CN101090315A - 通信设备及其方法 - Google Patents
通信设备及其方法 Download PDFInfo
- Publication number
- CN101090315A CN101090315A CNA2007101109834A CN200710110983A CN101090315A CN 101090315 A CN101090315 A CN 101090315A CN A2007101109834 A CNA2007101109834 A CN A2007101109834A CN 200710110983 A CN200710110983 A CN 200710110983A CN 101090315 A CN101090315 A CN 101090315A
- Authority
- CN
- China
- Prior art keywords
- communication
- encryption key
- key
- usefulness
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种通信设备及其方法。本发明增强了自组织模式的无线通信的安全强度。为此,检查通信设备和通信对方的终端是否可以同时使用与多个通信目的地相对应的不同加密密钥。当通信设备和通信对方的终端中的至少一个不能同时使用与多个通信目的地相对应的不同加密密钥时,将无线网络中唯一设置的加密密钥设置为与通信对方通信用的加密密钥。
Description
技术领域
本发明涉及一种通信设备及其方法,该通信设备连接到无线网络并直接与另一终端通信。
背景技术
将通信数据加密以防止偷听或篡改。特别是,由于无线通信容易被偷听,因此保证安全的通信路径是很重要的。
在基础设施(infrastructure)模式的无线网络中,通信终端(STA)和接入点(AP,access point)执行例如有线等效加密(WEP,wired equivalent privacy)或Wi-Fi保护访问(WPA,Wi-Fiprotected access)等标准。WEP通过预先在STA和AP中设置加密密钥并在通信中使用该密钥来保证安全性。然而,在该方案中,加密密钥总是固定的,并且WEP所采用的加密水平(加密算法的强度)不是很高。因此,存在不能保证安全性的各种情况。为解决这种问题而制定的WPA基于预先设置在STA和AP中的信息通过每次STA加入网络时生成加密密钥来增强加密水平和提高安全性。
在基础设施模式下,STA经由AP将数据发送到另一个STA。换句话说,由于STA只与AP直接通信,因此只能保证与AP通信的安全性。
另一方面,在自组织(ad-hoc)模式的无线网络中,没有AP,STA直接与通信对方进行通信。因此,当与多个STA通信时,必须考虑与这些STA通信的安全性。为了像基础设施模式一样保证自组织模式中的安全性,希望针对每次通信会话改变加密密钥。当使用可在市场上得到的无线网络装置以自组织模式进行通信时,预先在加入到该网络的所有STA中设置相同的加密密钥,并使用该加密密钥。因此,基础设施模式中的安全性问题仍没有解决。
为了解决这些问题,在WPA之后标准化的IEEE 802.11i提出甚至在自组织模式中也针对每次通信会话动态生成加密密钥。图1是示出IEEE 802.11i中生成加密密钥的方法的序列图。
通信终端STA1和STA2进行称为四方握手(four-wayhandshake)的消息交换,并生成和共享单播密钥PTK(pairwisetransient key,成对瞬态密钥)和群密钥GTK(group temporal key,群暂时性密钥)。在步骤S401至S404中,STA1和STA2交换作为EAPOL密钥的随机数(A Nonce和S Nonce)以生成和共享STA1在发送中使用的PTK12和GTK1。在步骤S405至S409中,STA1和STA2交换随机数以生成和共享STA2在发送中使用的PTK21和GTK2。注意,EAPOL是可扩展认证协议(extensibleauthentication protocol)的缩写。
当进一步与STA3通信时,STA1相似地进行四方握手(S410,S411),生成PTK和GTK,并与STA3共享该PTK和GTK。
该方案的特征在于通过针对每个通信对方改变加密密钥来进行通信,并且针对发送和接收设置不同的密钥。确定发送用的一个群密钥,使得全部STA都可以接收,并且每个STA具有接收用的群密钥。
由于存在无线网络装置,所以不是所有装置都能针对每个通信对方设置加密密钥。换句话说,有些装置只能设置针对全部通信对方的同一加密密钥。如果加密密钥的数目被限制为一个,则可以简化装置配置以减少成本。然而,这种对加密密钥的限制使得难以执行IEEE802.11i规范。例如,被用作AP的无线网络装置满足IEEE 802.11i的规范,但是其成本大约是被用作STA的无线网络装置的1.5倍。
因此,传统的自组织模式通信不能实现针对每个通信会话改变加密密钥。就安全性来说,IEEE802.11i是理想的方案。然而,IEEE802.11i的加密密钥生成方法很复杂,有些无线网络装置不满足IEEE802.11i的规范。因此,为了增强自组织模式中无线通信的安全强度,本发明提供一种算法,其中,如果无线网络装置包含针对每个STA改变加密密钥的功能,则该算法相应地工作;如果装置不能针对每个STA改变加密密钥,则该算法在每次建立密钥通信会话时改变加密密钥。
发明内容
在一方面,一种连接到无线网络的、用于与其它终端直接通信的通信设备,其包括:判断部,用于判断通信设备和通信对方的终端是否可以同时使用与多个通信目的地相对应的不同加密密钥;以及设置部,用于当判断部判断出通信设备和通信对方的终端中的至少一个不能同时使用与多个通信目的地相对应的不同加密密钥时,将无线网络中唯一设置的加密密钥设置为与通信对方的终端通信用的加密密钥。
在另一个方面,一种连接到无线网络的、用于与其它终端直接通信的通信设备的方法,所述方法包括以下步骤:判断步骤,用于判断通信设备和通信对方的终端是否可以同时使用与多个通信目的地相对应的不同加密密钥;以及设置步骤,用于当判断步骤判断出通信设备和所述通信对方的终端中的至少一个不能同时使用与多个通信目的地相对应的不同加密密钥时,将无线网络中唯一设置的加密密钥设置为与通信对方的终端通信用的加密密钥。
根据该方面,可以提高自组织模式中无线通信的安全强度。
通过以下参照附图对典型实施例的描述,本发明的其它特征将变得很明显。
附图说明
图1是示出IEEE802.11i中生成加密密钥的方法的序列图;
图2是示出使用无线通信进行数据传输的无线通信系统的结构的图;
图3是示出照相机的功能结构的框图;
图4是示出打印机的功能结构的框图;
图5是用于解释在基础设施模式中的AP和STA之间共享单播密钥和群密钥的方法的序列图;
图6是用于解释IEEE802.11i中指定的四方握手的扩展的图表;
图7示出当照相机和打印机开始相互通信时设置的单播密钥和群密钥;
图8是用于解释当照相机之间开始通信会话时生成加密密钥的序列图;
图9和图10是用于解释当照相机和打印机之间开始通信会话时生成加密密钥的序列图;以及
图11A至图12B是示出执行图8至图10中所示序列的处理的流程图。
具体实施方式
下文中参照附图详细说明根据本发明的一个实施例的信息处理。
无线通信系统
图2是示出使用无线通信进行数据传输的无线通信系统的结构的图。
数字照相机(下文中称为“照相机”)101和102包含无线通信功能,并且在它们之间或者与打印机103进行数据传输。允许STA直接相互通信而不经过任何AP的模式是自组织模式。
照相机
图3是示出照相机101和102的功能结构的框图,假定照相机101和102具有相同的功能。
经由系统控制器211连接到CPU 215的控制面板210包括快门开关和各种键。当按下快门开关时摄像单元202拍摄被摄体的图像。拍摄图像处理器203处理摄像单元202拍摄到的图像。显示控制器207控制显示在显示单元206上的内容,显示单元206利用LCD显示器、LED指示等向用户显示信息。(注意,可以由声音来通知信息。)注意,例如用于选择显示在显示单元206上的信息的用户操作是与控制面板210配合进行的。也就是说,显示单元206和控制面板210形成用户接口。
存储卡209连接到存储卡接口(I/F)208。USB(通用串行总线)接口(I/F)212提供用于连接外部装置的串行总线接口。音频I/F214是用于与外部装置交换音频信号的接口。
无线通信功能单元204进行无线通信。射频(RF,radiofrequency)单元205与其它无线通信装置交换无线电信号。注意,RF单元205和无线通信功能单元204有时可以作为一个功能块来实现。无线通信功能单元204基于无线电标准执行包成帧(packet framing)、对数据的响应以及数据加密/解密处理等。
CPU 215使用RAM 217或闪速存储器213作为工作存储器执行存储在ROM 216或闪速存储器213中的程序以控制上述部件。启动无线通信功能单元204和RF单元205的程序通常存储在ROM 216中。闪速存储器213是非易失性存储器,存储无线通信的设置信息等。
打印机
图4是示出打印机103的功能结构的框图。
经由系统控制器311连接到CPU 315的控制面板310包含各种键。打印机引擎302基于从打印处理器303输出的图像信号在打印薄片上打印图像。显示控制器307控制显示在显示单元306上的内容,显示单元306利用LCD显示器、LED指示等向用户显示信息。(注意,可以利用音频的方式来通知信息。)注意,例如用于选择显示在显示单元306上的信息的用户操作是与控制面板310配合进行的。也就是说,显示单元306和控制面板310形成用户接口。
存储卡309连接到存储卡I/F 308。USB I/F 312提供用于连接外部装置的串行总线接口。并行I/F 314提供用于连接外部装置的并行接口。
无线通信功能单元304进行无线通信。射频(RF)单元305与其它无线通信装置交换无线电信号。注意,RF单元305和无线通信功能单元304有时可以作为一个功能块来实现。无线通信功能单元304基于无线电标准执行包成帧、对数据的响应以及数据加密/解密处理等。
CPU 315使用RAM 317或闪速存储器313作为工作存储器执行存储在ROM 316或闪速存储器313中的程序以控制上述部件。启动无线通信功能单元304和RF单元305的程序通常存储在ROM 316中。闪速存储器313是非易失性存储器,并存储无线通信的设置信息等。
通信功能单元
是否可针对作为通信对方的每个STA改变加密密钥取决于无线通信功能单元204和304的功能。有些通信功能单元可以针对各目的地地址(IP(Internet protocol,因特网协议)地址,MAC(media access control,介质访问控制)地址等)设置不同的加密密钥,一些其它单元可以针对发送和接收设置不同的加密密钥,一些其它单元只能针对全部目的地地址设置同一加密密钥,等等。在本实施例中,假定照相机101、102和打印机103可以与每个目的地地址相对应地针对发送和接收设置同一单播密钥。然而,假定该照相机和打印机具有在它们所加入的网络中只保持一个群密钥的能力。
已经解释了本实施例中的照相机101和102以及打印机103的功能结构。注意,RF单元205或305包含天线,该天线不总是从装置中突出。特别在数字照相机的情况中,由于便携性是重要的因素,所以希望天线包含在装置表面上或在装置表面上实现而不从装置中突出。
WPA中加密密钥的共享方法
在描述在照相机101和102以及打印机103中加密密钥的共享算法之前,下面先说明在WPA中使用的加密密钥的共享方法。通过改进WPA算法,在可针对每个目的地地址改变加密密钥和不能改变加密密钥两种情况下,本发明都可以针对每个会话生成加密密钥。
图5是用于解释在基础设施模式中在AP和STA中共享单播密钥和群密钥的方法的序列图。
当STA连接到网络并与AP建立会话时,开始四方握手。AP将消息Msg1发送给STA(S501)。Msg1包括表示交换单播密钥所需消息的信息(单播)和AP生成的随机数(A Nonce)。注意,该消息的帧符合EAPOL格式。
当接收到Msg 1时,STA生成不同于A Nonce的随机数(SNonce),并将其作为Msg2发送给AP(S502)。可基于A Nonce和S Nonce以及S TA和AP预先保持的信息来生成PTK。因此,AP和STA生成PTK(S503,S504)。
AP将表示正确生成PTK的Msg3发送给STA(S505)。同样,STA将表示正确生成PTK的Msg4发送给AP(S506)。AP和S TA将PTK设置为单播密钥(S507,S508),然后AP和STA结合单播在它们之间执行加密数据传送。这样,当AP和STA交换随机数等信息元素时生成单播密钥,并且加密密钥本身不被传送。
下面说明群密钥的共享方法。
当完成了四方握手(S501~S506)时,AP生成GTK(S509)。如果GTK已经存在,则AP可以使用它。然后,AP将群密钥握手消息Msg1发送给STA(S510)。Msg1包括表示交换群密钥所需的消息的信息(Group)以及由单播密钥加密的GTK。注意,该消息的帧符合EAPOL格式。
当接收到Msg1时,STA将Msg2作为接收确认消息发送给AP(S511)。AP和STA将GTK设置为群密钥(S512,S513),然后使用该群密钥加密广播包。
四方握手的扩展
图6是用于解释IEEE 802.11i中指定的四方握手的扩展的图表。IEEE8 02.11i扩展以允许在四方握手中交换GTK。执行与图5中的步骤S501~S503相同的步骤(S601~S603)直到AP和STA交换Msg2。AP生成GTK和PTK(S604),并将由PTK加密的GTK附加到Msg3(S605)。STA将表示正确生成PTK的Msg4发送给AP(S606)。这样,设计该序列以消除群密钥握手的需要。当接收到Msg3时,由于STA已经在步骤S603中生成PTK,所以STA可以解密GTK。因此,AP和STA将PTK设置为单播密钥,将GTK设置为群密钥(S607,S608)。
针对每个通信会话的加密密钥生成
在基础设施模式和自组织模式之间有两个大的不同。作为第一个不同,在基础设施模式中指定从AP发送四方握手的Msg1。另一方面,在自组织模式中,由于STA直接相互通信,所以任一个STA可以首先发送Msg1。在这方面本实施例没有具体规定,并且首先发送Msg1的STA开始四方握手。
作为第二个不同,在自组织模式中,由于STA直接发送数据,所以必须确定是对各STA使用不同的加密密钥还是对全部STA使用同一加密密钥。为了防止加密密钥被破坏,希望针对每个会话设置加密密钥。当对全部STA使用同一加密密钥时,其共享方法会引起问题。为了针对每个通信对方改变加密密钥,需要通信功能单元的密钥管理处理,因此需要处理开销和管理成本。因为这些原因,在目前情况下,大多数无线网络装置被设计成针对目的地只具有一个单播密钥。
本实施例允许在每次建立通信会话时改变加密密钥。此外,当STA包含能够针对每个目的地改变加密密钥的功能时,使用不同的加密密钥;当STA不包含能够针对每个目的地改变加密密钥的功能时,针对全部S TA使用同一加密密钥。这样,具有高级功能的STA可以享受该功能的益处,而不具有该功能的STA可保证最低限度的安全性。
为了实现上述功能,通信终端交换以下两个信息。
(A)功能信息:当STA具有能够针对每个目的地改变加密密钥的功能时,TYPE1;否则,TYPE2。
(B)群密钥信息:当STA已经保持群密钥时,GkeyExist;否则,GkeyNotExist。
在上述四方握手中交换上述信息使加密密钥可以被共享,如图7中所示。
由于照相机101和102属于TYPE1,所以由对这两个STA唯一的单播密钥PTK1来保护它们之间单播通信的安全性。属于TYPE2的打印机103使用同一单播密钥与照相机101和102通信。打印机103使用作为照相机101和102之间的单播密钥的群密钥GTK。注意,打印机103针对这两个目的地使用相同的密钥,但是在它每次加入网络并建立会话时可以使用不同的群密钥GTK。因此,与WEP相比解密加密密钥更难。
照相机对照相机
图8是用于解释当照相机101和102之间开始通信会话时生成加密密钥的序列图。除了功能信息和群密钥信息被交换以外,该序列与上述四方握手几乎相同。
照相机101将Msg1发送给照相机102(S1001)。该帧Msg1包括照相机101生成的随机数(A Nonce)。当接收到Msg1后,照相机102向照相机101发送Msg2(S1002)。Msg2包括:不同于照相机101的随机数的随机数(S Nonce)、作为功能信息的TYPE1以及作为群密钥信息表示没有保持群密钥的GkeyNotExist。注意,Msg2中的这些信息的存储位置没有具体限制。然而,优选地将它们存储在可以自扩展的鲁棒安全网络(RSN,Robust SecurityNetwork)信息元件中。
照相机101和102基于A Nonce和S Nonce以及由照相机101和102预先保持的信息来生成PTK(S1003,S1004)。此外,照相机101基于附加到Msg2的GkeyNotExist检测到照相机102没有保持任何群密钥,并生成GTK(S1004)。照相机101向照相机102发送Msg3(S1005)。Msg3包括:由PTK加密的GTK以及作为功能信息的TYPE1。当接收到Msg3后,照相机102解密使用PTK加密的GTK,并发送Msg4作为对照相机101的确认响应(S1006)。
如果照相机101和102基于交换的功能信息检测到双方都具有TYPE1功能,则它们将PTK设置为单播密钥,将GTK设置为群密钥(S1007,S1008)。
照相机对打印机
图9是用于解释当照相机101和打印机103之间开始通信会话时生成加密密钥的序列图。
照相机101将Msg1发送给打印机103(S1101)。该帧Msg1包括照相机101生成的随机数(A Nonce)。当接收到Msg1时,打印机103向照相机101发送Msg2(S1102)。Msg2包括:不同于照相机101的随机数的随机数(S Nonce)、作为功能信息的TYPE2以及作为群密钥信息表示没有保持群密钥的GkeyNotExist。
照相机101和打印机103基于A Nonce和S Nonce以及由照相机101和打印机103预先保持的信息来生成PTK(S1103,S1104)。此外,照相机101基于附加到Msg2的GkeyNotExist检测到该打印机没有保持任何群密钥,并使用例如与照相机102开始通信会话时生成的GTK。也就是说,照相机101向打印机103发送Msg3(S1105)。Msg3包括:由PTK加密的GTK(例如在步骤S1004中生成的)以及作为功能信息的TYPE1。当接收到Msg3时,打印机103解密使用PTK加密的GTK,并发送Msg4作为对照相机101的确认响应(S1106)。
如果照相机101和打印机103基于交换的功能信息检测到有一个不具有TYPE1功能,那么它们同意使用GTK作为单播密钥和群密钥,并将GTK设置为单播密钥和群密钥(S1107,S1108)。
打印机对照相机
图10是用于解释当照相机101和打印机103之间开始通信会话时生成加密密钥的序列图。与图9不同,打印机103开始四方握手。
打印机103将Msg1发送给照相机101(S1201)。该帧Msg 1包括打印机103生成的随机数(A Nonce)。当接收到Msg1时,照相机101向打印机103发送Msg2(S1202)。Msg2包括:不同于打印机103的随机数的随机数(S Nonce)、作为功能信息的TYPE1以及作为群密钥信息表示已经保持群密钥的GkeyExist。
打印机103和照相机101基于A Nonce和S Nonce以及由打印机103和照相机101预先保持的信息来生成PTK(S1203,S1204)。打印机103基于附加到Msg2的GkeyExist检测到照相机101已经保持群密钥,而不生成任何GTK。然后打印机103将包括作为功能信息的TYPE2的Msg3发送给照相机101(S1205)。当接收到Msg3时,照相机101发送Msg4作为对打印机103的确认响应(S1206)。
如果照相机101确认没有设置与打印机103的群密钥,那么照相机101开始群密钥握手以将包括使用PTK加密的GTK的Msg1发送给打印机103(S1207)。当接收到Msg1时,打印机103返回Msg2作为确认响应(S1208)。
如果打印机103和照相机101基于交换的功能信息检测到有一个不具有TYPE1功能,则它们同意使用GTK作为单播密钥和群密钥,并将GTK设置为单播密钥和群密钥(S1209,S1210)。
已经说明了三个代表性序列例子。该序列根据是否保持有群密钥以及哪个STA保持该群密钥而改变。注意,本领域的技术人员可以很容易地想象出这种改变。
算法
图11A~图12B是示出用于执行图8~图10中所示序列的处理的流程图。照相机101和102的CPU 215以及打印机103的CPU315执行该处理。注意,该算法依据是发送还是接收四方握手的Msg1而改变。因此,图11A和图11B示出发送Msg1时的处理,图12A和图12B示出接收Msg1时的处理。
发送Msg1
首先说明发送Msg1的情况(图11A和图11B)。
在加入自组织网络之后,CPU响应于来自应用程序等的指令向另一STA发送数据。在此情况下,CPU检查是否没设置针对该目的地的加密密钥并且还没开始与该目的地的四方握手(在图11A~图12B中记为4WHS)(S701)。如果设置了加密密钥,或者已经开始了四方握手,则由于不需要执行随后的处理,所以CPU结束该处理。
如果没有设置加密密钥并且还没开始四方握手,则CPU将Msg1发送给目的地(S702),检查是否在预定时间段内接收到Msg2(S703)。如果在预定时间段内没有接收到Msg2,则CPU结束该处理;否则,生成PTK(S704)。
CPU检查是否已经保持群密钥(S705)。如果保持了群密钥,则CPU发送Msg3(S708),Msg3包括使用PTK加密的群密钥(GTK)和功能信息。如果没有保持群密钥,则CPU基于所接收到的Msg2中包括的群密钥信息检查通信对方是否保持群密钥(S706)。如果通信对方也没有保持群密钥,则CPU生成GTK(S707),并发送Msg3(S708),Msg3包括使用PTK加密的GTK和功能信息。如果通信对方已经保持群密钥,则CPU发送包括功能信息的Msg3(S709)。
CPU检查在预定的时间段内是否接收到Msg4(S710)。如果在预定的时间段内没有接收到Msg4,则CPU结束处理。如果在预定的时间段内接收到Msg4,则CPU检查是否保持了群密钥或者生成了GTK(S711)。
如果保持了群密钥或者生成了GTK,则由于可以共享单播密钥和群密钥,所以处理前进到步骤S714。如果没有保持群密钥并且没有生成GTK,则CPU在预定时间段内等待群密钥握手的开始(在图11A~12B中记为GHS)(S712)。如果在预定的时间段内没有接收到群密钥握手的Msg1,则CPU结束处理;否则,CPU返回群密钥握手的Msg2(S713)。这样,可以共享单播密钥和群密钥。
CPU检查在步骤S703中接收到的Msg2中包括的通信对方的功能信息和它自己的功能信息(S714)。如果这两个功能信息中的一个表示TYPE2,则CPU将GTK设置为单播密钥和群密钥(S715)。如果这两个功能信息表示TYPE1,则CPU将PTK设置为单播密钥,将GTK设置为群密钥(S716)。
接收Msg1
下面说明接收Msg1的情况。
当接收到四方握手的Msg1时(S801),CPU检查是否没设置发送Msg1的STA的加密密钥并且与该STA的四方握手还没开始(S802)。如果设置了加密密钥,或者四方握手已经开始,则由于不需要执行随后的处理,所以CPU结束处理。
如果没有设置加密密钥并且四方握手还没开始,则CPU生成PTK(S803),并向通信对方发送包括功能信息和群密钥信息的Msg2(S804)。CPU检查在预定的时间段内是否接收到Msg3(S805)。如果在预定的时间段内没有接收到Msg3,则CPU结束处理。
如果在预定的时间段内接收到Msg3,则CPU检查它自己是否已经保持群密钥(S806)。如果已经保持群密钥,则CPU检查Msg3是否包括(加密的)GTK(S807)。如果Msg3包括GTK,则CPU检查它自己保持的群密钥(GTK)是否等于Msg3中所包括的GTK(S808)。如果这两个GTK不同,则该四方握手以失败结束。如果这两个GTK彼此相等,如果在步骤S806中判断为没有保持群密钥,或者在步骤S807中判断为Msg3不包括任何GTK,则CPU发送Msg4以结束四方握手(S809)。
CPU检查是否保持了群密钥或GTK(S810)。如果没有保持群密钥或GTK,则CPU生成GTK(S811),并将包括加密的GTK的GHS的Msg1发送给通信对方(S812)。CPU检查在预定的时间段内是否接收到GHS的Msg2(S813)。如果在预定的时间段内没有接收到GHS的Msg2,则CPU结束处理。如果在步骤S810中判断出保持了群密钥或者GTK,则CPU检查群密钥与GTK是否匹配(S817)。如果它们不匹配,则CPU使用群密钥作为GTK发送包括加密的GTK的GHS的Msg1(S812)。
如果在预定的时间段内接收到GHS的Msg2,或者如果在步骤S817中群密钥与GTK匹配,则CPU检查在步骤S805中接收到的Msg3中包括的通信对方的功能信息和它自己的功能信息(S814)。如果这两个功能信息中的一个表示TYPE2,则CPU将GTK设置为单播密钥和群密钥(S815)。如果这两个功能信息表示TYPE1,则CPU将PTK设置为单播密钥,将GTK设置为群密钥(S816)。
图7示出当照相机101和102以及打印机103以上述序列开始通信时设置的单播密钥和群密钥。这样,以自组织模式相互通信的照相机101和102以及打印机103可以通过在每次建立通信会话时使用不同的加密密钥来增强安全性,防止偷听和窃听。此外,由于可以原样使用现有的无线装置,所以能够以低成本来改善安全强度。
典型实施例
本发明可应用于由多个装置(例如,主计算机、接口、阅读器、打印机)构成的系统,也可应用于包含单个装置(例如,复印机、传真机)的设备。
此外,本发明可将存储有用于执行上述处理的程序代码的存储介质提供给计算机系统或设备(例如,个人计算机),由该计算机系统或设备的CPU或MPU从该存储介质中读取该程序代码,然后执行该程序。
在此情况下,从存储介质中读取的程序代码实现根据实施例的功能。
此外,可以使用例如软盘、硬盘、光盘、磁光盘、CD-ROM、CD-R、磁带、非易失型存储卡以及ROM等存储介质来提供该程序代码。
此外,除了可通过执行由计算机读取的程序代码来实现的根据上述实施例的上述功能以外,本发明还包括以下情况:运行在计算机上的OS(操作系统)等根据程序代码的指令执行至少一部分处理来实现根据上述实施例的功能。
此外,本发明还包括这样的情况:将从存储介质中读取的程序代码写入插入在计算机中的功能扩展卡或连接到计算机的功能扩展单元中所提供的存储器中之后,包含在该功能扩展卡或功能扩展单元中的CPU等根据该程序代码的指令执行至少一部分处理来实现上述实施例的功能。
在将本发明应用于上述存储介质的情况中,存储介质存储对应于实施例中所述流程图的程序代码。
尽管参考典型实施例说明了本发明,但是应该理解,本发明不局限于所公开的典型实施例。所附权利要求的范围符合最宽的解释以包含全部修改和等同结构及功能。
Claims (6)
1.一种通信设备,其连接到无线网络、用于与其它终端直接通信,所述通信设备包括:
判断部,用于判断所述通信设备和通信对方的终端是否可以同时使用与多个通信目的地相对应的不同加密密钥;以及
设置部,用于当所述判断部判断出所述通信设备和所述通信对方的终端中的至少一个不能同时使用与所述多个通信目的地相对应的不同加密密钥时,将所述无线网络中唯一设置的加密密钥设置为与所述通信对方的终端通信用的加密密钥。
2.根据权利要求1所述的通信设备,其特征在于,由所述设置部设置的所述加密密钥是会话密钥。
3.根据权利要求1或2所述的通信设备,其特征在于,在所述无线网络中唯一设置的所述加密密钥是在终端群中通信用的加密密钥。
4.根据权利要求3所述的通信设备,其特征在于,还包括:
确定部,用于确定所述通信设备和所述通信对方的终端是否保持了所述在终端群中通信用的加密密钥;
群密钥生成部,用于当所述确定部确定出所述通信设备没有保持所述在终端群中通信用的加密密钥并且所述通信对方的终端没有保持所述在终端群中通信用的加密密钥时,生成所述在终端群中通信用的加密密钥;以及
接收部,用于当所述确定部确定出所述通信设备没有保持所述在终端群中通信用的加密密钥而所述通信对方的终端保持了所述在终端群中通信用的加密密钥时,从所述通信对方的终端接收所述在终端群中通信用的加密密钥。
5.根据权利要求3所述的通信设备,其特征在于,还包括单播密钥生成部,该单播密钥生成部用于生成与所述通信对方的终端间的单播密钥,
其中,当所述判断部判断出所述通信设备和所述通信对方的终端可以同时使用与所述多个通信目的地相对应的不同加密密钥时,所述设置部将所生成的单播密钥设置为与所述通信对方的终端通信用的加密密钥。
6.一种连接到无线网络用于与其它终端直接通信的通信设备的方法,所述方法包括以下步骤:
判断步骤,用于判断所述通信设备和通信对方的终端是否可以同时使用与多个通信目的地相对应的不同加密密钥;以及
设置步骤,用于当所述通信设备和所述通信对方的终端中的至少一个不能同时使用与所述多个通信目的地相对应的不同加密密钥时,将所述无线网络中唯一设置的加密密钥设置为与所述通信对方的终端通信用的加密密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006-162812 | 2006-06-12 | ||
| JP2006162812 | 2006-06-12 | ||
| JP2006162812A JP4989117B2 (ja) | 2006-06-12 | 2006-06-12 | 通信装置およびその方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101090315A true CN101090315A (zh) | 2007-12-19 |
| CN101090315B CN101090315B (zh) | 2010-06-30 |
Family
ID=38606542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101109834A Expired - Fee Related CN101090315B (zh) | 2006-06-12 | 2007-06-12 | 通信设备及其方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7912221B2 (zh) |
| EP (1) | EP1868314B1 (zh) |
| JP (1) | JP4989117B2 (zh) |
| KR (1) | KR100886691B1 (zh) |
| CN (1) | CN101090315B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8792646B2 (en) | 2008-03-25 | 2014-07-29 | Qualcomm Incorporated | Systems and methods for group key distribution and management for wireless communications systems |
| CN107425961A (zh) * | 2011-09-12 | 2017-12-01 | 高通股份有限公司 | 执行链路建立和认证的系统和方法 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4881813B2 (ja) * | 2007-08-10 | 2012-02-22 | キヤノン株式会社 | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
| US9198033B2 (en) * | 2007-09-27 | 2015-11-24 | Alcatel Lucent | Method and apparatus for authenticating nodes in a wireless network |
| JP2009182391A (ja) * | 2008-01-29 | 2009-08-13 | Softbank Mobile Corp | 通信システム |
| US8270414B2 (en) * | 2008-08-20 | 2012-09-18 | Intel Corporation | Apparatus and method to dynamically handover master functionality to another peer in a wireless network |
| JP5649694B2 (ja) * | 2008-08-29 | 2015-01-07 | キヤノン株式会社 | 通信装置、制御方法、及びプログラム |
| JP5307508B2 (ja) * | 2008-08-29 | 2013-10-02 | キヤノン株式会社 | 通信装置、通信方法、コンピュータプログラム |
| JP5472977B2 (ja) * | 2009-08-27 | 2014-04-16 | 日本電気通信システム株式会社 | 無線通信装置 |
| JP5279693B2 (ja) * | 2009-12-14 | 2013-09-04 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
| GB2500720A (en) * | 2012-03-30 | 2013-10-02 | Nec Corp | Providing security information to establish secure communications over a device-to-device (D2D) communication link |
| US9240881B2 (en) * | 2012-04-30 | 2016-01-19 | Alcatel Lucent | Secure communications for computing devices utilizing proximity services |
| JP5981761B2 (ja) * | 2012-05-01 | 2016-08-31 | キヤノン株式会社 | 通信装置、制御方法、プログラム |
| US10390954B2 (en) * | 2015-02-17 | 2019-08-27 | Biocomposites Limited | Method to introduce an implantable device to fill a bone void whilst minimising pressurisation |
| GB2535487A (en) * | 2015-02-17 | 2016-08-24 | Biocomposites Ltd | Device to fill a bone void whilst minimising pressurisation |
| JP2020099025A (ja) * | 2018-12-19 | 2020-06-25 | Necプラットフォームズ株式会社 | 無線親機、無線中継機、無線通信システム、無線通信方法、及びプログラム |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10190650A (ja) * | 1996-12-27 | 1998-07-21 | Canon Inc | 暗号方法及びそれを用いる通信システム |
| WO2001033771A1 (fr) * | 1999-11-01 | 2001-05-10 | Sony Corporation | Systeme et procede de transmission d'information, emetteur et recepteur, dispositif et procede de traitement de donnees ainsi que support enregistre |
| JP2003069547A (ja) * | 2001-08-29 | 2003-03-07 | Fujitsu Ltd | マルチキャスト通信システム |
| KR100888472B1 (ko) * | 2002-07-06 | 2009-03-12 | 삼성전자주식회사 | 이중키를 이용한 암호화방법 및 이를 위한 무선 랜 시스템 |
| JP2004266342A (ja) * | 2003-02-03 | 2004-09-24 | Sony Corp | 無線アドホック通信システム、端末、その端末における復号方法、暗号化方法及びブロードキャスト暗号鍵配布方法並びにそれらの方法を端末に実行させるためのプログラム |
| JP2004260556A (ja) | 2003-02-26 | 2004-09-16 | Mitsubishi Electric Corp | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 |
| KR100527631B1 (ko) | 2003-12-26 | 2005-11-09 | 한국전자통신연구원 | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 |
| JP2005223773A (ja) * | 2004-02-09 | 2005-08-18 | Hitachi Ltd | グループ内共通鍵の生成と共有方法およびその装置 |
| CN1662001B (zh) * | 2004-02-26 | 2011-05-18 | 神州亿品科技有限公司 | 一种无线局域网移动用户的分组实现方法 |
| JP4554968B2 (ja) | 2004-03-26 | 2010-09-29 | 株式会社日立製作所 | アドホックネットワークにおける無線通信端末装置 |
| JP4551202B2 (ja) | 2004-12-07 | 2010-09-22 | 株式会社日立製作所 | アドホックネットワークの認証方法、および、その無線通信端末 |
| KR100640003B1 (ko) | 2005-09-13 | 2006-11-01 | 한국전자통신연구원 | 무선 센서 네트워크에서의 키 설정 방법 |
-
2006
- 2006-06-12 JP JP2006162812A patent/JP4989117B2/ja not_active Expired - Fee Related
-
2007
- 2007-06-08 US US11/760,099 patent/US7912221B2/en not_active Expired - Fee Related
- 2007-06-12 KR KR1020070057144A patent/KR100886691B1/ko not_active IP Right Cessation
- 2007-06-12 CN CN2007101109834A patent/CN101090315B/zh not_active Expired - Fee Related
- 2007-06-12 EP EP07110046.5A patent/EP1868314B1/en not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8792646B2 (en) | 2008-03-25 | 2014-07-29 | Qualcomm Incorporated | Systems and methods for group key distribution and management for wireless communications systems |
| CN101981892B (zh) * | 2008-03-25 | 2015-07-15 | 高通股份有限公司 | 用于无线通信系统的群密钥分发和管理的系统和方法 |
| CN107425961A (zh) * | 2011-09-12 | 2017-12-01 | 高通股份有限公司 | 执行链路建立和认证的系统和方法 |
| CN107425961B (zh) * | 2011-09-12 | 2021-01-22 | 高通股份有限公司 | 执行链路建立和认证的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1868314A1 (en) | 2007-12-19 |
| KR100886691B1 (ko) | 2009-03-04 |
| JP2007336010A (ja) | 2007-12-27 |
| US7912221B2 (en) | 2011-03-22 |
| EP1868314B1 (en) | 2016-03-23 |
| JP4989117B2 (ja) | 2012-08-01 |
| KR20070118550A (ko) | 2007-12-17 |
| US20080019520A1 (en) | 2008-01-24 |
| CN101090315B (zh) | 2010-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101090315B (zh) | 通信设备及其方法 | |
| US7760885B2 (en) | Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same | |
| CN101534505B (zh) | 通信装置和通信方法 | |
| JP4881813B2 (ja) | 通信装置、通信装置の通信方法、プログラム、記憶媒体 | |
| EP3637814A1 (en) | Communication device, control method for communication device and program | |
| KR100795499B1 (ko) | 통신장치 및 통신방법 | |
| WO2014180296A1 (zh) | 一种设备之间建立连接的方法、配置设备和无线设备 | |
| JP6732460B2 (ja) | 通信装置、通信方法、プログラム | |
| JP2017130727A (ja) | 通信装置、通信パラメータの共有方法、プログラム | |
| WO2015100675A1 (zh) | 一种网络配置方法、相关装置及系统 | |
| JP6570355B2 (ja) | 通信装置、通信方法及びプログラム | |
| CN105634720A (zh) | 加密安全配置文件 | |
| JP2007259386A (ja) | 通信システム及び通信装置 | |
| JP4506999B2 (ja) | 無線lanシステム | |
| JP7309345B2 (ja) | 通信装置、制御方法及びプログラム | |
| JP2003333031A (ja) | 通信装置、通信システム、通信方法、記憶媒体、及びプログラム | |
| JP2023120266A (ja) | 通信装置、制御方法、およびプログラム | |
| JP2007053612A (ja) | 通信機器及び通信方法 | |
| JP7406893B2 (ja) | 通信装置、制御方法およびプログラム | |
| JP2007507146A (ja) | データ暗号化方法及び装置 | |
| WO2019021770A1 (ja) | 通信装置、通信装置の制御方法及びプログラム | |
| KR20080077500A (ko) | 가시검증 가능한 키 교환 장치, 신뢰된 인증 기관을 이용한가시검증 가능한 키 교환 시스템, 그 방법 및 기록매체 | |
| WO2020090443A1 (ja) | 通信装置、制御方法及びプログラム | |
| JP5491015B2 (ja) | 無線通信チャネルの設定のための仲介装置及びプログラム | |
| JP2005065192A (ja) | 端末間の相互認証方法及び端末 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100630 Termination date: 20170612 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |