CN104969509B - 通信装置、通信系统及通信方法 - Google Patents
通信装置、通信系统及通信方法 Download PDFInfo
- Publication number
- CN104969509B CN104969509B CN201480007487.4A CN201480007487A CN104969509B CN 104969509 B CN104969509 B CN 104969509B CN 201480007487 A CN201480007487 A CN 201480007487A CN 104969509 B CN104969509 B CN 104969509B
- Authority
- CN
- China
- Prior art keywords
- mentioned
- data frame
- memory
- communication device
- counter value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/36—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with means for detecting characters not meant for transmission
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0623—Securing storage systems in relation to content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0653—Monitoring storage devices or systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Communication Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
有关本发明的通信装置的目的是,在发送侧的通信装置重新启动等情况下,也不用再次进行通信装置之间的密钥共享而在短时间内重新开始通信装置之间的数据收发。有关本发明的通信装置具备:易失性存储器,存储计数器值;制作部,制作保存有计数器值的数据;通信部,将数据向其他通信装置发送;存储指示部,每当通信部发送数据,则将计数器值向易失性存储器更新存储;以及非易失性存储器;每当通信部发送数据则计数器值增加,存储指示部每隔规定间隔使计数器值存储到非易失性存储器,制作部在通信装置重新启动的情况下,将对非易失性存储器中存储的计数器值加上规定值后的值保存到数据。
Description
技术领域
本发明涉及在通信装置之间的数据通信中防止通信数据的泄漏或篡改、伪造的通信装置、通信系统及通信方法。
背景技术
以往,研究了在通信装置之间进行通信而收发数据的系统。在这样的系统中,在通信装置之间执行数据通信的情况下,安全确保是重要的问题。尤其在利用能够从外部访问的公开通信路径进行通信等情况下,受到数据泄漏或篡改、伪造的攻击等的可能性变高。
对于这样的问题,为了防止通过将捕获到的加密数据原样再使用而伪造成发送者的重放攻击,在收发的各个通信装置中使用计数器值、通过将自己的计数器值与接收的计数器值比较来进行通信装置的同步确认的系统已为人所知(例如专利文献1)。
现有技术文献
专利文献
专利文献1:特开2007-13366号公报
发明内容
发明要解决的问题
但是,在专利文献1的系统中,在发送侧的实体重新启动等情况下,由于发送侧的实体存储在存储部中的计数器值被初始化,所以接收侧的实体中无法进行认证。此外,为了进行再次的认证,需要收发的各个实体的初始化处理,花费时间。
本发明是鉴于上述课题而做出的,目的是提供一种在发送侧的通信装置重新启动等情况下也不用再次进行通信装置之间的密钥共享、能够在短时间内重新开始通信装置之间的数据收发的通信装置、通信系统及通信方法。
解决问题的手段
为了解决上述以往的问题,有关本发明的一技术方案的通信装置,是向其他通信装置发送数据帧的通信装置,具备:作为易失性存储器的第1存储器,存储计数器值,该计数器值用于上述其他通信装置判定由上述其他通信装置接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;帧制作部,读出上述第1存储器中存储的上述计数器值,制作保存有该读出的上述计数器值的数据帧;通信部,将上述数据帧发送给上述其他通信装置;存储指示部,每当上述通信部发送上述数据帧,则使该数据帧中保存的上述计数器值向上述第1存储器更新存储;以及作为非易失性存储器的第2存储器;每当上述通信部发送上述数据帧,则上述计数器值增加;上述存储指示部每隔规定的间隔使上述数据帧中保存的上述计数器值存储到上述第2存储器;在上述通信装置重新启动的情况下,上述帧制作部读出上述第2存储器中存储的上述计数器值,将对该读出的上述计数器值加上规定值而得到的值保存到上述数据帧。
另外,这些整体性或包含性的技术方案也可以由系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质实现,也可以由系统、方法、集成电路、计算机程序及记录介质的任意的组合实现。
发明效果
根据本技术方案,即使在发送侧的通信装置重新启动等情况下,也不用再次进行通信装置之间的密钥共享而能够在短时间内重新开始通信装置之间的数据收发。此外,能够使向非易失存储器的写入频度减少。结果,能够抑制通信装置的非易失存储器的劣化,降低发送侧的通信装置故障的可能性。
附图说明
图1是有关实施方式1的通信装置的功能框图的例子。
图2是表示在有关实施方式1的通信装置之间收发的数据帧的结构例的图。
图3是表示有关实施方式1的通信装置之间的密钥共享的动作的流程图。
图4是有关实施方式1的通信装置之间的通信时序的例子。
图5是表示有关实施方式1的通信装置(发送侧)的动作的流程图。
图6是表示有关实施方式1的通信装置(发送侧)重新启动后的数据帧发送处理的流程图。
图7是表示有关实施方式1的通信装置(接收侧)的动作的流程图。
图8是有关实施方式2的通信装置的功能框图的例子。
图9是有关实施方式2的通信装置之间的通信时序的例子。
具体实施方式
(1)有关本发明的一技术方案的通信装置,向其他通信装置发送数据帧,具备:作为易失性存储器的第1存储器,存储计数器值,该计数器值用于上述其他通信装置判定由上述其他通信装置接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;帧制作部,读出上述第1存储器中存储的上述计数器值,制作保存有该读出的上述计数器值的数据帧;通信部,将上述数据帧发送给上述其他通信装置;存储指示部,每当上述通信部发送上述数据帧,则使该数据帧中保存的上述计数器值向上述第1存储器更新存储;以及作为非易失性存储器的第2存储器;每当上述通信部发送上述数据帧,则上述计数器值增加;上述存储指示部每隔规定的间隔使上述数据帧中保存的上述计数器值存储到上述第2存储器;在上述通信装置重新启动的情况下,上述帧制作部读出上述第2存储器中存储的上述计数器值,将对该读出的上述计数器值加上规定值而得到的值保存到上述数据帧。
(2)在(1)中,例如也可以是,上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔为上述通信部发送的上述数据帧中保存的上述计数器值每增加规定值。
由此,能够减小向通信装置的非易失存储器的写入频度。结果,能够抑制非易失存储器的劣化,降低发送侧的通信装置故障的可能性。
(3)在(1)中,例如也可以是,上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔为上述通信部将上述数据帧每发送规定的次数。
由此,能够减小向通信装置的非易失存储器的写入频度。
由此,能够抑制非易失存储器的劣化,降低发送侧的通信装置故障的可能性。
(4)在(1)中,例如也可以是,上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔为规定的时间。
由此,即使在发送侧的通信装置重新启动等情况下,也不用再次进行通信装置之间的密钥共享而能够在短时间内重新开始通信装置之间的数据收发。
(5)在(1)~(4)的任一项中,例如也可以是,作为在上述通信装置重新启动的情况下上述帧制作部保存到上述数据帧的值而对从上述第2存储器读出的上述计数器值加上的规定值为:在上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔中增加的上述计数器值的增加量。
由此,即使在发送侧的通信装置重新启动等情况下,也能够在短时间内重新开始通信装置之间的数据收发。
(6)在(1)~(4)的任一项中,例如也可以是,作为在上述通信装置重新启动的情况下上述帧制作部保存到上述数据帧的值而对从上述第2存储器读出的上述计数器值加上的规定值根据上述通信部发送上述数据帧的发送频度和上述规定的间隔来计算。
(7)在(6)中,例如也可以是,上述规定值为将上述通信部发送上述数据帧的发送频度与上述规定的间隔相乘而得到的值。
由此,能够防止将向易失性存储器存储的计数器值多余地增加。进而,能够在短时间内重新开始通信装置之间的数据收发。
(8)在(1)~(4)的任一项中,例如也可以是,作为在上述通信装置重新启动的情况下上述帧制作部保存到上述数据帧的值而对从上述第2存储器读出的上述计数器值加上的规定值为:比在上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔中增加的上述计数器值的增加量小的数。
由此,能够防止将向易失性存储器存储的计数器值多余地增加。进而,能够在短时间内重新开始通信装置之间的数据收发。
(9)在(8)中,例如也可以是,在上述通信部发送的上述数据帧没有被上述其他通信装置认证的情况下,对从上述第2存储器读出的上述计数器值加上大于上述规定值的值。
由此,能够防止将向易失性存储器存储的计数器值多余地增加。进而,能够在短时间内重新开始通信装置之间的数据收发。
(10)在(1)~(9)的任一项中,例如也可以是,在(1)~(4)的任一项中,例如也可以是,具备存储间隔接收部,该存储间隔接收部接受使上述计数器值存储到上述第2存储器的规定的间隔的指示。
由此,即使在各发送侧的通信装置的数据帧发送时间不同的情况下,各发送侧的通信装置也能够以适合的定时发送数据帧。
(11)有关本发明的一技术方案的通信方法,由向其他通信装置发送数据帧的通信装置执行,将计数器值存储在作为易失性存储器的第1存储器,该计数器值用于上述其他通信装置判定由上述其他通信装置接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;读出上述第1存储器中存储的上述计数器值,制作保存有该读出的上述计数器值的数据帧;将上述数据帧发送给上述其他通信装置;每当发送上述数据帧,则使该数据帧中保存的上述计数器值向上述第1存储器更新存储;每当发送上述数据帧,则将上述计数器值增加;每隔规定的间隔,使上述数据帧中保存的上述计数器值存储到上述第2存储器;在上述通信装置重新启动的情况下,读出上述第2存储器中存储的上述计数器值,将对该读出的上述计数器值加上规定值而得到的值保存到上述数据帧。
(12)有关本发明的一技术方案的通信系统,从通信装置向其他通信装置发送数据帧,具备通信装置和其他通信装置;上述通信装置具备:作为易失性存储器的第1存储器,存储计数器值,该计数器值用于上述其他通信装置判定由上述其他通信装置接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;帧制作部,读出上述第1存储器中存储的上述计数器值,制作保存有该读出的上述计数器值的数据帧;通信部,将上述数据帧发送给上述其他通信装置;存储指示部,每当上述通信部发送上述数据帧,则使该数据帧中保存的上述计数器值向上述第1存储器更新存储;以及作为非易失性存储器的第2存储器;在上述通信装置重新启动的情况下,上述帧制作部读出上述第2存储器中存储的上述计数器值,将对该读出的上述计数器值加上规定值而得到的值保存到上述数据帧;上述其他通信装置接收从上述通信装置发送的上述数据帧,认证接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致。
以下,使用附图对本发明的实施方式进行说明。
另外,以下说明的实施方式都表示包含性或具体的例子。
在以下的实施方式中表示的数值、形状、构成要素、构成要素的配置位置及连接形态、处理的步骤、步骤的顺序等是一例。因而,并不是通过这些各形态限定本发明。此外,关于以下的实施方式的构成要素中的在表示本发明的最上位概念的独立权利要求中没有记载的构成要素,设为任意的构成要素而进行说明。
<实施方式1>
有关实施方式1的通信装置是与易失性存储器分开地具备非易失性存储器、以规定的间隔使计数器值存储到非易失性存储器的通信装置。并且,有关实施方式1的通信装置在重新启动时能够将存储在该非易失性存储器中的计数器值读出,并将加上规定值后的值保存到数据帧,向其他通信装置发送。
图1表示有关实施方式1的通信装置1及通信装置2的功能框图的例子。
作为发送侧的通信装置的通信装置1包括计数器计算部101、帧制作部102、通信部103、存储指示部104、第1存储器105和第2存储器106。
计数器计算部101计算向数据帧的头201内保存的帧计数器值。具体而言,将存储在第1存储器105或第2存储器106中的帧计数器值读出,对该帧计数器值加1而计算向数据帧的头201内保存的帧计数器值。
帧制作部102使用计数器计算部101计算的帧计数器值等生成头201。此外,帧制作部102基于头201的一部分和加密前的通信数据生成用于防止篡改的篡改检测码。进而,帧制作部102将通信数据及篡改检测码加密而生成加密有效载荷202、加密篡改检测码203,制作数据帧。另外,帧制作部102也可以起到计数器计算部101的功能。关于该数据帧的内容使用图2进行说明。
通信部103将帧制作部102制作的数据帧发送给通信装置2。
存储指示部104,每当通信部103将数据帧发送给通信装置2,则使保存在发送的数据帧中的帧计数器值存储到第1存储器105。此外,通信部103所发送的上述数据帧中保存的上述计数器值每增加规定值,则存储指示部104使保存在发送的数据帧中的帧计数器值存储到第2存储器106。存储指示部104使帧计数器值存储到第2存储器106的间隔也可以是按照通信部103将数据帧发送给通信装置2的一定的次数或不定次数。此外,也可以是按照一定的时间或不定时间,并不限于这些例子。
第1存储器105是易失性存储器,在通信装置1的电源被切断的情况下或在通信装置1重新启动等情况下,该存储内容丢失。
第2存储器106是非易失性存储器,即使在通信装置1的电源被切断的情况下或在通信装置1重新启动等情况下,该存储内容也被保持。
作为接收侧的通信装置的通信装置2包括通信部111、第3存储器112和计数器判定部113。
通信部111包括计数器判定部113。通信部111接收从通信装置1发送的数据帧。此外,通信部111在认证为新接收到的数据帧是从正确的通信装置1发送的数据帧的情况下,向通信装置1发送ACK。
第3存储器112存储有过去从相同的通信装置1接收到的数据帧中保存的帧计数器值。
计数器判定部113取得在通信部111新接收到的数据帧的头201中保存的帧计数器值、和第3存储器112存储的帧计数器值。并且,计数器判定部113进行在新接收到的数据帧中保存的帧计数器值与所存储的过去的帧计数器值的比较。此时,在新接收到的数据帧中保存的帧计数器值是所存储的过去的帧计数器值以下的情况下,通信部111将新接收到的数据帧丢弃。在新接收到的数据帧中保存的帧计数器值比所存储的过去的帧计数器值大的情况下,通信部111将加密有效载荷202和加密篡改检测码203解码。如果基于包含帧计数器值的头的一部分和解码后的有效载荷计算出的值与解码后的篡改检测码一致,则通信部111认证为新接收到的数据帧是从正确的通信装置1发送的数据帧。
由此,能够防止通信数据的泄漏或篡改、伪造,而进行通信装置之间的安全的数据通信。
另外,通信装置1也可以构成为具备通信装置2的结构,在此情况下,可以在相同结构的通信装置1之间进行数据通信。
图2是表示在本发明的有关实施方式1的通信装置之间收发的数据帧的结构例的图。在图2中,数据帧包括头201、加密有效载荷202和加密篡改检测码203。
头201包括帧计数器值和通信装置1的地址信息。
加密有效载荷202是使用根据帧计数器值及通信装置1的地址信息等生成的随机数(nonce)、通过AES-Counter with CBC-MAC(AES―CCM)等公共密钥加密方式将通信数据加密而得到的。
加密篡改检测码203是将基于加密前的通信数据和包括帧计数器值的头201的一部分计算出的篡改检测码,与通信数据同样地加密而得到的,用来保证数据的完全性。
以下,使用图3~图7对有关实施方式1的通信装置1的数据通信中的动作进行说明。
图3表示表示有关实施方式1的通信装置之间的密钥共享的动作的流程图。
首先,在通信装置1与通信装置2之间进行密钥共享的协议(S301),将所利用的加密方式用的密钥共享(S302)。
然后,将保存在数据帧中的帧计数器值复位(S303),收发数据帧(S304)。
在通信装置2中判断为帧计数器值有可能溢出的情况下(S305中是),可以向S301返回,再次进行密钥共享的协议,将公共密钥更新,将帧计数器值复位。公共密钥的更新的触发并不限于该例,也可以从通信装置1再次进行密钥共享的协议。
图4表示有关实施方式1的通信装置之间的通信时序的例子。
这里,假设计数器计算部101对帧计数器值加上的值为1。
此外,这里假设存储指示部104使帧计数器值存储到第2存储器106的间隔为帧计数器值每增加一定值α,但并不限于该例。即,存储指示部104使帧计数器值存储到第2存储器106的间隔也可以是通信部103将数据帧每发送规定的次数,也可以是每规定的时间(例如1分钟、1小时等)。
此外,这里假设在通信装置1的重新启动时计数器计算部101对存储在第2存储器106中的帧计数器值加上的值(β)为α以上的一定值,但并不限于该例。β的其他模式后述。
首先,通信部103将保存有帧计数器值N-1的数据帧向通信装置2发送(S401)。此时,存储指示部104使保存在发送的数据帧中的帧计数器值N-1向第1存储器105存储(S402)。
接着,通信部103将保存有帧计数器值N的数据帧向通信装置2发送(S403)。此时,假设存储在第2存储器106中的帧计数器值是N-α,与通信部103向通信装置2发送的数据帧中保存的帧计数器值N的差是α。此时,存储指示部104使保存在发送的数据帧中的帧计数器值N向第1存储器105及第2存储器106存储(S404)。
然后,与S401同样,通信部103将保存有帧计数器值N+1的数据帧向通信装置2发送(S405)。此时,存储指示部104与S402同样,使保存在发送的数据帧中的帧计数器值N+1向第1存储器105存储(S406)。
这里,在通信装置1重新启动的情况下(S407),计数器计算部101读出第2存储器106中存储的帧计数器值N。计数器计算部101对读出的帧计数器值N加上β,计算向数据帧的头201内保存的帧计数器值N+β(S408)。
然后,与S403同样,通信部103将保存有帧计数器值N+β的数据帧向通信装置2发送(S409)。此时,存储指示部104与S404同样,使保存在发送的数据帧中的帧计数器值N+β向第1存储器105及第2存储器106存储(S410)。
图5表示表示有关实施方式1的通信装置1(发送侧)的动作的流程图。
首先,通信装置1判定是否被重新启动(S501)。
在通信装置1没有重新启动的情况下(S501中否),如果通信装置1从应用等上级层接受数据的发送请求,则计数器计算部101从第1存储器105读出帧计数器值。并且,计数器计算部101计算将所读出的帧计数器值增加后的值,作为新的帧计数器值(502)。
另外,关于通信装置1重新启动了的情况下(S501中是)的重新启动时数据帧收发处理(S508),使用图6进行说明。此外,在图5中,在数据帧发送处理的最初判定通信装置1是否被重新启动,但并不限于该例。即,在S502以后通信装置1被重新启动了的情况下,也可以将此前的处理初始化而进行S508的处理。
帧制作部102进行包括在S502中计算出的帧计数器值等的头201、将通信数据加密后的加密有效载荷202及加密篡改检测码203的制作,制作要发送的数据帧(S503)。
通信部103将在S503中制作出的数据帧向通信装置2发送(S504)。
存储指示部104使保存在发送的数据帧中的帧计数器值向第1存储器105存储(S505)。
然后,存储指示部104判定保存在发送的数据帧中的帧计数器值是否从存储在第2存储器106中的值增加了α以上(S506)。
在保存在发送的数据帧中的帧计数器值从保存在第2存储器106中的值增加了α的情况下(S506中是),存储指示部104使保存在发送的数据帧中的帧计数器值存储到第2存储器106(S507)。
接着,使用图6说明通信装置1(发送侧)重新启动后的数据帧发送处理。
另外,关于与通信装置1没有重新启动的情况(S501中是)相同的处理赋予相同的标号而省略其说明。
如果通信装置1从应用等上级层接受到数据的发送请求,则计数器计算部101从第2存储器106读出帧计数器值。并且,计数器计算部101计算对所读出的帧计数器值加上β后的值,作为新的帧计数器值(S601)。接着,通信装置1进行S503及S504的处理。
然后,通信装置1在数据帧的发送成功的情况下,根据从通信装置2送来的ACK,判定数据帧的发送是否成功(S605)。在发送不成功的情况下(S605中否),向S601返回,再次计算帧计数器值。另一方面,在发送成功的情况下(S605中是),进行S505的处理。
图7表示表示有关实施方式1的通信装置2(接收侧)的动作的流程图。
首先,通信部111接收从通信装置1发送的数据帧。并且,计数器判定部113取得在通信部111新接收到的数据帧的头201中保存的帧计数器值和通信装置1的地址信息(S701)。
接着,计数器判定部113从第3存储器112读出过去从相同的通信装置1接收到的数据帧中保存的帧计数器值(S702)。
计数器判定部113进行保存在新接收到的数据帧中的帧计数器值与存储的过去的帧计数器值的比较(S703)。
在保存在新接收到的数据帧中的帧计数器值比所存储的过去的帧计数器值大的情况下(S703中是),通信部111在将加密有效载荷202解码后,如果基于包括帧计数器值的头的一部分和解码后的有效载荷计算出的值与接收到的加密篡改检测码203一致,则认证为新接收到的数据帧是从正确的通信装置1发送的数据帧。并且,通信部111向通信装置1发送ACK(S704)。
然后,通信部111使保存在新接收到的数据帧中的帧计数器值向第3存储器112存储(S705)。
另一方面,在保存在新接收到的数据帧中的帧计数器值是所存储的过去的帧计数器值以下的情况下(S703中否),通信部111将新接收到的数据帧丢弃(S706)。
根据有关实施方式1的通信装置1,将向第2存储器106的帧计数器值的存储不是每当发送数据帧时进行,而是帧计数器值计数每增加一定值α时进行。由此,能够抑制向第2存储器106的访问次数。结果,不缩短非易失存储器的寿命而能够防止通过伪造的重放攻击。此外,由于不需要在重新启动后再次进行与对方通信装置之间的密钥共享的协议,所以即使重新启动也能够立即重新开始通信。
此外,在通信装置1的重新启动时,计数器计算部101对第2存储器106所存储的帧计数器值加上的值(β)也可以是在规定的时间中通信装置1发送的最大数据帧数的推测值。即,也可以是将通信部103发送数据帧的发送频度与存储指示部104使帧计数器值存储到第2存储器106的规定的间隔相乘而得到的值。
另外,该推测值既可以在系统设计的时间点设定为固定值,也可以根据通信装置1实际通信的统计信息而适应性地设定。
此外,在通信装置1的重新启动时,计数器计算部101对第2存储器106所存储的帧计数器值加上的值(β)也可以为比α小的数。在此情况下,计数器计算部101从第2存储器106读出帧计数器值。并且,计数器计算部101计算对所读出的帧计数器值加上比α小的值(例如α/8)后的值作为新的帧计数器值。这里,在发送不成功的情况下,再次计算帧计数器值。此时,计数器计算部101对所读出的帧计数器值加上α以下且比前次加上的值大的值(例如α/4)等,作为新的帧计数器值来计算。通信装置1重复以上的处理直到数据帧的发送成功。
由此,在帧计数器值的值域有限的情况下,即使在通信装置1被多次重新启动而每次帧计数器值增加的情况下,也能够降低帧计数器值溢出的可能性。
此外,在通信装置2中,计数器判定部113在进行第3存储器112所存储的过去从相同的通信装置1接收到的数据帧的帧计数器值、与在通信部111新接收到的数据帧的头201中保存的帧计数器值的比较时,在判定为新接收到的帧计数器值比第3存储器112所存储的帧计数器值大β+1以上的情况下,通信部111也可以将新接收到的数据帧丢弃。
由此,能够限制接收的数据帧的帧计数器值的范围。结果,能够提高对于通过伪造的重放攻击的安全性。
此外,在数据帧的发送失败的情况下(不能取得通信装置2的生存确认的情况下),也可以等待数据帧的发送直到取得通信装置2的生存确认。这里,在通信装置2的生存确认中,也可以利用通信装置2定期地向通信装置1发送的控制帧等。控制帧例如是信标帧或Link Status帧,并不限于这些例子。
此外,存储指示部104也可以使最近正常发送的数据帧的帧计数器值和时间戳一起存储到第2存储器106。此时,在重新启动时,计数器计算部101可以考虑每单位时间的设想帧计数器值更新数来推测。
以上,使用图1~图7对实施方式1的通信装置进行了说明。
由此,即使在发送侧的通信装置被重新启动等情况下,也不用再次进行通信装置之间的密钥共享而能够在短时间内重新开始通信装置之间的数据收发。此外,能够使向非易失存储器的写入频度减少。结果,能够抑制通信装置的非易失存储器的劣化,降低发送侧的通信装置故障的可能性。
<实施方式2>
有关实施方式1的通信装置1是存储指示部104判定规定的间隔、使帧计数器值存储到第2存储器106的结构。另一方面,有关实施方式2的通信装置1从接收侧的通信装置12接受使帧计数器值存储到第2存储器106的定时的指示。并且,有关实施方式2的通信装置1基于该定时,使帧计数器值存储到第2存储器106。这一点与有关实施方式1的通信装置1不同。
以下,使用图8及图9对实施方式2的通信装置进行说明。
另外,在以下的实施方式2的通信装置1及通信装置12中,对于与实施方式1的通信装置1及通信装置2相同的构成要素赋予相同的标号而省略其说明。
图8表示有关实施方式2的通信装置1及通信装置12的功能框图的例子。
通信装置12包括通信部111、第3存储器112、计数器判定部113和存储定时指示部114。
存储定时指示部114将通信装置1的存储指示部104使帧计数器值存储到第2存储器106的存储定时指示向通信部111发送。通信部111将该存储定时指示向通信装置1的通信部103发送。
通信装置1的通信部103从通信装置12的通信部111接收存储定时指示。
并且,存储指示部104接受通信部103接收到的存储定时指示,使帧计数器值存储到第2存储器106。
图9表示有关实施方式2的通信装置之间的通信时序的例子。
通信装置12取得保存在接收到的数据帧中的帧计数器值(S403)。并且,存储定时指示部114在判定为是存储指示部104使帧计数器值存储到第2存储器106的规定的定时的情况下,对通信装置1进行存储定时指示(S411)。
存储指示部104接受来自存储定时指示部114的存储定时指示,使帧计数器值存储到第2存储器106(S404)。
在通信装置1重新启动后,通信装置12接收到数据帧的情况下,也进行相同的处理。
以上,使用图8及图9对实施方式2的通信装置1及通信装置12进行了说明。
以上的说明在所有方面都不过是本发明的例示,并不是要限定其范围。此外,在不脱离本发明的范围的范围内当然能够对实施方式1或实施方式2进行各种改良或变形。
工业实用性
有关本发明的通信装置、通信系统及通信方法能够应用到要求安全性的网络、系统等中。
标号说明
1、2、12 通信装置
101 计数器计算部
102 帧制作部
103、111 通信部
104 存储指示部
105 第1存储器
106 第2存储器
112 第3存储器
113 计数器判定部
114 存储定时指示部
201 头
202 加密有效载荷
203 加密篡改检测码
Claims (11)
1.一种通信装置,向其他通信装置发送数据帧,具备:
作为易失性存储器的第1存储器,存储计数器值,该计数器值用于上述其他通信装置判定由上述其他通信装置接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;
帧制作部,读出上述第1存储器中存储的上述计数器值,制作保存有该读出的上述计数器值的数据帧;
通信部,将上述数据帧发送给上述其他通信装置;
存储指示部,每当上述通信部发送上述数据帧,则使该数据帧中保存的上述计数器值向上述第1存储器存储而更新上述第1存储器中存储的计数器值;以及
作为非易失性存储器的第2存储器;
每当上述通信部发送上述数据帧,则上述计数器值增加;
上述存储指示部每隔规定的间隔使上述数据帧中保存的上述计数器值存储到上述第2存储器;
在上述通信装置重新启动的情况下,上述帧制作部读出上述第2存储器中存储的上述计数器值,将对该读出的上述计数器值加上规定值而得到的值保存到上述数据帧;
上述规定值根据上述通信部发送上述数据帧的发送频度和上述规定的间隔来计算。
2.如权利要求1所述的通信装置,
上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔为上述通信部发送的上述数据帧中保存的上述计数器值每增加规定值。
3.如权利要求1所述的通信装置,
上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔为上述通信部将上述数据帧每发送规定的次数。
4.如权利要求1所述的通信装置,
上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔为规定的时间。
5.如权利要求1~4中任一项所述的通信装置,
上述规定值为在上述存储指示部使上述计数器值存储到上述第2存储器的规定的间隔中增加的上述计数器值的增加量,以代替根据上述通信部发送上述数据帧的发送频度和上述规定的间隔来计算上述规定值。
6.如权利要求1~4中任一项所述的通信装置,
上述规定值为将上述通信部发送上述数据帧的发送频度与上述规定的间隔相乘而得到的值。
7.如权利要求1~4中任一项所述的通信装置,
上述规定值为比在上述规定的间隔中增加的上述计数器值的增加量小的数,以代替根据上述通信部发送上述数据帧的发送频度和上述规定的间隔来计算上述规定值。
8.如权利要求7所述的通信装置,
在上述通信部发送的上述数据帧没有被上述其他通信装置认证的情况下,对从上述第2存储器读出的上述计数器值加上大于上述规定值的值。
9.如权利要求1~4中任一项所述的通信装置,
具备存储间隔接收部,该存储间隔接收部接受使上述计数器值存储到上述第2存储器的规定的间隔的指示。
10.一种数据帧的通信方法,由向其他通信装置发送数据帧的通信装置执行,
将计数器值存储在作为易失性存储器的第1存储器,该计数器值用于上述其他通信装置判定由上述其他通信装置接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;
读出上述第1存储器中存储的上述计数器值,制作保存有该读出的上述计数器值的数据帧;
将上述数据帧发送给上述其他通信装置;
每当发送上述数据帧,则使该数据帧中保存的上述计数器值向上述第1存储器存储而更新上述第1存储器中存储的计数器值;
每当发送上述数据帧,则将上述计数器值增加;
每隔规定的间隔,使上述数据帧中保存的上述计数器值存储到作为非易失性存储器的第2存储器;
在上述通信装置重新启动的情况下,读出上述第2存储器中存储的上述计数器值,将对该读出的上述计数器值加上规定值而得到的值保存到上述数据帧;
上述规定值根据发送上述数据帧的发送频度和上述规定的间隔来计算。
11.一种通信系统,从通信装置向其他通信装置发送数据帧,
具备通信装置和其他通信装置;
上述通信装置具备:
作为易失性存储器的第1存储器,存储计数器值,该计数器值用于上述其他通信装置判定由上述其他通信装置接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;
帧制作部,读出上述第1存储器中存储的上述计数器值,制作保存有该读出的上述计数器值的数据帧;
通信部,将上述数据帧发送给上述其他通信装置;
存储指示部,每当上述通信部发送上述数据帧,则使该数据帧中保存的上述计数器值向上述第1存储器存储而更新上述第1存储器中存储的计数器值;以及
作为非易失性存储器的第2存储器;
在上述通信装置重新启动的情况下,上述帧制作部读出上述第2存储器中存储的上述计数器值,将对该读出的上述计数器值加上规定值而得到的值保存到上述数据帧;
上述其他通信装置接收从上述通信装置发送的上述数据帧,认证接收到的上述数据帧与从上述通信装置发送的上述数据帧是否一致;
上述规定值根据上述通信部发送上述数据帧的发送频度和上述规定的间隔来计算。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013-058210 | 2013-03-21 | ||
| JP2013058210 | 2013-03-21 | ||
| PCT/JP2014/000462 WO2014147934A1 (ja) | 2013-03-21 | 2014-01-29 | 通信装置、通信システム及び通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104969509A CN104969509A (zh) | 2015-10-07 |
| CN104969509B true CN104969509B (zh) | 2018-11-30 |
Family
ID=51579641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480007487.4A Active CN104969509B (zh) | 2013-03-21 | 2014-01-29 | 通信装置、通信系统及通信方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9800660B2 (zh) |
| JP (1) | JPWO2014147934A1 (zh) |
| CN (1) | CN104969509B (zh) |
| WO (1) | WO2014147934A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9769695B2 (en) * | 2014-11-04 | 2017-09-19 | Cisco Technology, Inc. | Adaptive quality of service for wide area network transport |
| JP7105894B2 (ja) * | 2018-08-28 | 2022-07-25 | アルプスアルパイン株式会社 | 相互認証方法及び通信システム |
| JP7252829B2 (ja) * | 2019-05-27 | 2023-04-05 | ローム株式会社 | 無線通信システム |
| CN111404877A (zh) * | 2020-02-24 | 2020-07-10 | 联合汽车电子有限公司 | 消息传输方法及系统 |
| CN114764607A (zh) * | 2021-01-11 | 2022-07-19 | 青岛海信宽带多媒体技术有限公司 | 一种计数方法、计数装置及光模块 |
| CN114553431A (zh) * | 2022-01-27 | 2022-05-27 | 北京信息科技大学 | 一种具有记忆功能的通信方法及装置 |
| WO2024019655A1 (en) * | 2022-07-22 | 2024-01-25 | Schneider Electric Asia Pte Ltd | Frame counter recordal and an energy limited device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1883156A (zh) * | 2003-09-22 | 2006-12-20 | 因普希斯数字安全公司 | 数据通信安全设备和方法 |
| CN102143152A (zh) * | 2010-02-01 | 2011-08-03 | 冲电气工业株式会社 | 通信终端以及通信系统 |
| CN102428689A (zh) * | 2009-05-20 | 2012-04-25 | 无线电技术研究学院有限公司 | 数据流的对等传输系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3491994B2 (ja) | 1994-11-21 | 2004-02-03 | 富士通株式会社 | 通信制御装置及び方法 |
| US7668315B2 (en) * | 2001-01-05 | 2010-02-23 | Qualcomm Incorporated | Local authentication of mobile subscribers outside their home systems |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| JP2007013366A (ja) | 2005-06-29 | 2007-01-18 | Sony Corp | 通信処理装置、通信処理システム、および方法、並びにコンピュータ・プログラム |
| WO2010007798A1 (ja) | 2008-07-18 | 2010-01-21 | パナソニック株式会社 | 送受信装置 |
| KR101048510B1 (ko) * | 2009-05-06 | 2011-07-11 | 부산대학교 산학협력단 | 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치 |
| JP5316217B2 (ja) | 2009-05-19 | 2013-10-16 | ソニー株式会社 | データ送信方法および装置、データ通信方法および装置 |
| US20120284524A1 (en) * | 2011-05-03 | 2012-11-08 | Texas Instruments Incorporated | Low overhead nonce construction for message security |
| US20140133656A1 (en) * | 2012-02-22 | 2014-05-15 | Qualcomm Incorporated | Preserving Security by Synchronizing a Nonce or Counter Between Systems |
| US9544075B2 (en) * | 2012-02-22 | 2017-01-10 | Qualcomm Incorporated | Platform for wireless identity transmitter and system using short range wireless broadcast |
-
2014
- 2014-01-29 US US14/765,158 patent/US9800660B2/en active Active
- 2014-01-29 JP JP2015506570A patent/JPWO2014147934A1/ja active Pending
- 2014-01-29 CN CN201480007487.4A patent/CN104969509B/zh active Active
- 2014-01-29 WO PCT/JP2014/000462 patent/WO2014147934A1/ja active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1883156A (zh) * | 2003-09-22 | 2006-12-20 | 因普希斯数字安全公司 | 数据通信安全设备和方法 |
| CN102428689A (zh) * | 2009-05-20 | 2012-04-25 | 无线电技术研究学院有限公司 | 数据流的对等传输系统 |
| CN102143152A (zh) * | 2010-02-01 | 2011-08-03 | 冲电气工业株式会社 | 通信终端以及通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2014147934A1 (ja) | 2017-02-16 |
| CN104969509A (zh) | 2015-10-07 |
| US9800660B2 (en) | 2017-10-24 |
| WO2014147934A1 (ja) | 2014-09-25 |
| US20150381733A1 (en) | 2015-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104969509B (zh) | 通信装置、通信系统及通信方法 | |
| US11138546B2 (en) | Tracking objects using a trusted ledger | |
| RU2020120214A (ru) | Система и способ контроля цифровых активов | |
| US20210406250A1 (en) | Method and system for reducing the size of a blockchain | |
| JP2021512519A (ja) | ブロックチェーンベースのトランザクション処理方法および装置、ならびに電子デバイス | |
| KR20200069370A (ko) | 크로스 블록체인 상호작용 방법, 장치, 시스템, 및 전자 디바이스 | |
| CN104683329B (zh) | 一种移动设备客户端的数据缓存方法及系统 | |
| JP2013137661A5 (zh) | ||
| CN112347184A (zh) | 分叉处理方法以及区块链节点 | |
| CN105281904A (zh) | 报文数据的加密方法、系统、物联网服务器和物联网终端 | |
| US20230403254A1 (en) | Decentralized identifier determination by a registry operator or registrar | |
| CN105406989B (zh) | 处理报文的方法、网卡及系统、更新信息的方法及主机 | |
| EP2398190A1 (en) | Field communication system | |
| US11336333B2 (en) | NFC device, reader/writer device and methods for authorizing and performing an update | |
| CN108809668B (zh) | 一种认证方法、装置及接入设备 | |
| US11232651B2 (en) | Method for determining a period | |
| CN106789304B (zh) | 网络设备配置同步方法和装置 | |
| JP6814976B2 (ja) | 通信装置及び通信システム | |
| CN110597466B (zh) | 区块链节点的控制方法、装置、存储介质和计算机设备 | |
| US20200077297A1 (en) | Wireless communication device, wireless communication method and non-transitory computer readable medium | |
| CN101299856B (zh) | 一种防止针对sim卡破解攻击的方法及装置 | |
| US9537845B1 (en) | Determining authenticity based on indicators derived from information relating to historical events | |
| US7716512B1 (en) | Real time clock content validation | |
| ES2901422T3 (es) | Dispositivo para el registro de valores de consumo determinados por medio de al menos una unidad de registro de los valores de consumo | |
| JP2014203248A (ja) | Icカード、ステータスワード出力方法、及びステータスワード出力処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |