知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6018511
(24)【登録日】2016年10月7日
(45)【発行日】2016年11月2日
(54)【発明の名称】サーバ装置、グループ鍵通知方法及びそのプログラム
(51)【国際特許分類】
H04L 9/08 20060101AFI20161020BHJP
【FI】
H04L9/00 601B
【請求項の数】9
【全頁数】13
(21)【出願番号】特願2013-17895(P2013-17895)
(22)【出願日】2013年1月31日
(65)【公開番号】特開2014-150392(P2014-150392A)
(43)【公開日】2014年8月21日
【審査請求日】2015年10月6日
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(74)【代理人】
【識別番号】100111121
【弁理士】
【氏名又は名称】原 拓実
(74)【代理人】
【識別番号】100152788
【弁理士】
【氏名又は名称】手塚 史展
(74)【代理人】
【識別番号】100125667
【弁理士】
【氏名又は名称】小林 幹雄
(74)【代理人】
【識別番号】100138601
【弁理士】
【氏名又は名称】山下 正成
(74)【代理人】
【識別番号】100151323
【弁理士】
【氏名又は名称】泉 剛司
(74)【代理人】
【識別番号】100177046
【弁理士】
【氏名又は名称】小川 百合香
(72)【発明者】
【氏名】田中 康之
【審査官】
中里 裕正
(56)【参考文献】
【文献】
特表2012−502587(JP,A)
【文献】
特開2009−239376(JP,A)
【文献】
特開2006−025455(JP,A)
【文献】
特開2003−174440(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
クライアントとメッセージの送受信を行うメッセージ通信部と、
少なくとも鍵の値である鍵値、鍵の有効期限、鍵の割り当て先情報を含む鍵情報を記憶
する鍵情報記憶部と、
メッセージ通信部が認証されたクライアントから鍵要求メッセージを受信すると、前記
鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期限とクライアン
トの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた鍵通知メッセー
ジを生成する鍵管理部とを具備し、
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信することを特
徴とするサーバ装置。
少なくとも鍵の値である鍵値、鍵の有効期限、鍵の割り当て先情報を含む鍵情報を記憶
する鍵情報記憶部と、
メッセージ通信部が認証されたクライアントから鍵要求メッセージを受信すると、前記
鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期限とクライアン
トの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた鍵通知メッセー
ジを生成する鍵管理部とを具備し、
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信することを特
徴とするサーバ装置。
【請求項2】
前記鍵管理部は、クライアントの認証成功状態の有効期限が、前記鍵情報の鍵の有効期
限と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は当該認証成功状態の有
効期限と同じかそれよりも早い時刻と決定することを特徴とする請求項1記載のサーバ装
置。
限と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は当該認証成功状態の有
効期限と同じかそれよりも早い時刻と決定することを特徴とする請求項1記載のサーバ装
置。
【請求項3】
前記鍵管理部は、前記鍵情報の鍵の有効期限クライアントの認証成功状態の有効期限と
同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は当該鍵の有効期限と同じか
それよりも早い時刻と決定することを特徴とする請求項1記載のサーバ装置。
同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は当該鍵の有効期限と同じか
それよりも早い時刻と決定することを特徴とする請求項1記載のサーバ装置。
【請求項4】
更に、クライアントの認証に必要なクライアント情報を記憶するクライアント情報記憶
部と、
前記クライアント通信部が認証要求メッセージを受信したとき、認証要求メッセージと
クライアント情報とからクライアントの認証を行う認証処理部とを具備し、
前記認証処理部で認証されたクライアントから鍵要求メッセージを受信すると、前記鍵
管理部は前記鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期限
とクライアントの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた鍵
通知メッセージを生成し、
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信することを特
徴とする請求項1記載のサーバ装置。
部と、
前記クライアント通信部が認証要求メッセージを受信したとき、認証要求メッセージと
クライアント情報とからクライアントの認証を行う認証処理部とを具備し、
前記認証処理部で認証されたクライアントから鍵要求メッセージを受信すると、前記鍵
管理部は前記鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期限
とクライアントの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた鍵
通知メッセージを生成し、
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信することを特
徴とする請求項1記載のサーバ装置。
【請求項5】
前記クライアント情報はクライアントのアドレス情報を含み、
前記鍵管理部は、前記アドレス情報から前記鍵通知メッセージに前記指定更新時刻を含
めるか否かを判断することを特徴とする請求項4記載のサーバ装置。
前記鍵管理部は、前記アドレス情報から前記鍵通知メッセージに前記指定更新時刻を含
めるか否かを判断することを特徴とする請求項4記載のサーバ装置。
【請求項6】
前記鍵管理部は、クライアントの動作タイミングがクライアントの認証成功状態の有効
期限と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は当該動作タイミング
の時刻と決定することを特徴とする請求項2記載のサーバ装置。
期限と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は当該動作タイミング
の時刻と決定することを特徴とする請求項2記載のサーバ装置。
【請求項7】
前記鍵管理部は、クライアントの動作タイミングが前記鍵情報の鍵の有効期限と同じか
それよりも早く期限を迎える場合、鍵の指定更新時刻は当該動作タイミングの時刻と決定
することを特徴とする請求項3記載のサーバ装置。
それよりも早く期限を迎える場合、鍵の指定更新時刻は当該動作タイミングの時刻と決定
することを特徴とする請求項3記載のサーバ装置。
【請求項8】
メッセージ通信部がクライアントとメッセージの送受信を行うメッセージステップと、
メッセージを受信したクライアントが認証しているか否か確認する認証確認ステップと
、
前記認証確認ステップで認証を確認されたクライアントから前記メッセージ通信部が鍵
要求メッセージを受信すると、少なくとも鍵の値である鍵値、鍵の有効期限、鍵の割り当
て先情報を含む鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期
限とクライアントの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた
鍵通知メッセージを生成する生成ステップと
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信するステップ
を含む通知方法。
メッセージを受信したクライアントが認証しているか否か確認する認証確認ステップと
、
前記認証確認ステップで認証を確認されたクライアントから前記メッセージ通信部が鍵
要求メッセージを受信すると、少なくとも鍵の値である鍵値、鍵の有効期限、鍵の割り当
て先情報を含む鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期
限とクライアントの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた
鍵通知メッセージを生成する生成ステップと
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信するステップ
を含む通知方法。
【請求項9】
コンピューターで実施可能なプログラムであって、
メッセージ通信部がクライアントとメッセージの送受信を行うメッセージステップと、
メッセージを受信したクライアントが認証しているか否か確認する認証確認ステップと
、
前記認証確認ステップで認証を確認されたクライアントから前記メッセージ通信部が鍵
要求メッセージを受信すると、少なくとも鍵の値である鍵値、鍵の有効期限、鍵の割り当
て先情報を含む鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期
限とクライアントの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた
鍵通知メッセージを生成する生成ステップと
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信するステップ
を含む通知プログラム。
メッセージ通信部がクライアントとメッセージの送受信を行うメッセージステップと、
メッセージを受信したクライアントが認証しているか否か確認する認証確認ステップと
、
前記認証確認ステップで認証を確認されたクライアントから前記メッセージ通信部が鍵
要求メッセージを受信すると、少なくとも鍵の値である鍵値、鍵の有効期限、鍵の割り当
て先情報を含む鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期
限とクライアントの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた
鍵通知メッセージを生成する生成ステップと
前記メッセージ通信部は前記鍵通知メッセージを前記クライアントに送信するステップ
を含む通知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、鍵配布を行うサーバ装置、グループ鍵通知方法及びそのプログラムに関する。
【背景技術】
【0002】
従来の鍵配布を行うサーバ装置はグループに対するノードの参加や離脱が発生するたびに、新しい鍵の通知を行う。しかし、無線メッシュネットワークなど、ノードの参加や離
脱が頻繁に発生する環境では鍵通知が頻発してしまい、ネットワーク内のトラフィックの
増大してしまう。また、ノードの死活確認もトラフィックが増大する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005-159780公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
複数のクライアントに鍵を通知するサーバにおいて、各クライアントの鍵更新処理による負荷を軽減または平滑化すること。
【課題を解決するための手段】
【0005】
実施形態によれば、クライアントとメッセージの送受信を行うメッセージ通信部と、少なくとも鍵の値である鍵値、鍵の有効期限、鍵の割り当て先情報を含む鍵情報を記憶する
鍵情報記憶部と、メッセージ通信部が認証されたクライアントから鍵要求メッセージを受
信すると、前記鍵情報の割り当て先に合致したクライアントの鍵値、及び当該鍵の有効期
限とクライアントの認証成功状態の有効期限とから決定した鍵の指定更新時刻とを含めた
鍵通知メッセージを生成する鍵管理部とを具備し、前記メッセージ通信部は前記鍵通知メ
ッセージを前記クライアントに送信することを特徴とするサーバ装置を提供する。
【図面の簡単な説明】
【0006】
【図1】実施の一形態を示すネットワーク構成図。
【図2】ネットワークアクセス認証の一形態を示すメッセージシーケンス。
【図3】認証完了メッセージを示す図。
【図4】認証処理完了直後に鍵通知を行う場合のシーケンス。
【図5】鍵要求メッセージによる鍵更新処理シーケンス。
【図6】再認証処理による鍵更新処理シーケンス。
【図7】実施の一形態を示すサーバ構成図。
【図8】クライアント情報の一形態を示す図。
【図9】鍵情報の一形態を示す図。
【図10】サーバ装置の処理手順の一形態を示すフローチャート。
【図11】実施の一形態を示すサーバ構成図。
【図12】クライアント情報の一形態を示す図。
【図13】サーバ装置の処理手順の一形態を示すフローチャート。
【発明を実施するための形態】
【0007】
以下、実施の形態について、図面を参照して説明する。
【0008】
(実施形態1)図 1を用いてネットワーク構成の実施の一形態を示す。ネットワーク106にはサーバ101と
クライアント102、クライアント103、クライアント104、クライアント105が接続している
。サーバ101と各クライアントはネットワーク106を介して通信可能である。本実施形態に
直接関係が無い通信ノードは図中で省略する。また、本実施形態では認証処理などの通信
プロトコルとしてProtocol for Carrying Authentication for Network Access (PANA)の
使用を想定しているが、これに限らず、例えばIEEE 802.1XやIEEE 802.11iなどであって
もよい。
【0009】
クライアント102〜105はネットワーク106に接続すると、サーバ101との間で認証処理を行い、サーバ101からグループ鍵を得る。
【0010】
これらクライアント102〜105がネットワーク106に接続する際には、サーバ101とクライアント(102〜105)との間でネットワークアクセス認証処理が実施される。クライアント
102〜105は直接、サーバ101との間でネットワークアクセス認証を行う。ここでは図示し
ていないが、クライアント102〜105のいずれかを介して別のクライアントがサーバ101と
の間でネットワークアクセス認証を行ってもよく、このようにクライアント102〜105のい
ずれかを認証リレーとして利用し、サーバ101との間でネットワークアクセス認証処理を
行ってもよい。ネットワークアクセス認証に成功しない限り、クライアント102〜105はネ
ットワーク106に接続することはできない。
【0011】
図 2にサーバ101とクライアント102の間で行う認証処理のメッセージシーケンスを示す。
【0012】
はじめに、クライアント102は認証開始メッセージ201をサーバ101に送信し、ネットワークアクセス認証処理を開始する。認証開始メッセージ202を受信したサーバ101は、認証
処理メッセージ202をクライアント102に送信する。その後、所定の認証方式に従って認証
を行い、最後にサーバ101からクライアント102に対し認証完了メッセージ203をクライア
ント102へ送信し、クライアント102はその応答として認証完了メッセージ204をサーバ101
へ送信する。本実施形態ではクライアント102による認証開始メッセージ201によって認証
処理が開始する例を示したが、認証開始メッセージ201無しに、サーバ101から認証処理メ
ッセージ202をクライアント102へ送信することで認証処理を開始してもよい。また、サー
バ101とクライアント102間の認証処理が代理サーバまたはリレーノードによって仲介され
てもよい。
【0013】
このように、クライアントがネットワーク106に接続する際に認証クライアントとして動作する。これによりクライアント102〜105とサーバ101の間のネットワークアクセス認
証処理が行われる。なお、ネットワークアクセス認証状態には有効期限があり、有効期限
切れになる前に再認証処理を行うことがある。再認証処理の時も、クライアントは認証ク
ライアントとして動作する。そのほか、クライアント102が自身のセッションにかかわる
通信をする場合には認証クライアントとして動作する。
【0014】
他のクライアント(図示しない)がクライアント102(103〜105のいずれでもよい)を介してネットワーク106に接続するためには、サーバ101と他のクライアントとの間でネッ
トワークアクセス認証処理を実施し、この認証に成功しなければならない。このとき、ク
ライアント102(103〜105のいずれでもよい)は認証リレーとして動作し、サーバ101と他
のクライアントとの間のメッセージを中継する。
【0015】
サーバ101とクライアント102の間で所定の方法での認証が成功すると、認証完了メッセージ203により、サーバ101からクライアント102へ鍵情報が通知される。図3に、鍵情報30
1を含む認証完了メッセージ203の例を示す。鍵情報301には少なくとも鍵の値と、その鍵
の更新処理を行う指定された時刻を表す指定更新時刻が含まれる。鍵の値は鍵の利用方法
によってさまざまな形式、長さが考えられる。指定更新時刻により、サーバ101はクライ
アント102に対し、鍵の更新処理を行う時刻を指定する。鍵情報にはこれに加えて、鍵識
別子や鍵の有効範囲(鍵スコープ)、鍵の有効期限が含まれていてもよい。鍵の有効期限
が含まれない場合は、指定更新時刻を鍵の有効期限の意味で利用してもよい。
【0016】
鍵情報301は必ずしも認証完了メッセージ203としてサーバ101からクライアント102に通知されなくてもよい。具体的には、図 4に示す鍵通知メッセージ401に鍵情報301を含める
ことで、サーバ101がクライアント102に鍵情報301を通知してもよい。
【0017】
鍵情報301に含まれる指定更新時刻に達すると、クライアント102は鍵更新処理を開始する。鍵更新処理は図 5に示す鍵要求メッセージによる方法と、図 6に示す再認証処理による
方法がある。
【0018】
鍵要求メッセージによる鍵更新処理では、指定更新時刻にクライアント102がサーバ101へ鍵要求メッセージ501を送信する。鍵要求メッセージ501を受信したサーバ101は、新た
な鍵情報を含む鍵通知メッセージ502をクライアント102へ送信する。
【0019】
再認証処理による鍵更新処理では、指定更新時刻にクライアント102がサーバ102へ再認証処理要求メッセージ601を送信する。再認証処理要求メッセージ601を受信したサーバ101
は、再認証処理応答メッセージ602をクライアント102に送信し、再認証処理を開始する。
