TWI376121B - - Google Patents

Description

九、發明說明： 【發明所屬之技術領域】 本發明係關於一種通訊系統，特別係關於一種認證向無 線網路之存取權限之通訊系統、無線通訊裝置、及此等之 通訊控制方法、及使該方法在電腦上執行之程式。 【先前技術】 作為應用無線技術構成網路之態樣，已知有基礎架構模 式（infrastructure mode)及隨意模式（ad hoc mode)。基礎架 構模式中，係在被稱為存取點（AP : Access Point)等無線 通訊裝置之統括控制下形成網路。另一方面，隨意模式中 不進行藉由特定之存取點之統括控制，而係作為無線終端 而動作之任意的無線通訊裝置彼此直接進行非同步的無線 通訊’藉此形成網路。 在如此之無線網路中，提出有用於提高安全功能之方 法。例如，提出有將利用由IEEE(Institute of Electrical and Electronics Engineers)802.1X 為代表之認證伺服器 (AS:Authentication Server)之認證方式’應用於IEEE802.il 之基礎架構模式之技術（例如，參照專利文獻1)。 [專利文獻1]日本特開2004-180324號公報（圖3) 【發明内容】 [發明所欲解決之問題] 上述之先前技術中5基礎架構模式中之存取點成為向認 證伺服器之認證代理（authentication proxy)，轉送無線終 端與認證伺服器間之認證協定序列（authenticati〇n protocol 120690.doc sequence)。如此，將為了其他無線终端作為向認證祠服器 之認證代理而動作之實體稱為認證者（authenticator)，將經 由認證者接受認證處理之實體稱為請求認證者 (Supplicant) ° 另一方面，在隨意模式中，由於各個無線終端之角色分 配並未明確決定，需要藉由某一基準以決定其角色分配。 此時，亦可將能夠到達認證伺服器之無線終端選作認證 者，但有符合之無線終端存在有複數個之情形。在進行認 證之2個無線終端同時可到達認證伺服器時，例如，亦可 考慮藉由 MAC位址（Media Access Control address ;媒體存 取控制位址）之大小決定其角色分配。 然而，在隨意模式中，各自之無線通訊裝置具有移動之 可能性，且無線通訊裝置間之路徑之無線通訊品質亦不固 定。在如此之狀況下，若固定地決定認證者及請求認證者 之角色分配，則其結果會有藉由無效率之認證路徑來進行 認證訊息傳輸之虞。 因此，本發明之目的在於考慮至認證伺服器之路徑，以 決定認證時之認證者及請求認證者之角色分配。 [解決問題之技術手段] 本發明係為解決上述問題所完成者，其第1側面係一種 無線通訊裝置，其特徵在於其係在與其他無線通訊裝置之 間基於認證伺服器而進行相互認證者，且具備：通訊設定 資料保持機構，其保持通訊設定資料，該通訊設定資料係 包含作為自認證伺服器度量值之用於由該無線通訊裝置到 120690.doc 1376121 達上述認證伺服器之度量值者；信號接收機構，其由上述 其他無線通訊裝置接收特定信號，該特定信號係包含作為 他認證伺服器度量值之用於由上述其他無線通訊裝置到達 上述認證伺服器之度量值者；及控制機構，其在上述自認 證伺服器度量值比上述他認證伺服器度量值優越時，設定 該無線通訊裝置為上述相互認證中之請求認證者，在上述 自認證伺服器度量值比上述他認證伺服器度量值差時，設 定該無線通訊裝置為上述相互認證中之認證者。藉此，具 有將用於到達認證伺服器之度量值作為基準，設定相互認 證中之請求認證者及認證者之角色分配之作用。即，藉由 使對於認證伺服器具有更易存取路徑之無線通訊裝置成為 認證者，可有效率地進行相互認證。 此外，在該第1側面中，上述通訊設定資料保持機構所 保持之上述通訊設定資料亦可包含該無線通訊裝置之位 址，上述特定信號亦可包含上述其他無線通訊裝置之位 址，上述控制機構在上述自認證伺服器度量值與上述他認 證伺服器度量值相等時，亦可根據該無線通訊裝置之位址 與上述其他無線通訊裝置之位址之關係，設定該無線通訊 裝置為上述相互認證中之認證者或請求認證者中之任一 方。更具體而言，上述控制機構在該無線通訊裝置之位址 比上述其他無線通訊裝置之位址大時，可設定該無線通訊 裝置為上述相互認證中之認證者，在該無線通訊裝置之位 址不比上述其他無線通訊裝置之位址大時，可設定該無線 通訊裝置為上述相互認證中之請求認證者。藉此，具有在 Λ V. (.S / 120690.doc 1376121 用於到達認證伺服器之度量值相等時’根據無線通訊裝置 之位址關係設定相互認證中之請求認證者及認證者之角色 分配的作用。即，即使在藉由用於到達認證祠服器之度量 值不能判斷時，亦可在無線通訊裝置間無矛盾地進行角色 分配設定。 此外，在該第1側面中，上述特定信號亦可包含顯示能 否由上述其他無線通訊裝置到達上述認證伺服器之第1到 達性資訊，上述通訊設定資料保持機構所保持之上述通訊 設定資料亦可包含顯示能否由該無線通訊裝置到達上述認 證祠服器之第2到達性資訊’上述控制機構在上述第1到達 性資訊顯示由上述其他無線通訊裝置可到達上述認證飼服 器之主旨，且上述第2到達性資訊顯示由該無線通訊裝置 不能到達上述認證伺服器之主旨時’亦可不管上述自認證 伺服器度量值及上述他認證伺服器度量值之關係’而設定 該無線通訊裝置為在上述相互認證中之請求認證者’在上 述第1到達性資訊顯示由上述其他無線通訊裝置不能到達 上述認證伺服器之主旨，且上述第2到達性資訊顯示由該 無線通訊裝置可到達上述認證伺服器之主旨時，亦可不管 上述自認證伺服器度量值及上述他認證伺服器度量值之關 係，而設定該無線通訊裝置為上述相互認證中之認證者。 藉此，具有以能否到達認證伺服器為基準’設定相互認證 中之請求認證者及認證者之角色分配的作用。 此外，在該第1侧面中，上述度量值可設定為顯示到達 上述認證伺服器止之無線通訊路徑之中繼段（hoP)數’而 < S ) 120690.doc 1376121 且，亦可考慮無線通訊路徑之無線通訊品質。 此外’在該&側面中，上述控制機構在上述相互認證 成功後，重新算出用於到達上述認證伺服器之度量值，在 該重新算出之度量值比上述通訊設定資料保持機構所保持 之上述自認證词服器度量值優越時，亦可將上述重新算出 之度量值保持於上述通訊設定資料保持機構。藉此，具有 使自認證伺服器度量值更新為最新者之作用。 此外，在該第1側面中，亦可進一步具備：他認證伺服 器度量值保持機構’其對應上述其他無線通訊裝置保持上 述他認證词服器度量# ;及鄰近度量值獲得機I，其將該 無線通訊裝置與上述其他無線通訊裝置之間的度量值作為 鄰近度量值而獲得；上述控制機構亦可藉由加算上述他認 證伺服器度量值與上述鄰近度量值，算出上述自認證伺服 器度量值。藉此，具有藉由AS發佈等將他認證伺服器度量 值預先保持在他認證伺服器度量值保持機構，從而算出自 認證词服器度量值之作用。此外，在上述其他無線通訊裝 置複數存在之情形下，上述信號接收機構在由複數之上述 其他無線通訊裝置接收到上述特定信號時，亦可基於在上 述特疋彳§號中上述他認證伺服器度量值之最優越者，將上 述他認證伺服器度量值保持在上述他認證伺服器度量值保 持機構。藉此，具有在由不同之無線通訊裝置接收以一個 橋接終端作為發送源之AS發佈時，使最適合之他認證伺服 器度s:值保持在他認證飼服器度量值保持機構之作用。 此外，本發明之第2側面中，係一種通訊系統，其特徵 120690.doc 1376121

在於其係在複數之無線通訊裝置間，基於認證伺服器進行 相互認證者，上述複數之各無線通訊裝置具備：通訊設定 資料保持機構，其保持通訊設定資料，該通訊設定資料係 包含作為自認證伺服器度量值之用於由該無線通訊裝置到 達上述認證伺服器之度量值者；信號發送機構，其發送包 含上述自認證伺服器度量值之第1信號；信號接收機構， 其從其他無線通訊裝置接收第2信號，該第2信號係包含作 為他認證伺服器度量值之用於由上述其他無線通訊裝置到 達上述認證伺服器之度量值者；及控制機構，其在上述自 認證伺服器度量值比上述他認證伺服器度量值優越時，設 定該無線通訊裝置為上述相互認證中之請求認證者，在上 述自認證伺服器度量值比上述他認證伺服器度量值差時， 設定該無線通訊裝置為上述相互認證中之認證者。藉此， 具有將用於到達認證伺服器之度量值作為基準，設定相互 認證中之請求認證者及認證者之角色分配之作用。

[發明之效果] 根據本發明，在決定用於認證之認證者及請求認證者之 角色分配時，可得到能反映到達認證伺服器之路徑狀況的 優異效果。 【實施方式】 下面，參照圖式就本發明之實施形態進行詳細說明。 圖1係顯示本發明之實施形態之通訊系統之構成例圖。 該通訊系統具備：連接認證伺服器110及橋接終端120之有 線網路190 ;及連接橋接終端120、無線終端A210、無線終 (s > 120690.doc •10· 1376121 端B220及無線终端C230之無線隨意網路290。 認證伺服器110係用於對欲連接通訊系統之無線終端進 行存取權限認證之伺服器。該認證伺服器110藉由經由作 為認證者而動作之無線終端，進行作為請求認證者而動作 之無線終端的認證。

橋接終端120係具有連接有線網路190與無線隨意網路 290之橋接功能者。該橋接終端120係連接於有線網路190 之有線通訊裝置，同時亦係構成無線隨意網路290之無線 通訊裝置。 無線終端A210、B220、及C23 0(以下，有時將此等統稱 為無線終端200)係與橋接終端120—起構成無線隨意網路 290之無線通訊裝置。

在無線隨意網路290中，若欲連接新的無線終端時，在 與業已構成無線隨意網路290之其他無線終端之間進行相 互認證。例如，在橋接終端120、無線終端A210、及B220 業已構成無線隨意網路290之情形下，若欲連接新的無線 終端C230時，於無線終端C230與無線終端A210及B220之 間分別進行相互認證。 在該相互認證之前，各無線終端發送信標（beacon)(廣播 信號），相互接收相互的信標。若無線終端C230先接收到 來自無線終端A210之信標（與來自無線終端B220之信標相 較），則進行無線終端A210與無線終端C230間之相互認 證。在進行該相互認證時，如上所述，一方作為認證者動 作，另一方作為請求認證者動作。在該時點，由於無線終 120690.doc 1376121 端C230尚不是能到達認證伺服器110之狀態，故無線终端 A210作為認證者動作，無線終端C230作為請求認證者動 作。即，藉由無線終端A210作為認證伺服器110之認證代 理行動，進行無線终端C23 0之認證。其結果在無線終端 A210與無線終端C230之間形成認證鏈接。

然後，若無線終端C230接收到來自無線終端B220之信 標，則進行無線終端B220與無線終端C230間之相互認 證。此時，由於業已形成由無線終端C230至認證伺服器 110之鏈接，故無線終端B220及C230中之任一者均可成為 認證者。在本發明之實施形態中，藉由比較由無線終端 B220至認證伺服器110之路徑與由無線終端C230至認證伺 服器110之路徑，將對於認證伺服器110具有較易存取路徑 之無線終端作為認證者而加以設定。

此處將成為「對於認證伺服器110具有較易存取路徑」 之基準之度量值稱為「認證伺服器度量值」。作為該認證 伺服器度量值，例如，可使用到達認證伺服器止之無線通 訊路徑之中繼段數，即：至橋接終端120之中繼段數。此 時，可以說中繼段數越少（認證伺服器度量值優越）越是 「易存取之路徑」。在上述例中，無線終端B220成為具有 比無線終端C230優越的認證伺服器度量值。

此外，作為認證伺服器度量值不僅可使用到達認證伺服 器止之無線通訊路徑之中繼段數，亦可使用附加有該路徑 之各鏈接之無線通訊品質的值。例如，可使用就路徑控制 協定所提出之ETX(Expected Transmission Count)。該 ETX < S ) 120690.doc •12- 1376121 係基於藉由各無線終端相互進行探測請求及探測回應而取 得之雙向遞送率（delivery ratios)的值。（D.Couto，et al.:「A High-Throughput Path Metric for Multi-Hop Wireless Routing」，Proc. Of the 9th ACM International Conference on Mobile Computing and Networking (MobiCom'03), September 2003) °

再者，作為在認證伺服器度量值中可利用之無線通訊品 質，其他亦可考慮訊框（frame)之再發送次數、發送仔列 (queue)長及電波強度等。 圖2係顯示本發明之實施形態中之橋接終端120的構成例 圖。該橋接終端120具有橋接控制部121、有線/無線橋接 機構122、有線網路介面123、無線網路介面124、無線通 訊設定資料保持部125、及鄰近終端列表126。

橋接控制部121係進行橋接終端120整體之控制者。有線 /無線橋接機構122係進行有線網路190與無線隨意網路290 之協定轉換者。有線網路介面123係與有線網路190之間進 行交換之介面。無線網路介面124係與無線隨意網路290之 間進行交換之介面。 無線通訊設定資料保持部125係保持用於進行無線通訊 之設定資料者。作為設定資料，例如保持有服務組識別碼 (SSID:Service Set Identifier)、安全設定資料、橋接終端 120之MAC位址等。此外，服務組識別碼（SSID)係用於識 別無線隨意網路290者，例如，可使用藉由使用者所輸入 之任意文字列。而作為安全設定資料，可保持為 (S ) 120690.doc 13 1376121 RSN(Robust Security Network:強固的安全網路）所使用之 密碼及識別碼等。 鄰近终端列表126係包含在無線隨意網路290中存在於橋 接終端120附近之無線終端之一覽表。橋接控制部121藉由 接收由無線終端定期發送之信標進行控制，以便使得在該 鄰近終端列表126中反映最新之狀態。 圖3係顯示本發明之實施形態中之無線終端200之構成例 圖。該無線終端200具有終端控制部201、無線網路介面 204、無線通訊設定資料保持部205、鄰近終端列表206、 及路徑表207。 終端控制部201係進行無線終端200整體之控制者。無線 網路介面204係與無線隨意網路290之間進行交換之介面。 無線通訊設定資料保持部205係保持用於進行無線通訊 之設定資料者。作為設定資料，例如保持有用於識別無線 隨意網路290之服務組識別碼（SSID)、為RSN所使用之密碼 及識別碼等安全設定資料、無線終端200之MAC位址、及 無線終端200之現在之認證伺服器度量值等。 鄰近終端列表206係包含在無線隨意網路290中存在於無 線終端200附近之無線終端之一覽表。終端控制部201藉由 接收由其他無線終端定期發送之信標進行控制，使得在該 鄰近終端列表206中反映最新之狀態。 路徑表207係包含在無線隨意網路290中用於到達橋接終 端120及其他無線終端之路徑之一覽表。 圖4係顯示本發明之實施形態中之鄰近終端列表610之構 < S ) 120690.doc -14- 1376121 成例圖。該鄰近終端列表61G係相當於橋接終端120中之鄰 近終端列表126或無線终端2〇〇中之鄰近终端列表者。 該鄰近终端列表61G對每-存在於鄰近之無線終端（以下 稱為鄰近終端）保持有鄰近终端之终端識別碼6ιι，及與該 鄰近終端之間的認證狀態612。 、"

作為鄰近終端之终端識別碼611之終端識別碼，例如可 ，用該無線終端之MAC位址。此外，作為認證狀態M2， 可使用顯示在與該無線終端之間相互認證完成 證」）或否（「未認證」）之標誌。 〜

圖5係顯示本發明之實施形態中之路徑表620之構成例 圖。該路徑表620係相當於無線終端2〇〇中之路徑表2〇7 者。該路徑表620對於每_發送對象終端，保持有在發送 訊，時成為最終發送對“無祕端（以T稱為發送對象 終端）之終端識別碼621、中繼發往發送對象終端之訊框的 無線終端⑺了稱為中繼終端）之終端識別碼似及由發送對 象終端向認證储器11()之認證舰器度量值⑵。 作為發送對象終端之終端識別碼621及 ------丁栖吟嘴之終姓 識別碼622中之终端4£ 、 、端識別碼，例如可使用該無線 MAC位址。廿外，％增， 、响< 5心也伺服器度量值623可使用至橋接終 之路徑之中繼段數、及附加有該路徑之各鍵接之I 線通訊品質者。 ㈣之無 送寺基於該路彼表620進行路徑控帝】。例如，在發 往橋接終端之發送時， ^在發送對象終端之終端識別碼621 中索引橋接終端之終墙巧 ^ y 、％識別碼，獲付與此對應之中繼終端 120690.doc

-15· < S 1376121 之終端識別碼622所保持之無線終端A之終端識別碼。藉 此，可知在向橋接終端發送時，將無線终端A作為中繼终 端即可。 圖6係顯示根據IEEE802.il規格之信標訊框之訊框格式 之圖。信標訊框520係傳達MAC副層之信標資訊者，具有 MAC 標頭 521 、訊框本體 530、FCS(Frame Check

Sequence)529。而且，MAC標頭521具有訊框控制器522、 期間523、接收對象位址524、發送源位址525、 BSSID526、及序列控制器527 〇 訊框控制器522係顯示訊框之控制資訊的欄位，包含有 關於訊框的種類及通訊形態之資訊。該訊框控制器522中 之類型5221顯示該訊框之類型。又，訊框控制器522中之 子類型5222顯示該訊框之子類型。在該信標訊框之情形， 訊框的類型係管理訊框，子類型係信標訊框。 期間523係顯示至訊框發送完成之預約時間的欄位。 發送源位址525係顯示發送側之無線終端之位址者，例 如可使用終端識別碼。此外，接收對象位址524係顯示接 收側之無線終端之位址者。在信標訊框520之情形，該接 收對象位址524可使用廣播位址。 BSSID526係保持IEEE802.il規格中所定義之基本服務組 識別碼（BSSID:Basic Service Set Identifier)者，其在隨意 模式中，在該無線終端所屬之網路中使用最初所起動的無 線終端之MAC位址。 序列控制器527係顯示片斷分割時之片斷號碼及序列號 120690.doc -16· 1376121 碼的搁位。 訊框本體530係相當於信標訊框52〇之酬載i⑽d) 者，用於傳輸MAC副層之資料。FCS529係用於檢測信標 訊框520之錯誤的攔位，苴 又疋因生成多項式之剩餘計算 所引起之餘數1之補碼。 信標訊框520之情形，作為訊框本體530,其包含時間戳 記53卜信標週期532、功能資訊533、ssm534 '對應速度 535、及 RSN538 等。 時間戳記53 1係以微秒單位顯示用於時刻同步功能之計 時器之值者。信標週期532係以微秒單位顯示信標訊框之 發送週期者。 功能資訊533係顯示有關pCF(p〇int c〇〇rdinati〇n Function)及加密等各種資訊者。該功能資訊533中亦包含 網路動作模式，該網路動作模式顯示發送之無線終端是基 礎架構模式之存取點下屬之基本服務組（BSS. : Basic Service Set)，或是隨意模式之獨立之基本服務組（IBSS: Independent Basic Service Set) ° 3 8105 34係顯示用於識別無線隨意網路29〇之服務組識別 碼者》對應速度535係顯示支援之無線傳輸速率之一覽 者。RSN5 3 8係保持為RSN而使用之密碼及識別碼等資訊之 欄位。 圖7係顯示本發明之實施形態中之rSN欄位之項目例之 圖。示訊框520之RSN538保持為使網路強固所使用之密 碼及識別瑪等安全設定資料。本發明之實施形態中，在 120690.doc •17- c s > 1376121 RSN538之RSN功能資訊（RSN Capabilities)591之備用區域 設有認證伺服器到達性（Connected to AS)592及認證伺服器 度量值（AS Metric)593的欄位。藉此，各無線終端藉由經 由信標訊框520，可知道由其他無線終端向認證伺服器110 之到達性及向認證伺服器110之路徑之度量值。 認證伺服器到達性592係顯示由發送該信標訊框520之無 線終端能否經由有線網路190及無線隨意網路290到達認證 伺服器110的欄位。在該無線終端與無線隨意網路290上之 任一無線終端均未進行相互認證之情形下，規定向認證伺 服器110之到達性為無。 認證伺服器度量值593係顯示由發送該信標訊框520之無 線終端至認證伺服器110之路徑之認證伺服器度量值之欄 位。接收信標訊框520之無線終端200 ’藉由比較無線通訊 設定資料保持部205所保持之現在的認證伺服器度量值與 接收之認證伺服器度量值593，判斷無線終端200應成為認 證者或應成為請求認證者。 再者，此處假想為相互接收由各無線終端定期發送信標 之被動掃描方式，但亦可為另外之方式。例如’亦可適用 於回應某一無線終端發送之探測請求（圖8) ’周圍之無線終 端作為探測回應（圖9)而發送必要資訊之主動掃描方式。 圖8係顯示根據IEEE802.il規格之探測請求訊框之訊框 格式之圖。無線通訊系統中’亦可存在不發送信標訊樞之 無線終端。如此之無線終端可藉由發送該探測請求訊框 550進行檢索請求。 <s > 120690.doc • 18- 1376121 該探測請求訊框55 0係傳達MAC副層之探測請求者，具 有MAC標頭551、訊框本體560、及FCS559。此處，MAC 標頭551及FCS559係與圖6顯示之信標訊框520之情形相同 之構成。但’子類型5522顯示探測請求。 此外’訊框本體560係相當於探測請求訊框550之酬載 者’用於傳輸MAC副層之資料。該訊框本體560包含 SSID564、對應速度565、請求資訊566、及擴展對應速度 567等’其係類似於圖6顯示之信標訊框520之構成。 圖9係顯示根據JEEE802.11規格之探測回應訊框之訊框 格式之圖。該探測回應訊框570係接收到探測請求訊框55〇 之無線終端用於回應之訊框。 該探測回應訊框570係傳達MAC副層之探測回應者，具 有MAC標頭571、訊框本體580、及FCS579 »此處，MAC 標頭571及FCS579係與圖6顯示之信標訊框520之情形相同 之構成。但’子類型5722顯示探測回應。 此外，訊框本體580係相當於探測回應訊框570之酬載 者’用於傳輸MAC副層之資料。該訊框本體580中包含時 間戮記581、信標週期582、功能資訊583、SSID584、對應 速度585、及RSN588 ,係與圖6顯示之信標訊框520同樣之 構成。 繼之’參照圖式就本發明實施形態之無線終端2〇〇之動 作進行說明。 作為處理前提’首先，設定橋接終端12〇係經由有線網 路190確立與認證伺服器110之連接者。橋接終端120，在 120690.doc •19- < s > 1376121 起動後使無線網路介面124有效後’開始信標訊框520之發 送。此外’若橋接終端12 0由無線終端接收到探測請求訊 框550時’則發送探測回應訊框570。此時，在信標訊框 520或探測回應訊框570之RSN功能資訊591中，在認證祠 服器到達性592設定「有到達性」，在認證伺服器度量值 593設定「〇」。 另一方面，無線終端200亦在主起動後，藉由使無線網 路介面204有效，開始信標訊框520之發送，或發送探測請 求訊框550 »此時，在信標訊框52〇之RSN功能資訊591 中，在§忍證伺服器到達性592設定「無到達性」，在認證伺 服器度量值593設定最差值。 圖1 0及圖11係顯示根據本發明實施形態之無線終端2〇〇 之處理程序例圖。無線終端2〇〇若由其他無線通訊裝置接 收到彳§標訊框520或探測回應訊框570，則選出網路參數一 致之未認證之鄰近終端（步驟S911)0此處，所謂網路參數 係指服務組識別碼（SSID)、網路動作模式、及安全設定資 料等。即，無線終端2〇〇比較包含於信標訊框52〇(或探測 回應訊框570)之SSID534(584)、功能資訊533(583)、及 RSN538(588)之網路參數，與無線通訊設定資料保持部2〇5 所保持之無線通訊設定資料。此外，是否已被認證可基於 信標訊框520(或探測回應訊框57〇)之發送源位址 525(5 75)，藉由參照鄰近終端列表61〇之與終端識別碼6ιι 對應之認證狀態612進行判斷。 、、α果在存在符合「網路參數一致之未認證之鄰近終 120690.doc •20· 1376121 端」之無線终端之情形下，進行以下處理。首先賦予此等 鄰近终端優先度（步驟S913)，從該優先度最高的無線终端 開始，依序選擇進行處理（步驟S914)。此處，決定優先度 係以彳§標訊框520(或探測回應訊框57〇)之RSN功能資訊591 之認證伺服器到達性592設定為「有到達性」之鄰近終端 為優先。此外’在認證伺服器到達性592設定為「有到達 f生」之郴近終端複數存在時，決定優先度係以信標訊框 52〇(或探測回應訊框570)之RSN功能資訊591之認證伺服器 度量值593較優越之鄰近終端為優先。 然後，若由所選擇之鄰近終端接收之信標訊框52〇(或探 測回應訊框570)之RSN功能資訊591之認證伺服器到達性 592顯示「有到達性」，則執行步驟S916，若顯示「無到達 性」，則執行步驟S917(步驟S915)。 在所選擇之鄰近終端之認證伺服器到達性592顯示「無 到達性」之情形，若由無線終端200向認證伺服器11〇有到 達性（步驟S917)，則設定該無線終端2〇〇為相互認證中之 也者（步驟S922)。此處，作為由無線終端2〇〇向認證伺 服益110之到達性，在鄰近終端列表2〇6中若存在認證狀態 612為「已認證」之鄰近終端，則判斷該無線終端2〇〇為 有至丨達性」，若不存在認證狀態612為「已認證」之鄰近 終端，則判斷該無線終端200為「無到達性」。另一方面， 在所選擇之鄰近終端之認證伺服器到達性592顯示為「有 到達性」之情形，若由無線終端200向認證伺服器11〇沒有 到達性（步驟S916)，則設定該無線終端2〇〇為相互認證中 120690.doc 21 <s> 1376121 之請求認證者（步驟S921)。即，僅在所選擇之鄰近终端之 認證伺服器到達性592及由無線終端200向認證伺服器110 之到達性中之任意一方顯示「無到達性」時，具有到達性 之無線終端設定為認證者，無到達性之無線終端設定為請 求認證者。 再者，在所選擇之鄰近終端之認證伺服器到達性592及 由無線終端200向認證伺服器110之到達性均顯示「無到達 性」之情形（步驟S9 1 7)，不進行兩者間之相互認證。

在所選擇之鄰近終端之認證伺服器到達性592及由無線 終端200向認證伺服器110之到達性均顯示「有到達性」之 情形（步驟S9 16)，藉由從所選擇之鄰近終端接收之信標訊 框520(或探測回應訊框570)之RSN功能資訊591之認證伺服 器度量值593、與無線通訊設定資料保持部205所保持之無 線終端200之現在的認證伺服器度量值之關係，來決定在 相互認證中之角色分配（步驟S918)。

亦即，在所選擇之鄰近終端之認證伺服器度量值593比 無線終端200之現在的認證伺服器度量值優越時，設定該 無線終端200為相互認證中之請求認證者（步驟S921)。另 一方面，在所選擇之鄰近終端之認證伺服器度量值593比 無線終端200之現在的認證伺服器度量值差時，設定該無 線終端200為相互認證中之認證者（步驟S922)。 此外，在所選擇之鄰近終端之認證伺服器度量值593與 無線終端200之現在的認證伺服器度量值相等時，以MAC 位址之大小決定相互認證中之角色分配（步驟S9 19)。即， C S > 120690.doc -22- 1376121

在無線终端200之MAC位址比所選擇之鄰近終端之MAC位 址大時，設定無線终端200為相互認證中之認證者（步驟 S922)，在無線终端200之MAC位址比所選擇之鄰近終端之 MAC位址小時，設定無線終端200為相互認證中之請求認 證者（步驟S921)。另外，所選擇之鄰近終端之MAC位址， 可由接收之信標訊框520(或探測回應訊框570)之發送源位 址525(575)或鄰近终端列表206之终端識別碼611獲得，無 線終端200之MAC位址可由無線通訊設定資料保持部205獲 得。 再者，在作為相互認證當事者一方之無線終端200為認 證者時，另一方之無線終端成為請求認證者，而在無線終 端200為請求認證者時，另一方之無線終端成為認證者。

一旦決定相互認證中之角色分配，則進行所選擇之鄰近 終端與無線終端200之間的相互認證（步驟S93 1)。若該相 互認證成功（步驟S932)，在此之前沒有向認證伺服器110到 達性之無線終端，經由進行認證者之角色分配之無線終端 亦成為具有向認證伺服器110之到達性者。因此，在相互 之無線終端，重新算出向認證伺服器110之認證伺服器度 量值（步驟S933)。具體而言，藉由在由鄰近終端接收之信 標訊框520(或探測回應訊框570)之認證伺服器度量值593 上，加上由該鄰近終端到無線終端200止之度量值而算出 新的認證伺服器度量值。 在如此算出之新的認證伺服器度量值，比無線通訊設定 資料保持部205所保持之無線終端200現在的認證伺服器度

120690.doc •23 · 1376121 量值優越時（步驟S934)，用新的認證伺服器度量值更新無 線通訊設定資料保持部205之内容（步驟S935)。即，無線 通訊設定資料保持部205中，作為無線終端200現在的認證 伺服器度量值，保持新算出的認證伺服器度量值。藉此， 在由無線終端200發送之信標訊框520(或探測回應訊框570) 之認證伺服器度量值593中，成為顯示該新算出的認證伺 服器度量值。 若對於某一鄰近終端結束此等之處理，則該鄰近終端作 為已處理（步驟S936)，若另外存在未處理之鄰近終端（步驟 S937)，則選擇其次之優先度高的鄰近終端（步驟S914)，重 複上述之處理。 再者，在無線隨意網路中，有時因終端之加入及退出而 拓撲動態地變化，故希望每當藉由在終端控制部201動作 之路徑控制協定（Routing Pyo to col)而獲得新的認證祠服器 度量值時，總是預先更新無線通訊設定資料保持部205所 保持之認證伺服器度量值。 如此，根據本發明之實施形態，在決定相互認證之角色 分配時，藉由將用於到達認證伺服器之度量值（認證伺服 器度量值）作為基準使用，可設定對於認證伺服器具有較 易存取路徑之無線通訊裝置為認證者，另一方之無線通訊 裝置為請求認證者。 再者，在本發明之實施形態中，係使用信標訊框520或 探測回應訊框570之RSN538欄位傳達認證伺服器度量值 593，但在該方法中可考慮各種之變形例。例如，如以下 < 3 > 120690.doc •24- 1376121 所述，亦可在信標訊框520設置新的攔位。 圖12係顯示本發明實施形態之無線終端200之變形例 圖。該無線終端200之變形例，係對圖3說明之無線終端 200附加序列號保持部208之構成。該序列號保持部2〇8係 保持後述之AS發佈之序列號者。藉此，在由不同之無線通 訊裝置接收以一個橋接終端作為發送源之AS發佈時，可分 別識別兩者。 圖13係顯示本發明實施形態之變形例之信標訊框之訊框 本體630圖。該訊框.本體630與圖6說明之訊框本體530不 同，具有AS發佈690欄位。將包含該AS發佈690之信標訊 框特別稱為AS發佈信標。並且’假想該AS發佈信標，例 如，為數分鐘發送1次之程度。 該AS發佈690中包含橋接終端位址691、序列號692、及 認證伺服器度量值693。 橋接終端位址691係顯示作為該AS發佈信標發送源之橋 接終端120位址之攔位》作為該位址，例如可使用mac位 址。 序列號692係顯示對以橋接終端120為發送源之as發佈 信標逐一賦予之序列號之欄位。藉由對不同之As發佈信標 賦予不同之序列號，可識別經由不同之路徑而接收相同AS 發佈信標。每當接收AS發佈信標時將該序列號692保持於 序列號保持部208。 認證伺服器度量值693係保持由上述as發佈信標發送源 之無線通訊裝置向S忍證飼服器11 〇之路徑之認證飼服器度 120690.doc -25- < S > 1376121 量值者。在由橋接終端120直接接收AS發佈信標時，橋接 終端120為其發送源，但在除此以外之情形，中繼該AS發 佈信標之跟前的無線終端成為發送源。另外，發送源之無 線終端之位址在信標訊框之MAC標頭之發送源位址525顯 示。 圖14係顯示根據本發明實施形態之無線終端200之變形 例之處理程序例圖。無線終端200由網路參數一致之鄰接 終端（步驟S951)接收AS發佈信標（步驟952)後，比較序列號 692所保持之序列號與序列號保持部208所保持之序列號。 其結果，若兩者不同，則判斷係以前沒有接收過者（步驟 S953)，基於該AS發佈信標更新路徑表207(步驟S95 5)。 亦即，藉由該更新，在AS發佈信標之橋接終端位址691 與路徑表207之發送對象終端之終端識別碼621 —致之路徑 表207之表目（圖5)中，設定AS發佈信標之發送源位址525 為路徑表207之中繼終端之終端識別碼622，設定AS發佈信 標之認證伺服器度量值693為路徑表207之認證伺服器度量 值 623。 然後，在無線終端200獲得至AS發佈信標之發送源之無 線終端止之度量值（步驟S956)，將於路徑表207之認證伺 服器度量值623(圖5)上加上該獲得之度量值之度量值，作 為無線終端200之新的認證伺服器度量值算出（步驟 S957)。無線終端200在將該算出之新的認證伺服器度量值 設定為AS發佈信標之認證伺服器度量值693(圖13)，並且 在發送源位址525設定無線終端200之位址後傳輸AS發佈信 < S > 120690.doc •26- 1376121

標。並且，此時不進行變更地使用橋接終端位址691及序 列號692。 之後，若接收到AS發佈信標（步驟S952)，則無線終端 200以上述要領比較序列號，若兩者相同，則判斷係以前 亦接收過之AS發佈信標（步驟S953)。此時，比較此次所接 收之AS發佈信標之認證伺服器度量值693與路徑表207之認 證伺服器度量值623(即上次所接收之AS發佈信標之認證伺 服器度量值）。其結果若此次所接收之AS發佈信標之認證 伺服器度量值693較優越（步驟S954)，則基於此次所接收 之AS發佈信標更新路徑表207(步驟S955)。 如此，在本發明之實施形態之變形例中，藉由各無線終 端根據濫傳（flooding)傳輸AS發佈信標，各無線終端形成 至認證伺服器110之樹狀拓撲，基於此可算出認證伺服器 度量值。 再者，本發明之實施形態係顯示用於將本發明具體化之 一例，如以下所示，其具有與申請專利範圍之發明特定事 項分別對應之關係，但並非限定於此者，在不脫離本發明 要旨之範圍内可施以各種變形。 即，在請求項1中，認證伺服器，例如對應於認證伺服 器110。此外，通訊設定資料保持機構，例如對應於通訊 設定資料保持部205。此外，信號接收機構，例如對應於 無線網路介面204。此外，控制機構，例如對應於終端控 制部201。再者，自認證伺服器度量值，係對應於通訊設 定資料保持部205所保持之「無線終端200之現在之認證伺 120690.doc -27- 1376121 服器度量值」，他認證伺服器度量值係對應於rsn之認證 伺服器度量值593或AS發佈690之認證伺服器度量值693。

4址此外，其他無線通訊裝置之位址，例如對應於信標 訊框520(或探測回應訊框57〇)之發送源位址525(575)或鄰 近終端列表206之終端識別碼611。

此外，在請求項4十，第1到達性資訊，例如對應於認證 词服器到達性592。又，第2到達性資訊，例如對應於鄰近 終端列表206之認證狀態612。 此外’在請求項1()中，他認證舰器度量值保持機構， 例如對應於路徑表207。又，鄰近度量值獲得機構，例如 對應於無線網路介面204。

此外，在請求項2中，該無線通訊裝置之位址，例如對 於通訊設定資料保持部205所保持之無線终端2〇〇之Mac 此外’在請求項12巾，認證舰器，例如對應認證词服 益11〇。A外’通訊設定資料保持機構，例如對應於通訊 =定資料保持部2G5。另外，信號發送機構及信號接收機 構’例如對應於無線料介㈣控制機構，例 應於終端控制部201。 此外，在請求項13及14中 .^ς〇11 仏唬接收程序，例如對應於 步驟S9lh此外，請求認證者 ς〇91 L 可X疋程序，例如對應於步驟 此外，認證者設定程序，例如對應於步⑽22β 再者，本發明實施形態中說明 古姑哲. 处埋程序，亦可作為具 有該專一糸列程序之方法.，而且，亦 杆呤望4 J作為用於使電腦執 仃邊4 一系列程序之程式乃至記# 區这程式之記錄媒體。 120690.doc < 3 > •28· 【圖式簡單說明】 圖1係顯示本發明之實施形態之通訊系統之構成例圖。 圖2係顯示本發明之實施形態之橋接終端12〇之構成例 圖。 圖3係顯示本發明之實施形態之無線終端2〇〇之構成例 圖。 圖4係顯示本發明之實施形態之鄰近終端列表61〇之構成 例圖。 圖5係顯示本發明之實施形態之路徑表620之構成例圖。 圖6係顯示根據IEEE8〇211規格之信標訊框之訊框格式 之圖。 圖7係顯示本發明之實施形態之RSN欄位之項目例之 圖。 圖8係顯示根據IEEE8〇2.〗〗規格之探測請求訊框之訊框 袼式之圖》 圖9係顯示根據IEEE8〇2.11規格之探測回應訊框之訊框 袼式之圖。 圖1 〇係顯示根據本發明實施形態之無線終端200之處理 程序例之前半部分之圖。 圖11係顯示根據本發明實施形態之無線终端200之處理 程序例之後半部分之圖。 圖12係顯示本發明實施形態之無線終端200之變形例 圖〇 圖13係顯示本發明實施形態之變形例之信標訊框之訊框 120690.doc -29- 1376121 本體630之圖。 圖14係顯示根據本發明實施形態之無線终端2⑽ 例之處理程序例之圖。 【主要元件符號說明】 110 認證伺服器 120 橋接終端 121 橋接控制部 122 有線/無線橋接機構 123 有線網路介面 124 無線網路介面 125 ' 205 無線通訊設定資料保持部 126 ' 206 鄰近終端列表 190 有線網路 200 > 210 無線終端 220 ' 230 無線终端 201 終端控制部 204 無線網路介面 207 路徑表 208 序列號保持部 290 無線隨意網路

之變形 120690.doc

(S -30-

Claims (1)

1376121 ㈦年卩月CJ日修正太第096129408號專利申請案 _^ " Ί中文申請專利範圍替換本(101年5月） 十、申請專利範圍： 1. 一種無線通訊裝置，其特徵在於其係在與其他無線通訊 裝置之間，基於認證伺服器進行相互認證者，其具備： 通訊設定資料保持機構，其保持通訊設定資料，該通 訊設定資料係包含作為自認證伺服器度量值之用於由該 無線通訊裝置到達前述認證伺服器之度量值者； 信號接故機構，其從前述其他無線通訊裝置接收特定 信號，該特定信號係包含作為他認證伺服器度量值之用 於由前述其他無線通訊裝置到達前述認證伺脲器之度量 值者；及 控制機構，其在前述自認證伺服器度量值比前述他認 證伺服器度量值優越時，設定該無線通訊裝置為前述相 互認證中之認證者，在前述自認證伺服器度量值比前述 他認證伺服器度量值差時，設定該無線通訊裝置為前述 相互認證中之請求認證者。 2. 如請求項1之無線通訊裝置，其中前述通訊設定資料保 持機構所保持之前述通訊設定資料包含該無線通訊裝置 之位址； 前述特定信號包含前述其他無線通訊裝置之位址； 前述控制機構在前述自認證伺服器度量值與前述他認 證伺服器度量值相等時，根據該無線通訊裝置之位址與 前述其他無線通訊裝置之位址之關係，設定該無線通訊 裝置為前述相互認證中之認證者或請求認證者中之任意 一方0 120690-1010509.doc 1376121 3. 如請求項2之無線通訊裝置，其中前述控制機構在該無 線通訊裝置之位址比前述其他無線通訊裝置之位址大 時，設定該無線通訊裝置為前述相互認證中之認證者， 在該無線通訊裝置之位址不比前述其他無線通訊裝置之 位址大時，設定該無線通訊裝置為前述相互認證中之請 求認證者。 4. 如請求項1之無線通訊裝置，其中前述特定信號包含第1 到達性資訊，其顯示能否由前述其他無線通訊裝置到達 前述認證伺服器； 前述通訊設定資料保持機構所保持之前述通訊設定資 料包含第2到達性資訊，其顯示能否由該無線通訊裝置 到達前述認證伺服器； 前述控制機構在前述第1到達性資訊顯示由前述其他 無線通訊裝置可到達前述認證伺服器之主旨，且前述第 2到達性資訊顯示由該無線通訊裝置不能到達前述認證 伺服器之主旨時，不管前述自認證伺服器度量值及前述 他認證伺服器度量值之關係，設定該無線通訊裝置為前 述相互認證中之請求認證者；而於前述第1到達性資訊 顯示由前述其他無線通訊裝置不能到達前述認證伺服器 之主旨，且前述第2到達性資訊顯示由該無線通訊裝置 可到達前述認證伺服器之主旨時，不管前述自認證伺服 器度量值及前述他認證伺服器度量值之關係，設定該無 線通訊裝置為前述相互認證中之認證者。 5. 如請求項1之無線通訊裝置，其中前述度量值顯示到達 120690-1010509.doc 前述認證词服器止之無線通訊路徑之無線通訊％質 6.如請求項1之無線通訊裝置，其_前述度景伯 &厌董值顯示到達 前述認證祠服器止之無線通訊路徑之中繼段數。 7· $請求項丨之無線通訊裝置，其中前述特定信號係來自 前述其他無線通訊裝置之廣播信號。 8.如請求項！之無線通訊裝置，其中前述特定信號係對於 來自該無線通訊裝置請求之來自前述其他無線通訊裝置 之回應信號》 9. 如請求们之無線通訊裝置，其令前述控制機構在前述 相互認證成功後’重新算出用於到達前述認證機構之度 量值’在該重新算出之度量值比前述通訊設定資料保持 機構所料之前述自認詞服！！度4值優越時，將前述 重新算出（度#值保持於前述通訊設定資料保持機構。 10. 如請求項1之無線通訊裝置，其中進一步具備： 、他認證甸服器度量值保持機構，其對應前述其他無線 通訊裝置保持前述他認證伺服器度量值；及 其將該無線通訊裝置與前述其 量值作為鄰近度量值獲得； 鄰近度量值獲得機構， 他無線通訊裝置之間的度

‘且前述控制機構藉由加算前述他認證伺服器度量值與 則述鄰近度量值’算出前述自認證伺服器度量值。 :明求項10之無線通訊裝置，其中於前述其他無線通訊 裝置複數存在之情形下， 之前述其他無線通訊裝置 前述特定信號中前述他認 前述信號接收機構在由複數 接收到前述特定信號時，基於 120690'1 〇10509.doc 1376121 證伺服器度量值之最優越者，將前述他認證伺服器度量 值保持在前述他認證伺服器度量值保持機構。 12. —種通訊系統，其特徵在於其係在複數之無線通訊裝置 間基於認證伺服器進行相互認證者； 前述複數之無線通訊裝置分別具備： 通訊設定資料保持機構*其保持通訊設定資料，該 通訊設定資料係包含作為自認證伺服器度量值之用於由 該無線通訊裝置到達前述認證伺服器之度量值者； 信號發送機構，其發送包含前述自認證伺服器度量 值之第1信號； 信號接收機構，其從其他無線通訊裝置接收第2信 號，該第2信號係包含作為他認證伺服器度量值之用於 由前述其他無線通訊裝置到達前述認證伺服器之度量值 者；及 控制機構，其在前述自認證伺服器度量值比前述他 認證伺服器度量值優越時，設定該無線通訊裝置為前述 相互認證中之認證者，在前述自認證伺服器度量值比前 述他認證伺服器度量值差時，設定該無線通訊裝置為前 述相互認證中之請求認證者。 13. —種通訊控制方法，其特徵在於其係在與其他無線通訊 裝置之間，基於認證伺服器進行相互認證之無線通訊裝 置中之通訊控制方法，其具備： 信號接收程序，其從前述其他無線通訊裝置接收特定 信號，該特定信號係包含作為他認證伺服器度量值之用 120690-1010509.doc 1376121 於由前述其他無線通訊裝置到達前述認證伺服器之度量 值者； 認證者設定程序，其在用於由該無線通訊裝置到達前 述認證伺服器之度量值比前述他認證伺服器度量值優越 時，設定該無線通訊裝置為前述相互認證中之認證者； 及 請求認證者設定程序，其在用於由該無線通訊裝置到 達前述認證伺服器之度量值比前述他認證伺服器度量值 差時，設定該無線通訊裝置為前述相互認證中之請求認 證者。 14. 一種電腦程式產品，其特徵在於其係在與其他無線通訊 裝置之間基於認證伺服器進行相互認證之無線通訊裝置 中使電腦執行以下程序： 信號接從程序，其從前述其他無線通訊裝置接收特定 信號，該待定信號係包含作為他認證伺服器度量值之用 於由前述其他無線通訊裝置到達前述認證伺服器之度量 值者； 認證者設定程序，其在用於由該無線通訊裝置到達前 述認證伺服器之度量值比前述他認證伺服器度量值優越 時，設定該無線通訊裝置為前述相互認證中之認證者； 及 請求認證者設定程序，其在用於由該無線通訊裝置到 達前述認證伺服器之度量值比前述他認證伺服器度量值 差時，設定該無線通訊裝置為前述相互認證中之請求認 證者。 120690-1010509.doc 1376121 十一、圖式： ,Cl年f月9日修正本，第096129408號專利申請案 _〆 中文圖式替換本(101年5月） 110

120690-flg-1010509.doc

1376121

無線隨意網路 圖2 120690-fig-1010509.doc 1376121 J90 無線隨意網路

圖3 120690-fig-1010509.doc 610 1376121 鄰近終端列表 W 611 612 終端識別碼 認證狀態 無線終端A 已認證 無線終端B 未認證 圖4 620 621 rJ 路徑表 622 rJ 〆 623 rJ 發送對象終端之 終端識別碼 中繼終端之終 端識別碼 認證伺服器 度量值 橋接終端 無線終端A 0 無線終端A 無線終端A 1 無線終端B 無線终端B 2 圖5 120690-fig-1010509.doc -4- 1376121 5221 5222

23, 524XI f % 2y 2/ 5〆 52〆 /° 53(" 訊框控制器 期間 换>&.對象位址 發送源位址 BSSIC 序列控制器 訊框本體 Fes 521 MAC標頭 / 時 信 功 對 間 標 能 I 應 R 戳 週 資 T D 速 · · Ν 記 期 訊 度 531 532 533 534 535 538 圖6 120690-fig-1010509.doc 1376121 591 Element ID Length Version Group Cipher Suite Pairwise Cipher Suite Count Pairwise Cipher Suite List AKM Suite Count AKM Suite List RSN Capabi lities PMK1D Count PMKID List .·.zz’ 、' \ 、、 \ 593 \ rs/ \ No Pairwise PTKSA GTKSA Pre-Auth Replay Replay Counter Counter Connected to AS reserved PeerKey Enabled AS Metric reserved

120690-fig-1010509.doc -6- 1376121

訊框控制器 期間 接收對象位址 發送源位址 BSSID 序列控制器 訊框本體 FCS 551 MAC標頭 f 對 請 S S 應 求 了 D 速 資 度 訊 擴 展 對 應 速 度 564 565 566 567 120690-fig-1010509.doc 1376121 5721 5722 ，類型(管理） 子類型 (探測回應） 570 572 I 573 574 575 576 577rL· 580 579 期間 訊框控制器 接收對象位址 發送源位址 BSSID 序列控制器 訊框本體 FCS 571 MAC標頭 f 時 信 功 對 間 標 能 S s 應 戳 週 資 I D 速 記 期 訊 度 v \ 581 582 583 584 585 圖9 I I20690-fig-1010509.doc 588 1376121

圖10 120690-fig-1010509.doc 1376121 Θ (λ) ®

圖11 120690-fig-1010509.doc 10- 1376121 J90 無線隨意網路

圖12 120690-fig-1010509.doc 11 - 1376121 63〆 時間戳記 信標週期 功能資訊 SSID 對應速度 A S發佈 631 632 633 634 635 690

691 120690-fig-1010509.doc •12- 1376121

5955 5956 5957 5958 圖14 120690-fig-丨 010509.doc -13-