[go: up one dir, main page]

JP2012195774A - ノード及びプログラム - Google Patents

ノード及びプログラム Download PDF

Info

Publication number
JP2012195774A
JP2012195774A JP2011058318A JP2011058318A JP2012195774A JP 2012195774 A JP2012195774 A JP 2012195774A JP 2011058318 A JP2011058318 A JP 2011058318A JP 2011058318 A JP2011058318 A JP 2011058318A JP 2012195774 A JP2012195774 A JP 2012195774A
Authority
JP
Japan
Prior art keywords
key
node
parent
root
child
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011058318A
Other languages
English (en)
Inventor
Yasuyuki Tanaka
康之 田中
Yoshihiro Oba
義洋 大場
Shinji Yamanaka
晋爾 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2011058318A priority Critical patent/JP2012195774A/ja
Priority to US13/233,186 priority patent/US20120237033A1/en
Publication of JP2012195774A publication Critical patent/JP2012195774A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • H04W84/20Leader-follower arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】親ノードから子ノードへと伝送される更新されたグループ鍵の暗号化に必要な暗号化鍵を、親ノードと子ノードとの間で交換する際、処理負荷を少なくする。
【解決手段】ノードは、1つのルートノードを含む無線メッシュネットワークに含まれるノードであって、ルートノードとの間で、無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、親ノードとの間の共通鍵である親子鍵を生成し、ルート鍵で親子鍵を暗号化し、暗号化した親子鍵をルートノードに送信する親子鍵設定部と、親ノードから、親子鍵により暗号化されたグループ鍵を受信し、親子鍵によりグループ鍵を復号するグループ鍵取得部とを備える。
【選択図】図3

Description

本発明の実施形態は、ノード、およびプログラムに関する。
従来、1つの根ノード(ルートノードという)となるノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する無線メッシュネットワークにおいて、1つのグループ鍵を無線メッシュネットワーク内の各ノードで共有する技術がある。
グループ鍵は、例えば、無線メッシュネットワークに接続された各ノードに対する通信の可否を確認するための認証に用いられる。
新規ノードは、無線メッシュネットワークに新たに参加する時に、新規ノードとルートノードとの間で実行されるネットワークアクセス認証を行う。ネットワークアクセス認証が成功すれば、ルートノードと新規ノードは、それぞれ共通の暗号鍵を生成し、共通の暗号鍵を共有する。
そして、ルートノードは、新規ノードに対して、暗号鍵で暗号化したグループ鍵を送信する。
このように、新規ノードはルートノードからグループ鍵を取得することができる。
グループ鍵は、有効期限を持ち、有効期限切れになる前に更新され、新しいグループ鍵が生成されることがある。そして、新しいグループ鍵は、無線メッシュネットワークに接続する全てのノードで共有する必要がある。
共有のために、ルートノードは、グループ鍵を更新すると、新しいグループ鍵を、ネットワーク上の各ノードに対して、例えば、ホープバイホップで伝搬する。つまり、ルートノードが送信したグループ鍵は、隣接するノード間に順次伝送される。ホップバイホップで、グループ鍵を伝送するためには、隣接するノード間、つまり送信する側のノード(親ノード)と受信する側のノード(子ノード)との間で暗号化と復号に必要な暗号鍵を交換する必要がある。
暗号鍵を交換する技術として、例えば、PKI(Public Key Infrastructure) を用いた公開鍵の交換を用いることが想定できる。しかしながら、この技術を用いる場合、公開鍵が信頼できるデータであることを示すために、認証局が発行する認証データを取得する必要があり、ノードにおける鍵交換のための処理負荷が大きい。
特開2010−108520号公報
本発明の一側面は、更新されたグループ鍵を親子ノード間で転送する際の暗号化及び復号に用いる鍵を、処理負荷を少なくして親子ノード間で交換することを目的とする。
本発明の一観点にかかるノードは、1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部とを備えることを特徴とする。
本発明の実施形態にかかるシステムを示すブロック図である。 本発明の第1の実施形態にかかるシステムの動作を示すシーケンス図である。 本発明の第1の実施形態にかかる子ノードを示すブロック図である。 本発明の第1の実施形態にかかる親ノードを示すブロック図である。 本発明の第1の実施形態にかかるルートノードを示すブロック図である。 本発明の第2の実施形態にかかるシステムの動作を示すシーケンス図である。 本発明の第2の実施形態にかかる子ノードを示すブロック図である。 本発明の第2の実施形態にかかる親ノードを示すブロック図である。 本発明の第2の実施形態にかかるルートノードを示すブロック図である。 本発明の第3の実施形態にかかるシステムの動作を示すシーケンス図である。 本発明の第3の実施形態にかかる子ノードを示すブロック図である。 本発明の第3の実施形態にかかる親ノードを示すブロック図である。 本発明の第3の実施形態にかかるルートノードを示すブロック図である。 本発明の第4の実施形態にかかるシステムの動作を示すシーケンス図である。 本発明の第4の実施形態にかかる子ノードを示すブロック図である。 本発明の第4の実施形態にかかる親ノードを示すブロック図である。 本発明の第4の実施形態にかかるルートノードを示すブロック図である。 本発明の第5の実施形態にかかるシステムの動作を示すシーケンス図である。 本発明の第5の実施形態にかかる子ノードを示すブロック図である。 本発明の第5の実施形態にかかる親ノードを示すブロック図である。
以下、本発明の実施の形態について、図面を参照しながら説明する。尚、各図において同一箇所については同一の符号を付すとともに、重複した説明は省略する。
<第1の実施形態>
図1は、本発明の第1の実施形態にかかるシステム10を示すブロック図である。
システム10は、1つの根ノード(ルートノードという)を含み且つ隣接する階層のノード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する無線メッシュネットワーク10である。本実施例のシステム10は、ルートノード10を第1階層としたとき、最下位層のノードは第N+1階層であるシステムであるとする。
システム10は、ルートノード100と親ノード101と子ノード102とネットワーク103とを備える。
ルートノード100は、無線メッシュネットワーク10内に一つ存在する。ルートノード100は、システム10の最上位層(第1階層)のノードである。
ルートノード100は、無線メッシュネットワーク10内の各ノードの管理を行う。また、ルートノード100は、無線メッシュネットワーク10内の各ノード間で共有するグループ鍵の管理を行う。尚、グループ鍵についての説明は、後述する。
ここで、ルートノード100が行うノードの管理とは、例えば、無線メッシュネットワーク10へのノードの参加の許可若しくは禁止することや、無線メッシュネットワーク10からのノードの離脱を検出することや、無線メッシュネットワーク10内のノード一覧を把握することである。また、グループ鍵の管理とは、例えば、グループ鍵を生成すること、グループ鍵の有効期限を監視すること、及びグループ鍵を更新して新しいグループ鍵を生成することである。
ネットワーク103は、システム10のうち、第2階層のノードから第N−1階層のノードを含むネットワークである。図1において、ノード104A及び104Dは第2階層のノードであり、ノード104B及び104Eは、第3階層のノードであり、ノード104C、ノード104Fは、第N-1階層のノードである。
親ノード101は、システム10の第N階層のノードである。親ノード101は、ネットワーク103内のノード104Cと接続する。親ノード101はノード104Cから受け取った子ノード102宛のデータを、子ノード102に対して、転送する。
子ノード102は、親ノード101との間でデータの送受信を行う。子ノード102は、システム10の最下位層(第N+1階層)のノードである。
尚、一般的に、親ノード及び子ノードとは、ルーティングツリー上の相対的位置関係から導き出される。つまり、2つの隣接する階層のノードのうち、上位の層にあるノードが親ノードであり、下位の層にあるノードが子ノードである。つまり、親ノード101は、子ノード102にとっての親ノードであるが、ノード104Cにとっては子ノードである。
本実施例では、説明の明確化のために、図1に示すように、システム10の最下位層(第N+1階層)のノードを子ノードとし、最下位層より1層上(第N階層)のノードであるノードを親ノードとして説明する。
次に、グループ鍵について説明する。グループ鍵は、例えば、無線メッシュネットワーク10内のデータの暗号化等に使用される。そして、グループ鍵は、無線メッシュネットワーク10内のすべてのノード間で共有される情報である。つまり、グループ鍵は、無線メッシュネットワーク10内の各ノードにとって共通鍵である。グループ鍵を用いた暗号化や復号には、共通鍵暗号方式が用いられる。
次に、無線メッシュネットワーク10内のノード間全てが、グループ鍵を共有する方法を説明する。
まず、新たに無線メッシュネットワーク10に参加するノードがグループ鍵を取得する方法を説明する。
ノードが無線メッシュネットワークに新たに参加する際、ルートノードが、新たに接続したノードに対してグループ鍵が通知する。ルートノードが、新たに参加したノードに対してグループ鍵を通知する際、グループ鍵は暗号化されて通知される。グループ鍵が無線メッシュネットワーク外に漏えいすることを防ぐためである。この暗号化に用いられるための暗号化鍵として、ルートノードと新たに参加したノードとの間で共有する暗号化鍵を用いる。この暗号化鍵は、ノードがルートノードに新たに参加する際に行われるネットワークアクセス認証の際に生成されるものである。ネットワークアクセス認証の詳細は後述する。
ここで、グループ鍵は有効期限を持つ。したがって、ルートノードは、使用中のグループ鍵が有効期限切れになる前にグループ鍵の更新を行い、更新後の新しいグループ鍵を無線メッシュネットワーク内の各ノードに送信する必要がある。無線メッシュネットワーク内の各ノードが常に有効なグループ鍵を保持するように維持するためである。この更新後の新しいグループ鍵を含むメッセージも暗号化されて通知される必要がある。グループ鍵が無線メッシュネットワーク外に漏えいしないようにするためである。
更新後の新しいグループ鍵の通知方法の一手法として、ルートノードが送信した新しいグループ鍵を、ルーティングツリー上の親子関係を有する親ノードから子ノードへと次々にユニキャストで送信し、ルートノードから無線メッシュネットワーク内の全ノードにホップバイホップで伝搬させる手法がある。
このような伝搬手法においては、更新後のグループ鍵は、親ノードで暗号化されて子ノードで復号される必要がある。無線メッシュネットワーク外にグループ鍵の漏えいを防止し、かつ親ノードから子ノードに次々に更新後のグループ鍵が伝達される必要があるためである。このように親ノードで暗号化し、子ノードで復号する処理を実現するためには、親ノードと子ノードとで暗号化鍵と復号鍵を交換する必要がある。
本実施形態では、親ノードと子ノードとの間で、グループ鍵更新前のタイミングで、暗号鍵と交換鍵を効率的、かつ安全に交換することを実現する。尚、本実施例では、暗号化復号の方式として、共通鍵暗号化方式を用いる例を説明する。共通鍵暗号化方式では、暗号鍵と復号鍵とが同じ鍵である共通鍵を用いる。
以下では、親ノードと子ノードとの間で、共通鍵を共有化する方法の実現例を説明する。
図2は、図1のシステムの動作を示すシーケンス図である。
以下では、子ノード102が、無線メッシュネットワークに新たに参加する場合を例にとって説明する。
まず、親ノード101と子ノード102との間で共通鍵を共有する方法を説明する。
子ノード102が、無線メッシュネットワークに新たに参加する場合、子ノード102は、親ノード101を介してルートノード100との間でネットワークアクセス認証を行う(S200)。
ルートノード100が、子ノード102の認証を成功すると、子ノード102は、ルートノード100から認証成功の通知を受信する。
子ノード102は、認証成功の通知を受信すると、認証結果を用いて、ルート鍵Aを生成する(S202)。また、ルートノードも、認証成功の通知を子ノード102に対して通知するとともに、認証結果を用いて、子ノード102と同様の方法でルート鍵Aを生成する(S201)。この結果、ルートノード100と子ノード102の間で、ルート鍵Aを共有することになる。
次に、ルートノード100は、ルートノード100が管理するグループ鍵を、ルート鍵Aを用いて暗号化し、子ノード102に対して送信する。子ノード102は、暗号化されたグループ鍵の通知を受信する(S203)。子ノード102は、ルート鍵Aでグループ鍵を復号し、グループ鍵を得る。
次に、子ノード102は、親ノードと共有する共通鍵(以下、親子鍵Bと称する。)を生成する(S204)。子ノード102は、親子鍵Bをルート鍵Aで暗号化し、ルートノード100に対して通知する(S205)
ルートノード100は、暗号化された親子鍵Bを受け取ると、ルート鍵Aで復号する。
次に、ルートノード100は、親子鍵Bを、ルート鍵Cにより暗号化して、親ノード102へと送信する(S206)。
ここで、ルート鍵Cは、ルートノード100と親ノード102との間で共有する共通鍵である。ルート鍵Cは、親ノード102が、無線メッシュネットワークに参加した際に、ルートノード100との間で共有する。ルート鍵Cの生成方法及び共有方法は、先述した子ノード102とルートノード100との間でのルート鍵Aの生成方法及び共有方法と同様の方法である。
親ノード102は、暗号化された親子鍵Bを受信すると、ルート鍵Cにより復号し、親子鍵Bを取得する。
以上の手順で、親ノード101と子ノード102との間で、共通鍵である親子鍵Bを共有することができる。
次に、ルートノード100が通知した更新された新しいグループ鍵が、親ノード101と子ノード102に伝達される手順を説明する。
ルートノード100は、グループ鍵を更新すると暗号化して新しいグループ鍵を送信する(S207)。この新しいグループ鍵は、ネットワーク103を介して親ノード101に伝達される。親ノード101が、新しいグループ鍵を取得すると、新しいグループ鍵を親子鍵Bで暗号化し、子ノード102へ送信する。子ノード102は、暗号化された新しいグループ鍵を受信すると、親子鍵Bで新しいグループ鍵を復号し、新しいグループ鍵を取得する。
以上の動作では、図1において示したルートノード100と親ノード101と子ノード102との間での処理を説明した。しかしながら、以上の動作は、図1で示していないネットワーク103内の親ノードと子ノードについても同様の処理が実行される。つまり、ネットワーク103内の親ノードと子ノードとの間で、共通鍵をそれぞれ共有する。そして、ルートノード100が送信した新しいグループ鍵に対して、親ノードが暗号化し、子ノードが復号するといった処理を繰り返すことで、親ノードから子ノードへと新しいグループ鍵を次々に伝搬することができる。
以上の動作により、ルートノードが構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
図3は、子ノード102の構成を示すブロック図である。
通信部300は、親ノード101と接続する。通信部300は、親ノード101と通信を行う。また、通信部300は、親ノード101を介してルートノード100と通信を行う。
ネットワークアクセス認証処理部301は、通信部300を介して、ルートノード100との間でネットワークアクセス認証処理を行う。
ルート鍵設定部302は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵Aを生成する。認証結果は、ネットワークアクセス認証処理部301から受け取る。
親子鍵設定部303は親子鍵Bを生成する。また、親子鍵設定部303は、親子鍵Bを、ルート鍵Aにより暗号化する。親子鍵設定部303は、暗号化した親子鍵Bを、通信部300を介してルートノード100に送信する。
グループ鍵取得部304は、ルートノード100を含む無線メッシュネットワークに接続する際、通信部300を介して、ルートノード100から、ルート鍵Aにより暗号化されたグループ鍵を取得する。グループ鍵取得部304は、暗号化されたグループ鍵を取得すると、ルート鍵Aにより復号し、グループ鍵を取得する。また、グループ鍵取得部304は、親子鍵Bにより暗号化された新たなグループ鍵を、ルートノード100から、通信部300を介して受信する。グループ鍵取得部304は、暗号化された新たなグループ鍵を、親子鍵Bを使って復号する。尚、この親子鍵Bは、親子鍵設定部303から取得するものである。
図4は、本発明の第1の実施形態にかかる親ノード101の構成を示すブロック図である。
前述したように、親ノード101は、子ノードの機能も備えるため、子ノード102と同じ構成及び機能を備える。
通信部400は、子ノード100と通信を行う。また、通信部300は、親ノード101にとっての親ノード(ノード104C)と通信を行う。また、親ノード(ノード104C)を介してルートノード100と通信を行う。
ネットワークアクセス認証処理部401は、通信部400を介して、ルートノード100との間でネットワークアクセス認証処理を行う。
ルート鍵設定部402は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵Cを生成する。認証結果は、ネットワークアクセス認証処理部401から受け取る。
親子鍵設定部403は親子鍵Dを生成する。また、親子鍵設定部403は、親子鍵Dを、ルート鍵Cにより暗号化する。親子鍵設定部403は、暗号化した親子鍵Dを、通信部400を介してルートノード100に送信する。
グループ鍵取得部404は、ルートノード100を含む無線メッシュネットワークに接続する際、通信部400を介して、ルートノード100から、ルート鍵Cにより暗号化されたグループ鍵を取得する。グループ鍵取得部404は、暗号化されたグループ鍵を取得すると、ルート鍵Cにより復号し、グループ鍵を取得する。また、グループ鍵取得部304は、親子鍵Dにより暗号化された新たなグループ鍵を、ノード104Cから、通信部300を介して受信する。グループ鍵取得部304は、暗号化された新たなグループ鍵を、親子鍵Dを使って復号する。
以下の構成が、親ノード101にあって、子ノード102にない構成である。
親子鍵取得部405は、子ノード102が送信した親子鍵Bをルートノード100を介して受信する。ここで、親子鍵Bは、子ノード102送信時は、ルート鍵Aにより暗号化されているが、一旦、ルートノード100により復号される。そして、ルートノード100によりルート鍵Cにより暗号化された親子鍵Bを、受信する。親子鍵取得部405は、暗号化された親子鍵Bを受信すると、ルート鍵Cにより復号して、親子鍵Bを受信する。
グループ鍵転送部406は、グループ鍵取得部404が取得した新たなグループ鍵を、親子鍵Bにより暗号化し、暗号化した新たなグループ鍵を子ノード102に対し、通信部400を介して送信する。
図5は、本発明の第1の実施形態にかかるルートノード100の構成を示すブロック図である。
通信部500は、無線メッシュネットワーク内のノードと通信を行う。
ネットワークアクセス認証処理部501は、通信部500を介して、無線メッシュネットワークに新たに参加するノードとの間でネットワークアクセス認証処理を行う。認証処理が成功した場合、認証処理が成功したことを示す通知をノードに対して行う。
ルート鍵設定部502は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵を生成する。無線メッシュネットワークに参加するノード毎に、異なるルート鍵を生成する。
グループ鍵生成部503は、グループ鍵を生成する。例えば、グループ鍵の有効期限を監視し、グループ鍵の有効期限が切れる前に、グループ鍵を更新し、新たなグループ鍵を生成する。
グループ鍵暗号化部504は、グループ鍵を暗号化して、通信部500を介して、無線メッシュネットワーク上のノードに対して通知する。無線メッシュネットワークに新たに参加するノードに対してグループ鍵を通知する際には、当該ノードとの間のネットワークアクセス認証処理の認証結果を用いて生成したルート鍵または親子鍵を用いて暗号化する。一方、グループ鍵更新時に、無線メッシュネットワーク内のノード全てに新たなグループ鍵を送信する場合には、ルートノードにとっての子ノードのルート鍵を用いて暗号化する。
親子鍵転送部505は、子ノード102から暗号化された親子鍵Bを、通信部500を介して受信し、親子鍵Bをルート鍵Aにより復号する。親子鍵転送部505は、親子鍵Bを、ルート鍵Cにより暗号化し、暗号化した親子鍵Bを、通信部500を介して、親ノード101に対して通知する。
また、子ノード102は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部300、ネットワークアクセス認証処理部301、ルート鍵設定部302、親子鍵設定部303、グループ鍵取得部304は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、子ノード102は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
また、親ノード101は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部400、ネットワークアクセス認証処理部401、ルート鍵設定部402、親子鍵設定部403、グループ鍵取得部404、対子ノード鍵転送鍵設定部405、グループ鍵転送部406は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、親ノード101は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
また、ルートノード100は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部500、ネットワークアクセス認証処理部501、ルート鍵設定部502、グループ鍵生成部503、グループ鍵暗号化部504、親子鍵転送部505は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、ルートノード100は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
<第2の実施形態>
図6は、第2の実施形態にかかるシステムの動作を示すシーケンス図である。
図6に示すように、第2の実施形態施にかかるシステムにおいては、ルートノード2100が、親子鍵Bを生成し、ルートノード2100が、親子鍵Bを、親ノード2101とともに子ノード2102へと通知する点が、第1の実施形態のシステムと異なる。
第2の実施形態に係るシステムを、図1に示す。第2の実施形態にかかるシステムの構成は、ルートノード2100と、ネットワーク2103と、親ノード2101と子ノード2102とを備える構成である。各ノード2100、2101、2102とネットワーク2103間の接続関係は、第1の実施形態にかかるシステムと同様である。また、ネットワーク2103内のノードの接続関係も第1の実施形態にかかるシステムと同様である。
次に、第2の実施形態にかかるシステムの動作を説明する。
S200からS203は、第1の実施形態の動作と同様である。
ルートノード2100は、S203の動作後、親子鍵Bを生成する(S604)。次に、ルートノード2100は、親子鍵Bを、ルート鍵Aで暗号化し、子ノード2102に通知する(S605)。また、ルートノード2100は、親子鍵Bをルート鍵Cにより暗号化し、親ノード102に通知する(S606)。ここで、ルート鍵A及びルート鍵Cは、それぞれ、子ノード2102、親ノード2101が、無線メッシュネットワークに参加した際に、ルートノード2100との間で共有するものであり、生成方法は、第1の実施形態で説明した通りである。
子ノード2101は、親子鍵Bを受信すると、ルート鍵Aにより親子鍵Bを復号し、親子鍵Bを取得する。
親ノード2102は、親子鍵Bを受信すると、ルート鍵Cにより親子鍵Bを復号し、親子鍵Bを取得する。
以上の動作により、親ノード2101と子ノード2102との間で、共通鍵である親子鍵Bを共有することができる。
この後の動作、つまり、ルートノード2100が通知した更新されたグループ鍵が、親ノード2101と子ノード2102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作は、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態で説明したことと同様である。
以上の手順により、親ノード2101と子ノード2102の間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード2100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
図7は、本発明の第2の実施形態にかかる子ノード2102の構成を示すブロック図である。
子ノード2102は、子ノード102と異なり、親子鍵設定部303を備えていない。
子ノード2102は、子ノード102と異なり、親子鍵取得部701を備える。
親子鍵取得部701は、ルートノード2100が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Aにより復号する。
図8は、本発明の第2の実施形態にかかる親ノード2101の構成を示すブロック図である。
親ノード2101は、子ノード2102の機能もそなえるため、子ノード2102の構成及び機能を備えている点は、第1の実施形態の場合と同様である。
親ノード2101は、親ノード101と異なり、親子鍵設定部403及び親子鍵取得部405を備えていない。
親ノード2101は、親ノード101と異なり、親子鍵取得部801を備える。
親子鍵取得部801は、ルートノード2100が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Cにより復号する。
図9は、本発明の第2の実施形態にかかるルートノード2100の構成を示すブロック図である。
ルートノード2100は、ルートノード100と異なり、親子鍵転送部505を備えていない。
ルートノード2100は、ルートノード100と異なり、親子鍵設定部901を備える。
親子鍵設定部901は、親子鍵Bを生成する。また、親子鍵設定部901は、親子鍵Bを、ルート鍵Aにより暗号化して、子ノード2101に対して送信する。また、親子鍵Bを、ルート鍵Cにより暗号化して、親ノード2012に対して送信する。
<第3の実施形態>
図10は、第3の実施形態にかかるシステムの動作を示すシーケンス図である。
図10に示すように、第3の実施形態にかかるシステムにおいては、親ノード3101が親子鍵Bを生成し、親ノード3101がルートノード3100を介して子ノード3102へと通知する点が実施形態1と異なる。
実3の実施形態にかかるシステムを、図1に示す。第3の実施形態にかかるシステムの構成は、ルートノード3100、ネットワーク3103と、親ノード3101と子ノード3102とを備える構成である。各ノード3100、3101、3102とネットワーク3103間の接続関係は、第1の実施形態にかかるシステムと同様である。また、ネットワーク3103内のノードの接続関係も第1の実施形態にかかるシステムと同様である。
次に、第3の実施形態にかかるシステムの動作を説明する。
S200からS203は、第1の実施形態と同様である。
親ノード3101は、ルートノード3100と子ノード3102との間のネットワークアクセス認証(S200)や、ルートノード3100から子ノード3102へのグループ鍵の通知(S203)のメッセージの内容等を認識し、子ノード3102のネットワーク認証が成功し、子ノード3102がグループ鍵を得たことを検出する。親ノード3101は、子ノード3102のネットワーク認証の成功を検出、若しくは、親ノード3101から子ノード3102へのグループ鍵の通知を検出すると、親子鍵Bを生成し(S1004)、親子鍵Bをルート鍵Cにより暗号化して、ルートノード3100に通知する(S1005)。
ルートノード3100は、暗号化された親子鍵Bを受け取ると、ルート鍵Cにより復号する。次に、ルートノード3100は、親子鍵Bを、ルート鍵Aにより暗号化して、子ノード3102へと送信する(S1006)。尚、子ノード3102、親ノード3101それぞれが、ルート鍵A,Cをルートノード3100と共有する方法は、第1の実施形態と説明した方法と同様の方法で共有しているものとする。
子ノード3102は、暗号化された親子鍵Bを受信すると、ルート鍵Aにより復号し、親子鍵Bを取得する。
以上の手順で、親ノード3101と子ノード3102との間で、共通鍵である親子鍵を共有することができる。
この後の動作、つまりルートノード3100が通知した更新されたグループ鍵が、親ノード3101と子ノード3102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態で説明したことと同様である。
以上の手順により、親ノード2101と子ノード2102の間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード2100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
図11は、子ノード3102の構成を示すブロック図である。
子ノード3102は、子ノード102と異なり、親子鍵設定部303を備えていない。
また、子ノード102と異なり、親子鍵取得部1101を備える。
親子鍵取得部1101は、親ノード3101が、ルートノード3100を介して送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Aにより復号する。
図12は、本発明の第3の実施形態にかかる親ノード3101の構成を示すブロック図である。
親ノード3101は、子ノード3102の機能も備えるため、子ノード3102の構成及び機能を備えている点は、第1の実施形態と同様である。
親ノード3101は、親ノード101と異なり、親子鍵設定部403と親子鍵取得部405とを備えていない。
また、親ノード3101は、親ノード101と異なり、親子鍵設定部1201と親子鍵取得部1202とを備える。尚、親子鍵取得部1202は、子ノードとしての機能であり、親子鍵設定部1201は、親ノードとしての機能である。
親子鍵設定部1201は、親子鍵Bを生成する。また、親子鍵設定部1201は、ルート鍵Cにより親子鍵Bを暗号化する。親子鍵設定部1201は、暗号化した親子鍵を、通信部400を介して送信する。
親子鍵取得部1202は、親ノード3101にとっての親ノードが、ルートノード3100を介して送信した、暗号化された親子鍵Dを受信する。そして、暗号化された親子鍵Dを、ルート鍵Cにより復号する。
図13は、本発明の第3の実施形態にかかるルートノード3100の構成を示すブロック図である。
ルートノード3100は、ルートノード100と異なり、親子鍵転送部505を備えておらず、親子鍵転送部1301を備える。
親子鍵転送部1301は、親ノード3101から暗号化された親子鍵Bを、通信部500を介して受信し、親子鍵Bを、ルート鍵Cにより復号する。親子鍵転送部1301は、親子鍵Bを、ルート鍵Aにより暗号化し、暗号化した親子鍵Bを、通信部500を介して、子ノード3102対して通知する。
<第4の実施形態>
図14は、第4の実施形態にかかるシステムの動作を示すシーケンス図である。
図14に示すように、第4の実施形態にかかるシステムにおいては、更新された新しいグループ鍵を暗号化する方式として、共通鍵暗号化方式でなく、公開鍵暗号化方式を用いている点が、第1の実施形態と異なる。つまり、本実施形態では、子ノード4102は、秘密鍵を保有し、親ノード4101は、子ノード4102の公開鍵を保有する。そして、親ノード4101から子ノード4102へと送信されるグループ鍵を子ノード4102の公開鍵で暗号化して、子ノード4102へと通知するものである。子ノード4102は、暗号化されたグループ鍵を、秘密鍵を用いて復号する。
本実施形態では、子ノード4102が、親ノード4101に対して通知する公開鍵を通知する際に、公開鍵とともに通知する認証データを、グループ鍵(更新前のグループ鍵)を用いて生成している点が特徴である。子ノード4102は、容易に認証データを生成でき、認証データを受け取った親ノード4101も、容易に認証データを認証できる。また、親ノード4101は、通知された公開鍵が、信頼できる装置から送られた鍵であることを把握できる。つまり、親ノード4101は、受け取った公開鍵が、少なくともグループ鍵を保有する装置、つまり、ルートノード4100が構成する無線メッシュネットワークに参加する装置から送られた鍵であることを把握できる。
次に、第4の実施形態にかかるシステムの動作を説明する。
S200からS203は、第1の実施形態の動作と同様である。
子ノード4102は、S203で、グループ鍵の通知を受けると、認証データEを生成する。子ノード4102は、認証データEを、グループ鍵(更新前のグループ鍵)と子ノードが生成する公開鍵Fを用いて生成する(S1404)。尚、子ノード4102は、公開鍵Fと合わせて、対応する秘密鍵Gを生成し、秘密鍵Gは保有するものとする。
子ノード4102は、認証データEを生成すると、公開鍵Fと認証データEとを親ノード4101に通知する(S1405)。
親ノード4101は、認証データEと公開鍵Fを受信すると、自身が保持しているグループ鍵と受信した公開鍵Fから認証データを計算する。親ノード101は、親ノード4101から受け取った認証データEと、自身が計算した認証データとを比較する。認証データEと計算した認証データとが一致した場合公開鍵Fを、子ノード4102から送られた鍵であると判断して受理する。
以上の動作により、親ノード4101は、子ノード4102の公開鍵Fを取得することができる。
次に、ルートノード4100が通知した更新されたグループ鍵が、親ノード4101と子ノード4102に伝達される。
ルートノード4100は、グループ鍵を更新すると暗号化して新しいグループ鍵を送信する(S1406)新しいグループ鍵は、ネットワーク103を介して親ノード4101に伝達される。親ノード4101は、新しいグループ鍵を取得すると、新しいグループ鍵を子ノード4102の公開鍵Fで暗号化し、子ノード4102へと送信する(S1407)。子ノードは、暗号化された新しいグループ鍵を受信すると、公開鍵Fに対応する秘密鍵である秘密鍵Gで新しいグループ鍵を復号し、グループ鍵を取得する。
以上の動作では、図1において示したルートノード4100と親ノード4101と子ノード4102との間での処理を説明した。しかしながら、以上の動作は、図1で示していないネットワーク4103内の親ノードと子ノードについても同様の処理が実行される。つまり、ネットワーク4103内の子ノードは、秘密鍵を保有し、親ノードは、子ノードの秘密鍵に対応する公開鍵を子ノードから受けとって、保有する。そして、ルートノード4100が送信した新しいグループ鍵に対して、親ノードが暗号化し、子ノードが復号するといった処理を繰り返すことで、親ノードから子ノードへと新しいグループ鍵を次々に伝搬することができる。
以上の動作により、ルートノードが構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全かつ効率的に共有することができる。
図15は、本発明の第4の実施形態に係る子ノード4102の構成を示すブロック図である。
子ノード4102は、子ノード102と異なり、親子鍵設定部303とグループ鍵取得部304とを備えていない。
子ノード4102は、子ノード102と異なり、グループ鍵取得部1501と認証データ設定部1502と公開鍵・秘密鍵設定部1503とを備える。
グループ鍵取得部1501は、ルートノード4100を含む無線メッシュネットワークに参加する際、通信部300を介して、ルートノード4100から、ルート鍵Aにより暗号化されたグループ鍵を取得する。グループ鍵取得部1501は、暗号化されたグループ鍵を取得すると、ルート鍵Aにより復号し、グループ鍵を取得する。グループ鍵取得部1501は、公開鍵Fにより暗号化された新たなグループ鍵を、親ノード4101から、通信部300を介して受信する。グループ鍵取得部1501は、暗号化さえた新たなグループ鍵を、秘密鍵Gを使って、復号する。
認証データ設定部1502は、無線メッシュネットワークに接続する際、ルートノード4100から受信したグループ鍵(更新前のグループ鍵)と公開鍵Fを用いて、認証データEを生成する。
公開鍵・秘密鍵設定部1503は、秘密鍵Gと公開鍵Fを設定する。公開鍵・秘密鍵設定部1503は、秘密鍵Gを保持し、公開鍵Fを、認証データEと合わせて親ノード4101に通知する。
図16は、本発明の第4の実施形態に係る親ノード4101の構成を示すブロック図である。
親ノード4101は、子ノード4102の機能も有するのは、実施例1と同様である。
親ノード4101は、親ノード101と異なり、親子鍵設定部403とグループ鍵取得部404と、親子鍵取得部405とを備えない。
親ノード4101は、親ノード101と異なり、グループ鍵取得部1601と、認証データ設定部1602と、公開鍵・秘密鍵設定部1603と、公開鍵取得部1604と、認証データ確認部1605とを備える。
グループ鍵取得部1601は、ルートノード4100を含む無線メッシュネットワークに接続する際、通信部300を介して、ルートノード4100から、ルート鍵Cまたは自身の公開鍵により暗号化されたグループ鍵を取得する。グループ鍵取得部1601は、暗号化されたグループ鍵を取得すると、ルート鍵Cにより復号し、グループ鍵を取得する。グループ鍵取得部1601は、公開鍵Hにより暗号化された新たなグループ鍵を、親ノード4101から、通信部300を介して受信する。グループ鍵取得部1601は、暗号化さえた新たなグループ鍵を、秘密鍵Iを使って、復号する。
認証データ設定部1602は、無線メッシュネットワークに接続する際、ルートノード4100から受信したグループ鍵(更新前のグループ鍵)と公開鍵Hを用いて、認証データJを生成する。
公開鍵・秘密鍵設定部1603は、秘密鍵Iと公開鍵Hを設定する。公開鍵・秘密鍵設定部1603は、秘密鍵Iを保持し、公開鍵Hを、認証データJと合わせて親ノード4101にとっての親ノードに通知する。
公開鍵取得部1604は、子ノード4102が生成した公開鍵Fを、認証データEと合わせて取得する。公開鍵・認証データ取得部1604は、認証データ確認部1605から、認証データが一致したことの通知を受けると、公開鍵Fを信頼できるも鍵と判断し、公開鍵Fを子ノード4102の公開鍵として設定する。
認証データ確認部1605は、無線メッシュネットワークに接続する際、公開鍵Fとルートノード4100から受信したグループ鍵とを用いて認証データを生成する。認証データ確認部1605は、認証データEと生成した認証データとを比較し、一致するか否かを確認する。一致した場合に、公開鍵Fを、子ノード4102から送られた鍵であると判断して、その旨を公開鍵・認証データ取得部1604に通知する。
図17は、本発明の第4の実施形態に係るルートノード4100の構成を示すブロック図である。
ルートノード4100は、ルートノード100と異なり、親子鍵転送部505を備えていない。
尚、本実施例では、認証データを、グループ鍵と公開鍵を用いて生成すると説明したが、少なくともグループ鍵を用いて生成すれば良い。
<第5の実施形態>
図18は、本発明の第5の実施形態に係るシステムの動作を示すシーケンス図である。
図18に示すように、第5の実施形態にかかるシステムは、子ノード5102が、秘密鍵を保有し、親ノード5101が、子ノード5102から受ける公開鍵を保有する点、及び交換するプロセスは、第4の実施形態と共通する。一方、第5の実施形態にかかるシステムでは、親ノード5101が、公開鍵を取得後、親子鍵Bを生成し、親子鍵Bを公開鍵で暗号化して子ノード5102に通知する点が、第4の実施形態と異なる。また、親ノード5101が、子ノード5102に対して、更新された新しいグループ鍵を、親子鍵Bを用いて暗号化して通知する点は、第4の実施形態と異なり、第1の実施形態と共通する。
次に、第5の実施形態にかかるシステムの動作を説明する。
S200からS203の動作は、第1の実施形態と同様の動作である。
子ノード5102が認証データEを生成するステップ(S1804)、認証データと公開鍵F(S1805)を通知するステップは、実施形態4と同様である。尚、子ノード5102は、公開鍵Fに対応する秘密鍵Gを保持する。
親ノード5101は、公開鍵Fを受理すると、親子鍵Bを生成する(S1806)。そして、親子鍵Bを公開鍵Fで暗号化し、子ノード5102に通知する(S1807)。子ノード5102は、親子鍵Bを受信すると、秘密鍵Fで親子鍵Bを復号し、親子鍵Bを得る。
以上の動作により、親ノード5101は、子ノード5102との間で、共通鍵である親子鍵Bを共有することができる。
この後の動作、つまり、ルートノード5100が通知した更新されたグループ鍵が、親ノード5101と子ノード5102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作は、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態の場合と同様である。
以上の手順により、親ノード5101と子ノード5102との間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード5100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全かつ効率的に共有することができる。
図19は、本発明の第5の実施形態に係る子ノード5102の構成を示すブロック図である。
子ノード5102は、子ノード102と異なり、親子鍵設定部303を備えていない。
子ノード5102は、子ノード102と異なり、認証データ設定部1901と公開鍵・秘密鍵設定部1902と親子鍵設定部1903とを備えている。
認証データ設定部1901は、公開鍵Fと、無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて、認証データEを生成する。
公開鍵・秘密鍵設定部1902は、秘密鍵Gと公開鍵Fを生成する。公開鍵・秘密鍵設定部1902は、秘密鍵Gを保持し、公開鍵Fを、認証データEと合わせて親ノード5101に通知する。
親子鍵取得部1903は、親ノード5101が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、秘密鍵Gにより復号する。
図20は、本発明の第5の実施形態に係る親ノード5101の構成を示すブロック図である。
親ノード5101は、子ノード5102の機能も有するのは、実施例1と同様である。
親ノード5101は、親ノード101と異なり、親子鍵設定部303を備えていない。
親ノード5101は、親ノード101と異なり、認証データ設定部2001と、公開鍵・秘密鍵設定部2002と、親子鍵設定部2003と、公開鍵・認証データ取得部2004と認証データ確認部2005とを備えている。
認証データ設定部2001は、公開鍵Hと、無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて、認証データJを生成する。
公開鍵・秘密鍵設定部2002は、秘密鍵Iと公開鍵Hを生成する。公開鍵・秘密鍵設定部2002は、秘密鍵Iを保持し、公開鍵Hを、認証データJと合わせて親ノード5101にとっての親ノードに通知する。
親子鍵設定部2003は、親子鍵Bを生成する。親子鍵設定部2003は、親子鍵Bを、公開鍵Fにより暗号化する。親子鍵設定部2003は、暗号化した親子鍵Bを、通信部300を介してルートノード5100に送信する。
公開鍵取得部2004は、子ノード5102が生成した公開鍵Fを認証データEと合わせて取得する。公開鍵取得部2004は、認証データ各陰部2005から、認証データが一致したことの通知を受けると、公開鍵Fを信頼できる鍵と判断し、公開鍵Fを自装置の公開鍵として設定する。
認証データ確認部2005は、公開鍵Fと無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて認証データを生成する。認証データ確認部2005は、認証データEと生成した認証データとを比較し、一致するか否かを確認する。一致した場合に、公開鍵Fを、子ノード5102から送られた鍵であると判断して、その旨を公開鍵・認証データ取得部2004に通知する。
尚、本発明の第5の実施形態に係るルートノード5100の構成は、ルートノード5100と同様の構成である(図17参照)。
以上説明した少なくとも1つの実施形態の効果は、無線メッシュネットワークにおいて、グループ鍵を暗号化するために必要な鍵交換処理の負荷を低減できることである。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100,2100,3100,4100,5100・・・ルートノード、101,2101,3101,4101,5101・・・親ノード、102,2102,3102,4102,5102・・・子ノード、104A,104B,104C,104D,104E,104F・・・ノード、300,400,500・・・通信部,301,401,501・・・ネットワークアクセス認証処理部、302,402,502・・・ルート鍵設定部、303,403,901,1201,2003・・・親子鍵設定部、304,404,1501,1601・・・グループ鍵取得部、406・・・グループ鍵転送部、503・・・グループ鍵生成部、504・・・グループ鍵暗号化部、505,1301・・・親子鍵転送部、405,701,801,1101,1202,1903・・・親子鍵取得部、1502,1602,1901、2001・・・認証データ設定部、1503,1603,1902,2002・・・公開鍵・秘密鍵設定部、1604,2004・・・公開鍵取得部、1605,2005・・・認証データ確認部。

