デバイス組分け及び組分けデバイス同士の会話を実現する方法
本発明は、デバイス組分け及び組分けデバイス同士の会話を実現する方法であって、ネットワークにおいてデバイスグループを作成するデバイスが、自身の属しているデバイスグループの識別子情報を搭載した宣言メッセージをネットワークに送信し、該当するデバイスグループに加入必要なネットワークデバイスが、宣言メッセージを受信してから宣言メッセージに識別されたデバイスグループに加入し、二つのネットワークデバイスが会話するときに、当該方法は、発起デバイスがアクセス先デバイスにアクセス要求を送信し、アクセス要求を受信したデバイスが、アクセス要求を送信するデバイスが自分の信頼しているデバイスであるか否かを判断し、信頼のデバイスであれば両方が会話し、信頼のデバイスでなければ、当該アクセス要求を拒否し、発起デバイスと共通の信頼可能な第三者を確定し、発起デバイスが、確定された共通信頼可能な第三者からアクセス先デバイスの鍵情報を取得し、取得された鍵情報を利用してアクセス先デバイスと会話する。当該方法は、デバイス管理を便利にするとともに、同じデバイスの異なるグループに対する加入をサポートし、任意デバイス同士の安全認証に基づく通信会話を可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、デバイス管理技術に関し、特にネットワークにおけるデバイスを組分けて組分けデバイス同士の会話を実現する方法に関する。
【背景技術】
【0002】
現在、多くのネットワークでは、同じタイプの、又は共通特徴を持つデバイスを管理するために、通常、ネットワークにおけるデバイスを、ある特性、例えばデバイスアドレス、提供するサービスに従って組分けする。
【0003】
しかしながら、従来のデバイス組分け管理には、下記のような欠陥がある。1)同一デバイスは異なる身元として複数のグループに加入することができず、あるデバイスがあるグループに配分されると、その身元が固定されてしまう。2)同一グループ内または異なるグループ間の任意の二つのデバイス同士は信頼関係がないが、現在で需要となる業務が安全認証の提供も請求する場合、両デバイス同士は通信することができず、両デバイス同士は資源共有を実現することができなくなる。
【0004】
したがって、従来技術におけるデバイス組分け方案は、デバイス同士での柔軟な会話を提供できず、任意の二つのデバイス同士の安全通信と資源共有も保証できなくなる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
前記の事情に鑑みて、本発明は、デバイス管理を便利にするとともに、同一デバイスが異なるグループに加入することをサポートし、任意デバイス同士の安全認証に基づく通信会話を可能にする、デバイス組分け及び組分けデバイス同士の会話を実現する方法を提供することを主たる目的とする。
【課題を解決するための手段】
【0006】
前記の目的を達成するために、本発明の技術方案は下記のようになる。
【0007】
デバイス組分け及び組分けデバイス同士の会話を実現する方法であって、ネットワークにおいてデバイスグループを作成するデバイスが、自身の属しているデバイスグループの識別子情報を搭載した宣言メッセージをネットワークに送信し、該当するデバイスグループに加入必要なネットワークデバイスが、宣言メッセージを受信してから該当宣言メッセージに識別されたデバイスグループに加入し、二つのネットワークデバイスが会話するときに、当該方法は、
発起デバイスがアクセス先デバイスにアクセス要求を送信し、
アクセス要求を受信したデバイスが、アクセス要求を送信するデバイスが自分の信頼しているデバイスであるか否かを判断し、
信頼のデバイスであれば両方が会話し、信頼のデバイスでなければ、アクセス先デバイスが発起デバイスのアクセス要求を直接拒否し、又は発起デバイスと共通の信頼可能な第三者を確定して、発起デバイスが、確定された共通信頼可能な第三者からアクセス先デバイスの鍵情報を取得し、取得された鍵情報を利用してアクセス先デバイスと会話することを主旨とする方法である。
【0008】
前記の方案では、前記デバイスグループが対等デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、自身デバイスグループ識別子に宣言メッセージの搭載したデバイスグループ識別子を追加するものである。
【0009】
前記の方案では、前記デバイスグループが主従デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、加入しようとするデバイスグループにおける主デバイスに加入要求を送信し、主デバイスが、予め設置された情報に基づいて現在の要求しているデバイスの加入を許可するかどうかを判断し、許可結果を搭載した応答メッセージを現在の要求しているデバイスに返答するものである。但し、前記応答メッセージにおける許可結果が加入拒否であれば、当該メッセージには、拒否原因の情報をさらに搭載している。
【0010】
前記の方案では、前記アクセス先デバイスは主従デバイスグループに属し、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、発起デバイスが、自身がアクセス先デバイスと同じ主従デバイスグループに属しているか否かを判断し、同じ主従デバイスグループであれば、主デバイスを共通信頼可能な第三者とし、同じ主従デバイスグループでなければ、発起デバイスが従デバイスとして、アクセス先デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする。
【0011】
前記の方案では、前記発起デバイスが主従デバイスグループに属し、且つアクセス先デバイスが対等デバイスグループに属し、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、アクセス先デバイスが、従デバイスとして発起デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする。
【0012】
前記の方案では、発起デバイス又はアクセス先デバイスが新しい主従デバイスグループに加入する前に、さらに、発起デバイス又はアクセス先デバイスは、相手デバイスから相手デバイスの記述情報を取得するステップを含む。
【0013】
前記の方案では、前記発起デバイスとアクセス先デバイスが、すべて対等デバイスグループに属していれば、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、発起デバイスが、自身の全ての信頼可能な第三者をアクセス先デバイスに通知し、アクセス先デバイスが、発起デバイスの全ての信頼可能な第三者のうち自身と同じ信頼可能な第三者が存在しているか否かを判断し、存在していれば、一つを選択して共通信頼可能な第三者と確定する。
【0014】
発起デバイスは、アクセス先デバイスの鍵情報を取得した後、鍵情報をアクセス先デバイスに送信するステップをさらに含む。
【0015】
前記の方案では、発起デバイスは、共通信頼可能な第三者と発起デバイスとの共用鍵によって暗号化された暗号鍵、及び共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵を、共通信頼可能な第三者から同時に取得し、そして、共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵をアクセス先デバイスに送信する。
【0016】
本発明に提供されているデバイス組分け及び組分けデバイス同士の会話を実現する方法は、従来のネットワークシステム構造基礎の上で、PC、ノートPC、PDA、プリンタ、プロジェクター、テレビ、携帯電話などのデバイスを組分けにして管理する。通信又は資源共用が必要な二つのデバイスが同じグループに属していない場合、何れかのデバイスを他のデバイスが属しているグループに加入させ、二つのグループ間の会話を一つのグループ内部での会話とし、組分けデバイス同士の通信会話と資源共用に柔軟なメカニズムを提供する。また、通信又はサービスコーリングが必要な二つのデバイス同士が信頼関係がない場合、両デバイスは、両方とも信頼可能な第三者を探して、第三者による安全認証に通じて両デバイス同士での通信会話を構築すればよい。
【0017】
前記の異なる身元として異なるデバイスグループに加入する方案、及び第三者による認証を通じて任意デバイス間の安全通信を実現する方案は、同時に会話する必要な任意数のデバイスに適用することができる。言い換えれば、本発明は、ユーザの異なる需要に応じて、集中管理需要のない自己組織ネットワーク又は集中管理需要のあるネットワーク構造を形成して、任意の組分けデバイス同士の安全通信と資源共用を実現できる、デバイスグループの作成及び管理の方法を提供する。
【発明を実施するための最良の形態】
【0018】
本発明は、ネットワークにおけるデバイスを、あるルールに従って、異なる論理構成を有するデバイスグループに分けている。例えば、対等構成のデバイスグループ又は主従構成のデバイスグループを作成する。それぞれのデバイスグループでは、デバイスの服従しているルール、デバイス同士の会話方法、及びデバイス間の関係の何れかが異なるものであり、異なるネットワークデバイス管理需要を満足する。本発明は、デバイスグループをデバイス管理メカニズムとし、デバイスグループのデバイスに対する管理作用は、以下のアスペクトに表現される。
【0019】
1)デバイスグループは、対外的にデバイスの集合として表現され、一つの整体となる。デバイスグループにおけるデバイス同士は、異なる協同会話ルールに従って、ある機能を共通に外へ提供し、グループ内のデバイスの協同実現する機能をデバイスグループの記述によってネットワークに宣言し、ユーザは、対応するデバイスグループをサーチすることで、所望の機能を獲得することができる。
【0020】
2)デバイスグループにおけるあるデバイスは、当該デバイスグループにおける他のデバイスとグループ外とが連絡するためのインタフェースとして機能する。
【0021】
3)デバイスグループにおけるあるデバイスは、当該デバイスグループにおけるすべてのデバイスの信頼可能な第三者として機能して、グループ内のデバイス同士の会話に安全サポートを提供する。
【0022】
本発明においては、主に二つのタイプのデバイス組分けを提供する。一つは対等デバイスグループであり、もう一つは主従デバイスグループであり、各デバイスグループは唯一のデバイスグループ識別子を有する。ここで、対等デバイスグループとは、グループ内の各デバイスが対等関係を有するデバイスグループであり、対等デバイスグループにおける任意の二つデバイス同士の会話は直接的なものであり、他のデバイスの制御が必要ではない。その主たる目的はデバイスを組分け管理することにあり、対等デバイスグループに加入したいデバイスは、如何なる身元認証プロセスが必要とせず、デバイスにおけるデバイスグループ識別子をターゲットデバイスグループの識別子に設置すればよい。対等デバイスグループは、存続周期内に、ネットワークにおける他のデバイスに発見されるように、間断しなくて自分の情報をネットワークに宣言すべきであり、当該宣言を発起するデバイスは、当該対等デバイスグループを作成するデバイスであってもよい。
【0023】
主従デバイスグループとは、グループ内に一つの主デバイスがあるデバイスグループであり、主デバイスは、デバイスグループの作成、解散を管理し従デバイスの加入を制御し、当該デバイスグループ内の全てのデバイス及びデバイスにおける資源を管理するための情報を取得できる。主従デバイスグループは、存続周期内に、ネットワークにおける他のデバイスに発見されるために、間断しなくて自分の情報をネットワークに宣言すべきであり、当該宣言を発起するデバイスは、当該デバイスグループの主デバイスであってもよい。
【0024】
あるデバイスが何れかのデバイスグループに加入していない場合には、デバイス同士の会話が対等なものである。当該デバイスは、ネットワークにおけるあるデバイスグループ内又は/及びデバイスグループ外にある他のデバイス、並びに現在存在している対等及び主従デバイスグループを発見できる。1つのデバイスは需要に応じて、1つや複数の対等及び/又は主従デバイスグループに加入することができる。
【0025】
本発明は、デバイスグループという概念を提出すると、デバイスグループ作成、デバイスグループ解散、デバイスグループ宣言及びデバイスグループ内又はグループ間でのデバイス会話などのフローに関する。ここで、デバイスグループ作成及び宣言のプロセスは、図1,2に示すように、図1は対等デバイスグループの作成プロセスを示し、図2は主従デバイスグループの作成プロセスを示す。あるデバイスは、まず一つの対等又は主従デバイスグループを作成し、その後、当該デバイスグループはネットワークに対してデバイスグループ宣言を行い、デバイスグループ宣言を受信したデバイスは、自身パラメータの設置又は要求の送信の方式によって所望のデバイスグループに随時加入することができる。
【0026】
ネットワークにおける何れかのデバイスは、対等デバイスグループを作成でき、対等デバイスグループの作成識別子は、ネットワークにおいて当該デバイスグループ識別子を含む宣言メッセージが存在し続けることであり、当該宣言メッセージは、当該デバイスグループを作成するデバイスによって送信されてもよい。これによって、他のデバイスは、当該デバイスグループ宣言を受信した後、当該対等デバイスグループに加入するかどうかを決定できる。
【0027】
対等デバイスグループの特徴は、当該デバイスグループに加入するデバイスが如何なる身元認証とも必要とされないので、あるデバイスは、ある対等デバイスグループに加入し試みる場合、本デバイスにおけるデバイスグループ識別子を現在加入したいデバイスグループの識別子に設置するすればよい。あるデバイスは、複数の異なる対等デバイスグループに同時加入すれば、複数のデバイスグループ識別子を同時に設置することになる。実際の操作では、対等デバイス毎に一つのデバイスグループ識別子リストが設置され、当該対等デバイスが一つの対等デバイスグループに加入する度に、デバイスグループ識別子リストに一つの記録が追加される。
【0028】
図1に示すように、ネットワークにおいてデバイス11、デバイス12及びデバイス13の三つのデバイスが存在することを仮定する。まず、デバイス11は一つの対等デバイスグループを作成し、その後、デバイス11は、本デバイスグループの宣言メッセージをネットワークにおけるデバイス12とデバイス13とに送信し、デバイス12とデバイス13は、宣言メッセージを受信した後、当該対等デバイスグループに加入しようとすれば、自身のパラメータを配置する。ここで、対等デバイスグループ宣言メッセージの構造は、表1のようになる。
【0029】
【表1】
【0030】
表1では、デバイスグループ識別子DeviceGropuIdが一つのデバイスグループを一義的に識別し、対等デバイスグループの宣言メッセージには、デバイスグループタイプDeviceGroupTypeが対等デバイスグループとなる。表1において、デバイスグループ識別子及びデバイスグループ名称は、該対等デバイスグループを作成するデバイス自己から生成され、例えば存在したアルゴリズムによってデバイスグループ識別子が生成され、或はローカルMACアドレス+デバイスグループ作成時間を直接で簡単にデバイスグループ識別子とされる。デバイスグループ宣言有効時間は、対等デバイスグループを作成するデバイスによって決定され、該有効時間は随時に更新されてもよい。
【0031】
対等デバイスグループ内の各デバイス間のアクセスセキュリティは、各デバイス自身で保証され、対等デバイスグループ外のデバイスも対等デバイスグループ内のデバイスにアクセスでき、デバイスグループ外のデバイスとデバイスグループ内のデバイスとのアクセスセキュリティは、それぞれのデバイス自身で保証される。
【0032】
主従デバイスグループでは、ネットワークにおける何れかのデバイスは一つの主従デバイスグループを作成でき、主従デバイスグループの作成識別子は、ネットワークにおいて当該デバイスグループ識別子を含む宣言メッセージが存在し続けることであり、当該宣言メッセージは、当該デバイスグループを作成するデバイスによって送信されてもよい。当該デバイスは主従デバイスグループの主デバイスとして機能し、他のデバイスは当該宣言メッセージを受信した後、当該主従デバイスグループに加入するかどうかを決定できる。ここで、主従デバイスグループ宣言メッセージの構成は表2に示すようになる。
【0033】
【表2】
【0034】
あるデバイスが、ある主従デバイスグループに加入し試みる場合、当該デバイスは、デバイスグループに加入する要求を当該主従デバイスグループの主デバイスに発起すべきであり、二つのデバイスが互いに身元認証を行った後、主デバイスは、デバイスグループに加入する授権検査に応じて、当該デバイスのデバイスグループに加入する要求を許可又は拒否し、加入が許可されたか否かという結果を、要求を発起するデバイスに送信する。許可されれば、該当するデバイスは従デバイスとして当該主従デバイスグループに加入し、従デバイスは該当するデバイスグループ識別子を自身に追加し、主デバイスは該当する従デバイスの関連情報も記録する。ここで、デバイスグループ加入要求メッセージとデバイスグループ加入応答メッセージの構成は、それぞれ表3と表4に示すようになる。
【0035】
【表3】
【0036】
【表4】
【0037】
図2に示すように、ネットワークにおいてデバイス21、デバイス22及びデバイス23の三つのデバイスが存在することを仮定する。この時、デバイス21は、主従デバイスグループの主デバイスとして機能し、その後、デバイス21はデバイスグループ宣言メッセージをデバイス22とデバイス23に送信し、デバイス22とデバイス23は受信された後、当該デバイスグループに加入しようとすれば、それぞれデバイスグループ加入要求をデバイス21に送信する。デバイス21は、デバイス22とデバイス23とそれぞれ身元認証を行ってから、予め設置された条件に基づいて、デバイス22とデバイス23の本デバイスグループへの加入が許可されたか否かを確定して、デバイスグループ加入応答に通じて結果をデバイス22とデバイス23に送信し、加入が拒否されれば、応答メッセージには拒否原因をさらに搭載してもよい。ここで、加入許可された全てのデバイスの識別子は、一つのリストとして構成されて主デバイスに置かれてもよい。
【0038】
主従デバイスグループにおいて、主従デバイスグループ内の各従デバイスは、すべて主デバイスを信頼可能な第三者と見なし、認証サービスが主デバイスによって提供されている。
【0039】
主従デバイスグループ外のデバイスは、主従デバイスグループ内のデバイスにアクセスでき、デバイスグループ外のデバイスとデバイスグループ内のデバイスとのアクセスセキュリティがそれぞれのデバイス自身で保証され、主従デバイスグループ内のデバイス同士が会話する場合、アクセスセキュリティは、それぞれのデバイス自身で保証されてもよく、主デバイスの提供した信頼可能な第三者による認証サービスによって保証されてもよい。ここで、信頼可能な第三者は、主デバイス自身であってもよい。
【0040】
デバイスグループの作成に対応して、デバイスグループの解散がある。対等デバイスグループの解散について、ネットワークにおいてある対等デバイスグループの宣言メッセージがない場合、当該対等デバイスグループが解散状態となり、可能な原因として、当該デバイスグループ内にデバイスが存在しないことである。通常、対等デバイスグループの宣言は、該対等デバイスグループを作成するデバイスによって行われ、この時、該対等デバイスグループの他のデバイスは本デバイスグループの宣言を行わない。該対等デバイスグループの他のデバイスは本デバイスグループの宣言が受信されない時に、一定のルールに従い、新たに本デバイスグループの宣言を行う1つのデバイスを選択する。したがって、対等デバイスグループの宣言が完全にない時に、該デバイスグループにはデバイスが存在していないことが可能である。
【0041】
主従デバイスグループの解散について、ネットワークにおいてある主従デバイスグループの宣言メッセージがない場合、当該主従デバイスグループが解散状態となり、可能な原因として、当該主従デバイスグループの主デバイスがネットワークから退出することである。主従デバイスグループの宣言は、主従デバイスグループにおける主デバイスによって行われ、当該主従デバイスグループの他のデバイスは、この時、本デバイスグループの宣言を行わなくなる。
【0042】
対等デバイスグループ内にデバイス同士の会話は、図3に示すようになる。図3に示す実施例では、対等デバイス1、対等デバイス2、及び対等デバイス3の三つの対等デバイスを備え、対等デバイス1と対等デバイス2との間には信頼関係があり、対等デバイス1と対等デバイス3との間には信頼関係が存在しない。対等デバイス1が対等デバイス2にアクセスしようとする場合に、対等デバイス1は、アクセス要求メッセージを対等デバイス2に送信し、対等デバイス2は、相手が自分の信頼したデバイスであることを発見すると、アクセスを許可する応答を対等デバイス1に返答して、両方が会話し始まり、会話プロセスにおいて、両デバイス間の安全認証は、すべて両デバイス自身で保証される。対等デバイス1が対等デバイス3にアクセスしようとする場合、対等デバイス1はアクセス要求メッセージを対等デバイス3に送信し、対等デバイス3は、相手が自分の信頼したデバイスでないと発見すると、アクセスを拒否する応答を対等デバイス1に返答する。
【0043】
二つの対等デバイスとの間には信頼関係が存在しない場合、この二つの対等デバイス同士は安全通信を実現しようとすれば、一つの信頼可能な第三者を経由してもよい。そうすると、対等デバイス1が信頼関係無しの対等デバイス2にアクセスしようとするものを例とし、この二つの対等デバイス同士が共通の信頼可能な第三者を確認するプロセスは、下記のようになる。対等デバイス1は、自分の現在持っている信頼可能な全ての第三者のデバイス情報を対等デバイス2に通知し、対等デバイス2は受信した後、その中には何れかのデバイス又はいくつのデバイスが自分の信頼可能な第三者であるか否かを判断する。信頼可能な第三者があれば、対等デバイス2は、その中から何れかを選択して共通の信頼可能な第三者とし、選択されたデバイス情報を対等デバイス1にフィードバックし、対等デバイス1は、選択された信頼可能な第三者から対等デバイス2にアクセスする授権を取得して、対等デバイス2にアクセスする。さもなければ、対等デバイス2は、失敗情報又は共通の信頼可能な第三者が見つけないことを通知する情報を、対等デバイス1に返答する。もちろん、前記の共通信頼可能な第三者を確認するプロセスには、対等デバイス1と対等デバイス2の位置を置き換えてもよい、即ち、対等デバイス2によって通知され、対等デバイス1は共通信頼可能な第三者を判断して選択することになる。
【0044】
主従デバイスグループにおいては、主デバイスが本デバイスグループにおける全ての従デバイスでの資源情報をバッファすることになり、ある従デバイスは、本グループ内の他の従デバイスでの資源情報を主デバイスから見つけることができる。主従デバイスグループ内の従デバイス同士が会話する場合、全ての従デバイスの共通信頼可能な第三者である主デバイスに提供される認証サービスに介して、元々は信頼関係がない従デバイスとの間に共通信頼可能な第三者に基づく信頼関係を構築して、任意の二つの従デバイス同士は信頼検査に通じて会話を可能にさせる。もちろん、二つのデバイスの間に主デバイス以外の共通信頼可能な第三者が存在していれば、同様にして、二つの従デバイス間の何れかの共通信頼可能な第三者を利用して信頼検査を完成して、会話を実現することができる。
【0045】
図4に示すように、主従デバイスグループにおける従デバイス41と従デバイス42との間には信頼関係がないが、共通信頼可能な第三者となる主デバイス40が存在している。そうすると、従デバイス41が従デバイス42にアクセスしようとする場合、下記のステップを含む。
【0046】
ステップ401〜402:従デバイス41は、アクセス要求を従デバイス42に発起し、従デバイス42は、従デバイス41が自分の信頼するデバイスでないと発見すると、アクセスを拒否する応答を返答する。
【0047】
ステップ403〜404:従デバイス41は、従デバイス42のデバイス記述情報を取得する要求を従デバイス42に送信し、従デバイス42は受信した後、自身のデバイス記述情報を従デバイス41に送信し、その中には自身の信頼可能な第三者の情報が含まれ、従デバイス42の記述情報の例は下記のようになる。
【0048】
<DeviceDescription>
<DeviceId>従デバイス42Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn:3rdPartyAuthenService:3rdAuthProtocol_Kerberosv5:RSA-1024:AuthenServiceProvider:主デバイス識別子:提供する認証サービス識別子:AES-128-128:MD5
</DeviceSecurityId>
</DeviceSecurityDescription>
…
ステップ405:従デバイス41は、従デバイス42のデバイス記述における、提供される信頼可能な第三者デバイスの識別子と認証サービス識別子とに基づいて、従デバイス42にアクセスする授権を取得する要求を、信頼可能な第三者デバイスの認証サービスに発起する。本実施例では、信頼可能な第三者デバイスは主デバイス40である。
【0049】
信頼可能な第三者の認証、メッセージ伝送暗号化及びメッセージ認証メカニズムに基づく認証要求メッセージの構成は、表5に示すようになる。
【0050】
【表5】
【0051】
本実施例では、表5におけるターゲットデバイス識別子は主デバイス40の識別子であり、ソースデバイス識別子はデバイス41の識別子であり、従デバイス41の識別子と従デバイス42の識別子は、それぞれ会話しようとする二つのデバイスの識別子である。
【0052】
ステップ406:主デバイス40は従デバイス41と従デバイス42とも信頼関係を持っているため、主デバイス40は、従デバイス41と従デバイス42同士が安全会話を行うための一つのメッセージ暗号鍵keyを従デバイス41に返答し、主デバイス40と従デバイス41同士が予め持っている共用暗号鍵key1によってkeyを暗号化するとともに、主デバイス40と従デバイス42同士の共用暗号鍵key2によってkeyを暗号化し、そして、二つのそれぞれ暗号化されたkeyを認証応答メッセージに通じて従デバイス41に送信する。
【0053】
信頼可能な第三者の認証、メッセージ伝送暗号化及びメッセージ認証メカニズムに基づく認証応答メッセージの構成は、表6に示すようになる。
【0054】
【表6】
【0055】
ステップ407〜409:従デバイス41は、key2によって暗号化されたkeyを従デバイス42に送信し、共通信頼可能な第三者デバイスである現在主従デバイスグループにおける主デバイス40の識別子を従デバイス42に送信し、従デバイス42は、主デバイス40の識別子に基づいて、従デバイス41がどの自身が信頼可能な第三者デバイスから鍵を取得するのかを確認でき、復号化してkeyを取得する。従デバイス42は、keyの受信が確認されたメッセージを従デバイス41に送信し、従デバイス41を信頼可能なデバイスとする。従デバイス41は、key1を復号化してkeyを取得し、keyによって要求メッセージを暗号化して従デバイス42に送信し、従デバイス42はkeyによって復号化して、応答メッセージをkeyによって暗号化して従デバイス41に返答し、従デバイス41はkeyによって復号化して、会話を完成する。
【0056】
対等デバイスグループ内の一つの対等デバイスは、それと信頼関係がない一つの主従デバイスグループにおける従デバイスと会話可能にするために、当該主従デバイスグループに自発的に加入でき、信頼可能な第三者、例えば主デバイスに介して会話を実現できる。本実施例では、対等デバイス1が従デバイス52にアクセスしようとし、対等デバイス1と従デバイス52との間に信頼関係がない。図5に示すように、その実現プロセスは下記のステップを含む。
【0057】
ステップ501〜502:対等デバイス1はアクセス要求を従デバイス52に発起し、従デバイス52は、対等デバイス1が自分の信頼するデバイスではないため、そのアクセスを拒否する応答を返答する。
【0058】
ステップ503〜504:対等デバイス1は、従デバイス52のデバイス記述情報を取得する要求を従デバイス52に送信し、従デバイス52は、自身のデバイス記述情報を対等デバイス1に送信し、その中には自身の信頼可能な第三者の情報が含まれ、従デバイス52の記述情報の例は下記のようになる。
【0059】
<DeviceDescription>
<DeviceId>従デバイス52Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn:3rdPartyAuthenService:3rdAuthProtocol_Kerberosv5:RSA-1024:AuthenServiceProvider:主デバイス識別子:提供する認証サービスの識別子:AES-128-128:MD5
</DeviceSecurityId>
</DeviceSecurityDescription>
…
ステップ505:従デバイス52にアクセス可能にするために、対等デバイス1は、従デバイス52のデバイス記述に提供された信頼可能な第三者デバイスの識別子と認証サービス識別子とに基づいて、従デバイス52が位置する主従デバイスグループにおける主デバイス50に対して、当該デバイスグループに加入する要求を発起する。本実施例では、信頼可能な第三者デバイスは主デバイス50である。
【0060】
ステップ506:対等デバイス1と主デバイス50とは、互いの信頼関係が存在しており、認証がパスしてから、主デバイス50は対等デバイス1が本デバイスグループに加入することを許可し、従デバイス51となる。
【0061】
ステップ507:従デバイス51は、従デバイス52と同じ主従デバイスグループにあるため、従デバイス51は、従デバイス52と会話する授権を主デバイス50に要求する。
【0062】
ステップ508:主デバイス50は、従デバイス51と従デバイス52とも信頼関係を持っているため、従デバイス51と従デバイス52同士が安全会話を行うための一つのメッセージ暗号鍵keyを従デバイス51に返答し、主デバイス50と従デバイス51同士が予め持っている共用暗号鍵key1によってkeyを暗号化するとともに、主デバイス50と従デバイス52同士の共用暗号鍵key2によってkeyを暗号化し、そして、二つのそれぞれ暗号化されたkeyを従デバイス51に送信する。
【0063】
ステップ509〜511:従デバイス51は、key2によって暗号化されたkeyを従デバイス52に送信し、共通信頼可能な第三者デバイスである現在主従デバイスグループにおける主デバイス50の識別子を従デバイス52に送信し、従デバイス52は、主デバイス50の識別子に基づいて、従デバイス51がどの自身の信頼可能な第三者デバイスから鍵を取得するかを確認でき、復号化してkeyを取得する。従デバイス52は、keyの受信が確認されたメッセージを従デバイス51に送信し、従デバイス51を信頼可能なデバイスとする。従デバイス51は、key1を復号化してkeyを取得し、keyによって要求メッセージを暗号化して従デバイス52に送信し、従デバイス52はkeyによって復号化して、応答メッセージをkeyによって暗号化して従デバイス51に返答し、従デバイス51はkeyによって復号化して、会話を完成する。
【0064】
従デバイス52が対等デバイス1にアクセスしようとすれば、同様に、対等デバイス1を従デバイス52の位置する主従デバイスグループに加入させ、処理プロセスはステップ501〜511での説明と類似する。
【0065】
主従デバイスグループ内の一つの主デバイス又は従デバイスは、それと信頼関係がない一つの他の主従デバイスグループにおける従デバイスと会話可能にするために、当該主従デバイスグループに自発的に加入でき、信頼可能な第三者、例えば主デバイスに介して会話を実現できる。本実施例では、従デバイス1'が主従デバイスグループAに属し、従デバイス62が主従デバイスグループBに属し、従デバイス1'が従デバイス62にアクセスしようとし、従デバイス1'と従デバイス62との間に信頼関係がない。図6に示すように、その実現プロセスは下記のステップを含む。
【0066】
ステップ601〜602:従デバイス1'はアクセス要求を従デバイス62に発起し、従デバイス62は、従デバイス1'が自分の信頼するデバイスではないため、そのアクセスを拒否する応答を返答する。
【0067】
ステップ603〜604:従デバイス1'は、従デバイス62のデバイス記述情報を取得する要求を従デバイス62に送信し、従デバイス62は、自身のデバイス記述情報を従デバイス1'に送信し、その中には自身の信頼可能な第三者の情報が含まれ、従デバイス62の記述情報の例は下記のようになる。
【0068】
<DeviceDescription>
<DeviceId>従デバイス62Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn:3rdPartyAuthenService:3rdAuthProtocol_Kerberosv5:RSA-1024:AuthenServiceProvider:主デバイス識別子:提供する認証サービスの識別子:AES-128-128:MD5
</DeviceSecurityId>
</DeviceSecurityDescription>
…
ステップ605:従デバイス62にアクセス可能にするために、従デバイス1'は、従デバイス62のデバイス記述に提供された信頼可能な第三者デバイスの識別子と認証サービス識別子とに基づいて、従デバイス62の位置する主従デバイスグループBにおける主デバイス60に対して、当該主従デバイスグループに加入する要求を発起する。本実施例では、信頼可能な第三者デバイスは主従デバイスグループBにおける主デバイス60である。
【0069】
ステップ606:従デバイス1'と主デバイス60とは、互いの信頼関係が存在しており、認証がパスしてから、主デバイス60は従デバイス1'が本デバイスグループに加入することを許可し、主従デバイスグループBにおける従デバイス61となる。
ステップ607〜608:主デバイス60は、従デバイス61と従デバイス62とも信頼関係を持っているため、従デバイス61と従デバイス62同士が安全会話を行うための一つのメッセージ暗号鍵keyを従デバイス61に返答し、主デバイス60と従デバイス61とが予め持っている共用暗号鍵key1によってkeyを暗号化するとともに、主デバイス60と従デバイス62との共用暗号鍵key2によってkeyを暗号化し、そして、二つのそれぞれ暗号化されたkeyを従デバイス61に送信する。
【0070】
ステップ609〜611:従デバイス61は、key2によって暗号化されたkeyを従デバイス62に送信し、共通信頼可能な第三者デバイスである現在主従デバイスグループにおける主デバイス60の識別子を従デバイス62に送信し、従デバイス62は、主デバイス60の識別子に基づいて、従デバイス61がどの自身の信頼可能な第三者デバイスから鍵を取得するかを確認でき、復号化してkeyを取得する。従デバイス62は、keyの受信が確認されたメッセージを従デバイス61に送信し、従デバイス61を信頼可能なデバイスとする。従デバイス61は、key1を復号化してkeyを取得し、keyによって要求メッセージを暗号化して従デバイス62に送信し、従デバイス62はkeyによって復号化して、応答メッセージをkeyによって暗号化して従デバイス61に返答し、従デバイス61はkeyによって復号化して、会話を完成する。
【0071】
図7は、本発明に係る方法の具体応用実例であり、図7に示すように、ノートPC、プロジェクター及びプリンタであるネットワークにおける三つのデバイスは、一つのデバイスグループAを構成し、当該デバイスグループは、受信されたテクストや画像情報を大きいスクリーンに表示し印刷する機能を提供できる。当該デバイスグループは、会議室又は家庭に存在する可能であり、主従デバイスグループであってもよく、対等デバイスグループであってもよい。ここで、主従デバイスグループを例として説明する。
【0072】
主従デバイスグループAが既に作成されたので、ネットワークにおいて主従デバイスグループAの宣言メッセージが存在し続け、これと同時に、当該主従デバイスグループAは、自身の提供している機能をマルチキャスト又はブロードキャスト方式によってネットワークに宣言することになる。例えば、当該主従デバイスグループAの入力インタフェースパラメータを宣言メッセージに搭載して、当該主従デバイスグループAは入力テキスト/JPEG画像を表示し印刷できることを表す。
【0073】
当該主従デバイスグループAにおける入力インタフェースは、ノートPCでの一つのプログラムによって実現し、出力は、ノートPCでの他のプログラムによってプロジェクターとプリンタが制御されることで実現する。ノートPC、プロジェクター及びプリンタ間の会話は、デバイスグループ内部の会話に属し、グループ外のデバイスが探知できない。当該主従デバイスグループ内部において、ノートPC、プロジェクター及びプリンタの三つのデバイス同士は、HTTPプロトコルに従って互いに通信し、但し、ノートPCはHTTP Server側、プロジェクター及びプリンタはHTTP Client側としてそれぞれ機能する。
【0074】
携帯電話は対等デバイスであり、その撮影した内容を投影して表示し、共用し写真として印刷したいものである。即ち、携帯電話は主従デバイスグループAにアクセスする必要がある。本実施例に用いられる携帯電話がブルートゥース携帯電話であるので、図7におけるプロクシ(Proxy)は、ブルートゥースからイーサネットプロトコルまでの転換を実現するために用いられる。
【0075】
携帯電話は、マルチキャストをセンシングすることで主従デバイスグループAの入力インタフェース及び当該インタフェースの位置するデバイスを取得した後、当該デバイスに対するコーリングを当該デバイスに発起する。具体的には、携帯電話がノートPCにコーリングを発起し、HTTP POSTを介して撮影した写真を、ノートPCに入力インタフェースとして機能するアプリケーションがセンシングしているアドレスポートに送信する。ノートPCでの入力インタフェイスとして機能するプログラムは、そのセンシングしているアドレスポートを介して写真を受信した後、HTTP GET命令を使用して指定されたJPEG写真を取得し表示することを、制御命令によってプロジェクターに要求するとともに、HTTP GET命令を使用して指定されたJPEG写真を取得しプリントすることを、制御命令によってプリンタに要求する。
【0076】
本実施例では、携帯電話とノートPCとの間に信頼関係がなければ、携帯電話がまず主従デバイスグループに加入して、さらに従デバイスの身元としてノートPCと会話することになる。
【0077】
以上、あくまで本発明の好ましい実施例であり、本発明の保護範囲を限定するものではない。
【図面の簡単な説明】
【0078】
【図1】対等デバイスグループの作成プロセスを示す図である。
【図2】主従デバイスグループの作成プロセスを示す図である。
【図3】対等デバイスグループ内にデバイス同士の会話の実施例を示す図である。
【図4】主従デバイスグループ内にデバイス同士の会話の実施例を示す図である。
【図5】任意の二つのデバイスが信頼可能な第三者を通じて会話する一実施例を示す図である。
【図6】任意の二つのデバイスが信頼可能な第三者を通じて会話する他の一実施例を示す図である。
【図7】本発明方法の一具体的応用実施例を示す図である。
【技術分野】
【0001】
本発明は、デバイス管理技術に関し、特にネットワークにおけるデバイスを組分けて組分けデバイス同士の会話を実現する方法に関する。
【背景技術】
【0002】
現在、多くのネットワークでは、同じタイプの、又は共通特徴を持つデバイスを管理するために、通常、ネットワークにおけるデバイスを、ある特性、例えばデバイスアドレス、提供するサービスに従って組分けする。
【0003】
しかしながら、従来のデバイス組分け管理には、下記のような欠陥がある。1)同一デバイスは異なる身元として複数のグループに加入することができず、あるデバイスがあるグループに配分されると、その身元が固定されてしまう。2)同一グループ内または異なるグループ間の任意の二つのデバイス同士は信頼関係がないが、現在で需要となる業務が安全認証の提供も請求する場合、両デバイス同士は通信することができず、両デバイス同士は資源共有を実現することができなくなる。
【0004】
したがって、従来技術におけるデバイス組分け方案は、デバイス同士での柔軟な会話を提供できず、任意の二つのデバイス同士の安全通信と資源共有も保証できなくなる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
前記の事情に鑑みて、本発明は、デバイス管理を便利にするとともに、同一デバイスが異なるグループに加入することをサポートし、任意デバイス同士の安全認証に基づく通信会話を可能にする、デバイス組分け及び組分けデバイス同士の会話を実現する方法を提供することを主たる目的とする。
【課題を解決するための手段】
【0006】
前記の目的を達成するために、本発明の技術方案は下記のようになる。
【0007】
デバイス組分け及び組分けデバイス同士の会話を実現する方法であって、ネットワークにおいてデバイスグループを作成するデバイスが、自身の属しているデバイスグループの識別子情報を搭載した宣言メッセージをネットワークに送信し、該当するデバイスグループに加入必要なネットワークデバイスが、宣言メッセージを受信してから該当宣言メッセージに識別されたデバイスグループに加入し、二つのネットワークデバイスが会話するときに、当該方法は、
発起デバイスがアクセス先デバイスにアクセス要求を送信し、
アクセス要求を受信したデバイスが、アクセス要求を送信するデバイスが自分の信頼しているデバイスであるか否かを判断し、
信頼のデバイスであれば両方が会話し、信頼のデバイスでなければ、アクセス先デバイスが発起デバイスのアクセス要求を直接拒否し、又は発起デバイスと共通の信頼可能な第三者を確定して、発起デバイスが、確定された共通信頼可能な第三者からアクセス先デバイスの鍵情報を取得し、取得された鍵情報を利用してアクセス先デバイスと会話することを主旨とする方法である。
【0008】
前記の方案では、前記デバイスグループが対等デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、自身デバイスグループ識別子に宣言メッセージの搭載したデバイスグループ識別子を追加するものである。
【0009】
前記の方案では、前記デバイスグループが主従デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、加入しようとするデバイスグループにおける主デバイスに加入要求を送信し、主デバイスが、予め設置された情報に基づいて現在の要求しているデバイスの加入を許可するかどうかを判断し、許可結果を搭載した応答メッセージを現在の要求しているデバイスに返答するものである。但し、前記応答メッセージにおける許可結果が加入拒否であれば、当該メッセージには、拒否原因の情報をさらに搭載している。
【0010】
前記の方案では、前記アクセス先デバイスは主従デバイスグループに属し、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、発起デバイスが、自身がアクセス先デバイスと同じ主従デバイスグループに属しているか否かを判断し、同じ主従デバイスグループであれば、主デバイスを共通信頼可能な第三者とし、同じ主従デバイスグループでなければ、発起デバイスが従デバイスとして、アクセス先デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする。
【0011】
前記の方案では、前記発起デバイスが主従デバイスグループに属し、且つアクセス先デバイスが対等デバイスグループに属し、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、アクセス先デバイスが、従デバイスとして発起デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする。
【0012】
前記の方案では、発起デバイス又はアクセス先デバイスが新しい主従デバイスグループに加入する前に、さらに、発起デバイス又はアクセス先デバイスは、相手デバイスから相手デバイスの記述情報を取得するステップを含む。
【0013】
前記の方案では、前記発起デバイスとアクセス先デバイスが、すべて対等デバイスグループに属していれば、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、発起デバイスが、自身の全ての信頼可能な第三者をアクセス先デバイスに通知し、アクセス先デバイスが、発起デバイスの全ての信頼可能な第三者のうち自身と同じ信頼可能な第三者が存在しているか否かを判断し、存在していれば、一つを選択して共通信頼可能な第三者と確定する。
【0014】
発起デバイスは、アクセス先デバイスの鍵情報を取得した後、鍵情報をアクセス先デバイスに送信するステップをさらに含む。
【0015】
前記の方案では、発起デバイスは、共通信頼可能な第三者と発起デバイスとの共用鍵によって暗号化された暗号鍵、及び共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵を、共通信頼可能な第三者から同時に取得し、そして、共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵をアクセス先デバイスに送信する。
【0016】
本発明に提供されているデバイス組分け及び組分けデバイス同士の会話を実現する方法は、従来のネットワークシステム構造基礎の上で、PC、ノートPC、PDA、プリンタ、プロジェクター、テレビ、携帯電話などのデバイスを組分けにして管理する。通信又は資源共用が必要な二つのデバイスが同じグループに属していない場合、何れかのデバイスを他のデバイスが属しているグループに加入させ、二つのグループ間の会話を一つのグループ内部での会話とし、組分けデバイス同士の通信会話と資源共用に柔軟なメカニズムを提供する。また、通信又はサービスコーリングが必要な二つのデバイス同士が信頼関係がない場合、両デバイスは、両方とも信頼可能な第三者を探して、第三者による安全認証に通じて両デバイス同士での通信会話を構築すればよい。
【0017】
前記の異なる身元として異なるデバイスグループに加入する方案、及び第三者による認証を通じて任意デバイス間の安全通信を実現する方案は、同時に会話する必要な任意数のデバイスに適用することができる。言い換えれば、本発明は、ユーザの異なる需要に応じて、集中管理需要のない自己組織ネットワーク又は集中管理需要のあるネットワーク構造を形成して、任意の組分けデバイス同士の安全通信と資源共用を実現できる、デバイスグループの作成及び管理の方法を提供する。
【発明を実施するための最良の形態】
【0018】
本発明は、ネットワークにおけるデバイスを、あるルールに従って、異なる論理構成を有するデバイスグループに分けている。例えば、対等構成のデバイスグループ又は主従構成のデバイスグループを作成する。それぞれのデバイスグループでは、デバイスの服従しているルール、デバイス同士の会話方法、及びデバイス間の関係の何れかが異なるものであり、異なるネットワークデバイス管理需要を満足する。本発明は、デバイスグループをデバイス管理メカニズムとし、デバイスグループのデバイスに対する管理作用は、以下のアスペクトに表現される。
【0019】
1)デバイスグループは、対外的にデバイスの集合として表現され、一つの整体となる。デバイスグループにおけるデバイス同士は、異なる協同会話ルールに従って、ある機能を共通に外へ提供し、グループ内のデバイスの協同実現する機能をデバイスグループの記述によってネットワークに宣言し、ユーザは、対応するデバイスグループをサーチすることで、所望の機能を獲得することができる。
【0020】
2)デバイスグループにおけるあるデバイスは、当該デバイスグループにおける他のデバイスとグループ外とが連絡するためのインタフェースとして機能する。
【0021】
3)デバイスグループにおけるあるデバイスは、当該デバイスグループにおけるすべてのデバイスの信頼可能な第三者として機能して、グループ内のデバイス同士の会話に安全サポートを提供する。
【0022】
本発明においては、主に二つのタイプのデバイス組分けを提供する。一つは対等デバイスグループであり、もう一つは主従デバイスグループであり、各デバイスグループは唯一のデバイスグループ識別子を有する。ここで、対等デバイスグループとは、グループ内の各デバイスが対等関係を有するデバイスグループであり、対等デバイスグループにおける任意の二つデバイス同士の会話は直接的なものであり、他のデバイスの制御が必要ではない。その主たる目的はデバイスを組分け管理することにあり、対等デバイスグループに加入したいデバイスは、如何なる身元認証プロセスが必要とせず、デバイスにおけるデバイスグループ識別子をターゲットデバイスグループの識別子に設置すればよい。対等デバイスグループは、存続周期内に、ネットワークにおける他のデバイスに発見されるように、間断しなくて自分の情報をネットワークに宣言すべきであり、当該宣言を発起するデバイスは、当該対等デバイスグループを作成するデバイスであってもよい。
【0023】
主従デバイスグループとは、グループ内に一つの主デバイスがあるデバイスグループであり、主デバイスは、デバイスグループの作成、解散を管理し従デバイスの加入を制御し、当該デバイスグループ内の全てのデバイス及びデバイスにおける資源を管理するための情報を取得できる。主従デバイスグループは、存続周期内に、ネットワークにおける他のデバイスに発見されるために、間断しなくて自分の情報をネットワークに宣言すべきであり、当該宣言を発起するデバイスは、当該デバイスグループの主デバイスであってもよい。
【0024】
あるデバイスが何れかのデバイスグループに加入していない場合には、デバイス同士の会話が対等なものである。当該デバイスは、ネットワークにおけるあるデバイスグループ内又は/及びデバイスグループ外にある他のデバイス、並びに現在存在している対等及び主従デバイスグループを発見できる。1つのデバイスは需要に応じて、1つや複数の対等及び/又は主従デバイスグループに加入することができる。
【0025】
本発明は、デバイスグループという概念を提出すると、デバイスグループ作成、デバイスグループ解散、デバイスグループ宣言及びデバイスグループ内又はグループ間でのデバイス会話などのフローに関する。ここで、デバイスグループ作成及び宣言のプロセスは、図1,2に示すように、図1は対等デバイスグループの作成プロセスを示し、図2は主従デバイスグループの作成プロセスを示す。あるデバイスは、まず一つの対等又は主従デバイスグループを作成し、その後、当該デバイスグループはネットワークに対してデバイスグループ宣言を行い、デバイスグループ宣言を受信したデバイスは、自身パラメータの設置又は要求の送信の方式によって所望のデバイスグループに随時加入することができる。
【0026】
ネットワークにおける何れかのデバイスは、対等デバイスグループを作成でき、対等デバイスグループの作成識別子は、ネットワークにおいて当該デバイスグループ識別子を含む宣言メッセージが存在し続けることであり、当該宣言メッセージは、当該デバイスグループを作成するデバイスによって送信されてもよい。これによって、他のデバイスは、当該デバイスグループ宣言を受信した後、当該対等デバイスグループに加入するかどうかを決定できる。
【0027】
対等デバイスグループの特徴は、当該デバイスグループに加入するデバイスが如何なる身元認証とも必要とされないので、あるデバイスは、ある対等デバイスグループに加入し試みる場合、本デバイスにおけるデバイスグループ識別子を現在加入したいデバイスグループの識別子に設置するすればよい。あるデバイスは、複数の異なる対等デバイスグループに同時加入すれば、複数のデバイスグループ識別子を同時に設置することになる。実際の操作では、対等デバイス毎に一つのデバイスグループ識別子リストが設置され、当該対等デバイスが一つの対等デバイスグループに加入する度に、デバイスグループ識別子リストに一つの記録が追加される。
【0028】
図1に示すように、ネットワークにおいてデバイス11、デバイス12及びデバイス13の三つのデバイスが存在することを仮定する。まず、デバイス11は一つの対等デバイスグループを作成し、その後、デバイス11は、本デバイスグループの宣言メッセージをネットワークにおけるデバイス12とデバイス13とに送信し、デバイス12とデバイス13は、宣言メッセージを受信した後、当該対等デバイスグループに加入しようとすれば、自身のパラメータを配置する。ここで、対等デバイスグループ宣言メッセージの構造は、表1のようになる。
【0029】
【表1】
【0030】
表1では、デバイスグループ識別子DeviceGropuIdが一つのデバイスグループを一義的に識別し、対等デバイスグループの宣言メッセージには、デバイスグループタイプDeviceGroupTypeが対等デバイスグループとなる。表1において、デバイスグループ識別子及びデバイスグループ名称は、該対等デバイスグループを作成するデバイス自己から生成され、例えば存在したアルゴリズムによってデバイスグループ識別子が生成され、或はローカルMACアドレス+デバイスグループ作成時間を直接で簡単にデバイスグループ識別子とされる。デバイスグループ宣言有効時間は、対等デバイスグループを作成するデバイスによって決定され、該有効時間は随時に更新されてもよい。
【0031】
対等デバイスグループ内の各デバイス間のアクセスセキュリティは、各デバイス自身で保証され、対等デバイスグループ外のデバイスも対等デバイスグループ内のデバイスにアクセスでき、デバイスグループ外のデバイスとデバイスグループ内のデバイスとのアクセスセキュリティは、それぞれのデバイス自身で保証される。
【0032】
主従デバイスグループでは、ネットワークにおける何れかのデバイスは一つの主従デバイスグループを作成でき、主従デバイスグループの作成識別子は、ネットワークにおいて当該デバイスグループ識別子を含む宣言メッセージが存在し続けることであり、当該宣言メッセージは、当該デバイスグループを作成するデバイスによって送信されてもよい。当該デバイスは主従デバイスグループの主デバイスとして機能し、他のデバイスは当該宣言メッセージを受信した後、当該主従デバイスグループに加入するかどうかを決定できる。ここで、主従デバイスグループ宣言メッセージの構成は表2に示すようになる。
【0033】
【表2】
【0034】
あるデバイスが、ある主従デバイスグループに加入し試みる場合、当該デバイスは、デバイスグループに加入する要求を当該主従デバイスグループの主デバイスに発起すべきであり、二つのデバイスが互いに身元認証を行った後、主デバイスは、デバイスグループに加入する授権検査に応じて、当該デバイスのデバイスグループに加入する要求を許可又は拒否し、加入が許可されたか否かという結果を、要求を発起するデバイスに送信する。許可されれば、該当するデバイスは従デバイスとして当該主従デバイスグループに加入し、従デバイスは該当するデバイスグループ識別子を自身に追加し、主デバイスは該当する従デバイスの関連情報も記録する。ここで、デバイスグループ加入要求メッセージとデバイスグループ加入応答メッセージの構成は、それぞれ表3と表4に示すようになる。
【0035】
【表3】
【0036】
【表4】
【0037】
図2に示すように、ネットワークにおいてデバイス21、デバイス22及びデバイス23の三つのデバイスが存在することを仮定する。この時、デバイス21は、主従デバイスグループの主デバイスとして機能し、その後、デバイス21はデバイスグループ宣言メッセージをデバイス22とデバイス23に送信し、デバイス22とデバイス23は受信された後、当該デバイスグループに加入しようとすれば、それぞれデバイスグループ加入要求をデバイス21に送信する。デバイス21は、デバイス22とデバイス23とそれぞれ身元認証を行ってから、予め設置された条件に基づいて、デバイス22とデバイス23の本デバイスグループへの加入が許可されたか否かを確定して、デバイスグループ加入応答に通じて結果をデバイス22とデバイス23に送信し、加入が拒否されれば、応答メッセージには拒否原因をさらに搭載してもよい。ここで、加入許可された全てのデバイスの識別子は、一つのリストとして構成されて主デバイスに置かれてもよい。
【0038】
主従デバイスグループにおいて、主従デバイスグループ内の各従デバイスは、すべて主デバイスを信頼可能な第三者と見なし、認証サービスが主デバイスによって提供されている。
【0039】
主従デバイスグループ外のデバイスは、主従デバイスグループ内のデバイスにアクセスでき、デバイスグループ外のデバイスとデバイスグループ内のデバイスとのアクセスセキュリティがそれぞれのデバイス自身で保証され、主従デバイスグループ内のデバイス同士が会話する場合、アクセスセキュリティは、それぞれのデバイス自身で保証されてもよく、主デバイスの提供した信頼可能な第三者による認証サービスによって保証されてもよい。ここで、信頼可能な第三者は、主デバイス自身であってもよい。
【0040】
デバイスグループの作成に対応して、デバイスグループの解散がある。対等デバイスグループの解散について、ネットワークにおいてある対等デバイスグループの宣言メッセージがない場合、当該対等デバイスグループが解散状態となり、可能な原因として、当該デバイスグループ内にデバイスが存在しないことである。通常、対等デバイスグループの宣言は、該対等デバイスグループを作成するデバイスによって行われ、この時、該対等デバイスグループの他のデバイスは本デバイスグループの宣言を行わない。該対等デバイスグループの他のデバイスは本デバイスグループの宣言が受信されない時に、一定のルールに従い、新たに本デバイスグループの宣言を行う1つのデバイスを選択する。したがって、対等デバイスグループの宣言が完全にない時に、該デバイスグループにはデバイスが存在していないことが可能である。
【0041】
主従デバイスグループの解散について、ネットワークにおいてある主従デバイスグループの宣言メッセージがない場合、当該主従デバイスグループが解散状態となり、可能な原因として、当該主従デバイスグループの主デバイスがネットワークから退出することである。主従デバイスグループの宣言は、主従デバイスグループにおける主デバイスによって行われ、当該主従デバイスグループの他のデバイスは、この時、本デバイスグループの宣言を行わなくなる。
【0042】
対等デバイスグループ内にデバイス同士の会話は、図3に示すようになる。図3に示す実施例では、対等デバイス1、対等デバイス2、及び対等デバイス3の三つの対等デバイスを備え、対等デバイス1と対等デバイス2との間には信頼関係があり、対等デバイス1と対等デバイス3との間には信頼関係が存在しない。対等デバイス1が対等デバイス2にアクセスしようとする場合に、対等デバイス1は、アクセス要求メッセージを対等デバイス2に送信し、対等デバイス2は、相手が自分の信頼したデバイスであることを発見すると、アクセスを許可する応答を対等デバイス1に返答して、両方が会話し始まり、会話プロセスにおいて、両デバイス間の安全認証は、すべて両デバイス自身で保証される。対等デバイス1が対等デバイス3にアクセスしようとする場合、対等デバイス1はアクセス要求メッセージを対等デバイス3に送信し、対等デバイス3は、相手が自分の信頼したデバイスでないと発見すると、アクセスを拒否する応答を対等デバイス1に返答する。
【0043】
二つの対等デバイスとの間には信頼関係が存在しない場合、この二つの対等デバイス同士は安全通信を実現しようとすれば、一つの信頼可能な第三者を経由してもよい。そうすると、対等デバイス1が信頼関係無しの対等デバイス2にアクセスしようとするものを例とし、この二つの対等デバイス同士が共通の信頼可能な第三者を確認するプロセスは、下記のようになる。対等デバイス1は、自分の現在持っている信頼可能な全ての第三者のデバイス情報を対等デバイス2に通知し、対等デバイス2は受信した後、その中には何れかのデバイス又はいくつのデバイスが自分の信頼可能な第三者であるか否かを判断する。信頼可能な第三者があれば、対等デバイス2は、その中から何れかを選択して共通の信頼可能な第三者とし、選択されたデバイス情報を対等デバイス1にフィードバックし、対等デバイス1は、選択された信頼可能な第三者から対等デバイス2にアクセスする授権を取得して、対等デバイス2にアクセスする。さもなければ、対等デバイス2は、失敗情報又は共通の信頼可能な第三者が見つけないことを通知する情報を、対等デバイス1に返答する。もちろん、前記の共通信頼可能な第三者を確認するプロセスには、対等デバイス1と対等デバイス2の位置を置き換えてもよい、即ち、対等デバイス2によって通知され、対等デバイス1は共通信頼可能な第三者を判断して選択することになる。
【0044】
主従デバイスグループにおいては、主デバイスが本デバイスグループにおける全ての従デバイスでの資源情報をバッファすることになり、ある従デバイスは、本グループ内の他の従デバイスでの資源情報を主デバイスから見つけることができる。主従デバイスグループ内の従デバイス同士が会話する場合、全ての従デバイスの共通信頼可能な第三者である主デバイスに提供される認証サービスに介して、元々は信頼関係がない従デバイスとの間に共通信頼可能な第三者に基づく信頼関係を構築して、任意の二つの従デバイス同士は信頼検査に通じて会話を可能にさせる。もちろん、二つのデバイスの間に主デバイス以外の共通信頼可能な第三者が存在していれば、同様にして、二つの従デバイス間の何れかの共通信頼可能な第三者を利用して信頼検査を完成して、会話を実現することができる。
【0045】
図4に示すように、主従デバイスグループにおける従デバイス41と従デバイス42との間には信頼関係がないが、共通信頼可能な第三者となる主デバイス40が存在している。そうすると、従デバイス41が従デバイス42にアクセスしようとする場合、下記のステップを含む。
【0046】
ステップ401〜402:従デバイス41は、アクセス要求を従デバイス42に発起し、従デバイス42は、従デバイス41が自分の信頼するデバイスでないと発見すると、アクセスを拒否する応答を返答する。
【0047】
ステップ403〜404:従デバイス41は、従デバイス42のデバイス記述情報を取得する要求を従デバイス42に送信し、従デバイス42は受信した後、自身のデバイス記述情報を従デバイス41に送信し、その中には自身の信頼可能な第三者の情報が含まれ、従デバイス42の記述情報の例は下記のようになる。
【0048】
<DeviceDescription>
<DeviceId>従デバイス42Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn:3rdPartyAuthenService:3rdAuthProtocol_Kerberosv5:RSA-1024:AuthenServiceProvider:主デバイス識別子:提供する認証サービス識別子:AES-128-128:MD5
</DeviceSecurityId>
</DeviceSecurityDescription>
…
ステップ405:従デバイス41は、従デバイス42のデバイス記述における、提供される信頼可能な第三者デバイスの識別子と認証サービス識別子とに基づいて、従デバイス42にアクセスする授権を取得する要求を、信頼可能な第三者デバイスの認証サービスに発起する。本実施例では、信頼可能な第三者デバイスは主デバイス40である。
【0049】
信頼可能な第三者の認証、メッセージ伝送暗号化及びメッセージ認証メカニズムに基づく認証要求メッセージの構成は、表5に示すようになる。
【0050】
【表5】
【0051】
本実施例では、表5におけるターゲットデバイス識別子は主デバイス40の識別子であり、ソースデバイス識別子はデバイス41の識別子であり、従デバイス41の識別子と従デバイス42の識別子は、それぞれ会話しようとする二つのデバイスの識別子である。
【0052】
ステップ406:主デバイス40は従デバイス41と従デバイス42とも信頼関係を持っているため、主デバイス40は、従デバイス41と従デバイス42同士が安全会話を行うための一つのメッセージ暗号鍵keyを従デバイス41に返答し、主デバイス40と従デバイス41同士が予め持っている共用暗号鍵key1によってkeyを暗号化するとともに、主デバイス40と従デバイス42同士の共用暗号鍵key2によってkeyを暗号化し、そして、二つのそれぞれ暗号化されたkeyを認証応答メッセージに通じて従デバイス41に送信する。
【0053】
信頼可能な第三者の認証、メッセージ伝送暗号化及びメッセージ認証メカニズムに基づく認証応答メッセージの構成は、表6に示すようになる。
【0054】
【表6】
【0055】
ステップ407〜409:従デバイス41は、key2によって暗号化されたkeyを従デバイス42に送信し、共通信頼可能な第三者デバイスである現在主従デバイスグループにおける主デバイス40の識別子を従デバイス42に送信し、従デバイス42は、主デバイス40の識別子に基づいて、従デバイス41がどの自身が信頼可能な第三者デバイスから鍵を取得するのかを確認でき、復号化してkeyを取得する。従デバイス42は、keyの受信が確認されたメッセージを従デバイス41に送信し、従デバイス41を信頼可能なデバイスとする。従デバイス41は、key1を復号化してkeyを取得し、keyによって要求メッセージを暗号化して従デバイス42に送信し、従デバイス42はkeyによって復号化して、応答メッセージをkeyによって暗号化して従デバイス41に返答し、従デバイス41はkeyによって復号化して、会話を完成する。
【0056】
対等デバイスグループ内の一つの対等デバイスは、それと信頼関係がない一つの主従デバイスグループにおける従デバイスと会話可能にするために、当該主従デバイスグループに自発的に加入でき、信頼可能な第三者、例えば主デバイスに介して会話を実現できる。本実施例では、対等デバイス1が従デバイス52にアクセスしようとし、対等デバイス1と従デバイス52との間に信頼関係がない。図5に示すように、その実現プロセスは下記のステップを含む。
【0057】
ステップ501〜502:対等デバイス1はアクセス要求を従デバイス52に発起し、従デバイス52は、対等デバイス1が自分の信頼するデバイスではないため、そのアクセスを拒否する応答を返答する。
【0058】
ステップ503〜504:対等デバイス1は、従デバイス52のデバイス記述情報を取得する要求を従デバイス52に送信し、従デバイス52は、自身のデバイス記述情報を対等デバイス1に送信し、その中には自身の信頼可能な第三者の情報が含まれ、従デバイス52の記述情報の例は下記のようになる。
【0059】
<DeviceDescription>
<DeviceId>従デバイス52Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn:3rdPartyAuthenService:3rdAuthProtocol_Kerberosv5:RSA-1024:AuthenServiceProvider:主デバイス識別子:提供する認証サービスの識別子:AES-128-128:MD5
</DeviceSecurityId>
</DeviceSecurityDescription>
…
ステップ505:従デバイス52にアクセス可能にするために、対等デバイス1は、従デバイス52のデバイス記述に提供された信頼可能な第三者デバイスの識別子と認証サービス識別子とに基づいて、従デバイス52が位置する主従デバイスグループにおける主デバイス50に対して、当該デバイスグループに加入する要求を発起する。本実施例では、信頼可能な第三者デバイスは主デバイス50である。
【0060】
ステップ506:対等デバイス1と主デバイス50とは、互いの信頼関係が存在しており、認証がパスしてから、主デバイス50は対等デバイス1が本デバイスグループに加入することを許可し、従デバイス51となる。
【0061】
ステップ507:従デバイス51は、従デバイス52と同じ主従デバイスグループにあるため、従デバイス51は、従デバイス52と会話する授権を主デバイス50に要求する。
【0062】
ステップ508:主デバイス50は、従デバイス51と従デバイス52とも信頼関係を持っているため、従デバイス51と従デバイス52同士が安全会話を行うための一つのメッセージ暗号鍵keyを従デバイス51に返答し、主デバイス50と従デバイス51同士が予め持っている共用暗号鍵key1によってkeyを暗号化するとともに、主デバイス50と従デバイス52同士の共用暗号鍵key2によってkeyを暗号化し、そして、二つのそれぞれ暗号化されたkeyを従デバイス51に送信する。
【0063】
ステップ509〜511:従デバイス51は、key2によって暗号化されたkeyを従デバイス52に送信し、共通信頼可能な第三者デバイスである現在主従デバイスグループにおける主デバイス50の識別子を従デバイス52に送信し、従デバイス52は、主デバイス50の識別子に基づいて、従デバイス51がどの自身の信頼可能な第三者デバイスから鍵を取得するかを確認でき、復号化してkeyを取得する。従デバイス52は、keyの受信が確認されたメッセージを従デバイス51に送信し、従デバイス51を信頼可能なデバイスとする。従デバイス51は、key1を復号化してkeyを取得し、keyによって要求メッセージを暗号化して従デバイス52に送信し、従デバイス52はkeyによって復号化して、応答メッセージをkeyによって暗号化して従デバイス51に返答し、従デバイス51はkeyによって復号化して、会話を完成する。
【0064】
従デバイス52が対等デバイス1にアクセスしようとすれば、同様に、対等デバイス1を従デバイス52の位置する主従デバイスグループに加入させ、処理プロセスはステップ501〜511での説明と類似する。
【0065】
主従デバイスグループ内の一つの主デバイス又は従デバイスは、それと信頼関係がない一つの他の主従デバイスグループにおける従デバイスと会話可能にするために、当該主従デバイスグループに自発的に加入でき、信頼可能な第三者、例えば主デバイスに介して会話を実現できる。本実施例では、従デバイス1'が主従デバイスグループAに属し、従デバイス62が主従デバイスグループBに属し、従デバイス1'が従デバイス62にアクセスしようとし、従デバイス1'と従デバイス62との間に信頼関係がない。図6に示すように、その実現プロセスは下記のステップを含む。
【0066】
ステップ601〜602:従デバイス1'はアクセス要求を従デバイス62に発起し、従デバイス62は、従デバイス1'が自分の信頼するデバイスではないため、そのアクセスを拒否する応答を返答する。
【0067】
ステップ603〜604:従デバイス1'は、従デバイス62のデバイス記述情報を取得する要求を従デバイス62に送信し、従デバイス62は、自身のデバイス記述情報を従デバイス1'に送信し、その中には自身の信頼可能な第三者の情報が含まれ、従デバイス62の記述情報の例は下記のようになる。
【0068】
<DeviceDescription>
<DeviceId>従デバイス62Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn:3rdPartyAuthenService:3rdAuthProtocol_Kerberosv5:RSA-1024:AuthenServiceProvider:主デバイス識別子:提供する認証サービスの識別子:AES-128-128:MD5
</DeviceSecurityId>
</DeviceSecurityDescription>
…
ステップ605:従デバイス62にアクセス可能にするために、従デバイス1'は、従デバイス62のデバイス記述に提供された信頼可能な第三者デバイスの識別子と認証サービス識別子とに基づいて、従デバイス62の位置する主従デバイスグループBにおける主デバイス60に対して、当該主従デバイスグループに加入する要求を発起する。本実施例では、信頼可能な第三者デバイスは主従デバイスグループBにおける主デバイス60である。
【0069】
ステップ606:従デバイス1'と主デバイス60とは、互いの信頼関係が存在しており、認証がパスしてから、主デバイス60は従デバイス1'が本デバイスグループに加入することを許可し、主従デバイスグループBにおける従デバイス61となる。
ステップ607〜608:主デバイス60は、従デバイス61と従デバイス62とも信頼関係を持っているため、従デバイス61と従デバイス62同士が安全会話を行うための一つのメッセージ暗号鍵keyを従デバイス61に返答し、主デバイス60と従デバイス61とが予め持っている共用暗号鍵key1によってkeyを暗号化するとともに、主デバイス60と従デバイス62との共用暗号鍵key2によってkeyを暗号化し、そして、二つのそれぞれ暗号化されたkeyを従デバイス61に送信する。
【0070】
ステップ609〜611:従デバイス61は、key2によって暗号化されたkeyを従デバイス62に送信し、共通信頼可能な第三者デバイスである現在主従デバイスグループにおける主デバイス60の識別子を従デバイス62に送信し、従デバイス62は、主デバイス60の識別子に基づいて、従デバイス61がどの自身の信頼可能な第三者デバイスから鍵を取得するかを確認でき、復号化してkeyを取得する。従デバイス62は、keyの受信が確認されたメッセージを従デバイス61に送信し、従デバイス61を信頼可能なデバイスとする。従デバイス61は、key1を復号化してkeyを取得し、keyによって要求メッセージを暗号化して従デバイス62に送信し、従デバイス62はkeyによって復号化して、応答メッセージをkeyによって暗号化して従デバイス61に返答し、従デバイス61はkeyによって復号化して、会話を完成する。
【0071】
図7は、本発明に係る方法の具体応用実例であり、図7に示すように、ノートPC、プロジェクター及びプリンタであるネットワークにおける三つのデバイスは、一つのデバイスグループAを構成し、当該デバイスグループは、受信されたテクストや画像情報を大きいスクリーンに表示し印刷する機能を提供できる。当該デバイスグループは、会議室又は家庭に存在する可能であり、主従デバイスグループであってもよく、対等デバイスグループであってもよい。ここで、主従デバイスグループを例として説明する。
【0072】
主従デバイスグループAが既に作成されたので、ネットワークにおいて主従デバイスグループAの宣言メッセージが存在し続け、これと同時に、当該主従デバイスグループAは、自身の提供している機能をマルチキャスト又はブロードキャスト方式によってネットワークに宣言することになる。例えば、当該主従デバイスグループAの入力インタフェースパラメータを宣言メッセージに搭載して、当該主従デバイスグループAは入力テキスト/JPEG画像を表示し印刷できることを表す。
【0073】
当該主従デバイスグループAにおける入力インタフェースは、ノートPCでの一つのプログラムによって実現し、出力は、ノートPCでの他のプログラムによってプロジェクターとプリンタが制御されることで実現する。ノートPC、プロジェクター及びプリンタ間の会話は、デバイスグループ内部の会話に属し、グループ外のデバイスが探知できない。当該主従デバイスグループ内部において、ノートPC、プロジェクター及びプリンタの三つのデバイス同士は、HTTPプロトコルに従って互いに通信し、但し、ノートPCはHTTP Server側、プロジェクター及びプリンタはHTTP Client側としてそれぞれ機能する。
【0074】
携帯電話は対等デバイスであり、その撮影した内容を投影して表示し、共用し写真として印刷したいものである。即ち、携帯電話は主従デバイスグループAにアクセスする必要がある。本実施例に用いられる携帯電話がブルートゥース携帯電話であるので、図7におけるプロクシ(Proxy)は、ブルートゥースからイーサネットプロトコルまでの転換を実現するために用いられる。
【0075】
携帯電話は、マルチキャストをセンシングすることで主従デバイスグループAの入力インタフェース及び当該インタフェースの位置するデバイスを取得した後、当該デバイスに対するコーリングを当該デバイスに発起する。具体的には、携帯電話がノートPCにコーリングを発起し、HTTP POSTを介して撮影した写真を、ノートPCに入力インタフェースとして機能するアプリケーションがセンシングしているアドレスポートに送信する。ノートPCでの入力インタフェイスとして機能するプログラムは、そのセンシングしているアドレスポートを介して写真を受信した後、HTTP GET命令を使用して指定されたJPEG写真を取得し表示することを、制御命令によってプロジェクターに要求するとともに、HTTP GET命令を使用して指定されたJPEG写真を取得しプリントすることを、制御命令によってプリンタに要求する。
【0076】
本実施例では、携帯電話とノートPCとの間に信頼関係がなければ、携帯電話がまず主従デバイスグループに加入して、さらに従デバイスの身元としてノートPCと会話することになる。
【0077】
以上、あくまで本発明の好ましい実施例であり、本発明の保護範囲を限定するものではない。
【図面の簡単な説明】
【0078】
【図1】対等デバイスグループの作成プロセスを示す図である。
【図2】主従デバイスグループの作成プロセスを示す図である。
【図3】対等デバイスグループ内にデバイス同士の会話の実施例を示す図である。
【図4】主従デバイスグループ内にデバイス同士の会話の実施例を示す図である。
【図5】任意の二つのデバイスが信頼可能な第三者を通じて会話する一実施例を示す図である。
【図6】任意の二つのデバイスが信頼可能な第三者を通じて会話する他の一実施例を示す図である。
【図7】本発明方法の一具体的応用実施例を示す図である。
【特許請求の範囲】
【請求項1】
デバイス組分け及び組分けデバイス同士の会話を実現する方法であって、
ネットワークにデバイスグループを作成するデバイスが、自身の属しているデバイスグループの識別子情報を搭載した宣言メッセージをネットワークに送信し、該当するデバイスグループに加入必要となるネットワークデバイスが、宣言メッセージを受信してから該当宣言メッセージに識別されたデバイスグループに加入し、
二つのネットワークデバイスが会話するときに、当該方法は、
発起デバイスがアクセス先デバイスにアクセス要求を送信し、
アクセス要求を受信したデバイスが、アクセス要求を送信するデバイスが自分の信頼しているデバイスであるか否かを判断し、
信頼デバイスであれば両方が会話し、信頼デバイスではなければ、アクセス先デバイスが発起デバイスのアクセス要求を直接拒否し、又は発起デバイスとが共通の信頼可能な第三者を確定して、発起デバイスが、確定された共通信頼可能な第三者からアクセス先デバイスの鍵情報を取得し、取得された鍵情報を利用してアクセス先デバイスと会話する、ことを特徴とする方法。
【請求項2】
前記デバイスグループが対等デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、自身デバイスグループ識別子に宣言メッセージが搭載したデバイスグループ識別子を追加するものである、ことを特徴とする請求項1に記載の方法。
【請求項3】
前記デバイスグループが主従デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、加入する必要なデバイスグループにおける主デバイスに加入要求を送信し、主デバイスが、予め設置された情報に基づいて現在の要求しているデバイスの加入を許可するかどうかを判断し、許可結果を搭載した応答メッセージを現在の要求しているデバイスに返答するものである、ことを特徴とする請求項1に記載の方法。
【請求項4】
前記応答メッセージにおける許可結果が加入拒否であれば、当該メッセージには、拒否原因の情報をさらに搭載していることを特徴とする請求項3に記載の方法。
【請求項5】
前記アクセス先デバイスは主従デバイスグループに属し、
前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、
発起デバイスが、自身がアクセス先デバイスと同じ主従デバイスグループに属しているか否かを判断し、
同じ主従デバイスグループであれば、主デバイスを共通信頼可能な第三者とし、
同じ主従デバイスグループでなければ、発起デバイスが従デバイスとして、アクセス先デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする、ことを特徴とする請求項1に記載の方法。
【請求項6】
前記発起デバイスは主従デバイスグループに属し、且つアクセス先デバイスは対等デバイスグループに属し、
前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、
アクセス先デバイスは、従デバイスとして発起デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする、ことを特徴とする請求項1に記載の方法。
【請求項7】
発起デバイス又はアクセス先デバイスが新しい主従デバイスグループに加入する前、さらに、発起デバイス又はアクセス先デバイスが、相手デバイスから相手デバイスの記述情報を取得することを含む、ことを特徴とする請求項5又は6に記載の方法。
【請求項8】
前記発起デバイスとアクセス先デバイスが、すべて対等デバイスグループに属していれば、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、
発起デバイスが、自身のすべての信頼可能な第三者をアクセス先デバイスに通知し、
アクセス先デバイスが、発起デバイスの全ての信頼可能な第三者のうち自身と同じ信頼可能な第三者が存在しているか否かを判断し、
存在していれば、一つを選択して共通信頼可能な第三者と確定する、ことを特徴とする請求項1に記載の方法。
【請求項9】
発起デバイスは、アクセス先デバイスの鍵情報を取得してから、鍵情報をアクセス先デバイスに送信することをさらに含む、ことを特徴とする請求項1に記載の方法。
【請求項10】
発起デバイスは、共通信頼可能な第三者と発起デバイスとの共用鍵によって暗号化された暗号鍵、及び共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵を、共通信頼可能な第三者から同時に取得し、
共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵をアクセス先デバイスに送信する、ことを特徴とする請求項1又は9に記載の方法。
【請求項1】
デバイス組分け及び組分けデバイス同士の会話を実現する方法であって、
ネットワークにデバイスグループを作成するデバイスが、自身の属しているデバイスグループの識別子情報を搭載した宣言メッセージをネットワークに送信し、該当するデバイスグループに加入必要となるネットワークデバイスが、宣言メッセージを受信してから該当宣言メッセージに識別されたデバイスグループに加入し、
二つのネットワークデバイスが会話するときに、当該方法は、
発起デバイスがアクセス先デバイスにアクセス要求を送信し、
アクセス要求を受信したデバイスが、アクセス要求を送信するデバイスが自分の信頼しているデバイスであるか否かを判断し、
信頼デバイスであれば両方が会話し、信頼デバイスではなければ、アクセス先デバイスが発起デバイスのアクセス要求を直接拒否し、又は発起デバイスとが共通の信頼可能な第三者を確定して、発起デバイスが、確定された共通信頼可能な第三者からアクセス先デバイスの鍵情報を取得し、取得された鍵情報を利用してアクセス先デバイスと会話する、ことを特徴とする方法。
【請求項2】
前記デバイスグループが対等デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、自身デバイスグループ識別子に宣言メッセージが搭載したデバイスグループ識別子を追加するものである、ことを特徴とする請求項1に記載の方法。
【請求項3】
前記デバイスグループが主従デバイスグループであれば、前記加入宣言メッセージに識別されたデバイスグループは、デバイスグループに加入要求するネットワークデバイスが、加入する必要なデバイスグループにおける主デバイスに加入要求を送信し、主デバイスが、予め設置された情報に基づいて現在の要求しているデバイスの加入を許可するかどうかを判断し、許可結果を搭載した応答メッセージを現在の要求しているデバイスに返答するものである、ことを特徴とする請求項1に記載の方法。
【請求項4】
前記応答メッセージにおける許可結果が加入拒否であれば、当該メッセージには、拒否原因の情報をさらに搭載していることを特徴とする請求項3に記載の方法。
【請求項5】
前記アクセス先デバイスは主従デバイスグループに属し、
前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、
発起デバイスが、自身がアクセス先デバイスと同じ主従デバイスグループに属しているか否かを判断し、
同じ主従デバイスグループであれば、主デバイスを共通信頼可能な第三者とし、
同じ主従デバイスグループでなければ、発起デバイスが従デバイスとして、アクセス先デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする、ことを特徴とする請求項1に記載の方法。
【請求項6】
前記発起デバイスは主従デバイスグループに属し、且つアクセス先デバイスは対等デバイスグループに属し、
前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、
アクセス先デバイスは、従デバイスとして発起デバイスの属している主従デバイスグループに加入して、加入した主従デバイスグループにおける主デバイスを共通信頼可能な第三者とする、ことを特徴とする請求項1に記載の方法。
【請求項7】
発起デバイス又はアクセス先デバイスが新しい主従デバイスグループに加入する前、さらに、発起デバイス又はアクセス先デバイスが、相手デバイスから相手デバイスの記述情報を取得することを含む、ことを特徴とする請求項5又は6に記載の方法。
【請求項8】
前記発起デバイスとアクセス先デバイスが、すべて対等デバイスグループに属していれば、前記発起デバイスとアクセス先デバイスが共通信頼可能な第三者を確定する具体的な手順は、
発起デバイスが、自身のすべての信頼可能な第三者をアクセス先デバイスに通知し、
アクセス先デバイスが、発起デバイスの全ての信頼可能な第三者のうち自身と同じ信頼可能な第三者が存在しているか否かを判断し、
存在していれば、一つを選択して共通信頼可能な第三者と確定する、ことを特徴とする請求項1に記載の方法。
【請求項9】
発起デバイスは、アクセス先デバイスの鍵情報を取得してから、鍵情報をアクセス先デバイスに送信することをさらに含む、ことを特徴とする請求項1に記載の方法。
【請求項10】
発起デバイスは、共通信頼可能な第三者と発起デバイスとの共用鍵によって暗号化された暗号鍵、及び共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵を、共通信頼可能な第三者から同時に取得し、
共通信頼可能な第三者とアクセス先デバイスとの共用鍵によって暗号化された暗号鍵をアクセス先デバイスに送信する、ことを特徴とする請求項1又は9に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2008−500607(P2008−500607A)
【公表日】平成20年1月10日(2008.1.10)
【国際特許分類】
【出願番号】特願2007−509852(P2007−509852)
【出願日】平成17年1月21日(2005.1.21)
【国際出願番号】PCT/CN2005/000093
【国際公開番号】WO2005/107162
【国際公開日】平成17年11月10日(2005.11.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.Bluetooth
【出願人】(504425196)聯想(北京)有限公司 (38)
【氏名又は名称原語表記】LENOVO(BEIJING) LIMITED
【Fターム(参考)】
【公表日】平成20年1月10日(2008.1.10)
【国際特許分類】
【出願日】平成17年1月21日(2005.1.21)
【国際出願番号】PCT/CN2005/000093
【国際公開番号】WO2005/107162
【国際公開日】平成17年11月10日(2005.11.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.Bluetooth
【出願人】(504425196)聯想(北京)有限公司 (38)
【氏名又は名称原語表記】LENOVO(BEIJING) LIMITED
【Fターム(参考)】
[ Back to top ]