[go: up one dir, main page]

JP2015162880A - Communication system management device, information processing terminal, and communication system - Google Patents

Communication system management device, information processing terminal, and communication system Download PDF

Info

Publication number
JP2015162880A
JP2015162880A JP2014038810A JP2014038810A JP2015162880A JP 2015162880 A JP2015162880 A JP 2015162880A JP 2014038810 A JP2014038810 A JP 2014038810A JP 2014038810 A JP2014038810 A JP 2014038810A JP 2015162880 A JP2015162880 A JP 2015162880A
Authority
JP
Japan
Prior art keywords
information
node
communication system
association
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014038810A
Other languages
Japanese (ja)
Inventor
純 中嶋
Jun Nakajima
純 中嶋
健嗣 八百
Kenji Yao
健嗣 八百
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2014038810A priority Critical patent/JP2015162880A/en
Publication of JP2015162880A publication Critical patent/JP2015162880A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To allow for more safe and efficient distribution of the specific key at each node of a wireless network.SOLUTION: A communication system includes a communication management device, nodes and communication system management device, arranged in each wireless network. The communication system management device has means for managing the node information containing the identification information of key information of each node, association determination means for determining the association of each node and each communication management device, and means for distributing the key information managed by the node information management means to a communication management device associated with the node related to the key information, on the basis of the content of association thus determined.

Description

この発明は、通信システム管理装置、情報処理端末及び通信システムに関し、例えば、鍵情報を配信して認証するシステムを備えた通信システムに適用し得る。   The present invention relates to a communication system management apparatus, an information processing terminal, and a communication system, and can be applied to, for example, a communication system including a system for distributing and authenticating key information.

従来、暗号化が適用されたセキュアなネットワークに、センサノードのように入出力インターフェースを期待できないノードを新規追加する場合に、該ネットワークに加入するための認証情報(暗号鍵情報など)を新規ノードに設定する方法として特許文献1が開示されている。   Conventionally, when a node that cannot expect an input / output interface, such as a sensor node, is newly added to a secure network to which encryption is applied, authentication information (encryption key information, etc.) for joining the network is added to the new node. Patent Document 1 is disclosed as a method of setting the above.

具体的には無線ネットワークの管理端末(センサネットワークにおけるコーディネータ、無線LAN(Local Area Network)におけるアクセスポイント、特許文献1においてはAPと表記している端末。)が管理するネットワーク共通鍵を該新規ノードに設定するために、新規ノードに固有の暗号鍵を製造時に持たせておき、一方インターネットN2上の鍵管理サーバにも該ノードの固有鍵のコピーと、無線ネットワーク管理端末のネットワーク共通鍵のコピーを記憶させておき、スマートフォンなどの第3の端末から該鍵管理サーバにノードのIDと無線ネットワーク管理端末のIDを送り、該サーバはこれを受けて該ノードの鍵で暗号化したネットワーク共通鍵を該無線ネットワーク管理端末に送り、該無線ネットワーク管理端末は該ノードに該暗号化されたネットワーク共通鍵を転送し、ノードは該暗号化されたネットワーク共通鍵を受信してノード固有の暗号鍵でネットワーク共通鍵を復号化することにより該ネットワーク共通鍵を設定してネットワークに加入する。   Specifically, a network common key managed by a management terminal (a coordinator in a sensor network, an access point in a wireless LAN (Local Area Network), a terminal denoted as AP in Patent Document 1) managed by a wireless network is the new node. In order to set the new node, a unique encryption key is given to the new node at the time of manufacture, while the key management server on the Internet N2 also copies the unique key of the node and the network common key of the wireless network management terminal. And the node ID and the wireless network management terminal ID are sent from a third terminal such as a smartphone to the key management server, and the server receives this and encrypts it with the key of the node. To the wireless network management terminal, and the wireless network The network management terminal transfers the encrypted network common key to the node, and the node receives the encrypted network common key and decrypts the network common key with the node-specific encryption key. Set a common key and join the network.

特開2009−71707号公報JP 2009-71707 A

ところで、従来、TLS−PSK(IETF RFC4279:Pre−Shared Key Ciphersuites for Transport Layer Security)プロトコルを用いて無線ネットワーク管理端末とノードとがピア・ツー・ピアでの暗号通信を行う場合、TLS−PSKのハンドシェイク(以下、TLS−PSKハンドシェイクと呼ぶ)を行う前に、ノードごとに固有の事前共有鍵(PreShared Key:PSK)と呼ばれる共通鍵情報を、無線ネットワーク管理端末とノードとの間で事前共有する必要がある。   By the way, when a wireless network management terminal and a node perform peer-to-peer encryption communication using the TLS-PSK (IETF RFC4279: Pre-Shared Key Ciphers for Transport Layer Security) protocol, the TLS-PSK Before performing handshake (hereinafter referred to as TLS-PSK handshake), common key information called PreShared Key (PSK) unique to each node is preliminarily transferred between the radio network management terminal and the node. Need to share.

事前共有方法の1つとして、無線ネットワーク管理端末が各ノードの事前共通鍵を任意に決めてノードの側にインストールする方法がある。このような事前共有鍵に関する従来技術についても特許文献1に記載されている。   As one of the pre-sharing methods, there is a method in which the wireless network management terminal arbitrarily determines a pre-common key of each node and installs it on the node side. The prior art relating to such a pre-shared key is also described in Patent Document 1.

一方、製造時にノードに固有の鍵情報をインストールし、そのコピーを無線ネットワーク管理端末に配信する方法が考えられる。この方法では特許文献1をそのまま適用することは難しいが、こちらの方が事前共有時にノードが通信を行う必要が無いというメリットがある。   On the other hand, a method of installing key information unique to a node at the time of manufacture and distributing a copy thereof to the wireless network management terminal is conceivable. In this method, it is difficult to apply Patent Document 1 as it is, but this method has an advantage that the node does not need to communicate at the time of pre-sharing.

ただしこの方法を適用する場合、ノードが接続する無線ネットワーク管理端末を切り替える場合に、ノードの固有鍵を更新しなければ、切り替え前の無線ネットワーク管理端末が、切り替え先の無線ネットワーク管理端末とノードとの間でやりとりする暗号文を解読できることを考慮しなければならない。   However, when this method is applied, when switching the wireless network management terminal to which the node is connected, if the unique key of the node is not updated, the wireless network management terminal before switching is switched between the switching-target wireless network management terminal and the node. It must be considered that the ciphertext exchanged between the two can be deciphered.

上述のような問題点に鑑みて無線ネットワークの各ノードの固有鍵をより安全かつ効率的に配信することができる通信システム管理装置、情報処理端末及び通信システムが望まれている。   In view of the above-described problems, a communication system management apparatus, an information processing terminal, and a communication system that can distribute a unique key of each node of a wireless network more safely and efficiently are desired.

第1の本発明は、通信管理装置が配置された1又は複数の無線ネットワークを管理する通信システム管理装置において、(1)それぞれの上記ノードの識別情報と鍵情報を含むノード情報を管理するノード情報管理手段と、(2)それぞれの上記ノードと、それぞれの上記通信管理装置との関連付けを決定する関連付け決定手段と、(3)上記関連付け決定手段で決定された関連付けの内容に基づいて、上記ノード情報管理手段で管理している鍵情報を当該鍵情報に係るノードに関連付けられた上記通信管理装置に配信する鍵配信手段とを有することを特徴とする。   The first aspect of the present invention is a communication system management apparatus that manages one or a plurality of wireless networks in which communication management apparatuses are arranged. (1) A node that manages node information including identification information and key information of each of the above nodes. An information management means; (2) an association determination means for determining an association between each of the nodes and each of the communication management devices; and (3) based on the content of the association determined by the association determination means. And key distribution means for distributing the key information managed by the node information management means to the communication management apparatus associated with the node related to the key information.

第2の本発明は、1又は複数の無線ネットワークのそれぞれに配置された通信管理装置と、上記無線ネットワークに接続する1又は複数のノードと、通信システム管理装置とを備える通信システムにおいて、上記通信システム管理装置として第1の本発明の通信システム管理装置を適用したことを特徴とする。   According to a second aspect of the present invention, there is provided a communication system including a communication management device disposed in each of one or more wireless networks, one or more nodes connected to the wireless network, and a communication system management device. The communication system management apparatus according to the first aspect of the present invention is applied as the system management apparatus.

第3の本発明の情報処理端末は、(1)ユーザ又は無線ネットワークに配置された無線ネットワーク管理端末と、上記無線ネットワークに接続するノードとを関連づける関連付け情報を生成する関連付け情報生成手段と、(2)第1の本発明の通信システム管理装置に、上記関連付け情報生成手段が生成した関連付け情報を送信する関連付け情報送信手段とを有することを特徴とする。   An information processing terminal according to a third aspect of the present invention includes: (1) association information generating means for generating association information for associating a user or a radio network management terminal arranged in a radio network and a node connected to the radio network; 2) The communication system management apparatus according to the first aspect of the present invention includes association information transmission means for transmitting association information generated by the association information generation means.

本発明によれば、無線ネットワークの各ノードの固有鍵をより安全かつ効率的に配信することができる。   According to the present invention, the unique key of each node of the wireless network can be distributed more safely and efficiently.

実施形態に係る通信システムの動作について示したシーケンス図である。It is the sequence diagram shown about operation | movement of the communication system which concerns on embodiment. 実施形態に係る通信システムの全体構成について示したブロック図である。1 is a block diagram illustrating an overall configuration of a communication system according to an embodiment. 実施形態に係る通信システムを構成する無線ノードの機能的構成について示したブロック図である。It is the block diagram shown about the functional structure of the radio | wireless node which comprises the communication system which concerns on embodiment. 実施形態に係る通信システムを構成する無線NW管理端末の機能的構成について示したブロック図である。It is the block diagram shown about the functional structure of the radio | wireless NW management terminal which comprises the communication system which concerns on embodiment. 実施形態に係る通信システムを構成するセンターサーバの機能的構成について示したブロック図である。It is the block diagram shown about the functional structure of the center server which comprises the communication system which concerns on embodiment. 実施形態に係る通信システムを構成する関連付け端末の機能的構成について示したブロック図である。It is the block diagram shown about the functional structure of the correlation terminal which comprises the communication system which concerns on embodiment. 実施形態に係るセンターサーバで管理されるノードテーブルの構成例について示した説明図である。It is explanatory drawing shown about the structural example of the node table managed by the center server which concerns on embodiment. 実施形態に係るセンターサーバで管理される無線ネットワーク管理端末テーブルの構成例について示した説明図である。It is explanatory drawing shown about the structural example of the radio | wireless network management terminal table managed by the center server which concerns on embodiment. 実施形態に係るセンターサーバで管理されるユーザテーブルの構成例について示した説明図である。It is explanatory drawing shown about the structural example of the user table managed by the center server which concerns on embodiment. 実施形態に係る無線ノードの動作について示したフローチャートである4 is a flowchart illustrating an operation of a wireless node according to the embodiment. 実施形態に係るセンターサーバの動作について示したフローチャートである。It is the flowchart shown about operation | movement of the center server which concerns on embodiment.

(A)主たる実施形態
以下、本発明による通信システム管理装置、情報処理端末及び通信システムの一実施形態を、図面を参照しながら詳述する。以下では、本発明のシステム管理装置及び情報処理端末を、センターサーバ及び関連付け端末に適用する例について説明する。 (A) Main Embodiment Hereinafter, an embodiment of a communication system management apparatus, an information processing terminal, and a communication system according to the present invention will be described in detail with reference to the drawings. Below, the example which applies the system management apparatus and information processing terminal of this invention to a center server and an association terminal is demonstrated.

(A−1)実施形態の構成
図2は、この実施形態の通信システム1の全体構成について示したブロック図である。 (A-1) Configuration of Embodiment FIG. 2 is a block diagram showing the overall configuration of the communication system 1 of this embodiment.

通信システム1には、複数の無線ネットワークN1と、インターネットN2が配置されている。   In the communication system 1, a plurality of wireless networks N1 and the Internet N2 are arranged.

各無線ネットワークN1には、1又は複数のノード100と、当該無線ネットワークN1でのノード100の接続等を管理する装置(コーディネータ)として無線NW管理端末200が配置されている。なお、通信システム1内での無線ネットワークN1の数及びノード100の数は限定されないものである。   In each wireless network N1, a wireless NW management terminal 200 is arranged as a device (coordinator) that manages connection or the like of one or a plurality of nodes 100 and the node 100 in the wireless network N1. Note that the number of wireless networks N1 and the number of nodes 100 in the communication system 1 are not limited.

そして、各無線NW管理端末200は、インターネットN2にも接続されている。また、インターネットN2には、1又は複数の関連付け端末400も接続されている。なお、関連付け端末400の数は限定されていないものである。   Each wireless NW management terminal 200 is also connected to the Internet N2. One or more association terminals 400 are also connected to the Internet N2. Note that the number of association terminals 400 is not limited.

ここでは、無線NW管理端末200が各無線ネットワークN1におけるアクセスポイントとして機能するものとして説明するが、別途アクセスポイントとなる通信装置を配置し、無線NW管理端末200が各ノード100の管理(認証等)を行うようにしてもよい。   Here, the wireless NW management terminal 200 will be described as functioning as an access point in each wireless network N1, but a communication device serving as an access point is provided separately, and the wireless NW management terminal 200 manages each node 100 (such as authentication). ) May be performed.

センターサーバ300はデータベースを保持しており、該データベースでは無線ノード100と無線NW管理端末200およびユーザの各種情報を管理している。センターサーバ300が保持するデータベースの具体的な構成については後述する。また、センターサーバ300は、無線NW管理端末200に各ノード100の鍵を配信する機能を担っている。   The center server 300 holds a database, which manages various information of the wireless node 100, the wireless NW management terminal 200, and the user. A specific configuration of the database held by the center server 300 will be described later. The center server 300 has a function of distributing the key of each node 100 to the wireless NW management terminal 200.

関連付け端末400は、センターサーバ300に関連付ける無線NW管理端末200とノード100の情報を通知するためのユーザーインタフェースとなる端末である。関連付け端末400としては、例えば、インターネットN2に接続されたスマートフォンやタブレット端末を適用することができる。   The association terminal 400 is a terminal serving as a user interface for notifying information on the wireless NW management terminal 200 and the node 100 associated with the center server 300. As the association terminal 400, for example, a smartphone or a tablet terminal connected to the Internet N2 can be applied.

次に、図3を用いて、各ノード100の構成について説明する。各ノード100で異なる構成としてもよいが、ここでは、全てのノード100は図3のブロック図で示すことができる構成であるものとして説明する。   Next, the configuration of each node 100 will be described with reference to FIG. Each node 100 may have a different configuration, but here, it is assumed that all the nodes 100 have a configuration that can be shown in the block diagram of FIG.

ノード100は、無線通信部101、接続先決定部102、接続先候補保持部103、TLS−PSKハンドシェイク部104、PSK保持部105、PSK更新部106、PSK更新鍵保持部107、及びPSK更新制御部108を有している。なお、各ノード100は、例えば、無線通信可能なコンピュータを備える装置に図3に示す各構成要素に対応するプログラム(実施形態の無線通信プログラムを含む)をインストールすることにより実現するようにしてもよい。   The node 100 includes a wireless communication unit 101, a connection destination determination unit 102, a connection destination candidate holding unit 103, a TLS-PSK handshake unit 104, a PSK holding unit 105, a PSK update unit 106, a PSK update key holding unit 107, and a PSK update. A control unit 108 is included. Each node 100 may be realized, for example, by installing a program (including the wireless communication program of the embodiment) corresponding to each component shown in FIG. 3 in an apparatus including a computer capable of wireless communication. Good.

無線通信部101は、無線ネットワークN1にアクセスするための通信インターフェースである。   The wireless communication unit 101 is a communication interface for accessing the wireless network N1.

接続先決定部102は接続先となるネットワークが複数ある場合に、その中から接続先を任意に選択するものである。ただし接続先決定部102では、その選択方法については限定されないものである。   The connection destination determination unit 102 arbitrarily selects a connection destination from a plurality of networks as connection destinations. However, the connection destination determination unit 102 does not limit the selection method.

接続先候補保持部103は複数の無線ネットワークN1を検知した場合にその情報を一時的に記憶するものである。ただし、接続先候補保持部103は認証に失敗した無線ネットワークN1については候補から外す。   The connection destination candidate holding unit 103 temporarily stores information when a plurality of wireless networks N1 are detected. However, the connection destination candidate holding unit 103 excludes the wireless network N1 that has failed authentication from the candidates.

TLS−PSKハンドシェイク部104は、無線ネットワーク管理端末とTLS−PSKハンドシェイクを行うことにより、暗号通信路を確立する。   The TLS-PSK handshake unit 104 establishes an encrypted communication path by performing a TLS-PSK handshake with the wireless network management terminal.

PSK保持部105は、TLS−PSKハンドシェイクで利用する事前共有鍵(PSK)を記憶するものである。この実施形態のノード100では、その事前共有鍵(PSK)が、事前にインストール(製造時にプレインストール)されているものとし、そのコピーがセンターサーバ300のデータベースにも保持されているものとする。   The PSK holding unit 105 stores a pre-shared key (PSK) used in the TLS-PSK handshake. In the node 100 of this embodiment, it is assumed that the pre-shared key (PSK) is installed in advance (pre-installed at the time of manufacture), and a copy thereof is also stored in the database of the center server 300.

PSK更新部106は事前共有鍵(PSK)を更新するものである。   The PSK update unit 106 updates the pre-shared key (PSK).

PSK更新部106が行う更新方法(事前共有鍵の更新方法)は必ずしも1通りではない。この実施形態のPSK更新部106は、鍵更新鍵を用い、現在の事前共有鍵情報と、当該鍵更新鍵とを鍵付ハッシュ関数の入力とし、その出力された情報を更新された事前共有鍵として取得するものとする。鍵付ハッシュ関数は、たとえばIETF RFC2104において定義されているHMAC(Keyed―Hashing for Message Authentication)関数を利用することができる。   The update method (pre-shared key update method) performed by the PSK update unit 106 is not necessarily one. The PSK update unit 106 of this embodiment uses a key update key, uses the current pre-shared key information and the key update key as input of a keyed hash function, and updates the output information to the updated pre-shared key Shall be obtained as As the keyed hash function, for example, a Keyed-Hashing for Message Authentication (HMAC) function defined in IETF RFC2104 can be used.

PSK更新鍵保持部107は、PSK更新部106が取得した鍵更新鍵を記憶するものである。   The PSK update key holding unit 107 stores the key update key acquired by the PSK update unit 106.

PSK更新制御部108はPSK更新部106を動作させるタイミングを制御するものである。この実施形態において、PSK更新制御部108が、鍵更新を行うタイミングを、新しい無線ネットワークN1に接続するときとして説明するが、鍵更新のタイミングについては限定されないものである。   The PSK update control unit 108 controls timing for operating the PSK update unit 106. In this embodiment, the timing at which the PSK update control unit 108 performs the key update will be described as connecting to a new wireless network N1, but the key update timing is not limited.

次に、図4を用いて無線NW管理端末200の構成について説明する。   Next, the configuration of the wireless NW management terminal 200 will be described using FIG.

無線NW管理端末200は、無線通信部201、TLS−PSKハンドシェイク部202、PSK保持部203、インターネット通信部204、及びネットワーク管理部205を有している。なお、無線NW管理端末200は、例えば、無線通信可能なコンピュータを備える装置に、図4に示す各構成要素に対応するプログラム(実施形態の通信管理プログラムを含む)をインストールすることにより実現するようにしてもよい。   The wireless NW management terminal 200 includes a wireless communication unit 201, a TLS-PSK handshake unit 202, a PSK holding unit 203, an Internet communication unit 204, and a network management unit 205. Note that the wireless NW management terminal 200 is realized, for example, by installing a program (including the communication management program of the embodiment) corresponding to each component shown in FIG. 4 in an apparatus including a computer capable of wireless communication. It may be.

無線通信部201は、無線ネットワークN1のノードと通信するための通信インターフェースである。   The wireless communication unit 201 is a communication interface for communicating with a node of the wireless network N1.

TLS−PSKハンドシェイク部202は、ノード100とTLS−PSKハンドシェイクを行うことにより、暗号通信路を確立するものである。   The TLS-PSK handshake unit 202 establishes an encrypted communication path by performing a TLS-PSK handshake with the node 100.

PSK保持部203は、配下の各ノード100の事前共有鍵情報を記憶するものである。   The PSK holding unit 203 stores pre-shared key information of each subordinate node 100.

インターネット通信部204はインターネットN2にアクセスするためのインターフェースであり、センターサーバ300と通信するため等に利用される。この実施形態では、無線NW管理端末200がセンターサーバ300と行う通信はすべて暗号化されているものとする。無線NW管理端末200とセンターサーバ300との間の暗号化通信路の確立手段としては、例えば、SSL(Secure Socket Layer)やIPSec等の種々の手段を適用することができる。   The Internet communication unit 204 is an interface for accessing the Internet N2, and is used for communicating with the center server 300. In this embodiment, it is assumed that all communications performed by the wireless NW management terminal 200 with the center server 300 are encrypted. As means for establishing an encrypted communication path between the wireless NW management terminal 200 and the center server 300, various means such as SSL (Secure Socket Layer) and IPSec can be applied, for example.

ネットワーク管理部205は、無線ネットワークN1のコーディネータ機能を実装した部分である。この実施形態では、ネットワーク管理部205は、TLS−PSKによる暗号通信路を確立できたノード100を、無線NW管理端末200による管理下のネットワークに参加するものとして扱う。   The network management unit 205 is a part in which the coordinator function of the wireless network N1 is installed. In this embodiment, the network management unit 205 treats the node 100 that has established the TLS-PSK encrypted communication path as participating in the network managed by the wireless NW management terminal 200.

次に、図5を用いてセンターサーバ300の構成について説明する。   Next, the configuration of the center server 300 will be described with reference to FIG.

センターサーバ300は、インターネット通信部301、ログイン管理部302、関連付け決定部303、関連付け参照子保持部304、テーブル操作部305、データベース306、鍵配送部307、PSK更新部308、及びPSK更新制御部309を有している。なお、センターサーバ300は、例えば、ネットワーク接続可能なコンピュータを備える装置に、図5に示す各構成要素に対応するプログラム(実施形態の通信システム管理プログラムを含む)をインストールすることにより実現するようにしてもよい。   The center server 300 includes an Internet communication unit 301, a login management unit 302, an association determination unit 303, an association reference child holding unit 304, a table operation unit 305, a database 306, a key distribution unit 307, a PSK update unit 308, and a PSK update control unit. 309. Note that the center server 300 is realized, for example, by installing a program (including the communication system management program of the embodiment) corresponding to each component shown in FIG. 5 in an apparatus including a computer that can be connected to a network. May be.

インターネット通信部301はインターネットN2にアクセスして、各無線NW管理端末及び、各関連付け端末400と通信するためのインターフェースである。   The Internet communication unit 301 is an interface for accessing the Internet N2 and communicating with each wireless NW management terminal and each association terminal 400.

ログイン管理部302は、ユーザが関連付け端末400から送ってきたログイン情報に対してデータベース306にアクセスして、ユーザIDとパスワードの組が正しいかどうかを検証すると共に、ログイン状態を管理する。   The login management unit 302 accesses the database 306 with respect to login information sent from the association terminal 400 by the user, verifies whether the user ID / password pair is correct, and manages the login state.

なお、ログイン管理部302が管理するログイン方法に関しては、上述の例に限定されないものであり、種々のアカウント管理と同様の構成を適用することができる。   Note that the login method managed by the login management unit 302 is not limited to the above-described example, and the same configuration as various account management can be applied.

関連付け決定部303は関連付け端末400から、関連付け情報を受け取り、該関連付け情報を解釈して、関連付け端末400を操作するユーザと無線NW管理端末200及びノード100とを関連付けると共に、関連付け参照子保持部304に無線NW管理端末IDとノードIDとを送る。また、関連付け決定部303は、ノード100の機器IDについては鍵配送部307にも送る。関連付け情報の例としては、ノード100と無線NW管理端末200の機器IDを連結した情報が考えられるが、これ以外にユーザIDと無線NW管理端末200とが1対1に対応するならば、ユーザIDとノードIDの連結でも良い。この実施形態では、関連付け決定部303が処理する関連付け情報の構成に関して特定の構成に限定されないものである。   The association determination unit 303 receives the association information from the association terminal 400, interprets the association information, associates the user operating the association terminal 400 with the wireless NW management terminal 200 and the node 100, and the association reference child holding unit 304. The wireless NW management terminal ID and the node ID are sent to. The association determination unit 303 also sends the device ID of the node 100 to the key distribution unit 307. As an example of the association information, information obtained by concatenating the device IDs of the node 100 and the wireless NW management terminal 200 can be considered. However, if the user ID and the wireless NW management terminal 200 correspond to each other one by one, the user It may be a concatenation of ID and node ID. In this embodiment, the configuration of the association information processed by the association determination unit 303 is not limited to a specific configuration.

関連付け参照子保持部304は、関連付け決定部303から無線NW管理端末200のIDとノード100のIDとを受け取り、これをキーとしてデータベース306に対して、無線NW管理端末200のIPアドレスと、ノード100の事前共有鍵情報を問い合わせる。関連付け参照子保持部304は、問い合わせの結果を、関連付け決定部303に供給する。   The association reference holding unit 304 receives the ID of the wireless NW management terminal 200 and the ID of the node 100 from the association determination unit 303, and uses this as a key for the database 306, the IP address of the wireless NW management terminal 200, the node Queries 100 pre-shared key information. The association reference child holding unit 304 supplies the inquiry result to the association determination unit 303.

テーブル操作部305はデータベース306にアクセスして、検索や情報の登録を行う。   The table operation unit 305 accesses the database 306 to search and register information.

データベース306は、ノードテーブル306aと無線ネットワーク管理端末テーブル306bと、ユーザテーブル306cを有している。   The database 306 includes a node table 306a, a wireless network management terminal table 306b, and a user table 306c.

ノードテーブル306aは、図7に示すように、各ノード100について管理するためのテーブルである。図7に示すノードテーブル306aは、各ノード100について、識別子としての機器ID(ノードID)と、各ノード100にプレインストールされている事前共有鍵情報と、当該事前共有鍵情報に対応する更新鍵の情報(PSK更新鍵情報)の情報をキーとするテーブルとなっている。   The node table 306a is a table for managing each node 100 as shown in FIG. The node table 306a illustrated in FIG. 7 includes, for each node 100, a device ID (node ID) as an identifier, pre-shared key information preinstalled in each node 100, and an update key corresponding to the pre-shared key information. This information is a table using the information (PSK update key information) as a key.

なお、この実施形態では、PSK更新鍵情報については、無線ノード100とセンターサーバ300とで同じ内容が共有されているものとして説明する。   In this embodiment, PSK update key information will be described assuming that the wireless node 100 and the center server 300 share the same content.

また無線ネットワーク管理端末テーブル306bは図8に示すように、各無線NW管理端末200について管理するためのテーブルである。図8に示す無線ネットワーク管理端末テーブル306bは、各無線NW管理端末200について、無線NW管理端末200の機器ID(無線NW管理端末ID)とそのグローバルIPアドレスの情報を管理するテーブルとなっている。   The wireless network management terminal table 306b is a table for managing each wireless NW management terminal 200 as shown in FIG. The wireless network management terminal table 306b shown in FIG. 8 is a table for managing information on the device ID (wireless NW management terminal ID) of the wireless NW management terminal 200 and its global IP address for each wireless NW management terminal 200. .

ユーザテーブル306cは、図9に示すように、各ユーザ(無線ノード100のユーザ)に係る情報を管理するためのテーブルである。図9に示すユーザテーブル306cは、各ユーザについて、当該ユーザのユーザID、当該ユーザIDに対応するパスワード、当該ユーザが所有する無線NW管理端末200のリスト(識別子としての機器IDのリスト)、当該ユーザが所有する無線ノード100のリスト(識別子としての機器IDのリスト)の情報を管理するテーブルとなっている。   As shown in FIG. 9, the user table 306c is a table for managing information related to each user (user of the wireless node 100). The user table 306c shown in FIG. 9 includes, for each user, a user ID of the user, a password corresponding to the user ID, a list of wireless NW management terminals 200 owned by the user (a list of device IDs as identifiers), This is a table for managing information of a list of wireless nodes 100 owned by a user (a list of device IDs as identifiers).

鍵配送部307は、関連付け決定部303からノード100の機器IDを受け取ると共に、データベース306から無線NW管理端末200のIPアドレスと、ノード100の事前共有鍵情報とを受け取る。そして、鍵配送部307は、当該無線NW管理端末200のIPアドレスに対して、当該ノード100の機器ID情報と鍵情報をインターネット通信部301を介して配信する。   The key distribution unit 307 receives the device ID of the node 100 from the association determination unit 303 and receives the IP address of the wireless NW management terminal 200 and the pre-shared key information of the node 100 from the database 306. Then, the key distribution unit 307 distributes the device ID information and key information of the node 100 to the IP address of the wireless NW management terminal 200 via the Internet communication unit 301.

PSK更新部308は、各ノード100の事前共有鍵(PSK)を更新する。更新方法はノード100における事前共有鍵更新(PSK更新)と同様の手順であり、この実施形態では、例として、ノードテーブル306aからPSKとPSK更新鍵情報(鍵更新鍵情報)を読み出して鍵付ハッシュ関数を適用した結果の情報を新しい事前共有鍵情報とする。   The PSK update unit 308 updates the pre-shared key (PSK) of each node 100. The update method is the same procedure as the pre-shared key update (PSK update) in the node 100. In this embodiment, as an example, PSK and PSK update key information (key update key information) are read from the node table 306a and are keyed. Information obtained as a result of applying the hash function is used as new pre-shared key information.

PSK更新制御部309はPSK更新部308を動作させるタイミングを制御する。この実施形態では、PSK更新制御部309は、例として、鍵更新タイミングを、関連付けが決定したときとする。   The PSK update control unit 309 controls the timing for operating the PSK update unit 308. In this embodiment, as an example, the PSK update control unit 309 assumes that the key update timing is determined when association is determined.

次に、図6を用いて関連付け端末400の構成について説明する。   Next, the configuration of the association terminal 400 will be described with reference to FIG.

関連付け端末400は、インターネット通信部401、センターサーバアドレス保持部402、認証情報入力部403、機器ID取得部404、及び関連付け指定部405を有している。なお、関連付け端末400は、例えば、ネットワーク接続可能なコンピュータを備える装置(例えば、スマートホンやタブレットPC等)に、図6に示す各構成要素に対応するプログラム(実施形態の情報処理プログラムを含む)をインストールすることにより実現するようにしてもよい。   The association terminal 400 includes an Internet communication unit 401, a center server address holding unit 402, an authentication information input unit 403, a device ID acquisition unit 404, and an association designation unit 405. The associating terminal 400 is a program (including the information processing program of the embodiment) corresponding to each component shown in FIG. 6 in an apparatus (for example, a smart phone, a tablet PC, or the like) including a computer that can be connected to a network. You may make it implement | achieve by installing.

インターネット通信部401はインターネットN2にアクセスするためのインターフェースであり、センターサーバ300と通信するために利用される。この実施形態では、センターサーバ300との通信はすべて暗号化されているものとする。暗号化通信路の確立手段としては、インターネットN2において広く普及している暗号化技術であるSSLやIPSecなどを適用することができる。   The Internet communication unit 401 is an interface for accessing the Internet N2, and is used for communicating with the center server 300. In this embodiment, it is assumed that all communication with the center server 300 is encrypted. As means for establishing the encrypted communication path, SSL, IPSec, etc., which are encryption techniques widely used in the Internet N2, can be applied.

センターサーバアドレス保持部402はセンターサーバ300のグローバルIPアドレスを保持するものである。   The center server address holding unit 402 holds the global IP address of the center server 300.

認証情報入力部403は、センターサーバ300に対してログインをするための認証情報をユーザが入力する手段であり、本実施例では特定の方法に限定することはしないが、例えば直接タッチキーから入力したりする方法が考えられる。   The authentication information input unit 403 is a means for the user to input authentication information for logging in to the center server 300. In this embodiment, the authentication information input unit 403 is not limited to a specific method, but is input directly from a touch key, for example. The method of doing is conceivable.

機器ID取得部404は、ユーザが無線NW管理端末200やノード100の機器IDを関連付け端末400に入力する手段である。例えば、機器ID取得部404は、タッチキーなどのユーザ入力インターフェースや、QRコード(登録商標)をカメラで撮像してデコードすることによる方法により、ID入力を受付けるようにしてもよい。   The device ID acquisition unit 404 is a means for a user to input the device ID of the wireless NW management terminal 200 or the node 100 to the association terminal 400. For example, the device ID acquisition unit 404 may accept an ID input by a user input interface such as a touch key or a method of capturing and decoding a QR code (registered trademark) with a camera.

関連付け指定部405は、無線NW管理端末200とノード100とを関連付けることを、インターネット通信部401を介してセンターサーバ300に通知するものである。この実施形態では、関連付け指定部405は、無線NW管理端末200とノード100の各機器IDを用いて、関連付けの指定を行うものとして説明する。なお、関連付け指定部405は、機器IDについて、機器ID取得部404から入力させて取得するようにしてもよい。また、関連付け指定部405は、無線NW管理端末200の機器IDについて、例えばログインしたときにユーザが所有する無線NW管理端末200のIDをダウンロードすることによって取得しても良い。   The association designation unit 405 notifies the center server 300 via the Internet communication unit 401 that the wireless NW management terminal 200 and the node 100 are associated with each other. In this embodiment, the description will be made assuming that the association designation unit 405 designates the association using the device IDs of the wireless NW management terminal 200 and the node 100. Note that the association designation unit 405 may acquire the device ID by inputting the device ID from the device ID acquisition unit 404. Further, the association designation unit 405 may acquire the device ID of the wireless NW management terminal 200 by, for example, downloading the ID of the wireless NW management terminal 200 owned by the user when logging in.

(A−2)実施形態の動作
次に、以上のような構成を有するこの実施形態の通信システム1の動作を説明する。 (A-2) Operation | movement of embodiment Next, operation | movement of the communication system 1 of this embodiment which has the above structures is demonstrated.

図1は、通信システム1の動作について示したシーケンス図である。   FIG. 1 is a sequence diagram illustrating the operation of the communication system 1.

ここでは、まず任意のノード100のPSK保持部105には初期に事前共有鍵(PSK)が設定されており、そのコピーがセンターサーバ300のデータベース306にも記憶されているものとする(S101)。この事前設定は例えば製造時にランダムに生成したビット列を事前共有鍵としてノード100にインストールし、そのコピーをセンターサーバ300に安全に送ることにより実現できるが、この事前設定方法だけに限定されないものである。   Here, first, a pre-shared key (PSK) is initially set in the PSK holding unit 105 of any node 100, and a copy thereof is also stored in the database 306 of the center server 300 (S101). . This presetting can be realized, for example, by installing a bit string randomly generated at the time of manufacture in the node 100 as a pre-shared key and securely sending a copy to the center server 300, but is not limited to this presetting method. .

次に、ステップS101で初期PSKが事前設定された任意のノード100に係る情報について、センターサーバ300及び無線NW管理端末200に登録される動作(後述するステップS102〜S105)について説明する。   Next, an operation (steps S102 to S105 to be described later) registered in the center server 300 and the wireless NW management terminal 200 for information related to the arbitrary node 100 in which the initial PSK is preset in step S101 will be described.

まず、当該ノード100のユーザが、当該ノード100を所望の無線ネットワークN1に係る無線NW管理端末200と関連付けを行うために、関連付け端末400を用いてセンターサーバ300にログインしたものとする(S102)。   First, it is assumed that the user of the node 100 logs in to the center server 300 using the association terminal 400 in order to associate the node 100 with the wireless NW management terminal 200 related to the desired wireless network N1 (S102). .

ここでは、当該ユーザが、関連付け端末400(認証情報入力部403)に対してユーザIDとパスワードを入力してログインが行われるものとする。そして、関連付け端末400(インターネット通信部401)は、センターサーバアドレス保持部402に記憶されているセンターサーバ300のアドレスに対してSSL等を用いて暗号通信セッションを構築する。そして、関連付け端末400(インターネット通信部401)は、入力されたユーザIDとパスワードをセンターサーバ300に送る。そして、センターサーバ300では、送られてきたユーザIDとパスワードをログイン管理部302においてテーブル操作部305を操作してデータベース306のユーザテーブルから該当するユーザIDと対応するパスワードを読み出して照合し、一致した場合、認証成功を無線NW管理端末200に回答すると共に、当該ユーザがログインした状態となったものとして管理を行う。   Here, it is assumed that the user logs in by inputting the user ID and password to the association terminal 400 (authentication information input unit 403). Then, association terminal 400 (Internet communication unit 401) establishes an encrypted communication session using SSL or the like for the address of center server 300 stored in center server address holding unit 402. Then, association terminal 400 (Internet communication unit 401) sends the input user ID and password to center server 300. Then, the center server 300 operates the table operation unit 305 in the login management unit 302 to read the password corresponding to the corresponding user ID from the user table of the database 306, and collates the received user ID and password. In this case, the authentication success is returned to the wireless NW management terminal 200, and management is performed assuming that the user is logged in.

そして、関連付け端末400でログインが成功し、運用担当者の操作により、無線NW管理端末200とノード100の各機器IDが、機器ID取得部404に入力され、さらに、各機器IDから関連付け情報が生成され、センターサーバ300に送信されたものとする(S103)。   Then, the login is successful at the association terminal 400, and the device IDs of the wireless NW management terminal 200 and the node 100 are input to the device ID acquisition unit 404 by the operation of the person in charge of operation. It is assumed that it has been generated and transmitted to the center server 300 (S103).

そして、センターサーバ300(関連付け決定部303)は、関連付け端末400からの制御に基づいて、当該関連付け情報を解釈し、ノード100と無線NW管理端末200の各機器IDを関連付け参照子保持部304に送る。関連付け参照子保持部304はテーブル操作部305を操作して、ノード100の事前共有鍵をノードテーブル306aから、無線NW管理端末200のIPアドレスを無線ネットワーク管理端末テーブル306bからそれぞれ読み出して鍵配送部307に出力させる。   The center server 300 (association determining unit 303) interprets the association information based on the control from the association terminal 400, and associates the device IDs of the node 100 and the wireless NW management terminal 200 with the association reference child holding unit 304. send. The association reference child holding unit 304 operates the table operation unit 305 to read the pre-shared key of the node 100 from the node table 306a and the IP address of the wireless NW management terminal 200 from the wireless network management terminal table 306b, respectively. 307 to output.

センターサーバ300では、上述のステップS102のログイン後、関連付け端末400から関連付け情報が送られてきたタイミングでPSK更新制御部309がPSK更新部308に事前共有鍵(PSK)を更新するように指示する。これにより、センターサーバ300のPSK更新部308は、テーブル操作部305を制御してデータベース306のノードテーブル306aからノードのPSK更新鍵情報を読み取って事前共有鍵(PSK)を更新する(S104)。   In the center server 300, after the login in step S102 described above, the PSK update control unit 309 instructs the PSK update unit 308 to update the pre-shared key (PSK) at the timing when the association information is sent from the association terminal 400. . As a result, the PSK update unit 308 of the center server 300 controls the table operation unit 305 to read the PSK update key information of the node from the node table 306a of the database 306 and update the pre-shared key (PSK) (S104).

次に、センターサーバ300の鍵配送部307は、当該無線NW管理端末200のIPアドレスに対してインターネット通信部301を介してセキュアに接続し、ノード100の機器IDと事前共有鍵(PSK)を配信する(S105)。   Next, the key distribution unit 307 of the center server 300 securely connects to the IP address of the wireless NW management terminal 200 via the Internet communication unit 301, and obtains the device ID of the node 100 and the pre-shared key (PSK). Distribute (S105).

以上のような動作により、それぞれの無線ノード100に係る機器IDと事前共有鍵(PSK)が、無線NW管理端末200に配信される。   Through the operation as described above, the device ID and the pre-shared key (PSK) related to each wireless node 100 are distributed to the wireless NW management terminal 200.

次に、無線NW管理端末200に機器IDと事前共有鍵(PSK)が配信されたノード100が、無線ネットワークN1(機器IDと事前共有鍵が配信された無線NW管理端末200)に接続する際の動作(後述するステップS106〜S111)について説明する。   Next, when the node 100 to which the device ID and the pre-shared key (PSK) are distributed to the wireless NW management terminal 200 connects to the wireless network N1 (the wireless NW management terminal 200 to which the device ID and the pre-shared key are distributed). Will be described (steps S106 to S111 described later).

まず、利用者により、ノード100の電源がオンにされたものとする(S106)。   First, it is assumed that the node 100 is turned on by the user (S106).

ノード100は、起動すると直ちに接続先の無線ネットワークN1の候補を探すため待機し、ビーコン(無線NW管理端末200からのビーコン)を受信したものとする(S107)。   As soon as the node 100 starts up, it waits for a candidate for the wireless network N1 to which it is connected and receives a beacon (a beacon from the wireless NW management terminal 200) (S107).

ビーコンを受信すると、ノード100は、そのビーコンの情報(ビーコンに含まれる送信元の情報)から無線NW管理端末200に対して接続要求を送信する(S108)。   When receiving the beacon, the node 100 transmits a connection request to the wireless NW management terminal 200 from the beacon information (the transmission source information included in the beacon) (S108).

そして、無線NW管理端末200は、ノード100に対して仮の接続許可を送信する(S109)。   Then, the wireless NW management terminal 200 transmits a temporary connection permission to the node 100 (S109).

この接続はTLS−PSKハンドシェイクを実行するための仮の接続であり、TLS−PSKハンドシェイクが失敗した場合には、無線NW管理端末200は、強制的に当該仮の接続を切断する。   This connection is a temporary connection for executing the TLS-PSK handshake. When the TLS-PSK handshake fails, the wireless NW management terminal 200 forcibly disconnects the temporary connection.

