專利名稱:無線通信系統(tǒng)���、無線通信裝置及其認(rèn)證方法����、以及程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信系統(tǒng)��,尤其涉及包括以分布式自主(autonomous distributed)方式而形成網(wǎng)絡(luò)的多個(gè)無線通信裝置 的無線通信系統(tǒng)�、無線通信裝置、該系統(tǒng)和裝置中的處理方法 以及使得計(jì)算機(jī)執(zhí)行該方法的程序�����。
背景技術(shù):
作為使用無線技術(shù)而構(gòu)成網(wǎng)絡(luò)的模式���,在電氣和電子工程 師協(xié)會(huì)(IEEE , Institute of Electrical and Electronics Engineers)802.11 i中定義了基礎(chǔ)結(jié)構(gòu)(Infrastructure)無線局域網(wǎng) (LAN, Local Area Network)系統(tǒng)����。在該基礎(chǔ)結(jié)構(gòu)無線LAN系統(tǒng) 中,在被稱作接入點(diǎn)(AP, Access Point)等的無線通信裝置的整體控制下形成網(wǎng)絡(luò)�。在IEEE802.11i中,除了基礎(chǔ)結(jié)構(gòu)無線LAN系統(tǒng)以外�,還定 義了獨(dú)立基本服務(wù)組(IBSS, Independent Basic Service Set)無線 LAN系統(tǒng)。在該IBSS無線LAN系統(tǒng)中�����,不是由特定的接入點(diǎn)進(jìn) 行整體控制,而是通過在作為無線終端而工作的任何可選無線 通信裝置之間以分布式自主方式進(jìn)行的直接異步無線通信來形 成網(wǎng)絡(luò)�����。在IEEE802.11s還提出的網(wǎng)狀(mesh)無線LAN系統(tǒng)中�,通過 無線通信裝置之間以分布式自主方式進(jìn)行的直接異步的無線通 信來形成網(wǎng)絡(luò)。在該網(wǎng)狀無線LAN系統(tǒng)中���,經(jīng)由其它無線通信 裝置實(shí)現(xiàn)對(duì)處在許可電波直接到達(dá)的范圍之外的無線通信裝置 的多跳通信(multi-hop communication^以下����,將IBSS無線LAN 系統(tǒng)以及網(wǎng)狀無線LAN系統(tǒng)統(tǒng)稱為分布式自主無線LAN系統(tǒng)��。
在基礎(chǔ)結(jié)構(gòu)無線LAN系統(tǒng)或分布式自主無線LAN系統(tǒng)中�, 提出了 一種采用IEEE802.1X的認(rèn)證服務(wù)器(AS, Authentication Server)的認(rèn)證方案作為用于增強(qiáng)安全功能的方案����。例如,在基 礎(chǔ)結(jié)構(gòu)無線LAN系統(tǒng)中��,所有無線終端的認(rèn)證信息都由認(rèn)證服 務(wù)器來集中管理����,而接入點(diǎn)作為到認(rèn)證服務(wù)器的認(rèn)證代理服務(wù) 器并處理無線終端和認(rèn)證服務(wù)器之間的認(rèn)證協(xié)議序列�����。即���,在 該系統(tǒng)中,能夠明確地確定各終端的角色��。將作為到其它無線 終端的認(rèn)證服務(wù)器的認(rèn)證代理服務(wù)器而工作的實(shí)體稱為認(rèn)證者 (Authenticator)�。將被進(jìn)行認(rèn)證者的認(rèn)證處理的實(shí)體稱為懇求者 (Supplicant)。另一方面���,在分布式自主無線LAN系統(tǒng)中�����,未明 確定義各無線終端的角色。因此����,任何無線終端作為認(rèn)證者/ 認(rèn)證服務(wù)器,而另一無線終端作為懇求者���。然而�,在這些IEEE802.11i以及IEEE802.11s中,盡管打算使 用IEEE802.1X,但未定義特定的認(rèn)證協(xié)議���。為了解決這個(gè)����,在 因特網(wǎng)工程工作小組(IETF, Internet Engineering Task Force)中�����, 采用可擴(kuò)展^人i正協(xié)i義(EAP, Extensible Authentication Protocol) 作為比IEEE802.1X更高等級(jí)的認(rèn)證協(xié)議��,從而提供靈活性和擴(kuò) 展性�。通過與加密協(xié)議結(jié)合,EAP能夠?qū)崿F(xiàn)特定的認(rèn)證方案���。以 下說明將處理將傳輸層安全協(xié)議(TLS, Transport Layer Security) 用作加密協(xié)議的情況��。將基于采用TLS作為加密協(xié)議的EAP的 認(rèn)證稱為EAP-TLS認(rèn)證��。在該EAP-TLS認(rèn)證中��,在認(rèn)證服務(wù)器 和客戶機(jī)之間進(jìn)行使用電子證書(公鑰證書)的認(rèn)證�����。盡管需要 認(rèn)證機(jī)構(gòu)(CA�, Certification Authority)對(duì)認(rèn)證服務(wù)器以及各終端 預(yù)先發(fā)行公鑰證書,但EAP-TLS認(rèn)證是不依賴于密碼等的系 統(tǒng)��,并因其安全性非常高而知名(例如參照非專利文獻(xiàn)l: B. Aboba and D. Simon: "PPP EAP TLS Authentication Protocol",RFC 2716 , Network Working Group �, IETF (http:〃www.ietf.org/rfc/rfc2716.txt))。然而���,在EAP-TLS認(rèn)證中����,只要7>鑰證書是/人認(rèn)證服務(wù)器 可信賴的認(rèn)證機(jī)構(gòu)發(fā)行的公鑰證書�,則許可所有來自具有該公 鑰證書的實(shí)體的連接。即�����,這種方案沒有僅許可特定實(shí)體的認(rèn) i正的系統(tǒng)��。為了實(shí)現(xiàn)僅許可特定實(shí)體���,需要管理任何認(rèn)證信息。然而, 這種管理一般會(huì)導(dǎo)致復(fù)雜�。尤其是在分布式自主無線LAN系統(tǒng) 中,無線終端有可能移動(dòng)�,因此構(gòu)成網(wǎng)絡(luò)的終端隨時(shí)間而異。 因此沒有必要始終確保用于該管理的通信路徑�����。即���,為了在分 布式自主無線LAN系統(tǒng)中控制認(rèn)證對(duì)象�,需要有效地分散并管 理無線終端的認(rèn)證信息���。發(fā)明內(nèi)容本發(fā)明需要在分布式自主無線LAN系統(tǒng)中控制認(rèn)證對(duì)象���, 從而形成安全的網(wǎng)絡(luò)。根據(jù)本發(fā)明的第一實(shí)施例�,提供一種多個(gè)無線通信裝置以 分布式自主方式形成網(wǎng)絡(luò)的無線通信系統(tǒng)。多個(gè)無線通信裝置 中的每個(gè)包括識(shí)別信息獲取器����,其被配置為從滿足預(yù)定條件 的另 一 無線通信裝置獲取該另 一 通信裝置的識(shí)別信息;識(shí)另J信 息保持器���,其被配置為保持所獲取的另 一 無線通信裝置的識(shí)別 信息���;以及認(rèn)證單元��,其被配置為在另一無線通信裝置的認(rèn)證 中���,如果另 一無線通信裝置的證書中的識(shí)別信息保持在識(shí)別信 息保持器中,則繼續(xù)認(rèn)證����。由此帶來這樣的優(yōu)勢(shì)通過僅對(duì)預(yù) 先獲取了識(shí)別信息的無線通信裝置繼續(xù)進(jìn)行認(rèn)證處理來形成安 全的網(wǎng)纟各。根據(jù)本發(fā)明的第二實(shí)施例����,提供一種多個(gè)無線通信裝置以
分布式自主方式形成網(wǎng)絡(luò)的無線通信系統(tǒng)中的無線通信裝置。該裝置包括識(shí)別信息獲取器���,其被配置為從滿足預(yù)定條件的 另 一 無線通信裝置獲取該另 一 通信裝置的識(shí)別信息���;識(shí)別信,包-保持器,其被配置為保持所獲取的另 一 無線通信裝置的識(shí)別信 息���;以及認(rèn)證單元��,其4皮配置為在另 一無線通信裝置的認(rèn)證中�����, 如果另 一 無線通信裝置的證書中的識(shí)別信息保持在識(shí)別信,包�����、保 持器中����,則繼續(xù)認(rèn)證�����。由此帶來這樣的優(yōu)勢(shì)通過僅對(duì)預(yù)先獲 取了識(shí)別信息的無線通信裝置進(jìn)行繼續(xù)認(rèn)證處理來形成安全的 網(wǎng)絡(luò)�。本發(fā)明還提供一種無線通信裝置的認(rèn)證方法,所述無線通 信裝置包括識(shí)別信息保持器����,所述識(shí)別信息保持器保持由多個(gè) 無線通信裝置以分布式自主方式而形成網(wǎng)絡(luò)的無線通信系統(tǒng)中 的另一無線通信裝置的識(shí)別信息,所述方法包括以下步驟從 滿足預(yù)定條件的另一無線通信裝置獲取所述另一通信裝置的識(shí) 別信息����;將所獲取的所述另一無線通信裝置的識(shí)別信息保持在 所述識(shí)別信息保持器中���;以及在所述另 一無線通信裝置的認(rèn)證 中,如果所述另 一無線通信裝置的證書中的識(shí)別信息保持在所 述識(shí)別信息保持器中���,則繼續(xù)所述認(rèn)證��。本發(fā)明還提供一種在無線通信裝置上運(yùn)行的程序���,所述無 線通信裝置包括識(shí)別信息保持器,所述識(shí)別信息保持器保持由 多個(gè)無線通信裝置以分布式自主方式而形成網(wǎng)絡(luò)的無線通信系 統(tǒng)中的另 一 無線通信裝置的識(shí)另信息�,所述程序使計(jì)算機(jī)執(zhí)行 以下步驟從滿足預(yù)定條件的另 一無線通信裝置獲取所述另一 通信裝置的識(shí)別信息;將所獲取的所述另 一無線通信裝置的識(shí) 別信息保持在所述識(shí)別信息保持器中����;以及在所述另 一 無線通 信裝置的認(rèn)證中,如果所述另 一無線通信裝置的證書中的識(shí)別 信息保持在所述識(shí)別信息保持器中��,則繼續(xù)所述認(rèn)證����。
本發(fā)明的實(shí)施例能夠取得極好的有利效果在分布式自主 無線LAN系統(tǒng)中形成安全的網(wǎng)絡(luò)。
圖l是示出本發(fā)明第一實(shí)施例中的通信裝置的一個(gè)結(jié)構(gòu)例 子的圖�;圖2A和2B是示出在本發(fā)明第一實(shí)施例中使用的公鑰證書 的結(jié)構(gòu)的圖;圖3是示出本發(fā)明第 一 實(shí)施例中的訪問控制列表的 一個(gè)結(jié) 構(gòu)例子的圖�����;圖4A ~ 4C是示出登記本發(fā)明第 一 實(shí)施例中的無線通信系 統(tǒng)的通信裝置的識(shí)別信息的圖;圖5是示出登記本發(fā)明第 一 實(shí)施例中的無線通信系統(tǒng)的通 信裝置的識(shí)別信息的過程例子的圖����;圖6是示出本發(fā)明第 一 實(shí)施例中的IBSS無線LAN系統(tǒng)的通 信裝置之間相互認(rèn)證的過程例子的圖��;圖7是示出本發(fā)明第 一 實(shí)施例中的IBSS無線LAN系統(tǒng)的認(rèn) 證序列的過程例子的圖���;圖8是示出本發(fā)明第 一 實(shí)施例中接收公鑰證書時(shí)的處理過 程例子的圖�����;圖9是示出本發(fā)明第 一 實(shí)施例中的網(wǎng)狀無線LAN系統(tǒng)的通 信裝置之間相互認(rèn)證的過程例子的圖�����;圖IO是示出作為本發(fā)明第 一 實(shí)施例中通信裝置的變形例的 移動(dòng)電話終端的一個(gè)結(jié)構(gòu)例子的圖��;圖11是示出本發(fā)明第 一 實(shí)施例的變形例中的電話簿的 一 個(gè) 結(jié)構(gòu)例子的圖�;圖12是示出本發(fā)明第 一 實(shí)施例的變形例中接收公鑰證書時(shí) 的處理過程例子的圖�����;圖13是示出本發(fā)明的第二實(shí)施例中接收公鑰證書時(shí)的處理 過程例子的圖;以及圖14是示出本發(fā)明的第二實(shí)施例的變形例中接收公鑰證書 時(shí)的處理過程例子的圖���。
具體實(shí)施方式
(l)第一實(shí)施例下面將參照附圖來詳細(xì)說明本發(fā)明第 一 實(shí)施例�����。 圖l是示出本發(fā)明第一實(shí)施例中的通信裝置100的一個(gè)結(jié)構(gòu) 例子的圖���。該通信裝置100包括通信控制器101、無線網(wǎng)絡(luò)接口 102�����、無線通信數(shù)據(jù)保持器103�����、鄰近終端列表104�����、路由表105�、 訪問控制列表107以及同步按鈕109。通信裝置100經(jīng)由無線 ad-hoc(自組織)網(wǎng)絡(luò)190與另 一通信裝置進(jìn)行通信。通信控制器101控制整個(gè)通信裝置100��。通信控制器101還執(zhí) 行與另 一通信裝置的認(rèn)證處理��。無線網(wǎng)絡(luò)接口 102用于與無線ad-hoc網(wǎng)絡(luò)190通信�����。 無線通信數(shù)據(jù)保持器10 3保持用于無線通信的設(shè)置數(shù)據(jù)����。作 為設(shè)置數(shù)據(jù)而保持的是例如用于識(shí)別無線ad-hoc網(wǎng)絡(luò)190的服 務(wù)組標(biāo)識(shí)符(SSID����, Service Set Identifier)、用于健壯(robust)安 全網(wǎng)絡(luò)(RSN, Robust Security Network)的密碼和公鑰證書等安 全設(shè)置數(shù)據(jù)�����、通信裝置100的MAC地址以及通信裝置100的裝置 名等����。鄰近終端列表104包含了在無線ad-hoc網(wǎng)絡(luò)190中存在于通 信裝置100附近的通信裝置(鄰近終端)的列表。通信控制器IOI 接收從其它通信裝置周期性地發(fā)送的信標(biāo)��,從而進(jìn)行控制使得 將最新的狀態(tài)反映在該鄰近終端列表104中����。
路由表105包含了用于到達(dá)無線ad-hoc網(wǎng)絡(luò)190中其它通信 裝置的路由列表�。具體地�����,路由表105保持通信裝置的標(biāo)識(shí)符�����, 其作為最終的發(fā)送目的地��;以及向該發(fā)送目的地傳送幀的通信 裝置的標(biāo)識(shí)符�����。訪問控制列表107包含表示是否能單獨(dú)對(duì)于每個(gè)認(rèn)證對(duì)象 進(jìn)行認(rèn)證的認(rèn)證信息的列表��。通過參照該訪問控制列表107�����,通 信控制器101單獨(dú)地對(duì)認(rèn)證對(duì)象執(zhí)行認(rèn)證的許可或拒絕��。同步按鈕109是用于將認(rèn)證信息添加至訪問控制列表107的 用戶界面。當(dāng)按下該同步按鈕109時(shí)�����,如果類似地還按下了另一 通信裝置的同步按鈕���,則將該另 一通信裝置的認(rèn)證信息添加至 訪問控制列表107�����。圖2A和2B是示出在本實(shí)施例中使用的公鑰證書610的結(jié)構(gòu) 的圖����。如圖2A所示���,公鑰證書610大致分為簽名前證書611、簽 名算法618和簽名619���。簽名前證書611包含序列號(hào)612����、發(fā)行者 鑒別名614��、有效性615、對(duì)象鑒別名616和對(duì)象公鑰617���。序列號(hào)612是公鑰證書的序列號(hào)�����,并由認(rèn)證機(jī)構(gòu)(CA)確定���。信息。發(fā)行者鑒別名614和序列號(hào)612允許公鑰證書被唯一地識(shí) 別�����。有效性615是公鑰證書的有效期限���。對(duì)象鑒別名616是與公 鑰證書的所有者相關(guān)的識(shí)別信息��。對(duì)象公鑰617是在對(duì)象鑒別名 616中表示的所有者的公鑰���。簽名619是針對(duì)公鑰證書由CA所做的簽名,并且簽名算法 618是用于該簽名619的簽名算法��。簽名算法包括兩種算法消 息摘要算法和公鑰加密算法����。消息摘要算法是哈希函數(shù)的一種����, 并且是用于創(chuàng)建簽名前證書611的消息摘要的算法����。消息摘要是 通過將輸入數(shù)據(jù)(簽名前證書611)壓縮成固定長(zhǎng)度的位串而獲 得的,還稱作拇指紋或指紋等����。作為消息摘要算法,已知有SHA—1 (Secure Hash Algorithm 1 , 安全哈希算法1)���、 MD2(Message Digest #2�,消息摘要#2)�、 MD5 (MESSAGE Digest #5,消息摘要#5)等。公鑰加密算法是一種用于通過使用CA的 私鑰對(duì)基于消息摘要算法而獲得的消息摘要進(jìn)行加密的算法��。 作為該公鑰加密算法���,已知有基于質(zhì)數(shù)因數(shù)分解問題的R S A 、 基于離散對(duì)數(shù)問題的DSA等���。簽名619是通過使用CA的私鑰對(duì) 簽名前證書611的消息摘要進(jìn)行加密而形成的���。因此����,通過使用C A的公鑰對(duì)該公鑰證書的簽名619進(jìn)行解 密����,可獲得消息摘要。公鑰證書的用戶通過自己創(chuàng)建簽名前證 書611的消息摘要并將創(chuàng)建的消息摘要與使用CA的公鑰進(jìn)行解 密而形成的消息摘要做比較�����,可以檢驗(yàn)簽名前證書611的內(nèi)容是 否被竄改����。圖2B是示出作為對(duì)象鑒別名616而保持的識(shí)別信息的項(xiàng)目 的圖。在圖2B中���,作為一個(gè)例子��,顯示國(guó)名(C)621���、組織名 (0)622�����、組織的單位名(OU)623����、以及普通名(CN)624�����。國(guó)名621代表所有者的國(guó)籍�����。組織名622代表所有者所屬的 組織的名稱��。組織的單位名623代表所有者所屬的組織內(nèi)的部門 的名稱����。普通名624代表所有者的普通的名稱。例如���,作為普通 名624,可使用通信裝置的裝置名、統(tǒng)一資源定位器(URL, Uniform Resource Locator)地址等��。圖3是示出本實(shí)施例中的訪問控制列表10 7的 一 個(gè)結(jié)構(gòu)例子 的圖。作為訪問控制列表107的各條目的項(xiàng)目���,將識(shí)別信息712 和認(rèn)證可能性713的字段相互關(guān)聯(lián)地保持�����。識(shí)別信息712是保持與該條目對(duì)應(yīng)的裝置的識(shí)別信息的字 段����。在登記時(shí)��,保持對(duì)象的公鑰證書610中所含的對(duì)象鑒別名616 的全部要素或一部分要素����。在該例子中,識(shí)別信息712包含賦予 對(duì)象通信裝置的裝置名��,例如"DSC-T9 002"�。認(rèn)證可能性713是表示與該條目對(duì)應(yīng)的裝置的認(rèn)證是否可 能,或是否應(yīng)拒絕該認(rèn)證的字段�����。盡管在該例子中將認(rèn)證可能性713與識(shí)別信息712關(guān)聯(lián)地保 持��,但訪問控制列表107的結(jié)構(gòu)不限于此。例如�����,可不提供認(rèn)證 可能性713的字段���,而是僅將可能認(rèn)證的通信裝置的裝置名保持 在識(shí)別信息712中����,并且通信控制器101可許可裝置名被保持在 識(shí)別信息712中的通信裝置的所有認(rèn)證��。本實(shí)施例中的處理大致分為第一階段和第二階段�����。在第一 階段中��,通信裝置各自將對(duì)方通信裝置的識(shí)別信息登記在訪問 控制列表中����。在第二階段中,通信裝置通過確認(rèn)公鑰證書的對(duì) 象鑒別名是否與訪問控制列表的條目 一致����,從而相互認(rèn)證��。為了在第一階段中登記識(shí)別信息,可以通過由鍵盤等輸入 裝置直接輸入通信裝置的裝置名等���,來編輯訪問控制列表107���。 可選地,可以不使用這種輸入裝置而指定對(duì)方通信裝置�。可利 用各種方案作為指定對(duì)方通信裝置的方案����,例如帶內(nèi)(In-Band) 方案,其使用作為原通信措施的無線LAN接口 ����;以及帶外 (Out-of-Band)方案,其使用近距離通信(NFC , Near-Field Communication)���、通用串行總線(USB�, Universal Serial Bus)記 憶棒(memory stick)或者有線電纜等其它網(wǎng)絡(luò)接口或外部存儲(chǔ) 器��。以下將對(duì)基于采用同步按鈕的帶內(nèi)方案的實(shí)現(xiàn)例進(jìn)行說明。 以下所述方案與日本特開2004-328093號(hào)公報(bào)所公開的方法類 似��,因此將僅說明其概要����。圖4是示出登記本實(shí)施例中的無線通信系統(tǒng)的通信裝置的 識(shí)別信息的圖。將"DSC-T9—001"提供給通信裝置A 110作為其 裝置名���,并將"DSC-T9—002"提供給通信裝置B 120作為其裝置 名���。此外,將同步按鈕119和129分別提供給通信裝置A IIO以及 B 120�。
對(duì)各通信裝置,從特定的認(rèn)證機(jī)構(gòu)(CA)發(fā)行并提供X.509 格式的公鑰證書����。為了能夠檢驗(yàn)相互的公鑰證書的有效性,通 信裝置還具有發(fā)行公鑰證書的認(rèn)證機(jī)構(gòu)(CA)的服務(wù)器公鑰證 書以及對(duì)該服務(wù)器公鑰證書進(jìn)行密鑰鏈認(rèn)證所需的更高等級(jí)的 i人i正才幾構(gòu)的/〉鑰i正書����。在圖4A的初始狀態(tài)中,在各訪問控制列表117和127中未登 記通信裝置�����。當(dāng)如圖4B所示,當(dāng)通信裝置A IIO和B 120在彼此 相距一定距離內(nèi)的狀態(tài)下按下同步按4丑119和129時(shí)���,如圖4C所 示��,將彼此的裝置名保持在訪問控制列表117和127中���。具體地��, 將通信裝置B 120的裝置名"DSC-T9—002"保持在通信裝置A IIO的訪問控制列表117中��,并將通信裝置A IIO的裝置名 "DSC-T9—00l"保持在通信裝置B 120的訪問控制列表127中��。圖5是示出登記本實(shí)施例中的無線通信系統(tǒng)的通信裝置的 識(shí)別信息過程例子的圖���。在該例子中�����,在從時(shí)刻T1到時(shí)刻T2期 間按下通信裝置A IIO的同步按鈕119����。響應(yīng)該#:作�����,將時(shí)間 T(=T2-Tl)以及通信裝置A IIO的裝置名(="DSC-T9—001 ,���,)發(fā)送 至通信裝置B 120���。通信裝置B 120接收到這些所發(fā)送的信息的 時(shí)刻4皮定義為S3。另一方面�,在從時(shí)刻S1到時(shí)刻S2期間按下通信裝置B 120 的同步按鈕129。響應(yīng)該操作���,將時(shí)間S^S2-Sl)以及通信裝置 B 120的裝置名(一'DSC-T9J)02")發(fā)送至通信裝置A 110�。通信 裝置A 110接收到這些所發(fā)送的信息的時(shí)刻被定義為T3���。如果滿足關(guān)系"IT3-T2| < C2"且"IT-SI < Cl",則通信裝置A IIO許可通信裝置B 120的認(rèn)證(311),并將通信裝置B 120的裝置 名添加至訪問控制列表117(312)����。具體地�,如果從放開同步按 鈕119起預(yù)定期間C2內(nèi),通信裝置A IIO從通信裝置B 120接收到 同步按鈕129的按下的信息�����,且按下期間的差處于預(yù)定長(zhǎng)度C1
以內(nèi),則通信裝置A 110判斷為大致在同 一時(shí)刻按下兩個(gè)同步按 鈕�����。類似地�����,如果滿足關(guān)系"IS3—S2| < C2"且"IT—S| < Cl��,��,�����,則通 信裝置B 120許可通信裝置A 110的認(rèn)證(321),并將通信裝置A 110的裝置名添加至訪問控制列表127(322)�����。盡管在該例子中采用同時(shí)按下按鈕作為登記裝置名的條 件�,但登記條件不限于此��。例如��,通過使用電波強(qiáng)度判斷器, 可以將電波強(qiáng)度判斷器判斷為來自 一個(gè)通信裝置的認(rèn)證請(qǐng)求的 電波強(qiáng)度等于或大于閾值的狀況作為登記條件�����?����?蛇x地����,通過 使用測(cè)量絕對(duì)方向的電子羅盤,可以采用電子羅盤判斷為通信 裝置向著預(yù)定方向(例如����,正對(duì)著對(duì)方通信裝置的狀態(tài))的狀況 作為登記條件。下面將說明本發(fā)明第一實(shí)施例中的第二階段的相互認(rèn)證�����。 該階段中的處理在以往已制定標(biāo)準(zhǔn)的IBSS無線LAN系統(tǒng)和當(dāng) 前在例如IE E E 8 02.11 s中正在進(jìn)行標(biāo)準(zhǔn)化的網(wǎng)狀無線L A N系統(tǒng) 中有部分區(qū)別����。因此將分開地對(duì)在這些網(wǎng)絡(luò)中每個(gè)的處理進(jìn)行 說明。(a) IBSS無線LAN系統(tǒng)中的處理圖6是示出本發(fā)明第 一 實(shí)施例中的IBSS無線LAN系統(tǒng)的通 信裝置之間相互認(rèn)證過程例子的圖���。在IEEE802.11i所定義的 IBSS無線LAN系統(tǒng)中��,當(dāng)由EAP-TLS認(rèn)證來實(shí)現(xiàn)IEEE802.1X的 認(rèn)證處理時(shí)����,在通信裝置之間互換懇求者和認(rèn)證者/認(rèn)證服務(wù)器 兩個(gè)角色以進(jìn)行相互認(rèn)證。具體地��,第一認(rèn)證處理后�,將在第 一認(rèn)證處理中作為認(rèn)證者/認(rèn)證服務(wù)器的通信裝置作為懇求者, 并將在第一認(rèn)證處理中作為懇求者的通信裝置作為認(rèn)證者/認(rèn) 證服務(wù)器���,以這種方式再度執(zhí)行認(rèn)證處理���,使得通信裝置互相 認(rèn)證����。 更具體地,首先通信裝置A IIO作為懇求者而通信裝置B 120作為認(rèn)證者/認(rèn)證H務(wù)器��,以這種方式進(jìn)4亍認(rèn)證序列510����。此 后�����,通信裝置A 110作為認(rèn)證者/認(rèn)證服務(wù)器而通信裝置B 120作 為懇求者�����,以這種方式進(jìn)行i人i正序列530��。圖7是示出本發(fā)明第 一 實(shí)施例中的IBSS無線LAN系統(tǒng)中的 認(rèn)證序列(510)的過程例子的圖��。在該例子中�,如上所述�����,通信 裝置A IIO作為懇求者��,而通信裝置B 120作為認(rèn)證者/認(rèn)證服務(wù) 器�����。最初����,具有認(rèn)證者/認(rèn)證服務(wù)器的角色的通信裝置B 120基 于IEEE802.1X的幀體和EAP協(xié)議���、對(duì)具有懇求者的角色的通信 裝置A IIO請(qǐng)求發(fā)送通信裝置A 110的識(shí)別信息(511)。響應(yīng)該請(qǐng) 求�����,通信裝置A IIO將自身的識(shí)別信息(MyID)返送給通信裝置B 120(512)���。當(dāng)確認(rèn)了通信裝置A IIO的識(shí)別信息時(shí)�,通信裝置B 120基 于TLS將加密協(xié)議的開始通知給通信裝置A 110(513)��。響應(yīng)該通 知�,通信裝置A IIO將TLS"客戶機(jī)問候"(ClientHello)消息發(fā)送至 通信裝置B 120(514)。該"客戶機(jī)問候"消息包含將作為后續(xù)密 鑰交換時(shí)的密鑰種子的28字節(jié)隨機(jī)數(shù)(ClientHello.random)����。當(dāng)確認(rèn)了來自通信裝置A 110的"客戶機(jī)問候"消息時(shí),通信 裝置B 120將TLS"服務(wù)器問候"(ServerHello)消息發(fā)送至通信裝 置A 110 (515)����。該"服務(wù)器問候"消息包含將作為后續(xù)密鑰交換時(shí) 的密鑰種子的28字節(jié)隨機(jī)數(shù)(ServerHello.random)�����。在"服務(wù)器問候"消息后,通信裝置B 120將TLS"服務(wù)器證 書"(ServerCertificate)消息發(fā)送至通信裝置A 110���。該服務(wù)器證 書消息包含通信裝置B 120的公鑰證書�����。在服務(wù)器證書消息后��,通信裝置B 120將TLS服務(wù)器密鑰交 換(ServerKeyExchange)消息發(fā)送至通信裝置A 110 ���。該服務(wù)器密 鑰交換消息將發(fā)送由通信裝置A 110創(chuàng)建預(yù)主密鑰 (premaster—key)所需的力口密信息。在服務(wù)器密鑰交換消息后����,通信裝置B 120將TLS證書請(qǐng)求 (CertificateRequest)消息發(fā)送至通信裝置A 110。該證書請(qǐng)求消 息對(duì)通信裝置A IIO請(qǐng)求發(fā)送公鑰證書���。在證書請(qǐng)求消息后���,通信裝置B 120將"服務(wù)器問候結(jié) 束"(ServerHelloDone)消息發(fā)送至通信裝置A 110。該"服務(wù)器問 候結(jié)束"消息將向通信裝置A 110通知"服務(wù)器問候"消息以及與 其相關(guān)的消息的結(jié)束��。此后,通信裝置A110以及B 120基于如上述交換的隨機(jī)數(shù) 以及預(yù)主密鑰而各自創(chuàng)建主密鑰(521)�����。隨后����,通信裝置A 110將TLS客戶機(jī)證書(ClientCertificate) 消息發(fā)送至通信裝置B 120(516)。該客戶才幾證書消息包含通信 裝置A IIO的公鑰證書���。在客戶機(jī)證書消息后��,通信裝置A IIO將TLS客戶機(jī)密鑰交 換(ClientKeyExchange)消息發(fā)送至通信裝置B 120��。該客戶機(jī)密 鑰交換消息將設(shè)置預(yù)主密鑰���。在客戶機(jī)密鑰交換消息后,通信裝置A IIO將TLS證書檢驗(yàn) (CertificateVerify)消息發(fā)送至通信裝置B 120����。該證書檢驗(yàn)消息 將檢驗(yàn)通信裝置A IIO的公鑰證書。在證書檢驗(yàn)消息后��,通信裝置A IIO將TLS改變密碼規(guī)格 (ChangeCipherSpec)消息發(fā)送至通信裝置B 120��。該改變密碼頭見 格消息將通知通信裝置B 12 0使用新的加密策略以及新的密鑰 來發(fā)送后續(xù)數(shù)據(jù)��。在改變密碼規(guī)格消息后��,通信裝置A IIO將TLS完成 (Finished)消息發(fā)送至通信裝置B 120����。該完成消息將向通信裝 置B 120通知密鑰交換和認(rèn)證處理的成功。
響應(yīng)來自通信裝置A 110的完成消息���,通信裝置B 120將TLS 改變密碼規(guī)格(ChangeCipherSpec)消息發(fā)送至通信裝置A 110(517)���。隨后,通信裝置B 120將TLS完成消息發(fā)送至通信裝 置A 110����。響應(yīng)該發(fā)送,通信裝置A IIO返送EAP協(xié)議的響應(yīng) (518)�。此后,通信裝置A110以及B 120基于如上述交換的隨機(jī)數(shù) 以及主密鑰而各自創(chuàng)建成對(duì)主鑰(PMK�, Pairwise Master Key) (522)。隨后��,將表示EAP協(xié)議的成功的信息從通信裝置B 120 發(fā)送到通信裝置A 110(519),從而結(jié)束EAP-TLS認(rèn)證�。隨后,作為由IEEE802.11 i定義的處理,進(jìn)行四次握手(523)�����。 該四次握手是基于由EAP-TLS認(rèn)證而創(chuàng)建的PMK �����、作為 IEEE802.11i而創(chuàng)建所需的密鑰的處理����。該四次握手是由通信裝 置B 120啟動(dòng)的。圖7的認(rèn)證序列對(duì)應(yīng)于圖6的認(rèn)證序列510�。在圖7的認(rèn)證序 列結(jié)束后,在通信裝置A IIO和通信裝置B 120之間交換角色而 執(zhí)行類似的認(rèn)證序列5 3 0 �����。圖8是示出本發(fā)明第 一 實(shí)施例中的公鑰證書的接收時(shí)的處 理過程例子的圖����。當(dāng)在圖7的認(rèn)證序列中,通信裝置A IIO從通 信裝置B 120經(jīng)由服務(wù)器證書(ServerCertificate)消息而接收公 鑰證書時(shí)(515)�����,或當(dāng)通信裝置B 120從通信裝置A IIO經(jīng)由客戶 機(jī)證書(ClientCertificate)消息而接收公鑰證書時(shí)(516)執(zhí)行該處 理。最初�,通信控制器101從認(rèn)證對(duì)象的公鑰證書獲取對(duì)象鑒別 名616(步驟S911)。如果在訪問控制列表107的識(shí)別信息712中存 在與該對(duì)象鑒別名616—致的條目(步驟S912),則基于認(rèn)證對(duì)象 的認(rèn)證可能性713而判斷認(rèn)證對(duì)象的認(rèn)證是否可能(步驟S913)��。 如果認(rèn)證對(duì)象的認(rèn)證是可能的�����,則繼續(xù)剩余的認(rèn)證序列(步驟S914)��。另 一 方面���,如果在訪問控制列表10 7的識(shí)別信息712中不存 在與對(duì)象鑒別名616—致的條目(步驟S912),或即使條目存在但 認(rèn)證可能性713表明認(rèn)證對(duì)象的認(rèn)證是不可能的(步驟S913),則(b)網(wǎng)狀無線LAN系統(tǒng)中的處理圖9是示出本發(fā)明第 一 實(shí)施例中的網(wǎng)狀無線LAN系統(tǒng)的通 信裝置之間相互認(rèn)證過程例子的圖。在當(dāng)前正進(jìn)行標(biāo)準(zhǔn)化的 IEEE802.11s提出的網(wǎng)狀無線LAN系統(tǒng)中�,當(dāng)由EAP—TLS認(rèn)證方 式來實(shí)現(xiàn)IEEE802.1X的認(rèn)證處理時(shí),該處理基于以下假定在 實(shí)際認(rèn)證處理之前執(zhí)行的掃描階段中��,進(jìn)行與懇求者和認(rèn)證者 的角色有關(guān)的交涉���,因此在認(rèn)證處理前確定角色��。因此����,不需 要像IBSS無線LAN系統(tǒng)那樣互換懇求者和認(rèn)證者/認(rèn)證服務(wù)器 的角色而扭J亍兩次i人i正處理。在圖9的該認(rèn)證序列中��,數(shù)據(jù)的發(fā)送方向與圖7的認(rèn)證序列 的發(fā)送方向相反��。具體地���,具有懇求者的角色的通信裝置AllO 基于IEEE802.1X的幀體和EAP協(xié)議���、對(duì)具有認(rèn)證者/認(rèn)證服務(wù)器 的角色的通信裝置B 120請(qǐng)求發(fā)送通信裝置B 120的識(shí)別信息 (551),從而開始了認(rèn)證序列。在后續(xù)的步驟中���,所有數(shù)據(jù)的發(fā) 送方向也是相反的�����。在這種情況下�����,在(i)作為懇求者的通信裝置A 110和(ii)作 為認(rèn)證者以及認(rèn)證服務(wù)器的通信裝置B 120中���,也都執(zhí)行與上述 圖8的處理類似的處理。在懇求者終端(通信裝置A IIO)中��,在 圖9的步驟555中接收數(shù)據(jù)的時(shí)刻執(zhí)行圖8的處理。在認(rèn)證者/認(rèn) 證服務(wù)器終端(通信裝置B 120)中��,在圖9的步驟556中接收數(shù)據(jù) 的時(shí)刻執(zhí)行圖8的處理�。如上所述,在本發(fā)明第一實(shí)施例中�,各通信裝置將認(rèn)證對(duì) 象的識(shí)別信息保持在其訪問控制列表10 7中,并將所保持的信,包����、 與在相互認(rèn)證時(shí)交換的公鑰證書中的對(duì)象鑒別名做比較���。因此 有可能單獨(dú)地判斷是否對(duì)每通信裝置許可認(rèn)證���。(1-1)第 一 實(shí)施例的變形例下面將說明本發(fā)明第 一 實(shí)施例的變形例。圖IO是示出作為本發(fā)明第 一 實(shí)施例中通信裝置的變形例的 移動(dòng)電話終端200的一個(gè)結(jié)構(gòu)例子的圖�。該移動(dòng)電話終端200包 括通信控制器201 、無線網(wǎng)絡(luò)接口 202�、無線通信數(shù)據(jù)保持器203 、 鄰近終端列表204���、路由表205和電話簿208���。該移動(dòng)電話終端200 經(jīng)由無線ad-hoc網(wǎng)絡(luò)290與另 一通信裝置(移動(dòng)電話終端)進(jìn)行通 信�����。因?yàn)橐苿?dòng)電話終端200包括無線網(wǎng)絡(luò)接口 202,所以其實(shí)現(xiàn) 無線LAN上的語(yǔ)音(VoWLAN, Voice over Wireless LAN)����。具體 地�����,經(jīng)由無線ad-hoc網(wǎng)絡(luò)290�����,移動(dòng)電話終端200能夠連接固定 電話����、IP電話等并可與之通話。此外����,移動(dòng)電話終端200能夠作 為室外普通的移動(dòng)電話而使用。移動(dòng)電話和固定電話之間的這 種結(jié)合^皮稱為固定移動(dòng)融合(FMC����, Fixed Mobile Convergence)���。在該移動(dòng)電話終端200中,通信控制器201��、無線網(wǎng)絡(luò)接口 202���、無線通信數(shù)據(jù)保持器203���、鄰近終端列表204以及路由表205 與圖1的通信裝置100中的相應(yīng)物具有相同的功能。電話簿20 8是用于撥叫電話的電話號(hào)碼的列表��。在該變形例 中�����,不是像圖1的例子那樣明確地預(yù)先將識(shí)別信息登記在訪問控 制列表107中����,而是將電話簿208作為訪問控制列表107而使用�����。 因此���,通過不進(jìn)行識(shí)別信息的明確登記而是利用已積累有電話 號(hào)碼的電話簿�����,簡(jiǎn)化了相互認(rèn)證的準(zhǔn)備�。具體地,將所有者的 電話號(hào)碼保持在公鑰證書的對(duì)象鑒別名616的普通名624中��。從 而有可能從電話簿208中搜索相互認(rèn)證時(shí)交換的公鑰證書所含 的電話號(hào)碼(普通名624)���。為了將對(duì)方的移動(dòng)電話終端的電話號(hào)碼登記在移動(dòng)電話的 電話簿中���,可應(yīng)用普通使用模式。例如�,移動(dòng)電話用戶可以口 頭詢問對(duì)方的電話號(hào)碼并通過撥盤輸入而j呆存。此外���,還有這 樣的方法通過從用戶的移動(dòng)電話終端撥叫到對(duì)方的移動(dòng)電話 終端��,從而將用戶的移動(dòng)電話號(hào)碼登記在對(duì)方的移動(dòng)電話終端 中��。圖11是示出本變形例中的電話簿20 8的 一 個(gè)結(jié)構(gòu)例子的圖���。 作為該電話簿208的各條目的項(xiàng)目�,將姓名821�、電話號(hào)碼822 以及認(rèn)證可能性823的字段相互關(guān)聯(lián)地保持。姓名821代表與該條目對(duì)應(yīng)的人物的姓名�����?�?墒褂眯蘸兔麅?者的組合作為該姓名821����。可選地���,可以使用其中的一個(gè)���?���?蛇x 地,只要能夠指定該人物���,還可使用昵稱��。電話號(hào)碼822代表與該條目對(duì)應(yīng)的人物的電話號(hào)碼��。認(rèn)證可能性8 2 3是表示與該條目對(duì)應(yīng)的人物的認(rèn)證是否可 能����,或是否應(yīng)拒絕該認(rèn)證的字段。進(jìn)行登記以使基本上基于登記在電話簿中的熟人是可信賴 的人的假設(shè)而許可該熟人的認(rèn)證�。然而,對(duì)于不希望許可經(jīng)無 線網(wǎng)絡(luò)接口 202而連接的人物�����,將認(rèn)證可能性823設(shè)為"拒絕認(rèn) 證"�����,從而有可能控制是否許可認(rèn)證�����。在該變形例中��,基于EAP-TLS認(rèn)證的相互認(rèn)證是根據(jù)圖7 或圖9的認(rèn)證序列而進(jìn)行的��。在認(rèn)證序列中,當(dāng)一個(gè)通信裝置從 其它通信裝置經(jīng)由服務(wù)器證書(ServerCertificate)消息而接收公 鑰證書時(shí)�,或當(dāng)一個(gè)通信裝置從其它通信裝置經(jīng)由客戶機(jī)證書 (ClientCertificate)消息而接收公鑰證書時(shí),與圖8的序列類似地 才企查7>鑰證書�。公鑰證書可在移動(dòng)電話終端出貨時(shí)設(shè)置。將該移動(dòng)電話終
端的電話號(hào)碼保持在公鑰證書的對(duì)象鑒別名616的普通名624圖12是示出本變形例中的接收公鑰證書時(shí)的處理過程例子 的圖�。最初,通信控制器2 01從認(rèn)證對(duì)象的7>鑰證書獲取對(duì)象鑒別 名616(步驟S921)���。如果在電話簿208的電話號(hào)碼822中存在與該 對(duì)象鑒別名616所含的電話號(hào)碼(普通名624)—致的條目(步驟5922) ,則基于認(rèn)證對(duì)象的認(rèn)證可能性823而判斷認(rèn)證對(duì)象的認(rèn) 證是否可能(步驟S923)����。如果認(rèn)證對(duì)象的認(rèn)證是可能的�����,則繼 續(xù)剩余的認(rèn)證序列(步驟S924)����。另 一方面,如果在電話簿208的電話號(hào)碼822中不存在與對(duì) 象鑒別名616所含的電話號(hào)碼一致的條目(步驟S922)���,或即使條 目存在但認(rèn)證可能性8 2 3表明認(rèn)證對(duì)象的認(rèn)證是不可能的(步驟5923) ,則基于判斷為認(rèn)證已失敗而終止該認(rèn)證序列(步驟 S925)�。如上所述,在本發(fā)明第一實(shí)施例的變形例中,將在相互認(rèn) 證時(shí)交換的公鑰證書中的對(duì)象鑒別名所含的電話號(hào)碼與移動(dòng)電 話終端的電話簿208所含的電話號(hào)碼做比較�。從而有可能單獨(dú)地 判斷對(duì)各移動(dòng)電話終端是否許可認(rèn)證。(2)第二實(shí)施例下面將說明本發(fā)明的第二實(shí)施例�����。在上述第一實(shí)施例中�,通信裝置A IIO(或通信裝置B 120) 如果發(fā)生以下任一狀況則判斷為認(rèn)證處理失敗,基于該判斷而 終止認(rèn)證序列����。(狀況1):識(shí)別信息原先未被存儲(chǔ)在訪問控制列表10 7中(圖 8的步驟S912中"否")。(狀況2):存儲(chǔ)在訪問控制列表10 7的認(rèn)證可能性713中的狀
態(tài)表明"拒絕認(rèn)證"(圖8的步驟S 913中"否")�。這些狀況是基于訪問控制列表107內(nèi)的信息而發(fā)生的。原 先�,提供該列表107是旨在使用戶僅與被用戶真正選擇作為通信 對(duì)方的實(shí)體進(jìn)行通信,從而防止個(gè)人信息的泄漏等����。因此,當(dāng) 用戶基于用戶自己的判斷而希望與認(rèn)證對(duì)象的通信裝置進(jìn)行通 信時(shí)����,即使用戶不管存儲(chǔ)在訪問控制列表107中的信息而繼續(xù)認(rèn) 證序列,也不會(huì)產(chǎn)生任何問題�。相反�����,在這種情況下強(qiáng)制終止 認(rèn)證序列甚至可能會(huì)降低用戶的便利性���。針對(duì)這一點(diǎn),本實(shí)施例提供附加功能�。具體地,由于該功 能�����,在圖8的處理中����,在強(qiáng)制終止認(rèn)證序列前核實(shí)用戶的意圖。 如果用戶判斷為不必終止序列�,則該功能繼續(xù)認(rèn)證序列。然而���,如果采用這種方案�,則有可能由于例如用戶未注意 到信息提示等原因而在等待用戶選擇期間EAP-TLS超時(shí)���。因 此����,希望預(yù)先實(shí)施在發(fā)生這種狀況時(shí)的解決方案����。作為具體的 解決方案,可使用任意方案�。例如,可以在發(fā)生超時(shí)時(shí)強(qiáng)制終 止認(rèn)證序列����。以下將對(duì)這樣的例子進(jìn)行說明在超時(shí)時(shí)再試圖7 所示的認(rèn)證序列,并再次核實(shí)用戶的意圖�����。圖13示出了為了實(shí)現(xiàn)上述功能����,由根據(jù)本實(shí)施例的通信裝 置的通信控制器101執(zhí)行的接收公鑰證書時(shí)的處理過程例子。該處理是(a)在IBSS無線LAN系統(tǒng)的情況下圖7的認(rèn)證序列 的步驟515或516或(b)在網(wǎng)狀無線LAN系統(tǒng)的情況下圖9的認(rèn)證 序列的步驟555或556而執(zhí)行的�。在圖13中,與上述圖8中相同的 步驟被標(biāo)以相同的步驟標(biāo)號(hào)�。在圖13的處理中,通信控制器101最初執(zhí)行步驟S911的處 理�。如果在訪問控制列表107的識(shí)別信息712中存在與從認(rèn)證對(duì) 象的公鑰證書而獲取的對(duì)象者鑒別名616—致的條目(步驟S912 中"是")�����,且如果認(rèn)證可能性713表明該認(rèn)證對(duì)象的認(rèn)證是可能
的(步驟S913中"是")�,則繼續(xù)剩余的認(rèn)證序列(步驟S914)��。相反��,如果發(fā)生上述狀況1或2(即�,步驟S912或S913中做出 判定"否"),則通信控制器101輸出用于使用戶選擇是否繼續(xù)認(rèn) 證序列的信息(步驟S9110)����。可使用任意方法作為顯示該信息的 方法���。例如����,對(duì)象通信終端的信息可以與"認(rèn)證失敗����。您繼續(xù)認(rèn) 證嗎?"等文本一起而顯示在顯示單元(未示出)上?��?蛇x地��,也 可以從揚(yáng)聲器(未示出)輸出聲音�?���?蛇x地�,可以通過點(diǎn)亮發(fā)光 二極管等來顯示該信息。在該信息顯示后的預(yù)定時(shí)間���,通信控制器101處在等待用戶 輸入的狀態(tài)中(步驟S9120中"否�����,�,以及步驟S9130中"否�,,)���。當(dāng) EAP-TLS超時(shí)時(shí)����,在步驟S9130中判斷為"是"。結(jié)果�����,通信控 制器101終止認(rèn)證序列����,然后執(zhí)行處理以從頭開始再試圖7的認(rèn) 證序列(步驟S9140),隨后處理結(jié)束。另一方面�����,如果用戶根據(jù)該信息顯示而進(jìn)行了輸入操作��, 則通信控制器101在步驟S9120中做出判斷為"是"���,然后判斷該 輸入操作是否為許可認(rèn)證(步驟S9150)����。如果用戶輸入表明不許 可認(rèn)證�,則通信控制器101在步驟S9150中判斷為"否",隨后處 理結(jié)束��。相反,如果用戶進(jìn)行了旨在表明許可認(rèn)證處理的輸入 操作(步驟S9150中"是")���,則通信控制器101將表示"許可認(rèn)證" 的信息(例如�����,標(biāo)識(shí))存儲(chǔ)在與通信對(duì)象對(duì)應(yīng)的訪問控制列表10 7 的認(rèn)證可能性字段713中(步驟S9160),然后將處理前進(jìn)至步驟 S914��。結(jié)果���,在系統(tǒng)內(nèi)繼續(xù)認(rèn)證序列����。這種請(qǐng)求用戶判斷的方案不僅適用于圖8的處理,也同樣適 用于類似上述圖12的處理���。圖14示出了當(dāng)將請(qǐng)求用戶判斷的方 法適用于圖12的處理時(shí)的處理例子�����。在圖14中����,與圖12中相同 的步驟被標(biāo)以相同的標(biāo)號(hào)。如圖14所示�����,在該處理例子中�����,如果在步驟S922或S923中
做出判斷"否"���,則通信控制器201與圖13的步驟S9110類似地向 用戶顯示用于核實(shí)用戶的意圖的信息(步驟S9210)�。隨后���,在預(yù) 定的時(shí)間內(nèi)����,通信控制器201等待用戶輸入(步驟S9220中"否" 以及步驟S9230中"否")�。當(dāng)EAP-TLS超時(shí)時(shí),在步驟S9230中判 斷為"是"����。結(jié)果,通信控制器201終止認(rèn)證序列����,然后執(zhí)行處理 以再試認(rèn)證序列(步驟S9240),隨后處理結(jié)束�。相反�,如果用戶進(jìn)行了輸入操作,則通信控制器201在步驟 S9220中做出判斷為"是"���,然后執(zhí)行步驟S9250的處理�����。如果用 戶進(jìn)行了旨在終止認(rèn)證的輸入操作(步驟S9250中"否")�,則通信 控制器201結(jié)束認(rèn)證序列��。相反����,如果用戶進(jìn)行了旨在許可認(rèn)證 的輸入操作(步驟S9250中"是")�����,則通信控制器201將表示"許可 認(rèn)證"的信息(例如��,標(biāo)識(shí))存儲(chǔ)在與通信對(duì)象對(duì)應(yīng)的電話簿2 0 8 的認(rèn)證可能性字段713中(步驟S9260)��,然后將處理前進(jìn)至步驟 S924。結(jié)果���,在系統(tǒng)內(nèi)繼續(xù)認(rèn)證序列�。如上所述�����,在本發(fā)明的第二實(shí)施例中���,即使當(dāng)存儲(chǔ)在通信 裝置內(nèi)的訪問控制列表或電話簿內(nèi)的信息表明不需要繼續(xù)認(rèn)證 處理時(shí)�,也有可能基于用戶的意圖而繼續(xù)認(rèn)證處理�����。因此能夠 實(shí)現(xiàn)更加用戶友好的i人證處理�。本發(fā)明的第 一 和第二實(shí)施例僅僅是用于實(shí)施本發(fā)明的例有對(duì)應(yīng)關(guān)系。然而�,本發(fā)明不限于這些要素,可進(jìn)行各種變形 而不脫離本發(fā)明的精神和范圍����。具體地,在權(quán)利要求1和2中�,識(shí)別信息獲取器對(duì)應(yīng)于例如 無線網(wǎng)絡(luò)接口 102或202����。此外�����,識(shí)別信息保持器對(duì)應(yīng)于例如訪 問控制列表107或電話簿208�����。另外�,認(rèn)證單元對(duì)應(yīng)于例如通信 控制器101或201。在權(quán)利要求3中�����,認(rèn)證可能性信息對(duì)應(yīng)于例如認(rèn)證可能性713或823��。在權(quán)利要求5中����,7>鑰證書對(duì)應(yīng)于例如乂.509才各式的7>鑰證 書610��。在權(quán)利要求6中���,保持在識(shí)別信息保持器中的電話號(hào)碼對(duì)應(yīng) 于例如電話號(hào)碼822�����。在權(quán)利要求7和8中���,獲取識(shí)別信息的步驟對(duì)應(yīng)于例如過程 311或321����。此外���,保持識(shí)別信息的步驟對(duì)應(yīng)于例如過程312或 322�����。另外�,繼續(xù)認(rèn)證的步驟對(duì)應(yīng)于例如步驟S911至S915或步 驟S921至S925�。在本發(fā)明的第一和第二實(shí)施例中說明的處理過程可作為包 含該一系列過程的方法。此外���,該處理過程也可作為用于使計(jì) 算機(jī)執(zhí)行這 一 系列過程的程序或存儲(chǔ)該程序的記錄介質(zhì)���。應(yīng)當(dāng)理解��,本發(fā)明不限于上述實(shí)施例�����,而是還涵蓋了落入 所附權(quán)利要求書的精神和范圍內(nèi)的變化��。本發(fā)明包含與2006年9月14日向日本專利局提交的日本JP 2006-250131號(hào)專利申請(qǐng)和2007年7月30日向日本專利局提交 的日本JP 2007-196837號(hào)專利申請(qǐng)相關(guān)的主題��,其全部?jī)?nèi)容通 過引用而包含于此�。
權(quán)利要求
1. 一種無線通信系統(tǒng)���,其中多個(gè)無線通信裝置以分布式自主方式而形成網(wǎng)絡(luò)�����,所述多個(gè)無線通信裝置中的每一個(gè)包括 識(shí)別信息獲取器�����,其被配置為從滿足預(yù)定條件的另 一無線通信裝置獲取所述另 一 通信裝置的識(shí)別信息��;識(shí)別信息保持器,其被配置為保持所獲取的所述另 一無線通信裝置的識(shí)別信息�����;以及認(rèn)證單元,其被配置為在所述另 一無線通信裝置的認(rèn)證中��,如果所述另 一 無線通信裝置的證書中的識(shí)別信息保持在所述識(shí)別信息保持器中��,則繼續(xù)所述認(rèn)證����。
2. —種無線通信系統(tǒng)中的無線通信裝置,在所述無線通信 系統(tǒng)中�����,多個(gè)無線通信裝置以分布式自主方式而形成網(wǎng)絡(luò)�����,所 述裝置包括識(shí)別信息獲取器��,其被配置為從滿足預(yù)定條件的另 一 無線 通信裝置獲取所述另 一 通信裝置的識(shí)別信息����;識(shí)別信息保持器,其被配置為保持所獲取的所述另 一 無線 通信裝置的識(shí)別信息;以及認(rèn)證單元���,其被配置為在所述另 一無線通信裝置的認(rèn)證中�����, 如果所述另 一 無線通信裝置的證書中的識(shí)別信息保持在所述識(shí) 別信息保持器中����,則繼續(xù)所述認(rèn)證��。
3. 根據(jù)權(quán)利要求2所述的無線通信裝置���,其特征在于�����,所述識(shí)別信息保持器將與所述另 一 無線通信裝置的認(rèn)證可 能性相關(guān)的信息保持為認(rèn)證可能性信息����,從而將所述認(rèn)證可能 性信息與所獲取的所述另 一 無線通信裝置的識(shí)別信息關(guān)聯(lián)���,以 及在所述另一無線通信裝置的認(rèn)證中��,如果所述另一無線通 信裝置的證書中的識(shí)別信息與保持在所述識(shí)別信息保持器中的 識(shí)別信息 一 致�����,且所述認(rèn)證可能性信息表示所述認(rèn)證是可能的�����,則所述認(rèn)證單元繼續(xù)所述認(rèn)證�����。
4. 根據(jù)權(quán)利要求3所述的無線通信裝置�����,其特征在于�, 在對(duì)用戶顯示了用于提示用戶判斷是否許可繼續(xù)所述認(rèn)證的信息后����,如果用戶做出了指示所述認(rèn)證單元繼續(xù)所述認(rèn)證的 輸入,則即使所述認(rèn)證可能性信息表示不許可所述認(rèn)證���,所述 認(rèn)證單元也繼續(xù)所述認(rèn)證�����,而與是否滿足所述條件無關(guān)�。
5. 根據(jù)權(quán)利要求2所述的無線通信裝置,其特征在于��, 所述另 一無線通信裝置的證書是所述另一無線通信裝置的公鑰證書�,所述證書中的識(shí)別信息是所述/>鑰證書的所有者的 識(shí)別信息。
6. 根據(jù)權(quán)利要求2所述的無線通信裝置��,其特征在于�, 保持在所述識(shí)別信息保持器中的所述另 一通信裝置的識(shí)別信息包括所述另 一通信裝置的電話號(hào)碼,所述證書中的識(shí)別信 息包括所述另 一通信裝置的電話號(hào)碼�。
7. —種無線通信裝置的認(rèn)證方法,所述無線通信裝置包括 識(shí)別信息保持器��,所述識(shí)別信息保持器保持由多個(gè)無線通信裝 置以分布式自主方式而形成網(wǎng)絡(luò)的無線通信系統(tǒng)中的另一無線 通信裝置的識(shí)別信息��,所述方法包括以下步驟從滿足預(yù)定條件的另 一無線通信裝置獲取所述另 一通信裝 置的識(shí)別信息���;將所獲取的所述另一無線通信裝置的識(shí)別信息保持在所述 識(shí)別信息保持器中�;以及在所述另一無線通信裝置的認(rèn)證中�����,如果所述另一無線通 信裝置的證書中的識(shí)別信息保持在所述識(shí)別信息保持器中,則 繼續(xù)所述il證�。
8. —種在無線通信裝置上運(yùn)行的程序,所述無線通信裝置 包括識(shí)別信息保持器�,所述識(shí)別信息保持器保持由多個(gè)無線通 信裝置以分布式自主方式而形成網(wǎng)絡(luò)的無線通信系統(tǒng)中的另一無線通信裝置的識(shí)別信息,所述程序使計(jì)算機(jī)執(zhí)行以下步驟從滿足預(yù)定條件的另 一無線通信裝置獲取所述另一通信裝 置的識(shí)別信息�;將所獲取的所述另 一 無線通信裝置的識(shí)別信息保持在所述 識(shí)別信息保持器中;以及在所述另一無線通信裝置的認(rèn)證中��,如果所述另一無線通 信裝置的證書中的識(shí)別信息保持在所述識(shí)別信息保持器中�����,則 繼續(xù)所述i人i正�����。
全文摘要
本發(fā)明提供一種無線通信系統(tǒng)��、無線通信裝置及其認(rèn)證方法�����、以及程序�����。在無線通信系統(tǒng)中����,多個(gè)無線通信裝置以分布式自主方式而形成網(wǎng)絡(luò)。該多個(gè)無線通信裝置中的每個(gè)包括識(shí)別信息獲取器����,其從滿足預(yù)定條件的另一無線通信裝置獲取該另一通信裝置的識(shí)別信息;識(shí)別信息保持器����,其保持所獲取的另一無線通信裝置的識(shí)別信息;以及認(rèn)證單元��,其在另一無線通信裝置的認(rèn)證中�,如果另一無線通信裝置的證書中的識(shí)別信息保持在識(shí)別信息保持器中,則繼續(xù)認(rèn)證�。
文檔編號(hào)H04L29/08GK101146126SQ200710151508
公開日2008年3月19日 申請(qǐng)日期2007年9月14日 優(yōu)先權(quán)日2006年9月14日
發(fā)明者鈴木英之 申請(qǐng)人:索尼株式會(huì)社