JP2001119394A - 暗号鍵配送方法 - Google Patents
暗号鍵配送方法Info
- Publication number
- JP2001119394A JP2001119394A JP29300799A JP29300799A JP2001119394A JP 2001119394 A JP2001119394 A JP 2001119394A JP 29300799 A JP29300799 A JP 29300799A JP 29300799 A JP29300799 A JP 29300799A JP 2001119394 A JP2001119394 A JP 2001119394A
- Authority
- JP
- Japan
- Prior art keywords
- key
- address
- encryption key
- destination
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】 (修正有)
【課題】 ネットワークを介して端末間で暗号通信する
際の暗号鍵の配送を、装置構成やシステム全体の状態管
理を複雑化せずに、容易に行えるようにする。 【解決手段】 送信側通信端末10からパス開設要求を
送信側アドレス管理サーバ12に送信しS1、送信側ア
ドレス管理サーバがパス開設要求に公開鍵を付加して宛
先側アドレス管理サーバ14に送信しS2、宛先側アド
レス管理サーバで暗号化に使用する鍵を生成しS3、そ
の鍵を確認要求に付加して宛先側通信端末16に送信す
るS4。宛先側通信端末では、確認応答を宛先側アドレ
ス管理サーバに送信しS5、宛先側アドレス管理サーバ
で暗号化に使用する鍵を公開鍵によって暗号化しS6、
暗号化された鍵をパス開設応答に付加して送信側アドレ
ス管理サーバに送信するS7。送信側アドレス管理サー
バは、暗号化された鍵を復号化しS8、復元された鍵を
パス開設応答に付加して送信側通信端末に送信するS
9。
際の暗号鍵の配送を、装置構成やシステム全体の状態管
理を複雑化せずに、容易に行えるようにする。 【解決手段】 送信側通信端末10からパス開設要求を
送信側アドレス管理サーバ12に送信しS1、送信側ア
ドレス管理サーバがパス開設要求に公開鍵を付加して宛
先側アドレス管理サーバ14に送信しS2、宛先側アド
レス管理サーバで暗号化に使用する鍵を生成しS3、そ
の鍵を確認要求に付加して宛先側通信端末16に送信す
るS4。宛先側通信端末では、確認応答を宛先側アドレ
ス管理サーバに送信しS5、宛先側アドレス管理サーバ
で暗号化に使用する鍵を公開鍵によって暗号化しS6、
暗号化された鍵をパス開設応答に付加して送信側アドレ
ス管理サーバに送信するS7。送信側アドレス管理サー
バは、暗号化された鍵を復号化しS8、復元された鍵を
パス開設応答に付加して送信側通信端末に送信するS
9。
Description
【0001】
【発明の属する技術分野】本発明は、暗号鍵配送方法に
係り、さらに詳しくは、ネットワークを介して複数の端
末間で通信を行う際に、通信データを各端末で暗号化し
たり復号化したりするのに必要な暗号鍵の配送を行う暗
号鍵配送方法に関する。
係り、さらに詳しくは、ネットワークを介して複数の端
末間で通信を行う際に、通信データを各端末で暗号化し
たり復号化したりするのに必要な暗号鍵の配送を行う暗
号鍵配送方法に関する。
【0002】
【従来の技術】従来より、ATM(Asynchronous Trans
fer Mode)ネットワーク、X.25あるいはフレーム・
リレーに代表されるNBMA(Non-Broadcast,Multi-Ac
cess)ネットワークなどでは、インターネット・プロト
コル(Internet Protocol:以下IP)を使用した通信
を行う際に、ネットワーク層アドレスからデータリンク
層アドレスへ変換するアドレス解決プロトコルとしてI
ETF(Internet Engineering Task Force )から発行
されるインターネット関係の公式標準文書RFC(Requ
est For Comments)2332において、NHRP(Next
Hop ResolutionProtocol)が規格化されている。例え
ば、図5は、グローバルネットワークを介して端末間で
通信を行う場合の従来の手順を説明する図である。図5
に示すように、送信側通信端末20と送信側アドレス管
理サーバ22、および、宛先側アドレス管理サーバ24
と宛先側通信端末26は、それぞれローカルネットワー
クで接続されていて、送信側アドレス管理サーバ22と
宛先側アドレス管理サーバ24同士は、インターネット
のように世界中に張り巡らされたグローバルネットワー
クを介して接続されているものとする。図5の送信側通
信端末20は、通信を行う前に宛先側通信端末26のア
ドレス情報を取得する必要がある。まず、送信側通信端
末20から送信側アドレス管理サーバ22へパス開設要
求5を送信すると(S11)、送信側アドレス管理サー
バ22は、宛先側アドレス管理サーバ24宛にパス開設
要求を送信する(S12)。宛先側アドレス管理サーバ
24は、宛先側通信端末26に対して確認要求を送信す
ると(S13)、宛先側通信端末26が確認応答を返す
ことにより(S14)宛先側通信端末26の存在を確認
することができる。宛先側アドレス管理サーバ24は、
そこでアドレスの割り当てを行ってアドレス解決を行う
(S15)。そして、上述した逆の経路をたどって、宛
先側アドレス管理サーバ24から送信側アドレス管理サ
ーバ22へパス開設応答を返し(S16)、送信側アド
レス管理サーバ22は送信側通信端末20へパス開設応
答が返送される(S17)。送信側通信端末20では、
これに基づいてパスの開設が行われる(S18)。従来
は、このような手順によりアドレス解決処理が行われて
いた。また、ネットワークを介して複数の端末間で通信
を行う際に、通信データを安全に伝送したり管理するた
めの情報セキュリティが要求されてきており、その情報
セキュリティの核として暗号技術がある。そこで、暗号
通信を行う場合は、送信側端末と宛先側端末で共通の暗
号鍵を共有する必要があることから(共通鍵暗号方式の
場合)、上述したアドレス解決プロトコルとは別に設計
されたプロトコルによって暗号鍵の配送が行われてい
た。さらに、上記以外にLAN(ローカルエリアネット
ワーク)などで暗号通信を行う際に必要となる暗号鍵
は、暗号通信に先立って手紙や電話等により予め配送す
るなど、通常のLANのプロトコルとは別に行われるこ
ともあった。
fer Mode)ネットワーク、X.25あるいはフレーム・
リレーに代表されるNBMA(Non-Broadcast,Multi-Ac
cess)ネットワークなどでは、インターネット・プロト
コル(Internet Protocol:以下IP)を使用した通信
を行う際に、ネットワーク層アドレスからデータリンク
層アドレスへ変換するアドレス解決プロトコルとしてI
ETF(Internet Engineering Task Force )から発行
されるインターネット関係の公式標準文書RFC(Requ
est For Comments)2332において、NHRP(Next
Hop ResolutionProtocol)が規格化されている。例え
ば、図5は、グローバルネットワークを介して端末間で
通信を行う場合の従来の手順を説明する図である。図5
に示すように、送信側通信端末20と送信側アドレス管
理サーバ22、および、宛先側アドレス管理サーバ24
と宛先側通信端末26は、それぞれローカルネットワー
クで接続されていて、送信側アドレス管理サーバ22と
宛先側アドレス管理サーバ24同士は、インターネット
のように世界中に張り巡らされたグローバルネットワー
クを介して接続されているものとする。図5の送信側通
信端末20は、通信を行う前に宛先側通信端末26のア
ドレス情報を取得する必要がある。まず、送信側通信端
末20から送信側アドレス管理サーバ22へパス開設要
求5を送信すると(S11)、送信側アドレス管理サー
バ22は、宛先側アドレス管理サーバ24宛にパス開設
要求を送信する(S12)。宛先側アドレス管理サーバ
24は、宛先側通信端末26に対して確認要求を送信す
ると(S13)、宛先側通信端末26が確認応答を返す
ことにより(S14)宛先側通信端末26の存在を確認
することができる。宛先側アドレス管理サーバ24は、
そこでアドレスの割り当てを行ってアドレス解決を行う
(S15)。そして、上述した逆の経路をたどって、宛
先側アドレス管理サーバ24から送信側アドレス管理サ
ーバ22へパス開設応答を返し(S16)、送信側アド
レス管理サーバ22は送信側通信端末20へパス開設応
答が返送される(S17)。送信側通信端末20では、
これに基づいてパスの開設が行われる(S18)。従来
は、このような手順によりアドレス解決処理が行われて
いた。また、ネットワークを介して複数の端末間で通信
を行う際に、通信データを安全に伝送したり管理するた
めの情報セキュリティが要求されてきており、その情報
セキュリティの核として暗号技術がある。そこで、暗号
通信を行う場合は、送信側端末と宛先側端末で共通の暗
号鍵を共有する必要があることから(共通鍵暗号方式の
場合)、上述したアドレス解決プロトコルとは別に設計
されたプロトコルによって暗号鍵の配送が行われてい
た。さらに、上記以外にLAN(ローカルエリアネット
ワーク)などで暗号通信を行う際に必要となる暗号鍵
は、暗号通信に先立って手紙や電話等により予め配送す
るなど、通常のLANのプロトコルとは別に行われるこ
ともあった。
【0003】
【発明が解決しようとする課題】しかしながら、このよ
うな従来の暗号鍵配送方法にあっては、暗号通信に用い
る暗号鍵の配送を通常のアドレス解決プロトコルとは別
に設計されたプロトコルを用いて行っていたため、複数
のプロトコルを同時に併用することから、それを実現す
るための装置構成やシステム全体の状態管理が複雑にな
ってしまい、システムの運用上問題となっていた。ま
た、暗号鍵の配送をプロトコル以外の別の方法を用いて
相手方に配送する場合、通常の通信動作とは別に行わな
くてはならないので、手間がかかり、面倒であった。本
発明は、上記課題を解決するためになされたものであっ
て、ネットワークを介して端末間で暗号通信を行う場合
の暗号鍵の配送を、アドレス解決プロトコル上で同一の
データフォーマットを用いて実行することにより、装置
構成やシステム全体の状態管理が複雑化すること無く、
暗号鍵を別に配送するという面倒な手続きも不要な暗号
鍵配送方法を提供することを目的としている。
うな従来の暗号鍵配送方法にあっては、暗号通信に用い
る暗号鍵の配送を通常のアドレス解決プロトコルとは別
に設計されたプロトコルを用いて行っていたため、複数
のプロトコルを同時に併用することから、それを実現す
るための装置構成やシステム全体の状態管理が複雑にな
ってしまい、システムの運用上問題となっていた。ま
た、暗号鍵の配送をプロトコル以外の別の方法を用いて
相手方に配送する場合、通常の通信動作とは別に行わな
くてはならないので、手間がかかり、面倒であった。本
発明は、上記課題を解決するためになされたものであっ
て、ネットワークを介して端末間で暗号通信を行う場合
の暗号鍵の配送を、アドレス解決プロトコル上で同一の
データフォーマットを用いて実行することにより、装置
構成やシステム全体の状態管理が複雑化すること無く、
暗号鍵を別に配送するという面倒な手続きも不要な暗号
鍵配送方法を提供することを目的としている。
【0004】
【課題を解決するための手段】上記課題を解決するため
に、請求項1に記載の発明は、ネットワークを介して複
数の端末間で通信を行う際に、通信データを各端末で暗
号化/復号化処理するための暗号鍵の配送を行う暗号鍵
配送方法において、前記ネットワーク内でルーティング
を行うアドレス解決プロトコルに前記暗号鍵を組み込ん
で、アドレス解決処理を行うと共に暗号鍵の配送を行う
ものである。これによれば、ネットワーク内でルーティ
ングを行うアドレス解決プロトコルに暗号鍵を組み込ん
で、アドレス解決処理と共に暗号鍵を配送するようにし
たため、暗号通信に必要な暗号鍵を配送する際に別のプ
ロトコルを用意する必要が無くなり、アドレス解決を行
うと同時に暗号鍵の配送が実行されるので、装置構成や
システム全体の状態管理が複雑化することなく、暗号鍵
を別に配送するという面倒な手続き等も不要となる。請
求項2に記載の発明は、請求項1に記載の暗号鍵配送方
法において、前記ネットワークがローカルエリアネット
ワークであって、前記アドレス解決プロトコルにより、
外部から伝送されてきたIPパケットの送り先アドレス
から目的の端末のMACアドレスを求める際に、相手端
末に対してMACアドレスの問い合わせを行う段階と、
その問い合わせを受けた該当端末が自分のMACアドレ
スを返答する際に、MACアドレスの伝送に用いるプロ
トコルとデータフォーマットを利用して前記端末間に暗
号鍵を配送する段階と、を含むものである。これによれ
ば、ローカルエリアネットワークを介して複数の端末間
で通信を行う際に、アドレス解決プロトコルにより伝送
されてきたIPパケットの送り先アドレスに基づいて目
的端末のMACアドレスを求める場合、全ての端末に対
してMACアドレスの問い合わせを行い、その問い合わ
せを受けた該当端末が自分のMACアドレスを返答する
際に、MACアドレスの伝送に用いるプロトコルとデー
タフォーマットとを使って共通の暗号鍵を配送するよう
にしたため、1つのアドレス解決プロトコルを実行する
だけで、アドレス解決と同時に暗号鍵を配送することが
可能となり、装置構成やシステム全体の状態管理を複雑
化することなく、面倒な手続き等も不要となる。
に、請求項1に記載の発明は、ネットワークを介して複
数の端末間で通信を行う際に、通信データを各端末で暗
号化/復号化処理するための暗号鍵の配送を行う暗号鍵
配送方法において、前記ネットワーク内でルーティング
を行うアドレス解決プロトコルに前記暗号鍵を組み込ん
で、アドレス解決処理を行うと共に暗号鍵の配送を行う
ものである。これによれば、ネットワーク内でルーティ
ングを行うアドレス解決プロトコルに暗号鍵を組み込ん
で、アドレス解決処理と共に暗号鍵を配送するようにし
たため、暗号通信に必要な暗号鍵を配送する際に別のプ
ロトコルを用意する必要が無くなり、アドレス解決を行
うと同時に暗号鍵の配送が実行されるので、装置構成や
システム全体の状態管理が複雑化することなく、暗号鍵
を別に配送するという面倒な手続き等も不要となる。請
求項2に記載の発明は、請求項1に記載の暗号鍵配送方
法において、前記ネットワークがローカルエリアネット
ワークであって、前記アドレス解決プロトコルにより、
外部から伝送されてきたIPパケットの送り先アドレス
から目的の端末のMACアドレスを求める際に、相手端
末に対してMACアドレスの問い合わせを行う段階と、
その問い合わせを受けた該当端末が自分のMACアドレ
スを返答する際に、MACアドレスの伝送に用いるプロ
トコルとデータフォーマットを利用して前記端末間に暗
号鍵を配送する段階と、を含むものである。これによれ
ば、ローカルエリアネットワークを介して複数の端末間
で通信を行う際に、アドレス解決プロトコルにより伝送
されてきたIPパケットの送り先アドレスに基づいて目
的端末のMACアドレスを求める場合、全ての端末に対
してMACアドレスの問い合わせを行い、その問い合わ
せを受けた該当端末が自分のMACアドレスを返答する
際に、MACアドレスの伝送に用いるプロトコルとデー
タフォーマットとを使って共通の暗号鍵を配送するよう
にしたため、1つのアドレス解決プロトコルを実行する
だけで、アドレス解決と同時に暗号鍵を配送することが
可能となり、装置構成やシステム全体の状態管理を複雑
化することなく、面倒な手続き等も不要となる。
【0005】請求項3に記載の発明は、請求項2に記載
の暗号鍵配送方法において、前記アドレス解決プロトコ
ルにより一度判明したMACアドレスを、対応するIP
アドレスと、同時に配送した暗号鍵と共にテーブル化
し、それ以降の通信時にアドレス解決を行う際に、送信
先端末のIPアドレスが前記テーブルにある場合は、対
応するMACアドレスと暗号鍵とを読み出して暗号通信
に用いるものである。これによれば、アドレス解決プロ
トコルによって判明したMACアドレスを、対応するI
Pアドレスと暗号鍵と共にテーブル化するようにしたた
め、それ以降の通信時にアドレス解決する際に、そのテ
ーブルに送信先端末のIPアドレスがある場合は、再度
アドレス解決処理を行う必要が無くなり、対応するMA
Cアドレスと暗号鍵とを読み出すだけで、容易かつ迅速
に暗号通信を開始することができる。請求項4に記載の
発明は、グローバルネットワークを介して複数の端末間
で通信を行う際に、通信データを各端末で暗号化/復号
化処理するための暗号鍵の配送を行う暗号鍵配送方法に
おいて、送信側端末から送信側サーバにパス開設要求を
送ると、そのパス開設要求に送信側サーバの公開鍵を付
加して宛先側サーバへ送信する段階と、前記宛先側サー
バは暗号化に使用する鍵を生成し、その鍵を確認要求に
付加して宛先側端末に送信する段階と、前記確認要求を
受信した宛先側端末は確認応答を宛先側サーバに送る
と、暗号化に使用する鍵を宛先側サーバにて前記公開鍵
で暗号化する段階と、前記宛先側サーバはその暗号化さ
れた鍵をパス開設応答に付加して送信側サーバに送り、
その送信側サーバにて暗号化された鍵を復号化する段階
と、送信側サーバは復号化された鍵をパス開設応答に付
加して送信側端末へ送信する段階と、を含むものであ
る。これによれば、グローバルネットワークを介して複
数の端末間で通信を行う際に、送信側端末から送信側サ
ーバにパス開設要求を送り、送信側サーバの公開鍵を付
加して宛先側サーバへ送信し、宛先側サーバで暗号化に
使用する鍵を生成して、その鍵を確認要求に付加して宛
先側端末に送信し、宛先側端末は確認要求を受信すると
確認応答を宛先側サーバに送って、宛先側サーバで暗号
化に使用する鍵を公開鍵で暗号化し、その暗号化された
鍵を宛先側サーバがパス開設応答に付加して送信側サー
バに送って、送信側サーバで暗号化された鍵を復号化
し、その復号化された鍵を送信側サーバがパス開設応答
に付加して送信側端末へ送信するようにする。このた
め、暗号鍵の配送をパス開設要求に対するパス開設応答
に付加して行うことから、1つの通信プロトコルを実行
することにより公開鍵暗号方式の鍵配送も同時に実行さ
れ、装置構成やシステム全体の状態管理を複雑化するこ
となく、面倒な手続き等も不要となる。
の暗号鍵配送方法において、前記アドレス解決プロトコ
ルにより一度判明したMACアドレスを、対応するIP
アドレスと、同時に配送した暗号鍵と共にテーブル化
し、それ以降の通信時にアドレス解決を行う際に、送信
先端末のIPアドレスが前記テーブルにある場合は、対
応するMACアドレスと暗号鍵とを読み出して暗号通信
に用いるものである。これによれば、アドレス解決プロ
トコルによって判明したMACアドレスを、対応するI
Pアドレスと暗号鍵と共にテーブル化するようにしたた
め、それ以降の通信時にアドレス解決する際に、そのテ
ーブルに送信先端末のIPアドレスがある場合は、再度
アドレス解決処理を行う必要が無くなり、対応するMA
Cアドレスと暗号鍵とを読み出すだけで、容易かつ迅速
に暗号通信を開始することができる。請求項4に記載の
発明は、グローバルネットワークを介して複数の端末間
で通信を行う際に、通信データを各端末で暗号化/復号
化処理するための暗号鍵の配送を行う暗号鍵配送方法に
おいて、送信側端末から送信側サーバにパス開設要求を
送ると、そのパス開設要求に送信側サーバの公開鍵を付
加して宛先側サーバへ送信する段階と、前記宛先側サー
バは暗号化に使用する鍵を生成し、その鍵を確認要求に
付加して宛先側端末に送信する段階と、前記確認要求を
受信した宛先側端末は確認応答を宛先側サーバに送る
と、暗号化に使用する鍵を宛先側サーバにて前記公開鍵
で暗号化する段階と、前記宛先側サーバはその暗号化さ
れた鍵をパス開設応答に付加して送信側サーバに送り、
その送信側サーバにて暗号化された鍵を復号化する段階
と、送信側サーバは復号化された鍵をパス開設応答に付
加して送信側端末へ送信する段階と、を含むものであ
る。これによれば、グローバルネットワークを介して複
数の端末間で通信を行う際に、送信側端末から送信側サ
ーバにパス開設要求を送り、送信側サーバの公開鍵を付
加して宛先側サーバへ送信し、宛先側サーバで暗号化に
使用する鍵を生成して、その鍵を確認要求に付加して宛
先側端末に送信し、宛先側端末は確認要求を受信すると
確認応答を宛先側サーバに送って、宛先側サーバで暗号
化に使用する鍵を公開鍵で暗号化し、その暗号化された
鍵を宛先側サーバがパス開設応答に付加して送信側サー
バに送って、送信側サーバで暗号化された鍵を復号化
し、その復号化された鍵を送信側サーバがパス開設応答
に付加して送信側端末へ送信するようにする。このた
め、暗号鍵の配送をパス開設要求に対するパス開設応答
に付加して行うことから、1つの通信プロトコルを実行
することにより公開鍵暗号方式の鍵配送も同時に実行さ
れ、装置構成やシステム全体の状態管理を複雑化するこ
となく、面倒な手続き等も不要となる。
【0006】
【発明の実施の形態】以下、本発明の実施の形態を図面
に基づいて詳細に説明する。 (実施の形態1)本実施の形態1では、ローカルエリア
ネットワーク(以下、LAN)を用いて端末間で通信す
る際に、共通鍵暗号方式による暗号鍵の配送をLANの
プロトコルを利用して行うものである。図1は、複数の
端末間を結ぶLAN11の一構成例を示す図である。こ
こでは、ノードn1に接続された送信側通信端末13と
ノードn2に接続された宛先側通信端末15との間で暗
号通信が行われる。まず、送信側通信端末13と宛先側
通信端末15との間で通信を開始するにあたって、アド
レス解決という処理が実行される。このプロトコルは、
アドレス解決プロトコル( Address Resolution Protoc
ol:ARP)と称され、端末からノードへIP(インタ
ーネット・プロトコル)パケットが伝送されると、その
IPパケットの送り先アドレス(Destination Addres
s)から宛先端末のMAC(メディア・アクセス・コン
トロール:媒体アクセス制御)アドレスを求める。MA
Cアドレスの求め方は、LAN11のブロードキャスト
機能を利用し、全ての端末に対して問い合わせを行っ
て、該当する端末が自分のMACアドレスを返答すると
いう手順で行われる。ここでMACとは、OSI参照モ
デルのデータリンク層の下位層を構成するもので、MA
Cアドレスは、イーサーネット(Ethernet)におけるデ
ータリンク層でのアドレスを意味している。このような
MACアドレスは、ネットワーク上に接続された端末や
機器同士で通信するのに必要であって、データリンク層
で動作する機器全てに割り振られ、端末や機器がそれぞ
れ固有のアドレスを持っている。
に基づいて詳細に説明する。 (実施の形態1)本実施の形態1では、ローカルエリア
ネットワーク(以下、LAN)を用いて端末間で通信す
る際に、共通鍵暗号方式による暗号鍵の配送をLANの
プロトコルを利用して行うものである。図1は、複数の
端末間を結ぶLAN11の一構成例を示す図である。こ
こでは、ノードn1に接続された送信側通信端末13と
ノードn2に接続された宛先側通信端末15との間で暗
号通信が行われる。まず、送信側通信端末13と宛先側
通信端末15との間で通信を開始するにあたって、アド
レス解決という処理が実行される。このプロトコルは、
アドレス解決プロトコル( Address Resolution Protoc
ol:ARP)と称され、端末からノードへIP(インタ
ーネット・プロトコル)パケットが伝送されると、その
IPパケットの送り先アドレス(Destination Addres
s)から宛先端末のMAC(メディア・アクセス・コン
トロール:媒体アクセス制御)アドレスを求める。MA
Cアドレスの求め方は、LAN11のブロードキャスト
機能を利用し、全ての端末に対して問い合わせを行っ
て、該当する端末が自分のMACアドレスを返答すると
いう手順で行われる。ここでMACとは、OSI参照モ
デルのデータリンク層の下位層を構成するもので、MA
Cアドレスは、イーサーネット(Ethernet)におけるデ
ータリンク層でのアドレスを意味している。このような
MACアドレスは、ネットワーク上に接続された端末や
機器同士で通信するのに必要であって、データリンク層
で動作する機器全てに割り振られ、端末や機器がそれぞ
れ固有のアドレスを持っている。
【0007】このLAN11において、MACアドレス
の問い合わせ元の機器がノードn1で、問い合わせ先の
機器がノードn2であって、送信側通信端末13と宛先
側通信端末15との間で共通鍵暗号方式による暗号通信
を実現するには、ノードn1とノードn2との間で暗号
鍵を共有することが必要となる。その暗号鍵の共有を実
現するため、アドレス解決においてMACアドレスを通
知する際に、それを伝送するプロトコルとデータフォー
マットとを利用して同時にノードn2からノードn1に
暗号鍵を配送するようにする。その際、暗号鍵を平文の
ままで配送することが危険な場合は、ノードn1はMA
Cアドレスの問い合わせを行う際に自分の公開鍵もブロ
ードキャストし、該当する端末はその公開鍵を用いて暗
号通信に用いる暗号鍵を暗号化して、MACアドレスを
返答するプロトコル上で同一のフォーマットを用いてノ
ードn1に配送する(公開鍵暗号方式の場合)。また、
図2は、ノードn2のIPアドレス、MACアドレス、
および配送された暗号鍵をノードn1でテーブル化した
例を示す図であり、次回以降のアドレス解決の処理にこ
のテーブルを利用することで、同一の宛先側通信端末と
の間で暗号通信を行う際の暗号鍵の配送処理が省略でき
ることから、より迅速な通信が実現できる。
の問い合わせ元の機器がノードn1で、問い合わせ先の
機器がノードn2であって、送信側通信端末13と宛先
側通信端末15との間で共通鍵暗号方式による暗号通信
を実現するには、ノードn1とノードn2との間で暗号
鍵を共有することが必要となる。その暗号鍵の共有を実
現するため、アドレス解決においてMACアドレスを通
知する際に、それを伝送するプロトコルとデータフォー
マットとを利用して同時にノードn2からノードn1に
暗号鍵を配送するようにする。その際、暗号鍵を平文の
ままで配送することが危険な場合は、ノードn1はMA
Cアドレスの問い合わせを行う際に自分の公開鍵もブロ
ードキャストし、該当する端末はその公開鍵を用いて暗
号通信に用いる暗号鍵を暗号化して、MACアドレスを
返答するプロトコル上で同一のフォーマットを用いてノ
ードn1に配送する(公開鍵暗号方式の場合)。また、
図2は、ノードn2のIPアドレス、MACアドレス、
および配送された暗号鍵をノードn1でテーブル化した
例を示す図であり、次回以降のアドレス解決の処理にこ
のテーブルを利用することで、同一の宛先側通信端末と
の間で暗号通信を行う際の暗号鍵の配送処理が省略でき
ることから、より迅速な通信が実現できる。
【0008】次に、動作を説明する。まず、アドレス解
決プロトコル(ARP)に基づいて、図1の送信側通信
端末13からノードn1に伝送されてきたIPパケット
のIPアドレスに対応したMACアドレスの問い合わせ
が行われる。その際、必要に応じて暗号鍵配送時に暗号
鍵を暗号化するのに利用するノードn1の公開鍵をブロ
ードキャストする。そして、MACアドレスの問い合わ
せに対して該当する宛先側通信端末15が接続されたノ
ードn2は、自分のMACアドレスを回答すると同時
に、ノードn1との暗号通信に用いる暗号鍵をMACア
ドレスを回答するプロトコルの同一のデータフォーマッ
ト上で配送するようにする。その際、暗号鍵を暗号化し
てノードn1に配送する場合は、ノードn1から知らせ
てきた公開鍵を用いて暗号化して配送する。ノードn1
は、自分の持っている秘密鍵を用いて暗号化した暗号鍵
を復号化し、暗号通信に用いる暗号鍵を得る。ノードn
1では、ノードn2よりMACアドレスと共に送られて
きた暗号鍵を用いて、IPパケットを暗号化してノード
n2へ送信する。これと同様にノードn2も同じ暗号鍵
を用いてIPパケットを暗号化して、ノードn1へ返信
する。このように、本実施の形態1によれば、アドレス
解決と同時にノードn1とノードn2との間で暗号鍵の
配布が行われ、暗号通信が実施することができる。ま
た、本実施の形態1によれば、上述したアドレス解決に
よって得られたMACアドレス、および暗号通信に用い
る暗号鍵は、図2に示すように、IPアドレスに対応す
るように、IPアドレス/MACアドレス/暗号鍵の関
係を記述する形式でテーブル化することにより、次回以
降にノードn1とノードn2との間で暗号通信を行う場
合は、IPアドレスに従って図2のテーブルからMAC
アドレスと暗号鍵を読み出すだけで容易に暗号通信を行
うことができる。
決プロトコル(ARP)に基づいて、図1の送信側通信
端末13からノードn1に伝送されてきたIPパケット
のIPアドレスに対応したMACアドレスの問い合わせ
が行われる。その際、必要に応じて暗号鍵配送時に暗号
鍵を暗号化するのに利用するノードn1の公開鍵をブロ
ードキャストする。そして、MACアドレスの問い合わ
せに対して該当する宛先側通信端末15が接続されたノ
ードn2は、自分のMACアドレスを回答すると同時
に、ノードn1との暗号通信に用いる暗号鍵をMACア
ドレスを回答するプロトコルの同一のデータフォーマッ
ト上で配送するようにする。その際、暗号鍵を暗号化し
てノードn1に配送する場合は、ノードn1から知らせ
てきた公開鍵を用いて暗号化して配送する。ノードn1
は、自分の持っている秘密鍵を用いて暗号化した暗号鍵
を復号化し、暗号通信に用いる暗号鍵を得る。ノードn
1では、ノードn2よりMACアドレスと共に送られて
きた暗号鍵を用いて、IPパケットを暗号化してノード
n2へ送信する。これと同様にノードn2も同じ暗号鍵
を用いてIPパケットを暗号化して、ノードn1へ返信
する。このように、本実施の形態1によれば、アドレス
解決と同時にノードn1とノードn2との間で暗号鍵の
配布が行われ、暗号通信が実施することができる。ま
た、本実施の形態1によれば、上述したアドレス解決に
よって得られたMACアドレス、および暗号通信に用い
る暗号鍵は、図2に示すように、IPアドレスに対応す
るように、IPアドレス/MACアドレス/暗号鍵の関
係を記述する形式でテーブル化することにより、次回以
降にノードn1とノードn2との間で暗号通信を行う場
合は、IPアドレスに従って図2のテーブルからMAC
アドレスと暗号鍵を読み出すだけで容易に暗号通信を行
うことができる。
【0009】(実施の形態2)本実施の形態2では、暗
号化に使用する鍵を送信側および宛先側以外の第3者に
決して知られないようにするため、その鍵をグローバル
ネットワーク領域において公開鍵暗号方式を用いて配送
するようにしたものである。図3は、本実施の形態2に
おける通信手順を説明する図である。図3において、送
信側通信端末10と送信側アドレス管理サーバ12、お
よび、宛先側アドレス管理サーバ14と宛先側通信端末
16は、それぞれローカルネットワークで接続されてお
り、送信側アドレス管理サーバ12と宛先側アドレス管
理サーバ14同士は、インターネットのように世界中に
張り巡らされたグローバルネットワークを介して接続さ
れている。図3には、説明を簡略化するために送信側通
信端末10と宛先側通信端末16の2つの通信端末しか
描かれていないが、実際には無数の端末が存在する。次
に、動作を説明する。まず、送信側通信端末10からパ
ス開設要求を送信側アドレス管理サーバ12に送信する
と(S1)、送信側アドレス管理サーバ12は、そのパ
ス開設要求に公開鍵を付加して宛先側アドレス管理サー
バ14に送信する(S2)。そして、宛先側アドレス管
理サーバ14は、暗号化に使用する鍵を生成して(S
3)、その鍵を確認要求に付加して宛先側通信端末16
に送信する(S4)。宛先側通信端末16では、受信し
た確認要求に対する確認応答を宛先側アドレス管理サー
バ14に送信する(S5)。宛先側アドレス管理サーバ
14は、上記S3で生成した暗号化に使用する鍵を送信
側アドレス管理サーバ12の公開鍵によって暗号化し
(S6)、その暗号化された鍵をパス開設応答に付加し
て送信側アドレス管理サーバ12に送信する(S7)。
送信側アドレス管理サーバ12は、前述の宛先側アドレ
ス管理サーバ14で暗号化された鍵を復号化し(S
8)、その復元された鍵をパス開設応答に付加して送信
側通信端末10に送信する(S9)。
号化に使用する鍵を送信側および宛先側以外の第3者に
決して知られないようにするため、その鍵をグローバル
ネットワーク領域において公開鍵暗号方式を用いて配送
するようにしたものである。図3は、本実施の形態2に
おける通信手順を説明する図である。図3において、送
信側通信端末10と送信側アドレス管理サーバ12、お
よび、宛先側アドレス管理サーバ14と宛先側通信端末
16は、それぞれローカルネットワークで接続されてお
り、送信側アドレス管理サーバ12と宛先側アドレス管
理サーバ14同士は、インターネットのように世界中に
張り巡らされたグローバルネットワークを介して接続さ
れている。図3には、説明を簡略化するために送信側通
信端末10と宛先側通信端末16の2つの通信端末しか
描かれていないが、実際には無数の端末が存在する。次
に、動作を説明する。まず、送信側通信端末10からパ
ス開設要求を送信側アドレス管理サーバ12に送信する
と(S1)、送信側アドレス管理サーバ12は、そのパ
ス開設要求に公開鍵を付加して宛先側アドレス管理サー
バ14に送信する(S2)。そして、宛先側アドレス管
理サーバ14は、暗号化に使用する鍵を生成して(S
3)、その鍵を確認要求に付加して宛先側通信端末16
に送信する(S4)。宛先側通信端末16では、受信し
た確認要求に対する確認応答を宛先側アドレス管理サー
バ14に送信する(S5)。宛先側アドレス管理サーバ
14は、上記S3で生成した暗号化に使用する鍵を送信
側アドレス管理サーバ12の公開鍵によって暗号化し
(S6)、その暗号化された鍵をパス開設応答に付加し
て送信側アドレス管理サーバ12に送信する(S7)。
送信側アドレス管理サーバ12は、前述の宛先側アドレ
ス管理サーバ14で暗号化された鍵を復号化し(S
8)、その復元された鍵をパス開設応答に付加して送信
側通信端末10に送信する(S9)。
【0010】図4は、入力IPパケットを出力IPパケ
ットに変換する際のフォーマット変換例を示す図であ
り、(a)は入力IPパケットの図、(b)は出力IP
パケットの図である。ここでは、図4(a)の入力IP
パケットのフレーム長から12(MACアドレスwor
ds数)を減算し、6(挿入するwords数)を加算
することで、図4(b)の出力IPパケットのフレーム
長を得るようにしている。このように、本実施の形態2
によれば、アドレス解決処理と同時に暗号鍵の配送を1
つのアドレス解決プロトコル(ARP)で用いて行うよ
うにしたため、これまでの装置構成やシステム全体の状
態管理を変更する必要が無くなり、別の手続きで暗号鍵
を配送するなどの手間も不要となる。なお、本実施の形
態2では、鍵を暗号化する手法として公開鍵暗号方式で
あれば良く、RSA、ラビン暗号方式、あるいは楕円暗
号方式など何れも適用することが可能である。また、本
実施の形態2では、通信端末間のend−to−end
の暗号化について説明したが、必ずしもその場合に限ら
れるものではなく、通信端末をルータ(ノード)等に置
き換えることによって、例えば、ルータ−ルータ間のリ
ンク暗号の場合などに適用するようにしても良い。さら
に、本実施の形態2では、実施の形態1の図2で説明し
たのと同様に、配送された暗号鍵を宛先端末に対応させ
てテーブル化しても良く、再度同じ宛先端末と暗号通信
する場合の暗号鍵の配送に関して省力化することができ
る。
ットに変換する際のフォーマット変換例を示す図であ
り、(a)は入力IPパケットの図、(b)は出力IP
パケットの図である。ここでは、図4(a)の入力IP
パケットのフレーム長から12(MACアドレスwor
ds数)を減算し、6(挿入するwords数)を加算
することで、図4(b)の出力IPパケットのフレーム
長を得るようにしている。このように、本実施の形態2
によれば、アドレス解決処理と同時に暗号鍵の配送を1
つのアドレス解決プロトコル(ARP)で用いて行うよ
うにしたため、これまでの装置構成やシステム全体の状
態管理を変更する必要が無くなり、別の手続きで暗号鍵
を配送するなどの手間も不要となる。なお、本実施の形
態2では、鍵を暗号化する手法として公開鍵暗号方式で
あれば良く、RSA、ラビン暗号方式、あるいは楕円暗
号方式など何れも適用することが可能である。また、本
実施の形態2では、通信端末間のend−to−end
の暗号化について説明したが、必ずしもその場合に限ら
れるものではなく、通信端末をルータ(ノード)等に置
き換えることによって、例えば、ルータ−ルータ間のリ
ンク暗号の場合などに適用するようにしても良い。さら
に、本実施の形態2では、実施の形態1の図2で説明し
たのと同様に、配送された暗号鍵を宛先端末に対応させ
てテーブル化しても良く、再度同じ宛先端末と暗号通信
する場合の暗号鍵の配送に関して省力化することができ
る。
【0011】
【発明の効果】以上説明したように、請求項1に記載の
発明によれば、暗号通信に必要な暗号鍵を配送する際に
別のプロトコルを用意する必要が無くなって、アドレス
解決を行うと同時に暗号鍵が配送されるので、装置構成
やシステム全体の状態管理が複雑化することなく、暗号
鍵を別に配送するという面倒な手続き等も不要となる。
請求項2に記載の発明によれば、1つのアドレス解決プ
ロトコルを実行するだけで、アドレス解決と同時に暗号
鍵を配送することができるので、装置構成やシステム全
体の状態管理を複雑化することなく、面倒な手続き等も
不要となる。請求項3に記載の発明によれば、アドレス
解決と暗号鍵配送によって判明したMACアドレスとI
Pアドレスと暗号鍵とを関連付けてテーブル化するの
で、それ以降同じ送信先端末との間で暗号通信を行う際
に、暗号鍵の配送に係る手間が省け、容易かつ迅速に暗
号通信を開始することができる。請求項4に記載の発明
によれば、暗号鍵の配送をパス開設要求に対するパス開
設応答に付加して行うので、1つのプロトコル制御だけ
で公開鍵暗号方式の鍵配送をも同時に実行することがで
き、装置構成やシステム全体の状態管理を複雑化させる
こと無く、面倒な手続き等も不要となる。
発明によれば、暗号通信に必要な暗号鍵を配送する際に
別のプロトコルを用意する必要が無くなって、アドレス
解決を行うと同時に暗号鍵が配送されるので、装置構成
やシステム全体の状態管理が複雑化することなく、暗号
鍵を別に配送するという面倒な手続き等も不要となる。
請求項2に記載の発明によれば、1つのアドレス解決プ
ロトコルを実行するだけで、アドレス解決と同時に暗号
鍵を配送することができるので、装置構成やシステム全
体の状態管理を複雑化することなく、面倒な手続き等も
不要となる。請求項3に記載の発明によれば、アドレス
解決と暗号鍵配送によって判明したMACアドレスとI
Pアドレスと暗号鍵とを関連付けてテーブル化するの
で、それ以降同じ送信先端末との間で暗号通信を行う際
に、暗号鍵の配送に係る手間が省け、容易かつ迅速に暗
号通信を開始することができる。請求項4に記載の発明
によれば、暗号鍵の配送をパス開設要求に対するパス開
設応答に付加して行うので、1つのプロトコル制御だけ
で公開鍵暗号方式の鍵配送をも同時に実行することがで
き、装置構成やシステム全体の状態管理を複雑化させる
こと無く、面倒な手続き等も不要となる。
【図1】複数の端末間を結ぶLANの一構成例を示す図
である。
である。
【図2】ノードn2のIPアドレス、MACアドレス、
および配送された暗号鍵をノードn1でテーブル化した
例を示す図である。
および配送された暗号鍵をノードn1でテーブル化した
例を示す図である。
【図3】本実施の形態2における通信手順を説明する図
である。
である。
【図4】入力IPパケットを出力IPパケットに変換す
る際のフォーマット変換例を示す図であり、(a)は入
力IPパケットの図、(b)は出力IPパケットの図で
ある。
る際のフォーマット変換例を示す図であり、(a)は入
力IPパケットの図、(b)は出力IPパケットの図で
ある。
【図5】グローバルネットワークを介して端末間で通信
を行う場合の従来の手順を説明する図である。
を行う場合の従来の手順を説明する図である。
10 送信側通信端末、 11 ローカルエリアネットワーク(LAN)、 12 送信側アドレス管理サーバ、 13 送信側通信端末、 14 宛先側アドレス管理サーバ、 15 宛先側通信端末、 16 宛先側通信端末。
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5J104 AA01 AA16 EA01 EA04 EA19 NA02 PA07 5K030 GA15 HA08 HC01 HC14 HD03 HD10 JT02 KA01 KA05 KA07 LD19 5K033 AA08 CB08 DA05 DB12 DB14 DB16 DB19 EA07 EC03 9A001 CC06 CC08 EE03 LL03
Claims (4)
- 【請求項1】 ネットワークを介して複数の端末間で通
信を行う際に、通信データを各端末で暗号化/復号化処
理するための暗号鍵の配送を行う暗号鍵配送方法におい
て、 前記ネットワーク内でルーティングを行うアドレス解決
プロトコルに前記暗号鍵を組み込んで、アドレス解決処
理を行うと共に暗号鍵の配送も行うことを特徴とする暗
号鍵配送方法。 - 【請求項2】 前記ネットワークがローカルエリアネッ
トワークであって、 前記アドレス解決プロトコルにより、外部から伝送され
てきたIPパケットの送り先アドレスから目的の端末の
MACアドレスを求める際に、相手端末に対してMAC
アドレスの問い合わせを行う段階と、 その問い合わせを受けた該当端末が自分のMACアドレ
スを返答する際に、MACアドレスの伝送に用いるプロ
トコルとデータフォーマットを利用して前記端末間に暗
号鍵を配送する段階と、 を含むことを特徴とする請求項1に記載の暗号鍵配送方
法。 - 【請求項3】 前記アドレス解決プロトコルにより一度
判明したMACアドレスを、対応するIPアドレスと、
同時に配送した暗号鍵と共にテーブル化し、 それ以降の通信時にアドレス解決を行う際に、送信先端
末のIPアドレスが前記テーブルにある場合は、対応す
るMACアドレスと暗号鍵とを読み出して暗号通信に用
いることを特徴とする請求項2に記載の暗号鍵配送方
法。 - 【請求項4】 グローバルネットワークを介して複数の
端末間で通信を行う際に、通信データを各端末で暗号化
/復号化処理するための暗号鍵の配送を行う暗号鍵配送
方法において、 送信側端末から送信側サーバにパス開設要求を送ると、
そのパス開設要求に送信側サーバの公開鍵を付加して宛
先側サーバへ送信する段階と、 前記宛先側サーバは暗号化に使用する鍵を生成し、その
鍵を確認要求に付加して宛先側端末に送信する段階と、 前記確認要求を受信した宛先側端末は確認応答を宛先側
サーバに送ると、暗号化に使用する鍵を宛先側サーバに
て前記公開鍵で暗号化する段階と、 前記宛先側サーバはその暗号化された鍵をパス開設応答
に付加して送信側サーバに送り、その送信側サーバにて
暗号化された鍵を復号化する段階と、 送信側サーバは復号化された鍵をパス開設応答に付加し
て送信側端末へ送信する段階と、 を含むことを特徴とする暗号鍵配送方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP29300799A JP2001119394A (ja) | 1999-10-14 | 1999-10-14 | 暗号鍵配送方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP29300799A JP2001119394A (ja) | 1999-10-14 | 1999-10-14 | 暗号鍵配送方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001119394A true JP2001119394A (ja) | 2001-04-27 |
Family
ID=17789280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP29300799A Withdrawn JP2001119394A (ja) | 1999-10-14 | 1999-10-14 | 暗号鍵配送方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001119394A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014125572A1 (ja) * | 2013-02-13 | 2014-08-21 | 株式会社日立製作所 | 共通鍵共有システム及びその方法 |
-
1999
- 1999-10-14 JP JP29300799A patent/JP2001119394A/ja not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014125572A1 (ja) * | 2013-02-13 | 2014-08-21 | 株式会社日立製作所 | 共通鍵共有システム及びその方法 |
| JP5836534B2 (ja) * | 2013-02-13 | 2015-12-24 | 株式会社日立製作所 | 共通鍵共有システム及びその方法 |
| JPWO2014125572A1 (ja) * | 2013-02-13 | 2017-02-02 | 株式会社日立製作所 | 共通鍵共有システム及びその方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7587591B2 (en) | Secure transport of multicast traffic | |
| US5548646A (en) | System for signatureless transmission and reception of data packets between computer networks | |
| EP1304830B1 (en) | Virtual private network management | |
| US5604807A (en) | System and scheme of cipher communication | |
| US7774837B2 (en) | Securing network traffic by distributing policies in a hierarchy over secure tunnels | |
| US5588060A (en) | Method and apparatus for a key-management scheme for internet protocols | |
| US7509491B1 (en) | System and method for dynamic secured group communication | |
| FI118619B (fi) | Menetelmä ja järjestelmä tiedon salaamiseksi ja tallentamiseksi | |
| EP1490995B1 (en) | End-to-end protection of media stream encryption keys for voice-over-IP systems | |
| EP0693836A1 (en) | Method and apparatus for a key-management scheme for internet protocols. | |
| US8117273B1 (en) | System, device and method for dynamically securing instant messages | |
| EP1374533B1 (en) | Facilitating legal interception of ip connections | |
| US6725276B1 (en) | Apparatus and method for authenticating messages transmitted across different multicast domains | |
| JP2005536961A (ja) | 公衆ネットワークにおけるデバイスと内部ネットワークにおけるデバイスとの間でデータを送信するための方法、ゲートウェイ及びシステム | |
| US20030037235A1 (en) | System for signatureless transmission and reception of data packets between computer networks | |
| CN102905199A (zh) | 一种组播业务实现方法及其设备 | |
| EP1135888B1 (en) | Apparatus and method for limiting unauthorized access to a network multicast | |
| US20060143701A1 (en) | Techniques for authenticating network protocol control messages while changing authentication secrets | |
| EP1068711A1 (en) | Ip key management mechanism with divergence barrier increasing entropy against computational crypto-analyses | |
| JPH07170280A (ja) | ローカルエリアネットワーク | |
| WO2002039657A1 (en) | A method for secure packet-based communication between two units via an intermedia unit | |
| JP2001119394A (ja) | 暗号鍵配送方法 | |
| EP1615402A2 (en) | Identification and authentication system and method for a secure data exchange | |
| Jadhav et al. | Secure key establishment for bundle security protocol of space DTNs in noninteractive manner | |
| JP2001320359A (ja) | 暗号通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061011 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20071225 |