无线通信系统、终端及其状态报告方法转让专利
申请号 : CN200610109779.6
文献号 : CN1913435B
文献日 : 2010-09-01
发明人 : 铃木英之
申请人 : 索尼株式会社
摘要 :
提供一种无线通信系统、终端及其状态报告方法。在无线通信系统中通过属性证书赋予对网络的访问权限时,进行考虑了组的网络的识别。比其他无线终端后转换到登记动作状态的无线终端的登记处理部(110)发送登记请求。先转换到登记动作状态的无线终端成为发行终端,该登记处理部(110)通过接受登记请求,发行必要的属性证书。在属性证书中除了发行终端的终端标识符之外,还表示由简档标识符计数器(120)管理的简档标识符。通过由发行终端的终端标识符(网络标识符)及简档标识符构成的组标识符,进行网络的识别。赋予对网络的参加权限的属性证书的发行终端的终端标识符及简档标识符保持在动作组标识符保持部(130)中。
权利要求 :
1.一种无线通信系统,由多个终端通过至少1个无线网络连接而构成,其特征在于,所述多个终端各自使用由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符以识别自身连接的无线网络,其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;
并且,所述多个终端各自生成并发送包含所述动作组标识符的报告信号,而每个所述发行终端基于接收到的所述报告信号,在与所述多个终端之间进行对无线网络的登记处理。
2.一种终端,其特征在于,具备:
动作组标识符保持单元,其将由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符保持,以识别自身连接的无线网络,其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;
报告信号生成单元,其生成包含所述动作组标识符的报告信号;以及报告信号发送单元,其发送所述报告信号;
其中,每个所述发行终端基于接收到的所述报告信号,在与所述终端之间进行对无线网络的登记处理。
3.根据权利要求2所述的终端,其特征在于,还具备:报告信号接收单元,其接收来自其他终端的所述报告信号;以及登记处理单元,其在接收到的所述报告信号表示所述其他终端处于登记动作状态的情况下,当从所述其他终端接受登记到无线网络的请求时,确认所述其他终端的位置,如果在规定范围内则发行必要的属性证书,将所述其他终端登记到所述无线网络。
4.根据权利要求2所述的终端,其特征在于,还具备:报告信号接收单元,其接收来自其他终端的所述报告信号;以及登记处理单元,其在接收到的所述报告信号表示所述其他终端处于登记动作状态的情况下,确认所述其他终端的位置,如果在规定范围内,则向所述其他终端发送登记到无线网络的请求。
5.根据权利要求4所述的终端,其特征在于,
所述登记请求包含表示是否对自身发行属性证书的信息。
6.根据权利要求2所述的终端,其特征在于,还具备:操作受理单元,其接受应该从无线网络脱离的指示的操作;以及复位单元,其在接受所述操作时,将所述动作组标识符保持单元中保持的动作组标识符进行复位。
7.根据权利要求6所述的终端,其特征在于,
所述操作受理单元由按压按钮构成。
8.根据权利要求6所述的终端,其特征在于,还具备:标识符管理单元,其管理所述简档标识符;以及
登记处理单元,在从其他终端请求属性证书的发行时自身的动作组标识符通过所述复位单元被复位的情况下,根据使用由所述标识符管理单元管理的所述简档标识符的新的组标识符,发行属性证书。
9.根据权利要求8所述的终端,其特征在于,
所述标识符管理单元具备计数器,该计数器每当生成新的组标识符时,对所述简档标识符依次进行计数。
10.一种终端的状态报告方法,其特征在于,具备:保持过程,将由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符保持,以识别自身连接的无线网络,其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;
生成过程,生成包含所述动作组标识符的报告信号;以及发送过程,发送所述报告信号;
其中,每个所述发行终端基于接收到的所述报告信号,在与所述终端之间进行对无线网络的登记处理。
说明书 :
技术领域
本发明涉及一种无线通信系统,尤其涉及使用属性证书来认证对无线网络的访问权限的无线通信系统、该系统中的终端及其状态报告方法以及使计算机执行该方法的程序。
背景技术
由于电子仪器的小型化、高性能化的发展,已能够简单地进行移动使用,因此,希望在有必要时当场将终端连接到网络、并可进行通信的环境。作为其一例,使用利用了无线通信的无线通信系统。
在无线通信系统中,为了防止对某网络资源没有连接权限的终端访问该网络资源,进行利用属性证书(AC:AttributeCertificate(属性证书))的权限管理。该属性证书在2000年3月由X.509版本3重新定义,2002年4月作为标准化过程的规范文档(Standard Track RFC(Request For Comments:请求注释):标准型RFC),总结了包含在属性证书中的数据字段内容的定义。通过将属性证书作为对网络资源的访问许可证来使用,能够确认连接网络资源的权限,只允许有连接资格的终端进行连接。
在无线通信系统中使用属性证书时,以往提出了一种如下的无线通信系统:将属性证书发行终端的终端标识符作为无线通信系统中的网络的网络标识符来处理,认证时在确认了网络标识符一致之后,使用属性证书进行相互认证(例如,参照专利文献1。)。
专利文献1:日本特开2004-274193号公报(图1)
在无线通信系统中,为了防止对某网络资源没有连接权限的终端访问该网络资源,进行利用属性证书(AC:AttributeCertificate(属性证书))的权限管理。该属性证书在2000年3月由X.509版本3重新定义,2002年4月作为标准化过程的规范文档(Standard Track RFC(Request For Comments:请求注释):标准型RFC),总结了包含在属性证书中的数据字段内容的定义。通过将属性证书作为对网络资源的访问许可证来使用,能够确认连接网络资源的权限,只允许有连接资格的终端进行连接。
在无线通信系统中使用属性证书时,以往提出了一种如下的无线通信系统:将属性证书发行终端的终端标识符作为无线通信系统中的网络的网络标识符来处理,认证时在确认了网络标识符一致之后,使用属性证书进行相互认证(例如,参照专利文献1。)。
专利文献1:日本特开2004-274193号公报(图1)
发明内容
在上述现有技术中,将属性证书发行终端的终端标识符作为网络标识符来处理。因此,在某属性证书发行终端发行了多个属性证书的情况下,接受该属性证书的终端会连接到相同的网络上。
但是,在无线通信系统中可以定义多个网络,存在需要从一个属性证书发行终端向各不相同的网络发行属性证书的情况。另外,由于前提是连接在相同的网络上的终端彼此互相有信任关系,因此当允许直接连接到相同的网络上时,信任环可能会无限连接。例如,在外出目的地要将数字静态照相机这样的便携设备临时连接到其他网络上时,如果允许根据与平时连接的网络同样的权限来连接,对于两者的网络有安全上的问题。
因此,本发明的目的在于,在无线通信系统中利用属性证书赋予对网络的访问权限时,进行考虑了组的(Group-aware)网络的识别。
本发明是为了解决上述课题而完成的,其第1侧面是一种无线通信系统,由多个终端通过至少1个无线网络连接而构成,其特征在于,所述多个终端各自使用由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符以识别自身连接的无线网络。其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;并且,所述多个终端各自生成并发送包含所述动作组标识符的报告信号,而每个所述发行终端基于接收到的所述报告信号,在与所述多个终端之间进行对无线网络的登记处理。由此,在连接到无线网络上时,通过组标识符进行具有权限的无线网络的识别。
另外,本发明的第2侧面是一种终端,其特征在于,具备:动作组标识符保持单元,其将由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符保持,以识别自身连接的无线网络;报告信号生成单元,其生成包含所述动作组标识符的报告信号;以及报告信号发送单元,其发送所述报告信号。其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;并且,每个所述发行终端基于接收到的所述报告信号,在与所述终端之间进行对无线网络的登记处理。由此,带来如下作用:根据包含在报告信号中的动作组标识符,进行具有权限的无线网络的识别。
另外,在该第2侧面中,还可以具备:报告信号接收单元,其接收来自其他终端的所述报告信号;以及登记处理单元,其在接收到的所述报告信号表示所述其他终端处于登记动作状态的情况下,当从所述其他终端接受登记到无线网络的请求时,确认所述其他终端的位置,如果在规定范围内则发行必要的属性证书,将所述其他终端登记到所述无线网络。由此,带来如下作用:对登记请求进行应答,发行属性证书。
另外,在该第2侧面中,还可以具备:报告信号接收单元,其接收来自其他终端的所述报告信号;以及登记处理单元,其在接收到的所述报告信号表示所述其他终端处于登记动作状态的情况下,确认所述其他终端的位置,如果在规定范围内,则向所述其他终端发送登记到无线网络的请求。由此,带来如下作用:在其他终端先转换到登记动作状态的情况下,对该其他终端发送登记请求。另外,此时,上述登记请求也可以包含表示是否对自身发行属性证书的信息。
即,登记处理单元在其他终端先转换到登记动作状态的情况下,确认该其他终端的位置,如果在规定范围内则向该其他终端发送对无线网络的登记请求,在从比自身后转换到登记动作状态的其他终端接受对无线网络的登记请求的情况下,确认该其他终端的位置,如果在规定范围内则发行必要的属性证书,将该其他终端登记到上述无线网络。
另外,在该第2侧面中,还可以具备:操作受理单元,其接受应该从无线网络脱离的指示操作;以及复位单元,其在接受所述操作时,将所述动作组标识符保持单元中保持的动作组标识符进行复位。由此,带来如下作用:可以使用户容易地操作从无线网络的脱离。另外,此时,上述操作受理单元可以由按压按钮构成。
进而,在该第2侧面中,还可以具备:标识符管理单元,其管理所述简档标识符;以及登记处理单元,在从其他终端请求属性证书的发行时自身的动作组标识符通过所述复位单元被复位的情况下,根据使用由所述标识符管理单元管理的所述简档标识符的新的组标识符,发行属性证书。由此,带来如下作用:使用户容易地操作从无线网络的脱离,进行新的组标识符的生成。在此,所述标识符管理单元可以具备计数器,该计数器每当生成新的组标识符时,对所述简档标识符依次进行计数。
另外,本发明的第3侧面是一种终端的状态报告方法或使计算机执行如下过程的程序,其特征在于,具备:保持过程,将由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符保持,以识别自身连接的无线网络;生成过程,生成包含所述动作组标识符的报告信号;以及发送过程,发送所述报告信号。其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;并且,每个所述发行终端基于接收到的所述报告信号,在与所述终端之间进行对无线网络的登记处理。由此,根据包含在报告信号中的动作组标识符,进行具有权限的无线网络的识别。
根据本发明,可以得到如下的良好的效果,即,在无线通信系统中,通过属性证书赋予对网络的访问权限时,可以进行考虑了组的网络的识别。
但是,在无线通信系统中可以定义多个网络,存在需要从一个属性证书发行终端向各不相同的网络发行属性证书的情况。另外,由于前提是连接在相同的网络上的终端彼此互相有信任关系,因此当允许直接连接到相同的网络上时,信任环可能会无限连接。例如,在外出目的地要将数字静态照相机这样的便携设备临时连接到其他网络上时,如果允许根据与平时连接的网络同样的权限来连接,对于两者的网络有安全上的问题。
因此,本发明的目的在于,在无线通信系统中利用属性证书赋予对网络的访问权限时,进行考虑了组的(Group-aware)网络的识别。
本发明是为了解决上述课题而完成的,其第1侧面是一种无线通信系统,由多个终端通过至少1个无线网络连接而构成,其特征在于,所述多个终端各自使用由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符以识别自身连接的无线网络。其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;并且,所述多个终端各自生成并发送包含所述动作组标识符的报告信号,而每个所述发行终端基于接收到的所述报告信号,在与所述多个终端之间进行对无线网络的登记处理。由此,在连接到无线网络上时,通过组标识符进行具有权限的无线网络的识别。
另外,本发明的第2侧面是一种终端,其特征在于,具备:动作组标识符保持单元,其将由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符保持,以识别自身连接的无线网络;报告信号生成单元,其生成包含所述动作组标识符的报告信号;以及报告信号发送单元,其发送所述报告信号。其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;并且,每个所述发行终端基于接收到的所述报告信号,在与所述终端之间进行对无线网络的登记处理。由此,带来如下作用:根据包含在报告信号中的动作组标识符,进行具有权限的无线网络的识别。
另外,在该第2侧面中,还可以具备:报告信号接收单元,其接收来自其他终端的所述报告信号;以及登记处理单元,其在接收到的所述报告信号表示所述其他终端处于登记动作状态的情况下,当从所述其他终端接受登记到无线网络的请求时,确认所述其他终端的位置,如果在规定范围内则发行必要的属性证书,将所述其他终端登记到所述无线网络。由此,带来如下作用:对登记请求进行应答,发行属性证书。
另外,在该第2侧面中,还可以具备:报告信号接收单元,其接收来自其他终端的所述报告信号;以及登记处理单元,其在接收到的所述报告信号表示所述其他终端处于登记动作状态的情况下,确认所述其他终端的位置,如果在规定范围内,则向所述其他终端发送登记到无线网络的请求。由此,带来如下作用:在其他终端先转换到登记动作状态的情况下,对该其他终端发送登记请求。另外,此时,上述登记请求也可以包含表示是否对自身发行属性证书的信息。
即,登记处理单元在其他终端先转换到登记动作状态的情况下,确认该其他终端的位置,如果在规定范围内则向该其他终端发送对无线网络的登记请求,在从比自身后转换到登记动作状态的其他终端接受对无线网络的登记请求的情况下,确认该其他终端的位置,如果在规定范围内则发行必要的属性证书,将该其他终端登记到上述无线网络。
另外,在该第2侧面中,还可以具备:操作受理单元,其接受应该从无线网络脱离的指示操作;以及复位单元,其在接受所述操作时,将所述动作组标识符保持单元中保持的动作组标识符进行复位。由此,带来如下作用:可以使用户容易地操作从无线网络的脱离。另外,此时,上述操作受理单元可以由按压按钮构成。
进而,在该第2侧面中,还可以具备:标识符管理单元,其管理所述简档标识符;以及登记处理单元,在从其他终端请求属性证书的发行时自身的动作组标识符通过所述复位单元被复位的情况下,根据使用由所述标识符管理单元管理的所述简档标识符的新的组标识符,发行属性证书。由此,带来如下作用:使用户容易地操作从无线网络的脱离,进行新的组标识符的生成。在此,所述标识符管理单元可以具备计数器,该计数器每当生成新的组标识符时,对所述简档标识符依次进行计数。
另外,本发明的第3侧面是一种终端的状态报告方法或使计算机执行如下过程的程序,其特征在于,具备:保持过程,将由属性证书的发行终端的终端标识符和按每个所述发行终端管理的简档标识符构成的组标识符,作为自身的动作组标识符保持,以识别自身连接的无线网络;生成过程,生成包含所述动作组标识符的报告信号;以及发送过程,发送所述报告信号。其中,每个所述发行终端的所述简档标识符,在每当该发行终端利用新的组标识符进行属性证书的发行时被更新;并且,每个所述发行终端基于接收到的所述报告信号,在与所述终端之间进行对无线网络的登记处理。由此,根据包含在报告信号中的动作组标识符,进行具有权限的无线网络的识别。
根据本发明,可以得到如下的良好的效果,即,在无线通信系统中,通过属性证书赋予对网络的访问权限时,可以进行考虑了组的网络的识别。
附图说明
图1是表示本发明的实施方式中的无线通信系统的各无线终端的连接关系的一例的图。
图2是表示本发明的实施方式中的无线终端100的功能结构的一例的图。
图3是表示本发明的实施方式中的信标430的帧结构例的图。
图4是表示本发明的实施方式中的邻近终端列表500的结构例的图。
图5是表示本发明的实施方式中的属性证书发行终端列表600的结构例的图。
图6是表示本发明的实施方式中的属性证书发行终端列表600中保持的公开密钥证书410的结构例的图。
图7是表示本发明的实施方式中的属性证书列表700的结构例的图。
图8是表示本发明的实施方式中的属性证书列表700中保持的属性证书420的结构例的图。
图9是表示本发明的实施方式中的登记处理中使用的登记请求440的结构例的图。
图10是表示本发明的实施方式中的登记处理中使用的登记应答450的结构例的图。
图11是表示本发明的实施方式中的整体处理过程的图。
图12是表示本发明的实施方式中的登记前处理的处理过程的流程图。
图13是表示本发明的实施方式中的登记处理的处理过程的流程图。
图14是表示本发明的实施方式中的属性证书发行处理的处理过程的流程图。
图15是表示本发明的实施方式中的验证处理的处理过程的流程图。
图16是表示本发明的实施方式中的无线通信系统的无线终端A(11)至E(15)的初始状态例的图。
图17是表示本发明的实施方式中的无线通信系统的无线终端A(11)及无线终端B(12)从初始状态到进行相互认证为止的顺序图。
图18是表示本发明的实施方式中的无线终端A(11)至E(15)的第2状态例的图。
图19是表示本发明的实施方式中的无线终端A(11)至E(15)的第3状态例的图。
图20是表示本发明的实施方式中的无线通信系统的无线终端B(12)及无线终端C(13)从第3状态到进行相互认证为止的顺序图。
图21是表示本发明的实施方式中的无线终端A(11)至E(15)的第4状态例的图。
附图标记说明
100:无线终端;110:登记处理部;120:简档标识符计数器;130:动作组标识符保持部;140:操作受理部;150:中间模式转换部;160:信标生成部;170:通信部;190:相互认证部;410:公开密钥证书;420:属性证书;430:信标;440:登记请求;450:登记应答;500:邻近终端列表;600:属性证书发行终端列表;700:属性证书列表。
图2是表示本发明的实施方式中的无线终端100的功能结构的一例的图。
图3是表示本发明的实施方式中的信标430的帧结构例的图。
图4是表示本发明的实施方式中的邻近终端列表500的结构例的图。
图5是表示本发明的实施方式中的属性证书发行终端列表600的结构例的图。
图6是表示本发明的实施方式中的属性证书发行终端列表600中保持的公开密钥证书410的结构例的图。
图7是表示本发明的实施方式中的属性证书列表700的结构例的图。
图8是表示本发明的实施方式中的属性证书列表700中保持的属性证书420的结构例的图。
图9是表示本发明的实施方式中的登记处理中使用的登记请求440的结构例的图。
图10是表示本发明的实施方式中的登记处理中使用的登记应答450的结构例的图。
图11是表示本发明的实施方式中的整体处理过程的图。
图12是表示本发明的实施方式中的登记前处理的处理过程的流程图。
图13是表示本发明的实施方式中的登记处理的处理过程的流程图。
图14是表示本发明的实施方式中的属性证书发行处理的处理过程的流程图。
图15是表示本发明的实施方式中的验证处理的处理过程的流程图。
图16是表示本发明的实施方式中的无线通信系统的无线终端A(11)至E(15)的初始状态例的图。
图17是表示本发明的实施方式中的无线通信系统的无线终端A(11)及无线终端B(12)从初始状态到进行相互认证为止的顺序图。
图18是表示本发明的实施方式中的无线终端A(11)至E(15)的第2状态例的图。
图19是表示本发明的实施方式中的无线终端A(11)至E(15)的第3状态例的图。
图20是表示本发明的实施方式中的无线通信系统的无线终端B(12)及无线终端C(13)从第3状态到进行相互认证为止的顺序图。
图21是表示本发明的实施方式中的无线终端A(11)至E(15)的第4状态例的图。
附图标记说明
100:无线终端;110:登记处理部;120:简档标识符计数器;130:动作组标识符保持部;140:操作受理部;150:中间模式转换部;160:信标生成部;170:通信部;190:相互认证部;410:公开密钥证书;420:属性证书;430:信标;440:登记请求;450:登记应答;500:邻近终端列表;600:属性证书发行终端列表;700:属性证书列表。
具体实施方式
下面参照附图详细说明本发明的实施方式。
图1是表示本发明的实施方式中的无线通信系统的各无线终端的连接关系的一例的图。在图1的(a)中,无线终端A(11)、C(13)及D(14)这3个形成一个网络,无线终端B(12)及E(15)这2个形成另一个网络。在该状态下无线终端A(11)和无线终端B(12)相连接的情况下,无线终端A(11)至E(15)都属于一个网络。
另一方面,在图1的(b)中,无线终端A(11)、C(13)及D(14)这3个形成网络,无线终端B(12)与无线终端E(15)之间的连接相对独立,成为与任何网络都没有连接的状态。在该状态下要连接无线终端A(11)和无线终端B(12)时,无线终端B(12)通过在与无线终端E(15)之间形成的网络不同的网络,与无线终端A(11)连接。由此,无线终端A(11)至D(14)属于一个网络。
进而,在图1的(c)中,无线终端A(11)与由C(13)及D(14)形成的网络相对独立,成为与任何网络都没有连接的状态。在该状态下无线终端A(11)和无线终端B(12)被连接的情况下,无线终端A(11)及B(12)这2个形成新的网络。
在本发明的实施方式中,使用户选择在要连接的2个无线终端之间想形成怎样的网络。即,如果想要使无线终端A(11)至E(15)全部属于一个网络,只要在图1的(a)的状态下进行登记处理即可,另外,如果想要从无线终端E(15)断开无线终端B(12),使无线终端A(11)至D(14)属于一个网络,只要在转换到图1的(b)的状态后进行登记处理即可。另外,如果想要用无线终端A(11)及B(12)这2个形成新的网络,只要在转换到图1(c)的状态后进行登记处理即可。
如图1的(b)中的无线终端B(12)、图1的(c)中的无线终端A(11)及B(12)那样用粗线标记的无线终端成为叫做中间模式的状态,与其他任何无线终端都没有形成网络。关于该中间模式在后面叙述。
图2是表示本发明的实施方式中的无线终端100的功能结构的一例的图。在此,无线终端100具备如下单元而构成:登记处理部110;简档标识符计数器120;动作组标识符保持部130;操作受理部140;中间模式转换部150;信标生成部160;通信部170;相互认证部190;邻近终端列表500;属性证书发行终端列表600;属性证书列表700。
登记处理部110在与其他无线终端之间进行对无线网络的登记处理。在本发明的实施方式中,作为无线终端的状态,设置用于进行通常动作的通常状态和用于进行对无线网络的登记处理的登记动作状态这2个状态。并且,假设在2个无线终端之中先成为登记动作状态的无线终端具有作为发行属性证书的发行终端(Authority)的作用,后成为登记动作状态的无线终端具有作为进行登记请求的请求终端(Requestor)的作用。进行该情况下的登记请求的处理、发行属性证书进行登记应答的处理都由登记处理部110进行。
简档标识符计数器120管理无线终端100作为发行终端进行动作时的简档标识符,例如,可以作为32位的计数器来实现。在以往的无线通信系统中,将属性证书的发行终端的终端标识符作为网络标识符使用,认证时在确认了网络标识符一致之后进行相互认证,但是在本发明的实施方式中,通过进一步设置简档标识符,利用组合了两者的组标识符进行网络(网络组)的识别。简档标识符计数器120在每当利用新的组标识符进行属性证书的发行时,更新简档标识符。此外,终端标识符只要可识别无线终端即可,例如,可以使用MAC(Media Access Control:介质存取控制)地址。
动作组标识符保持部130保持作为无线终端100正在动作的组标识符在信标中表示的组标识符。另外,信标生成部160根据动作组标识符保持部130中保持的组标识符生成信标。如图3所示,信标430包含正在动作的组标识符即动作组标识符433。该动作组标识符433由网络标识符434及简档标识符435构成。通过使信标包含该动作组标识符433,可以使其他无线终端得知该无线终端正在动作的组标识符。
操作受理部140接受来自用户的操作输入。作为该操作受理部140,可以设想:登记按钮,用于使无线终端100转换到登记动作状态;中间按钮,用于使无线终端100转换到中间模式。另外,也可以准备1个操作按钮,在被按下1次的情况下作为登记按钮发挥功能,在持续按下的情况下作为中间按钮发挥功能。
中间模式转换部150根据来自操作受理部140的指示,使无线终端100转换到登记动作状态。具体地说,关于动作组标识符保持部130中保持的网络标识符及简档标识符,将网络标识符设定为无线终端100自身的终端标识符,将简档标识符设定为“0”。
相互认证部190使用属性证书,在与其他无线终端之间进行相互认证处理。该相互认证是相互认证从对方的无线终端发送过来的属性证书是否可以信任。属性证书由其发行终端署名,可以利用发行终端的公开密钥对该署名进行解码,获取消息摘要,由此确认是否有篡改。
通信部170在与其他无线终端之间进行无线通信。例如,向其他无线终端发送由信标生成部160生成的信标,另外,从其他无线终端接收信标。另外,通信部170在与其他无线终端之间进行登记处理部110中的登记处理所需的通信。另外,在与其他无线终端之间进行相互认证部190中的相互认证处理所需的通信。
邻近终端列表500是包含存在于无线终端100邻近的其他无线终端的一览的列表。属性证书发行终端列表600是包含与向无线终端100发行了属性证书的发行终端相关的信息的列表。另外,属性证书列表700是包含无线终端100持有的属性证书的一览的列表。关于这些列表的详细在后面叙述。
图3是表示本发明的实施方式中的信标430的帧结构例的图。信标430由通信部170定期地发送,包括发送终端标识符431、接收终端标识符432、动作组标识符433、动作模式436。
发送终端标识符431表示发送终端的终端标识符。另外,接收终端标识符432表示接收终端的终端标识符。信标的情况下,该接收终端标识符432使用广播地址。
动作组标识符433表示发送终端的动作组标识符保持部130中保持的组标识符。该动作组标识符433由网络标识符434及简档标识符435构成,将网络作为网络组进行识别。
动作模式436表示发送终端的动作状态,例如,包括登记动作状态437。接收了信标430的其他无线终端通过参照该登记动作状态437,可以识别该发送终端的状态是“是登记动作状态”还是“不是登记动作状态”。
图4是表示本发明的实施方式中的邻近终端列表500的结构例的图。该邻近终端列表500是根据从其他无线终端接收到的信标、将与邻近终端相关的信息保持到各项中的列表,保持索引501、终端标识符502、动作组标识符503、登记动作状态506。
索引501是赋予项的序号。终端标识符502表示邻近终端的终端标识符。动作组标识符503表示邻近终端的组标识符。另外,登记动作状态506表示作为邻近终端的状态是否处于登记动作状态。该邻近终端列表500在每当通信部170从其他无线终端接收信标时被更新,为了登记处理部110中的登记处理而被参照。
图5是表示本发明的实施方式中的属性证书发行终端列表600的结构例的图。该属性证书发行终端列表600是将与属性证书的发行终端相关的信息保持到各项的列表,保持索引601、发行终端组标识符602、发行终端公开密钥证书605、认证时组标识符606。
索引601是赋予项的序号。发行终端组标识符602表示发行终端的组标识符。由该发行终端组标识符602表示的发行终端作为“可以信任(Trustworthy)”来处理。
发行终端公开密钥证书605保持发行终端的公开密钥证书(PKC:Public Key Certificate)。认证时组标识符606保持向无线终端100中的属性证书发行终端列表600追加发行终端时的无线终端100的组标识符。由该认证时组标识符606表示的无线终端是在追加发行终端时信任的无线终端。
该属性证书发行终端列表600在相互认证部190中的认证时,为了获取发行终端的组标识符、公开密钥而使用。另外,通过设置认证时组标识符606,即使在从一个发行终端发行了多个属性证书的情况下,也能够检索合适的属性证书。
图6是表示本发明的实施方式中的属性证书发行终端列表600中保持的公开密钥证书410的结构例的图。该公开密钥证书410大体上由署名前证书411、署名算法418、以及署名419构成。署名前证书411包括:序列号412;发行终端标识符414;有效期限415;持有终端标识符416;持有终端公开密钥417。
序列号412是公开密钥证书的序列号,由公开密钥证书的发行终端进行编号。发行终端标识符414是公开密钥证书的发行终端的终端标识符。通过该发行终端标识符414和序列号412,唯一地识别公开密钥证书。有效期限415是公开密钥证书的有效期限。持有终端标识符416是公开密钥证书的持有终端的终端标识符。在此,持有终端是指接受公开密钥证书的发行的无线终端,该持有终端的公开密钥保持在持有终端公开密钥417中。
署名419是公开密钥证书的发行终端的署名,署名算法418是为了该署名419而使用的署名算法。署名算法由消息摘要算法和公开密钥加密算法这2个构成。消息摘要算法是散列函数(摘要函数)之一,是用于制作署名前证书411的消息摘要的算法。在此,消息摘要是指将输入数据(署名前证书411)压缩为固定长的位串,也称为手印或指纹(Fingerprint)等。作为消息摘要算法,已知SHA-1(Secure Hash Algorithm(安全散列算法)1)、MD2(Message Digest(消息算法)#2)、MD 5(Message Digest(消息算法)#5)等。公开密钥密码算法是用于通过公开密钥证书的发行终端的秘密密钥对由消息摘要算法得到的消息摘要进行加密的算法。作为该公开密钥加密算法,已知有基于素因数分解问题的RSA、基于离散对数问题的DSA等。这样,通过公开密钥证书的发行终端的秘密密钥对署名前证书411的消息摘要进行加密,成为署名419。
因此,通过用公开密钥证书的发行终端的公开密钥对该公开密钥证书的署名419进行解码,得到消息摘要。公开密钥证书的使用者由自身制作署名前证书411的消息摘要,将其与由公开密钥证书的发行终端的公开密钥解码的消息摘要进行比较,由此可以验证署名前证书411的内容没有被篡改。
图7是表示本发明的实施方式中的属性证书列表700的结构例的图。该属性证书列表700是将对该无线终端100发行的属性证书保持到各项的列表,保持索引701、发行终端组标识符702、属性证书705。
索引701是赋予项的序号。发行终端组标识符702表示属性证书的发行终端的组标识符。属性证书705保持从发行终端向无线终端100发行的属性证书。该属性证书列表700中包含的属性证书705表示对无线终端100自身的网络组的访问权限。
在本发明实施方式中的无线通信系统中,虽然允许在一个网络组内存在多个属性证书发行终端,但是为了在该情况下也参加到网络组,只要从某一个属性证书发行终端接收属性证书的发行即可。在参加多个不同的网络组,从各自的组中的属性证书发行终端接收属性证书发行的情况下,属性证书列表700中将存在多个项。
图8是表示本发明的实施方式中的属性证书列表700中保持的属性证书420的结构例的图。该属性证书420大体上由属性证明信息421、署名算法428、署名429构成。属性证明信息421包括:发行终端标识符424;持有终端标识符426;简档标识符423;序列号422;有效期限425。
发行终端标识符424表示属性证书的发行终端的终端标识符。持有终端标识符426表示属性证书的持有终端的终端标识符。简档标识符423表示属性证书的发行终端的简档标识符。序列号422是属性证书的序列号,由属性证书的发行终端进行编号。根据该序列号422和发行终端标识符424唯一地识别属性证书。另外,有效期限425是属性证书的有效期限。
署名429是属性证书的发行终端的署名,署名算法428是为了该署名429而使用的署名算法。关于署名算法的内容,与上述的公开密钥证书的署名算法418相同,利用属性证书的发行终端的秘密密钥对属性证明信息421的消息摘要进行加密,成为署名429。
因此,通过利用属性证书的发行终端的公开密钥对该属性证书的署名429进行解码,得到消息摘要。属性证书的使用者由自身制作属性证明信息421的消息摘要,将其与利用属性证书的发行终端的公开密钥进行解码的消息摘要进行比较,由此可以验证属性证明信息421的内容没有被篡改。
图9是表示本发明的实施方式中的登记处理中使用的登记请求440的结构例的图。该登记请求440从请求终端发送到发行终端,包括发送终端标识符441、接收终端标识符442、发行终端组标识符443、动作模式446、发行终端公开密钥证书448。
发送终端标识符441是登记请求440的发送终端(请求终端)的终端标识符。接收终端标识符442是登记请求440的接收终端(发行终端)的终端标识符。发行终端组标识符443表示无线终端100已经信任的发行终端的组标识符。该发行终端组标识符443由网络标识符444及简档标识符445构成。该发行终端组标识符443是任意项目,也可以在相应的发行终端不存在的情况下设置为无效的状态。
动作模式446表示无线终端100的动作状态,例如,包括是否发行属性证书447。接收到登记请求440的发行终端通过参照该是否发行属性证书447,可以识别是否应该发行属性证书。
发行终端公开密钥证书448保持发行终端组标识符443中表示的发行终端的公开密钥证书。该发行终端公开密钥证书448也是任意项目,也可以在不存在相应的发行终端的情况下,不包含公开密钥证书。
图10是表示本发明的实施方式中的登记处理中使用的登记应答450的结构例的图。该登记应答450是从发行终端返给请求终端的应答,包括发送终端标识符451、接收终端标识符452、发行终端组标识符453、发行终端公开密钥证书458、属性证书459。
发送终端标识符451是登记应答450的发送终端(发行终端)的终端标识符。接收终端标识符452是登记应答450的接收终端(请求终端)的终端标识符。发行终端组标识符453表示这次新登记到属性证书发行终端列表600中的发行终端的组标识符。该发行终端组标识符453由网络标识符454及简档标识符455构成。
发行终端公开密钥证书458保持发行终端组标识符453中表示的发行终端的公开密钥证书。属性证书459保持这次发行的属性证书。
在此,实际包含在登记请求440(图9)及登记应答450(图10)中的内容,如下所述,根据无线终端之间的连接状态(图1的(a)至(c)),各不相同。
如图1的(a)所示,无线终端A(11)及无线终端B(12)分别形成各自的网络的情况下,通过登记处理,无线终端A(11)及无线终端B(12)被包含在一个相同的网络组中。因为两终端已经保持用于参加网络组的属性证书,所以为了防止冗余的属性证书增加而不进行属性证书的发行,只进行属性证书发行终端列表600的项的更换。请求终端从自身的属性证书发行终端列表600中选择具有与当前使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,使登记请求440包含。如果请求终端的位置在规定范围内,则接收到登记请求440的发行终端将登记请求440中包含的属性证书发行终端列表600的项追加到自身的属性证书发行终端列表600。之后,发行终端在自身的属性证书发行终端列表600中选择具有与当前正在使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,保存到登记应答450进行发送。接收到登记应答450的请求终端将其中包含的发行终端的属性证书发行终端列表600的项加入自身的属性证书发行终端列表600的项。
在图1的(b)中,作为发行终端的无线终端B(12)以中间模式运行的情况下,作为请求终端的无线终端A(11)由于已经保持属性证书,所以从请求终端的属性证书发行终端列表600中选择具有与当前正在使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,包含到登记请求440进行发送。发行终端接收登记请求440时,为了避免冗余,只对自身发行在该网络组中使用的属性证书。之后,将自身加入属性证书发行终端列表600。在该情况下,在发行终端组标识符602中设定新的组标识符(自身的终端标识符及新分配的简档标识符),在发行终端公开密钥证书605中保存自身的公开密钥证书。并且,在认证时组标识符606中设定该新的组标识符。在登记应答450中包含这次新追加的属性证书发行终端列表600的项的发行终端组标识符602和发行终端公开密钥证书605。接收到登记应答450的请求终端将该属性证书发行终端列表600的项中的认证时组标识符606作为当前使用的(在动作组标识符保持部130中保持的)组标识符进行保存。
在图1的(b)中,作为请求终端的无线终端B(12)以中间模式运行情况下,在登记请求中不保存属性证书发行终端列表600而进行发送。接收到登记请求的发行终端,如果请求终端的位置在规定范围以内则发行属性证书,保存到登记应答。进而,发行终端在自身的属性证书发行终端列表600中选择具有与当前正在使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,保存到登记应答进行发送。接收到登记应答的请求终端取出属性证书,追加到自身的属性证书发行终端列表600,并且,还将登记应答中包含的发行终端公开密钥证书605追加到属性证书发行终端列表600。该情况下,在发行终端组标识符602及认证时组标识符606中设定发行终端的组标识符。进而,将该登记应答中包含的属性证书发行终端列表600的项加入自身的属性证书发行终端列表600的项。
在图1的(c)中,无线终端A(11)及无线终端B(12)都不具有用于构筑网络组的属性证书。在登记请求中不包含属性证书发行终端列表而进行发送。在登记应答中包含由发行终端发行的属性证书和发行终端的公开密钥证书。接收到登记应答的请求终端将登记应答中包含的发行终端的公开密钥证书追加到属性证书发行终端列表600。该情况下,在发行终端组标识符602及认证时组标识符606中设定发行终端的组标识符。
下面参照附图说明本发明的实施方式中的无线终端100的动作。
图11是表示本发明的实施方式中的整体处理过程的图。动作组标识符保持部130中保持的组标识符在信标生成时被参照(步骤S901),将该组标识符作为动作组标识符433包含的信标被定期地发送给其他无线终端(步骤S902)。
关于各无线终端,预先进行判断是否转换到中间模式的登记前处理(步骤S910)。在来自其他无线终端的信标中作为动作模式436包含有登记动作状态437,根据其内容进行包含属性证书的发行的登记处理(步骤S920)。通过该登记处理,动作组标识符保持部130中保持的组标识符适当被更新。之后,在满足一定的条件的情况下,进行使用属性证书的相互认证(步骤S990)。
图12是表示本发明的实施方式中的登记前处理的处理过程的流程图。首先,关于要进行登记处理的2个无线终端,如果双方当前已经形成了网络组(步骤S911“是”),则通过由此进行的登记处理判断是否应该合并双方的网络组(步骤S912)。
用户如果合并双方的网络组,则在此什么都不做而直接按下登记按钮进到登记处理。如果没有合并,用户按下与形成了想要保留的网络组的终端不同的终端的中间按钮(步骤S913)。由此,与形成了想要保留的网络组的终端不同的终端的状态转换到中间模式(步骤S914)。之后,当按下登记按钮时进到登记处理。
在要执行登记处理的2个无线终端之中哪个都没有形成网络组的情况下(步骤S915“否”),或在其中一个当前已经形成网络组,要参加该网络组的情况下(步骤S916“是”),在此什么都不做而直接按下登记按钮,进到登记处理。
与此相对,尽管要执行登记处理的2个无线终端之中任一个当前已经形成网络组,但不参加该网络组的情况下(步骤S916“否”),用户按下形成该网络组的无线终端的中间按钮(步骤S917)。由此,形成该网络组的无线终端的状态转换到中间模式(步骤S918)。此时,另一个无线终端已经转换到中间模式,因此,结果双方的无线终端成为中间模式的状态。之后,按下登记按钮时,进到登记处理。
图13是表示本发明的实施方式中的登记处理的处理过程的流程图。首先,无线终端100转换到登记动作状态时,如果在从邻近终端接收到的信标中已经存在表示登记动作状态的内容(步骤S921“是”),则无线终端100之后转换到登记动作状态,因此,该无线终端100具有作为请求终端的作用。此外,在判断邻近终端是否转换到登记动作状态时,既可以参照邻近终端列表500的登记动作状态506,另外,也可以直接参照信标430的登记动作状态437。
此时,无线终端100判断先转换到登记动作状态的无线终端是否位于规定范围内(步骤S922)。在该判断时,既可以通过在与成为对象的无线终端之间实际进行通信等来测定距离,判断该距离是否在规定范围内,另外,也可以使用有定向性的信号来确定位置关系,判断该位置是否在规定范围内。在规定范围内的情况下,无线终端100向先转换到登记动作状态的无线终端发送登记请求(步骤S923)。
并且,在超时期间内接收到对该登记请求的登记应答的情况下(步骤S924“是”),与登记应答中包含的属性证书、属性证书发行终端相关的信息被分别设定到属性证书列表700及属性证书发行终端列表600(步骤S925)。与此相伴,登记处理部110根据该登记应答中包含的属性证书,更新动作组标识符保持部130。由此,信标中包含的动作组标识符被变更(步骤S926)。
另一方面,无线终端100转换到登记动作状态时,如果在从邻近终端接收到的信标中没有表示登记动作状态的内容(步骤S921“否”),由于无线终端100先转换到登记动作状态,因此,该无线终端100具有作为发行终端的作用。但是,条件是在超时之前出现转换到登记动作状态的无线终端(请求终端)(步骤S931“是”),并且在超时之前从请求终端接收登记请求(步骤S932“是”)。
当满足该条件时,无线终端100判断后转换到登记动作状态的无线终端是否在规定范围内(步骤S933)。该判断的方法与步骤S922的情况相同。在规定范围内的情况下,无线终端100进行属性证书发行处理(步骤S934)。与此相伴,与发行的属性证书、属性证书发行终端相关的信息被分别设定到属性证书列表700及属性证书发行终端列表600(步骤S935)。另外,在登记请求中包含与属性证书发行终端相关的信息的情况下,该信息也被设定到属性证书发行终端列表600。之后,登记应答发送给请求终端(步骤S936)。
图14是表示本发明的实施方式中的属性证书发行处理的处理过程的流程图。如果无线终端100自身不是中间模式的状态(步骤S941“否”),并且从无线终端100发送的信标430中的网络标识符434与无线终端100自身的终端标识符一致(步骤S942“是”),则发行属性证书420,其中,该属性证书420是将信标430中的简档标识符435设定为简档标识符423(步骤S943)。
另一方面,在无线终端100自身处于中间模式的状态的情况下(步骤S941“是”),或者虽然不是中间模式的状态,但从无线终端100发送的信标430中的网络标识符434与无线终端100自身的终端标识符不一致的情况下(步骤S942“否”),简档标识符计数器120的值例如被加1(步骤S944),发行将该进行加法计算等后的简档标识符计数器120的值设定为简档标识符423的属性证书420(步骤S945)。
在登记请求440的是否发行属性证书447表示不要发行的意思的情况下,不进行对请求终端的属性证书的发行。但是,即使是这种情况,也进行对无线终端100自身的属性证书的发行。
图15是表示本发明的实施方式中的验证处理的处理过程的流程图。无线终端100在从邻近终端接收信标时(步骤S991),将该信标中包含的动作组标识符433作为检索关键字,检索属性证书发行终端列表600的发行终端组标识符602(步骤S992)。
其结果,如果检索到的项的认证时组标识符606与动作组标识符保持部130中保持的组标识符一致(步骤S993至994“是”),则相互认证部190从属性证书列表700获取与该认证时组标识符606相应的属性证书705,进行相互认证(步骤S995)。
另一方面,在属性证书发行终端列表600中没有检索到相应的项的情况下(步骤S993“否”),或者检索到的项的认证时组标识符606与动作组标识符保持部130中保持的组标识符不一致的情况下(步骤S994“否”),相互认证部190对该邻近终端不试行相互认证(步骤S996)。
下面参照附图说明本发明的实施方式中的无线通信系统的动作例。
图16是表示本发明的实施方式中的无线通信系统的无线终端A(11)至E(15)的初始状态例的图。在该初始状态中,无线终端A(11)至E(15)还没有形成网络组。属性证书发行终端列表610至640分别表示无线终端A(11)至D(14)的属性证书发行终端列表600。
另外,在以后的例中,例如,在无线终端A(11)的属性证书发行终端列表610中,假设左栏表示属性证书发行终端列表600的发行终端组标识符602,中栏表示属性证书发行终端列表600的发行终端公开密钥证书605的持有终端标识符416,右栏表示属性证书发行终端列表600的认证时组标识符606。在图16的初始状态中,可以知道无线终端A(11)至D(14)不具有用于构筑网络组的属性证书。
图17是表示本发明的实施方式中的无线通信系统的无线终端A(11)及无线终端B(12)从初始状态到进行相互认证为止的顺序图。在图16说明的初始状态中,无线终端A(11)及无线终端B(12)定期地发送信标(821、812),并相互接收(811、822)。此时,无线终端B(12)作为网络标识符434设定无线终端B(12)的终端标识符,作为简档标识符435设定“0”,作为登记动作状态437设定“是登记动作状态”。另一方面,无线终端A(11)作为网络标识符434设定无线终端A(11)的终端标识符,作为简档标识符435设定“0”,作为登记动作状态437设定“是登记动作状态”。
无线终端A(11)由于识别为后转换到登记动作状态,因此,具有作为请求终端的作用。因此,在检查无线终端B(12)的位置(813),确认在规定范围内之后发送登记请求(814)。在该登记请求中作为是否发行属性证书447表示“要发行”的意思。
此外,在此,设想即使在远程的无线终端E(15)同时进入到登记动作状态,也通过位置检查选择无线终端B(12)。这种判断既可以根据距离进行,另外,也可以通过有定向性的红外线等确定。在以后的位置检查中也相同。
接收到登记请求(823)的无线终端B(12)在检查无线终端A(11)的位置(824),确认在规定范围内之后,对无线终端A(11)发行属性证书(825)。在该属性证书中,作为发行终端标识符424设定无线终端B(12)的终端标识符,作为持有终端标识符426设定无线终端A(11)的终端标识符,作为简档标识符423设定新生成的“1”。
另外,无线终端B(12)对无线终端B(12)自身也发行属性证书。在该属性证书中,作为发行终端标识符424及持有终端标识符426设定无线终端B(12)的终端标识符,作为简档标识符423设定“1”。其结果,在属性证书列表720的属性证书705中,保持新发行的属性证书,作为发行终端组标识符702设定无线终端B(12)自身的终端标识符,作为简档标识符设定“1”。
另外,无线终端B(12)将自身的公开密钥证书追加到属性证书发行终端列表620。此时,在发行终端组标识符602及认证时组标识符606中,作为网络标识符设定无线终端B(12)自身的终端标识符,作为简档标识符设定“1”。
而且,无线终端B(12)发送登记应答(826)。该登记应答中,作为网络标识符454设定无线终端B(12)的终端标识符,作为简档标识符455设定“1”,作为发行终端公开密钥证书458保持无线终端B(12)的公开密钥证书,作为属性证书459保持无线终端B(12)对无线终端A(11)发行的属性证书。
接收到登记应答(815)的无线终端A(11)将登记应答中包含的属性证书追加到属性证书列表710,将无线终端B(12)的公开密钥证书追加到属性证书发行终端列表610中(816)。此时,关于追加项的发行终端组标识符702、发行终端组标识符602及认证时组标识符606各自,作为网络标识符设定无线终端B(12)的终端标识符,作为简档标识符设定属性证书的简档标识符423中表示的“1”。
之后,无线终端A(11)及无线终端B(12)发送信标(827、818),并相互接收(817、828),由此,掌握相互的动作组标识符433,进行相互认证(819、829)。
图18是表示本发明的实施方式中的图17的处理进行后的无线终端A(11)至E(15)的第2状态例的图。通过图17的处理,在无线终端A(11)的属性证书发行终端列表610中,作为新的发行终端追加了与无线终端B(12)相关的信息。另外,在无线终端A(11)的属性证书列表710中,追加有无线终端B(12)对无线终端A(11)发行的属性证书。
另一方面,在无线终端B(12)的属性证书发行终端列表620中,作为新的发行终端追加有与无线终端B(12)自身相关的信息。另外,在无线终端B(12)的属性证书列表720中,追加有无线终端B(12)对无线终端B(12)自身发行的属性证书。
此外,在以后的例中,例如,在无线终端A(11)的属性证书列表710中,左栏表示属性证书列表700的发行终端组标识符702,右栏表示属性证书列表700的属性证书705。
图19是表示本发明的实施方式中的无线终端A(11)至E(15)的第3状态例的图。该第3状态示出了由图18的第2的状态进行了无线终端C(13)及无线终端D(14)的相互认证的情况下的状态。该情况下的处理与由图17说明的无线终端A(11)及无线终端B(12)的相互认证为止的处理相同,所以,在此省略说明。
在该第3状态中,在无线终端C(13)的属性证书发行终端列表630中,作为新的发行终端追加有与无线终端D(14)相关的信息。另外,在无线终端C(13)的属性证书列表730中,追加有无线终端D(14)对无线终端C(13)发行的属性证书。
另一方面,在无线终端D(14)的属性证书发行终端列表640中,作为新的发行终端追加有与无线终端D(14)自身相关的信息。另外,在无线终端D(14)的属性证书列表740中,追加有无线终端D(14)对无线终端D(14)自身发行的属性证书。
图20是表示本发明的实施方式中的无线通信系统的无线终端B(12)及无线终端C(13)从第3状态到进行相互认证为止的顺序图。在图19中说明的第3状态中,当按下无线终端B(12)的中间按钮时,无线终端B(12)转换到中间模式(830)。
之后,无线终端B(12)及无线终端C(13)定期地发送信标(831、842),并相互接收(841、832)。此时,无线终端B(12)作为网络标识符434设定无线终端B(12)的终端标识符,作为简档标识符435设定“0”,作为登记动作状态437设定“是登记动作状态”的意思。另一方面,无线终端C(13)作为网络标识符434设定无线终端D(14)的终端标识符,作为简档标识符435设定“1”,作为登记动作状态437设定“是登记动作状态”的意思。
无线终端C(13)由于识别为后转换到登记动作状态,所以具有作为请求终端的作用。因此,在检查无线终端B(12)的位置(843),确认了在规定范围内之后,发送登记请求(844)。在该登记请求中,作为网络标识符444设定无线终端D(14)的终端标识符,作为简档标识符445设定“1”,作为发行终端公开密钥证书448保持无线终端D(14)的公开密钥证书。另外,无线终端C(13)已经保持用于在该网络组进行相互认证的属性证书,所以在是否发行属性证书447中,表示“不要发行”的意思。
接收到登记请求(833)的无线终端B(12)检查无线终端C(13)的位置(834),以确认在规定范围内。在此,在登记请求的是否发行属性证书447中表示了“不要发行”的意思,所以无线终端B(12)只对无线终端B(12)自身发行在该网络组中使用的属性证书(835)。在该属性证书中,作为发行终端标识符424及持有终端标识符426设定无线终端B(12)的终端标识符,作为简档标识符423设定新生成的“2”。其结果,在属性证书列表720的属性证书705中保持新发行的属性证书,作为发行终端组标识符702设定无线终端B(12)自身的终端标识符,作为简档标识符设定“2”。
另外,无线终端B(12)将自身的公开密钥证书追加到属性证书发行终端列表620。此时,在发行终端组标识符602及认证时组标识符606中,作为网络标识符设定无线终端B(12)自身的终端标识符,作为简档标识符设定“2”。进而,无线终端B(12)将登记请求中包含的发行终端组标识符443及发行终端公开密钥证书448追加到属性证书发行终端列表620。此时,在认证时组标识符606中,作为网络标识符设定无线终端B(12)自身的终端标识符,作为简档标识符设定“2”。
然后,无线终端B(12)发送登记应答(836)。在该登记应答中,作为网络标识符454设定无线终端B(12)的终端标识符,作为简档标识符455设定“2”,作为发行终端公开密钥证书458保持无线终端B(12)的公开密钥证书,但是在属性证书459中什么都不保持。
接收到登记应答(845)的无线终端C(13)将登记应答中包含的无线终端B(12)的公开密钥证书追加到属性证书发行终端列表630中(846)。此时,在追加项的发行终端组标识符602中,作为网络标识符设定无线终端B(12)的终端标识符,作为简档标识符设定属性证书的简档标识符423中表示的“2”。另外,在认证时组标识符606中设定当前使用的(在动作组标识符保持部130中保持的)组标识符。即,作为网络标识符设定无线终端D(14)的终端标识符,作为简档标识符设定“1”。
之后,无线终端B(12)及无线终端C(13)发送信标(837、848),并相互接收(847、838),掌握相互的动作组标识符433,进行相互认证(839、849)。由于无线终端B(12)成为新的属性证书发行终端,所以相互认证之后,无线终端B(12)向整个网络组广播无线终端B(12)自身的公开密钥证书及无线终端B(12)成为发行终端时的组标识符。作为该组标识符,网络标识符是无线终端B(12)的终端标识符,简档标识符成为“2”。接收到该广播的无线终端D(14)将该公开密钥证书及组标识符追加到属性证书发行终端列表640。此时,在认证时组标识符606中,设定当前正在使用的(在动作组标识符保持部130中保持的)组标识符。即,作为网络标识符设定无线终端D(14)的终端标识符,作为简档标识符设定“1”。
图21是表示本发明的实施方式中的无线终端A(11)至E(15)的第4状态例的图。该第4状态示出了由图19的第3状态进行了无线终端B(12)及无线终端C(13)的相互认证的情况下的状态。
在该第4状态中,在无线终端B(12)的属性证书发行终端列表620中,作为新的发行终端追加有与无线终端B(12)及无线终端D(14)相关的信息。另外,在无线终端B(12)的属性证书列表720中,追加有无线终端B(12)对无线终端B(12)自身发行的属性证书。另外,在无线终端C(13)的属性证书发行终端列表630及无线终端D(14)的属性证书发行终端列表640中,作为新的发行终端分别追加有与无线终端B(12)相关的信息。
这样,根据本发明的实施方式,通过使用动作组标识符保持部130中保持的组标识符,可以进行意识到组的网络的识别。该组标识符对以往的网络标识符新附加了由简档标识符计数器120管理的简档标识符。
此外,在本发明的实施方式中,2个无线终端之中后转换到登记动作状态的无线终端发送登记请求,接收到该登记请求的另一个无线终端发行属性证书,但是不限于此。与此相反,也可以从先转换到登记动作状态的无线终端发送登记请求,使接收到该登记请求的另一个无线终端发行属性证书。
另外,本发明的实施方式示出了用于具体化本发明的一例,虽然如下所示与权利要求书中的发明特定事项分别具有对应关系,但是不限于此,在不脱离本发明的要旨的范围内可以实施各种变形。
即,在各权利要求中,发行终端的终端标识符例如对应于网络标识符。另外,其他标识符例如对应于简档标识符。
另外,在权利要求2中,动作组标识符保持单元例如对应于动作组标识符保持部130。另外,报告信号生成单元例如对应于信标生成部160。另外,报告信号发送单元例如对应于通信部170。
另外,在权利要求3至4中,报告信号接收单元例如对应于通信部170。另外,登记处理单元例如对应于登记处理部110。
另外,在权利要求6中,操作受理单元例如对应于操作受理部140。另外,复位单元例如对应于中间模式转换部150。
另外,在权利要求8中,标识符管理单元例如对应于简档标识符计数器120。另外,登记处理单元例如对应于登记处理部110。
另外,在权利要求10至11中,将由属性证书的发行终端的终端标识符及按每个发行终端管理的其他标识符构成的组标识符作为自身的动作组标识符进行保持的过程例如对应于步骤S920。另外,生成包含动作组标识符的报告信号的过程例如对应于步骤S901。另外,发送报告信号的过程例如对应于步骤S902。
此外,在本发明实施方式中说明的处理过程,也可以理解为具有这些一系列过程的方法,另外也可以理解为用于使计算机执行这些一系列过程的程序和存储该程序的存储介质。
图1是表示本发明的实施方式中的无线通信系统的各无线终端的连接关系的一例的图。在图1的(a)中,无线终端A(11)、C(13)及D(14)这3个形成一个网络,无线终端B(12)及E(15)这2个形成另一个网络。在该状态下无线终端A(11)和无线终端B(12)相连接的情况下,无线终端A(11)至E(15)都属于一个网络。
另一方面,在图1的(b)中,无线终端A(11)、C(13)及D(14)这3个形成网络,无线终端B(12)与无线终端E(15)之间的连接相对独立,成为与任何网络都没有连接的状态。在该状态下要连接无线终端A(11)和无线终端B(12)时,无线终端B(12)通过在与无线终端E(15)之间形成的网络不同的网络,与无线终端A(11)连接。由此,无线终端A(11)至D(14)属于一个网络。
进而,在图1的(c)中,无线终端A(11)与由C(13)及D(14)形成的网络相对独立,成为与任何网络都没有连接的状态。在该状态下无线终端A(11)和无线终端B(12)被连接的情况下,无线终端A(11)及B(12)这2个形成新的网络。
在本发明的实施方式中,使用户选择在要连接的2个无线终端之间想形成怎样的网络。即,如果想要使无线终端A(11)至E(15)全部属于一个网络,只要在图1的(a)的状态下进行登记处理即可,另外,如果想要从无线终端E(15)断开无线终端B(12),使无线终端A(11)至D(14)属于一个网络,只要在转换到图1的(b)的状态后进行登记处理即可。另外,如果想要用无线终端A(11)及B(12)这2个形成新的网络,只要在转换到图1(c)的状态后进行登记处理即可。
如图1的(b)中的无线终端B(12)、图1的(c)中的无线终端A(11)及B(12)那样用粗线标记的无线终端成为叫做中间模式的状态,与其他任何无线终端都没有形成网络。关于该中间模式在后面叙述。
图2是表示本发明的实施方式中的无线终端100的功能结构的一例的图。在此,无线终端100具备如下单元而构成:登记处理部110;简档标识符计数器120;动作组标识符保持部130;操作受理部140;中间模式转换部150;信标生成部160;通信部170;相互认证部190;邻近终端列表500;属性证书发行终端列表600;属性证书列表700。
登记处理部110在与其他无线终端之间进行对无线网络的登记处理。在本发明的实施方式中,作为无线终端的状态,设置用于进行通常动作的通常状态和用于进行对无线网络的登记处理的登记动作状态这2个状态。并且,假设在2个无线终端之中先成为登记动作状态的无线终端具有作为发行属性证书的发行终端(Authority)的作用,后成为登记动作状态的无线终端具有作为进行登记请求的请求终端(Requestor)的作用。进行该情况下的登记请求的处理、发行属性证书进行登记应答的处理都由登记处理部110进行。
简档标识符计数器120管理无线终端100作为发行终端进行动作时的简档标识符,例如,可以作为32位的计数器来实现。在以往的无线通信系统中,将属性证书的发行终端的终端标识符作为网络标识符使用,认证时在确认了网络标识符一致之后进行相互认证,但是在本发明的实施方式中,通过进一步设置简档标识符,利用组合了两者的组标识符进行网络(网络组)的识别。简档标识符计数器120在每当利用新的组标识符进行属性证书的发行时,更新简档标识符。此外,终端标识符只要可识别无线终端即可,例如,可以使用MAC(Media Access Control:介质存取控制)地址。
动作组标识符保持部130保持作为无线终端100正在动作的组标识符在信标中表示的组标识符。另外,信标生成部160根据动作组标识符保持部130中保持的组标识符生成信标。如图3所示,信标430包含正在动作的组标识符即动作组标识符433。该动作组标识符433由网络标识符434及简档标识符435构成。通过使信标包含该动作组标识符433,可以使其他无线终端得知该无线终端正在动作的组标识符。
操作受理部140接受来自用户的操作输入。作为该操作受理部140,可以设想:登记按钮,用于使无线终端100转换到登记动作状态;中间按钮,用于使无线终端100转换到中间模式。另外,也可以准备1个操作按钮,在被按下1次的情况下作为登记按钮发挥功能,在持续按下的情况下作为中间按钮发挥功能。
中间模式转换部150根据来自操作受理部140的指示,使无线终端100转换到登记动作状态。具体地说,关于动作组标识符保持部130中保持的网络标识符及简档标识符,将网络标识符设定为无线终端100自身的终端标识符,将简档标识符设定为“0”。
相互认证部190使用属性证书,在与其他无线终端之间进行相互认证处理。该相互认证是相互认证从对方的无线终端发送过来的属性证书是否可以信任。属性证书由其发行终端署名,可以利用发行终端的公开密钥对该署名进行解码,获取消息摘要,由此确认是否有篡改。
通信部170在与其他无线终端之间进行无线通信。例如,向其他无线终端发送由信标生成部160生成的信标,另外,从其他无线终端接收信标。另外,通信部170在与其他无线终端之间进行登记处理部110中的登记处理所需的通信。另外,在与其他无线终端之间进行相互认证部190中的相互认证处理所需的通信。
邻近终端列表500是包含存在于无线终端100邻近的其他无线终端的一览的列表。属性证书发行终端列表600是包含与向无线终端100发行了属性证书的发行终端相关的信息的列表。另外,属性证书列表700是包含无线终端100持有的属性证书的一览的列表。关于这些列表的详细在后面叙述。
图3是表示本发明的实施方式中的信标430的帧结构例的图。信标430由通信部170定期地发送,包括发送终端标识符431、接收终端标识符432、动作组标识符433、动作模式436。
发送终端标识符431表示发送终端的终端标识符。另外,接收终端标识符432表示接收终端的终端标识符。信标的情况下,该接收终端标识符432使用广播地址。
动作组标识符433表示发送终端的动作组标识符保持部130中保持的组标识符。该动作组标识符433由网络标识符434及简档标识符435构成,将网络作为网络组进行识别。
动作模式436表示发送终端的动作状态,例如,包括登记动作状态437。接收了信标430的其他无线终端通过参照该登记动作状态437,可以识别该发送终端的状态是“是登记动作状态”还是“不是登记动作状态”。
图4是表示本发明的实施方式中的邻近终端列表500的结构例的图。该邻近终端列表500是根据从其他无线终端接收到的信标、将与邻近终端相关的信息保持到各项中的列表,保持索引501、终端标识符502、动作组标识符503、登记动作状态506。
索引501是赋予项的序号。终端标识符502表示邻近终端的终端标识符。动作组标识符503表示邻近终端的组标识符。另外,登记动作状态506表示作为邻近终端的状态是否处于登记动作状态。该邻近终端列表500在每当通信部170从其他无线终端接收信标时被更新,为了登记处理部110中的登记处理而被参照。
图5是表示本发明的实施方式中的属性证书发行终端列表600的结构例的图。该属性证书发行终端列表600是将与属性证书的发行终端相关的信息保持到各项的列表,保持索引601、发行终端组标识符602、发行终端公开密钥证书605、认证时组标识符606。
索引601是赋予项的序号。发行终端组标识符602表示发行终端的组标识符。由该发行终端组标识符602表示的发行终端作为“可以信任(Trustworthy)”来处理。
发行终端公开密钥证书605保持发行终端的公开密钥证书(PKC:Public Key Certificate)。认证时组标识符606保持向无线终端100中的属性证书发行终端列表600追加发行终端时的无线终端100的组标识符。由该认证时组标识符606表示的无线终端是在追加发行终端时信任的无线终端。
该属性证书发行终端列表600在相互认证部190中的认证时,为了获取发行终端的组标识符、公开密钥而使用。另外,通过设置认证时组标识符606,即使在从一个发行终端发行了多个属性证书的情况下,也能够检索合适的属性证书。
图6是表示本发明的实施方式中的属性证书发行终端列表600中保持的公开密钥证书410的结构例的图。该公开密钥证书410大体上由署名前证书411、署名算法418、以及署名419构成。署名前证书411包括:序列号412;发行终端标识符414;有效期限415;持有终端标识符416;持有终端公开密钥417。
序列号412是公开密钥证书的序列号,由公开密钥证书的发行终端进行编号。发行终端标识符414是公开密钥证书的发行终端的终端标识符。通过该发行终端标识符414和序列号412,唯一地识别公开密钥证书。有效期限415是公开密钥证书的有效期限。持有终端标识符416是公开密钥证书的持有终端的终端标识符。在此,持有终端是指接受公开密钥证书的发行的无线终端,该持有终端的公开密钥保持在持有终端公开密钥417中。
署名419是公开密钥证书的发行终端的署名,署名算法418是为了该署名419而使用的署名算法。署名算法由消息摘要算法和公开密钥加密算法这2个构成。消息摘要算法是散列函数(摘要函数)之一,是用于制作署名前证书411的消息摘要的算法。在此,消息摘要是指将输入数据(署名前证书411)压缩为固定长的位串,也称为手印或指纹(Fingerprint)等。作为消息摘要算法,已知SHA-1(Secure Hash Algorithm(安全散列算法)1)、MD2(Message Digest(消息算法)#2)、MD 5(Message Digest(消息算法)#5)等。公开密钥密码算法是用于通过公开密钥证书的发行终端的秘密密钥对由消息摘要算法得到的消息摘要进行加密的算法。作为该公开密钥加密算法,已知有基于素因数分解问题的RSA、基于离散对数问题的DSA等。这样,通过公开密钥证书的发行终端的秘密密钥对署名前证书411的消息摘要进行加密,成为署名419。
因此,通过用公开密钥证书的发行终端的公开密钥对该公开密钥证书的署名419进行解码,得到消息摘要。公开密钥证书的使用者由自身制作署名前证书411的消息摘要,将其与由公开密钥证书的发行终端的公开密钥解码的消息摘要进行比较,由此可以验证署名前证书411的内容没有被篡改。
图7是表示本发明的实施方式中的属性证书列表700的结构例的图。该属性证书列表700是将对该无线终端100发行的属性证书保持到各项的列表,保持索引701、发行终端组标识符702、属性证书705。
索引701是赋予项的序号。发行终端组标识符702表示属性证书的发行终端的组标识符。属性证书705保持从发行终端向无线终端100发行的属性证书。该属性证书列表700中包含的属性证书705表示对无线终端100自身的网络组的访问权限。
在本发明实施方式中的无线通信系统中,虽然允许在一个网络组内存在多个属性证书发行终端,但是为了在该情况下也参加到网络组,只要从某一个属性证书发行终端接收属性证书的发行即可。在参加多个不同的网络组,从各自的组中的属性证书发行终端接收属性证书发行的情况下,属性证书列表700中将存在多个项。
图8是表示本发明的实施方式中的属性证书列表700中保持的属性证书420的结构例的图。该属性证书420大体上由属性证明信息421、署名算法428、署名429构成。属性证明信息421包括:发行终端标识符424;持有终端标识符426;简档标识符423;序列号422;有效期限425。
发行终端标识符424表示属性证书的发行终端的终端标识符。持有终端标识符426表示属性证书的持有终端的终端标识符。简档标识符423表示属性证书的发行终端的简档标识符。序列号422是属性证书的序列号,由属性证书的发行终端进行编号。根据该序列号422和发行终端标识符424唯一地识别属性证书。另外,有效期限425是属性证书的有效期限。
署名429是属性证书的发行终端的署名,署名算法428是为了该署名429而使用的署名算法。关于署名算法的内容,与上述的公开密钥证书的署名算法418相同,利用属性证书的发行终端的秘密密钥对属性证明信息421的消息摘要进行加密,成为署名429。
因此,通过利用属性证书的发行终端的公开密钥对该属性证书的署名429进行解码,得到消息摘要。属性证书的使用者由自身制作属性证明信息421的消息摘要,将其与利用属性证书的发行终端的公开密钥进行解码的消息摘要进行比较,由此可以验证属性证明信息421的内容没有被篡改。
图9是表示本发明的实施方式中的登记处理中使用的登记请求440的结构例的图。该登记请求440从请求终端发送到发行终端,包括发送终端标识符441、接收终端标识符442、发行终端组标识符443、动作模式446、发行终端公开密钥证书448。
发送终端标识符441是登记请求440的发送终端(请求终端)的终端标识符。接收终端标识符442是登记请求440的接收终端(发行终端)的终端标识符。发行终端组标识符443表示无线终端100已经信任的发行终端的组标识符。该发行终端组标识符443由网络标识符444及简档标识符445构成。该发行终端组标识符443是任意项目,也可以在相应的发行终端不存在的情况下设置为无效的状态。
动作模式446表示无线终端100的动作状态,例如,包括是否发行属性证书447。接收到登记请求440的发行终端通过参照该是否发行属性证书447,可以识别是否应该发行属性证书。
发行终端公开密钥证书448保持发行终端组标识符443中表示的发行终端的公开密钥证书。该发行终端公开密钥证书448也是任意项目,也可以在不存在相应的发行终端的情况下,不包含公开密钥证书。
图10是表示本发明的实施方式中的登记处理中使用的登记应答450的结构例的图。该登记应答450是从发行终端返给请求终端的应答,包括发送终端标识符451、接收终端标识符452、发行终端组标识符453、发行终端公开密钥证书458、属性证书459。
发送终端标识符451是登记应答450的发送终端(发行终端)的终端标识符。接收终端标识符452是登记应答450的接收终端(请求终端)的终端标识符。发行终端组标识符453表示这次新登记到属性证书发行终端列表600中的发行终端的组标识符。该发行终端组标识符453由网络标识符454及简档标识符455构成。
发行终端公开密钥证书458保持发行终端组标识符453中表示的发行终端的公开密钥证书。属性证书459保持这次发行的属性证书。
在此,实际包含在登记请求440(图9)及登记应答450(图10)中的内容,如下所述,根据无线终端之间的连接状态(图1的(a)至(c)),各不相同。
如图1的(a)所示,无线终端A(11)及无线终端B(12)分别形成各自的网络的情况下,通过登记处理,无线终端A(11)及无线终端B(12)被包含在一个相同的网络组中。因为两终端已经保持用于参加网络组的属性证书,所以为了防止冗余的属性证书增加而不进行属性证书的发行,只进行属性证书发行终端列表600的项的更换。请求终端从自身的属性证书发行终端列表600中选择具有与当前使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,使登记请求440包含。如果请求终端的位置在规定范围内,则接收到登记请求440的发行终端将登记请求440中包含的属性证书发行终端列表600的项追加到自身的属性证书发行终端列表600。之后,发行终端在自身的属性证书发行终端列表600中选择具有与当前正在使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,保存到登记应答450进行发送。接收到登记应答450的请求终端将其中包含的发行终端的属性证书发行终端列表600的项加入自身的属性证书发行终端列表600的项。
在图1的(b)中,作为发行终端的无线终端B(12)以中间模式运行的情况下,作为请求终端的无线终端A(11)由于已经保持属性证书,所以从请求终端的属性证书发行终端列表600中选择具有与当前正在使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,包含到登记请求440进行发送。发行终端接收登记请求440时,为了避免冗余,只对自身发行在该网络组中使用的属性证书。之后,将自身加入属性证书发行终端列表600。在该情况下,在发行终端组标识符602中设定新的组标识符(自身的终端标识符及新分配的简档标识符),在发行终端公开密钥证书605中保存自身的公开密钥证书。并且,在认证时组标识符606中设定该新的组标识符。在登记应答450中包含这次新追加的属性证书发行终端列表600的项的发行终端组标识符602和发行终端公开密钥证书605。接收到登记应答450的请求终端将该属性证书发行终端列表600的项中的认证时组标识符606作为当前使用的(在动作组标识符保持部130中保持的)组标识符进行保存。
在图1的(b)中,作为请求终端的无线终端B(12)以中间模式运行情况下,在登记请求中不保存属性证书发行终端列表600而进行发送。接收到登记请求的发行终端,如果请求终端的位置在规定范围以内则发行属性证书,保存到登记应答。进而,发行终端在自身的属性证书发行终端列表600中选择具有与当前正在使用的(在动作组标识符保持部130中保持的)组标识符相同的认证时组标识符606的项,取出该项的发行终端组标识符602和发行终端公开密钥证书605,保存到登记应答进行发送。接收到登记应答的请求终端取出属性证书,追加到自身的属性证书发行终端列表600,并且,还将登记应答中包含的发行终端公开密钥证书605追加到属性证书发行终端列表600。该情况下,在发行终端组标识符602及认证时组标识符606中设定发行终端的组标识符。进而,将该登记应答中包含的属性证书发行终端列表600的项加入自身的属性证书发行终端列表600的项。
在图1的(c)中,无线终端A(11)及无线终端B(12)都不具有用于构筑网络组的属性证书。在登记请求中不包含属性证书发行终端列表而进行发送。在登记应答中包含由发行终端发行的属性证书和发行终端的公开密钥证书。接收到登记应答的请求终端将登记应答中包含的发行终端的公开密钥证书追加到属性证书发行终端列表600。该情况下,在发行终端组标识符602及认证时组标识符606中设定发行终端的组标识符。
下面参照附图说明本发明的实施方式中的无线终端100的动作。
图11是表示本发明的实施方式中的整体处理过程的图。动作组标识符保持部130中保持的组标识符在信标生成时被参照(步骤S901),将该组标识符作为动作组标识符433包含的信标被定期地发送给其他无线终端(步骤S902)。
关于各无线终端,预先进行判断是否转换到中间模式的登记前处理(步骤S910)。在来自其他无线终端的信标中作为动作模式436包含有登记动作状态437,根据其内容进行包含属性证书的发行的登记处理(步骤S920)。通过该登记处理,动作组标识符保持部130中保持的组标识符适当被更新。之后,在满足一定的条件的情况下,进行使用属性证书的相互认证(步骤S990)。
图12是表示本发明的实施方式中的登记前处理的处理过程的流程图。首先,关于要进行登记处理的2个无线终端,如果双方当前已经形成了网络组(步骤S911“是”),则通过由此进行的登记处理判断是否应该合并双方的网络组(步骤S912)。
用户如果合并双方的网络组,则在此什么都不做而直接按下登记按钮进到登记处理。如果没有合并,用户按下与形成了想要保留的网络组的终端不同的终端的中间按钮(步骤S913)。由此,与形成了想要保留的网络组的终端不同的终端的状态转换到中间模式(步骤S914)。之后,当按下登记按钮时进到登记处理。
在要执行登记处理的2个无线终端之中哪个都没有形成网络组的情况下(步骤S915“否”),或在其中一个当前已经形成网络组,要参加该网络组的情况下(步骤S916“是”),在此什么都不做而直接按下登记按钮,进到登记处理。
与此相对,尽管要执行登记处理的2个无线终端之中任一个当前已经形成网络组,但不参加该网络组的情况下(步骤S916“否”),用户按下形成该网络组的无线终端的中间按钮(步骤S917)。由此,形成该网络组的无线终端的状态转换到中间模式(步骤S918)。此时,另一个无线终端已经转换到中间模式,因此,结果双方的无线终端成为中间模式的状态。之后,按下登记按钮时,进到登记处理。
图13是表示本发明的实施方式中的登记处理的处理过程的流程图。首先,无线终端100转换到登记动作状态时,如果在从邻近终端接收到的信标中已经存在表示登记动作状态的内容(步骤S921“是”),则无线终端100之后转换到登记动作状态,因此,该无线终端100具有作为请求终端的作用。此外,在判断邻近终端是否转换到登记动作状态时,既可以参照邻近终端列表500的登记动作状态506,另外,也可以直接参照信标430的登记动作状态437。
此时,无线终端100判断先转换到登记动作状态的无线终端是否位于规定范围内(步骤S922)。在该判断时,既可以通过在与成为对象的无线终端之间实际进行通信等来测定距离,判断该距离是否在规定范围内,另外,也可以使用有定向性的信号来确定位置关系,判断该位置是否在规定范围内。在规定范围内的情况下,无线终端100向先转换到登记动作状态的无线终端发送登记请求(步骤S923)。
并且,在超时期间内接收到对该登记请求的登记应答的情况下(步骤S924“是”),与登记应答中包含的属性证书、属性证书发行终端相关的信息被分别设定到属性证书列表700及属性证书发行终端列表600(步骤S925)。与此相伴,登记处理部110根据该登记应答中包含的属性证书,更新动作组标识符保持部130。由此,信标中包含的动作组标识符被变更(步骤S926)。
另一方面,无线终端100转换到登记动作状态时,如果在从邻近终端接收到的信标中没有表示登记动作状态的内容(步骤S921“否”),由于无线终端100先转换到登记动作状态,因此,该无线终端100具有作为发行终端的作用。但是,条件是在超时之前出现转换到登记动作状态的无线终端(请求终端)(步骤S931“是”),并且在超时之前从请求终端接收登记请求(步骤S932“是”)。
当满足该条件时,无线终端100判断后转换到登记动作状态的无线终端是否在规定范围内(步骤S933)。该判断的方法与步骤S922的情况相同。在规定范围内的情况下,无线终端100进行属性证书发行处理(步骤S934)。与此相伴,与发行的属性证书、属性证书发行终端相关的信息被分别设定到属性证书列表700及属性证书发行终端列表600(步骤S935)。另外,在登记请求中包含与属性证书发行终端相关的信息的情况下,该信息也被设定到属性证书发行终端列表600。之后,登记应答发送给请求终端(步骤S936)。
图14是表示本发明的实施方式中的属性证书发行处理的处理过程的流程图。如果无线终端100自身不是中间模式的状态(步骤S941“否”),并且从无线终端100发送的信标430中的网络标识符434与无线终端100自身的终端标识符一致(步骤S942“是”),则发行属性证书420,其中,该属性证书420是将信标430中的简档标识符435设定为简档标识符423(步骤S943)。
另一方面,在无线终端100自身处于中间模式的状态的情况下(步骤S941“是”),或者虽然不是中间模式的状态,但从无线终端100发送的信标430中的网络标识符434与无线终端100自身的终端标识符不一致的情况下(步骤S942“否”),简档标识符计数器120的值例如被加1(步骤S944),发行将该进行加法计算等后的简档标识符计数器120的值设定为简档标识符423的属性证书420(步骤S945)。
在登记请求440的是否发行属性证书447表示不要发行的意思的情况下,不进行对请求终端的属性证书的发行。但是,即使是这种情况,也进行对无线终端100自身的属性证书的发行。
图15是表示本发明的实施方式中的验证处理的处理过程的流程图。无线终端100在从邻近终端接收信标时(步骤S991),将该信标中包含的动作组标识符433作为检索关键字,检索属性证书发行终端列表600的发行终端组标识符602(步骤S992)。
其结果,如果检索到的项的认证时组标识符606与动作组标识符保持部130中保持的组标识符一致(步骤S993至994“是”),则相互认证部190从属性证书列表700获取与该认证时组标识符606相应的属性证书705,进行相互认证(步骤S995)。
另一方面,在属性证书发行终端列表600中没有检索到相应的项的情况下(步骤S993“否”),或者检索到的项的认证时组标识符606与动作组标识符保持部130中保持的组标识符不一致的情况下(步骤S994“否”),相互认证部190对该邻近终端不试行相互认证(步骤S996)。
下面参照附图说明本发明的实施方式中的无线通信系统的动作例。
图16是表示本发明的实施方式中的无线通信系统的无线终端A(11)至E(15)的初始状态例的图。在该初始状态中,无线终端A(11)至E(15)还没有形成网络组。属性证书发行终端列表610至640分别表示无线终端A(11)至D(14)的属性证书发行终端列表600。
另外,在以后的例中,例如,在无线终端A(11)的属性证书发行终端列表610中,假设左栏表示属性证书发行终端列表600的发行终端组标识符602,中栏表示属性证书发行终端列表600的发行终端公开密钥证书605的持有终端标识符416,右栏表示属性证书发行终端列表600的认证时组标识符606。在图16的初始状态中,可以知道无线终端A(11)至D(14)不具有用于构筑网络组的属性证书。
图17是表示本发明的实施方式中的无线通信系统的无线终端A(11)及无线终端B(12)从初始状态到进行相互认证为止的顺序图。在图16说明的初始状态中,无线终端A(11)及无线终端B(12)定期地发送信标(821、812),并相互接收(811、822)。此时,无线终端B(12)作为网络标识符434设定无线终端B(12)的终端标识符,作为简档标识符435设定“0”,作为登记动作状态437设定“是登记动作状态”。另一方面,无线终端A(11)作为网络标识符434设定无线终端A(11)的终端标识符,作为简档标识符435设定“0”,作为登记动作状态437设定“是登记动作状态”。
无线终端A(11)由于识别为后转换到登记动作状态,因此,具有作为请求终端的作用。因此,在检查无线终端B(12)的位置(813),确认在规定范围内之后发送登记请求(814)。在该登记请求中作为是否发行属性证书447表示“要发行”的意思。
此外,在此,设想即使在远程的无线终端E(15)同时进入到登记动作状态,也通过位置检查选择无线终端B(12)。这种判断既可以根据距离进行,另外,也可以通过有定向性的红外线等确定。在以后的位置检查中也相同。
接收到登记请求(823)的无线终端B(12)在检查无线终端A(11)的位置(824),确认在规定范围内之后,对无线终端A(11)发行属性证书(825)。在该属性证书中,作为发行终端标识符424设定无线终端B(12)的终端标识符,作为持有终端标识符426设定无线终端A(11)的终端标识符,作为简档标识符423设定新生成的“1”。
另外,无线终端B(12)对无线终端B(12)自身也发行属性证书。在该属性证书中,作为发行终端标识符424及持有终端标识符426设定无线终端B(12)的终端标识符,作为简档标识符423设定“1”。其结果,在属性证书列表720的属性证书705中,保持新发行的属性证书,作为发行终端组标识符702设定无线终端B(12)自身的终端标识符,作为简档标识符设定“1”。
另外,无线终端B(12)将自身的公开密钥证书追加到属性证书发行终端列表620。此时,在发行终端组标识符602及认证时组标识符606中,作为网络标识符设定无线终端B(12)自身的终端标识符,作为简档标识符设定“1”。
而且,无线终端B(12)发送登记应答(826)。该登记应答中,作为网络标识符454设定无线终端B(12)的终端标识符,作为简档标识符455设定“1”,作为发行终端公开密钥证书458保持无线终端B(12)的公开密钥证书,作为属性证书459保持无线终端B(12)对无线终端A(11)发行的属性证书。
接收到登记应答(815)的无线终端A(11)将登记应答中包含的属性证书追加到属性证书列表710,将无线终端B(12)的公开密钥证书追加到属性证书发行终端列表610中(816)。此时,关于追加项的发行终端组标识符702、发行终端组标识符602及认证时组标识符606各自,作为网络标识符设定无线终端B(12)的终端标识符,作为简档标识符设定属性证书的简档标识符423中表示的“1”。
之后,无线终端A(11)及无线终端B(12)发送信标(827、818),并相互接收(817、828),由此,掌握相互的动作组标识符433,进行相互认证(819、829)。
图18是表示本发明的实施方式中的图17的处理进行后的无线终端A(11)至E(15)的第2状态例的图。通过图17的处理,在无线终端A(11)的属性证书发行终端列表610中,作为新的发行终端追加了与无线终端B(12)相关的信息。另外,在无线终端A(11)的属性证书列表710中,追加有无线终端B(12)对无线终端A(11)发行的属性证书。
另一方面,在无线终端B(12)的属性证书发行终端列表620中,作为新的发行终端追加有与无线终端B(12)自身相关的信息。另外,在无线终端B(12)的属性证书列表720中,追加有无线终端B(12)对无线终端B(12)自身发行的属性证书。
此外,在以后的例中,例如,在无线终端A(11)的属性证书列表710中,左栏表示属性证书列表700的发行终端组标识符702,右栏表示属性证书列表700的属性证书705。
图19是表示本发明的实施方式中的无线终端A(11)至E(15)的第3状态例的图。该第3状态示出了由图18的第2的状态进行了无线终端C(13)及无线终端D(14)的相互认证的情况下的状态。该情况下的处理与由图17说明的无线终端A(11)及无线终端B(12)的相互认证为止的处理相同,所以,在此省略说明。
在该第3状态中,在无线终端C(13)的属性证书发行终端列表630中,作为新的发行终端追加有与无线终端D(14)相关的信息。另外,在无线终端C(13)的属性证书列表730中,追加有无线终端D(14)对无线终端C(13)发行的属性证书。
另一方面,在无线终端D(14)的属性证书发行终端列表640中,作为新的发行终端追加有与无线终端D(14)自身相关的信息。另外,在无线终端D(14)的属性证书列表740中,追加有无线终端D(14)对无线终端D(14)自身发行的属性证书。
图20是表示本发明的实施方式中的无线通信系统的无线终端B(12)及无线终端C(13)从第3状态到进行相互认证为止的顺序图。在图19中说明的第3状态中,当按下无线终端B(12)的中间按钮时,无线终端B(12)转换到中间模式(830)。
之后,无线终端B(12)及无线终端C(13)定期地发送信标(831、842),并相互接收(841、832)。此时,无线终端B(12)作为网络标识符434设定无线终端B(12)的终端标识符,作为简档标识符435设定“0”,作为登记动作状态437设定“是登记动作状态”的意思。另一方面,无线终端C(13)作为网络标识符434设定无线终端D(14)的终端标识符,作为简档标识符435设定“1”,作为登记动作状态437设定“是登记动作状态”的意思。
无线终端C(13)由于识别为后转换到登记动作状态,所以具有作为请求终端的作用。因此,在检查无线终端B(12)的位置(843),确认了在规定范围内之后,发送登记请求(844)。在该登记请求中,作为网络标识符444设定无线终端D(14)的终端标识符,作为简档标识符445设定“1”,作为发行终端公开密钥证书448保持无线终端D(14)的公开密钥证书。另外,无线终端C(13)已经保持用于在该网络组进行相互认证的属性证书,所以在是否发行属性证书447中,表示“不要发行”的意思。
接收到登记请求(833)的无线终端B(12)检查无线终端C(13)的位置(834),以确认在规定范围内。在此,在登记请求的是否发行属性证书447中表示了“不要发行”的意思,所以无线终端B(12)只对无线终端B(12)自身发行在该网络组中使用的属性证书(835)。在该属性证书中,作为发行终端标识符424及持有终端标识符426设定无线终端B(12)的终端标识符,作为简档标识符423设定新生成的“2”。其结果,在属性证书列表720的属性证书705中保持新发行的属性证书,作为发行终端组标识符702设定无线终端B(12)自身的终端标识符,作为简档标识符设定“2”。
另外,无线终端B(12)将自身的公开密钥证书追加到属性证书发行终端列表620。此时,在发行终端组标识符602及认证时组标识符606中,作为网络标识符设定无线终端B(12)自身的终端标识符,作为简档标识符设定“2”。进而,无线终端B(12)将登记请求中包含的发行终端组标识符443及发行终端公开密钥证书448追加到属性证书发行终端列表620。此时,在认证时组标识符606中,作为网络标识符设定无线终端B(12)自身的终端标识符,作为简档标识符设定“2”。
然后,无线终端B(12)发送登记应答(836)。在该登记应答中,作为网络标识符454设定无线终端B(12)的终端标识符,作为简档标识符455设定“2”,作为发行终端公开密钥证书458保持无线终端B(12)的公开密钥证书,但是在属性证书459中什么都不保持。
接收到登记应答(845)的无线终端C(13)将登记应答中包含的无线终端B(12)的公开密钥证书追加到属性证书发行终端列表630中(846)。此时,在追加项的发行终端组标识符602中,作为网络标识符设定无线终端B(12)的终端标识符,作为简档标识符设定属性证书的简档标识符423中表示的“2”。另外,在认证时组标识符606中设定当前使用的(在动作组标识符保持部130中保持的)组标识符。即,作为网络标识符设定无线终端D(14)的终端标识符,作为简档标识符设定“1”。
之后,无线终端B(12)及无线终端C(13)发送信标(837、848),并相互接收(847、838),掌握相互的动作组标识符433,进行相互认证(839、849)。由于无线终端B(12)成为新的属性证书发行终端,所以相互认证之后,无线终端B(12)向整个网络组广播无线终端B(12)自身的公开密钥证书及无线终端B(12)成为发行终端时的组标识符。作为该组标识符,网络标识符是无线终端B(12)的终端标识符,简档标识符成为“2”。接收到该广播的无线终端D(14)将该公开密钥证书及组标识符追加到属性证书发行终端列表640。此时,在认证时组标识符606中,设定当前正在使用的(在动作组标识符保持部130中保持的)组标识符。即,作为网络标识符设定无线终端D(14)的终端标识符,作为简档标识符设定“1”。
图21是表示本发明的实施方式中的无线终端A(11)至E(15)的第4状态例的图。该第4状态示出了由图19的第3状态进行了无线终端B(12)及无线终端C(13)的相互认证的情况下的状态。
在该第4状态中,在无线终端B(12)的属性证书发行终端列表620中,作为新的发行终端追加有与无线终端B(12)及无线终端D(14)相关的信息。另外,在无线终端B(12)的属性证书列表720中,追加有无线终端B(12)对无线终端B(12)自身发行的属性证书。另外,在无线终端C(13)的属性证书发行终端列表630及无线终端D(14)的属性证书发行终端列表640中,作为新的发行终端分别追加有与无线终端B(12)相关的信息。
这样,根据本发明的实施方式,通过使用动作组标识符保持部130中保持的组标识符,可以进行意识到组的网络的识别。该组标识符对以往的网络标识符新附加了由简档标识符计数器120管理的简档标识符。
此外,在本发明的实施方式中,2个无线终端之中后转换到登记动作状态的无线终端发送登记请求,接收到该登记请求的另一个无线终端发行属性证书,但是不限于此。与此相反,也可以从先转换到登记动作状态的无线终端发送登记请求,使接收到该登记请求的另一个无线终端发行属性证书。
另外,本发明的实施方式示出了用于具体化本发明的一例,虽然如下所示与权利要求书中的发明特定事项分别具有对应关系,但是不限于此,在不脱离本发明的要旨的范围内可以实施各种变形。
即,在各权利要求中,发行终端的终端标识符例如对应于网络标识符。另外,其他标识符例如对应于简档标识符。
另外,在权利要求2中,动作组标识符保持单元例如对应于动作组标识符保持部130。另外,报告信号生成单元例如对应于信标生成部160。另外,报告信号发送单元例如对应于通信部170。
另外,在权利要求3至4中,报告信号接收单元例如对应于通信部170。另外,登记处理单元例如对应于登记处理部110。
另外,在权利要求6中,操作受理单元例如对应于操作受理部140。另外,复位单元例如对应于中间模式转换部150。
另外,在权利要求8中,标识符管理单元例如对应于简档标识符计数器120。另外,登记处理单元例如对应于登记处理部110。
另外,在权利要求10至11中,将由属性证书的发行终端的终端标识符及按每个发行终端管理的其他标识符构成的组标识符作为自身的动作组标识符进行保持的过程例如对应于步骤S920。另外,生成包含动作组标识符的报告信号的过程例如对应于步骤S901。另外,发送报告信号的过程例如对应于步骤S902。
此外,在本发明实施方式中说明的处理过程,也可以理解为具有这些一系列过程的方法,另外也可以理解为用于使计算机执行这些一系列过程的程序和存储该程序的存储介质。