JP2006019975A - Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto - Google Patents
Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto Download PDFInfo
- Publication number
- JP2006019975A JP2006019975A JP2004194839A JP2004194839A JP2006019975A JP 2006019975 A JP2006019975 A JP 2006019975A JP 2004194839 A JP2004194839 A JP 2004194839A JP 2004194839 A JP2004194839 A JP 2004194839A JP 2006019975 A JP2006019975 A JP 2006019975A
- Authority
- JP
- Japan
- Prior art keywords
- key
- new
- encryption
- decryption key
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、暗号パケットを端末間で送受信する暗号パケット通信システム及び暗号パケット通信方法に関し、特に暗号鍵と復号鍵を所定間隔毎に更新する暗号パケット通信システム及び暗号パケット通信方法等に関する。 The present invention relates to an encrypted packet communication system and an encrypted packet communication method for transmitting and receiving encrypted packets between terminals, and more particularly to an encrypted packet communication system and an encrypted packet communication method for updating an encryption key and a decryption key at predetermined intervals.
従来、暗号パケット通信システムにおいては同じ暗号鍵・復号鍵のペアを長時間使用することにより鍵が看破されることを防ぐため、暗号鍵と復号鍵とを所定間隔ごとに更新するシステムがある(例えば特許文献1、特許文献2)。 2. Description of the Related Art Conventionally, in an encrypted packet communication system, there is a system that updates an encryption key and a decryption key at predetermined intervals in order to prevent the key from being overlooked by using the same encryption key / decryption key pair for a long time ( For example, Patent Document 1 and Patent Document 2).
図9は、従来の所定間隔毎に鍵を更新する暗号パケット通信システムの概略構成を示した構成図である。この従来の暗号パケット通信システムは、平文パケットを送信する送信アプリケーション101と、平文パケットを暗号化して暗号パケットとして送信する暗号パケット送信部102と、暗号パケット送信部102が送信した暗号パケットを受信して復号化する暗号パケット受信部112と、暗号パケット受信部112が復号化した平文パケットを受信する受信アプリケーション111とを備えている。
FIG. 9 is a configuration diagram showing a schematic configuration of a conventional encrypted packet communication system that updates a key at predetermined intervals. This conventional encrypted packet communication system receives a
さらに暗号パケット送信部102は、新暗号鍵と旧暗号鍵の入れ替えなどを管理し、暗号鍵を格納する暗号鍵格納部106と暗号鍵に対応する鍵IDを格納する鍵ID格納部107を備える暗号鍵管理部105と、暗号鍵格納部106が格納する暗号鍵を使用して平文パケットを暗号化する暗号化部103と、暗号パケットに鍵IDをカプセリングするカプセリング部104とを備えている。
Furthermore, the encryption
暗号パケット受信手段112は、新復号鍵と旧復号鍵の入れ替えなどを管理し、復号鍵を格納する復号鍵格納部116と復号鍵に対応する鍵IDを格納する鍵ID格納部117を備える復号鍵管理部115と、暗号パケットから鍵IDを分離するデカプセリング部114と、鍵IDに対応する復号鍵を復号鍵格納部116から呼び出し、この復号鍵を用いて暗号パケットを復号化して平文パケットにする復号化部113とを備えている。
The encrypted
図10は、従来の鍵更新方法の例を示している。
暗号パケット送信手段102、暗号パケット受信手段112は暗号パケットの安全性を確保するために一定時間ごとに相互に対応する暗号鍵と復号鍵とを更新するが、送受信される暗号化パケットを復号化するには、暗号パケット送信手段102と暗号パケット受信手段112は双方タイミングをはかって更新する必要がある。
FIG. 10 shows an example of a conventional key update method.
The encrypted
従来、図10に示すように、古い暗号鍵で暗号化された新復号鍵を含む鍵更新パケット212を送信することで、新復号鍵の送信と鍵更新のタイミングを通知することが行われている。
しかしながら、データ量の大きいAVデータなどを暗号化して送受信する場合に、AVデータを送受信している途中で鍵を更新するタイミングとなる場合がある。この場合、通信をする両端末で鍵を更新するタイミングを極めて正確に合わせないと、あるパケットを暗号化した暗号鍵とそれを復号化しようとする復号鍵との間で齟齬が生じ、受信側で復号鍵を更新してないがために通信中の暗号パケットを復号できずに、AVデータの一部が喪失してしまい、結果としてAVを鑑賞できないという場合がある。 However, when AV data having a large amount of data is encrypted and transmitted / received, it may be time to update the key while AV data is being transmitted / received. In this case, if the timing of updating the key at both terminals that communicate with each other is not matched very accurately, there will be a flaw between the encryption key that encrypts a packet and the decryption key that attempts to decrypt it. In this case, since the decryption key is not updated, the encrypted packet being communicated cannot be decrypted, and a part of the AV data is lost. As a result, the AV cannot be viewed.
また、両端末間で鍵更新のタイミングを通知するパケットを送受信して鍵更新のタイミングを合わせようとしても、タイミングを合わせるためのパケットが通信中に喪失してしまうことで、AVデータの復号化ができなくなることもある。 Also, even if it is attempted to synchronize the key update timing by transmitting / receiving a packet for notifying the timing of key update between both terminals, the packet for matching the timing is lost during communication, so that the AV data is decrypted. May not be possible.
さらに、暗号化されたパケットは送信された順番で受信されるとは限らず、暗号鍵の更新前後では新暗号鍵で暗号化された暗号パケットの後に旧暗号鍵で暗号化された暗号パケットが受信されることもあり、長大なデータ送信中の鍵更新は困難である。 Furthermore, encrypted packets are not always received in the order in which they were sent, and before and after updating the encryption key, an encrypted packet encrypted with the old encryption key is followed by an encrypted packet encrypted with the new encryption key. It may be received, and it is difficult to update the key during long data transmission.
図11は、鍵更新のタイミングを通知するパケットが喪失した場合の例を提示する。鍵更新のタイミングを通知する鍵更新パケット212がパケット211、213、214の間に挿入されており、パケット211は旧暗号鍵で暗号化され、パケット213とパケット214とは新暗号鍵で暗号化されている。ここで鍵更新パケット212が通信中に喪失した場合、受信装置110は、復号鍵を更新するタイミングがわからずに、更新された暗号鍵で暗号化されたパケット213、214を復号することができない。よってパケット213以降の暗号パケットを受信することができないことになる。
FIG. 11 presents an example when the packet for notifying the timing of key update is lost. A
前記従来の課題を解決するため、本発明では、暗号パケットを送信する送信装置と、暗号パケットを受信する受信装置と、所定の時間間隔で相互に対応する新たな暗号鍵と復号鍵とを生成する鍵更新手段とを備える暗号パケット通信システムであって、前記受信装置は、前記鍵更新手段から受信した新たな復号鍵と受信前の旧復号鍵との少なくとも2つの復号鍵を格納する復号鍵管理手段と、前記新旧の復号鍵のいずれかを選択して暗号化パケットを復号化する復号化手段と、新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信手段を備え、前記送信装置は、前記新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理手段と、暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信手段とを備えることを特徴とする暗号パケット通信システムを提供する。 In order to solve the above-described conventional problems, the present invention generates a transmitting device that transmits an encrypted packet, a receiving device that receives the encrypted packet, and new encryption keys and decryption keys that correspond to each other at predetermined time intervals. A decryption key for storing at least two decryption keys, a new decryption key received from the key update means and an old decryption key before reception. Sends management means, decryption means for selecting one of the old and new decryption keys and decrypting the encrypted packet, and new decryption key storage information indicating that the new decryption key is stored in the decryption key management means A new decryption key storage information transmitting means, and the transmitting device receives the new decryption key storage information, then discards the old encryption key and stores a new encryption key, and an encryption key management means Renews encryption key Providing the encryption key update information transmitting means for transmitting the encryption key update information that was providing encrypted packet communication system according to claim.
これにより、送信装置と受信装置とは相互に新たな鍵を保有していることを確認し合うことができ、その後の処理、例えば旧復号鍵の削除を円滑に行うことができる。しかもこれら新たな鍵の保有を確認し合っている間にも新旧いずれかの暗号鍵で暗号化されたパケットを送受信していても、受信装置は新旧の復号鍵をもちいて復号化することができるため、AVデータのような長大なパケットを送受信している間に鍵の更新が行われても、中間のパケットが復号化することができない事態を回避することができる。 Accordingly, it is possible to confirm that the transmission device and the reception device have a new key, and subsequent processing, for example, deletion of the old decryption key can be performed smoothly. Moreover, even if packets that have been encrypted with either the old or new encryption key are sent or received while confirming the possession of these new keys, the receiving device can decrypt using the old and new decryption keys. Therefore, even if the key is updated while a long packet such as AV data is being transmitted / received, a situation in which the intermediate packet cannot be decrypted can be avoided.
また、前記受信装置はさらに、新復号鍵格納情報を送信後、所定の期間経過しても暗号鍵更新情報を受信しない場合には再度新復号鍵格納情報を送信する再送信管理手段を備えることが好ましい。 The receiving apparatus further includes a retransmission management means for transmitting new decryption key storage information again when encryption key update information is not received even after a predetermined period of time has elapsed after transmitting new decryption key storage information. Is preferred.
これにより、何らかの通信障害により新たな鍵の保有を確認しあう情報が消失する事態が発生しても、受信装置は新たな鍵の保有を確認し合うまで新旧の復号鍵を保有するため確実に暗号パケットを複合化することができる。 As a result, even if information that confirms possession of a new key disappears due to some kind of communication failure, the receiving device retains the old and new decryption keys until it confirms possession of the new key. Encryption packets can be decrypted.
なお、本発明は、このように暗号パケット通信システムとして実現できるが、本発明にかかる受信装置や送信装置を備えることにより実現できるものである。またこれら受信装置や送信装置が備える特徴的な手段をステップとする受信方法や送信方法として実現したり、それらのステップをコンピュータに実行させるプログラムとして実現したりすることもできる。 In addition, although this invention is realizable as an encryption packet communication system in this way, it is realizable by providing the receiver and transmission device concerning this invention. Further, it can be realized as a reception method or transmission method using steps characteristic of the reception device or the transmission device, or as a program for causing a computer to execute these steps.
そして、そのようなプログラムは、CD−ROMなどの記録媒体やインターネットなどの伝送媒体を介して配信することができるのは言うまでもない。 Needless to say, such a program can be distributed via a recording medium such as a CD-ROM or a transmission medium such as the Internet.
本発明の暗号パケット通信システムによれば、暗号パケット通信においてAVデータの様な長大なデータを送信している途中で鍵の更新が発生する状態でも、暗号パケット通信を途切れさせること無く新たな鍵の保有を確認し合って通信を行うことができる。 According to the encrypted packet communication system of the present invention, a new key can be obtained without interrupting encrypted packet communication even when a key update occurs during transmission of long data such as AV data in encrypted packet communication. Can communicate with each other.
以下に、本発明の実施の形態について、図面を参照しながら説明する。
(実施形態1)
図1は、本発明の実施の形態1における暗号通信システムの構成を示した構成図である。本実施形態にかかる暗号通信システムは、AVデータなど長大なデータを暗号化したパケットで送受信するシステムであって、送信装置400と受信装置410とを備えている。
Embodiments of the present invention will be described below with reference to the drawings.
(Embodiment 1)
FIG. 1 is a configuration diagram showing the configuration of the cryptographic communication system according to Embodiment 1 of the present invention. The encryption communication system according to the present embodiment is a system that transmits and receives long data such as AV data in encrypted packets, and includes a
前記送信装置400は、一定間隔で暗号鍵とこれに対応する復号鍵を乱数に基づき生成する鍵更新部420と、平文パケットを送信する送信アプリケーション401と、平文パケットを暗号化して暗号パケットとして送信する暗号パケット送信部402とを備える。
The
受信装置410は、暗号パケット送信部402が送信した暗号パケットを受信し、このパケットを復号化して平文パケットに戻す暗号パケット受信部412と、暗号パケット受信部412が平文化したパケットを受信する受信アプリケーション411とを備えている。
The receiving
さらに、暗号パケット送信部402は、暗号鍵を格納する暗号鍵格納部406と暗号鍵に対応する暗号鍵ID612を格納する鍵ID格納部407とを管理している暗号鍵管理部405を備えるとともに、暗号鍵管理部405が管理する暗号鍵を使用して平文パケットを暗号化する暗号化部403と、前記暗号化部403で暗号化された暗号パケットに暗号鍵管理部405が管理する暗号鍵ID612をカプセリングするカプセリング部404と、前記暗号鍵管理部405が暗号鍵を更新すると暗号鍵更新情報を作成し送信する暗号鍵更新情報送信部408とを備える。
Furthermore, the encryption
一方、暗号パケット受信部412は、新旧の復号鍵を格納する新旧の復号鍵格納部416、418と、これら新旧の復号鍵にそれぞれ対応する鍵ID602、603を格納する新旧鍵ID格納部417、419とを管理している復号鍵管理部415を備えるとともに、暗号パケットに含まれる暗号鍵ID612を取り出すデカプセリング部414と、復号鍵管理部415から当該暗号鍵ID612に相当する復号鍵を取り出し、旧復号鍵、または、新復号鍵のいずれか一方を用いて暗号パケットを復号し平文パケットにする復号化部413と、復号鍵管理部415が新たな復号鍵を格納すると新復号鍵格納情報を送信する新復号鍵格納情報送信部421とを備える。
On the other hand, the encrypted
図2は、本発明の実施の形態1における暗号鍵・復号鍵を更新する際の送信装置400と受信装置410の間の暗号鍵・復号鍵の設定タイミングと新復号鍵格納情報503や暗号鍵更新情報504のやり取りの様子を示すシーケンス図である。この図に示すシーケンスは、特に通信上の障害が発生しない良好な通信状態の場合を示している。
FIG. 2 shows the setting timing of the encryption key / decryption key between the
受信装置410は、鍵更新部420で生成された復号鍵を新たに入手すると復号鍵管理部415の新復号鍵格納部418にこれを格納する(S501)。またこれに伴い、復号鍵管理部415は、旧復号鍵となった復号鍵を旧復号鍵格納部416に格納する。これにより、受信装置410の復号化部413は、新旧いずれの復号鍵に対応する暗号鍵で暗号化された暗号パケットも復号できる状態になる。
When receiving the new decryption key generated by the
新復号鍵を格納後、旧復号鍵に対応する旧復号鍵ID602と、新復号鍵に対応する新復号鍵ID603とを含んだ新復号鍵格納情報503を送信装置400に送信する(S502)。当該新復号鍵格納情報503を送信中も送信装置400からはAVデータに関するパケットが送信され続けているが、当該パケットは旧暗号鍵で暗号化されたものであるため、受信装置410の復号化部413は旧復号鍵で暗号パケットを復号化する。
After storing the new decryption key, new decryption
送信装置400は新復号鍵格納情報503を受信すると、新復号鍵格納情報503に含まれる新旧の復号鍵ID602、603により、受信装置410の復号鍵管理部415に旧復号鍵と新復号鍵とが格納され、更新された暗号鍵で暗号化された暗号パケットも復号化できる状態であることを知る。そこで、送信装置400は、暗号鍵管理部405の暗号鍵格納部406に格納される暗号鍵を更新する(S505)。暗号鍵更新情報送信部408は、新暗号鍵の暗号鍵ID612が含まれた暗号鍵更新情報504を受信装置410に送信する(S506)。その後、新しい暗号鍵406で暗号化した暗号パケットを受信装置410に送信する。
Upon receiving the new decryption
受信装置410は暗号鍵更新情報504を受信すると、暗号鍵更新情報504に含まれる暗号鍵ID612より送信装置が暗号鍵管理手段405に更新された暗号鍵を設定したことと認識し、復号鍵管理部415より旧復号鍵を削除する(S507)。
When receiving the encryption
もし、一連の長大なAVデータなどのデータを送受信中に上記暗号鍵の更新が生じ、新しい暗号鍵で暗号化された暗号パケットが送信されたとしても、受信装置410は、新しい暗号鍵に対応する復号鍵を保有していることは確実であるので、暗号パケットを取りこぼすことはない。
Even if the encryption key is updated during transmission / reception of a series of long AV data and the like, and the encrypted packet encrypted with the new encryption key is transmitted, the receiving
図3(a)は、受信装置410から送信装置400へ送信される新復号鍵格納情報503の内容、図3(b)は、送信装置400から受信装置410へ送信される暗号鍵更新情報504の内容を示している。
3A shows the contents of the new decryption
これらの新復号鍵格納情報503、暗号鍵更新情報504は、パケットを送信するのに必要なIPヘッダーや、UPDヘッダーヘッダー、TCPヘッダーなどのヘッダー601、611を先頭に備えるとともに、新復号鍵格納情報503は、旧復号鍵ID602と新復号鍵ID603とを備え、暗号鍵更新情報504は、暗号鍵ID612を備える。
The new decryption
このように、新復号鍵格納情報503に新旧の復号鍵ID602、603を含めることで、当該情報503を受信した送信装置400は、受信装置410が新旧のいずれの暗号鍵で暗号化したパケットをも復号化することができることを確実に認識することが可能となる。
Thus, by including the new and old decryption
次に、図4は、通信時の障害によって暗号鍵更新情報504が伝送中に紛失した場合の送信装置400と受信装置410との間の暗号鍵、復号鍵の更新タイミングと新復号鍵格納情報503、暗号鍵更新情報504のやり取りを示すシーケンス図である。
Next, FIG. 4 shows the update timing of the encryption key and the decryption key between the
