JP5904718B2 - COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM - Google Patents
COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM Download PDFInfo
- Publication number
- JP5904718B2 JP5904718B2 JP2011088602A JP2011088602A JP5904718B2 JP 5904718 B2 JP5904718 B2 JP 5904718B2 JP 2011088602 A JP2011088602 A JP 2011088602A JP 2011088602 A JP2011088602 A JP 2011088602A JP 5904718 B2 JP5904718 B2 JP 5904718B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- communication
- communication device
- unit
- unicast
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、通信装置、通信装置の制御方法、およびプログラムに関し、特にアドホックネットワークにおいてWPAによって暗号通信を行う通信装置、通信装置の制御方法、およびプログラムに関する。 The present invention relates to a communication device, a communication device control method, and a program, and more particularly, to a communication device that performs cryptographic communication by WPA in an ad hoc network, a communication device control method, and a program.
盗聴や改竄の防止のために、通信データの暗号化が行われている。特に、無線通信は盗聴が容易なため、安全な通信路の確保が重要である。 Communication data is encrypted to prevent eavesdropping and tampering. In particular, since wireless communication is easy to wiretap, it is important to secure a safe communication path.
無線LANインフラストラクチャモードにおいて、通信装置(STA)およびアクセスポイント(AP)はwired equivalent privacy (WEP)もしくはWi-Fi protected access (WPA)等の標準規格を実装する。WEPは、STAおよびAPに対して事前に暗号鍵を設定し、その暗号鍵を通信に使用することにより安全性を保証する。しかし、この方式では、暗号鍵が常に固定であり、WEPが採用する暗号アルゴリズムの強度も高くないため、安全性が保証できない場面があることが指摘されている。そこで、WPAでは、暗号アルゴリズムの強度を向上させるとともに、STAおよびAPに対して事前に設定された情報からネットワークに参加する度に毎回暗号鍵を生成することによって安全性をより高めている。 In the wireless LAN infrastructure mode, the communication device (STA) and the access point (AP) implement standards such as wired equivalent privacy (WEP) or Wi-Fi protected access (WPA). WEP guarantees security by setting an encryption key in advance for STA and AP and using the encryption key for communication. However, it has been pointed out that in this method, the encryption key is always fixed, and the strength of the encryption algorithm adopted by WEP is not high, so there is a situation where safety cannot be guaranteed. Thus, in WPA, the strength of the encryption algorithm is improved, and the security is further improved by generating the encryption key every time the network joins the network from information set in advance for the STA and AP.
インフラストラクチャモードでは、STAは、APを介して、他のSTAにデータを送信する。言い替えれば、STAは、APとのみ直接に通信するため、APとの通信の安全性のみを保証すればよい。 In the infrastructure mode, the STA transmits data to other STAs via the AP. In other words, since the STA communicates directly only with the AP, it is only necessary to guarantee the safety of communication with the AP.
一方、アドホックモードでは、APが存在せず、STAは通信相手と直接通信する。従って、複数のSTAと通信する場合、それら複数のSTAとの通信の安全性を考慮する必要がある。ネットワーク構成は異なるもののインフラストラクチャモードと同様に安全性を確保するには、通信セッションごとに暗号鍵を変更することが望ましい。しかし、市販の無線LANデバイスを用いてアドホックモードで通信する場合、事前にネットワークに参加するすべてのSTAに同じ暗号鍵を設定し、その暗号鍵を利用する。そのためインフラストラクチャモードにおいて懸念されるセキュリティ上の問題は残ったままである。 On the other hand, in the ad hoc mode, there is no AP and the STA communicates directly with the communication partner. Therefore, when communicating with a plurality of STAs, it is necessary to consider the safety of communication with the plurality of STAs. Although the network configuration is different, it is desirable to change the encryption key for each communication session in order to ensure security as in the infrastructure mode. However, when communicating in an ad hoc mode using a commercially available wireless LAN device, the same encryption key is set in advance to all STAs participating in the network, and the encryption key is used. As a result, the security issues of concern in infrastructure mode remain.
これらの問題に対してWPAよりも後に標準化されたIEEE 802.11iは、アドホックモードにおいても、通信セッションごとに暗号鍵を動的に生成することを提案している。IEEE 802.11iでは、2つの通信STAは互いに4wayハンドシェイクと呼ばれるメッセージ交換を行い、ユニキャスト鍵PTK (pairwise transient key)とグループ鍵GTK (group temporal key)とを生成して共有する。 IEEE 802.11i, which has been standardized after WPA for these problems, proposes to dynamically generate an encryption key for each communication session even in the ad hoc mode. In IEEE 802.11i, the two communication STAs exchange messages each other called a 4-way handshake, and generate and share a unicast key PTK (pairwise transient key) and a group key GTK (group temporal key).
この方式の特徴は、通信相手ごとに暗号鍵を切り替えて通信すること、および、送信と受信とで別の鍵を設定することである。送信用のグループ鍵はネットワーク上の全STAが受信できるように一つ決定され、STAごとに受信用のグループ鍵が保持される。 The feature of this method is that communication is performed by switching the encryption key for each communication partner, and that different keys are set for transmission and reception. One group key for transmission is determined so that all STAs on the network can receive, and a group key for reception is held for each STA.
一方、無線LANデバイスではユニキャスト鍵およびグループ鍵を保持できる数に制限がある場合が多い。これは、高速なパケット処理が求められる無線LANデバイスでは無線LANチップ内でのパケットの符号化/複合化が行われることが多く、無線LANチップ内にユニキャスト鍵およびグループ鍵を保持する必要があるからである。 On the other hand, wireless LAN devices often have a limited number of unicast keys and group keys. This is because in wireless LAN devices that require high-speed packet processing, packets are often encoded / combined within the wireless LAN chip, and it is necessary to maintain a unicast key and group key in the wireless LAN chip. Because there is.
このとき、各無線LANデバイスのユニキャスト鍵およびグループ鍵を保持できる数の上限(鍵保持上限数)は装置によって異なる。 At this time, the upper limit of the number of unicast keys and group keys that can be held by each wireless LAN device (the upper limit number of key holdings) differs depending on the device.
鍵保持上限数が異なる装置同士がWPAを用いたアドホック通信を行う場合、鍵を保持できる上限数に既に達している装置と、鍵を保持できる上限数に未だ達していない装置とが同一ネットワーク内に発生することが考えられる。すなわち、同一アドホックネットワーク内に通信が疎通する装置と疎通しない装置とが存在する場合が発生することになり、鍵保持上限数が装置ごとに一致しない場合でも装置同士の疎通を確保するようなアルゴリズムが必要とされる。 When ad hoc communication using WPA is performed between devices with different key retention upper limit numbers, devices that have already reached the upper limit number that can hold keys and devices that have not yet reached the upper limit number that can hold keys are in the same network. Can occur. In other words, there are cases where there are devices that communicate and devices that do not communicate within the same ad hoc network, and an algorithm that ensures communication between devices even when the key holding upper limit number does not match for each device. Is needed.
特許文献1では、鍵保持上限数が1の装置と、鍵保持上限数が2以上の装置との間でWPAを用いたアドホック通信を行うアルゴリズムが開示されている。
しかしながら、鍵保持上限数が2以上の通信装置同士がWPAを用いたアドホックネットワークを構築した場合、アドホックネットワークの構成装置数が装置の鍵保持上限を超えることに起因して、通信サービスを提供できなくなるという課題がある。 However, when two or more communication devices with a key retention upper limit number of 2 construct an ad hoc network using WPA, the communication service can be provided because the number of ad hoc network components exceeds the device key retention upper limit. There is a problem of disappearing.
上記の課題に鑑み、本発明は、アドホックネットワークの構成装置数が装置の鍵保持上限を超えた時に対処可能にすることを目的とする。 In view of the above problems, an object of the present invention is to make it possible to cope with the case where the number of devices constituting an ad hoc network exceeds the key holding upper limit of the device.
上記の目的を達成する本発明に係る通信装置は、
無線ネットワークにおいて複数の他の通信装置と通信する通信装置であって、
前記無線ネットワークにおける通信に使用される暗号鍵を記憶する記憶手段と、
前記他の通信装置と暗号鍵を共有する処理を開始するための開始パケットを前記他の通信装置から受信する受信手段と、
前記記憶手段に記憶されている暗号鍵の数が所定数よりも大きいか否かを判定する第1の判定手段と、
前記第1の判定手段により前記暗号鍵の数が前記所定数よりも大きいと判定された場合、ユーザに所定の通知を行う通知手段と、
を有し、
前記通知手段による通知が行われてから所定時間が経過しても、前記無線ネットワークを構成する他の通信装置の台数が減少していない場合、前記記憶手段は、前記記憶手段により既に記憶されている暗号鍵を削除し、当該削除された暗号鍵に代えて、前記開始パケットに基づいて新たに共有される暗号鍵を記憶することを特徴とする。
A communication device according to the present invention that achieves the above object is as follows.
A communication device for communicating with a plurality of other communication devices in a wireless network,
Storage means for storing an encryption key used for communication in the wireless network;
Receiving means for receiving, from the other communication device, a start packet for starting a process of sharing an encryption key with the other communication device;
First determination means for determining whether or not the number of encryption keys stored in the storage means is greater than a predetermined number;
A notification unit that performs a predetermined notification to a user when the first determination unit determines that the number of the encryption keys is larger than the predetermined number;
Have
If the number of other communication devices constituting the wireless network has not decreased even after a predetermined time has elapsed since the notification by the notification unit, the storage unit is already stored by the storage unit. And deleting a new encryption key shared based on the start packet in place of the deleted encryption key.
本発明によれば、アドホックネットワークの構成装置数が装置の鍵保持上限を超えても対処可能になる。 According to the present invention, it is possible to cope with the case where the number of devices constituting the ad hoc network exceeds the key holding upper limit of the device.
(第1実施形態)
本発明の無線通信装置を有効に機能させる一実施形態として、プリンタを含むアドホックネットワークへの適用例を以下に示す。
(First embodiment)
As an embodiment for effectively functioning the wireless communication apparatus of the present invention, an application example to an ad hoc network including a printer will be described below.
図1を参照して、本実施形態のシステムをプリンタ13に適用した機能構成例を説明する。プリンタ13は、プリンタエンジン102と、プリント処理部103と、無線通信機能部104と、RF部105と、表示部106と、表示処理部107と、メモリカードI/F 108と、メモリカード109と、操作部110と、システムコントローラ111と、USB I/F 112と、フラッシュメモリ113と、パラレルI/F 114と、CPU 115と、ROM 116と、RAM 117とを備える。
A functional configuration example in which the system of the present embodiment is applied to the
プリンタエンジン102は、プリント処理部103から出力される画像信号に基づき記録紙に画像をプリントする。プリント処理部103は、画像信号をプリンタエンジン102へ出力する。無線通信機能部104は、他の無線通信機器と無線通信を行い、無線規格に基づくパケットのフレーミング、データに対する応答、データの暗号/復号処理などを実行する。RF部105は、他の無線通信機器との間で無線信号の送受信を行う。なお、無線通信機能部104およびRF部105は、一つの機能ブロックとして実現される場合もある。表示部106は、LCD表示、LED表示、音声表示などによってユーザへ情報を表示する。表示処理部107は、表示部106の表示内容を制御する。メモリカードI/F 108には、メモリカード109が接続されるインタフェースである。メモリカード109は、各種情報を記憶する。操作部110は、各種キーを備えており、システムコントローラ111を介してCPU 115に接続されている。
The
なお、表示部106に表示された情報を選択する等のユーザ操作は、操作部110と連動して行われる。つまり、表示部106と操作部110とはユーザ・インタフェースを構成する。USB I/F 112は、外部機器との接続用のシリアルバス・インタフェースを提供する。フラッシュメモリ113は、不揮発性のメモリであり、無線通信の設定情報などを記憶する。パラレルI/F 114は、外部機器との接続用のパラレル・インタフェースを提供する。CPU 115は、RAM 117またはフラッシュメモリ113をワークメモリとして、ROM 116やフラッシュメモリ113に格納されたプログラムを実行し、各構成要素を制御する。また、通常、ROM 116は無線通信機能部104およびRF部105をアプリケーションの指示により起動するプログラムを格納する。
Note that user operations such as selecting information displayed on the
無線通信機能部104は、通信相手であるSTAごとに暗号鍵を保持する機能を有する。暗号鍵の保持最大数は装置によって実装依存となるが、本実施形態においてはプリンタ13の鍵最大保持数は3とする。最大保持数は接続可能な装置数を表し、この場合ユニキャスト鍵3つと、グループ鍵3つとの合計6つの鍵を保持することが可能な仕様となる。
The wireless
次に、図2を参照して、本実施形態のプリンタを含むWPAアドホックネットワーク例を説明する。図2に示される無線ネットワークは、PC10(PC1)と、カメラ11(カメラ2)と、カメラ12(カメラ1)と、プリンタ13と、PC14(PC2)とを備える。すなわち、プリンタ13以外に複数の通信装置が存在する。ここで、T20乃至T24のそれぞれは、各装置に対応するWPA鍵テーブルを表している。
Next, an example of a WPA ad hoc network including the printer of the present embodiment will be described with reference to FIG. The wireless network shown in FIG. 2 includes a PC 10 (PC 1), a camera 11 (camera 2), a camera 12 (camera 1), a
図2に示される例では、鍵保持上限数3のプリンタ13の鍵テーブルT23は、3台の対向装置との通信のための鍵を保持している。一方、PC10、カメラ11、カメラ12、およびPC14の鍵テーブルT20、T21、T22、およびT24は、それぞれ自装置を除いた4台の対向装置との通信のための鍵を保持している。
In the example shown in FIG. 2, the key table T23 of the
つまり、プリンタ13が通信できる対向装置数と、プリンタ13以外の装置が通信できる対向装置数とが異なり、同一アドホックネットワークに存在しながら通信できる装置数に違いが生じるという現象が発生する。これによって鍵保持上限数(保有可能上限数)の少ない装置では、鍵を保持することができない対向装置が発生する。このような状態になった場合、同一アドホックネットワークに存在する装置同士で通信が可能な装置と、通信が不可能な装置とが発生してしまう。
That is, a phenomenon occurs in which the number of opposite devices that can be communicated by the
このような状況では、例えば無線ネットワーク内の情報を収集するARP(Address Resolution Protocol)等のプロトコルを実行する際に問題が発生する。この問題について図2を例として説明する。 In such a situation, a problem occurs when a protocol such as ARP (Address Resolution Protocol) that collects information in the wireless network is executed. This problem will be described with reference to FIG.
PC14が、プリンタ13が使用するIPv4アドレスを自装置に付けようとする場合を考える。プリンタ13の動作として、PC14(PC2)からのARPリクエストにより指定されたIPv4アドレスが既に自装置が使用するIPv4アドレスであるため、ARPレスポンスにより重複を通知することが期待される。しかしながら、プリンタ13は、鍵テーブル T23にPC14(PC2)のグループ鍵を所有していないため、ARPリクエストパケットを復号化できずにパケットを破棄してしまうことになる。そのため、ARPレスポンスによりPC14(PC2)に対してIPv4アドレスの重複を通知することができない。従って、図2のアドホックネットワーク内には同一のIPv4アドレスを有する機器が、プリンタ13とPC14(PC2)との2台存在することになる。よって、カメラ12等の無線ネットワーク内の他の装置が、プリンタ13またはPC14(PC2)のどちらかの所望の装置に正しくパケットを送信できなくなるという現象が発生する。このような問題に対処するため、鍵交換時にプリンタ13は自装置の鍵保持数が上限に達しているかどうかを判別し、上限に達している場合、警告画面を出してユーザにネットワーク構成の再構築を促す。
Consider a case where the
図3のフローチャートを参照して、鍵保持上限に達したプリンタ13が警告画面を表示し、ユーザにネットワーク構成の再構築を促す手順を説明する。
A procedure in which the
まずS301において、プリンタ13の無線通信機能部104は、鍵交換を開始する交換開始パケットを受信する。S302において、CPU 115は、新規装置と鍵交換を行う際に鍵保持上限数判定処理を行う。S303において、CPU 115は、その時点での鍵テーブルT23の鍵保持数が鍵保持上限数に達しているかどうか、すなわち今回の鍵交換によって鍵保持数が鍵保持上限数を超えるかどうかを判定する。鍵保持数が鍵交換により鍵保持上限数を超えると判定された場合(S303;YES)、S304へ進む。鍵保持数が鍵交換を行っても鍵保持上限数以下であると判定された場合(S303;NO)、処理を終了する。S304において、CPU 115は、図4に示されるような警告画面を表示部106に表示することによってユーザにネットワーク構成の再構築を促す。以上で図3のフローチャートの各処理が終了する。
First, in S301, the wireless
本実施形態によれば、ユーザは、鍵保持上限を超えた装置数のネットワークになったことを認識することができる。その結果として、ネットワーク環境の改善を行い、当該装置による通信サービスの提供を維持することができる。 According to this embodiment, the user can recognize that the network has the number of devices exceeding the key holding upper limit. As a result, it is possible to improve the network environment and maintain the provision of communication services by the device.
(第2実施形態)
第1実施形態に示した本発明の実施形態において、ユーザへネットワーク構成の再構築を促しても、その後ユーザによるネットワーク環境の再構成が行われないケースが考えられる。このような場合、本実施形態では、プリンタ13がグループ鍵待機モードという動作モードで動作することにより、ネットワークを構成する装置間で第1実施形態に示したような通信が不通となる状態を改善する方法を提案する。プリンタ13の機能構成については図1で説明した機能構成と同様であるため、説明を省略する。
(Second embodiment)
In the embodiment of the present invention shown in the first embodiment, there may be a case where the network environment is not reconfigured by the user after the user is prompted to reconfigure the network configuration. In such a case, in the present embodiment, the
ここで、図5を参照して、上述のグループ鍵待機モードについて説明する。図5は、プリンタ13のWPA鍵テーブルを表している。プリンタ13は鍵保持上限数が3の装置である。通常は鍵通常管理モードの鍵テーブル501が表すように、グループ鍵の保持数が3、ユニキャスト鍵の保持数が3となっている。鍵通常管理モードからグループ鍵待機モードに遷移すると、鍵テーブルの内訳が鍵テーブル502のようになる。図5の例では、グループ鍵の保持数が4、ユニキャスト鍵の保持数が2へと変化する。このように、ユニキャスト鍵の保持数よりもグループ鍵の保持数が多い状態をグループ鍵待機モードと規定する。
Here, the group key standby mode described above will be described with reference to FIG. FIG. 5 shows a WPA key table of the
次に、図6を参照して、プリンタ13がグループ鍵待機モードに遷移した場合の動作について説明する。図6に示されるネットワークは、PC10(PC1)と、カメラ11(カメラ2)と、カメラ12(カメラ1)と、プリンタ13と、PC14(PC2)とを備える。ここで、T20乃至T24のそれぞれは、各装置のWPA鍵テーブルを表している。プリンタ13は、鍵保持上限数が3でありながら4台の装置との通信を確保するために、ユニキャスト鍵を放棄し4台分の装置のグループ鍵を確保しており、グループ鍵待機モードで動作している。これによってプリンタ13は、ネットワーク内のいかなる装置からのブロードキャスト通信およびマルチキャスト通信も受信可能な状態となっている。グループ鍵待機モードでの動作時、プリンタ13は、ネットワーク内の装置からブロードキャスト通信およびマルチキャスト通信のパケットを受信した後、通信を発行した装置とのユニキャスト鍵を生成する。プリンタ13は、ユニキャスト鍵を所定時間保持することで、ブロードキャスト通信およびマルチキャスト通信を発行した装置とのユニキャスト通信をサポートする。
Next, with reference to FIG. 6, the operation when the
次に、図7を参照して、プリンタ13がグループ鍵待機モードで動作している時にPC14に対してプリントサービスを提供する、グループ鍵待機モードでの印刷サービスシーケンスを説明する。なお、プリンタ13がグループ鍵待機モードに遷移する方法は、図8のグループ鍵待機モード遷移チャート、および、図9のグループ鍵登録チャートを参照しながら後述する。
Next, a print service sequence in the group key standby mode that provides the print service to the
S700において、PC14のCPUは、ネットワーク内のいずれかのプリンタに対してプリンタdiscoveryパケットをブロードキャスト送信する。
In S700, the CPU of the
S701において、PC14のグループ鍵を持つCPU 115は、受信パケットがブロードキャストパケットであることを検出し、ブロードキャストパケット送信元装置のユニキャスト鍵を取得するためにPC14と4wayハンドシェイク(4ウェイハンドシェイク)を行う。
In S701, the
S702において、CPU 115は、4wayハンドシェイクを行った後にPC14との通信に暫定的に使用する鍵であるテンポラリユニキャスト鍵を取得する。このテンポラリユニキャスト鍵は、図6で説明した鍵テーブルT23に保持される。テンポラリユニキャスト鍵を取得する方法については、図10のユニキャスト鍵登録チャートを参照して後述する。
In S702, the
S703において、CPU 115は、S702で取得されたテンポラリユニキャスト鍵を使用してプリンタdiscoveryパケットS700に対する返答パケットであるdiscoveryAckパケットをPC14に対して送信する。
In S703, the
この後、S704乃至S707においてテンポラリユニキャスト鍵を使用して印刷のための印刷パケット通信が行われる。具体的には、PC14のCPUは、印刷を実行するための印刷指示パケットをプリンタ13へ送信し、CPU 115は、受信した印刷指示パケットに対する返答パケットである印刷AckパケットをPC14へ送信する。
Thereafter, in S704 to S707, print packet communication for printing is performed using the temporary unicast key. Specifically, the CPU of the
その後、S708において、印刷終了となる。 Thereafter, printing ends in S708.
S709において、CPU 115は、PC14からのユニキャスト通信を所定時間受信しない場合、ユニキャスト鍵削除トリガが駆動され、テンポラリユニキャスト鍵を不要な鍵として決定する。
In S709, when the
S710において、その後CPU 115は、テンポラリユニキャスト鍵を鍵テーブルT23から削除する。以上で処理を終了する。
In S710, the
以上説明したように、プリンタ13の鍵保持上限を超える装置数から構成されるネットワークにおいても、プリンタ13がグループ鍵待機モードに遷移することによってプリントサービスを実現できる。
As described above, even in a network configured by the number of devices exceeding the key retention upper limit of the
図8のフローチャートを参照して、プリンタ13の無線通信機能部104がRF部105を通じて鍵交換開始パケットを受信した後に、グループ鍵待機モードに遷移する手順を説明する。
With reference to the flowchart of FIG. 8, a procedure for transitioning to the group key standby mode after the wireless
S800において、CPU 115は、鍵交換開始パケットを受信する。S801において、CPU 115は、自装置の動作モードを解析する。S802において、CPU 115は、S801における解析の結果、自装置がグループ鍵待機モードで動作しているか否かを判定する。すなわち、暗号鍵を保持する鍵テーブルにおいて、グループ鍵の保持数がユニキャスト鍵の保持数よりも多い状態(グループ鍵待機モード)であるか否かを判定する(保持数判定処理)。自装置がグループ鍵待機モードで動作していると判定された場合(S802;YES)、S811へ進む。一方、自装置がグループ鍵待機モードで動作していない(グループ鍵の保持数がユニキャスト鍵の保持数以下である状態)と判定された場合(S802;NO)、S803へ進む。
In S800, the
S803において、CPU 115は、鍵交換による鍵数と、装置の鍵保持上限数とを比較する。S804において、CPU 115は、鍵交換により鍵数が装置の鍵保持上限数を超えるか否かを判定する。鍵数が装置の鍵保持上限数を超えると判定された場合(S804;YES)、S805へ進む。一方、鍵数が装置の鍵保持上限数以下であると判定された場合(S804;NO)、処理を終了する。S805において、CPU 115は、ユーザ警告画面401(図4参照)を表示部106に表示する。
In S803, the
S806において、CPU 115は、ユーザ警告画面401を表示してから所定時間待機する。S807において、CPU 115は、所定時間経過後、プリンタ13が接続するWPAアドホックネットワーク環境の所属装置数の減少の有無について解析する。
In S806, the
S808において、CPU 115は、解析の結果として所属装置数が減少しているか否か、すなわちネットワーク環境が改善しているか否かを判定する。ネットワーク環境が改善していると判定された場合(S808;YES)、処理を終了する。一方、ネットワーク環境が改善していないと判定された場合(S808;NO)、S809へ進む。
In S808, the
S809において、CPU 115は、鍵テーブルにおけるグループ鍵の保持数がユニキャスト鍵の保持数よりも多い状態であるグループ鍵待機モードへ動作モードを切替中であることを示す画面1101(図11参照)を表示部106に表示する。S810において、後述の図9のフローチャートにおけるS900へ進む。S811において、後述の図9のフローチャートにおけるS902へ進む。以上で図8に示すフローチャートの処理が終了する。
In S809, the
次に、図9のフローチャートを参照して、プリンタ13がグループ鍵待機モードに遷移した場合のグループ鍵登録処理の手順を説明する。
Next, the procedure of the group key registration process when the
S900において、CPU 115は、ユニキャスト鍵を判別する。CPU 115は、この処理により削除可能なユニキャスト鍵を特定する。S901において、CPU 115は、S900で特定されたユニキャスト鍵を削除する。ここで、ユニキャスト鍵は必ずしも削除しなくてもよく、RAM 117のメモリ空間またはフラッシュメモリ113上の鍵キャッシュ記憶領域(一次記憶領域)に退避してもよい。
In S900, the
S902において、CPU 115は、ユニキャスト鍵を削除した後、削除によってプリンタ13の鍵テーブルに空きが出たことを確認する。
In S902, after deleting the unicast key, the
S903において、CPU 115は、鍵テーブルに所定数の空きがあるか否かを判定する。所定数の空きがあると判定された場合(S903;YES)、S904へ進む。一方、所定数の空きがないと判定された場合(S903;NO)、S903へ進む。
In S903, the
S904において、CPU 115は、鍵テーブルT23へグループ鍵を登録する。S905において、CPU 115は、グループ鍵待機モードを終了する。以上で図9に示すフローチャートの処理が終了する。
In S904, the
さらに、図10のフローチャートを参照して、プリンタ13の無線通信機能部104がRF部105を通じてマルチキャストパケットまたはブロードキャストパケットを受信した後の動作を表したユニキャスト鍵登録処理の手順を説明する。
Furthermore, a procedure of unicast key registration processing representing an operation after the wireless
S1000において、CPU 115は、ブロードキャストパケットまたはマルチキャストパケットを受信する。S1001において、CPU 115は、自装置の動作モードを解析する。S1002において、CPU 115は、自装置がグループ鍵待機モードで動作しているか否かを判定する。自装置がグループ鍵待機モードで動作していると判定された場合(S1002;YES)、S1003へ進む。一方、自装置がグループ鍵待機モードで動作していないと判定された場合(S1002;NO)、S1010へ進む。
In S1000, the
S1003において、CPU 115は、所有しているユニキャスト鍵を解析する。S1004において、CPU 115は、S1000で受信したパケットの送信元のユニキャスト鍵を所有しているか否かを判定する(鍵所有判定処理)。送信元のユニキャスト鍵を所有していると判定された場合(S1004;YES)、S1010へ進む。一方、送信元のユニキャスト鍵を所有していないと判定された場合(S1004;NO)、S1005へ進む。
In S1003, the
S1005において、CPU 115は、削除可能なグループ鍵を特定する。S1006において、CPU 115は、S1005で特定された削除可能なグループ鍵を削除する。S1007において、CPU 115は、鍵テーブルT23の空きを確認する。S1008において、CPU 115は、鍵テーブルT23に所定数の空きがあるか否かを判定する。所定数の空きがあると判定された場合(S1008;YES)、S1009へ進む。一方、所定数の空きがないと判定された場合(S1008;NO)、S1010へ進む。
In S1005, the
S1009において、CPU 115は、ユニキャスト鍵を取得する。ユニキャスト鍵は4wayハンドシェイクを行うことにより取得されてもよく、RAM 117のメモリ空間またはフラッシュメモリ113上に退避したユニキャスト鍵が改めて使用されてもよい。S1010において、CPU 115は、通常のパケット処理を実行する。以上で図10に示されるフローチャートの処理が終了する。
In S1009, the
次に、図12を参照して、グループ鍵更新シーケンスを説明する。WPAはグループ鍵を更新する機能を有するが、グループ鍵の更新の際にはユニキャスト鍵を用いた暗号通信が行われるため、ユニキャスト鍵が必要となる。一方、本発明の特徴の一つはユニキャスト鍵を一旦放棄し、ブロードキャスト通信またはマルチキャスト通信が発生した通信相手のユニキャスト鍵をテンポラリで所持することにより、鍵保持上限数を超える接続可能装置数を確保することである。従って、本発明を実施することによってグループ鍵を更新する対象の装置のユニキャスト鍵を所持しない状態でグループ鍵の更新タイミングが来てしまう場合がある。この問題を解決するため、グループ鍵を更新するためのユニキャスト鍵を、新規に4wayハンドシェイクを行うことにより取得し、取得したユニキャスト鍵でグループ鍵交換を行う方法を提案する。 Next, the group key update sequence will be described with reference to FIG. WPA has a function of updating a group key, but when a group key is updated, a unicast key is required because encrypted communication using a unicast key is performed. On the other hand, one of the features of the present invention is that the number of connectable devices exceeding the upper limit number of key holdings by temporarily abandoning the unicast key and temporarily holding the communication partner's unicast key in which broadcast communication or multicast communication has occurred Is to secure. Therefore, by implementing the present invention, there is a case where the group key update timing comes without having the unicast key of the target device for updating the group key. In order to solve this problem, a method is proposed in which a unicast key for updating a group key is newly acquired by performing a 4-way handshake, and a group key exchange is performed using the acquired unicast key.
図12に示される例は、プリンタ13がグループ鍵の更新タイミングに従ってPC14とグループ鍵を交換するシーケンスを表している。
The example shown in FIG. 12 represents a sequence in which the
S1200において、CPU 115は、グループ鍵の更新を行う必要のある装置を特定する。本実施形態では、CPU 115は、PC14を対象装置として特定している。S1201において、CPU 115は、メッセージ1(MSG1)をPC14へ送信する。このメッセージフレームはEAPOLというプロトコルに従ったフォーマットに準拠している。このメッセージは、ユニキャスト鍵の交換のためのメッセージである(Unicast)という情報、およびプリンタ13が生成した乱数値(Anonce)の情報を含んでいる。なお、EAPOLは拡張認証プロトコル(extensible authentication protocol)の略である。
In S1200, the
S1202において、MSG1を受信したPC14のCPUは、PTK(Pairwies Trasient Key)を生成し、プリンタ13とは異なる乱数(Snonce)を生成する。S1203において、PC14のCPUは、メッセージ2(MSG2)をプリンタ13へ送信する。このメッセージフレームはEAPOLというプロトコルに従ったフォーマットに準拠している。このメッセージは、ユニキャスト鍵の交換のためのメッセージである(Unicast)という情報、およびPC14が生成した乱数値(Snonce)の情報を含んでいる。S1204において、CPU 115は、PTKを生成する。
In S1202, the CPU of the
AnonceおよびSnonceという情報と、プリンタ13およびPC14が事前に保持している情報と、からPTKを生成することができる。これによって、S1202およびS1204において、プリンタ13とPC2 (PC14)とは、ともにPTKを生成することができる。
A PTK can be generated from the information Anonce and Snonce and the information held in advance by the
S1205において、CPU 115は、メッセージ3(MSG3)をPC14へ送信する。S1206において、PC14のCPUは、メッセージ4(MSG3)をプリンタ13へ送信する。MSG3およびMSG4は、PTKを正しく生成することができたことに対する確認応答を表すメッセージである。S1207において、PC14のCPUは、PTKをユニキャスト鍵として設定する。S1208において、CPU 115は、PTKをテンポラリユニキャスト鍵として設定する(ユニキャスト鍵取得処理)。
In S1205, the
以降、ユニキャストに関してはプリンタ13とPC14との間では暗号化されたデータが転送される。なお、これまで4wayハンドシェイクによりテンポラリユニキャスト鍵を設定する方法を説明したが、プリンタ13が既にPC14のユニキャスト鍵を所有している場合は、CPU 115は4wayハンドシェイクを行わずに、それを使用してもよい。
Thereafter, with regard to unicast, encrypted data is transferred between the
次にグループ鍵の共有方式について説明する。S1209において、S1200乃至S1206の4wayハンドシェイクが完了すると、CPU 115は、GTK(Group Trasient Key)を生成する。また、プリンタ13がGTKを既に所有している場合はそれを使用してもよい。
Next, a group key sharing method will be described. In S1209, when the 4-way handshake from S1200 to S1206 is completed, the
S1210において、CPU 115は、グループキーハンドシェークというメッセージ5(MSG5)をPC14へ送信する。このメッセージフレームもEAPOLというプロトコルに従ったフォーマットに準拠しており、このメッセージはGTKの交換のためのメッセージである(Group)という情報を含んでいる。既に交換済であるユニキャスト鍵によりメッセージ5は暗号化されているため、メッセージ5は安全に送信される。
In S1210, the
S1211において、PC14のCPUは、メッセージ5を受信したことを確認するメッセージ6(MSG6)をプリンタ13へ送信する。S1212において、CPU 115は、GTKをグループ鍵として設定する。S1213において、PC14のCPUは、GTKをグループ鍵として設定する。これにより、ブロードキャストパケットが暗号化されるようになる。S1214において、グループ鍵の更新が完了した後、CPU 115は、不要となったグループ鍵交換用のテンポラリユニキャスト鍵を削除する。以上で図12に示されるシーケンスの処理が終了する。
In S1211, the CPU of the
本実施形態によれば、ユーザによる通信環境の改善がない場合でも、グループ鍵を優先的に保持し必要な時にユニキャスト鍵を生成することによって通信サービスを提供することができる。 According to this embodiment, even when there is no improvement in the communication environment by the user, a communication service can be provided by preferentially holding the group key and generating a unicast key when necessary.
(その他の実施形態)
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
(Other embodiments)
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, or the like) of the system or apparatus reads the program. It is a process to be executed.
Claims (15)
前記無線ネットワークにおける通信に使用される暗号鍵を記憶する記憶手段と、
前記他の通信装置と暗号鍵を共有する処理を開始するための開始パケットを前記他の通信装置から受信する受信手段と、
前記記憶手段に記憶されている暗号鍵の数が所定数よりも大きいか否かを判定する第1の判定手段と、
前記第1の判定手段により前記暗号鍵の数が前記所定数よりも大きいと判定された場合、ユーザに所定の通知を行う通知手段と、
を有し、
前記通知手段による通知が行われてから所定時間が経過しても、前記無線ネットワークを構成する他の通信装置の台数が減少していない場合、前記記憶手段は、前記記憶手段により既に記憶されている暗号鍵を削除し、当該削除された暗号鍵に代えて、前記開始パケットに基づいて新たに共有される暗号鍵を記憶することを特徴とする通信装置。 A communication device for communicating with a plurality of other communication devices in a wireless network,
Storage means for storing an encryption key used for communication in the wireless network;
Receiving means for receiving, from the other communication device, a start packet for starting a process of sharing an encryption key with the other communication device;
First determination means for determining whether or not the number of encryption keys stored in the storage means is greater than a predetermined number;
A notification unit that performs a predetermined notification to a user when the first determination unit determines that the number of the encryption keys is larger than the predetermined number;
Have
If the number of other communication devices constituting the wireless network has not decreased even after a predetermined time has elapsed since the notification by the notification unit, the storage unit is already stored by the storage unit. A communication device that stores a new shared encryption key based on the start packet instead of the deleted encryption key.
前記第2の判定手段により前記グループ鍵の保持数が前記ユニキャスト鍵の保持数よりも少ないと判定された場合に、前記第1の判定手段による判定が行われることを特徴とする請求項4に記載の通信装置。 A second determination means for determining whether the number of retained group keys is greater than the number of retained unicast keys;
5. The determination by the first determination unit is performed when the second determination unit determines that the number of retained group keys is smaller than the number of retained unicast keys. The communication apparatus as described in.
前記第3の判定手段により前記他の通信装置との通信に使用されるユニキャスト鍵を有していないと判定された場合には、前記グループ鍵を削除する第2の削除手段を更に有することを特徴とする請求項4乃至7のいずれか1項に記載の通信装置。 Third determination means for determining whether or not a unicast key used for communication with the other communication device is included;
A second deleting unit that deletes the group key when the third determining unit determines that the unicast key used for communication with the other communication device is not included; The communication apparatus according to claim 4, wherein:
前記更新鍵を使用して、前記グループ鍵を更新する更新手段と、
を更に有することを特徴とする請求項4乃至10のいずれか1項に記載の通信装置。 Second acquisition means for acquiring an update key used to update the group key;
Updating means for updating the group key using the update key;
The communication apparatus according to claim 4, further comprising:
前記無線ネットワークにおける通信に使用される暗号鍵を記憶手段に記憶する記憶工程と、
前記他の通信装置と暗号鍵を共有する処理を開始するための開始パケットを前記他の通信装置から受信する受信工程と、
前記記憶手段に記憶されている暗号鍵の数が所定数よりも大きいか否かを判定する判定工程と、
前記暗号鍵の数が前記所定数よりも大きいと判定された場合、ユーザに所定の通知を行う通知工程と、
前記通知工程による通知が行われてから所定時間が経過しても、前記無線ネットワークを構成する他の通信装置の台数が減少していない場合、前記記憶手段に既に記憶されている暗号鍵を削除し、当該削除された暗号鍵に代えて、前記開始パケットに基づいて新たに共有される暗号鍵を記憶する工程と、
を有することを特徴とする制御方法。 A method of controlling a communication device that communicates with a plurality of other communication devices in a wireless network,
A storage step of storing an encryption key used for communication in the wireless network in a storage means;
A receiving step of receiving a start packet for starting a process of sharing an encryption key with the other communication device from the other communication device;
A determination step of determining whether the number of encryption keys stored in the storage means is greater than a predetermined number;
A notification step of performing a predetermined notification to a user when it is determined that the number of the encryption keys is larger than the predetermined number;
If the number of other communication devices constituting the wireless network has not decreased even after a predetermined time has elapsed since the notification by the notification step, the encryption key already stored in the storage means is deleted. And storing a newly shared encryption key based on the start packet instead of the deleted encryption key;
A control method characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011088602A JP5904718B2 (en) | 2011-04-12 | 2011-04-12 | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011088602A JP5904718B2 (en) | 2011-04-12 | 2011-04-12 | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2012222705A JP2012222705A (en) | 2012-11-12 |
JP2012222705A5 JP2012222705A5 (en) | 2014-05-22 |
JP5904718B2 true JP5904718B2 (en) | 2016-04-20 |
Family
ID=47273726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011088602A Expired - Fee Related JP5904718B2 (en) | 2011-04-12 | 2011-04-12 | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5904718B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA3152120A1 (en) | 2016-07-20 | 2018-01-25 | Dexcom, Inc. | System and method for wireless communication of glucose data |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4239747B2 (en) * | 2003-08-07 | 2009-03-18 | ソニー株式会社 | Information processing apparatus, content information management method, and computer program |
JP4551202B2 (en) * | 2004-12-07 | 2010-09-22 | 株式会社日立製作所 | Ad hoc network authentication method and wireless communication terminal thereof |
JP2007096806A (en) * | 2005-09-29 | 2007-04-12 | Victor Co Of Japan Ltd | Radio network setting method |
JP2008177815A (en) * | 2007-01-18 | 2008-07-31 | Matsushita Electric Ind Co Ltd | Broadcast encryption system and broadcast encryption device |
JP4881813B2 (en) * | 2007-08-10 | 2012-02-22 | キヤノン株式会社 | COMMUNICATION DEVICE, COMMUNICATION DEVICE COMMUNICATION METHOD, PROGRAM, AND STORAGE MEDIUM |
CN100534037C (en) * | 2007-10-30 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | Access authentication method suitable for IBSS network |
JP5306043B2 (en) * | 2009-04-28 | 2013-10-02 | 株式会社東芝 | Digital TV broadcast reception system, digital TV broadcast reception processing device |
-
2011
- 2011-04-12 JP JP2011088602A patent/JP5904718B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012222705A (en) | 2012-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7912221B2 (en) | Communication apparatus and method thereof | |
CN110324825B (en) | Terminal device, communication device, and recording medium | |
JP5053424B2 (en) | RELAY DEVICE, WIRELESS COMMUNICATION DEVICE, NETWORK SYSTEM, PROGRAM, AND METHOD | |
EP3186992B1 (en) | System and method for securing pre-association service discovery | |
JP6759011B2 (en) | Communication equipment, communication methods, and programs | |
CN105723648B (en) | A kind of cipher key configuration mthods, systems and devices | |
JP4804454B2 (en) | Key distribution control device, radio base station device, and communication system | |
JP2011073272A (en) | Image processing apparatus, method performed by image processing apparatus, program, and recording medium therefor | |
JP2005252812A (en) | Radio communications system | |
KR20090115292A (en) | Method and apparatus for setting wireless LAN using button | |
JP2011176582A (en) | Wireless lan device, wireless lan system, and program thereof | |
JP2009141587A (en) | Communication apparatus, control method of communication apparatus, and computer program | |
EP2993933A1 (en) | Wireless terminal configuration method, apparatus and wireless terminal | |
JP6732460B2 (en) | Communication device, communication method, program | |
EP3291630B1 (en) | Method for paging between neighbor awareness networks, and neighbor awareness network device | |
JP6269025B2 (en) | Wireless connection apparatus, method for copying setting information related to wireless communication, and network system | |
JP2017028457A (en) | Communication device, communication method and program | |
JP5981761B2 (en) | Communication device, control method, program | |
JP5904718B2 (en) | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM | |
US20230156467A1 (en) | Terminal device and non-transitory computer-readable recording medium storing computer readable instructions for terminal device | |
JP2007165977A (en) | Radio communication system and radio communication method | |
CN115885496B (en) | Communication method and related device | |
US20090028122A1 (en) | Wireless lan terminal allowing another processing in its waiting or idle state | |
JP6468341B2 (en) | Wireless connection apparatus, method for copying setting information related to wireless communication, and network system | |
JP2006033399A (en) | Ad hoc network communication system and method, and node device and program thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140408 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140408 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141211 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141219 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150721 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150807 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160215 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160315 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5904718 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |