ネットワークシステム
【課題】ユーザに特別な知識がない場合でも、最適なセキュリティレベルを実現することができるネットワークシステムを提供する。
【解決手段】デバイスD1は、電源が投入されて起動したことをトリガとして、サーバ検出手段によりネットワーク上のセキュリティ管理サーバの検索を開始する。その後、デバイスD1は検出した各セキュリティ管理サーバ(宅内サーバS1およびバックアップ用宅内サーバS2)の持つサーバ属性情報をそれぞれ取得して、各セキュリティ管理サーバが自己の利用可能なセキュリティ管理サーバか否かを判断する。デバイスD1は利用可能と判断したセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバを、対象サーバとしてサーバ選択手段で選択し利用する。
【解決手段】デバイスD1は、電源が投入されて起動したことをトリガとして、サーバ検出手段によりネットワーク上のセキュリティ管理サーバの検索を開始する。その後、デバイスD1は検出した各セキュリティ管理サーバ(宅内サーバS1およびバックアップ用宅内サーバS2)の持つサーバ属性情報をそれぞれ取得して、各セキュリティ管理サーバが自己の利用可能なセキュリティ管理サーバか否かを判断する。デバイスD1は利用可能と判断したセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバを、対象サーバとしてサーバ選択手段で選択し利用する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上のデバイスとセキュリティ管理サーバとを用いてセキュアな通信環境を実現するネットワークシステムに関するものである。
【背景技術】
【0002】
従来、この種のネットワークシステムにおいて、図10に示すようにデバイスD1が利用するセキュリティ管理サーバSAは固定的に決められており、デバイスの追加などシステム構成に変化が生じた場合には、セキュリティ管理サーバSAのメンテナンスを行うことでセキュリティレベルを維持する。つまり、セキュリティ管理サーバSAの設定データ(セキュリティポリシー)を動的に適用可能とすれば、高いセキュリティレベルを維持することができる(たとえば特許文献1参照)。
【0003】
また、ユーザやデバイスごとにセキュリティレベルを変えることも考えられているが(たとえば特許文献2参照)、このような場合であっても、高いセキュリティレベルを維持するためには、セキュリティ管理サーバのメンテナンスが必要となる。
【0004】
ここで、セキュリティレベルとセキュリティ管理サーバSAのメンテナンス工数とはトレードオフの関係にあり、たとえば図10のようにセンターサーバ上にセキュリティ管理サーバSAが設けられている場合には、セキュリティ管理サーバSAのメンテナンスは容易に行えるものの、各デバイス固有の暗号鍵を用いるなどしてセキュリティレベルを高く設定する必要がある。
【0005】
これに対して、図11に示す住宅設備システムのように、ユーザ宅内に構築された閉鎖的なネットワーク(宅内LAN)上にデバイスD1およびセキュリティ管理サーバSBが存在するネットワークシステムにおいては、セキュリティ管理サーバSBに対して外部(ユーザ宅外)から容易にアクセスすることができないため、セキュリティ管理サーバSBのメンテナンスを容易に行うことはできないが、複数台のデバイスに共通の暗号鍵を用いるなどしてセキュリティレベルを低く設定することが可能である。
【特許文献1】特開2005−252947号公報
【特許文献2】特開平8−297638号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
ところで、たとえば宅内LAN等の閉鎖的なネットワーク上に構築したネットワークシステムを拡張してインターネットに接続可能とする場合のように、システム構成に変化が生じた場合には、通信の安全性が変化することがある。たとえば、セキュリティレベルの低い宅内のセキュリティ管理サーバSBを利用していたデバイスがインターネットに接続されるようになると、当該デバイスに対してインターネット上の不特定の端末からアクセスを試みることが可能となるため、通信の安全性が低下することとなる。この場合、デバイスの設定を変更することにより、デバイスが利用するセキュリティ管理サーバを切り替えてセキュリティレベルの向上を図る必要がある。
【0007】
しかし、このような場合に、デバイスが利用するセキュリティ管理サーバの選択をユーザが行う必要があるため、よりセキュリティレベルの高いセキュリティ管理サーバを見分ける知識のない一般的なユーザでは、最適なセキュリティレベルを実現することは困難である。
【0008】
本発明は上記事由に鑑みてなされたものであって、ユーザに特別な知識がない場合でも、最適なセキュリティレベルを実現することができるネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
請求項1の発明では、それぞれセキュリティレベルに関するサーバ属性情報を保持した複数台のセキュリティ管理サーバと、セキュリティ属性情報を保持したデバイスとをネットワーク上に備え、デバイスは、ネットワーク上に存在するセキュリティ管理サーバを検出するサーバ検出手段と、自己のセキュリティ属性情報とサーバ検出手段で検出された各セキュリティ管理サーバのサーバ属性情報とを比較することで、最も高いセキュリティレベルを実現できるセキュリティ管理サーバを選択して当該セキュリティ管理サーバが持つセキュリティ情報を取得するサーバ選択手段とを有することを特徴とする。
【0010】
この構成によれば、デバイスは、サーバ検出手段でネットワーク上のセキュリティ管理サーバを検出し、サーバ選択手段にて自己のセキュリティ属性情報と各セキュリティ管理サーバのサーバ属性情報とを比較することで、最も高いセキュリティレベルを実現可能なセキュリティ管理サーバを選択して利用するから、ユーザがセキュリティ管理サーバの選択をすることなく、最適なセキュリティレベルを実現することができる。すなわち、デバイス自身が、最適なセキュリティレベルを実現可能なセキュリティ管理サーバを選択して利用するから、ユーザに特別な知識がない場合でも、最適なセキュリティレベルを実現できるという利点がある。なお、セキュリティ管理サーバが持つセキュリティ情報には、デバイス間でセキュアな通信を行うために必要なセッション鍵や、デバイス間での書き込みの可否等を示すアクセス制限情報などが含まれる。
【0011】
請求項2の発明は、請求項1の発明において、前記サーバ属性情報として、前記セキュリティ管理サーバに設定されている暗号鍵の種別を用いることを特徴とする。
【0012】
この構成によれば、デバイスのサーバ選択手段は、暗号鍵の種別に基づいてセキュリティ管理サーバを選択するから、暗号鍵の種別の違いによってセキュリティ管理サーバ間でセキュリティレベルに差がある場合に、セキュリティレベルの最も高いセキュリティ管理サーバを選択して利用することができる。なお、暗号鍵の種別には、暗号鍵の鍵長や、暗号鍵の適用範囲などが含まれる。
【0013】
請求項3の発明は、請求項1の発明において、前記サーバ属性情報として、前記セキュリティ管理サーバにおける暗号鍵の生成過程の種別を用いることを特徴とする。
【0014】
この構成によれば、デバイスサーバ選択手段は、暗号鍵の生成過程の種別に基づいてセキュリティ管理サーバを選択するから、暗号鍵の生成過程の種別の違いによってセキュリティ管理サーバ間でセキュリティレベルに差がある場合に、セキュリティレベルの最も高いセキュリティ管理サーバを選択して利用することができる。なお、暗号鍵の生成過程の種別には、暗号鍵の生成に用いる乱数の精度などが含まれる。
【0015】
請求項4の発明は、請求項1ないし請求項3のいずれかの発明において、前記サーバ選択手段が、前記ネットワーク上の前記セキュリティ管理サーバの増減を検知すると、セキュリティ管理サーバを再選択することを特徴とする。
【0016】
この構成によれば、セキュリティ管理サーバがネットワーク上に追加されたりネットワーク上から離脱したりすることによって、ネットワーク上のセキュリティ管理が増減した場合でも、サーバ選択手段が自動的にセキュリティ管理サーバを再選択することにより最適なセキュリティレベルを実現することができる。
【0017】
請求項5の発明は、請求項4の発明において、前記ネットワーク上に追加された前記セキュリティ管理サーバが、自己の前記サーバ属性情報を前記デバイスに通知し、前記サーバ選択手段が、サーバ属性情報の通知を受けてネットワーク上のセキュリティ管理サーバの増加を検知することを特徴とする。
【0018】
この構成によれば、ネットワーク上に複数台のデバイスがある場合に、ネットワーク上にセキュリティ管理サーバが追加されたとしても、セキュリティ管理サーバから前記複数台のデバイスに対してサーバ属性情報が通知されることになるので、前記複数台のデバイスからセキュリティ管理サーバへのアクセスが集中することを回避でき、ネットワーク上の通信トラフィックを低減できるという利点がある。
【0019】
請求項6の発明は、請求項1ないし請求項5のいずれかの発明において、前記サーバ選択手段が、前記ネットワーク上の前記セキュリティ管理サーバの持つ前記サーバ属性情報の変更を検知し、セキュリティ管理サーバを再選択することを特徴とする。
【0020】
この構成によれば、サーバ検出手段にて既に検出されているセキュリティ管理サーバにおいてサーバ属性情報の変更があった場合に、サーバ選択手段は、変更後のサーバ属性情報に基づいて自動的にセキュリティ管理サーバを再選択することにより最適なセキュリティレベルを実現することができる。
【0021】
請求項7の発明は、請求項6の発明において、前記サーバ属性情報が変更された前記セキュリティ管理サーバが、自己の変更後のサーバ属性情報を前記デバイスに通知し、前記サーバ選択手段が、サーバ属性情報の通知を受けて前記ネットワーク上のセキュリティ管理サーバの持つサーバ属性情報の変更を検知することを特徴とする。
【0022】
この構成によれば、ネットワーク上に複数台のデバイスがある場合に、ネットワーク上のセキュリティ管理サーバの持つサーバ属性情報が変更されたとしても、セキュリティ管理サーバから前記複数台のデバイスに対して変更後のサーバ属性情報が通知されることになるので、前記複数台のデバイスからセキュリティ管理サーバへのアクセスが集中することを回避でき、ネットワーク上の通信トラフィックを低減できるという利点がある。
【0023】
請求項8の発明は、請求項1ないし請求項7のいずれかの発明において、前記デバイスが、前記セキュリティ管理サーバとの通信信頼性を評価するサーバ管理手段を有し、前記サーバ選択手段が、最も高いセキュリティレベルを実現できるセキュリティ管理サーバが前記ネットワーク上に複数台存在する場合に、当該複数台のセキュリティ管理サーバの中でサーバ管理手段での評価値が最も高いセキュリティ管理サーバを選択することを特徴とする。
【0024】
この構成によれば、デバイスは、セキュリティ管理サーバとの通信信頼性の評価値をサーバ属性情報に加味してセキュリティ管理サーバを選択するので、セキュリティレベルが高くても通信状況が不安定なセキュリティ管理サーバは選択の対象から外されることとなり、結果的に、セキュリティレベルの運用が不安定になることを回避できるという利点がある。
【発明の効果】
【0025】
本発明は、デバイス自身が、最適なセキュリティレベルを実現可能なセキュリティ管理サーバを選択して利用するから、ユーザに特別な知識がない場合でも、最適なセキュリティレベルを実現できるという利点がある。
【発明を実施するための最良の形態】
【0026】
(実施形態1)
本実施形態のネットワークシステムは、図1に示すように、ユーザ宅内に設置された設備機器からなるデバイスD1と、それぞれセキュリティ管理サーバとして機能する宅内サーバS1およびバックアップ用宅内サーバS2とをネットワークとしての宅内LAN上に備えた住宅設備システムからなる。このネットワークシステムでは、デバイスD1同士あるいは宅内サーバS1−デバイスD1間で通信を行うことにより、デバイスD1の制御や監視などデバイスD1を管理することが可能である。
【0027】
デバイスD1は、図2に示すように、ネットワークに接続される通信手段1と、ネットワーク上のセキュリティ管理サーバを検出するサーバ検出手段2と、サーバ検出手段2を起動するためのトリガ信号を生成する検出トリガ手段3と、サーバ検出手段2で検出されたセキュリティ管理サーバの中から最適なセキュリティレベルを実現可能なセキュリティ管理サーバを選択するサーバ選択手段4と、セキュリティ管理サーバとの通信信頼性を評価するサーバ管理手段5と、セキュリティ属性情報を保持する情報保持手段6とを有している。
【0028】
デバイスD1の情報保持手段6に保持されているセキュリティ属性情報は、デバイスD1自身が現在利用可能なセキュリティレベルに関する情報であって、ここでは「宅内共通の暗号鍵あり」と「機器固有の暗号鍵あり」との2つの情報を含んでいる。
【0029】
宅内サーバS1およびバックアップ用宅内サーバS2は、それぞれ図3に示すように(図3では宅内サーバS1を例示する)、ネットワークに接続される通信手段7と、セキュリティ管理サーバとしての機能を実現するためのセキュリティ管理手段8と、セキュリティ管理サーバとしてのサーバ属性情報を保持する情報保持手段9と、情報保持手段9内のサーバ属性情報を管理するデータ管理手段10と、サーバ属性情報の設定を変更する設定変更手段11とを有している。
【0030】
宅内サーバS1の情報保持手段9に保持されているサーバ属性情報は、ネットワーク上のデバイスD1に適用するセキュリティレベルに関する情報であって、ここでは「セキュリティレベル:中」、「宅内共通の暗号鍵を使用」、「暗号鍵の鍵長:256bit」、「乱数の精度は高い」の4つの情報を含んでいる。
【0031】
同様に、バックアップ用宅内サーバS2の情報保持手段9に保持されているサーバ属性情報は、「セキュリティレベル:低」、「宅内共通の暗号鍵を使用」、「暗号鍵の鍵長:128bit」、「乱数の精度は低い」の4つの情報を含んでいる。
【0032】
ここで、「暗号鍵の鍵長」は、ネットワークシステムで使用する暗号鍵の種別、具体的には暗号鍵のビット長を示すものであって、鍵長が長い(ビット数が多い)程セキュリティレベルが高いことを意味する。暗号鍵の種別としては、鍵長の他に、暗号鍵が機器(デバイス)固有の暗号鍵、あるいは宅内のデバイス間で予め決められたグループ内で共通の暗号鍵、若しくは宅内共通の暗号鍵のいずれであるかも規定され、通信の安全性は暗号鍵の適用範囲が広くなるほど、つまり機器固有、グループ内共通、宅内共通の順に低くなる。したがって、セキュリティレベルを高める場合には暗号鍵の適用範囲を狭めることが望ましい。なお、機器固有の暗号鍵とする場合には、たとえば暗号化に公開鍵を使用し、復号化に前記機器固有の暗号鍵を秘密鍵として使用する公開鍵暗号方式がデバイス間の通信に適用される。
【0033】
また、「乱数の精度」は、暗号鍵の生成過程の種別、具体的には暗号鍵の生成過程において用いられる乱数の精度を示すものであって、精度が高い程セキュリティレベルが高いことを意味する。
【0034】
以下では、本実施形態のネットワークシステムの動作例について図1および図4、図5を参照して説明する。
【0035】
デバイスD1は、電源が投入されて起動したことを検出トリガ手段3で検知すると、検出トリガ手段3でトリガ信号を生成し、当該トリガ信号を受け取ったサーバ検出手段2によりネットワーク(宅内LAN)上のセキュリティ管理サーバの検索を開始する。このとき、図1の例では宅内サーバS1とバックアップ用宅内サーバS2との2つのセキュリティ管理サーバが検出される。
【0036】
それから、デバイスD1は検出した各セキュリティ管理サーバ(宅内サーバS1およびバックアップ用宅内サーバS2)の持つサーバ属性情報をそれぞれ取得して、各セキュリティ管理サーバが自己の利用可能なセキュリティ管理サーバか否かを判断する。ここで、デバイスD1は、セキュリティ情報として宅内共通の暗号鍵を有しているため、宅内サーバS1とバックアップ用宅内サーバS2との両方が利用可能と判断する。
【0037】
そして、デバイスD1は利用可能と判断したセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバを、対象サーバとしてサーバ選択手段4で選択する。ここでは、サーバ属性情報内の「セキュリティレベル」が「中」に設定されている宅内サーバS1が対象サーバとして選択される。
【0038】
このように対象サーバとして選択されたセキュリティ管理サーバは、デバイス間でセキュアな通信を行うために必要なセッション鍵(暗号鍵)の生成や、デバイス間での書き込みの可否等を示すアクセス制限情報(パーミッション情報)の設定または生成を自己のサーバ属性情報に従って行う。要するに、サーバ属性情報では、当該セキュリティ管理サーバで生成されるセッション鍵やアクセス制限情報のセキュリティレベルを管理しているのであって、たとえば、「乱数の精度」が高くなるほどセキュリティレベルの高い(つまり、通信の安全性の高い)セッション鍵を生成することが可能となり、また、「セキュリティレベル」が高くなるほどアクセス制限情報を細かく設定することが可能となる。デバイスD1は、対象サーバとして選択したセキュリティ管理サーバから、上述のセッション鍵やアクセス制限情報などを含むセキュリティ情報を取得し、これらのセキュリティ情報を用いて通信を開始する。
【0039】
ただし、対象サーバの判断基準は「セキュリティレベル」に限らずサーバ属性情報に含まれている情報であればよく、たとえばサーバ属性情報内の「暗号鍵の鍵長」を比較して、「暗号鍵の鍵長」が「256bit」である宅内サーバS1を対象サーバとして選択するようにしてもよい。また、セキュリティ管理サーバが暗号鍵を生成する過程において使用する「乱数の精度」を比較して、「乱数の精度」が「高い」に設定されているセキュリティ管理サーバ(ここでは宅内サーバS1)を対象サーバに選択することも考えられる。サーバ属性情報内のいずれの項目を対象サーバの選択時の判断基準に用いるかは、デバイスD1の情報保持手段6に保持されているセキュリティ属性情報にて規定することができる。すなわち、セキュリティ属性情報においては、たとえば「暗号鍵の鍵長」についてはビット長が長い程セキュリティレベルが高いものと判断し、ビット長が短い程セキュリティレベルが低いものと判断するように、セキュリティレベルの判断時の条件が規定される。
【0040】
ここにおいて、デバイスD1は、電源投入後、一定周期でネットワーク上のセキュリティ管理サーバの検索を繰り返し行う。つまり、検出トリガ手段3が一定の周期でトリガ信号を生成しサーバ検出手段2に与えることにより、サーバ検出手段2は前記一定周期でセキュリティ管理サーバの検索を行うこととなる。このとき、ネットワーク上のセキュリティ管理サーバの台数が増減することによりシステム構成自体が変化していると、サーバ選択手段4はシステム構成の変化後のセキュリティ管理サーバを対象として、対象サーバを再度選択する。なお、この構成に限らず、たとえばデバイスD1に備わるスイッチ(図示せず)等の操作により、ユーザが任意のタイミングでトリガ信号をサーバ検出手段2に与えてネットワーク上のセキュリティ管理サーバの検索を開始するようにしてもよい。
【0041】
しかして、デバイスD1が対象サーバとして宅内サーバS1を選択している状態で、たとえば図4に示すように宅内サーバS1が動作を停止してネットワークから切り離された(離脱した)場合には、デバイスD1は、一定周期でネットワーク上のセキュリティ管理サーバを再検索した際に、宅内サーバS1が離脱していることを検知し、ネットワーク上に残ったセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバ(ここではバックアップ用宅内サーバS2)を対象サーバとして選択し利用(対象サーバが持つセキュリティ情報を取得)する。
【0042】
また、ネットワーク上のいずれかのセキュリティ管理サーバのメンテナンスが行われ、当該セキュリティ管理サーバの情報保持手段9に格納されているサーバ属性情報が設定変更された場合(つまりサーバ属性情報が書き換えられた場合)には、デバイスD1は、サーバ選択手段4にて変更後のサーバ属性情報を比較することで対象サーバを再選択する。要するに、デバイスD1は、サーバ検出手段2がネットワーク上のセキュリティ管理サーバを検出する度に、各セキュリティ管理サーバのサーバ属性情報を取得し、当該サーバ属性情報を前回のセキュリティ管理サーバ検出時に取得したサーバ属性情報と比較することで、サーバ属性情報の変更の有無を判断する。そして、サーバ属性情報が変更されていれば、変更後のサーバ属性情報を用いて再度対象サーバを選択する。
【0043】
すなわち、デバイスD1が対象サーバとして宅内サーバS1を選択している状態で、たとえば図5に示すようにバックアップ用宅内サーバS2のサーバ属性情報が設定変更された場合には、デバイスD1は、ネットワーク上のセキュリティ管理サーバの検索時に、サーバ属性情報の変更を検知する。ここでは、バックアップ用宅内サーバS2のサーバ属性情報が「セキュリティレベル:低」から「セキュリティレベル:高」、「宅内共通の暗号鍵を使用」から「機器固有の暗号鍵を使用」、「暗号鍵の鍵長:128bit」から「暗号鍵の鍵長:256bit」、「乱数の精度は低い」から「乱数の精度は高い」にそれぞれ変更されていたものとする。この場合、デバイスD1は、変更後のサーバ属性情報を比較対象とすることで、よりセキュリティレベルの高いセキュリティ管理サーバ(ここでは、バックアップ用宅内サーバS2)を対象サーバに選択する。
【0044】
これにより、ネットワークシステムのシステム構成自体には変更がなく既存のセキュリティ管理サーバの設定変更があった場合でも、当該設定変更を考慮して最もセキュリティレベルの高いセキュリティ管理サーバを対象サーバとして利用することが可能になる。
【0045】
ここで、セキュリティ管理サーバのサーバ属性情報の設定変更の検出は、前述のようにサーバ検出手段2がネットワーク上のセキュリティ管理サーバを検出する度に実施してもよいが、セキュリティ管理サーバの持つサーバ属性情報が設定変更された場合に、当該セキュリティ管理サーバがネットワーク上のデバイスD1に対して、自己の変更後のサーバ属性情報を含む起動通知を行う構成としてもよい。この場合、デバイスD1のサーバ選択手段2は、起動通知を受けてセキュリティ管理サーバのサーバ属性情報の変更を検知し、変更後のサーバ属性情報を用いて再度対象サーバを選択する。
【0046】
(実施形態2)
本実施形態のネットワークシステムは、図6に示すように宅内LANとインターネットを介して接続されるセンターサーバS3が追加され、当該センターサーバS3にもセキュリティ管理サーバとしての機能が備わっている点が実施形態1のネットワークシステムと相違する。
【0047】
本実施形態では、閉鎖的なネットワーク(宅内LAN)上に構築したネットワークシステムを拡張してインターネットと接続することにより、拡張前には宅内LAN上のセキュリティ管理サーバS1,S2しか利用できなかったデバイスD1が、インターネット上のセキュリティ管理サーバ(センターサーバS3)を利用可能となった場合を想定している。このような場合、デバイスD1に対してインターネット上の不特定の端末からアクセスを試みることが可能となり、通信の安全性が低下することとなるので、デバイスD1が対象サーバとして利用するセキュリティ管理サーバを切り替えてセキュリティレベルの向上を図る必要がある。
【0048】
以下では、宅内LANとインターネットとを合わせて1つのネットワークとする。また、図6の例では、「セキュリティレベル:低」のサーバ属性情報を持つバックアップ用宅内サーバS2とデバイスD1とが宅内LAN側のネットワークに接続されているものとする。
【0049】
ここで、センターサーバS3の情報保持手段に格納されているサーバ属性情報は、「セキュリティレベル:高」、「機器固有の暗号鍵を使用」、「暗号鍵の鍵長:256bit」、「乱数の精度は高い」の4つの情報を含んでいる。
【0050】
したがって、宅内LAN上に存在するデバイスD1がインターネットを介してセンターサーバS3に接続されると、デバイスD1は、サーバ検出手段2によりネットワーク上のセキュリティ管理サーバとしてバックアップ用宅内サーバS2とセンターサーバS3とを検出する。そして、バックアップ用宅内サーバS2とセンターサーバS3とのサーバ属性情報を比較して、よりセキュリティレベルの高いセキュリティ管理サーバ(ここではセンターサーバS3)を対象サーバとして選択して利用する。
【0051】
ところで、新たに追加されたセキュリティ管理サーバの検出は、前述のようにデバイスD1が一定周期で実施してもよいが、デバイスの台数が多くなると通信トラフィックが増加するという問題がある。すなわち、図7に示すようにネットワーク(ここでは宅内LAN)上に複数台のデバイスD1〜D3が存在する場合、これら複数台のデバイスD1〜D3が一斉にセンターサーバS3にアクセスしてサーバ属性情報を取得することにより、ネットワーク上のトラフィックが増大する可能性がある。
【0052】
そこで、セキュリティ管理サーバ(ここではセンターサーバS3)がネットワーク上に追加された場合には、当該セキュリティ管理サーバがネットワーク上のデバイスD1〜D3に対して、自己のサーバ属性情報を含む起動通知を行う構成とすることが望ましい。起動通知は、セキュリティ管理サーバからネットワーク上の全デバイスD1〜D3に対してブロードキャスト方式で行われるものとし、これによりネットワーク上のトラフィックの増大を抑制することができる。
【0053】
要するに、図7の例では、センターサーバS3がネットワーク(宅内LAN)に接続されると、センターサーバS3からの起動通知が宅内LAN上のデバイスD1〜D3に一斉送信され、これらのデバイスD1〜D3は、サーバ検出手段2にてセンターサーバS3からの起動通知を受けることによりセンターサーバS3の存在を検出する。その後、各デバイスD1〜D3はセンターサーバS3をネットワーク上の他のセキュリティ管理サーバと比較することで、利用可能なセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバ(ここでは、センターサーバS3)を対象サーバとして選択し利用する。このようにセキュリティレベルの高いセキュリティ管理サーバが新たに利用可能になると、デバイスD1〜D3は、よりセキュリティレベルの高いセキュリティ管理サーバを対象サーバとするように自動的に対象サーバの切り替えを行う。
【0054】
なお、宅内LANとインターネットとの間にルータ等が介在することで、起動通知をセンターサーバS3から宅内LAN上のデバイスD1〜D3に直接送信できない場合には、宅内サーバS1が定期的にインターネット上のセキュリティ管理サーバを検索し、セキュリティ管理サーバの検出時に、宅内サーバS1からデバイスD1〜D3に対してブロードキャスト方式あるいはマルチキャスト方式で起動通知を転送するようにしてもよい。
【0055】
ここにおいて、デバイスD1はダイヤルアップ回線でセンターサーバS3と接続されるものであって、そのためデバイスD1とセンターサーバS3との間のインターネット通信は不安定になりやすいものと仮定する。この場合、インターネット通信が途絶えてデバイスD1−センターサーバS3間の通信が一時的に途絶えると、デバイスD1はネットワークからセンターサーバS3が離脱したと判断し、対象サーバをセンターサーバS3から他のセキュリティ管理サーバに切り替える。その後、デバイスD1−センターサーバS3間の通信が復旧すると、デバイスD1はセンターサーバS3が起動したと判断して、対象サーバを再びセンターサーバS3に切り替えることとなる。このように、通信路(ダイヤルアップ回線)の状況により対象サーバが頻繁に切り替わると、対象サーバの切替時に一時的にシステムが停止することにより不具合を生じる可能性がある。
【0056】
そこで、本実施形態では、デバイスD1は、サーバ管理手段5にてセキュリティ管理サーバとの通信信頼性を評価し、当該評価値をサーバ選択手段4での対象サーバの判断基準に加味するものとする。すなわち、デバイスD1は、図8に示すように対象サーバとして選択されているセキュリティ管理サーバ(ここではセンターサーバS3)の稼働状況の異常(サーバが起動/停止を繰り返して安定しない、ダイヤルアップ回線などで通信路が安定しない等)を検知すると、このように稼働状況に異常のあるセキュリティ管理サーバを除くセキュリティ管理サーバの中で、最もセキュリティレベルの高いセキュリティ管理サーバ(ここでは宅内サーバS1)を対象サーバに選択する。これにより、デバイスD1が利用可能なセキュリティ管理サーバの中に、通信信頼性に問題のあるセキュリティ管理サーバが含まれていても、当該問題のあるセキュリティ管理サーバが対象サーバとして選択されることを回避できる。
【0057】
また、デバイスD1においてセキュリティ管理サーバとの通信信頼性を評価するためには、図9に示すようにセキュリティ管理サーバの持つサーバ属性情報を利用するようにしてもよい。図9の例では、宅内サーバS1とセンターサーバS3とは情報保持手段9に保持したサーバ属性情報のうちセキュリティレベルに関する項目は共通である(ここでは、いずれも「セキュリティレベル:高」、「機器固有の暗号鍵を使用」、「暗号鍵の鍵長:256bit」、「乱数の精度は高い」)が、宅内サーバS1のサーバ属性情報には「宅内LAN上に設置」を含んでいるのに対し、センターサーバS3のサーバ属性情報には「インターネット上に設置」を含んでいる。
【0058】
この場合、デバイスD1は、両セキュリティ管理サーバのセキュリティレベルが同じであるため、各セキュリティ管理サーバの設置されている場所を比較し、宅内LAN上の宅内サーバS1とインターネット上のセンターサーバS3とでは、宅内LAN上の宅内サーバS1の方が通信信頼性(安定性)に優れていると判断する。そのため、デバイスD1は宅内サーバS1を対象サーバに選択して利用する。このように、セキュリティ管理サーバの実際の通信状況を評価しなくても、サーバ属性情報として予め与えられているセキュリティ管理サーバの通信信頼性を加味することで、対象サーバが頻繁に切り替わることを回避できる。
【0059】
なお、サーバ管理手段5での評価値を対象サーバの選択時の判断基準にどの程度加味するかは、デバイスD1のセキュリティ属性情報において規定することが可能である。そのため、たとえ宅内サーバS1のセキュリティレベルがセンターサーバS3のセキュリティ管理サーバより低くても、セキュリティ管理サーバの通信信頼性(安定性)を優先して、センターサーバD3ではなく宅内サーバS1を対象サーバに選択する設定とすることも可能である。
【0060】
その他の構成および機能は実施形態1と同様である。
【図面の簡単な説明】
【0061】
【図1】本発明の実施形態1のシステム構成を示す概略ブロック図である。
【図2】同上のデバイスの構成を示す概略ブロック図である。
【図3】同上のセキュリティ管理サーバの構成を示す概略ブロック図である。
【図4】同上のシステム構成を示す概略ブロック図である。
【図5】同上のシステム構成を示す概略ブロック図である。
【図6】本発明の実施形態2のシステム構成を示す概略ブロック図である。
【図7】同上のシステム構成を示す概略ブロック図である。
【図8】同上のシステム構成を示す概略ブロック図である。
【図9】同上のシステム構成を示す概略ブロック図である。
【図10】従来例を示す概略ブロック図である。
【図11】他の従来例を示す概略ブロック図である。
【符号の説明】
【0062】
2 サーバ検出手段
4 サーバ選択手段
5 サーバ管理手段
D1〜D3 デバイス
S1 宅内サーバ(セキュリティ管理サーバ)
S2 バックアップ用宅内サーバ(セキュリティ管理サーバ)
S3 センターサーバ(セキュリティ管理サーバ)
【技術分野】
【0001】
本発明は、ネットワーク上のデバイスとセキュリティ管理サーバとを用いてセキュアな通信環境を実現するネットワークシステムに関するものである。
【背景技術】
【0002】
従来、この種のネットワークシステムにおいて、図10に示すようにデバイスD1が利用するセキュリティ管理サーバSAは固定的に決められており、デバイスの追加などシステム構成に変化が生じた場合には、セキュリティ管理サーバSAのメンテナンスを行うことでセキュリティレベルを維持する。つまり、セキュリティ管理サーバSAの設定データ(セキュリティポリシー)を動的に適用可能とすれば、高いセキュリティレベルを維持することができる(たとえば特許文献1参照)。
【0003】
また、ユーザやデバイスごとにセキュリティレベルを変えることも考えられているが(たとえば特許文献2参照)、このような場合であっても、高いセキュリティレベルを維持するためには、セキュリティ管理サーバのメンテナンスが必要となる。
【0004】
ここで、セキュリティレベルとセキュリティ管理サーバSAのメンテナンス工数とはトレードオフの関係にあり、たとえば図10のようにセンターサーバ上にセキュリティ管理サーバSAが設けられている場合には、セキュリティ管理サーバSAのメンテナンスは容易に行えるものの、各デバイス固有の暗号鍵を用いるなどしてセキュリティレベルを高く設定する必要がある。
【0005】
これに対して、図11に示す住宅設備システムのように、ユーザ宅内に構築された閉鎖的なネットワーク(宅内LAN)上にデバイスD1およびセキュリティ管理サーバSBが存在するネットワークシステムにおいては、セキュリティ管理サーバSBに対して外部(ユーザ宅外)から容易にアクセスすることができないため、セキュリティ管理サーバSBのメンテナンスを容易に行うことはできないが、複数台のデバイスに共通の暗号鍵を用いるなどしてセキュリティレベルを低く設定することが可能である。
【特許文献1】特開2005−252947号公報
【特許文献2】特開平8−297638号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
ところで、たとえば宅内LAN等の閉鎖的なネットワーク上に構築したネットワークシステムを拡張してインターネットに接続可能とする場合のように、システム構成に変化が生じた場合には、通信の安全性が変化することがある。たとえば、セキュリティレベルの低い宅内のセキュリティ管理サーバSBを利用していたデバイスがインターネットに接続されるようになると、当該デバイスに対してインターネット上の不特定の端末からアクセスを試みることが可能となるため、通信の安全性が低下することとなる。この場合、デバイスの設定を変更することにより、デバイスが利用するセキュリティ管理サーバを切り替えてセキュリティレベルの向上を図る必要がある。
【0007】
しかし、このような場合に、デバイスが利用するセキュリティ管理サーバの選択をユーザが行う必要があるため、よりセキュリティレベルの高いセキュリティ管理サーバを見分ける知識のない一般的なユーザでは、最適なセキュリティレベルを実現することは困難である。
【0008】
本発明は上記事由に鑑みてなされたものであって、ユーザに特別な知識がない場合でも、最適なセキュリティレベルを実現することができるネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
請求項1の発明では、それぞれセキュリティレベルに関するサーバ属性情報を保持した複数台のセキュリティ管理サーバと、セキュリティ属性情報を保持したデバイスとをネットワーク上に備え、デバイスは、ネットワーク上に存在するセキュリティ管理サーバを検出するサーバ検出手段と、自己のセキュリティ属性情報とサーバ検出手段で検出された各セキュリティ管理サーバのサーバ属性情報とを比較することで、最も高いセキュリティレベルを実現できるセキュリティ管理サーバを選択して当該セキュリティ管理サーバが持つセキュリティ情報を取得するサーバ選択手段とを有することを特徴とする。
【0010】
この構成によれば、デバイスは、サーバ検出手段でネットワーク上のセキュリティ管理サーバを検出し、サーバ選択手段にて自己のセキュリティ属性情報と各セキュリティ管理サーバのサーバ属性情報とを比較することで、最も高いセキュリティレベルを実現可能なセキュリティ管理サーバを選択して利用するから、ユーザがセキュリティ管理サーバの選択をすることなく、最適なセキュリティレベルを実現することができる。すなわち、デバイス自身が、最適なセキュリティレベルを実現可能なセキュリティ管理サーバを選択して利用するから、ユーザに特別な知識がない場合でも、最適なセキュリティレベルを実現できるという利点がある。なお、セキュリティ管理サーバが持つセキュリティ情報には、デバイス間でセキュアな通信を行うために必要なセッション鍵や、デバイス間での書き込みの可否等を示すアクセス制限情報などが含まれる。
【0011】
請求項2の発明は、請求項1の発明において、前記サーバ属性情報として、前記セキュリティ管理サーバに設定されている暗号鍵の種別を用いることを特徴とする。
【0012】
この構成によれば、デバイスのサーバ選択手段は、暗号鍵の種別に基づいてセキュリティ管理サーバを選択するから、暗号鍵の種別の違いによってセキュリティ管理サーバ間でセキュリティレベルに差がある場合に、セキュリティレベルの最も高いセキュリティ管理サーバを選択して利用することができる。なお、暗号鍵の種別には、暗号鍵の鍵長や、暗号鍵の適用範囲などが含まれる。
【0013】
請求項3の発明は、請求項1の発明において、前記サーバ属性情報として、前記セキュリティ管理サーバにおける暗号鍵の生成過程の種別を用いることを特徴とする。
【0014】
この構成によれば、デバイスサーバ選択手段は、暗号鍵の生成過程の種別に基づいてセキュリティ管理サーバを選択するから、暗号鍵の生成過程の種別の違いによってセキュリティ管理サーバ間でセキュリティレベルに差がある場合に、セキュリティレベルの最も高いセキュリティ管理サーバを選択して利用することができる。なお、暗号鍵の生成過程の種別には、暗号鍵の生成に用いる乱数の精度などが含まれる。
【0015】
請求項4の発明は、請求項1ないし請求項3のいずれかの発明において、前記サーバ選択手段が、前記ネットワーク上の前記セキュリティ管理サーバの増減を検知すると、セキュリティ管理サーバを再選択することを特徴とする。
【0016】
この構成によれば、セキュリティ管理サーバがネットワーク上に追加されたりネットワーク上から離脱したりすることによって、ネットワーク上のセキュリティ管理が増減した場合でも、サーバ選択手段が自動的にセキュリティ管理サーバを再選択することにより最適なセキュリティレベルを実現することができる。
【0017】
請求項5の発明は、請求項4の発明において、前記ネットワーク上に追加された前記セキュリティ管理サーバが、自己の前記サーバ属性情報を前記デバイスに通知し、前記サーバ選択手段が、サーバ属性情報の通知を受けてネットワーク上のセキュリティ管理サーバの増加を検知することを特徴とする。
【0018】
この構成によれば、ネットワーク上に複数台のデバイスがある場合に、ネットワーク上にセキュリティ管理サーバが追加されたとしても、セキュリティ管理サーバから前記複数台のデバイスに対してサーバ属性情報が通知されることになるので、前記複数台のデバイスからセキュリティ管理サーバへのアクセスが集中することを回避でき、ネットワーク上の通信トラフィックを低減できるという利点がある。
【0019】
請求項6の発明は、請求項1ないし請求項5のいずれかの発明において、前記サーバ選択手段が、前記ネットワーク上の前記セキュリティ管理サーバの持つ前記サーバ属性情報の変更を検知し、セキュリティ管理サーバを再選択することを特徴とする。
【0020】
この構成によれば、サーバ検出手段にて既に検出されているセキュリティ管理サーバにおいてサーバ属性情報の変更があった場合に、サーバ選択手段は、変更後のサーバ属性情報に基づいて自動的にセキュリティ管理サーバを再選択することにより最適なセキュリティレベルを実現することができる。
【0021】
請求項7の発明は、請求項6の発明において、前記サーバ属性情報が変更された前記セキュリティ管理サーバが、自己の変更後のサーバ属性情報を前記デバイスに通知し、前記サーバ選択手段が、サーバ属性情報の通知を受けて前記ネットワーク上のセキュリティ管理サーバの持つサーバ属性情報の変更を検知することを特徴とする。
【0022】
この構成によれば、ネットワーク上に複数台のデバイスがある場合に、ネットワーク上のセキュリティ管理サーバの持つサーバ属性情報が変更されたとしても、セキュリティ管理サーバから前記複数台のデバイスに対して変更後のサーバ属性情報が通知されることになるので、前記複数台のデバイスからセキュリティ管理サーバへのアクセスが集中することを回避でき、ネットワーク上の通信トラフィックを低減できるという利点がある。
【0023】
請求項8の発明は、請求項1ないし請求項7のいずれかの発明において、前記デバイスが、前記セキュリティ管理サーバとの通信信頼性を評価するサーバ管理手段を有し、前記サーバ選択手段が、最も高いセキュリティレベルを実現できるセキュリティ管理サーバが前記ネットワーク上に複数台存在する場合に、当該複数台のセキュリティ管理サーバの中でサーバ管理手段での評価値が最も高いセキュリティ管理サーバを選択することを特徴とする。
【0024】
この構成によれば、デバイスは、セキュリティ管理サーバとの通信信頼性の評価値をサーバ属性情報に加味してセキュリティ管理サーバを選択するので、セキュリティレベルが高くても通信状況が不安定なセキュリティ管理サーバは選択の対象から外されることとなり、結果的に、セキュリティレベルの運用が不安定になることを回避できるという利点がある。
【発明の効果】
【0025】
本発明は、デバイス自身が、最適なセキュリティレベルを実現可能なセキュリティ管理サーバを選択して利用するから、ユーザに特別な知識がない場合でも、最適なセキュリティレベルを実現できるという利点がある。
【発明を実施するための最良の形態】
【0026】
(実施形態1)
本実施形態のネットワークシステムは、図1に示すように、ユーザ宅内に設置された設備機器からなるデバイスD1と、それぞれセキュリティ管理サーバとして機能する宅内サーバS1およびバックアップ用宅内サーバS2とをネットワークとしての宅内LAN上に備えた住宅設備システムからなる。このネットワークシステムでは、デバイスD1同士あるいは宅内サーバS1−デバイスD1間で通信を行うことにより、デバイスD1の制御や監視などデバイスD1を管理することが可能である。
【0027】
デバイスD1は、図2に示すように、ネットワークに接続される通信手段1と、ネットワーク上のセキュリティ管理サーバを検出するサーバ検出手段2と、サーバ検出手段2を起動するためのトリガ信号を生成する検出トリガ手段3と、サーバ検出手段2で検出されたセキュリティ管理サーバの中から最適なセキュリティレベルを実現可能なセキュリティ管理サーバを選択するサーバ選択手段4と、セキュリティ管理サーバとの通信信頼性を評価するサーバ管理手段5と、セキュリティ属性情報を保持する情報保持手段6とを有している。
【0028】
デバイスD1の情報保持手段6に保持されているセキュリティ属性情報は、デバイスD1自身が現在利用可能なセキュリティレベルに関する情報であって、ここでは「宅内共通の暗号鍵あり」と「機器固有の暗号鍵あり」との2つの情報を含んでいる。
【0029】
宅内サーバS1およびバックアップ用宅内サーバS2は、それぞれ図3に示すように(図3では宅内サーバS1を例示する)、ネットワークに接続される通信手段7と、セキュリティ管理サーバとしての機能を実現するためのセキュリティ管理手段8と、セキュリティ管理サーバとしてのサーバ属性情報を保持する情報保持手段9と、情報保持手段9内のサーバ属性情報を管理するデータ管理手段10と、サーバ属性情報の設定を変更する設定変更手段11とを有している。
【0030】
宅内サーバS1の情報保持手段9に保持されているサーバ属性情報は、ネットワーク上のデバイスD1に適用するセキュリティレベルに関する情報であって、ここでは「セキュリティレベル:中」、「宅内共通の暗号鍵を使用」、「暗号鍵の鍵長:256bit」、「乱数の精度は高い」の4つの情報を含んでいる。
【0031】
同様に、バックアップ用宅内サーバS2の情報保持手段9に保持されているサーバ属性情報は、「セキュリティレベル:低」、「宅内共通の暗号鍵を使用」、「暗号鍵の鍵長:128bit」、「乱数の精度は低い」の4つの情報を含んでいる。
【0032】
ここで、「暗号鍵の鍵長」は、ネットワークシステムで使用する暗号鍵の種別、具体的には暗号鍵のビット長を示すものであって、鍵長が長い(ビット数が多い)程セキュリティレベルが高いことを意味する。暗号鍵の種別としては、鍵長の他に、暗号鍵が機器(デバイス)固有の暗号鍵、あるいは宅内のデバイス間で予め決められたグループ内で共通の暗号鍵、若しくは宅内共通の暗号鍵のいずれであるかも規定され、通信の安全性は暗号鍵の適用範囲が広くなるほど、つまり機器固有、グループ内共通、宅内共通の順に低くなる。したがって、セキュリティレベルを高める場合には暗号鍵の適用範囲を狭めることが望ましい。なお、機器固有の暗号鍵とする場合には、たとえば暗号化に公開鍵を使用し、復号化に前記機器固有の暗号鍵を秘密鍵として使用する公開鍵暗号方式がデバイス間の通信に適用される。
【0033】
また、「乱数の精度」は、暗号鍵の生成過程の種別、具体的には暗号鍵の生成過程において用いられる乱数の精度を示すものであって、精度が高い程セキュリティレベルが高いことを意味する。
【0034】
以下では、本実施形態のネットワークシステムの動作例について図1および図4、図5を参照して説明する。
【0035】
デバイスD1は、電源が投入されて起動したことを検出トリガ手段3で検知すると、検出トリガ手段3でトリガ信号を生成し、当該トリガ信号を受け取ったサーバ検出手段2によりネットワーク(宅内LAN)上のセキュリティ管理サーバの検索を開始する。このとき、図1の例では宅内サーバS1とバックアップ用宅内サーバS2との2つのセキュリティ管理サーバが検出される。
【0036】
それから、デバイスD1は検出した各セキュリティ管理サーバ(宅内サーバS1およびバックアップ用宅内サーバS2)の持つサーバ属性情報をそれぞれ取得して、各セキュリティ管理サーバが自己の利用可能なセキュリティ管理サーバか否かを判断する。ここで、デバイスD1は、セキュリティ情報として宅内共通の暗号鍵を有しているため、宅内サーバS1とバックアップ用宅内サーバS2との両方が利用可能と判断する。
【0037】
そして、デバイスD1は利用可能と判断したセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバを、対象サーバとしてサーバ選択手段4で選択する。ここでは、サーバ属性情報内の「セキュリティレベル」が「中」に設定されている宅内サーバS1が対象サーバとして選択される。
【0038】
このように対象サーバとして選択されたセキュリティ管理サーバは、デバイス間でセキュアな通信を行うために必要なセッション鍵(暗号鍵)の生成や、デバイス間での書き込みの可否等を示すアクセス制限情報(パーミッション情報)の設定または生成を自己のサーバ属性情報に従って行う。要するに、サーバ属性情報では、当該セキュリティ管理サーバで生成されるセッション鍵やアクセス制限情報のセキュリティレベルを管理しているのであって、たとえば、「乱数の精度」が高くなるほどセキュリティレベルの高い(つまり、通信の安全性の高い)セッション鍵を生成することが可能となり、また、「セキュリティレベル」が高くなるほどアクセス制限情報を細かく設定することが可能となる。デバイスD1は、対象サーバとして選択したセキュリティ管理サーバから、上述のセッション鍵やアクセス制限情報などを含むセキュリティ情報を取得し、これらのセキュリティ情報を用いて通信を開始する。
【0039】
ただし、対象サーバの判断基準は「セキュリティレベル」に限らずサーバ属性情報に含まれている情報であればよく、たとえばサーバ属性情報内の「暗号鍵の鍵長」を比較して、「暗号鍵の鍵長」が「256bit」である宅内サーバS1を対象サーバとして選択するようにしてもよい。また、セキュリティ管理サーバが暗号鍵を生成する過程において使用する「乱数の精度」を比較して、「乱数の精度」が「高い」に設定されているセキュリティ管理サーバ(ここでは宅内サーバS1)を対象サーバに選択することも考えられる。サーバ属性情報内のいずれの項目を対象サーバの選択時の判断基準に用いるかは、デバイスD1の情報保持手段6に保持されているセキュリティ属性情報にて規定することができる。すなわち、セキュリティ属性情報においては、たとえば「暗号鍵の鍵長」についてはビット長が長い程セキュリティレベルが高いものと判断し、ビット長が短い程セキュリティレベルが低いものと判断するように、セキュリティレベルの判断時の条件が規定される。
【0040】
ここにおいて、デバイスD1は、電源投入後、一定周期でネットワーク上のセキュリティ管理サーバの検索を繰り返し行う。つまり、検出トリガ手段3が一定の周期でトリガ信号を生成しサーバ検出手段2に与えることにより、サーバ検出手段2は前記一定周期でセキュリティ管理サーバの検索を行うこととなる。このとき、ネットワーク上のセキュリティ管理サーバの台数が増減することによりシステム構成自体が変化していると、サーバ選択手段4はシステム構成の変化後のセキュリティ管理サーバを対象として、対象サーバを再度選択する。なお、この構成に限らず、たとえばデバイスD1に備わるスイッチ(図示せず)等の操作により、ユーザが任意のタイミングでトリガ信号をサーバ検出手段2に与えてネットワーク上のセキュリティ管理サーバの検索を開始するようにしてもよい。
【0041】
しかして、デバイスD1が対象サーバとして宅内サーバS1を選択している状態で、たとえば図4に示すように宅内サーバS1が動作を停止してネットワークから切り離された(離脱した)場合には、デバイスD1は、一定周期でネットワーク上のセキュリティ管理サーバを再検索した際に、宅内サーバS1が離脱していることを検知し、ネットワーク上に残ったセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバ(ここではバックアップ用宅内サーバS2)を対象サーバとして選択し利用(対象サーバが持つセキュリティ情報を取得)する。
【0042】
また、ネットワーク上のいずれかのセキュリティ管理サーバのメンテナンスが行われ、当該セキュリティ管理サーバの情報保持手段9に格納されているサーバ属性情報が設定変更された場合(つまりサーバ属性情報が書き換えられた場合)には、デバイスD1は、サーバ選択手段4にて変更後のサーバ属性情報を比較することで対象サーバを再選択する。要するに、デバイスD1は、サーバ検出手段2がネットワーク上のセキュリティ管理サーバを検出する度に、各セキュリティ管理サーバのサーバ属性情報を取得し、当該サーバ属性情報を前回のセキュリティ管理サーバ検出時に取得したサーバ属性情報と比較することで、サーバ属性情報の変更の有無を判断する。そして、サーバ属性情報が変更されていれば、変更後のサーバ属性情報を用いて再度対象サーバを選択する。
【0043】
すなわち、デバイスD1が対象サーバとして宅内サーバS1を選択している状態で、たとえば図5に示すようにバックアップ用宅内サーバS2のサーバ属性情報が設定変更された場合には、デバイスD1は、ネットワーク上のセキュリティ管理サーバの検索時に、サーバ属性情報の変更を検知する。ここでは、バックアップ用宅内サーバS2のサーバ属性情報が「セキュリティレベル:低」から「セキュリティレベル:高」、「宅内共通の暗号鍵を使用」から「機器固有の暗号鍵を使用」、「暗号鍵の鍵長:128bit」から「暗号鍵の鍵長:256bit」、「乱数の精度は低い」から「乱数の精度は高い」にそれぞれ変更されていたものとする。この場合、デバイスD1は、変更後のサーバ属性情報を比較対象とすることで、よりセキュリティレベルの高いセキュリティ管理サーバ(ここでは、バックアップ用宅内サーバS2)を対象サーバに選択する。
【0044】
これにより、ネットワークシステムのシステム構成自体には変更がなく既存のセキュリティ管理サーバの設定変更があった場合でも、当該設定変更を考慮して最もセキュリティレベルの高いセキュリティ管理サーバを対象サーバとして利用することが可能になる。
【0045】
ここで、セキュリティ管理サーバのサーバ属性情報の設定変更の検出は、前述のようにサーバ検出手段2がネットワーク上のセキュリティ管理サーバを検出する度に実施してもよいが、セキュリティ管理サーバの持つサーバ属性情報が設定変更された場合に、当該セキュリティ管理サーバがネットワーク上のデバイスD1に対して、自己の変更後のサーバ属性情報を含む起動通知を行う構成としてもよい。この場合、デバイスD1のサーバ選択手段2は、起動通知を受けてセキュリティ管理サーバのサーバ属性情報の変更を検知し、変更後のサーバ属性情報を用いて再度対象サーバを選択する。
【0046】
(実施形態2)
本実施形態のネットワークシステムは、図6に示すように宅内LANとインターネットを介して接続されるセンターサーバS3が追加され、当該センターサーバS3にもセキュリティ管理サーバとしての機能が備わっている点が実施形態1のネットワークシステムと相違する。
【0047】
本実施形態では、閉鎖的なネットワーク(宅内LAN)上に構築したネットワークシステムを拡張してインターネットと接続することにより、拡張前には宅内LAN上のセキュリティ管理サーバS1,S2しか利用できなかったデバイスD1が、インターネット上のセキュリティ管理サーバ(センターサーバS3)を利用可能となった場合を想定している。このような場合、デバイスD1に対してインターネット上の不特定の端末からアクセスを試みることが可能となり、通信の安全性が低下することとなるので、デバイスD1が対象サーバとして利用するセキュリティ管理サーバを切り替えてセキュリティレベルの向上を図る必要がある。
【0048】
以下では、宅内LANとインターネットとを合わせて1つのネットワークとする。また、図6の例では、「セキュリティレベル:低」のサーバ属性情報を持つバックアップ用宅内サーバS2とデバイスD1とが宅内LAN側のネットワークに接続されているものとする。
【0049】
ここで、センターサーバS3の情報保持手段に格納されているサーバ属性情報は、「セキュリティレベル:高」、「機器固有の暗号鍵を使用」、「暗号鍵の鍵長:256bit」、「乱数の精度は高い」の4つの情報を含んでいる。
【0050】
したがって、宅内LAN上に存在するデバイスD1がインターネットを介してセンターサーバS3に接続されると、デバイスD1は、サーバ検出手段2によりネットワーク上のセキュリティ管理サーバとしてバックアップ用宅内サーバS2とセンターサーバS3とを検出する。そして、バックアップ用宅内サーバS2とセンターサーバS3とのサーバ属性情報を比較して、よりセキュリティレベルの高いセキュリティ管理サーバ(ここではセンターサーバS3)を対象サーバとして選択して利用する。
【0051】
ところで、新たに追加されたセキュリティ管理サーバの検出は、前述のようにデバイスD1が一定周期で実施してもよいが、デバイスの台数が多くなると通信トラフィックが増加するという問題がある。すなわち、図7に示すようにネットワーク(ここでは宅内LAN)上に複数台のデバイスD1〜D3が存在する場合、これら複数台のデバイスD1〜D3が一斉にセンターサーバS3にアクセスしてサーバ属性情報を取得することにより、ネットワーク上のトラフィックが増大する可能性がある。
【0052】
そこで、セキュリティ管理サーバ(ここではセンターサーバS3)がネットワーク上に追加された場合には、当該セキュリティ管理サーバがネットワーク上のデバイスD1〜D3に対して、自己のサーバ属性情報を含む起動通知を行う構成とすることが望ましい。起動通知は、セキュリティ管理サーバからネットワーク上の全デバイスD1〜D3に対してブロードキャスト方式で行われるものとし、これによりネットワーク上のトラフィックの増大を抑制することができる。
【0053】
要するに、図7の例では、センターサーバS3がネットワーク(宅内LAN)に接続されると、センターサーバS3からの起動通知が宅内LAN上のデバイスD1〜D3に一斉送信され、これらのデバイスD1〜D3は、サーバ検出手段2にてセンターサーバS3からの起動通知を受けることによりセンターサーバS3の存在を検出する。その後、各デバイスD1〜D3はセンターサーバS3をネットワーク上の他のセキュリティ管理サーバと比較することで、利用可能なセキュリティ管理サーバの中で最もセキュリティレベルの高いセキュリティ管理サーバ(ここでは、センターサーバS3)を対象サーバとして選択し利用する。このようにセキュリティレベルの高いセキュリティ管理サーバが新たに利用可能になると、デバイスD1〜D3は、よりセキュリティレベルの高いセキュリティ管理サーバを対象サーバとするように自動的に対象サーバの切り替えを行う。
【0054】
なお、宅内LANとインターネットとの間にルータ等が介在することで、起動通知をセンターサーバS3から宅内LAN上のデバイスD1〜D3に直接送信できない場合には、宅内サーバS1が定期的にインターネット上のセキュリティ管理サーバを検索し、セキュリティ管理サーバの検出時に、宅内サーバS1からデバイスD1〜D3に対してブロードキャスト方式あるいはマルチキャスト方式で起動通知を転送するようにしてもよい。
【0055】
ここにおいて、デバイスD1はダイヤルアップ回線でセンターサーバS3と接続されるものであって、そのためデバイスD1とセンターサーバS3との間のインターネット通信は不安定になりやすいものと仮定する。この場合、インターネット通信が途絶えてデバイスD1−センターサーバS3間の通信が一時的に途絶えると、デバイスD1はネットワークからセンターサーバS3が離脱したと判断し、対象サーバをセンターサーバS3から他のセキュリティ管理サーバに切り替える。その後、デバイスD1−センターサーバS3間の通信が復旧すると、デバイスD1はセンターサーバS3が起動したと判断して、対象サーバを再びセンターサーバS3に切り替えることとなる。このように、通信路(ダイヤルアップ回線)の状況により対象サーバが頻繁に切り替わると、対象サーバの切替時に一時的にシステムが停止することにより不具合を生じる可能性がある。
【0056】
そこで、本実施形態では、デバイスD1は、サーバ管理手段5にてセキュリティ管理サーバとの通信信頼性を評価し、当該評価値をサーバ選択手段4での対象サーバの判断基準に加味するものとする。すなわち、デバイスD1は、図8に示すように対象サーバとして選択されているセキュリティ管理サーバ(ここではセンターサーバS3)の稼働状況の異常(サーバが起動/停止を繰り返して安定しない、ダイヤルアップ回線などで通信路が安定しない等)を検知すると、このように稼働状況に異常のあるセキュリティ管理サーバを除くセキュリティ管理サーバの中で、最もセキュリティレベルの高いセキュリティ管理サーバ(ここでは宅内サーバS1)を対象サーバに選択する。これにより、デバイスD1が利用可能なセキュリティ管理サーバの中に、通信信頼性に問題のあるセキュリティ管理サーバが含まれていても、当該問題のあるセキュリティ管理サーバが対象サーバとして選択されることを回避できる。
【0057】
また、デバイスD1においてセキュリティ管理サーバとの通信信頼性を評価するためには、図9に示すようにセキュリティ管理サーバの持つサーバ属性情報を利用するようにしてもよい。図9の例では、宅内サーバS1とセンターサーバS3とは情報保持手段9に保持したサーバ属性情報のうちセキュリティレベルに関する項目は共通である(ここでは、いずれも「セキュリティレベル:高」、「機器固有の暗号鍵を使用」、「暗号鍵の鍵長:256bit」、「乱数の精度は高い」)が、宅内サーバS1のサーバ属性情報には「宅内LAN上に設置」を含んでいるのに対し、センターサーバS3のサーバ属性情報には「インターネット上に設置」を含んでいる。
【0058】
この場合、デバイスD1は、両セキュリティ管理サーバのセキュリティレベルが同じであるため、各セキュリティ管理サーバの設置されている場所を比較し、宅内LAN上の宅内サーバS1とインターネット上のセンターサーバS3とでは、宅内LAN上の宅内サーバS1の方が通信信頼性(安定性)に優れていると判断する。そのため、デバイスD1は宅内サーバS1を対象サーバに選択して利用する。このように、セキュリティ管理サーバの実際の通信状況を評価しなくても、サーバ属性情報として予め与えられているセキュリティ管理サーバの通信信頼性を加味することで、対象サーバが頻繁に切り替わることを回避できる。
【0059】
なお、サーバ管理手段5での評価値を対象サーバの選択時の判断基準にどの程度加味するかは、デバイスD1のセキュリティ属性情報において規定することが可能である。そのため、たとえ宅内サーバS1のセキュリティレベルがセンターサーバS3のセキュリティ管理サーバより低くても、セキュリティ管理サーバの通信信頼性(安定性)を優先して、センターサーバD3ではなく宅内サーバS1を対象サーバに選択する設定とすることも可能である。
【0060】
その他の構成および機能は実施形態1と同様である。
【図面の簡単な説明】
【0061】
【図1】本発明の実施形態1のシステム構成を示す概略ブロック図である。
【図2】同上のデバイスの構成を示す概略ブロック図である。
【図3】同上のセキュリティ管理サーバの構成を示す概略ブロック図である。
【図4】同上のシステム構成を示す概略ブロック図である。
【図5】同上のシステム構成を示す概略ブロック図である。
【図6】本発明の実施形態2のシステム構成を示す概略ブロック図である。
【図7】同上のシステム構成を示す概略ブロック図である。
【図8】同上のシステム構成を示す概略ブロック図である。
【図9】同上のシステム構成を示す概略ブロック図である。
【図10】従来例を示す概略ブロック図である。
【図11】他の従来例を示す概略ブロック図である。
【符号の説明】
【0062】
2 サーバ検出手段
4 サーバ選択手段
5 サーバ管理手段
D1〜D3 デバイス
S1 宅内サーバ(セキュリティ管理サーバ)
S2 バックアップ用宅内サーバ(セキュリティ管理サーバ)
S3 センターサーバ(セキュリティ管理サーバ)
【特許請求の範囲】
【請求項1】
それぞれセキュリティレベルに関するサーバ属性情報を保持した複数台のセキュリティ管理サーバと、セキュリティ属性情報を保持したデバイスとをネットワーク上に備え、デバイスは、ネットワーク上に存在するセキュリティ管理サーバを検出するサーバ検出手段と、自己のセキュリティ属性情報とサーバ検出手段で検出された各セキュリティ管理サーバのサーバ属性情報とを比較することで、最も高いセキュリティレベルを実現できるセキュリティ管理サーバを選択して当該セキュリティ管理サーバが持つセキュリティ情報を取得するサーバ選択手段とを有することを特徴とするネットワークシステム。
【請求項2】
前記サーバ属性情報として、前記セキュリティ管理サーバに設定されている暗号鍵の種別を用いることを特徴とする請求項1記載のネットワークシステム。
【請求項3】
前記サーバ属性情報として、前記セキュリティ管理サーバにおける暗号鍵の生成過程の種別を用いることを特徴とする請求項1記載のネットワークシステム。
【請求項4】
前記サーバ選択手段は、前記ネットワーク上の前記セキュリティ管理サーバの増減を検知すると、セキュリティ管理サーバを再選択することを特徴とする請求項1ないし請求項3のいずれか1項に記載のネットワークシステム。
【請求項5】
前記ネットワーク上に追加された前記セキュリティ管理サーバは、自己の前記サーバ属性情報を前記デバイスに通知し、前記サーバ選択手段は、サーバ属性情報の通知を受けてネットワーク上のセキュリティ管理サーバの増加を検知することを特徴とする請求項4記載のネットワークシステム。
【請求項6】
前記サーバ選択手段は、前記ネットワーク上の前記セキュリティ管理サーバの持つ前記サーバ属性情報の変更を検知し、セキュリティ管理サーバを再選択することを特徴とする請求項1ないし請求項5のいずれか1項に記載のネットワークシステム。
【請求項7】
前記サーバ属性情報が変更された前記セキュリティ管理サーバは、自己の変更後のサーバ属性情報を前記デバイスに通知し、前記サーバ選択手段は、サーバ属性情報の通知を受けて前記ネットワーク上のセキュリティ管理サーバの持つサーバ属性情報の変更を検知することを特徴とする請求項6記載のネットワークシステム。
【請求項8】
前記デバイスは、前記セキュリティ管理サーバとの通信信頼性を評価するサーバ管理手段を有し、前記サーバ選択手段は、最も高いセキュリティレベルを実現できるセキュリティ管理サーバが前記ネットワーク上に複数台存在する場合に、当該複数台のセキュリティ管理サーバの中でサーバ管理手段での評価値が最も高いセキュリティ管理サーバを選択することを特徴とする請求項1ないし請求項7のいずれか1項に記載のネットワークシステム。
【請求項1】
それぞれセキュリティレベルに関するサーバ属性情報を保持した複数台のセキュリティ管理サーバと、セキュリティ属性情報を保持したデバイスとをネットワーク上に備え、デバイスは、ネットワーク上に存在するセキュリティ管理サーバを検出するサーバ検出手段と、自己のセキュリティ属性情報とサーバ検出手段で検出された各セキュリティ管理サーバのサーバ属性情報とを比較することで、最も高いセキュリティレベルを実現できるセキュリティ管理サーバを選択して当該セキュリティ管理サーバが持つセキュリティ情報を取得するサーバ選択手段とを有することを特徴とするネットワークシステム。
【請求項2】
前記サーバ属性情報として、前記セキュリティ管理サーバに設定されている暗号鍵の種別を用いることを特徴とする請求項1記載のネットワークシステム。
【請求項3】
前記サーバ属性情報として、前記セキュリティ管理サーバにおける暗号鍵の生成過程の種別を用いることを特徴とする請求項1記載のネットワークシステム。
【請求項4】
前記サーバ選択手段は、前記ネットワーク上の前記セキュリティ管理サーバの増減を検知すると、セキュリティ管理サーバを再選択することを特徴とする請求項1ないし請求項3のいずれか1項に記載のネットワークシステム。
【請求項5】
前記ネットワーク上に追加された前記セキュリティ管理サーバは、自己の前記サーバ属性情報を前記デバイスに通知し、前記サーバ選択手段は、サーバ属性情報の通知を受けてネットワーク上のセキュリティ管理サーバの増加を検知することを特徴とする請求項4記載のネットワークシステム。
【請求項6】
前記サーバ選択手段は、前記ネットワーク上の前記セキュリティ管理サーバの持つ前記サーバ属性情報の変更を検知し、セキュリティ管理サーバを再選択することを特徴とする請求項1ないし請求項5のいずれか1項に記載のネットワークシステム。
【請求項7】
前記サーバ属性情報が変更された前記セキュリティ管理サーバは、自己の変更後のサーバ属性情報を前記デバイスに通知し、前記サーバ選択手段は、サーバ属性情報の通知を受けて前記ネットワーク上のセキュリティ管理サーバの持つサーバ属性情報の変更を検知することを特徴とする請求項6記載のネットワークシステム。
【請求項8】
前記デバイスは、前記セキュリティ管理サーバとの通信信頼性を評価するサーバ管理手段を有し、前記サーバ選択手段は、最も高いセキュリティレベルを実現できるセキュリティ管理サーバが前記ネットワーク上に複数台存在する場合に、当該複数台のセキュリティ管理サーバの中でサーバ管理手段での評価値が最も高いセキュリティ管理サーバを選択することを特徴とする請求項1ないし請求項7のいずれか1項に記載のネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2010−97499(P2010−97499A)
【公開日】平成22年4月30日(2010.4.30)
【国際特許分類】
【出願番号】特願2008−269063(P2008−269063)
【出願日】平成20年10月17日(2008.10.17)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
【公開日】平成22年4月30日(2010.4.30)
【国際特許分類】
【出願日】平成20年10月17日(2008.10.17)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
[ Back to top ]