケンスSQ26)。そして、デバイス100Aは、デバイス100BのネットワークアドレスB2でルーティングテーブル182を更新する(シーケンスSQ28)。その後、デバイス100Aは、新たなネットワークアドレスB2を指定して、デバイス100Bにアクセスする(シーケンスSQ30)。
 このように、デバイス100Aは、デバイス100Bから公開鍵154B2および電子証明書164B2を取得すると、公開鍵154B2に基づいてネットワークアドレスB2を決定するとともに、当該決定したネットワークアドレスB2でルーティングテーブル182を更新する。
 上述したように、デバイス100B(有効期間管理モジュール180)は、公開鍵154B1に関連付けられた電子証明書164B1の有効期間が期限間近または期限切れである場合に、公開鍵154B1に基づいて決定されるネットワークアドレスB1を指定したアクセスを受けると、公開鍵154B1とは異なる公開鍵154B2および公開鍵154B2に関連付けられた電子証明書164B2をアクセス元に送信する。これによって、デバイス100Bが有している公開鍵154B1に関連付けられた電子証明書164B1の有効期間が期限間近または期限切れになったとしても、新たな公開鍵154B2(ネットワークアドレスB2)および電子証明書164B2にシームレスに移行することができる。
 (f3:処理例その3)
 図11の処理および図12の処理の両方を実行できるようにデバイス100を構成してもよい。例えば、前回のアクセスからの経過時間が予め定められたしきい時間を超えている場合に限って、ネットワークアドレスの有効性を通信相手に問い合わせるようにしてもよい。
 (f4:有効性の問合せ)
 図12に示すネットワークアドレスの有効性については、ネットワークアドレスを有しているデバイス100ではなく、いずれかの認証局200(レジストリ250)に問い合わせるようにしてもよい。
 ネットワークアドレスの有効性を問い合わせるタイミングは任意に設定できる。例えば、ネットワークアドレスの有効性を問い合わせるための関数を用意しておくことで、アプリケーション122において必要なタイミングで、問合せを実行できる。
 (f5:ルーティングテーブル182の更新およびアプリケーション122への通知)
 上述したように、ネットワークアドレスが変更された場合には、ルーティングテーブル182の内容も更新される。
 図13は、本実施の形態に従うネットワークシステム1におけるルーティングテーブル182の更新例を示す模式図である。図13を参照して、ルーティングテーブル182は、ネットワークアドレス毎にルーティング情報を含む。ネットワークアドレスが変更されることで、ルーティング情報は維持されたまま対応するネットワークアドレスのみを変更してもよいし、変更後のネットワークアドレスとルーティング情報とを含むエントリを逐次追加するようにしてもよい。
 また、変更前のネットワークアドレスとの関連性を維持するために、エイリアスを設定できるようにしてもよい。エイリアスには、変更前のネットワークアドレスを設定しておくことで、デバイス100において実行される任意のアプリケーション122が変更前のネットワークアドレスを指定した通信を行う場合であっても、デバイス100の内部で、変更後のネットワークアドレスに切り替えることができる。
 さらに、デバイス100において実行されるアプリケーション122は、他のデバイス100のネットワークアドレスが変更されたことを知ることができない場合もあり、そのような場合には、通信モジュール170からアプリケーション122に対して、変更前および変更後のネットワークアドレスを通知するようにしてもよい。
 例えば、アプリケーション122が変更前のネットワークアドレスを指定したアクセスを通信モジュール170に要求すると、通信モジュール170がアプリケーション122に対して、指定された変更前のネットワークアドレスに対応する変更後のネットワークアドレスを通知するようにしてもよい。アプリケーション122は、管理しているネットワークアドレスを通知された変更後のネットワークアドレスに更新することができる。
 このように、通信モジュール170は、変更後のネットワークアドレスをデバイス100で実行されるアプリケーション122に通知するようにしてもよい。このような通知によって、他のデバイス100のネットワークアドレスの変更をアプリケーション122に対しても反映することができる。
 (f6:自デバイス以外の公開鍵/ネットワークアドレスの通知)
 例えば、あるユーザが使用しているデバイス100を別のデバイス100に変更するような場合を想定すると、新たなデバイス100のネットワークアドレスを事前に通知しておくことが好ましい。そのため、デバイス100は、自デバイスのネットワークアドレス(公開鍵154)だけではなく、新たなデバイス100といった別デバイスのネットワークアドレス(公開鍵154)を通知するようにしてもよい。
 図14は、本実施の形態に従うネットワークシステム1における別のデバイスのネットワークアドレスを通知する処理例を示す模式図である。図14を参照して、デバイス100Bは、自デバイスの公開鍵154B1および公開鍵154B1に関連付けられた電子証明書164B1に加えて、デバイス100Cの公開鍵154C1および公開鍵154C1に関連付けられた電子証明書164C1を有している。
 デバイス100Bは、ユーザからの指示に応じて、あるいは、任意の条件が成立したことに応答して、デバイス100Cの公開鍵154C1および電子証明書164C1をデバイス100Aに送信する。デバイス100Aは、公開鍵154C1および電子証明書164C1に基づいて、ネットワークアドレスC1を決定する。そして、デバイス100Aは、ネットワークアドレスC1を指定してアクセスする。ネットワークアドレスC1は、デバイス100Cが有しているネットワークアドレスであるので、デバイス100Aはデバイス100Cにアクセスすることになる。
 このように、デバイス100Bが他のデバイスが有している公開鍵154(および、関連付けられた電子証明書164)をデバイス100Aに送信することで、デバイス100Aは、デバイス100Bではなく、他のデバイスとデータ通信を行うことができる。
 このような新たなネットワークアドレスの通信を行うことで、デバイス100の通信先が変化した場合であっても、新たなデバイス100へシームレスに移行できる。
 <G.有効期間の期限切れ>
 対応する電子証明書164の有効期間が期限切れとなったネットワークアドレスについては、全く無効なネットワークアドレスとして取り扱うこともできるし、信頼性は低いものの有効なネットワークアドレスとして取り扱うこともできる。
 全く無効なネットワークアドレスとして取り扱う場合には、各デバイス100は、自デバイスから当該ネットワークアドレスを指定してデータを送信することはないし、他のデバイスから受信したデータに当該ネットワークアドレスが指定されていた場合には、当該データを破棄するようにしてもよい。
 一方、信頼性が低いネットワークアドレスとして取り扱う場合には、各デバイス100は、自デバイスから当該ネットワークアドレスを指定してデータを送信してもよいし、他のデバイスから受信したデータに当該ネットワークアドレスが指定されていた場合には、当該データを転送するようにしてもよい。但し、データの送信および転送の優先度は相対的に低く設定されてもよい。優先度が低く設定されることで、データの送信および転送の実効速度が低下する場合もある。
 <H.有効期間の通知>
 デバイス100の電子証明書164の有効期間が期限間近または期限切れになると、当該デバイス100のユーザなどに期限間近または期限切れを通知するような仕組みを採用してもよい。
 デバイス100で実行されるアプリケーション122に対して、通信モジュール170(有効期間管理モジュール180)から期限間近または期限切れを通知するメッセージを送信するようにしてもよい。有効期間の終了日時までの残り期間に応じて、メッセージの内容あるいは属性を異ならせてもよい。例えば、残り期間が1ヶ月、2週間、1週間となった時点で、メッセージの内容あるいは属性を段階的に変化させてもよい。
 また、期限間近および期限切れのそれぞれについて、メッセージの内容あるいは属性を異ならせてもよい。
 アプリケーション122は、通信モジュール170から期限間近または期限切れを通知するメッセージを受信すると、受信したメッセージに応じた処理を実行するようにしてもよい。実行される処理は、例えば、デバイス100またはアプリケーション122を利用するユーザに対して、電子証明書164の更新などが必要であることを知らせる処理を含む。実行される処理は、アプリケーション122の作成者が任意に決定できる。
 あるいは、デバイス100の筐体のいずれかの位置に配置されたインジケータなどによって、電子証明書164の有効期間が期限間近または期限切れであることを視覚的に通知するようにしてもよい。視覚的な通知方法としては、例えば、インジケータの点灯、インジケータの点滅、インジケータの表示色の変更などが挙げられる。
 また、デバイス100の筐体のいずれかの位置に配置された音声出力デバイスなどによって、電子証明書164の有効期間が期限間近または期限切れであることを聴覚的に通知するようにしてもよい。聴覚的な通知方法としては、例えば、通知音の発生、通知音の変更などが挙げられる。
 視覚的な通知および聴覚的な通知を併せて行うようにしてもよい。また、その他の形態で通知を行ってもよい。
 このように、デバイス100の通信モジュール170(有効期間管理モジュール180)は、デバイス100で実行されるアプリケーション122に対して、電子証明書164の有効期間が期限間近または期限切れを通知する。このような通知機能によって、ユーザは、新たな電子証明書164を取得する必要があることを容易に把握できる。
 <I.新たな公開鍵および電子証明書の取得>
 次に、新たな公開鍵および電子証明書を取得する処理の一例について説明する。
 上述したように、現在使用している公開鍵154に関連付けられた電子証明書164の有効期間が期限間近または期限切れである場合には、少なくとも新たな電子証明書164を取得する必要がある。すなわち、(1)同一の公開鍵154に関連付けられた新たな電子証明書164を取得する、あるいは、(2)新たな鍵ペア150を生成するとともに、当該鍵ペア150に含まれる公開鍵154に関連付けられた電子証明書164を取得する、のいずれかの対処が必要となる。
 デバイス100の通信モジュール170は、現在使用している公開鍵154に関連付けられた電子証明書164の有効期間が期限間近または期限切れを通知する際に、上述の(1)および/または(2)の対処を併せて通知するようにしてもよい。この場合には、デバイス100の通信モジュール170が現在使用している公開鍵154に関連付けられた電子証明書164の有効期間が期限間近または期限切れを通知するUI(User Interface)を提供するとともに、(1)および(2)のいずれを実行するかを受け付けるようにしてもよい。
 あるいは、(1)または(2)のいずれか一方を予め設定しておき、現在使用している公開鍵154に関連付けられた電子証明書164の有効期間が期限間近になると、設定された方法で新たな電子証明書164を取得する処理の実行を受け付けるようにしてもよい。
 上述したような任意の方法で、デバイス100の通信モジュール170は、ユーザ操作に応じて、少なくとも新たな電子証明書164を認証局から取得する。
 また、上述のいずれの方法であっても、新たな電子証明書164を取得するために必要な費用の決済を支援するためのUIなどを提供するようにしてもよい。例えば、デバイス100の通信モジュール170は、クレジットカードなどの入力画面を提供するとともに、入力されたクレジットカードの番号を図示しない決済サーバに送信して、必要な費用を決定するようにしてもよい。
 なお、電子証明書164の有効期間の期限切れだけではなく、電子証明書164が何らかの理由で失効している場合などにおいても、同様の処理を実行することができる。
 <J.利点>
 本実施の形態に従うネットワークシステム1によれば、1つのデバイスが複数のネットワークアドレスを有している場合であっても、シームレスな通信を実現できる。
 本実施の形態に従うネットワークシステム1によれば、通信相手のデバイス100が異なるドメインに属している場合、複数種類のハッシュ関数173が利用できる場合、電子証明書164の有効期限が期限間近または期限切れである場合などにおいて、デバイス100が複数のネットワークアドレスを有するとともに、いずれのネットワークアドレスについても利用可能であるので、通信を継続することができる。
 また、本実施の形態に従うネットワークシステム1によれば、公開鍵と公開鍵に関連付けられた電子証明書とを用いるネットワークにおいて、電子証明書の有効期間の期限切れによって、ネットワークアドレスを完全に認証済みであるとして取り扱うことができないといった課題に対して、新たな公開鍵および電子証明書への移行をシームレスに行うことができる。これによって、いずれかのデバイスにおいて、新たな電子証明書の取得などが必要な状況になったとしても、デバイス間の通信を途切れさせることなく、通信を継続できる。
 今回開示された実施の形態はすべての点で例示であって制限的なものでないと考えられるべきである。本発明の範囲は上記した説明ではなくて請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
 1 ネットワークシステム、100,100A,100B,100C デバイス、102 プロセッサ、104 メモリ、106 ストレージ、108 ディスプレイ、110 入力部、112 通信部、120 OS、122 アプリケーション、124 通信処理プログラム、126 インターフェイス、128 データ格納領域、140 鍵ペア生成モジュール、142 評価モジュール、150 鍵ペア、152,252 秘密鍵、154,154A,154B1,154B,154B2,154C1 公開鍵、160 電子証明書情報、162 署名、164,164A,164B,164B2,164B1,164C1 電子証明書、170 通信モジュール、172 アドレス決定モジュール、173 ハッシュ関数、174 正当性判断モジュール、176 テーブル管理モジュール、178 ルーティングモジュール、180 有効期間管理モジュール、182 ルーティングテーブル、200 認証局、240 電子証明書情報生成モジュール、242 電子証明書生成モジュール、250 レジストリ。

Claims (10)

  1.  複数のデバイスを含むネットワークシステムであって、
     前記複数のデバイスの各々は、
      他のデバイスとデータ通信を行うための通信部と、
      他のデバイスから受信した公開鍵に基づいて、前記他のデバイスのネットワークアドレスを決定する決定部とを備え、
     前記複数のデバイスに含まれる第1のデバイスは、
      第1の公開鍵および第2の公開鍵を有しており、
      前記第1の公開鍵に基づいて決定される第1のネットワークアドレスを指定したアクセス、および、前記第2の公開鍵に基づいて決定される第2のネットワークアドレスを指定したアクセスのいずれにも応答可能に構成される、ネットワークシステム。
  2.  前記第1のデバイスは、複数のネットワークアドレスを有していること、および、複数の公開鍵を有していることのうち少なくとも一方を通知するように構成される、請求項1に記載のネットワークシステム。
  3.  前記第1のデバイスは、前記第1のネットワークアドレスを指定したアクセスを受けると、前記第2の公開鍵の存在、および、前記第2のネットワークアドレスの存在のうち、少なくとも一方をアクセス元に通知する、請求項1または2に記載のネットワークシステム。
  4.  前記第1のデバイスは、
      前記第1の公開鍵に関連付けられた第1の電子証明書を有しており、
      前記第1の電子証明書の有効期間が期限間近または期限切れである場合に、前記第2の公開鍵の存在、および、前記第2のネットワークアドレスの存在のうち、少なくとも一方をアクセス元に通知する、請求項3に記載のネットワークシステム。
  5.  前記第1のデバイスは、他のデバイスから前記第1のネットワークアドレスの有効性の問合せを受けると、前記第1の電子証明書の有効期間に応じて応答する、請求項4に記載のネットワークシステム。
  6.  前記複数のデバイスに含まれる第2のデバイスは、前記第1のデバイスから前記第2の公開鍵を取得すると、前記第2の公開鍵に基づいて第2のネットワークアドレスを決定するとともに、当該決定した第2のネットワークアドレスでルーティングテーブルを更新する、請求項1~5のいずれか1項に記載のネットワークシステム。
  7.  前記第2のデバイスは、前記第2のネットワークアドレスを前記第2のデバイスで実行されるアプリケーションに通知する、請求項6に記載のネットワークシステム。
  8.  前記第1のデバイスは、第3のデバイスが有している第3の公開鍵を前記第2のデバイスに送信する、請求項6または7に記載のネットワークシステム。
  9.  他の情報処理装置とデータ通信が可能な情報処理装置であって、
     他のデバイスから受信した公開鍵に基づいて、前記他のデバイスのネットワークアドレスを決定する決定部を備え、
     前記情報処理装置は、
      第1の公開鍵および第2の公開鍵を有しており、
      前記第1の公開鍵に基づいて決定される第1のネットワークアドレスを指定したアクセス、および、前記第2の公開鍵に基づいて決定される第2のネットワークアドレスを指定したアクセスのいずれにも応答可能に構成される、情報処理装置。
  10.  複数のデバイスを含むネットワークシステムにおける通信方法であって、
     前記複数のデバイスの各々が自デバイスの公開鍵を格納するステップと、
     前記複数のデバイスの各々が他のデバイスから受信した公開鍵に基づいて、前記他のデバイスのネットワークアドレスを決定するステップと、
     前記複数のデバイスに含まれる第1のデバイスが、第1の公開鍵および第2の公開鍵を有している場合に、前記第1の公開鍵に基づいて決定される第1のネットワークアドレスを指定したアクセス、および、前記第2の公開鍵に基づいて決定される第2のネットワークアドレスを指定したアクセスのいずれにも応答するステップとを備える、通信方法。
PCT/JP2023/032977 2022-09-12 2023-09-11 ネットワークシステム、情報処理装置および通信方法 WO2024058095A1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022144399A JP2024039786A (ja) 2022-09-12 2022-09-12 ネットワークシステム、情報処理装置および通信方法
JP2022-144399 2022-09-12

Publications (1)

Publication Number Publication Date
WO2024058095A1 true WO2024058095A1 (ja) 2024-03-21

Family

ID=90274952

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2023/032977 WO2024058095A1 (ja) 2022-09-12 2023-09-11 ネットワークシステム、情報処理装置および通信方法

Country Status (3)

Country Link
JP (1) JP2024039786A (ja)
TW (1) TW202420774A (ja)
WO (1) WO2024058095A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040008845A1 (en) * 2002-07-15 2004-01-15 Franck Le IPv6 address ownership solution based on zero-knowledge identification protocols or based on one time password
WO2011117959A1 (ja) * 2010-03-23 2011-09-29 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
JP2013232767A (ja) * 2012-04-27 2013-11-14 Seiko Epson Corp 通信装置,画像形成装置,情報処理方法及びそのプログラム
WO2020049754A1 (ja) * 2018-09-05 2020-03-12 コネクトフリー株式会社 情報処理方法、情報処理プログラム、情報処理装置及び情報処理システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040008845A1 (en) * 2002-07-15 2004-01-15 Franck Le IPv6 address ownership solution based on zero-knowledge identification protocols or based on one time password
WO2011117959A1 (ja) * 2010-03-23 2011-09-29 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
JP2013232767A (ja) * 2012-04-27 2013-11-14 Seiko Epson Corp 通信装置,画像形成装置,情報処理方法及びそのプログラム
WO2020049754A1 (ja) * 2018-09-05 2020-03-12 コネクトフリー株式会社 情報処理方法、情報処理プログラム、情報処理装置及び情報処理システム

Also Published As

Publication number Publication date
JP2024039786A (ja) 2024-03-25
TW202420774A (zh) 2024-05-16

Similar Documents

Publication Publication Date Title
CN109936529B (zh) 一种安全通信的方法、装置和系统
JP7536346B2 (ja) 通信システム、通信装置、通信方法および通信プログラム
US20180159814A1 (en) Methods and systems for updating domain name service (dns) resource records
JP7542896B2 (ja) 通信装置、通信方法および通信プログラム
US20240314563A1 (en) Data transmission method, communication processing method, device, and communication processing program
JP2023166598A (ja) ネットワークシステムおよび通信方法
JP2024073556A (ja) ネットワークシステム、デバイスおよび処理方法
EP3369261B1 (en) Location identification of prior network message processor
WO2024058095A1 (ja) ネットワークシステム、情報処理装置および通信方法
JP2009177444A (ja) Macアドレス管理装置
US12137125B2 (en) Classification-based data privacy and security management
US20240056488A1 (en) Classification-based data privacy and security management
JP7458348B2 (ja) 通信システム、アクセスポイント装置、通信方法及びプログラム
WO2023045663A1 (zh) 授权的方法、授权服务器、资源服务器和客户端设备
EP3896921A1 (en) Information communication method, information communication system and method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23865449

Country of ref document: EP

Kind code of ref document: A1