JP6384127B2 - COMMUNICATION DEVICE, PROGRAM, AND COMMUNICATION METHOD - Google Patents

COMMUNICATION DEVICE, PROGRAM, AND COMMUNICATION METHOD Download PDF

Info

Publication number
JP6384127B2
JP6384127B2 JP2014113776A JP2014113776A JP6384127B2 JP 6384127 B2 JP6384127 B2 JP 6384127B2 JP 2014113776 A JP2014113776 A JP 2014113776A JP 2014113776 A JP2014113776 A JP 2014113776A JP 6384127 B2 JP6384127 B2 JP 6384127B2
Authority
JP
Japan
Prior art keywords
communication device
access point
message
unit
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014113776A
Other languages
Japanese (ja)
Other versions
JP2015228598A (en
Inventor
翔平 村井
翔平 村井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2014113776A priority Critical patent/JP6384127B2/en
Publication of JP2015228598A publication Critical patent/JP2015228598A/en
Application granted granted Critical
Publication of JP6384127B2 publication Critical patent/JP6384127B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、無線通信システムに関する。   The present invention relates to a wireless communication system.

無線LAN(Local Area Network)にはWPA(Wi-Fi Protected Access)と呼ばれるIEEE802.11iで策定された暗号化方式の規格がある。WPAは、ほぼ全ての無線LAN機器に搭載されている。WPAでは、動的に暗号鍵を更新することで、セキュアな通信を行う。暗号鍵は4ウェイ・ハンドシェイク(4 way handshake)と呼ばれる手順により生成される。この4ウェイ・ハンドシェイクのいずれかのフェーズで失敗した場合、自動的にリトライを試みる技術が既に知られている。   Wireless LAN (Local Area Network) has an encryption method standard established by IEEE802.11i called WPA (Wi-Fi Protected Access). WPA is installed in almost all wireless LAN devices. In WPA, secure communication is performed by dynamically updating an encryption key. The encryption key is generated by a procedure called 4-way handshake. There is already known a technique for automatically retrying if any of the phases of the 4-way handshake fails.

接続要求から接続成功又は接続失敗までのターンアラウンドタイムを短縮して通信回線の使用効率を高める技術が知られている(例えば、特許文献1参照)。この技術は、以前の接続時に要した時間を基に、接続処理にかける最大時間を算出して、接続開始から接続成功または接続失敗までのターンアラウンドタイムを短縮する。   A technique is known in which the turnaround time from a connection request to a connection success or connection failure is shortened to increase the communication line usage efficiency (see, for example, Patent Document 1). This technique calculates the maximum time required for connection processing based on the time required for the previous connection, and shortens the turnaround time from connection start to connection success or connection failure.

しかし、従来の技術では、接続失敗の際に、接続失敗の要因によらず、同様の手順で自動的にリトライが試みられる。つまり、明らかに接続できない状態でも同様の手順で、且つ接続失敗の場合と同様の時間の間、自動的にリトライが試みられるため、消費電力が増大する。   However, in the conventional technique, when a connection fails, a retry is automatically attempted in the same procedure regardless of the cause of the connection failure. In other words, even in a state where connection cannot be clearly established, a retry is automatically performed in the same procedure and for the same time as in the case of connection failure, so that power consumption increases.

そこで、本発明は、無駄な再接続処理を抑制することによって消費電力を低減することを目的とする。   Accordingly, an object of the present invention is to reduce power consumption by suppressing useless reconnection processing.

開示の一実施例の通信装置は、
アクセスポイントとの間で共有される事前共有キーからマスターキーを生成し、前記アクセスポイントとの間でリンクが確立された後、4ウェイハンドシェイクで暗号鍵を生成してネットワークに接続する通信装置であって、
前記アクセスポイントとの間で4ウェイハンドシェイクにより接続処理を行う際に、前記アクセスポイントから送信される複数のメッセージを受信する受信部と、
前記受信部によって受信される複数のメッセージを解析するメッセージ解析部と、
前記メッセージ解析部によるメッセージの解析結果に基づいて、接続処理が失敗していると判断した場合に前記アクセスポイントとの間で再接続処理を行う接続処理部と
を有し、
前記接続処理部は、前記メッセージ解析部により解析することができず、前記接続処理が失敗していると判断されるメッセージが、前記アクセスポイントとの間で交換された乱数と前記マスターキーとを組み合わせて生成されたテンポラリーキーを導入することを表す情報を付帯したメッセージである場合に、前記アクセスポイントとの間で再接続処理を行わないと判断するとともに、ユーザに事前共有キーの入力を求める通知を行い、ユーザにより入力された事前共有キーに基づいて前記マスターキーを生成する。 A communication device according to an embodiment of the disclosure is:
A communication device that generates a master key from a pre-shared key shared with an access point, generates an encryption key by a four-way handshake after a link is established with the access point, and connects to the network Because
A receiver that receives a plurality of messages transmitted from the access point when performing connection processing with the access point by a 4-way handshake ;
A message analyzer for analyzing a plurality of messages received by the receiver;
A connection processing unit that performs reconnection processing with the access point when it is determined that connection processing has failed based on the analysis result of the message by the message analysis unit,
The connection processing unit cannot be analyzed by the message analysis unit, and a message determined that the connection processing has failed is a random number exchanged with the access point and the master key. When the message is accompanied by information indicating introduction of a temporary key generated in combination, it is determined that reconnection processing is not performed with the access point, and the user is requested to input a pre-shared key. Notification is performed, and the master key is generated based on the pre-shared key input by the user.

開示の実施例によれば、無駄な再接続処理を抑制することによって消費電力を低減することができる。   According to the disclosed embodiment, it is possible to reduce power consumption by suppressing useless reconnection processing.

無線通信システムの一実施例を示す図である。It is a figure which shows one Example of a radio | wireless communications system. 第1の通信装置の一実施例を示す図である。It is a figure which shows one Example of a 1st communication apparatus. 第2の通信装置の一実施例を示す図である。It is a figure which shows one Example of a 2nd communication apparatus. 無線通信システムの一実施例を示す機能ブロック図である。It is a functional block diagram which shows one Example of a radio | wireless communications system. 無線通信システムの動作の一実施例を示すシーケンスチャートである。It is a sequence chart which shows one Example of operation | movement of a radio | wireless communications system. 無線通信システムの動作の一変形例を示すシーケンスチャートである。It is a sequence chart which shows one modification of operation | movement of a radio | wireless communications system.

次に、本発明を実施するための形態を、以下の実施例に基づき図面を参照しつつ説明する。以下で説明する実施例は一例に過ぎず、本発明が適用される実施の形態は、以下の実施例に限られない。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を用い、繰り返しの説明は省略する。 Next, the form for implementing this invention is demonstrated, referring drawings based on the following Examples. Examples described below are merely examples, and embodiments to which the present invention is applied are not limited to the following examples.
In all the drawings for explaining the embodiments, the same reference numerals are used for those having the same function, and repeated explanation is omitted.

<実施例>
<無線通信システム>
図1は、無線通信システムの一実施例の概略図であり、まずは図1を用いて、本実施形態の概略を説明する。 <Example>
<Wireless communication system>
FIG. 1 is a schematic diagram of an example of a wireless communication system. First, the outline of the present embodiment will be described with reference to FIG.

無線通信システムには、アクセスポイントを介して一方の通信装置から他方の通信装置に一方向でコンテンツデータを伝送するデータ提供システムや、アクセスポイントを介して複数の通信装置で情報等を相互に伝達するコミュニケーションシステムが含まれる。このコミュニケーションシステムには、複数の通信装置間で情報等を相互に伝達するためのシステムであり、テレビ会議システムやテレビ電話システム、音声会議システム、音声電話システム、PC(Personal Computer)画面共有システム等が例として挙げられる。   In a wireless communication system, a data providing system that transmits content data in one direction from one communication device to the other communication device via an access point, and information and the like are transmitted to each other by a plurality of communication devices via an access point. A communication system is included. This communication system is a system for mutually transmitting information between a plurality of communication devices, such as a video conference system, a video phone system, a voice conference system, a voice phone system, a PC (Personal Computer) screen sharing system, etc. Is given as an example.

図1に示す無線通信システムは、IEEE802.11iシリーズに準拠した無線LANシステムであり、第1の通信装置100、及び第2の通信装置200によって構築される。無線通信システムの通信形態は、IEEE802.11i準拠の無線LANに限られず、IEEE802.11i以外の規格に準拠したものにも適用できる。図1に示す第1の通信装置100は、ノートPCなどの情報端末であり、ステーションと呼ばれる。図1に示す第2の通信装置200は、ステーションを相互に接続したり、有線LANなどの他のネットワークに接続したりする無線装置であり、アクセスポイント(AP: Access Point)と呼ばれる。   The wireless communication system shown in FIG. 1 is a wireless LAN system compliant with the IEEE802.11i series, and is constructed by a first communication device 100 and a second communication device 200. The communication mode of the wireless communication system is not limited to a wireless LAN compliant with IEEE802.11i, and can be applied to a communication system compliant with a standard other than IEEE802.11i. A first communication device 100 shown in FIG. 1 is an information terminal such as a notebook PC and is called a station. A second communication device 200 shown in FIG. 1 is a wireless device that connects stations to each other or connects to another network such as a wired LAN, and is called an access point (AP).

<第1の通信装置100のハードウェア構成>
図2は、本発明の実施形態に係る第1の通信装置100のハードウェア構成図である。第1の通信装置100は、第1の通信装置100全体の動作を制御するCPU(Central Processing Unit)102、IPL(Initial Program Loader)等のCPU102の駆動に用いられるプログラムを記憶したROM(Read Only Memory)104、CPU102のワークエリアとして使用されるRAM(Random Access Memory)106を備えている。さらに、第1の通信装置100は、無線LANチップ制御ソフトウェアや、第1の通信装置用プログラム等の各種データを記憶するHD108、CPU102の制御にしたがってHD108に対する各種データの読み出し又は書き込みを制御するHDD(Hard Disk Drive)110を備えている。さらに、第1の通信装置100は、着脱可能な記録媒体の一例としてのCD−ROM(Compact Disc Read Only Memory)112に対する各種データの読み出し又は書き込みを制御するCD−ROMドライブ114、フラッシュメモリ等の記録メディア116に対するデータの読み出し又は書き込み(記憶)を制御するメディアドライブ118を備えている。さらに、第1の通信装置100は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示するディスプレイ120、文字、数値、各種指示などの入力のための複数のキーを備えたキーボード124、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行うマウス122を備えている。さらに、第1の通信装置100は、送信データを無線信号(電波)に変換する、無線LANチップ、無線LANモジュールなどのハードウェアによって構成される無線部126、無線部126からの電波を送信するアンテナ128、及び、上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン150を備えている。 <Hardware Configuration of First Communication Device 100>
FIG. 2 is a hardware configuration diagram of the first communication device 100 according to the embodiment of the present invention. The first communication device 100 includes a CPU (Central Processing Unit) 102 that controls the operation of the entire first communication device 100 and a ROM (Read Only) that stores programs used to drive the CPU 102 such as an IPL (Initial Program Loader). And a RAM (Random Access Memory) 106 used as a work area for the CPU 102. Further, the first communication device 100 is an HDD that stores various data such as wireless LAN chip control software and a program for the first communication device, and an HDD that controls reading or writing of various data with respect to the HD according to the control of the CPU. (Hard Disk Drive) 110 is provided. Further, the first communication device 100 includes a CD-ROM drive 114 that controls reading or writing of various data with respect to a CD-ROM (Compact Disc Read Only Memory) 112 as an example of a removable recording medium, a flash memory, and the like. A media drive 118 that controls reading or writing (storage) of data with respect to the recording medium 116 is provided. Further, the first communication device 100 includes a display 120 that displays various information such as a cursor, menu, window, character, or image, and a keyboard 124 that includes a plurality of keys for inputting characters, numerical values, and various instructions. A mouse 122 for selecting and executing various instructions, selecting a processing target, moving a cursor, and the like is provided. Further, the first communication device 100 transmits radio waves from the radio unit 126 and the radio unit 126 configured by hardware such as a radio LAN chip and a radio LAN module that converts transmission data into radio signals (radio waves). As shown in FIG. 2, an antenna 128 and a bus line 150 such as an address bus or a data bus are provided for electrically connecting the above components.

なお、無線LANチップ制御ソフトウェアや、第1の通信装置用プログラムは、インストール可能な形式又は実行可能な形式のファイルで、上記記録メディア116やCD−ROM112等のコンピュータで読み取り可能な記録媒体に記録して流通させるようにしてもよい。また、上記無線LANチップ制御ソフトウェアや、第1の通信装置用プログラムは、HD108ではなくROM104に記憶されるようにしてもよい。   The wireless LAN chip control software and the first communication device program are files in an installable or executable format, and are recorded on a computer-readable recording medium such as the recording medium 116 or the CD-ROM 112. And may be distributed. Further, the wireless LAN chip control software and the first communication device program may be stored in the ROM 104 instead of the HD 108.

<第2の通信装置200のハードウェア構成>
図3は、本発明の実施形態に係る第2の通信装置200のハードウェア構成図である。第2の通信装置200は、第2の通信装置200全体の動作を制御するCPU202、IPL等のCPU202の駆動に用いられるプログラムを記憶したROM204、CPU202のワークエリアとして使用されるRAM206、第2の通信装置用プログラム等の各種データを記憶するHD208、CPU202の制御にしたがってHD208に対する各種データの読み出し又は書き込みを制御するHDD210、送信データを無線信号(電波)に変換する、無線LANチップ、無線LANモジュールなどのハードウェアによって構成される無線部212、無線部212から電波を送信するアンテナ214、及び、上記各構成要素を図3に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン250を備えている。 <Hardware Configuration of Second Communication Device 200>
FIG. 3 is a hardware configuration diagram of the second communication device 200 according to the embodiment of the present invention. The second communication device 200 includes a CPU 202 that controls the overall operation of the second communication device 200, a ROM 204 that stores a program used to drive the CPU 202 such as an IPL, a RAM 206 that is used as a work area for the CPU 202, a second HD 208 for storing various data such as a communication device program, HDD 210 for controlling reading or writing of various data to / from the HD 208 according to the control of the CPU 202, a wireless LAN chip, a wireless LAN module for converting transmission data into a radio signal (radio wave) The wireless unit 212 configured by hardware such as the above, the antenna 214 that transmits radio waves from the wireless unit 212, and the address bus and data for electrically connecting the above-described components as shown in FIG. Has a bus line 250 such as a bus There.

なお、第2の通信装置用プログラムは、インストール可能な形式又は実行可能な形式のファイルで、記録メディアやCD−ROM等のコンピュータで読み取り可能な記録媒体に記録して流通させるようにしてもよい。また、上記第2の通信装置用プログラムは、HD208ではなくROM204に記憶されるようにしてもよい。   Note that the second communication device program may be installed in an installable or executable format, recorded on a computer-readable recording medium such as a recording medium or a CD-ROM, and distributed. . The second communication device program may be stored in the ROM 204 instead of the HD 208.

<第1の通信装置100、及び第2の通信装置200の機能構成>
図4は、第1の通信装置100、及び第2の通信装置200の機能ブロック図である。図4では、第1の通信装置100、及び第2の通信装置200が、無線LANによってデータ通信することができるように無線接続される。 <Functional Configuration of First Communication Device 100 and Second Communication Device 200>
FIG. 4 is a functional block diagram of the first communication device 100 and the second communication device 200. In FIG. 4, the first communication device 100 and the second communication device 200 are wirelessly connected so that data communication can be performed via a wireless LAN.

<第1の通信装置100の機能構成>
第1の通信装置100は、送受信部302、認証処理部304、鍵更新管理部306、鍵交換部308、接続処理部310、記憶部312、記憶・読出処理部314、暗号化部316、及び復号部318を有している。これら各部は、図2に示されている各構成要素のいずれかが、HD108からRAM106上に展開された無線LANチップ制御ソフトウェアや、第1の通信装置用プログラムに従ったCPU102からの命令によって動作することで実現される機能、又は機能される手段である。また、第1の通信装置100は、図2に示されているフラッシュメモリ等の記録メディア116によって構築される記憶部312を有している。 <Functional Configuration of First Communication Device 100>
The first communication device 100 includes a transmission / reception unit 302, an authentication processing unit 304, a key update management unit 306, a key exchange unit 308, a connection processing unit 310, a storage unit 312, a storage / read processing unit 314, an encryption unit 316, and A decoding unit 318 is included. Each of these components is operated by any of the components shown in FIG. 2 according to instructions from the CPU 102 according to the wireless LAN chip control software expanded from the HD 108 onto the RAM 106 or the first communication device program. It is a function realized by doing this, or a means to be functioned. Further, the first communication device 100 has a storage unit 312 constructed by the recording medium 116 such as a flash memory shown in FIG.

<第1の通信装置100の各機能構成>
次に、図2及び図4を用いて、第1の通信装置100の各機能構成について詳細に説明する。なお、以下では、第1の通信装置100の各機能構成部を説明するにあたって、図2に示されている各構成要素のうち、第1の通信装置100の各機能構成部を実現させるための主な構成要素との関係も説明する。 <Each functional configuration of first communication apparatus 100>
Next, each functional configuration of the first communication device 100 will be described in detail with reference to FIGS. 2 and 4. In the following, in describing each functional component of the first communication device 100, among the components illustrated in FIG. 2, for realizing each functional component of the first communication device 100 The relationship with main components is also explained.

図4に示されている第1の通信装置100の送受信部302は、図2に示されているCPU102からの命令、及び図2に示されている無線部126によって実現され、第1の通信装置100の周辺のアクセスポイントのスキャンを行う。ここでは、周辺のアクセスポイントのスキャンの結果、第2の通信装置200が検出される。また、送受信部302は、無線LANによって第2の通信装置200との間で、各種データの送受信を行う。   The transmission / reception unit 302 of the first communication device 100 shown in FIG. 4 is realized by the instruction from the CPU 102 shown in FIG. 2 and the wireless unit 126 shown in FIG. The access point around the device 100 is scanned. Here, as a result of scanning of neighboring access points, the second communication device 200 is detected. The transmission / reception unit 302 transmits / receives various data to / from the second communication device 200 via the wireless LAN.

第1の通信装置100の認証処理部304は、図2に示されているCPU102からの命令によって実行され、送受信部302が第1の通信装置100の周辺のアクセスポイントをスキャンすることによって検出された第2の通信装置200へ認証要求を行うなどの認証に関する処理を行う。例えば、認証処理部304は、EAP−TLS(Extensible Authentication Protocol Transport Layer Security)によって、RADIUSサーバとの間で相互で証明書による認証を行うことや、PEAP(protected EAP)によって認証を行うことができる。第2の通信装置200をRADIUSサーバとして機能させることもできる。   The authentication processing unit 304 of the first communication device 100 is executed by a command from the CPU 102 illustrated in FIG. 2, and is detected by the transmission / reception unit 302 scanning an access point around the first communication device 100. Further, processing related to authentication such as making an authentication request to the second communication apparatus 200 is performed. For example, the authentication processing unit 304 can perform mutual authentication with a RADIUS server by EAP-TLS (Extensible Authentication Protocol Transport Layer Security) or authentication by PEAP (protected EAP). . The second communication device 200 can also function as a RADIUS server.

第1の通信装置100の鍵更新管理部306は、図2に示されているCPU102からの命令によって実行され、暗号化部316、及び復号部318によって使用する暗号鍵の期限を管理する。鍵更新管理部306は、暗号鍵の期限が到来するのを検出したときに鍵交換部308に対して、暗号鍵の更新を指示する。   The key update management unit 306 of the first communication device 100 is executed by a command from the CPU 102 illustrated in FIG. 2 and manages the expiration date of the encryption key used by the encryption unit 316 and the decryption unit 318. The key update management unit 306 instructs the key exchange unit 308 to update the encryption key when detecting that the expiration date of the encryption key has arrived.

第1の通信装置100の鍵交換部308は、図2に示されているCPU102からの命令によって実行され、鍵更新管理部306から暗号鍵の更新を指示されたとき、又は第2の通信装置200から暗号鍵を生成するための第1の乱数を付帯した第1のメッセージを受信したとき、暗号鍵の更新を開始することを伝える鍵更新開始通知を暗号化部316及び復号部318に送信する。その後、鍵交換部308は、メッセージ解析部として機能し、第2の通信装置200との間で4ウェイハンドシェイクを行うことにより暗号鍵を生成する。   The key exchange unit 308 of the first communication device 100 is executed in accordance with an instruction from the CPU 102 shown in FIG. 2 and when the key update management unit 306 instructs to update the encryption key, or the second communication device. When a first message accompanied by a first random number for generating an encryption key is received from 200, a key update start notification is sent to the encryption unit 316 and the decryption unit 318 to notify the start of encryption key update. To do. Thereafter, the key exchange unit 308 functions as a message analysis unit and generates an encryption key by performing a 4-way handshake with the second communication device 200.

具体的には、鍵交換部308には、第2の通信装置200との間で共有される事前共有キー(PSK: Pre Shared Key)などの認証キーが予め設定される。事前共有キーは、パスフレーズの形式で入力することも、16進数の形式で入力することもできる。鍵交換部308は、予め決定されるアルゴリズムにしたがって、PSKからマスターキー(PMK: Pairwise Master Key)を4ウェイハンドシェイクを行う際に生成する。そして、第1の通信装置100と第2の通信装置200との間でリンクが確立された後、4ウェイハンドシェイクにしたがって、第2の通信装置200から送信される第1のメッセージを解析し、第1のメッセージに付帯される第1の乱数を取得する。鍵交換部308は、第1のメッセージを解析できない場合、又は、第1のメッセージを解析しても第1の乱数を取得できない場合、接続処理部310へ、第1のメッセージを解析できないこと、又は第1の乱数を取得できないことを通知する。   Specifically, the key exchange unit 308 is preset with an authentication key such as a pre-shared key (PSK) that is shared with the second communication device 200. The pre-shared key can be entered in a passphrase format or a hexadecimal format. The key exchange unit 308 generates a master key (PMK: Pairwise Master Key) from PSK when performing a 4-way handshake according to a predetermined algorithm. Then, after the link is established between the first communication device 100 and the second communication device 200, the first message transmitted from the second communication device 200 is analyzed according to the 4-way handshake. The first random number attached to the first message is acquired. The key exchange unit 308 cannot analyze the first message to the connection processing unit 310 when the first message cannot be analyzed, or when the first random number cannot be obtained even after analyzing the first message, Alternatively, it is notified that the first random number cannot be acquired.

また、鍵交換部308は、第1のメッセージに付帯される第1の乱数を取得できた場合に、第2の乱数を生成し、第2の乱数を付帯した第2のメッセージを作成する。鍵交換部308は、送受信部302から第2の通信装置200へ第2のメッセージを送信する。   In addition, when the key exchange unit 308 can acquire the first random number attached to the first message, the key exchange unit 308 generates a second random number and creates a second message attached with the second random number. The key exchange unit 308 transmits the second message from the transmission / reception unit 302 to the second communication device 200.

第2の通信装置200は、第1の通信装置100から送信される第2のメッセージを解析し、第2のメッセージに付帯される第2の乱数を取得する。第2の通信装置200は、生成した第1の乱数、第1の通信装置100から送信された第2の乱数、及び生成したPMKを組み合わせてテンポラリキー(PTK: Pairwise Transient Key)を生成する。そして、第2の通信装置200は、生成したPTKを導入することによって、第2の通信装置200から送信するデータをPTKによって暗号化し、第1の通信装置100から送信されるデータをPTKによって復号する。PTKを導入する際に、第2の通信装置200は、第1の通信装置100へ、PTKを導入することを通知する第3のメッセージを作成し、送受信部402から送信する。   The second communication device 200 analyzes the second message transmitted from the first communication device 100, and obtains a second random number attached to the second message. The second communication device 200 generates a temporary key (PTK: Pairwise Transient Key) by combining the generated first random number, the second random number transmitted from the first communication device 100, and the generated PMK. Then, by introducing the generated PTK, the second communication device 200 encrypts the data transmitted from the second communication device 200 with the PTK, and decrypts the data transmitted from the first communication device 100 with the PTK. To do. When introducing the PTK, the second communication device 200 creates a third message for notifying the first communication device 100 that the PTK is to be introduced, and transmits the third message from the transmission / reception unit 402.

第1の通信装置100の説明に戻る。   Returning to the description of the first communication device 100.

鍵交換部308は、第2の通信装置200から送信される第3のメッセージを解析し、第2の通信装置200にPTKが導入されるか否かを確認する。鍵交換部308は、第2の通信装置200にPTKが導入される場合には、第2の通信装置200から送信された第1の乱数、生成した第2の乱数、及び生成したPMKを組み合わせてPTKを生成する。そして、鍵交換部308は、暗号化部316、及び復号部318に生成したPTKを導入する。これによって、暗号化部316は第1の通信装置100から送信するデータをPTKによって暗号化でき、復号部318は第2の通信装置200から送信されるデータをPTKによって復号できる。PTKを導入する場合、鍵交換部308は、記憶部312へPTKを格納するとともに、暗号化部316、及び復号部318へPTKを通知する。鍵交換部308は、PTKを導入する際に、第2の通信装置200へ、PTKを導入することを通知する第4のメッセージを送信する。   The key exchange unit 308 analyzes the third message transmitted from the second communication device 200 and confirms whether PTK is introduced into the second communication device 200. When the PTK is introduced into the second communication device 200, the key exchange unit 308 combines the first random number transmitted from the second communication device 200, the generated second random number, and the generated PMK. To generate PTK. Then, the key exchange unit 308 introduces the generated PTK into the encryption unit 316 and the decryption unit 318. Accordingly, the encryption unit 316 can encrypt data transmitted from the first communication device 100 using PTK, and the decryption unit 318 can decrypt data transmitted from the second communication device 200 using PTK. When introducing the PTK, the key exchange unit 308 stores the PTK in the storage unit 312 and notifies the encryption unit 316 and the decryption unit 318 of the PTK. When introducing the PTK, the key exchange unit 308 transmits a fourth message notifying the introduction of the PTK to the second communication device 200.

鍵交換部308は、第3のメッセージを解析できない場合、又は第2の通信装置200にPTKが導入されない場合には、接続処理部310へ何も通知しないことによって、再接続処理を行わないようにする。この場合、鍵交換部308は、ユーザへパスフレーズの再入力を促すための表示をディスプレイ120に行わせることもできる。鍵交換部308は、ユーザによってパスフレーズの再入力が行われた場合には、PMKの作成から再開する。   If the key exchange unit 308 cannot analyze the third message or if the PTK is not introduced into the second communication device 200, the key exchange unit 308 does not notify the connection processing unit 310 so that the reconnection processing is not performed. To. In this case, the key exchange unit 308 can cause the display 120 to display a message for prompting the user to re-enter the passphrase. The key exchange unit 308 restarts from the creation of the PMK when the passphrase is re-input by the user.

第1の通信装置100の接続処理部310は、図2に示されているCPU102からの命令によって実行され、鍵交換部308から、第1のメッセージを解析できないこと、又は第1の乱数を取得できないことが通知された場合に、送受信部302へ、第1の通信装置100の周辺のアクセスポイントのスキャンを行うように命令する。これにより、第1の通信装置100は、第1のメッセージの受信や解析をできなかった場合に、周辺のアクセスポイントのスキャンから再度行うことができる。   The connection processing unit 310 of the first communication device 100 is executed by a command from the CPU 102 illustrated in FIG. 2, and the first message cannot be analyzed or a first random number is acquired from the key exchange unit 308. When notified of the inability to do so, the transmitter / receiver 302 is instructed to scan for access points around the first communication device 100. Thereby, the first communication apparatus 100 can perform again from scanning of the neighboring access points when the first message cannot be received or analyzed.

第1の通信装置100の記憶部312は、図2に示されているHD108や、記録メディア116によって実現され、第2の通信装置200との間で共有されるPSK、PMK、PTKなどを記憶する。   The storage unit 312 of the first communication device 100 stores the PSK, PMK, PTK, etc. that are realized by the HD 108 and the recording medium 116 shown in FIG. 2 and are shared with the second communication device 200. To do.

第1の通信装置100の記憶・読出処理部314は、図2に示されているCPU102からの命令、及び図2に示されているHDD110や、メディアドライブ118によって実行され、記憶部312に各種データを記憶したり、記憶部312に記憶された各種データを読み出す処理を行う。   The storage / reading processing unit 314 of the first communication device 100 is executed by the command from the CPU 102 shown in FIG. 2 and the HDD 110 or the media drive 118 shown in FIG. Data is stored, and various data stored in the storage unit 312 are read out.

第1の通信装置100の暗号化部316は、図2に示されているCPU102からの命令、及び図2に示されているHDD110や、メディアドライブ118によって実行され、記憶部312からPTKを取得し、ユーザデータをPTKを用いて暗号化する。暗号化部316は、暗号化したユーザデータを送受信部302から、第2の通信装置200へ送信する。   The encryption unit 316 of the first communication device 100 acquires the PTK from the storage unit 312 by executing the command from the CPU 102 illustrated in FIG. 2 and the HDD 110 or the media drive 118 illustrated in FIG. Then, the user data is encrypted using PTK. The encryption unit 316 transmits the encrypted user data from the transmission / reception unit 302 to the second communication device 200.

第1の通信装置100の復号部318は、図2に示されているCPU102からの命令、及び図2に示されているHDD110や、メディアドライブ118によって実行され、記憶部312からPTKを取得し、第2の通信装置200から送信された暗号化データをPTKを用いて復号し、ユーザデータを生成する。   The decryption unit 318 of the first communication apparatus 100 acquires the PTK from the storage unit 312 by being executed by the instruction from the CPU 102 illustrated in FIG. 2 and the HDD 110 or the media drive 118 illustrated in FIG. The encrypted data transmitted from the second communication device 200 is decrypted using the PTK to generate user data.

<第2の通信装置200の機能構成>
第2の通信装置200は、送受信部402、認証処理部404、鍵更新管理部406、鍵交換部408、接続処理部410、記憶部412、記憶・読出処理部414、暗号化部416、及び復号部418を有している。これら各部は、図3に示されている各構成要素のいずれかが、HD208からRAM206上に展開された第2の通信装置用プログラムに従ったCPU202からの命令によって動作することで実現される機能、又は機能される手段である。 <Functional Configuration of Second Communication Device 200>
The second communication device 200 includes a transmission / reception unit 402, an authentication processing unit 404, a key update management unit 406, a key exchange unit 408, a connection processing unit 410, a storage unit 412, a storage / read processing unit 414, an encryption unit 416, and A decoding unit 418 is included. Each of these units is a function realized by any one of the constituent elements shown in FIG. 3 operating according to a command from the CPU 202 according to the second communication device program expanded from the HD 208 onto the RAM 206. Or a means to be functioned.

<第2の通信装置200の各機能構成>
次に、図3及び図4を用いて、第2の通信装置200の各機能構成について詳細に説明する。なお、以下では、第2の通信装置200の各機能構成部を説明するにあたって、図3に示されている各構成要素のうち、第2の通信装置200の各機能構成部を実現させるための主な構成要素との関係も説明する。 <Functional Configuration of Second Communication Device 200>
Next, each functional configuration of the second communication device 200 will be described in detail with reference to FIGS. 3 and 4. In the following, in describing each functional component of the second communication device 200, among the components illustrated in FIG. 3, for realizing each functional component of the second communication device 200 The relationship with main components is also explained.

図4に示されている第2の通信装置200の送受信部402は、図3に示されているCPU202からの命令、及び図3に示されている無線部212によって実現され、第2の通信装置200の周辺に、「ビーコン」と呼ばれるパケットを所定の周期で、第1の通信装置100が動作しているチャネル上に送信する。ビーコンには、基本サービスセット識別子(Basic Service Set Identifier、BSSID)、サービスセット識別子(Service Set Identifier、BSSID)、ビーコン送信間隔、チャネル(周波数)情報、サポートする転送速度の一覧、セキュリティ情報などが付帯される。また、送受信部402は、無線LANによって第1の通信装置100との間で、各種データの送受信を行う。   The transmission / reception unit 402 of the second communication device 200 shown in FIG. 4 is realized by the command from the CPU 202 shown in FIG. 3 and the wireless unit 212 shown in FIG. A packet called a “beacon” is transmitted around the device 200 on a channel on which the first communication device 100 is operating at a predetermined cycle. A beacon includes a basic service set identifier (BSSID), a service set identifier (BSSID), a beacon transmission interval, channel (frequency) information, a list of supported transfer rates, security information, etc. Is done. In addition, the transmission / reception unit 402 transmits / receives various data to / from the first communication device 100 via the wireless LAN.

第2の通信装置200の認証処理部404は、図3に示されているCPU202からの命令によって実行され、送受信部402が第1の通信装置100から送信される認証要求を受信した場合に、その認証要求に応じて、認証処理を行う。例えば、認証処理部404は、EAP−TLSによって、第1の通信装置100との間で相互で証明書による認証を行うことや、PEAPによって認証を行うことができる。第2の通信装置200をRADIUSサーバとして機能させることもできる。   The authentication processing unit 404 of the second communication device 200 is executed according to a command from the CPU 202 illustrated in FIG. 3, and when the transmission / reception unit 402 receives an authentication request transmitted from the first communication device 100, Authentication processing is performed in response to the authentication request. For example, the authentication processing unit 404 can perform certificate authentication with the first communication device 100 by EAP-TLS and can perform authentication by PEAP. The second communication device 200 can also function as a RADIUS server.

第2の通信装置200の鍵更新管理部406は、図3に示されているCPU202からの命令によって実行され、暗号化部416、及び復号部418によって使用する暗号鍵の期限を管理する。鍵更新管理部406は、暗号鍵の期限が到来するのを検出したときに鍵交換部408に対して、暗号鍵の更新を指示する。   The key update management unit 406 of the second communication device 200 is executed according to a command from the CPU 202 illustrated in FIG. 3 and manages the expiration date of the encryption key used by the encryption unit 416 and the decryption unit 418. The key update management unit 406 instructs the key exchange unit 408 to update the encryption key when detecting that the expiration date of the encryption key has arrived.

第2の通信装置200の鍵交換部408は、図3に示されているCPU202からの命令によって実行され、鍵更新管理部406から暗号鍵の更新を指示されたとき、又は第1の通信装置100から送信される認証要求に応じて処理を行ったときに、暗号鍵の更新を開始することを伝える鍵更新開始通知を暗号化部416及び復号部418に送信する。その後、鍵交換部408は、第1の通信装置100との間で4ウェイハンドシェイクを行うことにより暗号鍵を生成する。   The key exchange unit 408 of the second communication device 200 is executed by an instruction from the CPU 202 shown in FIG. 3, and when the key update management unit 406 instructs to update the encryption key, or the first communication device. When processing is performed in response to the authentication request transmitted from 100, a key update start notification is transmitted to the encryption unit 416 and the decryption unit 418 to notify the start of encryption key update. Thereafter, the key exchange unit 408 generates an encryption key by performing a 4-way handshake with the first communication apparatus 100.

具体的には、鍵交換部408には、第1の通信装置100との間で共有されるPSKが予め設定される。PSKは、パスフレーズの形式で入力することも、16進数の形式で入力することもできる。鍵交換部408は、予め決定されるアルゴリズムにしたがって、PSKからPMKを4ウェイハンドシェイクを行う際に生成する。そして、第1の通信装置100と第2の通信装置200との間でリンクが確立された後、4ウェイハンドシェイクにしたがって、鍵交換部408は、第1の乱数を生成する。鍵交換部408は、第1の乱数を付帯した第1のメッセージを作成し、送受信部402から送信する。   Specifically, PSK shared with the first communication apparatus 100 is set in advance in the key exchange unit 408. PSK can be entered in the form of a passphrase or in the form of a hexadecimal number. The key exchange unit 408 generates a PMK from the PSK when performing a 4-way handshake according to a predetermined algorithm. Then, after the link is established between the first communication device 100 and the second communication device 200, the key exchange unit 408 generates a first random number according to the 4-way handshake. The key exchange unit 408 creates a first message attached with the first random number and transmits it from the transmission / reception unit 402.

また、鍵交換部408は、第1のメッセージを送信した後に、第1の通信装置100から送信される第2のメッセージを解析し、第2のメッセージに付帯される第2の乱数を取得する。   In addition, after transmitting the first message, the key exchange unit 408 analyzes the second message transmitted from the first communication device 100 and acquires the second random number attached to the second message. .

鍵交換部408は、第1の乱数、第2の乱数、及びPMKを組み合わせてPTKを生成する。そして、鍵交換部408は、暗号化部416、及び復号部418に生成したPTKを導入する。これによって、復号部418は第1の通信装置100から送信されるデータをPTKによって復号でき、暗号化部416は第1の通信装置100へ送信するデータをPTKによって暗号化できる。PTKを導入する場合、鍵交換部408は、記憶部412へPTKを格納するとともに、暗号化部416、及び復号部418へPTKを通知する。鍵交換部408は、第1の通信装置100へ、PTKを導入することを通知する第3のメッセージを作成し、送受信部402から送信する。   The key exchange unit 408 generates a PTK by combining the first random number, the second random number, and the PMK. Then, the key exchange unit 408 introduces the generated PTK to the encryption unit 416 and the decryption unit 418. Accordingly, the decryption unit 418 can decrypt the data transmitted from the first communication device 100 using PTK, and the encryption unit 416 can encrypt the data transmitted to the first communication device 100 using PTK. When introducing the PTK, the key exchange unit 408 stores the PTK in the storage unit 412 and notifies the encryption unit 416 and the decryption unit 418 of the PTK. The key exchange unit 408 creates a third message for notifying the first communication device 100 that PTK is to be introduced, and transmits the third message from the transmission / reception unit 402.

鍵交換部408は、第3のメッセージを送信した後に、第1の通信装置100から送信される第4のメッセージを受信する。   The key exchange unit 408 receives the fourth message transmitted from the first communication device 100 after transmitting the third message.

第2の通信装置200の記憶部412は、図3に示されているHD208によって実現され、第1の通信装置100との間で共有されるPSK、PMK、PTKなどを記憶する。   The storage unit 412 of the second communication device 200 is realized by the HD 208 illustrated in FIG. 3, and stores PSK, PMK, PTK, and the like shared with the first communication device 100.

第2の通信装置200の記憶・読出処理部414は、図3に示されているCPU202からの命令、及び図3に示されているHDD210によって実行され、記憶部412に各種データを記憶したり、記憶部412に記憶された各種データを読み出す処理を行う。   The storage / reading processing unit 414 of the second communication device 200 is executed by the instruction from the CPU 202 shown in FIG. 3 and the HDD 210 shown in FIG. 3, and stores various data in the storage unit 412. Then, a process of reading various data stored in the storage unit 412 is performed.

第2の通信装置200の暗号化部416は、図3に示されているCPU202からの命令、及び図3に示されているHDD210によって実行され、記憶部412からPTKを取得し、ユーザデータをPTKを用いて暗号化する。暗号化部416は、暗号化したユーザデータを送受信部402から、第1の通信装置100へ送信する。   The encryption unit 416 of the second communication device 200 is executed by the command from the CPU 202 shown in FIG. 3 and the HDD 210 shown in FIG. 3, acquires the PTK from the storage unit 412, and stores the user data. Encrypt using PTK. The encryption unit 416 transmits the encrypted user data from the transmission / reception unit 402 to the first communication device 100.

第2の通信装置200の復号部418は、図3に示されているCPU202からの命令、及び図3に示されているHDD210によって実行され、記憶部412からPTKを取得し、第1の通信装置100から送信された暗号化データをPTKを用いて復号し、ユーザデータを生成する。   The decryption unit 418 of the second communication device 200 is executed by the command from the CPU 202 shown in FIG. 3 and the HDD 210 shown in FIG. 3, acquires the PTK from the storage unit 412, and performs the first communication The encrypted data transmitted from the device 100 is decrypted using the PTK to generate user data.

<無線通信システムの動作>
図5は、無線通信システムの動作の一実施例を示す。 <Operation of wireless communication system>
FIG. 5 shows an embodiment of the operation of the wireless communication system.

図5に示される無線通信システムの動作の前提として、第1の通信装置100及び第2の通信装置200にはPSKが予め設定され、第1の通信装置100及び第2の通信装置200は予め決定されるアルゴリズムにしたがってPSKからPMKを生成している。   As a premise of the operation of the wireless communication system shown in FIG. 5, PSK is set in advance in the first communication device 100 and the second communication device 200, and the first communication device 100 and the second communication device 200 are set in advance. The PMK is generated from the PSK according to the determined algorithm.

ステップS502では、第1の通信装置100の送受信部302は、周辺のアクセスポイントのスキャンを行う。ここでは、送受信部302は、周辺のアクセスポイントをスキャンすることによって、第2の通信装置200を検出する。具体的には、送受信部302は、第2の通信装置200から送信されるビーコンを受信することによって、第2の通信装置200を検出する。   In step S502, the transmission / reception unit 302 of the first communication device 100 scans for nearby access points. Here, the transmission / reception unit 302 detects the second communication device 200 by scanning peripheral access points. Specifically, the transmission / reception unit 302 detects the second communication device 200 by receiving a beacon transmitted from the second communication device 200.

ステップS504では、第1の通信装置100の認証処理部304は、ステップS502において検出した第2の通信装置200へ認証要求を行う。   In step S504, the authentication processing unit 304 of the first communication device 100 makes an authentication request to the second communication device 200 detected in step S502.

ステップS506では、ステップS504で作成された認証要求は、送受信部302から第2の通信装置200へ送信される。   In step S506, the authentication request created in step S504 is transmitted from the transmission / reception unit 302 to the second communication device 200.

ステップS508では、第2の通信装置200の認証処理部404は、第1の通信装置100から送信される認証要求に応じて認証処理を行う。   In step S508, the authentication processing unit 404 of the second communication device 200 performs an authentication process in response to the authentication request transmitted from the first communication device 100.

ステップS510では、第2の通信装置200の鍵交換部408は、4ウェイハンドシェイクを開始する。   In step S510, the key exchange unit 408 of the second communication device 200 starts a 4-way handshake.

ステップS512では、第2の通信装置200の鍵交換部408は、第1の乱数を生成し、第1の乱数を付帯した第1のメッセージを作成する。   In step S512, the key exchange unit 408 of the second communication device 200 generates a first random number and creates a first message accompanied by the first random number.

ステップS514では、第2の通信装置200の送受信部402は、第1の通信装置100へ、第1のメッセージを送信する。   In step S <b> 514, the transmission / reception unit 402 of the second communication device 200 transmits the first message to the first communication device 100.

ステップS516では、第1の通信装置100の鍵交換部308は、第2の通信装置200から送信された第1のメッセージを解析する。   In step S516, the key exchange unit 308 of the first communication device 100 analyzes the first message transmitted from the second communication device 200.

ステップS518では、第1の通信装置100の鍵交換部308は、第1のメッセージの解析が成功したか否かを判定する。第1のメッセージの解析が成功しなかった場合、ステップS502へ戻る。第1のメッセージの解析が成功しない要因としては、第1の通信装置100と第2の通信装置200との間の電波の状況が悪かったことがあげられ、電波の状況が回復すれば、第2の通信装置200から送信される第1のメッセージの解析が成功すると想定される。したがって、第1のメッセージの解析が成功しなかった場合には、周辺のアクセスポイントのスキャンから再度実行する。   In step S518, the key exchange unit 308 of the first communication device 100 determines whether the analysis of the first message is successful. If the analysis of the first message is not successful, the process returns to step S502. The reason why the analysis of the first message is not successful is that the radio wave condition between the first communication device 100 and the second communication device 200 is bad. It is assumed that the analysis of the first message transmitted from the second communication device 200 is successful. Therefore, when the analysis of the first message is not successful, the process is executed again from scanning of the neighboring access points.

ステップS520では、第1のメッセージの解析が成功した場合、第1の通信装置100の鍵交換部308は、第2の乱数を生成し、第2の乱数を付帯した第2のメッセージを作成する。   In step S520, when the analysis of the first message is successful, the key exchange unit 308 of the first communication device 100 generates a second random number and creates a second message accompanied by the second random number. .

ステップS522では、第1の通信装置100の送受信部302は、第2の通信装置200へ、第2のメッセージを送信する。   In step S522, the transmission / reception unit 302 of the first communication device 100 transmits the second message to the second communication device 200.

ステップS524では、第2の通信装置200の鍵交換部408は、第1の通信装置100から送信された第2のメッセージを解析する。   In step S524, the key exchange unit 408 of the second communication device 200 analyzes the second message transmitted from the first communication device 100.

ステップS526では、第2の通信装置200の鍵交換部408は、予め生成したPMK、生成した第1の乱数、及び第1の通信装置100から送信された第2の乱数を組み合わせて、PTKを作成する。   In step S526, the key exchange unit 408 of the second communication device 200 combines the previously generated PMK, the generated first random number, and the second random number transmitted from the first communication device 100 to generate the PTK. create.

ステップS528では、第2の通信装置200の鍵交換部408は、PTKを導入することを表す情報を付帯した第3のメッセージを作成する。   In step S528, the key exchange unit 408 of the second communication device 200 creates a third message accompanied by information indicating that PTK is to be introduced.

ステップS530では、第2の通信装置200の送受信部402は、第1の通信装置100へ第3のメッセージを送信する。   In step S <b> 530, the transmission / reception unit 402 of the second communication device 200 transmits a third message to the first communication device 100.

ステップS532では、第1の通信装置100の鍵交換部408は、第2の通信装置200から送信された第3のメッセージを解析する。   In step S532, the key exchange unit 408 of the first communication device 100 analyzes the third message transmitted from the second communication device 200.

ステップS534では、第1の通信装置100の鍵交換部308は、予め生成したPMK、第2の通信装置200から送信された第1の乱数、及び生成した第2の乱数を組み合わせて、PTKを作成する。   In step S534, the key exchange unit 308 of the first communication device 100 combines the previously generated PMK, the first random number transmitted from the second communication device 200, and the generated second random number to generate the PTK. create.

ステップS536では、第1の通信装置100の鍵交換部308は、第3のメッセージの解析が成功したか否かを判定する。   In step S536, the key exchange unit 308 of the first communication device 100 determines whether the analysis of the third message is successful.

ステップ538では、第1の通信装置100の鍵交換部308は、第3のメッセージの解析が成功しなかった場合、パスフレーズの入力を促す画面をディスプレイ120に表示する。ユーザによってパスフレーズが入力された場合、該パスフレーズからPMKを再度生成し、ステップS502からの処理を再度実行する。第3のメッセージの解析が失敗する要因としては、第1の通信装置100と第2の通信装置200との間で共有されるPSKが異なることがあげられ、PSKが異なる場合にステップS502からの処理を再度行っても、失敗することが想定される。そこで、パスフレーズの入力をユーザに促すことによって、PMKの生成から行う。これによって、失敗すると想定される再接続処理を防止できる。   In step 538, the key exchange unit 308 of the first communication device 100 displays on the display 120 a screen that prompts the user to input a passphrase if the analysis of the third message is not successful. When a passphrase is input by the user, a PMK is generated again from the passphrase, and the processing from step S502 is executed again. The reason why the analysis of the third message fails is that the PSK shared between the first communication device 100 and the second communication device 200 is different. If the PSK is different, the processing from step S502 is started. Even if the process is performed again, it is assumed that the process fails. Therefore, the PMK is generated by prompting the user to input a passphrase. This prevents reconnection processing that is assumed to fail.

ステップS540では、第1の通信装置100の鍵交換部308は、第3のメッセージの解析が成功した場合、PTKを導入することを表す情報を付帯した第4のメッセージを作成する。   In step S540, when the analysis of the third message is successful, the key exchange unit 308 of the first communication device 100 creates a fourth message accompanied with information indicating that PTK is to be introduced.

ステップS542では、第1の通信装置100の送受信部302は、第2の通信装置200へ第4のメッセージを送信する。   In step S542, the transmission / reception unit 302 of the first communication device 100 transmits a fourth message to the second communication device 200.

ステップS544では、第2の通信装置200の鍵交換部408は、第1の通信装置100から送信された第4のメッセージを取得し、4ウェイハンドシェイクを完了する。   In step S544, the key exchange unit 408 of the second communication device 200 acquires the fourth message transmitted from the first communication device 100, and completes the 4-way handshake.

上述した実施例では、一例として、IEEE802.11iにしたがって無線通信を行う場合について説明したが、IEEE802.11iに限らず、通信を行う際に認証キーなどによって暗号化処理を行う無線通信システムに適用できる。   In the above-described embodiments, the case where wireless communication is performed according to IEEE802.11i has been described as an example. However, the present invention is not limited to IEEE802.11i, but is applied to a wireless communication system that performs encryption processing using an authentication key or the like when performing communication. it can.

無線通信システムの一実施例によれば、4ウェイハンドシェイクにおいて、第1のメッセージの解析ができない場合には周辺のアクセスポイントのスキャンから実行するようにし、第3のメッセージの解析ができない場合にはパスフレーズの入力を促すことから実行するようにした。   According to one embodiment of the wireless communication system, in the four-way handshake, when the first message cannot be analyzed, the processing is performed from the scanning of the neighboring access points, and when the third message cannot be analyzed. Now runs because it prompts for a passphrase.

第1のメッセージの解析ができない場合に周辺のアクセスポイントのスキャンから実行することにより、第1の通信装置100と第2の通信装置200との間の電波状況が回復した場合に、4ウェイハンドシェイクを成功させることができる。   When the radio wave condition between the first communication device 100 and the second communication device 200 is recovered by executing the scan from the neighboring access points when the first message cannot be analyzed, the four-way hand The shake can be successful.

第3のメッセージの解析ができない場合にパスフレーズの入力を促すことから実行することにより、再度失敗する可能性の高い再接続処理を削減でき、再度入力されたパスフレーズによって第1の通信装置100と第2の通信装置200との間での4ウェイハンドシェイクを成功させることができる。仮に、第3のメッセージの解析ができない場合に周辺のアクセスポイントのスキャンから実行するようにした場合には、図5に示したステップS502−ステップS534の処理が再度行われ、ステップS526で第3のメッセージの解析が失敗したと判断される可能性が高く、ステップS502−ステップS534の処理が無駄となる。第3のメッセージの解析ができない場合にパスフレーズの入力を促すことによって、無駄な再接続処理を削減できるとともに、ユーザへパスフレーズの入力を促すことによって接続処理が失敗したことを早く通知できる。   By executing the process from prompting the user to input a passphrase when the third message cannot be analyzed, it is possible to reduce the reconnection process that is likely to fail again. 4 way handshake between the communication device 200 and the second communication device 200 can be successful. If the analysis of the third message cannot be performed and scanning is performed from scanning of neighboring access points, the processing in steps S502 to S534 shown in FIG. 5 is performed again, and the third processing is performed in step S526. There is a high possibility that it is determined that the analysis of the message has failed, and the processing in steps S502 to S534 is wasted. By prompting the user to input a passphrase when the third message cannot be analyzed, wasteful reconnection processing can be reduced, and prompting the user to input a passphrase can quickly notify that the connection processing has failed.

つまり、メッセージの解析ができないと判断されたメッセージに基づいて、再接続処理を行った場合に成功する確率が高いと想定される場合には再接続処理を行う、再接続処理を行った場合に成功する確率が低いと想定される場合には再接続処理を行わない。これによって、無駄な再接続処理を削減できるとともに消費電力を低減できる。   In other words, when reconnection processing is performed based on a message that is determined not to be able to be analyzed, the reconnection processing is performed when the reconnection processing is assumed to have a high probability of success. If it is assumed that the probability of success is low, the reconnection process is not performed. As a result, wasteful reconnection processing can be reduced and power consumption can be reduced.

<変形例>
図6は、無線通信システムの一変形例を示す。 <Modification>
FIG. 6 shows a modification of the wireless communication system.

無線通信システムの一変形例では、スマートフォンやPCなどの無線LAN機器に第1の通信装置100が適用され、無線LAN機能を搭載したデジタルカメラなどの小型機器に第2の通信装置200が適用される。小型機器は、アクセスポイント機能を有する。   In a modification of the wireless communication system, the first communication device 100 is applied to a wireless LAN device such as a smartphone or a PC, and the second communication device 200 is applied to a small device such as a digital camera equipped with a wireless LAN function. The The small device has an access point function.

第1の通信装置100は、第2の通信装置200のHD208などのストレージに格納された写真を取得することができる。   The first communication device 100 can acquire a photo stored in a storage such as the HD 208 of the second communication device 200.

第2の通信装置200の一変形例では、省電力のために、接続できるクライアントの数を1台に制限するのが好ましい。   In a modification of the second communication device 200, it is preferable to limit the number of clients that can be connected to one for power saving.

図6は、無線通信システムの動作の一変形例を示す。   FIG. 6 shows a modification of the operation of the wireless communication system.

ステップS602では、第1の通信装置100の鍵交換部308は、接続処理要求を行う。ここで、接続処理要求によって、第1の通信装置100、及び第2の通信装置200の間で行われる処理は、図5を参照して説明したステップS504−ステップS534の処理を適用できる。   In step S602, the key exchange unit 308 of the first communication device 100 makes a connection processing request. Here, the processing of step S504 to step S534 described with reference to FIG. 5 can be applied to the processing performed between the first communication device 100 and the second communication device 200 in response to the connection processing request.

ステップS604では、ステップS602で作成された接続処理要求は、送受信部302から第2の通信装置200へ送信される。   In step S <b> 604, the connection processing request created in step S <b> 602 is transmitted from the transmission / reception unit 302 to the second communication device 200.

ステップS606では、第2の通信装置200の接続処理部410は、第1の通信装置100から送信される接続処理要求に応じて、接続処理を行う。   In step S606, the connection processing unit 410 of the second communication device 200 performs connection processing in response to the connection processing request transmitted from the first communication device 100.

ステップS608では、第2の通信装置200の接続処理部410は、接続処理の結果を表す情報を付帯した接続処理応答を作成する。   In step S608, the connection processing unit 410 of the second communication device 200 creates a connection processing response accompanied with information indicating the result of the connection processing.

ステップS610では、第2の通信装置200の送受信部402は、第1の通信装置100へ接続処理応答を送信する。   In step S <b> 610, the transmission / reception unit 402 of the second communication device 200 transmits a connection process response to the first communication device 100.

ステップS612では、第1の通信装置100の接続処理部310は、第2の通信装置200から送信された接続処理応答を解析する。   In step S612, the connection processing unit 310 of the first communication device 100 analyzes the connection processing response transmitted from the second communication device 200.

ステップS614では、第1の通信装置100の接続処理部310は、接続処理が成功したか否かを判定する。   In step S614, the connection processing unit 310 of the first communication device 100 determines whether the connection process is successful.

ステップS616では、第1の通信装置100の接続処理部310は、接続処理が成功した場合、第2の通信装置200との間で通信を行うように送受信部302を制御する。   In step S616, the connection processing unit 310 of the first communication device 100 controls the transmission / reception unit 302 to perform communication with the second communication device 200 when the connection processing is successful.

ステップS618では、第1の通信装置100の接続処理部310は、接続処理が成功しない場合、パスフレーズの入力を促す画面をディスプレイ120に表示する。ユーザによってパスフレーズが入力された場合、該パスフレーズからPMKを再度生成し、ステップS602に適用できるステップS502からの処理を再度実行する。   In step S618, the connection processing unit 310 of the first communication device 100 displays on the display 120 a screen that prompts input of a passphrase if the connection processing is not successful. When a passphrase is input by the user, a PMK is generated again from the passphrase, and the process from step S502 applicable to step S602 is executed again.

ステップS620では、第2の通信装置200の接続処理部410は、接続処理が成功したか否かを判定する。   In step S620, the connection processing unit 410 of the second communication device 200 determines whether the connection process is successful.

ステップS622では、第2の通信装置200の接続処理部410は、接続処理が成功しなかった場合、ビーコンフレームを送信を停止するように送受信部402を制御する。   In step S622, the connection processing unit 410 of the second communication device 200 controls the transmission / reception unit 402 to stop transmitting the beacon frame when the connection process is not successful.

ステップS624では、第2の通信装置200の接続処理部410は、接続処理が成功した場合、第1の通信装置100との間で通信を行うように送受信部402を制御する。   In step S624, the connection processing unit 410 of the second communication device 200 controls the transmission / reception unit 402 to perform communication with the first communication device 100 when the connection processing is successful.

第1の通信装置100は、先に失敗した接続処理で既にアクセスポイントなどから第2の通信装置200の存在を知っているので、第2の通信装置200からビーコンフレームの発信を停止しても、再接続処理を実施できる。これにより、第1の通信装置100、及び第2の通信装置200の双方について省エネを図ることができる。   Since the first communication device 100 already knows the existence of the second communication device 200 from the access point or the like in the connection process that has failed previously, even if transmission of the beacon frame from the second communication device 200 is stopped, The reconnection process can be performed. Thereby, energy saving can be aimed at about both the 1st communication apparatus 100 and the 2nd communication apparatus 200. FIG.

本発明は特定の実施例、変形例を参照しながら説明されてきたが、各実施例、変形例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウエアで又はそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。   Although the present invention has been described with reference to specific embodiments and modifications, each embodiment and modification is merely an example, and those skilled in the art will recognize various modifications, modifications, alternatives, substitutions, and the like. Will understand. For convenience of explanation, an apparatus according to an embodiment of the present invention has been described using a functional block diagram, but such an apparatus may be implemented in hardware, software, or a combination thereof. The present invention is not limited to the above-described embodiments, and various variations, modifications, alternatives, substitutions, and the like are included without departing from the spirit of the present invention.

100 第1の通信装置
102 CPU
104 ROM
106 RAM
108 HD
110 HDD
112 CD−ROM
114 CD−ROMドライブ
116 記録メディア
118 メディアドライブ
120 ディスプレイ
122 マウス
124 キーボード
126 無線部
128 アンテナ
200 第2の通信装置
202 CPU
204 ROM
206 RAM
208 HD
210 HDD
212 無線部
214 アンテナ
302 送受信部
304 認証処理部
306 鍵更新管理部
308 鍵交換部
310 接続処理部
312 記憶部
314 記憶・読出処理部
316 暗号化部
318 復号部
402 送受信部
404 認証処理部
406 鍵更新管理部
408 鍵交換部
410 接続処理部
412 記憶部
414 記憶・読出処理部
416 暗号化部
418 復号部 100 1st communication apparatus 102 CPU
104 ROM
106 RAM
108 HD
110 HDD
112 CD-ROM
114 CD-ROM drive 116 Recording medium 118 Media drive 120 Display 122 Mouse 124 Keyboard 126 Radio unit 128 Antenna 200 Second communication device 202 CPU
204 ROM
206 RAM
208 HD
210 HDD
212 Radio Unit 214 Antenna 302 Transmit / Receive Unit 304 Authentication Processing Unit 306 Key Update Management Unit 308 Key Exchange Unit 310 Connection Processing Unit 312 Storage Unit 314 Storage / Read Processing Unit 316 Encryption Unit 318 Decryption Unit 402 Transmission / Reception Unit 404 Authentication Processing Unit 406 Key Update management unit 408 Key exchange unit 410 Connection processing unit 412 Storage unit 414 Storage / reading processing unit 416 Encryption unit 418 Decryption unit

特開平11−341103号公報JP 11-341103 A

Claims (4)

アクセスポイントとの間で共有される事前共有キーからマスターキーを生成し、前記アクセスポイントとの間でリンクが確立された後、4ウェイハンドシェイクで暗号鍵を生成してネットワークに接続する通信装置であって、
前記アクセスポイントとの間で4ウェイハンドシェイクにより接続処理を行う際に、前記アクセスポイントから送信される複数のメッセージを受信する受信部と、
前記受信部によって受信される複数のメッセージを解析するメッセージ解析部と、
前記メッセージ解析部によるメッセージの解析結果に基づいて、接続処理が失敗していると判断した場合に前記アクセスポイントとの間で再接続処理を行う接続処理部と
を有し、
前記接続処理部は、前記メッセージ解析部により解析することができず、前記接続処理が失敗していると判断されるメッセージが、前記アクセスポイントとの間で交換された乱数と前記マスターキーとを組み合わせて生成されたテンポラリーキーを導入することを表す情報を付帯したメッセージである場合に、前記アクセスポイントとの間で再接続処理を行わないと判断するとともに、ユーザに事前共有キーの入力を求める通知を行い、ユーザにより入力された事前共有キーに基づいて前記マスターキーを生成する、通信装置。 A communication device that generates a master key from a pre-shared key shared with an access point, generates an encryption key by a four-way handshake after a link is established with the access point, and connects to the network Because
A receiver that receives a plurality of messages transmitted from the access point when performing connection processing with the access point by a 4-way handshake ;
A message analyzer for analyzing a plurality of messages received by the receiver;
A connection processing unit that performs reconnection processing with the access point when it is determined that connection processing has failed based on the analysis result of the message by the message analysis unit,
The connection processing unit cannot be analyzed by the message analysis unit, and a message determined that the connection processing has failed is a random number exchanged with the access point and the master key. When the message is accompanied by information indicating introduction of a temporary key generated in combination, it is determined that reconnection processing is not performed with the access point, and the user is requested to input a pre-shared key. A communication device that performs notification and generates the master key based on a pre-shared key input by a user . 前記アクセスポイントに認証を要求する認証処理部
を有し、
前記受信部は、前記アクセスポイントによって前記通信装置が認証された場合に、前記アクセスポイントから送信されるメッセージを受信する、請求項1に記載の通信装置。 An authentication processing unit for requesting authentication from the access point;
The communication device according to claim 1, wherein the reception unit receives a message transmitted from the access point when the communication device is authenticated by the access point. アクセスポイントとの間で共有される事前共有キーからマスターキーを生成し、前記アクセスポイントとの間でリンクが確立された後、4ウェイハンドシェイクで暗号鍵を生成してネットワークに接続する通信装置が実行する通信方法であって、
前記アクセスポイントとの間で4ウェイハンドシェイクにより接続処理を行う際に、前記アクセスポイントから送信される複数のメッセージを受信し、
前記複数のメッセージを解析し、
前記メッセージを解析することができず、前記接続処理が失敗していると判断されるメッセージが、前記アクセスポイントとの間で交換された乱数と前記マスターキーとを組み合わせて生成されたテンポラリーキーを導入することを表す情報を付帯したメッセージである場合に、前記アクセスポイントとの間で再接続処理を行わないと判断するとともに、ユーザに事前共有キーの入力を求める通知を行い、ユーザにより入力された事前共有キーに基づいて前記マスターキーを生成する、通信方法。 A communication device that generates a master key from a pre-shared key shared with an access point, generates an encryption key by a four-way handshake after a link is established with the access point, and connects to the network Is a communication method executed by
When a connection process is performed with the access point by a 4-way handshake , a plurality of messages transmitted from the access point are received,
Analyzing the plurality of messages;
The message that cannot be analyzed and the connection process is judged to have failed is a temporary key generated by combining the random number exchanged with the access point and the master key. When it is a message accompanying information indicating introduction, it is determined that reconnection processing is not performed with the access point, and the user is prompted to input a pre-shared key and is input by the user. A communication method for generating the master key based on a pre-shared key . 請求項1または2に記載の通信装置における各機能をコンピュータに実行させるためのプログラム。 The program for making a computer perform each function in the communication apparatus of Claim 1 or 2 .
JP2014113776A 2014-06-02 2014-06-02 COMMUNICATION DEVICE, PROGRAM, AND COMMUNICATION METHOD Expired - Fee Related JP6384127B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014113776A JP6384127B2 (en) 2014-06-02 2014-06-02 COMMUNICATION DEVICE, PROGRAM, AND COMMUNICATION METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014113776A JP6384127B2 (en) 2014-06-02 2014-06-02 COMMUNICATION DEVICE, PROGRAM, AND COMMUNICATION METHOD

Publications (2)

Publication Number Publication Date
JP2015228598A JP2015228598A (en) 2015-12-17
JP6384127B2 true JP6384127B2 (en) 2018-09-05

Family

ID=54885835

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014113776A Expired - Fee Related JP6384127B2 (en) 2014-06-02 2014-06-02 COMMUNICATION DEVICE, PROGRAM, AND COMMUNICATION METHOD

Country Status (1)

Country Link
JP (1) JP6384127B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6723608B2 (en) * 2017-06-28 2020-07-15 サイレックス・テクノロジー株式会社 Wireless base station device, wireless communication system, and communication control method

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001007803A (en) * 1999-06-18 2001-01-12 Nec Corp Method and device for automatically detecting improper operation in automatic key exchange protocol
US7561891B2 (en) * 2004-11-05 2009-07-14 Research In Motion Limited Customization of data session retry mechanism in a wireless packet data service network
JP2007208816A (en) * 2006-02-03 2007-08-16 Ricoh Co Ltd Radio lan system, radio lan device, radio lan communication authentication method, and program
WO2009022397A1 (en) * 2007-08-10 2009-02-19 Panasonic Corporation Radio terminal, network connection method, and program
JP5397090B2 (en) * 2009-08-25 2014-01-22 富士通モバイルコミュニケーションズ株式会社 Portable terminal device and wireless LAN connection method
JP2013150177A (en) * 2012-01-19 2013-08-01 Canon Inc Image processing system and control method therefor

Also Published As

Publication number Publication date
JP2015228598A (en) 2015-12-17

Similar Documents

Publication Publication Date Title
US10812256B2 (en) Method, apparatus, and system for performing an establishment of a security context between user equipment and an access node
US11531505B2 (en) Non-transitory computer-readable medium storing computer-readable instructions for terminal device and terminal device
US10963198B2 (en) Communication apparatus that provides a communication parameter and method of controlling the same
EP2827630B1 (en) Systems and methods of performing link setup and authentication
EP1868314B1 (en) Communication apparatus and method thereof
JP2018521566A (en) Distributed configurator entity
US10798082B2 (en) Network authentication triggering method and related device
US20110075186A1 (en) Image processing apparatus, method performed by image processing apparatus, program product, and recording medium therefor
JP2014526841A (en) Wireless communication with parallel re-authentication and connection setup
US20240048976A1 (en) Non-transitory computer-readable medium storing computer-readable instructions for terminal device and communication device
JP2007088727A (en) Device, wireless lan setting system, and wireless lan setting method
US11350358B2 (en) Communication device and non-transitory computer-readable medium storing computer-readable instructions for communication device
US11395137B2 (en) Communication device and non-transitory computer-readable recording medium storing computer-readable instructions for communication device
US20230397003A1 (en) Communication Device and Non-Transitory Computer-Readable Recording Medium Storing Computer-Readable Instructions for Communication Device
US9106421B1 (en) Securing communications over a first communication link with encryption managed by a second communication link
US20220022034A1 (en) Communication apparatus, communication method, program, and storage medium
US20210282011A1 (en) Communication apparatus, control method, and storage medium
JP6384127B2 (en) COMMUNICATION DEVICE, PROGRAM, AND COMMUNICATION METHOD
JP2017046025A (en) Radio network setting system, communication terminal, and radio network setting method
WO2020090443A1 (en) Communication device, control method, and program
JP6486228B2 (en) Communication apparatus, control method, and program
WO2023053699A1 (en) Communication device, control method, and communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180710

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180723

R151 Written notification of patent or utility model registration

Ref document number: 6384127

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees