CN102348205A - 中继装置、无线通信装置、网络***及其控制方法 - Google Patents

中继装置、无线通信装置、网络***及其控制方法 Download PDF

Info

Publication number
CN102348205A
CN102348205A CN2011102091020A CN201110209102A CN102348205A CN 102348205 A CN102348205 A CN 102348205A CN 2011102091020 A CN2011102091020 A CN 2011102091020A CN 201110209102 A CN201110209102 A CN 201110209102A CN 102348205 A CN102348205 A CN 102348205A
Authority
CN
China
Prior art keywords
verify data
radio communication
relay
communication device
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2011102091020A
Other languages
English (en)
Inventor
山口悟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Publication of CN102348205A publication Critical patent/CN102348205A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种中继装置、无线通信装置、网络***及其控制方法。中继装置首先利用现行的认证数据来判定无线通信装置所发送的请求认证数据是否有效。在利用现行的认证数据判定为有效的情况下,中继装置对该无线通信装置与其他无线通信装置之间的通信进行中继。在利用现行的认证数据判定为无效的情况下,中继装置接着利用旧认证数据来判定请求认证数据是否有效。在利用旧认证数据判定为请求认证数据为有效的情况下,中继装置将现行的认证数据提供给无线通信装置,以使无线通信装置更新认证数据。

Description

中继装置、无线通信装置、网络***及其控制方法
技术领域
本发明涉及一种中继装置、无线通信装置、网络***及其控制方法,具体涉及在含有中继装置及无线通信装置的网络***中进行无线通信时的安全技术。
背景技术
现有技术中,接入点(accesspoint)(中继装置)作为进行数据通信的网络***的一部分,被用来将无线通信装置与网络连接以进行无线通信。为了降低合法用户以外的非法用户的接入(也称为“非法接入”)的可能性,接入点在使无线通信装置与网络连接之前,判定是否许可该连接。这样的判定可以采用多种方式,例如,利用在接入点与无线通信装置之间预先所注册的共同的密钥的方式(例如,WPA-PSK(Wi-Fi ProtectedAccess-Pre-shared key)或WPA2-PSK)(参考专利文献1)。
然而,接入点与无线通信装置之间通过无线通信而被进行收发的通信数据却容易受到侦听。因此,为了降低非法接入的可能性,上述利用共同密钥的技术最好是对密钥进行更新(即,长时间不持续使用相同的密钥)。但是,对接入点和无线通信装置的各自的密钥进行更新的作业却给用户带来了很大的负担。尤其是近几年,用户逐渐地开始利用多个无线通信装置(例如,电脑、游戏机、移动电话、电视机及刻录机等),从而该情况下对所有的无线通信装置的密钥进行更新,就给用户带来特别大的负担。其结果,用户若不对密钥进行更新,安全性可能就得不到保障。
此外,这样的技术问题不仅仅只存在于上述的利用WPA-PSK或WPA2-PSK的***,而是利用预先所设定的数据来判定是否许可连接的***中所共同存在的技术问题。
因此,本发明的目的在于,提供一种既能够避免给用户带来过大的负担又能够降低非法接入的可能性的、利用无线通信技术的中继装置、无线通信装置、网络***及其控制方法。
[专利文献1]:日本特开2007-013348号公报
发明内容
本发明用于解决上述技术问题中的至少一部分问题,并能够通过下述的实施方式或适用例而实现。
本发明涉及一种经由通信接口来与无线通信装置进行无线通信的中继装置。为了达到上述目的,本发明的中继装置具备:存储部,该存储部能够储存多个认证数据,该多个认证数据被用来判定从无线通信装置接收的、请求对该无线通信装置与其他通信装置之间的通信进行中继的请求认证数据是否有效;认证数据更新部,更新当前一代的认证数据,并且,将更新了的当前一代的认证数据作为现行的认证数据,以及将在所更新了的当前一代的认证数据的至少前一代的认证数据作为旧认证数据,储存到存储部;现行认证数据判定部,利用现行的认证数据来判定从无线通信装置接收到的请求认证数据是否有效;中继控制部,当在现行认证数据判定部中判定为请求认证数据有效的情况下,执行通信的中继;旧认证数据判定部,当在现行认证数据判定部中判定为请求认证数据无效的情况下,利用旧认证数据来判定请求认证数据是否有效;认证数据供给部,当在旧认证数据判定部中判定为请求认证数据有效的情况下,将现行的认证数据提供给无线通信装置。
根据该结构,中继装置的认证数据更新部通过对认证数据进行更新,能够降低非法接入的可能性。并且,通过更新认证数据,在来自无线通信装置的请求认证数据基于现行的认证数据不是有效(valid),但该请求认证数据基于旧认证数据是有效的情况下,认证数据供给部将现行的认证数据提供给无线通信装置。因此,合法用户的无线通信装置在没有过大负担的情况下,就能够获得现行的认证数据。从而,该无线通信装置能够利用现行的认证数据来获得肯定的判断结果。其结果,该结构的中继装置不仅能够避免给用户带来过大的负担,又能够降低非法接入的可能性。
认证数据供给部可以对现行的认证数据进行加密,将经加密的现行的认证数据发送给无线通信装置。该情况下,认证数据供给部可以利用共同密钥加密方式来对现行的认证数据进行加密。此外,认证数据供给部也可以对现行的认证数据进行多重加密。
根据该结构,能够降低无权限的人非法地推测出现行的连接认证数据的可能性。
此外,本发明的中继装置还包括更新日程决定部,该更新日程决定部决定认证数据更新部对当前一代的认证数据进行更新的日程。从而认证数据更新部可以按照更新日程决定部所决定的日程来自动更新认证数据。
根据该结构,由于连接认证数据更新部按照日程来自动更新连接认证数据,从而能够自动地降低非法接入的可能性。
此外,本发明涉及经由通信接口与中继装置进行无线通信的无线通信装置。为达到上述目的,本发明的无线通信装置具备:存储部,该存储部储存基准认证数据,该基准认证数据用来决定请求中继装置对该无线通信装置与其它通信装置之间的通信进行中继的请求认证数据;请求认证数据供给部,利用存储部中所储存的基准认证数据来决定请求认证数据,并将所决定的请求认证数据提供给中继装置;认证数据更新部,从中继装置所提供的数据中获取现行的认证数据,并基于所获取的现行的认证数据来对存储部中所储存的基准认证数据进行更新。
根据该结构,认证数据更新部利用中继装置所提供的供给数据更新基准认证数据,并将更新后的数据储存到存储部。因此,中继装置在执行了有效的认证数据的更新的处理(例如,口令(passphrase)等的更新)时,将表示所要更新成的基准认证数据的供给数据提供给无线通信装置,无线通信装置则能够在不给用户带来过大的负担的情况下,利用中继装置所提供的数据来对基准认证数据进行更新。此外,进行有效的基准认证数据的变更的处理能够减低非法接入的可能性。从而,该结构的无线通信装置不仅能够避免给用户带来过大的负担,而且能够降低非法接入的可能性。
此外,本发明可以通过中继装置及无线通信装置以外的各种形式来实现。例如可以通过中继装置的控制方法、无线通信装置的控制方法、含有中继装置和无线通信装置的网络***以及该***的控制方法、用于实现这些装置及方法的功能的计算机程序、储存该计算机程序的存储介质等形式来实现。
本发明例如能够应用到含有中继装置和无线通信装置的网络***等中,尤其在提高无线通信时的安全性方面特别有效。以下参照附图,通过详细说明来进一步阐明本发明的上述以及其他目的、特征、方面及效果。
附图说明
图1是示出本发明的第1实施方式所涉及的网络***1000的结构的图。
图2是示出本发明的第1实施方式所涉及的中继装置100及无线通信装置500的具体结构的方框图。
图3是示出认证数据更新部215所进行的更新处理的顺序的流程图。
图4是示出中继装置100及无线通信装置500所进行的连接判断处理的顺序的序列图。
图5是示出图4的步骤S215的判定结果是肯定的情况下的处理的序列图。
图6是示出第2实施方式中,将现行的第1预共享密钥APSK1从中继装置100提供给无线通信装置500的处理的另一实施例的序列图。
图7是示出本发明的第3实施方式所涉及的中继装置100a及无线通信装置500的具体结构的方框图。
图8A及图8B是示出更新日程决定部218所决定的日程的一例的图。
具体实施方式
以下参照附图,对本发明的实施方式进行说明。
<第1实施方式>
图1是示出本发明的第1实施方式所涉及的网络***1000的结构的图。该网络***1000具有:网络910、与网络910连接的中继装置100、与中继装置100通过无线通信连接的无线通信装置500及502。中继装置100和无线通信装置500及502分别是基于例如IEEE(The Institute of Electrical andElectronics Engineers:美国电气电子工程学会)802.11标准的无线LAN(Local Area Network)通信设备。此外,无线通信可以采用IEEE802.11以外的标准。
本实施方式中,网络910是通过限定区域而构成的内部网络(例如,企业内网络等的LAN、提供联网联接的因特网服务供应商的网络等的WAN(Wide Area Network))。该网络910与图未示出的因特网连接。
中继装置100是利用无线网络900与无线通信装置500及502进行无线通信的接入点。无线通信装置500及502是能够进行无线通信的任意的通信装置,例如是平板电脑、移动电话、游戏装置及家电设备(电视机、摄像机或刻录机等)。本实施方式中示出的例子是无线通信装置500及502是个人电脑的情况。此外,本发明的网络***1000中所包含的无线通信装置的数量也可以不是2台。
中继装置100响应来自无线通信装置500或502的请求,按照WPA2-PSK方式来进行连接判定。该连接判定是判定是否许可经由中继装置100使无线通信装置500或502与中继装置100所连接的网络910连接。换言之,连接判定是判定是否许可无线通信装置500或502经由中继装置100而与各种通信装置(例如,未图示出的Web服务器、邮箱服务器、其他个人电脑等)进行通信(也称为中继通信)。
在连接判定结果是肯定的情况下,中继装置100使无线通信装置500或502与网络910连接。由此,无线通信装置500或502经由网络910能够与各种通信装置进行通信。而当连接判定的结果是否定的情况时,中继装置100不使无线中继装置500或502与网络910连接,由此,中继装置100能够降低非法接入的可能性。
图2是示出本发明的第1实施方式的中继装置100和无线通信装置500的具体结构的方框图。并且,该图2中只示出无线通信装置500中与本发明相关的结构,图示中省略了发挥个人电脑功能所需的结构。此外,由于无线通信装置502的结构与无线通信装置500的结构相同,所以省略其说明。
以下对中继装置100与无线通信装置502之间的通信方法进行说明。
首先说明图2所示的中继装置100的结构。
中继装置100具有:用于进行无线通信的无线接口(I/F)390、用于进行有线通信的有线接口(I/F)392、对中继装置100进行控制的控制部200以及储存各种信息的存储部300。
无线接口390是用于实现无线通信装置500与无线网络900之间的无线通信的接口。该无线通信的标准既可以采用上述的IEEE802.11,也可以采用IEEE802.11之外的标准。
有线接口392例如是与基于IEEE802.3的通信线连接而进行有线通信的接口。该图2的例子中,有线接口392与网络910连接。有线接口的标准可以是IEEE802.3以外的任意标准,例如可以采用电力线通信(PowerLine Communication:PLC)。
无线接口390及有线接口392整体与用于进行数据通信的“通信接口”相对应。通常,通信接口上连接有多条通信路径。本实施方式中,通信接口上连接有:到达无线通信装置500的通信路径,以及到达网络910的通信路径。中继装置100对这些通信路径之间的通信进行中继。
存储部300例如是可以写入的非易失性存储器(闪存等),并存储有中继装置100的动作所需要的设定或程序。图2的例子中,存储部300中储存有包括第1预共享密钥APSK1、第2预共享密钥APSK2、程序304等的各种信息。
控制部200是具有中央处理器(Central Processing Unit,CPU)210和存储器220(例如动态随机接入存储器(Dynamic Random Access Memory,DRAM))的计算机,并对中继装置100进行控制。CPU210通过执行存储部300中所储存的程序304,来发挥包含中继控制部212、现行认证数据判定部213、旧认证数据判定部214、认证数据更新部215、认证数据供给控制部216的各种处理部的功能。
中继控制部212对连接在通信接口(无线接口390和有线接口392)上的多个通信设备(例如,无线通信装置500或未图示出的其他中继装置)之间的通信进行中继。中继控制部212通过实现所谓的路由功能(第3层的中继)来对通信进行中继。路由功能所需的信息(例如,路径信息(也称为路由表))被储存在存储部300中(省略图示)。
此外,中继控制部212也可以实现中继通信的其他功能(例如,所谓的网桥功能(第2层的中继),来取代路由功能。此外,中继控制部212也可以只作为路由器来动作。
现行认证数据判定部213基于第1预共享密钥APSK1来进行连接判定。旧认证数据判定部214基于第2预共享密钥APSK2来进行连接判定。第1预共享密钥APSK1是当前正在使用的(当前一代的)密钥,并与现行的认证数据同义。第2预共享密钥APSK2是第1预共享密钥APSK1之前所使用的(上一代的)密钥,并与旧认证数据同义。认证数据更新部215对现行认证数据判定部213所利用的第1预共享密钥APSK1,以及旧认证数据判定部214所利用的第2预共享密钥APSK2分别进行更新。认证数据供给控制部216控制将现行的认证数据,即第1预共享密钥APSK1提供给无线通信装置500的处理。之后将具体说明这些构成部分所进行的连接判定、更新以及供给的各个处理。
此外,用户能够通过各种方法向中继装置100输入设定值或指示。例如,中继装置100可以具备未图示出的操作部(例如,按钮或触摸面板)。该情况下,用户通过对操作部进行操作,能够输入设定值或指示。此外,通过使与通信接口连接的终端显示用于对中继装置100进行设定的Web页面,从而用户可以通过该Web页面来输入设定值或指示。此外,与通信接口连接的终端可以执行用于进行设定的专门软件。
接着,说明图2所示的无线通信装置500的结构。
无线通信装置500具有:用于进行无线通信的无线接口(I/F)790、对无线通信装置500进行控制的控制部600以及储存各种信息的存储部700。
无线接口790是用于实现中继装置100与无线网络900之间的无线通信的接口。存储部700例如是可以写入的非易失性存储器(硬盘驱动器或固态驱动器(Solid State Drive,SSD)等),并存储有无线通信装置500的动作所需要的设定或程序。图2的例子中,存储部700中存储有包括预共享密钥SPSK及程序704的各种信息。该预共享密钥SPSK与基准认证数据同义,该基准认证数据被用来决定请求中继装置100与无线网络900连接的数据。
控制部600是具有CPU610和存储器620(例如DRAM))的计算机,并对无线通信装置500进行控制。CPU610通过执行存储部700中所储存的程序704,来发挥包含通信控制部611及认证数据更新部613的各种处理部的功能。以下,将“CPU610按照程序来执行某个处理部的功能”也记述为“该处理部执行处理”。
通信控制部611通过对无线接口790进行控制来与中继装置100进行无线通信。通信控制部611包括认证数据供给部611a。认证数据供给部611a利用存储部700中所储存的预共享密钥SPSK,来决定中继装置100中用来进行连接判定的数据,即请求认证数据,并将之提供给中继装置100。认证数据更新部613对认证数据供给部611a所利用的预共享密钥SPSK进行更新。之后将具体说明这些构成部分所进行的连接判定及更新的各个处理。
此外,用户能够通过各种方法向无线通信装置500输入设定值或指示。例如,无线通信装置500可以具备未图示出的操作部(例如,键盘或触摸面板)。该情况下,用户通过对操作部进行操作而能够输入设定值或指示。此外,通信控制部611也可以根据用户的指示来准备相应的预共享密钥SPSK,并将所准备的预共享密钥SPSK存储到存储部700。
接着,对本发明的第1实施方式所涉及的中继装置100所进行的更新处理进行说明。图3是示出图2所示的中继装置100的认证数据更新部215所进行的更新处理的顺序的流程图。在该更新处理中,认证数据更新部215对存储部300中所储存的第1预共享密钥APSK1及第2预共享密钥APSK2分别进行更新。认证数据更新部215根据用户的指示开始进行该更新处理。
步骤S100中,认识数据更新部215首先准备新的预共享密钥。可以采用各种方法来准备新的预共享密钥。例如,认证数据更新部215既可以采用用户所输入的值来作为新的预共享密钥,也可以采用通过随机数(randomnumber)发生处理而得到的随机数值来作为新的预共享密钥。
接着,在步骤S110中,认证数据更新部215接着将存储部300中当前所存储的现行的第1预共享密钥APSK1作为新的第2预共享密钥APSK2来储存到存储部300中。这里,认证数据更新部215既可以从存储部300中消去现行的第2预共享密钥APSK2后,将与现行的第1预共享密钥APSK1相同的值(数据)作为新的第2预共享密钥APSK2重新储存到存储部300中,也可以将与现行的第1预共享密钥APSK1相同的值(数据)盖写在现行的第2预共享密钥APSK2上。或者,认证数据更新部215从存储部300中消去现行的第2预共享密钥APSK2,并且不从存储部300中消去现行的第1预共享密钥APSK1,而通过将现行的第1预共享密钥APSK1识别为新的第2预共享密钥APSK2来使用。
认证数据更新部215最后将在步骤S100中所生成的新的预共享密钥作为新的第1预共享密钥APSK1而储存到存储部300中(步骤S120)。
通过上述的更新处理,在存储部300中,第1预共享密钥APSK1成为新准备的当前一代的预共享密钥,第2预共享密钥APSK2成为第1预共享密钥APSK1被更新以前所使用的(上一代)的预共享密钥。
接着,对本发明的第1实施方式所涉及的中继装置100及无线通信装置500所进行的连接判定处理进行说明。图4是示出图2所示的中继装置100及无线通信装置500所进行的连接判定处理的顺序的序列图。本实施方式中,中继装置100按照WPA2-PSK方式进行连接判定。
最初的处理PHa是所谓的形成关联(association)的处理。在该PHa处理中,通过中继装置100的中继控制部212与无线通信装置500的通信控制部611来确立中继装置100与无线通信装置500之间的通信。
接着,中继控制部212和通信控制部611按照所谓的4次握手(4way-handshake)来交换各种数据。中继装置100通过交换各种数据来进行连接判定。此外,在本实施方式中,中继控制部212和通信控制部611在4次握手中利用所谓的EAPOL(EAP(PPP Extensible AuthenticationProtocol)over LAN)帧。
步骤S200中,中继装置100的现行认证数据判定部213生成第1随机数ANonce,并将所生成的第1随机数ANonce提供给无线通信装置500。该步骤S200与4次握手的第1个消息对应。
接着,在步骤S205中,无线通信装置500的认证数据供给部611a生成临时密钥(transient key)SPTK。具体地,认证数据供给部611a生成第2随机数SNonce,并利用所生成的第2随机数SNonce、被提供的第1随机数ANonce及存储部700中所储存的预共享密钥SPSK,来生成临时密钥SPTK。计算临时密钥SPTK的函数是WPA(Wi-Fi Protected Access)标准中所采用的周知的函数。如后所述,中继装置100也利用相同的函数来计算各种临时密钥。
接着,在步骤S210中,认证数据供给部611a将第2随机数SNonce及消息完整性检查(Message Integrity Check)SMICa提供给中继装置100。计算消息完整性检查SMICa的函数是WPA标准中所采用的周知的函数。该函数的自变量(输入值)包含临时密钥SPTK的一部分及要发送的EAPOL帧的帧体(含第2随机数SNonce)。如后所述,中继装置100也利用相同的函数来计算各种消息完整性检查。该步骤S210与4次握手的第2个消息对应。
接着,在步骤S212中,中继装置100的现行认证数据判定部213利用第1随机数ANonce、被提供的第2随机数SNonce、存储部300中所储存的第1预共享密钥APSK1,来生成第1临时密钥APTK1。无线通信装置500的预共享密钥SPSK与中继装置100的第1预共享密钥APSK1一致的情况下,所生成的第1临时密钥APTK1与无线通信装置500的临时密钥SPTK一致。预共享密钥SPSK与第1预共享密钥APSK1不一致的情况下,第1临时密钥APTK1与临时密钥SPTK不一致。
接着,在步骤S215中,中继装置100的现行认证数据判定部213基于第1临时密钥APTK1(即,第1预共享密钥APSK1)来判定被提供的消息完整性检查SMICa的有效性。具体地,现行认证数据判定部213利用包含第1临时密钥APTK1以及被提供的EAPOL帧(含消息完整性检查SMICa)的帧体的各种信息,来计算第1消息完整性检查AMIC1。无线通信装置500的临时密钥SPTK与第1临时密钥APTK1一致的情况下(即,无线通信装置500的预共享密钥SPSK与第1预共享密钥APSK1一致的情况),所计算的第1消息完整性检查AMIC1与被提供的消息完整性检查SMICa一致。该情况下,基于第1预共享密钥APSK1判定为消息完整性检查SMICa有效。之后将说明被提供的消息完整性检查SMICa有效的情况下的处理。
另一方面,当所计算的第1消息完整性检查AMIC1与被提供的消息完整性检查SMICa不一致,而判定为消息完整性检查SMICa无效的情况下,在步骤S217中,中继装置100的旧认证数据判定部214生成第2临时密钥APTK2。第2临时密钥APTK2的计算除了用第2预共享密钥APSK2来取代第1预共享密钥APSK1之外,与第1临时密钥APTK1的计算相同。
接着,在步骤S220中,旧认证数据判定部214基于第2临时密钥APTK2(即,第2预共享密钥APSK2)来判定被提供的消息完整性检查SMICa的有效性。步骤S220中的对消息完整性检查SMICa的有效性的判定除了用第2消息完整性检查AMIC2来取代第1消息完整性检查AMIC1之外,与步骤S215中对消息完整性检查SMICa的有效性的判定相同。旧认证数据判定部214利用含有第2临时密钥APTK2及被提供的EAPOL帧(含消息完整性检查SMICa)的帧体的各种信息,来计算第2消息完整性检查AMIC2。
无线通信装置500的临时密钥SPTK与第2临时密钥APTK2一致的情况下(即,无线通信装置500的预共享密钥SPSK与第2预共享密钥APSK2一致的情况),所计算的第2消息完整性检查AMIC2与被提供的消息完整性检查SMICa一致。该情况下,基于第2预共享密钥APSK2,判定为消息完整性检查SMICa有效。当所计算的第2消息完整性检查AMIC2与被提供的消息完整性检查SMICa不一致,而判定为所提供的消息完整性检查SMICa无效的情况下,中继控制部212结束处理。
基于第2预共享密钥APSK2判定为消息完整性检查SMICa有效的情况下,在下一步的步骤S230中,旧认证数据判定部214将第1随机数ANonce及消息完整性检查AMICb提供给无线通信装置500。具体地,旧认证数据判定部214利用含有第2临时密钥APTK2的一部份及要提供的EAPOL帧的帧体(含第1随机数ANonce)的各种信息,来计算消息完整性检查AMICb。该步骤S230与4次握手的第3个消息对应。
接着,在步骤S235中,无线通信装置500的认证数据供给部611a将含有消息完整性检查SMICc的数据提供给中继装置100。具体地,认证数据供给部611a利用包含临时密钥SPTK的一部分及要提供的EAPOL帧的帧体的各种信息,来计算消息完整性检查SMICc。该步骤S235与4次握手的第4个消息对应。此外,认证数据供给部611a可以在提供数据以前来判定消息完整性检查AMICb的有效性。当消息完整性检查AMICb无效时,认证数据供给部611a可以不执行步骤S235就结束处理。
中继装置100的旧认证数据判定部214判定接收到的消息完整性检查SMICc的有效性。当消息完整性检查SMICc无效时,旧认证数据判定部214结束处理。
上述4次握手的处理(步骤S200、S210、S230及S235)的顺利完成,意味着现行认证数据判定部213所进行的连接判定的结果是否定的,但旧认证数据判断部214所进行的连接判定的结果却是肯定的。并且,由于4次握手的处理(步骤S200、S210、S230及S235)的顺利完成,中继装置100与无线通信装置500之间共享与旧一代的第2预共享密钥APSK2及预共享密钥SPSK建立了对应的、相同的第2临时密钥APTK2及临时密钥SPTK。所共享的临时密钥也被称为成对临时密钥(Pairwise Transient Key)。之后,中继装置100与无线通信装置500利用该第2临时密钥APTK2及临时密钥SPTK来对通信进行加密。该加密是在第2层的加密。本实施方式中,中继装置100的中继控制部212实现在第2层的加密及解密。此外,第2层与所谓的开放式***通信(Open System Interconnection,OSI)基准模式的第2层(数据链路层)对应。
接着在处理PHe1(步骤S300~S308)中,中继装置100的认证数据供给控制部216将现行的第1预共享密钥APSK1提供给无线通信装置500。具体地,在步骤S300中,认证数据供给控制部216向中继控制部212发出发送第1预共享密钥APSK1的指示。中继控制部212利用第2临时密钥APTK2,对第1预共享密钥APSK1进行加密。本实施方式中的加密方法是高级加密标准(Advanced Encryption Standard,AES)。但也可以采用其他加密方法(例如,临时密钥完整性协议(Temporal Key Integrity Protocol,TKIP)。在下一步骤的步骤S302中,中继控制部212将经加密后的数据发送给无线通信装置500。这样,中继控制部212的执行发送第1预共享密钥APSK1的处理的部分与认证数据供给控制部216整体,对应于将现行的第1预共享密钥APSK1提供给无线通信装置500的“认证数据供给部217”(参照图2)。
中继控制部212利用EAPOL帧来发送经加密后的第1预共享密钥APSK1。中继控制部212对EAPOL帧的帧体中预先决定了的部分(含表示第1预共享密钥APSK1的部分)进行加密。此外,该预先决定了的部分也可以是整个帧体。
接着,在步骤S304中,无线通信装置500的认证数据更新部613利用临时密钥SPTK来进行解密,由此从所接收的、经加密后的数据中来获取第1预共享密钥APSK1。在步骤S306中,认证数据更新部613将第1预共享密钥APSK1作为新的预共享密钥SPSK储存到存储部700中。由此,存储部700的预共享密钥SPSK就不是旧一代的第2预共享密钥APSK2,而是与现行的第1预共享密钥APSK1对应的预共享密钥。认证数据更新部613由此来更新预共享密钥SPSK。
接着,在步骤S308中,与更新预共享密钥SPSK相应地,认证数据更新部613向中继装置100发送确认应答ACK(acknowledgment response)。本实施方式中,认证数据更新部613利用EAPOL帧来发送该确认应答。接着,在步骤S390中,中继装置100的中继控制部212接收到确认应答后相应地解除关联。具体地,中继控制部212向无线通信装置发送所谓的“关联解除帧(disassociation frame)”。无线通信装置500的通信控制部611接收到关联解除帧后相应地解除关联。其结果,中继装置100与无线通信装置500之间的通信被切断。这样,利用基于旧一代的第2预共享密钥APSK2的加密的通信没有持续多长就结束。从而能够抑制非法接入的可能性。
无线通信装置500再次向中继装置100请求连接情况下,处理从图4的处理PHa开始。该情况下,无线通信装置500的预共享密钥SPSK与中继装置100的现行的第1预共享密钥APSK1相同。因此,在步骤S215中,现行认证数据判定部213基于第1预共享密钥APSK1,判定消息完整性检查SMICa有效。
图5是示出图4的步骤S215的判定结果为肯定的情况下所执行的处理的序列图。该情况下,作为4次握手的第3及第4个处理,分别执行图5的步骤S430及435,来取代图4的步骤S230及235。
在步骤S430中,中继装置100的现行认证数据判定部213生成消息完整性检查AMICd,并将消息完整性检查AMICd和第1随机数ANonce发送给无线通信装置500。消息完整性检查AMICd的计算除了用第1临时密钥APTK1来取代第2临时密钥APTK2之外,与步骤S230中消息完整性检查AMICb的计算相同。
在步骤S435中,无线通信装置500的认证数据供给部611a将消息完整性检查SMICe发送给中继装置100。消息完整性检查SMICe的计算与步骤S235(图4)中消息完整性检查SMICc的计算相同。
此外,认证数据供给部611a与现行认证数据判定部213也可以分别判定消息完整性检查AMICd及SMICe的有效性。然后,在获得了肯定的判定结果的情况下,认证数据供给部611a及现行认证数据判定部213使处理继续。
上述4次握手的处理(步骤S200、S210、S430及S435)的顺利结束,意味着现行认证数据判定部213所进行的连接判定的结果是肯定的。与4次握手的处理(步骤S200、S210、S430及S435)的顺利结束相应地,中继装置100和无线通信装置500共享与现行的第1预共享密钥APTK1及预共享密钥SPSK建立了对应的、相同的第1临时密钥APTK1及临时密钥SPTK。以后,中继装置100和无线通信装置500利用第1临时密钥APTK1及预共享密钥SPSK来对通信进行加密。例如,中继装置100的中继控制部212和无线通信装置500的通信控制部611可以分别对通信进行加密。并且,中继控制部212对无线通信装置500与各种通信装置(例如,与网络910连接的邮件服务器)之间的通信进行中继(步骤S450)。
如上所述,根据本发明的第1实施方式所涉及的网络***1000,通过中继装置100对第1预共享密钥APSK1进行更新,能够降低非法接入的可能性。并且,通过对第1预共享密钥APSK1进行更新,即使当消息完整性检查SMICa基于第1预共享密钥APSK1无效,而该消息完整性检查SMICa基于第2预共享密钥APSK2有效的情况下,中继装置100将第1预共享密钥APSK1提供给无线通信装置500。从而,合法用户的无线通信装置500在不给用户造成过大的负担的情况下就能够获取现行的第1预共享密钥APSK1。然后,无线通信装置500将被提供的第1预共享密钥APSK1作为更新后的预共享密钥SPSK储存到存储部700中。其结果,无线通信装置500在不给用户带来过大的负担的情况下,就能够对预共享密钥SPSK进行更新。从而,中继装置100及无线通信装置500不仅能够避免给用户带来过大的负担,而且能够降低非法接入的可能性。
此外,与无线通信装置500不同的其他无线通信装置(例如,无线通信装置502)与无线通信装置500同样地,也可以对预共享密钥SPSK进行更新。若多个无线通信装置分别自动地对预共享密钥SPSK进行更新,则用户在利用多个无线通信装置的情况下,也能够避免过大的负担。其结果,不仅能够避免给用户造成过大的负担,而且能够提高更新第1预共享密钥APSK1的频度。从而,用户能够大大的降低非法接入的可能性。
此外,中继装置100对第1预共享密钥APSK1进行加密后发送给无线通信装置500,无线通信装置500通过解密来获取第1预共享密钥APSK1。从而,中继装置100和无线通信装置500能够降低没有权限的人非法地推测出现行的第1预共享密钥APSK1的可能性。这里,中继控制部212利用共同密钥加密方式(在第1实施方式中是AES)来对第1预共享密钥APSK1进行加密。因此,无线通信装置500利用正确的共同密钥就能够对第1预共享密钥APSK1进行解密。从而能够降低不持有正确的共同密钥的用户非法地推测出现行的第1预共享密钥APSK1的可能性。此外,“共同密钥加密方式(common-key cryptography)”的意思是加密和解密利用相同的密码密钥的密码方式。该“共同密钥加密方式”也被称为“对称密钥加密方式(symmetric-key cryptography)”。
<第2实施方式>
在第2实施方式中,说明将第1实施方式中所说明的第1预共享密钥APSK1从中继装置100提供给无线通信装置500的处理的其它方法。
图6是示出第2实施方式中的、将现行的第1预共享密钥APSK1从中继装置100提供给无线通信装置500的处理的另一实施例的序列图。第2实施方式中,执行图6所示的处理PHe2(步骤S310~S332),来取代图4所示的处理PHe1(步骤S300~S308)。并且,第2实施方式所涉及的中继装置100及无线通信装置500的结构分别与图1及图2所示的中继装置100及无线通信装置500的结构相同,因此省略其说明。
在第2实施方式中,中继装置100的认证数据供给部217对第1预共享密钥APSK1进行双重加密。为此,认证数据供给部217与无线通信装置500的认证数据更新部613除了共享第2临时密钥APTK2以外,还共享另一个密钥。具体地,中继装置100(认证数据供给部217)与无线通信装置500(认证数据更新部613)按照Diffie-Hellman密钥交换(Diffie-Hellman keyexchange)来共享另一个密钥。以下将Diffie-Hellman密钥交换也称为“D-H密钥交换”。
首先,在步骤S310中,中继装置100的认证数据供给控制部216生成随机数AR。接着,在步骤S312中,认证数据供给控制部216利用随机数AR、预先决定了的整数p及g,来生成公开密钥APK。整数p是素数,整数g是mod p的原始根(primitive rood mod p)。生成公开密钥APK的函数是通过D-H密钥交换来决定的函数。接着,在步骤S313中,认证数据供给控制部216将发送所生成的公开密钥APK的指示提供给中继控制部212,并且,中继控制部212将公开密钥APK提供给无线通信装置500。此时,中继控制部212可以利用第2临时密钥APTK2来对公开密钥APK进行加密。
接着,在步骤S314中,无线通信装置500的认证数据更新部613生成随机数SR。接着,在步骤S316中,认证数据更新部613利用随机数SR、预先决定了的整数p及g来生成公开密钥SPK。生成公开密钥SPK的函数与上述生成公开密钥APK的函数相同。接着,在步骤S318中,认证数据更新部613将所生成的公开密钥SPK提供给中继装置100。此时,认证数据更新部613可以利用临时密钥SPTK来对公开密钥SPK进行加密。
接着,在步骤S320中,中继装置100的认证数据供给控制部216利用随机数AR及公开密钥SPK来生成共享密钥ASK。生成共享密钥ASK的函数是通过D-H密钥交换来决定的函数。当在步骤S318中所接收到的公开密钥SPK被加密的情况下,中继控制部212利用第2临时密钥APTK2来对公开密钥SPK进行解密。
在步骤S322中,无线通信装置500的认证数据更新部613利用随机数SR及公开密钥APK来生成共享密钥SSK。生成共享密钥SSK的函数与上述生成共享密钥ASK的函数相同。当在步骤S313中所接收到的公开密钥APK被加密的情况下,认证数据更新部613利用临时密钥SPTK来对公开密钥APK进行解密。
通过上述的处理(步骤S310~S322),中继装置100(认证数据供给部217)与无线通信装置500(认证数据更新部613)共享相同的共享密钥ASK、SSK。
接着,在步骤S324中,中继装置100的认证数据供给控制部216利用共享密钥ASK来对第1预共享密钥APSK1进行加密。第2实施方式中的加密方法是ARCFOUR(Alleged-RC(Rivest’s Cipher)4)。但也可以用其他任意的加密方法。认证数据供给控制部216将发送经加密后的数据的发送指示提供给中继控制部212。中继控制部212再利用第2临时密钥APTK2来对经加密后的数据进行加密。接着,在步骤S326中,中继控制部212将经过双重加密的数据发送给无线通信装置500。此外,中继控制部212也可以对被发送的MAC(Media Access Control)帧的帧体中预先决定了的部分(含通过共享密钥ASK加密后的第1预共享密钥APSK1)进行加密。该预先决定了的部分也可以是整个帧体。
接着,在步骤S328中,无线通信装置500的认证数据更新部613通过利用临时密钥SPTK的解密,及利用共享密钥SSK的解密,从接收到的、经加密的数据中获取第1预共享密钥APSK1。在步骤S330中,认证数据更新部613将第1预共享密钥APSK1作为新的预共享密钥SPSK储存到存储部700中。
如上所述,根据第2实施方式,中继装置100的认证数据供给部217将第1预共享密钥APSK1进行双重加密后发送给无线通信装置500。无线通信装置500的认证数据更新部613通过双重解密来获取第1预共享密钥APSK1。其结果,能够降低没有权限的人非法地推测出现行的第1预共享密钥APSK1的可能性。
此外,中继装置100(认证数据供给部217)和无线通信装置500(认证数据更新部613)可以按照WPS(Wi-Fi Protected Setup)的按钮配置(PushButton Configration,PBC)所规定的顺序,来进行基于D-H密钥交换的处理。通过WPS-PBC,包含注册者(Registrar)的接入点(与中继装置100对应)与参与者(Enrollee)(与无线通信装置500对应)之间交换多种消息。接入点及参与者利用通过D-H密钥交换而算出的密钥来对消息的密码进行保护。因此,中继装置100和无线通信装置500按照WPS-PBC的顺序能够共享基于D-H密钥交换而得到的共享密钥ASK及SSK。这里,中继装置100(认证数据供给部217)和无线通信装置500(认证数据更新部613)可以将接入点(注册者)及参与者双方的按钮按下后的后续处理,作为基于D-H密钥交换的处理。
<第3实施方式>
第3实施方式中,说明第1实施方式中所说明的对第1预共享密钥APSK1及第2预共享密钥APSK2进行更新的处理的其他方法。
图7是示出本发明的第3实施方式所涉及的中继装置100a及无线通信装置500的具体结构的方框图。第3实施方式所涉及的无线通信装置500的结构与图2所示的第1实施方式所涉及的无线通信装置500的结构相同。第3实施方式所涉及的中继装置100a的结构是在图2所示的第1实施方式所涉及的中继装置100的基础上,增设了更新日程决定部218的结构。
在第3实施方式中,认证数据更新部215按照更新日程决定部218所决定的日程来执行图3所示的更新处理。连接判定处理的顺序及提供第1预共享密钥APSK1的提供处理的顺序与图4、图5及图6所示的处理一样。存储部300中所储存的程序304a除了含有用于各个处理部212~216的程序(模块)以外,还包括用于更新日程决定部218的程序(模块)。
图8A及图8B是示出图7的更新日程决定部218所决定的日程的一例的图。更新日程决定部218按照用户的指示来决定日程。
图8A所例示的日程是一定周期的日程SC1。认证数据更新部215按照该日程SC1自动地执行图3的更新处理。图8A中所例示的日程SC1的一定周期被设定为1天1次,但可以是n天1次或n小时1次等(n为1以上的整数)各种周期。
图8B所例示的日程是基于星期和时间的组合的日程SC2。认证数据更新部215按照该日程SC2自动地执行图3的更新处理。图8B中所例示的日程SC2示出开始更新处理的定时为,星期一的02:00、星期三的02:00以及星期五的02:00。
如上所述,根据第3实施方式,认证数据更新部215按照日程来自动地对第1预共享密钥APSK1及第2预共享密钥APSK2进行更新,因而能够自动地降低非法接入的可能性。
此外,更新日程决定部218也可以决定其他任意形式的日程。例如可以以年月日的形式来决定日程。无论任何情况,认证数据更新部215既可以将通过随机数发生处理而得到的随机数值用作新的第1预共享密钥APSK1,也可以将用户事先输入的值用作新的第1预共享密钥APSK1。
变形例1
上述各个实施方式中,认证数据更新部215(图2及图7)也可以将比第2预共享密钥APSK2更旧一代的预共享密钥保存在存储部300中(预共享密钥的世代每更新一次预共享密钥就逐个地变旧)。一般地,认证数据更新部215可以将2~L代以前的预共享密钥保存在存储部300中(值L是2以上的整数)。然后,旧认证数据判定部214在图4的步骤S220及S235中,基于2~L代以前的任意预共享密钥判定为消息完整性检查SMICa及SMICc有效的情况下,不结束处理而使处理继续。这里,值L为3以上的情况下,即使无线通信装置500没有更新预共享密钥SPSK,且中继装置100对预共享密钥更新了多次(L-1次)的情况下,该无线通信装置500也能够获得现行的第1预共享密钥APSK1。因此,用户在利用多个无线通信装置的情况下,只要在中继装置100对预共享密钥完成“L-1”次更新以前,对各个无线通信装置预共享密钥SPSK进行更新便可。
变形例2
上述各实施方式中,认证数据供给部611a(图2及图7)为了进行连接判定而向中继装置100提供的数据并不仅限于消息完整性检查,可以采用通过预共享密钥SPSK而决定的各种数据。例如,认证数据供给部611a可以将对预共享密钥SPSK(与基准认证数据对应)进行加密而获得的数据(与请求认证数据对应)提供给中继装置100。加密的方法可以是AES或TKIP等任意的方法。此外,认证数据供给部611a可以将预共享密钥SPSK直接提供给中继装置100。
此外,上述各个实施方式中,现行认证数据判定部213及旧认证数据判定部214可以采用各种方法来判定来自无线通信装置500的请求认证数据是否有效(即,无线通信装置500的预共享密钥SPSK是否有效)。例如,在请求认证数据与预先所决定的数据一致的情况下,现行认证数据判定部213及旧认证数据判定部214可以判定为该请求认证数据有效。
变形例3
上述各个实施方式中,认证数据供给部217可以采用各种方法来对现行的第1预共享密钥APSK1进行加密。例如,加密的方法可以是非对称密钥加密方式(asymmetric-key cryptography)。非对称密钥加密方式的意思是解密与加密采用不同的密钥的密码方式。此外,可以对第1预共享密钥APSK1进行多重加密。该情况下,可以采用共同密钥加密方式和非对称加密方式的组合来对第1预共享密钥APSK1进行加密。该情况下,认证数据供给部217能够利用共同密钥加密方式来对第1预共享密钥APSK1进行加密。这里,加密的次数可以是2次也可以是3次以上。并且,加密并不仅限于在第2层,也可以在OSI基准模式的其他层进行加密。例如,既可以在第1层进行加密,也可以在第3层进行加密。
此外,认证数据供给部217也可以将预先所决定了密钥用作用于加密的密钥。例如,认证数据供给控制部216可以利用第2预共享密钥APSK2来对第1预共享密钥APSK1进行加密。该情况下,无线通信装置500的认证数据更新部613通过利用预共享密钥SPSK来进行解密,从而能够获得第1预共享密钥APSK1。并且,认证数据供给部217也可以动态地生成密码密钥,并将所生成的密码密钥提供给无线通信装置。
此外,认证数据供给部217可以不对第1预共享密钥APSK1进行加密而将之发送给无线通信装置。
此外,上述各个实施方式中,提供现行的第1预共享密钥APSK1的顺序并不限于图4或图6所示的顺序,也可以是其它顺序。例如,可以通过MAC帧的一种数据帧来代替EAPOL帧去承载第1预共享密钥APSK1。
变形例4
上述各个实施方式中,连接判定的顺序并不限于图4及图5所示的顺序,也可以是其它顺序。例如,现行认证数据判定部213及旧认证数据判定部214可以不进行4次握手的手续,而从无线通信装置500只接收1次请求认证数据。然后,现行认证数据判定部213及旧认证数据判定部214判定所接收到的请求认证数据是否有效。
变形例5
上述各个实施方式中,中继装置100的结构并不限于图2及图7所示的结构,可以采用各种结构。例如,可以省略有线接口392。该情况下,网络910可以连接在无线接口390上。同样地,无线通信装置500的结构也不限于图2及图7所示的结构,而可以采用各种结构。例如认证数据供给部611a可以设置于无线接口790。
此外,与中继装置100通过无线通信连接的无线通信装置500并不限于是无线终端,也可以是其它的中继装置。该情况下,其他的中继装置可以与图4、图5及图6的序列图中的无线通信装置500进行同样的动作。
此外,在上述各实施例中,CPU通过执行储存在存储器中的固件(firmware)或计算机程序,来实现中继装置及无线通信装置的各个构成部分,但是,本发明的各个构成部分既可以通过适当的硬件来实现,也可以通过软件来实现。例如,可以通过专门的硬件电路来实现对第1预共享密钥APSK1进行加密的功能(图2、图7的认证数据供给控制部216或中继控制部212的功能)。
此外,在本发明的部分或所有的功能通过软件来实现的情况下,该软件(计算机程序)可以通过存储在计算机能够读取的存储介质中的形式来提供。在本发明中,“计算机能够读取的存储介质”并不局限于软盘或CD-ROM那样的便携式记录介质,也包括各种RAM或ROM等计算机的内部存储装置,或硬盘等固定于计算机上的外部存储装置。
上述的说明只不过从各个方面例示出了本发明,并没有对其范围进行限定。例如,基于本发明宗旨,可以适当地省略附加要素。此外,除了上述变形例以外,在不超出本发明的范围的情况下,当然也可进行各种改良或变形。

Claims (15)

1.一种中继装置,经由通信接口与无线通信装置进行无线通信,其特征在于,具备:
存储部,储存多个认证数据,该多个认证数据被用来判定从所述无线通信装置接收的、请求对该无线通信装置与其他通信装置之间的通信进行中继的请求认证数据是否有效;
认证数据更新部,更新当前一代的认证数据,并且,将更新了的当前一代的认证数据作为现行的认证数据,以及将在所更新了的当前一代的认证数据的至少前一代的认证数据作为旧认证数据,储存到所述存储部;
现行认证数据判定部,利用所述现行的认证数据来判定从所述无线通信装置接收到的请求认证数据是否有效;
中继控制部,当在所述现行认证数据判定部中判定为所述请求认证数据有效的情况下,执行所述通信的中继;
旧认证数据判定部,当在所述现行认证数据判定部中判定为所述请求认证数据无效的情况下,利用所述旧认证数据来判定所述请求认证数据是否有效;
认证数据供给部,当在所述旧认证数据判定部中判定为所述请求认证数据有效的情况下,将所述现行的认证数据提供给所述无线通信装置。
2.根据权利要求1所述的中继装置,其特征在于:
所述认证数据供给部对所述现行的认证数据进行加密,并将所述经加密了的现行的认证数据发送给所述无线通信装置。
3.根据权利要求2所述的中继装置,其特征在于:
所述认证数据供给部利用共同密钥加密方式来对所述现行的认证数据进行加密。
4.根据权利要求2所述的中继装置,其特征在于:
所述认证数据供给部对所述现行的认证数据进行多重加密。
5.根据权利要求3所述的中继装置,其特征在于:
所述认证数据供给部对所述现行的认证数据进行多重加密。
6.根据权利要求1所述的中继装置,其特征在于,还具备:
更新日程决定部,决定所述认证数据更新部对所述当前一代的认证数据进行更新的日程,
所述认证数据更新部按照所述更新日程决定部所决定的日程来自动地更新所述当前一代的认证数据。
7.根据权利要求2所述的中继装置,其特征在于,还具备:
更新日程决定部,决定所述认证数据更新部对所述当前一代的认证数据进行更新的日程,
所述认证数据更新部按照所述更新日程决定部所决定的日程来自动地更新所述当前一代的认证数据。
8.根据权利要求3所述的中继装置,其特征在于,还具备:
更新日程决定部,决定所述认证数据更新部对所述当前一代的认证数据进行更新的日程,
所述认证数据更新部按照所述更新日程决定部所决定的日程来自动地更新所述当前一代的认证数据。
9.根据权利要求4所述的中继装置,其特征在于,还具备:
更新日程决定部,决定所述认证数据更新部对所述当前一代的认证数据进行更新的日程,
所述认证数据更新部按照所述更新日程决定部所决定的日程来自动地更新所述当前一代的认证数据。
10.根据权利要求5所述的中继装置,其特征在于,还具备:
更新日程决定部,决定所述认证数据更新部对所述当前一代的认证数据进行更新的日程,
所述认证数据更新部按照所述更新日程决定部所决定的日程来自动地更新所述当前一代的认证数据。
11.一种无线通信装置,经由通信接口与中继装置进行无线通信,其特征在于,具备:
存储部,储存基准认证数据,该基准认证数据被用来决定请求所述中继装置对该无线通信装置与其它通信装置之间的通信进行中继的请求认证数据;
请求认证数据供给部,利用所述存储部中所储存的所述基准认证数据来决定所述请求认证数据,并将所述决定了的请求认证数据提供给所述中继装置;
认证数据更新部,从所述中继装置所提供的数据中获取现行的认证数据,并通过该获取到的现行的认证数据来对所述存储部中所储存的所述基准认证数据进行更新。
12.一种网络***,含有经由通信接口在装置间进行无线通信的无线通信装置和中继装置,其特征在于,
所述中继装置具备:
存储部,储存多个认证数据,该多个认证数据被用来判定从所述无线通信装置接收的、请求对该无线通信装置与其他通信装置之间的通信进行中继的请求认证数据是否有效;
认证数据更新部,更新当前一代的认证数据,并且,将更新了的当前一代的认证数据作为现行的认证数据,以及将在所更新了的当前一代的认证数据的至少前一代的认证数据作为旧认证数据,储存到所述存储部;
现行认证数据判定部,利用所述现行的认证数据来判定从所述无线通信装置接收到的请求认证数据是否有效;
中继控制部,当在所述现行认证数据判定部中判定为所述请求认证数据有效的情况下,执行所述通信的中继;
旧认证数据判定部,当在所述现行认证数据判定部中判定为所述请求认证数据无效的情况下,利用所述旧认证数据来判定所述请求认证数据是否有效;
认证数据供给部,当在所述旧认证数据判定部中判定为所述请求认证数据有效的情况下,将所述现行的认证数据提供给所述无线通信装置;
所述无线通信装置具备:
存储部,储存基准认证数据,该基准认证数据被用来决定请求所述中继装置对该无线通信装置与其它通信装置之间的通信进行中继的请求认证数据;
请求认证数据供给部,利用所述存储部中所储存的所述基准认证数据来决定所述请求认证数据,并将所述决定了的请求认证数据提供给所述中继装置;
认证数据更新部,从所述中继装置所提供的数据中获取现行的认证数据,并通过该所获取的现行的认证数据来对所述存储部中所储存的所述基准认证数据进行更新。
13.一种控制网络***的方法,该网络***含有经由通信接口在装置间进行无线通信的中继装置和无线通信装置,其特征在于,所述方法包括下述步骤:
在所述中继装置中,更新当前一代的认证数据,并且,将该更新了的当前一代的认证数据作为现行的认证数据,以及将该所更新了的当前一代的认证数据的至少前一代的认证数据作为旧认证数据储存到中继装置侧存储部的步骤;
在所述无线通信装置中,利用无线通信装置侧存储部中所储存的基准认证数据来决定请求认证数据的步骤,该请求认证数据用于请求所述中继装置对该无线通信装置与其他通信装置之间的通信进行中继;
在所述无线通信装置中,将所述决定了的请求认证数据提供给所述中继装置的步骤;
在所述中继装置中,利用所述现行的认证数据来判定从所述无线通信装置接收到的、请求对该无线通信装置与其他通信装置之间的通信进行中继的请求认证数据是否有效的步骤;
在所述中继装置中,当利用所述现行的认证数据判定为所述请求认证数据有效的情况下,执行所述通信的中继的步骤;
在所述中继装置中,当利用所述现行的认证数据判定为所述请求认证数据无效的情况下,利用所述旧认证数据来判定所述请求认证数据是否有效的步骤;
在所述中继装置中,当利用所述旧认证数据判定为所述请求认证数据有效的情况下,将所述现行的认证数据提供给所述无线通信装置的步骤;
在所述无线通信装置中,基于所述中继装置所提供的所述现行的认证数据,来对所述无线通信装置侧存储部中所储存的所述基准认证数据进行更新的步骤。
14.一种中继装置所执行的方法,该中继装置经由通信接口与无线通信装置进行无线通信,其特征在于,所述方法包括下述步骤:
更新当前一代的认证数据,并且,将该更新了的当前一代的认证数据作为现行的认证数据,以及将该所更新了的当前一代的认证数据的至少前一代的认证数据作为旧认证数据储存到存储部的步骤;
利用所述现行的认证数据来判定从所述无线通信装置接收到的、请求对该无线通信装置与其他通信装置之间的通信进行中继的请求认证数据是否有效的步骤;
当在利用所述现行的认证数据判定为所述请求认证数据有效的情况下,对所述通信进行中继的步骤;
当利用所述现行的认证数据判定为所述请求认证数据无效的情况下,利用所述旧认证数据来判定所述请求认证数据是否有效的步骤;
当利用所述旧认证数据判定为所述请求认证数据有效的情况下,将所述现行的认证数据提供给所述无线通信装置的步骤。
15.一种无线通信装置所执行的方法,该无线通信装置经由通信接口与中继装置进行无线通信,其特征在于,所述方法包括下述步骤:
利用存储部中所储存的基准认证数据来决定请求认证数据的步骤,该请求认证数据用于请求所述中继装置对该无线通信装置与其他通信装置之间的通信进行中继;
将所述所决定的请求认证数据提供给所述中继装置的步骤;
从所述中继装置所提供的数据中获取现行的认证数据的步骤;
基于所述所获取的现行的认证数据来对所述存储部中所储存的所述基准认证数据进行更新的步骤。
CN2011102091020A 2010-07-29 2011-07-25 中继装置、无线通信装置、网络***及其控制方法 Pending CN102348205A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2010-170437 2010-07-29
JP2010170437A JP5053424B2 (ja) 2010-07-29 2010-07-29 中継装置、無線通信装置、ネットワークシステム、プログラム、および、方法

Publications (1)

Publication Number Publication Date
CN102348205A true CN102348205A (zh) 2012-02-08

Family

ID=45527907

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2011102091020A Pending CN102348205A (zh) 2010-07-29 2011-07-25 中继装置、无线通信装置、网络***及其控制方法

Country Status (3)

Country Link
US (1) US8504833B2 (zh)
JP (1) JP5053424B2 (zh)
CN (1) CN102348205A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110149314A (zh) * 2012-07-02 2019-08-20 富士施乐株式会社 中继设备和中继方法

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7292198B2 (en) 2004-08-18 2007-11-06 Ruckus Wireless, Inc. System and method for an omnidirectional planar antenna apparatus with selectable elements
US7193562B2 (en) 2004-11-22 2007-03-20 Ruckus Wireless, Inc. Circuit board having a peripheral antenna apparatus with selectable antenna elements
US7358912B1 (en) 2005-06-24 2008-04-15 Ruckus Wireless, Inc. Coverage antenna apparatus with selectable horizontal and vertical polarization elements
US7893882B2 (en) 2007-01-08 2011-02-22 Ruckus Wireless, Inc. Pattern shaping of RF emission patterns
CN101322346A (zh) 2005-12-01 2008-12-10 鲁库斯无线公司 借助于无线基站虚拟化的按需服务
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
US7788703B2 (en) 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US8217843B2 (en) 2009-03-13 2012-07-10 Ruckus Wireless, Inc. Adjustment of radiation patterns utilizing a position sensor
WO2012151224A2 (en) 2011-05-01 2012-11-08 Ruckus Wireless, Inc. Remote cable access point reset
EP2713671B1 (en) * 2011-05-27 2019-10-30 Huawei Device Co., Ltd. Method and apparatus for repeater wi-fi protected setup connections
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
US10186750B2 (en) 2012-02-14 2019-01-22 Arris Enterprises Llc Radio frequency antenna array with spacing element
US9634403B2 (en) 2012-02-14 2017-04-25 Ruckus Wireless, Inc. Radio frequency emission pattern shaping
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
WO2013161248A1 (ja) * 2012-04-25 2013-10-31 パナソニック株式会社 無線通信装置、通信デバイス、無線通信方法、および無線通信制御プログラム
US20130311382A1 (en) * 2012-05-21 2013-11-21 Klaus S. Fosmark Obtaining information for a payment transaction
US10277867B2 (en) * 2012-07-12 2019-04-30 Elwha Llc Pre-event repository associated with individual privacy and public safety protection via double encrypted lock box
US9596436B2 (en) 2012-07-12 2017-03-14 Elwha Llc Level-one encryption associated with individual privacy and public safety protection via double encrypted lock box
US9042546B2 (en) 2012-10-16 2015-05-26 Elwha Llc Level-two encryption associated with individual privacy and public safety protection via double encrypted lock box
US9521370B2 (en) 2012-07-12 2016-12-13 Elwha, Llc Level-two decryption associated with individual privacy and public safety protection via double encrypted lock box
US9825760B2 (en) 2012-07-12 2017-11-21 Elwha, Llc Level-two decryption associated with individual privacy and public safety protection via double encrypted lock box
JP5987552B2 (ja) * 2012-08-21 2016-09-07 株式会社リコー 無線通信装置、プログラムおよび方法
EP2843605A1 (en) * 2013-08-30 2015-03-04 Gemalto SA Method for authenticating transactions
US20150229475A1 (en) * 2014-02-10 2015-08-13 Qualcomm Incorporated Assisted device provisioning in a network
US9572158B2 (en) * 2014-04-30 2017-02-14 Telefonaktiebolaget L M Ericsson (Publ) Residential local break out in a communication system
US20160285834A1 (en) * 2014-11-10 2016-09-29 Qualcomm Incorporated Techniques for encrypting fields of a frame header for wi-fi privacy
US9763088B2 (en) * 2014-12-31 2017-09-12 Ruckus Wireless, Inc. Mesh network with personal pre-shared keys
WO2016159954A1 (en) 2015-03-30 2016-10-06 Ruckus Wireless, Inc. Zero-touch onboarding in a mesh network
KR102125564B1 (ko) * 2015-07-29 2020-06-22 삼성전자주식회사 디바이스들 간의 통신 방법 및 그 디바이스
US20170347301A1 (en) * 2017-03-10 2017-11-30 Mediatek Singapore Pte. Ltd. Virtual Roaming Methods And Apparatus Thereof
US20230095149A1 (en) * 2021-09-28 2023-03-30 Fortinet, Inc. Non-interfering access layer end-to-end encryption for iot devices over a data communication network
US20230344812A1 (en) * 2022-04-20 2023-10-26 Bank Of America Corporation System and method for establishing a secure session to authenticate dns requests via dynamically configurable trusted network interface controllers

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050106237A (ko) * 2004-05-04 2005-11-09 (주)인와이저 광대역통합망에서의 가상사설망과 서비스 품질기능이지원되는 무인영상경비 및 게이트웨이 시스템
CN101292558A (zh) * 2005-10-18 2008-10-22 Lg电子株式会社 为中继站提供安全性的方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05336108A (ja) * 1992-06-04 1993-12-17 Toshiba Corp 無線通信システム
JP4504130B2 (ja) * 2003-07-25 2010-07-14 株式会社リコー 通信装置、通信システム、証明書送信方法及びプログラム
JP4606055B2 (ja) * 2004-04-21 2011-01-05 株式会社バッファロー 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法
JP4628198B2 (ja) 2005-06-28 2011-02-09 株式会社バッファロー セキュリティ設定処理システム
US7788703B2 (en) * 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
KR100739809B1 (ko) * 2006-08-09 2007-07-13 삼성전자주식회사 Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치
JP4578539B2 (ja) * 2008-06-17 2010-11-10 株式会社バッファロー 無線通信システム、無線lan接続装置、無線lan中継装置
US8327143B2 (en) * 2008-08-04 2012-12-04 Broadcom Corporation Techniques to provide access point authentication for wireless network
JP4313425B1 (ja) * 2008-08-22 2009-08-12 Kpe株式会社 処理実行装置、アプリケーションプログラム及びダウンロードサーバ装置
JP2010252243A (ja) * 2009-04-20 2010-11-04 Buffalo Inc ネットワーク中継装置、および、ネットワーク中継装置の制御方法
JP4700122B2 (ja) * 2009-05-29 2011-06-15 株式会社バッファロー 無線lan装置
JP4977221B2 (ja) * 2010-02-24 2012-07-18 株式会社バッファロー 無線lanシステム、無線lan装置及びそのプログラム
KR101118524B1 (ko) * 2010-05-25 2012-03-06 동아대학교 산학협력단 센서노드의 인증관리와 Subscription 기능을 가진 시스템과, 그 시스템의 운용 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050106237A (ko) * 2004-05-04 2005-11-09 (주)인와이저 광대역통합망에서의 가상사설망과 서비스 품질기능이지원되는 무인영상경비 및 게이트웨이 시스템
CN101292558A (zh) * 2005-10-18 2008-10-22 Lg电子株式会社 为中继站提供安全性的方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110149314A (zh) * 2012-07-02 2019-08-20 富士施乐株式会社 中继设备和中继方法
CN110149314B (zh) * 2012-07-02 2022-06-03 富士胶片商业创新有限公司 中继设备和中继方法

Also Published As

Publication number Publication date
US8504833B2 (en) 2013-08-06
US20120030466A1 (en) 2012-02-02
JP2012034085A (ja) 2012-02-16
JP5053424B2 (ja) 2012-10-17

Similar Documents

Publication Publication Date Title
CN102348205A (zh) 中继装置、无线通信装置、网络***及其控制方法
US7966646B2 (en) Stateless cryptographic protocol-based hardware acceleration
US10158991B2 (en) Method and system for managing security keys for user and M2M devices in a wireless communication network environment
JP3816337B2 (ja) テレコミュニケーションネットワークの送信に対するセキュリティ方法
JP3863852B2 (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
US20070083766A1 (en) Data transmission links
US20030210789A1 (en) Data transmission links
CN107809411A (zh) 移动网络的认证方法、终端设备、服务器和网络认证实体
EP1976322A1 (en) An authentication method
EP3062546A1 (en) Authentication module
CN104660602A (zh) 一种量子密钥传输控制方法及***
JP2005515701A6 (ja) データ伝送リンク
CN101406021A (zh) 基于sim的认证
WO2007117914A2 (en) Bio-metric encryption key generator
WO2020104932A1 (en) Cryptographic security in multi-access point networks
CN112806041B (zh) 一种密钥生成方法、设备及***
JP4550759B2 (ja) 通信システム及び通信装置
CN113872755A (zh) 一种密钥交换方法及装置
US20070055870A1 (en) Process for secure communication over a wireless network, related network and computer program product
CN102027704A (zh) 存储转发方式下基于ibe算法的安全通信的方法和装置
JP5236414B2 (ja) 無線通信端末
CN109450930A (zh) 一种数据传输方法及装置
CN117395656A (zh) 适用于工控领域的wpa3-sae动态密钥***及方法
JP2004364164A (ja) 認証システムおよび暗号化通信システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20120208