JP2005295297A - Authentication method, communication device, and authentication device - Google Patents
Authentication method, communication device, and authentication device Download PDFInfo
- Publication number
- JP2005295297A JP2005295297A JP2004108831A JP2004108831A JP2005295297A JP 2005295297 A JP2005295297 A JP 2005295297A JP 2004108831 A JP2004108831 A JP 2004108831A JP 2004108831 A JP2004108831 A JP 2004108831A JP 2005295297 A JP2005295297 A JP 2005295297A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- authentication
- function
- delay time
- measurement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネット家電機器において、接続距離の制限を設ける機器認証方法とその装置に関わる。 The present invention relates to a device authentication method and apparatus for providing a connection distance restriction in an internet home appliance.
近年、インターネットを中心としたIP(インターネットプロトコル)ネットワークが急速に拡大し、パーソナルコンピュータの他、映像機器や監視カメラ、IP電話等のさまざまな家電機器がIPネットワークに接続する傾向にある。特に、IPネットワークを用いた通信により、映像コンテンツを映像機器間で送受して利用者の利便を図るコンセプトが存在する。このような場合に、映像などのコンテンツの著作権保護を図るため、機器の通信範囲を限定する必要に迫られる。 In recent years, the IP (Internet Protocol) network centering on the Internet has rapidly expanded, and various home appliances such as video devices, surveillance cameras, and IP telephones tend to connect to the IP network in addition to personal computers. In particular, there is a concept in which video content is transmitted and received between video devices through communication using an IP network to improve user convenience. In such a case, it is necessary to limit the communication range of the device in order to protect the copyright of content such as video.
しかし、従来のIPネットワークの技術は全世界をシームレスに接続することが重視され、物理的距離に制限を与える必要がなかったため、この様な著作権者の要求にこたえる一般的技術が存在しない。 However, since the conventional IP network technology places importance on seamless connection of the whole world and it is not necessary to limit the physical distance, there is no general technology that can meet such a request from the copyright holder.
現状のネットワーク技術においてこのような制約を持たせるための技術には、たとえば特許文献1に記載のようなものが存在する。図5は、前記特許文献1に記載された従来の通信装置の内部構成を示すものである。 In the current network technology, for example, there is a technology described in Patent Document 1 for providing such a restriction. FIG. 5 shows an internal configuration of a conventional communication apparatus described in Patent Document 1.
図5における通信装置は、AVデータの生成や蓄積を行い、ネットワークに送出するAVデータのソースとなるAVデータ生成/蓄積部511、タイムスタンプ処理やシーケンス番号処理等、これらのAVデータのトランスポートレイヤ層の処理を行なうRTP処理部512、これらのパケットをTCP/IPのパケットで送受信するTCP/IPパケット送受信部513、暗号化等の著作権保護の処理が必要なデータに関して、AVデータの暗号化処理を行なう著作権保護暗号化部514、イーサネット(R)フレームを送受信するイーサネット(R)フレーム送受信部515、IPアドレスとイーサネット(R)アドレスの対応を取るためのIP/イーサネット(R)アドレス対応テーブル部516、著作権保護のために、AV受信装置との間で認証や鍵交換等を行なうための著作権保護認証・鍵交換部517、無線ネットワークとのインタフェース部(無線ネットワークI/F部)518を備えている。
The communication apparatus in FIG. 5 generates and stores AV data, and transports AV data such as an AV data generation /
ここで、著作権保護認証・鍵交換部517は、著作権保護としての暗号化及び復号化のための認証・鍵交換の手続きのためのデータのやりとりを、無線ネットワークI/F部518との間で直接行なう。すなわち、前記特許文献1に記載された従来の通信装置は、著作権に関わる情報の受け渡しを物理ネットワークフレーム上又はデータリンクレイヤネットワークフレーム上にて直接行なうことを特徴とする。これは物理ネットワークあるいはデータリンクネットワークの情報は、そのままでは、IPネットワークを介して遠隔地に転送できないことを利用している。
しかし、従来の通信機器による距離制限技術は、データリンクネットワーク自体を遠隔地へ中継する技術、いわゆるレイヤ2トンネル技術により無効にできる。このようなレイヤ2中継技術には、たとえばRFC2661に記載されるような「L2TP」の名称で公知であるレイヤ2トンネリングプロトコルなどが上げられる。これらの技術によって、データリンクレイヤのプロトコルをIPネットワークのネットワークレイヤ以上のプロトコルを介して中継し、遠隔に離れた拠点のデータリンクレイヤのネットワークを結合して単一ネットワークとすることができる。 However, the conventional distance limiting technology using communication equipment can be invalidated by a technology for relaying the data link network itself to a remote location, so-called layer 2 tunnel technology. As such a layer 2 relay technology, for example, a layer 2 tunneling protocol known by the name of “L2TP” as described in RFC2661 is raised. With these technologies, the data link layer protocol can be relayed via a protocol higher than the network layer of the IP network, and the data link layer networks at remote locations can be combined to form a single network.
また、鍵交換などの高位機能がデータリンクレイヤプロトコルや物理レイヤプロトコルの特性や上位インタフェースに依存するために、異なるデータリンクレイヤプロトコルや物理レイヤプロトコルごとに適する高位機能が必要となり、好ましくない。 In addition, since high-level functions such as key exchange depend on characteristics of the data link layer protocol and physical layer protocol and higher interfaces, a high-level function suitable for each different data link layer protocol and physical layer protocol is required, which is not preferable.
さらに、単一のデータリンクネットワークでしかサービスを提供できないため、複数の異なるネットワークで構成したネットワークに対応できない。 Furthermore, since the service can be provided only by a single data link network, it cannot cope with a network constituted by a plurality of different networks.
また、宅外ネットワークにおける通信遅延時間が比較的大である傾向を利用して、通信距離を類推することは、十分低速の宅外ネットワークでは可能であるかもしれない。しかし、近年のブロードバンド化に伴い宅外ネットワークの通信遅延時間はかなり小さくなり、一方、通常の宅内ネットワークの通信方式によっては、通信遅延時間は正確に予測することが困難である場合もあるために、このような方法では要求を完全には満足できない。 In addition, it may be possible to estimate the communication distance by using the tendency that the communication delay time in the outside network is relatively large in the sufficiently low-speed outside network. However, with the recent trend toward broadband, the communication delay time of out-of-home networks has become considerably small. On the other hand, depending on the communication method of a normal home network, it may be difficult to accurately predict the communication delay time. Such a method cannot completely satisfy the requirements.
本発明は、このような課題を解決し、映像などのコンテンツの著作権保護を図るために通信装置の通信距離を制限する認証方法、通信装置及び認証装置を提供することを目的とする。 An object of the present invention is to provide an authentication method, a communication apparatus, and an authentication apparatus that limit the communication distance of the communication apparatus in order to solve such problems and protect the copyright of content such as video.
以上に述べた課題を解決するため、本発明は、通信遅延時間が予測可能な通信モードを備える通信手段によって相互に接続される2つの通信装置における、通信距離が所定の範囲内にあることを認証する認証方法であって、通信遅延時間が予測可能な通信モードにおける自通信装置と相手通信装置間での通信のラウンドトリップ時間を測定する測定工程と、測定したラウンドトリップ時間が所定の範囲内に収まれば、相手通信装置を認証する認証工程を有することを特徴とする認証方法を開示する。 In order to solve the above-described problems, the present invention provides that the communication distance in two communication devices connected to each other by communication means having a communication mode in which a communication delay time can be predicted is within a predetermined range. An authentication method for authenticating, wherein a measurement step of measuring a round trip time of communication between the own communication device and a partner communication device in a communication mode in which a communication delay time can be predicted, and the measured round trip time is within a predetermined range The authentication method is characterized by having an authentication process for authenticating the counterpart communication device.
また、第2の通信手段により相互に接続される2つの通信装置における、通信距離が所定の範囲内にあることを認証する認証方法であって、さらに通信遅延時間が予測可能な第1の通信手段により各々の通信装置に相互に接続される認証装置を有し、認証装置と一方の通信装置との間の通信における第1のラウンドトリップ時間を測定する測定工程と、認証装置と他方の通信装置との間の通信における第2のラウンドトリップ時間を測定する測定工程と、測定した各々のラウンドトリップ時間が所定の範囲内に収まれば、通信装置間の認証関係を確立する認証工程を有することを特徴とする認証方法を開示する。 Further, in the two communication devices connected to each other by the second communication means, the authentication method for authenticating that the communication distance is within a predetermined range, and further the first communication in which the communication delay time can be predicted A measuring step of measuring a first round trip time in communication between the authentication device and one communication device, and an authentication device and the other communication A measurement step of measuring a second round trip time in communication with a device, and an authentication step of establishing an authentication relationship between communication devices if each measured round trip time is within a predetermined range An authentication method is disclosed.
また、第2の通信手段により相互に接続される2つの通信装置における、通信距離が所定の範囲内にあることを認証する認証方法であって、さらに通信遅延時間が予測可能な第1の通信手段により各々の通信装置に接続される認証装置を有し、通信装置及び認証装置の各々の時刻を同期させる工程と、認証装置から一方の通信装置への通信における第1の通信遅延時間を測定する測定工程と、認証装置から他方の通信装置への通信における第2の通信遅延時間を測定する測定工程と、測定した各々の通信遅延時間が所定の範囲内に収まれば、通信装置間の認証関係を確立する認証工程を有することを特徴とする認証方法を開示する。 Further, in the two communication devices connected to each other by the second communication means, the authentication method for authenticating that the communication distance is within a predetermined range, and further the first communication in which the communication delay time can be predicted Having an authentication device connected to each communication device by means, and synchronizing a time of each of the communication device and the authentication device, and measuring a first communication delay time in communication from the authentication device to one communication device A measuring step of measuring, a measuring step of measuring a second communication delay time in communication from the authentication device to the other communication device, and authentication between the communication devices if each measured communication delay time is within a predetermined range An authentication method is disclosed that includes an authentication step of establishing a relationship.
ここで、前記第1の通信手段は電波無線通信あるいは赤外線通信を用いるものであってよく、また前記第2の通信手段は、インターネットプロトコルを用いる有線もしくは無線による通信ネットワークを介する通信であってよい。 Here, the first communication unit may use radio wave communication or infrared communication, and the second communication unit may perform communication via a wired or wireless communication network using an Internet protocol. .
また、前記第1の通信手段と前記第2の通信手段は、商用電力線や電波無線通信などの共用の通信媒体を利用する複数のモードを選択可能な通信方式により提供され、前記第1の通信手段においては、通信遅延時間が予測可能なモードが選択されることを特徴とする認証方法を開示する。 Further, the first communication means and the second communication means are provided by a communication method capable of selecting a plurality of modes using a common communication medium such as a commercial power line or radio wave communication, and the first communication In the means, an authentication method is disclosed in which a mode in which a communication delay time can be predicted is selected.
また、通信距離が所定の範囲内にあることを認証する通信装置であって、他の通信装置と接続され、通信遅延時間が予測可能な通信モードを備える通信機能と、通信遅延時間が予測可能な通信モードを用いて相手通信装置と情報を送受信してラウンドトリップ時間を測定する測定機能と、相手通信装置での測定結果と自通信装置の測定結果がともに予測値と誤差範囲内で一致をみたと判断される場合に相手通信装置を認証する認証機能とを備えることを特徴とする通信装置を開示する。 Also, a communication device that authenticates that the communication distance is within a predetermined range, which is connected to another communication device and has a communication mode capable of predicting the communication delay time, and the communication delay time can be predicted. The measurement function that measures the round trip time by sending / receiving information to / from the other communication device using a different communication mode, and the measurement result of the other communication device and the measurement result of the own communication device both match within the predicted value and error range. A communication device is provided that includes an authentication function for authenticating a partner communication device when it is determined to have been viewed.
また、通信距離が所定の範囲内にあることを認証する通信装置であって、認証装置と接続され、通信遅延時間が予測可能な第1の通信機能と、他の通信装置と接続される第2の通信機能と、認証装置と情報を送受信して通信のラウンドトリップ時間を測定する測定機能と、相手通信装置での測定結果と自通信装置の測定結果がともに予測値と誤差範囲内で一致をみたと判断される場合に相手通信装置を認証する認証機能とを備えることを特徴とする通信装置を開示する。ここで前記第1の通信機能と前記第2の通信機能は、共用の通信媒体を用いる通信方式によって提供され、前記第1の通信機能は、通信方式が備える通信遅延時間が予測可能な通信モードを利用するものであってよい。 A communication device that authenticates that the communication distance is within a predetermined range, the first communication function being connected to the authentication device and predicting the communication delay time, and the first communication function being connected to another communication device. The communication function of 2 and the measurement function that measures the round-trip time of communication by sending and receiving information to and from the authentication device, and the measurement result of the other communication device and the measurement result of the own communication device both match within the predicted value and error range A communication device is provided that includes an authentication function for authenticating a partner communication device when it is determined that the device has been viewed. Here, the first communication function and the second communication function are provided by a communication method using a common communication medium, and the first communication function is a communication mode in which a communication delay time included in the communication method can be predicted. May be used.
また、通信装置間の通信距離が所定の範囲内にあることを認証する認証装置であって、通信装置と接続され、通信遅延時間が予測可能な第1の通信機能と、通信装置のラウンドトリップ時間の測定機能と情報を送受信する応答機能と、を備えることを特徴とする認証装置を開示する。 An authentication device that authenticates that a communication distance between communication devices is within a predetermined range, the first communication function being connected to the communication device and predicting a communication delay time, and a round trip of the communication device Disclosed is an authentication device comprising a time measurement function and a response function for transmitting and receiving information.
ここで、前記測定工程並びに前記測定機能が送受信する情報の少なくとも一部には、電子署名や暗号化が施されるものであってよく、さらに、ネットワーク上のQoS品質保証のために通信品質の指定をするラベルが含まれるものであってもよい。 Here, at least a part of the information transmitted and received by the measurement step and the measurement function may be subjected to an electronic signature or encryption, and further, a communication quality for ensuring QoS quality on the network. A label for designating may be included.
また、電子署名の検証処理や暗号文の復号化処理などを測定用の情報の送受タイミングに影響を与えないように認証の処理が構成される通信装置を開示する。 Also disclosed is a communication apparatus in which authentication processing is configured so that verification processing of electronic signatures and decryption processing of ciphertexts do not affect the transmission / reception timing of information for measurement.
本発明によれば、通信装置間の通信距離は、通信装置間の情報の通信遅延時間を測定し、これが予測値と誤差の範囲内で一致することを確認することにより、制約が加えられるものである。この際、通常に用いる通信手段では誤差の範囲が大きく通信遅延時間が実質的に予測不能である場合においても、通信遅延時間が予測可能な通信手段を併用することによって、通信装置間の通信距離に制約を加えることを可能とする。 According to the present invention, the communication distance between communication devices is restricted by measuring the communication delay time of information between communication devices and confirming that this matches within the range of error with the predicted value. It is. At this time, even when the communication means used normally has a large error range and the communication delay time is substantially unpredictable, the communication distance between the communication devices can be reduced by using the communication means that can predict the communication delay time. It is possible to add constraints to
さらに、測定に用いる通信情報に電子署名や暗号化を行って、通信距離の制約を回避する技術が適用されることを阻止できる。 Furthermore, it is possible to prevent the application of a technology for avoiding restrictions on communication distance by performing digital signature or encryption on communication information used for measurement.
さらに、本発明による電子署名や暗号化の処理方法やネットワークの制御方法により、測定の精度を高めることを可能とする。 Furthermore, the accuracy of measurement can be increased by the electronic signature and encryption processing method and network control method according to the present invention.
以下、本発明の実施の形態を、図面を参照しながら説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(実施の形態1)
図1は、本発明の実施の形態1での通信装置100の構成をしめすブロック図である。
(Embodiment 1)
FIG. 1 is a block diagram showing a configuration of
ここで、通信装置100は、宅内ネットワークに接続されて対向通信装置(図示せず)と宅内ネットワークを介して情報の送受信処理を行う通信機能101と、対向通信装置との間で情報を送受してラウンドトリップ時間を測定する測定機能102と、対向通信装置との接続を認証する認証機能103と、時間を計測する計時機能104と、与えられた情報に対して電子署名に関わる演算を行う電子署名演算機能105と、与えられた情報を暗号化または復号化する暗復号機能106と、それら機能を接続するバス107から構成される。
Here, the
本実施の形態では、対向となる通信装置も同様の機能を備え、同様の動作をするものとする。 In the present embodiment, it is assumed that the opposite communication device has the same function and performs the same operation.
これらの機能は、ソフトウェアとして総体として実現されるものであってもよいが、理解のし易さの為に、各機能に分割して説明する。 These functions may be realized as software as a whole, but will be described separately for each function for ease of understanding.
上記のように構成されている本実施の形態の通信装置は以下のように動作する。また図2は、以下の動作のシーケンス図である。 The communication apparatus of the present embodiment configured as described above operates as follows. FIG. 2 is a sequence diagram of the following operations.
対向の通信装置との通信を認証するために、本通信装置の測定機能102は、ラウンドトリップ時間測定情報を対向通信装置に対して送信することを通信機能101に要求する。
In order to authenticate communication with the opposite communication device, the
本実施の形態では、ラウンドトリップ時間測定情報は計時機能104から取得された送信時の時刻値が暗復号機能106によって暗号化された値を含み、また、通信遅延時間にセンシティブであることを識別するQoSラベルをも含み、測定機能102によって生成する。
In the present embodiment, the round trip time measurement information includes a value obtained by encrypting the time value at the time of transmission acquired from the
通信機能101は、複数の通信モードを備えており、そのうち1つは通信遅延時間が予測可能な通信モードである。通信機能101は、測定機能102が要求するラウンドトリップ時間測定情報を、通信遅延時間が予測可能な通信モードを用いて対向の通信装置へ送信する(ST1)。この様な複数の通信モードはいわゆるQoS(Quality of Service)として表現され、通信遅延時間が予測可能な通信モードは、最優先クラスか、通信遅延時間に制約があるリアルタイムトラフィッククラスの分類による通信である。QoSクラスが指定される通信情報には、QoSラベルが含まれることがある。QoSラベルは、たとえば、IEEE802.1p規格で定められるVLANtag情報や、IPプロトコルヘッダにあるToS(Type of Service)情報等に反映される。
The
対向通信装置側の測定機能102はラウンドトリップ時間測定情報を受信すると、受信した情報に電子署名と、計時機能104から取得された応答送信時の時刻値を暗復号機能106によって暗号化された値を合わせたラウンドトリップ時間応答情報を生成し、通信機能101を介して返信する。対向通信装置側の通信機能101は上記と同様、通信遅延時間が予測可能な通信モードを用いて送信する(ST2)。
When the
通信装置100の測定機能102は、ラウンドトリップ時間応答情報の受信時刻を計時機能104により確認する。さらに、受信したラウンドトリップ時間応答情報に電子署名を合わせたラウンドトリップ時間再応答情報を生成し、通信機能101を介して対向通信装置へ返信する。通信機能101は上記と同様、通信遅延時間が予測可能な通信モードを用いて送信する(ST3)。
The measuring
対向通信装置側の測定機能102では、ラウンドトリップ時間再応答情報の受信時刻を計時機能104により確認する。
In the measuring
前記のように情報を交換したあと、自己及び対向各々の通信装置の測定機能102は、受信したラウンドトリップ時間応答情報またはラウンドトリップ時間再応答情報に含まれる自己が暗号化した送信時刻値を暗復号機能106によって解読し、これと各々の情報の受信時刻との時間差をもって各々、ラウンドトリップ時間をうる(ST4)。
After the information is exchanged as described above, the
また、自己及び対向各々の通信装置の認証機能103は、ラウンドトリップ時間応答情報またはラウンドトリップ時間再応答情報に含まれる電子署名を電子署名演算機能105を用いて検証する。これが正当な電子署名であると判断すれば、次に測定したラウンドトリップ時間が予測値と誤差の範囲内で一致するかを検査する(ST5)。一致するならば対向の通信装置を各々認証し、通信によるサービスを実行可能とする。認証機能103で異常が検出されれば、対向の通信装置の認証を拒否する(ST6)。
Further, the
以上の説明のように動作する本実施の形態での通信装置は、ラウンドトリップ時間を通信遅延時間が予測可能な通信モードを用いて測定するので、たとえレイヤ2中継技術を用いられて中継されたとしても、これを検知することができる。これは、IPネットワークで中継されて結合されたレイヤ2ネットワークの構造が予測値が前提とするネットワークの構造と一致しないために予測値と食い違いが起こるためである。 Since the communication device according to the present embodiment that operates as described above measures the round trip time using a communication mode in which the communication delay time can be predicted, the round trip time is relayed using the layer 2 relay technology. However, this can be detected. This is because there is a discrepancy between the predicted value because the structure of the layer 2 network relayed and joined by the IP network does not match the network structure assumed by the predicted value.
また、送信時刻値を暗号化しているためこれを改変することはできず、また、応答側の電子署名によって応答情報を偽造することもできないので、故意に誤った測定を行わせることはできない。 Also, since the transmission time value is encrypted, it cannot be altered, and the response information cannot be forged by the electronic signature of the response side, so that erroneous measurement cannot be performed intentionally.
なお、本実施の形態における電子署名は受信し返送する情報の一部または全てに対して施す方法でもよいが、ラウンドトリップ時間の測定前に予測困難なランダム情報を通信装置間で交換し、あらかじめこれに対して計算した電子署名を用いることでもよい。これにより、ラウンドトリップ時間応答情報やラウンドトリップ時間再応答情報の返送時期が電子署名計算によって遅延することを防ぐことができ、より正確な測定値がえられる効果がある。 Note that the electronic signature in this embodiment may be applied to a part or all of the information received and returned, but random information that is difficult to predict is exchanged between communication devices before the round trip time is measured. On the other hand, a digital signature calculated may be used. Thereby, it is possible to prevent the return timing of the round trip time response information and the round trip time reresponse information from being delayed by the electronic signature calculation, and there is an effect that a more accurate measurement value can be obtained.
なお、暗号鍵、電子署名の鍵などの情報については、埋め込まれていても、先立って交換されていてもよく、本実施の形態では特定はしない。また、電子署名の演算方法や暗号方式についても、機密性の目的に反しない限りどの様な方式を用いてもよい。 Note that information such as an encryption key and a digital signature key may be embedded or exchanged in advance, and is not specified in this embodiment. Also, any method may be used for the electronic signature calculation method and encryption method as long as they are not contrary to the purpose of confidentiality.
(実施の形態2)
図3は、本発明の実施の形態2での通信装置300と認証装置310の構成をしめすブロック図である。
(Embodiment 2)
FIG. 3 is a block diagram showing the configuration of the
ここで、通信装置300は、赤外線通信リンクを介して認証装置310との間で情報の送受信処理を行なう第1の通信機能301と、宅内ネットワークを介して対向通信装置(図示せず)と情報の送受信処理を行う第2の通信機能302と、認証装置310との間で情報を送受してラウンドトリップ時間を測定する測定機能303と、対向通信装置との接続を認証する認証機能304と、時間を計測する計時機能305と、与えられた情報に対して電子署名に関わる演算を行う電子署名演算機能306と、与えられた情報を暗号化または復号化する暗復号機能307と、それら機能を接続するバス308から構成される。
Here, the
本実施の形態では、対向となる通信装置も同様の機能を備え、同様の動作をするものとする。 In the present embodiment, it is assumed that the opposite communication device has the same function and performs the same operation.
また、認証装置310は、赤外線通信リンクを介して通信装置300と送受信処理を行う第1の通信機能311と、受信する情報に対して応答を返送する応答機能312と、与えられた情報に対して電子署名に関わる演算を行う電子署名演算機能313を備える。
In addition, the
上記のように構成されている本実施の形態の通信装置は以下のように動作する。また図4は、以下の動作のシーケンス図である。 The communication apparatus of the present embodiment configured as described above operates as follows. FIG. 4 is a sequence diagram of the following operations.
対向の通信装置を認証するために、本通信装置の測定機能303は、ラウンドトリップ時間測定情報を認証装置に対して送信することを第1の通信機能301に要求する。この動作は認証装置からの指示或いは他の装置や通信装置の他機能からの指示により起動される。
In order to authenticate the opposite communication device, the
本実施の形態では、ラウンドトリップ時間測定情報は、計時機能305から取得された送信時の時刻値が暗復号機能307によって暗号化された値を含み、測定機能303によって生成するものとする。
In the present embodiment, it is assumed that the round trip time measurement information includes a value obtained by encrypting the transmission time value acquired from the
第1の通信機能301は、赤外線通信リンクを用いるものであり、その通信遅延時間は予測可能である。第1の通信機能301は、測定機能303が要求するラウンドトリップ時間測定情報を、認証装置310へ送信する(ST1)。
The
認証装置310の応答機能312では、ラウンドトリップ時間測定情報を受信すると、これに電子署名を加えラウンドトリップ時間応答情報として第1の通信機能311を介して返信する(ST2)。
When the
通信装置300の測定機能303は、ラウンドトリップ時間応答情報の受信時刻を計時機能305により確認する。
The measuring
前記のように情報を交換したあと、通信装置の測定機能303は、受信したラウンドトリップ時間応答情報に含まれる自己が暗号化した送信時刻値を暗復号機能307によって解読し、これと受信時刻との時間差をもって、ラウンドトリップ時間をうる(ST4)。
After exchanging information as described above, the
また、通信装置300の認証機能304は、ラウンドトリップ時間応答情報に含まれる電子署名を電子署名演算機能306を用いて検証する。これが正当な電子署名であると判断すれば、次に測定したラウンドトリップ時間が予測値と誤差の範囲内で一致するかを検査を行う(ST5)。認証機能304は検査結果を記憶すると共に、検査結果を第2の通信機能302によって対向の通信装置へ送信する。電子署名の検証に失敗するかラウンドトリップ時間の測定値が異常であれば、異常の検査結果を記憶し、異常の検査結果を第2の通信機能302によって対向の通信装置へ送信する。
The
対向となる通信装置においても、前記と同じ手順によりラウンドトリップ時間を測定する。認証装置310から受信した電子署名は検証され正当な電子署名であると判断すれば、測定したラウンドトリップ時間が予測値と誤差の範囲内で一致するかを検査し(ST5)検査結果を記憶すると共に、検査結果を第2の通信機能によって通信装置300へ送信する(ST6)。
Also in the opposite communication device, the round trip time is measured by the same procedure as described above. If the electronic signature received from the
自己及び対向の何れの認証機能304も、相手の検査結果を受信する。両通信装置での検査結果が正常であれば、対向の通信装置を認証し、通信によるサービスを実行可能とする。そうでなければ、対向の通信装置の認証を拒否する(ST7)。 Both the self-facing and opposing authentication functions 304 receive the inspection result of the other party. If the inspection results in both communication apparatuses are normal, the opposite communication apparatus is authenticated, and a service by communication can be executed. Otherwise, authentication of the opposite communication device is rejected (ST7).
以上の説明のように動作する本実施の形態での通信装置は、ラウンドトリップ時間を赤外線通信リンクを用いて測定するので、通信装置間を接続する第2の通信手段が通信遅延時間を予測するには誤差が大なるものであっても、本発明を適用することができる。 Since the communication device according to the present embodiment that operates as described above measures the round trip time using the infrared communication link, the second communication means that connects the communication devices predicts the communication delay time. Even if the error is large, the present invention can be applied.
また、たとえ赤外線通信リンクの情報自体をレイヤ2中継技術を用いて中継したとしても、検知することができる。これは、赤外線通信リンク自体はネットワークではないため、通信遅延時間が十分予測可能であるためである。また。物理的信号をサンプルしてIPネットワークを介して遠隔に中継することは、たとえ可能であってもIPネットワーク上で非常に大きな帯域を利用しなくてはならないため、その実現性は疑わしい。 Further, even if the information of the infrared communication link itself is relayed using the layer 2 relay technology, it can be detected. This is because the communication delay time is sufficiently predictable because the infrared communication link itself is not a network. Also. The possibility of sampling a physical signal and relaying it remotely over an IP network is questionable because it must utilize a very large bandwidth on the IP network, even if possible.
また、送信時刻値を暗号化しているためこれを改変することはできず、また、応答側の電子署名によって応答情報を偽造することもできないので、誤った測定を行わせることはできない。 Further, since the transmission time value is encrypted, it cannot be altered, and the response information cannot be forged by the electronic signature on the response side, so that erroneous measurement cannot be performed.
なお、本実施の形態における電子署名は受信した情報の一部または全てに対して施す方法でよい。 Note that the electronic signature in this embodiment may be applied to a part or all of the received information.
また必ずしも電子署名である必要はなく、あらかじめ認証装置と通信装置間で合意される暗号鍵によって、ラウンドトリップ時間応答情報の一部を暗号化するものであってよい。 The digital signature is not necessarily required, and part of the round trip time response information may be encrypted with an encryption key agreed in advance between the authentication device and the communication device.
なお、暗号鍵、電子署名の鍵などの情報については、埋め込まれていても、先立って交換されていてもよく、本実施の形態では特定はしない。また、電子署名の演算方法や暗号方式についても、機密性の目的に反しない限りどの様な方式を用いてもよい。 Note that information such as an encryption key and a digital signature key may be embedded or exchanged in advance, and is not specified in this embodiment. Also, any method may be used for the electronic signature calculation method and encryption method as long as they are not contrary to the purpose of confidentiality.
また、本実施の形態では認証装置と通信装置を赤外線通信リンクを用いて接続しているが、これに限らず、通信遅延時間が予測可能である通信手段、または予測可能な通信モードを備える通信方式であれば、何を使用してもかまわない。 In this embodiment, the authentication device and the communication device are connected using an infrared communication link. However, the present invention is not limited to this, and communication means that can predict a communication delay time or a communication that includes a predictable communication mode. Any method can be used.
なお、認証装置が計時機能をさらに備え、さらに認証装置と各通信装置の時刻の同期を行えば、本実施の形態でのラウンドトリップ時間の代わりに認証装置から通信装置への通信遅延時間を測定することで、本発明の効果を同様に得ることができる。 Note that if the authentication device further includes a timekeeping function, and if the time of the authentication device and each communication device is synchronized, the communication delay time from the authentication device to the communication device is measured instead of the round trip time in this embodiment. By doing so, the effect of the present invention can be obtained similarly.
本発明の認証方法、通信装置及び認証装置は、通信装置間の距離制限を的確に実施することができる。そのため、著作権物をホームネットワークを介してやり取りする機器やシステム等において有用である。また、ネットワークの物理的大きさを制約する必要があるセキュリティシステム等にも有用である。 The authentication method, the communication device, and the authentication device of the present invention can accurately carry out distance restriction between communication devices. Therefore, it is useful in devices and systems that exchange copyrighted materials via a home network. It is also useful for security systems that need to constrain the physical size of the network.
