JP2006019975A - Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto - Google Patents

Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto Download PDF

Info

Publication number
JP2006019975A
JP2006019975A JP2004194839A JP2004194839A JP2006019975A JP 2006019975 A JP2006019975 A JP 2006019975A JP 2004194839 A JP2004194839 A JP 2004194839A JP 2004194839 A JP2004194839 A JP 2004194839A JP 2006019975 A JP2006019975 A JP 2006019975A
Authority
JP
Japan
Prior art keywords
key
new
encryption
decryption key
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004194839A
Other languages
Japanese (ja)
Inventor
Tatsuya Inagaki
達也 稲垣
Tomoharu Kaneko
友晴 金子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004194839A priority Critical patent/JP2006019975A/en
Publication of JP2006019975A publication Critical patent/JP2006019975A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To update a ciphering key and a deciphering key by a cipher packet communication system without losing communication data. <P>SOLUTION: The cipher packet communication system is characterized in that a receiving device 410 is equipped with: a deciphering key management part 415 which stores at least two deciphering keys that are a new deciphering key received from a key update part 420 and an old deciphering key before the reception; a deciphering part 413 which selects one of the old and new deciphering keys to decipher ciphered packages; and a new deciphering key storage information transmission part 421 which transmits new deciphering key storage information 503 showing that the new deciphering key is stored in the deciphering key management part 415, wherein a transmitting device is equipped with: a ciphering key management part 405 which discards an old ciphering key and stores the new ciphering key after receiving the new deciphering key storage information 503; and a ciphering key update information transmission part 408 which transmits ciphering key update information 504 showing that the ciphering key management part 405 has updated the ciphering key. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、暗号パケットを端末間で送受信する暗号パケット通信システム及び暗号パケット通信方法に関し、特に暗号鍵と復号鍵を所定間隔毎に更新する暗号パケット通信システム及び暗号パケット通信方法等に関する。   The present invention relates to an encrypted packet communication system and an encrypted packet communication method for transmitting and receiving encrypted packets between terminals, and more particularly to an encrypted packet communication system and an encrypted packet communication method for updating an encryption key and a decryption key at predetermined intervals.

従来、暗号パケット通信システムにおいては同じ暗号鍵・復号鍵のペアを長時間使用することにより鍵が看破されることを防ぐため、暗号鍵と復号鍵とを所定間隔ごとに更新するシステムがある(例えば特許文献1、特許文献2)。   2. Description of the Related Art Conventionally, in an encrypted packet communication system, there is a system that updates an encryption key and a decryption key at predetermined intervals in order to prevent the key from being overlooked by using the same encryption key / decryption key pair for a long time ( For example, Patent Document 1 and Patent Document 2).

図9は、従来の所定間隔毎に鍵を更新する暗号パケット通信システムの概略構成を示した構成図である。この従来の暗号パケット通信システムは、平文パケットを送信する送信アプリケーション101と、平文パケットを暗号化して暗号パケットとして送信する暗号パケット送信部102と、暗号パケット送信部102が送信した暗号パケットを受信して復号化する暗号パケット受信部112と、暗号パケット受信部112が復号化した平文パケットを受信する受信アプリケーション111とを備えている。   FIG. 9 is a configuration diagram showing a schematic configuration of a conventional encrypted packet communication system that updates a key at predetermined intervals. This conventional encrypted packet communication system receives a transmission application 101 that transmits a plaintext packet, an encrypted packet transmitter 102 that encrypts a plaintext packet and transmits it as an encrypted packet, and an encrypted packet transmitted by the encrypted packet transmitter 102. An encrypted packet receiving unit 112 that decrypts the encrypted packet, and a receiving application 111 that receives the plaintext packet decrypted by the encrypted packet receiving unit 112.

さらに暗号パケット送信部102は、新暗号鍵と旧暗号鍵の入れ替えなどを管理し、暗号鍵を格納する暗号鍵格納部106と暗号鍵に対応する鍵IDを格納する鍵ID格納部107を備える暗号鍵管理部105と、暗号鍵格納部106が格納する暗号鍵を使用して平文パケットを暗号化する暗号化部103と、暗号パケットに鍵IDをカプセリングするカプセリング部104とを備えている。   Furthermore, the encryption packet transmission unit 102 includes an encryption key storage unit 106 that stores the encryption key and a key ID storage unit 107 that stores a key ID corresponding to the encryption key. The encryption key management unit 105, the encryption unit 103 that encrypts a plaintext packet using the encryption key stored in the encryption key storage unit 106, and the encapsulation unit 104 that encapsulates the key ID in the encryption packet.

暗号パケット受信手段112は、新復号鍵と旧復号鍵の入れ替えなどを管理し、復号鍵を格納する復号鍵格納部116と復号鍵に対応する鍵IDを格納する鍵ID格納部117を備える復号鍵管理部115と、暗号パケットから鍵IDを分離するデカプセリング部114と、鍵IDに対応する復号鍵を復号鍵格納部116から呼び出し、この復号鍵を用いて暗号パケットを復号化して平文パケットにする復号化部113とを備えている。   The encrypted packet receiving unit 112 manages the replacement of the new decryption key and the old decryption key, and includes a decryption key storage unit 116 that stores the decryption key and a decryption key that includes a key ID storage unit 117 that stores a key ID corresponding to the decryption key. A key management unit 115, a decapsulation unit 114 that separates the key ID from the encrypted packet, and a decryption key corresponding to the key ID are called from the decryption key storage unit 116, and the encrypted packet is decrypted using the decryption key to obtain a plaintext packet And a decryption unit 113.

図10は、従来の鍵更新方法の例を示している。
暗号パケット送信手段102、暗号パケット受信手段112は暗号パケットの安全性を確保するために一定時間ごとに相互に対応する暗号鍵と復号鍵とを更新するが、送受信される暗号化パケットを復号化するには、暗号パケット送信手段102と暗号パケット受信手段112は双方タイミングをはかって更新する必要がある。 FIG. 10 shows an example of a conventional key update method.
The encrypted packet transmitting unit 102 and the encrypted packet receiving unit 112 update the encryption key and the decryption key corresponding to each other at regular intervals in order to ensure the safety of the encrypted packet, but decrypt the transmitted / received encrypted packet. In order to do so, it is necessary to update both the encrypted packet transmitting means 102 and the encrypted packet receiving means 112 at the same timing.

従来、図10に示すように、古い暗号鍵で暗号化された新復号鍵を含む鍵更新パケット212を送信することで、新復号鍵の送信と鍵更新のタイミングを通知することが行われている。
特開2001−189721号公報 特開2003−318881号公報 Conventionally, as shown in FIG. 10, by transmitting a key update packet 212 including a new decryption key encrypted with an old encryption key, notification of the timing of transmission of the new decryption key and key update has been performed. Yes.
JP 2001-189721 A JP 2003-318881 A

しかしながら、データ量の大きいAVデータなどを暗号化して送受信する場合に、AVデータを送受信している途中で鍵を更新するタイミングとなる場合がある。この場合、通信をする両端末で鍵を更新するタイミングを極めて正確に合わせないと、あるパケットを暗号化した暗号鍵とそれを復号化しようとする復号鍵との間で齟齬が生じ、受信側で復号鍵を更新してないがために通信中の暗号パケットを復号できずに、AVデータの一部が喪失してしまい、結果としてAVを鑑賞できないという場合がある。   However, when AV data having a large amount of data is encrypted and transmitted / received, it may be time to update the key while AV data is being transmitted / received. In this case, if the timing of updating the key at both terminals that communicate with each other is not matched very accurately, there will be a flaw between the encryption key that encrypts a packet and the decryption key that attempts to decrypt it. In this case, since the decryption key is not updated, the encrypted packet being communicated cannot be decrypted, and a part of the AV data is lost. As a result, the AV cannot be viewed.

また、両端末間で鍵更新のタイミングを通知するパケットを送受信して鍵更新のタイミングを合わせようとしても、タイミングを合わせるためのパケットが通信中に喪失してしまうことで、AVデータの復号化ができなくなることもある。   Also, even if it is attempted to synchronize the key update timing by transmitting / receiving a packet for notifying the timing of key update between both terminals, the packet for matching the timing is lost during communication, so that the AV data is decrypted. May not be possible.

さらに、暗号化されたパケットは送信された順番で受信されるとは限らず、暗号鍵の更新前後では新暗号鍵で暗号化された暗号パケットの後に旧暗号鍵で暗号化された暗号パケットが受信されることもあり、長大なデータ送信中の鍵更新は困難である。   Furthermore, encrypted packets are not always received in the order in which they were sent, and before and after updating the encryption key, an encrypted packet encrypted with the old encryption key is followed by an encrypted packet encrypted with the new encryption key. It may be received, and it is difficult to update the key during long data transmission.

図11は、鍵更新のタイミングを通知するパケットが喪失した場合の例を提示する。鍵更新のタイミングを通知する鍵更新パケット212がパケット211、213、214の間に挿入されており、パケット211は旧暗号鍵で暗号化され、パケット213とパケット214とは新暗号鍵で暗号化されている。ここで鍵更新パケット212が通信中に喪失した場合、受信装置110は、復号鍵を更新するタイミングがわからずに、更新された暗号鍵で暗号化されたパケット213、214を復号することができない。よってパケット213以降の暗号パケットを受信することができないことになる。   FIG. 11 presents an example when the packet for notifying the timing of key update is lost. A key update packet 212 for notifying the timing of key update is inserted between the packets 211, 213, and 214, the packet 211 is encrypted with the old encryption key, and the packet 213 and the packet 214 are encrypted with the new encryption key. Has been. If the key update packet 212 is lost during communication, the receiving apparatus 110 cannot decrypt the packets 213 and 214 encrypted with the updated encryption key without knowing the timing for updating the decryption key. . Therefore, encrypted packets after the packet 213 cannot be received.

前記従来の課題を解決するため、本発明では、暗号パケットを送信する送信装置と、暗号パケットを受信する受信装置と、所定の時間間隔で相互に対応する新たな暗号鍵と復号鍵とを生成する鍵更新手段とを備える暗号パケット通信システムであって、前記受信装置は、前記鍵更新手段から受信した新たな復号鍵と受信前の旧復号鍵との少なくとも2つの復号鍵を格納する復号鍵管理手段と、前記新旧の復号鍵のいずれかを選択して暗号化パケットを復号化する復号化手段と、新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信手段を備え、前記送信装置は、前記新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理手段と、暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信手段とを備えることを特徴とする暗号パケット通信システムを提供する。   In order to solve the above-described conventional problems, the present invention generates a transmitting device that transmits an encrypted packet, a receiving device that receives the encrypted packet, and new encryption keys and decryption keys that correspond to each other at predetermined time intervals. A decryption key for storing at least two decryption keys, a new decryption key received from the key update means and an old decryption key before reception. Sends management means, decryption means for selecting one of the old and new decryption keys and decrypting the encrypted packet, and new decryption key storage information indicating that the new decryption key is stored in the decryption key management means A new decryption key storage information transmitting means, and the transmitting device receives the new decryption key storage information, then discards the old encryption key and stores a new encryption key, and an encryption key management means Renews encryption key Providing the encryption key update information transmitting means for transmitting the encryption key update information that was providing encrypted packet communication system according to claim.

これにより、送信装置と受信装置とは相互に新たな鍵を保有していることを確認し合うことができ、その後の処理、例えば旧復号鍵の削除を円滑に行うことができる。しかもこれら新たな鍵の保有を確認し合っている間にも新旧いずれかの暗号鍵で暗号化されたパケットを送受信していても、受信装置は新旧の復号鍵をもちいて復号化することができるため、AVデータのような長大なパケットを送受信している間に鍵の更新が行われても、中間のパケットが復号化することができない事態を回避することができる。   Accordingly, it is possible to confirm that the transmission device and the reception device have a new key, and subsequent processing, for example, deletion of the old decryption key can be performed smoothly. Moreover, even if packets that have been encrypted with either the old or new encryption key are sent or received while confirming the possession of these new keys, the receiving device can decrypt using the old and new decryption keys. Therefore, even if the key is updated while a long packet such as AV data is being transmitted / received, a situation in which the intermediate packet cannot be decrypted can be avoided.

また、前記受信装置はさらに、新復号鍵格納情報を送信後、所定の期間経過しても暗号鍵更新情報を受信しない場合には再度新復号鍵格納情報を送信する再送信管理手段を備えることが好ましい。   The receiving apparatus further includes a retransmission management means for transmitting new decryption key storage information again when encryption key update information is not received even after a predetermined period of time has elapsed after transmitting new decryption key storage information. Is preferred.

これにより、何らかの通信障害により新たな鍵の保有を確認しあう情報が消失する事態が発生しても、受信装置は新たな鍵の保有を確認し合うまで新旧の復号鍵を保有するため確実に暗号パケットを複合化することができる。   As a result, even if information that confirms possession of a new key disappears due to some kind of communication failure, the receiving device retains the old and new decryption keys until it confirms possession of the new key. Encryption packets can be decrypted.

なお、本発明は、このように暗号パケット通信システムとして実現できるが、本発明にかかる受信装置や送信装置を備えることにより実現できるものである。またこれら受信装置や送信装置が備える特徴的な手段をステップとする受信方法や送信方法として実現したり、それらのステップをコンピュータに実行させるプログラムとして実現したりすることもできる。   In addition, although this invention is realizable as an encryption packet communication system in this way, it is realizable by providing the receiver and transmission device concerning this invention. Further, it can be realized as a reception method or transmission method using steps characteristic of the reception device or the transmission device, or as a program for causing a computer to execute these steps.

そして、そのようなプログラムは、CD−ROMなどの記録媒体やインターネットなどの伝送媒体を介して配信することができるのは言うまでもない。   Needless to say, such a program can be distributed via a recording medium such as a CD-ROM or a transmission medium such as the Internet.

本発明の暗号パケット通信システムによれば、暗号パケット通信においてAVデータの様な長大なデータを送信している途中で鍵の更新が発生する状態でも、暗号パケット通信を途切れさせること無く新たな鍵の保有を確認し合って通信を行うことができる。   According to the encrypted packet communication system of the present invention, a new key can be obtained without interrupting encrypted packet communication even when a key update occurs during transmission of long data such as AV data in encrypted packet communication. Can communicate with each other.

以下に、本発明の実施の形態について、図面を参照しながら説明する。
(実施形態1)
図1は、本発明の実施の形態1における暗号通信システムの構成を示した構成図である。本実施形態にかかる暗号通信システムは、AVデータなど長大なデータを暗号化したパケットで送受信するシステムであって、送信装置400と受信装置410とを備えている。 Embodiments of the present invention will be described below with reference to the drawings.
(Embodiment 1)
FIG. 1 is a configuration diagram showing the configuration of the cryptographic communication system according to Embodiment 1 of the present invention. The encryption communication system according to the present embodiment is a system that transmits and receives long data such as AV data in encrypted packets, and includes a transmission device 400 and a reception device 410.

前記送信装置400は、一定間隔で暗号鍵とこれに対応する復号鍵を乱数に基づき生成する鍵更新部420と、平文パケットを送信する送信アプリケーション401と、平文パケットを暗号化して暗号パケットとして送信する暗号パケット送信部402とを備える。   The transmitting device 400 generates an encryption key and a corresponding decryption key based on random numbers at regular intervals, a transmission application 401 that transmits a plaintext packet, and encrypts the plaintext packet and transmits it as an encrypted packet. And an encrypted packet transmission unit 402.

受信装置410は、暗号パケット送信部402が送信した暗号パケットを受信し、このパケットを復号化して平文パケットに戻す暗号パケット受信部412と、暗号パケット受信部412が平文化したパケットを受信する受信アプリケーション411とを備えている。   The receiving apparatus 410 receives the encrypted packet transmitted by the encrypted packet transmitting unit 402, decrypts the packet and returns it to a plaintext packet, and receives the packet received by the encrypted packet receiving unit 412. And an application 411.

さらに、暗号パケット送信部402は、暗号鍵を格納する暗号鍵格納部406と暗号鍵に対応する暗号鍵ID612を格納する鍵ID格納部407とを管理している暗号鍵管理部405を備えるとともに、暗号鍵管理部405が管理する暗号鍵を使用して平文パケットを暗号化する暗号化部403と、前記暗号化部403で暗号化された暗号パケットに暗号鍵管理部405が管理する暗号鍵ID612をカプセリングするカプセリング部404と、前記暗号鍵管理部405が暗号鍵を更新すると暗号鍵更新情報を作成し送信する暗号鍵更新情報送信部408とを備える。   Furthermore, the encryption packet transmission unit 402 includes an encryption key management unit 405 that manages an encryption key storage unit 406 that stores an encryption key and a key ID storage unit 407 that stores an encryption key ID 612 corresponding to the encryption key. An encryption unit 403 that encrypts a plaintext packet using an encryption key managed by the encryption key management unit 405, and an encryption key managed by the encryption key management unit 405 for the encrypted packet encrypted by the encryption unit 403 A capsuler 404 that encapsulates the ID 612 and an encryption key update information transmitter 408 that creates and transmits encryption key update information when the encryption key manager 405 updates the encryption key.

一方、暗号パケット受信部412は、新旧の復号鍵を格納する新旧の復号鍵格納部416、418と、これら新旧の復号鍵にそれぞれ対応する鍵ID602、603を格納する新旧鍵ID格納部417、419とを管理している復号鍵管理部415を備えるとともに、暗号パケットに含まれる暗号鍵ID612を取り出すデカプセリング部414と、復号鍵管理部415から当該暗号鍵ID612に相当する復号鍵を取り出し、旧復号鍵、または、新復号鍵のいずれか一方を用いて暗号パケットを復号し平文パケットにする復号化部413と、復号鍵管理部415が新たな復号鍵を格納すると新復号鍵格納情報を送信する新復号鍵格納情報送信部421とを備える。   On the other hand, the encrypted packet receiving unit 412 includes old and new decryption key storage units 416 and 418 for storing old and new decryption keys, and old and new key ID storage units 417 for storing key IDs 602 and 603 respectively corresponding to these new and old decryption keys. And a decryption key management unit 415 that manages 419, a decapsuling unit 414 that extracts the encryption key ID 612 included in the encrypted packet, and a decryption key corresponding to the encryption key ID 612 from the decryption key management unit 415, When the decryption unit 413 decrypts the encrypted packet by using either the old decryption key or the new decryption key to form a plaintext packet, and the decryption key management unit 415 stores the new decryption key, the new decryption key storage information is stored. A new decryption key storage information transmission unit 421 for transmission.

図2は、本発明の実施の形態1における暗号鍵・復号鍵を更新する際の送信装置400と受信装置410の間の暗号鍵・復号鍵の設定タイミングと新復号鍵格納情報503や暗号鍵更新情報504のやり取りの様子を示すシーケンス図である。この図に示すシーケンスは、特に通信上の障害が発生しない良好な通信状態の場合を示している。   FIG. 2 shows the setting timing of the encryption key / decryption key between the transmission device 400 and the reception device 410 when updating the encryption key / decryption key according to Embodiment 1 of the present invention, the new decryption key storage information 503, and the encryption key. It is a sequence diagram which shows the mode of the exchange of the update information 504. The sequence shown in this figure particularly shows a case of a good communication state in which no communication failure occurs.

受信装置410は、鍵更新部420で生成された復号鍵を新たに入手すると復号鍵管理部415の新復号鍵格納部418にこれを格納する(S501)。またこれに伴い、復号鍵管理部415は、旧復号鍵となった復号鍵を旧復号鍵格納部416に格納する。これにより、受信装置410の復号化部413は、新旧いずれの復号鍵に対応する暗号鍵で暗号化された暗号パケットも復号できる状態になる。   When receiving the new decryption key generated by the key updating unit 420, the receiving device 410 stores the new decryption key in the new decryption key storage unit 418 of the decryption key management unit 415 (S501). Accordingly, the decryption key management unit 415 stores the decryption key that has become the old decryption key in the old decryption key storage unit 416. As a result, the decryption unit 413 of the receiving apparatus 410 can decrypt the encrypted packet encrypted with the encryption key corresponding to the old or new decryption key.

新復号鍵を格納後、旧復号鍵に対応する旧復号鍵ID602と、新復号鍵に対応する新復号鍵ID603とを含んだ新復号鍵格納情報503を送信装置400に送信する(S502)。当該新復号鍵格納情報503を送信中も送信装置400からはAVデータに関するパケットが送信され続けているが、当該パケットは旧暗号鍵で暗号化されたものであるため、受信装置410の復号化部413は旧復号鍵で暗号パケットを復号化する。   After storing the new decryption key, new decryption key storage information 503 including the old decryption key ID 602 corresponding to the old decryption key and the new decryption key ID 603 corresponding to the new decryption key is transmitted to the transmission device 400 (S502). While the new decryption key storage information 503 is being transmitted, a packet related to AV data continues to be transmitted from the transmission device 400. Since the packet is encrypted with the old encryption key, the reception device 410 decrypts the packet. The unit 413 decrypts the encrypted packet with the old decryption key.

送信装置400は新復号鍵格納情報503を受信すると、新復号鍵格納情報503に含まれる新旧の復号鍵ID602、603により、受信装置410の復号鍵管理部415に旧復号鍵と新復号鍵とが格納され、更新された暗号鍵で暗号化された暗号パケットも復号化できる状態であることを知る。そこで、送信装置400は、暗号鍵管理部405の暗号鍵格納部406に格納される暗号鍵を更新する(S505)。暗号鍵更新情報送信部408は、新暗号鍵の暗号鍵ID612が含まれた暗号鍵更新情報504を受信装置410に送信する(S506)。その後、新しい暗号鍵406で暗号化した暗号パケットを受信装置410に送信する。   Upon receiving the new decryption key storage information 503, the transmission device 400 uses the old and new decryption key IDs 602 and 603 included in the new decryption key storage information 503 to transmit the old decryption key and the new decryption key to the decryption key management unit 415 of the reception device 410. Is stored and the encrypted packet encrypted with the updated encryption key can be decrypted. Therefore, the transmission device 400 updates the encryption key stored in the encryption key storage unit 406 of the encryption key management unit 405 (S505). The encryption key update information transmission unit 408 transmits the encryption key update information 504 including the encryption key ID 612 of the new encryption key to the reception device 410 (S506). Thereafter, the encrypted packet encrypted with the new encryption key 406 is transmitted to the receiving device 410.

受信装置410は暗号鍵更新情報504を受信すると、暗号鍵更新情報504に含まれる暗号鍵ID612より送信装置が暗号鍵管理手段405に更新された暗号鍵を設定したことと認識し、復号鍵管理部415より旧復号鍵を削除する(S507)。   When receiving the encryption key update information 504, the reception device 410 recognizes that the transmission device has set the updated encryption key in the encryption key management means 405 from the encryption key ID 612 included in the encryption key update information 504, and manages the decryption key. The old decryption key is deleted from the part 415 (S507).

もし、一連の長大なAVデータなどのデータを送受信中に上記暗号鍵の更新が生じ、新しい暗号鍵で暗号化された暗号パケットが送信されたとしても、受信装置410は、新しい暗号鍵に対応する復号鍵を保有していることは確実であるので、暗号パケットを取りこぼすことはない。   Even if the encryption key is updated during transmission / reception of a series of long AV data and the like, and the encrypted packet encrypted with the new encryption key is transmitted, the receiving apparatus 410 supports the new encryption key. Since it is certain that the decryption key to be held is possessed, the encrypted packet is not dropped.

図3(a)は、受信装置410から送信装置400へ送信される新復号鍵格納情報503の内容、図3(b)は、送信装置400から受信装置410へ送信される暗号鍵更新情報504の内容を示している。   3A shows the contents of the new decryption key storage information 503 transmitted from the receiving apparatus 410 to the transmitting apparatus 400, and FIG. 3B shows the encryption key update information 504 transmitted from the transmitting apparatus 400 to the receiving apparatus 410. The contents are shown.

これらの新復号鍵格納情報503、暗号鍵更新情報504は、パケットを送信するのに必要なIPヘッダーや、UPDヘッダーヘッダー、TCPヘッダーなどのヘッダー601、611を先頭に備えるとともに、新復号鍵格納情報503は、旧復号鍵ID602と新復号鍵ID603とを備え、暗号鍵更新情報504は、暗号鍵ID612を備える。   The new decryption key storage information 503 and the encryption key update information 504 are provided with headers 601 and 611 such as an IP header, a UPD header header, and a TCP header necessary for transmitting a packet at the head, and a new decryption key storage. The information 503 includes an old decryption key ID 602 and a new decryption key ID 603, and the encryption key update information 504 includes an encryption key ID 612.

このように、新復号鍵格納情報503に新旧の復号鍵ID602、603を含めることで、当該情報503を受信した送信装置400は、受信装置410が新旧のいずれの暗号鍵で暗号化したパケットをも復号化することができることを確実に認識することが可能となる。   Thus, by including the new and old decryption key IDs 602 and 603 in the new decryption key storage information 503, the transmitting device 400 that has received the information 503 receives the packet encrypted by the receiving device 410 with any of the old and new encryption keys. It is possible to reliably recognize that it can also be decrypted.

次に、図4は、通信時の障害によって暗号鍵更新情報504が伝送中に紛失した場合の送信装置400と受信装置410との間の暗号鍵、復号鍵の更新タイミングと新復号鍵格納情報503、暗号鍵更新情報504のやり取りを示すシーケンス図である。   Next, FIG. 4 shows the update timing of the encryption key and the decryption key between the transmission device 400 and the reception device 410 and the new decryption key storage information when the encryption key update information 504 is lost during transmission due to a failure during communication. FIG. 503 is a sequence diagram showing exchange of encryption key update information 504.

受信装置410は復号鍵を新たに入手すると復号鍵管理部415の新復号鍵格納部418にこれを格納する(S701)。受信装置410の復号化部413は旧復号鍵に対応する暗号鍵で暗号化された暗号パケットも、新復号鍵に対応する暗号鍵で暗号化された暗号パケットも復号できる状態になる。その後、新暗号鍵格納情報送信部421は、新旧の復号鍵ID602、603を含んだ新復号鍵格納情報503を送信装置400に送信する(S702)。   When receiving the new decryption key, the receiving device 410 stores it in the new decryption key storage unit 418 of the decryption key management unit 415 (S701). The decryption unit 413 of the reception device 410 can decrypt both the encrypted packet encrypted with the encryption key corresponding to the old decryption key and the encrypted packet encrypted with the encryption key corresponding to the new decryption key. Thereafter, the new encryption key storage information transmission unit 421 transmits the new decryption key storage information 503 including the old and new decryption key IDs 602 and 603 to the transmission device 400 (S702).

送信装置400は新復号鍵格納情報503を受信すると、新復号鍵格納情報503に含まれる新旧復号鍵ID602、603により、受信装置410の復号化部413が復号鍵管理手段415に格納される旧復号鍵と共に新復号鍵でも復号化できる状態であることを知る。そこで、暗号鍵管理部405は新暗号鍵を格納し(S703)、新暗号鍵で暗号化された暗号パケットを送信する。さらに、暗号鍵更新情報送信部408は、暗号鍵ID612を含む暗号鍵更新情報504を受信装置410に送信する(S704)。ここで暗号鍵更新情報504が伝送路上で紛失したとする。   Upon receiving the new decryption key storage information 503, the transmission device 400 uses the old and new decryption key IDs 602 and 603 included in the new decryption key storage information 503 to store the old decryption unit 413 of the reception device 410 in the decryption key management unit 415. Knows that the decryption key can be decrypted with the new decryption key. Therefore, the encryption key management unit 405 stores the new encryption key (S703), and transmits the encrypted packet encrypted with the new encryption key. Further, the encryption key update information transmission unit 408 transmits the encryption key update information 504 including the encryption key ID 612 to the reception device 410 (S704). Here, it is assumed that the encryption key update information 504 is lost on the transmission path.

この暗号鍵更新情報504を送信した以降の送信装置が送信する暗号パケットは新暗号鍵で暗号化されているが、受信装置410は新復号鍵418も設定されているため復号化することができる。   The encrypted packet transmitted by the transmitting device after transmitting the encryption key update information 504 is encrypted with the new encryption key, but the receiving device 410 can also decrypt it because the new decryption key 418 is also set. .

受信装置410は新復号鍵格納情報503に対する暗号鍵更新情報が新復号鍵格納情報503送信時から一定期間内に来ないことから、受信装置410に備えられた再送信管理部422は、新復号鍵格納情報503を再送する(S705)。送信装置400は再送された新復号鍵格納情報503を受信すると暗号鍵更新情報504を送信する(S706)。   Since the reception device 410 does not receive the encryption key update information for the new decryption key storage information 503 within a certain period from the time of transmission of the new decryption key storage information 503, the retransmission management unit 422 provided in the reception device 410 receives the new decryption key storage information 503. The key storage information 503 is retransmitted (S705). Upon receiving the retransmitted new decryption key storage information 503, the transmission device 400 transmits encryption key update information 504 (S706).

受信装置410は暗号鍵更新情報504を受信すると、暗号鍵更新情報504に含まれる暗号鍵ID612より送信装置が暗号鍵管理部405に更新された暗号鍵が格納されたことを認識し、復号鍵管理部415より旧復号鍵を削除する(S707)。   When receiving the encryption key update information 504, the reception device 410 recognizes that the updated encryption key is stored in the encryption key management unit 405 from the encryption key ID 612 included in the encryption key update information 504, and receives the decryption key. The old decryption key is deleted from the management unit 415 (S707).

この様に本実施形態により、暗号鍵更新情報504が伝送中に失われたとしても、受信装置410は新旧両方の復号鍵を保有しているためいずれの暗号鍵で暗号化された暗号パケットでも復号化し続けることができる。また、送信装置400は暗号鍵を更新するタイミングを新復号鍵格納情報503で確実に知ることができる。一方、暗号鍵更新情報を受信した受信装置410は暗号鍵が更新されたことを知ることができ、その後不要になった旧復号鍵を削除することができる。   As described above, according to the present embodiment, even if the encryption key update information 504 is lost during transmission, the receiving apparatus 410 holds both the old and new decryption keys, so that an encrypted packet encrypted with any encryption key can be used. Decryption can continue. Further, the transmission apparatus 400 can surely know the update timing of the encryption key from the new decryption key storage information 503. On the other hand, the receiving device 410 that has received the encryption key update information can know that the encryption key has been updated, and can then delete the old decryption key that is no longer needed.

なお、図4では、送信装置400が送信する暗号鍵更新情報504を紛失する場合を説明したが、受信装置410が送信する新復号鍵格納情報503を紛失する場合も同様である。   Although the case where the encryption key update information 504 transmitted by the transmission device 400 is lost has been described with reference to FIG. 4, the same applies to the case where the new decryption key storage information 503 transmitted by the reception device 410 is lost.

すなわち、障害無く通信している場合は、送信装置400は、新復号鍵格納情報503を受信後、暗号鍵を更新し、暗号鍵更新情報504を送信するが、新復号鍵格納情報503が通信途上で紛失された場合、新復号鍵格納情報503を未受信の送信装置400は暗号鍵を更新することなく、さらに、暗号鍵更新情報504を送信することもない。従い、受信装置410は新復号鍵格納情報503を送信後一定期間経過しても暗号鍵更新情報504を受信しないため、再度新復号鍵格納情報503を再送することとなり、いずれの情報が通信途上で紛失されたとしても、最終的には一組の新復号鍵格納情報503と暗号鍵更新情報504の授受が成立するまで、新復号鍵格納情報503を送信し続けることとなる。   That is, when communicating without failure, the transmitting apparatus 400 updates the encryption key and transmits the encryption key update information 504 after receiving the new decryption key storage information 503. The new decryption key storage information 503 is communicated. If the transmission device 400 is lost on the way, the transmission device 400 that has not received the new decryption key storage information 503 does not update the encryption key, and further does not transmit the encryption key update information 504. Accordingly, since the receiving apparatus 410 does not receive the encryption key update information 504 even after a certain period of time has elapsed after transmitting the new decryption key storage information 503, the new decryption key storage information 503 is retransmitted again. Even if lost, the new decryption key storage information 503 continues to be transmitted until a pair of new decryption key storage information 503 and encryption key update information 504 are finally exchanged.

これにより、要求情報503または応答情報504のいずれが紛失されても、送信装置400と受信装置410との間で鍵が更新されたことを相互に確実に確認することができる。   Thereby, even if either the request information 503 or the response information 504 is lost, it is possible to mutually confirm that the key has been updated between the transmission device 400 and the reception device 410.

また、この確認のシーケンスが行われている間は、新旧いずれの暗号鍵で暗号化されたパケットも送受信される可能性があるが、AVデータのような一連の長大なデータを送信途中で鍵の更新がなされたとしても、本実施形態にかかる通信システムにより新旧いずれの暗号で暗号化されたパケットも復号化できるため、復号化不能によるAVデータの視聴不可能となる状態を確実に回避することが可能となる。
(実施の形態2)
図5は、本発明の他の実施形態であって鍵配信サーバ821を備えた暗号通信システムの構成を示した構成図である。 While this confirmation sequence is being performed, packets encrypted with either the old or new encryption key may be transmitted / received, but a series of long data such as AV data may be transmitted during transmission. Even if the update is performed, since the packet encrypted with the old and new ciphers can be decrypted by the communication system according to the present embodiment, it is possible to reliably avoid the state in which AV data cannot be viewed due to the inability to decrypt. It becomes possible.
(Embodiment 2)
FIG. 5 is a configuration diagram showing the configuration of an encryption communication system including a key distribution server 821 according to another embodiment of the present invention.

本実施形態にかかる暗号通信システムは、前記実施形態と等しい送信装置400、受信装置410の他、送信装置400と受信装置410とに暗号鍵、復号鍵を配信する鍵配信サーバ821を備える。この鍵配信サーバ821は、一定間隔で鍵を生成する鍵更新部420と、送信装置400、受信装置410に前記鍵更新部420で生成した暗号鍵、復号鍵を配信するシーケンスを制御する鍵配信シーケンス管理部822を備える。   The cryptographic communication system according to the present embodiment includes a key distribution server 821 that distributes an encryption key and a decryption key to the transmission device 400 and the reception device 410 in addition to the transmission device 400 and the reception device 410 that are the same as those of the above-described embodiment. The key distribution server 821 has a key update unit 420 that generates keys at regular intervals, and a key distribution that controls a sequence of distributing the encryption key and the decryption key generated by the key update unit 420 to the transmission device 400 and the reception device 410. A sequence management unit 822 is provided.

前記鍵配信シーケンス管理部822は所定の期間毎に復号鍵を受信装置410に送信するとともに、所定のタイミングでこの復号鍵に対応する暗号鍵を送信装置400に送信する。なお、鍵配信を行う際には送信装置400と受信装置410はそれぞれ鍵配信サーバ821とSSL(Secure Socket Layer)、IPSec(Security Architecture for
Internet Protocol)などの方法を使用してセキュアな通信路を確立する。 The key distribution sequence management unit 822 transmits a decryption key to the reception device 410 at predetermined intervals, and transmits an encryption key corresponding to the decryption key to the transmission device 400 at a predetermined timing. When performing key distribution, the transmission apparatus 400 and the reception apparatus 410 are respectively connected to a key distribution server 821, SSL (Secure Socket Layer), and IPSec (Security Architecture for Security Architecture).
Establish a secure communication path using a method such as Internet Protocol.

図6は、本実施形態における暗号鍵、復号鍵を更新する際の送信装置400、受信装置410および暗号鍵・復号鍵を配信する鍵配信サーバ821の間の暗号鍵・復号鍵の設定タイミングと新復号鍵格納情報・応答情報のやり取りを示すシーケンス図である。   FIG. 6 shows the setting timing of the encryption key / decryption key between the transmission device 400, the reception device 410 and the key distribution server 821 for distributing the encryption key / decryption key when updating the encryption key and the decryption key in this embodiment. It is a sequence diagram which shows exchange of new decryption key storage information and response information.

鍵更新の際に鍵配信サーバ821は受信装置410に対して復号鍵を配信する(S901)。受信装置410は復号鍵を受信すると復号鍵管理手段415の新復号鍵格納部418にこの復号鍵を格納し(S902)、新復号鍵格納情報503を鍵配信サーバ821に対して送信する(S903)。   When the key is updated, the key distribution server 821 distributes the decryption key to the receiving device 410 (S901). When receiving the decryption key, the receiving device 410 stores the decryption key in the new decryption key storage unit 418 of the decryption key management unit 415 (S902), and transmits the new decryption key storage information 503 to the key distribution server 821 (S903). ).

鍵配信サーバ821は新復号鍵格納情報503を受信装置410より受信すると、この新復号鍵格納情報503に新しい暗号鍵を付加して送信装置400に対して送信する(S904)。以上のシーケンスは鍵配信サーバ821上の鍵配信シーケンス管理部822により行われる。   Upon receiving the new decryption key storage information 503 from the receiving device 410, the key distribution server 821 adds a new encryption key to the new decryption key storage information 503 and transmits it to the transmission device 400 (S904). The above sequence is performed by the key distribution sequence management unit 822 on the key distribution server 821.

送信装置400は、暗号鍵が付加された新復号鍵格納情報503を受信すると暗号鍵管理手段405の暗号鍵を更新し(S905)、受信装置410に対して、更新された暗号鍵の鍵IDを含む暗号鍵更新情報504を送信する(S906)。   Upon receiving the new decryption key storage information 503 to which the encryption key is added, the transmission device 400 updates the encryption key of the encryption key management unit 405 (S905), and sends the key ID of the updated encryption key to the reception device 410. The encryption key update information 504 including is transmitted (S906).

受信装置410は暗号鍵更新情報504を受信すると含まれる鍵IDより送信装置400において暗号鍵が更新されたことを認識し、復号鍵管理手段415より旧復号鍵を削除する(S907)。その後、新復号鍵の鍵IDを含む鍵更新確認情報805を送信装置400に送信する(S908)。   When receiving the encryption key update information 504, the reception device 410 recognizes that the encryption key has been updated in the transmission device 400 from the included key ID, and deletes the old decryption key from the decryption key management unit 415 (S907). Thereafter, the key update confirmation information 805 including the key ID of the new decryption key is transmitted to the transmission device 400 (S908).

鍵配信サーバ821は、受信装置410において復号鍵が格納されたことは、新復号鍵格納情報503により確認できる。その後、送信装置400に更新された暗号鍵を送信する。よって、送信装置400は更新された暗号鍵を受信した際には、既に受信装置で新復号鍵が復号鍵管理手段に格納されているので、すぐに暗号鍵を更新することができる。受信装置410は送信装置400より暗号鍵更新要求を受信した際に旧復号鍵を削除することができる。   The key distribution server 821 can confirm from the new decryption key storage information 503 that the decryption key is stored in the receiving device 410. Thereafter, the updated encryption key is transmitted to the transmission device 400. Therefore, when the transmission apparatus 400 receives the updated encryption key, the encryption key can be immediately updated because the new decryption key is already stored in the decryption key management means in the reception apparatus. The receiving device 410 can delete the old decryption key when receiving the encryption key update request from the transmitting device 400.

なお、鍵配信サーバ821は、復号鍵を受信装置410に送信後一定期間経過しても新復号鍵格納情報503を受信しなければ、再度復号鍵を送信するものとしても良い。
また、受信装置410は、新復号鍵格納情報503を送信後一定期間経過しても暗号鍵更新情報504を受信しない場合には、前記実施形態と同様に、再度新復号鍵格納情報503を鍵配信サーバ821に送信する。 Note that the key distribution server 821 may transmit the decryption key again if it does not receive the new decryption key storage information 503 even after a certain period of time has elapsed after transmitting the decryption key to the receiving device 410.
If the receiving device 410 does not receive the encryption key update information 504 even after a certain period of time has elapsed after transmitting the new decryption key storage information 503, the reception device 410 again uses the new decryption key storage information 503 as the key, as in the above embodiment. It transmits to the distribution server 821.

本実施形態により、送信装置400は新暗号鍵を設定されるタイミングを知ることができ、受信装置410は旧復号鍵を削除するタイミングを知ることができる。しかも、新復号鍵格納情報に暗号鍵を付加して送信するため、鍵更新に必要なパケット量を減少させることができる。さらに、本実施形態にかかるシステムにより、暗号鍵・復号鍵更新中にデータパケットを復号できない事態が生じないため、長大なデータを送信中に鍵を更新する場合でも当該デーを失うことが無い。
(実施の形態3)
図7は、本発明の他の実施形態であって鍵配信サーバ821を備えた暗号通信システムであって、受信装置410がルータ700を介して通信網701に接続されている構成を示した構成図である。 According to the present embodiment, the transmission apparatus 400 can know the timing when the new encryption key is set, and the reception apparatus 410 can know the timing when the old decryption key is deleted. In addition, since the encryption key is added to the new decryption key storage information and transmitted, the amount of packets required for key update can be reduced. Furthermore, the system according to the present embodiment does not cause a situation in which the data packet cannot be decrypted while updating the encryption key / decryption key. Therefore, even when the key is updated during transmission of long data, the data is not lost.
(Embodiment 3)
FIG. 7 shows another embodiment of the present invention, which is a cryptographic communication system provided with a key distribution server 821, and shows a configuration in which a receiving apparatus 410 is connected to a communication network 701 via a router 700. FIG.

本実施形態にかかる暗号通信システムは、前記実施形態と等しい送信装置400、受信装置410、鍵配信サーバ821を備える他、データ通信の中継をするルータ700を備える。   The cryptographic communication system according to the present embodiment includes a transmission device 400, a reception device 410, and a key distribution server 821 that are the same as those of the above-described embodiment, and a router 700 that relays data communication.

前記鍵配信サーバ821は、鍵更新部420と鍵配信シーケンス管理部822との他、ルータ700の設定情報等を管理する接続支援部702を備えている。
図8は、ルータを備えた暗号通信システムにおいて、送信装置400と受信装置410とが最初に通信を確立するまでの状態を示したシーケンス図である。 The key distribution server 821 includes a key update unit 420 and a key distribution sequence management unit 822, and a connection support unit 702 that manages setting information and the like of the router 700.
FIG. 8 is a sequence diagram showing a state until the transmission device 400 and the reception device 410 first establish communication in the cryptographic communication system including the router.

同図において受信装置410は、ルータ700に対して鍵配信サーバ821が受信装置410に接続できる様にルータ設定を行う(S1005)。また、そのルータ700の設定情報750を鍵配信サーバ821に対して通知する(S1006)。ルータ設定情報750を受信することにより鍵配信サーバ821の接続支援部702は、ルータ700を介して受信装置410と接続することができるように鍵配信サーバ821を設定する。   In the figure, the receiving device 410 performs router setting for the router 700 so that the key distribution server 821 can connect to the receiving device 410 (S1005). Also, the setting information 750 of the router 700 is notified to the key distribution server 821 (S1006). By receiving the router setting information 750, the connection support unit 702 of the key distribution server 821 sets the key distribution server 821 so that it can connect to the receiving device 410 via the router 700.

これらのやりとりは受信装置410の電源投入直後などに行われる。
次に、送信装置400が受信装置410に接続して暗号パケットを送信するには、まず、受信装置410に接続したい旨の情報である接続要求情報751を鍵配信サーバ821に対して送信する(S1007)。送信装置400が受信装置410に直接接続できないのは両機器の間にはルータ700が存在するため、ルータ700に合致した通信をする必要があるためである。 These exchanges are performed immediately after the receiving apparatus 410 is turned on.
Next, in order for the transmitting device 400 to connect to the receiving device 410 and transmit an encrypted packet, first, connection request information 751 that is information indicating that the transmitting device 400 wants to connect to the receiving device 410 is transmitted to the key distribution server 821 ( S1007). The reason why the transmitting device 400 cannot directly connect to the receiving device 410 is that there is a router 700 between the two devices, and it is necessary to perform communication that matches the router 700.

受信装置410は送信装置400からの接続を受け入れるか拒否するかを判断する。
接続を受け入れる場合は、復号鍵を復号鍵管理手段415の新復号鍵格納部418に格納する(S1010)。また、送信装置400が直接受信装置410に接続できるようにルータ700を設定する(S1009)。 The receiving device 410 determines whether to accept or reject the connection from the transmitting device 400.
When accepting the connection, the decryption key is stored in the new decryption key storage unit 418 of the decryption key management means 415 (S1010). Further, the router 700 is set so that the transmission device 400 can directly connect to the reception device 410 (S1009).

その後、受信装置410は、接続応答情報と送信装置400用のルータ設定情報とが付加された新復号鍵格納情報503を鍵配信サーバ821に対して送信する(S1011)。   Thereafter, the receiving device 410 transmits the new decryption key storage information 503 to which the connection response information and the router setting information for the transmitting device 400 are added to the key distribution server 821 (S1011).

送信装置400と受信装置410はそれぞれ鍵配信サーバ821とSSL、IPSecなどの方法を使用してセキュアな通信路を確立している。
鍵配信サーバ821は、新復号鍵格納情報503を受信装置410より受信すると、送信装置400に対して、暗号鍵をさらに付加した新復号鍵格納情報503を送信する(S1012)。 The transmission device 400 and the reception device 410 establish a secure communication path using a key distribution server 821 and a method such as SSL or IPSec, respectively.
When the key distribution server 821 receives the new decryption key storage information 503 from the reception device 410, the key distribution server 821 transmits the new decryption key storage information 503 to which the encryption key is further added to the transmission device 400 (S1012).

この新復号鍵格納情報503には受信装置の接続応答情報とルータ設定情報とが付加されているために送信装置は受信側のルータのどのポートにパケットを送信すれば受信機器にパケットが到達するかを知ることができる。   Since this new decryption key storage information 503 is added with the connection response information and router setting information of the receiving device, if the transmitting device transmits a packet to which port of the receiving router, the packet reaches the receiving device. Can know.

送信装置400は、この新復号鍵格納情報503を受信すると受信装置410が新しい復号鍵でも復号化できることを確認するとともに、ルータ設定情報750を知ることができ、さらに暗号鍵も入手する。次に、新たに受信した暗号鍵を暗号鍵管理手段405に格納する(S1013)。鍵配信サーバ821に対して接続完了通知情報を送信した(S1014)後、受信したルータ設定情報750に基づき受信装置410に対して接続を確立し、暗号通信を開始する。   When receiving the new decryption key storage information 503, the transmission device 400 confirms that the reception device 410 can decrypt the new decryption key, knows the router setting information 750, and obtains the encryption key. Next, the newly received encryption key is stored in the encryption key management means 405 (S1013). After connection completion notification information is transmitted to the key distribution server 821 (S1014), a connection is established to the receiving device 410 based on the received router setting information 750, and encrypted communication is started.

以上により通信が確立した後は、受信装置410に直接暗号鍵更新情報504が送信され(図示せず)、以降は前記実施形態と同じとなる。
本実施形態により、接続支援部702を備えた鍵配信サーバ821による接続支援に暗号鍵・復号鍵配信をあわせることにより、暗号通信の接続までの時間を短くすることができる。 After the communication is established as described above, the encryption key update information 504 is directly transmitted to the receiving device 410 (not shown), and the subsequent processing is the same as in the above embodiment.
According to the present embodiment, by combining the encryption key / decryption key distribution with the connection support by the key distribution server 821 provided with the connection support unit 702, it is possible to shorten the time until connection of the encrypted communication.

本発明は、暗号パケット通信に適用でき、特にAVデータなどの長大なデータの暗号パケット通信等に適用できる。 The present invention can be applied to encrypted packet communication, and particularly applicable to encrypted packet communication of long data such as AV data.

本発明の暗号通信システムにおける送信装置、受信装置の構成を示す構成図である。It is a block diagram which shows the structure of the transmitter in the encryption communication system of this invention, and a receiver. 本発明にかかる暗号通信システムにおける送信装置と受信装置との間の鍵更新と情報の送信状態を示すシーケンス図である。It is a sequence diagram which shows the transmission state of the key update between a transmitter and a receiver in the encryption communication system concerning this invention, and information. (a)は本発明の実施形態における新復号鍵格納情報のパケット構成を示す図、(b)も同じく暗号鍵更新情報のパケット構成を示す図である。(A) is a figure which shows the packet structure of the new decryption key storage information in embodiment of this invention, (b) is a figure which similarly shows the packet structure of encryption key update information. 本発明にかかる暗号通信システムにおける送信装置と受信装置との間の情報の送信状態を示すシーケンス図である。It is a sequence diagram which shows the transmission state of the information between the transmitter in the encryption communication system concerning this invention, and a receiver. 本発明にかかる暗号通信システムの他の構成を示す構成図である。It is a block diagram which shows the other structure of the encryption communication system concerning this invention. 前記構成の暗号通信システムにおける送信装置と受信装置と鍵配信サーバとの間の情報の送信状態を示すシーケンス図である。It is a sequence diagram which shows the transmission state of the information between the transmitter in the encryption communication system of the said structure, a receiver, and a key distribution server. 本発明にかかる暗号通信システムの他の構成を示す構成図である。It is a block diagram which shows the other structure of the encryption communication system concerning this invention. 前記暗号通信システムにおける送信装置と受信装置と鍵配信サーバとの間の情報の送信状態を示すシーケンス図。The sequence diagram which shows the transmission state of the information between the transmitter in the said encryption communication system, a receiver, and a key distribution server. 従来の暗号通信システムにおける送信装置、受信装置の構成を示す。The structure of the transmitter in a conventional encryption communication system and a receiver is shown. 送信装置と受信装置の間を流れるデータパケットと鍵更新パケットを示す。The data packet and key update packet which flow between a transmitter and a receiver are shown. 送信装置と受信装置の間を流れるデータパケットと鍵更新パケットが紛失された場合を示す。The case where the data packet and key update packet which flow between a transmission apparatus and a reception apparatus are lost is shown.

符号の説明Explanation of symbols

400 送信装置
401 送信アプリケーション
402 暗号パケット送信部
403 暗号化部
404 カプセリング部
405 暗号鍵管理部
406 暗号鍵格納部
407 暗号鍵ID格納部
408 暗号鍵更新情報送信部
410 受信装置
411 受信アプリケーション
412 暗号化パケット受信部
413 復号化部
414 デカプセリング部
415 復号鍵管理部
416 旧復号鍵格納部
417 旧復号鍵ID格納部
418 新復号鍵格納部
419 新復号鍵ID格納部
420 鍵更新部
421 新復号鍵格納情報送信部
422 再送信管理部
503 新復号鍵格納情報
504 暗号鍵更新情報
602 旧復号鍵ID
603 新復号鍵ID
612 暗号鍵ID
700 ルータ
805 鍵更新確認情報
821 鍵配信サーバ
831 鍵配信応答情報 400 Transmission device 401 Transmission application 402 Encryption packet transmission unit 403 Encryption unit 404 Encapsulation unit 405 Encryption key management unit 406 Encryption key storage unit 407 Encryption key ID storage unit 408 Encryption key update information transmission unit 410 Reception device 411 Reception application 412 Encryption Packet reception unit 413 Decryption unit 414 Decapsulation unit 415 Decryption key management unit 416 Old decryption key storage unit 417 Old decryption key ID storage unit 418 New decryption key storage unit 419 New decryption key ID storage unit 420 Key update unit 421 New decryption key Storage information transmission unit 422 Retransmission management unit 503 New decryption key storage information 504 Encryption key update information 602 Old decryption key ID
603 New decryption key ID
612 Encryption key ID
700 Router 805 Key update confirmation information 821 Key distribution server 831 Key distribution response information

Claims (12)

暗号パケットを送信する送信装置と、暗号パケットを受信する受信装置と、所定の時間間隔で相互に対応する新たな暗号鍵と復号鍵とを生成する鍵更新手段とを備える暗号パケット通信システムであって、
前記受信装置は、
前記鍵更新手段から受信した新たな復号鍵と受信前の旧復号鍵との少なくとも2つの復号鍵を格納する復号鍵管理手段と、
前記新旧の復号鍵のいずれかを選択して暗号化パケットを復号化する復号化手段と、
新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信手段とを備え、
前記送信装置は、
前記新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理手段と、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信手段とを備える
ことを特徴とする暗号パケット通信システム。 2. Description of the Related Art An encryption packet communication system including a transmission device that transmits an encryption packet, a reception device that receives an encryption packet, and a key update unit that generates new encryption keys and decryption keys that correspond to each other at predetermined time intervals. And
The receiving device is:
Decryption key management means for storing at least two decryption keys, a new decryption key received from the key update means and an old decryption key before reception;
Decryption means for decrypting the encrypted packet by selecting one of the old and new decryption keys;
New decryption key storage information transmitting means for transmitting new decryption key storage information indicating that a new decryption key is stored in the decryption key management means,
The transmitter is
After receiving the new decryption key storage information, the encryption key management means for discarding the old encryption key and storing a new encryption key;
An encryption packet communication system comprising: encryption key update information transmission means for transmitting encryption key update information indicating that the encryption key management means has updated the encryption key. 前記受信装置はさらに、
新復号鍵格納情報を送信後、所定の期間経過しても暗号鍵更新情報を受信しない場合には再度新復号鍵格納情報を送信する再送信管理手段を備える
ことを特徴とする請求項1に記載の暗号パケット通信システム。 The receiving device further includes:
The re-transmission management means for transmitting the new decryption key storage information again when the encryption key update information is not received even after a predetermined period of time has elapsed after transmitting the new decryption key storage information. The encryption packet communication system described. 前記暗号パケット通信システムはさらに、
鍵配信サーバを備え、
前記鍵配信サーバは、
前記鍵更新手段と、
受信した新復号鍵格納情報に暗号鍵を付加して送信する鍵配信シーケンス管理手段とを備える
ことを特徴とする請求項2に記載の暗号パケット通信システム。 The encrypted packet communication system further includes:
A key distribution server,
The key distribution server
The key update means;
3. The encrypted packet communication system according to claim 2, further comprising key distribution sequence management means for adding an encryption key to the received new decryption key storage information and transmitting the information. 前記暗号パケット通信システムはさらに、
暗号パケットを中継するルータを備え、
前記鍵配信サーバはさらに、前記ルータの設定情報を管理する接続支援手段を備える
ことを特徴とする請求項3に記載の暗号パケット通信システム。 The encrypted packet communication system further includes:
A router that relays encrypted packets
4. The encryption packet communication system according to claim 3, wherein the key distribution server further comprises connection support means for managing setting information of the router. 前記送信装置はさらに、暗号鍵に対応する鍵IDを暗号パケットにカプセリングするカプセリング手段を備え、
前記受信装置はさらに、受信した暗号パケットから鍵IDをデカプセリングするデカプセリング手段を備える
を備えることを特徴とする請求項1に記載の暗号パケット通信システム。 The transmitting device further includes a capsuling means for capsulating the key ID corresponding to the encryption key into the encryption packet,
The encrypted packet communication system according to claim 1, further comprising a decapsulating unit that decapsulates the key ID from the received encrypted packet. 暗号パケットを送信する送信装置と、暗号パケットを受信する受信装置と、所定の時間間隔で相互に対応する新たな暗号鍵と復号鍵とを生成する鍵更新手段とを備える暗号パケット通信システムにおける受信装置であって、
前記鍵更新手段から受信した新たな復号鍵と受信前の旧復号鍵との少なくとも2つの復号鍵を格納する復号鍵管理手段と、
前記新旧の復号鍵のいずれかを選択して暗号化パケットを復号化する復号化手段と、
新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信手段とを備えることを特徴とする受信装置。 Reception in a cryptographic packet communication system comprising: a transmitting device that transmits an encrypted packet; a receiving device that receives the encrypted packet; and a key update unit that generates a new encryption key and a decryption key that correspond to each other at a predetermined time interval. A device,
Decryption key management means for storing at least two decryption keys, a new decryption key received from the key update means and an old decryption key before reception;
Decryption means for decrypting the encrypted packet by selecting one of the old and new decryption keys;
A receiving apparatus comprising: new decryption key storage information transmitting means for transmitting new decryption key storage information indicating that a new decryption key is stored in the decryption key management means. 暗号パケットを送信する送信装置と、暗号パケットを受信する受信装置と、所定の時間間隔で相互に対応する新たな暗号鍵と復号鍵とを生成する鍵更新手段とを備える暗号パケット通信システムにおける送信装置であって、
新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理手段と、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信手段とを備える
ことを特徴とする送信装置。 Transmission in a cryptographic packet communication system comprising: a transmitting device that transmits an encrypted packet; a receiving device that receives the encrypted packet; and a key update unit that generates a new encryption key and a decryption key that correspond to each other at a predetermined time interval. A device,
After receiving the new decryption key storage information, the encryption key management means for discarding the old encryption key and storing the new encryption key;
A transmission apparatus comprising: encryption key update information transmission means for transmitting encryption key update information indicating that the encryption key management means has updated the encryption key. 暗号パケットを送信する送信装置と、暗号パケットを受信する受信装置と、所定の時間間隔で相互に対応する新たな暗号鍵と復号鍵とを生成する鍵更新手段を備える暗号パケット通信システムであって、前記受信装置は、前記鍵更新手段から受信した新たな復号鍵と受信前の旧復号鍵の少なくとも2つの復号鍵を格納する復号鍵管理手段と、前記新旧の復号鍵のいずれかを選択して暗号化パケットを復号化する復号化手段とを備えることを特徴とする暗号パケット通信システムに適用される方法において、
前記受信装置が、新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信ステップと、
前記送信装置が、前記新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理ステップと、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信ステップと
を含むことを特徴とする暗号パケット通信方法。 An encryption packet communication system comprising: a transmission device that transmits an encryption packet; a reception device that receives an encryption packet; and a key update unit that generates a new encryption key and a decryption key that correspond to each other at a predetermined time interval. The receiving device selects either the decryption key management means for storing at least two decryption keys, the new decryption key received from the key update means and the old decryption key before reception, or the old and new decryption keys. And a decryption means for decrypting the encrypted packet, and a method applied to the encrypted packet communication system,
A new decryption key storage information transmission step in which the reception device transmits new decryption key storage information indicating that a new decryption key is stored in the decryption key management means;
After the transmission device receives the new decryption key storage information, an encryption key management step of discarding the old encryption key and storing a new encryption key;
An encryption packet communication method comprising: an encryption key update information transmission step of transmitting encryption key update information indicating that the encryption key management means has updated the encryption key. 請求項1に記載の受信装置に適用される方法において、
前記受信装置が、新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信ステップと、
新復号鍵格納情報を送信後、所定の期間経過しても暗号鍵更新情報を受信しない場合には再度新復号鍵格納情報を送信する再送信管理ステップと
を含むことを特徴とする受信方法。 In the method applied to the receiver of Claim 1,
A new decryption key storage information transmission step in which the reception device transmits new decryption key storage information indicating that a new decryption key is stored in the decryption key management means;
A transmission method comprising: a retransmission management step of transmitting new decryption key storage information again when encryption key update information is not received even after a predetermined period of time has elapsed after transmitting new decryption key storage information. 請求項9に記載の受信方法に含まれるステップをコンピュータに実行させることを特徴とする受信プログラム。   A receiving program for causing a computer to execute the steps included in the receiving method according to claim 9. 請求項1に記載の送信装置に適用される方法であって、
新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理ステップと、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信ステップと
含むことを特徴とする送信方法。 A method applied to the transmission device according to claim 1,
After receiving the new decryption key storage information, an encryption key management step for discarding the old encryption key and storing a new encryption key;
A transmission method comprising: an encryption key update information transmission step of transmitting encryption key update information indicating that the encryption key management means has updated the encryption key. 請求項11に記載の送信方法に含まれるステップをコンピュータに実行させることを特徴とする受信プログラム。
A reception program for causing a computer to execute the steps included in the transmission method according to claim 11.
JP2004194839A 2004-06-30 2004-06-30 Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto Pending JP2006019975A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004194839A JP2006019975A (en) 2004-06-30 2004-06-30 Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004194839A JP2006019975A (en) 2004-06-30 2004-06-30 Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto

Publications (1)

Publication Number Publication Date
JP2006019975A true JP2006019975A (en) 2006-01-19

Family

ID=35793814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004194839A Pending JP2006019975A (en) 2004-06-30 2004-06-30 Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto

Country Status (1)

Country Link
JP (1) JP2006019975A (en)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2005107139A1 (en) * 2004-04-28 2008-03-21 松下電器産業株式会社 COMMUNICATION SYSTEM, COMMON KEY CONTROL DEVICE, AND GENERAL COMMUNICATION DEVICE
JP2008153728A (en) * 2006-12-14 2008-07-03 Kddi R & D Laboratories Inc Update information generating device, identification information updating system, identification information updating method, and program
WO2008096396A1 (en) * 2007-02-02 2008-08-14 Panasonic Corporation Wireless communication device and encryption key updating method
JP2009518932A (en) * 2005-12-07 2009-05-07 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート Security key management method and security channel control device in EPON
JP2009278306A (en) * 2008-05-14 2009-11-26 Mitsubishi Electric Corp Decryption device
JP2010004189A (en) * 2008-06-19 2010-01-07 Fujitsu Ltd Communication device, concealment canceling method
WO2010024379A1 (en) * 2008-08-29 2010-03-04 日本電気株式会社 Communication system, communication device on transmission side and reception or transfer side, method for data communication and data transmission program
US7961887B2 (en) 2007-01-10 2011-06-14 Kabushiki Kaisha Toshiba Content distribution system and tracking system
JP2011160210A (en) * 2010-02-01 2011-08-18 Oki Electric Industry Co Ltd Communication terminal and communication system
WO2011114460A1 (en) * 2010-03-17 2011-09-22 富士通株式会社 Communication device, communication method, and communication system
JP2013153979A (en) * 2012-01-30 2013-08-15 Sanyo Product Co Ltd Game machine
JP2013153976A (en) * 2012-01-30 2013-08-15 Sanyo Product Co Ltd Game machine
JP2018037898A (en) * 2016-08-31 2018-03-08 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ Transmitter, communication system, transmission method, and program
WO2019026776A1 (en) * 2017-08-02 2019-02-07 日本電信電話株式会社 Encrypted communication device, encrypted communication system, encrypted communication method, and program
WO2023187896A1 (en) * 2022-03-28 2023-10-05 日立Astemo株式会社 Communication system, transmitter, and receiver

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4685010B2 (en) * 2004-04-28 2011-05-18 パナソニック株式会社 COMMUNICATION SYSTEM, COMMON KEY CONTROL DEVICE, AND GENERAL COMMUNICATION DEVICE
JPWO2005107139A1 (en) * 2004-04-28 2008-03-21 松下電器産業株式会社 COMMUNICATION SYSTEM, COMMON KEY CONTROL DEVICE, AND GENERAL COMMUNICATION DEVICE
JP2009518932A (en) * 2005-12-07 2009-05-07 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート Security key management method and security channel control device in EPON
JP2008153728A (en) * 2006-12-14 2008-07-03 Kddi R & D Laboratories Inc Update information generating device, identification information updating system, identification information updating method, and program
US7961887B2 (en) 2007-01-10 2011-06-14 Kabushiki Kaisha Toshiba Content distribution system and tracking system
WO2008096396A1 (en) * 2007-02-02 2008-08-14 Panasonic Corporation Wireless communication device and encryption key updating method
JP2009278306A (en) * 2008-05-14 2009-11-26 Mitsubishi Electric Corp Decryption device
JP2010004189A (en) * 2008-06-19 2010-01-07 Fujitsu Ltd Communication device, concealment canceling method
JP5556659B2 (en) * 2008-08-29 2014-07-23 日本電気株式会社 COMMUNICATION SYSTEM, TRANSMITTER AND RECEPTION OR TRANSFER COMMUNICATION DEVICE, DATA COMMUNICATION METHOD, DATA COMMUNICATION PROGRAM
WO2010024379A1 (en) * 2008-08-29 2010-03-04 日本電気株式会社 Communication system, communication device on transmission side and reception or transfer side, method for data communication and data transmission program
US9059839B2 (en) 2010-02-01 2015-06-16 Oki Electric Industry Co., Ltd. Communication terminal using a temporary network key for assembling a secure communication frame
JP2011160210A (en) * 2010-02-01 2011-08-18 Oki Electric Industry Co Ltd Communication terminal and communication system
JPWO2011114460A1 (en) * 2010-03-17 2013-06-27 富士通株式会社 Communication apparatus and method, and communication system
WO2011114460A1 (en) * 2010-03-17 2011-09-22 富士通株式会社 Communication device, communication method, and communication system
JP2013153979A (en) * 2012-01-30 2013-08-15 Sanyo Product Co Ltd Game machine
JP2013153976A (en) * 2012-01-30 2013-08-15 Sanyo Product Co Ltd Game machine
JP2018037898A (en) * 2016-08-31 2018-03-08 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ Transmitter, communication system, transmission method, and program
WO2019026776A1 (en) * 2017-08-02 2019-02-07 日本電信電話株式会社 Encrypted communication device, encrypted communication system, encrypted communication method, and program
JPWO2019026776A1 (en) * 2017-08-02 2020-07-27 日本電信電話株式会社 Encrypted communication device, encrypted communication system, encrypted communication method, and program
US11388001B2 (en) 2017-08-02 2022-07-12 Nippon Telegraph And Telephone Corporation Encrypted communication device, encrypted communication system, encrypted communication method, and program
WO2023187896A1 (en) * 2022-03-28 2023-10-05 日立Astemo株式会社 Communication system, transmitter, and receiver

Similar Documents

Publication Publication Date Title
JP3769580B2 (en) Information processing apparatus, information processing method, and information processing program
JP4101839B2 (en) Session control server and communication system
KR101032016B1 (en) Constrained cryptographic keys
JP3816689B2 (en) Information distribution apparatus, information reception apparatus, and communication method
JP4674502B2 (en) Information communication system, information communication apparatus, information communication method, and computer program
US7584505B2 (en) Inspected secure communication protocol
US7774594B2 (en) Method and system for providing strong security in insecure networks
EP1746801A2 (en) Transmission of packet data over a network with a security protocol
JP2006121510A (en) Encryption communications system
JP2006019975A (en) Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto
JP2005210193A (en) Common secret key generating device
KR100948604B1 (en) Security method of mobile internet protocol based server
JP2002217896A (en) Method for cipher communication and gateway device
JP2004056762A (en) Wireless communication method and equipment, communication control program and controller, key management program, wireless lan system, and recording medium
CN103297400A (en) Security alliance management method and system based on bidirectional forwarding detection protocol
CN115567205A (en) Method and system for realizing encryption and decryption of network session data stream by quantum key distribution
WO2016134631A1 (en) Processing method for openflow message, and network element
JP2006197065A (en) Terminal device and authentication device
JP2007110487A (en) Lan system and its communication method
JPH1141280A (en) Communication system, vpn repeater and recording medium
JP4933286B2 (en) Encrypted packet communication system
JP2005244379A (en) Vpn system, vpn apparatus, and encryption key distribution method used for them
JP4910956B2 (en) Communication control system, terminal, and program
JP4664692B2 (en) ENCRYPTION METHOD, DECRYPTION METHOD, ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION DEVICE, AND PROGRAM
KR20230039722A (en) Pre-shared key PSK update method and device