专利名称::通信装置和通信方法
技术领域:
:本发明涉及通信装置和通信方法。
背景技术:
:近年来,许多电子装置开始具有无线通信功能。因此,与此相关,已经建立了各种无线通信标准。个人化无线技术的代表性示例包括无线LAN(以下称为WLAN)和蓝牙(注册商标)(以下称为BT)。这些无线技术实现在各种装置中,主要是多功能电器,如个人计算机(以下称为PC)、蜂窝电话、电子记事本(以下称为PDA)等。现在,对于诸如数字摄像机、打印机等的小型内嵌装置,已经使用了这种无线技术。以下,将以一种其中已经使用了无线技术的装置作为无线装置的示例。这些无线装置已经以许多方式被广泛使用,从而为用户提高了便利性。另一方面,已经报道了由于通过网络侵入无线装置而造成的损失、由于诸如信用卡信息、密码等个人信息泄漏等而造成的损失。这种损失被认为是社会问题,因此,已经强烈需要提高无线装置的安全性。在BT的情况下,已经采用了使用最大16字节密钥信息(通行密钥(passkey))的认证技术,此外,在安全功能中包括针对传输路径的加密技术。然而,实际上,已经在许多情况下使用4个字符左右的通行密钥。对于这种操作方法,只存在少数几种密码组合,其被执行不正当认证的风险很高。另一方面,在WLAN的情况下,起先应用了一种称为WEP的加密系统。然而,据称可以在相对短的时间量内将该加密系统破解,此后在该标准中加入了诸如WEP-TKIP系统、WPA、WPA2等的鲁棒加密技术。针对安全功能,已经提出了许多方法。一方面,对于对这种技术没有专业知识的普通用户来说,根据所选择的方法执行合适的设置已成为很大的负担。在许多情况下,用户向制造商的技术支持柜台咨询,或者放弃无线装置本身的设置。其结果是,使用了带有未充分起作用的安全性的无线装置,导致无线装置不容易普及到家用电器的局面。考虑到上述当前情况,已经开展了对与安全性增强有关的技术和用于简化网络设置的技术的不懈研究和开发。对于这种技术,例如,在曰本待审专利申请公报第2004-215232号中公开了一种与WLAN的设置方法有关的技术。该文档公开了一种如下技术通过弱化无线电场强以缩窄无线电波访问范围,来缩窄接入点与WLAN终端之间的通信范围,从而改进安全性。此外,该文档还公开了一种连接单元,其可以在接入点和WLAN终端上设置的按钮被同时按压的情况下完成网络设置。而且,对于BT,日本专利第3928489号公开了一种技术,其涉及一种用于通过简单按压相连接的两个装置上设置的按钮来完成连接设置的方法。采用这种技术,从而通过简单操作实现具有高安全性的网络设置。
发明内容除了上述文献以外,涉及各种无线技术的标准化团体已经提出了一种用于实现设置过程的简化和安全性的增强的标准。蓝牙SIG(其为BT的标准协会)已经提出了一种被称为安全性简单配对(SecuritySimplePairing,以下称为SSP)的才支术作为不可缺少的实现项目。此外,Wi-Fi联盟(其为WLAN的认证协会)已经提出了一种被称为Wi-Fi保护设置(以下称为WPS)的技术。这些标准使用的方法在对设置信息加密时使用公钥加密技术以发送/接收它。因此,与现有技术相比,可以增强安全性,并且还可以减小用户的设置工作的负担。该方法被设计成使得可以在传输路径上安全地交换由公钥加密的设置信息。因此,期望与这种标准兼容的产品快速推广到市场。然而,公钥系统的算术逻辑需要比秘密密钥系统的算术逻辑更大的计算量,其只使用硬件逻辑电路。因此,使用公钥系统的装置需要考虑电路规模的增大和成本的增加。在2006年据称符合根据现有技术的标准的产品出货数量是5.15亿,这已经形成了非常巨大的市场。也就是说,可以提供中等价格产品的大量供应系统已经被全面安排。因此,即使与上述便利性方面很卓越的新标准相兼容的装置出现了,也可以预料符合旧标准的装置的制造将继续,并且符合新标准和旧标准的产品将在市场上并存。在这种情况下,即使用户持有能够根据新标准的简单安全网络设置的无线装置,与其连接的装置也仅兼容旧标准,这会使得用户执行传统的麻烦的低安全性网络设置。而且,用户必须在符合新标准的装置与符合旧标准的装置之间正确使用不同的设置方法。因此,网络设置方法变得M烦,增加了用户负担。已经认识到,存在对提供一种新的改进的通信装置和通信方法的需求,其与使用公钥系统的认证方法和使用非^H^!系统的认证方法相兼容,由此,即使在连接到采用任一认证方法的装置的情况下,也可以减小涉及设置的用户负担。根据本发明的一个实施例,提供了一种通信装置,用于通过使用笫一和第二通信单元执行通信,包括接收单元,被配置为通过所述第一通信单元接收通信数据,该通信数据包括针对与另一通信装置的每次连接而生成的随机数、通过该随机数计算的证书、以及表示所述第二通信单元处的认证方法的认证方法信息;和方法确定单元,被配置为基于所述通信数据中包括的认证方法信息来确定通信数据的发起方接受的认证方法;其中,根据所述方法确定单元的确定结果,使用所述通信数据中包括的随机数作为用于所述第二通信单元处的认证处理的标识符信息。而且,所述认证方法信息可以是表示所述第二通信单元处的认证方法是否与公钥系统相兼容的信息,并且所述方法确定单元可以基于所述通信数据中包括的认证方法信息来确定通信数据的发起方是否接受公钥系统。在此情况下,在所述方法确定单元确定所述通信数据的发起方不接受公钥系统的情况下,所述通信数据中包括的信息被回复给发起方作为其本身的标识信息。根据上述通信装置,接收单元通过所述第一通信单元接收通信数据,该通信数据包括针对与另一通信装置的每次连接而生成的随机数、通过该随机数计算的证书、以及表示所述第二通信单元处的认证方法的认证方法信息。因此,上述通信装置能确认通信数据中包括的发起方是正当的。此时,针对与另一通信装置的每次连接生成随机数,并且还针对与另一通信装置的每次连接设定证书的到期日。结果,在他人截获了通信数据中包括的信息并且此后试图使用该信息的情况下,可以检测到其不当行为。根据上述通信装置,方法确定单元基于所述通信数据中包括的认证方法信息来确定通信数据的发起方是否接受公钥系统。此外,在方法确定单元确定通信数据的发起方不接受公钥系统的情况下,上述通信装置回复所述通信数据中包括的信息作为其自身的标识信息。在通信数据的发起方接受公钥系统的情况下,可以基于公钥系统安全地传输认证信息。然而,在通信数据的发起方不接受公钥系统的情况下,安全性得不到确保。因此,上述通信装置使用为每次连接生成的随机数(暂时值),从而确保安全性。使用这种布置使得能够在确保安全性的同时执行与另一通信装置的连接设置,无论该通信伙伴是否接受7>钥系统。而且,所述通信数据还可以包括用于标识所述发起方的标识信息,和表示是否对标识信息设定了到期日的期限信息。在此情况下,在所述期限信息表示设定了到期日的情况下,在经过所述到期日之后丢弃基于所述通信数据中包括的设置信息而生成的信息。根据这种布置,对标识信息以及按衍生方式生成的所有信息设定到期日,从而可以改进安全性。而且,上述通信装置还可以包括显示单元,被配置为显示预定确认信息;和输入单元,被配置为输入表示对所述确认信息的认可的信息。在此情况下,在用于使所述通信数据中包括的标识信息生效的认可请求被显示在所述显示单元上,并且通过所述输入单元输入了表示认可的信息的情况下,可以使所述标识信息生效。结果,由于用户的认可处理,可以改进安全性。而且,在用于回复包括在所述通信数据中的信息的认可请求被显示在所述显示单元上,并且通过所述输入单元输入了表示认可的信息的情况下,可以基于所述标识信息启动所述第二通信单元的通信。在此情况下,同样,由于用户的认可处理,可以改进安全性。而且,所述通信数据还可以包括用于确定所述接收数据的发起方的地址信息。因此,所述第二通信单元可以配置为只与所述地址信息确定的所述接收数据的发起方进行通信。这样,可以通过限制通信伙伴来改进安全性。而且,所述通信数据还可以包括表示网络配置的配置信息,其可以由所述第二通信单元形成。在此情况下,可以基于所述配置信息根据预定属性确定装置本身在网络内的属性。结果,用户不必知道网络配置,由此即使没有专业知识的普通用户也可以容易地进行网络设置。根据本发明的一个实施例,提供了使用具有第一和第二通信单元的通信装置的以下通信方法。该通信方法包括以下步骤通过所述第一通信单元接收通信数据,该通信数据包括针对与另一通信装置的每次连接而生成的随机数、通过该随机数计算的证书、以及表示所述第二通信单元处的认证方法的认证方法信息;和基于所述通信数据中包括的认证方法信息,确定通信数据的发起方接受的认证方法;以及根据所述确定步骤中的确定结果,通过使用所述通信数据中包括的随机数作为标识信息来执行所述第二通信处的认证处理。而且,可以提供了使用具有第一和第二通信单元的通信装置的以下通信方法。该通信方法包括步骤通过所述第一通信单元接收通信数据,该通信数据包括针对与另一通信装置的每次连接而生成的随机数、通过该随机数计算的证书、以及表示所述第二通信单元处的认证方法是否与所述公钥系统兼容的认证方法信息;基于所述通信数据中包括的认证方法信息,确定通信数据的发起方是否接受公钥加密;以及在所述确定步骤中通信数据的发起方不接受公钥系统的情况下,回复通信数据中包括的随机数作为其自身的标识信息。根据上述通信方法,根据所述接收步骤,通过所述第一通信单元接收通信数据,通信数据包括针对与另一通信装置的每次连接而生成的随机数、通过该随机数计算的证书、以及表示所述第二通信单元处的认证方法是否与公钥系统相兼容的认证方法信息。因此,通过使用证书和随机数,可以确认通信数据中包括的信息的发起方是正当的。此时,对与另一装置的每次连接生成随机数,因此对与另一装置的每次连接设置证书的到期日。结果,在他人截获了通信数据中包括的信息并且此后试图使用该信息的情况下,可以检测到其不当行为。此外,使用上述通信方法,根据所述确定步骤,基于通信数据中包括的认证方法信息来确定通信数据的发起方是否接受公钥系统。此外,根据所述确定步骤,在确定通信数据的发起方不接受公钥系统的情况下,通信数据中包括的随机数被回复作为其本身的标识信息。在通信数据的发起方接受公钥系统的情况下,可以基于公钥系统安全地传输认证信息。然而,在通信数据的发起方不接受公钥系统的情况下,安全性得不到确保。因此,使用上述通信系统,使用为与另一装置的每次连接生成的随机数(暂时值)以确保安全性。使用这种布置,执行连接设置的同时确保安全性,无论该通信伙伴是否接受公钥系统。如上所述,根据本发明,即使在连接到使用基于公钥系统的认证方法或基于非公钥系统的认证方法的装置的情况下,也可以减小与设置有关的用户负担。图1是例示根据本发明实施例的通信系统的配置示例的说明图;图2是例示根据本发明第一实施例的通信装置的功能配置的说明图3是例示根据第一实施例的认证处理方法的流程的说明图;图4是例示根据本发明实施例的记录的结构示例的说明图;图5是例示根据本发明实施例的记录的结构示例的说明图;图6是例示根据本发明第一实施例的记录的结构示例的说明图;图7是例示根据第一实施例的认证处理方法的流程的说明图;图8是例示根据第一实施例的认证处理方法的流程的说明图;图9是例示根据第一实施例的认证处理方法示例的说明图;图10是例示根据第一实施例的认证处理方法示例的说明图;图11是例示根据第一实施例的认证处理方法示例的说明图;图12是例示根据第一实施例的网络形成方法示例的说明图;图13是例示根据第一实施例的网络形成方法示例的说明图;图14是例示根据第一实施例的网络形成方法示例的说明图;图15是例示根据第一实施例的网络形成方法示例的说明图;图16是例示根据本发明第二实施例的通信装置的功能配置的说明图17是例示根据第二实施例的记录的结构示例的说明图18是例示根据第二实施例的认证处理方法的流程的说明图19是例示根据第二实施例的认证处理方法的流程的说明图20是例示根据第二实施例的网络形成方法示例的说明图21是例示根据第二实施例的网络形成方法示例的说明图22是例示根据第二实施例的网络形成方法示例的说明图23是例示根据本发明实施例的通信装置的装置配置示例的说明图24是例示根据本发明实施例的通信装置的装置配置示例的说明图25是例示BT装置之间的认证处理方法的流程的说明图;图26是例示BT装置之间的认证处理方法的流程的说明图;图27是例示BT装置之间的认证处理方法的流程的说明图;图28是例示BT装置之间的认证处理方法的流程的说明图;以及图29是例示BT装置之间的认证处理方法的流程的说明图。具体实施例方式以下将参照附图对本发明优选实施例进行详细描述。注意,在本说明书和附图中,将以相同的标号表示具有基本上相同功能配置的组件,因而略去冗余的描述。第一实施例首先,将描述本发明笫一实施例。本实施例示出了将根据本发明的技术应用于BT认证方法的情况,作为一个示例(见附录l)。以下,将根据以下顺序进行描述。首先,将对可以应用根据本实施例的通信方法的通信系统10的系统配置示例进行描述。随后,将对可以通过使用NFC装置来实现BT认证方法的通信装置100和200的功能配置进行描述。