JP2005223838A - Communications system and relay device - Google Patents
Communications system and relay device Download PDFInfo
- Publication number
- JP2005223838A JP2005223838A JP2004032158A JP2004032158A JP2005223838A JP 2005223838 A JP2005223838 A JP 2005223838A JP 2004032158 A JP2004032158 A JP 2004032158A JP 2004032158 A JP2004032158 A JP 2004032158A JP 2005223838 A JP2005223838 A JP 2005223838A
- Authority
- JP
- Japan
- Prior art keywords
- relay device
- encrypted data
- shared key
- data
- terminals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、データの通信を行なう通信システムおよび中継装置に関する。 The present invention relates to a communication system and a relay apparatus that perform data communication.
従来より、無線通信を中継する中継装置と、その中継装置による無線通信の中継を受けて無線通信を行なう複数の端末とを備えた通信システムが知られている。このような通信システムでは、無線通信にあたり盗聴の恐れが存在するため、セキュリティの確保が重要である。無線通信におけるLAN(Local Area Network)の代表的な規格として、IEEE(Institute of Electrical and Electronic Engineers,Inc.)802.11,802.11iが知られている。これらIEEE802.11,802.11iでは、WEP(Wired Equivalent Privacy)と呼ばれる共有鍵方式による暗号化機能が規定されている。 2. Description of the Related Art Conventionally, a communication system is known that includes a relay device that relays wireless communication and a plurality of terminals that perform wireless communication in response to the relay of wireless communication by the relay device. In such a communication system, there is a fear of eavesdropping in wireless communication, and thus ensuring security is important. As a representative standard of LAN (Local Area Network) in wireless communication, IEEE (Institute of Electrical and Electronic Engineers, Inc.) 802.11, 802.11i is known. In these IEEE802.11 and 802.11i, an encryption function based on a shared key method called WEP (Wired Equivalent Privacy) is defined.
図13は、共有鍵方式による暗号化機能を有する通信システムを示す図である。 FIG. 13 is a diagram illustrating a communication system having an encryption function using a shared key method.
図13に示す通信システム100には、無線通信を中継する中継装置103と、その中継装置103による無線通信の中継を受けて無線通信を行なう2台の端末101,102が備えられている。中継装置103には、有線LAN104が接続されている。
A
中継装置103は、いわゆるアクセスポイント(AP)と称される装置であり、この中継装置103は、端末101,102との間では暗号化データの無線通信を行なうとともに、有線LAN104を介する通信では復号化されたデータの有線通信を行なう。また、中継装置103は、各端末101,102との間で暗号化データの無線通信を行なうための各共有鍵K1,K2を有する。
The
端末101,102は、いわゆるステーション(STA)と称される装置であり、ワークステーションまたはパーソナルコンピュータと呼ばれるコンピュータを用いることができる。各端末101,102は、中継装置103との間で暗号化データの無線通信を行なうための各共有鍵K1,K2を有する。
ここで、端末101から端末102にデータを送信する場合は、端末101が送信データを共有鍵K1で暗号化して中継装置103に暗号化データを無線で送信する。中継装置103では、端末101から無線送信されてきた暗号化データを共有鍵K1で復号化し、必要に応じて有線のネットワークを介して有線で通信するとともに共有鍵K2で暗号化して端末102に暗号化データを無線で送信する。端末102では、中継装置103から無線送信されてきた暗号化データを共有鍵K2で復号化する。このようにして、端末101からのデータが中継装置103を経由して端末102に送信される。端末102から端末101にデータを送信する場合も同様の手順で行なわれる。
Here, when data is transmitted from the
暗号化機能を有する通信システムでは、データの暗号化および復号化を行なう必要があるため、そのシステムにおけるデータ処理の負担が大きいという問題がある。そこで、パケットの送信元や受信先あるいはシステム内部の状態に応じて暗号化処理の要否を判定し、暗号化処理が必要なパケットにのみ暗号化処理を施すことで、計算量を削減してデータ処理の負担の軽減化が図られた通信システムが提案されている(特許文献1参照)。
ここで、特許文献1に提案された通信システムにおいて、上述した共有鍵方式を採用して必要なパケットにのみ暗号化処理を施す場合、送信元端末で暗号化された暗号化データを中継装置で一旦復号化し、その復号化したデータをその中継装置で再度暗号化して受信先端末に送信するということが行なわれる。従って、中継装置におけるデータ処理の負担が大きいという間題がある。 Here, in the communication system proposed in Patent Document 1, when the encryption process is performed only on necessary packets using the above-described shared key method, the encrypted data encrypted at the transmission source terminal is transmitted by the relay device. Once decrypted, the decrypted data is encrypted again by the relay device and transmitted to the receiving terminal. Therefore, there is a problem that the burden of data processing in the relay device is large.
本発明は、上記事情に鑑み、中継装置におけるデータ処理の負担の軽減化が図られた通信システムおよびその中継装置を提供することを目的とする。 SUMMARY OF THE INVENTION In view of the above circumstances, an object of the present invention is to provide a communication system and a relay device thereof that can reduce the burden of data processing in the relay device.
上記目的を達成する本発明の通信システムは、無線通信を中継する中継装置と、その中継装置による無線通信の中継を受けて無線通信を行なう複数の端末とを備え、上記中継装置が、上記端末との間では暗号化データの通信を行なうとともに、所定のネットワークに接続されてそのネットワークを介する通信では復号化されたデータの通信を行なう通信システムにおいて、
上記中継装置は、上記複数の端末のうちの送信元端末から無線送信されてきた暗号化データを、その暗号化データの受信先が上記複数の端末のうちのいずれかの端末であったときはその端末にその暗号化データを一旦復号化することなくそのまま無線通信するとともに、その暗号化データの受信先が上記ネットワークを介在させた先に存在するときはその暗号化データを復号化して送信するものであることを特徴とする。
A communication system of the present invention that achieves the above object includes a relay device that relays wireless communication and a plurality of terminals that perform wireless communication in response to the relay of wireless communication by the relay device, and the relay device includes the terminal. In a communication system that performs communication of encrypted data between and a predetermined network, and performs communication of decrypted data in communication via the network,
When the relay device receives encrypted data wirelessly transmitted from a transmission source terminal among the plurality of terminals and the reception destination of the encrypted data is one of the plurality of terminals. The encrypted data is wirelessly communicated to the terminal without being once decrypted, and when the destination of the encrypted data is present through the network, the encrypted data is decrypted and transmitted. It is characterized by being.
本発明の通信システムは、中継装置が、送信元端末から無線送信されてきた暗号化データを一旦復号化することなくそのまま受信先端末に無線通信するものであるため、従来の、送信元端末から送信されてきた暗号化データを中継装置で一旦復号化し、再度暗号化して受信先端末に送信する技術と比較し、中継装置におけるデータ処理の負担が軽減される。また、暗号化データの受信先が、例えば有線のネットワークを介在させた先に存在するときは、無線通信の場合と比較し、盗聴の恐れも少ないため、その暗号化データを中継装置で復号化して送信することにより、そのネットワークにおけるデータ処理の簡素化が図られる。 In the communication system according to the present invention, the relay apparatus wirelessly communicates with the receiving terminal as it is without decrypting the encrypted data wirelessly transmitted from the transmitting terminal. Compared to a technique in which the transmitted encrypted data is once decrypted by the relay device, re-encrypted, and transmitted to the destination terminal, the burden of data processing in the relay device is reduced. Also, when the destination of the encrypted data is present, for example, through a wired network, there is less risk of eavesdropping than in the case of wireless communication, so the encrypted data is decrypted by the relay device. Data transmission in the network can be simplified.
ここで、上記複数の端末および上記中継装置は、第1の共有鍵を持ち、送信端末は、送信データをその第1の共有鍵で暗号化して暗号化データを送信し、上記中継装置では、上記複数の端末のうちの送信元端末から無線送信されてきた暗号化データを、その暗号化データの受信先が上記複数の端末のうちのいずれかの端末であったときはその端末にその暗号化データを一旦復号化することなくそのまま無線通信するとともに、その暗号化データの受信先が上記ネットワークを介在させた先に存在するときはその暗号化データを上記第1の共有鍵で復号化して送信し、受信端末は受信データをその第1の共有鍵で復号化するものであることが好ましい。 Here, the plurality of terminals and the relay device have a first shared key, and the transmission terminal encrypts transmission data with the first shared key and transmits encrypted data. In the relay device, The encrypted data wirelessly transmitted from the source terminal of the plurality of terminals is transmitted to the terminal when the destination of the encrypted data is one of the plurality of terminals. The encrypted data is wirelessly communicated without being decrypted once, and when the destination of the encrypted data is present through the network, the encrypted data is decrypted with the first shared key. The transmitting terminal and the receiving terminal preferably decrypt the received data with the first shared key.
このように、複数の端末および中継装置が第1の共有鍵を持ち、送信端末が送信データを第1の共有鍵で暗号化して中継装置に送信し、その中継装置が、その暗号化データを一旦復号化することなくそのまま受信先端末に送信し、あるいは受信先が上記ネットワークを介在させた先に存在するときはその暗号化データを第1の共有鍵で復号化して送信すると、セキュリティを十分に確保したまま、上記中継装置および上記ネットワークにおけるデータ処理の簡素化を図ることができる。 As described above, the plurality of terminals and the relay device have the first shared key, the transmission terminal encrypts the transmission data with the first shared key and transmits the encrypted data to the relay device, and the relay device transmits the encrypted data. If the data is sent to the receiving terminal without being decrypted once, or if the receiving destination exists at a location where the network is interposed, the encrypted data is decrypted with the first shared key and sent to ensure sufficient security. It is possible to simplify the data processing in the relay device and the network while ensuring it.
また、上記複数の端末および上記中継装置は第1の共有鍵を持つとともに、上記複数の端末のうちの少なくとも2台の相互通信端末はその相互通信端末どうしで共有された第2の共有鍵を持ち、上記複数の端末は、上記ネットワークを介在させた先にデータを送信するときは上記第1の共有鍵で暗号化した暗号化データを送信し、上記相互通信端末が上記第2の共有鍵を共有している受信先の相互通信端末にデータを送信するときは、上記第2の共有鍵で暗号化した暗号化データを送信するものであることも好ましい態様である。 Further, the plurality of terminals and the relay device have a first shared key, and at least two of the plurality of terminals have a second shared key shared by the mutual communication terminals. The plurality of terminals transmit encrypted data encrypted with the first shared key when transmitting data to the destination via the network, and the mutual communication terminal transmits the second shared key. It is also a preferable aspect that when the data is transmitted to the receiving mutual communication terminal sharing the password, the encrypted data encrypted with the second shared key is transmitted.
このように、上記複数の端末が上記ネットワークを介在させた先にデータを送信するときは上記第1の共有鍵で暗号化した暗号化データを送信するとともに、上記相互通信端末が上記第2の共有鍵を共有している受信先の相互通信端末にデータを送信するときは、上記第2の共有鍵で暗号化した暗号化データを送信すると、上記ネットワークにおいてはセキュリティを十分に確保したままデータ処理の簡素化を図ることができるとともに、上記中継装置においては自分の配下にある上記相互通信端末以外の他の端末により盗聴される恐れもなくデータ処理の簡素化を図ることができる。 As described above, when the plurality of terminals transmit data to the destination via the network, the encrypted data encrypted with the first shared key is transmitted, and the mutual communication terminal transmits the second data. When data is transmitted to the receiving mutual communication terminal that shares the shared key, the encrypted data encrypted with the second shared key is transmitted. In addition to simplifying the processing, the relay device can simplify data processing without fear of being wiretapped by a terminal other than the mutual communication terminal under its control.
また、上記目的を達成する本発明の中継装置は、複数の端末どうしの暗号化通信を中継するとともに、所定のネットワークに接続されて該ネットワークを介する通信では復号化されたデータ通信を行なう中継装置において、
上記複数の端末のうちの送信元端末から無線送信されてきた暗号化データを、その暗号化データの受信先が上記複数の端末のうちのいずれかの端末であったときはその端末にその暗号化データを一旦復号化することなくそのまま無線通信するとともに、その暗号化データの受信先が上記ネットワークを介在させた先に存在するときはその暗号化データを復号化して送信するものであることを特徴とする。
Also, the relay device of the present invention that achieves the above object relays encrypted communication between a plurality of terminals, and relays the decrypted data communication in communication via the network connected to a predetermined network. In
The encrypted data wirelessly transmitted from the source terminal of the plurality of terminals is transmitted to the terminal when the destination of the encrypted data is one of the plurality of terminals. That the encrypted data is wirelessly communicated without being decrypted once, and that the encrypted data is received when the destination of the encrypted data exists through the network. Features.
本発明の中継装置は、送信元端末から受信先端末に無線送信する場合は、送信元端末から無線送信されてきた暗号化データを一旦復号化することなくそのまま受信先端末に無線通信するものであるため、従来の、送信元端末から送信されてきた暗号化データを一旦復号化し、再度暗号化して受信先端末に送信する技術と比較し、データ処理の負担を軽減することができる。また、暗号化データの受信先が、例えば有線のネットワークを介在させた先に存在するときは、盗聴の恐れも少ないため、その暗号化データを復号化して送信することにより、そのネットワークにおけるデータ処理の簡素化が図られる。 The relay device according to the present invention, when wirelessly transmitting from the transmission source terminal to the reception destination terminal, wirelessly communicates with the reception destination terminal without decrypting the encrypted data wirelessly transmitted from the transmission source terminal. Therefore, it is possible to reduce the burden of data processing as compared with the conventional technique in which the encrypted data transmitted from the transmission source terminal is once decrypted, re-encrypted, and transmitted to the reception destination terminal. In addition, when the destination of the encrypted data exists, for example, at a destination through a wired network, there is less risk of eavesdropping, so the encrypted data is decrypted and transmitted, so that data processing in that network Is simplified.
本発明の通信システムおよび中継装置によれば、中継装置が、送信元端末から無線送信されてきた暗号化データを一旦復号化することなくそのまま受信先端末に無線通信するものであるため、データ処理の負担を軽減することができる。 According to the communication system and the relay device of the present invention, the relay device wirelessly communicates with the destination terminal without decrypting the encrypted data wirelessly transmitted from the transmission source terminal. Can be reduced.
以下、図面を参照して本発明の実施の形態を説明する。 Embodiments of the present invention will be described below with reference to the drawings.
図1は、本発明の第1実施形態の通信システムを示す図である。 FIG. 1 is a diagram showing a communication system according to a first embodiment of the present invention.
図1に示す通信システム10には、無線通信を中継する中継装置13と、その中継装置13による無線通信の中継を受けて無線通信を行なう2台のSTA11,12(本発明にいう複数の端末の一例に相当)が備えられている。中継装置13には、有線LAN14(本発明にいう所定のネットワークの一例に相当)が接続されている。
1 includes a
中継装置13は、いわゆるアクセスポイント(AP)と称される装置であり、この中継装置13は、STA11,12との間では暗号化データの無線通信を行なうとともに、有線LAN14を介する通信では復号化されたデータの通信を行なう。
The
この中継装置13は、STA11から暗号化データが無線送信されてきた場合、その暗号化データを、その暗号化データの受信先がSTA12であったときはそのSTA12にその暗号化データを一旦復号化することなくそのまま無線通信する。また、この中継装置13は、暗号化データの受信先が有線LAN14を介在させた先に存在するときはその暗号化データを復号化して送信する。
When the encrypted data is wirelessly transmitted from the
さらに、詳細には、STA11,12および中継装置13は、共有鍵K(本発明にいう第1の共有鍵の一例に相当)を持ち、STA11は、送信データを共有鍵Kで暗号化して暗号化データを送信する。中継装置13は、STA11から無線送信されてきた暗号化データを、その暗号化データの受信先がSTA12であったときはそのSTA12にその暗号化データを一旦復号化することなくそのまま無線通信する。一方、中継装置13は、その暗号化データの受信先が有線LAN14を介在させた先に存在するときはその暗号化データを共有鍵Kで復号化してその有線LAN14に送信する。有線LAN14では、復号化されたデータを図示しない受信端末で受け取る。
More specifically, the
このように、本実施形態の通信システム10では、STA11,STA12および中継装置13が共有鍵Kを持ち、中継装置13が自分の配下に存在するSTA11から無線送信されてきた暗号化データ(共有鍵Kで暗号化された暗号化データ)を一旦復号化することなくそのままSTA12に無線送信し、あるいは受信先が有線LAN14を介在させた先に存在するときはその暗号化データを共有鍵Kで復号化して送信するものであるため、セキュリティを十分に確保したまま、中継装置13におけるデータ処理の負担の軽減化および有線LAN14におけるデータ処理の簡素化が図られる。尚、IEEE802における共有鍵方式では、複数のSTAおよび中継装置が同一の共有鍵を持ち、中継装置では、あるSTAから無線で送信されてきた暗号化データをその共有鍵で一旦復号化し、さらにその共有鍵で暗号化して他のSTAに無線で送信する構成となっている。
As described above, in the
図2は、図1に示す中継装置が自分の配下にSTAが存在するか否かを認識するための手順を示す図である。 FIG. 2 is a diagram showing a procedure for the relay apparatus shown in FIG. 1 to recognize whether or not an STA exists under its control.
中継装置13では、STA11,12との無線通信に先立って、自分の配下にSTA11,12が存在する否かを認識するための手順が行なわれる。この手順により、STA11,12が中継装置13の配下に登録される。即ち、中継装置13は、配下のSTA11,12のリスト(STAリスト)を保有することとなる。尚、ここでは、中継装置13がSTA11を認識するための手順について説明するが、中継装置13がSTA12を認識するための手順の場合も同様である。
In the
先ず、STA11は、中継装置13に向けて認証要求信号AUREQを送出する。中継装置13では、この認証要求信号AUREQを受けて、STA11に対して、認証に必要なパスワードを送る旨の認証申込信号AUCHGを送出する。
First, the
STA11では、認証申込信号AUCHGを受けて、認証に必要なパスワードである認証応答信号AURSPを送出し、次いで、中継装置13では、この認証応答信号AURSPを受けて、認証された旨の認証許可信号AUSUCを送出する。
The
さらに、STA11では、中継装置13との接続要求信号ASREQを送出し、中継装置13では、これを受けて、接続を許可する旨の接続応答信号ASRSPを送出する。このようにして、STA11が中継装置13の配下に登録される。また、この手順を通じて、STA11,12および中継装置13が共有鍵Kを共有していることも認識される。次に、中継装置13が、STA11から無線送信されてきた共有鍵Kによる暗号化データを一旦復号化することなくそのままSTA12に無線送信する場合について、図3、図4を参照して説明する。
Further, the
図3は、STA11がデータを暗号化して中継装置13に無線で送信する送信ルーチンを示す図である。
FIG. 3 is a diagram illustrating a transmission routine in which the
先ず、ステップS1において、ヘッダを生成して送信すべきデータに付加する。次いで、ステップS2において、送信すべきデータを暗号化するか否かが判定される。ここでは、暗号化する必要があるため、ステップS3に進む。ステップS3では、上記データを共有鍵Kで暗号化してステップS4に進む。ステップS4では、ヘッダおよび暗号化データを含む送信フレームを中継装置13に向けて送信して、このルーチンを終了する。
First, in step S1, a header is generated and added to data to be transmitted. Next, in step S2, it is determined whether to encrypt data to be transmitted. Here, since encryption is necessary, the process proceeds to step S3. In step S3, the data is encrypted with the shared key K, and the process proceeds to step S4. In step S4, the transmission frame including the header and the encrypted data is transmitted to the
図4は、中継装置13におけるAP処理ルーチンを示す図である。
FIG. 4 is a diagram illustrating an AP processing routine in the
中継装置13では、先ず、ステップS11において、上述したSTA11からの送信フレームを受信する。次いで、ステップS12において、フレームを構成するヘッダに設定されたアドレスを参照して受信先が配下のSTAか否かを、上述したSTAリストから検索する。ここで、STA12は配下のリストに存在するため、ステップS13に進む。ステップS13では、復号化することなくそのままSTA12に無線で送信を行なって、このルーチンを終了する。
The
一方、ステップS12において、受信先が配下のリストに存在しないSTA(ここでは、有線LAN14に接続された受信端末とする)の場合はステップS14に進む。ステップS14では、復号化してステップS15に進む。ステップS15では、有線LAN14への中継、即ち復号化されたデータを有線LAN14に接続された受信端末に送信して、このルーチンを終了する。
On the other hand, if it is determined in step S12 that the STA does not exist in the subordinate list (in this case, a receiving terminal connected to the wired LAN 14), the process proceeds to step S14. In step S14, decoding is performed and the process proceeds to step S15. In step S15, the relay to the wired
図5は、STA12が中継装置13からの暗号化データを受信する受信ルーチンを示す図である。
FIG. 5 is a diagram illustrating a reception routine in which the
先ず、ステップS21において、ヘッダを解析して除去する処理を行なう。次いで、ステップS22において、復号化するか否かが判定される。ここでは、復号化する必要があるため、ステップS23に進む。ステップS23では、共有鍵Kで復号化してステップS24に進む。ステップS24では、復号化されたデータを受信して、このルーチンを終了する。 First, in step S21, processing for analyzing and removing the header is performed. Next, in step S22, it is determined whether or not to decode. Here, since it is necessary to decrypt, the process proceeds to step S23. In step S23, decryption is performed using the shared key K, and the process proceeds to step S24. In step S24, the decrypted data is received, and this routine ends.
図6は、本発明の第2実施形態の通信システムを示す図である。 FIG. 6 is a diagram illustrating a communication system according to the second embodiment of this invention.
図6に示す通信システム20には、無線通信を中継する中継装置23と、その中継装置23による無線通信の中継を受けて無線通信を行なう2台のSTA21,22が備えられている。中継装置23には、有線LAN24が接続されている。尚、この図6には、便宜上、2台のSTA21,22が示されているが、実際にはn台のSTA(STA21,22,…,2n)が備えられている。
The
図7は、n台のSTAそれぞれが持つ第1の共有鍵それぞれを示す図、図8は、n台のSTAのうちの2台のSTAどうしで共有される第2の共有鍵を示す図である。 FIG. 7 is a diagram showing each first shared key possessed by each of n STAs, and FIG. 8 is a diagram showing a second shared key shared by two STAs among the n STAs. is there.
図7に示すように、1台目のSTA21は、中継装置23との間で無線通信するための第1の共有鍵K1を持っている。また、2台目のSTA22は、中継装置23との間で無線通信するための第1の共有鍵K2を持っている。以下、同様にして、n台目のSTA2nは、中継装置23との間で無線通信するための第1の共有鍵Knを持っている。尚、中継装置23は、これらSTA21,22,…,2nとの間で通信を行なうための第1の共有鍵K1,K2,…,Kn全てを持っている。
As shown in FIG. 7, the
また、n台のSTA21,22,…,2nのうちの少なくとも2台のSTA(本発明にいう2台の相互通信端末の一例に相当)は、それらSTAどうしで共有された第2の共有鍵を持っている。ここでは、一例として、図8に示すように、2台のSTA21,22が、それらSTA21,22どうしで共有された第2の共有鍵K12を持っている。また、2台のSTA22,2nも、それらSTA22,2nどうしで共有された第2の共有鍵K2nを持っている。以下では、説明を簡単にするために、STA21,22どうしで共有された第2の共有鍵K12について述べることとする。
In addition, at least two of the n STAs 21, 22,..., 2n (corresponding to an example of two intercommunication terminals according to the present invention) are the second shared key shared by the STAs. have. Here, as an example, as shown in FIG. 8, two
STA21,22,…,2nは、有線LAN24を介在させた先にデータを送信するときは第1の共有鍵K1,K2,…,Knで暗号化したデータを中継装置23に無線で送信する。中継装置23では、その暗号化データを第1の共有鍵K1,K2,…,Knで復号化して有線LAN24に送信する。このようにすることにより、有線LAN24を介在させた先にデータを送信するにあたり、セキュリティを十分に確保することができる。
The
また、STA21が第2の共有鍵K12を共有している受信先のSTA22にデータを送信するときは、第2の共有鍵K12で暗号化した暗号化データがSTA21から中継装置23に無線で送信される。中継装置23では、STA21から無線送信されてきた暗号化データを一旦復号化することなくそのままSTA22に無線で送信する。このようにすることにより、中継装置23におけるデータ処理の負担の軽減化が図られるとともに、第2の共有鍵K12を共有しているSTA21,22以外の他のSTAによる盗聴を防止することができる。
Further, when the
図9は、中継装置23が第2の共有鍵K12を生成してSTA21,22に配付する様子を示す図である。
FIG. 9 is a diagram illustrating a state in which the
STA21は、中継装置23に対して、STA22との間で共有するための第2の共有鍵K12の生成要求を行なうために、第1の共有鍵K1で暗号化された暗号化データを中継装置23に送信する。
The
中継装置23は、これを受けて、STA22に対して、第2の共有鍵K12生成の確認を行なうために、第1の共有鍵K2で暗号化された暗号化データをSTA22に送信する。
In response to this, the
次いで、STA22は、中継装置23に対して、第2の共有鍵K12の生成許可を行なうために、第1の共有鍵K2で暗号化された暗号化データを中継装置23に送信する。
Next, the
中継装置23は、これを受けて、第2の共有鍵K12を生成する。さらに、中継装置23は、生成した第2の共有鍵K12(STA22との間での共有鍵)をSTA21に配付するために、第1の共有鍵K1で暗号化してSTA21に送信する。また、中継装置23は、生成した第2の共有鍵K12(STA21との間での共有鍵)をSTA22にも配付するために、第1の共有鍵K2で暗号化してSTA22に送信する。このようにして、中継装置23でSTA21,22に第2の共有鍵K12を配付する。
In response to this, the
尚、ここでは、中継装置23が第2の共有鍵K12を生成してSTA21,22に配付する例で説明したが、第2の共有鍵K12の生成/配付は、例えば、事前に別の手段で決めたパスワードを利用してもよいし、ハードウェア・トークンを使用してもよい。この場合、第2の共有鍵Kl2を共有したSTA2lおよびSTA22は、自身で鍵を共有した相手を覚えておくとともに、鍵を共有したという情報を中継装置23に知らせておく必要がある。また、第2の共有鍵Kl2の生成/配付は、通常のIEEE802.lliを使用して中継装置23と共有した第1の共有鍵K1/K2を使用した暗号化通信によってSTA2lとSTA22で共有鍵を共有してもよい。この場合、STA21およびSTA22は、自身で鍵を共有した相手を覚えておくとともに、鍵を共有したという情報を中継装置23に知らせてもよいし、共有鍵生成のための通信を中継装置23が仲介する際にモニタし、鍵を共有したという情報を認識してもよい。あるいは、STA21およびSTA22ともに中継装置23との間で第1の共有鍵Kl/K2を共有しその中継装置23を信頼していることから、上述したように、中継装置23が第2の共有鍵Kl2を生成しSTA2lおよびSTA22に配布してもよい。この場合、中継装置23自身がSTA21とSTA22で第2の共有鍵K12を共有したことを覚えておく必要がある。
Here, although the example has been described in which the
図10は、STA21がデータを暗号化して中継装置23に無線で送信する送信ルーチンを示す図である。
FIG. 10 is a diagram illustrating a transmission routine in which the
先ず、ステップS31において、ヘッダを生成して送信すべきデータに付加する。次いで、ステップS32において、送信すべきデータを暗号化するか否かが判定される。ここでは、暗号化する必要があるため、ステップS33に進む。 First, in step S31, a header is generated and added to data to be transmitted. Next, in step S32, it is determined whether to encrypt data to be transmitted. Here, since encryption is necessary, the process proceeds to step S33.
ステップS33では、受信先のSTAが第2の共有鍵K12を持っているSTA22であるか否かが判定される。受信先のSTAが第2の共有鍵K12を持っていないSTAであると判定された場合は、ステップS34において第1の共有鍵K1で暗号化してステップS36に進む。一方、受信先のSTAが第2の共有鍵K12を持っているSTA22であると判定された場合は、ステップS35に進む。ステップS35では、データを第2の共有鍵K12で暗号化してステップS36に進む。
In step S33, it is determined whether or not the receiving STA is the
ステップS36では、ヘッダおよび暗号化データを含む送信フレームを中継装置23に向けて送信して、このルーチンを終了する。
In step S36, the transmission frame including the header and the encrypted data is transmitted to the
図11は、中継装置23におけるAP処理ルーチンを示す図である。
FIG. 11 is a diagram illustrating an AP processing routine in the
中継装置23では、ステップS41において、送信フレームを受信する。次いで、ステップS42において、フレームを構成するヘッダに設定されたアドレスを参照して、鍵共有STAの組(第2の共有鍵K12を持つSTA22)であるか否かが判定される。鍵共有STAの組であるSTA22であると判定された場合は、ステップS43に進む。ステップS43では、復号化することなくそのままSTA22に無線で送信を行なって、このルーチンを終了する。
The
一方、ステップS42において、鍵共有STAではないと判定された場合はステップS44に進む。ステップS44では、第1の共有鍵K1で復号化してステップS45に進む。ステップS45では、受信先が配下のSTAか否かが判定される。ここで、配下のSTAとは、STA21,22,…,STA2nである。尚、配下のSTAか否かの判定にあたっては、上記鍵共有STA21,22は除外される。ここでは、受信先である配下のSTAは、STA2nであると判定されるものとする。この場合は、ステップS47において第1の共有鍵Knで暗号化し、さらにステップS48において無線で送信を行なって、このルーチンを終了する。 On the other hand, if it is determined in step S42 that it is not a key sharing STA, the process proceeds to step S44. In step S44, decryption is performed using the first shared key K1, and the process proceeds to step S45. In step S45, it is determined whether the receiving destination is a subordinate STA. Here, the subordinate STAs are STAs 21, 22,..., STA2n. The key sharing STAs 21 and 22 are excluded in determining whether the STA is a subordinate STA. Here, the subordinate STA that is the receiving destination is determined to be STA2n. In this case, encryption is performed with the first shared key Kn in step S47, wireless transmission is performed in step S48, and this routine is terminated.
また、ステップS45において、受信先が配下のSTAでないと判定された場合は有線LAN24への中継であると判定されてステップS46に進む。ステップS46では、前述したステップS44で復号化されたデータを有線LAN24に接続された受信端末に送信して、このルーチンを終了する。
In step S45, if it is determined that the receiving destination is not a subordinate STA, it is determined that the relay is to the wired
図12は、中継装置23からの暗号化データをSTAが受信する受信ルーチンを示す図である。
FIG. 12 is a diagram illustrating a reception routine in which the STA receives encrypted data from the
先ず、ステップS51において、ヘッダを解析して除去する処理を行なう。次いで、ステップS52において、復号化するか否かが判定される。ここでは、復号化する必要があるため、ステップS53に進む。 First, in step S51, processing for analyzing and removing the header is performed. Next, in step S52, it is determined whether or not to decode. Here, since it is necessary to decrypt, the process proceeds to step S53.
ステップS53では、鍵共有STA(第2の共有鍵K12を持っているSTA21)からのものであるか否かが判定される。STA21からのものでないと判定された場合は、ステップS54に進む。ステップS54では、第1の共有鍵K2で復号化してステップS56に進む。一方、STA21からのものであると判定された場合は、ステップS55に進む。ステップS55では、暗号化データを第2の共有鍵K12で復号化してステップS56に進む。
In step S53, it is determined whether or not it is from a key sharing STA (
ステップS56では、復号化されたデータを受信して、このルーチンを終了する。 In step S56, the decrypted data is received, and this routine ends.
このように、本実施形態の通信システム20では、STA21からの、第2の共有鍵K12で暗号化された暗号化データが中継装置23に無線で送信され、その中継装置23で復号されることもなくそのままSTA22に無線で送信される。さらに、STA22で、その暗号化データが第2の共有鍵K12で復号化される。このため、中継装置23におけるデータ処理の負担が軽減されるとともに、第2の共有鍵K12を共有しているSTA21,22以外の他のSTAによる盗聴を防止することができる。
As described above, in the
10,20 通信システム
11,12,21,22 STA(端末)
13,23 中継装置
14,24 有線LAN
10, 20
13,23
Claims (4)
前記中継装置は、前記複数の端末のうちの送信元端末から無線送信されてきた暗号化データを、該暗号化データの受信先が前記複数の端末のうちのいずれかの端末であったときは該端末に該暗号化データを一旦復号化することなくそのまま無線通信するとともに、該暗号化データの受信先が前記ネットワークを介在させた先に存在するときは該暗号化データを復号化して送信するものであることを特徴とする通信システム。 A relay device that relays wireless communication; and a plurality of terminals that perform wireless communication in response to the relay of the wireless communication by the relay device, and the relay device communicates encrypted data with the terminal In a communication system connected to a predetermined network and performing communication of decoded data in communication via the network,
The relay device transmits encrypted data wirelessly transmitted from a transmission source terminal among the plurality of terminals when the reception destination of the encrypted data is any one of the plurality of terminals. The encrypted data is wirelessly communicated to the terminal without being once decrypted, and the encrypted data is decrypted and transmitted when the destination of the encrypted data is present through the network. A communication system characterized by being a thing.
前記複数の端末のうちの送信元端末から無線送信されてきた暗号化データを、該暗号化データの受信先が前記複数の端末のうちのいずれかの端末であったときは該端末に該暗号化データを一旦復号化することなくそのまま無線通信するとともに、該暗号化データの受信先が前記ネットワークを介在させた先に存在するときは該暗号化データを復号化して送信するものであることを特徴とする中継装置。 In a relay device that relays encrypted communication between a plurality of terminals, and performs decrypted data communication in communication via the network connected to a predetermined network,
Encrypted data wirelessly transmitted from a source terminal of the plurality of terminals is transmitted to the terminal when the destination of the encrypted data is any of the plurality of terminals. That the encrypted data is wirelessly communicated without being decrypted once, and the encrypted data is decrypted and transmitted when the destination of the encrypted data is present via the network. Characteristic relay device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004032158A JP2005223838A (en) | 2004-02-09 | 2004-02-09 | Communications system and relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004032158A JP2005223838A (en) | 2004-02-09 | 2004-02-09 | Communications system and relay device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005223838A true JP2005223838A (en) | 2005-08-18 |
Family
ID=34999106
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004032158A Withdrawn JP2005223838A (en) | 2004-02-09 | 2004-02-09 | Communications system and relay device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005223838A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101500230B (en) * | 2008-01-30 | 2010-12-08 | 华为技术有限公司 | Method for establishing security association and communication network |
JP2012531175A (en) * | 2009-07-28 | 2012-12-06 | インテル コーポレイション | Method, apparatus and system for transferring frames in a wireless communication system |
JP2013232726A (en) * | 2012-04-27 | 2013-11-14 | Panasonic Corp | Base station device, communication terminal device, communication system, and transmission method |
JP2014078875A (en) * | 2012-10-11 | 2014-05-01 | Mitsubishi Electric Corp | Encryption communication system, encryption communication repeater, encryption communication terminal, and encryption communication method |
JP2016500170A (en) * | 2012-10-12 | 2016-01-07 | ゼットティーイー コーポレーションZte Corporation | Screen unlocking method, apparatus and terminal |
JP2020088478A (en) * | 2018-11-19 | 2020-06-04 | 三菱電機株式会社 | Relay device, relay method, and relay program |
-
2004
- 2004-02-09 JP JP2004032158A patent/JP2005223838A/en not_active Withdrawn
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101500230B (en) * | 2008-01-30 | 2010-12-08 | 华为技术有限公司 | Method for establishing security association and communication network |
JP2012531175A (en) * | 2009-07-28 | 2012-12-06 | インテル コーポレイション | Method, apparatus and system for transferring frames in a wireless communication system |
JP2013232726A (en) * | 2012-04-27 | 2013-11-14 | Panasonic Corp | Base station device, communication terminal device, communication system, and transmission method |
JP2014078875A (en) * | 2012-10-11 | 2014-05-01 | Mitsubishi Electric Corp | Encryption communication system, encryption communication repeater, encryption communication terminal, and encryption communication method |
JP2016500170A (en) * | 2012-10-12 | 2016-01-07 | ゼットティーイー コーポレーションZte Corporation | Screen unlocking method, apparatus and terminal |
JP2020088478A (en) * | 2018-11-19 | 2020-06-04 | 三菱電機株式会社 | Relay device, relay method, and relay program |
JP7213664B2 (en) | 2018-11-19 | 2023-01-27 | 三菱電機株式会社 | Relay device, relay method and relay program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101512537B (en) | Method and system for secure processing of authentication key material in an ad hoc wireless network | |
CN111052672B (en) | Secure key transfer protocol without certificate or pre-shared symmetric key | |
US8838972B2 (en) | Exchange of key material | |
TWI418194B (en) | Mobile station and base station and method for deriving traffic encryption key | |
US7107051B1 (en) | Technique to establish wireless session keys suitable for roaming | |
US20030095663A1 (en) | System and method to provide enhanced security in a wireless local area network system | |
US20080046732A1 (en) | Ad-hoc network key management | |
US7689211B2 (en) | Secure login method for establishing a wireless local area network connection, and wireless local area network system | |
KR20080065633A (en) | Constrained cryptographic keys | |
US11297496B2 (en) | Encryption and decryption of management frames | |
CN101588345A (en) | Methods and devices for transmitting, transferring and receiving information and communication system between stations | |
JP2006197065A (en) | Terminal device and authentication device | |
JP2007110487A (en) | Lan system and its communication method | |
JP2005223838A (en) | Communications system and relay device | |
KR101979157B1 (en) | Non-address network equipment and communication security system using it | |
Barka et al. | On the Impact of Security on the Performance of WLANs. | |
KR100599199B1 (en) | System and method for generating encryption key of wireless device in wireless local area network secure system | |
JP2008066882A (en) | Encryption key distribution apparatus, and encryption key distribution method | |
JP2008109612A (en) | Radio communication method and system | |
JP2007043566A (en) | Encryption control device and encryption system of wireless lan | |
JP4757723B2 (en) | Wireless terminal authentication method and wireless communication system | |
JP2006013781A (en) | Wireless communication system and interception prevention method in wireless communication system | |
CN110650476B (en) | Management frame encryption and decryption | |
KR100794792B1 (en) | Broadcast frame protection method | |
JP2010161448A (en) | Authentication method and system in negotiation between terminals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070501 |