JP2004064326A - セキュリティ保持方法及びその実施システム並びにその処理プログラム - Google Patents
セキュリティ保持方法及びその実施システム並びにその処理プログラム Download PDFInfo
- Publication number
- JP2004064326A JP2004064326A JP2002218448A JP2002218448A JP2004064326A JP 2004064326 A JP2004064326 A JP 2004064326A JP 2002218448 A JP2002218448 A JP 2002218448A JP 2002218448 A JP2002218448 A JP 2002218448A JP 2004064326 A JP2004064326 A JP 2004064326A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- initial vector
- encrypted
- subscriber
- subscriber device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】盗聴等を防ぐことが可能な技術を提供することである。
【解決手段】センター装置と加入者装置とを接続した装置の組が、単一のセンター装置に対し複数設定されて構成されるネットワークのセキュリティ保持方法において、前記加入者装置から送信するフレームを当該加入者装置のトラヒック鍵と初期ベクトルとで暗号化するステップと、当該加入者装置に送信された初期ベクトルを前記トラヒック鍵で暗号化するステップと、前記暗号化されたフレームに前記暗号化された初期ベクトルを付加して送信用のフレームを生成するステップと、前記センター装置から送信するフレームを前記送り先加入者装置の前記トラヒック鍵と初期ベクトルとで暗号化するステップと、前記送り先加入者装置の初期ベクトルを生成するステップと、前記暗号化されたフレームに前記生成された初期ベクトルを付加して送信用のフレームを生成するステップとを有する。
【選択図】 図1
【解決手段】センター装置と加入者装置とを接続した装置の組が、単一のセンター装置に対し複数設定されて構成されるネットワークのセキュリティ保持方法において、前記加入者装置から送信するフレームを当該加入者装置のトラヒック鍵と初期ベクトルとで暗号化するステップと、当該加入者装置に送信された初期ベクトルを前記トラヒック鍵で暗号化するステップと、前記暗号化されたフレームに前記暗号化された初期ベクトルを付加して送信用のフレームを生成するステップと、前記センター装置から送信するフレームを前記送り先加入者装置の前記トラヒック鍵と初期ベクトルとで暗号化するステップと、前記送り先加入者装置の初期ベクトルを生成するステップと、前記暗号化されたフレームに前記生成された初期ベクトルを付加して送信用のフレームを生成するステップとを有する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、セキュリティ保持方法及びネットワークシステム並びにその処理プログラムに関し、特に、ケーブルテレビネットワーク、無線LAN、衛星通信等のような同報、放送が容易なネットワーク上のセキュリティを保持するネットワークシステムに適用して有効な技術に関するものである。
【0002】
【従来の技術】
ケーブルテレビのセキュリティ基準として、(社)日本CATV技術協会の標準規格としてCATV高速データ伝送装置のベースラインプライバシー(BP)が平成11年に策定された。これは、マック(MAC:Media Access Control)レイヤー(データリンクレイヤーの一部)での暗号化を行うものであるが、送信と受信の装置アドレスのDA(Destination Address)とSA(Source Address)とが暗号化されていない。ケーブルテレビ網のように、網に接続された機器によって誰もが信号を検出できるように構成されたネットワークでは、特定の機器を狙った盗聴が可能である。
【0003】
すなわち、ベースラインプライバシーに基づいたケーブルテレビ網を用いたネットワークでは、ネットワークを構成するセンター装置及び加入者装置並びに利用者装置の間で送受信されるフレームの暗号化されていないDAとSAとが、網内の全ての装置に入力される構成となっている。このために、ケーブルテレビ網内に盗聴対象とする機器と同じDAやSAが設定された機器を配置することによって、特定の機器を狙った盗聴やなりすましが可能である。
【0004】
同様にして、無線LANの暗号プロトコルWEP(Wired Equipment Privacy)(IEEE Std 802.11)においても、BPと同様MACアドレスのDAとSAは暗号化されない状態で通信を実行する構成となっている。従って、前述したケーブルテレビ網と同じように、特定の機器を狙った盗聴やなりすましが可能である。
【0005】
このようなケーブルテレビのネットワークや無線LANにおけるセキュリティを向上させる方法として、例えば、同一出願人による特願2001−62962号(以下、引用文献1と記す)に記載の「セキュリティ保持方法及びその実施システムならびにその処理プログラム」があった。この引用文献1に記載の方法では、MACアドレスDA及びSAを含めて暗号化することによって、特定の機器を狙った盗聴も防止する構成となっている。
【0006】
【発明が解決しようとする課題】
本発明者は、前記従来技術を検討した結果、以下の問題点を見いだした。
【0007】
引用文献1に記載のネットワークシステムでは、加入者装置からセンター装置へ送出されるフレームの場合には、送り先アドレスとしてセンター装置のMACアドレスが設定されると共に、送り元アドレスとして加入者装置のMACアドレスが設定されたフレームを送り元である加入者装置のワーク鍵で暗号化した後に、この暗号化されたフレームを送信する構成となっていた。
【0008】
ここで、受信側となる装置(暗号化されたフレームを送信した装置を除く他の加入者装置及びセンター装置)では、それぞれが有するワーク鍵で入力されたフレームを復号化することとなるが、送り先アドレスがセンター装置の場合には、加入者装置では復号化に成功しないので、この暗号化されたフレームは加入者装置には取り込まれないこととなる。一方、センター装置は、各加入者装置に設定されているワーク鍵を全て有する構成となっているので、各ワーク鍵で入力されたフレームを復号化することにより、送信側装置に対応するワーク鍵で復号化を行った場合に、暗号化されたフレームの解読すなわち送り先アドレスとしてセンター装置のMACアドレスが設定されると共に、送り元アドレスとして加入者装置のMACアドレスが設定されたフレームが復号化されるので、この復号化されたフレームがセンター装置に受け付けられることとなる。
【0009】
このように、引用文献1に記載の方式では、暗号化にワーク鍵を用いる構成となっていたので、DA及びSAの暗号化結果を違ったものにするために暗号用の鍵を頻繁に交換する必要があった。しかしながら、鍵交換に要するデータ量は、通常の通信のためのトラヒックに影響を及ぼすという問題があった。
【0010】
本発明の目的は前述した問題を解決し、盗聴等を防ぐことが可能な技術を提供することにある。
【0011】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかになるであろう。
【0012】
【課題を解決するための手段】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記のとおりである。
【0013】
本発明は、センター装置と複数のホーム装置を接続したネットワーク上のセキュリティを保持するネットワークシステムにおいて、送り先及び送り元のMACアドレスを含むフレームを暗号化してネットワーク上の通信を行うものである。特に暗号化のための鍵の配信を秒単位で送るような頻繁な鍵交換を行わずに、上記MACアドレス等の暗号化結果を異なったものにできるようにしたネットワークシステムである。
【0014】
本発明によるネットワークシステムの一例では、CATV等のネットワークにおけるセンター装置に接続されている各加入者装置に対して、送り先MACアドレス及び送り元MACアドレスを含むフレームの暗号化及び復号化を行う為のトラヒック鍵を事前に配布し、暗号/復号のための初期ベクトルをフレームに付けて送信する。
【0015】
各加入者装置では、外部ネットワークにアクセスしようとする利用者側装置(PC等)からフレームが送信された場合、利用者側装置から加入者装置に送信されたフレームの送り先アドレスにセンター装置のMACアドレスを、送り元アドレスに加入者装置のMACアドレスを設定し、あるいは利用者側からのフレームに送り先アドレスとしてセンター装置のMACアドレス、送り元アドレスに加入者装置のMACアドレスを付加する(リレーエージェント機能)。加入者装置がブリッジ機能しか持っていない場合は、利用者側装置のMACアドレスが送り元アドレスとしてそのまま用いられ、送り先アドレスも外部ネットワークに接続された装置のMACアドレスがそのまま用いられる場合もある。かつ、そのフレームに暗号化初期ベクトルを付加し、その暗号化初期ベクトルを用いてフレームを当該加入者装置のトラヒック鍵で暗号化した後、その暗号化フレームをネットワーク上へ送出し、センター装置へ送信する。当該暗号化初期ベクトルは、直前にセンター装置から送られてきたフレームについている初期ベクトルをトラヒック鍵で暗号化したものである。
【0016】
トラヒック鍵での暗号化には、その初期ベクトルあるいは暗号化された初期ベクトル(暗号化初期ベクトル)を用いて暗号化する。ところでトラヒック鍵は共通暗号鍵で、DES等の共通暗号(ブロック暗号)には通常、以下の4つのモードがある。
▲1▼ ECB (Electronic Codebook)
▲2▼ CBC (Cipher Block Chaining)
▲3▼ CFB (Cipher Feedback)
▲4▼ OFB (Output Feedback)
このうちECBモードでは初期ベクトルは使えないが、後の3つのモードでは初期ベクトルによって暗号化結果が異なってくる。本発明におけるMACアドレスを含めたフレームの暗号化にはCBCと、CFBとOFBの3つのモードが使える。
【0017】
加入者装置から送信された暗号化フレームを受信したセンター装置は、その暗号化フレーム中の暗号化された初期ベクトル(暗号化初期ベクトル)に対応する加入者装置のトラヒック鍵を読み出し、そのトラヒック鍵で当該暗号化フレームを複合化した後、送り先及び送り元MACアドレスが正しく復号化されていることを確認して、その複合化されたフレームを外部ネットワークに送信する。
【0018】
またセンター装置では外部のネットワークからセンター装置にデータが送信された場合、外部のネットワークからセンター装置に送信されたフレームの送り先アドレスにその送り先の加入者装置あるいは利用者側装置のMACアドレスを、送り元アドレスにセンター装置あるいは外部ネットワークに接続された装置のMACアドレスを設定あるいは付加する。ランダムに生成された初期ベクトルを用いて、当該フレームと送り先及び送り元MACアドレスを含めて当該加入者装置のトラヒック鍵で暗号化し、その暗号化フレームにその初期ベクトルを付加してネットワーク上へ送出し、当該初期ベクトルと暗号化フレームをセンター装置から加入者装置へ送信する。
【0019】
センター装置から送信された初期ベクトルと暗号化フレームを受信した加入者装置では、その初期ベクトルを用いて当該加入者装置のトラヒック鍵で当該暗号フレームを復号化し、送り先MACアドレスが当該加入者装置の管理するMACアドレスと一致した場合、復号化されたフレームを利用者側装置に送信する。センター装置から送られてきた初期ベクトルを暗号化して、新しい暗号化初期ベクトルを作り、加入者装置から送信するフレームの暗号化のための初期ベクトルとして利用する。
【0020】
以上のように本発明のネットワークシステムによれば、送り先及び送り元のMACアドレスを含むフレームを暗号化してネットワーク上の通信を行うので、ネットワーク上での盗聴等を防ぐことが可能である。また、頻繁にトラヒック鍵を交換することなく、センター装置でランダムに生成した初期ベクトルを暗号化フレームに付加するだけで守秘通信を可能にする。トラヒック鍵交換のための通信トラヒックを少なくすることが可能である。
【0021】
【発明の実施の形態】
以下、本発明について、発明の実施の形態(実施例)とともに図面を参照して詳細に説明する。
【0022】
なお、発明の実施の形態を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
【0023】
図1は本発明の一実施の形態であるネットワークシステムの概略構成を説明するための図である。ただし、図1に示すネットワークシステムは、センター装置100と複数の加入者装置110とが接続されるネットワーク117上のセキュリティを保持するセキュリティシステムであり、例えばケーブルテレビ網のネットワーク117のセキュリティシステムである。また、図1に示す加入者装置は、一の加入者装置110のみを記載するが、2以上の加入者装置110がセンター装置100に接続される構成となっている。
【0024】
また、以下の説明では、初期ベクトルをセンター装置100から送信データに付加して各加入者装置110に送る方式の場合について説明するが、これに限定されることはなく、例えば、センター装置100から、一定期間ごとに初期ベクトルをブロードキャストしてもよい。この場合、各加入者装置110はブロードキャストされた最新の初期ベクトルをそれぞれのトラヒック鍵で暗号化し、暗号化初期ベクトルとして用いることとなるので、センター装置100で記憶する初期ベクトルの数を少なくすることが可能で、初期ベクトルの管理が容易になる。
【0025】
図1に示すように、センター装置100は、RF処理手段101と、鍵検出手段102と、鍵生成管理手段103と、復号化手段104と、IF処理手段105と、データフレーム手段106と、初期ベクトル生成手段107と、暗号化手段108を有している。
【0026】
RF処理手段101は暗号化されたフレームを変調してケーブルテレビ網等のネットワーク117経由でセンター装置100と加入者装置110との間で送受信する機能を有する手段である。鍵検出手段102は、加入者装置110から送られてきた暗号化初期ベクトルを捕らえ、この値からどの加入者装置110からのデータかを判断し、その加入者装置110のトラヒック鍵を見つけ出す手段である。鍵生成管理手段103は、ネットワーク117で用いる全てのトラヒック鍵等をランダムに発生し、各加入者装置110に割り当ててこれを管理する手段である。復号化手段104は、鍵検出手段102で検出されたトラヒック鍵と暗号化初期ベクトルを用いて加入者装置110からのフレームを復号化する手段である。復号化されたフレームはデータフレーム手段106で外部ネットワーク109のフレームに変換されIF処理手段105を通って外部ネットワーク109等に送出される構成となっている。
【0027】
外部ネットワーク109等からデータが送られてきた場合、センター装置100では、送られてきたデータはIF処理手段105を通ってデータフレーム手段106に送られる。ここで、データフレーム手段106は、IPアドレス等を確認し、どの加入者装置に送ればよいかを判断し、MACアドレス等を付加してフレームを生成する手段として機能し、この生成されたフレームを初期ベクトル生成手段107に送る構成となっている。初期ベクトル生成手段107は、ネットワーク117で使う全ての初期ベクトルをランダムに生成する手段として機能し、生成された初期ベクトルを上記フレームに付加して鍵検出手段102に送る構成となっている。ここで、鍵検出手段102では送られてきたフレームのMACアドレス等からどの加入者装置110のフレームかを判断する手段として機能し、該当する加入者装置110のトラヒック鍵を用いて暗号化手段108でMACアドレス及びフレームを暗号化する。また、鍵検出手段102では当該初期ベクトルを該当する加入者装置110のトラヒック鍵で暗号化して暗号化初期ベクトルとして、鍵検出手段102内に格納する手段として機能する。さらには、鍵検出手段102は、加入者装置110から送られてきた暗号化初期ベクトルとその格納された暗号化初期ベクトルとが一致するかを判定する手段として機能し、判定結果が一致した場合、その加入者装置110から送られてきたフレームであると判断する。
【0028】
ただし、センター装置100をRF処理手段101、鍵検出手段102、鍵生成管理手段103、復号化手段104、IF処理手段105、データフレーム手段106、初期ベクトル生成手段107、及び暗号化手段108として機能させるためのプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後にメモリにロードされて実行されるものとする。なお、記録媒体はCD−ROM等の光ディスク以外の光磁気ディスク等の他の記録媒体でも良いことはいうまでもない。また、プログラムを当該記録媒体からセンター装置100にインストールして使用しても良く、さらには、本実施の形態のネットワーク117あるいは外部ネットワーク109を通じて、当該センター装置100にインストールし前記プログラムを使用しても良い。
【0029】
一方、加入者装置110は、RF処理手段111と、初期ベクトル検出付加手段112と、暗号復号手段113と、鍵管理手段114と、データフレーム手段115と、IF処理手段116を有している。
【0030】
RF処理手段111は、暗号化されたフレームを変復調してケーブルテレビ網等のネットワーク117経由でセンター装置100との間で送受信する手段である。初期ベクトル検出付加手段112は、センター装置100から送られてきたフレームの初期ベクトルを検出し、暗号復号手段113において、鍵管理手段114で管理されているトラヒック鍵を用いて、このセンター装置100から送られてきたフレームを復号する手段である。また、加入者装置110では、この復号されたフレームの送り先MACアドレスが自分のMACアドレスと一致した場合、データフレーム手段115に入力してフレームを変換し、IF処理手段116を通してLAN118を介して接続される利用者側装置であるPC等120に送出する構成となっている。
【0031】
PC等120から送られてきたフレームは、IF処理手段116を通ってデータフレーム手段115に入力される構成となっている。このデータフレーム手段115は入力されたフレームをケーブルテレビ網等のネットワーク117用のフレームに変換する手段である。このネットワーク117用のフレームは、暗号復号手段113において、鍵管理手段114で管理されているトラヒック鍵を用いて、MACアドレス(DA,SA共)を含めて暗号化する構成となっている。当該暗号化は、直前にセンター装置100から送られてきた初期ベクトルを暗号化した暗号化初期ベクトルを初期ベクトルとして暗号化するもので、当該暗号化フレームに当該暗号化初期ベクトルを付けて、RF処理手段111に送る構成となっている。RF処理手段111は、ネットワーク117を通して、センター装置100のRF処理手段101にそのフレームを送出する構成となっている。
【0032】
ただし、加入者装置110をRF処理手段111、初期ベクトル検出付加手段112、暗号復号手段113、鍵管理手段114、データフレーム手段115、IF処理手段116として機能させるためのプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後にメモリにロードされて実行されるものとする。なお、前記記録媒体はCD−ROM等の光ディスク以外の光磁気ディスク等の他の記録媒体でも良い。また、プログラムを当該記録媒体から加入者装置110にインストールして使用しても良く、さらには、ネットワーク117あるいは外部ネットワーク109を通じて、加入者装置110にインストールし前記プログラムを使用しても良い。
【0033】
図1に示すように、本実施の形態のネットワークシステムは、ケーブルテレビ網のようなツリー状のネットワーク117に接続された一つのセンター装置100と複数の加入者装置110とで構成される。本発明のネットワークシステムは、ツリー状のネットワーク117に限らず、リング状やスター状等のネットワークのほか、無線LANや衛星通信のような放送型通信ネットワークに適用しても、前述した効果を得られることはいうまでもない。例えば、無線LANに本願発明を適用する場合には、無線LANの暗号プロトコルWEPにおいて暗号化されていないMACアドレスのDAとSAとを包含したフレームを暗号化し、アクセスポイントと端末との間で暗号化されたフレームを無線で送受信する構成となるので、無線電波で送受信されるフレームに対応する端末を特定することが困難となり、セキュリティが向上する。
【0034】
図2は本実施の形態のセンター装置100における鍵検出のためのテーブルを説明するための図であり、その一例を示す図である。
【0035】
図2のテーブルは、通常、鍵検出手段102に格納されて利用される。ただし、ケーブルテレビ網等のネットワーク117では、一つのセンター装置100に対しては、500から2,000の加入者装置110が接続される。また、加入者装置110ごとに装置のMACアドレス202、トラヒック鍵203、初期ベクトル204、並びに暗号化初期ベクトル205が一義的に決められる。この中でトラヒック鍵203、初期ベクトル204、並びにその暗号化ベクトルである暗号化初期ベクトル205は変化するもので、変化するたびに書き換えなければならない。なお、トラヒック鍵203は、センター装置100の鍵生成管理手段103がランダムに生成し、初期ベクトル204は初期ベクトル生成手段107によりランダムに生成される。
【0036】
本実施の形態では、センター装置100の鍵検出手段102にて、加入者装置110から送られてくる暗号化初期ベクトル205が事前にテーブルに記入されていることから、この暗号化初期ベクトル205を確認することにより、どの加入者装置110からのフレームであるかが分かり、加入者装置110で暗号をかけた鍵が判明する。従って、センター装置100では、この判明した鍵を用いてフレームを復号すれば、平文すなわち暗号化される前のデータを得ることが出来ることとなる。
【0037】
図3は本実施の形態のMACレイヤーのフレーム構成の一例を説明するための図であり、図3の(a)はセンター装置から加入者装置へフレームを送る場合におけるMACレイヤーのフレーム構成の一例を説明するための図であり、図3の(b)は加入者装置からセンター装置へ送る場合におけるMACレイヤーのフレーム構成の一例を説明するための図である。
【0038】
図3の(a),(b)に示すように、本実施の形態のMACレイヤーのフレームは、ヘッダ部分301にはMACフレームのはじめを示すプリアンブルや、このMACフレームのタイプ等の情報が含まれる。このヘッダ301の次に、初期ベクトル204あるいは暗号化初期ベクトル205が置かれ、その後に続くDA303、SA304、データ305、並びにCRC(Cyclic Redundancy Check)306をトラヒック鍵で暗号化して送る。ここで、CRC306は、送られてきたパケットに誤りがないかどうかをチェックするための情報である。
【0039】
まず、図4に本実施の形態のセンター装置におけるフレーム生成とネットワークへのフレームの送出までの動作を説明するためのフローチャートを示し、以下、図4に基づいて、図1に示すセンター装置100による外部ネットワーク109からネットワーク117へのフレームの送出動作を説明する。
【0040】
図4に示すように、ステップ401で、外部ネットワーク109からフレームを受信したセンター装置100では、この受信したフレームがIF処理手段105によりフレーム形式を変換された後に、この変換された受信フレームがセンター装置100を構成するデータフレーム手段106に出力される。データフレーム手段106に入力された受信フレームは、当該受信フレームがセンター装置100にネットワーク117を介して接続されている加入者装置110宛か否かを判断される(ステップ402)。なお、データフレーム手段106による判断は、通常、IPアドレス等によって判断できるので、詳細な説明は省略する。
【0041】
ここで、受信フレームが加入者装置110宛のフレームの場合には、データフレーム手段106により、加入者装置110のMACアドレス202を送り先アドレスDAとして、センター装置100のMACアドレス202を送り元アドレスSAとして受信フレームに付加されたフレームが生成され、初期ベクトル生成手段107に出力される(ステップ403)。DA及びSAが付加されたフレームは、初期ベクトル生成手段107により、ランダムに発生された初期ベクトル204が付加された後に、暗号化手段108に出力される(ステップ404)。暗号化手段108では、入力されたフレームのMACアドレス202等に基づいて、送り先となる加入者装置110のトラヒック鍵を鍵検出手段102のテーブルから引き出す(ステップ405)。次に、暗号化手段108では、図3の(a)に示すように、引き出したトラヒック鍵203と初期ベクトル204とを使ってDA以下のフレームを暗号化し暗号化フレーム302を生成すると共に、この暗号化されたフレーム(暗号化フレーム302)にヘッダ301と初期ベクトル204を付加したフレームである送信用のフレーム(図3の(a)に示す)を生成する(ステップ406)。この送信用のフレームは、RF処理手段101によりネットワーク117に送出される。
【0042】
一方、前述したステップ402において、受信フレームが加入者装置110宛のフレームでないと判断された場合には、送出動作は終了し、受信フレームは廃棄される。
【0043】
次に、図5に本実施の形態のセンター装置におけるネットワークからのフレームの受信と外部ネットワーク等への送出までの動作を説明するためのフローチャートを示し、以下、図5に基づいて、図1に示すセンター装置100によるネットワーク117から外部ネットワーク109もしくはネットワーク117へのフレームの転送動作を説明する。
【0044】
図5に示すように、ステップ501でネットワーク117からのフレームを受信したセンター装置100では、この受信したフレームがRF処理手段101により復調された後に、復調された受信フレームが鍵検出手段102に出力される。この受信フレームは、まず鍵検出手段102により暗号化初期ベクトル205が検出される(ステップ502)。次に、鍵検出手段102により、検出された暗号化初期ベクトル205が当該センター装置100に接続される加入者装置110のものであるか否かが判定される(ステップ503)。なお、このときの判定動作は、鍵検出手段102がテーブルデータとして格納する図2に示すテーブルを用いて、受信したフレームから検出した暗号化初期ベクトル205がテーブルデータとして格納されているかを検索することによってなされる。このような構成とすることにより、復号化等に要する処理が不要となるので、判定処理を迅速に行うことが可能となる。
【0045】
このステップ503において、加入者装置110が判別できた場合には、鍵検出手段102は格納するテーブル(テーブルデータ)から、判別された加入者装置110に対応するトラヒック鍵203(暗号化初期ベクトル205に対応するトラヒック鍵203)を取り出し、受信したフレームと共に復号化手段104に出力する(ステップ504)。
【0046】
復号化手段に入力された暗号化されたフレーム(暗号化フレーム302)は、トラヒック鍵と暗号化初期ベクトルとを用いて復号化され、復号化されたフレームの加入者装置110のMACアドレス202が確認される(ステップ505)。このステップ506において、MACアドレス202が誤っていた場合には動作は終了する。一方、MACアドレス202が正しい場合には、復号化されたフレームはデータフレーム手段106に出力される。ここで、復号化されたフレームのIPアドレス等に基づいて、データフレーム手段106は転送先を特定し、転送先が外部ネットワーク109の場合には、復号化されたフレームを外部ネットワーク109のフレームに変換し、IF処理手段105を介して外部ネットワーク109に送出する。一方、転送先がネットワーク117に接続される加入者装置110の場合には、復号化されたフレームは送り先となる転送先の加入者装置110のMACアドレスと共に初期ベクトル生成手段107に出力され、暗号化手段108及びRF処理手段101により、前述する図4に示す手順により暗号化された後に、ネットワーク117に送出される。
【0047】
ただし、前述したステップ503において、検出された暗号化初期ベクトル205が当該センター装置100に接続される加入者装置110のものでないことが判明した場合には、ステップ504〜507の処理は行われずに終了となる。
【0048】
次に、図6に本実施の形態の加入者装置におけるフレームの受信動作を説明するための図を示し、以下、図6に基づいて、図1に示す加入者装置110によるネットワーク117からLAN118へのフレームの送出動作を説明する。
【0049】
図6に示すように、ステップ601でネットワーク117からのフレームを受信した加入者装置110では、この受信されたフレームがRF処理手段111により復調された後に、復調された受信フレームが初期ベクトル検出付加手段112に出力される。復調された受信フレームから初期ベクトル検出付加手段112により、初期ベクトル204が検出され、検出された初期ベクトル204と受信フレームとが暗号復号手段113に出力される(ステップ602)。初期ベクトル204は暗号復号化手段113により鍵管理手段114に格納されると共に、鍵管理手段114に格納されるトラヒック鍵203が読み出される(ステップ603)。次に、この読み出されたトラヒック鍵203と当該フレームに付加された初期ベクトルとに基づいて、DA、SA、データ及びCRCからなる暗号化フレーム302すなわち受信フレームの暗号化された領域(暗号化フレーム302)が、暗号復号手段113により復号化される(ステップ704)。
【0050】
次に、暗号復号化手段113により、復号化された受信フレームに付加されるDAと当該加入者装置110のMACとが比較される(ステップ605)。ここで、復号化された受信フレームに付加されるDAと、当該加入者装置110のMACとが一致した場合には、データフレーム手段115により、受信フレームの形式はLAN118に適用する形式のフレームが変換され、この変換されたフレームがIF処理手段116を介してPC等120が接続されるLAN118に送出される(ステップ606)。一方、ステップ605において、復号化された受信フレームに付加されるDAと、当該加入者装置110のMACとが一致しない場合には、動作が終了され、受信したフレームは廃棄される。
【0051】
次に、図7に本実施の形態の加入者装置によるネットワークへのフレームの送信動作を説明するための図を示し、以下、図7に基づいて、図1に示す加入者装置110のLAN118に接続されるPC等120からネットワーク117へのフレームの送出動作を説明する。
【0052】
図7に示すように、ステップ701でLAN118に接続されるPC等120からのフレームを受信した加入者装置110では、IF処理手段116を介してフレームがデータフレーム手段115に入力され、データフレーム手段115でPC等120からのフレームがセンター装置100宛か否かが判断される(ステップ702)。ここで、センター装置100宛でなければ動作は終了する。
【0053】
一方、センター装置100宛の場合には、データフレーム手段115により送り先アドレス(DA)と送り元アドレス(SA)とが設定される(ステップ703)。次に、鍵管理手段114に格納されているトラヒック鍵203と初期ベクトル204が読み出される(ステップ704)。ただし、このとき読み出される初期ベクトルは、当該加入者装置110が直前にセンター装置100から受信した初期ベクトルである。
【0054】
この後に、ステップ703で作成したフレーム(DA、SAが設定されたフレーム)が、ステップ704で読み出されたトラヒック鍵203と初期ベクトル204とで暗号復号手段113により暗号化される(ステップ706)。この後に、暗号復号手段113が初期ベクトル204をトラヒック鍵203で暗号化し、暗号化初期ベクトル205を生成する(ステップ706)。このときの初期ベクトル暗号化モードは、初期ベクトルをある値に定めたCBCモード等でも良い。
【0055】
この暗号化初期ベクトル205は初期ベクトル検出付加手段112により当該暗号化フレーム302に付加され、RF処理手段111を介してネットワーク117に送信される。
【0056】
ただし、本実施の形態における加入者装置110の初期設定は、加入者装置110の電源がONした場合、あるいはセンター装置100との間で通信が出来なくなった場合等に実施される。通常、まずセンター装置100のRF処理手段101と加入者装置110のRF処理手段111との設定が行われ、センター装置100は加入者装置110を認識する。次に、トラヒック鍵203の設定を終了し、本実施の形態のネットワークシステムを立ち上げるには、まず、センター装置100から初期ベクトル204を付けて、当該トラヒック鍵203と初期ベクトル204とで暗号化した暗号化フレーム302を加入者装置110に送付する。こうすることによって、初期ベクトル204が加入者装置110に設定され、本実施の形態のネットワークシステムの動作が可能になる。
【0057】
また、以上の説明では、初期ベクトル204はDA、SAの直前に付加する場合について説明したが、これに限定されることはなく、例えば、MACレイヤーのフレームで拡張ヘッダの中に挿入することも可能である。
【0058】
さらには、本実施の形態におけるトラヒック鍵203の配信方法は、公知のものを含め以下のような方法がある。
【0059】
一つは、トラヒック鍵203をそのまま周知のICカードあるいは加入者装置110に実装して加入者に配る方式。もう一つはトラヒック鍵203を公開暗号鍵方式とし、公開鍵をお互いに送りあう方式。トラヒック鍵203とは別の共通鍵をマスター鍵として、ICカードあるいは加入者装置110に実装して配り、このマスター鍵でトラヒック鍵203を暗号化してセンター装置100から加入者装置110へ送信する方式。マスター鍵、トラヒック鍵203の外にキー暗号鍵を設け、マスター鍵でキー暗号鍵を暗号化して加入者装置110に送り、さらにキー暗号鍵でトラヒック鍵203を暗号化して加入者装置110に送る方式。前述のマスター鍵として公開鍵方式を用いる方式。あるいは、Diffie−Hellmanの鍵配信方式等として知られている鍵の配信方式も考案されている。本願発明では、これらのいずれの方式を採用してトラヒック鍵203が配信されても、適用可能である。
【0060】
以上説明したように、本実施の形態のネットワークシステムでは、センター装置100から各加入者装置110に対応した初期ベクトル204をデータの通信と一緒に送信すると共に、送り先及び送り元のMACアドレス202を含むフレームをトラヒック鍵203と初期ベクトル204とで暗号化し、この暗号化フレーム302に初期ベクトル204あるいはトラヒック鍵203で暗号化された暗号化初期ベクトル205を付加してネットワーク117上での通信を行う構成となっているので、特定の機器を狙った盗聴が困難となり、ネットワーク117上での盗聴等を防ぐことが可能となる。また、頻繁にトラヒック鍵203を交換する必要がなくなるので、通常の通信のためのトラヒックに影響を与えてしまい、転送速度が低下してしまうことを防止できる。すなわち、トラヒック鍵203の交換のための通信トラヒックを少なくすることが可能である。
【0061】
なお、本発明の他の実施例として、センター装置100から各加入者装置110へ個別に初期ベクトル204を送信し、各加入者装置110は送られてきた初期ベクトル204を、その加入者装置110の固有のトラヒック鍵203で暗号化した暗号化初期ベクトル205を用いてもよい。
【0062】
また、本発明の他の実施例として、センター装置100から送られてきた初期ベクトル204に一定の演算を加えた値を新たな初期ベクトルとして設定して用いることも可能である。例えば、加入者装置110において、初期ベクトル204に一定の数値(例えば1から8等)を加えた数値を新たな初期ベクトルとしてトラヒック鍵203で暗号化し暗号化初期ベクトルとして、加えた数値とともにセンター装置100に送信すれば、センター装置100はこれがどの加入者装置110からのフレームであるかを検知することが可能となる。このような構成とすることにより、加入者装置110は複数の初期ベクトル204を得たことと同じ効果を得ることが可能となり、加入者装置110からの大量のデータ送出に対しても、異なった暗号化フレーム(DA,SA部分)302を作ることが可能になり、守秘性が向上する。
【0063】
以上、本発明者によってなされた発明を、前記発明の実施の形態に基づき具体的に説明したが、本発明は、前記発明の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0064】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
【0065】
本発明によれば、鍵の交換をしなくても、MACアドレスを含むフレームを暗号化した結果が異なりネットワーク上での盗聴等を防ぐことが出来る。鍵の交換頻度を下げることが可能になり、鍵交換による通信トラヒックへの影響を少なくすることが出来る。
【図面の簡単な説明】
【図1】本発明の一実施の形態であるネットワークシステムの概略構成を説明するための図である。
【図2】本実施の形態のセンター装置100における鍵検出のためのテーブルを説明するための図である。
【図3】本実施の形態のMACレイヤーのフレーム構成を説明するための図である。
【図4】本実施の形態のセンター装置におけるフレーム生成とネットワークへのフレームの送出までの動作を説明するためのフローチャートである。
【図5】本実施の形態のセンター装置におけるネットワークからのフレームの受信と外部ネットワーク等への送出までの動作を説明するためのフローチャートである。
【図6】本実施の形態の加入者装置におけるフレームの受信動作を説明するための図である。
【図7】本実施の形態の加入者装置によるネットワークへのフレームの送信動作を説明するための図である。
【符号の説明】
100…センター装置 101…RF処理手段
102…鍵検出手段 103…鍵生成管理手段
104…復号化手段 105…IF処理手段
106…データフレーム手段 107…初期ベクトル生成手段
108…暗号化手段 109…外部ネットワーク
110…加入者装置 111…RF処理手段
112…初期ベクトル検出付加手段 113…暗号復号手段
114…鍵管理手段 115…データフレーム手段
116…IF処理手段 117…ネットワーク
118…LAN 120…PC等
201…加入者装置ID 202…MACアドレス
203…トラヒック鍵 204…初期ベクトル
205…暗号化初期ベクトル
301…ヘッダ 302…暗号化フレーム
303…DA 304…SA
305…データ 306…CRC
【発明の属する技術分野】
本発明は、セキュリティ保持方法及びネットワークシステム並びにその処理プログラムに関し、特に、ケーブルテレビネットワーク、無線LAN、衛星通信等のような同報、放送が容易なネットワーク上のセキュリティを保持するネットワークシステムに適用して有効な技術に関するものである。
【0002】
【従来の技術】
ケーブルテレビのセキュリティ基準として、(社)日本CATV技術協会の標準規格としてCATV高速データ伝送装置のベースラインプライバシー(BP)が平成11年に策定された。これは、マック(MAC:Media Access Control)レイヤー(データリンクレイヤーの一部)での暗号化を行うものであるが、送信と受信の装置アドレスのDA(Destination Address)とSA(Source Address)とが暗号化されていない。ケーブルテレビ網のように、網に接続された機器によって誰もが信号を検出できるように構成されたネットワークでは、特定の機器を狙った盗聴が可能である。
【0003】
すなわち、ベースラインプライバシーに基づいたケーブルテレビ網を用いたネットワークでは、ネットワークを構成するセンター装置及び加入者装置並びに利用者装置の間で送受信されるフレームの暗号化されていないDAとSAとが、網内の全ての装置に入力される構成となっている。このために、ケーブルテレビ網内に盗聴対象とする機器と同じDAやSAが設定された機器を配置することによって、特定の機器を狙った盗聴やなりすましが可能である。
【0004】
同様にして、無線LANの暗号プロトコルWEP(Wired Equipment Privacy)(IEEE Std 802.11)においても、BPと同様MACアドレスのDAとSAは暗号化されない状態で通信を実行する構成となっている。従って、前述したケーブルテレビ網と同じように、特定の機器を狙った盗聴やなりすましが可能である。
【0005】
このようなケーブルテレビのネットワークや無線LANにおけるセキュリティを向上させる方法として、例えば、同一出願人による特願2001−62962号(以下、引用文献1と記す)に記載の「セキュリティ保持方法及びその実施システムならびにその処理プログラム」があった。この引用文献1に記載の方法では、MACアドレスDA及びSAを含めて暗号化することによって、特定の機器を狙った盗聴も防止する構成となっている。
【0006】
【発明が解決しようとする課題】
本発明者は、前記従来技術を検討した結果、以下の問題点を見いだした。
【0007】
引用文献1に記載のネットワークシステムでは、加入者装置からセンター装置へ送出されるフレームの場合には、送り先アドレスとしてセンター装置のMACアドレスが設定されると共に、送り元アドレスとして加入者装置のMACアドレスが設定されたフレームを送り元である加入者装置のワーク鍵で暗号化した後に、この暗号化されたフレームを送信する構成となっていた。
【0008】
ここで、受信側となる装置(暗号化されたフレームを送信した装置を除く他の加入者装置及びセンター装置)では、それぞれが有するワーク鍵で入力されたフレームを復号化することとなるが、送り先アドレスがセンター装置の場合には、加入者装置では復号化に成功しないので、この暗号化されたフレームは加入者装置には取り込まれないこととなる。一方、センター装置は、各加入者装置に設定されているワーク鍵を全て有する構成となっているので、各ワーク鍵で入力されたフレームを復号化することにより、送信側装置に対応するワーク鍵で復号化を行った場合に、暗号化されたフレームの解読すなわち送り先アドレスとしてセンター装置のMACアドレスが設定されると共に、送り元アドレスとして加入者装置のMACアドレスが設定されたフレームが復号化されるので、この復号化されたフレームがセンター装置に受け付けられることとなる。
【0009】
このように、引用文献1に記載の方式では、暗号化にワーク鍵を用いる構成となっていたので、DA及びSAの暗号化結果を違ったものにするために暗号用の鍵を頻繁に交換する必要があった。しかしながら、鍵交換に要するデータ量は、通常の通信のためのトラヒックに影響を及ぼすという問題があった。
【0010】
本発明の目的は前述した問題を解決し、盗聴等を防ぐことが可能な技術を提供することにある。
【0011】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかになるであろう。
【0012】
【課題を解決するための手段】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記のとおりである。
【0013】
本発明は、センター装置と複数のホーム装置を接続したネットワーク上のセキュリティを保持するネットワークシステムにおいて、送り先及び送り元のMACアドレスを含むフレームを暗号化してネットワーク上の通信を行うものである。特に暗号化のための鍵の配信を秒単位で送るような頻繁な鍵交換を行わずに、上記MACアドレス等の暗号化結果を異なったものにできるようにしたネットワークシステムである。
【0014】
本発明によるネットワークシステムの一例では、CATV等のネットワークにおけるセンター装置に接続されている各加入者装置に対して、送り先MACアドレス及び送り元MACアドレスを含むフレームの暗号化及び復号化を行う為のトラヒック鍵を事前に配布し、暗号/復号のための初期ベクトルをフレームに付けて送信する。
【0015】
各加入者装置では、外部ネットワークにアクセスしようとする利用者側装置(PC等)からフレームが送信された場合、利用者側装置から加入者装置に送信されたフレームの送り先アドレスにセンター装置のMACアドレスを、送り元アドレスに加入者装置のMACアドレスを設定し、あるいは利用者側からのフレームに送り先アドレスとしてセンター装置のMACアドレス、送り元アドレスに加入者装置のMACアドレスを付加する(リレーエージェント機能)。加入者装置がブリッジ機能しか持っていない場合は、利用者側装置のMACアドレスが送り元アドレスとしてそのまま用いられ、送り先アドレスも外部ネットワークに接続された装置のMACアドレスがそのまま用いられる場合もある。かつ、そのフレームに暗号化初期ベクトルを付加し、その暗号化初期ベクトルを用いてフレームを当該加入者装置のトラヒック鍵で暗号化した後、その暗号化フレームをネットワーク上へ送出し、センター装置へ送信する。当該暗号化初期ベクトルは、直前にセンター装置から送られてきたフレームについている初期ベクトルをトラヒック鍵で暗号化したものである。
【0016】
トラヒック鍵での暗号化には、その初期ベクトルあるいは暗号化された初期ベクトル(暗号化初期ベクトル)を用いて暗号化する。ところでトラヒック鍵は共通暗号鍵で、DES等の共通暗号(ブロック暗号)には通常、以下の4つのモードがある。
▲1▼ ECB (Electronic Codebook)
▲2▼ CBC (Cipher Block Chaining)
▲3▼ CFB (Cipher Feedback)
▲4▼ OFB (Output Feedback)
このうちECBモードでは初期ベクトルは使えないが、後の3つのモードでは初期ベクトルによって暗号化結果が異なってくる。本発明におけるMACアドレスを含めたフレームの暗号化にはCBCと、CFBとOFBの3つのモードが使える。
【0017】
加入者装置から送信された暗号化フレームを受信したセンター装置は、その暗号化フレーム中の暗号化された初期ベクトル(暗号化初期ベクトル)に対応する加入者装置のトラヒック鍵を読み出し、そのトラヒック鍵で当該暗号化フレームを複合化した後、送り先及び送り元MACアドレスが正しく復号化されていることを確認して、その複合化されたフレームを外部ネットワークに送信する。
【0018】
またセンター装置では外部のネットワークからセンター装置にデータが送信された場合、外部のネットワークからセンター装置に送信されたフレームの送り先アドレスにその送り先の加入者装置あるいは利用者側装置のMACアドレスを、送り元アドレスにセンター装置あるいは外部ネットワークに接続された装置のMACアドレスを設定あるいは付加する。ランダムに生成された初期ベクトルを用いて、当該フレームと送り先及び送り元MACアドレスを含めて当該加入者装置のトラヒック鍵で暗号化し、その暗号化フレームにその初期ベクトルを付加してネットワーク上へ送出し、当該初期ベクトルと暗号化フレームをセンター装置から加入者装置へ送信する。
【0019】
センター装置から送信された初期ベクトルと暗号化フレームを受信した加入者装置では、その初期ベクトルを用いて当該加入者装置のトラヒック鍵で当該暗号フレームを復号化し、送り先MACアドレスが当該加入者装置の管理するMACアドレスと一致した場合、復号化されたフレームを利用者側装置に送信する。センター装置から送られてきた初期ベクトルを暗号化して、新しい暗号化初期ベクトルを作り、加入者装置から送信するフレームの暗号化のための初期ベクトルとして利用する。
【0020】
以上のように本発明のネットワークシステムによれば、送り先及び送り元のMACアドレスを含むフレームを暗号化してネットワーク上の通信を行うので、ネットワーク上での盗聴等を防ぐことが可能である。また、頻繁にトラヒック鍵を交換することなく、センター装置でランダムに生成した初期ベクトルを暗号化フレームに付加するだけで守秘通信を可能にする。トラヒック鍵交換のための通信トラヒックを少なくすることが可能である。
【0021】
【発明の実施の形態】
以下、本発明について、発明の実施の形態(実施例)とともに図面を参照して詳細に説明する。
【0022】
なお、発明の実施の形態を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
【0023】
図1は本発明の一実施の形態であるネットワークシステムの概略構成を説明するための図である。ただし、図1に示すネットワークシステムは、センター装置100と複数の加入者装置110とが接続されるネットワーク117上のセキュリティを保持するセキュリティシステムであり、例えばケーブルテレビ網のネットワーク117のセキュリティシステムである。また、図1に示す加入者装置は、一の加入者装置110のみを記載するが、2以上の加入者装置110がセンター装置100に接続される構成となっている。
【0024】
また、以下の説明では、初期ベクトルをセンター装置100から送信データに付加して各加入者装置110に送る方式の場合について説明するが、これに限定されることはなく、例えば、センター装置100から、一定期間ごとに初期ベクトルをブロードキャストしてもよい。この場合、各加入者装置110はブロードキャストされた最新の初期ベクトルをそれぞれのトラヒック鍵で暗号化し、暗号化初期ベクトルとして用いることとなるので、センター装置100で記憶する初期ベクトルの数を少なくすることが可能で、初期ベクトルの管理が容易になる。
【0025】
図1に示すように、センター装置100は、RF処理手段101と、鍵検出手段102と、鍵生成管理手段103と、復号化手段104と、IF処理手段105と、データフレーム手段106と、初期ベクトル生成手段107と、暗号化手段108を有している。
【0026】
RF処理手段101は暗号化されたフレームを変調してケーブルテレビ網等のネットワーク117経由でセンター装置100と加入者装置110との間で送受信する機能を有する手段である。鍵検出手段102は、加入者装置110から送られてきた暗号化初期ベクトルを捕らえ、この値からどの加入者装置110からのデータかを判断し、その加入者装置110のトラヒック鍵を見つけ出す手段である。鍵生成管理手段103は、ネットワーク117で用いる全てのトラヒック鍵等をランダムに発生し、各加入者装置110に割り当ててこれを管理する手段である。復号化手段104は、鍵検出手段102で検出されたトラヒック鍵と暗号化初期ベクトルを用いて加入者装置110からのフレームを復号化する手段である。復号化されたフレームはデータフレーム手段106で外部ネットワーク109のフレームに変換されIF処理手段105を通って外部ネットワーク109等に送出される構成となっている。
【0027】
外部ネットワーク109等からデータが送られてきた場合、センター装置100では、送られてきたデータはIF処理手段105を通ってデータフレーム手段106に送られる。ここで、データフレーム手段106は、IPアドレス等を確認し、どの加入者装置に送ればよいかを判断し、MACアドレス等を付加してフレームを生成する手段として機能し、この生成されたフレームを初期ベクトル生成手段107に送る構成となっている。初期ベクトル生成手段107は、ネットワーク117で使う全ての初期ベクトルをランダムに生成する手段として機能し、生成された初期ベクトルを上記フレームに付加して鍵検出手段102に送る構成となっている。ここで、鍵検出手段102では送られてきたフレームのMACアドレス等からどの加入者装置110のフレームかを判断する手段として機能し、該当する加入者装置110のトラヒック鍵を用いて暗号化手段108でMACアドレス及びフレームを暗号化する。また、鍵検出手段102では当該初期ベクトルを該当する加入者装置110のトラヒック鍵で暗号化して暗号化初期ベクトルとして、鍵検出手段102内に格納する手段として機能する。さらには、鍵検出手段102は、加入者装置110から送られてきた暗号化初期ベクトルとその格納された暗号化初期ベクトルとが一致するかを判定する手段として機能し、判定結果が一致した場合、その加入者装置110から送られてきたフレームであると判断する。
【0028】
ただし、センター装置100をRF処理手段101、鍵検出手段102、鍵生成管理手段103、復号化手段104、IF処理手段105、データフレーム手段106、初期ベクトル生成手段107、及び暗号化手段108として機能させるためのプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後にメモリにロードされて実行されるものとする。なお、記録媒体はCD−ROM等の光ディスク以外の光磁気ディスク等の他の記録媒体でも良いことはいうまでもない。また、プログラムを当該記録媒体からセンター装置100にインストールして使用しても良く、さらには、本実施の形態のネットワーク117あるいは外部ネットワーク109を通じて、当該センター装置100にインストールし前記プログラムを使用しても良い。
【0029】
一方、加入者装置110は、RF処理手段111と、初期ベクトル検出付加手段112と、暗号復号手段113と、鍵管理手段114と、データフレーム手段115と、IF処理手段116を有している。
【0030】
RF処理手段111は、暗号化されたフレームを変復調してケーブルテレビ網等のネットワーク117経由でセンター装置100との間で送受信する手段である。初期ベクトル検出付加手段112は、センター装置100から送られてきたフレームの初期ベクトルを検出し、暗号復号手段113において、鍵管理手段114で管理されているトラヒック鍵を用いて、このセンター装置100から送られてきたフレームを復号する手段である。また、加入者装置110では、この復号されたフレームの送り先MACアドレスが自分のMACアドレスと一致した場合、データフレーム手段115に入力してフレームを変換し、IF処理手段116を通してLAN118を介して接続される利用者側装置であるPC等120に送出する構成となっている。
【0031】
PC等120から送られてきたフレームは、IF処理手段116を通ってデータフレーム手段115に入力される構成となっている。このデータフレーム手段115は入力されたフレームをケーブルテレビ網等のネットワーク117用のフレームに変換する手段である。このネットワーク117用のフレームは、暗号復号手段113において、鍵管理手段114で管理されているトラヒック鍵を用いて、MACアドレス(DA,SA共)を含めて暗号化する構成となっている。当該暗号化は、直前にセンター装置100から送られてきた初期ベクトルを暗号化した暗号化初期ベクトルを初期ベクトルとして暗号化するもので、当該暗号化フレームに当該暗号化初期ベクトルを付けて、RF処理手段111に送る構成となっている。RF処理手段111は、ネットワーク117を通して、センター装置100のRF処理手段101にそのフレームを送出する構成となっている。
【0032】
ただし、加入者装置110をRF処理手段111、初期ベクトル検出付加手段112、暗号復号手段113、鍵管理手段114、データフレーム手段115、IF処理手段116として機能させるためのプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後にメモリにロードされて実行されるものとする。なお、前記記録媒体はCD−ROM等の光ディスク以外の光磁気ディスク等の他の記録媒体でも良い。また、プログラムを当該記録媒体から加入者装置110にインストールして使用しても良く、さらには、ネットワーク117あるいは外部ネットワーク109を通じて、加入者装置110にインストールし前記プログラムを使用しても良い。
【0033】
図1に示すように、本実施の形態のネットワークシステムは、ケーブルテレビ網のようなツリー状のネットワーク117に接続された一つのセンター装置100と複数の加入者装置110とで構成される。本発明のネットワークシステムは、ツリー状のネットワーク117に限らず、リング状やスター状等のネットワークのほか、無線LANや衛星通信のような放送型通信ネットワークに適用しても、前述した効果を得られることはいうまでもない。例えば、無線LANに本願発明を適用する場合には、無線LANの暗号プロトコルWEPにおいて暗号化されていないMACアドレスのDAとSAとを包含したフレームを暗号化し、アクセスポイントと端末との間で暗号化されたフレームを無線で送受信する構成となるので、無線電波で送受信されるフレームに対応する端末を特定することが困難となり、セキュリティが向上する。
【0034】
図2は本実施の形態のセンター装置100における鍵検出のためのテーブルを説明するための図であり、その一例を示す図である。
【0035】
図2のテーブルは、通常、鍵検出手段102に格納されて利用される。ただし、ケーブルテレビ網等のネットワーク117では、一つのセンター装置100に対しては、500から2,000の加入者装置110が接続される。また、加入者装置110ごとに装置のMACアドレス202、トラヒック鍵203、初期ベクトル204、並びに暗号化初期ベクトル205が一義的に決められる。この中でトラヒック鍵203、初期ベクトル204、並びにその暗号化ベクトルである暗号化初期ベクトル205は変化するもので、変化するたびに書き換えなければならない。なお、トラヒック鍵203は、センター装置100の鍵生成管理手段103がランダムに生成し、初期ベクトル204は初期ベクトル生成手段107によりランダムに生成される。
【0036】
本実施の形態では、センター装置100の鍵検出手段102にて、加入者装置110から送られてくる暗号化初期ベクトル205が事前にテーブルに記入されていることから、この暗号化初期ベクトル205を確認することにより、どの加入者装置110からのフレームであるかが分かり、加入者装置110で暗号をかけた鍵が判明する。従って、センター装置100では、この判明した鍵を用いてフレームを復号すれば、平文すなわち暗号化される前のデータを得ることが出来ることとなる。
【0037】
図3は本実施の形態のMACレイヤーのフレーム構成の一例を説明するための図であり、図3の(a)はセンター装置から加入者装置へフレームを送る場合におけるMACレイヤーのフレーム構成の一例を説明するための図であり、図3の(b)は加入者装置からセンター装置へ送る場合におけるMACレイヤーのフレーム構成の一例を説明するための図である。
【0038】
図3の(a),(b)に示すように、本実施の形態のMACレイヤーのフレームは、ヘッダ部分301にはMACフレームのはじめを示すプリアンブルや、このMACフレームのタイプ等の情報が含まれる。このヘッダ301の次に、初期ベクトル204あるいは暗号化初期ベクトル205が置かれ、その後に続くDA303、SA304、データ305、並びにCRC(Cyclic Redundancy Check)306をトラヒック鍵で暗号化して送る。ここで、CRC306は、送られてきたパケットに誤りがないかどうかをチェックするための情報である。
【0039】
まず、図4に本実施の形態のセンター装置におけるフレーム生成とネットワークへのフレームの送出までの動作を説明するためのフローチャートを示し、以下、図4に基づいて、図1に示すセンター装置100による外部ネットワーク109からネットワーク117へのフレームの送出動作を説明する。
【0040】
図4に示すように、ステップ401で、外部ネットワーク109からフレームを受信したセンター装置100では、この受信したフレームがIF処理手段105によりフレーム形式を変換された後に、この変換された受信フレームがセンター装置100を構成するデータフレーム手段106に出力される。データフレーム手段106に入力された受信フレームは、当該受信フレームがセンター装置100にネットワーク117を介して接続されている加入者装置110宛か否かを判断される(ステップ402)。なお、データフレーム手段106による判断は、通常、IPアドレス等によって判断できるので、詳細な説明は省略する。
【0041】
ここで、受信フレームが加入者装置110宛のフレームの場合には、データフレーム手段106により、加入者装置110のMACアドレス202を送り先アドレスDAとして、センター装置100のMACアドレス202を送り元アドレスSAとして受信フレームに付加されたフレームが生成され、初期ベクトル生成手段107に出力される(ステップ403)。DA及びSAが付加されたフレームは、初期ベクトル生成手段107により、ランダムに発生された初期ベクトル204が付加された後に、暗号化手段108に出力される(ステップ404)。暗号化手段108では、入力されたフレームのMACアドレス202等に基づいて、送り先となる加入者装置110のトラヒック鍵を鍵検出手段102のテーブルから引き出す(ステップ405)。次に、暗号化手段108では、図3の(a)に示すように、引き出したトラヒック鍵203と初期ベクトル204とを使ってDA以下のフレームを暗号化し暗号化フレーム302を生成すると共に、この暗号化されたフレーム(暗号化フレーム302)にヘッダ301と初期ベクトル204を付加したフレームである送信用のフレーム(図3の(a)に示す)を生成する(ステップ406)。この送信用のフレームは、RF処理手段101によりネットワーク117に送出される。
【0042】
一方、前述したステップ402において、受信フレームが加入者装置110宛のフレームでないと判断された場合には、送出動作は終了し、受信フレームは廃棄される。
【0043】
次に、図5に本実施の形態のセンター装置におけるネットワークからのフレームの受信と外部ネットワーク等への送出までの動作を説明するためのフローチャートを示し、以下、図5に基づいて、図1に示すセンター装置100によるネットワーク117から外部ネットワーク109もしくはネットワーク117へのフレームの転送動作を説明する。
【0044】
図5に示すように、ステップ501でネットワーク117からのフレームを受信したセンター装置100では、この受信したフレームがRF処理手段101により復調された後に、復調された受信フレームが鍵検出手段102に出力される。この受信フレームは、まず鍵検出手段102により暗号化初期ベクトル205が検出される(ステップ502)。次に、鍵検出手段102により、検出された暗号化初期ベクトル205が当該センター装置100に接続される加入者装置110のものであるか否かが判定される(ステップ503)。なお、このときの判定動作は、鍵検出手段102がテーブルデータとして格納する図2に示すテーブルを用いて、受信したフレームから検出した暗号化初期ベクトル205がテーブルデータとして格納されているかを検索することによってなされる。このような構成とすることにより、復号化等に要する処理が不要となるので、判定処理を迅速に行うことが可能となる。
【0045】
このステップ503において、加入者装置110が判別できた場合には、鍵検出手段102は格納するテーブル(テーブルデータ)から、判別された加入者装置110に対応するトラヒック鍵203(暗号化初期ベクトル205に対応するトラヒック鍵203)を取り出し、受信したフレームと共に復号化手段104に出力する(ステップ504)。
【0046】
復号化手段に入力された暗号化されたフレーム(暗号化フレーム302)は、トラヒック鍵と暗号化初期ベクトルとを用いて復号化され、復号化されたフレームの加入者装置110のMACアドレス202が確認される(ステップ505)。このステップ506において、MACアドレス202が誤っていた場合には動作は終了する。一方、MACアドレス202が正しい場合には、復号化されたフレームはデータフレーム手段106に出力される。ここで、復号化されたフレームのIPアドレス等に基づいて、データフレーム手段106は転送先を特定し、転送先が外部ネットワーク109の場合には、復号化されたフレームを外部ネットワーク109のフレームに変換し、IF処理手段105を介して外部ネットワーク109に送出する。一方、転送先がネットワーク117に接続される加入者装置110の場合には、復号化されたフレームは送り先となる転送先の加入者装置110のMACアドレスと共に初期ベクトル生成手段107に出力され、暗号化手段108及びRF処理手段101により、前述する図4に示す手順により暗号化された後に、ネットワーク117に送出される。
【0047】
ただし、前述したステップ503において、検出された暗号化初期ベクトル205が当該センター装置100に接続される加入者装置110のものでないことが判明した場合には、ステップ504〜507の処理は行われずに終了となる。
【0048】
次に、図6に本実施の形態の加入者装置におけるフレームの受信動作を説明するための図を示し、以下、図6に基づいて、図1に示す加入者装置110によるネットワーク117からLAN118へのフレームの送出動作を説明する。
【0049】
図6に示すように、ステップ601でネットワーク117からのフレームを受信した加入者装置110では、この受信されたフレームがRF処理手段111により復調された後に、復調された受信フレームが初期ベクトル検出付加手段112に出力される。復調された受信フレームから初期ベクトル検出付加手段112により、初期ベクトル204が検出され、検出された初期ベクトル204と受信フレームとが暗号復号手段113に出力される(ステップ602)。初期ベクトル204は暗号復号化手段113により鍵管理手段114に格納されると共に、鍵管理手段114に格納されるトラヒック鍵203が読み出される(ステップ603)。次に、この読み出されたトラヒック鍵203と当該フレームに付加された初期ベクトルとに基づいて、DA、SA、データ及びCRCからなる暗号化フレーム302すなわち受信フレームの暗号化された領域(暗号化フレーム302)が、暗号復号手段113により復号化される(ステップ704)。
【0050】
次に、暗号復号化手段113により、復号化された受信フレームに付加されるDAと当該加入者装置110のMACとが比較される(ステップ605)。ここで、復号化された受信フレームに付加されるDAと、当該加入者装置110のMACとが一致した場合には、データフレーム手段115により、受信フレームの形式はLAN118に適用する形式のフレームが変換され、この変換されたフレームがIF処理手段116を介してPC等120が接続されるLAN118に送出される(ステップ606)。一方、ステップ605において、復号化された受信フレームに付加されるDAと、当該加入者装置110のMACとが一致しない場合には、動作が終了され、受信したフレームは廃棄される。
【0051】
次に、図7に本実施の形態の加入者装置によるネットワークへのフレームの送信動作を説明するための図を示し、以下、図7に基づいて、図1に示す加入者装置110のLAN118に接続されるPC等120からネットワーク117へのフレームの送出動作を説明する。
【0052】
図7に示すように、ステップ701でLAN118に接続されるPC等120からのフレームを受信した加入者装置110では、IF処理手段116を介してフレームがデータフレーム手段115に入力され、データフレーム手段115でPC等120からのフレームがセンター装置100宛か否かが判断される(ステップ702)。ここで、センター装置100宛でなければ動作は終了する。
【0053】
一方、センター装置100宛の場合には、データフレーム手段115により送り先アドレス(DA)と送り元アドレス(SA)とが設定される(ステップ703)。次に、鍵管理手段114に格納されているトラヒック鍵203と初期ベクトル204が読み出される(ステップ704)。ただし、このとき読み出される初期ベクトルは、当該加入者装置110が直前にセンター装置100から受信した初期ベクトルである。
【0054】
この後に、ステップ703で作成したフレーム(DA、SAが設定されたフレーム)が、ステップ704で読み出されたトラヒック鍵203と初期ベクトル204とで暗号復号手段113により暗号化される(ステップ706)。この後に、暗号復号手段113が初期ベクトル204をトラヒック鍵203で暗号化し、暗号化初期ベクトル205を生成する(ステップ706)。このときの初期ベクトル暗号化モードは、初期ベクトルをある値に定めたCBCモード等でも良い。
【0055】
この暗号化初期ベクトル205は初期ベクトル検出付加手段112により当該暗号化フレーム302に付加され、RF処理手段111を介してネットワーク117に送信される。
【0056】
ただし、本実施の形態における加入者装置110の初期設定は、加入者装置110の電源がONした場合、あるいはセンター装置100との間で通信が出来なくなった場合等に実施される。通常、まずセンター装置100のRF処理手段101と加入者装置110のRF処理手段111との設定が行われ、センター装置100は加入者装置110を認識する。次に、トラヒック鍵203の設定を終了し、本実施の形態のネットワークシステムを立ち上げるには、まず、センター装置100から初期ベクトル204を付けて、当該トラヒック鍵203と初期ベクトル204とで暗号化した暗号化フレーム302を加入者装置110に送付する。こうすることによって、初期ベクトル204が加入者装置110に設定され、本実施の形態のネットワークシステムの動作が可能になる。
【0057】
また、以上の説明では、初期ベクトル204はDA、SAの直前に付加する場合について説明したが、これに限定されることはなく、例えば、MACレイヤーのフレームで拡張ヘッダの中に挿入することも可能である。
【0058】
さらには、本実施の形態におけるトラヒック鍵203の配信方法は、公知のものを含め以下のような方法がある。
【0059】
一つは、トラヒック鍵203をそのまま周知のICカードあるいは加入者装置110に実装して加入者に配る方式。もう一つはトラヒック鍵203を公開暗号鍵方式とし、公開鍵をお互いに送りあう方式。トラヒック鍵203とは別の共通鍵をマスター鍵として、ICカードあるいは加入者装置110に実装して配り、このマスター鍵でトラヒック鍵203を暗号化してセンター装置100から加入者装置110へ送信する方式。マスター鍵、トラヒック鍵203の外にキー暗号鍵を設け、マスター鍵でキー暗号鍵を暗号化して加入者装置110に送り、さらにキー暗号鍵でトラヒック鍵203を暗号化して加入者装置110に送る方式。前述のマスター鍵として公開鍵方式を用いる方式。あるいは、Diffie−Hellmanの鍵配信方式等として知られている鍵の配信方式も考案されている。本願発明では、これらのいずれの方式を採用してトラヒック鍵203が配信されても、適用可能である。
【0060】
以上説明したように、本実施の形態のネットワークシステムでは、センター装置100から各加入者装置110に対応した初期ベクトル204をデータの通信と一緒に送信すると共に、送り先及び送り元のMACアドレス202を含むフレームをトラヒック鍵203と初期ベクトル204とで暗号化し、この暗号化フレーム302に初期ベクトル204あるいはトラヒック鍵203で暗号化された暗号化初期ベクトル205を付加してネットワーク117上での通信を行う構成となっているので、特定の機器を狙った盗聴が困難となり、ネットワーク117上での盗聴等を防ぐことが可能となる。また、頻繁にトラヒック鍵203を交換する必要がなくなるので、通常の通信のためのトラヒックに影響を与えてしまい、転送速度が低下してしまうことを防止できる。すなわち、トラヒック鍵203の交換のための通信トラヒックを少なくすることが可能である。
【0061】
なお、本発明の他の実施例として、センター装置100から各加入者装置110へ個別に初期ベクトル204を送信し、各加入者装置110は送られてきた初期ベクトル204を、その加入者装置110の固有のトラヒック鍵203で暗号化した暗号化初期ベクトル205を用いてもよい。
【0062】
また、本発明の他の実施例として、センター装置100から送られてきた初期ベクトル204に一定の演算を加えた値を新たな初期ベクトルとして設定して用いることも可能である。例えば、加入者装置110において、初期ベクトル204に一定の数値(例えば1から8等)を加えた数値を新たな初期ベクトルとしてトラヒック鍵203で暗号化し暗号化初期ベクトルとして、加えた数値とともにセンター装置100に送信すれば、センター装置100はこれがどの加入者装置110からのフレームであるかを検知することが可能となる。このような構成とすることにより、加入者装置110は複数の初期ベクトル204を得たことと同じ効果を得ることが可能となり、加入者装置110からの大量のデータ送出に対しても、異なった暗号化フレーム(DA,SA部分)302を作ることが可能になり、守秘性が向上する。
【0063】
以上、本発明者によってなされた発明を、前記発明の実施の形態に基づき具体的に説明したが、本発明は、前記発明の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0064】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
【0065】
本発明によれば、鍵の交換をしなくても、MACアドレスを含むフレームを暗号化した結果が異なりネットワーク上での盗聴等を防ぐことが出来る。鍵の交換頻度を下げることが可能になり、鍵交換による通信トラヒックへの影響を少なくすることが出来る。
【図面の簡単な説明】
【図1】本発明の一実施の形態であるネットワークシステムの概略構成を説明するための図である。
【図2】本実施の形態のセンター装置100における鍵検出のためのテーブルを説明するための図である。
【図3】本実施の形態のMACレイヤーのフレーム構成を説明するための図である。
【図4】本実施の形態のセンター装置におけるフレーム生成とネットワークへのフレームの送出までの動作を説明するためのフローチャートである。
【図5】本実施の形態のセンター装置におけるネットワークからのフレームの受信と外部ネットワーク等への送出までの動作を説明するためのフローチャートである。
【図6】本実施の形態の加入者装置におけるフレームの受信動作を説明するための図である。
【図7】本実施の形態の加入者装置によるネットワークへのフレームの送信動作を説明するための図である。
【符号の説明】
100…センター装置 101…RF処理手段
102…鍵検出手段 103…鍵生成管理手段
104…復号化手段 105…IF処理手段
106…データフレーム手段 107…初期ベクトル生成手段
108…暗号化手段 109…外部ネットワーク
110…加入者装置 111…RF処理手段
112…初期ベクトル検出付加手段 113…暗号復号手段
114…鍵管理手段 115…データフレーム手段
116…IF処理手段 117…ネットワーク
118…LAN 120…PC等
201…加入者装置ID 202…MACアドレス
203…トラヒック鍵 204…初期ベクトル
205…暗号化初期ベクトル
301…ヘッダ 302…暗号化フレーム
303…DA 304…SA
305…データ 306…CRC
Claims (9)
- センター装置と加入者装置とを接続した装置の組が、単一のセンター装置に対し複数設定されて構成されるネットワークのセキュリティ保持方法において、
前記センター装置から送信するフレームの送り先アドレスに送り先加入者装置を設定すると共に、送り元アドレスにセンター装置を設定し、前記送り先加入者装置の初期ベクトルを生成するステップと、そのフレームを前記送り先加入者装置の前記トラヒック鍵と初期ベクトルとで暗号化するステップと、前記暗号化されたフレームに前記生成された初期ベクトルを付加して送信用のフレームを生成するステップと、
前記加入者装置から送信するフレームの送り先アドレスに前記センター装置を設定するとともに、送り元アドレスに当該加入者装置を設定し、当該加入者装置に送信された初期ベクトルを前記トラヒック鍵で暗号化するステップと、そのフレームを当該加入者装置のトラヒック鍵と暗号化された初期ベクトルとで暗号化するステップと、前記暗号化されたフレームに前記暗号化された初期ベクトルを付加して送信用のフレームを生成するステップと、
前記加入者装置から前記センター装置へ送信された前記暗号化された初期ベクトルから送信元の加入者装置のトラヒック鍵を選択し、送信された暗号化フレームを復号化するステップと、前記センター装置から送信するフレームの送り先アドレスに前記加入者装置を設定するとともに、送り元アドレスに前記センター装置を設定し、そのフレームを送信先の加入者装置のトラヒック鍵で検出するステップとを有することを特徴とするセキュリティ保持方法。 - センター装置と複数の加入者装置を接続したネットワーク上のセキュリティを保持する方法において、
利用者側装置から加入者装置に送信されたフレームの送り先アドレスにセンター装置あるいは外部ネットワークに接続された装置のMACアドレスを、送り元アドレスに加入者装置あるいは利用者側装置のMACアドレスを設定し、そのフレームを、当該加入者装置宛に送られてきた初期ベクトルを当該加入者装置のトラヒック鍵で暗号化し、当該暗号化初期ベクトルを初期ベクトルとして、当該トラヒック鍵で暗号化する暗号化フレームを作成するステップと、
加入者装置からセンター装置へ送信された暗号化初期ベクトルから導き出された当該加入者装置のトラヒック鍵で、送信された暗号化フレームを復号化するステップと、復号化されたフレームを外部ネットワークに送信するステップと、
外部ネットワークからセンター装置に送信されたフレームの送り先アドレスにその送り先加入者装置あるいは利用者側装置のMACアドレスを、送り元アドレスにセンター装置あるいは外部ネットワークに接続された装置のMACアドレスを設定し、そのフレームを初期ベクトルと当該加入者装置のトラヒック鍵で暗号化するステップと、
センター装置から加入者装置へ送信された初期ベクトルと暗号化フレームを各加入者装置のトラヒック鍵と初期ベクトルとで復号化するステップと、当該加入者装置あるいは利用者側装置のMACアドレスと送り先アドレスとが一致した場合は、復号化したフレームを利用者側装置に送信するステップとを有することを特徴とするセキュリティ保持方法。 - 前記センター装置は、ランダムに発生したトラヒック鍵を各加入者装置に配信し、前記センター装置にて、ランダムに発生した初期ベクトルと前記暗号化フレームを各加入者装置に送信するようにし、当該加入者装置ではセンター装置から送られてきた最新の初期ベクトルと前記トラヒック鍵とを保持するようにしたことを特徴とする請求項1もしくは2に記載のセキュリティ保持方法。
- 前記センター装置は、ランダムに発生した初期ベクトルを加入者装置にブロードキャストし、このブロードキャストされた初期ベクトルを用いて、センター装置ではそのまま、加入者装置ではトラヒック鍵で暗号化した暗号化初期ベクトルを用いて暗号化フレームを作成することを特徴とした請求項1もしくは2に記載のセキュリティ保持方法。
- 前記加入者装置は、保持されている初期ベクトルに対して、所定の演算を行い得られた初期ベクトルを前記トラヒック鍵で暗号化して暗号化初期ベクトルを生成し、該生成された暗号化初期ベクトルで生成された暗号化フレームと共に、前記演算の情報を前記センター装置に送信することを特徴とする請求項1もしくは2に記載のセキュリティ保持方法。
- センター装置と加入者装置とを接続した装置の組が、単一のセンター装置に対し複数設定されて構成されるネットワークシステムにおいて、
前記センター装置から送信するフレームの送り先アドレスに送り先加入者装置を設定すると共に、送り元アドレスにセンター装置を設定し、前記送り先加入者装置の初期ベクトルを生成し、そのフレームを前記送り先加入者装置の前記トラヒック鍵と初期ベクトルとで暗号化し、前記暗号化されたフレームに前記生成された初期ベクトルを付加して送信用のフレームを生成する手段と、
前記加入者装置から送信するフレームの送り先アドレスに前記センター装置を設定するとともに、送り元アドレスに当該加入者装置を設定し、当該加入者装置に送信された初期ベクトルを前記トラヒック鍵で暗号化し、そのフレームを当該加入者装置のトラヒック鍵と暗号化された初期ベクトルとで暗号化し、前記暗号化されたフレームに前記暗号化された初期ベクトルを付加して送信用のフレームを生成する手段と、
前記加入者装置から前記センター装置へ送信された前記暗号化された初期ベクトルから送信元の加入者装置のトラヒック鍵を選択し、送信された暗号化フレームを復号化し、前記センター装置から送信するフレームの送り先アドレスに前記加入者装置を設定するとともに、送り元アドレスに前記センター装置を設定し、そのフレームを送信先の加入者装置のトラヒック鍵で検出する手段とを備えることを特徴とするネットワークシステム。 - 前記センター装置は、ランダムに発生したトラヒック鍵を各加入者装置に配信し、前記センター装置にて、ランダムに発生した初期ベクトルと前記暗号化フレームを各加入者装置に送信するようにし、当該加入者装置ではセンター装置から送られてきた最新の初期ベクトルと前記トラヒック鍵とを保持するようにしたことを特徴とする請求項6に記載のネットワークシステム。
- 前記センター装置は、ランダムに発生した初期ベクトルを加入者装置にブロードキャストし、このブロードキャストされた初期ベクトルを用いて、センター装置ではそのまま、加入者装置ではトラヒック鍵で暗号化した暗号化初期ベクトルを用いて暗号化フレームを作成することを特徴とした請求項6に記載のネットワークシステム。
- センター装置と複数の加入者装置を接続したネットワーク上のネットワークシステムとしてコンピュータを機能させるプログラムにおいて、
前記センター装置から送信するフレームの送り先アドレスに送り先加入者装置を設定すると共に、送り元アドレスにセンター装置を設定し、前記送り先加入者装置の初期ベクトルを生成し、そのフレームを前記送り先加入者装置の前記トラヒック鍵と初期ベクトルとで暗号化し、前記暗号化されたフレームに前記生成された初期ベクトルを付加して送信用のフレームを生成する手段と、
前記加入者装置から送信するフレームの送り先アドレスに前記センター装置を設定するとともに、送り元アドレスに当該加入者装置を設定し、当該加入者装置に送信された初期ベクトルを前記トラヒック鍵で暗号化し、そのフレームを当該加入者装置のトラヒック鍵と暗号化された初期ベクトルとで暗号化し、前記暗号化されたフレームに前記暗号化された初期ベクトルを付加して送信用のフレームを生成する手段と、
前記加入者装置から前記センター装置へ送信された前記暗号化された初期ベクトルから送信元の加入者装置のトラヒック鍵を選択し、送信された暗号化フレームを復号化し、前記センター装置から送信するフレームの送り先アドレスに前記加入者装置を設定するとともに、送り元アドレスに前記センター装置を設定し、そのフレームを送信先の加入者装置のトラヒック鍵で検出する手段としてコンピュータを機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002218448A JP2004064326A (ja) | 2002-07-26 | 2002-07-26 | セキュリティ保持方法及びその実施システム並びにその処理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002218448A JP2004064326A (ja) | 2002-07-26 | 2002-07-26 | セキュリティ保持方法及びその実施システム並びにその処理プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004064326A true JP2004064326A (ja) | 2004-02-26 |
Family
ID=31939636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002218448A Pending JP2004064326A (ja) | 2002-07-26 | 2002-07-26 | セキュリティ保持方法及びその実施システム並びにその処理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004064326A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006096035A1 (en) * | 2005-03-10 | 2006-09-14 | Electronics And Telecommunications Research Institute | Encryption and decryption device in wireless portable internet system, and method thereof |
| JP2008530873A (ja) * | 2005-02-11 | 2008-08-07 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | パーティ間の通信におけるプライバシーを確保する方法及び装置 |
| WO2009138039A1 (zh) * | 2008-05-14 | 2009-11-19 | 西安西电捷通无线网络通信有限公司 | 一种分组密码运行模式中初始向量iv的同步方法及装置 |
| WO2009155869A1 (zh) * | 2008-06-26 | 2009-12-30 | 西安西电捷通无线网络通信有限公司 | 一种实用的分组密码运行模式中初始向量iv的同步方法 |
| JP2012151805A (ja) * | 2011-01-21 | 2012-08-09 | Sharp Corp | データ暗号化装置、及び、メモリカード |
-
2002
- 2002-07-26 JP JP2002218448A patent/JP2004064326A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008530873A (ja) * | 2005-02-11 | 2008-08-07 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | パーティ間の通信におけるプライバシーを確保する方法及び装置 |
| WO2006096035A1 (en) * | 2005-03-10 | 2006-09-14 | Electronics And Telecommunications Research Institute | Encryption and decryption device in wireless portable internet system, and method thereof |
| WO2009138039A1 (zh) * | 2008-05-14 | 2009-11-19 | 西安西电捷通无线网络通信有限公司 | 一种分组密码运行模式中初始向量iv的同步方法及装置 |
| WO2009155869A1 (zh) * | 2008-06-26 | 2009-12-30 | 西安西电捷通无线网络通信有限公司 | 一种实用的分组密码运行模式中初始向量iv的同步方法 |
| JP2012151805A (ja) * | 2011-01-21 | 2012-08-09 | Sharp Corp | データ暗号化装置、及び、メモリカード |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1484856B1 (en) | Method for distributing encryption keys in wireless lan | |
| EP1887730B1 (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
| US7349396B2 (en) | Content distribution system | |
| TWI418194B (zh) | 行動台、基地台及流量加密密鑰之產生方法 | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| CN101174946B (zh) | 内容发送装置、内容接收装置和内容加密方法 | |
| TWI507059B (zh) | 行動台、基地台及流量加密密鑰之產生方法 | |
| US7877805B1 (en) | Apparatus, method and computer program product for detection of a security breach in a network | |
| US20030048905A1 (en) | Encryption key distribution and network registration system, apparatus and method | |
| KR20040108533A (ko) | 콘텐츠 송신 장치, 콘텐츠 수신 장치 및 콘텐츠 전송 방법 | |
| KR100842623B1 (ko) | 이동통신 시스템에서 암호화 처리 시스템 및 방법 | |
| JP5239123B2 (ja) | 無線lanシステム | |
| US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
| JP4245972B2 (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
| JP3570327B2 (ja) | プロキシ暗号通信システム及び方法並びにプログラムを記録した記録媒体 | |
| JP2007506329A (ja) | Wlanセキュリティを向上させる方法 | |
| JP2001510662A (ja) | 安全なパケット無線ネットワーク | |
| JPH0637750A (ja) | 情報転送方式 | |
| JPH06318939A (ja) | 暗号通信システム | |
| US20070116290A1 (en) | Method of detecting incorrect IEEE 802.11 WEP key information entered in a wireless station | |
| JP2004064326A (ja) | セキュリティ保持方法及びその実施システム並びにその処理プログラム | |
| CN113747430B (zh) | 一种接入网络的方法、终端设备和ap | |
| JP2001339386A (ja) | 無線通信システム、無線ネットワーク制御装置、ユーザ端末装置 | |
| JP5361970B2 (ja) | 通信システム、第一通信装置、第二通信装置、暗号化通信方法及びプログラム | |
| CN201663659U (zh) | 条件接收系统前端和用户管理系统 |