受信装置410は復号鍵を新たに入手すると復号鍵管理部415の新復号鍵格納部418にこれを格納する(S701)。受信装置410の復号化部413は旧復号鍵に対応する暗号鍵で暗号化された暗号パケットも、新復号鍵に対応する暗号鍵で暗号化された暗号パケットも復号できる状態になる。その後、新暗号鍵格納情報送信部421は、新旧の復号鍵ID602、603を含んだ新復号鍵格納情報503を送信装置400に送信する(S702)。
When receiving the new decryption key, the receiving
送信装置400は新復号鍵格納情報503を受信すると、新復号鍵格納情報503に含まれる新旧復号鍵ID602、603により、受信装置410の復号化部413が復号鍵管理手段415に格納される旧復号鍵と共に新復号鍵でも復号化できる状態であることを知る。そこで、暗号鍵管理部405は新暗号鍵を格納し(S703)、新暗号鍵で暗号化された暗号パケットを送信する。さらに、暗号鍵更新情報送信部408は、暗号鍵ID612を含む暗号鍵更新情報504を受信装置410に送信する(S704)。ここで暗号鍵更新情報504が伝送路上で紛失したとする。
Upon receiving the new decryption
この暗号鍵更新情報504を送信した以降の送信装置が送信する暗号パケットは新暗号鍵で暗号化されているが、受信装置410は新復号鍵418も設定されているため復号化することができる。
The encrypted packet transmitted by the transmitting device after transmitting the encryption
受信装置410は新復号鍵格納情報503に対する暗号鍵更新情報が新復号鍵格納情報503送信時から一定期間内に来ないことから、受信装置410に備えられた再送信管理部422は、新復号鍵格納情報503を再送する(S705)。送信装置400は再送された新復号鍵格納情報503を受信すると暗号鍵更新情報504を送信する(S706)。
Since the
受信装置410は暗号鍵更新情報504を受信すると、暗号鍵更新情報504に含まれる暗号鍵ID612より送信装置が暗号鍵管理部405に更新された暗号鍵が格納されたことを認識し、復号鍵管理部415より旧復号鍵を削除する(S707)。
When receiving the encryption
この様に本実施形態により、暗号鍵更新情報504が伝送中に失われたとしても、受信装置410は新旧両方の復号鍵を保有しているためいずれの暗号鍵で暗号化された暗号パケットでも復号化し続けることができる。また、送信装置400は暗号鍵を更新するタイミングを新復号鍵格納情報503で確実に知ることができる。一方、暗号鍵更新情報を受信した受信装置410は暗号鍵が更新されたことを知ることができ、その後不要になった旧復号鍵を削除することができる。
As described above, according to the present embodiment, even if the encryption
なお、図4では、送信装置400が送信する暗号鍵更新情報504を紛失する場合を説明したが、受信装置410が送信する新復号鍵格納情報503を紛失する場合も同様である。
Although the case where the encryption
すなわち、障害無く通信している場合は、送信装置400は、新復号鍵格納情報503を受信後、暗号鍵を更新し、暗号鍵更新情報504を送信するが、新復号鍵格納情報503が通信途上で紛失された場合、新復号鍵格納情報503を未受信の送信装置400は暗号鍵を更新することなく、さらに、暗号鍵更新情報504を送信することもない。従い、受信装置410は新復号鍵格納情報503を送信後一定期間経過しても暗号鍵更新情報504を受信しないため、再度新復号鍵格納情報503を再送することとなり、いずれの情報が通信途上で紛失されたとしても、最終的には一組の新復号鍵格納情報503と暗号鍵更新情報504の授受が成立するまで、新復号鍵格納情報503を送信し続けることとなる。
That is, when communicating without failure, the transmitting
これにより、要求情報503または応答情報504のいずれが紛失されても、送信装置400と受信装置410との間で鍵が更新されたことを相互に確実に確認することができる。
Thereby, even if either the
また、この確認のシーケンスが行われている間は、新旧いずれの暗号鍵で暗号化されたパケットも送受信される可能性があるが、AVデータのような一連の長大なデータを送信途中で鍵の更新がなされたとしても、本実施形態にかかる通信システムにより新旧いずれの暗号で暗号化されたパケットも復号化できるため、復号化不能によるAVデータの視聴不可能となる状態を確実に回避することが可能となる。
(実施の形態2)
図5は、本発明の他の実施形態であって鍵配信サーバ821を備えた暗号通信システムの構成を示した構成図である。
While this confirmation sequence is being performed, packets encrypted with either the old or new encryption key may be transmitted / received, but a series of long data such as AV data may be transmitted during transmission. Even if the update is performed, since the packet encrypted with the old and new ciphers can be decrypted by the communication system according to the present embodiment, it is possible to reliably avoid the state in which AV data cannot be viewed due to the inability to decrypt. It becomes possible.
(Embodiment 2)
FIG. 5 is a configuration diagram showing the configuration of an encryption communication system including a
本実施形態にかかる暗号通信システムは、前記実施形態と等しい送信装置400、受信装置410の他、送信装置400と受信装置410とに暗号鍵、復号鍵を配信する鍵配信サーバ821を備える。この鍵配信サーバ821は、一定間隔で鍵を生成する鍵更新部420と、送信装置400、受信装置410に前記鍵更新部420で生成した暗号鍵、復号鍵を配信するシーケンスを制御する鍵配信シーケンス管理部822を備える。
The cryptographic communication system according to the present embodiment includes a
前記鍵配信シーケンス管理部822は所定の期間毎に復号鍵を受信装置410に送信するとともに、所定のタイミングでこの復号鍵に対応する暗号鍵を送信装置400に送信する。なお、鍵配信を行う際には送信装置400と受信装置410はそれぞれ鍵配信サーバ821とSSL(Secure Socket Layer)、IPSec(Security Architecture for
Internet Protocol)などの方法を使用してセキュアな通信路を確立する。
The key distribution
Establish a secure communication path using a method such as Internet Protocol.
図6は、本実施形態における暗号鍵、復号鍵を更新する際の送信装置400、受信装置410および暗号鍵・復号鍵を配信する鍵配信サーバ821の間の暗号鍵・復号鍵の設定タイミングと新復号鍵格納情報・応答情報のやり取りを示すシーケンス図である。
FIG. 6 shows the setting timing of the encryption key / decryption key between the
鍵更新の際に鍵配信サーバ821は受信装置410に対して復号鍵を配信する(S901)。受信装置410は復号鍵を受信すると復号鍵管理手段415の新復号鍵格納部418にこの復号鍵を格納し(S902)、新復号鍵格納情報503を鍵配信サーバ821に対して送信する(S903)。
When the key is updated, the
鍵配信サーバ821は新復号鍵格納情報503を受信装置410より受信すると、この新復号鍵格納情報503に新しい暗号鍵を付加して送信装置400に対して送信する(S904)。以上のシーケンスは鍵配信サーバ821上の鍵配信シーケンス管理部822により行われる。
Upon receiving the new decryption
送信装置400は、暗号鍵が付加された新復号鍵格納情報503を受信すると暗号鍵管理手段405の暗号鍵を更新し(S905)、受信装置410に対して、更新された暗号鍵の鍵IDを含む暗号鍵更新情報504を送信する(S906)。
Upon receiving the new decryption
受信装置410は暗号鍵更新情報504を受信すると含まれる鍵IDより送信装置400において暗号鍵が更新されたことを認識し、復号鍵管理手段415より旧復号鍵を削除する(S907)。その後、新復号鍵の鍵IDを含む鍵更新確認情報805を送信装置400に送信する(S908)。
When receiving the encryption
鍵配信サーバ821は、受信装置410において復号鍵が格納されたことは、新復号鍵格納情報503により確認できる。その後、送信装置400に更新された暗号鍵を送信する。よって、送信装置400は更新された暗号鍵を受信した際には、既に受信装置で新復号鍵が復号鍵管理手段に格納されているので、すぐに暗号鍵を更新することができる。受信装置410は送信装置400より暗号鍵更新要求を受信した際に旧復号鍵を削除することができる。
The
なお、鍵配信サーバ821は、復号鍵を受信装置410に送信後一定期間経過しても新復号鍵格納情報503を受信しなければ、再度復号鍵を送信するものとしても良い。
また、受信装置410は、新復号鍵格納情報503を送信後一定期間経過しても暗号鍵更新情報504を受信しない場合には、前記実施形態と同様に、再度新復号鍵格納情報503を鍵配信サーバ821に送信する。
Note that the
If the receiving
本実施形態により、送信装置400は新暗号鍵を設定されるタイミングを知ることができ、受信装置410は旧復号鍵を削除するタイミングを知ることができる。しかも、新復号鍵格納情報に暗号鍵を付加して送信するため、鍵更新に必要なパケット量を減少させることができる。さらに、本実施形態にかかるシステムにより、暗号鍵・復号鍵更新中にデータパケットを復号できない事態が生じないため、長大なデータを送信中に鍵を更新する場合でも当該デーを失うことが無い。
(実施の形態3)
図7は、本発明の他の実施形態であって鍵配信サーバ821を備えた暗号通信システムであって、受信装置410がルータ700を介して通信網701に接続されている構成を示した構成図である。
According to the present embodiment, the
(Embodiment 3)
FIG. 7 shows another embodiment of the present invention, which is a cryptographic communication system provided with a
本実施形態にかかる暗号通信システムは、前記実施形態と等しい送信装置400、受信装置410、鍵配信サーバ821を備える他、データ通信の中継をするルータ700を備える。
The cryptographic communication system according to the present embodiment includes a
前記鍵配信サーバ821は、鍵更新部420と鍵配信シーケンス管理部822との他、ルータ700の設定情報等を管理する接続支援部702を備えている。
図8は、ルータを備えた暗号通信システムにおいて、送信装置400と受信装置410とが最初に通信を確立するまでの状態を示したシーケンス図である。
The
FIG. 8 is a sequence diagram showing a state until the
同図において受信装置410は、ルータ700に対して鍵配信サーバ821が受信装置410に接続できる様にルータ設定を行う(S1005)。また、そのルータ700の設定情報750を鍵配信サーバ821に対して通知する(S1006)。ルータ設定情報750を受信することにより鍵配信サーバ821の接続支援部702は、ルータ700を介して受信装置410と接続することができるように鍵配信サーバ821を設定する。
In the figure, the receiving
これらのやりとりは受信装置410の電源投入直後などに行われる。
次に、送信装置400が受信装置410に接続して暗号パケットを送信するには、まず、受信装置410に接続したい旨の情報である接続要求情報751を鍵配信サーバ821に対して送信する(S1007)。送信装置400が受信装置410に直接接続できないのは両機器の間にはルータ700が存在するため、ルータ700に合致した通信をする必要があるためである。
These exchanges are performed immediately after the receiving
Next, in order for the transmitting
受信装置410は送信装置400からの接続を受け入れるか拒否するかを判断する。
接続を受け入れる場合は、復号鍵を復号鍵管理手段415の新復号鍵格納部418に格納する(S1010)。また、送信装置400が直接受信装置410に接続できるようにルータ700を設定する(S1009)。
The receiving
When accepting the connection, the decryption key is stored in the new decryption
その後、受信装置410は、接続応答情報と送信装置400用のルータ設定情報とが付加された新復号鍵格納情報503を鍵配信サーバ821に対して送信する(S1011)。
Thereafter, the receiving
送信装置400と受信装置410はそれぞれ鍵配信サーバ821とSSL、IPSecなどの方法を使用してセキュアな通信路を確立している。
鍵配信サーバ821は、新復号鍵格納情報503を受信装置410より受信すると、送信装置400に対して、暗号鍵をさらに付加した新復号鍵格納情報503を送信する(S1012)。
The
When the
この新復号鍵格納情報503には受信装置の接続応答情報とルータ設定情報とが付加されているために送信装置は受信側のルータのどのポートにパケットを送信すれば受信機器にパケットが到達するかを知ることができる。
Since this new decryption
送信装置400は、この新復号鍵格納情報503を受信すると受信装置410が新しい復号鍵でも復号化できることを確認するとともに、ルータ設定情報750を知ることができ、さらに暗号鍵も入手する。次に、新たに受信した暗号鍵を暗号鍵管理手段405に格納する(S1013)。鍵配信サーバ821に対して接続完了通知情報を送信した(S1014)後、受信したルータ設定情報750に基づき受信装置410に対して接続を確立し、暗号通信を開始する。
When receiving the new decryption
以上により通信が確立した後は、受信装置410に直接暗号鍵更新情報504が送信され(図示せず)、以降は前記実施形態と同じとなる。
本実施形態により、接続支援部702を備えた鍵配信サーバ821による接続支援に暗号鍵・復号鍵配信をあわせることにより、暗号通信の接続までの時間を短くすることができる。
After the communication is established as described above, the encryption
According to the present embodiment, by combining the encryption key / decryption key distribution with the connection support by the
本発明は、暗号パケット通信に適用でき、特にAVデータなどの長大なデータの暗号パケット通信等に適用できる。 The present invention can be applied to encrypted packet communication, and particularly applicable to encrypted packet communication of long data such as AV data.
400 送信装置
401 送信アプリケーション
402 暗号パケット送信部
403 暗号化部
404 カプセリング部
405 暗号鍵管理部
406 暗号鍵格納部
407 暗号鍵ID格納部
408 暗号鍵更新情報送信部
410 受信装置
411 受信アプリケーション
412 暗号化パケット受信部
413 復号化部
414 デカプセリング部
415 復号鍵管理部
416 旧復号鍵格納部
417 旧復号鍵ID格納部
418 新復号鍵格納部
419 新復号鍵ID格納部
420 鍵更新部
421 新復号鍵格納情報送信部
422 再送信管理部
503 新復号鍵格納情報
504 暗号鍵更新情報
602 旧復号鍵ID
603 新復号鍵ID
612 暗号鍵ID
700 ルータ
805 鍵更新確認情報
821 鍵配信サーバ
831 鍵配信応答情報
400
603 New decryption key ID
612 Encryption key ID
700
Claims (12)
前記受信装置は、
前記鍵更新手段から受信した新たな復号鍵と受信前の旧復号鍵との少なくとも2つの復号鍵を格納する復号鍵管理手段と、
前記新旧の復号鍵のいずれかを選択して暗号化パケットを復号化する復号化手段と、
新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信手段とを備え、
前記送信装置は、
前記新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理手段と、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信手段とを備える
ことを特徴とする暗号パケット通信システム。 2. Description of the Related Art An encryption packet communication system including a transmission device that transmits an encryption packet, a reception device that receives an encryption packet, and a key update unit that generates new encryption keys and decryption keys that correspond to each other at predetermined time intervals. And
The receiving device is:
Decryption key management means for storing at least two decryption keys, a new decryption key received from the key update means and an old decryption key before reception;
Decryption means for decrypting the encrypted packet by selecting one of the old and new decryption keys;
New decryption key storage information transmitting means for transmitting new decryption key storage information indicating that a new decryption key is stored in the decryption key management means,
The transmitter is
After receiving the new decryption key storage information, the encryption key management means for discarding the old encryption key and storing a new encryption key;
An encryption packet communication system comprising: encryption key update information transmission means for transmitting encryption key update information indicating that the encryption key management means has updated the encryption key.
新復号鍵格納情報を送信後、所定の期間経過しても暗号鍵更新情報を受信しない場合には再度新復号鍵格納情報を送信する再送信管理手段を備える
ことを特徴とする請求項1に記載の暗号パケット通信システム。 The receiving device further includes:
The re-transmission management means for transmitting the new decryption key storage information again when the encryption key update information is not received even after a predetermined period of time has elapsed after transmitting the new decryption key storage information. The encryption packet communication system described.
鍵配信サーバを備え、
前記鍵配信サーバは、
前記鍵更新手段と、
受信した新復号鍵格納情報に暗号鍵を付加して送信する鍵配信シーケンス管理手段とを備える
ことを特徴とする請求項2に記載の暗号パケット通信システム。 The encrypted packet communication system further includes:
A key distribution server,
The key distribution server
The key update means;
3. The encrypted packet communication system according to claim 2, further comprising key distribution sequence management means for adding an encryption key to the received new decryption key storage information and transmitting the information.
暗号パケットを中継するルータを備え、
前記鍵配信サーバはさらに、前記ルータの設定情報を管理する接続支援手段を備える
ことを特徴とする請求項3に記載の暗号パケット通信システム。 The encrypted packet communication system further includes:
A router that relays encrypted packets
4. The encryption packet communication system according to claim 3, wherein the key distribution server further comprises connection support means for managing setting information of the router.
前記受信装置はさらに、受信した暗号パケットから鍵IDをデカプセリングするデカプセリング手段を備える
を備えることを特徴とする請求項1に記載の暗号パケット通信システム。 The transmitting device further includes a capsuling means for capsulating the key ID corresponding to the encryption key into the encryption packet,
The encrypted packet communication system according to claim 1, further comprising a decapsulating unit that decapsulates the key ID from the received encrypted packet.