100 通信装置
101 通信機能
102 測定機能
103 認証機能
104 計時機能
105 電子署名演算機能
106 暗復号機能
107 バス
300 通信装置
301 第1の通信機能
302 第2の通信機能
303 測定機能
304 認証機能
305 計時機能
306 電子署名演算機能
307 暗復号機能
308 バス
310 認証装置
311 第1の通信機能
312 応答機能
313 電子署名演算機能
511 AVデータ生成/蓄積部
512 RTP処理部
513 TCP/IPパケット送受信部
514 著作権保護暗号化部
515 イーサネット(R)フレーム送受信部
516 IP/イーサネット(R)アドレス対応テーブル部
517 著作権保護認証・鍵交換部
518 無線ネットワークI/F部
DESCRIPTION OF
Claims (23)
通信遅延時間が予測可能な通信モードにおける自通信装置と相手通信装置間での通信のラウンドトリップ時間を測定する測定工程と、
測定したラウンドトリップ時間が所定の範囲内に収まれば、相手通信装置を認証する認証工程を有することを特徴とする認証方法。 An authentication method for authenticating that a communication distance is within a predetermined range in two communication devices connected to each other via a network by a communication means having a communication mode capable of predicting a communication delay time,
A measurement step of measuring a round trip time of communication between the own communication device and the partner communication device in a communication mode in which a communication delay time can be predicted;
An authentication method comprising: an authentication step of authenticating a counterpart communication device when a measured round trip time is within a predetermined range.
さらに通信遅延時間が予測可能な第1の通信手段により各々の通信装置に相互に接続される認証装置を有し、
認証装置と一方の通信装置との間の通信における第1のラウンドトリップ時間を測定する測定工程と、
認証装置と他方の通信装置との間の通信における第2のラウンドトリップ時間を測定する測定工程と、
測定した各々のラウンドトリップ時間が所定の範囲内に収まれば、通信装置間の認証関係を確立する認証工程を有することを特徴とする認証方法。 An authentication method for authenticating that a communication distance is within a predetermined range in two communication devices connected to each other by a second communication means,
Furthermore, it has the authentication apparatus mutually connected to each communication apparatus by the 1st communication means with which communication delay time can be estimated,
A measuring step of measuring a first round trip time in communication between the authentication device and one of the communication devices;
A measurement step of measuring a second round trip time in communication between the authentication device and the other communication device;
An authentication method comprising an authentication step of establishing an authentication relationship between communication devices when each measured round trip time falls within a predetermined range.
さらに通信遅延時間が予測可能な第1の通信手段により各々の通信装置に接続される認証装置を有し、
通信装置及び認証装置の各々の時刻を同期させる工程と、
認証装置から一方の通信装置への通信における第1の通信遅延時間を測定する測定工程と、
認証装置から他方の通信装置への通信における第2の通信遅延時間を測定する測定工程と、
測定した各々の通信遅延時間が所定の範囲内に収まれば、通信装置間の認証関係を確立する認証工程を有することを特徴とする認証方法。 An authentication method for authenticating that a communication distance is within a predetermined range in two communication devices connected to each other by a second communication means,
Furthermore, it has the authentication apparatus connected to each communication apparatus by the 1st communication means which can predict communication delay time,
Synchronizing the time of each of the communication device and the authentication device;
A measurement step of measuring a first communication delay time in communication from the authentication device to the one communication device;
A measurement step of measuring a second communication delay time in communication from the authentication device to the other communication device;
An authentication method comprising: an authentication step of establishing an authentication relationship between communication devices when each measured communication delay time is within a predetermined range.
前記第1の通信手段においては、通信遅延時間が予測可能なモードが選択されることを特徴とする、請求項2または請求項3に記載の認証方法。 The first communication means and the second communication means use a network having a communication method capable of selecting a plurality of modes using a common communication medium,
4. The authentication method according to claim 2, wherein a mode in which a communication delay time can be predicted is selected in the first communication unit.
他の通信装置とネットワークを介して接続され、通信遅延時間が予測可能な通信モードを備える通信機能と、
通信遅延時間が予測可能な通信モードを用いて相手通信装置と情報を送受信してラウンドトリップ時間を測定する測定機能と、
相手通信装置での測定結果と自通信装置の測定結果がともに予測値と誤差範囲内で一致をみたと判断される場合に相手通信装置を認証する認証機能とを備えることを特徴とする通信装置。 A communication device for authenticating that a communication distance is within a predetermined range,
A communication function connected to another communication device via a network and having a communication mode in which a communication delay time can be predicted;
A measurement function for measuring round trip time by transmitting / receiving information to / from a partner communication device using a communication mode in which a communication delay time can be predicted;
A communication apparatus comprising: an authentication function for authenticating a partner communication apparatus when it is determined that the measurement result of the partner communication apparatus and the measurement result of the own communication apparatus match the predicted value within an error range. .
認証装置と接続され、通信遅延時間が予測可能な第1の通信機能と、
他の通信装置と接続される第2の通信機能と、
認証装置と情報を送受信して通信のラウンドトリップ時間を測定する測定機能と、
相手通信装置での測定結果と自通信装置の測定結果がともに予測値と誤差範囲内で一致をみたと判断される場合に相手通信装置を認証する認証機能とを備えることを特徴とする通信装置。 A communication device for authenticating that a communication distance is within a predetermined range,
A first communication function connected to the authentication device and predicting a communication delay time;
A second communication function connected to another communication device;
A measurement function that transmits / receives information to / from the authentication device and measures communication round trip time;
A communication apparatus comprising: an authentication function for authenticating a partner communication apparatus when it is determined that the measurement result of the partner communication apparatus and the measurement result of the own communication apparatus match the predicted value within an error range. .
前記第1の通信機能においては、通信遅延時間が予測可能なモードが選択されることを特徴とする、請求項13に記載の通信装置。 The first communication function and the second communication function use a network having a communication method capable of selecting a plurality of modes using a common communication medium,
The communication apparatus according to claim 13, wherein a mode in which a communication delay time can be predicted is selected in the first communication function.
通信装置と接続され、通信遅延時間が予測可能な第1の通信機能と、
通信装置のラウンドトリップ時間の測定機能と情報を送受信する応答機能と、
を備えることを特徴とする認証装置。 An authentication device for authenticating that a communication distance between communication devices is within a predetermined range,
A first communication function connected to a communication device and capable of predicting a communication delay time;
A function for measuring the round trip time of a communication device and a response function for transmitting and receiving information;
An authentication device comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004108831A JP2005295297A (en) | 2004-04-01 | 2004-04-01 | Authentication method, communication device, and authentication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004108831A JP2005295297A (en) | 2004-04-01 | 2004-04-01 | Authentication method, communication device, and authentication device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005295297A true JP2005295297A (en) | 2005-10-20 |
Family
ID=35327727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004108831A Pending JP2005295297A (en) | 2004-04-01 | 2004-04-01 | Authentication method, communication device, and authentication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005295297A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007082205A (en) * | 2005-09-15 | 2007-03-29 | Sharp Corp | Method and system which assign priority to detection message |
JP2007249590A (en) * | 2006-03-15 | 2007-09-27 | Omron Corp | User equipment, authentication system, authentication method, authentication program, and recording medium |
JP2008287542A (en) * | 2007-05-18 | 2008-11-27 | Univ Nihon | Terminal authentication system, terminal authentication method, program and recording medium |
JP2008293399A (en) * | 2007-05-28 | 2008-12-04 | Univ Nihon | Terminal authentication system, terminal authentication method, program and recording medium |
US9185558B2 (en) | 2010-11-08 | 2015-11-10 | Nihon University | Authentication server and authentication method by authentication server |
-
2004
- 2004-04-01 JP JP2004108831A patent/JP2005295297A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007082205A (en) * | 2005-09-15 | 2007-03-29 | Sharp Corp | Method and system which assign priority to detection message |
JP2007249590A (en) * | 2006-03-15 | 2007-09-27 | Omron Corp | User equipment, authentication system, authentication method, authentication program, and recording medium |
JP2008287542A (en) * | 2007-05-18 | 2008-11-27 | Univ Nihon | Terminal authentication system, terminal authentication method, program and recording medium |
JP2008293399A (en) * | 2007-05-28 | 2008-12-04 | Univ Nihon | Terminal authentication system, terminal authentication method, program and recording medium |
US9185558B2 (en) | 2010-11-08 | 2015-11-10 | Nihon University | Authentication server and authentication method by authentication server |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6126980B2 (en) | Network device and network system | |
US8918889B2 (en) | Information processing apparatus and method | |
TWI510042B (en) | Method and apparatus for packet encryption and decryption of precise time synchronization protocol and time synchronization system thereof | |
US7685422B2 (en) | Information processing apparatus, information processing method, and information processing program | |
JP6874575B2 (en) | Synchronization system, communication device, synchronization program and synchronization method | |
MXPA04010624A (en) | Transitive authentication authorization accounting in interworking between access networks. | |
US20110179497A1 (en) | Data transmission and reception control apparatus, and data transmission and reception system, method, and program | |
WO2006028094A1 (en) | Communication apparatus | |
US20070076748A1 (en) | Communication apparatus and communication control method | |
KR20030064646A (en) | Communication device and communication control method | |
WO2013081441A1 (en) | A system and method for establishing mutual remote attestation in internet protocol security (ipsec) based virtual private network (vpn) | |
JP2017121091A (en) | Ecu and network device for vehicle | |
JP2004208145A (en) | Communication equipment and method, recording medium and program | |
US20080133915A1 (en) | Communication apparatus and communication method | |
CN112205018B (en) | Method and device for monitoring encrypted connections in a network | |
JP2006019975A (en) | Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto | |
JP2018182767A (en) | Ecu, network device, and network device for vehicle | |
CN107431691A (en) | A kind of data pack transmission method, device, node device and system | |
JP2005295297A (en) | Authentication method, communication device, and authentication device | |
WO2023036348A1 (en) | Encrypted communication method and apparatus, device, and storage medium | |
CN101938428B (en) | Message transmission method and equipment | |
CN111586017A (en) | Method and device for authenticating communication user | |
WO2008014666A1 (en) | An apparatus and a method for reporting the error of each level of the tunnel data packet in a communication network | |
CN101217532B (en) | An anti-network attack data transmission method and system | |
JP2010081108A (en) | Communication relay device, information processor, program and communication system |