JP5904718B2 - COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM - Google Patents

COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM Download PDF

Info

Publication number
JP5904718B2
JP5904718B2 JP2011088602A JP2011088602A JP5904718B2 JP 5904718 B2 JP5904718 B2 JP 5904718B2 JP 2011088602 A JP2011088602 A JP 2011088602A JP 2011088602 A JP2011088602 A JP 2011088602A JP 5904718 B2 JP5904718 B2 JP 5904718B2
Authority
JP
Japan
Prior art keywords
key
communication
communication device
unit
unicast
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011088602A
Other languages
Japanese (ja)
Other versions
JP2012222705A (en
JP2012222705A5 (en
Inventor
匠 宮川
匠 宮川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2011088602A priority Critical patent/JP5904718B2/en
Publication of JP2012222705A publication Critical patent/JP2012222705A/en
Publication of JP2012222705A5 publication Critical patent/JP2012222705A5/ja
Application granted granted Critical
Publication of JP5904718B2 publication Critical patent/JP5904718B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信装置、通信装置の制御方法、およびプログラムに関し、特にアドホックネットワークにおいてWPAによって暗号通信を行う通信装置、通信装置の制御方法、およびプログラムに関する。   The present invention relates to a communication device, a communication device control method, and a program, and more particularly, to a communication device that performs cryptographic communication by WPA in an ad hoc network, a communication device control method, and a program.

盗聴や改竄の防止のために、通信データの暗号化が行われている。特に、無線通信は盗聴が容易なため、安全な通信路の確保が重要である。   Communication data is encrypted to prevent eavesdropping and tampering. In particular, since wireless communication is easy to wiretap, it is important to secure a safe communication path.

無線LANインフラストラクチャモードにおいて、通信装置(STA)およびアクセスポイント(AP)はwired equivalent privacy (WEP)もしくはWi-Fi protected access (WPA)等の標準規格を実装する。WEPは、STAおよびAPに対して事前に暗号鍵を設定し、その暗号鍵を通信に使用することにより安全性を保証する。しかし、この方式では、暗号鍵が常に固定であり、WEPが採用する暗号アルゴリズムの強度も高くないため、安全性が保証できない場面があることが指摘されている。そこで、WPAでは、暗号アルゴリズムの強度を向上させるとともに、STAおよびAPに対して事前に設定された情報からネットワークに参加する度に毎回暗号鍵を生成することによって安全性をより高めている。   In the wireless LAN infrastructure mode, the communication device (STA) and the access point (AP) implement standards such as wired equivalent privacy (WEP) or Wi-Fi protected access (WPA). WEP guarantees security by setting an encryption key in advance for STA and AP and using the encryption key for communication. However, it has been pointed out that in this method, the encryption key is always fixed, and the strength of the encryption algorithm adopted by WEP is not high, so there is a situation where safety cannot be guaranteed. Thus, in WPA, the strength of the encryption algorithm is improved, and the security is further improved by generating the encryption key every time the network joins the network from information set in advance for the STA and AP.

インフラストラクチャモードでは、STAは、APを介して、他のSTAにデータを送信する。言い替えれば、STAは、APとのみ直接に通信するため、APとの通信の安全性のみを保証すればよい。   In the infrastructure mode, the STA transmits data to other STAs via the AP. In other words, since the STA communicates directly only with the AP, it is only necessary to guarantee the safety of communication with the AP.

一方、アドホックモードでは、APが存在せず、STAは通信相手と直接通信する。従って、複数のSTAと通信する場合、それら複数のSTAとの通信の安全性を考慮する必要がある。ネットワーク構成は異なるもののインフラストラクチャモードと同様に安全性を確保するには、通信セッションごとに暗号鍵を変更することが望ましい。しかし、市販の無線LANデバイスを用いてアドホックモードで通信する場合、事前にネットワークに参加するすべてのSTAに同じ暗号鍵を設定し、その暗号鍵を利用する。そのためインフラストラクチャモードにおいて懸念されるセキュリティ上の問題は残ったままである。   On the other hand, in the ad hoc mode, there is no AP and the STA communicates directly with the communication partner. Therefore, when communicating with a plurality of STAs, it is necessary to consider the safety of communication with the plurality of STAs. Although the network configuration is different, it is desirable to change the encryption key for each communication session in order to ensure security as in the infrastructure mode. However, when communicating in an ad hoc mode using a commercially available wireless LAN device, the same encryption key is set in advance to all STAs participating in the network, and the encryption key is used. As a result, the security issues of concern in infrastructure mode remain.

これらの問題に対してWPAよりも後に標準化されたIEEE 802.11iは、アドホックモードにおいても、通信セッションごとに暗号鍵を動的に生成することを提案している。IEEE 802.11iでは、2つの通信STAは互いに4wayハンドシェイクと呼ばれるメッセージ交換を行い、ユニキャスト鍵PTK (pairwise transient key)とグループ鍵GTK (group temporal key)とを生成して共有する。   IEEE 802.11i, which has been standardized after WPA for these problems, proposes to dynamically generate an encryption key for each communication session even in the ad hoc mode. In IEEE 802.11i, the two communication STAs exchange messages each other called a 4-way handshake, and generate and share a unicast key PTK (pairwise transient key) and a group key GTK (group temporal key).

この方式の特徴は、通信相手ごとに暗号鍵を切り替えて通信すること、および、送信と受信とで別の鍵を設定することである。送信用のグループ鍵はネットワーク上の全STAが受信できるように一つ決定され、STAごとに受信用のグループ鍵が保持される。   The feature of this method is that communication is performed by switching the encryption key for each communication partner, and that different keys are set for transmission and reception. One group key for transmission is determined so that all STAs on the network can receive, and a group key for reception is held for each STA.

一方、無線LANデバイスではユニキャスト鍵およびグループ鍵を保持できる数に制限がある場合が多い。これは、高速なパケット処理が求められる無線LANデバイスでは無線LANチップ内でのパケットの符号化/複合化が行われることが多く、無線LANチップ内にユニキャスト鍵およびグループ鍵を保持する必要があるからである。   On the other hand, wireless LAN devices often have a limited number of unicast keys and group keys. This is because in wireless LAN devices that require high-speed packet processing, packets are often encoded / combined within the wireless LAN chip, and it is necessary to maintain a unicast key and group key in the wireless LAN chip. Because there is.

このとき、各無線LANデバイスのユニキャスト鍵およびグループ鍵を保持できる数の上限(鍵保持上限数)は装置によって異なる。   At this time, the upper limit of the number of unicast keys and group keys that can be held by each wireless LAN device (the upper limit number of key holdings) differs depending on the device.

鍵保持上限数が異なる装置同士がWPAを用いたアドホック通信を行う場合、鍵を保持できる上限数に既に達している装置と、鍵を保持できる上限数に未だ達していない装置とが同一ネットワーク内に発生することが考えられる。すなわち、同一アドホックネットワーク内に通信が疎通する装置と疎通しない装置とが存在する場合が発生することになり、鍵保持上限数が装置ごとに一致しない場合でも装置同士の疎通を確保するようなアルゴリズムが必要とされる。   When ad hoc communication using WPA is performed between devices with different key retention upper limit numbers, devices that have already reached the upper limit number that can hold keys and devices that have not yet reached the upper limit number that can hold keys are in the same network. Can occur. In other words, there are cases where there are devices that communicate and devices that do not communicate within the same ad hoc network, and an algorithm that ensures communication between devices even when the key holding upper limit number does not match for each device. Is needed.

特許文献1では、鍵保持上限数が1の装置と、鍵保持上限数が2以上の装置との間でWPAを用いたアドホック通信を行うアルゴリズムが開示されている。   Patent Document 1 discloses an algorithm for performing ad hoc communication using WPA between a device having a key retention upper limit number of 1 and a device having a key retention upper limit number of 2 or more.

特開2007-336010号公報JP 2007-336010 JP

しかしながら、鍵保持上限数が2以上の通信装置同士がWPAを用いたアドホックネットワークを構築した場合、アドホックネットワークの構成装置数が装置の鍵保持上限を超えることに起因して、通信サービスを提供できなくなるという課題がある。   However, when two or more communication devices with a key retention upper limit number of 2 construct an ad hoc network using WPA, the communication service can be provided because the number of ad hoc network components exceeds the device key retention upper limit. There is a problem of disappearing.

上記の課題に鑑み、本発明は、アドホックネットワークの構成装置数が装置の鍵保持上限を超えた時に対処可能にすることを目的とする。   In view of the above problems, an object of the present invention is to make it possible to cope with the case where the number of devices constituting an ad hoc network exceeds the key holding upper limit of the device.

上記の目的を達成する本発明に係る通信装置は、
無線ネットワークにおいて複数の他の通信装置と通信する通信装置であって、
前記無線ネットワークにおける通信に使用される暗号鍵を記憶する記憶手段と、
前記他の通信装置と暗号鍵を共有する処理を開始するための開始パケットを前記他の通信装置から受信する受信手段と、
前記記憶手段に記憶されている暗号鍵の数が所定数よりも大きいか否かを判定する第1の判定手段と、
前記第1の判定手段により前記暗号鍵の数が前記所定数よりも大きいと判定された場合、ユーザに所定の通知を行う通知手段と、
を有し、
前記通知手段による通知が行われてから所定時間が経過しても、前記無線ネットワークを構成する他の通信装置の台数が減少していない場合、前記記憶手段は、前記記憶手段により既に記憶されている暗号鍵を削除し、当該削除された暗号鍵に代えて、前記開始パケットに基づいて新たに共有される暗号鍵を記憶することを特徴とする。 A communication device according to the present invention that achieves the above object is as follows.
A communication device for communicating with a plurality of other communication devices in a wireless network,
Storage means for storing an encryption key used for communication in the wireless network;
Receiving means for receiving, from the other communication device, a start packet for starting a process of sharing an encryption key with the other communication device;
First determination means for determining whether or not the number of encryption keys stored in the storage means is greater than a predetermined number;
A notification unit that performs a predetermined notification to a user when the first determination unit determines that the number of the encryption keys is larger than the predetermined number;
Have
If the number of other communication devices constituting the wireless network has not decreased even after a predetermined time has elapsed since the notification by the notification unit, the storage unit is already stored by the storage unit. And deleting a new encryption key shared based on the start packet in place of the deleted encryption key.

本発明によれば、アドホックネットワークの構成装置数が装置の鍵保持上限を超えても対処可能になる。   According to the present invention, it is possible to cope with the case where the number of devices constituting the ad hoc network exceeds the key holding upper limit of the device.

プリンタの構成を示す図。FIG. 3 is a diagram illustrating a configuration of a printer. WPAアドホックネットワークにおける鍵あふれ状態の説明図。Explanatory drawing of the key overflow state in a WPA ad hoc network. 鍵保持上限判定処理の手順を示すフローチャート。The flowchart which shows the procedure of a key holding | maintenance upper limit determination process. ユーザへの警告画面の例を示す図。The figure which shows the example of the warning screen to a user. グループ鍵待機モードを示す図。The figure which shows group key standby mode. グループ鍵待機モードを実行するアドホックネットワークを示す図。The figure which shows the ad hoc network which performs group key standby mode. グループ鍵待機モード印刷サービスを示すシーケンス図。FIG. 6 is a sequence diagram illustrating a group key standby mode printing service. グループ鍵待機モードにおける処理の手順を示すフローチャート。The flowchart which shows the procedure of the process in group key waiting mode. グループ鍵の登録の手順を示すフローチャート。The flowchart which shows the procedure of registration of a group key. ユニキャスト鍵の登録の手順を示すフローチャート。The flowchart which shows the procedure of registration of a unicast key. 動作モードを切替中であることを示す画面の例を示す図。The figure which shows the example of the screen which shows that the operation mode is switching. グループ鍵更新のシーケンス図。The sequence diagram of group key update.

(第1実施形態)
本発明の無線通信装置を有効に機能させる一実施形態として、プリンタを含むアドホックネットワークへの適用例を以下に示す。 (First embodiment)
As an embodiment for effectively functioning the wireless communication apparatus of the present invention, an application example to an ad hoc network including a printer will be described below.

図1を参照して、本実施形態のシステムをプリンタ13に適用した機能構成例を説明する。プリンタ13は、プリンタエンジン102と、プリント処理部103と、無線通信機能部104と、RF部105と、表示部106と、表示処理部107と、メモリカードI/F 108と、メモリカード109と、操作部110と、システムコントローラ111と、USB I/F 112と、フラッシュメモリ113と、パラレルI/F 114と、CPU 115と、ROM 116と、RAM 117とを備える。   A functional configuration example in which the system of the present embodiment is applied to the printer 13 will be described with reference to FIG. The printer 13 includes a printer engine 102, a print processing unit 103, a wireless communication function unit 104, an RF unit 105, a display unit 106, a display processing unit 107, a memory card I / F 108, and a memory card 109. An operation unit 110, a system controller 111, a USB I / F 112, a flash memory 113, a parallel I / F 114, a CPU 115, a ROM 116, and a RAM 117.

プリンタエンジン102は、プリント処理部103から出力される画像信号に基づき記録紙に画像をプリントする。プリント処理部103は、画像信号をプリンタエンジン102へ出力する。無線通信機能部104は、他の無線通信機器と無線通信を行い、無線規格に基づくパケットのフレーミング、データに対する応答、データの暗号/復号処理などを実行する。RF部105は、他の無線通信機器との間で無線信号の送受信を行う。なお、無線通信機能部104およびRF部105は、一つの機能ブロックとして実現される場合もある。表示部106は、LCD表示、LED表示、音声表示などによってユーザへ情報を表示する。表示処理部107は、表示部106の表示内容を制御する。メモリカードI/F 108には、メモリカード109が接続されるインタフェースである。メモリカード109は、各種情報を記憶する。操作部110は、各種キーを備えており、システムコントローラ111を介してCPU 115に接続されている。   The printer engine 102 prints an image on recording paper based on the image signal output from the print processing unit 103. The print processing unit 103 outputs an image signal to the printer engine 102. The wireless communication function unit 104 performs wireless communication with other wireless communication devices, and executes packet framing, response to data, data encryption / decryption processing, and the like based on the wireless standard. The RF unit 105 transmits and receives wireless signals to and from other wireless communication devices. Note that the wireless communication function unit 104 and the RF unit 105 may be realized as one functional block. The display unit 106 displays information to the user by LCD display, LED display, audio display, or the like. The display processing unit 107 controls the display content of the display unit 106. The memory card I / F 108 is an interface to which the memory card 109 is connected. The memory card 109 stores various information. The operation unit 110 includes various keys and is connected to the CPU 115 via the system controller 111.

なお、表示部106に表示された情報を選択する等のユーザ操作は、操作部110と連動して行われる。つまり、表示部106と操作部110とはユーザ・インタフェースを構成する。USB I/F 112は、外部機器との接続用のシリアルバス・インタフェースを提供する。フラッシュメモリ113は、不揮発性のメモリであり、無線通信の設定情報などを記憶する。パラレルI/F 114は、外部機器との接続用のパラレル・インタフェースを提供する。CPU 115は、RAM 117またはフラッシュメモリ113をワークメモリとして、ROM 116やフラッシュメモリ113に格納されたプログラムを実行し、各構成要素を制御する。また、通常、ROM 116は無線通信機能部104およびRF部105をアプリケーションの指示により起動するプログラムを格納する。   Note that user operations such as selecting information displayed on the display unit 106 are performed in conjunction with the operation unit 110. That is, the display unit 106 and the operation unit 110 constitute a user interface. The USB I / F 112 provides a serial bus interface for connection to an external device. The flash memory 113 is a nonvolatile memory, and stores wireless communication setting information. The parallel I / F 114 provides a parallel interface for connection to an external device. The CPU 115 uses the RAM 117 or the flash memory 113 as a work memory, executes a program stored in the ROM 116 or the flash memory 113, and controls each component. In general, the ROM 116 stores a program for starting the wireless communication function unit 104 and the RF unit 105 in accordance with an application instruction.

無線通信機能部104は、通信相手であるSTAごとに暗号鍵を保持する機能を有する。暗号鍵の保持最大数は装置によって実装依存となるが、本実施形態においてはプリンタ13の鍵最大保持数は3とする。最大保持数は接続可能な装置数を表し、この場合ユニキャスト鍵3つと、グループ鍵3つとの合計6つの鍵を保持することが可能な仕様となる。   The wireless communication function unit 104 has a function of holding an encryption key for each STA that is a communication partner. Although the maximum number of cryptographic keys held depends on the implementation depending on the apparatus, the maximum number of keys held by the printer 13 is 3 in this embodiment. The maximum holding number represents the number of connectable devices. In this case, the specification is such that a total of six keys including three unicast keys and three group keys can be held.

次に、図2を参照して、本実施形態のプリンタを含むWPAアドホックネットワーク例を説明する。図2に示される無線ネットワークは、PC10(PC1)と、カメラ11(カメラ2)と、カメラ12(カメラ1)と、プリンタ13と、PC14(PC2)とを備える。すなわち、プリンタ13以外に複数の通信装置が存在する。ここで、T20乃至T24のそれぞれは、各装置に対応するWPA鍵テーブルを表している。   Next, an example of a WPA ad hoc network including the printer of the present embodiment will be described with reference to FIG. The wireless network shown in FIG. 2 includes a PC 10 (PC 1), a camera 11 (camera 2), a camera 12 (camera 1), a printer 13, and a PC 14 (PC 2). That is, there are a plurality of communication devices other than the printer 13. Here, each of T20 to T24 represents a WPA key table corresponding to each device.

図2に示される例では、鍵保持上限数3のプリンタ13の鍵テーブルT23は、3台の対向装置との通信のための鍵を保持している。一方、PC10、カメラ11、カメラ12、およびPC14の鍵テーブルT20、T21、T22、およびT24は、それぞれ自装置を除いた4台の対向装置との通信のための鍵を保持している。   In the example shown in FIG. 2, the key table T23 of the printer 13 having the key holding upper limit number 3 holds keys for communication with the three opposing devices. On the other hand, the key tables T20, T21, T22, and T24 of the PC 10, the camera 11, the camera 12, and the PC 14 each hold a key for communication with the four opposing devices except the own device.

つまり、プリンタ13が通信できる対向装置数と、プリンタ13以外の装置が通信できる対向装置数とが異なり、同一アドホックネットワークに存在しながら通信できる装置数に違いが生じるという現象が発生する。これによって鍵保持上限数(保有可能上限数)の少ない装置では、鍵を保持することができない対向装置が発生する。このような状態になった場合、同一アドホックネットワークに存在する装置同士で通信が可能な装置と、通信が不可能な装置とが発生してしまう。   That is, a phenomenon occurs in which the number of opposite devices that can be communicated by the printer 13 is different from the number of opposite devices that can be communicated by devices other than the printer 13, and the number of devices that can communicate while existing in the same ad hoc network is different. As a result, in a device having a small key holding upper limit number (holding upper limit number), a counter device that cannot hold a key is generated. In such a state, a device that can communicate with another device that exists in the same ad hoc network and a device that cannot communicate with each other are generated.

このような状況では、例えば無線ネットワーク内の情報を収集するARP(Address Resolution Protocol)等のプロトコルを実行する際に問題が発生する。この問題について図2を例として説明する。   In such a situation, a problem occurs when a protocol such as ARP (Address Resolution Protocol) that collects information in the wireless network is executed. This problem will be described with reference to FIG.

PC14が、プリンタ13が使用するIPv4アドレスを自装置に付けようとする場合を考える。プリンタ13の動作として、PC14(PC2)からのARPリクエストにより指定されたIPv4アドレスが既に自装置が使用するIPv4アドレスであるため、ARPレスポンスにより重複を通知することが期待される。しかしながら、プリンタ13は、鍵テーブル T23にPC14(PC2)のグループ鍵を所有していないため、ARPリクエストパケットを復号化できずにパケットを破棄してしまうことになる。そのため、ARPレスポンスによりPC14(PC2)に対してIPv4アドレスの重複を通知することができない。従って、図2のアドホックネットワーク内には同一のIPv4アドレスを有する機器が、プリンタ13とPC14(PC2)との2台存在することになる。よって、カメラ12等の無線ネットワーク内の他の装置が、プリンタ13またはPC14(PC2)のどちらかの所望の装置に正しくパケットを送信できなくなるという現象が発生する。このような問題に対処するため、鍵交換時にプリンタ13は自装置の鍵保持数が上限に達しているかどうかを判別し、上限に達している場合、警告画面を出してユーザにネットワーク構成の再構築を促す。   Consider a case where the PC 14 tries to attach an IPv4 address used by the printer 13 to its own device. As the operation of the printer 13, since the IPv4 address designated by the ARP request from the PC 14 (PC2) is already the IPv4 address used by the own apparatus, it is expected that the duplication is notified by the ARP response. However, since the printer 13 does not own the group key of PC14 (PC2) in the key table T23, the ARP request packet cannot be decrypted and the packet is discarded. Therefore, it is impossible to notify the IPv4 address duplication to PC14 (PC2) by the ARP response. Accordingly, there are two devices having the same IPv4 address, the printer 13 and the PC 14 (PC2), in the ad hoc network of FIG. Therefore, a phenomenon occurs in which other devices in the wireless network such as the camera 12 cannot correctly transmit a packet to a desired device of either the printer 13 or the PC 14 (PC2). In order to deal with such a problem, the printer 13 determines whether or not the key holding number of its own device has reached the upper limit at the time of key exchange. If the upper limit has been reached, a warning screen is displayed and the user is prompted to reconfigure the network configuration. Encourage construction.

図3のフローチャートを参照して、鍵保持上限に達したプリンタ13が警告画面を表示し、ユーザにネットワーク構成の再構築を促す手順を説明する。   A procedure in which the printer 13 that has reached the key holding upper limit displays a warning screen and prompts the user to reconfigure the network configuration will be described with reference to the flowchart of FIG.

まずS301において、プリンタ13の無線通信機能部104は、鍵交換を開始する交換開始パケットを受信する。S302において、CPU 115は、新規装置と鍵交換を行う際に鍵保持上限数判定処理を行う。S303において、CPU 115は、その時点での鍵テーブルT23の鍵保持数が鍵保持上限数に達しているかどうか、すなわち今回の鍵交換によって鍵保持数が鍵保持上限数を超えるかどうかを判定する。鍵保持数が鍵交換により鍵保持上限数を超えると判定された場合(S303;YES)、S304へ進む。鍵保持数が鍵交換を行っても鍵保持上限数以下であると判定された場合(S303;NO)、処理を終了する。S304において、CPU 115は、図4に示されるような警告画面を表示部106に表示することによってユーザにネットワーク構成の再構築を促す。以上で図3のフローチャートの各処理が終了する。   First, in S301, the wireless communication function unit 104 of the printer 13 receives an exchange start packet for starting key exchange. In S302, the CPU 115 performs a key holding upper limit number determination process when performing key exchange with a new apparatus. In S303, the CPU 115 determines whether or not the number of keys held in the key table T23 at that time has reached the key holding upper limit number, that is, whether or not the key holding number exceeds the key holding upper limit number due to the current key exchange. . When it is determined that the key holding number exceeds the key holding upper limit number by key exchange (S303; YES), the process proceeds to S304. If it is determined that the key holding number is equal to or less than the upper limit number of key holdings even after key exchange (S303; NO), the process ends. In S304, the CPU 115 prompts the user to reconfigure the network configuration by displaying a warning screen as shown in FIG. 4 on the display unit 106. Thus, the respective processes in the flowchart of FIG. 3 are completed.

本実施形態によれば、ユーザは、鍵保持上限を超えた装置数のネットワークになったことを認識することができる。その結果として、ネットワーク環境の改善を行い、当該装置による通信サービスの提供を維持することができる。   According to this embodiment, the user can recognize that the network has the number of devices exceeding the key holding upper limit. As a result, it is possible to improve the network environment and maintain the provision of communication services by the device.

(第2実施形態)
第1実施形態に示した本発明の実施形態において、ユーザへネットワーク構成の再構築を促しても、その後ユーザによるネットワーク環境の再構成が行われないケースが考えられる。このような場合、本実施形態では、プリンタ13がグループ鍵待機モードという動作モードで動作することにより、ネットワークを構成する装置間で第1実施形態に示したような通信が不通となる状態を改善する方法を提案する。プリンタ13の機能構成については図1で説明した機能構成と同様であるため、説明を省略する。 (Second embodiment)
In the embodiment of the present invention shown in the first embodiment, there may be a case where the network environment is not reconfigured by the user after the user is prompted to reconfigure the network configuration. In such a case, in the present embodiment, the printer 13 operates in an operation mode called a group key standby mode, thereby improving the state in which communication as described in the first embodiment is interrupted between devices constituting the network. Suggest a way to do it. The functional configuration of the printer 13 is the same as the functional configuration described with reference to FIG.

ここで、図5を参照して、上述のグループ鍵待機モードについて説明する。図5は、プリンタ13のWPA鍵テーブルを表している。プリンタ13は鍵保持上限数が3の装置である。通常は鍵通常管理モードの鍵テーブル501が表すように、グループ鍵の保持数が3、ユニキャスト鍵の保持数が3となっている。鍵通常管理モードからグループ鍵待機モードに遷移すると、鍵テーブルの内訳が鍵テーブル502のようになる。図5の例では、グループ鍵の保持数が4、ユニキャスト鍵の保持数が2へと変化する。このように、ユニキャスト鍵の保持数よりもグループ鍵の保持数が多い状態をグループ鍵待機モードと規定する。   Here, the group key standby mode described above will be described with reference to FIG. FIG. 5 shows a WPA key table of the printer 13. The printer 13 is a device having a key holding upper limit number of 3. Normally, as indicated by the key table 501 in the normal key management mode, the number of group keys held is 3, and the number of unicast keys held is 3. When a transition from the normal key management mode to the group key standby mode is made, the breakdown of the key table becomes the key table 502. In the example of FIG. 5, the number of group keys held changes to 4, and the number of unicast keys held changes to 2. Thus, a state in which the number of group keys held is larger than the number of unicast keys held is defined as a group key standby mode.

次に、図6を参照して、プリンタ13がグループ鍵待機モードに遷移した場合の動作について説明する。図6に示されるネットワークは、PC10(PC1)と、カメラ11(カメラ2)と、カメラ12(カメラ1)と、プリンタ13と、PC14(PC2)とを備える。ここで、T20乃至T24のそれぞれは、各装置のWPA鍵テーブルを表している。プリンタ13は、鍵保持上限数が3でありながら4台の装置との通信を確保するために、ユニキャスト鍵を放棄し4台分の装置のグループ鍵を確保しており、グループ鍵待機モードで動作している。これによってプリンタ13は、ネットワーク内のいかなる装置からのブロードキャスト通信およびマルチキャスト通信も受信可能な状態となっている。グループ鍵待機モードでの動作時、プリンタ13は、ネットワーク内の装置からブロードキャスト通信およびマルチキャスト通信のパケットを受信した後、通信を発行した装置とのユニキャスト鍵を生成する。プリンタ13は、ユニキャスト鍵を所定時間保持することで、ブロードキャスト通信およびマルチキャスト通信を発行した装置とのユニキャスト通信をサポートする。   Next, with reference to FIG. 6, the operation when the printer 13 transitions to the group key standby mode will be described. The network shown in FIG. 6 includes a PC 10 (PC 1), a camera 11 (camera 2), a camera 12 (camera 1), a printer 13, and a PC 14 (PC 2). Here, each of T20 to T24 represents a WPA key table of each device. The printer 13 abandons the unicast key and secures group keys for four devices in order to secure communication with four devices while the upper limit number of key holdings is three. Is working with. As a result, the printer 13 can receive broadcast communication and multicast communication from any device in the network. When operating in the group key standby mode, the printer 13 receives a broadcast communication packet and a multicast communication packet from a device in the network, and then generates a unicast key with the device that issued the communication. The printer 13 supports unicast communication with a device that has issued broadcast communication and multicast communication by holding the unicast key for a predetermined time.

次に、図7を参照して、プリンタ13がグループ鍵待機モードで動作している時にPC14に対してプリントサービスを提供する、グループ鍵待機モードでの印刷サービスシーケンスを説明する。なお、プリンタ13がグループ鍵待機モードに遷移する方法は、図8のグループ鍵待機モード遷移チャート、および、図9のグループ鍵登録チャートを参照しながら後述する。   Next, a print service sequence in the group key standby mode that provides the print service to the PC 14 when the printer 13 is operating in the group key standby mode will be described with reference to FIG. A method for the printer 13 to transition to the group key standby mode will be described later with reference to the group key standby mode transition chart of FIG. 8 and the group key registration chart of FIG.

S700において、PC14のCPUは、ネットワーク内のいずれかのプリンタに対してプリンタdiscoveryパケットをブロードキャスト送信する。   In S700, the CPU of the PC 14 broadcasts a printer discovery packet to any printer in the network.

S701において、PC14のグループ鍵を持つCPU 115は、受信パケットがブロードキャストパケットであることを検出し、ブロードキャストパケット送信元装置のユニキャスト鍵を取得するためにPC14と4wayハンドシェイク(4ウェイハンドシェイク)を行う。   In S701, the CPU 115 having the group key of the PC 14 detects that the received packet is a broadcast packet, and the PC 14 and the 4-way handshake (4-way handshake) to acquire the unicast key of the broadcast packet transmission source device I do.

S702において、CPU 115は、4wayハンドシェイクを行った後にPC14との通信に暫定的に使用する鍵であるテンポラリユニキャスト鍵を取得する。このテンポラリユニキャスト鍵は、図6で説明した鍵テーブルT23に保持される。テンポラリユニキャスト鍵を取得する方法については、図10のユニキャスト鍵登録チャートを参照して後述する。   In S702, the CPU 115 obtains a temporary unicast key, which is a key temporarily used for communication with the PC 14 after performing the 4-way handshake. This temporary unicast key is held in the key table T23 described with reference to FIG. A method for acquiring the temporary unicast key will be described later with reference to the unicast key registration chart of FIG.

S703において、CPU 115は、S702で取得されたテンポラリユニキャスト鍵を使用してプリンタdiscoveryパケットS700に対する返答パケットであるdiscoveryAckパケットをPC14に対して送信する。   In S703, the CPU 115 transmits a discoveryAck packet, which is a response packet to the printer discovery packet S700, to the PC 14 using the temporary unicast key acquired in S702.

この後、S704乃至S707においてテンポラリユニキャスト鍵を使用して印刷のための印刷パケット通信が行われる。具体的には、PC14のCPUは、印刷を実行するための印刷指示パケットをプリンタ13へ送信し、CPU 115は、受信した印刷指示パケットに対する返答パケットである印刷AckパケットをPC14へ送信する。   Thereafter, in S704 to S707, print packet communication for printing is performed using the temporary unicast key. Specifically, the CPU of the PC 14 transmits a print instruction packet for executing printing to the printer 13, and the CPU 115 transmits a print Ack packet that is a response packet to the received print instruction packet to the PC 14.

その後、S708において、印刷終了となる。   Thereafter, printing ends in S708.

S709において、CPU 115は、PC14からのユニキャスト通信を所定時間受信しない場合、ユニキャスト鍵削除トリガが駆動され、テンポラリユニキャスト鍵を不要な鍵として決定する。   In S709, when the CPU 115 does not receive the unicast communication from the PC 14 for a predetermined time, the unicast key deletion trigger is driven and determines the temporary unicast key as an unnecessary key.

S710において、その後CPU 115は、テンポラリユニキャスト鍵を鍵テーブルT23から削除する。以上で処理を終了する。   In S710, the CPU 115 thereafter deletes the temporary unicast key from the key table T23. The process ends here.

以上説明したように、プリンタ13の鍵保持上限を超える装置数から構成されるネットワークにおいても、プリンタ13がグループ鍵待機モードに遷移することによってプリントサービスを実現できる。   As described above, even in a network configured by the number of devices exceeding the key retention upper limit of the printer 13, the print service can be realized by the printer 13 shifting to the group key standby mode.

図8のフローチャートを参照して、プリンタ13の無線通信機能部104がRF部105を通じて鍵交換開始パケットを受信した後に、グループ鍵待機モードに遷移する手順を説明する。   With reference to the flowchart of FIG. 8, a procedure for transitioning to the group key standby mode after the wireless communication function unit 104 of the printer 13 receives the key exchange start packet through the RF unit 105 will be described.

S800において、CPU 115は、鍵交換開始パケットを受信する。S801において、CPU 115は、自装置の動作モードを解析する。S802において、CPU 115は、S801における解析の結果、自装置がグループ鍵待機モードで動作しているか否かを判定する。すなわち、暗号鍵を保持する鍵テーブルにおいて、グループ鍵の保持数がユニキャスト鍵の保持数よりも多い状態(グループ鍵待機モード)であるか否かを判定する(保持数判定処理)。自装置がグループ鍵待機モードで動作していると判定された場合(S802;YES)、S811へ進む。一方、自装置がグループ鍵待機モードで動作していない(グループ鍵の保持数がユニキャスト鍵の保持数以下である状態)と判定された場合(S802;NO)、S803へ進む。   In S800, the CPU 115 receives the key exchange start packet. In S801, the CPU 115 analyzes the operation mode of the own device. In S802, the CPU 115 determines whether or not the own device is operating in the group key standby mode as a result of the analysis in S801. That is, it is determined whether or not the number of group keys held is larger than the number of unicast keys held (group key standby mode) in the key table holding the encryption keys (holding number determination process). When it is determined that the own apparatus is operating in the group key standby mode (S802; YES), the process proceeds to S811. On the other hand, when it is determined that the own apparatus does not operate in the group key standby mode (the state in which the number of group keys held is equal to or less than the number of unicast keys held) (S802; NO), the process proceeds to S803.

S803において、CPU 115は、鍵交換による鍵数と、装置の鍵保持上限数とを比較する。S804において、CPU 115は、鍵交換により鍵数が装置の鍵保持上限数を超えるか否かを判定する。鍵数が装置の鍵保持上限数を超えると判定された場合(S804;YES)、S805へ進む。一方、鍵数が装置の鍵保持上限数以下であると判定された場合(S804;NO)、処理を終了する。S805において、CPU 115は、ユーザ警告画面401(図4参照)を表示部106に表示する。   In S803, the CPU 115 compares the number of keys by key exchange with the number of key holding upper limits of the device. In step S804, the CPU 115 determines whether the number of keys exceeds the key holding upper limit number of the device due to key exchange. If it is determined that the number of keys exceeds the key holding upper limit number of the device (S804; YES), the process proceeds to S805. On the other hand, when it is determined that the number of keys is equal to or less than the key holding upper limit number of the device (S804; NO), the process is terminated. In S805, the CPU 115 displays a user warning screen 401 (see FIG. 4) on the display unit 106.

S806において、CPU 115は、ユーザ警告画面401を表示してから所定時間待機する。S807において、CPU 115は、所定時間経過後、プリンタ13が接続するWPAアドホックネットワーク環境の所属装置数の減少の有無について解析する。   In S806, the CPU 115 waits for a predetermined time after displaying the user warning screen 401. In S807, the CPU 115 analyzes whether or not the number of devices belonging to the WPA ad hoc network environment to which the printer 13 is connected has decreased after a predetermined time has elapsed.

S808において、CPU 115は、解析の結果として所属装置数が減少しているか否か、すなわちネットワーク環境が改善しているか否かを判定する。ネットワーク環境が改善していると判定された場合(S808;YES)、処理を終了する。一方、ネットワーク環境が改善していないと判定された場合(S808;NO)、S809へ進む。   In S808, the CPU 115 determines whether or not the number of belonging devices has decreased as a result of the analysis, that is, whether or not the network environment has improved. If it is determined that the network environment has improved (S808; YES), the process ends. On the other hand, if it is determined that the network environment has not improved (S808; NO), the process proceeds to S809.

S809において、CPU 115は、鍵テーブルにおけるグループ鍵の保持数がユニキャスト鍵の保持数よりも多い状態であるグループ鍵待機モードへ動作モードを切替中であることを示す画面1101(図11参照)を表示部106に表示する。S810において、後述の図9のフローチャートにおけるS900へ進む。S811において、後述の図9のフローチャートにおけるS902へ進む。以上で図8に示すフローチャートの処理が終了する。   In S809, the CPU 115 displays a screen 1101 indicating that the operation mode is being switched to the group key standby mode in which the number of group keys held in the key table is larger than the number of unicast keys held (see FIG. 11). Is displayed on the display unit 106. In S810, the process proceeds to S900 in the flowchart of FIG. In S811, the process proceeds to S902 in the flowchart of FIG. Thus, the process of the flowchart shown in FIG. 8 ends.

次に、図9のフローチャートを参照して、プリンタ13がグループ鍵待機モードに遷移した場合のグループ鍵登録処理の手順を説明する。   Next, the procedure of the group key registration process when the printer 13 transitions to the group key standby mode will be described with reference to the flowchart of FIG.

S900において、CPU 115は、ユニキャスト鍵を判別する。CPU 115は、この処理により削除可能なユニキャスト鍵を特定する。S901において、CPU 115は、S900で特定されたユニキャスト鍵を削除する。ここで、ユニキャスト鍵は必ずしも削除しなくてもよく、RAM 117のメモリ空間またはフラッシュメモリ113上の鍵キャッシュ記憶領域(一次記憶領域)に退避してもよい。   In S900, the CPU 115 determines a unicast key. The CPU 115 identifies a unicast key that can be deleted by this processing. In S901, the CPU 115 deletes the unicast key specified in S900. Here, the unicast key is not necessarily deleted, and may be saved in the memory space of the RAM 117 or the key cache storage area (primary storage area) on the flash memory 113.

S902において、CPU 115は、ユニキャスト鍵を削除した後、削除によってプリンタ13の鍵テーブルに空きが出たことを確認する。   In S902, after deleting the unicast key, the CPU 115 confirms that there is a free space in the key table of the printer 13 by the deletion.

S903において、CPU 115は、鍵テーブルに所定数の空きがあるか否かを判定する。所定数の空きがあると判定された場合(S903;YES)、S904へ進む。一方、所定数の空きがないと判定された場合(S903;NO)、S903へ進む。   In S903, the CPU 115 determines whether or not there is a predetermined number of spaces in the key table. If it is determined that there is a predetermined number of spaces (S903; YES), the process proceeds to S904. On the other hand, if it is determined that there is no predetermined number of empty spaces (S903; NO), the process proceeds to S903.

S904において、CPU 115は、鍵テーブルT23へグループ鍵を登録する。S905において、CPU 115は、グループ鍵待機モードを終了する。以上で図9に示すフローチャートの処理が終了する。   In S904, the CPU 115 registers the group key in the key table T23. In S905, the CPU 115 ends the group key standby mode. Thus, the process of the flowchart shown in FIG. 9 ends.

さらに、図10のフローチャートを参照して、プリンタ13の無線通信機能部104がRF部105を通じてマルチキャストパケットまたはブロードキャストパケットを受信した後の動作を表したユニキャスト鍵登録処理の手順を説明する。   Furthermore, a procedure of unicast key registration processing representing an operation after the wireless communication function unit 104 of the printer 13 receives a multicast packet or a broadcast packet through the RF unit 105 will be described with reference to a flowchart of FIG.

S1000において、CPU 115は、ブロードキャストパケットまたはマルチキャストパケットを受信する。S1001において、CPU 115は、自装置の動作モードを解析する。S1002において、CPU 115は、自装置がグループ鍵待機モードで動作しているか否かを判定する。自装置がグループ鍵待機モードで動作していると判定された場合(S1002;YES)、S1003へ進む。一方、自装置がグループ鍵待機モードで動作していないと判定された場合(S1002;NO)、S1010へ進む。   In S1000, the CPU 115 receives a broadcast packet or a multicast packet. In S1001, the CPU 115 analyzes the operation mode of the own device. In S1002, the CPU 115 determines whether or not the own device is operating in the group key standby mode. When it is determined that the own apparatus is operating in the group key standby mode (S1002; YES), the process proceeds to S1003. On the other hand, if it is determined that the own apparatus is not operating in the group key standby mode (S1002; NO), the process proceeds to S1010.

S1003において、CPU 115は、所有しているユニキャスト鍵を解析する。S1004において、CPU 115は、S1000で受信したパケットの送信元のユニキャスト鍵を所有しているか否かを判定する(鍵所有判定処理)。送信元のユニキャスト鍵を所有していると判定された場合(S1004;YES)、S1010へ進む。一方、送信元のユニキャスト鍵を所有していないと判定された場合(S1004;NO)、S1005へ進む。   In S1003, the CPU 115 analyzes the owned unicast key. In S1004, the CPU 115 determines whether or not it owns the unicast key of the transmission source of the packet received in S1000 (key ownership determination process). If it is determined that the transmission source unicast key is owned (S1004; YES), the process proceeds to S1010. On the other hand, if it is determined that the source unicast key is not owned (S1004; NO), the process proceeds to S1005.

S1005において、CPU 115は、削除可能なグループ鍵を特定する。S1006において、CPU 115は、S1005で特定された削除可能なグループ鍵を削除する。S1007において、CPU 115は、鍵テーブルT23の空きを確認する。S1008において、CPU 115は、鍵テーブルT23に所定数の空きがあるか否かを判定する。所定数の空きがあると判定された場合(S1008;YES)、S1009へ進む。一方、所定数の空きがないと判定された場合(S1008;NO)、S1010へ進む。   In S1005, the CPU 115 identifies a group key that can be deleted. In S1006, the CPU 115 deletes the erasable group key specified in S1005. In S1007, the CPU 115 confirms the availability of the key table T23. In S1008, the CPU 115 determines whether or not there is a predetermined number of empty spaces in the key table T23. If it is determined that there is a predetermined number of spaces (S1008; YES), the process proceeds to S1009. On the other hand, when it is determined that there is no predetermined number of empty spaces (S1008; NO), the process proceeds to S1010.

S1009において、CPU 115は、ユニキャスト鍵を取得する。ユニキャスト鍵は4wayハンドシェイクを行うことにより取得されてもよく、RAM 117のメモリ空間またはフラッシュメモリ113上に退避したユニキャスト鍵が改めて使用されてもよい。S1010において、CPU 115は、通常のパケット処理を実行する。以上で図10に示されるフローチャートの処理が終了する。   In S1009, the CPU 115 acquires a unicast key. The unicast key may be acquired by performing a 4-way handshake, and the unicast key saved in the memory space of the RAM 117 or the flash memory 113 may be used again. In S1010, the CPU 115 executes normal packet processing. Thus, the process of the flowchart shown in FIG. 10 ends.

次に、図12を参照して、グループ鍵更新シーケンスを説明する。WPAはグループ鍵を更新する機能を有するが、グループ鍵の更新の際にはユニキャスト鍵を用いた暗号通信が行われるため、ユニキャスト鍵が必要となる。一方、本発明の特徴の一つはユニキャスト鍵を一旦放棄し、ブロードキャスト通信またはマルチキャスト通信が発生した通信相手のユニキャスト鍵をテンポラリで所持することにより、鍵保持上限数を超える接続可能装置数を確保することである。従って、本発明を実施することによってグループ鍵を更新する対象の装置のユニキャスト鍵を所持しない状態でグループ鍵の更新タイミングが来てしまう場合がある。この問題を解決するため、グループ鍵を更新するためのユニキャスト鍵を、新規に4wayハンドシェイクを行うことにより取得し、取得したユニキャスト鍵でグループ鍵交換を行う方法を提案する。   Next, the group key update sequence will be described with reference to FIG. WPA has a function of updating a group key, but when a group key is updated, a unicast key is required because encrypted communication using a unicast key is performed. On the other hand, one of the features of the present invention is that the number of connectable devices exceeding the upper limit number of key holdings by temporarily abandoning the unicast key and temporarily holding the communication partner's unicast key in which broadcast communication or multicast communication has occurred Is to secure. Therefore, by implementing the present invention, there is a case where the group key update timing comes without having the unicast key of the target device for updating the group key. In order to solve this problem, a method is proposed in which a unicast key for updating a group key is newly acquired by performing a 4-way handshake, and a group key exchange is performed using the acquired unicast key.

図12に示される例は、プリンタ13がグループ鍵の更新タイミングに従ってPC14とグループ鍵を交換するシーケンスを表している。   The example shown in FIG. 12 represents a sequence in which the printer 13 exchanges the group key with the PC 14 in accordance with the group key update timing.

S1200において、CPU 115は、グループ鍵の更新を行う必要のある装置を特定する。本実施形態では、CPU 115は、PC14を対象装置として特定している。S1201において、CPU 115は、メッセージ1(MSG1)をPC14へ送信する。このメッセージフレームはEAPOLというプロトコルに従ったフォーマットに準拠している。このメッセージは、ユニキャスト鍵の交換のためのメッセージである(Unicast)という情報、およびプリンタ13が生成した乱数値(Anonce)の情報を含んでいる。なお、EAPOLは拡張認証プロトコル(extensible authentication protocol)の略である。   In S1200, the CPU 115 identifies a device that needs to update the group key. In the present embodiment, the CPU 115 identifies the PC 14 as the target device. In S1201, the CPU 115 transmits message 1 (MSG1) to the PC. This message frame conforms to a format according to a protocol called EAPOL. This message includes information (Unicast) that is a message for exchanging unicast keys and information on a random number (Anonce) generated by the printer 13. Note that EAPOL is an abbreviation for extensible authentication protocol.

S1202において、MSG1を受信したPC14のCPUは、PTK(Pairwies Trasient Key)を生成し、プリンタ13とは異なる乱数(Snonce)を生成する。S1203において、PC14のCPUは、メッセージ2(MSG2)をプリンタ13へ送信する。このメッセージフレームはEAPOLというプロトコルに従ったフォーマットに準拠している。このメッセージは、ユニキャスト鍵の交換のためのメッセージである(Unicast)という情報、およびPC14が生成した乱数値(Snonce)の情報を含んでいる。S1204において、CPU 115は、PTKを生成する。   In S1202, the CPU of the PC 14 that has received MSG1 generates a PTK (Pairwies Trasient Key) and generates a random number (Snonce) different from that of the printer 13. In S1203, the CPU of the PC 14 transmits message 2 (MSG2) to the printer 13. This message frame conforms to a format according to a protocol called EAPOL. This message includes information (Unicast) that is a message for exchanging unicast keys and information on a random value (Snonce) generated by the PC 14. In S1204, the CPU 115 generates a PTK.

AnonceおよびSnonceという情報と、プリンタ13およびPC14が事前に保持している情報と、からPTKを生成することができる。これによって、S1202およびS1204において、プリンタ13とPC2 (PC14)とは、ともにPTKを生成することができる。   A PTK can be generated from the information Anonce and Snonce and the information held in advance by the printer 13 and the PC 14. Thereby, in S1202 and S1204, both the printer 13 and the PC2 (PC14) can generate the PTK.

S1205において、CPU 115は、メッセージ3(MSG3)をPC14へ送信する。S1206において、PC14のCPUは、メッセージ4(MSG3)をプリンタ13へ送信する。MSG3およびMSG4は、PTKを正しく生成することができたことに対する確認応答を表すメッセージである。S1207において、PC14のCPUは、PTKをユニキャスト鍵として設定する。S1208において、CPU 115は、PTKをテンポラリユニキャスト鍵として設定する(ユニキャスト鍵取得処理)。   In S1205, the CPU 115 transmits message 3 (MSG3) to the PC. In S1206, the CPU of the PC 14 transmits message 4 (MSG3) to the printer 13. MSG3 and MSG4 are messages representing an acknowledgment response to the successful generation of the PTK. In S1207, the CPU of the PC 14 sets PTK as a unicast key. In S1208, the CPU 115 sets the PTK as a temporary unicast key (unicast key acquisition process).

以降、ユニキャストに関してはプリンタ13とPC14との間では暗号化されたデータが転送される。なお、これまで4wayハンドシェイクによりテンポラリユニキャスト鍵を設定する方法を説明したが、プリンタ13が既にPC14のユニキャスト鍵を所有している場合は、CPU 115は4wayハンドシェイクを行わずに、それを使用してもよい。   Thereafter, with regard to unicast, encrypted data is transferred between the printer 13 and the PC 14. Although the method for setting a temporary unicast key by the 4-way handshake has been described so far, if the printer 13 already possesses the unicast key of the PC 14, the CPU 115 does not perform the 4-way handshake. May be used.

次にグループ鍵の共有方式について説明する。S1209において、S1200乃至S1206の4wayハンドシェイクが完了すると、CPU 115は、GTK(Group Trasient Key)を生成する。また、プリンタ13がGTKを既に所有している場合はそれを使用してもよい。   Next, a group key sharing method will be described. In S1209, when the 4-way handshake from S1200 to S1206 is completed, the CPU 115 generates a GTK (Group Trasient Key). If the printer 13 already owns GTK, it may be used.

S1210において、CPU 115は、グループキーハンドシェークというメッセージ5(MSG5)をPC14へ送信する。このメッセージフレームもEAPOLというプロトコルに従ったフォーマットに準拠しており、このメッセージはGTKの交換のためのメッセージである(Group)という情報を含んでいる。既に交換済であるユニキャスト鍵によりメッセージ5は暗号化されているため、メッセージ5は安全に送信される。   In S1210, the CPU 115 transmits a message 5 (MSG5) indicating group key handshake to the PC. This message frame also conforms to a format according to a protocol called EAPOL, and this message includes information (Group) that is a message for exchanging GTK. Since the message 5 is encrypted with the unicast key that has already been exchanged, the message 5 is transmitted securely.

S1211において、PC14のCPUは、メッセージ5を受信したことを確認するメッセージ6(MSG6)をプリンタ13へ送信する。S1212において、CPU 115は、GTKをグループ鍵として設定する。S1213において、PC14のCPUは、GTKをグループ鍵として設定する。これにより、ブロードキャストパケットが暗号化されるようになる。S1214において、グループ鍵の更新が完了した後、CPU 115は、不要となったグループ鍵交換用のテンポラリユニキャスト鍵を削除する。以上で図12に示されるシーケンスの処理が終了する。   In S1211, the CPU of the PC 14 transmits to the printer 13 a message 6 (MSG6) for confirming that the message 5 has been received. In S1212, the CPU 115 sets GTK as a group key. In S1213, the CPU of the PC 14 sets GTK as a group key. As a result, the broadcast packet is encrypted. In S1214, after the group key update is completed, the CPU 115 deletes the temporary unicast key for group key exchange that is no longer necessary. Thus, the sequence process shown in FIG. 12 is completed.

本実施形態によれば、ユーザによる通信環境の改善がない場合でも、グループ鍵を優先的に保持し必要な時にユニキャスト鍵を生成することによって通信サービスを提供することができる。   According to this embodiment, even when there is no improvement in the communication environment by the user, a communication service can be provided by preferentially holding the group key and generating a unicast key when necessary.

(その他の実施形態)
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。 (Other embodiments)
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, or the like) of the system or apparatus reads the program. It is a process to be executed.

Claims (15)

無線ネットワークにおいて複数の他の通信装置と通信する通信装置であって、
前記無線ネットワークにおける通信に使用される暗号鍵を記憶する記憶手段と、
前記他の通信装置と暗号鍵を共有する処理を開始するための開始パケットを前記他の通信装置から受信する受信手段と、
前記記憶手段に記憶されている暗号鍵の数が所定数よりも大きいか否かを判定する第1の判定手段と、
前記第1の判定手段により前記暗号鍵の数が前記所定数よりも大きいと判定された場合、ユーザに所定の通知を行う通知手段と、
を有し、
前記通知手段による通知が行われてから所定時間が経過しても、前記無線ネットワークを構成する他の通信装置の台数が減少していない場合、前記記憶手段は、前記記憶手段により既に記憶されている暗号鍵を削除し、当該削除された暗号鍵に代えて、前記開始パケットに基づいて新たに共有される暗号鍵を記憶することを特徴とする通信装置。 A communication device for communicating with a plurality of other communication devices in a wireless network,
Storage means for storing an encryption key used for communication in the wireless network;
Receiving means for receiving, from the other communication device, a start packet for starting a process of sharing an encryption key with the other communication device;
First determination means for determining whether or not the number of encryption keys stored in the storage means is greater than a predetermined number;
A notification unit that performs a predetermined notification to a user when the first determination unit determines that the number of the encryption keys is larger than the predetermined number;
Have
If the number of other communication devices constituting the wireless network has not decreased even after a predetermined time has elapsed since the notification by the notification unit, the storage unit is already stored by the storage unit. A communication device that stores a new shared encryption key based on the start packet instead of the deleted encryption key. 前記所定数は、前記通信装置が保有可能な暗号鍵の上限値であることを特徴とする請求項1に記載の通信装置。   The communication apparatus according to claim 1, wherein the predetermined number is an upper limit value of an encryption key that can be held by the communication apparatus. 前記通知手段は、表示部に警告を表示させることで、前記所定の通知を行うことを特徴とする請求項1または2に記載の通信装置。   The communication device according to claim 1, wherein the notification unit performs the predetermined notification by displaying a warning on a display unit. 前記暗号鍵は、前記他の通信装置との通信に使用されるユニキャスト鍵と、前記無線ネットワークに属する前記複数の他の通信装置との通信に使用される共有するグループ鍵とを含むことを特徴とする請求項1乃至3のいずれか1項に記載の通信装置。   The encryption key includes a unicast key used for communication with the other communication device and a shared group key used for communication with the plurality of other communication devices belonging to the wireless network. The communication apparatus according to claim 1, wherein the communication apparatus is characterized. 前記グループ鍵の保持数が前記ユニキャスト鍵の保持数よりも多いか否かを判定する第2の判定手段を更に有し、
前記第2の判定手段により前記グループ鍵の保持数が前記ユニキャスト鍵の保持数よりも少ないと判定された場合に、前記第1の判定手段による判定が行われることを特徴とする請求項4に記載の通信装置。 A second determination means for determining whether the number of retained group keys is greater than the number of retained unicast keys;
5. The determination by the first determination unit is performed when the second determination unit determines that the number of retained group keys is smaller than the number of retained unicast keys. The communication apparatus as described in. 前記通知手段による通知が行われてから所定時間が経過しても前記無線ネットワークを構成する前記複数の他の通信装置の数が減少していない場合、前記ユニキャスト鍵を削除する第1の削除手段を更に有することを特徴とする請求項4または5に記載の通信装置。   A first deletion that deletes the unicast key if the number of the other communication devices constituting the wireless network has not decreased even after a predetermined time has elapsed since the notification by the notification means. 6. The communication apparatus according to claim 4, further comprising means. 前記第1の削除手段による削除後に、前記開始パケットに応じて新たに共有された前記グループ鍵を保持する保持手段を更に有することを特徴とする請求項6に記載の通信装置。   The communication apparatus according to claim 6, further comprising a holding unit that holds the group key newly shared according to the start packet after deletion by the first deletion unit. 前記他の通信装置との通信に使用されるユニキャスト鍵を有しているか否かを判定する第3の判定手段と、
前記第3の判定手段により前記他の通信装置との通信に使用されるユニキャスト鍵を有していないと判定された場合には、前記グループ鍵を削除する第2の削除手段を更に有することを特徴とする請求項4乃至7のいずれか1項に記載の通信装置。 Third determination means for determining whether or not a unicast key used for communication with the other communication device is included;
A second deleting unit that deletes the group key when the third determining unit determines that the unicast key used for communication with the other communication device is not included; The communication apparatus according to claim 4, wherein: 前記第2の削除手段により前記グループ鍵が削除された場合、前記他の通信装置との通信に使用されるユニキャスト鍵をテンポラリユニキャスト鍵として取得する第1の取得手段を更に有することを特徴とする請求項8に記載の通信装置。   When the group key is deleted by the second deletion unit, the system further comprises a first acquisition unit that acquires a unicast key used for communication with the other communication device as a temporary unicast key. The communication device according to claim 8. 前記第2の削除手段は、前記テンポラリユニキャスト鍵を利用する通信が所定時間行われない場合、当該テンポラリユニキャスト鍵を削除することを特徴とする請求項9に記載の通信装置。   The communication device according to claim 9, wherein the second deletion unit deletes the temporary unicast key when communication using the temporary unicast key is not performed for a predetermined time. 前記グループ鍵を更新するために使用される更新鍵を取得する第2の取得手段と、
前記更新鍵を使用して、前記グループ鍵を更新する更新手段と、
を更に有することを特徴とする請求項4乃至10のいずれか1項に記載の通信装置。 Second acquisition means for acquiring an update key used to update the group key;
Updating means for updating the group key using the update key;
The communication apparatus according to claim 4, further comprising: 前記更新手段による更新が完了すると、前記更新鍵を削除する第3の削除手段を更に有することを特徴とする請求項11に記載の通信装置。   The communication apparatus according to claim 11, further comprising a third deletion unit that deletes the update key when the update by the update unit is completed. 前記第2の取得手段は、前記他の通信装置と4ウェイハンドシェイクを行うことにより前記更新鍵を取得することを特徴とする請求項11または12に記載の通信装置。   The communication device according to claim 11 or 12, wherein the second acquisition unit acquires the update key by performing a 4-way handshake with the other communication device. 無線ネットワークにおいて複数の他の通信装置と通信する通信装置の制御方法であって、
前記無線ネットワークにおける通信に使用される暗号鍵を記憶手段に記憶する記憶工程と、
前記他の通信装置と暗号鍵を共有する処理を開始するための開始パケットを前記他の通信装置から受信する受信工程と、
前記記憶手段に記憶されている暗号鍵の数が所定数よりも大きいか否かを判定する判定工程と、
前記暗号鍵の数が前記所定数よりも大きいと判定された場合、ユーザに所定の通知を行う通知工程と、
前記通知工程による通知が行われてから所定時間が経過しても、前記無線ネットワークを構成する他の通信装置の台数が減少していない場合、前記記憶手段に既に記憶されている暗号鍵を削除し、当該削除された暗号鍵に代えて、前記開始パケットに基づいて新たに共有される暗号鍵を記憶する工程と、
を有することを特徴とする制御方法。 A method of controlling a communication device that communicates with a plurality of other communication devices in a wireless network,
A storage step of storing an encryption key used for communication in the wireless network in a storage means;
A receiving step of receiving a start packet for starting a process of sharing an encryption key with the other communication device from the other communication device;
A determination step of determining whether the number of encryption keys stored in the storage means is greater than a predetermined number;
A notification step of performing a predetermined notification to a user when it is determined that the number of the encryption keys is larger than the predetermined number;
If the number of other communication devices constituting the wireless network has not decreased even after a predetermined time has elapsed since the notification by the notification step, the encryption key already stored in the storage means is deleted. And storing a newly shared encryption key based on the start packet instead of the deleted encryption key;
A control method characterized by comprising: コンピュータを請求項1乃至13のいずれか1項に記載の通信装置として動作させるためのプログラム。   A program for causing a computer to operate as the communication device according to any one of claims 1 to 13.
JP2011088602A 2011-04-12 2011-04-12 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM Expired - Fee Related JP5904718B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011088602A JP5904718B2 (en) 2011-04-12 2011-04-12 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011088602A JP5904718B2 (en) 2011-04-12 2011-04-12 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM

Publications (3)

Publication Number Publication Date
JP2012222705A JP2012222705A (en) 2012-11-12
JP2012222705A5 JP2012222705A5 (en) 2014-05-22
JP5904718B2 true JP5904718B2 (en) 2016-04-20

Family

ID=47273726

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011088602A Expired - Fee Related JP5904718B2 (en) 2011-04-12 2011-04-12 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP5904718B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10237389B2 (en) 2016-07-20 2019-03-19 Dexcom, Inc. System and method for wireless communication of glucose data

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4239747B2 (en) * 2003-08-07 2009-03-18 ソニー株式会社 Information processing apparatus, content information management method, and computer program
JP4551202B2 (en) * 2004-12-07 2010-09-22 株式会社日立製作所 Ad hoc network authentication method and wireless communication terminal thereof
JP2007096806A (en) * 2005-09-29 2007-04-12 Victor Co Of Japan Ltd Radio network setting method
JP2008177815A (en) * 2007-01-18 2008-07-31 Matsushita Electric Ind Co Ltd Broadcast encryption system and broadcast encryption device
JP4881813B2 (en) * 2007-08-10 2012-02-22 キヤノン株式会社 COMMUNICATION DEVICE, COMMUNICATION DEVICE COMMUNICATION METHOD, PROGRAM, AND STORAGE MEDIUM
CN100534037C (en) * 2007-10-30 2009-08-26 西安西电捷通无线网络通信有限公司 Access authentication method suitable for IBSS network
JP5306043B2 (en) * 2009-04-28 2013-10-02 株式会社東芝 Digital TV broadcast reception system, digital TV broadcast reception processing device

Also Published As

Publication number Publication date
JP2012222705A (en) 2012-11-12

Similar Documents

Publication Publication Date Title
US7912221B2 (en) Communication apparatus and method thereof
JP5053424B2 (en) RELAY DEVICE, WIRELESS COMMUNICATION DEVICE, NETWORK SYSTEM, PROGRAM, AND METHOD
CN110324825B (en) Terminal device, communication device, and recording medium
EP3186992B1 (en) System and method for securing pre-association service discovery
JP6759011B2 (en) Communication equipment, communication methods, and programs
JP4804454B2 (en) Key distribution control device, radio base station device, and communication system
US7519184B2 (en) Wireless communication system
EP3065334A1 (en) Key configuration method, system and apparatus
JP2011073272A (en) Image processing apparatus, method performed by image processing apparatus, program, and recording medium therefor
JP2005252812A (en) Radio communications system
KR20090115292A (en) Method and apparatus for setting wireless LAN using button
JP2011176582A (en) Wireless lan device, wireless lan system, and program thereof
JP2009141587A (en) Communication apparatus, control method of communication apparatus, and computer program
EP2993933A1 (en) Wireless terminal configuration method, apparatus and wireless terminal
JP6732460B2 (en) Communication device, communication method, program
JP6570355B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
EP3291630B1 (en) Method for paging between neighbor awareness networks, and neighbor awareness network device
JP6269025B2 (en) Wireless connection apparatus, method for copying setting information related to wireless communication, and network system
JP5981761B2 (en) Communication device, control method, program
JP5904718B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM
JP2007165977A (en) Radio communication system and radio communication method
US11589223B2 (en) Terminal device and non-transitory computer-readable recording medium storing computer readable instructions for terminal device
US20090028122A1 (en) Wireless lan terminal allowing another processing in its waiting or idle state
JP6468341B2 (en) Wireless connection apparatus, method for copying setting information related to wireless communication, and network system
JP2006033399A (en) Ad hoc network communication system and method, and node device and program thereof

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140408

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140408

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141211

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141219

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150721

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150807

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160315

R151 Written notification of patent or utility model registration

Ref document number: 5904718

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees