JP7353433B2 - Communication device, control method and program - Google Patents

Communication device, control method and program Download PDF

Info

Publication number
JP7353433B2
JP7353433B2 JP2022115050A JP2022115050A JP7353433B2 JP 7353433 B2 JP7353433 B2 JP 7353433B2 JP 2022115050 A JP2022115050 A JP 2022115050A JP 2022115050 A JP2022115050 A JP 2022115050A JP 7353433 B2 JP7353433 B2 JP 7353433B2
Authority
JP
Japan
Prior art keywords
mobile device
authentication
information
configurator
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022115050A
Other languages
Japanese (ja)
Other versions
JP2022141827A (en
Inventor
篤志 皆川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2018082463A external-priority patent/JP7109243B2/en
Application filed by Canon Inc filed Critical Canon Inc
Publication of JP2022141827A publication Critical patent/JP2022141827A/en
Application granted granted Critical
Publication of JP7353433B2 publication Critical patent/JP7353433B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Description

本発明は、通信装置、通信装置の制御方法及びプログラムに関する。 The present invention relates to a communication device, a method of controlling the communication device, and a program.

近年、デジタルカメラ、プリンタ、携帯機器、スマートフォンなどの無線通信機能が搭載された電子機器を無線ネットワークに接続して使用するケースが増えている。電子機器を無線ネットワークに接続するには、暗号方式、暗号鍵、認証方式、認証鍵等のさまざまな通信パラメータを設定する必要がある。これらの通信パラメータの設定を容易にする技術として、QRコード(登録商標)等を用いた通信パラメータの設定プロトコル(Wi-Fi Device Provisioning Protocol、以下DPPと称する)が策定されている(非特許文献1)。 In recent years, there has been an increase in the number of cases in which electronic devices equipped with wireless communication functions, such as digital cameras, printers, mobile devices, and smartphones, are connected to wireless networks and used. In order to connect an electronic device to a wireless network, it is necessary to set various communication parameters such as an encryption method, an encryption key, an authentication method, and an authentication key. As a technology to facilitate the setting of these communication parameters, a communication parameter setting protocol (Wi-Fi Device Provisioning Protocol, hereinafter referred to as DPP) using QR code (registered trademark) etc. has been formulated (non-patent literature). 1).

非特許文献1のDPPでは、コンフィギュレータがアクセスポイントに対して、コンフィギュレータの秘密鍵と公開鍵のペアを用いて、無線ネットワークを形成するための通信パラメータを設定する。また、非特許文献1では、エンローリに対しても、アクセスポイントの設定に用いたコンフィギュレータの秘密鍵と公開鍵のペアを用いて、アクセスポイントに接続するための通信パラメータを提供する。ここで、アクセスポイントに接続させたいエンローリの数が多い場合、そのアクセスポイントに接続するための通信パラメータを提供可能なコンフィギュレータが複数存在すると、通信パラメータの配布処理効率が上がるため、ユーザの利便性が向上する。 In the DPP of Non-Patent Document 1, a configurator sets communication parameters for forming a wireless network for an access point using a pair of a private key and a public key of the configurator. Furthermore, in Non-Patent Document 1, communication parameters for connecting to the access point are provided to the enrollee using a pair of a private key and a public key of the configurator used to set up the access point. If there are a large number of enrollees that you want to connect to an access point, if there are multiple configurators that can provide communication parameters for connecting to that access point, the efficiency of distributing communication parameters will increase, which will improve user convenience. will improve.

Wi-Fi Alliance, Wi-Fi Device Provisioning Protocol (DPP) DRAFT Technical Specification v0.0.35Wi-Fi Alliance, Wi-Fi Device Provisioning Protocol (DPP) DRAFT Technical Specification v0.0.35

コンフィギュレータが、エンローリに提供する通信パラメータの暗号化と復号に用いる秘密鍵と公開鍵のペアは、ネットワークごとに一意となる。これは、アクセスポイントが、ネットワーク設定時に提供されたコンフィギュレータの公開鍵を用いて無線端末の送信した接続要求に含まれる通信パラメータを復号できた場合にのみ接続を受け付けるためである。よって、アクセスポイントの設定に使用されたコンフィギュレータの秘密鍵と公開鍵のペアを用いて提供された通信パラメータを保持するエンローリのみが、そのアクセスポイントに接続することができる。そのため、ある装置が他のコンフィギュレータによって設定が完了しているアクセスポイントに接続するための通信パラメータを提供するためには、その設定に用いたコンフィギュレータの秘密鍵と公開鍵のペアを取得する必要があった。 The private key/public key pair used by the configurator to encrypt and decrypt the communication parameters provided to the enrollee is unique for each network. This is because the access point accepts a connection only if it is able to decrypt the communication parameters included in the connection request sent by the wireless terminal using the configurator's public key provided at the time of network setup. Therefore, only enrollees that hold the communication parameters provided using the configurator's private and public key pair used to configure the access point can connect to that access point. Therefore, in order to provide communication parameters for a device to connect to an access point that has been configured by another configurator, it is necessary to obtain the private key and public key pair of the configurator used for the configuration. there were.

非特許文献1では、コンフィギュレータの秘密鍵と公開鍵のペアを複数の電子機器でシェアするために、外部の記憶媒体(例えば、USBメモリまた無線ストレージ)を用いることが記載されている。しかしながら、この方法では、通信パラメータの設定に用いられる固有の情報であるコンフィギュレータの秘密鍵と公開鍵を、一旦外部の記憶媒体に格納し、他の電子機器でこれらを読み出すという手間が生じる。 Non-Patent Document 1 describes the use of an external storage medium (for example, a USB memory or wireless storage) in order to share a pair of a configurator's private key and public key among multiple electronic devices. However, with this method, the configurator's private key and public key, which are unique information used to set communication parameters, are temporarily stored in an external storage medium and then read out by another electronic device.

本発明は、通信パラメータの設定に用いられた固有の情報を他の装置に提供する際の手間を簡略化することを目的とする。 An object of the present invention is to simplify the effort required to provide other devices with unique information used to set communication parameters.

本発明の一態様による通信装置は、Device Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す第一情報を含むフレームを外部装置から受信すると、Device Provisioning Protocolにおいて定義されるコンフィギュレータに関する情報である第二情報を前記外部装置へ提供する提供手段を有し、前記外部装置は前記提供手段で提供された第二情報に基づいてコンフィグレータとして機能する。
When a communication device according to one aspect of the present invention receives a frame including first information indicating the role of a configurator defined in the Device Provisioning Protocol from an external device, the communication device receives second information that is information regarding the configurator defined in the Device Provisioning Protocol. and providing means for providing the second information to the external device, and the external device functions as a configurator based on the second information provided by the providing means.

本発明によれば、通信パラメータの設定に用いられた固有の情報を他の装置に提供する際の手間が簡略化される。 According to the present invention, the effort required to provide unique information used for setting communication parameters to another device is simplified.

実施形態における通信システムの構成例を示す図。FIG. 1 is a diagram illustrating a configuration example of a communication system in an embodiment. 実施形態における携帯機器の構成例を示すブロック図。FIG. 1 is a block diagram showing a configuration example of a mobile device in an embodiment. 携帯機器による通信パラメータ提供処理を表すフローチャート。5 is a flowchart showing communication parameter provision processing by a mobile device. 携帯機器とアクセスポイントの間の通信パラメータ提供処理を表すシーケンス図。FIG. 3 is a sequence diagram showing communication parameter provision processing between a mobile device and an access point. プリンタとアクセスポイントの無線接続処理を表すシーケンス図。FIG. 3 is a sequence diagram showing wireless connection processing between a printer and an access point. 第1実施形態による鍵ペアの共有処理を表すシーケンス図。FIG. 3 is a sequence diagram illustrating key pair sharing processing according to the first embodiment. 第1実施形態における携帯機器101の動作を表すフローチャート。A flowchart showing the operation of the mobile device 101 in the first embodiment. 第1実施形態における携帯機器102の動作を表すフローチャート。A flowchart showing the operation of the mobile device 102 in the first embodiment. 第1実施形態における鍵ペアの共有処理の他の例を表すシーケンス図。FIG. 7 is a sequence diagram illustrating another example of the key pair sharing process in the first embodiment. 第1実施形態における鍵ペアの共有処理の他の例を表すシーケンス図。FIG. 7 is a sequence diagram illustrating another example of the key pair sharing process in the first embodiment. 第1実施形態による鍵ペアの共有処理を表すシーケンス図。FIG. 3 is a sequence diagram illustrating key pair sharing processing according to the first embodiment. 第2実施形態における携帯機器101の動作を表すフローチャート。A flowchart showing the operation of the mobile device 101 in the second embodiment. 第2実施形態における携帯機器102の動作を表すフローチャート。7 is a flowchart showing the operation of the mobile device 102 in the second embodiment. 第3実施形態による鍵ペアの共有処理を表すシーケンス図。FIG. 7 is a sequence diagram showing key pair sharing processing according to the third embodiment. 第3実施形態における携帯機器101の動作を表すフローチャート。10 is a flowchart showing the operation of the mobile device 101 in the third embodiment. 第3実施形態における携帯機器102の動作を表すフローチャート。10 is a flowchart showing the operation of the mobile device 102 in the third embodiment.

以下に、添付図面に従って本発明に係る各実施形態を説明する。ただし、本発明の技術範囲は、特許請求の範囲によって確定されるのであって、以下の個別の実施形態によって限定されるものではない。 EMBODIMENT OF THE INVENTION Below, each embodiment based on this invention is described with reference to an accompanying drawing. However, the technical scope of the present invention is determined by the claims, and is not limited by the following individual embodiments.

<第1実施形態>
図1に、第1実施形態における通信システムの構成例を示す。 <First embodiment>
FIG. 1 shows a configuration example of a communication system in the first embodiment.

携帯機器101は、無線LAN機能を有し、例えば、DPPに規定されるコンフィギュレータとして動作する。携帯機器101は、アクセスポイント103に対して無線ネットワーク104を形成するための通信パラメータを提供することができる。ここで、通信パラメータには、ネットワーク識別子としてのSSID(Service Set Identifier)、暗号方式、暗号鍵、認証方式等の、無線通信を行うために必要な設定項目が含まれる。なお、コンフィギュレータである携帯機器101の提供する通信パラメータは、携帯機器101の保持するコンフィギュレータ専用の秘密鍵によって暗号化される。携帯機器101は、アクセスポイント103の設定に用いたコンフィギュレータ専用の秘密鍵と公開鍵のペア(以下、鍵ペアと称する)を携帯機器102に渡すことができる。 The mobile device 101 has a wireless LAN function and operates, for example, as a configurator defined by DPP. Mobile device 101 can provide communication parameters for forming wireless network 104 to access point 103 . Here, the communication parameters include setting items necessary for performing wireless communication, such as an SSID (Service Set Identifier) as a network identifier, an encryption method, an encryption key, and an authentication method. Note that the communication parameters provided by the mobile device 101, which is the configurator, are encrypted using a private key held by the mobile device 101 and exclusive to the configurator. The mobile device 101 can pass to the mobile device 102 a pair of a configurator-dedicated private key and a public key (hereinafter referred to as a key pair) used to configure the access point 103.

携帯機器102は、無線LAN機能を有し、例えば、DPPに規定されるコンフィギュレータまたはエンローリとして動作する。携帯機器102は、エンローリとして動作して携帯機器101からコンフィギュレータ専用の鍵ペアを取得し、無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして動作することができる。 The mobile device 102 has a wireless LAN function, and operates, for example, as a configurator or enrollee defined by the DPP. The mobile device 102 can operate as an enrollee, obtain a configurator-specific key pair from the mobile device 101, and operate as a configurator that provides communication parameters for connecting to the wireless network 104.

アクセスポイント103は、例えばDPPに規定されるアクセスポイントとして動作する。また、アクセスポイント103はエンローリとして動作し、コンフィギュレータである携帯機器101から通信パラメータを取得することで無線ネットワーク104を形成することができる。プリンタ105およびプリンタ106は、無線LAN機能を有し、例えばDPPに規定されるエンローリとして動作する。プリンタ105およびプリンタ106は、コンフィギュレータである携帯機器101もしくは携帯機器102から暗号化された通信パラメータを取得し、これを復号して用いることで、無線ネットワーク104に接続することができる。 The access point 103 operates, for example, as an access point defined by DPP. Furthermore, the access point 103 operates as an enrollee and can form a wireless network 104 by acquiring communication parameters from the mobile device 101, which is a configurator. The printer 105 and the printer 106 have a wireless LAN function and operate as, for example, an enrollee defined by the DPP. Printer 105 and printer 106 can connect to wireless network 104 by acquiring encrypted communication parameters from mobile device 101 or mobile device 102, which is a configurator, and decrypting and using the communication parameters.

なお、本実施形態の携帯機器としては、携帯電話、デジタルカメラ、ビデオカメラ、PC、PDA、スマートフォン、スマートウォッチなどの電子機器があげられるがこれらに限られるものではない。また、本実施形態では、無線ネットワークに接続される電子機器として携帯機器とプリンタを用いて説明を行うがこれらに限られるものではなく、無線ネットワークに接続が可能な電子機器であればよく、携帯型でなくてもよい。また、本実施形態におけるアクセスポイントは、DPPに規定されるアクセスポイントとして動作するとともに特定の機能をもつ電子機器(プリンタやデジタルカメラなど)であってもよい。 Note that the portable devices of this embodiment include, but are not limited to, electronic devices such as mobile phones, digital cameras, video cameras, PCs, PDAs, smartphones, and smart watches. Further, in this embodiment, explanation will be given using a mobile device and a printer as electronic devices connected to a wireless network, but the device is not limited to these, and any electronic device that can connect to a wireless network may be used. It doesn't have to be a type. Further, the access point in this embodiment may be an electronic device (such as a printer or a digital camera) that operates as an access point defined by the DPP and has specific functions.

図2は、本実施形態における携帯機器101および携帯機器102の機能構成例を示すブロック図である。図2に示される各機能部は、コンピュータ(プロセッサ)が、メモリに格納されたプログラムを実行することにより実現される。ただし、各機能の一部またはすべてが専用のハードウェアにより実現されてもよい。 FIG. 2 is a block diagram showing an example of the functional configuration of the mobile device 101 and the mobile device 102 in this embodiment. Each functional unit shown in FIG. 2 is realized by a computer (processor) executing a program stored in a memory. However, part or all of each function may be realized by dedicated hardware.

図2において、無線通信制御部201は、無線LANを介して他の無線装置との間で無線信号の送受信を行うための、アンテナおよび回路等を用いた通信を制御する。送受信部202は、各通信レイヤのプロトコルに応じたデータの送受信制御を行う。操作部203は、ユーザが携帯機器101を操作するために用いられる。操作部203には撮像部207を起動するためのボタン等が含まれる。なお、操作部203はハードウェアで構成されていてもよいし、ソフトウェアにより表示部204を用いて提供されるUIで構成されてもよい。表示部204は、LCDやLED、あるいはスピーカのように視覚・聴覚で認知可能な情報を出力するなど、各種表示処理を行う。 In FIG. 2, a wireless communication control unit 201 controls communication using an antenna, a circuit, etc. for transmitting and receiving wireless signals to and from other wireless devices via a wireless LAN. The transmitting/receiving unit 202 controls transmitting and receiving data according to the protocol of each communication layer. The operation unit 203 is used by the user to operate the mobile device 101. The operation unit 203 includes a button for starting the imaging unit 207 and the like. Note that the operation unit 203 may be configured with hardware, or may be configured with a UI provided by software using the display unit 204. The display unit 204 performs various display processes such as outputting information that can be recognized visually and audibly using an LCD, LED, or speaker.

制御部205は、携帯機器101全体を制御する。記憶部206は、携帯機器101を制御するためのプログラムやデータが格納されたROMと、一時的な記憶を司るRAMとを備えている。後述する各種動作は、記憶部206に記憶された制御プログラムを不図示のCPUが実行して、制御部205などの機能部を実現することにより行われる。 The control unit 205 controls the entire mobile device 101. The storage unit 206 includes a ROM that stores programs and data for controlling the mobile device 101, and a RAM that performs temporary storage. Various operations to be described later are performed by a CPU (not shown) executing a control program stored in the storage unit 206 to implement functional units such as the control unit 205.

撮像部207は、撮像素子、レンズ等を含み、静止画や動画の撮影を行う。画像処理部208は、撮像部207で撮影された画像等の画像処理を行う。また、画像処理部208は、撮像部207により撮影されたQRコードの画像を解析し、符号化された情報を復号してその情報(QRコード情報)を取得する。コード生成部209は、QRコード情報を生成し、生成したQRコード情報をQRコード(画像)として表示部204へ表示するための制御を行う。なお、本実施形態では、コード情報の画像としてQRコードを用いたがこれに限られるものではなく、バーコード、二次元コードなどが用いられてもよい。 The imaging unit 207 includes an imaging element, a lens, and the like, and captures still images and videos. The image processing unit 208 performs image processing on images captured by the imaging unit 207 and the like. Further, the image processing unit 208 analyzes the QR code image photographed by the imaging unit 207, decodes the encoded information, and obtains the information (QR code information). The code generation unit 209 generates QR code information and performs control to display the generated QR code information as a QR code (image) on the display unit 204. Note that in this embodiment, a QR code is used as an image of code information, but the present invention is not limited to this, and a bar code, a two-dimensional code, etc. may also be used.

通信パラメータ処理部210は、無線ネットワーク104に接続するための通信パラメータの提供や取得を行うための処理を行う。役割判定部211は、通信パラメータの送受信を行う相手機器の役割を判定する。本実施形態では、判定される役割の種類として、通信パラメータを提供する「コンフィギュレータ」、通信パラメータを取得する「エンローリ」などが存在するが、これらに限らない。例えば、コンフィギュレータ専用の鍵ペアを提供する役割や、コンフィギュレータ専用の鍵ペアを取得する役割が存在してもよい。 The communication parameter processing unit 210 performs processing for providing and acquiring communication parameters for connecting to the wireless network 104. The role determining unit 211 determines the role of the partner device that transmits and receives communication parameters. In this embodiment, types of roles to be determined include "configurator" that provides communication parameters, "enrollee" that obtains communication parameters, etc., but are not limited to these. For example, there may be a role of providing a key pair exclusive to the configurator or a role of acquiring a key pair exclusive to the configurator.

鍵共有処理部212は、アクセスポイント103への通信パラメータの提供に用いた秘密鍵と公開鍵のペア(鍵ペア)を、他の装置との間で共有するための処理を行う。鍵共有処理部212は、鍵共有を行うためのユーザからの指示受信や相手装置からの共有要求の許可を受け付けて、鍵共有処理を実行する。 The key sharing processing unit 212 performs processing for sharing a private key/public key pair (key pair) used for providing communication parameters to the access point 103 with other devices. The key sharing processing unit 212 executes key sharing processing upon receiving an instruction from a user for performing key sharing and permission for a sharing request from a partner device.

なお、上記機能ブロックは一例であり、複数の機能ブロックが1つの機能ブロックを構成するようにしてもよいし、何れかの機能ブロックが更に複数の機能を行うブロックに分かれてもよい。 Note that the above functional blocks are merely examples, and a plurality of functional blocks may constitute one functional block, or any functional block may be further divided into blocks that perform a plurality of functions.

次に、DPP規格で規定された通信パラメータの提供処理に関して、図3、図4を用いて説明する。また、DPP規格で規定されたアクセスポイントへの接続処理に関して、図5を用いて説明する。 Next, the process of providing communication parameters defined by the DPP standard will be explained using FIGS. 3 and 4. Further, connection processing to an access point defined by the DPP standard will be explained using FIG. 5.

まず、コンフィギュレータである携帯機器101が、アクセスポイント103に無線ネットワーク104を形成させるために、また、プリンタ105を無線ネットワーク104へ接続させるために、通信パラメータを提供する処理について述べる。図3は、コンフィギュレータである携帯機器101が、エンローリであるアクセスポイント103に通信パラメータを提供する処理を示すフローチャートである。 First, a process in which the mobile device 101, which is a configurator, provides communication parameters in order to cause the access point 103 to form the wireless network 104 and to connect the printer 105 to the wireless network 104 will be described. FIG. 3 is a flowchart showing a process in which the mobile device 101, which is a configurator, provides communication parameters to the access point 103, which is an enrollee.

携帯機器101において、制御部205は、パラメータ提供の指示をユーザから受けると、アクセスポイント103の表示するQRコードを撮影するために撮像部207を起動する(S301)。そして、制御部205は、携帯機器101の撮像部207がQRコードを撮影したか否かを判定する(S302)。ここで、アクセスポイント103の表示するQRコードは、ディスプレイ等で表示されたものに限らず、電子機器の筺体や付属品に貼り付けられたラベル等に印刷されたものであってもよい。また、QRコードは、例えば説明書等に記載されたものでもよい。なお、S302にて、撮像部207の起動から所定の時間内にQRコードを撮影できなかった場合、通信パラメータの提供処理を終了してもよい。 In the mobile device 101, upon receiving an instruction to provide parameters from the user, the control unit 205 activates the imaging unit 207 to capture the QR code displayed by the access point 103 (S301). Then, the control unit 205 determines whether the imaging unit 207 of the mobile device 101 has photographed the QR code (S302). Here, the QR code displayed by the access point 103 is not limited to one displayed on a display or the like, but may be one printed on a label attached to the housing or accessory of an electronic device. Further, the QR code may be written on an instruction manual or the like, for example. Note that in S302, if the QR code cannot be photographed within a predetermined time from activation of the imaging unit 207, the communication parameter providing process may be terminated.

QRコードを撮影したと判定されると(S302でYES)、画像処理部208は撮像画像中のQRコードを復号し、アクセスポイント103の認証用の公開鍵を含むQRコード情報を取得する(S303)。次に、制御部205は、送受信部202、無線通信制御部201を用いて、アクセスポイント103に認証要求を送信する(S304)。この認証要求は、例えばDPP規格で規定されたDPP Authentication Requestフレームである。この認証要求には、認証に用いるための認証情報と、携帯機器101の識別情報、役割情報、乱数、共有鍵生成用の公開鍵が含まれる。 When it is determined that a QR code has been photographed (YES in S302), the image processing unit 208 decodes the QR code in the captured image and obtains QR code information including the public key for authentication of the access point 103 (S303). ). Next, the control unit 205 uses the transmitting/receiving unit 202 and the wireless communication control unit 201 to transmit an authentication request to the access point 103 (S304). This authentication request is, for example, a DPP Authentication Request frame defined by the DPP standard. This authentication request includes authentication information used for authentication, identification information of the mobile device 101, role information, a random number, and a public key for generating a shared key.

認証情報は、QRコードに含まれるアクセスポイント103の認証用の公開鍵のハッシュ値である。識別情報は、携帯機器101の認証用の公開鍵のハッシュ値である。役割情報は、携帯機器101の役割(コンフィギュレータまたはエンローリなど)を示す情報である。乱数は、後述する認証応答の受信時に、認証のために使用される。共有鍵生成用の公開鍵は、アクセスポイント103との間で生成される共有鍵の生成元となる鍵である。 The authentication information is a hash value of the public key for authentication of the access point 103 included in the QR code. The identification information is a hash value of the public key for authentication of the mobile device 101. Role information is information indicating the role of the mobile device 101 (configurator, enrollee, etc.). The random number is used for authentication when receiving an authentication response, which will be described later. The public key for generating a shared key is a key from which a shared key generated with the access point 103 is generated.

認証要求を受信したアクセスポイント103は、認証要求を送信した装置がQRコードを撮影した装置であるか否かを判定する。この判定は、認証要求に含まれている認証情報を用いて行われる。すなわち、アクセスポイント103が、表示したQRコードに含めた公開鍵のハッシュ値を計算し、計算されたハッシュ値と認証要求に含まれるハッシュ値(認証情報)とを比較し、両者が一致した場合に検証が成功したと判定する。なお、このときのハッシュ値の計算に用いられるハッシュ関数は、認証要求を送信する携帯機器101との間で予め合意されているものとする。 The access point 103 that has received the authentication request determines whether the device that sent the authentication request is the device that photographed the QR code. This determination is made using the authentication information included in the authentication request. In other words, the access point 103 calculates the hash value of the public key included in the displayed QR code, compares the calculated hash value with the hash value (authentication information) included in the authentication request, and if the two match. It is determined that the verification was successful. Note that it is assumed that the hash function used to calculate the hash value at this time has been agreed upon in advance with the mobile device 101 that transmits the authentication request.

認証要求に含まれている公開鍵は、後述するタグ情報などアクセスポイント103との間で送受信する情報を暗号化および復号するために用いられる共有鍵の生成元となる鍵である。コンフィギュレータである携帯機器101は、アクセスポイント103の共有鍵生成用の公開鍵(後述の認証応答に含まれている)と、携帯機器101の共有鍵生成用の秘密鍵の双方を用いて共有鍵を生成する。一方、エンローリであるアクセスポイント103は、携帯機器101の共有鍵生成用の公開鍵と、アクセスポイント103の共有鍵生成用の秘密鍵の双方を用いて共有鍵を生成する。共有鍵は、例えば、ECDH(Elliptic Curve Diffie-Hellman)方式に基づいて生成される。以下、共有鍵は、このECDH方式に基づいて生成されるものとするが、この方式に限定されるものではなく、その他の公開鍵暗号方式で生成してもよい。 The public key included in the authentication request is a key that is used to generate a shared key used to encrypt and decrypt information transmitted to and received from the access point 103, such as tag information, which will be described later. The mobile device 101, which is a configurator, uses both the access point 103's public key for generating a shared key (included in the authentication response described below) and the mobile device 101's private key for generating a shared key. generate. On the other hand, the access point 103, which is an enrollee, generates a shared key using both the public key for generating a shared key of the mobile device 101 and the private key for generating a shared key of the access point 103. The shared key is generated based on the ECDH (Elliptic Curve Diffie-Hellman) method, for example. Hereinafter, it is assumed that the shared key is generated based on this ECDH method, but the shared key is not limited to this method, and may be generated using other public key encryption methods.

S304にてアクセスポイント103に認証要求を送信した後、携帯機器101の制御部205は、アクセスポイント103から認証応答を受信するのを待つ(S305)。S304にて所定の時間内に認証応答を受信できなかった場合、通信パラメータの提供処理を終了する。 After transmitting the authentication request to the access point 103 in S304, the control unit 205 of the mobile device 101 waits to receive an authentication response from the access point 103 (S305). If the authentication response cannot be received within the predetermined time in S304, the communication parameter providing process ends.

認証応答は、例えばDPP規格で規定されたDPP Authentication Responseフレームである。この認証応答には、アクセスポイント103の共有鍵生成用の公開鍵、役割情報、乱数、タグ情報が含まれる。携帯機器101は、アクセスポイント103の共有鍵生成用の公開鍵と自身の共有鍵生成用の秘密鍵を用いて共有鍵を生成する。共有鍵の生成については上述したとおりである。 The authentication response is, for example, a DPP Authentication Response frame defined by the DPP standard. This authentication response includes a public key for generating a shared key of the access point 103, role information, a random number, and tag information. The mobile device 101 generates a shared key using the access point 103's public key for generating a shared key and its own private key for generating a shared key. The generation of the shared key is as described above.

また、タグ情報は、携帯機器101の送信した認証要求に含まれていた乱数であり、アクセスポイント103の共有鍵生成用の秘密鍵と、携帯機器101の共有鍵生成用の公開鍵の双方を用いて生成された共有鍵で暗号化されている。携帯機器101は、タグ情報を自身が生成した共有鍵で正しく復号できた場合に、認証に成功したと判定する。より具体的には、制御部205が、携帯機器101の共有鍵生成用の秘密鍵とアクセスポイント103の共有鍵生成用の公開鍵を用いて、アクセスポイント103が共有鍵を生成したのと同等の方法で共有鍵を生成し、その共有鍵を使ってタグ情報を検証する。制御部205は、自身が生成した共有鍵でタグ情報を復号できた場合に認証成功と判定し、復号できなかった場合に認証失敗と判定する。 Furthermore, the tag information is a random number included in the authentication request sent by the mobile device 101, and is used to identify both the private key for generating the shared key of the access point 103 and the public key for generating the shared key of the mobile device 101. It is encrypted using a shared key generated using The mobile device 101 determines that the authentication has been successful if the tag information can be correctly decrypted using the shared key generated by the mobile device 101. More specifically, the control unit 205 generates a shared key using the private key of the mobile device 101 and the public key of the access point 103 to generate a shared key. Generate a shared key using the method described below, and use that shared key to verify tag information. The control unit 205 determines that the authentication is successful when the tag information can be decrypted using the shared key that it has generated, and determines that the authentication has failed when the tag information cannot be decrypted.

図3において、認証応答を受信すると(S305でYES)、携帯機器101の制御部205は、認証応答の内容を検証する(S306)。上述のように、制御部205は、認証応答に含まれるタグ情報を用いて認証成功か否かを判定し、認証応答に含まれているアクセスポイント103の役割情報がエンローリを示すか否かを判定する。認証に失敗した、または、認証応答を送信したアクセスポイント103の役割がエンローリを示さないと判定された場合(S306でNO)、制御部205は、表示部204にエラーを示すメッセージを表示して(S310)、パラメータ提供処理を終了する。 In FIG. 3, upon receiving the authentication response (YES in S305), the control unit 205 of the mobile device 101 verifies the content of the authentication response (S306). As described above, the control unit 205 determines whether the authentication is successful using the tag information included in the authentication response, and determines whether the role information of the access point 103 included in the authentication response indicates an enrollee. judge. If it is determined that the authentication has failed or that the role of the access point 103 that sent the authentication response does not indicate enrollment (NO in S306), the control unit 205 displays a message indicating the error on the display unit 204. (S310), the parameter provision process ends.

認証成功と判定され、且つ、アクセスポイント103の役割がエンローリであると判定された場合(S306でYES)、制御部205は、アクセスポイント103へ認証確認を送信する(S307)。この認証確認は、例えばDPP規格で規定されたDPP Authentication Confirmフレームである。この認証確認は、タグ情報を含む。タグ情報は、アクセスポイント103が送信した認証応答に含まれていた乱数を制御部205が共有鍵によって暗号化したものである。携帯機器101の制御部205は、認証確認を送信後、エンローリであるアクセスポイント103から設定要求が送信されるのを待つ(S308)。 If it is determined that the authentication is successful and the role of the access point 103 is determined to be an enrollee (YES in S306), the control unit 205 transmits an authentication confirmation to the access point 103 (S307). This authentication confirmation is, for example, a DPP Authentication Confirm frame defined by the DPP standard. This authentication confirmation includes tag information. The tag information is obtained by encrypting a random number included in the authentication response sent by the access point 103 using a shared key by the control unit 205. After transmitting the authentication confirmation, the control unit 205 of the mobile device 101 waits for a setting request to be transmitted from the access point 103, which is the enrollee (S308).

認証確認を受信したアクセスポイント103は、その認証確認に含まれているタグ情報を自身が生成した共有鍵で正しく復号できた場合に、認証成功と判定する。認証成功と判定すると、アクセスポイント103は、認証要求を送信した携帯機器101をコンフィギュレータと認定し、携帯機器101に対して設定要求を送信する。設定要求は、例えばDPP規格で規定されたDPP Configuration Requestフレームである。この設定要求には、アクセスポイント103のデバイス情報や通信パラメータ受領後の役割情報が含まれる。デバイス情報は、アクセスポイント103のデバイス名などである。また、通信パラメータ受領後の役割情報は、エンローリが無線ネットワークを構築するアクセスポイントとして動作するか無線ネットワークに接続する装置として動作するかを示す情報である。ここでは、無線ネットワークを構築するアクセスポイントとして動作することを示す情報が設定される。設定要求に含まれる情報は、アクセスポイント103が認証応答の送信時においてタグ情報の暗号化に使用した共有鍵で暗号化される。 The access point 103 that has received the authentication confirmation determines that the authentication is successful if the tag information included in the authentication confirmation can be correctly decrypted using the shared key that it generated. When determining that the authentication is successful, the access point 103 identifies the mobile device 101 that sent the authentication request as a configurator, and transmits a setting request to the mobile device 101. The configuration request is, for example, a DPP Configuration Request frame defined by the DPP standard. This setting request includes device information of the access point 103 and role information after receiving communication parameters. The device information includes the device name of the access point 103 and the like. Further, the role information after receiving the communication parameters is information indicating whether the enrollee operates as an access point that constructs a wireless network or as a device that connects to the wireless network. Here, information indicating that the device operates as an access point for constructing a wireless network is set. The information included in the setting request is encrypted with the shared key used by the access point 103 to encrypt the tag information when transmitting the authentication response.

アクセスポイント103からの設定要求が受信されると(S308でYES)、携帯機器101の通信パラメータ処理部210は、設定応答として、無線ネットワーク104を形成するための通信パラメータの提供処理を行う(S309)。設定応答は、例えばDPP規格で規定されたDPP Configuration Responseフレームである。携帯機器101の通信パラメータ処理部210が送信する設定応答には、通信パラメータ、パラメータの有効期限、携帯機器101のコンフィギュレータ専用の公開鍵などが含まれる。設定応答において、通信パラメータは、携帯機器101のコンフィギュレータ専用の秘密鍵で暗号化されている。さらに、設定応答に含まれる情報は、S307にてタグ情報の暗号化に使用した共有鍵で暗号化される。なお、通信パラメータは、暗号鍵として、共有鍵の生成に用いた通信相手の公開鍵(この場合、アクセスポイント103からの認証応答に含まれる公開鍵)を含む。 When the setting request from the access point 103 is received (YES in S308), the communication parameter processing unit 210 of the mobile device 101 performs a process of providing communication parameters for forming the wireless network 104 as a setting response (S309). ). The configuration response is, for example, a DPP Configuration Response frame defined by the DPP standard. The configuration response sent by the communication parameter processing unit 210 of the mobile device 101 includes the communication parameters, the expiration date of the parameters, a public key dedicated to the configurator of the mobile device 101, and the like. In the configuration response, the communication parameters are encrypted with a private key exclusive to the configurator of the mobile device 101. Further, the information included in the configuration response is encrypted with the shared key used to encrypt the tag information in S307. Note that the communication parameters include, as an encryption key, the public key of the communication partner used to generate the shared key (in this case, the public key included in the authentication response from the access point 103).

エンローリであるアクセスポイント103は、設定要求を送信後、コンフィギュレータである携帯機器101から設定応答が送信されるのを待ち受ける。設定応答を受信したアクセスポイント103は、設定応答に含まれる情報を、タグ情報の暗号化に使用した共有鍵で復号する。さらに、アクセスポイント103は、携帯機器101のコンフィギュレータ専用の秘密鍵で暗号化された通信パラメータを、携帯機器101のコンフィギュレータ専用の公開鍵で復号する。アクセスポイント103は、復号して得られた通信パラメータで無線ネットワーク104を形成することができる。 After transmitting the configuration request, the access point 103, which is an enrollee, waits for a configuration response to be transmitted from the mobile device 101, which is a configurator. The access point 103 that has received the configuration response decrypts the information included in the configuration response using the shared key used to encrypt the tag information. Further, the access point 103 decrypts the communication parameters encrypted with the private key exclusive to the configurator of the mobile device 101 using the public key exclusive to the configurator of the mobile device 101. The access point 103 can form a wireless network 104 using the communication parameters obtained by decoding.

以上のような処理を行う携帯機器101がアクセスポイント103に通信パラメータを提供するまでの、携帯機器101とアクセスポイント103の動作についてさらに説明する。図4は、携帯機器101が、アクセスポイント103に通信パラメータを提供する処理を示すシーケンス図である。 The operations of the mobile device 101 and the access point 103 until the mobile device 101, which performs the above processing, provides communication parameters to the access point 103 will be further described. FIG. 4 is a sequence diagram showing a process in which the mobile device 101 provides communication parameters to the access point 103.

アクセスポイント103は、パラメータ受領の指示をユーザから受けると(S401)、ディスプレイにQRコードを表示し(S402)、認証要求を待ち受ける。なお、所定の時間内に認証要求を受信できなかった場合、アクセスポイント103は認証要求の待ち受けを終了してもよい。また、アクセスポイント103がQRコードを表示するディスプレイ等を備えておらず、電子機器の筺体や付属品に貼り付けられたラベル等にQRコードが印刷されている場合、S402はスキップされる。すなわち、アクセスポイント103は、パラメータ受領の指示を受け付けると(S401)、S402での処理を行わずに認証要求を待ち受ける。 When the access point 103 receives an instruction to receive parameters from the user (S401), the access point 103 displays a QR code on the display (S402) and waits for an authentication request. Note that if the access point 103 cannot receive the authentication request within a predetermined time, the access point 103 may end waiting for the authentication request. Furthermore, if the access point 103 does not have a display or the like that displays a QR code, and the QR code is printed on a label or the like attached to the housing or accessory of the electronic device, S402 is skipped. That is, when the access point 103 receives an instruction to receive parameters (S401), it waits for an authentication request without performing the process in S402.

一方、携帯機器101は、パラメータ提供の指示をユーザから受けると(S403)、アクセスポイント103の表示するQRコードを撮影するために撮像部207を起動する(S404)。そして、携帯機器101の撮像部207がアクセスポイント103の表示するQRコードを撮影することで、そのQRコードが示す情報を取得する(S405)。 On the other hand, when the mobile device 101 receives an instruction to provide parameters from the user (S403), it activates the imaging unit 207 to photograph the QR code displayed by the access point 103 (S404). Then, the imaging unit 207 of the mobile device 101 photographs the QR code displayed by the access point 103, thereby acquiring information indicated by the QR code (S405).

QRコードが示す情報を取得した携帯機器101は、認証要求を生成、送信し、アクセスポイント103はこの認証要求を受信する(S406)。アクセスポイント103は、受信した認証要求の内容を検証する。認証要求を送信した携帯機器101がQRコードを撮影した装置であると判定すると、役割情報を検証する(S407)。アクセスポイント103は、役割情報を検証した結果、認証要求を送信した装置の役割がコンフィギュレータを示すと判定すると、認証応答を生成、送信する(S408)。携帯機器101へ認証応答を送信したアクセスポイント103は、携帯機器101から認証確認が送信されるのを待ち受ける。 The mobile device 101 that has acquired the information indicated by the QR code generates and transmits an authentication request, and the access point 103 receives this authentication request (S406). The access point 103 verifies the content of the received authentication request. If it is determined that the mobile device 101 that sent the authentication request is the device that photographed the QR code, role information is verified (S407). When the access point 103 verifies the role information and determines that the role of the device that transmitted the authentication request indicates a configurator, it generates and transmits an authentication response (S408). The access point 103 that has sent the authentication response to the mobile device 101 waits for the authentication confirmation to be sent from the mobile device 101.

認証応答を受信した携帯機器101は、認証応答の内容を検証する(S409)。携帯機器101は、認証応答の認証に成功し、認証応答に含まれる役割情報がエンローリを示すと判定すると、アクセスポイント103へ認証確認を送信する(S410)。 The mobile device 101 that has received the authentication response verifies the content of the authentication response (S409). When the mobile device 101 successfully authenticates the authentication response and determines that the role information included in the authentication response indicates an enrollee, the mobile device 101 transmits an authentication confirmation to the access point 103 (S410).

携帯機器101から認証確認を受信(S410)したアクセスポイント103は、認証確認の内容を検証する。アクセスポイント103は、自身が生成した共有鍵でタグ情報を正しく復号できた場合に認証に成功したと判定する。認証に成功したと判定されると、アクセスポイント103は、携帯機器101との間で通信パラメータの設定処理を行う(S411)。より具体的には、アクセスポイント103は、通信パラメータの設定処理を行うために設定要求を送信し、携帯機器101から設定応答が送信されるのを待ち受ける。設定要求を受信した携帯機器101は、携帯機器101のコンフィギュレータ専用の秘密鍵で暗号化した通信パラメータと、コンフィギュレータ専用の公開鍵を設定応答に含めて送信する。設定応答を受信したアクセスポイント103は、携帯機器101のコンフィギュレータ専用の公開鍵で通信パラメータを復号する。アクセスポイント103は、この復号された通信パラメータを用いて無線ネットワーク104を形成する。 The access point 103 that has received the authentication confirmation from the mobile device 101 (S410) verifies the contents of the authentication confirmation. The access point 103 determines that the authentication has been successful if the tag information can be correctly decrypted using the shared key that it has generated. If it is determined that the authentication is successful, the access point 103 performs communication parameter setting processing with the mobile device 101 (S411). More specifically, the access point 103 transmits a configuration request to perform communication parameter configuration processing, and waits for a configuration response to be transmitted from the mobile device 101. The mobile device 101 that has received the configuration request sends a configuration response including communication parameters encrypted with a private key exclusive to the configurator of the mobile device 101 and a public key exclusive to the configurator. The access point 103 that has received the configuration response decrypts the communication parameters using a public key dedicated to the configurator of the mobile device 101. Access point 103 forms wireless network 104 using the decoded communication parameters.

以上、図3、図4を用いて説明した処理によって、携帯機器101が、アクセスポイント103に通信パラメータを提供することができる。また、図3、図4を用いて説明した処理と同様の処理によって、コンフィギュレータである携帯機器101がエンローリであるプリンタ105に対して通信パラメータを提供することができる。ただし、タグ情報の暗号化などに使用される共有鍵は、携帯機器101とアクセスポイント103との間で生成した共有鍵とは異なる鍵となる。これは、プリンタ105の共有鍵生成用の鍵ペアが、アクセスポイント103の共有鍵生成用の鍵ペアと異なるためである。また、通信パラメータに含まれる内容も異なるものとなる。これは、プリンタ105が携帯機器101から受領する通信パラメータには、アクセスポイント103の共有鍵生成用の公開鍵は含まれず、プリンタ105自身の共有鍵生成用の公開鍵が含まれるためである。 Through the processes described above with reference to FIGS. 3 and 4, the mobile device 101 can provide communication parameters to the access point 103. Further, by processing similar to the processing described using FIGS. 3 and 4, the mobile device 101, which is a configurator, can provide communication parameters to the printer 105, which is an enrollee. However, the shared key used for encrypting the tag information is different from the shared key generated between the mobile device 101 and the access point 103. This is because the key pair for generating the shared key of the printer 105 is different from the key pair for generating the shared key of the access point 103. Furthermore, the contents included in the communication parameters will also be different. This is because the communication parameters that the printer 105 receives from the mobile device 101 do not include the public key for generating the shared key of the access point 103, but include the public key for generating the shared key of the printer 105 itself.

続いて、コンフィギュレータである携帯機器101から通信パラメータを取得したプリンタ105が、アクセスポイント103の形成する無線ネットワーク104に接続する処理について述べる。図5は、プリンタ105が、アクセスポイント103の形成する無線ネットワーク104に接続する処理を示すシーケンス図である。 Next, a process in which the printer 105, which has acquired communication parameters from the mobile device 101, which is a configurator, connects to the wireless network 104 formed by the access point 103 will be described. FIG. 5 is a sequence diagram showing the process by which the printer 105 connects to the wireless network 104 formed by the access point 103.

プリンタ105は、無線ネットワーク104への接続指示をユーザから受けると(S501)、検索要求を送信する(S502)。この検索要求は、例えばDPP規格で規定されたDPP Peer Discovery Requestフレームである。この検索要求には、プリンタ105が携帯機器101から取得した通信パラメータが含まれている。この通信パラメータは、上述した通り携帯機器101のコンフィギュレータ専用の秘密鍵で暗号化されている。 When the printer 105 receives an instruction to connect to the wireless network 104 from the user (S501), it transmits a search request (S502). This search request is, for example, a DPP Peer Discovery Request frame defined by the DPP standard. This search request includes communication parameters that the printer 105 acquired from the mobile device 101. As described above, this communication parameter is encrypted with a secret key exclusively used by the configurator of the mobile device 101.

検索要求を受信したアクセスポイント103は、S411にて取得した携帯機器101のコンフィギュレータ専用の公開鍵を使用して、検索要求に含まれる通信パラメータを復号する(S503)。なお、復号できない場合は、検索要求を破棄する。通信パラメータを復号したアクセスポイント103は、プリンタ105との間で共有するマスター鍵(PMK(Pairwise Master Key))を生成する(S504)。このマスター鍵は、WPA(Wi-Fi Protected Access)と呼ばれる暗号化規格において様々な鍵のもとになり、無線接続を確立する際に用いられる。マスター鍵は、通信パラメータに含まれるプリンタ105の共有鍵生成用の公開鍵と、アクセスポイント103の共有鍵生成用の秘密鍵の双方を用いて生成される。 The access point 103 that has received the search request decrypts the communication parameters included in the search request using the public key dedicated to the configurator of the mobile device 101 acquired in S411 (S503). Note that if the search request cannot be decrypted, the search request is discarded. The access point 103 that has decrypted the communication parameters generates a master key (PMK (Pairwise Master Key)) to be shared with the printer 105 (S504). This master key becomes the basis for various keys in an encryption standard called WPA (Wi-Fi Protected Access), and is used when establishing a wireless connection. The master key is generated using both the public key for generating the shared key of the printer 105 and the private key for generating the shared key of the access point 103, which are included in the communication parameters.

S504にてマスター鍵を生成したアクセスポイント103は、検索応答を送信する(S505)。この検索応答は、例えばDPP規格で規定されたDPP Peer Discovery Responseフレームである。この検索応答には、S411にてアクセスポイント103が携帯機器101から取得した通信パラメータが含まれている。この通信パラメータも同様に、携帯機器101のコンフィギュレータ専用の秘密鍵で暗号化されている。 The access point 103 that generated the master key in S504 transmits a search response (S505). This search response is, for example, a DPP Peer Discovery Response frame defined by the DPP standard. This search response includes the communication parameters that the access point 103 acquired from the mobile device 101 in S411. These communication parameters are similarly encrypted using a private key exclusive to the configurator of the mobile device 101.

検索応答を受信したプリンタ105は、携帯機器101から取得したコンフィギュレータ専用の公開鍵を使用して、検索応答に含まれる通信パラメータを復号する(S506)。なお、復号できない場合は、検索応答を破棄する。通信パラメータを復号したプリンタ105は、アクセスポイント103との間で共有するマスター鍵を生成する(S507)。マスター鍵は、通信パラメータに含まれるアクセスポイント103の共有鍵生成用の公開鍵と、プリンタ105の共有鍵生成用の秘密鍵の双方を用いて生成される。マスター鍵を共有したプリンタ105とアクセスポイント103は、マスター鍵を用いて接続処理を行う(S508)。以上により、プリンタ105は、アクセスポイント103の形成する無線ネットワーク104に接続することができる。 The printer 105 that has received the search response decrypts the communication parameters included in the search response using the configurator-dedicated public key acquired from the mobile device 101 (S506). Note that if the search response cannot be decoded, the search response is discarded. The printer 105 that has decrypted the communication parameters generates a master key to be shared with the access point 103 (S507). The master key is generated using both the access point 103's public key for generating a shared key and the printer 105's private key for generating a shared key, which are included in the communication parameters. The printer 105 and the access point 103 that have shared the master key perform connection processing using the master key (S508). As described above, the printer 105 can connect to the wireless network 104 formed by the access point 103.

次に、携帯機器101に加えて、携帯機器102も、アクセスポイント103の形成する無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして動作させる場合を考える。この場合、携帯機器101が通信パラメータを暗号化するために用いた携帯機器101のコンフィギュレータ専用の鍵ペアを、携帯機器102が取得する必要がある。その理由を説明するために、携帯機器101のコンフィギュレータ専用の鍵ペアを保持していない携帯機器102が、携帯機器101からエンローリとして取得した通信パラメータをプリンタ106に提供する場合を考える。 Next, consider a case where, in addition to the mobile device 101, the mobile device 102 also operates as a configurator that provides communication parameters for connecting to the wireless network 104 formed by the access point 103. In this case, it is necessary for the mobile device 102 to obtain a key pair dedicated to the configurator of the mobile device 101, which is used by the mobile device 101 to encrypt the communication parameters. To explain the reason, consider a case where the mobile device 102, which does not hold a key pair dedicated to the configurator of the mobile device 101, provides the printer 106 with communication parameters acquired from the mobile device 101 as an enrollee.

例えば、携帯機器102が、携帯機器101のコンフィギュレータ専用の秘密鍵で暗号化されたままの通信パラメータを、プリンタ106に提供する。プリンタ106は、取得した通信パラメータを含めた検索要求をアクセスポイント103に送信する。検索要求を受信したアクセスポイント103は携帯機器101のコンフィギュレータ専用の公開鍵を用いて通信パラメータの復号を行うが、通信パラメータに含まれる公開鍵は携帯機器102の共有鍵生成用の公開鍵である。アクセスポイント103は、この通信パラメータに含まれる携帯機器102の共有鍵生成用の公開鍵と、アクセスポイント103の共有鍵生成用の秘密鍵の双方を用いてマスター鍵を生成する。一方、プリンタ106は、アクセスポイント103から送信された通信パラメータに含まれるアクセスポイント103の共有鍵生成用の公開鍵と、プリンタ106の共有鍵生成用の秘密鍵の双方を用いてマスター鍵を生成する。そのため、アクセスポイント103およびプリンタ106の間で生成するマスター鍵は異なる鍵となり、無線接続を確立することができない。 For example, the mobile device 102 provides the printer 106 with communication parameters that are encrypted using a private key dedicated to the configurator of the mobile device 101. The printer 106 transmits a search request including the acquired communication parameters to the access point 103. The access point 103 that has received the search request decrypts the communication parameters using the public key dedicated to the configurator of the mobile device 101, but the public key included in the communication parameters is the public key for generating the shared key of the mobile device 102. . The access point 103 generates a master key using both the public key for generating a shared key of the mobile device 102 and the private key for generating a shared key of the access point 103, which are included in this communication parameter. On the other hand, the printer 106 generates a master key using both the public key for generating the shared key of the access point 103 and the private key for generating the shared key of the printer 106, which are included in the communication parameters sent from the access point 103. do. Therefore, the master keys generated between the access point 103 and the printer 106 are different keys, and a wireless connection cannot be established.

また、例えば、携帯機器102が、携帯機器101のコンフィギュレータ専用の公開鍵で復号した通信パラメータを、携帯機器102のコンフィギュレータ専用の秘密鍵で暗号化してプリンタ106に提供したとする。プリンタ106は、携帯機器102から取得した通信パラメータを含めた検索要求をアクセスポイント103に送信する。検索要求を受信したアクセスポイント103は通信パラメータの復号を試みるが、携帯機器101のコンフィギュレータ専用の公開鍵ではこの通信パラメータを復号できないため、検索要求を破棄する。その結果、プリンタ106は、無線ネットワーク104に接続することができない。 Further, for example, suppose that the mobile device 102 provides the printer 106 with a communication parameter decrypted using a public key dedicated to the configurator of the mobile device 101, encrypted with a private key dedicated to the configurator of the mobile device 102. The printer 106 transmits a search request including the communication parameters acquired from the mobile device 102 to the access point 103. The access point 103 that has received the search request attempts to decrypt the communication parameters, but since the communication parameters cannot be decrypted using the public key dedicated to the configurator of the mobile device 101, the search request is discarded. As a result, printer 106 cannot connect to wireless network 104.

以上の理由により、携帯機器102を無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして動作させるためには、携帯機器101のコンフィギュレータ専用の鍵ペアを携帯機器102が取得する必要がある。以下、無線ネットワーク104に接続するための通信パラメータの暗号化および復号に用いる携帯機器101のコンフィギュレータ専用の鍵ペアを、携帯機器101から携帯機器102に提供する処理を説明する。なお、第1実施形態では、アクセスポイント103の設定に用いた携帯機器101のコンフィギュレータ専用の鍵ペアの共有を、携帯機器102が携帯機器101に要求する場合の処理について述べる。 For the above reasons, in order to operate the mobile device 102 as a configurator that provides communication parameters for connecting to the wireless network 104, the mobile device 102 needs to acquire a key pair dedicated to the configurator of the mobile device 101. Hereinafter, a process will be described in which the mobile device 101 provides the mobile device 102 with a key pair dedicated to the configurator of the mobile device 101 used for encrypting and decrypting communication parameters for connecting to the wireless network 104. In the first embodiment, a process will be described in which the mobile device 102 requests the mobile device 101 to share a key pair dedicated to the configurator of the mobile device 101 used to set up the access point 103.

図6は、本実施形態における携帯機器101と携帯機器102の間の処理を示すシーケンス図である。携帯機器101、携帯機器102は、それぞれ外部装置である携帯機器102、携帯機器101と通信が可能である。 FIG. 6 is a sequence diagram showing processing between the mobile device 101 and the mobile device 102 in this embodiment. The mobile device 101 and the mobile device 102 can communicate with the mobile device 102 and the mobile device 101, which are external devices, respectively.

携帯機器102は、無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして動作するために、携帯機器101のコンフィギュレータ専用の鍵ペアを共有するようにユーザから指示を受ける(S601)。そして、携帯機器102は、QRコードを自装置の表示部204に表示させ、認証要求を待ち受ける(S602)。一方、携帯機器101は、ユーザからパラメータ提供の開始指示を受けると(S603)、携帯機器102が表示するQRコードの画像を撮像してQRコード情報を取得する(S604、S605)。S606、S609、S613は、携帯機器101と携帯機器102が互いを認証するための情報(本実施形態では、認証情報、乱数、タグ情報)を含むフレームを交換する認証処理である。そして、この認証処理の間に、コンフィギュレータが通信パラメータを提供するのに用いる固有の情報(本実施形態ではコンフィギュレータの秘密鍵)をエンローリと共有するための要求、およびその要求に対する許可がやり取りされる。 The mobile device 102 receives an instruction from the user to share a key pair dedicated to the configurator of the mobile device 101 in order to operate as a configurator that provides communication parameters for connecting to the wireless network 104 (S601). Then, the mobile device 102 displays the QR code on its display unit 204 and waits for an authentication request (S602). On the other hand, when the mobile device 101 receives an instruction from the user to start providing parameters (S603), the mobile device 101 captures an image of the QR code displayed by the mobile device 102 and acquires QR code information (S604, S605). S606, S609, and S613 are authentication processing in which the mobile device 101 and the mobile device 102 exchange frames containing information for mutually authenticating each other (in this embodiment, authentication information, random numbers, and tag information). During this authentication process, a request for the configurator to share unique information (the configurator's private key in this embodiment) used to provide communication parameters with the enrollee and permission for that request are exchanged. .

携帯機器101は取得したQRコード情報に基づいて認証要求を生成し、送信する(S606)。これらのS603~S606の処理は、図4で説明したS403~S406までの処理と同様である。携帯機器102は、認証要求を受信すると(S606)、認証要求の内容を検証する。携帯機器102は、認証要求に含まれる認証情報を検証して、認証要求を送信した携帯機器101がQRコードを撮影した装置であると判定(認証成功)すると、認証要求に含まれる役割情報を検証する(S607)。携帯機器102は、携帯機器101の送信した認証要求に含まれる役割情報がコンフィギュレータであると判定すると、鍵ペアの共有要求を示す情報を認証応答に含める処理を行う(S608)。鍵ペアの共有要求は、例えば、DPP Authentication Responseフレームの所定のビットを立てることで示される。なお、鍵ペアの要求を示すために所定のビットを用いるとしたがこれに限られるものではない。例えば、認証応答に含める役割情報が、「パラメータ提供装置」を表すコンフィギュレータや「パラメータ受領装置」を表すエンローリ以外の役割、例えば「鍵ペア受領装置」を表す役割を示すようにしてもよい。携帯機器102は、以上のようにして生成した、鍵ペアの共有要求を含む認証応答を送信する(S609)。認証応答を送信後、携帯機器102は、認証要求を送信した携帯機器101から認証確認が送信されるのを待つ。 The mobile device 101 generates an authentication request based on the acquired QR code information and transmits it (S606). These processes from S603 to S606 are similar to the processes from S403 to S406 described with reference to FIG. Upon receiving the authentication request (S606), the mobile device 102 verifies the content of the authentication request. When the mobile device 102 verifies the authentication information included in the authentication request and determines that the mobile device 101 that sent the authentication request is the device that photographed the QR code (authentication successful), the mobile device 102 verifies the role information included in the authentication request. Verify (S607). If the mobile device 102 determines that the role information included in the authentication request transmitted by the mobile device 101 is a configurator, it performs processing to include information indicating a key pair sharing request in the authentication response (S608). A key pair sharing request is indicated, for example, by setting a predetermined bit in the DPP Authentication Response frame. Note that although a predetermined bit is used to indicate a request for a key pair, the present invention is not limited to this. For example, the role information included in the authentication response may indicate a role other than a configurator representing a "parameter providing device" or an enrollee representing a "parameter receiving device," such as a role representing a "key pair receiving device." The mobile device 102 transmits the authentication response including the key pair sharing request generated as described above (S609). After transmitting the authentication response, the mobile device 102 waits for an authentication confirmation to be transmitted from the mobile device 101 that transmitted the authentication request.

携帯機器101は、認証応答を受信し(S609)、タグ情報による認証に成功すると、認証応答に含まれる携帯機器102の役割情報を検証する(S610)。役割情報の検証により、認証応答を送信した装置の役割がエンローリ(もしくは「鍵ペア受領装置を示す役割」)を示すと判定されると、携帯機器101は、パラメータ提供処理を継続する。一方、役割情報が上記以外の役割を示す場合、パラメータ提供処理を終了する。 The mobile device 101 receives the authentication response (S609), and if the tag information-based authentication is successful, the mobile device 101 verifies the role information of the mobile device 102 included in the authentication response (S610). If it is determined by verifying the role information that the role of the device that sent the authentication response indicates an enrollee (or a "role indicating a key pair receiving device"), the mobile device 101 continues the parameter providing process. On the other hand, if the role information indicates a role other than the above, the parameter providing process is ended.

パラメータ提供処理を継続する携帯機器101は、認証応答に鍵ペアの共有要求が含まれているかを確認する(S611)。認証応答に鍵ペアの共有要求が含まれている場合、携帯機器101は、鍵ペアの共有要求がある旨を表示部204に表示してユーザに通知し、操作部203を用いたユーザからの鍵ペアの共有に対する許可の指示を待ち受ける。鍵ペアの共有がユーザから許可された場合、携帯機器101は、鍵ペアの共有許可を示す情報を認証確認に含める(S612)。鍵ペアの共有許可は、例えば、DPP Authentication Confirmフレームの所定のビットを立てることで示される。携帯機器101は、鍵ペアの共有許可を示す情報を含めた認証確認を携帯機器102に送信する(S613)。 The mobile device 101, which continues the parameter provision process, checks whether the authentication response includes a key pair sharing request (S611). If the authentication response includes a request to share a key pair, the mobile device 101 displays on the display unit 204 to notify the user that there is a request to share a key pair, and then requests a request from the user using the operation unit 203. Waits for permission to share the key pair. If the user permits sharing of the key pair, the mobile device 101 includes information indicating permission to share the key pair in the authentication confirmation (S612). Permission to share the key pair is indicated, for example, by setting a predetermined bit in the DPP Authentication Confirm frame. The mobile device 101 transmits authentication confirmation including information indicating permission to share the key pair to the mobile device 102 (S613).

なお、鍵ペアの共有要求がある旨を表示部204に表示し、操作部203を用いたユーザからの許可指示を受け付けることを鍵ペアの共有の条件としたが、これに限られるものではない。例えば、ユーザからの許可指示を受けることなく鍵ペアの共有許可を示す情報を認証確認に含める処理実行してもよい。この場合、鍵ペアの共有要求がある旨の表示が省略されてもよい。 Note that the condition for sharing a key pair is to display on the display unit 204 that there is a request to share a key pair and to accept a permission instruction from the user using the operation unit 203; however, the present invention is not limited to this. . For example, a process may be executed in which information indicating permission to share a key pair is included in the authentication confirmation without receiving a permission instruction from the user. In this case, the display indicating that there is a request to share a key pair may be omitted.

一方、ユーザが鍵ペアの共有を許可しない場合、後述する鍵ペアの提供処理(S616)は行われない。あるいは、鍵ペアの共有が許可されない場合、認証確認を送信しないことで、パラメータ提供処理を行わずに終了してもよい。さらに、鍵ペア共有を許可しない場合、許可しないことを示す情報を含めたメッセージを携帯機器102に送信するようにしてもよい。 On the other hand, if the user does not permit sharing of the key pair, the key pair provision process (S616) described below is not performed. Alternatively, if sharing of the key pair is not permitted, the authentication confirmation may be not sent and the process may be terminated without performing the parameter provision process. Furthermore, if key pair sharing is not permitted, a message including information indicating that the key pair sharing is not permitted may be sent to the mobile device 102.

認証確認を受信した携帯機器102は、認証確認に含まれる鍵ペアの共有許可を示す情報を確認する(S614)。鍵ペアの共有許可を示す情報が認証確認に含まれていない場合、携帯機器102はパラメータ受領処理を終了する。なお、鍵ペアの共有許可を示す情報が認証確認に含まれていない場合、携帯機器102は、表示部204にエラーを示すメッセージを表示してユーザに通知してもよい。 The mobile device 102 that has received the authentication confirmation checks information indicating permission to share the key pair included in the authentication confirmation (S614). If the authentication confirmation does not include information indicating permission to share the key pair, the mobile device 102 ends the parameter reception process. Note that if the authentication confirmation does not include information indicating permission to share a key pair, the mobile device 102 may display a message indicating an error on the display unit 204 to notify the user.

認証確認による認証が完了すると、通信パラメータの設定が行われる(S615)。より具体的には、携帯機器102が認証確認による認証を完了した後、携帯機器101に対して設定要求を送信する。携帯機器101は、この設定要求に応答して、通信パラメータを含む設定応答を携帯機器102に送信する。これにより通信パラメータの提供処理が行われる。通信パラメータの提供処理が完了すると、携帯機器101は、携帯機器101のコンフィギュレータ専用の秘密鍵と公開鍵のペアを、携帯機器101と携帯機器102との間の共有鍵を使用して暗号化し、携帯機器102に送信する(S616)。なお、S615で送信した設定応答に携帯機器101のコンフィギュレータ専用の公開鍵が含まれているため、S616では秘密鍵だけを送信するようにしてもよい。また、携帯機器101は、S615でのパラメータ提供処理にて、設定応答に携帯機器101のコンフィギュレータ専用の秘密鍵を含めて送信してもよい。その場合、S616の処理が不要となる。 When the authentication by authentication confirmation is completed, communication parameters are set (S615). More specifically, after the mobile device 102 completes authentication through authentication confirmation, it transmits a setting request to the mobile device 101. In response to this configuration request, mobile device 101 transmits a configuration response including communication parameters to mobile device 102. As a result, communication parameter provision processing is performed. When the communication parameter provision processing is completed, the mobile device 101 encrypts the pair of private key and public key dedicated to the configurator of the mobile device 101 using the shared key between the mobile device 101 and the mobile device 102, The information is transmitted to the mobile device 102 (S616). Note that since the configuration response sent in S615 includes a public key dedicated to the configurator of the mobile device 101, only the private key may be sent in S616. In addition, the mobile device 101 may include a private key exclusively for the configurator of the mobile device 101 in the configuration response and transmit it in the parameter providing process in S615. In that case, the process of S616 becomes unnecessary.

また、携帯機器101は、S613にて認証確認を送信後、S615での通信パラメータ提供処理が完了する前に携帯機器101のコンフィギュレータ専用の鍵ペアを提供するようにしてもよい。さらに、携帯機器101は、鍵ペアの共有許可を示す情報を含めずに認証確認を送信した場合でも、携帯機器101のコンフィギュレータ専用の鍵ペアを提供してもよい。 Further, the mobile device 101 may provide a key pair dedicated to the configurator of the mobile device 101 after transmitting the authentication confirmation in S613 and before the communication parameter providing process in S615 is completed. Furthermore, the mobile device 101 may provide a key pair exclusively for the configurator of the mobile device 101 even when the authentication confirmation is sent without including information indicating permission to share the key pair.

アクセスポイント103の設定に用いた携帯機器101のコンフィギュレータ専用の秘密鍵と公開鍵のペアを取得した携帯機器102は、コンフィギュレータとしてエンローリであるプリンタ106に通信パラメータを提供することができる。プリンタ106は、携帯機器102から取得した通信パラメータを用いて、図5のシーケンスで示した処理を実施することで、アクセスポイント103が形成する無線ネットワーク104に接続することが可能となる。 The mobile device 102, which has acquired the private key and public key pair dedicated to the configurator of the mobile device 101 used to set up the access point 103, can provide communication parameters to the printer 106, which is an enrollee, as a configurator. The printer 106 can connect to the wireless network 104 formed by the access point 103 by performing the processing shown in the sequence of FIG. 5 using the communication parameters acquired from the mobile device 102.

なお、S603にてパラメータ提供の開始を指示ではなく、鍵ペア共有の開始を指示された場合、S612においてユーザからの許可指示を待ち受けずに、鍵ペアの共有許可を示す情報を認証確認に含める処理を行ってもよい。 Note that if an instruction is given to start key pair sharing instead of an instruction to start providing parameters in S603, information indicating permission to share the key pair is included in the authentication confirmation without waiting for a permission instruction from the user in S612. Processing may be performed.

なお、通信パラメータを提供せずに、すなわちS615のパラメータ設定を行わずに、鍵ペアだけが提供されるようにしてもよい。その場合、S615での通信パラメータ提供処理を省くことができるため、ユーザの利便性が向上する。この鍵ペアだけを提供する処理は、S612にてユーザから鍵ペアだけを渡す旨の指示も受けた場合に実行されるようにしてもよい。なお、S603にてパラメータ提供の指示ではなく、鍵ペア共有の開始が指示された場合に、S612においてユーザからの許可指示を待ち受けずに、鍵ペアだけを提供する処理が行われるようにしてもよい。なお、後述の図9~図11のシーケンス図に示される処理においても、通信パラメータの提供処理を行わずに鍵ペアの提供処理が実行されるようにしてもよい。 Note that only the key pair may be provided without providing communication parameters, that is, without performing the parameter setting in S615. In that case, the communication parameter provision process in S615 can be omitted, improving convenience for the user. This process of providing only the key pair may be executed when an instruction to hand over only the key pair is also received from the user in S612. Note that when an instruction to start key pair sharing is given in S603 instead of an instruction to provide parameters, the process of providing only the key pair without waiting for a permission instruction from the user in S612 is also possible. good. Note that also in the processes shown in the sequence diagrams of FIGS. 9 to 11, which will be described later, the key pair providing process may be executed without performing the communication parameter providing process.

続いて、図7、図8のフローチャートを用いて、携帯機器101、携帯機器102の処理を説明する。 Next, the processing of the mobile device 101 and the mobile device 102 will be explained using the flowcharts of FIGS. 7 and 8.

図7は、携帯機器101が、携帯機器102の要求に応じて、自身が保持するコンフィギュレータの鍵ペア(秘密鍵と公開鍵)を携帯機器102に提供する処理を示すフローチャートである。撮像部207を起動してから、認証応答の検証を行うまでの処理は図3(S301~S306)と同様である。図7では、図3の処理において、認証応答を用いた認証に成功し、役割情報がエンローリを示すと判定された後(S306でYES)の処理を示す。 FIG. 7 is a flowchart showing a process in which the mobile device 101 provides the configurator key pair (private key and public key) held by the mobile device 101 to the mobile device 102 in response to a request from the mobile device 102. The processing from activating the imaging unit 207 to verifying the authentication response is the same as that in FIG. 3 (S301 to S306). FIG. 7 shows the process after the authentication using the authentication response is successful in the process of FIG. 3 and it is determined that the role information indicates an enrollee (YES in S306).

携帯機器102が送信した認証応答について、役割がエンローリであり、タグ情報の検証に成功すると、携帯機器101の制御部205は、認証応答に鍵ペアの共有要求があるかどうかを判定する(S701)。鍵ペアの共有要求があると判定された場合、制御部205は表示部204と操作部203を用いて鍵ペアの共有の可否をユーザに確認する(S702)。ユーザが共有を許可した場合(S702でOK)、鍵共有処理部212は認証確認に共有許可を示す情報を設定し(S703)、これを携帯機器102に送信する(S704)。他方、認証応答に鍵ペアの共有要求がないと判定された場合(S701でNO)、または、ユーザが共有を許可しない場合(S702でNG)、S703はスキップされ、共有許可を示す情報のない認証確認を携帯機器102に送信する(S704)。 Regarding the authentication response sent by the mobile device 102, if the role is Enrollee and the tag information is successfully verified, the control unit 205 of the mobile device 101 determines whether the authentication response includes a request for sharing a key pair (S701). ). If it is determined that there is a request to share the key pair, the control unit 205 uses the display unit 204 and the operation unit 203 to confirm with the user whether the key pair can be shared (S702). If the user permits sharing (OK in S702), the key sharing processing unit 212 sets information indicating sharing permission in the authentication confirmation (S703), and transmits this to the mobile device 102 (S704). On the other hand, if it is determined that there is no request to share a key pair in the authentication response (NO in S701), or if the user does not permit sharing (NG in S702), S703 is skipped and there is no information indicating permission to share. The authentication confirmation is sent to the mobile device 102 (S704).

その後、制御部205は、携帯機器102からの設定要求を待ち受ける(S705)。設定要求が受信されると、通信パラメータ処理部210は、通信パラメータを携帯機器102に提供する(S706)。この提供処理は、S310と同様である。続いて、鍵共有処理部212は、コンフィギュレータの秘密鍵と公開鍵である鍵ペアを携帯機器102に提供する(S707)。なお、鍵ペアは、共有鍵により暗号化される。また、後述の図8のS807に示されるように、S703で共有許可が設定されていないと設定要求が受信されないため、鍵ペアの共有は実行されない。但し、安全のために、S707では、S703で供給許可を設定した場合にのみ、鍵ペアの提供を実行するようにしてもよい。 After that, the control unit 205 waits for a setting request from the mobile device 102 (S705). When the setting request is received, the communication parameter processing unit 210 provides the communication parameters to the mobile device 102 (S706). This provision processing is similar to S310. Subsequently, the key sharing processing unit 212 provides the key pair, which is the configurator's private key and public key, to the mobile device 102 (S707). Note that the key pair is encrypted using a shared key. Further, as shown in S807 in FIG. 8, which will be described later, if sharing permission is not set in S703, the setting request will not be received, so the key pair will not be shared. However, for security, in S707, the key pair may be provided only when supply permission is set in S703.

図8は、携帯機器102が、携帯機器101の保持する鍵ペアを共有するようにユーザから指示を受け、アクセスポイント103の設定処理に用いた携帯機器101のコンフィギュレータ専用の鍵ペアを取得する処理を示すフローチャートである。 FIG. 8 shows a process in which the mobile device 102 receives an instruction from a user to share a key pair held by the mobile device 101 and obtains a key pair exclusively for the configurator of the mobile device 101 used in the access point 103 setting process. It is a flowchart which shows.

携帯機器102のコード生成部209は、携帯機器101の保持する携帯機器101のコンフィギュレータ専用の鍵ペアを共有するようにユーザから操作部203を介して指示を受けると、QRコードを生成し、表示部204に表示する(S801)。その後、制御部205は、認証要求を待ち受ける(S802)。なお、所定の時間内に認証要求を受信できなかった場合、アクセスポイント103は認証要求の待ち受けを終了してもよい。 When the code generation unit 209 of the mobile device 102 receives an instruction from the user via the operation unit 203 to share a key pair dedicated to the configurator of the mobile device 101 held by the mobile device 101, the code generation unit 209 generates and displays a QR code. 204 (S801). After that, the control unit 205 waits for an authentication request (S802). Note that if the access point 103 cannot receive the authentication request within a predetermined time, the access point 103 may end waiting for the authentication request.

携帯機器101から認証要求を受信すると、制御部205は受信した認証要求に含まれている認証情報を用いて認証を行い、役割判定部211は役割情報を検証してその役割を判定する。制御部205は、認証情報を用いた認証に成功し、且つ、役割判定部211により判定された役割がコンフィギュレータであるかを判定する(S803)。認証に失敗した、または、携帯機器101の役割がコンフィギュレータでないと判定されると、制御部205は、表示部204にエラーを示すメッセージを表示(S811)し、処理を終了する。なお、エラーメッセージの表示(S811)は省略されてもよい。 Upon receiving an authentication request from the mobile device 101, the control unit 205 performs authentication using authentication information included in the received authentication request, and the role determining unit 211 verifies the role information and determines the role. The control unit 205 determines whether the authentication using the authentication information is successful and the role determined by the role determination unit 211 is a configurator (S803). If it is determined that the authentication has failed or that the role of the mobile device 101 is not a configurator, the control unit 205 displays a message indicating an error on the display unit 204 (S811) and ends the process. Note that the display of the error message (S811) may be omitted.

一方、S803において認証成功と判定され、且つ、認証要求を送信した携帯機器101の役割がコンフィギュレータであると判定された場合、鍵共有処理部212は、鍵ペアの共有要求を示す情報を認証応答に設定する(S804)。その後、制御部205は、携帯機器101に共有要求が設定された認証応答を送信し(S805)、携帯機器101からの認証確認を待ち受ける。 On the other hand, if it is determined in S803 that the authentication is successful, and it is determined that the role of the mobile device 101 that sent the authentication request is a configurator, the key sharing processing unit 212 sends information indicating the key pair sharing request to the authentication response. (S804). After that, the control unit 205 transmits an authentication response in which a sharing request is set to the mobile device 101 (S805), and waits for authentication confirmation from the mobile device 101.

携帯機器101から認証確認を受信すると(S806)、制御部205は認証確認に含まれているタグ情報を用いた認証に成功し、且つ、鍵ペアの共有許可を示す情報が認証確認に含まれているか否かを判定する(S807)。認証に成功したと判定され、且つ、鍵ペアの共有許可を示す情報が認証確認に含まれていると判定された場合、通信パラメータ処理部210は、携帯機器101へ設定要求を送信する(S808)。その後、通信パラメータ処理部210は、携帯機器101からの設定応答を受信することにより通信パラメータを取得する(S809)。そして、鍵共有処理部212は、携帯機器101のコンフィギュレータ専用の鍵ペアを取得する(S810)。一方、S807において、タグ情報の検証に失敗した、または、鍵ペアの共有許可を示す情報が認証確認に含まれていないと判定された場合、制御部205は、表示部204にエラーを示すメッセージを表示し、処理を終了する(S811)。 Upon receiving the authentication confirmation from the mobile device 101 (S806), the control unit 205 determines that the authentication using the tag information included in the authentication confirmation is successful and that information indicating permission to share the key pair is included in the authentication confirmation. It is determined whether or not (S807). If it is determined that the authentication is successful and that the authentication confirmation includes information indicating permission to share the key pair, the communication parameter processing unit 210 transmits a setting request to the mobile device 101 (S808 ). Thereafter, the communication parameter processing unit 210 obtains communication parameters by receiving a setting response from the mobile device 101 (S809). Then, the key sharing processing unit 212 obtains a key pair dedicated to the configurator of the mobile device 101 (S810). On the other hand, if it is determined in S807 that the verification of the tag information has failed or that the information indicating permission to share the key pair is not included in the authentication confirmation, the control unit 205 displays a message indicating the error on the display unit 204. is displayed, and the process ends (S811).

<変形例1>
図6では、携帯機器101と携帯機器102が認証のための情報を交換するためのフレームから、コンフィギュレータが通信パラメータを提供するのに用いる固有の情報(本実施形態では鍵ペア)を共有する要求(共有要求)が検出される例を示した。しかしながら共有要求を携帯機器101に通知する方法はこれに限られるものではない。例えば、携帯機器101宛の鍵ペアの共有要求を示す情報を含むActionフレームを用いて通知してもよいし、QRコードを用いて鍵ペアの共有要求を通知してもよい。図9は、鍵ペアの共有要求を示す情報をQRコード内に含める場合の処理を示すシーケンス図である。 <Modification 1>
In FIG. 6, a request to share unique information (a key pair in this embodiment) used by the configurator to provide communication parameters is received from a frame for exchanging information for authentication between the mobile device 101 and the mobile device 102. (share request) is detected. However, the method of notifying the mobile device 101 of the sharing request is not limited to this. For example, an action frame containing information indicating a key pair sharing request addressed to the mobile device 101 may be used for notification, or a QR code may be used to notify the key pair sharing request. FIG. 9 is a sequence diagram showing processing when information indicating a key pair sharing request is included in the QR code.

携帯機器102は、無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして動作するために、携帯機器101のコンフィギュレータ専用の鍵ペアを共有するようにユーザから指示を受ける(S901)。鍵ペアを共有する指示を受けた携帯機器102は、鍵ペアの共有要求を示す情報をQRコードに埋め込み(S902)、これを表示する(S903)。携帯機器102の表示したQRコードの情報を携帯機器101が取得するためのS904からS906での処理は、図4のS403からS405までの処理と同様である。なお、共有要求を含むQRコードが、印刷物などの形態で提供されてもよい。 The mobile device 102 receives an instruction from the user to share a key pair dedicated to the configurator of the mobile device 101 in order to operate as a configurator that provides communication parameters for connecting to the wireless network 104 (S901). The mobile device 102 that has received the instruction to share the key pair embeds information indicating a request to share the key pair in the QR code (S902) and displays it (S903). The processing from S904 to S906 for the mobile device 101 to acquire information on the QR code displayed by the mobile device 102 is similar to the processing from S403 to S405 in FIG. 4. Note that the QR code including the sharing request may be provided in the form of printed matter or the like.

携帯機器101は、取得したQRコード情報に、鍵ペアの共有要求が存在することを確認する(S907)。鍵ペアの共有要求を確認した携帯機器101は、鍵ペアの共有を許可する場合、鍵ペアの共有許可を示す情報を認証要求に含め(S908)、これを携帯機器102に送信する(S909)。なお、S907、S908の処理はS611、S612と同様である。 The mobile device 101 confirms that a key pair sharing request exists in the acquired QR code information (S907). When the mobile device 101 confirms the key pair sharing request and approves the key pair sharing, it includes information indicating permission to share the key pair in the authentication request (S908), and transmits this to the mobile device 102 (S909). . Note that the processing in S907 and S908 is similar to S611 and S612.

携帯機器102は、認証要求を受信し(S909)、認証要求に含まれる認証情報による認証に成功(認証要求を送信した携帯機器101がQRコードを撮影した装置であると判定)すると、認証要求に含まれている役割情報を検証する(S910)。認証情報の検証により、携帯機器101がコンフィギュレータであることを確認すると、携帯機器102は、認証要求に含まれる鍵ペアの共有許可を示す情報を確認する(S911)。鍵ペアの共有許可は、例えば、DPP Authentication Requestフレームの所定のビットが立っていることで示される。なお、認証要求において鍵ペアの共有許可を示す方法はこれに限られるものではない。例えば、役割が「パラメータ提供装置」を表すコンフィギュレータではなく「鍵ペア提供装置」であることを表すように、認証要求に含まれる役割情報を設定することで、鍵ペアの共有許可が示されてもよい。 When the mobile device 102 receives the authentication request (S909) and succeeds in authentication using the authentication information included in the authentication request (determines that the mobile device 101 that sent the authentication request is the device that captured the QR code), the mobile device 102 sends the authentication request. The role information included in the file is verified (S910). After verifying the authentication information and confirming that the mobile device 101 is a configurator, the mobile device 102 checks information indicating permission to share the key pair included in the authentication request (S911). Permission to share the key pair is indicated, for example, by setting a predetermined bit in the DPP Authentication Request frame. Note that the method of indicating permission to share a key pair in an authentication request is not limited to this. For example, by setting the role information included in the authentication request to indicate that the role is a "key pair providing device" rather than a configurator that indicates a "parameter providing device," permission to share a key pair is indicated. Good too.

認証要求から鍵ペアの共有許可を示す情報を確認した携帯機器102は、認証応答を送信し(S912)、携帯機器101から認証確認が送信されるのを待ち受ける。一方、認証応答を受信した携帯機器101は、認証応答に含まれるタグ情報と携帯機器102の役割情報を検証する(S913)。そして、タグ情報が正しく復号されて認証に成功したと判定され、役割情報がエンローリを示す場合、携帯機器101は認証確認を送信する(S914)。こうして認証が完了すると、設定要求と設定応答による通信パラメータの提供処理が行われる。通信パラメータの設定処理および鍵ペアの提供処理であるS915からS916の処理は、図6のS615からS616の処理と同様である。 The mobile device 102, which has confirmed the information indicating permission to share the key pair from the authentication request, transmits an authentication response (S912) and waits for an authentication confirmation to be transmitted from the mobile device 101. On the other hand, the mobile device 101 that has received the authentication response verifies the tag information and the role information of the mobile device 102 included in the authentication response (S913). Then, if it is determined that the tag information is correctly decoded and authentication is successful, and the role information indicates an enrollee, the mobile device 101 transmits an authentication confirmation (S914). When the authentication is completed in this way, communication parameter provision processing based on a setting request and a setting response is performed. The processing from S915 to S916, which is the communication parameter setting processing and the key pair provision processing, is the same as the processing from S615 to S616 in FIG.

以上のように、図9を用いて説明した処理によれば、QRコードを用いて鍵ペアの共有要求を通知することで、携帯機器101のコンフィギュレータ専用の鍵ペアを共有することができる。 As described above, according to the process described using FIG. 9, a key pair dedicated to the configurator of the mobile device 101 can be shared by notifying a key pair sharing request using a QR code.

<変形例2>
また、図6を用いて説明した処理によれば、鍵ペアの共有を要求する携帯機器102がQRコードを表示していたがこれに限られるものではない。携帯機器101がQRコードを表示する場合でも、鍵ペアの共有を携帯機器102が携帯機器101に要求するようにしてもよい。図10は、携帯機器101がQRコードを表示し、携帯機器102が携帯機器101に鍵ベアの要求を行う処理を示すシーケンス図である。 <Modification 2>
Further, according to the process described using FIG. 6, the mobile device 102 requesting key pair sharing displays a QR code, but the present invention is not limited to this. Even when the mobile device 101 displays the QR code, the mobile device 102 may request the mobile device 101 to share a key pair. FIG. 10 is a sequence diagram showing a process in which the mobile device 101 displays a QR code and the mobile device 102 requests the mobile device 101 for a key bear.

携帯機器101は、パラメータ提供の指示をユーザから受けると(S1001)、QRコードを自装置の表示部204に表示させ、認証要求を待ち受ける(S1002)。一方、携帯機器102は、無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして動作するために、携帯機器101のコンフィギュレータ専用の鍵ペアを共有するようにユーザから指示を受ける(S1003)。携帯機器102は、この指示を受けてQRコードを撮影するために撮像部207を起動する(S1004)。携帯機器102は、携帯機器101の表示部204に表示されているQRコードを、携帯機器102の撮像部207により撮像して、そのQRコードが示す情報を取得する(S1005)。携帯機器102は、QRコード情報を用いて認証要求を生成し、鍵ペアの共有要求を示す情報をこの認証要求に含め(S1006)、これを携帯機器101に送信する(S1007)。鍵ペアの共有要求は、例えば、DPP Authentication Requestフレームの所定のビットを立てることで示される。 When the mobile device 101 receives an instruction to provide parameters from the user (S1001), the mobile device 101 displays a QR code on the display unit 204 of the device itself, and waits for an authentication request (S1002). On the other hand, the mobile device 102 receives an instruction from the user to share a key pair dedicated to the configurator of the mobile device 101 in order to operate as a configurator that provides communication parameters for connecting to the wireless network 104 (S1003). In response to this instruction, the mobile device 102 activates the imaging unit 207 to photograph the QR code (S1004). The mobile device 102 captures an image of the QR code displayed on the display unit 204 of the mobile device 101 using the imaging unit 207 of the mobile device 102, and acquires information indicated by the QR code (S1005). The mobile device 102 generates an authentication request using the QR code information, includes information indicating a key pair sharing request in the authentication request (S1006), and transmits it to the mobile device 101 (S1007). A key pair sharing request is indicated, for example, by setting a predetermined bit in the DPP Authentication Request frame.

認証要求を受信した携帯機器101は、認証要求に含まれる認証情報により認証に成功すると、認証要求に含まれている役割情報を検証する(S1008)。この検証により役割情報がエンローリを示すことを確認すると、携帯機器101は、認証要求に鍵ペアの共有要求が含まれているか否かを確認する(S1009)。認証要求に鍵ペアの共有要求が含まれていることを確認すると、携帯機器101は、鍵ペアの共有許可を示す情報を認証要求に含め(S1010)これを携帯機器102に送信する(S1011)。鍵ペアの共有許可は、例えば、DPP Authentication Responseフレームの所定のビットが立っていることで示される。なお、S1009、S1010の処理はS611、S612と同様である。 When the mobile device 101 that has received the authentication request succeeds in authentication using the authentication information included in the authentication request, it verifies the role information included in the authentication request (S1008). When confirming that the role information indicates an enrollee through this verification, the mobile device 101 confirms whether the authentication request includes a key pair sharing request (S1009). When confirming that the authentication request includes a key pair sharing request, the mobile device 101 includes information indicating permission to share the key pair in the authentication request (S1010) and transmits this to the mobile device 102 (S1011). . Permission to share the key pair is indicated, for example, by setting a predetermined bit in the DPP Authentication Response frame. Note that the processes in S1009 and S1010 are similar to S611 and S612.

携帯機器102は、認証応答を受信すると、認証応答に含まれているタグ情報、役割情報を検証する(S1012)。そして、タグ情報を用いた認証が成功し、役割情報がコンフィギュレータを示す場合、携帯機器102は、認証応答に鍵ペアの共有許可が含まれているかを確認する(S1013)。鍵ペアの共有許可を確認した携帯機器102は、認証確認を携帯機器101に送信する(S1014)。こうして認証が完了すると、通信パラメータの提供処理(S1015)と鍵ペアの提供処理(S1016)が行われる。通信パラメータの設定処理および鍵ペアの提供処理であるS1015からS1016での処理は、図6のS615からS616までの処理と同様である。 Upon receiving the authentication response, the mobile device 102 verifies the tag information and role information included in the authentication response (S1012). Then, if the authentication using the tag information is successful and the role information indicates a configurator, the mobile device 102 checks whether the authentication response includes permission to share the key pair (S1013). After confirming permission to share the key pair, the mobile device 102 transmits an authentication confirmation to the mobile device 101 (S1014). When the authentication is completed in this way, communication parameter provision processing (S1015) and key pair provision processing (S1016) are performed. The processing from S1015 to S1016, which is the communication parameter setting processing and the key pair provision processing, is the same as the processing from S615 to S616 in FIG.

以上のように、図10を用いて説明した処理によれば、携帯機器101がQRコードを表示する場合にも、携帯機器101のコンフィギュレータ専用の鍵ペアを共有することができる。 As described above, according to the process described using FIG. 10, even when the mobile device 101 displays a QR code, a key pair dedicated to the configurator of the mobile device 101 can be shared.

以上のように、第1実施形態によれば、携帯機器102が携帯機器101に要求することで、アクセスポイント103の設定に用いた携帯機器101のコンフィギュレータ専用の秘密鍵と公開鍵のペアを共有することができる。鍵ペアを共有した結果、無線ネットワーク104に接続するための通信パラメータを配布するコンフィギュレータを複製することが可能となるため、ユーザの利便性が向上する。 As described above, according to the first embodiment, the mobile device 102 requests the mobile device 101 to share the pair of private key and public key exclusive to the configurator of the mobile device 101 used to configure the access point 103. can do. As a result of sharing the key pair, it becomes possible to duplicate the configurator that distributes communication parameters for connecting to the wireless network 104, which improves user convenience.

<第2実施形態>
第1実施形態では、アクセスポイント103の設定に用いた携帯機器101のコンフィギュレータ専用の鍵ペアの共有を携帯機器102が携帯機器101に要求する場合について説明した。第2実施形態では、アクセスポイント103の設定に用いた携帯機器101のコンフィギュレータ専用の鍵ペアの共有を、携帯機器101が携帯機器102に要求する場合の処理について説明する。 <Second embodiment>
In the first embodiment, a case has been described in which the mobile device 102 requests the mobile device 101 to share a key pair dedicated to the configurator of the mobile device 101 used to configure the access point 103. In the second embodiment, a process will be described in which the mobile device 101 requests the mobile device 102 to share a key pair dedicated to the configurator of the mobile device 101 used to set up the access point 103.

図11は、第2実施形態における携帯機器101と携帯機器102の間の処理を示すシーケンス図である。 FIG. 11 is a sequence diagram showing processing between the mobile device 101 and the mobile device 102 in the second embodiment.

携帯機器102は、通信パラメータ受領の指示をユーザから受けると(S1101)、ディスプレイにQRコードを表示し(S1102)、認証要求を待ち受ける。一方、携帯機器101は、無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして携帯機器102を動作させるために、携帯機器102との間で鍵ペアを共有するようにユーザから指示を受ける(S1103)。携帯機器101は、S1103で指示を受けると、QRコードを撮影するために撮像部207を起動する(S1104)。携帯機器101は、携帯機器102の表示部204に表示されているQRコードを撮像部207により撮像し、そのQRコードが示す情報を取得する(S1105)。QRコードが示す情報を取得した携帯機器101は、鍵ペアの共有要求を示す情報を認証要求に含め(S1106)、この認証要求を携帯機器102に送信する(S1107)。 When the mobile device 102 receives an instruction to receive communication parameters from the user (S1101), the mobile device 102 displays a QR code on the display (S1102) and waits for an authentication request. Meanwhile, the mobile device 101 receives instructions from the user to share a key pair with the mobile device 102 in order to operate the mobile device 102 as a configurator that provides communication parameters for connecting to the wireless network 104. (S1103). When the mobile device 101 receives the instruction in S1103, it activates the imaging unit 207 to photograph the QR code (S1104). The mobile device 101 uses the imaging unit 207 to capture an image of the QR code displayed on the display unit 204 of the mobile device 102, and acquires information indicated by the QR code (S1105). The mobile device 101 that has acquired the information indicated by the QR code includes information indicating a key pair sharing request in the authentication request (S1106), and transmits this authentication request to the mobile device 102 (S1107).

S1107にて携帯機器101から認証要求を受信した携帯機器102は、認証要求に含まれる認証情報や役割情報を検証する。携帯機器102は、認証に成功し、役割情報がコンフィギュレータを示すことを確認すると、鍵ペアの共有要求を示す情報が認証要求に含まれているか否かを確認する(S1109)。鍵ペアの共有要求を示す情報が含まれていることを確認した携帯機器102は、共有の可否をユーザに問合せ、操作部203を用いたユーザからの共有許可の指示を待ち受ける。鍵ペアの共有を許可する指示が入力されると、携帯機器102は、鍵ペアの共有許可を示す情報を認証要求に含め(S1110)、これを携帯機器101へ送信する(S1111)。 The mobile device 102 that received the authentication request from the mobile device 101 in S1107 verifies the authentication information and role information included in the authentication request. When the mobile device 102 succeeds in authentication and confirms that the role information indicates a configurator, the mobile device 102 confirms whether the authentication request includes information indicating a key pair sharing request (S1109). After confirming that information indicating a key pair sharing request is included, the mobile device 102 inquires of the user whether sharing is possible, and waits for an instruction from the user using the operation unit 203 to permit sharing. When an instruction to permit key pair sharing is input, the mobile device 102 includes information indicating permission to share the key pair in the authentication request (S1110), and transmits this to the mobile device 101 (S1111).

鍵ペアの共有が許可されない場合、後述するS1116での鍵ペア提供の処理は行われない。なお、鍵ペアの共有が許可されない場合、認証応答を送信しないことで、パラメータ提供処理を行わずに終了してもよい。さらに、鍵ペアの共有が許可されない場合、鍵ペアの供給を許可しないことを示す情報を含めたメッセージ(認証応答)を携帯機器101に送信してもよい。 If sharing of the key pair is not permitted, the process of providing the key pair in S1116, which will be described later, is not performed. Note that if sharing of the key pair is not permitted, the authentication response may be not sent and the process may be terminated without performing the parameter provision process. Further, if sharing of the key pair is not permitted, a message (authentication response) including information indicating that supply of the key pair is not permitted may be sent to the mobile device 101.

携帯機器101は、認証応答を受信すると、認証応答に含まれるタグ情報と役割情報を検証する(S1112)。携帯機器101は、タグ情報による認証に成功し、役割情報がエンローリを示すことを確認すると、認証応答に含まれる鍵ペアの共有許可を確認する(S1113)。鍵ペアの共有許可が確認されると、携帯機器101は認証確認を送信する(S1114)。こうして、認証を完了すると通信パラメータの提供処理が行われ(S1115)、続いて鍵ペアの提供処理が行われる(S1116)。S1115からS1116の処理は、図6のS615からS616の処理と同様である。 Upon receiving the authentication response, the mobile device 101 verifies the tag information and role information included in the authentication response (S1112). When the mobile device 101 succeeds in authentication using the tag information and confirms that the role information indicates an enrollee, the mobile device 101 confirms permission to share the key pair included in the authentication response (S1113). When permission to share the key pair is confirmed, the mobile device 101 transmits an authentication confirmation (S1114). When the authentication is completed in this way, communication parameter provision processing is performed (S1115), followed by key pair provision processing (S1116). The processing from S1115 to S1116 is similar to the processing from S615 to S616 in FIG.

続いて、上述の動作を実現する携帯機器101の動作と携帯機器102の動作を、図12および図13のフローチャートを用いて説明する。図12は、携帯機器101が、アクセスポイント103の設定処理に用いた携帯機器101のコンフィギュレータ専用の鍵ペアを提供する処理を示すフローチャートである。 Next, the operation of the mobile device 101 and the operation of the mobile device 102 that realize the above-described operation will be explained using the flowcharts of FIGS. 12 and 13. FIG. 12 is a flowchart showing a process in which the mobile device 101 provides a key pair dedicated to the configurator of the mobile device 101 used in the access point 103 setting process.

携帯機器102との間で鍵ペアを共有するようにユーザから指示を受けた携帯機器101の鍵共有処理部212は、撮像部207を起動する(S1201)。そして、鍵共有処理部212は、撮像部207がQRコードを撮影したか否かを判定する(S1202)。S1202にてQRコードを撮影したと判定されると、画像処理部208は撮像画像中のQRコードを復号し、携帯機器102の認証用の公開鍵を含むQRコード情報を取得する。制御部205は、取得されたQRコード情報を用いて認証要求を生成する(S1203)。制御部205は、鍵ペアの共有要求を示す情報を認証要求に含め(S1204)、認証要求を携帯機器102に送信する(S1205)。その後、鍵共有処理部212は、携帯機器102からの認証応答を待ち受ける(S1206)。なお、S1206にて所定の時間内に認証応答を受信できなかった場合、鍵ペア共有処理を終了するようにしてもよい。 The key sharing processing unit 212 of the mobile device 101, which has received an instruction from the user to share a key pair with the mobile device 102, activates the imaging unit 207 (S1201). Then, the key sharing processing unit 212 determines whether the imaging unit 207 has photographed the QR code (S1202). If it is determined in S1202 that a QR code has been photographed, the image processing unit 208 decodes the QR code in the captured image and acquires QR code information including the public key for authentication of the mobile device 102. The control unit 205 generates an authentication request using the acquired QR code information (S1203). The control unit 205 includes information indicating a key pair sharing request in the authentication request (S1204), and transmits the authentication request to the mobile device 102 (S1205). Thereafter, the key sharing processing unit 212 waits for an authentication response from the mobile device 102 (S1206). Note that if the authentication response cannot be received within a predetermined time in S1206, the key pair sharing process may be terminated.

認証応答を受信すると、制御部205は、認証応答に含まれるタグ情報による認証に成功したか否か、携帯機器102の役割情報がエンローリを示すか否かを判定する(S1207)。認証に失敗した場合、または、役割情報がエンローリを示さないと判定した場合、制御部205は、表示部204にエラーを示すメッセージを表示し、鍵ペア共有処理を終了する(S1213)。認証に成功し、且つ、役割情報がエンローリであると判定した場合、制御部205は、鍵ペアの共有許可が認証応答に含まれている否かを判定する(S1208)。鍵ペアの共有許可が認証応答に含まれていないと判定された場合(S1208でNO)、鍵共有処理部212は、表示部204にエラーを示すメッセージを表示し、鍵共有処理を終了する(S1213)。 Upon receiving the authentication response, the control unit 205 determines whether the authentication based on the tag information included in the authentication response was successful and whether the role information of the mobile device 102 indicates an enrollee (S1207). If the authentication fails, or if it is determined that the role information does not indicate an enrollee, the control unit 205 displays a message indicating an error on the display unit 204, and ends the key pair sharing process (S1213). If the authentication is successful and the role information is determined to be Enrollee, the control unit 205 determines whether permission to share the key pair is included in the authentication response (S1208). If it is determined that permission to share the key pair is not included in the authentication response (NO in S1208), the key sharing processing unit 212 displays a message indicating an error on the display unit 204, and ends the key sharing process ( S1213).

鍵ペアの共有許可が認証応答に含まれていると判定された場合(S1208でYES)、制御部205は、認証確認を送信し(S1209)、携帯機器102からの設定要求を待つ(S1210)。携帯機器102からの設定要求が受信されると、通信パラメータ処理部210は、通信パラメータの提供処理を行い、携帯機器102に通信パラメータを提供する(S1211)。そして、鍵共有処理部212は、鍵ペアを提供する(S1212)。なお、S1211、S1212の処理はS706、S707の処理と同様である。 If it is determined that permission to share the key pair is included in the authentication response (YES in S1208), the control unit 205 transmits an authentication confirmation (S1209) and waits for a setting request from the mobile device 102 (S1210). . When the setting request from the mobile device 102 is received, the communication parameter processing unit 210 performs communication parameter providing processing and provides the communication parameters to the mobile device 102 (S1211). Then, the key sharing processing unit 212 provides a key pair (S1212). Note that the processing in S1211 and S1212 is similar to the processing in S706 and S707.

図13は携帯機器102が、携帯機器101によるコンフィギュレータ専用の鍵ペアの提供を受け付ける処理を示すフローチャートである。パラメータ受領の指示をユーザから受けたことに応じて、コード生成部209は、QRコードを生成し、表示部204に表示するよう制御する(S1301)。その後、制御部205は、認証要求を待ち受ける(S1302)。なお、所定の時間内に認証要求を受信できなかった場合、アクセスポイント103は認証要求の待ち受けを終了してもよい。 FIG. 13 is a flowchart showing a process in which the mobile device 102 receives the provision of a configurator-specific key pair from the mobile device 101. In response to receiving an instruction to receive parameters from the user, the code generation unit 209 generates a QR code and controls the display unit 204 to display it (S1301). After that, the control unit 205 waits for an authentication request (S1302). Note that if the access point 103 cannot receive the authentication request within a predetermined time, the access point 103 may end waiting for the authentication request.

携帯機器101から認証要求を受信すると、制御部205は認証要求の認証情報を検証して認証成功か否か(認証要求の送信元の装置がQRコードを撮影した装置であるか否か)を判定し、役割判定部211は役割情報を検証する(S1303)。認証に失敗した、または、役割情報がコンフィギュレータ以外の場合(S1303でNO)、制御部205は、表示部204にエラーを示すメッセージを表示(S1313)し、処理を終了する。なお、エラーメッセージの表示(S1313)は省略されてもよい。 When receiving an authentication request from the mobile device 101, the control unit 205 verifies the authentication information in the authentication request and determines whether the authentication is successful (whether the device that sent the authentication request is the device that photographed the QR code). The role determining unit 211 then verifies the role information (S1303). If the authentication fails or the role information is other than configurator (NO in S1303), the control unit 205 displays a message indicating an error on the display unit 204 (S1313), and ends the process. Note that the display of the error message (S1313) may be omitted.

認証に成功し、且つ、役割情報がコンフィギュレータを示す場合(S1303でYES)、制御部205は、認証要求に鍵ペアの共有要求が設定されているか否かを判定する(S1304)。認証要求に鍵ペアの共有要求が設定されている場合、制御部205は共有設定の可否をユーザに確認する(S1305)。ユーザが共有設定を許可した場合(S1305でYES)、制御部205は共有許可を認証応答に設定し(S1306)、これを携帯機器101に送信する(S1307)。一方、認証要求に鍵ペアの供給要求を示す情報が設定されていない場合(S1304でNO)、または、ユーザが共有設定を許可しない場合(S1305でNO)、制御部205は、供給許可の設定の無い認証応答を携帯機器101に送信する(S1307)。そして、制御部205は、認証応答の送信先である携帯機器101からの認証確認を待ち受ける(S1308)。 If the authentication is successful and the role information indicates a configurator (YES in S1303), the control unit 205 determines whether a key pair sharing request is set in the authentication request (S1304). If a key pair sharing request is set in the authentication request, the control unit 205 confirms with the user whether the sharing setting is possible (S1305). If the user permits the sharing setting (YES in S1305), the control unit 205 sets the sharing permission in the authentication response (S1306), and transmits this to the mobile device 101 (S1307). On the other hand, if information indicating a key pair supply request is not set in the authentication request (NO in S1304), or if the user does not permit the sharing setting (NO in S1305), the control unit 205 sets supply permission. An authentication response without a message is sent to the mobile device 101 (S1307). Then, the control unit 205 waits for authentication confirmation from the mobile device 101, which is the destination of the authentication response (S1308).

制御部205は、携帯機器101から認証確認を受信するとそのタグ情報を用いて認証を行い、認証に成功すると(S1309でYES)、携帯機器101へ設定要求を送信する(S1310)。その後、通信パラメータ処理部210は、携帯機器101との通信パラメータ提供処理により、通信パラメータを取得する(S1311)。また、鍵共有処理部212は、S1306で共有許可を設定している場合に、携帯機器101のコンフィギュレータの鍵ペアの提供を受け付け、鍵ペアを取得する(S1312)。 When the control unit 205 receives the authentication confirmation from the mobile device 101, it performs authentication using the tag information, and if the authentication is successful (YES in S1309), it transmits a setting request to the mobile device 101 (S1310). Thereafter, the communication parameter processing unit 210 acquires communication parameters through communication parameter providing processing with the mobile device 101 (S1311). Further, if sharing permission is set in S1306, the key sharing processing unit 212 accepts the provision of a key pair from the configurator of the mobile device 101, and acquires the key pair (S1312).

以上のように、第2実施形態によれば、携帯機器101から携帯機器102に鍵ペアの共有を要求することで、アクセスポイント103の設定に用いた携帯機器101のコンフィギュレータ専用の秘密鍵と公開鍵のペアを共有することができる。鍵ペアを共有した結果、無線ネットワーク104に接続するための通信パラメータを配布するコンフィギュレータが増加するため、ユーザの利便性が向上する。 As described above, according to the second embodiment, by requesting the mobile device 101 to share a key pair with the mobile device 102, the private key dedicated to the configurator of the mobile device 101 used for setting up the access point 103 can be shared with the public key pair. Key pairs can be shared. As a result of sharing the key pair, the number of configurators distributing communication parameters for connecting to the wireless network 104 increases, thereby improving user convenience.

なお、携帯機器101のコンフィギュレータ専用の鍵ペアの共有を携帯機器101が携帯機器102に要求する場合にも、図9を用いて説明した処理(変形例1)のように、QRコードを用いて鍵ペアの共有要求を通知することで鍵ペアを共有してもよい。また、図10を用いて説明した処理(変形例2)のように、携帯機器101がQRコードを表示する場合でも、鍵ペアを共有してよい。 Note that even when the mobile device 101 requests the mobile device 102 to share a key pair dedicated to the configurator of the mobile device 101, as in the process (modification 1) described using FIG. A key pair may be shared by notifying a key pair sharing request. Further, even when the mobile device 101 displays a QR code as in the process described using FIG. 10 (Modification 2), a key pair may be shared.

<第3実施形態>
第1実施形態および第2実施形態では、携帯機器101と携帯機器102が認証のための情報を交換するためのフレームもしくはQRコードを用いて、鍵ペアの共有要求を通知する例を示した。第3実施形態では、アクセスポイント103の設定に用いた携帯機器101のコンフィギュレータ専用の鍵ペアの共有を、通信パラメータの設定処理を行うためのフレームを用いて、携帯機器101が携帯機器102に要求する場合の処理について説明する。 <Third embodiment>
In the first embodiment and the second embodiment, an example was shown in which the mobile device 101 and the mobile device 102 notify a key pair sharing request using a frame or a QR code for exchanging information for authentication. In the third embodiment, the mobile device 101 requests the mobile device 102 to share a key pair dedicated to the configurator of the mobile device 101 used to configure the access point 103 using a frame for performing communication parameter setting processing. The process when doing so will be explained.

図14は、第3実施形態における携帯機器101と携帯機器102の間の処理を示すシーケンス図である。 FIG. 14 is a sequence diagram showing processing between the mobile device 101 and the mobile device 102 in the third embodiment.

携帯機器102は、無線ネットワーク104に接続するための通信パラメータを提供するコンフィギュレータとして動作するために、携帯機器101のコンフィギュレータ専用の鍵ペアを共有するようにユーザから指示を受ける(S1401)。そして、携帯機器102は、QRコードを自装置の表示部204に表示させ、認証要求を待ち受ける(S1402)。これらのS1401~S1402の処理は、図6で説明したS601~S602までの処理と同様である。 The mobile device 102 receives an instruction from the user to share a key pair dedicated to the configurator of the mobile device 101 in order to operate as a configurator that provides communication parameters for connecting to the wireless network 104 (S1401). Then, the mobile device 102 displays the QR code on its display unit 204 and waits for an authentication request (S1402). These processes from S1401 to S1402 are similar to the processes from S601 to S602 described with reference to FIG.

一方、携帯機器101は、ユーザからパラメータ提供の開始指示を受けると(S1403)、携帯機器102が表示するQRコードの画像を撮像してQRコード情報を取得する(S1404、S1405)。携帯機器101は取得したQRコード情報に基づいて認証要求を生成し、送信する(S1406)。 On the other hand, when the mobile device 101 receives an instruction to start providing parameters from the user (S1403), the mobile device 101 captures an image of the QR code displayed by the mobile device 102 and acquires QR code information (S1404, S1405). The mobile device 101 generates an authentication request based on the acquired QR code information and transmits it (S1406).

携帯機器102は、認証要求を受信すると(S1406)、認証要求の内容を検証する。携帯機器102は、認証要求に含まれる認証情報を検証して、認証要求を送信した携帯機器101がQRコードを撮影した装置であると判定(認証成功)すると、認証要求に含まれる役割情報を検証する(S1407)。携帯機器102は、役割情報を検証した結果、認証要求を送信した装置の役割がコンフィギュレータを示すと判定すると、認証応答を生成、送信する(S1408)。携帯機器101へ認証応答を送信した携帯機器102は、携帯機器101から認証確認が送信されるのを待ち受ける。携帯機器101は、認証応答を受信し(S1408)、タグ情報による認証に成功すると、認証応答に含まれる携帯機器102の役割情報を検証する(S1409)。携帯機器101は、認証応答の認証に成功し、認証応答に含まれる役割情報がエンローリを示すと判定すると、携帯機器102へ認証確認を送信する(S1410)。これらのS1403~S1410の処理は、図4で説明したS403~S410までの処理と同様である。 Upon receiving the authentication request (S1406), the mobile device 102 verifies the content of the authentication request. When the mobile device 102 verifies the authentication information included in the authentication request and determines that the mobile device 101 that sent the authentication request is the device that photographed the QR code (authentication successful), the mobile device 102 verifies the role information included in the authentication request. Verify (S1407). When the mobile device 102 verifies the role information and determines that the role of the device that transmitted the authentication request indicates a configurator, it generates and transmits an authentication response (S1408). The mobile device 102 that has transmitted the authentication response to the mobile device 101 waits for an authentication confirmation to be transmitted from the mobile device 101. The mobile device 101 receives the authentication response (S1408), and when the tag information-based authentication is successful, the mobile device 101 verifies the role information of the mobile device 102 included in the authentication response (S1409). When the mobile device 101 successfully authenticates the authentication response and determines that the role information included in the authentication response indicates an enrollee, the mobile device 101 transmits an authentication confirmation to the mobile device 102 (S1410). These processes from S1403 to S1410 are similar to the processes from S403 to S410 described with reference to FIG.

携帯機器102は、認証確認を受信すると(S1410)、認証確認の内容を検証する。認証確認の内容を検証した結果、認証に成功したと判定されると、鍵ペアの共有要求を示す情報を設定要求に含める処理を行う(S1411)。鍵ペアの共有要求は、例えば、DPP Configuration Requestフレームの所定のビットを立てることで示される。なお、鍵ペアの要求を示すために所定のビットを用いるとしたがこれに限られるものではない。例えば、設定要求に含める通信パラメータ受領後の役割情報が、「アクセスポイント」や「無線ネットワークに接続する装置」以外の役割、例えば「コンフィギュレータ」を表す役割を示すようにしてもよい。携帯機器102は、以上のようにして生成した、鍵ペアの共有要求を含む設定要求を送信する(S1412)。設定要求を送信後、携帯機器102は、認証確認を送信した携帯機器101から設定応答が送信されるのを待つ。 Upon receiving the authentication confirmation (S1410), the mobile device 102 verifies the contents of the authentication confirmation. As a result of verifying the contents of the authentication confirmation, if it is determined that the authentication has been successful, processing is performed to include information indicating a key pair sharing request in the setting request (S1411). A key pair sharing request is indicated, for example, by setting a predetermined bit in the DPP Configuration Request frame. Note that although a predetermined bit is used to indicate a request for a key pair, the present invention is not limited to this. For example, the role information included in the configuration request after receiving the communication parameters may indicate a role other than "access point" or "device connected to a wireless network," such as a role representing "configurator." The mobile device 102 transmits the setting request including the key pair sharing request generated as described above (S1412). After transmitting the configuration request, the mobile device 102 waits for a configuration response to be transmitted from the mobile device 101 that has transmitted the authentication confirmation.

設定要求を受信した携帯機器101は、設定要求に鍵ペアの共有要求が含まれているかを確認する(S1413)。設定要求に鍵ペアの共有要求が含まれている場合、携帯機器101は、鍵ペアの共有要求がある旨を表示部204に表示してユーザに通知し、操作部203を用いたユーザからの鍵ペアの共有に対する許可の指示を待ち受ける。鍵ペアの共有がユーザから許可された場合、携帯機器101は、鍵ペアの共有許可を示す情報を設定応答に含める(S1414)。鍵ペアの共有許可は、例えば、DPP Configuration Responseフレームの所定のビットを立てることで示される。携帯機器101は、鍵ペアの共有許可を示す情報を含めた設定応答を携帯機器102に送信する(S1415)。設定応答を送信した携帯機器101は、携帯機器101のコンフィギュレータ専用の秘密鍵と公開鍵のペアを、携帯機器101と携帯機器102との間の共有鍵を使用して暗号化し、携帯機器102に送信する(S1416)。なお、S1415で送信した設定応答に携帯機器101のコンフィギュレータ専用の公開鍵が含まれているため、S1416では秘密鍵だけを送信するようにしてもよい。また、携帯機器101は、S1415で送信した設定応答に携帯機器101のコンフィギュレータ専用の秘密鍵を含めて送信してもよい。その場合、S1416の処理が不要となる。 The mobile device 101 that has received the setting request checks whether the setting request includes a key pair sharing request (S1413). If the setting request includes a request to share a key pair, the mobile device 101 displays on the display unit 204 to notify the user that there is a request to share a key pair, and then requests the user to share the key pair using the operation unit 203. Waits for permission to share the key pair. If the user permits sharing of the key pair, the mobile device 101 includes information indicating permission to share the key pair in the setting response (S1414). Permission to share the key pair is indicated, for example, by setting a predetermined bit in the DPP Configuration Response frame. The mobile device 101 transmits a setting response including information indicating permission to share the key pair to the mobile device 102 (S1415). The mobile device 101 that has sent the configuration response encrypts the pair of private key and public key dedicated to the configurator of the mobile device 101 using the shared key between the mobile device 101 and the mobile device 102, and sends it to the mobile device 102. Send (S1416). Note that since the setting response sent in S1415 includes a public key dedicated to the configurator of the mobile device 101, only the private key may be sent in S1416. Furthermore, the mobile device 101 may include a secret key exclusively for the configurator of the mobile device 101 in the configuration response transmitted in S1415. In that case, the process of S1416 becomes unnecessary.

なお、鍵ペアの共有要求がある旨を表示部204に表示し、操作部203を用いたユーザからの許可指示を受け付けることを鍵ペアの共有の条件としたが、これに限られるものではない。例えば、ユーザからの許可指示を受けることなく鍵ペアを提供してもよい。また、ユーザからの許可指示を受けることなく鍵ペアの共有許可を示す情報を設定応答に含める処理を実行してもよい。この場合、鍵ペアの共有要求がある旨の表示が省略されてもよい。 Note that the condition for sharing a key pair is to display on the display unit 204 that there is a request to share a key pair and to accept a permission instruction from the user using the operation unit 203; however, the present invention is not limited to this. . For example, the key pair may be provided without receiving permission instructions from the user. Further, a process may be performed in which information indicating permission to share a key pair is included in the configuration response without receiving a permission instruction from the user. In this case, the display indicating that there is a request to share a key pair may be omitted.

一方、ユーザが鍵ペアの共有を許可しない場合、鍵ペアの提供処理(S1416)は行われない。あるいは、鍵ペアの共有が許可されない場合、設定応答を送信しないことで、パラメータ提供処理を行わずに終了してもよい。さらに、鍵ペア共有を許可しない場合、許可しないことを示す情報を含めた設定応答を携帯機器102に送信するようにしてもよい。 On the other hand, if the user does not permit sharing of the key pair, the key pair provision process (S1416) is not performed. Alternatively, if sharing of the key pair is not permitted, the configuration response may be not transmitted and the process may be terminated without performing the parameter provision process. Furthermore, if key pair sharing is not permitted, a setting response including information indicating that the key pair sharing is not permitted may be sent to the mobile device 102.

設定応答を受信した携帯機器102は、設定応答に含まれる鍵ペアの共有許可を示す情報を確認する(S1417)。鍵ペアの共有許可を示す情報が設定応答に含まれていない場合、携帯機器102はパラメータ受領処理を終了する。なお、鍵ペアの共有許可を示す情報が設定応答に含まれていない場合、携帯機器102は、表示部204にエラーを示すメッセージを表示してユーザに通知してもよい。 The mobile device 102 that has received the configuration response checks information indicating permission to share the key pair included in the configuration response (S1417). If the configuration response does not include information indicating permission to share the key pair, the mobile device 102 ends the parameter reception process. Note that if the configuration response does not include information indicating permission to share the key pair, the mobile device 102 may display a message indicating an error on the display unit 204 to notify the user.

続いて、図15、図16のフローチャートを用いて、携帯機器101、携帯機器102の処理を説明する。 Next, the processing of the mobile device 101 and the mobile device 102 will be explained using the flowcharts of FIGS. 15 and 16.

図15は、携帯機器101が、携帯機器102の要求に応じて、自身が保持するコンフィギュレータの鍵ペア(秘密鍵と公開鍵)を携帯機器102に提供する処理を示すフローチャートである。撮像部207を起動してから、設定要求の受信を行うまでの処理は図3(S301~S308)と同様である。図15では、図3の処理において、設定要求を受信したと判定された後(S308でYES)の処理を示す。 FIG. 15 is a flowchart showing a process in which the mobile device 101 provides the configurator key pair (private key and public key) held by the mobile device 101 to the mobile device 102 in response to a request from the mobile device 102. The processing from activating the imaging unit 207 to receiving the setting request is the same as that in FIG. 3 (S301 to S308). FIG. 15 shows the process after it is determined that a setting request has been received (YES in S308) in the process of FIG.

携帯機器102が送信した設定要求を受信した携帯機器101の制御部205は、設定要求に鍵ペアの共有要求があるかどうかを判定する(S1501)。鍵ペアの共有要求があると判定された場合、制御部205は表示部204と操作部203を用いて鍵ペアの共有の可否をユーザに確認する(S1502)。ユーザが共有を許可した場合(S1502でOK)、鍵共有処理部212は設定応答に共有許可を示す情報を設定し(S1503)、これを携帯機器102に送信する(S1504)。他方、設定要求に鍵ペアの共有要求がないと判定された場合(S1501でNO)、または、ユーザが共有を許可しない場合(S1502でNG)、S1503はスキップされ、共有許可を示す情報のない設定応答を携帯機器102に送信する(S1504)。 The control unit 205 of the mobile device 101, which has received the setting request transmitted by the mobile device 102, determines whether the setting request includes a key pair sharing request (S1501). If it is determined that there is a request to share the key pair, the control unit 205 uses the display unit 204 and the operation unit 203 to confirm with the user whether the key pair can be shared (S1502). If the user permits sharing (OK in S1502), the key sharing processing unit 212 sets information indicating sharing permission in the setting response (S1503), and transmits this to the mobile device 102 (S1504). On the other hand, if it is determined that the configuration request does not include a request to share a key pair (NO in S1501), or if the user does not permit sharing (NG in S1502), S1503 is skipped and there is no information indicating permission to share. A setting response is sent to the mobile device 102 (S1504).

続いて、鍵共有処理部212は、コンフィギュレータの秘密鍵と公開鍵である鍵ペアを携帯機器102に提供する(S1505)。なお、鍵ペアは、共有鍵により暗号化される。また、安全のために、S1505では、S1503で共有許可を設定した場合にのみ、鍵ペアの提供を実行するようにしてもよい。 Subsequently, the key sharing processing unit 212 provides the key pair, which is the configurator's private key and public key, to the mobile device 102 (S1505). Note that the key pair is encrypted using a shared key. Further, for security, the key pair may be provided in step S1505 only when sharing permission is set in step S1503.

図16は、携帯機器102が、携帯機器101の保持する鍵ペアを共有するようにユーザから指示を受け、アクセスポイント103の設定処理に用いた携帯機器101のコンフィギュレータ専用の鍵ペアを取得する処理を示すフローチャートである。 FIG. 16 shows a process in which the mobile device 102 receives an instruction from a user to share a key pair held by the mobile device 101, and acquires a key pair exclusively for the configurator of the mobile device 101 used in the access point 103 setting process. It is a flowchart which shows.

携帯機器102の制御部205は、鍵ペアを共有するようにユーザから操作部203を介して指示を受けると、QRコードを生成し、表示部204に表示する(S1601)。その後、制御部205は、認証要求を待ち受ける(S1602)。携帯機器101から認証要求を受信すると、制御部205は、認証を行い、役割情報を検証してその役割がコンフィギュレータであるかを判定する(S1603)。認証に失敗した、または、携帯機器101の役割がコンフィギュレータでないと判定されると(S1603でNO)、制御部205は、表示部204にエラーを示すメッセージを表示(S1612)し、処理を終了する。 When the control unit 205 of the mobile device 102 receives an instruction from the user via the operation unit 203 to share a key pair, it generates a QR code and displays it on the display unit 204 (S1601). After that, the control unit 205 waits for an authentication request (S1602). Upon receiving the authentication request from the mobile device 101, the control unit 205 performs authentication, verifies role information, and determines whether the role is a configurator (S1603). If the authentication fails or it is determined that the role of the mobile device 101 is not a configurator (NO in S1603), the control unit 205 displays a message indicating an error on the display unit 204 (S1612) and ends the process. .

一方、S1603において認証成功と判定され、且つ、認証要求を送信した携帯機器101の役割がコンフィギュレータであると判定された場合(S1603でYES)、制御部205は認証応答を送信し(S1604)、携帯機器101からの認証確認を待ち受ける。携帯機器101から認証確認を受信すると(S1605でYES)、制御部205は認証確認に含まれているタグ情報を用いた認証に成功したかを判定する(S1606)。 On the other hand, if it is determined in S1603 that the authentication is successful, and it is determined that the role of the mobile device 101 that transmitted the authentication request is a configurator (YES in S1603), the control unit 205 transmits an authentication response (S1604), The authentication confirmation from the mobile device 101 is awaited. Upon receiving the authentication confirmation from the mobile device 101 (YES in S1605), the control unit 205 determines whether authentication using the tag information included in the authentication confirmation was successful (S1606).

制御部205は、携帯機器101から認証確認を受信するとそのタグ情報を用いて認証を行い、認証に成功すると(S1606でYES)、鍵共有処理部212は、鍵ペアの共有要求を示す情報を設定要求に設定する(S1607)。その後、制御部205は、携帯機器101に共有要求が設定された設定要求を送信し(S1608)、携帯機器101からの設定応答を待ち受ける。一方、S1606において、タグ情報の検証に失敗した場合、制御部205は、表示部204にエラーを示すメッセージを表示し、処理を終了する(S1612)。 Upon receiving the authentication confirmation from the mobile device 101, the control unit 205 performs authentication using the tag information, and if the authentication is successful (YES in S1606), the key sharing processing unit 212 transmits information indicating a key pair sharing request. Set in the setting request (S1607). After that, the control unit 205 transmits a setting request in which a sharing request is set to the mobile device 101 (S1608), and waits for a setting response from the mobile device 101. On the other hand, if verification of the tag information fails in S1606, the control unit 205 displays a message indicating the error on the display unit 204, and ends the process (S1612).

携帯機器101から設定応答を受信すると(S1609)、制御部205は鍵ペアの共有許可を示す情報が設定応答に含まれているか否かを判定する(S1610)。そして、鍵ペアの共有許可を示す情報が設定応答に含まれていると判定された場合(S110でYES)、鍵共有処理部212は、携帯機器101のコンフィギュレータ専用の鍵ペアを取得する(S1611)。S1610にて鍵ペアの共有許可を示す情報が認証確認に含まれていないと判定された場合(S1610でNO)、制御部205はパラメータ受領処理を終了する、または、表示部204にエラーを示すメッセージを表示し、処理を終了する(S1612)。 Upon receiving a configuration response from the mobile device 101 (S1609), the control unit 205 determines whether the configuration response includes information indicating permission to share a key pair (S1610). If it is determined that the configuration response includes information indicating permission to share the key pair (YES in S110), the key sharing processing unit 212 acquires a key pair dedicated to the configurator of the mobile device 101 (S1611). ). If it is determined in S1610 that the information indicating permission to share the key pair is not included in the authentication confirmation (NO in S1610), the control unit 205 ends the parameter reception process or indicates an error on the display unit 204. A message is displayed and the process ends (S1612).

<その他の実施形態>
上述の各実施形態においては、QRコード(登録商標)の画像を利用して通信パラメータの設定を行うための情報を装置間でやり取りする構成について説明した。しかし、QRコード(登録商標)の撮影に代えて、NFCやBluetooth(登録商標)などの無線通信を用いてもよい。また、IEEE802.11adもしくはトランスファージェット(TransferJet)(登録商標)等の無線通信を用いてもよい。 <Other embodiments>
In each of the embodiments described above, a configuration has been described in which information for setting communication parameters is exchanged between devices using a QR code (registered trademark) image. However, instead of photographing the QR code (registered trademark), wireless communication such as NFC or Bluetooth (registered trademark) may be used. Alternatively, wireless communication such as IEEE802.11ad or TransferJet (registered trademark) may be used.

なお、読みとるQRコード(登録商標)は表示部に表示されているQRコードだけではなく、通信機器の筺体にシールなどの形態で貼り付けられているQRコードであってよい。また、読みとるQRコード(登録商標)は取り扱い説明書や通信機器の販売時の段ボールなどの包装に貼り付けられているものであってもよい。また、QRコードでなく、バーコード、二次元コードであっても良い。また、QRコードなどの機械が読み取り可能な情報に代えて、ユーザが読みとれる形式の情報であっても良い。 Note that the QR code (registered trademark) to be read is not limited to the QR code displayed on the display unit, but may be a QR code affixed in the form of a sticker or the like to the casing of the communication device. Further, the QR code (registered trademark) to be read may be affixed to an instruction manual or packaging such as cardboard when the communication device is sold. Moreover, instead of a QR code, a bar code or a two-dimensional code may be used. Further, instead of machine-readable information such as a QR code, information in a user-readable format may be used.

また、各実施形態において、装置間の通信をIEEE802.11準拠の無線LAN通信により行う場合について説明したが、これに限る物ではない。例えば、ワイヤレスUSB、MBOA、Bluetooth(登録商標)、UWB、ZigBee、NFC等の無線通信媒体を用いて実施してもよい。ここで、MBOAは、Multi Band OFDM Allianceの略である。また、UWBは、ワイヤレスUSB、ワイヤレス1394、WINETなどが含まれる。 Further, in each embodiment, a case has been described in which communication between devices is performed by wireless LAN communication based on IEEE802.11, but the present invention is not limited to this. For example, it may be implemented using a wireless communication medium such as wireless USB, MBOA, Bluetooth (registered trademark), UWB, ZigBee, NFC, or the like. Here, MBOA is an abbreviation for Multi Band OFDM Alliance. Further, UWB includes wireless USB, wireless 1394, WINET, and the like.

また、各実施形態において、無線LANのアクセスポイントに接続するための通信パラメータを提供する場合について記載したが、これに限るものではない。例えば、Wi-Fi Direct(登録商標)のグループオーナーに接続するための通信パラメータを提供するようにしてよい。 Further, in each embodiment, a case has been described in which communication parameters for connecting to a wireless LAN access point are provided, but the present invention is not limited to this. For example, communication parameters for connecting to a Wi-Fi Direct (registered trademark) group owner may be provided.

以上のように、各実施形態によれば、コンフィギュレータが通信パラメータの暗号化と復号に用いる秘密鍵と公開鍵のペアを、他の装置からの要求、あるいは、コンフィギュレータからの要求により、共有することができる。その結果、アクセスポイントに接続するための通信パラメータを提供するコンフィギュレータの数を容易に増やすことができる。例えば、DPPによる通信パラメータの設定の手続きにおいて、記憶媒体または別のプロトコル(例えばHTTP)を用いることなく、コンフィギュレータの鍵ペアを当該コンフィギュレータとエンローリで共有することができる。 As described above, according to each embodiment, the configurator can share the private key/public key pair used for encrypting and decoding communication parameters upon request from another device or upon request from the configurator. Can be done. As a result, the number of configurators that provide communication parameters for connecting to an access point can be easily increased. For example, in a procedure for setting communication parameters by DPP, a configurator's key pair can be shared between the configurator and the enrollee without using a storage medium or another protocol (eg, HTTP).

本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 The present invention provides a system or device with a program that implements one or more functions of the embodiments described above via a network or a storage medium, and one or more processors in a computer of the system or device reads and executes the program. This can also be achieved by processing. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

101、102:携帯機器、103:アクセスポイント、104:無線ネットワーク、105、106:プリンタ、201:無線通信制御部、202:送受信部、203:操作部、204:表示部、205:制御部、206:記憶部、207:撮像部、208:画像処理部、209:コード生成部、210:通信パラメータ処理部、211:役割判定部、212:鍵共有処理部 101, 102: mobile device, 103: access point, 104: wireless network, 105, 106: printer, 201: wireless communication control unit, 202: transmission/reception unit, 203: operation unit, 204: display unit, 205: control unit, 206: Storage unit, 207: Imaging unit, 208: Image processing unit, 209: Code generation unit, 210: Communication parameter processing unit, 211: Role determination unit, 212: Key sharing processing unit

Claims (24)

通信装置であって、
Device Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す第一情報を含むフレームを外部装置から受信すると、Device Provisioning Protocolにおいて定義されるコンフィギュレータに関する情報である第二情報を前記外部装置へ提供する提供手段を有し、前記外部装置は前記提供手段で提供された第二情報に基づいてコンフィグレータとして機能することを特徴とする通信装置。 A communication device,
providing means for providing second information, which is information regarding the configurator defined in the Device Provisioning Protocol, to the external device when a frame including first information indicating the role of the configurator defined in the Device Provisioning Protocol is received from the external device; A communication device, wherein the external device functions as a configurator based on the second information provided by the providing means. 通信装置であって、
外部装置から受信したフレームにDevice Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す第一情報を含む場合、Device Provisioning Protocolにおいて定義されるコンフィギュレータとして機能するための情報である第二情報を前記外部装置へ提供する提供手段を有することを特徴とする通信装置。 A communication device,
When a frame received from an external device includes first information indicating the role of a configurator defined in the Device Provisioning Protocol, second information, which is information for functioning as a configurator defined in the Device Provisioning Protocol, is sent to the external device. A communication device characterized by having a providing means for providing. 前記外部装置と認証のための情報を交換することにより認証処理を行う認証手段を更に有し、前記フレームは前記認証手段による認証に成功した場合に受信するフレームであることを特徴とする請求項1または2に記載の通信装置。 Claim: further comprising an authentication means for performing authentication processing by exchanging information for authentication with the external device, and the frame is a frame received when authentication by the authentication means is successful. 3. The communication device according to 1 or 2. 前記認証処理は、認証要求の送信と認証応答の受信とを含むことを特徴とする請求項3に記載の通信装置。 4. The communication device according to claim 3, wherein the authentication process includes transmitting an authentication request and receiving an authentication response. 前記認証要求はDPP Authentication Requestであり、前記認証応答はDPP Authentication Responseであることを特徴とする請求項4に記載の通信装置。 5. The communication device according to claim 4, wherein the authentication request is a DPP Authentication Request, and the authentication response is a DPP Authentication Response. 前記フレームは、DPP Configuration Requestフレームであり、前記通信装置はDevice Provisioning Protocolにおいて定義されるコンフィギュレータとして機能することを特徴とする請求項1乃至5のいずれか1項に記載の通信装置。 6. The communication device according to claim 1, wherein the frame is a DPP Configuration Request frame, and the communication device functions as a configurator defined in Device Provisioning Protocol. 前記フレームに前記第一情報が含まれる場合に、前記第二情報を提供することを許可するか否かをユーザに問合わせる問合せ手段をさらに備えることを特徴とする請求項1乃至6のいずれか1項に記載の通信装置。 7. Any one of claims 1 to 6, further comprising an inquiry unit that inquires of the user whether or not to permit provision of the second information when the first information is included in the frame. The communication device according to item 1. 前記第二情報は、通信パラメータを提供するための情報であることを特徴とする請求項1乃至7のいずれか1項に記載の通信装置。 8. The communication device according to claim 1, wherein the second information is information for providing communication parameters. 前記フレームにアクセスポイントの役割を示す第三情報が含まれる場合は 通信パラメータを前記外部装置に送信することを特徴とする請求項1乃至8のいずれか1項に記載の通信装置。 9. The communication device according to claim 1, wherein when the frame includes third information indicating a role of an access point, communication parameters are transmitted to the external device. 前記第二情報は、通信パラメータの提供において前記通信パラメータの暗号化に用いられる秘密鍵を含むことを特徴とする請求項1乃至9のいずれか1項に記載の通信装置。 10. The communication device according to claim 1, wherein the second information includes a secret key used for encrypting the communication parameters when providing the communication parameters. 通信装置であって、
Device Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す情報を含めたフレームを外部装置に送信する送信手段と、
Device Provisioning Protocolにおいて定義されるコンフィギュレータに関する情報である第二情報を、前記フレームを受信した前記外部装置から受信する受信手段と、を備え、前記受信手段で受信した第二情報に基づいてコンフィグレータとして機能することを特徴とする通信装置。 A communication device,
a transmitting means for transmitting a frame including information indicating a role of a configurator defined in the Device Provisioning Protocol to an external device;
receiving means for receiving second information, which is information regarding a configurator defined in the Device Provisioning Protocol, from the external device that received the frame, and functioning as a configurator based on the second information received by the receiving means. A communication device characterized by: 通信装置であって、
Device Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す情報を含めたフレームを外部装置に送信する送信手段と、
Device Provisioning Protocolにおいて定義されるコンフィギュレータとして機能するための情報である第二情報を、前記フレームを受信した前記外部装置から受信する受信手段と、を備えることを特徴とする通信装置。 A communication device,
a transmitting means for transmitting a frame including information indicating a role of a configurator defined in the Device Provisioning Protocol to an external device;
A communication device comprising: receiving means for receiving second information, which is information for functioning as a configurator defined in Device Provisioning Protocol, from the external device that has received the frame. 前記外部装置と認証のための情報を交換することにより認証処理を行う認証手段を更に有し、前記フレームは前記認証手段による認証に成功した場合に受信するフレームであることを特徴とする請求項11または12に記載の通信装置。 Claim: further comprising an authentication means for performing authentication processing by exchanging information for authentication with the external device, and the frame is a frame received when authentication by the authentication means is successful. 13. The communication device according to 11 or 12. 前記認証処理は、認証要求の受信と認証応答の送信とを含むことを特徴とする請求項13に記載の通信装置。 The communication device according to claim 13, wherein the authentication process includes receiving an authentication request and transmitting an authentication response. 前記認証要求はDPP Authentication Requestであり、前記認証応答はDPP Authentication Responseであることを特徴とする請求項14に記載の通信装置。 15. The communication device according to claim 14, wherein the authentication request is a DPP Authentication Request, and the authentication response is a DPP Authentication Response. 前記フレームは、DPP Configuration Requestフレームであり、前記通信装置はDevice Provisioning Protocolにおいて定義されるエンローリとして機能することを特徴とする請求項11乃至15のいずれか1項に記載の通信装置。 16. The communication device according to claim 11, wherein the frame is a DPP Configuration Request frame, and the communication device functions as an enrollee defined in Device Provisioning Protocol. 前記第二情報は、通信パラメータを提供するための情報であることを特徴とする請求項11乃至16のいずれか1項に記載の通信装置。 17. The communication device according to claim 11, wherein the second information is information for providing communication parameters. 前記第二情報は、通信パラメータの提供において前記通信パラメータの暗号化に用いられる秘密鍵を含むことを特徴とする請求項11乃至17のいずれか1項に記載の通信装置。 18. The communication device according to claim 11, wherein the second information includes a secret key used for encrypting the communication parameters in providing the communication parameters. 通信装置が実行する制御方法であって、
Device Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す第一情報を含むフレームを外部装置から受信すると、Device Provisioning Protocolにおいて定義されるコンフィギュレータに関する情報である第二情報を前記外部装置へ提供する提供工程を有し、前記外部装置は前記提供工程で提供された第二情報に基づいてコンフィグレータとして機能することを特徴とする制御方法。 A control method executed by a communication device, comprising:
When a frame including first information indicating the role of a configurator defined in the Device Provisioning Protocol is received from an external device, a providing step of providing second information, which is information regarding the configurator defined in the Device Provisioning Protocol, to the external device. A control method, wherein the external device functions as a configurator based on the second information provided in the providing step. 通信装置が実行する制御方法であって、
外部装置から受信したフレームにDevice Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す第一情報を含む場合、Device Provisioning Protocolにおいて定義されるコンフィギュレータとして機能するための情報である第二情報を前記外部装置へ提供する提供工程を有することを特徴とする制御方法。 A control method executed by a communication device, comprising:
When a frame received from an external device includes first information indicating the role of a configurator defined in the Device Provisioning Protocol, second information, which is information for functioning as a configurator defined in the Device Provisioning Protocol, is sent to the external device. A control method comprising the step of providing. 通信装置が実行する制御方法であって、
Device Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す情報を含めたフレームを外部装置に送信する送信工程と、
Device Provisioning Protocolにおいて定義されるコンフィギュレータに関する情報である第二情報を、前記フレームを受信した前記外部装置から受信する受信工程と、を備え、前記通信装置は前記受信工程で受信した第二情報に基づいてコンフィグレータとして機能することを特徴とする制御方法。 A control method executed by a communication device, comprising:
a transmission step of transmitting a frame including information indicating the role of the configurator defined in the Device Provisioning Protocol to the external device;
a receiving step of receiving second information, which is information regarding a configurator defined in Device Provisioning Protocol, from the external device that received the frame, and the communication device receives second information based on the second information received in the receiving step. A control method characterized by functioning as a configurator. 通信装置が実行する制御方法であって、
Device Provisioning Protocolにおいて定義されるコンフィギュレータの役割を示す情報を含めたフレームを外部装置に送信する送信工程と、
Device Provisioning Protocolにおいて定義されるコンフィギュレータとして機能するための情報である第二情報を、前記フレームを受信した前記外部装置から受信する受信工程と、を備えることを特徴とする制御方法。 A control method executed by a communication device, comprising:
a transmission step of transmitting a frame including information indicating the role of the configurator defined in the Device Provisioning Protocol to the external device;
A control method comprising: receiving second information, which is information for functioning as a configurator defined in Device Provisioning Protocol, from the external device that has received the frame. 請求項1乃至10のいずれか1項に記載された通信装置の各手段としてコンピュータを機能させるためのプログラム。 A program for causing a computer to function as each means of the communication device according to claim 1 . 請求項11乃至18のいずれか1項に記載された通信装置の各手段としてコンピュータを機能させるためのプログラム。 A program for causing a computer to function as each means of the communication device according to any one of claims 11 to 18.
JP2022115050A 2017-07-28 2022-07-19 Communication device, control method and program Active JP7353433B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017146799 2017-07-28
JP2017146799 2017-07-28
JP2018082463A JP7109243B2 (en) 2017-07-28 2018-04-23 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD AND PROGRAM

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018082463A Division JP7109243B2 (en) 2017-07-28 2018-04-23 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD AND PROGRAM

Publications (2)

Publication Number Publication Date
JP2022141827A JP2022141827A (en) 2022-09-29
JP7353433B2 true JP7353433B2 (en) 2023-09-29

Family

ID=65040158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022115050A Active JP7353433B2 (en) 2017-07-28 2022-07-19 Communication device, control method and program

Country Status (2)

Country Link
JP (1) JP7353433B2 (en)
WO (1) WO2019021770A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7387283B2 (en) 2019-04-22 2023-11-28 キヤノン株式会社 Communication device, control method and program for communication device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160034553A1 (en) 2014-07-30 2016-02-04 Linkedln Corporation Hybrid aggregation of data sets

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6504951B2 (en) * 2015-07-21 2019-04-24 キヤノン株式会社 Communication device, control method of communication device, program
JP6570355B2 (en) * 2015-07-21 2019-09-04 キヤノン株式会社 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160034553A1 (en) 2014-07-30 2016-02-04 Linkedln Corporation Hybrid aggregation of data sets

Also Published As

Publication number Publication date
JP2022141827A (en) 2022-09-29
WO2019021770A1 (en) 2019-01-31

Similar Documents

Publication Publication Date Title
JP7109243B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD AND PROGRAM
JP7054341B2 (en) Communication equipment and its control method
JP4895346B2 (en) COMMUNICATION DEVICE AND SYSTEM, AND ITS CONTROL METHOD
KR102200766B1 (en) Communication device, communication method, and program to facilitate direct communication
JP4989117B2 (en) Communication apparatus and method
JP6732460B2 (en) Communication device, communication method, program
US11259177B2 (en) Communication device, communication method, and storage medium
JP7353433B2 (en) Communication device, control method and program
JP2017130727A (en) Communication device, sharing method of communication parameters, program
JP4560366B2 (en) Wireless communication device
JP2023120266A (en) Communication device, control method, and program
JP7406893B2 (en) Communication device, control method and program
WO2020090443A1 (en) Communication device, control method, and program
JP7266727B2 (en) Communication device and its control method
JP6486228B2 (en) Communication apparatus, control method, and program
WO2023218759A1 (en) Communication device, control method therefor, and communication system
WO2023053699A1 (en) Communication device, control method, and communication system
JP2017112430A (en) Communication device, communication device control method, and program
JP2016213614A (en) Communication device, control method, program of communication device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220810

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230919

R151 Written notification of patent or utility model registration

Ref document number: 7353433

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151