階層式キーに基づくアクセスコントロールシステムと方法
【課題】階層式キーに基づくアクセスコントロールシステムと方法の提供。
【解決手段】このシステムはアクセスコントロールサーバーACS、ホームゲートウエイ、ホームネットワークに配置された複数のセンサ装置を包含する。該ACSはユーザーのアクセス権限と認証コードを設定し、ユーザーパスワードの関係データとユーザーのアクセス権限の情報を保存する。該ホームゲートウエイは階層式キー構造に基づき構築された権限レベルと権限キーを記録する。ユーザーがACSにログインしてアクセス要求する時、該ユーザーと該ホームゲートウエイ間のワンタイム通信キーが、該ACSより発行されたチケットとトークンの交換により構築される。これによりユーザーは該センサ装置の情報にアクセス許可される。
【解決手段】このシステムはアクセスコントロールサーバーACS、ホームゲートウエイ、ホームネットワークに配置された複数のセンサ装置を包含する。該ACSはユーザーのアクセス権限と認証コードを設定し、ユーザーパスワードの関係データとユーザーのアクセス権限の情報を保存する。該ホームゲートウエイは階層式キー構造に基づき構築された権限レベルと権限キーを記録する。ユーザーがACSにログインしてアクセス要求する時、該ユーザーと該ホームゲートウエイ間のワンタイム通信キーが、該ACSより発行されたチケットとトークンの交換により構築される。これによりユーザーは該センサ装置の情報にアクセス許可される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は一種の階層式キー(Hierarchical Key)に基づくアクセスコントロール(Access Control)システムと方法、及びその認証キー交換の方法に関する。
【背景技術】
【0002】
近年、無線センシングネットワークの発展は、軍事用途、環境監視等の大規模な配置から、徐々に家庭に導入されている。センシングネットワークを更に容易に家庭に融合させるため、ホームゲートウエイ(Home Gateway)がセンシングネットワーク(Sensing Network)情報の収集と対応値変化の制御を負担し、更に便利に、更に活発に利用されて家庭で不可欠なツールとなることが期待されている。ホームゲートウエイはホームメッセンジャー(Home Messenger)としての役割を果たす。
【0003】
多くの家庭では家中にセンシングネットワーク装置を配置し、ホームゲートウエイで情報を収集している。使用者が習慣的にホームゲートウエイを観て家庭のセンシング情報を得る時、一つのハイコントロールポイントに位置し、多くの家庭に既に配置されているセンシングネットワーク上に、アクセスコントロールサービスを如何に提供するかは、ユーザーが家にいなくとも家庭のセンシング状況を知ることができるようにする将来的に可能なサービスである。
【0004】
ある家庭に関して、大量に配置されているセンサは、その属性分類上、権限レベルの違いが必然的に発生する。例えば、家中監視用モニタの安全レベルは一般の温度と湿度センサより高い。家庭管理員から各家族メンバーを見ると、メンバーがアクセスできるセンサ情報はそれぞれ同じでない。ゆえに簡単なアクセスコントロール権限区分方式が必要とされる。
【0005】
アクセスコントロール構築は二つの基本要素を有し、すなわち、相互認証(Mutual Authentication)、及びアクセス授権(Access Authorization)である。認証はすなわち身分の表面であり、どのような通信であり、その基礎は身分の表面にある。ただしサーバーがユーザーの身分を知ることはユーザーが自由に通行できることを意味するわけではなく、ユーザーはアクセス対象の認可を受けなければ、目標のアクセスを実行できない。
【0006】
よく見られる安全なアクセスコントロール方法は、通信経路中の各セグメントを接続し、認証と授権メカニズムを構築することである。暗号学上、キーの構築により一つの実体を代表し、即ち、身分を代表する。図1は周知の一種のアクセスコントロール方法の実施例の表示図であり、ユーザーが遠方よりセンシングネットワーク中のあるノードのデータにアクセスする場合を説明する。
【0007】
まず、ステップ110に示されるように、ユーザー101はユーザーIDとパスワードを使用してサービスプロバイダが提供するアクセスコントロールサーバー(Access Control Server:ACS)103に対してホームゲートウエイ105とのアクセスを要求する。このとき、ACS103は既に構築されているアクセスコントロールリスト(Access Control List:ACL)を検査する。その後、ステップ120に示されるように、ユーザー101のアクセスの合法性を検査し、合法であると確認すれば、ACS103とホームゲートウエイ105がユーザー101の今回のセッションキー(Session Key)に協商し、これはステップ130のとおりである。
【0008】
セッションキー生成の目的は、2点あり、第1はACS103がユーザー101のホームゲートウエイ105に対するアクセスの合法性を確認したことを表示すること、第2は毎回セッションキーは異なり、既存の登録秘密情報を通信ネットワークに不公開に保持するのに有効であり、毎回の通信に一定の安全品質を提供できることである。
【0009】
セッションキーを協商した後、ステップ140のように、ユーザー101はこのセッションキーを用いてホームゲートウエイ105に対して、あるホームセンシングネットワーク107上のあるノード(Node)iとのアクセスを要求する。このとき、ホームゲートウエイ105は先ず、ユーザー101がノードiへのアクセス権限を有しているかを検査し、これはステップ150のとおりである。ステップ150の結果がイエスであれば(即ち、ユーザー101がノードiへのアクセス権限を有していれば)、ホームゲートウエイ105がノードiに諮問し、安全通信を実行し並びにノードiより応答情報を得て、これはステップ170のとおりである。ホームゲートウエイ105は更に該セッションキーを使用して暗号化情報をユーザー101に送り、これはステップ180のとおりである。
【0010】
こうして、ユーザーによる遠方からの安全なホームノードへのアクセスが達成される。このアクセスコントロール方法において、各ホームゲートウエイ上に、そのホームセンシングネットワーク上の全てのノードの安全通信キーが記録される。一人のユーザーに対しては、各ホームゲートウエイに対応するアクセスIDとパスワードを記録して、一致しないユーザーはアクセスできないようにする必要があり、記憶上、非常に不便である。大量のユーザーが権限の指定を必要とするとき、ホームゲートウエイは管理上、非常に大きな負担となり得る。並びにアクセスコントロールサーバーは効率的な協調セッションキー方式を実行することができなければ、全体サービスがアクセスコントロールサーバー中においてネックを形成し得る。
【0011】
特許文献1にはAAAメカニズムにおける遠方データアクセスコントロール方法及びシステムが記載されている。図2の実施例に示されるように、このアクセスコントロール方法の動作フロー中、モバイルユーザーは単純に現地ネットワークのAAAサーバーに向けて認証請求(ステップ21)し、両者はそれぞれに計算により同じセッションキーを生成(ステップ22)する。AAAサーバーはセッションキーを、モバイルユーザーのIDと共に現地ネットワークのアプリケーションサーバーに送った後(ステップ23)、更にこのアプリケーションサーバーがこのIDを受け取って対応するセッションキーで、モバイルユーザーとの間にチャネルを構築する(ステップ25)。
【0012】
特許文献2には単一サインオン(Single Sign−On)認証を具えたワンタイムパスワード(One−Time Passwords)の認証メカニズムが記載されている。図3の実施例構造に示されるように、この認証メカニズムは認証プロキシサーバー(Authentication Proxy Server)320、ユーザー装置300を包含する。ユーザー装置300はネットワークを通して認証プロキシサーバー320に接続される。ネットワークを通して、認証プロキシサーバー320は第三者認証サーバー(Third Party Authentication Server)340とコミュニケートできるほか、キー発送センター(Key Distribution Center)350とコミュニケートできる。キー発送センター350は別の認証サーバー352とチケット授与サーバー(Ticket Granting Server)354を有し、ユーザーのパスワードと要求を更新し、授与チケット(Granting Ticket)とサービスチケット(Service Ticket)を受け取る。この認証メカニズムのチケット授与サーバーはサービスプロバイダの負担を重くし得る。
【0013】
【特許文献1】台湾特許第I258964号
【特許文献2】国特許公開第2007/0006291号
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明は、一種の階層式キーに基づくアクセスコントロールシステムと方法及びその認証キー交換方法を提供することを目的とする。
【課題を解決するための手段】
【0015】
ある実施例において、本発明は一種の階層式キーに基づくアクセスコントロールシステムを提供する。このアクセスコントロールシステムは、アクセスコントロールサーバー、ホームゲートウエイ、及びホームゲートウエイに配置された複数のセンサノード(Sensor Node)を包含する。このアクセスコントロールサーバーにはユーザーアクセスコントロール権限と授権認証コードが設定され、並びにユーザーパスワード関係データとアクセス権限の情報が保存される。このホームゲートウエイには階層式キー構造により構築されたアクセス権限と権限キーが記録される。ユーザーがこのアクセスコントロールサーバーにログインしてアクセス要求するとき、このユーザーとこのホームゲートウエイの双方はこのアクセスコントロールサーバーが発行したチケットとトークンを交換し、ワンタイムの通信キーを生成し、このユーザーにこの複数のセンサノードの情報に対するアクセスを許可する。
【0016】
別の実施例において、本発明は一種の階層式キーに基づくアクセスコントロール方法を提供する。このアクセスコントロール方法は、ホームゲートウエイ中に一種の階層式キー構造を構築する。アクセスコントロールサーバー中にユーザーアクセスコントロール権限と認証コードを構築する。ユーザーがこのアクセスコントロールサーバーにログインしてアクセス要求する時、このアクセスコントロールサーバーはこのユーザーに対応する認証コードによりチケットとトークンを発行し、このユーザーとこのホームゲートウエイの双方がこのチケットとトークンの交換を通して、ワンタイム通信キーを生成し、このユーザーにホームネットワーク下の複数のセンサノードの情報へのアクセスを許可する。
【0017】
また別の実施例において、本発明はユーザーの遠方からのアクセスの認証授権に用いる認証キーの交換方法を提供する。この認証キー交換方法は、ユーザーが唯一のID、及び隠された乱数mをアクセスコントロールサーバーに与え、これにより、アクセスコントロールサーバーが対応する権限認証値を探し出し、並びに乱数mと別の乱数yを通して、ユーザーのチケットマッチング(ω,μ)とトークンβを生成し、このトークンβを対応するホームゲートウエイに伝送し、このホームゲートウエイの確認成功を受けて、このアクセスコントロールサーバーはこのチケットマッチングをユーザーに伝送し、m、μ、β及び非可逆演算を通し、ユーザーはこのアクセスコントロールサーバーの身分が正確であると確認した後、トークンωを受け取る。
【発明の効果】
【0018】
総合すると、ここに記載の実施例は一種の階層式キーに基づくアクセスコントロールメカニズムとその認証キー交換方法を提供している。このアクセスコントロールメカニズムはホームゲートウエイが階層式キー構造を通してセンシングネットワーク下の多くのセンサノードに異なる安全レベルを採用させられ、並びに弾性的にホームセンシングネットワークキーを分類管理できるようにする。この階層式キー構造に基づき、アクセスコントロールサーバーは直接ホームキーを保存する必要がなくなり、ホームゲートウエイは簡単にアクセスコントロールサーバー上でユーザー権限を設定でき、有効にアクセスコントロールサーバーの保存データの漏洩を有効に防止する。ユーザーにとっては、独特のIDパスワードを使用して一台のホームゲートウエイを通して遠方のセンサノードの情報にアクセスできる。同様に、ユーザーも一組のIDパスワードを使用して複数のホームゲートウエイを通行でき、こうしてアクセスコントロールサーバーのセッションキー協調時の演算量を軽減できる。
【0019】
ここに記載の実施例中、全体のユーザーとアクセスコントロールサーバーの間は認証キー交換協定構造を基礎としてユーザーの遠方でのアクセスを実現し、システム施行上の負担を軽減できる。
【発明を実施するための最良の形態】
【0020】
本発明の実施例中、一種の階層式キーに基づくアクセスコントロールメカニズム、及びその認証キー交換方法が提供される。このアクセスコントロールメカニズムの応用例、例えば、家庭情報管理者がホームゲートウエイを持ち帰った後、このアクセスコントロールメカニズムがアクセスコントロールサーバー、このホームゲートウエイ及びホームセンシングネットワーク設備を直列に接続し、この家庭情報管理者は簡単にこのアクセスコントロールサーバーを通して、ユーザーアクセスコントロール対策を講じることができ、並びにユーザーはこれにより簡単にアクセスコントロールサーバーの幇助を通し、許可されたセンサ情報にアクセスできる。
【0021】
このホームゲートウエイを持ち帰った後、この家庭情報管理者はサービスプロバイダのアクセスコントロールサーバーに、このホームゲートウエイにこの管理者のIDとパスワード、及びこのホームゲートウエイの基本接続情報と安全通信キーを登録し、基礎安全信任起点を構築する。少なくとも、このホームゲートウエイを識別する識別情報、例えばホームゲートウエイのシリアルナンバーとIPアドレスを包含する情報を登録し、アクセスコントロールサーバーにこのホームゲートウエイの基本情報を了解させる。さらに必要に応じてアクセスコントロールサーバーとホームゲートウエイの管理者が安全通信を行う時に必要な情報、例えば家庭情報管理者のID、パスワード及びキーを包含するか否かを決定する。
【0022】
図4は階層式キーに基づくアクセスコントロールシステムの一つの実施例構造図である。図4中、このアクセスコントロールシステムは、アクセスコントロールサーバー401、ホームゲートウエイ403、及びセンシングネットワーク420下に配置された複数のセンサノード1〜nを包含する。図5はこのアクセスコントロールシステムの動作フローの凡例表示図であり、本発明のある実施例と一致する。
【0023】
図1から図4のアクセスコントロールシステムの実施例構造及び図5の動作フローに示されるように、家庭情報管理者430がアクセスコントロールサーバー401に対してホームゲートウエイ403関係情報を登録した後、家庭情報管理者430はこのホームゲートウエイ403をアクセスコントロール基礎構築点となし、ホームゲートウエイ403中に階層式キー構造403aを構築し、これはステップ510のとおりである。これにより、センシングネットワーク420がキー管理(Key Management)と権限分類(Right Classification)を行うのに便利となる。
【0024】
その後、構築した階層式キー構造403aにより、家庭情報管理者430がアクセスコントロールサーバー401中にユーザーアクセスコントロール権限と授権認証コードを設定し、これはステップ520のとおりである。並びに、ユーザーパスワード関係情報及びアクセス権限の情報をアクセスコントロールサーバー401中に保存する。
【0025】
ユーザー405がアクセスコントロールサーバー401にログオンしアクセス要求405aを行う時、アクセスコントロールサーバー401はユーザー405の対応する授権認証コードにより、チケットωとトークンβを生成し、これはステップ530のとおりである。
【0026】
ユーザー405とホームゲートウエイ403の双方はこのチケットとトークンの交換により、ワンタイム通信キーを生成し、これはステップ540のとおりである。こうして、ユーザー405にセンサノード1〜nの情報へのアクセスを許可する。
【0027】
以上を受けて、ホームゲートウエイ403中にキー管理テーブル403bを具え、それに階層式キー構造403aが構築したアクセス権限、該複数のセンサノードの識別コードとそれに対応するアクセス権限、及び最高権限のキーを記録する。アクセスコントロールサーバー401とホームゲートウエイ403は各自が認証テーブルを具備し、それぞれ認証テーブル401aと認証テーブル403cとされ、そのうち、アクセスコントロールサーバー401中のて認証テーブル401aは既に登録されたユーザーID(UID)、ユーザーパスワードと関係認証コード(Verifier)、及びユーザー権限の関係認証値を記録する。ホームゲートウエイ403中の認証テーブル403cは一種の権限キーテーブルであり、既に登録されたユーザーID、及びユーザー権限の関係情報(例えば暗号化されたユーザー権限)を記録する。
【0028】
図6は更に詳細にアクセスコントロールサーバー401とホームゲートウエイ403の内部装置及びそのアクセスコントロールサービスを説明する図であり、並びに本発明のある実施例と一致する。図6を参照されたい。ホームゲートウエイ403は階層式キーモジュール603、及びチケット検証及びメッセージ処理センター(Ticket Verification And Message Processing Center)613を包含する。階層式キーモジュール603は権限キー603a及びセンサ検証キー603bを構築し、権限キー603aはアクセスコントロール設定に用いられ、センサ検証キー603bはホームゲートウエイ403とセンサノードの間の情報伝送暗号化に用いられる。チケット検証及びメッセージ処理センター613はユーザーのチケットによるログオンの検証を担う。
【0029】
アクセスコントロールサーバー401は検証コード授権代理モジュール601、及びユーザー検証授権モジュール(User Verification/Authorization Module)とチケットトークン交換センター(Ticket/Token Exchange Center)611を包含する。検証コード授権代理モジュール601は家庭情報管理者がユーザーのアクセス権限を設定できるようにし、並びにこのアクセス権限の検証コードを保存し、ユーザー検証授権モジュールとチケットトークン交換センター611は協調し並びにユーザーとホームゲートウエイのセッションキーを生成し、合法的ユーザーがホームゲートウエイのアクセス授権を要求する時、チケットとトークンの対比を通して、ホームゲートウエイにこのユーザーの合法性を了解させる。
【0030】
ゆえに、ここに記載の階層式キーに基づくアクセスコントロールメカニズムに関わる役割において、家庭情報管理者430は構造全体のアクセスコントロール方式を負担し、それは階層式キー構築、対内的にはセンシングネットワークのセンサノードキーを指定し、対外的にアクセスコントロール権限を設定する。ユーザー405は任意の遠端装置を通してセンシングネットワーク420上のセンサノードのデータにアクセスできる。アクセスコントロールサーバー401はログオンしたユーザーに対して身分認証を行う必要がある。このサーバー中にはユーザーパスワードと関係するデータ及びアクセス権限の情報が保存されている。このサーバーはセッションキーを生成してユーザーとホームゲートウエイ403の間の供給キーとなす。ホームゲートウエイ403はセンシングネットワーク420上のセンサノード1〜nのデータを集めて、更にデータをスクリーン上に表示する。ホームゲートウエイ403はセンシングネットワーク420上のノードに対して初期化及び認証の作業を行う必要がある。センサノードは周辺環境の各種変化因子、例えば温度、湿度、リアルタイム画像等を検出し、並びにデータをその他のセンシングネットワークうえのノードを通してホームゲートウエイ403に伝送する。
【0031】
センシングネットワーク420上のセンサノードは周辺環境の各種変化因子に基づき数組のセンサノードに分類され、例えば三種類のセンサノードにわけられ、それぞれ周辺環境の温度、湿度、リアルタイム画像とされる。これにより、ユーザーは一組の三つのIDパスワードを保有し、それを身分認証に用いる。
【0032】
以下に階層式キー構造の構築と図5の動作フローについて更なる説明を行う。図7は階層式キー構造構築のモデルであり、並びに本発明に記載の実施例と一致する。図7のモデル中、センシングネットワークには6個のセンサノードがあり、三種類のセンサノードに分類され、例えば、それぞれ周辺環境の映像監視用のセンサノードCAM1 とCAM2 、一酸化炭素と二酸化炭素のセンサノードCO1 とCO2 、及び温度検出のセンサノードTM1 とTEM2 である。各センサノードは唯一の識別コード(Node Identifier)NIDを有し、この六個のセンサノードの識別コードはそれぞれ、NID1 からNID6 と記録される。この階層式キー構造には三種類のレベルがあり、それぞれレベル0、レベル1及びレベル2と記録される。各レベルはいずれも各自の権限キーを有し、この三種類のレベルの権限キーKLVはそれぞれK0 、K1 、K2 と記録される。
【0033】
センサノードCAM1 とCAM2 の所属するレベルはレベル0とされ、センサノードCO1 とCO2 の所属するレベルはレベル1、センサノードTM1 とTEM2 の所属するレベルはレベル2とされる。各センサノードはいずれも各自の検証キー(Verification Key)NKを有し、この6個のセンサノードの検証キーはそれぞれNK1 からNK6 とされる。
【0034】
本発明の階層式キー構造の構築方式は比較的低いレベル(例えばレベル1)の権限キーが比較的高いレベル(例えばレベル0)の権限キーにより生成され、並びに各センサノードの検証キーは該センサノードの所属レベルの権限キーと該センサノードのNIDにより生成される。図8は階層式キー構造構築の凡例フローであり、並びに本発明に記載の実施例と一致する。
【0035】
図8の凡例フローを参照すると、まず、ステップ810に示されるように、最高レベルの権限キーが存在するか否かを検査する。最高レベルの権限キーが存在する時、ステップ820に示されるように、全てのセンサノードの検証キーが全て構築完成しているかを確認する。最高レベルの権限キーが不存在の時、ステップ830のように、この最高レベルの最高レベルの権限キーを生成し、その後、ステップ820に進む。
【0036】
全てのセンサノードの検証キーが構築完成した時、ステップ840のように、キーの構築を終了する。ステップ820で最高レベルの権限キーが存在しなければ、ステップ850のように、次の検証キー未構築のセンサノードの識別コード及び所属レベル、システム記録(NID、所属レベル)を入力し、並びにこのセンサノードの検証キーを計算し、及び検証キーをこのセンサノードに割り当て、その後、ステップ820に進む。
【0037】
図9は図7の凡例モデルであり、ホームゲートウエイ403中のキー管理テーブルの記録内容の一つの凡例であり、並びに本発明に記載の実施例に一致する。図9から分かるように、キー管理テーブルの内容はただこの階層式キー構造の最高レベルの権限キーの値101001001010、及び全てのノードの点NIDを記録する。この記録内容で各センサノードの検証キーNKを推算する。各センサノードの検証キーは家庭情報管理者430がノード初期化時に算出し、並びにホームゲートウエイ403とセンサノードの間の情報伝送に用いる暗号化キーとする。権限キー或いは検証キー構築の関係は非可逆関数、例えばハッシュ関数(Hash Function)の方式で計算される。
【0038】
図9のキー管理テーブルの記録内容を例とし、以下にどのように各レベルの権限キーと各センサノードの検証キーを生成するかを説明する。図9中、レベル0(最高レベル)の権限キーK0 の内容は101001001010とされる。レベル0のモニタ画像検出のノードCAM1 とCAM2 は、その検証キーNK1=Hash(NID1 ,0);NK2=Hash(NID1 ,0)である。レベル1の権限キーK1=Hash(K0 )であり、その一酸化炭素或いは二酸化炭素検出のセンサノードCO1 とCO2 の検証キーNK3 =Hash(NID3 ,1); NK4 =Hash(NID4 ,1)である。レベル2の権限キーK2 =Hash(K1 )であり、その温度検出のノードTM1 とTEM2 の検証キーNK5 =Hash(NID5 ,2);NK6 =Hash(NID6 ,2)である。ゆえにホームゲートウエイ403中のキー管理テーブルの内容はただ最高レベルの権限キーと各センサノードのIDを保存するだけでよい。センサノードの検証キー情報及び全てのレベルの権限キー情報をホームゲートウエイ中に保存する必要がないため、空間を節約し、安全度を高めることができる。
【0039】
並びにユーザーにとっては、唯一独特のIDとパスワードを使用して一台のホームゲートウエイを通してセンシングネットワークに配置されたの複数のセンサノードの情報にアクセスできる。これから類推できるように、ユーザーは一組のIDパスワードを使用して複数のホームゲートウエイを通ることができ、アクセスコントロールサーバー401のセッションキー協調時の演算量を軽減することができる。
【0040】
家庭階層式キーの設定を終え、並びにセンサノード配置を終えた後、続いて、これを基礎として、アクセスコントロールサーバーに対してユーザーIDパスワード及びアクセス権限をどのように構築するか、について以下に説明する。図10は一つの凡例フローチャートであり、如何にユーザーのアクセス権限を構築するかを説明し、並びに本発明のある実施例に一致する。
【0041】
図10に示されるように、まず、ユーザーの唯一のID(すなわちUID)、パスワード及びユーザー権限をアクセスコントロールサーバー401に提供し、これはステップ1010に示されるとおりである。アクセスコントロールサーバー401はこのUIDとパスワードによりユーザーの単一性を確認し、これはステップ1020のとおりである。ユーザーの単一性を確認した後、アクセスコントロールサーバー401はUID及びユーザー権限をホームゲートウエイ403に伝送し、これはステップ1030のとおりである。これにより、ホームゲートウエイ403は権限検証コードをアクセスコントロールサーバー401に伝送し、これはステップ1040のとおりである。アクセスコントロールサーバーはこの権限検証コードを保存し、授権ユーザーをホームゲートウエイ403にアクセスさせるのに用い、これはステップ1050のとおりである。
