JP2001344206A - Security diagnosis system and its method - Google Patents
Security diagnosis system and its methodInfo
- Publication number
- JP2001344206A JP2001344206A JP2000162096A JP2000162096A JP2001344206A JP 2001344206 A JP2001344206 A JP 2001344206A JP 2000162096 A JP2000162096 A JP 2000162096A JP 2000162096 A JP2000162096 A JP 2000162096A JP 2001344206 A JP2001344206 A JP 2001344206A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- diagnostic
- information
- communication
- communication line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Monitoring And Testing Of Transmission In General (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、セキュリティ診断
システムおよび方法に関し、特に構内LAN等のコンピ
ュータネットワークシステムに対するセキュリティ強度
評価を定期的もしくはリアルタイムでインフラを介して
実施するセキュリティ診断システムおよび方法に関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security diagnosis system and method, and more particularly, to a security diagnosis system and method for periodically or in real time evaluating security strength of a computer network system such as a private LAN via an infrastructure.
【0002】[0002]
【従来の技術】従来、コンピュータネットワークシステ
ムに対するセキュリティ診断のための診断手順のプログ
ラムまたは診断結果のデータ(以下、「診断情報」とい
う)をインフラ回線等の通信回線を介して通信する場
合、このインフラ回線における診断情報のセキュリティ
保護に対しては具体的な対策が何も施されていなかっ
た。2. Description of the Related Art Conventionally, when a program of a diagnostic procedure or data of a diagnostic result (hereinafter referred to as "diagnosis information") for a security diagnosis for a computer network system is communicated via a communication line such as an infrastructure line, the infrastructure No specific measures were taken to protect the security of the diagnostic information on the line.
【0003】従来の方法においては、セキュリティ診断
を行う診断装置とセキュリティ診断の対象となる被診断
装置とはインフラ回線等を介して直接接続されていた。
この結果、最も第三者から通信傍受される可能性が高い
と考えられるインフラ回線上をセキュリティ面で最も重
要と考えられる診断情報が生データのまま伝送されてい
たため、セキュリティ診断を実施することにより却って
本来保全されるべき診断情報を傍受されてしまい、セキ
ュリティ強度を弱めることになりかねないという問題が
あった。In the conventional method, a diagnostic device for performing a security diagnosis and a device to be diagnosed as a target of the security diagnosis are directly connected via an infrastructure line or the like.
As a result, diagnostic information considered to be the most important in terms of security was transmitted as raw data over infrastructure lines that are most likely to be intercepted by third parties. On the contrary, there has been a problem that the diagnostic information that should be preserved is intercepted, which may weaken the security strength.
【0004】[0004]
【発明が解決しようとする課題】そこで、本発明の目的
は、上記問題を解決するためになされたものであり、イ
ンフラ回線上に診断情報を生データのまま伝送せず、診
断情報が傍受されることを防止し、セキュリティ強度診
断を実施することにより却ってセキュリティ強度を弱め
ることを防止することができるセキュリティ診断システ
ムおよび方法を提供することにある。SUMMARY OF THE INVENTION Therefore, an object of the present invention is to solve the above-mentioned problem. The diagnostic information is not transmitted as raw data on an infrastructure line, but the diagnostic information is intercepted. An object of the present invention is to provide a security diagnosis system and method capable of preventing the security strength from being weakened by performing security strength diagnosis.
【0005】[0005]
【課題を解決するための手段】この発明のセキュリティ
診断システムは、セキュリティを診断される被診断装置
と、該被診断装置のセキュリティを通信回線を介して所
定の期間毎に診断する診断装置とを有するセキュリティ
診断システムであって、該セキュリティ診断システム
は、該診断装置と該通信回線との間に接続された第1の
通信装置と、該被診断装置と該通信回線との間に接続さ
れた第2の通信装置とを有しており、前記第1の通信装
置は、前記診断装置と接続され、該診断装置からセキュ
リティ診断の手順を示す診断手順情報が送られたことを
検知した場合、該検知を示す検知情報を出力する対診断
装置インタフェース部と、前記対診断装置インタフェー
ス部と接続され、該対診断装置インタフェース部から前
記検知情報を入力した場合、前記第2の通信装置と暗号
化された通信を行う前の暗号化同期の確立に用いられる
同期信号を出力する第1のタイミング制御部と、前記対
診断装置インタフェース部と前記第1のタイミング制御
部とに接続され、前記暗号化同期が確立した場合、前記
対診断装置インタフェース部から前記診断手順情報を入
力して所定の暗号化を施した暗号化情報を出力する第1
の暗号部と、前記第1のタイミング制御部と前記第1の
暗号部とに接続され、前記第1のタイミング制御部から
出力された同期信号を前記通信回線を介して前記第2の
通信装置へ送り、前記暗号化同期が確立した場合、前記
第1の暗号部から出力された前記暗号化情報を前記通信
回線を介して前記第2の通信装置へ送る第1の対通信回
線インタフェース部とを備え、前記第2の通信装置は、
前記第1の対通信回線インタフェース部と前記通信回線
を介して接続され、前記第1の対通信回線インタフェー
ス部から送られた前記同期信号を入力した場合に該同期
信号を入力したことを示す同期情報を出力し、前記暗号
化同期が確立した場合に前記第1の対通信回線インタフ
ェース部から送られた前記暗号化情報を入力する第2の
対通信回線インタフェース部と、前記第2の対通信回線
インタフェース部と接続され、前記第2の対通信回線イ
ンタフェース部から前記同期情報を入力した場合、前記
第1の通信装置に応答することにより前記第1の通信装
置と前記第2の通信装置との間で暗号化同期の確立を行
う第2のタイミング制御部と、前記第2の対通信回線イ
ンタフェース部と前記第2のタイミング制御部とに接続
され、前記暗号化同期が確立した場合、前記第2の対通
信回線インタフェース部から前記暗号化情報を入力して
所定の復号化を施すことにより得られた前記診断手順情
報を出力する第2の暗号部と、前記第2のタイミング制
御部と前記第2の暗号部とに接続され、前記暗号化同期
が確立した場合、前記第2の暗号部から出力された前記
診断手順情報を被診断装置へ送る対被診断装置インタフ
ェース部とを備えたものである。A security diagnosis system according to the present invention comprises a device to be diagnosed whose security is to be diagnosed and a diagnostic device which diagnoses the security of the device to be diagnosed at predetermined intervals via a communication line. A security diagnosis system having a first communication device connected between the diagnosis device and the communication line, and a first communication device connected between the diagnosis target device and the communication line. A second communication device, wherein the first communication device is connected to the diagnostic device, and when detecting that diagnostic procedure information indicating a security diagnostic procedure is transmitted from the diagnostic device, A diagnostic device interface unit that outputs detection information indicating the detection, and the diagnostic device interface unit is connected to the diagnostic device interface unit, and receives the detection information from the diagnostic device interface unit. A first timing control unit that outputs a synchronization signal used to establish encryption synchronization before performing encrypted communication with the second communication device; a diagnostic device interface unit; and a first timing control unit. A first control unit connected to a timing control unit for inputting the diagnostic procedure information from the diagnostic device interface unit and outputting predetermined encrypted information when the encryption synchronization is established;
And the second communication device connected to the first timing control unit and the first encryption unit, and outputting a synchronization signal output from the first timing control unit via the communication line. And when the encryption synchronization is established, a first communication line interface unit for transmitting the encryption information output from the first encryption unit to the second communication device via the communication line. Wherein the second communication device comprises:
Synchronization, which is connected to the first communication line interface unit via the communication line and indicates that the synchronization signal has been input when the synchronization signal sent from the first communication line interface unit is input. A second communication line interface unit for outputting information and inputting the encrypted information sent from the first communication line interface unit when the encryption synchronization is established; and the second pair communication. When the synchronization information is input from the second communication line interface unit, the first communication device and the second communication device are connected to each other by responding to the first communication device. A second timing control unit for establishing encryption synchronization between the second communication line interface unit and the second timing control unit; A second encryption unit that outputs the diagnostic procedure information obtained by inputting the encryption information from the second communication line interface unit and performing a predetermined decryption when the period is established; A diagnosis target connected to a second timing control unit and the second encryption unit and transmitting the diagnostic procedure information output from the second encryption unit to the device to be diagnosed when the encryption synchronization is established. And a device interface unit.
【0006】この発明のセキュリティ診断システムは、
セキュリティを診断される被診断装置と、該被診断装置
のセキュリティを通信回線を介して実時間で診断する診
断装置とを有するセキュリティ診断システムであって、
該セキュリティ診断システムは、該診断装置と該通信回
線との間に接続された第1の通信装置と、該被診断装置
と該通信回線との間に接続された第2の通信装置とを有
しており、前記第1の通信装置は、前記診断装置と接続
され、該診断装置からセキュリティ診断の手順を示す診
断手順情報が送られたことを検知した場合、該検知を示
す検知情報を出力する対診断装置インタフェース部と、
前記対診断装置インタフェース部と接続され、該対診断
装置インタフェース部から前記検知情報を入力した場
合、前記第2の通信装置と暗号化された通信を行う前の
暗号化同期の確立に用いられる同期信号を出力する第1
のタイミング制御部と、前記対診断装置インタフェース
部と前記第1のタイミング制御部とに接続され、前記暗
号化同期が確立した場合、前記対診断装置インタフェー
ス部から前記診断手順情報を入力して所定の暗号化を施
した暗号化情報を出力する第1の暗号部と、前記第1の
タイミング制御部と前記第1の暗号部とに接続され、前
記第1のタイミング制御部から出力された同期信号を前
記通信回線を介して前記第2の通信装置へ送り、前記暗
号化同期が確立した場合、前記第1の暗号部から出力さ
れた前記暗号化情報を前記通信回線を介して前記第2の
通信装置へ送る第1の対通信回線インタフェース部とを
備え、前記第2の通信装置は、前記第1の対通信回線イ
ンタフェース部と前記通信回線を介して接続され、前記
第1の対通信回線インタフェース部から送られた前記同
期信号を入力した場合に該同期信号を入力したことを示
す同期情報を出力し、前記暗号化同期が確立した場合に
前記第1の対通信回線インタフェース部から送られた前
記暗号化情報を入力する第2の対通信回線インタフェー
ス部と、前記第2の対通信回線インタフェース部と接続
され、前記第2の対通信回線インタフェース部から前記
同期情報を入力した場合、前記第1の通信装置に応答す
ることにより前記第1の通信装置と前記第2の通信装置
との間で暗号化同期の確立を行う第2のタイミング制御
部と、前記第2の対通信回線インタフェース部と前記第
2のタイミング制御部とに接続され、前記暗号化同期が
確立した場合、前記第2の対通信回線インタフェース部
から前記暗号化情報を入力して所定の復号化を施すこと
により得られた前記診断手順情報を出力する第2の暗号
部と、前記第2のタイミング制御部と前記第2の暗号部
と接続され、前記暗号化同期が確立した場合、前記第2
の暗号部から出力された前記診断手順情報を被診断装置
へ送る対被診断装置インタフェース部とを備えたもので
ある。[0006] The security diagnosis system of the present invention comprises:
A security diagnostic system comprising: a device to be diagnosed for security; and a diagnostic device for diagnosing the security of the device to be diagnosed in real time via a communication line,
The security diagnosis system has a first communication device connected between the diagnosis device and the communication line, and a second communication device connected between the device to be diagnosed and the communication line. When the first communication device is connected to the diagnostic device and detects that diagnostic procedure information indicating a security diagnosis procedure has been sent from the diagnostic device, the first communication device outputs detection information indicating the detection. A diagnostic device interface unit for
When the detection information is input from the diagnostic device interface unit and connected to the diagnostic device interface unit, the synchronization used to establish encryption synchronization before performing encrypted communication with the second communication device. First signal output
The timing control unit, the diagnostic device interface unit, and the first timing control unit are connected to each other, and when the encryption synchronization is established, the diagnostic procedure information is input from the diagnostic device interface unit to a predetermined value. A first encryption unit that outputs encrypted information that has been subjected to the encryption described above, and a synchronization unit that is connected to the first timing control unit and the first encryption unit and that is output from the first timing control unit. A signal is sent to the second communication device via the communication line, and when the encryption synchronization is established, the encrypted information output from the first encryption unit is transmitted to the second communication device via the communication line. A first communication line interface unit for sending to the first communication device, the second communication device being connected to the first communication line interface unit via the communication line, Line When the synchronization signal sent from the interface unit is input, synchronization information indicating that the synchronization signal is input is output. When the encryption synchronization is established, the synchronization information is sent from the first communication line interface unit. A second communication line interface unit for inputting the encrypted information, and the second communication line interface unit is connected to the second communication line interface unit, and when the synchronization information is input from the second communication line interface unit, A second timing control unit that establishes encryption synchronization between the first communication device and the second communication device by responding to a first communication device; and the second communication line interface. And when the encryption synchronization is established, the encryption information is input from the second communication line interface unit and a predetermined A second encryption unit that outputs the diagnostic procedure information obtained by performing the decryption, the second timing control unit and the second encryption unit are connected to each other, and when the encryption synchronization is established, The second
And a diagnostic device interface unit for transmitting the diagnostic procedure information output from the encryption unit to the diagnostic device.
【0007】この発明のセキュリティ診断システムにお
いて、前記暗号化同期が確立した場合、前記第1の通信
装置において、前記第1の暗号部は、前記対診断装置イ
ンタフェース部から入力した前記診断手順情報に暗号化
を施さずに出力し、前記第1の対通信回線インタフェー
ス部は、前記第1の暗号部が出力した前記診断手順情報
を前記通信回線を介して前記第2の通信装置へ送るもの
であり、前記第2の通信装置において、前記第2の対通
信回線インタフェース部は、前記第1の対通信回線イン
タフェース部から送られた前記診断手順情報を入力し、
該診断手順情報を入力して復号化を施さずに出力するも
のであり、前記被診断装置からセキュリティ診断の診断
結果を示す診断結果情報が送られた場合、前記第2の通
信装置において、前記対被診断装置インタフェース部は
該診断結果情報を前記第2の暗号部へ出力し、前記第2
の暗号部は該診断結果情報を入力して所定の暗号化を施
した診断結果の暗号化情報を出力し、前記第2の対通信
回線インタフェース部は前記第2の暗号部から該診断結
果の暗号化情報を入力して前記通信回線を介して前記第
1の対通信回線インタフェース部へ送るものであり、前
記第1の通信装置において、前記第1の対通信回線イン
タフェース部は前記通信回線を介して送られた前記診断
結果の暗号化情報を入力し、前記第1の暗号部は前記第
1の対通信回線インタフェース部から該診断結果の暗号
化情報を入力して所定の復号化を施すことにより得られ
た前記診断結果情報を出力し、前記対診断装置インタフ
ェース部は前記第1の暗号部から前記診断結果情報を入
力して前記診断装置へ出力することができるものであ
る。In the security diagnosis system according to the present invention, when the encryption synchronization is established, in the first communication device, the first encryption unit transmits the diagnosis procedure information input from the diagnosis device interface unit. The first communication line interface unit outputs the diagnostic procedure information output by the first encryption unit to the second communication device via the communication line. In the second communication device, the second communication line interface unit inputs the diagnostic procedure information sent from the first communication line interface unit,
The diagnostic procedure information is input and output without performing decoding, and when diagnostic result information indicating a diagnostic result of security diagnosis is transmitted from the device to be diagnosed, the second communication device includes: The diagnostic device interface unit outputs the diagnostic result information to the second encryption unit,
The cryptographic unit of the present invention inputs the diagnostic result information and outputs encrypted information of the diagnostic result obtained by performing predetermined encryption, and the second communication line interface unit transmits the diagnostic result of the diagnostic result from the second cryptographic unit. Inputting the encryption information and sending it to the first paired communication line interface unit via the communication line, wherein in the first communication device, the first paired communication line interface unit sets the communication line The first encryption unit inputs the encryption information of the diagnosis result transmitted from the first communication line interface unit and performs predetermined decryption by inputting the encryption information of the diagnosis result transmitted from the first communication line interface unit. The diagnostic result information obtained as described above is output, and the diagnostic device interface unit can input the diagnostic result information from the first encryption unit and output the diagnostic result information to the diagnostic device.
【0008】この発明のセキュリティ診断システムにお
いて、前記被診断装置からセキュリティ診断の診断結果
を示す診断結果情報が送られた場合、前記第2の通信装
置において、前記対被診断装置インタフェース部は該診
断結果情報を前記第2の暗号部へ出力し、前記第2の暗
号部は該診断結果情報を入力して所定の暗号化を施した
診断結果の暗号化情報を出力し、前記第2の対通信回線
インタフェース部は前記第2の暗号部から該診断結果の
暗号化情報を入力して前記通信回線を介して前記第1の
対通信回線インタフェース部へ送るものであり、前記第
1の通信装置において、前記第1の対通信回線インタフ
ェース部は前記通信回線を介して送られた前記診断結果
の暗号化情報を入力し、前記第1の暗号部は前記第1の
対通信回線インタフェース部から該診断結果の暗号化情
報を入力して所定の復号化を施すことにより得られた前
記診断結果情報を出力し、前記対診断装置インタフェー
ス部は前記第1の暗号部から前記診断結果情報を入力し
て前記診断装置へ出力することができるものである。In the security diagnosis system according to the present invention, when diagnosis result information indicating a diagnosis result of the security diagnosis is transmitted from the device to be diagnosed, the interface unit for the device to be diagnosed in the second communication device includes the diagnosis device. And outputting the result information to the second encryption unit. The second encryption unit inputs the diagnosis result information, outputs encrypted information of a diagnosis result obtained by performing predetermined encryption, and outputs the second paired information. A communication line interface unit for inputting the encrypted information of the diagnosis result from the second encryption unit and sending the encrypted information to the first paired communication line interface unit via the communication line; , The first communication line interface unit inputs encrypted information of the diagnosis result sent via the communication line, and the first encryption unit transmits the first communication line interface. And outputs the diagnosis result information obtained by inputting the encrypted information of the diagnosis result from the base unit and performing predetermined decryption. The diagnostic device interface unit outputs the diagnosis result from the first encryption unit. Information can be input and output to the diagnostic device.
【0009】この発明のセキュリティ診断システムにお
いて、前記第1の暗号部または前記第2の暗号部が施す
所定の暗号化は、ハッシュ関数を用いることができるも
のである。In the security diagnosis system according to the present invention, the predetermined encryption performed by the first encryption unit or the second encryption unit can use a hash function.
【0010】この発明のセキュリティ診断方法は、被診
断装置のセキュリティを通信回線を介して所定の期間毎
に診断装置が診断するセキュリティ診断方法であって、
該診断装置は該通信回線との間に接続された第1の通信
装置を有し、該被診断装置は該通信回線との間に接続さ
れた第2の通信装置を有しており、第1の通信装置が、
該診断装置からセキュリティ診断の手順を示す診断手順
情報が送られたことを検知した場合、該検知を示す検知
情報を出力する対診断装置インタフェースステップと、
前記対診断装置インタフェースステップにおいて前記検
知情報が出力された場合、前記第1の通信装置が、前記
第2の通信装置と暗号化された通信を行う前の暗号化同
期の確立に用いられる同期信号を出力する第1のタイミ
ング制御ステップと、前記第1のタイミング制御ステッ
プにおいて出力された同期信号を前記通信回線を介して
前記第2の通信装置へ送る同期信号送信ステップと、前
記同期信号送信ステップにおいて同期信号同期信号が送
られた場合、前記第1の通信装置に応答することにより
前記第1の通信装置と前記第2の通信装置との間で暗号
化同期の確立を行う第2のタイミング制御ステップと、
前記暗号化同期が確立した場合、前記対診断装置インタ
フェースステップにおいて検知した前記診断手順情報に
所定の暗号化を施した暗号化情報を出力する第1の暗号
化ステップと、前記第1の暗号化ステップにより出力さ
れた前記暗号化情報を前記通信回線を介して前記第2の
通信装置へ送る第1の対通信回線インタフェースステッ
プと、前記第1の対通信回線インタフェースステップに
より送られた前記暗号化情報を入力して所定の復号化を
施すことにより得られた前記診断手順情報を出力する第
2の暗号化ステップと、前記第2の暗号化ステップによ
り出力された前記診断手順情報を被診断装置へ送る対被
診断装置インタフェースステップとを備えたものであ
る。The security diagnosis method according to the present invention is a security diagnosis method in which the diagnosis device diagnoses the security of the device to be diagnosed at predetermined intervals via a communication line.
The diagnostic device has a first communication device connected to the communication line, and the device to be diagnosed has a second communication device connected to the communication line. One communication device is
When detecting that diagnostic procedure information indicating a procedure of security diagnosis is transmitted from the diagnostic apparatus, a diagnostic apparatus interface step of outputting detection information indicating the detection,
When the detection information is output in the diagnostic device interface step, a synchronization signal used for establishing encryption synchronization before the first communication device performs encrypted communication with the second communication device. A first timing control step of outputting the synchronization signal, a synchronization signal transmission step of transmitting the synchronization signal output in the first timing control step to the second communication device via the communication line, and a synchronization signal transmission step In the case where the synchronization signal is transmitted in the second timing, the second timing for establishing the encryption synchronization between the first communication device and the second communication device by responding to the first communication device A control step;
When the encryption synchronization is established, a first encryption step of outputting encryption information obtained by performing predetermined encryption on the diagnostic procedure information detected in the diagnostic device interface step, and the first encryption step; A first communication line interface step of transmitting the encrypted information output by the step to the second communication device via the communication line; and the encryption transmitted by the first communication line interface step. A second encryption step of outputting the diagnostic procedure information obtained by inputting information and performing a predetermined decryption, and the diagnostic procedure information output by the second encryption step is output to the device to be diagnosed. And a diagnostic device interface step for sending to the device to be diagnosed.
【0011】この発明のセキュリティ診断方法は、被診
断装置のセキュリティを通信回線を介して所定の期間毎
に診断装置が診断するセキュリティ診断方法であって、
該診断装置は該通信回線との間に接続された第1の通信
装置を有し、該被診断装置は該通信回線との間に接続さ
れた第2の通信装置を有しており、第1の通信装置が、
該診断装置からセキュリティ診断の手順を示す診断手順
情報が送られたことを検知した場合、該検知を示す検知
情報を出力する対診断装置インタフェースステップと、
前記対診断装置インタフェースステップにおいて前記検
知情報が出力された場合、前記第1の通信装置が、前記
第2の通信装置と暗号化された通信を行う前の暗号化同
期の確立に用いられる同期信号を出力する第1のタイミ
ング制御ステップと、前記第1のタイミング制御ステッ
プにおいて出力された同期信号を前記通信回線を介して
前記第2の通信装置へ送る同期信号送信ステップと、前
記同期信号送信ステップにおいて同期信号同期信号が送
られた場合、前記第1の通信装置に応答することにより
前記第1の通信装置と前記第2の通信装置との間で暗号
化同期の確立を行う第2のタイミング制御ステップと、
前記暗号化同期が確立した場合、前記対診断装置インタ
フェースステップにおいて検知した前記診断手順情報に
所定の暗号化を施した暗号化情報を出力する第1の暗号
化ステップと、前記第1の暗号化ステップにより出力さ
れた前記暗号化情報を前記通信回線を介して前記第2の
通信装置へ送る第1の対通信回線インタフェースステッ
プと、前記第1の対通信回線インタフェースステップに
より送られた前記暗号化情報を入力して所定の復号化を
施すことにより得られた前記診断手順情報を出力する第
2の暗号化ステップと、前記第2の暗号化ステップによ
り出力された前記診断手順情報を被診断装置へ送る対被
診断装置インタフェースステップとを備えたものであ
る。The security diagnosis method according to the present invention is a security diagnosis method in which the diagnosis device diagnoses the security of the device to be diagnosed at predetermined intervals via a communication line,
The diagnostic device has a first communication device connected to the communication line, and the device to be diagnosed has a second communication device connected to the communication line. One communication device is
When detecting that diagnostic procedure information indicating a procedure of security diagnosis is transmitted from the diagnostic apparatus, a diagnostic apparatus interface step of outputting detection information indicating the detection,
When the detection information is output in the diagnostic device interface step, a synchronization signal used for establishing encryption synchronization before the first communication device performs encrypted communication with the second communication device. A first timing control step of outputting the synchronization signal, a synchronization signal transmission step of transmitting the synchronization signal output in the first timing control step to the second communication device via the communication line, and a synchronization signal transmission step In the case where the synchronization signal is transmitted in the second timing, the second timing for establishing the encryption synchronization between the first communication device and the second communication device by responding to the first communication device A control step;
When the encryption synchronization is established, a first encryption step of outputting encryption information obtained by performing predetermined encryption on the diagnostic procedure information detected in the diagnostic device interface step, and the first encryption step; A first communication line interface step of transmitting the encrypted information output by the step to the second communication device via the communication line; and the encryption transmitted by the first communication line interface step. A second encryption step of outputting the diagnostic procedure information obtained by inputting information and performing a predetermined decryption, and the diagnostic procedure information output by the second encryption step is output to the device to be diagnosed. And a diagnostic device interface step for sending to the device to be diagnosed.
【0012】この発明のセキュリティ診断方法におい
て、前記暗号化同期が確立した場合、前記第1の暗号化
ステップは、前記対診断装置インタフェースステップに
おいて検知した前記診断手順情報に暗号化を施さずに出
力し、前記第1の対通信回線インタフェースステップ
は、前記第1の暗号化ステップにより出力された前記診
断手順情報を前記通信回線を介して前記第2の通信装置
へ送ものであり、前記第2の暗号化ステップは、前記第
1の対通信回線インタフェースステップにより送られた
前記診断手順情報を入力して復号化を施さずに出力する
ものであり、前記被診断装置からセキュリティ診断の診
断結果を示す診断結果情報が送られた場合、前記第2の
通信装置において、該診断結果情報を入力して所定の暗
号化を施した診断結果の暗号化情報を前記通信回線を介
して前記第1の通信装置へ送り、前記第1の通信装置に
おいて、前記通信回線を介して送られた前記診断結果の
暗号化情報を入力し、所定の復号化を施すことにより得
られた前記診断結果情報を前記診断装置へ出力すること
ができるものである。In the security diagnosis method according to the present invention, when the encryption synchronization is established, the first encryption step outputs the diagnosis procedure information detected in the diagnosis device interface step without encrypting the information. The first communication line interface step includes transmitting the diagnostic procedure information output in the first encryption step to the second communication device via the communication line, and In the encrypting step, the diagnostic procedure information sent by the first communication line interface step is input and output without performing decryption. When the diagnostic result information is transmitted, the second communication device inputs the diagnostic result information and performs a predetermined encryption on the diagnostic result. The encrypted information is sent to the first communication device via the communication line, and the first communication device inputs the encrypted information of the diagnosis result sent via the communication line, and performs predetermined decryption. The diagnostic result information obtained by performing the conversion can be output to the diagnostic device.
【0013】この発明のセキュリティ診断方法におい
て、前記被診断装置からセキュリティ診断の診断結果を
示す診断結果情報が送られた場合、前記第2の通信装置
において、該診断結果情報を入力して所定の暗号化を施
した診断結果の暗号化情報を前記通信回線を介して前記
第1の通信装置へ送り、前記第1の通信装置において、
前記通信回線を介して送られた前記診断結果の暗号化情
報を入力し、所定の復号化を施すことにより得られた前
記診断結果情報を前記診断装置へ出力することができる
ものである。In the security diagnosis method according to the present invention, when diagnosis result information indicating a diagnosis result of the security diagnosis is sent from the device to be diagnosed, the diagnosis result information is input to the second communication device and the predetermined diagnosis result information is input. Sending encrypted information of the encrypted diagnosis result to the first communication device via the communication line;
It is possible to input the encrypted information of the diagnostic result sent via the communication line and output the diagnostic result information obtained by performing predetermined decryption to the diagnostic device.
【0014】この発明のセキュリティ診断方法におい
て、前記第1の暗号化ステップまたは前記第2の暗号化
ステップにおいて施される所定の暗号化は、ハッシュ関
数を用いることができるものである。In the security diagnosis method according to the present invention, the predetermined encryption performed in the first encryption step or the second encryption step can use a hash function.
【0015】[0015]
【発明の実施の形態】以下、図面を参照して、本発明の
実施の形態を詳細に説明する。Embodiments of the present invention will be described below in detail with reference to the drawings.
【0016】実施の形態1.図1は、本発明の実施の形
態1におけるセキュリティ診断システムを示す。図1に
おいて、符号1はセキュリティ診断を行う診断装置、1
1は診断装置1に設けられた診断結果等を表示するモニ
タ部、3は診断装置1と接続された通信装置A1であっ
て後述の対診断装置インタフェース(以下、「I/F」
と省略する)部5、タイミング制御部6a、暗号部7a
および対インフラI/F部(対通信回線I/F部)8a
を有する装置、2は診断装置1により遠隔セキュリティ
診断される対象となる被診断装置、4は被診断装置2と
接続された通信装置A2であって後述の対インフラI/
F部(対通信回線I/F部)8b、タイミング制御部6
b、暗号部7bおよび対診断装置I/F部9を有する装
置、10は通信装置A1(3)と通信装置A2(4)と
の間を接続するインフラ回線(通信回線)である。Embodiment 1 FIG. 1 shows a security diagnosis system according to Embodiment 1 of the present invention. In FIG. 1, reference numeral 1 denotes a diagnostic device for performing a security diagnosis;
Reference numeral 1 denotes a monitor unit provided in the diagnostic device 1 for displaying a diagnosis result and the like. Reference numeral 3 denotes a communication device A1 connected to the diagnostic device 1 and a communication interface (hereinafter referred to as "I / F") for a diagnostic device.
Unit 5, timing control unit 6a, encryption unit 7a
And infrastructure I / F (communication line I / F) 8a
2 is a device to be diagnosed that is to be subjected to remote security diagnosis by the diagnostic device 1, and 4 is a communication device A2 connected to the device 2 to be diagnosed,
F section (for communication line I / F section) 8b, timing control section 6
b, a device including the encryption unit 7b and the diagnostic device I / F unit 9, and 10 is an infrastructure line (communication line) that connects between the communication device A1 (3) and the communication device A2 (4).
【0017】次に通信装置A1(3)の内部を説明する
と、符号5は診断装置1と接続され、診断装置1からセ
キュリティ診断の手順であるコンピュータ・プログラム
(診断手順情報)が送られたことを検知した場合、検知
した旨を示す検知情報を出力すると共に、その診断手順
情報を保持する対診断装置I/F部、6aは対診断装置
I/F部5と接続され、対診断装置I/F部5から検知
情報が送られてきた場合、通信装置A1(3)と通信装
置A2(4)との間で暗号化された通信を行う準備とし
ての暗号化同期の確立に用いられる同期信号を出力する
タイミング制御部(第1のタイミング制御部)、7aは
対診断装置I/F部5とタイミング制御部6aとに接続
され、上述の暗号化同期が確立した場合に対診断装置I
/F部5に保持された診断手順情報を入力して所定の暗
号化を施し、この暗号化された後の診断手順情報(暗号
化情報)を出力する暗号部(第1の暗号部)、8aはタ
イミング制御部6aと暗号部7aとに接続され、タイミ
ング制御部6aから出力された同期信号を通信回線10
を介して通信装置A2(4)へ送り、さらに暗号化同期
が確立した場合は、暗号部7aから出力された暗号化情
報を通信回線10を介して通信装置A2(4)へ送る対
インフラI/F部である。Next, a description will be given of the inside of the communication device A1 (3). Reference numeral 5 is connected to the diagnostic device 1 and a computer program (diagnostic procedure information) as a security diagnostic procedure is transmitted from the diagnostic device 1. Is detected, the detection information indicating the detection is output, and the diagnostic device I / F unit 6a holding the diagnostic procedure information is connected to the diagnostic device I / F unit 5, and the diagnostic device I / F unit 5 is connected. When the detection information is sent from the / F unit 5, the synchronization used for establishing the encryption synchronization in preparation for performing the encrypted communication between the communication device A1 (3) and the communication device A2 (4) A timing control unit (first timing control unit) 7a that outputs a signal is connected to the diagnostic device I / F unit 5 and the timing control unit 6a, and the diagnostic device I is connected when the above-described encryption synchronization is established.
An encryption unit (first encryption unit) that inputs the diagnostic procedure information held in the / F unit 5 and performs predetermined encryption, and outputs the encrypted diagnostic procedure information (encryption information); 8a is connected to the timing control unit 6a and the encryption unit 7a, and transmits the synchronization signal output from the timing control unit 6a to the communication line 10
To the communication device A2 (4) via the communication unit A2, and when the encryption synchronization is established, the encryption information output from the encryption unit 7a is transmitted to the communication device A2 (4) via the communication line 10 to the communication device A2 (4). / F part.
【0018】次に通信装置A2(4)の内部を説明する
と、符号8bは対インフラI/F部8aと通信回線10
を介して接続され、対インフラI/F部8aから送られ
た同期信号を入力した場合に、この同期信号を入力した
ことを示す同期情報を出力し、さらに暗号化同期が確立
した場合に対通信回線I/F部8aから送られた暗号化
情報を入力する対通信回線I/F部(第2の対通信回線
I/F部)、6bは対通信回線I/F部8bと接続さ
れ、対通信回線I/F部8bから同期情報を入力した場
合、通信装置A1(3)に応答することにより通信装置
A1(3)と通信装置A2(4)との間で暗号化同期の
確立を行うタイミング制御部(第2のタイミング制御
部)、7bは対通信回線I/F部8bとタイミング制御
部6bとに接続され、暗号化同期が確立した場合、対通
信回線I/F部8bから暗号化情報を入力して所定の復
号化を施すことにより得られた診断手順情報を出力する
暗号部(第2の暗号部)、9はタイミング制御部6bと
暗号部7bとに接続され、暗号化同期が確立した場合、
暗号部7bから出力された診断手順情報を被診断装置2
へ送る対被診断装置I/F部である。Next, the inside of the communication apparatus A2 (4) will be described. Reference numeral 8b denotes an infrastructure I / F section 8a and a communication line 10
When the synchronization signal transmitted from the infrastructure I / F unit 8a is input, the synchronization information indicating that the synchronization signal has been input is output. The communication line I / F unit (second communication line I / F unit) 6b for receiving the encrypted information sent from the communication line I / F unit 8a is connected to the communication line I / F unit 8b. When the synchronization information is input from the communication line I / F 8b, the communication device A1 (3) responds to establish the encryption synchronization between the communication device A1 (3) and the communication device A2 (4). Control unit (second timing control unit) 7b is connected to the communication line I / F unit 8b and the timing control unit 6b, and when the encryption synchronization is established, the communication line I / F unit 8b By inputting encryption information from the Encryption unit for outputting diagnostic procedure information that is (the second encryption unit), 9 are connected to a timing control unit 6b and the encryption unit 7b, if the encryption synchronization is established,
The diagnostic procedure information output from the encryption unit 7b is
This is an I / F section for a device to be diagnosed to be sent to.
【0019】次に、本発明の実施の形態1におけるセキ
ュリティ診断方法の具体的な実施シーケンスについて説
明する。図1に示されるように、本実施の形態1におい
ては診断装置1から被診断装置2のセキュリティ強度診
断を遠隔制御で定期的に実施する(矢印PD:定期的な
セキュリティ診断)。この際診断手順は暗号化される
(矢印ENC−P)。詳しくは、まず診断装置1からコ
ンピュータ・プログラムの形態の診断手順情報が通信装
置A1(3)に対して出力される。次に、診断手順情報
が与えられたことが、通信装置A1(3)における対診
断装置I/F部5で検知され、この診断手順情報が対診
断装置I/F部5に保持されると共にタイミング制御部
(6)に伝えられる。タイミング制御部6aでは、通信
装置A2(4)との間で暗号通信を実現するために必要
な暗号同期タイミング信号(同期信号)を出力して対イ
ンフラI/F部8aへ送る。その暗号同期タイミング信
号はインフラ回線10を通じて通信装置A2(4)へ伝
達される。Next, a specific execution sequence of the security diagnosis method according to the first embodiment of the present invention will be described. As shown in FIG. 1, in the first embodiment, the security strength diagnosis of the diagnosis target device 2 is periodically performed from the diagnosis device 1 by remote control (arrow PD: periodic security diagnosis). At this time, the diagnostic procedure is encrypted (arrow ENC-P). Specifically, first, diagnostic procedure information in the form of a computer program is output from the diagnostic apparatus 1 to the communication apparatus A1 (3). Next, the fact that the diagnostic procedure information is given is detected by the diagnostic device I / F unit 5 in the communication device A1 (3), and the diagnostic procedure information is held in the diagnostic device I / F unit 5 and This is transmitted to the timing control section (6). The timing control unit 6a outputs an encryption synchronization timing signal (synchronization signal) necessary to realize encrypted communication with the communication device A2 (4) and sends the signal to the infrastructure I / F unit 8a. The encryption synchronization timing signal is transmitted to the communication device A2 (4) through the infrastructure line 10.
【0020】通信装置A2(4)の中の対インフラI/
F部8bは上述の暗号同期タイミング信号を検知する
と、この暗号同期タイミング信号をタイミング制御部6
bへ渡す。この結果、通信装置A1(3)のタイミング
制御部6aと通信装置A2(4)のタイミング制御部6
bとの間で暗号同期が確立され、インフラ回線10を通
じた暗号通信の準備が完了する。The infrastructure I / in the communication device A2 (4)
When the F section 8b detects the above-described cryptographic synchronization timing signal, the F section 8b transmits this cryptographic synchronization timing signal to the timing control section 6.
hand over to b. As a result, the timing control unit 6a of the communication device A1 (3) and the timing control unit 6 of the communication device A2 (4)
b, cryptographic synchronization is established, and preparation for encrypted communication via the infrastructure line 10 is completed.
【0021】暗号通信の準備完了後、診断装置1から通
信装置A1(3)に対して渡され、対診断装置I/F部
5に保持されていた診断手順情報が暗号部7aに入力さ
れて暗号化処理が施される。この暗号化処理が施された
診断手順情報(暗号化情報)は対インフラI/F部8a
を通じてインフラ回線10に出力される。After the preparation for encrypted communication is completed, the diagnostic procedure information passed from the diagnostic apparatus 1 to the communication apparatus A1 (3) and held in the diagnostic apparatus I / F section 5 is input to the encryption section 7a. An encryption process is performed. The diagnostic procedure information (encrypted information) on which the encryption processing has been performed is transmitted to the infrastructure I / F unit 8a.
Is output to the infrastructure line 10 through the network.
【0022】暗号化された診断手順情報は、インフラ回
線10における第三者からの傍受行為に対してもセキュ
リティ性を確保しつつ通信装置A2(4)に渡すことが
できる。通信装置A2(4)の対インフラI/F部8b
で受け取った暗号化された診断情報は、暗号部7bへ渡
されて暗号が解読(復号)されて元の診断情報に戻る。
この復号化された元の診断情報は対被診断装置I/F部
9を通じて被診断装置2に渡される。上述の一連のシー
ケンスによって、被診断装置2に対するセキュリティ強
度診断を遠隔制御により実行することができる。したが
って、第三者から通信傍受される可能性が高いインフラ
回線10においても、診断手順情報が確実に保全され、
信頼性の高いセキュリティ強度診断を実現することがで
きる。The encrypted diagnostic procedure information can be transferred to the communication device A2 (4) while ensuring security even for an intercepting act on the infrastructure circuit 10 from a third party. Communication device A2 (4) with respect to infrastructure I / F unit 8b
The encrypted diagnostic information received in (1) is passed to the encryption section 7b, where the encryption is decrypted (decrypted) and returns to the original diagnostic information.
The decrypted original diagnostic information is passed to the device under diagnosis 2 through the device to be diagnosed I / F unit 9. With the above-described series of sequences, the security strength diagnosis for the device under diagnosis 2 can be executed by remote control. Therefore, even in the infrastructure line 10 that is likely to be intercepted by a third party, the diagnostic procedure information is reliably maintained,
A highly reliable security strength diagnosis can be realized.
【0023】以上より、実施の形態1によれば、コンピ
ュータセキュリティ強度診断をインフラ回線を通じて遠
隔操作により定期的に実施する場合、診断手順(プログ
ラム)を暗号化してインフラ回線10を介して被診断装
置2側へ送るため、インフラ回線10における第三者の
傍受行為から診断手順を確実に秘匿することができる。
このため、従来からの問題であった、セキュリティ強度
診断を実施することが、インフラ回線における情報傍受
によって却ってセキュリティ強度そのものを弱めること
になるという弊害をのぞくことが可能となる。As described above, according to the first embodiment, when the computer security strength diagnosis is periodically performed by remote control through the infrastructure line, the diagnosis procedure (program) is encrypted and the device to be diagnosed through the infrastructure line 10 is encrypted. Since the information is sent to the second side, the diagnosis procedure can be securely concealed from the interception of a third party on the infrastructure circuit 10.
For this reason, it is possible to eliminate the problem of performing the security strength diagnosis, which is a conventional problem, that the security strength itself is weakened due to information interception on the infrastructure line.
【0024】実施の形態2.図2は、本発明の実施の形
態2におけるセキュリティ診断システムを示す。図2で
図1と同じ符号を付したものは同じ機能を有するため説
明は省略する。Embodiment 2 FIG. 2 shows a security diagnosis system according to Embodiment 2 of the present invention. 2 that have the same reference numerals as those in FIG. 1 have the same functions, and a description thereof will be omitted.
【0025】上述の実施の形態1では、診断装置1から
被診断装置2のセキュリティ強度診断を遠隔制御で定期
的に実施するにあたり、通信装置A1(3)とA2
(4)との間で暗号通信のための暗号化同期を確立し、
この後、診断手順情報に対して暗号をかけて通信装置A
1(3)から通信装置A2(4)へ伝送した。本実施の
形態2では、図2に示されるように、診断装置1から被
診断装置2のセキュリティ強度診断を遠隔制御で定期的
に実施する(矢印PD:定期的なセキュリティ診断)点
は実施の形態1と同様であるが、この際、診断手順では
なく、診断を行った診断結果を暗号化して通信装置A2
(4)から通信装置A1(3)へ伝送する(矢印ENC
−D)。In the first embodiment, the communication devices A1 (3) and A2
(4) establishing an encrypted synchronization for encrypted communication with
Thereafter, the communication device A encrypts the diagnostic procedure information by encrypting it.
1 (3) to the communication device A2 (4). In the second embodiment, as shown in FIG. 2, the security strength diagnosis of the diagnosis target device 2 from the diagnosis device 1 is periodically performed by remote control (arrow PD: periodic security diagnosis). This is the same as in the first embodiment, but in this case, instead of the diagnostic procedure, the communication device A2 encrypts the diagnostic result of the diagnosis and performs the diagnosis.
Transmission from (4) to the communication device A1 (3) (arrow ENC
-D).
【0026】次に、具体的な実施シーケンスについて説
明する。暗号同期を確立するまでは実施の形態1と同様
の方法で行う。その後診断手順に関しては暗号化しない
点を除いて、実施の形態1と同様に通信装置A1(3)
から通信装置A2(4)へ伝送し、被診断装置2に対す
るセキュリティ強度診断を遠隔制御で実行する。Next, a specific execution sequence will be described. Until cryptographic synchronization is established, the procedure is performed in the same manner as in the first embodiment. Thereafter, the communication apparatus A1 (3) is similar to the first embodiment except that the diagnosis procedure is not encrypted.
To the communication device A 2 (4), and executes security strength diagnosis for the device under diagnosis 2 by remote control.
【0027】被診断装置2における診断結果情報(デー
タの形態)が被診断装置2から通信装置A2(4)の中
の対診断装置I/F部9に渡される。次にこの診断結果
情報は暗号部7bに渡されて、そこで暗号化処理を施さ
れる。この後、対インフラI/F部8bを通じてインフ
ラ回線10に出力される。この時、第三者によるインフ
ラ回線10における診断結果情報の傍受行為に対して暗
号化処理が効果を発揮するため、診断結果情報は高い保
全性を確保しつつ通信装置A1(3)へ伝達されること
ができる。通信装置A1(3)中の対インフラI/F部
8aで受け取った上述の診断結果情報は、暗号部7aに
おいて暗号を解読されて、元の診断結果情報に復号化さ
れる。復号化された診断結果情報は対診断装置I/F部
5を経て、診断装置1に渡され、モニタ部11に診断結
果情報を表示することができる。したがって、第三者か
ら通信傍受される可能性が高いインフラ回線10におい
て被診断装置2の診断結果情報を確実に保全し、信頼性
の高いセキュリティ強度診断を実現することができる。The diagnosis result information (data form) in the device under diagnosis 2 is passed from the device under diagnosis 2 to the diagnostic device I / F section 9 in the communication device A 2 (4). Next, the diagnosis result information is passed to the encryption unit 7b, where it is subjected to encryption processing. Thereafter, the data is output to the infrastructure line 10 through the infrastructure I / F unit 8b. At this time, since the encryption processing is effective for the third party intercepting the diagnosis result information on the infrastructure line 10, the diagnosis result information is transmitted to the communication device A1 (3) while ensuring high integrity. Can be The above-described diagnosis result information received by the infrastructure I / F unit 8a in the communication device A1 (3) is decrypted by the encryption unit 7a and is decoded into the original diagnosis result information. The decrypted diagnostic result information is passed to the diagnostic device 1 via the diagnostic device I / F unit 5, and the diagnostic result information can be displayed on the monitor unit 11. Therefore, it is possible to securely maintain the diagnosis result information of the device to be diagnosed 2 on the infrastructure line 10 that is likely to be intercepted by a third party, and to realize a highly reliable security strength diagnosis.
【0028】以上より、実施の形態2によれば、コンピ
ュータセキュリティ強度診断をインフラ回線を通じて遠
隔操作により定期的に実施する場合、診断結果情報(デ
ータ)を暗号化してインフラ回線10を介して診断装置
1側へ送るため、インフラ回線10における第三者の傍
受行為から診断結果情報を確実に秘匿することができ
る。このため、従来からの問題であった、セキュリティ
強度診断を実施することが、インフラ回線における情報
傍受によって却ってセキュリティ強度そのものを弱める
ことになるという弊害をのぞくことが可能となる。As described above, according to the second embodiment, when the computer security strength diagnosis is periodically performed by remote control through an infrastructure line, the diagnosis result information (data) is encrypted and the diagnostic device is transmitted through the infrastructure line 10. Since the information is sent to the first side, the diagnosis result information can be securely concealed from the interception of a third party on the infrastructure line 10. For this reason, it is possible to eliminate the problem of performing the security strength diagnosis, which is a conventional problem, that the security strength itself is weakened due to information interception on the infrastructure line.
【0029】実施の形態3.図3は、本発明の実施の形
態3におけるセキュリティ診断システムを示す。図3で
図1と同じ符号を付したものは同じ機能を有するため説
明は省略する。Embodiment 3 FIG. 3 shows a security diagnosis system according to Embodiment 3 of the present invention. 3 that have the same reference numerals as those in FIG. 1 have the same functions, and a description thereof will be omitted.
【0030】上述の実施の形態1では、診断装置1から
被診断装置2のセキュリティ強度診断を遠隔制御で定期
的に実施するにあたり、通信装置A1(3)とA2
(4)との間で暗号通信のための暗号化同期を確立し、
この後、診断手順情報に対して暗号をかけて通信装置A
1(3)から通信装置A2(4)へ伝送した。本実施の
形態3では、図3に示されるように、診断装置1から被
診断装置2のセキュリティ強度診断を遠隔制御で定期的
に実施する(矢印PD:定期的なセキュリティ診断)点
と、診断手順情報を暗号化して通信装置A2(4)から
通信装置A1(3)へ伝送する点とは実施の形態1と同
様であるが、この際、診断手順だけではなく、実施の形
態2と同様に診断を行った診断結果を暗号化して通信装
置A2(4)から通信装置A1(3)へ伝送する(矢印
ENC−PD)。すなわち本実施の形態3は実施の形態
1と2とを合わせた形態である。In the first embodiment described above, the communication devices A1 (3) and A2
(4) establishing an encrypted synchronization for encrypted communication with
Thereafter, the communication device A encrypts the diagnostic procedure information by encrypting it.
1 (3) to the communication device A2 (4). In the third embodiment, as shown in FIG. 3, the security strength diagnosis of the diagnosis target device 2 from the diagnosis device 1 is periodically performed by remote control (arrow PD: periodic security diagnosis). The point that the procedure information is encrypted and transmitted from the communication device A2 (4) to the communication device A1 (3) is the same as in the first embodiment. The result of the diagnosis is encrypted and transmitted from the communication device A2 (4) to the communication device A1 (3) (arrow ENC-PD). That is, the third embodiment is a combination of the first and second embodiments.
【0031】次に、具体的な実施シーケンスについて説
明する。暗号同期を確立するまでは実施の形態1と同様
の方法で行う。Next, a specific execution sequence will be described. Until cryptographic synchronization is established, the procedure is performed in the same manner as in the first embodiment.
【0032】暗号通信の準備完了後、診断装置1から通
信装置A1(3)に対して渡され、対診断装置I/F部
5に保持されていた診断手順情報が暗号部7aに入力さ
れて暗号化処理が施される。この暗号化処理が施された
診断手順情報(暗号化情報)は対インフラI/F部8a
を通じてインフラ回線10に出力される。After the preparation for the encrypted communication is completed, the diagnostic procedure information passed from the diagnostic apparatus 1 to the communication apparatus A1 (3) and held in the diagnostic apparatus I / F section 5 is input to the encryption section 7a. An encryption process is performed. The diagnostic procedure information (encrypted information) on which the encryption processing has been performed is transmitted to the infrastructure I / F unit 8a.
Is output to the infrastructure line 10 through the network.
【0033】暗号化された診断手順情報は、インフラ回
線10における第三者からの傍受行為に対してもセキュ
リティ性を確保しつつ通信装置A2(4)に渡すことが
できる。通信装置A2(4)の対インフラI/F部8b
で受け取った暗号化された診断情報は、暗号部7bへ渡
されて暗号が解読(復号)されて元の診断情報に戻る。
この復号化された元の診断情報は対被診断装置I/F部
9を通じて被診断装置2に渡される。上述の一連のシー
ケンスによって、被診断装置2に対するセキュリティ強
度診断を遠隔制御により実行することができる。したが
って、第三者から通信傍受される可能性が高いインフラ
回線10においても、診断手順情報が確実に保全され、
信頼性の高いセキュリティ強度診断を実現することがで
きる。The encrypted diagnostic procedure information can be transferred to the communication device A2 (4) while ensuring security even for an intercept operation on the infrastructure circuit 10 from a third party. Communication device A2 (4) with respect to infrastructure I / F unit 8b
The encrypted diagnostic information received in (1) is passed to the encryption section 7b, where the encryption is decrypted (decrypted) and returns to the original diagnostic information.
The decrypted original diagnostic information is passed to the device under diagnosis 2 through the device to be diagnosed I / F unit 9. With the above-described series of sequences, the security strength diagnosis for the device under diagnosis 2 can be executed by remote control. Therefore, even in the infrastructure line 10 that is likely to be intercepted by a third party, the diagnostic procedure information is reliably maintained,
A highly reliable security strength diagnosis can be realized.
【0034】被診断装置2における診断結果情報(デー
タの形態)が被診断装置2から通信装置A2(4)の中
の対診断装置I/F部9に渡される。次にこの診断結果
情報は暗号部7bに渡されて、そこで暗号化処理を施さ
れる。この後、対インフラI/F部8bを通じてインフ
ラ回線10に出力される。この時、第三者によるインフ
ラ回線10における診断結果情報の傍受行為に対して暗
号化処理が効果を発揮するため、診断結果情報は高い保
全性を確保しつつ通信装置A1(3)へ伝達されること
ができる。通信装置A1(3)中の対インフラI/F部
8aで受け取った上述の診断結果情報は、暗号部7aに
おいて暗号を解読されて、元の診断結果情報に復号化さ
れる。復号化された診断結果情報は対診断装置I/F部
5を経て、診断装置1に渡され、モニタ部11に診断結
果情報を表示することができる。したがって、第三者か
ら通信傍受される可能性が高いインフラ回線10におい
て被診断装置2の診断結果情報を確実に保全し、信頼性
の高いセキュリティ強度診断を実現することができる。The diagnosis result information (data form) in the device under diagnosis 2 is passed from the device under diagnosis 2 to the diagnostic device I / F unit 9 in the communication device A 2 (4). Next, the diagnosis result information is passed to the encryption unit 7b, where it is subjected to encryption processing. Thereafter, the data is output to the infrastructure line 10 through the infrastructure I / F unit 8b. At this time, since the encryption processing is effective for the third party intercepting the diagnosis result information on the infrastructure line 10, the diagnosis result information is transmitted to the communication device A1 (3) while ensuring high integrity. Can be The above-described diagnosis result information received by the infrastructure I / F unit 8a in the communication device A1 (3) is decrypted by the encryption unit 7a and is decoded into the original diagnosis result information. The decrypted diagnostic result information is passed to the diagnostic device 1 via the diagnostic device I / F unit 5, and the diagnostic result information can be displayed on the monitor unit 11. Therefore, it is possible to securely maintain the diagnosis result information of the device to be diagnosed 2 on the infrastructure line 10 that is likely to be intercepted by a third party, and to realize a highly reliable security strength diagnosis.
【0035】以上より、実施の形態3によれば、コンピ
ュータセキュリティ強度診断をインフラ回線を通じて遠
隔操作により定期的に実施する場合、診断手順(プログ
ラム)を暗号化してインフラ回線10を介して被診断装
置2側へ送るため、インフラ回線10における第三者の
傍受行為から診断手順を確実に秘匿することができる。
さらに、診断結果情報(データ)を暗号化してインフラ
回線10を介して診断装置1側へ送るため、インフラ回
線10における第三者の傍受行為から診断結果情報を確
実に秘匿することができる。このため、従来からの問題
であった、セキュリティ強度診断を実施することが、イ
ンフラ回線における情報傍受によって却ってセキュリテ
ィ強度そのものを弱めることになるという弊害をのぞく
ことが可能となる。As described above, according to the third embodiment, when the computer security strength diagnosis is periodically performed by remote control through the infrastructure line, the diagnosis procedure (program) is encrypted and the device to be diagnosed through the infrastructure line 10 is encrypted. Since the information is sent to the second side, the diagnosis procedure can be securely concealed from the interception of a third party on the infrastructure circuit 10.
Furthermore, since the diagnosis result information (data) is encrypted and sent to the diagnosis device 1 via the infrastructure line 10, the diagnosis result information can be securely concealed from the interception of a third party on the infrastructure line 10. For this reason, it is possible to eliminate the problem of performing the security strength diagnosis, which is a conventional problem, that the security strength itself is weakened due to information interception on the infrastructure line.
【0036】実施の形態4.図4は、本発明の実施の形
態4におけるセキュリティ診断システムを示す。図4で
図1と同じ符号を付したものは同じ機能を有するため説
明は省略する。Embodiment 4 FIG. 4 shows a security diagnosis system according to Embodiment 4 of the present invention. 4 that have the same reference numerals as those in FIG. 1 have the same functions, and a description thereof will be omitted.
【0037】上述の実施の形態1では、診断装置1から
被診断装置2のセキュリティ強度診断を遠隔制御で定期
的に実施(図1の矢印PD)していたが、本実施の形態
4ではこのセキュリティ診断をリアルタイムで行う(図
4の矢印RD)点が異なる。セキュリティ診断をリアル
タイムで行うことにより、実施の形態1の定期的な診断
に比べ、より信頼性があり不正アクセスに対して迅速に
対応できるシステム構築が可能となる。他の点について
は実施の形態1と同様に、暗号同期を確立し、その後診
断手順を暗号化して通信装置A1(3)から通信装置A
2(4)へ伝送し、被診断装置2に対するセキュリティ
強度診断を遠隔制御で実行する。In the first embodiment described above, the security strength diagnosis of the device to be diagnosed 2 is periodically performed from the diagnostic device 1 by remote control (arrow PD in FIG. 1). The difference is that the security diagnosis is performed in real time (arrow RD in FIG. 4). By performing the security diagnosis in real time, it is possible to construct a more reliable system capable of promptly responding to unauthorized access as compared with the periodic diagnosis of the first embodiment. In other respects, as in the first embodiment, cryptographic synchronization is established, and then the diagnostic procedure is encrypted and transmitted from the communication device A1 (3) to the communication device A.
2 (4), and executes security strength diagnosis for the device under diagnosis 2 by remote control.
【0038】以上より、実施の形態4によれば、コンピ
ュータセキュリティ強度診断をインフラ回線を通じて遠
隔操作によりリアルタイムに実施する場合、診断手順
(プログラム)を暗号化してインフラ回線10を介して
被診断装置2側へ送るため、インフラ回線10における
第三者の傍受行為から診断手順を確実に秘匿することが
できる。このため、従来からの問題であった、セキュリ
ティ強度診断を実施することが、インフラ回線における
情報傍受によって却ってセキュリティ強度そのものを弱
めることになるという弊害をのぞくことが可能となる。
さらに定期的な診断に比べ、より信頼性があり不正アク
セスに対して迅速に対応できるシステム構築を行うこと
ができる。As described above, according to the fourth embodiment, when the computer security strength diagnosis is performed in real time by remote control through an infrastructure line, the diagnosis procedure (program) is encrypted and the device to be diagnosed 2 is encrypted via the infrastructure line 10. Since the information is sent to the side, the diagnosis procedure can be securely concealed from the interception of a third party on the infrastructure circuit 10. For this reason, it is possible to eliminate the problem of performing the security strength diagnosis, which is a conventional problem, that the security strength itself is weakened due to information interception on the infrastructure line.
Further, a system can be constructed which is more reliable and can quickly respond to unauthorized access as compared with a regular diagnosis.
【0039】実施の形態5.図5は、本発明の実施の形
態5におけるセキュリティ診断システムを示す。図5で
図2と同じ符号を付したものは同じ機能を有するため説
明は省略する。Fifth Embodiment FIG. 5 shows a security diagnosis system according to a fifth embodiment of the present invention. 5 having the same reference numerals as those in FIG. 2 have the same functions, and the description thereof will be omitted.
【0040】上述の実施の形態2では、診断装置1から
被診断装置2のセキュリティ強度診断を遠隔制御で定期
的に実施(図2の矢印PD)していたが、本実施の形態
5ではこのセキュリティ診断をリアルタイムで行う(図
5の矢印RD)点が異なる。セキュリティ診断をリアル
タイムで行うことにより、実施の形態2の定期的な診断
に比べ、より信頼性があり不正アクセスに対して迅速に
対応できるシステム構築が可能となる。他の点について
は実施の形態2と同様に、暗号同期を確立し、その後診
断手順を暗号化せずに通信装置A1(3)から通信装置
A2(4)へ伝送し、被診断装置2に対するセキュリテ
ィ強度診断を遠隔制御で実行する。診断結果情報(デー
タ)を暗号化してインフラ回線10を介して診断装置1
側へ送る。In the above-described second embodiment, the security strength diagnosis of the device to be diagnosed 2 is periodically performed by the remote control from the diagnosis device 1 (arrow PD in FIG. 2). The difference is that security diagnosis is performed in real time (arrow RD in FIG. 5). By performing the security diagnosis in real time, it is possible to construct a more reliable system capable of promptly responding to unauthorized access as compared with the periodic diagnosis according to the second embodiment. Otherwise, as in the second embodiment, cryptographic synchronization is established, and then the diagnosis procedure is transmitted from the communication device A1 (3) to the communication device A2 (4) without encryption, and Execute security strength diagnosis by remote control. The diagnostic device 1 encrypts the diagnostic result information (data) and transmits it via the infrastructure line 10.
Send to the side.
【0041】以上より、実施の形態5によれば、コンピ
ュータセキュリティ強度診断をインフラ回線を通じて遠
隔操作によりリアルタイムに実施する場合、診断結果情
報(データ)を暗号化してインフラ回線10を介して診
断装置1側へ送るため、インフラ回線10における第三
者の傍受行為から診断手順を確実に秘匿することができ
る。このため、従来からの問題であった、セキュリティ
強度診断を実施することが、インフラ回線における情報
傍受によって却ってセキュリティ強度そのものを弱める
ことになるという弊害をのぞくことが可能となる。さら
に定期的な診断に比べ、より信頼性があり不正アクセス
に対して迅速に対応できるシステム構築を行うことがで
きる。As described above, according to the fifth embodiment, when computer security strength diagnosis is performed in real time by remote control via an infrastructure line, the diagnosis result information (data) is encrypted, and the diagnostic device 1 is encrypted via the infrastructure line 10. Since the information is sent to the side, the diagnosis procedure can be securely concealed from the interception of a third party on the infrastructure circuit 10. For this reason, it is possible to eliminate the problem of performing the security strength diagnosis, which is a conventional problem, that the security strength itself is weakened due to information interception on the infrastructure line. Further, a system can be constructed which is more reliable and can quickly respond to unauthorized access as compared with a regular diagnosis.
【0042】実施の形態6.図6は、本発明の実施の形
態6におけるセキュリティ診断システムを示す。図6で
図3と同じ符号を付したものは同じ機能を有するため説
明は省略する。Embodiment 6 FIG. 6 shows a security diagnosis system according to Embodiment 6 of the present invention. 6 having the same reference numerals as those in FIG. 3 have the same functions, and the description thereof will be omitted.
【0043】上述の実施の形態3では、診断装置1から
被診断装置2のセキュリティ強度診断を遠隔制御で定期
的に実施(図3の矢印PD)していたが、本実施の形態
6ではこのセキュリティ診断をリアルタイムで行う(図
6の矢印RD)点が異なる。セキュリティ診断をリアル
タイムで行うことにより、実施の形態3の定期的な診断
に比べ、より信頼性があり不正アクセスに対して迅速に
対応できるシステム構築が可能となる。他の点について
は実施の形態3と同様に、暗号同期を確立し、その後診
断手順を暗号化して通信装置A1(3)から通信装置A
2(4)へ伝送し、被診断装置2に対するセキュリティ
強度診断を遠隔制御で実行する。診断結果情報(デー
タ)を暗号化してインフラ回線10を介して診断装置1
側へ送る。In the above-described third embodiment, the security strength diagnosis of the device to be diagnosed 2 is periodically performed by the remote control from the diagnosis device 1 (arrow PD in FIG. 3). The difference is that the security diagnosis is performed in real time (arrow RD in FIG. 6). By performing the security diagnosis in real time, it is possible to construct a more reliable system capable of promptly responding to unauthorized access as compared with the periodic diagnosis according to the third embodiment. In other respects, as in the third embodiment, cryptographic synchronization is established, and then the diagnostic procedure is encrypted and transmitted from the communication device A1 (3) to the communication device A.
2 (4), and executes security strength diagnosis for the device under diagnosis 2 by remote control. The diagnostic device 1 encrypts the diagnostic result information (data) and transmits it via the infrastructure line 10.
Send to the side.
【0044】以上より、実施の形態6によれば、コンピ
ュータセキュリティ強度診断をインフラ回線を通じて遠
隔操作によりリアルタイムに実施する場合、診断手順
(プログラム)を暗号化してインフラ回線10を介して
被診断装置2側へ送るため、インフラ回線10における
第三者の傍受行為から診断手順を確実に秘匿することが
できる。さらに診断結果情報(データ)を暗号化してイ
ンフラ回線10を介して診断装置1側へ送るため、イン
フラ回線10における第三者の傍受行為から診断手順を
確実に秘匿することができる。このため、従来からの問
題であった、セキュリティ強度診断を実施することが、
インフラ回線における情報傍受によって却ってセキュリ
ティ強度そのものを弱めることになるという弊害をのぞ
くことが可能となる。さらに定期的な診断に比べ、より
信頼性があり不正アクセスに対して迅速に対応できるシ
ステム構築を行うことができる。As described above, according to the sixth embodiment, in the case where the computer security strength diagnosis is performed in real time by remote control through an infrastructure line, the diagnosis procedure (program) is encrypted and the diagnosis target device 2 is encrypted via the infrastructure line 10. Since the information is sent to the side, the diagnosis procedure can be securely concealed from the interception of a third party on the infrastructure circuit 10. Further, since the diagnosis result information (data) is encrypted and sent to the diagnosis device 1 via the infrastructure line 10, the diagnosis procedure can be securely concealed from the interception of a third party on the infrastructure line 10. For this reason, conducting security strength diagnosis, which has been a problem in the past,
It is possible to eliminate the adverse effect that the security strength itself is weakened by information interception on the infrastructure line. Further, a system can be constructed which is more reliable and can quickly respond to unauthorized access as compared with a regular diagnosis.
【0045】上述の実施の形態1ないし6において、暗
号部7a、7bが行う暗号化は、例えばハッシュ関数を
用いることができる。さらに他の暗号化方法である公開
鍵暗号化方法、共通鍵暗号化方法等を用いることもで
き、特定の暗号化方法に限定されるものではない。In the first to sixth embodiments, the encryption performed by the encryption units 7a and 7b can use, for example, a hash function. Further, other encryption methods such as a public key encryption method and a common key encryption method can be used, and the present invention is not limited to a specific encryption method.
【0046】[0046]
【発明の効果】以上説明したように、本発明のセキュリ
ティ診断システムおよび方法によれば、インフラ回線上
に暗号化された診断情報を伝送し、および/または暗号
化された診断結果情報を伝送することにより、診断情報
が傍受されることを防止し、セキュリティ強度診断を実
施することにより却ってセキュリティ強度を弱めること
を防止することができるセキュリティ診断システムおよ
び方法を提供することができる。As described above, according to the security diagnosis system and method of the present invention, encrypted diagnostic information is transmitted over an infrastructure line and / or encrypted diagnostic result information is transmitted. Accordingly, it is possible to provide a security diagnosis system and a method capable of preventing the diagnostic information from being intercepted and preventing the security strength from being weakened by performing the security strength diagnosis.
【図1】 本発明の実施の形態1におけるセキュリティ
診断システムを示す図である。FIG. 1 is a diagram showing a security diagnosis system according to a first embodiment of the present invention.
【図2】 本発明の実施の形態2におけるセキュリティ
診断システムを示す図である。FIG. 2 is a diagram illustrating a security diagnosis system according to a second embodiment of the present invention.
【図3】 本発明の実施の形態3におけるセキュリティ
診断システムを示す図である。FIG. 3 is a diagram showing a security diagnosis system according to a third embodiment of the present invention.
【図4】 本発明の実施の形態4におけるセキュリティ
診断システムを示す図である。FIG. 4 is a diagram showing a security diagnosis system according to a fourth embodiment of the present invention.
【図5】 本発明の実施の形態5におけるセキュリティ
診断システムを示す図である。FIG. 5 is a diagram showing a security diagnosis system according to a fifth embodiment of the present invention.
【図6】 本発明の実施の形態6におけるセキュリティ
診断システムを示す図である。FIG. 6 is a diagram showing a security diagnosis system according to a sixth embodiment of the present invention.
1 診断装置、 2 被診断装置、 3 通信装置A
1、 4 通信装置A2、 5 対診断装置I/F部、
6a、6b タイミング制御部、 7a、7b暗号
部、 8a、8b 対インフラI/F部、 9 被診断
装置I/F部、10 インフラ回線、 11 モニタ
部。1 diagnostic device, 2 device to be diagnosed, 3 communication device A
1, 4 communication device A2, 5 pair diagnostic device I / F section,
6a, 6b Timing control unit, 7a, 7b encryption unit, 8a, 8b Infra I / F unit, 9 Diagnostic device I / F unit, 10 Infrastructure line, 11 Monitor unit.
Claims (10)
と、該被診断装置のセキュリティを通信回線を介して所
定の期間毎に診断する診断装置とを有するセキュリティ
診断システムであって、該セキュリティ診断システム
は、該診断装置と該通信回線との間に接続された第1の
通信装置と、該被診断装置と該通信回線との間に接続さ
れた第2の通信装置とを有しており、 前記第1の通信装置は、 前記診断装置と接続され、該診断装置からセキュリティ
診断の手順を示す診断手順情報が送られたことを検知し
た場合、該検知を示す検知情報を出力する対診断装置イ
ンタフェース部と、 前記対診断装置インタフェース部と接続され、該対診断
装置インタフェース部から前記検知情報を入力した場
合、前記第2の通信装置と暗号化された通信を行う前の
暗号化同期の確立に用いられる同期信号を出力する第1
のタイミング制御部と、 前記対診断装置インタフェース部と前記第1のタイミン
グ制御部とに接続され、前記暗号化同期が確立した場
合、前記対診断装置インタフェース部から前記診断手順
情報を入力して所定の暗号化を施した暗号化情報を出力
する第1の暗号部と、 前記第1のタイミング制御部と前記第1の暗号部とに接
続され、前記第1のタイミング制御部から出力された同
期信号を前記通信回線を介して前記第2の通信装置へ送
り、前記暗号化同期が確立した場合、前記第1の暗号部
から出力された前記暗号化情報を前記通信回線を介して
前記第2の通信装置へ送る第1の対通信回線インタフェ
ース部とを備え、 前記第2の通信装置は、 前記第1の対通信回線インタフェース部と前記通信回線
を介して接続され、前記第1の対通信回線インタフェー
ス部から送られた前記同期信号を入力した場合に該同期
信号を入力したことを示す同期情報を出力し、前記暗号
化同期が確立した場合に前記第1の対通信回線インタフ
ェース部から送られた前記暗号化情報を入力する第2の
対通信回線インタフェース部と、 前記第2の対通信回線インタフェース部と接続され、前
記第2の対通信回線インタフェース部から前記同期情報
を入力した場合、前記第1の通信装置に応答することに
より前記第1の通信装置と前記第2の通信装置との間で
暗号化同期の確立を行う第2のタイミング制御部と、 前記第2の対通信回線インタフェース部と前記第2のタ
イミング制御部とに接続され、前記暗号化同期が確立し
た場合、前記第2の対通信回線インタフェース部から前
記暗号化情報を入力して所定の復号化を施すことにより
得られた前記診断手順情報を出力する第2の暗号部と、 前記第2のタイミング制御部と前記第2の暗号部とに接
続され、前記暗号化同期が確立した場合、前記第2の暗
号部から出力された前記診断手順情報を被診断装置へ送
る対被診断装置インタフェース部とを備えたことを特徴
とするセキュリティ診断システム。1. A security diagnostic system comprising: a device to be diagnosed for security; and a diagnostic device for diagnosing the security of the device to be diagnosed at predetermined intervals via a communication line. Has a first communication device connected between the diagnostic device and the communication line, and a second communication device connected between the device to be diagnosed and the communication line, The first communication device is connected to the diagnostic device, and when detecting that diagnostic procedure information indicating a security diagnostic procedure is transmitted from the diagnostic device, outputs the detection information indicating the detection. An interface unit, connected to the diagnostic device interface unit, and when the detection information is input from the diagnostic device interface unit, before performing encrypted communication with the second communication device. Output the synchronization signal used to establish the encrypted synchronization of
A timing control unit, connected to the diagnostic device interface unit and the first timing control unit, and when the encryption synchronization is established, inputting the diagnostic procedure information from the diagnostic device interface unit to a predetermined A first encryption unit that outputs encrypted information that has been subjected to encryption, a synchronization unit that is connected to the first timing control unit and the first encryption unit, and that is output from the first timing control unit. A signal is sent to the second communication device via the communication line, and when the encryption synchronization is established, the encrypted information output from the first encryption unit is transmitted to the second communication device via the communication line. A first communication line interface unit for transmitting to the first communication device, the second communication device is connected to the first communication line interface unit via the communication line, and the first communication device Times When the synchronization signal sent from the line interface unit is input, synchronization information indicating that the synchronization signal is input is output, and when the encryption synchronization is established, the synchronization information is sent from the first communication line interface unit. A second communication line interface unit for inputting the obtained encrypted information; and a second communication line interface unit connected to the second communication line interface unit, wherein the synchronization information is input from the second communication line interface unit. A second timing control unit that establishes encryption synchronization between the first communication device and the second communication device by responding to the first communication device; and the second communication line pair. The encryption unit is connected to the interface unit and the second timing control unit, and when the encryption synchronization is established, the encryption information is input from the second communication line interface unit; A second encryption unit that outputs the diagnostic procedure information obtained by performing a constant decryption, is connected to the second timing control unit and the second encryption unit, and the encryption synchronization is established. And a diagnostic device interface unit for transmitting the diagnostic procedure information output from the second encryption unit to the device to be diagnosed.
と、該被診断装置のセキュリティを通信回線を介して実
時間で診断する診断装置とを有するセキュリティ診断シ
ステムであって、該セキュリティ診断システムは、該診
断装置と該通信回線との間に接続された第1の通信装置
と、該被診断装置と該通信回線との間に接続された第2
の通信装置とを有しており、 前記第1の通信装置は、 前記診断装置と接続され、該診断装置からセキュリティ
診断の手順を示す診断手順情報が送られたことを検知し
た場合、該検知を示す検知情報を出力する対診断装置イ
ンタフェース部と、 前記対診断装置インタフェース部と接続され、該対診断
装置インタフェース部から前記検知情報を入力した場
合、前記第2の通信装置と暗号化された通信を行う前の
暗号化同期の確立に用いられる同期信号を出力する第1
のタイミング制御部と、 前記対診断装置インタフェース部と前記第1のタイミン
グ制御部とに接続され、前記暗号化同期が確立した場
合、前記対診断装置インタフェース部から前記診断手順
情報を入力して所定の暗号化を施した暗号化情報を出力
する第1の暗号部と、 前記第1のタイミング制御部と前記第1の暗号部とに接
続され、前記第1のタイミング制御部から出力された同
期信号を前記通信回線を介して前記第2の通信装置へ送
り、前記暗号化同期が確立した場合、前記第1の暗号部
から出力された前記暗号化情報を前記通信回線を介して
前記第2の通信装置へ送る第1の対通信回線インタフェ
ース部とを備え、 前記第2の通信装置は、 前記第1の対通信回線インタフェース部と前記通信回線
を介して接続され、前記第1の対通信回線インタフェー
ス部から送られた前記同期信号を入力した場合に該同期
信号を入力したことを示す同期情報を出力し、前記暗号
化同期が確立した場合に前記第1の対通信回線インタフ
ェース部から送られた前記暗号化情報を入力する第2の
対通信回線インタフェース部と、 前記第2の対通信回線インタフェース部と接続され、前
記第2の対通信回線インタフェース部から前記同期情報
を入力した場合、前記第1の通信装置に応答することに
より前記第1の通信装置と前記第2の通信装置との間で
暗号化同期の確立を行う第2のタイミング制御部と、 前記第2の対通信回線インタフェース部と前記第2のタ
イミング制御部とに接続され、前記暗号化同期が確立し
た場合、前記第2の対通信回線インタフェース部から前
記暗号化情報を入力して所定の復号化を施すことにより
得られた前記診断手順情報を出力する第2の暗号部と、 前記第2のタイミング制御部と前記第2の暗号部とに接
続され、前記暗号化同期が確立した場合、前記第2の暗
号部から出力された前記診断手順情報を被診断装置へ送
る対被診断装置インタフェース部とを備えたことを特徴
とするセキュリティ診断システム。2. A security diagnostic system comprising: a device to be diagnosed for security; and a diagnostic device for diagnosing the security of the device to be diagnosed in real time via a communication line. A first communication device connected between the diagnostic device and the communication line; and a second communication device connected between the device to be diagnosed and the communication line.
The first communication device is connected to the diagnostic device, and when detecting that diagnostic procedure information indicating a security diagnostic procedure is transmitted from the diagnostic device, the first communication device performs the detection. A diagnostic device interface unit that outputs detection information indicating, the diagnostic device interface unit is connected to the diagnostic device interface unit, and when the detection information is input from the diagnostic device interface unit, the second communication device is encrypted. A first output of a synchronization signal used for establishing encryption synchronization before communication is performed
A timing control unit, connected to the diagnostic device interface unit and the first timing control unit, and when the encryption synchronization is established, inputting the diagnostic procedure information from the diagnostic device interface unit to a predetermined A first encryption unit that outputs encrypted information that has been subjected to encryption, a synchronization unit that is connected to the first timing control unit and the first encryption unit, and that is output from the first timing control unit. A signal is sent to the second communication device via the communication line, and when the encryption synchronization is established, the encrypted information output from the first encryption unit is transmitted to the second communication device via the communication line. A first communication line interface unit for transmitting to the first communication device, the second communication device is connected to the first communication line interface unit via the communication line, and the first communication device Times When the synchronization signal sent from the line interface unit is input, synchronization information indicating that the synchronization signal is input is output, and when the encryption synchronization is established, the synchronization information is sent from the first communication line interface unit. A second communication line interface unit for inputting the obtained encrypted information; and a second communication line interface unit connected to the second communication line interface unit, wherein the synchronization information is input from the second communication line interface unit. A second timing control unit that establishes encryption synchronization between the first communication device and the second communication device by responding to the first communication device; and the second communication line pair. The encryption unit is connected to the interface unit and the second timing control unit, and when the encryption synchronization is established, the encryption information is input from the second communication line interface unit; A second encryption unit that outputs the diagnostic procedure information obtained by performing a constant decryption, is connected to the second timing control unit and the second encryption unit, and the encryption synchronization is established. And a diagnostic device interface unit for transmitting the diagnostic procedure information output from the second encryption unit to the device to be diagnosed.
記対診断装置インタフェース部から入力した前記診断手
順情報に暗号化を施さずに出力し、前記第1の対通信回
線インタフェース部は、前記第1の暗号部が出力した前
記診断手順情報を前記通信回線を介して前記第2の通信
装置へ送るものであり、 前記第2の通信装置において、前記第2の対通信回線イ
ンタフェース部は、前記第1の対通信回線インタフェー
ス部から送られた前記診断手順情報を入力し、該診断手
順情報を入力して復号化を施さずに出力するものであ
り、 前記被診断装置からセキュリティ診断の診断結果を示す
診断結果情報が送られた場合、 前記第2の通信装置において、前記対被診断装置インタ
フェース部は該診断結果情報を前記第2の暗号部へ出力
し、前記第2の暗号部は該診断結果情報を入力して所定
の暗号化を施した診断結果の暗号化情報を出力し、前記
第2の対通信回線インタフェース部は前記第2の暗号部
から該診断結果の暗号化情報を入力して前記通信回線を
介して前記第1の対通信回線インタフェース部へ送るも
のであり、 前記第1の通信装置において、前記第1の対通信回線イ
ンタフェース部は前記通信回線を介して送られた前記診
断結果の暗号化情報を入力し、前記第1の暗号部は前記
第1の対通信回線インタフェース部から該診断結果の暗
号化情報を入力して所定の復号化を施すことにより得ら
れた前記診断結果情報を出力し、前記対診断装置インタ
フェース部は前記第1の暗号部から前記診断結果情報を
入力して前記診断装置へ出力することを特徴とする請求
項1または2記載のセキュリティ診断システム。3. When the encryption synchronization is established, in the first communication device, the first encryption unit does not encrypt the diagnostic procedure information input from the diagnostic device interface unit. The first communication line interface unit outputs the diagnostic procedure information output by the first encryption unit to the second communication device via the communication line. In the communication device, the second paired communication line interface unit inputs the diagnostic procedure information sent from the first paired communication line interface unit, inputs the diagnostic procedure information, and performs no decoding. Outputting diagnostic result information indicating a result of security diagnosis from the device to be diagnosed, in the second communication device, the interface with the device to be diagnosed performs the diagnosis. And outputs the result information to the second encryption unit. The second encryption unit inputs the diagnosis result information, outputs encrypted information of the diagnosis result obtained by performing predetermined encryption, and outputs the second paired information. A communication line interface unit for inputting the encrypted information of the diagnosis result from the second encryption unit and transmitting the encrypted information to the first paired communication line interface unit via the communication line; In the first communication line interface unit, the encrypted information of the diagnosis result sent via the communication line is input, and the first encryption unit receives the encrypted information from the first communication line interface unit. Inputting the encrypted information of the diagnostic result and outputting the diagnostic result information obtained by performing predetermined decryption, the diagnostic device interface unit inputs the diagnostic result information from the first encryption unit To the diagnostic device Security diagnostic system of claim 1, wherein that.
診断結果を示す診断結果情報が送られた場合、 前記第2の通信装置において、前記対被診断装置インタ
フェース部は該診断結果情報を前記第2の暗号部へ出力
し、前記第2の暗号部は該診断結果情報を入力して所定
の暗号化を施した診断結果の暗号化情報を出力し、前記
第2の対通信回線インタフェース部は前記第2の暗号部
から該診断結果の暗号化情報を入力して前記通信回線を
介して前記第1の対通信回線インタフェース部へ送るも
のであり、 前記第1の通信装置において、前記第1の対通信回線イ
ンタフェース部は前記通信回線を介して送られた前記診
断結果の暗号化情報を入力し、前記第1の暗号部は前記
第1の対通信回線インタフェース部から該診断結果の暗
号化情報を入力して所定の復号化を施すことにより得ら
れた前記診断結果情報を出力し、前記対診断装置インタ
フェース部は前記第1の暗号部から前記診断結果情報を
入力して前記診断装置へ出力することを特徴とする請求
項1または2記載のセキュリティ診断システム。4. When the diagnosis result information indicating the diagnosis result of the security diagnosis is transmitted from the device to be diagnosed, in the second communication device, the interface to the device to be diagnosed transmits the diagnosis result information to the second communication device. The second encryption unit inputs the diagnosis result information and outputs encryption information of a diagnosis result obtained by performing predetermined encryption, and the second communication line interface unit outputs The second communication unit inputs encrypted information of the diagnosis result from the second encryption unit and sends the encrypted information to the first communication line interface unit via the communication line. The communication line interface unit inputs the diagnosis result encryption information sent via the communication line, and the first encryption unit transmits the diagnosis result encryption information from the first communication line interface unit. Enter And outputting the diagnostic result information obtained by performing the predetermined decryption, and the diagnostic device interface unit inputs the diagnostic result information from the first encryption unit and outputs the information to the diagnostic device. The security diagnosis system according to claim 1 or 2, wherein
部が施す所定の暗号化は、ハッシュ関数を用いることを
特徴とする請求項1ないし4のいずれかに記載のセキュ
リティ診断システム。5. The security diagnosis system according to claim 1, wherein the predetermined encryption performed by the first encryption unit or the second encryption unit uses a hash function.
介して所定の期間毎に診断装置が診断するセキュリティ
診断方法であって、該診断装置は該通信回線との間に接
続された第1の通信装置を有し、該被診断装置は該通信
回線との間に接続された第2の通信装置を有しており、 第1の通信装置が、該診断装置からセキュリティ診断の
手順を示す診断手順情報が送られたことを検知した場
合、該検知を示す検知情報を出力する対診断装置インタ
フェースステップと、 前記対診断装置インタフェースステップにおいて前記検
知情報が出力された場合、前記第1の通信装置が、前記
第2の通信装置と暗号化された通信を行う前の暗号化同
期の確立に用いられる同期信号を出力する第1のタイミ
ング制御ステップと、 前記第1のタイミング制御ステップにおいて出力された
同期信号を前記通信回線を介して前記第2の通信装置へ
送る同期信号送信ステップと、 前記同期信号送信ステップにおいて同期信号同期信号が
送られた場合、前記第1の通信装置に応答することによ
り前記第1の通信装置と前記第2の通信装置との間で暗
号化同期の確立を行う第2のタイミング制御ステップ
と、 前記暗号化同期が確立した場合、前記対診断装置インタ
フェースステップにおいて検知した前記診断手順情報に
所定の暗号化を施した暗号化情報を出力する第1の暗号
化ステップと、 前記第1の暗号化ステップにより出力された前記暗号化
情報を前記通信回線を介して前記第2の通信装置へ送る
第1の対通信回線インタフェースステップと、 前記第1の対通信回線インタフェースステップにより送
られた前記暗号化情報を入力して所定の復号化を施すこ
とにより得られた前記診断手順情報を出力する第2の暗
号化ステップと、 前記第2の暗号化ステップにより出力された前記診断手
順情報を被診断装置へ送る対被診断装置インタフェース
ステップとを備えたことを特徴とするセキュリティ診断
方法。6. A security diagnosis method in which a diagnostic device diagnoses security of a device to be diagnosed at predetermined intervals via a communication line, wherein the diagnostic device is connected to a first line connected to the communication line. A communication device, wherein the device to be diagnosed has a second communication device connected to the communication line, and a first communication device performs a diagnosis from the diagnosis device to indicate a security diagnosis procedure. When detecting that the procedure information has been sent, the diagnostic device interface step of outputting detection information indicating the detection, and the first communication device when the detection information is output in the diagnostic device interface step A first timing control step of outputting a synchronization signal used for establishing encryption synchronization before performing encrypted communication with the second communication apparatus; and a first timing control step of outputting a synchronization signal. Transmitting the synchronization signal output in the step to the second communication device through the communication line; and transmitting the synchronization signal in the synchronization signal transmitting step, the first communication being performed. A second timing control step of establishing encryption synchronization between the first communication device and the second communication device by responding to the device; and performing the diagnosis when the encryption synchronization is established. A first encryption step of outputting encrypted information obtained by performing predetermined encryption on the diagnostic procedure information detected in the device interface step; and transmitting the encrypted information output in the first encryption step to the communication. A first paired communication line interface step for sending to the second communication device via a line; and a first paired communication line interface step. A second encryption step of outputting the diagnostic procedure information obtained by inputting the encryption information and performing a predetermined decryption, and the diagnostic procedure information output by the second encryption step A diagnostic device interface step for sending to the device to be diagnosed.
介して所定の期間毎に診断装置が診断するセキュリティ
診断方法であって、該診断装置は該通信回線との間に接
続された第1の通信装置を有し、該被診断装置は該通信
回線との間に接続された第2の通信装置を有しており、 第1の通信装置が、該診断装置からセキュリティ診断の
手順を示す診断手順情報が送られたことを検知した場
合、該検知を示す検知情報を出力する対診断装置インタ
フェースステップと、 前記対診断装置インタフェースステップにおいて前記検
知情報が出力された場合、前記第1の通信装置が、前記
第2の通信装置と暗号化された通信を行う前の暗号化同
期の確立に用いられる同期信号を出力する第1のタイミ
ング制御ステップと、 前記第1のタイミング制御ステップにおいて出力された
同期信号を前記通信回線を介して前記第2の通信装置へ
送る同期信号送信ステップと、 前記同期信号送信ステップにおいて同期信号同期信号が
送られた場合、前記第1の通信装置に応答することによ
り前記第1の通信装置と前記第2の通信装置との間で暗
号化同期の確立を行う第2のタイミング制御ステップ
と、 前記暗号化同期が確立した場合、前記対診断装置インタ
フェースステップにおいて検知した前記診断手順情報に
所定の暗号化を施した暗号化情報を出力する第1の暗号
化ステップと、 前記第1の暗号化ステップにより出力された前記暗号化
情報を前記通信回線を介して前記第2の通信装置へ送る
第1の対通信回線インタフェースステップと、 前記第1の対通信回線インタフェースステップにより送
られた前記暗号化情報を入力して所定の復号化を施すこ
とにより得られた前記診断手順情報を出力する第2の暗
号化ステップと、 前記第2の暗号化ステップにより出力された前記診断手
順情報を被診断装置へ送る対被診断装置インタフェース
ステップとを備えたことを特徴とするセキュリティ診断
方法。7. A security diagnosis method in which a diagnostic device diagnoses security of a device to be diagnosed at predetermined intervals via a communication line, wherein the diagnostic device is connected to a first line connected to the communication line. A communication device, wherein the device to be diagnosed has a second communication device connected to the communication line, and a first communication device performs a diagnosis from the diagnosis device to indicate a security diagnosis procedure. When detecting that the procedure information has been sent, the diagnostic device interface step of outputting detection information indicating the detection, and the first communication device when the detection information is output in the diagnostic device interface step A first timing control step of outputting a synchronization signal used for establishing encryption synchronization before performing encrypted communication with the second communication apparatus; and a first timing control step of outputting a synchronization signal. Transmitting the synchronization signal output in the step to the second communication device through the communication line; and transmitting the synchronization signal in the synchronization signal transmitting step, the first communication being performed. A second timing control step of establishing encryption synchronization between the first communication device and the second communication device by responding to the device; and performing the diagnosis when the encryption synchronization is established. A first encryption step of outputting encrypted information obtained by performing predetermined encryption on the diagnostic procedure information detected in the device interface step; and transmitting the encrypted information output in the first encryption step to the communication. A first paired communication line interface step for sending to the second communication device via a line; and a first paired communication line interface step. A second encryption step of outputting the diagnostic procedure information obtained by inputting the encryption information and performing a predetermined decryption, and the diagnostic procedure information output by the second encryption step A diagnostic device interface step for sending to the device to be diagnosed.
ェースステップにおいて検知した前記診断手順情報に暗
号化を施さずに出力し、前記第1の対通信回線インタフ
ェースステップは、前記第1の暗号化ステップにより出
力された前記診断手順情報を前記通信回線を介して前記
第2の通信装置へ送ものであり、 前記第2の暗号化ステップは、前記第1の対通信回線イ
ンタフェースステップにより送られた前記診断手順情報
を入力して復号化を施さずに出力するものであり、 前記被診断装置からセキュリティ診断の診断結果を示す
診断結果情報が送られた場合、 前記第2の通信装置において、該診断結果情報を入力し
て所定の暗号化を施した診断結果の暗号化情報を前記通
信回線を介して前記第1の通信装置へ送り、 前記第1の通信装置において、前記通信回線を介して送
られた前記診断結果の暗号化情報を入力し、所定の復号
化を施すことにより得られた前記診断結果情報を前記診
断装置へ出力することを特徴とする請求項6または7記
載のセキュリティ診断方法。8. When the encryption synchronization is established, the first encrypting step outputs the diagnostic procedure information detected in the diagnostic device interface step without encrypting the information, and outputs the first diagnostic procedure information without encrypting the diagnostic procedure information. The communication line interface step sends the diagnostic procedure information output in the first encryption step to the second communication device via the communication line, and the second encryption step includes: The diagnostic procedure information transmitted by the first communication line interface step is input and output without decoding, and diagnostic result information indicating a security diagnostic diagnosis result is transmitted from the device to be diagnosed. In the second communication device, the diagnosis result information is input, and the encrypted information of the diagnosis result obtained by performing predetermined encryption is previously transmitted via the communication line. Sending to the first communication device, wherein in the first communication device, the diagnosis result obtained by inputting the encrypted information of the diagnosis result sent via the communication line and performing predetermined decryption; 8. The security diagnosis method according to claim 6, wherein information is output to the diagnosis device.
診断結果を示す診断結果情報が送られた場合、 前記第2の通信装置において、該診断結果情報を入力し
て所定の暗号化を施した診断結果の暗号化情報を前記通
信回線を介して前記第1の通信装置へ送り、 前記第1の通信装置において、前記通信回線を介して送
られた前記診断結果の暗号化情報を入力し、所定の復号
化を施すことにより得られた前記診断結果情報を前記診
断装置へ出力することを特徴とする請求項6または7記
載のセキュリティ診断方法。9. When the diagnosis result information indicating the diagnosis result of the security diagnosis is transmitted from the device to be diagnosed, the second communication device inputs the diagnosis result information and performs a predetermined encryption. Sending the encrypted information of the result to the first communication device via the communication line, and inputting the encrypted information of the diagnosis result sent via the communication line in the first communication device, 8. The security diagnostic method according to claim 6, wherein the diagnostic result information obtained by performing the decryption is output to the diagnostic device.
第2の暗号化ステップにおいて施される所定の暗号化
は、ハッシュ関数を用いることを特徴とする請求項6な
いし9のいずれかに記載のセキュリティ診断方法。10. The method according to claim 6, wherein the predetermined encryption performed in the first encryption step or the second encryption step uses a hash function. Security diagnostic method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000162096A JP2001344206A (en) | 2000-05-31 | 2000-05-31 | Security diagnosis system and its method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000162096A JP2001344206A (en) | 2000-05-31 | 2000-05-31 | Security diagnosis system and its method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001344206A true JP2001344206A (en) | 2001-12-14 |
Family
ID=18666035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000162096A Pending JP2001344206A (en) | 2000-05-31 | 2000-05-31 | Security diagnosis system and its method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001344206A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100412238B1 (en) * | 2001-12-27 | 2003-12-24 | 한국전자통신연구원 | The Management System and method of Internet Security Platform for IPsec |
| KR100474155B1 (en) * | 2002-05-14 | 2005-03-08 | 한국전자통신연구원 | System and method for analyzing vulnerability in distributed network environment |
| CN113031559A (en) * | 2021-02-26 | 2021-06-25 | 天津中德应用技术大学 | Remote diagnosis method and system for forging line |
-
2000
- 2000-05-31 JP JP2000162096A patent/JP2001344206A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100412238B1 (en) * | 2001-12-27 | 2003-12-24 | 한국전자통신연구원 | The Management System and method of Internet Security Platform for IPsec |
| KR100474155B1 (en) * | 2002-05-14 | 2005-03-08 | 한국전자통신연구원 | System and method for analyzing vulnerability in distributed network environment |
| CN113031559A (en) * | 2021-02-26 | 2021-06-25 | 天津中德应用技术大学 | Remote diagnosis method and system for forging line |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612698B (en) | Commercial password detection method, device and system | |
| Nesa et al. | Design of a chaos-based encryption scheme for sensor data using a novel logarithmic chaotic map | |
| WO2018127081A1 (en) | Method and system for obtaining encryption key | |
| AU2022100184A4 (en) | System for and method of authenticating a component of an electronic device | |
| CN113923655B (en) | Data decryption receiving method and device based on adjacent nodes | |
| WO2017080356A1 (en) | Secure input method, device and system | |
| JPH0227389A (en) | Enciphering method and enciphering device/decoding device using enciphering method concerned | |
| JP2012080152A (en) | Encryption system, encryption apparatus, decryption apparatus, encryption system program and encryption method | |
| CN111178874B (en) | Transaction method and system based on blockchain cold wallet | |
| JP2001318786A (en) | Program construction method and method for executing the program | |
| CN114531239A (en) | Data transmission method and system for multiple encryption keys | |
| CN112425116A (en) | Intelligent door lock wireless communication method, intelligent door lock, gateway and communication equipment | |
| JP2001344206A (en) | Security diagnosis system and its method | |
| CN110557591B (en) | Network camera, video encryption transmission system and video encryption method | |
| CN112910641B (en) | Verification method and device for cross-link transaction supervision, relay link node and medium | |
| JP2000216773A (en) | Method and system for discriminating propriety of encrypted information | |
| CN110932843B (en) | Data communication encryption method for embedded system | |
| Park et al. | Secure Message Transmission against Remote Control System | |
| CN112765686A (en) | Power consumption attack prevention framework and method for algorithm key in chip | |
| Han et al. | Scalable and secure virtualization of hsm with scaletrust | |
| JPS60102038A (en) | Cipher communication system | |
| CN110855628A (en) | Data transmission method and system | |
| US20040091113A1 (en) | Interface apparatus for monitoring encrypted network | |
| JPH0777933A (en) | Network data ciphering device | |
| CN112637240B (en) | Protocol message tamper-proof method and system under mimicry environment and readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050315 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050422 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050705 |