JP4881813B2 - 通信装置、通信装置の通信方法、プログラム、記憶媒体 - Google Patents
通信装置、通信装置の通信方法、プログラム、記憶媒体 Download PDFInfo
- Publication number
- JP4881813B2 JP4881813B2 JP2007208732A JP2007208732A JP4881813B2 JP 4881813 B2 JP4881813 B2 JP 4881813B2 JP 2007208732 A JP2007208732 A JP 2007208732A JP 2007208732 A JP2007208732 A JP 2007208732A JP 4881813 B2 JP4881813 B2 JP 4881813B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- key
- communication
- communication device
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Description
本発明は、通信装置、通信装置の通信方法、プログラム、記憶媒体に関する。
従来、盗聴や改竄を防止するために通信データを暗号化することが行われている。特に、無線通信においては盗聴が容易なため安全な通信路を確保することが重要となっている。
例えば無線LANのインフラストラクチャモードにおいては、通信端末とアクセスポイントはWEP(Wired Equivalent Privacy)という標準規格を実装している。WEPでは、通信端末とアクセスポイントに事前に暗号鍵を設定し、毎回の通信においてその暗号鍵を使うことによって安全性を保障しようとする。しかし、この方式では、暗号鍵が常に固定であり、WEPで採用されている暗号アルゴリズムの強度も高くないため安全性が保証できない場面が様々指摘されている。
この問題を解消するために、WPA(Wi−Fi Protected Access)という標準規格が策定された。WPAでは、暗号アルゴリズムの強度を向上させるとともに、通信端末がネットワークに参加するセッション度に毎回暗号鍵を生成することで安全性を高めている。
インフラストラクチャモードではアクセスポイントを介して、他の通信端末にデータを送信するため、アクセスポイントとのみ直接に通信する。よって、アクセスポイントとの通信の安全性のみを保障すればよい。一方、アドホックモードにおいては、アクセスポイントが存在しないため、通信したい相手と直接通信を行う。即ち、各端末が、他の端末と暗号通信するためには、他の端末毎の暗号鍵を保有するか、ネットワーク全体で共通の暗号鍵を利用する必要がある。
各端末が、他の端末毎の暗号鍵を保有する場合は、端末数が増えれば増えるほど、暗号鍵の管理が複雑かつ困難になる。
ネットワーク全体で共通の暗号鍵を利用する場合は、端末毎の鍵管理の負荷は減る。
例えば特許文献1には、アドホックモードにおける暗号鍵の使用方法について言及されている。
特開2006−332895号公報
しかしながら、共通の暗号鍵を利用する場合、ネットワークに新規に端末が参加する新規端末にも同じ暗号鍵を配付するのは困難であるいう問題がある。
無線LANのWPAには、複数の端末で共有する暗号鍵として、グループ鍵がある。このグループ鍵は、4ウェイハンドシェイクおよびグループキーハンドシェイクを実施することで、4ウェイハンドシェイクを開始した端末から他方に端末に送られる。しかしながら、アドホックモードでは、4ウェイハンドシェイクを開始する端末が決められていない。
また、アドホックモードでは、ネットワークに存在する端末を集中的に管理する仕組みが無い。よって、ネットワークに既に参加している端末は、グループ鍵を保有していない端末を把握していない。そのため、ネットワークに既に参加している端末が、グループ鍵を保有していない端末を見つけ出し、4ウェイハンドシェイクを開始することは困難である。
また、ネットワークに新規に参加する端末から4ウェイハンドシェイクを開始すると、新規端末がグループ鍵を配付することになり、今までネットワークで利用されていたグループ鍵を新規端末に配付することはできない。
本発明は、アドホックモードのような環境であっても、ネットワークに新規に参加する通信装置に対して、暗号鍵を共有できるようにすることを目的とする。
本発明は、他の通信装置と共有する暗号鍵を保有するか否かを判定し、該判定の結果に応じて、第1の通信装置から暗号鍵を共有するための共有処理が開始された後に、通信装置から第1の通信装置との共有処理を開始する。
本発明により、アドホックモードのような環境であっても、ネットワークに新規に参加する通信装置に対して、暗号鍵を共有できる。
<実施形態1>
以下、本発明に係る通信装置について、図面を参照しながら詳細に説明する。以下では、IEEE802.11シリーズに準拠した無線LANシステムを用いた例について説明するが、本発明は他の通信方式に適用することもできる。
以下、本発明に係る通信装置について、図面を参照しながら詳細に説明する。以下では、IEEE802.11シリーズに準拠した無線LANシステムを用いた例について説明するが、本発明は他の通信方式に適用することもできる。
本実施形態に好適な事例におけるハードウェア構成について説明する。
図1は、本実施形態における通信装置の構成例を表すブロック図である。101は通信装置全体を示す。102は、記憶部103に記憶される制御プログラムを実行することにより装置全体を制御する制御部である。制御部102は、他の通信装置との間での暗号鍵交換のシーケンス制御も行う。103は制御部102が実行する制御プログラムと、通信パラメータ等の各種情報を記憶する記憶部である。後述する動作フローチャート、シーケンスチャートの各種動作は、記憶部103に記憶された制御プログラムを制御部102が実行することにより行われる。104は無線通信を行うための無線部である。105は各種表示を行う表示部でありLCDやLEDのように視覚で認知可能な情報の出力、あるいはスピーカなどの音出力が可能な機能を有する。107はアンテナ制御部、そして108のアンテナである。
図9は、本実施形態における通信装置が実行するソフトウェア機能ブロックの構成例を表すブロック図である。
901は端末全体を示している。902は各種通信にかかわるパケットを受信するパケット受信部である。903は各種通信にかかわるパケットを送信するパケット送信部である。904はプローブリクエストなどの機器検索信号の送信を制御する検索信号送信部である。後述するプローブリクエストの送信は、検索信号送信部904により行われる。また、受信したプローブリクエストに対する応答信号であるプローブレスポンスの送信も検索信号送信部904により行われる。
905は他の端末からのプローブリクエストなどの機器検索信号の受信を制御する検索信号受信部である。後述するプローブリクエストの受信は、検索信号受信部905により行われる。また、プローブレスポンスの受信も検索信号受信部905により行われる。なお、プローブレスポンスには、プローブレスポンスを送信する機器の各種情報(自己情報)が付加されている。
906は他の通信装置との間でのセッション鍵、グループ鍵の交換処理におけるシーケンス制御などを司る鍵交換制御部である。本実施形態において例示する、WPA鍵交換処理における4ウェイハンドシェイクおよびグループキーハンドシェイクの各メッセージの処理は、鍵交換制御部906により行われる。
ここで、WPA(Wi−Fi Protected Access)の4ウェイハンドシェイクおよびグループキーハンドシェイクについて簡単に説明する。4ウェイハンドシェイクおよびグループキーハンドシェイクは、本実施形態では、暗号鍵の交換処理として説明するが、一方の通信装置から他方の通信装置に暗号鍵を提供して共有する共有処理と言う事もできる。
4ウェイハンドシェイクおよびグループキーハンドシェイクは、認証側機器(オーセンティケーター)と被認証側機器(サプリカント)との間で実行される。なお、以下の説明では、認証側機器(オーセンティケーター)を認証側、被認証側機器(サプリカント)を被認証側として説明する。
4ウェイハンドシェイクでは、認証側、被認証側とで共有鍵(事前共有鍵)を事前に共有しておき、セッション鍵の生成には、この事前共有鍵を利用する。
まず、認証側が乱数(第1の乱数)を生成し、生成した第1の乱数を含むメッセージ1を被認証側に送信する。
このメッセージ1を受信した被認証側は、自身でも乱数(第2の乱数)を生成する。そして、被認証側は、自身で生成した第2の乱数と、認証側から受信した第1の乱数と、事前共有鍵と、からセッション鍵を生成する。
セッション鍵を生成した被認証側は、第2の乱数と、自身の暗号・認証サポート情報(WPAIE)と、を含むメッセージ2を認証側に送る。
メッセージ2を受信した認証側では、自身で生成した第1の乱数と、被認証側から受信した第2の乱数と、事前共有鍵と、から、セッション鍵を生成する。この段階で、認証側と被認証側とは、第1の乱数、第2の乱数、事前共有鍵が同じであれば、同じセッション鍵を生成したことになる。
セッション鍵を生成した認証側は、自身の暗号・認証サポート情報(WPAIE)とセッション鍵のインストール指示を含むメッセージ3を被認証側に送信する。
メッセージ3の送受信を契機に認証側および被認証側は、セッション鍵をインストールすることができる。
メッセージ3を受信した被認証側は、メッセージ3を受信したことを通知するためのメッセージ4を認証側に送信する。
このように、4ウェイハンドシェイクは、認証側と被認証側との間でメッセージ1からメッセージ4を送受信することで、暗号鍵であるセッション鍵を交換(実際には、セッション鍵を生成するための乱数交換)し、共有化することができる。
なお、セッション鍵のインストールはメッセージ4の送受信を契機することもできる。
グループキーハンドシェイクでは、認証側は、4ウェイハンドシェイクで交換したセッション鍵を用いてグループ鍵を暗号化する。そして、認証側は、この暗号化したグループ鍵を含むメッセージ1を被認証側に送信する。グループ鍵は、グループ通信を行うための暗号鍵である。そのため、既に他の通信装置と共有しているグループ鍵を被認証側とも共有する場合は、そのグループ鍵を送信する。他の通信装置と共有しているグループ鍵が無い、また、他の通信装置と共有しているグループ鍵を被認証側とは共有しない場合は、認証側がグループ鍵を生成し、生成したグループ鍵を被認証側に送信する。
被認証側は、受信したメッセージ1に含まれるグループ鍵をセッション鍵で複号し、メッセージ1を受信したことを通知するためのメッセージ2を認証側に送信する。
このように、グループキーハンドシェイクは、認証側と被認証側との間でメッセージ1及びメッセージ2を送受信することで、グループ通信時の暗号鍵であるグループ鍵を共有化することができる。
以上のように、認証側は、暗号鍵を提供する提供装置、被認証側は、認証側(提供装置)が提供する暗号鍵を受ける受信装置(受理装置、受取装置)、と言い換えることもできる。
なお、4ウェイハンドシェイクおよびグループキーハンドシェイクは、IEEE802.11iにおいて規格化されているので、詳細については、IEEE802.11i規格を参照されたい。
907は鍵交換制御部906において交換されたセッション鍵、グループ鍵を保存する暗号鍵保存部である。他の通信装置との間で鍵交換が実施済みであるか否かは、暗号鍵保存部907に情報が保存されていることで判定ができる。
908は乱数生成部である。前述の鍵交換制御部906においてセッション鍵を生成する際の乱数情報を生成するのが乱数生成部908である。また、グループ鍵を生成する際にも、乱数生成部908において生成した乱数を利用してもよい。
なお、全ての機能ブロックはソフトウェアもしくはハードウェア的に相互関係を有するものである。また、上記機能ブロックは一例であり、複数の機能ブロックが1つの機能ブロックを構成するようにしてもよいし、何れかの機能ブロックが更に複数の機能を行うブロックに分かれてもよい。
図2は、端末A22、端末B23、端末C24,および端末A22と端末B23が構成するアドホックネットワーク21を示した図である。
各端末は、IEEE802.11無線LAN通信機能を備えており、無線LANアドホック(以下、アドホック)通信により無線通信を行い、先に説明した図1、図9の構成を有する。
図2は、最初に端末A22(以下、端末Aと称す)と端末B23(以下、端末Bと称す)との間で暗号鍵の交換が完了しているものとする。
暗号鍵の交換により確立したネットワーク21に対し、新たな通信装置である端末C24(以下、端末Cと称す)が参加することを考える。
図5は、端末Cが、ネットワーク21に参加する際の動作フローチャート図である。
端末Cは、参加すべきネットワークを検索するためにプローブリクエストを送信する(S501)。ネットワーク21が存在する場合、端末Aもしくは端末Bからプローブレスポンスが返送される(S502)。ここでは、端末Bからのプローブレスポンスを受信したとする。
ここで通信相手が特定されたため、ネットワークへの新規参加端末である端末Cは鍵交換処理における認証側としての処理を開始する。まず、端末Cは端末Bに向けてWPAの4ウェイハンドシェイクのメッセージ1を送信する(S503)。その後、端末BからのWPAの4ウェイハンドシェイクのメッセージ2を受信する(S504)。メッセージ2の受信により、端末Bと端末Cとは鍵交換を行う同意が取れていることとなり、残りのWPA鍵交換処理を実施する(S505)。
ここで、残りのWPA鍵交換処理について説明する。ステップS504に引き続き、端末Cは、4ウェイハンドシェイクのメッセージ3を端末Bへ送信し、その応答として端末Bから4ウェイハンドシェイクのメッセージ4を受信する。4ウェイハンドシェイクにより、セッション鍵の生成及び配付を行い、端末B及び端末C間でセッション鍵を共有化する。
4ウェイハンドシェイク終了後、端末Cは、グループキーハンドシェイクを実施する。グループキーハンドシェイクでは、まず、認証側である端末Cからグループキーハンドシェイクのメッセージ1を送信する。メッセージ1の応答として、端末Cは、端末Bからメッセージ2を受信する。このグループキーハンドシェイクにより、グループ鍵を共有化することができる。
このように、4ウェイハンドシェイクとグループキーハンドシェイクの一連のメッセージ交換をWPAの鍵交換処理と称している。以下同様である。
ステップS503からステップS505までのWPA鍵交換処理により、端末Bと端末Cとの間でセッション鍵が共有され、セッション鍵によってグループ鍵を暗号化することで保護し、端末Cから端末Bへグループ鍵を安全に送付することができる。
ここまでの処理で端末Bと端末Cとの間で、端末Cが生成したグループ鍵が共有された。しかし、端末Bが既にネットワーク21に参加している場合は、今回共有されたグループ鍵とネットワーク21のグループ鍵とが異なり、既存のネットワーク21と端末Cとが互いに通信することができない。そこで、既存のネットワーク21の持つグループ鍵を、端末Cに送信するために、今度は、端末Bが認証側として鍵交換を開始する。
鍵交換の契機は4ウェイハンドシェイクのメッセージ1であるため、端末Cは、端末Bから4ウェイハンドシェイクのメッセージ1を受信するかどうかを判定する(S506)。ここで特に受信が無い場合は、鍵交換処理を完了して処理を終了する(S508)。
ステップS506で、端末Bから4ウェイハンドシェイクのメッセージ1を受信した場合は、先に述べたとおり、端末Bを認証側として、WPA鍵交換処理を実施する(S507)。ステップS507のWPA鍵交換処理により、端末Bと端末Cとの間でセッション鍵が生成され、セッション鍵によってグループ鍵を暗号化することにより保護し、端末Bから端末Cへグループ鍵を安全に送付することができる。このとき端末Bは、ネットワーク21のグループ鍵(端末Aと端末Bとで共通なグループ鍵)を端末Cに送付する。
よって端末Cは端末Bが既に持っていたグループ鍵を共有することができる。ここで、安全のために、端末Bは今まで持っていたグループ鍵を更新してもよい。端末Bがグループ鍵を更新する場合は、端末Bが新規に生成したグループ鍵を端末Cに送信する。また、端末Bは、端末Cに送信したグループ鍵と同じグループ鍵を他の端末(端末A)にも送信する。これにより、ネットワーク21に所属している端末が保有しているグループ鍵が全て更新されることとなる。参加端末が増えるごとにグループ鍵を更新することにより、いままでのWEP等によるアドホックネットワークよりも暗号的に強固なネットワークを構築することができる。
図6は、端末Bの動作フローチャート図である。
新たにネットワーク21に参加しようとしている端末Cからプローブリクエストを受信する(S601)。端末Bは端末Cへ向けて、プローブリクエストへの返答としてプローブレスポンスを返送する(S602)。
端末Cはネットワーク21を認識できたため、4ウェイハンドシェイクのメッセージ1を送信してくるため、それを受信する(S603)。
メッセージ1を受信すると、端末Bは、メッセージ2を端末Cに送信する(S604)。メッセージ1及びメッセージ2の送受信により、端末Bと端末Cとは鍵交換処理の実施を同意したことになり、残りのWPA鍵交換処理を実施する(S605)。つまり、4ウェイハンドシェイクのメッセージ3、メッセージ4、グループキーハンドシェイクのメッセージ1、メッセージ2の送受信を行う。
この鍵交換処理により端末Bは端末Cからグループ鍵を受信することとなるが、端末Bが既にネットワーク21を構築済みである場合、端末Cとの間で鍵交換を実施する前にグループ鍵を持っている。ただしネットワーク21を構成しておらず、今回が初回の鍵交換である場合もある。そこで、端末Bは自身がすでにグループ鍵を保有しているかどうかを判定する(S606)。言い換えれば、端末Bは既にネットワーク21を構築済みであるか否かを判定する。既にネットワーク21を構築済みの場合は、端末Bは自身がすでにグループ鍵を保有していることになり、未構築の場合は、グループ鍵を保有していないことになる。
ステップS606における判定の結果、グループ鍵を保有していなかった場合は、そのまま処理を終了する。一方、ステップS606における判定の結果、既にグループ鍵を保有していた場合、既存のネットワーク21内で端末Cが通信できるように、端末Bは端末Cへ向けて4ウェイハンドシェイクのメッセージ1を送信する(S607)。つまり、端末Bの役割を被認証側から認証側に切替え、端末Bを認証側として鍵交換処理開始する。そして、端末Bと端末Cとの間で残りのメッセージ2〜メッセージ4の送受信及びグループキーハンドシェイクを実施し、端末Bを認証側とした鍵交換処理を完了する(S608)。
なお、S607、S608での端末Bと端末Cとの鍵交換処理については図5のS506、S507において説明済みであるのでここでは省略する。
図3は、端末Cが、ネットワーク21に参加する際のシーケンス図である。端末Bおよび端末Cの動作アルゴリズムは、それぞれ前述の図6および図5のとおりである。
新規参加端末である端末Cがネットワーク21を構成する端末Bに向けて4ウェイハンドシェイクのメッセージ1を送信する(F301)。それを受けて端末Bでは4ウェイハンドシェイクのメッセージ2を送信する(F302)。引き続き、4ウェイハンドシェイクのメッセージ3(F303)、メッセージ4(F304)をやり取りする。4ウェイハンドシェイクの終了後、グループキーハンドシェイクのメッセージ1(F305)およびメッセージ2(F306)のやり取りを行う。これにより端末Cから端末Bへグループ鍵が共有されたことになる。
しかし、端末Bは、図2に示したとおり端末Aとの間で既にネットワーク21を構築している。そこでネットワーク21の端末同士が通信するためには、端末Cのグループ鍵を端末Aおよび端末Bのものと一致させなければならない。そこで、端末Bと端末Cとの役割を切替え、改めて端末Bから端末Cに向けて4ウェイハンドシェイクのメッセージ1を送信する(F307)。この後、F301〜F306までの動作とは役割を逆転させて、4ウェイハンドシェイクおよびグループキーハンドシェイクを実施する(F307〜F312)。
結果として端末Bの持つグループ鍵が端末Cへ適用されることとなり、端末A、端末B、端末Cが同じグループ鍵を共有できる。
<実施形態2>
実施形態2におけるハードウェア構成例は、実施形態1と同様に図1であり、ソフトウェアブロック構成は図9であるとする。また、実施形態2におけるネットワーク構成例も、実施形態1と同様に図2であるとする。
実施形態2におけるハードウェア構成例は、実施形態1と同様に図1であり、ソフトウェアブロック構成は図9であるとする。また、実施形態2におけるネットワーク構成例も、実施形態1と同様に図2であるとする。
図7は、本実施形態に係る端末Cの動作フローチャート図である。
端末Cは、参加すべきネットワークを検索するためにプローブリクエストを送信する(S701)。ネットワーク21が存在する場合、端末Aもしくは端末Bからプローブレスポンスが返送される(S702)。ここでは、端末Bからのプローブレスポンスを受信したとする。
ここで通信相手が特定されたため、ネットワークへの新規参加端末である端末Cは鍵交換処理における認証側としての処理を開始する。まず、端末Cは端末Bに向けてWPAの4ウェイハンドシェイクのメッセージ1を送信する(S703)。
端末Bが既にネットワーク21に参加している場合、端末Cが認証側となって端末Bにグループ鍵を送信すると、端末Cはネットワーク21の端末と通信できない。偶然にも、端末Cが生成したグループ鍵がネットワーク21のグループ鍵と同じ場合は、端末Cはネットワーク21の端末と通信できるが、その可能性は非常に低い。そこで、端末Bは、既存のネットワーク21の持つグループ鍵を持つ場合は、その鍵を端末Cに送信するために、認証側として鍵交換を開始する。
端末Cは、WPAの4ウェイハンドシェイクのメッセージ1を端末Bに送信すると、端末Bから4ウェイハンドシェイクのメッセージ1を受信するかどうかを判定する(S704)。
ここで特に受信が無い場合は、端末Bからは4ウェイハンドシェイクのメッセージ2を受信することになる(S709)。引き続き、残りの鍵交換処理を実施し(S710)、鍵交換処理を終了する(S708)。
つまり、端末Cが認証側のまま、4ウェイハンドシェイク及びグループキーハンドシェイクを行い、端末Cのグループ鍵を端末Bに送信し、端末Cのグループ鍵を共有する。
一方、ステップS704で、端末Bから4ウェイハンドシェイクのメッセージ1を受信した場合は、端末Cは、認証側としての鍵交換処理を中止する。この場合、端末Bが認証側として鍵交換処理を開始することになり、端末Cは、端末Bへ向けては4ウェイハンドシェイクのメッセージ2を送信する(S706)。そして、端末Cは、端末Bとの間で4ウェイハンドシェイクが開始されたため、残りのWPA鍵交換処理を実施する(S707)。ステップS707のWPA鍵交換処理により、端末Bと端末Cとの間でセッション鍵が共有化される。そして、このセッション鍵によってグループ鍵を保護し、端末Bから端末Cへグループ鍵を安全に送付する。このとき端末Bは、ネットワーク21のグループ鍵(端末Aと端末Bとで共通なグループ鍵)を端末Cに送付する。よって端末Cは端末Bが持っていたグループ鍵を共有することができる。ここで、安全のために、端末Bは今まで持っていたグループ鍵を更新することができる。端末Bがグループ鍵を更新する場合は、端末Bが新規に生成したグループ鍵を端末Cに送信する。また、端末Bは、端末Cに送信したグループ鍵と同じグループ鍵を他の端末(端末A)にも送信する。これにより、ネットワーク21に所属している端末が保有しているグループ鍵が全て更新されることとなる。参加端末が増えるごとにグループ鍵を更新することにより、いままでのWEP等によるアドホックネットワークよりも暗号的に強固なネットワークを構築することができる。
図8は、端末Bの動作フローチャート図である。
新たにネットワーク21に参加しようとしている端末Cからプローブリクエストを受信する(S801)。端末Bは端末Cへ向けて、前記プローブリクエストへの返答としてプローブレスポンスを返送する(S802)。
端末Cはネットワーク21を認識できたため、4ウェイハンドシェイクのメッセージ1を送信してくるため、それを受信する(S803)。
このまま4ウェイハンドシェイク及びグループキーハンドシェイクを続けると、端末Bは端末Cからグループ鍵を受信することとなる。しかしながら、端末Bが既にネットワーク21を構築済みでる場合、端末Bは端末Cとの間で鍵交換を実施するまえにネットワーク21のグループ鍵(端末Aと共通のグループ鍵)を持っている。ただしネットワークを構成しておらず、今回が初回の鍵交換である場合もある。そこで、端末Bは自身がすでにグループ鍵を保有しているどうかを判定する(S804)。言い換えれば、端末Bは既にネットワーク21を構築済みであるか否かを判定する。既にネットワーク21を構築済みの場合は、端末Bは自身がすでにグループ鍵を保有していることになり、未構築の場合は、グループ鍵を保有していないことになる。
ステップS804における判定の結果、グループ鍵を保有していない場合は、そのまま処理を継続する。即ち、端末Cへ向けて4ウェイハンドシェイクのメッセージ2を送信する(S805)。引き続き、端末Cとの間で残りのWPA鍵交換処理を実施(S806)し、端末Cを認証側とした鍵交換処理を完了させる(S807)。
一方、ステップS804における判定の結果、既にグループ鍵を保有している場合、既存のネットワーク21で端末Cが通信できるように、端末Cへ向けて4ウェイハンドシェイクのメッセージ1を送信する(S808)。つまり、端末Cが認証側として鍵交換処理を開始したが、その処理を中止させ、端末Bを認証側に切替えて鍵交換処理を開始するために、端末Bから端末Cにメッセージ1を送信する。
その後、端末CからのWPAの4ウェイハンドシェイクのメッセージ2を受信する(S809)。メッセージ2の受信により、端末Bと端末Cとは鍵交換を実施する同意が取れていることとなり、残りのWPA鍵交換処理を実施する(S810)。
図4は、端末Cが、ネットワーク21に参加する際のシーケンス図である。端末Bおよび端末Cの動作アルゴリズムは、それぞれ前述の図8および図7のとおりである。
新規参加端末である端末Cがネットワーク21を構成する端末Bに向けて4ウェイハンドシェイクのメッセージ1を送信する(F401)。
端末Bは、図2に示したとおり端末Aとの間で既にネットワーク21を構築している。そこでネットワーク21の端末同士が通信するためには、端末Cのグループ鍵を端末Aおよび端末Bのものと一致させなければならない。
そこで、改めて端末Bから端末Cに向けて4ウェイハンドシェイクのメッセージ1を送信する(F402)。役割を逆転させて、4ウェイハンドシェイクおよびグループキーハンドシェイクを実施する(F402〜F407)。
結果として端末Bの持つグループ鍵が端末Cへ適用されることとなり、端末A、端末B、端末Cが同じグループ鍵を共有できる。
以上のように上記説明によれば、通信装置は、第2の通信装置と共有する暗号鍵を保有するか否かを判定する。そして、該判定の結果に応じて、第1の通信装置から暗号鍵を共有するための共有処理が開始された後に、通信装置自身からから第1の通信装置との共有処理を開始するようにした。
よって、アドホックモードのような環境であっても、ネットワークに新規に参加する通信装置に対して、暗号鍵を共有できる。
また、新規の通信装置とグループ鍵を共有する際に、グループ鍵を更新することもできる。このようにすることにより、より高いセキュリティレベルを提供することができる。つまり、通信セッションが確立するたびに異なる暗号鍵を利用でき、傍受や盗聴といった行為に対して強固になる。
以上、本発明の好適な実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施例のみに限定する趣旨ではない。本発明の要旨を逸脱しない範囲で、実施形態は種々に変形することが可能である。
例えば、以上の実施形態の説明においては、WPAで規定されている鍵交換メッセージを用いたが、鍵交換の手法を限定するものではなく、同様の役割を行えるものであれば、いかなる鍵交換方法であっても構わない。
また、上記説明はIEEE802.11準拠の無線LANを例に説明した。本発明は、ワイヤレスUSB、MBOA、Bluetooth(登録商標)、UWB、ZigBee等の他の無線媒体において実施してもよい。また、有線LAN等の有線通信媒体において実施してもよい。
ここで、MBOAは、Multi Band OFDM Allianceの略である。また、UWBは、ワイヤレスUSB、ワイヤレス1394、WINETなどが含まれる。
本発明は前述の機能を実現するソフトウェアのプログラムコードを記録した記録媒体をシステムあるいは装置に供給し、システムあるいは装置のコンピュータ(CPU、MPU)が記録媒体に格納されたプログラムコードを読み出し実行するようにしてもよい。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することとなり、そのプログラムコードを記憶した記憶媒体は本発明を構成することになる。
プログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、磁気テープ、不揮発性のメモリカード、ROM、DVDなどを用いることができる。
また、コンピュータが読み出したプログラムコードを実行することにより、前述の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOSが実際の処理の一部または全部を行い、前述の機能を実現してもよい。OSとは、オペレーティングシステムの略である。
さらに、記憶媒体から読み出されたプログラムコードを、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込む。そして、そのプログラムコードの指示に基づき、機能拡張ボードや機能拡張ユニットに備わるCPUが実際の処理の一部または全部を行い、前述の機能を実現してもよい。
901 通信装置
902 パケット受信部
903 パケット送信部
904 検索信号送信部
905 検索信号受信部
906 鍵交換制御部
907 暗号鍵保存部
908 乱数生成部
902 パケット受信部
903 パケット送信部
904 検索信号送信部
905 検索信号受信部
906 鍵交換制御部
907 暗号鍵保存部
908 乱数生成部
Claims (9)
- アドホック無線ネットワークにおいて通信する通信装置であって、
第1の通信装置との間で、暗号鍵を共有するための共有処理であり、該共有処理を開始した装置が暗号鍵を提供する装置になる共有処理を実行する共有手段と、
第2の通信装置と共有するグループ暗号鍵を保有するか否かを判定する判定手段と、
前記判定手段により前記第2の通信装置と共有するグループ暗号鍵を所有していると判定した場合、前記第1の通信装置から前記共有処理が開始されても、前記第1の通信装置との前記共有処理を前記通信装置から開始する切替手段と、
を有することを特徴とする通信装置。 - 前記判定手段は、前記第2の通信装置と既にネットワークを構築しているか否かを判定することを特徴とする請求項1に記載の通信装置。
- 前記切替手段は、前記第1の通信装置から前記共有処理が開始され、前記第1の通信装置から暗号鍵が提供された後に、前記通信装置から前記共有処理を開始することを特徴とする請求項1または請求項2に記載の通信装置。
- 前記切替手段は、前記第1の通信装置から前記共有処理が開始されると、該共有処理を中止し、前記通信装置から前記共有処理を開始することを特徴とする請求項1または請求項2に記載の通信装置。
- 前記切替手段により前記通信装置から前記共有処理を開始した場合は、前記共有手段は、前記第2の通信装置と共有している暗号鍵を前記第1の通信装置に提供することを特徴とする請求項1乃至請求項4の何れかに記載の通信装置。
- 前記切替手段により前記通信装置から前記共有処理を開始した場合は、前記共有手段は、前記第2の通信装置と共有する暗号鍵とは異なる暗号鍵を前記第1の通信装置に提供すると共に、前記第2の通信装置にも当該暗号鍵を提供することを特徴とする請求項1乃至請求項4の何れかに記載の通信装置。
- 通信装置のアドホック無線ネットワークにおける通信方法であって、
他の通信装置と共有するグループ暗号鍵を保有するか否かを判定する判定ステップと、
前記判定ステップにおいて他の通信装置とグループ暗号鍵を共有していると判定された場合、第1の通信装置から暗号鍵を共有するための共有処理が開始された後に、前記通信装置から前記第1の通信装置との前記共有処理を開始することを特徴とする通信装置の通信方法。 - 請求項7に記載の通信方法を、通信装置が実行するためのプログラム。
- 請求項8のプログラムを記憶した記憶媒体。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007208732A JP4881813B2 (ja) | 2007-08-10 | 2007-08-10 | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
| PCT/JP2008/064379 WO2009022673A1 (en) | 2007-08-10 | 2008-08-05 | Apparatus and method for sharing of an encryption key in an ad-hoc network |
| EP20080792363 EP2186376B1 (en) | 2007-08-10 | 2008-08-05 | Apparatus and method for sharing of an encryption key in an ad-hoc network |
| US12/667,905 US9021576B2 (en) | 2007-08-10 | 2008-08-05 | Apparatus and method for sharing of an encryption key in an ad-hoc network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007208732A JP4881813B2 (ja) | 2007-08-10 | 2007-08-10 | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2009044575A JP2009044575A (ja) | 2009-02-26 |
| JP2009044575A5 JP2009044575A5 (ja) | 2010-08-26 |
| JP4881813B2 true JP4881813B2 (ja) | 2012-02-22 |
Family
ID=40044030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007208732A Active JP4881813B2 (ja) | 2007-08-10 | 2007-08-10 | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9021576B2 (ja) |
| EP (1) | EP2186376B1 (ja) |
| JP (1) | JP4881813B2 (ja) |
| WO (1) | WO2009022673A1 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7292198B2 (en) | 2004-08-18 | 2007-11-06 | Ruckus Wireless, Inc. | System and method for an omnidirectional planar antenna apparatus with selectable elements |
| US7193562B2 (en) | 2004-11-22 | 2007-03-20 | Ruckus Wireless, Inc. | Circuit board having a peripheral antenna apparatus with selectable antenna elements |
| US7358912B1 (en) | 2005-06-24 | 2008-04-15 | Ruckus Wireless, Inc. | Coverage antenna apparatus with selectable horizontal and vertical polarization elements |
| US7893882B2 (en) | 2007-01-08 | 2011-02-22 | Ruckus Wireless, Inc. | Pattern shaping of RF emission patterns |
| EP2763443B1 (en) | 2005-12-01 | 2019-05-22 | Ruckus Wireless, Inc. | On-demand services by wireless base station virtualization |
| US9769655B2 (en) | 2006-04-24 | 2017-09-19 | Ruckus Wireless, Inc. | Sharing security keys with headless devices |
| US7788703B2 (en) | 2006-04-24 | 2010-08-31 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
| US9071583B2 (en) | 2006-04-24 | 2015-06-30 | Ruckus Wireless, Inc. | Provisioned configuration for automatic wireless connection |
| JP5295017B2 (ja) | 2009-07-07 | 2013-09-18 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
| US9554280B2 (en) * | 2009-12-16 | 2017-01-24 | Google Technology Holdings LLC | Method for managing data communication between a communication device and another device and communication device |
| JP2012213036A (ja) * | 2011-03-31 | 2012-11-01 | Panasonic Corp | 通信装置及び通信システム |
| JP5904718B2 (ja) * | 2011-04-12 | 2016-04-20 | キヤノン株式会社 | 通信装置、通信装置の制御方法、およびプログラム |
| JP6066997B2 (ja) | 2011-05-01 | 2017-01-25 | ラッカス ワイヤレス, インコーポレイテッド | 遠隔ケーブルアクセスポイントリセット |
| US8756668B2 (en) | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| US9634403B2 (en) | 2012-02-14 | 2017-04-25 | Ruckus Wireless, Inc. | Radio frequency emission pattern shaping |
| US10186750B2 (en) | 2012-02-14 | 2019-01-22 | Arris Enterprises Llc | Radio frequency antenna array with spacing element |
| US9092610B2 (en) * | 2012-04-04 | 2015-07-28 | Ruckus Wireless, Inc. | Key assignment for a brand |
| FR3004046B1 (fr) * | 2013-03-28 | 2015-04-17 | Commissariat Energie Atomique | Procede et dispositif pour former un reseau sans fil securise a faibles ressources |
| US20150229475A1 (en) * | 2014-02-10 | 2015-08-13 | Qualcomm Incorporated | Assisted device provisioning in a network |
| CN105577625B (zh) * | 2014-10-17 | 2019-04-23 | 西安西电捷通无线网络通信股份有限公司 | 基于预共享密钥的实体鉴别方法及装置 |
| JP6804026B2 (ja) * | 2017-09-22 | 2020-12-23 | mtes Neural Networks株式会社 | 暗号化通信システム |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7434046B1 (en) * | 1999-09-10 | 2008-10-07 | Cisco Technology, Inc. | Method and apparatus providing secure multicast group communication |
| US7013389B1 (en) * | 1999-09-29 | 2006-03-14 | Cisco Technology, Inc. | Method and apparatus for creating a secure communication channel among multiple event service nodes |
| EP1102430A1 (en) * | 1999-10-27 | 2001-05-23 | Telefonaktiebolaget Lm Ericsson | Method and arrangement in an ad hoc communication network |
| US7263619B1 (en) * | 2002-06-26 | 2007-08-28 | Chong-Lim Kim | Method and system for encrypting electronic message using secure ad hoc encryption key |
| KR100520116B1 (ko) * | 2003-05-16 | 2005-10-10 | 삼성전자주식회사 | 모바일 애드 혹 상의 암호화를 위한 노드간 키 분배 방법및 이를 이용한 네트워크 장치 |
| US7489645B2 (en) * | 2003-12-17 | 2009-02-10 | Microsoft Corporation | Mesh networks with end device recognition |
| US7665126B2 (en) * | 2003-12-17 | 2010-02-16 | Microsoft Corporation | Mesh networks with exclusion capability |
| JP4554968B2 (ja) * | 2004-03-26 | 2010-09-29 | 株式会社日立製作所 | アドホックネットワークにおける無線通信端末装置 |
| EP1763946B1 (en) * | 2004-06-29 | 2008-11-26 | Koninklijke Philips Electronics N.V. | System and methods for efficient authentication of medical wireless ad hoc network nodes |
| JP4551202B2 (ja) * | 2004-12-07 | 2010-09-22 | 株式会社日立製作所 | アドホックネットワークの認証方法、および、その無線通信端末 |
| US20060233377A1 (en) * | 2005-03-31 | 2006-10-19 | Hwang-Daw Chang | Key distribution method of mobile ad hoc network |
| JP4705411B2 (ja) | 2005-05-24 | 2011-06-22 | 富士通株式会社 | 通信端末 |
| US8068507B2 (en) * | 2005-06-14 | 2011-11-29 | Interdigital Technology Corporation | Method and system for conveying backhaul link information for intelligent selection of a mesh access point |
| US7817986B2 (en) * | 2006-04-28 | 2010-10-19 | Motorola, Inc. | Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices |
| JP4989117B2 (ja) * | 2006-06-12 | 2012-08-01 | キヤノン株式会社 | 通信装置およびその方法 |
| US7793103B2 (en) * | 2006-08-15 | 2010-09-07 | Motorola, Inc. | Ad-hoc network key management |
| DE102006038591B4 (de) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| KR100831327B1 (ko) * | 2006-09-28 | 2008-05-22 | 삼성전자주식회사 | 무선 메쉬 네트워크의 인증 처리 방법 및 그 장치 |
| US20080155645A1 (en) * | 2006-12-22 | 2008-06-26 | Hutnik Stephen M | Network-implemented method using client's geographic location to determine protection suite |
-
2007
- 2007-08-10 JP JP2007208732A patent/JP4881813B2/ja active Active
-
2008
- 2008-08-05 EP EP20080792363 patent/EP2186376B1/en active Active
- 2008-08-05 WO PCT/JP2008/064379 patent/WO2009022673A1/en active Application Filing
- 2008-08-05 US US12/667,905 patent/US9021576B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2186376B1 (en) | 2014-01-29 |
| JP2009044575A (ja) | 2009-02-26 |
| US9021576B2 (en) | 2015-04-28 |
| US20100332828A1 (en) | 2010-12-30 |
| WO2009022673A1 (en) | 2009-02-19 |
| EP2186376A1 (en) | 2010-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4881813B2 (ja) | 通信装置、通信装置の通信方法、プログラム、記憶媒体 | |
| JP5328141B2 (ja) | 通信装置、通信装置の制御方法、コンピュータプログラム | |
| JP5328142B2 (ja) | 通信装置、通信装置の制御方法、コンピュータプログラム | |
| US10003966B2 (en) | Key configuration method and apparatus | |
| JP4983165B2 (ja) | 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体 | |
| US8402272B2 (en) | Master unit and slave unit | |
| EP1868314B1 (en) | Communication apparatus and method thereof | |
| JP5270937B2 (ja) | 通信装置及びその制御方法 | |
| JP2016540462A (ja) | 鍵コンフィギュレーション方法、システム、および装置 | |
| US9727720B2 (en) | Challenge-response authentication using a masked response value | |
| US20160261417A1 (en) | Challenge-Response Authentication Using a Masked Response Value | |
| JP6570355B2 (ja) | 通信装置、通信方法及びプログラム | |
| JP4498871B2 (ja) | 無線通信装置 | |
| JP5458195B2 (ja) | 通信装置及びその制御方法 | |
| JP5865304B2 (ja) | 通信装置、通信装置の制御方法、コンピュータプログラム | |
| JP2006033399A (ja) | アドホックネットワーク通信方式および方法ならびにノード装置およびそのプログラム | |
| CA2833120C (en) | Challenge-response authentication using a masked response value | |
| KR20170013141A (ko) | 클라이언트 인증 방법, 클라이언트의 동작 방법, 서버, 및 통신 소프트웨어 | |
| Yongfei et al. | A Security Reactive Routing Strategy for Ad Hoc Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100201 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20100630 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100709 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100709 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111108 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111205 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4881813 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |