JP2021022831A - Communication apparatus, communication system, communication method, and program - Google Patents
Communication apparatus, communication system, communication method, and program Download PDFInfo
- Publication number
- JP2021022831A JP2021022831A JP2019138185A JP2019138185A JP2021022831A JP 2021022831 A JP2021022831 A JP 2021022831A JP 2019138185 A JP2019138185 A JP 2019138185A JP 2019138185 A JP2019138185 A JP 2019138185A JP 2021022831 A JP2021022831 A JP 2021022831A
- Authority
- JP
- Japan
- Prior art keywords
- response
- address
- key information
- request packet
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 111
- 238000000034 method Methods 0.000 title claims description 48
- 230000004044 response Effects 0.000 claims abstract description 190
- 238000001514 detection method Methods 0.000 claims abstract description 44
- 238000012545 processing Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 34
- 230000006870 function Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 19
- 230000005540 biological transmission Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、通信装置、通信システム、通信方法、およびプログラムに関する。 The present invention relates to communication devices, communication systems, communication methods, and programs.
従来より、例えば住宅における家電を監視し、制御する技術が知られている。この種の技術は、いわゆるスマートハウスを実現するための技術である。スマートハウスとは、宅内の家電製品や住宅設備機器をネットワークに接続することにより、快適で省エネなライフスタイルを実現する概念である。スマートハウスを実現するためには、例えば、宅内にHEMS(Home Energy Management System)コントローラと呼ばれる機器を設定する。HEMSコントローラは、住宅内ネットワークに接続された家電製品や住宅設備機器の動作状況や消費電力を監視し、制御を行う。 Conventionally, for example, a technique for monitoring and controlling home appliances in a house has been known. This kind of technology is a technology for realizing a so-called smart house. A smart house is a concept that realizes a comfortable and energy-saving lifestyle by connecting home appliances and housing equipment in the house to a network. In order to realize a smart house, for example, a device called a HEMS (Home Energy Management System) controller is set in the house. The HEMS controller monitors and controls the operating status and power consumption of home appliances and housing equipment connected to the in-house network.
HEMSコントローラは、家電製品や住宅設備機器(以下、対象機器)の監視および制御を行うために、対象機器を自動的に検出する。これを実現するため、HEMSコントローラは、マルチキャスト通信やブロードキャスト通信を利用する。なお、DLNA(Digital Living Network Alliance、登録商標)などの主にパーソナルコンピュータやAV機器向けのホームネットワークための通信プロトコルや、UPnP(Universal Plug and Play)などのパーソナルコンピュータ向けの通信プロトコルも同様に、マルチキャスト通信やブロードキャスト通信による対象機器の自動検出を行っている。さらに、スマートハウスを実現する通信プロトコルとしてECHONET Lite規格が知られている。ECHONET Lite規格でも、マルチキャスト通信を用いて対象機器の自動検出を行っている。 The HEMS controller automatically detects the target device in order to monitor and control home appliances and housing equipment (hereinafter referred to as the target device). In order to realize this, the HEMS controller uses multicast communication or broadcast communication. Similarly, communication protocols for home networks such as DLNA (Digital Living Network Alliance, registered trademark) and personal computers and AV devices, and communication protocols for personal computers such as UPnP (Universal Plug and Play) are also used. The target device is automatically detected by multicast communication or broadcast communication. Further, the ECHONET Lite standard is known as a communication protocol for realizing a smart house. The ECHONET Lite standard also uses multicast communication to automatically detect the target device.
IEEE(Institute of Electrical and Electronics Engineers)802.11で規定されたWifi(登録商標)規格において、インフラストラクチャモードの住宅内ネットワークは、アクセスポイント(AP)と、アクセスポイントに接続される対象機器(ステーション、STA)とを含む。アクセスポイントは、イーサネット(登録商標)におけるスイッチングハブに相当する機能を持ち、アクセスポイントには複数の対象機器が接続される。通常、住宅内ネットワークにおける無線ルータは、家庭用ブロードバンドルータが持つ機能と、アクセスポイントが持つ機能とが一体化した装置である。家庭用ブロードバンドルータが持つ機能としては、ルーティング機能、IPマスカレード機能、DHCP(Dynamic Host Configuration Protocol)サーバ機能などが挙げられる。 According to the Wifi (registered trademark) standard defined by the Institute of Electrical and Electronics Engineers (IEEE) 802.11, the infrastructure mode residential network is an access point (AP) and a target device (station) connected to the access point. , STA) and. The access point has a function equivalent to a switching hub in Ethernet (registered trademark), and a plurality of target devices are connected to the access point. Usually, a wireless router in a residential network is a device in which the functions of a home broadband router and the functions of an access point are integrated. Functions of a home broadband router include a routing function, an IP masquerade function, and a DHCP (Dynamic Host Configuration Protocol) server function.
なお、イーサネット(登録商標)を用いた住宅内ネットワークにおいては送信元MAC(Media Access Control)アドレスと宛先MACアドレスの2つのMACアドレスを用いて通信を行うが、IEEE802.11に準じた住宅内ネットワークにおいては、4つのMACアドレスを用いて通信を行う。4つのMACアドレスは、例えば、送信元MACアドレスと、宛先MACアドレスと、アクセスポイントのMACアドレスと、イーサネット(登録商標)を介して接続された機器のMACアドレスとを含む。 In the in-house network using Ethernet (registered trademark), communication is performed using two MAC addresses, the source MAC (Media Access Control) address and the destination MAC address, but the in-house network conforming to IEEE802.11. In, communication is performed using four MAC addresses. The four MAC addresses include, for example, a source MAC address, a destination MAC address, an access point MAC address, and a MAC address of a device connected via Ethernet®.
対象機器がアクセスポイントに接続する場合、各対象機器は、対象機器間における盗聴防止のため、WPA(Wi-Fi Protected Access)またはWPA2(Wi-Fi Protected Access version 2)で認証を行うことで、2種類の鍵を取得する。2種類の鍵は、PTK(Pair-wise Transient Key)およびGTK(Group Transient Key、グループ鍵)である。PTKは、ユニキャストパケットを送受信するために用いられる鍵である。PTKは、対象機器がアクセスポイントに接続する度に設定される鍵であって、対象機器がアクセスポイントから切断されない限り使用される鍵である。GTKは、ブロードキャストパケットおよびマルチキャストパケットを送受信するために用いられる鍵である。GTKは、各アクセスポイントについて設定される一つの鍵であって、複数の対象機器に共通して設定される鍵である。各対象機器は、GTKを、アクセスポイントの要求に応じて更新する。GTKは、例えば一定間隔の経過や対象機器の離脱をトリガとして更新される。 When the target device connects to the access point, each target device authenticates with WPA (Wi-Fi Protected Access) or WPA2 (Wi-Fi Protected Access version 2) to prevent eavesdropping between the target devices. Get two types of keys. The two types of keys are PTK (Pair-wise Transient Key) and GTK (Group Transient Key). The PTK is a key used to send and receive unicast packets. The PTK is a key that is set every time the target device connects to the access point, and is a key that is used unless the target device is disconnected from the access point. GTK is a key used to send and receive broadcast and multicast packets. The GTK is one key set for each access point, and is a key commonly set for a plurality of target devices. Each target device updates GTK according to the request of the access point. The GTK is updated, for example, triggered by the passage of a certain interval or the withdrawal of the target device.
インフラストラクチャモードにおいて対象機器間で送受信されるパケットは、アクセスポイントを経由する。対象機器がブロードキャストあるいはマルチキャストによりパケットを送信する場合、対象機器は、まず、PTKにより暗号化したユニキャストパケットをアクセスポイントに送信し、アクセスポイントは、GTKにより暗号化したブロードキャストパケットあるいはマルチキャストパケットを対象機器に送信する。 Packets sent and received between target devices in infrastructure mode pass through the access point. When the target device transmits a packet by broadcast or multicast, the target device first transmits a unicast packet encrypted by PTK to the access point, and the access point targets the broadcast packet or multicast packet encrypted by GTK. Send to device.
