JP2011145919A - 通信装置 - Google Patents
通信装置 Download PDFInfo
- Publication number
- JP2011145919A JP2011145919A JP2010006749A JP2010006749A JP2011145919A JP 2011145919 A JP2011145919 A JP 2011145919A JP 2010006749 A JP2010006749 A JP 2010006749A JP 2010006749 A JP2010006749 A JP 2010006749A JP 2011145919 A JP2011145919 A JP 2011145919A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- communication device
- request
- authenticated
- ake
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Abstract
【課題】認証処理の遅延を抑制しつつ、認証する機器数を正しく制限する「通信装置」を提供する。
【解決手段】認証処理部21は、受信したAKEリクエスト毎に、個別リクエスト認証処理を起動する。個別リクエスト認証処理では、処理中の先着したAKEリクエストについての個別リクエスト認証処理による、認証済機器数を表すカウンタ値の増加の可能性の有無と、可能なカウンタ値の増加数を解析し、解析した増加数を、現在のカウンタ値に加えた値が、所定の制限数を超えない場合にのみ、AKEリクエストの認証処理を実行する。
【選択図】図2
【解決手段】認証処理部21は、受信したAKEリクエスト毎に、個別リクエスト認証処理を起動する。個別リクエスト認証処理では、処理中の先着したAKEリクエストについての個別リクエスト認証処理による、認証済機器数を表すカウンタ値の増加の可能性の有無と、可能なカウンタ値の増加数を解析し、解析した増加数を、現在のカウンタ値に加えた値が、所定の制限数を超えない場合にのみ、AKEリクエストの認証処理を実行する。
【選択図】図2
Description
本発明は、複数の機器をネットワークで接続し、コンテンツの送信元となる機器であるソースが、コンテンツの送信先となる機器を認証して、認証した機器にコンテンツを送信するシステムにおいて、ソースで認証する機器数を制限する技術に関するものである。
複数の機器をネットワークで接続し、コンテンツの送信元となる機器であるソースが、コンテンツの送信先となる機器を認証して、認証した機器にコンテンツを送信するシステムにおいて、ソースで認証する機器数を制限する技術としては、ソースにおいて、図6に示す手順によって認証機器数を制限する認証処理が知られている(たとえば、特許文献1、非特許文献1)。
図6に示すように、この認証処理では、ソースは、まず、カウンタSCを0に初期化する(ステップ602)。
そして、所定の契機で生じるキー廃棄の発生と(ステップ604)、認証及びキー交換を求めるAKE(Authentication and Key Exchange)リクエストの受信(ステップ606)を監視する。
そして、キー廃棄が発生している場合には(ステップ604)、ステップ602に戻り、SCを0に初期化する。
一方、AKEリクエストを受信した場合には(ステップ606)、SCが34未満であるかどうかを調べ(ステップ608)、SCが34未満であれば、AKE(Authentication and Key Exchange:認証及びキー交換)を、AKEリクエストの発行元との間で実行する(ステップ610)。
そして、所定の契機で生じるキー廃棄の発生と(ステップ604)、認証及びキー交換を求めるAKE(Authentication and Key Exchange)リクエストの受信(ステップ606)を監視する。
そして、キー廃棄が発生している場合には(ステップ604)、ステップ602に戻り、SCを0に初期化する。
一方、AKEリクエストを受信した場合には(ステップ606)、SCが34未満であるかどうかを調べ(ステップ608)、SCが34未満であれば、AKE(Authentication and Key Exchange:認証及びキー交換)を、AKEリクエストの発行元との間で実行する(ステップ610)。
そして、AKEリクエストの発行元が、コンテンツを受信する機器であるシンクであるか、シンクのPloxyとなる機器であるバスブリッジであるかを、AKEリクエストに含まれるAPフラグの値より判定し(ステップ612)、APフラグが1であってAKEリクエストの発行元がバスブリッジである場合には、ステップ618に進んで、SCを1増加し、ステップ604、606の監視に戻る。
一方、APフラグが0であってAKEリクエストの発行元がシンクである場合には、AKEリクエストの発行元のシンクが、認証済のシンクを登録するレジスタに既に登録済みであるかどうかを調べ(ステップ614)、登録済であれば、そのままステップ604、606の監視に戻り、登録済でなければ、AKEリクエストの発行元のシンクをレジスタに登録した上で(ステップ616)、ステップ618に進んで、SCを1増加し、ステップ604、606の監視に戻る。
一方、ステップ608で、SCが34以上であると判定された場合には、AKEリクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ620)、そうであれば、AKEを、AKEリクエストの発行元との間で実行し(ステップ622)、ステップ604、606の監視に戻る。一方、AKEリクエストの発行元がAP = 0のシンクでないか、レジスタに登録されていない場合には(ステップ620)、AKEリクエストを拒絶し(ステップ624)、ステップ604、606の監視に戻る。
ここで、このような認証処理によれば、認証される機器数は34以下に制限されることになる。
ここで、このような認証処理によれば、認証される機器数は34以下に制限されることになる。
ここで、上述した認証処理による、ソースと、シンク/バスブリッジの全体の認証動作のシーケンスはおおよそ図7に示すものである。
すなわち、シンクまたはバスブリッジは、ソースに、certificate 等を伴うAKEリクエストを発行する。
ソースは、図6に示した認証処理によってAKEリクエストに対してAKEを実行する場合には、当該AKEにおいて、以下の処理を行う。
すなわち、AKEリクエスト発行元の正当性をcertificateを用いて承認できたならば、AKEリクエスト発行元と、チャレンジ、レスポンスによって所定の情報を交換し、ソースとAKEリクエスト発行元において共通の認証鍵を生成するチャレンジ-レスポンスシーケンスを実行する。
すなわち、シンクまたはバスブリッジは、ソースに、certificate 等を伴うAKEリクエストを発行する。
ソースは、図6に示した認証処理によってAKEリクエストに対してAKEを実行する場合には、当該AKEにおいて、以下の処理を行う。
すなわち、AKEリクエスト発行元の正当性をcertificateを用いて承認できたならば、AKEリクエスト発行元と、チャレンジ、レスポンスによって所定の情報を交換し、ソースとAKEリクエスト発行元において共通の認証鍵を生成するチャレンジ-レスポンスシーケンスを実行する。
そして、チャレンジ-レスポンスシーケンスが成功したならば、認証鍵を用いて暗号化した交換キーをAKEリクエスト発行元に送信する。
また、以降、ソースは、交換キーを利用して暗号化したコンテンツをAKEリクエスト発行元に送信し、AKEリクエスト発行元では、ソースから受信した交換キーを利用して、ソースから送信されたコンテンツを復号し利用する。
また、以降、ソースは、交換キーを利用して暗号化したコンテンツをAKEリクエスト発行元に送信し、AKEリクエスト発行元では、ソースから受信した交換キーを利用して、ソースから送信されたコンテンツを復号し利用する。
Hitachi, Ltd., Intel Corporation, Matsushita Electric Industrial Co., Ltd., Sony Corporation and Toshiba Corporation ,"Digital Transmission Content Protection Specification Volume 1 (Informational Version)", P.72-73, [online], 2007年10月1日, Digital Transmission Licensing Administrator (DTLA), [2009年12月22日検索],インターネット(http://www.dtcp.com/data/info 20071001 DTCP V1 1p51.pdf)
さて、図6に示した認証処理によって、ソースにおいて、認証する機器数を制限する場合には、以下の問題が生じる。
すなわち、ソースにおいて、連続的に複数のAKEリクエストを受信した場合に、各AKEリクエストを逐次的に一つずつ、順次、処理した場合には、後着のAKEリクエストに対する処理に比較的大きな遅延が生じる。
一方、各AKEリクエストを並列に処理した場合には、各AKEリクエストについての処理開始時にSCが34未満であっても、各AKEリクエスト処理終了時にSCが34以上となってしまうことがあり、この場合には、正しく認証する機器数を34以下に制限できなくなる。すなわち、たとえば、SCが33のときに(認証済機器数が33のときに)、二つのAKEリクエストが連続して到着した場合に、この二つのAKEリクエストの処理を平行して行うと、当該処理開始時点において、SCが33であるために、二つのAKEリクエストに対してAKEが実行されてしまうことがあり、この場合、二つのAKEリクエストについての処理終了時には、認証機器数34を超えて35となってしまうことがある。
すなわち、ソースにおいて、連続的に複数のAKEリクエストを受信した場合に、各AKEリクエストを逐次的に一つずつ、順次、処理した場合には、後着のAKEリクエストに対する処理に比較的大きな遅延が生じる。
一方、各AKEリクエストを並列に処理した場合には、各AKEリクエストについての処理開始時にSCが34未満であっても、各AKEリクエスト処理終了時にSCが34以上となってしまうことがあり、この場合には、正しく認証する機器数を34以下に制限できなくなる。すなわち、たとえば、SCが33のときに(認証済機器数が33のときに)、二つのAKEリクエストが連続して到着した場合に、この二つのAKEリクエストの処理を平行して行うと、当該処理開始時点において、SCが33であるために、二つのAKEリクエストに対してAKEが実行されてしまうことがあり、この場合、二つのAKEリクエストについての処理終了時には、認証機器数34を超えて35となってしまうことがある。
一方、連続的に複数のAKEリクエストを受信した場合に、より先着のAKEリクエストについてAKEが実行されSCが1増加されるものと仮定して、SCが34以上とならないように、後着のAKEリクエストを拒絶することも考えられるが、このようにすると先着のAKEリクエストについての処理の結果SCが1増加されなかった場合には、後着のAKEリクエストを正当な理由なく拒絶してしまうことになる。すなわち、たとえば、SCが33のときに、二つのAKEリクエストが連続して到着した場合に、1番目に到着したAKEリクエストについてAKEが実行されSCが1増加されてSCが34となるものと仮定し、2番目に到着したAKEリクエストを拒絶した場合において、1番目に到着したAKEリクエストについてAKEが実行されなかったり、AKEが実行されてもSCが1増加されなかった場合には、SCが33に維持されるので、2番目に到着したAKEリクエストを不当に拒絶してしまったことになる。
そこで、本発明は、ソースにおいて、認証処理の遅延を抑制しつつ、認証する機器数を正しく制限することを課題とする。
前記課題達成のために、本発明は、通信機器とデータ通信を行う通信装置に、前記通信機器から受信した各認証要求について、当該認証要求の発行元の通信機器の認証を行うと共に、認証した通信機器が既に認証済の通信機器でない場合に、認証済機器数を1増加する認証処理を行う認証処理部と、前記認証処理部が認証した通信機器と前記データ通信を行うデータ通信部とを備え、前記認証処理部において、発行元が認証済の通信機器でない認証要求についての認証処理を、当該認証要求に先行して受信した、認証処理を実行中の、発行元が認証済の通信機器でない他の認証要求の数を、前記認証済機器数に加算した数が、前記所定の制限数未満である場合に実行するようにしたものである。
このような通信装置によれば、受信した認証要求についての認証処理を、先着した未処理の認証要求の認証処理による、認証済機器数の可能最大増加数を、未処理の認証要求の発行元の通信機器が認証済の通信機器であるかどうかより求め、求めた可能増加数が現在の認証済機器数に加えた値が、制限値未満となる場合のみ行う。
よって、各認証要求の認証処理によって、認証済機器数が制限値を越えることはないので、認証する機器数を正しく制限することができるようになる。また、先着の認証要求についての認証処理の完了を待たずに、後着の認証要求についての認証処理の実行を開始できるので、認証処理の遅延も抑制することができる。
また、本発明は、前記課題達成のために、通信機器とデータ通信を行う通信装置に、前記通信機器から受信した各認証要求について、当該認証要求の発行元の通信機器と認証鍵を共有するための第1の処理と、前記認証鍵を用いて暗号化した交換キーを前記通信装置に送信し、認証した通信機器が既に認証済の通信機器でない場合に、認証済機器数を1増加する第2の処理とを含む認証処理を行う認証処理部と、前記交換キーを送信した通信機器と、当該交換キーを利用した暗号化を施した前記データ通信を行うデータ通信部とを備え、前記認証処理部において、発行元が認証済の通信機器でない認証要求についての認証処理を、前記第1の処理を実行し、当該第1の処理の終了後に、前記第2の処理を実行中の他の認証処理が存在しなくなった時点で、前記認証済機器数が所定の制限数未満である場合に、前記第2の処理を実行することにより行うようにしたものである。
このような通信装置によれば、各認証要求についての認証処理において、第1の処理まで実行し、当該第1の処理の終了後に、前記第2の処理を実行中の他の認証処理が存在しなくなった時点で、前記認証済機器数が所定の制限数未満である場合に、第2の処理を行う。
よって、各認証要求についての認証処理により、認証済機器数が制限数を越えることはないので、認証する通信機器数を正しく制限することができるようになる。また、他の認証要求についての認証処理の状況如何に関わらずに、認証処理を、第2の処理直前の処理まで進めておけるので、認証処理の遅延も抑制することができる。
以上のように、本発明によれば、ソースにおいて、認証処理の遅延を抑制しつつ、認証する機器数を正しく制限することができる。
以下、本発明の実施形態について説明する。
図1に、本実施形態に係るAVシステムの構成を示す。
図示するように、AVシステムは、複数のAV装置1をIEEE1394規格に従ったバス2で接続したものである。また、AVシステムは、バス2間の中継等を行うバスブリッジ3によって連結された複数のバス2を備えて構成することもできる。
ここで、AV装置1は、それぞれ、バス制御部10、CPU11、メモリ12、AV機器13、入力装置14を備えている。ここで、AV機器13は、ディスプレイやオーディオ再生装置やビデオ再生装置やテレビ受信機やラジオ受信機やオーディオ出力装置などの、オーディオとビジュアルの少なくとも一方を入力/出力する機器である。
図1に、本実施形態に係るAVシステムの構成を示す。
図示するように、AVシステムは、複数のAV装置1をIEEE1394規格に従ったバス2で接続したものである。また、AVシステムは、バス2間の中継等を行うバスブリッジ3によって連結された複数のバス2を備えて構成することもできる。
ここで、AV装置1は、それぞれ、バス制御部10、CPU11、メモリ12、AV機器13、入力装置14を備えている。ここで、AV機器13は、ディスプレイやオーディオ再生装置やビデオ再生装置やテレビ受信機やラジオ受信機やオーディオ出力装置などの、オーディオとビジュアルの少なくとも一方を入力/出力する機器である。
次に、AV装置1の機能構成を図2に示す。
ここで、図中の認証処理部21、AV制御部22は、CPU11がメモリ12に記憶されているプログラムを実行することにより実現される機能である。
さて、図示するようにバス制御部10は、バス2との間の信号入出力を行う送受信部101、AV機器13がバス2を介して他の機器に送信したりバス2を介して他の機器から受信するコンテンツデータの暗号化/復号を行う暗号/復号処理部102を備えている。
また、AV制御部22は、ユーザ操作やバス制御部10を介して他のAV装置1から受信したコマンドに応じて、AV装置1の動作の制御を行う。
そして、ソースとなるAV装置1の認証処理部21は、図3に示す認証処理を行う
図示するように、この認証処理において、認証処理部21は、まず、カウンタSCを0に初期化すると共に、認証済のシンクを登録するレジスタを空に初期化する(ステップ302)。ここで、ソースとは、他AV装置にコンテンツデータを送信するAV装置1を指し、シンクとは、ソースとなるAV装置1からコンテンツデータを受信するAV装置1を指す。
ここで、図中の認証処理部21、AV制御部22は、CPU11がメモリ12に記憶されているプログラムを実行することにより実現される機能である。
さて、図示するようにバス制御部10は、バス2との間の信号入出力を行う送受信部101、AV機器13がバス2を介して他の機器に送信したりバス2を介して他の機器から受信するコンテンツデータの暗号化/復号を行う暗号/復号処理部102を備えている。
また、AV制御部22は、ユーザ操作やバス制御部10を介して他のAV装置1から受信したコマンドに応じて、AV装置1の動作の制御を行う。
そして、ソースとなるAV装置1の認証処理部21は、図3に示す認証処理を行う
図示するように、この認証処理において、認証処理部21は、まず、カウンタSCを0に初期化すると共に、認証済のシンクを登録するレジスタを空に初期化する(ステップ302)。ここで、ソースとは、他AV装置にコンテンツデータを送信するAV装置1を指し、シンクとは、ソースとなるAV装置1からコンテンツデータを受信するAV装置1を指す。
そして、所定の契機で生じるキー廃棄の発生と(ステップ304)、認証及びキー交換を求めるAKE(Authentication and Key Exchange)リクエストの受信(ステップ306)を監視する。
そして、キー廃棄が発生している場合には(ステップ304)、ステップ302に戻り、SCとレジスタを0に初期化する。
一方、AKEリクエストを受信した場合には(ステップ306)、受信したAKEリクエストを処理中リクエストテーブルに追加し(ステップ308)、受信したAKEリクエストを対象リクエストとする個別リクエスト認証処理を起動する(ステップ310)。
そして、ステップ304、306の監視に戻る。
次に、このような認証処理のステップ310で起動される個別リクエスト認証処理の手順を図4に示す。
図示するように、個別リクエスト認証処理では、SCが34未満であるかどうかを調べ(ステップ402)、SCが34以上であれば、対象リクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ422)、そうであれば、AKEを、対象リクエストの発行元との間で実行し(ステップ424)、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。ここで、ステップ424で実行されるAKEでは、先に図7を用いて説明したように、AKEリクエスト発行元の正当性をcertificateを用いた承認、チャレンジ、レスポンスによるAKEリクエスト発行元との共通の認証鍵の生成、AKEリクエスト発行元への認証鍵を用いて暗号化した交換キー送信が行われる。一方、対象リクエストの発行元がAP = 0のシンクでないか、レジスタに登録されていない場合には(ステップ422)、対象リクエストを拒絶し(ステップ426)、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。
そして、キー廃棄が発生している場合には(ステップ304)、ステップ302に戻り、SCとレジスタを0に初期化する。
一方、AKEリクエストを受信した場合には(ステップ306)、受信したAKEリクエストを処理中リクエストテーブルに追加し(ステップ308)、受信したAKEリクエストを対象リクエストとする個別リクエスト認証処理を起動する(ステップ310)。
そして、ステップ304、306の監視に戻る。
次に、このような認証処理のステップ310で起動される個別リクエスト認証処理の手順を図4に示す。
図示するように、個別リクエスト認証処理では、SCが34未満であるかどうかを調べ(ステップ402)、SCが34以上であれば、対象リクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ422)、そうであれば、AKEを、対象リクエストの発行元との間で実行し(ステップ424)、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。ここで、ステップ424で実行されるAKEでは、先に図7を用いて説明したように、AKEリクエスト発行元の正当性をcertificateを用いた承認、チャレンジ、レスポンスによるAKEリクエスト発行元との共通の認証鍵の生成、AKEリクエスト発行元への認証鍵を用いて暗号化した交換キー送信が行われる。一方、対象リクエストの発行元がAP = 0のシンクでないか、レジスタに登録されていない場合には(ステップ422)、対象リクエストを拒絶し(ステップ426)、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。
一方、ステップ402でSCが34未満であると判定された場合には、処理中リクエストテーブルに対象リクエストに先行して登録されている、対象リクエストよりも先着の各AKEリクエストとの認証成功時のSCの値をVSCとして算出する(ステップ404)。
すなわち、ここでは、処理中リクエストテーブルに対象リクエストに先行して登録されているAKEリクエストのうち、AKEリクエストのリクエスト元がAP=1のバスブリッジ3であるか、AKEリクエストのリクエスト元がレジスタに登録されていないAP=0のシンクであるAKEリクエストの数、すなわち、リクエスト元がレジスタに登録されているシンクであるAKEリクエストを除くAKEリクエストの数を求め、求めたAKEリクエスト数をSCの値に加算した数をVSCとする。
すなわち、ここでは、処理中リクエストテーブルに対象リクエストに先行して登録されているAKEリクエストのうち、AKEリクエストのリクエスト元がAP=1のバスブリッジ3であるか、AKEリクエストのリクエスト元がレジスタに登録されていないAP=0のシンクであるAKEリクエストの数、すなわち、リクエスト元がレジスタに登録されているシンクであるAKEリクエストを除くAKEリクエストの数を求め、求めたAKEリクエスト数をSCの値に加算した数をVSCとする。
そして、VSCが、34未満であるかどうかを調べ(ステップ406)、VSCが34以上であれば、対象リクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ422)、そうであれば、AKEを、対象リクエストの発行元との間で実行し(ステップ424)、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。一方、対象リクエストの発行元がAP = 0のシンクでないか、レジスタに登録されていない場合には(ステップ422)、対象リクエストを拒絶し(ステップ426)、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。
一方、ステップ406において、VSCが34未満であると判定された場合には、AKEを、対象リクエストの発行元との間で実行する(ステップ408)。そして、AKEが失敗した場合には(ステップ410)、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。
一方、AKEが成功した場合には(ステップ410)、対象リクエストの発行元が、コンテンツを受信する機器であるシンクであるか、シンクのPloxyとなる機器であるバスブリッジ3であるかを、対象リクエストに含まれるAPフラグの値より判定し(ステップ412)、APフラグが1であって対象リクエストの発行元がバスブリッジ3である場合には、SCを1増加すると共に(ステップ418)処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。
一方、APフラグが0であって対象リクエストの発行元がシンクである場合には(ステップ412)、対象リクエストの発行元のシンクが、レジスタに既に登録済みであるかどうかを調べ(ステップ414)、登録済であれば、処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。
一方、登録済でなければ、AKEリクエストの発行元のシンクをレジスタに登録した上で(ステップ416)、SCを1増加すると共に(ステップ418)処理中リクエストテーブルから対象リクエストを削除し(ステップ420)、個別リクエスト認証処理を終了する。
以上、ソースの認証処理部21が行う認証処理と個別リクエスト認証処理について説明した。
なお、以上の各処理中において実行したAKEでAKEリクエスト発行元と交換した交換キーは、ソースにおいて、バス制御部10の暗号/復号処理部102に設定され、以降、暗号/復号処理部102は、AV装置1から入力し、送受信部101を介して送信するコンテンツデータを、当該コンテンツデータの送信先の機器に前述した認証処理によって送信した交換キーを利用して求まる暗号キーにより暗号化する。また、交換キーをソースから受信した機器では、暗号/復号処理部102に設定し、以降、暗号/復号処理部102は、ソースから受信したコンテンツデータを、当該コンテンツデータの送信元のソースから受信した交換キーを利用して求まる暗号キーにより復号し出力する。
なお、以上の各処理中において実行したAKEでAKEリクエスト発行元と交換した交換キーは、ソースにおいて、バス制御部10の暗号/復号処理部102に設定され、以降、暗号/復号処理部102は、AV装置1から入力し、送受信部101を介して送信するコンテンツデータを、当該コンテンツデータの送信先の機器に前述した認証処理によって送信した交換キーを利用して求まる暗号キーにより暗号化する。また、交換キーをソースから受信した機器では、暗号/復号処理部102に設定し、以降、暗号/復号処理部102は、ソースから受信したコンテンツデータを、当該コンテンツデータの送信元のソースから受信した交換キーを利用して求まる暗号キーにより復号し出力する。
以上のような、認証処理部21が行う認証処理と個別リクエスト認証処理によれば、受信したAKEリクエスト毎に起動された各個別リクエスト認証処理において、先着した未処理のAKEリクエストの個別リクエスト認証処理による、認証済機器数を表すSCの増加の可能性の有無と、可能なSCの増加数を解析し、解析した増加数を、現在のSCに加えた値が、34未満である場合にのみ、AKEリクエストの認証処理を実行する。
よって、各個別リクエスト認証処理によるAKEリクエストの認証処理によって、SCが34を越えることはないので、認証する機器数を正しく制限することができるようになる。また、先着のAKEリクエストの認証処理の完了を待たずに、後着のAKEリクエストの認証処理の実行を開始できるので、認証処理の遅延も抑制することができる。
ところで、上述した個別リクエスト認証処理は、図5に示すように行うようにしてもよい。なお、個別リクエスト認証処理を図5のように行う場合には、図3に示した認証処理のステップ308の処理中リクエストテーブルへの受信AKEリクエストの追加処理は、これを設ける必要はない。
すなわち、個別リクエスト認証処理において、まず、SCが34未満であるかどうかを調べ(ステップ502)、SCが34以上であれば、対象リクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ528)、そうであれば、AKEを、対象リクエストの発行元との間で実行し(ステップ530)、個別リクエスト認証処理を終了する。一方、対象リクエストの発行元がAP = 0のシンクでないか、レジスタに登録されていない場合には(ステップ528)、対象リクエストを拒絶し(ステップ532)、個別リクエスト認証処理を終了する。
すなわち、個別リクエスト認証処理において、まず、SCが34未満であるかどうかを調べ(ステップ502)、SCが34以上であれば、対象リクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ528)、そうであれば、AKEを、対象リクエストの発行元との間で実行し(ステップ530)、個別リクエスト認証処理を終了する。一方、対象リクエストの発行元がAP = 0のシンクでないか、レジスタに登録されていない場合には(ステップ528)、対象リクエストを拒絶し(ステップ532)、個別リクエスト認証処理を終了する。
一方、ステップ502でSCが34未満であると判定された場合には、対象リクエストの発行元との間で、AKEを、図7に示した認証動作シーケンスのチャレンジ-レスポンスシーケンスまで実行して、対象リクエストの発行元との間で認証鍵を共有する(ステップ504)。
そして、チャレンジ-レスポンスシーケンスまでAKEが成功したかどうかを調べ(ステップ506)、失敗していれば、個別リクエスト認証処理を終了する。
一方、チャレンジ-レスポンスシーケンスまでAKEが成功した場合には(ステップ506)、処理中フラグがオンの他の個別リクエスト認証処理が存在しなくなるのを待つ(ステップ508)。
そして、処理中フラグがオンの他の個別リクエスト認証処理が存在しなくなったならば(ステップ508)、再度、SCが34未満であるかどうかを調べ(ステップ510)、SCが34以上であれば、対象リクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ534)、そうであれば、対象リクエストの発行元に、当該発行元との間で行ったチャレンジ-レスポンスシーケンスで共有した認証鍵で暗号化した交換キーを送信して(ステップ536)、AKEを完了して、対象リクエストの発行元との間の認証動作シーケンスを終了すると共に、個別リクエスト認証処理を終了する。
一方、チャレンジ-レスポンスシーケンスまでAKEが成功した場合には(ステップ506)、処理中フラグがオンの他の個別リクエスト認証処理が存在しなくなるのを待つ(ステップ508)。
そして、処理中フラグがオンの他の個別リクエスト認証処理が存在しなくなったならば(ステップ508)、再度、SCが34未満であるかどうかを調べ(ステップ510)、SCが34以上であれば、対象リクエストの発行元がAP = 0のシンクであって、かつ、レジスタに既に登録済みであるかどうかを調べ(ステップ534)、そうであれば、対象リクエストの発行元に、当該発行元との間で行ったチャレンジ-レスポンスシーケンスで共有した認証鍵で暗号化した交換キーを送信して(ステップ536)、AKEを完了して、対象リクエストの発行元との間の認証動作シーケンスを終了すると共に、個別リクエスト認証処理を終了する。
一方、対象リクエストの発行元がAP = 0のシンクでないか、レジスタに登録されていない場合には(ステップ534)、チャレンジ-レスポンスシーケンスまでで、対象リクエストについてのAKEを中止し(ステップ538)、個別リクエスト認証処理を終了する。ここで、AKEの中止は、対象リクエストの発行元にAKEのキャンセルコマンドを送信したり、対象リクエスト発行元からの認証動作シーケンスの進行を求めるコマンドを拒絶したり、放置によって対象リクエスト発行元のタイムアウトによるAKE失敗を引き起こすこと等により行うことができる。
次に、ステップ510において、SCが34未満であると判定された場合には、自個別リクエスト認証処理の処理中フラグをオンに設定する(ステップ512)。なお、処理中フラグの初期値はオフである。
そして、対象リクエストの発行元に、当該発行元との間で行ったチャレンジ-レスポンスシーケンスで共有した認証鍵で暗号化した交換キーを送信して(ステップ514)、AKEを完了して、対象リクエストの発行元との間の認証動作シーケンスを終了する。
次に、交換キーの送信が成功したかどうかを調べ(ステップ516、失敗していれば、自個別リクエスト認証処理の処理中フラグをオフに戻し(ステップ526)、個別リクエスト認証処理を終了する。
そして、対象リクエストの発行元に、当該発行元との間で行ったチャレンジ-レスポンスシーケンスで共有した認証鍵で暗号化した交換キーを送信して(ステップ514)、AKEを完了して、対象リクエストの発行元との間の認証動作シーケンスを終了する。
