JP2006041726A - Shared key replacing system, shared key replacing method and method program - Google Patents
Shared key replacing system, shared key replacing method and method program Download PDFInfo
- Publication number
- JP2006041726A JP2006041726A JP2004216141A JP2004216141A JP2006041726A JP 2006041726 A JP2006041726 A JP 2006041726A JP 2004216141 A JP2004216141 A JP 2004216141A JP 2004216141 A JP2004216141 A JP 2004216141A JP 2006041726 A JP2006041726 A JP 2006041726A
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- packet
- shared key
- communication
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、共有鍵交換システム、共有鍵交換方法及び方法プログラムに関し、より特定的には、ネットワークを介して秘匿性の高いデータを送受信する通信機器間で、暗号化/認証用の鍵を交換及び共有するための共有鍵交換システム、共有鍵交換方法及び方法プログラムに関する。 The present invention relates to a shared key exchange system, a shared key exchange method, and a method program, and more particularly, exchanges encryption / authentication keys between communication devices that transmit and receive highly confidential data via a network. The present invention also relates to a shared key exchange system for sharing, a shared key exchange method, and a method program.
近年のインターネットの普及により、電子メールや電子商取引等のネットワークを介したサービスが増大し、家庭内にもネットワークに接続できる電化製品、いわゆる「ネット家電」が増えつつある。このネット家電は、エアコンや電子レンジ等の白物家電にも及んでおり、宅外からエアコンを制御したり、電子レンジの調理プログラムをサーバからダウンロードしたりできるサービス等が提案されている。しかしながら、このネットワークの普及拡大に伴い、悪意を持った第三者が、ネットワーク上の電子データを改ざんや盗用(無断視聴)したり、他人になりすましてサービスを受けたりする、といった問題が浮上している。このため、ネットワーク上のセキュリティ対策が重要となってきている。 With the spread of the Internet in recent years, services via networks such as e-mail and electronic commerce have increased, and so-called “net home appliances” that can be connected to the network in the home are also increasing. This home appliance extends to white goods such as an air conditioner and a microwave oven, and a service for controlling the air conditioner from outside the house and downloading a cooking program for the microwave oven from a server has been proposed. However, with the spread of this network, problems such as malicious third parties tampering with or stealing electronic data on the network (unauthorized viewing) and impersonating others to receive services are emerging. ing. For this reason, network security measures have become important.
ネットワーク上のセキュリティ機能を実現する取り組みとしては、暗号化技術や認証技術を使ったプロトコルが、様々に規格化又は実用化されている。例えば、IPパケットのレベルでのセキュリティ機能を規定したプロトコルとして、IPsec(IP Security Protocol)がある。IPsecとは、インターネット技術タスクフォース(IETF;Internet Engineering Task Force)によって標準化されたプロトコルであり、その内容はIETFの仕様書「RFC2401」(非特許文献1)等によって規定されている。このIPsecでは、IPパケットそのものを暗号化することで盗用者から通信内容を保護し、秘密の漏洩を防ぐことができる。また、その他のセキュリティプロトコルとしては、トランスポート層のレベルでのセキュリティ機能を規定し、WEB等で利用されるSSL(Secure Socket Layer)や、SSLの後継であるTLS(Trasnport Layer Security)などがあり、その内容はIETFの仕様書「RFC2246」(非特許文献2)等によって規定されている。 As an effort to realize a security function on a network, protocols using encryption technology and authentication technology are variously standardized or put into practical use. For example, there is IPsec (IP Security Protocol) as a protocol that defines the security function at the IP packet level. IPsec is a protocol standardized by the Internet Engineering Task Force (IETF), and its contents are defined by the IETF specification “RFC2401” (Non-patent Document 1) and the like. In this IPsec, by encrypting the IP packet itself, it is possible to protect communication contents from a thief and prevent secret leakage. Other security protocols include security functions at the transport layer level, such as SSL (Secure Socket Layer) used in WEB and the like, and TLS (Transport Layer Security), which is the successor to SSL. The contents are defined by the IETF specification “RFC2246” (Non-patent Document 2) and the like.
例えば、IPsec等のプロトコルを使って、機器間で暗号化されたデータを送受信する場合、データ送受信に先立って、“通信相手の機器が正当であるか否かを確認する「機器認証」”、及び“暗号化に用いる鍵(以下、共有鍵と記す)を双方の機器間で交換する「鍵交換」”の手順が必要となる。
「機器認証」の手順としては、不正ユーザによるなりすまし等の脅威を防ぐために用いられ、公開鍵暗号化方式を利用したデジタル署名による認証方法等が知られている。また、「鍵交換」の手順としては、単純にはユーザが手動で共有鍵(秘密鍵)を設定することもできるが、他人に知られずに離れた拠点にある機器に共有鍵を設定する必要があるなど手順が煩雑である。また、1つの共有鍵を長時間に渡って使い続けると、第三者に共有鍵を解読されてしまう可能性が高まるため、必要に応じて共有鍵を更新する必要がある。このようなことから、共有鍵を機器間で共有するために必要な生成、配布及び更新等の処理を、安全かつ簡単に自動的に行うことが好ましく、これについて様々な手法が提案されている。
For example, when transmitting / receiving encrypted data between devices using a protocol such as IPsec, prior to data transmission / reception, “device authentication” for confirming whether the communication partner device is valid ”, And a procedure of “key exchange” in which a key used for encryption (hereinafter referred to as a shared key) is exchanged between both devices.
As a procedure for “device authentication”, an authentication method using a digital signature using a public key encryption method, which is used to prevent threats such as impersonation by an unauthorized user, is known. In addition, as a “key exchange” procedure, the user can manually set a shared key (secret key), but it is necessary to set a shared key on a device at a remote location without being known by others. The procedure is complicated. Further, if one shared key is continuously used for a long time, the possibility that the third party can decrypt the shared key increases. Therefore, it is necessary to update the shared key as necessary. For this reason, it is preferable to automatically and safely perform the processes such as generation, distribution, and update necessary for sharing the shared key between devices, and various methods have been proposed for this. .
例えば、2つの機器間で1つの共有鍵を交換させる方法として、広く使われている基本技術に、ディフィーへルマンの鍵交換方法がある。このディフィーへルマンの鍵交換方法(以下、DH法と記す)は、上述したIPsecの鍵交換プロトコル(機器認証の手順を含む)として標準使用が規定されているIKE(Internet Key Exchange)にも用いられている。このIKEの概要は、IETFの仕様書「RFC2407」(非特許文献2)等に開示されている。なお、SSLやTLSには、標準で使用する鍵交換プロトコルとして、Handshakeというプロトコルが規定されている。 For example, as a method for exchanging one shared key between two devices, there is a Diffie-Hellman key exchange method as a widely used basic technology. This Diffie-Hellman key exchange method (hereinafter referred to as DH method) is also used in the IKE (Internet Key Exchange) standardized as the IPsec key exchange protocol (including the device authentication procedure) described above. It has been. The outline of this IKE is disclosed in IETF specification “RFC2407” (Non-patent Document 2) and the like. In SSL and TLS, a protocol called Handshake is defined as a key exchange protocol used as a standard.
ところで、IKEやSSL/TLS−Handshakeプロトコルの中で行われる「機器認証」及び「鍵交換」は、一般的に高負荷な処理が必要とされる。例えば、デジタル署名による「機器認証」やDH法による「鍵交換」では、多倍長のべき乗演算が必要であり、汎用のPCでも数秒の処理時間が必要な場合もある。従って、ネット家電等の低性能なCPUを搭載した機器は、「機器認証」及び「鍵交換」(以下、これらの処理をまとめて「共有鍵交換」と記す)の処理に多大な時間を要する。そのため、暗号通信をすぐに開始できなかったり、CPUが共有鍵交換だけに長時間占有されるために、他のアプリケーションの動作に支障がでたりする、といった課題があった。 By the way, “device authentication” and “key exchange” performed in the IKE and SSL / TLS-Handshake protocols generally require high-load processing. For example, “device authentication” using a digital signature and “key exchange” using a DH method require multiple-length exponentiation, and a general-purpose PC may require several seconds of processing time. Therefore, a device equipped with a low-performance CPU such as an Internet home appliance requires a lot of time for processing of “device authentication” and “key exchange” (hereinafter, these processes are collectively referred to as “shared key exchange”). . For this reason, there has been a problem that the encryption communication cannot be started immediately or the operation of other applications is hindered because the CPU is occupied only for the shared key exchange for a long time.
そこで、従来、このような課題の対策の1つとして、ネット家電等の機器が行う共有鍵交換の一部の処理を他の機器に代行させる共有鍵交換方法が開示されている(例えば、特許文献1および特許文献2)。
特許文献1に開示された従来の共有鍵交換方法を、第1従来例の共有鍵交換方法として以下に説明する。図25は、第1従来例の共有鍵交換方法を説明する図である。図25において、宅外機器Aおよび宅内機器Bは、その間で暗号通信を行う2つの機器である。HGWは、宅外機器Aと宅内機器Bとの間で行われる暗号通信に用いる鍵ABの生成処理を代行する。まず、HGW−宅外機器A、およびHGW−宅内機器Bの間は、それぞれ事前に鍵HA、および鍵HBを使ったセキュア通信路が確立されているものとする(ステップS1001、S1002)。
宅外機器Aは、宅内機器Bとの間で暗号通信を始める場合には、HGWにアクセス要求を発行する(ステップS1003)。宅外機器Aからアクセス要求を受けたHGWは、宅内機器Bにアクセスの可否を確認する(ステップS1004)。宅内機器Bは、アクセスの可否を判定し、HGWにアクセス可(OK)又はアクセス不可(NG)の通知を返信する(ステップS1005)。HGWは、アクセス可を受信すると、宅外機器A−宅内機器B間の暗号通信用の鍵ABを生成し(ステップS1006)、事前に用意されていたセキュア通信路を使って宅外機器Aおよび宅内機器Bに鍵ABを配布する(ステップS1007、S1008)。これにより、宅外機器Aおよび宅内機器Bは、鍵ABを使った暗号通信が行える状態となる(ステップS1009)。
Therefore, conventionally, as one of countermeasures against such a problem, a shared key exchange method in which a part of processing of shared key exchange performed by a device such as an Internet home appliance is substituted for another device has been disclosed (for example, a patent)
The conventional shared key exchange method disclosed in
When the out-of-home device A starts encrypted communication with the in-home device B, the out-of-home device A issues an access request to the HGW (step S1003). The HGW that has received the access request from the outside device A confirms whether or not the home device B can be accessed (step S1004). The in-home device B determines whether or not access is possible, and returns a notification indicating that access is possible (OK) or access is impossible (NG) to the HGW (step S1005). When receiving access permission, the HGW generates a key AB for encryption communication between the out-of-home device A and the in-home device B (step S1006), and uses the secure communication path prepared in advance and the out-of-home device A and The key AB is distributed to the home device B (steps S1007 and S1008). As a result, the out-of-home device A and the in-home device B are in a state where encryption communication using the key AB can be performed (step S1009).
次に、特許文献2に開示された従来の共有鍵交換方法を、第2従来例の共有鍵交換方法として以下に説明する。図26は、第2従来例の共有鍵交換方法を説明する図である。図26において、宅外機器Aおよび宅内機器Bは、その間で暗号通信を行う2つの通信機器である。鍵交換代行サーバは、宅外機器Aと宅内機器Bとが行う暗号通信に用いられる鍵ABの生成処理及び機器認証処理を代行する。なお、宅外機器Aと宅内機器Bとは、既存の鍵交換プロトコルであるIKEに則ったメッセージの送受信を行う。
IKEに則ったメッセージとは、IKEのPhase1と呼ばれる6つのメッセージ(IKE MM第1メッセージ〜第6メッセージ)、およびIKEのPhase2と呼ばれる3つのメッセージ(IKE QM第1メッセージ〜第3メッセージ)等である。宅内機器Bは、宅外機器AからIKEメッセージ(IKE MM第1、3、5メッセージ)を受信する度に、鍵交換代行サーバに各種要求メッセージ(開始要求、鍵生成要求、認証要求など)を送信し、IKEで決められた処理の一部を鍵交換代行サーバに委託する。具体的には、宅内機器Bは、「DH法による鍵交換処理」や「デジタル署名による機器認証処理」のような、IKEの中での高負荷な処理を鍵交換代行サーバに依頼する。鍵交換代行サーバは、依頼された処理を代行し、その応答メッセージを宅内機器Bに返す。宅内機器Bは、鍵交換代行サーバから受信した応答メッセージの内容を元にIKEメッセージを構築し、宅外機器AにIKEの応答メッセージとして送信する。
Next, a conventional shared key exchange method disclosed in
IKE-compliant messages include six messages called IKE Phase 1 (IKE MM first message to sixth message), three messages called IKE Phase 2 (IKE QM first message to third message), and the like. is there. Each time the in-home device B receives an IKE message (IKE MM first, third, fifth message) from the out-of-home device A, it sends various request messages (start request, key generation request, authentication request, etc.) to the key exchange proxy server. And sends a part of the processing determined by IKE to the key exchange proxy server. Specifically, the in-home device B requests the key exchange proxy server for high-load processing in IKE such as “key exchange processing by DH method” and “device authentication processing by digital signature”. The key exchange proxy server performs the requested processing and returns a response message to the home device B. The in-home device B constructs an IKE message based on the content of the response message received from the key exchange proxy server, and transmits it to the out-of-home device A as an IKE response message.
このように、第1従来例または第2従来例の共有鍵交換方法によれば、鍵交換の一部の処理を他の機器に代行させることにより、宅内機器Bの処理負荷を軽減させることができる。これにより、少ない計算資源(低性能CPU)を搭載した宅内機器(例えば、ネット家電)でも、対向機器との間で共有鍵を問題なく、安全に共有することができるようになる。
しかしながら、上記第1従来例の共有鍵交換方法においては、HGWに共有鍵の生成を依頼するのに独自のプロトコルを使用しているため、汎用的な鍵交換プロトコルであるIKEやHandShakeとの互換性が無い。そのため、宅外機器Aと宅内機器Bとの間でIPsecによる暗号通信を行う場合、標準の鍵交換プロトコルであるIKEが使えない。すなわち、第1従来例の共有鍵交換方法においては、宅外機器A、宅内機器BおよびHGWの3つの機器に対して、独自の鍵交換プロトコルを組み込む必要がある。従って、本来、処理能力やメモリ上の制約がなく汎用プロトコル(IKE等)を使用することができる宅外機器Aにおいても、独自のプロトコルを組み込まなければならないという課題がある。 However, since the shared key exchange method of the first conventional example uses a unique protocol to request the HGW to generate a shared key, it is compatible with general-purpose key exchange protocols such as IKE and HandShake. There is no sex. For this reason, when performing encrypted communication by IPsec between the out-of-home device A and the in-home device B, the standard key exchange protocol IKE cannot be used. That is, in the shared key exchange method of the first conventional example, it is necessary to incorporate a unique key exchange protocol for the three devices, namely, the out-of-home device A, the in-home device B, and the HGW. Therefore, there is a problem that an original protocol must be incorporated even in the out-of-home device A that can use a general-purpose protocol (such as IKE) without any restriction on processing capability or memory.
また、上記第2従来例の共有鍵交換方法においては、宅外機器Aと宅内機器Bとの間で汎用の鍵交換プロトコルを使用するため、宅外機器Aに独自の鍵交換プロトコルを組み込む必要がない。しかしながら、鍵交換代行サーバで代行する処理は、IKEに必要な処理の一部(鍵生成、機器認証)であって、IKEのメッセージ処理やSA(セキュリティアソシエーション)の管理は、依然として宅内機器Bで実行しなければならない。もともとIKEのプロトコルは複雑であることが知られており、例えばIKEメッセージの解釈やSAを管理する処理だけでも、100キロ〜数100キロバイト程度のプログラムサイズを必要とする。従って、計算資源やメモリ資源が限られたネット家電等の機器には、第2従来例の共有鍵交換方法を採用できないという課題があった。 In the shared key exchange method of the second conventional example, since a general-purpose key exchange protocol is used between the outside device A and the inside device B, it is necessary to incorporate a unique key exchange protocol into the outside device A. There is no. However, the processing performed on behalf of the key exchange proxy server is part of the processing required for IKE (key generation, device authentication), and IKE message processing and management of SA (security association) are still performed by the home device B. Must be executed. Originally, it is known that the IKE protocol is complicated. For example, only the interpretation of the IKE message and the processing for managing the SA require a program size of about 100 kilobytes to several hundred kilobytes. Accordingly, there has been a problem that the shared key exchange method of the second conventional example cannot be adopted for devices such as Internet home appliances with limited calculation resources and memory resources.
それ故に、本発明の目的は、計算資源およびメモリ資源等が限られた機器を使用する場合でも、既存の鍵交換プロトコルとの互換性を保ちながら、高速かつ安全に鍵交換を行うことができる共有鍵交換システム、共有鍵交換方法およびその方法プログラムを提供することである。 Therefore, an object of the present invention is to enable high-speed and secure key exchange while maintaining compatibility with existing key exchange protocols even when using devices with limited computational resources and memory resources. A shared key exchange system, a shared key exchange method, and a method program therefor are provided.
本発明は、ホームネットワーク内にある第1の通信機器と、他のネットワークにある第2の通信機器とがゲートウェイを介して接続され、第1の通信機器と第2の通信機器との間で送受信されるパケットに暗号化処理を施すための鍵を交換する共有鍵交換システムに向けられている。
そして、上記目的を達成させるために、本発明の共有鍵交換システムでは、第1の通信機器と、ゲートウェイとが以下の構成を備えることを特徴とする。第1の通信機器は、ゲートウェイから配布された第2の通信機器との間で共有する共有鍵を記憶する記憶部と、記憶部に記憶された共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信部とを備える。ゲートウェイは、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先をゲートウェイ自身に変更するフィルタリング部と、フィルタリング部によって転送先を変更されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行部と、鍵交換代行部によって生成された共有鍵を、第1の通信機器に配布する鍵配布部とを備える。
In the present invention, a first communication device in a home network and a second communication device in another network are connected via a gateway, and between the first communication device and the second communication device. The present invention is directed to a shared key exchange system for exchanging keys for performing encryption processing on transmitted and received packets.
And in order to achieve the said objective, in the shared key exchange system of this invention, a 1st communication apparatus and a gateway are provided with the following structures. The first communication device includes a storage unit that stores a shared key shared with the second communication device distributed from the gateway, and a second communication device that uses the shared key stored in the storage unit. And a cryptographic communication unit that performs cryptographic communication between the two. The gateway selects a packet to be used for exchanging the shared key from the packets transmitted by the first and second communication devices, and changes the forwarding destination of the selected packet to the gateway itself by the filtering unit. Based on the changed packet, a key exchange agent that performs a process of generating a shared key shared with the second communication device, and a shared key generated by the key exchange agent is used as the first communication device. And a key distribution unit to distribute to
また、上記目的を達成させるために、本発明の共有鍵交換システムでは、ホームネットワーク内に、ゲートウェイおよび第1の通信機器と接続され、ゲートウェイを介して第2の通信機器と接続されている第3の通信機器を備えることもできる。この場合、第1の通信機器は、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を記憶する記憶部と、記憶部に記憶された共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信部とを備える。ゲートウェイは、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を変更して第3の通信機器に中継するフィルタリング部を備える。第3の通信機器は、フィルタリング部によって中継されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行部と、鍵交換代行部によって生成された共有鍵を、第1の通信機器に配布する鍵配布部とを備える。 In order to achieve the above object, in the shared key exchange system of the present invention, the home network is connected to the gateway and the first communication device, and is connected to the second communication device via the gateway. It is also possible to provide three communication devices. In this case, the first communication device uses a storage unit that stores a shared key shared with the second communication device distributed from the third communication device, and a shared key stored in the storage unit. And an encryption communication unit that performs encryption communication with the second communication device. The gateway includes a filtering unit that selects a packet used for exchanging the shared key from packets transmitted by the first and second communication devices, changes a transfer destination of the selected packet, and relays the packet to the third communication device. . The third communication device is generated by a key exchange proxy unit that performs processing for generating a shared key shared with the second communication device based on the packet relayed by the filtering unit, and a key exchange proxy unit. And a key distribution unit that distributes the shared key to the first communication device.
また、上記目的を達成させるために、本発明の共有鍵交換システムでは、第1の通信機器と、第3の通信機器とに以下の構成を備えてもよい。第1の通信機器は、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を記憶する記憶部と、記憶部に記憶された共有鍵を用いて第2の通信機器との間で暗号通信を行う暗号通信部と、暗号通信部及び第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を変更して第3の通信機器に中継するフィルタリング部とを備える。第3の通信機器は、フィルタリング部によって中継されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行部と、鍵交換代行部によって生成された共有鍵を、第1の通信機器に配布する鍵配布部とを備える。この場合、ゲートウェイは、ルータとして機能する。 In order to achieve the above object, in the shared key exchange system of the present invention, the first communication device and the third communication device may have the following configurations. The first communication device uses a storage unit that stores a shared key shared with the second communication device distributed from the third communication device, and a second key using the shared key stored in the storage unit. Select the packet to be used for exchanging the shared key from the packets transmitted by the encryption communication unit and the second communication device, and perform the encryption communication with the communication device, and change the transfer destination of the selected packet. And a filtering unit relaying to the third communication device. The third communication device is generated by a key exchange proxy unit that performs processing for generating a shared key shared with the second communication device based on the packet relayed by the filtering unit, and a key exchange proxy unit. And a key distribution unit that distributes the shared key to the first communication device. In this case, the gateway functions as a router.
また、上記目的を達成させるために、本発明の共有鍵交換システムでは、第1の通信機器と、第3の通信機器とに以下の構成を備えてもよい。第1の通信機器は、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を記憶する記憶部と、記憶部に記憶された共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信部とを備える。第3の通信機器は、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を第3の通信機器自身に変更するフィルタリング部と、フィルタリング部によって転送先を変更されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行部と、鍵交換代行部によって生成された共有鍵を、第1の通信機器に配布する鍵配布部とを備える。この場合、ゲートウェイは、ルータとして機能する。 In order to achieve the above object, in the shared key exchange system of the present invention, the first communication device and the third communication device may have the following configurations. The first communication device uses a storage unit that stores a shared key shared with the second communication device distributed from the third communication device, and a second shared key stored in the storage unit. An encryption communication unit that performs encryption communication with the other communication device. The third communication device selects a packet to be used for exchanging the shared key from the packets transmitted by the first and second communication devices, and changes the transfer destination of the selected packet to the third communication device itself And a key exchange agent that performs processing for generating a shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering unit, and a sharing that is generated by the key exchange agent A key distribution unit that distributes the key to the first communication device. In this case, the gateway functions as a router.
ここで、フィルタリング部は、第2の通信機器から所定の鍵交換プロトコルに基づいて送信されるパケットを、共有鍵の交換に用いるパケットとして選択する。 Here, the filtering unit selects a packet transmitted from the second communication device based on a predetermined key exchange protocol as a packet used for exchanging the shared key.
また、暗号通信部は、記憶部に共有鍵が記憶されていない場合に、平文パケットを第2の通信機器に向けて送信することができる。この場合、フィルタリング部は、平文パケットを共有鍵の交換に用いるパケットとして選択する。 Further, the encryption communication unit can transmit the plaintext packet toward the second communication device when the shared key is not stored in the storage unit. In this case, the filtering unit selects a plaintext packet as a packet used for exchanging the shared key.
また、鍵交換代行部は、共有鍵を生成する処理にて、第2の通信機器に向けてパケットを送信する場合、パケットの送信元として第1の通信機器のアドレスを設定する。 Further, the key exchange agent unit sets the address of the first communication device as a packet transmission source when transmitting a packet to the second communication device in the process of generating the shared key.
好ましくは、所定の鍵交換プロトコルは、IKEである。また、所定の鍵交換プロトコルは、SSL/TLS−Handshakeであってもよい。 Preferably, the predetermined key exchange protocol is IKE. The predetermined key exchange protocol may be SSL / TLS-Handshake.
第3の通信機器は、第1の通信機器に接続される通信カードあるいはアダプタであってもよい。また、ホームネットワークは、さらに第4の通信機器を備えることができる。この場合、第3の通信機器は、第4の通信機器に接続される通信カードあるいはアダプタであってもよい。 The third communication device may be a communication card or adapter connected to the first communication device. The home network can further include a fourth communication device. In this case, the third communication device may be a communication card or an adapter connected to the fourth communication device.
また、本発明は、ホームネットワーク内にある第1の通信機器と、他のネットワークにある第2の通信機器とを接続し、第1の通信機器と第2の通信機器との間で送受信されるパケットに暗号化処理を施すための共有鍵を交換するゲートウェイ装置にも向けられている。
そして、上記目的を達成させるために、本発明のゲートウェイ装置は、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先をゲートウェイ装置自身に変更するフィルタリング部と、フィルタリング部によって転送先を変更されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行部と、鍵交換代行部によって生成された共有鍵を、第1の通信機器に配布する鍵配布部とを備える。
Further, the present invention connects a first communication device in a home network and a second communication device in another network, and is transmitted / received between the first communication device and the second communication device. It is also directed to a gateway device that exchanges a shared key for performing encryption processing on a packet to be encrypted.
In order to achieve the above object, the gateway device of the present invention selects a packet used for exchanging the shared key from the packets transmitted by the first and second communication devices, and sets the transfer destination of the selected packet as the gateway A filtering unit that changes to the device itself, a key exchange agent unit that performs processing for generating a shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering unit, and a key exchange A key distribution unit that distributes the shared key generated by the proxy unit to the first communication device.
また、本発明は、ホームネットワーク内にある第1の通信機器と、他のネットワークにある第2の通信機器とがゲートウェイを介して接続され、第1の通信機器と第2の通信機器との間で送受信されるパケットに暗号化処理を施すための鍵を交換する共有鍵交換方法にも向けられている。
そして、上記目的を達成させるために、本発明の共有鍵交換方法では、第1の通信機器と、ゲートウェイとが以下のステップを備える。第1の通信機器は、ゲートウェイから配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップを備える。ゲートウェイは、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先をゲートウェイ自身に変更するフィルタリングステップと、フィルタリングステップによって転送先を変更されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを備える。
In the present invention, a first communication device in a home network and a second communication device in another network are connected via a gateway, and the first communication device and the second communication device are connected to each other. It is also directed to a shared key exchange method for exchanging keys for performing encryption processing on packets transmitted and received between them.
And in order to achieve the said objective, in the shared key exchange method of this invention, a 1st communication apparatus and a gateway are provided with the following steps. The first communication device includes an encryption communication step of performing encrypted communication with the second communication device using a shared key shared with the second communication device distributed from the gateway. The gateway selects a packet used for exchanging the shared key from the packets transmitted by the first and second communication devices, and changes the forwarding destination of the selected packet to the gateway itself, and the forwarding destination is determined by the filtering step. Based on the changed packet, a key exchange agent step for performing a process of generating a shared key shared with the second communication device, and the shared key generated by the key exchange agent step is used as the first communication device. And a key distribution step of distributing to the network.
また、上記目的を達成させるために、本発明の共有鍵交換方法では、第1の通信機器と、第3の通信機器と、ゲートウェイとが以下のステップを備えてもよい。ここで、第3の通信機器は、ホームネットワーク内に存在し、ゲートウェイおよび第1の通信機器と接続され、ゲートウェイを介して第2の通信機器と接続されている。第1の通信機器は、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップを備える。ゲートウェイは、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を変更して第3の通信機器に中継するフィルタリングステップを備える。第3の通信機器は、フィルタリングステップによって中継されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを備える。 In order to achieve the above object, in the shared key exchange method of the present invention, the first communication device, the third communication device, and the gateway may include the following steps. Here, the third communication device exists in the home network, is connected to the gateway and the first communication device, and is connected to the second communication device via the gateway. The first communication device performs an encryption communication step of performing encrypted communication with the second communication device using a shared key shared with the second communication device distributed from the third communication device. Prepare. The gateway includes a filtering step of selecting a packet to be used for exchanging the shared key from packets transmitted by the first and second communication devices, changing a transfer destination of the selected packet, and relaying the packet to the third communication device. . The third communication device is generated by a key exchange agent step and a key exchange agent step that perform a process of generating a shared key shared with the second communication device based on the packet relayed by the filtering step. And a key distribution step of distributing the shared key to the first communication device.
また、上記目的を達成させるために、本発明の共有鍵交換方法では、第1の通信機器と、第3の通信機器とが以下のステップを備えてもよい。第1の通信機器は、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップと、暗号通信ステップ及び第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を変更して第3の通信機器に中継するフィルタリングステップとを備える。第3の通信機器は、フィルタリングステップによって中継されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを備える。 In order to achieve the above object, in the shared key exchange method of the present invention, the first communication device and the third communication device may include the following steps. An encryption communication step in which the first communication device performs encrypted communication with the second communication device using a shared key shared with the second communication device distributed from the third communication device; An encryption communication step and a filtering step of selecting a packet to be used for exchanging the shared key from the packets transmitted by the second communication device, changing the transfer destination of the selected packet, and relaying it to the third communication device. . The third communication device is generated by a key exchange agent step and a key exchange agent step that perform a process of generating a shared key shared with the second communication device based on the packet relayed by the filtering step. And a key distribution step of distributing the shared key to the first communication device.
また、上記目的を達成させるために、本発明の共有鍵交換方法では、第1の通信機器と、第3の通信機器とが以下のステップを備えてもよい。第1の通信機器は、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップを備える。第3の通信機器は、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を第3の通信機器自身に変更するフィルタリングステップと、フィルタリングステップによって転送先を変更されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを備える。 In order to achieve the above object, in the shared key exchange method of the present invention, the first communication device and the third communication device may include the following steps. The first communication device performs an encryption communication step of performing encrypted communication with the second communication device using a shared key shared with the second communication device distributed from the third communication device. Prepare. A filtering step in which the third communication device selects a packet to be used for exchanging the shared key from the packets transmitted by the first and second communication devices, and changes the transfer destination of the selected packet to the third communication device itself. And a key exchange proxy step for generating a shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering step, and a sharing generated by the key exchange proxy step A key distribution step of distributing the key to the first communication device.
また、本発明は、ホームネットワーク内にある第1の通信機器と、他のネットワークにある第2の通信機器とがゲートウェイを介して接続され、第1の通信機器と第2の通信機器との間で送受信されるパケットに暗号化処理を施すための鍵を交換する方法を、第1の通信機器およびゲートウェイに実現させるためのプログラムにも向けられている。
そして、上記目的を達成させるために、本発明のプログラムは、第1の通信機器とゲートウェイとに以下のステップを実行させる。すなわち、第1の通信機器に、ゲートウェイから配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップを実行させる。また、ゲートウェイに、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先をゲートウェイ自身に変更するフィルタリングステップと、フィルタリングステップによって転送先を変更されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを実行させる。
In the present invention, a first communication device in a home network and a second communication device in another network are connected via a gateway, and the first communication device and the second communication device are connected to each other. It is also directed to a program for causing a first communication device and a gateway to implement a method for exchanging keys for performing encryption processing on packets transmitted and received between them.
And in order to achieve the said objective, the program of this invention makes a 1st communication apparatus and a gateway perform the following steps. That is, the first communication device is caused to execute an encryption communication step for performing encryption communication with the second communication device using a shared key shared with the second communication device distributed from the gateway. . In addition, a packet used for exchanging the shared key is selected from the packets transmitted by the first and second communication devices to the gateway, and the forwarding step of the selected packet is changed to the gateway itself. Based on the packet whose destination has been changed, a key exchange proxy step for generating a shared key shared with the second communication device, and a shared key generated by the key exchange proxy step And a key distribution step for distributing to the communication device.
また、本発明は、ホームネットワーク内にある第1の通信機器と、他のネットワークにある第2の通信機器とがゲートウェイを介して接続され、第1の通信機器と第2の通信機器との間で送受信されるパケットに暗号化処理を施すための鍵を交換する方法を、第1の通信機器、ゲートウェイおよびホームネットワーク内にある第3の通信機器に実現させるためのプログラムにも向けられている。
そして、上記目的を達成させるために、本発明のプログラムは、第1の通信機器と、第3の通信機器と、ゲートウェイとに以下のステップを実行させてもよい。すなわち、第1の通信機器に、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップを実行させる。また、ゲートウェイに、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を変更して第3の通信機器に中継するフィルタリングステップを実行させる。また、第3の通信機器に、フィルタリングステップによって中継されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを実行させる。
In the present invention, a first communication device in a home network and a second communication device in another network are connected via a gateway, and the first communication device and the second communication device are connected to each other. The present invention is also directed to a program for causing a first communication device, a gateway, and a third communication device in a home network to exchange a key for performing encryption processing on packets transmitted and received between them. Yes.
And in order to achieve the said objective, the program of this invention may make a 1st communication apparatus, a 3rd communication apparatus, and a gateway perform the following steps. That is, cryptographic communication for performing cryptographic communication with the second communication device using the shared key shared with the second communication device distributed from the third communication device to the first communication device. Make the step execute. Also, a filtering step of selecting a packet to be used for exchanging the shared key from the packets transmitted by the first and second communication devices to the gateway, changing the transfer destination of the selected packet, and relaying it to the third communication device Is executed. In addition, a key exchange agent step that performs a process of generating a shared key shared with the second communication device based on the packet relayed by the filtering step to the third communication device, and a key exchange agent step And a key distribution step of distributing the generated shared key to the first communication device.
また、上記目的を達成させるために、本発明のプログラムは、第1の通信機器と、第3の通信機器と、ゲートウェイとに以下のステップを実行させてもよい。すなわち、第1の通信機器に、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップと、暗号通信ステップ及び第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を変更して第3の通信機器に中継するフィルタリングステップとを実行させる。また、第3の通信機器に、フィルタリングステップによって中継されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを実行させる。 Moreover, in order to achieve the said objective, the program of this invention may make a 1st communication apparatus, a 3rd communication apparatus, and a gateway perform the following steps. That is, cryptographic communication for performing cryptographic communication with the second communication device using the shared key shared with the second communication device distributed from the third communication device to the first communication device. A filtering step of selecting a packet to be used for exchanging the shared key from the packets transmitted by the encryption communication step and the second communication device, changing the transfer destination of the selected packet and relaying it to the third communication device; Is executed. In addition, a key exchange agent step that performs a process of generating a shared key shared with the second communication device based on the packet relayed by the filtering step to the third communication device, and a key exchange agent step And a key distribution step of distributing the generated shared key to the first communication device.
また、上記目的を達成させるために、本発明のプログラムは、第1の通信機器と、第3の通信機器と、ゲートウェイとに以下のステップを実行させてもよい。すなわち、第1の通信機器に、第3の通信機器から配布された第2の通信機器との間で共有する共有鍵を用いて、第2の通信機器との間で暗号通信を行う暗号通信ステップを実行させる。また、第3の通信機器に、第1および第2の通信機器によって送信されるパケットから共有鍵の交換に用いるパケットを選択し、選択したパケットの転送先を第3の通信機器自身に変更するフィルタリングステップと、フィルタリングステップによって転送先を変更されたパケットに基づいて、第2の通信機器との間で共有する共有鍵を生成する処理を行う鍵交換代行ステップと、鍵交換代行ステップによって生成された共有鍵を、第1の通信機器に配布する鍵配布ステップとを実行させる。 Moreover, in order to achieve the said objective, the program of this invention may make a 1st communication apparatus, a 3rd communication apparatus, and a gateway perform the following steps. That is, cryptographic communication for performing cryptographic communication with the second communication device using the shared key shared with the second communication device distributed from the third communication device to the first communication device. Let the step execute. Further, the third communication device selects a packet to be used for exchanging the shared key from the packets transmitted by the first and second communication devices, and changes the transfer destination of the selected packet to the third communication device itself. Generated by a filtering step, a key exchange agent step for performing a process of generating a shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering step, and a key exchange agent step And a key distribution step of distributing the shared key to the first communication device.
以上のように、本発明によれば、高負荷かつプログラムサイズが大きい鍵交換処理をHGWに代行させることができる。これにより、計算資源やメモリ資源が限られたネット家電等の宅内機器でも、高速かつ安全に共有鍵の交換を行うことができる。また、HGWは、汎用の鍵交換プロトコルに基づいて、宅内機器が行ったかのように鍵交換処理を代行する。これにより、宅外機器は、宅内機器が用いる鍵交換プロトコルを意識する必要がなく、汎用の鍵交換プロトコルを使って共有鍵の交換を行うことができる。
また、本発明によれば、鍵交換処理をHGWとは別の通信機器に代行させることもできる。このように鍵交換処理を代行する通信機器を通信カードやアダプタとして、ホームネットワーク内の機器に接続することで、ホームネットワーク内の機器に鍵交換処理を代行する機能を追加することができる。
As described above, according to the present invention, key exchange processing with a high load and a large program size can be delegated to the HGW. As a result, a shared key can be exchanged at high speed and safely even in a home device such as an internet home appliance with limited computing resources and memory resources. In addition, the HGW performs key exchange processing on behalf of a home device based on a general-purpose key exchange protocol. As a result, the out-of-home device does not need to be aware of the key exchange protocol used by the in-home device, and can exchange the shared key using a general-purpose key exchange protocol.
Further, according to the present invention, the key exchange process can be delegated to a communication device different from the HGW. In this way, by connecting a communication device that performs key exchange processing as a communication card or adapter to a device in the home network, a function for performing key exchange processing can be added to the device in the home network.
(第1の実施形態)
図1は、本発明の第1の実施形態に係る共有鍵交換方法が適用されるネットワーク構成の一例を示す図である。図1において、第1の実施形態に係る共有鍵交換方法が適用されるネットワークは、宅外機器1、宅内機器2、HGW3、及び公衆網4で構成される。また、宅内機器2およびHGW3は、ホームネットワーク5を構成する。この共有鍵交換方法が適用されるネットワークにおいて、宅内機器2は、HGW3およびインターネット等に代表される公衆網4を介して、宅外機器1と接続されている。なお、宅内機器2は、ホームネットワーク5内に設置されるネット家電等を想定した機器である。
(First embodiment)
FIG. 1 is a diagram showing an example of a network configuration to which a shared key exchange method according to the first embodiment of the present invention is applied. In FIG. 1, a network to which the shared key exchange method according to the first embodiment is applied includes an out-of-
図1において、宅外機器1は、HGW3との間でIKEプロトコルに基づく鍵交換処理、および宅内機器2との間でIPsecプロトコルに基づく暗号通信を行う。HGW3は、受信したパケットの種類によって転送先の振り分け(フィルタリング処理)、および宅内機器2に代行して宅外機器1との間で鍵交換処理(鍵交換代行処理)を行う。また、HGW3は、鍵交換代行処理によって交換された共有鍵を宅内機器2に配布する。宅内機器2は、HGW3によって配布された共有鍵を用いて宅外機器1との間でIPsecプロトコルに基づく暗号通信を行う。
In FIG. 1, the out-of-
次に、図2〜図8を用いて、本発明の第1の実施形態に係る共有鍵交換方法が実装される宅外機器1、宅内機器2、およびHGW3の具体的な構成について説明する。
[宅外機器1の構成]
図2は、第1の実施形態に係る宅外機器1の構成例を示すブロック図である。図2において、宅外機器1は、記憶部101、情報設定部102、通信アプリケーション103、IPsec暗号通信部104、鍵交換部105、通信プロトコル処理部106、およびWANI/F107を備える。
Next, specific configurations of the out-of-
[Configuration of outside device 1]
FIG. 2 is a block diagram illustrating a configuration example of the out-of-
記憶部101は、宅外機器1が第1の実施形態に係る共有鍵交換方法を実行するために必要な情報を記憶する。図3は、宅外機器1の記憶部101が記憶する情報の一例を示す図である。図3において、記憶部101は、IPsec共有鍵DB、およびIPsecポリシDBを記憶する。
IPsec共有鍵DBとは、IPsecプロトコルに基づく暗号通信に必要な共有鍵を設定するデータベースである。なお、IPsec共有鍵DBには、共有鍵の他にさらに共有鍵毎に対応する暗号化アルゴリズム、および暗号化処理を行うパケットの種類(セレクタ)を設定することができる。
IPsecポリシDBとは、宅外機器1が送受信するパケットに対して適用されるセキュリティポリシを設定するデータベースである。ここで設定されるセキュリティポリシとは、受信したパケットを、廃棄するのか、平文のまま送信するのか、IPsecの暗号化を適用するのか、IPsecの暗号化を適用するならどんなアルゴリズムを使うのか、などの条件をパケットの種類ごとに規定するものである。なお、本実施形態では、宅外機器1が記憶するIPsecポリシDBには、ポリシ1として“宅外機器1と宅内機器2との間の全ての通信をIPsecで暗号化”が設定されているものとする(図3参照)。
なお、記憶部101には、その他の情報も記憶することができる。例えば、その他の情報としては、対向機器との相互認証に必要な情報(事前共有鍵やデジタル署名に使う情報)や、IKEメッセージの送受信に使う各種パラメータ情報などがある。
The
The IPsec shared key DB is a database for setting a shared key necessary for encrypted communication based on the IPsec protocol. In the IPsec shared key DB, in addition to the shared key, an encryption algorithm corresponding to each shared key and a packet type (selector) to be encrypted can be set.
The IPsec policy DB is a database that sets a security policy to be applied to a packet transmitted / received by the
The
情報設定部102は、記憶部101が記憶する情報を設定する。通信アプリケーション103は、WEBブラウザなどのアプリケーションであり、対向機器(宅内機器2)との間でデータを送受信する。
The
IPsec暗号通信部104は、対向機器との間でIPsecによる暗号通信を行う。具体的には、IPsec暗号通信部104は、記憶部101に記憶されている情報(例えば、IPsec共通鍵DBに記憶されている共有鍵や、IPsecポリシDBに記憶されているポリシなど)を参照して、パケットの暗号化や復号化等の処理を行う。
鍵交換部105は、暗号通信を行う対向機器との間でIKEプロトコルに基づいた共有鍵の交換を行う。通信プロトコル処理部106は、IPレイヤ、TCPレイヤなどの通信プロトコルに関する処理を送受信するパケットに対して行う。WANI/F107は、通信プロトコル処理部106と公衆網4とを接続する。
The IPsec
The
[宅内機器2の構成]
図4は、第1の実施形態に係る宅内機器2の構成例を示すブロック図である。図4において、宅内機器2は、記憶部201、通信アプリケーション203、IPsec暗号通信部204、配布鍵設定部205、通信プロトコル処理部206、およびLANI/F207を備える。
[Configuration of home device 2]
FIG. 4 is a block diagram illustrating a configuration example of the
記憶部201は、宅外機器1の記憶部101(図2参照)と同様に、宅内機器2が第1の実施形態に係る共有鍵交換方法を実行するために必要な情報を記憶する。図5は、宅内機器2の記憶部201が記憶する情報の一例を示す図である。図5において、記憶部201は、IPsec共有鍵DBを記憶している。IPsec共有鍵DBは、宅外機器1が記憶するIPsec共有鍵DB(図3参照)と同様である。
Similar to the storage unit 101 (see FIG. 2) of the out-of-
IPsec暗号通信部204は、対向機器との間でIPsecによる暗号通信を行う。なお、宅内機器2のIPsec暗号通信部204は、IPsec共有鍵DBに共有鍵が記憶されていない場合は、送信するパケットの暗号化を行わない。
配布鍵設定部205は、HGW3から配布された共有鍵を記憶部201(IPsec共有鍵DB)に設定する。LANI/F207は、通信プロトコル処理部206とHGW3とを接続する。通信アプリケーション203および通信プロトコル処理部206は、宅外機器1(図2参照)が備える構成と同様である。
The IPsec
The distribution key setting unit 205 sets the shared key distributed from the
[HGW3の構成]
図6は、第1の実施形態に係るHGW3の構成例を示すブロック図である。図6において、HGW3は、記憶部301、情報設定部302、鍵交換代行部305、鍵配布部307、パケットフィルタ308、通信プロトコル処理部316、WNAI/F317、通信プロトコル処理部326、およびLANI/F327を備える。
[Configuration of HGW3]
FIG. 6 is a block diagram illustrating a configuration example of the
図6において、記憶部301は、HGW3が第1の実施形態に係る共有鍵交換方法を実行するために必要な情報を記憶する。図7は、HGW3の記憶部301が記憶する情報の一例を示す図である。図7において、記憶部301は、IPsec共有鍵DB、IPsecポリシDB、およびパケットフィルタDBを記憶している。ここで、IPsec共有鍵DBについては、宅外機器1が記憶するIPsec共有鍵DB(図3参照)と同様である。IPsecポリシDBには、宅内機器2に適用されるセキュリティポリシと、HGW3に適用されるセキュリティポリシとが設定される。すなわち、HGW3は、宅内機器2が行うセキリティポリシの管理を代行している。本実施形態において、IPsecポリシDBには、宅内機器2に適用されるセキュリティポリシとして以下に示す“ポリシ2”が、HGW3に適用されるセキュリティポリシとして“ポリシ3”が設定されているものとする(図7参照)。
In FIG. 6, the storage unit 301 stores information necessary for the
セキュリティポリシ
・宅内機器2に適用されるポリシ
ポリシ2:“宅外機器1と宅内機器2との間の全ての通信をIPsecで暗号化”
・HGW3に適用されるポリシ
ポリシ3:“宅外から受信した平文パケットを全て破棄”
(他のポリシにマッチしたパケットを除く)
Security policy-Policy applied to in-
-Policy applied to HGW3 Policy 3: "Discard all plaintext packets received from outside the home"
(Excluding packets that match other policies)
パケットフィルタDBとは、受信パケットを振り分けるパケットフィルタのルールを設定するデータベースである。なお、このパケットフィルタのルールは、IPsecポリシDBに登録されているセキュリティポリシを元に、情報設定部302によって作成される。図8は、第1の実施形態におけるパケットフィルタDBに設定されるパケットフィルタのルールの具体例を示す図である。
The packet filter DB is a database for setting packet filter rules for distributing received packets. The packet filter rule is created by the
情報設定部302は、宅外機器1が備える情報設定部102(図2参照)と比較して、さらにパケットフィルタDBにパケットフィルタのルールを設定する。具体的には、情報設定部302は、IPsecポリシDBに登録されているポリシ(ポリシ2およびポリシ3)を元にパケットフィルタのルールを設定することができる。例えば、情報設定部302は、ポリシ2(宅外機器1と宅内機器2との間の全ての通信をIPsecで暗号化)から、下に示パケットフィルタのルール1〜5を、ポリシ3(宅外から受信した平文パケットを全て破棄)から、下に示すパケットフィルタのルールその他を設定する(図8参照)。
The
パケットフィルタのルール
(ルール1)発信元=宅内機器2、送信先=宅外機器1、パケット=IPsec暗号化パケット54受信、処理:パケットをそのまま宅外機器1へ中継
(ルール2)発信元=宅外機器1、送信先=宅内機器2、パケット=IPsec暗号化パケット54受信、処理:パケットをそのまま宅内機器2へ中継
(ルール3)発信元=宅内機器2、送信先=宅外機器1、パケット=平文パケット56受信、処理:HGW3内で処理するパケットとして鍵交換代行部305へ転送
(ルール4)発信元=宅外機器1、送信先=宅内機器2、パケット=IKE鍵交換用パケット52受信、処理:HGW3内で処理するパケットとして鍵交換代行部305へ転送
(ルール5)発信元=宅内機器2、送信先=HGW3、パケット=鍵配布用パケット58受信、処理:HGW3内で処理するパケットとして鍵配布部307へ転送
(その他)発信元=任意の宅外機器(宅外機器1を含む)、送信先=ホームネットワーク5内の機器(宅内機器2を含む)、パケット=上記ルール以外のパケット(例えば、平文パケット59)受信、処理:パケットを廃棄
Rules for packet filter (Rule 1) Source = in-home device 2, destination = out-of-home device 1, packet = IPsec encrypted packet 54 received, processing: relay packet directly to out-of-home device 1 (Rule 2) Source = Out-of-home device 1, transmission destination = in-home device 2, packet = reception of IPsec encrypted packet 54, processing: relay packet directly to in-home device 2 (rule 3) transmission source = in-home device 2, transmission destination = out-of-home device 1, Packet = Reception of plaintext packet 56, Processing: Transfer to packet exchange agent 305 as a packet to be processed in HGW 3 (Rule 4) Source = external device 1, transmission destination = internal device 2, packet = IKE key exchange packet 52 Reception, processing: Transfer to the key exchange agent 305 as a packet to be processed in the HGW 3 (Rule 5) Source = home device 2, destination = HGW3, packet = Distribution packet 58 reception and processing: Transfer to key distribution unit 307 as a packet to be processed in HGW 3 (Others) Source = any external device (including external device 1), destination = device in home network 5 (Including home device 2), packet = packets other than the above rules (for example, plaintext packet 59) received, processed: packet discarded
鍵交換代行部305は、宅外機器1が備える鍵交換部105(図2参照)と比較して、さらに新しい共有鍵が生成されたことを鍵配布部307に通知する。鍵配布部307は、鍵交換代行部305が生成した共有鍵を宅内機器1に配布する。パケットフィルタ308は、上記パケットフィルタのルールに基づき、公衆網4またはホームネットワーク5から受信したパケットを中継、転送又は破棄する。
The key exchange agent unit 305 notifies the key distribution unit 307 that a new shared key has been generated as compared with the key exchange unit 105 (see FIG. 2) provided in the
通信プロトコル処理部316、WAN/IF317、通信プロトコル処理部326、およびLAN/IFは、宅外機器1(図2参照)または宅内機器2(図4参照)が備える構成と同様である。すなわち、HGW3においては、LANI/F327および通信プロトコル処理部326が、宅内機器2との送受信パケットを処理し、WANI/F317および通信プロトコル処理部316が、宅外機器1との送受信パケットを処理する。
The communication
次に、図9〜11を用いて、本発明の第1の実施形態に係る共有鍵交換方法を説明する。図9は、第1の実施形態において宅外機器1から暗号通信を開始する場合の共有鍵交換方法を説明する処理シーケンス図である。図10は、第1の実施形態において宅内機器2から暗号通信を開始する場合の共有鍵交換方法を説明する処理シーケンス図である。図11は、HGW3が行うフィルタリング処理の詳細を説明する図である。図9および図10において、宅外機器1のアドレスをIPa、宅内機器2のアドレスをIPb、HGW3のアドレスをIPhとする。なお、本実施形態では、宅外機器1およびHGW3だけでなく、ホームネットワーク5内の宅内機器2にも、グローバルアドレス(IPb)が振られているものとする。
Next, the shared key exchange method according to the first embodiment of the present invention will be described with reference to FIGS. FIG. 9 is a processing sequence diagram for explaining a shared key exchange method when encrypted communication is started from the
第1に、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図9)を説明する。
[事前処理]
図9を参照して、通信を開始する前の事前処理(ステップS10、S30、S31およびHGW3−宅内機器2間のセキュア通信路の確保)から説明する。宅外機器1およびHGW3において、それぞれのIPsecポリシDBには、事前にセキュリティポリシが設定されているものとする(ステップS10、ステップS30)。なお、ここで設定されているセキュリティポリシとは、上述したポリシ1〜3であるものとする。すなわち、宅外機器1のIPsecポリシDBにはポリシ1(図3参照)が、HGW3のIPsecポリシDBには、ポリシ2およびポリシ3(図7参照)が設定されている。
HGW3において、IPsecポリシDBには、セキリティポリシ(ポリシ2および3)に基づいて、情報設定部302が生成したパケットフィルタのルールが登録される(ステップS31)。なお、ここで登録されパケットフィルタのルールとは、上述したルール1〜6であるものとする。
また、HGW3と宅内機器2との間には、事前にセキュア通信路が確保されているものとする。例えば、このセキュア通信路は、ユーザがキーボードやリモコン、持ち運び可能な記憶媒体などの入力手段を使って、適当な鍵をオフラインでHGW3および宅内機器2に設定しておき、HGW3と宅内機器2との間で送受信されるデータを当該鍵で暗号化することで確保してもよい。
First, a shared key exchange method (FIG. 9) when starting encrypted communication from the
[Pre-processing]
With reference to FIG. 9, description will be given from pre-processing (steps S10, S30, S31 and securing of a secure communication path between
In the
In addition, it is assumed that a secure communication path is secured in advance between the
[宅外機器1での処理]
事前処理の終了後、宅外機器1(図2参照)において、通信アプリケーション103は、対向機器(宅内機器2)との間で通信を開始するとき、平文パケット51をIPsec暗号通信部104に送る(ステップS11)。IPsec暗号通信部104は、通信アプリケーション103から平文パケット51を受信すると、受信したパケットに対応するセキュリティポリシを記憶部101のIPsecポリシDBから検索する(ステップS12)。ここで、IPsec暗号通信部104は、IPsecポリシDBに記憶されているポリシ(ポリシ1)に従って、受信した平文パケットを暗号化すると判断し、平文パケット51を暗号化するための共有鍵を記憶部101のIPsec共有鍵DBから検索する(ステップS13)。
[Processing at the outside device 1]
After the pre-processing is completed, in the outside device 1 (see FIG. 2), the communication application 103 sends the plaintext packet 51 to the IPsec
共有鍵が存在しなければ、IPsec暗号通信部104は、鍵交換部105に共有鍵の生成を依頼する。鍵交換部105は、IPsec暗号通信部104から依頼を受けると、対向の機器(宅内機器2)との間でIKEプロトコルに基づく鍵交換処理を行う(ステップS14)。なお、このとき、実際に宅外機器1との間で鍵交換処理を行っている対向の機器はHGW3である。ただし、宅内機器1は、送信先に宅内機器2のアドレス(IPb)を設定した鍵交換用パケット52を送信し、送信元として宅内機器2のアドレス(IPb)が設定されたIKE鍵交換用パケット53を受信するため、HGW3の存在を意識しない。この鍵交換処理は、既存のIKEプロトコルに基づく処理であるので詳細な説明を省略する。対向の機器との間で鍵交換が成功すると、鍵交換部105は、交換された共有鍵(共有鍵Kab)を記憶部101のIPsec共有鍵DBに登録する(ステップS15)。
一方、共有鍵が存在すれば、IPsec暗号通信部104は、その共有鍵で平文パケット51を暗号化して、通信プロトコル処理部106およびWANI/F107を介して、宅内機器2宛にIPsec暗号化パケット54を送信する(ステップS40)。
If the shared key does not exist, the IPsec
On the other hand, if the shared key exists, the IPsec
[HGW3での処理]
HGW3(図6参照)において、パケットフィルタ308は、WANI/F317および通信プロトコル処理部316を介して、宅外機器1から送信先として宅内機器2宛のアドレスが設定されたIKE鍵交換用パケット52を受信する。パケットフィルタ308は、上述したパケットフィルタのルール(ルール4)に従い、受信したIKE鍵交換用パケット52を鍵交換代行部305に転送する。このパケットフィルタ308が行うフィルタリング処理(図11)の詳細は後に説明する。
[Processing at HGW3]
In the HGW 3 (see FIG. 6), the
IKE鍵交換用パケット52を受け取った鍵交換代行部305は、宅内機器2に代行して対向の機器(宅外機器1)との間で鍵交換処理を行う(ステップS32)。このとき、鍵交換代行部305は、必要があれば宅外機器1に対してIKE鍵交換用パケット53等を送信する。なお、送信の際、IKE鍵交換用パケット53には、送信元として宅内機器2のIPアドレス(IPb)を設定する。
The key exchange agent 305 that has received the IKE
対向の機器との間で鍵交換が成功すると、鍵交換代行部305は、交換された共有鍵(共有鍵Kab)を記憶部301のIPsec共有鍵DBに登録し、鍵配布部307に新しい共有鍵が生成されたことを通知する。鍵配布部307は、通知を受けるとIPsec共有鍵DBを読み出し、新しく生成された共有鍵Kabを鍵配布用パケット57として宅内機器2に対して送信する(ステップS33)。この宅内機器2への共有鍵Kabの配布は、事前に用意されたセキュア通信路によって行われる。
When the key exchange with the opposite device is successful, the key exchange agent unit 305 registers the exchanged shared key (shared key Kab) in the IPsec shared key DB of the storage unit 301 and makes a new shared with the key distribution unit 307. Notify that a key has been generated. Upon receiving the notification, the key distribution unit 307 reads the IPsec shared key DB, and transmits the newly generated shared key Kab to the
次に、パケットフィルタ308は、共有鍵Kabの配布に対して宅内機器2から応答メッセージ(鍵配布用パケット58)を受信すると、上述したパケットフィルタのルール(ルール5)に従い鍵配布部307へ転送する。鍵配布用パケット58を受け取った鍵配布部307は、宅内機器1が共有鍵を受信したことを確認する。なお、この共有鍵を配布する手順は、予め定めた所定の手順に沿うものとする。例えば、所定の手順として、応答メッセージ(鍵配布用パケット58)の送受信を行わないものとしてもよい。また、鍵配布部307は、応答メッセージを受信できない場合には鍵配布用パケット57の再送信を行うようにしてもよい。
Next, when the
[宅内機器2での処理]
宅内機器2(図4参照)において、配布鍵設定部205は、LANI/F207および通信プロトコル処理部206を介して、HGW3から鍵配布用パケット57を受信する。配布鍵設定部205は、鍵配布パケット57にて共有鍵を配布されると、配布された共有鍵を記憶部201のIPsec共有鍵DBに登録する(ステップS23)。
[Processing at home device 2]
In the home appliance 2 (see FIG. 4), the distribution key setting unit 205 receives the
このように、宅外機器1および宅内機器2のIPsec共有鍵DBに共有鍵Kabが登録された後は、宅外機器1および宅内機器2は、その共有鍵Kabを使用して、IPsecによる暗号通信を行うことができる(ステップS40)。
As described above, after the shared key Kab is registered in the IPsec shared key DB of the out-of-
第2に、宅内機器2から暗号通信を開始する場合の共有鍵交換方法(図10)を説明する。
[事前処理]
図10を参照して、通信を開始する前の事前処理(ステップS10、S30、S31およびHGW3−宅内機器2間のセキュア通信路の確保)は、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図9)と同様である。
Secondly, a shared key exchange method (FIG. 10) when encryption communication is started from the
[Pre-processing]
Referring to FIG. 10, pre-processing before starting communication (steps S 10,
[宅内機器2での処理]
事前処理の終了後、宅内機器2(図4参照)において、通信アプリケーション203は、対向の機器(宅外機器1)との間で通信を開始するとき、平文パケット55をIPsec暗号通信部204に送る(ステップS20)。IPsec暗号通信部204は、通信アプリケーション203から平文パケット55を受信すると、受信した平文パケットを暗号化するための共有鍵を記憶部201のIPsecポリシDBから検索する(ステップS21)。
[Processing at home device 2]
After completion of the pre-processing, when the
共有鍵が存在しなければ、IPsec暗号通信部204は、通信プロトコル処理部206およびLAN/IF207を介して、暗号化していない平文パケット56を宅外機器1のアドレス(IPa)宛に送信する(ステップS22)。なお、IPsec暗号通信部204は、平文パケット56を送信する代わりに、何らかの方法を用いてHGW3に鍵生成を依頼できるものとする。例えば、IPsec暗号通信部204は、鍵配布用パケット58と同様の通信路を使って、HGW3に鍵生成要求パケットを送信してもよい。宅内機器2におけるその後の処理(ステップS23)は、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図9参照)と同様である。
一方、共有鍵が存在すれば、IPsec暗号通信部204は、その共有鍵で平文パケット55を暗号化して、通信プロトコル処理部206およびWANI/F207を介して、宅外機器1宛にIPsec暗号化パケット54を送信する(ステップS40)。
If the shared key does not exist, the IPsec
On the other hand, if the shared key exists, the IPsec
[HGW3での処理]
HGW3(図6参照)において、パケットフィルタ308は、WANI/F317および通信プロトコル処理部316を介して、宅内機器2から平文パケット56を受信する。パケットフィルタ308は、上述したパケットフィルタのルール(ルール3)に従い、鍵交換代行部305に平文パケット56を転送する。平文パケット56を受け取った鍵交換代行部305は、宅内機器2に代行して対向の機器(宅外機器1)との間で鍵交換処理を行う(ステップS32)。この鍵交換代行部305が行う鍵交換処理(ステップ32)、およびその後の処理は、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図9参照)と同様である。
[Processing at HGW3]
In the HGW 3 (see FIG. 6), the
[宅外機器1での処理]
宅外機器1(図2参照)において、鍵交換部105は、WAN/IF107および通信プロトコル処理部106を介して、HGW3からIKE鍵交換用パケット53を受信する。IKE鍵交換用パケット53を受け取った鍵交換部105は、対向の機器(宅外機器1)との間で鍵交換処理を行う(ステップS14)。この鍵交換代行部305が行う鍵交換処理(ステップ14)、およびその後の処理は、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図9参照)と同様である。
[Processing at the outside device 1]
In the external device 1 (see FIG. 2), the
このように、宅外機器1および宅内機器2のIPsec共有鍵DBに共有鍵Kabが登録された後では、宅外機器1および宅内機器2は、その共有鍵Kabを使用して、IPsecによる暗号通信を行うことができる(ステップS40)。
As described above, after the shared key Kab is registered in the IPsec shared key DB of the out-of-
次に、パケットフィルタ308が行うフィルタリング処理の詳細について説明する。図11において、パケットフィルタ308(図6参照)は、宅外機器1または宅内機器2からパケットを受信すると、記憶部301のパケットフィルタDBに設定されているフィルタリングルール(図8参照)を適用して、受信パケットの振り分けを行う(ステップS311)。
パケットフィルタ308は、宅外機器1または宅内機器2から受信したIPsec暗号化パケット54に対して、ルール1またはルール2を適用して、そのまま対向機器へ中継する(ステップS312)。また、宅内機器2から受信した平文パケット56に対してはルール3を適用して、宅外機器1から受信したIKE鍵交換用パケット52に対してはルール4を適用して、鍵交換代行部305に転送する(ステップS313)。また、宅内機器2から受信した鍵配布用パケット58に対してはルール5を適用して、鍵配布部307に転送する(ステップS314)。また、その他のパケット(例えば、宅外機器1から受信した平文パケット59)に対しては、ルールその他を適用してパケットを破棄する(ステップS315)。
Next, details of filtering processing performed by the
The
なお、本発明の共有鍵交換方法は、宅内機器2としてネット家電だけに限られず、搭載可能なCPUやメモリのリソース等が制限されるような通信機器にも適用することができる。また、ホームネットワーク5内には、複数の宅内機器2を設置することができる。その場合、HGW3は、複数の宅内機器2の鍵交換処理を代行してもよい。
The shared key exchanging method of the present invention is not limited to
また、本発明の共通鍵交換方法においては、暗号通信プロトコルとして、IPsecを用いた場合を説明したが、SSLやTLSなどの暗号通信プロトコルを用いてもよい。また、共有鍵交換プロトコルとしてIKEを用いた場合を説明したが、その他の共有鍵交換プロトコルを用いてもよい。例えば、IKEの代わりにSSL/TLS−Handshake等の共有鍵交換プロトコルを用いることもできるものとする。 In the common key exchange method of the present invention, the case where IPsec is used as the encryption communication protocol has been described. However, an encryption communication protocol such as SSL or TLS may be used. Moreover, although the case where IKE was used as a shared key exchange protocol was demonstrated, you may use another shared key exchange protocol. For example, a shared key exchange protocol such as SSL / TLS-Handshake can be used instead of IKE.
またさらに、宅内機器2のアドレスとして、外部の機器(宅外機器1)から直接指定可能なグローバルアドレスを設定した場合を説明したが、ホームネットワーク5内でのみ有効なプライベートアドレスを設定することもできる。その場合、例えば、HGW3は、NAT(Network Address Transration)の仕組みを利用することで、宅外機器1と宅内機器2との間の通信を中継することができる。
Furthermore, although the case where a global address that can be directly specified from an external device (external device 1) is set as the address of the
以上のように、本発明の第1の実施形態に係る共有鍵交換方法によれば、高負荷かつプログラムサイズが大きい鍵交換処理をHGW3に代行させることができる。これにより、計算資源やメモリ資源等が限られたネット家電等の宅内機器2でも、高速かつ安全に共有鍵の交換を行うことができる。
また、HGW3は、汎用の鍵交換プロトコルに基づいて、宅内機器2が行ったかのように鍵交換処理を代行する。これにより、宅外機器1は、宅内機器2が用いる鍵交換プロトコルを意識する必要がなく、汎用の鍵交換プロトコルを使って共有鍵の交換を行うことができる。
As described above, according to the shared key exchange method according to the first embodiment of the present invention, key exchange processing with a high load and a large program size can be delegated to the
Further, the
(第2の実施形態)
図12は、本発明の第2の実施形態に係る共有鍵交換方法が適用されるネットワーク構成の一例を示す図である。なお、第2の実施形態において、第1の実施形態と同様の機器および構成については、同一の参照符号を付して説明を省略する。図12において、第2の実施形態に係る共有鍵交換方法が適用されるネットワークは、第1の実施形態に係る共有鍵交換方法が適用されるネットワーク(図1参照)と比較して、さらにホームネットワーク5内に通信機器6を備える。通信機器6は、宅内機器2に代行して宅外機器1との間で鍵交換処理を行う。そのため、第2の実施形態においてHGW32は、鍵交換処理を行わない。
(Second Embodiment)
FIG. 12 is a diagram illustrating an example of a network configuration to which the shared key exchange method according to the second embodiment of the present invention is applied. Note that, in the second embodiment, the same equipment and configuration as those in the first embodiment are denoted by the same reference numerals, and description thereof is omitted. In FIG. 12, the network to which the shared key exchange method according to the second embodiment is applied is further home compared to the network to which the shared key exchange method according to the first embodiment is applied (see FIG. 1). A
次に、図13〜図17を用いて、本発明の第2の実施形態に係る共有鍵交換方法が実装される宅外機器1、宅内機器2、およびHGW32の具体的な構成について説明する。
宅外機器1および宅内機器2の構成は、第1の実施形態の宅外機器1(図2参照)および宅内機器2(図4参照)と同様である。
[HGW32の構成]
図13は、第2の実施形態に係るHGW32の構成例を示すブロック図である。図13において、HGW32は、第1の実施形態に係るHGW3(図6参照)と比較して、鍵交換代行部305、および鍵配布部307を備えていない。また、記憶部321は、第1の実施形態の記憶部301と比較して、IPsec共有鍵DBを記憶しない(図14参照)。これは、HGW32が鍵交換処理を行わないためである。情報設定部322は、第1の実施形態の情報設定部302と同様に、IPsecポリシDBに登録されているポリシを元にパケットフィルタのルールを作成するが、作成するルールが第1の実施形態(図8参照)と異なる。図15は、第2の実施形態のパケットフィルタDBに設定されるパケットフィルタのルールの具体例を示す図である。図15において、ルール3〜5が第1の実施形態と異なる。第2の実施形態では、ルール3にて宅内機器2から受信した平文パケット56を通信機器6に、ルール4にて宅外機器1から受信したIKE鍵交換用パケット52を通信機器6に、ルール5にて宅内機器2(通信機器6)から受信したIKE鍵交換用パケット53を宅外機器1に中継する。
Next, specific configurations of the out-of-
The configurations of the out-of-
[Configuration of HGW32]
FIG. 13 is a block diagram illustrating a configuration example of the
[通信機器6の構成]
図16は、第2の実施形態に係る通信機器6の構成例を示すブロック図である。図16において、通信機器6は、記憶部601、情報設定部602、鍵交換代行部605、鍵配布部607、通信プロトコル処理部616、およびLANI/F617を備える。記憶部601は、IPsec共有鍵DBを記憶する(図17参照)。情報設定部602、鍵交換代行部605、鍵配布部607、通信プロトコル処理部616、およびLANI/F617は、第1の実施形態に係るHGW3(図6参照)が備える構成と同様である。
[Configuration of communication device 6]
FIG. 16 is a block diagram illustrating a configuration example of the
次に、図18および図19を用いて、本発明の第2の実施形態に係る共有鍵交換方法を説明する。図18は、第2の実施形態において宅外機器1から暗号通信を開始する場合の共有鍵交換方法を説明する処理シーケンス図である。図19は、第2の実施形態において宅内機器2から暗号通信を開始する場合の共有鍵交換方法を説明する処理シーケンス図である。図18および図19において、通信機器6のアドレスをグローバルアドレスIPsとする。
Next, a shared key exchange method according to the second embodiment of the present invention will be described with reference to FIGS. FIG. 18 is a processing sequence diagram for explaining a shared key exchange method when encrypted communication is started from the
第1に、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図18)を説明する。
[事前処理]
図18を参照して、第2の実施形態では、HGW3と宅内機器1との間ではなく、通信機器6と宅内機器2との間にセキュア通信路を確保する。その他の処理(ステップS10、S30およびS31)は、第1の実施形態(図9参照)と同様である。なお、通信機器6と宅内機器2とは、LANケーブル等の有線ケーブル、無線LANや赤外線等の無線通信路などによって直接接続されているものとする。
First, a shared key exchange method (FIG. 18) when starting encrypted communication from the
[Pre-processing]
Referring to FIG. 18, in the second embodiment, a secure communication path is secured between
[宅外機器1での処理]
宅外機器1での処理は、第1の実施形態と同様である。
[Processing at the outside device 1]
Processing in the
[HGW32での処理]
HGW32(図13参照)において、パケットフィルタ308は、上述したパケットフィルタのルール(図15参照)に従い受信パケットに対してフィルタリング処理を行う。
例えば、パケットフィルタ308は、WANI/F317および通信プロトコル処理部316を介して宅外機器1から受信した宅内機器2宛のIKE鍵交換用パケット52を、ルール4に基づいて通信機器6に中継する。また、パケットフィルタ308は、通信機器6から受信したIKE鍵交換用パケット53を、ルール5に基づいて宅外機器1に中継する。なお、宅内ネットワークの構成によっては、宅外機器1から受信したIKE鍵交換用パケット52の宛先を宅内機器2のままにして転送すると、宅内機器2で受信されてしまい通信機器6にパケットが届かない場合がある。これを防ぐために、パケットフィルタ308は、IKE鍵交換用パケット52の宛先(IPアドレスやMACアドレス)を通信機器6のものに変更する、あるいはIKE鍵交換用パケット52をカプセル化して通信機器6の宛先を示すヘッダを付けた後に転送する等の処理を行ってもよい。
[Processing by HGW32]
In the HGW 32 (see FIG. 13), the
For example, the
[通信機器6での処理]
通信機器6(図16参照)において、鍵交換代行部605は、宅内機器2に代行して対向の機器(宅外機器1)との間で鍵交換処理を行う(ステップS60)。なお、鍵交換代行部605は、宅外機器1に対してIKE鍵交換用パケット53を送信するとき、送信元のアドレスとして宅内機器2のアドレス(IPb)を設定する。
また、鍵交換代行部605は、対向の機器との間で鍵交換が成功すると、交換された共有鍵(共有鍵Kab)を記憶部601のIPsec共有鍵DBに登録し、鍵配布部607に新しい共有鍵が生成されたことを通知する。鍵配布部607は、通知を受けるとIPsec共有鍵DBを読み出し、新しく生成された共有鍵Kabを鍵配布用パケット57として宅内機器2宛に送信する(ステップS61)。
[Processing in the communication device 6]
In the communication device 6 (see FIG. 16), the
In addition, when the key
[宅内機器2での処理]
宅内機器2での処理は、第1の実施形態と同様である。
[Processing at home device 2]
The processing in the
第2に、宅内機器2から暗号通信を開始する場合の共有鍵交換方法(図19)を説明する。
[事前処理]
図19を参照して、通信を開始する前の事前処理(ステップS10、S30、S31および通信機器6−宅内機器2間のセキュア通信路の確保)は、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図18参照)と同様である。
[宅内機器2での処理]
宅内機器2での処理は、第1の実施形態(図10参照)と同様である。
[HGW32での処理]
HGW32(図13参照)において、パケットフィルタ308は、LANI/F327および通信プロトコル処理部326を介して宅内機器2から受信した平文パケット56を、上述したパケットフィルタのルール3に従い、通信機器6に中継する。
Secondly, a shared key exchange method (FIG. 19) in the case of starting encrypted communication from the
[Pre-processing]
Referring to FIG. 19, pre-processing before starting communication (steps S10, S30, S31 and securing a secure communication path between
[Processing at home device 2]
The processing in the
[Processing by HGW32]
In the HGW 32 (see FIG. 13), the
[通信機器6での処理]
通信機器6(図16参照)において、鍵交換代行部605は、HGW3から平文パケット56を受信すると、宅内機器2に代行して対向の機器(宅外機器1)との間で鍵交換処理を行う(ステップS60)。この鍵交換代行部605が行う鍵交換処理(ステップ60、およびその後の処理は、宅外機器1から暗号通信を開始する場合の共有鍵交換方法(図18参照)と同様である。
[Processing in the communication device 6]
In the communication device 6 (see FIG. 16), when receiving the
なお、第2の実施形態においては、通信機器6が宅内機器2に対して鍵配布用パケット57を直接配布する例を示したが、HGW32を中継させることで宅内機器2に対して鍵配布用パケット57を配布してもよい。この場合、HGW32が記憶するパケットフィルタDBは、さらに鍵配布用パケットに対するルール6〜7を加える。図20は、鍵配布用パケットに対するルールを加えるパケットフィルタのルールの具体例を示す図である。図20において、HGW32は、ルール6にて通信機器6から受信した鍵配布用パケット57を宅内機器2に、ルール7にて宅内機器2から受信した鍵配布用パケット58を通信機器6に中継する。
In the second embodiment, the example in which the
また、第2の実施形態においては、HGW32が行うフィルタリング処理を宅内機器2、あるいは通信機器6で実行させてもよい。図21は、フィルタリング処理を宅内機器2で実行させた場合の共有鍵交換方法が適用されるネットワーク構成の一例を示す図である。図21において、宅外機器1から送信された鍵交換用パケットは、宅内機器2でフィルタリング処理された後に通信機器6に転送される。また、図22は、フィルタリング処理を通信機器6で実行させた場合の共有鍵交換方法が適用されるネットワーク構成の一例を示す図である。図22において、宅外機器1から送信された鍵交換用パケットは、通信機器6でフィルタリング処理され、鍵交換代行処理に転送される。
In the second embodiment, the filtering process performed by the
また、通信機器6は、通信カードあるいはアダプタとして宅内機器2に接続されてもよい。図23は、通信機器6を通信カードとして宅内機器2に接続した場合の共有鍵交換方法が適用されるネットワーク構成の一例を示す図である。図23において、通信カードである通信機器6は、宅内機器2に接続(装着)されることで、上述した鍵交換代行処理やフィルタリング処理の機能を宅内機器2に追加することができる。
The
またさらに、通信機器6は、通信カードあるいはアダプタとして、暗号通信を行う宅内機器2とは別の通信機器に接続されることで、上述した鍵交換代行処理やフィルタリング処理をこの別の機器に追加することができる。図24は、通信機器6をアダプタとして宅内機器2とは別の通信機器に接続した場合の共有鍵交換方法が適用されるネットワーク構成の一例を示す図である。図24において、アダプタである通信機器6は、通信機器7に接続されることで、上述した鍵交換代行処理やフィルタリング処理の機能を通信機器7に追加することができる。
Furthermore, the
以上のように、本発明の第2の実施形態に係る共有鍵交換方法においては、鍵交換処理をHGW32とは別の通信機器6に代行させることで、第1の実施形態に係る共有鍵交換方法と同様の効果を得ることができる。また、鍵交換処理を代行する通信機器6を通信カードやアダプタとして、ホームネットワーク内の機器に接続することで、ホームネットワーク内の機器に鍵交換処理を代行する機能を追加することができる。
As described above, in the shared key exchange method according to the second embodiment of the present invention, the shared key exchange according to the first embodiment is performed by substituting the
なお、上述した共有鍵交換方法は、記憶装置(ROM、RAM、ハードディスク等)に格納された上述した処理手順を実施可能な所定のプログラムデータが、CPUによって解釈実行されることで実現される。この場合、プログラムデータは、記憶媒体を介して記憶装置内に導入されてもよいし、記憶媒体上から直接実行されてもよい。なお、記憶媒体は、ROMやRAMやフラッシュメモリ等の半導体メモリ、フレキシブルディスクやハードディスク等の磁気ディスクメモリ、CR−ROMやDVDやBD等の光ディスクメモリ、及びメモリカード等をいう。また、記憶媒体は、電話回線や搬送路等の通信媒体も含む概念である。 The shared key exchanging method described above is realized by CPU interpreting and executing predetermined program data stored in a storage device (ROM, RAM, hard disk, etc.) that can execute the processing procedure described above. In this case, the program data may be introduced into the storage device via the storage medium, or may be directly executed from the storage medium. The storage medium refers to a semiconductor memory such as a ROM, a RAM, or a flash memory, a magnetic disk memory such as a flexible disk or a hard disk, an optical disk memory such as a CR-ROM, a DVD, or a BD, and a memory card. The storage medium is a concept including a communication medium such as a telephone line or a conveyance path.
また、本発明の宅内機器、HGW、あるいは通信機器を構成する暗号通信部、パケットフィルタ、鍵交換代行部、および鍵配布部の機能ブロックは、典型的には集積回路であるLSI(集積度の違いにより、IC、システムLSI、スーパーLSI、又はウルトラLSI等と称される)として実現される。これらは、個別に1チップ化されてもよいし、一部又は全部を含むように1チップ化されてもよい。
また、集積回路化の手法は、LSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。また、LSI製造後にプログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構築可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別の技術により、LSIに置き換わる集積回路化の技術が登場すれば、当然その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適応等が可能性としてあり得る。
In addition, the functional blocks of the encryption communication unit, packet filter, key exchange agent unit, and key distribution unit constituting the home device, HGW, or communication device of the present invention are typically integrated circuits such as LSI (integration degree). It is realized as an IC, a system LSI, a super LSI, an ultra LSI, or the like due to a difference. These may be individually made into one chip, or may be made into one chip so as to include a part or all of them.
Further, the method of circuit integration is not limited to LSI's, and implementation using dedicated circuitry or general purpose processors is also possible. Also, an FPGA (Field Programmable Gate Array) that can be programmed after manufacturing the LSI or a reconfigurable processor that can reconfigure the connection and setting of the circuit cells inside the LSI may be used.
Furthermore, if integrated circuit technology comes out to replace LSI's as a result of the advancement of semiconductor technology or a derivative other technology, it is naturally also possible to carry out function block integration using this technology. There is a possibility of adaptation of biotechnology.
本発明の共有鍵交換方法は、処理能力やメモリ搭載量が少ないネット家電等の機器が外部の機器と共有鍵の交換等を行う場合等に有用である。 The shared key exchanging method of the present invention is useful when a device such as an Internet home appliance having a small processing capacity and a small amount of memory is exchanged with an external device.
1 宅外機器
2 宅内機器
3、32 HGW
4 公衆網
5 ホームネットワーク
51、55、56、59 平文パケット
52、53 IKE鍵交換用パケット
54 IPsec暗号化パケット
57、58 鍵配布用パケット
101、201、301 記憶部
102、202、302 情報設定部
103、203 通信アプリケーション
104、204 IPsec暗号通信部
105、305 鍵交換部
106、206、316、326 通信プロトコル処理部
107、317 WAN/IF
207、327 LAN/IF
307 鍵配布部
308 パケットフィルタ
1 Out-of-
4
207, 327 LAN / IF
307
Claims (20)
前記第1の通信機器は、
前記ゲートウェイから配布された前記第2の通信機器との間で共有する共有鍵を記憶する記憶部と、
前記記憶部に記憶された前記共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信部とを備え、
前記ゲートウェイは、
前記第1および第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先をゲートウェイ自身に変更するフィルタリング部と、
前記フィルタリング部によって転送先を変更されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行部と、
前記鍵交換代行部によって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布部とを備えることを特徴とする、共有鍵交換システム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange system for exchanging a key for performing encryption processing on a packet,
The first communication device is:
A storage unit for storing a shared key shared with the second communication device distributed from the gateway;
An encryption communication unit that performs encryption communication with the second communication device using the shared key stored in the storage unit;
The gateway is
A filtering unit that selects a packet to be used for exchanging the shared key from packets transmitted by the first and second communication devices, and changes a transfer destination of the selected packet to the gateway itself;
A key exchange proxy unit that performs processing to generate the shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering unit;
A shared key exchange system comprising: a key distribution unit that distributes the shared key generated by the key exchange agent unit to the first communication device.
前記ホームネットワーク内には、前記ゲートウェイおよび前記第1の通信機器と接続され、前記ゲートウェイを介して前記第2の通信機器と接続されている第3の通信機器があり、
前記第1の通信機器は、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を記憶する記憶部と、
前記記憶部に記憶された前記共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信部とを備え、
前記ゲートウェイは、
前記第1および第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を変更して前記第3の通信機器に中継するフィルタリング部を備え、
前記第3の通信機器は、
前記フィルタリング部によって中継されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行部と、
前記鍵交換代行部によって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布部とを備えることを特徴とする、共有鍵交換システム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange system for exchanging a key for performing encryption processing on a packet,
In the home network, there is a third communication device connected to the gateway and the first communication device, and connected to the second communication device via the gateway,
The first communication device is:
A storage unit for storing a shared key shared with the second communication device distributed from the third communication device;
An encryption communication unit that performs encryption communication with the second communication device using the shared key stored in the storage unit;
The gateway is
A filtering unit that selects a packet used for exchanging the shared key from packets transmitted by the first and second communication devices, changes a transfer destination of the selected packet, and relays the packet to the third communication device With
The third communication device is:
A key exchange agent that performs processing for generating the shared key shared with the second communication device based on the packet relayed by the filtering unit;
A shared key exchange system comprising: a key distribution unit that distributes the shared key generated by the key exchange agent unit to the first communication device.
前記ホームネットワーク内には、前記ゲートウェイおよび前記第1の通信機器と接続され、前記ゲートウェイを介して前記第2の通信機器と接続されている第3の通信機器があり、
前記第1の通信機器は、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を記憶する記憶部と、
前記記憶部に記憶された前記共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信部と、
前記暗号通信部及び前記第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を変更して前記第3の通信機器に中継するフィルタリング部とを備え、
前記第3の通信機器は、
前記フィルタリング部によって中継されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行部と、
前記鍵交換代行部によって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布部とを備えることを特徴とする、共有鍵交換システム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange system for exchanging a key for performing encryption processing on a packet,
In the home network, there is a third communication device connected to the gateway and the first communication device, and connected to the second communication device via the gateway,
The first communication device is:
A storage unit for storing a shared key shared with the second communication device distributed from the third communication device;
An encryption communication unit that performs encrypted communication with the second communication device using the shared key stored in the storage unit;
The packet used for exchanging the shared key is selected from the packets transmitted by the encryption communication unit and the second communication device, and the transfer destination of the selected packet is changed and relayed to the third communication device. A filtering unit,
The third communication device is:
A key exchange agent that performs processing for generating the shared key shared with the second communication device based on the packet relayed by the filtering unit;
A shared key exchange system comprising: a key distribution unit that distributes the shared key generated by the key exchange agent unit to the first communication device.
前記ホームネットワーク内には、前記ゲートウェイおよび前記第1の通信機器と接続され、前記ゲートウェイを介して前記第2の通信機器と接続されている第3の通信機器があり、
前記第1の通信機器は、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を記憶する記憶部と、
前記記憶部に記憶された前記共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信部とを備え、
前記第3の通信機器は、
前記第1および第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を第3の通信機器自身に変更するフィルタリング部と、
前記フィルタリング部によって転送先を変更されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行部と、
前記鍵交換代行部によって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布部とを備えることを特徴とする、共有鍵交換システム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange system for exchanging keys for performing encryption processing on
In the home network, there is a third communication device connected to the gateway and the first communication device, and connected to the second communication device via the gateway,
The first communication device is:
A storage unit for storing a shared key shared with the second communication device distributed from the third communication device;
An encryption communication unit that performs encryption communication with the second communication device using the shared key stored in the storage unit;
The third communication device is:
A filtering unit that selects a packet used for exchanging the shared key from packets transmitted by the first and second communication devices, and changes a transfer destination of the selected packet to the third communication device itself;
A key exchange proxy unit that performs processing to generate the shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering unit;
A shared key exchange system comprising: a key distribution unit that distributes the shared key generated by the key exchange agent unit to the first communication device.
前記フィルタリング部は、前記平文パケットを前記共有鍵の交換に用いるパケットとして選択することを特徴とする、請求項1、2、3、4又は5のいずれかに記載の共有鍵交換システム。 The encryption communication unit transmits a plaintext packet to the second communication device when the shared key is not stored in the storage unit;
6. The shared key exchange system according to claim 1, wherein the filtering unit selects the plaintext packet as a packet used for exchanging the shared key.
前記第3の通信機器は、前記第4の通信機器に接続される通信カードあるいはアダプタであることを特徴とする、請求項2、3又は4のいずれかに記載の共有鍵交換システム。 The home network further includes a fourth communication device,
5. The shared key exchange system according to claim 2, wherein the third communication device is a communication card or an adapter connected to the fourth communication device.
前記第1および第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先をゲートウェイ装置自身に変更するフィルタリング部と、
前記フィルタリング部によって転送先を変更されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行部と、
前記鍵交換代行部によって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布部とを備えることを特徴とする、ゲートウェイ装置。 The first communication device in the home network is connected to the second communication device in another network, and the packets transmitted and received between the first communication device and the second communication device are encrypted. A gateway device for exchanging a shared key for performing an encryption process,
A filtering unit that selects a packet to be used for exchanging the shared key from packets transmitted by the first and second communication devices, and changes a transfer destination of the selected packet to the gateway device itself;
A key exchange proxy unit that performs processing to generate the shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering unit;
A gateway device comprising: a key distribution unit that distributes the shared key generated by the key exchange agent unit to the first communication device.
前記第1の通信機器は、
前記ゲートウェイから配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップを備え、
前記ゲートウェイは、
前記第1および前記第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先をゲートウェイ自身に変更するフィルタリングステップと、
前記フィルタリングステップによって転送先を変更されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを備えることを特徴とする、共有鍵交換方法。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange method for exchanging a key for performing encryption processing on a packet,
The first communication device is:
An encryption communication step of performing encryption communication with the second communication device using a shared key shared with the second communication device distributed from the gateway;
The gateway is
A filtering step of selecting a packet used for exchanging the shared key from packets transmitted by the first and second communication devices, and changing a forwarding destination of the selected packet to the gateway itself;
A key exchange proxy step of performing a process of generating the shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering step;
A shared key exchange method comprising: a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
前記ホームネットワーク内には、前記ゲートウェイおよび前記第1の通信機器と接続され、前記ゲートウェイを介して前記第2の通信機器と接続されている第3の通信機器があり、
前記第1の通信機器は、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップを備え、
前記ゲートウェイは、
前記第1および前記第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を変更して前記第3の通信機器に中継するフィルタリングステップを備え、
前記第3の通信機器は、
前記フィルタリングステップによって中継されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを備えることを特徴とする、共有鍵交換方法。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange method for exchanging a key for performing encryption processing on a packet,
In the home network, there is a third communication device connected to the gateway and the first communication device, and connected to the second communication device via the gateway,
The first communication device is:
Using a shared key shared with the second communication device distributed from the third communication device, comprising an encryption communication step of performing encrypted communication with the second communication device;
The gateway is
Filtering that selects a packet to be used for exchanging the shared key from packets transmitted by the first and second communication devices, changes a transfer destination of the selected packet, and relays the packet to the third communication device With steps,
The third communication device is:
A key exchange agent step of performing a process of generating the shared key shared with the second communication device based on the packet relayed by the filtering step;
A shared key exchange method comprising: a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
前記ホームネットワーク内には、前記ゲートウェイおよび前記第1の通信機器と接続され、前記ゲートウェイを介して前記第2の通信機器と接続されている第3の通信機器があり、
前記第1の通信機器は、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップと、
前記暗号通信ステップ及び前記第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を変更して前記第3の通信機器に中継するフィルタリングステップとを備え、
前記第3の通信機器は、
前記フィルタリングステップによって中継されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを備えることを特徴とする、共有鍵交換方法。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange method for exchanging a key for performing encryption processing on a packet,
In the home network, there is a third communication device connected to the gateway and the first communication device, and connected to the second communication device via the gateway,
The first communication device is:
An encryption communication step of performing encrypted communication with the second communication device using a shared key shared with the second communication device distributed from the third communication device;
The packet used for exchanging the shared key is selected from the packets transmitted by the encryption communication step and the second communication device, and the transfer destination of the selected packet is changed and relayed to the third communication device. A filtering step,
The third communication device is:
A key exchange agent step of performing a process of generating the shared key shared with the second communication device based on the packet relayed by the filtering step;
A shared key exchange method comprising: a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
前記ホームネットワーク内には、前記ゲートウェイおよび前記第1の通信機器と接続され、前記ゲートウェイを介して前記第2の通信機器と接続されている第3の通信機器があり、
前記第1の通信機器は、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップを備え、
前記第3の通信機器は、
前記第1および第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を第3の通信機器自身に変更するフィルタリングステップと、
前記フィルタリングステップによって転送先を変更されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを備えることを特徴とする、共有鍵交換方法。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A shared key exchange method for exchanging a key for performing encryption processing on a packet,
In the home network, there is a third communication device connected to the gateway and the first communication device, and connected to the second communication device via the gateway,
The first communication device is:
Using a shared key shared with the second communication device distributed from the third communication device, comprising an encryption communication step of performing encrypted communication with the second communication device;
The third communication device is:
A filtering step of selecting a packet to be used for exchanging the shared key from packets transmitted by the first and second communication devices, and changing a transfer destination of the selected packet to the third communication device itself;
A key exchange proxy step of performing a process of generating the shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering step;
A shared key exchange method comprising: a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
前記第1の通信機器に、
前記ゲートウェイから配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップを実行させ、
前記ゲートウェイに、
前記第1および前記第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先をゲートウェイ自身に変更するフィルタリングステップと、
前記フィルタリングステップによって転送先を変更されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを実行させるためのプログラム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A program for causing the first communication device and the gateway to implement a method for exchanging a key for performing encryption processing on a packet,
In the first communication device,
Using a shared key shared with the second communication device distributed from the gateway, executing an encryption communication step of performing encrypted communication with the second communication device;
To the gateway,
A filtering step of selecting a packet used for exchanging the shared key from packets transmitted by the first and second communication devices, and changing a forwarding destination of the selected packet to the gateway itself;
A key exchange proxy step of performing a process of generating the shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering step;
A program for executing a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
前記第1の通信機器に、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップを実行させ、
前記ゲートウェイに、
前記第1および前記第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を変更して前記第3の通信機器に中継するフィルタリングステップを実行させ、
前記第3の通信機器に、
前記フィルタリングステップによって中継されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを実行させるためのプログラム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A program for causing a first communication device, a gateway, and a third communication device in the home network to exchange a method for exchanging a key for performing encryption processing on a packet,
In the first communication device,
Using a shared key shared with the second communication device distributed from the third communication device to execute an encryption communication step of performing encrypted communication with the second communication device;
To the gateway,
Filtering that selects a packet to be used for exchanging the shared key from packets transmitted by the first and second communication devices, changes a transfer destination of the selected packet, and relays the packet to the third communication device Let the steps run,
In the third communication device,
A key exchange agent step of performing a process of generating the shared key shared with the second communication device based on the packet relayed by the filtering step;
A program for executing a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
前記第1の通信機器に、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップと、
前記暗号通信ステップ及び前記第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を変更して前記第3の通信機器に中継するフィルタリングステップとを実行させ、
前記第3の通信機器に、
前記フィルタリングステップによって中継されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを実行させるための、プログラム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A program for causing the first communication device and a third communication device in the home network to exchange a method for exchanging a key for performing encryption processing on the packet,
In the first communication device,
An encryption communication step of performing encrypted communication with the second communication device using a shared key shared with the second communication device distributed from the third communication device;
The packet used for exchanging the shared key is selected from the packets transmitted by the encryption communication step and the second communication device, and the transfer destination of the selected packet is changed and relayed to the third communication device. Filtering step and
In the third communication device,
A key exchange agent step of performing a process of generating the shared key shared with the second communication device based on the packet relayed by the filtering step;
A program for executing a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
前記第1の通信機器に、
前記第3の通信機器から配布された前記第2の通信機器との間で共有する共有鍵を用いて、前記第2の通信機器との間で暗号通信を行う暗号通信ステップを実行させ、
前記第3の通信機器に、
前記第1および第2の通信機器によって送信されるパケットから、前記共有鍵の交換に用いるパケットを選択し、当該選択したパケットの転送先を第3の通信機器自身に変更するフィルタリングステップと、
前記フィルタリングステップによって転送先を変更されたパケットに基づいて、前記第2の通信機器との間で共有する前記共有鍵を生成する処理を行う鍵交換代行ステップと、
前記鍵交換代行ステップによって生成された前記共有鍵を、前記第1の通信機器に配布する鍵配布ステップとを実行させるための、プログラム。 A first communication device in the home network and a second communication device in another network are connected via a gateway, and are transmitted and received between the first communication device and the second communication device. A program for causing the first communication device and a third communication device in the home network to exchange a method for exchanging a key for performing encryption processing on the packet,
In the first communication device,
Using a shared key shared with the second communication device distributed from the third communication device to execute an encryption communication step of performing encrypted communication with the second communication device;
In the third communication device,
A filtering step of selecting a packet to be used for exchanging the shared key from packets transmitted by the first and second communication devices, and changing a transfer destination of the selected packet to the third communication device itself;
A key exchange proxy step of performing a process of generating the shared key shared with the second communication device based on the packet whose transfer destination has been changed by the filtering step;
A program for executing a key distribution step of distributing the shared key generated by the key exchange agent step to the first communication device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004216141A JP2006041726A (en) | 2004-07-23 | 2004-07-23 | Shared key replacing system, shared key replacing method and method program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004216141A JP2006041726A (en) | 2004-07-23 | 2004-07-23 | Shared key replacing system, shared key replacing method and method program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006041726A true JP2006041726A (en) | 2006-02-09 |
Family
ID=35906273
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004216141A Pending JP2006041726A (en) | 2004-07-23 | 2004-07-23 | Shared key replacing system, shared key replacing method and method program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006041726A (en) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007096751A (en) * | 2005-09-29 | 2007-04-12 | Ntt Data Corp | Password authentication key exchanging device, system, method, and computer program |
JP2010206773A (en) * | 2009-03-05 | 2010-09-16 | Korea Electronics Telecommun | Method and apparatus for providing security network robot services |
JP2011082952A (en) * | 2009-09-09 | 2011-04-21 | Sony Corp | Communication system, communication apparatus, communication method, and computer program |
JP2014115868A (en) * | 2012-12-11 | 2014-06-26 | Mitsubishi Electric Corp | Apparatus control system, network adapter, control terminal, and server |
JP2014147039A (en) * | 2013-01-30 | 2014-08-14 | Oki Electric Ind Co Ltd | Cryptocommunication device, proxy server, cryptocommunication system, cryptocommunication program and proxy server program |
US9000886B2 (en) | 2008-04-01 | 2015-04-07 | Micro Motion, Inc. | Method, computer program product, and system for preventing inadvertent configuration of electronic devices provided with infrared data association interfaces |
JP2015511434A (en) * | 2012-02-21 | 2015-04-16 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Network node with network-attached stateless security offload device |
JP2015142213A (en) * | 2014-01-28 | 2015-08-03 | パナソニックIpマネジメント株式会社 | Terminal apparatus |
JP2019509650A (en) * | 2015-12-17 | 2019-04-04 | フレゼニウス ヴィアル エスアーエスFresenius Vial SAS | Method and system for key distribution between a server and a medical device |
-
2004
- 2004-07-23 JP JP2004216141A patent/JP2006041726A/en active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007096751A (en) * | 2005-09-29 | 2007-04-12 | Ntt Data Corp | Password authentication key exchanging device, system, method, and computer program |
JP4757591B2 (en) * | 2005-09-29 | 2011-08-24 | 株式会社エヌ・ティ・ティ・データ | Password authentication key exchange apparatus, system, method, and computer program |
US9000886B2 (en) | 2008-04-01 | 2015-04-07 | Micro Motion, Inc. | Method, computer program product, and system for preventing inadvertent configuration of electronic devices provided with infrared data association interfaces |
JP2010206773A (en) * | 2009-03-05 | 2010-09-16 | Korea Electronics Telecommun | Method and apparatus for providing security network robot services |
JP2011082952A (en) * | 2009-09-09 | 2011-04-21 | Sony Corp | Communication system, communication apparatus, communication method, and computer program |
JP2015511434A (en) * | 2012-02-21 | 2015-04-16 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Network node with network-attached stateless security offload device |
JP2014115868A (en) * | 2012-12-11 | 2014-06-26 | Mitsubishi Electric Corp | Apparatus control system, network adapter, control terminal, and server |
JP2014147039A (en) * | 2013-01-30 | 2014-08-14 | Oki Electric Ind Co Ltd | Cryptocommunication device, proxy server, cryptocommunication system, cryptocommunication program and proxy server program |
JP2015142213A (en) * | 2014-01-28 | 2015-08-03 | パナソニックIpマネジメント株式会社 | Terminal apparatus |
JP2019509650A (en) * | 2015-12-17 | 2019-04-04 | フレゼニウス ヴィアル エスアーエスFresenius Vial SAS | Method and system for key distribution between a server and a medical device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9917812B2 (en) | Inline inspection of security protocols | |
JP5744172B2 (en) | Proxy SSL handoff via intermediate stream renegotiation | |
Ristic | Bulletproof SSL and TLS: Understanding and deploying SSL/TLS and PKI to secure servers and web applications | |
US9954678B2 (en) | Content-based transport security | |
US20040161110A1 (en) | Server apparatus, key management apparatus, and encrypted communication method | |
US20110239290A1 (en) | Secure sharing of transport layer security session keys with trusted enforcement points | |
CN105993146A (en) | Secure session capability using public-key cryptography without access to the private key | |
JPH10126405A (en) | Mobile computer device and packet cipher recognizing method | |
US9531679B2 (en) | Content-based transport security for distributed producers | |
Park et al. | Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake | |
JP2006121510A (en) | Encryption communications system | |
JP2007520797A (en) | System and method for managing proxy requests on a secure network using inherited security attributes | |
CN105429962B (en) | A kind of general go-between service construction method and system towards encryption data | |
Chien et al. | A MQTT-API-compatible IoT security-enhanced platform | |
Henze et al. | A trust point-based security architecture for sensor data in the cloud | |
WO2022084683A1 (en) | Method and apparatus for encrypted communication | |
US10158610B2 (en) | Secure application communication system | |
JP2006041726A (en) | Shared key replacing system, shared key replacing method and method program | |
JP2008288757A (en) | Method for transferring encrypted packet, repeater, its program, and communication system | |
CN113206815B (en) | Method for encryption and decryption, programmable switch and computer readable storage medium | |
JP4720576B2 (en) | Network security management system, encrypted communication remote monitoring method and communication terminal. | |
JP2007334753A (en) | Access management system and method | |
JP6527115B2 (en) | Device list creating system and device list creating method | |
Liu et al. | Building generic scalable middlebox services over encrypted protocols | |
JP2010272951A (en) | Method and server for managing distribution of shared key |