前記鍵更新手段から受信した新たな復号鍵と受信前の旧復号鍵との少なくとも2つの復号鍵を格納する復号鍵管理手段と、
前記新旧の復号鍵のいずれかを選択して暗号化パケットを復号化する復号化手段と、
新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信手段とを備えることを特徴とする受信装置。 Reception in a cryptographic packet communication system comprising: a transmitting device that transmits an encrypted packet; a receiving device that receives the encrypted packet; and a key update unit that generates a new encryption key and a decryption key that correspond to each other at a predetermined time interval. A device,
Decryption key management means for storing at least two decryption keys, a new decryption key received from the key update means and an old decryption key before reception;
Decryption means for decrypting the encrypted packet by selecting one of the old and new decryption keys;
A receiving apparatus comprising: new decryption key storage information transmitting means for transmitting new decryption key storage information indicating that a new decryption key is stored in the decryption key management means.
新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理手段と、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信手段とを備える
ことを特徴とする送信装置。 Transmission in a cryptographic packet communication system comprising: a transmitting device that transmits an encrypted packet; a receiving device that receives the encrypted packet; and a key update unit that generates a new encryption key and a decryption key that correspond to each other at a predetermined time interval. A device,
After receiving the new decryption key storage information, the encryption key management means for discarding the old encryption key and storing the new encryption key;
A transmission apparatus comprising: encryption key update information transmission means for transmitting encryption key update information indicating that the encryption key management means has updated the encryption key.
前記受信装置が、新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信ステップと、
前記送信装置が、前記新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理ステップと、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信ステップと
を含むことを特徴とする暗号パケット通信方法。 An encryption packet communication system comprising: a transmission device that transmits an encryption packet; a reception device that receives an encryption packet; and a key update unit that generates a new encryption key and a decryption key that correspond to each other at a predetermined time interval. The receiving device selects either the decryption key management means for storing at least two decryption keys, the new decryption key received from the key update means and the old decryption key before reception, or the old and new decryption keys. And a decryption means for decrypting the encrypted packet, and a method applied to the encrypted packet communication system,
A new decryption key storage information transmission step in which the reception device transmits new decryption key storage information indicating that a new decryption key is stored in the decryption key management means;
After the transmission device receives the new decryption key storage information, an encryption key management step of discarding the old encryption key and storing a new encryption key;
An encryption packet communication method comprising: an encryption key update information transmission step of transmitting encryption key update information indicating that the encryption key management means has updated the encryption key.
前記受信装置が、新たな復号鍵を前記復号鍵管理手段に格納した旨の新復号鍵格納情報を送信する新復号鍵格納情報送信ステップと、
新復号鍵格納情報を送信後、所定の期間経過しても暗号鍵更新情報を受信しない場合には再度新復号鍵格納情報を送信する再送信管理ステップと
を含むことを特徴とする受信方法。 In the method applied to the receiver of Claim 1,
A new decryption key storage information transmission step in which the reception device transmits new decryption key storage information indicating that a new decryption key is stored in the decryption key management means;
A transmission method comprising: a retransmission management step of transmitting new decryption key storage information again when encryption key update information is not received even after a predetermined period of time has elapsed after transmitting new decryption key storage information.
新復号鍵格納情報を受信した後、旧暗号鍵を破棄し新たな暗号鍵を格納する暗号鍵管理ステップと、
暗号鍵管理手段が暗号鍵を更新した旨の暗号鍵更新情報を送信する暗号鍵更新情報送信ステップと
含むことを特徴とする送信方法。 A method applied to the transmission device according to claim 1,
After receiving the new decryption key storage information, an encryption key management step for discarding the old encryption key and storing a new encryption key;
A transmission method comprising: an encryption key update information transmission step of transmitting encryption key update information indicating that the encryption key management means has updated the encryption key.
A reception program for causing a computer to execute the steps included in the transmission method according to claim 11.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004194839A JP2006019975A (en) | 2004-06-30 | 2004-06-30 | Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004194839A JP2006019975A (en) | 2004-06-30 | 2004-06-30 | Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006019975A true JP2006019975A (en) | 2006-01-19 |
Family
ID=35793814
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004194839A Pending JP2006019975A (en) | 2004-06-30 | 2004-06-30 | Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006019975A (en) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2005107139A1 (en) * | 2004-04-28 | 2008-03-21 | 松下電器産業株式会社 | COMMUNICATION SYSTEM, COMMON KEY CONTROL DEVICE, AND GENERAL COMMUNICATION DEVICE |
JP2008153728A (en) * | 2006-12-14 | 2008-07-03 | Kddi R & D Laboratories Inc | Update information generating device, identification information updating system, identification information updating method, and program |
WO2008096396A1 (en) * | 2007-02-02 | 2008-08-14 | Panasonic Corporation | Wireless communication device and encryption key updating method |
JP2009518932A (en) * | 2005-12-07 | 2009-05-07 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | Security key management method and security channel control device in EPON |
JP2009278306A (en) * | 2008-05-14 | 2009-11-26 | Mitsubishi Electric Corp | Decryption device |
JP2010004189A (en) * | 2008-06-19 | 2010-01-07 | Fujitsu Ltd | Communication device, concealment canceling method |
WO2010024379A1 (en) * | 2008-08-29 | 2010-03-04 | 日本電気株式会社 | Communication system, communication device on transmission side and reception or transfer side, method for data communication and data transmission program |
US7961887B2 (en) | 2007-01-10 | 2011-06-14 | Kabushiki Kaisha Toshiba | Content distribution system and tracking system |
JP2011160210A (en) * | 2010-02-01 | 2011-08-18 | Oki Electric Industry Co Ltd | Communication terminal and communication system |
WO2011114460A1 (en) * | 2010-03-17 | 2011-09-22 | 富士通株式会社 | Communication device, communication method, and communication system |
JP2013153979A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
JP2013153976A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
JP2018037898A (en) * | 2016-08-31 | 2018-03-08 | 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ | Transmitter, communication system, transmission method, and program |
WO2019026776A1 (en) * | 2017-08-02 | 2019-02-07 | 日本電信電話株式会社 | Encrypted communication device, encrypted communication system, encrypted communication method, and program |
WO2023187896A1 (en) * | 2022-03-28 | 2023-10-05 | 日立Astemo株式会社 | Communication system, transmitter, and receiver |
-
2004
- 2004-06-30 JP JP2004194839A patent/JP2006019975A/en active Pending
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4685010B2 (en) * | 2004-04-28 | 2011-05-18 | パナソニック株式会社 | COMMUNICATION SYSTEM, COMMON KEY CONTROL DEVICE, AND GENERAL COMMUNICATION DEVICE |
JPWO2005107139A1 (en) * | 2004-04-28 | 2008-03-21 | 松下電器産業株式会社 | COMMUNICATION SYSTEM, COMMON KEY CONTROL DEVICE, AND GENERAL COMMUNICATION DEVICE |
JP2009518932A (en) * | 2005-12-07 | 2009-05-07 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | Security key management method and security channel control device in EPON |
JP2008153728A (en) * | 2006-12-14 | 2008-07-03 | Kddi R & D Laboratories Inc | Update information generating device, identification information updating system, identification information updating method, and program |
US7961887B2 (en) | 2007-01-10 | 2011-06-14 | Kabushiki Kaisha Toshiba | Content distribution system and tracking system |
WO2008096396A1 (en) * | 2007-02-02 | 2008-08-14 | Panasonic Corporation | Wireless communication device and encryption key updating method |
JP2009278306A (en) * | 2008-05-14 | 2009-11-26 | Mitsubishi Electric Corp | Decryption device |
JP2010004189A (en) * | 2008-06-19 | 2010-01-07 | Fujitsu Ltd | Communication device, concealment canceling method |
JP5556659B2 (en) * | 2008-08-29 | 2014-07-23 | 日本電気株式会社 | COMMUNICATION SYSTEM, TRANSMITTER AND RECEPTION OR TRANSFER COMMUNICATION DEVICE, DATA COMMUNICATION METHOD, DATA COMMUNICATION PROGRAM |
WO2010024379A1 (en) * | 2008-08-29 | 2010-03-04 | 日本電気株式会社 | Communication system, communication device on transmission side and reception or transfer side, method for data communication and data transmission program |
US9059839B2 (en) | 2010-02-01 | 2015-06-16 | Oki Electric Industry Co., Ltd. | Communication terminal using a temporary network key for assembling a secure communication frame |
JP2011160210A (en) * | 2010-02-01 | 2011-08-18 | Oki Electric Industry Co Ltd | Communication terminal and communication system |
JPWO2011114460A1 (en) * | 2010-03-17 | 2013-06-27 | 富士通株式会社 | Communication apparatus and method, and communication system |
WO2011114460A1 (en) * | 2010-03-17 | 2011-09-22 | 富士通株式会社 | Communication device, communication method, and communication system |
JP2013153979A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
JP2013153976A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
JP2018037898A (en) * | 2016-08-31 | 2018-03-08 | 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ | Transmitter, communication system, transmission method, and program |
WO2019026776A1 (en) * | 2017-08-02 | 2019-02-07 | 日本電信電話株式会社 | Encrypted communication device, encrypted communication system, encrypted communication method, and program |
JPWO2019026776A1 (en) * | 2017-08-02 | 2020-07-27 | 日本電信電話株式会社 | Encrypted communication device, encrypted communication system, encrypted communication method, and program |
US11388001B2 (en) | 2017-08-02 | 2022-07-12 | Nippon Telegraph And Telephone Corporation | Encrypted communication device, encrypted communication system, encrypted communication method, and program |
WO2023187896A1 (en) * | 2022-03-28 | 2023-10-05 | 日立Astemo株式会社 | Communication system, transmitter, and receiver |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3769580B2 (en) | Information processing apparatus, information processing method, and information processing program | |
JP4101839B2 (en) | Session control server and communication system | |
KR101032016B1 (en) | Constrained cryptographic keys | |
JP3816689B2 (en) | Information distribution apparatus, information reception apparatus, and communication method | |
JP4674502B2 (en) | Information communication system, information communication apparatus, information communication method, and computer program | |
US7584505B2 (en) | Inspected secure communication protocol | |
US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
EP1746801A2 (en) | Transmission of packet data over a network with a security protocol | |
JP2006121510A (en) | Encryption communications system | |
JP2006019975A (en) | Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto | |
JP2005210193A (en) | Common secret key generating device | |
KR100948604B1 (en) | Security method of mobile internet protocol based server | |
JP2002217896A (en) | Method for cipher communication and gateway device | |
JP2004056762A (en) | Wireless communication method and equipment, communication control program and controller, key management program, wireless lan system, and recording medium | |
CN103297400A (en) | Security alliance management method and system based on bidirectional forwarding detection protocol | |
CN115567205A (en) | Method and system for realizing encryption and decryption of network session data stream by quantum key distribution | |
WO2016134631A1 (en) | Processing method for openflow message, and network element | |
JP2006197065A (en) | Terminal device and authentication device | |
JP2007110487A (en) | Lan system and its communication method | |
JPH1141280A (en) | Communication system, vpn repeater and recording medium | |
JP4933286B2 (en) | Encrypted packet communication system | |
JP2005244379A (en) | Vpn system, vpn apparatus, and encryption key distribution method used for them | |
JP4910956B2 (en) | Communication control system, terminal, and program | |
JP4664692B2 (en) | ENCRYPTION METHOD, DECRYPTION METHOD, ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION DEVICE, AND PROGRAM | |
KR20230039722A (en) | Pre-shared key PSK update method and device |