CN101133592B - 密钥播发控制装置、无线基站装置以及通信*** - Google Patents

密钥播发控制装置、无线基站装置以及通信*** Download PDF

Info

Publication number
CN101133592B
CN101133592B CN2006800070737A CN200680007073A CN101133592B CN 101133592 B CN101133592 B CN 101133592B CN 2006800070737 A CN2006800070737 A CN 2006800070737A CN 200680007073 A CN200680007073 A CN 200680007073A CN 101133592 B CN101133592 B CN 101133592B
Authority
CN
China
Prior art keywords
key
frame
message
information
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006800070737A
Other languages
English (en)
Other versions
CN101133592A (zh
Inventor
西田薰
饭野聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Publication of CN101133592A publication Critical patent/CN101133592A/zh
Application granted granted Critical
Publication of CN101133592B publication Critical patent/CN101133592B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

公开了提高安全的通信***、密钥播发控制装置以及无线基站装置。通信***(10)包括作为密钥播发控制装置的AP控制装置(100)、无线LAN基站装置(200)和通信终端装置(300),其中,AP控制装置(100)进行通信终端装置(300)的认证,无线LAN基站装置(200)进行与通信终端装置(300)的通信中的加密解密处理,在该通信***(10)中适用由相同器件进行认证以及加密解密处理为前提而规定的802.11i标准或者WPA标准。由此,能够实现提高安全的无线通信***,该无线通信***所具有的作为密钥播发控制装置的AP控制装置(100)以及无线LAN基站装置(200)也能够提高安全性。