Claims (16)

  1. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
    親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、
    前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部と、
    を備えることを特徴とするノード。
  2. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
    前記ルートノードから、ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
    前記親子鍵により暗号化したグループ鍵を前記子ノードに送信するグループ鍵転送部と、
    を備えることを特徴とするノード。
  3. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
    前記ネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
    前記第1ノードから、前記第1ルート鍵で暗号化された親子鍵を受信し、前記暗号化された親子鍵を前記第1ルート鍵で復号し、前記第1ルート鍵で復号した親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送部と、
    グループ鍵を前記親子鍵で暗号化して送信するグループ鍵暗号化部とを備える
    ノード。
  4. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
    前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
    前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部と、
    を備えることを特徴とするノード。
  5. 前記親子鍵は、前記ルートノードが、親ノードと子ノードに合わせて送信したものであることを特徴とする請求項2記載のノード。
  6. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
    前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
    グループ鍵を前記親子鍵で暗号化して子ノードに対して送信するグループ鍵暗号化部とを備える
    ノード。
  7. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
    前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
    前記第1ノードと前記第2ノードとの間の共通鍵である親子鍵を生成し、前記親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信し、前記親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送部と、
    グループ鍵を暗号化して送信するグループ鍵暗号化部とを備える
    ノード。
  8. 前記親子鍵は、前記親ノードが、前記ルートノードを介して送信したものであることを特徴とする請求項4記載のノード。
  9. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
    子ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、
    グループ鍵を前記親子鍵で暗号化して送信するグループ鍵暗号化部とを備える
    ノード。
  10. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
    前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
    前記第2ノードから、前記第2ルート鍵で暗号化された親子鍵を受信し、前記暗号化された親子鍵を前記第2ルート鍵で復号し、前記第2ルート鍵で復号した親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信する親子鍵転送部と、を備える
    ノード。
  11. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
    前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得部と、
    前記第1グループ鍵を用いて認証データを生成する認証データ生成部と、
    公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定部とを備え、
    前記グループ鍵取得部は、前記親ノードから、前記公開鍵により暗号化された更新後の第2グループ鍵を受信し、前記秘密鍵により前記第2グループ鍵を復号する
    ノード。
  12. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
    前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得部と、
    前記第1グループ鍵を用いて認証データを生成する認証データ生成部と、
    公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定部と、
    前記親ノードから、公開鍵により暗号化された親子鍵を受信し、前記秘密鍵により前記暗号化された親子鍵を復号する親子鍵取得部と、
    前記親子鍵により暗号化された第2グループ鍵を受信し、前記親子鍵により暗号化された第2グループ鍵を復号するグループ鍵取得部と、
    を備えることを特徴とするノード。
  13. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
    親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定機能と、
    前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得機能と、
    を備えることを特徴とするプログラム。
  14. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
    前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得機能と、
    前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得機能と、
    を備えることを特徴とするプログラム。
  15. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
    ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理機能と、
    前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定機能と、
    前記第1ノードと前記第2ノードとの間の共通鍵である親子鍵を生成し、前記親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信し、前記親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送機能と、
    グループ鍵を暗号化して送信するグループ鍵暗号化機能とを備えるプログラム。
  16. 1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
    前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
    前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
    前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得機能と、
    前記第1グループ鍵を用いて認証データを生成する認証データ生成機能と、
    公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定機能と、
    前記親ノードから、公開鍵により暗号化された親子鍵を受信し、前記秘密鍵により前記暗号化された親子鍵を復号する親子鍵取得機能と、
    前記親子鍵により暗号化された第2グループ鍵を受信し、前記親子鍵により暗号化された第2グループ鍵を復号するグループ鍵取得機能と、
    を備えることを特徴とするプログラム。
JP2011058318A 2011-03-16 2011-03-16 ノード及びプログラム Pending JP2012195774A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011058318A JP2012195774A (ja) 2011-03-16 2011-03-16 ノード及びプログラム
US13/233,186 US20120237033A1 (en) 2011-03-16 2011-09-15 Node, a root node, and a computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011058318A JP2012195774A (ja) 2011-03-16 2011-03-16 ノード及びプログラム

Publications (1)

Publication Number Publication Date
JP2012195774A true JP2012195774A (ja) 2012-10-11

Family

ID=46828464

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011058318A Pending JP2012195774A (ja) 2011-03-16 2011-03-16 ノード及びプログラム

Country Status (2)

Country Link
US (1) US20120237033A1 (ja)
JP (1) JP2012195774A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016530760A (ja) * 2013-06-25 2016-09-29 グーグル インコーポレイテッド IPv6プロトコルのための効率的ネットワーク層

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG11201403482TA (en) * 2011-12-21 2014-07-30 Ssh Comm Security Oyj Automated access, key, certificate, and credential management
CN103179562B (zh) * 2013-04-08 2015-06-03 东南大学 无线传感器网络中基于零知识证明的节点身份认证方法
EP2924953B1 (en) * 2014-03-25 2017-03-22 Thorsten Sprenger Method and system for encrypted data synchronization for secure data management
US9462464B2 (en) * 2014-03-27 2016-10-04 Qualcomm Incorporated Secure and simplified procedure for joining a social Wi-Fi mesh network
CN104468585B (zh) * 2014-12-12 2017-10-24 西安电子科技大学 基于代理的用户设备可信接入认证方法
US10237061B2 (en) * 2015-09-25 2019-03-19 International Business Machines Corporation Generating master and wrapper keys for connected devices in a key generation scheme
GB2550905A (en) * 2016-05-27 2017-12-06 Airbus Operations Ltd Secure communications
US10536891B1 (en) 2018-06-29 2020-01-14 Texas Instruments Incorporated Using estimated time drift to determine keep alive periodicity in synchronized networks
US11632672B2 (en) * 2019-12-30 2023-04-18 Texas Instruments Incorporated Systems and methods to support data privacy over a multi-hop network
US20240236814A9 (en) * 2022-10-20 2024-07-11 Kevin Kyong Cho Method and apparatus for connecting multiple devices using mesh network
US12438698B2 (en) 2023-07-27 2025-10-07 Cisco Technology, Inc. Managing encryption keys of secure tunnels in multi-tenant edge devices
CN117097488B (zh) * 2023-10-19 2023-12-19 成都理工大学 基于节点寻路的设备群组安全验证方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3005A (en) * 1843-03-17 Power-loom
US7028A (en) * 1850-01-15 Spindle and bobbin foe spinning
US7014A (en) * 1850-01-15 Folding bedstead
JP2007174083A (ja) * 2005-12-20 2007-07-05 Oki Electric Ind Co Ltd マルチホップネットワークにおける鍵更新システム,鍵管理装置,通信端末および鍵情報構築方法
JP2007215179A (ja) * 2006-02-10 2007-08-23 Samsung Electronics Co Ltd 無線メッシュネットワークにおいてステーション情報を伝達する方法及び装置
JP2008228274A (ja) * 2007-01-08 2008-09-25 Ind Technol Res Inst ネットワークデータの送信方法及びシステム
JP2009038416A (ja) * 2007-07-31 2009-02-19 Toshiba Corp マルチキャスト通信システム、並びにグループ鍵管理サーバ
JP2010251967A (ja) * 2009-04-14 2010-11-04 Olympus Corp 無線通信端末および無線ネットワークの接続設定方法
WO2011007301A1 (en) * 2009-07-15 2011-01-20 Koninklijke Philips Electronics N.V. Method for securely broadcasting sensitive data in a wireless network
JP2011049814A (ja) * 2009-08-27 2011-03-10 Nec Commun Syst Ltd 無線通信装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100023752A1 (en) * 2007-12-27 2010-01-28 Motorola, Inc. Method and device for transmitting groupcast data in a wireless mesh communication network

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3005A (en) * 1843-03-17 Power-loom
US7028A (en) * 1850-01-15 Spindle and bobbin foe spinning
US7014A (en) * 1850-01-15 Folding bedstead
JP2007174083A (ja) * 2005-12-20 2007-07-05 Oki Electric Ind Co Ltd マルチホップネットワークにおける鍵更新システム,鍵管理装置,通信端末および鍵情報構築方法
JP2007215179A (ja) * 2006-02-10 2007-08-23 Samsung Electronics Co Ltd 無線メッシュネットワークにおいてステーション情報を伝達する方法及び装置
JP2008228274A (ja) * 2007-01-08 2008-09-25 Ind Technol Res Inst ネットワークデータの送信方法及びシステム
JP2009038416A (ja) * 2007-07-31 2009-02-19 Toshiba Corp マルチキャスト通信システム、並びにグループ鍵管理サーバ
JP2010251967A (ja) * 2009-04-14 2010-11-04 Olympus Corp 無線通信端末および無線ネットワークの接続設定方法
WO2011007301A1 (en) * 2009-07-15 2011-01-20 Koninklijke Philips Electronics N.V. Method for securely broadcasting sensitive data in a wireless network
JP2011049814A (ja) * 2009-08-27 2011-03-10 Nec Commun Syst Ltd 無線通信装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNB199700220001; 岡本 栄司: "暗号理論入門" 初版第3刷, 19961001, p.109-112, 共立出版株式会社 *
JPN6014031883; 岡本 栄司: "暗号理論入門" 初版第3刷, 19961001, p.109-112, 共立出版株式会社 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016530760A (ja) * 2013-06-25 2016-09-29 グーグル インコーポレイテッド IPv6プロトコルのための効率的ネットワーク層
JP2018050303A (ja) * 2013-06-25 2018-03-29 グーグル エルエルシー IPv6プロトコルのための効率的ネットワーク層

Also Published As

Publication number Publication date
US20120237033A1 (en) 2012-09-20

Similar Documents

Publication Publication Date Title
JP2012195774A (ja) ノード及びプログラム
CN113553574B (zh) 一种基于区块链技术的物联网可信数据管理方法
US7596368B2 (en) Wireless access point apparatus and method of establishing secure wireless links
JP5676331B2 (ja) ルートノード及びプログラム
KR101173770B1 (ko) 무선 멀티?홉 네트워크 키를 관리하는 방법
EP3813298B1 (en) Method and apparatus for establishing trusted channel between user and trusted computing cluster
US20200344055A1 (en) Decentralized and/or hybrid decentralized secure cryptographic key storage method
JP5378296B2 (ja) 通信装置および通信方法
CN101420686A (zh) 基于密钥的工业无线网络安全通信实现方法
CN102123392B (zh) 一种分布式无线传感器网络密钥管理方法
JP5102701B2 (ja) 秘密鍵配布方法、秘密鍵配布システム
KR100892616B1 (ko) 무선 센서 네트워크에서의 새로운 장치 참여 방법
CN112368974A (zh) 用于在分布式基础架构中确保数据交换安全的方法
KR20110058067A (ko) 이동통신망을 이용한 싱크 인증 시스템 및 방법
Kayem et al. Key management for secure demand data communication in constrained micro-grids
US20130003968A1 (en) Method and apparatus for generating session key and cluster key
Saraswathi et al. Dynamic and probabilistic key management for distributed wireless sensor networks
CN101646172B (zh) 一种分布式mesh网络中产生密钥的方法和装置
Yang et al. Design of Key Management Protocols for Internet of Things.
Walid et al. Trust security mechanism for maritime wireless sensor networks
Guo et al. Centralized group key management mechanism for VANET
Banoun et al. IoT-BDMS: securing IoT devices with hyperledger fabric blockchain
Kamaev et al. Key management schemes using routing information frames in secure wireless sensor networks
Elgenaidi et al. Trust security mechanism for marine wireless sensor networks
Pushpa Lakshmi et al. Parallel key management scheme for mobile ad hoc network based on traffic mining

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131025

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140801

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20141121