通信機器
【課題】 ネットワークに新規の通信機器が追加された際に、新規の通信機器の認証に用いる共通情報を、自動的に設定する通信機器を提供する。
【解決手段】 通信機器11において、情報記憶部111は、他の通信機器との認証に用いる共通情報と通信機器を識別する識別情報とを保存する。設定部112には、新規に通信機器が追加される際に、新規の共通情報が入力される。制御部113は、既に認証関係にある通信機器の識別情報を新規の通信機器に送信する。制御部113は、新規の通信機器の識別情報及び新規の共通情報を既に認証関係にある通信機器に送信する。新規の通信機器と既に認証関係にある通信機器とは、通信機器11から送信された情報をそれぞれの情報記憶部に保存することによって、認証を行うことが可能となる。
【解決手段】 通信機器11において、情報記憶部111は、他の通信機器との認証に用いる共通情報と通信機器を識別する識別情報とを保存する。設定部112には、新規に通信機器が追加される際に、新規の共通情報が入力される。制御部113は、既に認証関係にある通信機器の識別情報を新規の通信機器に送信する。制御部113は、新規の通信機器の識別情報及び新規の共通情報を既に認証関係にある通信機器に送信する。新規の通信機器と既に認証関係にある通信機器とは、通信機器11から送信された情報をそれぞれの情報記憶部に保存することによって、認証を行うことが可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証機能を備えた通信機器及び認証情報の設定方法に関し、より特定的には、ネットワークに新規に追加される通信機器及びその通信機器の認証情報の設定方法に関する。
【背景技術】
【0002】
近年、インターネットを中心としたIP(インターネットプロトコル)ネットワークが急速に拡大している。各家庭内においても、PC、AV機器、監視カメラ、及びIP電話機などの電気機器が、通信機能を持つことによって、IPネットワークに接続される傾向にある。また、各家庭において、IPネットワークに接続された家電機器間での通信サービスを提供するホームネットワークが普及しつつある。
【0003】
IPネットワークにおいて、なりすまし及び外部からの侵入などの不正アクセスに対処するためのセキュリティ技術は、ネットワークの安全性の観点から必要不可欠のものである。通常のIPネットワークと同様に、ホームネットワークにおいても、上記の不正アクセスに対処するためのセキュリティを確保することが重要な課題となる。
【0004】
ホームネットワークにおける、セキュリティを確保するための技術の1つとして、機器認証がある。機器認証とは、通信機器が、通信先の通信機器を正当な機器であることを確認することである。具体的な手法は、以下のようになる。まず、パスワードや、暗号化のための秘密鍵などの共通情報を予め通信機器に設定する。次に、通信機器は、通信先の通信機器に共通情報が存在することを確認することで認証関係を構築する。ホームネットワークを含めたIPネットワークに新規の通信機器を追加する場合、機器認証を行うために、既存の通信機器に新規の通信機器の共通情報を設定する必要がある。このとき、第三者に知られることなく、新規の通信機器の共通情報の設定を行うことが、機器認証における重要な課題となる。
【0005】
新規の通信機器の共通情報を、既存の通信機器に設定する第1の方法として、ネットワークの利用者が直接入力する方法がある。この方法では、新規の通信機器と通信を行う可能性のある既存の全ての通信機器に対して、新規の通信機器の共通情報を、利用者が直接入力する必要がある。
【0006】
新規の通信機器の共通情報を、既存の通信機器に設定する第2の方法として、特許文献1に開示された方法がある。図24は、特許文献1に開示されている、ホームネットワークのシステム構成図である。図24に示すネットワーク2は、ホームサーバ201及びテレビ202を備える。ホームサーバ201は、ネットワーク2全体の秘密鍵b1及び公開鍵b2を保持する。ホームサーバ201とテレビ202とは、秘密鍵c1によって通信の暗号化を行う。
【0007】
ホームサーバ201には、リモコン203の固有情報及び秘密鍵c2が記憶されたリモコン用ICチップ204が挿入される。ホームサーバ201は、ネットワーク2全体に公開鍵b2を発行する。リモコン203は、秘密鍵c2及びリモコン203の固有情報を公開鍵b2で暗号化するとともに、暗号化した情報をネットワーク2に同報発信する。ホームサーバ201は、暗号化した情報を秘密鍵b1で復号する。ホームサーバ201は、復号して得られた固有情報とリモコン用ICチップ204の固有情報とを照合し、リモコン203のログオンを許可する。ホームサーバ201及びリモコン203は、共通情報として秘密鍵c2を用いて通信を行うことが可能となる。リモコン203がテレビ202との接続を希望すると、ホームサーバ201は、秘密鍵c1で暗号化した秘密鍵c3をテレビ202に送信する。ホームサーバ201は、秘密鍵c2で暗号化した秘密鍵c3をリモコン203に送信する。テレビ202及びリモコン203は、共通情報として秘密鍵c3を用いて通信を行うことが可能となる。
【特許文献1】特開2002−77143号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上記の第1及び第2の方法では、以下に示す問題がある。
第1の方法では、ネットワークの利用者が既存の通信機器に新規に追加された通信機器の共通情報を直接入力するため、新規の通信機器を追加するための作業が煩雑となる。また、新規の通信機器の共通情報は、ネットワークの既存の通信機器全てに設定する必要がある。このため、新規の通信機器を導入する際の煩雑さが更に増すことになる。特に、ホームネットワークにおいて、利用者が通信機器の設定を行うことは、利便性を損なうという問題がある。
【0009】
第2の方法は、ホームサーバが、新たに追加された通信機器の共通情報を、自動的に既存の通信機器に配布することによって、既存の通信機器及び新規の通信機器に共通情報を設定するため、ホームネットワークに、認証用のホームサーバを設置する必要がある。このため、家庭内に構築されるホームネットワークには不向きであるという問題がある。
【0010】
それ故、本発明の目的は、ネットワークにおいて、新規の通信機器が追加された際に、ネットワーク上の既存の通信機器に対して、新規の通信機器の共通情報を自動的に設定可能な通信機器を提供することである。
【課題を解決するための手段】
【0011】
本発明は、ネットワーク接続された他の通信機器と認証関係を確立させる通信機器に向けられている。そして、上記目的を達成させるために、ネットワーク接続された複数の通信機器のうち、特定の通信機器は、ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力される設定部と、新たな通信機器との間で認証関係を確立させる場合に、設定部に入力された新たな共通情報と、新たな通信機器の識別情報とを対応付けて情報記憶部に記憶する制御部と、少なくとも新たな共通情報を、情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、新たな通信機器に送信する送信部を備えさせる。
【0012】
また、特定の通信機器以外の通信機器は、ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、新たな通信機器と認証処理を行う特定の通信機器から、新たな通信機器との認証に必要な新たな共通情報と、新たな通信機器の識別情報とを受信する受信部と、新たな共通情報と、新たな通信機器の識別情報とを、情報記憶部に保存する制御部とを備えさせる。
【0013】
本発明の通信機器は、通信機器の用途を指定した属性情報を用いてもよい。特定の通信機器は、新たな通信機器の属性情報を用いて、新たな通信機器をネットワークに登録するか否か判断する。特定の通信機器は、他の通信機器に新たな通信機器の属性情報を送信するとともに、新たな通信機器に他の通信機器の属性情報を送信する。他の通信機器は、受信した属性情報に基づいて、認証関係を確立するかどうか判断する。
【発明の効果】
【0014】
上記のように本発明によれば、ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報は、特定の通信機器と新たな通信機器とに入力される。特定の通信機器は、新たな通信機器の識別情報と新たな共通情報を情報記憶部に保存する。これにより、特定の通信機器と新たな通信機器とは、認証を行うことが可能となる。また、特定の通信機器は、ネットワーク上の他の通信機器に、新たな通信機器の識別情報と新たな共通情報とを送信する。また、特定の通信機器は、情報記憶部に記憶されている新たな通信機器に他の通信機器の識別情報と他の通信機器の共通情報とを送信する。他の通信機器は、新たな通信機器の識別情報と新たな共通情報を情報記憶部に保存する。これにより、他の通信機器と新たな通信機器とは認証を行うことが可能となる。本発明の通信機器によって、ネットワークに新たに接続する通信機器の共通情報の設定を、サーバ構成ではないネットワークにおいても自動化することができる。
また、本発明によれば、通信機器が属性情報を備えることによって、異なる属性情報の通信機器と認証を行うかどうか、それぞれの通信機器が判断することができる。
【発明を実施するための最良の形態】
【0015】
図1は、本発明の通信機器によって構成されるネットワーク1の一例を示す概念図である。図1のネットワーク1は、複数の通信機器10が、相互に接続されて構成される。ネットワーク1は、各通信機器間の認証を行う際に使用する各通信機器の識別情報及び各通信機器の共通情報の管理を行う認証用サーバを持たない構成である。ネットワーク1における各通信機器間の接続は、有線または無線のどちらでもよい。なお、図1の例では、ネットワーク1を構成する通信機器が4台である場合を示しているが、通信機器の台数は、これに限られるものではない。
以下、認証の形態が異なる二つの実施形態を用いて、本発明の通信機器を説明する。
【0016】
(第1の実施形態)
図2は、本発明の第1の実施形態に係る通信機器10の機能的構成を示すブロック図である。通信機器10は、情報記憶部111と、設定部112と、制御部113と、送受信部114と、認証確認部115と、認証要求部116とを備える。
【0017】
まず、通信機器10の各構成の概要を説明する。情報記憶部111は、認証関係が確立されている他の通信機器の識別情報及び共通情報等を保存する。識別情報は、ネットワーク1上における各通信機器を一意に識別することが可能な情報である。この識別情報には、たとえば、MACアドレス及びIPアドレスなどのネットワークアドレスや、各通信機器に付与した名称及び識別番号などが用いられる。共通情報は、認証の要求の際に認証情報として使用されると共に、認証を要求された際に送信された認証情報の確認のために用いられる。
【0018】
図3は、通信機器10の情報記憶部111に保存される識別情報及び共通情報の一例を示す図である。図3に示すように、情報記憶部111は、通信機器ごとにその識別情報とその通信機器が保持する共通情報との対応関係を、認証テーブルの形式で記憶している。また、この認証テーブルには、通信機器の直系関係を示す直系情報が記憶される。直系関係とは、ネットワーク1に新規に追加される通信機器が、最初に認証が可能となった既存の通信機器との関係のことをいう。図3では、識別情報“A”である通信機器に関して、共通情報は“aaa”であり、直系情報は“○”印であることが示されている。直系情報が“○”印であるため、この識別情報“A”である通信機器は、図3に示す認証テーブルを備える通信機器に最初に接続したことがわかる。なお、直系情報は、実際に認証テーブルに保存する際に“0”または“1”の数字を用いて記憶される。
【0019】
設定部112は、ネットワーク1に新規に通信機器が追加された際に、新規の共通情報を入力するためのインタフェース(図示せず)を備える。インタフェースは、たとえば、フレキシブルディスクドライブや、ICカードリーダであればよい。
【0020】
制御部113は、設定部112から新規の共通情報が入力された際に、ネットワーク1に新規に追加された通信機器の識別情報及び新規の共通情報を情報記憶部111に保存する。また、制御部113は、送受信部114を介して既存認証メッセージを受信した際に、既存認証メッセージに含まれる他の通信機器の識別情報及び共通情報を情報記憶部111に保存する。また、制御部113は、送受信部114を介して新規認証メッセージを受信した際に、新規認証メッセージに含まれる新規に追加された通信機器の識別情報及び共通情報を情報記憶部111に保存する。なお、既存認証メッセージ及び新規認証メッセージの詳細は、後述する。さらに、制御部113は、認証確認部115及び認証要求部116の制御を行う。
【0021】
認証確認部115は、他の通信機器から認証を要求された際に、他の通信機器の認証情報を確認する。認証要求部116は、他の通信機器に認証を要求する際に、認証情報を作成する。
【0022】
本発明の通信機器10は、以下の3つの場合によって、各々異なる処理を実行する。(1)通信機器10が、ネットワーク1に新規に参加する通信機器である場合。この場合の通信機器10は、新規追加機器として動作する。(2)新規追加機器によって最初に接続される場合。この場合の通信機器10は、登録処理機器として動作する。(3)既にネットワーク1に接続されている場合。この場合の通信機器10は、既存認証機器として動作する。以下、図4〜図9を用いて、登録処理機器、新規追加機器、及び既存認証機器の動作を説明する。図4は、上記の3つの機器で実行される認証処理を示したシーケンス図である。
【0023】
図4を参照して、処理の概要を説明する。まず、新規追加機器及び登録処理機器には、新規の共通情報が入力される(ステップS101)。なお、新規追加機器及び登録処理機器の識別情報は、新規の共通情報の入力と同時に入力されるものとする。登録処理機器は、入力された新規追加機器の識別情報及び新規の共通情報を保存して、新規追加機器を登録する(ステップS102)。新規追加機器は、登録処理機器の識別情報及び新規の共通情報を保存して、登録処理機器を登録する(ステップS103)。これにより、登録処理機器と新規追加機器との間で、認証関係が構築される。
【0024】
次に、登録処理機器は、以下のメッセージ処理を行う(ステップS104)。登録処理機器は、まず既存認証メッセージ及び新規認証メッセージを作成する。そして、登録処理機器は、既存認証メッセージを新規追加機器に送信(ステップS105)し、新規認証メッセージを既存認証機器に送信する(ステップS107)。
【0025】
既存認証メッセージを受信した新規追加機器は、既存認証メッセージに含まれる既存認証機器の識別情報と新規の共通情報とを対応付けて保存して、既存認証機器を登録する(ステップS106)。新規認証メッセージを受信した既存認証機器は、新規認証メッセージに含まれる新規追加機器の識別情報と新規の共通情報とを対応付けて保存して、新規追加機器を登録する(ステップS108)。既存機器追加処理及び新規追加処理の終了によって、既存認証機器及び新規追加機器は、認証を行うことが可能となる。この結果、ネットワーク1を構成する各通信機器は、他の各通信機器と認証関係を構築することが可能となる。
【0026】
さらに、図5を参照しながら、登録処理機器の動作について詳細に説明する。図5は、登録処理機器の動作を示すフローチャートである。
【0027】
登録処理機器には、新規追加機器の識別情報及び新規の共通情報が入力される(ステップS201)。続いて登録処理機器は、新規の共通情報と新規追加機器の識別情報とを対応付けて保存する(ステップS202)。図4に示すステップS102は、ステップS202が該当する。
【0028】
登録処理機器は、新規の共通情報及び新規追加機器の識別情報を、ネットワーク1の既存認証機器に配布するかどうか判断する(ステップS203)。判断条件は、たとえば、ネットワーク1に既存認証機器が存在するか否かである。ネットワーク1に既存認証機器が存在する場合、登録処理機器は、新規の共通情報及び新規追加機器の識別情報を配布すると判断する。既存認証機器が存在しない場合、登録処理機器は、処理を終了する。
【0029】
登録処理機器は、既存認証機器に識別情報を配布すると判断した場合、既存認証メッセージを生成し(ステップS204)、生成した既存認証メッセージを新規追加機器に送付する(ステップS205)。既存認証メッセージとは、ネットワークを構成する既存認証機器の識別情報を格納したデータである。図6は、既存認証メッセージの内容の一例を示す図である。図6に示すように、既存認証メッセージは、送信先アドレスと、送信元アドレスと、既存認証機器の識別情報とで構成される。既存認証機器が二つ以上である場合、既存認証メッセージには、既存認証機器の数だけ識別情報が付加される。
【0030】
また、登録処理機器は、新規認証メッセージを生成し(ステップS206)、生成した新規認証メッセージを既存認証機器に送付する(ステップS207)。新規認証メッセージとは、新規追加機器の識別情報及び新規の共通情報を格納したデータである。図7は、新規認証メッセージの内容の一例を示す図である。図7に示すように、新規認証メッセージは、送信先アドレスと、送信元アドレスと、新規追加機器の識別情報と、新規の共通情報とで構成される。図4に示すステップS104は、ステップS204及びS206が該当する。
【0031】
図8は、図4に示す新規追加機器の動作を示すフローチャートである。以下、図8を参照しながら、新規追加機器の動作について詳細に説明する。
【0032】
新規追加機器には、新規の共通情報及び登録処理機器の識別情報が入力される(ステップS301)。新規追加機器は、新規の共通情報及び登録処理機器の識別情報を対応付けて保存する(ステップS302)。図4にステップS103は、ステップS302が該当する。次に、新規追加機器は、登録処理機器から既存認証メッセージを受信しているかどうかを判断する(ステップS303)。新規追加機器は、既存認証メッセージを受信していた場合、既存認証メッセージに含まれる既存認証機器の識別情報及び新規の共通情報を対応付けて保存する(ステップS304)。図4に示すステップS106は、ステップS303及びステップS304が該当する。
【0033】
図9は、図4に示す既存認証機器の動作を示すフローチャートである。以下、図9を参照しながら、既存認証機器の動作について詳細に説明する。
【0034】
既存認証機器は、新規認証メッセージを受信したかどうかを判断する(ステップS401)。新規認証メッセージを受信していた場合、既存認証機器は、新規認証メッセージに含まれる新規の共通情報及び新規追加機器の識別情報を対応させて保存する(ステップS402)。以上の処理を、各機器が実行することでネットワーク内の認証関係が更新される。
【0035】
次に、図10及び図11を参照して、通信機器間で行われる認証処理を具体的に説明する。図10は、通信機器間で行われる認証処理を具体的に説明する図である。図11は、通信機器の情報記憶部に保存される識別情報及び共通情報の具体例を示す図である。以下の説明において、通信機器11、12、及び13のそれぞれの情報記憶部を、情報記憶部111、121、及び131とする。
【0036】
今、図10(a)に示すように、通信機器11と通信機器12との間に共通情報a12を用いた認証関係が確立されている場合において、通信機器13の認証処理が通信機器11に対して行われる場合を考える。この場合には、通信機器11が登録処理機器に、通信機器12が既存認証機器に、通信機器13が新規追加機器に該当する。また、このときの各通信機器11〜13の情報記憶部には、それぞれ図11(a)に示す情報が格納されていることになる。なお、通信機器11と通信機器12とは直系関係にあるため、それぞれの認証テーブルの直系情報には、“○”印が付される。
【0037】
まず、通信機器11と通信機器13との認証に用いられる新規の共通情報a13が、通信機器11及び通信機器13に入力される。この共通情報a13は、相手通信機器の識別情報と対応付けて、それぞれの情報記憶部に追加登録される。図11(b)に、この時点における各情報記憶部の認証テーブルの状態を示す。なお、通信機器11と通信機器13とは、直系関係となるため、認証テーブルの直系情報には“○”印が付される。この追加登録により、通信機器11と通信機器13との認証関係が共通情報a13によって確立される(図10(b))。
【0038】
通信機器11と通信機器13との認証関係の確立が完了すると、通信機器11は、通信機器13との認証に用いられる新規の共通情報a13を、新規認証メッセージとして通信機器12に通知する。また、通信機器11は、全ての認証機器、この例では通信機器12の識別情報を、既存認証メッセージとして通信機器13に通知する。通信機器12は、通信機器11から通知される識別情報を、通信機器13の識別情報と対応付けて、情報記憶部121に追加登録する。一方、通信機器13は、通信機器11から通知される通信機器12の識別情報を、共通情報a13と対応付けて、情報記憶部131に追加登録する。図11(c)に、この時点における各情報記憶部の認証テーブルの状態を示す。この追加登録により、通信機器12と通信機器13との認証関係も共通情報a13によって確立される(図10(c))。
【0039】
ここで、図11(c)のように構築されたネットワーク内で、通信機器が認証を行う際の具体的な動作を説明する。
通信機器12が通信機器13に認証を要求する場合、通信機器12は、情報記憶部121に記憶されている通信機器13の識別情報及び共通情報a13を取得して、共通情報a13の全部または一部を認証鍵とした認証情報を生成する。なお、認証情報を生成する際に、NONCEと呼ばれる不定値を用いてもよい。通信機器12は、通信機器13の識別情報及び生成した認証情報を少なくとも含む認証要求メッセージを通信機器13に送信する。
【0040】
通信機器13は、認証確認部において、通信機器12から受信した認証要求メッセージから、通信機器12の識別情報及び認証情報を取り出す。また、通信機器13は、情報記憶部131から通信機器12の識別情報に対応した共通情報を取り出し、通信機器12と同様の作成方法によって確認用の認証情報を作成する。そして、通信機器13は、認証要求メッセージの認証情報と確認用の認証情報とが一致するかどうか判断する。情報が一致している場合に、通信機器13は、認証情報の送信元である通信機器12が正当な機器であるとして認証する。認証した旨は、通信機器13から通信機器12に通知される。これにより、通信機器12と通信機器13との通信が開始される。
【0041】
なお、相互認証が必要である場合、通信機器12は、認証要求メッセージに相互認証が必要である旨の情報を含めてもよい。このとき、通信機器13は、通信機器12の認証後に、上記と同様の方法を経て通信機器12に認証要求メッセージを送信する。
【0042】
このように、ネットワークに新規に通信機器を追加する際に、新規の通信機器及びネットワーク上の任意の通信機器に新規の通信機器の認証に必要な共通情報を設定し、任意の通信機器がネットワークの既存の通信機器に、共通情報を配布することによって、サーバを用いないネットワークシステムにおいても、追加された新規の通信機器の認証用の共通情報を配布することが可能となる。
【0043】
また、ネットワーク1を構成する通信機器10は、情報記憶部111の認証テーブルに通信機器の用途を分類した属性情報を備えてもよい。たとえば、属性情報は、オーディオ機器や調理機器などである。認証記憶部111の認証テーブルには、それぞれの通信機器を特徴付ける属性情報が追加される。属性情報は、ネットワーク1に新規の通信機器が追加された際に、入力される共通情報と同時に入力されてもよいし、別々に入力されてもよい。図12は、ネットワーク1を構成する通信機器が属性情報を用いて共通情報を設定する場合の、図4に示す登録処理機器の動作を示すフローチャートである。図5に示す登録処理機器のフローチャートとの違いは、ステップS201とステップS202との間に、新規追加機器を登録するかどうかの判断を行うステップ(ステップS208)が存在することである。登録処理機器がオーディオ機器の属性情報を備えており、新規追加機器が調理機器の属性情報を備えているとした場合、登録処理機器は、新規追加機器の属性情報が自身の属性情報と異なるとして、新規追加機器の登録を拒否することができる。
【0044】
(第2の実施形態)
図13は、本発明の第2の実施形態に係る通信機器10の機能的構成を示すブロック図である。図13において、第1の実施形態に係る通信機器10と同じ構成要素には、同じ参照符号を付す。以下では、第1の実施形態と異なる点のみを説明する。図13において、第1の実施形態と異なる点は、情報記憶部111が、認証要求情報記憶部111a及び認証確認情報記憶部111bを含むことである。
【0045】
情報記憶部111において、認証要求情報記憶部111aは、他の通信機器に認証を要求する際に、他の通信機器の識別情報と、認証情報として使用するための要求共通情報を保存する。図14は、認証要求情報記憶部111aが保存する識別情報及び要求共通情報の一例を示す図である。図14に示すように、認証要求情報記憶部111aは、他の通信機器の識別情報と、その通信機器に認証を要求する際に使用する共通情報との対応関係を示す認証テーブルを持つ。また、この認証テーブルには、直系関係を示すフラグが記憶される。
【0046】
認証確認情報記憶部111bは、他の通信機器から認証を要求された際に、他の通信機器が送信した認証情報を確認するための確認共通情報を保存する。図15は、認証確認情報記憶部111bが保存する識別情報及び確認共通情報の一例を示す図である。図15に示すように、認証確認情報記憶部111bは、他の通信機器における識別情報と、その通信機器が認証を要求した際に確認を行うための共通情報との対応関係を示す認証テーブルを持つ。
【0047】
第2の実施形態における通信機器10の動作を説明する。第2の実施形態における通信機器10は、第1の実施形態と同様に、図4に示す登録処理機器、新規追加機器、及び既存認証機器として動作する。図16は、登録処理機器の処理を示すフローチャートである。以下、図16を参照しながら、登録処理機器の動作について説明する。
【0048】
登録処理機器には、新規の共通情報及び新規追加機器の識別情報が入力される(ステップS501)。登録処理機器は、新規の共通情報と新規追加機器の識別情報とを対応付けて、認証要求情報記憶部111a及び認証確認情報記憶部111bの認証テーブルに保存する(ステップS502)。図4に示すステップS102は、ステップS502が該当する。
【0049】
登録処理機器は、新規追加機器の識別情報及び新規の共通情報を、既存認証機器に配布するかどうか判断する(ステップS503)。判断条件は、たとえば、ネットワーク1に、既存認証機器が存在するか否かである。ネットワーク1に既存認証機器が存在する場合、登録処理機器は、新規追加機器の識別情報及び新規の共通情報を配布すると判断する。他の通信機器が存在しない場合、登録処理機器は、処理を終了する。
【0050】
登録処理機器は、既存認証機器に配布すると判断した場合、新規追加機器に送信するための既存認証メッセージを生成し(ステップS504)、生成した既存認証メッセージを新規追加機器に送付する(ステップS505)。第2の実施形態において、登録処理機器が生成する既存認証メッセージに含まれるデータは、第1の実施形態の既存認証メッセージと異なる。図17は、第2の実施形態において、登録処理機器が生成する既存認証メッセージの内容の一例を示す図である。図17に示すように、既存認証メッセージは、送信先アドレスと、送信元アドレスと、既存認証機器の識別情報と、既存認証機器の共通情報とで構成される。既存認証機器が二つ以上である場合、既存認証機器の識別情報と既存認証機器の共通情報とは、既存認証機器の数だけ交互に繰り返されて付加される。
【0051】
登録処理機器は、既存認証機器に送付するための新規認証追加メッセージを生成し(ステップS506)、生成した新規認証メッセージを既存認証機器に送付する(ステップS507)。図4に示すステップS104は、ステップS504及びステップS506が該当する。
【0052】
図18は、新規追加機器の動作を示すフローチャートである。以下、図18を参照しながら、新規追加機器の動作について説明する。
【0053】
新規追加機器には、新規の共通情報及び登録処理機器の識別情報が入力される(ステップS601)。新規追加機器は、認証要求情報記憶部111a及び認証確認情報記憶部111bの認証テーブルに、新規追加機器の識別情報及び新規の共通情報を対応付けて保存する(ステップS602)。図4に示すステップS103は、ステップS602が該当する。
【0054】
新規追加機器は、登録処理機器から既存認証メッセージを受信しているかどうか判断する(ステップS603)。新規追加機器は、既存認証メッセージに含まれる既存認証機器の識別情報及び既存認証機器の共通情報を対応付けて、認証要求情報記憶部111aに保存する(ステップS604)。新規追加機器は、既存認証メッセージに含まれる既存認証機器の識別情報及び新規の共通情報を対応付けて、認証確認情報記憶部111bに保存する(ステップS605)。図4に示すステップS106は、ステップS603〜S605が該当する。
【0055】
図19は、既存認証機器の動作を示すフローチャートである。以下、図19を参照しながら、既存認証機器の動作について説明する。
【0056】
既存認証機器は、新規認証メッセージを受信したかどうかを判断する(ステップS701)。既存認証機器は、新規認証メッセージに含まれる新規追加機器の識別情報と新規の共通情報とを対応させて、認証要求情報記憶部111aに保存する(ステップS702)。既存認証機器は、新規認証メッセージに含まれる新規追加機器の識別情報と、認証確認情報記憶部111bに保存されている登録処理機器の共通情報とを対応させて、認証確認情報記憶部111bに保存する(ステップS703)。図4に示すステップS108には、ステップS701〜S703が該当する。以上の処理を各機器が実行することでネットワーク内の認証関係が更新される。
【0057】
次に、図20及び図21を参照して、通信機器間で行われる認証処理を具体的に説明する。図20は、通信機器間で行われる認証処理を具体的に説明する図である。図21は、通信機器の情報記憶部に保存される識別情報及び共通情報の具体例を示す図である。以下の説明において、通信機器11、12、及び13のそれぞれの認証要求情報記憶部を、認証要求情報記憶部111a、121a、及び131aとする。また、通信機器11、12、及び13のそれぞれの認証確認情報記憶部を、認証確認情報記憶部111b、121b、及び131bとする。
【0058】
今、図20(a)に示すように、通信機器11と通信機器12との間に共通情報a12を用いた認証関係が確立されている場合において、通信機器13の認証処理が通信機器11に対して行われる場合を考える。この場合には、通信機器11が登録処理機器に、通信機器12が既存認証機器に、通信機器13が新規追加機器に該当する。また、このときの各通信機器11〜13の認証要求情報記憶部及び認証確認情報記憶部には、それぞれ図21(a)に示す情報が格納されていることになる。なお、通信機器11と通信機器12とは直系関係にあるため、それぞれの認証テーブルの直系情報には“○”印が付される。
【0059】
まず、通信機器11と通信機器13との認証に用いられる新規の共通情報a13が、通信機器11及び通信機器13に入力される。この共通情報a13は、相手通信機器の識別情報と対応付けて、それぞれの認証要求情報記憶部及び認証確認情報記憶部に追加登録される。図21(b)に、この時点における各認証要求情報記憶部及び各認証確認情報記憶部の認証テーブルの状態を示す。なお、通信機器11と通信機器13とは直系関係となるため、それぞれの認証テーブルの直系情報には、“○”印が付される。この追加登録により、通信機器11と通信機器13との認証関係が共通情報a13によって確立される(図20(b))。
【0060】
通信機器11と通信機器13との認証関係の確立が完了すると、通信機器11は、通信機器13との認証に用いられる新規の共通情報a13を、新規認証メッセージとして通信機器12に通知する。また、通信機器11は、全ての既存認証機器、この例では通信機器12の識別情報及び共通情報a12を、既存認証メッセージとして通信機器13に通知する。通信機器12は、通信機器11から通知される共通情報a13を、通信機器13の識別情報と対応付けて、認証要求情報記憶部121aに追加登録する。また、通信機器12は、通信機器13の識別情報と認証確認情報記憶部121bの通信機器11の共通情報とを対応付けて、認証確認情報記憶部121bに追加登録する。一方、通信機器13は、通信機器11から通知される通信機器12の識別情報と通信機器12の共通情報とを対応付けて、認証要求情報記憶部131aに追加登録する。また、通信機器13は、通信機器12の識別情報を、共通情報a13と対応付けて、認証確認情報記憶部131bに追加登録する。図21(c)に、この時点における各情報記憶部の認証テーブルの状態を示す。この追加登録により、通信機器12と通信機器13との認証関係は、共通情報a12及び共通情報a13によって確立される(図20(c))。
【0061】
ここで、図21(c)の様に構築されたネットワーク内で、通信機器が認証を行う際の具体的な動作を説明する。
通信機器12が通信機器13に認証を要求する場合、通信機器12は、認証要求情報記憶部121aに記憶されている第3の通信機器の識別情報及び共通情報a13を取得して、共通情報a13の全部または一部を認証鍵とした認証情報を生成する。なお、認証情報を生成する際に、NONCEと呼ばれる不定値を用いてもよい。通信機器12は、通信機器13の識別情報及び生成した認証情報を少なくとも含む認証要求メッセージを通信機器13に送信する。
【0062】
通信機器13は、認証確認部において、通信機器12から受信した認証要求メッセージから、通信機器12の識別情報及び認証情報を取り出す。また、通信機器13は、認証確認情報記憶部131bから、通信機器12の識別情報に対応した共通情報を取り出し、通信機器12と同様の作成方法によって確認用の認証情報を作成する。そして、通信機器13は、認証要求メッセージの認証情報と確認用の認証情報とが一致するかどうかを判断する。情報が一致している場合に、通信機器13は、認証情報の送信元である通信機器12が正当な機器であるとして認証する。認証した旨は、通信機器13から通信機器12に通知される。これにより、通信機器12と通信機器13との通信が開始される。
【0063】
このように、通信機器に認証要求情報記憶部及び認証確認情報記憶部の二つの記憶部を設けることによって、二つの通信機器は、互いに認証を要求する際に各々の通信機器が異なる共通情報を使用して認証情報を作成する。このため、一方の通信機器の共通情報を第三者に知られた場合でも、他方からの認証を要求することが可能となる。二つの通信機器が同じ共通情報を用いて行う認証より安全性の高い認証を実行することが可能となる。
【0064】
なお、ネットワーク1を構成する通信機器は、属性情報を認証要求情報記憶部111a及び認証確認情報記憶部111bに保存してもよい。認証要求情報記憶部111a及び認証確認情報記憶部111bの認証テーブルには、それぞれの通信機器を特徴付ける属性情報が追加される。属性情報は、ネットワーク1に新規の通信機器が追加された際に、入力される共通情報と同時に入力されてもよい。図22は、図4に示す登録処理機器が、属性情報を用いる際の動作を示すフローチャートである。図16に示す登録処理機器の動作を示すフローチャートとの違いは、ステップS501とステップS502との間に、新規追加機器を登録するかどうかの判断を行うステップ(ステップS508)が存在することである。登録処理機器及び新規追加機器が異なる属性情報を備えていた場合、登録処理機器は、新規追加機器の登録を拒否することができる。
【0065】
また、第1及び第2の実施形態において、図4のステップS101で説明したように、登録処理機器及び新規追加機器の識別情報は、新規の共通情報と同時に入力されるとして説明を行ったが、登録処理機器及び新規追加機器の識別情報は、別のタイミングで入力されてもよい。たとえば、図4に示すステップS102が行われる際に、登録処理機器及び新規追加機器の識別情報を手動で入力してもよい。
【0066】
また、第1及び第2の実施形態において、既存認証機器は、制御部に中継機能を備えてもよい。中継機能とは、新規認証メッセージを受信した既存認証機器機器が、直系情報が“○”印である他の既存認証機器に新規認証メッセージをさらに送信する機能のことである。図23は、第1の実施形態に係る通信機器の中継機能を説明するための図である。図23において、点線の矢印で結ばれている通信機器は、直系関係であることを示す。図23に示すように、ネットワーク1において、新たに通信機器15が追加され、通信機器13及び通信機器15に共通情報a15が入力されたとする。この場合、通信機器13は、直系関係である通信機器11及び通信機器14に新規認証メッセージを送信する。新規認証メッセージを受信した通信機器11は、通信機器13以外に直系関係である通信機器12が存在する。通信機器11は、通信機器12に新規認証メッセージを送信する。新規認証メッセージを受信した通信機器14は、他に直系関係にある通信機器が存在しないため、新規認証メッセージを送信しない。第2の実施形態においても、既存認証機器は同様の動作を行う。制御部に中継機能を備えることによって、新規の通信機器が追加された際に行う新規認証メッセージの送信によって一時的に増加する通信量を、制御部が中継機能を持たない場合と比較して低減することが可能となる。
【0067】
また、第1及び第2の実施形態において、図4に示す登録処理機器は、新規認証メッセージ及び既存認証メッセージを送信する際に、新規追加機器機器及び既存認証機器の共通情報の全部または一部を元に暗号鍵を生成し、新規認証メッセージ及び既存認証メッセージの全部または一部を暗号化してもよい。これにより、新規認証メッセージ及び既存認証メッセージの秘匿性が増すため、ネットワークのセキュリティを向上することができる。
【0068】
また、第1及び第2の実施形態において通信機器が属性情報を備える場合、登録処理機器は、属性情報が異なる新規追加機器を登録してもよい。登録処理機器は、属性情報を新規認証メッセージ及び既存認証メッセージに追加してもよい。属性情報が追加された新規認証メッセージを受信した既存認証機器は、自身の属性情報と一致する新規追加機器のみを登録する。属性情報が追加された既存認証メッセージを受信した新規追加機器は、自身の属性情報が一致する既存認証機器のみを登録する。これにより、同じ属性情報をもつ通信機器のみと認証関係を構築するため、ネットワーク1の負荷は軽減される。
【0069】
さらに、第1及び第2の実施形態において、新規追加機器と同じ属性情報を備える既存認証機器のみからなる既存認証メッセージを生成してもよい。また、登録処理機器は、新規追加機器と同じ属性情報を備える既存認証機器のみからなる新規認証メッセージを生成してもよい。既存認証機器は、属性情報が同じ通信機器のみと認証関係を構築するため、ネットワーク1の負荷は軽減される。
【産業上の利用可能性】
【0070】
本発明の通信機器は、認証に用いる共通情報を配布する場合等に有効であり、特に、ネットワークにサーバ装置を設けないネットワーク等において、有用である。
【図面の簡単な説明】
【0071】
【図1】本発明の通信機器によって構成されるネットワーク1の一例を示す概念図
【図2】通信機器10の機能的構成を示すブロック図
【図3】情報記憶部111が保存する識別情報及び共通情報の一例を示す図
【図4】第1の通信機器の動作を説明するためのシーケンス図
【図5】登録処理機器の動作を示すフローチャート図
【図6】既存認証メッセージの構成図
【図7】新規認証メッセージの構成図
【図8】新規追加機器の動作を示すフローチャート図
【図9】既存認証機器の動作を示すフローチャート図
【図10】通信機器間で行われる認証処理を具体的に説明するための図
【図11】情報記憶部に保存される識別情報及び共通情報の具体例を示す図
【図12】属性情報を備える場合の登録処理機器の動作を示すフローチャート図
【図13】第2の実施携帯に係る第1の通信機器11の機能的構成を示すブロック図
【図14】認証要求情報記憶部に保存する識別情報及び共通情報の一例を示す図
【図15】認証確認情報記憶部に保存する識別情報及び共通情報の一例を示す図
【図16】登録処理機器の動作を示すフローチャート図
【図17】既存認証メッセージの構成図
【図18】新規追加機器の動作を示すフローチャート図
【図19】既存認証機器の動作を示すフローチャート図
【図20】通信機器間で行われる認証処理を具体的に説明するための図
【図21】情報記憶部に保存される識別情報及び共通情報の具体例を示す図
【図22】属性情報を備える場合の登録処理機器の動作を示すフローチャート図
【図23】通信機器の中継機能を説明するための図
【図24】ホームネットワークの従来技術を示す図
【符号の説明】
【0072】
1 ネットワーク
11、12、13、14、15 通信機器
111 情報記憶部
111a、121a、131a 認証要求情報記憶部
111b、121b、131b 認証確認情報記憶部
112 設定部
113 制御部
114 送受信部
115 認証確認部
116 認証要求部
【技術分野】
【0001】
本発明は、認証機能を備えた通信機器及び認証情報の設定方法に関し、より特定的には、ネットワークに新規に追加される通信機器及びその通信機器の認証情報の設定方法に関する。
【背景技術】
【0002】
近年、インターネットを中心としたIP(インターネットプロトコル)ネットワークが急速に拡大している。各家庭内においても、PC、AV機器、監視カメラ、及びIP電話機などの電気機器が、通信機能を持つことによって、IPネットワークに接続される傾向にある。また、各家庭において、IPネットワークに接続された家電機器間での通信サービスを提供するホームネットワークが普及しつつある。
【0003】
IPネットワークにおいて、なりすまし及び外部からの侵入などの不正アクセスに対処するためのセキュリティ技術は、ネットワークの安全性の観点から必要不可欠のものである。通常のIPネットワークと同様に、ホームネットワークにおいても、上記の不正アクセスに対処するためのセキュリティを確保することが重要な課題となる。
【0004】
ホームネットワークにおける、セキュリティを確保するための技術の1つとして、機器認証がある。機器認証とは、通信機器が、通信先の通信機器を正当な機器であることを確認することである。具体的な手法は、以下のようになる。まず、パスワードや、暗号化のための秘密鍵などの共通情報を予め通信機器に設定する。次に、通信機器は、通信先の通信機器に共通情報が存在することを確認することで認証関係を構築する。ホームネットワークを含めたIPネットワークに新規の通信機器を追加する場合、機器認証を行うために、既存の通信機器に新規の通信機器の共通情報を設定する必要がある。このとき、第三者に知られることなく、新規の通信機器の共通情報の設定を行うことが、機器認証における重要な課題となる。
【0005】
新規の通信機器の共通情報を、既存の通信機器に設定する第1の方法として、ネットワークの利用者が直接入力する方法がある。この方法では、新規の通信機器と通信を行う可能性のある既存の全ての通信機器に対して、新規の通信機器の共通情報を、利用者が直接入力する必要がある。
【0006】
新規の通信機器の共通情報を、既存の通信機器に設定する第2の方法として、特許文献1に開示された方法がある。図24は、特許文献1に開示されている、ホームネットワークのシステム構成図である。図24に示すネットワーク2は、ホームサーバ201及びテレビ202を備える。ホームサーバ201は、ネットワーク2全体の秘密鍵b1及び公開鍵b2を保持する。ホームサーバ201とテレビ202とは、秘密鍵c1によって通信の暗号化を行う。
【0007】
ホームサーバ201には、リモコン203の固有情報及び秘密鍵c2が記憶されたリモコン用ICチップ204が挿入される。ホームサーバ201は、ネットワーク2全体に公開鍵b2を発行する。リモコン203は、秘密鍵c2及びリモコン203の固有情報を公開鍵b2で暗号化するとともに、暗号化した情報をネットワーク2に同報発信する。ホームサーバ201は、暗号化した情報を秘密鍵b1で復号する。ホームサーバ201は、復号して得られた固有情報とリモコン用ICチップ204の固有情報とを照合し、リモコン203のログオンを許可する。ホームサーバ201及びリモコン203は、共通情報として秘密鍵c2を用いて通信を行うことが可能となる。リモコン203がテレビ202との接続を希望すると、ホームサーバ201は、秘密鍵c1で暗号化した秘密鍵c3をテレビ202に送信する。ホームサーバ201は、秘密鍵c2で暗号化した秘密鍵c3をリモコン203に送信する。テレビ202及びリモコン203は、共通情報として秘密鍵c3を用いて通信を行うことが可能となる。
【特許文献1】特開2002−77143号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上記の第1及び第2の方法では、以下に示す問題がある。
第1の方法では、ネットワークの利用者が既存の通信機器に新規に追加された通信機器の共通情報を直接入力するため、新規の通信機器を追加するための作業が煩雑となる。また、新規の通信機器の共通情報は、ネットワークの既存の通信機器全てに設定する必要がある。このため、新規の通信機器を導入する際の煩雑さが更に増すことになる。特に、ホームネットワークにおいて、利用者が通信機器の設定を行うことは、利便性を損なうという問題がある。
【0009】
第2の方法は、ホームサーバが、新たに追加された通信機器の共通情報を、自動的に既存の通信機器に配布することによって、既存の通信機器及び新規の通信機器に共通情報を設定するため、ホームネットワークに、認証用のホームサーバを設置する必要がある。このため、家庭内に構築されるホームネットワークには不向きであるという問題がある。
【0010】
それ故、本発明の目的は、ネットワークにおいて、新規の通信機器が追加された際に、ネットワーク上の既存の通信機器に対して、新規の通信機器の共通情報を自動的に設定可能な通信機器を提供することである。
【課題を解決するための手段】
【0011】
本発明は、ネットワーク接続された他の通信機器と認証関係を確立させる通信機器に向けられている。そして、上記目的を達成させるために、ネットワーク接続された複数の通信機器のうち、特定の通信機器は、ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力される設定部と、新たな通信機器との間で認証関係を確立させる場合に、設定部に入力された新たな共通情報と、新たな通信機器の識別情報とを対応付けて情報記憶部に記憶する制御部と、少なくとも新たな共通情報を、情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、新たな通信機器に送信する送信部を備えさせる。
【0012】
また、特定の通信機器以外の通信機器は、ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、新たな通信機器と認証処理を行う特定の通信機器から、新たな通信機器との認証に必要な新たな共通情報と、新たな通信機器の識別情報とを受信する受信部と、新たな共通情報と、新たな通信機器の識別情報とを、情報記憶部に保存する制御部とを備えさせる。
【0013】
本発明の通信機器は、通信機器の用途を指定した属性情報を用いてもよい。特定の通信機器は、新たな通信機器の属性情報を用いて、新たな通信機器をネットワークに登録するか否か判断する。特定の通信機器は、他の通信機器に新たな通信機器の属性情報を送信するとともに、新たな通信機器に他の通信機器の属性情報を送信する。他の通信機器は、受信した属性情報に基づいて、認証関係を確立するかどうか判断する。
【発明の効果】
【0014】
上記のように本発明によれば、ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報は、特定の通信機器と新たな通信機器とに入力される。特定の通信機器は、新たな通信機器の識別情報と新たな共通情報を情報記憶部に保存する。これにより、特定の通信機器と新たな通信機器とは、認証を行うことが可能となる。また、特定の通信機器は、ネットワーク上の他の通信機器に、新たな通信機器の識別情報と新たな共通情報とを送信する。また、特定の通信機器は、情報記憶部に記憶されている新たな通信機器に他の通信機器の識別情報と他の通信機器の共通情報とを送信する。他の通信機器は、新たな通信機器の識別情報と新たな共通情報を情報記憶部に保存する。これにより、他の通信機器と新たな通信機器とは認証を行うことが可能となる。本発明の通信機器によって、ネットワークに新たに接続する通信機器の共通情報の設定を、サーバ構成ではないネットワークにおいても自動化することができる。
また、本発明によれば、通信機器が属性情報を備えることによって、異なる属性情報の通信機器と認証を行うかどうか、それぞれの通信機器が判断することができる。
【発明を実施するための最良の形態】
【0015】
図1は、本発明の通信機器によって構成されるネットワーク1の一例を示す概念図である。図1のネットワーク1は、複数の通信機器10が、相互に接続されて構成される。ネットワーク1は、各通信機器間の認証を行う際に使用する各通信機器の識別情報及び各通信機器の共通情報の管理を行う認証用サーバを持たない構成である。ネットワーク1における各通信機器間の接続は、有線または無線のどちらでもよい。なお、図1の例では、ネットワーク1を構成する通信機器が4台である場合を示しているが、通信機器の台数は、これに限られるものではない。
以下、認証の形態が異なる二つの実施形態を用いて、本発明の通信機器を説明する。
【0016】
(第1の実施形態)
図2は、本発明の第1の実施形態に係る通信機器10の機能的構成を示すブロック図である。通信機器10は、情報記憶部111と、設定部112と、制御部113と、送受信部114と、認証確認部115と、認証要求部116とを備える。
【0017】
まず、通信機器10の各構成の概要を説明する。情報記憶部111は、認証関係が確立されている他の通信機器の識別情報及び共通情報等を保存する。識別情報は、ネットワーク1上における各通信機器を一意に識別することが可能な情報である。この識別情報には、たとえば、MACアドレス及びIPアドレスなどのネットワークアドレスや、各通信機器に付与した名称及び識別番号などが用いられる。共通情報は、認証の要求の際に認証情報として使用されると共に、認証を要求された際に送信された認証情報の確認のために用いられる。
【0018】
図3は、通信機器10の情報記憶部111に保存される識別情報及び共通情報の一例を示す図である。図3に示すように、情報記憶部111は、通信機器ごとにその識別情報とその通信機器が保持する共通情報との対応関係を、認証テーブルの形式で記憶している。また、この認証テーブルには、通信機器の直系関係を示す直系情報が記憶される。直系関係とは、ネットワーク1に新規に追加される通信機器が、最初に認証が可能となった既存の通信機器との関係のことをいう。図3では、識別情報“A”である通信機器に関して、共通情報は“aaa”であり、直系情報は“○”印であることが示されている。直系情報が“○”印であるため、この識別情報“A”である通信機器は、図3に示す認証テーブルを備える通信機器に最初に接続したことがわかる。なお、直系情報は、実際に認証テーブルに保存する際に“0”または“1”の数字を用いて記憶される。
【0019】
設定部112は、ネットワーク1に新規に通信機器が追加された際に、新規の共通情報を入力するためのインタフェース(図示せず)を備える。インタフェースは、たとえば、フレキシブルディスクドライブや、ICカードリーダであればよい。
【0020】
制御部113は、設定部112から新規の共通情報が入力された際に、ネットワーク1に新規に追加された通信機器の識別情報及び新規の共通情報を情報記憶部111に保存する。また、制御部113は、送受信部114を介して既存認証メッセージを受信した際に、既存認証メッセージに含まれる他の通信機器の識別情報及び共通情報を情報記憶部111に保存する。また、制御部113は、送受信部114を介して新規認証メッセージを受信した際に、新規認証メッセージに含まれる新規に追加された通信機器の識別情報及び共通情報を情報記憶部111に保存する。なお、既存認証メッセージ及び新規認証メッセージの詳細は、後述する。さらに、制御部113は、認証確認部115及び認証要求部116の制御を行う。
【0021】
認証確認部115は、他の通信機器から認証を要求された際に、他の通信機器の認証情報を確認する。認証要求部116は、他の通信機器に認証を要求する際に、認証情報を作成する。
【0022】
本発明の通信機器10は、以下の3つの場合によって、各々異なる処理を実行する。(1)通信機器10が、ネットワーク1に新規に参加する通信機器である場合。この場合の通信機器10は、新規追加機器として動作する。(2)新規追加機器によって最初に接続される場合。この場合の通信機器10は、登録処理機器として動作する。(3)既にネットワーク1に接続されている場合。この場合の通信機器10は、既存認証機器として動作する。以下、図4〜図9を用いて、登録処理機器、新規追加機器、及び既存認証機器の動作を説明する。図4は、上記の3つの機器で実行される認証処理を示したシーケンス図である。
【0023】
図4を参照して、処理の概要を説明する。まず、新規追加機器及び登録処理機器には、新規の共通情報が入力される(ステップS101)。なお、新規追加機器及び登録処理機器の識別情報は、新規の共通情報の入力と同時に入力されるものとする。登録処理機器は、入力された新規追加機器の識別情報及び新規の共通情報を保存して、新規追加機器を登録する(ステップS102)。新規追加機器は、登録処理機器の識別情報及び新規の共通情報を保存して、登録処理機器を登録する(ステップS103)。これにより、登録処理機器と新規追加機器との間で、認証関係が構築される。
【0024】
次に、登録処理機器は、以下のメッセージ処理を行う(ステップS104)。登録処理機器は、まず既存認証メッセージ及び新規認証メッセージを作成する。そして、登録処理機器は、既存認証メッセージを新規追加機器に送信(ステップS105)し、新規認証メッセージを既存認証機器に送信する(ステップS107)。
【0025】
既存認証メッセージを受信した新規追加機器は、既存認証メッセージに含まれる既存認証機器の識別情報と新規の共通情報とを対応付けて保存して、既存認証機器を登録する(ステップS106)。新規認証メッセージを受信した既存認証機器は、新規認証メッセージに含まれる新規追加機器の識別情報と新規の共通情報とを対応付けて保存して、新規追加機器を登録する(ステップS108)。既存機器追加処理及び新規追加処理の終了によって、既存認証機器及び新規追加機器は、認証を行うことが可能となる。この結果、ネットワーク1を構成する各通信機器は、他の各通信機器と認証関係を構築することが可能となる。
【0026】
さらに、図5を参照しながら、登録処理機器の動作について詳細に説明する。図5は、登録処理機器の動作を示すフローチャートである。
【0027】
登録処理機器には、新規追加機器の識別情報及び新規の共通情報が入力される(ステップS201)。続いて登録処理機器は、新規の共通情報と新規追加機器の識別情報とを対応付けて保存する(ステップS202)。図4に示すステップS102は、ステップS202が該当する。
【0028】
登録処理機器は、新規の共通情報及び新規追加機器の識別情報を、ネットワーク1の既存認証機器に配布するかどうか判断する(ステップS203)。判断条件は、たとえば、ネットワーク1に既存認証機器が存在するか否かである。ネットワーク1に既存認証機器が存在する場合、登録処理機器は、新規の共通情報及び新規追加機器の識別情報を配布すると判断する。既存認証機器が存在しない場合、登録処理機器は、処理を終了する。
【0029】
登録処理機器は、既存認証機器に識別情報を配布すると判断した場合、既存認証メッセージを生成し(ステップS204)、生成した既存認証メッセージを新規追加機器に送付する(ステップS205)。既存認証メッセージとは、ネットワークを構成する既存認証機器の識別情報を格納したデータである。図6は、既存認証メッセージの内容の一例を示す図である。図6に示すように、既存認証メッセージは、送信先アドレスと、送信元アドレスと、既存認証機器の識別情報とで構成される。既存認証機器が二つ以上である場合、既存認証メッセージには、既存認証機器の数だけ識別情報が付加される。
【0030】
また、登録処理機器は、新規認証メッセージを生成し(ステップS206)、生成した新規認証メッセージを既存認証機器に送付する(ステップS207)。新規認証メッセージとは、新規追加機器の識別情報及び新規の共通情報を格納したデータである。図7は、新規認証メッセージの内容の一例を示す図である。図7に示すように、新規認証メッセージは、送信先アドレスと、送信元アドレスと、新規追加機器の識別情報と、新規の共通情報とで構成される。図4に示すステップS104は、ステップS204及びS206が該当する。
【0031】
図8は、図4に示す新規追加機器の動作を示すフローチャートである。以下、図8を参照しながら、新規追加機器の動作について詳細に説明する。
【0032】
新規追加機器には、新規の共通情報及び登録処理機器の識別情報が入力される(ステップS301)。新規追加機器は、新規の共通情報及び登録処理機器の識別情報を対応付けて保存する(ステップS302)。図4にステップS103は、ステップS302が該当する。次に、新規追加機器は、登録処理機器から既存認証メッセージを受信しているかどうかを判断する(ステップS303)。新規追加機器は、既存認証メッセージを受信していた場合、既存認証メッセージに含まれる既存認証機器の識別情報及び新規の共通情報を対応付けて保存する(ステップS304)。図4に示すステップS106は、ステップS303及びステップS304が該当する。
【0033】
図9は、図4に示す既存認証機器の動作を示すフローチャートである。以下、図9を参照しながら、既存認証機器の動作について詳細に説明する。
【0034】
既存認証機器は、新規認証メッセージを受信したかどうかを判断する(ステップS401)。新規認証メッセージを受信していた場合、既存認証機器は、新規認証メッセージに含まれる新規の共通情報及び新規追加機器の識別情報を対応させて保存する(ステップS402)。以上の処理を、各機器が実行することでネットワーク内の認証関係が更新される。
【0035】
次に、図10及び図11を参照して、通信機器間で行われる認証処理を具体的に説明する。図10は、通信機器間で行われる認証処理を具体的に説明する図である。図11は、通信機器の情報記憶部に保存される識別情報及び共通情報の具体例を示す図である。以下の説明において、通信機器11、12、及び13のそれぞれの情報記憶部を、情報記憶部111、121、及び131とする。
【0036】
今、図10(a)に示すように、通信機器11と通信機器12との間に共通情報a12を用いた認証関係が確立されている場合において、通信機器13の認証処理が通信機器11に対して行われる場合を考える。この場合には、通信機器11が登録処理機器に、通信機器12が既存認証機器に、通信機器13が新規追加機器に該当する。また、このときの各通信機器11〜13の情報記憶部には、それぞれ図11(a)に示す情報が格納されていることになる。なお、通信機器11と通信機器12とは直系関係にあるため、それぞれの認証テーブルの直系情報には、“○”印が付される。
【0037】
まず、通信機器11と通信機器13との認証に用いられる新規の共通情報a13が、通信機器11及び通信機器13に入力される。この共通情報a13は、相手通信機器の識別情報と対応付けて、それぞれの情報記憶部に追加登録される。図11(b)に、この時点における各情報記憶部の認証テーブルの状態を示す。なお、通信機器11と通信機器13とは、直系関係となるため、認証テーブルの直系情報には“○”印が付される。この追加登録により、通信機器11と通信機器13との認証関係が共通情報a13によって確立される(図10(b))。
【0038】
通信機器11と通信機器13との認証関係の確立が完了すると、通信機器11は、通信機器13との認証に用いられる新規の共通情報a13を、新規認証メッセージとして通信機器12に通知する。また、通信機器11は、全ての認証機器、この例では通信機器12の識別情報を、既存認証メッセージとして通信機器13に通知する。通信機器12は、通信機器11から通知される識別情報を、通信機器13の識別情報と対応付けて、情報記憶部121に追加登録する。一方、通信機器13は、通信機器11から通知される通信機器12の識別情報を、共通情報a13と対応付けて、情報記憶部131に追加登録する。図11(c)に、この時点における各情報記憶部の認証テーブルの状態を示す。この追加登録により、通信機器12と通信機器13との認証関係も共通情報a13によって確立される(図10(c))。
【0039】
ここで、図11(c)のように構築されたネットワーク内で、通信機器が認証を行う際の具体的な動作を説明する。
通信機器12が通信機器13に認証を要求する場合、通信機器12は、情報記憶部121に記憶されている通信機器13の識別情報及び共通情報a13を取得して、共通情報a13の全部または一部を認証鍵とした認証情報を生成する。なお、認証情報を生成する際に、NONCEと呼ばれる不定値を用いてもよい。通信機器12は、通信機器13の識別情報及び生成した認証情報を少なくとも含む認証要求メッセージを通信機器13に送信する。
【0040】
通信機器13は、認証確認部において、通信機器12から受信した認証要求メッセージから、通信機器12の識別情報及び認証情報を取り出す。また、通信機器13は、情報記憶部131から通信機器12の識別情報に対応した共通情報を取り出し、通信機器12と同様の作成方法によって確認用の認証情報を作成する。そして、通信機器13は、認証要求メッセージの認証情報と確認用の認証情報とが一致するかどうか判断する。情報が一致している場合に、通信機器13は、認証情報の送信元である通信機器12が正当な機器であるとして認証する。認証した旨は、通信機器13から通信機器12に通知される。これにより、通信機器12と通信機器13との通信が開始される。
【0041】
なお、相互認証が必要である場合、通信機器12は、認証要求メッセージに相互認証が必要である旨の情報を含めてもよい。このとき、通信機器13は、通信機器12の認証後に、上記と同様の方法を経て通信機器12に認証要求メッセージを送信する。
【0042】
このように、ネットワークに新規に通信機器を追加する際に、新規の通信機器及びネットワーク上の任意の通信機器に新規の通信機器の認証に必要な共通情報を設定し、任意の通信機器がネットワークの既存の通信機器に、共通情報を配布することによって、サーバを用いないネットワークシステムにおいても、追加された新規の通信機器の認証用の共通情報を配布することが可能となる。
【0043】
また、ネットワーク1を構成する通信機器10は、情報記憶部111の認証テーブルに通信機器の用途を分類した属性情報を備えてもよい。たとえば、属性情報は、オーディオ機器や調理機器などである。認証記憶部111の認証テーブルには、それぞれの通信機器を特徴付ける属性情報が追加される。属性情報は、ネットワーク1に新規の通信機器が追加された際に、入力される共通情報と同時に入力されてもよいし、別々に入力されてもよい。図12は、ネットワーク1を構成する通信機器が属性情報を用いて共通情報を設定する場合の、図4に示す登録処理機器の動作を示すフローチャートである。図5に示す登録処理機器のフローチャートとの違いは、ステップS201とステップS202との間に、新規追加機器を登録するかどうかの判断を行うステップ(ステップS208)が存在することである。登録処理機器がオーディオ機器の属性情報を備えており、新規追加機器が調理機器の属性情報を備えているとした場合、登録処理機器は、新規追加機器の属性情報が自身の属性情報と異なるとして、新規追加機器の登録を拒否することができる。
【0044】
(第2の実施形態)
図13は、本発明の第2の実施形態に係る通信機器10の機能的構成を示すブロック図である。図13において、第1の実施形態に係る通信機器10と同じ構成要素には、同じ参照符号を付す。以下では、第1の実施形態と異なる点のみを説明する。図13において、第1の実施形態と異なる点は、情報記憶部111が、認証要求情報記憶部111a及び認証確認情報記憶部111bを含むことである。
【0045】
情報記憶部111において、認証要求情報記憶部111aは、他の通信機器に認証を要求する際に、他の通信機器の識別情報と、認証情報として使用するための要求共通情報を保存する。図14は、認証要求情報記憶部111aが保存する識別情報及び要求共通情報の一例を示す図である。図14に示すように、認証要求情報記憶部111aは、他の通信機器の識別情報と、その通信機器に認証を要求する際に使用する共通情報との対応関係を示す認証テーブルを持つ。また、この認証テーブルには、直系関係を示すフラグが記憶される。
【0046】
認証確認情報記憶部111bは、他の通信機器から認証を要求された際に、他の通信機器が送信した認証情報を確認するための確認共通情報を保存する。図15は、認証確認情報記憶部111bが保存する識別情報及び確認共通情報の一例を示す図である。図15に示すように、認証確認情報記憶部111bは、他の通信機器における識別情報と、その通信機器が認証を要求した際に確認を行うための共通情報との対応関係を示す認証テーブルを持つ。
【0047】
第2の実施形態における通信機器10の動作を説明する。第2の実施形態における通信機器10は、第1の実施形態と同様に、図4に示す登録処理機器、新規追加機器、及び既存認証機器として動作する。図16は、登録処理機器の処理を示すフローチャートである。以下、図16を参照しながら、登録処理機器の動作について説明する。
【0048】
登録処理機器には、新規の共通情報及び新規追加機器の識別情報が入力される(ステップS501)。登録処理機器は、新規の共通情報と新規追加機器の識別情報とを対応付けて、認証要求情報記憶部111a及び認証確認情報記憶部111bの認証テーブルに保存する(ステップS502)。図4に示すステップS102は、ステップS502が該当する。
【0049】
登録処理機器は、新規追加機器の識別情報及び新規の共通情報を、既存認証機器に配布するかどうか判断する(ステップS503)。判断条件は、たとえば、ネットワーク1に、既存認証機器が存在するか否かである。ネットワーク1に既存認証機器が存在する場合、登録処理機器は、新規追加機器の識別情報及び新規の共通情報を配布すると判断する。他の通信機器が存在しない場合、登録処理機器は、処理を終了する。
【0050】
登録処理機器は、既存認証機器に配布すると判断した場合、新規追加機器に送信するための既存認証メッセージを生成し(ステップS504)、生成した既存認証メッセージを新規追加機器に送付する(ステップS505)。第2の実施形態において、登録処理機器が生成する既存認証メッセージに含まれるデータは、第1の実施形態の既存認証メッセージと異なる。図17は、第2の実施形態において、登録処理機器が生成する既存認証メッセージの内容の一例を示す図である。図17に示すように、既存認証メッセージは、送信先アドレスと、送信元アドレスと、既存認証機器の識別情報と、既存認証機器の共通情報とで構成される。既存認証機器が二つ以上である場合、既存認証機器の識別情報と既存認証機器の共通情報とは、既存認証機器の数だけ交互に繰り返されて付加される。
【0051】
登録処理機器は、既存認証機器に送付するための新規認証追加メッセージを生成し(ステップS506)、生成した新規認証メッセージを既存認証機器に送付する(ステップS507)。図4に示すステップS104は、ステップS504及びステップS506が該当する。
【0052】
図18は、新規追加機器の動作を示すフローチャートである。以下、図18を参照しながら、新規追加機器の動作について説明する。
【0053】
新規追加機器には、新規の共通情報及び登録処理機器の識別情報が入力される(ステップS601)。新規追加機器は、認証要求情報記憶部111a及び認証確認情報記憶部111bの認証テーブルに、新規追加機器の識別情報及び新規の共通情報を対応付けて保存する(ステップS602)。図4に示すステップS103は、ステップS602が該当する。
【0054】
新規追加機器は、登録処理機器から既存認証メッセージを受信しているかどうか判断する(ステップS603)。新規追加機器は、既存認証メッセージに含まれる既存認証機器の識別情報及び既存認証機器の共通情報を対応付けて、認証要求情報記憶部111aに保存する(ステップS604)。新規追加機器は、既存認証メッセージに含まれる既存認証機器の識別情報及び新規の共通情報を対応付けて、認証確認情報記憶部111bに保存する(ステップS605)。図4に示すステップS106は、ステップS603〜S605が該当する。
【0055】
図19は、既存認証機器の動作を示すフローチャートである。以下、図19を参照しながら、既存認証機器の動作について説明する。
【0056】
既存認証機器は、新規認証メッセージを受信したかどうかを判断する(ステップS701)。既存認証機器は、新規認証メッセージに含まれる新規追加機器の識別情報と新規の共通情報とを対応させて、認証要求情報記憶部111aに保存する(ステップS702)。既存認証機器は、新規認証メッセージに含まれる新規追加機器の識別情報と、認証確認情報記憶部111bに保存されている登録処理機器の共通情報とを対応させて、認証確認情報記憶部111bに保存する(ステップS703)。図4に示すステップS108には、ステップS701〜S703が該当する。以上の処理を各機器が実行することでネットワーク内の認証関係が更新される。
【0057】
次に、図20及び図21を参照して、通信機器間で行われる認証処理を具体的に説明する。図20は、通信機器間で行われる認証処理を具体的に説明する図である。図21は、通信機器の情報記憶部に保存される識別情報及び共通情報の具体例を示す図である。以下の説明において、通信機器11、12、及び13のそれぞれの認証要求情報記憶部を、認証要求情報記憶部111a、121a、及び131aとする。また、通信機器11、12、及び13のそれぞれの認証確認情報記憶部を、認証確認情報記憶部111b、121b、及び131bとする。
【0058】
今、図20(a)に示すように、通信機器11と通信機器12との間に共通情報a12を用いた認証関係が確立されている場合において、通信機器13の認証処理が通信機器11に対して行われる場合を考える。この場合には、通信機器11が登録処理機器に、通信機器12が既存認証機器に、通信機器13が新規追加機器に該当する。また、このときの各通信機器11〜13の認証要求情報記憶部及び認証確認情報記憶部には、それぞれ図21(a)に示す情報が格納されていることになる。なお、通信機器11と通信機器12とは直系関係にあるため、それぞれの認証テーブルの直系情報には“○”印が付される。
【0059】
まず、通信機器11と通信機器13との認証に用いられる新規の共通情報a13が、通信機器11及び通信機器13に入力される。この共通情報a13は、相手通信機器の識別情報と対応付けて、それぞれの認証要求情報記憶部及び認証確認情報記憶部に追加登録される。図21(b)に、この時点における各認証要求情報記憶部及び各認証確認情報記憶部の認証テーブルの状態を示す。なお、通信機器11と通信機器13とは直系関係となるため、それぞれの認証テーブルの直系情報には、“○”印が付される。この追加登録により、通信機器11と通信機器13との認証関係が共通情報a13によって確立される(図20(b))。
【0060】
通信機器11と通信機器13との認証関係の確立が完了すると、通信機器11は、通信機器13との認証に用いられる新規の共通情報a13を、新規認証メッセージとして通信機器12に通知する。また、通信機器11は、全ての既存認証機器、この例では通信機器12の識別情報及び共通情報a12を、既存認証メッセージとして通信機器13に通知する。通信機器12は、通信機器11から通知される共通情報a13を、通信機器13の識別情報と対応付けて、認証要求情報記憶部121aに追加登録する。また、通信機器12は、通信機器13の識別情報と認証確認情報記憶部121bの通信機器11の共通情報とを対応付けて、認証確認情報記憶部121bに追加登録する。一方、通信機器13は、通信機器11から通知される通信機器12の識別情報と通信機器12の共通情報とを対応付けて、認証要求情報記憶部131aに追加登録する。また、通信機器13は、通信機器12の識別情報を、共通情報a13と対応付けて、認証確認情報記憶部131bに追加登録する。図21(c)に、この時点における各情報記憶部の認証テーブルの状態を示す。この追加登録により、通信機器12と通信機器13との認証関係は、共通情報a12及び共通情報a13によって確立される(図20(c))。
【0061】
ここで、図21(c)の様に構築されたネットワーク内で、通信機器が認証を行う際の具体的な動作を説明する。
通信機器12が通信機器13に認証を要求する場合、通信機器12は、認証要求情報記憶部121aに記憶されている第3の通信機器の識別情報及び共通情報a13を取得して、共通情報a13の全部または一部を認証鍵とした認証情報を生成する。なお、認証情報を生成する際に、NONCEと呼ばれる不定値を用いてもよい。通信機器12は、通信機器13の識別情報及び生成した認証情報を少なくとも含む認証要求メッセージを通信機器13に送信する。
【0062】
通信機器13は、認証確認部において、通信機器12から受信した認証要求メッセージから、通信機器12の識別情報及び認証情報を取り出す。また、通信機器13は、認証確認情報記憶部131bから、通信機器12の識別情報に対応した共通情報を取り出し、通信機器12と同様の作成方法によって確認用の認証情報を作成する。そして、通信機器13は、認証要求メッセージの認証情報と確認用の認証情報とが一致するかどうかを判断する。情報が一致している場合に、通信機器13は、認証情報の送信元である通信機器12が正当な機器であるとして認証する。認証した旨は、通信機器13から通信機器12に通知される。これにより、通信機器12と通信機器13との通信が開始される。
【0063】
このように、通信機器に認証要求情報記憶部及び認証確認情報記憶部の二つの記憶部を設けることによって、二つの通信機器は、互いに認証を要求する際に各々の通信機器が異なる共通情報を使用して認証情報を作成する。このため、一方の通信機器の共通情報を第三者に知られた場合でも、他方からの認証を要求することが可能となる。二つの通信機器が同じ共通情報を用いて行う認証より安全性の高い認証を実行することが可能となる。
【0064】
なお、ネットワーク1を構成する通信機器は、属性情報を認証要求情報記憶部111a及び認証確認情報記憶部111bに保存してもよい。認証要求情報記憶部111a及び認証確認情報記憶部111bの認証テーブルには、それぞれの通信機器を特徴付ける属性情報が追加される。属性情報は、ネットワーク1に新規の通信機器が追加された際に、入力される共通情報と同時に入力されてもよい。図22は、図4に示す登録処理機器が、属性情報を用いる際の動作を示すフローチャートである。図16に示す登録処理機器の動作を示すフローチャートとの違いは、ステップS501とステップS502との間に、新規追加機器を登録するかどうかの判断を行うステップ(ステップS508)が存在することである。登録処理機器及び新規追加機器が異なる属性情報を備えていた場合、登録処理機器は、新規追加機器の登録を拒否することができる。
【0065】
また、第1及び第2の実施形態において、図4のステップS101で説明したように、登録処理機器及び新規追加機器の識別情報は、新規の共通情報と同時に入力されるとして説明を行ったが、登録処理機器及び新規追加機器の識別情報は、別のタイミングで入力されてもよい。たとえば、図4に示すステップS102が行われる際に、登録処理機器及び新規追加機器の識別情報を手動で入力してもよい。
【0066】
また、第1及び第2の実施形態において、既存認証機器は、制御部に中継機能を備えてもよい。中継機能とは、新規認証メッセージを受信した既存認証機器機器が、直系情報が“○”印である他の既存認証機器に新規認証メッセージをさらに送信する機能のことである。図23は、第1の実施形態に係る通信機器の中継機能を説明するための図である。図23において、点線の矢印で結ばれている通信機器は、直系関係であることを示す。図23に示すように、ネットワーク1において、新たに通信機器15が追加され、通信機器13及び通信機器15に共通情報a15が入力されたとする。この場合、通信機器13は、直系関係である通信機器11及び通信機器14に新規認証メッセージを送信する。新規認証メッセージを受信した通信機器11は、通信機器13以外に直系関係である通信機器12が存在する。通信機器11は、通信機器12に新規認証メッセージを送信する。新規認証メッセージを受信した通信機器14は、他に直系関係にある通信機器が存在しないため、新規認証メッセージを送信しない。第2の実施形態においても、既存認証機器は同様の動作を行う。制御部に中継機能を備えることによって、新規の通信機器が追加された際に行う新規認証メッセージの送信によって一時的に増加する通信量を、制御部が中継機能を持たない場合と比較して低減することが可能となる。
【0067】
また、第1及び第2の実施形態において、図4に示す登録処理機器は、新規認証メッセージ及び既存認証メッセージを送信する際に、新規追加機器機器及び既存認証機器の共通情報の全部または一部を元に暗号鍵を生成し、新規認証メッセージ及び既存認証メッセージの全部または一部を暗号化してもよい。これにより、新規認証メッセージ及び既存認証メッセージの秘匿性が増すため、ネットワークのセキュリティを向上することができる。
【0068】
また、第1及び第2の実施形態において通信機器が属性情報を備える場合、登録処理機器は、属性情報が異なる新規追加機器を登録してもよい。登録処理機器は、属性情報を新規認証メッセージ及び既存認証メッセージに追加してもよい。属性情報が追加された新規認証メッセージを受信した既存認証機器は、自身の属性情報と一致する新規追加機器のみを登録する。属性情報が追加された既存認証メッセージを受信した新規追加機器は、自身の属性情報が一致する既存認証機器のみを登録する。これにより、同じ属性情報をもつ通信機器のみと認証関係を構築するため、ネットワーク1の負荷は軽減される。
【0069】
さらに、第1及び第2の実施形態において、新規追加機器と同じ属性情報を備える既存認証機器のみからなる既存認証メッセージを生成してもよい。また、登録処理機器は、新規追加機器と同じ属性情報を備える既存認証機器のみからなる新規認証メッセージを生成してもよい。既存認証機器は、属性情報が同じ通信機器のみと認証関係を構築するため、ネットワーク1の負荷は軽減される。
【産業上の利用可能性】
【0070】
本発明の通信機器は、認証に用いる共通情報を配布する場合等に有効であり、特に、ネットワークにサーバ装置を設けないネットワーク等において、有用である。
【図面の簡単な説明】
【0071】
【図1】本発明の通信機器によって構成されるネットワーク1の一例を示す概念図
【図2】通信機器10の機能的構成を示すブロック図
【図3】情報記憶部111が保存する識別情報及び共通情報の一例を示す図
【図4】第1の通信機器の動作を説明するためのシーケンス図
【図5】登録処理機器の動作を示すフローチャート図
【図6】既存認証メッセージの構成図
【図7】新規認証メッセージの構成図
【図8】新規追加機器の動作を示すフローチャート図
【図9】既存認証機器の動作を示すフローチャート図
【図10】通信機器間で行われる認証処理を具体的に説明するための図
【図11】情報記憶部に保存される識別情報及び共通情報の具体例を示す図
【図12】属性情報を備える場合の登録処理機器の動作を示すフローチャート図
【図13】第2の実施携帯に係る第1の通信機器11の機能的構成を示すブロック図
【図14】認証要求情報記憶部に保存する識別情報及び共通情報の一例を示す図
【図15】認証確認情報記憶部に保存する識別情報及び共通情報の一例を示す図
【図16】登録処理機器の動作を示すフローチャート図
【図17】既存認証メッセージの構成図
【図18】新規追加機器の動作を示すフローチャート図
【図19】既存認証機器の動作を示すフローチャート図
【図20】通信機器間で行われる認証処理を具体的に説明するための図
【図21】情報記憶部に保存される識別情報及び共通情報の具体例を示す図
【図22】属性情報を備える場合の登録処理機器の動作を示すフローチャート図
【図23】通信機器の中継機能を説明するための図
【図24】ホームネットワークの従来技術を示す図
【符号の説明】
【0072】
1 ネットワーク
11、12、13、14、15 通信機器
111 情報記憶部
111a、121a、131a 認証要求情報記憶部
111b、121b、131b 認証確認情報記憶部
112 設定部
113 制御部
114 送受信部
115 認証確認部
116 認証要求部
【特許請求の範囲】
【請求項1】
ネットワーク接続された他の通信機器と認証関係を確立させる通信機器であって、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、
ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力される設定部と、
前記新たな通信機器との間で認証関係を確立させる場合に、前記設定部に入力された新たな共通情報と、前記新たな通信機器の識別情報とを対応付けて前記情報記憶部に記憶する制御部と、
少なくとも前記新たな共通情報を、前記情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、前記情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、前記新たな通信機器に送信する送信部とを備える、通信機器。
【請求項2】
前記設定部には、前記共通情報と共に、通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記制御部は、前記属性情報に基づいて前記新たな通信機器との間で認証関係を確立させるか否かを判断することを特徴とする、請求項1に記載の通信機器。
【請求項3】
前記設定部には、前記共通情報と共に、通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記送信部は、前記新たな共通情報及び前記属性情報を、前記情報記憶部に記憶されている全ての他の通信機器に送信することを特徴とする、請求項1に記載の通信機器。
【請求項4】
前記設定部には、前記共通情報と共に、通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記送信部は、前記情報記憶部に記憶されている他の通信機器のうち前記属性情報が一致する通信機器に、前記新たな共通情報を送信することを特徴とする、請求項1に記載の通信機器。
【請求項5】
前記情報記憶部には、通信機器の機能に応じて予め割り当てられた属性情報が記憶されており、
前記送信部は、前記情報記憶部に記憶されている全ての他の通信機器の識別情報及び前記属性情報を、前記新たな通信機器に送信することを特徴とする、請求項1に記載の通信機器。
【請求項6】
前記情報記憶部には、通信機器の機能に応じて予め割り当てられた属性情報が記憶されており、
前記送信部は、前記情報記憶部に記憶されている他の通信機器のうち前記属性情報が一致する通信機器の識別情報を、前記新たな通信機器に送信することを特徴とする、請求項1に記載の通信機器。
【請求項7】
前記情報記憶部は、前記設定部に共通情報が入力されることで認証関係が確立された通信機器であることを示す直系情報をさらに記憶することを特徴とする、請求項1に記載の通信機器。
【請求項8】
前記送信部は、前記情報記憶部に記憶されている他の通信機器のうち前記直系情報が示される通信機器に、前記新たな共通情報を送信することを特徴とする、請求項7に記載の通信機器。
【請求項9】
前記情報記憶部が記憶する共通情報は、前記他の通信機器に認証を要求する際に用いる要求共通情報と、前記他の通信機器から要求されるに認証を確認する際に用いる確認共通情報とで構成されることを特徴とする、請求項1〜8のいずれかに記載の通信機器。
【請求項10】
ネットワーク接続された他の通信機器と認証関係を確立させる通信機器であって、
ネットワーク上の特定の通信機器との新たな認証に必要な新たな共通情報が入力される設定部と、
前記設定部から入力された前記新たな共通情報を、前記特定の通信機器固有の識別情報と対応付けて記憶する情報記憶部と、
前記特定の通信機器から、前記特定の通信機器と認証関係にある他の通信機器の識別情報を受信する受信部と、
受信した前記他の通信機器の識別情報を、前記情報記憶部に記憶する制御部とを備えることを特徴とする、通信機器。
【請求項11】
前記受信部には、前記他の通信機器の識別情報と共に、前記他の通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記制御部は、前記属性情報に基づいて前記他の通信機器との間で認証関係を確立させるか否かを判断することを特徴とする、請求項10に記載の通信機器。
【請求項12】
前記情報記憶部が記憶する共通情報は、前記他の通信機器に認証を要求する際に用いる要求共通情報と、前記他の通信機器から要求されるに認証を確認する際に用いる確認共通情報とで構成されることを特徴とする、請求項10又は11に記載の通信機器。
【請求項13】
ネットワーク接続された他の通信機器と認証関係を確立させる通信機器であって、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、
ネットワークに接続される新たな通信機器と認証処理を行う特定の通信機器から、当該新たな通信機器との認証に必要な新たな共通情報と、当該新たな通信機器の識別情報とを受信する受信部と、
前記新たな共通情報と、前記新たな通信機器の識別情報とを、前記情報記憶部に保存する制御部とを備えることを特徴とする、通信機器。
【請求項14】
前記受信部には、前記新たな通信機器の識別情報と、前記新たな共通情報と共に、前記新たな通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記制御部は、前記属性情報に基づいて前記新たな通信機器との間で認証関係を確立させるか否かを判断することを特徴とする、請求項13に記載の通信機器。
【請求項15】
前記情報記憶部は、前記受信部を介さないで、直接入力された共通情報によって認証関係が確立された通信機器であることを示す直系情報をさらに記憶することを特徴とする、請求項13に記載の通信機器。
【請求項16】
前記情報記憶部に記憶されている他の通信機器のうち前記直系情報が示される通信機器に、前記新たな共通情報を送信する送信部をさらに備えることを特徴とする、請求項15に記載の通信機器。
【請求項17】
前記情報記憶部が記憶する共通情報は、前記他の通信機器に認証を要求する際に用いる要求共通情報と、前記他の通信機器から要求されるに認証を確認する際に用いる確認共通情報とで構成されることを特徴とする、請求項13〜16のいずれかに記載の通信機器。
【請求項18】
認証を行う複数の通信機器がネットワーク接続された認証システムであって、
いずれか一つの特定の通信機器が、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する第1の情報記憶部と、
前記ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力される設定部と、
前記新たな通信機器との間で認証関係を確立させる場合に、前記設定部に入力された前記新たな共通情報と、前記新たな通信機器の識別情報とを対応付けて前記第1の情報記憶部に記憶する第1の制御部と、
少なくとも前記新たな共通情報を、前記第1の情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、前記第1の情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、前記新たな通信機器に送信する送信部とを備え、
前記特定の通信機器以外の通信機器が、
前記ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する第2の情報記憶部と、
前記新たな通信機器と認証処理を行う前記特定の通信機器から、前記新たな共通情報と、前記新たな通信機器の識別情報とを受信する受信部と、
前記新たな共通情報と、前記新たな通信機器の識別情報とを、前記第2の情報記憶部に記憶する第2の制御部とを備える、認証システム。
【請求項19】
ネットワークに接続され、認証を行う複数の通信機器の認証処理方法であって、
特定の通信機器が、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて第1の情報記憶部に記憶するステップと、
前記ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力されるステップと、
前記新たな通信機器との間で認証関係を確立させる場合に、前記設定部に入力された前記新たな共通情報と、前記新たな通信機器の識別情報とを対応付けて前記情報記憶部に記憶するステップと、
少なくとも前記新たな共通情報を、前記情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、前記情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、前記新たな通信機器に送信するステップとを備え、
前記特定の通信機器以外の通信機器が、
前記ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて第2の情報記憶部に記憶するステップと、
前記新たな通信機器と認証処理を行う登録用の通信機器から、前記新たな共通情報と、前記新たな通信機器の識別情報とを受信するステップと、
前記新たな共通情報と、前記新たな通信機器の識別情報とを、前記情報記憶部に記憶するステップとを備える、認証処理方法。
【請求項1】
ネットワーク接続された他の通信機器と認証関係を確立させる通信機器であって、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、
ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力される設定部と、
前記新たな通信機器との間で認証関係を確立させる場合に、前記設定部に入力された新たな共通情報と、前記新たな通信機器の識別情報とを対応付けて前記情報記憶部に記憶する制御部と、
少なくとも前記新たな共通情報を、前記情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、前記情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、前記新たな通信機器に送信する送信部とを備える、通信機器。
【請求項2】
前記設定部には、前記共通情報と共に、通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記制御部は、前記属性情報に基づいて前記新たな通信機器との間で認証関係を確立させるか否かを判断することを特徴とする、請求項1に記載の通信機器。
【請求項3】
前記設定部には、前記共通情報と共に、通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記送信部は、前記新たな共通情報及び前記属性情報を、前記情報記憶部に記憶されている全ての他の通信機器に送信することを特徴とする、請求項1に記載の通信機器。
【請求項4】
前記設定部には、前記共通情報と共に、通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記送信部は、前記情報記憶部に記憶されている他の通信機器のうち前記属性情報が一致する通信機器に、前記新たな共通情報を送信することを特徴とする、請求項1に記載の通信機器。
【請求項5】
前記情報記憶部には、通信機器の機能に応じて予め割り当てられた属性情報が記憶されており、
前記送信部は、前記情報記憶部に記憶されている全ての他の通信機器の識別情報及び前記属性情報を、前記新たな通信機器に送信することを特徴とする、請求項1に記載の通信機器。
【請求項6】
前記情報記憶部には、通信機器の機能に応じて予め割り当てられた属性情報が記憶されており、
前記送信部は、前記情報記憶部に記憶されている他の通信機器のうち前記属性情報が一致する通信機器の識別情報を、前記新たな通信機器に送信することを特徴とする、請求項1に記載の通信機器。
【請求項7】
前記情報記憶部は、前記設定部に共通情報が入力されることで認証関係が確立された通信機器であることを示す直系情報をさらに記憶することを特徴とする、請求項1に記載の通信機器。
【請求項8】
前記送信部は、前記情報記憶部に記憶されている他の通信機器のうち前記直系情報が示される通信機器に、前記新たな共通情報を送信することを特徴とする、請求項7に記載の通信機器。
【請求項9】
前記情報記憶部が記憶する共通情報は、前記他の通信機器に認証を要求する際に用いる要求共通情報と、前記他の通信機器から要求されるに認証を確認する際に用いる確認共通情報とで構成されることを特徴とする、請求項1〜8のいずれかに記載の通信機器。
【請求項10】
ネットワーク接続された他の通信機器と認証関係を確立させる通信機器であって、
ネットワーク上の特定の通信機器との新たな認証に必要な新たな共通情報が入力される設定部と、
前記設定部から入力された前記新たな共通情報を、前記特定の通信機器固有の識別情報と対応付けて記憶する情報記憶部と、
前記特定の通信機器から、前記特定の通信機器と認証関係にある他の通信機器の識別情報を受信する受信部と、
受信した前記他の通信機器の識別情報を、前記情報記憶部に記憶する制御部とを備えることを特徴とする、通信機器。
【請求項11】
前記受信部には、前記他の通信機器の識別情報と共に、前記他の通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記制御部は、前記属性情報に基づいて前記他の通信機器との間で認証関係を確立させるか否かを判断することを特徴とする、請求項10に記載の通信機器。
【請求項12】
前記情報記憶部が記憶する共通情報は、前記他の通信機器に認証を要求する際に用いる要求共通情報と、前記他の通信機器から要求されるに認証を確認する際に用いる確認共通情報とで構成されることを特徴とする、請求項10又は11に記載の通信機器。
【請求項13】
ネットワーク接続された他の通信機器と認証関係を確立させる通信機器であって、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する情報記憶部と、
ネットワークに接続される新たな通信機器と認証処理を行う特定の通信機器から、当該新たな通信機器との認証に必要な新たな共通情報と、当該新たな通信機器の識別情報とを受信する受信部と、
前記新たな共通情報と、前記新たな通信機器の識別情報とを、前記情報記憶部に保存する制御部とを備えることを特徴とする、通信機器。
【請求項14】
前記受信部には、前記新たな通信機器の識別情報と、前記新たな共通情報と共に、前記新たな通信機器の機能に応じて予め割り当てられた属性情報が入力され、
前記制御部は、前記属性情報に基づいて前記新たな通信機器との間で認証関係を確立させるか否かを判断することを特徴とする、請求項13に記載の通信機器。
【請求項15】
前記情報記憶部は、前記受信部を介さないで、直接入力された共通情報によって認証関係が確立された通信機器であることを示す直系情報をさらに記憶することを特徴とする、請求項13に記載の通信機器。
【請求項16】
前記情報記憶部に記憶されている他の通信機器のうち前記直系情報が示される通信機器に、前記新たな共通情報を送信する送信部をさらに備えることを特徴とする、請求項15に記載の通信機器。
【請求項17】
前記情報記憶部が記憶する共通情報は、前記他の通信機器に認証を要求する際に用いる要求共通情報と、前記他の通信機器から要求されるに認証を確認する際に用いる確認共通情報とで構成されることを特徴とする、請求項13〜16のいずれかに記載の通信機器。
【請求項18】
認証を行う複数の通信機器がネットワーク接続された認証システムであって、
いずれか一つの特定の通信機器が、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する第1の情報記憶部と、
前記ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力される設定部と、
前記新たな通信機器との間で認証関係を確立させる場合に、前記設定部に入力された前記新たな共通情報と、前記新たな通信機器の識別情報とを対応付けて前記第1の情報記憶部に記憶する第1の制御部と、
少なくとも前記新たな共通情報を、前記第1の情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、前記第1の情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、前記新たな通信機器に送信する送信部とを備え、
前記特定の通信機器以外の通信機器が、
前記ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて記憶する第2の情報記憶部と、
前記新たな通信機器と認証処理を行う前記特定の通信機器から、前記新たな共通情報と、前記新たな通信機器の識別情報とを受信する受信部と、
前記新たな共通情報と、前記新たな通信機器の識別情報とを、前記第2の情報記憶部に記憶する第2の制御部とを備える、認証システム。
【請求項19】
ネットワークに接続され、認証を行う複数の通信機器の認証処理方法であって、
特定の通信機器が、
ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて第1の情報記憶部に記憶するステップと、
前記ネットワークに接続される新たな通信機器との認証に必要な新たな共通情報が入力されるステップと、
前記新たな通信機器との間で認証関係を確立させる場合に、前記設定部に入力された前記新たな共通情報と、前記新たな通信機器の識別情報とを対応付けて前記情報記憶部に記憶するステップと、
少なくとも前記新たな共通情報を、前記情報記憶部に記憶されている他の通信機器の全部又は一部に送信し、かつ、前記情報記憶部に記憶されている少なくとも他の通信機器の全部又は一部の識別情報を、前記新たな通信機器に送信するステップとを備え、
前記特定の通信機器以外の通信機器が、
前記ネットワーク上で認証関係にある他の通信機器について、認証処理に用いる共通情報と機器固有の識別情報とを対応付けて第2の情報記憶部に記憶するステップと、
前記新たな通信機器と認証処理を行う登録用の通信機器から、前記新たな共通情報と、前記新たな通信機器の識別情報とを受信するステップと、
前記新たな共通情報と、前記新たな通信機器の識別情報とを、前記情報記憶部に記憶するステップとを備える、認証処理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【公開番号】特開2006−42207(P2006−42207A)
【公開日】平成18年2月9日(2006.2.9)
【国際特許分類】
【出願番号】特願2004−222573(P2004−222573)
【出願日】平成16年7月29日(2004.7.29)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成18年2月9日(2006.2.9)
【国際特許分類】
【出願日】平成16年7月29日(2004.7.29)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]