ノード及びプログラム
【課題】親ノードから子ノードへと伝送される更新されたグループ鍵の暗号化に必要な暗号化鍵を、親ノードと子ノードとの間で交換する際、処理負荷を少なくする。
【解決手段】ノードは、1つのルートノードを含む無線メッシュネットワークに含まれるノードであって、ルートノードとの間で、無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、親ノードとの間の共通鍵である親子鍵を生成し、ルート鍵で親子鍵を暗号化し、暗号化した親子鍵をルートノードに送信する親子鍵設定部と、親ノードから、親子鍵により暗号化されたグループ鍵を受信し、親子鍵によりグループ鍵を復号するグループ鍵取得部とを備える。
【解決手段】ノードは、1つのルートノードを含む無線メッシュネットワークに含まれるノードであって、ルートノードとの間で、無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、親ノードとの間の共通鍵である親子鍵を生成し、ルート鍵で親子鍵を暗号化し、暗号化した親子鍵をルートノードに送信する親子鍵設定部と、親ノードから、親子鍵により暗号化されたグループ鍵を受信し、親子鍵によりグループ鍵を復号するグループ鍵取得部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、ノード、およびプログラムに関する。
【背景技術】
【0002】
従来、1つの根ノード(ルートノードという)となるノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する無線メッシュネットワークにおいて、1つのグループ鍵を無線メッシュネットワーク内の各ノードで共有する技術がある。
【0003】
グループ鍵は、例えば、無線メッシュネットワークに接続された各ノードに対する通信の可否を確認するための認証に用いられる。
【0004】
新規ノードは、無線メッシュネットワークに新たに参加する時に、新規ノードとルートノードとの間で実行されるネットワークアクセス認証を行う。ネットワークアクセス認証が成功すれば、ルートノードと新規ノードは、それぞれ共通の暗号鍵を生成し、共通の暗号鍵を共有する。
【0005】
そして、ルートノードは、新規ノードに対して、暗号鍵で暗号化したグループ鍵を送信する。
【0006】
このように、新規ノードはルートノードからグループ鍵を取得することができる。
【0007】
グループ鍵は、有効期限を持ち、有効期限切れになる前に更新され、新しいグループ鍵が生成されることがある。そして、新しいグループ鍵は、無線メッシュネットワークに接続する全てのノードで共有する必要がある。
【0008】
共有のために、ルートノードは、グループ鍵を更新すると、新しいグループ鍵を、ネットワーク上の各ノードに対して、例えば、ホープバイホップで伝搬する。つまり、ルートノードが送信したグループ鍵は、隣接するノード間に順次伝送される。ホップバイホップで、グループ鍵を伝送するためには、隣接するノード間、つまり送信する側のノード(親ノード)と受信する側のノード(子ノード)との間で暗号化と復号に必要な暗号鍵を交換する必要がある。
【0009】
暗号鍵を交換する技術として、例えば、PKI(Public Key Infrastructure) を用いた公開鍵の交換を用いることが想定できる。しかしながら、この技術を用いる場合、公開鍵が信頼できるデータであることを示すために、認証局が発行する認証データを取得する必要があり、ノードにおける鍵交換のための処理負荷が大きい。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2010−108520号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明の一側面は、更新されたグループ鍵を親子ノード間で転送する際の暗号化及び復号に用いる鍵を、処理負荷を少なくして親子ノード間で交換することを目的とする。
【課題を解決するための手段】
【0012】
本発明の一観点にかかるノードは、1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部とを備えることを特徴とする。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態にかかるシステムを示すブロック図である。
【図2】本発明の第1の実施形態にかかるシステムの動作を示すシーケンス図である。
【図3】本発明の第1の実施形態にかかる子ノードを示すブロック図である。
【図4】本発明の第1の実施形態にかかる親ノードを示すブロック図である。
【図5】本発明の第1の実施形態にかかるルートノードを示すブロック図である。
【図6】本発明の第2の実施形態にかかるシステムの動作を示すシーケンス図である。
【図7】本発明の第2の実施形態にかかる子ノードを示すブロック図である。
【図8】本発明の第2の実施形態にかかる親ノードを示すブロック図である。
【図9】本発明の第2の実施形態にかかるルートノードを示すブロック図である。
【図10】本発明の第3の実施形態にかかるシステムの動作を示すシーケンス図である。
【図11】本発明の第3の実施形態にかかる子ノードを示すブロック図である。
【図12】本発明の第3の実施形態にかかる親ノードを示すブロック図である。
【図13】本発明の第3の実施形態にかかるルートノードを示すブロック図である。
【図14】本発明の第4の実施形態にかかるシステムの動作を示すシーケンス図である。
【図15】本発明の第4の実施形態にかかる子ノードを示すブロック図である。
【図16】本発明の第4の実施形態にかかる親ノードを示すブロック図である。
【図17】本発明の第4の実施形態にかかるルートノードを示すブロック図である。
【図18】本発明の第5の実施形態にかかるシステムの動作を示すシーケンス図である。
【図19】本発明の第5の実施形態にかかる子ノードを示すブロック図である。
【図20】本発明の第5の実施形態にかかる親ノードを示すブロック図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態について、図面を参照しながら説明する。尚、各図において同一箇所については同一の符号を付すとともに、重複した説明は省略する。
【0015】
<第1の実施形態>
図1は、本発明の第1の実施形態にかかるシステム10を示すブロック図である。
【0016】
システム10は、1つの根ノード(ルートノードという)を含み且つ隣接する階層のノード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する無線メッシュネットワーク10である。本実施例のシステム10は、ルートノード10を第1階層としたとき、最下位層のノードは第N+1階層であるシステムであるとする。
【0017】
システム10は、ルートノード100と親ノード101と子ノード102とネットワーク103とを備える。
【0018】
ルートノード100は、無線メッシュネットワーク10内に一つ存在する。ルートノード100は、システム10の最上位層(第1階層)のノードである。
【0019】
ルートノード100は、無線メッシュネットワーク10内の各ノードの管理を行う。また、ルートノード100は、無線メッシュネットワーク10内の各ノード間で共有するグループ鍵の管理を行う。尚、グループ鍵についての説明は、後述する。
【0020】
ここで、ルートノード100が行うノードの管理とは、例えば、無線メッシュネットワーク10へのノードの参加の許可若しくは禁止することや、無線メッシュネットワーク10からのノードの離脱を検出することや、無線メッシュネットワーク10内のノード一覧を把握することである。また、グループ鍵の管理とは、例えば、グループ鍵を生成すること、グループ鍵の有効期限を監視すること、及びグループ鍵を更新して新しいグループ鍵を生成することである。
【0021】
ネットワーク103は、システム10のうち、第2階層のノードから第N−1階層のノードを含むネットワークである。図1において、ノード104A及び104Dは第2階層のノードであり、ノード104B及び104Eは、第3階層のノードであり、ノード104C、ノード104Fは、第N-1階層のノードである。
【0022】
親ノード101は、システム10の第N階層のノードである。親ノード101は、ネットワーク103内のノード104Cと接続する。親ノード101はノード104Cから受け取った子ノード102宛のデータを、子ノード102に対して、転送する。
【0023】
子ノード102は、親ノード101との間でデータの送受信を行う。子ノード102は、システム10の最下位層(第N+1階層)のノードである。
【0024】
尚、一般的に、親ノード及び子ノードとは、ルーティングツリー上の相対的位置関係から導き出される。つまり、2つの隣接する階層のノードのうち、上位の層にあるノードが親ノードであり、下位の層にあるノードが子ノードである。つまり、親ノード101は、子ノード102にとっての親ノードであるが、ノード104Cにとっては子ノードである。
【0025】
本実施例では、説明の明確化のために、図1に示すように、システム10の最下位層(第N+1階層)のノードを子ノードとし、最下位層より1層上(第N階層)のノードであるノードを親ノードとして説明する。
【0026】
次に、グループ鍵について説明する。グループ鍵は、例えば、無線メッシュネットワーク10内のデータの暗号化等に使用される。そして、グループ鍵は、無線メッシュネットワーク10内のすべてのノード間で共有される情報である。つまり、グループ鍵は、無線メッシュネットワーク10内の各ノードにとって共通鍵である。グループ鍵を用いた暗号化や復号には、共通鍵暗号方式が用いられる。
【0027】
次に、無線メッシュネットワーク10内のノード間全てが、グループ鍵を共有する方法を説明する。
【0028】
まず、新たに無線メッシュネットワーク10に参加するノードがグループ鍵を取得する方法を説明する。
【0029】
ノードが無線メッシュネットワークに新たに参加する際、ルートノードが、新たに接続したノードに対してグループ鍵が通知する。ルートノードが、新たに参加したノードに対してグループ鍵を通知する際、グループ鍵は暗号化されて通知される。グループ鍵が無線メッシュネットワーク外に漏えいすることを防ぐためである。この暗号化に用いられるための暗号化鍵として、ルートノードと新たに参加したノードとの間で共有する暗号化鍵を用いる。この暗号化鍵は、ノードがルートノードに新たに参加する際に行われるネットワークアクセス認証の際に生成されるものである。ネットワークアクセス認証の詳細は後述する。
【0030】
ここで、グループ鍵は有効期限を持つ。したがって、ルートノードは、使用中のグループ鍵が有効期限切れになる前にグループ鍵の更新を行い、更新後の新しいグループ鍵を無線メッシュネットワーク内の各ノードに送信する必要がある。無線メッシュネットワーク内の各ノードが常に有効なグループ鍵を保持するように維持するためである。この更新後の新しいグループ鍵を含むメッセージも暗号化されて通知される必要がある。グループ鍵が無線メッシュネットワーク外に漏えいしないようにするためである。
【0031】
更新後の新しいグループ鍵の通知方法の一手法として、ルートノードが送信した新しいグループ鍵を、ルーティングツリー上の親子関係を有する親ノードから子ノードへと次々にユニキャストで送信し、ルートノードから無線メッシュネットワーク内の全ノードにホップバイホップで伝搬させる手法がある。
【0032】
このような伝搬手法においては、更新後のグループ鍵は、親ノードで暗号化されて子ノードで復号される必要がある。無線メッシュネットワーク外にグループ鍵の漏えいを防止し、かつ親ノードから子ノードに次々に更新後のグループ鍵が伝達される必要があるためである。このように親ノードで暗号化し、子ノードで復号する処理を実現するためには、親ノードと子ノードとで暗号化鍵と復号鍵を交換する必要がある。
【0033】
本実施形態では、親ノードと子ノードとの間で、グループ鍵更新前のタイミングで、暗号鍵と交換鍵を効率的、かつ安全に交換することを実現する。尚、本実施例では、暗号化復号の方式として、共通鍵暗号化方式を用いる例を説明する。共通鍵暗号化方式では、暗号鍵と復号鍵とが同じ鍵である共通鍵を用いる。
【0034】
以下では、親ノードと子ノードとの間で、共通鍵を共有化する方法の実現例を説明する。
【0035】
図2は、図1のシステムの動作を示すシーケンス図である。
【0036】
以下では、子ノード102が、無線メッシュネットワークに新たに参加する場合を例にとって説明する。
【0037】
まず、親ノード101と子ノード102との間で共通鍵を共有する方法を説明する。
【0038】
子ノード102が、無線メッシュネットワークに新たに参加する場合、子ノード102は、親ノード101を介してルートノード100との間でネットワークアクセス認証を行う(S200)。
【0039】
ルートノード100が、子ノード102の認証を成功すると、子ノード102は、ルートノード100から認証成功の通知を受信する。
【0040】
子ノード102は、認証成功の通知を受信すると、認証結果を用いて、ルート鍵Aを生成する(S202)。また、ルートノードも、認証成功の通知を子ノード102に対して通知するとともに、認証結果を用いて、子ノード102と同様の方法でルート鍵Aを生成する(S201)。この結果、ルートノード100と子ノード102の間で、ルート鍵Aを共有することになる。
【0041】
次に、ルートノード100は、ルートノード100が管理するグループ鍵を、ルート鍵Aを用いて暗号化し、子ノード102に対して送信する。子ノード102は、暗号化されたグループ鍵の通知を受信する(S203)。子ノード102は、ルート鍵Aでグループ鍵を復号し、グループ鍵を得る。
【0042】
次に、子ノード102は、親ノードと共有する共通鍵(以下、親子鍵Bと称する。)を生成する(S204)。子ノード102は、親子鍵Bをルート鍵Aで暗号化し、ルートノード100に対して通知する(S205)
ルートノード100は、暗号化された親子鍵Bを受け取ると、ルート鍵Aで復号する。
【0043】
次に、ルートノード100は、親子鍵Bを、ルート鍵Cにより暗号化して、親ノード102へと送信する(S206)。
【0044】
ここで、ルート鍵Cは、ルートノード100と親ノード102との間で共有する共通鍵である。ルート鍵Cは、親ノード102が、無線メッシュネットワークに参加した際に、ルートノード100との間で共有する。ルート鍵Cの生成方法及び共有方法は、先述した子ノード102とルートノード100との間でのルート鍵Aの生成方法及び共有方法と同様の方法である。
【0045】
親ノード102は、暗号化された親子鍵Bを受信すると、ルート鍵Cにより復号し、親子鍵Bを取得する。
【0046】
以上の手順で、親ノード101と子ノード102との間で、共通鍵である親子鍵Bを共有することができる。
【0047】
次に、ルートノード100が通知した更新された新しいグループ鍵が、親ノード101と子ノード102に伝達される手順を説明する。
【0048】
ルートノード100は、グループ鍵を更新すると暗号化して新しいグループ鍵を送信する(S207)。この新しいグループ鍵は、ネットワーク103を介して親ノード101に伝達される。親ノード101が、新しいグループ鍵を取得すると、新しいグループ鍵を親子鍵Bで暗号化し、子ノード102へ送信する。子ノード102は、暗号化された新しいグループ鍵を受信すると、親子鍵Bで新しいグループ鍵を復号し、新しいグループ鍵を取得する。
【0049】
以上の動作では、図1において示したルートノード100と親ノード101と子ノード102との間での処理を説明した。しかしながら、以上の動作は、図1で示していないネットワーク103内の親ノードと子ノードについても同様の処理が実行される。つまり、ネットワーク103内の親ノードと子ノードとの間で、共通鍵をそれぞれ共有する。そして、ルートノード100が送信した新しいグループ鍵に対して、親ノードが暗号化し、子ノードが復号するといった処理を繰り返すことで、親ノードから子ノードへと新しいグループ鍵を次々に伝搬することができる。
【0050】
以上の動作により、ルートノードが構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
【0051】
図3は、子ノード102の構成を示すブロック図である。
【0052】
通信部300は、親ノード101と接続する。通信部300は、親ノード101と通信を行う。また、通信部300は、親ノード101を介してルートノード100と通信を行う。
【0053】
ネットワークアクセス認証処理部301は、通信部300を介して、ルートノード100との間でネットワークアクセス認証処理を行う。
【0054】
ルート鍵設定部302は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵Aを生成する。認証結果は、ネットワークアクセス認証処理部301から受け取る。
【0055】
親子鍵設定部303は親子鍵Bを生成する。また、親子鍵設定部303は、親子鍵Bを、ルート鍵Aにより暗号化する。親子鍵設定部303は、暗号化した親子鍵Bを、通信部300を介してルートノード100に送信する。
【0056】
グループ鍵取得部304は、ルートノード100を含む無線メッシュネットワークに接続する際、通信部300を介して、ルートノード100から、ルート鍵Aにより暗号化されたグループ鍵を取得する。グループ鍵取得部304は、暗号化されたグループ鍵を取得すると、ルート鍵Aにより復号し、グループ鍵を取得する。また、グループ鍵取得部304は、親子鍵Bにより暗号化された新たなグループ鍵を、ルートノード100から、通信部300を介して受信する。グループ鍵取得部304は、暗号化された新たなグループ鍵を、親子鍵Bを使って復号する。尚、この親子鍵Bは、親子鍵設定部303から取得するものである。
【0057】
図4は、本発明の第1の実施形態にかかる親ノード101の構成を示すブロック図である。
【0058】
前述したように、親ノード101は、子ノードの機能も備えるため、子ノード102と同じ構成及び機能を備える。
【0059】
通信部400は、子ノード100と通信を行う。また、通信部300は、親ノード101にとっての親ノード(ノード104C)と通信を行う。また、親ノード(ノード104C)を介してルートノード100と通信を行う。
【0060】
ネットワークアクセス認証処理部401は、通信部400を介して、ルートノード100との間でネットワークアクセス認証処理を行う。
【0061】
ルート鍵設定部402は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵Cを生成する。認証結果は、ネットワークアクセス認証処理部401から受け取る。
【0062】
親子鍵設定部403は親子鍵Dを生成する。また、親子鍵設定部403は、親子鍵Dを、ルート鍵Cにより暗号化する。親子鍵設定部403は、暗号化した親子鍵Dを、通信部400を介してルートノード100に送信する。
【0063】
グループ鍵取得部404は、ルートノード100を含む無線メッシュネットワークに接続する際、通信部400を介して、ルートノード100から、ルート鍵Cにより暗号化されたグループ鍵を取得する。グループ鍵取得部404は、暗号化されたグループ鍵を取得すると、ルート鍵Cにより復号し、グループ鍵を取得する。また、グループ鍵取得部304は、親子鍵Dにより暗号化された新たなグループ鍵を、ノード104Cから、通信部300を介して受信する。グループ鍵取得部304は、暗号化された新たなグループ鍵を、親子鍵Dを使って復号する。
【0064】
以下の構成が、親ノード101にあって、子ノード102にない構成である。
【0065】
親子鍵取得部405は、子ノード102が送信した親子鍵Bをルートノード100を介して受信する。ここで、親子鍵Bは、子ノード102送信時は、ルート鍵Aにより暗号化されているが、一旦、ルートノード100により復号される。そして、ルートノード100によりルート鍵Cにより暗号化された親子鍵Bを、受信する。親子鍵取得部405は、暗号化された親子鍵Bを受信すると、ルート鍵Cにより復号して、親子鍵Bを受信する。
【0066】
グループ鍵転送部406は、グループ鍵取得部404が取得した新たなグループ鍵を、親子鍵Bにより暗号化し、暗号化した新たなグループ鍵を子ノード102に対し、通信部400を介して送信する。
【0067】
図5は、本発明の第1の実施形態にかかるルートノード100の構成を示すブロック図である。
【0068】
通信部500は、無線メッシュネットワーク内のノードと通信を行う。
【0069】
ネットワークアクセス認証処理部501は、通信部500を介して、無線メッシュネットワークに新たに参加するノードとの間でネットワークアクセス認証処理を行う。認証処理が成功した場合、認証処理が成功したことを示す通知をノードに対して行う。
【0070】
ルート鍵設定部502は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵を生成する。無線メッシュネットワークに参加するノード毎に、異なるルート鍵を生成する。
【0071】
グループ鍵生成部503は、グループ鍵を生成する。例えば、グループ鍵の有効期限を監視し、グループ鍵の有効期限が切れる前に、グループ鍵を更新し、新たなグループ鍵を生成する。
【0072】
グループ鍵暗号化部504は、グループ鍵を暗号化して、通信部500を介して、無線メッシュネットワーク上のノードに対して通知する。無線メッシュネットワークに新たに参加するノードに対してグループ鍵を通知する際には、当該ノードとの間のネットワークアクセス認証処理の認証結果を用いて生成したルート鍵または親子鍵を用いて暗号化する。一方、グループ鍵更新時に、無線メッシュネットワーク内のノード全てに新たなグループ鍵を送信する場合には、ルートノードにとっての子ノードのルート鍵を用いて暗号化する。
【0073】
親子鍵転送部505は、子ノード102から暗号化された親子鍵Bを、通信部500を介して受信し、親子鍵Bをルート鍵Aにより復号する。親子鍵転送部505は、親子鍵Bを、ルート鍵Cにより暗号化し、暗号化した親子鍵Bを、通信部500を介して、親ノード101に対して通知する。
【0074】
また、子ノード102は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部300、ネットワークアクセス認証処理部301、ルート鍵設定部302、親子鍵設定部303、グループ鍵取得部304は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、子ノード102は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
【0075】
また、親ノード101は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部400、ネットワークアクセス認証処理部401、ルート鍵設定部402、親子鍵設定部403、グループ鍵取得部404、対子ノード鍵転送鍵設定部405、グループ鍵転送部406は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、親ノード101は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
【0076】
また、ルートノード100は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部500、ネットワークアクセス認証処理部501、ルート鍵設定部502、グループ鍵生成部503、グループ鍵暗号化部504、親子鍵転送部505は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、ルートノード100は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
【0077】
<第2の実施形態>
図6は、第2の実施形態にかかるシステムの動作を示すシーケンス図である。
【0078】
図6に示すように、第2の実施形態施にかかるシステムにおいては、ルートノード2100が、親子鍵Bを生成し、ルートノード2100が、親子鍵Bを、親ノード2101とともに子ノード2102へと通知する点が、第1の実施形態のシステムと異なる。
【0079】
第2の実施形態に係るシステムを、図1に示す。第2の実施形態にかかるシステムの構成は、ルートノード2100と、ネットワーク2103と、親ノード2101と子ノード2102とを備える構成である。各ノード2100、2101、2102とネットワーク2103間の接続関係は、第1の実施形態にかかるシステムと同様である。また、ネットワーク2103内のノードの接続関係も第1の実施形態にかかるシステムと同様である。
【0080】
次に、第2の実施形態にかかるシステムの動作を説明する。
【0081】
S200からS203は、第1の実施形態の動作と同様である。
【0082】
ルートノード2100は、S203の動作後、親子鍵Bを生成する(S604)。次に、ルートノード2100は、親子鍵Bを、ルート鍵Aで暗号化し、子ノード2102に通知する(S605)。また、ルートノード2100は、親子鍵Bをルート鍵Cにより暗号化し、親ノード102に通知する(S606)。ここで、ルート鍵A及びルート鍵Cは、それぞれ、子ノード2102、親ノード2101が、無線メッシュネットワークに参加した際に、ルートノード2100との間で共有するものであり、生成方法は、第1の実施形態で説明した通りである。
【0083】
子ノード2101は、親子鍵Bを受信すると、ルート鍵Aにより親子鍵Bを復号し、親子鍵Bを取得する。
【0084】
親ノード2102は、親子鍵Bを受信すると、ルート鍵Cにより親子鍵Bを復号し、親子鍵Bを取得する。
【0085】
以上の動作により、親ノード2101と子ノード2102との間で、共通鍵である親子鍵Bを共有することができる。
【0086】
この後の動作、つまり、ルートノード2100が通知した更新されたグループ鍵が、親ノード2101と子ノード2102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作は、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態で説明したことと同様である。
【0087】
以上の手順により、親ノード2101と子ノード2102の間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード2100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
【0088】
図7は、本発明の第2の実施形態にかかる子ノード2102の構成を示すブロック図である。
【0089】
子ノード2102は、子ノード102と異なり、親子鍵設定部303を備えていない。
【0090】
子ノード2102は、子ノード102と異なり、親子鍵取得部701を備える。
【0091】
親子鍵取得部701は、ルートノード2100が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Aにより復号する。
【0092】
図8は、本発明の第2の実施形態にかかる親ノード2101の構成を示すブロック図である。
【0093】
親ノード2101は、子ノード2102の機能もそなえるため、子ノード2102の構成及び機能を備えている点は、第1の実施形態の場合と同様である。
【0094】
親ノード2101は、親ノード101と異なり、親子鍵設定部403及び親子鍵取得部405を備えていない。
【0095】
親ノード2101は、親ノード101と異なり、親子鍵取得部801を備える。
【0096】
親子鍵取得部801は、ルートノード2100が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Cにより復号する。
【0097】
図9は、本発明の第2の実施形態にかかるルートノード2100の構成を示すブロック図である。
