無線通信装置
【課題】迅速にセキュアな通信を実現することができる無線通信装置を提供すること。
【解決手段】無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備える。そして、上記サプリカントと上記オーセンティケータとが同時に作動可能であり、上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する。
【解決手段】無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備える。そして、上記サプリカントと上記オーセンティケータとが同時に作動可能であり、上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信装置にかかり、特に、無線アドホックネットワークを構築する無線通信装置に関する。
【背景技術】
【0002】
近年、設置の容易性、障害耐性の観点から、基地局やアクセスポイントのように集中管理する無線機器を持たず、無線インタフェース(無線通信部)を持った無線機器がお互いに無線で接続して、その場でネットワークを形成する無線アドホックネットワークが求められている。そして、さらに無線インタフェースを持った複数の無線機器が相互に接続して通信することで、無線メッシュネットワークを形成することがある。
【0003】
ここで、無線技術として、IEEE(The Institute of Electrical and Electronics Engineers, Inc.)802.11で規定されている無線LAN(Local Area Network)では、無線ネットワークを形成する様態として、インフラストラクチャ(Infrastructure)モードと、IBSS(Independent Basic Service Set)モードが規定されている。インフラストラクチャモードでは、アクセスポイント(AP:Access
Point)と呼ばれる無線機器が統括的に端末(STA:Station)を制御することによりネットワークを形成する。IBSSモードでは、複数の無線通信装置同士が自律分散的に無線通信を行うことによりネットワークを形成する。無線アドホックネットワークでは、上述のように複数の無線機器が集まってネットワークを形成することから、IBSSモードが使われることが多い。
【0004】
そして、無線アドホックネットワークでは、無線機器の設置の容易性が求められるとともにセキュリティの確保も要求される。例えば、LANのセキュリティを確保するしくみとして、IEEE802.11Xにアクセス制御が規定されている。ここでは、ネットワークへの参加を要求するサプリカント(SU:Supplicant)、制御を行うオーセンティケータ(AU:Authenticator)、サプリカントにアクセスを許可するかどうかを判定する認証サーバ(AS:Authentication
Server)について規定されている。
【0005】
また、無線LANのセキュリティを確保する仕組みとして、IEEE802.11Xを利用したアクセス制御を、インフラストラクチャモード、IBSSモードで利用することがIEEE802.11iにて規定されている。インフラストラクチャモードでは、端末がサプリカントとなり、アクセスポイントが端末のオーセンティケータとなり、認証サーバへの認証プロセスを統括的に行う。IBSSモードでは、統括的に制御行う無線機器が定義できないため、全ての無線機器がサプリカントとオーセンティケータの両方の機能を持つように規定されている。
【0006】
また、使用したい認証方式を2者間で交換する方式として、IETF(Internet Engineering Task Force)による技術仕様であるRFC(Request for Comments)2284(EAP(Extensible Authentication Protocol(拡張認証プロトコル)))が規定されている。EAPでは、メッセージのタイプが規定されているにすぎず、メッセージの詳細な内容は規定しておらず、メッセージの詳細は他のRFCによって規定されている。例えば、認証方式としてTLS(Transport Layer Security)を利用する方式がRFC2716に規定されている。この認証方式は、認証サーバおよびクライアントの相互で電子証明書(公開鍵証明書)を利用した認証を行う方式であり、安全性が高いことが知られている。
【0007】
また、上述したIEEE802.11Xにおいて、サプリカントとオーセンティケータ間でEAPメッセージをやりとりするために、EAPOL(EAP over LAN)と呼ばれるプロトコルが定義されている。
【0008】
そして、上述したように無線アドホックネットワークにおけるセキュリティを実施する場合、1つの無線機器内でサプリカントとオーセンティケータの両方の機能を装備することが規定されている。このとき、2台の無線機器間のセキュリティを考えた場合、2台の無線機器間の1本の通信リンクに対して上り方向と下り方向とで、2回認証シーケンスを実施する必要があった。
【0009】
上記問題を解決するために、特許文献1では、各アクセスポイントが、認証仲介機能(Authenticator)と被認証機能(Supplicant)とを備え、いずれかの機能を選択して実行させる、ことを開示している。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2006−246219号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
しかしながら、特許文献1に開示されているように、各アクセスポイントの役割をサプリカントまたはオーセンティケータのいずれかに決定してしまうと、無線通信装置間で鍵の更新を行う場合に、サプリカントとオーセンティケータとが、それぞれ鍵の更新動作を実行する必要があり、処理に時間がかかり負荷が増大する、という問題があった。また、鍵を更新するタイミングを同期することが困難である、という問題もある。
【0012】
このため、本発明の目的は、上述した処理の遅延と負荷の増大という課題を解決することにあり、迅速にセキュアな通信を実現することができる無線通信装置を提供することにある。
【課題を解決するための手段】
【0013】
かかる目的を達成するため本発明の一形態である無線通信装置は、
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備え、
上記サプリカントと上記オーセンティケータとが同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0014】
また、本発明の他の形態であるプログラムは、
無線通信部を備えた無線通信装置に、
他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を実現させるプログラムであり、
上記サプリカントと上記オーセンティケータとは同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0015】
また、本発明の他の形態である無線通信方法は、
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備えた無線通信装置にて、
上記サプリカントと上記オーセンティケータとが同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行い、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す、
という構成を採る。
【発明の効果】
【0016】
本発明は、以上のように構成されることにより、迅速にセキュアな無線アドホックネットワークを実現することができる無線通信装置を提供することができる。
【図面の簡単な説明】
【0017】
【図1】実施形態1における無線ネットワーク全体の構成を示す図である。
【図2】図1に開示した無線機器の構成を示すブロック図である。
【図3】図1に開示した無線機器間における通信時の動作を示すシーケンス図である。
【図4】図1に開示した無線機器間における通信時の動作を示すシーケンス図であり、図3の続きを示す。
【図5】図1に開示した無線機器の動作を示すフローチャートである。
【図6】実施形態2における無線ネットワーク全体の構成を示す図である。
【図7】図6に開示した無線機器間における通信時の動作を示すシーケンス図である。
【図8】図6に開示した無線機器間における通信時の動作を示すシーケンス図であり、図7の続きを示す。
【図9】図6に開示した無線機器間における通信時の動作を示すシーケンス図であり、図8の続きを示す。
【図10】図6に開示した無線機器の動作を示すフローチャートである。
【図11】実施形態3における無線機器の構成を示すブロック図である。
【発明を実施するための形態】
【0018】
<実施形態1>
本発明の第1の実施形態を、図1乃至図5を参照して説明する。図1は、無線ネットワーク全体の構成を示す図であり、図2は、無線ネットワークを構築する無線機器の構成を示すブロック図である。図3乃至図4は、無線機器間における通信時の動作を示すシーケンス図であり、図5は、無線機器の動作を示すフローチャートである。
【0019】
[構成]
本発明における無線機器1〜4(無線通信装置)は、図1に示すように、相互に無線接続することで無線アドホックネットワークを構築する。図1の例では、無線機器1と無線機器2,4が無線で接続されている。また、無線機器2は、無線機器1,3と接続され、無線機器3は無線機器2,4と接続されており、無線機器4は無線機器1,3と接続されている。
【0020】
このようなアドホックネットワークにおいては、例えば無線機器1から無線機器3へ通信を行いたい場合は、直接通信できず、無線機器2または無線機器4を経由することで通信できるものとする。なお、どちらの無線機器2,4を経由するかは、既存技術である様々なルーティング技術を使用して決めることができる。また、無線機器2から無線機器4へ通信を行う場合も同様に無線機器1または無線機器3を経由して通信を行う。
【0021】
次に、上記無線機器1の構成について、図2を参照して説明する。なお、上記各無線機器1〜4は同一の構成を採っているため、ここでは無線機器1のみの構成を説明する。
【0022】
図2に示すように、無線機器1は、無線通信部11と、有線通信部12と、を備えている。無線通信部11は、例えば、IEEE802.11に基づく無線通信を行う装置であり、一台の無線機器1に、一つまたはそれ以上搭載されている。ここでは説明の簡略化のために、各無線機器1〜4に搭載されている無線通信部11が全て同じ無線仕様であることとしているが、異なる仕様であってもよい。また、有線通信部12は、有線で通信を行う装置であり、例えば、IEEE802.3の有線LAN規格に基づくものである。そして、有線通信部12は、一台の無線機器1に一つまたはそれ以上搭載される。
【0023】
そして、上述した無線通信部11を用いて、図1の点線で示すように、各無線機器1〜4が無線で接続される。また、各無線機器1〜4には、有線通信部12を用いて、後述する実施形態2で示すような認証サーバなどを有線で接続することが可能であるが、本実施形態では接続されていない。なお、図1の例では、4台の無線機器1〜4が接続されている場合を例示しているが、無線機器の台数は上記台数に限定されない。
【0024】
また、無線機器1は、CPU(Central Processing Unit)といった演算装置(図示せず)と、フラッシュメモリなどの記憶部16を備えている。そして、無線機器1は、図2に示すように、演算装置にプログラムが組み込まれることによって構築された、サプリカント13と、オーセンティケータ14と、順序決定部15と、を備えている。なお、上記プログラムは、記憶部16や他の記憶媒体に記憶された状態で、無線機器1の演算装置に提供され、組み込まれる。
【0025】
上記サプリカント13は、ネットワークへの参加つまり認証処理を他の無線機器に対して要求すると共に、当該他の無線機器と協働して認証処理を行う機能を有する。また、オーセンティケータ14は、別の無線機器内のサプリカント13からのネットワークへの参加要求つまり認証要求に応じて、当該サプリカント13をネットワークに参加させるか否かを制御する認証処理を行う機能を有する。なお、本実施形態におけるサプリカント13とオーセンティケータ14とは、IEEE802.11Xに基づく機能を有していることとするが、同様の役割を果たすのであれば、IEEE802.11Xに基づく構成であることに限定されない。
【0026】
上記順序決定部15は、無線機器1内のサプリカント13とオーセンティケータ14のうち、どちらの機能を先に使用するかを、無線通信部11、有線通信部12、記憶部16に記憶された情報を元に決定する機能を有する。また、上記記憶部16は、無線通信部11や有線通信部12の通信設定や、各無線機器を認証するために必要なID、パスワード文字列、証明書などを記憶している。なお、上記各構成については、以下の動作説明時にさらに詳述する。
【0027】
[動作]
次に、上述した構成の無線機器1〜4の動作を、図3乃至図5を参照して説明する。なお、以下では、無線機器1,2が接続するときの動作を説明するが、他の無線機器同士も同様である。
【0028】
まず、各無線機器1,2,3,4がそれぞれ装備する各無線通信部11のMACアドレスが、それぞれMAC101、MAC102、MAC103、MAC104と設定されており、また、各値の関係は、以下のように定義されていることとする。
MAC101<MAC102<MAC103<MAC104
【0029】
そして、本実施形態では、別途、認証サーバを持たない構成であるため、それぞれの無線機器1〜4がお互いを認証する機能を有する。このため、各無線機器1,2,3,4の各記憶部16には、あらかじめ「共有鍵(パスワードなど)」が記憶されており、通信時に「共有鍵」を互いに送受信することで、お互いを認証する。なお、以下の説明では、無線規格としてIEEE802.11無線LAN、認証規格としてEAPの使用を想定しているが、特にこれらに限定するものではなく、同様の規格、手法を用いた場合においても適用することが可能である。
【0030】
以下、図3及び図4に示す、2台の無線機器1,2との間の認証・鍵交換処理を行うシーケンス図に沿って説明する。なお、図3,4では、図の簡略化のために、無線機器1,2内の有線通信部12や順序決定部15等を省略しているが、特に構成を限定するものではない。
【0031】
まず、IEEE802.11のIBSS(Independent Basic Service Set)モードでは、定期的に無線機器1が「Beacon frame」を送信することにより、複数の無線機器が自律分散的にお互いを認識する。そこで、まず無線機器1の無線通信部11が、「Beacon frame」を送出したとする(ステップS10)。
【0032】
ここで、図5に、無線機器1,2がセキュリティを保つために必要なシーケンス(認証・鍵交換プロセス)を開始するまでの処理の流れを示す。このフローチャートを参照すると、まず、無線機器2は、他の無線機器1から「Beacon frame」を受信すると(ステップS101:Yes)、その受信した「Beacon frame」のBSSIDが、自機器2内の無線通信部11に設定されているBSSIDと等しいか否かを調べる(ステップS102)。そして、等しい場合には(ステップS102:Yes)、「Beacon frame」を送信した無線機器1の無線通信部11の「MACアドレス(MAC101)」が、無線機器2の無線通信部11の「MACアドレス(MAC102)」よりも小さいか否かを調べる(ステップS103)。
【0033】
ここで、MAC101<MAC102の場合、つまり、送信元のMACアドレスの値が、受信した無線機器2のMACアドレスの値よりも小さい場合には(ステップS103:Yes)、記憶部16内に送信元MACアドレス毎に管理されている一時鍵PTK(Pairwise Transient Key)が記憶されているか否かを調べる(ステップS104)。そして、一時鍵PTKが記憶されていない状態であれば(ステップS104:Yes)、順序決定部15にて順序決定判定を行う。このとき、サプリカントは認証・鍵交換プロセスを処理中でないので(ステップS105:No)、オーセンティケータにて認証・鍵交換プロセスを開始する(S106)。
【0034】
すなわち、図3に示すように、無線機器2においては、Beaconを受信すると(ステップS10)、無線機器2の順序決定部15により、サプリカントが作動していない場合に、まず先にオーセンティケータによる処理を行い、次にサプリカントによる処理を行うよう、順序を決定する(ステップS11)。なお、上記では、MACアドレスの値を比較して、その比較結果である大小関係に応じて順序判定を行っているが、他の情報を用いてサプリカントとオーセンティケータとの作動順序を決定してもよい。例えば、各機器を識別できる端末番号などを比較して、その比較結果に基づいて順序を決定してもよい。そして、順序決定部15は、認証・鍵交換プロセスを行うために、オーセンティケータ14に認証・鍵交換プロセスを開始するように通知を行う(ステップS12)。
【0035】
続いて、無線機器2内のオーセンティケータ14は、無線通信部11を通して無線機器1のサプリカント13に対して、ステップ13以降に示す認証処理を開始する。本実施形態では認証サーバを用いない構成であるため、まず、無線機器2内のオーセンティケータ14は、記憶部16に予め記憶された「共有鍵」から全ての暗号処理の起点となる「PMK(Pairwise Master Key)」を生成して、記憶する(ステップS13)。なお、PMKの生成方法については、既存技術を用いてよく、ここでは特に限定しない。
【0036】
続いて、無線機器2内のオーセンティケータ14は、一時鍵の素となる種(「nance」と呼ぶ)を生成する(ステップS14)。ここでは、オーセンティケータ14が生成した「nance」を「Anance」と呼ぶ。なお、「nance」の生成方法については、既存技術を用いてよく、ここでは特に限定しないが、例えば乱数を使用するなど鍵に対して一度しか使われないような値にするのが望ましい。そして、無線機器2内のオーセンティケータ14は、生成した「Anance」を無線機器1内のサプリカント13に送信する(ステップS15)。
【0037】
ここで、無線機器2より自律分散的に送信される「Beacon frame」が送信されたとする。この場合に、図5のフローチャートを参照すると、無線機器1は、他の無線機器2から「Beacon frame」を受信し(ステップS101:Yes)、その受信した「Beacon frame」のBSSIDが無線通信部11に設定されているBSSIDと等しいとする(ステップS102:Yes)。そして、Beaconを送信した無線機器2の無線通信部11のMACアドレスが、自機器1の無線通信部11のMACアドレスよりも大きい場合には(ステップS103:No)、特に何も処理を行わない。
【0038】
すなわち、図3に示すように、無線機器2の無線通信部11からBeaconを受信すると(ステップS16)と、無線機器1の順序決定部15により、無線機器1においては、まずサプリカント13の処理を行い、次にオーセンティケータ14の処理を行うように順序が決定される(ステップS17)。
【0039】
続いて、無線機器1のサプリカント13は、認証サーバを用いない構成なので、無線機器2内のオーセンティケータ14よりMessage1を受信すると、PMKを生成、記憶する(ステップS18)。さらに無線機器1内のサプリカント13は、一時鍵の素となる種(「nance」と呼ぶ)を生成する(ステップS19)。ここでは、無線機器1のサプリカント13が生成した「nance」を「Snance」と呼ぶ。
【0040】
続いて、無線機器1内のサプリカント13は、「PMK」と「Snance」、自身の無線通信部11の「MACアドレス」、無線機器2から受信した「Anance」、無線機器2の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK(Pairwise Transient Key)」(ペア鍵)を生成する(ステップS20)。ここで、PTKには、大きく2つの階層の鍵があり、一つは、ユーザデータを保護する鍵、もう一つは認証・鍵交換プロセスに関わる通信を保護する鍵(ここではEAPOL−Keyとよぶ)である。ユーザデータを保護する鍵は、ユーザデータを暗号化するときに使用するデータ暗号化鍵とユーザデータの改ざんを防ぐために使用するデータ完全性鍵がある。EAPOL−Keyも同様に、通信を暗号化するときに使用するEAPOL−Key暗号化鍵と、通信の改ざんを防止するEAPOL−Key完全性鍵がある。ここではPTKとして4つの鍵を例にあげたが、全て別々に生成する必要はなく、同じ鍵を異なる用途に使用してもよい。なお、PTKを生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0041】
ここで、上記では、無線機器1内のサプリカント13は、無線機器2内のオーセンティケータ14から「Message1」を受信後に、PMKを生成、記憶し、Snanceを生成し、PTKを生成したが、Message1を受信するより前にあらかじめ生成、記憶しておいてもよい。
【0042】
続いて、無線機器1内のサプリカント13は、生成した「Snance」と、「MIC(Message Integrity Code)」を、無線機器2内のオーセンティケータ14に送信する(ステップS21)。なお、「MIC」は、PTKのうちEAPOL−Key完全性鍵を使って生成されるものであり、メッセージの完全性を保証するコードである。
【0043】
続いて、無線機器2内のオーセンティケータ14は、ステップS13で生成した「PMK」とステップS14で生成した「Anance」、自身の無線通信部11の「MACアドレス」、無線機器1から受信した「Snance」、無線機器1の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK」を生成する(ステップS22)。その上で、さらに先ほどステップS21で受信した「MIC」の値を検査し、受信したメッセージが改ざんされていないことを確認する。
【0044】
続いて、無線機器2内のオーセンティケータ14は、マルチキャストとブロードキャストの通信を保護するための「GMK(Group
Master Key)」を生成して記憶し(ステップS23)、GMKから一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成して記憶する(ステップS24)。この例では、「GMK」をステップS23の時点で生成、記憶し、「GTK」をステップS24の時点で生成、記憶しているが、「GTK」を事前に生成して記憶しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0045】
続いて、無線機器2内のオーセンティケータ14から無線機器1内のサプリカント13へ「PTK」の使用準備ができたことを知らせると同時に、「PTK」を使用して暗号化した「GTK」を、無線機器2のオーセンティケータ14から無線機器1のサプリカント13へ送信する(ステップS25)。この例では、「GTK」を「Message3」に含めて送信しているが、後述する「Message4」の終了後、改めて「GTK」を送信してもよい。
【0046】
続いて、無線機器1内のサプリカント13は、受信した「Message3」の「MIC」を検証し、無線機器2内のオーセンティケータ14が自身と合致する「PMK」を持っていることを確認する。その後、「PTK」の使用準備ができたことを無線機器2内のオーセンティケータ14に知らせる(ステップS26)。
【0047】
その後、無線機器1のサプリカント13は、記憶部16に「PTK」を記憶する(ステップS27)。このとき、「PTK」は、通信相手となる無線機器の無線通信部11のMACアドレスと関連付けて、記憶部16に記憶されることとなる。また、無線機器2内のオーセンティケータ14は、「Message4」を受信すると、「MIC」を確認後、自身で作成した「PTK」を記憶部16に記憶する(ステップS27)。
【0048】
続いて、無線機器1内のサプリカント13は、「Message3」で受信した「GTK」を記憶する(ステップS28)。この例では、ステップS28の時点で「GTK」を記憶しているが、「Message3」を受信した直後に記憶しておいてもよい。
【0049】
また、無線機器1内のサプリカント13は、自機器1内のオーセンティケータ14に「PTK」を送信する(ステップS29)。同様に、無線機器2内のオーセンティケータ14は、自機器2内のサプリカント13に「PTK」を送信する(ステップS29)。そして、無線機器1内のオーセンティケータ14は、自機器1内のサプリカント13から「PTK」を受け取り、記憶する(ステップS30)。同様に、無線機器2内のサプリカント13は、自機器2内のオーセンティケータ14から「PTK」を受け取り、記憶する(ステップS30)。
【0050】
以上のようにすることで、無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とは、相互間のデータ通信時に使用する「PTK」(ペア鍵)を得ることができる。つまり、上述した無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とによるステップS10〜S28の処理のうち、「GTK」に関する処理以外の処理を行うことなく、「PTK」を得ることができる。
【0051】
続いて、無線機器1内のオーセンティケータ14は、「GMK」を生成して記憶し(ステップS31)、「GMK」から一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成し、記憶する(ステップS32)。この例では、「GMK」をステップS31の時点で生成、記憶し、「GTK」をステップS32の時点で生成、記憶しているが、事前に実施しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0052】
続いて、無線機器1内のオーセンティケータ14は、「PTK」を使用して暗号化した「GTK」を、無線機器2のサプリカント13へ送信する(ステップS33)。そして、無線機器2内のサプリカント13は、「Message5」で受信した「MIC」を検証後、受信した「GTK」を記憶する(ステップS34)。そして、無線機器2のサプリカント13は、「GTK」の使用準備が整ったことを示すため、「Message6」を無線機器1のオーセンティケータ14に送信する(ステップS35)。
【0053】
以上で、無線機器1,2間の認証・鍵交換プロセスは終了となる。これ以降、サプリカント13とオーセンティケータ14の間で、ユーザデータをやりとりすることができる。このとき、「PTK」に含まれるデータ暗号化鍵、データ完全性鍵を用いることにより、ユーザデータを暗号化、保護することができる。
【0054】
その後、必要に応じて無線機器1,2の各オーセンティケータ14は、通信相手となる無線機器のサプリカント13に対し、「GTK」の更新処理を行う(ステップS32〜S35)。
【0055】
また、上述した認証・鍵交換プロセス処理が、無線伝搬距離内にある無線機器1,2,3,4間で行われ、お互いに認証・鍵交換処理を行うことで、セキュアな通信路を作成することができる。
【0056】
以上により、本実施形態によると、1台の無線機器内にサプリカント、オーセンティケータの2つの機能を同時に作動可能なよう装備し、その間で鍵を共有しているため、無線機器1〜4同士の認証にかかる無線通信メッセージの量を削減できる。つまり、1本の通信リンクに対して方向毎に2回認証、鍵交換シーケンスを実施することなく、1回のシーケンスを実施することで、サプリカントとオーセンティケータで鍵を共有することができる。従って、迅速かつセキュアな通信を実現できる。
【0057】
また、同一の無線機器内のサプリカントとオーセンティケータとで鍵を共有することで、別々の鍵を有することなく、無線機器にて管理する鍵の個数を削減でき、当該無線機器による処理の簡素化を図ることができる。
【0058】
また、サプリカント、オーセンティケータの2つの機能間で鍵を共有することによって、サプリカント、オーセンティケータのうち、どちらか一方だけが鍵を更新することで、無線機器間で鍵を交換する回数を半減させることができる。つまり、一つの無線機器内にあるサプリカント、オーセンティケータの両方で鍵を更新しなくてもよく、処理負担の軽減を図ることができる。
【0059】
さらに、オーセンティケータのみが鍵を更新する構成にすることで、現在、幅広く普及している無線アクセスポイントにおけるセキュリティの実装、すなわち、アクセスポイントが備えるオーセンティケータが鍵を更新するという技術をそのまま使用でき、汎用性の向上を図ることができる。但し、上記では、オーセンティケータがグループ鍵を更新する場合を例示したが、サプリカントがグループ鍵の更新を行ってもよい。
【0060】
<実施形態2>
本発明の第2の実施形態を、図6乃至図10を参照して説明する。図6は、無線ネットワーク全体の構成を示す図である。図7乃至図9は、無線機器間における通信時の動作を示すシーケンス図であり、図10は、無線機器の動作を示すフローチャートである。
【0061】
[構成]
本発明における無線機器1〜4(無線通信装置)は、図6に示すように、相互に無線接続することで無線アドホックネットワークを構築する。図6の例では、無線機器1と無線機器2,4が無線で接続されている。また、無線機器2は、無線機器1,3と接続され、無線機器3は無線機器2,4と接続されており、無線機器4は無線機器1,3と接続されている。
【0062】
さらに、本実施形態では、無線機器2が有線通信部12を通して1台の認証サーバ5と接続されている。従って、各無線機器1,3,4は、無線通信部2を介して認証サーバ5と通信を行うことができる。そして、認証サーバ5は、各無線機器1〜4内のサプリカント13、オーセンティケータ14と連携して、他の無線機器1〜4をネットワークに接続してよいか認証するための装置である。なお、無線機器2は、無線通信部11を通して認証サーバ5と接続してもよく、また、認証サーバ5の台数やネットワークでの配置は限定されない。
【0063】
また、本実施形態における無線機器1〜4は、基本的には上述した実施形態1のものと同様の構成を採っているため、ここでは詳細な説明は省略し、以下の動作説明時に詳述する。
【0064】
[動作]
次に、上述した構成の無線機器1〜4の動作を、図7乃至図10を参照して説明する。なお、以下では、無線機器1,2が接続するときの動作を説明するが、他の無線機器同士も同様である。
【0065】
まず、各無線機器1,2,3,4がそれぞれ装備する各無線通信部11のMACアドレスが、それぞれMAC101、MAC102、MAC103、MAC104と設定されており、また、各値の関係は、以下のように定義されていることとする。
MAC101<MAC102<MAC103<MAC104
【0066】
なお、以下の説明では、無線規格としてIEEE802.11無線LAN、認証規格としてEAPの使用を想定しているが、特にこれらに限定するものではなく、同様の規格、手法を用いた場合においても適用することが可能である。
【0067】
まず、IEEE802.11のIBSS(Independent Basic Service Set)モードでは、定期的に無線機器1が「Beacon frame」を送信することにより、複数の無線機器が自律分散的にお互いを認識する。そこで、まず無線機器1の無線通信部11が、「Beacon frame」を送出したとする(ステップS210)。
【0068】
ここで、図10に、無線機器1,2がセキュリティを保つために必要なシーケンス(認証・鍵交換プロセス)を開始するまでの処理の流れを示す。このフローチャートを参照すると、まず、無線機器2は、他の無線機器1から「Beacon frame」を受信すると(ステップS301:Yes)、その受信した「Beacon frame」のBSSIDが、自機器2内の無線通信部11に設定されているBSSIDと等しいか否かを調べる(ステップS302)。そして、等しい場合には(ステップS302:Yes)、「Beacon frame」を送信した無線機器1の無線通信部11の「MACアドレス(MAC101)」が、無線機器2の無線通信部11の「MACアドレス(MAC102)」よりも小さいか否かを調べる(ステップS303)。
【0069】
ここで、MAC101<MAC102の場合、つまり、送信元のMACアドレスの値が、受信した無線機器2のMACアドレスの値よりも小さい場合には(ステップS303:Yes)、記憶部16内に送信元MACアドレス毎に管理されている一時鍵PTK(Pairwise Transient Key)が記憶されているか否かを調べる(ステップS304)。そして、一時鍵PTKが記憶されていない状態であり(ステップS304:Yes)、無線機器2のオーセンティケータ14から認証サーバ5へ通信可能であれば(ステップS305:Yes)、順序決定部15にて順序決定判定を行う。このとき、サプリカントは認証・鍵交換プロセスを処理中でないので(ステップS306:No)、オーセンティケータにて認証・鍵交換プロセスを開始する(S307)。
【0070】
すなわち、図7に示すように、無線機器2においては、Beaconを受信すると(ステップS210)、無線機器2の順序決定部15により、サプリカントが作動していない場合に、まず先にオーセンティケータの処理を行い、次にサプリカントの処理を行うよう、順序を決定する(ステップS211)。なお、上記では、MACアドレスの値を比較して、その比較結果である大小関係に応じて順序判定を行っているが、他の情報を用いてサプリカントとオーセンティケータとの作動順序を決定してもよい。例えば、各機器を識別できる端末番号などを比較して、その比較結果に基づいて順序を決定してもよい。そして、順序決定部15は、認証・鍵交換プロセスを行うために、オーセンティケータ14に認証・鍵交換プロセスを開始するように通知を行う(ステップS212)。
【0071】
その後、無線機器2内のオーセンティケータ14は、無線通信部11を通して無線機器1のサプリカント13に対して、ステップS213以降の認証処理を開始する。
【0072】
なお、ここで仮に、無線機器2より自律分散的に送信される「Beacon frame」が送信されたとする(ステップS214)。この場合に、図10のフローチャートを参照すると、無線機器1は、他の無線機器2から「Beacon frame」を受信し(ステップS301:Yes)、その受信した「Beacon frame」のBSSIDが無線通信部11に設定されているBSSIDと等しいとする(ステップS302:Yes)。そして、Beaconを送信した無線機器2の無線通信部11のMACアドレスが、自機器1の無線通信部11のMACアドレスよりも大きい場合には(ステップS303:No)、特に何も処理を行わない。
【0073】
すなわち、図7に示すように、無線機器2の無線通信部11からBeaconを受信すると(ステップS214)と、無線機器1の順序決定部15により、無線機器1においては、まずサプリカント13の処理を行い、次にオーセンティケータ14の処理を行うように順序が決定される(ステップS215)。
【0074】
続いて、無線機器1のサプリカント13と、無線機器2のオーセンティケータ14と、認証サーバ5との間で、無線通信部11、有線通信部12を介して、認証処理が行われる(ステップS216)。
【0075】
その後、認証サーバ5による認証処理が完了すると、無線機器1内のサプリカント13と、無線機器2内のオーセンティケータ14とが、それぞれ全ての暗号処理の起点となる「PMK」を生成し、記憶する(ステップS217,S218)。PMKの生成方法については、既存技術を用いてよく、ここでは特に限定しない。
【0076】
続いて、無線機器1内のサプリカント13と、無線機器2内のオーセンティケータ14は、それぞれ一時鍵の素となる種「nance」を生成する(ステップS219,S220)。ここでは、無線機器1のサプリカント13が生成した「nance」を「Snance」と呼び(ステップS219)、無線機器2のオーセンティケータ14が生成した「nance」を「Anance」と呼ぶ(ステップS220)。なお、nanceの生成方法については、既存技術を用いてよく、ここでは特に限定しないが、例えば乱数を使用するなど鍵に対して一度しか使われないような値にするのが望ましい。
【0077】
続いて、無線機器2内のオーセンティケータ14は、生成した「Anance」を無線機器1内のサプリカント13に送信する(ステップS221)。すると、無線機器1内のサプリカント13は、「PMK」と「Snance」、自身の無線通信部11の「MACアドレス」、無線機器2から受信した「Anance」、無線機器2の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK(Pairwise Transient Key)」(ペア鍵)を生成する(ステップS222)。
【0078】
ここで、「PTK」には、大きく2つの階層の鍵があり、一つは、ユーザデータを保護する鍵、もう一つは認証・鍵交換プロセスに関わる通信を保護する鍵(ここではEAPOL−Keyとよぶ)である。ユーザデータを保護する鍵は、ユーザデータを暗号化するときに使用するデータ暗号化鍵とユーザデータの改ざんを防ぐために使用するデータ完全性鍵がある。EAPOL−Keyも同様に、通信を暗号化するときに使用するEAPOL−Key暗号化鍵と、通信の改ざんを防止するEAPOL−Key完全性鍵がある。ここではPTKとして4つの鍵を例にあげたが、全て別々に生成する必要はなく、同じ鍵を異なる用途に使用してもよい。なお、PTKを生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0079】
続いて、無線機器1内のサプリカント13は、生成した「Snance」と、「MIC(Message Integrity Code)」を、無線機器2内のオーセンティケータ14に送信する(ステップS223)。なお、「MIC」は、PTKのうちEAPOL−Key完全性鍵を使って生成されるものであり、メッセージの完全性を保証するコードである。
【0080】
続いて、無線機器2内のオーセンティケータ14は、ステップS218で生成した「PMK」とステップS220で生成した「Anance」、自身の無線通信部11の「MACアドレス」、無線機器1から受信した「Snance」、無線機器1の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK」を生成する(ステップS224)。その上で、さらに先ほどステップS223で受信した「MIC」の値を検査し、受信したメッセージが改ざんされていないことを確認する。
【0081】
続いて、無線機器2内のオーセンティケータ14は、マルチキャストとブロードキャストの通信を保護するための「GMK(Group
Master Key)」を生成して、記憶し(ステップS225)、GMKから一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成、記憶する(ステップS226)。この例では、「GMK」をステップS225の時点で生成、記憶し、「GTK」をステップS226の時点で生成、記憶しているが、「GTK」を事前に生成して記憶しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0082】
続いて、無線機器2内のオーセンティケータ14から無線機器1内のサプリカント13へ「PTK」の使用準備ができたことを知らせると同時に、「PTK」を使用して暗号化した「GTK」を、無線機器2のオーセンティケータ14から無線機器1のサプリカント13へ送信する(ステップS227)。この例では、「GTK」を「Message3」に含めて送信しているが、後述する「Message4」の終了後、改めて「GTK」を送信してもよい。
【0083】
続いて、無線機器1内のサプリカント13は、受信した「Message3」の「MIC」を検証し、無線機器2内のオーセンティケータ14が自身と合致する「PMK」を持っていることを確認する。その後、「PTK」の使用準備ができたことを無線機器2内のオーセンティケータ14に知らせる(ステップS228)。
【0084】
その後、無線機器1のサプリカント13は、記憶部16に「PTK」を記憶する(ステップS229)。このとき、「PTK」は、通信相手となる無線機器の無線通信部11のMACアドレスと関連付けて、記憶部16に記憶されることとなる。また、無線機器2内のオーセンティケータ14は、「Message4」を受信すると、「MIC」を確認後、自身で作成した「PTK」を記憶部16に記憶する(ステップS229)。
【0085】
続いて、無線機器1内のサプリカント13は、「Message3」で受信した「GTK」を記憶する(ステップS230)。この例では、ステップS230の時点で「GTK」を記憶しているが、「Message3」を受信した直後に記憶しておいてもよい。
【0086】
また、無線機器1内のサプリカント13は、自機器1内のオーセンティケータ14に「PTK」を送信する(ステップS231)。同様に、無線機器2内のオーセンティケータ14は、自機器2内のサプリカント13に「PTK」を送信する(ステップS231)。そして、無線機器1内のオーセンティケータ14は、自機器1内のサプリカント13から「PTK」を受け取り、記憶する(ステップS232)。同様に、無線機器2内のサプリカント13は、自機器2内のオーセンティケータ14から「PTK」を受け取り、記憶する(ステップS232)。
【0087】
以上のようにすることで、無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とは、相互間のデータ通信時に暗号化等に使用する「PTK」(ペア鍵)を得ることができる。つまり、上述した無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とによるステップS210〜S230の処理のうち、「GTK」に関する処理以外の処理を行うことなく、「PTK」を得ることができる。
【0088】
続いて、無線機器1内のオーセンティケータ14は、「GMK」を生成、記憶し(ステップS233)、「GMK」から一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成、記憶する(ステップS234)。この例では、「GMK」をステップS233の時点で生成、記憶し、「GTK」をステップS234の時点で生成、記憶しているが、事前に実施しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0089】
続いて、無線機器1内のオーセンティケータ14は、「PTK」を使用して暗号化した「GTK」を、無線機器2のサプリカント13へ送信する(ステップS235)。そして、無線機器2内のサプリカント13は、「Message5」で受信した「MIC」を検証後、受信した「GTK」を記憶する(ステップS236)。そして、無線機器2のサプリカント13は、「GTK」の使用準備が整ったことを示すため、「Message6」を無線機器1のオーセンティケータ14に送信する(ステップS237)。
【0090】
以上で、無線機器1,2間の認証・鍵交換プロセスは終了となる。これ以降、サプリカント13とオーセンティケータ14の間で、ユーザデータをやりとりすることができる。このとき、「PTK」に含まれるデータ暗号化鍵、データ完全性鍵を用いることにより、ユーザデータを暗号化、保護することができる。
【0091】
その後、必要に応じて無線機器1,2の各オーセンティケータ14は、通信相手となる無線機器のサプリカント13に対し、「GTK」の更新処理を行う(ステップS234〜S237)。
【0092】
以上のような認証・鍵交換プロセス処理が、無線伝搬距離内にある無線機器1,2,3,4間で行われ、お互いに認証・鍵交換処理を行うことで、セキュアな通信路を作成することができる。
【0093】
<実施形態3>
次に、本発明の第3の実施形態を、図11を参照して説明する。図11は、本実施形態における無線通信装置の構成を示すブロック図である。なお、本実施形態では、上述した無線機器の構成の概略を説明する。
【0094】
図11に示すように、上述した無線機器1,2,3,4に相当する本発明の一形態である無線通信装置100は、
無線通信部101と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカント102と、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータ103と、を備えている。
そして、上記サプリカントと上記オーセンティケータとが同時に作動可能なよう構成されている。
さらに、上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0095】
また、上記無線通信装置では、
上記ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、上記ペア鍵を利用して上記特定の無線通信装置に送信する機能を有する、
という構成を採る。
【0096】
さらに、上記無線通信装置では、
上記サプリカントが、設定した上記ペア鍵を上記オーセンティケータに渡し、
上記オーセンティケータが、上記サプリカントから受け取った上記ペア鍵を用いて上記特定の無線通信装置に上記グループ鍵を送信する、
という構成を採る。
【0097】
上記発明によると、まず、無線通信装置は、サプリカントとオーセンティケータを備えており、これらは同時に作動可能である。そして、サプリカント(あるいはオーセンティケータ)が、他の特定の無線通信装置とセキュアにデータ通信を行うべくペア鍵の設定を行うと共に、このペア鍵をオーセンティケータ(あるいはサプリカント)に渡して共有する。すると、オーセンティケータ(あるいはサプリカント)は、他の特定の無線通信装置との接続時に新たにペア鍵の設定処理を行うことなく、自装置のサプリカント(あるいはオーセンティケータ)から受け取ったペア鍵を用いて、特定の無線通信装置とデータ通信を行うことができる。特に、オーセンティケータが特定の無線通信装置にグループ鍵を送信する際に上記受け取ったペア鍵を用いることで、迅速かつセキュアにグループ鍵の更新を行うことができる。そして、上述したように同一の無線通信装置内のサプリカントとオーセンティケータとで鍵を共有することで、別々の鍵を有することなく、無線通信装置にて管理する鍵の個数を削減できる。
【0098】
また、上記無線通信装置では、
相互に認証処理を行う各無線通信装置に予め設定された当該各無線通信装置をそれぞれ識別する各識別情報の比較結果に応じて、上記サプリカントと上記オーセンティケータとのどちらが先に作動するか否かを決定する順序決定手段を備える。
そして、上記サプリカントと上記オーセンティケータとは、上記順序決定手段の決定に応じた順序で作動する、
という構成を採る。
【0099】
また、上記順序決定手段では、上記サプリカントが作動していない場合に上記オーセンティケータが先に作動するよう決定する、
という構成を採る。
【0100】
また、上述した無線通信装置は、当該無線通信装置の演算装置にプログラムが組み込まれることで実現できる。具体的に、本発明の他の形態であるプログラムは、
無線通信部を備えた無線通信装置に、
他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を実現させるプログラムである。
そして、上記サプリカントと上記オーセンティケータとは同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0101】
また、上記プログラムでは、
上記ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、上記ペア鍵を利用して上記特定の無線通信装置に送信する機能を有する、
という構成を採る。
【0102】
また、上述した無線通信装置が作動することにより実行される、本発明の他の形態である無線通信方法は、
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備えた無線通信装置にて、
上記サプリカントと上記オーセンティケータとが同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行い、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す、
という構成を採る。
【0103】
そして、上記無線通信方法では、
上記ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、上記ペア鍵を利用して上記特定の無線通信装置に送信する、
という構成を採る。
【0104】
上述した構成を有する、プログラム、又は、無線通信方法、の発明であっても、上記無線通信装置と同様の作用を有するために、上述した本発明の目的を達成することができる。
【0105】
以上、上記各実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明の範囲内で当業者が理解しうる様々な変更をすることができる。
【産業上の利用可能性】
【0106】
本発明は、無線アドホックネットワークを構築する無線通信装置に利用することができ、産業上の利用可能性を有する。
【符号の説明】
【0107】
1,2,3,4 無線機器
5 認証サーバ
11 無線通信部
12 有線通信部
13 サプリカント
14 オーセンティケータ
15 順序決定部
16 記憶部
100 無線通信装置
101 無線通信部
102 サプリカント
103 オーセンティケータ
【技術分野】
【0001】
本発明は、無線通信装置にかかり、特に、無線アドホックネットワークを構築する無線通信装置に関する。
【背景技術】
【0002】
近年、設置の容易性、障害耐性の観点から、基地局やアクセスポイントのように集中管理する無線機器を持たず、無線インタフェース(無線通信部)を持った無線機器がお互いに無線で接続して、その場でネットワークを形成する無線アドホックネットワークが求められている。そして、さらに無線インタフェースを持った複数の無線機器が相互に接続して通信することで、無線メッシュネットワークを形成することがある。
【0003】
ここで、無線技術として、IEEE(The Institute of Electrical and Electronics Engineers, Inc.)802.11で規定されている無線LAN(Local Area Network)では、無線ネットワークを形成する様態として、インフラストラクチャ(Infrastructure)モードと、IBSS(Independent Basic Service Set)モードが規定されている。インフラストラクチャモードでは、アクセスポイント(AP:Access
Point)と呼ばれる無線機器が統括的に端末(STA:Station)を制御することによりネットワークを形成する。IBSSモードでは、複数の無線通信装置同士が自律分散的に無線通信を行うことによりネットワークを形成する。無線アドホックネットワークでは、上述のように複数の無線機器が集まってネットワークを形成することから、IBSSモードが使われることが多い。
【0004】
そして、無線アドホックネットワークでは、無線機器の設置の容易性が求められるとともにセキュリティの確保も要求される。例えば、LANのセキュリティを確保するしくみとして、IEEE802.11Xにアクセス制御が規定されている。ここでは、ネットワークへの参加を要求するサプリカント(SU:Supplicant)、制御を行うオーセンティケータ(AU:Authenticator)、サプリカントにアクセスを許可するかどうかを判定する認証サーバ(AS:Authentication
Server)について規定されている。
【0005】
また、無線LANのセキュリティを確保する仕組みとして、IEEE802.11Xを利用したアクセス制御を、インフラストラクチャモード、IBSSモードで利用することがIEEE802.11iにて規定されている。インフラストラクチャモードでは、端末がサプリカントとなり、アクセスポイントが端末のオーセンティケータとなり、認証サーバへの認証プロセスを統括的に行う。IBSSモードでは、統括的に制御行う無線機器が定義できないため、全ての無線機器がサプリカントとオーセンティケータの両方の機能を持つように規定されている。
【0006】
また、使用したい認証方式を2者間で交換する方式として、IETF(Internet Engineering Task Force)による技術仕様であるRFC(Request for Comments)2284(EAP(Extensible Authentication Protocol(拡張認証プロトコル)))が規定されている。EAPでは、メッセージのタイプが規定されているにすぎず、メッセージの詳細な内容は規定しておらず、メッセージの詳細は他のRFCによって規定されている。例えば、認証方式としてTLS(Transport Layer Security)を利用する方式がRFC2716に規定されている。この認証方式は、認証サーバおよびクライアントの相互で電子証明書(公開鍵証明書)を利用した認証を行う方式であり、安全性が高いことが知られている。
【0007】
また、上述したIEEE802.11Xにおいて、サプリカントとオーセンティケータ間でEAPメッセージをやりとりするために、EAPOL(EAP over LAN)と呼ばれるプロトコルが定義されている。
【0008】
そして、上述したように無線アドホックネットワークにおけるセキュリティを実施する場合、1つの無線機器内でサプリカントとオーセンティケータの両方の機能を装備することが規定されている。このとき、2台の無線機器間のセキュリティを考えた場合、2台の無線機器間の1本の通信リンクに対して上り方向と下り方向とで、2回認証シーケンスを実施する必要があった。
【0009】
上記問題を解決するために、特許文献1では、各アクセスポイントが、認証仲介機能(Authenticator)と被認証機能(Supplicant)とを備え、いずれかの機能を選択して実行させる、ことを開示している。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2006−246219号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
しかしながら、特許文献1に開示されているように、各アクセスポイントの役割をサプリカントまたはオーセンティケータのいずれかに決定してしまうと、無線通信装置間で鍵の更新を行う場合に、サプリカントとオーセンティケータとが、それぞれ鍵の更新動作を実行する必要があり、処理に時間がかかり負荷が増大する、という問題があった。また、鍵を更新するタイミングを同期することが困難である、という問題もある。
【0012】
このため、本発明の目的は、上述した処理の遅延と負荷の増大という課題を解決することにあり、迅速にセキュアな通信を実現することができる無線通信装置を提供することにある。
【課題を解決するための手段】
【0013】
かかる目的を達成するため本発明の一形態である無線通信装置は、
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備え、
上記サプリカントと上記オーセンティケータとが同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0014】
また、本発明の他の形態であるプログラムは、
無線通信部を備えた無線通信装置に、
他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を実現させるプログラムであり、
上記サプリカントと上記オーセンティケータとは同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0015】
また、本発明の他の形態である無線通信方法は、
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備えた無線通信装置にて、
上記サプリカントと上記オーセンティケータとが同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行い、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す、
という構成を採る。
【発明の効果】
【0016】
本発明は、以上のように構成されることにより、迅速にセキュアな無線アドホックネットワークを実現することができる無線通信装置を提供することができる。
【図面の簡単な説明】
【0017】
【図1】実施形態1における無線ネットワーク全体の構成を示す図である。
【図2】図1に開示した無線機器の構成を示すブロック図である。
【図3】図1に開示した無線機器間における通信時の動作を示すシーケンス図である。
【図4】図1に開示した無線機器間における通信時の動作を示すシーケンス図であり、図3の続きを示す。
【図5】図1に開示した無線機器の動作を示すフローチャートである。
【図6】実施形態2における無線ネットワーク全体の構成を示す図である。
【図7】図6に開示した無線機器間における通信時の動作を示すシーケンス図である。
【図8】図6に開示した無線機器間における通信時の動作を示すシーケンス図であり、図7の続きを示す。
【図9】図6に開示した無線機器間における通信時の動作を示すシーケンス図であり、図8の続きを示す。
【図10】図6に開示した無線機器の動作を示すフローチャートである。
【図11】実施形態3における無線機器の構成を示すブロック図である。
【発明を実施するための形態】
【0018】
<実施形態1>
本発明の第1の実施形態を、図1乃至図5を参照して説明する。図1は、無線ネットワーク全体の構成を示す図であり、図2は、無線ネットワークを構築する無線機器の構成を示すブロック図である。図3乃至図4は、無線機器間における通信時の動作を示すシーケンス図であり、図5は、無線機器の動作を示すフローチャートである。
【0019】
[構成]
本発明における無線機器1〜4(無線通信装置)は、図1に示すように、相互に無線接続することで無線アドホックネットワークを構築する。図1の例では、無線機器1と無線機器2,4が無線で接続されている。また、無線機器2は、無線機器1,3と接続され、無線機器3は無線機器2,4と接続されており、無線機器4は無線機器1,3と接続されている。
【0020】
このようなアドホックネットワークにおいては、例えば無線機器1から無線機器3へ通信を行いたい場合は、直接通信できず、無線機器2または無線機器4を経由することで通信できるものとする。なお、どちらの無線機器2,4を経由するかは、既存技術である様々なルーティング技術を使用して決めることができる。また、無線機器2から無線機器4へ通信を行う場合も同様に無線機器1または無線機器3を経由して通信を行う。
【0021】
次に、上記無線機器1の構成について、図2を参照して説明する。なお、上記各無線機器1〜4は同一の構成を採っているため、ここでは無線機器1のみの構成を説明する。
【0022】
図2に示すように、無線機器1は、無線通信部11と、有線通信部12と、を備えている。無線通信部11は、例えば、IEEE802.11に基づく無線通信を行う装置であり、一台の無線機器1に、一つまたはそれ以上搭載されている。ここでは説明の簡略化のために、各無線機器1〜4に搭載されている無線通信部11が全て同じ無線仕様であることとしているが、異なる仕様であってもよい。また、有線通信部12は、有線で通信を行う装置であり、例えば、IEEE802.3の有線LAN規格に基づくものである。そして、有線通信部12は、一台の無線機器1に一つまたはそれ以上搭載される。
【0023】
そして、上述した無線通信部11を用いて、図1の点線で示すように、各無線機器1〜4が無線で接続される。また、各無線機器1〜4には、有線通信部12を用いて、後述する実施形態2で示すような認証サーバなどを有線で接続することが可能であるが、本実施形態では接続されていない。なお、図1の例では、4台の無線機器1〜4が接続されている場合を例示しているが、無線機器の台数は上記台数に限定されない。
【0024】
また、無線機器1は、CPU(Central Processing Unit)といった演算装置(図示せず)と、フラッシュメモリなどの記憶部16を備えている。そして、無線機器1は、図2に示すように、演算装置にプログラムが組み込まれることによって構築された、サプリカント13と、オーセンティケータ14と、順序決定部15と、を備えている。なお、上記プログラムは、記憶部16や他の記憶媒体に記憶された状態で、無線機器1の演算装置に提供され、組み込まれる。
【0025】
上記サプリカント13は、ネットワークへの参加つまり認証処理を他の無線機器に対して要求すると共に、当該他の無線機器と協働して認証処理を行う機能を有する。また、オーセンティケータ14は、別の無線機器内のサプリカント13からのネットワークへの参加要求つまり認証要求に応じて、当該サプリカント13をネットワークに参加させるか否かを制御する認証処理を行う機能を有する。なお、本実施形態におけるサプリカント13とオーセンティケータ14とは、IEEE802.11Xに基づく機能を有していることとするが、同様の役割を果たすのであれば、IEEE802.11Xに基づく構成であることに限定されない。
【0026】
上記順序決定部15は、無線機器1内のサプリカント13とオーセンティケータ14のうち、どちらの機能を先に使用するかを、無線通信部11、有線通信部12、記憶部16に記憶された情報を元に決定する機能を有する。また、上記記憶部16は、無線通信部11や有線通信部12の通信設定や、各無線機器を認証するために必要なID、パスワード文字列、証明書などを記憶している。なお、上記各構成については、以下の動作説明時にさらに詳述する。
【0027】
[動作]
次に、上述した構成の無線機器1〜4の動作を、図3乃至図5を参照して説明する。なお、以下では、無線機器1,2が接続するときの動作を説明するが、他の無線機器同士も同様である。
【0028】
まず、各無線機器1,2,3,4がそれぞれ装備する各無線通信部11のMACアドレスが、それぞれMAC101、MAC102、MAC103、MAC104と設定されており、また、各値の関係は、以下のように定義されていることとする。
MAC101<MAC102<MAC103<MAC104
【0029】
そして、本実施形態では、別途、認証サーバを持たない構成であるため、それぞれの無線機器1〜4がお互いを認証する機能を有する。このため、各無線機器1,2,3,4の各記憶部16には、あらかじめ「共有鍵(パスワードなど)」が記憶されており、通信時に「共有鍵」を互いに送受信することで、お互いを認証する。なお、以下の説明では、無線規格としてIEEE802.11無線LAN、認証規格としてEAPの使用を想定しているが、特にこれらに限定するものではなく、同様の規格、手法を用いた場合においても適用することが可能である。
【0030】
以下、図3及び図4に示す、2台の無線機器1,2との間の認証・鍵交換処理を行うシーケンス図に沿って説明する。なお、図3,4では、図の簡略化のために、無線機器1,2内の有線通信部12や順序決定部15等を省略しているが、特に構成を限定するものではない。
【0031】
まず、IEEE802.11のIBSS(Independent Basic Service Set)モードでは、定期的に無線機器1が「Beacon frame」を送信することにより、複数の無線機器が自律分散的にお互いを認識する。そこで、まず無線機器1の無線通信部11が、「Beacon frame」を送出したとする(ステップS10)。
【0032】
ここで、図5に、無線機器1,2がセキュリティを保つために必要なシーケンス(認証・鍵交換プロセス)を開始するまでの処理の流れを示す。このフローチャートを参照すると、まず、無線機器2は、他の無線機器1から「Beacon frame」を受信すると(ステップS101:Yes)、その受信した「Beacon frame」のBSSIDが、自機器2内の無線通信部11に設定されているBSSIDと等しいか否かを調べる(ステップS102)。そして、等しい場合には(ステップS102:Yes)、「Beacon frame」を送信した無線機器1の無線通信部11の「MACアドレス(MAC101)」が、無線機器2の無線通信部11の「MACアドレス(MAC102)」よりも小さいか否かを調べる(ステップS103)。
【0033】
ここで、MAC101<MAC102の場合、つまり、送信元のMACアドレスの値が、受信した無線機器2のMACアドレスの値よりも小さい場合には(ステップS103:Yes)、記憶部16内に送信元MACアドレス毎に管理されている一時鍵PTK(Pairwise Transient Key)が記憶されているか否かを調べる(ステップS104)。そして、一時鍵PTKが記憶されていない状態であれば(ステップS104:Yes)、順序決定部15にて順序決定判定を行う。このとき、サプリカントは認証・鍵交換プロセスを処理中でないので(ステップS105:No)、オーセンティケータにて認証・鍵交換プロセスを開始する(S106)。
【0034】
すなわち、図3に示すように、無線機器2においては、Beaconを受信すると(ステップS10)、無線機器2の順序決定部15により、サプリカントが作動していない場合に、まず先にオーセンティケータによる処理を行い、次にサプリカントによる処理を行うよう、順序を決定する(ステップS11)。なお、上記では、MACアドレスの値を比較して、その比較結果である大小関係に応じて順序判定を行っているが、他の情報を用いてサプリカントとオーセンティケータとの作動順序を決定してもよい。例えば、各機器を識別できる端末番号などを比較して、その比較結果に基づいて順序を決定してもよい。そして、順序決定部15は、認証・鍵交換プロセスを行うために、オーセンティケータ14に認証・鍵交換プロセスを開始するように通知を行う(ステップS12)。
【0035】
続いて、無線機器2内のオーセンティケータ14は、無線通信部11を通して無線機器1のサプリカント13に対して、ステップ13以降に示す認証処理を開始する。本実施形態では認証サーバを用いない構成であるため、まず、無線機器2内のオーセンティケータ14は、記憶部16に予め記憶された「共有鍵」から全ての暗号処理の起点となる「PMK(Pairwise Master Key)」を生成して、記憶する(ステップS13)。なお、PMKの生成方法については、既存技術を用いてよく、ここでは特に限定しない。
【0036】
続いて、無線機器2内のオーセンティケータ14は、一時鍵の素となる種(「nance」と呼ぶ)を生成する(ステップS14)。ここでは、オーセンティケータ14が生成した「nance」を「Anance」と呼ぶ。なお、「nance」の生成方法については、既存技術を用いてよく、ここでは特に限定しないが、例えば乱数を使用するなど鍵に対して一度しか使われないような値にするのが望ましい。そして、無線機器2内のオーセンティケータ14は、生成した「Anance」を無線機器1内のサプリカント13に送信する(ステップS15)。
【0037】
ここで、無線機器2より自律分散的に送信される「Beacon frame」が送信されたとする。この場合に、図5のフローチャートを参照すると、無線機器1は、他の無線機器2から「Beacon frame」を受信し(ステップS101:Yes)、その受信した「Beacon frame」のBSSIDが無線通信部11に設定されているBSSIDと等しいとする(ステップS102:Yes)。そして、Beaconを送信した無線機器2の無線通信部11のMACアドレスが、自機器1の無線通信部11のMACアドレスよりも大きい場合には(ステップS103:No)、特に何も処理を行わない。
【0038】
すなわち、図3に示すように、無線機器2の無線通信部11からBeaconを受信すると(ステップS16)と、無線機器1の順序決定部15により、無線機器1においては、まずサプリカント13の処理を行い、次にオーセンティケータ14の処理を行うように順序が決定される(ステップS17)。
【0039】
続いて、無線機器1のサプリカント13は、認証サーバを用いない構成なので、無線機器2内のオーセンティケータ14よりMessage1を受信すると、PMKを生成、記憶する(ステップS18)。さらに無線機器1内のサプリカント13は、一時鍵の素となる種(「nance」と呼ぶ)を生成する(ステップS19)。ここでは、無線機器1のサプリカント13が生成した「nance」を「Snance」と呼ぶ。
【0040】
続いて、無線機器1内のサプリカント13は、「PMK」と「Snance」、自身の無線通信部11の「MACアドレス」、無線機器2から受信した「Anance」、無線機器2の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK(Pairwise Transient Key)」(ペア鍵)を生成する(ステップS20)。ここで、PTKには、大きく2つの階層の鍵があり、一つは、ユーザデータを保護する鍵、もう一つは認証・鍵交換プロセスに関わる通信を保護する鍵(ここではEAPOL−Keyとよぶ)である。ユーザデータを保護する鍵は、ユーザデータを暗号化するときに使用するデータ暗号化鍵とユーザデータの改ざんを防ぐために使用するデータ完全性鍵がある。EAPOL−Keyも同様に、通信を暗号化するときに使用するEAPOL−Key暗号化鍵と、通信の改ざんを防止するEAPOL−Key完全性鍵がある。ここではPTKとして4つの鍵を例にあげたが、全て別々に生成する必要はなく、同じ鍵を異なる用途に使用してもよい。なお、PTKを生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0041】
ここで、上記では、無線機器1内のサプリカント13は、無線機器2内のオーセンティケータ14から「Message1」を受信後に、PMKを生成、記憶し、Snanceを生成し、PTKを生成したが、Message1を受信するより前にあらかじめ生成、記憶しておいてもよい。
【0042】
続いて、無線機器1内のサプリカント13は、生成した「Snance」と、「MIC(Message Integrity Code)」を、無線機器2内のオーセンティケータ14に送信する(ステップS21)。なお、「MIC」は、PTKのうちEAPOL−Key完全性鍵を使って生成されるものであり、メッセージの完全性を保証するコードである。
【0043】
続いて、無線機器2内のオーセンティケータ14は、ステップS13で生成した「PMK」とステップS14で生成した「Anance」、自身の無線通信部11の「MACアドレス」、無線機器1から受信した「Snance」、無線機器1の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK」を生成する(ステップS22)。その上で、さらに先ほどステップS21で受信した「MIC」の値を検査し、受信したメッセージが改ざんされていないことを確認する。
【0044】
続いて、無線機器2内のオーセンティケータ14は、マルチキャストとブロードキャストの通信を保護するための「GMK(Group
Master Key)」を生成して記憶し(ステップS23)、GMKから一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成して記憶する(ステップS24)。この例では、「GMK」をステップS23の時点で生成、記憶し、「GTK」をステップS24の時点で生成、記憶しているが、「GTK」を事前に生成して記憶しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0045】
続いて、無線機器2内のオーセンティケータ14から無線機器1内のサプリカント13へ「PTK」の使用準備ができたことを知らせると同時に、「PTK」を使用して暗号化した「GTK」を、無線機器2のオーセンティケータ14から無線機器1のサプリカント13へ送信する(ステップS25)。この例では、「GTK」を「Message3」に含めて送信しているが、後述する「Message4」の終了後、改めて「GTK」を送信してもよい。
【0046】
続いて、無線機器1内のサプリカント13は、受信した「Message3」の「MIC」を検証し、無線機器2内のオーセンティケータ14が自身と合致する「PMK」を持っていることを確認する。その後、「PTK」の使用準備ができたことを無線機器2内のオーセンティケータ14に知らせる(ステップS26)。
【0047】
その後、無線機器1のサプリカント13は、記憶部16に「PTK」を記憶する(ステップS27)。このとき、「PTK」は、通信相手となる無線機器の無線通信部11のMACアドレスと関連付けて、記憶部16に記憶されることとなる。また、無線機器2内のオーセンティケータ14は、「Message4」を受信すると、「MIC」を確認後、自身で作成した「PTK」を記憶部16に記憶する(ステップS27)。
【0048】
続いて、無線機器1内のサプリカント13は、「Message3」で受信した「GTK」を記憶する(ステップS28)。この例では、ステップS28の時点で「GTK」を記憶しているが、「Message3」を受信した直後に記憶しておいてもよい。
【0049】
また、無線機器1内のサプリカント13は、自機器1内のオーセンティケータ14に「PTK」を送信する(ステップS29)。同様に、無線機器2内のオーセンティケータ14は、自機器2内のサプリカント13に「PTK」を送信する(ステップS29)。そして、無線機器1内のオーセンティケータ14は、自機器1内のサプリカント13から「PTK」を受け取り、記憶する(ステップS30)。同様に、無線機器2内のサプリカント13は、自機器2内のオーセンティケータ14から「PTK」を受け取り、記憶する(ステップS30)。
【0050】
以上のようにすることで、無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とは、相互間のデータ通信時に使用する「PTK」(ペア鍵)を得ることができる。つまり、上述した無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とによるステップS10〜S28の処理のうち、「GTK」に関する処理以外の処理を行うことなく、「PTK」を得ることができる。
【0051】
続いて、無線機器1内のオーセンティケータ14は、「GMK」を生成して記憶し(ステップS31)、「GMK」から一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成し、記憶する(ステップS32)。この例では、「GMK」をステップS31の時点で生成、記憶し、「GTK」をステップS32の時点で生成、記憶しているが、事前に実施しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0052】
続いて、無線機器1内のオーセンティケータ14は、「PTK」を使用して暗号化した「GTK」を、無線機器2のサプリカント13へ送信する(ステップS33)。そして、無線機器2内のサプリカント13は、「Message5」で受信した「MIC」を検証後、受信した「GTK」を記憶する(ステップS34)。そして、無線機器2のサプリカント13は、「GTK」の使用準備が整ったことを示すため、「Message6」を無線機器1のオーセンティケータ14に送信する(ステップS35)。
【0053】
以上で、無線機器1,2間の認証・鍵交換プロセスは終了となる。これ以降、サプリカント13とオーセンティケータ14の間で、ユーザデータをやりとりすることができる。このとき、「PTK」に含まれるデータ暗号化鍵、データ完全性鍵を用いることにより、ユーザデータを暗号化、保護することができる。
【0054】
その後、必要に応じて無線機器1,2の各オーセンティケータ14は、通信相手となる無線機器のサプリカント13に対し、「GTK」の更新処理を行う(ステップS32〜S35)。
【0055】
また、上述した認証・鍵交換プロセス処理が、無線伝搬距離内にある無線機器1,2,3,4間で行われ、お互いに認証・鍵交換処理を行うことで、セキュアな通信路を作成することができる。
【0056】
以上により、本実施形態によると、1台の無線機器内にサプリカント、オーセンティケータの2つの機能を同時に作動可能なよう装備し、その間で鍵を共有しているため、無線機器1〜4同士の認証にかかる無線通信メッセージの量を削減できる。つまり、1本の通信リンクに対して方向毎に2回認証、鍵交換シーケンスを実施することなく、1回のシーケンスを実施することで、サプリカントとオーセンティケータで鍵を共有することができる。従って、迅速かつセキュアな通信を実現できる。
【0057】
また、同一の無線機器内のサプリカントとオーセンティケータとで鍵を共有することで、別々の鍵を有することなく、無線機器にて管理する鍵の個数を削減でき、当該無線機器による処理の簡素化を図ることができる。
【0058】
また、サプリカント、オーセンティケータの2つの機能間で鍵を共有することによって、サプリカント、オーセンティケータのうち、どちらか一方だけが鍵を更新することで、無線機器間で鍵を交換する回数を半減させることができる。つまり、一つの無線機器内にあるサプリカント、オーセンティケータの両方で鍵を更新しなくてもよく、処理負担の軽減を図ることができる。
【0059】
さらに、オーセンティケータのみが鍵を更新する構成にすることで、現在、幅広く普及している無線アクセスポイントにおけるセキュリティの実装、すなわち、アクセスポイントが備えるオーセンティケータが鍵を更新するという技術をそのまま使用でき、汎用性の向上を図ることができる。但し、上記では、オーセンティケータがグループ鍵を更新する場合を例示したが、サプリカントがグループ鍵の更新を行ってもよい。
【0060】
<実施形態2>
本発明の第2の実施形態を、図6乃至図10を参照して説明する。図6は、無線ネットワーク全体の構成を示す図である。図7乃至図9は、無線機器間における通信時の動作を示すシーケンス図であり、図10は、無線機器の動作を示すフローチャートである。
【0061】
[構成]
本発明における無線機器1〜4(無線通信装置)は、図6に示すように、相互に無線接続することで無線アドホックネットワークを構築する。図6の例では、無線機器1と無線機器2,4が無線で接続されている。また、無線機器2は、無線機器1,3と接続され、無線機器3は無線機器2,4と接続されており、無線機器4は無線機器1,3と接続されている。
【0062】
さらに、本実施形態では、無線機器2が有線通信部12を通して1台の認証サーバ5と接続されている。従って、各無線機器1,3,4は、無線通信部2を介して認証サーバ5と通信を行うことができる。そして、認証サーバ5は、各無線機器1〜4内のサプリカント13、オーセンティケータ14と連携して、他の無線機器1〜4をネットワークに接続してよいか認証するための装置である。なお、無線機器2は、無線通信部11を通して認証サーバ5と接続してもよく、また、認証サーバ5の台数やネットワークでの配置は限定されない。
【0063】
また、本実施形態における無線機器1〜4は、基本的には上述した実施形態1のものと同様の構成を採っているため、ここでは詳細な説明は省略し、以下の動作説明時に詳述する。
【0064】
[動作]
次に、上述した構成の無線機器1〜4の動作を、図7乃至図10を参照して説明する。なお、以下では、無線機器1,2が接続するときの動作を説明するが、他の無線機器同士も同様である。
【0065】
まず、各無線機器1,2,3,4がそれぞれ装備する各無線通信部11のMACアドレスが、それぞれMAC101、MAC102、MAC103、MAC104と設定されており、また、各値の関係は、以下のように定義されていることとする。
MAC101<MAC102<MAC103<MAC104
【0066】
なお、以下の説明では、無線規格としてIEEE802.11無線LAN、認証規格としてEAPの使用を想定しているが、特にこれらに限定するものではなく、同様の規格、手法を用いた場合においても適用することが可能である。
【0067】
まず、IEEE802.11のIBSS(Independent Basic Service Set)モードでは、定期的に無線機器1が「Beacon frame」を送信することにより、複数の無線機器が自律分散的にお互いを認識する。そこで、まず無線機器1の無線通信部11が、「Beacon frame」を送出したとする(ステップS210)。
【0068】
ここで、図10に、無線機器1,2がセキュリティを保つために必要なシーケンス(認証・鍵交換プロセス)を開始するまでの処理の流れを示す。このフローチャートを参照すると、まず、無線機器2は、他の無線機器1から「Beacon frame」を受信すると(ステップS301:Yes)、その受信した「Beacon frame」のBSSIDが、自機器2内の無線通信部11に設定されているBSSIDと等しいか否かを調べる(ステップS302)。そして、等しい場合には(ステップS302:Yes)、「Beacon frame」を送信した無線機器1の無線通信部11の「MACアドレス(MAC101)」が、無線機器2の無線通信部11の「MACアドレス(MAC102)」よりも小さいか否かを調べる(ステップS303)。
【0069】
ここで、MAC101<MAC102の場合、つまり、送信元のMACアドレスの値が、受信した無線機器2のMACアドレスの値よりも小さい場合には(ステップS303:Yes)、記憶部16内に送信元MACアドレス毎に管理されている一時鍵PTK(Pairwise Transient Key)が記憶されているか否かを調べる(ステップS304)。そして、一時鍵PTKが記憶されていない状態であり(ステップS304:Yes)、無線機器2のオーセンティケータ14から認証サーバ5へ通信可能であれば(ステップS305:Yes)、順序決定部15にて順序決定判定を行う。このとき、サプリカントは認証・鍵交換プロセスを処理中でないので(ステップS306:No)、オーセンティケータにて認証・鍵交換プロセスを開始する(S307)。
【0070】
すなわち、図7に示すように、無線機器2においては、Beaconを受信すると(ステップS210)、無線機器2の順序決定部15により、サプリカントが作動していない場合に、まず先にオーセンティケータの処理を行い、次にサプリカントの処理を行うよう、順序を決定する(ステップS211)。なお、上記では、MACアドレスの値を比較して、その比較結果である大小関係に応じて順序判定を行っているが、他の情報を用いてサプリカントとオーセンティケータとの作動順序を決定してもよい。例えば、各機器を識別できる端末番号などを比較して、その比較結果に基づいて順序を決定してもよい。そして、順序決定部15は、認証・鍵交換プロセスを行うために、オーセンティケータ14に認証・鍵交換プロセスを開始するように通知を行う(ステップS212)。
【0071】
その後、無線機器2内のオーセンティケータ14は、無線通信部11を通して無線機器1のサプリカント13に対して、ステップS213以降の認証処理を開始する。
【0072】
なお、ここで仮に、無線機器2より自律分散的に送信される「Beacon frame」が送信されたとする(ステップS214)。この場合に、図10のフローチャートを参照すると、無線機器1は、他の無線機器2から「Beacon frame」を受信し(ステップS301:Yes)、その受信した「Beacon frame」のBSSIDが無線通信部11に設定されているBSSIDと等しいとする(ステップS302:Yes)。そして、Beaconを送信した無線機器2の無線通信部11のMACアドレスが、自機器1の無線通信部11のMACアドレスよりも大きい場合には(ステップS303:No)、特に何も処理を行わない。
【0073】
すなわち、図7に示すように、無線機器2の無線通信部11からBeaconを受信すると(ステップS214)と、無線機器1の順序決定部15により、無線機器1においては、まずサプリカント13の処理を行い、次にオーセンティケータ14の処理を行うように順序が決定される(ステップS215)。
【0074】
続いて、無線機器1のサプリカント13と、無線機器2のオーセンティケータ14と、認証サーバ5との間で、無線通信部11、有線通信部12を介して、認証処理が行われる(ステップS216)。
【0075】
その後、認証サーバ5による認証処理が完了すると、無線機器1内のサプリカント13と、無線機器2内のオーセンティケータ14とが、それぞれ全ての暗号処理の起点となる「PMK」を生成し、記憶する(ステップS217,S218)。PMKの生成方法については、既存技術を用いてよく、ここでは特に限定しない。
【0076】
続いて、無線機器1内のサプリカント13と、無線機器2内のオーセンティケータ14は、それぞれ一時鍵の素となる種「nance」を生成する(ステップS219,S220)。ここでは、無線機器1のサプリカント13が生成した「nance」を「Snance」と呼び(ステップS219)、無線機器2のオーセンティケータ14が生成した「nance」を「Anance」と呼ぶ(ステップS220)。なお、nanceの生成方法については、既存技術を用いてよく、ここでは特に限定しないが、例えば乱数を使用するなど鍵に対して一度しか使われないような値にするのが望ましい。
【0077】
続いて、無線機器2内のオーセンティケータ14は、生成した「Anance」を無線機器1内のサプリカント13に送信する(ステップS221)。すると、無線機器1内のサプリカント13は、「PMK」と「Snance」、自身の無線通信部11の「MACアドレス」、無線機器2から受信した「Anance」、無線機器2の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK(Pairwise Transient Key)」(ペア鍵)を生成する(ステップS222)。
【0078】
ここで、「PTK」には、大きく2つの階層の鍵があり、一つは、ユーザデータを保護する鍵、もう一つは認証・鍵交換プロセスに関わる通信を保護する鍵(ここではEAPOL−Keyとよぶ)である。ユーザデータを保護する鍵は、ユーザデータを暗号化するときに使用するデータ暗号化鍵とユーザデータの改ざんを防ぐために使用するデータ完全性鍵がある。EAPOL−Keyも同様に、通信を暗号化するときに使用するEAPOL−Key暗号化鍵と、通信の改ざんを防止するEAPOL−Key完全性鍵がある。ここではPTKとして4つの鍵を例にあげたが、全て別々に生成する必要はなく、同じ鍵を異なる用途に使用してもよい。なお、PTKを生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0079】
続いて、無線機器1内のサプリカント13は、生成した「Snance」と、「MIC(Message Integrity Code)」を、無線機器2内のオーセンティケータ14に送信する(ステップS223)。なお、「MIC」は、PTKのうちEAPOL−Key完全性鍵を使って生成されるものであり、メッセージの完全性を保証するコードである。
【0080】
続いて、無線機器2内のオーセンティケータ14は、ステップS218で生成した「PMK」とステップS220で生成した「Anance」、自身の無線通信部11の「MACアドレス」、無線機器1から受信した「Snance」、無線機器1の無線通信部11の「MACアドレス」を使用して、データの暗号化と完全性を保証するために使用する「PTK」を生成する(ステップS224)。その上で、さらに先ほどステップS223で受信した「MIC」の値を検査し、受信したメッセージが改ざんされていないことを確認する。
【0081】
続いて、無線機器2内のオーセンティケータ14は、マルチキャストとブロードキャストの通信を保護するための「GMK(Group
Master Key)」を生成して、記憶し(ステップS225)、GMKから一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成、記憶する(ステップS226)。この例では、「GMK」をステップS225の時点で生成、記憶し、「GTK」をステップS226の時点で生成、記憶しているが、「GTK」を事前に生成して記憶しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0082】
続いて、無線機器2内のオーセンティケータ14から無線機器1内のサプリカント13へ「PTK」の使用準備ができたことを知らせると同時に、「PTK」を使用して暗号化した「GTK」を、無線機器2のオーセンティケータ14から無線機器1のサプリカント13へ送信する(ステップS227)。この例では、「GTK」を「Message3」に含めて送信しているが、後述する「Message4」の終了後、改めて「GTK」を送信してもよい。
【0083】
続いて、無線機器1内のサプリカント13は、受信した「Message3」の「MIC」を検証し、無線機器2内のオーセンティケータ14が自身と合致する「PMK」を持っていることを確認する。その後、「PTK」の使用準備ができたことを無線機器2内のオーセンティケータ14に知らせる(ステップS228)。
【0084】
その後、無線機器1のサプリカント13は、記憶部16に「PTK」を記憶する(ステップS229)。このとき、「PTK」は、通信相手となる無線機器の無線通信部11のMACアドレスと関連付けて、記憶部16に記憶されることとなる。また、無線機器2内のオーセンティケータ14は、「Message4」を受信すると、「MIC」を確認後、自身で作成した「PTK」を記憶部16に記憶する(ステップS229)。
【0085】
続いて、無線機器1内のサプリカント13は、「Message3」で受信した「GTK」を記憶する(ステップS230)。この例では、ステップS230の時点で「GTK」を記憶しているが、「Message3」を受信した直後に記憶しておいてもよい。
【0086】
また、無線機器1内のサプリカント13は、自機器1内のオーセンティケータ14に「PTK」を送信する(ステップS231)。同様に、無線機器2内のオーセンティケータ14は、自機器2内のサプリカント13に「PTK」を送信する(ステップS231)。そして、無線機器1内のオーセンティケータ14は、自機器1内のサプリカント13から「PTK」を受け取り、記憶する(ステップS232)。同様に、無線機器2内のサプリカント13は、自機器2内のオーセンティケータ14から「PTK」を受け取り、記憶する(ステップS232)。
【0087】
以上のようにすることで、無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とは、相互間のデータ通信時に暗号化等に使用する「PTK」(ペア鍵)を得ることができる。つまり、上述した無線機器1内のオーセンティケータ14と無線機器2内のサプリカント13とによるステップS210〜S230の処理のうち、「GTK」に関する処理以外の処理を行うことなく、「PTK」を得ることができる。
【0088】
続いて、無線機器1内のオーセンティケータ14は、「GMK」を生成、記憶し(ステップS233)、「GMK」から一時鍵「GTK(Group Transient Key)」(グループ鍵)を生成、記憶する(ステップS234)。この例では、「GMK」をステップS233の時点で生成、記憶し、「GTK」をステップS234の時点で生成、記憶しているが、事前に実施しておいてもよい。なお、「GTK」を生成する方法については、既存技術を用いてよく、ここでは特に限定しない。
【0089】
続いて、無線機器1内のオーセンティケータ14は、「PTK」を使用して暗号化した「GTK」を、無線機器2のサプリカント13へ送信する(ステップS235)。そして、無線機器2内のサプリカント13は、「Message5」で受信した「MIC」を検証後、受信した「GTK」を記憶する(ステップS236)。そして、無線機器2のサプリカント13は、「GTK」の使用準備が整ったことを示すため、「Message6」を無線機器1のオーセンティケータ14に送信する(ステップS237)。
【0090】
以上で、無線機器1,2間の認証・鍵交換プロセスは終了となる。これ以降、サプリカント13とオーセンティケータ14の間で、ユーザデータをやりとりすることができる。このとき、「PTK」に含まれるデータ暗号化鍵、データ完全性鍵を用いることにより、ユーザデータを暗号化、保護することができる。
【0091】
その後、必要に応じて無線機器1,2の各オーセンティケータ14は、通信相手となる無線機器のサプリカント13に対し、「GTK」の更新処理を行う(ステップS234〜S237)。
【0092】
以上のような認証・鍵交換プロセス処理が、無線伝搬距離内にある無線機器1,2,3,4間で行われ、お互いに認証・鍵交換処理を行うことで、セキュアな通信路を作成することができる。
【0093】
<実施形態3>
次に、本発明の第3の実施形態を、図11を参照して説明する。図11は、本実施形態における無線通信装置の構成を示すブロック図である。なお、本実施形態では、上述した無線機器の構成の概略を説明する。
【0094】
図11に示すように、上述した無線機器1,2,3,4に相当する本発明の一形態である無線通信装置100は、
無線通信部101と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカント102と、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータ103と、を備えている。
そして、上記サプリカントと上記オーセンティケータとが同時に作動可能なよう構成されている。
さらに、上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0095】
また、上記無線通信装置では、
上記ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、上記ペア鍵を利用して上記特定の無線通信装置に送信する機能を有する、
という構成を採る。
【0096】
さらに、上記無線通信装置では、
上記サプリカントが、設定した上記ペア鍵を上記オーセンティケータに渡し、
上記オーセンティケータが、上記サプリカントから受け取った上記ペア鍵を用いて上記特定の無線通信装置に上記グループ鍵を送信する、
という構成を採る。
【0097】
上記発明によると、まず、無線通信装置は、サプリカントとオーセンティケータを備えており、これらは同時に作動可能である。そして、サプリカント(あるいはオーセンティケータ)が、他の特定の無線通信装置とセキュアにデータ通信を行うべくペア鍵の設定を行うと共に、このペア鍵をオーセンティケータ(あるいはサプリカント)に渡して共有する。すると、オーセンティケータ(あるいはサプリカント)は、他の特定の無線通信装置との接続時に新たにペア鍵の設定処理を行うことなく、自装置のサプリカント(あるいはオーセンティケータ)から受け取ったペア鍵を用いて、特定の無線通信装置とデータ通信を行うことができる。特に、オーセンティケータが特定の無線通信装置にグループ鍵を送信する際に上記受け取ったペア鍵を用いることで、迅速かつセキュアにグループ鍵の更新を行うことができる。そして、上述したように同一の無線通信装置内のサプリカントとオーセンティケータとで鍵を共有することで、別々の鍵を有することなく、無線通信装置にて管理する鍵の個数を削減できる。
【0098】
また、上記無線通信装置では、
相互に認証処理を行う各無線通信装置に予め設定された当該各無線通信装置をそれぞれ識別する各識別情報の比較結果に応じて、上記サプリカントと上記オーセンティケータとのどちらが先に作動するか否かを決定する順序決定手段を備える。
そして、上記サプリカントと上記オーセンティケータとは、上記順序決定手段の決定に応じた順序で作動する、
という構成を採る。
【0099】
また、上記順序決定手段では、上記サプリカントが作動していない場合に上記オーセンティケータが先に作動するよう決定する、
という構成を採る。
【0100】
また、上述した無線通信装置は、当該無線通信装置の演算装置にプログラムが組み込まれることで実現できる。具体的に、本発明の他の形態であるプログラムは、
無線通信部を備えた無線通信装置に、
他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を実現させるプログラムである。
そして、上記サプリカントと上記オーセンティケータとは同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す機能を有する、
という構成を採る。
【0101】
また、上記プログラムでは、
上記ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、上記ペア鍵を利用して上記特定の無線通信装置に送信する機能を有する、
という構成を採る。
【0102】
また、上述した無線通信装置が作動することにより実行される、本発明の他の形態である無線通信方法は、
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備えた無線通信装置にて、
上記サプリカントと上記オーセンティケータとが同時に作動可能であり、
上記サプリカントと上記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行い、この設定したペア鍵を、当該ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが利用可能なよう渡す、
という構成を採る。
【0103】
そして、上記無線通信方法では、
上記ペア鍵の設定を行った上記サプリカントあるいは上記オーセンティケータとは異なる他方の上記オーセンティケータあるいは上記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、上記ペア鍵を利用して上記特定の無線通信装置に送信する、
という構成を採る。
【0104】
上述した構成を有する、プログラム、又は、無線通信方法、の発明であっても、上記無線通信装置と同様の作用を有するために、上述した本発明の目的を達成することができる。
【0105】
以上、上記各実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明の範囲内で当業者が理解しうる様々な変更をすることができる。
【産業上の利用可能性】
【0106】
本発明は、無線アドホックネットワークを構築する無線通信装置に利用することができ、産業上の利用可能性を有する。
【符号の説明】
【0107】
1,2,3,4 無線機器
5 認証サーバ
11 無線通信部
12 有線通信部
13 サプリカント
14 オーセンティケータ
15 順序決定部
16 記憶部
100 無線通信装置
101 無線通信部
102 サプリカント
103 オーセンティケータ
【特許請求の範囲】
【請求項1】
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備え、
前記サプリカントと前記オーセンティケータとが同時に作動可能であり、
前記サプリカントと前記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが利用可能なよう渡す機能を有する、
無線通信装置。
【請求項2】
請求項1に記載の無線通信装置であって、
前記ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、前記ペア鍵を利用して前記特定の無線通信装置に送信する機能を有する、
無線通信装置。
【請求項3】
請求項2に記載の無線通信装置であって、
前記サプリカントが、設定した前記ペア鍵を前記オーセンティケータに渡し、
前記オーセンティケータが、前記サプリカントから受け取った前記ペア鍵を用いて前記特定の無線通信装置に前記グループ鍵を送信する、
無線通信装置。
【請求項4】
請求項1乃至3のいずれか一項に記載の無線通信装置であって、
相互に認証処理を行う各無線通信装置に予め設定された当該各無線通信装置をそれぞれ識別する各識別情報の比較結果に応じて、前記サプリカントと前記オーセンティケータとのどちらが先に作動するか否かを決定する順序決定手段を備え、
前記サプリカントと前記オーセンティケータとは、前記順序決定手段の決定に応じた順序で作動する、
無線通信装置。
【請求項5】
請求項4に記載の無線通信装置であって、
前記順序決定手段は、前記サプリカントが作動していない場合に前記オーセンティケータが先に作動するよう決定する、
無線通信装置。
【請求項6】
無線通信部を備えた無線通信装置に、
他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を実現させると共に、
前記サプリカントと前記オーセンティケータとは同時に作動可能であり、
前記サプリカントと前記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが利用可能なよう渡す機能を有する、
プログラム。
【請求項7】
請求項6に記載のプログラムであって、
前記ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、前記ペア鍵を利用して前記特定の無線通信装置に送信する機能を有する、
プログラム。
【請求項8】
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備えた無線通信装置にて、
前記サプリカントと前記オーセンティケータとが同時に作動可能であり、
前記サプリカントと前記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行い、この設定したペア鍵を、当該ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが利用可能なよう渡す、
無線通信方法。
【請求項9】
請求項8に記載の無線通信方法であって、
前記ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、前記ペア鍵を利用して前記特定の無線通信装置に送信する、
無線通信方法。
【請求項1】
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備え、
前記サプリカントと前記オーセンティケータとが同時に作動可能であり、
前記サプリカントと前記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが利用可能なよう渡す機能を有する、
無線通信装置。
【請求項2】
請求項1に記載の無線通信装置であって、
前記ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、前記ペア鍵を利用して前記特定の無線通信装置に送信する機能を有する、
無線通信装置。
【請求項3】
請求項2に記載の無線通信装置であって、
前記サプリカントが、設定した前記ペア鍵を前記オーセンティケータに渡し、
前記オーセンティケータが、前記サプリカントから受け取った前記ペア鍵を用いて前記特定の無線通信装置に前記グループ鍵を送信する、
無線通信装置。
【請求項4】
請求項1乃至3のいずれか一項に記載の無線通信装置であって、
相互に認証処理を行う各無線通信装置に予め設定された当該各無線通信装置をそれぞれ識別する各識別情報の比較結果に応じて、前記サプリカントと前記オーセンティケータとのどちらが先に作動するか否かを決定する順序決定手段を備え、
前記サプリカントと前記オーセンティケータとは、前記順序決定手段の決定に応じた順序で作動する、
無線通信装置。
【請求項5】
請求項4に記載の無線通信装置であって、
前記順序決定手段は、前記サプリカントが作動していない場合に前記オーセンティケータが先に作動するよう決定する、
無線通信装置。
【請求項6】
無線通信部を備えた無線通信装置に、
他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を実現させると共に、
前記サプリカントと前記オーセンティケータとは同時に作動可能であり、
前記サプリカントと前記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行うと共に、この設定したペア鍵を、当該ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが利用可能なよう渡す機能を有する、
プログラム。
【請求項7】
請求項6に記載のプログラムであって、
前記ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、前記ペア鍵を利用して前記特定の無線通信装置に送信する機能を有する、
プログラム。
【請求項8】
無線通信部と、他の無線通信装置に認証依頼を行うと共に認証処理を行うサプリカントと、他の無線通信装置からの認証依頼に応じて認証処理を行うオーセンティケータと、を備えた無線通信装置にて、
前記サプリカントと前記オーセンティケータとが同時に作動可能であり、
前記サプリカントと前記オーセンティケータのいずれか一方が、他の特定の無線通信装置と通信して当該特定の無線通信装置とのデータ通信時に利用するペア鍵の設定を行い、この設定したペア鍵を、当該ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが利用可能なよう渡す、
無線通信方法。
【請求項9】
請求項8に記載の無線通信方法であって、
前記ペア鍵の設定を行った前記サプリカントあるいは前記オーセンティケータとは異なる他方の前記オーセンティケータあるいは前記サプリカントが、他の複数の無線通信装置とのデータ通信時に利用するグループ鍵を、前記ペア鍵を利用して前記特定の無線通信装置に送信する、
無線通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2011−49814(P2011−49814A)
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願番号】特願2009−196467(P2009−196467)
【出願日】平成21年8月27日(2009.8.27)
【出願人】(000232254)日本電気通信システム株式会社 (586)
【Fターム(参考)】
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願日】平成21年8月27日(2009.8.27)
【出願人】(000232254)日本電気通信システム株式会社 (586)
【Fターム(参考)】
[ Back to top ]