次に、交換キーの送信が成功したかどうかを調べ(ステップ516、失敗していれば、自個別リクエスト認証処理の処理中フラグをオフに戻し(ステップ526)、個別リクエスト認証処理を終了する。
一方、交換キーの送信が成功している場合には(ステップ516)、対象リクエストの発行元が、コンテンツを受信する機器であるシンクであるか、シンクのPloxyとなる機器であるバスブリッジ3であるかを、対象リクエストに含まれるAPフラグの値より判定し(ステップ518)、APフラグが1であって対象リクエストの発行元がバスブリッジ3である場合には、SCを1増加すると共に(ステップ524)、自個別リクエスト認証処理の処理中フラグをオフに戻し(ステップ526)、個別リクエスト認証処理を終了する。
一方、APフラグが0であって対象リクエストの発行元がシンクである場合には(ステップ518)、対象リクエストの発行元のシンクが、レジスタに既に登録済みであるかどうかを調べ(ステップ520)、登録済であれば、自個別リクエスト認証処理の処理中フラグをオフに戻し(ステップ526)、個別リクエスト認証処理を終了する。
一方、登録済でなければ、AKEリクエストの発行元のシンクをレジスタに登録した上で(ステップ522)、SCを1増加すると共に(ステップ524)、自個別リクエスト認証処理の処理中フラグをオフに戻し(ステップ526)、個別リクエスト認証処理を終了する。
以上のような図5に示した個別リクエスト認証処理によれば、受信したAKEリクエスト毎に起動された各個別リクエスト認証処理では、AKEを、交換キーの送信直前のシーケンスまで実行しておき、当該時点において、処理中フラグがオンの他の個別リクエスト認証処理が存在しない、すなわち、他の個別リクエスト認証処理がSCを増加させる可能性のあるAKEの交換キーの送信処理に進んでおらず、かつ、SCが34未満である場合にのみ、AKEリクエストの認証処理を実行する。
よって、各個別リクエスト認証処理によるAKEリクエストの認証処理によって、SCが34を越えることはないので、認証する機器数を正しく制限することができるようになる。また、先着のAKEリクエストの認証処理の状況如何に関わらずに、後着のAKEリクエストの認証処理を、交換キーの送信直前のシーケンスまで進めておけるので、認証処理の遅延も抑制することができる。
以上、本発明の実施形態について説明した。
よって、各個別リクエスト認証処理によるAKEリクエストの認証処理によって、SCが34を越えることはないので、認証する機器数を正しく制限することができるようになる。また、先着のAKEリクエストの認証処理の状況如何に関わらずに、後着のAKEリクエストの認証処理を、交換キーの送信直前のシーケンスまで進めておけるので、認証処理の遅延も抑制することができる。
以上、本発明の実施形態について説明した。
1…AV装置、2…バス、3…バスブリッジ、10…バス制御部、11…CPU、12…メモリ、13…AV機器、14…入力装置、21…認証処理部、22…AV制御部、101…送受信部、102…暗号/復号処理部。
Claims (4)
- 通信機器とデータ通信を行う通信装置であって、
前記通信機器から受信した各認証要求について、当該認証要求の発行元の通信機器の認証を行うと共に、認証した通信機器が既に認証済の通信機器でない場合に、認証済機器数を1増加する認証処理を行う認証処理部と、
前記認証処理部が認証した通信機器と前記データ通信を行うデータ通信部とを有し、
前記認証処理部は、発行元が認証済の通信機器でない認証要求についての認証処理を、当該認証要求に先行して受信した、認証処理を実行中の、発行元が認証済の通信機器でない他の認証要求の数を、前記認証済機器数に加算した数が、前記所定の制限数未満である場合に実行することを特徴とする通信装置。 - 通信機器とデータ通信を行う通信装置であって、
前記通信機器から受信した各認証要求について、当該認証要求の発行元の通信機器と認証鍵を共有するための第1の処理と、前記認証鍵を用いて暗号化した交換キーを前記通信装置に送信し、認証した通信機器が既に認証済の通信機器でない場合に、認証済機器数を1増加する第2の処理とを含む認証処理を行う認証処理部と、
前記交換キーを送信した通信機器と、当該交換キーを利用した暗号化を施した前記データ通信を行うデータ通信部とを有し、
前記認証処理部は、発行元が認証済の通信機器でない認証要求についての認証処理を、前記第1の処理を実行し、当該第1の処理の終了後に、前記第2の処理を実行中の他の認証処理が存在しなくなった時点で、前記認証済機器数が所定の制限数未満である場合に、前記第2の処理を実行することにより行うことを特徴とする通信装置。 - 通信機器とデータ通信を行うコンピュータによって読みとられ実行されるコンピュータプログラムであって、
前記コンピュータを、
前記通信機器から受信した各認証要求について、当該認証要求の発行元の通信機器の認証を行うと共に、認証した通信機器が既に認証済の通信機器でない場合に、認証済機器数を1増加する認証処理を行う認証処理部と、
前記認証処理部が認証した通信機器と前記データ通信を行うデータ通信部として機能させ、
前記認証処理部は、発行元が認証済の通信機器でない認証要求についての認証処理を、当該認証要求に先行して受信した、認証処理を実行中の、発行元が認証済の通信機器でない他の認証要求の数を、前記認証済機器数に加算した数が、前記所定の制限数未満である場合に実行することを特徴とするコンピュータププログラム。 - 通信機器とデータ通信を行うコンピュータによって読みとられ実行されるコンピュータプログラムであって、
前記コンピュータを、
前記通信機器から受信した各認証要求について、当該認証要求の発行元の通信機器と認証鍵を共有するための第1の処理と、前記認証鍵を用いて暗号化した交換キーを前記通信装置に送信し、認証した通信機器が既に認証済の通信機器でない場合に、認証済機器数を1増加する第2の処理とを含む認証処理を行う認証処理部と、
前記交換キーを送信した通信機器と、当該交換キーを利用した暗号化を施した前記データ通信を行うデータ通信部として機能させ、
前記認証処理部は、発行元が認証済の通信機器でない認証要求についての認証処理を、前記第1の処理を実行し、当該第1の処理の終了後に、前記第2の処理を実行中の他の認証処理が存在しなくなった時点で、前記認証済機器数が所定の制限数未満である場合に、前記第2の処理を実行することにより行うことを特徴とするコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010006749A JP2011145919A (ja) | 2010-01-15 | 2010-01-15 | 通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010006749A JP2011145919A (ja) | 2010-01-15 | 2010-01-15 | 通信装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011145919A true JP2011145919A (ja) | 2011-07-28 |
Family
ID=44460709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010006749A Withdrawn JP2011145919A (ja) | 2010-01-15 | 2010-01-15 | 通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011145919A (ja) |
-
2010
- 2010-01-15 JP JP2010006749A patent/JP2011145919A/ja not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347835B (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| US10880097B2 (en) | Flexible provisioning of attestation keys in secure enclaves | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| US11228420B2 (en) | Securing audio communications | |
| US10243745B2 (en) | Method and system for producing a secure communication channel for terminals | |
| US8811609B2 (en) | Information protection system and method | |
| TWI636373B (zh) | Method and device for authorizing between devices | |
| JP2012530311A5 (ja) | ||
| WO2016144257A2 (en) | Method and system for facilitating authentication | |
| WO2015111221A1 (ja) | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム | |
| US9672367B2 (en) | Method and apparatus for inputting data | |
| CN106411520B (zh) | 一种虚拟资源数据的处理方法、装置及系统 | |
| CN113630412B (zh) | 资源下载方法、资源下载装置、电子设备以及存储介质 | |
| US20210126776A1 (en) | Technologies for establishing device locality | |
| CN107682380B (zh) | 一种交叉认证的方法及装置 | |
| JP5448623B2 (ja) | 通信装置 | |
| CN114124572B (zh) | 基于单向网络的数据传输方法、装置、设备和介质 | |
| JP2011145919A (ja) | 通信装置 | |
| JP4095634B2 (ja) | 通信装置、デジタルテレビジョン装置および通信装置の制御方法 | |
| JP2011146970A (ja) | 通信装置 | |
| JP5361031B2 (ja) | 暗号認証処理方法及び装置 | |
| CN107911223B (zh) | 一种交叉签名的方法及装置 | |
| TWI662817B (zh) | 連線方法及連線系統 | |
| JP6597342B2 (ja) | 電子制御装置の検証方法 | |
| KR20150131696A (ko) | 키 분배 방법 및 키 분배를 위한 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20130402 |