随后,将对NFC通信分组的分组结构进行描述。随后,将对与非公钥系统对等的BT认证方法(Core规范版2.0或之前的认证方法)以及OOB方法的过程进行描述。当然,将对如何选择根据本实施例的认证方法进行描述。此外,将对根据本实施例的暂时通行密钥方法、基于BT装置(以下称为BD)的地址的通信目标限制方法、以及根据用户接口的认证方法等进行描述。重新组织要解决的问题如上所述,在新标准与旧标准混用的情况下,即使新标准与简单的安全设置方法相兼容,在某些情况下用户也被要求执行旧标准的麻烦的低安全性设置过程。对于符合新标准的BD,通过使用NFC来实现简单的安全设置方法。另一方面,符合旧标准的BD不具有与NFC的传输格式的兼容性,因此最初不被设计成使用NFC装置来执行认证。因此,在符合新标准的装置与符合旧标准的装置混用的情况下,即使用户持有符合新标准的装置,用户也不得不放弃通过使用NFC进行认证,因而根据现有技术通过麻烦的过程执行设置。因此,本实施例旨在以使用NFC装置的BT认证方法提供如下认证设置功能。具体来说,即使在一起使用包括公钥逻辑的认证方法(例如OOB方法)和排除^^钥逻辑的il证方法(例如Core2.0或更早的方法)的情况下,该认证设置功能也可以在保持兼容性的同时实现简单的高安全性强度。通信系统10的系统配置示例首先,将参照图1对根据本实施例的通信系统10的系统配置示例进行描述。图1是例示根据本实施例的通信系统10的系统配置示例的说明图。如图1所示,通信系统10由两个通信装置100和200构成。将这些通信装置100和200配置为使用两种类型的通信方法进行通信。其中一种通信方法(第一通信方法)是一种邻近通信方法(以下称为NFC方法)。NFC方法是一种用于在约10cm的非常短的距离上进行通信的通信方法,并且被称为所谓的非接触通信。另一方面,另一通信方法(第二通信方法)是一种能够在比第一通信方法更长的距离上进行通信的通信方法。而且,第二通信方法具有比第一通信方法更宽的带宽,并且能够进行相对高速的通信。在本实施例的情况下,对于第二通信方法,使用BT。采用这种系统配置,首先,根据第一通信方法,在通信装置100与200之间交换用于根据第二通信方法通信的设置信息。当完成认证处理时,在通信装置100与200之间建立了配对关系。这样,采用第二通信方法,在不必对每次服务都进行连接认证的情况下提供服务。在旧标准的情况下,用户在相互认证时必须手动输入用于识别各个装置的通行密钥(PIN码)。而且,可以采用l位到16位的字母数字字符,当前情况下,为了用户的管理便利,往往使用约4位的短通行密钥。因此,很容易猜测出通行密钥,这导致安全性劣化。因此,根据本实施例,用于相互交换诸如通行密钥等的认证信息的认证方法使用根据第一通信方法的通信单元,从而实现安全性的改进。此时,在通信装置100或200不接受采用第一通信方法来交换认证信息的认证方法的情况下,不能实现根据该认证方法的安全认证设置。因此,本实施例还提供了一种对这种兼容性问题的解决方案。通信装置100和200的功能配置接下来,参照图2对根据本实施例的通信装置100和200的功能配置进行描述。图2是例示根据本实施例的通信装置100和200的功能配置的说明图。如图2所示,通信装置100和200主要由天线102和106、邻近通信单元104、短程通信单元108、控制单元110、RAM(随机存取存储器)112、ROM(只读存储器)114、闪速存储器116、输入单元118以及显示单元120构成。注意,天线102和邻近通信单元104由图23所示的硬件资源来实现,其中一部分或所有组件构成IC卡或读/写器。天线106和短程通信单元108由图23所示的硬件资源来实现,例如,由通信单元926实现。控制单元110的功能例如由控制电路712、控制器722或CPU902来实现。邻近通信单元104邻近通信单元104连接到天线102,并且可以根据第一通信方法(NFC方法)发送/接收数据。邻近通信单元104例如使用13.56MHz的频率,由此可以在约10cm的非常短的距离上按最大424Kbits每秒的通信速率来进行通信。注意,邻近通信单元104的通信距离、通信速度以及所使用的频带并不限于以上示例,而是可以任意设定。短程通信单元108短程通信单元108是能够进行比邻近通信单元104更长距离的通信的通信单元。同样,短程通信单元108连接到天线106,并且l吏用比邻近通信单元104更宽的带宽,因而可以高速发送或接收数据。此外,短程通信单元108接受BT作为第二通信方法,例如,使用2.4GHz的通信频带,因而可以按最大3兆比特每秒的通信速度进行通信。注意,对于通信频带和通信速度,除由BT标准的Core2.0+EDR规定的那些以外,其后的版本或另一标准也可以适用,并且可以根据实施例而改变。控制单元110控制单元110是用于控制通信装置100和200的各组件操作的单元。而且,控制单元110主要具有密钥对生成功能、共享密钥计算功能、随机数生成功能、证书(certificate)计算功能、设置信息附加功能、设置信息提取功能、认证值计算功能、链接密钥计算功能、认证记录附加功能、认证记录提取功能、认证方法确定功能、通行密钥设置功能、显示控制功能以及通信控制功能。密钥对生成功能是用于生成构成一对的公钥(PKa、PKb)和秘密密钥(SKa、SKb)的功能。密钥对功能是用于例如基由Diffie-Hellman公开的密钥生成算法来生成一对公钥或秘密密钥的功能。注意,将秘密密钥(SKa、SKb)存储在RAM112或闪速存储器116中。共享密钥计算方法是使用所获得的公钥(PKa、PKb)和其自己的公钥(PKb,PKa)来计算共享密钥(DHKey)的功能。生成算法来生成伪随机数的功能。作;预定随机生^成算法,例如,可以寸吏用各种方、法,长口一次同余方禾呈(linearcongruence)方'法、MersenneTwister方法等。然而,从其特征的观点来说,期望使用较好的算法。以下,不在表述上对所使用的随机数是从随机数生成器获得的随机数还是伪随机数进行区分,而只将所使用的随机数称为随机数。证书计算功能是使用预定散列函数基于通过随机数生成功能等生成的随机数(ra,rb,Na,Nb)来计算证书(Ca,Cb)的功能。设置信息附加功能是用于将设置信息附加到待由邻近通信单元104发送的通信分组的功能。设置信息例如包括装置本身的BD地址、随机数(ra,rb)、证书(Ca,Cb)等。注意,证书(Ca,Cb)可以通过图27所示的逻辑(I!)来生成。设置信息提取功能是用于提取附加到由邻近通信单元104接收到的通信分组的设置信息的功能。认证值计算功能是使用随机数(Na,Nb)和预定函数(f2)来计算认证值(Ea,Eb)的功能,该认证值用于在计算链接密钥的阶段的前一阶段执行相互认证。链接密钥计算功能是基于共享密钥(DHKey)等计算链接密钥(LK)的功能。认证记录附加功能是用于将表示认证标记的NDEF记录附加到后述NDEF消息的功能。该认证标记包括表示认证方法的记录的标识符、表示认证方法的标识符、以及表示BT网络的配置的标识符。稍后将对这些标识符进行详细描述。认证记录提取功能是用于提取表示附加到后述NDEF消息的认证标记的NDEF记录的功能。认证方法确定功能是查询通过认证记录提取功能提取的NDEF记录的认证标记以确定NDEF消息的发起方装置接受的^人证方法的功能。此外,认证方法确定功能包括用于将发起方装置接受的认证方法L'、,'','通行密钥设置功能是在已经选择后述暂时通行密钥方法的情况下,将通行密钥设置为发出证书所要使用的随机数的功能。此外,通行密钥设置功能包括对通行密钥的到期日进行管理、并且在经过该到期日之后消除存储在闪速存储器116等中的通行密钥和设置信息的功能。而且,通行密钥设置功能包括对通行密钥的有效性/无效性进行管理的功能。显示控制功能是用于对显示单元120执行显示的功能,例如,显示要求用户批准是否诸如通行密钥等的设置信息被NFC发送,或者显示以要求用户确认是否使由NFC接收的通行密钥生效。其他在控制单元110的计算处理期间使用RAM112例如作为堆栈区或堆区。ROM114例如存储用于实现控制单元110的功能的程序的二进制执行码。然而,可以将用于实现控制单元110的功能的程序的二进制码存储在闪速存储器116。采用OOB方法的认证方法接下来,将参照图3对根据OOB方法的认证方法进行描述。图3是例示根据OOB方法的认证处理流程的说明图。如上所述,OOB方法是SSP"人证方法的一个示例。该流程中,通信装置100和200在用户将通信装置100与200靠近的情况下通过邻近通信单元104执行NFC通信,其后通过短程通信单元108使用BT执行认证处理。首先,将通信装置100与200充分靠近,并且当靠近到可以通过NFC进行发射的范围时,通过邻近通信单元104交换设置信息(BD地址、证书等)(S102)。接着,通信装置100与200基于该设置信息中包括的BD地址相互交换公钥(PKa,PKb)(S104)。此时,由控制单元110基于所获得的公钥(PKa,PKb)和装置自身的秘密密钥(SKa,SKb)来生成共享密钥(DHKey)(S104)。随后,通信装置100和200分别使用随机数(ra,rb)、证书(Ca,Cb)等执行第一认证处理(等同于图26的认证处理)(S106)。然而,在图26的第一认证处理的情况下,使用公钥来发出证书,因此其前提是在开始NFC通信之前已经交换了公钥,但是本实施例也可以应用于这种方法。当已经成功完成了笫一认证处理时,根据通信装置100和200的控制单元110,分别生成并且通过短程通信单元108交换随机数(Na,Nb)。而且,控制单元110使用共享密钥(DHKey)、所获得的随机数(Na,Nb,ra,rb)以及BD地址等来基于预定认证函数(f3)计算认证值(Ea,Eb)。随后,对这些认证值(Ea,Eb)进行相互交换。随后,通信装置100和200各自执行第二认证处理(等同于图28的认证处理)(S106)。随后,通信装置100和200的控制单元110分别计算链接密钥(LK)(S108)(见图25)。至此已经简要描述了根据OOB方法的认证方法。如上所述,通过NFC交换设置信息,并且根据公钥加密对传输路径进行加密,从而实现了对认证信息的窃听(如中间人(man-in-the-middle)攻击)等的高抵御性质。NFC通信分组的结构示例接下来,将参照图4对用于NFC通信的通信分组的结构示例进行描述。图4是例示NFC通信的通信分组的结构示例的说明图。根据由NFC论坛规定的NFC数据交换格式(以下称为NDEF)执行诸如上述的NFC通信。根据NFC通信的分组由如图4所示的被:称为NDEF记录的单元构成。NDEF记录大致由记录类型部分D5、记录ID部分D6以及有效负载部分D7构成。此外,NDEF记录的上部D1包括标识符MB,表示其记录是否为消息的第一条记录,和标识符ME,表示其记录是否为消息的最后一条记录。此外,上部D1包括标识符SR(A1),表示有效负载部分D7的数据长度是l字节长度还是4字节长度。此外,上部D1包括标识符IL(A2),表示是否存在记录ID部分D6,和标识符TNF(A3),指定记录类型部分D5的格式。而且,标头部分D2、D3以及D4分别存储记录类型部分D5、记录ID部分D6以及有效负栽部分D7的数据长度。记录类型部分D5用作将要存储在有效负栽部分D7中的数据的标识符。因此,在确定有效负栽部分D7中存储的数据的格式时查询记录类型部分D5。例如,根据记录类型部分D5,确定有效负载部分D7的结构和含义(A4)。而且,记录ID部分D6存储用于标识有效负载的URI(统一资源标识符)(A5)。注意,存在NFC论坛规定了记录类型的定义的情况,和用户单独执行记录类型的定义的情况。进一步,将参照图5。图5是例示NDEF消息的结构示例的说明图。该NDEF消息由图4所示的被集中在一起的多条NDEF记录构成。注意,NDEF记录的上部Dl包括的标识符MB=1的记录到标识符ME-1的记录构成一条NDEF消息。NDEF消息的结构示例接下来,将参照图6对根据可应用于OOB认证方法的本实施例的NDEF消息的结构示例进行描述。图6是例示根据可应用于OOB认证方法的本实施例的NDEF消息的结构示例的说明图。如图6所示,NDEF消息由例如3条NDEF记录构成。第一NDEF记录(Recordl)存储表示用于切换(handover)的记录类型,表示该NDEF消息用于切换。注意,在此所述的切换是指将通信方法从作为第一通信方法的NDC通信切换到第二通信方法(第二载体)的行为。第二NDEF记录(Record2)例如存储"bluetooth.org.sp",表示记录类型是BT。此外,其有效负载存储其自己的BD地址、随机数、散列值等作为BT的设置信息。此外,根据本实施例,将第三NDEF记录(Record3)附加到NDEF消息。第三NDEF记录包括用于表示该记录表示认证方法的第一标识符、表示认证方法的第二标识符、以a示BT网络配置的第三标识符。根据本实施例,第二标识符由以下标记组成标记(a),表示该装置本身是否接受OOB方法的认证处理(Core2.1);和标记(b),表示该装置本身是否接受后述的暂时通行密钥方法的认证处理(Core2.0或更早的)。在BT通信形成的网络上,第三标识符由以下标记组成标记(a),表示该装置本身的角色是否可以成为主控装置(master);和标记(b),表示该装置本身的角色是否可以成为从动装置(slave)。这些标记用于确定认证方法。使用NDEF消息的认证方法接下来,将参照图7对根据本实施例的使用NDEF消息的认证方法流程进行描述。图7是例示根据本实施例的使用NDEF消息的认证方法的流程的说明图。如图7所示,首先,通信装置100与200通过NFC交换设置信息。例如,通过NFC交换BD地址(S102)。此时,NFC通信分组包括由控制单元110附加的i人证标记(第三NDEF记录),以及诸如BD地址、随机数、证书等的SSP规定信息。在通信装置接收NFC通信分组时,控制单元110提取第三NDEF记录,然后确定NFC通信分组的发起方装置接受的认证方法(S132)。进而,控制单元110将发起方装置的认证方法与装置接受的认证方法进行比较,以选择更合适的认证方法。例如,在控制单元110确定通信装置100和200都4妄受Core2.1的认证方法(OOB方法)的情况下,选择遵守OOB方法的认证方法。在此情况下,执行公钥交换、根据证书的认证处理以及链接密钥的生成处理。另一方面,在通信装置100和200中的任一个不4妄受Core2.1的认证方法并且两个装置都接受暂时通行密钥方法的情况下,选择根据暂时通行密钥方法的^人证方法(Core2.0或更早的i人证方法)。此时,控制单元110将通行密钥设定为发出证书使用的16字节随机数串(S134,S136)。在通信装置100与200之间交换该通行密钥(S138),并且通过寸吏用该通行密钥生成初始化密钥和链接密钥(S140,S142)。现在,将简单地参照图8对根据本实施例的使用NDEF消息的认证方法的流程进行重新组织。图8是例示根据本实施例的使用NDEF消息的认证方法的流程的说明图。如图8所示,首先,通过NFC发送NDEF消息(S102)。接着,提取NDEF消息中包括的认证标记。随后,基于其认证标记选择i人证方法(S132)。在已确定认证方法是OOB方法的情况下,流程进行到步骤S104的处理,依次执行公钥交换(S104)、认证处理(S106)、链接密钥的生成(S108)。另一方面,在已确定认证方法是除OOB方法以外的方法的情况下,流程进行到步骤S134和S136的处理,基于用于证书的随机数生成通行密钥。随后,流程进行到步骤S140和S142的处理。在步骤S140和S142中,依次生成初始化密钥和链接密钥。这样,应用了根据本实施例的NDEF消息的结构,从而使得可以执行选择认证方法的处理。此外,基于用于证书的随机数生成通行密钥,由此可以使用该通行密钥来接受除OOB方法以外的认证方法。原来,根据不使用OOB方法的Core2.0或更早的认证方法,作出如下安排在搜索DB地址(S12)之后,要求用户手动输入通行密钥(S14),然后因此,基于所输入的通行密钥执行初始化密钥和链接密钥的生成。在应用才艮据本实施例的认证方法时,对于不接受OOB方法的装置,可以防止通行密钥的这种手动输入,这有利于安全性的改进。认证处理流程与功能块之间的关联接下来,将参照图9对根据本实施例的认证方法与通信装置100和200中包括的功能块之间的关联进行描述。图9是例示根据本实施例的认证方法与通信装置100和200中包括的功能块之间的关联的说明图。根据2.0版或更早的BTCore规范的BT连接处理,执行BD的"搜索"处理,获得可连接的通信装置列表。接着,用户从所获得的通信装置列表中指定期望的连接目的地。随后,从诸如ROM114、闪速存储器116、键盘等的输入单元118获得通行密钥,因此,共享了与连接伙伴的密钥相同的密钥。接着,根据BT通信,与通信伙伴相互交换随机数和散列值,因此,生成初始化密钥和链接密钥,从而完成认证处理。然而,对于已经建立了一次其连接的通信伙伴,在闪速存储器116内的安全性数据库(以下称为DB)中存储有BD地址和链接密钥作为一组,因此在下一次连接时,通过使用从DB读出的链接密钥来执行连接处理。采用根据本实施例的技术,如下确保了针对2.0版或更早的BTCore规范的这种连接处理的兼容性。首先,通信装置通过NFC获得连接伙伴的BD地址和16字节随机数(S202)。接着,控制单元110对NFC分组进行分析,并且在确定认证方法是暂时通行密钥方法的情况下,控制单元110将该16字节随机数替换为通行密钥。随后,执行针对BT装置(短程通信单元108)的连接请求(S206)。随后,查询存储BD地址和链接密钥的组的DB(闪速存储器116),并确认是否已经存在连接目的地(所获得的BD地址的目标装置)的链接密钥(S208)。接着,在DB内存在连接目的地的链接密钥的情况下,使用其链接密钥将通信装置连接到连接目的地(S210,S212(是))。另一方面,在DB内不存在连接目的地的链接密钥的情况下,向控制单元110请求通行密钥(S210,S212(否))。在与连接目的地相互交换了随机数和散列值之后,生成初始化密钥(S214),最后,生成链接。暂时通行密钥方法的详情接下来,将参照图10和11对根据本实施例的暂时通行密钥方法的详情进行描述。图10例示通信装置200生成的通行密钥的更新处理。另一方面,图ll例示通过GUI的i人证i午可方法。使用到期日的通行密钥设置首先,参照图10。如上所述,被设置为通行密钥的16字节数据串以明文文本状态发送,因此有可能该通行密钥被能够接收NFC通信的另一装置截获。然而,如图10所示,在每次连接时新生成将要设置为通行密钥的随机数(S134)。因此,为每一次连接生成不同的通行密钥(S142)。根据这种原因,我们可以说即使在没有变化的情况下根据本实施例的暂时通行密钥方法也具有相对高的安全性。然而,为了进一步改进安全性,期望对通行密钥设定到期日。因此,根据本实施例,采用对通行密钥设定到期日并且将其通行密钥作为暂时的可丟弃密钥来处理的方法。此时,将以下三个条件视为使通行密钥的到期日失效的时间。(1)在认证成功、并且在两个连接伙伴处生成了链接密钥时;(2)在NFC通信后出于某种原因确定认证已失败时;(3)在NFC通信后从认证开始起经过了预定时段时。在此情况下,当检测到上述条件(1)到(3)之一时,控制单元110从闪速存储器116消除通过NFC消息交换的通行密钥。这样,对通行密钥设定到期日,从而即使在NFC通信时通行密钥被某人截获,也可以在上述条件(1)到(3)之一成立之后消除通行密钥。因此,最终减小了窃听人员通过截获的通行密钥被认证的可能性。通过GUI的i/v证许可。接下来,参照图11。如上所述,对通行密钥设定到期日,由此可以增强安全性,但是根据本实施例,将提出一种要求用户通过用户的GUI操作来进行认证许可的方法,从而实现进一步的安全性改进。注意,图11例示通信装置100要求通信装置200进行认证许可的情况。如图11所示,试图启动认证的通信装置100的显示单元120上显示有提示用户确认通行密钥的传输的屏面。例如,在显示单元120上显示有提示用户启动认证的屏面,如"触摸"等。当通过输入单元118(例如显示单元120上的触摸板)获得的用户的通信许可时,通过NFC将通行密钥发送给通信装置200。另一方面,对于作为连接目的地的通信装置200,在显示单元120上显示用于指定对下一处理的许可/否决的用户界面。例如,在显示单元120上显示认证接受许可的确认显示,如"接受"等。此时,通信装置200不使所接收到的通行密钥有效,直到获得了用户的许可,并且在已执行了用户的许可输入的情况下,使该通行密钥有效。使用该方法时,只有从两个用户均通过GUI许可i人证起直到通才是可通过BT进行通信的认证时段。因此,在用户不关心的时段期间,非法入侵者不能进行认证处理。因此,可以进一步改进安全性。此外,执行设置只允许从NFC通信分组获得的BD地址表示的连接伙伴在通行密钥的有效期内执行通信,从而期望进一步改进安全性。使用该方法时,在截获了以明文文本发送的通行密钥的装置试图执行认证的情况下,阻止为了认证而通过BT进行的通信。因此,截获了通行密钥的装置不能进行认证处理。因此,可以进一步改进安全性。BT网络的配置示例接下来,将参照图12对根据本实施例的BT网络的配置示例进行描述。图12是例示根据本实施例的BT网络的配置示例的说明图。根据BT标准,将主控装置或从动装置的角色之一分配给通信装置100和200以形成BT网络。此外,只许可在主控装置与从动装置之间的通信,主控装置之间的连接和从动装置之间的连接都不被许可。在这种限制下实现称为个人域网络(piconet)和分散网络(scatternetwork)的网络冲莫式。术语个人域网络是指以一个主控装置为中心,最多8个从动装置连接到该主控装置的网络模式。另一方面,分散网络是指如下网络模式在可以通过分时共享来切换主控装置/从动装置的角色的同时,将从动装置连接到另一主控装置,从而连接多个个人域网络。此时,主控装置/从动装置在特定时区内充当个人域网络上的主控装置,而在另一时区内充当另一个人域网络的从动装置。因此,在个人域网络内不会同时存在多个主控装置。如上所述,根据本实施例的NDEF消息的第三NDEF记录包括BT网络配置信息。该部分表示其装置是否与主控装置相兼容,以及是否与从动装置相兼容。因此,对该BT网络配置信息进行交换,从而形成合适的网络。具体示例例如,让我们考虑不属于任何网络的连接发起装置变成主控装置,并且连接到已形成个人域网络的连接目的地装置的情况。作为一种情况(情况l),可以想象将连接目的地装置启用为主控装置并且禁用为从动装置,并将连接发起装置启用为主控装置/从动装置的情况。在此情况下,连接目的地装置的角色固定为主控装置,因此连接发起装置变成从动装置。注意,交换的NDEF消息用于确定彼此的启用/禁用。结果,将一个新网络形成为单个个人域网络,其中,将连接目的地装置指定为主控装置,并将包括连接发起装置在内的多个装置指定为从动装置。另一方面,可以想象将连接发起装置启用为主控装置但是禁用为从动装置,并将连接目的地装置启用为主控装置/从动装置的情况(情况2)。在此情况下,连接发起装置的角色固定为主控装置,因此连接目的地装置变成从动装置。因此,连接目的地装置成为新生成的网络的从动装置。而且,同时,连接目的地装置成为已有的个人域网络的主控装置,从而形成分散网络。至此已对本发明第一实施例进行了描述。应用根据本实施例的技术,由此即使对于根据2.1版本和更早的BTCore规范设计的装置,用户也可以容易地实现网络设置。而且,用户不必手动输入诸如通行密钥等的认证信息,从而期望提高安全性。此外,为通行密钥设置到期日,或者与使用GUI的用户认证进行组合,由此可以进一步改进安全性。而且,将用于网络配置的角色信息包括在NFC通信分组中,并对角色信息进行交换,从而容易地设置合适的网络配置。第二实施例接下来,将描述本发明第二实施例。本实施例示出了将根据本发明的技术应用于WLAN认证方法的情况,作为示例。根据上述第一实施例,对以BT为示例的情况进行了描述,但是根据本实施例,将对以WLAN为示例的情况进4亍描述。对于2.1版的BTCore规范中包括的OOB方法的i人证方法和WPS中包括OOB方法的认证方法,从技术角度,通过公钥系统进行设置信息的安全分组交换可列为共同点。另一方面,从可用性角度来说,仅通过靠近NFC装置来完成认证这一便利性可以列举为一个共同点。另一方面,这两种标准的一大差别在于网络配置模式不同。因此,根据本实施例,将选择性地对将要应用于WLAN的网络配置的安排进行描述。<吏用WLAN的网络才莫式首先,将参照图13对WLAN的网络模式进行描述。图13是例示WLAN的网络模式示例的说明图。WLAN中的网络模式包括基础设施模式和ad-hoc模式。在许多情况下,常常使用基础设施模式,其中将单个接入点(以下称为AP)与多个基站(以下称为BS)相连接。在基础设施模式的情况下,AP属于由缆线或通过无线电构成的局域网。而且,AP连接到各种本地服务器。此外,局域网通过网关连接到诸如因特网等的广域网。对包括AP、BS在内的连接装置以及各种类型的服务器中的每一个都分别分配IP地址。因此,基于作为通信协议的TCP/IP,每个连接装置都可以对被分配IP地址的任意连接装置发送/接收分组。根据这种安排,实现了通过web服务器的大规模web业务、通过邮件服务器的邮件分发业务等的提供。顺便指出,Wi-Fi联盟规定了一种关于WLAN的简单高安全性强度认证标准。该规定被称为WPS。对于l.Oh版的WPS(以下称为WPSl.Oh),规定了上述J^出设施模式。此外,对于WPSl.Oh,额外规定了几种认证方法。根据本实施例,对作为它们中的一个的使用NFC通信的OOB方法给予特别关注。根据WPSl.Oh,作为涉及认证处理的设备(AP或BS)的角色,规定了执行认证信息的控制和管理的注册管理方(registrar),和新请求连接到网络的注册请求方(enrollee)。然而,AP成为连接目的地。根据以下描述,如图13所示,将对设想AP充当注册管理方的情况进行描述。不用说,根据本实施例的技术并不限于此。以下将以图13的配置作为示例对认证处理流程进行描述。首先,充当注册请求方的BS(以下称为AP/注册请求方)向具有注册管理方功能的AP(以下称为AP/注册管理方)发送连接请求。此时,用户使BS/注册请求方与AP/注册管理方充分靠近,并^f吏它们通过NFC交换设置信息。在交换设置信息时,BS/注册请求方与AP/注册管理方连接。结果,BS/注册请求方成为一个组成单元。注意,可以通过符合WPSl.Oh的方法来实现通过NFC的设置信息交换。NFC通信模式接下来,将参照图14对可以应用于本实施例的NFC通信模式进行描述。图14是例示可以应用于本实施例的一种模式的NFC通信的说明图。根据本实施例,设想一种模式,其中WLAN通信路由与NFC通信相连接作为触发器。可以在NFC通信分组中存储其他设置信息(如在连接之后执行什么类型的通信处理)以及由NFC通信标准规定的设置信息。因此,针对NFC通信分组中存储的设置信息,可以设想各种类型使用。例如,可以设想如下使用在与作为触发器的NFC通信相连接之后,接入位于因特网上的web服务器。这样,对于NFC通信分组,设想很宽范围的使用,但是根据本实施例,设想如下使用当用户使两个NFC装置靠近到可以执行NFC的距离时,使用NFC通信分组中存储的设置信息来实现对WLAN通信的认证处理。具体来说,设想如下情形基于通过两个设备(其各自包括NFC装置,诸如图14所示的通信装置100和200之类,并且通信装置100和200与WLAN相连接)之间的NFC进行的设置信息交换,执行认证处理。修改注意,如图15所示,可以通过包括NFC装置的通信中介终端,执行利用NFC的设置信息交换。在通信装置100和200包括的NFC装置被安装在相互远离的位置、且它们不能靠近等情况下,使用该示例。而且,可以根据NFC装置的通信性质来使用诸如该示例的模式。在该示例的情况下,例如,使通信中介终端靠近通信装置100,通过NFC暂时存储设置信息。随后,使该通信中介终端靠近通信装置200的NFC装置,相应地,通信装置200读取暂时设置的设置信息。而且,根据相反操作,将通信装置200的设置信息转移到通信装置100。通信装置100和200的功能配置接下来,将参照图16对根据本实施例的通信装置100和200的功能配置进行描述。图16是例示根据本实施例的通信装置100和200的功能配置的说明图。如图16所示,通信装置100和200主要由天线102和106、邻近通信单元104、短程通信单元158、控制单元160、RAM112、ROM114、闪速存储器116、输入单元118以及显示单元120构成。注意,天线106和短程通信单元158由图23所示的硬件资源来实现,例如,由通信单元926实现。控制单元160的功能例如由图23或图24所示的控制电路712、控制器722或CPU902来实现。与根据上述第一实施例的通信装置100和200的主要区别在于短程通信单元158和控制单元160的功能配置。因此,将对短程通信单元158和控制单元160的功能配置进行详细描述。短程通信单元158短程通信单元158是能够进行比邻近通信单元104更长距离的通信的通信单元。同样,短程通信单元158连接到天线106,并且使用比邻近通信单元104更宽的带宽,因而可以高速发送或接收数据。此外,短程通信单元158接受WLAN作为第二通信方法。控制单元160控制单元160是用于控制通信装置100和200的各组件操作的单元。而且,控制单元160主要具有密钥对生成功能、随机数生成功能、证书计算功能、设置信息附加功能、设置信息提取功能、认证记录附加功能、认证记录提取功能、认证方法确定功能。密钥对生成功能是用于生成构成一对的公钥和秘密密钥的功能。密钥对功能是用于例如基于Diffie-Hellman公开的密钥生成算法来生成一对公钥或秘密密钥的功能。注意,将秘密密钥存储在RAM112或闪速存储器116中。随机数生成是用于从物理随机生成器获得随机数或者使用预定随机生成算法来生成伪随机数的功能。作为预定随机生成算法,例如,可以使用各种方法,如一次同余方程方法、MersenneTwister方法等。然而,从其特征的观点来说,期望使用较好的算法。证书计算功能是使用通过随机数生成功能生成的随机数以及预定散列函数来计算证书的功能。设置信息附加功能是用于将设置信息附加到待由邻近通信单元104发送的通信分组的功能。设置信息例如包括其本身的IP地址、随机数、证书等。设置信息提取功能是用于提取附加到邻近通信单元104的接收分组的设置信息的功能。认证记录附加功能是将表示认证标记的NDEF记录附加到后述NDEF消息的功能。该认证标记包括表示认证方法的记录的标识符、表示i人证方法的标识符、以X^示WLAN网络的配置的标识符。稍后将对这些标识符进行详细描述。认证记录提取功能是提取表示附加到后述NDEF消息的认证标记的NDEF记录的功能。i人证方法确定功能是查询通过iL证记录提取功能提取的NDEF记录的i人证标记以确定NDEF消息的发起方装置接受的i^证方法的功能。此外,认证方法确定功能包括将发起方装置接受的认证方法与装置本身接受的认证方法进行比较以选择更合适的认证方法的功能。NDEF消息的结构示例接下来,将参照图17对根据可应用于OOB认证方法的本实施例的NDEF消息的结构示例进行描述。图17是例示根据可应用于OOB认证方法的本实施例的NDEF消息的结构示例的说明图。如上所述,才艮据用于WLAN的OOB方法的i/v证处理,以与用于BT的OOB方法的认证处理的情况相同的方式,通过使用图4和5所示的NDEF消息来交换设置信息。然而,根据本实施例的NDEF消息例如具有图17所示的结构。如图17所示,NDEF消息由例如3条NDEF记录构成。第一NDEF记录(Recordl)存储表示用于切换的记录类型,表示该NDEF消息用于切换。第二NDEF记录(Record2)例如存储"application/vnd.wfa.wsc",表示记录类型是WLAN,其有效负载存储WLAN设置信息。有效负载的类型是"OOB装置密码"、"凭证"或"空"。将WPS标准内规定的32字节公钥(装置密码)、用于生成证书的20字节散列值(散列)等存储为"OOB装置密码"。将诸如用于AP的设置的SSID、用于加密传输路径的加密密钥等之类的信息存储为"凭证"。根据类型长度值(TLV)方法存储这种信息。另一方面,在装置本身内不存在设置信息并且向伙伴的装置请求设置信息的情况下,有效负载变成"空"。此夕卜,根据本实施例,将第三NDEF记录(Record3)附加到NDEF消息。第三NDEF记录包括第一标识符,用于表示该记录表示i人证方法,表示认证方法的第二标识符,以及表示WLAN网络配置的第三标识符。才艮据本实施例,第二标识符由以下标记组成标记(a),表示该装置本身是否接受WPS中规定的"OOB装置密码";标记(b),表示该装置本身是否接受"凭证";以及标记(c),表示是否可以执行认证设置信息的期限设置。认证设置信息的这种期限设置是指在建立WLAN连接的阶段可以消除认证所设定的信息的设置。此外,第三标识符包括以下内容作为WLAN中形成的网络配置标记(a),表示装置本身是否接受ad-hoc网络;被分配给装置本身的IP地址(b);对连接目的地给予连接许可的端口号(c);以及FTP用户名/密码(d、e)。然而,在提供FTP服务的情况下包括FTP用户名/密码。i人证处理流程接下来,将参照图18和19对根据本实施例的认证处理流程进行描述。图18和19是例示根据本实施例的认证处理流程的说明图。在认证处理中,使用具有上述结构的NDEF消息。参照图18。首先,确定装置本身(注册请求方)是否接受WPS中的认证方法以及装置本身是否位于AP的通信范围(无线电波访问范围)内(S202)。在装置本身接受WPS中的认证方法并且位于AP的通信范围内的情况下,本流程进行到步骤S204的处理。另一方面,如果不满足这两个条件中的任一个,本流程进行到步骤S220的处理。在步骤S204,确定装置本身和连接目的地装置是否均接受WPS密码(公钥加密系统)(S204)。在两者均接受WPS密码的情况下,本流程进行到步骤S206的处理。另一方面,在这两者不都接受WPS密码的情况下,本流程进行到步骤S214的处理。使用该确定处理,装置本身的控制单元160设定标记(第二标识符)表示是否接受WPS中的公钥系统的设置参数"OOB装置密码"。而且,装置本身的控制单元160将WLAN网络配置信息设定给上述第三标识符。随后,根据装置本身的控制单元160,将被设置了第二和第三标识符的第三NDEF记录附加到NDEF消息,并通过NFC将其发送给连接目的地装置。此外,对于已接收NFC通信分组的连接目的地装置,根据控制单元160,提取注册请求方(第三NDEF记录)的认证标记,并确定注册请求方是否接受WPS密码。在步骤S206以及其后,形成在诸如图20所示的AP与BS之间通信的基础设施网络。此情形对应于连接目的地装置具有注册管理方功能的情形。在步骤S206,在AP/注册管理方与BS/注册请求方之间通过NFC交换公钥和证书(S206)。根据通过NFC交换的证书,相互确定通信伙伴是否为进行不当行为的人。在相互确定通信伙伴不是进行不当行为的人时,通过WLAN通信交换使用所交换的公钥加密的设置信息(S208)。接下来,基于所交换的设置信息对AP/注册管理方和BS/注册请求方进行注册(S210)。随后,BS/注册请求方基于NFC通信分组的NDEF消息中包括的AP的IP地址和/>共端口号,通过WLAN实现通信处理(S212)。接下来,将对在步骤S204中确定任一装置或两个装置都不接受WPS密码的情况进行描述。在步骤S214,确定两个装置是否均接受WPS凭证。在两个装置均接受WPS凭证的情况下,本流程进行到步骤S216的处理。另一方面,在任一装置或两个装置都不接受WPS凭证的情况下,本流程进行到步骤S220的处理。在步骤S216以及其后,在BS与BS之间实现NFC通信,并且示出在不通过注册管理方来形成基础设施网络的情况下的设置过程(如图21所示)。在步骤S216,通过NFC在连接到基础设施网络的BS和BS之间交换AP的设置信息(S216)。此时,以未加密的明文文本发送AP的设置信息。接下来,BS/注册请求方基于通过NFC获得的AP的设置信息来请求WLAN连接认证(S218)。在建立AP与BS/注册请求方之间的连接时,BS/注册请求方基于已通过NFC获得的AP的IP地址和公共端口,与作为连接伙伴的BS执行IP分组的发送/接收(S212)。接下来,将对如下情况进行描述在步骤S214中确定任一或两个装置都不接受WPS凭证的情况、或在步骤S202中确定装置本身不接受WPS,或不在AP的通信区域内的情况。在任一情况下,未实现基础设施模式下的连接,因此选择诸如图22所示的ad-hoc模式下的网络配置。在步骤S220,确定BS/注册请求方是否接受ad-hoc模式(S220)。在BS/注册请求方接受ad-hoc模式的情况下,本流程进行到步骤S224的处理。另一方面,在BS/注册请求方不接受ad-hoc模式的情况下,网络形成处理失败(S222),并结束这一系列处理。根据该处理,充当连接目的地的BS基于NDEF消息来确定BS/注册请求方是否接受ad-hoc模式。在步骤S224以及其后,示出了设置过程,假设BS/注册请求方以及充当连接目的地的BS接受ad-hoc才莫式的情况。在步骤S224中,充当连接目的地的BS通过NFC发送诸如SSID、网络密钥等的设置信息,作为用于ad-hoc模式下的网络形成的设置信息。此时,充当连4妄目的地的BS还通过NFC通信发送诸如IP地址、公共端口等的网络设置信息(S224)。此时,在充当连接目的地的BS与AP之间形成了基础设施模式的网络的情况下,将该网络连接断开。在共享用于产生ad-hoc网络的信息时,两个BS都被连接(S226),并进入可以基于通过NFC获得的IP地址来相互发送/接收IP分组的状态(S212)。在应用根据本实施例的NFC分组的结构时,根据如上所述的过程,形成了具有图20、21以及22的模式的网络。接下来,将参照图19对按上述过程形成的网络被断开之后的处理进行描述。图19是例示在断开该网络之后的处理流程的说明图。如图19所示,在通过上述过程建立网络连接时,双方都可以通过使用已获得的IP地址或特定URL相互执行通信(S214)。随后,在断开网络时(S216),本流程进行到步骤S218的处理。在步骤S218中,确定是否双方都接受暂时连接(S218)。在双方都接受暂时连接的情况下,本流程进行到步骤S222的处理。另一方面,在一方或双方都不接受暂时连接的情况下,本流程进行到步骤S220的处理。如上所述,在NDEF消息包括的第三NDEF记录中,包括有暂时连接标记作为认证标记之一(见图17)。基于该暂时连接接受标记来执行上述确定处理。在对连接发起方和连接目的地来说该标记都无效的情况下,保存相互的网络设置信息,并且该设置信息在下一次连接时仍有效(S220),因此不必执行新的认证处理。相反,在两个装置都接受暂时连接的情况下,消除两个装置中存储的SSID和网络密钥(S222,S224)。此外,消除连接目的地的MAC地址(S226)。这样,设置信息被无效(S228),因此在再连接时两个装置都必须再次交换这些设置参数。在这种设置下,网络设置信息成为暂时的可丢弃信息。因此,在ad-hoc模式的情况下,每次形成网络时交换SSID和网络密钥,从而增强安全性强度。注意,以与上述第一实施例的情况相同的方式,每次执行认证时,增加通过GUI获得用户的核准的处理(见图11),从而减小了进行不当行为的人连接到网络的机会,并实现了安全性的进一步改进。至此已对根据本发明的两个实施例进行描述。使用了通过NFC通信的这种BT和WLAN简单设置方法,由此,即使在通过NFC以明文文本传送设置信息的情况下,也可以通过限制认证接受时段和认证许可地址来减小窃听人员入侵网络的可能性。此外,提供了通过显示装置进行的核准过程,从而防止进行不当行为的人在未经许可的情况下启动认证工作。因此,即使对于排除公钥加密逻辑的产品配置,也可以仅通过修改控制软件来实现简单的设置。而且,即使符合标准化简单设置标准的产品(2.1版BTCore规范或WLANWPS方法)与不符合这种标准的现有产品混用的情况下,使用上述实施例中例示的NFC通信分组格式,从而交换相互的标准接受状况,相应的,可以选择适合于某个实施例的方法。结果,通过使用NFC通信的认证方法,可以保持这种不同认证方法之间的兼容性。此外,将认证后形成的网络配置信息存储在NFC通信分组(其在通信装置之间交换)中,从而使得能够更合适地在网络内共享预定网络配置的角色或者选择更合适的连接模式。非接触通信装置的装置配置示例现在,将参照图23对能够实现上述装置中包括的一部分或全部功能的非接触型通信装置的装置配置示例进行简要描述。图23是例示非接触通信装置的装置配置示例的说明图。注意,可以通过使用该非接触通信装置中包括的一部分组件来实现上述装置中包括的功能。而且,可以由一个整体硬件资源来构成由重复标号表示的多个组件。如图23所示,该通信装置主要由IC卡部分、读/写器部分以及控制器722构成。IC卡部分IC卡部分例如由天线702、前端电路704、调制器706、命令再现器708、时钟再现器710、控制电路712、加密电路714、存储器716以及缆线接口电路718构成。天线702由环形天线构成,并且与读/写器中包括的环形天线》兹耦合以接收命令和电力。前端电路704对从读/写器发送的载波整流以再现DC电力。而且,前端电路704对所获得的13.56MHz的载波进行划分,以将划分后的载波输入给命令再现器708和时钟再现器710。命令再现器708对来自输入载波的命令进行再现,以将该命令输入给控制电路712。时钟再现器710从输入的载波再现用于驱动逻辑电路的时钟,以将该时钟输入给控制电路712。而且,前端电路704将再现出的电力提供给控制电路712(CPU)。在对所有电路提供电力时,控制电路712根据所再现的命令来驱动各个电路。注意,从控制电路712输出的数据由加密电路714加密,并存储在存储器716中。注意,存储器716例如可以是用于对信息进行磁、光或磁光记录的存储装置,或者可以是用于ROM、RAM等的半导体存储装置。另一方面,在存储器716存储的加密数据被发送的情况下,前端电路704基于调制器706调制的加密数据来改变天线702的馈送点中的负栽阻抗,然后根据该变化,改变天线702感生的磁场。根据磁场的变化,引起了流到读/写器的磁耦合天线的电流的变化,从而传送了加密数据。此外,可以由控制器722通过缆线接口电路718对控制电路712控制。此外,IC卡部分通过接口(未示出)对后述读/写器部分发送/接收信息,其可以相互控制或者从一个向另一个对其进行控制。读/写器部分读/写器部分例如由天线702、滤波器732、接收放大器734、变频器736、标识器738、逻辑电路740、控制电路712、存储器716、缆线接口电路742、调制器746、本地振荡器750以及发送放大器748构成。读/写器部分利用与非接触IC卡等之间的磁耦合来提供命令或电力。读/写器部分向非接触IC卡等提供电力以激活它们,然后在控制电路712(CPU)的控制下根据预定传送协议来启动通信。此时,读/写器部分执行通信连接的建立、防冲突处理、认证处理等。读/写器部分使用本地振荡器750生成载波。在读/写器部分发送信息的情况下,首先,控制电路712从存储器716读出数据以将其传送给逻辑电路740。随后,调制器746基于从逻辑电路740输出的信号对本地振荡器750生成的载波进行调制。进而,发送放大器748对从调制器746输出的调制波放大,并通过天线702发送它们。另一方面,在读/写器部分接收信息的情况下,首先,将通过天线702接收的调制波经由滤波器732输入给接收放大器734。随后,由接收放大器734放大的信号经受变频器736的变频,然后被输入给逻辑电路740。进而,由控制电路712将从逻辑电路740输出的信号记录在存储器716。替换地,通过缆线接口电路742将该信号传送给外部控制器722。至此已对非接触通信装置的装置配置示例进行了描述。非接触通信装置例如可以是蜂窝电话、便携式信息终端、各种类型的通信设备、诸如个人计算机等的信息处理装置、或游戏机、信息电器等。而且,将内部包括上述非接触通信装置中包括的功能或一部分或全部组件的各种类型的设备也涵盖在上述实施例的技术范围内。硬件配置(信息处理装置)可以通过使用实现上述功能的计算机程序,例如由包括图24所示的硬件的信息处理装置来实现上述装置中包括的各组件的功能。图24是例示能够实现上述装置的各组件的功能的信息处理装置的硬件配置说明图。如图24所示,上述信息处理装置主要由CPU(中央处理器)卯2,ROM904、RAM906、主机总线卯8、桥910、外部总线912、接口914、输入单元916、输出单元918、存储单元920、驱动器922、连接端口924以及通信单元926构成。CPU902例如充当计算处理装置或控制装置,并基于记录在ROM904、RAM906、存储单元920或可移除记录介质928中的各种程序来控制各组件的总体操作或其一部分操作。ROM卯4例如存储将要读入CPU902的程序,或用于计算的数据等等。RAM卯6暂时或者永久存储例如将要读入CPU902的程序、在执行程序时会适当变化的各种参数。这些组件例如由能够高速传输数据的主机总线908相互连接。而且,主机总线908经由桥910例如连接到数据传输速度相对低的外部总线912。输入单元916例如是诸如鼠标、键盘、触摸板、按钮、开关、控制杆等的操作单元。而且,输入单元916可以是能够通过使用红外线或其他无线电波发送控制信号的远程控制单元。注意,输入单元916是由用于将由上述操作单元输入的信息发送给CPU卯2作为输入信号等的输入控制电路构成的。输出单元918是能够视觉地或听觉地向用户通知所获得的信息的装置,如诸如CRT(阴极射线管)、LCD(液晶显示器)、PDP(等离子显示板)、ELD(场致发光显示器)等的显示装置、诸如扬声器、头戴式受话器等的音频输出装置、打印机、蜂窝电话、传真机等。存储单元920是用于存储各种类型的数据的装置,并且例如由诸如硬盘驱动器(HDD)等的磁存储装置、半导体存储装置、光存储装置、磁光存储装置等构成。驱动器922是例如读取诸如磁盘、光盘、磁光盘、半导体存储器等的可移除记录介质928中记录的信息,或者将信息写入该可移除记录介质928中的装置。可移除记录介质928例如是DVD介质、Blu-ray介质、HD-DVD介质、CompactFlash(CF)(注册商标)、存储棒、SD(安全数字)存储卡等。不必说,可移除记录介质928例如可以是其上安装有非接触IC芯片的IC卡、电子设备等。连接端口924是用于连接外部连接装置930的端口,如USB(通用串行总线)端口、IEEE1394端口、SCSI(小型计算机系统接口)端口、RS-232C端口、光学音频终端等。该外部连接装置930例如是打印^/L、便携式音乐播放器、数字相机、数字摄像机、IC记录器等。通信单元926是用于连接到网络932的通信装置,并且例如是缆线或无线LAN(局域网)、蓝牙(注册商标)、用于WUSB(无线USB)的通信卡、用于光通信的路由器、用于ADSL(非对称数字用户线)的路由器、用于各种类型的通信的调制解调器等。而且,连接到通信单元926的网络932是由采用缆线或无线电的网络构成的,并且例如是因特网、家用LAN、红外线通信、可见光通信、广播、卫星通信等。注意,通信单元926的功能可以包括上述非接触通信装置中包括的非接触通信功能。附录l:〈SSP方法〉根据上述第一实施例的技术可以适当应用于后述SSP方法。因此,以下将对根据SSP方法的^人证方法进行详细描述。注意,以相同的符号来表示上述第一实施例的描述中描述的参数,以对应于其描述。因此,当将根据上述第一实施例的技术应用于后述SSP方法时,通过了解参数标记的对应关系,将容易认识到技术对应关系。1:SSP方法的所提出的模型对于SSP方法,提出了4个模型。将这四个模型称为数字比较模型、JW(正好工作(JustWork))模型、OOB模型以及通行密钥进入模型。以下将简要描述所提出的这些模型。1-1:数字比较模型数字比较模型设想如下场景。(1)假设相互通信的两个装置都可以显示6位数字。(2)假设用户可以向这两个装置输入"是"或"否"。例如,蜂窝电话或个人计算机适用于该场景。配对关系建立过程首先,用户视觉地识别这两个装置中包括的显示器上显示的6位数字(从"000000"到"999999")。随后,询问用户这两个装置上显示的数字是否相同。因此,用户向这两个装置输入"是"或"否,,。如果向这两个装置输入"是",建立了配对关系。数字比较模型的目的该数字比较模型有两个目的。第一个目的是在每个装置都没有唯一名称的情况下给予用户认可以得到正确的装置分別相连接的效果。第二个目的是提供针对中间人攻击的保护方法。主要的是,从加密技术的观点来说,在用于Core规范2.0+EDR之前的标准的PIN输入模型与该数字比较模型之间存在显著差别。用于该数字比较模型的6位数字基于人工安全性算法,其不像当前安全模型那样由用户手动输入的。如可以预料的,所显示的数字被通告,因此,在这两个装置之间交换的加密数据被解密的情况下风险增大了,因此作出设置以避免这种情况。1-2:JW模型对于JW模型,设想以下场景。对于该场景,作出如下假设,其中至少一个装置不包括其上可以显示6位数字的显示器,或者不包括用于输入6位数字的键盘。例如,蜂窝电话或单个送受话器(handset)适用于该场景。这是因为大部分送受话器目前不包括显示器。JW模型采用数字比较方法。然而,不对用户显示数字。而且,该应用简单地请求用户对连接的核准。与上述数字比较模型相比,JW模型提供了对被动窃听相同的耐受性(tolerance)的对策。然而,JW模型并不提供针对中间人攻击的保护方法。当将JW模型与通过普通送受话器等使用4位数字(固定PIN)的安全模型比较时,认为JW模型的安全水平相对高。其原因在于实现了对被动窃听的高耐受性。1-3:OOB模型OOB(频带外)模型设想如下场景。首先,使用OOB技术来在配对处理中在交换或发送加密数字时找出两个装置。然而,为了期望与安全性有关的优点,出于与找出这些装置不同的目的,还应当提供OOB信道。例如,为了增强BT的通信信道的安全性,应当提供OOB信道。OOB信道提供了针对中间人攻击和隐私侵犯的保护方法,注意,可以根据OOB机制来改变用户的操作。例如,在使用近场通信(NFC)作为OOB的情况下,用户首先触^^莫这两个装置。随后,询问用户是否要对另一装置建立配对关系。相应的,用户输入"是"或"否"。在用户输入"是"时,形成了配对关系。上述操作是用于在装置之间交换信息的单触摸操作。在此交换的信息包括诸如用于找到BD的BD地址的装置信息,和用于加密的安全信息。这些装置中的一个装置可以使用所接收到的BD地址来建立与另一装置之间的连接。另一方面,所交换的安全信息用于认证处理。注意,根据OOB机制的特征来实现单向或双向认证处理。仅在以下情况下选择OOB方法。例如,在已经根据通过OOB交换的信息使配对关系生效的情况下,或者在反馈输入/输出能力时一个或两个装置已经通知一个或两个装置接受OOB方法的情况下,选择OOB方法。对于OOB方法,用于简单询问用户对连接的核准的信息被使用。注意,可以将任意OOB机制应用于OOB模型,只要该机制能够交换用于加密的信息以及BD地址。而且,该OOB模型不支持用户已经通过使用BT通信使其连接生效的单元,并且在连接时使用OOB信道进行il证处理。l-4:通行密钥进入模型通行密钥进入模型假设设想如下场景。(1)装置之一具有输入能力,并且没有显示6位数字的功能。(2)另一装置具有输出能力。该场景适用于例如个人计算机与键盘的組合。首先,在所述装置之一中包括的显示器上显示6位数字(从"000000"到"999999")。随后,要求用户输入另一装置所显示的数字。在向所述另一装置正确输入所显示的数字的情况下,形成了配对关系。2:安全性建立方法将SSP方法中的安全性建立方法配置为以下5个阶段。阶段l公钥的交换阶段2认证阶段1阶段3认证阶段2阶段4链接密钥的计算阶段5LMPi人i正,以及加密阶段l、3、4以及5是上述所有模型所共有的。然而,基于所应用的模型,阶段2(认证阶段l)有点不同。注意,对于以下描述,使用以下表l所定义的表达(术语)。2-1:阶段1<公钥的交换>(见图25A)首先,每个装置都基于ECDH(椭圆曲线Diffie-Hellman)生成一对自己的/zH^I/秘密密钥(PK,SK)(步骤l)。对于每个装置对只生成一次该密钥对。可以在配对处理开始之前计算该密钥对。此外,该密钥对在任意时间点被装置丢弃,并在某些情况下生成新密钥对。向接收方装置(以下称为非发起装置B)发送公钥的发起装置A启动配对处理(步骤la)。非发起装置B响应于发起装置A对公钥的发送而向发起装置A发送自己的公钥(步骤lb)。尽管用于对这些装置认证,但是这两个公钥(PKa,PKb)都不被视为秘密密钥。注意,步骤la和lb是上述所有模型所共有的。2-2:阶段2<认证阶段1>(见图26到28)在认证阶段1,上述3个模型(数字比较模型、OOB模型、通行密钥进入模型)之间的处理是不同的。基于两个装置的输入/输出能力来确定选择哪个模型。注意,在图25A到28中,句子开始描述的数字代表步骤。2-2-1:认证阶段1(数字比较模型/图26)数字比较模型提供了一种对中间人攻击具有一定耐受性的有效保护方法。对于一次中间人攻击,成功概率只有约0.000001。如果在配对处理时刻没有中间人攻击,在数字进行配对处理过程中,共享链接密钥对于被动窃听来说是安全的。以下将从加密观点对采用数字比较模型的认证阶段1的序列图进行描述。在交换公钥之后,每个装置都生成暂时的128比特伪随机数(Na,Nb)(步骤2a,2b)。该伪随机数值用于防止重复攻击。而且,每次形成配对关系时都应当新生成伪随机数值。此外,该伪随机数值应当是4吏用物理随机数生成源从极好的伪随机数生成器直接生成的,或者是通过作为种子的物理随机数生成源生成的随机数值。接着,面对的装置计算与两个公钥相对应的证书(Ca,Cb)。通过使用暂时的伪随机数来生成这种证书,相应的,该证书本身是暂时值(步骤3c)。由函数(n)计算这种证书,该函数对于用于计算其证书的参数的输入来说具有单方向性。接着,将这种证书发送给发起装置A(步骤4)。注意,这种证书用于防止参数在经过了某个时段之后被攻击者修改。接下来,发起装置A与非发起装置B交换上述暂时值(伪随机数值(Na,Nb))(步骤5,6)。接着,发起装置A确认其证书是否正确(步骤6a)。步骤6a中的确认失J^示存在攻击者或者存在其他传输错误。如果确认失败,根据该模型的配对关系形成处理被取消。注意,某些情况下,在生成新密钥对时或者甚至没有生成新密钥对时,重复执行这些步骤。然而,如果重复这些步骤,必须生成新的暂时值。现在,如果对证书的确认已经成功,两个装置分别计算6位数字(认证值(Va,Vb))。将这些认证值显示在各装置包括的显示器上,以提供给用户(步骤7a、7b、8)。要求用户确认这些6位认证值是否匹配,或者是否存在匹配的认证值。如果没有匹配值,取消其认证步骤。此外,如果重复其认证步骤,必须生成新的暂时值。注意,为了避免狡猾的中间人的除服务拒绝以外的任意影响,在认证处理中使用与装置本身有关的密钥信息。简单的中间人攻击会产生两组6位显示值,它们之间不相同的概率是0.999999。更诡诈的攻击可能试图使得工程师匹配所述显示值,但是这种攻击可以通过上述认证处理序列来防止。2画2-2:认证阶段KOOB才莫型〉(图27)在如下情况下选择OOB模型在用于交换与LMP输入/输出能力的启用/禁用有关的信息的序列中,在至少一个装置接收用于认证的安全性信息,并且其安全性信息包括OOB认证数据存在参数。如果两个装置都可以通过OOB信道发送和/或接收数据,则基于在认证阶段内交换的OOB公钥(PKa,PKb)使用证书(Ca,Cb)来实现相互认证。在只可以在一个方向上执行OOB通信的情况下(例如,应用由无源NFC标签等构成的装置的情况,或者一个装置是只读装置的情况),知道通过OOB通信发送的随机数r的装置实现通过OOB通信对接收装置的认证。在此情况下,随机数r必须是秘密的。而且,每次都必须新生成随机数r,或者必须限制对该随机数r所发送到的装置的访问。如果尚未发送随机数r,在步骤4a和4b期间由已接收OOB信息(A,B,ra,rb,Ca,Cb)的装置将r设定为0。如果OOB通信是鲁棒的通信(例如可以防止中间人攻击),可以说OOB模型是一种不容易受中间人攻击影响的模型。而且,在OOB模型中,这些用于认证的参数(Ca,Cb,ra,rb)的大小不受限制,不考虑用户是否可以容易地读取或手动输入所述参数。由于这个原因,对于OOB模型,可以按与数字比较模型和通行密钥进入模型相比更安全的方式来执行认证。然而,必须提供OOB接口,两个装置与该OOB接口相互对应。装置A和B的角色根据OOB模型,在其角色方面,装置A与B存在对称性。首先,装置A不必启动配对。例如,在装置之一包括NFC标签并且可以只执行OOB信息发送的情况下,在OOB通信期间自动解决了非对称性质。然而,当在步骤12(图25B)中计算链接密钥(LK)时,该装置组都必须输入相同顺序的参数。然而,每个装置计算出不同的密钥。该顺序例如是,装置A'的参数是个人域网络主控装置的参数,装置B'的参数是个人域网络从动装置的参数。步骤顺序在认证处理步骤之前必须执行公钥的交换(步骤5)。在图中,在OOB通信之前执行装置之间的BT频带内的公钥交换(步骤4)。然而,当试图通过OOB"^妾口启动配对时,在OOB通^f言之后执行公钥的交换(在步骤4与步骤5之间执行步骤1)。ra和rb值在执行OOB通信之前,面对的装置的OOB接口的方向性是不可确认的,因此生成ra和rb的值。随后,如果可能的话,通过OOB接口将随机数r发送给面对的装置。每个装置都利用以下规则本地设置装置本身的r值和面对的装置的r值。l.首先,将本装置的r设定为随机数,并将面对装置的r设定为0(步骤2)。2.当通过OOB接收信息时,本装置设定从面对装置发送的r值(步骤5)。3.当本装置尚未接收到OOB认证数据时,将自己的r值设定为0(步骤5)。根据这些规则,在认证阶段2执行OOB通信时,确认对于输入ra和rb来说装置A与B都具有相同的值。2-2-2-l:作为OOB才几制示例的NFCNFC(近场通信)装置支持与不同数据率(106kbps,212kbps,424kbps)分别对应的模式,以及与不同操作(启用/禁用)对应的模式。此外,几种NFC装置具有初始化(发起/读取器模式)功能,并具有允许进行连接的功能(标签/目标模式)。另一方面,其他装置只有接受连接的能力。例如,OOB-IONFC装置具有针对另一NFC装置发送数据或接收数据的功能,并具有用于BT通信的功能。在应用于OOB机制的情况下,设想3个场景,使得装置A和B对于NFC装置来说成为以下组合。(1)装置A是OOB-IONFC装置,装置B是OOB-ONFC装置的情况;(2)装置A是OOB-ONFC装置,装置B是OOB-IONFC装置的情况;(3)装置A是OOB-IONFC装置,装置B是OOB-IONFC装置的情况(然而,OOB-O:只输出,OOB-IO:对应于输入/输出)。也就是说,不存在OOB-O/OOB-O(标签/标签)的情况,并且要求装置之一成为读取器。2_2-3:认证阶段1<通行密钥^模式>(图28)对于通行密钥进入模式,将描述根据认证阶段1的序列图。生成通行密钥(ra,rb)而不是用户将各个通行密钥输入给两个装置,并且显示在装置之一上。随后,用户将所显示的通行密钥输入给另一装置(步骤2)。根据这种短共享值(ra,rb),实现了装置之间的相互认证。对于k比特通行密钥,将步骤3到8重复k次。例如,对于6位数字(999999=(^卩4237)的通行密钥,k=20。在步骤3到8,每个装置都使用长暂时值(128比特)来发送通行密钥的各个比特。此外,每个装置都发送暂时值的散列的比特、通行密钥的比特以及另一装置的公钥。接着,相应的装置反馈相互的证书,直到相互公开通行密钥以确认相互的证书。反馈与所提供的通行密钥的比特有关的的证书的第一个装置在其处理过程中反馈通行密钥的比特。然而,在另一装置反馈具有与所提供的通行密钥的比特相同的比特的证书,或者通行密钥的比特没有被反馈的情况下,取消该认证步骤。这种"逐步公开"的目的是为了防止泄漏一个或更多个比特,以使得中间人攻击不会猜测出通行密钥的信息。在该认证步骤失败之前,仅部分了解通行密钥的中间人攻击者只能估计出未确定的通行密钥的接收比特。因此,可以对中间人攻击者(如成功相义率为0.000001的简单的强力攻击者)造成最大2比特的猜测困难。而且,即使在认证步骤失败之后,使得更难以执行强力攻击的证书的散列包括长暂时值。对于标准的中间人攻击,在交换ECDH的双方,对攻击者的/>钥进行替换。因此,为了预防中间人攻击,在交换原始ECDH密钥时,将公共Diffie-Hellman值包括进来以增强通行密钥进入模型的安全性。在该阶段结束时,将Na20设定为用于认证阶段2的Na,并将Nb20设定为Nb。2-3:阶段3<认证阶段2>(见图29)在认证阶段2,确认两个装置已成功完成认证信息的交换。该阶段是上述3个模型所共有的。首先,各个装置新计算认证值(Ea,Eb)。基于已经交换的参数来计算这些认证值。而且,在这些装置之间共享这些认证值(步骤9)。接着,发起装置将认证值发送给面对的非发起装置。接着,非发起装置确认所发送的认证值(步骤10)。如果该确认失败,这表示发起装置不证实配对。在此情况下,取消该认证步骤。接着,非发起装置将由该装置自身计算的认证值发送给发起装置。由发起装置确认该认证值(步骤11)。如果该确认失败,这表示非发起装置不证实配对。在此情况下,取消该认证步骤。2-4:阶段4:链接密钥的计算(见图25B)在双方都证实配对时,通过共享密钥(DHKey)等计算链接密钥(LK),并通过使用该链接密钥公开执行数据交换(步骤12)。此时使用的暂时值表示链接密钥的新程度(newness)。即使在双方均使用长句子的ECDH值的情况下,也将该链接密钥用于管理配对。当计算链接密钥时,两个装置都输入参数。按相同顺序输入这些参数,以确认这两个装置计算相同的链接密钥。而且,这些参数包括表示装置A'的参数是个人域网络主控装置的参数并且装置B'的参数是个人域网络从动装置的参数的信息。2-5:阶段5:LMP确认以及加密简单配对处理的最后一个阶段是生成加密密钥。与现有技术的配对处理的最后一个步骤类似地执行该阶段。3:用于加密的函数组3-l:椭圆曲线的定义SSP方法使用"FIPS(联邦信息处理标准公报)P-192曲线,,的椭圆曲线来加密。利用该椭圆曲线E,如以下表达式(l)所示,以参数p、a以及b作为参量(argument)来确定其值。E:y2=x3+a*x+b(modp)…(1)然而,对参数b的值,该曲线是唯一确定的。根据"NIST(国家标准与技术研究所)P-192",由下式(2)来定义参数a。a=mod(-3,p)…(2)另一方面,对参数b定义,并且可以通过使用SHA-1(对于种子值s,使用&28=-27(1110(1))来确认其生成方法。而且,提供了例如以下参数。主要参数是第一系数(绝对值)p、阶数r、充当基准的x坐标Gx、以及充当基准的y坐标Gy。而且,以十进制格式提供整数p和r。随后,以16进制格式提供比特串和域系数(fieldfactor)。例如,这些参数为以下数值(#1到#5)。(#1)P=6277101735386680763835789423207666416083卯87003卯324961279(#2)r=6277101735386680763835789423176059013767194773182842284081(#3)b=64210519e59c80e70fa7e9ab72243049feb8deeccl46b9bl(#4)Gx=188da80eb030卯f67cbf20eb43al8800f4ff0afd82ffl012(#5)Gy=07192b95ffc8da78631011ed6b24cdd573f977alle794811如下定义函数P1920。在给出整数u(0<u<r)和曲线E上的点V时,以uV(其为点V的u倍)作为x坐标值,计算值P192(u,V)。秘密密钥变成在1与r/2之间。在此,r是椭圆曲线上的阿贝尔群(Abeliangroup)的阶数(例如l到2192/2)。3-2:加密函数的定义除了椭圆曲线Diffie-Hellman密钥的计算以外,数字比较模型、OOB模型以及通行密钥进入模型中的每一个协议都必须具有4个加密函数。这些函数是后述fl、g、f2以及B。fl用于生成128字节证书值Ca和Cb。g用于计算i人证值。f2用于计算通过使用链接密钥、DHKey以及暂时随机数值导出的其他密钥。B用于在认证阶段2中计算认证值Ea和Eb。这些函数的基本构成基于SHA-256。3-2-l:SSP方法中的证书生成函数fl通过使用函数fl计算证书。对用于SSP方法的证书的函数定义,使用基于SHA-256(HMAC)的MAC函数。在128比特密钥的情况下,该HMAC被描述为HMAC-SHA-256X。将以下格式的参数(U,V,X,Z)输入给SSP方法的函数fl。U和V是192比特值,X是128比特值。Z是8比特值。在数字比较模型和OOB模型中的每一个协议中,Z是O(即,8比特的0)。在通行密钥进入模型的协议中,将最高有效比特设定为1,随后,在通行密钥的第一个比特生成至少一个有效比特。例如,在通行密钥是"1"的情况下,设定Z-0x81,并且在通行密钥是"0"的情况下,i殳定Z-0x80。SSP方法的函数fl的输出成为下式(3)。fl(U,V,X,Z)=HMAC誦SHA曙256X(U||V||Z)/2128(3)函数fl的输入取决于协议而不同,如下表2所示。在此,PKax表示关于装置A的PKa的x坐标值。类似的是,PKbx表示关于装置B的公钥PKb的x坐标值。Nai表示在第i次重复处理中的暂时值。在重复处理的每次处理,Nai的值变成一个新的128比特值。类似的是,rai是扩展到8比特的通行密钥的1比特值(例如0x80或0x81)。3-2-2:SSP方法中的数字i/v证函数g将SSP方法中的函数g定义为如下。SSP方法的函数g的输入(U,V,X,Y)的格式如下。U和V是192比特值,X是128比特值。Z是128比特值。SSP方法的函数g的输出变成如下表达式(4)。g(U,V,X,Y)=SHA-256(U||V||X||Y)mod232...(4)在32比特整数g(PKax,PKbx,Na,Nb)中,提取至少6个有效比特作为数字认证值。在此,PKax表示关于装置A的公钥PKa的x坐标值,PKbx表示关于装置B的公钥PKb的x坐标值。通过提取与SHA-256的输出相对应的至少32个有效比特,将SHA-256的输出截断为32比特。将该值转换成十进制格式的数值。用于数字比较模型的校验和是至少6个有效数位。其比较结果(比较值)成为下式(5)。比较值=g(U,V,X,Y)mod106...(5)例如,在输出是0x012eb72a的情况下,十进制格式的数字值是19838762。随后,提取838762作为用于数字比较的校验和。3-2-3:SSP方法中的密钥导出函数O使用基于SHA-256(HMAC)的MAC函数作为SSP方法的密钥导出函数。对于192比特密钥W,该HMAC被描述为HMAC-SHA-256W。对SSP方法的函数f2的输入(W,Nl,N2,KeyID,Al,A2)的格式如下。W是192比特值。Nl和N2是128比特值。KeyID是32比特值。Al和A2是48比特值。按照扩展ASCII码,字符串"btlk"经受如下映射作为KeyID。KeyID[0=01101011(LSB)KeyID[1=01101100KeyID2=01110100KeyID[3=01100010KeyID=0x62746c6bSSP方法中的函数f2的输出是如下表达式(6)。f2(W,Nl,N2,KeyID,Al,A2)=HMAC-SHA-256W(N1||N2||KeyID||AlIIA2)/2128…(6)在HMAC-SHA-256的输出中,提取128个最高有效(最左边的)比特作为函数f2的输出。此外,通过下式(7)计算链接密钥。LK=f2(DHKey,N一master,N一slave,"btlk",BD一ADDRmaster,BD一ADDR一slave)...(7)3-2-4:SSP方法中的校验和函数f3对于SSP方法中的校验和函数f3的定义,使用基于SHA-256(HMAC)的MAC函数。对于192比特密钥W,该HMAC被描述为HMAC-SHA-256W。针对SSP方法的函数G的输入(W,Nl,N2,R,IOcap,A1,A2)的格式如下。W是192比特值。Nl、N2以及R是128比特值。IOcap是16比特值。Al和A2是48比特值。IOcap是作为LMPOOB认证数据的最高有效八位字节(octet)(8位)与表示LMP输入/输出能力的最低有效八位字节组成的八位字节的组。SSP方法的函数f3的输出为下式(8)。B(W,Nl,N2,R,IOcap,Al,A2)=HMAC國SHA曙256W(N1||N2||R||IOcap||AlIIA2)/2128…(8)在HMAC-SHA-256的输出中,提取128个最高有效(最左边的)比特作为函数f3的输出。通过函数f3计算认证值。对于各个协议,函数B的输入是不同的,如下表3。DHKey是共享秘密Diffie-Hellman密钥,其已由装置A计算为P192(SKa,PKb),并且已由装置B计算为P192(SKb,PKa)。数据A是表示装置A的功能的数据,数据B是表示装置B的功能的数据。对于通行密钥进入模型,数据ra和rb是6位通行密钥值,并由128比特整数值表示。例如,如果ra的6位值是131313,i殳定R=0x000000000000000000000000000200fl。输入A是装置A的BD地址,输入B是装置B的BD地址。表l:术语定义<table>tableseeoriginaldocumentpage48</column></row><table>表2:各协议的比较<table>tableseeoriginaldocumentpage49</column></row><table>表3:各协议的比较<table>tableseeoriginaldocumentpage49</column></row><table>附录2:<关于WPS1.0h>根据上述第二实施例的技术可以适当地应用于后述WPSl.Oh。因此,以下将对才艮据WPS1.0h的^人证方法进行详细描述。注意,对于在此使用的术语和表达式的含义,需要参考后述表5到10。关于WPS(Wi-Fi保护设置)WPS是一种由Wi-Fi联盟独立建立的标准。而且,WPS被i殳计成支持Wi-FiCERTIFIED(WFC)802.11装置。该装置模式包括消费电气产品、蜂窝电话等。这些WFC装置具有与计算机(PC)或接入点(AP)的通信功能相同的通信功能。该通信功能由安装在家庭、小型办/>室等中的802.11装置来使用。这些装置中的一些具有与通过使用802.11b、802.11a以及802.11g进行通信的多频带装置的扩展功能相同的扩展功能。该选项涉及符合802.11n标准的标准前产品。该标准前产品计划要被计划为符合安排到2008的最后的802.11n的标准产品。注意,在2007年1月,Wi-Fi联盟认可了符合WPS的第一个产品。WPS用于使消费者信服可以容易地设置所购买的WFC装置在激活Wi-Fi网络时执行的安全性设置。而且,与现有技术相比,即使将新的WPS装置加入已建立的网络,也可以容易地通过WPS无限地执行附加i殳置。注意,WPS是可选的认证事务。也就是说,其认证并不提供给所有产品。具体来说,WPS设想在SOHO市场中使用,而不旨在用于企业环境。在这种企业环境中,设置以分散方式布置的网络服务器组以用于网络访问控制,或者通过加密技术对信息进行严格管理。因此,为了确认是否对购买的装置给予了WPS认证,消费者应当确认在购买的装置上是否存在对WPS-WFC产品的认证标记。该WPS认证标记显示在产品、包装以及用户文档。WPS适用于典型的家用网络。该网络中,装置通过接入点(AP)或路由器通信。在这种通信环境中,往往不支持ad-hoc网络。ad-hoc网络是其中每个装置都独立于AP而直接与另一装置通信的网络。在典型的通信环境中,在网络上对AP和WPS客户机装置设置网络名(SSID)和WPA2安全性。才艮据WPS标准化方法,典型的Wi-Fi用户可以容易地设置Wi-Fi网络,并且可以建立其安全性被激活的网络。此时,Wi-Fi用户不必理解与安全性和网络有关的基本技术以及其设置中包括的处理。也就是说,用户不必知道SSID是指网络名以及WPA2是指安全性机制。WPS采用了用于WPA2的个人的4支术。该冲支术与旧装置(legacydevice)兼容。WFC给出对WPA/WPA2人员的认证。WPA和WPA2在涉及Wi-Fi技术的安全性方面是最新的。用户必须认识到,采用旧装置(即,未经受与WPA/WPA2人员有关的WFC的装置)会导致WLAN存在弱点。在2003年9月以及此后认证的所有WFC产品都支持WPA或WPA2。在2006年3月以及此后认证的产品必须支持WPA2。经WPS认证的产品为用户提供了两个简单的设置方法。它们是使用个人识别号码(PIN)的设置方法和按钮认证设置(PBC)方法。不必说,WPS的设计考虑了对其他方法的可扩展性。计划在2007年末将使用近场通信(NFC)卡或USB闪速装置的认证方法也加入测试项目。注意,用户可以将WPS-WFC装置加入包括旧装置的Wi-Fi网络。该网络是用户先前^T艮据装置设计者提供的手册过程而建立的网络。在通过PIN和PBC设置(在AP上对它们测试以启用这两种设置)的认证设置之后,对WPS-WFC产品认证。至少在正净皮测试的PIN的认证设置之后,对客户机装置进行认证。注册管理方发出用于在网络上注册新客户才几的证书。该注册管理方可以将新客户机设置为诸如AP、客户机等的各种装置。为了启用将要加入各种环境或地点的装置,该标准支持在单个网络中包括多个注册管理方。然而,注册管理方的功能局限于AP的权限之内。对于PIN设置,对各个装置给予PIN以试图连接到网络。通常,在装置上设置有固定标签或贴条,使得用户可以识别装置的PIN。而且,在生成动态PIN的情况下,将其PIN例如显示在安装在该装置的诸如TV屏幕或监视器的显示器。PIN用于确认被赋予PIN的装置是否为用户试图加入网络的装置,使得不会由于他人的意外或恶意企图而将不期望的装置加入网络。首先,用户将PIN输入注册管理方。例如,通过AP的GUI输入PIN,或者通过网络通过利用另一装置提供的屏上界面访问管理页面来输入PIN。对于PBC设置,用户将装置连接到网络,并按压AP和客户机装置的按钮以激活数据的加密。此时,用户必须意识到,在用户按压AP和客户机的按钮的过程中,存在非指定装置可以容易连接到网络的时段。对设置步骤的比较表4是例示通过PIN的认证设置与通过PBC的认证设置之间的操作步骤比较的图。而且,作为参考,描述了根据WPS之前的方法通过WLAN的设置,以及用于激活安全性的步骤。据此,WPS之前的方法有许多步骤。对WPS之前的方法,用户在将装置连接到电源然后将装置连接到缆线网络之后激活AP(步骤l)。接着,用户从连接到缆线网络的计算机激活web浏览器,登录到管理页面以访问AP(步骤2)。接着,用户选择网络名(SSID),并将其输入AP(步骤3)。接着,将用户引导到安全性设置页面。在这里,用户选择要使用的安全性类型并激活安全性设置(步骤4)。在安全性设置被激活之后,提示用户输入用于AP生成安全性密钥的通行短语(passphrase)。此时,用户对AP设定通行短语以设定安全性密钥(步骤5)。用户使用控制面板来设置要在网络注册的客户机装置。此时,用户激活该装置的无线接口,然后激活WLAN连接(步骤6)。接着,客户机装置向用户提供在周围找到的WLAN的所有网络名(SSID)。响应于此,用户选择合适的(在步骤3中选择的)网络名以连接到该网络(步骤7)。接着,提示用户输入在步骤5设置的通行短语。此时,用户将该通行短于输入给客户机装置(步骤8)。随后,客户机与AP交换安全性证书,由此将新装置安全连接到WLAN。在许多情况下,通过使用WPS,省略步骤2到5的上述过程。此外,简化了要求用户进行的几个工作(例如,对通行短语的设置等)。使用WPS,用户简单地激活AP和客户机装置。随后,用户输入由AP的生成单元提供的PIN(在通过PIN^人证i殳置的情况下),或者按压AP和客户机装置的按钮以启动安全性设置(在通过PBCi人证设置的情况下)。此时,不要求用户设定通行短语。也就是说,自动激活安全码以执行通信。除了保护对SSID和WPA2安全性密钥的适当设置以外,WPS还提供了用于确保信息安全以传播到空间的技术。也就是说,WPS会阻止输入非法PIN的用户访问网络。而且,WPS提供了一种超时(timeout)功能,其中在证书不是在那时传送的用于认证的证书的情况下,将用于认证的证书设定为暂时证书。而且,根据WPS,取消了用户生成的通行短语,从而改进了安全性。在WPS之前,要求用户生成通4亍短语并通过AP输入它。他们在将任意新装置加入网络时重新使用用于保护网络的通行短语。此外,许多通行短语是很容易被外人猜测出来的可理解的通行短语。WPS的可选方法作为WPS的可选方法,有使用NFC或USB的认证方法。这些方法允许装置参与到网络中而不要求用户手动输入,如使用PBC的认证方法或〗吏用PIN的方法。在应用使用WPS的NFC的设置方法时,用户将新装置接触到具有AP或注册管理方功能的另一装置,从而简单地激活安全网络。根据使用WPS的USB的设置方法,通过USB闪速驱动器(UFD)来传送证书。这些方法提供了对非指定装置加入网络的鲁棒保护效果。然而,在2007年第一季度后期在WFC项目对WFS计划了使用USB的方法和使用NFC的方法。此后可以在认证项目中加入其他方法。对于这种方法,也设计WPS,同时考虑对其他方法的可扩展性。WPS的功能WPS装置的详细设置方法和安全性与现有技术的涉及家庭安全性的常见比喻"锁和钥匙"相对照。WPS的标准提供了一种新装置加入基于搜索协议而建立的Wi-Fi网络时的简单的一致过程。而且,该协议在各商家之间是匹配的。根据该过程,注册管理方用于自动发出在网络上注册的装置的证书。将注册管理方功能安装在WPS-WFC装置的AP中。此外,注册管理方可以驻留在WLAN上的任意装置中。将驻留在AP上的注册管理方称为内部注册管理方。将驻留在网络上的其他装置中的注册管理方称为外部注册管理方。通过WPS网络,支持单个WLAN上的多个注册管理方。与钥匙插入锁的过程相对照,通过以下动作启动对WLAN上的新装置进行附加设定的处理。根据该处理,用户激活设置向导,输入PIN或按压PBC按钮。此时,检测到新装置的接入。WPS装置启动与注册管理方之间的信息交换。接着,注册管理方发出网络证书。网络证书包括用于认证客户机加入WLAN的网络名,以及安全性密钥。根据钥匙与锁之间的比喻,这种网络证书的交换类似于在锁中旋转钥匙以接受进入的操作。随后,该新装置可以通过网络安全交流数据,以防止入侵者的未认证访问。当新的WPS-WFC装置ii^到AP的有效范围内时,检测到其存在。随后,WPS-WFC装置与注册管理方通信,以提示用户执行对证书发出认证的事务。使用WPS网络,在认证每个装置时加密数据。也就是说,通过使用可扩展认证协议(EAP)在空间上安全交换信息和网络证书。WPA2用作认证协议。在装置相互执行认证并且客户机在网络上被许可的情况下,执行连接。注册管理方通知网络名(SSID)和WPA2的"预共享密钥(PSK)"以激活安全性。对PSK的随机使用防止了使用可预料的通行短语,从而改进了安全性。根据WPS之前的设置方法,要求用户手动设置AP以支持PSK并且手动输入SSID和PSK。AP和客户机执行SSID和PSK的输入。该方法是发生用户错误的主要原因。用户错误的示例包括打字错误,和PSK与SSID之间的混淆。然而,在使用WPS的情况下,证书交换处理只要求用户在初始设置处理完成之后稍微介入。例如,只要求输入PIN和按压PBC按钮。此时,自动发出网络名和PSK。接下来,示出与证书交换和装置添加有关的图。也就是说,将对如何由WPS装置对网络设置进行描述。证书交换使用WPS,注册管理方提示网络上的另一装置发出识别信息,进而发出证书。此时,通过Wi-Fi网络交换各种信息。作为一种场景,作出如下布置。将注册管理方设定为AP。可以通过按压AP上设置的按钮来执行证书交换(PBC方法)。而且,可以通过使用客户机装置输入PIN来执行证书交换(PIN方法)。例如,对于PIN方法,以用户将PIN输入GUI的方式执行PIN输入。装置的添加现在,设想将新客户机加入已有的网络。此时,可以通过PIN或按钮来执行设置。例如,即使在新AP装置加入已有网络的情况下,也可以执行使用PIN或按钮的设置。选择使用PIN方法和PCB方法中的哪一个取决于客户机装置支持哪一个设置方法。使用WPS的设置选项PBC方法或PIN方法的设置选项适用于WPS-WFC产品。也就是说,使用NFC或USB的设置方法是可选的,其未经Wi-Fi联盟的测试和认证。然而,制造商可以可选地提供它们。使用NFC或USB的设置方法计划在2007年一皮包括在对WPS的WFA^人证测试项目中。NFC设置的情况根据NFC设置,利用接触基础的交互作用。根据NFC设置,在AP或另一注册管理方与客户机之间有效地执行使用NFC的网络证书交换。在接触客户机时启动证书交换,其将NFC激活为AP(或激活NFC的另一注册管理方)上的NFC目标标记,或将客户才几带到NFC目标标记的近场内。其距离是约10cm。注册管理方通过NFC读出用于客户机识别的证书。NFC装置被嵌入在注册管理方装置。随后,为了将新装置连接到网络,注册管理方向客户机反馈网络SSID和PSK安全码。USB设置的情况根据USB设置,将USB闪速驱动器连接到注册管理方装置(在此情况下是AP),从而交换证书。将所获得的证书拷贝到闪速驱动器。另一方面,将其闪速驱动器插入新装置,从而完成证书的交换。WPS的结束语根据WPS,将设置方法的整体框架提供给用户。该框架包括PIN输入序列和按钮序列。这种序列便利了新WFC装置的设置,并且可以容易地激活家用或小型办公室环境中的WFC网络的安全性。将WPS设计为改进用户对WFC装置的盒外(out-of-box)操作。因此,WPS减小了对商家的技术支持的依赖性,减少了零售店的产品回收数量,并且提高了用户对技术的满足水平。尤其,WPS消除了对用户的要求(例如使用户理解诸如PSK和SSID的概念的要求),并消除了PSK手动输入过程,在该过程中的错误输入是致命的。因此,WPS便利了网络设置。按可扩展方式设计WPS,以支持802.11a、b、g的WFC装置所支持的2.4GHz和5GHz频带。认证本身是可选的定位,但是WPS将应用于支持家庭或小型办公室中存在的多频带和多模式的装置。而且,计划在2007年将该选项应用于对802.11n的标准前产品的WFC项目。而且,它还适用于计划于2008年的802.11n最后标准所授权的产品。表4:设置网络的步骤(数字表示步骤)<table>tableseeoriginaldocumentpage56</column></row><table>表5:强制和可选的配置用于Wi-Fi保护设置证明的强制配置可选配置J个人识别号码(PIN)近场通信(NFC)按钮配置(PBC)(对AP是强制的,对客户机装置是可选的)通用串行总线(USB)表6:术语表接入点(AP)通常是Wi-Fi路由器,将无线装置连接到网络的装置高级加密标准(AES)采用对称块数据加密技术的用于商业和政府数据加密的优选标准。它被用于WPA2的实现。(见802.11i,WPA2。)认证对无线装置或端用户的身份验证以使得它被允许进行网络接入的处理。凭证注册管理方向客户机发出的一种数据结构,目的是允许它获得网络接入装置能够通过局域网(LAN)或无线局域网(WLAN)与其他装置通信的独立物理或逻辑实体客户机任何连接到网络的能够从网络的服务器或其他装置请求文件和服务(文件、打印能力)的装置发现协议客户机和注册管理方用来识别连接在网络上的装置的存在和能力的方法可扩展认证协议(EAP)为无线和有线以太网企业网提供认证框架的协议访客具有仅提供对无线局域网(WLAN)的暂时接入的凭证的成员802.11a,b,g以高达11Mbps(b)或54Mbps(a,g)的速率在2.4GHz(b,g)或5GHz(a)的无线网络的IEEE标准表7:术语表2<table>tableseeoriginaldocumentpage58</column></row><table>表8:术语表3<table>tableseeoriginaldocumentpage59</column></row><table><table>tableseeoriginaldocumentpage60</column></row><table>表10:缩略语描述<table>tableseeoriginaldocumentpage61</column></row><table>尽管参照附图描述了优选实施例,但是,不必说,本发明并不限于该示例。显然,本领域技术人员可以在权利要求书所述的技术思想的范围内想出各种修改或更换,并且应当明白,这些修改和更换也当然属于本发明的技术范围。通过对上述实施例的描述,将NFC设想为第一通信方法,但是本发明并不限于此,例如,可以将红外线通信、通过USB存储器的设置信息交换等也包括在第一通信方法。通过对上述实施例的描述,主要以PC或蜂窝电话为示例进行描述,但是上述实施例可应用的范围并不限于此。例如,上述实施例可以应用于诸如电视的视频设备、诸如汽车导航装置、音频装置、支付终端或打印机的电子设备、各种类型的信息电器等。而且,上述实施例可应用于包括IC标签等的装置。因此,根据上述实施例的技术可应用于各种类型的电子装置。本领域技术人员应当明白,根据设计要求和其他因素,可以想到各种修改、组合、子组合以及更换,只要它们在所附权利要求或其等同物的范围内。权利要求1、一种通信装置,配置为通过使用第一和第二通信单元执行通信,包括接收单元,被配置为通过所述第一通信单元接收通信数据,该通信数据包括针对与另一通信装置的每次连接而生成的随机数、通过该随机数计算的证书、以及表示所述第二通信单元处的认证方法的认证方法信息;和方法确定单元,被配置为基于所述通信数据中包括的所述认证方法信息来确定所述通信数据的发起方接受的认证方法;其中,根据所述方法确定单元的确定结果,使用所述通信数据中包括的所述随机数作为用于所述第二通信单元处的认证处理的标识符信息。2、根据权利要求1所述的通信装置,其中所述认证方法信息是表示所述第二通信单元处的所述认证方法是否与公钥系统相兼容的信象.并且其中所述方法确定单元基于所述通信数据中包括的所述认证方法信息,确定所述通信数据的发起方是否接受公钥系统;并且其中在所述方法确定单元确定所述通信数据的发起方不接受公钥系统的情况下,所述通信数据中包括的信息被回复给所述发起方作为所述装置本身的标识信息。3、根据权利要求2所述的通信装置,其中所述通信数据还包括用于标识所述发起方的标识信息;和表示是否对所述标识信息设定了到期日的期限信息;其中在所述期限信息表示设定了到期日的情况下,在经过所述到期日之后丟弃基于所述通信数据中包括的设置信息而生成的信息。4、根据权利要求3所述的通信装置,还包括显示单元,被配置为显示预定确认信息;和输入单元,被配置为输入表示针对所述确认信息的认可的信息;其中,在使所述通信数据中包括的标识信息生效的认可请求被显示在所述显示单元、并且通过所述输入单元输入表示认可的信息的情况下,使所述标识信息生效。5、根据权利要求1所述的通信装置,还包括显示单元,被配置为显示预定确认信息;和输入单元,被配置为输入表示对所述确认信息的认可的信息;其中,在用于回复包括在所述通信数据中的信息的认可请求被显示在所述显示单元、并且通过所迷输入单元输入表示认可的信息的情况下,基于所述标识信息启动所述第二通信单元的通信。6、根据权利要求1所述的通信装置,其中所述通信数据还包括用于指定所述接收数据的发起方的地址信息;并且其中所述第二通信单元只与所述地址信息指定的所述接收数据的所述发起方通信。7、根据权利要求1所述的通信装置,其中所述通信数据还包括表示可以由所述第二通信单元形成的网络配置的配置信息;并且其中基于所述配置信息,从预定属性确定在网络内的所述装置本身的属性。8、一种通信装置的通信方法,被配置为通过使用第一和第二通信单元执行通信,包括以下步骤通过所述第一通信单元接收通信数据,该通信数据包括针对与另一通信装置的每次连接而生成的随机数、通过该随机数计算的证书、以及表示所述第二通信单元处的认证方法的认证方法信息;和基于所述通信数据中包括的所述认证方法信息,确定所述通信数据的发起方接受的il证方法;以及根据所述确定步骤中的确定结果,通过使用所述通信数据中包括的随机数作为标识信息来执行所述第二通信处的认证处理。全文摘要一种通信装置,通过使用第一和第二通信单元执行通信,包括接收单元,通过第一通信单元接收通信分组,该通信分组包括针对与另一通信装置的每次连接而生成的随机数、使用该随机数计算的证书、以及表示所述第二通信单元处的认证方法是否与公钥系统相兼容的认证方法信息;和方法确定单元,基于所述通信分组中包括的认证方法信息来确定通信分组的发起方是否接受公钥加密;其中在方法确定单元确定通信分组的发起方不接受公钥系统的情况下,通信分组中的随机数被回复给发起方作为装置本身的标识信息。文档编号H04W12/06GK101527911SQ200910118238公开日2009年9月9日申请日期2009年3月3日优先权日2008年3月3日发明者宫林直树,末吉正弘,相马功,石川泰清,米田好博,高田一雄,黒田诚司申请人:索尼株式会社