专利名称:无线通信装置、无线通信系统以及网络装置的制作方法
技术领域:
本发明涉及一种无线通信装置、无线通信系统以及网络装置。
背景技术:
以往,无线局域网(LAN:Local Area Network)得到普及。在该无线局域网中,在 相互进行通信的无线通信装置之间,例如无线局域网接入点(以下仅称为接入点)与无线 终端之间,为了防止对无线局域网进行非法入侵、通信内容被泄漏给第三方而进行加密通 信。并且,在该加密通信中,作为加密方式采用了公用密钥加密方式,需要对各无线通信装 置设定公用的加密密钥、或者利用外部服务器对各无线通信装置进行认证。但是,该加密密 钥的设定对不精通无线通信装置的用户来说是较为繁琐或较为困难的。另外,需要防止加 密密钥泄漏给第三方。因此,提出了各种在确保安全性的同时对接入点、无线终端等各无线 通信装置设定公用的加密密钥的技术。
发明内容
发明要解决的问题但是,在现有技术中,为了从接入点向无线终端传输加密密钥,需要对该接入点与 无线终端进行有线连接。另外,在现有技术中,需要另行准备专用的RFID (Radio Frequency Identification 射频识别)标签(IC卡)、RFID写入器,其中,该专用的RFID标签存储加 密通信的设定中所使用的信息,该RFID写入器用于将加密通信的设定中所使用的信息写 入到RFID标签。并且,准备用于设定上述加密密钥的专用的RFID卡、RFID写入器对用户 来说在成本方面负担较大。并且,这种问题不限于无线通信装置中的加密密钥的设定,在网 络装置中,对于与其它网络装置的认证中使用的认证信息的设定也会产生这种问题。本发明是为了解决上述问题而完成的,其目的在于提供一种如下技术在无线通 信装置中,在成本方面抑制对用户造成的负担并确保安全性,并且容易地设定与其它无线 通信装置的加密通信中使用的加密密钥。另外,本发明的目的在于提供一种如下技术在网络装置中,在成本方面抑制对用 户造成的负担并确保安全性,并且容易地设定与其它网络装置的认证中使用的认证信息。用于解决问题的方案本发明是为了解决上述问题的至少一部分而完成的,能够实现为以下的方式或应 用例。[应用例1]一种无线通信装置,其具备获取部,其获取从保持固有信息的 RFID(Radio Frequency Identification 射频识别)标签读出的规定信息;共享密钥生成 部,其根据上述规定信息生成唯一的共享密钥,该共享密钥是生成在与其它无线通信装置 的加密通信中使用的加密密钥的基础;共享密钥存储部,其存储上述共享密钥;认证处理 部,其使用上述共享密钥作为认证信息,来进行该无线通信装置与上述其它无线通信装置 之间的认证;加密密钥生成部,其在由上述认证处理部进行的上述认证成功的情况下,至少
4根据上述共享密钥来生成上述加密密钥;以及通信部,其使用上述加密密钥来进行上述加
通{曰ο应用例1的无线通信装置例如被应用于无线局域网中的接入点、无线终端。在应 用例1的无线通信装置中,能够根据从现有的RFID标签读出的固有信息来生成唯一的共享 密钥,将该共享密钥用作认证信息来进行与其它无线通信装置之间的认证,在认证成功的 情况下,至少根据该共享密钥生成加密密钥,将该加密密钥设定为在加密通信中所使用的 加密密钥。因而,不需要为了对无线通信装置设定加密密钥而准备专用于加密密钥的设定 的RFID标签、用于将加密密钥写入到该RFID标签中的RFID写入器等。另外,在无线通信 装置之间,也不需要经由无线空间来传输加密密钥。另外,也不需要由用户通过手动方式对 无线通信装置设定加密密钥。即,利用应用例1的无线通信装置,能够在成本方面抑制对用 户造成的负担并确保安全性,并且容易地设定与其它无线通信装置的加密通信中使用的加 密密钥。此外,在应用例1的无线通信装置中,在由认证处理部进行的认证失败的情况下, 加密密钥生成部不生成加密密钥。另外,上述现有的RFID标签是指,在当初为了除生成无 线通信装置中的共享密钥以及对无线通信装置设定加密密钥以外的目的而使用的RFID标 签。作为这种RFID标签,例如可列举出所谓的IC车票、电子货币卡、会员卡、店铺的点卡、 职工卡、便携式电话机等所具备的RFID标签等。[应用例2]根据应用例1所述的无线通信装置,上述RFID标签是如下的RFID标 签上述无线通信装置为了除生成上述共享密钥以外的目的而利用上述RFID标签时,由 RFID写入器逐次对上述RFID标签所保持的上述规定信息的一部分进行更新。作为存储上述固有信息的存储区域,RFID标签中设置有存储将被规定成每个 RFID标签所固有的固有编号的存储区域和存储能够由RFID写入器进行更新的信息的存储 区域。并且,例如在预付费型电子货币服务中使用的RFID标签中,在每次利用电子货币服 务时,对能够更新的信息进行更新。因而,利用应用例2的无线通信装置,能够频繁地对共 享密钥以及加密密钥进行更新。其结果,能够提高无线通信的安全性。[应用例3]根据应用例1或2所述的无线通信装置,上述规定信息包含能够识别 上述RFID标签的识别信息,上述无线通信装置还具备识别信息登记部,该识别信息登记部 预先登记上述识别信息,在生成上述共享密钥之前,在上述识别信息登记部中登记有上述 规定信息所包含的上述识别信息的情况下,上述共享密钥生成部生成上述共享密钥,在上 述识别信息登记部中未登记上述规定信息所包含的上述识别信息的情况下,上述共享密钥 生成部不生成上述共享密钥。利用应用例3的无线通信装置,能够将在上述加密密钥的设定中可利用的RFID标 签仅限制为具有预先登记在上述识别信息登记部的识别信息的RFID标签。其结果,能够提 高无线通信的安全性。[应用例4]根据应用例1 3中的任一项所述的无线通信装置,其特征在于,还具 备有效期限设定部,该有效期限设定部设定上述共享密钥的有效期限,上述共享密钥存储 部将上述共享密钥与上述有效期限相关联地进行存储。利用应用例4的无线通信装置,能够对能够利用共享密钥的期间进行限制。并且, 为了继续进行无线通信装置的加密通信,用户需要对共享密钥进行更新,即需要在无线通
5信装置中重新生成共享密钥和加密密钥。其结果,能够提高无线通信的安全性。此外,经过 有效期限后的共享密钥会变为无效,例如被废弃。[应用例5]—种无线通信系统,包括相互之间进行加密通信的第一无线通信装置 与第二无线通信装置,上述第一无线通信装置和上述第二无线通信装置具备获取部,其获 取从保持固有信息的RFID(Radic) Frequency Identification 射频识别)标签读出的规 定信息;共享密钥生成部,其根据上述规定信息生成唯一的共享密钥,该共享密钥是生成在 上述加密通信中使用的加密密钥的基础;共享密钥存储部,其存储上述共享密钥;认证处 理部,其使用上述共享密钥作为认证信息,来进行上述第一无线通信装置与上述第二无线 通信装置之间的认证;加密密钥生成部,其在由上述认证处理部进行的上述认证成功的情 况下,至少根据上述共享密钥来生成上述加密密钥;以及通信部,其使用上述加密密钥来进 行上述加密通信。此外,能够将之前示出的各种附加要素适当地应用于应用例5的无线通信系统中 的第一和第二无线通信装置中的至少一个无线通信装置。[应用例6]—种网络装置,其具备获取部,其获取从保持固有信息的RFID(Radio Frequency Identification)标签读出的规定信息;认证信息生成部,其根据上述规定信 息,生成在该网络装置与其它网络装置的认证中使用的唯一的认证信息;认证信息存储部, 其存储上述认证信息;以及认证处理部,其使用上述认证信息进行上述认证。 应用例6的网络装置例如被应用于交换式集线器、VPN (Virtual Private Network:虚拟专用网络)连接的认证等。在应用例6的网络装置中,能够根据从现有的 RFID标签读出的固有信息来生成唯一的认证信息,使用该认证信息进行与其它网络装置 之间的认证。因而,不需要为了对网络装置设定认证信息而准备专用于认证信息的设定的 RFID标签、用于将认证信息写入到该RFID标签中的RFID写入器等。另外,也不需要由用户 通过手动方式对网络装置设定认证信息。即,利用应用例6的网络装置,能够在成本方面抑 制对用户造成的负担并确保安全性,并且容易地设定与其它网络装置的认证中使用的认证 fn息ο本发明除了作为上述无线通信装置、无线通信系统、网络装置的结构以外,还能够 构成为无线通信装置中的加密密钥的设定方法、网络装置中的认证信息的设定方法的发 明。另外,能够以实现它们的计算机程序以及记录该程序的记录介质等各种方式实现本发 明。此外,能够将之前示出的各种附加要素应用于各个方式中。在将本发明构成为计算机程序或记录该计算机程序的记录介质等的情况下,既可 以构成为程序整体控制无线通信装置的动作,也可以仅构成实现本发明的功能的一部分。 另外,作为记录介质,能够利用软盘、CD-ROM、DVD-ROM、光磁盘、IC卡、ROM盒、印刷有条形码 等代码的印刷物、计算机的内部存储装置(RAM、R0M等存储器)以及外部存储装置等的计算 机所能够读取的各种介质。
图1是表示作为本发明的一个实施例的无线通信系统1000的概要结构的说明图。图2是表示接入点100的概要结构的说明图。图3是表示无线终端200A的概要结构的说明图。
图4是表示共享密钥设定处理的流程的流程图。图5是表示加密密钥设定处理的流程的流程图。图6是表示接入点100A的概要结构的说明图。图7是表示共享密钥设定处理的流程的流程图。图8是表示接入点100B的概要结构的说明图。图9是表示共享密钥设定处理的流程的流程图。图10是表示作为变形例的无线通信系统的概要结构的说明图。图11是表示作为变形例的无线通信系统的概要结构的说明图。附图标记说明1000 无线通信系统;10U0AU0B =RFID 读取器;12、12A、12B :USB 线缆;20 路 由器;22 以太网线缆;100U00AU00B 接入点;110 =CPU ;112 获取部;114U14A 共享密 钥生成部;115 有效期限设定部;116 认证处理部;118 加密密钥生成部;120 =ROM ;130 RAM; 140 计时器;150 存储装置;160 :USB主控制器;162 :USB端口 ; 170 以太网控制器; 172 :WAN(广域网)端口 ; 180 :RF 设备;182 天线;200A、200B 无线终端;210 =CPU ;212 获 取部;214 共享密钥生成部;216 认证处理部;218 加密密钥生成部;220 =ROM ;230 =RAM ; 240 计时器;250 硬盘;260 =USB 主控制器;262 =USB 端口 ;280 =RF 设备;282 天线;300A、 300B :RFID 卡;310A、310B :RFID 标签;INT 因特网。
具体实施例方式下面,基于实施例来说明本发明的实施方式。A.第一实施例Al.无线通信系统的结构图1是表示作为本发明的一个实施例的无线通信系统1000的概要结构的说明图。 如图所示,本实施例的无线通信系统1000包括无线局域网(LAN :Local Area Network), 该无线局域网具备接入点100、无线终端200Α以及无线终端200Β。在接入点100上经由 Ethernet (以太网)线缆22( “Ethernet”是注册商标)连接有路由器20,接入点100经由 路由器20连接于因特网INT。此外,例如能够将本实施例的无线通信系统1000利用于家庭 内、企业内、所谓的热点Oiotspot)处。接入点100与无线终端200A、200B以公用密钥加密方式进行加密通信。因此,需 要对接入点100以及无线终端200A设定公用的加密密钥。另外,还需要对接入点100以及 无线终端200B设定公用的加密密钥。此外,接入点100与无线终端200A的加密通信中所 使用的加密密钥和接入点100与无线终端200B的加密通信中所使用的加密密钥既可以是 相同的,也可以是互不相同的。另外,期望防止向第三方泄漏这些加密密钥。因此,在本实 施例的无线通信系统1000中,利用现有的RFID(Radio Frequency Identification 射频 识别)卡所具备的RFID标签来对接入点100、无线终端200A、200B设定加密密钥。在本实施例中,使用遵循NFC (Near Field Communication 近距离无线通信)标 准的FeliCa( “FeliCa”是注册商标)作为现有的RFID卡。由于无线局域网的用户利用使 用了 FeliCa的现有服务(例如,预付费型电子货币服务),因此设为该FeliCa是预先具有 的。此外,FeliCa具备被动型的RFID标签作为RFID标签,在该RFID标签中存储有规定成每个RFID标签所固有的固有编号(制造ID(IDm)、制造参数(PMm))以及能够在每次利用服 务时进行更新的信息(更新信息)作为固有信息。作为这种RFID标签,例如可列举出所谓 的IC车票、电子货币卡、会员卡、店铺的点卡、职工卡、便携式电话机等所具备的RFID标签寸。利用现有的RFID卡对接入点100、无线终端200A、200B设定加密密钥的结构如下。 此外,下面说明的RFID读取器10、10AU0B都不具备写入功能,是比较廉价的装置。在接入点100上经由USB线缆12连接有RFID读取器10。在将RFID卡300A放在 读取部上时,RFID读取器10从RFID卡300A所具备的RFID标签310A中读出包含固有编 号和更新信息的固有信息。RFID卡300A是所谓的IC车票,在每次乘车时由设置于车站的 RFID写入器对存储在RFID标签310A中的固有信息所包含的更新信息进行更新。另外,在 将RFID卡300B放在读取部上时,RFID读取器10从RFID卡300B所具备的RFID标签310B 中读出包含固有编号和更新信息的固有信息。RFID卡300B是所谓的电子货币卡,在每次利 用电子货币时由设置于店铺等处的RFID写入器对存储在RFID标签310B中的固有信息所 包含的更新信息进行更新。然后,接入点100根据由RFID读取器10读出的固有信息来生 成唯一的共享密钥,该共享密钥成为生成加密密钥的基础。在本实施例中,接入点100使用 规定的变换函数来根据固有信息算出共享密钥。在无线终端200A上经由USB线缆12A连接有RFID读取器10A。在例如将RFID卡 300A放在读取部上时,RFID读取器IOA从RFID卡300A所具备的RFID标签310A读出包含 固有编号和更新信息的固有信息。然后,无线终端200A根据由RFID读取器IOA读出的固 有信息,使用与接入点100相同的变换函数来生成唯一的共享密钥,该共享密钥成为生成 加密密钥的基础。通过这样,能够对接入点100和无线终端200A设定相同的共享密钥。然后,接入点100和无线终端200A分别根据相同的共享密钥生成公用的加密密 钥,并将该加密密钥设定为在两者间的加密通信中使用的加密密钥。在无线终端200B上经由USB线缆12B连接有RFID读取器10B。在例如将RFID卡 300B放在读取部上时,RFID读取器IOB从RFID卡300B所具备的RFID标签310B读出包含 固有编号和更新信息的固有信息。然后,无线终端200B根据由RFID读取器IOB读出的固 有信息,使用与接入点100相同的变换函数来生成唯一的共享密钥,该共享密钥成为生成 加密密钥的基础。通过这样,能够对接入点100和无线终端200B设定相同的共享密钥。然后,接入点100和无线终端200B分别根据相同的共享密钥生成公用的加密密 钥,并将该加密密钥设定为在两者间的加密通信中使用的加密密钥。利用以上所说明的结构,对接入点100、无线终端200A、无线终端200B设定加密密 钥。A2.接入点的结构图2是表示接入点100的概要结构的说明图。如图所示,接入点100具备CPU 110、 ROM 120, RAM 130、计时器140、存储装置150、USB主控制器160、USB端口 162、以太网控制 器170、WAN端口 172、RF设备180以及天线182。USB主控制器160经由连接于USB端口 162的USB线缆12对RFID读取器10的动 作进行控制。以太网控制器170经由连接于WAN接口 172的以太网线缆22及因特网INT 与连接于因特网INT的未图示的各种服务器等进行通信。RF设备180和天线182与无线终
8端200A、200B进行无线通信。RF设备180通过天线182发送和接收无线信号。CPU 110对接入点100的整体进行控制。另外,CPU 110通过读出并执行ROM 120 中所存储的计算机程序,来作为获取部112、共享密钥生成部114、认证处理部116、加密密 钥生成部118而发挥功能,从而执行后述的共享密钥设定处理和加密密钥设定处理。获取部112获取由RFID读取器10读出的包含固有编号和更新信息的固有信息。 共享密钥生成部114根据由获取部112获取到的固有信息,生成唯一的共享密钥(PMK: Pairwise MasterKey (成对主密钥))。在本实施例中,获取部112获取512位以上的规定 位的固有信息,共享密钥生成部114使用规定的变换函数来根据固有信息算出具有512位 的密钥长度的唯一的共享密钥。由共享密钥生成部114生成的共享密钥被存储在存储装置 150中。在图2中,示出了存储有共享密钥PMKa、共享密钥PMKb等的情形,该共享密钥PMKa 是根据从RFID卡300A所具备的RFID标签310A读出的固有信息而生成的,该共享密钥PMKb 是根据从RFID卡300B所具备的RFID标签310B读出的固有信息而生成的。此外,例如使 用可重写的非易失性存储器(例如,快闪存储器(Flash Memory))作为存储装置150。在进行接入点100与无线终端200A、200B的加密通信之前,认证处理部116交换 包含共享密钥的包,将共享密钥用作认证信息来进行认证处理。在接入点100与通信对象 的无线终端具有相同的共享密钥的情况下,认证成功。在认证成功的情况下,加密密钥生成 部118根据与通信对象的无线终端所具有的共享密钥相同的共享密钥、接入点100的MAC 地址、SSID(Service Set Identifier 服务集标识符)等来生成加密密钥。A3.无线终端的结构图3是表示无线终端200A的概要结构的说明图。此外,无线终端200B的结构与 无线终端200A的结构相同。例如通过在个人计算机上安装所谓的无线局域网卡来构成无 线终端200A、200B。如图所示,无线终端200A具备CPU 210,ROM 220、RAM230、计时器240、 硬盘250、USB主控制器260、USB端口 262、RF设备280以及天线282。USB主控制器260经由连接于USB端口 262的USB线缆12A来控制RFID读取器 IOA的动作。RF设备280和天线282与接入点100进行无线通信。RF设备280通过天线 282发送和接收无线信号。CPU 210对无线终端200A的整体进行控制。另外,CPU 210通过读出并执行ROM 220或硬盘250中所存储的计算机程序,来作为获取部212、共享密钥生成部214、认证处理 部216、加密密钥生成部218而发挥功能,从而执行后述的共享密钥设定处理和加密密钥设 定处理。获取部212获取由RFID读取器IOA读出的包含固有编号和更新信息的固有信 息。共享密钥生成部214根据由获取部212获取到的固有信息,生成唯一的共享密钥(PMK Pairwise Master Key)。此外,共享密钥生成部214使用与之前说明的接入点100中的共 享密钥生成部114相同的变换函数来生成共享密钥。由共享密钥生成部214生成的共享密 钥被存储在硬盘250中。在图3中,示出存储有共享密钥PMKa的情形,该共享密钥PMKa是 根据从RFID卡300A所具备的RFID标签310A读出的固有信息而生成的。在进行无线终端200A与接入点100的加密通信之前,认证处理部216交换包含共 享密钥的包,将共享密钥用作认证信息来进行认证处理。在无线终端200A与接入点100具 有相同的共享密钥的情况下,认证成功。在认证成功的情况下,加密密钥生成部218根据自身所具有的共享密钥、接入点100的MAC地址、SSID等来生成加密密钥。A4.共享密钥设定处理图4是表示共享密钥设定处理的流程的流程图。该处理是由接入点100的CPU 110 和无线终端(无线终端200A、200B)的CPU210设定共享密钥的处理,该共享密钥成为生成 在加密通信中使用的加密密钥的基础。在此,说明接入点100的CPU 110所执行的处理。首先,作为CPU 110的功能部的获取部112获取由RFID读取器10读出的包含固有 编号和更新信息的固有信息(步骤S100)。接着,如之前说明的那样,共享密钥生成部114根 据由获取部112获取到的固有信息生成唯一的共享密钥(步骤S110),并将该共享密钥存储 到存储装置150中(步骤S120)。然后,共享密钥设定处理结束。此外,无线终端200A(或 者无线终端200B)的CPU210(获取部212、共享密钥生成部214)也同样执行以上的处理。 通过这样,能够对接入点100和无线终端200A(或者无线终端200B)设定相同的共享密钥。A5.加密密钥设定处理图5是表示加密密钥设定处理的流程的流程图。图5的左侧表示无线终端 200A(或者无线终端200B)中的处理,图5的右侧表示接入点100中的处理。此外,在此,设 在接入点100和无线终端200A(或者无线终端200B)中通过之前说明的共享密钥设定处理 已设定有相同的共享密钥。首先,无线终端200A (或者无线终端200B)的认证处理部216与接入点100的认证 处理部116通过4-Way-Handshake (四向交握)方式执行认证处理(步骤S200、步骤S300)。 此外,无线终端200A(或者无线终端200B)和接入点100在认证处理中交换共享密钥时使 M EAPOL-Key (EAPOL =Extensible Authentication Protocol over UVN(員_网±白勺胃才/" 展认证协议))。接着,无线终端200A(或者无线终端200B)根据自身所具有的共享密钥、接入点 100的MAC地址、SSID等生成加密密钥(步骤S210)。另外,接入点100也根据与无线终 端200A(或者无线终端200B)所具有的共享密钥相同的共享密钥、接入点100的MAC地址、 SSID等生成加密密钥(步骤S310)。然后,加密密钥设定处理结束。根据以上的处理,能够 对接入点100和无线终端200A(或者无线终端200B)设定公用的加密密钥。并且,无线终 端200A(或者无线终端200B)与接入点100能够分别使用所设定的公用的加密密钥来进行 加密通信。根据以上所说明的本实施例的无线通信系统1000,能够进行如下操作接入点 100和无线终端200A、200B根据从现有的RFID卡300A所具备的RFID标签310A或RFID卡 300B所具备的RFID标签310B读出的固有信息,生成唯一的共享密钥,并将该共享密钥用作 认证信息来进行认证,在认证成功的情况下,至少根据该共享密钥来生成加密密钥,将该加 密密钥设定为在加密通信中使用的加密密钥。因而,为了对接入点100和无线终端200A、 200B设定加密密钥,作为硬件只要准备现有的RFID卡以及较为廉价的RFID读取器10、 10AU0B即可,而不需要准备专用于设定加密密钥的RFID标签、用于将加密密钥写入到该 RFID标签中的RFID写入器等。另外,也不需要在接入点100与无线终端200A、200B之间经 由无线空间来传输加密密钥。另外,也不需要由用户以手动方式对接入点100和无线终端 200A、200B设定加密密钥。即,根据本实施例的无线通信系统1000,能够在成本方面抑制对 用户造成的负担并确保安全性,并且容易地设定加密通信中所使用的加密密钥。
10
另外,在本实施例的无线通信系统1000中,作为RFID卡300A、300B利用了使用 RFID标签的现有服务中所使用的RFID标签,因此在每次利用服务时对该RFID标签所存储 的固有信息所包含的更新信息进行更新。因而,根据本实施例的无线通信系统1000,能够 频繁地对接入点100和无线终端200A、200B所具有的共享密钥和加密密钥进行更新。其结 果,能够提高在接入点100与无线终端200A、200B之间进行的无线通信的安全性。B.第二实施例B 1.无线通信系统的结构第二实施例的无线通信系统的硬件结构与第一实施例的无线通信系统1000的硬 件结构相同(省略图示)。但是,第二实施例的无线通信系统具备接入点100A以代替第一 实施例的无线通信系统1000中的接入点100。并且,接入点100A所执行的共享密钥设定处 理的一部分不同于接入点100所执行的共享密钥设定处理。下面,对接入点100A的结构和 共享密钥设定处理进行说明。B2.接入点的结构图6是表示接入点100A的概要结构的说明图。将图6与图2进行比较则可知,接 入点100A的CPU 110具备共享密钥生成部114A以代替接入点100的CPU 110中的共享密 钥生成部114。另外,存储装置150中预先登记有应该允许生成共享密钥的RFID标签的制 造ID (识别信息)。例如,设接入点100A中具备用于登记RFID标签的制造ID的计算机程 序、用于启动该计算机程序的操作按钮,由接入点100A的管理者对该操作按钮进行操作, 由RFID读取器10读出应该允许生成共享密钥的RFID标签的制造ID,从而登记该制造ID。 在图6中,示出了将制造ID(IDma)、制造ID(IDmb)等登记为应该允许生成共享密钥的RFID 标签的制造ID的情况,其中,上述制造ID(IDma)被存储在RFID卡300A所具备的RFID标 签3IOA中,上述制造ID(IDmb)被存储在RFID卡300B所具备的RFID标签310B中。并且, 在由获取部112获取到的固有信息所包含的制造ID被登记为应该允许生成共享密钥的制 造ID的情况下,共享密钥生成部114A生成共享密钥。另一方面,在由获取部112获取到的 固有信息所包含的制造ID未被登记为应该允许生成共享密钥的制造ID的情况下,共享密 钥生成部114A不生成共享密钥。此时,CPU 110使LED、蜂鸣器等通知部(省略图示)进行 动作,来向用户通知由获取部112获取到的固有信息所包含的制造ID未被登记为应该允许 生成共享密钥的制造ID、即无法生成共享密钥。B3.共享密钥设定处理图7是表示共享密钥设定处理的流程的流程图。该处理是由接入点100A的CPU 110设定共享密钥的处理,该共享密钥成为生成加密通信中使用的加密密钥的基础。首先,获取部112获取由RFID读取器10读出的包含固有编号和更新信息的固有 信息(步骤S100)。接着,共享密钥生成部114A判断由获取部112获取到的固有信息所包 含的制造ID(IDm)是否被登记为应该允许生成共享密钥的制造ID(步骤S102)。然后,在由 获取部112获取到的固有信息所包含的制造ID未被登记为应该允许生成共享密钥的制造 ID的情况下(步骤S102 “否”),共享密钥生成部114A不生成共享密钥而结束共享密钥设 定处理。此时,CPU 110使通知部进行动作,向用户通知无法生成共享密钥。另一方面,在由 获取部112获取到的固有信息所包含的制造ID被登记为应该允许生成共享密钥的制造ID 的情况下(步骤S102 “是”),如之前说明的那样,共享密钥生成部114A根据由获取部112
11获取到的固有信息生成唯一的共享密钥(步骤S110),并将该共享密钥存储到存储装置150 中(步骤S120)。然后,共享密钥设定处理结束。根据以上所说明的第二实施例的无线通信系统,也与第一实施例的无线通信系统 1000同样地,能够在成本方面抑制对用户造成的负担并确保安全性,并且容易地设定加密 通信中所使用的加密密钥。另外,在第二实施例的无线通信系统中,接入点100A在共享密钥设定处理中,在 所获取到的固有信息所包含的制造ID未被登记为应该允许生成共享密钥的RFID标签的制 造ID的情况下,不生成共享密钥以及加密密钥,因此能够将在加密密钥的设定中可利用的 RFID标签仅限制为具有预先登记的制造ID的RFID标签。换言之,只有具有预先登记了制 造ID的RFID标签的用户才能够利用第二实施例的无线通信系统。其结果,能够提高无线 通信的安全性。C.第三实施例Cl.无线通信系统的结构第三实施例的无线通信系统的硬件结构与第一实施例的无线通信系统1000的硬 件结构相同(省略图示)。但是,第三实施例的无线通信系统具备接入点100B以代替第一 实施例的无线通信系统1000中的接入点100。并且,接入点100B所执行的共享密钥设定处 理的一部分不同于接入点100所执行的共享密钥设定处理。下面,对接入点100B的结构和 共享密钥设定处理进行说明。C2.接入点的结构图8是表示接入点100B的概要结构的说明图。将图8与图2进行比较则可知,接 入点100B的CPU 110除了具备接入点100的CPU 110的结构以外,还具备设定共享密钥的 有效期限的有效期限设定部115。并且,将由共享密钥生成部114生成的共享密钥与由有效 期限设定部115设定的有效期限和由获取部112获取到的固有信息所包含的制造ID(识别 信息)相对应地存储在存储装置150中。并且,存储在存储装置150中的共享密钥如果超 过其有效期限则被废弃。此外,也可以将与接入点100B中的有效期限设定部115相同的结 构也应用于无线终端200A、200B。C3.共享密钥设定处理图9是表示共享密钥设定处理的流程的流程图。该处理是由接入点100B的CPU 110设定共享密钥的处理,该共享密钥成为生成加密通信中所使用的加密密钥的基础。首先,获取部112获取由RFID读取器10读出的包含固有编号和更新信息的固有 信息(步骤S100)。接着,如之前说明的那样,共享密钥生成部114根据由获取部112获取 到的固有信息生成唯一的共享密钥(步骤S110)。然后,有效期限设定部115对所生成的共 享密钥设定有效期限(步骤S112)。共享密钥的有效期限例如为从生成共享密钥起的24小 时、生成共享密钥后的第二天的上午0时等,能够任意地进行设定。然后,共享密钥生成部 114将共享密钥与有效期限及识别信息相对应地存储到存储装置150(步骤S130)。然后, 共享密钥设定处理结束。根据以上所说明的第三实施例的无线通信系统,也与第一实施例的无线通信系统 1000同样地,能够在成本方面抑制对用户造成的负担并确保安全性,并且容易地设定加密 通信中使用的加密密钥。
另外,在第三实施例的无线通信系统中,接入点100B在共享密钥设定处理中对共 享密钥设定有效期限,因此能够限制共享密钥的可利用期间。并且,为了继续进行使用接入 点100B等的加密通信,用户必须再次使接入点100B等生成加密密钥和共享密钥,由此,在 接入点100B等中生成新的加密密钥和共享密钥。其结果,能够提高无线通信的安全性。D.变形例以上说明了本发明的几个实施方式,但是本发明并不限定于这些实施方式,在不 脱离其宗旨的范围内能够以各种方式来实施。例如,能够进行以下的变形。Dl.变形例 1 在上述实施例中,将每次利用使用了 RFID标签的现有服务时对所保持的信息的 一部分(更新信息)进行更新的RFID标签(FeliCa)用作在共享密钥和加密密钥的设定中 利用的RFID标签,但是本发明不限于此。也可以使用不对所保持的信息进行更新的RFID 标签。另外,RFID标签的标准不限于FeliCa,也可以是Mifare ( “Mifare”是注册商标)等 其它标准。另外,RFID标签也可以不遵照NFC标准。D2.变形例 2 在上述实施例中,设接入点100、100A、100B以及无线终端200A、200B生成具有512
位的密钥长度的共享密钥,但是共享密钥的密钥长度能够根据所要求的强度而任意地进行 设定。D3.变形例 3 也可以将第二实施例的接入点100A的结构与第三实施例的接入点100B的结构 进行组合。即,接入点的CPU 110具备获取部112、共享密钥生成部114A、有效期限设定部 115、认证处理部116以及加密密钥生成部118,存储装置150是预先存储有应该允许生成共 享密钥的制造ID并将共享密钥与有效期限相对应地进行存储的结构。通过这样,能够对在 加密密钥的设定中可利用的RFID标签进行限制并对共享密钥的可利用期间进行限制,从 而能够提高无线通信的安全性。D4.变形例 4 在上述实施例中,设在接入点、无线终端上连接有RFID读取器,但是本发明不限 于此。也可以将RFID读取器内置于接入点、无线终端。D5.变形例 5:在上述第一实施例中,设一台接入点100具备获取部112、共享密钥生成部114、认 证处理部116以及加密密钥生成部118,但是本发明不限于此。也可以由多个接入点分担具 备获取部112、共享密钥生成部114、认证处理部116以及加密密钥生成部118的功能。对 于第二实施例的接入点100A以及第三实施例的接入点100B也同样如此。图10是表示作为变形例的无线通信系统的概要结构的说明图。本变形例的无线 通信系统具备第一接入点、第二接入点以及无线终端。并且,在第一接入点上连接有RFID 读取器,第一接入点与第二接入点进行有线连接。并且,虽然省略了图示,但是第一接入点 具备之前说明的获取部112和共享密钥生成部114,第二接入点具备之前说明的认证处理 部116和加密密钥生成部118。第一接入点根据由连接于第一接入点的RFID读取器从RFID卡读出的固有信息来 生成共享密钥。通过有线将该共享密钥发送到第二接入点。另外,无线终端也根据由连接于无线终端的RFID读取器从RFID卡读出的固有信息来生成共享密钥。此时,对第二接入 点与无线终端设定相同的共享密钥。然后,第二接入点与无线终端使用共享密钥进行认证 处理。并且,在认证成功的情况下,第二接入点和无线终端根据所保持的共享密钥等生成在 两者间的加密通信中使用的加密密钥。通过这样,也与上述实施例同样地,能够在成本方面 抑制对用户造成的负担并确保安全性,并且容易地设定加密通信中所使用的加密密钥。此外,在本变形例中也可以是,第二接入点通过有线将所生成的加密密钥发送到 第一接入点。通过这样,无线终端既能够与第一接入点进行加密通信,又能够与第二接入点 进行加密通信。另外,也可以是,第一接入点具备之前说明的获取部112,第二接入点具备之前说 明的共享密钥生成部114、认证处理部116以及加密密钥生成部118。在这种情况下,第二 接入点只要通过有线接收从第一接入点发送的固有信息并进行共享密钥的生成、认证、加 密密钥的生成即可。另外,也可以是,第一接入点具备之前说明的获取部112、共享密钥生成部114、认 证处理部116以及加密密钥生成部118,通过有线将所生成的加密密钥发送到第二接入点。 另外,也可以是,在第二接入点上也连接RFID读取器,第一接入点与第二接入点双方都具 备之前说明的获取部112、共享密钥生成部114、认证处理部116以及加密密钥生成部118, 适当地相互发送接收固有信息、共享密钥、加密密钥中的至少一个。根据这种结构,能够提 高多个接入点相互进行连接的无线局域网的用户的便利性。D6.变形锣Ij 6:在上述实施例中,设例如接入点100具备获取部112、共享密钥生成部114、认证处 理部116以及加密密钥生成部118,但是本发明不限于此。例如也可以是,与接入点有线连 接的其它装置具备获取部112和共享密钥生成部114的功能,而接入点具备认证处理部116 和加密密钥生成部118。在这种情况下,由其它装置执行之前说明的共享密钥设定处理,接 入点只要获取由其它装置生成的共享密钥并执行之前说明的包括认证处理的加密密钥设 定处理即可。图11是表示作为变形例的无线通信系统的概要结构的说明图。本变形例的无线 通信系统具备接入点、职员认证装置以及无线终端。职员认证装置被设置于公司的职员通 路口附近,根据由RFID读取器从作为职员证的RFID卡读出的固有信息来判断RFID卡的持 有者能否进入室内。另外,接入点与无线终端被设置于室内,接入点与职员认证装置进行有 线连接。并且,虽然省略了图示,但是职员认证装置具备之前说明的获取部112和共享密钥 生成部114,接入点具备之前说明的认证处理部116和加密密钥生成部118。在允许RFID卡的持有者进入室内的情况下,职员认证装置根据由RFID读取器从 RFID卡读出的固有信息生成共享密钥。通过有线将该共享密钥发送到接入点。另外,无线 终端也根据由连接于无线终端的RFID读取器从RFID卡读出的固有信息生成共享密钥。此 时,对接入点与无线终端设定相同的共享密钥。然后,接入点与无线终端使用共享密钥进行 认证处理。并且,在认证成功的情况下,接入点和无线终端根据所保持的共享密钥等生成在 两者间的加密通信中使用的加密密钥。通过这样,也与上述实施例同样地,能够在成本方面 抑制对用户造成的负担并确保安全性,并且容易地设定加密通信中所使用的加密密钥。D7.变形例 7:
在上述实施例的无线通信系统1000中也可以是,除了无线局域网以外还包含有 线局域网。该有线局域网例如具备交换式集线器等网络装置。在这种情况下,也能够在例 如交换式集线器、VPN(Virtual Private Network 虚拟专用网络)连接的认证等中利用使 用上述实施例中的RFID标签、RFID读取器的方法。即,与上述实施例中的接入点100等同 样地,网络装置只要具备如下部件即可获取部(例如,与接入点100中的获取部112相对 应),其获取从RFID标签读出的固有信息;认证信息生成部(例如,与接入点100中的共享 密钥生成部114相对应),其根据固有信息生成在与其它网络装置的认证中使用的认证信 息;认证信息存储部(例如,与接入点100中的存储装置150相对应),其存储认证信息;以 及认证处理部(例如,与接入点100中的认证处理部116相对应),其使用认证信息来进行 与其它网络装置的认证。D8.变形例 8:在上述实施例中,可以将利用硬件实现的结构的一部分置换为软件,反之也可以 将利用软件实现的结构的一部分置换为硬件。
权利要求
1.一种无线通信装置,其具备获取部,其获取从保持固有信息的射频识别标签读出的规定信息; 共享密钥生成部,其根据上述规定信息生成唯一的共享密钥,该共享密钥是生成在与 其它无线通信装置的加密通信中使用的加密密钥的基础; 共享密钥存储部,其存储上述共享密钥;认证处理部,其使用上述共享密钥作为认证信息,来进行该无线通信装置与上述其它 无线通信装置之间的认证;加密密钥生成部,其在由上述认证处理部进行的上述认证成功的情况下,至少根据上 述共享密钥来生成上述加密密钥;以及通信部,其使用上述加密密钥来进行上述加密通信。
2.根据权利要求1所述的无线通信装置,其特征在于,上述射频识别标签是如下的射频识别标签上述无线通信装置为了除生成上述共享密 钥以外的目的而利用上述射频识别标签时,由射频识别写入器逐次对上述射频识别标签所 保持的上述规定信息的一部分进行更新。
3.根据权利要求1或2所述的无线通信装置,其特征在于, 上述规定信息包含能够识别上述射频识别标签的识别信息,上述无线通信装置还具备识别信息登记部,该识别信息登记部预先登记上述识别信息?在生成上述共享密钥之前,在上述识别信息登记部中登记有上述规定信息所包含的上述识别信息的情况下,上述 共享密钥生成部生成上述共享密钥,在上述识别信息登记部中未登记上述规定信息所包含的上述识别信息的情况下,上述 共享密钥生成部不生成上述共享密钥。
4.根据权利要求1或2所述的无线通信装置,其特征在于,还具备有效期限设定部,该有效期限设定部设定上述共享密钥的有效期限, 上述共享密钥存储部将上述共享密钥与上述有效期限相关联地进行存储。
5.根据权利要求3所述的无线通信装置,其特征在于,还具备有效期限设定部,该有效期限设定部设定上述共享密钥的有效期限, 上述共享密钥存储部将上述共享密钥与上述有效期限相关联地进行存储。
6.一种无线通信系统,包括相互之间进行加密通信的第一无线通信装置与第二无线通 信装置,上述第一无线通信装置和上述第二无线通信装置具备 获取部,其获取从保持固有信息的射频识别标签读出的规定信息; 共享密钥生成部,其根据上述规定信息生成唯一的共享密钥,该共享密钥是生成在上 述加密通信中使用的加密密钥的基础;共享密钥存储部,其存储上述共享密钥;认证处理部,其使用上述共享密钥作为认证信息,来进行上述第一无线通信装置与上 述第二无线通信装置之间的认证;加密密钥生成部,其在由上述认证处理部进行的上述认证成功的情况下,至少根据上述共享密钥来生成上述加密密钥;以及通信部,其使用上述加密密钥来进行上述加密通信。
7. 一种网络装置,其具备获取部,其获取从保持固有信息的射频识别标签读出的规定信息; 认证信息生成部,其根据上述规定信息,生成在该网络装置与其它网络装置的认证中 使用的唯一的认证信息;认证信息存储部,其存储上述认证信息;以及 认证处理部,其使用上述认证信息进行上述认证。
全文摘要
本发明涉及一种无线通信装置、无线通信系统以及网络装置。无线通信系统(1000)具备接入点(100)、无线终端(200A)以及无线终端(200B)。接入点以及无线终端分别根据从现有的RFID卡(300A)所具备的RFID标签(310A)读出的固有信息,使用相同的变换函数来生成唯一的共享密钥,并根据该共享密钥生成公用的加密密钥。另外,接入点以及无线终端分别根据从现有的RFID卡(300B)所具备的RFID标签(310B)读出的固有信息,使用相同的变换函数来生成唯一的共享密钥,并根据该共享密钥生成公用的加密密钥。
文档编号H04W12/04GK101998391SQ20101025025
公开日2011年3月30日 申请日期2010年8月6日 优先权日2009年8月6日
发明者山田大辅 申请人:巴比禄股份有限公司