WO2006030667A1 - Transmitter, receiver, transmission method and transfer method - Google Patents

Transmitter, receiver, transmission method and transfer method Download PDF

Info

Publication number
WO2006030667A1
WO2006030667A1 PCT/JP2005/016311 JP2005016311W WO2006030667A1 WO 2006030667 A1 WO2006030667 A1 WO 2006030667A1 JP 2005016311 W JP2005016311 W JP 2005016311W WO 2006030667 A1 WO2006030667 A1 WO 2006030667A1
Authority
WO
WIPO (PCT)
Prior art keywords
packet
transmission
local network
received
length
Prior art date
Application number
PCT/JP2005/016311
Other languages
French (fr)
Japanese (ja)
Inventor
Takashi Nishimura
Original Assignee
Sharp Kabushiki Kaisha
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sharp Kabushiki Kaisha filed Critical Sharp Kabushiki Kaisha
Publication of WO2006030667A1 publication Critical patent/WO2006030667A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0864Round trip delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/166IP fragmentation; TCP segmentation

Definitions

  • the present invention relates to a transmitter, a receiver, a transmission method, and a transmission method, and in particular, a device in which another device connected via a network belongs to the same local network as the own device.
  • FIG. 14 is a diagram showing from the start of authentication in DTCP-IP to the start of transmission of copy-controlled content.
  • Device B (sink device) using DTCP-IP Device A (source device) power is also received when the copy-controlled content is received, and step (hereinafter simply “S” t, ⁇ ) 1401! /, Device B possesses copy-controlled content Send an authentication request packet to device A.
  • the authentication request packet includes data of a random number value L) B and a device certificate (device certificate B) indicating that the device B is a device that is also approved for DTLA power. .
  • the random number value is used to prevent a replay attack that impersonates the device B by illegally obtaining the content that the device B communicated previously and transmitting the same content, and the content changes with each authentication.
  • the device certificate B is a digital signature of the contents including the public key of the device B using the DTLA private key.
  • the device A transmits to the device B an ACK (acknowledgement) packet indicating that the authentication request packet has been received.
  • ACK acknowledgement
  • the device B does not receive the ACK packet shown in S 1402 after the device B transmits the authentication request of S 1401 and the certain period elapses, or the device B authenticates S 1401.
  • the device B retransmits the authentication request packet shown in S 1401 to the device A .
  • this retransmission operation is omitted in the following description, it is the same for all ACK packets.
  • the device A transmits a reply packet to the device B.
  • This return packet also includes data of a random number value L) and a device certificate (device certificate A) indicating that the device A is a device authorized by the DTLA.
  • the device B transmits, to the device A, an ACK packet indicating that the S1403 return packet has been received.
  • Device A verifies whether the device certificate B included in the authentication request packet received from the device B is correct or not after transmitting the reply packet. As described above, since the device certificate B is digitally signed with the content including the device B's public key using the DTLA private key, the device certificate B can be decrypted by using the known DTLA public key. It is possible to verify whether or not is correct.
  • Device B has the correct device certificate A included in the reply packet received from device A.
  • the verification of whether or not the object is done after the receipt of the reply packet.
  • the device certificate A like the device certificate B, is digitally signed by using the secret key of the DTLA and the contents including the public key of the device A, so the device can be decrypted by using the public key of the DTLA. It is possible to verify that certificate A is correct.
  • the device certificate received by the other device is also incorrect in either of the devices, it is determined that the device is not appropriate as the other device to exchange data using DTCP-IP, and the device is authenticated. Send a packet to notify failure and abort the current authentication process. In this case, transmission of copy-controlled content from device A to device B is not performed.
  • the public key of the other device is obtained by both devices.
  • transmission of copy-controlled content from the device A to the device B is performed after the authentication process.
  • the Diffie-Hellman key exchange algorithm (EC-DH) over Elliptic Cryptography is used and is temporarily shared only by both devices. A shared key is prepared.
  • G is a specific point on the elliptic curve
  • XkG is a calculation on the elliptic curve
  • Xv in the result is any point on the elliptic curve.
  • the random number value “Xk” is held as secret information of the device A alone, S 1405, where the device A performs key exchange of information in which information of a predetermined format including “Xv” is signed by the secret key of the device A Send to Device B as a message.
  • the device B transmits to the device A an ACK packet indicating that the key exchange message has been received.
  • the random number value “Yk” is held as secret information for only the device B, and in S1407, the device B uses as a key exchange message a signature of information of a predetermined format including “Yv” with the secret key of the device ⁇ . Send to the rabbit.
  • the device A transmits an ACK bucket to the device B indicating that the key exchange message has been received.
  • both devices receive the key exchange message of the other device also, they obtain the key exchange message before S1405, and use the other device's public key to confirm the signature of the received key exchange message. After that, it is possible to obtain the point "Xv” or "Yv” that the partner device has sent.
  • the device A encrypts the unencrypted content based on the secret shared key, and transmits the encrypted content to the device B in S1410.
  • the device B can decrypt the received encrypted content into the original content based on the secret shared key (Non-Patent Document 1 and Non-Patent Document 2).
  • a copy network to which copy-controlled content device A belongs eg, It is required to prevent outflow to devices other than home network.
  • RTT Red Trip Time
  • device A transmits data to device B and device B immediately transmits response data to device A when device B receives data from device A, device A transmits data. Force is also the time to receive response data.
  • Communication between devices not belonging to the same local network is characterized in that RTT is longer than communication between devices belonging to the same local network. Focusing on this feature, it is determined that the two devices do not belong to the same local network when the RTT is longer than a certain threshold time, and the two devices are identical when the RTT is shorter than a certain threshold time.
  • Non-patent literature 3 There is a method to judge that it belongs to the local network (Non-patent literature 3) Special reference 1: Hitachi, Lta., Intel Corporation, Matsushita Electric Industrial co., Ltd., Sony Corporation, Toshiba Corporation, Digital Transmission Co ntent Protection Specification Volume 1 (Informational Version) Revision 1.3 ", [online], January 7, 2004, Internet URL: http: ⁇ www.dtcp.com/data/info— 20 040107_dtcp_Vol_l_lp3.pdl)
  • Patent Literature 2 Hitachi, Ltd., Intel Corporation, Matsushita Electric Industrial Co., Ltd., Sony Corporation, Toshiba Corporation, DTCP Volume 1 Supplement E Mapping DTCP to IP (informational Version) Revision 1.0 ", [online], 2 003 , November 24, URL: http: ⁇ www.dtcp.com/data/info— 20031124— dtcp— VISE— lpO.pdl)
  • Non Patent Literature 3 DTLA, "Work Plan for Localizing Transmissions, [online], September, 2003, [Search on July 30, 2004], Internet URL: http: ⁇ www.dtcp.c om / data / Work—Plan—09092003.pdl)
  • the method of determining whether or not two devices belong to the same local network using the conventional RTT is expected to vary depending on the network configuration.
  • the problem is that it is difficult to determine the appropriate threshold time.
  • the present invention has been conceived in view of the above-mentioned circumstances, and an object thereof is a device in which another device connected via a network belongs to the same local network as the own device. It is to provide a transmitter, a receiver, a transmission method, and a transmission method that can determine whether there is any.
  • a transmitter generates a transmission packet in which a fragment is inhibited according to an instruction, and a transmission generated by the packet generation unit.
  • a packet transmission / reception unit that transmits a packet toward another device connected via the network and receives a response packet to the transmission packet, and a packet length of the response packet received by the packet transmission / reception unit is a predetermined packet length
  • a packet analysis unit that analyzes whether the packet is a packet that indicates that it is longer or not, and a packet generation unit
  • the device control unit further comprises: a device control unit that instructs generation of a transmission packet in which the pigment is prohibited, and determines whether other devices are devices belonging to the same local network as the own device.
  • the packet analysis unit analyzes that the response packet is a packet indicating that the packet length of the transmission packet is longer than a predetermined packet length, it is assumed that another device is not a device belonging to the same local network as the own device. It is characterized by judging
  • the other device can be determined by analyzing whether the response packet to the transmission packet for which the fragment sent to the other device is prohibited is a packet indicating that the packet length is longer than a predetermined packet length. It can be determined whether the device belongs to the same local network as the own device or not.
  • the device control unit instructs the packet generation unit to generate a transmission packet in which a fragment is prohibited in an authentication step of packet transmission.
  • the present invention it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
  • the device control unit stops instructing the packet generation unit to generate a transmission packet after determining that the other device is not a device belonging to the same local network as the own device. It is characterized by
  • the transmission packet is sent to the device itself as well. Can be reliably blocked.
  • the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
  • a transmitter capable of determining whether another device connected via a network is a device belonging to the same local network as the own device. Can.
  • the packet analysis unit further transmits a response packet received by the packet transmission / reception unit.
  • the controller control unit is a packet indicating that the response packet in the packet analysis unit is a device that does not belong to the same local network as the own device that transmits when another device receives the transmission packet normally.
  • the response packet to the transmission packet in which the fragment transmitted to another device is inhibited is the same local network as the own device that transmits when the other device successfully receives the transmission packet.
  • the device control unit instructs the packet generation unit to generate a transmission packet in which a fragment is prohibited in an authentication step of packet transmission.
  • the present invention it is possible to prevent the transmission packet from being transmitted to the other device when the authentication fails.
  • the device control unit stops instructing the packet generation unit to generate a transmission packet. It is characterized by
  • the transmission packet is sent to the device itself as well. Can be reliably blocked.
  • the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
  • a transmitter capable of determining whether another device connected via a network is a device belonging to the same local network as the own device. Can.
  • the transmitter generates a transmission packet in which the packet length is changed by a predetermined length in accordance with the instruction
  • the packet generation unit generates the transmission packet.
  • a packet transmitting / receiving unit that transmits the transmitted packet to another device connected via the network and receives a response packet to the transmitted packet
  • a response time measurement unit that measures a response time from when a transmission packet is sent to another device until when a response packet to the transmission packet is received, and a length predetermined by the packet generation unit.
  • the device control unit repeatedly instructs generation of a transmission packet in which the packet length is changed by a small amount, and determines whether another device belongs to the same local network as the own device.
  • the response time measured by the response time measurement unit changes stepwise for each specific packet length, the device control unit determines that the other device is not a device belonging to the same local network as the own device. It is characterized by
  • the transmission packet whose packet length is changed by a predetermined length is transmitted to another device, and the response time until the response packet to the transmission packet is received.
  • the relationship between the measured response time and the transmitted packet length can also be measured to determine whether other devices are devices belonging to the same local network as the device itself.
  • the device control unit instructs the packet generation unit to generate a transmission packet in which the packet length is changed by a predetermined length in the authentication step of packet transmission.
  • the present invention it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
  • the device control unit stops instructing the packet generation unit to generate a transmission packet. It is characterized by
  • the transmission packet is transmitted to the device itself as well. Can be reliably blocked.
  • the specific packet length is 48 bytes.
  • the receiver includes a packet reception unit for receiving received packets transmitted from other devices connected via the network, and a packet transmission unit using the packet reception unit.
  • the packet analysis unit analyzes whether or not the received packet received at a predetermined stage of the packet is a fragmented packet, and controls transmission and reception of packets with other devices, as well as with other devices.
  • a device control unit that determines whether or not the device belongs to the same local network as the own device, and the device control unit analyzes that the received packet is a fragmented packet by the packet analysis unit. At that time, it is characterized that it determines that the other device is not a device belonging to the same local network as the own device.
  • another device belongs to the same local network as the own device by analyzing whether the received packet sent is also a fragmented packet. It can be determined whether the device is
  • the predetermined phase of packet transmission is an authentication phase of packet transmission.
  • the device control unit After determining that the other device belongs to the same local network as the own device and determines that the device control device is the device, the device control unit performs control to stop transmission and reception of packets with the other device. It is characterized by
  • the transmission packet is transmitted from the other device to the own device. Can be reliably blocked.
  • the receiver is connected to the packet generation unit for generating the transmission packet according to the instruction and the transmission packet generated by the packet generation unit via the network.
  • a packet transmission / reception unit that transmits to another device and receives a reception packet transmitted from another device, and the reception packet received at a predetermined stage of packet transmission by the packet transmission / reception unit is fragmented Analyzes whether or not it is a packet whether or not it controls packet transmission / reception with other devices, and determines whether the other device is a device belonging to the same local network as the own device Equipment control
  • the packet analysis unit analyzes that the received packet is a fragmented packet, the device control unit belongs to the same local network as the own device. It is characterized by judging that it is an apparatus.
  • the other device belongs to the same local network as the own device by analyzing whether or not the received packet transmitted by the other device is a fragmented packet. It can be determined whether or not there is a device that is present.
  • the predetermined phase of packet transmission is an authentication phase of packet transmission.
  • the device control unit determines that the other device is not a device belonging to the same local network as the own device
  • the other device is identical to the own device with respect to the packet generation unit. It is characterized by instructing generation of a packet notifying that the device is not belonging to the local network.
  • the received packet is transmitted from the other device to the own device. Can be reliably prevented.
  • the transmission method includes a packet generation instructing step of instructing the packet generation unit for generating a transmission packet which forbids a fragment according to an instruction to generate the transmission packet; It is determined that the response packet has been received in the reception determination step, the reception determination step determining whether the response packet to the transmission packet transmitted to the other device is received or not, and the reception determination step.
  • the response packet is a packet indicating that the packet length of the transmission packet is longer than a predetermined packet length
  • the response packet is transmitted in the packet length determination step and the packet length determination step.
  • the other device Characterized in that it comprises a determining device determining step that the have a have devices belong to the same local network and equipment.
  • the present invention it is possible to transmit packets for which a fragment transmitted to another device is prohibited. It is possible to determine whether or not other devices are devices belonging to the same local network as the own device, depending on whether or not the response packet is a packet indicating that the packet length is longer than a predetermined packet length.
  • the packet generation instructing step is characterized by instructing the packet generation unit to generate a transmission packet in which a fragment is prohibited in an authentication step of packet transmission.
  • the transmission device it is possible to prevent the transmission device from transmitting a transmission packet to another device when authentication fails.
  • the packet generation unit in the packet generation instructing step, after it is determined in the device determination step that the other device is not a device belonging to the same local network as the own device, the packet generation unit generates a transmission packet. It is characterized by stopping giving instructions.
  • the transmission packet is sent to the device itself as well. Can be reliably blocked.
  • the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
  • a transmission method capable of determining whether or not another device connected via the network is a device belonging to the same local network as the own device. be able to.
  • the response packet when it is determined in the reception determination step that a response packet has been received, the response packet is the same local network as the own device that transmits when another device successfully receives the transmission packet.
  • the apparatus further includes a packet determination step of determining whether the packet is a packet indicating that the device does not belong to the device.
  • the device determination step is performed in the bucket determination step.
  • the packet is a packet that indicates that the device does not belong to the same local network as the own device to be sent when it is received
  • the other device belongs to the same local network as the own device. It is characterized that it determines that it is an apparatus.
  • the response packet to the new packet forbidding the fragment sent to the other device is transmitted when the other device receives the transmission packet normally.
  • the packet generation instructing step is characterized by instructing the packet generation unit to generate a transmission packet in which a fragment is prohibited in the authentication stage of packet transmission.
  • the present invention it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
  • the packet generation instructing step is performed in the device determination step after the packet generation unit determines that the other device is not a device belonging to the same local network as the own device. It is characterized by stopping giving instructions to generate a transmission packet.
  • the transmission packet is transmitted to the device itself as well. Can be reliably blocked.
  • the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
  • a transmission method capable of determining whether another device connected via a network is a device belonging to the same local network as the own device. be able to.
  • the transmission method repeats generation of the transmission packet to the packet generation unit which generates the transmission packet in which the packet length is changed by a predetermined length in accordance with the instruction.
  • a packet generation instruction step of instructing a reception judgment step of judging whether a response packet to a transmission packet transmitted to another device connected via the network has been received, and a reception judgment step. Note that when it is determined that a response packet has been received, a response time measurement step that measures the response time from when a transmission packet is sent to another device until the response packet for the transmission packet is received.
  • the other device when the response time measured changes stepwise for each specific packet length, the other device itself Belong to the same local network Wa click, Do, characterized in that it comprises a determining device determining step that the device and According to the present invention, the transmission packet in which the packet length is changed by a predetermined length is transmitted to another device, and the response time until the response packet to the transmission packet is received.
  • the relationship between the measured response time and the transmitted packet length can also be measured to determine whether other devices are devices belonging to the same local network as the device itself.
  • the packet generation instructing step is characterized by instructing the packet generation unit to generate a transmission packet in which the packet length is changed by a predetermined length in the authentication stage of packet transmission.
  • the present invention it is possible to prevent the transmission packet from being transmitted to the other device when the authentication fails.
  • the packet generation instructing step is performed in the device determination step after the packet generation unit determines that the other device is not a device belonging to the same local network as the own device. It is characterized by stopping giving instructions to generate a transmission packet.
  • the transmission packet is transmitted to the device itself as well. Can be reliably blocked.
  • the specific packet length is 48 bytes.
  • the present invention it is possible to provide a transmission method capable of determining whether another device connected via the network is a device belonging to the same local network as the own device. .
  • the transmission method determines whether a reception packet transmitted from another device connected via a network is received or not.
  • a step of determining whether or not the received packet is a fragmented packet when it is determined in the predetermined step of the packet transmission that the received packet is received in the step and the receiving determination step. If the received packet is determined to be a fragmented packet in the fragment determination step, the other device belongs to the same local network as the own device and is determined to be the device. Judgment step And.
  • the other device belongs to the same local network as the own device depending on whether or not the received packet is a fragmented packet as well as the other device power. It can be determined whether or not it is force.
  • the predetermined phase of packet transmission is an authentication phase of packet transmission.
  • the present invention it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
  • a transmission method generates a transmission packet in accordance with an instruction, a packet generation instructing step of instructing a packet generation unit to generate a transmission packet, and connecting via a network
  • the received packet is received at a predetermined stage of packet transmission in a reception judgment step of judging whether or not the received packet transmitted by the other apparatus is received, and in the reception judgment step.
  • a reception judgment step of judging whether or not the received packet transmitted by the other apparatus is received, and in the reception judgment step.
  • a device determination step of determining that another device is not a device belonging to the same local network as the own device when it is determined that there is Characterized in that it comprises.
  • another device is a device belonging to the same local network as the own device depending on whether the received packet is a fragmented packet or not, and the other device is also a fragmented packet. It can be determined whether or not it is force.
  • the predetermined stage of packet transmission is an authentication stage of packet transmission.
  • the packet generation instructing step determines that the other device is not a device belonging to the same local network as the own device.
  • FIG. 1 is a block diagram showing a schematic configuration of a network.
  • FIG. 2 is a block diagram showing a schematic configuration of a system in Embodiment 1.
  • FIG. 3A is a diagram showing a packet format when transmitting packets on various media.
  • FIG. 3B is a diagram showing a packet format when transmitting packets on various media.
  • FIG. 3C is a diagram showing a packet format when transmitting packets on various media.
  • FIG. 4 This is a view showing an example of the authentication process performed in the authentication stage between the device A and the device B.
  • FIG. 5 A flow chart showing the flow of processing executed by the device control unit of device A.
  • FIG. 6 is a diagram showing an example of an authentication process performed between the device A and the device B.
  • FIG. 7 A flowchart showing the flow of processing executed by the device control unit of the device B.
  • FIG. 8 This figure shows how IP packets are mapped to ATM packets in the case of ADSL using PPPoA.
  • FIG. 9A is a diagram showing the relationship between packet length and transmission time on various media.
  • FIG. 9B is a diagram showing the relationship between packet length and transmission time on various media.
  • FIG. 9C is a diagram showing the relationship between packet length and transmission time on various media.
  • FIG. 10 is a block diagram showing a schematic configuration of a system in a third embodiment.
  • FIG. 11 A diagram showing an example of an authentication process performed between the device E and the device B.
  • FIG. 12 is a flowchart showing the flow of processing executed by the device control unit of device E.
  • FIG. 13 A flowchart showing the flow of processing executed by the device control unit of device E.
  • FIG. 14 A diagram showing from the start of authentication in DTCP-IP to the start of transmission of copy-controlled content.
  • FIG. 15 is an explanatory diagram of path MTU discovery.
  • FIG. 16 is an explanatory diagram of an IP fragment.
  • FIG. 17A A diagram showing the configuration of an IP header of IPv4 and IPv6.
  • FIG. 17B A diagram showing the configuration of an IP header of IPv4 and IPv6.
  • path MTU discovery and IP fragments which are not related to the transmission of copy-controlled content, but which are the precursor technology of the present invention, will be described.
  • MTU Maximum Transmission Unit
  • the MTU represents the maximum value of packets that can be transmitted at one time. The method of finding the optimum value of MTU will be described using FIG. 15 and FIG.
  • FIG. 15 is an explanatory diagram of path MTU discovery.
  • FIG. 16 is an explanatory diagram of an IP fragment.
  • device A 1501 is connected to device B 1504 via router C 1502 and router D 1503.
  • the MTU between the device A1501 and the router C1502 is 1500 bits
  • the MTU between the norator C1502 and the norator D1503 is 1000 bits
  • the MTU between the norator D1503 and the device B1504 is 1500 bytes.
  • router C1502 For example, assume that the device A 1501 transmits a packet having a packet length of 1500 bytes illustrated in FIG. 16A to the device B 1504.
  • router C1502 When router C1502 receives a packet, router C 1502 tries to transmit the received packet to the router D 1503 ahead of it. Since the MUT between the router CI 502 and the router D 1503 is 1000 bytes, it is possible to transmit a packet with a packet length of 1500 bytes as it is. Can not. Therefore, router C1502 divides the packet with a packet length of 1500 bytes shown in FIG. 16 (a) into a packet with a packet length of 1000 bytes and a packet with a packet length of 520 bytes shown in FIG. 16 (b). Send to This packet division performed by the router C 1502 is called a fragment (IP fragment), which causes a reduction in throughput.
  • IP fragment IP fragment
  • a minimum MTU (called a path MTU) on the path from the device A1501 to the device B1504 is found, and the device A1501 initially forces packets with the same packet length as the path MTU. You can send it.
  • the method of finding this Path MTU is called Path MTU Discovery (RFC1191, 1981). The method of finding the path MTU will be described again with reference to FIG.
  • the device A 1501 sets the D flag to prohibit the IP fragment with the bucket length (for example, 1500 bytes) of the maximum MTU that can be handled by the own device. 1) send the packet to device B1504.
  • the D flag for prohibiting IP fragments will be described with reference to FIG.
  • FIG. 17A and FIG. 17B are diagrams showing the configuration of IP headers of IPv4 and IPv6.
  • Figure 17A shows the configuration of the IP header of IP version 4 (RFC 791, called IPv4), and prohibits IP fragments.
  • the D flag 1701 is assigned to 1 bit in the IP header. When the D flag 1701 is "0", it indicates that the IP fragment is permitted, and when "1", it indicates that the IP fragment is prohibited.
  • Figure 17B shows the configuration of the IP header of the next-generation IP version 6 (called RFC2460, called IPv6).
  • the IPv6 IP header does not contain the bit corresponding to the D flag. However, since IPv6 prohibits IP fragments, it is always equivalent to the D flag being "1".
  • apparatus A 1501 transmits a packet having a packet length of 1500 bytes and prohibiting an IP fragment to apparatus B 1504.
  • router C1502 can not send the packet to router D1503 without IP fragmentation, but the IP fragment of the packet is prohibited, so the bucket is Can not be sent to router D1503.
  • router C1502 discards the packet received from device A1501, and reports that the packet length is longer than the MTU (1000 bytes) between router C1502 and router D1503.
  • ICMP Internet Control Message Protocol, RFC 792
  • the packet is sent to device A1501 (Fig. 15 (b)).
  • This ICMP bucket contains information that the maximum MTU that the router C 1502 can handle is 1000 bytes.
  • the device A 1501 which has received the ICMP packet transmits a packet directed to the device B 1504 this time with a packet length of 1000 bytes and prohibiting an IP fragment (FIG. 15 (c)).
  • the router C 1502 that has received the packet transmits the received packet to the router D 1503 this time.
  • the device A 1501 can know that the path MTU to the device B 1504 is 1000 bytes. Note that if there is a path with several MTUs of smaller routers S. More MTUs! ⁇ ⁇ ⁇ MTUs in the middle, but even if the ICMP packets shown in Fig. 15 (b) are sent, Fig. 15 (c A negative MTU can be found by repeating the transmission of a packet with the packet length of) shortened.
  • ATM Asynchronous Transfer Mode
  • MTU Mobility Management Unit
  • IPv6 Internet Protocol Version 6
  • a device that belongs to a network in a home (local network) based on technologies such as the path MTU mentioned above and IP fragments, and tries to transmit copy-controlled content to other devices.
  • a device that belongs to a network in a home (local network) based on technologies such as the path MTU mentioned above and IP fragments, and tries to transmit copy-controlled content to other devices.
  • FIG. 1 is a block diagram showing a schematic configuration of a network.
  • the local networks 101 and 111 are, for example, local networks configured by Ethernet (registered trademark) or wireless LAN.
  • Ethernet registered trademark
  • wireless LAN wireless LAN
  • the local network 101 is also configured with, for example, the device 102, the device 103, the device 104, and the device 105.
  • the local network 111 is configured of, for example, the device 112, the device 113, the device 114, and the device 115 and the like.
  • the devices 102 to 105, etc. and the devices 112 to 115, etc. are, for example, a computer, a digital power on digital video camera, a DVD recorder. It is a device that can transmit and receive digitally encoded content represented by da.
  • the devices 102 to 105, etc. belonging to the local network 101 which is a home network, allow copying and moving of copy-controlled content.
  • the copy and move of the copy-controlled content is unacceptable.
  • Local network 101 is connected to local network 111 via, for example, router 121 and router 131 (the Internet).
  • the device of the local network 101 for example, the device 102
  • the device of the local network 101 is copy-controlled with the device (for example, the device 112) of the local network 111 so that exchange of contents becomes possible!
  • the local network 101 and the local network 111 are also connected to other local networks and the like through the router 121 and the router 131 and the like.
  • the copy-controlled content leaks to devices other than local network 101 to which device 102 belongs.
  • the device 102 needs to determine whether the other device belongs to the same local network 101 as the device 102.
  • FIG. 2 is a block diagram showing a schematic configuration of a system in the first embodiment.
  • the system is composed of a device A 201, a device B 211 and a network 221.
  • the device A 201 will be described as a device (sender) that transmits copy-controlled content
  • the device B 211 will be described as a device (receiver) that receives copy-controlled content.
  • the network 221 may be a local network constructed by Ethernet (registered trademark) or a wireless LAN depending on whether the device B 211 belongs to the same local network as the device A 201 and is a device that belongs to the same local network. , The Internet, etc.
  • the role network is a home network.
  • the device A201 When device A201 tries to transmit copy-controlled content to device B211, in order to prevent the copy-controlled content from leaking out to a device other than the local network to which device A201 belongs, The device A 201 determines whether the device B 211 belongs to the same local network as the device A 201 or not before transmitting the copy-controlled content to the device B 211 (authentication step).
  • the device A 201 includes a device control unit 202, a transmission packet generation unit 203, a packet transmission / reception unit 204, and a reception packet analysis unit 205. Since the device B211 has the same configuration as the device A201, the device A201 will be mainly described here.
  • the device control unit 202 of the device A 201 is a portion that controls the overall operation of the device A 201.
  • the device control unit 202 determines the generation of a packet to be transmitted to the device B 211 or the like based on the internal state of the device A 201 and the analysis result input from the packet analysis unit 205 described later. Direct the generation of
  • the device B 211 checks whether it is a device belonging to the same local network as device A 201.
  • the device control unit 202 of A201 generates a confirmation packet (a reply packet etc. to be described later) for confirming whether or not the device B211 belongs to the same local network as the device A201 in the authentication stage.
  • the transmission packet generation unit 203 of the device A 201 generates a packet according to an instruction from the device control unit 202, and outputs the generated packet to the packet transmission / reception unit 204 of the device A 201.
  • the packet transmission / reception unit 204 of the device A 201 transmits the packet input from the transmission packet generation unit 203 of the device A 201 to the device B 211 connected via the network 221.
  • the packet transmission / reception unit 204 of the device A 201 sends a response packet to the transmitted packet.
  • the packet received as a packet is output to the received packet analysis unit 205 of the device A 201.
  • the receiving buckett analysis unit 205 of the device A201 analyzes the packet length of the packet, the presence or absence of a flag, the type of packet, etc. input from the buckett transmitting / receiving unit 204 of the device A201, and outputs the analysis result to the device control unit 202 of the device A201. Do.
  • the device control unit 202 of the device A 201 determines whether the device B 211 belongs to the same local network as the device A 201 based on the analysis result input from the received packet analysis unit 205. If the device control unit 202 determines that the device B 211 belongs to the same local network as the device A 201 and determines that the device B 211 is a device, the device control unit 202 aborts the authentication process and does not transmit the copy-controlled content to the device B 211. On the other hand, when determining that the device B 211 belongs to the same local network as the device A 201, the device control unit 202 transmits the copy-controlled content to the device B 211 after the authentication process is completed.
  • FIG. 3A, FIG. 3B and FIG. 3C illustrate packet formats when transmitting packets on various media.
  • FIG. 3A shows a packet format when transmitting a packet on Ethernet (registered trademark).
  • FIG. 3B shows a packet format when transmitting a packet on a wireless LAN (IEEE802.11).
  • Figure 3C shows the packet format when transmitting packets on ADSL or FTTH using PPPoE (PPP over Ethernet (registered trademark), FRC2516).
  • the packet format for transmitting a packet on Ethernet is Ethernet (registered trademark) header 301, IP header 302, IP payload 303, and FCS (Frame Check Sequence) 304. Force is composed!
  • Ethernet registered trademark
  • IP header 302 IP header 302
  • IP payload 303 IP payload 303
  • FCS Frae Check Sequence
  • the packet format for transmitting a packet on a wireless LAN is: 802. 11 header 311, LLC / SNAP field 312, IP header 31 3, IP payload 314 and FCS315 are configured.
  • the maximum MTU for sending packets on a wireless LAN is 2304 bytes, and the combined packet length of the LLCZSNAP field 312, the IP header 313 and the IP payload 314 is within 2304 bytes.
  • the packet format is transmission path dependent header 321, ISP dependent header 322, PPPoE field 323, PPP field 324, IP header 325, IP payload 326 and FCS 327 are also configured.
  • the maximum MTU is 1500 bytes
  • the packet length including the ISP dependent header 322, the PPPoE field 323, the PPP field 324, the IP header 325 and the IP payload 326 is It will be less than 1500 bytes. Since the ISP-dependent header 322, the PPPoE field 323, and the PPP field 324 have finite sizes, the combined packet length of the IP header 325 and the IP payload 326 is always less than 1500 bytes.
  • Ethernet registered trademark
  • a wireless LAN are used for communication between devices belonging to the same local network. Therefore, a packet having a packet length (the size of the combined IP header and IP payload) transmitted by a certain device can reach other devices without being IP fragmented on the way.
  • ADSL or the like using PPPoE is used. Therefore, a packet with a packet length of 1500 bytes (the combined size of the IP header and the IP payload) sent by one device can not reach other devices if it is not fragmented IP in the middle! /.
  • the device control unit 202 determines whether or not the device B 211 is a device belonging to the same network as the device A 201. Again referring to FIG.
  • the device control unit 202 of the device A 201 sends a packet length of 1500 bytes to the transmission packet generation unit 203 of the device A 201 at the authentication stage. , And instructs to generate a packet in which the value of D flag is set to "1" (IP fragment is prohibited).
  • the packet with a packet length of 1500 bytes may be a dummy packet for confirmation or a packet in which the packet length is 1500 bytes by padding after the packet to be originally sent.
  • the device B211 belongs to the same local network as the device A201, as described above, the device A201 and the device B211 are generally connected by Ethernet (registered trademark) or a wireless LAN. ing. Therefore, it is possible to set the path MTU of the network 221 between the device A 201 and the device B 211 to 1500 bytes. In this case, a packet having a packet length of 1500 bytes in total of the IP header and the IP payload transmitted from the device A201 can reach the device B 211 without being IP-fragmented in the network 221.
  • the device B 211 When the device B 211 receives a packet transmitted from the device A 201 normally, it always sends a predetermined response packet indicating that the packet has been received normally to the device A 201.
  • This response packet may include, for example, data indicating that the device B 211 belongs to the same low power network as the device A 201 and indicates that the device B 211 is a device.
  • the device control unit 202 of the device A 201 indicates that the analysis result input from the received packet analysis unit 205 is a response packet indicating that a packet having a packet length of 1500 bytes transmitted from the power device A 201 has been successfully received. If it is, it is determined that the device B211 belongs to the same local network as the device A201. In this case, the device A201 After the authentication process is completed, the copy-controlled content is sent to the device B 211.
  • the device B211 is not a device belonging to the same local network as the device A201, as described above, the device A201 and the device B211 are generally connected by ADSL or the like using PPPoE. ing. Therefore, the path MTU of the network 221 provided between the device A 201 and the device B 211 is less than 1500 bytes. In this case, a packet with a packet length of 1500 bytes including the IP header and the IP payload sent from the device A201 can not reach the device B211 unless it is IP fragmented in the network! / ⁇
  • the packet transmitted from the device A 201 can not be IP fragmented because the D flag is “1”.
  • the network 221 (for example, a router provided in the network 221, etc.) abandons the packet transmitted from the device A 201, and sends an ICMP packet as a response packet notifying that the packet length is longer than a predetermined packet length. Send to device A 201.
  • the device control unit 202 of the device A 201 indicates that the analysis result input from the received packet analysis unit 205 is an ICMP packet notifying that the packet length is longer than a predetermined packet length, It determines that B211 belongs to the same local network as device A201 and is! /,! / ⁇ device, and terminates the authentication process. In this case, device A201 does not send the copied content to device B211!
  • device A 201 transmits a packet having a packet length of 1500 bytes and a D flag value of “1”, and the force is also from the ICMP packet or device B 211 until the certain time elapses. It is also conceivable that neither of the predetermined response packets sent is received. In such a case, the device A 201 sends a packet having a packet length of 1500 bytes and the value of the D flag set to “1” to the device B 211 again.
  • the value of the D flag may be illegally rewritten from “1” to “0”.
  • an ICMP packet should be transmitted to the device A 201 from a router or the like originally provided in the network 221.
  • the pass sent from the device A 201 is The packet is IP fragmented by a router or the like provided in the network 221 and reaches the device B 211. Therefore, the received packet analysis unit 205 of the device B 211 checks whether the value of the D flag is incorrectly rewritten, and whether the received packet is IP fragmented or not. deep. In this case, the device B 211 transmits a packet of authentication failure to the device A 201 to terminate the authentication process.
  • FIG. 4 is a diagram showing an example of an authentication process performed between the device A 201 and the device B 211.
  • device A (source device) 201 is a transmitter for transmitting copy-controlled content
  • device B (sink device) 211 is a receiver for receiving copy-controlled content, as described above. explain. Also, in the description of FIG. 4, the device B211 is described as being a device that does not belong to the same local network as the device A201.
  • a router F411 is provided in the network between the device A201 and the device B211.
  • the device B211 does not belong to the same local network as the device A201.
  • V one of the routers that may be present in the network between the device A 201 and the device B 211 when the device is a device.
  • the device B 211 transmits an authentication request packet to the device A 201 that holds the copy-controlled content.
  • the authentication request packet contains data of the random value B and the device certificate B as described above.
  • the device A 201 transmits, to the device B 211, an ACK packet indicating that the authentication request packet has been received.
  • the device A 201 transmits to the device B 211 a reply packet in which the packet length is 1500 bytes and the value of the D flag is “1”.
  • This return packet contains the data of random number A and device certificate A as described above.
  • This reply packet is an extension of the packet length of the reply packet shown in S 1303 of FIG. 13 to 1500 bytes.
  • the device B211 does not belong to the same local network as the device A201.
  • the router F411 may send the reply packet to the device B211 if it does not fragment the reply packet. Can not ,.
  • the router F 411 can not IP fragment the reply packet.
  • the router F411 abandons the reply packet received from the device A201, and the packet length of the packet received from the device A201 is longer than the predetermined packet length, and therefore, the V error is displayed.
  • the ICMP packet shown is sent to the device A 201 as a response packet.
  • the device A 201 that has received the ICMP packet determines that the device B 211 belongs to the same local network as the device A 201 and is a device.
  • step S405 the device A 201 transmits a packet notifying an authentication failure to the device B 211, and terminates the authentication process.
  • the device B 211 receives the packet notifying the authentication failure, the device B 211 aborts the authentication process, and transmits an ACK packet indicating that the device A 201 has received the packet notifying the authentication failure in S 406. In this case, the device A201 does not transmit the copy-controlled content to the device B211.
  • the device B 211 When the reply packet transmitted from the device A 201 is received by the device B 211, the device B 211 confirms that the packet length of the reply packet is 1500 bytes and the D flag is “1”. Keep it. Then, when the packet length of the received reply packet is 1 500 bytes, or when the D flag is “0”, the device B 211 transmits a packet of authentication failure to the device A 201 so as to abort the authentication process. Keep it.
  • device A 201 changes the packet length and D flag of the reply packet used in the conventional authentication process, and device B 211 belongs to the same small network as device A 201.
  • the reply packet transmitted from the device A 201 is the transmission / reception of the authentication request packet, the transmission / reception of the key exchange message Until finished (more preferably, key exchange message It is preferable that the communication be performed between the start of transmission and reception of
  • the confirmation packet for confirming whether the device B 211 belongs to the same local network as the device A 201 is transmitted from the device A 201 to the device B 211.
  • An example is shown! / I'm sorry, but it is possible to send a confirmation packet from device B211 to device A201.
  • FIG. 5 is a flow chart showing the flow of processing executed by the device control unit 202 of the device A 201.
  • S501 it is determined whether the authentication request packet transmitted from the device B 211 has been received. If it is determined that the authentication request packet has not been received, the process of this flowchart ends because it is not the authentication stage. On the other hand, when it is determined that the authentication request bucket has been received, the process proceeds to the process of S502 to perform the authentication process.
  • processing is performed to instruct the transmission packet generation unit 203 to generate a reply packet in which the packet length is 1500 bytes and the value of the D flag is "1".
  • this response packet is provided in the network between the device A 201 and the device B 211, and the router F 411 is transmitted.
  • the ICMP packet transmitted and the reply packet transmitted from the device A 201 are the device B 211.
  • the packet transmitting / receiving unit 204 of the device A 201 receives the response packet
  • the received response packet is analyzed by the received packet analysis unit 205 of the device A 201, and the analysis result is output to the device control unit 202 of the device A 201. Ru.
  • the device control unit 202 of the device A 201 can determine whether a response packet has been received. If it is determined that the response packet has been received, the process proceeds to step S505. On the other hand, if it is determined that the response packet has not been received, the process proceeds to step S504.
  • S504 it is determined whether or not a certain period of time has elapsed since the transmission packet generation unit 203 of the device A 201 is instructed to generate a reply packet. If it is determined that the predetermined time has not elapsed, the process returns to the process of S503, and the processes of S503 and S504 are repeated until the predetermined time elapses. On the other hand, when it is determined that the predetermined time has elapsed, the process returns to the processing of S502, and the processing power S of S502, S503, and S504 is performed again. In S505, it is determined whether the analysis result obtained by analyzing the response packet in the received packet analysis unit 205 of the device A 201 indicates that it is an ICMP packet. The analysis result indicates that the packet is an ICMP packet! /, The process proceeds to the process of S508, and the analysis result indicates that the packet is not an ICMP packet, and the process proceeds to the process of S506.
  • the device B211 is a device belonging to the same local network as the device A201, and generation of a key exchange packet, which is a continuation of authentication processing in the transmission packet generation unit 203 of the device A201. Processing is performed.
  • the device B211 Since it is determined in S508 that the device B211 is not a device belonging to the same local network as the device A201, in S509, a process of aborting the authentication process is performed. In this case, the process of instructing the transmission packet generation unit 203 of the device A 201 to generate a packet of the content subjected to copy control is performed. The content subjected to copy control from the device A 201 to the device B 211 is not transmitted.
  • the device A 201 or the device B 211 having the functions described above is installed in a personal computer, digital camera, digital video camera, DVD recorder or the like that can handle digitized contents.
  • the device control unit 202 of the device A 201 is a packet that is transmitted to the device B 211 connected via the network 211 and has a length of 1500 bytes and the value of the D flag.
  • the device B 211 belongs to the same local network as the device A 201 by judging whether the response packet to the packet of “1” is an ICMP packet or an ACK packet indicating that the packet has been successfully received. It can be determined whether the device is a force or not.
  • the device control unit 202 of the device A 201 returns in the authentication step whether the device B 211 is a device belonging to the same local network as the device A 201 or not.
  • the transmission packet generation unit 203 of the device A 201 In order to instruct the transmission packet generation unit 203 of the device A 201 to generate a transmission packet, when it is determined that the device B 211 is not a device belonging to the same local network as the device A 201, copy-controlled content is transmitted.
  • the communication with the device B 211 can be terminated prior to the As a result, it is possible to prevent the flow of copy-controlled content from the device A 201 to the device B 211 belonging to a local network different from the device A 201.
  • the transmission packet generation unit of the device A 201 does not receive any response packet.
  • the present invention when it is determined in S504 of FIG. 5 that the predetermined time has elapsed, the present invention is not limited to this. For example, if it is determined in S504 that the predetermined time has elapsed, the process may proceed to the process of S509 and the authentication process may be aborted. In this way, when it is unknown whether the device B211 belongs to the same local network as the device A201, it is possible to prevent the flow of copy-controlled content from the device A201 to the device B211. be able to.
  • a second embodiment will now be described.
  • points different from the first embodiment will be mainly described.
  • whether device A211 is a device belonging to the same local network as device A201 or not is determined by the type of the response packet to the reply packet transmitted with device A 201 with the value of D flag set to “1”. It was judged.
  • step 2 the reply packet in which the value of the D flag transmitted from the device A 201 is set to “0” is received.
  • the device B 211 determines whether or not the device B 211 is a device belonging to the same local network as the device A 201 based on the status of the received reply packet.
  • FIG. 6 is a diagram showing an example of an authentication process performed between the device A 201 and the device B 211.
  • the D flag of the reply packet transmitted from the device A 211 to the device B is the power S “1”, and thus the power can be applied to both IPv4 and IPv6.
  • the device A 201 to Since the D flag of the reply packet sent to the device B 211 is “0”, it can be applied only to IPv4.
  • device A (source device) 201 is a transmitter for transmitting copy-controlled content
  • device B (sink device) 211 is for reception of copy-controlled content, as described above. It explains as a container. Further, in the description of FIG. 6, it is assumed that the device B211 is a device not belonging to the same local network as the device A201.
  • step S601 the device B 211 transmits an authentication request packet to the device A 201 that holds the copy-controlled content.
  • the authentication request packet contains data of random number B and device certificate B.
  • step S602 the device A 201 transmits, to the device B 211, an ACK packet indicating that the authentication request packet has been received.
  • step S603 the device A 201 transmits, to the device B 211, a reply packet in which the packet length is 1500 bytes and the value of the D flag is “0”.
  • This return packet contains data of random number A and device certificate A. Further, this reply packet is obtained by extending the packet length of the reply packet shown in S1303 of FIG. 13 to 1500 bytes.
  • the path MTU between the device A 201 and the device B 211 is less than 1500 bytes.
  • the path MTU ahead of the router F411 is less than 1500 bytes as described above. Therefore, router F411 that receives a reply packet with a packet length of 1500 bytes and a D flag value of “0” can not send the reply packet to device B211 unless it fragments the reply packet. ! /.
  • the router F 411 can IP fragment the return packet.
  • the router F 411 splits the reply packet into a plurality of packets (in the second embodiment, two packets 604 and 605). IP fragment is shown in the example below, and two IP-fragmented return packets are sent to device B 211.
  • the device B 211 Upon receiving both of the two IP-fragmented return packets 604 and 605, the device B 211 reconstructs the two IP-fragmented return packets 604 and 605 into one original return packet. In step S606, the device B 211 transmits, to the device A 201, an ACK packet indicating that the return packet has been received. When receiving the IP fragmented return packet, the device B 211 determines that the device B 211 is not a device belonging to the same local network as the device A 201.
  • step S 607 the device B 211 transmits a packet notifying an authentication failure to the device A 201, and terminates the authentication process.
  • the device A 201 receives the packet notifying the authentication failure, the device A 201 aborts the authentication process, and transmits an ACK packet indicating that the device B 211 has received the packet notifying the authentication failure in S 608. In this case, the device A 201 does not transmit the copy-controlled content to the device B 211.
  • the reply packet transmitted from the device A 201 reaches the device B 211 without being fragmented by IP.
  • the device B 211 confirms that the packet length of the return packet transmitted from the device A 201 is 1500 bytes. Then, when the packet length of the received return packet is not 1500 bytes, the device B 211 transmits a packet of authentication failure to the device A 201 so as to abort the authentication process.
  • device A 201 changes the packet length of the reply packet used in the conventional authentication process
  • device B 211 is a device belonging to the same local network as device A 201.
  • This is a method that uses a packet that is used only to check whether the device B211 that is also used as a packet to check whether there is a device is a device belonging to the same local network as the device A201.
  • the reply packet transmitted from the device A201 is sent as an authentication request packet. It is preferable that exchange is performed during the period until transmission / reception of the key exchange message is completed (more preferably, transmission / reception of the key exchange message is started).
  • FIG. 7 is a flowchart showing the flow of processing executed by the device control unit 202 of the device B 211.
  • S701 it is determined whether a process of instructing the transmission packet generation unit 203 of the device B 211 to generate an authentication request packet has been performed. Processing for instructing the generation of a certification request bucket is performed, and this is not the certification phase, so the processing of this flow chart ends. On the other hand, when the process of instructing generation of the authentication request packet is performed, the process proceeds to the process of S702 in order to perform the authentication process.
  • the reply packet is a packet transmitted when the device A 201 receives the authentication request packet transmitted from the device B 211 as described above.
  • the response bucket is received by the packet transmission / reception unit 204 of the device B211, the received packet received is analyzed by the received packet analysis unit 205 of the device B211, and the analysis result is output to the device control unit 202 of the device B211. Then, the device control unit 202 can determine whether or not the reply packet has been received. If it is determined that the reply packet has been received, the process proceeds to step S704. If it is determined that the reply packet has not been received, the process proceeds to step S703.
  • S703 generation of an authentication request packet is instructed to the transmission packet generation unit 203 of the device B 211, and it is determined whether or not the force has reached a certain time. If it is determined that the predetermined time has not elapsed, the process returns to S702, and the processes of S702 and S703 are repeated until the predetermined time elapses. On the other hand, when it is determined that the predetermined time has elapsed, the process proceeds to the process of S708 described later, and a process of aborting the authentication process is performed.
  • the received packet analysis unit 205 of the device B 211 determines whether or not the analysis result obtained by deciphering the reply packet indicates that the reply packet is an IP fragmented reply packet. If it is indicated that the analysis result is an IP fragmented return packet, the process proceeds to the process of S707, and if not, the process proceeds to the process of S705.
  • the device B211 is a device belonging to the same local network as the device A201, and generation of a packet for notifying the transmission packet generation unit 203 of the device B211 of authentication success is performed.
  • a process of instructing is performed.
  • Notify of authentication success Packets may be packets only for notification purpose, or packets following the authentication phase
  • Key exchange packet etc. may be used. After that, in S706, the process of receiving the copy control content packet transmitted from the device A 201 is performed.
  • the device B 211 is not a device belonging to the same local network as the device A 201, and at the same time, it instructs the transmission packet generation unit 203 of the device B 211 to generate a packet notifying an authentication failure. Processing is performed.
  • the device A 201 or the device B 211 having the functions described above is installed in a personal computer, digital camera, digital video camera, DVD recorder, or the like that can handle digitized contents.
  • the device control unit 202 of the device B 211 determines whether or not the return packet transmitted from the device A 201 connected via the network is IP fragmented, thereby the device B 211. It can be determined whether or not the device belongs to the same local network as the device A201.
  • the device control unit 202 of the device B211 performs IP fragmentation on the return packet for checking whether the device B211 is a device belonging to the same local network as the device A201 at the authentication stage. If it is determined that the device B211 is not a device belonging to the same low power nore network as the device A201, the device A211 and the device A201 are transmitted prior to the step of transmitting the copy-controlled content. Communication can be terminated. As a result, the device A 201 can belong to a local network different from the device A and can prevent the copy controlled content from being leaked to the device B 211.
  • the process proceeds to the process of S708 and shows an example in which the process of aborting the authentication process is performed. It is not limited. For example, if it is determined in S703 that a predetermined time has elapsed However, the processing may return to the processing of S701, and the processing power S of S701, S702, and S703 may be performed again.
  • transmission of the device B211 is not performed when a reply packet is not received within a predetermined period of time after the transmission packet generation unit 203 of the device B211 is instructed to generate an authentication request packet.
  • the packet unit 203 In order to instruct the packet unit 203 to generate an authentication request packet again, it is determined as much as possible whether or not the device B 211 is a device belonging to the same low power nore network as the device A 201. be able to.
  • a third embodiment will now be described.
  • points different from the first embodiment and the second embodiment will be mainly described.
  • the third embodiment when the packet length to be transmitted to a certain device power or another device is changed, the change of the transmission time with respect to the change of the packet length is measured, whereby the same local device as the other device is.
  • This embodiment is different from Embodiments 1 and 2 in that it is determined whether or not it belongs to a network. The method will be described in detail below.
  • PPPoA PPP over AAL5, RFC2364
  • PPPoA is a specification for establishing PPP connections over ATM networks.
  • a packet with a packet length of 1 500 bytes may also be able to reach another device without being fragmented IP on the way.
  • the method described in the first embodiment and the second embodiment can not prevent the leakage to devices other than the local network to which the copy-controlled content device belongs.
  • FIG. 8 is a diagram showing how IP packets are mapped to ATM packets in the case of AD SL using PPPoA.
  • Figure 8 (a) shows the packet format before being mapped to an ATM cell when transmitting an IP packet on ADSL using PPPoA.
  • Figure 8 (b) shows the packet format when transmitting packets on an ATM network.
  • the bucket format when transmitting a packet on ADSL using PPPoA is LLC / SNAP 801, PPP field 802, IP header 803, IP payload 804, It comprises a PAD field 805 and a trailer 806.
  • LLCZSNA P field 801, PPP field 802, IP header 803 and IP payload 804 are the same as those described in the Ethernet (registered trademark), wireless LAN and PPPoE frame formats described above.
  • the Trailer field 806 contains length information up to LLCZ SNAP field 80 1 power IP payload 804, a CRC for error detection, and the like.
  • a PAD field 805 is padding, which is used when ATM cellization is performed.
  • the packet format when transmitting a packet on an ATM network is composed of an ATM header and an ATM payload.
  • the ATM packet is a fixed 53-byte packet consisting of an 5-byte long ATM header and a 48-byte long ATM payload.
  • the ATM payload of the final ATM packet may be less than 842 bytes by 8 bytes.
  • the padding of the PAD field 805 in FIG. 8A described above is added to make it 48 bytes.
  • FIG. 9A, FIG. 9B and FIG. 9C are diagrams showing the relationship between packet length and transmission time on various media.
  • FIG. 9A is a diagram showing the relationship between packet length and transmission time on an ATM network.
  • FIG. 9B is a diagram showing the relationship between packet length and transmission time on Ethernet (registered trademark) or wireless LAN (IEEE802.1 ib).
  • FIG. 9C is a diagram showing the relationship between packet length and transmission time on a wireless LAN (IEEE802.11a, IEEE802.11g).
  • the transmission time changes in units of 1 byte according to the change in packet length as shown in FIG. 9B.
  • wireless LANs IEEE802.11a and IEEE802.l lg
  • OFDM Ortho As shown in Fig. 9C, since the gonal Frequency Division Multiplexing modulation scheme is used, the transmission time change power in OFDM symbol units is different from that of ATM bytes by up to 27 bytes.
  • the transmission time can be obtained by measuring the RTT described above.
  • a response packet of a predetermined length and having a predetermined length may be sent to another device that has received an RTT measurement packet transmitted by a certain device.
  • the influence of the change in transmission time on the change in packet length can be doubled, and the steps in the graph shown in FIG. 9A can be clarified.
  • Examples of such RTT measurement packets and response packets are Echo Message (Type 8) and Echo Reply Message (Type O) of ICMP packets used as a ping command.
  • Echo Message Type 8
  • Echo Reply Message Type O
  • FIG. 10 is a block diagram showing a schematic configuration of a system in the third embodiment.
  • the system is composed of a device E 1001, a device B 211 and a network 221.
  • device E1001 will be described as a device (sender) that transmits copy-controlled content
  • device B211 will be described as a device (receiver) that receives copy-controlled content.
  • the device B211 which is a receiver, has the same configuration as the first embodiment and the second embodiment, but may have the same configuration as the device E1001.
  • the network 221 is Ethernet (registered trademark) or a wireless LAN depending on whether the device B 211 belongs to the same local network as the device E 1001. It is built on the Internet, etc., or it can be a private network.
  • the copy-controlled content corresponds to the local network to which the device E1001 belongs.
  • the device E1001 is copy-controlled to determine whether the device B211 is a device belonging to the same local network as the device E1001 in order to prevent the leakage to the device other than the device. Before transmitting to the device B 211 (authentication step).
  • the device E 1001 includes a device control unit 1002, a transmission packet generation unit 203, a packet transmission / reception unit 204, a received packet analysis unit 1003, and an RTT measurement unit 1004.
  • the device E1001 tries to transmit the copy-controlled content to the device B211, in order to check whether the device B211 belongs to the same local network as the device E1001, generation of RTT measurement packet is performed. It instructs the transmission packet generation unit 203 of the device E1001.
  • the device control unit 1002 outputs, to the RTT measurement unit 1004, information on the time (timing) at which the transmission packet generation unit 203 of the device E1001 is instructed to generate the RTT measurement packet.
  • the transmission packet generation unit 203 of the device E1001 generates an RTT measurement packet according to an instruction from the device control unit 1002, and outputs the generated RTT measurement packet to the packet transmission / reception unit 204 of the device E1001.
  • the packet transmission / reception unit 204 of the device E1001 is connected to the RTT measurement packet input from the transmission packet generation unit 203 of the device E1001 via the network 221 and transmits it to the device B211.
  • the packet transmission / reception unit 204 of the device E 1001 outputs a response packet to the RTT measurement packet received from the device B 211 to the received packet analysis unit 1003.
  • the reception bucket analysis unit 1003 outputs the analysis result to the device control unit 1002, and outputs information on the time (timing) at which the response packet is input from the packet transmission / reception unit 204 to the RTT measurement unit 1004.
  • the device control unit 1002 instructs the transmission packet generation unit 203 to generate an RTT measurement packet, and the received packet analysis unit 1003 also receives a response packet for the RTT measurement packet.
  • the time up to is calculated as RTT, and the obtained RTT is output to the device control unit 1002.
  • the device control unit 1002 instructs the transmission packet generation unit 203 to generate an RTT measurement packet, and the received packet analysis unit 1003 also receives a response packet for the RTT measurement packet.
  • the time until the input of It is not restricted to this.
  • the time from when the packet for RTT measurement is input to the packet transmission / reception unit 204 of the device E1001 until the packet transmission / reception unit 204 of the device E1001 outputs a response packet for the RTT measurement packet to the received packet analysis unit 1 003 You may ask for In this case, a time stamp is added when the RTT measurement packet is input to the packet transmission / reception unit 204, and a time stamp is added when the packet transmission / reception unit 204 of the device E1001 outputs a response packet.
  • the RTT measurement unit 1004 will calculate the RTT based on the timestamp.
  • the device B211 transmits an authentication request packet to the device E1001 possessing the copy-controlled content.
  • This authentication request packet contains data of random number B and device certificate B.
  • the device E1001 transmits, to the device B211, an ACK packet indicating that the authentication request packet has been received.
  • the device E1001 transmits a reply packet to the device B211.
  • This reply socket contains data of random number A and device certificate A.
  • the device B211 transmits an ACK packet indicating that the reply packet has been received to the device E1001.
  • the device E1001 In the process from S1105 to S1110, the device E1001 repeatedly transmits the RTT measurement packet to the device B211, and the device B211 receives the RTT measurement packet transmitted from the device E1001. , Repeat the process of sending a response packet indicating that the RTT measurement packet has been received. At this time, the device E 1001 transmits, to the device B 211, an RTT measurement packet which is changed by a predetermined length from the packet length of the RTT measurement packet transmitted last time. In the processing from S 1105 to S 1110, whether the device control unit 1002 instructs the transmission packet generation unit 203 to generate a RTT measurement packet? The reception packet analysis unit 1003 repeatedly measures the time (RTT) until the response packet for the RTT measurement packet is input. A detailed description of this process will be described later.
  • RTT time
  • the device E1001 has a step-like relationship as shown in FIG. 9A between the packet length of the RTT measurement packet that has been sent and the measured RTT, and the packet length per step is 48 bytes. If it is, it is, it is determined that the device B211 is not a device belonging to the same local network as the device E1001, but otherwise the device B211 is a device belonging to the same local network as the device E1001. It is determined that
  • the device E1001 transmits a packet notifying an authentication failure to the device B211 as shown in S1111. And abort the authentication process.
  • the device B 211 receives the packet notifying the authentication failure, the device B 211 aborts the authentication process, and transmits an ACK packet indicating that the device E 1001 receives the packet notifying the authentication failure to the device E 1001. In this case, the device E1001 does not transmit the copy-controlled content to the device B211.
  • the present invention is not limited to this, and an RTT measurement packet is transmitted from the device B211 to the device E1001. Let me see.
  • the difference between START-LENGTH and END-LENGTH needs to be larger than 96 bytes. Because, when the relationship between the packet length of the RTT measurement packet and the measured RTT becomes the step-like relationship shown in FIG. 9A, in order to determine whether the packet length per step is 48 bytes or not. At least three stages are required for the force AT Since RTT may not change while the packet length changes by 48 bytes due to MCell, only stage S 2 stages will appear if the difference between START-LENGTH and END-LENGTH is 96 bytes or less. It is a force with sex.
  • STEP is a divisor of 48. Because, when the relationship between the packet length of the RTT measurement packet and the measured RTT becomes the step relationship shown in FIG. 9A, it is determined whether the packet length per step is 48 bytes or not. For example, if the packet length per step changes by 42 bytes or 49 bytes, the RTT changes by one step if the number (eg “7”) is set to STEP. Therefore, it is impossible to accurately judge whether the packet length per step is 48 bytes.
  • STEP is not limited to a positive number and may be a negative number.
  • the measurement method of RTT will be specifically described with reference to FIGS. 12 and 13, but in FIGS. 12 and 13, STEP will be described as a positive number.
  • FIGS. 12 and 13 are flowcharts showing the flow of processing executed by the device control unit 1002 of the device E 1001.
  • S1201 it is determined whether or not the authentication request packet transmitted from the device B 211 has been received.
  • the processing of the flowcharts of FIG. 12 and FIG. 13 ends.
  • the process proceeds to the process of S1202.
  • the sending process of the reply socket is performed. This consists of an instruction for generation of a reply packet and waiting for reception of an ACK for the reply packet, corresponding to S1103 and S1104 in FIG.
  • the device control unit 1002 instructs the transmission packet generation unit 203 to generate the RTT measurement packet, and the force is also received by the reception packet analysis unit 1003 until the response packet for the RTT measurement packet is input.
  • the processing proceeds to processing after S1203.
  • the RTT recording table is a tape that records the RTT measured for each packet length (LENGTH) of the RTT measurement packet. For example, it is realized by a storage medium such as a RAM or a hard disk mounted in the device E1001.
  • processing is performed to instruct the transmission packet generation unit 203 of the device E1001 to generate an RTT measurement packet whose packet length is ST ART-LENGTH.
  • it is determined whether the response packet to the RTT measurement packet has been received.
  • the packet transmitting / receiving unit 204 of the device E 1001 receives the response packet, the received packet is analyzed by the received packet analysis unit 1003, and the analysis result is output to the device control unit 1002.
  • the device control unit 1002 can determine whether the response packet has been received or not. If it is determined that the response packet has been received, the process proceeds to step S1207. If it is determined that the response packet has not been received, the process proceeds to step S1206.
  • the transmission packet generation unit 203 of the device E1001 is instructed to generate an RTT measurement packet, and it is determined whether or not the force has reached a certain time. If it is determined that the predetermined time has not elapsed, the process returns to the process of S1205, and the processes of S1205 and SI 206 are repeated until the predetermined time elapses. On the other hand, when it is determined that the predetermined time has elapsed, the process returns to the process of S1204 and the processing power S of S1204, S1205, and S1206 is performed again.
  • S1207 it is determined whether or not the force at which RTT is the minimum value. As described above, for RTT measurement packets of the same packet length, RTT measurement is repeated as many times as defined by COUNT-MAX. In S 1207, the value of the RTT measured this time is compared with the value of the RTT recording table in which the minimum value of the RTTs measured up to the previous time is recorded, and recorded in the RTT recording table. It is judged whether it is smaller than the value. If it is determined that the value of RTT measured this time is smaller than the value of RTT recorded in the RTT recording table, the processing proceeds to S1208, and the value of RTT measured this time is recorded in the RTT recording table. If it is determined that the value is larger than the value of RTT, the process proceeds to step S1209. In the first RTT measurement, the value of RTT to be compared with the RTT recording table is recorded and it is a shame, so proceed to S1208.
  • S1208 is performed only when the determination of “Yes” is made in S1207, and the measurement is performed. Processing is performed to record the value of RTT in the RTT recording table. In S1209, it is determined whether the value of C OUNT is COUNT-MAX. If the value of COUNT is not COUNT—MAX, “1” is added to the value of COUNT at S1210, and S 1209 until the value of COUNT is determined to be COUNT—MAX at S1209. The processing up to S 1 209 is repeated.
  • a packet length determination process is performed.
  • the RTT recording table! / The smaller the LENGTH! /, The RTT values are checked in order from the one !, and the same RTT value (the RTT within a certain error range Range of LENGTH continues Be This is done until END-LENGTH.
  • SI 304 it is determined whether or not the range power of 8 bytes of LENGTH continues, with the same value of RTT examined in SI 303. If the range of the LENGTH which continues the same value of RTT is 48 bytes, the process proceeds to the processing of S1307, and if not, it proceeds to the processing of S1305.
  • the device B211 is a device belonging to the same local network as the device E1001, and instructs the transmission packet generation unit 203 of the device E1001 to generate a packet notifying a successful authentication. Processing is performed.
  • the packet for notification of successful authentication may be a packet only for notification purpose or may be a packet following the authentication phase (key exchange packet etc.).
  • a process of instructing the transmission packet generation unit 203 of the device E1001 to generate a packet of copy-controlled content is performed.
  • the content subjected to copy control is transmitted from the device E1001 to the device B211.
  • the device B211 is not a device belonging to the same local network as the device E1001, and the device E1001 generates a packet for notifying the transmission packet generation unit 203 of an authentication failure.
  • a process of instructing is performed. Since it is determined in S1307 that the device B211 is not a device belonging to the same local network as the device E1001, in S1308, processing for aborting the authentication process is performed. In this case, the process of instructing the transmission packet unit 203 of the device E1001 to generate a packet of copy-controlled content is not performed. The content copy-controlled from the device E1001 to the device B211 is not transmitted. !
  • the device E1001 or the device B211 having the functions described above is installed in a personal computer, a digital camera, a digital video camera, a DVD recorder, or the like that can handle digitalized contents.
  • the device control unit 1002 of the device E1001 changes the packet length by the predetermined length transmitted to the device B211 connected via the network.
  • the response time for receiving the response packet to the received packet is measured, and from the relationship between the transmitted packet length and the measured response time, the device B211 is a device belonging to the same local network as the device A201. It can be determined whether or not.
  • the device control unit 1002 of the device ElOOl generates an RTT measurement packet for determining whether the device B 211 belongs to the same local network as the device E 1001 in the authentication stage.
  • the device B2 In order to instruct the transmission packet generation unit 203 of the device E1001, when it is determined that the device B211 is not a device belonging to the same local network as the device E1001, the device B2 is transmitted before the step of transmitting the copy-controlled content. Communication with 11 can be terminated. As a result, it is possible to prevent the flow of copy-controlled content from the device E1001 to the device B211 belonging to the local network different from the device E1001.
  • the device E1001 In order to instruct the transmission packet generation unit 203 to generate the RTT measurement bucket again, it is possible to measure the RTT as much as possible, and whether the device B211 belongs to the same local network as the device E1001. It is possible to make the judgment as to whether or not it is possible as much as possible.
  • the present invention when it is determined in S1206 of FIG. 12 that the predetermined time has elapsed, the present invention is not limited to this. For example, if it is determined in S1 206 that a predetermined time has elapsed, the process may proceed to S1308 in FIG. 13 to abort the authentication process. In this way, when it is not possible to measure RTT and it is unclear whether the device B211 is a device belonging to the same local network as the device E1001 or not, the device E1001 to the device B211 It can prevent the flow of copy-controlled content.
  • DTCP-IP may exchange copy-controlled content with a large remote device! /, Authentication phase to check whether it is a device certified by DTLA, and content that is actually copy-controlled Can be divided into the content transmission phase in which the In Embodiment 1 to Embodiment 3 described above, the device B 211 is a device belonging to the same local network as the device A 201 or the device B 211 is a device E. Although it can be determined in either the authentication phase or the transmission phase whether or not the network belongs to the same local network as 1001, as described in the first to third embodiments described above, one of the authentication phases is performed. It is preferable to make a decision on the part.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A device control unit (202) of a device A (201) judges that a device B (211) is a device not belonging to the same local network as the device A (201) when the packet length transmitted from the device A (201) to the device B (211) is 1500 bytes and the response packet to a packet having an IP fragment inhibited is an ICMP packet reporting that the packet length is too long or a response packet including data indicating that the device B (211) is a device not belonging to the same local network as the device A (201) and transmitted by the device B (211) when it has normally received a packet transmitted from the device A (201).

Description

明 細 書  Specification
送信器、受信器、送信方法および伝送方法  Transmitter, receiver, transmission method and transmission method
技術分野  Technical field
[0001] 本発明は、送信器、受信器、送信方法および伝送方法に関し、特に、ネットワーク を介して接続されている他の機器が自機器と同一のローカルネットワークに属してい る機器であるカゝ否かを判定する送信器、受信器、送信方法および伝送方法に関する  The present invention relates to a transmitter, a receiver, a transmission method, and a transmission method, and in particular, a device in which another device connected via a network belongs to the same local network as the own device. A transmitter, a receiver, a transmission method, and a transmission method for determining whether or not
背景技術 Background art
[0002] デジタル技術の進歩、パソコン等の高性能化と急速な普及により、ソフトウェア、動 画像、静止画像、音声等様々なコンテンツがデジタルィ匕されている。これらデジタル 化されたコンテンツは、インターネット等の IPネットワーク上で広く流通している。さら に ADSLや CATV等のブロードバンド回線の使用により、従来と比較して容量の大 きいコンテンツを IPネットワーク上で流通させることが可能となりつつある。  [0002] Various contents such as software, moving pictures, still pictures, sounds and so on are digitized by progress of digital technology, high performance of personal computers etc. and rapid spread. These digitized contents are widely distributed on IP networks such as the Internet. Furthermore, the use of broadband lines such as ADSL and CATV has made it possible to distribute large-capacity content over IP networks compared to the past.
[0003] デジタル化されたコンテンツはコピーおよびムーブが容易であり、コピーおよびムー ブの際の劣化がほとんどないため、不正にコピーおよびムーブされたコンテンツが IP ネットワーク上で流通するという問題が発生している。そのため現在、家庭(ローカル ネットワーク)内でのコンテンツのコピーおよびムーブは認め、それ以外は禁止しょう とする規格ィ匕が検討中である。  [0003] Since digitized content is easy to copy and move, and there is almost no deterioration during copying and moving, there is a problem that illegally copied and moved content is distributed on the IP network. ing. Therefore, standards are currently under consideration to permit copying and moving of content within the home (local network), and to prohibit others.
[0004] コピーコントロールされたコンテンツを IPネットワーク上で流通させるときの規格とし て、コピーコントロールされたコンテンツの伝送の仕様策定やライセンス管理をして ヽ る DTLA (Digital Transmission Licensing Administrator)〖こより 疋 れた DTCP、 Digital Transmission Content Protection)を IP (Internet Protocol)に適用す た めの追加規格 DTCP— IP (DTCP Volume 1 Supplement E Mapping DTCP to IP)がある。 DTCP— IPを用いてコピーコントロールされたコンテンツの伝送を行なう ときに、従来から用いられて 、る相手機器を認証する方法にっ 、て説明する。  [0004] As a standard for distributing copy-controlled content on an IP network, the specification of transmission of copy-controlled content and the license management have made it possible to obtain Digital Transmission Licensing Administrator (DTLA). There are additional standards for applying DTCP, Digital Transmission Content Protection (IP) to IP (Internet Protocol) DTCP-IP (DTCP Volume 1 Supplement E Mapping DTCP to IP). A method of authenticating a remote device, which has been conventionally used when transmitting copy-controlled content using DTCP-IP, will be described.
[0005] 図 14は、 DTCP— IPにおける認証開始からコピーコントロールされたコンテンツの 伝送が開始されるまでを示した図である。機器 B (シンク機器)が DTCP— IPを用いて コピーコントロールされたコンテンツを機器 A (ソース機器)力も受信した 、とき、ステツ プ(以下、単に「S」 t 、う) 1401にお!/、て、機器 Bはコピーコントロールされたコンテン ッを所持している機器 Aに認証要求パケットを送信する。 [0005] FIG. 14 is a diagram showing from the start of authentication in DTCP-IP to the start of transmission of copy-controlled content. Device B (sink device) using DTCP-IP Device A (source device) power is also received when the copy-controlled content is received, and step (hereinafter simply “S” t, う) 1401! /, Device B possesses copy-controlled content Send an authentication request packet to device A.
[0006] 認証要求パケットには、乱数値ほ L数 B)および機器 Bが DTLA力も認可されて 、る 機器であることを示すデバイス証明書 (デバイス証明書 B)のデータが含まれて ヽる。 乱数値は、以前に機器 Bが通信した内容を不正に入手して、同じ内容を送信すること によって機器 Bになりすますリプレイ攻撃を防止するために利用され、認証毎に内容 が変わる。デバイス証明書 Bは、機器 Bの公開鍵を含む内容を DTLAの秘密鍵を使 V、電子署名したものである。  [0006] The authentication request packet includes data of a random number value L) B and a device certificate (device certificate B) indicating that the device B is a device that is also approved for DTLA power. . The random number value is used to prevent a replay attack that impersonates the device B by illegally obtaining the content that the device B communicated previously and transmitting the same content, and the content changes with each authentication. The device certificate B is a digital signature of the contents including the public key of the device B using the DTLA private key.
[0007] S 1402において、機器 Aは機器 Bに認証要求パケットを受信したことを示す ACK( 肯定応答)パケットを送信する。図 14では省略している力 機器 Bが S1401の認証 要求を送信してから一定期間が経過するまでの間に S 1402に示す ACKパケットを 機器 A力も受信しないとき、または機器 Bが S1401の認証要求を送信して力も一定 期間が経過するまでの間に何らかのエラーが発生したことを通知する ICMPパケット を受信しな 、とき、機器 Bは S1401に示した認証要求パケットを機器 Aに再送信する 。この再送信動作は以下の説明でも省略するが、全ての ACKパケットで同様である  [0007] In S1402, the device A transmits to the device B an ACK (acknowledgement) packet indicating that the authentication request packet has been received. When the device B does not receive the ACK packet shown in S 1402 after the device B transmits the authentication request of S 1401 and the certain period elapses, or the device B authenticates S 1401. When sending a request and not receiving an ICMP packet notifying that an error has occurred until a certain period of time has elapsed, when the device B retransmits the authentication request packet shown in S 1401 to the device A . Although this retransmission operation is omitted in the following description, it is the same for all ACK packets.
[0008] S1403において、機器 Aは機器 Bに返信パケットを送信する。この返信パケットにも 、乱数値ほ L数 A)および機器 Aが DTLAから認可されて 、る機器であることを示す デバイス証明書 (デバイス証明書 A)のデータが含まれている。 S1404において、機 器 Bは機器 Aに S1403の返信パケットを受信したことを示す ACKパケットを送信する In S1403, the device A transmits a reply packet to the device B. This return packet also includes data of a random number value L) and a device certificate (device certificate A) indicating that the device A is a device authorized by the DTLA. In S1404, the device B transmits, to the device A, an ACK packet indicating that the S1403 return packet has been received.
[0009] 機器 Aは、機器 Bから受信した認証要求パケットに含まれて ヽるデバイス証明書 B が正しいものである力否かの検証を返信パケットの送信後に行なう。前述したように デバイス証明書 Bは機器 Bの公開鍵を含む内容を DTLAの秘密鍵を使い電子署名 されているので、既知の DTLAの公開鍵を用いて復号ィ匕することによりデバイス証明 書 Bが正しいものであるか否かの検証を行なうことができる。 Device A verifies whether the device certificate B included in the authentication request packet received from the device B is correct or not after transmitting the reply packet. As described above, since the device certificate B is digitally signed with the content including the device B's public key using the DTLA private key, the device certificate B can be decrypted by using the known DTLA public key. It is possible to verify whether or not is correct.
[0010] 機器 Bは、機器 Aから受信した返信パケットに含まれているデバイス証明書 Aが正し 、ものであるか否かの検証を返信パケットの受信後に行なう。デバイス証明書 Aはデ バイス証明書 Bと同様に機器 Aの公開鍵を含む内容を DTLAの秘密鍵を使い電子 署名されて ヽるので、 DTLAの公開鍵を用いて復号ィ匕することによりデバイス証明書 Aが正しいものであるか否かの検証を行なうことができる。 Device B has the correct device certificate A included in the reply packet received from device A. The verification of whether or not the object is done after the receipt of the reply packet. The device certificate A, like the device certificate B, is digitally signed by using the secret key of the DTLA and the contents including the public key of the device A, so the device can be decrypted by using the public key of the DTLA. It is possible to verify that certificate A is correct.
[0011] どちらかの機器で相手機器力も受信したデバイス証明書が正しくないと判断された とき、 DTCP— IPを用いてデータのやり取りをする相手機器としてふさわしくないと判 断し、相手機器に認証失敗を通知するパケットを送信し、現在の認証処理を打ち切 る。この場合、機器 Aから機器 Bにコピーコントロールされたコンテンツの伝送が行な われることはない。 If it is determined that the device certificate received by the other device is also incorrect in either of the devices, it is determined that the device is not appropriate as the other device to exchange data using DTCP-IP, and the device is authenticated. Send a packet to notify failure and abort the current authentication process. In this case, transmission of copy-controlled content from device A to device B is not performed.
[0012] 一方、双方の機器で相手機器カゝら受信したデバイス証明書が正 ヽと判断されたと き、双方の機器で相手機器の公開鍵が得られたことになる。この場合、認証処理の 後に機器 Aから機器 Bにコピーコントロールされたコンテンツの伝送が行なわれること になる。機器 Aから機器 Bにコピーコントロールされたコンテンツの伝送が行なわれる 前に、楕円暗号上の Diffie-Hellman鍵交換アルゴリズム(EC— DH)が用いられ、双 方の機器だけで一時的に共有される共有鍵が準備される。  On the other hand, when the device certificate received by the other device is determined to be correct by both devices, the public key of the other device is obtained by both devices. In this case, transmission of copy-controlled content from the device A to the device B is performed after the authentication process. Before transmission of copy-controlled content from device A to device B takes place, the Diffie-Hellman key exchange algorithm (EC-DH) over Elliptic Cryptography is used and is temporarily shared only by both devices. A shared key is prepared.
[0013] 機器 Aでは、乱数値「Xk」を発生し、 Xv=XkGを求める。「G」は楕円曲線上の特 定の点であり、「XkG」は楕円曲線上の計算であり、結果の「Xv」は楕円曲線上のい ずれかの点になる。乱数値「Xk」は機器 Aだけの秘密情報として保持し、 S 1405〖こ ぉ 、て、機器 Aは「Xv」を含む所定の形式の情報を機器 Aの秘密鍵で署名したもの を鍵交換メッセージとして機器 Bに送信する。 S1406において、機器 Bは鍵交換メッ セージを受信したことを示す ACKパケットを機器 Aに送信する。  Device A generates a random number value “Xk” to obtain Xv = XkG. “G” is a specific point on the elliptic curve, “XkG” is a calculation on the elliptic curve, and “Xv” in the result is any point on the elliptic curve. The random number value “Xk” is held as secret information of the device A alone, S 1405, where the device A performs key exchange of information in which information of a predetermined format including “Xv” is signed by the secret key of the device A Send to Device B as a message. In step S1406, the device B transmits to the device A an ACK packet indicating that the key exchange message has been received.
[0014] 機器 Bでも同様に、乱数値「Yk」を発生し、 Yv=YkGを求める。乱数値「Yk」は機 器 Bだけの秘密情報として保持し、 S1407において、機器 Bは「Yv」を含む所定の形 式の情報を機器 Βの秘密鍵で署名したものを鍵交換メッセージとして機器 Αに送信 する。 S 1408〖こおいて、機器 Aは鍵交換メッセージを受信したことを示す ACKバケツ トを機器 Bに送信する。  Similarly, the device B generates a random value “Yk” to obtain Yv = YkG. The random number value “Yk” is held as secret information for only the device B, and in S1407, the device B uses as a key exchange message a signature of information of a predetermined format including “Yv” with the secret key of the device Β. Send to the rabbit. In step S1408, the device A transmits an ACK bucket to the device B indicating that the key exchange message has been received.
[0015] 双方の機器は相手機器力も鍵交換メッセージを受信すると、 S1405より前の段階 で得て 、る相手機器の公開鍵を使 、、受信した鍵交換メッセージの署名を確認した 後、相手機器が送ってきた点「Xv」または「Yv」を得ることができる。 [0015] When both devices receive the key exchange message of the other device also, they obtain the key exchange message before S1405, and use the other device's public key to confirm the signature of the received key exchange message. After that, it is possible to obtain the point "Xv" or "Yv" that the partner device has sent.
[0016] 機器 Αでは、秘密情報「Xk」と機器 B力 受け取った「Yv」と力 XkYv=XkYkGを 計算する。機器 Bでは、秘密情報「Yk」と機器 Aカゝら受け取った「Xv」とから YkXv= XkYkGを計算する。これにより機器 Aおよび機器 Bだけの秘密の点を共有すること ができ、その点の X座標値を以降の共有鍵とする。機器 Aおよび機器 B以外の機器 は、「Xv」あるいは「Yv」から「Xk」あるいは「Yk」を求めることが困難であるため、「Xv 」あるいは「Yv」を知りえたとしても、秘密の点「XkYkG」を求めることはできない。つ まり共有鍵を知ることはできない。  [0016] In the device 、, the secret information "Xk" and the device B force "Yv" received and the force XkYv = XkYkG are calculated. The device B calculates YkXv = XkYkG from the secret information “Yk” and “Xv” received by the device A. This makes it possible to share the secret points of device A and device B only, and the X coordinate value of that point is used as the subsequent shared key. Since it is difficult to obtain “Xk” or “Yk” from “Xv” or “Yv”, devices other than device A and device B have secret points even if they know “Xv” or “Yv”. It is not possible to ask for "XkYkG". I can not know the shared key.
[0017] S1409において、機器 Aは暗号化されていないコンテンツを秘密の共有鍵に基づ いて暗号化し、 S 1410において暗号化されたコンテンツを機器 Bに送信する。 S141 1にお 、て、機器 Bは受信した暗号ィ匕されたコンテンツを秘密の共有鍵に基づ 、て 元のコンテンツに復号することができる(非特許文献 1および非特許文献 2)。  [0017] In S1409, the device A encrypts the unencrypted content based on the secret shared key, and transmits the encrypted content to the device B in S1410. In S141 1, the device B can decrypt the received encrypted content into the original content based on the secret shared key (Non-Patent Document 1 and Non-Patent Document 2).
[0018] また、 DTCP— IPを用いて機器 Aが機器 Bにコピーコントロールされたコンテンツを 送信しょうとするとき〖こ、コピーコントロールされたコンテンツ力 機器 Aの属している口 一カルネットワーク (たとえば、家庭内のネットワーク)以外の機器に流出することを阻 止することが求められている。機器 Bが機器 Aと同一のローカルネットワークに属して いる機器である力否かを判定する技術として、 RTT (Round Trip Time)を用いる方 式がある。 RTTとは、機器 Aから機器 Bにデータを送信し、機器 Bが機器 Aからのデ ータを受信すると即座に機器 Aに応答データを送信するときに、機器 Aがデータを送 信して力も応答データを受信するまでの時間のことである。  [0018] Also, when device A tries to transmit copy-controlled content to device B using DTCP-IP, a copy network to which copy-controlled content device A belongs (eg, It is required to prevent outflow to devices other than home network. There is a method using RTT (Round Trip Time) as a technology to determine whether the device B is a device belonging to the same local network as the device A or not. In RTT, when device A transmits data to device B, and device B immediately transmits response data to device A when device B receives data from device A, device A transmits data. Force is also the time to receive response data.
[0019] 同一のローカルネットワークに属していない機器同士の通信では、同一のローカル ネットワークに属している機器同士の通信に比べ RTTが長くなるという特徴がある。こ の特徴に注目し、 RTTがある閾値時間よりも長いときに 2つの機器は同一のローカル ネットワークに属していないと判定し、 RTTがある閾値時間よりも短いときに 2つの機 器は同一のローカルネットワークに属していると判定する方法がある(非特許文献 3) 特干文献 1: Hitachi, Lta., Intel Corporation, Matsushita Electric Industrial co., Ltd., Sony Corporation, Toshiba Corporation, Digital Transmission Co ntent Protection Specification Volume 1 (Informational Version) Revision 1.3"、 [online]、 2004年 1月 7日、インターネットく URL : http:〃 www.dtcp.com/data/info— 20 040107_dtcp_Vol_l_lp3.pdl) Communication between devices not belonging to the same local network is characterized in that RTT is longer than communication between devices belonging to the same local network. Focusing on this feature, it is determined that the two devices do not belong to the same local network when the RTT is longer than a certain threshold time, and the two devices are identical when the RTT is shorter than a certain threshold time. There is a method to judge that it belongs to the local network (Non-patent literature 3) Special reference 1: Hitachi, Lta., Intel Corporation, Matsushita Electric Industrial co., Ltd., Sony Corporation, Toshiba Corporation, Digital Transmission Co ntent Protection Specification Volume 1 (Informational Version) Revision 1.3 ", [online], January 7, 2004, Internet URL: http: 〃 www.dtcp.com/data/info— 20 040107_dtcp_Vol_l_lp3.pdl)
特許文献 2: Hitachi, Ltd., Intel Corporation, Matsushita Electric Industrial co., Ltd., Sony Corporation, Toshiba Corporation, DTCP Volume 1 Supple ment E Mapping DTCP to IP (informationalVersion) Revision 1.0"、 [online]、 2 003年 11月 24日、インターネットく URL : http:〃 www.dtcp.com/data/info— 20031124— dtcp— VISE— lpO.pdl)  Patent Literature 2: Hitachi, Ltd., Intel Corporation, Matsushita Electric Industrial Co., Ltd., Sony Corporation, Toshiba Corporation, DTCP Volume 1 Supplement E Mapping DTCP to IP (informational Version) Revision 1.0 ", [online], 2 003 , November 24, URL: http: 〃 www.dtcp.com/data/info— 20031124— dtcp— VISE— lpO.pdl)
非特許文献 3: DTLA、 "Work Plan for Localizing Transmissions 、 [online]、 Sept ember, 2003、 [平成 16年 7月 30日検索]、インターネットく URL : http:〃 www.dtcp.c om/data/Work— Plan— 09092003.pdl)  Non Patent Literature 3: DTLA, "Work Plan for Localizing Transmissions, [online], September, 2003, [Search on July 30, 2004], Internet URL: http: 〃 www.dtcp.c om / data / Work—Plan—09092003.pdl)
発明の開示  Disclosure of the invention
発明が解決しょうとする課題  Problem that invention tries to solve
[0020] しかしながら、従来の RTTを用いて 2つの機器が同一のローカルネットワークに属し て 、る機器である力否かを判定する方法は、 RTTがネットワーク構成に依存して変 化することが予想され、適切な閾値時間を決定することが困難であるという問題点が めつに。 However, the method of determining whether or not two devices belong to the same local network using the conventional RTT is expected to vary depending on the network configuration. The problem is that it is difficult to determine the appropriate threshold time.
[0021] 本発明は、係る事情に鑑み考え出されたものであり、その目的は、ネットワークを介 して接続されている他の機器が自機器と同一のローカルネットワークに属している機 器であるか否かを判定することができる送信器、受信器、送信方法および伝送方法 を提供することである。  The present invention has been conceived in view of the above-mentioned circumstances, and an object thereof is a device in which another device connected via a network belongs to the same local network as the own device. It is to provide a transmitter, a receiver, a transmission method, and a transmission method that can determine whether there is any.
課題を解決するための手段  Means to solve the problem
[0022] 前述した目的を達成するためにこの発明のある局面によれば、送信器は、指示に 応じてフラグメントを禁止した送信パケットを生成するパケット生成部と、パケット生成 部で生成された送信パケットをネットワークを介して接続されている他の機器に向け て送信するとともに、送信パケットに対する応答パケットを受信するパケット送受信部 と、パケット送受信部で受信された応答パケットのパケット長が所定のパケット長より長 いことを示すパケットである力否かを解析するパケット解析部と、パケット生成部にフラ グメントを禁止した送信パケットの生成を指示するとともに、他の機器が自機器と同一 のローカルネットワークに属している機器である力否かを判定する機器制御部とを備 え、機器制御部は、パケット解析部で応答パケットが送信パケットのパケット長が所定 のパケット長より長いことを示すパケットであると解析されたときに他の機器が自機器 と同一のローカルネットワークに属していない機器であると判定することを特徴とする According to an aspect of the present invention to achieve the above-described object, a transmitter generates a transmission packet in which a fragment is inhibited according to an instruction, and a transmission generated by the packet generation unit. A packet transmission / reception unit that transmits a packet toward another device connected via the network and receives a response packet to the transmission packet, and a packet length of the response packet received by the packet transmission / reception unit is a predetermined packet length A packet analysis unit that analyzes whether the packet is a packet that indicates that it is longer or not, and a packet generation unit The device control unit further comprises: a device control unit that instructs generation of a transmission packet in which the pigment is prohibited, and determines whether other devices are devices belonging to the same local network as the own device. When the packet analysis unit analyzes that the response packet is a packet indicating that the packet length of the transmission packet is longer than a predetermined packet length, it is assumed that another device is not a device belonging to the same local network as the own device. It is characterized by judging
[0023] この発明に従えば、他の機器に送信したフラグメントを禁止した送信パケットに対す る応答パケットが所定のパケット長より長いことを示すパケットであるかを解析すること により、他の機器が自機器と同一のローカルネットワークに属している機器である力否 かを判定することができる。 According to the present invention, the other device can be determined by analyzing whether the response packet to the transmission packet for which the fragment sent to the other device is prohibited is a packet indicating that the packet length is longer than a predetermined packet length. It can be determined whether the device belongs to the same local network as the own device or not.
[0024] 好ましくは、機器制御部は、パケット生成部にパケット送信の認証段階においてフラ グメントを禁止した送信パケットの生成を指示することを特徴とする。  Preferably, the device control unit instructs the packet generation unit to generate a transmission packet in which a fragment is prohibited in an authentication step of packet transmission.
[0025] この発明に従えば、認証に失敗したときに自機器力も他の機器に向けて送信パケ ットが送信されることを阻止することができる。  According to the present invention, it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
[0026] 好ましくは、機器制御部は、他の機器が自機器と同一のローカルネットワークに属し ていない機器であると判定した後は、パケット生成部に送信パケットを生成する指示 をすることを停止することを特徴とする。 Preferably, the device control unit stops instructing the packet generation unit to generate a transmission packet after determining that the other device is not a device belonging to the same local network as the own device. It is characterized by
[0027] この発明に従えば、他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定した後は、自機器力も他の機器に向けて送信パケットが送信され ることを確実に阻止することができる。 According to the present invention, after it is determined that the other device is not a device belonging to the same local network as the device itself, the transmission packet is sent to the device itself as well. Can be reliably blocked.
[0028] 好ましくは、フラグメントを禁止した送信パケットのパケット長は 1500バイトであること を特徴とする。 [0028] Preferably, the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
[0029] この発明に従えば、ネットワークを介して接続されている他の機器が自機器と同一 のローカルネットワークに属している機器である力否かを判定することができる送信器 を提供することができる。  According to the present invention, there is provided a transmitter capable of determining whether another device connected via a network is a device belonging to the same local network as the own device. Can.
[0030] 好ましくは、パケット解析部は、さらにパケット送受信部で受信された応答パケットが Preferably, the packet analysis unit further transmits a response packet received by the packet transmission / reception unit.
、他の機器が送信パケットを正常に受信したときに送信する自機器と同一のローカル ネットワークに属して 、な 、機器であることを示すパケットである力否かを解析し、機 器制御部は、パケット解析部で応答パケットが、他の機器が送信パケットを正常に受 信したときに送信する自機器と同一のローカルネットワークに属していない機器であ ることを示すパケットであると解析されたときに他の機器が自機器と同一のローカルネ ットワークに属していない機器であると判定することを特徴とする。 , And belongs to the same local network as the own device that transmits when another device receives the transmission packet normally, and analyzes whether it is a packet indicating that it is the device, The controller control unit is a packet indicating that the response packet in the packet analysis unit is a device that does not belong to the same local network as the own device that transmits when another device receives the transmission packet normally. When it is analyzed, it is determined that the other device is not a device belonging to the same local network as the own device.
[0031] この発明に従えば、他の機器に送信したフラグメントを禁止した送信パケットに対す る応答パケットが、他の機器が送信パケットを正常に受信したときに送信する自機器 と同一のローカルネットワークに属していない機器であることを示すパケットであるか を解析することにより、他の機器が自機器と同一のローカルネットワークに属している 機器であるか否かを判定することができる。  According to the present invention, the response packet to the transmission packet in which the fragment transmitted to another device is inhibited is the same local network as the own device that transmits when the other device successfully receives the transmission packet. By analyzing whether it is a packet indicating that the device does not belong to the device, it can be determined whether the other device belongs to the same local network as the own device.
[0032] 好ましくは、機器制御部は、パケット生成部にパケット送信の認証段階においてフラ グメントを禁止した送信パケットの生成を指示することを特徴とする。 Preferably, the device control unit instructs the packet generation unit to generate a transmission packet in which a fragment is prohibited in an authentication step of packet transmission.
[0033] この発明に従えば、認証に失敗したときに自機器力も他の機器に向けて送信パケ ットが送信されることを阻止することができる。  According to the present invention, it is possible to prevent the transmission packet from being transmitted to the other device when the authentication fails.
[0034] 好ましくは、機器制御部は、他の機器が自機器と同一のローカルネットワークに属し ていない機器であると判定した後は、パケット生成部に送信パケットを生成する指示 をすることを停止することを特徴とする。 Preferably, after determining that the other device is not a device belonging to the same local network as the own device, the device control unit stops instructing the packet generation unit to generate a transmission packet. It is characterized by
[0035] この発明に従えば、他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定した後は、自機器力も他の機器に向けて送信パケットが送信され ることを確実に阻止することができる。 According to the present invention, after it is determined that the other device is not a device belonging to the same local network as the device itself, the transmission packet is sent to the device itself as well. Can be reliably blocked.
[0036] 好ましくは、フラグメントを禁止した送信パケットのパケット長は 1500バイトであること を特徴とする。 Preferably, the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
[0037] この発明に従えば、ネットワークを介して接続されている他の機器が自機器と同一 のローカルネットワークに属している機器である力否かを判定することができる送信器 を提供することができる。  According to the present invention, it is possible to provide a transmitter capable of determining whether another device connected via a network is a device belonging to the same local network as the own device. Can.
[0038] この発明の他の局面によれば、送信器は、指示に応じて予め定められている長さ ずつパケット長を変化させた送信パケットを生成するパケット生成部と、パケット生成 部で生成された送信パケットをネットワークを介して接続されている他の機器に向け て送信するとともに、送信パケットに対する応答パケットを受信するパケット送受信部 と、送信パケットが他の機器に向けて送信されてから送信パケットに対する応答パケ ットが受信されるまでの応答時間を測定する応答時間測定部と、パケット生成部に予 め定められている長さずつパケット長を変化させた送信パケットの生成を繰り返し指 示するとともに、他の機器が自機器と同一のローカルネットワークに属している機器で あるか否かを判定する機器制御部とを備え、機器制御部は、応答時間測定部により 測定された応答時間が特定のパケット長ごとに階段状に変化するときに他の機器が 自機器と同一のローカルネットワークに属していない機器であると判定することを特徴 とする。 [0038] According to another aspect of the present invention, the transmitter generates a transmission packet in which the packet length is changed by a predetermined length in accordance with the instruction, and the packet generation unit generates the transmission packet. A packet transmitting / receiving unit that transmits the transmitted packet to another device connected via the network and receives a response packet to the transmitted packet And a response time measurement unit that measures a response time from when a transmission packet is sent to another device until when a response packet to the transmission packet is received, and a length predetermined by the packet generation unit. The device control unit repeatedly instructs generation of a transmission packet in which the packet length is changed by a small amount, and determines whether another device belongs to the same local network as the own device. When the response time measured by the response time measurement unit changes stepwise for each specific packet length, the device control unit determines that the other device is not a device belonging to the same local network as the own device. It is characterized by
[0039] この発明に従えば、予め定められている長さずつパケット長を変化させた送信パケ ットが他の機器に送信されて力も送信パケットに対する応答パケットが受信されるまで の応答時間を測定して、測定した応答時間と送信されたパケット長との関係力も他の 機器が自機器と同一のローカルネットワークに属している機器である力否かを判定す ることがでさる。  [0039] According to the present invention, the transmission packet whose packet length is changed by a predetermined length is transmitted to another device, and the response time until the response packet to the transmission packet is received. The relationship between the measured response time and the transmitted packet length can also be measured to determine whether other devices are devices belonging to the same local network as the device itself.
[0040] 好ましくは、機器制御部は、パケット生成部にパケット送信の認証段階において予 め定められている長さずつパケット長を変化させた送信パケットの生成を指示するこ とを特徴とする。  Preferably, the device control unit instructs the packet generation unit to generate a transmission packet in which the packet length is changed by a predetermined length in the authentication step of packet transmission.
[0041] この発明に従えば、認証に失敗したときに自機器力も他の機器に向けて送信パケ ットが送信されることを阻止することができる。  According to the present invention, it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
[0042] 好ましくは、機器制御部は、他の機器が自機器と同一のローカルネットワークに属し ていない機器であると判定した後は、パケット生成部に送信パケットを生成する指示 をすることを停止することを特徴とする。 Preferably, after determining that the other device is not a device belonging to the same local network as the own device, the device control unit stops instructing the packet generation unit to generate a transmission packet. It is characterized by
[0043] この発明に従えば、他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定した後は、自機器力も他の機器に向けて送信パケットが送信され ることを確実に阻止することができる。 According to the present invention, after it is determined that the other device is not a device belonging to the same local network as the device itself, the transmission packet is transmitted to the device itself as well. Can be reliably blocked.
[0044] 好ましくは、特定のパケット長は 48バイトであることを特徴とする。 [0044] Preferably, the specific packet length is 48 bytes.
この発明に従えば、ネットワークを介して接続されている他の機器が自機器と同一 のローカルネットワークに属している機器である力否かを判定することができる送信器 を提供することができる。 [0045] この発明の他の局面によれば、受信器は、ネットワークを介して接続されている他の 機器から送信された受信パケットを受信するパケット受信部と、パケット受信部でパケ ット伝送の所定の段階で受信された受信パケットがフラグメントされているパケットであ るカゝ否かを解析するパケット解析部と、他の機器とのパケットの送受信を制御するとと もに、他の機器が自機器と同一のローカルネットワークに属している機器である力否 かを判定する機器制御部とを備え、機器制御部は、パケット解析部により受信バケツ トがフラグメントされているパケットであると解析されたときに他の機器が自機器と同一 のローカルネットワークに属していない機器であると判定することを特徴とする。 According to the present invention, it is possible to provide a transmitter capable of determining whether other devices connected via a network are devices belonging to the same local network as the own device. [0045] According to another aspect of the present invention, the receiver includes a packet reception unit for receiving received packets transmitted from other devices connected via the network, and a packet transmission unit using the packet reception unit. The packet analysis unit analyzes whether or not the received packet received at a predetermined stage of the packet is a fragmented packet, and controls transmission and reception of packets with other devices, as well as with other devices. And a device control unit that determines whether or not the device belongs to the same local network as the own device, and the device control unit analyzes that the received packet is a fragmented packet by the packet analysis unit. At that time, it is characterized that it determines that the other device is not a device belonging to the same local network as the own device.
[0046] この発明に従えば、他の機器力も送信された受信パケットがフラグメントされている パケットであるかを解析することにより、他の機器が自機器と同一のローカルネットヮ ークに属して 、る機器であるか否かを判定することができる。  According to the present invention, another device belongs to the same local network as the own device by analyzing whether the received packet sent is also a fragmented packet. It can be determined whether the device is
[0047] 好ましくは、パケット伝送の所定の段階はパケット伝送の認証段階であることを特徴 とする。  Preferably, the predetermined phase of packet transmission is an authentication phase of packet transmission.
[0048] この発明に従えば、認証に失敗したときに他の機器カも自機器に向けて送信パケ ットが送信されることを阻止することができる。  According to the present invention, it is possible to prevent the transmission packet from being sent to the other device itself when the authentication fails.
[0049] 好ましくは、機器制御部は、他の機器が自機器と同一のローカルネットワークに属し て 、な 、機器であると判定した後は、他の機器とのパケットの送受信を停止する制御 をすることを特徴とする。  Preferably, after determining that the other device belongs to the same local network as the own device and determines that the device control device is the device, the device control unit performs control to stop transmission and reception of packets with the other device. It is characterized by
[0050] この発明に従えば、他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定した後は、他の機器から自機器に向けて送信パケットが送信され ることを確実に阻止することができる。  According to the present invention, after it is determined that the other device is a device not belonging to the same local network as the own device, the transmission packet is transmitted from the other device to the own device. Can be reliably blocked.
[0051] この発明の他の局面によれば、受信器は、指示に応じて送信パケットを生成するパ ケット生成部と、パケット生成部で生成された送信パケットをネットワークを介して接続 されている他の機器に向けて送信するとともに、他の機器から送信されてくる受信パ ケットを受信するパケット送受信部と、パケット送受信部でパケット伝送の所定の段階 で受信された受信パケットがフラグメントされているパケットである力否かを解析する パケット解析部と、他の機器とのパケットの送受信を制御するとともに、他の機器が自 機器と同一のローカルネットワークに属している機器である力否かを判定する機器制 御部とを備え、機器制御部は、パケット解析部により受信パケットがフラグメントされて いるパケットであると解析されたときに他の機器が自機器と同一のローカルネットヮー クに属して 、な 、機器であると判定することを特徴とする。 [0051] According to another aspect of the present invention, the receiver is connected to the packet generation unit for generating the transmission packet according to the instruction and the transmission packet generated by the packet generation unit via the network. A packet transmission / reception unit that transmits to another device and receives a reception packet transmitted from another device, and the reception packet received at a predetermined stage of packet transmission by the packet transmission / reception unit is fragmented Analyzes whether or not it is a packet whether or not it controls packet transmission / reception with other devices, and determines whether the other device is a device belonging to the same local network as the own device Equipment control When the packet analysis unit analyzes that the received packet is a fragmented packet, the device control unit belongs to the same local network as the own device. It is characterized by judging that it is an apparatus.
[0052] この発明に従えば、他の機器力も送信された受信パケットがフラグメントされている パケットであるか否かを解析することにより、他の機器が自機器と同一のローカルネッ トワークに属している機器である力否かを判定することができる。  According to the present invention, the other device belongs to the same local network as the own device by analyzing whether or not the received packet transmitted by the other device is a fragmented packet. It can be determined whether or not there is a device that is present.
[0053] 好ましくは、パケット伝送の所定の段階はパケット伝送の認証段階であることを特徴 とする。  Preferably, the predetermined phase of packet transmission is an authentication phase of packet transmission.
[0054] この発明に従えば、認証に失敗したときに他の機器カも自機器に向けて受信パケ ットが送信されることを阻止することができる。  According to the present invention, when authentication fails, it is possible to prevent other device modules from transmitting reception packets to the own apparatus.
[0055] 好ましくは、機器制御部は、他の機器が自機器と同一のローカルネットワークに属し ていない機器であると判定した後は、パケット生成部に対して他の機器が自機器と同 一のローカルネットワークに属していない機器である旨通知するパケットの生成を指 示することを特徴とする。 Preferably, after the device control unit determines that the other device is not a device belonging to the same local network as the own device, the other device is identical to the own device with respect to the packet generation unit. It is characterized by instructing generation of a packet notifying that the device is not belonging to the local network.
[0056] この発明に従えば、他の機器に自機器と同一のローカルネットワークに属していな い機器であることを報知することにより、他の機器から自機器に向けて受信パケットが 送信されることを確実に阻止することができる。  According to the present invention, by notifying another device that the device is not belonging to the same local network as the own device, the received packet is transmitted from the other device to the own device. Can be reliably prevented.
[0057] この発明の他の局面によれば、送信方法は、指示に応じてフラグメントを禁止した 送信パケットを生成するパケット生成部に送信パケットの生成を指示するパケット生成 指示ステップと、ネットワークを介して接続されて 、る他の機器に向けて送信した送信 パケットに対する応答パケットを受信している力否かを判断する受信判断ステップと、 受信判断ステップにおいて応答パケットを受信していると判断されたときに、応答パ ケットが送信パケットのパケット長が所定のパケット長より長いことを示すパケットであ る力否かを判断するパケット長判断ステップと、パケット長判断ステップにお 、て応答 パケットが送信パケットのパケット長が所定のパケット長より長いことを示すパケットで あると判断されたときに他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定する機器判定ステップとを備えることを特徴とする。  [0057] According to another aspect of the present invention, the transmission method includes a packet generation instructing step of instructing the packet generation unit for generating a transmission packet which forbids a fragment according to an instruction to generate the transmission packet; It is determined that the response packet has been received in the reception determination step, the reception determination step determining whether the response packet to the transmission packet transmitted to the other device is received or not, and the reception determination step. When the response packet is a packet indicating that the packet length of the transmission packet is longer than a predetermined packet length, the response packet is transmitted in the packet length determination step and the packet length determination step. When it is determined that the packet indicates that the packet length of the packet is longer than the predetermined packet length, the other device Characterized in that it comprises a determining device determining step that the have a have devices belong to the same local network and equipment.
[0058] この発明に従えば、他の機器に送信したフラグメントを禁止した送信パケットに対す る応答パケットが所定のパケット長より長いことを示すパケットである力否かにより他の 機器が自機器と同一のローカルネットワークに属している機器である力否かを判定す ることがでさる。 According to the present invention, it is possible to transmit packets for which a fragment transmitted to another device is prohibited. It is possible to determine whether or not other devices are devices belonging to the same local network as the own device, depending on whether or not the response packet is a packet indicating that the packet length is longer than a predetermined packet length.
[0059] 好ましくは、パケット生成指示ステップは、パケット生成部にパケット送信の認証段 階においてフラグメントを禁止した送信パケットの生成を指示することを特徴とする。  Preferably, the packet generation instructing step is characterized by instructing the packet generation unit to generate a transmission packet in which a fragment is prohibited in an authentication step of packet transmission.
[0060] この発明に従えば、認証に失敗したときに自機器力も他の機器に向けて送信パケ ットが送信されることを阻止することができる。 According to the present invention, it is possible to prevent the transmission device from transmitting a transmission packet to another device when authentication fails.
[0061] 好ましくは、パケット生成指示ステップは、機器判定ステップにおいて他の機器が自 機器と同一のローカルネットワークに属していない機器であると判定された後は、パ ケット生成部に送信パケットを生成する指示をすることを停止することを特徴とする。 Preferably, in the packet generation instructing step, after it is determined in the device determination step that the other device is not a device belonging to the same local network as the own device, the packet generation unit generates a transmission packet. It is characterized by stopping giving instructions.
[0062] この発明に従えば、他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定した後は、自機器力も他の機器に向けて送信パケットが送信され ることを確実に阻止することができる。 According to the present invention, after it is determined that the other device is not a device belonging to the same local network as the device itself, the transmission packet is sent to the device itself as well. Can be reliably blocked.
[0063] 好ましくは、フラグメントを禁止した送信パケットのパケット長は 1500バイトであること を特徴とする。 Preferably, the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
[0064] この発明に従えば、ネットワークを介して接続されている他の機器が自機器と同一 のローカルネットワークに属している機器である力否かを判定することができる送信方 法を提供することができる。  According to the present invention, there is provided a transmission method capable of determining whether or not another device connected via the network is a device belonging to the same local network as the own device. be able to.
[0065] 好ましくは、受信判断ステップにおいて応答パケットを受信していると判断されたと きに、応答パケットが、他の機器が送信パケットを正常に受信したときに送信する自 機器と同一のローカルネットワークに属していない機器であることを示すパケットであ るカゝ否かを判断するパケット判断ステップをさらに備え、機器判定ステップは、バケツ ト判断ステップにおいて応答パケットが、他の機器が送信パケットを正常に受信したと きに送信する自機器と同一のローカルネットワークに属していない機器であることを 示すパケットであると判断されたときに他の機器が自機器と同一のローカルネットヮー クに属して 、な 、機器であると判定することを特徴とする。  Preferably, when it is determined in the reception determination step that a response packet has been received, the response packet is the same local network as the own device that transmits when another device successfully receives the transmission packet. The apparatus further includes a packet determination step of determining whether the packet is a packet indicating that the device does not belong to the device. The device determination step is performed in the bucket determination step. When it is determined that the packet is a packet that indicates that the device does not belong to the same local network as the own device to be sent when it is received, the other device belongs to the same local network as the own device. It is characterized that it determines that it is an apparatus.
[0066] この発明に従えば、他の機器に送信したフラグメントを禁止したそう新パケットに対 する応答パケットが、他の機器が送信パケットを正常に受信したときに送信する自機 器と同一のローカルネットワークに属していない機器であることを示すパケットである か否かにより他の機器が自機器と同一のローカルネットワークに属している機器であ る力否かを判定することができる。 [0066] According to the present invention, the response packet to the new packet forbidding the fragment sent to the other device is transmitted when the other device receives the transmission packet normally. Device to determine whether it is a device that does not belong to the same local network as the device itself, whether or not other devices belong to the same local network as the device itself. it can.
[0067] 好ましくは、パケット生成指示ステップは、パケット生成部にパケット送信の認証段 階においてフラグメントを禁止した送信パケットの生成を指示することを特徴とする。  Preferably, the packet generation instructing step is characterized by instructing the packet generation unit to generate a transmission packet in which a fragment is prohibited in the authentication stage of packet transmission.
[0068] この発明に従えば、認証に失敗したときに自機器力も他の機器に向けて送信パケ ットが送信されることを阻止することができる。 According to the present invention, it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
[0069] 好ましくは、パケット生成指示ステップは、機器判定ステップにお!、て他の機器が自 機器と同一のローカルネットワークに属していない機器であると判定された後は、パ ケット生成部に送信パケットを生成する指示をすることを停止することを特徴とする。 Preferably, the packet generation instructing step is performed in the device determination step after the packet generation unit determines that the other device is not a device belonging to the same local network as the own device. It is characterized by stopping giving instructions to generate a transmission packet.
[0070] この発明に従えば、他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定した後は、自機器力も他の機器に向けて送信パケットが送信され ることを確実に阻止することができる。 According to the present invention, after it is determined that the other device is not a device belonging to the same local network as the device itself, the transmission packet is transmitted to the device itself as well. Can be reliably blocked.
[0071] 好ましくは、フラグメントを禁止した送信パケットのパケット長は 1500バイトであること を特徴とする。 [0071] Preferably, the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
[0072] この発明に従えば、ネットワークを介して接続されている他の機器が自機器と同一 のローカルネットワークに属している機器である力否かを判定することができる送信方 法を提供することができる。  According to the present invention, there is provided a transmission method capable of determining whether another device connected via a network is a device belonging to the same local network as the own device. be able to.
[0073] この発明の他の局面によれば、送信方法は、指示に応じて予め定められている長 さずつパケット長を変化させた送信パケットを生成するパケット生成部に送信パケット の生成を繰り返し指示するパケット生成指示ステップと、ネットワークを介して接続さ れている他の機器に向けて送信した送信パケットに対する応答パケットを受信してい る力否かを判断する受信判断ステップと、受信判断ステップにお 、て応答パケットを 受信していると判断されたときに、送信パケットが他の機器に向けて送信されてから 送信パケットに対する応答パケットが受信されるまでの応答時間を測定する応答時間 測定ステップと、応答時間測定ステップにお 、て測定された応答時間が特定のパケ ット長ごとに階段状に変化するときに他の機器が自機器と同一のローカルネットヮー クに属して 、な 、機器であると判定する機器判定ステップとを備えることを特徴とする [0074] この発明に従えば、予め定められている長さずつパケット長を変化させた送信パケ ットが他の機器に送信されて力も送信パケットに対する応答パケットが受信されるまで の応答時間を測定して、測定した応答時間と送信されたパケット長との関係力も他の 機器が自機器と同一のローカルネットワークに属している機器である力否かを判定す ることがでさる。 According to another aspect of the present invention, the transmission method repeats generation of the transmission packet to the packet generation unit which generates the transmission packet in which the packet length is changed by a predetermined length in accordance with the instruction. A packet generation instruction step of instructing, a reception judgment step of judging whether a response packet to a transmission packet transmitted to another device connected via the network has been received, and a reception judgment step. Note that when it is determined that a response packet has been received, a response time measurement step that measures the response time from when a transmission packet is sent to another device until the response packet for the transmission packet is received. Also, in the response time measurement step, when the response time measured changes stepwise for each specific packet length, the other device itself Belong to the same local network Wa click, Do, characterized in that it comprises a determining device determining step that the device and According to the present invention, the transmission packet in which the packet length is changed by a predetermined length is transmitted to another device, and the response time until the response packet to the transmission packet is received. The relationship between the measured response time and the transmitted packet length can also be measured to determine whether other devices are devices belonging to the same local network as the device itself.
[0075] 好ましくは、パケット生成指示ステップは、パケット生成部にパケット送信の認証段 階において予め定められている長さずつパケット長を変化させた送信パケットの生成 を指示することを特徴とする。  Preferably, the packet generation instructing step is characterized by instructing the packet generation unit to generate a transmission packet in which the packet length is changed by a predetermined length in the authentication stage of packet transmission.
[0076] この発明に従えば、認証に失敗したときに自機器力も他の機器に向けて送信パケ ットが送信されることを阻止することができる。 According to the present invention, it is possible to prevent the transmission packet from being transmitted to the other device when the authentication fails.
[0077] 好ましくは、パケット生成指示ステップは、機器判定ステップにお!、て他の機器が自 機器と同一のローカルネットワークに属していない機器であると判定された後は、パ ケット生成部に送信パケットを生成する指示をすることを停止することを特徴とする。 Preferably, the packet generation instructing step is performed in the device determination step after the packet generation unit determines that the other device is not a device belonging to the same local network as the own device. It is characterized by stopping giving instructions to generate a transmission packet.
[0078] この発明に従えば、他の機器が自機器と同一のローカルネットワークに属していな い機器であると判定した後は、自機器力も他の機器に向けて送信パケットが送信され ることを確実に阻止することができる。 According to the present invention, after it is determined that the other device is not a device belonging to the same local network as the device itself, the transmission packet is transmitted to the device itself as well. Can be reliably blocked.
[0079] 好ましくは、前記特定のパケット長は 48バイトであることを特徴とする。 [0079] Preferably, the specific packet length is 48 bytes.
この発明に従えば、ネットワークを介して接続されている他の機器が自機器と同一 のローカルネットワークに属している機器である力否かを判定することができる送信方 法を提供することができる。  According to the present invention, it is possible to provide a transmission method capable of determining whether another device connected via the network is a device belonging to the same local network as the own device. .
[0080] この発明の他の局面によれば、伝送方法は、ネットワークを介して接続されている 他の機器カゝら送信された受信パケットを受信しているカゝ否かを判断する受信判断ス テツプと、受信判断ステップにお 、てパケット伝送の所定の段階で受信パケットが受 信されたと判断されたときに、受信パケットがフラグメントされているパケットであるか 否かを判断するフラグメント判断ステップと、フラグメント判断ステップにお ヽて受信パ ケットがフラグメントされているパケットであると判断されたときに他の機器が自機器と 同一のローカルネットワークに属して 、な 、機器であると判定する機器判定ステップ とを備えることを特徴とする。 [0080] According to another aspect of the present invention, the transmission method determines whether a reception packet transmitted from another device connected via a network is received or not. A step of determining whether or not the received packet is a fragmented packet when it is determined in the predetermined step of the packet transmission that the received packet is received in the step and the receiving determination step. If the received packet is determined to be a fragmented packet in the fragment determination step, the other device belongs to the same local network as the own device and is determined to be the device. Judgment step And.
[0081] この発明に従えば、他の機器力も送信された受信パケットがフラグメントされている パケットであるか否かにより他の機器が自機器と同一のローカルネットワークに属して V、る機器である力否かを判定することができる。  According to the present invention, the other device belongs to the same local network as the own device depending on whether or not the received packet is a fragmented packet as well as the other device power. It can be determined whether or not it is force.
[0082] 好ましくは、パケット伝送の所定の段階はパケット伝送の認証段階であることを特徴 とする。  Preferably, the predetermined phase of packet transmission is an authentication phase of packet transmission.
[0083] この発明に従えば、認証に失敗したときに他の機器カも自機器に向けて送信パケ ットが送信されることを阻止することができる。  According to the present invention, it is possible to prevent the transmission packet from being transmitted toward the other device when the authentication fails.
[0084] この発明の他の局面によれば、伝送方法は、指示に応じて送信パケットを生成する パケット生成部に送信パケットの生成を指示するパケット生成指示ステップと、ネットヮ ークを介して接続されて 、る他の機器力 送信された受信パケットを受信して 、るか 否かを判断する受信判断ステップと、受信判断ステップにお 、てパケット伝送の所定 の段階で前記受信パケットが受信されたと判断されたときに、受信パケットがフラグメ ントされて!/ヽるパケットであるか否かを判断するフラグメント判断ステップと、フラグメン ト判断ステップにお 、て受信パケットがフラグメントされて 、るパケットであると判断さ れたときに他の機器が自機器と同一のローカルネットワークに属していない機器であ ると判定する機器判定ステップとを備えることを特徴とする。  According to another aspect of the present invention, a transmission method generates a transmission packet in accordance with an instruction, a packet generation instructing step of instructing a packet generation unit to generate a transmission packet, and connecting via a network The received packet is received at a predetermined stage of packet transmission in a reception judgment step of judging whether or not the received packet transmitted by the other apparatus is received, and in the reception judgment step. When it is determined that the received packet is fragmented, it is determined whether the received packet is fragmented or not, and the received packet is fragmented in the fragment determination step. A device determination step of determining that another device is not a device belonging to the same local network as the own device when it is determined that there is Characterized in that it comprises.
[0085] この発明に従えば、他の機器力も送信されてきた受信パケットがフラグメントされて いるパケットである力否かにより他の機器が自機器と同一のローカルネットワークに属 している機器である力否かを判定することができる。  According to the present invention, another device is a device belonging to the same local network as the own device depending on whether the received packet is a fragmented packet or not, and the other device is also a fragmented packet. It can be determined whether or not it is force.
[0086] 好ましくは、前記パケット伝送の所定の段階はパケット伝送の認証段階であることを 特徴とする。  Preferably, the predetermined stage of packet transmission is an authentication stage of packet transmission.
[0087] この発明に従えば、認証に失敗したときに他の機器カも自機器に向けて受信パケ ットが送信されることを阻止することができる。  According to the present invention, when authentication fails, it is possible to prevent other device modules from transmitting reception packets to the own apparatus.
[0088] 好ましくは、パケット生成指示ステップは、機器判定ステップにお!、て他の機器が自 機器と同一のローカルネットワークに属していない機器であると判定された場合にはPreferably, in the device determination step, the packet generation instructing step determines that the other device is not a device belonging to the same local network as the own device.
、他の機器が自機器と同一のローカルネットワークに属していない機器である旨通知 するパケットの生成を指示することを特徴とする。 [0089] この発明に従えば、他の機器に自機器と同一のローカルネットワークに属していな い機器であることを報知することにより、他の機器から自機器に向けて受信パケットが 送信されることを確実に阻止することができる。 And instructing generation of a packet notifying that the other device is not a device belonging to the same local network as the own device. According to the present invention, by notifying another device that the device is not belonging to the same local network as the own device, the received packet is transmitted from the other device to the own device. Can be reliably prevented.
図面の簡単な説明  Brief description of the drawings
[0090] [図 1]ネットワークの概略構成を示すブロック図である。 FIG. 1 is a block diagram showing a schematic configuration of a network.
[図 2]実施の形態 1におけるシステムの概略構成を示すブロック図である。  FIG. 2 is a block diagram showing a schematic configuration of a system in Embodiment 1.
[図 3A]種々のメディア上でパケットを送信するときのパケットフォーマットを示す図で ある。  FIG. 3A is a diagram showing a packet format when transmitting packets on various media.
[図 3B]種々のメディア上でパケットを送信するときのパケットフォーマットを示す図であ る。  FIG. 3B is a diagram showing a packet format when transmitting packets on various media.
[図 3C]種々のメディア上でパケットを送信するときのパケットフォーマットを示す図で ある。  FIG. 3C is a diagram showing a packet format when transmitting packets on various media.
[図 4]機器 Aと機器 Bとの間で認証段階に行なわれる認証処理の一例を示した図であ る。  [FIG. 4] This is a view showing an example of the authentication process performed in the authentication stage between the device A and the device B.
[図 5]機器 Aの機器制御部で実行される処理の流れを示すフローチャートである。  [FIG. 5] A flow chart showing the flow of processing executed by the device control unit of device A.
[図 6]機器 Aと機器 Bとの間で行なわれる認証処理の一例を示した図である。  FIG. 6 is a diagram showing an example of an authentication process performed between the device A and the device B.
[図 7]機器 Bの機器制御部で実行される処理の流れを示すフローチャートである。  [FIG. 7] A flowchart showing the flow of processing executed by the device control unit of the device B.
[図 8]PPPoAを用いた ADSLの場合に、 IPパケットがどのように ATMパケットにマツ ビングされるかを示した図である。  [Fig. 8] This figure shows how IP packets are mapped to ATM packets in the case of ADSL using PPPoA.
[図 9A]種々のメディア上におけるパケット長と伝送時間との関係を示した図である。  FIG. 9A is a diagram showing the relationship between packet length and transmission time on various media.
[図 9B]種々のメディア上におけるパケット長と伝送時間との関係を示した図である。  FIG. 9B is a diagram showing the relationship between packet length and transmission time on various media.
[図 9C]種々のメディア上におけるパケット長と伝送時間との関係を示した図である。  FIG. 9C is a diagram showing the relationship between packet length and transmission time on various media.
[図 10]実施の形態 3におけるシステムの概略構成を示すブロック図である。  FIG. 10 is a block diagram showing a schematic configuration of a system in a third embodiment.
[図 11]機器 Eと機器 Bとの間で行なわれる認証処理の一例を示した図である。  [FIG. 11] A diagram showing an example of an authentication process performed between the device E and the device B.
[図 12]機器 Eの機器制御部で実行される処理の流れを示すフローチャートである。  FIG. 12 is a flowchart showing the flow of processing executed by the device control unit of device E.
[図 13]機器 Eの機器制御部で実行される処理の流れを示すフローチャートである。  [FIG. 13] A flowchart showing the flow of processing executed by the device control unit of device E.
[図 14]DTCP— IPにおける認証開始からコピーコントロールされたコンテンツの伝送 が開始されるまでを示した図である。 [図 15]パス MTUディスカバリの説明図である。 [FIG. 14] A diagram showing from the start of authentication in DTCP-IP to the start of transmission of copy-controlled content. [FIG. 15] is an explanatory diagram of path MTU discovery.
[図 16]IPフラグメントの説明図である。  FIG. 16 is an explanatory diagram of an IP fragment.
[図 17A]IPv4および IPv6の IPヘッダの構成を示す図である。  [FIG. 17A] A diagram showing the configuration of an IP header of IPv4 and IPv6.
[図 17B]IPv4および IPv6の IPヘッダの構成を示す図である。  [FIG. 17B] A diagram showing the configuration of an IP header of IPv4 and IPv6.
符号の説明  Explanation of sign
[0091] 101 ローカルネットワーク、 102〜105 機器、 111 ローカルネットワーク、 112〜  [0091] 101 local network, 102 to 105 devices, 111 local network, 112 to
115 機器、 121 ルータ、 131 ルータ、 201 機器 A、 202 機器制御部、 203 送 信パケット生成部、 204 パケット送受信部、 205 受信パケット解析部、 211 機器 B 、 221 ネットワーク、 411 ノレータ F、 1001 機器 E、 1002 機器帘 U御咅、 1003 受 信パケット解析部、 1004 RTT測定部。  115 equipment, 121 router, 131 router, 201 equipment A, 202 equipment control unit, 203 transmission packet generation unit, 204 packet transmission / reception unit, 205 reception packet analysis unit, 211 equipment B, 221 network, 411 nortor F, 1001 equipment E , 1002 帘 U 咅, 1003 received packet analysis unit, 1004 RTT measurement unit.
発明を実施するための最良の形態  BEST MODE FOR CARRYING OUT THE INVENTION
[0092] 以下に、本発明の実施の形態について図面を参照しながら詳細に説明する。以下 の説明では、同一の部品には同一の符号を付してある。それらの名称および機能も 同じである。従ってそれらにっ 、ての詳細な説明は繰り返さな!/、。  Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In the following description, the same components are denoted by the same reference numerals. Their names and functions are also the same. Therefore, I will not repeat the detailed explanation of them!
[パス MTUディスカバリおよび IPフラグメントについて]  [About Path MTU Discovery and IP Fragments]
はじめに、コピーコントロールされたコンテンツの伝送とは関係ないが、本発明の前 提技術となるパス MTUディスカバリおよび IPフラグメントについて説明する。同一の ローカルネットワークに属していない機器同士の IPネットワーク上の伝送を早くする( スループットを上げる)手段として、 MTU (Maximum Transmission Unit)の最適値 を見付ける方法がある。 MTUとは、一度に送信できるパケットの最大値を表している 。 MTUの最適値を見付ける方法を図 15および図 16を用いて説明する。  First, path MTU discovery and IP fragments, which are not related to the transmission of copy-controlled content, but which are the precursor technology of the present invention, will be described. There is a method to find the optimal value of MTU (Maximum Transmission Unit) as a means to speed up transmission on IP network between devices which do not belong to the same local network. The MTU represents the maximum value of packets that can be transmitted at one time. The method of finding the optimum value of MTU will be described using FIG. 15 and FIG.
[0093] 図 15は、パス MTUディスカバリの説明図である。図 16は、 IPフラグメントの説明図 である。まず図 15を参照して、機器 A1501は、ルータ C1502およびルータ D1503 を介して機器 B 1504に接続されている。機器 A1501とルータ C1502との間の MTU は 1500ノ イト、ノレータ C1502とノレータ D1503との間の MTUは 1000ノ イト、ノレータ D1503と機器 B1504との間の MTUは 1500バイトであるとする。  FIG. 15 is an explanatory diagram of path MTU discovery. FIG. 16 is an explanatory diagram of an IP fragment. Referring first to FIG. 15, device A 1501 is connected to device B 1504 via router C 1502 and router D 1503. The MTU between the device A1501 and the router C1502 is 1500 bits, the MTU between the norator C1502 and the norator D1503 is 1000 bits, and the MTU between the norator D1503 and the device B1504 is 1500 bytes.
[0094] 機器 A1501は、たとえば、図 16 (a)に示すパケット長が 1500バイトのパケットを機 器 B1504に向けて送信するとする。ルータ C1502がパケットを受信すると、ルータ C 1502は受信したパケットをその先のルータ D1503に送信しょうとする力 ルータ CI 502とルータ D1503との間の MUTが 1000バイトであるため、パケット長が 1500バ イトのパケットをそのままでは送信することができない。そこでルータ C1502は、図 16 (a)に示すパケット長が 1500バイトのパケットを、図 16 (b)に示すパケット長が 1000 バイトのパケットとパケット長が 520バイトのパケットとに分割してルータ D1503に送 信する。このルータ C 1502で行なわれるパケットの分割をフラグメント(IPフラグメント )といい、スループットを下げる要因となる。 For example, assume that the device A 1501 transmits a packet having a packet length of 1500 bytes illustrated in FIG. 16A to the device B 1504. When router C1502 receives a packet, router C 1502 tries to transmit the received packet to the router D 1503 ahead of it. Since the MUT between the router CI 502 and the router D 1503 is 1000 bytes, it is possible to transmit a packet with a packet length of 1500 bytes as it is. Can not. Therefore, router C1502 divides the packet with a packet length of 1500 bytes shown in FIG. 16 (a) into a packet with a packet length of 1000 bytes and a packet with a packet length of 520 bytes shown in FIG. 16 (b). Send to This packet division performed by the router C 1502 is called a fragment (IP fragment), which causes a reduction in throughput.
[0095] IPフラグメントの発生をなくすためには、機器 A1501から機器 B1504に至るパス上 での最小 MTU (パス MTUと呼ばれる)を見付け、機器 A1501が最初力もパス MT Uと同じパケット長のパケットを送信すればよい。このパス MTUを見付ける方法は、 パス MTUディスカバリ(RFC1191, 1981)と呼ばれている。パス MTUを見付ける 方法について、再び図 15を参照して説明する。  [0095] In order to eliminate the generation of IP fragments, a minimum MTU (called a path MTU) on the path from the device A1501 to the device B1504 is found, and the device A1501 initially forces packets with the same packet length as the path MTU. You can send it. The method of finding this Path MTU is called Path MTU Discovery (RFC1191, 1981). The method of finding the path MTU will be described again with reference to FIG.
[0096] まず機器 A1501は、図 15 (a)に示すように自機器で取り扱える最大 MTUのバケツ ト長(たとえば、 1500バイト)で、 IPフラグメントを禁止する Dフラグを立てた (Dフラグ を「1」にした)パケットを機器 B1504に向けて送信する。ここで、 IPフラグメントを禁止 する Dフラグについて図 17を用いて説明する。  [0096] First, as shown in Fig. 15 (a), the device A 1501 sets the D flag to prohibit the IP fragment with the bucket length (for example, 1500 bytes) of the maximum MTU that can be handled by the own device. 1) send the packet to device B1504. Here, the D flag for prohibiting IP fragments will be described with reference to FIG.
[0097] 図 17Aおよび図 17Bは、 IPv4および IPv6の IPヘッダの構成を示す図である。図 1 7Aは、 IP version 4 (RFC791、 IPv4と呼ばれる)の IPヘッダの構成を示しており 、 IPフラグメントを禁止する Dフラグ 1701は、 IPヘッダ中の 1ビットに割り当てられてい る。 Dフラグ 1701が「0」のときは IPフラグメントが許可されていることを示し、「1」のと きは IPフラグメントが禁止されていること示す。図 17Bは、次世代の IP version 6 ( RFC2460、 IPv6と呼ばれる)の IPヘッダの構成を示している。 IPv6の IPヘッダには 、 Dフラグに該当するビットが含まれていない。しかし、 IPv6では IPフラグメントを禁止 して 、るので、常に Dフラグが「1」であることと等価である。  [0097] FIG. 17A and FIG. 17B are diagrams showing the configuration of IP headers of IPv4 and IPv6. Figure 17A shows the configuration of the IP header of IP version 4 (RFC 791, called IPv4), and prohibits IP fragments. The D flag 1701 is assigned to 1 bit in the IP header. When the D flag 1701 is "0", it indicates that the IP fragment is permitted, and when "1", it indicates that the IP fragment is prohibited. Figure 17B shows the configuration of the IP header of the next-generation IP version 6 (called RFC2460, called IPv6). The IPv6 IP header does not contain the bit corresponding to the D flag. However, since IPv6 prohibits IP fragments, it is always equivalent to the D flag being "1".
[0098] 再び図 15を参照して、機器 A1501は、パケット長が 1500バイトで、かつ IPフラグメ ントを禁止しているパケットを機器 B1504に送信する。ルータ C1502がパケットを受 信すると、ルータ C1502は IPフラグメントを行なわなければパケットをルータ D1503 に送信することができないが、パケットの IPフラグメントが禁止されているため、バケツ トをルータ D1503に送信することができない。この場合、ルータ C1502は機器 A150 1から受信したパケットを破棄し、パケット長がルータ C1502とルータ D1503との間 の MTU ( 1000バイト)より長いことを通知する ICMP (Internet Control Message P rotocol, RFC792)パケットを機器 A1501に送信する(図 15 (b) )。この ICMPバケツ トにはルータ C1502が取扱うことができる最大 MTUが 1000バイトであるという情報 が含まれている。 Referring again to FIG. 15, apparatus A 1501 transmits a packet having a packet length of 1500 bytes and prohibiting an IP fragment to apparatus B 1504. When router C1502 receives the packet, router C1502 can not send the packet to router D1503 without IP fragmentation, but the IP fragment of the packet is prohibited, so the bucket is Can not be sent to router D1503. In this case, router C1502 discards the packet received from device A1501, and reports that the packet length is longer than the MTU (1000 bytes) between router C1502 and router D1503. ICMP (Internet Control Message Protocol, RFC 792) The packet is sent to device A1501 (Fig. 15 (b)). This ICMP bucket contains information that the maximum MTU that the router C 1502 can handle is 1000 bytes.
[0099] ICMPパケットを受信した機器 A1501は、今度はパケット長が 1000バイトで、かつ I Pフラグメントを禁止して 、るパケットを機器 B 1504に向けて送信する(図 15 (c) )。パ ケットを受信したルータ C1502は、今度は受信したパケットをルータ D1503に送信 する。このようにして機器 A1501は、機器 B1504までのパス MTUが 1000バイトで あることを知ることができる。なお、途中にあるルータの数力 Sもっと多ぐ途中により小 さ!ヽ MTUを持つパスが存在する場合にお!、ても、図 15 (b)の ICMPパケットの送信 と、図 15 (c)のパケット長を短くしたパケットの送信を繰り返すことにより、ノ ス MTUを 見付けることができる。  The device A 1501 which has received the ICMP packet transmits a packet directed to the device B 1504 this time with a packet length of 1000 bytes and prohibiting an IP fragment (FIG. 15 (c)). The router C 1502 that has received the packet transmits the received packet to the router D 1503 this time. In this way, the device A 1501 can know that the path MTU to the device B 1504 is 1000 bytes. Note that if there is a path with several MTUs of smaller routers S. More MTUs! ル ー タ MTUs in the middle, but even if the ICMP packets shown in Fig. 15 (b) are sent, Fig. 15 (c A negative MTU can be found by repeating the transmission of a packet with the packet length of) shortened.
[0100] また、コピーコントロールされたコンテンツの伝送とは関係ないが、ローカルネットヮ ークをインターネットに接続するときのバックボーンとして ATM (Asynchronous Trans fer Mode)が多く使われて!/、ることに着目し、 ATMセル化を考慮した場合の MTU の最適値を求める方法も考えられている。これは ATMセルのペイロード長は 48バイ トであり、ペイロード長が 48に足りないときは、 48バイトに足りない分のパデイングが 行なわれる。パディングされたパケットは有効なパケットではな 、のでスループットを 下げる要因となる。このパデイングが生じな ヽ MTUを見付けるためにスループットを 測定する方法が使われて 、る。  [0100] Also, although it is not related to the transmission of copy-controlled content, ATM (Asynchronous Transfer Mode) is often used as a backbone when connecting the local network to the Internet! Focusing on the method, it is also considered to find the optimum value of MTU when ATM cellization is considered. This is because the payload length of the ATM cell is 48 bytes, and when the payload length is less than 48, the padding for the lack of 48 bytes is performed. The padded packet is not a valid packet, which causes a reduction in throughput. A method of measuring throughput is used to find the ヽ MTU where this padding does not occur.
[0101] 前述したパス MTUディスカバリおよび IPフラグメント等の技術については、以下の 文献に示されている。  [0101] Techniques such as Path MTU Discovery and IP Fragmentation described above are described in the following documents.
[0102] "Internet Control Message Protocol", [online]、 September 1981, RFC 792、  [0102] "Internet Control Message Protocol", [online], September 1981, RFC 792,
[平成 16年 7月 30日検索]、インターネットく URL:http:〃 www.ietf.org/rfc/rfc0792.t xt>  [Search on July 30, 2004], Internet URL: http: www.ietf.org/rfc/rfc0792.t xt>
"INTERNTE PROTOCOL", [online] , September 1981, RFC 791、 [平成 16年 7月 30日検索]、インターネットく URL : http:〃 www.ietf.org/rfc/rfc0791.txt〉 "INTERNTE PROTOCOL", [online], September 1981, RFC 791, [2004] Search July 30], Internet URL: http: 〃 www.ietf.org/rfc/rfc0791.txt>
S. Deering et. ai、 'Internet Protocol Version 6 (IPv6) Specification、 [online] S. Deering et. Ai, 'Internet Protocol Version 6 (IPv6) Specification, [online]
、 December 1998, RFC 2460 [平成 16年 7月 30日検索]、インターネットく URL : htt p:// www.ietf.org/rfc/rfc2460.txt) , December 1998, RFC 2460 [Search on July 30, 2004], Internet URL: htt p: // www.ietf.org/rfc/rfc2460.txt)
J. Mogul et. al、 "Path MTU Discovery"、 [online]、 November 1990, RFC 19 J. Mogul et. Al, "Path MTU Discovery", [online], November 1990, RFC 19
91、 [平成 16年 7月 30日検索]、インターネットく URL : http:〃 www.ietf.org/rfc/rfcl l91, [Search on July 30, 2004], Internet URL: http: www.ietf.org/rfc/rfcl l
91.txt) 91.txt)
J. McCann et. al、 "Path MTU Discovery for IP version 6 、 [online]、 Augu st 1996, RFC 1981、 [平成 16年 7月 30日検索]、インターネットく URL : http:〃 ww w.ietf.org/rfc/rfcl981.txt>  J. McCann et. Al, "Path MTU Discovery for IP version 6, [online], August 1996, RFC 1981, [Search on July 30, 2004], Internet URL: http: 〃 ww w.ietf. org / rfc / rfcl981.txt>
"ATMセル化を考慮した場合の最速 MTUについて"、 [online] , [平成 16年 7月 3 0日検索]、インターネットく URL: http://www.geocities.jp/hamdah3502213/osugi.osg .htm)  "On the fastest MTU considering ATM cellization", [online], [search on July 30, 2004], Internet URL: http://www.geocities.jp/hamdah 3502213 / osugi.osg. htm)
[実施の形態 1]  [Embodiment 1]
前述したパス MTUデイスカノくリおよび IPフラグメント等の技術に基づいて家庭内の ネットワーク(ローカルネットワーク)に属して 、るある機器 (送信器)が他の機器にコピ 一コントロールされたコンテンツを送信しょうとするとき、どのようにしてコピーコント口 ールされたコンテンツが家庭内のネットワーク以外の他の機器 (受信器)に流出する ことを阻止するかにっ 、て詳しく説明する。  A device (sender) that belongs to a network in a home (local network) based on technologies such as the path MTU mentioned above and IP fragments, and tries to transmit copy-controlled content to other devices. When doing so, how to prevent copy-controlled content from leaking out to other devices (receivers) outside the home network will be explained in detail.
[0103] 図 1は、ネットワークの概略構成を示すブロック図である。ローカルネットワーク 101 , 111は、たとえばイーサネット(登録商標)や無線 LAN等で構築されている構内ネッ トワークである。図 1では、少なくとも一方のローカルネットワークは家庭内のネットヮ ークであるとする。ここでは、ローカルネットワーク 101が家庭内のネットワークであると する。 FIG. 1 is a block diagram showing a schematic configuration of a network. The local networks 101 and 111 are, for example, local networks configured by Ethernet (registered trademark) or wireless LAN. In Fig. 1, it is assumed that at least one local network is a home network. Here, it is assumed that the local network 101 is a home network.
[0104] ローカルネットワーク 101は、たとえば、機器 102、機器 103、機器 104および機器 105等力も構成されている。ローカルネットワーク 111は、たとえば、機器 112、機器 1 13、機器 114および機器 115等力 構成されている。機器 102〜105等および機器 112〜115等は、たとえば、ノ ソコン、デジ力入デジタルビデオカメラ、 DVDレコー ダ等で代表されるデジタルィ匕されたコンテンツの送受信を行なうことができる機器で ある。前述したように、家庭内のネットワークであるローカルネットワーク 101に属して いる機器 102〜105等同士では、コピーコントロールされたコンテンツのコピーおよ びムーブが認められる。これに対して、ローカルネットワーク 101に属している機器 10 2〜 105等とローカルネットワーク 111に属して!/、る機器 112〜 115等との間では、コ ピーコントロールされたコンテンツのコピーおよびムーブは認められない。 The local network 101 is also configured with, for example, the device 102, the device 103, the device 104, and the device 105. The local network 111 is configured of, for example, the device 112, the device 113, the device 114, and the device 115 and the like. The devices 102 to 105, etc. and the devices 112 to 115, etc. are, for example, a computer, a digital power on digital video camera, a DVD recorder. It is a device that can transmit and receive digitally encoded content represented by da. As described above, the devices 102 to 105, etc. belonging to the local network 101, which is a home network, allow copying and moving of copy-controlled content. On the other hand, between the devices 102 to 105 belonging to the local network 101 and the devices 112 to 115 belonging to the local network 111, the copy and move of the copy-controlled content is unacceptable.
[0105] ローカルネットワーク 101は、たとえば、ルータ 121およびルータ 131 (インターネッ ト)等を介してローカルネットワーク 111と接続されて 、る。これによりローカルネットヮ ーク 101の機器 (たとえば、機器 102)は、ローカルネットワーク 111の機器 (たとえば 、機器 112)とコピーコントロールされて ヽな 、コンテンツのやり取りは可能となって!/ヽ る。 Local network 101 is connected to local network 111 via, for example, router 121 and router 131 (the Internet). As a result, the device of the local network 101 (for example, the device 102) is copy-controlled with the device (for example, the device 112) of the local network 111 so that exchange of contents becomes possible!
[0106] なお、図 1には示されていないが、ローカルネットワーク 101およびローカルネットヮ ーク 111は、ルータ 121およびルータ 131等を介して他のローカルネットワーク等とも 接続されている。  Although not shown in FIG. 1, the local network 101 and the local network 111 are also connected to other local networks and the like through the router 121 and the router 131 and the like.
[0107] たとえば、ローカルネットワーク 101の機器 102が他の機器にコピーコントロールさ れたコンテンツを送信しょうとするとき、コピーコントロールされたコンテンツが機器 10 2の属しているローカルネットワーク 101以外の機器に流出することを阻止するために 、機器 102は、他の機器が機器 102と同一のローカルネットワーク 101に属している 機器であるか否かを判定する必要がある。  For example, when device 102 of local network 101 tries to transmit copy-controlled content to another device, the copy-controlled content leaks to devices other than local network 101 to which device 102 belongs. In order to prevent this, the device 102 needs to determine whether the other device belongs to the same local network 101 as the device 102.
[0108] 以下、家庭内のネットワークに属しているある機器が他の機器にコピーコントロール されたコンテンツを送信しょうとするとき、コピーコントロールされたコンテンツがある機 器の属している家庭内のネットワーク以外の他の機器に流出することを阻止するため に、ある機器がどのようにして他の機器がある機器と同一の家庭内のネットワークに 属して 、る機器である力否かを判定するのかにつ 、て詳しく説明する。  [0108] Hereinafter, when a device belonging to a home network tries to transmit copy-controlled content to another device, it is possible to use a device other than the home network to which the device with copy control content belongs. How to determine whether a device belongs to the same home network as another device and determines whether it is a device that does not leak to other devices I will explain in detail.
[0109] 図 2は、実施の形態 1におけるシステムの概略構成を示すブロック図である。システ ムは、機器 A201、機器 B211およびネットワーク 221から構成されている。ここでは、 機器 A201をコピーコントロールされたコンテンツを送信する機器 (送信器)とし、機器 B211をコピーコントロールされたコンテンツを受信する機器 (受信器)として説明する [0110] ネットワーク 221は、機器 B211が機器 A201と同一のローカルネットワークに属して V、る機器である力否かによりイーサネット(登録商標)や無線 LAN等で構築されて ヽ るローカルネットワークであったり、インターネット等であったりする。ここでは、ロー力 ルネットワークは、家庭内のネットワークであるとする。 FIG. 2 is a block diagram showing a schematic configuration of a system in the first embodiment. The system is composed of a device A 201, a device B 211 and a network 221. Here, the device A 201 will be described as a device (sender) that transmits copy-controlled content, and the device B 211 will be described as a device (receiver) that receives copy-controlled content. The network 221 may be a local network constructed by Ethernet (registered trademark) or a wireless LAN depending on whether the device B 211 belongs to the same local network as the device A 201 and is a device that belongs to the same local network. , The Internet, etc. Here, it is assumed that the role network is a home network.
[0111] 機器 A201が機器 B211にコピーコントロールされたコンテンツを送信しょうとすると き、コピーコントロールされたコンテンツが機器 A201の属しているローカルネットヮー ク以外の機器に流出することを阻止するために、機器 A201は、機器 B211が機器 A 201と同一のローカルネットワークに属している機器であるか否かの判定を、コピーコ ントロールされたコンテンツを機器 B211に送信する前 (認証段階)に行なう。  [0111] When device A201 tries to transmit copy-controlled content to device B211, in order to prevent the copy-controlled content from leaking out to a device other than the local network to which device A201 belongs, The device A 201 determines whether the device B 211 belongs to the same local network as the device A 201 or not before transmitting the copy-controlled content to the device B 211 (authentication step).
[0112] 機器 A201は、機器制御部 202、送信パケット生成部 203、パケット送受信部 204 および受信パケット解析部 205を有している。機器 B211は、機器 A201と同じ構成 であるので、ここでは主に機器 A201につ 、て説明する。  The device A 201 includes a device control unit 202, a transmission packet generation unit 203, a packet transmission / reception unit 204, and a reception packet analysis unit 205. Since the device B211 has the same configuration as the device A201, the device A201 will be mainly described here.
[0113] 機器 A201の機器制御部 202は、機器 A201全体の動作を制御する部分である。  The device control unit 202 of the device A 201 is a portion that controls the overall operation of the device A 201.
また、機器制御部 202は、機器 A201の内部状態や後述するパケット解析部 205か ら入力した解析結果に基づいて機器 B211等に送信するパケットの生成等を決定し 、送信パケット生成部 203にパケットの生成を指示する。  The device control unit 202 determines the generation of a packet to be transmitted to the device B 211 or the like based on the internal state of the device A 201 and the analysis result input from the packet analysis unit 205 described later. Direct the generation of
[0114] また、機器 A201が機器 B211にコピーコントロールされたコンテンツを送信しようと するとき、機器 B211が機器 A201と同一のローカルネットワークに属している機器で あるカゝ否かを確認するため、機器 A201の機器制御部 202は認証段階において機 器 B211が機器 A201と同一のローカルネットワークに属している機器である力否か を確認する確認用のパケット(後述する返信パケット等)の生成を機器 A201の送信 パケット生成部 203に対して指示する。  When device A 201 tries to transmit copy-controlled content to device B 211, the device B 211 checks whether it is a device belonging to the same local network as device A 201. The device control unit 202 of A201 generates a confirmation packet (a reply packet etc. to be described later) for confirming whether or not the device B211 belongs to the same local network as the device A201 in the authentication stage. Command to the transmission packet generation unit 203 of FIG.
[0115] 機器 A201の送信パケット生成部 203は、機器制御部 202からの指示に応じてパ ケットを生成し、生成したパケットを機器 A201のパケット送受信部 204に出力する。 機器 A201のパケット送受信部 204は、機器 A201の送信パケット生成部 203から入 力したパケットをネットワーク 221を介して接続されている機器 B211に向けて送信す る。また、機器 A201のパケット送受信部 204は、送信したパケットに対する応答パケ ットとして受信したパケットを機器 A201の受信パケット解析部 205に出力する。機器 A201の受信バケツト解析部 205は、機器 A201のバケツト送受信部 204から入力し たパケットのパケット長、フラグの有無、パケットの種類等を解析し、解析結果を機器 A201の機器制御部 202に出力する。 The transmission packet generation unit 203 of the device A 201 generates a packet according to an instruction from the device control unit 202, and outputs the generated packet to the packet transmission / reception unit 204 of the device A 201. The packet transmission / reception unit 204 of the device A 201 transmits the packet input from the transmission packet generation unit 203 of the device A 201 to the device B 211 connected via the network 221. In addition, the packet transmission / reception unit 204 of the device A 201 sends a response packet to the transmitted packet. The packet received as a packet is output to the received packet analysis unit 205 of the device A 201. The receiving buckett analysis unit 205 of the device A201 analyzes the packet length of the packet, the presence or absence of a flag, the type of packet, etc. input from the buckett transmitting / receiving unit 204 of the device A201, and outputs the analysis result to the device control unit 202 of the device A201. Do.
[0116] 機器 A201の機器制御部 202は、受信パケット解析部 205から入力した解析結果 に基づいて機器 B211が機器 A201と同一のローカルネットワークに属している機器 であるか否かを判定する。機器制御部 202は、機器 B211が機器 A201と同一のロー カルネットワークに属して 、な 、機器であると判定したときは認証処理を打ち切り、機 器 B211にコピーコントロールされたコンテンツを送信しない。一方、機器制御部 202 は、機器 B211が機器 A201と同一のローカルネットワークに属している機器であると 判定したときは、認証処理が終了した後にコピーコントロールされたコンテンツを機器 B211に送信する。 The device control unit 202 of the device A 201 determines whether the device B 211 belongs to the same local network as the device A 201 based on the analysis result input from the received packet analysis unit 205. If the device control unit 202 determines that the device B 211 belongs to the same local network as the device A 201 and determines that the device B 211 is a device, the device control unit 202 aborts the authentication process and does not transmit the copy-controlled content to the device B 211. On the other hand, when determining that the device B 211 belongs to the same local network as the device A 201, the device control unit 202 transmits the copy-controlled content to the device B 211 after the authentication process is completed.
[0117] 以下、機器 A201の機器制御部 202がどのようにして機器 B211が機器 A201と同 一のローカルネットワークに属している機器であるか否かを判定するのかについて具 体的に説明する。  The following specifically describes how the device control unit 202 of the device A201 determines whether the device B211 belongs to the same local network as the device A201.
[0118] 次に、図 3A、図 3Bおよび図 3Cを参照して、パケットフォーマットの種類について説 明する。図 3A、図 3Bおよび図 3Cは、種々のメディア上でパケットを送信するときの パケットフォーマットを示す図である。  Next, types of packet format will be described with reference to FIG. 3A, FIG. 3B and FIG. 3C. Figures 3A, 3B and 3C illustrate packet formats when transmitting packets on various media.
[0119] 図 3Aは、イーサネット (登録商標)上でパケットを送信するときのパケットフォーマツ トを示している。図 3Bは、無線 LAN (IEEE802. 11)上でパケットを送信するときの パケットフォーマットを示している。図 3Cは、 PPPoE (PPP over Ethernet (登録商 標)、 FRC2516)を用いた ADSLや FTTH上でパケットを送信するときのパケットフ ォーマットを示している。  [0119] FIG. 3A shows a packet format when transmitting a packet on Ethernet (registered trademark). FIG. 3B shows a packet format when transmitting a packet on a wireless LAN (IEEE802.11). Figure 3C shows the packet format when transmitting packets on ADSL or FTTH using PPPoE (PPP over Ethernet (registered trademark), FRC2516).
[0120] 図 3Aに示すように、イーサネット (登録商標)上でパケットを送信するときのパケット フォーマットは、 Ethernet (登録商標)ヘッダ 301、 IPヘッダ 302、 IPペイロード 303 および FCS (Frame Check Sequence) 304力ら構成されて!、る。イーサネット(登録 商標)上でパケットを送信するとき、一度に送信できるパケットの最大値 (最大 MTU) は 1500ノイトであり、 IPヘッダ 302と IPペイロード 303とを合わせたパケット長が 150 0バイト以内となる。 As shown in FIG. 3A, the packet format for transmitting a packet on Ethernet (registered trademark) is Ethernet (registered trademark) header 301, IP header 302, IP payload 303, and FCS (Frame Check Sequence) 304. Force is composed! When transmitting a packet on Ethernet (registered trademark), the maximum value (maximum MTU) of the packet that can be transmitted at one time is 1500 Ny and the packet length of the IP header 302 and the IP payload 303 is 150. It will be within 0 bytes.
[0121] 図 3Bに示すように、無線 LAN (IEEE802. 11)上でパケットを送信するときのパケ ットフォーマットは、 802. 11ヘッダ 311、 LLC/SNAPフィールド 312、 IPヘッダ 31 3、 IPペイロード 314および FCS315力ら構成されている。無線 LAN (IEEE802. 1 1)上でパケットを送信するときの最大 MTUは 2304バイトであり、 LLCZSNAPフィ 一ルド 312と IPヘッダ 313と IPペイロード 314とを合わせたパケット長が 2304バイト 以内となる。無線 LAN (IEEE802. 11)上でパケットを送信するとき、イーサネット( 登録商標)に合わせて MTUを 1500バイトにすることが可能である。この場合、図 3B に示すように IPヘッダ 313と IPペイロード 314とを合わせたパケット長が 1500ノイト 以内となる。  As shown in FIG. 3B, the packet format for transmitting a packet on a wireless LAN (IEEE 802. 11) is: 802. 11 header 311, LLC / SNAP field 312, IP header 31 3, IP payload 314 and FCS315 are configured. The maximum MTU for sending packets on a wireless LAN (IEEE802.11) is 2304 bytes, and the combined packet length of the LLCZSNAP field 312, the IP header 313 and the IP payload 314 is within 2304 bytes. When transmitting a packet on a wireless LAN (IEEE802.11), it is possible to make the MTU 1500 bytes in accordance with Ethernet (registered trademark). In this case, as shown in FIG. 3B, the total packet length of the IP header 313 and the IP payload 314 is within 1500 Nt.
[0122] 図 3Cに示すように、 PPPoEを用いた ADSLや FTTH上でパケットを送信するとき のパケットフォーマットは、伝送路依存ヘッダ 321、 ISP依存ヘッダ 322、 PPPoEフィ 一ルド 323、 PPPフィールド 324、 IPヘッダ 325、 IPペイロード 326および FCS327 力も構成されて 、る。 PPPoEを用いた ADSL等でパケットを送信するときの最大 MT Uは 1500バイトであり、 ISP依存ヘッダ 322と PPPoEフィールド 323と PPPフィール ド 324と IPヘッダ 325と IPペイロード 326とを合わせたパケット長が 1500バイト以内と なる。 ISP依存ヘッダ 322と PPPoEフィールド 323と PPPフィールド 324とは有限の 大きさを持っているため、 IPヘッダ 325と IPペイロード 326とを合わせたパケットの長 さは必ず 1500バイト未満になる。  As shown in FIG. 3C, when transmitting a packet on ADSL or FTTH using PPPoE, the packet format is transmission path dependent header 321, ISP dependent header 322, PPPoE field 323, PPP field 324, IP header 325, IP payload 326 and FCS 327 are also configured. When transmitting a packet by ADSL etc. using PPPoE, the maximum MTU is 1500 bytes, and the packet length including the ISP dependent header 322, the PPPoE field 323, the PPP field 324, the IP header 325 and the IP payload 326 is It will be less than 1500 bytes. Since the ISP-dependent header 322, the PPPoE field 323, and the PPP field 324 have finite sizes, the combined packet length of the IP header 325 and the IP payload 326 is always less than 1500 bytes.
[0123] 同一のローカルネットワークに属している機器同士の通信では、一般的にはイーサ ネット (登録商標)や無線 LANが利用されている。そのため、ある機器が送信したパ ケット長(IPヘッダと IPペイロードとを合わせた大きさ)が 1500バイトのパケットは、途 中で IPフラグメントされることなく他の機器に到達することができる。  Generally, Ethernet (registered trademark) and a wireless LAN are used for communication between devices belonging to the same local network. Therefore, a packet having a packet length (the size of the combined IP header and IP payload) transmitted by a certain device can reach other devices without being IP fragmented on the way.
[0124] 一方、同一のローカルネットワークに属していない機器同士の通信では、一般的に は PPPoEを用いた ADSL等が利用されている。そのため、ある機器が送信したパケ ット長(IPヘッダと IPペイロードとを合わせた大きさ)が 1500バイトのパケットは、途中 で IPフラグメントされなければ、他の機器に到達することができな!/、。  On the other hand, in communication between devices which do not belong to the same local network, generally, ADSL or the like using PPPoE is used. Therefore, a packet with a packet length of 1500 bytes (the combined size of the IP header and the IP payload) sent by one device can not reach other devices if it is not fragmented IP in the middle! /.
[0125] このように、同一のローカルネットワークに属していない機器同士の通信で一般的 に利用されている PPPoEを用いた ADSL等では、パケット長が 1500バイトのバケツ トは、途中で IPフラグメントされなければ他の機器に到達することができないという特 徴を利用して、機器 A201の機器制御部 202は、機器 B211が機器 A201と同一の口 一カルネットワークに属している機器である力否かを判定するのである。再び図 2を参 照して、詳しく説明する。 As described above, communication between devices not belonging to the same local network is generally performed In ADSL, etc. using PPPoE, which has been used for this purpose, a packet with a packet length of 1500 bytes can not reach other devices without IP fragmentation on the way. The device control unit 202 determines whether or not the device B 211 is a device belonging to the same network as the device A 201. Again referring to FIG.
[0126] 機器 A201が機器 B211にコピーコントロールされたコンテンツを送信しょうとすると き、機器 A201の機器制御部 202は認証段階において機器 A201の送信パケット生 成部 203に対してパケット長が 1500バイトで、かつ Dフラグの値を「1」にした(IPフラ グメントを禁止した)パケットの生成を指示する。  When the device A 201 tries to transmit the copy-controlled content to the device B 211, the device control unit 202 of the device A 201 sends a packet length of 1500 bytes to the transmission packet generation unit 203 of the device A 201 at the authentication stage. , And instructs to generate a packet in which the value of D flag is set to "1" (IP fragment is prohibited).
[0127] なお、このパケット長が 1500バイトのパケットは、確認用のダミーのパケットでもよい し、本来送りたいパケットの後ろにパデイングしてパケット長を 1500バイトにしたパケ ットでもよい。  The packet with a packet length of 1500 bytes may be a dummy packet for confirmation or a packet in which the packet length is 1500 bytes by padding after the packet to be originally sent.
[0128] 機器 B211が機器 A201と同一のローカルネットワークに属している機器であるとき は、前述したように機器 A201と機器 B211とは、一般的にはイーサネット(登録商標) や無線 LANで接続されている。そのため、機器 A201と機器 B211との間のネットヮ ーク 221のパス MTUを 1500バイトに設定することが可能である。この場合、機器 A2 01から送信された IPヘッダと IPペイロードとを合わせたパケット長が 1500バイトのパ ケットは、ネットワーク 221内で IPフラグメントされることなく機器 B211に到達すること ができる。  When the device B211 belongs to the same local network as the device A201, as described above, the device A201 and the device B211 are generally connected by Ethernet (registered trademark) or a wireless LAN. ing. Therefore, it is possible to set the path MTU of the network 221 between the device A 201 and the device B 211 to 1500 bytes. In this case, a packet having a packet length of 1500 bytes in total of the IP header and the IP payload transmitted from the device A201 can reach the device B 211 without being IP-fragmented in the network 221.
[0129] 機器 B211は、機器 A201から送信されたパケットを正常に受信したときに、正常に パケットを受信したことを示す所定の応答パケットを必ず機器 A201に送信するように しておく。この応答パケットには、たとえば、機器 B211が機器 A201と同一のロー力 ルネットワークに属して 、る機器であることを示すデータを含めるようにしてお!ヽても 良い。  When the device B 211 receives a packet transmitted from the device A 201 normally, it always sends a predetermined response packet indicating that the packet has been received normally to the device A 201. This response packet may include, for example, data indicating that the device B 211 belongs to the same low power network as the device A 201 and indicates that the device B 211 is a device.
[0130] 機器 A201の機器制御部 202は、受信パケット解析部 205から入力した解析結果 力 機器 A201から送信したパケット長が 1500バイトのパケットを正常に受信したこと を示す応答パケットであることを示しているときは、機器 B211が機器 A201と同一の ローカルネットワークに属している機器であると判定する。この場合、機器 A201は、 認証処理が終了した後にコピーコントロールされたコンテンツを機器 B211に送信す る。 The device control unit 202 of the device A 201 indicates that the analysis result input from the received packet analysis unit 205 is a response packet indicating that a packet having a packet length of 1500 bytes transmitted from the power device A 201 has been successfully received. If it is, it is determined that the device B211 belongs to the same local network as the device A201. In this case, the device A201 After the authentication process is completed, the copy-controlled content is sent to the device B 211.
[0131] 一方、機器 B211が機器 A201と同一のローカルネットワークに属していない機器 であるときは、前述したように機器 A201と機器 B211とは、一般的には PPPoEを用 いた ADSL等で接続されている。そのため、機器 A201と機器 B211との間に設けら れたネットワーク 221のパス MTUは 1500バイト未満になる。この場合、機器 A201か ら送信された IPヘッダと IPペイロードとを合わせたパケット長が 1500バイトのパケット は、ネットワーク内で IPフラグメントされなければ機器 B211に到達することができな!/ヽ  On the other hand, when the device B211 is not a device belonging to the same local network as the device A201, as described above, the device A201 and the device B211 are generally connected by ADSL or the like using PPPoE. ing. Therefore, the path MTU of the network 221 provided between the device A 201 and the device B 211 is less than 1500 bytes. In this case, a packet with a packet length of 1500 bytes including the IP header and the IP payload sent from the device A201 can not reach the device B211 unless it is IP fragmented in the network! / ヽ
[0132] しかし、機器 A201から送信されたパケットは、 Dフラグが「1」であるため IPフラグメ ントを行なうことができない。この場合、ネットワーク 221 (たとえば、ネットワーク 221に 設けられているルータ等)は、機器 A201から送信されたパケットを放棄し、パケット長 が所定のパケット長より長いことを通知する ICMPパケットを応答パケットとして機器 A 201に送信する。 However, the packet transmitted from the device A 201 can not be IP fragmented because the D flag is “1”. In this case, the network 221 (for example, a router provided in the network 221, etc.) abandons the packet transmitted from the device A 201, and sends an ICMP packet as a response packet notifying that the packet length is longer than a predetermined packet length. Send to device A 201.
[0133] 機器 A201の機器制御部 202は、受信パケット解析部 205から入力した解析結果 がパケット長が所定のパケット長より長いことを通知する ICMPパケットであることを示 して 、るとき、機器 B211が機器 A201と同一のローカルネットワークに属して!/、な!/ヽ 機器であると判定し、認証処理を打ち切る。この場合、機器 A201は機器 B211にコ ピーコントローノレされたコンテンツを送信しな!、。  When the device control unit 202 of the device A 201 indicates that the analysis result input from the received packet analysis unit 205 is an ICMP packet notifying that the packet length is longer than a predetermined packet length, It determines that B211 belongs to the same local network as device A201 and is! /,! / ヽ device, and terminates the authentication process. In this case, device A201 does not send the copied content to device B211!
[0134] また、機器 A201は、パケット長が 1500バイトで、かつ Dフラグの値を「1」にしたパ ケットを送信して力も一定時間が経過するまでの間に ICMPパケットまたは機器 B21 1から送信された所定の応答パケットのどちらも受信しないことも考えられる。このよう なときは、機器 A201は、パケット長が 1500バイトで、かつ Dフラグの値を「1」にした パケットを再び機器 B211に向けて送信するようにしておく。  In addition, device A 201 transmits a packet having a packet length of 1500 bytes and a D flag value of “1”, and the force is also from the ICMP packet or device B 211 until the certain time elapses. It is also conceivable that neither of the predetermined response packets sent is received. In such a case, the device A 201 sends a packet having a packet length of 1500 bytes and the value of the D flag set to “1” to the device B 211 again.
[0135] また、ネットワーク 221に設けられているルータ等において、 Dフラグの値が「1」から 「0」に不正に書き換えられることも考えられる。この場合、本来ならネットワーク 221に 設けられているルータ等から機器 A201に ICMPパケットが送信されるはずである。し かし、 Dフラグの値が不正に書き換えられたことにより、機器 A201から送信されたパ ケットは、ネットワーク 221に設けられているルータ等により IPフラグメントされて機器 B 211に到達する。そこで、機器 B211の受信パケット解析部 205は、 Dフラグの値が不 正に書き換えられて 、な 、か、および受信したパケットが IPフラグメントされて 、な ヽ か否かについても確認するようにしておく。この場合、機器 B211は機器 A201に対し て認証失敗のパケットを送信し、認証処理を打ち切るようにしておくとよ ヽ。 In addition, in a router or the like provided in the network 221, the value of the D flag may be illegally rewritten from “1” to “0”. In this case, an ICMP packet should be transmitted to the device A 201 from a router or the like originally provided in the network 221. However, because the value of the D flag has been illegally rewritten, the pass sent from the device A 201 is The packet is IP fragmented by a router or the like provided in the network 221 and reaches the device B 211. Therefore, the received packet analysis unit 205 of the device B 211 checks whether the value of the D flag is incorrectly rewritten, and whether the received packet is IP fragmented or not. deep. In this case, the device B 211 transmits a packet of authentication failure to the device A 201 to terminate the authentication process.
[0136] 図 4は、機器 A201と機器 B211との間で行なわれる認証処理の一例を示した図で ある。図 4では、前述したのと同様に機器 A (ソース機器) 201をコピーコントロールさ れたコンテンツを送信する送信器とし、機器 B (シンク機器) 211をコピーコントロール されたコンテンツを受信する受信器として説明する。また図 4の説明では、機器 B211 が機器 A201と同一のローカルネットワークに属していな 、機器であるとして説明する FIG. 4 is a diagram showing an example of an authentication process performed between the device A 201 and the device B 211. In FIG. 4, device A (source device) 201 is a transmitter for transmitting copy-controlled content, and device B (sink device) 211 is a receiver for receiving copy-controlled content, as described above. explain. Also, in the description of FIG. 4, the device B211 is described as being a device that does not belong to the same local network as the device A201.
[0137] 機器 A201と機器 B211との間のネットワークにはルータ F411が設けられている。 A router F411 is provided in the network between the device A201 and the device B211.
ルータ F411は、機器 B211が機器 A201と同一のローカルネットワークに属していな In the router F411, the device B211 does not belong to the same local network as the device A201.
V、機器であるときに機器 A201と機器 B211との間のネットワーク内に複数存在する であろうルータのうちの 1つを示している。 V, one of the routers that may be present in the network between the device A 201 and the device B 211 when the device is a device.
[0138] まず、 S401において、機器 B211はコピーコントロールされたコンテンツを所持して いる機器 A201に認証要求パケットを送信する。認証要求パケットには、前述したよう に乱数値 Bおよびデバイス証明書 Bのデータが含まれている。 S402において、機器 A201は認証要求パケットを受信したことを示す ACKパケットを機器 B211に送信す る。  First, in S401, the device B 211 transmits an authentication request packet to the device A 201 that holds the copy-controlled content. The authentication request packet contains data of the random value B and the device certificate B as described above. In step S402, the device A 201 transmits, to the device B 211, an ACK packet indicating that the authentication request packet has been received.
[0139] S403において、機器 A201はパケット長が 1500バイトで、かつ Dフラグの値を「1」 にした返信パケットを機器 B211に送信する。この返信パケットには、前述したように 乱数値 Aおよびデバイス証明書 Aのデータが含まれている。また、この返信パケット は、図 13の S 1303に示す返信パケットのパケット長を 1500バイトに拡張したもので ある。  In S403, the device A 201 transmits to the device B 211 a reply packet in which the packet length is 1500 bytes and the value of the D flag is “1”. This return packet contains the data of random number A and device certificate A as described above. This reply packet is an extension of the packet length of the reply packet shown in S 1303 of FIG. 13 to 1500 bytes.
[0140] 前述したように機器 B211が機器 A201と同一のローカルネットワークに属していな As described above, the device B211 does not belong to the same local network as the device A201.
V、機器であるときは、機器 A201と機器 B211との間のパス MTUは 1500バイト未満 である。図 4では、たとえば、ルータ F411の先のパス MTUが 1500バイト未満である とする。従って、パケット長が 1500バイトで、かつ Dフラグの値を「1」にした返信パケ ットを受信したルータ F411は、返信パケットを IPフラグメントしなければ、機器 B211 に返信パケットを送信することができな 、。 V. When the device, the path MTU between the device A 201 and the device B 211 is less than 1500 bytes. In FIG. 4, for example, the path MTU ahead of router F411 is less than 1500 bytes. I assume. Therefore, if the packet length is 1500 bytes and the reply packet with the D flag value set to “1” is received, the router F411 may send the reply packet to the device B211 if it does not fragment the reply packet. Can not ,.
[0141] しかし、ルータ F411が受信した返信パケットの Dフラグは「1」であるため、ルータ F 411は返信パケットを IPフラグメントすることができない。この場合、 S404において、 ルータ F411は、機器 A201から受信した返信パケットを放棄し、機器 A201から受信 したパケットのパケット長が所定のパケット長より長いために送信することができないと Vヽぅエラーを示す ICMPパケットを応答パケットとして機器 A201に送信する。 ICMP パケットを受信した機器 A201は、機器 B211が機器 A201と同一のローカルネットヮ ークに属して 、な 、機器であると判定する。  However, since the D flag of the reply packet received by the router F 411 is “1”, the router F 411 can not IP fragment the reply packet. In this case, in step S404, the router F411 abandons the reply packet received from the device A201, and the packet length of the packet received from the device A201 is longer than the predetermined packet length, and therefore, the V error is displayed. The ICMP packet shown is sent to the device A 201 as a response packet. The device A 201 that has received the ICMP packet determines that the device B 211 belongs to the same local network as the device A 201 and is a device.
[0142] S405において、機器 A201は機器 B211に認証失敗を通知するパケットを送信し 、認証処理を打ち切る。機器 B211は認証失敗を通知するパケットを受信すると認証 処理を打ち切り、 S406にお 、て機器 A201に認証失敗を通知するパケットを受信し たことを示す ACKパケットを送信する。この場合、機器 A201は機器 B211にコピー コントロールされたコンテンツを送信しな 、。  In step S405, the device A 201 transmits a packet notifying an authentication failure to the device B 211, and terminates the authentication process. When the device B 211 receives the packet notifying the authentication failure, the device B 211 aborts the authentication process, and transmits an ACK packet indicating that the device A 201 has received the packet notifying the authentication failure in S 406. In this case, the device A201 does not transmit the copy-controlled content to the device B211.
[0143] なお、機器 A201から送信された返信パケットが機器 B211で受信されたとき、機器 B211は返信パケットのパケット長が 1500バイトで、かつ Dフラグが「1」であることを 確認するようにしておく。そして機器 B211は、受信した返信パケットのパケット長が 1 500バイトでな 、とき、または Dフラグが「0」であるときは認証失敗のパケットを機器 A 201に送信し、認証処理を打ち切るようにしておく。  When the reply packet transmitted from the device A 201 is received by the device B 211, the device B 211 confirms that the packet length of the reply packet is 1500 bytes and the D flag is “1”. Keep it. Then, when the packet length of the received reply packet is 1 500 bytes, or when the D flag is “0”, the device B 211 transmits a packet of authentication failure to the device A 201 so as to abort the authentication process. Keep it.
[0144] なお、前述の実施の形態 1では、機器 A201は従来の認証処理に用いられる返信 パケットのパケット長と Dフラグとを変更して機器 B211が機器 A201と同一のロー力 ルネットワークに属している機器である力否かを確認するためのパケットとして兼用し ている力 機器 B211が機器 A201と同一のローカルネットワークに属している機器で ある力否かを確認するためだけのパケットを用いる方法であってもよい。  In the above-described first embodiment, device A 201 changes the packet length and D flag of the reply packet used in the conventional authentication process, and device B 211 belongs to the same small network as device A 201. A method that uses only a packet to check whether the device B211 is a device that belongs to the same local network as the device A201. It may be
[0145] また、機器 B211が機器 A201と同一のローカルネットワークに属しているか否かを 確認するために、機器 A201から送信される返信パケットは、認証要求パケットの送 受信力 鍵交換メッセージの送受信が終了するまで (より望ましくは鍵交換メッセージ の送受信が開始するまで)の間にやり取りされることが好ましい。 Also, in order to check whether the device B 211 belongs to the same local network as the device A 201, the reply packet transmitted from the device A 201 is the transmission / reception of the authentication request packet, the transmission / reception of the key exchange message Until finished (more preferably, key exchange message It is preferable that the communication be performed between the start of transmission and reception of
[0146] また、前述の実施の形態 1では、機器 B211が機器 A201と同一のローカルネットヮ ークに属しているか否かを確認するための確認用のパケットを機器 A201から機器 B 211に送信する例を示して!/ヽるが、機器 B211から機器 A201に確認用のパケットを 送信するようにしてもよ ヽ。  Further, in the above-described first embodiment, the confirmation packet for confirming whether the device B 211 belongs to the same local network as the device A 201 is transmitted from the device A 201 to the device B 211. An example is shown! / I'm sorry, but it is possible to send a confirmation packet from device B211 to device A201.
[0147] 図 5は、機器 A201の機器制御部 202で実行される処理の流れを示すフローチヤ ートである。まず、 S501において、機器 B211から送信された認証要求パケットを受 信した力否力が判断される。認証要求パケットを受信していないと判断されたときは、 認証段階ではないのでこのフローチャートの処理は終了する。一方、認証要求バケツ トを受信したと判断されたときは、認証処理を行なうため S502の処理に進む。 S502 において、送信パケット生成部 203にパケット長が 1500バイトで、かつ Dフラグの値 を「1」にした返信パケットの生成を指示する処理が行なわれる。  FIG. 5 is a flow chart showing the flow of processing executed by the device control unit 202 of the device A 201. First, in S501, it is determined whether the authentication request packet transmitted from the device B 211 has been received. If it is determined that the authentication request packet has not been received, the process of this flowchart ends because it is not the authentication stage. On the other hand, when it is determined that the authentication request bucket has been received, the process proceeds to the process of S502 to perform the authentication process. In S502, processing is performed to instruct the transmission packet generation unit 203 to generate a reply packet in which the packet length is 1500 bytes and the value of the D flag is "1".
[0148] S503において、返信パケットに対する応答パケットを受信したか否かが判断される 。前述したように、この応答パケットは、機器 A201と機器 B211との間のネットワーク に設けられて 、るルータ F411等力 送信されてくる ICMPパケットや、機器 A201か ら送信された返信パケットが機器 B211で正常に受信されたときに機器 B211から送 信される所定の応答パケットである。  At S 503, it is determined whether a response packet to the return packet has been received. As described above, this response packet is provided in the network between the device A 201 and the device B 211, and the router F 411 is transmitted. The ICMP packet transmitted and the reply packet transmitted from the device A 201 are the device B 211. And a predetermined response packet transmitted from the device B 211 when received normally.
[0149] 機器 A201のパケット送受信部 204で応答パケットが受信されると、受信された応答 パケットが機器 A201の受信パケット解析部 205で解析され、解析結果が機器 A201 の機器制御部 202に出力される。これにより機器 A201の機器制御部 202は、応答 パケットを受信したカゝ否かを判断することができる。応答パケットを受信したと判断さ れたときは、 S505の処理に進む。一方、応答パケットを受信していないと判断された とさは、 S504の処理〖こ進む。  When the packet transmitting / receiving unit 204 of the device A 201 receives the response packet, the received response packet is analyzed by the received packet analysis unit 205 of the device A 201, and the analysis result is output to the device control unit 202 of the device A 201. Ru. Thus, the device control unit 202 of the device A 201 can determine whether a response packet has been received. If it is determined that the response packet has been received, the process proceeds to step S505. On the other hand, if it is determined that the response packet has not been received, the process proceeds to step S504.
[0150] S504において、機器 A201の送信パケット生成部 203に返信パケットの生成を指 示してから一定時間が経過した力否かが判断される。一定時間が経過していないと 判断されたときは S503の処理に戻り、一定時間が経過するまで繰り返し S503、 S50 4の処理が行なわれる。一方、一定時間が経過したと判断されたときは、 S502の処 理に戻り、再度 S502、 S503、 S504の処理力 S行なわれる。 [0151] S505では、機器 A201の受信パケット解析部 205において応答パケットを解析し た解析結果が、 ICMPパケットであることを示しているか否かが判断される。解析結果 が ICMPパケットであることを示して!/、るときは S508の処理に進み、解析結果が ICM Pパケットではな 、ことを示して 、るときは S506の処理に進む。 [0150] In S504, it is determined whether or not a certain period of time has elapsed since the transmission packet generation unit 203 of the device A 201 is instructed to generate a reply packet. If it is determined that the predetermined time has not elapsed, the process returns to the process of S503, and the processes of S503 and S504 are repeated until the predetermined time elapses. On the other hand, when it is determined that the predetermined time has elapsed, the process returns to the processing of S502, and the processing power S of S502, S503, and S504 is performed again. In S505, it is determined whether the analysis result obtained by analyzing the response packet in the received packet analysis unit 205 of the device A 201 indicates that it is an ICMP packet. The analysis result indicates that the packet is an ICMP packet! /, The process proceeds to the process of S508, and the analysis result indicates that the packet is not an ICMP packet, and the process proceeds to the process of S506.
[0152] S506において、機器 B211が機器 A201と同一のローカルネットワークに属してい る機器であると判定されるとともに、機器 A201の送信パケット生成部 203に認証処 理の続きである鍵交換パケットの生成を指示する処理が行なわれる。  In S506, it is determined that the device B211 is a device belonging to the same local network as the device A201, and generation of a key exchange packet, which is a continuation of authentication processing in the transmission packet generation unit 203 of the device A201. Processing is performed.
[0153] その後、 S507において、機器 A201の送信パケット生成部 203にコピーコントロー ルされたコンテンツのパケットの生成を指示する処理が行なわれる。これにより、機器 A201から機器 B211にコピーコントロールされたコンテンツが送信される。  Thereafter, in S507, a process of instructing the transmission packet generation unit 203 of the device A 201 to generate a packet of the copy-controlled content is performed. Thus, the content subjected to copy control is transmitted from the device A 201 to the device B 211.
[0154] S508では、機器 B211が機器 A201と同一のローカルネットワークに属していない 機器であると判定されるととともに、機器 A201の送信パケット生成部 203に認証失敗 を通知するパケットの生成を指示する処理が行なわれる。  In S508, it is determined that the device B211 is not a device belonging to the same local network as the device A201, and instructs the transmission packet generation unit 203 of the device A201 to generate a packet notifying an authentication failure. Processing is performed.
[0155] S508において、機器 B211が機器 A201と同一のローカルネットワークに属してい ない機器であると判定されたので、 S509において、認証処理を打ち切る処理が行な われる。この場合、機器 A201の送信パケット生成部 203にコピーコントロールされた コンテンツのパケットの生成を指示する処理が行なわれることはなぐ機器 A201から 機器 B211にコピーコントロールされたコンテンツは送信されな!、。  Since it is determined in S508 that the device B211 is not a device belonging to the same local network as the device A201, in S509, a process of aborting the authentication process is performed. In this case, the process of instructing the transmission packet generation unit 203 of the device A 201 to generate a packet of the content subjected to copy control is performed. The content subjected to copy control from the device A 201 to the device B 211 is not transmitted.
[0156] 以上に説明した機能を備えている機器 A201あるいは機器 B211を、デジタル化さ れたコンテンツを取り扱うことができるパソコン、デジカメ、デジタルビデオカメラ、 DV Dレコーダ等に搭載するようにしておく。  The device A 201 or the device B 211 having the functions described above is installed in a personal computer, digital camera, digital video camera, DVD recorder or the like that can handle digitized contents.
[0157] このようにしておくと、機器 A201の機器制御部 202は、ネットワーク 211を介して接 続されて!、る機器 B211に向けて送信したパケット長が 1500バイトで、かつ Dフラグ の値が「1」のパケットに対する応答パケットが ICMPパケットである力、正常に受信で きた事を示す ACKパケットであるかを判断することで、機器 B211が機器 A201と同 一のローカルネットワークに属している機器である力否かを判定することができる。  In this way, the device control unit 202 of the device A 201 is a packet that is transmitted to the device B 211 connected via the network 211 and has a length of 1500 bytes and the value of the D flag. The device B 211 belongs to the same local network as the device A 201 by judging whether the response packet to the packet of “1” is an ICMP packet or an ACK packet indicating that the packet has been successfully received. It can be determined whether the device is a force or not.
[0158] また、機器 A201の機器制御部 202は、認証段階において機器 B211が機器 A20 1と同一のローカルネットワークに属している機器である力否かを確認するための返 信パケットの生成を機器 A201の送信パケット生成部 203に指示するため、機器 B21 1が機器 A201と同一のローカルネットワークに属していない機器であると判定したと きは、コピーコントロールされたコンテンツを伝送する段階の前に機器 B211との通信 を終了することができる。その結果、機器 A201から機器 A201とは異なるローカルネ ットワークに属して ヽる機器 B211にコピーコントローノレされたコンテンツが流出するこ とを阻止することがでさる。 In addition, the device control unit 202 of the device A 201 returns in the authentication step whether the device B 211 is a device belonging to the same local network as the device A 201 or not. In order to instruct the transmission packet generation unit 203 of the device A 201 to generate a transmission packet, when it is determined that the device B 211 is not a device belonging to the same local network as the device A 201, copy-controlled content is transmitted. The communication with the device B 211 can be terminated prior to the As a result, it is possible to prevent the flow of copy-controlled content from the device A 201 to the device B 211 belonging to a local network different from the device A 201.
[0159] また、機器 A201と機器 B201との間に設けられているルータ等で機器 A201が送 信したパケットの Dフラグの値が不正に書き換えられたときであっても認証処理が打 ち切られるため、機器 A201から機器 B211にコピーコントロールされたコンテンツが 流出することを阻止することができる。  In addition, even if the value of the D flag of the packet transmitted by the device A201 is illegally rewritten by a router or the like provided between the device A201 and the device B201, the authentication process is cut off. Therefore, it is possible to prevent the flow of copy-controlled content from the device A 201 to the device B 211.
[0160] また、機器 A201の送信パケット生成部 203に返信パケットの生成を指示してから 一定時間が経過するまでの間に何ら応答パケットを受信しな 、ときに、機器 A201の 送信パケット生成部 203に再度返信パケットを生成することを指示するため、機器 B2 11が機器 A201と同一のローカルネットワークに属している機器である力否かの判定 を極力行なうようにすることができる。  Also, when no response packet is received during a fixed time period after instructing the transmission packet generation unit 203 of the device A 201 to generate a reply packet, the transmission packet generation unit of the device A 201 does not receive any response packet. In order to instruct 203 to generate a reply packet again, it is possible to determine as much as possible whether the device B2 11 is a device belonging to the same local network as the device A 201 or not.
[0161] なお、前述の実施の形態 1では、図 5の S504において一定時間が経過したと判断 されたときは S502の処理に戻る例を示した力 これに限られない。たとえば、 S504 において、一定時間が経過したと判断されたときは、 S509の処理に進むようにして おき、認証処理を打ち切るようにしてもよい。このようにしておくと、機器 B211が機器 A201と同一のローカルネットワークに属している機器であるか不明であるときに、機 器 A201から機器 B211にコピーコントロールされたコンテンツが流出することを阻止 することができる。  In the above-described first embodiment, when it is determined in S504 of FIG. 5 that the predetermined time has elapsed, the present invention is not limited to this. For example, if it is determined in S504 that the predetermined time has elapsed, the process may proceed to the process of S509 and the authentication process may be aborted. In this way, when it is unknown whether the device B211 belongs to the same local network as the device A201, it is possible to prevent the flow of copy-controlled content from the device A201 to the device B211. be able to.
[実施の形態 2]  Second Embodiment
次に実施の形態 2について説明する。この実施の形態 2では、実施の形態 1と相違 する点を主として説明する。実施の形態 1では、機器 A201が Dフラグの値を「1」にし て送信した返信パケットに対する応答パケットの種類により機器 B211が機器 A201と 同一のローカルネットワークに属している機器である力否かを判定した。実施の形態 A second embodiment will now be described. In the second embodiment, points different from the first embodiment will be mainly described. In the first embodiment, whether device A211 is a device belonging to the same local network as device A201 or not is determined by the type of the response packet to the reply packet transmitted with device A 201 with the value of D flag set to “1”. It was judged. Embodiment
2では、機器 A201から送信された Dフラグの値を「0」にした返信パケットを受信した 機器 B211が、受信した返信パケットの状態により機器 B211が機器 A201と同一の ローカルネットワークに属している機器である力否かを判定する。 In step 2, the reply packet in which the value of the D flag transmitted from the device A 201 is set to “0” is received. The device B 211 determines whether or not the device B 211 is a device belonging to the same local network as the device A 201 based on the status of the received reply packet.
[0162] 図 6は、機器 A201と機器 B211との間で行なわれる認証処理の一例を示した図で ある。実施の形態 1では、機器 A211から機器 Bに送信される返信パケットの Dフラグ 力 S「1」であったため IPv4および IPv6の両方に適用することができた力 実施の形態 2では、機器 A201から機器 B211に送信される返信パケットの Dフラグが「0」である ため IPv4のみにしか適用することができない。  FIG. 6 is a diagram showing an example of an authentication process performed between the device A 201 and the device B 211. In the first embodiment, the D flag of the reply packet transmitted from the device A 211 to the device B is the power S “1”, and thus the power can be applied to both IPv4 and IPv6. In the second embodiment, the device A 201 to Since the D flag of the reply packet sent to the device B 211 is “0”, it can be applied only to IPv4.
[0163] 図 6では、前述したのと同様に機器 A (ソース機器) 201をコピーコントロールされた コンテンツを送信する送信器とし、機器 B (シンク機器) 211をコピーコントロールされ たコンテンツを受信する受信器として説明する。また図 6の説明では、機器 B211が 機器 A201と同一のローカルネットワークに属していない機器であるとして説明する。  In FIG. 6, device A (source device) 201 is a transmitter for transmitting copy-controlled content, and device B (sink device) 211 is for reception of copy-controlled content, as described above. It explains as a container. Further, in the description of FIG. 6, it is assumed that the device B211 is a device not belonging to the same local network as the device A201.
[0164] まず、 S601において、機器 B211はコピーコントロールされたコンテンツを所持して いる機器 A201に認証要求パケットを送信する。認証要求パケットには、乱数値 Bお よびデバイス証明書 Bのデータが含まれている。 S602において、機器 A201は認証 要求パケットを受信したことを示す ACKパケットを機器 B211に送信する。  First, in step S601, the device B 211 transmits an authentication request packet to the device A 201 that holds the copy-controlled content. The authentication request packet contains data of random number B and device certificate B. In step S602, the device A 201 transmits, to the device B 211, an ACK packet indicating that the authentication request packet has been received.
[0165] S603において、機器 A201はパケット長が 1500バイトで、かつ Dフラグの値を「0」 にした返信パケットを機器 B211に送信する。この返信パケットには、乱数値 Aおよび デバイス証明書 Aのデータが含まれている。また、この返信パケットは、図 13の S130 3に示す返信パケットのパケット長を 1500バイトに拡張したものである。  In step S603, the device A 201 transmits, to the device B 211, a reply packet in which the packet length is 1500 bytes and the value of the D flag is “0”. This return packet contains data of random number A and device certificate A. Further, this reply packet is obtained by extending the packet length of the reply packet shown in S1303 of FIG. 13 to 1500 bytes.
[0166] 前述したように機器 B211が機器 A201と同一のローカルネットワークに属していな V、機器であるときは、機器 A201と機器 B211との間のパス MTUは 1500バイト未満 である。図 6では、前述したのと同様にルータ F411の先のパス MTUが 1500バイト 未満であるとする。従って、パケット長が 1500バイトで、かつ Dフラグの値を「0」にし た返信パケットを受信したルータ F411は、返信パケットを IPフラグメントしなければ、 機器 B211に返信パケットを送信することができな!/、。  As described above, when the device B 211 is not belonging to the same local network as the device A 201 V, and is a device, the path MTU between the device A 201 and the device B 211 is less than 1500 bytes. In FIG. 6, it is assumed that the path MTU ahead of the router F411 is less than 1500 bytes as described above. Therefore, router F411 that receives a reply packet with a packet length of 1500 bytes and a D flag value of “0” can not send the reply packet to device B211 unless it fragments the reply packet. ! /.
[0167] 実施の形態 2では、返信パケットの Dフラグの値が「0」であるため、ルータ F411は 返信パケットを IPフラグメントすることができる。この場合、ルータ F411は、返信パケ ットを複数のパケット(実施の形態 2では、パケット 604およびパケット 605の 2つに分 割された例を示す)に IPフラグメントし、 IPフラグメントした 2つの返信パケットを機器 B 211に送信する。 In Embodiment 2, since the value of the D flag of the return packet is “0”, the router F 411 can IP fragment the return packet. In this case, the router F 411 splits the reply packet into a plurality of packets (in the second embodiment, two packets 604 and 605). IP fragment is shown in the example below, and two IP-fragmented return packets are sent to device B 211.
[0168] 機器 B211は、 IPフラグメントされた 2つの返信パケット 604, 605の両方を受信する と、 2つに IPフラグメントされた返信パケット 604, 605を元の 1つの返信パケットに再 構築する。 S606において、機器 B211は機器 A201に返信パケットを受信したこと示 す ACKパケットを送信する。機器 B211は、 IPフラグメントされた返信パケットを受信 したときは、機器 B211が機器 A201と同一のローカルネットワークに属していない機 器であると判定する。  [0168] Upon receiving both of the two IP-fragmented return packets 604 and 605, the device B 211 reconstructs the two IP-fragmented return packets 604 and 605 into one original return packet. In step S606, the device B 211 transmits, to the device A 201, an ACK packet indicating that the return packet has been received. When receiving the IP fragmented return packet, the device B 211 determines that the device B 211 is not a device belonging to the same local network as the device A 201.
[0169] S607において、機器 B211は機器 A201に認証失敗を通知するパケットを送信し 、認証処理を打ち切る。機器 A201は、認証失敗を通知するパケットを受信すると認 証処理を打ち切り、 S608にお 、て機器 B211に認証失敗を通知するパケットを受信 したことを示す ACKパケットを送信する。この場合、機器 A201は機器 B211にコピ 一コントロールされたコンテンツを送信しな 、。  In step S 607, the device B 211 transmits a packet notifying an authentication failure to the device A 201, and terminates the authentication process. When the device A 201 receives the packet notifying the authentication failure, the device A 201 aborts the authentication process, and transmits an ACK packet indicating that the device B 211 has received the packet notifying the authentication failure in S 608. In this case, the device A 201 does not transmit the copy-controlled content to the device B 211.
[0170] なお、機器 A201から送信された返信パケットが IPフラグメントされずに機器 B211 に到達することも考えられる。この場合、機器 B211は、機器 A201から送信された返 信パケットのパケット長が 1500バイトであることを確認するようにしておく。そして機器 B211は、受信した返信パケットのパケット長が 1500バイトでないときは認証失敗の パケットを機器 A201に送信し、認証処理を打ち切るようにしておく。  It is also conceivable that the reply packet transmitted from the device A 201 reaches the device B 211 without being fragmented by IP. In this case, the device B 211 confirms that the packet length of the return packet transmitted from the device A 201 is 1500 bytes. Then, when the packet length of the received return packet is not 1500 bytes, the device B 211 transmits a packet of authentication failure to the device A 201 so as to abort the authentication process.
[0171] このようにしておくと、機器 B211が機器 A201と同一のローカルネットワークに属し ている機器である力否かが不明であるときに、機器 A201から機器 B211にコピーコ ントロールされたコンテンツが流出することを阻止することができる。  [0171] By doing this, when it is unclear whether the device B211 is a device belonging to the same local network as the device A201 or not, the content copied for control from the device A201 to the device B211 leaks out Can be blocked.
[0172] なお、前述の実施の形態 2では、機器 A201は従来の認証処理に用いられる返信 パケットのパケット長を変更して機器 B211が機器 A201と同一のローカルネットヮー クに属している機器であるか否かを確認するためのパケットとして兼用している力 機 器 B211が機器 A201と同一のローカルネットワークに属している機器である力否か を確認するためだけのパケットを用いる方法であってもよ 、。  In the above-described second embodiment, device A 201 changes the packet length of the reply packet used in the conventional authentication process, and device B 211 is a device belonging to the same local network as device A 201. This is a method that uses a packet that is used only to check whether the device B211 that is also used as a packet to check whether there is a device is a device belonging to the same local network as the device A201. Well,
[0173] また、機器 B211が機器 A201と同一のローカルネットワークに属しているか否かを 確認するために、機器 A201から送信される返信パケットは、認証要求パケットの送 受信力 鍵交換メッセージの送受信が終了するまで (より望ましくは鍵交換メッセージ の送受信が開始するまで)の間にやり取りされることが好ましい。 In addition, in order to confirm whether the device B211 belongs to the same local network as the device A201, the reply packet transmitted from the device A201 is sent as an authentication request packet. It is preferable that exchange is performed during the period until transmission / reception of the key exchange message is completed (more preferably, transmission / reception of the key exchange message is started).
[0174] 図 7は、機器 B211の機器制御部 202で実行される処理の流れを示すフローチヤ一 トである。まず、 S701において、機器 B211の送信パケット生成部 203に対して認証 要求パケットの生成を指示する処理を行なったか否かが判断される。認証要求バケツ トの生成を指示する処理を行なって 、な 、ときは、認証段階ではな 、のでこのフロー チャートの処理は終了する。一方、認証要求パケットの生成を指示する処理を行なつ たときは認証処理を行なうため S702の処理に進む。  FIG. 7 is a flowchart showing the flow of processing executed by the device control unit 202 of the device B 211. First, in S701, it is determined whether a process of instructing the transmission packet generation unit 203 of the device B 211 to generate an authentication request packet has been performed. Processing for instructing the generation of a certification request bucket is performed, and this is not the certification phase, so the processing of this flow chart ends. On the other hand, when the process of instructing generation of the authentication request packet is performed, the process proceeds to the process of S702 in order to perform the authentication process.
[0175] S702において、返信パケットを受信したか否かが判断される。この返信パケットは、 前述したように機器 A201が機器 B211から送信されてきた認証要求パケットを受信 したときに送信するパケットである。機器 B211のパケット送受信部 204で返信バケツ トが受信されると、受信された返信パケットが機器 B211の受信パケット解析部 205で 解析され、解析結果が機器 B211の機器制御部 202に出力されることで機器制御部 202は返信パケットを受信したカゝ否かを判断することができる。返信パケットを受信し たと判断されたときは、 S704の処理に進む。一方、返信パケットを受信していないと 判断されたときは、 S703の処理に進む。  At S702, it is determined whether a return packet has been received. The reply packet is a packet transmitted when the device A 201 receives the authentication request packet transmitted from the device B 211 as described above. When the response bucket is received by the packet transmission / reception unit 204 of the device B211, the received packet received is analyzed by the received packet analysis unit 205 of the device B211, and the analysis result is output to the device control unit 202 of the device B211. Then, the device control unit 202 can determine whether or not the reply packet has been received. If it is determined that the reply packet has been received, the process proceeds to step S704. If it is determined that the reply packet has not been received, the process proceeds to step S703.
[0176] S703において、機器 B211の送信パケット生成部 203に対して認証要求パケット の生成を指示して力 一定時間が経過した力否かが判断される。一定時間が経過し ていないと判断されたときは、 S702の処理に戻り、一定時間が経過するまで繰り返し S702、 S703の処理が行なわれる。一方、一定時間が経過したと判断されたときは、 後述する S708の処理に進み、認証処理を打ち切る処理が行なわれる。  [0176] In S703, generation of an authentication request packet is instructed to the transmission packet generation unit 203 of the device B 211, and it is determined whether or not the force has reached a certain time. If it is determined that the predetermined time has not elapsed, the process returns to S702, and the processes of S702 and S703 are repeated until the predetermined time elapses. On the other hand, when it is determined that the predetermined time has elapsed, the process proceeds to the process of S708 described later, and a process of aborting the authentication process is performed.
[0177] S704において、機器 B211の受信パケット解析部 205において返信パケットを解 祈した解析結果が、 IPフラグメントされた返信パケットであることを示して ヽるか否か が判断される。解析結果が IPフラグメントされた返信パケットであることを示して ヽると きは S707の処理に進み、そうでないときは S705の処理に進む。  In S704, the received packet analysis unit 205 of the device B 211 determines whether or not the analysis result obtained by deciphering the reply packet indicates that the reply packet is an IP fragmented reply packet. If it is indicated that the analysis result is an IP fragmented return packet, the process proceeds to the process of S707, and if not, the process proceeds to the process of S705.
[0178] S705において、機器 B211が機器 A201と同一のローカルネットワークに属してい る機器であると判定されるとともに、機器 B211の送信パケット生成部 203に対して認 証成功を通知するパケットの生成を指示する処理が行なわれる。認証成功を通知す るパケットは、通知を目的とするだけのパケットでも良いし、認証段階の続きのパケットIn S705, it is determined that the device B211 is a device belonging to the same local network as the device A201, and generation of a packet for notifying the transmission packet generation unit 203 of the device B211 of authentication success is performed. A process of instructing is performed. Notify of authentication success Packets may be packets only for notification purpose, or packets following the authentication phase
(鍵交換パケット等)でも良い。その後、 S706において、機器 A201から送信されたコ ピーコントロールされたコンテンツのパケットの受信処理が行なわれる。 (Key exchange packet etc.) may be used. After that, in S706, the process of receiving the copy control content packet transmitted from the device A 201 is performed.
[0179] S707では、機器 B211が機器 A201と同一のローカルネットワークに属していない 機器であると判定されるとともに、機器 B211の送信パケット生成部 203に対して認証 失敗を通知するパケットの生成を指示する処理が行なわれる。  At S 707, it is determined that the device B 211 is not a device belonging to the same local network as the device A 201, and at the same time, it instructs the transmission packet generation unit 203 of the device B 211 to generate a packet notifying an authentication failure. Processing is performed.
[0180] S707において、機器 B211が機器 A201と同一のローカルネットワークに属してい ない機器であると判定されたので、 S708において、認証処理を打ち切る処理が行な われる。この場合、機器 A201から機器 B211にコピーコントロールされたコンテンツ が送信されない。  Since it is determined in S 707 that the device B 211 is not a device belonging to the same local network as the device A 201, in S 708, a process of aborting the authentication process is performed. In this case, the copy-controlled content is not transmitted from the device A 201 to the device B 211.
[0181] 以上に説明した機能を備えている機器 A201あるいは機器 B211を、デジタル化さ れたコンテンツを取り扱うことができるパソコン、デジカメ、デジタルビデオカメラ、 DV Dレコーダ等に搭載するようにしておく。  The device A 201 or the device B 211 having the functions described above is installed in a personal computer, digital camera, digital video camera, DVD recorder, or the like that can handle digitized contents.
[0182] このようにしておくと、機器 B211の機器制御部 202は、ネットワークを介して接続さ れている機器 A201から送信された返信パケットが IPフラグメントされているかを判断 することで、機器 B211が機器 A201と同一のローカルネットワークに属している機器 であるか否かを判定することができる。  In this way, the device control unit 202 of the device B 211 determines whether or not the return packet transmitted from the device A 201 connected via the network is IP fragmented, thereby the device B 211. It can be determined whether or not the device belongs to the same local network as the device A201.
[0183] また、機器 B211の機器制御部 202は、認証段階において機器 B211が機器 A20 1と同一のローカルネットワークに属している機器である力否かを確認するための返 信パケットが IPフラグメントされているか否かを判断するため、機器 B211が機器 A20 1と同一のロー力ノレネットワークに属していない機器であると判定したときは、コピーコ ントロールされたコンテンツを伝送する段階の前に機器 A201との通信を終了するこ とができる。その結果、機器 A201から機器 Aとは異なるローカルネットワークに属し て 、る機器 B211にコピーコントロールされたコンテンツが流出することを阻止するこ とがでさる。  [0183] The device control unit 202 of the device B211 performs IP fragmentation on the return packet for checking whether the device B211 is a device belonging to the same local network as the device A201 at the authentication stage. If it is determined that the device B211 is not a device belonging to the same low power nore network as the device A201, the device A211 and the device A201 are transmitted prior to the step of transmitting the copy-controlled content. Communication can be terminated. As a result, the device A 201 can belong to a local network different from the device A and can prevent the copy controlled content from being leaked to the device B 211.
[0184] なお、前述の実施の形態 2では、図 7の S703において一定時間が経過したと判断 されたときは S708の処理に進み、認証処理を打ち切る処理が行なわれる例を示した 力 これに限られない。たとえば、 S703において一定時間が経過したと判断されたと さ ίま、 S701の処理に戻るようにしておさ、再度 S701、 S702、 S703の処理力 S行なわ れるようにしてもよい。 In the above-described second embodiment, when it is determined in S703 of FIG. 7 that the predetermined time has elapsed, the process proceeds to the process of S708 and shows an example in which the process of aborting the authentication process is performed. It is not limited. For example, if it is determined in S703 that a predetermined time has elapsed However, the processing may return to the processing of S701, and the processing power S of S701, S702, and S703 may be performed again.
[0185] このようにしておくと、機器 B211の送信パケット生成部 203に認証要求パケットの 生成を指示してから一定時間が経過するまでの間に返信パケットを受信しないときに 、機器 B211の送信パケット部 203に再度認証要求パケットを生成することを指示す るため、機器 B211が機器 A201と同一のロー力ノレネットワークに属して ヽる機器であ る力否かの判定を極力行なうようにすることができる。  [0185] In this way, transmission of the device B211 is not performed when a reply packet is not received within a predetermined period of time after the transmission packet generation unit 203 of the device B211 is instructed to generate an authentication request packet. In order to instruct the packet unit 203 to generate an authentication request packet again, it is determined as much as possible whether or not the device B 211 is a device belonging to the same low power nore network as the device A 201. be able to.
[実施の形態 3]  Third Embodiment
次に実施の形態 3について説明する。この実施の形態 3では、実施の形態 1および 実施の形態 2と相違する点を主として説明する。実施の形態 3では、ある機器力 他 の機器に送信するパケット長を変化させていったときに、パケット長の変化に対する 伝送時間の変化を測定することにより他の機器がある機器と同一のローカルネットヮ ークに属しているか否かを判定する点で実施の形態 1および実施の形態 2と相違す る。以下、その方法について詳しく説明する。  A third embodiment will now be described. In this third embodiment, points different from the first embodiment and the second embodiment will be mainly described. In the third embodiment, when the packet length to be transmitted to a certain device power or another device is changed, the change of the transmission time with respect to the change of the packet length is measured, whereby the same local device as the other device is. This embodiment is different from Embodiments 1 and 2 in that it is determined whether or not it belongs to a network. The method will be described in detail below.
[0186] 同一のローカルネットワークに属していない機器同士の通信において ADSLが用 いられているとき、通信が PPPoA(PPP over AAL5、 RFC2364)を用いて行なわ れるときがある。 PPPoAは、 ATMネットワーク上で PPP接続を行なうための仕様であ る。通信が PPPoAを用いて行なわれるとき、ある機器力も送信されたパケット長が 15 00バイトのパケットは、途中で IPフラグメントされることなく他の機器に到達することが できる場合がある。この場合、実施の形態 1および実施の形態 2で説明した方法では 、コピーコントロールされたコンテンツ力 ある機器の属しているローカルネットワーク 以外の機器に流出することを阻止することができな 、。 When ADSL is used in communication between devices not belonging to the same local network, communication may be performed using PPPoA (PPP over AAL5, RFC2364). PPPoA is a specification for establishing PPP connections over ATM networks. When communication is performed using PPPoA, a packet with a packet length of 1 500 bytes may also be able to reach another device without being fragmented IP on the way. In this case, the method described in the first embodiment and the second embodiment can not prevent the leakage to devices other than the local network to which the copy-controlled content device belongs.
[0187] PPPoAを用いた ADSL上でパケットを送信するとき、最終的には ATMパケットに パケットがマッピング (ATMセル化)されて送信される。図 8は、 PPPoAを用いた AD SLの場合に、 IPパケットがどのように ATMパケットにマッピングされるかを示した図 である。図 8 (a)は、 PPPoAを用いた ADSL上で IPパケットを送信するときの ATMセ ルにマッピングされる前のパケットフォーマットを示している。図 8 (b)は、 ATMネット ワーク上でパケットを送信するときのパケットフォーマットを示している。 [0188] 図 8 (a)に示すように、 PPPoAを用いた ADSL上でパケットを送信するときのバケツ トフォーマットは、 LLC/SNAP801、 PPPフィールド 802、 IPヘッダ 803、 IPペイ口 ード 804、 PADフィールド 805および Trailer806から構成されている。 LLCZSNA Pフィールド 801、 PPPフィールド 802、 IPヘッダ 803および IPペイロード 804は、前 述したイーサネット(登録商標)、無線 LANおよび PPPoEのフレームフォーマットで 説明したものと同じである。 Trailerフィールド 806には、 LLCZSNAPフィールド 80 1力 IPペイロード 804までの長さ情報や誤り検出のための CRC等が含まれている。 PADフィールド 805は、パディングであり、 ATMセル化するときに用いられる。 [0187] When transmitting a packet on ADSL using PPPoA, the packet is finally mapped to an ATM packet (ATM cellification) and transmitted. FIG. 8 is a diagram showing how IP packets are mapped to ATM packets in the case of AD SL using PPPoA. Figure 8 (a) shows the packet format before being mapped to an ATM cell when transmitting an IP packet on ADSL using PPPoA. Figure 8 (b) shows the packet format when transmitting packets on an ATM network. As shown in FIG. 8 (a), the bucket format when transmitting a packet on ADSL using PPPoA is LLC / SNAP 801, PPP field 802, IP header 803, IP payload 804, It comprises a PAD field 805 and a trailer 806. LLCZSNA P field 801, PPP field 802, IP header 803 and IP payload 804 are the same as those described in the Ethernet (registered trademark), wireless LAN and PPPoE frame formats described above. The Trailer field 806 contains length information up to LLCZ SNAP field 80 1 power IP payload 804, a CRC for error detection, and the like. A PAD field 805 is padding, which is used when ATM cellization is performed.
[0189] 図 8 (b)に示すように ATMネットワーク上でパケットを送信するときのパケットフォー マットは、 ATMヘッダおよび ATMペイロードから構成されている。 ATMパケットは、 長さ 5バイトの ATMヘッダと長さ 48バイトの ATMペイロードとからなる固定長 53バイ トのパケットである。  As shown in FIG. 8 (b), the packet format when transmitting a packet on an ATM network is composed of an ATM header and an ATM payload. The ATM packet is a fixed 53-byte packet consisting of an 5-byte long ATM header and a 48-byte long ATM payload.
[0190] 図 8 (a)に示すパケットを図 8 (b)に示す ATMパケットに ATMセル化するとき、最 後の ATMパケットの ATMペイロード 842力 8バイトに満たないことがある。このとき 、前述した図 8 (a)の PADフィールド 805のパディングを付カ卩して 48バイトにする。  [0190] When converting the packet shown in Fig. 8 (a) into an ATM cell shown in Fig. 8 (b), the ATM payload of the final ATM packet may be less than 842 bytes by 8 bytes. At this time, the padding of the PAD field 805 in FIG. 8A described above is added to make it 48 bytes.
[0191] 図 9A、図 9Bおよび図 9Cは、種々のメディア上におけるパケット長と伝送時間との 関係を示した図である。図 9Aは、 ATMネットワーク上におけるパケット長と伝送時間 との関係を示した図である。図 9Bは、イーサネット (登録商標)や無線 LAN (IEEE8 02. l ib)上におけるパケット長と伝送時間との関係を示した図である。図 9Cは、無 線 LAN (IEEE802. 11a, IEEE802. l lg)上におけるパケット長と伝送時間との関 係を示した図である。  [0191] FIG. 9A, FIG. 9B and FIG. 9C are diagrams showing the relationship between packet length and transmission time on various media. FIG. 9A is a diagram showing the relationship between packet length and transmission time on an ATM network. FIG. 9B is a diagram showing the relationship between packet length and transmission time on Ethernet (registered trademark) or wireless LAN (IEEE802.1 ib). FIG. 9C is a diagram showing the relationship between packet length and transmission time on a wireless LAN (IEEE802.11a, IEEE802.11g).
[0192] ATMセルィ匕をするときは前述したようにパデイングが行なわれるため、送信したい パケット長が変化しても ATMセル化した後の ATMパケットの数が変わらない限り A TMパケットの送信に要する時間は変わらない。従って、 ATMネットワーク上では、 図 9Aに示すようにパケット長が変化したときの伝送時間の変化は階段状となる。  [0192] When carrying out an ATM cell, since padding is performed as described above, even if the packet length desired to be transmitted changes, it takes to transmit an ATM packet as long as the number of ATM packets after ATM cellization does not change. Time does not change. Therefore, on an ATM network, as shown in FIG. 9A, the change in transmission time when the packet length changes becomes stepwise.
[0193] 一方、イーサネット(登録商標)や無線 LAN (IEEE802. 1 lb)上でパケットを送信 するときは、図 9Bに示すようにパケット長の変化に応じて、 1バイト単位で伝送時間が 変化する。また、無線 LAN (IEEE802. 11aや IEEE802. l lg)は、 OFDM (Ortho gonal Frequency Division Multiplexing)変調方式を使用しているため、図 9Cに示 すように OFDMシンボル単位で伝送時間が変化する力 その単位は最大でも 27バ イトと ATMの 48バイト単位とは異なる。 On the other hand, when transmitting a packet on Ethernet (registered trademark) or wireless LAN (IEEE 802.1 lb), the transmission time changes in units of 1 byte according to the change in packet length as shown in FIG. 9B. Do. Also, wireless LANs (IEEE802.11a and IEEE802.l lg) can be used as OFDM (Ortho As shown in Fig. 9C, since the gonal Frequency Division Multiplexing modulation scheme is used, the transmission time change power in OFDM symbol units is different from that of ATM bytes by up to 27 bytes.
[0194] そのため、パケット長と伝送時間との関係を調べることにより、ある機器と他の機器と の間のネットワークに ATMネットワークが含まれているか否力 すなわち他の機器が ある機器と同一のローカルネットワークに属している機器である力否かを調べることが できる。伝送時間は、前述した RTTを測定することにより求められる。  Therefore, by examining the relationship between packet length and transmission time, it is determined whether the network between one device and another device includes an ATM network, that is, the same local device as another device. You can check if the device belongs to the network or not. The transmission time can be obtained by measuring the RTT described above.
[0195] RTTを測定するときに、ある機器カゝら送信された RTT測定用パケットを受信した他 の機器に、予め決められた内容の一定長の応答パケットを送信させるようにしておく ことも考えられるが、 RTT測定用パケットと同じパケット長の応答パケットを送信させる ようにしておくことが好ましい。このようにしておくと、パケット長の変化に対する伝送時 間の変化の影響を 2倍にすることができ、図 9Aに示すグラフの段差を明確にすること ができる。このような RTT測定用パケットおよび応答パケットの例として pingコマンドと して使用される ICMPパケットの Echo Message (Type8)と Echo Reply Messa ge (TypeO)とがある。また、 RTTは、ネットワークが込み合うと値が大きくなる傾向が あるので、複数回測定したうちの最小値を採用することが好ましい。  [0195] When measuring RTT, a response packet of a predetermined length and having a predetermined length may be sent to another device that has received an RTT measurement packet transmitted by a certain device. Although it is conceivable, it is preferable to send a response packet of the same packet length as the RTT measurement packet. In this way, the influence of the change in transmission time on the change in packet length can be doubled, and the steps in the graph shown in FIG. 9A can be clarified. Examples of such RTT measurement packets and response packets are Echo Message (Type 8) and Echo Reply Message (Type O) of ICMP packets used as a ping command. In addition, since RTT tends to increase as the network gets busy, it is preferable to use the minimum value among multiple measurements.
[0196] 図 10は、実施の形態 3におけるシステムの概略構成を示すブロック図である。シス テムは、機器 E1001、機器 B211およびネットワーク 221から構成されている。ここで は、機器 E1001をコピーコントロールされたコンテンツを送信する機器 (送信器)とし 、機器 B211をコピーコントロールされたコンテンツを受信する機器 (受信器)として説 明する。なお、実施の形態 3において受信器である機器 B211は、実施の形態 1およ び実施の形態 2と同じ構成であるが、機器 E1001と同じ構成にしてもよい。  FIG. 10 is a block diagram showing a schematic configuration of a system in the third embodiment. The system is composed of a device E 1001, a device B 211 and a network 221. Here, device E1001 will be described as a device (sender) that transmits copy-controlled content, and device B211 will be described as a device (receiver) that receives copy-controlled content. In the third embodiment, the device B211, which is a receiver, has the same configuration as the first embodiment and the second embodiment, but may have the same configuration as the device E1001.
[0197] 実施の形態 1および実施の形態 2と同様に、ネットワーク 221は、機器 B211が機器 E1001と同一のローカルネットワークに属している機器であるか否かによりイーサネッ ト(登録商標)や無線 LAN等で構築されて 、る構内ネットワークであったり、インター ネット等であったりする。  As in Embodiment 1 and Embodiment 2, the network 221 is Ethernet (registered trademark) or a wireless LAN depending on whether the device B 211 belongs to the same local network as the device E 1001. It is built on the Internet, etc., or it can be a private network.
[0198] 機器 E1001が機器 B211にコピーコントロールされたコンテンツを送信しょうとする とき、コピーコントロールされたコンテンツが機器 E1001の属しているローカルネットヮ ーク以外の機器に流出することを阻止するために、機器 E1001は、機器 B211が機 器 E1001と同一のローカルネットワークに属している機器である力否かの判定を、コ ピーコントロールされたコンテンツを機器 B211に送信する前 (認証段階)に行なう。 [0198] When the device E1001 tries to transmit the copy-controlled content to the device B211, the copy-controlled content corresponds to the local network to which the device E1001 belongs. The device E1001 is copy-controlled to determine whether the device B211 is a device belonging to the same local network as the device E1001 in order to prevent the leakage to the device other than the device. Before transmitting to the device B 211 (authentication step).
[0199] 機器 E1001は、機器制御部 1002、送信パケット生成部 203、パケット送受信部 20 4、受信パケット解析部 1003および RTT測定部 1004を有している。機器 E1001が 機器 B211にコピーコントロールされたコンテンツを送信しょうとするとき、機器 B211 が機器 E1001と同一のローカルネットワークに属している機器であるか否かを確認 するため、 RTT測定用パケットの生成を機器 E1001の送信パケット生成部 203に対 して指示する。機器制御部 1002は、機器 E1001の送信パケット生成部 203に RTT 測定用パケットの生成の指示を出した時間(タイミング)の情報を RTT測定部 1004に 出力する。 The device E 1001 includes a device control unit 1002, a transmission packet generation unit 203, a packet transmission / reception unit 204, a received packet analysis unit 1003, and an RTT measurement unit 1004. When the device E1001 tries to transmit the copy-controlled content to the device B211, in order to check whether the device B211 belongs to the same local network as the device E1001, generation of RTT measurement packet is performed. It instructs the transmission packet generation unit 203 of the device E1001. The device control unit 1002 outputs, to the RTT measurement unit 1004, information on the time (timing) at which the transmission packet generation unit 203 of the device E1001 is instructed to generate the RTT measurement packet.
[0200] 機器 E1001の送信パケット生成部 203は、機器制御部 1002からの指示に応じて RTT測定用パケットを生成し、生成した RTT測定用パケットを機器 E1001のパケット 送受信部 204に出力する。機器 E1001のパケット送受信部 204は、機器 E1001の 送信パケット生成部 203から入力した RTT測定用パケットをネットワーク 221を介して 接続されて 、る機器 B211に向けて送信する。  [0200] The transmission packet generation unit 203 of the device E1001 generates an RTT measurement packet according to an instruction from the device control unit 1002, and outputs the generated RTT measurement packet to the packet transmission / reception unit 204 of the device E1001. The packet transmission / reception unit 204 of the device E1001 is connected to the RTT measurement packet input from the transmission packet generation unit 203 of the device E1001 via the network 221 and transmits it to the device B211.
[0201] また、機器 E1001のパケット送受信部 204は、機器 B211から受信した RTT測定 用パケットに対する応答パケットを受信パケット解析部 1003に出力する。受信バケツ ト解析部 1003は、解析結果を機器制御部 1002に出力するとともに、パケット送受信 部 204から応答パケットを入力した時間(タイミング)の情報を RTT測定部 1004に出 力する。  Also, the packet transmission / reception unit 204 of the device E 1001 outputs a response packet to the RTT measurement packet received from the device B 211 to the received packet analysis unit 1003. The reception bucket analysis unit 1003 outputs the analysis result to the device control unit 1002, and outputs information on the time (timing) at which the response packet is input from the packet transmission / reception unit 204 to the RTT measurement unit 1004.
[0202] RTT測定部 1004は、機器制御部 1002が送信パケット生成部 203に RTT測定用 パケットの生成を指示して力も受信パケット解析部 1003に RTT測定用パケットに対 する応答パケットが入力されるまでの時間を RTTとして求め、求めた RTTを機器制 御部 1002に出力する。  In the RTT measurement unit 1004, the device control unit 1002 instructs the transmission packet generation unit 203 to generate an RTT measurement packet, and the received packet analysis unit 1003 also receives a response packet for the RTT measurement packet. The time up to is calculated as RTT, and the obtained RTT is output to the device control unit 1002.
[0203] なお、前述の実施の形態 3では、機器制御部 1002が送信パケット生成部 203に R TT測定用パケットの生成を指示して力も受信パケット解析部 1003に RTT測定用パ ケットに対する応答パケットが入力されるまでの時間を RTTとして求める例を示したが これに限られない。たとえば、機器 E1001のパケット送受信部 204に RTT測定用パ ケットが入力されてから機器 E1001のパケット送受信部 204が受信パケット解析部 1 003に RTT測定用パケットに対する応答パケットを出力するまでの時間を RTTとして 求めてもよい。この場合、パケット送受信部 204に RTT測定用パケットが入力された 時点でタイムスタンプを付加しておき、機器 E1001のパケット送受信部 204が応答パ ケットを出力する時点でタイムスタンプを付加しておく等しておき、 RTT測定部 1004 は、そのタイプスタンプに基づいて RTTを求めることとなる。 In the third embodiment described above, the device control unit 1002 instructs the transmission packet generation unit 203 to generate an RTT measurement packet, and the received packet analysis unit 1003 also receives a response packet for the RTT measurement packet. Although an example is shown in which the time until the input of It is not restricted to this. For example, the time from when the packet for RTT measurement is input to the packet transmission / reception unit 204 of the device E1001 until the packet transmission / reception unit 204 of the device E1001 outputs a response packet for the RTT measurement packet to the received packet analysis unit 1 003 You may ask for In this case, a time stamp is added when the RTT measurement packet is input to the packet transmission / reception unit 204, and a time stamp is added when the packet transmission / reception unit 204 of the device E1001 outputs a response packet. In addition, the RTT measurement unit 1004 will calculate the RTT based on the timestamp.
[0204] 図 11は、機器 E1001と機器 B211との間で行なわれる認証処理の一例を示した図 である。図 11では、前述したのと同様に機器 E (ソース機器) 1001をコピーコントロー ルされたコンテンツを送信する送信器とし、機器 B (シンク機器) 211をコピーコント口 ールされたコンテンツを受信する受信器として説明する。また図 11では、機器 B211 が機器 E1001と同一のローカルネットワークに属していない機器であるとして説明す る。 [0204] FIG. 11 is a diagram showing an example of authentication processing performed between the device E1001 and the device B211. In FIG. 11, the device E (source device) 1001 is a transmitter for transmitting the copy-controlled content, and the device B (sink device) 211 is a copy-controlled content, as described above. It is described as a receiver. Further, in FIG. 11, it is assumed that the device B211 is a device not belonging to the same local network as the device E1001.
[0205] まず、 S1101において、機器 B211はコピーコントロールされたコンテンツを所持し ている機器 E1001に認証要求パケットを送信する。この認証要求パケットには、乱数 値 Bおよびデバイス証明書 Bのデータが含まれている。 S 1102において、機器 E100 1は認証要求パケットを受信したことを示す ACKパケットを機器 B211に送信する。  [0205] First, in S1101, the device B211 transmits an authentication request packet to the device E1001 possessing the copy-controlled content. This authentication request packet contains data of random number B and device certificate B. In S1102, the device E1001 transmits, to the device B211, an ACK packet indicating that the authentication request packet has been received.
[0206] S1103において、機器 E1001は機器 B211に返信パケットを送信する。この返信 ノケットには、乱数値 Aおよびデバイス証明書 Aのデータが含まれている。 S1104に おいて、機器 B211は返信パケットを受信したことを示す ACKパケットを機器 E1001 に送信する。  In S1103, the device E1001 transmits a reply packet to the device B211. This reply socket contains data of random number A and device certificate A. In S1104, the device B211 transmits an ACK packet indicating that the reply packet has been received to the device E1001.
[0207] S1105から S1110までの処理では、機器 E1001は機器 B211に RTT測定用パケ ットを送信する処理を繰り返し行ない、機器 B211は機器 E1001から送信された RT T測定用パケットを受信したときに、 RTT測定用パケットを受信したことを示す応答パ ケットを送信する処理を繰り返し行なう。このとき、機器 E1001は、機器 B211に前回 送信した RTT測定用パケットのパケット長よりも予め定められている長さずつ変化さ せた RTT測定用パケットを送信する。 S 1105から S 1110までの処理において、機器 制御部 1002が送信パケット生成部 203に RTT測定用パケットの生成を指示してか ら受信パケット解析部 1003に RTT測定用パケットに対する応答パケットが入力され るまでの時間 (RTT)が繰り返し測定される。この処理の詳しい説明は後述することと する。 In the process from S1105 to S1110, the device E1001 repeatedly transmits the RTT measurement packet to the device B211, and the device B211 receives the RTT measurement packet transmitted from the device E1001. , Repeat the process of sending a response packet indicating that the RTT measurement packet has been received. At this time, the device E 1001 transmits, to the device B 211, an RTT measurement packet which is changed by a predetermined length from the packet length of the RTT measurement packet transmitted last time. In the processing from S 1105 to S 1110, whether the device control unit 1002 instructs the transmission packet generation unit 203 to generate a RTT measurement packet? The reception packet analysis unit 1003 repeatedly measures the time (RTT) until the response packet for the RTT measurement packet is input. A detailed description of this process will be described later.
[0208] 機器 E1001は、送信した RTT測定用パケットのパケット長と測定された RTTとの関 係が図 9Aに示したような階段状の関係で、かつ階段 1段当りのパケット長が 48バイト であるときは、機器 B211が機器 E1001と同一のローカルネットワークに属していな い機器であると判定するが、そうでないときは機器 B211が機器 E1001と同一のロー カルネットワークに属している機器であると判定する。  [0208] The device E1001 has a step-like relationship as shown in FIG. 9A between the packet length of the RTT measurement packet that has been sent and the measured RTT, and the packet length per step is 48 bytes. If it is, it is determined that the device B211 is not a device belonging to the same local network as the device E1001, but otherwise the device B211 is a device belonging to the same local network as the device E1001. It is determined that
[0209] 機器 B211が機器 E 1001と同一のローカルネットワークに属して 、な 、機器である と判定されたときは、 S1111に示すように、機器 E1001は機器 B211に認証失敗を 通知するパケットを送信し、認証処理を打ち切る。機器 B211は、認証失敗を通知す るパケットを受信すると認証処理を打ち切り、 Sl l 12にお 、て機器 E1001に認証失 敗を通知するパケットを受信したことを示す ACKパケットを送信する。この場合、機器 E1001は機器 B211にコピーコントロールされたコンテンツを送信しない。  When it is determined that the device B211 belongs to the same local network as the device E 1001, the device E1001 transmits a packet notifying an authentication failure to the device B211 as shown in S1111. And abort the authentication process. When the device B 211 receives the packet notifying the authentication failure, the device B 211 aborts the authentication process, and transmits an ACK packet indicating that the device E 1001 receives the packet notifying the authentication failure to the device E 1001. In this case, the device E1001 does not transmit the copy-controlled content to the device B211.
[0210] なお、前述の実施の形態 3では、機器 E1001から機器 B211に RTT測定用バケツ トを送信する例を示したがこれに限られず、機器 B211から機器 E1001に RTT測定 用パケットを送信するようにしてもょ 、。  Although the example of transmitting the bucket for RTT measurement from the device E1001 to the device B211 has been described in the third embodiment described above, the present invention is not limited to this, and an RTT measurement packet is transmitted from the device B211 to the device E1001. Let me see.
[0211] ここで、図 11の S1105から S1110までの RTTを測定する処理について詳しく説明 する。 RTTの測定をするときは、最初に機器 E1001から機器 B211に送信する RTT 測定用パケットのパケット長(START_LENGTH)、測定を終了する RTT測定用 パケットのパケット長(END— LENGTH)、 RTT測定用パケットのパケット長を変化 させるときの変化させる長さ(STEP)、同じパケット長の RTT測定用パケットにおいて RTTを測定する回数(COUNT— MAX)およびタイムアウト時間(TH— TIMEOU T)のパラメータ値を予め定めておく必要がある。  Here, the process of measuring the RTT from S1105 to S1110 in FIG. 11 will be described in detail. When measuring RTT, first transmit the packet length of the RTT measurement packet sent from the device E 1001 to the device B 211 (START_LENGTH), end the measurement packet length of the RTT measurement packet (END-LENGTH), RTT measurement packet The length of time to change the packet length (STEP), the number of times to measure RTT in the RTT measurement packet of the same packet length (COUNT-MAX), and the parameter value of timeout time (TH-TIMEOUT) are predetermined. Need to be
[0212] パラメータ値の制限として、 START— LENGTHと END— LENGTHとの差は、 9 6バイトより大きい必要である。なぜなら、 RTT測定用パケットのパケット長と測定され た RTTとの関係が図 9Aに示す階段状の関係になるときに、階段 1段当りのパケット 長が 48バイトである力否かを判断するためには少なくとも段が 3段必要である力 AT Mセルィ匕によりパケット長が 48バイト変化する間は RTTが変化しない可能性がある ため、 START— LENGTHと END— LENGTHとの差が 96バイト以下の場合、段 力 S 2段しか現われな 、可能性がある力 である。 [0212] As a limitation of the parameter value, the difference between START-LENGTH and END-LENGTH needs to be larger than 96 bytes. Because, when the relationship between the packet length of the RTT measurement packet and the measured RTT becomes the step-like relationship shown in FIG. 9A, in order to determine whether the packet length per step is 48 bytes or not. At least three stages are required for the force AT Since RTT may not change while the packet length changes by 48 bytes due to MCell, only stage S 2 stages will appear if the difference between START-LENGTH and END-LENGTH is 96 bytes or less. It is a force with sex.
[0213] また、 STEPは 48の約数であることが望ましい。なぜなら、 RTT測定用パケットのパ ケット長と測定された RTTとの関係が図 9Aに示す階段状の関係になるときに、階段 1段当りのパケット長が 48バイトである力否かを判断するにあたり 48の約数でな 、数( たとえば「7」)を STEPにしておくと、たとえば、階段 1段当りのパケット長が 42バイト や 49バイト変化したときに RTTが 1段分変化することになり、正確に階段 1段当りの パケット長が 48バイトであるかを判断することができないからである。なお、 STEPは、 正数に限られず負数であってもよい。以下、図 12および図 13を参照して RTTの測 定方法を具体的に説明するが、図 12および図 13では STEPは正数であるとして説 明する。 [0213] Further, preferably, STEP is a divisor of 48. Because, when the relationship between the packet length of the RTT measurement packet and the measured RTT becomes the step relationship shown in FIG. 9A, it is determined whether the packet length per step is 48 bytes or not. For example, if the packet length per step changes by 42 bytes or 49 bytes, the RTT changes by one step if the number (eg “7”) is set to STEP. Therefore, it is impossible to accurately judge whether the packet length per step is 48 bytes. Note that STEP is not limited to a positive number and may be a negative number. Hereinafter, the measurement method of RTT will be specifically described with reference to FIGS. 12 and 13, but in FIGS. 12 and 13, STEP will be described as a positive number.
[0214] 図 12および図 13は、機器 E1001の機器制御部 1002で実行される処理の流れを 示すフローチャートである。まず、 S1201において、機器 B211から送信された認証 要求パケットを受信した力否かが判断される。認証要求パケットを受信して 、な!/、と 判断されたときは、認証段階ではないので図 12および図 13のフローチャートの処理 は終了する。一方、認証要求パケットを受信したと判断されたときは、 S 1202の処理 へ進む。  FIGS. 12 and 13 are flowcharts showing the flow of processing executed by the device control unit 1002 of the device E 1001. First, in S1201, it is determined whether or not the authentication request packet transmitted from the device B 211 has been received. When it is determined that the authentication request packet has been received, it is not in the authentication stage, so the processing of the flowcharts of FIG. 12 and FIG. 13 ends. On the other hand, if it is determined that the authentication request packet has been received, the process proceeds to the process of S1202.
[0215] S1202にお!/、て、返信ノ ケットの送信処理を行う。これは、図 11の S1103と S110 4に対応する、返信パケットの生成指示と、返信パケットに対する ACKの受信待ちか らなる。返信パケットの送信処理が終わると、機器制御部 1002が送信パケット生成部 203に RTT測定用パケットの生成を指示して力も受信パケット解析部 1003に RTT 測定用パケットに対する応答パケットが入力されるまでの時間 (RTT)を測定する処 理を行なうため、 S1203以降の処理に進む。  [0215] In S1202, the sending process of the reply socket is performed. This consists of an instruction for generation of a reply packet and waiting for reception of an ACK for the reply packet, corresponding to S1103 and S1104 in FIG. When transmission of the reply packet is completed, the device control unit 1002 instructs the transmission packet generation unit 203 to generate the RTT measurement packet, and the force is also received by the reception packet analysis unit 1003 until the response packet for the RTT measurement packet is input. In order to perform processing to measure time (RTT), the processing proceeds to processing after S1203.
[0216] S1203において、初期化処理が行なわれる。初期化処理では、 RTT記録テープ ルが未測定の状態にされ、 RTT測定用パケットのパケット長として START— LENG THが設定され、 COUNTの値が「1」に設定される。 RTT記録テーブルとは、 RTT 測定用パケットのパケット長 (LENGTH)毎に測定された RTTを記録しておくテープ ルであり、たとえば機器 E1001に搭載されている RAM、ハードディスク等の記憶媒 体により実現される。 In S1203, initialization processing is performed. In the initialization process, the RTT recording tape is not measured yet, START-LENGTH is set as the packet length of the RTT measurement packet, and the COUNT value is set to "1". The RTT recording table is a tape that records the RTT measured for each packet length (LENGTH) of the RTT measurement packet. For example, it is realized by a storage medium such as a RAM or a hard disk mounted in the device E1001.
[0217] S1204において、機器 E1001の送信パケット生成部 203に対してパケット長が ST ART— LENGTHとなる RTT測定用パケットの生成を指示する処理が行なわれる。 S 1205において、 RTT測定用パケットに対する応答パケットを受信した力否かが判 断される。機器 E1001のパケット送受信部 204で応答パケットが受信されると、受信 された応答パケットが受信パケット解析部 1003で解析され、解析結果が機器制御部 1002に出力される。これにより機器制御部 1002は、応答パケットを受信した力否か を判断することができる。応答パケットを受信したと判断されたときは、 S1207の処理 に進む。一方、応答パケットを受信していないと判断されたときは、 S1206の処理に 進む。  [0217] In S1204, processing is performed to instruct the transmission packet generation unit 203 of the device E1001 to generate an RTT measurement packet whose packet length is ST ART-LENGTH. At S 1205, it is determined whether the response packet to the RTT measurement packet has been received. When the packet transmitting / receiving unit 204 of the device E 1001 receives the response packet, the received packet is analyzed by the received packet analysis unit 1003, and the analysis result is output to the device control unit 1002. Thus, the device control unit 1002 can determine whether the response packet has been received or not. If it is determined that the response packet has been received, the process proceeds to step S1207. If it is determined that the response packet has not been received, the process proceeds to step S1206.
[0218] S1206において、機器 E1001の送信パケット生成部 203に対して RTT測定用パ ケットの生成を指示して力 一定時間が経過した力否かが判断される。一定時間が 経過していないと判断されたときは S1205の処理に戻り、一定時間が経過するまで 繰り返し S1205、 SI 206の処理が行なわれる。一方、一定時間が経過したと判断さ れたときは、 S1204の処理に戻り、再度 S1204、 S1205, S1206の処理力 S行なわ れる。  In S1206, the transmission packet generation unit 203 of the device E1001 is instructed to generate an RTT measurement packet, and it is determined whether or not the force has reached a certain time. If it is determined that the predetermined time has not elapsed, the process returns to the process of S1205, and the processes of S1205 and SI 206 are repeated until the predetermined time elapses. On the other hand, when it is determined that the predetermined time has elapsed, the process returns to the process of S1204 and the processing power S of S1204, S1205, and S1206 is performed again.
[0219] S1207において、 RTTが最小値である力否かが判断される。前述したように同じパ ケット長の RTT測定用パケットでは COUNT— MAXで定義される回数だけ RTTの 測定が繰り返し行なわれる。 S 1207では、今回測定された RTTの値が前回までに測 定された RTTのうちの最小値が記録されている RTT記録テーブルの値と比較され、 RTT記録テーブルに記録されて ヽる RTTの値よりも小さ ヽか否かが判断される。今 回測定された RTTの値が RTT記録テーブルに記録されている RTTの値よりも小さ いと判断されたときは S 1208の処理に進み、今回測定された RTTの値が RTT記録 テーブルに記録されている RTTの値よりも大きいと判断されたときは S1209の処理 に進む。最初の RTTの測定では、 RTT記録テーブルに比較する RTTの値が記録さ れて ヽな ヽので、 S 1208【こ進む。  [0219] In S1207, it is determined whether or not the force at which RTT is the minimum value. As described above, for RTT measurement packets of the same packet length, RTT measurement is repeated as many times as defined by COUNT-MAX. In S 1207, the value of the RTT measured this time is compared with the value of the RTT recording table in which the minimum value of the RTTs measured up to the previous time is recorded, and recorded in the RTT recording table. It is judged whether it is smaller than the value. If it is determined that the value of RTT measured this time is smaller than the value of RTT recorded in the RTT recording table, the processing proceeds to S1208, and the value of RTT measured this time is recorded in the RTT recording table. If it is determined that the value is larger than the value of RTT, the process proceeds to step S1209. In the first RTT measurement, the value of RTT to be compared with the RTT recording table is recorded and it is a shame, so proceed to S1208.
[0220] S1208は、 S1207において「Yes」の判断がなされたときのみ行なわれ、測定した RTTの値を RTT記録テーブルに記録する処理が行なわれる。 S1209において、 C OUNTの値が COUNT— MAXであるか否かが判断される。 COUNTの値が COU NT— MAXでないときは、 S1210において COUNTの値に「1」が加算され、 S120 9にお!/、て COUNTの値が COUNT— MAXであると判断されるまで S 1204力ら S 1 209までの処理が繰り返し行なわれる。 S1208 is performed only when the determination of “Yes” is made in S1207, and the measurement is performed. Processing is performed to record the value of RTT in the RTT recording table. In S1209, it is determined whether the value of C OUNT is COUNT-MAX. If the value of COUNT is not COUNT—MAX, “1” is added to the value of COUNT at S1210, and S 1209 until the value of COUNT is determined to be COUNT—MAX at S1209. The processing up to S 1 209 is repeated.
[0221] S1209において COUNTの値が COUNT— MAXであると判断されたときは、 S1 211にお!/、て、 LENGTHが予め定められて!/、る END— LENGTH以上であるか否 かが判断される。 LENGTHが予め定められて!/、る END— LENGTH未満であると 判断されたときは、 S1212〖こおいて、 STEPで定義されている長さが今回の RTT測 定用パケットのパケット長に加算されるとともに、 COUNTの値が「1」に設定され、 LE NGTHが END— LENGTH以上と判断されるまで、 S 1204力ら S 1210までの処理 が繰り返し行なわれる。 [0221] If it is determined in S1209 that the value of COUNT is COUNT-MAX, then in S121 1! /, LENGTH is determined in advance, and it is determined whether or not END-LENGTH or more. It is judged. When it is determined that LENGTH is less than the predetermined LENGTH / END- LENGTH, the length defined in STEP is added to the packet length of the current RTT measurement packet in S1212. At the same time, the processing of S 1204 to S 1210 is repeated until the value of COUNT is set to “1” and it is determined that LE NGTH is equal to or greater than END—LENGTH.
[0222] 一方、 S1211において LENGTHが END— LENGTH以上であると判断されたと きは、 S1301において、 RTTの再計測が必要であるか否かが判断される。 LENGT Hが長くなれば、測定される RTTの値は同じであるか大きくなる力 小さくなることは ない。そこで、 RTT記録テーブルにおいて、ある LENGTHに対する RTTの値 RTT (n)と、ある LENGTH + STEPに対するRTTの値RTT(n+ 1)とを比較し、 RTT(n ) >RTT(n+ l)となっている箇所がある力否かを判断する。 RTT(n) >RTT(n+ l )となっている箇所があれば RTTの再計測が必要であるので SI 302の処理に進み、 なければ S 1303の処理に進む。  On the other hand, when it is determined in S1211 that LENGTH is equal to or greater than END-LENGTH, it is determined in S1301 whether or not re-measurement of RTT is necessary. As LENGTH gets longer, the measured RTT value will not decrease or decrease. Therefore, in the RTT recording table, the RTT value RTT (n) for a given LENGTH is compared with the RTT value RTT (n + 1) for a given LENGTH + STEP, RTT (n)> RTT (n + 1) Determine if there is a place where there is a force. If there is a portion where RTT (n)> RTT (n + 1), it is necessary to re-measure RTT, so the processing proceeds to SI 302 processing, and if not, it proceeds to the processing of S1303.
[0223] S1302では、 S1301において説明したように RTT(n) >RTT(n+ 1)となったある LENGTHに対する RTTの値の再計測が行なわれる。この際、 RTTの値は 1回だけ 測定されてもょ 、し、前述した COUNTの値が COUNT— MAXとなるまで繰り返し 測定してもよ ヽし、 RTT記録テーブルの値が更新されまで繰り返し測定してもよ ヽ。 RTTの値の再計測が終了すると、 S1301の処理に戻る。  In S1302, as described in S1301, re-measurement of the value of RTT for a LENGTH for which RTT (n)> RTT (n + 1) is performed is performed. At this time, the value of RTT may be measured only once, or it may be measured repeatedly until the value of COUNT mentioned above becomes COUNT-MAX, and the value of RTT recording table is repeatedly measured until the value is updated. I'm sorry. When re-measurement of the value of RTT is completed, the process returns to the process of S1301.
[0224] S 1303において、パケット長判定処理が行なわれる。パケット長判定処理では、 RT T記録テーブルにお!/、て LENGTHの小さ!/、方から順に RTTの値が確認されて!、き 、同じ RTTの値(ある誤差範囲に入っている RTTの値)が続く LENGTHの範囲が調 ベられる。これが END— LENGTHまで行なわれる。 At S 1303, a packet length determination process is performed. In the packet length judgment process, the RTT recording table! /, The smaller the LENGTH! /, The RTT values are checked in order from the one !, and the same RTT value (the RTT within a certain error range Range of LENGTH continues Be This is done until END-LENGTH.
[0225] SI 304では、 SI 303で調べられた同じ RTTの値が続く LENGTHの範囲力 8バ イトであるか否かが判断される。同じ RTTの値が続く LENGTHの範囲が 48バイトで あるときは S1307の処理に進み、そうでないときは S1305の処理に進む。  [0225] In SI 304, it is determined whether or not the range power of 8 bytes of LENGTH continues, with the same value of RTT examined in SI 303. If the range of the LENGTH which continues the same value of RTT is 48 bytes, the process proceeds to the processing of S1307, and if not, it proceeds to the processing of S1305.
[0226] S1305において、機器 B211が機器 E1001と同一のローカルネットワークに属して いる機器であると判定されるとともに、機器 E1001の送信パケット生成部 203に対し て認証成功を通知するパケットの生成を指示する処理が行なわれる。認証成功を通 知するパケットは、通知を目的とするだけのパケットでも良いし、認証段階の続きのパ ケット (鍵交換パケット等)でも良い。その後、 S1306において、機器 E1001の送信パ ケット生成部 203に対してコピーコントロールされたコンテンツのパケットの生成を指 示する処理が行なわれる。これにより、機器 E1001から機器 B211にコピーコントロー ルされたコンテンツが送信される。  In S1305, it is determined that the device B211 is a device belonging to the same local network as the device E1001, and instructs the transmission packet generation unit 203 of the device E1001 to generate a packet notifying a successful authentication. Processing is performed. The packet for notification of successful authentication may be a packet only for notification purpose or may be a packet following the authentication phase (key exchange packet etc.). Thereafter, in S1306, a process of instructing the transmission packet generation unit 203 of the device E1001 to generate a packet of copy-controlled content is performed. Thus, the content subjected to copy control is transmitted from the device E1001 to the device B211.
[0227] S1307では、機器 B211が機器 E1001と同一のローカルネットワークに属していな い機器であると判定されるとともに、機器 E1001が送信パケット生成部 203に対して 認証失敗を通知するパケットの生成を指示する処理が行なわれる。 S1307において 、機器 B211が機器 E1001と同一のローカルネットワークに属していない機器である と判定されたので、 S 1308において認証処理を打ち切る処理が行なわれる。この場 合、機器 E1001の送信パケット部 203に対してコピーコントロールされたコンテンツ のパケットの生成を指示する処理が行なわれることはなぐ機器 E1001から機器 B21 1にコピーコントローノレされたコンテンツは送信されな!、。  In S1307, it is determined that the device B211 is not a device belonging to the same local network as the device E1001, and the device E1001 generates a packet for notifying the transmission packet generation unit 203 of an authentication failure. A process of instructing is performed. Since it is determined in S1307 that the device B211 is not a device belonging to the same local network as the device E1001, in S1308, processing for aborting the authentication process is performed. In this case, the process of instructing the transmission packet unit 203 of the device E1001 to generate a packet of copy-controlled content is not performed. The content copy-controlled from the device E1001 to the device B211 is not transmitted. !
[0228] 以上に説明した機能を備えている機器 E1001あるいは機器 B211を、デジタルィ匕 されたコンテンツを取り扱うことができるパソコン、デジカメ、デジタルビデオカメラ、 D VDレコーダ等に搭載するようにしておく。  [0228] The device E1001 or the device B211 having the functions described above is installed in a personal computer, a digital camera, a digital video camera, a DVD recorder, or the like that can handle digitalized contents.
[0229] このようにしておくと、機器 E1001の機器制御部 1002は、ネットワークを介して接 続されて!ヽる機器 B211に向けて送信した予め定められて ヽる長さずつパケット長を 変化させたパケットに対する応答パケットを受信するまでの応答時間を測定して、送 信したパケット長と測定した応答時間との関係から機器 B211が機器 A201と同一の ローカルネットワークに属している機器である力否かを判定することができる。 [0230] また、機器 ElOOlの機器制御部 1002は、認証段階において機器 B211が機器 E 1001と同一のローカルネットワークに属している機器であるか否かを判定するための RTT測定用パケットの生成を機器 E1001の送信パケット生成部 203に指示するため 、機器 B211が機器 E1001と同一のローカルネットワークに属していない機器である と判定したときは、コピーコントロールされたコンテンツを伝送する段階の前に機器 B2 11との通信を終了することができる。その結果、機器 E1001から機器 E1001とは異 なるローカルネットワークに属している機器 B211にコピーコントロールされたコンテン ッが流出することを阻止することができる。 In this way, the device control unit 1002 of the device E1001 changes the packet length by the predetermined length transmitted to the device B211 connected via the network. The response time for receiving the response packet to the received packet is measured, and from the relationship between the transmitted packet length and the measured response time, the device B211 is a device belonging to the same local network as the device A201. It can be determined whether or not. In addition, the device control unit 1002 of the device ElOOl generates an RTT measurement packet for determining whether the device B 211 belongs to the same local network as the device E 1001 in the authentication stage. In order to instruct the transmission packet generation unit 203 of the device E1001, when it is determined that the device B211 is not a device belonging to the same local network as the device E1001, the device B2 is transmitted before the step of transmitting the copy-controlled content. Communication with 11 can be terminated. As a result, it is possible to prevent the flow of copy-controlled content from the device E1001 to the device B211 belonging to the local network different from the device E1001.
[0231] また、機器 E1001の送信パケット送信部 203に RTT測定用パケットの生成を指示 してから一定時間が経過するまでの間に RTT測定用パケットに対する応答パケットを 受信しないときに、機器 E1001の送信パケット生成部 203に再度 RTT測定用バケツ トの生成を指示するため、 RTTの測定を極力行なうようにすることができ、機器 B211 が機器 E1001と同一のローカルネットワークに属している機器であるか否かの判定を 極力行なうようにすることができる。  In addition, when the response packet to the RTT measurement packet is not received during a predetermined time after the transmission packet transmission unit 203 of the device E1001 is instructed to generate the RTT measurement packet, the device E1001 In order to instruct the transmission packet generation unit 203 to generate the RTT measurement bucket again, it is possible to measure the RTT as much as possible, and whether the device B211 belongs to the same local network as the device E1001. It is possible to make the judgment as to whether or not it is possible as much as possible.
[0232] なお、前述の実施の形態 3では、図 12の S1206において一定時間が経過したと判 断されたときは S1204の処理に戻る例を示した力 これに限られない。たとえば、 S1 206にお!/、て一定時間が経過したと判断されたときは、図 13の S 1308に進むように しておき、認証処理を打ち切るようにしてもよい。このようにしておくと、 RTTの測定を 行なうことができず、機器 B211が機器 E1001と同一のローカルネットワークに属して いる機器である力否かが不明であるときに、機器 E1001から機器 B211にコピーコン トロールされたコンテンツが流出することを阻止することができる。  In the above-described third embodiment, when it is determined in S1206 of FIG. 12 that the predetermined time has elapsed, the present invention is not limited to this. For example, if it is determined in S1 206 that a predetermined time has elapsed, the process may proceed to S1308 in FIG. 13 to abort the authentication process. In this way, when it is not possible to measure RTT and it is unclear whether the device B211 is a device belonging to the same local network as the device E1001 or not, the device E1001 to the device B211 It can prevent the flow of copy-controlled content.
[0233] なお、前述の実施の形態 1、実施の形態 2および実施の形態 3は、それぞれ排他的 なものではなぐ組み合わせて用いることもできる。  [0233] The above-described first embodiment, second embodiment and third embodiment can also be used in combination without being exclusive.
[0234] DTCP—IPは、大きぐ相手機器がコピーコントロールされたコンテンツをやり取りし てもよ!/、DTLAに認証された機器であるかを調べる認証段階と、実際にコピーコント ロールされたコンテンツのやり取りを行なうコンテンツ伝送段階とに分けることができる 。前述の実施の形態 1から実施の形態 3までにおいて、機器 B211が機器 A201と同 一のローカルネットワークに属している機器である力否力 または機器 B211が機器 E 1001と同一のローカルネットワークに属しているか否かの判定は、認証段階および 伝送段階のどちらでも可能であるが、前述の実施の形態 1から実施の形態 3まで説明 したように、認証段階の一部で判定することが好ましい。なぜなら、認証段階におい て機器 B211が機器 A201あるいは機器 E1001と同一のローカルネットワークに属し ていない機器であると判定されたときは、コピーコントロールされたコンテンツをやり取 りすべきではなぐ認証に失敗したとして認証処理を打ち切るべきだ力もである。また 、前述の実施の形態 1および実施の形態 2においては、パケット長が 1500バイト未満 のパケットをパデイングして 1500バイトにするときにオーバヘッドを生じるが、認証段 階の方が伝送段階よりも一般的にデータ伝送レートが低ぐまたパケットのタイミング に対する要求も少ないため、オーバヘッドの影響を受けにくいからである。 [0234] DTCP-IP may exchange copy-controlled content with a large remote device! /, Authentication phase to check whether it is a device certified by DTLA, and content that is actually copy-controlled Can be divided into the content transmission phase in which the In Embodiment 1 to Embodiment 3 described above, the device B 211 is a device belonging to the same local network as the device A 201 or the device B 211 is a device E. Although it can be determined in either the authentication phase or the transmission phase whether or not the network belongs to the same local network as 1001, as described in the first to third embodiments described above, one of the authentication phases is performed. It is preferable to make a decision on the part. Because, if it is determined in the authentication stage that the device B211 is not a device belonging to the same local network as the device A201 or the device E1001, then it is not possible to exchange the copy-controlled content as if the authentication failed. It is also a force that should end the certification process. In the first and second embodiments described above, overhead is generated when a packet having a packet length of less than 1500 bytes is padded to 1500 bytes, but the authentication stage is more general than the transmission stage. This is because the data transmission rate is low and the request for packet timing is small, so the overhead is not easily affected.
なお、今回開示された実施の形態はすべての点で例示であって制限的なものでは ないと考えられるべきである。本発明の範囲は上記した説明ではなく請求の範囲によ つて示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれるこ とが意図される。  It should be understood that the embodiment disclosed herein is illustrative in all respects and not restrictive. The scope of the present invention is indicated not by the above description but by the claims, and is intended to include all modifications within the meaning and scope equivalent to the claims.

Claims

請求の範囲 The scope of the claims
[1] 指示に応じてフラグメントを禁止した送信パケットを生成するパケット生成部(203) と、  [1] A packet generation unit (203) that generates a transmission packet in which a fragment is inhibited according to an instruction;
前記パケット生成部で生成された前記送信パケットをネットワークを介して接続され ている他の機器に向けて送信するとともに、前記送信パケットに対する応答パケットを 受信するパケット送受信部 (204)と、  A packet transmitting / receiving unit (204) for transmitting the transmission packet generated by the packet generation unit to another device connected via a network and receiving a response packet to the transmission packet;
前記パケット送受信部で受信された前記応答パケットのパケット長が所定のパケット 長より長いことを示すパケットである力否かを解析するパケット解析部(205)と、 前記パケット生成部にフラグメントを禁止した前記送信パケットの生成を指示すると ともに、前記他の機器が自機器と同一のローカルネットワークに属している機器であ るカゝ否かを判定する機器制御部(202)とを備え、  A packet analysis unit (205) for analyzing whether or not the packet length of the response packet received by the packet transmission / reception unit is a packet indicating that the packet length is longer than a predetermined packet length; And a device control unit (202) for determining whether or not the other device is a device belonging to the same local network as the own device as well as instructing generation of the transmission packet.
前記機器制御部は、前記パケット解析部で前記応答パケットが前記送信パケットの パケット長が所定のパケット長より長いことを示すパケットであると解析されたときに前 記他の機器が自機器と同一のローカルネットワークに属していない機器であると判定 することを特徴とする、送信器。  The device control unit is configured such that when the packet analysis unit analyzes that the response packet is a packet indicating that the packet length of the transmission packet is longer than a predetermined packet length, the other device is identical to the own device. A transmitter characterized by determining that the device does not belong to the local network.
[2] 前記機器制御部は、前記パケット生成部にパケット送信の認証段階においてフラグ メントを禁止した前記送信パケットの生成を指示することを特徴とする、請求の範囲第[2] The apparatus control unit instructs the packet generation unit to generate the transmission packet whose fragment is prohibited in the authentication step of packet transmission.
1項に記載の送信器。 The transmitter according to item 1.
[3] 前記機器制御部は、前記他の機器が自機器と同一のローカルネットワークに属して いない機器であると判定した後は、前記パケット生成部に前記送信パケットを生成す る指示をすることを停止することを特徴とする、請求の範囲第 1項に記載の送信器。  [3] After determining that the other device is not a device belonging to the same local network as the own device, the device control unit instructs the packet generation unit to generate the transmission packet. The transmitter according to claim 1, wherein the transmitter is turned off.
[4] フラグメントを禁止した前記送信パケットのパケット長は 1500バイトであることを特徴 とする、請求の範囲第 1項に記載の送信器。  [4] The transmitter according to claim 1, wherein the packet length of the transmission packet in which a fragment is prohibited is 1500 bytes.
[5] 前記パケット解析部は、さらに前記パケット送受信部で受信された前記応答パケット 力 前記他の機器が前記送信パケットを正常に受信したときに送信する自機器と同 一のローカルネットワークに属していない機器であることを示すパケットであるか否か を解析し、  [5] The packet analysis unit further belongs to the same local network as the own device that transmits the response packet received by the packet transmission / reception unit when the other device normally receives the transmission packet. Analyze whether it is a packet indicating that the device is not
前記機器制御部は、前記パケット解析部で前記応答パケットが、前記他の機器が 前記送信パケットを正常に受信したときに送信する自機器と同一のローカルネットヮ ークに属していない機器であることを示すパケットであると解析されたときに前記他の 機器が自機器と同一のローカルネットワークに属していない機器であると判定するこ とを特徴とする、請求の範囲第 1項に記載の送信器。 In the device control unit, in the packet analysis unit, the response packet is transmitted by the other device. The other device is identical to the own device when it is analyzed that the packet indicates that the device does not belong to the same local network as the own device to be sent when the transmission packet is normally received. The transmitter according to claim 1, characterized in that it is determined that the device does not belong to the local network.
[6] 前記機器制御部は、前記パケット生成部にパケット送信の認証段階においてフラグ メントを禁止した前記送信パケットの生成を指示することを特徴とする、請求の範囲第[6] The apparatus control unit instructs the packet generation unit to generate the transmission packet whose fragment is inhibited in the authentication step of packet transmission.
5項に記載の送信器。 The transmitter according to item 5.
[7] 前記機器制御部は、前記他の機器が自機器と同一のローカルネットワークに属して いない機器であると判定した後は、前記パケット生成部に前記送信パケットを生成す る指示をすることを停止することを特徴とする、請求の範囲第 5項に記載の送信器。  [7] The device control unit may instruct the packet generation unit to generate the transmission packet after determining that the other device is not a device belonging to the same local network as the own device. The transmitter according to claim 5, wherein the transmitter is turned off.
[8] フラグメントを禁止した前記送信パケットのパケット長は 1500バイトであることを特徴 とする、請求の範囲第 5項に記載の送信器。 [8] The transmitter as set forth in [5], wherein the packet length of the transmission packet in which a fragment is inhibited is 1500 bytes.
[9] 指示に応じて予め定められている長さずつパケット長を変化させた送信パケットを 生成するパケット生成部(203)と、 [9] A packet generation unit (203) for generating a transmission packet in which the packet length is changed by a predetermined length in accordance with an instruction.
前記パケット生成部で生成された前記送信パケットをネットワークを介して接続され ている他の機器に向けて送信するとともに、前記送信パケットに対する応答パケットを 受信するパケット送受信部 (204)と、  A packet transmitting / receiving unit (204) for transmitting the transmission packet generated by the packet generation unit to another device connected via a network and receiving a response packet to the transmission packet;
前記送信パケットが前記他の機器に向けて送信されてカゝら前記送信パケットに対 する前記応答パケットが受信されるまでの応答時間を測定する応答時間測定部(10 A response time measurement unit (10 for measuring a response time until the transmission packet is transmitted to the other device and the response packet to the transmission packet is received).
04)と、 04) and
前記パケット生成部に予め定められている長さずつパケット長を変化させた前記送 信パケットの生成を繰り返し指示するとともに、前記他の機器が自機器と同一のロー カルネットワークに属している機器である力否かを判定する機器制御部(1002)とを 備え、  The packet generation unit repeatedly instructs generation of the transmission packet in which the packet length is changed by a predetermined length, and the other device belongs to the same local network as the own device. And a device control unit (1002) that determines whether or not there is a certain force.
前記機器制御部は、前記応答時間測定部により測定された前記応答時間が特定 のパケット長ごとに階段状に変化するときに前記他の機器が自機器と同一のロー力 ルネットワークに属して 、な 、機器であると判定することを特徴とする、送信器。  When the response time measured by the response time measurement unit changes stepwise for each specific packet length, the device control unit belongs to the same low power network as the other device when the response time changes in a step-like manner for each specific packet length A transmitter characterized in that it is an apparatus.
[10] 前記機器制御部は、前記パケット生成部にパケット送信の認証段階において予め 定められている長さずつパケット長を変化させた前記送信パケットの生成を指示する ことを特徴とする、請求の範囲第 9項に記載の送信器。 [10] The device control unit instructs the packet generation unit in advance in an authentication step of packet transmission. 10. The transmitter according to claim 9, wherein generation of the transmission packet is instructed by changing the packet length by a predetermined length.
[11] 前記機器制御部は、前記他の機器が自機器と同一のローカルネットワークに属して いない機器であると判定した後は、前記パケット生成部に前記送信パケットを生成す る指示をすることを停止することを特徴とする、請求の範囲第 9項に記載の送信器。 [11] The device control unit may instruct the packet generation unit to generate the transmission packet after determining that the other device is not a device belonging to the same local network as the own device. The transmitter according to claim 9, wherein the transmitter is turned off.
[12] 前記特定のパケット長は 48バイトであることを特徴とする、請求の範囲第 9項に記載 の送信器。 [12] The transmitter according to claim 9, wherein the specific packet length is 48 bytes.
[13] ネットワークを介して接続されている他の機器力も送信された受信パケットを受信す るパケット受信部(204)と、  [13] A packet receiving unit (204) for receiving received packets transmitted from other devices connected via the network;
前記パケット受信部でパケット伝送の所定の段階で受信された前記受信パケットが フラグメントされているパケットである力否かを解析するパケット解析部(205)と、 前記他の機器とのパケットの送受信を制御するとともに、前記他の機器が自機器と 同一のローカルネットワークに属している機器である力否かを判定する機器制御部( A packet analysis unit (205) that analyzes whether the received packet received at a predetermined stage of packet transmission is a fragmented packet in the packet reception unit; A device control unit that determines whether or not the other device is a device belonging to the same local network as the own device while controlling
202)とを備え、 202) and,
前記機器制御部は、パケット解析部により前記受信パケットがフラグメントされてい るパケットであると解析されたときに前記他の機器が自機器と同一のローカルネットヮ ークに属して 、な 、機器であると判定することを特徴とする、受信器。  The device control unit, when the packet analysis unit analyzes that the received packet is a fragmented packet, the other device belongs to the same local network as the own device. A receiver characterized by determining that there is.
[14] 前記パケット伝送の所定の段階はパケット伝送の認証段階であることを特徴とする、 請求の範囲第 13項に記載の受信器。 14. The receiver according to claim 13, wherein the predetermined phase of packet transmission is an authentication phase of packet transmission.
[15] 前記機器制御部は、前記他の機器が自機器と同一のローカルネットワークに属して いない機器であると判定した後は、前記他の機器とのパケットの送受信を停止する制 御をすることを特徴とする、請求の範囲第 13項に記載の受信器。 [15] After determining that the other device is not a device belonging to the same local network as the device itself, the device control unit controls to stop transmission and reception of packets with the other device. The receiver according to claim 13, characterized in that.
[16] 指示に応じて送信パケットを生成するパケット生成部(203)と、 [16] A packet generation unit (203) that generates a transmission packet according to an instruction;
前記パケット生成部で生成された前記送信パケットをネットワークを介して接続され ている他の機器に向けて送信するとともに、他の機器力 送信されてくる受信パケット を受信するパケット送受信部(204)と、  A packet transmission / reception unit (204) for transmitting the transmission packet generated by the packet generation unit to another device connected via a network, and receiving a reception packet transmitted from another device. ,
前記パケット送受信部でパケット伝送の所定の段階で受信された前記受信パケット 力 Sフラグメントされているパケットであるか否かを解析するパケット解析部(205)と、 前記他の機器とのパケットの送受信を制御するとともに、前記他の機器が自機器と 同一のローカルネットワークに属している機器である力否かを判定する機器制御部と を備え、 A packet analysis unit (205) for analyzing whether or not the received packet is a fragmented packet received at a predetermined stage of packet transmission by the packet transmission / reception unit; And a device control unit that controls transmission and reception of packets with the other device and determines whether the other device is a device belonging to the same local network as the own device.
前記機器制御部は、前記パケット解析部により前記受信パケットがフラグメントされ ているパケットであると解析されたときに前記他の機器が自機器と同一のローカルネ ットワークに属して ヽな ヽ機器であると判定することを特徴とする、受信器。  When the device control unit analyzes that the received packet is a fragmented packet by the packet analysis unit, the other device belongs to the same local network as the own device and is an unintended device. A receiver characterized in that it determines.
[17] 前記パケット伝送の所定の段階はパケット伝送の認証段階であることを特徴とする、 請求の範囲第 16項に記載の受信器。  [17] The receiver according to claim 16, wherein the predetermined stage of packet transmission is an authentication stage of packet transmission.
[18] 前記機器制御部は、前記他の機器が自機器と同一のローカルネットワークに属して いない機器であると判定した後は、前記パケット生成部に対して前記他の機器が自 機器と同一のローカルネットワークに属していない機器である旨通知するパケットの 生成を指示することを特徴とする、請求の範囲第 16項に記載の受信器。  [18] After the device control unit determines that the other device is not a device belonging to the same local network as the own device, the other device is the same as the own device with respect to the packet generation unit. The receiver according to claim 16, wherein generation of a packet notifying that the device is not a device belonging to the local network of is instructed.
[19] 指示に応じてフラグメントを禁止した送信パケットを生成するパケット生成部に前記 送信パケットの生成を指示するパケット生成指示ステップ (S502)と、  [19] A packet generation instructing step (S502) for instructing a packet generation unit for generating a transmission packet whose fragment is inhibited according to an instruction to generate the transmission packet.
ネットワークを介して接続されている他の機器に向けて送信した前記送信パケットに 対する応答パケットを受信しているか否かを判断する受信判断ステップ (S503)と、 前記受信判断ステップにお ヽて前記応答パケットを受信して ヽると判断されたとき に、前記応答パケットが前記送信パケットのパケット長が所定のパケット長より長 、こ とを示すパケットであるか否かを判断するパケット長判断ステップ(S505)と、 前記パケット長判断ステップにおいて前記応答パケットが前記送信パケットのバケツ ト長が所定のパケット長より長いことを示すパケットであると判断されたときに前記他の 機器が自機器と同一のローカルネットワークに属していない機器であると判定する機 器判定ステップ(S508)とを備えることを特徴とする、送信方法。  A reception determination step (S503) of determining whether a response packet to the transmission packet transmitted to another device connected via a network is received; and the reception determination step. A packet length determining step of determining whether the response packet is a packet indicating that the packet length of the transmission packet is longer than a predetermined packet length, when it is determined that a response packet is received; (S505) In the packet length determination step, when it is determined that the response packet is a packet indicating that the bucket length of the transmission packet is longer than a predetermined packet length, the other device is identical to the own device. And a device determination step (S508) for determining that the device does not belong to the local network.
[20] 前記パケット生成指示ステップは、前記パケット生成部にパケット送信の認証段階 においてフラグメントを禁止した前記送信パケットの生成を指示することを特徴とする 、請求の範囲第 19項に記載の送信方法。  [20] The transmission method according to claim 19, wherein the packet generation instructing step instructs the packet generation unit to generate the transmission packet in which a fragment is inhibited in an authentication step of packet transmission. .
[21] 前記パケット生成指示ステップは、前記機器判定ステップにお!ヽて前記他の機器 が自機器と同一のローカルネットワークに属していない機器であると判定された後は 、前記パケット生成部に前記送信パケットを生成する指示をすることを停止することを 特徴とする、請求の範囲第 19項に記載の送信方法。 [21] The packet generation instructing step is performed in the device determination step! After it is determined that the other device does not belong to the same local network as the own device, 20. The transmission method according to claim 19, further comprising the step of instructing the packet generation unit to generate the transmission packet.
[22] フラグメントを禁止した前記送信パケットのパケット長は 1500バイトであることを特徴 とする、請求の範囲第 19項に記載の送信方法。  22. The transmission method according to claim 19, wherein the packet length of the transmission packet in which a fragment is prohibited is 1500 bytes.
[23] 前記受信判断ステップにお 、て前記応答パケットを受信して 、ると判断されたとき に、前記応答パケットが、前記他の機器が前記送信パケットを正常に受信したときに 送信する自機器と同一のローカルネットワークに属していない機器であることを示す パケットであるか否かを判断するパケット判断ステップ(S505)をさらに備え、 前記機器判定ステップは、前記パケット判断ステップにお 、て前記応答パケットが、 前記他の機器が前記送信パケットを正常に受信したときに送信する自機器と同一の ローカルネットワークに属して 、な 、機器であることを示すパケットであると判断された ときに前記他の機器が自機器と同一のローカルネットワークに属していない機器であ ると判定することを特徴とする、請求の範囲第 19項に記載の送信方法。  [23] When it is determined that the response packet is received in the reception determination step, the response packet is transmitted when the other device normally receives the transmission packet. The apparatus further includes a packet determination step (S505) of determining whether the packet is a device indicating that the device does not belong to the same local network as the device, and the device determination step includes the packet determination step. When it is determined that the response packet is a packet indicating that the other device belongs to the same local network as the own device that transmits the packet when the other device normally receives the transmission packet. The apparatus according to claim 19, characterized in that it determines that the other device is not a device belonging to the same local network as the device itself. Transmission method.
[24] 前記パケット生成指示ステップは、前記パケット生成部にパケット送信の認証段階 においてフラグメントを禁止した前記送信パケットの生成を指示することを特徴とする 、請求の範囲第 23項に記載の送信方法。  [24] The transmission method according to claim 23, wherein the packet generation instructing step instructs the packet generation unit to generate the transmission packet in which a fragment is inhibited in an authentication step of packet transmission. .
[25] 前記パケット生成指示ステップは、前記機器判定ステップにお!ヽて前記他の機器 が自機器と同一のローカルネットワークに属していない機器であると判定された後は 、前記パケット生成部に前記送信パケットを生成する指示をすることを停止することを 特徴とする、請求の範囲第 23項に記載の送信方法。  [25] In the packet generation instructing step, after it is determined in the device determination step that the other device is not a device belonging to the same local network as the own device, the packet generation unit The transmission method according to claim 23, characterized by stopping giving an instruction to generate the transmission packet.
[26] フラグメントを禁止した前記送信パケットのパケット長は 1500バイトであることを特徴 とする、請求の範囲第 23項に記載の送信方法。  [26] The transmission method according to claim 23, characterized in that the packet length of the transmission packet in which the fragment is prohibited is 1500 bytes.
[27] 指示に応じて予め定められている長さずつパケット長を変化させた送信パケットを 生成するパケット生成部に前記送信パケットの生成を繰り返し指示するパケット生成 指示ステップ(S 1204)と、  [27] A packet generation instructing step (S 1204) repeatedly instructing generation of the transmission packet to a packet generation unit which generates a transmission packet in which the packet length is changed by a predetermined length according to an instruction.
ネットワークを介して接続されている他の機器に向けて送信した前記送信パケットに 対する応答パケットを受信しているか否かを判断する受信判断ステップ (S1205)と、 前記受信判断ステップにお ヽて前記応答パケットを受信して ヽると判断されたとき に、前記送信パケットが前記他の機器に向けて送信されて力 前記送信パケットに対 する前記応答パケットが受信されるまでの応答時間を測定する応答時間測定ステツ プ(S1105〜S1110)と、 A reception determination step (S1205) of determining whether a response packet to the transmission packet transmitted to another device connected via a network is received; and the reception determination step. When it is determined that you receive a response packet A response time measurement step (S1105 to S1110) for measuring a response time until the transmission packet is transmitted to the other device and the response packet to the transmission packet is received;
前記応答時間測定ステップにおいて測定された前記応答時間が特定のパケット長 ごとに階段状に変化するときに前記他の機器が自機器と同一のローカルネットワーク に属して!/ヽな ヽ機器であると判定する機器判定ステップ (S 1307)とを備えることを特 徴とする、送信方法。  Assuming that the other device belongs to the same local network as the own device when the response time measured in the response time measurement step changes stepwise for each specific packet length. And a device determination step (S1307) for determining.
[28] 前記パケット生成指示ステップは、前記パケット生成部にパケット送信の認証段階 において予め定められている長さずつパケット長を変化させた前記送信パケットの生 成を指示することを特徴とする、請求の範囲第 27項に記載の送信方法。  [28] The packet generation instructing step instructs the packet generation unit to generate the transmission packet in which the packet length is changed by a predetermined length in the authentication step of packet transmission. The transmission method according to claim 27.
[29] 前記パケット生成指示ステップは、前記機器判定ステップにお!ヽて前記他の機器 が自機器と同一のローカルネットワークに属していない機器であると判定された後は 、前記パケット生成部に前記送信パケットを生成する指示をすることを停止することを 特徴とする、請求の範囲第 27項に記載の送信方法。  [29] The packet generation instructing step is performed in the device determination step! After it is determined that the other device is not a device belonging to the same local network as the own device, the generation of the transmission packet is not instructed to the packet generation unit. The transmission method according to claim 27, wherein
[30] 前記特定のパケット長は 48バイトであることを特徴とする、請求の範囲第 27項に記 載の送信方法。  [30] The transmission method according to Claim 27, wherein the specific packet length is 48 bytes.
[31] ネットワークを介して接続されている他の機器力も送信された受信パケットを受信し て!、る力否かを判断する受信判断ステップ (S702)と、  [31] A reception judgment step (S702) of judging whether the other device connected via the network also receives the received packet that has been sent!
前記受信判断ステップにおいてパケット伝送の所定の段階で前記受信パケットが 受信されたと判断されたときに、前記受信パケットがフラグメントされているパケットで ある力否かを判断するフラグメント判断ステップ (S704)と、  A fragment determination step (S704) of determining whether the received packet is a fragmented packet when it is determined that the received packet is received at a predetermined stage of packet transmission in the reception determination step;
前記フラグメント判断ステップにお 、て前記受信パケットがフラグメントされて 、るパ ケットであると判断されたときに前記他の機器が自機器と同一のローカルネットワーク に属して!/ヽな ヽ機器であると判定する機器判定ステップ (S707)とを備えることを特 徴とする、伝送方法。  In the fragment determination step, when the received packet is fragmented and it is determined that the received packet is a packet, the other device belongs to the same local network as the own device and is an /! And a device determination step (S707).
[32] 前記パケット伝送の所定の段階はパケット伝送の認証段階であることを特徴とする、 請求の範囲第 31項に記載の伝送方法。  32. The transmission method according to claim 31, wherein the predetermined phase of packet transmission is an authentication phase of packet transmission.
[33] 指示に応じて送信パケットを生成するパケット生成部に前記送信パケットの生成を 指示するパケット生成指示ステップ (S701)と、 [33] The generation of the transmission packet is performed by the packet generation unit which generates the transmission packet according to the instruction Instructed packet generation instruction step (S701)
ネットワークを介して接続されている他の機器力も送信された受信パケットを受信し て!、る力否かを判断する受信判断ステップ (S702)と、  Receiving determination step (S702) of determining whether the other device connected via the network also receives the received packet transmitted,
前記受信判断ステップにおいてパケット伝送の所定の段階で前記受信パケットが 受信されたと判断されたときに、前記受信パケットがフラグメントされているパケットで ある力否かを判断するフラグメント判断ステップ (S704)と、  A fragment determination step (S704) of determining whether the received packet is a fragmented packet when it is determined that the received packet is received at a predetermined stage of packet transmission in the reception determination step;
前記フラグメント判断ステップにお 、て前記受信パケットがフラグメントされて 、るパ ケットであると判断されたときに前記他の機器が自機器と同一のローカルネットワーク に属して!/ヽな ヽ機器であると判定する機器判定ステップ (S707)とを備えることを特 徴とする、伝送方法。  In the fragment determination step, when the received packet is fragmented and it is determined that the received packet is a packet, the other device belongs to the same local network as the own device and is an /! And a device determination step (S707).
[34] 前記パケット伝送の所定の段階はパケット伝送の認証段階であることを特徴とする、 請求の範囲第 33項に記載の伝送方法。  [34] The transmission method according to claim 33, wherein the predetermined stage of the packet transmission is an authentication stage of the packet transmission.
[35] 前記パケット生成指示ステップは、前記機器判定ステップにお!ヽて前記他の機器 が自機器と同一のローカルネットワークに属していない機器であると判定された場合 には、前記他の機器が自機器と同一のローカルネットワークに属していない機器であ る旨通知するパケットの生成を指示することを特徴とする、請求の範囲第 33項に記 載の伝送方法。  [35] The packet generation instructing step is performed in the device determination step! If it is determined that the other device does not belong to the same local network as the own device, it is indicated that the other device is a device not belonging to the same local network as the own device. 34. A transmission method according to claim 33, which instructs generation of a packet to be notified.
PCT/JP2005/016311 2004-09-16 2005-09-06 Transmitter, receiver, transmission method and transfer method WO2006030667A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004270276A JP3796507B2 (en) 2004-09-16 2004-09-16 Transmitter, receiver, transmission method and transmission method
JP2004-270276 2004-09-16

Publications (1)

Publication Number Publication Date
WO2006030667A1 true WO2006030667A1 (en) 2006-03-23

Family

ID=36059922

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2005/016311 WO2006030667A1 (en) 2004-09-16 2005-09-06 Transmitter, receiver, transmission method and transfer method

Country Status (2)

Country Link
JP (1) JP3796507B2 (en)
WO (1) WO2006030667A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6635713B2 (en) * 2015-08-21 2020-01-29 キヤノン株式会社 Communication device, control method thereof, and program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004030290A1 (en) * 2002-09-27 2004-04-08 Matsushita Electric Industrial Co., Ltd. Content distribution system
JP2004336618A (en) * 2003-05-12 2004-11-25 Sony Corp System and method for inter-apparatus authentication, communication equipment, and computer program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004030290A1 (en) * 2002-09-27 2004-04-08 Matsushita Electric Industrial Co., Ltd. Content distribution system
JP2004336618A (en) * 2003-05-12 2004-11-25 Sony Corp System and method for inter-apparatus authentication, communication equipment, and computer program

Also Published As

Publication number Publication date
JP3796507B2 (en) 2006-07-12
JP2006086878A (en) 2006-03-30

Similar Documents

Publication Publication Date Title
JP3343064B2 (en) Pseudo network adapter for capturing, encapsulating and encrypting frames
EP2290895B1 (en) Method, system and device for negotiating security association (sa) in ipv6 network
Simon et al. The EAP-TLS authentication protocol
KR100651715B1 (en) Method for generating and accepting address automatically in IPv6-based Internet and data structure thereof
US7965843B1 (en) Methods and apparatus for security over fibre channel
Karn et al. Advice for internet subnetwork designers
WO2010012171A1 (en) Data packet processing method and apparatus thereof
CN108650227A (en) Handshake method based on datagram secure transfer protocol and system
EP2329621B1 (en) Key distribution to a set of routers
WO2005015827A1 (en) Communication system, communication device, communication method, and communication program for realizing the same
WO2016070538A1 (en) Secure shell (ssh2) protocol data collection method and device
Rajagopal et al. Fibre channel over tcp/ip (fcip)
WO2006136090A1 (en) A method for preventing the replay attack and a method for ensuring the non-repetition of the message sequence number
Aboba et al. Securing block storage protocols over ip
EP2135426B1 (en) Prefix reachability detection in a communication
Seggelmann et al. SSH over SCTP—Optimizing a multi-channel protocol by adapting it to SCTP
CN113904809B (en) Communication method, device, electronic equipment and storage medium
WO2007000100A1 (en) A method for identifying playback management message
EP3787254A1 (en) Methods and apparatus for end-to-end secure communications
Bernardo et al. A conceptual approach against next generation security threats: Securing a high speed network protocol-UDT
Tschofenig et al. RSVP security properties
WO2006030667A1 (en) Transmitter, receiver, transmission method and transfer method
Eggert et al. RFC 8085: UDP Usage Guidelines
CN110351308B (en) Virtual private network communication method and virtual private network device
Stergiou et al. An alternative architectural framework to the OSI security model

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS KE KG KM KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase