专利名称:认证中继设备、认证中继系统、集成电路以及认证中继方法
技术领域:
本发明涉及认证中继设备、认证中继系统、集成电路以及认证中继方法, 其在网络中在主设备与将要登录的从属设备之间具有受限通信范围的登录消 息中的两者或一者没有到达时,使从属设备易于向由主设备和从属设备构成 的网络进行登录,而不会给用户带来许多麻烦,其中通过所述网络,在主设 备与将要登录的从属设备之间交换具有比一般通信范围受限的通信范围的登 录消息。
背景技术:
例如无线LAN或电线通信(PLC)的通信网络由包含主设备和多个从属 设备的元件构成。从属设备是接发数据的普通通信设备。主设备是进行例如 控制从属设备对网络的访问的网络管理的设备。根据网络,用作主设备的设 备可以是专用于此目的的设备,或者可以是用于进行一般数据的接发并进行 网络管理的从属设备。无线LAN通常包含用作主设备的接入点和用作从属设 备的无线终端。PLC是在用于供应电力的电缆上实现数据通信的技术。当PLC 调制解调器安装在家用电设备中时,将电源电缆连接到电源插座即可与家中 通信范围内的电源插座相连的其它设备进行数据通信,而无需使用用于通信 用途的专用网络电缆。与普通有线网络相比,在使用无线LAN或PLC技术的网络中容易发生 恶意第三方的窃听。为了防止此问题,使用加密进行通信。在无线LAN或 PLC中,使用网络密钥(群组密钥),在链路层上使用加密。在此情况下,从 属设备需要具有密钥来解密从另一从属设备接收的消息,或对将发送到另一 从属设备的消息进行加密。目前,通过用户手动操作来设定每个从属设备的网络密钥。例如,在与 IEEE802.il标准兼容的无线LAN中,在接入点处以及在期望用于无线LAN 中的无线终端中需要输入称为WEP密钥的网络密钥。然而这种手动设定是对 于用户来说较为麻烦的操作,并且对还未适应设定PC的用户来说比较困难。第2005/0201557号美国公开专利申请案提出在无线LAN中添加终端而 不会给用户带来许多麻烦的系统。根据所述系统,通过例如仅按下按钮的简 单操作来设定网络,从而不需要输入WEP密钥。图9和图10是说明现有技 术的图。参看图9和图10,简单描述该系统。根据该系统,对于主设备和将要添加的从属设备,通过按下按钮来自动 设定从属设备。在设定期间,通过无线通信将WEP密钥的信息从主设备发送 到从属设备。为了防止WEP密钥泄漏给将要添加的从属设备以外的从属设备,发送 WEP密钥的信息以使得其仅到达比一般通信范围窄得多的范围内。因此,如 图9所示,这要求在设定时,从属设备靠近主设备而设置。例如,当设定具 有无线LAN接口的笔记本PC时,需要将笔记本PC移动靠近接入点。如图 IO所示,在完成设定之后,可在一般通信范围区域内,远离主设备处使用从 属设备。在无线LAN中,通过调节无线电波的电平实现对消息到达范围的限制。 在PLC网络中,改变用于数据发送的调制系统或发送功率,同样也能实现对 消息到达范围的切换。此外,第3190832号日本专利提出一种在由主设备和从属设备构成的无 绳电话系统中,通过用户的简单操作来添加从属设备(即,向主设备登录新 的从属设备)的方法。根据该系统,通过用户对已登录的从属设备进行的操 作,使主设备切换到登录模式,且从主设备发送登录信号。此外,通过用户 对将要添加的从属设备进行的操作,来从主设备接收登录信号,且返回确认 信号给主设备。发明内容第2005/0201557号美国公开专利申请案具有如下问题。由于在设定期间, 消息的通信范围较窄,因此主设备和从属设备需要彼此靠近地设置。图ll是 说明现有技术的问题的图。如图11所示,当主设备与从属设备彼此远离时, 无法进行设定。因此,除非其中一者移动靠近另一者,否则无法进行设定。 此外,当主设备设定在配电盘或天花板上时,或当从属设备是较大设备时, 将主设备和从属设备移动彼此靠近是不方便或不可能的。鉴于以上问题,采取以下实施方式。在该实施方式中,提出认证中继设备、认证中继系统、集成电路以及认证中继方法,其使得从属设备能安全地 登录。本发明解决上述问题的第一方面是一种认证中继设备,其中继在第一通信设备(例如210)和第二通信设备(例如220)中的至少一者处进行认证的 认证处理,所述第一通信设备和第二通信设备两者均与电线(250)连接,其 中,经由所述电线中继所述第一通信设备与第二通信设备之间的所述认证处 理。根据所述结构,经由电线中继第一通信设备与第二通信设备的认证。因 此,即使当与电线连接的第一通信设备和第二通信设备彼此远离,也可进行 第一通信设备和第二通信设备的认证。本发明解决上述问题的第二方面是根据本发明第一方面的认证中继设 备,所述设备还包括存储部(103),其存储与所述第一通信设备(210)共 享的第一密钥(Kl);获取部(例如105),其从所述第二通信设备(220)获 取与所述第一密钥不同的第二密钥(K2)的信息;加密部(101),其使用存 储在所述存储部中的所述第一密钥加密所述第二密钥的所述信息;以及发送 部(105),其将所述加密部所加密的所述第二密钥的所述信息发送到所述第 一通信设备。根据所述结构,使用第一密钥加密第二密钥的信息,并发送到第一通信 设备。由此,即使当第一通信设备和第二通信设备彼此远离,也可在第一通 信设备与第二通信设备之间中继第二密钥的信息,而不会让第三方知晓。由 于能够以可靠的安全性在第一通信设备与第二通信设备之间共享同一密钥, 因此可安全地向第一通信设备认证第二通信设备。本发明解决上述问题的第三方面是根据本发明第二方面的认证中继设 备,该设备还包括通信范围控制部(104),其控制所述第一通信设备(例如 210)相关的通信范围和所述第二通信设备(例如220)相关的通信范围中的 至少一者。根据所述结构,认证中继设备控制第一通信设备和第二通信设备相关的 通信范围。由此防止认证中继设备意外地认证第三方(例如相邻者)的通信 设备,且进而提高安全性。本发明解决上述问题的第四方面是根据本发明第三方面的认证中继设 备,其中,通信范围控制部(104)控制发送部(105)以使得所述第二通信设备(例如220)相关的通信范围变得比所述第一通信设备(例如210)相关 的通信范围窄。根据所述结构,认证中继设备认证尽可能地靠近认证中继设备而设置的 第二通信设备。由此防止认证中继设备意外地认证第三方(例如相邻者)的 第二通信设备,从而提高安全性。本发明解决上述问题的第五方面是根据本发明第二方面的认证中继设 备,其中所述第二通信设备(例如220)的所述信息是所述第二设备的MAC 地址、随机数、密码算法和种子中的至少一者。根据所述结构,第一通信设备和第二通信设备能够以可靠的安全性共享 第二密钥和地址信息。这使得第一通信设备和第二通信设备能够安全地进行 通信。本发明解决上述问题的第六方面是根据本发明第二方面的认证中继设 备,其中所述加密部(101)使用所述第一密钥(Kl)加密所述第一通信设 备和所述第二通信设备中的至少一者的信息,且所述中继部(105)将由所述 加密部加密的所述信息发送到所述第一通信设备(例如,210)。根据所述结构,第一通信设备和第二通信设备能够以可靠的安全性共享 第二密钥的信息。这使得第一通信设备和第二通信设备能够安全地进行通信。本发明解决上述问题的第七方面是根据本发明第六方面的认证中继设 备,其中所述第一通信设备(例如210)和所述第二通信设备(例如220)的 信息是所述第一通信设备和所述第二通信设备中的至少一者的地址信息。根据所述结构,第一通信设备和第二通信设备能够以可靠的安全性共享 第二密钥和地址信息。这使得第一通信设备和第二通信设备能够安全地进行 通信。本发明解决上述问题的第八方面是根据本发明第二方面的认证中继设 备,其中所述发送部(105)经由电线(250)将由所述加密部(101)加密的 所述信息中继到所述第一通信设备(例如210)。根据所述结构,即使当第一通信设备和第二通信设备中的一者固定在电 线周围、在配电盘或天花板上时,第一通信设备和第二通信设备也能够以可 靠的安全性共享同一密钥。这使得第一通信设备和第二通信设备能够经由电 线安全地进行通信。本发明解决上述问题的第九方面是根据本发明第二方面的认证中继备,且所述设备还包含密钥生成部(lla),其生成所述第一密钥(Kl)和所 述第二密钥(K2)中的至少一者。根据所述结构,第一通信设备和第二通信设备能够以可靠的安全性生成 第一密钥和第二密钥中的至少一者。本发明解决上述问题的第十方面包含第一通信设备(例如210),其用 作主设备;第二通信设备(例如220),其用作从属设备;以及本发明第一方 面的认证中继设备(100)。根据所述系统,经由电线中继第一通信设备和第二通信设备的认证。因 此,即使当与电线连接的第一通信设备和第二通信设备彼此远离,也可进行 第一通信设备和第二通信设备的认证。本发明解决上述问题的第十一方面是根据本发明第十方面的认证中继系 统,其中所述认证中继设备(100)还包括存储部(103),其存储与所述第 一通信设备(210)共享的第一密钥(Kl);获取部(105),其从所述第二通 信设备(220)获取与所述第一密钥不同的第二密钥(K2)的信息;加密部 (101 ),其使用存储在所述存储部中的所述第一密钥来加密所述第二密钥的 所述信息;以及发送部(105),其将所述加密部加密的所述第二密钥的所述 信息发送到所述第一通信设备。根据所述结构,使用第一密钥加密第二密钥的信息,并发送到第一通信 设备。由此,即使当第一通信设备和第二通信设备彼此远离,也可在第一通 信设备与第二通信设备之间中继第二密钥的信息,而不会让第三方知晓。由 于能够以可靠的安全性在第一通信设备与第二通信设备之间共享同一密钥, 因此可实现能够安全地向第一通信设备认证第二通信设备的系统。本发明解决上述问题的第十二方面是根据本发明第十一方面的认证中继 系统,其中所述认证中继设备(100)包含通信范围控制部(104),其控制通 信范围,以使所述第二通信设备(220)相关的通信范围变得比所述第一通信 设备相关的所述认证中继设备的通信范围窄。根据所述结构,即使当多个第二通信设备设置在认证中继设备周围时, 在认证中继设备的通信范围外的任何第二通信设备都不会被认证。由此,防 止对相对远离认证中继设备配置的第二通信设备进行的认证。因此,由于防 止了对例如相邻者和/或恶意第三方所使用的第二通信设备的意外认证,因此 改进了安全性。本发明解决上述问题的第十三方面是认证中继方法,其中继对第一通信设备(210)和第二通信设备(220)中的至少一者进行认证的认证处理,所述第一通信设备和所述第二通信设备两者均与电线连接,其中,经由电线(250)中继所述第一通信设备与所述第二通信设备之间的所述认证处理。 根据所述方法,经由电线中继第一通信设备和第二通信设备的认证。这 使得即使当与电线连接的第一通信设备和第二通信设备彼此远离时也能够进 行第一通信设备和第二通信设备的认证。本发明解决上述问题的第十四方面是根据本发明第十三方面的认证中继 方法,其中所述处理使用与所述第一通信设备(210)共享的第一密钥(Kl) 来加密从所述第二通信设备(220)获取的、不同于所述第一密钥的第二密钥 (K2)的信息;且将所述第二密钥的所述已加密的信息发送到所述第一通信 设备。根据所述认证中继方法,使用第一密钥加密第二密钥的信息,并在第一 通信设备与第二通信设备之间中继。因此,即使当第一通信设备和第二通信 设备彼此远离时,也可在第一通信设备与第二通信设备之间中继所述第二密 钥的所述信息,而不会让第三方知晓。这使得能够以可靠的安全性在第一通 信设备与第二通信设备之间共享同一密钥,进而使得能够向第一通信设备安 全地认证第二通信设备。本发明解决上述问题的第十五方面是集成电路(11),其中继对第一通信 设备(210)和第二通信设备(220)进行认证的认证处理,所述第一通信设 备和所述第二通信设备两者均与电线连接,其中,经由电线中继所述第一通 信设备与所述第二通信设备之间的所述认证处理。根据所述集成电路,经由电线中继第一通信设备和第二通信设备的认证。 这使得即使当与电线连接的第一通信设备和第二通信设备彼此远离时也能够 进行第一通信设备和第二通信设备的认证。本发明解决上述问题的第十六方面是根据本发明第十五方面的集成电路 (11 ),并且所述电路还包括存储部(103),其存储与所述第一通信设备(210) 共享的第一密钥(Kl);获取部(105),其从所述第二通信设备(220)获取 与所述第一密钥不同的第二密钥(K2)的信息;加密部(101),其使用存储 在所述存储部中的所述第一密钥来加密所述第二密钥的所述信息;以及发送 部(105),其将所述加密部加密的所述第二密钥的所述信息发送到所述第一通信设备。根据所述集成电路,使用第一密钥加密第二密钥的信息,并发送到第一 通信设备。由此,即使当第一通信设备和第二通信设备彼此远离时,也可在 第一通信设备与第二通信设备之间中继第二密钥的信息,而不会让第三方知 晓。因此,由于能够以可靠的安全性在第一通信设备与第二通信设备之间共 享同一密钥,因此可向第一通信设备安全地认证第二通信设备。请注意,圆括号中的数字等指示对应于图中为了方便而描述的那些元件, 以便帮助理解本发明。因此,本文所作出的描述不受图中的描述限制,且不 应通过标记的描述来解释本发明。根据所述认证中继设备、认证中继系统、集成电路以及认证中继方法, 即使当主设备和从属设备彼此远离且登录消息没有直接到达时,也可向主设 备登录从属设备,且在主设备与从属设备之间设定共同密钥以使得主设备向 从属设备安全地分配网络密钥。
图1是说明实施方式的代理登录设备的结构的框图;图2是说明实施方式的代理登录设备的电路结构的一个实例的框图;图3是说明使用实施方式的代理登录设备的网络系统结构的框图;图4是说明使用实施方式的代理登录设备的网络系统结构的框图;图5是表示使用实施方式的代理登录设备的从属设备登录的流程图;图6是表示使用实施方式的代理登录设备的从属设备登录的流程图;图7是说明在实施方式的从属设备登录开始之前在代理登录设备与主设备之间事先设定共同密钥时的网络结构的框图;图8是表示在实施方式的从属设备登录开始之前在代理登录设备与主设备之间事先设定共同密钥的流程图; 图9是说明现有技术的图; 图IO是说明现有技术的图; 图11是说明现有技术的问题的图。
具体实施方式
参考附图进行如下说明。本文中,当由多个终端构成网络时,用于管理与其它终端的通信的终端 称为主设备,且在主设备的管理下进行通信的终端称为从属设备。 此外,密钥是用于控制密码算法的步骤的数据。如图3所示,网络采用电线通信(PLC)。图3显示主设备210、从属设 备220和本发明的代理登录设备100、以及各自的一般通信范围区域260、270、 280。主设备210、从属设备220和代理登录设备100中的每一者均搭载有PLC 调制解调器,且通过电缆连接到家用电网250,以便经由电线进行通信。主 设备210设置在配电盘上。请注意,代理登录设备100是认证中继设备的一个实例,主设备210是 第一通信设备的一个实例,且从属设备220是第二通信设备的一个实例。主 设备210的功能是管理在由主设备210和从属设备220构成的网络中的通信 设备之间的通信。例如,该功能包含根据例如信标等同步信号使通信设备同 步,以及安排通信设备之间的通信。此外,从属设备220的功能是在主设备 210的管理下与另一通信设备通信。主设备210、从属设备220和代理登录设备100中的每一者可在一般通 信范围或受限通信范围内发送消息。 一般通信范围用于普通数据通信,受限 通信范围用于发送登录消息。通过限制消息的通信范围,例如能够将消息仅 发送到插在与某一装置相同的电源墙壁上提供的电源插座内的装置。由此, 防止数据泄漏给恶意第三方,进而增强安全性。由于从属设备220在登录时 交换密钥信息,因此其可进行密码通信。即使在登录之后在一般通信范围区 域中发送消息时也防止数据泄漏。在PLC网络中,可通过改变调制系统或发 送功率来限制发送消息的通信范围。在图3的网络结构中,主设备210、从属设备220和代理登录设备100 中的每一者均在其它设备的一般通信范围区域内。例如,假定图3的PLC网 络是在家中,尽管其取决于家的大小或其它因素,但在一般情况下,当将设 备插入同一家庭中的任何电源插座中时,认为所述设备处于其它设备的一般 通信范围区域中。如图4所示,从属设备和代理登录设备在通信范围受限区域360外。此 外,所述从属设备和所述代理登录设备在相互的通信范围受限区域中。例如 当假定网络在家中时,认为从属设备220和代理登录设备100被插入房间的 同一墙壁上提供的电源插座内,而主设备210在另一房间中。代理登录设备100是根据本发明的代理登录认证设备,其使从属设备220易于向主设备210登录。图1是说明本发明第一和第二实施方式的代理登录设备的结构的框图。所述代理登录设备100具备通信部105,其内置有通信接口功能且能够向 网络发送消息和从网络接收消息;主从设备对应控制部101,其指示各功能 部进行处理,并分析在通信部105处接收的消息、生成将要发送到主设备210 或从属设备220的消息,并将消息传达到通信部105;输入部102,其从用户 接收用于开始登录的指令;存储部103,其存储密钥信息;通信范围切换部 104,其根据从通信部105发送的包的目的地来切换所述包的发送范围;以及 通信范围确定部107,其根据从通信部105发送的包的目的地来确定所述包 的发送范围,并向通信切换部104发出指令。在图1中,将通信范围确定部 107表示为主从设备对应控制部101的一部分。然而,这可能不是唯一情况。 此外在图1中,尽管将按钮106表示为输入部102与用户之间的接口,但也 可使用另一接口。此外,代理登录设备IOO可以是专用于此目的的设备,或 者也可兼用作从属设备。在后一种情况下,所述设备包含用于切换代理登录 设备与从属设备的操作的单元。如图2所示,代理登录设备100包含电源连接器43和模块插孔45 (例 如RJ45)。电源连接器43经由电线42与插头41连接。插头41经由电源插 座50与构成电网的电线250连接。此外,代理登录设备100包含电路模块10和DC/DC转换器30。 DC/DC 转换器30向电路模块10供应直流电压(例如,+1.2 V、十3.3V和+12V)。 电路模块10具备主IC11; AFE-IC (Analog Front End,模拟前端IC) 12;低通滤波器13;驱动器IC15;耦合器16;带通滤波器17;存储器103A;以及Ethernet PHY-IC20。主IC11包含CPU (Central Processing Unit,中央处理单元)101A; 寄存器lib; PLC-MAC (Power Line Communication Media Access Control layer,电力线通信-介质访问控制层)区块11c; PLC-PHY (Power Line Communication Physical layer,电力线通信-物理层)区块lid;以及输入和 输出接口 (I/O) 102A。 CPU 101a安装有32位RISC (Reduced Instruction Set Computer,精简指令集计算机)处理器。PLC-MAC区块llc管理用于发送信 号的MAC层,且PLC-PHY区块lid管理用于发送信号的PHY层。AFE-IC 12包含DA转换器(DAC) 12a、放大器12b、 AD转换器(ADC) 12d以及可 变放大器(VGA) 12c。耦合器16包含线圈变压器16a以及耦合电容器16b、 16c。
图2的输入输出接口 (I/O) 102A是图1的输入部102的一个实例。图2 的存储器103A是图1的存储部103的一个实例。图2的CPU lla和PLC-MAC 区块11c (在图2中由点划线表示的主从对应控制部101A)是图1的主从设 备对应控制部101和通信范围确定部107的一个实例。图2的PLC-PHY区块 lld和寄存器lib (在图2中由点划线表示的通信切换部104A)是图1的通 信切换部104的一个实例。在图2中展示的PLC-PHY区块lld、 PLC-MAC 区块llc、 AFE-IC12、低通滤波器13、驱动器IC15、带通滤波器17以及耦 合器16 (在图2中由点划线表示的通信部105A)是图1的通信部105的一 个实例。
图5表示使用代理登录设备来登录从属设备的流程。当在代理登录设备 100和从属设备220中开始登录处理时,代理登录设备100和从属设备220 通过具有受限通信范围的消息来交换登录信息。代理登录设备IOO接着使用 先前已经与主设备210交换的共同密钥来加密从属设备220的登录信息,从 而向主设备210发送登录信息。由此,即使在从属设备220不位于主设备210 的通信范围受限区域360中时,从属设备220也可向主设备210登录。
图5中,在从属设备220的登录开始之前,需要在主设备210与代理登 录设备100之间设定共同密钥,使得可在其间进行密码通信。下文中,将主 设备210与代理登录设备IOO之间的共同密钥称为KI。为了设定K1,例如 如图7和图8所示,可如从属设备的登录那样,登录代理登录设备IOO。
如图7所示,在主设备210与代理登录设备100之间设定共同密钥Kl 的网络结构情况下,主设备210和代理登录设备100需要在其相互的通信范 围受限区域内。当例如假定网络在家中时,认为主设备210和代理登录设备 100被插在房间的同一墙壁上提供的电源插座内。
如图8所示,在从属设备的登录开始之前事先已经在主设备210与代理 登录设备100之间设定共同密钥,使得如普通从属设备的登录那样,登录代 理登录设备100。首先,如步骤711和712中所示,通过用户的例如按下按 钮的操作来开始登录主设备210和代理登录设备100的处理。代理登录设备 IOO选择随机数,并发送包含所述随机数的认证请求消息721。主设备210接收认证请求消息721,获取随机数,并返还认证请求接收通知消息722。主设 备210和代理登录设备100基于随机数来计算称为认证密钥的中间密钥。
接着,主设备210发送使用认证密钥加密的质询消息723。代理登录设 备100使用认证密钥解密质询消息,并通过质询响应消息724发送消息的散 列值。如果通过质询响应消息724返回的质询消息的散列值与主设备210计 算的散列值一致,那么意味着主设备210能够认证代理登录设备100,并允 许发送共同密钥K1的信息。主设备210使用认证密钥来加密用于生成K1的 信息,并通过密钥生成请求消息725发送。代理登录设备100返还密钥生成 响应726,且主设备210发送用于通知登录完成的结果通知消息727。
最后,主设备210和代理登录设备100在步骤731和步骤732中生成共 同密钥K1。这样,共同密钥K1存储在代理登录设备100的存储部103中。
由于代理登录设备100与主设备210之间的消息721、 722、 723、 724、 725、 726、 727的通信范围受到限制,因此这些消息没有到达通信范围受限 区域360、 380之外。由此,防止登录所必需的交换信息的泄漏,进而确保了 安全性。
图7和图8所示的共同密钥Kl的设定是一个实例,也可通过另一方法 来实施。
返回到图5,在从属设备220和代理登录设备100中,如步骤411和步 骤412中所示,通过用户的例如按下按钮的操作来开始登录处理。在代理登 录设备100的情况下,当用户按下按钮106时,输入部102向主从设备对应 控制部101通知操作,使得主从设备对应控制部101进入登录消息可被接收 的状态。从属设备220具有与用于开始登录处理相同的机制。
从属设备220发送包含随机数的认证请求消息421。代理登录设备100 接收认证请求消息421,获取随机数,并返还认证请求接收通知消息422。从 属设备220和代理登录设备100基于随机数来计算称为认证密钥的中间密钥。 中间密钥是K2信息的一个实例,且可例如为K2的密码算法和K2的种子。
如本文所使用,密钥是用于控制密码算法的步骤的数据。
接着,代理登录设备100发送由认证密钥加密的质询消息423。从属设 备220使用认证密钥来解密质询消息,并通过质询响应消息424发送质询消 息的散列值。如果通过质询响应消息424返回的消息的散列值与代理登录设 备100计算的散列值一致,那么,意味着代理登录设备100能够认证从属设备220。因此,代理登录设备100发送下文称为共同密钥K2的、在主设备 210与从属设备220之间共享的共同密钥的信息。代理登录设备100使用认 证密钥来加密用于生成K2的信息,并通过密钥生成请求消息425发送信息。 用于生成K2的信息是K2的信息的一个实例,且可例如为K2的密码算法或 K2的种子。从属设备220接着返还密钥生成响应消息426,并通过图5的消 息421、 424、 426中的任一者向代理登录设备100发送从属设备的地址信息。 地址信息是在电网中唯一识别从属设备220的信息,例如MAC地址。
代理登录设备100在步骤413中计算唯一密钥K2,并将其存储在存储部 103中。
代理登录设备100使用K1加密唯一密钥K2和从属设备220的地址信息, 并通过代理登录请求消息427将其发送到主设备210。主设备210返还代理 登录响应消息428。代理登录设备100向从属设备220发送用于通知登录完 成的结果通知消息429。此外,代理登录设备100通过结果通知消息429发 送MAC地址以作为主设备210的地址信息。最后,从属设备220在步骤414 中生成共同密钥K2,且代理登录设备100在步骤415中删除K2。由此,可 在主设备210和从属设备220中设定共同密钥K2。通过使用共同密钥K2, 从属设备220可安全地从主设备210获取网络密钥以在网络中进行密码通信。
如图5可知,代理登录设备100的主从设备对应控制部101根据从从属 设备220或主设备210接收的消息来适当地生成消息,使得从属设备220可 向主设备210登录。此外,通信范围切换部104根据消息的目的地(从属设 备220或主设备210)来确定一般或受限通信范围,并向通信部105提供用 于发送消息的指令。通信范围切换部104将一般通信范围设定于主设备210, 并将受限通信范围设定于从属设备220。
在本实施方式中,使用独特的方法,通过消息421到426来交换用于生 成共同密钥K2的信息。然而,可使用另一密钥交换系统,例如Diffie-Hellman, 来交换信息。
此外,可能存在省略图5的步骤415,且在步骤413中生成的共同密钥 K2没有被删除而是存储在代理登录设备100中的情况。在此情况下,与主设 备210的情况相同,代理登录设备IOO存储从属设备的信息(例如,从属设 备的MAC地址)。此外,在步骤429中,作为通知给从属设备220的信息, 包含两个MAC地址,即主设备的MAC地址和代理登录设备100的MAC地址,通知给从属设备220。从属设备210接着存储作为从属设备220的信息 而接收的两个MAC地址。从属设备220在启动后接收到两个MAC地址中任 一者的信标时,开始图4所示的认证处理,并建立PLC网络。通常,仅主设 备210发送信标。然而,当主设备210损坏时,代理登录设备IOO用作主设 备210的替代物。这样即使在主设备210损坏时也不需要向替代设备重新登 录从属设备。可通过用开关控制或通过操纵WEB显示器上的开关来进行代 理登录设备100到主设备210的切换。
此外,与上述实施方式不同,在以下实施方式中,代理登录设备100并 不生成与从属设备220共享的共同密钥,而是从从属设备220向主设备210 传送登录消息,或从主设备210向从属设备220传送登录消息。
如图3和图4所示,代理登录设备中所使用的网络结构与上述实施方式 的网络结构相同。此外,如图1所示,通信设备具有与上述实施方式的结构 相同的结构。
图6是表示使用代理登录设备的从属设备登录的流程图。如第一实施方 式的图5的情况,在从属设备220的登录开始之前,需要设定在主设备210 与代理登录设备IOO之间共享的共同密钥,使得可在其间相互地进行密码通 信。下文中,将主设备210与代理登录设备IOO之间共享的共同密钥称为KI。 能够以类似于图7和图8所示的实施方式的方式在主设备210与代理登录设 备IOO之间设定密钥KI。
下文中,代理登录设备IOO对在实施方式中描述的登录消息进行以下处 理。代理登录设备100的通信部105接收从从属设备220发送的、以到达从 属设备220的通信范围受限区域370的登录消息。代理登录设备100的主从 设备对应控制部101接着使用存储在存储部103中的共同密钥Kl来加密消 息,添加包含从属设备220的地址信息的传送用标头,并发送消息以到达一 般通信范围区域380,使得消息传送到主设备210。此外,代理登录设备IOO 对从主设备210发送的、以到达一般通信范围区域360的、经加密的登录消 息进行相反处理。g卩,代理登录设备100的通信部105从主设备210接收登 录消息,且主从设备对应控制部101移除登录消息的传送用标头,使用存储 在存储部103中的共同密钥Kl来解密消息,并发送消息仅到达通信范围受 限区域380。由此,将消息传送到从属设备220。
在图6中,加密登录消息,向其添加传送用标头,并对登录消息名称的最后部分添加"r"。例如,代理登录设备100从从属设备220接收认证请求 消息521,加密该消息,并添加传送用标头,以便将其传送到主设备210。此 消息被称为认证请求r消息531。同样,从来自主设备210的消息中移除传送 用标头,解密该消息,并移除发送到从属设备220的消息名称的最后部分处 的"r"。例如,代理登录设备100从来自主设备210的质询r消息533中移除 传送用标头,并解密该消息,以便将其传送到从属设备220。将此传送的消 息称为质询消息523。如下描述图6的流程图。首先,在从属设备220和代理登录设备100中, 如步骤511和步骤512中所示,通过用户的例如按下按钮的操作来开始登录 处理。在代理登录设备100的情况下,当用户按下按钮106时,输入部102 向主从设备对应控制部101通知该操作,且主从设备对应控制部101进入可 接收登录消息的状态。从属设备220具备与用于开始登录处理的机制相同的 机制。登录处理开始后,从属设备220发送包含随机数的认证请求消息521。 代理登录设备100接收认证请求消息521,并如上述处理,将其改变为认证 请求r消息531 ,以使其到达主设备210。主设备210接收认证请求r消息531 , 获取随机数,并返还认证请求接收通知r消息532。代理登录设备100接收认 证请求通知r消息532,并如上述处理,将消息改变为认证请求接收通知消息 522,以使其到达从属设备220。主设备210和从属设备220基于随机数来计 算称为认证密钥的中间密钥。接着,主设备210发送质询r消息533。代理登录设备100在接收到质 询r消息533时,如上述处理,将其改变为质询消息523,以便其到达从属设 备220。从属设备220使用认证密钥来解密质询消息523,并通过质询响应消 息524发送消息的散列值。代理登录设备100接收质询响应消息524,并如 上述处理,将消息改变为质询响应r消息534,以便其到达主设备210。如果 通过质询响应r消息534返回的消息的散列值与由主设备210计算的散列值 一致,那么,主设备210能够认证从属设备220,并允许发送下文称为共同 密钥K2的、在主设备210与从属设备220之间共享的共同密钥的信息。接着,主设备210使用认证密钥来加密用于生成K2的信息,并通过密 钥生成请求r消息535发送该消息。代理登录设备100接收密钥生成请求r 消息535,并如上述处理,将消息改变为密钥生成请求消息525,以使其到达从属设备220。从属设备220在接收到密钥生成请求消息525时,返还密钥 生成响应消息526。代理登录设备100如上述处理,将密钥生成响应消息526 改变为密钥生成响应r消息536,并将其传送到主设备210。主设备210发送 结果通知r消息537,且代理登录设备100将结果通知r消息537改变为结果 通知消息527,并将其传送到从属设备220。最后,主设备210和从属设备220在步骤513和514中生成共同密钥K2。由此,可在主设备210与从属设备220之间设定共同密钥K2。通过使用 共同密钥K2,从属设备220可安全地从主设备210获取能够在网络中进行密 码通信的网络密钥。在上述实施方式中,使用独特的方法交换用于生成共同密钥K2的信息。 然而,可使用另一密钥交换系统,例如Diffie-Hellman来交换信息。本发明的上述实施方式采用PLC网络。然而,根据本发明的代理登录设 备和系统可用于由主设备和从属设备构成的网络中,且在所述网络中,为了 从属设备向网络登录,在主设备与将要登录的从属设备之间交换登录消息, 所述登录消息具有与一般通信范围相比受限的通信范围。因此,本发明的代 理登录设备和系统可应用于使用无线LAN的网络结构。请注意,除了上述实施方式以外,本发明还可用于实现各种实施方式。 例如,当从网络中移除从属设备时,本发明可用于取消所述从属设备在主设 备中的登录。请注意,在上述实施方式中,尽管作为加密系统对共同密钥进行了说明, 但也可使用公开密钥。在此情况下,公开密钥存储在主设备中,且如此存储 的公共密钥的信息发送到所有经认证的从属设备。请注意,主设备和从属设备可以是具有通信功能的普通电气产品(例如, 电视机、个人计算机、电冰箱、空调,或类似物)。本申请案是基于2006年3月24日申请的第2006-082305号日本专利申 请案并主张其优先权,所述申请案的内容以全文引用的方式并入本文。工业利用可能性本发明的认证中继设备、认证中继系统以及认证中继方法使得在网络中 在主设备与将要登录的从属设备之间具有受限通信范围的登录消息中的两者 或一者没有到达时,从属设备能够向由主设备与从属设备构成的网络进行登 录,其中通过所述网络,在主设备与将要登录的从属设备之间交换具有与一般通信范围相比受限的通信范围的登录消息。本发明的认证中继设备、认证中继系统以及认证中继方法能够用于如下情况,例如,当在无线LAN或PLC网络中,从属设备或主设备设置在用户可及范围外的位置,或尺寸较大且无 法容易移动时。
权利要求
1、一种认证中继设备,其中继对第一通信设备和第二通信设备中的至少一者进行认证的认证处理,所述第一通信设备和所述第二通信设备两者均与电线连接,其中,经由所述电线在所述第一通信设备与所述第二通信设备之间中继所述认证处理。
2、 根据权利要求1所述的认证中继设备,其还包括-存储部,其存储与所述第一通信设备共享的第一密钥;获取部,其从所述第二通信设备获取与所述第一密钥不同的第二密钥的 信息;加密部,其使用存储在所述存储部中的所述第一密钥来加密所述第二密 钥的所述信息;以及发送部,其将在所述加密部处加密的所述第二密钥的所述信息发送到所 述第一通信设备。
3、 根据权利要求2所述的认证中继设备,其还包括 通信范围控制部,其控制所述第一通信设备相关的通信范围和所述第二通信设备相关的通信范围中的至少一者。
4、 根据权利要求3所述的认证中继设备,其中,所述通信范围控制部将所述第二通信设备相关的所述通信范围控制为比 所述第 一通信设备相关的所述通信范围窄。
5、 根据权利要求2所述的认证中继设备,其中,所述第二通信设备的所述信息是MAC地址、随机数、密码算法和种子 中的至少一者。
6、 根据权利要求2所述的认证中继设备,其中,所述加密部使用所述第一密钥来加密所述第一通信设备和所述第二通信 设备中的至少一者的信息,以及所述发送部将由所述加密部加密的所述信息发送到所述第一通信设备。
7、 根据权利要求6所述的认证中继设备,其中,所述信息是所述第一通信设备和所述第二通信设备中的至少一者的地址 信息。
8、 根据权利要求2所述的认证中继设备,其中,所述发送部经由所述电线发送由所述加密部加密的所述信息。
9、 根据权利要求2所述的电线通信设备,其还包括密钥生成部,其生成所述第一密钥和所述第二密钥中的至少一者。
10、 一种认证中继系统,其包括 第一通信设备,其用作主设备; 第二通信设备,其用作从属设备;以及 权利要求1所述的认证中继设备。
11、 根据权利要求10所述的认证中继系统,其中, 所述认证中继设备还具备存储部,其存储与所述第一通信设备共享的第一密钥; 获取部,其从所述第二通信设备获取与所述第一密钥不同的第二密钥的 信息;加密部,其使用存储在所述存储部中的所述第一密钥来加密所述第二密 钥的所述信息;以及发送部,其将在所述加密部处加密的所述第二密钥的所述信息发送到所 述第一通信设备。
12、 根据权利要求11所述的认证中继系统,其中,所述认证中继设备还包括通信范围控制部,所述通信范围控制部控制通 信范围,以使得所述第二通信设备相关的通信范围变得比所述第一通信设备 相关的所述认证中继设备的通信范围窄。
13、 一种认证中继方法,其中继对第一通信设备和第二通信设备中的至 少一者进行认证的认证处理,所述第一通信设备和所述第二通信设备两者均 与电线连接,其中,所述认证处理经由电线在所述第一通信设备与所述第二通信设备 之间中继。
14、 根据权利要求13所述的认证中继方法,其中,所述处理使用与所述第一通信设备共享的第一密钥来加密与所述第一密 钥不同的第二密钥的信息,所述信息是从所述第二设备获取的;以及 将所述第二密钥的所述已加密的信息发送到所述第一通信设备。
15、 一种集成电路,其中继对第一通信设备和第二通信设备中的至少一 者进行认证的认证处理,所述第一通信设备和所述第二通信设备两者均与电 线连接,其中,所述认证处理经由电线在所述第一通信设备与所述第二通信设备 之间中继。
16、 根据权利要求15所述的集成电路,其还包括 存储部,其存储与所述第一通信设备共享的第一密钥;获取部,其从所述第二通信设备获取与所述第一密钥不同的第二密钥的 信息;加密部,其使用存储在所述存储部中的所述第一密钥来加密所述第二密 钥的所述信息;以及发送部,其将在所述加密部处加密的所述第二密钥的所述信息发送到所 述第一通信设备。
全文摘要
本发明的目的是提供一种认证中继设备、认证中继系统以及认证中继方法,其使得即使在主设备与将要登录的从属设备之间的通信范围受到限制、且登录消息中的两者或一者没有到达时,从属设备也能够向网络登录。代理登录设备100包括主从设备对应控制部分101,其根据从主设备或从属设备接收的登录消息生成要发送到主设备或从属设备的登录消息;通信范围切换部分104,其切换将要发送的消息的发送范围;以及通信范围确定部分107,其根据由主从设备对应控制部分101生成的登录消息的目的地确定由此生成的登录消息的发送范围,以便指示通信范围切换部分104。
文档编号H04L9/08GK101411113SQ200780010629
公开日2009年4月15日 申请日期2007年3月23日 优先权日2006年3月24日
发明者张毅波, 横光康志, 赫克托·阿卡明 申请人:松下电器产业株式会社