JP2008103988A - 暗号通信システム、装置、方法及びプログラム - Google Patents
暗号通信システム、装置、方法及びプログラム Download PDFInfo
- Publication number
- JP2008103988A JP2008103988A JP2006284817A JP2006284817A JP2008103988A JP 2008103988 A JP2008103988 A JP 2008103988A JP 2006284817 A JP2006284817 A JP 2006284817A JP 2006284817 A JP2006284817 A JP 2006284817A JP 2008103988 A JP2008103988 A JP 2008103988A
- Authority
- JP
- Japan
- Prior art keywords
- encryption key
- encryption
- communication
- expiration date
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】装置負荷と相手装置との通信量を監視して動的に暗号鍵更新を行うことで暗号鍵の有効期限切れによる通信不能状態の発生を未然に防止する。
【解決手段】端末装置18−1〜18−6を接続した複数の暗号通信装置16−1〜16−4をネットワーク14を介して接続し、送信元の端末装置18−1から受信したデータを暗号通信装置16−1で暗号化して他の暗号通信装置16−2に送信すると共に、他の暗号通信装置16−2から受信したデータを復号化して送信先の端末装置18−1に送信する。暗号通信装置16−1は、他の暗号通信装置16−2〜16−4との最初の通信開始時に、暗号鍵交換プロトコルに従って暗号鍵を生成して交換し、暗号鍵管理テーブル24−1,24−2に登録し、有効期限を設定して管理する。有効期限に近づいたら暗号鍵を暗号鍵更新するが、有効期間中であっても、CPU負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵を更新する。
【選択図】 図1
【解決手段】端末装置18−1〜18−6を接続した複数の暗号通信装置16−1〜16−4をネットワーク14を介して接続し、送信元の端末装置18−1から受信したデータを暗号通信装置16−1で暗号化して他の暗号通信装置16−2に送信すると共に、他の暗号通信装置16−2から受信したデータを復号化して送信先の端末装置18−1に送信する。暗号通信装置16−1は、他の暗号通信装置16−2〜16−4との最初の通信開始時に、暗号鍵交換プロトコルに従って暗号鍵を生成して交換し、暗号鍵管理テーブル24−1,24−2に登録し、有効期限を設定して管理する。有効期限に近づいたら暗号鍵を暗号鍵更新するが、有効期間中であっても、CPU負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵を更新する。
【選択図】 図1
Description
本発明は、ネットワークを介して接続した暗号通信装置間で交換した暗号鍵を使用して送信データの暗号化と受信データの復号化を行う暗号通信システム、装置、方法及びプログラムに関し、特に暗号化と復号化に使用する暗号鍵に有効期限を設定して動的に管理する暗号通信システム、装置、方法及びプログラムに関する。
従来、暗号化通信にあっては、端末装置を接続した複数の暗号通信装置をWANなどのネットワークを介して接続し、送信元の端末装置から受信した送信フレームを暗号通信装置で暗号鍵を使用して暗号化して他の暗号通信装置に送信する。また他の暗号通信装置から受信した受信フレームを暗号鍵を使用して復号化し、送信先の端末装置に送信している。
このような暗号化通信のプロトコルとしては、近年にあっては、アプリケーションに依存することなく暗号通信を可能とするIPセキュリティプロトコル(IPsec)が広範に利用されている。
IPセキュリティプロトコルはIPネットワーク層に位置し、アプリケーションごとのセキュリティ設定を必要とせず、セキュリティ機能が一本化できる。またIPセキュリティプロトコルでの暗号化には高速通信処理を可能とするため共有暗号鍵暗号化が使用されており、暗号鍵交換プロトコルにより通信に先立って暗号鍵を生成して相手先に引き渡すことで暗号鍵を共有する。共有暗号鍵暗号方式は暗号化と復号化に同じ暗号鍵を使用する方式である。
更に、暗号通信にあっては、攻撃者に暗号鍵を解析されることを防止するために暗号鍵に有効期限を設定し、定期的に暗号鍵を変更するようにしている。この有効期限に達したときの暗号鍵の更新も暗号鍵交換プロトコルにより行う。
図14は従来の暗号通信システムのブロック図である。図14において、センタ拠点100に暗号通信装置106−1を配置し、暗号通信装置106−1には端末装置108−1〜108−3がLANなどで接続されている。暗号通信装置106−1はローカル拠点102−1〜102−3に配置された暗号通信装置106−2〜106−4とWANなどのネットワーク104を介して接続される。
暗号通信装置106−1〜106−4の各々には暗号鍵管理テーブル114−1〜114−4が設けられている。またローカル拠点102−1〜102−3の暗号通信装置106−2〜106−4にはそれぞれ端末装置108−4〜108−6が接続されている。
図15は図14のセンタ拠点100に配置した暗号通信装置106−1のプログラムの実行で実現される機能構成のブロック図である。図15において、暗号通信装置106−1には、フレーム送受信部110−1、暗号鍵交換処理部112−1、暗号鍵管理テーブル114−1及び有効期限管理部116−1が設けられる。
フレーム送受信部1102−1は、暗号通信装置106−1を通過するフレーム(パケットデータ)及び暗号鍵交換用に装置自身が発行するフレームの送受信を行う。装置を通過するフレームに対しては暗号鍵管理テーブル114−1を検索して暗号鍵を取り出し、送信フレームについては暗号化を行い、受信フレームについては復号化を行う。
暗号鍵交換処理部112−1は、暗号鍵交換プロトコルに従って暗号通信を行う相手装置との間で事前の折衝(ネゴシエーション)により暗号鍵情報の交換を行い、暗号鍵の生成を行う。有効期限管理部116−1は、定期的に暗号鍵管理テーブル114−1を走査し、有効期限切れが近い暗号鍵について更新を行うよう暗号鍵交換処理部112−1に指示する。暗号鍵管理テーブル114−1は、図16(A)に示すように、暗号鍵の生成時刻、有効期限、相手装置、暗号鍵を登録している。
暗号鍵の生成は、フレーム送受信部110−1で他の暗号通信装置に転送すべきフレームを受信した場合、暗号鍵管理テーブル114−1を参照し、相手装置に合わせた暗号鍵を検索する。必要な暗号鍵が存在しない場合、暗号鍵交換処理部112−1に暗号鍵の生成を指示する。暗号鍵交換処理部112−1は相手装置との間でネゴシエーションを行って暗号鍵交換プロトコルを決定し、暗号鍵を生成して暗号鍵管理テーブル114−1に登録すると共に、相手装置に暗号鍵情報のフレームを暗号化して送信し、暗号鍵を共有する。
図16(B)〜(D)は、図14のローカル拠点102−1〜102−3に配置した暗号通信装置106−2〜106−4の暗号鍵管理テーブル114−2〜114−4であり、センタ拠点100の暗号通信装置106−1との暗号鍵交換処理により生成された暗号鍵情報が同様に登録されている。
なお、暗号鍵交換処理における暗号鍵の生成は、送信側と受信側のどちら側で行ってもよく、いずれの場合も生成した側は暗号鍵を共有するために相手側に暗号鍵を引き渡す必要がある。
暗号鍵の更新は、図14のシステムでは、図15に示したセンタ拠点100の暗号通信装置106−1に設けた有効期限管理部116−1が定期的に暗号鍵管理テーブル114−1を走査し、有効期限までの残り時間が一定時間以内に迫った暗号鍵について更新を行うよう暗号鍵交換処理部112−1に指示する。暗号鍵交換処理部112−1は最初の暗号鍵交換時と同様に暗号鍵を生成して暗号鍵管理テーブル114−1に登録して更新すると共に、相手装置に暗号鍵情報のフレームを暗号化して送信し、相手装置の暗号鍵を同時に更新する。
特開昭62−181543号公報
特開2004−023237号公報
しかしながら、このような従来の暗号通信システムにあっては、センタ拠点の暗号通信装置106−1の暗号鍵管理テーブル114−1に多数の相手装置の暗号鍵情報を登録して有効期限を管理し、複数の相手装置との運用開始時刻を同時刻に決め且つ同じ有効期間を設定して運用を開始したような場合には、暗号鍵生成時刻が接近していることから有効期限も接近しており、有効期限の間近かで相手装置となる暗号通信装置106−4、106−2,106−3との間で暗号鍵交換処理を順次開始した場合、暗号通信装置106−1の負荷が高くなり、古い暗号鍵の有効期限が切れるまでに新しい暗号鍵が生成できない問題が発生する。
有効期限までに新しい暗号鍵が生成できない場合には、有効期限後に新しい暗号鍵が生成できるまでの間、相手装置との間で通信ができなくなってしまう。
この問題を解消するためには、暗号鍵更新の集中を防止するため、乱数を使用して拠点ごとの有効期限を変動させる手法もある。しかし、有効期限の乱数による変動幅は一定幅に抑えられるため、変動幅の時間内で複数の相手装置との暗号鍵更新が順次行われ、このとき通常のフレーム暗号通信が行われて装置負荷が高いと暗号鍵更新に時間がかかり、古い暗号鍵の有効期限が切れるまでに新しい暗号鍵が生成できない問題が発生する恐れがある。
本発明は、装置負荷と相手装置との通信量を監視して動的に暗号鍵更新を行うことで暗号鍵の有効期限切れによる通信不能状態の発生を未然に防止するようにした暗号通信装置を提供することを目的とする。
(システム)
本発明は暗号通信システムを提供する。本発明は、端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信システムに於いて、
複数の暗号通信装置に、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化するフレーム送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
を設けるとともに、
複数の暗号通信装置の少なくとも一部に、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を設けたことを特徴とする。
本発明は暗号通信システムを提供する。本発明は、端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信システムに於いて、
複数の暗号通信装置に、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化するフレーム送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
を設けるとともに、
複数の暗号通信装置の少なくとも一部に、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を設けたことを特徴とする。
ここで、有効期限管理部は暗号鍵管理テーブルを備え、暗号鍵管理テーブルに、暗号鍵生成日時、有効期限、相手装置、通信量及び暗号鍵を登録して管理する。
暗号通信システムの形態として、特定のセンタ暗号通信装置に対し複数のローカル暗号通信装置を接続して暗号通信する場合、センタ暗号通信装置に、フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設け、ローカル暗号通信装置の各々に、フレーム送受信部及び暗号鍵交換処理部を設ける。
また暗号通信システムの形態とし、複数の暗号通信装置の相互間で暗号通信する場合、複数の暗号通信装置の各々に、フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設ける。
暗号鍵交換処理部は、他の暗号通信装置から最初の受信接続を受けた際に、暗号鍵を生成して交換すると共に、有効期限管理部に暗号鍵の有効期限管理を指示する。
暗号鍵交換処理部は、他の暗号通信装置へ最初に送信接続した際に、暗号鍵を生成して交換すると共に、有効期限管理部に暗号鍵の有効期限管理を指示するようにしても良い。
本発明の暗号通信システムに於いて、装置負荷計測部はCPU負荷を計測し、有効期限管理部は、CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換部に再度の暗号鍵生成による暗号鍵の更新を指示する。
通信量計測部は、通信量として単位時間当りのビットレート(bps)を計測する。
有効期限管理部は、暗号鍵の更新から所定時間は暗号鍵更新を禁止する。
暗号鍵交換処理部は、暗号化と復号化で同じ暗号鍵を使用する共有鍵暗号方式の暗号鍵を生成して交換する。
(装置)
本発明は暗号通信装置を提供する。本発明は、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置を検索して暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を備えたことを特徴とする。
本発明は暗号通信装置を提供する。本発明は、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置を検索して暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を備えたことを特徴とする。
(方法)
本発明は暗号通信方法を提供する。本発明は、端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信方法に於いて、
他の暗号通信方法に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵交換処理ステップに対し再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を備えたことを特徴とする。
本発明は暗号通信方法を提供する。本発明は、端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信方法に於いて、
他の暗号通信方法に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵交換処理ステップに対し再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を備えたことを特徴とする。
(プログラム)
本発明は、暗号通信プログラムを提供する。本発明の暗号通信プログラムは、端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置のコンピュータに、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信プログラム毎の通信量を計測する通信量計測ステップと、
暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵交換処理ステップに対し再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を実行させることを特徴とする。
本発明は、暗号通信プログラムを提供する。本発明の暗号通信プログラムは、端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置のコンピュータに、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信プログラム毎の通信量を計測する通信量計測ステップと、
暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、有効期限に近づいた暗号鍵がない場合は、装置負荷が低い状態を判定した際に、通信量が少ない相手先の暗号通信装置の暗号鍵を検索して暗号鍵交換処理ステップに対し再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を実行させることを特徴とする。
(装置)
本発明は、他の暗号通信装置とネットワークを介して接続されるとともに、端末装置が接続され、端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に送信するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを暗号鍵を使用して復号化する送受信部と、
暗号鍵交換手順に従って、他の暗号通信装置との間でのデータ送受信に用いる暗号鍵を生成する暗号鍵処理部と、
自装置負荷を計測する装置負荷計測部と、
他の暗号通信装置の通信量を計測する通信量計測部と、
装置負荷計測部によって負荷が低い状態を判定した際に、通信量計測部による計測結果に基づいて通信量が少ない他の暗号通信装置を検索して、暗号鍵交換処理部に当該他の暗号通信装置との間の暗号鍵更新を指示する管理部と、
を備えたことを特徴とする。
本発明は、他の暗号通信装置とネットワークを介して接続されるとともに、端末装置が接続され、端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に送信するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを暗号鍵を使用して復号化する送受信部と、
暗号鍵交換手順に従って、他の暗号通信装置との間でのデータ送受信に用いる暗号鍵を生成する暗号鍵処理部と、
自装置負荷を計測する装置負荷計測部と、
他の暗号通信装置の通信量を計測する通信量計測部と、
装置負荷計測部によって負荷が低い状態を判定した際に、通信量計測部による計測結果に基づいて通信量が少ない他の暗号通信装置を検索して、暗号鍵交換処理部に当該他の暗号通信装置との間の暗号鍵更新を指示する管理部と、
を備えたことを特徴とする。
(情報処理装置)
本発明は、他装置と接続され、他装置との間で情報の送受信を行う情報処理装置に於いて、
暗号鍵により暗号化された送信情報を他装置に送信すると共に、他装置からの受信情報を前記暗号鍵による復号化する送受信部と、
自装置の負荷を計測する装置負荷計測部と、
装置負荷計測部によって負荷が低い状態を判定した際に、通信量が少ない他装置を検索して、当該他装置との間の情報送受信に用いられる暗号鍵を更新する管理部と、
を備えたことを特徴とする。
本発明は、他装置と接続され、他装置との間で情報の送受信を行う情報処理装置に於いて、
暗号鍵により暗号化された送信情報を他装置に送信すると共に、他装置からの受信情報を前記暗号鍵による復号化する送受信部と、
自装置の負荷を計測する装置負荷計測部と、
装置負荷計測部によって負荷が低い状態を判定した際に、通信量が少ない他装置を検索して、当該他装置との間の情報送受信に用いられる暗号鍵を更新する管理部と、
を備えたことを特徴とする。
ここで、情報処理装置は複数の他装置に接続されており、暗号鍵処理部は、複数の他装置のそれぞれに対応して、異なる暗号鍵を生成する。
本発明によれば、有効期限を設定した暗号鍵の管理に加え、暗号鍵の有効期間中に、CPU負荷が低い状態で通信量の少ない相手装置の暗号鍵を検索して暗号鍵更新を行うため、複数の暗号通信装置の運用開始を同時刻で行い且つ同じ有効期限を設定して暗号鍵更新の管理を開始したとしても、有効期限の間近で複数の相手装置との暗号鍵更新が集中して有効期限内に暗号鍵が更新されずに一時的に通信不能となる状態を確実に回避し、暗号通信の安全性を高めることができる。
また複数の相手装置との暗号鍵の更新タイミングは、装置自身のCPU負荷と相手装置との通信量に応じて動的に変化するため、運用開始直後は有効期限が接近していても、有効期間中に動的な暗号鍵の更新が行われることで、更新後の有効期限は相互にずれて時間的に分散し、従来の乱数を使用した手法に比べ、確実に有効期限を分散させることができる。
図1は本発明による暗号通信システムの実施形態を示したブロック図であり、この実施形態にあっては、センタ拠点で暗号鍵の有効期限を集中管理するようにしたことを特徴とする。
図1において、本実施形態の暗号通信システムは、センタ拠点10に対しローカル拠点12−1,12−2,12−3をWANなどのネットワークを介して接続している。
センタ拠点10及びローカル拠点12−1〜12−3のそれぞれには本発明による暗号通信装置16−1,16−2,16−3,16−4が設けられ、それぞれ暗号鍵管理テーブル24−1,24−2,24−3,24−4を備えている。
センタ拠点10の暗号通信装置16−1に対しては、LANなどにより端末装置18−1,18−2,18−3が接続されている。またローカル拠点12−1〜12−3については、それぞれの暗号通信装置16−2〜16−4に対し端末装置18−4〜18−6がLANなどにより接続されている。
センタ拠点10とローカル拠点12−1〜12−3をネットワーク14で接続した暗号通信システムとしては、センタ拠点10が例えば企業の本店であり、ローカル拠点12−1〜12−3がその支店のような場合である。
本実施形態の暗号通信システムにあっては、センタ拠点10の暗号通信装置16−1において、ローカル拠点12−1〜12−3との間で暗号通信に使用する暗号鍵に有効期限を設定し、この暗号鍵の有効期限を管理している。
図2は図1のセンタ拠点に配置した本発明による暗号通信装置16−1の実施形態を示した機能構成のブロック図であり、この機能構成は、暗号通信装置16−1を構成するコンピュータにより本実施形態の暗号通信プログラムを実行することによって実現される機能である。
図2において、センタ拠点の暗号通信装置16−1には、フレーム送受信部20−1、暗号鍵交換処理部22−1、暗号鍵管理テーブル24−1、有効期限管理部26−1、CPU負荷計測部28−1及び通信量計測部30−1が設けられている。
フレーム送受信部20−1は暗号通信装置16−1を通過するフレーム(パケットデータ)、具体的には図1の端末装置18−1〜18−3からの送信フレームに対し、暗号鍵を使用して暗号化し、またネットワーク14を介して受信される他のローカル拠点12−1〜12−3の暗号通信装置16−2〜16−4からの受信フレームに対し暗号鍵を使用して復号化し、復号化したフレームを端末装置18−1〜18−3側に出力する。
暗号鍵交換処理部22−1は、他の暗号通信装置との最初の通信開始時に事前の折衝(ネゴシエーション)を伴う所定の暗号鍵交換プロトコルに従って暗号鍵を生成し、装置自身の暗号鍵管理テーブル24−1に登録すると共に、相手装置に引き渡して暗号鍵を共有する。
本実施形態の暗号通信方式としては、例えばIETFが標準化を進めている暗号通信方式の標準規格であるIPSec(IPセキュリティプロトコル)を使用する。IPSecは、暗号方式として暗号化と復号化に同じ暗号鍵を使用する共有暗号鍵暗号方式を採用しており、公開暗号鍵と秘密暗号鍵を使用する公開暗号鍵暗号方式に比較すると共有暗号鍵暗号方式の方が暗号化及び復号化の処理速度が高速であることから、これを使用している。
IPSecで使用される暗号化アルゴリズムとしては複数の暗号化アルゴリズムが含まれるが、DES(Data Encryption Standard)の実装が必須となっている。
IPSecにあっては、暗号通信時に実際に使用する暗号化アルゴリズムと暗号鍵については、通信の開始直前に相手装置とのネゴシエーション(事前折衝)により動的に決定し、交換が行われる。即ち、ネゴシエーションの過程で相互に使用可能な暗号化アルゴリズムの提示が行われ、双方で利用可能な暗号化アルゴリズムが決定される。この場合、両者の暗号化アルゴリズムに相違があっても、最低限DESによる合意は可能である。
暗号通信で使用する暗号化アルゴリズムが決定されると、続いて決定した暗号化アルゴリズムに使用する暗号鍵の交換が行われる。この暗号鍵の交換は暗号鍵交換処理部22−1で実行される。暗号鍵交換処理部22−1の暗号鍵交換プロトコルとしては、IPSecの場合、IKE(Internet Key Exchange)を規定している。
暗号鍵交換プロトコルIKEは2段階の処理で構成され、第1段階では暗号鍵交換のためにのみ使用する暗号化アルゴリズムを決定する。次の第2段階にあっては、暗号鍵交換プロトコルIKE限定の暗号通信が可能となり、IPSecによる暗号通信のためのネゴシエーションを開始し、暗号化アルゴリズムの決定と、暗号鍵の生成と交換を行うことになる。
また暗号鍵交換プロトコルIKEによる暗号鍵の生成交換は、暗号通信を行う2つの暗号通信装置の送信側で行ってもよいし、受信側で行ってもよい。いずれの場合にも、暗号鍵を生成した場合には相手装置に対し暗号鍵を引き渡して共有することになる。
暗号鍵管理テーブル24−1には、暗号鍵交換処理部22−1で生成されて相手装置と共有した暗号鍵が登録され、有効期限が設定されて管理される。暗号鍵管理テーブル24−1は例えば図4(A)の内容を持つ。図4(A)の暗号鍵管理テーブル24−1は、暗号鍵生成時刻、有効期限、相手装置、通信量及び暗号鍵を登録して管理している。
この図4(A)のセンタ拠点10の暗号通信装置16−1に設けた暗号鍵管理テーブル24−1に対応して、相手装置であるローカル拠点12−1〜12−3の暗号通信装置16−2〜16−4に設けた暗号鍵管理テーブル24−2,24−3,24−4の内容は、図4(B)(C)及び(D)に示す内容となる。
例えば図4(A)のセンタ拠点10における暗号鍵管理テーブル24−1の1行目の管理レコードは、相手装置がローカル拠点12−3の暗号通信装置16−4であり、暗号鍵生成時刻は「2006/4/1 3:00:45」であり、有効期間をこの場合には24時間に設定していることから有効期限は「2006/4/2 3:00:45」となっている。なお、暗号鍵の有効期間としては、一般に8時間、24時間が設定可能であり、必要に応じていずれか一方を選択して設定する。
一方、この管理レコードの相手装置である暗号通信装置16−4の図4(D)の暗号鍵管理テーブル24−4にあっては、暗号鍵生成時刻、有効期限は図4(A)の1行目の管理レコードと同じであり、相手装置がセンタ拠点の暗号通信装置16−1となっている。
図4(A)のセンタ拠点10における暗号管理テーブル24−1の2行目及び3行目は、相手装置がローカル拠点12−1の暗号通信装置16−2及びローカル拠点12−2の暗号通信装置16−3であり、暗号鍵生成時刻は1行目の管理レコードとほぼ同時刻であり、1行目が同時刻の45秒であるのに対し、2行目が2秒後の47秒、3行目が11秒後の56秒となり、ほぼ同時刻に暗号鍵の生成が行われている。
具体的には、図1の暗号通信システムにあっては、例えばシステムの運用開始時にあっては予め決められた運用開始時刻に、ローカル拠点12−1〜12−3に設けた端末装置18−4,18−5,18−6からセンタ拠点10の例えば端末装置18−1に対し最初のフレーム送信を行う。したがって、ローカル拠点12−1〜12−3に設けている暗号通信装置16−2,16−3,16−4のうち、最初にフレーム送信を端末装置側から受けた装置において暗号鍵交換処理が起動し、センタ拠点10の暗号通信装置16−1とのあいだで暗号鍵交換プロトコルIKEに従ったネゴシエーションにより暗号鍵の生成と交換による暗号鍵の共有を行うことになる。
もちろん暗号通信システムにおける別の運用形態として、予め定めた運用時刻にセンタ拠点の端末装置18−1〜18−3からローカル拠点12−1,12−2,12−3側の端末装置18−4,18−5,18−6に対し最初のフレーム送信を行い、暗号通信装置16−1側の暗号鍵交換処理部で暗号鍵を生成して分配することにより暗号通信を開始するようにしても良い。
再び図2を参照するに、有効期限管理部26−1は、図4(A)のように、暗号鍵管理テーブル24−1に暗号鍵を登録した際に有効期限を設定し、設定した有効期限を管理する。即ち、有効期限管理部26−1は暗号鍵管理テーブル24−1を検索し、有効期限に対する残り時間が予め定めた所定時間以下となった暗号鍵を検索した場合、暗号鍵交換処理部22−1に対し暗号鍵の更新を指示する。この暗号鍵の更新を受けた暗号鍵交換処理部22−1は、通信開始時と同じ暗号鍵交換プロトコルにより暗号鍵の生成と交換を行い、装置自身及び相手装置の暗号鍵を更新する。
ここで、有効期限管理部26−1で暗号鍵の更新を指示する有効期限までの一定の残り時間としては、管理交換プロトコルにより期限前に暗号鍵の生成交換による更新が完了できるに十分な時間を設定している。
このような有効期限を使用した暗号鍵の更新に加え本実施形態にあっては、有効期限管理部26−1で有効期限に近付いた暗号鍵がない場合についても、暗号通信装置16−1の装置負荷であるCPU負荷を計測し、CPU負荷の過去一定時間の平均値が所定の閾値以下の状態を判定した際に、通信量が所定値以下となる通信量の少ない相手先の暗号通信装置との暗号鍵を検索して、暗号鍵交換処理部22−1に暗号鍵の更新を指示する。
このため、有効期限管理部26−1に対してはCPU負荷計測部28−1と通信量計測部30−1が設けられている。CPU負荷計測部28−1は、暗号通信装置16−1のプログラムを実行するCPUの負荷を計測して出力する。また通信量計測部30−1は、フレーム送受信部20−1による暗号通信の通信量、具体的にはビットレート(bps)を計測して、有効期限管理部26−1に出力している。
図3は図1のローカル拠点12−1〜12−3に配置した本発明による暗号通信装置の実施形態をローカル拠点12−1の暗号通信装置16−2について示した機能構成のブロック図である。
図3のローカル拠点に設置される暗号通信装置16−2は、フレーム送受信部20−2、暗号鍵交換処理部22−2及び暗号鍵管理テーブル24−2を備えているが、図1の実施形態にあっては、暗号鍵の有効期限管理はセンタ拠点の暗号通信装置16−1のみで行っていることから、図2のセンタ拠点の暗号通信装置16−1に設けている有効期限管理部26−1、CPU負荷計測部28−1及び通信量計測部30−1に相当する機能は無効化されて動作しないことから、これを点線で示している。
図5は本実施形態の暗号通信プログラムを実行するコンピュータのハードウエア環境のブロック図である。図5において、暗号通信装置を実現するコンピュータはCPU32を備え、CPU32のバス34に対し、RAM36、ROM38、ハードディスクドライブ40、キーボード44,マウス46及びディスプレイ48を接続するデバイスインタフェース42、外部のネットワークと接続するWAN用ネットワークアダプタ50、及び内部の端末装置と接続するLAN用ネットワークアダプタ52を接続している。
ハードディスクドライブ40には本発明による暗号通信を実行するためのプログラムが格納されており、コンピュータを起動した際にブートアップによりOSをRAM36に読出し配置した後に、アプリケーションプログラムとしての本発明の暗号通信プログラムがRAM36に読み出し配置し、CPU32により実行する。
図6は図1のセンタ拠点10に設けた暗号通信装置16−1による暗号通信処理のフローチャートであり、このフローチャートの手順が、図2に示した機能構成を実現するセンタ拠点の暗号通信装置16−1の暗号通信プログラムの内容となる。
図6において、センタ拠点暗号通信処理は、まずステップS1で運用開始時に伴うローカル拠点の暗号通信装置からの受信の有無をチェックしている。図1の暗号通信システムにあっては、運用開始時にローカル拠点からセンタ拠点に対しフレーム送信が行われることから、このフレーム送信に伴う通信開始時に暗号鍵交換処理が起動され、暗号鍵交換処理に伴うネゴシエーションによる通信接続がステップS1で受信される。
続いてステップS2で暗号鍵交換処理要求か否かチェックし、暗号鍵交換処理要求であった場合にはステップS3に進み、暗号鍵交換処理を実行する。この暗号鍵交換処理は、既に説明した暗号化アルゴリズムIPSecにおける暗号鍵交換プロトコルIKEによる暗号鍵の生成と交換を行い、センタ拠点の暗号通信装置16−1とローカル拠点側の相手装置とで暗号鍵を共有する。
続いてステップS4で、暗号鍵交換処理により生成した暗号鍵を暗号鍵管理テーブル24−1に登録し、図4(A)に示したように、暗号鍵生成時刻に対し例えば有効期間24時間による有効期限を設定する。
一方、ステップS2でローカル拠点からの受信フレームが暗号鍵交換処理要求でなかった場合には、ステップS5に進み、暗号鍵管理テーブル24−1を検索して相手装置に対応する暗号鍵を取得し、取得した暗号鍵を使用して受信フレームを復号化し、送信先の端末装置に送信する。続いてステップS6で、このときのフレーム通信における通信量を計測し、図4(A)の暗号鍵管理テーブル24−1に示すように通信量の値を更新する。
一方、ステップS1でローカル拠点の暗号通信装置からの受信でなかった場合にはステップS7に進み、ローカル拠点の暗号通信装置に対する送信か否かチェックする。このとき送信元の端末装置側からの送信フレームが受信されるとステップS8に進み、暗号鍵管理テーブル24−1を検索して相手装置との暗号鍵を検索し、登録の有無をチェックする。もし暗号鍵の登録がなければステップS9に進み、暗号鍵交換処理を実行し、暗号鍵を生成して相手装置と交換し、ステップS10で生成した暗号鍵を暗号鍵管理テーブルに登録し、有効期限を設定する。
ステップS8で相手装置との暗号鍵の登録が判別された場合には、ステップS11に進み、対応する暗号鍵により送信フレームを暗号化して相手先の暗号通信装置に送信する。そしてステップS12で、このときの送信フレームによる通信量を計測して、図4(A)の暗号鍵管理テーブル24−1の通信量を更新する。
続いてステップS13で有効期限管理処理を実行し、この詳細は図7のフローチャートに示すようになる。このようなステップS1〜S13の処理を、ステップS14で停止指示があるまで繰り返している。
図7は図1のローカル拠点の暗号通信装置16−2,16−3,16−4のそれぞれで行われるローカル拠点暗号通信処理のフローチャートであり、図3に示したローカル拠点の暗号通信装置16−2の機能構成を実現するプログラムの処理内容を表わしている。
図7において、ローカル拠点の暗号通信処理は、ステップS1でセンタ拠点の暗号通信装置16−1からの受信を判別するとステップS2に進み、この受信が通信開始時の暗号鍵交換要求であることを判別すると、ステップS3で暗号鍵交換処理を実行し、ステップS4で生成した暗号鍵を装置自身の暗号鍵管理テーブルに登録し、有効期限を設定する。
ここで、図1の暗号通信システムにあっては、ローカル拠点12−1〜12−3側からのフレーム送信で運用を開始していることから、センタ拠点側からの暗号鍵交換要求に伴うステップS3,S4の処理はスキップすることになる。
運用中にステップS1でセンタ拠点の暗号通信装置からの暗号化されたフレームの受信が判別された場合には、ステップS2で暗号鍵交換要求でないことが判別されてステップS5に進み、対応する暗号鍵により受信フレームを復号化し、送信先の端末装置に送信する。
ステップS6で装置自身に接続している端末装置からセンタ拠点の暗号通信装置16−1に対する送信フレームを判別した場合には、ステップS7に進み、装置自身の暗号鍵管理テーブルを検索し、暗号鍵の登録の有無をチェックする。
ここで運用開始時にあっては、ローカル拠点12−1〜12−3側からセンタ拠点10に対しフレーム送信を行うことから、運用開始時にステップS7で暗号鍵管理テーブルを検索しても相手装置との暗号鍵の登録が得られず、この場合にはステップS8に進み、暗号鍵交換処理を実行し、例えばローカル拠点側で暗号鍵を生成し、これをセンタ拠点側に引き渡して共有する。続いてステップS9で、生成した暗号鍵を暗号鍵管理テーブルに登録し、有効期限を設定する。
運用開始後に暗号鍵の登録が済んだ状態で、ステップS6でセンタ拠点に対するフレーム送信が判別された場合には、ステップS7で相手装置との暗号鍵の登録があることから、ステップS10に進み、対応する暗号鍵により送信フレームを暗号化して、相手先となるセンタ拠点の暗号通信装置16−1に送信する。このようなステップS1〜S10の処理を、ステップS11で停止指示があるまで繰り返す。
また図7のローカル拠点暗号通信処理にあっては、暗号鍵管理テーブルに登録した暗号鍵の有効期限の管理についてはセンタ拠点側で行っていることから、図12のセンタ拠点における暗号通信処理におけるステップS6,S12の通信量の更新、及びステップS13の有効期限管理処理は除かれている。
図8は図6のステップS13におけるセンタ拠点における有効期限管理処理の詳細を示したフローチャートである。図8において、有効期限管理処理は、図2の有効期限管理部26−1が暗号鍵管理テーブル24−1を走査し、有効期限切れ間近の暗号鍵があるか否か検索する。具体的には、有効期限に対する残り時間が所定時間以下となった暗号鍵を有効期限切れ間近の暗号鍵として検索する。
この検索により、ステップS2で有効期限間近の該当する暗号鍵が判別されると、ステップS9に進み、暗号鍵交換処理部22−1に検索した暗号鍵の更新処理を指示する。これにより暗号鍵交換処理部22−1は、更新対象となった暗号鍵を共有している相手装置との間で暗号鍵交換プロトコルIKEに従ったネゴシエーションを経て暗号鍵の生成と交換を行って、それぞれ暗号鍵管理テーブルに登録することで、暗号鍵の更新とこれに伴う有効期限の再設定を行うことになる。
一方、ステップS2で有効期限切れ間近の暗号鍵がなかった場合には、ステップS3に進み、CPU負荷計測部28−1で計測している過去一定時間のCPU負荷の平均値を読み込み、ステップS4でCPU負荷は閾値以下か否かチェックする。
CPU負荷が閾値以下であった場合にはCPU負荷は小さいと判断し、ステップS5に進み、暗号鍵管理テーブル24−1の登録済暗号鍵の中から通信量が所定の閾値以下の暗号鍵を検索する。
この暗号鍵検索によりステップS6で通信量が閾値以下に該当する暗号鍵を判別すると、ステップS7に進み、複数の暗号鍵が該当したか否かチェックし、単一であればステップS9に進んで、有効期限切れ間近の場合と同様、暗号鍵交換処理部22−1に対し暗号鍵の更新を指示する。
またステップS7で複数の暗号鍵の該当が判別された場合には、ステップS8で、その中で最小通信時間の暗号鍵を検索し、同じくステップS9に進み、暗号鍵交換処理部22−1に暗号鍵の更新を指示する。
このような有効期限管理処理により、運用開始時にあっては、例えば図4(A)のセンタ拠点における暗号鍵管理テーブル24−1に示すように、相手装置の暗号鍵の暗号鍵生成時刻がほぼ同じであることで有効期限も同じ時刻に集中しているが、その後の運用中におけるセンタ拠点10の暗号通信装置16−1のCPU負荷の状態と、相手装置であるローカル拠点12−1〜12−3の装置との間の通信量に基づき、有効期限に達する前に動的にCPU負荷と通信量による暗号鍵更新の条件を満足した暗号鍵につき暗号鍵更新処理が実行され、その結果、暗号鍵生成時刻がCPU負荷と通信利用に依存して適宜に分散し、これに伴う有効期限も分散することになる。
したがって、通信開始時刻を同一にして同じ有効期限で複数の装置に対する暗号鍵の有効期限を管理していても、有効期限がシステム運用を通じて分散することで、特定の装置の暗号鍵が有効期限に達したときに、その前後に接近して他の装置の暗号鍵の有効期限が存在する確率が大幅に低減し、暗号鍵更新処理が集中することで有効期限までに暗号鍵の更新ができずに通信不能となる状態発生を確実に防止することができる。
図9は図6のステップS13における有効期限管理処理の他の実施形態を示したフローチャートであり、この実施形態にあっては、有効期間の中に暗号鍵更新禁止期間を設定して有効期限管理を行うようにしたことを特徴とする。
本実施形態における暗号鍵の有効期限は、暗号鍵生成日時から例えば24時間あるいは8時間といった決まった有効時間による有効期限を設定しているが、図8の実施形態におけるCPU負荷と通信量に基づく暗号鍵の更新によれば、この2つの条件が満たされた場合、有効期間の初期段階であっても暗号鍵の更新が行われてしまう。
しかしながら、一度生成した暗号鍵は、ある程度の時間に亘って使用しなければ無意味であることから、図9の実施形態にあっては、有効期間の開始時刻、即ち暗号鍵の生成時刻から一定時間の暗号鍵更新禁止期間を設定し、この暗号鍵更新禁止期間についてはCPU負荷及び通信量による暗号鍵更新の条件が満たされても暗号鍵の更新を行えないようにしている。
これによって、CPU負荷と通信量から暗号鍵更新を行うようにしても、暗号鍵の更新から暗号鍵更新禁止期間となる一定時間は暗号鍵の更新が禁止され、生成した暗号鍵の使用期間が不必要に短くなってしまうことを防止できる。
この暗号鍵更新禁止期間を設定した図9の有効期限管理処理にあっては、ステップS1〜S8については図8の有効期限管理処理と同じであるが、ステップS9で現在の暗号鍵生成時刻からの経過時間が予め設定した暗号鍵更新の禁止期間か否かチェックし、もし禁止期間であれば、ステップS10の暗号鍵の更新処理をスキップして、暗号鍵更新禁止期間における暗号鍵の更新を行わないようにしている。
ここで有効期間に対しどのくらいの暗号鍵更新禁止期間を設定するかは、図1の暗号通信システムにおける運用履歴から統計的に決めることが望ましい。具体的には、デフォルトとしての暗号鍵更新禁止期間を例えば有効期間の50%に設定しておき、暗号鍵の更新が集中するようであればディフォルトの暗号鍵更新禁止期間を短くし、一方、暗号鍵更新が十分に分散するようであればディフォルトの暗号鍵更新禁止期間を長くするように調整すればよい。
図10は本発明による暗号通信システムの他の実施形態を示したブロック図であり、この実施形態にあっては、拠点の各々で暗号鍵の有効期限を管理するようにしたことを特徴とする。
図10にあっては、例えば4つの拠点10−1〜10−4をネットワーク14を介して接続し、拠点10−1〜10−4のそれぞれには暗号通信装置16−11,16−12,16−13,16−14が配置され、それぞれ2台ずつ端末装置18−11,18−12、端末装置18−21,18−22、端末装置18−31,18−32及び端末装置18−41,18−42を接続している。
暗号通信装置16−11〜16−14のそれぞれには暗号鍵管理テーブル24−11,24−12,24−13,24−14が設けられている。
図10の実施形態における暗号通信装置16−11〜16−14のプログラム実行に伴う機能構成は、図2に示した図1の暗号通信システムにおけるセンタ拠点10の暗号通信装置16−1と同様、フレーム送受信部20−1、暗号鍵交換処理部22−1、暗号鍵管理テーブル24−1、有効期限管理部26−1、CPU負荷計測部28−1及び通信量計測部30−1を備えている。
また暗号鍵管理テーブル24−11〜24−14を使用した有効期限の管理は、それぞれの暗号通信装置16−11〜16−14で行われるが、重複した有効期限の管理を回避するため、本実施形態にあっては例えば暗号鍵を生成した装置で有効期限を管理するようにしている。
図11は図10の暗号通信装置16−11〜16−14に設けた暗号鍵管理テーブル24−11,24−12,24−13,24−14の内容を、図11(A)、図11(B)、図11(C)、図11(D)にそれぞれ示している。
暗号鍵管理テーブル24−11〜24−14は、図1の暗号通信システムの場合と同様、暗号鍵生成時刻、有効期限、相手装置、通信量及び暗号鍵を登録しているが、更に有効期限管理を行うため暗号鍵の生成フラグを新たに設けている。
暗号鍵の生成フラグは、暗号鍵を生成した装置側で「1」にセットし、暗号鍵を生成せずに受け渡された装置側では「0」にリセットされており、暗号鍵の有効期限の管理は生成フラグが「1」にセットされている暗号鍵について行うことになる。
図11(A)の拠点10−1の暗号通信装置16−11に設けた暗号鍵管理テーブル24−11にあっては、1行目と3行目の相手装置が拠点10−4の暗号通信装置16−14と拠点10−3の暗号通信装置16−13について「1」にセットされており、この2つの暗号鍵について有効期限を管理している。
一方、拠点10−1,10−3の暗号通信装置16−11,16−13で管理している暗号鍵については、暗号鍵を生成した図11(C)の暗号通信装置16−3の暗号鍵管理テーブル24−13の生成フラグが「1」にセットされており、暗号通信装置16−3で有効期限が管理されている。
図12は図10の各拠点の暗号通信装置16−11〜16−14のそれぞれで行われる暗号通信処理のフローチャートである。この各拠点で行われる暗号通信処理は、図6に示した図1におけるセンタ拠点10の暗号通信装置16−1の暗号通信処理と基本的に同じであり、相違点は、ステップS1及びステップS2でローカル拠点の暗号通信装置ではなく、相互接続している他の暗号通信装置からの受信または送信をチェックしている点だけである。
図13は図12のステップS13における有効期限管理処理の詳細を示したフローチャートである。この有効期限管理処理は図9に示した図1のセンタ拠点における有効期限管理処理と同じであるが、相違点はステップS1で図11に示したようにそれぞれの暗号鍵管理テーブル24−11〜24−14における生成フラグが「1」にセットされた暗号鍵を対象に有効期限切れ間近の暗号鍵か否かを検索している点であり、それ以外の点は同じ処理となる。
また図13の実施形態にあっては、暗号鍵更新の禁止期間を設定してステップS9で暗号鍵更新禁止期間か否か判別しているが、ステップS9の処理を除いて図8の有効期限管理処理と同じ処理としてもよい。
また本発明は、図6〜図7,図12に示した暗号通信プログラムを格納した記録媒体を提供する。この記録媒体は、CD−ROM、フロッピィディスク(R)、DVDディスク、光磁気ディスク、ICカードなどの可搬型記録媒体や、コンピュータシステムの内外に備えられたハードディスクドライブなどの記憶装置の他、回線を介してプログラムを保持するデータベース、更には他のコンピュータシステム並びにそのデータベースや、更に回線上の伝送媒体を含むものである。
なお上記の実施形態は暗号化通信の暗号鍵として暗号化と復号化で同じ暗号鍵を使用する共有鍵暗号方式を例に取るものであったが、暗号化と復号化で別々の暗号鍵を用いる方式である公開鍵方式に適用することもできる。
また上記の実施形態は暗号化プロトコルとしてIPSec(IPセキュリティプロトコル)を例に取るものであったが、それ以外のアプリケーション依存となるSSL,SSH,S/MIME,PGPなどであってもよい。
また本発明はその目的と利点を損なうことのない適宜の変形を含み、更に上記の実施形態に示した数値による限定は受けない。
ここで本発明の特徴をまとめて列挙すると次の付記のようになる。
(付記)
(付記1)(システム)
端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信システムに於いて、
前記複数の暗号通信装置に、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化するフレーム送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
を設け、
前記複数の暗号通信装置の少なくとも一部に、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
前記暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を設けたことを特徴とする暗号通信システム。(1)
(付記)
(付記1)(システム)
端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信システムに於いて、
前記複数の暗号通信装置に、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化するフレーム送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
を設け、
前記複数の暗号通信装置の少なくとも一部に、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
前記暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を設けたことを特徴とする暗号通信システム。(1)
(付記2)(暗号鍵管理テーブル)
付記1記載の暗号通信システムに於いて、前記有効期限管理部は暗号鍵管理テーブルを備え、前記暗号鍵管理テーブルに、暗号鍵生成日時、有効期限、相手装置、通信量及び暗号鍵を登録して管理することを特徴とする暗号通信システム。
付記1記載の暗号通信システムに於いて、前記有効期限管理部は暗号鍵管理テーブルを備え、前記暗号鍵管理テーブルに、暗号鍵生成日時、有効期限、相手装置、通信量及び暗号鍵を登録して管理することを特徴とする暗号通信システム。
(付記3)(1:n暗号通信システム)
付記1記載の暗号通信システムに於いて、一台のセンタ暗号通信装置に対し複数のローカル暗号通信装置を接続して暗号通信する場合、
前記センタ暗号通信装置に、前記フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設け、
前記ローカル暗号通信装置の各々に、前記フレーム送受信部及び暗号鍵交換処理部を設けたことを特徴とする暗号通信システム。(2)
付記1記載の暗号通信システムに於いて、一台のセンタ暗号通信装置に対し複数のローカル暗号通信装置を接続して暗号通信する場合、
前記センタ暗号通信装置に、前記フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設け、
前記ローカル暗号通信装置の各々に、前記フレーム送受信部及び暗号鍵交換処理部を設けたことを特徴とする暗号通信システム。(2)
(付記4)(相互暗号通信システム)
付記1記載の暗号通信システムに於いて、複数の暗号通信装置の相互間で暗号通信する場合、前記複数の暗号通信装置の各々に、前記フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設けたことを特徴とする暗号通信システム。(3)
付記1記載の暗号通信システムに於いて、複数の暗号通信装置の相互間で暗号通信する場合、前記複数の暗号通信装置の各々に、前記フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設けたことを特徴とする暗号通信システム。(3)
(付記5)(最初の受信接続で暗号鍵を生成交換して期限管理)
付記1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、他の暗号通信装置から最初の受信接続を受けた際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信システム。(4)
付記1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、他の暗号通信装置から最初の受信接続を受けた際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信システム。(4)
(付記6)(最初の送信接続で暗号鍵を生成交換して期限管理)
付記1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、他の暗号通信装置へ最初に送信接続した際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信システム。(5)
付記1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、他の暗号通信装置へ最初に送信接続した際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信システム。(5)
(付記7)(装置負荷の詳細)
付記1記載の暗号通信システムに於いて、
前記装置負荷計測部はCPU負荷を計測し、
前記有効期限管理部は、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換部に再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信システム。(6)
付記1記載の暗号通信システムに於いて、
前記装置負荷計測部はCPU負荷を計測し、
前記有効期限管理部は、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換部に再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信システム。(6)
(付記8)(通信料測定の詳細bps)
付記1記載の暗号通信システムに於いて、前記通信量計測部は、前記通信量として単位時間当りのビットレートを計測することを特徴とする暗号通信システム。
付記1記載の暗号通信システムに於いて、前記通信量計測部は、前記通信量として単位時間当りのビットレートを計測することを特徴とする暗号通信システム。
(付記9)(暗号鍵更新の禁止期間)
付記1記載の暗号通信システムに於いて、前記有効期限管理部は、前記暗号鍵の更新から所定時間は暗号鍵更新を禁止することを特徴とする暗号通信システム。(7)
付記1記載の暗号通信システムに於いて、前記有効期限管理部は、前記暗号鍵の更新から所定時間は暗号鍵更新を禁止することを特徴とする暗号通信システム。(7)
(付記10)(共有鍵暗号方式)
付記1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、暗号化と復号化で同じ暗号鍵を使用する共有鍵暗号方式の暗号鍵を生成して交換することを特徴とする暗号通信システム。
付記1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、暗号化と復号化で同じ暗号鍵を使用する共有鍵暗号方式の暗号鍵を生成して交換することを特徴とする暗号通信システム。
(付記11)(装置)
端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
前記暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を備えたことを特徴とする暗号通信装置。(8)
端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
前記暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を備えたことを特徴とする暗号通信装置。(8)
(付記12)(暗号鍵管理テーブル)
付記11記載の暗号通信システムに於いて、前記有効期限管理部は暗号鍵管理テーブルを備え、前記暗号鍵管理テーブルに、暗号鍵生成日時、有効期限、相手装置、通信量及び暗号鍵を登録して管理することを特徴とする暗号通信装置。
付記11記載の暗号通信システムに於いて、前記有効期限管理部は暗号鍵管理テーブルを備え、前記暗号鍵管理テーブルに、暗号鍵生成日時、有効期限、相手装置、通信量及び暗号鍵を登録して管理することを特徴とする暗号通信装置。
(付記13)(最初の受信接続で暗号鍵を生成交換して期限管理)
付記11記載の暗号通信装置に於いて、前記暗号鍵交換処理部は、他の暗号通信装置から最初の受信接続を受けた際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信装置。
付記11記載の暗号通信装置に於いて、前記暗号鍵交換処理部は、他の暗号通信装置から最初の受信接続を受けた際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信装置。
(付記14)(最初の送信接続で暗号鍵を生成交換して期限管理)
付記11記載の暗号通信装置に於いて、前記暗号鍵交換処理部は、他の暗号通信装置へ最初に送信接続した際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信装置。
付記11記載の暗号通信装置に於いて、前記暗号鍵交換処理部は、他の暗号通信装置へ最初に送信接続した際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信装置。
(付記15)(装置負荷の詳細)
付記11記載の暗号通信装置に於いて、
前記装置負荷計測部はCPU負荷を計測し、
前記有効期限管理部は、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換部に再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信装置。
付記11記載の暗号通信装置に於いて、
前記装置負荷計測部はCPU負荷を計測し、
前記有効期限管理部は、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換部に再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信装置。
(付記16)(暗号鍵更新の禁止期間)
付記11記載の暗号通信装置に於いて、前記有効期限管理部は、前記暗号鍵の更新から所定時間は暗号鍵更新を禁止することを特徴とする暗号通信装置。
付記11記載の暗号通信装置に於いて、前記有効期限管理部は、前記暗号鍵の更新から所定時間は暗号鍵更新を禁止することを特徴とする暗号通信装置。
(付記17)(方法)
端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信方法に於いて、
他の暗号通信方法に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
前記暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を備えたことを特徴とする暗号通信方法。(9)
端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信方法に於いて、
他の暗号通信方法に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
前記暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を備えたことを特徴とする暗号通信方法。(9)
(付記18)(装置負荷の詳細)
付記17記載の暗号通信方法に於いて、
前記装置負荷計測ステップはCPU負荷を計測し、
前記有効期限管理ステップは、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換ステップに再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信方法。
付記17記載の暗号通信方法に於いて、
前記装置負荷計測ステップはCPU負荷を計測し、
前記有効期限管理ステップは、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換ステップに再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信方法。
(付記19)(プログラム)
端末プログラムを接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置のコンピュータに、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
前記暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置を検索して前記暗号鍵交換処理ステップに再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を実行させることを特徴とする暗号通信プログラム。(10)
端末プログラムを接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置のコンピュータに、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
前記暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置を検索して前記暗号鍵交換処理ステップに再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を実行させることを特徴とする暗号通信プログラム。(10)
(付記20)(装置負荷の詳細)
付記19記載の暗号通信プログラムに於いて、
前記装置負荷計測ステップはCPU負荷を計測し、
前記有効期限管理ステップは、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換ステップに再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信プログラム。
付記19記載の暗号通信プログラムに於いて、
前記装置負荷計測ステップはCPU負荷を計測し、
前記有効期限管理ステップは、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換ステップに再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信プログラム。
(付記21)
他の暗号通信装置とネットワークを介して接続されるとともに、端末装置が接続され、前記端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して前記端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に送信するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信部と、
暗号鍵交換手順に従って、他の暗号通信装置との間でのデータ送受信に用いる暗号鍵を生成する暗号鍵処理部と、
自装置負荷を計測する装置負荷計測部と、
他の暗号通信装置の通信量を計測する通信量計測部と、
前記装置負荷計測部によって負荷が低い状態を判定した際に、前記通信量計測部による計測結果に基づいて通信量が少ない他の暗号通信装置を検索して、前記暗号鍵交換処理部に当該他の暗号通信装置との間の暗号鍵更新を指示する管理部と、
を備えたことを特徴とする暗号通信装置。
他の暗号通信装置とネットワークを介して接続されるとともに、端末装置が接続され、前記端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して前記端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に送信するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信部と、
暗号鍵交換手順に従って、他の暗号通信装置との間でのデータ送受信に用いる暗号鍵を生成する暗号鍵処理部と、
自装置負荷を計測する装置負荷計測部と、
他の暗号通信装置の通信量を計測する通信量計測部と、
前記装置負荷計測部によって負荷が低い状態を判定した際に、前記通信量計測部による計測結果に基づいて通信量が少ない他の暗号通信装置を検索して、前記暗号鍵交換処理部に当該他の暗号通信装置との間の暗号鍵更新を指示する管理部と、
を備えたことを特徴とする暗号通信装置。
(付記22)
他装置と接続され、他装置との間で情報の送受信を行う情報処理装置に於いて、
暗号鍵により暗号化された送信情報を他装置に送信すると共に、他装置からの受信情報を前記暗号鍵による復号化する送受信部と、
自装置の負荷を計測する装置負荷計測部と、
前記装置負荷計測部によって負荷が低い状態を判定した際に、通信量が少ない他装置を検索して、当該他装置との間の情報送受信に用いられる暗号鍵を更新する管理部と、
を備えたことを特徴とする情報処理装置。
他装置と接続され、他装置との間で情報の送受信を行う情報処理装置に於いて、
暗号鍵により暗号化された送信情報を他装置に送信すると共に、他装置からの受信情報を前記暗号鍵による復号化する送受信部と、
自装置の負荷を計測する装置負荷計測部と、
前記装置負荷計測部によって負荷が低い状態を判定した際に、通信量が少ない他装置を検索して、当該他装置との間の情報送受信に用いられる暗号鍵を更新する管理部と、
を備えたことを特徴とする情報処理装置。
(付記23)
付記22記載の情報処理装置に於いて、
前記情報処理装置は複数の他装置に接続されており、
前記暗号鍵処理部は、前記複数の他装置のそれぞれに対応して、異なる暗号鍵を生成することを特徴とする情報処理装置。
付記22記載の情報処理装置に於いて、
前記情報処理装置は複数の他装置に接続されており、
前記暗号鍵処理部は、前記複数の他装置のそれぞれに対応して、異なる暗号鍵を生成することを特徴とする情報処理装置。
10:センタ拠点
10−1〜10−4:拠点
12−1〜12−3:ローカル拠点
14:ネットワーク
16−1〜16−4:暗号通信装置
18−1〜18−6,18−11〜18−42:端末装置
20−1,20−2:フレーム送受信部
22−1,22−2:暗号鍵交換処理部
24−1〜24−4:暗号鍵管理テーブル
26−1:有効期限管理部
28−1:CPU負荷計測部
30:−1:通信量計測部
32:CPU
34:バス
36:RAM
38:ROM
40:ハードディスクドライブ
42:デバイスインタフェース
44:キーボード
46:マウス
48:ディスプレイ
50:WAN用ネットワークアダプタ
52:LAN用ネットワークアダプタ
10−1〜10−4:拠点
12−1〜12−3:ローカル拠点
14:ネットワーク
16−1〜16−4:暗号通信装置
18−1〜18−6,18−11〜18−42:端末装置
20−1,20−2:フレーム送受信部
22−1,22−2:暗号鍵交換処理部
24−1〜24−4:暗号鍵管理テーブル
26−1:有効期限管理部
28−1:CPU負荷計測部
30:−1:通信量計測部
32:CPU
34:バス
36:RAM
38:ROM
40:ハードディスクドライブ
42:デバイスインタフェース
44:キーボード
46:マウス
48:ディスプレイ
50:WAN用ネットワークアダプタ
52:LAN用ネットワークアダプタ
Claims (10)
- 端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信システムに於いて、
前記複数の暗号通信装置に、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化するフレーム送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
を設けるとともに、
前記複数の暗号通信装置の少なくとも一部に、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
前記暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を設けたことを特徴とする暗号通信システム。
- 請求項1記載の暗号通信システムに於いて、一台のセンタ暗号通信装置に対し複数のローカル暗号通信装置を接続して暗号通信する場合、
前記センタ暗号通信装置に、前記フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設け、
前記ローカル暗号通信装置の各々に、前記フレーム送受信部及び暗号鍵交換処理部を設けたことを特徴とする暗号通信システム。
- 請求項1記載の暗号通信システムに於いて、複数の暗号通信装置の相互間で暗号通信する場合、前記複数の暗号通信装置の各々に、前記フレーム送受信部、暗号鍵交換処理部、装置負荷計測部、通信量計測部及び有効期限管理部を設けたことを特徴とする暗号通信システム。
- 請求項1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、他の暗号通信装置から最初の受信接続を受けた際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信システム。
- 請求項1記載の暗号通信システムに於いて、前記暗号鍵交換処理部は、他の暗号通信装置へ最初に送信接続した際に、前記暗号鍵を生成して交換すると共に、前記有効期限管理部に暗号鍵の有効期限管理を指示することを特徴とする暗号通信システム。
- 請求項1記載の暗号通信システムに於いて、
前記装置負荷計測部はCPU負荷を計測し、
前記有効期限管理部は、前記CPU負荷の過去一定時間の平均値が所定値を下回った場合に暗号鍵更新タイミングと判定し、前記通信量が所定値以下で且つ最小の相手先の暗号通信装置を検索して前記暗号鍵交換部に再度の暗号鍵生成による暗号鍵の更新を指示することを特徴とする暗号通信システム。
- 請求項1記載の暗号通信システムに於いて、前記有効期限管理部は、前記暗号鍵の更新から所定時間は暗号鍵更新を禁止することを特徴とする暗号通信システム。
- 端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置に於いて、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信部と、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理部と、
装置負荷を計測する装置負荷計測部と、
相手先の暗号通信装置毎の通信量を計測する通信量計測部と、
前記暗号鍵交換部で生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理部に再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理部と、
を備えたことを特徴とする暗号通信装置。
- 端末装置を接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信方法に於いて、
他の暗号通信方法に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
前記暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置の暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を備えたことを特徴とする暗号通信方法。
- 端末プログラムを接続した複数の暗号通信装置をネットワークを介して接続し、送信元の端末装置から受信したデータを暗号化して他の暗号通信装置に送信すると共に、他の暗号通信装置から受信したデータを復号化して送信先の端末装置に送信する暗号通信装置のコンピュータに、
他の暗号通信装置に対するデータを暗号鍵を使用して暗号化して送信すると共に、他の暗号通信装置から受信したデータを前記暗号鍵を使用して復号化する送受信ステップと、
他の暗号通信装置との最初の通信開始時に、相手装置との事前折衝を伴う所定の暗号鍵交換手順に従って暗号鍵を生成して交換する暗号鍵交換処理ステップと、
装置負荷を計測する装置負荷計測ステップと、
相手先の暗号通信装置毎の通信量を計測する通信量計測ステップと、
前記暗号鍵交換ステップで生成した暗号鍵に有効期限を設定し、有効期限が近づいた暗号鍵を検索して前記暗号鍵交換処理ステップに再度の暗号鍵生成による暗号鍵更新を指示し、前記有効期限に近づいた暗号鍵がない場合は、前記装置負荷が低い状態を判定した際に、前記通信量が少ない相手先の暗号通信装置を検索して前記暗号鍵交換処理ステップに再度の暗号鍵交換による暗号鍵更新を指示する有効期限管理ステップと、
を実行させることを特徴とする暗号通信プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006284817A JP2008103988A (ja) | 2006-10-19 | 2006-10-19 | 暗号通信システム、装置、方法及びプログラム |
| US11/698,200 US20080098226A1 (en) | 2006-10-19 | 2007-01-26 | Encryption communication system, apparatus, method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006284817A JP2008103988A (ja) | 2006-10-19 | 2006-10-19 | 暗号通信システム、装置、方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008103988A true JP2008103988A (ja) | 2008-05-01 |
Family
ID=39319450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006284817A Withdrawn JP2008103988A (ja) | 2006-10-19 | 2006-10-19 | 暗号通信システム、装置、方法及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20080098226A1 (ja) |
| JP (1) | JP2008103988A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010056852A (ja) * | 2008-08-28 | 2010-03-11 | Kyocera Corp | 送受信方法、通信システムおよび通信装置 |
| JP2011507318A (ja) * | 2007-11-30 | 2011-03-03 | サムスン エレクトロニクス カンパニー リミテッド | 近距離通信ネットワークにおける安全な通信のためのシステム及び方法 |
| JP2011223603A (ja) * | 2011-06-02 | 2011-11-04 | Toshiba Corp | 信号処理装置及び信号処理方法 |
| JP2013026840A (ja) * | 2011-07-21 | 2013-02-04 | Nippon Telegr & Teleph Corp <Ntt> | 鍵管理方法、鍵管理システム、端末装置、鍵管理装置及びコンピュータプログラム |
| US8413254B2 (en) | 2010-04-02 | 2013-04-02 | Onkyo Corporation | Content reproducing apparatus and program of the same |
| JP2015144373A (ja) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 情報処理装置 |
| JP2021501358A (ja) * | 2017-11-01 | 2021-01-14 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 暗号オブジェクトを管理する方法、コンピュータ実装方法、システムおよびプログラム |
| JP2021097267A (ja) * | 2019-12-13 | 2021-06-24 | コベルコ建機株式会社 | 作業機械における鍵更新システム、鍵更新方法、および、鍵更新プログラム |
| JP2023513181A (ja) * | 2020-02-18 | 2023-03-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号キーの保護 |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1876549A1 (de) | 2006-07-07 | 2008-01-09 | Swisscom Mobile AG | Verfahren und System zur verschlüsselten Datenübertragung |
| US8588420B2 (en) * | 2007-01-18 | 2013-11-19 | Panasonic Corporation | Systems and methods for determining a time delay for sending a key update request |
| US8325627B2 (en) * | 2007-04-13 | 2012-12-04 | Hart Communication Foundation | Adaptive scheduling in a wireless network |
| US8230108B2 (en) | 2007-04-13 | 2012-07-24 | Hart Communication Foundation | Routing packets on a network using directed graphs |
| US8570922B2 (en) * | 2007-04-13 | 2013-10-29 | Hart Communication Foundation | Efficient addressing in wireless hart protocol |
| US8406248B2 (en) * | 2007-04-13 | 2013-03-26 | Hart Communication Foundation | Priority-based scheduling and routing in a wireless network |
| US20080273486A1 (en) * | 2007-04-13 | 2008-11-06 | Hart Communication Foundation | Wireless Protocol Adapter |
| US8356431B2 (en) * | 2007-04-13 | 2013-01-22 | Hart Communication Foundation | Scheduling communication frames in a wireless network |
| JP5175615B2 (ja) * | 2007-06-04 | 2013-04-03 | パナソニック株式会社 | 利用装置、サーバ装置、サービス利用システム、サービス利用方法、サービス利用プログラム及び集積回路 |
| JP2009100238A (ja) * | 2007-10-17 | 2009-05-07 | Nec Corp | 通信装置、通信システム及びそれらに用いる鍵再交換方法並びにそのプログラム |
| WO2010008867A2 (en) * | 2008-06-23 | 2010-01-21 | Hart Communication Foundation | Wireless communication network analyzer |
| US8926434B2 (en) * | 2008-11-07 | 2015-01-06 | Next Gaming, LLC. | Server-based gaming system and method utilizing unique memory environments |
| CN103109493B (zh) * | 2010-03-17 | 2016-01-13 | 富士通株式会社 | 通信装置、程序以及方法 |
| JP5601368B2 (ja) * | 2010-06-04 | 2014-10-08 | 富士通株式会社 | 処理装置,処理方法及び処理プログラム |
| US20170277775A1 (en) * | 2012-10-30 | 2017-09-28 | FHOOSH, Inc. | Systems and methods for secure storage of user information in a user profile |
| US9639597B2 (en) | 2012-10-30 | 2017-05-02 | FHOOSH, Inc. | Collecting and classifying user information into dynamically-updated user profiles |
| US9798899B1 (en) | 2013-03-29 | 2017-10-24 | Secturion Systems, Inc. | Replaceable or removable physical interface input/output module |
| US9355279B1 (en) | 2013-03-29 | 2016-05-31 | Secturion Systems, Inc. | Multi-tenancy architecture |
| US9317718B1 (en) | 2013-03-29 | 2016-04-19 | Secturion Systems, Inc. | Security device with programmable systolic-matrix cryptographic module and programmable input/output interface |
| US9374344B1 (en) | 2013-03-29 | 2016-06-21 | Secturion Systems, Inc. | Secure end-to-end communication system |
| US9524399B1 (en) | 2013-04-01 | 2016-12-20 | Secturion Systems, Inc. | Multi-level independent security architecture |
| JP6211818B2 (ja) * | 2013-06-11 | 2017-10-11 | 株式会社東芝 | 通信装置、通信方法、プログラムおよび通信システム |
| CN105409159B (zh) * | 2013-07-18 | 2019-09-06 | 日本电信电话株式会社 | 密钥保管装置、密钥保管方法、以及其记录介质 |
| CN103414702A (zh) * | 2013-07-27 | 2013-11-27 | 金硕澳门离岸商业服务有限公司 | 通信信息保护方法和装置 |
| DE102013225101A1 (de) * | 2013-12-06 | 2015-07-02 | Siemens Aktiengesellschaft | System und Verfahren zur rückwirkungsfreien Kommunikation |
| US9842227B2 (en) | 2014-09-23 | 2017-12-12 | FHOOSH, Inc. | Secure high speed data storage, access, recovery, and transmission |
| US10051000B2 (en) * | 2015-07-28 | 2018-08-14 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
| US11283774B2 (en) | 2015-09-17 | 2022-03-22 | Secturion Systems, Inc. | Cloud storage using encryption gateway with certificate authority identification |
| US10708236B2 (en) | 2015-10-26 | 2020-07-07 | Secturion Systems, Inc. | Multi-independent level secure (MILS) storage encryption |
| EP3469512A4 (en) * | 2016-06-13 | 2019-12-04 | Ubiq Security, Inc. | SYSTEMS AND METHOD FOR SECURE STORAGE OF USER INFORMATION IN A USER PROFILE |
| US10924274B1 (en) | 2017-12-07 | 2021-02-16 | Junioer Networks, Inc. | Deterministic distribution of rekeying procedures for a scaling virtual private network (VPN) |
| CN108199837B (zh) * | 2018-01-23 | 2020-12-25 | 新华三信息安全技术有限公司 | 一种密钥协商方法及装置 |
| US11349656B2 (en) | 2018-03-08 | 2022-05-31 | Ubiq Security, Inc. | Systems and methods for secure storage and transmission of a data stream |
| EP3664397A1 (de) | 2018-12-06 | 2020-06-10 | Siemens Aktiengesellschaft | Verfahren zur datenkommunikation, kommunikationsgerät, computerprogramm und computerlesbares medium |
| CN113746642B (zh) * | 2021-11-08 | 2022-02-11 | 西安热工研究院有限公司 | 一种计算机间通信方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE425622T1 (de) * | 2002-05-29 | 2009-03-15 | Panasonic Corp | Datenübertragungsgerät, datenempfangsgerät, datenübertragungssystem und datenübertragungsverfahren |
| KR100949420B1 (ko) * | 2002-10-31 | 2010-03-24 | 파나소닉 주식회사 | 통신장치, 통신 시스템 및 알고리즘 선택방법 |
| US7660861B2 (en) * | 2005-06-21 | 2010-02-09 | Data Laboratory, L.L.C. | System and method for verifying the identity of a sender of electronic mail and preventing unsolicited bulk email |
-
2006
- 2006-10-19 JP JP2006284817A patent/JP2008103988A/ja not_active Withdrawn
-
2007
- 2007-01-26 US US11/698,200 patent/US20080098226A1/en not_active Abandoned
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011507318A (ja) * | 2007-11-30 | 2011-03-03 | サムスン エレクトロニクス カンパニー リミテッド | 近距離通信ネットワークにおける安全な通信のためのシステム及び方法 |
| US8515073B2 (en) | 2007-11-30 | 2013-08-20 | Samsung Electronics Co., Ltd. | Method and system for secure communication in near field communication network |
| JP2010056852A (ja) * | 2008-08-28 | 2010-03-11 | Kyocera Corp | 送受信方法、通信システムおよび通信装置 |
| US8413254B2 (en) | 2010-04-02 | 2013-04-02 | Onkyo Corporation | Content reproducing apparatus and program of the same |
| JP2011223603A (ja) * | 2011-06-02 | 2011-11-04 | Toshiba Corp | 信号処理装置及び信号処理方法 |
| JP2013026840A (ja) * | 2011-07-21 | 2013-02-04 | Nippon Telegr & Teleph Corp <Ntt> | 鍵管理方法、鍵管理システム、端末装置、鍵管理装置及びコンピュータプログラム |
| JP2015144373A (ja) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 情報処理装置 |
| JP2021501358A (ja) * | 2017-11-01 | 2021-01-14 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 暗号オブジェクトを管理する方法、コンピュータ実装方法、システムおよびプログラム |
| JP7025101B2 (ja) | 2017-11-01 | 2022-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号オブジェクトを管理する方法、コンピュータ実装方法、システムおよびプログラム |
| JP2021097267A (ja) * | 2019-12-13 | 2021-06-24 | コベルコ建機株式会社 | 作業機械における鍵更新システム、鍵更新方法、および、鍵更新プログラム |
| JP7327135B2 (ja) | 2019-12-13 | 2023-08-16 | コベルコ建機株式会社 | 作業機械における鍵更新システム、鍵更新方法、および、鍵更新プログラム |
| JP2023513181A (ja) * | 2020-02-18 | 2023-03-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号キーの保護 |
| JP7609534B2 (ja) | 2020-02-18 | 2025-01-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号キーの保護 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080098226A1 (en) | 2008-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008103988A (ja) | 暗号通信システム、装置、方法及びプログラム | |
| US11316677B2 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
| US9571458B1 (en) | Anti-replay mechanism for group virtual private networks | |
| CN1977513B (zh) | 用于有效认证医疗无线自组网节点的系统和方法 | |
| US8301875B2 (en) | Network, IPsec setting server apparatus, IPsec processing apparatus, and IPsec setting method used therefor | |
| JP3816337B2 (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
| CN101421970B (zh) | 避免服务器对客户端状态的存储 | |
| EP3644548B1 (en) | Key exchange system and key exchange method | |
| US20080307110A1 (en) | Conditional BGP advertising for dynamic group VPN (DGVPN) clients | |
| CN102210121A (zh) | 将量子密钥分配与互联网密钥交换协议相结合的方法 | |
| US20020006202A1 (en) | System and method for secure cryptographic communications | |
| WO2007143312A2 (en) | Proactive credential distribution | |
| CN101981889A (zh) | 计算机集群系统中的安全通信 | |
| US20080123852A1 (en) | Method and system for managing a wireless network | |
| JP2002290396A (ja) | 暗号鍵更新システムおよび暗号鍵更新方法 | |
| CN109586908A (zh) | 一种安全报文传输方法及其系统 | |
| JP2002217896A (ja) | 暗号通信方法およびゲートウエイ装置 | |
| KR20220064567A (ko) | 양자 난수 기반의 가상 사설망을 구축하기 위한 장치 및 방법 | |
| US20070055870A1 (en) | Process for secure communication over a wireless network, related network and computer program product | |
| WO2021103431A1 (zh) | 一种实现dds域参与者安全认证的方法 | |
| KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
| CN117527302A (zh) | 一种基于密钥同步更新算法的安全通信方法 | |
| CN115878372A (zh) | 密钥备份方法和通信装置 | |
| Crispo et al. | Symmetric key authentication services revisited | |
| CN111935181B (zh) | 一种全密态条件下密钥切换的业务无中断实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100105 |