【0098】
ルートノード2100は、ルートノード100と異なり、親子鍵転送部505を備えていない。
【0099】
ルートノード2100は、ルートノード100と異なり、親子鍵設定部901を備える。
【0100】
親子鍵設定部901は、親子鍵Bを生成する。また、親子鍵設定部901は、親子鍵Bを、ルート鍵Aにより暗号化して、子ノード2101に対して送信する。また、親子鍵Bを、ルート鍵Cにより暗号化して、親ノード2012に対して送信する。
【0101】
<第3の実施形態>
図10は、第3の実施形態にかかるシステムの動作を示すシーケンス図である。
【0102】
図10に示すように、第3の実施形態にかかるシステムにおいては、親ノード3101が親子鍵Bを生成し、親ノード3101がルートノード3100を介して子ノード3102へと通知する点が実施形態1と異なる。
【0103】
実3の実施形態にかかるシステムを、図1に示す。第3の実施形態にかかるシステムの構成は、ルートノード3100、ネットワーク3103と、親ノード3101と子ノード3102とを備える構成である。各ノード3100、3101、3102とネットワーク3103間の接続関係は、第1の実施形態にかかるシステムと同様である。また、ネットワーク3103内のノードの接続関係も第1の実施形態にかかるシステムと同様である。
【0104】
次に、第3の実施形態にかかるシステムの動作を説明する。
【0105】
S200からS203は、第1の実施形態と同様である。
【0106】
親ノード3101は、ルートノード3100と子ノード3102との間のネットワークアクセス認証(S200)や、ルートノード3100から子ノード3102へのグループ鍵の通知(S203)のメッセージの内容等を認識し、子ノード3102のネットワーク認証が成功し、子ノード3102がグループ鍵を得たことを検出する。親ノード3101は、子ノード3102のネットワーク認証の成功を検出、若しくは、親ノード3101から子ノード3102へのグループ鍵の通知を検出すると、親子鍵Bを生成し(S1004)、親子鍵Bをルート鍵Cにより暗号化して、ルートノード3100に通知する(S1005)。
【0107】
ルートノード3100は、暗号化された親子鍵Bを受け取ると、ルート鍵Cにより復号する。次に、ルートノード3100は、親子鍵Bを、ルート鍵Aにより暗号化して、子ノード3102へと送信する(S1006)。尚、子ノード3102、親ノード3101それぞれが、ルート鍵A,Cをルートノード3100と共有する方法は、第1の実施形態と説明した方法と同様の方法で共有しているものとする。
【0108】
子ノード3102は、暗号化された親子鍵Bを受信すると、ルート鍵Aにより復号し、親子鍵Bを取得する。
【0109】
以上の手順で、親ノード3101と子ノード3102との間で、共通鍵である親子鍵を共有することができる。
【0110】
この後の動作、つまりルートノード3100が通知した更新されたグループ鍵が、親ノード3101と子ノード3102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態で説明したことと同様である。
【0111】
以上の手順により、親ノード2101と子ノード2102の間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード2100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
【0112】
図11は、子ノード3102の構成を示すブロック図である。
【0113】
子ノード3102は、子ノード102と異なり、親子鍵設定部303を備えていない。
【0114】
また、子ノード102と異なり、親子鍵取得部1101を備える。
【0115】
親子鍵取得部1101は、親ノード3101が、ルートノード3100を介して送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Aにより復号する。
【0116】
図12は、本発明の第3の実施形態にかかる親ノード3101の構成を示すブロック図である。
【0117】
親ノード3101は、子ノード3102の機能も備えるため、子ノード3102の構成及び機能を備えている点は、第1の実施形態と同様である。
【0118】
親ノード3101は、親ノード101と異なり、親子鍵設定部403と親子鍵取得部405とを備えていない。
【0119】
また、親ノード3101は、親ノード101と異なり、親子鍵設定部1201と親子鍵取得部1202とを備える。尚、親子鍵取得部1202は、子ノードとしての機能であり、親子鍵設定部1201は、親ノードとしての機能である。
【0120】
親子鍵設定部1201は、親子鍵Bを生成する。また、親子鍵設定部1201は、ルート鍵Cにより親子鍵Bを暗号化する。親子鍵設定部1201は、暗号化した親子鍵を、通信部400を介して送信する。
【0121】
親子鍵取得部1202は、親ノード3101にとっての親ノードが、ルートノード3100を介して送信した、暗号化された親子鍵Dを受信する。そして、暗号化された親子鍵Dを、ルート鍵Cにより復号する。
【0122】
図13は、本発明の第3の実施形態にかかるルートノード3100の構成を示すブロック図である。
【0123】
ルートノード3100は、ルートノード100と異なり、親子鍵転送部505を備えておらず、親子鍵転送部1301を備える。
【0124】
親子鍵転送部1301は、親ノード3101から暗号化された親子鍵Bを、通信部500を介して受信し、親子鍵Bを、ルート鍵Cにより復号する。親子鍵転送部1301は、親子鍵Bを、ルート鍵Aにより暗号化し、暗号化した親子鍵Bを、通信部500を介して、子ノード3102対して通知する。
【0125】
<第4の実施形態>
図14は、第4の実施形態にかかるシステムの動作を示すシーケンス図である。
【0126】
図14に示すように、第4の実施形態にかかるシステムにおいては、更新された新しいグループ鍵を暗号化する方式として、共通鍵暗号化方式でなく、公開鍵暗号化方式を用いている点が、第1の実施形態と異なる。つまり、本実施形態では、子ノード4102は、秘密鍵を保有し、親ノード4101は、子ノード4102の公開鍵を保有する。そして、親ノード4101から子ノード4102へと送信されるグループ鍵を子ノード4102の公開鍵で暗号化して、子ノード4102へと通知するものである。子ノード4102は、暗号化されたグループ鍵を、秘密鍵を用いて復号する。
【0127】
本実施形態では、子ノード4102が、親ノード4101に対して通知する公開鍵を通知する際に、公開鍵とともに通知する認証データを、グループ鍵(更新前のグループ鍵)を用いて生成している点が特徴である。子ノード4102は、容易に認証データを生成でき、認証データを受け取った親ノード4101も、容易に認証データを認証できる。また、親ノード4101は、通知された公開鍵が、信頼できる装置から送られた鍵であることを把握できる。つまり、親ノード4101は、受け取った公開鍵が、少なくともグループ鍵を保有する装置、つまり、ルートノード4100が構成する無線メッシュネットワークに参加する装置から送られた鍵であることを把握できる。
【0128】
次に、第4の実施形態にかかるシステムの動作を説明する。
【0129】
S200からS203は、第1の実施形態の動作と同様である。
【0130】
子ノード4102は、S203で、グループ鍵の通知を受けると、認証データEを生成する。子ノード4102は、認証データEを、グループ鍵(更新前のグループ鍵)と子ノードが生成する公開鍵Fを用いて生成する(S1404)。尚、子ノード4102は、公開鍵Fと合わせて、対応する秘密鍵Gを生成し、秘密鍵Gは保有するものとする。
【0131】
子ノード4102は、認証データEを生成すると、公開鍵Fと認証データEとを親ノード4101に通知する(S1405)。
【0132】
親ノード4101は、認証データEと公開鍵Fを受信すると、自身が保持しているグループ鍵と受信した公開鍵Fから認証データを計算する。親ノード101は、親ノード4101から受け取った認証データEと、自身が計算した認証データとを比較する。認証データEと計算した認証データとが一致した場合公開鍵Fを、子ノード4102から送られた鍵であると判断して受理する。
【0133】
以上の動作により、親ノード4101は、子ノード4102の公開鍵Fを取得することができる。
【0134】
次に、ルートノード4100が通知した更新されたグループ鍵が、親ノード4101と子ノード4102に伝達される。
【0135】
ルートノード4100は、グループ鍵を更新すると暗号化して新しいグループ鍵を送信する(S1406)新しいグループ鍵は、ネットワーク103を介して親ノード4101に伝達される。親ノード4101は、新しいグループ鍵を取得すると、新しいグループ鍵を子ノード4102の公開鍵Fで暗号化し、子ノード4102へと送信する(S1407)。子ノードは、暗号化された新しいグループ鍵を受信すると、公開鍵Fに対応する秘密鍵である秘密鍵Gで新しいグループ鍵を復号し、グループ鍵を取得する。
【0136】
以上の動作では、図1において示したルートノード4100と親ノード4101と子ノード4102との間での処理を説明した。しかしながら、以上の動作は、図1で示していないネットワーク4103内の親ノードと子ノードについても同様の処理が実行される。つまり、ネットワーク4103内の子ノードは、秘密鍵を保有し、親ノードは、子ノードの秘密鍵に対応する公開鍵を子ノードから受けとって、保有する。そして、ルートノード4100が送信した新しいグループ鍵に対して、親ノードが暗号化し、子ノードが復号するといった処理を繰り返すことで、親ノードから子ノードへと新しいグループ鍵を次々に伝搬することができる。
【0137】
以上の動作により、ルートノードが構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全かつ効率的に共有することができる。
【0138】
図15は、本発明の第4の実施形態に係る子ノード4102の構成を示すブロック図である。
【0139】
子ノード4102は、子ノード102と異なり、親子鍵設定部303とグループ鍵取得部304とを備えていない。
【0140】
子ノード4102は、子ノード102と異なり、グループ鍵取得部1501と認証データ設定部1502と公開鍵・秘密鍵設定部1503とを備える。
【0141】
グループ鍵取得部1501は、ルートノード4100を含む無線メッシュネットワークに参加する際、通信部300を介して、ルートノード4100から、ルート鍵Aにより暗号化されたグループ鍵を取得する。グループ鍵取得部1501は、暗号化されたグループ鍵を取得すると、ルート鍵Aにより復号し、グループ鍵を取得する。グループ鍵取得部1501は、公開鍵Fにより暗号化された新たなグループ鍵を、親ノード4101から、通信部300を介して受信する。グループ鍵取得部1501は、暗号化さえた新たなグループ鍵を、秘密鍵Gを使って、復号する。
【0142】
認証データ設定部1502は、無線メッシュネットワークに接続する際、ルートノード4100から受信したグループ鍵(更新前のグループ鍵)と公開鍵Fを用いて、認証データEを生成する。
【0143】
公開鍵・秘密鍵設定部1503は、秘密鍵Gと公開鍵Fを設定する。公開鍵・秘密鍵設定部1503は、秘密鍵Gを保持し、公開鍵Fを、認証データEと合わせて親ノード4101に通知する。
【0144】
図16は、本発明の第4の実施形態に係る親ノード4101の構成を示すブロック図である。
【0145】
親ノード4101は、子ノード4102の機能も有するのは、実施例1と同様である。
【0146】
親ノード4101は、親ノード101と異なり、親子鍵設定部403とグループ鍵取得部404と、親子鍵取得部405とを備えない。
【0147】
親ノード4101は、親ノード101と異なり、グループ鍵取得部1601と、認証データ設定部1602と、公開鍵・秘密鍵設定部1603と、公開鍵取得部1604と、認証データ確認部1605とを備える。
【0148】
グループ鍵取得部1601は、ルートノード4100を含む無線メッシュネットワークに接続する際、通信部300を介して、ルートノード4100から、ルート鍵Cまたは自身の公開鍵により暗号化されたグループ鍵を取得する。グループ鍵取得部1601は、暗号化されたグループ鍵を取得すると、ルート鍵Cにより復号し、グループ鍵を取得する。グループ鍵取得部1601は、公開鍵Hにより暗号化された新たなグループ鍵を、親ノード4101から、通信部300を介して受信する。グループ鍵取得部1601は、暗号化さえた新たなグループ鍵を、秘密鍵Iを使って、復号する。
【0149】
認証データ設定部1602は、無線メッシュネットワークに接続する際、ルートノード4100から受信したグループ鍵(更新前のグループ鍵)と公開鍵Hを用いて、認証データJを生成する。
【0150】
公開鍵・秘密鍵設定部1603は、秘密鍵Iと公開鍵Hを設定する。公開鍵・秘密鍵設定部1603は、秘密鍵Iを保持し、公開鍵Hを、認証データJと合わせて親ノード4101にとっての親ノードに通知する。
【0151】
公開鍵取得部1604は、子ノード4102が生成した公開鍵Fを、認証データEと合わせて取得する。公開鍵・認証データ取得部1604は、認証データ確認部1605から、認証データが一致したことの通知を受けると、公開鍵Fを信頼できるも鍵と判断し、公開鍵Fを子ノード4102の公開鍵として設定する。
【0152】
認証データ確認部1605は、無線メッシュネットワークに接続する際、公開鍵Fとルートノード4100から受信したグループ鍵とを用いて認証データを生成する。認証データ確認部1605は、認証データEと生成した認証データとを比較し、一致するか否かを確認する。一致した場合に、公開鍵Fを、子ノード4102から送られた鍵であると判断して、その旨を公開鍵・認証データ取得部1604に通知する。
【0153】
図17は、本発明の第4の実施形態に係るルートノード4100の構成を示すブロック図である。
【0154】
ルートノード4100は、ルートノード100と異なり、親子鍵転送部505を備えていない。
【0155】
尚、本実施例では、認証データを、グループ鍵と公開鍵を用いて生成すると説明したが、少なくともグループ鍵を用いて生成すれば良い。
【0156】
<第5の実施形態>
図18は、本発明の第5の実施形態に係るシステムの動作を示すシーケンス図である。
【0157】
図18に示すように、第5の実施形態にかかるシステムは、子ノード5102が、秘密鍵を保有し、親ノード5101が、子ノード5102から受ける公開鍵を保有する点、及び交換するプロセスは、第4の実施形態と共通する。一方、第5の実施形態にかかるシステムでは、親ノード5101が、公開鍵を取得後、親子鍵Bを生成し、親子鍵Bを公開鍵で暗号化して子ノード5102に通知する点が、第4の実施形態と異なる。また、親ノード5101が、子ノード5102に対して、更新された新しいグループ鍵を、親子鍵Bを用いて暗号化して通知する点は、第4の実施形態と異なり、第1の実施形態と共通する。
【0158】
次に、第5の実施形態にかかるシステムの動作を説明する。
【0159】
S200からS203の動作は、第1の実施形態と同様の動作である。
【0160】
子ノード5102が認証データEを生成するステップ(S1804)、認証データと公開鍵F(S1805)を通知するステップは、実施形態4と同様である。尚、子ノード5102は、公開鍵Fに対応する秘密鍵Gを保持する。
【0161】
親ノード5101は、公開鍵Fを受理すると、親子鍵Bを生成する(S1806)。そして、親子鍵Bを公開鍵Fで暗号化し、子ノード5102に通知する(S1807)。子ノード5102は、親子鍵Bを受信すると、秘密鍵Fで親子鍵Bを復号し、親子鍵Bを得る。
【0162】
以上の動作により、親ノード5101は、子ノード5102との間で、共通鍵である親子鍵Bを共有することができる。
【0163】
この後の動作、つまり、ルートノード5100が通知した更新されたグループ鍵が、親ノード5101と子ノード5102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作は、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態の場合と同様である。
【0164】
以上の手順により、親ノード5101と子ノード5102との間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード5100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全かつ効率的に共有することができる。
【0165】
図19は、本発明の第5の実施形態に係る子ノード5102の構成を示すブロック図である。
【0166】
子ノード5102は、子ノード102と異なり、親子鍵設定部303を備えていない。
【0167】
子ノード5102は、子ノード102と異なり、認証データ設定部1901と公開鍵・秘密鍵設定部1902と親子鍵設定部1903とを備えている。
【0168】
認証データ設定部1901は、公開鍵Fと、無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて、認証データEを生成する。
【0169】
公開鍵・秘密鍵設定部1902は、秘密鍵Gと公開鍵Fを生成する。公開鍵・秘密鍵設定部1902は、秘密鍵Gを保持し、公開鍵Fを、認証データEと合わせて親ノード5101に通知する。
【0170】
親子鍵取得部1903は、親ノード5101が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、秘密鍵Gにより復号する。
【0171】
図20は、本発明の第5の実施形態に係る親ノード5101の構成を示すブロック図である。
【0172】
親ノード5101は、子ノード5102の機能も有するのは、実施例1と同様である。
【0173】
親ノード5101は、親ノード101と異なり、親子鍵設定部303を備えていない。
【0174】
親ノード5101は、親ノード101と異なり、認証データ設定部2001と、公開鍵・秘密鍵設定部2002と、親子鍵設定部2003と、公開鍵・認証データ取得部2004と認証データ確認部2005とを備えている。
【0175】
認証データ設定部2001は、公開鍵Hと、無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて、認証データJを生成する。
【0176】
公開鍵・秘密鍵設定部2002は、秘密鍵Iと公開鍵Hを生成する。公開鍵・秘密鍵設定部2002は、秘密鍵Iを保持し、公開鍵Hを、認証データJと合わせて親ノード5101にとっての親ノードに通知する。
【0177】
親子鍵設定部2003は、親子鍵Bを生成する。親子鍵設定部2003は、親子鍵Bを、公開鍵Fにより暗号化する。親子鍵設定部2003は、暗号化した親子鍵Bを、通信部300を介してルートノード5100に送信する。
【0178】
公開鍵取得部2004は、子ノード5102が生成した公開鍵Fを認証データEと合わせて取得する。公開鍵取得部2004は、認証データ各陰部2005から、認証データが一致したことの通知を受けると、公開鍵Fを信頼できる鍵と判断し、公開鍵Fを自装置の公開鍵として設定する。
【0179】
認証データ確認部2005は、公開鍵Fと無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて認証データを生成する。認証データ確認部2005は、認証データEと生成した認証データとを比較し、一致するか否かを確認する。一致した場合に、公開鍵Fを、子ノード5102から送られた鍵であると判断して、その旨を公開鍵・認証データ取得部2004に通知する。
【0180】
尚、本発明の第5の実施形態に係るルートノード5100の構成は、ルートノード5100と同様の構成である(図17参照)。
【0181】
以上説明した少なくとも1つの実施形態の効果は、無線メッシュネットワークにおいて、グループ鍵を暗号化するために必要な鍵交換処理の負荷を低減できることである。
【0182】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0183】
100,2100,3100,4100,5100・・・ルートノード、101,2101,3101,4101,5101・・・親ノード、102,2102,3102,4102,5102・・・子ノード、104A,104B,104C,104D,104E,104F・・・ノード、300,400,500・・・通信部,301,401,501・・・ネットワークアクセス認証処理部、302,402,502・・・ルート鍵設定部、303,403,901,1201,2003・・・親子鍵設定部、304,404,1501,1601・・・グループ鍵取得部、406・・・グループ鍵転送部、503・・・グループ鍵生成部、504・・・グループ鍵暗号化部、505,1301・・・親子鍵転送部、405,701,801,1101,1202,1903・・・親子鍵取得部、1502,1602,1901、2001・・・認証データ設定部、1503,1603,1902,2002・・・公開鍵・秘密鍵設定部、1604,2004・・・公開鍵取得部、1605,2005・・・認証データ確認部。
【技術分野】
【0001】
本発明の実施形態は、ノード、およびプログラムに関する。
【背景技術】
【0002】
従来、1つの根ノード(ルートノードという)となるノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する無線メッシュネットワークにおいて、1つのグループ鍵を無線メッシュネットワーク内の各ノードで共有する技術がある。
【0003】
グループ鍵は、例えば、無線メッシュネットワークに接続された各ノードに対する通信の可否を確認するための認証に用いられる。
【0004】
新規ノードは、無線メッシュネットワークに新たに参加する時に、新規ノードとルートノードとの間で実行されるネットワークアクセス認証を行う。ネットワークアクセス認証が成功すれば、ルートノードと新規ノードは、それぞれ共通の暗号鍵を生成し、共通の暗号鍵を共有する。
【0005】
そして、ルートノードは、新規ノードに対して、暗号鍵で暗号化したグループ鍵を送信する。
【0006】
このように、新規ノードはルートノードからグループ鍵を取得することができる。
【0007】
グループ鍵は、有効期限を持ち、有効期限切れになる前に更新され、新しいグループ鍵が生成されることがある。そして、新しいグループ鍵は、無線メッシュネットワークに接続する全てのノードで共有する必要がある。
【0008】
共有のために、ルートノードは、グループ鍵を更新すると、新しいグループ鍵を、ネットワーク上の各ノードに対して、例えば、ホープバイホップで伝搬する。つまり、ルートノードが送信したグループ鍵は、隣接するノード間に順次伝送される。ホップバイホップで、グループ鍵を伝送するためには、隣接するノード間、つまり送信する側のノード(親ノード)と受信する側のノード(子ノード)との間で暗号化と復号に必要な暗号鍵を交換する必要がある。
【0009】
暗号鍵を交換する技術として、例えば、PKI(Public Key Infrastructure) を用いた公開鍵の交換を用いることが想定できる。しかしながら、この技術を用いる場合、公開鍵が信頼できるデータであることを示すために、認証局が発行する認証データを取得する必要があり、ノードにおける鍵交換のための処理負荷が大きい。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2010−108520号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明の一側面は、更新されたグループ鍵を親子ノード間で転送する際の暗号化及び復号に用いる鍵を、処理負荷を少なくして親子ノード間で交換することを目的とする。
【課題を解決するための手段】
【0012】
本発明の一観点にかかるノードは、1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部とを備えることを特徴とする。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態にかかるシステムを示すブロック図である。
【図2】本発明の第1の実施形態にかかるシステムの動作を示すシーケンス図である。
【図3】本発明の第1の実施形態にかかる子ノードを示すブロック図である。
【図4】本発明の第1の実施形態にかかる親ノードを示すブロック図である。
【図5】本発明の第1の実施形態にかかるルートノードを示すブロック図である。
【図6】本発明の第2の実施形態にかかるシステムの動作を示すシーケンス図である。
【図7】本発明の第2の実施形態にかかる子ノードを示すブロック図である。
【図8】本発明の第2の実施形態にかかる親ノードを示すブロック図である。
【図9】本発明の第2の実施形態にかかるルートノードを示すブロック図である。
【図10】本発明の第3の実施形態にかかるシステムの動作を示すシーケンス図である。
【図11】本発明の第3の実施形態にかかる子ノードを示すブロック図である。
【図12】本発明の第3の実施形態にかかる親ノードを示すブロック図である。
【図13】本発明の第3の実施形態にかかるルートノードを示すブロック図である。
【図14】本発明の第4の実施形態にかかるシステムの動作を示すシーケンス図である。
【図15】本発明の第4の実施形態にかかる子ノードを示すブロック図である。
【図16】本発明の第4の実施形態にかかる親ノードを示すブロック図である。
【図17】本発明の第4の実施形態にかかるルートノードを示すブロック図である。
【図18】本発明の第5の実施形態にかかるシステムの動作を示すシーケンス図である。
【図19】本発明の第5の実施形態にかかる子ノードを示すブロック図である。
【図20】本発明の第5の実施形態にかかる親ノードを示すブロック図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態について、図面を参照しながら説明する。尚、各図において同一箇所については同一の符号を付すとともに、重複した説明は省略する。
【0015】
<第1の実施形態>
図1は、本発明の第1の実施形態にかかるシステム10を示すブロック図である。
【0016】
システム10は、1つの根ノード(ルートノードという)を含み且つ隣接する階層のノード間で親子関係を有する複数のノードによりツリー形状のルーチングトポロジーを形成する無線メッシュネットワーク10である。本実施例のシステム10は、ルートノード10を第1階層としたとき、最下位層のノードは第N+1階層であるシステムであるとする。
【0017】
システム10は、ルートノード100と親ノード101と子ノード102とネットワーク103とを備える。
【0018】
ルートノード100は、無線メッシュネットワーク10内に一つ存在する。ルートノード100は、システム10の最上位層(第1階層)のノードである。
【0019】
ルートノード100は、無線メッシュネットワーク10内の各ノードの管理を行う。また、ルートノード100は、無線メッシュネットワーク10内の各ノード間で共有するグループ鍵の管理を行う。尚、グループ鍵についての説明は、後述する。
【0020】
ここで、ルートノード100が行うノードの管理とは、例えば、無線メッシュネットワーク10へのノードの参加の許可若しくは禁止することや、無線メッシュネットワーク10からのノードの離脱を検出することや、無線メッシュネットワーク10内のノード一覧を把握することである。また、グループ鍵の管理とは、例えば、グループ鍵を生成すること、グループ鍵の有効期限を監視すること、及びグループ鍵を更新して新しいグループ鍵を生成することである。
【0021】
ネットワーク103は、システム10のうち、第2階層のノードから第N−1階層のノードを含むネットワークである。図1において、ノード104A及び104Dは第2階層のノードであり、ノード104B及び104Eは、第3階層のノードであり、ノード104C、ノード104Fは、第N-1階層のノードである。
【0022】
親ノード101は、システム10の第N階層のノードである。親ノード101は、ネットワーク103内のノード104Cと接続する。親ノード101はノード104Cから受け取った子ノード102宛のデータを、子ノード102に対して、転送する。
【0023】
子ノード102は、親ノード101との間でデータの送受信を行う。子ノード102は、システム10の最下位層(第N+1階層)のノードである。
【0024】
尚、一般的に、親ノード及び子ノードとは、ルーティングツリー上の相対的位置関係から導き出される。つまり、2つの隣接する階層のノードのうち、上位の層にあるノードが親ノードであり、下位の層にあるノードが子ノードである。つまり、親ノード101は、子ノード102にとっての親ノードであるが、ノード104Cにとっては子ノードである。
【0025】
本実施例では、説明の明確化のために、図1に示すように、システム10の最下位層(第N+1階層)のノードを子ノードとし、最下位層より1層上(第N階層)のノードであるノードを親ノードとして説明する。
【0026】
次に、グループ鍵について説明する。グループ鍵は、例えば、無線メッシュネットワーク10内のデータの暗号化等に使用される。そして、グループ鍵は、無線メッシュネットワーク10内のすべてのノード間で共有される情報である。つまり、グループ鍵は、無線メッシュネットワーク10内の各ノードにとって共通鍵である。グループ鍵を用いた暗号化や復号には、共通鍵暗号方式が用いられる。
【0027】
次に、無線メッシュネットワーク10内のノード間全てが、グループ鍵を共有する方法を説明する。
【0028】
まず、新たに無線メッシュネットワーク10に参加するノードがグループ鍵を取得する方法を説明する。
【0029】
ノードが無線メッシュネットワークに新たに参加する際、ルートノードが、新たに接続したノードに対してグループ鍵が通知する。ルートノードが、新たに参加したノードに対してグループ鍵を通知する際、グループ鍵は暗号化されて通知される。グループ鍵が無線メッシュネットワーク外に漏えいすることを防ぐためである。この暗号化に用いられるための暗号化鍵として、ルートノードと新たに参加したノードとの間で共有する暗号化鍵を用いる。この暗号化鍵は、ノードがルートノードに新たに参加する際に行われるネットワークアクセス認証の際に生成されるものである。ネットワークアクセス認証の詳細は後述する。
【0030】
ここで、グループ鍵は有効期限を持つ。したがって、ルートノードは、使用中のグループ鍵が有効期限切れになる前にグループ鍵の更新を行い、更新後の新しいグループ鍵を無線メッシュネットワーク内の各ノードに送信する必要がある。無線メッシュネットワーク内の各ノードが常に有効なグループ鍵を保持するように維持するためである。この更新後の新しいグループ鍵を含むメッセージも暗号化されて通知される必要がある。グループ鍵が無線メッシュネットワーク外に漏えいしないようにするためである。
【0031】
更新後の新しいグループ鍵の通知方法の一手法として、ルートノードが送信した新しいグループ鍵を、ルーティングツリー上の親子関係を有する親ノードから子ノードへと次々にユニキャストで送信し、ルートノードから無線メッシュネットワーク内の全ノードにホップバイホップで伝搬させる手法がある。
【0032】
このような伝搬手法においては、更新後のグループ鍵は、親ノードで暗号化されて子ノードで復号される必要がある。無線メッシュネットワーク外にグループ鍵の漏えいを防止し、かつ親ノードから子ノードに次々に更新後のグループ鍵が伝達される必要があるためである。このように親ノードで暗号化し、子ノードで復号する処理を実現するためには、親ノードと子ノードとで暗号化鍵と復号鍵を交換する必要がある。
【0033】
本実施形態では、親ノードと子ノードとの間で、グループ鍵更新前のタイミングで、暗号鍵と交換鍵を効率的、かつ安全に交換することを実現する。尚、本実施例では、暗号化復号の方式として、共通鍵暗号化方式を用いる例を説明する。共通鍵暗号化方式では、暗号鍵と復号鍵とが同じ鍵である共通鍵を用いる。
【0034】
以下では、親ノードと子ノードとの間で、共通鍵を共有化する方法の実現例を説明する。
【0035】
図2は、図1のシステムの動作を示すシーケンス図である。
【0036】
以下では、子ノード102が、無線メッシュネットワークに新たに参加する場合を例にとって説明する。
【0037】
まず、親ノード101と子ノード102との間で共通鍵を共有する方法を説明する。
【0038】
子ノード102が、無線メッシュネットワークに新たに参加する場合、子ノード102は、親ノード101を介してルートノード100との間でネットワークアクセス認証を行う(S200)。
【0039】
ルートノード100が、子ノード102の認証を成功すると、子ノード102は、ルートノード100から認証成功の通知を受信する。
【0040】
子ノード102は、認証成功の通知を受信すると、認証結果を用いて、ルート鍵Aを生成する(S202)。また、ルートノードも、認証成功の通知を子ノード102に対して通知するとともに、認証結果を用いて、子ノード102と同様の方法でルート鍵Aを生成する(S201)。この結果、ルートノード100と子ノード102の間で、ルート鍵Aを共有することになる。
【0041】
次に、ルートノード100は、ルートノード100が管理するグループ鍵を、ルート鍵Aを用いて暗号化し、子ノード102に対して送信する。子ノード102は、暗号化されたグループ鍵の通知を受信する(S203)。子ノード102は、ルート鍵Aでグループ鍵を復号し、グループ鍵を得る。
【0042】
次に、子ノード102は、親ノードと共有する共通鍵(以下、親子鍵Bと称する。)を生成する(S204)。子ノード102は、親子鍵Bをルート鍵Aで暗号化し、ルートノード100に対して通知する(S205)
ルートノード100は、暗号化された親子鍵Bを受け取ると、ルート鍵Aで復号する。
【0043】
次に、ルートノード100は、親子鍵Bを、ルート鍵Cにより暗号化して、親ノード102へと送信する(S206)。
【0044】
ここで、ルート鍵Cは、ルートノード100と親ノード102との間で共有する共通鍵である。ルート鍵Cは、親ノード102が、無線メッシュネットワークに参加した際に、ルートノード100との間で共有する。ルート鍵Cの生成方法及び共有方法は、先述した子ノード102とルートノード100との間でのルート鍵Aの生成方法及び共有方法と同様の方法である。
【0045】
親ノード102は、暗号化された親子鍵Bを受信すると、ルート鍵Cにより復号し、親子鍵Bを取得する。
【0046】
以上の手順で、親ノード101と子ノード102との間で、共通鍵である親子鍵Bを共有することができる。
【0047】
次に、ルートノード100が通知した更新された新しいグループ鍵が、親ノード101と子ノード102に伝達される手順を説明する。
【0048】
ルートノード100は、グループ鍵を更新すると暗号化して新しいグループ鍵を送信する(S207)。この新しいグループ鍵は、ネットワーク103を介して親ノード101に伝達される。親ノード101が、新しいグループ鍵を取得すると、新しいグループ鍵を親子鍵Bで暗号化し、子ノード102へ送信する。子ノード102は、暗号化された新しいグループ鍵を受信すると、親子鍵Bで新しいグループ鍵を復号し、新しいグループ鍵を取得する。
【0049】
以上の動作では、図1において示したルートノード100と親ノード101と子ノード102との間での処理を説明した。しかしながら、以上の動作は、図1で示していないネットワーク103内の親ノードと子ノードについても同様の処理が実行される。つまり、ネットワーク103内の親ノードと子ノードとの間で、共通鍵をそれぞれ共有する。そして、ルートノード100が送信した新しいグループ鍵に対して、親ノードが暗号化し、子ノードが復号するといった処理を繰り返すことで、親ノードから子ノードへと新しいグループ鍵を次々に伝搬することができる。
【0050】
以上の動作により、ルートノードが構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
【0051】
図3は、子ノード102の構成を示すブロック図である。
【0052】
通信部300は、親ノード101と接続する。通信部300は、親ノード101と通信を行う。また、通信部300は、親ノード101を介してルートノード100と通信を行う。
【0053】
ネットワークアクセス認証処理部301は、通信部300を介して、ルートノード100との間でネットワークアクセス認証処理を行う。
【0054】
ルート鍵設定部302は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵Aを生成する。認証結果は、ネットワークアクセス認証処理部301から受け取る。
【0055】
親子鍵設定部303は親子鍵Bを生成する。また、親子鍵設定部303は、親子鍵Bを、ルート鍵Aにより暗号化する。親子鍵設定部303は、暗号化した親子鍵Bを、通信部300を介してルートノード100に送信する。
【0056】
グループ鍵取得部304は、ルートノード100を含む無線メッシュネットワークに接続する際、通信部300を介して、ルートノード100から、ルート鍵Aにより暗号化されたグループ鍵を取得する。グループ鍵取得部304は、暗号化されたグループ鍵を取得すると、ルート鍵Aにより復号し、グループ鍵を取得する。また、グループ鍵取得部304は、親子鍵Bにより暗号化された新たなグループ鍵を、ルートノード100から、通信部300を介して受信する。グループ鍵取得部304は、暗号化された新たなグループ鍵を、親子鍵Bを使って復号する。尚、この親子鍵Bは、親子鍵設定部303から取得するものである。
【0057】
図4は、本発明の第1の実施形態にかかる親ノード101の構成を示すブロック図である。
【0058】
前述したように、親ノード101は、子ノードの機能も備えるため、子ノード102と同じ構成及び機能を備える。
【0059】
通信部400は、子ノード100と通信を行う。また、通信部300は、親ノード101にとっての親ノード(ノード104C)と通信を行う。また、親ノード(ノード104C)を介してルートノード100と通信を行う。
【0060】
ネットワークアクセス認証処理部401は、通信部400を介して、ルートノード100との間でネットワークアクセス認証処理を行う。
【0061】
ルート鍵設定部402は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵Cを生成する。認証結果は、ネットワークアクセス認証処理部401から受け取る。
【0062】
親子鍵設定部403は親子鍵Dを生成する。また、親子鍵設定部403は、親子鍵Dを、ルート鍵Cにより暗号化する。親子鍵設定部403は、暗号化した親子鍵Dを、通信部400を介してルートノード100に送信する。
【0063】
グループ鍵取得部404は、ルートノード100を含む無線メッシュネットワークに接続する際、通信部400を介して、ルートノード100から、ルート鍵Cにより暗号化されたグループ鍵を取得する。グループ鍵取得部404は、暗号化されたグループ鍵を取得すると、ルート鍵Cにより復号し、グループ鍵を取得する。また、グループ鍵取得部304は、親子鍵Dにより暗号化された新たなグループ鍵を、ノード104Cから、通信部300を介して受信する。グループ鍵取得部304は、暗号化された新たなグループ鍵を、親子鍵Dを使って復号する。
【0064】
以下の構成が、親ノード101にあって、子ノード102にない構成である。
【0065】
親子鍵取得部405は、子ノード102が送信した親子鍵Bをルートノード100を介して受信する。ここで、親子鍵Bは、子ノード102送信時は、ルート鍵Aにより暗号化されているが、一旦、ルートノード100により復号される。そして、ルートノード100によりルート鍵Cにより暗号化された親子鍵Bを、受信する。親子鍵取得部405は、暗号化された親子鍵Bを受信すると、ルート鍵Cにより復号して、親子鍵Bを受信する。
【0066】
グループ鍵転送部406は、グループ鍵取得部404が取得した新たなグループ鍵を、親子鍵Bにより暗号化し、暗号化した新たなグループ鍵を子ノード102に対し、通信部400を介して送信する。
【0067】
図5は、本発明の第1の実施形態にかかるルートノード100の構成を示すブロック図である。
【0068】
通信部500は、無線メッシュネットワーク内のノードと通信を行う。
【0069】
ネットワークアクセス認証処理部501は、通信部500を介して、無線メッシュネットワークに新たに参加するノードとの間でネットワークアクセス認証処理を行う。認証処理が成功した場合、認証処理が成功したことを示す通知をノードに対して行う。
【0070】
ルート鍵設定部502は、ネットワークアクセス認証処理の結果である認証結果を用いて、ルート鍵を生成する。無線メッシュネットワークに参加するノード毎に、異なるルート鍵を生成する。
【0071】
グループ鍵生成部503は、グループ鍵を生成する。例えば、グループ鍵の有効期限を監視し、グループ鍵の有効期限が切れる前に、グループ鍵を更新し、新たなグループ鍵を生成する。
【0072】
グループ鍵暗号化部504は、グループ鍵を暗号化して、通信部500を介して、無線メッシュネットワーク上のノードに対して通知する。無線メッシュネットワークに新たに参加するノードに対してグループ鍵を通知する際には、当該ノードとの間のネットワークアクセス認証処理の認証結果を用いて生成したルート鍵または親子鍵を用いて暗号化する。一方、グループ鍵更新時に、無線メッシュネットワーク内のノード全てに新たなグループ鍵を送信する場合には、ルートノードにとっての子ノードのルート鍵を用いて暗号化する。
【0073】
親子鍵転送部505は、子ノード102から暗号化された親子鍵Bを、通信部500を介して受信し、親子鍵Bをルート鍵Aにより復号する。親子鍵転送部505は、親子鍵Bを、ルート鍵Cにより暗号化し、暗号化した親子鍵Bを、通信部500を介して、親ノード101に対して通知する。
【0074】
また、子ノード102は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部300、ネットワークアクセス認証処理部301、ルート鍵設定部302、親子鍵設定部303、グループ鍵取得部304は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、子ノード102は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
【0075】
また、親ノード101は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部400、ネットワークアクセス認証処理部401、ルート鍵設定部402、親子鍵設定部403、グループ鍵取得部404、対子ノード鍵転送鍵設定部405、グループ鍵転送部406は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、親ノード101は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
【0076】
また、ルートノード100は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、通信部500、ネットワークアクセス認証処理部501、ルート鍵設定部502、グループ鍵生成部503、グループ鍵暗号化部504、親子鍵転送部505は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、ルートノード100は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
【0077】
<第2の実施形態>
図6は、第2の実施形態にかかるシステムの動作を示すシーケンス図である。
【0078】
図6に示すように、第2の実施形態施にかかるシステムにおいては、ルートノード2100が、親子鍵Bを生成し、ルートノード2100が、親子鍵Bを、親ノード2101とともに子ノード2102へと通知する点が、第1の実施形態のシステムと異なる。
【0079】
第2の実施形態に係るシステムを、図1に示す。第2の実施形態にかかるシステムの構成は、ルートノード2100と、ネットワーク2103と、親ノード2101と子ノード2102とを備える構成である。各ノード2100、2101、2102とネットワーク2103間の接続関係は、第1の実施形態にかかるシステムと同様である。また、ネットワーク2103内のノードの接続関係も第1の実施形態にかかるシステムと同様である。
【0080】
次に、第2の実施形態にかかるシステムの動作を説明する。
【0081】
S200からS203は、第1の実施形態の動作と同様である。
【0082】
ルートノード2100は、S203の動作後、親子鍵Bを生成する(S604)。次に、ルートノード2100は、親子鍵Bを、ルート鍵Aで暗号化し、子ノード2102に通知する(S605)。また、ルートノード2100は、親子鍵Bをルート鍵Cにより暗号化し、親ノード102に通知する(S606)。ここで、ルート鍵A及びルート鍵Cは、それぞれ、子ノード2102、親ノード2101が、無線メッシュネットワークに参加した際に、ルートノード2100との間で共有するものであり、生成方法は、第1の実施形態で説明した通りである。
【0083】
子ノード2101は、親子鍵Bを受信すると、ルート鍵Aにより親子鍵Bを復号し、親子鍵Bを取得する。
【0084】
親ノード2102は、親子鍵Bを受信すると、ルート鍵Cにより親子鍵Bを復号し、親子鍵Bを取得する。
【0085】
以上の動作により、親ノード2101と子ノード2102との間で、共通鍵である親子鍵Bを共有することができる。
【0086】
この後の動作、つまり、ルートノード2100が通知した更新されたグループ鍵が、親ノード2101と子ノード2102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作は、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態で説明したことと同様である。
【0087】
以上の手順により、親ノード2101と子ノード2102の間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード2100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
【0088】
図7は、本発明の第2の実施形態にかかる子ノード2102の構成を示すブロック図である。
【0089】
子ノード2102は、子ノード102と異なり、親子鍵設定部303を備えていない。
【0090】
子ノード2102は、子ノード102と異なり、親子鍵取得部701を備える。
【0091】
親子鍵取得部701は、ルートノード2100が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Aにより復号する。
【0092】
図8は、本発明の第2の実施形態にかかる親ノード2101の構成を示すブロック図である。
【0093】
親ノード2101は、子ノード2102の機能もそなえるため、子ノード2102の構成及び機能を備えている点は、第1の実施形態の場合と同様である。
【0094】
親ノード2101は、親ノード101と異なり、親子鍵設定部403及び親子鍵取得部405を備えていない。
【0095】
親ノード2101は、親ノード101と異なり、親子鍵取得部801を備える。
【0096】
親子鍵取得部801は、ルートノード2100が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Cにより復号する。
【0097】
図9は、本発明の第2の実施形態にかかるルートノード2100の構成を示すブロック図である。
【0098】
ルートノード2100は、ルートノード100と異なり、親子鍵転送部505を備えていない。
【0099】
ルートノード2100は、ルートノード100と異なり、親子鍵設定部901を備える。
【0100】
親子鍵設定部901は、親子鍵Bを生成する。また、親子鍵設定部901は、親子鍵Bを、ルート鍵Aにより暗号化して、子ノード2101に対して送信する。また、親子鍵Bを、ルート鍵Cにより暗号化して、親ノード2012に対して送信する。
【0101】
<第3の実施形態>
図10は、第3の実施形態にかかるシステムの動作を示すシーケンス図である。
【0102】
図10に示すように、第3の実施形態にかかるシステムにおいては、親ノード3101が親子鍵Bを生成し、親ノード3101がルートノード3100を介して子ノード3102へと通知する点が実施形態1と異なる。
【0103】
実3の実施形態にかかるシステムを、図1に示す。第3の実施形態にかかるシステムの構成は、ルートノード3100、ネットワーク3103と、親ノード3101と子ノード3102とを備える構成である。各ノード3100、3101、3102とネットワーク3103間の接続関係は、第1の実施形態にかかるシステムと同様である。また、ネットワーク3103内のノードの接続関係も第1の実施形態にかかるシステムと同様である。
【0104】
次に、第3の実施形態にかかるシステムの動作を説明する。
【0105】
S200からS203は、第1の実施形態と同様である。
【0106】
親ノード3101は、ルートノード3100と子ノード3102との間のネットワークアクセス認証(S200)や、ルートノード3100から子ノード3102へのグループ鍵の通知(S203)のメッセージの内容等を認識し、子ノード3102のネットワーク認証が成功し、子ノード3102がグループ鍵を得たことを検出する。親ノード3101は、子ノード3102のネットワーク認証の成功を検出、若しくは、親ノード3101から子ノード3102へのグループ鍵の通知を検出すると、親子鍵Bを生成し(S1004)、親子鍵Bをルート鍵Cにより暗号化して、ルートノード3100に通知する(S1005)。
【0107】
ルートノード3100は、暗号化された親子鍵Bを受け取ると、ルート鍵Cにより復号する。次に、ルートノード3100は、親子鍵Bを、ルート鍵Aにより暗号化して、子ノード3102へと送信する(S1006)。尚、子ノード3102、親ノード3101それぞれが、ルート鍵A,Cをルートノード3100と共有する方法は、第1の実施形態と説明した方法と同様の方法で共有しているものとする。
【0108】
子ノード3102は、暗号化された親子鍵Bを受信すると、ルート鍵Aにより復号し、親子鍵Bを取得する。
【0109】
以上の手順で、親ノード3101と子ノード3102との間で、共通鍵である親子鍵を共有することができる。
【0110】
この後の動作、つまりルートノード3100が通知した更新されたグループ鍵が、親ノード3101と子ノード3102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態で説明したことと同様である。
【0111】
以上の手順により、親ノード2101と子ノード2102の間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード2100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全にかつ効率的に共有することができる。
【0112】
図11は、子ノード3102の構成を示すブロック図である。
【0113】
子ノード3102は、子ノード102と異なり、親子鍵設定部303を備えていない。
【0114】
また、子ノード102と異なり、親子鍵取得部1101を備える。
【0115】
親子鍵取得部1101は、親ノード3101が、ルートノード3100を介して送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、ルート鍵Aにより復号する。
【0116】
図12は、本発明の第3の実施形態にかかる親ノード3101の構成を示すブロック図である。
【0117】
親ノード3101は、子ノード3102の機能も備えるため、子ノード3102の構成及び機能を備えている点は、第1の実施形態と同様である。
【0118】
親ノード3101は、親ノード101と異なり、親子鍵設定部403と親子鍵取得部405とを備えていない。
【0119】
また、親ノード3101は、親ノード101と異なり、親子鍵設定部1201と親子鍵取得部1202とを備える。尚、親子鍵取得部1202は、子ノードとしての機能であり、親子鍵設定部1201は、親ノードとしての機能である。
【0120】
親子鍵設定部1201は、親子鍵Bを生成する。また、親子鍵設定部1201は、ルート鍵Cにより親子鍵Bを暗号化する。親子鍵設定部1201は、暗号化した親子鍵を、通信部400を介して送信する。
【0121】
親子鍵取得部1202は、親ノード3101にとっての親ノードが、ルートノード3100を介して送信した、暗号化された親子鍵Dを受信する。そして、暗号化された親子鍵Dを、ルート鍵Cにより復号する。
【0122】
図13は、本発明の第3の実施形態にかかるルートノード3100の構成を示すブロック図である。
【0123】
ルートノード3100は、ルートノード100と異なり、親子鍵転送部505を備えておらず、親子鍵転送部1301を備える。
【0124】
親子鍵転送部1301は、親ノード3101から暗号化された親子鍵Bを、通信部500を介して受信し、親子鍵Bを、ルート鍵Cにより復号する。親子鍵転送部1301は、親子鍵Bを、ルート鍵Aにより暗号化し、暗号化した親子鍵Bを、通信部500を介して、子ノード3102対して通知する。
【0125】
<第4の実施形態>
図14は、第4の実施形態にかかるシステムの動作を示すシーケンス図である。
【0126】
図14に示すように、第4の実施形態にかかるシステムにおいては、更新された新しいグループ鍵を暗号化する方式として、共通鍵暗号化方式でなく、公開鍵暗号化方式を用いている点が、第1の実施形態と異なる。つまり、本実施形態では、子ノード4102は、秘密鍵を保有し、親ノード4101は、子ノード4102の公開鍵を保有する。そして、親ノード4101から子ノード4102へと送信されるグループ鍵を子ノード4102の公開鍵で暗号化して、子ノード4102へと通知するものである。子ノード4102は、暗号化されたグループ鍵を、秘密鍵を用いて復号する。
【0127】
本実施形態では、子ノード4102が、親ノード4101に対して通知する公開鍵を通知する際に、公開鍵とともに通知する認証データを、グループ鍵(更新前のグループ鍵)を用いて生成している点が特徴である。子ノード4102は、容易に認証データを生成でき、認証データを受け取った親ノード4101も、容易に認証データを認証できる。また、親ノード4101は、通知された公開鍵が、信頼できる装置から送られた鍵であることを把握できる。つまり、親ノード4101は、受け取った公開鍵が、少なくともグループ鍵を保有する装置、つまり、ルートノード4100が構成する無線メッシュネットワークに参加する装置から送られた鍵であることを把握できる。
【0128】
次に、第4の実施形態にかかるシステムの動作を説明する。
【0129】
S200からS203は、第1の実施形態の動作と同様である。
【0130】
子ノード4102は、S203で、グループ鍵の通知を受けると、認証データEを生成する。子ノード4102は、認証データEを、グループ鍵(更新前のグループ鍵)と子ノードが生成する公開鍵Fを用いて生成する(S1404)。尚、子ノード4102は、公開鍵Fと合わせて、対応する秘密鍵Gを生成し、秘密鍵Gは保有するものとする。
【0131】
子ノード4102は、認証データEを生成すると、公開鍵Fと認証データEとを親ノード4101に通知する(S1405)。
【0132】
親ノード4101は、認証データEと公開鍵Fを受信すると、自身が保持しているグループ鍵と受信した公開鍵Fから認証データを計算する。親ノード101は、親ノード4101から受け取った認証データEと、自身が計算した認証データとを比較する。認証データEと計算した認証データとが一致した場合公開鍵Fを、子ノード4102から送られた鍵であると判断して受理する。
【0133】
以上の動作により、親ノード4101は、子ノード4102の公開鍵Fを取得することができる。
【0134】
次に、ルートノード4100が通知した更新されたグループ鍵が、親ノード4101と子ノード4102に伝達される。
【0135】
ルートノード4100は、グループ鍵を更新すると暗号化して新しいグループ鍵を送信する(S1406)新しいグループ鍵は、ネットワーク103を介して親ノード4101に伝達される。親ノード4101は、新しいグループ鍵を取得すると、新しいグループ鍵を子ノード4102の公開鍵Fで暗号化し、子ノード4102へと送信する(S1407)。子ノードは、暗号化された新しいグループ鍵を受信すると、公開鍵Fに対応する秘密鍵である秘密鍵Gで新しいグループ鍵を復号し、グループ鍵を取得する。
【0136】
以上の動作では、図1において示したルートノード4100と親ノード4101と子ノード4102との間での処理を説明した。しかしながら、以上の動作は、図1で示していないネットワーク4103内の親ノードと子ノードについても同様の処理が実行される。つまり、ネットワーク4103内の子ノードは、秘密鍵を保有し、親ノードは、子ノードの秘密鍵に対応する公開鍵を子ノードから受けとって、保有する。そして、ルートノード4100が送信した新しいグループ鍵に対して、親ノードが暗号化し、子ノードが復号するといった処理を繰り返すことで、親ノードから子ノードへと新しいグループ鍵を次々に伝搬することができる。
【0137】
以上の動作により、ルートノードが構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全かつ効率的に共有することができる。
【0138】
図15は、本発明の第4の実施形態に係る子ノード4102の構成を示すブロック図である。
【0139】
子ノード4102は、子ノード102と異なり、親子鍵設定部303とグループ鍵取得部304とを備えていない。
【0140】
子ノード4102は、子ノード102と異なり、グループ鍵取得部1501と認証データ設定部1502と公開鍵・秘密鍵設定部1503とを備える。
【0141】
グループ鍵取得部1501は、ルートノード4100を含む無線メッシュネットワークに参加する際、通信部300を介して、ルートノード4100から、ルート鍵Aにより暗号化されたグループ鍵を取得する。グループ鍵取得部1501は、暗号化されたグループ鍵を取得すると、ルート鍵Aにより復号し、グループ鍵を取得する。グループ鍵取得部1501は、公開鍵Fにより暗号化された新たなグループ鍵を、親ノード4101から、通信部300を介して受信する。グループ鍵取得部1501は、暗号化さえた新たなグループ鍵を、秘密鍵Gを使って、復号する。
【0142】
認証データ設定部1502は、無線メッシュネットワークに接続する際、ルートノード4100から受信したグループ鍵(更新前のグループ鍵)と公開鍵Fを用いて、認証データEを生成する。
【0143】
公開鍵・秘密鍵設定部1503は、秘密鍵Gと公開鍵Fを設定する。公開鍵・秘密鍵設定部1503は、秘密鍵Gを保持し、公開鍵Fを、認証データEと合わせて親ノード4101に通知する。
【0144】
図16は、本発明の第4の実施形態に係る親ノード4101の構成を示すブロック図である。
【0145】
親ノード4101は、子ノード4102の機能も有するのは、実施例1と同様である。
【0146】
親ノード4101は、親ノード101と異なり、親子鍵設定部403とグループ鍵取得部404と、親子鍵取得部405とを備えない。
【0147】
親ノード4101は、親ノード101と異なり、グループ鍵取得部1601と、認証データ設定部1602と、公開鍵・秘密鍵設定部1603と、公開鍵取得部1604と、認証データ確認部1605とを備える。
【0148】
グループ鍵取得部1601は、ルートノード4100を含む無線メッシュネットワークに接続する際、通信部300を介して、ルートノード4100から、ルート鍵Cまたは自身の公開鍵により暗号化されたグループ鍵を取得する。グループ鍵取得部1601は、暗号化されたグループ鍵を取得すると、ルート鍵Cにより復号し、グループ鍵を取得する。グループ鍵取得部1601は、公開鍵Hにより暗号化された新たなグループ鍵を、親ノード4101から、通信部300を介して受信する。グループ鍵取得部1601は、暗号化さえた新たなグループ鍵を、秘密鍵Iを使って、復号する。
【0149】
認証データ設定部1602は、無線メッシュネットワークに接続する際、ルートノード4100から受信したグループ鍵(更新前のグループ鍵)と公開鍵Hを用いて、認証データJを生成する。
【0150】
公開鍵・秘密鍵設定部1603は、秘密鍵Iと公開鍵Hを設定する。公開鍵・秘密鍵設定部1603は、秘密鍵Iを保持し、公開鍵Hを、認証データJと合わせて親ノード4101にとっての親ノードに通知する。
【0151】
公開鍵取得部1604は、子ノード4102が生成した公開鍵Fを、認証データEと合わせて取得する。公開鍵・認証データ取得部1604は、認証データ確認部1605から、認証データが一致したことの通知を受けると、公開鍵Fを信頼できるも鍵と判断し、公開鍵Fを子ノード4102の公開鍵として設定する。
【0152】
認証データ確認部1605は、無線メッシュネットワークに接続する際、公開鍵Fとルートノード4100から受信したグループ鍵とを用いて認証データを生成する。認証データ確認部1605は、認証データEと生成した認証データとを比較し、一致するか否かを確認する。一致した場合に、公開鍵Fを、子ノード4102から送られた鍵であると判断して、その旨を公開鍵・認証データ取得部1604に通知する。
【0153】
図17は、本発明の第4の実施形態に係るルートノード4100の構成を示すブロック図である。
【0154】
ルートノード4100は、ルートノード100と異なり、親子鍵転送部505を備えていない。
【0155】
尚、本実施例では、認証データを、グループ鍵と公開鍵を用いて生成すると説明したが、少なくともグループ鍵を用いて生成すれば良い。
【0156】
<第5の実施形態>
図18は、本発明の第5の実施形態に係るシステムの動作を示すシーケンス図である。
【0157】
図18に示すように、第5の実施形態にかかるシステムは、子ノード5102が、秘密鍵を保有し、親ノード5101が、子ノード5102から受ける公開鍵を保有する点、及び交換するプロセスは、第4の実施形態と共通する。一方、第5の実施形態にかかるシステムでは、親ノード5101が、公開鍵を取得後、親子鍵Bを生成し、親子鍵Bを公開鍵で暗号化して子ノード5102に通知する点が、第4の実施形態と異なる。また、親ノード5101が、子ノード5102に対して、更新された新しいグループ鍵を、親子鍵Bを用いて暗号化して通知する点は、第4の実施形態と異なり、第1の実施形態と共通する。
【0158】
次に、第5の実施形態にかかるシステムの動作を説明する。
【0159】
S200からS203の動作は、第1の実施形態と同様の動作である。
【0160】
子ノード5102が認証データEを生成するステップ(S1804)、認証データと公開鍵F(S1805)を通知するステップは、実施形態4と同様である。尚、子ノード5102は、公開鍵Fに対応する秘密鍵Gを保持する。
【0161】
親ノード5101は、公開鍵Fを受理すると、親子鍵Bを生成する(S1806)。そして、親子鍵Bを公開鍵Fで暗号化し、子ノード5102に通知する(S1807)。子ノード5102は、親子鍵Bを受信すると、秘密鍵Fで親子鍵Bを復号し、親子鍵Bを得る。
【0162】
以上の動作により、親ノード5101は、子ノード5102との間で、共通鍵である親子鍵Bを共有することができる。
【0163】
この後の動作、つまり、ルートノード5100が通知した更新されたグループ鍵が、親ノード5101と子ノード5102に伝達される手順は、第1の実施形態で示した方法と同様の手順(S207とS208)である。尚、以上の動作は、図1で示していないノードについても同様の処理が実行されることは、第1の実施形態の場合と同様である。
【0164】
以上の手順により、親ノード5101と子ノード5102との間で親子鍵Bの共有の際、処理負荷を低くできる。また、ルートノード5100が構成する無線メッシュネットワーク内のノード間全てが、更新されたグループ鍵を安全かつ効率的に共有することができる。
【0165】
図19は、本発明の第5の実施形態に係る子ノード5102の構成を示すブロック図である。
【0166】
子ノード5102は、子ノード102と異なり、親子鍵設定部303を備えていない。
【0167】
子ノード5102は、子ノード102と異なり、認証データ設定部1901と公開鍵・秘密鍵設定部1902と親子鍵設定部1903とを備えている。
【0168】
認証データ設定部1901は、公開鍵Fと、無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて、認証データEを生成する。
【0169】
公開鍵・秘密鍵設定部1902は、秘密鍵Gと公開鍵Fを生成する。公開鍵・秘密鍵設定部1902は、秘密鍵Gを保持し、公開鍵Fを、認証データEと合わせて親ノード5101に通知する。
【0170】
親子鍵取得部1903は、親ノード5101が送信した、暗号化された親子鍵Bを受信する。そして、暗号化された親子鍵Bを、秘密鍵Gにより復号する。
【0171】
図20は、本発明の第5の実施形態に係る親ノード5101の構成を示すブロック図である。
【0172】
親ノード5101は、子ノード5102の機能も有するのは、実施例1と同様である。
【0173】
親ノード5101は、親ノード101と異なり、親子鍵設定部303を備えていない。
【0174】
親ノード5101は、親ノード101と異なり、認証データ設定部2001と、公開鍵・秘密鍵設定部2002と、親子鍵設定部2003と、公開鍵・認証データ取得部2004と認証データ確認部2005とを備えている。
【0175】
認証データ設定部2001は、公開鍵Hと、無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて、認証データJを生成する。
【0176】
公開鍵・秘密鍵設定部2002は、秘密鍵Iと公開鍵Hを生成する。公開鍵・秘密鍵設定部2002は、秘密鍵Iを保持し、公開鍵Hを、認証データJと合わせて親ノード5101にとっての親ノードに通知する。
【0177】
親子鍵設定部2003は、親子鍵Bを生成する。親子鍵設定部2003は、親子鍵Bを、公開鍵Fにより暗号化する。親子鍵設定部2003は、暗号化した親子鍵Bを、通信部300を介してルートノード5100に送信する。
【0178】
公開鍵取得部2004は、子ノード5102が生成した公開鍵Fを認証データEと合わせて取得する。公開鍵取得部2004は、認証データ各陰部2005から、認証データが一致したことの通知を受けると、公開鍵Fを信頼できる鍵と判断し、公開鍵Fを自装置の公開鍵として設定する。
【0179】
認証データ確認部2005は、公開鍵Fと無線メッシュネットワークに接続する際にルートノード5100から受信したグループ鍵とを用いて認証データを生成する。認証データ確認部2005は、認証データEと生成した認証データとを比較し、一致するか否かを確認する。一致した場合に、公開鍵Fを、子ノード5102から送られた鍵であると判断して、その旨を公開鍵・認証データ取得部2004に通知する。
【0180】
尚、本発明の第5の実施形態に係るルートノード5100の構成は、ルートノード5100と同様の構成である(図17参照)。
【0181】
以上説明した少なくとも1つの実施形態の効果は、無線メッシュネットワークにおいて、グループ鍵を暗号化するために必要な鍵交換処理の負荷を低減できることである。
【0182】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0183】
100,2100,3100,4100,5100・・・ルートノード、101,2101,3101,4101,5101・・・親ノード、102,2102,3102,4102,5102・・・子ノード、104A,104B,104C,104D,104E,104F・・・ノード、300,400,500・・・通信部,301,401,501・・・ネットワークアクセス認証処理部、302,402,502・・・ルート鍵設定部、303,403,901,1201,2003・・・親子鍵設定部、304,404,1501,1601・・・グループ鍵取得部、406・・・グループ鍵転送部、503・・・グループ鍵生成部、504・・・グループ鍵暗号化部、505,1301・・・親子鍵転送部、405,701,801,1101,1202,1903・・・親子鍵取得部、1502,1602,1901、2001・・・認証データ設定部、1503,1603,1902,2002・・・公開鍵・秘密鍵設定部、1604,2004・・・公開鍵取得部、1605,2005・・・認証データ確認部。
【特許請求の範囲】
【請求項1】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部と、
を備えることを特徴とするノード。
【請求項2】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記ルートノードから、ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
前記親子鍵により暗号化したグループ鍵を前記子ノードに送信するグループ鍵転送部と、
を備えることを特徴とするノード。
【請求項3】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
前記ネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
前記第1ノードから、前記第1ルート鍵で暗号化された親子鍵を受信し、前記暗号化された親子鍵を前記第1ルート鍵で復号し、前記第1ルート鍵で復号した親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送部と、
グループ鍵を前記親子鍵で暗号化して送信するグループ鍵暗号化部とを備える
ノード。
【請求項4】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部と、
を備えることを特徴とするノード。
【請求項5】
前記親子鍵は、前記ルートノードが、親ノードと子ノードに合わせて送信したものであることを特徴とする請求項2記載のノード。
【請求項6】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
グループ鍵を前記親子鍵で暗号化して子ノードに対して送信するグループ鍵暗号化部とを備える
ノード。
【請求項7】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
前記第1ノードと前記第2ノードとの間の共通鍵である親子鍵を生成し、前記親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信し、前記親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送部と、
グループ鍵を暗号化して送信するグループ鍵暗号化部とを備える
ノード。
【請求項8】
前記親子鍵は、前記親ノードが、前記ルートノードを介して送信したものであることを特徴とする請求項4記載のノード。
【請求項9】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
子ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、
グループ鍵を前記親子鍵で暗号化して送信するグループ鍵暗号化部とを備える
ノード。
【請求項10】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
前記第2ノードから、前記第2ルート鍵で暗号化された親子鍵を受信し、前記暗号化された親子鍵を前記第2ルート鍵で復号し、前記第2ルート鍵で復号した親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信する親子鍵転送部と、を備える
ノード。
【請求項11】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得部と、
前記第1グループ鍵を用いて認証データを生成する認証データ生成部と、
公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定部とを備え、
前記グループ鍵取得部は、前記親ノードから、前記公開鍵により暗号化された更新後の第2グループ鍵を受信し、前記秘密鍵により前記第2グループ鍵を復号する
ノード。
【請求項12】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得部と、
前記第1グループ鍵を用いて認証データを生成する認証データ生成部と、
公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定部と、
前記親ノードから、公開鍵により暗号化された親子鍵を受信し、前記秘密鍵により前記暗号化された親子鍵を復号する親子鍵取得部と、
前記親子鍵により暗号化された第2グループ鍵を受信し、前記親子鍵により暗号化された第2グループ鍵を復号するグループ鍵取得部と、
を備えることを特徴とするノード。
【請求項13】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定機能と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得機能と、
を備えることを特徴とするプログラム。
【請求項14】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得機能と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得機能と、
を備えることを特徴とするプログラム。
【請求項15】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理機能と、
前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定機能と、
前記第1ノードと前記第2ノードとの間の共通鍵である親子鍵を生成し、前記親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信し、前記親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送機能と、
グループ鍵を暗号化して送信するグループ鍵暗号化機能とを備えるプログラム。
【請求項16】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得機能と、
前記第1グループ鍵を用いて認証データを生成する認証データ生成機能と、
公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定機能と、
前記親ノードから、公開鍵により暗号化された親子鍵を受信し、前記秘密鍵により前記暗号化された親子鍵を復号する親子鍵取得機能と、
前記親子鍵により暗号化された第2グループ鍵を受信し、前記親子鍵により暗号化された第2グループ鍵を復号するグループ鍵取得機能と、
を備えることを特徴とするプログラム。
【請求項1】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部と、
を備えることを特徴とするノード。
【請求項2】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記ルートノードから、ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
前記親子鍵により暗号化したグループ鍵を前記子ノードに送信するグループ鍵転送部と、
を備えることを特徴とするノード。
【請求項3】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
前記ネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
前記第1ノードから、前記第1ルート鍵で暗号化された親子鍵を受信し、前記暗号化された親子鍵を前記第1ルート鍵で復号し、前記第1ルート鍵で復号した親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送部と、
グループ鍵を前記親子鍵で暗号化して送信するグループ鍵暗号化部とを備える
ノード。
【請求項4】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得部と、
を備えることを特徴とするノード。
【請求項5】
前記親子鍵は、前記ルートノードが、親ノードと子ノードに合わせて送信したものであることを特徴とする請求項2記載のノード。
【請求項6】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得部と、
グループ鍵を前記親子鍵で暗号化して子ノードに対して送信するグループ鍵暗号化部とを備える
ノード。
【請求項7】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
前記第1ノードと前記第2ノードとの間の共通鍵である親子鍵を生成し、前記親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信し、前記親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送部と、
グループ鍵を暗号化して送信するグループ鍵暗号化部とを備える
ノード。
【請求項8】
前記親子鍵は、前記親ノードが、前記ルートノードを介して送信したものであることを特徴とする請求項4記載のノード。
【請求項9】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
子ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定部と、
グループ鍵を前記親子鍵で暗号化して送信するグループ鍵暗号化部とを備える
ノード。
【請求項10】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理部と、
前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定部と、
前記第2ノードから、前記第2ルート鍵で暗号化された親子鍵を受信し、前記暗号化された親子鍵を前記第2ルート鍵で復号し、前記第2ルート鍵で復号した親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信する親子鍵転送部と、を備える
ノード。
【請求項11】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得部と、
前記第1グループ鍵を用いて認証データを生成する認証データ生成部と、
公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定部とを備え、
前記グループ鍵取得部は、前記親ノードから、前記公開鍵により暗号化された更新後の第2グループ鍵を受信し、前記秘密鍵により前記第2グループ鍵を復号する
ノード。
【請求項12】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理部と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定部と、
前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得部と、
前記第1グループ鍵を用いて認証データを生成する認証データ生成部と、
公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定部と、
前記親ノードから、公開鍵により暗号化された親子鍵を受信し、前記秘密鍵により前記暗号化された親子鍵を復号する親子鍵取得部と、
前記親子鍵により暗号化された第2グループ鍵を受信し、前記親子鍵により暗号化された第2グループ鍵を復号するグループ鍵取得部と、
を備えることを特徴とするノード。
【請求項13】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
親ノードとの間の共通鍵である親子鍵を生成し、前記ルート鍵で前記親子鍵を暗号化し、前記暗号化した親子鍵を前記ルートノードに送信する親子鍵設定機能と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得機能と、
を備えることを特徴とするプログラム。
【請求項14】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
前記ルートノードから、前記ルート鍵で暗号化された親子鍵を受信し、前記ルート鍵で復号する親子鍵取得機能と、
前記親ノードから、前記親子鍵により暗号化されたグループ鍵を受信し、前記親子鍵により前記グループ鍵を復号するグループ鍵取得機能と、
を備えることを特徴とするプログラム。
【請求項15】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
ノードが、前記無線メッシュネットワークに参加する際の認証処理を行うネットワークアクセス認証処理機能と、
前記無線メッシュネットワーク内の第1ノードとの間の共通鍵である第1ルート鍵を生成し、前記第1ノードにとっての親ノードである第2ノードとの間の共通鍵である第2ルート鍵を生成するルート鍵設定機能と、
前記第1ノードと前記第2ノードとの間の共通鍵である親子鍵を生成し、前記親子鍵を前記第1ルート鍵で暗号化して前記第1ノードに対して送信し、前記親子鍵を前記第2ルート鍵で暗号化して前記第2ノードに対して送信する親子鍵転送機能と、
グループ鍵を暗号化して送信するグループ鍵暗号化機能とを備えるプログラム。
【請求項16】
1つのルートノードを含み且つ隣接する階層のノード間で親子関係を有する複数のノードにより構成される無線メッシュネットワークに含まれるノードに用いるプログラムであって、
前記ルートノードとの間で、前記無線メッシュネットワークへの参加時の認証処理を行うネットワークアクセス認証処理機能と、
前記ルートノードとの間の共通鍵であるルート鍵を生成するルート鍵設定機能と、
前記無線メッシュネットワークへの参加時に、前記ルートノードから前記ルート鍵で暗号化された第1グループ鍵を受け取るグループ鍵取得機能と、
前記第1グループ鍵を用いて認証データを生成する認証データ生成機能と、
公開鍵と秘密鍵を生成するとともに、前記公開鍵と前記認証データを合わせて親ノードに対して送信する公開鍵・秘密鍵設定機能と、
前記親ノードから、公開鍵により暗号化された親子鍵を受信し、前記秘密鍵により前記暗号化された親子鍵を復号する親子鍵取得機能と、
前記親子鍵により暗号化された第2グループ鍵を受信し、前記親子鍵により暗号化された第2グループ鍵を復号するグループ鍵取得機能と、
を備えることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【公開番号】特開2012−195774(P2012−195774A)
【公開日】平成24年10月11日(2012.10.11)
【国際特許分類】
【出願番号】特願2011−58318(P2011−58318)
【出願日】平成23年3月16日(2011.3.16)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成24年10月11日(2012.10.11)
【国際特許分類】
【出願日】平成23年3月16日(2011.3.16)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]