專利名稱:認證中繼設備、認證中繼系統、集成電路以及認證中繼方法
技術領域:
本發明涉及認證中繼設備、認證中繼系統、集成電路以及認證中繼方法, 其在網絡中在主設備與將要登錄的從屬設備之間具有受限通信范圍的登錄消 息中的兩者或一者沒有到達時,使從屬設備易于向由主設備和從屬設備構成 的網絡進行登錄,而不會給用戶帶來許多麻煩,其中通過所述網絡,在主設 備與將要登錄的從屬設備之間交換具有比一般通信范圍受限的通信范圍的登 錄消息。
背景技術:
例如無線LAN或電線通信(PLC)的通信網絡由包含主設備和多個從屬 設備的元件構成。從屬設備是接發數據的普通通信設備。主設備是進行例如 控制從屬設備對網絡的訪問的網絡管理的設備。根據網絡,用作主設備的設 備可以是專用于此目的的設備,或者可以是用于進行一般數據的接發并進行 網絡管理的從屬設備。無線LAN通常包含用作主設備的接入點和用作從屬設 備的無線終端。PLC是在用于供應電力的電纜上實現數據通信的技術。當PLC 調制解調器安裝在家用電設備中時,將電源電纜連接到電源插座即可與家中 通信范圍內的電源插座相連的其它設備進行數據通信,而無需使用用于通信 用途的專用網絡電纜。與普通有線網絡相比,在使用無線LAN或PLC技術的網絡中容易發生 惡意第三方的竊聽。為了防止此問題,使用加密進行通信。在無線LAN或 PLC中,使用網絡密鑰(群組密鑰),在鏈路層上使用加密。在此情況下,從 屬設備需要具有密鑰來解密從另一從屬設備接收的消息,或對將發送到另一 從屬設備的消息進行加密。目前,通過用戶手動操作來設定每個從屬設備的網絡密鑰。例如,在與 IEEE802.il標準兼容的無線LAN中,在接入點處以及在期望用于無線LAN 中的無線終端中需要輸入稱為WEP密鑰的網絡密鑰。然而這種手動設定是對 于用戶來說較為麻煩的操作,并且對還未適應設定PC的用戶來說比較困難。第2005/0201557號美國公開專利申請案提出在無線LAN中添加終端而 不會給用戶帶來許多麻煩的系統。根據所述系統,通過例如僅按下按鈕的簡 單操作來設定網絡,從而不需要輸入WEP密鑰。圖9和圖10是說明現有技 術的圖。參看圖9和圖10,簡單描述該系統。根據該系統,對于主設備和將要添加的從屬設備,通過按下按鈕來自動 設定從屬設備。在設定期間,通過無線通信將WEP密鑰的信息從主設備發送 到從屬設備。為了防止WEP密鑰泄漏給將要添加的從屬設備以外的從屬設備,發送 WEP密鑰的信息以使得其僅到達比一般通信范圍窄得多的范圍內。因此,如 圖9所示,這要求在設定時,從屬設備靠近主設備而設置。例如,當設定具 有無線LAN接口的筆記本PC時,需要將筆記本PC移動靠近接入點。如圖 IO所示,在完成設定之后,可在一般通信范圍區域內,遠離主設備處使用從 屬設備。在無線LAN中,通過調節無線電波的電平實現對消息到達范圍的限制。 在PLC網絡中,改變用于數據發送的調制系統或發送功率,同樣也能實現對 消息到達范圍的切換。此外,第3190832號日本專利提出一種在由主設備和從屬設備構成的無 繩電話系統中,通過用戶的簡單操作來添加從屬設備(即,向主設備登錄新 的從屬設備)的方法。根據該系統,通過用戶對已登錄的從屬設備進行的操 作,使主設備切換到登錄模式,且從主設備發送登錄信號。此外,通過用戶 對將要添加的從屬設備進行的操作,來從主設備接收登錄信號,且返回確認 信號給主設備。發明內容第2005/0201557號美國公開專利申請案具有如下問題。由于在設定期間, 消息的通信范圍較窄,因此主設備和從屬設備需要彼此靠近地設置。圖ll是 說明現有技術的問題的圖。如圖11所示,當主設備與從屬設備彼此遠離時, 無法進行設定。因此,除非其中一者移動靠近另一者,否則無法進行設定。 此外,當主設備設定在配電盤或天花板上時,或當從屬設備是較大設備時, 將主設備和從屬設備移動彼此靠近是不方便或不可能的。鑒于以上問題,采取以下實施方式。在該實施方式中,提出認證中繼設備、認證中繼系統、集成電路以及認證中繼方法,其使得從屬設備能安全地 登錄。本發明解決上述問題的第一方面是一種認證中繼設備,其中繼在第一通信設備(例如210)和第二通信設備(例如220)中的至少一者處進行認證的 認證處理,所述第一通信設備和第二通信設備兩者均與電線(250)連接,其 中,經由所述電線中繼所述第一通信設備與第二通信設備之間的所述認證處 理。根據所述結構,經由電線中繼第一通信設備與第二通信設備的認證。因 此,即使當與電線連接的第一通信設備和第二通信設備彼此遠離,也可進行 第一通信設備和第二通信設備的認證。本發明解決上述問題的第二方面是根據本發明第一方面的認證中繼設 備,所述設備還包括存儲部(103),其存儲與所述第一通信設備(210)共 享的第一密鑰(Kl);獲取部(例如105),其從所述第二通信設備(220)獲 取與所述第一密鑰不同的第二密鑰(K2)的信息;加密部(101),其使用存 儲在所述存儲部中的所述第一密鑰加密所述第二密鑰的所述信息;以及發送 部(105),其將所述加密部所加密的所述第二密鑰的所述信息發送到所述第 一通信設備。根據所述結構,使用第一密鑰加密第二密鑰的信息,并發送到第一通信 設備。由此,即使當第一通信設備和第二通信設備彼此遠離,也可在第一通 信設備與第二通信設備之間中繼第二密鑰的信息,而不會讓第三方知曉。由 于能夠以可靠的安全性在第一通信設備與第二通信設備之間共享同一密鑰, 因此可安全地向第一通信設備認證第二通信設備。本發明解決上述問題的第三方面是根據本發明第二方面的認證中繼設 備,該設備還包括通信范圍控制部(104),其控制所述第一通信設備(例如 210)相關的通信范圍和所述第二通信設備(例如220)相關的通信范圍中的 至少一者。根據所述結構,認證中繼設備控制第一通信設備和第二通信設備相關的 通信范圍。由此防止認證中繼設備意外地認證第三方(例如相鄰者)的通信 設備,且進而提高安全性。本發明解決上述問題的第四方面是根據本發明第三方面的認證中繼設 備,其中,通信范圍控制部(104)控制發送部(105)以使得所述第二通信設備(例如220)相關的通信范圍變得比所述第一通信設備(例如210)相關 的通信范圍窄。根據所述結構,認證中繼設備認證盡可能地靠近認證中繼設備而設置的 第二通信設備。由此防止認證中繼設備意外地認證第三方(例如相鄰者)的 第二通信設備,從而提高安全性。本發明解決上述問題的第五方面是根據本發明第二方面的認證中繼設 備,其中所述第二通信設備(例如220)的所述信息是所述第二設備的MAC 地址、隨機數、密碼算法和種子中的至少一者。根據所述結構,第一通信設備和第二通信設備能夠以可靠的安全性共享 第二密鑰和地址信息。這使得第一通信設備和第二通信設備能夠安全地進行 通信。本發明解決上述問題的第六方面是根據本發明第二方面的認證中繼設 備,其中所述加密部(101)使用所述第一密鑰(Kl)加密所述第一通信設 備和所述第二通信設備中的至少一者的信息,且所述中繼部(105)將由所述 加密部加密的所述信息發送到所述第一通信設備(例如,210)。根據所述結構,第一通信設備和第二通信設備能夠以可靠的安全性共享 第二密鑰的信息。這使得第一通信設備和第二通信設備能夠安全地進行通信。本發明解決上述問題的第七方面是根據本發明第六方面的認證中繼設 備,其中所述第一通信設備(例如210)和所述第二通信設備(例如220)的 信息是所述第一通信設備和所述第二通信設備中的至少一者的地址信息。根據所述結構,第一通信設備和第二通信設備能夠以可靠的安全性共享 第二密鑰和地址信息。這使得第一通信設備和第二通信設備能夠安全地進行 通信。本發明解決上述問題的第八方面是根據本發明第二方面的認證中繼設 備,其中所述發送部(105)經由電線(250)將由所述加密部(101)加密的 所述信息中繼到所述第一通信設備(例如210)。根據所述結構,即使當第一通信設備和第二通信設備中的一者固定在電 線周圍、在配電盤或天花板上時,第一通信設備和第二通信設備也能夠以可 靠的安全性共享同一密鑰。這使得第一通信設備和第二通信設備能夠經由電 線安全地進行通信。本發明解決上述問題的第九方面是根據本發明第二方面的認證中繼備,且所述設備還包含密鑰生成部(lla),其生成所述第一密鑰(Kl)和所 述第二密鑰(K2)中的至少一者。根據所述結構,第一通信設備和第二通信設備能夠以可靠的安全性生成 第一密鑰和第二密鑰中的至少一者。本發明解決上述問題的第十方面包含第一通信設備(例如210),其用 作主設備;第二通信設備(例如220),其用作從屬設備;以及本發明第一方 面的認證中繼設備(100)。根據所述系統,經由電線中繼第一通信設備和第二通信設備的認證。因 此,即使當與電線連接的第一通信設備和第二通信設備彼此遠離,也可進行 第一通信設備和第二通信設備的認證。本發明解決上述問題的第十一方面是根據本發明第十方面的認證中繼系 統,其中所述認證中繼設備(100)還包括存儲部(103),其存儲與所述第 一通信設備(210)共享的第一密鑰(Kl);獲取部(105),其從所述第二通 信設備(220)獲取與所述第一密鑰不同的第二密鑰(K2)的信息;加密部 (101 ),其使用存儲在所述存儲部中的所述第一密鑰來加密所述第二密鑰的 所述信息;以及發送部(105),其將所述加密部加密的所述第二密鑰的所述 信息發送到所述第一通信設備。根據所述結構,使用第一密鑰加密第二密鑰的信息,并發送到第一通信 設備。由此,即使當第一通信設備和第二通信設備彼此遠離,也可在第一通 信設備與第二通信設備之間中繼第二密鑰的信息,而不會讓第三方知曉。由 于能夠以可靠的安全性在第一通信設備與第二通信設備之間共享同一密鑰, 因此可實現能夠安全地向第一通信設備認證第二通信設備的系統。本發明解決上述問題的第十二方面是根據本發明第十一方面的認證中繼 系統,其中所述認證中繼設備(100)包含通信范圍控制部(104),其控制通 信范圍,以使所述第二通信設備(220)相關的通信范圍變得比所述第一通信 設備相關的所述認證中繼設備的通信范圍窄。根據所述結構,即使當多個第二通信設備設置在認證中繼設備周圍時, 在認證中繼設備的通信范圍外的任何第二通信設備都不會被認證。由此,防 止對相對遠離認證中繼設備配置的第二通信設備進行的認證。因此,由于防 止了對例如相鄰者和/或惡意第三方所使用的第二通信設備的意外認證,因此 改進了安全性。本發明解決上述問題的第十三方面是認證中繼方法,其中繼對第一通信設備(210)和第二通信設備(220)中的至少一者進行認證的認證處理,所述第一通信設備和所述第二通信設備兩者均與電線連接,其中,經由電線(250)中繼所述第一通信設備與所述第二通信設備之間的所述認證處理。 根據所述方法,經由電線中繼第一通信設備和第二通信設備的認證。這 使得即使當與電線連接的第一通信設備和第二通信設備彼此遠離時也能夠進 行第一通信設備和第二通信設備的認證。本發明解決上述問題的第十四方面是根據本發明第十三方面的認證中繼 方法,其中所述處理使用與所述第一通信設備(210)共享的第一密鑰(Kl) 來加密從所述第二通信設備(220)獲取的、不同于所述第一密鑰的第二密鑰 (K2)的信息;且將所述第二密鑰的所述已加密的信息發送到所述第一通信 設備。根據所述認證中繼方法,使用第一密鑰加密第二密鑰的信息,并在第一 通信設備與第二通信設備之間中繼。因此,即使當第一通信設備和第二通信 設備彼此遠離時,也可在第一通信設備與第二通信設備之間中繼所述第二密 鑰的所述信息,而不會讓第三方知曉。這使得能夠以可靠的安全性在第一通 信設備與第二通信設備之間共享同一密鑰,進而使得能夠向第一通信設備安 全地認證第二通信設備。本發明解決上述問題的第十五方面是集成電路(11),其中繼對第一通信 設備(210)和第二通信設備(220)進行認證的認證處理,所述第一通信設 備和所述第二通信設備兩者均與電線連接,其中,經由電線中繼所述第一通 信設備與所述第二通信設備之間的所述認證處理。根據所述集成電路,經由電線中繼第一通信設備和第二通信設備的認證。 這使得即使當與電線連接的第一通信設備和第二通信設備彼此遠離時也能夠 進行第一通信設備和第二通信設備的認證。本發明解決上述問題的第十六方面是根據本發明第十五方面的集成電路 (11 ),并且所述電路還包括存儲部(103),其存儲與所述第一通信設備(210) 共享的第一密鑰(Kl);獲取部(105),其從所述第二通信設備(220)獲取 與所述第一密鑰不同的第二密鑰(K2)的信息;加密部(101),其使用存儲 在所述存儲部中的所述第一密鑰來加密所述第二密鑰的所述信息;以及發送 部(105),其將所述加密部加密的所述第二密鑰的所述信息發送到所述第一通信設備。根據所述集成電路,使用第一密鑰加密第二密鑰的信息,并發送到第一 通信設備。由此,即使當第一通信設備和第二通信設備彼此遠離時,也可在 第一通信設備與第二通信設備之間中繼第二密鑰的信息,而不會讓第三方知 曉。因此,由于能夠以可靠的安全性在第一通信設備與第二通信設備之間共 享同一密鑰,因此可向第一通信設備安全地認證第二通信設備。請注意,圓括號中的數字等指示對應于圖中為了方便而描述的那些元件, 以便幫助理解本發明。因此,本文所作出的描述不受圖中的描述限制,且不 應通過標記的描述來解釋本發明。根據所述認證中繼設備、認證中繼系統、集成電路以及認證中繼方法, 即使當主設備和從屬設備彼此遠離且登錄消息沒有直接到達時,也可向主設 備登錄從屬設備,且在主設備與從屬設備之間設定共同密鑰以使得主設備向 從屬設備安全地分配網絡密鑰。
圖1是說明實施方式的代理登錄設備的結構的框圖;圖2是說明實施方式的代理登錄設備的電路結構的一個實例的框圖;圖3是說明使用實施方式的代理登錄設備的網絡系統結構的框圖;圖4是說明使用實施方式的代理登錄設備的網絡系統結構的框圖;圖5是表示使用實施方式的代理登錄設備的從屬設備登錄的流程圖;圖6是表示使用實施方式的代理登錄設備的從屬設備登錄的流程圖;圖7是說明在實施方式的從屬設備登錄開始之前在代理登錄設備與主設備之間事先設定共同密鑰時的網絡結構的框圖;圖8是表示在實施方式的從屬設備登錄開始之前在代理登錄設備與主設備之間事先設定共同密鑰的流程圖; 圖9是說明現有技術的圖; 圖IO是說明現有技術的圖; 圖11是說明現有技術的問題的圖。
具體實施方式
參考附圖進行如下說明。本文中,當由多個終端構成網絡時,用于管理與其它終端的通信的終端 稱為主設備,且在主設備的管理下進行通信的終端稱為從屬設備。 此外,密鑰是用于控制密碼算法的步驟的數據。如圖3所示,網絡采用電線通信(PLC)。圖3顯示主設備210、從屬設 備220和本發明的代理登錄設備100、以及各自的一般通信范圍區域260、270、 280。主設備210、從屬設備220和代理登錄設備100中的每一者均搭載有PLC 調制解調器,且通過電纜連接到家用電網250,以便經由電線進行通信。主 設備210設置在配電盤上。請注意,代理登錄設備100是認證中繼設備的一個實例,主設備210是 第一通信設備的一個實例,且從屬設備220是第二通信設備的一個實例。主 設備210的功能是管理在由主設備210和從屬設備220構成的網絡中的通信 設備之間的通信。例如,該功能包含根據例如信標等同步信號使通信設備同 步,以及安排通信設備之間的通信。此外,從屬設備220的功能是在主設備 210的管理下與另一通信設備通信。主設備210、從屬設備220和代理登錄設備100中的每一者可在一般通 信范圍或受限通信范圍內發送消息。 一般通信范圍用于普通數據通信,受限 通信范圍用于發送登錄消息。通過限制消息的通信范圍,例如能夠將消息僅 發送到插在與某一裝置相同的電源墻壁上提供的電源插座內的裝置。由此, 防止數據泄漏給惡意第三方,進而增強安全性。由于從屬設備220在登錄時 交換密鑰信息,因此其可進行密碼通信。即使在登錄之后在一般通信范圍區 域中發送消息時也防止數據泄漏。在PLC網絡中,可通過改變調制系統或發 送功率來限制發送消息的通信范圍。在圖3的網絡結構中,主設備210、從屬設備220和代理登錄設備100 中的每一者均在其它設備的一般通信范圍區域內。例如,假定圖3的PLC網 絡是在家中,盡管其取決于家的大小或其它因素,但在一般情況下,當將設 備插入同一家庭中的任何電源插座中時,認為所述設備處于其它設備的一般 通信范圍區域中。如圖4所示,從屬設備和代理登錄設備在通信范圍受限區域360外。此 外,所述從屬設備和所述代理登錄設備在相互的通信范圍受限區域中。例如 當假定網絡在家中時,認為從屬設備220和代理登錄設備100被插入房間的 同一墻壁上提供的電源插座內,而主設備210在另一房間中。代理登錄設備100是根據本發明的代理登錄認證設備,其使從屬設備220易于向主設備210登錄。圖1是說明本發明第一和第二實施方式的代理登錄設備的結構的框圖。所述代理登錄設備100具備通信部105,其內置有通信接口功能且能夠向 網絡發送消息和從網絡接收消息;主從設備對應控制部101,其指示各功能 部進行處理,并分析在通信部105處接收的消息、生成將要發送到主設備210 或從屬設備220的消息,并將消息傳達到通信部105;輸入部102,其從用戶 接收用于開始登錄的指令;存儲部103,其存儲密鑰信息;通信范圍切換部 104,其根據從通信部105發送的包的目的地來切換所述包的發送范圍;以及 通信范圍確定部107,其根據從通信部105發送的包的目的地來確定所述包 的發送范圍,并向通信切換部104發出指令。在圖1中,將通信范圍確定部 107表示為主從設備對應控制部101的一部分。然而,這可能不是唯一情況。 此外在圖1中,盡管將按鈕106表示為輸入部102與用戶之間的接口,但也 可使用另一接口。此外,代理登錄設備IOO可以是專用于此目的的設備,或 者也可兼用作從屬設備。在后一種情況下,所述設備包含用于切換代理登錄 設備與從屬設備的操作的單元。如圖2所示,代理登錄設備100包含電源連接器43和模塊插孔45 (例 如RJ45)。電源連接器43經由電線42與插頭41連接。插頭41經由電源插 座50與構成電網的電線250連接。此外,代理登錄設備100包含電路模塊10和DC/DC轉換器30。 DC/DC 轉換器30向電路模塊10供應直流電壓(例如,+1.2 V、十3.3V和+12V)。 電路模塊10具備主IC11; AFE-IC (Analog Front End,模擬前端IC) 12;低通濾波器13;驅動器IC15;耦合器16;帶通濾波器17;存儲器103A;以及Ethernet PHY-IC20。主IC11包含CPU (Central Processing Unit,中央處理單元)101A; 寄存器lib; PLC-MAC (Power Line Communication Media Access Control layer,電力線通信-介質訪問控制層)區塊11c; PLC-PHY (Power Line Communication Physical layer,電力線通信-物理層)區塊lid;以及輸入和 輸出接口 (I/O) 102A。 CPU 101a安裝有32位RISC (Reduced Instruction Set Computer,精簡指令集計算機)處理器。PLC-MAC區塊llc管理用于發送信 號的MAC層,且PLC-PHY區塊lid管理用于發送信號的PHY層。AFE-IC 12包含DA轉換器(DAC) 12a、放大器12b、 AD轉換器(ADC) 12d以及可 變放大器(VGA) 12c。耦合器16包含線圈變壓器16a以及耦合電容器16b、 16c。
圖2的輸入輸出接口 (I/O) 102A是圖1的輸入部102的一個實例。圖2 的存儲器103A是圖1的存儲部103的一個實例。圖2的CPU lla和PLC-MAC 區塊11c (在圖2中由點劃線表示的主從對應控制部101A)是圖1的主從設 備對應控制部101和通信范圍確定部107的一個實例。圖2的PLC-PHY區塊 lld和寄存器lib (在圖2中由點劃線表示的通信切換部104A)是圖1的通 信切換部104的一個實例。在圖2中展示的PLC-PHY區塊lld、 PLC-MAC 區塊llc、 AFE-IC12、低通濾波器13、驅動器IC15、帶通濾波器17以及耦 合器16 (在圖2中由點劃線表示的通信部105A)是圖1的通信部105的一 個實例。
圖5表示使用代理登錄設備來登錄從屬設備的流程。當在代理登錄設備 100和從屬設備220中開始登錄處理時,代理登錄設備100和從屬設備220 通過具有受限通信范圍的消息來交換登錄信息。代理登錄設備IOO接著使用 先前已經與主設備210交換的共同密鑰來加密從屬設備220的登錄信息,從 而向主設備210發送登錄信息。由此,即使在從屬設備220不位于主設備210 的通信范圍受限區域360中時,從屬設備220也可向主設備210登錄。
圖5中,在從屬設備220的登錄開始之前,需要在主設備210與代理登 錄設備100之間設定共同密鑰,使得可在其間進行密碼通信。下文中,將主 設備210與代理登錄設備IOO之間的共同密鑰稱為KI。為了設定K1,例如 如圖7和圖8所示,可如從屬設備的登錄那樣,登錄代理登錄設備IOO。
如圖7所示,在主設備210與代理登錄設備100之間設定共同密鑰Kl 的網絡結構情況下,主設備210和代理登錄設備100需要在其相互的通信范 圍受限區域內。當例如假定網絡在家中時,認為主設備210和代理登錄設備 100被插在房間的同一墻壁上提供的電源插座內。
如圖8所示,在從屬設備的登錄開始之前事先已經在主設備210與代理 登錄設備100之間設定共同密鑰,使得如普通從屬設備的登錄那樣,登錄代 理登錄設備100。首先,如步驟711和712中所示,通過用戶的例如按下按 鈕的操作來開始登錄主設備210和代理登錄設備100的處理。代理登錄設備 IOO選擇隨機數,并發送包含所述隨機數的認證請求消息721。主設備210接收認證請求消息721,獲取隨機數,并返還認證請求接收通知消息722。主設 備210和代理登錄設備100基于隨機數來計算稱為認證密鑰的中間密鑰。
接著,主設備210發送使用認證密鑰加密的質詢消息723。代理登錄設 備100使用認證密鑰解密質詢消息,并通過質詢響應消息724發送消息的散 列值。如果通過質詢響應消息724返回的質詢消息的散列值與主設備210計 算的散列值一致,那么意味著主設備210能夠認證代理登錄設備100,并允 許發送共同密鑰K1的信息。主設備210使用認證密鑰來加密用于生成K1的 信息,并通過密鑰生成請求消息725發送。代理登錄設備100返還密鑰生成 響應726,且主設備210發送用于通知登錄完成的結果通知消息727。
最后,主設備210和代理登錄設備100在步驟731和步驟732中生成共 同密鑰K1。這樣,共同密鑰K1存儲在代理登錄設備100的存儲部103中。
由于代理登錄設備100與主設備210之間的消息721、 722、 723、 724、 725、 726、 727的通信范圍受到限制,因此這些消息沒有到達通信范圍受限 區域360、 380之外。由此,防止登錄所必需的交換信息的泄漏,進而確保了 安全性。
圖7和圖8所示的共同密鑰Kl的設定是一個實例,也可通過另一方法 來實施。
返回到圖5,在從屬設備220和代理登錄設備100中,如步驟411和步 驟412中所示,通過用戶的例如按下按鈕的操作來開始登錄處理。在代理登 錄設備100的情況下,當用戶按下按鈕106時,輸入部102向主從設備對應 控制部101通知操作,使得主從設備對應控制部101進入登錄消息可被接收 的狀態。從屬設備220具有與用于開始登錄處理相同的機制。
從屬設備220發送包含隨機數的認證請求消息421。代理登錄設備100 接收認證請求消息421,獲取隨機數,并返還認證請求接收通知消息422。從 屬設備220和代理登錄設備100基于隨機數來計算稱為認證密鑰的中間密鑰。 中間密鑰是K2信息的一個實例,且可例如為K2的密碼算法和K2的種子。
如本文所使用,密鑰是用于控制密碼算法的步驟的數據。
接著,代理登錄設備100發送由認證密鑰加密的質詢消息423。從屬設 備220使用認證密鑰來解密質詢消息,并通過質詢響應消息424發送質詢消 息的散列值。如果通過質詢響應消息424返回的消息的散列值與代理登錄設 備100計算的散列值一致,那么,意味著代理登錄設備100能夠認證從屬設備220。因此,代理登錄設備100發送下文稱為共同密鑰K2的、在主設備 210與從屬設備220之間共享的共同密鑰的信息。代理登錄設備100使用認 證密鑰來加密用于生成K2的信息,并通過密鑰生成請求消息425發送信息。 用于生成K2的信息是K2的信息的一個實例,且可例如為K2的密碼算法或 K2的種子。從屬設備220接著返還密鑰生成響應消息426,并通過圖5的消 息421、 424、 426中的任一者向代理登錄設備100發送從屬設備的地址信息。 地址信息是在電網中唯一識別從屬設備220的信息,例如MAC地址。
代理登錄設備100在步驟413中計算唯一密鑰K2,并將其存儲在存儲部 103中。
代理登錄設備100使用K1加密唯一密鑰K2和從屬設備220的地址信息, 并通過代理登錄請求消息427將其發送到主設備210。主設備210返還代理 登錄響應消息428。代理登錄設備100向從屬設備220發送用于通知登錄完 成的結果通知消息429。此外,代理登錄設備100通過結果通知消息429發 送MAC地址以作為主設備210的地址信息。最后,從屬設備220在步驟414 中生成共同密鑰K2,且代理登錄設備100在步驟415中刪除K2。由此,可 在主設備210和從屬設備220中設定共同密鑰K2。通過使用共同密鑰K2, 從屬設備220可安全地從主設備210獲取網絡密鑰以在網絡中進行密碼通信。
如圖5可知,代理登錄設備100的主從設備對應控制部101根據從從屬 設備220或主設備210接收的消息來適當地生成消息,使得從屬設備220可 向主設備210登錄。此外,通信范圍切換部104根據消息的目的地(從屬設 備220或主設備210)來確定一般或受限通信范圍,并向通信部105提供用 于發送消息的指令。通信范圍切換部104將一般通信范圍設定于主設備210, 并將受限通信范圍設定于從屬設備220。
在本實施方式中,使用獨特的方法,通過消息421到426來交換用于生 成共同密鑰K2的信息。然而,可使用另一密鑰交換系統,例如Diffie-Hellman, 來交換信息。
此外,可能存在省略圖5的步驟415,且在步驟413中生成的共同密鑰 K2沒有被刪除而是存儲在代理登錄設備100中的情況。在此情況下,與主設 備210的情況相同,代理登錄設備IOO存儲從屬設備的信息(例如,從屬設 備的MAC地址)。此外,在步驟429中,作為通知給從屬設備220的信息, 包含兩個MAC地址,即主設備的MAC地址和代理登錄設備100的MAC地址,通知給從屬設備220。從屬設備210接著存儲作為從屬設備220的信息 而接收的兩個MAC地址。從屬設備220在啟動后接收到兩個MAC地址中任 一者的信標時,開始圖4所示的認證處理,并建立PLC網絡。通常,僅主設 備210發送信標。然而,當主設備210損壞時,代理登錄設備IOO用作主設 備210的替代物。這樣即使在主設備210損壞時也不需要向替代設備重新登 錄從屬設備。可通過用開關控制或通過操縱WEB顯示器上的開關來進行代 理登錄設備100到主設備210的切換。
此外,與上述實施方式不同,在以下實施方式中,代理登錄設備100并 不生成與從屬設備220共享的共同密鑰,而是從從屬設備220向主設備210 傳送登錄消息,或從主設備210向從屬設備220傳送登錄消息。
如圖3和圖4所示,代理登錄設備中所使用的網絡結構與上述實施方式 的網絡結構相同。此外,如圖1所示,通信設備具有與上述實施方式的結構 相同的結構。
圖6是表示使用代理登錄設備的從屬設備登錄的流程圖。如第一實施方 式的圖5的情況,在從屬設備220的登錄開始之前,需要設定在主設備210 與代理登錄設備IOO之間共享的共同密鑰,使得可在其間相互地進行密碼通 信。下文中,將主設備210與代理登錄設備IOO之間共享的共同密鑰稱為KI。 能夠以類似于圖7和圖8所示的實施方式的方式在主設備210與代理登錄設 備IOO之間設定密鑰KI。
下文中,代理登錄設備IOO對在實施方式中描述的登錄消息進行以下處 理。代理登錄設備100的通信部105接收從從屬設備220發送的、以到達從 屬設備220的通信范圍受限區域370的登錄消息。代理登錄設備100的主從 設備對應控制部101接著使用存儲在存儲部103中的共同密鑰Kl來加密消 息,添加包含從屬設備220的地址信息的傳送用標頭,并發送消息以到達一 般通信范圍區域380,使得消息傳送到主設備210。此外,代理登錄設備IOO 對從主設備210發送的、以到達一般通信范圍區域360的、經加密的登錄消 息進行相反處理。g卩,代理登錄設備100的通信部105從主設備210接收登 錄消息,且主從設備對應控制部101移除登錄消息的傳送用標頭,使用存儲 在存儲部103中的共同密鑰Kl來解密消息,并發送消息僅到達通信范圍受 限區域380。由此,將消息傳送到從屬設備220。
在圖6中,加密登錄消息,向其添加傳送用標頭,并對登錄消息名稱的最后部分添加"r"。例如,代理登錄設備100從從屬設備220接收認證請求 消息521,加密該消息,并添加傳送用標頭,以便將其傳送到主設備210。此 消息被稱為認證請求r消息531。同樣,從來自主設備210的消息中移除傳送 用標頭,解密該消息,并移除發送到從屬設備220的消息名稱的最后部分處 的"r"。例如,代理登錄設備100從來自主設備210的質詢r消息533中移除 傳送用標頭,并解密該消息,以便將其傳送到從屬設備220。將此傳送的消 息稱為質詢消息523。如下描述圖6的流程圖。首先,在從屬設備220和代理登錄設備100中, 如步驟511和步驟512中所示,通過用戶的例如按下按鈕的操作來開始登錄 處理。在代理登錄設備100的情況下,當用戶按下按鈕106時,輸入部102 向主從設備對應控制部101通知該操作,且主從設備對應控制部101進入可 接收登錄消息的狀態。從屬設備220具備與用于開始登錄處理的機制相同的 機制。登錄處理開始后,從屬設備220發送包含隨機數的認證請求消息521。 代理登錄設備100接收認證請求消息521,并如上述處理,將其改變為認證 請求r消息531 ,以使其到達主設備210。主設備210接收認證請求r消息531 , 獲取隨機數,并返還認證請求接收通知r消息532。代理登錄設備100接收認 證請求通知r消息532,并如上述處理,將消息改變為認證請求接收通知消息 522,以使其到達從屬設備220。主設備210和從屬設備220基于隨機數來計 算稱為認證密鑰的中間密鑰。接著,主設備210發送質詢r消息533。代理登錄設備100在接收到質 詢r消息533時,如上述處理,將其改變為質詢消息523,以便其到達從屬設 備220。從屬設備220使用認證密鑰來解密質詢消息523,并通過質詢響應消 息524發送消息的散列值。代理登錄設備100接收質詢響應消息524,并如 上述處理,將消息改變為質詢響應r消息534,以便其到達主設備210。如果 通過質詢響應r消息534返回的消息的散列值與由主設備210計算的散列值 一致,那么,主設備210能夠認證從屬設備220,并允許發送下文稱為共同 密鑰K2的、在主設備210與從屬設備220之間共享的共同密鑰的信息。接著,主設備210使用認證密鑰來加密用于生成K2的信息,并通過密 鑰生成請求r消息535發送該消息。代理登錄設備100接收密鑰生成請求r 消息535,并如上述處理,將消息改變為密鑰生成請求消息525,以使其到達從屬設備220。從屬設備220在接收到密鑰生成請求消息525時,返還密鑰 生成響應消息526。代理登錄設備100如上述處理,將密鑰生成響應消息526 改變為密鑰生成響應r消息536,并將其傳送到主設備210。主設備210發送 結果通知r消息537,且代理登錄設備100將結果通知r消息537改變為結果 通知消息527,并將其傳送到從屬設備220。最后,主設備210和從屬設備220在步驟513和514中生成共同密鑰K2。由此,可在主設備210與從屬設備220之間設定共同密鑰K2。通過使用 共同密鑰K2,從屬設備220可安全地從主設備210獲取能夠在網絡中進行密 碼通信的網絡密鑰。在上述實施方式中,使用獨特的方法交換用于生成共同密鑰K2的信息。 然而,可使用另一密鑰交換系統,例如Diffie-Hellman來交換信息。本發明的上述實施方式采用PLC網絡。然而,根據本發明的代理登錄設 備和系統可用于由主設備和從屬設備構成的網絡中,且在所述網絡中,為了 從屬設備向網絡登錄,在主設備與將要登錄的從屬設備之間交換登錄消息, 所述登錄消息具有與一般通信范圍相比受限的通信范圍。因此,本發明的代 理登錄設備和系統可應用于使用無線LAN的網絡結構。請注意,除了上述實施方式以外,本發明還可用于實現各種實施方式。 例如,當從網絡中移除從屬設備時,本發明可用于取消所述從屬設備在主設 備中的登錄。請注意,在上述實施方式中,盡管作為加密系統對共同密鑰進行了說明, 但也可使用公開密鑰。在此情況下,公開密鑰存儲在主設備中,且如此存儲 的公共密鑰的信息發送到所有經認證的從屬設備。請注意,主設備和從屬設備可以是具有通信功能的普通電氣產品(例如, 電視機、個人計算機、電冰箱、空調,或類似物)。本申請案是基于2006年3月24日申請的第2006-082305號日本專利申 請案并主張其優先權,所述申請案的內容以全文引用的方式并入本文。工業利用可能性本發明的認證中繼設備、認證中繼系統以及認證中繼方法使得在網絡中 在主設備與將要登錄的從屬設備之間具有受限通信范圍的登錄消息中的兩者 或一者沒有到達時,從屬設備能夠向由主設備與從屬設備構成的網絡進行登 錄,其中通過所述網絡,在主設備與將要登錄的從屬設備之間交換具有與一般通信范圍相比受限的通信范圍的登錄消息。本發明的認證中繼設備、認證中繼系統以及認證中繼方法能夠用于如下情況,例如,當在無線LAN或PLC網絡中,從屬設備或主設備設置在用戶可及范圍外的位置,或尺寸較大且無 法容易移動時。
權利要求
1、一種認證中繼設備,其中繼對第一通信設備和第二通信設備中的至少一者進行認證的認證處理,所述第一通信設備和所述第二通信設備兩者均與電線連接,其中,經由所述電線在所述第一通信設備與所述第二通信設備之間中繼所述認證處理。
2、 根據權利要求1所述的認證中繼設備,其還包括-存儲部,其存儲與所述第一通信設備共享的第一密鑰;獲取部,其從所述第二通信設備獲取與所述第一密鑰不同的第二密鑰的 信息;加密部,其使用存儲在所述存儲部中的所述第一密鑰來加密所述第二密 鑰的所述信息;以及發送部,其將在所述加密部處加密的所述第二密鑰的所述信息發送到所 述第一通信設備。
3、 根據權利要求2所述的認證中繼設備,其還包括 通信范圍控制部,其控制所述第一通信設備相關的通信范圍和所述第二通信設備相關的通信范圍中的至少一者。
4、 根據權利要求3所述的認證中繼設備,其中,所述通信范圍控制部將所述第二通信設備相關的所述通信范圍控制為比 所述第 一通信設備相關的所述通信范圍窄。
5、 根據權利要求2所述的認證中繼設備,其中,所述第二通信設備的所述信息是MAC地址、隨機數、密碼算法和種子 中的至少一者。
6、 根據權利要求2所述的認證中繼設備,其中,所述加密部使用所述第一密鑰來加密所述第一通信設備和所述第二通信 設備中的至少一者的信息,以及所述發送部將由所述加密部加密的所述信息發送到所述第一通信設備。
7、 根據權利要求6所述的認證中繼設備,其中,所述信息是所述第一通信設備和所述第二通信設備中的至少一者的地址 信息。
8、 根據權利要求2所述的認證中繼設備,其中,所述發送部經由所述電線發送由所述加密部加密的所述信息。
9、 根據權利要求2所述的電線通信設備,其還包括密鑰生成部,其生成所述第一密鑰和所述第二密鑰中的至少一者。
10、 一種認證中繼系統,其包括 第一通信設備,其用作主設備; 第二通信設備,其用作從屬設備;以及 權利要求1所述的認證中繼設備。
11、 根據權利要求10所述的認證中繼系統,其中, 所述認證中繼設備還具備存儲部,其存儲與所述第一通信設備共享的第一密鑰; 獲取部,其從所述第二通信設備獲取與所述第一密鑰不同的第二密鑰的 信息;加密部,其使用存儲在所述存儲部中的所述第一密鑰來加密所述第二密 鑰的所述信息;以及發送部,其將在所述加密部處加密的所述第二密鑰的所述信息發送到所 述第一通信設備。
12、 根據權利要求11所述的認證中繼系統,其中,所述認證中繼設備還包括通信范圍控制部,所述通信范圍控制部控制通 信范圍,以使得所述第二通信設備相關的通信范圍變得比所述第一通信設備 相關的所述認證中繼設備的通信范圍窄。
13、 一種認證中繼方法,其中繼對第一通信設備和第二通信設備中的至 少一者進行認證的認證處理,所述第一通信設備和所述第二通信設備兩者均 與電線連接,其中,所述認證處理經由電線在所述第一通信設備與所述第二通信設備 之間中繼。
14、 根據權利要求13所述的認證中繼方法,其中,所述處理使用與所述第一通信設備共享的第一密鑰來加密與所述第一密 鑰不同的第二密鑰的信息,所述信息是從所述第二設備獲取的;以及 將所述第二密鑰的所述已加密的信息發送到所述第一通信設備。
15、 一種集成電路,其中繼對第一通信設備和第二通信設備中的至少一 者進行認證的認證處理,所述第一通信設備和所述第二通信設備兩者均與電 線連接,其中,所述認證處理經由電線在所述第一通信設備與所述第二通信設備 之間中繼。
16、 根據權利要求15所述的集成電路,其還包括 存儲部,其存儲與所述第一通信設備共享的第一密鑰;獲取部,其從所述第二通信設備獲取與所述第一密鑰不同的第二密鑰的 信息;加密部,其使用存儲在所述存儲部中的所述第一密鑰來加密所述第二密 鑰的所述信息;以及發送部,其將在所述加密部處加密的所述第二密鑰的所述信息發送到所 述第一通信設備。
全文摘要
本發明的目的是提供一種認證中繼設備、認證中繼系統以及認證中繼方法,其使得即使在主設備與將要登錄的從屬設備之間的通信范圍受到限制、且登錄消息中的兩者或一者沒有到達時,從屬設備也能夠向網絡登錄。代理登錄設備100包括主從設備對應控制部分101,其根據從主設備或從屬設備接收的登錄消息生成要發送到主設備或從屬設備的登錄消息;通信范圍切換部分104,其切換將要發送的消息的發送范圍;以及通信范圍確定部分107,其根據由主從設備對應控制部分101生成的登錄消息的目的地確定由此生成的登錄消息的發送范圍,以便指示通信范圍切換部分104。
文檔編號H04L9/08GK101411113SQ200780010629
公開日2009年4月15日 申請日期2007年3月23日 優先權日2006年3月24日
發明者張毅波, 橫光康志, 赫克托·阿卡明 申請人:松下電器產業株式會社