【0020】
サーバ101とクライアント102の間で所定の方法での認証が成功すると、認証完了メッセージ603により、サーバ101からクライアント102へ新しい鍵情報が通知される。
【0022】
メッセージ通信部701はクライアント102等(103〜105のいずれでもよい)から送信されたメッセージの受信や、クライアント102等に対するメッセージの送信を行う。
【0023】
認証処理部702は所定の認証方式によるクライアントの認証を行う。クライアントの認証に必要なクライアント情報、例えばクライアントの真正性を検証するのに必要な情報を
クライアント情報記憶部703に記憶されている。クライアント情報記憶部703に記憶された
クライアント情報は少なくともクライアントの識別子が含まれ、その他に事前共有鍵、ま
たはクライアント証明書を検証するのに必要な情報などが含まれる。このように、認証処
理部702はクライアントから送信された認証処理要求メッセージとクライアント情報記憶
部703に記憶されたクライアント情報から、認証処理要求メッセージを送信したクライア
ントが真正であるか否か認証を行う。図8にクライアント情報記憶部703に記憶されたクラ
イアント情報の例を示す。この例では、クライアント識別子および事前共有鍵、クライア
ントの認証成功状態の有効期限をクライアント情報記憶部703に記憶しているが、真正性
を検証するのに必要な情報と現在の認証成功状態の情報は別の記憶部で記憶してもよい。
【0024】
鍵管理部704はクライアントに通知する鍵情報の管理を行う。具体的には、鍵の生成や、有効期限切れの鍵の破棄、クライアントやグループに対する鍵の割り当て、鍵の通知処
理などを行う。クライアントに通知する鍵情報は鍵情報記憶部705に記憶される。鍵情報
記憶部705には少なくとも、鍵の値とその有効期限、鍵の割り当て先の情報が含まれる。
【0025】
その他、鍵情報記憶部705に記憶された鍵情報には鍵を識別するための鍵識別子が含まれてもよい。
【0026】
図9に鍵情報記憶部705に記憶される鍵情報の例を示す。この例では、鍵情報記憶部705は鍵を識別するための鍵識別子と、鍵の値である鍵値、鍵の有効期限、鍵の割り当て先情
報を記憶している。割り当て先情報はグループの場合もあれば、単独のクライアントの場
合もある。割り当て先情報にグループが指定された場合、この例ではグループのクライア
ント構成も保持しているが、グループのクライアント構成は別情報で記憶してもよい。
【0027】
図10にサーバ101の処理手順の一形態であるフローチャートを示す。サーバ101はクライアント102等からのメッセージが認証開始メッセージを受信した場合(S1001/Yesの場合
)、クライアント102等との間で認証処理を実施する(S1002)。認証処理の結果、クライ
アント102等との間での所定の方法での認証が成功すれば(S1003/Yesの場合)、クライ
アントは認証成功状態となる。そして、サーバ101はクライアントに鍵情報を通知する(S
1004)。一方、認証処理の結果クライアント102等との間での所定の方法での認証が失敗
した場合(S1003/Noの場合)、クライアントからのメッセージを待機する状態になる。
【0028】
クライアントから再認証開始メッセージを受信した場合(S1001/Yesの場合)は、認証開始メッセージを受信した場合と同様に、クライアントとの間で認証処理を実施する(S100
2)。
【0029】
続いてクライアント102等から受信したメッセージが認証開始メッセージでなく(S1001/Noの場合)、鍵要求メッセージである場合(S1005/Yesの場合)は、そのクライアント
が認証成功状態であるか否かを確認する(S1006)。そのクライアントが認証成功状態な
らば(S1006/Yesの場合)、サーバ101はクライアントに鍵通知メッセージを通知する(S
1004)。クライアントに通知すべき鍵情報が鍵情報記憶部705中に存在しない場合は、サ
ーバ101が鍵管理部705により新しい鍵を生成し、所定の方法で有効期限や鍵識別子を決定
してクライアントに通知する。新しく生成した鍵やその関連情報(鍵情報)は鍵情報記憶
部05に記憶される。
【0030】
クライアント102等から受信したメッセージが認証開始メッセージでもなく(S1001/Noの場合)、鍵要求メッセージでもない場合(S1005/Noの場合)や、クライアントが認証
成功状態でない場合(S1006/Noの場合)は、クライアントからのメッセージを待機する
状態になる。
【0031】
サーバ101の鍵管理部704は認証成功状態の有効期限と鍵の有効期限から、クライアントに通知する鍵の指定更新時刻を決定する。鍵管理部704は認証成功状態の有効期限をクラ
イアント情報記憶部703に記憶されたクライアント情報を基に認証処理部702から取得し、
鍵の有効期限は鍵情報記憶部705から取得する。認証成功状態の有効期限が鍵の有効期限
と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は認証成功状態の有効期限
と同じかそれよりも早い時刻とする。鍵の有効期限が認証成功状態の有効期限と同じかそ
れよりも早く期限を迎える場合、鍵の指定更新時刻は鍵の有効期限と同じかそれよりも早
い時刻とする。
【0032】
このように決定された鍵の指定更新時刻を鍵通知メッセージに含めて鍵要求メッセージを送信したクライアントに送付することで、クライアントの鍵更新時刻を制御できるよう
になり、鍵更新処理が短期間に集中することを防ぐことができる。その結果、サーバに対
する負荷を軽減または平滑化することができる。
【0033】
(実施形態2)以下、実施形態2について、図面を参照して説明する。
【0035】
メッセージ通信部1101はクライアント102等(103〜105のいずれでもよい)から送信されたメッセージの受信や、クライアント102等に対するメッセージの送信を行う。
【0036】
認証処理部1102は所定の認証方式によるクライアントの認証を行う。クライアントの認証に必要なクライアント情報、例えばクライアントの真正性を検証するのに必要な情報を
クライアント情報記憶部1103に記憶されている。クライアント情報記憶部1103に記憶され
たクライアント情報は少なくともクライアントの識別子が含まれ、その他に事前共有鍵、
またはクライアント証明書を検証するのに必要な情報などに加え、クライアントのアドレ
ス情報が含まれる。認証処理部1102はクライアントから送信された認証処理要求メッセー
ジとクライアント情報記憶部1103に記憶されたクライアント情報から、認証処理要求メッ
セージを送信したクライアントが真正であるか否か認証を行う。
【0037】
図12にクライアント情報記憶部1103に記憶されたクライアント情報の例を示す。この例では、クライアント識別子および事前共有鍵、クライアントの認証成功状態の有効期限、
及びアドレス情報をクライアント情報記憶部1103に記憶しているが、真正性を検証するの
に必要な情報と現在の認証成功状態の情報は別の記憶部で記憶してもよい。アドレス情報
は、緯度・経度や住所のような物理的な地理位置情報でもよく、IPアドレスなのどの論理
的な位置情報でもよい。
【0038】
鍵管理部1104はクライアントに通知する鍵情報の管理を行う。具体的には、鍵の生成や、有効期限切れの鍵の破棄、クライアントやグループに対する鍵の割り当て、鍵の通知処
理などを行う。クライアントに通知する鍵情報は鍵情報記憶部1105に記憶される。鍵情報
記憶部1105には少なくとも、鍵の値とその有効期限、鍵の割り当て先の情報が含まれる。
【0039】
その他、鍵情報記憶部1105に記憶された鍵情報には鍵を識別するための鍵識別子が含まれてもよい。
【0041】
図13にサーバ101の処理手順の一形態であるフローチャートを示す。サーバ101はクライアント102等からのメッセージが認証開始メッセージを受信した場合(S1301/Yesの場合
)、クライアント102等との間で認証処理を実施する(S1302)。認証処理の結果、クライ
アント102等との間での所定の方法での認証が成功すれば(S1303/Yesの場合)、クライ
アントは認証成功状態となる。ここで、クライアント情報記憶部1103に記憶されたクライ
アント102等のアドレス情報からクライアントに通知する鍵通知メッセージに指定更新時
刻を含めるか否か判断し、アドレス情報(物理的な場所等)から鍵更新処理がサーバ及び
ネットワークに対して影響を及ぼす場合(S1304/No)は指定更新時刻を含めた鍵通知メッセ
ージを通知する(S1308)。一方、アドレス情報から鍵更新処理がサーバ及びネットワーク
に対して影響を及ぼさない場合(S1304/Yes)には、指定更新時刻を含めない鍵通知メッセ
ージを通知する(1307)。
【0042】
認証処理の結果クライアント102等との間での所定の方法での認証が失敗した場合(S1303/Noの場合)、クライアントからのメッセージを待機する状態になる。クライアントか
ら再認証開始メッセージを受信した場合(S1301/Yesの場合)は、認証開始メッセージを
受信した場合と同様に、クライアントとの間で認証処理を実施する(S1302)。
【0043】
続いてクライアント102等から受信したメッセージが認証開始メッセージでなく(S1301/Noの場合)、鍵要求メッセージである場合(S1305/Yesの場合)は、そのクライアント
が認証成功状態であるか否かを確認する(S1306)。そのクライアントが認証成功状態な
らば(S1306/Yesの場合)、サーバ101はクライアント情報記憶部1103に記憶されたクラ
イアント102等のアドレス情報からクライアントに通知する鍵通知メッセージに指定更新
時刻を含めるか否か判断し、アドレス情報(物理的な場所等)から鍵更新処理がサーバ及
びネットワークに対して影響を及ぼす場合(S1304/No)は指定更新時刻を含めた鍵通知メッ
セージを通知する(S1308)。一方、アドレス情報から鍵更新処理がサーバ及びネットワー
クに対して影響を及ぼさない場合(S1304/Yes)には、指定更新時刻を含めないで鍵通知メ
ッセージを通知する(S1307)。そのときクライアントに通知すべき鍵情報が鍵情報記憶部1
105中に存在しない場合は、サーバ101が鍵管理部1105により新しい鍵を生成し、所定の方
法で有効期限や鍵識別子を決定してクライアントに通知する。新しく生成した鍵やその関
連情報(鍵情報)は鍵情報記憶部1105に記憶される。
【0044】
クライアント102等から受信したメッセージが認証開始メッセージでもなく(S1301/Noの場合)、鍵要求メッセージでもない場合(S1305/Noの場合)や、クライアントが認証
成功状態でない場合(S1306/Noの場合)は、クライアントからのメッセージを待機する
状態になる。
【0045】
クライアントのアドレス情報は事前にクライアント情報記憶部1103に記憶されていてもよいし、クライアントから送信された認証開始メッセージなどのアドレス情報からクライ
アント情報記憶部1103に記憶してもよい。
【0046】
サーバ101の鍵管理部1104は認証成功状態の有効期限と鍵の有効期限から、クライアントに通知する鍵の指定更新時刻を決定する。鍵管理部1104は認証成功状態の有効期限をク
ライアント情報記憶部1103に記憶されたクライアント情報を基に認証処理部1102から取得
し、鍵の有効期限は鍵情報記憶部1105から取得する。認証成功状態の有効期限が鍵の有効
期限と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は認証成功状態の有効
期限と同じかそれよりも早い時刻とする。鍵の有効期限が認証成功状態の有効期限と同じ
かそれよりも早く期限を迎える場合、鍵の指定更新時刻は鍵の有効期限と同じかそれより
も早い時刻とする。
【0047】
鍵要求メッセージを送信したクライアントに対し、決定された鍵の指定更新時刻を鍵通知メッセージに含むか否かをクライアントのアドレス情報に応じて判断することにより、
更にサーバに対する負荷を軽減または平滑化することができる。
【0048】
(実施形態3)以下、実施形態3について説明する。
【0049】
クライアントが電池駆動の機器であり、間欠的に動作する場合は、サーバ101はクライアントの間欠動作等の動作タイミングを考慮して指定更新時刻を決定し、鍵情報としてク
ライアントに通知してもよい。
【0050】
サーバ101の鍵管理部704(1104)は認証成功状態の有効期限と鍵の有効期限、及び動作タイミングとからクライアントに通知する鍵の指定更新時刻を決定する。鍵管理部1104は認
証成功状態の有効期限をクライアント情報記憶部703(1103)に記憶されたクライアント情
報を基に認証処理部702(1102)から取得し、鍵の有効期限は鍵情報記憶部705(1105)から取
得する。クライアントの動作タイミングは事前にクライアント情報記憶部703(1103)に記
憶されたタイミング情報を取得してもよく、クライアントから送信された認証開始メッセ
ージなどからタイミングを取得してもよい。動作タイミングが認証成功状態の有効期限及
び鍵の有効期限と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は動作タイ
ミングの時刻とする。認証成功状態の有効期限または鍵の有効期限が動作タイミングと同
じかそれよりも早く期限を迎える場合であり、認証成功状態の有効期限が鍵の有効期限と
同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は認証成功状態の有効期限と
同じかそれよりも早い時刻とする。認証成功状態の有効期限または鍵の有効期限が動作タ
イミングと同じかそれよりも早く期限を迎える場合であり、鍵の有効期限が認証成功状態
の有効期限と同じかそれよりも早く期限を迎える場合、鍵の指定更新時刻は鍵の有効期限
と同じかそれよりも早い時刻とする。
【0051】
このようにクライアントの動作のタイミングを考慮して指定更新時刻を決定することにより、更にクライアントを省電力にすることが可能となる。
【0052】
これまで、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0053】
101・・・サーバ102・・・クライアント
106・・・ネットワーク
701・・・メッセージ通信部
702・・・認証処理部
703・・・クライアント情報記憶部
704・・・鍵管理部
705・・・鍵情報記憶部