仮の接続が確立すると、ノード100(PSK更新制御部108)は、無線NW管理端末200が、前回TLS−PSKを実行した相手と違う場合に、PSK更新部106に事前共有鍵情報の更新を指示し、PSK更新部106はPSK更新鍵保持部107からPSK更新鍵情報を読み出して、事前共有鍵(PSK)を更新する(S110)。   When the temporary connection is established, the node 100 (PSK update control unit 108) updates the pre-shared key information to the PSK update unit 106 when the wireless NW management terminal 200 is different from the partner that executed the previous TLS-PSK. The PSK update unit 106 reads the PSK update key information from the PSK update key holding unit 107 and updates the pre-shared key (PSK) (S110).

次に、ノード100(TLS−PSKハンドシェイク部104)は、PSK保持部105に記憶されている事前共有鍵(PSK)を用いて、無線NW管理端末200と事前共有鍵を用いたTLS−PSKを実行する。無線NW管理端末200ではPSK保持郡203に記憶されている、ノード100に対応した事前共有鍵をTLS−PSKハンドシェイクの事前共有鍵としてTLS−PSKハンドシェイク部202に送り、ノード100とTLS−PSKハンドシェイクを実行することにより、TLS暗号通信セッションを確立する(S111)。   Next, the node 100 (TLS-PSK handshake unit 104) uses the pre-shared key (PSK) stored in the PSK holding unit 105 to use the wireless NW management terminal 200 and the TLS-PSK using the pre-shared key. Execute. The wireless NW management terminal 200 sends the pre-shared key corresponding to the node 100 stored in the PSK holding group 203 to the TLS-PSK handshake unit 202 as the pre-shared key of the TLS-PSK handshake, and the node 100 and the TLS- A TLS encryption communication session is established by executing the PSK handshake (S111).

次に、図10のフローチャートを用いて、無線ノード100で電源がONになった場合の動作(上述のステップS106以後の動作)について図10のフローチャートを用いて説明する。   Next, the operation when the power is turned on in the wireless node 100 (the operation after step S106 described above) will be described with reference to the flowchart in FIG.

無線ノード100は電源ONとなり(S201)、起動後に通信部101がビーコンを受信すると、当該ビーコンの送信元(無線NW管理端末200)へ、接続要求を送信する(S202)。   When the wireless node 100 is powered on (S201) and the communication unit 101 receives a beacon after activation, the wireless node 100 transmits a connection request to the beacon transmission source (wireless NW management terminal 200) (S202).

そして、無線ノード100は、接続要求を送信した無線NW管理端末200からの応答を確認して(S203)、接続OKの応答があった場合後述するステップS204から動作し、そうでない場合には接続先の無線NW管理端末200を変更(他のビーコンを受信した無線NW管理端末200を選択)して上述のステップS202から動作する。   The wireless node 100 confirms the response from the wireless NW management terminal 200 that has transmitted the connection request (S203). If there is a connection OK response, the wireless node 100 operates from step S204 described later. The previous wireless NW management terminal 200 is changed (the wireless NW management terminal 200 that has received another beacon is selected), and the operation starts from step S202 described above.

接続OKを受信すると無線ノード100は、当該接続先の無線NW管理端末200について前回と異なる無線ネットワークN1であるか否か(送信元の無線NW管理端末200の識別子が前回と異なるか否か)を確認する(S204)。すなわち、各無線ノード100では、前回接続した無線ネットワークN1(無線NW管理端末200)に対応する事前共有鍵(PSK)のバックアップを保持しているものとする。   When the connection OK is received, the wireless node 100 determines whether or not the connection-target wireless NW management terminal 200 is a wireless network N1 different from the previous one (whether or not the identifier of the transmission-source wireless NW management terminal 200 is different from the previous time). Is confirmed (S204). That is, each wireless node 100 holds a pre-shared key (PSK) backup corresponding to the previously connected wireless network N1 (wireless NW management terminal 200).

無線ノード100は、前回と異なる無線ネットワークN1へ接続する場合には、無線NW管理端末200と事前共有鍵(PSK)の鍵更新を行うシーケンスを実行してからTLS−PSKハンドシェイクにより通信を確立する(S205、S206)。   When connecting to the wireless network N1 different from the previous time, the wireless node 100 establishes communication by the TLS-PSK handshake after executing a sequence for updating the pre-shared key (PSK) with the wireless NW management terminal 200 (S205, S206).

一方、前回と同じ無線ネットワークN1へ接続する場合には、無線ノード100は、鍵更新を行わずに、現在の事前共有鍵(PSK)を用いて、ステップS206へ進み、TLS−PSKハンドシェイクにより通信を確立する。   On the other hand, when connecting to the same wireless network N1 as the previous time, the wireless node 100 proceeds to step S206 using the current pre-shared key (PSK) without performing key update, and performs TLS-PSK handshake. Establish communication.

次に、図11のフローチャートを用いて、センターサーバ300における関連付け端末400からの要求に基づいた動作を説明する。   Next, an operation based on a request from the association terminal 400 in the center server 300 will be described using the flowchart of FIG.

まず、センターサーバ300が待ち状態で、関連付け端末400からログイン要求(接続要求)があり、ログイン認証が行われる(S302、S303)。センターサーバ300は、ログイン認証に失敗した場合上述のステップS301に戻って待機状態となる。   First, while the center server 300 is in a waiting state, there is a login request (connection request) from the association terminal 400, and login authentication is performed (S302, S303). If the login authentication fails, the center server 300 returns to step S301 described above and enters a standby state.

一方、ログイン認証が成功すると、センターサーバ300は、関連付け端末400から送信されるメッセージ(例えば、関連付け情報等)を受信して内容を確認し(S304)、受信メッセージが関連付け情報の場合は後述するステップS305から動作し、そうでない場合には、当該受信メッセージに対応する処理を行って(S307)、上述のステップS301の処理に戻ることになる。   On the other hand, if the login authentication is successful, the center server 300 receives a message (for example, association information) transmitted from the association terminal 400 and confirms the content (S304). If the received message is association information, the center server 300 will be described later. The operation starts from step S305. If not, the process corresponding to the received message is performed (S307), and the process returns to the above-described step S301.

関連付けメッセージを受信した場合、センターサーバ300は、当該関連付け情報に基づき、対応する無線ノード10に係る事前共有鍵(PSK)を更新して(S305)、ノードIDと共に、対応する無線NW管理端末200に送信して、処理を終了し、上述のステップS301に戻って動作する。   When the association message is received, the center server 300 updates the pre-shared key (PSK) related to the corresponding wireless node 10 based on the association information (S305), and the corresponding wireless NW management terminal 200 together with the node ID. The process is terminated, and the operation returns to step S301 described above.

(A−3)実施形態の効果
この実施形態によれば、以下のような効果を奏することができる。 (A-3) Effects of Embodiment According to this embodiment, the following effects can be achieved.

通信システム1では、無線ノード100と無線NW管理端末200との間で、事前共有鍵(PSK)の共有に際して、無線ノード100が通信を行うことなく事前共有鍵(PSK)を共有することができるようになる。   In the communication system 1, when the pre-shared key (PSK) is shared between the wireless node 100 and the wireless NW management terminal 200, the pre-shared key (PSK) can be shared without the wireless node 100 performing communication. It becomes like this.

また、無線ノード100が接続する無線NW管理端末200(無線ネットワークN1)の切替えにあたって、事前共有鍵(PSK)をオフラインで更新することにより、ノードが通信を行うことなく、無線ネットワークN1ごとの事前共有鍵(PSK)を使用することができるようになる。   Further, when switching the wireless NW management terminal 200 (wireless network N1) to which the wireless node 100 is connected, the pre-shared key (PSK) is updated offline, so that the node does not perform communication for each wireless network N1 in advance. A shared key (PSK) can be used.

(B)他の実施形態
本発明は、上記の実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。 (B) Other Embodiments The present invention is not limited to the above-described embodiments, and may include modified embodiments as exemplified below.

(B−1)通信システム1では、TLS−PSK以外にも、事前に鍵を共有する必要のあるプロトコルを無線ノード100の認証に適用することができる。 (B-1) In the communication system 1, in addition to TLS-PSK, a protocol that needs to share a key in advance can be applied to authentication of the wireless node 100.

(B−2)上記の実施形態では、センターサーバ300は、関連付け情報を受信すると、直ちに無線NW管理端末200に対してノードID及び事前共有鍵(PSK)を配信していたが、この場合は、無線NW管理端末200がインターネットN2の通信ボートを開いておく必要があり、セキュリティ上の脆弱性を作りやすくなる。 (B-2) In the above embodiment, when the center server 300 receives the association information, the center server 300 immediately distributes the node ID and the pre-shared key (PSK) to the wireless NW management terminal 200. In this case, The wireless NW management terminal 200 needs to open a communication boat of the Internet N2, and it becomes easy to create a security vulnerability.

そこで、無線NW管理端末200は、無線ノード100が、当該無線NW管理端末200に接続したタイミングで、センターサーバに接続して、このタイミングで関連付け情報に基づいて、ノードIDと事前共有鍵(PSK)を取得するようにしてもよい。   Therefore, the wireless NW management terminal 200 connects to the center server at the timing when the wireless node 100 connects to the wireless NW management terminal 200, and at this timing, based on the association information, the node ID and the pre-shared key (PSK) ) May be acquired.

この場合、センターサーバ300側では、関連付け情報を受信した後、すぐに無線NW管理端末200に対してノードID及び事前共有鍵(PSK)を配信せずに、当該無線NW管理端末200からの要求に応じたタイミングで配信することになる。さらにこの場合、センターサーバ300において、無線NW管理端末200のIPアドレス情報を把握している必要はない。   In this case, the center server 300 side receives the request from the wireless NW management terminal 200 without receiving the node ID and the pre-shared key (PSK) immediately after receiving the association information. It will be delivered at the timing according to the. Further, in this case, the center server 300 does not need to know the IP address information of the wireless NW management terminal 200.

(B−3)上記の実施形態では、センターサーバ300での事前共有鍵(PSK)の更新タイミングは、無線NW管理端末200に配信する直前(ステップS105の直前のステップS104)に行っているが、配信直後に実行(ステップS105の後にステップS104を実行)し、無線ノード100側では、無線NW管理端末200とのTLS−PSKハンドシェイクにより通信路が確立した後に鍵更新を実行(ステップS111の後にステップ110の処理を実行)するようにしてもよい。 (B-3) In the above embodiment, the update timing of the pre-shared key (PSK) in the center server 300 is performed immediately before distribution to the wireless NW management terminal 200 (step S104 immediately before step S105). , Executed immediately after distribution (step S104 is executed after step S105), and on the wireless node 100 side, key update is executed after the communication path is established by the TLS-PSK handshake with the wireless NW management terminal 200 (step S111). You may make it perform the process of step 110 later).

また、センターサーバ300では任意のタイミングで鍵更新を行い、その後に、センターサーバ300から、無線NW管理端末200を介して、無線ノード100に鍵更新の命令を行い、無線ノード100側では命令を受信したタイミングで鍵更新を行うようにしてもよい。   Further, the center server 300 updates the key at an arbitrary timing, and then issues a key update command from the center server 300 to the wireless node 100 via the wireless NW management terminal 200, and the wireless node 100 side issues the command. Key update may be performed at the received timing.

(B−5)センターサーバ300は、無線NW管理端末200に無線ノード100の事前共有鍵(PSK)を配信するのに先立って、当該無線NW管理端末を認証しても良い。無線NW管理端末の認証方法は、特に限定されるものではないが、例えば既存のEAP−TLS等を利用することができる。 (B-5) Prior to distributing the pre-shared key (PSK) of the wireless node 100 to the wireless NW management terminal 200, the center server 300 may authenticate the wireless NW management terminal. The authentication method of the wireless NW management terminal is not particularly limited, but for example, existing EAP-TLS can be used.

(B−6)無線NW管理端末1台について1つのユーザログイン情報を作成しても良い。この場合、関連付けられる無線NW管理端末は一意に特定されるため、関連付け情報から無線NW管理端末情報を省略することができる。また、この場合、無線NW管理端末テーブルとユーザテーブルは統合でき、例えばユーザテーブルのID情報を無線NW管理端末のIDで置き換え、所有する無線NW管理端末リストは抹消したテーブルとして統合する形態が考えられる。 (B-6) One user login information may be created for one wireless NW management terminal. In this case, since the associated wireless NW management terminal is uniquely specified, the wireless NW management terminal information can be omitted from the association information. In this case, the wireless NW management terminal table and the user table can be integrated. For example, the ID information of the user table is replaced with the ID of the wireless NW management terminal, and the owned wireless NW management terminal list is integrated as a deleted table. It is done.

1…通信システム、N1…無線ネットワーク、N2…インターネット、100…無線ノード、101…通信部、102…接続先決定部、103…接続先候補保持部、104…TLS−PSKハンドシェイク部、105…PSK保持部、106…PSK更新部、107…PSK更新鍵保持部、108…PSK更新制御部、200…無線NW管理端末、201…無線通信部、202…TLS−PSKハンドシェイク部、203…PSK保持部、204…インターネット通信部、205…ネットワーク管理部、300…センターサーバ、301…インターネット通信部、302…ログイン管理部、303…関連付け決定部、304…関連付け参照子保持部、305…テーブル操作部、306…データベース、306a…ノードテーブル、306b…無線ネットワーク管理端末テーブル、306c…ユーザテーブル、307…鍵配送部、308…PSK更新部、309…PSK更新制御部、400…関連付け端末、401…インターネット通信部、402…センターサーバアドレス保持部、403…認証情報入力部、404…機器ID取得部、405…関連付け指定部。   DESCRIPTION OF SYMBOLS 1 ... Communication system, N1 ... Wireless network, N2 ... Internet, 100 ... Wireless node, 101 ... Communication part, 102 ... Connection destination determination part, 103 ... Connection destination candidate holding part, 104 ... TLS-PSK handshake part, 105 ... PSK holding unit 106 ... PSK updating unit 107 ... PSK update key holding unit 108 ... PSK update control unit 200 ... Wireless NW management terminal 201 ... Wireless communication unit 202 ... TLS-PSK handshake unit 203 ... PSK Holding unit, 204 ... Internet communication unit, 205 ... Network management unit, 300 ... Center server, 301 ... Internet communication unit, 302 ... Login management unit, 303 ... Association determination unit, 304 ... Association reference holding unit, 305 ... Table operation Part, 306 ... database, 306a ... node table, 306b ... Line network management terminal table, 306c ... user table, 307 ... key distribution unit, 308 ... PSK update unit, 309 ... PSK update control unit, 400 ... association terminal, 401 ... internet communication unit, 402 ... center server address holding unit, 403 ... authentication information input unit, 404 ... device ID acquisition unit, 405 ... association designation unit.

Claims (13)

通信管理装置が配置された1又は複数の無線ネットワークを管理する通信システム管理装置において、
それぞれの上記ノードの識別情報と鍵情報を含むノード情報を管理するノード情報管理手段と、
それぞれの上記ノードと、それぞれの上記通信管理装置との関連付けを決定する関連付け決定手段と、
上記関連付け決定手段で決定された関連付けの内容に基づいて、上記ノード情報管理手段で管理している鍵情報を当該鍵情報に係るノードに関連付けられた上記通信管理装置に配信する鍵配信手段と
を有することを特徴とする通信システム管理装置。 In a communication system management apparatus that manages one or more wireless networks in which communication management apparatuses are arranged,
Node information management means for managing node information including identification information and key information of each of the above nodes;
Association determining means for determining an association between each of the nodes and each of the communication management devices;
A key distribution unit that distributes key information managed by the node information management unit to the communication management device associated with the node related to the key information based on the contents of the association determined by the association determination unit; A communication system management apparatus comprising: ユーザごとに、対応するノードのノード識別子、及び対応する通信管理装置の管理装置識別子を管理するユーザ情報管理手段をさらに備え、
上記関連付け決定手段は、上記ユーザ情報管理手段が管理する情報に基づいて、それぞれの上記ノードと、それぞれの上記通信管理装置との関連付けを決定する
ことを特徴とする請求項1に記載の通信システム管理装置。 For each user, it further comprises user information management means for managing the node identifier of the corresponding node and the management device identifier of the corresponding communication management device,
The communication system according to claim 1, wherein the association determination unit determines an association between each of the nodes and each of the communication management devices based on information managed by the user information management unit. Management device. 通信管理装置ごとに、対応するノードのノード識別子を管理する通信管理装置情報管理手段をさらに備え、
上記関連付け決定手段は、上記通信管理装置情報管理手段が管理する情報に基づいて、それぞれ上記ノードと、当該通信管理装置との関連付けを決定する
ことを特徴とする請求項1に記載の通信システム管理装置。 Each communication management device further comprises a communication management device information management means for managing the node identifier of the corresponding node,
The communication system management according to claim 1, wherein the association determination unit determines an association between the node and the communication management device based on information managed by the communication management device information management unit. apparatus. 外部の情報処理端末から、ユーザ又は上記通信管理装置と、上記ノードとを関連付ける関連付け情報を取得する関連付け情報受信手段をさらに備え、
上記ユーザ情報管理手段は、取得した関連付け情報に基づいて、管理する情報を更新する
ことを特徴とする請求項2又は3に記載の通信システム管理装置。 Further comprising association information receiving means for acquiring association information for associating the user or the communication management device with the node from an external information processing terminal;
The communication system management apparatus according to claim 2 or 3, wherein the user information management unit updates information to be managed based on the acquired association information. ユーザ又は無線ネットワークに配置された無線ネットワーク管理端末と、上記無線ネットワークに接続するノードとを関連づける関連付け情報を生成する関連付け情報生成手段と、
請求項3に記載の通信システム管理装置に、上記関連付け情報生成手段が生成した関連付け情報を送信する関連付け情報送信手段と
を有することを特徴とする情報処理端末。 Association information generating means for generating association information for associating a user or a wireless network management terminal arranged in a wireless network and a node connected to the wireless network;
An information processing terminal comprising: an association information transmitting unit that transmits the association information generated by the association information generating unit to the communication system management device according to claim 3. 上記関連付け情報生成手段は、ユーザからの入力操作に応じて関連付け情報を生成することを特徴とする請求項5に記載の情報処理端末。   The information processing terminal according to claim 5, wherein the association information generation unit generates association information in response to an input operation from a user. 1又は複数の無線ネットワークのそれぞれに配置された通信管理装置と、上記無線ネットワークに接続する1又は複数のノードと、通信システム管理装置とを備える通信システムにおいて、
上記通信システム管理装置として請求項1に記載の通信システム管理装置を適用したことを特徴とする通信システム。 In a communication system comprising a communication management device disposed in each of one or more wireless networks, one or more nodes connected to the wireless network, and a communication system management device,
A communication system, wherein the communication system management device according to claim 1 is applied as the communication system management device. 上記通信システム管理装置として請求項3に記載の通信システム管理装置を適用し、
さらに、請求項5に記載の情報処理端末を有することを特徴とする通信システム。 Applying the communication system management device according to claim 3 as the communication system management device,
Furthermore, it has an information processing terminal of Claim 5, The communication system characterized by the above-mentioned. 上記通信システム管理装置は、上記ノード情報管理手段が保持する鍵情報を所定の方式で更新する鍵更新手段をさらに備え
上記鍵配信手段は、上記鍵更新手段により更新された鍵情報を対応する上記通信管理装置に配信する
ことを特徴とする請求項8に記載の通信システム。 The communication system management apparatus further includes key update means for updating key information held by the node information management means by a predetermined method. The key distribution means corresponds to the key information updated by the key update means. The communication system according to claim 8, wherein the communication system is distributed to the communication management device. 上記ノードは、接続先の上記通信管理装置が切り替わった時点で、上記通信システム管理装置と同様の方式で保持している鍵情報を更新することを特徴とする請求項9に記載の通信システム。   The communication system according to claim 9, wherein the node updates the key information held in the same manner as the communication system management apparatus when the communication management apparatus of the connection destination is switched. 上記通信システム管理装置は、記鍵更新手段により鍵更新が行われた場合、当該更新された鍵情報に対応する上記ノードに対して鍵更新命令を送信する命令送信手段をさらに有し、
上記ノードは、上記通信システム管理装置から鍵更新命令を受信したタイミングで保持している鍵情報を更新する
ことを特徴とする請求項10に記載の通信システム。 The communication system management apparatus further includes a command transmission unit that transmits a key update command to the node corresponding to the updated key information when the key update is performed by the key update unit.
The communication system according to claim 10, wherein the node updates key information held at a timing when a key update command is received from the communication system management apparatus. 上記通信管理装置は、当該通信管理装置が管理する無線ネットワークに、上記ノードが接続したタイミングで、当該ノードの鍵情報の配信を上記通信システム管理装置に要求する鍵情報要求手段をさらに有し、
上記通信システム管理装置は、上記通信管理装置からの要求に応じて、当該要求に対応するノードの鍵情報を、当該通信管理装置に配信する
ことを特徴とする請求項11に記載の通信システム。 The communication management device further includes key information requesting means for requesting the communication system management device to distribute key information of the node at a timing when the node is connected to a wireless network managed by the communication management device.
The communication system according to claim 11, wherein the communication system management device distributes key information of a node corresponding to the request to the communication management device in response to a request from the communication management device. 上記ノードが、接続する無線ネットワーク管理端末を第1の無線ネットワーク管理端末から第2の無線ネットワーク管理端末に変える前に、第1の無線ネットワーク管理端末と共有する事前鍵情報を保持しておき、再び第1の無線ネットワーク管理端末に接続する場合には、鍵更新を行うのではなく保持してある鍵情報を利用することを特徴とする請求項12に記載の通信システム。   Before the node changes the connected wireless network management terminal from the first wireless network management terminal to the second wireless network management terminal, it holds pre-key information shared with the first wireless network management terminal, 13. The communication system according to claim 12, wherein when connecting to the first wireless network management terminal again, key information that is held is used instead of key update.
JP2014038810A 2014-02-28 2014-02-28 Communication system management device, information processing terminal, and communication system Pending JP2015162880A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014038810A JP2015162880A (en) 2014-02-28 2014-02-28 Communication system management device, information processing terminal, and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014038810A JP2015162880A (en) 2014-02-28 2014-02-28 Communication system management device, information processing terminal, and communication system

Publications (1)

Publication Number Publication Date
JP2015162880A true JP2015162880A (en) 2015-09-07

Family

ID=54185679

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014038810A Pending JP2015162880A (en) 2014-02-28 2014-02-28 Communication system management device, information processing terminal, and communication system

Country Status (1)

Country Link
JP (1) JP2015162880A (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003259417A (en) * 2002-03-06 2003-09-12 Nec Corp Radio lan system and access control method employing it
JP2004214779A (en) * 2002-12-27 2004-07-29 Nec Corp Wireless communication system, shared key management server, and wireless terminal
JP2005033265A (en) * 2003-07-07 2005-02-03 Canon Inc Network system, network system connection method, devices constituting network system, control method for controlling them, and program
JP2009071707A (en) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd Key sharing method, and key distribution system
JP2010502132A (en) * 2006-08-24 2010-01-21 クゥアルコム・インコーポレイテッド System and method for key management for a wireless communication system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003259417A (en) * 2002-03-06 2003-09-12 Nec Corp Radio lan system and access control method employing it
JP2004214779A (en) * 2002-12-27 2004-07-29 Nec Corp Wireless communication system, shared key management server, and wireless terminal
JP2005033265A (en) * 2003-07-07 2005-02-03 Canon Inc Network system, network system connection method, devices constituting network system, control method for controlling them, and program
JP2010502132A (en) * 2006-08-24 2010-01-21 クゥアルコム・インコーポレイテッド System and method for key management for a wireless communication system
JP2009071707A (en) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd Key sharing method, and key distribution system

Similar Documents

Publication Publication Date Title
CN103597774B (en) The method and apparatus that machine to machine service is provided
US20230254094A1 (en) METHOD AND APPARATUS FOR MoCA NETWORK WITH PROTECTED SET-UP
US8375207B2 (en) Method and apparatus for authenticating a network device
TWI778171B (en) Method and system for connecting network hotspot devices to network devices to be distributed
KR101528855B1 (en) Method and apparatus for managing authentication information in a home network
TW201919363A (en) Method and system for quantum key distribution and data processing
JP5364796B2 (en) Encryption information transmission terminal
CN108141755A (en) The method and apparatus established for direct communication key
CN111527762A (en) System and method for end-to-end secure communication in a device-to-device communication network
US20140019757A1 (en) Authentication method and system
CN108781110B (en) System and method for relaying data over a communication network
US20230107045A1 (en) Method and system for self-onboarding of iot devices
CN104683343B (en) A kind of method of terminal quick registration Wi-Fi hotspot
CN106576101B (en) Systems and methods for managing secure communications in an ad hoc network
CN104541489B (en) For method, communication network, program and the computer program product of the network node for configuring communication network
JP4824086B2 (en) Authentication method for wireless distributed system
JP2016053967A (en) Relay device, radio communication system, and radio communication method
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
WO2015157947A1 (en) Software defined network based networking method and device
JP2015162880A (en) Communication system management device, information processing terminal, and communication system
CN113194471A (en) Wireless network access method, device and terminal based on block chain network
JP2015233180A (en) Network system, communication control device, and communication device
JP2015177453A (en) Authentication system, electronic apparatus, method for renewing certificate, and program
US20250106009A1 (en) Group-Based Network Access Management
US20250106629A1 (en) Group-Based Network Access Via Network Device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170711

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180213