ところで、GTKの更新契機や更新間隔に関しては規格化されていない。このため、アクセスポイントと対象機器の相性によって、アクセスポイントと対象機器との間でGTKの不一致が発生する場合がある。GTKの不一致は、例えば、非特許文献1に開示されている。対象機器とアクセスポイントとの間でGTKが不一致している場合、対象機器は、アクセスポイントを介してインターネットへの接続ができないため、各種クラウドサービスの恩恵を受けることができず、利便性が低下してしまうという課題がある。さらに、HEMSコントローラがアクセスポイントを介して対象機器を自動検出できず、対象機器の監視や制御を行えないという課題がある。
By the way, the GTK update trigger and update interval are not standardized. Therefore, depending on the compatibility between the access point and the target device, a GTK mismatch may occur between the access point and the target device. The GTK discrepancy is disclosed, for example, in
アクセスポイントとの接続性に関し、IEEE802.11において、アクセスポイントと対象機器との間の接続性確認(切断検知)の方法も規格化されていない。通常、対象機器は、アクセスポイント宛に定期的にヌル(Null)フレームを送信し、対象機器により応答が受信できるか否かに基づいて、アクセスポイントに接続可能か否かを確認している。しかし、この接続性確認の手法であっても、対象機器は、GTKの不一致を検出することはできず、GTKの不一致による利便性の低下を解消することはできない。 Regarding the connectivity with the access point, the method of confirming the connectivity (disconnection detection) between the access point and the target device is not standardized in IEEE802.11. Normally, the target device periodically transmits a null frame to the access point, and confirms whether or not the access point can be connected based on whether or not the target device can receive a response. However, even with this connectivity confirmation method, the target device cannot detect the GTK mismatch and cannot eliminate the decrease in convenience due to the GTK mismatch.
GTKの不一致による接続性の低下に対し、非特許文献1には、対象機器が、定期的(例えば10分程度)にブロードキャストフラグをONに設定したDHCP Discoverをアクセスポイントに送信し、応答(DHCP Offer)がない場合にアクセスポイントに再接続することが記載されている。
In response to the decrease in connectivity due to GTK mismatch, in
しかしながら、対象機器がブロードキャストフラグをセットしてDHCP Discoverを送信する機能を有していない場合、非特許文献1に記載された手法を実行することができないという問題がある。
However, if the target device does not have the function of setting the broadcast flag and transmitting the DHCP Discover, there is a problem that the method described in Non-Patent
本発明は、上記の課題に鑑みてなされたものであって、グループ鍵の不一致を検出することができる通信装置、通信システム、通信方法、およびプログラムを提供することを目的としている。 The present invention has been made in view of the above problems, and an object of the present invention is to provide a communication device, a communication system, a communication method, and a program capable of detecting a mismatch of group keys.
(1)本発明の一態様は、機器ごとに設定される第1鍵情報、および複数の機器に共通して設定される第2鍵情報を用いて機器との間で通信を行う通信装置であって、受信したパケットに基づいてIPアドレスを記憶する記憶部と、パケットの送受信を行う通信部と、前記第2鍵情報の不一致を検出する検出部と、を備え、前記通信部は、所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、前記検出部は、前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、通信装置である。 (1) One aspect of the present invention is a communication device that communicates with a device using a first key information set for each device and a second key information commonly set for a plurality of devices. The communication unit includes a storage unit that stores an IP address based on a received packet, a communication unit that transmits and receives packets, and a detection unit that detects a mismatch in the second key information. An active scan is executed in which the first response request packet is encrypted with the second key information and transmitted within the range of the IP address of the above, and when the first response request packet does not respond, there is no response. When the IP address of the 1 response request packet is stored in the storage unit, the second response request packet having the IP address of the first response request packet that has no response as the destination IP address is encrypted by the first key information. When the detection unit receives a response to the second response request packet, the detection unit detects a mismatch in the second key information between the device that transmitted the response and the own device. is there.
(2)本発明の一態様は、上記の通信装置であって、前記記憶部は、パッシブスキャンを実行した結果としてMACアドレスおよびIPアドレスの組み合わせを記憶してよい。 (2) One aspect of the present invention is the above-mentioned communication device, and the storage unit may store a combination of a MAC address and an IP address as a result of performing a passive scan.
(3)本発明の一態様は、上記の通信装置であって、前記記憶部は、パッシブスキャンを実行した結果としてMACアドレスとIPアドレスと検出時刻との組み合わせを記憶してよい。 (3) One aspect of the present invention is the above-mentioned communication device, and the storage unit may store a combination of a MAC address, an IP address, and a detection time as a result of executing a passive scan.
(4)本発明の一態様は、上記の通信装置であって、前記検出部により前記第2鍵情報の不一致を検出した場合に、通知を行う通知部を更に備えてよい。 (4) One aspect of the present invention is the above-mentioned communication device, which may further include a notification unit that notifies when a mismatch of the second key information is detected by the detection unit.
(5)本発明の一態様は、上記の通信装置であって、前記通信部は、自装置が属する無線LANにおけるアクセスポイント機能を持つ機器と自装置との間における前記第2鍵情報の不一致が無い場合に、前記アクティブスキャンを実行してよい。 (5) One aspect of the present invention is the above-mentioned communication device, in which the communication unit disagrees with the second key information between a device having an access point function in the wireless LAN to which the own device belongs and the own device. If there is no such active scan, the active scan may be performed.
(6)本発明の一態様は、上記の通信装置であって、前記通信部は、送信元IPアドレスとしてブロードキャストあるいはマルチキャストアドレスを格納し宛先MACアドレスとして対象機器のMACアドレスを格納したパケットであって、第3応答要求パケットを、前記第1鍵情報により暗号化して送信し、前記検出部は、前記第3応答要求パケットに対する応答パケットを受信した場合に、前記対象機器と自装置との間における前記第2鍵情報の不一致を検出しない、ことが望ましい。 (6) One aspect of the present invention is the above-mentioned communication device, and the communication unit is a packet in which a broadcast or multicast address is stored as a source IP address and a MAC address of a target device is stored as a destination MAC address. Then, the third response request packet is encrypted by the first key information and transmitted, and when the detection unit receives the response packet for the third response request packet, it is between the target device and the own device. It is desirable not to detect the discrepancy of the second key information in.
(7)本発明の一態様は、上記の通信装置であって、前記検出部は、前記第3応答要求パケットに対する応答パケットを受信しない場合に、前記対象機器と自装置との間における前記第2鍵情報の不一致を検出し、前記検出部により前記第2鍵情報の不一致を検出した場合に、自装置が持つ前記第2鍵情報を更新する制御部を更に備えてよい。 (7) One aspect of the present invention is the communication device, and when the detection unit does not receive a response packet for the third response request packet, the first aspect between the target device and the own device. A control unit that updates the second key information of the own device when the mismatch of the two key information is detected and the mismatch of the second key information is detected by the detection unit may be further provided.
(8)本発明の一態様は、機器ごとに設定される第1鍵情報、および複数の機器に共通して設定される第2鍵情報を用いて機器との間で通信を行う通信方法であって、受信したパケットに基づいてIPアドレスを記憶部に記憶し、所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、通信方法である。 (8) One aspect of the present invention is a communication method for communicating with a device using a first key information set for each device and a second key information commonly set for a plurality of devices. Therefore, an IP address is stored in the storage unit based on the received packet, and an active scan is executed in which the first response request packet is encrypted with the second key information and transmitted within the range of the predetermined IP address. If there is no response in the first response request packet and the IP address of the first response request packet that has no response is stored in the storage unit, the IP address of the first response request packet that has no response is stored. When a second response request packet with the destination IP address is encrypted with the first key information and transmitted, and a response to the second response request packet is received, between the device that transmitted the response and the own device. This is a communication method for detecting a mismatch in the second key information.
(9)本発明の一態様は、機器ごとに設定される第1鍵情報、および複数の機器に共通して設定される第2鍵情報を用いて機器との間で通信を行う通信装置のプログラムであって、前記通信装置のコンピュータに、受信したパケットに基づいてIPアドレスを記憶部に記憶させ、所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行させ、前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信させ、前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出させる、通信装置のプログラムである。 (9) One aspect of the present invention is a communication device that communicates with a device using a first key information set for each device and a second key information commonly set for a plurality of devices. In the program, the computer of the communication device stores the IP address in the storage unit based on the received packet, and within the range of the predetermined IP address, the first response request packet is encrypted by the second key information. When the active scan to be transmitted is executed and there is no response to the first response request packet and there is no response, when the IP address of the first response request packet is stored in the storage unit, there is no response. When the second response request packet with the IP address of the first response request packet as the destination IP address is encrypted with the first key information and transmitted, and the response to the second response request packet is received, the response is transmitted. This is a communication device program that detects a discrepancy in the second key information between the device and the own device.
(10)本発明の一態様は、ユニキャスト通信のための第1鍵情報、およびブロードキャストあるいはマルチキャスト通信のための第2鍵情報を無線LANにおける機器に設定し、前記第2鍵情報を所定の条件に従って更新するアクセスポイントと、受信したパケットに基づいてIPアドレスを記憶する記憶部と、パケットの送受信を行う通信部と、前記第2鍵情報の不一致を検出する検出部と、を備え、前記通信部は、所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、前記検出部は、前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、通信装置と、を備える、通信システムである。 (10) In one aspect of the present invention, the first key information for unicast communication and the second key information for broadcast or packet communication are set in a device in a wireless LAN, and the second key information is set to a predetermined value. It includes an access point that updates according to conditions, a storage unit that stores an IP address based on received packets, a communication unit that transmits and receives packets, and a detection unit that detects a mismatch in the second key information. The communication unit executes an active scan in which the first response request packet is encrypted with the second key information and transmitted within the range of the predetermined IP address, and when the first response request packet does not respond, the communication unit executes an active scan. When the IP address of the first response request packet having no response is stored in the storage unit, the second response request packet having the IP address of the first response request packet having no response as the destination IP address is the second response request packet. When the response to the second response request packet is received, the detection unit detects a mismatch in the second key information between the device that transmitted the response and the own device. It is a communication system including a communication device.
(11)本発明の一態様は、上記の通信システムであって、前記アクセスポイント、および前記通信装置は、IEEE802.11に準じた処理を行ってよい。 (11) One aspect of the present invention is the above-mentioned communication system, and the access point and the communication device may perform processing according to IEEE 802.11.
(12)本発明の一態様は、アクセスポイントが、ユニキャスト通信のための第1鍵情報、およびブロードキャストあるいはマルチキャスト通信のための第2鍵情報を無線LANにおける機器に設定し、前記アクセスポイントが、前記第2鍵情報を所定の条件に従って更新し、通信装置が、受信したパケットに基づいてIPアドレスを記憶し、前記通信装置が、所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、前記通信装置が、前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、前記通信装置が、前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、通信方法である。 (12) In one aspect of the present invention, the access point sets the first key information for unicast communication and the second key information for broadcast or multicast communication in the device in the wireless LAN, and the access point sets the device in the wireless LAN. , The second key information is updated according to a predetermined condition, the communication device stores the IP address based on the received packet, and the communication device sends the first response request packet within the range of the predetermined IP address. , The IP address of the first response request packet that does not respond is the IP address of the first response request packet that does not respond when the communication device executes an active scan encrypted with the second key information and transmits the first response request packet. When stored in the storage unit, the second response request packet having the IP address of the first response request packet that has no response as the destination IP address is encrypted with the first key information and transmitted, and the communication device transmits the packet. When a response to the second response request packet is received, this is a communication method for detecting a discrepancy in the second key information between the device that transmitted the response and the own device.
本発明の一態様によれば、グループ鍵の不一致を検出することができる。 According to one aspect of the present invention, a group key mismatch can be detected.
以下、本発明を適用した通信装置、通信システム、通信方法、およびプログラムを、図面を参照して説明する。 Hereinafter, a communication device, a communication system, a communication method, and a program to which the present invention is applied will be described with reference to the drawings.
(システムの概要)
図1は、本発明を適用した実施形態に係る無線通信システムの一例を示すブロック図である。実施形態の無線通信システムは、例えば、HEMSコントローラ100と、無線ルータ装置200と、家電機器300A、300Bおよび300Cと、携帯端末装置400とを備える。実施形態の無線通信システムは、例えば、ユーザの操作に基づく指示を家電機器300(制御対象機器)に伝達することで、家電機器300の状態を監視したり、家電機器300の動作を制御するHEMS(Home Energy Management System(ホーム エネルギー マネジメント システム))を実現するサービスを提供する。
(Overview of the system)
FIG. 1 is a block diagram showing an example of a wireless communication system according to an embodiment to which the present invention is applied. The wireless communication system of the embodiment includes, for example, a
無線ルータ装置200および携帯端末装置400は、広域ネットワークNW1に接続される。広域ネットワークNW1に接続される各装置は、NIC(Network Interface Card)や無線通信モジュールなどの通信インターフェースを備えている(図1では不図示)。広域ネットワークNW1は、例えばインターネットである。HEMSコントローラ100、無線ルータ装置200、および家電機器300は、住宅内ネットワークNW2に接続される。住宅内ネットワークNW2は、例えば、IEEE802.11により規格化された無線LAN(Wifi(登録商標)ネットワーク)である。住宅内ネットワークNW2に接続される各装置は、NICや無線通信モジュールなどの通信インターフェースを備えている(図1では不図示)。なお、図1には、3台の家電機器300A、300B、および300Cを示したが、以下の説明において家電機器300A、300B、300Cを総称する場合には単に「家電機器300」と記載する。また、家電機器300は、複数台に限らず、1台であってもよい。
The
図2は、本発明を適用した実施形態に係るHEMSコントローラ、無線ルータ装置、および家電機器の機能的な構成の一例を示すブロック図である。 FIG. 2 is a block diagram showing an example of functional configurations of a HEMS controller, a wireless router device, and a home electric appliance according to an embodiment to which the present invention is applied.
HEMSコントローラ100は、例えば、通信部110と、検出部120と、制御部130と、通知部140と、機器データベース150とを備える。通信部110は、住宅内ネットワークNW2に接続するNICや無線通信モジュールなどの通信インターフェースである。検出部120は、住宅内ネットワークNW2におけるグループ鍵の不一致を検出する。制御部130は、HEMSコントローラ100における各種の処理や動作を制御する。制御部130は、例えば、家電機器300の動作状況に関する信号の収集処理、家電機器300の制御処理、家電機器300の制御結果の取得処理等を行う。通知部140は、例えば、インジケータ等の表示装置である。なお、検出部120や制御部130といった機能部は、例えばCPU(Central Processing Unit)等のプロセッサがプログラムメモリに格納されたプログラムを実行することにより実現される。また、これらの機能部のうち一部または全部は、LSI(Large Scale Integration)、ASIC(Application Specific Integrated Circuit)、またはFPGA(Field-Programmable Gate Array)等のハードウェアにより実現されてもよいし、ソフトウェアとハードウェアが協働することで実現されてもよい。
The
機器データベース150は、例えば、HDD(Hard Disc Drive)、フラッシュメモリ、EEPROM(Electrically Erasable Programmable Read Only Memory)、ROM(Read Only Memory)、RAM(Random Access Memory)などの記憶装置により実現される。機器データベース150は、住宅内ネットワークNW2における家電機器300の情報を格納するデータベースである。図3は、機器データベースの一例を示す図である。機器データベース150は、例えば、IPアドレスと、MACアドレスと、検出日時とを対応付けた情報である。
The
無線ルータ装置200は、例えば、ルータ部210と、アクセスポイント部220とを備える。ルータ部210は、広域ネットワークNW1と住宅内ネットワークNW2との間の通信を中継する。ルータ部210は、例えば、グローバルIPアドレスとプライベートIPアドレスとの間でIPアドレスの変換を行う。ルータ部210は、例えば、NAPT(Network Address Port Translation)と称される処理を実行する。
The
アクセスポイント部220は、住宅内ネットワークNW2内における通信を中継する。アクセスポイント部220は、HEMSコントローラ100との間、および家電機器300との間でユニキャスト鍵を設定する。ユニキャスト鍵は、ユニキャスト通信のために用いられる鍵情報であって、HEMSコントローラ100ごと、家電機器300ごとに異なる鍵情報である。アクセスポイント部220は、グループ鍵を設定する。グループ鍵は、住宅内ネットワークNW2において共通した鍵情報であって、HEMSコントローラ100および家電機器300において同じ鍵情報である。
The
以下、住宅内ネットワークNW2においてグループ鍵(GTK)の不一致を検出する処理について説明する。図4は、実施形態における住宅内ネットワークNW2の一例を示す図である。以下の説明において、住宅内ネットワークNW2は、例えば図4に示すようなネットワーク構成、IPアドレスおよびMACアドレスが与えられている場合について説明する。この住宅内ネットワークNW2において、無線ルータ装置200に対して、HEMSコントローラ100、家電機器300A、300Bおよび家電機器300CがWifi通信により接続する。
Hereinafter, the process of detecting the mismatch of the group key (GTK) in the in-house network NW2 will be described. FIG. 4 is a diagram showing an example of the in-house network NW2 in the embodiment. In the following description, the in-house network NW2 will be described, for example, when a network configuration, an IP address, and a MAC address as shown in FIG. 4 are given. In this in-house network NW2, the
図5は、パッシブスキャンを説明するための説明図である。HEMSコントローラ100は、グループ鍵の不一致を検出する処理において、常時、パッシブスキャンを実行する。例えば、家電機器300Cが、任意の機器と通信を行うためにARP(Address Resolution Protocol)リクエストP1を送信したものとする。このARPリクエストP1は、無線ルータ装置200により受信される。無線ルータ装置200は、ARPリクエストP2を、住宅内ネットワークNW2内の全ての機器にブロードキャスト送信する。HEMSコントローラ100は、無線ルータ装置200からARPリクエストP2を受信する。HEMSコントローラ100は、ARPリクエストP2に含まれる送信元IPアドレス、送信元MACアドレス、およびARPリクエストP2の検出日時を機器データベース150に追記する。
FIG. 5 is an explanatory diagram for explaining the passive scan. The
図6は、機器データベース150の一例を示す図である。HEMSコントローラ100は、ARPリクエストP2を受信した場合、ARPリクエストP2の送信元MACアドレスをキーにして機器データベース150を検索し、送信元MACアドレスが無い場合にはレコードを新規に追加する。HEMSコントローラ100は、送信元MACアドレスが機器データベース150に存在していた場合、当該送信元MACアドレスに対応する検出日時を更新する。
FIG. 6 is a diagram showing an example of the
図7は、実施形態の住宅内ネットワークにおけるグループ鍵(GTK)の不一致を検出するフローチャートの一例である。HEMSコントローラ100は、例えば、図7に示した処理(ステップS100〜ステップS300)を一定期間ごとに繰り返して実行する。一定期間は、例えば10分である。なお、HEMSコントローラ100は、図7に示した処理を、上述したパッシブスキャンと並行して実行する。
FIG. 7 is an example of a flowchart for detecting a mismatch of group keys (GTK) in the in-house network of the embodiment. For example, the
まず、HEMSコントローラ100は、自身のグループ鍵の不一致を確認する(ステップS100)。次にHEMSコントローラ100は、アクティブスキャンにより住宅内ネットワークNW2における対象機器(無線ルータ装置200、家電機器300A、300Bおよび300C)を検出する(ステップS200)。次にHEMSコントローラ100は、対象機器におけるグループ鍵の不一致を確認する(ステップS300)。
First, the
これにより、HEMSコントローラ100は、まず、自身が持つグループ鍵が、他の機器が持つグループ鍵と不一致であるか否かを検出し(ステップS100)、その後、自身以外の機器が持つグループ鍵が、自身が持つグループ鍵と不一致であるか否かを検出する(ステップS300)。
As a result, the
図8は、HEMSコントローラのグループ鍵の不一致を確認する処理(ステップS100)の一例を示すフローチャートである。
まず、HEMSコントローラ100は、自身のネットワーク設定情報を取得する(ステップS102)。ネットワーク設定情報は、例えば、IPアドレス、ネットワークアドレス、サブネットマスク、デフォルトゲートウェイのIPアドレス、ネットワークインターフェースの種別が挙げられる。次にHEMSコントローラ100は、応答要求パケットを送信する(ステップS104)。応答要求パケットは、当該応答要求パケットを受信した機器にHEMSコントローラ100に応答パケットを送信することを要求するパケットである。HEMSコントローラ100は、応答要求パケットの送信元IPアドレスをブロードキャストあるいはマルチキャストIPアドレスに設定し、応答要求パケットの宛先IPアドレスを任意の機器のIPアドレスに設定する。
FIG. 8 is a flowchart showing an example of a process (step S100) for confirming a mismatch of group keys of the HEMS controller.
First, the
次にHEMSコントローラ100は、応答要求パケットに対する応答を受信したか否かを判定する(ステップS106)。HEMSコントローラ100は、応答を受信した場合(ステップS106:YES)、本フローチャートの処理を終了する。HEMSコントローラ100は、応答を受信していない場合(ステップS106:NO)、グループ鍵の不一致を通知する(ステップS108)。HEMSコントローラ100は、例えば、スマートフォンへの表示や音声により、利用者にHEMSコントローラ100や無線ルータ装置200を再起動するよう通知する。なお、HEMSコントローラ100の制御部130は、グループ鍵の不一致を検出した場合にHEMSコントローラ100が持つグループ鍵を更新することが望ましい。HEMSコントローラ100は、グループ鍵の更新する処理として、無線ルータ装置200に再接続する処理や無線ルータ装置200の再起動を要求する(促す)処理などを行ってよい。これにより、HEMSコントローラ100は、無線ルータ装置200に住宅内ネットワークNW2におけるグループ鍵を再設定させることができる。
Next, the
図9は、HEMSコントローラによりグループ鍵の不一致を検出する動作(ステップS100)の一例を示す図である。まず、HEMSコントローラ100は、応答要求パケットとしてのICMP(Internet Control Message Protocol)エコーリクエストP10を、無線ルータ装置200に送信する。HEMSコントローラ100は、ICMPエコーリクエストP10の送信元IPアドレスをブロードキャストあるいはマルチキャストIPアドレスに設定し、ICMPエコーリクエストP10の宛先IPアドレスを無線ルータ装置200のIPアドレスに設定する。HEMSコントローラ100は、宛先IPアドレスが無線ルータ装置200のIPアドレス(ユニキャスト送信)であるので、ICMPエコーリクエストP10をPTKで暗号化する。
FIG. 9 is a diagram showing an example of an operation (step S100) of detecting a mismatch of group keys by the HEMS controller. First, the
無線ルータ装置200は、ICMPエコーリクエストP10を受信したことに応じ、ブロードキャストあるいはマルチキャストIPアドレス宛に、ICMPエコーリプライP12を送信する。無線ルータ装置200は、宛先IPアドレスがブロードキャストIPアドレス(ブロードキャスト送信)あるいはマルチキャストIPアドレス(マルチキャスト送信)であるので、ICMPエコーリプライP12をグループ鍵で暗号化する。
The
HEMSコントローラ100は、自身が持つグループ鍵でICMPエコーリプライP12を復号できた(受信できた)場合、グループ鍵の不一致を検出しない。HEMSコントローラ100は、自身が持つグループ鍵でICMPエコーリプライP12を復号できない(受信できない)場合、グループ鍵の不一致を検出する。なお、無線ルータ装置200は、宛先IPアドレスがブロードキャストIPアドレスあるいはマルチキャストIPアドレスの場合、ブロードキャストIPアドレスあるいはマルチキャストIPアドレスからMACアドレスを決定する。無線ルータ装置200は、宛先MACアドレスがブロードキャストIPアドレスあるいはマルチキャストIPアドレスからMACアドレスから決定されたので、ICMPエコーリプライP12をグループ鍵で暗号化する。
When the ICMP echo reply P12 can be decoded (received) by the group key possessed by the
なお、応答要求パケットの宛先は、複数の機器のうちブロードキャストアドレスあるいはマルチキャストアドレスが格納された要求パケットを受信した場合に、グループ鍵により暗号化して応答パケットを送信する能力を持つ機器であることが望ましい。また、応答要求パケットの宛先は、HEMSコントローラ100が通信を実行した機器のうち最も近い日時に通信を実行した機器であってよい。応答要求パケットに対する応答が得られる可能性が高いからである。また、応答要求パケットの宛先は、HEMSコントローラ100が属する住宅内ネットワークNW2におけるアクセスポイント機能を持つ機器、またはアクセスポイント機能およびルータ機能を持つ機器であることが望ましい。住宅内ネットワークNW2にはアクセスポイント機能を持つ機器が必ず存在するからである。
The destination of the response request packet must be a device that has the ability to encrypt the response packet with the group key and send the response packet when the request packet containing the broadcast address or multicast address is received among multiple devices. desirable. Further, the destination of the response request packet may be the device that executed the communication at the closest date and time among the devices that the
HEMSコントローラ100は、応答要求パケットとしてICMPエコーリクエストを送信するとしたが、これに限定されず、ECHONET LiteにおけるGetリクエストであってもよい。
The
図10は、アクティブスキャンにより住宅内ネットワークにおける対象機器を検出する処理(ステップS200)の一例を示すフローチャートである。
HEMSコントローラ100は、まず、ネットワークアドレスおよびサブネットマスクに基づいて、住宅内ネットワークNW2における機器のIPアドレスの範囲を計算する(ステップS202)。次にHEMSコントローラ100は、計算された範囲内のIPアドレスの1つをターゲットとしてセットし、アクティブスキャンを実行する。アクティブスキャンは、ターゲットとしてセットされた1つのIPアドレスをターゲットIPアドレスとして含むARPリクエストをブロードキャストあるいはマルチキャスト送信する処理と、ARPリクエストに対するARPリプライに応じて登録する処理とを含む。
FIG. 10 is a flowchart showing an example of a process (step S200) of detecting a target device in a residential network by an active scan.
The
図11は、アクティブスキャンにおいて送受信されるパケットの一例を示す図である。
HEMSコントローラ100は、アクティブスキャンにおいて、住宅内ネットワークNW2における機器のIPアドレスの範囲でターゲットIPアドレスを変更しながら、複数のARPリクエストを送信する。例えば、HEMSコントローラ100は、ARPリクエスト#1のターゲットIPアドレスを「192.168.1.3」に設定し、ARPリクエスト#2のターゲットIPアドレスを「192.168.1.4」に設定し、ARPリクエスト#3のターゲットIPアドレスを「192.168.1.5」に設定し、各ARPリクエスト#1、#2、#3を送信する。IPアドレス「192.168.1.3、および192.168.1.4」の家電機器が存在しないため、HEMSコントローラ100は、ARPリクエスト#1、#2に対するARPリプライを受信できない。HEMSコントローラ100は、家電機器300ARPリプライ#3に対するARPリプライを受信した場合、IPアドレス「192.168.1.5」の家電機器300が存在していると判定し、機器データベース150に登録を行う。
FIG. 11 is a diagram showing an example of packets transmitted / received in the active scan.
In the active scan, the
次にHEMSコントローラ100は、ARPリクエストに対する応答としてARPリプライを受信したか否かを判定する(ステップS206)。HEMSコントローラ100は、ARPリプライを受信しない場合(ステップS206:NO)、処理をステップS214に進める。HEMSコントローラ100は、ARPリプライを受信した場合(ステップS206:YES)、応答を送信した機器のMACアドレスが機器データベース150に登録済みであるか否かを判定する(ステップS208)。
Next, the
HEMSコントローラ100は、応答を送信した機器のMACアドレスが機器データベース150に登録済みではない場合(ステップS208:NO)、応答を送信した機器のIPアドレス、MACアドレス、および検出日時の組み合わせを機器データベース150に登録する(ステップS210)。HEMSコントローラ100は、ステップS210の後、処理をステップS214に進める。HEMSコントローラ100は、応答を送信した機器のMACアドレスが機器データベース150に登録済みである場合(ステップS208:YES)、機器データベース150における当該MACアドレスのエントリに対するIPアドレスおよび検出日時の組み合わせ更新する(ステップS212)。HEMSコントローラ100は、ステップS212の後、処理をステップS214に進める。
When the MAC address of the device that sent the response is not registered in the device database 150 (step S208: NO), the
ステップS214において、HEMSコントローラ100は、ステップS202において計算された範囲内のIPアドレスを全てアクティブスキャンしたか否かを判定する。HEMSコントローラ100は、範囲内のIPアドレスを全てアクティブスキャンしていない場合(ステップS214:NO)、ステップS204に処理を戻す。HEMSコントローラ100は、範囲内のIPアドレスを全てアクティブスキャンした場合、ステップS216に処理を進める。
In step S214, the
ステップS216において、HEMSコントローラ100は、ステップS202において計算された範囲内のIPアドレスのうち1つのIPアドレスをキーとして機器データベース150を検索する(ステップS216)。HEMSコントローラ100は、検索の結果、キーとしてのIPアドレスを含むレコードが複数検索されたか否かを判定する(ステップS218)。HEMSコントローラ100は、キーとしてのIPアドレスを含むレコードが複数検索された場合(ステップS218:YES)、検索された複数のレコードのうち検索日時が最も新しいレコード以外のレコードにおけるIPアドレスのカラムを空欄にする(ステップS220)。キーとしてのIPアドレスを含むレコードが複数検索されない場合(ステップS218:NO)、ステップS222に処理を進める。
In step S216, the
次にHEMSコントローラ100は、ステップS202において計算された範囲内の全てのIPアドレスを検索したか否かを判定する(ステップS222)。HEMSコントローラ100は、範囲内の全てのIPアドレスを検索していない場合(ステップS222:NO)、ステップS216以降の処理を繰り返し、範囲内の全てのIPアドレスを検索した場合(ステップS222:YES)、本フローチャートの処理を終了する。
Next, the
図12は、実施形態においてアクティブスキャンを実行したときの動作(ステップS200)の一例を説明するための図である。HEMSコントローラ100は、アクティブスキャンの開始日時を記憶し、住宅内ネットワークNW2内の全てのIPアドレスに対してアクティブスキャンを実行する。これにより、HEMSコントローラ100から無線ルータ装置200には、各IPアドレスをターゲットIPアドレスとして含むARPリクエストP20がユニキャスト送信される。
FIG. 12 is a diagram for explaining an example of the operation (step S200) when the active scan is executed in the embodiment. The
無線ルータ装置200は、ARPリクエストP20を受信したことに応じて、住宅内ネットワークNW2にARPリクエストをブロードキャストあるいはマルチキャスト送信する。無線ルータ装置200は、ARPリクエストを、グループ鍵で暗号化する。これにより、ARPリクエストP21は家電機器300Aに送信され、ARPリクエストP22は家電機器300Bに送信され、ARPリクエストP23は家電機器300Cに送信される。家電機器300は、無線ルータ装置200が持つグループ鍵と一致したグループ鍵を持つ場合、ARPリクエストを受信し、ARPリクエストに応答することができる。家電機器300のうち、家電機器300Aのみが無線ルータ装置200が持つグループ鍵と一致したグループ鍵を持っていたとする。この場合、家電機器300Aは、ARPリプライP24を無線ルータ装置200にユニキャスト送信し、家電機器300Bおよび300Cは、ARPリプライを送信することができない。無線ルータ装置200は、家電機器300AからARPリプライP24を受信した場合、ARPリプライP25をHEMSコントローラ100にユニキャスト送信する。
The
HEMSコントローラ100は、ARPリプライP25を受信したことに応じ、ARPリプライP25における宛先MACアドレスフィールドに格納されたMACアドレス、宛先IPアドレスフィールドに格納されたIPアドレス、および検出日時を機器データベース150に追記する。図13は、検出日時が追記された機器データベースの一例を示す図である。このとき、HEMSコントローラ100は、ステップS208からステップS212で説明したように、MACアドレスが機器データベース150に登録されている場合には、IPアドレスおよび検出日時を更新し、MACアドレスが機器データベース150に登録されていない場合には、MACアドレス、IPアドレス、および検出日時を新規登録する。
In response to receiving the ARP reply P25, the
図14は、機器データベースを更新する処理の一例を示す図である。
機器データベース150には、MACアドレスをキー情報として管理しているため、複数のMACアドレスのエントリに同一のIPアドレスが登録されている場合がある。例えば、携帯端末において利用されていたIPアドレスが、携帯端末が住宅内ネットワークNW2から離脱して利用されなくなったために、他の端末に再利用される場合などがある。
このため、HEMSコントローラ100は、アクティブスキャンを完了した後、IPアドレスをキーに機器データベース150を検索する。HEMSコントローラ100は、検索結果のレコード数が2以上存在する場合(図14(a))、検出日時が最新のレコード以外のレコードにおけるIPアドレスを空欄に更新する(図14(b)、ステップS220)。
FIG. 14 is a diagram showing an example of a process of updating the device database.
Since the MAC address is managed as key information in the
Therefore, the
なお、機器データベース150に登録されたMACアドレスに対応するIPアドレスが空欄に更新されても、HEMSコントローラ100は、当該MACアドレスを含むレコードを削除しない。当該MACアドレスを持つ機器が他のIPアドレスを用いてHEMSコントローラ100と通信している可能性があるからである。
Even if the IP address corresponding to the MAC address registered in the
図15は、アクティブスキャンにより検出されなかった機器を対象としてグループ鍵の不一致を検出する処理(ステップS300)の一例を示すフローチャートである。
まず、HEMSコントローラ100は、機器データベース150から、検出日時がアクティブスキャンの開始時刻よりも古いレコードを抽出する(ステップS302)。図16は、機器データベースの一例を示す図である。HEMSコントローラ100は、例えば、アクティブスキャンの開始時刻が「2019-06-20 10:15:00」である場合、当該開始時刻以前のレコードを抽出する。
FIG. 15 is a flowchart showing an example of a process (step S300) of detecting a group key mismatch for a device that was not detected by the active scan.
First, the
次にHEMSコントローラ100は、抽出されたレコードに含まれるIPアドレスおよびMACアドレスの組み合わせの機器に対し、ARPリクエストをユニキャスト送信する(ステップS304)。次にHEMSコントローラ100は、ARPリクエストに対する応答としてARPリプライを受信したか否かを判定する(ステップS306)。HEMSコントローラ100は、ARPリプライを受信できた場合(ステップS306:YES)、ARPリクエストの送信先の機器が持っているグループ鍵が、HEMSコントローラ100が持っているグループ鍵と不一致であることを通知する(ステップS308)。HEMSコントローラ100は、例えば、スマートフォンへの表示や音声により、利用者にグループ鍵が不一致の機器や無線ルータ装置200を再起動するよう通知する。HEMSコントローラ100は、ARPリプライを受信できない場合(ステップS306:NO)、抽出した全ての機器にARPリクエストを送信したか否かを判定する(ステップS310)。
Next, the
図17は、各機器のグループ鍵の不一致を確認する動作を説明するための図である。HEMSコントローラ100は、機器データベース150から抽出したIPアドレス(192.168.1.4)とMACアドレス(00-00-00-00-00-04)の組み合わせの機器にARPリクエストP30をユニキャスト送信する。無線ルータ装置200は、ARPリクエストP30を受信したことに応じ、ARPリクエストP31を家電機器300Bにユニキャスト送信する。家電機器300Bは、ARPリクエストP31を受信したことに応じ、ARPリプライP32を無線ルータ装置200にユニキャスト送信する。無線ルータ装置200は、ARPリプライP32を受信したことに応じ、HEMSコントローラ100にARPリプライP33をユニキャスト送信する。HEMSコントローラ100は、ARPリプライP33を受信したことに応じ、図17に示すように、ARPリプライP33を受信した日時を、機器データベース150の検出日時として更新する。図17は、グループ鍵が不一致の機器についての検出日時を更新した機器データベースの一例を示す図である。
FIG. 17 is a diagram for explaining an operation of confirming a mismatch of group keys of each device. The
図19は、各機器のグループ鍵の不一致を確認する他の動作を説明するための図である。HEMSコントローラ100は、機器データベース150から抽出したIPアドレス(192.168.1.5)とMACアドレス(00-00-00-00-00-05)の組み合わせの機器にARPリクエストP40をユニキャスト送信する。無線ルータ装置200は、ARPリクエストP40を受信したことに応じ、ARPリクエストP41を家電機器300Cにユニキャスト送信する。家電機器300Cは、ARPリクエストP41を受信できない、またはARPリクエストP41を受信してもARPリプライを返信する機能を持たない。このため、HEMSコントローラ100は、ARPリプライを受信できない。この場合、HEMSコントローラ100は、図20に示すように、家電機器300Cに関するレコードを機器データベース150から削除する。図20は、グループ鍵が不一致の機器についてのレコードを削除した機器データベースの一例を示す図である。これにより、HEMSコントローラ100は、住宅内ネットワークNW2から離脱した機器に関するレコードを機器データベース150から削除することができる。
FIG. 19 is a diagram for explaining another operation of confirming the mismatch of the group keys of each device. The
HEMSコントローラ100は、抽出した全ての機器にARPリクエストを送信していない場合(ステップS310:NO)、ステップS304以降の処理を繰り返し、抽出した全ての機器にARPリクエストを送信した場合(ステップS310:YES)、本フローチャートの処理を終了する。
When the
なお、HEMSコントローラ100は、ARPリクエストに対して応答がない場合に、当該ARPリクエストの送信先の機器に関するレコードを削除したが、再度アクティブスキャンを実施してよい。図21は、ARPリクエストに対して応答がない機器に対してアクティブスキャンを実施する動作を説明する図であり、図22は、アクティブスキャンの結果に基づいてIPアドレス等を更新した機器データベース150を示す図である。ARPリクエストに対して応答がない場合は、例えば家電機器300Cが一時的に住宅内ネットワークNW2から離脱したことにより、家電機器300CのIPアドレスが離脱前の「192.168.1.5」から離脱後の「192.168.1.6」に変更された場合である。
When the
HEMSコントローラ100は、ARPリクエストに対して応答が無い場合、ARPリクエストのMACアドレス宛に、住宅内ネットワークNW2における機器のIPアドレスの範囲でIPアドレスを変更しながら、ARPリクエストP50をユニキャスト送信する。ARPリクエストP50は、無線ルータ装置200により受信され、無線ルータ装置200は、ARPリクエストP51を家電機器300Cにユニキャスト送信する。
When there is no response to the ARP request, the
家電機器300Cは、ARPリクエストP51に対してARPリプライP52を無線ルータ装置200にユニキャスト送信する。無線ルータ装置200は、ARPリプライP52を受信したことに応じて、ARPリプライP53をHEMSコントローラ100にユニキャスト送信する。
The
以上説明した実施形態のHEMSコントローラ100によれば、送信元IPアドレスとしてブロードキャストあるいはマルチキャストアドレスを格納し宛先MACアドレスとして対象機器のMACアドレスを格納したパケットであって、応答要求パケットを、第1鍵情報(PTK)により暗号化して送信し、応答要求パケットに対する応答パケットを受信した場合に、無線ルータ装置200と自装置との間における第2鍵情報(GTK)の不一致を検出せず、応答要求パケットに対する応答パケットを受信しない場合に、無線ルータ装置200と自装置との間における第2鍵情報(GTK)の不一致を検出する。具体的に、実施形態のHEMSコントローラ100によれば、応答要求パケットの送信先の対象機器から送信された応答パケットを、自装置が持つ第2鍵情報により復号ができた場合に、第2鍵情報の不一致を検出せず、自装置が持つ第2鍵情報により復号ができない場合に、無線ルータ装置200と自装置との間における第2鍵情報の不一致を検出する。これにより、HEMSコントローラ100によれば、HEMSコントローラ100自身のグループ鍵(GTK)の不一致を検出することができる。この結果、HEMSコントローラ100によれば、利便性の低下を抑制することができる。
According to the
また、実施形態のHEMSコントローラ100によれば、ブロードキャストあるいはマルチキャストアドレスが格納された応答要求パケットを受信した場合に第2鍵情報により暗号化して応答パケットを送信する能力を持つ機器に応答要求パケットを送信する。さらに、実施形態のHEMSコントローラ100によれば、自装置が属する無線LANにおけるアクセスポイント機能を持つ機器、またはアクセスポイント機能およびルータ機能を持つ機器に応答要求パケットを送信する。これにより、HEMSコントローラ100によれば、応答要求パケットに対する応答パケットを受信することができる可能性を高くして、グループ鍵(GTK)の不一致を検出することができる。
Further, according to the
さらに、実施形態のHEMSコントローラ100によれば、第2鍵情報の不一致を検出した場合に自装置が持つ第2鍵情報を更新するので、第2鍵情報を用いた通信ができない期間を短縮することができる。
Further, according to the
さらに、実施形態のHEMSコントローラ100によれば、第2鍵情報の不一致を検出した場合に通知を行うので、HEMSコントローラ100や無線ルータ装置200の再起動などによる第2鍵情報の更新をユーザに促すことができる。
Further, according to the
さらに、実施形態のHEMSコントローラ100によれば、所定のIPアドレスの範囲内において、第1応答要求パケットを、第2鍵情報(GTK)により暗号化して送信するアクティブスキャンを実行し、第1応答要求パケットに応答がない場合において、応答がない第1応答要求パケットのIPアドレスが機器データベース150に記憶されている場合、応答がない第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、第1鍵情報(PTK)により暗号化して送信し、第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器(家電機器300)と自装置との間における第2鍵情報の不一致を検出する。これにより、HEMSコントローラ100によれば、HEMSコントローラ100とグループ鍵が不一致している家電機器300を検出することができる。この結果、HEMSコントローラ100によれば、家電機器300の利便性の低下を抑制することができる。
Further, according to the
更に、実施形態のHEMSコントローラ100によれば、HEMSコントローラ100と無線ルータ装置200との間に第2鍵情報の不一致が無いことを確認した状態で、アクティブスキャンを実行することができる。
Further, according to the
なお、各実施形態および変形例について説明したが、一例であってこれらに限られず、例えば、各実施形態や各変形例のうちのいずれかや、各実施形態の一部や各変形例の一部を、他の1または複数の実施形態や他の1または複数の変形例と組み合わせて本発明の一態様を実現させてもよい。 Although each embodiment and modification have been described, the present invention is not limited to these, and is not limited to these. For example, one of each embodiment or each modification, a part of each embodiment, or one of each modification. The unit may be combined with another one or more embodiments or another one or more modifications to realize one aspect of the invention.
なお、本実施形態におけるHEMSコントローラ100の各処理を実行するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、当該記録媒体に記録されたプログラムを、コンピュータシステムに読み込ませ、実行することにより、HEMSコントローラ100に係る上述した種々の処理を行ってもよい。
By recording a program for executing each process of the
なお、ここでいう「コンピュータシステム」とは、OSや周辺機器などのハードウェアを含むものであってもよい。また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリなどの書き込み可能な不揮発性メモリ、CD−ROMなどの可搬媒体、コンピュータシステムに内蔵されるハードディスクなどの記憶装置のことをいう。 The "computer system" here may include hardware such as an OS and peripheral devices. In addition, the "computer system" includes a homepage providing environment (or display environment) if a WWW system is used. The "computer-readable recording medium" includes a flexible disk, a magneto-optical disk, a ROM, a writable non-volatile memory such as a flash memory, a portable medium such as a CD-ROM, and a hard disk built in a computer system. It refers to the storage device of.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネットなどのネットワークや電話回線などの通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic
Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、このプログラムを記憶装置などに格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。
Furthermore, the "computer-readable recording medium" is a volatile memory inside a computer system that serves as a server or client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line (for example, DRAM (Dynamic)).
It also includes those that hold the program for a certain period of time, such as Random Access Memory)). Further, the program may be transmitted from a computer system in which this program is stored in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium.
ここで、プログラムを伝送する「伝送媒体」は、インターネットなどのネットワーク(通信網)や電話回線などの通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 Here, the "transmission medium" for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above program may be for realizing a part of the above-mentioned functions. Further, a so-called difference file (difference program) may be used, which can realize the above-mentioned functions in combination with a program already recorded in the computer system.
以上、本発明の実施形態について図面を参照して詳述したが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計なども含まれる。上述した実施形態は、図1に示したように、無線ルータ装置200と家電機器300とが無線接続である住宅内ネットワークNW2について説明したが、本発明はこれに限定されず、住宅内ネットワークNW2に無線ルータ装置200と有線接続される機器が含まれていても、HEMSコントローラ100のグループ鍵の不一致を検出するという課題や、家電機器300のグループ鍵の不一致を検出するという課題を解決することができる。
Although the embodiment of the present invention has been described in detail with reference to the drawings, the specific configuration is not limited to this embodiment, and the design within a range not deviating from the gist of the present invention is also included. In the above-described embodiment, as shown in FIG. 1, the in-house network NW2 in which the
100 HEMSコントローラ
110 通信部
120 検出部
130 制御部
140 通知部
150 機器データベース
200 無線ルータ装置
210 ルータ部
220 アクセスポイント部
300 家電機器
400 携帯端末装置
100
Claims (12)
受信したパケットに基づいてIPアドレスを記憶する記憶部と、
パケットの送受信を行う通信部と、
前記第2鍵情報の不一致を検出する検出部と、を備え、
前記通信部は、
所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、
前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、
前記検出部は、
前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、
通信装置。 A communication device that communicates with a device using the first key information set for each device and the second key information set in common for a plurality of devices.
A storage unit that stores the IP address based on the received packet,
A communication unit that sends and receives packets,
A detection unit for detecting a mismatch of the second key information is provided.
The communication unit
An active scan is executed in which the first response request packet is encrypted with the second key information and transmitted within the range of the predetermined IP address.
When there is no response in the first response request packet and there is no response, when the IP address of the first response request packet is stored in the storage unit, the IP address of the first response request packet that has no response is addressed. The second response request packet with the IP address is encrypted with the first key information and transmitted.
The detection unit
When a response to the second response request packet is received, a discrepancy in the second key information between the device that transmitted the response and the own device is detected.
Communication device.
請求項1に記載の通信装置。 The storage unit stores a combination of MAC address and IP address as a result of performing a passive scan.
The communication device according to claim 1.
請求項1に記載の通信装置。 The storage unit stores the combination of the MAC address, the IP address, and the detection time as a result of executing the passive scan.
The communication device according to claim 1.
請求項1から3のうち何れか1項に記載の通信装置。 A notification unit for notifying when a mismatch of the second key information is detected by the detection unit is further provided.
The communication device according to any one of claims 1 to 3.
請求項1から4のうち何れか1項に記載の通信装置。 The communication unit executes the active scan when there is no mismatch of the second key information between the device having the access point function in the wireless LAN to which the own device belongs and the own device.
The communication device according to any one of claims 1 to 4.
前記検出部は、前記第3応答要求パケットに対する応答パケットを受信した場合に、前記対象機器と自装置との間における前記第2鍵情報の不一致を検出しない、
請求項5に記載の通信装置。 The communication unit stores a broadcast or multicast address as the source IP address and stores the MAC address of the target device as the destination MAC address, and encrypts the third response request packet with the first key information. Send and
When the detection unit receives the response packet for the third response request packet, the detection unit does not detect the mismatch of the second key information between the target device and the own device.
The communication device according to claim 5.
前記検出部により前記第2鍵情報の不一致を検出した場合に、自装置が持つ前記第2鍵情報を更新する制御部を更に備える、
請求項6に記載の通信装置。 When the detection unit does not receive the response packet for the third response request packet, the detection unit detects the mismatch of the second key information between the target device and the own device.
When the detection unit detects a mismatch in the second key information, the detection unit further includes a control unit that updates the second key information of the own device.
The communication device according to claim 6.
受信したパケットに基づいてIPアドレスを記憶部に記憶し、
所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、
前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、
前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、
通信方法。 It is a communication method for communicating with a device using the first key information set for each device and the second key information set in common for a plurality of devices.
The IP address is stored in the storage unit based on the received packet, and
An active scan is executed in which the first response request packet is encrypted with the second key information and transmitted within the range of the predetermined IP address.
When there is no response in the first response request packet and there is no response, when the IP address of the first response request packet is stored in the storage unit, the IP address of the first response request packet that has no response is addressed. The second response request packet with the IP address is encrypted with the first key information and transmitted.
When a response to the second response request packet is received, a discrepancy in the second key information between the device that transmitted the response and the own device is detected.
Communication method.
前記通信装置のコンピュータに、
受信したパケットに基づいてIPアドレスを記憶部に記憶させ、
所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行させ、
前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信させ、
前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出させる、
通信装置のプログラム。 It is a program of a communication device that communicates with a device using the first key information set for each device and the second key information set in common for a plurality of devices.
To the computer of the communication device
The IP address is stored in the storage unit based on the received packet, and the IP address is stored in the storage unit.
Within the range of the predetermined IP address, an active scan is executed in which the first response request packet is encrypted with the second key information and transmitted.
When there is no response in the first response request packet and there is no response, when the IP address of the first response request packet is stored in the storage unit, the IP address of the first response request packet that has no response is addressed. The second response request packet with the IP address is encrypted with the first key information and transmitted.
When a response to the second response request packet is received, a mismatch in the second key information between the device that transmitted the response and the own device is detected.
Communication device program.
受信したパケットに基づいてIPアドレスを記憶する記憶部と、パケットの送受信を行う通信部と、前記第2鍵情報の不一致を検出する検出部と、を備え、前記通信部は、所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが前記記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、前記検出部は、前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、通信装置と、
を備える、通信システム。 An access point that sets the first key information for unicast communication and the second key information for broadcast or multicast communication in a device in a wireless LAN and updates the second key information according to predetermined conditions.
The communication unit includes a storage unit that stores an IP address based on a received packet, a communication unit that transmits / receives packets, and a detection unit that detects a mismatch in the second key information, and the communication unit has a predetermined IP address. Within the range of, the active scan in which the first response request packet is encrypted with the second key information and transmitted is executed, and when the first response request packet has no response, the first response request has no response. When the IP address of the packet is stored in the storage unit, the second response request packet with the IP address of the first response request packet that has no response as the destination IP address is encrypted with the first key information and transmitted. When the detection unit receives the response to the second response request packet, the detection unit detects the mismatch of the second key information between the device that transmitted the response and the own device.
A communication system.
請求項10に記載の通信システム。 The access point and the communication device perform processing according to 802.11.
The communication system according to claim 10.
前記アクセスポイントが、前記第2鍵情報を所定の条件に従って更新し、
通信装置が、受信したパケットに基づいてIPアドレスを記憶し、
前記通信装置が、所定のIPアドレスの範囲内において、第1応答要求パケットを、前記第2鍵情報により暗号化して送信するアクティブスキャンを実行し、
前記通信装置が、前記第1応答要求パケットに応答がない場合において、応答がない前記第1応答要求パケットのIPアドレスが記憶部に記憶されている場合、応答がない前記第1応答要求パケットのIPアドレスを宛先IPアドレスとした第2応答要求パケットを、前記第1鍵情報により暗号化して送信し、
前記通信装置が、前記第2応答要求パケットに対する応答を受信した場合、当該応答を送信した機器と自装置との間における前記第2鍵情報の不一致を検出する、
通信方法。 The access point sets the first key information for unicast communication and the second key information for broadcast or multicast communication in the device in the wireless LAN.
The access point updates the second key information according to a predetermined condition.
The communication device stores the IP address based on the received packet and
The communication device executes an active scan in which the first response request packet is encrypted with the second key information and transmitted within the range of the predetermined IP address.
When the communication device does not respond to the first response request packet and there is no response, when the IP address of the first response request packet is stored in the storage unit, there is no response of the first response request packet. The second response request packet with the IP address as the destination IP address is encrypted with the first key information and transmitted.
When the communication device receives a response to the second response request packet, it detects a discrepancy in the second key information between the device that transmitted the response and the own device.
Communication method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019138185A JP7220132B2 (en) | 2019-07-26 | 2019-07-26 | Communication device, communication system, communication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019138185A JP7220132B2 (en) | 2019-07-26 | 2019-07-26 | Communication device, communication system, communication method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021022831A true JP2021022831A (en) | 2021-02-18 |
JP7220132B2 JP7220132B2 (en) | 2023-02-09 |
Family
ID=74573776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019138185A Active JP7220132B2 (en) | 2019-07-26 | 2019-07-26 | Communication device, communication system, communication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7220132B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110088078A1 (en) * | 2009-10-11 | 2011-04-14 | Research In Motion Limited | Authentication Failure in a Wireless Local Area Network |
JP2017118312A (en) * | 2015-12-24 | 2017-06-29 | 日本電気株式会社 | Radio communication system, server, terminal, radio communication method, and program |
JP2020108131A (en) * | 2018-12-27 | 2020-07-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Terminal, communication method, and program |
-
2019
- 2019-07-26 JP JP2019138185A patent/JP7220132B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110088078A1 (en) * | 2009-10-11 | 2011-04-14 | Research In Motion Limited | Authentication Failure in a Wireless Local Area Network |
JP2017118312A (en) * | 2015-12-24 | 2017-06-29 | 日本電気株式会社 | Radio communication system, server, terminal, radio communication method, and program |
JP2020108131A (en) * | 2018-12-27 | 2020-07-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Terminal, communication method, and program |
Non-Patent Citations (1)
Title |
---|
ECHONET LITE システム設計指針 第2版, JPN6023001975, 24 June 2019 (2019-06-24), JP, ISSN: 0004970454 * |
Also Published As
Publication number | Publication date |
---|---|
JP7220132B2 (en) | 2023-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9654907B2 (en) | System, method and apparatus for wireless network connection using near field communication | |
US10129745B2 (en) | Authentication method and system for wireless mesh network | |
CN1503523B (en) | Methods and apparatus for secure, portable, wireless and multi-hop data networking | |
JP5050849B2 (en) | Remote access system and its IP address assignment method | |
JP3955025B2 (en) | Mobile radio terminal device, virtual private network relay device, and connection authentication server | |
US11706324B2 (en) | Hybrid network communication method, device, and system | |
JP7263098B2 (en) | Terminal, communication method and program | |
US9007957B2 (en) | Wireless network setup and configuration distribution system | |
TWI508609B (en) | Network configuration method and wireless networking system | |
US10567353B2 (en) | Information processing apparatus, wireless communication system, and communication method | |
JP2004208101A (en) | Gateway and communication method therefor | |
US20160105407A1 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
US10630532B2 (en) | Wireless communication system, communication method, and information processing apparatus | |
JP2021022830A (en) | Communication apparatus, communication system, communication method, and program | |
JP5721183B2 (en) | Wireless LAN communication system, wireless LAN base unit, communication connection establishment method, and program | |
JP7220132B2 (en) | Communication device, communication system, communication method, and program | |
JP2005051458A (en) | Communication network system and method for automatically setting security therefor | |
JP2008244945A (en) | Wireless connection environment setting system, wireless connection environment setting server, information terminal, and program | |
WO2020137084A1 (en) | Terminal, communication method, and program | |
CN113194471B (en) | Wireless network access method, device and terminal based on block chain network | |
JP2005229484A (en) | Radio terminal supervisory and control method/program/program recording medium/apparatus/system | |
JP7183764B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD AND WIRELESS COMMUNICATION SYSTEM | |
David et al. | CASAN: A new communication architecture for sensors based on CoAP | |
KR20120071699A (en) | Apparatus and method for providing service of home agent and mobile terminal | |
KR20140058540A (en) | Apparatus and method for establishing interface in a local network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220301 |
|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230112 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7220132 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |