説明

通信装置、通信装置の制御方法、プログラム

【課題】 通信装置における暗号鍵の記憶状態を鑑みて、セキュリティを維持した暗号化通信を行えるようにする。
【解決手段】 ネットワーク内の他の通信装置と暗号化通信するための暗号鍵を記憶するためのメモリにおける暗号鍵の記憶状態に基づいて、前記ネットワーク内の全ての通信装置間で共通の暗号鍵を使用して暗号化通信するための第1の暗号鍵情報と共に、前記ネットワーク内の通信相手毎に異なる暗号鍵を使用して暗号化通信するための第2の暗号鍵情報を提供するか否かを判定し、判定の結果に応じて、前記第1の暗号鍵情報を少なくとも含む通信パラメータを、通信パラメータの提供要求元の装置に対して提供する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信装置、通信装置の制御方法、プログラムに関する。
【背景技術】
【0002】
IEEE802.11規格シリーズに準拠した無線LAN(以下、無線LAN)に代表される無線通信では、使用前に設定しなければならない設定項目が数多く存在する。例えば、設定項目として、ネットワーク識別子としてのSSID(Service Set Identifier)、認証方式、暗号方式、暗号鍵情報等の無線通信を行うために必要な通信パラメータがある。これら全てをユーザが手入力により設定するのは非常に煩雑である。
【0003】
そこで、様々なメーカーから、通信パラメータを簡単に無線機器に設定するための自動設定方法が考案されている。これら自動設定方法は、接続する機器間で予め定められた手順、及びメッセージにより、一方の機器から他方の機器に通信パラメータを提供し、通信パラメータの設定を自動的に行っている。
【0004】
最近では、業界標準団体であるWi−Fi Allianceから通信パラメータの設定機能に関する標準規格(WPS:Wi−Fi Protected Setup)が策定されている(非特許文献1)。WPSでは、ステーション(子局)がアクセスポイント(基地局)を介して通信するインフラストラクチャモードにおける通信パラメータの自動設定方法が規定されている。
【0005】
また、特許文献1には、アクセスポイントを介さずステーション間で直接通信を行うアドホックモードにおける通信パラメータの自動設定の一例が開示されている。
【0006】
また、無線通信は有線通信と比較すると盗聴が容易なため、安全な通信路を確保することが重要となっている。無線LANにおいては、IEEE802.11iおよび、WPA(Wi−Fi Protected Access)という標準規格が策定されている(非特許文献2)。WPAでは、暗号アルゴリズムの強度を向上させるとともに、通信装置がネットワークに参加するセッション毎に毎回暗号鍵を生成することで安全性を高めている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−187348号公報
【非特許文献】
【0008】
【非特許文献1】Wi−Fi CERTIFIED(TM) for Wi−Fi Protected Setup(TM): Easing the User Experience for Home and Small Office Wi−Fi(R) Networks, http://www.wi−fi.org/files/kc/20090123_Wi−Fi__Protected_Setup.pdf
【非特許文献2】Wi−Fi Protected Access Enhanced Security Implementation Based on IEEE P802.11i standard,http://www.wi−fi.org/register.php?file=wp_State_of_Wi−Fi_Security_090911.pdf
【発明の概要】
【発明が解決しようとする課題】
【0009】
インフラストラクチャモードでは必ずアクセスポイントを介してデータが送信されるため、各通信装置はアクセスポイントとの間でのみ共通の暗号鍵を共有し、該暗号鍵を使用して通信すればセキュリティは確保される。よって、各通信装置が記憶する暗号鍵の数も固定となる。
【0010】
一方、アドホックモードにおいては、アクセスポイントが存在せずに通信したい相手と直接通信を行う。即ち、各通信装置が、他の通信装置と暗号化通信するためには、通信相手毎に異なる暗号鍵を使用するか、ネットワーク全体で共通の暗号鍵を利用する必要がある。通信相手毎に異なる暗号鍵を使用する場合、ネットワーク内の通信装置の台数が増えるにつれて、記憶しなければならない暗号鍵の数も増える。
【0011】
しかしながら、記憶可能な暗号鍵の数は機器の仕様によって異なる。例えば、インフラストラクチャモードでの通信を主な使用形態として想定されている機器は、ユニキャスト用の暗号鍵とマルチキャスト又はブロードキャスト用の暗号鍵を夫々1つずつしか記憶できない場合がある。この場合、ネットワーク内の通信装置の台数が多くなると、暗号鍵を記憶するためのメモリ容量を越えてしまい、暗号化通信ができなくなってしまう場合が考えられる。
【0012】
本発明は、通信装置における暗号鍵の記憶状態を鑑みて、セキュリティを維持した暗号化通信を行えるようにすることを目的とする。
【課題を解決するための手段】
【0013】
上記目的を達成するために、本発明は、通信装置であって、
ネットワーク内の他の通信装置と暗号化通信するための暗号鍵を記憶する記憶手段と、
通信パラメータの提供要求を受信する受信手段と、
前記記憶手段による暗号鍵の記憶状態に基づいて、前記ネットワーク内の全ての通信装置間で共通の暗号鍵を使用して暗号化通信するための第1の暗号鍵情報と共に、前記ネットワーク内の通信相手毎に異なる暗号鍵を使用して暗号化通信するための第2の暗号鍵情報を提供するか否かを判定する判定手段と、
前記判定手段による判定の結果に応じて、前記通信パラメータの提供要求元の装置に対して、前記第1の暗号鍵情報を少なくとも含む通信パラメータを提供する提供手段と、
を有することを特徴とする。
【0014】
また、本発明は、ネットワーク内の他の通信装置と暗号化通信するための暗号鍵を記憶するためのメモリを有する通信装置の制御方法であって、
通信パラメータの提供要求を受信する受信工程と、
前記メモリにおける暗号鍵の記憶状態に基づいて、前記ネットワーク内の全ての通信装置間で共通の暗号鍵を使用して暗号化通信するための第1の暗号鍵情報と共に、前記ネットワーク内の通信相手毎に異なる暗号鍵を使用して暗号化通信するための第2の暗号鍵情報を提供するか否かを判定する判定工程と、
前記判定工程における判定の結果に応じて、前記通信パラメータの提供要求元の装置に対して、前記第1の暗号鍵情報を少なくとも含む通信パラメータを提供する提供工程と、
を有することを特徴とする。
【発明の効果】
【0015】
本発明によれば、通信装置における暗号鍵の記憶状態に基づいて、提供する通信パラメータに含める暗号鍵情報を変更することにより、セキュリティを維持したデータ通信を行うことができる。
【図面の簡単な説明】
【0016】
【図1】各通信装置のハードウェア構成を示すブロック図
【図2】各通信装置のソフトウェア機能を示すブロック図
【図3】実施例1におけるネットワーク構成図
【図4】実施例1における通信装置間のシーケンス
【図5】実施例1における通信装置のフローチャート図
【図6】実施例2における通信装置のフローチャート図
【発明を実施するための形態】
【0017】
(実施例1)
以下、本実施形態に係る通信装置について、図面を参照しながら詳細に説明する。以下では、IEEE802.11シリーズに準拠した無線LANシステムを用いた例について説明するが、通信形態は必ずしもIEEE802.11準拠の無線LANには限らない。
【0018】
本実施形態に好適な事例におけるハードウェア構成について説明する。図1は本発明を適用できる実施形態に係る、後述の各装置の構成の一例を表すブロック図である。
【0019】
101は装置全体を示す。102は、記憶部103に記憶される制御プログラムを実行することにより装置全体を制御する制御部である。制御部102は、他の装置との間で通信パラメータの設定制御も行う。103は制御部102が実行する制御プログラムと、通信パラメータ等の各種情報を記憶する記憶部である。後述する各種動作は、記憶部103に記憶された制御プログラムを制御部102が実行することにより行われる。
【0020】
104はIEEE802.11シリーズに準拠した無線LAN通信を行うための無線通信制御部である。105は各種情報を出力するための出力部であり、LCDやLEDのように視覚で認知可能な情報の出力、あるいはスピーカなどの音出力が可能な機能を有する。
【0021】
106は通信パラメータ設定処理を開始するトリガを与える設定ボタンである。設定ボタン106が操作されると、通信パラメータの自動設定処理(以下、自動設定処理)が開始される。制御部102は、ユーザによる設定ボタン106の操作を検出すると、後述する処理を実施する。
【0022】
107はアンテナ制御部、そして108はアンテナである。109は、ユーザが各種入力を行うための入力部である。
【0023】
図2は、後述の通信パラメータの自動設定動作を実行するソフトウェア機能ブロックの構成の一例を表すブロック図である。
【0024】
201は装置全体を示している。202は通信パラメータの自動設定機能ブロックである。本実施形態では、ネットワーク識別子としてのSSID、認証方式、暗号方式、暗号鍵情報等の無線LAN通信を行うために必要な通信パラメータの自動設定処理が行われる。
【0025】
203は各種通信にかかわるパケットを受信するパケット受信部である。ビーコン(報知信号)の受信は、パケット受信部203によって行われる。また、検索信号であるプローブリクエストの受信、プローブリクエストに対する応答信号であるプローブレスポンスの受信もパケット受信部203により行われる。204は各種通信にかかわるパケットを送信するパケット送信部である。ビーコン、プローブリクエスト、プローブレスポンスの送信は、パケット送信部204によって行われる。なおビーコン、プローブリクエスト、プローブレスポンスには、送信元の機器に関する各種情報が付加される。
【0026】
ユーザが設定ボタン106を操作し、自動設定処理を開始した場合は、ビーコン、プローブリクエスト及びプローブレスポンスに自動設定中(自動設定動作中)であることを示す情報(IE:Information Element)を付加が付加されて送信される。
【0027】
205は、ネットワーク接続を制御するネットワーク制御部である。無線LANアドホックネットワークへの接続処理などは、ネットワーク制御部205により実施される。
【0028】
206は、暗号鍵制御部であり、WPA−PSKでの鍵交換(鍵共有)やWPA−Noneでの鍵設定を制御する。207は、暗号鍵記憶部であり、所定の数だけ暗号鍵を記憶することができる。暗号鍵記憶部207は、WPA−PSKの鍵交換処理で共有されたペアワイズ鍵やグループ鍵、及びWPA−Noneで通信する際の暗号鍵を記憶する。なお、暗号鍵記憶部207は、ユニキャスト用の暗号鍵、マルチキャスト又はブロードキャスト用の暗号鍵を少なくとも1つずつ記憶可能であるものとする。
【0029】
自動設定機能ブロック202において、208は、自装置が通信パラメータを受信する装置(以下、受信装置)として動作する場合に、相手装置より通信パラメータを受信(受理)する通信パラメータ受信部である。209は、自装置が通信パラメータを提供する装置(以下、提供装置)として動作する場合に、相手装置に通信パラメータを提供する通信パラメータ提供部である。210は、自動設定における各種プロトコルを制御する自動設定制御部である。後述の自動設定処理は、自動設定制御部210の制御に基づいて行われる。自動設定制御部210は、自動設定処理を開始してからの経過時間が当該設定処理の制限時間を越えたか否かの判定も行い当該制限時間を超えたと判定した場合には、自動設定処理を中止する。
【0030】
211は、通信パラメータ記憶部であり、提供装置から提供を受けた通信パラメータ、もしくは受信装置へ提供した通信パラメータを記憶する。本実施形態では、他の装置から通信パラメータの提供を受けた際に、該通信パラメータを設定済パラメータとして通信パラメータ記憶部211に記憶する。また、通信パラメータを他の装置へ提供した際に、該通信パラメータを設定済パラメータとして通信パラメータ記憶部211に記憶する。通信パラメータ記憶部211に記憶した設定済パラメータは、該設定済パラメータを用いて構成したネットワークでの通信が終了した際に破棄されるようにしてもよい。装置の電源オフ時に通信パラメータ記憶部211から削除するようにしてもよい。
【0031】
なお、全ての機能ブロックはソフトウェアもしくはハードウェア的に相互関係を有するものである。また、上記機能ブロックは一例であり、複数の機能ブロックが1つの機能ブロックを構成するようにしてもよいし、何れかの機能ブロックが更に複数の機能を行うブロックに分かれてもよい。
【0032】
図3は、本実施形態におけるネットワーク構成を示した図であり、通信装置A301(以下、装置A)、通信装置B302(以下、装置B)、通信装置C303(以下、装置C)、およびアドホックネットワークA304(以下、ネットワークA)を示した図である。これら全ての装置は、先に説明した図1、図2の構成を有している。本実施形態では、まず、装置Aと装置Bがアドホック通信を行うために自動設定処理を実行し、装置Aと装置B間で共有された通信パラメータを用いてネットワークAを構成する。その後、装置CをネットワークAへ参加させるために、装置Aと装置Cとの間で自動設定処理を実行する場合について説明する。
【0033】
図4は、本実施の形態における装置Aと装置B、及び装置C間のシーケンス図である。まず、装置Aと装置Bとの間で通信パラメータを共有するために、ユーザが装置A、装置B夫々の設定ボタン106を押下する(F401およびF402)。
【0034】
設定ボタン106が押下されると、装置Aと装置Bは自動設定処理を開始し、夫々がネットワークを形成する。そして、装置Aと装置Bは、パケット送信部204による検索信号の送信とパケット受信部203による検索応答信号の受信とを行うことにより、互いの存在を認識すると共に通信パラメータの提供装置と受信装置とを決めるための役割決定処理を行う(F403)。提供装置と受信装置の役割の決定方法としては、例えば最初に自動設定処理を開始した装置が提供装置になるようにしても良いし、予めユーザにより指定された装置が提供装置になるようにしてもよい。
【0035】
ここでは、装置Aの役割が提供装置に決定され(F404)、装置Bの役割が受信装置に決定された(F405)ものとする。
【0036】
受信装置に決定された装置Bは、提供装置である装置Aが形成したネットワークAに参加する。なお、この段階では装置Aと装置B間で共通の暗号鍵は設定されていないため、データの暗号化通信を行うことはできない。
【0037】
装置Bは通信パラメータの提供要求を装置Aへ送信する(F406)。通信パラメータの提供要求を受信した装置Aは、所定のプロトコルに従って、提供要求元である装置Bとの間で通信パラメータ提供処理を行う(F407)。ここで、装置Aから装置Bへ提供される通信パラメータの内容について詳細に説明する。
【0038】
上述したように、提供される通信パラメータには、SSID、認証方式、暗号方式、暗号鍵情報、等がある。認証方式としては、WPA−PSK、WPA−None等がある。暗号方式としては、WEP、TKIP、CCMP等がある。WEPはWired Equivalent Privacyの略であり、TKIPはTemporal Key Integrity Protocolの略である。CCMPは、counter mode with cipher block chaining/message authentication codeの略である。暗号鍵情報は、パケットの暗号化に使用される暗号鍵に関する情報であり、夫々の認証方式に応じて異なる情報である。
【0039】
まず、認証方式としてWPA−PSKを用いる場合の暗号鍵情報について説明する。WPA−PSKでは、2台の装置間で予め共有された事前共有鍵(PSK:Pre−Shared−Key)を用いることにより、パケットの暗号化に使用する暗号鍵の交換(共有)処理を行う。具体的には、MAC(Media Access Control)アドレスの大きい装置が認証側(Authenticator)、もう一方の装置が被認証側(Supplicant)となり、4ウェイハンドシェイク及びグループキーハンドシェイクを実行する。4ウェイハンドシェイクとは、認証側と被認証側との間で互いに乱数を送受信し、該乱数と事前共有鍵とに基づいてユニキャストパケット用の暗号鍵(ペアワイズ鍵)をセッション毎に夫々生成する仕組みである。グループキーハンドシェイクとは、マルチキャストパケットやブロードキャストパケット用の暗号鍵(グループ鍵)をペアワイズ鍵により暗号化し、認証側から被認証側に対して送付する仕組みである。WPA−PSKを使用する場合、提供装置から提供される通信パラメータとして、認証方式にWPA−PSKが指定された場合、暗号鍵情報として指定された情報が上述の事前共有鍵として使用されることになる。このように、WPA−PSKでは、ネットワーク内の通信相手毎に異なる暗号鍵を使用して暗号化通信を行う。
【0040】
次に、認証方式としてWPA−Noneを用いる場合の暗号鍵情報について説明する。WPA−Noneでは、ネットワークに参加する全ての通信装置が共通の暗号鍵を使用して暗号化通信を行う。つまり、4ウェイハンドシェイク、グループキーハンドシェイクは行われず、ユニキャスト、マルチキャスト、ブロードキャストの各パケット通信に同じ暗号鍵が使用される。提供装置から提供される通信パラメータとして、認証方式にWPA−Noneが指定された場合、暗号鍵情報として指定された情報がそのまま暗号鍵として使用されることになる。なお、WPA−PSKとWPA−Noneの詳細については非特許文献2を参照されたい。
【0041】
このように、WPA−PSKではネットワーク内の通信相手毎に異なる暗号鍵を使用するのに対して、WPA−Noneではネットワーク内の全装置で共通の暗号鍵を使用するため、WPA−PSKの方がセキュリティは高い。その一方、WPA−PSKではネットワーク内の通信装置の台数が増えるにつれて記憶しなければならない暗号鍵の数も増加する。
【0042】
図4の説明に戻る。F407の段階では、装置Aは未だ他の装置へ通信パラメータを提供しておらず、暗号鍵記憶部207の記憶容量にも余裕がある。従って装置Aは、WPA−Noneを用いる場合の暗号鍵情報(以下、第1の暗号鍵情報)とWPA−PSKを用いる場合の暗号鍵情報(以下、第2の暗号鍵情報)を含む通信パラメータを装置Bへ提供する。
【0043】
通信パラメータ提供処理が完了したら、装置Aは装置Bへ通信パラメータの提供完了を通知する(F408)。
【0044】
通信パラメータ提供完了通知を受信した装置Bは、装置Aから受信した通信パラメータを用いて、装置Aへ通信接続処理を実施する(F409)。ここでは、WPA−PSKによる通信接続処理が行われる。すなわち、提供された第2の暗号鍵情報を用いて上述の4ウェイハンドシェイク及びグループキーハンドシェイクを行い、装置Aと装置Bとの間で共有された暗号鍵を用いて無線接続する。こうして、装置Aと装置BとがネットワークAにてデータの暗号化通信が可能となる。
【0045】
次に、装置CをネットワークAへ参加させるため、ユーザが装置Aと装置Cにおいて設定ボタン106を押下する(F410およびF411)。
【0046】
設定ボタン106が押下されると、装置Aと装置Cは自動設定処理を開始し、通信パラメータの提供装置と受信装置とを決めるための役割決定処理を行う(F412)。ここでは、既にネットワークAに接続中の装置Aの役割が提供装置に決定され(F413)、装置Cの役割が受信装置に決定される(F414)ものとする。
【0047】
受信装置に決定された装置Cは、通信パラメータの提供要求を提供装置である装置Aへ送信する(F415)。通信パラメータの提供要求を受信した装置Aは、所定のプロトコルに従って、提供要求元である装置Cとの間で通信パラメータ提供処理を行う(F416)。
【0048】
この段階では、装置Aの暗号鍵記憶部207に既に記憶されている暗号鍵の数が、記憶可能な最大数に達しているものとする。そこで、装置Aはこれ以上WPA−PSKによる通信接続ができないものと判断し、WPA−None用である第1の暗号鍵情報を含む通信パラメータを装置Cへ提供する。
【0049】
通信パラメータ提供処理が完了したら、装置Aは装置Cへ通信パラメータ提供完了通知を送信する(F417)。上述のように、装置Cは提供された第1の暗号鍵情報をそのまま暗号鍵として使用して装置Aとの間で暗号化通信を行うことになる。しかしながら、装置Bが装置Aとの暗号化通信に使用している暗号鍵とは異なるため、装置Bと装置C間で暗号化通信を行うことはできない。
【0050】
そこで、装置Bと装置C間でも暗号化通信を可能にするために、装置Aは装置Bに対して認証方式をWPA−Noneへ変更するよう指示するための変更通知を送信する(F418)。
【0051】
通信パラメータ提供完了通知を受信した装置Cは、装置Aから受信した通信パラメータを用いて、装置Aへ通信接続処理を実施する(F419)。これにより、装置Cは装置Aとの間でデータの暗号化通信を行うことが可能になる。
【0052】
WPA−Noneへの変更通知を受信した装置Bは、F407にて装置から受信した通信パラメータに含まれる第1の暗号鍵情報を用いて、装置Aとの間で改めて通信接続処理をおこなう(F420)。これにより、装置Bと装置C間でもデータの暗号化通信が可能になる。
【0053】
図5は、自動設定処理を開始した場合の各通信装置における処理フローを示した図である。
【0054】
自動設定処理を開始した通信装置は、まず通信パラメータの提供装置と受信装置のいずれの役割で動作するかを決定する(S501)。
【0055】
自通信装置の役割が提供装置であると決定された場合は、受信装置からの通信パラメータの提供要求を受信すると、同一ネットワーク上に既に他の通信装置が存在するかを確認する(S502)。確認の方法としては、プローブリクエストを送信し、その応答であるプローブレスポンスに基づいて存在の有無を確認する方法が挙げられる。また、通信パラメータ記憶部211に設定済みパラメータが記憶されているか確認し、設定済みパラメータが記憶されている場合には既に他の通信装置が存在すると判定する、という方法もある。
【0056】
ネットワーク内に既に他の通信装置が存在しない場合は、WPA−None用の第1の暗号鍵情報及びWPA−PSK用の第2の暗号鍵情報を含む通信パラメータを、提供要求元である受信装置に対して送信する(S503)。
【0057】
通信パラメータを提供後、通信装置は受信装置との間でWPA−PSK用の第2の暗号鍵情報を用いて通信接続処理を実施する。すなわち、4ウェイハンドシェイクおよびグループキーハンドシェイクを行い、受信装置との間でペアワイズ鍵およびグループ鍵の共有を行う(S504)。そして、通信装置は受信装置との間で共有したペアワイズ鍵およびグループ鍵を暗号鍵記憶部207に記憶する。
【0058】
S502の判定処理において、同一ネットワーク上に他の通信装置が存在することが確認できた場合は、自通信装置がWPA−PSKによる接続が可能かを判定する(S505)。ここでは、自通信装置の暗号鍵記憶部207にメモリ上の余裕があるか否かを判定する。すなわち、暗号鍵記憶部207に既に記憶済みの暗号鍵の数が、記憶可能な暗号鍵の最大数に達しているか否かが判定される。
【0059】
S505における判定の結果、自通信装置が受信装置との間でのWPA−PSKによる接続が可能であると判定した場合は、WPA−None用の第1の暗号鍵情報およびWPA−PSK用の第2の暗号鍵情報を含む通信パラメータを送信する(S506)。
【0060】
通信パラメータを提供後、通信装置は受信装置との間でWPA−PSK用の第1の暗号鍵を用いて通信接続処理を実施する(S507)。
【0061】
一方、S505における判定の結果、自通信装置にてWPA−PSKによる接続が不可能であると判定した場合は、WPA−None用の第1の暗号鍵情報を含む通信パラメータを送信する(S508)。
【0062】
通信パラメータ提供後、他の接続中の通信装置に対して、WPA−PSKからWPA−Noneへの認証方式の変更通知を送信する(S509)。そして、S508における通信パラメータの提供先装置、及びS509における認証方式の変更通知先の装置との間で、WPA−Noneによる接続処理を行う(S510)。そして、第1の暗号鍵情報をそのままデータの暗号化に使用する暗号鍵として、暗号鍵記憶部207に記憶する。
【0063】
S501において、自通信装置の役割を受信装置に決定した場合、提供装置に決定された相手装置に対して通信パラメータの提供を要求し、通信パラメータの提供を受ける(S511)。そして、該通信装置は提供された通信パラメータに従って提供装置との間で接続処理を行う(S512)。提供される通信パラメータの認証方式としてWPA−PSKが含まれていた場合、それに対応する第2の暗号鍵情報を用いた接続処理、すなわち、4ウェイハンドシェイク、及びグループキーハンドシェイクが行われる。そして通信装置は、4ウェイハンドシェイク、及びグループキーハンドシェイクにより提供装置との間で共有されたペアワイズ鍵およびグループ鍵を暗号鍵記憶部207に記憶する。なお、提供装置以外にも既にネットワークに接続している装置が存在する場合、該装置との間でも4ウェイハンドシェイク、グループキーハンドシェイクを行う。これにより、ネットワーク内の全ての装置間でセキュリティの高い暗号化通信を行うことができる。
【0064】
一方、提供される通信パラメータの認証方式としてWPA−PSKが含まれておらず、WPA−Noneのみが指定されていた場合、WPA−Noneに対応する第1の暗号鍵情報を用いた接続処理が行われる。
【0065】
その後、認証方式をWPA−PSKへ変更する旨の通知を受けた場合は(S513)、通信装置はS511にて受信した通信パラメータに含まれる第1の暗号鍵情報を用いて再度接続処理を行う(S514)。
【0066】
以上のように、本実施形態では、通信装置における暗号鍵の記憶状態に応じて、他の通信装置に対してWPA−None用の第1の暗号鍵情報とWPA−PSK用の第2の暗号鍵情報の両方を提供するか、第1の暗号鍵情報のみ提供するかを選択的に実行する。
【0067】
暗号鍵記憶部207に余裕がある場合は第1の暗号鍵情報と第2の暗号鍵情報を両方共に提供し、第2の暗号鍵情報により認証方式にWPA‐PSKを用いた通信を行う。その結果、通信相手毎に異なる暗号鍵を使用して通信するので、セキュリティの高い通信を行うことができる。また、第1の暗号鍵情報も合わせて送信しておくので、後にWPA−Noneの通信に変更された場合にも、速やかに認証方式を変更して再接続することができる。
【0068】
一方、暗号鍵記憶部207に余裕がない場合は第1の暗号鍵情報のみ提供し、認証方式にWPA−Noneを用いた通信を行う。その結果、ネットワーク内の全ての通信装置で共通の暗号鍵を使用して通信するので、記憶可能な暗号鍵の数が少なくなったとしてもある程度のセキュリティを確保した暗号化通信が可能となる。
【0069】
更に、ネットワークに新たに接続される装置に対して第1の暗号鍵情報のみを提供した場合、既にWPA−PSKで接続中の装置に対してWPA−Noneへの変更を通知する。そして、該通知を受けた装置は以前に提供された第1の暗号鍵情報を用いてWPA−Noneにより再度接続する。その結果、ネットワークに既に接続されている通信装置と新たに接続された通信装置間での暗号化通信を速やかに開始することができる。
【0070】
また、他の通信装置と未だネットワーク接続されていない場合には、自動的に第1の暗号鍵情報と第2の暗号鍵情報とを送信し、WPA−PSKにより接続するので、暗号鍵の記憶状態を確認せずとも1対1での高セキュリティな通信を速やかに実現することができる。
【0071】
(実施例2)
実施例1では、自通信装置における暗号鍵の記憶状態のみに着目して提供する通信パラメータに含める暗号鍵情報、及び認証方式を変更する例について説明した。本実施例では、他の通信装置における暗号鍵の記憶状態も鑑みて提供する通信パラメータの内容を変更する例について説明する。
【0072】
図6は、本実施形態における各通信装置の処理フローを示した図である。図5と比較すると新たにS601の処理が追加されている。それ以外の処理は図5と同様であるため、説明を省略する。
【0073】
S505における判定の結果、自通信装置が受信装置との間でWPA−PSKによる接続が可能であると判定した場合は、他の通信装置においてもWPA−PSKによる接続が可能であるかを判定する(S601)。すなわち、新たにネットワークに参加しようとしている受信装置、及び既にネットワークに接続中の装置においてもWPA−PSKによる接続が可能であるかを判定する(S601)。例えば、受信装置ではユニキャスト用の暗号鍵とマルチキャスト又はブロードキャスト用の暗号鍵を1つずつしか記憶できないものとする。この時、WPA−PSKによる暗号化通信を行おうとすると、受信装置は自通信装置との間で通信するための暗号鍵は記憶することができるが、別の暗号鍵を更に記憶することはできない。従って、受信装置はネットワークに既に接続中の装置と通信するための暗号鍵は記憶することができず、WPA−PSKによる暗号化通信は行うことができない。
【0074】
また、既にネットワークに接続中の装置においては、ユニキャスト用の暗号鍵とマルチキャスト又はブロードキャスト用の暗号鍵を1つずつしか記憶できないものとする。この場合、自通信装置と1対1で接続する場合にはWPA−PSKによる接続を行うことができるが、別の暗号鍵を更に記憶することはできない。従って、ネットワークに接続中の装置は新たに参加する装置と通信するための暗号鍵は記憶することができず、WPA−PSKによる暗号化通信は行うことができない。
【0075】
そこで、既にネットワークに接続中の他の通信装置、及び受信装置における暗号鍵記憶部207にメモリ上の余裕があるかを判定する。例えば、各装置が通信パラメータの提供要求を送信する際に、未だ記憶可能な暗号鍵の数を含めて送信することにより、通信装置は該他の通信装置においてWPA−PSKによる接続が可能であるかを判定することができる。
【0076】
判定の結果、該他の通信装置においてもWPA−PSKによる接続が可能であると判定された場合(S601のYes)、WPA―None用の第1の暗号鍵情報及びWPA−PSK用の第2の暗号鍵情報を含む通信パラメータを送信する(S506)。一方、他の通信装置においてWPA−WPSによる接続が不可能であると判定した場合、WPA−None用の第1の暗号鍵情報を含む通信パラメータを送信する(S508)。
【0077】
本実施例によれば、自通信装置における暗号鍵記憶部207の記憶状態のみならず、他の通信装置における暗号鍵記憶部207の記憶状態を考慮して、提供する暗号鍵情報の内容、及び使用する認証方式を決定する。従って、ネットワークに接続する全ての通信装置が互いにセキュリティを維持したデータ通信を行うことが可能となる。
【0078】
また、上記説明はIEEE802.11準拠の無線LANを例に説明した。しかしながら、本発明は、ワイヤレスUSB、MBOA、Bluetooth(登録商標)、UWB、ZigBee等の他の無線媒体において実施してもよい。
ここで、MBOAは、Multi Band OFDM Allianceの略である。また、UWBは、ワイヤレスUSB、ワイヤレス1394、WINETなどが含まれる。
【0079】
また、通信パラメータとしてネットワーク識別子、認証方式、暗号方式、暗号鍵情報、を例にしたが、他の情報も通信パラメータには含まれるようにしてもよいことは言うまでも無い。
【0080】
本発明は前述の機能を実現するソフトウェアのプログラムコードを記録した記録媒体をシステムあるいは装置に供給し、システムあるいは装置のコンピュータ(CPU、MPU)が記録媒体に格納されたプログラムコードを読み出し実行するようにしてもよい。
【符号の説明】
【0081】
201 通信装置
202 通信パラメータ自動設定機能ブロック
203 パケット受信部
204 パケット送信部
205 ネットワーク制御部
206 鍵交換制御部
207 暗号鍵記憶部
208 通信パラメータ受信部
209 通信パラメータ提供部
210 自動設定制御部
211 通信パラメータ記憶部

【特許請求の範囲】
【請求項1】
通信装置であって、
ネットワーク内の他の通信装置と暗号化通信するための暗号鍵を記憶する記憶手段と、
通信パラメータの提供要求を受信する受信手段と、
前記記憶手段による暗号鍵の記憶状態に基づいて、前記ネットワーク内の全ての通信装置間で共通の暗号鍵を使用して暗号化通信するための第1の暗号鍵情報と共に、前記ネットワーク内の通信相手毎に異なる暗号鍵を使用して暗号化通信するための第2の暗号鍵情報を提供するか否かを判定する判定手段と、
前記判定手段による判定の結果に応じて、前記通信パラメータの提供要求元の装置に対して、前記第1の暗号鍵情報を少なくとも含む通信パラメータを提供する提供手段と、
を有することを特徴とする通信装置。
【請求項2】
前記判定手段による判定の結果、前記第1の暗号鍵情報と共に前記第2の暗号鍵情報を含む通信パラメータを提供した場合、前記提供要求元の装置との間で前記第2の暗号鍵情報に基づく暗号化通信を行うことを特徴とする請求項1記載の通信装置。
【請求項3】
前記判定手段による判定の結果、前記第2の暗号鍵情報を含めずに前記第1の暗号鍵情報を含む通信パラメータを提供した場合、既に第2の暗号鍵情報に基づく暗号化通信を開始している装置に対して、前記第1の暗号鍵情報に基づく暗号化通信への変更を通知する通知手段を有することを特徴とする請求項1又は2記載の通信装置。
【請求項4】
前記ネットワーク内に既に他の通信装置が存在するかを確認する確認手段を有し、
前記確認手段による確認の結果、前記ネットワーク内に既に他の通信装置が存在する場合に、前記判定手段による暗号鍵の記憶状態に基づく判定を行うことを特徴とする請求項記載の1から3のいずれか1項に記載の通信装置。
【請求項5】
前記確認手段による確認の結果、他の通信装置が存在しない場合、前記提供手段は前記第1の暗号鍵情報と共に前記第2の暗号鍵情報を含む通信パラメータを前記提供要求元の装置に対して提供することを特徴とする請求項1から4のいずれか1項に記載の通信装置。
【請求項6】
前記判定手段は、前記記憶手段による暗号鍵の記憶状態と、前記提供要求元の装置における暗号鍵の記憶状態と、に基づいて、前記第1の暗号鍵情報と共に前記第2の暗号鍵情報を提供するか否かを判定することを特徴とする請求項1から5のいずれか1項に記載の通信装置。
【請求項7】
前記判定手段は、前記記憶手段による暗号鍵の記憶状態と、前記ネットワークに接続中の他の通信装置における暗号鍵の記憶状態と、に基づいて、前記第1の暗号鍵情報と共に前記第2の暗号鍵情報を提供するか否かを判定することを特徴とする請求項1から6のいずれか1項に記載の通信装置。
【請求項8】
前記判定手段は、前記記憶手段による暗号鍵の記憶状態として、前記記憶手段により記憶可能な暗号鍵の数に基づいて、前記判定を行うことを特徴とする請求項1から7のいずれか1項に記載の通信装置。
【請求項9】
ネットワーク内の他の通信装置と暗号化通信するための暗号鍵を記憶するためのメモリを有する通信装置の制御方法であって、
通信パラメータの提供要求を受信する受信工程と、
前記メモリにおける暗号鍵の記憶状態に基づいて、前記ネットワーク内の全ての通信装置間で共通の暗号鍵を使用して暗号化通信するための第1の暗号鍵情報と共に、前記ネットワーク内の通信相手毎に異なる暗号鍵を使用して暗号化通信するための第2の暗号鍵情報を提供するか否かを判定する判定工程と、
前記判定工程における判定の結果に応じて、前記通信パラメータの提供要求元の装置に対して、前記第1の暗号鍵情報を少なくとも含む通信パラメータを提供する提供工程と、
を有することを特徴とする通信装置の通信方法。
【請求項10】
請求項9に記載の制御方法の各工程をコンピュータに実行させるためのプログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate


【公開番号】特開2011−124960(P2011−124960A)
【公開日】平成23年6月23日(2011.6.23)
【国際特許分類】
【出願番号】特願2009−283466(P2009−283466)
【出願日】平成21年12月14日(2009.12.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】