Description

密钥播发控制装置、无线基站装置以及通信***
技术领域
本发明涉及密钥播发控制装置、无线基站装置以及具有该密钥播发控制装置和无线基站装置的通信***。
背景技术
近年来,随着无线LAN(IEEE802.11标准)的不断普及,在公众网络和企业网络中构筑了大规模的无线LAN网络。
在无线LAN中,规定着以强化安全为目标的IEEE802.11i(非专利文献1)。虽然根据802.1X而进行的认证以及周期性的密钥更新作为解决无线LAN的薄弱性的短期性的办法是有效的,但仍留下WEP自身的薄弱性依然存在的课题。因此,需要一种采用了更加牢固的加密的新的标准,作为其结果制定了IEEE802.11i标准。
802.1X中仅规定了用于封装(encapsulate)密钥的EAPoL-Key的形式。而且,该EAPoL-Key的播发实际上通过单方向/通知型来进行。相对于此,在802.11i中,通过四次握手(4Way Handshake)步骤以及组密钥握手(GroupKey Handshake)步骤,规定着双方向/确认应答型的密钥播发步骤。根据该步骤,能够确实地进行主密钥的同步确认和暂时密钥的更新。
另一方面,在无线LAN中,正在研究从单独地设定并设置接入点(AP)例如无线LAN基站装置的方法,过渡到通过与多个无线LAN基站装置连接的AP控制装置,也就是由该AP控制装置总括进行无线LAN基站装置的自动设定、故障管理、统计信息的收集等的方法。由作为国际标准化团体的IETF(Internet Engineering Task Force,因特网工程任务组)或IEEE802.11工作组等进行该研究,并推进标准化的筹划规定。
而且,在IETF的CAPWAP工作组中,作为管理AP的协议之一,提出了LWAPP(light weight access protocol,轻载接入协议)(参照非专利文献2)。在该LWAPP中,AP控制装置(英语名称:Access Controller)对无线LAN基站装置进行设定信息的自动设定、故障管理、统计信息收集、密码钥信息 的设定等。
[非专利文献1]:IETF 802.11i Standard
[非专利文献2]:IETF草案draft-ohara-capwap-1wapp-00.txt“LightWeight Access Point Protocol”
发明内容
发明所要解决的课题
但是在LWAPP中,虽然给予了在AP控制装置进行认证并生成密码钥,在无线LAN基站装置进行加密解密处理的框架的启示。但是,在无线LAN基站装置进行加密解密处理的情况下,尽管有必要从AP控制装置向无线LAN基站装置发送生成出的密码钥,然而在LWAPP中,仅表示了从AP控制装置对无线LAN基站装置通过密钥设定请求消息来设定密码钥的框架,却没有有关具体步骤的启示。当然没有很好地适用作为采用了牢固的密码的新标准的IEEE802.11i标准的方式等的启示。因此,在LWAPP想定的通信***中未实现强化安全的方式。
本发明的目的在于提供提高无线通信***中的安全的密钥播发控制装置、无线基站装置以及通信***。
用于解决课题的手段
本发明的密钥播发控制装置,是播发用于通信终端装置和无线基站装置之间的通信的密码钥信息的密钥播发控制装置,采取的结构包括:控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手(4-Way Handshake)步骤或者组密钥握手(Group Key Handshake)步骤中的消息同步地传送该密码钥信息;以及发送单元,发送来自所述控制单元的信息,其中,所述控制单元与所述消息同步地传送组临时密钥使用信息和所述密码钥信息,所述组临时密钥使用信息是表示有关作为所述密码钥信息的组临时密钥发送原有的组临时密钥还是发送新生成的组临时密钥的信息。
本发明的另一种密钥播发控制装置,是播发用于通信终端装置和无线基站装置之间的通信的密码钥信息的密钥播发控制装置,包括:控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手步骤或者组密钥握手步骤中的消息同步地传送该密码钥信息;以及发送单元,发送来自所述控制单元的信息,其中,所述控制装置在所述四次握手步骤或者 所述组密钥握手步骤结束时传送控制信息,所述控制信息成为将发送到所述无线基站装置的密码钥信息适用于与所述通信终端装置的通信的触发。
本发明的无线基站装置,是从上述密钥播发控制装置接收上述密码钥信息的无线基站装置,采取的结构包括:暂时保持单元,暂时保持上述接收的密码钥信息;以及控制单元,将上述四次握手步骤或者组密钥握手步骤中的其它的消息作为触发,使上述暂时保持的密码钥信息适用于与上述通信终端装置的通信。
本发明的另一种无线基站装置,包括接收单元,接收密码钥信息、组临时密钥使用信息和EAPoL-Key帧;以及控制单元,控制对通信终端装置转发所述EAPoL-Key帧,其中,当所述接收的组临时密钥使用信息表示为原有的组临时密钥时,所述控制单元使对将帧发送到其它的通信终端装置的次数进行计数的组临时密钥计数值包含在所述EAPoL-Key帧中,所述帧通过作为所述密码钥信息的原有的组临时密钥被加密,当所述接收的组临时密钥使用信息表示为新的组临时密钥时,所述控制单元使所述组临时密钥计数值为零,并包含在所述EAPoL-Key帧中,所述控制单元进一步基于包含所述组临时密钥计数值的EAPoL-Key帧和作为密码钥信息的成双临时密钥来计算钥消息完整性代码值,并发送包含了该钥消息完整性代码的所述EAPoL-Key帧。
本发明的另一种无线基站装置,包括:接收单元,接收密码钥信息、组临时密钥使用信息和EAPoL-Key帧;以及控制单元,控制对通信终端装置转发所述EAPoL-Key帧,其中,当所述接收的组临时密钥使用信息表示为原有的组临时密钥时,所述控制单元使对将帧发送到其它的通信终端装置的次数进行计数的组临时密钥计数值包含在所述EAPoL-Key帧中,所述帧通过作为所述密码钥信息的原有的组临时密钥被加密,并基于包含该组临时密钥计数值的EAPoL-Key帧和作为所述密码钥信息的成双临时密钥来计算钥消息完整性代码值,并发送进一步包含了该钥消息完整性代码的所述EAPoL-Key帧,当所述接收的组临时密钥使用信息表示为新的组临时密钥时,所述控制单元直接转发所述EAPoL-Key帧。
本发明的一种通信***,是包括通信终端装置、无线基站装置、以及播发用于所述通信终端装置和所述无线基站装置之间的通信的密码钥信息的密钥播发控制装置的通信***,其中,所述密钥播发控制装置具有:控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手步 骤或者组密钥握手步骤中的消息同步地传送该密码钥信息;以及发送单元,发送来自所述控制单元的信息,所述无线基站装置具有:暂时保持单元,暂时保持从所述密钥播发控制装置发送的密码钥信息;以及控制单元,将所述四次握手步骤或者组密钥握手步骤中的其它的消息作为触发,使所述暂时保持的密码钥信息适用于与所述通信终端装置的通信。
本发明的另一种通信***,是包括通信终端装置、无线基站装置、以及播发用于所述通信终端装置和所述无线基站装置之间的通信的密码钥信息的密钥播发控制装置的通信***,其中,所述密钥播发控制装置具有:控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手步骤或者组密钥握手步骤中的消息同步地传送该密码钥信息,而且在所述四次握手步骤或者所述组密钥握手步骤结束时传送控制信息,所述控制信息成为将发送到所述无线基站装置的密码钥信息适用于与所述通信终端装置的通信的触发;以及发送单元,发送来自所述控制单元的信息,所述无线基站装置具有:暂时保持单元,暂时保持从所述密钥播发控制装置发送的密码钥信息;以及控制单元,基于从所述密钥播发控制装置发送的所述控制信息,使所述暂时保持的密码钥信息适用于与所述通信终端装置的通信。
本发明的另一种密钥播发控制装置,是播发用于通信终端装置和无线基站装置之间的通信的密码钥信息的密钥播发控制装置,包括:控制单元,生成所述密码钥信息并将该密码钥信息发送到所述无线基站装置;以及接收单元,接收在发送帧时计数的组临时密钥计数值,所述帧通过已发送的作为所述密码钥信息的组临时密钥被加密,所述控制单元将基于作为所述密码钥信息的成双临时密钥和所述组临时密钥计数值而计算出的钥消息完整性代码以及所述组临时密钥计数值包含在消息3的EAPoL-Key帧中并发送,所述消息3是以四次握手步骤依次传送的从第1到第4的消息中的第3消息。
本发明的另一种无线基站装置,接收从密钥播发控制装置播发的密码钥信息,并利用该密码钥信息与通信终端装置进行加密通信,包括:接收单元,接收来自所述通信终端装置的802.11i标准或者WPA标准的四次握手步骤中的消息2和消息4,所述消息2和消息4是以四次握手步骤依次传送的从第1到第4的消息中的第2消息和第4消息;以及发送控制单元,当接收了所述消息2或者所述消息4时,将在发送帧时计数的组临时密钥计数值发送到所述密钥播发控制装置,所述帧通过作为所述密码钥信息的组临时密钥被加密。
本发明的一种通信***,是包括通信终端装置、无线基站装置、以及播发用于所述通信终端装置和所述无线基站装置之间的通信的密码钥信息的密钥播发控制装置的通信***,其中,所述密钥播发控制装置具有:接收单元,连同在发送帧时计数的组临时密钥计数值,接收802.11i标准或者WPA标准的四次握手步骤中的消息2,所述帧是通过已发送的作为所述密码钥信息的组临时密钥加密的帧,所述消息2是以四次握手步骤依次传送的从第1到第4的消息中的第2消息,以及控制单元,生成所述密码钥信息并将该密码钥信息发送到所述无线基站装置,而且将基于作为所述密码钥信息的成双临时密钥和所述组临时密钥计数值而计算出的钥消息完整性代码以及所述组临时密钥计数值包含在消息3的EAPoL-Key帧并发送,所述消息3是所述从第1到第4的消息中的第3消息,所述无线基站装置具有:接收单元,接收来自所述通信终端装置的所述四次握手步骤中的消息2以及消息4,所述消息2和消息4是所述从第1到第4的消息中的第2消息和第4消息;以及发送控制单元,当接收了所述消息2或者所述消息4时,将所述组临时密钥计数值发送到所述密钥播发控制装置。
发明的效果
根据本发明,能够提供提高无线通信***中的安全的密钥播发控制装置、 无线基站装置以及通信***。
附图说明
图1是本发明的实施方式1的通信***的整体结构图;
图2是表示图1的AP控制装置的结构的方框图;
图3是表示图1的无线LAN基站装置的结构的方框图;
图4是用来说明图1的通信***的动作的图;
图5是用来说明图1的通信***的动作的其它的图;
图6是表示实施方式2的AP控制装置的结构的方框图;
图7是表示实施方式2的无线LAN基站装置的结构的方框图;
图8是用来说明具有图6的AP控制装置以及图7的无线LAN基站装置的通信***的动作的图;
图9是用来说明具有图6的AP控制装置以及图7的无线LAN基站装置的通信***的动作的其它的图;
图10是表示实施方式3的AP控制装置的结构的方框图;
图11是表示实施方式3的无线LAN基站装置的结构的方框图;
图12是用来说明具有图10的AP控制装置以及图11的无线LAN基站装置的通信***的动作的图;
图13是用来说明具有图10的AP控制装置以及图11的无线LAN基站装置的通信***的动作的其它的图;
图14是表示实施方式4的AP控制装置的结构的方框图;
图15是表示实施方式4的通信***的动作的方框图;
图16是表示实施方式5的无线LAN基站装置的结构的方框图;以及
图17是用来说明实施方式5的通信***的动作的图。
具体实施方式
以下,参照附图详细地说明本发明的实施方式。另外,在实施方式中,对同一构成要素赋予同一标号,由于其说明重复,因此省略。
(实施方式1)
如图1所述的实施方式1的通信***10包括:通信终端装置300;通信终端装置300接入的无线LAN基站装置200;作为播发用于通信终端装置300 和无线基站装置200之间的通信的密码钥信息的密钥播发控制装置的AP控制装置100;以及网络***400。而且,AP控制装置100连接着核心(core)网络***20。
无线LAN基站装置200和通信终端装置300无线之间通过无线LAN来连接,通过802.11帧进行信号的交换。而且,无线LAN基站装置200和AP控制装置100比如通过以太网(注册商标)等的网络***400连接。
而且,在通信***10中,适用基于IEEE802.11i标准的安全功能。而且,AP控制装置100具有对通信终端装置300进行认证的功能,而且,无线LAN基站装置200具有在与通信终端装置300之间交换的802.11帧的加密解密功能。
如图2所述的AP控制装置100包括:终端端发送接收单元110、认证处理单元120、密码钥封装单元130以及密钥管理表格140。
终端端发送接收单元110进行与无线LAN基站装置200之间交换的帧的发送接收。
认证处理单元120进行通信终端装置300的认证处理,和进行用于无线LAN基站装置200和AP控制装置100之间的通信的密码钥的生成等。
密钥管理表格140是管理每个通信终端装置300的密码钥的表格。
当将在认证处理单元120生成的密码钥设定给无线LAN基站装置200时,密码钥封装单元130封装该密码钥。该封装过的密码钥通过终端端发送接收单元110被发送到无线LAN基站装置200。
如图3所述的无线LAN基站装置200包括:网端发送接收单元210、帧处理单元220、密钥设定单元230、MIC计算单元240、密钥管理表格250、以及终端端发送接收单元260。
网端发送接收单元210进行与AP控制装置100之间交换的帧的发送接收。
帧处理单元220进行分配输入的帧的输出目的地的处理,并进行加密/解密处理以及帧变换处理。
密钥设定单元230进行密钥的设定以及对密钥管理表格250进行密钥的反映。
MIC计算单元240进行包含在EAPoL-Key帧中的Key MIC的计算。密钥管理表格250是管理每个通信终端装置300的密码钥的表格。
终端端发送接收单元260进行在与通信终端装置300之间交换的帧的发送接收。
接下来说明具有上述结构的通信***10的动作。
图4表示通信***10中的、规定于IEEE802.11i的四次握手(4way handshake)步骤的动作。另外,在四次握手(4way hand shake)步骤中,在AP控制装置100和通信终端装置300之间通过无线LAN基站装置200交换消息1到消息4。该消息1到消息4中使用EAPoL-Key帧。
AP控制装置100和通信终端装置300通过与802.1X相同的认证步骤共有PMK(Pairwise Master Key,成对主密钥)。
然后,在步骤ST1001中,AP控制装置100生成ANonce(AuthenticatorNonce)。该ANonce是由AP控制装置1 00发生的随机数。另一方面,在步骤ST1002中,通信终端装置300生成SNonce(Supplicant Nonce)。该SNonce是由通信终端装置300发生的随机数。
当在AP控制装置100生成ANonce,认证处理单元120通过终端端发送接收单元110将包含该ANonce的EAPoL-Key帧(消息1)发送到无线LAN基站装置200(步骤ST1003)。另外,在本实施方式中,因为在AP控制装置100和无线LAN基站装置200之间通过以太网(注册商标)来连接,所以EAPoL-Key帧被赋予以太报头(Ether header),但是本发明并不只限于此,无论是有线无线,只要利用某些通信方式连接即可。因此,如果通信方式改变,则会赋予用于该通信方式的报头而代替以太报头。
在无线LAN基站装置200中,网端发送接收单元210接收从AP控制装置100发送的上述EAPoL-Key帧(消息1),并将该接收帧输出到帧处理单元220。然后,当输入EAPoL-Key帧(消息1),帧处理单元220去除以太报头,通过终端端发送接收单元260将EAPoL-Key帧(消息1)本身发送到通信终端装置300(步骤ST1004)。
在通信终端装置300中,进行包含在EAPoL-Key帧(消息1)的ANonce的接收处理(步骤ST1005)。
然后在步骤ST1006中,通信终端装置300基于PMK、ANonce以及SNonce来生成PTK(Pairwise Transient Key,成双临时密钥)。而且,通信终端装置300利用包含在生成出的PTK中的EAPoL-Key KCK来计算Key MIC。然后,通信终端装置300将上述计算出的Key MIC赋予给包含SNonce的 EAPoL-Key帧(消息2),并发送到无线LAN基站装置200(步骤ST1007)。
在无线LAN基站装置200中,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息2),并将该接收帧输出到帧处理单元220。然后,当帧处理单元220接收EAPoL-Key帧(消息2),将规定的报头(这里是以太报头)赋予给该接收帧,并且通过网端发送接收单元210将赋予了该报头的帧发送到该AP控制装置100(步骤ST1008)。
在AP控制装置100中,进行包含在EAPoL-Key帧(消息2)的SNonce的接收处理(步骤ST1009)。
然后在步骤ST1010中,AP控制装置100基于PMK、ANonce以及SNonce来生成PTK(Pairwise Transient Key,成双临时密钥)。这里,AP控制装置100与通信终端装置300利用相同的伪(pseudo)随机函数,来共有利用PMK、ANonce以及SNonce而生成出的PTK。另外,PTK是在单播(unicast)通信中实际使用的临时密钥。
在步骤ST1011中,AP控制装置100通过规定的方法来生成GTK(GroupTemporal Key,组临时密钥)。另外,GTK是有关广播(broadcast)/组播(multicast)通信的临时密钥。
而且,在AP控制装置100中,认证处理单元120将EAPoL-Key帧(消息3)、生成出的PTK以及GTK和原有GTK使用信息发送到密码钥封装单元130。
这里,原有GTK使用信息是指关于播发到图4所示的通信终端装置300的GTK,表示利用已经发送到其它的通信终端装置300的GTK,还是利用新生成的GTK的信息。然后,比如在利用已经发送到其它的通信终端装置300的GTK的情况下,认证处理单元120使表示原有GTK使用信息的标记为1;在利用新生成的GTK的情况下,认证处理单元120使表示原有GTK使用信息的标记为0。另外,当原有GTK使用信息为0的情况下,认证处理单元120将使Key RSC为0的EAPoL-Key帧(消息3)和PTK输出到AP控制装置100具有的MIC计算单元(未示出),而且在此计算Key MIC,并用计算出的Key MIC盖写(overwrite)EAPoL-Key帧(消息3)的Key MIC的区域。而且,当原有GTK使用信息为1的情况下,认证处理单元120使Key MIC的区域为0。
密码钥封装单元130基于从认证处理单元120接收的各种信息来生成密 钥设定请求帧。该密钥设定请求帧由密钥信息要素(element)和EAP要素构成。而且,在密钥信息要素中包含终端MAC地址、PTK、GTK以及原有GTK使用信息。而且,在EAP要素中包含EAPoL-Key帧(消息3)本身。通过这样的处理,在发送801.11i步骤中的EAPoL-Key帧(消息3)时,能够在与其相同的帧(密钥设定请求帧)中包含PTK以及GTK。由此,接收该密钥设定请求帧的无线LAN基站装置200能够获取今后与通信终端装置300之间的通信的加密解密处理所需的PTK以及GTK。而且,并不是将EAPoL-Key帧(消息3)、PTK以及GTK分别传送,而是将它们包含在同一个帧(密钥设定请求帧)中发送。由此,能够使在无线LAN基站装置200和通信终端装置300之间发送的帧的数目减少,从而减少***中的业务量。
然后,在密码钥封装单元130生成的密钥设定请求帧被赋予规定的报头(这里是以太报头)并发送到无线LAN基站装置200(步骤ST1012)。
在无线LAN基站装置200中,网端发送接收单元210接收从AP控制装置100发送的上述密钥设定请求帧,并将该接收帧输出到帧处理单元220。然后,当接收密钥设定请求帧,原有GTK使用信息为1时,帧处理单元220将该密钥设定请求帧中包含的PTK以及EAPoL-Key帧(消息3)输出到MIC计算单元240。
MIC计算单元240形成包含在EAPoL-Key帧(消息3)的Key RSC被盖写的EAPoL-Key帧(消息3),所述Key RSC通过关于包含在相同密钥设定请求帧中被发送来的GTK的、由无线LAN基站装置200当前所保持着的GTK计数值盖写。而且,MIC计算单元240基于包含上述Key RSC的EAPoL-Key帧(消息3)和来自帧处理单元220的PTK(实际上是包含在该PTK中的EAPoL-Key KCK)而生成Key MIC。另外,GTK计数值是在无线LAN基站装置传送通过GTK加密的帧时相加(count up)的顺序计数值(sequence counter value)。
在步骤ST1013中,帧处理单元220从MIC计算单元240接收EAPoL-Key帧(消息3)以及Key MIC。然后,通过终端端发送接收单元260将在该EAPoL-Key帧(消息3)上盖写了该Key MIC的EAPoL-Key帧(消息3)发送到通信终端装置300。另外,在接收密钥设定请求帧时原有GTK使用信息为0时,帧处理单元220通过终端端发送接收单元260将在密钥设定请求帧中包含的EAPoL-Key帧(消息3)直接发送到通信终端装置300。
而且,帧处理单元220将包含在密钥设定请求帧中发送来的PTK以及GTK输出到密钥设定单元230,密钥设定单元230将PTK以及GTK安装(存储)在密钥管理表格250(步骤ST1014)。
在通信终端装置300中,接收从无线LAN基站装置200发送的EAPoL-Key帧(消息3),并进行GTK的接收处理(步骤ST1015)。然后,通信终端装置300将EAPoL-Key帧(消息4)发送到无线LAN基站装置200(步骤ST1016)。
无线LAN基站装置200在接收来自通信终端装置300的EAPoL-Key帧(消息4)时,进行在步骤ST1014中所设置的PTK以及GTK的初始化处理(步骤ST1017)。具体而言,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息4),并输出到帧处理单元220。然后,当输入EAPoL-Key帧(消息4),帧处理单元220将初始化请求输出到密钥设定单元230。然后,密钥设定单元230进行与来自帧处理单元220的初始化请求对应的PTK以及GTK的初始化处理。由此,在通信终端装置300与无线LAN基站装置200之间,用于实际的加密解密处理的PTK以及GTK成为可利用的状态。也就是说,加密通信在通信终端装置300与无线LAN基站装置200之间成为可能。
而且,在无线LAN基站装置200中,当接收EAPoL-Key帧(消息4),帧处理单元220赋予规定的报头(这里是以太报头)并通过网端发送接收单元210发送到AP控制装置100(步骤ST1018)。
图5表示通信***10中的、规定于IEEE802.11i的组密钥握手(GroupKeyhand shake)步骤的动作。另外,在组密钥握手(GroupKey hand shake)步骤中,在AP控制装置100与通信终端装置300之间,通过无线LAN基站装置200交换消息1以及消息2。在该消息1以及消息2中,包含EAPoL-Key帧。而且,规定于IEEE802.11i的组密钥握手(GroupKey hand shake)步骤为在通过四次握手(4way hand shake)步骤播发PTK以及GTK后,按照一定的周期进行用于密钥更新的步骤。另外,在从通信终端装置300对AP控制装置100进行密钥更新请求时,以及切断通信终端装置300的通信时也进行该步骤。
AP控制装置100和通信终端装置300通过规定于IEEE802.11i的四次握手(4way hand shake)步骤共有PTK以及GTK。这里假设根据如上述的主要 原因产生了GTK的更新的必要性。
在步骤ST2001中,AP控制装置100准备更新的GTK。然后,在AP控制装置100中,认证处理单元120将组密钥握手(GroupKey hand shake)步骤中的EAPoL-Key帧(消息1)、PTK、所准备的GTK(更新后的GTK)、以及原有GTK使用信息传送到密码钥封装单元130。然后,比如在利用已经发送到其它的通信终端装置300的GTK的情况下,认证处理单元120使表示原有GTK使用信息的标记为1;在利用新生成的GTK的情况下,认证处理单元120使表示原有GTK使用信息的标记为0。
另外,当原有GTK使用信息为0的情况下,认证处理单元120将使KeyRSC为0的EAPoL-Key帧(消息3)和PTK输出到AP控制装置100具有的MIC计算单元(未示出)。在MIC计算单元(未示出)利用认证处理单元120的输出信号来计算Key MIC。然后,认证处理单元120通过计算出的Key MIC盖写EAPoL-Key帧(消息3)的Key MIC的区域。而且,当原有GTK使用信息为1的情况下,认证处理单元120使Key MIC的区域为0。。
密码钥封装单元130基于从认证处理单元120接收的各种信息来生成密钥设定请求帧。该密钥设定请求帧由密钥信息要素和EAP要素构成。而且,在密钥信息要素中包含终端MAC地址、PTK、GTK(更新后的GTK)、以及原有GTK使用信息。而且,在EPA要素中包含EAPoL-Key(消息1)本身。通过这样的处理,在发送801.11i中的组密钥握手(GroupKey hand shake)步骤中的EAPoL-Key帧(消息1)时,通过使与其相同的帧(密钥设定请求帧)包含GTK,接收该密钥设定请求帧的无线LAN基站装置200能够获取今后与通信终端装置300之间的通信的加密解密处理所需的GTK(更新后的GTK)。而且,并不是将组密钥握手(GroupKey hand shake)步骤中的EAPoL-Key帧(消息1)、PTK以及GTK分别传送,而是将它们包含在同一个帧(密钥设定请求帧)中发送,由此能够使在无线LAN基站装置200和通信终端装置300之间发送的帧的数目减少,从而减少***中的业务量。
然后,在密码钥封装单元130生成的密钥设定请求帧被赋予规定的报头(这里是以太报头)并发送到无线LAN基站装置200(步骤ST2002)。
在无线LAN基站装置200中,网端发送接收单元210接收从AP控制装置100发送的上述密钥设定请求帧,并将该接收帧输出到帧处理单元220。然后,当接收密钥设定请求帧,原有GTK使用信息为1时,帧处理单元220 将该密钥设定请求帧中包含的PTK以及组密钥握手(GroupKey hand shake)步骤中的EAPoL-Key帧(消息1)输出到MIC计算单元240。
MIC计算单元240形成包含在EAPoL-Key帧(消息1)的Key RSC被盖写的EAPoL-Key帧(消息1),所述Key RSC通过关于包含在相同密钥设定请求帧中被发送来的GTK、由无线LAN基站装置200当前保持着的GTK计数值盖写的。而且,MIC计算单元240基于包含上述Key RSC的组密钥握手(GroupKey hand shake)步骤中的EAPoL-Key帧(消息1)和来自帧处理单元220的PTK(实际上是包含在该PTK中的EAPoL-Key KCK)而生成KeyMIC。
在步骤ST2003中,帧处理单元220从MIC计算单元240接收EAPoL-Key帧(消息1)以及Key MIC。然后,帧处理单元220通过终端端发送接收单元260,将在该EAPoL-Key帧(消息1)上盖写了该Key MIC的EAPoL-Key帧(消息1)以及包含在密钥设定请求帧中发送来的GTK发送到通信终端装置300。另外,在接收密钥设定请求帧时原有GTK使用信息为0时,帧处理单元220通过终端端发送接收单元260,将在密钥设定请求帧中包含的组密钥握手(GroupKey hand shake)步骤中的EAPoL-Key帧(消息1)直接发送到通信终端装置300。
而且,帧处理单元220将包含在密钥设定请求帧中发送来的PTK以及GTK(更新后的GTK)输出到密钥设定单元230,密钥设定单元230将GTK(更新后的GTK)安装(存储)在密钥管理表格250(步骤ST2004)。
在通信终端装置300中,进行从无线LAN基站装置200发送的GTK(更新后的GTK)的接收处理(步骤ST2005)。具体而言,GTK(更新后的GTK)中包含的Temporal Key被作为组密钥而进行初始化。然后,通信终端装置300将EAPoL-Key帧(消息2)发送到无线LAN基站装置200(步骤ST2006)。
无线LAN基站装置200在接收来自通信终端装置300的EAPoL-Key帧(消息2)时,进行在步骤ST2004安装了的GTK(更新后的GTK)的初始化处理(步骤ST2007)。具体而言,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息2),并输出到帧处理单元220。然后,当输入EAPoL-Key帧(消息2),帧处理单元220将初始化请求输出到密钥设定单元230。然后,密钥设定单元230进行与来自帧处理单元220的初始化请求对应的GTK的初始化处理。由此,在通信终端装置300与无线 LAN基站装置200之间,用于实际的加密解密处理的GTK(更新后的GTK)成为可利用的状态。也就是说,加密通信在通信终端装置300与无线LAN基站装置200之间成为可能。
而且,在无线LAN基站装置200中,当接收EAPoL-Key帧(消息2),帧处理单元220赋予规定的报头(这里是以太报头)并通过网端发送接收单元210发送到AP控制装置100(步骤ST2008)。
另外,在上述说明中,假设无线LAN基站装置200和通信终端装置300之间通过无线LAN来连接,无线LAN基站装置200和AP控制装置100通过以太网(注册商标)来连接。但是本发明并不只限于此,只要无线LAN基站装置200和通信终端装置300之间通过无线方式来连接连接即可,比如也可使用适用IEEE802.16标准的无线方式来连接。而且无论是有线还是无线,只要无线LAN基站装置200和AP控制装置100通过某些通信方式连接即可。
另外,虽然在上述说明中,对作为基于IEEE802.11i标准的安全功能适用于***的例子进行了说明。但是,本发明并不只限于此,也可以使基于WPA(Wi-Fi Protected Access,Wi-Fi保护访问)标准的安全功能适用于***。在基于WPA(Wi-Fi Protected Access)标准的安全功能适用于***的情况下,图4所示的图的一部分发生变化。具体而言,在图4中的步骤ST1012以及步骤ST1013中,EAPoL-Key帧(消息1)在不将GTK包含其中的状态下被发送。其结果,不进行步骤ST1015的GTK接收处理以及步骤ST1014的GTK安装处理。而且,也不进行步骤ST1017的GTK初始化处理。但是,在步骤ST1018后,对GTK进行相当于消息3以及消息4的交换。然后,PTK和消息3被包含在相同的帧中,而且在步骤ST1018后,相当于消息3的消息和GTK被包含在相同的帧中。
另外,在上述说明中,在将规定于IEEE802.11i的四次握手(4way handshake)步骤的EAPoL-Key帧(消息3)以及组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息1)传输到通信终端装置300时,仅在使用原有的GTK时进行了在无线LAN基站装置200的MIC计算单元240的Key MIC的计算。但是,本发明并不只限于此,不管是否使用原有的GTK,在无线LAN基站装置200都可以进行Key MIC的计算。也就是说,此时在AP控制装置100,不管原有GTK使用信息如何,都不进行Key MIC的计算。
参照图4具体说明。假设在步骤1010以及步骤ST1011中生成PTK以及 GTK,并且该GTK为新生成的GTK。在该情况下,认证处理单元120不管原有GTK使用标记如何,都不进行Key MIC部分的计算而进行EAPoL-Key帧(消息3)的生成。然后,认证处理单元120将EAPoL-Key帧(消息3)、生成出的PTK和GTK、以及原有GTK使用信息传送到密码钥封装单元130。
密码钥封装单元130基于从认证处理单元120接收的各种信息来生成密钥设定请求帧。然后,在步骤ST1012中,该密钥设定请求帧被赋予规定的报头(这里是以太报头)并发送到无线LAN基站装置200(步骤ST1012)。
在无线LAN基站装置200,当输入密钥设定请求帧,帧处理单元220判定密钥设定请求帧的原有GTK使用信息,当该标记为0的情况下,将当前保持的GTK计数值归零。而当该标记为1的情况下,帧处理单元220将当前的GTK计数值反映到Key RSC。其后,帧处理单元220不管现有GTK使用标记如何,将该密钥设定请求帧中包含的PTK以及EAPoL-Key帧(消息3)输出到MIC计算单元240。
而且,MIC计算单元240基于包含Key RSC的EAPoL-Key帧(消息3)和来自帧处理单元220的PTK(实际上是包含在该PTK中的EAPoL-KeyKCK)而生成Key MIC。
在步骤ST1013中,帧处理单元220从MIC计算单元240接收EAPoL-Key帧(消息3)以及Key MIC。然后,帧处理单元220通过终端端发送接收单元260,将在该EAPoL-Key帧(消息3)上盖写了该Key MIC的EAPoL-Key帧(消息3)发送到通信终端装置300。
这样,根据实施方式1,通信***10包括作为密钥播发控制装置的AP控制装置100、无线LAN基站装置200以及通信终端装置300,其中,AP控制装置100进行通信终端装置300的认证,无线LAN基站装置200进行与通信终端装置300的通信中的加密解密处理,在该通信***10中,能够适用以相同器件进行认证以及加密解密处理为前提而规定的802.11i标准或者WPA标准,因此能够实现提高安全的无线通信***。
另外,在图4中,虽然在ST1017后的无线LAN基站装置200和AP控制装置100之间的用户数据通信为非加密通信,但是这意味着不进行无线LAN的加密通信,为了安全地传输PTK和GTK,在无线LAN基站装置200和AP控制装置100之间应当采取某些安全对策是不言而喻的。
另外,根据实施方式1,在AP控制装置100设置:控制单元(认证处理 单元120以及密码钥封装单元130),生成密码钥信息(PTK和GTK),并与传送802.11i标准或者WPA标准的、四次握手步骤中的消息3或者组密钥握手步骤中的消息1同步地传送该密码钥信息(PTK和GTK);以及终端端发送接收单元110,发送来自上述控制单元的信息。
通过这样的处理,与在AP控制装置100中生成了密码钥信息后的、发送802.11i标准或者WPA标准的四次握手步骤或者组密钥握手步骤中的消息同步地发送密码钥信息。因此,在相同时期获取该消息以及密码钥信息,作为在无线LAN基站装置200中向通信终端装置300传送消息时被盖写的KeyMIC的计算材料。由此,无线LAN基站装置200能够接收消息以及密码钥信息,立即计算Key MIC,并将附加了该Key MIC的消息发送到通信终端装置300。其结果,削减了花费在四次握手步骤的时间。
而且,在AP控制装置100中的上述控制单元中设置密码钥封装单元130,用来形成一个包含802.11i标准或者WPA标准的四次握手步骤中的消息3和密码钥信息的帧,并且使密码钥封装单元130传送该形成的上述帧。
通过这样的处理,因为将802.11i标准或者WPA标准的四次握手步骤中的消息3和密码钥信息包含在同一个帧中发送,所以能够使在无线LAN基站装置200和通信终端装置300之间发送的帧的数目减少,从而减少***中的业务量。
然后上述控制单元(认证处理单元120以及密码钥封装单元130)与四次握手步骤中的消息同步地传送GTK使用信息和密码钥信息,所述GTK使用信息是在作为密码钥信息的GTK中表示发送原有的GTK还是发送新生成的GTK的信息。
而且,当该GTK使用信息表示为新的GTK时,上述控制单元(认证处理单元120以及密码钥封装单元130)进一步将基于作为上述密码钥信息的PTK和上述GTK使用信息计算出的Key MIC包含在作为上述802.11i标准或者WPA标准的四次握手步骤中的消息的EAPoL-Key帧中并传送。
而且根据实施方式1,在无线LAN基站装置200中设置:密钥管理表格250,暂时保持接收的密码钥信息;以及控制单元(帧处理单元220、MIC计算单元240以及密钥设定单元230),将四次握手步骤或者组密钥握手步骤的消息2作为触发而将暂时保持的密码钥信息适用于与通信终端装置300的通信。
通过这样的处理,与通信终端装置300中的密码钥信息的设定取得同步地进行无线LAN基站装置200中的密码钥的设定。因此,迅速地进行向无线LAN基站装置200和通信终端装置300之间的加密通信的过渡。
而且根据实施方式1,在无线LAN基站装置200设置:网端发送接收单元210,接收密码钥信息、GTK使用信息和EAPoL-Key帧;以及控制单元(帧处理单元220、MIC计算单元240以及密钥设定单元230),控制上述EAPoL-Key帧对通信终端装置300的转发。而且,当上述接收的GTK使用信息表示为原有的GTK时,上述控制单元使对将帧发送到其它的通信终端装置的次数进行计数的GTK计数值包含在上述EAPoL-Key帧中,所述帧是通过作为上述密码钥信息的原有的GTK加密的帧。当上述接收的GTK使用信息表示为新的GTK时,上述控制单元使上述GTK计数值为0,并包含在上述EAPoL-Key帧中。进一步地上述控制单元基于包含上述GTK计数值的EAPoL-Key帧和作为上述密码钥信息的PTK来计算Key MIC值,并发送包含了该Key MIC的上述EAPoL-Key帧。
而且,在无线LAN基站装置200中设置:网端发送接收单元210,接收密码钥信息、GTK使用信息和EAPoL-Key帧;以及控制单元(帧处理单元220、MIC计算单元240以及密钥设定单元230),控制上述EAPoL-Key帧对通信终端装置的转发。然后,当上述接收的GTK使用信息表示为原有的GTK时,上述控制单元使对将帧发送到其它的通信终端装置的次数进行计数的GTK计数值包含在上述EAPoL-Key帧中,所述帧是通过作为上述密码钥信息的原有的GTK加密的帧。然后,上述控制单元基于包含该GTK计数值的EAPoL-Key帧和作为上述密码钥信息的PTK来计算Key MIC值,并发送进一步包含了该Key MIC的上述EAPoL-Key帧。另一方面,当上述接收的GTK使用信息表示为新的GTK时,上述控制单元直接转发上述EAPoL-Key帧。
(实施方式2)
实施方式2的通信***与实施方式1同样具有通信终端装置、无线LAN基站装置以及AP控制装置。但是,在传输规定于IEEE802.11i的四次握手(4way hand shake)步骤的EAPoL-Key帧(消息4)时以及传输规定于IEEE802.11i的组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息2)时的动作不同于通信***10。
如图6所示实施方式2的AP控制装置500具有认证处理单元510。该认 证处理单元510进行与AP控制装置100的认证处理单元120基本相同的动作。但是,在接收规定于IEEE802.11i的四次握手(4way hand shake)步骤的EAPoL-Key帧(消息4)时以及接收规定于IEEE802.11i的组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息2)时的动作不同于认证处理单元120。具体而言,当接收两个步骤中的上述EAPoL-Key帧,认证处理单元510生成密钥初始化请求帧,并进行该密钥初始化请求帧的发送处理。
如图7所示实施方式2的无线LAN基站装置600具有帧处理单元610。该帧处理单元610进行与无线LAN基站装置200的帧处理单元220基本相同的动作。但是,在接收规定于IEEE802.11i的四次握手(4way hand shake)步骤的EAPoL-Key帧(消息4)时以及接收规定于IEEE802.11i的组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息2)时等的动作不同于帧处理单元220。具体而言,即使接收两个步骤中的上述EAPoL-Key帧,也与实施方式1不同,帧处理单元610不进行密钥初始化的控制。取而代之的是,帧处理单元610在从AP控制装置500发送的密钥初始化请求帧被输入时进行密钥初始化的控制。
接下来,说明具有上述结构的实施方式2的通信***的动作。
图8表示着实施方式2的通信***中的、规定于IEEE802.11i的四次握手(4way hand shake)步骤的动作。
通信终端装置300将EAPoL-Key帧(消息4)发送到无线LAN基站装置600(步骤ST1016)。
无线LAN基站装置600与无线LAN基站装置200不同,即使接收来自通信终端装置300的EAPoL-Key帧(消息4),也不进行PTK以及GTK的初始化处理。当接收来自通信终端装置300的EAPoL-Key帧(消息4),无线LAN基站装置600将规定的报头附加给EAPoL-Key帧(消息4),并将得到的帧发送到AP控制装置500。具体而言,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息4),并将接收帧输出到帧处理单元610。然后,帧处理单元610即使接收EAPoL-Key帧(消息4)也不将初始化请求输出到密钥设定单元230,而是将规定的报头附加给该帧。然后,帧处理单元610通过网端发送接收单元210,将附加了该报头的EAPoL-Key帧(消息4)发送到AP控制装置500(步骤ST1018)。
在AP控制装置500中,终端端发送接收单元110接收从无线LAN基站装置600发送的上述EAPoL-Key帧(消息4),并将接收帧输出到认证处理单元510。然后,当接收上述EAPoL-Key帧(消息4),认证处理单元510生成密钥初始化请求帧,并将规定的报头附加给生成的帧。然后,认证处理单元510通过终端端接收发送单元110,将密钥初始化请求帧发送到无线LAN基站装置600(步骤ST3001)。
无线LAN基站装置600在接收来自AP控制装置500的密钥初始化请求帧时,进行在步骤ST1014中所设置的PTK以及GTK的初始化处理(步骤ST3002)。具体而言,网端发送接收单元210接收密钥初始化请求帧,将该接收帧输出到帧处理单元610。然后,当接收密钥初始化请求帧,帧处理单元610将初始化请求输出到密钥设定单元230。然后,密钥设定单元230进行与来自帧处理单元610的初始化请求对应的PTK以及GTK的初始化处理。由此,在通信终端装置300与无线LAN基站装置600之间,用于实际的加密解密处理的PTK以及GTK成为可利用的状态。也就是说,在通信终端装置300与无线LAN基站装置600之间可进行加密通信。
然后帧处理单元610生成密钥初始化应答帧作为对密钥初始化请求帧的应答,并通过网端发送接收单元210将其发送到AP控制装置500(步骤ST3003)。
图9表示实施方式2的通信***中的、规定于IEEE802.11i的组密钥握手(GroupKey hand shake)步骤的动作。
通信终端装置300将组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息2)发送到无线LAN基站装置600(步骤ST2006)。
无线LAN基站装置600与无线LAN基站装置200不同,即使从通信终端装置300接收组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息2),也不进行GTK的初始化处理。当从通信终端装置300接收组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息2),无线LAN基站装置600将规定的报头附加给EAPoL-Key帧(消息2),并将得到的帧发送到AP控制装置500。具体而言,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息2),并将接收帧输出到帧处理单元610。然后,帧处理单元610即使接收EAPoL-Key帧(消息2)也不将初始化请求输出到密钥设定单元230,而是将规定的报头附加给该接收了的帧。 然后,帧处理单元610通过网端发送接收单元210,将附加了该报头的EAPoL-Key帧(消息2)发送到AP控制装置500(步骤ST2008)。
在AP控制装置500中,终端端发送接收单元110接收从无线LAN基站装置600发送的上述EAPoL-Key帧(消息2),并将该接收帧输出到认证处理单元510。然后,当接收上述EAPoL-Key帧(消息2),认证处理单元510生成密钥初始化请求帧,并附加规定的报头。然后,认证处理单元510通过终端端接收发送单元110,将生成出的密钥初始化请求帧发送到无线LAN基站装置600(步骤ST4001)。
无线LAN基站装置600在接收来自AP控制装置500的密钥初始化请求帧时,进行在步骤ST2004安装了的GTK(更新后的GTK)的初始化处理(步骤ST4002)。具体而言,网端发送接收单元210接收密钥初始化请求帧,并将其输出到帧处理单元610。然后,输入密钥初始化请求帧时,帧处理单元610将初始化请求输出到密钥设定单元230。然后,密钥设定单元230进行与来自帧处理单元610的初始化请求对应的GTK的初始化处理。由此,在通信终端装置300与无线LAN基站装置600之间,用于实际的加密解密处理的GTK(更新后的GTK)成为可利用的状态。也就是说,在通信终端装置300与无线LAN基站装置600之间可进行加密通信。
然后帧处理单元610生成密钥初始化应答帧作为对密钥初始化请求帧的应答,并通过网端发送接收单元210将其发送到AP控制装置500(步骤ST4003)。
这样,根据实施方式2,在AP控制装置500设置:控制单元(认证处理单元510和密码钥封装单元130),生成密码钥信息(PTK和GTK),并与传送802.11i标准或者WPA标准的、四次握手步骤中的消息3或者组密钥握手步骤中的消息1同步地传送该密码钥信息;以及终端端发送接收单元110,发送来自上述控制单元的信息。
上述控制单元在四次握手步骤或者组密钥握手步骤结束时(也就是说,应答四次握手步骤中的消息4或者组密钥握手步骤中的消息2)而传送控制信息(密钥设定请求帧),所述控制信息成为将发送到无线LAN基站装置600的密码钥信息适用于与通信终端装置300的通信的触发。
通过这样的处理,无线LAN基站装置600不需要将消息作为密码钥信息适用的触发来使用,因此无需在无线LAN基站装置600中监视消息。其结果, 能够节约无线LAN基站装置600中的资源。
而且,根据实施方式2,在无线LAN基站装置600中设置:密钥管理表格250,暂时保持接收的密码钥信息;以及控制单元(帧处理单元610、MIC计算单元240和密钥设定单元230),基于从AP控制装置500发送的控制信息(密钥设定请求帧),使上述暂时保持的密码钥信息适用于与上述通信终端装置的通信。
通过这样的处理,无线LAN基站装置600不需要将消息作为密码钥信息适用的触发来使用,因此无需在无线LAN基站装置600中监视消息。其结果,能够节约无线LAN基站装置600中的资源。
(实施方式3)
实施方式3的通信***与实施方式1同样具有通信终端装置、无线LAN基站装置以及AP控制装置。但是,在传输规定于IEEE802.11i的四次握手(4way hand shake)步骤的EAPoL-Key帧(消息2、消息3和消息4)时以及传输规定于IEEE802.11i的组密钥握手(GroupKey hand shake)步骤的EAPoL-Key帧(消息1和消息2)时的动作不同于通信***10。具体而言,在实施方式1中,利用原有的GTK时,在无线LAN基站装置200进行Key MIC的计算,但是在本实施方式中,在AP控制装置进行Key MIC的计算。因此,在无线LAN基站装置中,发送上行(从无线LAN基站装置到AP控制装置)的消息时,使当前的GTK计数值也包含在该消息中。
如图10所示的实施方式3的AP控制装置700包括:认证处理单元710、计数值存储单元720以及MIC计算单元730。
如图11所示,实施方式3的无线LAN基站装置800具有帧处理单元810。
接下来,说明具有上述结构的实施方式3的通信***的动作。
图12表示实施方式3的通信***中的、规定于IEEE802.11i的四次握手(4way hand shake)步骤的动作。
通信终端装置300利用在所生成的PTK中包含的EAPoL-Key KCK来计算Key MIC。然后,通信终端装置300将上述计算出的Key MIC附加给包含SNonce的EAPoL-Key帧(消息2),并发送到无线LAN基站装置800(步骤ST1007)。
在无线LAN基站装置800中,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息2),并将该接收帧输出到帧处理 单元810。然后,当输入EAPoL-Key帧(消息2),帧处理单元810将无线LAN基站装置800当前保持的GTK计数值附加给自适应报头(adaptationheader),同时赋予规定的报头(这里是以太报头),并通过网端发送接收单元210发送到AP控制装置700(步骤ST5001)。另外,如上所述,GTK计数值是在无线LAN基站装置传送通过GTK加密的帧时相加的顺序计数值。比如如果是TKIP,则TSC相当于顺序计数值;如果是CCMP,则PN相当于顺序计数值。
在AP控制装置700中,进行包含在EAPoL-Key帧(消息2)中的SNonce的接收处理(步骤ST5002)。然后,AP控制装置700存储包含在EAPoL-Key帧(消息2)中的GTK计数值。具体而言,当通过终端端发送接收单元110接收EAPoL-Key帧(消息2),认证处理单元710将包含在EAPoL-Key帧(消息2)中的GTK计数值存储在计数值存储单元720。
然后在步骤ST5003中,AP控制装置700基于PMK、ANonce以及SNonce来生成PMK(Pairwise Transient Key,成双临时密钥)。这里,AP控制装置700与通信终端装置300利用相同的伪(pseudo)随机函数,来共有利用PMK、ANonce以及SNonce而生成出的PTK。
在步骤ST5004中,AP控制装置700通过规定的方法生成GTK(GroupTemporal Key)。
然后,在AP控制装置700中,认证处理单元710根据在播发给通信终端装置300的GTK中,表示利用已经发送到其它的通信终端装置300的GTK,还是利用新生成的GTK的信息,进行规定的处理。
具体而言,在利用已经发送到其它的通信终端装置300的GTK的情况下,认证处理单元710生成使存储在计数值存储单元720的GTK计数值为KeyRSC的EAPoL-Key帧(消息3)。然后,认证处理单元710将该EAPoL-Key帧(消息3)和在步骤ST5003生成出的PTK提供给MIC计算单元730,并在此计算Key MIC。然后,认证处理单元710通过计算出的Key MIC盖写EAPoL-Key帧(消息3)的Key MIC的区域。进一步地,认证处理单元710将GTK包含在该EAPoL-Key帧(消息3)中。
另一方面,在利用新生成的GTK的情况下,认证处理单元710使Key RSC为0,并进一步生成包含了所利用的GTK的EAPoL-Key帧(消息3)。此时,认证处理单元710不使用存储在计数值存储单元720的GTK计数值。
然后,在认证处理单元710生成出的EAPoL-Key帧(消息3)被附加规定的报头(这里是以太报头),并被发送到无线LAN基站装置800(步骤ST5005)。
在无线LAN基站装置800中,网端发送接收单元210接收从AP控制装置700发送的上述EAPoL-Key帧(消息3),并将该接收帧输出到帧处理单元810。然后,当接收EAPoL-Key帧(消息3),帧处理单元810进行解封装,也就是去除以太报头以及自适应报头,并通过终端端发送接收单元260将EAPoL-Key帧(消息3)发送到通信终端装置300(步骤ST5006)。
在通信终端装置300中,接收从无线LAN基站装置800发送的EAPoL-Key帧(消息3),并进行GTK的接收处理(步骤ST5007)。然后,通信终端装置300将EAPoL-Key帧(消息4)发送到无线LAN基站装置800(步骤ST5008)。
在无线LAN基站装置800中,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息4),并将该接收帧输出到帧处理单元810。然后,当接收EAPoL-Key帧(消息4)时,帧处理单元810将无线LAN基站装置800当前保持着的GTK计数值附加给自适应报头中,同时附加规定的报头(这里是以太报头),并通过网端发送接收单元210将这样得到的帧发送到AP控制装置700(步骤ST5009)。
在AP控制装置700中,终端端发送接收单元110接收从无线LAN基站装置800发送的上述EAPoL-Key帧(消息4),并将该接收帧输出到认证处理单元710。然后,认证处理单元710通过包含在EAPoL-Key帧(消息4)中的GTK计数值盖写计数值存储单元720。而且,当输入上述EAPoL-Key帧(消息4),认证处理单元710生成密钥初始化请求帧,并对该帧附加规定的报头。具体而言,认证处理单元710生成包含了在步骤ST5003以及步骤ST5004生成出的PTK、GTK和终端MAC地址的密钥初始化请求帧。然后,认证处理单元710将该密钥初始化请求帧附加规定的报头(这里是以太报头),并通过终端端接收发送单元110将得到的帧发送到无线LAN基站装置800(步骤ST5010)。
当接收来自AP控制装置700的密钥初始化请求帧,无线LAN基站装置800进行包含在该密钥初始化请求帧中的PTK以及GTK的设定以及初始化(步骤ST5011)。具体而言,网端发送接收单元210接收密钥初始化请求帧, 并将该接收帧输出到帧处理单元810。然后,当输入密钥初始化请求帧,帧处理单元810将PTK、GTK以及初始化请求输出到密钥设定单元230。密钥设定单元230将PTK以及GTK设定给密钥管理表格250,同时进行PTK以及GTK的初始化处理。由此,在通信终端装置300与无线LAN基站装置800之间,用于实际的加密解密处理的PTK以及GTK(更新后的GTK)成为可利用的状态。
然后帧处理单元810生成密钥初始化应答帧作为对密钥初始化请求帧的应答,并通过网端发送接收单元210将该密钥初始化应答帧发送到AP控制装置700(步骤ST5012)。
另外,在WPA规格的四次握手(4way hand shake)步骤中,GTK在消息3中不被发送。因此,认证处理单元710不利用存储在计数值存储单元720的GTK计数值,而基于使Key RSC为0的帧来生成Key MIC。然后,认证处理单元710利用该Key MIC来生成EAPoL-Key帧(消息3)。
图13表示着实施方式3的通信***中的、规定于IEEE802.11i的组密钥握手(GroupKey hand shake)步骤的动作。
AP控制装置700和通信终端装置300通过规定于IEEE802.11i的四次握手(4way hand shake)步骤共有PTK以及GTK。这里假设根据如上述的主要原因产生了GTK的更新的必要性。。
在步骤ST6001中,AP控制装置700准备更新的GTK。此时,在AP控制装置700中,认证处理单元710根据在播发给通信终端装置300的GTK中,表示利用已经发送到其它的通信终端装置300的GTK,还是利用新生成的GTK的信息,进行规定的处理。
具体而言,在利用已经发送到其它的通信终端装置300的GTK的情况下,认证处理单元710生成使存储在计数值存储单元720的GTK计数值(包含在四次握手步骤的消息中的GTK计数值,或者包含在四次握手步骤后进行组密钥握手的情况下,随即进行的组密钥握手步骤的消息2中的GTK计数值)作为Key RSC的EAPoL-Key帧(消息1)。进一步地,认证处理单元710将GTK包含在该EAPoL-Key帧(消息1)中。然后,认证处理单元710将该EAPoL-Key帧(消息1)和PTK提供给MIC计算单元730,并在此计算Key MIC。然后,认证处理单元710通过计算出的Key MIC盖写EAPoL-Key帧(消息1)的Key MIC的区域。
另一方面,在利用新生成的GTK的情况下,认证处理单元710使Key RSC为0并进行相同的Key MIC的计算,并生成包含了所利用的GTK的EAPoL-Key帧(消息1)。此时,认证处理单元710不使用存储在计数值存储单元720的GTK计数值。
然后,在认证处理单元710生成出的EAPoL-Key帧(消息1)被附加规定的报头(这里是以太报头),并被发送到无线LAN基站装置800(步骤ST6002)。
在无线LAN基站装置800中,网端发送接收单元210接收从AP控制装置700发送的上述EAPoL-Key帧(消息1),并将该接收帧输出到帧处理单元810。然后,当接收EAPoL-Key帧(消息1),帧处理单元810进行该帧的解封装,也就是从该帧中去除以太报头以及自适应报头。然后,帧处理单元810通过终端端发送接收单元260,将经解封装而得到的EAPoL-Key帧(消息1)以及GTK发送到通信终端装置300(步骤ST6003)。
在通信终端装置300中,接收从无线LAN基站装置800发送的EAPoL-Key帧(消息1),并进行GTK的接收处理(步骤ST6004)。然后,通信终端装置300将EAPoL-Key帧(消息2)发送到无线LAN基站装置800(步骤ST6005)。
在无线LAN基站装置800中,终端端发送接收单元260接收从通信终端装置300发送的上述EAPoL-Key帧(消息2),并将该接收帧输出到帧处理单元810。然后,当接收EAPoL-Key帧(消息2),帧处理单元810将无线LAN基站装置800当前保持着的GTK计数值附加给自适应报头。进一步地,帧处理单元810对接收了的帧附加规定的报头(这里是以太报头)。然后,帧处理单元810通过网端发送接收单元210,将这样得到的帧发送到无线LAN基站装置700(步骤ST6006)。
在AP控制装置700中,终端端发送接收单元110接收从无线LAN基站装置800发送的上述EAPoL-Key帧(消息2),并将该接收帧输出到认证处理单元710。然后,认证处理单元710通过包含在EAPoL-Key帧(消息2)中的GTK计数值盖写计数值存储单元720。而且,当接收上述EAPoL-Key帧(消息2),认证处理单元710生成密钥初始化请求帧,并对该帧附加规定的报头。具体而言,认证处理单元710生成包含了在步骤ST6001准备了的GTK和终端MAC地址的密钥初始化请求帧。然后,认证处理单元710对该 密钥初始化请求帧附加规定的报头(这里是以太报头),并通过终端端接收发送单元110将得到的帧发送到无线LAN基站装置800(步骤ST6007)。
当接收来自AP控制装置700的密钥初始化请求帧,无线LAN基站装置800进行包含在该密钥初始化请求帧中GTK的设定以及初始化(步骤ST6008)。具体而言,网端发送接收单元210接收密钥初始化请求帧,并将该接收帧输出到帧处理单元810。然后,当接收密钥初始化请求帧,帧处理单元810将GTK以及初始化请求输出到密钥设定单元230。密钥设定单元230将GTK设定给密钥管理表格250,同时进行GTK的初始化处理。由此,在通信终端装置300与无线LAN基站装置800之间,用于实际的加密解密处理的GTK(更新后的GTK)成为可利用的状态。
然后帧处理单元810生成密钥初始化应答帧作为对密钥初始化请求帧的应答,并通过网端发送接收单元210将其发送到AP控制装置700(步骤ST6009)。
另外,在上述说明中,在步骤ST5004~步骤ST5005以及步骤ST6001~步骤ST6002中,因为使所利用的GTK包含在认证处理单元710生成出的EAPoL-Key帧(消息3)以及EAPoL-Key帧(消息1)中,所以假设密码钥封装单元130不进行动作。但是,并不只限于此,也可以像以下那样。也就是说,认证处理单元710虽然生成EAPoL-Key帧(消息3)以及EAPoL-Key帧(消息1),但是不将GTK包含在其中,而将EAPoL-Key帧(消息3)、EAPoL-Key帧(消息1)以及GTK发送到密码钥封装单元130。然后,在密码钥封装单元130将EAPoL-Key帧(消息3)、EAPoL-Key帧(消息1)以及GTK汇合在一个帧中,并发送到无线LAN基站装置800也是可以的。
另外,虽然在上述说明中,GTK计数值包含在自适应报头中。但是,也可以在无线LAN基站装置800发送四次握手(4way hand shake)的消息2以及消息4后,通过其它的帧只将计数值发送到AP控制装置700。也就是说,在发送四次握手(4way hand shake)的消息3时或者发送组密钥握手(GroupKey hand shake)的消息1时,AP控制装置700将保持在接入点的GTK计数值同步地保持即可。
这样,根据实施方式3,在AP控制装置700设置:认证处理单元710,作为生成密码钥信息(PTK和GTK),并将该密码钥信息发送到无线基站装置800的控制单元;以及终端端发送接收单元110,连同在发送帧时计数的 GTK计数值,接收802.11i标准或者WPA标准的四次握手步骤中的消息2,所述帧是通过作为已发送的上述密码钥信息的GTK加密的帧,上述控制单元将基于作为上述密码钥信息的PTK和上述GTK计数值而计算出的Key MIC以及上述GTK计数值包含在消息3的EAPoL-Key帧中并发送。
而且根据实施方式3,在利用接收从作为密钥播发控制装置的AP控制装置700播发的密码钥信息,与通信终端装置300进行加密通信的无线LAN基站装置800中设置:终端端发送接收单元260,接收来自通信终端装置300的802.11i标准或者WPA标准的四次握手步骤中的消息2和消息4;以及帧处理单元810,当接收了上述消息2或者上述消息4时,将在发送帧时计数的GTK计数值发送到作为上述密钥播发控制装置的AP控制装置700,所述帧通过作为上述密码钥信息的GTK被加密。
(实施方式4)
在实施方式1到实施方式3中,无线LAN基站装置200、无线LAN基站装置600以及无线LAN基站装置800具有加密解密功能。但是,AP控制装置和无线LAN基站装置的双方都具有与通信终端装置300的通信中的加密解密功能也是可以的。本实施方式涉及一种通信***,像这样AP控制装置和无线LAN基站装置的双方都具有与通信终端装置300的通信中的加密解密功能。特别是本实施方式的通信***对每个无线LAN基站装置决定在AP控制装置和无线LAN基站装置的哪一个进行加密解密处理。
如图14所示的实施方式4的AP控制装置900包括:认证处理单元910以及主信号处理单元920。该主信号处理单元920具有:终端端帧变换处理单元930、加密解密判定单元940、加密解密处理单元950、加密解密位置表格960以及网端帧变换处理单元970。
而且,本实施方式的通信***由上述AP控制装置900、无线LAN基站装置200以及通信终端装置300构成。
接下来,参照图15来说明具有上述结构的通信***的动作。在此为了简化说明,对通信***由以下装置构成的情况进行说明:1个AP控制装置900、2个无线LAN基站装置200(无线LAN基站装置200-1以及无线LAN基站装置200-2)、以及2个通信终端装置300(通信终端装置300-1以及通信终端装置300-2)。
步骤ST7001中,在与AP控制装置900进行连接时,无线LAN基站装 置200-1发送表示本装置是否具有加密解密功能的可否加密信息。
在步骤ST7002中,AP控制装置900接收来自无线LAN基站装置200-1的可否加密信息,当该可否加密信息表示具有加密解密功能时,进行加密位置的选择。具体而言,在AP控制装置900中,当通过终端端发送接收单元110接收上述可否加密信息,认证处理单元910决定委托作为该发送源的无线LAN基站装置200-1进行加密解密处理,或是通过本装置进行加密解密处理。然后,将该决定结果作为加密位置决定信息。
在步骤ST7003中,AP控制装置900的认证处理单元910使该加密位置决定信息反映给加密解密位置表格960,同时通过终端端发送接收单元110将该加密位置决定信息发送到无线LAN基站装置200-1。另外,这里设决定为由AP控制装置900对无线LAN基站装置200-1进行加密解密处理。
在步骤ST7004中,在与AP控制装置900进行连接时,无线LAN基站装置200-2发送表示本装置是否具有加密解密功能的可否加密信息。
在步骤ST7005中,AP控制装置900接收来自无线LAN基站装置200-2的可否加密信息,当该可否加密信息表示具有加密解密功能时,进行加密位置的选择。
在步骤ST7006中,AP控制装置900的认证处理单元910使该加密位置决定信息反映给加密解密位置表格,同时通过终端端发送接收单元110将该加密位置决定信息发送到无线LAN基站装置200-2。另外,这里设决定为由无线LAN基站装置200-2对无线LAN基站装置200-2进行加密解密处理。
在步骤ST7007中,如在实施方式1中说明的认证处理以及密钥播发处理在本实施方式的通信***中进行。另外,该认证处理以及密钥播发处理利用实施方式2或者3的方法也是可以的。
经过以上的步骤ST7001~步骤ST7007,在AP控制装置900、无线LAN基站装置200以及通信终端装置300之间可进行加密通信。
然后,当在通信终端装置300-1发生发送数据,利用已经播发的密码钥加密的用户数据被发送到无线LAN基站装置200-1(步骤ST7008),该无线LAN基站装置200-1管理通信终端装置300-1。
在无线LAN基站装置200-1中,帧处理单元220根据本装置从AP控制装置900接收了的加密位置决定信息,进行从通信终端装置300-1发送的用户数据的处理。
具体而言,当本装置从AP控制装置900接收了的加密位置决定信息表示在本装置进行加密解密处理时,帧处理单元220将表示在本装置进行了加密解密处理的信息附加在自适应报头,所述自适应报头是在将进行了解密处理后的用户数据转发给AP控制装置900时附加的。比如使自适应报头的加密解密处理标记为0。
另一方面,当本装置从AP控制装置900接收了的加密位置决定信息表示在AP控制装置900进行加密解密处理时,帧处理单元220将表示在AP控制装置900进行加密解密处理的信息附加在自适应报头,所述自适应报头是在将从通信终端装置300-1发送的用户数据直接转发时附加的。比如使自适应报头的加密解密处理标记为1。
这里,在无线LAN基站装置200-1和AP控制装置900之间,AP控制装置900进行加密解密处理,因此,无线LAN基站装置200-1将使自适应报头的加密解密处理标记为1的帧发送到AP控制装置900(步骤ST7009)。
在AP控制装置900中,终端端发送接收单元110接收来自无线LAN基站装置200-1的用户数据。然后,终端端帧变换处理单元930将附加在该用户数据的自适应报头所包含的加密解密处理标记的信息,以及去除了报头的用户数据本身输出到加密解密判定单元940。
加密解密判定单元940进行与接收了的加密解密处理标记对应的处理。具体而言,当加密解密处理标记为1的情况下,也就是表示在AP控制装置900进行用户数据的解密的情况下,将用户数据输出到加密解密处理单元950,并在该处进行解密处理。然后,加密解密判定单元940将解密处理后的用户数据输出到网端帧变换处理单元970。然后,网端帧变换处理单元970以配合网端的网络形态对用户数据进行帧变换处理,并发送到网端的网络。另外,当加密解密处理标记为0的情况下,也就是表示在无线LAN基站装置200-1进行用户数据的解密的情况下,没有必要在AP控制装置900进行解密处理。因此,加密解密判定单元940将从终端端帧变换处理单元930接收了的用户数据直接输出到网端帧变换处理单元970。
接下来,假设AP控制装置900从网端网络接收了帧。于是,在AP控制装置900中,网端帧变换处理单元970接收该帧。然后,网端帧变换处理单元970将该接收帧变换成无线LAN帧,并将变换后的帧输出到加密解密判定单元940。
加密解密判定单元940查看无线LAN帧的报头(IEEE802.11报头)的第二个地址,来判定该无线LAN帧所经过的无线LAN基站装置200。然后,加密解密判定单元940参照加密解密位置表格960,进行与加密位置决定信息对应的处理,所述加密位置决定信息与判定出的无线LAN基站装置200对应。
也就是说,当与判定出的无线LAN基站装置200对应的加密位置决定信息表示在AP控制装置900进行加密解密处理时,加密解密判定单元940将无线LAN帧输出到加密解密处理单元950,并使其进行加密处理。然后,加密解密判定单元940通过终端端帧变换处理单元930以及终端端发送接收单元110,将加密处理后的无线LAN帧发送到无线LAN基站装置200。
另一方面,当与判定出的无线LAN基站装置200对应的加密位置决定信息表示在无线LAN基站装置200进行加密解密处理时,加密解密判定单元940通过终端端帧变换处理单元930以及终端端发送接收单元110,将无线LAN帧直接发送到无线LAN基站装置200。另外,以太报头以及自适应报头由终端端帧变换处理单元930附加在无线LAN帧中。
这里,当假设无线LAN帧所经过的无线LAN基站装置200为无线LAN基站装置200-1,在无线LAN基站装置200-1和AP控制装置900之间,AP控制装置900进行加密解密处理。因此,AP控制装置900如上述那样进行加密处理,并将无线LAN帧发送到无线LAN基站装置200-1(步骤ST7010)。
在无线LAN基站装置200-1中,已经从AP控制装置900接收了加密位置决定信息,所述加密位置决定信息表示在本装置和AP控制装置900之间由AP控制装置900进行加密解密处理,因此帧处理单元220除了从接收了的帧去除以太报头以及自适应报头之外不进行特别的处理,而将无线LAN帧转发到通信终端装置300-1(步骤ST7011)。
接下来,当在通信终端装置300-2发生发送数据,利用已经播发的密码钥加密的用户数据被发送到无线LAN基站装置200-2(步骤ST7012),所述无线LAN基站装置200-2管理通信终端装置300-2。
在无线LAN基站装置200-2接收加密位置决定信息,所述加密位置决定信息表示在无线LAN基站装置200-2和AP控制装置900之间由无线LAN基站装置200-2进行加密解密处理。因此,无线LAN基站装置200-2对来自通信终端装置300-2的经加密的用户数据进行解密。进一步地,无线LAN基 站装置200-2使所解密的用户数据中的自适应报头的加密解密处理标记为0,并将得到的用户数据发送到AP控制装置900(步骤ST7013)。
在AP控制装置900中,当加密解密处理标记为0的情况下,也就是表示在无线LAN基站装置200-2进行了用户数据的解密的情况下,没有必要在AP控制装置900进行解密处理。因此,加密解密判定单元940将从终端端帧变换处理单元930接收了的用户数据直接输出到网端帧变换处理单元970。
接下来,假设AP控制装置900从网端网络接收了帧。这里,当假设无线LAN帧所经过的无线LAN基站装置200为无线LAN基站装置200-2,在无线LAN基站装置200-2和AP控制装置900之间,由无线LAN基站装置200进行加密解密处理。因此,AP控制装置900不像上述那样进行加密处理,而是通过终端端帧变换处理单元930以及终端端发送接收单元110将无线LAN帧直接发送到无线LAN基站装置200-2(步骤ST7014)。
在无线LAN基站装置200-2中,已经从AP控制装置900接收了加密位置决定信息,所述加密位置决定信息表示在本装置和AP控制装置900之间由本装置进行加密解密处理。因此,帧处理单元220从接收了的帧去除以太报头以及自适应报头,并对得到的帧实施加密处理,然后将加密处理后的无线LAN帧转发到通信终端装置300-2(步骤ST7015)。
(实施方式5)
在实施方式4中,对每个无线LAN基站装置决定在AP控制装置和无线LAN基站装置的哪一个进行加密解密处理。相对于此,在实施方式5中,对由1个无线LAN基站装置所管理的每个通信终端装置决定在AP控制装置和无线LAN基站装置的哪一个进行加密解密处理。
如图16所示的实施方式5的无线LAN基站装置1000包括:帧处理单元1010以及主信号处理单元1020。该主信号处理单元1020具有:加密解密判定单元1030、加密解密处理单元1040、加密解密位置表格1050以及网端帧变换处理单元1060。
而且,本实施方式的通信***由AP控制装置900、无线LAN基站装置1000以及通信终端装置300构成。
接下来,参照图17说明具有上述结构的通信***的动作。在此为了简化说明,对通信***由以下装置构成的情况进行说明:1个AP控制装置900、1个无线LAN基站装置1000、以及2个通信终端装置300(通信终端装置300-1 以及通信终端装置300-2)。
步骤ST8001中,在与AP控制装置900进行连接时,无线LAN基站装置1000发送表示本装置是否具有加密解密功能的可否加密信息。
在步骤ST8002中,AP控制装置900接收来自无线LAN基站装置1000的可否加密信息,当该可否加密信息表示具有加密解密功能时,进行加密位置的选择。具体而言,在AP控制装置900中,当通过终端端发送接收单元110接收上述可否加密信息,认证处理单元910决定委托作为该发送源的无线LAN基站装置1000进行加密解密处理,或是通过本装置进行加密解密处理。然后,将该决定结果作为加密位置决定信息。
在步骤ST8003中,AP控制装置900的认证处理单元910使该加密位置决定信息反映给加密解密位置表格,同时通过终端端发送接收单元110将该加密位置决定信息发送到无线LAN基站装置1000。另外,这里假设决定为未确定是由AP控制装置900还是由无线LAN基站装置1000对无线LAN基站装置1000进行加密解密处理。
在步骤ST8004中,如在实施方式1中说明的认证处理以及密钥播发处理,在本实施方式的通信***中对通信终端装置300-1进行。另外,该认证处理以及密钥播发处理利用实施方式2或者3的方法也是可以的。
于是在步骤ST8005中,关于通信终端装置300-1,进行加密位置的选择。也就是说,关于通信终端装置300-1,决定委托无线LAN基站装置1000进行加密解密处理还是通过本装置进行加密解密处理。
在步骤ST8006中,AP控制装置900的认证处理单元910使该加密位置决定信息反映给加密解密位置表格960,同时通过终端端发送接收单元110将该加密位置决定信息发送到无线LAN基站装置1000。另外,这里假设决定为由AP控制装置900关于通信终端装置300-1进行加密解密处理。
在无线LAN基站装置1000中,帧处理单元1010通过网端发送接收单元210接收加密位置决定信息。然后,帧处理单元1010使关于通信终端装置300-1的加密位置决定信息反映到加密解密位置表格1050。
然后,当在通信终端装置300-1发生发送数据,利用已经播发的密码钥加密的用户数据被发送到无线LAN基站装置1000(步骤ST8007),所述无线LAN基站装置1000管理通信终端装置300-1。
在无线LAN基站装置1000中,在终端端发送接收单元260接收来自通 信终端装置300-1的作为用户数据的无线LAN帧。然后,加密解密判定单元1030参照加密解密位置表格1050,进行与加密位置决定信息对应的处理,所述加密位置决定信息是与该无线LAN帧的发送源地址对应的有关通信终端装置300的信息。
也就是说,当与该无线LAN帧的发送源地址对应的有关通信终端装置300的加密位置决定信息为表示在本装置进行加密解密处理的情况下,加密解密判定单元1030将无线LAN帧输出到加密解密处理单元1040,并使其进行解密处理。然后,加密解密判定单元1030通过网端帧变换处理单元1060以及网端发送接收单元210,将解密处理后地无线LAN帧发送到AP控制装置900。另外,在网端帧变换处理单元1060,对无线LAN帧附加以太报头以及自适应报头。进一步在该自适应报头中,附加表示在本装置进行了加密解密处理地信息。比如使自适应报头的加密解密处理标记为0。
另一方面,当与该无线LAN帧的发送源地址对应的有关通信终端装置300的加密位置决定信息为表示在AP控制装置900进行加密解密处理的情况下,加密解密判断单元1030通过网端帧变换处理单元1060以及网端发送接收单元210将无线LAN帧直接发送到AP控制装置900。另外,以太报头以及自适应报头在网端帧变换处理单元1060附加在无线LAN帧中。进一步地,在该自适应报头附加表示在AP控制装置900进行加密解密处理的信息。比如使自适应报头的加密解密处理标记为1。
这里,在无线LAN基站装置1000和AP控制装置900之间,AP控制装置900对于通信终端装置300-1进行加密解密处理,无线LAN基站装置1000将使自适应报头的加密解密处理标记为1的帧发送到AP控制装置900(步骤ST8008)。
在AP控制装置900中,终端端发送接收单元110接收来自无线LAN基站装置1000的帧。然后,终端端帧变换处理单元930将附加在该帧的自适应报头所包含的加密解密处理标记的信息,以及去除了报头的用户数据本身输出到加密解密判定单元940。
加密解密判定单元940进行与接收了的加密解密处理标记对应的处理。具体而言,当加密解密处理标记为1的情况下,也就是表示在AP控制装置900进行用户数据的解密的情况下,加密解密判定单元940将用户数据输出到加密解密处理单元950,并在该处进行解密处理。然后,加密解密判定单 元940将解密处理后的用户数据输出到网端帧变换处理单元970。然后,网端帧变换处理单元970以配合网端的网络形态对用户数据进行帧变换处理。然后,网端帧变换处理单元970将帧变换处理后的帧发送到网端的网络。另外,当加密解密处理标记为0的情况下,也就是表示在无线LAN基站装置1000进行了用户数据的解密的情况下,没有必要在AP控制装置900进行解密处理,因此,加密解密判定单元940将从终端端帧变换处理单元930接收了的用户数据直接输出到网端帧变换处理单元970。
接下来,假设AP控制装置900从网端网络接收了帧。于是,在AP控制装置900中,网端帧变换处理单元970接收该帧,并将该接收帧变换成无线LAN帧。然后,网端帧变换处理单元970将得到的无线LAN帧输出到加密解密判定单元940。
加密解密判定单元940参照无线LAN帧的报头(IEEE802.11报头)的第一个地址,来判定作为该无线LAN帧的目的地的通信终端装置300。然后,加密解密判定单元940参照加密解密位置表格960,进行与加密位置决定信息对应的处理,所述加密位置决定信息与判定出的通信终端装置300对应。
也就是说,当与判定出的通信终端装置300对应的加密位置决定信息表示在AP控制装置900进行加密解密处理时,加密解密判定单元940将无线LAN帧输出到加密解密处理单元950,并在此进行加密处理。然后,加密解密判定单元940通过终端端帧变换处理单元930以及终端端发送接收单元110,将加密处理后的无线LAN帧发送到无线LAN基站装置1000。另外,以太报头以及自适应报头在终端端帧变换处理单元930附加在无线LAN帧中。进一步地,在该自适应报头附加表示在本装置进行了加密解密处理的信息。比如使自适应报头的加密解密处理标记为0。
另一方面,当与所判定的通信终端装置300对应的加密位置决定信息表示在无线LAN基站装置1000进行加密解密处理时,加密解密判定单元940通过终端端帧变换处理单元930以及终端端发送接收单元110,将无线LAN帧直接发送到无线LAN基站装置1000。另外,以太报头以及自适应报头在终端端帧变换处理单元930附加在无线LAN帧中。进一步地,在该自适应报头附加表示在无线LAN基站装置1000进行加密解密处理的信息。比如使自适应报头的加密解密处理标记为1。
这里,当假设无线LAN帧的目的地为通信终端装置300-1,在无线LAN 基站装置1000和AP控制装置900之间,由AP控制装置900进行加密解密处理。因此,AP控制装置900如上述那样进行加密处理,并将无线LAN帧发送到无线LAN基站装置1000(步骤ST8009)。另外,表示在AP控制装置900进行了加密解密处理的信息被附加在此时的自适应报头中。也就是说,加密解密处理标记为0。
在无线LAN基站装置1000中,网端帧变换处理单元1060通过网端发送接收单元210接收来自AP控制装置900的帧。然后,网端帧变换处理单元1060将附加在帧中的自适应报头所包含的加密解密处理标记的信息,以及去除了报头的用户数据本身输出到加密解密判断单元1030。
加密解密判断单元1030进行与接收了的加密解密处理标记对应的处理。具体而言,当加密解密处理标记为1的情况下,也就是表示在本装置进行帧的加密的情况下,加密解密判断单元1030将帧输出到加密解密处理单元1040,并在该处进行加密处理。然后,加密解密判断单元1030将加密处理后的无线LAN帧输出到终端端接收发送单元260。终端端接收发送单元260将加密处理后的无线LAN帧输出到通信终端装置300-1(步骤ST8010)。另外,当加密解密处理标记为0的情况下,也就是表示在AP控制装置900进行了帧的加密的情况下,没有必要在无线LAN基站装置1000进行加密处理,因此,加密解密判断单元1030通过终端端接收发送单元260,将从网端帧变换处理单元1060接收了的帧直接输出到通信终端装置300-1。
在步骤ST8011中,如在实施方式1中说明了的认证处理以及密钥播发处理,在本实施方式的通信***中对通信终端装置300-2进行。另外,该认证处理以及密钥播发处理利用实施方式2或者3的方法也是可以的。
在步骤ST8012中,关于通信终端装置300-2,进行加密位置的选择。也就是,关于通信终端装置300-2,决定委托无线LAN基站装置1000进行加密解密处理还是通过本装置进行加密解密处理。
在步骤ST8013中,AP控制装置900的认证处理单元910使该加密位置决定信息反映给加密解密位置表格960,同时通过终端端发送接收单元110将该加密位置决定信息发送到无线LAN基站装置1000。另外,这里假设决定为由无线LAN基站装置1000关于通信终端装置300-2进行加密解密处理。
在无线LAN基站装置1000中,帧处理单元1010通过网端发送接收单元210接收加密位置决定信息。然后,帧处理单元1010使有关通信终端装置 300-2的加密位置决定信息反映到加密解密位置表格1050。
然后,当在通信终端装置300-2发生发送数据,利用已经播发的密码钥加密的用户数据被发送到无线LAN基站装置1000(步骤ST8014),所述无线LAN基站装置1000管理通信终端装置300-2。
在无线LAN基站装置1000中,终端端发送接收单元260接收来自通信终端装置300-2的作为用户数据的无线LAN帧。而且,加密解密判定单元1030参照加密解密位置表格1050,进行与加密位置决定信息对应的处理,所述加密位置决定信息是与该无线LAN帧的发送源地址对应的有关通信终端装置300的信息。
这里,在无线LAN基站装置1000与AP控制装置900之间,由无线LAN基站装置1000对通信终端装置300-2进行加密解密处理,因此无线LAN基站装置1000使附加在解密后的无线LAN帧中的自适应报头的加密解密处理标记为0,并发送到AP控制装置900(步骤ST8015)。
在AP控制装置900中,终端端发送接收单元110接收来自无线LAN基站装置1000的帧。然后,终端端帧变换处理单元930将附加在该帧的自适应报头所包含的加密解密处理标记的信息,以及去除了报头的用户数据本身输出到加密解密判定单元940。
加密解密判定单元940进行与接收了的加密解密处理标记对应的处理。这里,因为加密解密处理标记为0,所以将从终端端帧变换处理单元930接收了的用户数据直接输出到网端帧变换处理单元970。
接下来,假设AP控制装置900从网端网络接收了帧。那样,在AP控制装置900中,网端帧变换处理单元970接收该帧。然后,网端帧变换处理单元970将该接收帧变换为无线LAN帧,并输出到加密解密判定单元940。
加密解密判定单元940参照无线LAN帧的报头(IEEE802.11报头)的第一个地址,来判定作为该无线LAN帧的目的地的通信终端装置300。然后,加密解密判定单元940参照加密解密位置表格960,进行与加密位置决定信息对应的处理,所述加密位置决定信息与判定出的通信终端装置300对应。这里,因为与判定出的通信终端装置300(通信终端装置300-2)对应的加密解密处理标记表示在无线LAN基站装置1000进行加密解密处理,所以加密解密判定单元940通过终端端帧变换处理单元930以及终端端发送接收单元110,将无线LAN帧发送到无线LAN基站装置1000(步骤ST8016)。另外, 在终端端帧变换处理单元930使自适应报头的加密解密处理标记为1。
在无线LAN基站装置1000中,网端帧变换处理单元1060通过网端发送接收单元210接收来自AP控制装置900的帧。然后,网端帧变换处理单元1060将附加在该帧中的自适应报头所包含的加密解密处理标记的信息,以及去除了报头的用户数据本身输出到加密解密判断单元1030。
加密解密判断单元1030进行与所接收的加密解密处理标记对应的处理。这里,因为加密解密处理标记为1,所以加密解密判断单元1030将帧输出到加密解密处理单元1040,并在该处进行加密处理。然后,加密解密判断单元1030将加密处理后的无线LAN帧输出到终端端接收发送单元260。终端端接收发送单元260将加密处理后的无线LAN帧输出到通信终端装置300-2(步骤ST8017)。
如上所述,在本实施方式的通信***中,能够在无线LAN基站装置1000和AP控制装置900之间对每个通信终端装置300改变加密解密的位置的分配。另外,加密信息决定信息不只是在认证后,无论何时都可传送,而且从无线LAN基站装置1000和AP控制装置900的哪一个都可传送,从而能够改变加密解密的位置。比如,因为当AP控制装置900的负荷变重,监视表示某负荷的值,当该值超过阈值的情况下,能够将加密解密的处理的一部分改变为使无线LAN基站装置1000进行。
(其它的实施方式)
在实施方式1到实施方式3中,无线LAN基站装置200、无线LAN基站装置600、以及无线LAN基站装置800具有加密解密功能。但是,AP控制装置100、AP控制装置500以及AP控制装置700也可以具有与通信终端装置300的通信中的加密解密功能。
在该情况下,因为只有AP控制装置100、AP控制装置500以及AP控制装置700具有加密解密功能以及认证功能,所以无线LAN基站装置200、无线LAN基站装置600以及无线LAN基站装置800无需保持PTK以及GTK,因此使所有的帧通过。
本说明书基于2005年3月4日提交的日本专利申请特愿第2005-060517号以及2005年3月28日提交的日本专利申请特愿第2005-092199号。它们的内容全部包括在此。
工业实用性
本发明的密钥播发控制装置以及无线基站装置具有提高无线通信***中的安全性的效果,特别是对无线LAN***中的接入点以及接入点控制装置很有用。

Claims (10)

1.一种密钥播发控制装置,是播发用于通信终端装置和无线基站装置之间的通信的密码钥信息的密钥播发控制装置,包括:
控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手步骤或者组密钥握手步骤中的消息同步地传送该密码钥信息;以及
发送单元,发送来自所述控制单元的信息,其中,
所述控制单元与所述消息同步地传送组临时密钥使用信息和所述密码钥信息,所述组临时密钥使用信息是表示有关作为所述密码钥信息的组临时密钥发送原有的组临时密钥还是发送新生成的组临时密钥的信息。
2.如权利要求1所述的密钥播发控制装置,其中,当所述组临时密钥使用信息表示为新的组临时密钥时,所述控制单元进一步将基于作为所述密码钥信息的成双临时密钥和所述组临时密钥使用信息计算出的钥消息完整性代码包含在作为所述消息的EAPoL-Key帧中并传送。
3.一种密钥播发控制装置,是播发用于通信终端装置和无线基站装置之间的通信的密码钥信息的密钥播发控制装置,包括:
控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手步骤或者组密钥握手步骤中的消息同步地传送该密码钥信息;以及
发送单元,发送来自所述控制单元的信息,其中,
所述控制装置在所述四次握手步骤或者所述组密钥握手步骤结束时传送控制信息,所述控制信息成为将发送到所述无线基站装置的密码钥信息适用于与所述通信终端装置的通信的触发。
4.一种无线基站装置,包括:
接收单元,接收密码钥信息、组临时密钥使用信息和EAPoL-Key帧;以及
控制单元,控制对通信终端装置转发所述EAPoL-Key帧,其中,
当所述接收的组临时密钥使用信息表示为原有的组临时密钥时,所述控制单元使对将帧发送到其它的通信终端装置的次数进行计数的组临时密钥计数值包含在所述EAPoL-Key帧中,所述帧通过作为所述密码钥信息的原有的组临时密钥被加密,
当所述接收的组临时密钥使用信息表示为新的组临时密钥时,所述控制单元使所述组临时密钥计数值为零,并包含在所述EAPoL-Key帧中,
所述控制单元进一步基于包含所述组临时密钥计数值的EAPoL-Key帧和作为密码钥信息的成双临时密钥来计算钥消息完整性代码值,并发送包含了该钥消息完整性代码的所述EAPoL-Key帧。
5.一种无线基站装置,包括:
接收单元,接收密码钥信息、组临时密钥使用信息和EAPoL-Key帧;以及
控制单元,控制对通信终端装置转发所述EAPoL-Key帧,其中,
当所述接收的组临时密钥使用信息表示为原有的组临时密钥时,所述控制单元使对将帧发送到其它的通信终端装置的次数进行计数的组临时密钥计数值包含在所述EAPoL-Key帧中,所述帧通过作为所述密码钥信息的原有的组临时密钥被加密,并基于包含该组临时密钥计数值的EAPoL-Key帧和作为所述密码钥信息的成双临时密钥来计算钥消息完整性代码值,并发送进一步包含了该钥消息完整性代码的所述EAPoL-Key帧,
当所述接收的组临时密钥使用信息表示为新的组临时密钥时,所述控制单元直接转发所述EAPoL-Key帧。
6.一种通信***,是包括通信终端装置、无线基站装置、以及播发用于所述通信终端装置和所述无线基站装置之间的通信的密码钥信息的密钥播发控制装置的通信***,其中,
所述密钥播发控制装置具有:控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手步骤或者组密钥握手步骤中的消息同步地传送该密码钥信息;以及发送单元,发送来自所述控制单元的信息,
所述无线基站装置具有:暂时保持单元,暂时保持从所述密钥播发控制装置发送的密码钥信息;以及控制单元,将所述四次握手步骤或者组密钥握手步骤中的其它的消息作为触发,使所述暂时保持的密码钥信息适用于与所述通信终端装置的通信。
7.一种通信***,是包括通信终端装置、无线基站装置、以及播发用于所述通信终端装置和所述无线基站装置之间的通信的密码钥信息的密钥播发控制装置的通信***,其中,
所述密钥播发控制装置具有:控制单元,生成所述密码钥信息,并与传送802.11i标准或者WPA标准的、四次握手步骤或者组密钥握手步骤中的消息同步地传送该密码钥信息,而且在所述四次握手步骤或者所述组密钥握手步骤结束时传送控制信息,所述控制信息成为将发送到所述无线基站装置的密码钥信息适用于与所述通信终端装置的通信的触发;以及发送单元,发送来自所述控制单元的信息,
所述无线基站装置具有:暂时保持单元,暂时保持从所述密钥播发控制装置发送的密码钥信息;以及控制单元,基于从所述密钥播发控制装置发送的所述控制信息,使所述暂时保持的密码钥信息适用于与所述通信终端装置的通信。
8.一种密钥播发控制装置,是播发用于通信终端装置和无线基站装置之间的通信的密码钥信息的密钥播发控制装置,包括:
控制单元,生成所述密码钥信息并将该密码钥信息发送到所述无线基站装置;以及
接收单元,接收在发送帧时计数的组临时密钥计数值,所述帧通过已发送的作为所述密码钥信息的组临时密钥被加密,
所述控制单元将基于作为所述密码钥信息的成双临时密钥和所述组临时密钥计数值而计算出的钥消息完整性代码以及所述组临时密钥计数值包含在消息3的EAPoL-Key帧中并发送,所述消息3是以四次握手步骤依次传送的从第1到第4的消息中的第3消息。
9.一种无线基站装置,接收从密钥播发控制装置播发的密码钥信息,并利用该密码钥信息与通信终端装置进行加密通信,包括:
接收单元,接收来自所述通信终端装置的802.11i标准或者WPA标准的四次握手步骤中的消息2和消息4,所述消息2和消息4是以四次握手步骤依次传送的从第1到第4的消息中的第2消息和第4消息;以及
发送控制单元,当接收了所述消息2或者所述消息4时,将在发送帧时计数的组临时密钥计数值发送到所述密钥播发控制装置,所述帧通过作为所述密码钥信息的组临时密钥被加密。
10.一种通信***,是包括通信终端装置、无线基站装置、以及播发用于所述通信终端装置和所述无线基站装置之间的通信的密码钥信息的密钥播发控制装置的通信***,其中,
所述密钥播发控制装置具有:
接收单元,连同在发送帧时计数的组临时密钥计数值,接收802.11i标准或者WPA标准的四次握手步骤中的消息2,所述帧是通过已发送的作为所述密码钥信息的组临时密钥加密的帧,所述消息2是以四次握手步骤依次传送的从第1到第4的消息中的第2消息,以及
控制单元,生成所述密码钥信息并将该密码钥信息发送到所述无线基站装置,而且将基于作为所述密码钥信息的成双临时密钥和所述组临时密钥计数值而计算出的钥消息完整性代码以及所述组临时密钥计数值包含在消息3的EAPoL-Key帧并发送,所述消息3是所述从第1到第4的消息中的第3消息,
所述无线基站装置具有:
接收单元,接收来自所述通信终端装置的所述四次握手步骤中的消息2以及消息4,所述消息2和消息4是所述从第1到第4的消息中的第2消息和第4消息;以及
发送控制单元,当接收了所述消息2或者所述消息4时,将所述组临时密钥计数值发送到所述密钥播发控制装置。
CN2006800070737A 2005-03-04 2006-02-28 密钥播发控制装置、无线基站装置以及通信*** Expired - Fee Related CN101133592B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2005060517 2005-03-04
JP060517/2005 2005-03-04
JP092199/2005 2005-03-28
JP2005092199 2005-03-28
PCT/JP2006/303780 WO2006093161A1 (ja) 2005-03-04 2006-02-28 鍵配信制御装置、無線基地局装置および通信システム

Publications (2)

Publication Number Publication Date
CN101133592A CN101133592A (zh) 2008-02-27
CN101133592B true CN101133592B (zh) 2011-09-21

Family

ID=36941190

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006800070737A Expired - Fee Related CN101133592B (zh) 2005-03-04 2006-02-28 密钥播发控制装置、无线基站装置以及通信***

Country Status (5)

Country Link
US (1) US7907734B2 (zh)
EP (1) EP1843508A1 (zh)
JP (1) JP4804454B2 (zh)
CN (1) CN101133592B (zh)
WO (1) WO2006093161A1 (zh)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7606362B1 (en) * 2005-01-25 2009-10-20 Altera Corporation FPGA configuration bitstream encryption using modified key
US9106409B2 (en) * 2006-03-28 2015-08-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity
US8010778B2 (en) * 2007-06-13 2011-08-30 Intel Corporation Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link
US20080313462A1 (en) * 2007-06-13 2008-12-18 Meiyuan Zhao Apparatus and method for deriving keys for securing peer links
GB2452251B (en) * 2007-08-21 2010-03-24 Motorola Inc Method and apparatus for authenticating a network device
US9198033B2 (en) 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
CN101436930A (zh) * 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、***和设备
CN100566240C (zh) * 2007-11-16 2009-12-02 西安西电捷通无线网络通信有限公司 一种wapi单播密钥协商方法
CN101159538A (zh) * 2007-11-16 2008-04-09 西安西电捷通无线网络通信有限公司 一种密钥管理方法
US20090136043A1 (en) * 2007-11-26 2009-05-28 Motorola, Inc. Method and apparatus for performing key management and key distribution in wireless networks
JP5328141B2 (ja) 2007-12-05 2013-10-30 キヤノン株式会社 通信装置、通信装置の制御方法、コンピュータプログラム
JP5328142B2 (ja) * 2007-12-05 2013-10-30 キヤノン株式会社 通信装置、通信装置の制御方法、コンピュータプログラム
JP5270937B2 (ja) 2008-03-17 2013-08-21 キヤノン株式会社 通信装置及びその制御方法
US8654756B2 (en) * 2008-07-18 2014-02-18 Panasonic Corporation Transmission device, reception device, transmission method, reception method, and transmission/reception system
US10447657B2 (en) * 2008-08-22 2019-10-15 Qualcomm Incorporated Method and apparatus for transmitting and receiving secure and non-secure data
US8060099B2 (en) * 2008-08-27 2011-11-15 Qualcomm Incorporated Inter-sector control channel transmission
CN101577905B (zh) 2009-02-27 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种以分离mac模式实现会聚式wapi网络架构的方法
CN101577904B (zh) 2009-02-27 2011-04-06 西安西电捷通无线网络通信股份有限公司 以分离mac模式实现会聚式wapi网络架构的方法
CN101577978B (zh) * 2009-02-27 2011-02-16 西安西电捷通无线网络通信股份有限公司 一种以本地mac模式实现会聚式wapi网络架构的方法
JP5279693B2 (ja) * 2009-12-14 2013-09-04 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
WO2011108268A1 (ja) 2010-03-03 2011-09-09 パナソニック株式会社 記録媒体装置に組み込まれるコントローラ、記録媒体装置、記録媒体装置の製造システム、および記録媒体装置の製造方法
US8804957B2 (en) * 2010-03-29 2014-08-12 Nokia Corporation Authentication key generation arrangement
US9998545B2 (en) * 2011-04-02 2018-06-12 Open Invention Network, Llc System and method for improved handshake protocol
US8959607B2 (en) * 2011-08-03 2015-02-17 Cisco Technology, Inc. Group key management and authentication schemes for mesh networks
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
CN103313242B (zh) * 2012-03-16 2018-06-12 中兴通讯股份有限公司 密钥的验证方法及装置
CN103391540B (zh) * 2012-05-08 2017-02-01 华为终端有限公司 密钥信息生成方法及***、终端设备、接入网设备
CN103781065B (zh) * 2012-10-25 2018-09-07 华为终端有限公司 一种组密钥更新方法和相关装置及***
US9326144B2 (en) * 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN
US9363671B2 (en) 2013-03-15 2016-06-07 Qualcomm Incorporated Authentication for relay deployment
US9699654B2 (en) 2014-11-05 2017-07-04 Qualcomm Incorporated Authenticating messages in a wireless communication
CN107925611B (zh) 2015-08-05 2021-09-17 高通股份有限公司 用于移动cdn的深度分组检视指示
CN108141465B (zh) * 2015-08-11 2021-07-16 高通股份有限公司 Http知悉型内容高速缓存
WO2017124442A1 (zh) * 2016-01-22 2017-07-27 华为技术有限公司 用于接入无线局域网络的方法、装置和***
CN109451493B (zh) * 2018-11-30 2022-03-18 锐捷网络股份有限公司 基于wpa的密钥配置方法及装置
CN114567879A (zh) * 2022-02-16 2022-05-31 重庆九格慧科技有限公司 基于无线级联的密钥分发***

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2563645B2 (ja) * 1990-05-30 1996-12-11 松下電器産業株式会社 文書検索装置
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP4619788B2 (ja) 2002-10-11 2011-01-26 パナソニック株式会社 Wlan相互接続における識別情報の保護方法
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks
JP2004208073A (ja) * 2002-12-25 2004-07-22 Sony Corp 無線通信システム
CN100389555C (zh) * 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JP特开2002-124952A 2002.04.26
JP特开2004-208073A 2004.07.22

Also Published As

Publication number Publication date
JPWO2006093161A1 (ja) 2008-08-07
CN101133592A (zh) 2008-02-27
EP1843508A1 (en) 2007-10-10
WO2006093161A1 (ja) 2006-09-08
JP4804454B2 (ja) 2011-11-02
US20090052674A1 (en) 2009-02-26
US7907734B2 (en) 2011-03-15

Similar Documents

Publication Publication Date Title
CN101133592B (zh) 密钥播发控制装置、无线基站装置以及通信***
CN101810019B (zh) 对无线网络中的节点的认证方法和装置
CN1805333B (zh) 无线网络***中的数据安全
CN102130768B (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
US8831227B2 (en) Method and system for establishing secure connection between stations
CN101529794A (zh) 用于在ad hoc无线网络的节点之间建立安全关联的方法和装置
CN101356759A (zh) 安全密钥材料的基于令牌的分布式生成
CN101150572B (zh) 移动节点和通信对端绑定更新的方法及装置
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN102546184B (zh) 传感网内消息安全传输或密钥分发的方法和***
CN101512537A (zh) 在自组无线网络中安全处理认证密钥资料的方法和***
Othman et al. Physically secure lightweight and privacy-preserving message authentication protocol for VANET in smart city
CN108964897B (zh) 基于群组通信的身份认证***和方法
Khan et al. Secure authentication and key management protocols for mobile multihop WiMAX networks
CN101741548B (zh) 交换设备间安全连接的建立方法及***
CN101635922B (zh) 无线网状网络安全通信方法
US8447033B2 (en) Method for protecting broadcast frame
US20070055870A1 (en) Process for secure communication over a wireless network, related network and computer program product
KR20190040443A (ko) 스마트미터의 보안 세션 생성 장치 및 방법
CN101253747A (zh) 在采用多跳方法的通信***中传输数据的方法和装置
JP5448700B2 (ja) 通信システム、収集装置および鍵更新方法
Dai et al. Analysis and research of security mechanism in IEEE 802.16 j
Ortiz-Yepes Balsa: Bluetooth low energy application layer security add-on
CN114285550A (zh) 一种量子安全密钥服务网络、***与节点装置
JP5220625B2 (ja) 端末間ネゴシエーションにおける認証方法及びシステム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110921

Termination date: 20130228