【0042】
ステップ1040において、ホームゲートウエイ403は非可逆関数を利用してこの権限検証コードを計算し、並びにこのUIDとこの権限検証コードのマッチングを認証テーブル403cに保存する。ステップ1050において、アクセスコントロールサーバーは一種の非可逆関数を利用してこの権限検証コードを暗号化し、並びにこの暗号化した認証コードを認証テーブル403c中に記録する。
【0043】
図11は一つの凡例であり、ユーザーのアクセス権限をどのように構築するかを説明し、並びに本発明のある実施例と一致する。図11に示されるように、ユーザー405は登録時に取得した家庭情報管理者430のIDとパスワードを通してアクセスコントロールサーバー401にログオンし、アクセスコントロールサーバー401にこのホームゲートウエイ403がユーザー登録を必要としていることを知らせる。その後、家庭情報管理者はユーザーAの唯一のIDであるUIDA 、パスワードPWA 、及び構築したいユーザー権限Hをアクセスコントロールサーバー401に入力する。アクセスコントロールサーバー401は入力情報を受け取った後、このUIDとパスワードによりユーザーの単一性を確認する。もしユーザー405が既に存在していれば、アクセスコントロールサーバー401は現在ユーザー登録を行っているホームゲートウエイ403をユーザー405のID下に増加する。
【0044】
ユーザーの単一性を確認した後、アクセスコントロールサーバー401はこのUID及びこのユーザー権限をホームゲートウエイ403に伝送する。ホームゲートウエイ403はこれによりその内部の認証テーブル403cを更新し、並びにこのユーザー権限に対応する権限キー関係の認証値をアクセスコントロールサーバー401に伝送する。この認証値はこのUIDA 及びこのユーザー権限に対応する権限キーKH を通して単方向演算され、例えばハッシュ関数H1により得られる。アクセスコントロールサーバー401はこの認証値を得た後、関係情報を認証テーブル403cに保存し、この関係情報は例えば、ユーザーID、秘蔵のパスワード、ホームゲートウエイのシリアルナンバー、及びこの認証値に対応する秘蔵の認証コードを包含する。この関係情報はアクセスコントロールサーバー401がユーザーがホームゲートウエイに対してデータアクセスを行う時、ユーザー権限に対する認証を行うのに使用される。
【0045】
ユーザー権限構築の後、ユーザーに関しては、ただその唯一のIDとパスワードを記憶しておけば、遠方からのアクセス時の認証に用いることができる。アクセスコントロールサーバー401はただユーザーのIDパスワードと検証コードをマッチングさせて保存しておくだけでよく、強制的にアクセスコントロールテーブルを構築する必要はない。
【0046】
上述のユーザー権限構築完成後、ユーザーが遠方よりアクセスコントロールサーバー401にログオンしてアクセス要求する時、前述したように、アクセスコントロールサーバー401はこのユーザーに対応する検証コードにより、アクセス授権チケットを発行し、並びにトークンでホームゲートウエイ403にユーザーのアクセス要求を通知し、ユーザーとホームゲートウエイ403双方にこのチケットとトークンによりこの度のセッションキーを計算させて、ワンタイムの通信データ認証暗号化に用いる。言い換えると、ユーザーが遠方よりアクセスコントロールサーバー401にログオンしてアクセス要求する時、このユーザーの遠方からのアクセスはツーステップに分けられ、第1ステップではユーザーがアクセスコントロールサーバー401に向けて認証授権を要求し、第2ステップではユーザーとホームゲートウエイ403が通信キーを生成する。以下にこのツーステップについて説明を行う。
【0047】
第1ステップにおいては、全体のユーザーとアクセスコントロールサーバーの間は認証キー交換協定構造を基礎としてこのユーザーの認証授権が実現される。図12はユーザーがアクセスコントロールサーバーに向けて認証授権を要求する時の、この認証キー交換方法の一つの凡例フローチャートであり、本発明に記載の実施例と一致する。
【0048】
図12に示されるように、まず、このユーザーがその唯一のID(すなわちUID)、及び秘蔵の乱数mをアクセスコントロールサーバー401に提供し、ステップ1210のとおりである。これにより、アクセスコントロールサーバー401は対応する権限認証値を探し出し、並びにmともう一つの乱数yを通し、ユーザーのチケットマッチング(ω,μ)とトークンβを計算し、トークンβをホームゲートウエイ403に伝送し、これはステップ1220のとおりである。ホームゲートウエイ403の確認成功を受け、アクセスコントロールサーバー401はチケットマッチング(ω,μ)をこのユーザーに伝送し、これはステップ1230のとおりである。m、μ、β及び非可逆演算を通して、ユーザーはアクセスコントロールサーバー401の身分が正確であることを確認した後、チケットωを受け取り、これはステップ1240のとおりである。
【0049】
図13は上述のフローに基づき、ユーザーとアクセスコントロールサーバーの間でどのように数学モデルの構築を通して認証授権を達成するかを説明し、並びに本発明の実施例と一致する。図13に示されるように、ユーザーAがUIDA 、パスワードPWA でアクセスコントロールサーバー401にログオンした後、符号1310のように、前述のステップ1210の秘蔵の乱数mは以下のモデルにより構築される。すなわち、一つのZq*のサブグループG中よりランダムに一つのx値を取り、mをgx となし、そのうち、Zq*はモデルp下で、全てがpと互いに素であり集合を形成し、gは一つのG中の生成元である。
【0050】
前述のステップ1220の権限認証値はアクセスコントロールサーバー401中の認証テーブル403aを通して探し出せる。認証テーブル401aより探し出した対応する認証値はサブグループG中よりランダムに取り出した別の乱数yと数学モデルを構築し、チケットマッチングのω値とμ値を計算でき、アクセスコントロールサーバー401も数学モデルβ=my を通してトークンβを得ることができ、これらの数学モデルの凡例は符号1320のように示される。
【0051】
アクセスコントロールサーバー401がチケットマッチング(ω,μ)をユーザーに送った後、ユーザーAはx値及びパスワードを利用してs値を計算し並びにα=μsとなす。続いて、v1 =H2 (m,α)をアクセスコントロールサーバー401に伝送し、これは符号1340aのとおりである。アクセスコントロールサーバー401はv1 がv'1=H2 (m,β)と同じであるか対比し、これは符号1340bのとおりである。もしv1 =v'1であれば、すなわち、アクセスコントロールサーバー401がユーザーAの身分を認証したことを示す。アクセスコントロールサーバー401は続いてv2 =H2 (μ,β)を計算し並びにこの値をユーザーAに伝送し、これは符号1341aのとおりである。ユーザーAはv'2=H2 (μ,α)を計算し並びにv2 =v'2であるか否か対比し、これは符号1341bのとおりである。もし、v2 =v'2であれば、すなわち、アクセスコントロールサーバー401がユーザーAの身分を認証したことを示す。これにより、ユーザーAとアクセスコントロールサーバー401の双方向認証を完成し、同時にユーザーAはアクセスコントロールサーバー401にチケットωを提供する。
【0052】
言い換えると、ユーザーとアクセスコントロールサーバーの間は認証キー交換(Authenticated Key Exchange)協定構造を基礎として、このユーザーの遠方アクセスを実現する。
【0053】
ユーザーAとアクセスコントロールサーバー401の双方向認証を完成し、ユーザーAはアクセスコントロールサーバー401にチケットωを提供した後、ユーザー遠方アクセスは第2ステップに進入し、すなわちユーザーとホームゲートウエイ403が通信キーを生成するステップである。図14はユーザーとホームゲートウエイ403が通信キーを生成する凡例のフローの表示図であり、並びに本発明の実施例と一致する。
【0054】
図14に示されるように、まず、アクセスコントロールサーバー401がトークンマッチング(UIDA,β)をホームゲートウエイ403に伝送し、これは符号1410のとおりである。ホームゲートウエイ403はセッションキーSK=βH1(UIDA,KH) を計算し、これは符号1420aのとおりである。ユーザーAは、アクセスコントロールサーバー401を通して与えられたチケットωと選定した乱数xを通してセッションキーSK=ωxを計算し、これは符号1420bのとおりである。この計算により、ユーザーAとホームゲートウエイ403の間に構築されるセッションキーSKは同じである。
【0055】
その後、符号1430aのように、ユーザーAがホームゲートウエイ403に伝送した命令情報はこのセッションキーSKを暗号化キーとし、Esk(command)でこの暗号化された命令情報を表示する。同様に符号1430bに示されるように、ホームゲートウエイ403もこのキーを利用して応答情報を暗号化してユーザーに伝送し、Esk(answer)でこの暗号化された応答情報を表示する。こうしてユーザーとホームゲートウエイの間の安全チャネルが構築される。
【0056】
特筆すべきことは、ここに記載のアクセスコントロールサーバーが生成するトークンとチケットは暗号化せずに伝送することも可能である、ということである。すなわち、攻撃者がこのチケットωを有していても、正確なセッションキーを計算できず、これにより、ここに記載の実施例もシステム施行上の負担を軽減できる。
【図面の簡単な説明】
【0057】
【図1】周知のアクセスコントロール方法の実施例図である。
【図2】周知の遠方でのデータカクセスコントロール方法の実施例図である。
【図3】周知の単一サインオン(Single Sign−On)認証を具えたワンタイムパスワード(One−Time Passwords)の認証メカニズムの実施例図である。
【図4】本発明の階層式キーを基礎とするアクセスコントロールシステムの実施例構造図である。
【図5】本発明のアクセスコントロールシステムの動作フローの実施例図である。
【図6】本発明のアクセスコントロールサーバーとホームゲートウエイの内部装置とそのアクセスコントロールサービスの実施例図である。
【図7】本発明の階層式キー構造により構築されるモデル実施例図である。
【図8】本発明の階層式キー構造により構築されるフロー実施例図である。
【図9】図7のモデル実施例による、ホームゲートウエイ中のキー管理テーブルの記録内容の実施例図である。
【図10】本発明のユーザーのアクセス権限構築の実施例図である。
【図11】本発明のユーザーの権限構築の実施例図である。
【図12】本発明のユーザーがアクセスコントロールサーバーに対して認証授権を要求する時の、認証キー交換方法のフロー実施例図である。
【図13】図12のフローに基づき、ユーザーとアクセスコントロールサーバーの間の数学モデルの構築を通しての認証授権の実施表示図である。
【図14】本発明のユーザーとホームゲートウエイの通信キー構築のフロー実施例図である。
【符号の説明】
【0058】
101 ユーザー 103 アクセスコントロールサーバー
105 ホームゲートウエイ 107 ホームセンシングネットワーク
110 ユーザーがアクセスコントロールサーバーに対してホームゲートウエイのアクセスを要求
120 ユーザーのアクセスの合法性を検査
130 アクセスコントロールサーバーとホームゲートウエイがユーザーの今回のセッションキーを協商する
140 このセッションキーを使用しあるホームセンシングネットワーク上のあるセンサノードのアクセスを要求
150 ユーザーがこのセンサノードとのアクセス権限を有するかを検査
160 このセンサノードに諮問 170 応答情報
180 該セッションキーで暗号化情報を回送
21 モバイルユーザーが現地ネットワークのAAAサーバーに対して認証請求
22 モバイルユーザーと現地ネットワークのAAAサーバーが各自同じセッションキーを計算
23 AAAサーバーがセッションキーとモバイルユーザーのIDを現地ネットワークのアプリケーションサーバーに伝送
24 モバイルユーザーもそのIDをこのアプリケーションサーバーに伝送
25 このアプリケーションサーバーが受け取ったIDにより、対応するセッションキーでモバイルユーザーとの間にチャネルを構築
300 ユーザー装置 320 認証サーバー
330 ネットワーク 340 第3者認証サーバー
350 キー発送センター 352 もう一つの認証サーバー
354 チケット授与サーバー
401 アクセスコントロールサーバー 403 ホームゲートウエイ
403a 階層式キー構造 405 ユーザー
420 センシングネットワーク 430 家庭情報管理者
401a、403c 認証テーブル 403b キー管理テーブル
405a アクセス要求 ω チケット
β トークン
510 ホームゲートウエイ中に階層式キー構造構築
520 アクセスコントロールサーバー中にユーザーアクセスコントロール権限と授権検証コードを設定
530 ユーザーがアクセスコントロールサーバーにログオンして授権要求する時、アクセスコントロールサーバーがユーザーに対応する授権検証コードによりチケットとトークンを発行する
540 ユーザーとホームゲートウエイの双方がこのチケットとトークンの交換によりワンタイムの通信キーを生成
601 検証コード授権代理モジュール 603 階層式キーモジュール
603a 権限キー 603b センサ検証キー
613 チケット検証及びメッセージ処理センター
611 ユーザー検証授権モジュールとチケットトークン交換センター
NID1 からNID6 センサノードの識別コード
K0 、K1 、K2 レベルの権限キー
CAM1 、CAM2 周辺環境検出の映像モニタのセンサノード
CO1 、CO2 一酸化炭素或いは二酸化炭素検出のセンサノード
TEM1 、TEM2 温度検出のセンサノード
NK1 、NK2 センサノードの検証キー
810 最高レベルの権限キーが存在するかを検査
820 全てのセンサノードの検証キーが既に構築完成したかを確認
830 この最高レベルの権限キーを生成
840 キーの構築終了
850 次の検証キー未構築のセンサノードの識別コード及びその所属レベル、システム記録(NID、所属レベル)を入力し、並びにこのセンサノードの検証キーを計算し、検証キーをこのセンサノードに割り当てる
1010 ユーザーに与えられた唯一のID、パスワード及びユーザー権限をアクセスコントロールサーバーに提供する
1020 アクセスコントロールサーバーがこのIDとパスワードによりユーザーの単一性を確認する
1030 ユーザー単一性確認の後、アクセスコントロールサーバーがこのID及びこのユーザー権限をホームゲートウエイに伝送する
1040 これにより、ホームゲートウエイが権限検証コードをアクセスコントロールサーバーに伝送する
1050 アクセスコントロールサーバーがこの権限検証コードを秘蔵し、授権使用者のホームゲートウエイへのアクセスに用いる
1210 ユーザーがその唯一のID、及び秘蔵の乱数mをアクセスコントロールサーバーに提供する
1220 これによりアクセスコントロールサーバーが対応する権限認証値を探し出し、並びにmともう一つの乱数yを通し、ユーザーのチケットマッチング(ω,μ)とトークンβを計算し、トークンβをホームゲートウエイに伝送する
1230 ホームゲートウエイの確認成功を受けて、アクセスコントロールサーバーがチケットマッチング(ω,μ)をこのユーザーに伝送する
1240 m、μ、β及び非可逆演算を通し、ユーザーがアクセスコントロールサーバーの身分が正確であることを確認した後、チケットωを受け取る
1310 ID、パスワードでログオン
1320 数学モデル
1340a v1 =H2 (m,α)を伝送
1340b v1 がv'1=H2 (m,β)と同じであるか対比
1341a v2 =H2 (μ,β)を伝送
1341b v'2=H2 (μ,α)を計算し並びにv2 =v'2であるか否か対比
1410 トークンマッチング(UID,β)を伝送
1420a セッションキーSK=βH1(UIDA,KH) を計算
1420b セッションキーSK=wx を計算
Esk(command) 暗号化された命令情報
Esk(answer) 暗号化された応答情報
1430a ユーザーが暗号化された命令情報を伝送
1430b ホームゲートウエイが暗号化された応答情報を伝送
【技術分野】
【0001】
本発明は一種の階層式キー(Hierarchical Key)に基づくアクセスコントロール(Access Control)システムと方法、及びその認証キー交換の方法に関する。
【背景技術】
【0002】
近年、無線センシングネットワークの発展は、軍事用途、環境監視等の大規模な配置から、徐々に家庭に導入されている。センシングネットワークを更に容易に家庭に融合させるため、ホームゲートウエイ(Home Gateway)がセンシングネットワーク(Sensing Network)情報の収集と対応値変化の制御を負担し、更に便利に、更に活発に利用されて家庭で不可欠なツールとなることが期待されている。ホームゲートウエイはホームメッセンジャー(Home Messenger)としての役割を果たす。
【0003】
多くの家庭では家中にセンシングネットワーク装置を配置し、ホームゲートウエイで情報を収集している。使用者が習慣的にホームゲートウエイを観て家庭のセンシング情報を得る時、一つのハイコントロールポイントに位置し、多くの家庭に既に配置されているセンシングネットワーク上に、アクセスコントロールサービスを如何に提供するかは、ユーザーが家にいなくとも家庭のセンシング状況を知ることができるようにする将来的に可能なサービスである。
【0004】
ある家庭に関して、大量に配置されているセンサは、その属性分類上、権限レベルの違いが必然的に発生する。例えば、家中監視用モニタの安全レベルは一般の温度と湿度センサより高い。家庭管理員から各家族メンバーを見ると、メンバーがアクセスできるセンサ情報はそれぞれ同じでない。ゆえに簡単なアクセスコントロール権限区分方式が必要とされる。
【0005】
アクセスコントロール構築は二つの基本要素を有し、すなわち、相互認証(Mutual Authentication)、及びアクセス授権(Access Authorization)である。認証はすなわち身分の表面であり、どのような通信であり、その基礎は身分の表面にある。ただしサーバーがユーザーの身分を知ることはユーザーが自由に通行できることを意味するわけではなく、ユーザーはアクセス対象の認可を受けなければ、目標のアクセスを実行できない。
【0006】
よく見られる安全なアクセスコントロール方法は、通信経路中の各セグメントを接続し、認証と授権メカニズムを構築することである。暗号学上、キーの構築により一つの実体を代表し、即ち、身分を代表する。図1は周知の一種のアクセスコントロール方法の実施例の表示図であり、ユーザーが遠方よりセンシングネットワーク中のあるノードのデータにアクセスする場合を説明する。
【0007】
まず、ステップ110に示されるように、ユーザー101はユーザーIDとパスワードを使用してサービスプロバイダが提供するアクセスコントロールサーバー(Access Control Server:ACS)103に対してホームゲートウエイ105とのアクセスを要求する。このとき、ACS103は既に構築されているアクセスコントロールリスト(Access Control List:ACL)を検査する。その後、ステップ120に示されるように、ユーザー101のアクセスの合法性を検査し、合法であると確認すれば、ACS103とホームゲートウエイ105がユーザー101の今回のセッションキー(Session Key)に協商し、これはステップ130のとおりである。
【0008】
セッションキー生成の目的は、2点あり、第1はACS103がユーザー101のホームゲートウエイ105に対するアクセスの合法性を確認したことを表示すること、第2は毎回セッションキーは異なり、既存の登録秘密情報を通信ネットワークに不公開に保持するのに有効であり、毎回の通信に一定の安全品質を提供できることである。
【0009】
セッションキーを協商した後、ステップ140のように、ユーザー101はこのセッションキーを用いてホームゲートウエイ105に対して、あるホームセンシングネットワーク107上のあるノード(Node)iとのアクセスを要求する。このとき、ホームゲートウエイ105は先ず、ユーザー101がノードiへのアクセス権限を有しているかを検査し、これはステップ150のとおりである。ステップ150の結果がイエスであれば(即ち、ユーザー101がノードiへのアクセス権限を有していれば)、ホームゲートウエイ105がノードiに諮問し、安全通信を実行し並びにノードiより応答情報を得て、これはステップ170のとおりである。ホームゲートウエイ105は更に該セッションキーを使用して暗号化情報をユーザー101に送り、これはステップ180のとおりである。
【0010】
こうして、ユーザーによる遠方からの安全なホームノードへのアクセスが達成される。このアクセスコントロール方法において、各ホームゲートウエイ上に、そのホームセンシングネットワーク上の全てのノードの安全通信キーが記録される。一人のユーザーに対しては、各ホームゲートウエイに対応するアクセスIDとパスワードを記録して、一致しないユーザーはアクセスできないようにする必要があり、記憶上、非常に不便である。大量のユーザーが権限の指定を必要とするとき、ホームゲートウエイは管理上、非常に大きな負担となり得る。並びにアクセスコントロールサーバーは効率的な協調セッションキー方式を実行することができなければ、全体サービスがアクセスコントロールサーバー中においてネックを形成し得る。
【0011】
特許文献1にはAAAメカニズムにおける遠方データアクセスコントロール方法及びシステムが記載されている。図2の実施例に示されるように、このアクセスコントロール方法の動作フロー中、モバイルユーザーは単純に現地ネットワークのAAAサーバーに向けて認証請求(ステップ21)し、両者はそれぞれに計算により同じセッションキーを生成(ステップ22)する。AAAサーバーはセッションキーを、モバイルユーザーのIDと共に現地ネットワークのアプリケーションサーバーに送った後(ステップ23)、更にこのアプリケーションサーバーがこのIDを受け取って対応するセッションキーで、モバイルユーザーとの間にチャネルを構築する(ステップ25)。
【0012】
特許文献2には単一サインオン(Single Sign−On)認証を具えたワンタイムパスワード(One−Time Passwords)の認証メカニズムが記載されている。図3の実施例構造に示されるように、この認証メカニズムは認証プロキシサーバー(Authentication Proxy Server)320、ユーザー装置300を包含する。ユーザー装置300はネットワークを通して認証プロキシサーバー320に接続される。ネットワークを通して、認証プロキシサーバー320は第三者認証サーバー(Third Party Authentication Server)340とコミュニケートできるほか、キー発送センター(Key Distribution Center)350とコミュニケートできる。キー発送センター350は別の認証サーバー352とチケット授与サーバー(Ticket Granting Server)354を有し、ユーザーのパスワードと要求を更新し、授与チケット(Granting Ticket)とサービスチケット(Service Ticket)を受け取る。この認証メカニズムのチケット授与サーバーはサービスプロバイダの負担を重くし得る。
【0013】
【特許文献1】台湾特許第I258964号
【特許文献2】国特許公開第2007/0006291号
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明は、一種の階層式キーに基づくアクセスコントロールシステムと方法及びその認証キー交換方法を提供することを目的とする。
【課題を解決するための手段】
【0015】
ある実施例において、本発明は一種の階層式キーに基づくアクセスコントロールシステムを提供する。このアクセスコントロールシステムは、アクセスコントロールサーバー、ホームゲートウエイ、及びホームゲートウエイに配置された複数のセンサノード(Sensor Node)を包含する。このアクセスコントロールサーバーにはユーザーアクセスコントロール権限と授権認証コードが設定され、並びにユーザーパスワード関係データとアクセス権限の情報が保存される。このホームゲートウエイには階層式キー構造により構築されたアクセス権限と権限キーが記録される。ユーザーがこのアクセスコントロールサーバーにログインしてアクセス要求するとき、このユーザーとこのホームゲートウエイの双方はこのアクセスコントロールサーバーが発行したチケットとトークンを交換し、ワンタイムの通信キーを生成し、このユーザーにこの複数のセンサノードの情報に対するアクセスを許可する。
【0016】
別の実施例において、本発明は一種の階層式キーに基づくアクセスコントロール方法を提供する。このアクセスコントロール方法は、ホームゲートウエイ中に一種の階層式キー構造を構築する。アクセスコントロールサーバー中にユーザーアクセスコントロール権限と認証コードを構築する。ユーザーがこのアクセスコントロールサーバーにログインしてアクセス要求する時、このアクセスコントロールサーバーはこのユーザーに対応する認証コードによりチケットとトークンを発行し、このユーザーとこのホームゲートウエイの双方がこのチケットとトークンの交換を通して、ワンタイム通信キーを生成し、このユーザーにホームネットワーク下の複数のセンサノードの情報へのアクセスを許可する。
【0017】
また別の実施例において、本発明はユーザーの遠方からのアクセスの認証授権に用いる認証キーの交換方法を提供する。この認証キー交換方法は、ユーザーが唯一のID、及び隠された乱数mをアクセスコントロールサーバーに与え、これにより、アクセスコントロールサーバーが対応する権限認証値を探し出し、並びに乱数mと別の乱数yを通して、ユーザーのチケットマッチング(ω,μ)とトークンβを生成し、このトークンβを対応するホームゲートウエイに伝送し、このホームゲートウエイの確認成功を受けて、このアクセスコントロールサーバーはこのチケットマッチングをユーザーに伝送し、m、μ、β及び非可逆演算を通し、ユーザーはこのアクセスコントロールサーバーの身分が正確であると確認した後、トークンωを受け取る。
【発明の効果】
【0018】
総合すると、ここに記載の実施例は一種の階層式キーに基づくアクセスコントロールメカニズムとその認証キー交換方法を提供している。このアクセスコントロールメカニズムはホームゲートウエイが階層式キー構造を通してセンシングネットワーク下の多くのセンサノードに異なる安全レベルを採用させられ、並びに弾性的にホームセンシングネットワークキーを分類管理できるようにする。この階層式キー構造に基づき、アクセスコントロールサーバーは直接ホームキーを保存する必要がなくなり、ホームゲートウエイは簡単にアクセスコントロールサーバー上でユーザー権限を設定でき、有効にアクセスコントロールサーバーの保存データの漏洩を有効に防止する。ユーザーにとっては、独特のIDパスワードを使用して一台のホームゲートウエイを通して遠方のセンサノードの情報にアクセスできる。同様に、ユーザーも一組のIDパスワードを使用して複数のホームゲートウエイを通行でき、こうしてアクセスコントロールサーバーのセッションキー協調時の演算量を軽減できる。
【0019】
ここに記載の実施例中、全体のユーザーとアクセスコントロールサーバーの間は認証キー交換協定構造を基礎としてユーザーの遠方でのアクセスを実現し、システム施行上の負担を軽減できる。
【発明を実施するための最良の形態】
【0020】
本発明の実施例中、一種の階層式キーに基づくアクセスコントロールメカニズム、及びその認証キー交換方法が提供される。このアクセスコントロールメカニズムの応用例、例えば、家庭情報管理者がホームゲートウエイを持ち帰った後、このアクセスコントロールメカニズムがアクセスコントロールサーバー、このホームゲートウエイ及びホームセンシングネットワーク設備を直列に接続し、この家庭情報管理者は簡単にこのアクセスコントロールサーバーを通して、ユーザーアクセスコントロール対策を講じることができ、並びにユーザーはこれにより簡単にアクセスコントロールサーバーの幇助を通し、許可されたセンサ情報にアクセスできる。
【0021】
このホームゲートウエイを持ち帰った後、この家庭情報管理者はサービスプロバイダのアクセスコントロールサーバーに、このホームゲートウエイにこの管理者のIDとパスワード、及びこのホームゲートウエイの基本接続情報と安全通信キーを登録し、基礎安全信任起点を構築する。少なくとも、このホームゲートウエイを識別する識別情報、例えばホームゲートウエイのシリアルナンバーとIPアドレスを包含する情報を登録し、アクセスコントロールサーバーにこのホームゲートウエイの基本情報を了解させる。さらに必要に応じてアクセスコントロールサーバーとホームゲートウエイの管理者が安全通信を行う時に必要な情報、例えば家庭情報管理者のID、パスワード及びキーを包含するか否かを決定する。
【0022】
図4は階層式キーに基づくアクセスコントロールシステムの一つの実施例構造図である。図4中、このアクセスコントロールシステムは、アクセスコントロールサーバー401、ホームゲートウエイ403、及びセンシングネットワーク420下に配置された複数のセンサノード1〜nを包含する。図5はこのアクセスコントロールシステムの動作フローの凡例表示図であり、本発明のある実施例と一致する。
【0023】
図1から図4のアクセスコントロールシステムの実施例構造及び図5の動作フローに示されるように、家庭情報管理者430がアクセスコントロールサーバー401に対してホームゲートウエイ403関係情報を登録した後、家庭情報管理者430はこのホームゲートウエイ403をアクセスコントロール基礎構築点となし、ホームゲートウエイ403中に階層式キー構造403aを構築し、これはステップ510のとおりである。これにより、センシングネットワーク420がキー管理(Key Management)と権限分類(Right Classification)を行うのに便利となる。
【0024】
その後、構築した階層式キー構造403aにより、家庭情報管理者430がアクセスコントロールサーバー401中にユーザーアクセスコントロール権限と授権認証コードを設定し、これはステップ520のとおりである。並びに、ユーザーパスワード関係情報及びアクセス権限の情報をアクセスコントロールサーバー401中に保存する。
【0025】
ユーザー405がアクセスコントロールサーバー401にログオンしアクセス要求405aを行う時、アクセスコントロールサーバー401はユーザー405の対応する授権認証コードにより、チケットωとトークンβを生成し、これはステップ530のとおりである。
【0026】
ユーザー405とホームゲートウエイ403の双方はこのチケットとトークンの交換により、ワンタイム通信キーを生成し、これはステップ540のとおりである。こうして、ユーザー405にセンサノード1〜nの情報へのアクセスを許可する。
【0027】
以上を受けて、ホームゲートウエイ403中にキー管理テーブル403bを具え、それに階層式キー構造403aが構築したアクセス権限、該複数のセンサノードの識別コードとそれに対応するアクセス権限、及び最高権限のキーを記録する。アクセスコントロールサーバー401とホームゲートウエイ403は各自が認証テーブルを具備し、それぞれ認証テーブル401aと認証テーブル403cとされ、そのうち、アクセスコントロールサーバー401中のて認証テーブル401aは既に登録されたユーザーID(UID)、ユーザーパスワードと関係認証コード(Verifier)、及びユーザー権限の関係認証値を記録する。ホームゲートウエイ403中の認証テーブル403cは一種の権限キーテーブルであり、既に登録されたユーザーID、及びユーザー権限の関係情報(例えば暗号化されたユーザー権限)を記録する。
【0028】
図6は更に詳細にアクセスコントロールサーバー401とホームゲートウエイ403の内部装置及びそのアクセスコントロールサービスを説明する図であり、並びに本発明のある実施例と一致する。図6を参照されたい。ホームゲートウエイ403は階層式キーモジュール603、及びチケット検証及びメッセージ処理センター(Ticket Verification And Message Processing Center)613を包含する。階層式キーモジュール603は権限キー603a及びセンサ検証キー603bを構築し、権限キー603aはアクセスコントロール設定に用いられ、センサ検証キー603bはホームゲートウエイ403とセンサノードの間の情報伝送暗号化に用いられる。チケット検証及びメッセージ処理センター613はユーザーのチケットによるログオンの検証を担う。
【0029】
アクセスコントロールサーバー401は検証コード授権代理モジュール601、及びユーザー検証授権モジュール(User Verification/Authorization Module)とチケットトークン交換センター(Ticket/Token Exchange Center)611を包含する。検証コード授権代理モジュール601は家庭情報管理者がユーザーのアクセス権限を設定できるようにし、並びにこのアクセス権限の検証コードを保存し、ユーザー検証授権モジュールとチケットトークン交換センター611は協調し並びにユーザーとホームゲートウエイのセッションキーを生成し、合法的ユーザーがホームゲートウエイのアクセス授権を要求する時、チケットとトークンの対比を通して、ホームゲートウエイにこのユーザーの合法性を了解させる。
【0030】
ゆえに、ここに記載の階層式キーに基づくアクセスコントロールメカニズムに関わる役割において、家庭情報管理者430は構造全体のアクセスコントロール方式を負担し、それは階層式キー構築、対内的にはセンシングネットワークのセンサノードキーを指定し、対外的にアクセスコントロール権限を設定する。ユーザー405は任意の遠端装置を通してセンシングネットワーク420上のセンサノードのデータにアクセスできる。アクセスコントロールサーバー401はログオンしたユーザーに対して身分認証を行う必要がある。このサーバー中にはユーザーパスワードと関係するデータ及びアクセス権限の情報が保存されている。このサーバーはセッションキーを生成してユーザーとホームゲートウエイ403の間の供給キーとなす。ホームゲートウエイ403はセンシングネットワーク420上のセンサノード1〜nのデータを集めて、更にデータをスクリーン上に表示する。ホームゲートウエイ403はセンシングネットワーク420上のノードに対して初期化及び認証の作業を行う必要がある。センサノードは周辺環境の各種変化因子、例えば温度、湿度、リアルタイム画像等を検出し、並びにデータをその他のセンシングネットワークうえのノードを通してホームゲートウエイ403に伝送する。
【0031】
センシングネットワーク420上のセンサノードは周辺環境の各種変化因子に基づき数組のセンサノードに分類され、例えば三種類のセンサノードにわけられ、それぞれ周辺環境の温度、湿度、リアルタイム画像とされる。これにより、ユーザーは一組の三つのIDパスワードを保有し、それを身分認証に用いる。
【0032】
以下に階層式キー構造の構築と図5の動作フローについて更なる説明を行う。図7は階層式キー構造構築のモデルであり、並びに本発明に記載の実施例と一致する。図7のモデル中、センシングネットワークには6個のセンサノードがあり、三種類のセンサノードに分類され、例えば、それぞれ周辺環境の映像監視用のセンサノードCAM1 とCAM2 、一酸化炭素と二酸化炭素のセンサノードCO1 とCO2 、及び温度検出のセンサノードTM1 とTEM2 である。各センサノードは唯一の識別コード(Node Identifier)NIDを有し、この六個のセンサノードの識別コードはそれぞれ、NID1 からNID6 と記録される。この階層式キー構造には三種類のレベルがあり、それぞれレベル0、レベル1及びレベル2と記録される。各レベルはいずれも各自の権限キーを有し、この三種類のレベルの権限キーKLVはそれぞれK0 、K1 、K2 と記録される。
【0033】
センサノードCAM1 とCAM2 の所属するレベルはレベル0とされ、センサノードCO1 とCO2 の所属するレベルはレベル1、センサノードTM1 とTEM2 の所属するレベルはレベル2とされる。各センサノードはいずれも各自の検証キー(Verification Key)NKを有し、この6個のセンサノードの検証キーはそれぞれNK1 からNK6 とされる。
【0034】
本発明の階層式キー構造の構築方式は比較的低いレベル(例えばレベル1)の権限キーが比較的高いレベル(例えばレベル0)の権限キーにより生成され、並びに各センサノードの検証キーは該センサノードの所属レベルの権限キーと該センサノードのNIDにより生成される。図8は階層式キー構造構築の凡例フローであり、並びに本発明に記載の実施例と一致する。
【0035】
図8の凡例フローを参照すると、まず、ステップ810に示されるように、最高レベルの権限キーが存在するか否かを検査する。最高レベルの権限キーが存在する時、ステップ820に示されるように、全てのセンサノードの検証キーが全て構築完成しているかを確認する。最高レベルの権限キーが不存在の時、ステップ830のように、この最高レベルの最高レベルの権限キーを生成し、その後、ステップ820に進む。
【0036】
全てのセンサノードの検証キーが構築完成した時、ステップ840のように、キーの構築を終了する。ステップ820で最高レベルの権限キーが存在しなければ、ステップ850のように、次の検証キー未構築のセンサノードの識別コード及び所属レベル、システム記録(NID、所属レベル)を入力し、並びにこのセンサノードの検証キーを計算し、及び検証キーをこのセンサノードに割り当て、その後、ステップ820に進む。
【0037】
図9は図7の凡例モデルであり、ホームゲートウエイ403中のキー管理テーブルの記録内容の一つの凡例であり、並びに本発明に記載の実施例に一致する。図9から分かるように、キー管理テーブルの内容はただこの階層式キー構造の最高レベルの権限キーの値101001001010、及び全てのノードの点NIDを記録する。この記録内容で各センサノードの検証キーNKを推算する。各センサノードの検証キーは家庭情報管理者430がノード初期化時に算出し、並びにホームゲートウエイ403とセンサノードの間の情報伝送に用いる暗号化キーとする。権限キー或いは検証キー構築の関係は非可逆関数、例えばハッシュ関数(Hash Function)の方式で計算される。
【0038】
図9のキー管理テーブルの記録内容を例とし、以下にどのように各レベルの権限キーと各センサノードの検証キーを生成するかを説明する。図9中、レベル0(最高レベル)の権限キーK0 の内容は101001001010とされる。レベル0のモニタ画像検出のノードCAM1 とCAM2 は、その検証キーNK1=Hash(NID1 ,0);NK2=Hash(NID1 ,0)である。レベル1の権限キーK1=Hash(K0 )であり、その一酸化炭素或いは二酸化炭素検出のセンサノードCO1 とCO2 の検証キーNK3 =Hash(NID3 ,1); NK4 =Hash(NID4 ,1)である。レベル2の権限キーK2 =Hash(K1 )であり、その温度検出のノードTM1 とTEM2 の検証キーNK5 =Hash(NID5 ,2);NK6 =Hash(NID6 ,2)である。ゆえにホームゲートウエイ403中のキー管理テーブルの内容はただ最高レベルの権限キーと各センサノードのIDを保存するだけでよい。センサノードの検証キー情報及び全てのレベルの権限キー情報をホームゲートウエイ中に保存する必要がないため、空間を節約し、安全度を高めることができる。
【0039】
並びにユーザーにとっては、唯一独特のIDとパスワードを使用して一台のホームゲートウエイを通してセンシングネットワークに配置されたの複数のセンサノードの情報にアクセスできる。これから類推できるように、ユーザーは一組のIDパスワードを使用して複数のホームゲートウエイを通ることができ、アクセスコントロールサーバー401のセッションキー協調時の演算量を軽減することができる。
【0040】
家庭階層式キーの設定を終え、並びにセンサノード配置を終えた後、続いて、これを基礎として、アクセスコントロールサーバーに対してユーザーIDパスワード及びアクセス権限をどのように構築するか、について以下に説明する。図10は一つの凡例フローチャートであり、如何にユーザーのアクセス権限を構築するかを説明し、並びに本発明のある実施例に一致する。
【0041】
図10に示されるように、まず、ユーザーの唯一のID(すなわちUID)、パスワード及びユーザー権限をアクセスコントロールサーバー401に提供し、これはステップ1010に示されるとおりである。アクセスコントロールサーバー401はこのUIDとパスワードによりユーザーの単一性を確認し、これはステップ1020のとおりである。ユーザーの単一性を確認した後、アクセスコントロールサーバー401はUID及びユーザー権限をホームゲートウエイ403に伝送し、これはステップ1030のとおりである。これにより、ホームゲートウエイ403は権限検証コードをアクセスコントロールサーバー401に伝送し、これはステップ1040のとおりである。アクセスコントロールサーバーはこの権限検証コードを保存し、授権ユーザーをホームゲートウエイ403にアクセスさせるのに用い、これはステップ1050のとおりである。
【0042】
ステップ1040において、ホームゲートウエイ403は非可逆関数を利用してこの権限検証コードを計算し、並びにこのUIDとこの権限検証コードのマッチングを認証テーブル403cに保存する。ステップ1050において、アクセスコントロールサーバーは一種の非可逆関数を利用してこの権限検証コードを暗号化し、並びにこの暗号化した認証コードを認証テーブル403c中に記録する。
【0043】
図11は一つの凡例であり、ユーザーのアクセス権限をどのように構築するかを説明し、並びに本発明のある実施例と一致する。図11に示されるように、ユーザー405は登録時に取得した家庭情報管理者430のIDとパスワードを通してアクセスコントロールサーバー401にログオンし、アクセスコントロールサーバー401にこのホームゲートウエイ403がユーザー登録を必要としていることを知らせる。その後、家庭情報管理者はユーザーAの唯一のIDであるUIDA 、パスワードPWA 、及び構築したいユーザー権限Hをアクセスコントロールサーバー401に入力する。アクセスコントロールサーバー401は入力情報を受け取った後、このUIDとパスワードによりユーザーの単一性を確認する。もしユーザー405が既に存在していれば、アクセスコントロールサーバー401は現在ユーザー登録を行っているホームゲートウエイ403をユーザー405のID下に増加する。
【0044】
ユーザーの単一性を確認した後、アクセスコントロールサーバー401はこのUID及びこのユーザー権限をホームゲートウエイ403に伝送する。ホームゲートウエイ403はこれによりその内部の認証テーブル403cを更新し、並びにこのユーザー権限に対応する権限キー関係の認証値をアクセスコントロールサーバー401に伝送する。この認証値はこのUIDA 及びこのユーザー権限に対応する権限キーKH を通して単方向演算され、例えばハッシュ関数H1により得られる。アクセスコントロールサーバー401はこの認証値を得た後、関係情報を認証テーブル403cに保存し、この関係情報は例えば、ユーザーID、秘蔵のパスワード、ホームゲートウエイのシリアルナンバー、及びこの認証値に対応する秘蔵の認証コードを包含する。この関係情報はアクセスコントロールサーバー401がユーザーがホームゲートウエイに対してデータアクセスを行う時、ユーザー権限に対する認証を行うのに使用される。
【0045】
ユーザー権限構築の後、ユーザーに関しては、ただその唯一のIDとパスワードを記憶しておけば、遠方からのアクセス時の認証に用いることができる。アクセスコントロールサーバー401はただユーザーのIDパスワードと検証コードをマッチングさせて保存しておくだけでよく、強制的にアクセスコントロールテーブルを構築する必要はない。
【0046】
上述のユーザー権限構築完成後、ユーザーが遠方よりアクセスコントロールサーバー401にログオンしてアクセス要求する時、前述したように、アクセスコントロールサーバー401はこのユーザーに対応する検証コードにより、アクセス授権チケットを発行し、並びにトークンでホームゲートウエイ403にユーザーのアクセス要求を通知し、ユーザーとホームゲートウエイ403双方にこのチケットとトークンによりこの度のセッションキーを計算させて、ワンタイムの通信データ認証暗号化に用いる。言い換えると、ユーザーが遠方よりアクセスコントロールサーバー401にログオンしてアクセス要求する時、このユーザーの遠方からのアクセスはツーステップに分けられ、第1ステップではユーザーがアクセスコントロールサーバー401に向けて認証授権を要求し、第2ステップではユーザーとホームゲートウエイ403が通信キーを生成する。以下にこのツーステップについて説明を行う。
【0047】
第1ステップにおいては、全体のユーザーとアクセスコントロールサーバーの間は認証キー交換協定構造を基礎としてこのユーザーの認証授権が実現される。図12はユーザーがアクセスコントロールサーバーに向けて認証授権を要求する時の、この認証キー交換方法の一つの凡例フローチャートであり、本発明に記載の実施例と一致する。
【0048】
図12に示されるように、まず、このユーザーがその唯一のID(すなわちUID)、及び秘蔵の乱数mをアクセスコントロールサーバー401に提供し、ステップ1210のとおりである。これにより、アクセスコントロールサーバー401は対応する権限認証値を探し出し、並びにmともう一つの乱数yを通し、ユーザーのチケットマッチング(ω,μ)とトークンβを計算し、トークンβをホームゲートウエイ403に伝送し、これはステップ1220のとおりである。ホームゲートウエイ403の確認成功を受け、アクセスコントロールサーバー401はチケットマッチング(ω,μ)をこのユーザーに伝送し、これはステップ1230のとおりである。m、μ、β及び非可逆演算を通して、ユーザーはアクセスコントロールサーバー401の身分が正確であることを確認した後、チケットωを受け取り、これはステップ1240のとおりである。
【0049】
図13は上述のフローに基づき、ユーザーとアクセスコントロールサーバーの間でどのように数学モデルの構築を通して認証授権を達成するかを説明し、並びに本発明の実施例と一致する。図13に示されるように、ユーザーAがUIDA 、パスワードPWA でアクセスコントロールサーバー401にログオンした後、符号1310のように、前述のステップ1210の秘蔵の乱数mは以下のモデルにより構築される。すなわち、一つのZq*のサブグループG中よりランダムに一つのx値を取り、mをgx となし、そのうち、Zq*はモデルp下で、全てがpと互いに素であり集合を形成し、gは一つのG中の生成元である。
【0050】
前述のステップ1220の権限認証値はアクセスコントロールサーバー401中の認証テーブル403aを通して探し出せる。認証テーブル401aより探し出した対応する認証値はサブグループG中よりランダムに取り出した別の乱数yと数学モデルを構築し、チケットマッチングのω値とμ値を計算でき、アクセスコントロールサーバー401も数学モデルβ=my を通してトークンβを得ることができ、これらの数学モデルの凡例は符号1320のように示される。
【0051】
アクセスコントロールサーバー401がチケットマッチング(ω,μ)をユーザーに送った後、ユーザーAはx値及びパスワードを利用してs値を計算し並びにα=μsとなす。続いて、v1 =H2 (m,α)をアクセスコントロールサーバー401に伝送し、これは符号1340aのとおりである。アクセスコントロールサーバー401はv1 がv'1=H2 (m,β)と同じであるか対比し、これは符号1340bのとおりである。もしv1 =v'1であれば、すなわち、アクセスコントロールサーバー401がユーザーAの身分を認証したことを示す。アクセスコントロールサーバー401は続いてv2 =H2 (μ,β)を計算し並びにこの値をユーザーAに伝送し、これは符号1341aのとおりである。ユーザーAはv'2=H2 (μ,α)を計算し並びにv2 =v'2であるか否か対比し、これは符号1341bのとおりである。もし、v2 =v'2であれば、すなわち、アクセスコントロールサーバー401がユーザーAの身分を認証したことを示す。これにより、ユーザーAとアクセスコントロールサーバー401の双方向認証を完成し、同時にユーザーAはアクセスコントロールサーバー401にチケットωを提供する。
【0052】
言い換えると、ユーザーとアクセスコントロールサーバーの間は認証キー交換(Authenticated Key Exchange)協定構造を基礎として、このユーザーの遠方アクセスを実現する。
【0053】
ユーザーAとアクセスコントロールサーバー401の双方向認証を完成し、ユーザーAはアクセスコントロールサーバー401にチケットωを提供した後、ユーザー遠方アクセスは第2ステップに進入し、すなわちユーザーとホームゲートウエイ403が通信キーを生成するステップである。図14はユーザーとホームゲートウエイ403が通信キーを生成する凡例のフローの表示図であり、並びに本発明の実施例と一致する。
【0054】
図14に示されるように、まず、アクセスコントロールサーバー401がトークンマッチング(UIDA,β)をホームゲートウエイ403に伝送し、これは符号1410のとおりである。ホームゲートウエイ403はセッションキーSK=βH1(UIDA,KH) を計算し、これは符号1420aのとおりである。ユーザーAは、アクセスコントロールサーバー401を通して与えられたチケットωと選定した乱数xを通してセッションキーSK=ωxを計算し、これは符号1420bのとおりである。この計算により、ユーザーAとホームゲートウエイ403の間に構築されるセッションキーSKは同じである。
【0055】
その後、符号1430aのように、ユーザーAがホームゲートウエイ403に伝送した命令情報はこのセッションキーSKを暗号化キーとし、Esk(command)でこの暗号化された命令情報を表示する。同様に符号1430bに示されるように、ホームゲートウエイ403もこのキーを利用して応答情報を暗号化してユーザーに伝送し、Esk(answer)でこの暗号化された応答情報を表示する。こうしてユーザーとホームゲートウエイの間の安全チャネルが構築される。
【0056】
特筆すべきことは、ここに記載のアクセスコントロールサーバーが生成するトークンとチケットは暗号化せずに伝送することも可能である、ということである。すなわち、攻撃者がこのチケットωを有していても、正確なセッションキーを計算できず、これにより、ここに記載の実施例もシステム施行上の負担を軽減できる。
【図面の簡単な説明】
【0057】
【図1】周知のアクセスコントロール方法の実施例図である。
【図2】周知の遠方でのデータカクセスコントロール方法の実施例図である。
【図3】周知の単一サインオン(Single Sign−On)認証を具えたワンタイムパスワード(One−Time Passwords)の認証メカニズムの実施例図である。
【図4】本発明の階層式キーを基礎とするアクセスコントロールシステムの実施例構造図である。
【図5】本発明のアクセスコントロールシステムの動作フローの実施例図である。
【図6】本発明のアクセスコントロールサーバーとホームゲートウエイの内部装置とそのアクセスコントロールサービスの実施例図である。
【図7】本発明の階層式キー構造により構築されるモデル実施例図である。
【図8】本発明の階層式キー構造により構築されるフロー実施例図である。
【図9】図7のモデル実施例による、ホームゲートウエイ中のキー管理テーブルの記録内容の実施例図である。
【図10】本発明のユーザーのアクセス権限構築の実施例図である。
【図11】本発明のユーザーの権限構築の実施例図である。
【図12】本発明のユーザーがアクセスコントロールサーバーに対して認証授権を要求する時の、認証キー交換方法のフロー実施例図である。
【図13】図12のフローに基づき、ユーザーとアクセスコントロールサーバーの間の数学モデルの構築を通しての認証授権の実施表示図である。
【図14】本発明のユーザーとホームゲートウエイの通信キー構築のフロー実施例図である。
【符号の説明】
【0058】
101 ユーザー 103 アクセスコントロールサーバー
105 ホームゲートウエイ 107 ホームセンシングネットワーク
110 ユーザーがアクセスコントロールサーバーに対してホームゲートウエイのアクセスを要求
120 ユーザーのアクセスの合法性を検査
130 アクセスコントロールサーバーとホームゲートウエイがユーザーの今回のセッションキーを協商する
140 このセッションキーを使用しあるホームセンシングネットワーク上のあるセンサノードのアクセスを要求
150 ユーザーがこのセンサノードとのアクセス権限を有するかを検査
160 このセンサノードに諮問 170 応答情報
180 該セッションキーで暗号化情報を回送
21 モバイルユーザーが現地ネットワークのAAAサーバーに対して認証請求
22 モバイルユーザーと現地ネットワークのAAAサーバーが各自同じセッションキーを計算
23 AAAサーバーがセッションキーとモバイルユーザーのIDを現地ネットワークのアプリケーションサーバーに伝送
24 モバイルユーザーもそのIDをこのアプリケーションサーバーに伝送
25 このアプリケーションサーバーが受け取ったIDにより、対応するセッションキーでモバイルユーザーとの間にチャネルを構築
300 ユーザー装置 320 認証サーバー
330 ネットワーク 340 第3者認証サーバー
350 キー発送センター 352 もう一つの認証サーバー
354 チケット授与サーバー
401 アクセスコントロールサーバー 403 ホームゲートウエイ
403a 階層式キー構造 405 ユーザー
420 センシングネットワーク 430 家庭情報管理者
401a、403c 認証テーブル 403b キー管理テーブル
405a アクセス要求 ω チケット
β トークン
510 ホームゲートウエイ中に階層式キー構造構築
520 アクセスコントロールサーバー中にユーザーアクセスコントロール権限と授権検証コードを設定
530 ユーザーがアクセスコントロールサーバーにログオンして授権要求する時、アクセスコントロールサーバーがユーザーに対応する授権検証コードによりチケットとトークンを発行する
540 ユーザーとホームゲートウエイの双方がこのチケットとトークンの交換によりワンタイムの通信キーを生成
601 検証コード授権代理モジュール 603 階層式キーモジュール
603a 権限キー 603b センサ検証キー
613 チケット検証及びメッセージ処理センター
611 ユーザー検証授権モジュールとチケットトークン交換センター
NID1 からNID6 センサノードの識別コード
K0 、K1 、K2 レベルの権限キー
CAM1 、CAM2 周辺環境検出の映像モニタのセンサノード
CO1 、CO2 一酸化炭素或いは二酸化炭素検出のセンサノード
TEM1 、TEM2 温度検出のセンサノード
NK1 、NK2 センサノードの検証キー
810 最高レベルの権限キーが存在するかを検査
820 全てのセンサノードの検証キーが既に構築完成したかを確認
830 この最高レベルの権限キーを生成
840 キーの構築終了
850 次の検証キー未構築のセンサノードの識別コード及びその所属レベル、システム記録(NID、所属レベル)を入力し、並びにこのセンサノードの検証キーを計算し、検証キーをこのセンサノードに割り当てる
1010 ユーザーに与えられた唯一のID、パスワード及びユーザー権限をアクセスコントロールサーバーに提供する
1020 アクセスコントロールサーバーがこのIDとパスワードによりユーザーの単一性を確認する
1030 ユーザー単一性確認の後、アクセスコントロールサーバーがこのID及びこのユーザー権限をホームゲートウエイに伝送する
1040 これにより、ホームゲートウエイが権限検証コードをアクセスコントロールサーバーに伝送する
1050 アクセスコントロールサーバーがこの権限検証コードを秘蔵し、授権使用者のホームゲートウエイへのアクセスに用いる
1210 ユーザーがその唯一のID、及び秘蔵の乱数mをアクセスコントロールサーバーに提供する
1220 これによりアクセスコントロールサーバーが対応する権限認証値を探し出し、並びにmともう一つの乱数yを通し、ユーザーのチケットマッチング(ω,μ)とトークンβを計算し、トークンβをホームゲートウエイに伝送する
1230 ホームゲートウエイの確認成功を受けて、アクセスコントロールサーバーがチケットマッチング(ω,μ)をこのユーザーに伝送する
1240 m、μ、β及び非可逆演算を通し、ユーザーがアクセスコントロールサーバーの身分が正確であることを確認した後、チケットωを受け取る
1310 ID、パスワードでログオン
1320 数学モデル
1340a v1 =H2 (m,α)を伝送
1340b v1 がv'1=H2 (m,β)と同じであるか対比
1341a v2 =H2 (μ,β)を伝送
1341b v'2=H2 (μ,α)を計算し並びにv2 =v'2であるか否か対比
1410 トークンマッチング(UID,β)を伝送
1420a セッションキーSK=βH1(UIDA,KH) を計算
1420b セッションキーSK=wx を計算
Esk(command) 暗号化された命令情報
Esk(answer) 暗号化された応答情報
1430a ユーザーが暗号化された命令情報を伝送
1430b ホームゲートウエイが暗号化された応答情報を伝送
【特許請求の範囲】
【請求項1】
階層式キーに基づくアクセスコントロールシステムにおいて、
ユーザーのアクセスコントロール権限と授権検証コードを設定し、並びにユーザーのパスワード関係データとアクセス権限の情報を保存するアクセスコントロールサーバーと、 階層式キー構造により構築されたアクセス権限と権限キーを記録したホームゲートウエイと、
センシングネットワークに配置された複数のセンサノードと、
を包含し、ユーザーが該アクセスコントロールサーバーにログオンしてアクセス要求する時、該ユーザーと該ホームゲートウエイの商法が該アクセスコントロールサーバーの発行したチケットとトークンを交換することにより、ワンタイムの通信キーを生成し、該ユーザーの該複数のセンサノードの情報へのアクセスを許可することを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項2】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該ホームゲートウエイはキー管理テーブルを有し、該キー管理テーブルに該階層式キー構造により生成されたアクセス権限、該複数のセンサノードの識別コードとそれに対応するアクセス権限、及び最高権限のキーを記録することを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項3】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該アクセスコントロールサーバー中に第1認証テーブルが設けられ、該第1認証テーブルに既に登録されたユーザーID、ユーザーパスワードに関係する認証コード、及びユーザー権限の関係認証値が記録されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項4】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該ホームゲートウエイ中に第2認証テーブルが設けられ、該第2認証テーブルに既に登録されたユーザーID、及びユーザー権限が記録されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項5】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該ホームゲートウエイは、
権限キー及びセンサキーを生成し、該権限キーはアクセスコントロール設定に用いられ、該センサキーは該ホームゲートウエイとセンサノードの間の情報伝達暗号化に用いられる、階層式キーモジュールと、
ユーザーのチケットでのログイン検証を請け負うチケット検証及びメッセージ処理センターと、
を包含することを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項6】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該アクセスコントロールサーバーは、
ユーザーのアクセス権限を設定し並びに該アクセス権限の検証コードを保存する検証コード授権代理モジュールと、
ユーザーと該ホームゲートウエイのセッションキーを協調並びに生成し、合法ユーザーが該ホームゲートウエイのアクセス授権を要求する時、該チケットとトークンの交換と対比により、該ホームゲートウエイに該ユーザーの合法性を知らせる、ユーザー検証授権モジュールとチケットトークン交換センターと、
を包含したことを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項7】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該階層式キー構造中、低レベルの権限キーはそれより高いレベルの権限キーより生成されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項8】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該複数のセンサノードの各センサノードの検証キーは該センサノードの所属レベルの権限キーと該センサノードの識別コードにより生成されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項9】
階層式キーに基づくアクセスコントロール方法において、
ホームゲートウエイ中に階層式キー構造を構築するステップ、
アクセスコントロールサーバー中にユーザーアクセスコントロール権限と授権検証コードを構築するステップ、
ユーザーがアクセスコントロールサーバーにログオンしてアクセス要求する時、該アクセスコントロールサーバーがユーザーに対応する授権検証コードによりチケットとトークンを発行するステップ、
該ユーザーと該ホームゲートウエイの双方が、該チケットとトークンの交換を通して、ワンタイムの通信キーを生成し、該ユーザーにホームネットワークに配置された複数のセンサノードの情報へのアクセスを許可するステップ、
を包含することを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項10】
請求項9記載の階層式キーに基づくアクセスコントロール方法において、該階層式キー構造の構築ステップは、
最高レベルの権限キーが存在するか否かを検査するステップ、
最高レベルの権限キーが存在する時、全てのセンサノードの検証キーが全て構築完成しているかを確認するステップ、
最高レベルの権限キーが不存在の時、この最高レベルの最高レベルの権限キーを生成し、並びに全てのセンサノードの検証キーが既に生成完成したかを確認するステップ、
全てのセンサノードの検証キーが生成完成した時、キーの生成を終了するステップ、
全てのセンサノードの検証キーが生成完成していない時、次の検証キー未生成のセンサノードの識別コード及びその所属レベルを入力し、並びに該センサノードの検証キーを計算し並びに該センサノードに割り当て、その後、全てのセンサノードの検証キーが既に生成完成したかを確認するステップに戻るステップ、
を包含したことを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項11】
請求項10記載の階層式キーに基づくアクセスコントロール方法において、該階層式キー構造中、低レベルの権限キーはそれより高いレベルの権限キーより生成されることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項12】
請求項10記載の階層式キーに基づくアクセスコントロール方法において、該複数のセンサノードの各センサノードの検証キーは該センサノードの所属レベルの権限キーと該センサノードの識別コードにより生成されることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項13】
請求項11記載の階層式キーに基づくアクセスコントロール方法において、該権限キー生成は非可逆関数方式の計算によることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項14】
請求項12記載の階層式キーに基づくアクセスコントロール方法において、該検証キー生成は非可逆関数方式の計算によることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項15】
請求項9記載の階層式キーに基づくアクセスコントロール方法において、該アクセスコントロールサーバー中のユーザーアクセス権限は、
ユーザーに提供された単一のID、パスワード及びユーザー権限を該アクセスコントロールサーバーに提供するステップ、
該アクセスコントロールサーバーが該ID及びパスワードにより該ユーザーの単一性を確認するステップ、
該ユーザーの単一性を確認した後、該アクセスコントロールサーバーが該ID及び該ユーザー権限を該ホームゲートウエイに伝送するステップ、
該ホームゲートウエイが権限認証コードを該アクセスコントロールサーバーに伝送するステップ、
該アクセスコントロールサーバーが該権限検証コードを秘蔵して授権ユーザーが該ホームゲートウエイにアクセスするのに用いるステップ、
以上のステップにより構築されることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項16】
請求項9記載の階層式キーに基づくアクセスコントロール方法において、該ワンタイムの通信キーの生成は、
該チケットとトークンを通し、該アクセスコントロールサーバーがチケットトークンマッチングを該ホームゲートウエイに伝送するステップ、
該ホームゲートウエイが非可逆関数を通してセッションキーを生成するステップ、
該ユーザーも該チケットと選定した乱数を通して、該セッションキーを生成するステップ、
該ユーザーが該ホームゲートウエイの命令メッセージを伝送し、該セッションキーを暗号化したキーとなし、該ホームゲートウエイも該キーを利用して応答メッセージを暗号化して該ユーザーに伝送するステップ、
以上のステップを包含することを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項17】
ユーザーが遠方よりアクセスする際の認証授権に用いられる認証キー交換方法において、
ユーザーがその単一のID、及び秘蔵の乱数をアクセスコントロールサーバーに提供するステップ、
これにより、該アクセスコントロールサーバーが対応する権限認証値を探し出し、並びに該秘蔵の乱数及び別の乱数を通して、該ユーザーのチケットマッチング(ω,μ)とトークンを生成し、該チケートとトークンを対応するホームゲートウエイに伝送するステップ、
該ホームゲートウエイの確認成功を受けて、該アクセスコントロールサーバーが該チケットマッチングを該ユーザーに伝送するステップ、
該秘蔵の乱数、μ、該トークン及び非可逆演算を通して、該ユーザーが該アクセスコントロールサーバーの身分が正確であると確認した後、チケットωを受け取るステップ、
以上のステップを包含したことを特徴とする、認証キー交換方法。
【請求項18】
請求項17記載の認証キー交換方法において、該対応する権限認証値は該ユーザーの単一のIDにより、該アクセスコントロールサーバー中の認証テーブルを検索して探し出されることを特徴とする、認証キー交換方法。
【請求項19】
請求項17記載の認証キー交換方法において、該チケットマッチングのω値は該対応する権限認証値と該別の乱数を通して計算され、該対応する権限認証値は該ユーザーの単一のIDとアクセス権限の非可逆演算を通して得られることを特徴とする、認証キー交換方法。
【請求項1】
階層式キーに基づくアクセスコントロールシステムにおいて、
ユーザーのアクセスコントロール権限と授権検証コードを設定し、並びにユーザーのパスワード関係データとアクセス権限の情報を保存するアクセスコントロールサーバーと、 階層式キー構造により構築されたアクセス権限と権限キーを記録したホームゲートウエイと、
センシングネットワークに配置された複数のセンサノードと、
を包含し、ユーザーが該アクセスコントロールサーバーにログオンしてアクセス要求する時、該ユーザーと該ホームゲートウエイの商法が該アクセスコントロールサーバーの発行したチケットとトークンを交換することにより、ワンタイムの通信キーを生成し、該ユーザーの該複数のセンサノードの情報へのアクセスを許可することを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項2】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該ホームゲートウエイはキー管理テーブルを有し、該キー管理テーブルに該階層式キー構造により生成されたアクセス権限、該複数のセンサノードの識別コードとそれに対応するアクセス権限、及び最高権限のキーを記録することを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項3】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該アクセスコントロールサーバー中に第1認証テーブルが設けられ、該第1認証テーブルに既に登録されたユーザーID、ユーザーパスワードに関係する認証コード、及びユーザー権限の関係認証値が記録されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項4】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該ホームゲートウエイ中に第2認証テーブルが設けられ、該第2認証テーブルに既に登録されたユーザーID、及びユーザー権限が記録されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項5】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該ホームゲートウエイは、
権限キー及びセンサキーを生成し、該権限キーはアクセスコントロール設定に用いられ、該センサキーは該ホームゲートウエイとセンサノードの間の情報伝達暗号化に用いられる、階層式キーモジュールと、
ユーザーのチケットでのログイン検証を請け負うチケット検証及びメッセージ処理センターと、
を包含することを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項6】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該アクセスコントロールサーバーは、
ユーザーのアクセス権限を設定し並びに該アクセス権限の検証コードを保存する検証コード授権代理モジュールと、
ユーザーと該ホームゲートウエイのセッションキーを協調並びに生成し、合法ユーザーが該ホームゲートウエイのアクセス授権を要求する時、該チケットとトークンの交換と対比により、該ホームゲートウエイに該ユーザーの合法性を知らせる、ユーザー検証授権モジュールとチケットトークン交換センターと、
を包含したことを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項7】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該階層式キー構造中、低レベルの権限キーはそれより高いレベルの権限キーより生成されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項8】
請求項1記載の階層式キーに基づくアクセスコントロールシステムにおいて、該複数のセンサノードの各センサノードの検証キーは該センサノードの所属レベルの権限キーと該センサノードの識別コードにより生成されることを特徴とする、階層式キーに基づくアクセスコントロールシステム。
【請求項9】
階層式キーに基づくアクセスコントロール方法において、
ホームゲートウエイ中に階層式キー構造を構築するステップ、
アクセスコントロールサーバー中にユーザーアクセスコントロール権限と授権検証コードを構築するステップ、
ユーザーがアクセスコントロールサーバーにログオンしてアクセス要求する時、該アクセスコントロールサーバーがユーザーに対応する授権検証コードによりチケットとトークンを発行するステップ、
該ユーザーと該ホームゲートウエイの双方が、該チケットとトークンの交換を通して、ワンタイムの通信キーを生成し、該ユーザーにホームネットワークに配置された複数のセンサノードの情報へのアクセスを許可するステップ、
を包含することを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項10】
請求項9記載の階層式キーに基づくアクセスコントロール方法において、該階層式キー構造の構築ステップは、
最高レベルの権限キーが存在するか否かを検査するステップ、
最高レベルの権限キーが存在する時、全てのセンサノードの検証キーが全て構築完成しているかを確認するステップ、
最高レベルの権限キーが不存在の時、この最高レベルの最高レベルの権限キーを生成し、並びに全てのセンサノードの検証キーが既に生成完成したかを確認するステップ、
全てのセンサノードの検証キーが生成完成した時、キーの生成を終了するステップ、
全てのセンサノードの検証キーが生成完成していない時、次の検証キー未生成のセンサノードの識別コード及びその所属レベルを入力し、並びに該センサノードの検証キーを計算し並びに該センサノードに割り当て、その後、全てのセンサノードの検証キーが既に生成完成したかを確認するステップに戻るステップ、
を包含したことを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項11】
請求項10記載の階層式キーに基づくアクセスコントロール方法において、該階層式キー構造中、低レベルの権限キーはそれより高いレベルの権限キーより生成されることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項12】
請求項10記載の階層式キーに基づくアクセスコントロール方法において、該複数のセンサノードの各センサノードの検証キーは該センサノードの所属レベルの権限キーと該センサノードの識別コードにより生成されることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項13】
請求項11記載の階層式キーに基づくアクセスコントロール方法において、該権限キー生成は非可逆関数方式の計算によることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項14】
請求項12記載の階層式キーに基づくアクセスコントロール方法において、該検証キー生成は非可逆関数方式の計算によることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項15】
請求項9記載の階層式キーに基づくアクセスコントロール方法において、該アクセスコントロールサーバー中のユーザーアクセス権限は、
ユーザーに提供された単一のID、パスワード及びユーザー権限を該アクセスコントロールサーバーに提供するステップ、
該アクセスコントロールサーバーが該ID及びパスワードにより該ユーザーの単一性を確認するステップ、
該ユーザーの単一性を確認した後、該アクセスコントロールサーバーが該ID及び該ユーザー権限を該ホームゲートウエイに伝送するステップ、
該ホームゲートウエイが権限認証コードを該アクセスコントロールサーバーに伝送するステップ、
該アクセスコントロールサーバーが該権限検証コードを秘蔵して授権ユーザーが該ホームゲートウエイにアクセスするのに用いるステップ、
以上のステップにより構築されることを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項16】
請求項9記載の階層式キーに基づくアクセスコントロール方法において、該ワンタイムの通信キーの生成は、
該チケットとトークンを通し、該アクセスコントロールサーバーがチケットトークンマッチングを該ホームゲートウエイに伝送するステップ、
該ホームゲートウエイが非可逆関数を通してセッションキーを生成するステップ、
該ユーザーも該チケットと選定した乱数を通して、該セッションキーを生成するステップ、
該ユーザーが該ホームゲートウエイの命令メッセージを伝送し、該セッションキーを暗号化したキーとなし、該ホームゲートウエイも該キーを利用して応答メッセージを暗号化して該ユーザーに伝送するステップ、
以上のステップを包含することを特徴とする、階層式キーに基づくアクセスコントロール方法。
【請求項17】
ユーザーが遠方よりアクセスする際の認証授権に用いられる認証キー交換方法において、
ユーザーがその単一のID、及び秘蔵の乱数をアクセスコントロールサーバーに提供するステップ、
これにより、該アクセスコントロールサーバーが対応する権限認証値を探し出し、並びに該秘蔵の乱数及び別の乱数を通して、該ユーザーのチケットマッチング(ω,μ)とトークンを生成し、該チケートとトークンを対応するホームゲートウエイに伝送するステップ、
該ホームゲートウエイの確認成功を受けて、該アクセスコントロールサーバーが該チケットマッチングを該ユーザーに伝送するステップ、
該秘蔵の乱数、μ、該トークン及び非可逆演算を通して、該ユーザーが該アクセスコントロールサーバーの身分が正確であると確認した後、チケットωを受け取るステップ、
以上のステップを包含したことを特徴とする、認証キー交換方法。
【請求項18】
請求項17記載の認証キー交換方法において、該対応する権限認証値は該ユーザーの単一のIDにより、該アクセスコントロールサーバー中の認証テーブルを検索して探し出されることを特徴とする、認証キー交換方法。
【請求項19】
請求項17記載の認証キー交換方法において、該チケットマッチングのω値は該対応する権限認証値と該別の乱数を通して計算され、該対応する権限認証値は該ユーザーの単一のIDとアクセス権限の非可逆演算を通して得られることを特徴とする、認証キー交換方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2010−114869(P2010−114869A)
【公開日】平成22年5月20日(2010.5.20)
【国際特許分類】
【出願番号】特願2008−320546(P2008−320546)
【出願日】平成20年12月17日(2008.12.17)
【出願人】(390023582)財団法人工業技術研究院 (524)
【氏名又は名称原語表記】INDUSTRIAL TECHNOLOGY RESEARCH INSTITUTE
【住所又は居所原語表記】195 Chung Hsing Rd.,Sec.4,Chutung,Hsin−Chu,Taiwan R.O.C
【Fターム(参考)】
【公開日】平成22年5月20日(2010.5.20)
【国際特許分類】
【出願日】平成20年12月17日(2008.12.17)
【出願人】(390023582)財団法人工業技術研究院 (524)
【氏名又は名称原語表記】INDUSTRIAL TECHNOLOGY RESEARCH INSTITUTE
【住所又は居所原語表記】195 Chung Hsing Rd.,Sec.4,Chutung,Hsin−Chu,Taiwan R.O.C
【Fターム(参考)】
[ Back to top ]