JP2003348072A - Method and device for managing encryption key in autonomous distribution network - Google Patents

Method and device for managing encryption key in autonomous distribution network

Info

Publication number
JP2003348072A
JP2003348072A JP2002156613A JP2002156613A JP2003348072A JP 2003348072 A JP2003348072 A JP 2003348072A JP 2002156613 A JP2002156613 A JP 2002156613A JP 2002156613 A JP2002156613 A JP 2002156613A JP 2003348072 A JP2003348072 A JP 2003348072A
Authority
JP
Grant status
Application
Patent type
Prior art keywords
key
distribution
autonomous
networks
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002156613A
Other languages
Japanese (ja)
Inventor
Yasuko Fukuzawa
Shuichi Ishida
修一 石田
寧子 福澤
Original Assignee
Hitachi Ltd
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Abstract

PROBLEM TO BE SOLVED: To enhance security by achieving encryption communication in communication between different autonomous distribution networks in a system for connecting a plurality of autonomous distribution networks.
SOLUTION: This management method includes: a method (608) for sharing a key for key distribution by performing authentication among key management devices 101, 102, 103 of the respective autonomous distribution networks when autonomous distribution networks 109, 111 are connected with a host autonomous distribution network 108 for connecting autonomous distribution networks together; a method (617) for preliminarily inquiring (605) whether or not an applicable encryption key exists in the key management device 101 of other autonomous distribution network 109 when the encryption key is issued in the local autonomous distribution network 111, for issuing the key when the key exists (610) and for generating and issuing the key by the key management device 103 by which the inquiry is made when the key does not exist (618); and a method for periodically updating the key by the device issuing the key and for transmitting a key update request to the key management devices of other autonomous distribution networks as well.
COPYRIGHT: (C)2004,JPO

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】本発明は、ブロードキャスト通信を基本とする自律分散システム、および、複数の自律分散網を結合することにより構成されるシステムにおいて、通信のセキュリティを保持するための自律分散網における暗号鍵の管理方法および装置に関する。 BACKGROUND OF THE INVENTION The present invention is an autonomous distributed system based broadcast communication, and, in a system configured by combining a plurality of autonomous distributed network, the autonomous distributed network for holding the communication security regarding management method and apparatus of the encryption key in.

【0002】 [0002]

【従来の技術】ネットワーク全体に対して、一斉にメッセージの送信を行うブロードキャストは、イーサネット(登録商標)の第2層で行われる場合、およびIP(I Respect BACKGROUND ART entire network, broadcasts that transmits broadcast the message, if performed in the second layer of the Ethernet (registered trademark), and IP (I
nternet Protocol)のような第3層で行われる場合などがある。 And the like when performed in the third layer, such as nternet Protocol). そして、通常は、ブロードキャストを行うための特別な宛先アドレスが指定されて、 And, normally, a special destination address for performing the broadcast is designated,
送信される。 It is sent. ブロードキャストの利用例としては、DH As example of the use of the broadcast, DH
CP(DynamicHost Configurat CP (DynamicHost Configurat
ion Protocol)などがあり、これを利用してTCP/IPパラメータの割り当てを受けるクライアントは、最初にブロードキャストを実行してDHCPサーバを探索する。 ion Protocol) include, the client receives the allocation of the TCP / IP parameters Using this, first perform a broadcast searching for a DHCP server.

【0003】ブロードキャストが多発すると、それがネットワークのトラヒックの多くを占めるため、全体の伝送効率が低下する。 [0003] When the broadcast frequently, it to occupy a lot of network traffic, it decreases the overall transmission efficiency. そこで、ある程度大規模なネットワークでは、ルータを用いてネットワークを複数のブロードキャスト・ドメインに分割することが行われる。 Therefore, in the somewhat larger networks, it is performed to divide the network into multiple broadcast domains using routers. ルータはブロードキャストを中継しないので、ブロードキャスト・ドメインを分割するために利用される。 Since the router does not relay broadcast is utilized to divide the broadcast domain.

【0004】自律分散システム(ADS:Automo [0004] Autonomous Systems (ADS: Automo
us DecentralizedSystem)は、 us DecentralizedSystem) is,
送る側からデータのみを添付して、アドレスを添付せずブロードキャスト送信することで、受ける側が自分のデータであるか否かを判断して、そうであれば受信処理を行い、関係なければ廃棄する通信システムである。 Attach only data from the side sending, by broadcasting without attaching an address, the receiving end is determined whether or not their data, performs reception processing if so, discard If the relationship it is a communication system.

【0005】実際には、光ファイバーを使用した加入者系システムで用いられている。 In practice, it is used in subscriber systems using optical fibers. すなわち、加入者線収容局から個々のユーザ宅までそれぞれ個別に光ファイバーを設置するのではなく、光ファイバーを途中で光分岐装置(RT)でスター型に分配する。 That is, rather than installing a respective optical fibers separately from the subscriber line central office to individual user's home, to distribute in a star-type with an optical branching device (RT) an optical fiber on the way. このため、加入者線収容局と光分岐装置の間では、通信が多重される。 Therefore, between the subscriber line central office and an optical branching device, communication is multiplexed. 加入者線収容局と光分岐装置で二段階のスター構造をとっているので、ダブルスターの名称が付けられている。 Since taking a two-stage star structure and an optical branching device subscriber line central office, the name of the Double Star is attached.

【0006】このような自律分散網においては、送信側に接続される全てのユーザーが送信データを受信することができるため、セキュリティ技術が重要な問題となる。 [0006] In such an autonomous distributed network, it is possible that all users connected to the transmission side receives the transmitted data, security technology is an important problem. 自律分散網におけるセキュリティ技術は、例えば、 Security technology in the autonomous distributed network, for example,
石田:“Study ofSecurity Tech Ishida: "Study ofSecurity Tech
niques in the Vehicle−Roa niques in the Vehicle-Roa
d Communications System”, d Communications System ",
8th World Congress on Int 8th World Congress on Int
elligent TransportSystem elligent TransportSystem
s,2001.10(以下、前提案と記す)の中に記載されている。 s, are described in the 2001.10 (hereinafter, referred to as the previous proposal).

【0007】 [0007]

【発明が解決しようとする課題】前記提案のシステムは、単一の自律分散網によって構成されるシステムか、 System of the proposed [SUMMARY OF THE INVENTION] is either a system constituted by a single autonomous distributed network,
あるいは複数の自律分散網が接続したシステム全体で1 Or more autonomous distributed network the entire system connected 1
台の鍵管理用の装置を設置するようなシステムを想定している。 It is assumed the system, such as installing the apparatus of the table of key management. このため、それぞれに鍵管理用の装置をもち、 For this reason, it has a device for key management, respectively,
別々の自律分散網を接続するシステムにおける暗号鍵の配布方法や更新方法は規定していない。 Distribution methods and the method of updating the encryption key in a system for connecting the different autonomous distributed network is not defined.

【0008】そこで、本発明の目的は、このような従来の課題を解決し、それぞれに鍵管理用の装置をもつ別々の自律分散網を接続するシステムにおいて、別々の自律分散網をまたがる通信において暗号通信を実現するために、別々の自律分散網間で同じ暗号鍵の共有を可能とする鍵の配布方法と更新方法、さらに、それらの実現の前提となる認証方法や暗号通信方法を実現する自律分散網における暗号鍵の管理方法および装置を提供することである。 An object of the present invention is a system that connects such to solve the conventional problems, separate autonomous distributed network with devices for key management, each, in a communication across the different autonomous distributed network to realize encrypted communication, distribution methods and the method of updating the key to enable the sharing of the same encryption key in different autonomous distributed networks, further implementing the authentication method and the encryption communication method is a prerequisite to their realization to provide a management method and apparatus of the encryption key in an autonomous distributed network.

【0009】 [0009]

【課題を解決するための手段】上記目的を達成するため、本発明の自律分散網における暗号鍵の管理方法は、 To achieve the above object, according to an aspect of the management method of the encryption key in an autonomous distributed network of the present invention,
複数の自律分散網を接続する自律分散網において、自律分散網間で同じ暗号鍵の共有を実現するためために、ローカル自律分散網で鍵を発行するとき、他のローカル自律分散網の鍵を管理する装置に暗号鍵がすでに登録されているかを問い合わせ、暗号鍵が存在しない場合にのみ暗号鍵を新たに生成し、暗号鍵を生成した装置が該当する鍵に関して鍵の更新を行う管理装置になるものである。 In autonomous distributed network for connecting a plurality of autonomous distributed network, in order to achieve the sharing of the same encryption key in an autonomous distributed networks, when issuing the key in the local autonomous distributed network, the keys of other local autonomous distributed network whether the encryption key to a device for management is already registered inquiry, the encryption key is newly generated only if there is no encryption key, the management apparatus to perform the update of the key with respect to key device generates an encryption key is applicable it become one. 以降、簡単のため、複数の自律分散網を接続する自律分散網を上位自律分散網、上位自律分散網によって接続されるそれぞれの自律分散網をローカル自律分散網と呼ぶ。 Since, for simplicity, it referred to the higher autonomous distributed network an autonomous distributed network for connecting a plurality of autonomous distributed network, each of the autonomous distributed network connected by the upper autonomous distributed network and a local autonomous distributed network.

【0010】上位自律分散網に接続するローカル自律分散網の鍵の管理装置は、上位自律分散網にに接続している他のローカル自律分散網の鍵管理装置に対して乱数を配布し、認証を行い、認証の結果で正当と判断した鍵管理装置の鍵配布用鍵を登録する。 [0010] The management device of a key of the local autonomous distributed network to connect to higher-level autonomous distributed network, to distribute the random number to the other local autonomous distributed network of key management device that is connected to the higher-level autonomous distributed network, authentication It was carried out, to register the key distribution for the key of the key management device it is determined to be valid in the result of the authentication. 逆に、上位自律分散網に接続している他のローカル自律分散網の鍵管理装置も、上位自律分散網に接続するローカル自律分散網の鍵管理装置に対して乱数を配布し、認証を行い、認証の結果で正当と判断した鍵管理装置の鍵配布鍵を登録する。 Conversely, other local autonomous distributed network key management device connected to the upper autonomous distributed network also distributes the random number to the key management device of the local autonomous distributed network for connecting to the upper autonomous distributed network performs authentication , to register the key distribution key of the key management device it is determined to be valid in the result of the authentication.
以上の方法により、上位自律分散網に接続する鍵管理装置は互いの鍵配布用の鍵を共有することができる。 By the above method, the key management device connected to the upper autonomous distributed network can share a key for mutual key distribution.

【0011】鍵配布装置が管理するローカル自律分散網内の装置が暗号鍵を必要とする場合、ローカル自律分散網内の装置は、鍵管理装置に暗号鍵を問い合わせる。 [0011] If the device in the local autonomous distributed network of key distribution device manages requires an encryption key, device within the local autonomous distributed network, query the encryption key to the key management device. 暗号鍵の問い合わせを受けた鍵管理装置は、すでに該当する暗号鍵を持っている場合には、その暗号鍵を配布し、 The key management device that has received the inquiry of the encryption key is, if you have already the appropriate encryption key, and distribute the encryption key,
該当する暗号鍵がない場合には、他のローカル自律分散網の鍵管理装置に対応する鍵があるか問い合わせを行い、対応する鍵がない場合にのみ暗号鍵を新たに生成して発行する。 If there is no corresponding encryption key, it inquires whether there is a key corresponding to the key management device of the other local autonomous distributed network, and issues newly generates an encryption key only if there is no corresponding key. 鍵を発行した鍵管理装置は、以降該当する鍵に対して定期的な鍵更新を行う装置となり、該当する鍵を更新するときには、他のローカル自律分散網の鍵管理装置に対しても鍵の更新通知を送信する。 The key management apparatus that issued the key becomes a device for performing periodic key update for subsequent appropriate key, when updating the corresponding key is also key to the key management device of another local autonomous distributed network to send an update notification.

【0012】以上の方法により、上位自律分散網によって接続される複数の自律分散網で同じ暗号鍵を共有することが可能となり、異なる自律分散網の間の通信における暗号通信が可能となる。 [0012] By the above method, it becomes possible to a plurality of autonomous distributed network connected by the upper autonomous distributed network share the same encryption key, it is possible to cipher communication in the communication between the different autonomous distributed network.

【0013】 [0013]

【発明の実施の形態】以下、本発明の実施例を、図面により詳細に説明する。 DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings. 図1は、本発明の一実施例を示す複数の自律分散網が相互接続しているネットワークの構成図である。 1, a plurality of autonomous distributed network showing an embodiment of the present invention is a configuration diagram of a network interconnecting. 本実施例では、走行する車両と無線通信を行う基地局104,105,106を自律分散網で接続するシステムを想定している。 In this embodiment, the base station 104, 105, 106 to perform the vehicle and wireless communication travels assumes a system for connecting an autonomous distributed network. なお、図1では、ローカル路側網110には、何も記載がないが、他と同じように基地局などが接続されている。 In FIG. 1, the local roadside network 110, but there is no description nothing, etc. just like a base station and other are connected. 基地局を接続する自律分散網を路側網と呼ぶこととする。 An autonomous distributed network for connecting the base station is referred to as roadside network. すなわち、ITS In other words, ITS
(Intelligent Transport Sy (Intelligent Transport Sy
stem)では、道路の側に通信網を配線していることから、路側網と呼ばれる。 In stem), since it is wired communication network on the side of the road, called road network.

【0014】基地局104,105,106は、数台から数十台ごとにローカル路側網109,110,111 [0014] The base station 104, 105, and 106 local road network for each dozens from several units 109, 110, and 111
を構成し、複数のローカル路側網109,110,11 Constitute a plurality of local road network 109,110,11
1を上位路側網108が接続している構成となっている. 1 upper roadside network 108 has a configuration that is connected. ローカル路側網109,110,111には、ゲートウェイ101,102,103と基地局104,10 The local roadside network 109, 110 and 111, gateways 101, 102, 103 and the base station 104,10
5,106とローカルサーバ107が接続している。 5,106 local server 107 is connected. ローカル路側網と上位路側網は自律分散網(ADS)となっており、各路側網内の通信はブロードキャストされ、 Local roadside network and higher roadside network has become a self-organized distribution network (ADS), communication within each roadside network is broadcast,
受信側が受信するかしないかを判断する. To determine whether the receiving side does not want to receive.

【0015】以降、路側網内にデータを送信するという記載は、基本的に路側網内にブロードキャストされることを意味する。 [0015] Hereinafter, described that transmits the data to the roadside network means be broadcast essentially the roadside network. ゲートウェイはローカル路側網と上位路側網の両方に接続しており、各路側網の橋渡しを行う。 The gateway is connected to both local roadside network and higher roadside network, to bridge the respective roadside network.
本実施例では、ゲートウェイ101は上位路側網108 In this embodiment, the gateway 101 is higher roadside network 108
とローカル路側網109を接続し、ゲートウェイ102 And connecting the local roadside network 109, gateway 102
は上位路側網108とローカル路側網110を接続し、 Connect the upper roadside network 108 and the local road network 110,
ゲートウェイ103は上位路側網108とローカル路側網111と接続している。 The gateway 103 is connected to the upper path side network 108 and the local road network 111. ローカルサーバは、鍵管理の面から基地局と同じ扱いとなるので、以降の説明からは省略する。 The local server, since the same treatment as the base station in terms of key management, omitted from the following description. 自律分散網において、鍵管理用の装置を設定し、自律分散網に新規の装置を接続するときには、鍵管理用の装置と新規に接続する装置の間で認証を行い、鍵管理用の装置が必要な暗号鍵の配布と、暗号鍵の定期的な更新を管理している。 In autonomous distributed network, set the device for key management, when connecting a new device to an autonomous distributed network performs authentication between the device connected to the apparatus and a new key management apparatus for key management are management and distribution of cryptographic keys required, regular updates of the encryption key.

【0016】図2は、図1におけるゲートウェイ装置の概略構成図である。 [0016] Figure 2 is a schematic configuration diagram of a gateway device in FIG. 図2に示すように、本実施例のゲートウェイ装置は、CPU201と、入力装置202と、 As shown in FIG. 2, the gateway apparatus of the present embodiment includes a CPU 201, an input device 202,
出力装置203と、通信装置204と、メモリ205とを有している。 An output device 203, a communication device 204, and a memory 205. CPU201は、ゲートウェイ装置全体の動作を制御する装置である。 CPU201 is a device that controls the overall operation of the gateway device. メモリ205は、ゲートウェイ装置全体の動作を制御する際に、そのための各種プログラムやデータをロードする記憶装置である。 Memory 205, in controlling the operation of the entire gateway device, a storage device for loading various programs and data therefor. 入力装置202は、ゲートウェイ装置に対して鍵など設定情報の入力や、鍵更新実行など路側網管理用コマンドの入力を行う装置である。 Input device 202 includes an input and the setting information key to the gateway device is a device for inputting roadside network for management commands such as key update execution.

【0017】出力装置203は、ゲートウェイや路側網の状態など、管理に伴う各種出力を行う装置である。 The output device 203, such as the status of the gateway and roadside network, a device for performing various outputs of managing. 通信装置204は上位路側網やローカル路側網、あるいはその他に接続するネットワークを介して他の処理装置との通信を行う装置である。 Communication device 204 is a device for communicating with other processing apparatus via a network connecting the upper roadside network or a local road network, or other. 図2では、上位路側網への接続a、ローカル路側網への接続b、その他の処理装置への接続cのそれぞれが設けられる。 In Figure 2, connecting a to a higher roadside network, connected to the local road network b, each connection c to the other processing device is provided. また、ゲートウェイ装置は、認証を行う認証処理部206と、暗号化を行う暗号化処理部207と、鍵を発行する鍵発行処理部20 Also, the gateway apparatus, an authentication processing unit 206 for performing authentication, key issuing unit 20 for issuing the encryption processing unit 207 for encrypting the key
8と、鍵の更新を行う鍵更新処理部209と、テーブルから鍵を検索する鍵検索処理部210とを有している。 8, the key update processor 209 for updating the key, and a key search processing unit 210 searches the key from the table.
これらは、いずれもプログラムにより処理が行われる。 These are all processed by the program is executed.

【0018】また、自分の通信に使用する暗号鍵を格納する暗号鍵テーブル211と、鍵送信用に用いる他の基地局やゲートウェイの鍵配布用公開鍵を格納する鍵送信用鍵テーブル212と、自ローカル路側網内の基地局などに配布した鍵の情報を格納する鍵配布用鍵テーブル2 Further, the encryption key table 211 for storing the encryption key used for their communication, the key transmission key table 212 for storing the other base station or gateway public key of key distribution using the key transmission, key distribution key table 2 for storing information of a key that is distributed to such a base station in the own local roadside network
13とを有している。 And a 13.

【0019】図3は、上位路側網に接続する装置が他の装置を認証する処理のシーケンスチャートである。 [0019] FIG. 3 is a sequence chart of a process device connected to the upper roadside network authenticates the other device. ここでは、ゲートウェイ103を上位路側網108に新規接続したときに,ゲートウェイ103が上位路側網に接続している他のゲートウェイ101,102を認証する処理を示している。 Here, when newly connecting the gateway 103 to the upper path side network 108 depicts the process of the gateway 103 authenticates the other gateways 101, 102 are connected to the upper path side network. 図3の上方の枠はゲートウェイ101 Upper frame of FIG. 3 Gateway 101
による署名と署名鍵と鍵配布鍵の送信およびゲートウェイ103による登録処理であり、下方の枠はゲートウェイ102による署名、署名鍵、鍵配布鍵の送信およびゲートウェイ103による登録処理である。 A signature and the signature key and sends the key distribution key and registration process by the gateway 103 by the lower frame is signed by the gateway 102, the signature key, which is the transmission and registration process by the gateway 103 of the key distribution key.

【0020】上位路側網108にゲートウェイが新規接続すると(301)、ゲートウェイ103は乱数を生成し [0020] When the gateway to the upper path side network 108 is newly connected (301), the gateway 103 generates a random number
(302)、上位路側網108に送信する(303)。 (302) to the upper path side network 108 (303). 既に述べたが、路側網内の通信はブロードキャストであるため、上位路側網のすべてのゲートウェイに乱数が送信される。 As already mentioned, since the communication in the road-side network is a broadcast, a random number is sent to all gateways higher roadside network. 乱数を受け取ったゲートウェイ101は、ゲートウェイの署名用秘密鍵を用いて乱数に対して署名を作成し(304)、作成した署名,署名用公開鍵と鍵配布用公開鍵を送信する(305)。 Gateway 101 which has received the random number to create a signature to a random number by using the signing secret key of the gateway (304), the created signature, and transmits the signature public key and a public key for key distribution (305). 上位路側網108に新規接続したゲートウェイ103は、署名を受け取り、署名用公開鍵を用いて、署名の検証を行う(306)。 Gateway 103 newly connected to a host roadside network 108 receives the signature using a signature public key, verifies the signature (306).

【0021】ゲートウェイ101から送信される署名用公開鍵には証明書が添付されているものとし、受信したゲートウェイ103は証明書の検証を行うものとする。 [0021] The signature public key that is transmitted from the gateway 101 assumes that the certificate is attached, the gateway 103 that received will be made to verify the certificate.
署名の検証に成功した場合は、署名を作成したゲートウェイ101の鍵配布用公開鍵を登録する(307)。 If successful in the verification of the signature registers the key distribution for the public key of the gateway 101 that created the signature (307). 一方、ゲートウェイ102から送信される鍵配布用公開鍵にも証明書が添付されているものとし、受信したゲートウェイ103は証明書の検証を行うものとする。 On the other hand, and those also attached certificate for key distribution public key transmitted from the gateway 102, the gateway 103 that received will be made to verify the certificate. 路側網に接続する他のゲートウェイも、乱数に対して同様の処理を行う(308〜311)。 Another gateway connecting the roadside network also performs the same processing on the random number (308 to 311). 以上により、上位路側網1 By the above, the higher the roadside network 1
08に新規接続したゲートウェイ103が、路側網の他のゲートウェイ101,102の正当性を確認し、他のゲートウェイに暗号鍵を配布するための鍵を取得することができた。 Gateway 103 newly connected to the 08 confirmed the validity of other gateways 101 and 102 of the roadside network was able to get a key for distributing encryption keys to other gateways. 乱数に対する署名を行う際に、公開鍵も含めて署名対象とすることで、公開鍵の差し替えを防止する方式も考えられる。 When a signature for the random number, the public key including by With signature target, a method of preventing the replacement of the public key is also conceivable.

【0022】図4は、上位路側網に接続する装置が他の装置から認証される処理のシーケンスチャートである。 FIG. 4 is a sequence chart of a process device connected to the upper path side network is authenticated by another device.
ここでは、ゲートウェイ103を上位路側網108に新規接続したときに、ゲートウェイ103が上位路側網1 Here, when newly connecting the gateway 103 to the upper path side network 108, the gateway 103 is higher roadside network 1
08に接続している他のゲートウェイ101,102から認証される処理を示している。 It shows the processing to be authenticated from the other gateways 101, 102 are connected to 08. なお、新規接続したゲートウェイ103から乱数要求を同報送信するが、ゲートウェイ101の処理は破線で示すように上の枠で示され、ゲートウェイ102の処理は破線で示すように下の枠で示されている。 Although broadcasts transmits a random number request from the gateway 103 new connection, the process of the gateway 101 is indicated by a frame of the upper, as shown by the broken line, the processing of the gateway 102 shown in the lower pane as shown by a broken line ing. 勿論、同時に行われる場合もあり、 Of course, there is also a case to be carried out at the same time,
上下逆の順序で行われる場合もある。 If it carried out in inverted order also. 上位路側網にゲートウェイが新規接続すると(401)、上位路側網に新規接続したゲートウェイ103は、上位路側網108に乱数要求を送信する(402)。 When the gateway to the upper roadside network is newly connected (401), the gateway 103 newly connected to a host roadside network sends a random number request to the upper roadside network 108 (402). 乱数要求を受け取ったゲートウェイ101は、乱数を生成し(403)、生成した乱数を上位路側網108に送信する(404)。 Gateway 101, which has received the random number request generates a random number (403), and transmits the generated random number to the upper roadside network 108 (404). 上位路側網108に新規接続したゲートウェイ103は、乱数を受信し、ゲートウェイ103の署名用秘密鍵を用いて乱数に対して署名を作成し(405)、上位路側網108に乱数と、作成した署名と、ゲートウェイ103の署名用公開鍵と鍵配布用公開鍵を送信する(406)。 Signature gateway 103 newly connected to a host roadside network 108 receives a random number, to create a signature to a random number by using the signing secret key of the gateway 103 (405), and a random number to the upper road network 108, created When, it transmits the signature public key and a public key for key distribution gateway 103 (406). なお、乱数も送信するのは、この署名はどのゲートウェイが作成した乱数を用いて作成したかを示すためである。 Incidentally, the random number is also to send, this signature is to indicate were prepared using random numbers which gateway created.

【0023】乱数を送信したゲートウェイ101は、署名を受信し、乱数が自分が発行した乱数である場合には、署名用公開鍵を用いて受け取った署名を検証する [0023] The gateway 101 that sent the random number, receives a signature, if the random number is a random number that he has issued the signature verifies the received with the signature public key
(407)。 (407). 送信される署名用公開鍵には証明書が添付されているものとし、受信したゲートウェイ101は証明書の検証を行うものとする。 The signature public key that is sent is assumed to certificate is attached, the gateway 101 that received will be made to verify the certificate. 署名の検証に成功した場合には、署名を作成したゲートウェイ103の鍵配布用公開鍵を登録する(408)。 If successful in the verification of the signature registers the key distribution for the public key of the gateway 103 that created the signature (408). 送信される鍵配布用公開鍵には、証明書が添付されているものとし、受信したゲートウェイは証明書の検証を行うものとする。 The transmitted the key distribution public key is intended to certificate is attached, the received gateway will be made to verify the certificate.

【0024】他のゲートウェイが作成した乱数に対する署名を受信したゲートウェイ102は、署名の検証を任意で行ってよい(409)。 [0024] The gateway 102 other gateway receives a signature for random number creation may be performed to verify the signature at any (409). ただし、署名の検証に失敗した場合に該当するゲートウェイの接続を禁止してもよいが、他のゲートウェイが作成した乱数に対する署名の検証に成功しても、該当するゲートウェイを登録してはいけない。 However, may be prohibited the connection of the corresponding gateway in the event of a failed validation of signatures, but also succeeded in verification of the signature on the random number that other gateway has been created, it should not be registered in the appropriate gateway. 乱数要求は上位路側網108にブロードキャストされるので、上位路側網108の他のゲートウェイも乱数を生成して送信し、ゲートウェイごとに同様の処理が実行される(410〜416)。 Since the random number request is broadcast to the upper road network 108, other gateways also generates and transmits a random number higher road network 108, the same processing for each gateway is performed (410 - 416). 乱数に対する署名を行う際に、公開鍵も含めて署名対象とすることで、公開鍵の差し替えを防止する方式も考えられる。 When a signature for the random number, the public key including by With signature target, a method of preventing the replacement of the public key is also conceivable.

【0025】図5は、上位路側網を介して暗号通信を行う処理のシーケンスチャートである。 FIG. 5 is a sequence chart of a process for performing cryptographic communication through the upper roadside network. ゲートウェイが転送を行うためには、ゲートウェイが接続するローカル路側網に接続する基地局から、その基地局が受信するSI SI gateway to perform transfer from the base station to connect to a local road network gateway connects, received by the base station
Dを登録されている必要がある。 There must have been registered D. 図5の例では、基地局104がゲートウェイ101に受信するSID(Ser In the example of FIG. 5, the base station 104 receives the gateway 101 SID (Ser
vice Identifier)を既に登録済みであるとする(501)。 vice Identifier) ​​and the is already registered (501). データを送信する基地局106は、 Base station 106 for transmitting data,
送信するデータのSIDに対応する暗号鍵でデータを暗号化し(502)、ローカル路側網111に送信する(5 Encrypting data with the encryption key corresponding to the SID of the data to be transmitted (502) to the local road network 111 (5
03)。 03). ローカル路側網111に接続する各装置は通常の受信処理を行うが、同時にゲートウェイ103は受信したデータのSIDから転送判定を行い(504)、上位路側網108にデータを送信する(505)。 Each device connected to the local road network 111 performs a normal reception process but at the same time gateway 103 performs the transfer determination from SID of the data received (504), and transmits the data to the upper road network 108 (505). なお、ゲートウェイは、転送判定を行わずにすべての送信データを転送する方針としてもよい。 Incidentally, the gateway may be a policy that forwards all outgoing data without forwarding decision.

【0026】上位路側網108の他のゲートウェイ10 [0026] The other gateways of the upper roadside network 108 10
1は、受信したデータのSIDから転送判定を行い(5 1 performs the transfer determination from SID of the received data (5
06)、該当するSIDがローカル路側網109の基地局104からあらかじめ登録されているものと一致する場合には、該当データをローカル路側網109側に送信する。 06), when the match those corresponding SID is registered in advance from the base station 104 in the local roadside network 109 transmits the corresponding data to the local road network 109 side. ローカル路側網109に接続している基地局10 The base station 10 connected to the local road network 109
4は、SIDで受信判定を行い、受信したデータをSI 4 performs the reception determination at SID, the received data SI
Dに対応する暗号鍵で復号する(508)。 Decrypting the encryption key corresponding to D (508). 本実施例では、ローカル路側網109,111と上位路側網108 In this embodiment, the local roadside network 109,111 and higher roadside network 108
が同じSIDと暗号鍵を共有している場合を想定しているので、ゲートウェイ101,103は一方の路側網から受信したデータをそのままもう一方の路側網へ転送できる。 Since There has been an assumption that share the same SID and cryptographic key, the gateway 101, 103 can transfer data received from one roadside network as it is to the other roadside network. ローカル路側網109,111と上位路側網10 Local roadside network 109, 111 and the upper roadside network 10
8が異なるSIDか暗号鍵、あるいはその両方を用いている場合は、転送時にゲートウェイ101,103がS If 8 is using different SID if encryption keys, or both, a gateway 101, 103 at the time of the S-transfer
IDの書き換えや、暗号のかけなおしを行うことで、転送が可能となる。 ID rewriting or of, by carrying out the re-chipping of encryption, it is possible to transfer.

【0027】図6は、ローカル路側網において、暗号鍵を発行する処理のシーケンスチャートである。 [0027] FIG. 6 is the local road network is a sequence chart of a process for issuing a cryptographic key. 図6では、基地局106がSIDに対応する暗号鍵を要求する場合の手順を例にしている。 In Figure 6, is an example procedure for requesting an encryption key by the base station 106 corresponds to the SID. 上方の枠(608)は、ゲートウェイ101であった場合に暗号化した暗号鍵の配布手順を示し、また下方の枠(617)は、ゲートウェイ101,102においてSIDに対応する暗号鍵がないときの鍵の配布手順を示している。 Upper frame (608) shows a distribution procedure of the encryption key encrypted when was the gateway 101, and the lower frame (617) is when there is no encryption key corresponding to the SID at the gateway 101, 102 the key to show the distribution procedure. なお、SIDに対応する暗号鍵は、(イ)その暗号鍵で装置が送受信するか否か、(ロ)その暗号鍵でデータを暗号化するか否か、を判断する判断基準となっている。 Note that the encryption key corresponding to the SID has a (i) whether transmission and reception apparatus in the encryption key, (b) criteria for determining whether to encrypt data with the encryption key . 従って、各基地局、各ゲートウェイは、SIDに対応する暗号鍵を持っていなければならない。 Accordingly, each base station, each gateway must have the encryption key corresponding to the SID.

【0028】図6の手順により、ローカル路側網10 [0028] by the procedure of FIG. 6, the local roadside network 10
9,111と上位路側網108が同じ暗号鍵を共有することを実現している。 9,111 and higher roadside network 108 is realized to share the same encryption key. 基地局106は、ローカル路側網111に接続したとき(601)に、ゲートウェイ103 The base station 106, when connected to a local roadside network 111 (601), the gateway 103
との間で認証を行い(602)、基地局106の鍵配布用公開鍵が既にゲートウェイ103に登録されているものとする。 Performs authentication with the (602), it is assumed that the key distribution for the public key of the base station 106 is already registered with gateway 103. なお、ローカル路側網111内で行う認証は、 The authentication performed in the local roadside network 111,
前に配布されている暗号鍵で行われる。 It is carried out in the encryption key that is distributed before. SIDに対応する暗号鍵を要求する基地局106は、SIDを指定して鍵の問い合わせをローカル路側網111に送信する(6 Base station 106 to request the cryptographic key corresponding to the SID is the SID to send the key to query the local roadside network 111 (6
03)。 03). 鍵の問い合わせを受け取ったゲートウェイ10 Gateway has received the key to the inquiry 10
3は、受け取ったSIDに対応する暗号鍵が登録されているか検索を行い(604)、暗号鍵がある場合には、該当する基地局106の鍵配布用公開鍵で暗号化してローカル路側網111に送信する(図6では、経路は省略)。 3 performs searches encryption key is registered corresponding to the received SID (604), if there is a cipher key, the corresponding local roadside network 111 encrypted with the public key for key distribution of the base station 106 and it transmits the (in FIG. 6, the path is omitted).

【0029】該当する暗号鍵が登録されていない場合には、ゲートウェイ103は上位路側網108に鍵の問い合わせを送信する(605)。 [0029] where appropriate encryption key is not registered, the gateway 103 sends the key to query the upper roadside network 108 (605). 鍵の問い合わせを受け取った上位路側網のゲートウェイ101,102は、SID Gateway 101 and 102 of the upper road network, which has received the key to the inquiry, SID
に対応する暗号鍵が登録されているか否かの検索を行う Encryption key corresponding to perform the search whether or not it is registered in
(606,607)。 (606, 607). 対応する暗号鍵が上位路側網108 Corresponding encryption key to the higher-level roadside network 108
上のゲートウェイ101に登録されている場合の処理を The process of Registered gateway 101 of the upper
(608)に示す。 It is shown in (608). SIDに対応する暗号鍵を持つゲートウェイ101は、暗号鍵を要求元のゲートウェイ103 Gateway with the encryption key corresponding to SID 101 is the encryption key requester gateway 103
の鍵配布用公開鍵で暗号化し(609)、上位路側網10 Encrypted with the public key for key distribution (609), the higher the roadside network 10
8にSIDと暗号鍵を送信する(610)。 To send the SID and the encryption key to the 8 (610). このとき、暗号鍵を送信するゲートウェイ101は、自身の秘密鍵を用いて署名を作成して一緒に送信することで、不正な鍵の送信を防止することもできる。 At this time, the gateway 101 to send an encryption key, by transmitting together to create a signature using its private key, it is possible to prevent the transmission of incorrect keys. 暗号鍵の問い合わせを行ったゲートウェイ103は、返答を受け取り、自身の鍵配布用秘密鍵を用いて暗号鍵を復号し(611)、登録する(612)。 Gateway 103 makes an inquiry of the encryption key receives a reply, decrypts the encryption key using the secret key for its own key distribution (611), and registers (612).

【0030】このとき,暗号鍵に署名を付加する方式を採用している場合には、署名の検証を行い、署名が正当な場合だけ暗号鍵を登録する。 [0030] In this case, if you employ a method of adding a signature to the encryption key, it verifies the signature, signature to register the encryption key only if it is legitimate. そして、ゲートウェイ1 Then, the gateway 1
03は暗号鍵を、鍵の問い合わせ元の基地局106の鍵配布用公開鍵を用いて暗号化し(613)、SIDと暗号鍵をローカル路側網111に送信する(614)。 03 sends the encryption key, encrypted using the key distribution public key of the key inquiry source base station 106 (613), SID and the encryption key to the local road network 111 (614). このとき、同様に署名を生成して付加することで、不正な鍵の送信を防止することができる。 At this time, by generating and adding a signature similar, it is possible to prevent the transmission of incorrect keys. 暗号鍵の問い合わせを行った基地局106は、データを受け取り、自身の鍵配布用秘密鍵を用いて暗号鍵を復号し(615)、登録する The base station 106 makes an inquiry of the encryption key, receives the data, decodes the encryption key using the secret key for its own key distribution (615), to register
(616)。 (616).

【0031】SIDに対応する暗号鍵が存在しない場合の処理を(617)に示す。 [0031] The process in the case where the encryption key that corresponds to the SID does not exist is shown in (617). 上位路側網108のすべてのゲートウェイ101,102から対応する鍵がないという応答が帰ってきた場合(618,619)、または、 If the response of the key is no corresponding from all gateways 101 and 102 of the upper road network 108 is back (618 and 619), or,
規定時間内に応答がない場合、暗号鍵を要求したゲートウェイ103が暗号鍵を新たに生成し(620)、鍵を自身に登録する(621)。 If there is no response within the specified time, the gateway 103 that requested the encryption key is newly generated encryption key (620), and registers the key to itself (621). ゲートウェイ103は暗号鍵を問い合わせた基地局106の鍵配布用公開鍵を用いて暗号鍵を暗号化し(622)、SIDと暗号鍵をローカル路側網111に送信する(623)。 Gateway 103 transmits encrypts the encryption key using the public key for key distribution of the base station 106 to query the encryption key (622), SID and the encryption key to the local road network 111 (623). このとき、ゲートウェイが署名を作成して付加する方式も考えられる。 At this time, the gateway is also conceivable method of adding to create the signature. 暗号鍵を問い合わせた基地局106はデータを受け取り、自身の鍵配布用秘密鍵を用いて暗号鍵を復号し(624)、登録する(625)。 Base station 106 to query the encryption key receives the data, decrypts the encryption key using the secret key for its own key distribution (624), and registers (625). このとき署名を付加する方式の場合は、署名の検証を行い、署名が正当な場合にのみ暗号鍵を登録する。 In the case of the method for adding a signature this time, it verifies the signature, signature to register the encryption key only when it is legitimate.

【0032】図7は、暗号鍵を発行した装置以外の装置が、暗号鍵を更新する手順を示すシーケンスチャートである。 [0032] FIG. 7 is a device other than device that issued the encryption key is a sequence chart showing a procedure for updating the encryption key. 本実施例では、暗号鍵ごとに、暗号鍵を発行したゲートウェイ103が、別々に更新処理を行う。 In this embodiment, for each encryption key, the gateway 103 that issued the encryption key is performed separately updating process. ゲートウェイ103は一定時間ごとに、または指定された条件を満たしたときに鍵更新処理を実行する。 Gateway 103 performs a key update process when filled at regular intervals, or a specified condition. まず、ゲートウェイ103は新しい暗号鍵を生成し(701)、生成した暗号鍵を更新前の暗号鍵を用いて暗号化して(70 First, gateway 103 generates a new encryption key (701), generated by encrypting using the encryption key before updating the encryption key (70
2)、上位路側網108に暗号鍵の更新要求を送信する 2) sends an update request of the encryption key to the upper path side network 108
(703)。 (703). 上位路側網108に接続しているゲートウェイ101,102は、暗号鍵の更新要求を受け取り、指定のSIDに対応する暗号鍵を持たないゲートウェイ1 Gateway 101 and 102 connected to the upper path side network 108, the gateway 1 having no encryption key receives a request to update the encryption key, corresponding to the given SID
02は更新を行わない(704)。 02 does not perform the update (704).

【0033】指定のSIDに対応する暗号鍵を持つゲートウェイ101は、受信した暗号鍵を、更新前の暗号鍵で復号し(705)、暗号鍵を復号した鍵に更新する(7 [0033] The gateway 101 with an encryption key corresponding to the specified SID is the encryption key received, decrypted by the encryption key before being updated (705), and updates the key to decrypt the encryption key (7
06)。 06). ゲートウェイ101は、新しい暗号鍵を更新前の暗号鍵で暗号化して(707)、ローカル路側網109 The gateway 101, a new encryption key encrypted with the encryption key before being updated (707), local roadside network 109
に暗号鍵の更新要求を送信する。 To send a request to update the encryption key. ローカル路側網109 Local road network 109
に接続している基地局104は、暗号鍵の更新要求を受信し、指定のSIDに対応する暗号鍵をもつ場合には、 Base station 104 that is connected to, when receiving an update request for an encryption key, with a cryptographic key corresponding to the specified SID is
暗号鍵を復号して(709)、鍵を更新する(710)。 It decrypts the encryption key (709), and updates the key (710). 暗号鍵の更新を要求したゲートウェイ103は、自身が接続するローカル路側網111への鍵更新要求を行う。 Gateway 103 that requested the encryption key updating is performed a key update request to the local road network 111 to which it connects.

【0034】ゲートウェイ103は、更新する暗号鍵を更新前の暗号鍵を用いて暗号化し(711)、暗号鍵の更新要求をローカル路側網111に送信する(712)。 [0034] The gateway 103 is encrypted using an encryption key before updating the encryption key to be updated (711), it transmits an update request for the encryption key to the local road network 111 (712). ローカル路側網111に接続している基地局105,10 The base station is connected to the local road network 111 105,10
6は暗号鍵の更新要求を受信し、指定のSIDに対応する暗号鍵を持たない基地局105は、鍵の更新を行わず 6 receives an update request for an encryption key, the base station 105 which does not have the encryption key corresponding to the specified SID is without updating the key
(713)、指定のSIDに対応する暗号鍵を持つ基地局106は、受信した暗号鍵を更新前の暗号鍵を用いて復号し(714)、暗号鍵を更新する(715)。 (713), the base station 106 with the encryption key corresponding to the specified SID is decrypted using the encryption key before updating the encryption key received (714), and updates the encryption key (715). 本実施例では、簡単のために、鍵の更新を一回で行う方式で説明しているが、前提案と同様の方法で、段階に分けて鍵の更新を行う方式も本発明に適用できる。 In this embodiment, for simplicity, but the key update has been described in a manner to perform in a single, before proposed a similar method, a method for updating a key in stages can be applied to the present invention .

【0035】図8は、鍵を生成した装置が切断している場合などの鍵更新手順を示すシーケンスチャートである。 [0035] FIG. 8 is a sequence chart showing a key updating procedures, such as when the device that generated the keys are cut. 暗号鍵を生成したゲートウェイが上位路側網108 Gateway that generated the encryption key is the upper roadside network 108
から切断している場合など、鍵を生成したゲートウェイによる鍵更新ができない場合には、該当する暗号鍵を発行したゲートウェイ以外で、該当する暗号鍵を持つがゲートウェイはタイマなどにより更新間隔を測定し、通常の更新間隔以上のあらかじめ規定された時間が経過しても鍵更新が行われない場合に、残ったゲートウェイの間で1台のゲートウェイを選出する(801)。 If you can not like, the key update by the gateway that generated the key if you are disconnected from the outside gateway that issued the appropriate encryption key, but with the appropriate encryption key gateway measures the update interval by a timer , if over time defined normal or update interval previously not performed a key update, elect one gateway between the remaining gateway (801). 選出方法としては、あらかじめ優先順位を決定していく方法や、乱数などによりランダムに設定する方法がある。 As selection method, a method to continue to determine the advance priority, there is a method of randomly setting the random number. 選出されたゲートウェイ101は、通常の鍵更新と同じ手順で暗号鍵の更新を行う。 Elected gateway 101 updates the encryption key by the same procedure as a normal key update.

【0036】すなわち、選出されたゲートウェイ101 [0036] That is, elected gateway 101
は鍵を作成し(802)、この鍵を用いて暗号化して(803)、上位路側網108に鍵更新要求を送信する(804)。 Create a the key (802), and encrypted using this key (803), it transmits a key update request to the upper roadside network 108 (804). ゲートウェイ102は、SIDに対応する鍵を使用しないため更新しない(805)。 The gateway 102 does not update needs no key corresponding to the SID (805). ゲートウェイ103は、鍵更新要求に従って、受信した暗号鍵を更新前の暗号鍵で復号化し(806)、鍵を更新する(8 The gateway 103, according to a key update request, decrypts the encryption key before updating the encryption key received (806), and updates the key (8
07)。 07). ゲートウェイ101と103は、更新した鍵を用いて暗号化し、下位路側網109,111内の基地局104または105,106などに鍵更新要求を行う(814,809)。 Gateway 101 and 103 encrypted using the updated key, performs a key update request to such base station 104 or 105, 106 in the lower road network 109, 111 (814,809). SIDに対応する鍵を登録している基地局104,106は、更新前の鍵で受信した暗号鍵を復号化し(815,811)、鍵を更新する(81 Base station 104 and 106 that have registered key corresponding to the SID decrypts the encryption key received in the key before updating (815,811), and updates the key (81
6,812)。 6,812). また、基地局105は、SIDに対応する鍵を登録していないため、更新しない(810)。 In addition, base station 105, because it does not register the key that corresponds to the SID, not updated (810). この場合、更新元となるゲートウェイが異なる以外は、図7の手順と同じである。 In this case, except that the gateway to be updated from different sources, the same as the procedure of FIG.

【0037】 [0037]

【発明の効果】以上説明したように、本発明によれば、 As described in the foregoing, according to the present invention,
上位自律分散網に接続する複数の自律分散網の間で同じ暗号鍵を共有することができるので、複数の自律分散網を接続して構成されるシステムにおける暗号通信と鍵管理を実現でき、通信におけるセキュリティを高めることができる。 It is possible to share the same encryption key between a plurality of autonomous distributed network for connecting to the upper autonomous distributed network, can achieve encryption communication with the key management in system constructed by connecting a plurality of autonomous distributed network, communication it is possible to increase the security in.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】本発明の一実施例を示す自律分散システムの概略構成図である。 1 is a schematic configuration diagram of an autonomous distributed system according to an embodiment of the present invention.

【図2】図1におけるゲートウェイ装置の概略構成を示す図である。 Is a diagram showing a schematic configuration of a gateway apparatus in FIG. 1;

【図3】本発明において、上位路側網に接続する装置が他の装置を認証する処理のシーケンスチャートである。 In Figure 3 the present invention is a sequence chart of a process device connected to the upper roadside network authenticates the other device.

【図4】本発明において、上位路側網に接続する装置が他の装置から認証される処理のシーケンスチャートである。 In Figure 4 the present invention and is a sequence chart of a process device connected to the upper path side network is authenticated by another device.

【図5】本発明において、ローカル路側網に接続する装置が送信するデータを他のローカル路側網に接続する装置が受信する際の処理のシーケンスチャートである。 In Figure 5 the present invention is a sequence chart of a process in receiving apparatus for connecting a data device connected to the local road network sends to other local roadside network.

【図6】本発明のローカル路側網において、暗号鍵を発行する処理のシーケンスチャートである。 In local roadside network of the present invention; FIG is a sequence chart of a process for issuing a cryptographic key.

【図7】本発明において、発行した暗号鍵の更新を行う処理のシーケンスチャートである。 In [7] The present invention is a sequence chart of a process for updating the issued encryption key.

【図8】本発明において、暗号鍵を発行した装置以外の装置が、暗号鍵の更新を行う処理のシーケンスチャートである。 In [8] present invention, devices other than device that issued the encryption key is a sequence chart of a process for updating the encryption key.

【符号の説明】 DESCRIPTION OF SYMBOLS

101,102,103…ゲートウェイ、104,10 101, 102, 103 ... gateway, 104,10
5,106…基地局、107…ローカルサーバ、108 5,106 ... base station, 107 ... local server 108
…上位路側網、109,110,111…ローカル路側網、201…CPU、202…入力装置、203…出力装置、204…通信装置、206…認証処理部、207 ... Top roadside network, 109, 110, 111 ... local roadside network, 201 ... CPU, 202 ... input device, 203 ... output device, 204 ... communication unit, 206 ... authentication processing unit, 207
…暗号化処理部、208…鍵発行処理部、209…鍵更新処理部、210…鍵検索処理部、211…暗号鍵テーブル、212…鍵送信用鍵テーブル、213…鍵配布用鍵テーブル、304,308…署名作成、305,30 ... encryption unit, 208 ... key issuing unit, 209 ... key update processor, 210 ... key search processing unit, 211 ... encryption key table, 212 ... key transmitting key table, 213 ... key distribution key table, 304 , 308 ... signature creation, 305,30
9…署名、署名鍵、鍵配布鍵送信、306,310…署名検証、307,311…鍵配布鍵登録、401…新規接続、402…乱数要求、403,410…乱数作成、 9 ... signature, signature key, key distribution key transmission, 306, 310 ... signature verification, 307, 311 ... key distribution key registration, 401 ... new connection, 402 ... random number request, 403,410 ... a random number created,
404,411…乱数送信、407,715…署名検証、406,413…乱数、署名、署名鍵、鍵配布鍵の送信、407,415,414…署名検証、408,4 404,411 ... random number transmission, 407,715 ... signature verification, 406,413 ... a random number, signature, signature key, the transmission of the key distribution key, 407,415,414 ... signature verification, 408,4
16…鍵配布鍵登録、502…暗号化、503,505 16 ... key distribution key registration, 502 ... encryption, 503, 505
…送信、504,506…転送判定、508…復号、6 ... transmission, 504, 506 ... transfer determination, 508 ... decoding, 6
01…新規接続、602…接続時の認証、603,60 01 ... new connection, 602 ... authentication at the time of connection, 603,60
5…鍵問い合わせ、604,606…鍵の検索、60 5 ... The key inquiry, search of 604, 606 ... key, 60
9,622…暗号化、610…応答(SID,暗号鍵)、618,619…SID,鍵なし、620…鍵生成、611…復号、612,621…鍵の登録、623 9,622 ... encryption, 610 ... response (SID, encryption key), 618,619 ... SID, without the key, 620 ... key generation, 611 ... decoding, 612,621 ... key of registration, 623
…SID,暗号鍵、615,624…復号、616,6 ... SID, encryption key, 615,624 ... decoding, 616,6
15…鍵の登録、701…鍵作成、702,711…暗号化、703…鍵更新(SID,暗号鍵)、705,70 15 ... key of registration, 701 ... key created, 702,711 ... encryption, 703 ... key update (SID, encryption key), 705,70
7,714…復号化、706,710,715…鍵の更新、704,713…更新なし、801…鍵生成装置の決定、802…鍵の作成、803,808,813…暗号化、815,811…復号化、806,812…鍵の更新、804,814,819…鍵更新要求。 7,714 ... decoding, 706,710,715 ... key update, 704,713 ... no update, 801 ... determination of the key generation apparatus, 802 ... key creation, 803,808,813 ... encryption, 815,811 ... decoding, 806,812 ... key update, 804,814,819 ... key update request.

Claims (5)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】 ブロードキャストにより通信を行うネットワークの暗号鍵の管理方法において、 該ネットワークに接続する装置が他の装置に対して乱数を送信し、 該ネットワークに接続している他の装置がその乱数に対してそれぞれ署名を作成して、暗号通信用の鍵を添付して送信し、 前記乱数を送信した装置が、それぞれの装置から受信した署名を検証して正当性を確認した後に、暗号通信用の鍵を登録することにより、該ネットワークに接続する装置が該ネットワークに接続している他の装置の暗号通信用の鍵を取得することを特徴とする自律分散網における暗号鍵の管理方法。 1. A method for managing encryption keys in a network that communicates by broadcasting, devices connected to the network sends a random number to the other devices, other devices connected to the network the random number create a signature respectively, and transmits the attached key for encrypted communication, after the device has transmitted the random number, to confirm the validity by verifying the signature received from each device, encrypted communication by registering the key use, method of managing encryption keys in an autonomous distributed network devices connected to the network and acquires the key for encrypted communication of another device connected to the network.
  2. 【請求項2】 ブロードキャストにより通信を行うネットワークにおいて、 該ネットワークに接続する装置が、他の装置に対して乱数を要求し、 該乱数の要求を受け取った装置はそれぞれ乱数を送信し、 前記乱数を要求した装置が、それぞれの乱数に対して署名を作成して暗号通信用の鍵と元の乱数を添付して送信し、 前記乱数を送信した装置が、前記乱数を要求した装置から受信した署名を検証して正当性を確認した後に、暗号通信用の鍵を登録することにより、該ネットワークに接続する装置の暗号通信用の鍵を該ネットワークに接続している他の装置が取得することを特徴とする自律分散網における暗号鍵の管理方法。 2. A network for communication by broadcasting, devices connected to the network, requests the random number to the other device transmits a respective device that has received a request for random number random number, the random number It requested device, to create a signature for each of the random numbers and transmits the attach key and original random number for the cryptographic communication, apparatus which has transmitted the random number, received from the device that requested the random number signature after confirming the validity by verifying, by registering the key for encrypted communication, that other devices keys for cryptographic communication devices connected to the network are connected to the network to obtain how to manage the encryption key in the autonomous distributed network which is characterized.
  3. 【請求項3】 1以上の基地局を接続するローカル自律分散網を、ゲートウェイを介して上位の自律分散網に接続したネットワーク装置であって、 各自律分散網の相互間で認証を行い、鍵配布用の鍵を各自律分散網で共有し、 ローカル自律分散網において暗号鍵を発行するときに、 The wherein one or more local autonomous distributed network for connecting the base station, a network device connected to the autonomous distributed network of higher through the gateway performs authentication between the mutual each autonomous distributed network, the key share a key for distribution in each autonomous distributed network, when issuing the encryption key in the local autonomous distributed network,
    他の自律分散網に該当する暗号鍵があるか否かを予め問い合わせ、該暗号鍵が存在する場合には該暗号鍵を発行し、該暗号鍵が存在しない場合には、自分で該暗号鍵を生成して発行し、また定期的に鍵の更新を行う鍵管理装置と、 該鍵管理装置から暗号鍵あるいは更新鍵の配布を受けて、それぞれ登録し、1以上のローカル自律分散網を介して暗号通信を行い、自網内の移動車と無線通信を行う基地局と、 前記ローカル自律分散網内で、通信を集中して管理するローカルサーバとを有することを特徴としたブロードキャストにより通信を行うネットワーク装置。 Inquire whether or not there is an encryption key that corresponds to the other autonomous distributed network in advance, by issuing the encryption key if the encryption key is present, if the encryption key does not exist, the encryption key on your own issued to generate, also receives the key management device to update regularly the key, the distribution of the encryption key or the update key from said key management apparatus registers respectively, through one or more local autonomous distributed network perform cryptographic communication Te, a base station that performs transport vehicle and a wireless communication in the home network, in the local autonomous distributed network, the communication by broadcasting which is characterized by having a local server for centralized management communication network device that performs.
  4. 【請求項4】 複数の自律分散網が相互に接続しているネットワークの暗号鍵の管理方法において、 二つの自律分散網に接続している装置が、第1の自律分散網で送信されたデータを第2の自律分散網に転送し、 4. A plurality of autonomous distributed network management method of the encryption key of the network that are connected to each other, devices connected to the two autonomous distributed network, sent in the first autonomous distributed network data transfers to the second autonomous distributed network,
    かつ転送の際にデータ送信側の自律分散網の暗号鍵で復号し、データ送信先の自律分散網の暗号鍵で暗号化する処理を行い、 一方、複数の自律分散網で同じ暗号鍵を共有することにより、二つの自律分散網に接続している装置が、第1の自律分散網で送信されたデータを第2の自律分散網に転送するときには、上記処理を不要とすることを特徴とする複数の自律分散網間での暗号通信を行う通信方法。 And decrypts the encryption key of the autonomous distributed network data transmission side during the transfer, a process of encrypting the encryption key of the autonomous distributed network data transmission destination while sharing the same encryption key in multiple autonomous distributed network by, devices connected to the two autonomous distributed network, when transferring the data transmitted by the first autonomous distributed network to a second autonomous distributed network, and characterized in that eliminate the need for the process communication method for performing cryptographic communication in a plurality of autonomous distributed networks to.
  5. 【請求項5】 複数の自律分散網を1つの自律分散網で結合しているシステムの暗号鍵管理方法において、 ある自律分散網で新しい暗号鍵を生成するときに、該当する自律分散網と自律分散網同士を結合している自律分散網の両方に接続している装置が、自律分散網同士を結合している自律分散網に対して、該当する自律分散網以外の自律分散網に対応する暗号鍵が既にあるか否かの問い合わせを行い、 対応する暗号鍵がある場合には、該暗号鍵を該当する自律分散網の暗号鍵として設定し、対応する暗号鍵がない場合には、該当する自律分散網と自律分散網同士を結合している自律分散網の両方に接続している装置が暗号鍵を生成し、 該暗号鍵を生成した装置が鍵の更新処理を定期的に実行し、該当する装置が接続する自律分散網と自律分 5. The encryption key management method for a system that combines a plurality of autonomous distributed network with a single autonomous distributed network, when generating a new encryption key at some autonomous distributed network, autonomy and self-organized distribution network applicable devices connected to both the autonomous distributed network that combines the distributed network with each other, to the autonomous distributed network attached to each other autonomous distributed network, corresponding to the autonomous distributed network other than the corresponding autonomous distributed network makes an inquiry of whether or not the encryption key is already, in the case where there is a corresponding encryption key, set as an encryption key of the autonomous distributed network to the appropriate encryption key, if there is no corresponding encryption key, the corresponding autonomous distributed network and devices that are connected to both the autonomous distributed network attached to each other autonomous distributed network generates an encryption key periodically perform device that generated the encryption key update processing key to autonomous and autonomous distributed network corresponding device is connected min 散網同士を接続している自律分散網に鍵の更新要求を送信し、 指定した期間中に鍵の更新が行われない場合には、鍵を生成した以外の装置の間で1台の装置を選択し、選択された装置が鍵の更新処理を実行することを特徴とする自律分散網における暗号鍵の管理方法。 Sending a key update request to the autonomous distributed network connecting the Chimo each other, when the key update is not performed during the specified time period, one device among the devices other than the key has been generated select method for managing encryption keys in an autonomous distributed network where the selected device and executes the update processing of the key.
JP2002156613A 2002-05-30 2002-05-30 Method and device for managing encryption key in autonomous distribution network Pending JP2003348072A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002156613A JP2003348072A (en) 2002-05-30 2002-05-30 Method and device for managing encryption key in autonomous distribution network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002156613A JP2003348072A (en) 2002-05-30 2002-05-30 Method and device for managing encryption key in autonomous distribution network

Publications (1)

Publication Number Publication Date
JP2003348072A true true JP2003348072A (en) 2003-12-05

Family

ID=29772772

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002156613A Pending JP2003348072A (en) 2002-05-30 2002-05-30 Method and device for managing encryption key in autonomous distribution network

Country Status (1)

Country Link
JP (1) JP2003348072A (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236951A (en) * 2004-01-22 2005-09-02 Kddi Corp Communication system and terminal
JP2006094004A (en) * 2004-09-22 2006-04-06 Ntt Docomo Inc Wireless communication apparatus
JP2006165984A (en) * 2004-12-07 2006-06-22 Hitachi Ltd Authentication method of ad hoc network, and its radio communications terminal
JP2008500772A (en) * 2004-05-27 2008-01-10 クゥアルコム・インコーポレイテッドQualcomm Incorporated Method and apparatus for encryption key changes during a media communication session in progress
JP4824086B2 (en) * 2005-05-13 2011-11-24 ザ・ユニバーシティ・オブ・メリーランド・カレッジ・パーク Authentication method of wireless distribution system
JP2012049993A (en) * 2010-08-30 2012-03-08 Toyota Infotechnology Center Co Ltd Encryption key update system, smart key system, and encryption key update method
JP5397547B2 (en) * 2010-07-28 2014-01-22 富士通株式会社 Key setting method, nodes and network systems,
JP5408354B2 (en) * 2010-07-28 2014-02-05 富士通株式会社 Key setting method, nodes and network systems,
US8813137B2 (en) 1998-05-08 2014-08-19 Qualcomm Incorporated Apparatus and method for decoding digital image and audio signals
US9032203B2 (en) 2010-12-28 2015-05-12 Fujitsu Limited Key setting method, node, server, and network system
US9203800B2 (en) 2011-01-31 2015-12-01 Fujitsu Limited Communication method, node, and network system
US9319923B2 (en) 2011-12-06 2016-04-19 Fujitsu Limited Node, communication method, and communication system
US9510216B2 (en) 2011-11-18 2016-11-29 Fujitsu Limited Node device and communication control method

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813137B2 (en) 1998-05-08 2014-08-19 Qualcomm Incorporated Apparatus and method for decoding digital image and audio signals
JP2005236951A (en) * 2004-01-22 2005-09-02 Kddi Corp Communication system and terminal
JP4690007B2 (en) * 2004-01-22 2011-06-01 Kddi株式会社 Communication system and a communication terminal
JP2008500772A (en) * 2004-05-27 2008-01-10 クゥアルコム・インコーポレイテッドQualcomm Incorporated Method and apparatus for encryption key changes during a media communication session in progress
JP4699454B2 (en) * 2004-05-27 2011-06-08 クゥアルコム・インコーポレイテッドQualcomm Incorporated Method and apparatus for encryption key changes during a media communication session in progress
JP4498871B2 (en) * 2004-09-22 2010-07-07 株式会社エヌ・ティ・ティ・ドコモ Wireless communication device
JP2006094004A (en) * 2004-09-22 2006-04-06 Ntt Docomo Inc Wireless communication apparatus
JP4551202B2 (en) * 2004-12-07 2010-09-22 株式会社日立製作所 Authentication method of an ad hoc network, and, the wireless communication terminal
JP2006165984A (en) * 2004-12-07 2006-06-22 Hitachi Ltd Authentication method of ad hoc network, and its radio communications terminal
JP4824086B2 (en) * 2005-05-13 2011-11-24 ザ・ユニバーシティ・オブ・メリーランド・カレッジ・パーク Authentication method of wireless distribution system
JP5397547B2 (en) * 2010-07-28 2014-01-22 富士通株式会社 Key setting method, nodes and network systems,
JP5408354B2 (en) * 2010-07-28 2014-02-05 富士通株式会社 Key setting method, nodes and network systems,
US8732454B2 (en) 2010-07-28 2014-05-20 Fujitsu Limited Key setting method, node, and network system
JP2012049993A (en) * 2010-08-30 2012-03-08 Toyota Infotechnology Center Co Ltd Encryption key update system, smart key system, and encryption key update method
US9032203B2 (en) 2010-12-28 2015-05-12 Fujitsu Limited Key setting method, node, server, and network system
US9203800B2 (en) 2011-01-31 2015-12-01 Fujitsu Limited Communication method, node, and network system
US9510216B2 (en) 2011-11-18 2016-11-29 Fujitsu Limited Node device and communication control method
US9319923B2 (en) 2011-12-06 2016-04-19 Fujitsu Limited Node, communication method, and communication system

Similar Documents

Publication Publication Date Title
US6959393B2 (en) System and method for secure message-oriented network communications
US7233997B1 (en) Data communications
US6751729B1 (en) Automated operation and security system for virtual private networks
US6256733B1 (en) Access and storage of secure group communication cryptographic keys
US6718387B1 (en) Reallocating address spaces of a plurality of servers using a load balancing policy and a multicast channel
US6330671B1 (en) Method and system for secure distribution of cryptographic keys on multicast networks
US6792474B1 (en) Apparatus and methods for allocating addresses in a network
US20090019284A1 (en) Authentication method and key generating method in wireless portable internet system
US20040054891A1 (en) Secure encryption key distribution
US20070143600A1 (en) Rekeying in secure mobile multicast communications
US20080083011A1 (en) Protocol/API between a key server (KAP) and an enforcement point (PEP)
US20050198506A1 (en) Dynamic key generation and exchange for mobile devices
US20040015689A1 (en) Mobile-ad-hoc network including node authentication features and related methods
US20060271789A1 (en) Password change system
US20030147537A1 (en) Secure key distribution protocol in AAA for mobile IP
US20060200678A1 (en) Wireless access point apparatus and method of establishing secure wireless links
US7818792B2 (en) Method and system for providing third party authentication of authorization
US7526658B1 (en) Scalable, distributed method and apparatus for transforming packets to enable secure communication between two stations
US7373508B1 (en) Wireless security system and method
US7234063B1 (en) Method and apparatus for generating pairwise cryptographic transforms based on group keys
US20030069958A1 (en) Virtual private network management
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US20030061481A1 (en) Secure broadcast system and method
US20050154873A1 (en) Enabling stateless server-based pre-shared secrets
US20040030891A1 (en) Information processing system, information processing apparatus and method, recording medium, and program