JP2007110487A - Lan system and its communication method - Google Patents

Lan system and its communication method Download PDF

Info

Publication number
JP2007110487A
JP2007110487A JP2005299902A JP2005299902A JP2007110487A JP 2007110487 A JP2007110487 A JP 2007110487A JP 2005299902 A JP2005299902 A JP 2005299902A JP 2005299902 A JP2005299902 A JP 2005299902A JP 2007110487 A JP2007110487 A JP 2007110487A
Authority
JP
Japan
Prior art keywords
secret key
lan
lan device
random number
opposite
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005299902A
Other languages
Japanese (ja)
Inventor
Ryoko Yamano
涼子 山野
Takahiro Shimizu
崇弘 清水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2005299902A priority Critical patent/JP2007110487A/en
Publication of JP2007110487A publication Critical patent/JP2007110487A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a LAN system capable of making encrypted data communicate between LAN devices through a wired or a wireless communication line and maintaining LAN security, and to provide its communication method. <P>SOLUTION: When a wireless LAN terminal 18 makes an encrypted data transmission communicate with a wireless LAN base station 14 in a wireless LAN system 10, the wireless LAN terminal 18 usually generates a secret key based on a random number acquired by a random number exchange means such as a 4WAY handshake. If the wireless LAN terminal 18 has made an encrypted data transmission communicate with the wireless LAN base station 14 before, the wireless LAN terminal 18 generates a new secret key based on the last secret key used in the last transmission, and makes data encrypted communicate using the new secret keys PTK. By this arrangement, the number of times is decreased when a random number of plaintext is sent out in a wireless manner, and a risk can be reduced that secret keys may be decoded. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、LAN(Local Area Network)端末やLAN基地局などのLAN機器同士で暗号化データを有線や無線の通信回線を介して通信してLANセキュリティを保つLANシステムおよびその通信方法に関するものである。   The present invention relates to a LAN system and a communication method for maintaining LAN security by communicating encrypted data between LAN devices such as a LAN (Local Area Network) terminal and a LAN base station via a wired or wireless communication line. is there.

従来から、LANシステムでは、そのセキュリティ機能として、LAN端末やLAN基地局などのLAN機器同士が通信する場合に、双方だけが知る秘密鍵を共有して、この秘密鍵を使用した暗号化データを有線や無線の通信回線を介して通信することができる。   Conventionally, in LAN systems, as a security function, when LAN devices such as LAN terminals and LAN base stations communicate with each other, a secret key known only to both parties is shared, and encrypted data using this secret key is stored. Communication is possible via a wired or wireless communication line.

たとえば、無線LANシステムでは、IEEE802.11i規格に定義される4WAYハンドシェイクなどの乱数交換を行い、取得した乱数に基づいて秘密鍵を生成することができる。この無線LANシステムによれば、通信する機器同士は、接続開始時に、あらかじめ事前共有鍵を共有化し、4WAYハンドシェイクによって秘密鍵の生成に必要なパラメータ(乱数)を送り合うことにより乱数を共有化して、乱数および事前共有鍵などに基づいて秘密鍵PTK(Pairwise Transient Key)を両方の機器で生成して共有化することができる。   For example, in a wireless LAN system, a random key such as a 4-way handshake defined in the IEEE802.11i standard is exchanged, and a secret key can be generated based on the acquired random number. According to this wireless LAN system, communicating devices share a pre-shared key in advance at the start of connection, and share a random number by sending parameters (random numbers) necessary for generating a secret key by a 4-way handshake. Thus, a secret key PTK (Pairwise Transient Key) can be generated and shared by both devices based on a random number and a pre-shared key.

また、無線LANシステムでは、通信機器同士が長時間接続して暗号化データ通信するとき、秘密鍵PTKが解読されることを防ぐために、秘密鍵PTKの有効時間の経過ごとに4WAYハンドシェイクを行って乱数を取得し、この乱数に基づいて新たな秘密鍵PTKを生成して更新することができる。   In addition, in wireless LAN systems, when communication data is communicated with communication devices connected for a long time, a 4-way handshake is performed every time the secret key PTK is valid to prevent the secret key PTK from being decrypted. Thus, a random number can be acquired, and a new secret key PTK can be generated and updated based on the random number.

また、特許文献1に記載の無線LANシステムでは、アクセスポイントと端末との間で、秘密鍵共有手順により秘密鍵が共有化され、アクセスポイントが秘密鍵を生成し、暗号化関数を用いて秘密鍵を秘密鍵で暗号化して端末に供給し、端末が供給された暗号化された秘密鍵を秘密鍵で復号化して、アクセスポイントおよび端末間で秘密鍵を共有することができる。さらに、この無線LANシステムでは、共有の秘密鍵を用いて所定のデータを暗号化して暗号化データストリームを生成し、この暗号化データストリームを用いて、アクセスポイントおよび端末間で送受信する通信データを暗号化および復号化することができる。   In the wireless LAN system described in Patent Document 1, a secret key is shared between an access point and a terminal by a secret key sharing procedure, the access point generates a secret key, and the secret is generated using an encryption function. The key can be encrypted with the secret key and supplied to the terminal, and the encrypted secret key supplied by the terminal can be decrypted with the secret key, so that the secret key can be shared between the access point and the terminal. Further, in this wireless LAN system, predetermined data is encrypted using a shared secret key to generate an encrypted data stream, and communication data transmitted / received between the access point and the terminal is transmitted using this encrypted data stream. Can be encrypted and decrypted.

特開2004-56762号公報JP 2004-56762 A

しかしながら、従来の無線LANシステムにおいて、4WAYハンドシェイクのような乱数交換は、通信機器が乱数を平文で無線上に送出し、また、接続開始時、すなわち接続(Association)および認証(Authentication)処理時、または再接続(Re-association)処理時のたびに行われる必要があるので、盗聴者に乱数を盗聴される危険性が高い。さらに、通信機器同士であらかじめ共有する事前共有鍵は、双方以外のものが知ることもあり、盗聴者が知得すれば、盗聴した乱数に基づいて秘密鍵PTKが解読されてしまう。   However, in a conventional wireless LAN system, random number exchange such as 4WAY handshake is performed when a communication device sends a random number over the air in plain text, and when connection is started, that is, when connection and authentication processing are performed. In other words, the eavesdropper has a high risk of eavesdropping on a random number because it needs to be performed every time re-association processing is performed. Further, the pre-shared key shared in advance between the communication devices may be known by other than both, and if the eavesdropper learns, the secret key PTK will be decrypted based on the wiretapped random number.

また、このような従来の無線LANシステムでは、4WAYハンドシェイクが頻繁に行われるため、通信量および処理時間が増加してしまう。   In addition, in such a conventional wireless LAN system, 4WAY handshaking is frequently performed, so that the communication amount and processing time increase.

さらに、従来の無線LANシステムでは、通信機器同士が長時間接続して暗号化データ通信するとき、秘密鍵PTKの有効時間が経過するごとに4WAYハンドシェイクを行うと、平文の乱数を無線上に送出する機会が多くなり、解読の危険性が高まる。   Furthermore, in a conventional wireless LAN system, when a communication device connects for a long time and performs encrypted data communication, if a 4-way handshake is performed every time the valid time of the private key PTK elapses, plaintext random numbers are transmitted over the air. Opportunities to send out increase, increasing the risk of decoding.

本発明は、このような従来技術の欠点を解消し、秘密鍵解読の危険性を低下させ、通信量および処理時間を低減させることができるLANシステムおよびその通信方法を提供することを目的とする。   It is an object of the present invention to provide a LAN system and a communication method therefor that can eliminate the disadvantages of the conventional technique, reduce the risk of secret key decryption, and reduce the communication volume and processing time. .

本発明は上述の課題を解決するために、秘密鍵を用いて暗号化したデータを、有線や無線の通信回線を介して通信する複数のLAN機器を含むLANシステムにおいて、このLAN機器は、対向のLAN機器との暗号化データを通信するとき、あらかじめこの対向LAN機器と共有化した事前共有鍵に基づいて、通信するデータの暗号化に用いるこの秘密鍵を生成する秘密鍵生成手段を含み、この秘密鍵生成手段は、この対向LAN機器と以前に暗号化データ通信したことがあるか否かを判定し、通信したことがない場合には、この対向LAN機器と乱数交換を行って乱数を取得し、この乱数およびこの事前共有鍵に基づいて第1の秘密鍵を生成し、通信したことがある場合には、前回の暗号化データ通信で用いた前回の秘密鍵を乱数として、この乱数およびこの事前共有鍵に基づいて新たに第2の秘密鍵を生成することを特徴とする。   In order to solve the above-mentioned problems, the present invention provides a LAN system including a plurality of LAN devices that communicate data encrypted using a secret key via a wired or wireless communication line. When communicating encrypted data with a LAN device, including a secret key generating means for generating this secret key used for encrypting data to be communicated based on a pre-shared key previously shared with the opposite LAN device, This secret key generation means determines whether or not encrypted data communication with this opposite LAN device has been performed before, and if it has not communicated, exchanges random numbers with this opposite LAN device to generate a random number. If the first secret key is acquired based on the random number and the pre-shared key and has been communicated, the last secret key used in the previous encrypted data communication is used as a random number. And this pre-share And generating a new second secret key based on.

また、複数のLAN機器を含むLANシステムにて、秘密鍵を用いて暗号化したデータを、有線や無線の通信回線を介して通信する通信方法は、このLAN機器にて、対向のLAN機器と通信するデータの暗号化に用いるこの秘密鍵を、あらかじめこの対向LAN機器と共有化された事前共有鍵に基づいて生成する秘密鍵生成工程を含み、この秘密鍵生成工程は、このLAN機器がこの対向LAN機器と以前に暗号化データ通信したことがあるか否かを判定して、ないと判定した場合には、このLAN機器がこの対向LAN機器と乱数交換をすることによって乱数を取得し、この乱数およびこの事前共有鍵に基づいて第1の秘密鍵を生成し、他方、あると判定した場合には、前回の暗号化データ通信で用いた前回の秘密鍵を乱数として、この乱数およびこの事前共有鍵に基づいて新たに第2の秘密鍵を生成することを特徴とする。   In addition, a communication method for communicating data encrypted with a secret key in a LAN system including a plurality of LAN devices via a wired or wireless communication line is the same as that of the opposite LAN device. Including a secret key generation step of generating the secret key used for encryption of data to be communicated based on a pre-shared key previously shared with the opposite LAN device. If it is determined whether or not encrypted data communication with the opposite LAN device has been done before, if it is determined that this LAN device exchanges random numbers with this opposite LAN device, a random number is obtained, A first secret key is generated based on the random number and the pre-shared key. On the other hand, if it is determined that there is a random key, the previous secret key used in the previous encrypted data communication is used as a random number. New based on pre-shared key And generates a second secret key to.

本発明のLANシステムによれば、LAN機器は、通信相手である対向のLAN機器に接続するとき、対向のLAN機器が以前に暗号化データ通信した機器である場合には、前回の通信で使用した前回の秘密鍵に基づいて新たな秘密鍵を生成し、新たな秘密鍵を使用した暗号化データ通信を可能とするため、平文の乱数を無線上に送出する回数、すなわち乱数交換の処理回数を減少させて、秘密鍵を解読される危険性を低減することができる。このように、本システムでは、双方だけが知る過去の情報を秘密鍵の生成パラメータとするため、平文で無線上に送出される乱数を隠蔽することと等価の効果が得られる。   According to the LAN system of the present invention, when the LAN device is connected to the opposite LAN device that is the communication partner, if the opposite LAN device is the device that previously communicated encrypted data, it is used in the previous communication. The number of times plaintext random numbers are sent over the air, that is, the number of random number exchanges, to generate a new secret key based on the previous secret key and enable encrypted data communication using the new secret key Can reduce the risk of decryption of the secret key. In this way, in this system, since past information known only by both parties is used as a secret key generation parameter, an effect equivalent to concealing a random number transmitted over the air in plain text can be obtained.

また、本発明のLANシステムでは、乱数交換の処理回数が減少するため、接続時間を短縮して通信量を減らすことができ、所要のプログラム処理を減らして処理時間を低減することができる。   In the LAN system of the present invention, since the number of random number exchange processes is reduced, the connection time can be shortened to reduce the communication amount, and the required program processing can be reduced to reduce the processing time.

また、本発明のLANシステムでは、LAN機器同士が長時間、暗号化データ通信するとき、直前に使用していた前回の秘密鍵に基づいて新たな秘密鍵を生成して更新するので、乱数交換の処理回数を減少して、秘密鍵の解読の危険性を低下させ、通信量および処理時間を減少させることができる。   In addition, in the LAN system of the present invention, when encrypted data communication is performed between LAN devices for a long time, a new secret key is generated and updated based on the previous secret key used immediately before. , The risk of decryption of the secret key can be reduced, and the traffic and processing time can be reduced.

次に添付図面を参照して、本発明による無線LANシステムの実施例を詳細に説明する。たとえば、本発明の無線LANシステム10は、図1に示すように、LAN 12に設置された複数の無線LAN基地局14および16のいずれかに対して、複数の無線LAN端末18および20が、それぞれ、無線信号を送受信してLAN 12に無線LAN接続するものである。なお、本発明の理解に直接関係のない部分は、図示を省略し、冗長な説明を避ける。   Next, an embodiment of a wireless LAN system according to the present invention will be described in detail with reference to the accompanying drawings. For example, as shown in FIG. 1, the wireless LAN system 10 of the present invention includes a plurality of wireless LAN terminals 18 and 20 with respect to any of a plurality of wireless LAN base stations 14 and 16 installed in a LAN 12. Each transmits / receives a wireless signal and connects to LAN 12 by wireless LAN. Note that portions not directly related to understanding the present invention are not shown and redundant description is avoided.

本実施例において、無線LANシステム10は、実際には多数の無線LAN基地局を含むことができるが、図1では複雑化を避けるため、少数の無線LAN基地局14および16しか図示しない。同様に、無線LANシステム10は、実際には多数の無線LAN端末を含むことができるが、図1では複雑化を避けるため、少数の無線LAN端末18および20しか図示しない。   In this embodiment, the wireless LAN system 10 can actually include a large number of wireless LAN base stations, but only a small number of wireless LAN base stations 14 and 16 are shown in FIG. 1 to avoid complication. Similarly, the wireless LAN system 10 may actually include a large number of wireless LAN terminals, but only a small number of wireless LAN terminals 18 and 20 are shown in FIG. 1 to avoid complication.

本実施例において、LAN 12は、認証サーバ22と接続してよく、このサーバ22は、複数の無線LAN端末18および20に対して、本システム10に接続許可されていることを認証する。   In the present embodiment, the LAN 12 may be connected to an authentication server 22, and this server 22 authenticates that a plurality of wireless LAN terminals 18 and 20 are permitted to connect to the system 10.

複数の無線LAN基地局14および16は、複数の無線LAN端末18および20から送信される無線信号を受信し、また、この無線信号への応答信号を対応する無線LAN端末に無線で送信するアクセスポイントである。   The plurality of wireless LAN base stations 14 and 16 receive wireless signals transmitted from the plurality of wireless LAN terminals 18 and 20, and access to wirelessly transmit response signals to the wireless signals to the corresponding wireless LAN terminals. It is a point.

複数の無線LAN端末18および20は、それぞれ、複数の無線LAN基地局14および16のいずれかに無線でLAN接続して、他の無線LAN端末およびLAN 12に有線接続する他の端末と通信することができる。無線LAN端末18および20は、同様の機能を有するものでよい。また、無線LAN端末18および20は、たとえばアドホックモードで動作して、無線信号を直接やり取りして相互接続してもよい。   The plurality of wireless LAN terminals 18 and 20 wirelessly connect to any of the plurality of wireless LAN base stations 14 and 16, respectively, and communicate with other wireless LAN terminals and other terminals connected to the LAN 12 by wire. be able to. The wireless LAN terminals 18 and 20 may have the same function. In addition, the wireless LAN terminals 18 and 20 may operate in an ad hoc mode, for example, and directly exchange wireless signals to be interconnected.

たとえば、無線LAN端末18は、付近の無線LAN基地局14に対して認証要求を送信し、成功を示す認証応答をこの基地局から受信して認証され、本システム10への接続が保証される。また、認証された無線LAN端末18は、付近の無線LAN基地局14に対して接続要求を送信し、成功を示す接続応答をこの基地局から受信して無線LAN接続を確立する。   For example, the wireless LAN terminal 18 transmits an authentication request to a nearby wireless LAN base station 14, receives an authentication response indicating success from the base station, is authenticated, and the connection to the system 10 is guaranteed. . Further, the authenticated wireless LAN terminal 18 transmits a connection request to the nearby wireless LAN base station 14, receives a connection response indicating success from the base station, and establishes a wireless LAN connection.

本実施例の無線LANシステム10において、複数の無線LAN基地局14および16、ならびに複数の無線LAN端末18および20などの無線LAN機器は、それぞれ、通信相手である対向のLAN機器と暗号化データ通信を行うために、当該機器および対向機器の双方だけが知る秘密鍵を生成して、この秘密鍵を用いて暗号化されたデータを相互に通信することができる。これらの無線LAN機器は、対向機器との鍵配送において、あらかじめ事前共有鍵を共有し、また、4WAYハンドシェイクなどの乱数交換を行って双方に共通の乱数を取得して、これらの事前共有鍵および乱数に基づいて秘密鍵を生成することができる。   In the wireless LAN system 10 of the present embodiment, the wireless LAN devices such as the plurality of wireless LAN base stations 14 and 16 and the plurality of wireless LAN terminals 18 and 20 are respectively encrypted with the opposing LAN device that is the communication partner. In order to perform communication, it is possible to generate a secret key that only the device and the opposite device know, and to communicate data encrypted using the secret key. These wireless LAN devices share a pre-shared key in advance for key distribution with the opposite device, and also exchange random numbers such as a 4-way handshake to obtain a common random number for both parties. A secret key can be generated based on the random number.

たとえば、無線LAN機器は、対向機器との間であらかじめ事前共有鍵としてPMK(Pairwise Master Key)を共有し、4WAYハンドシェイクにより対向機器から乱数ANonce(Authentication Nonce)を受けて乱数SNonce(Supplicant Nonce)を生成し、PMK、ANonceおよびSNonceに基づいて秘密鍵としてPTK(Pairwise Transient Key)を生成する。   For example, a wireless LAN device shares a PMK (Pairwise Master Key) as a pre-shared key with the opposite device in advance, receives a random number ANonce (Authentication Nonce) from the opposite device through a 4-way handshake, and a random number SNonce (Supplicant Nonce) And PTK (Pairwise Transient Key) is generated as a secret key based on PMK, ANonce and SNonce.

本実施例では、とくに、無線LAN機器は、通常では4WAYハンドシェイクなどの乱数交換手段で取得した乱数に基づいて秘密鍵を生成するが、対向機器が以前に暗号化データ通信したことのある機器である場合には、前回の通信において使用した前回の秘密鍵に基づいて新たな秘密鍵を生成することができる。   In this embodiment, in particular, the wireless LAN device normally generates a secret key based on a random number obtained by random number exchange means such as a 4-way handshake, but the device to which the opposite device has previously communicated encrypted data. In this case, a new secret key can be generated based on the previous secret key used in the previous communication.

たとえば、無線LAN機器は、対向機器と暗号化データ通信した後、正常に切断した場合、この対向機器のMACアドレスとこの通信で用いた秘密鍵とを対にして、キャッシュテーブル24などの記憶部に記憶してよい。無線LAN機器は、秘密鍵を生成するとき、キャッシュテーブル24を参照して対向機器のMACアドレスを検索して記憶されているか否かを判定し、すなわち、対向機器が以前に暗号化データ通信したことのある機器であるか否かを判定することができる。   For example, if a wireless LAN device normally disconnects encrypted data with the opposite device and then disconnects normally, the storage device such as the cache table 24 is paired with the MAC address of this opposite device and the secret key used in this communication. You may remember. When generating a secret key, the wireless LAN device refers to the cache table 24 to determine whether or not the opposite device's MAC address is stored, that is, the opposite device previously communicated encrypted data. It is possible to determine whether the device is a certain device.

次に、本実施例における無線LANシステム10について、暗号化データの通信の動作を図2のフローチャートならびに図3および図4のシーケンスチャートを参照しながら説明する。   Next, with regard to the wireless LAN system 10 in the present embodiment, the operation of communication of encrypted data will be described with reference to the flowchart of FIG. 2 and the sequence charts of FIGS.

本実施例では、まず、無線LAN端末18において、無線LAN基地局14を対向機器として、認証(Authentication)処理および接続(Association)処理が行われる(S102)。本実施例の無線LAN端末18では、このとき、対向の無線LAN基地局14との間で、事前共有鍵PMKがあらかじめ共有される。また、この事前共有鍵PMKの共有は、秘密鍵生成前であればいつでも行ってよい。   In the present embodiment, first, in the wireless LAN terminal 18, authentication (Authentication) processing and connection (Association) processing are performed using the wireless LAN base station 14 as an opposite device (S102). At this time, in the wireless LAN terminal 18 of the present embodiment, the pre-shared key PMK is shared in advance with the opposing wireless LAN base station 14. The pre-shared key PMK may be shared at any time before the secret key is generated.

次に、無線LAN端末18では、S102の認証処理または接続処理において、対向の無線LAN基地局14とやり取りする要求信号や応答信号に含まれるMACアドレスが取得される(S104)。また、このMACアドレスの取得も、秘密鍵生成前であればいつでも行ってよい。   Next, the wireless LAN terminal 18 acquires the MAC address included in the request signal and response signal exchanged with the opposite wireless LAN base station 14 in the authentication process or connection process of S102 (S104). In addition, this MAC address may be acquired at any time before the secret key is generated.

次に、無線LAN端末18では、キャッシュテーブル24を参照して無線LAN基地局14のMACアドレスが検索される(S106)。ここで、無線LAN端末18では、このMACアドレスがキャッシュテーブル24に記憶されているか否か、すなわち無線LAN基地局14が以前に暗号化データ通信したことのある対向機器であるか否かを判定する。その結果、記憶されていない場合、ステップS108に進んで4WAYハンドシェイクによる秘密鍵生成が行われ、記憶されていない場合、ステップS112に進んで前回の秘密鍵に基づいた新たな秘密鍵生成が行われる。   Next, the wireless LAN terminal 18 searches for the MAC address of the wireless LAN base station 14 with reference to the cache table 24 (S106). Here, in the wireless LAN terminal 18, it is determined whether or not this MAC address is stored in the cache table 24, that is, whether or not the wireless LAN base station 14 is an opposite device that has previously performed encrypted data communication. To do. As a result, if not stored, the process proceeds to step S108 to generate a secret key by 4WAY handshake.If not stored, the process proceeds to step S112 to generate a new secret key based on the previous secret key. Is called.

ステップS108において、無線LAN端末18では、まず、4WAYハンドシェイクにより無線LAN基地局14から乱数ANonceが供給されて乱数SNonceが生成され、PMK、ANonceおよびSNonceに基づいて新たな秘密鍵PTKが生成される。このとき、秘密鍵PTKは、認証サーバなどにより配布されて時間的に変更可能な事前共有鍵PMK(Pairwise Master Key)、端末18のMACアドレスAA、基地局14のMACアドレスSAなどの情報を用いて、擬似乱数関数PRF-Xによる以下の式(1)で算出される。
PTK = PRF-X(PMK, “Pairwise key expansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce)) ・・・(1)
ここで、Xは、生成する鍵のサイズを示し、暗号方式TKIP(Temporal Key Integrity Protocol)の場合には512であり、暗号方式CCMP(Counter mode with CBC-MAC Protocol)の場合には384である。また、これらの乱数ANonceおよびSNonceは、たとえば32byteの乱数長で生成され、Min(ANonce, SNonce)||Max(ANonce, SNonce)は、64byte長でよい。本実施例では、事前共有鍵としてPMKを用いたが、たとえば手入力などにより設定し、時間的に固定されるPSK(Pre-Shared Key)を用いてもよい。 In step S108, the wireless LAN terminal 18 first supplies a random number ANonce from the wireless LAN base station 14 by a 4-way handshake to generate a random number SNonce, and generates a new secret key PTK based on PMK, ANonce, and SNonce. The At this time, the secret key PTK uses information such as a pre-shared key PMK (Pairwise Master Key) distributed by an authentication server or the like that can be changed over time, the MAC address AA of the terminal 18, and the MAC address SA of the base station 14. Thus, it is calculated by the following equation (1) using the pseudorandom function PRF-X.
PTK = PRF-X (PMK, “Pairwise key expansion”, Min (AA, SA) || Max (AA, SA) || Min (ANonce, SNonce) || Max (ANonce, SNonce)) ・ ・ ・ (1 )
Here, X indicates the size of the key to be generated, which is 512 for the encryption method TKIP (Temporal Key Integrity Protocol) and 384 for the encryption method CCMP (Counter mode with CBC-MAC Protocol). . These random numbers ANonce and SNonce are generated with a random length of 32 bytes, for example, and Min (ANonce, SNonce) || Max (ANonce, SNonce) may be 64 bytes long. In this embodiment, PMK is used as the pre-shared key. However, PSK (Pre-Shared Key) that is set by manual input or the like and fixed in time may be used.

次に、無線LAN端末18では、生成したSNonceが対向の無線LAN基地局14に送信され、基地局14においても、PMK、ANonceおよびSNonceに基づいて、擬似乱数関数PRF-Xにより新たな秘密鍵PTKが生成される。これによって、無線LAN端末18および対向の無線LAN基地局14間で、秘密鍵PTKが共有化されて(S110)、暗号化データ通信(S116)に進む。   Next, in the wireless LAN terminal 18, the generated SNonce is transmitted to the opposite wireless LAN base station 14, and the base station 14 also creates a new secret key using the pseudorandom function PRF-X based on PMK, ANonce, and SNonce. A PTK is generated. As a result, the secret key PTK is shared between the wireless LAN terminal 18 and the opposing wireless LAN base station 14 (S110), and the process proceeds to encrypted data communication (S116).

ところで、ステップS112において、無線LAN端末18では、まず、キャッシュテーブル24から対向の無線LAN基地局14のMACアドレスに対応する秘密鍵、すなわち前回の秘密鍵PTK'が取得され、前回の秘密鍵PTK'を乱数として、PMKに基づいて新たな秘密鍵PTKが生成される。このとき、秘密鍵PTKは、擬似乱数関数PRF-Xを用いて、以下の式(2)で算出される。
PTK = PRF-X(PMK, “Pairwise key expansion”, Min(AA, SA) || Max(AA, SA) || PTK') ・・・(2)
この数式(2)では、前回の秘密鍵PTK'以外は、ステップS108で用いた数式(1)と同様の情報が用いられる。前回の秘密鍵PTK'は、たとえば、暗号方式TKIPの場合には64byteで、暗号方式CCMPの場合には32byteでよく、暗号方式CCMPのように64byteに満たない場合には、pass-phraseなどにより64byteへと補正するとよい。この秘密鍵長の補正方法は、通信機器同士であらかじめ決められる方法でよく、本実施例ではそのアルゴリズムなどの手法は限定しない。 Incidentally, in step S112, the wireless LAN terminal 18 first obtains the secret key corresponding to the MAC address of the opposite wireless LAN base station 14 from the cache table 24, that is, the previous secret key PTK ′, and the previous secret key PTK. A new secret key PTK is generated based on PMK, with 'as a random number. At this time, the secret key PTK is calculated by the following equation (2) using the pseudorandom function PRF-X.
PTK = PRF-X (PMK, “Pairwise key expansion”, Min (AA, SA) || Max (AA, SA) || PTK ') ・ ・ ・ (2)
In the equation (2), information similar to the equation (1) used in step S108 is used except for the previous secret key PTK ′. The previous private key PTK 'may be 64 bytes in the case of the encryption method TKIP, 32 bytes in the case of the encryption method CCMP, and if it is less than 64 bytes as in the encryption method CCMP, for example, pass-phrase Correct to 64 bytes. The method for correcting the secret key length may be a method determined in advance between communication devices, and in this embodiment, the algorithm and other methods are not limited.

また、無線LAN基地局14においても、同様にして、前回の秘密鍵PTK'が取得され、前回の秘密鍵PTK'を乱数として、PMKに基づいて擬似乱数関数PRF-Xにより式(2)により新たな秘密鍵PTKが生成される。これによって、無線LAN端末18および対向の無線LAN基地局14間で、前回の秘密鍵PTK'に基づいた新たな秘密鍵PTKが共有化されて(S114)、暗号化データ通信(S116)に進む。   Similarly, in the wireless LAN base station 14, the previous secret key PTK ′ is acquired, and the previous secret key PTK ′ is set as a random number using the pseudorandom function PRF-X based on PMK according to the equation (2). A new secret key PTK is generated. As a result, a new secret key PTK based on the previous secret key PTK ′ is shared between the wireless LAN terminal 18 and the opposing wireless LAN base station 14 (S114), and the process proceeds to encrypted data communication (S116). .

次に、ステップS116において、無線LAN端末18では、対向の無線LAN基地局14と共有化した秘密鍵PTKを用いて暗号化したデータが通信される。さらに、本実施例の無線LAN端末18では、暗号化データ通信が成功したか失敗したかが判定される(S118)。   Next, in step S116, the wireless LAN terminal 18 communicates data encrypted using the secret key PTK shared with the opposite wireless LAN base station 14. Further, in the wireless LAN terminal 18 of the present embodiment, it is determined whether the encrypted data communication has succeeded or failed (S118).

ここで、暗号化データ通信が成功した場合、ステップS120に進むが、暗号化データ通信が失敗した場合、たとえば暗号化したデータの送信を所定数繰り返しても、応答が得られなかった場合などには、4WAYハンドシェイクにより秘密鍵生成をしたか、または前回の秘密鍵に基づいて新たな秘密鍵生成をしたかに拘らず、ステップS108に進んで、4WAYハンドシェイクにより秘密鍵生成を新たに行ってよい。たとえば、対向無線LAN基地局14が、本発明による前回の秘密鍵に基づく秘密鍵生成の機能を有していない場合には、無線LAN端末18が、前回の秘密鍵PTK'に基づいて生成した新たな秘密鍵PTKを用いて暗号化したデータを通信しても、基地局14がこのデータを復号することができずに暗号化データ通信は失敗する。   Here, if the encrypted data communication is successful, the process proceeds to step S120, but if the encrypted data communication is unsuccessful, for example, if a response is not obtained even after a predetermined number of repeated transmissions of the encrypted data. Regardless of whether a secret key was generated by a 4WAY handshake or a new secret key was generated based on the previous secret key, the process proceeds to step S108 and a new secret key is generated by a 4WAY handshake. It's okay. For example, if the opposing wireless LAN base station 14 does not have the function of generating a secret key based on the previous secret key according to the present invention, the wireless LAN terminal 18 generates based on the previous secret key PTK ′. Even if data encrypted using the new secret key PTK is communicated, the base station 14 cannot decrypt the data and the encrypted data communication fails.

ところで、ステップS120において、無線LAN端末18では、暗号化データ通信が正常に終了し、対向無線LAN基地局14からの切断処理が正常に行われる。   By the way, in step S120, the encrypted data communication ends normally in the wireless LAN terminal 18, and the disconnection process from the opposite wireless LAN base station 14 is normally performed.

次に、ステップS122に進んで、無線LAN端末18では、この暗号化データ通信で用いた秘密鍵および対向無線LAN基地局14のMACアドレスが、キャッシュテーブル24に記憶される。このとき、対向無線LAN基地局14のMACアドレスがすでにキャッシュテーブル24に記憶されている場合、新たな秘密鍵が上書きされて記憶されてよい。   Next, proceeding to step S122, in the wireless LAN terminal 18, the secret key used in the encrypted data communication and the MAC address of the opposite wireless LAN base station 14 are stored in the cache table 24. At this time, if the MAC address of the opposite wireless LAN base station 14 is already stored in the cache table 24, the new secret key may be overwritten and stored.

また、無線LAN基地局14においても、この暗号化データ通信で用いた秘密鍵および対向の無線LAN端末18のMACアドレスが、キャッシュテーブルに記憶される。   Also in the wireless LAN base station 14, the secret key used in the encrypted data communication and the MAC address of the opposite wireless LAN terminal 18 are stored in the cache table.

このようにして、切断処理が正常に行われた無線LAN端末18は、ステップS102の認証処理および接続処理に進むことができる状態になる。   In this way, the wireless LAN terminal 18 that has been normally disconnected can enter a state where it can proceed to the authentication process and the connection process of step S102.

また、他の実施例として、無線LAN端末18は、暗号化データ通信が長時間続く場合、所定の有効時間が経過するごとに秘密鍵を変更してLANセキュリティを高めることができ、このとき、所定の秘密鍵有効時間が経過するとき、直前に使用していた前回の秘密鍵に基づいて新たな秘密鍵を更新する。   As another embodiment, when the encrypted data communication continues for a long time, the wireless LAN terminal 18 can change the secret key every time a predetermined effective time elapses to increase the LAN security. When a predetermined secret key valid time elapses, a new secret key is updated based on the previous secret key used immediately before.

次に、この実施例における無線LANシステム10について、対向の無線LAN基地局14との暗号化データ通信の動作を図5のフローチャートおよび図6のシーケンスチャートを参照しながら説明する。   Next, for the wireless LAN system 10 in this embodiment, the operation of encrypted data communication with the opposite wireless LAN base station 14 will be described with reference to the flowchart of FIG. 5 and the sequence chart of FIG.

この実施例よる無線LANシステム10では、まず、上記実施例の図3に示すシーケンスチャートと同様に、ステップS102、S108およびS110が動作し、その後ステップS210に進む。   In the wireless LAN system 10 according to this embodiment, first, steps S102, S108, and S110 operate in the same manner as the sequence chart shown in FIG. 3 of the above embodiment, and then the process proceeds to step S210.

ステップS210において、無線LAN端末18では、対向の無線LAN基地局14との間で暗号化データ通信が開始される。   In step S210, the wireless LAN terminal 18 starts encrypted data communication with the opposite wireless LAN base station 14.

ここで、この実施例の無線LAN端末18では、暗号化データ通信の開始後、所定の秘密鍵有効時間が経過したことが検出される(S202)。   Here, in the wireless LAN terminal 18 of this embodiment, it is detected that a predetermined secret key valid time has elapsed after the start of encrypted data communication (S202).

次に、ステップS204に進み、無線LAN端末18において、ステップS110で共有化していた前回の秘密鍵PTK'に基づいて新たな秘密鍵PTKが更新される。このとき、無線LAN端末18では、前回の秘密鍵PTK'を乱数として、ステップS112で用いた数式(2)により新たな秘密鍵PTKが生成されてよい。   Next, proceeding to step S204, the wireless LAN terminal 18 updates the new secret key PTK based on the previous secret key PTK ′ shared at step S110. At this time, the wireless LAN terminal 18 may generate a new secret key PTK by using the previous secret key PTK ′ as a random number and Equation (2) used in step S112.

また、無線LAN端末18において、このように生成された新たな秘密鍵PTKは、対向無線LAN基地局14のMACアドレスと対になってキャッシュテーブル24に記憶される(S206)。このとき、基地局14のMACアドレスがすでにキャッシュテーブル24に記憶されている場合、新たな秘密鍵が上書きされて記憶されてよい。   Further, in the wireless LAN terminal 18, the new secret key PTK generated in this way is stored in the cache table 24 in a pair with the MAC address of the opposite wireless LAN base station 14 (S206). At this time, if the MAC address of the base station 14 is already stored in the cache table 24, the new secret key may be overwritten and stored.

このようにして秘密鍵が更新された無線LAN端末18では、暗号化データ通信が再開されて(S208)、次に所定の秘密鍵有効時間が経過するのを待つ状態となり、繰り返しステップS202に進むことができる。   In the wireless LAN terminal 18 in which the secret key has been updated in this way, the encrypted data communication is resumed (S208), and then waits until a predetermined secret key valid time elapses, and the process repeatedly proceeds to step S202. be able to.

この実施例における無線LANシステム10では、対向の無線LAN基地局14においても、同様にして、所定の秘密鍵有効時間経過ごとに、直前に使用していた前回の秘密鍵PTK'に基づいて新たな秘密鍵PTKを生成して、新たな秘密鍵PTKを対向機器のMACアドレスとともにキャッシュテーブルに記憶することにより、長時間の暗号化データ通信において秘密鍵を繰り返し更新するとよい。   In the wireless LAN system 10 in this embodiment, in the opposite wireless LAN base station 14 as well, a new secret key PTK ′ used immediately before is newly generated every time a predetermined secret key valid time elapses. By generating a new secret key PTK and storing the new secret key PTK in the cache table together with the MAC address of the opposite device, the secret key may be repeatedly updated in long-time encrypted data communication.

本発明による、前回の秘密鍵に基づく新たな秘密鍵の生成は、上記実施例のような無線LANシステム10の暗号化データ通信だけでなく、同等の鍵生成手順を行う他の通信機器および通信手段のすべてに適用することができる。たとえば、本発明は、無線LAN機器同士がアドホックモードで直接接続して暗号化データ通信する場合や、有線のLANシステムにおけるLAN機器間で暗号化データ通信する場合においても実現することができる。   The generation of a new secret key based on the previous secret key according to the present invention is not only the encrypted data communication of the wireless LAN system 10 as in the above embodiment, but also other communication devices and communication that perform an equivalent key generation procedure. It can be applied to all of the means. For example, the present invention can be realized when wireless LAN devices are directly connected in ad hoc mode to perform encrypted data communication, or when encrypted data communication is performed between LAN devices in a wired LAN system.

本発明に係る無線LANシステムの一実施例を示すブロック図である。1 is a block diagram showing an embodiment of a wireless LAN system according to the present invention. 図1に示す実施例の無線LANシステムの動作手順を説明するフローチャートである。2 is a flowchart illustrating an operation procedure of the wireless LAN system according to the embodiment illustrated in FIG. 1. 図1に示す実施例の無線LANシステムの動作手順を説明するシーケンスチャートである。3 is a sequence chart for explaining an operation procedure of the wireless LAN system according to the embodiment shown in FIG. 1. 図1に示す実施例の無線LANシステムの動作手順を説明するシーケンスチャートである。3 is a sequence chart for explaining an operation procedure of the wireless LAN system according to the embodiment shown in FIG. 1. 本発明に係る無線LANシステムの他の実施例の動作手順を説明するフローチャートである。It is a flowchart explaining the operation | movement procedure of the other Example of the wireless LAN system which concerns on this invention. 本発明に係る無線LANシステムの他の実施例の動作手順を説明するシーケンスチャートである。It is a sequence chart explaining the operation | movement procedure of the other Example of the wireless LAN system which concerns on this invention.

符号の説明Explanation of symbols

10 無線LANシステム
12 LAN
14、16 無線LAN基地局
18、20 無線LAN端末
22 認証サーバ
24 キャッシュテーブル 10 Wireless LAN system
12 LAN
14, 16 Wireless LAN base station
18, 20 Wireless LAN terminal
22 Authentication server
24 Cash table

Claims (18)

秘密鍵を用いて暗号化したデータを、有線や無線の通信回線を介して通信する複数のLAN機器を含むLANシステムにおいて、
前記LAN機器は、対向のLAN機器との暗号化データを通信するとき、あらかじめ前記対向LAN機器と共有化した事前共有鍵に基づいて、通信するデータの暗号化に用いる前記秘密鍵を生成する秘密鍵生成手段を含み、
該秘密鍵生成手段は、前記対向LAN機器と以前に暗号化データ通信したことがあるか否かを判定し、通信したことがない場合には、前記対向LAN機器と乱数交換を行って乱数を取得し、該乱数および前記事前共有鍵に基づいて第1の秘密鍵を生成し、
通信したことがある場合には、前回の暗号化データ通信で用いた前回の秘密鍵を乱数として、該乱数および前記事前共有鍵に基づいて新たに第2の秘密鍵を生成することを特徴とするLANシステム。 In a LAN system including a plurality of LAN devices that communicate data encrypted using a secret key via a wired or wireless communication line,
When the LAN device communicates encrypted data with the opposite LAN device, a secret for generating the secret key used for encrypting the data to be communicated based on the pre-shared key shared in advance with the opposite LAN device. Including key generation means,
The secret key generation means determines whether or not encrypted data communication with the opposite LAN device has been performed before, and if it has not communicated, exchanges random numbers with the opposite LAN device to obtain a random number. Obtaining a first secret key based on the random number and the pre-shared key;
If communication has occurred, the previous secret key used in the previous encrypted data communication is set as a random number, and a second secret key is newly generated based on the random number and the pre-shared key. LAN system. 請求項1に記載のLANシステムにおいて、前記LAN機器は、前記対向LAN機器のMACアドレスを取得し、第1の秘密鍵を前記前回の秘密鍵として、前記MACアドレスと対にしてキャッシュテーブルなどの記憶手段に記憶し、
前記秘密鍵生成手段は、前記記憶手段を参照して前記対向LAN機器のMACアドレスを検索して、その結果、該MACアドレスが前記記憶手段に記憶されていない場合、前記対向LAN機器と以前に暗号化データ通信したことがないと判定して第1の秘密鍵を生成し、
他方、該MACアドレスが前記記憶手段に記憶されている場合、前記対向LAN機器と以前に暗号化データ通信したことがあると判定して、前記記憶手段から該MACアドレスに対応する前記前回の秘密鍵を検出して、該前回の秘密鍵を前記乱数として新たに第2の秘密鍵を生成することを特徴とするLANシステム。 2. The LAN system according to claim 1, wherein the LAN device acquires a MAC address of the opposite LAN device, and uses a first secret key as the previous secret key to pair with the MAC address, such as a cache table. Memorize it in the memory means,
The secret key generation means searches the MAC address of the opposite LAN device with reference to the storage means, and, as a result, if the MAC address is not stored in the storage means, It is determined that encrypted data communication has not been performed, and a first secret key is generated,
On the other hand, if the MAC address is stored in the storage means, it is determined that encrypted data communication has been performed with the opposite LAN device before, and the previous secret corresponding to the MAC address is stored from the storage means. A LAN system characterized by detecting a key and newly generating a second secret key using the previous secret key as the random number. 請求項2に記載のLANシステムにおいて、前記LAN機器は、前記対向LAN機器と認証処理または接続処理を行うときに、前記MACアドレスを取得することを特徴とするLANシステム。   The LAN system according to claim 2, wherein the LAN device acquires the MAC address when performing authentication processing or connection processing with the opposing LAN device. 請求項1に記載のLANシステムにおいて、前記LAN機器にて第1または第2の秘密鍵を用いた暗号化データ通信が失敗した場合、前記秘密鍵生成手段は、再度、新たに第1の秘密鍵を生成することを特徴とするLANシステム。   2. The LAN system according to claim 1, wherein when the encrypted data communication using the first or second secret key fails in the LAN device, the secret key generation means again sets the first secret. A LAN system characterized by generating a key. 請求項1に記載のLANシステムにおいて、前記LAN機器が前記対向LAN機器と暗号化データ通信を行う間、前記秘密鍵生成手段は、所定の有効時間が経過するごとに、該所定の有効時間の直前に用いていた前回の秘密鍵を前記乱数として新たに第2の秘密鍵を生成して繰り返し更新することを特徴とするLANシステム。   2. The LAN system according to claim 1, wherein the secret key generation unit performs the predetermined valid time every time the predetermined valid time elapses while the LAN device performs encrypted data communication with the opposite LAN device. A LAN system, wherein a second secret key is newly generated and repeatedly updated with the previous secret key used immediately before as the random number. 請求項5に記載のLANシステムにおいて、前記LAN機器は、前記所定の有効時間が経過する前に、前記対向LAN機器のMACアドレスを取得し、前記対向LAN機器との暗号化データ通信で用いている秘密鍵を前記前回の秘密鍵として、前記MACアドレスと対にしてキャッシュテーブルなどの記憶手段に記憶し、
前記秘密鍵生成手段は、前記所定の有効時間が経過するとき、前記記憶手段を参照して前記MACアドレスに対応する前記前回の秘密鍵を検出して、該前回の秘密鍵を前記乱数として新たに第2の秘密鍵を生成することを特徴とするLANシステム。 6. The LAN system according to claim 5, wherein the LAN device acquires a MAC address of the opposite LAN device before the predetermined valid time elapses and uses it for encrypted data communication with the opposite LAN device. A secret key that is stored as a previous secret key in a storage means such as a cache table in a pair with the MAC address,
The secret key generation means detects the previous secret key corresponding to the MAC address with reference to the storage means when the predetermined valid time has elapsed, and newly sets the previous secret key as the random number. A LAN system characterized by generating a second secret key. 請求項1に記載のLANシステムにおいて、前記LAN機器は、無線LAN端末であり、前記対向LAN機器は、無線LAN基地局であることを特徴とするLANシステム。   The LAN system according to claim 1, wherein the LAN device is a wireless LAN terminal, and the opposite LAN device is a wireless LAN base station. 請求項7に記載のLANシステムにおいて、前記乱数交換は、4WAYハンドシェイクであることを特徴とするLANシステム。   The LAN system according to claim 7, wherein the random number exchange is a 4-way handshake. 請求項1に記載のLANシステムにおいて、前記LAN機器および前記対向LAN機器は、それぞれ異なる無線LAN端末であることを特徴とするLANシステム。   The LAN system according to claim 1, wherein the LAN device and the opposite LAN device are different wireless LAN terminals. 複数のLAN機器を含むLANシステムにて、秘密鍵を用いて暗号化したデータを、有線や無線の通信回線を介して通信する通信方法において、該方法は、
前記LAN機器にて、対向のLAN機器と通信するデータの暗号化に用いる前記秘密鍵を、あらかじめ前記対向LAN機器と共有化された事前共有鍵に基づいて生成する秘密鍵生成工程を含み、
該秘密鍵生成工程は、前記LAN機器が前記対向LAN機器と以前に暗号化データ通信したことがあるか否かを判定して、ないと判定した場合には、前記LAN機器が前記対向LAN機器と乱数交換をすることによって乱数を取得し、該乱数および前記事前共有鍵に基づいて第1の秘密鍵を生成し、
他方、あると判定した場合には、前回の暗号化データ通信で用いた前回の秘密鍵を乱数として、該乱数および前記事前共有鍵に基づいて新たに第2の秘密鍵を生成することを特徴とする通信方法。 In a communication method in which data encrypted using a secret key is communicated via a wired or wireless communication line in a LAN system including a plurality of LAN devices, the method includes:
In the LAN device, including a secret key generation step of generating the secret key used for encryption of data communicated with the opposite LAN device based on a pre-shared key previously shared with the opposite LAN device,
The secret key generation step determines whether or not the LAN device has previously performed encrypted data communication with the opposite LAN device. A random number is obtained by exchanging a random number with, and a first secret key is generated based on the random number and the pre-shared key;
On the other hand, if it is determined that there is, the previous secret key used in the previous encrypted data communication is used as a random number, and a second secret key is newly generated based on the random number and the pre-shared key. A characteristic communication method. 請求項10に記載の通信方法において、該方法は、前記LAN機器にて、前記対向LAN機器のMACアドレスを取得する第1の工程と、第1の秘密鍵を前記前回の秘密鍵として、前記MACアドレスと対にしてキャッシュテーブルなどの記憶部に記憶する第2の工程を含み、
前記秘密鍵生成工程は、前記記憶部を参照して前記対向LAN機器のMACアドレスを検索して、その結果、該MACアドレスが前記記憶部に記憶されているか否かによって、前記LAN機器が前記対向LAN機器と以前に暗号化データ通信したことがあるか否かを判定し、記憶されていない場合、暗号化データ通信したことがないと判定して、第1の秘密鍵を生成し、
他方、記憶されている場合、暗号化データ通信したことがあると判定して、前記記憶部から該MACアドレスに対応する前記前回の秘密鍵を検出して、該前回の秘密鍵を前記乱数として新たに第2の秘密鍵を生成することを特徴とする通信方法。 11. The communication method according to claim 10, wherein the method includes a first step of acquiring a MAC address of the opposite LAN device in the LAN device, and a first secret key as the previous secret key. Including a second step of storing in a storage unit such as a cache table in pairs with the MAC address;
The secret key generation step searches the MAC address of the opposing LAN device with reference to the storage unit, and as a result, the LAN device determines whether the MAC address is stored in the storage unit. It is determined whether encrypted data communication with the opposite LAN device has been performed before. If not stored, it is determined that encrypted data communication has not been performed, and a first secret key is generated.
On the other hand, if stored, it is determined that encrypted data communication has been performed, the previous secret key corresponding to the MAC address is detected from the storage unit, and the previous secret key is used as the random number. A communication method, wherein a second secret key is newly generated. 請求項11に記載の通信方法において、第1の工程は、前記LAN機器にて、前記対向LAN機器と認証処理または接続処理を行うときに、前記MACアドレスを取得することを特徴とする通信方法。   12. The communication method according to claim 11, wherein the first step acquires the MAC address when performing authentication processing or connection processing with the opposing LAN device in the LAN device. . 請求項10に記載の通信方法において、該方法は、前記LAN機器にて第1のまたは第2の秘密鍵を用いた暗号化データ通信が失敗した場合、前記秘密鍵生成工程は、再度、新たに第1の秘密鍵を生成することを特徴とする通信方法。   11. The communication method according to claim 10, wherein when the encrypted data communication using the first or second secret key fails in the LAN device, the secret key generation step is performed again with a new one. And generating a first secret key. 請求項10に記載の通信方法において、該方法は、前記LAN機器にて、前記対向LAN機器と暗号化データ通信を行う間、前記秘密鍵生成工程は、所定の有効時間が経過するごとに、該所定の有効時間の直前に用いていた前回の秘密鍵を前記乱数として新たに第2の秘密鍵を生成して繰り返し更新する第3の工程を含むことを特徴とする通信方法。   The communication method according to claim 10, wherein the secret key generation step is performed every time a predetermined valid time elapses while the LAN device performs encrypted data communication with the opposite LAN device. A communication method comprising: a third step of generating a second secret key anew as a random number using the previous secret key used immediately before the predetermined valid time and repeatedly updating it. 請求項14に記載の通信方法において、第3の工程は、前記所定の有効時間が経過する前に、前記LAN機器にて、前記対向LAN機器のMACアドレスを取得し、前記LAN機器と前記対向LAN機器との暗号化データ通信で用いている秘密鍵を前記前回の秘密鍵として、前記MACアドレスと対にしてキャッシュテーブルなどの記憶部に記憶し、
前記秘密鍵生成工程は、前記所定の有効時間が経過するとき、前記記憶部を参照して前記MACアドレスに対応する前記前回の秘密鍵を検出して、該前回の秘密鍵を前記乱数として新たに第2の秘密鍵を生成することを特徴とする通信方法。 15. The communication method according to claim 14, wherein the third step acquires a MAC address of the opposite LAN device at the LAN device before the predetermined valid time elapses, and A secret key used in encrypted data communication with a LAN device is stored as a previous secret key in a storage unit such as a cache table in pair with the MAC address,
The secret key generation step detects the previous secret key corresponding to the MAC address with reference to the storage unit when the predetermined valid time has elapsed, and newly sets the previous secret key as the random number. And generating a second secret key. 請求項10に記載の通信方法において、該方法は、前記LAN機器として無線LAN端末を、前記対向LAN機器として無線LAN基地局を用いることを特徴とする通信方法。   11. The communication method according to claim 10, wherein the method uses a wireless LAN terminal as the LAN device and a wireless LAN base station as the opposite LAN device. 請求項16に記載の通信方法において、該方法は、前記LAN機器にて前記乱数交換として4WAYハンドシェイクを用いることを特徴とする通信方法。   17. The communication method according to claim 16, wherein the method uses a 4-way handshake as the random number exchange in the LAN device. 請求項10に記載の通信方法において、該方法は、前記LAN機器および前記対向LAN機器として、それぞれ異なる無線LAN端末を用いることを特徴とする通信方法。
11. The communication method according to claim 10, wherein the method uses different wireless LAN terminals as the LAN device and the opposite LAN device.
JP2005299902A 2005-10-14 2005-10-14 Lan system and its communication method Withdrawn JP2007110487A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005299902A JP2007110487A (en) 2005-10-14 2005-10-14 Lan system and its communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005299902A JP2007110487A (en) 2005-10-14 2005-10-14 Lan system and its communication method

Publications (1)

Publication Number Publication Date
JP2007110487A true JP2007110487A (en) 2007-04-26

Family

ID=38035973

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005299902A Withdrawn JP2007110487A (en) 2005-10-14 2005-10-14 Lan system and its communication method

Country Status (1)

Country Link
JP (1) JP2007110487A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007142958A (en) * 2005-11-21 2007-06-07 Canon Inc Communication device and communication method
JP2009033301A (en) * 2007-07-25 2009-02-12 Oki Electric Ind Co Ltd Wireless lan terminal and its communication method
JP2012507963A (en) * 2008-11-04 2012-03-29 マイクロソフト コーポレーション Support for multiple pre-shared keys at the access point
KR101161258B1 (en) 2006-04-14 2012-07-02 삼성전자주식회사 System and method for authenticating using a privacy key management version 2 authentication scheme in a communication system
JP2014183539A (en) * 2013-03-21 2014-09-29 Panasonic Corp Radio communication device
JP2019033458A (en) * 2017-08-09 2019-02-28 Necプラットフォームズ株式会社 Communication device, communication terminal, communication system, communication control method and communication control program
JP2022516165A (en) * 2019-01-02 2022-02-24 中国移動通信有限公司研究院 Key generation method, terminal equipment and network equipment

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007142958A (en) * 2005-11-21 2007-06-07 Canon Inc Communication device and communication method
KR101161258B1 (en) 2006-04-14 2012-07-02 삼성전자주식회사 System and method for authenticating using a privacy key management version 2 authentication scheme in a communication system
JP2009033301A (en) * 2007-07-25 2009-02-12 Oki Electric Ind Co Ltd Wireless lan terminal and its communication method
JP2012507963A (en) * 2008-11-04 2012-03-29 マイクロソフト コーポレーション Support for multiple pre-shared keys at the access point
JP2014183539A (en) * 2013-03-21 2014-09-29 Panasonic Corp Radio communication device
US9113337B2 (en) 2013-03-21 2015-08-18 Panasonic Intellectual Property Management Co., Ltd. Radio communication apparatus
JP2019033458A (en) * 2017-08-09 2019-02-28 Necプラットフォームズ株式会社 Communication device, communication terminal, communication system, communication control method and communication control program
JP2022516165A (en) * 2019-01-02 2022-02-24 中国移動通信有限公司研究院 Key generation method, terminal equipment and network equipment
JP7329604B2 (en) 2019-01-02 2023-08-18 中国移動通信有限公司研究院 KEY GENERATION METHOD, TERMINAL DEVICE AND NETWORK DEVICE

Similar Documents

Publication Publication Date Title
JP4634612B2 (en) Improved subscriber authentication protocol
US7734052B2 (en) Method and system for secure processing of authentication key material in an ad hoc wireless network
US8510560B1 (en) Efficient key establishment for wireless networks
US20070189528A1 (en) Wireless LAN transmitting and receiving apparatus and key distribution method
US8295489B2 (en) Method for sharing a link key in a ZigBee network and a communication system therefor
JP5364796B2 (en) Encryption information transmission terminal
CA2983550A1 (en) Devices and methods for client device authentication
JP2011139457A (en) System and method for secure transaction of data between wireless communication device and server
KR101706117B1 (en) Apparatus and method for other portable terminal authentication in portable terminal
JP2004266342A (en) System and terminal for radio ad hoc communication, decrypting method and encrypting method in the terminal, broadcast encrypting key distributing method, and program for making the terminal execute the method
KR20100103721A (en) Method and system for mutual authentication of nodes in a wireless communication network
WO2016098303A1 (en) Signature verification device, signature generation device, signature processing system, signature verification method, and signature generation method
KR20120091635A (en) Authentication method and apparatus in wireless communication system
EP3811583B1 (en) Secure systems and methods for resolving audio device identity using remote application
KR20120105507A (en) Method and system for establishing secure connection between user terminals
US11863974B2 (en) Method for hearing system communication and related devices
CN107682152B (en) Group key negotiation method based on symmetric cipher
JP2007110487A (en) Lan system and its communication method
JP2007259386A (en) Communication system and communication device
JP2006197065A (en) Terminal device and authentication device
CN111866881A (en) Wireless local area network authentication method and wireless local area network connection method
JP4071774B2 (en) Encryption key distribution method and slave unit in wireless network
JP2010068396A (en) Cryptographic device, terminal device, cryptographic program and method and program and method for processing information
JP2005223838A (en) Communications system and relay device
CN114071440B (en) Method and device for enhancing security of directional connection Bluetooth address

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20090106