JP2005151132A - Key delivery system and encrypting apparatus in encryption communication - Google Patents
Key delivery system and encrypting apparatus in encryption communication Download PDFInfo
- Publication number
- JP2005151132A JP2005151132A JP2003385211A JP2003385211A JP2005151132A JP 2005151132 A JP2005151132 A JP 2005151132A JP 2003385211 A JP2003385211 A JP 2003385211A JP 2003385211 A JP2003385211 A JP 2003385211A JP 2005151132 A JP2005151132 A JP 2005151132A
- Authority
- JP
- Japan
- Prior art keywords
- key
- encryption
- communication
- data
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、データ通信用回線を収容し、その回線に流れているデータを暗号化し相手装置へ送出し、相手装置では受取ったデータを復号化して回線へ送出する暗号化通信における鍵配送方式およびこの鍵配送方式が適用される暗号化装置に関する。 The present invention relates to a key distribution method in encrypted communication that accommodates a data communication line, encrypts the data flowing in the line, and sends the encrypted data to the partner apparatus. The partner apparatus decrypts the received data and sends it to the line. The present invention relates to an encryption apparatus to which this key distribution method is applied.
従来、回線に流れるデータの盗聴や改ざんを防ぐためにデータを暗号化して送出し、受取った側で復号化する暗号化装置では、暗号化時および復号化時に同じ暗号鍵を用いる共通鍵暗号方式と、一般に公開された公開鍵により暗号化を行い、復号化時には公開されていない秘密鍵を使用する公開鍵暗号方式が知られている。 Conventionally, in an encryption device that encrypts and sends data to prevent wiretapping and tampering of data flowing on the line and decrypts the data on the receiving side, a common key cryptosystem that uses the same encryption key at the time of encryption and decryption A public key cryptosystem is known that performs encryption using a public key that has been made public and uses a secret key that is not made public when decrypting.
共通鍵暗号方式においては、通信毎、あるいは一定期間毎に暗号鍵を変更することが必要である。通信に使用する鍵のことを作業鍵あるいはセッション鍵というが、この鍵を使用、変更する場合においては、暗号化する装置同士が同時に暗号鍵を生成、変更する必要がある。この作業鍵を生成し配送する手順は鍵配送手順といわれている。 In the common key cryptosystem, it is necessary to change the encryption key for each communication or for every fixed period. A key used for communication is called a work key or a session key. When this key is used or changed, it is necessary that devices for encryption simultaneously generate and change the encryption key. The procedure for generating and distributing the work key is called a key distribution procedure.
鍵配送手順として、Diffie‐Hellmannによる共有鍵の生成が提案されている(例えば、非特許文献1参照)。また、IKEと呼ばれるプロトコルも提案されている。 As a key distribution procedure, the generation of a shared key by Diffie-Hellmann has been proposed (see Non-Patent Document 1, for example). A protocol called IKE has also been proposed.
これらの提案では、鍵配送する手順を規定しており、鍵配送後に暗号化して通信することを前提としている。
従来の技術では、通信を暗号化するための暗号鍵を配送するために鍵配送手順を起動している。そして、鍵配送手順終了後に暗号化したデータ通信を行うようになっている。つまり、通常は暗号化した通信のみを想定している。そのため暗号化通信中に回線上でランダムにエラーが発生している場合には、暗号化したデータにエラーが発生することから、復号化したデータが正常なデータとならず通信エラーとなり、通信に支障をきたすことがある。通常であれば回線上のエラー発生は、再送手順で回復を行う。しかし、暗号化装置においては、エラーとなった原因が、回線上のエラー発生にあるのか、暗号化・符号化する暗号化復号化装置の故障であるのか、鍵配送が正常に終了しなかった、つまり暗号鍵が不一致であったのか、暗号化方式自体が相違しているのかなど、原因となる要因が多いため、原因究明に時間を費やすこととなる。また、障害原因が暗号化にあるのか否かを調査するためには,それぞれの暗号化装置を除くか、両方とも非暗号暗号化通信に設定しなければならず、手間がかかっていた。 In the prior art, a key distribution procedure is activated to distribute an encryption key for encrypting communication. Then, encrypted data communication is performed after the key distribution procedure is completed. That is, normally only encrypted communication is assumed. Therefore, if an error occurs randomly on the line during encrypted communication, an error occurs in the encrypted data, so the decrypted data does not become normal data and a communication error occurs. May cause trouble. Normally, the occurrence of an error on the line is recovered by a retransmission procedure. However, in the encryption device, the key distribution did not end normally, whether the cause of the error was the occurrence of an error on the line or the failure of the encryption / decryption device that encrypts / encodes. In other words, since there are many factors that cause the encryption keys to be inconsistent or the encryption methods themselves are different, it takes time to investigate the cause. Further, in order to investigate whether the cause of failure is encryption or not, it is necessary to remove each encryption device or to set both to non-encrypted encrypted communication, which is troublesome.
本発明は、暗号化通信において、通信障害が発生した場合に、容易に障害発生原因を究明することができる手段を提供することを目的とする。 It is an object of the present invention to provide means that can easily determine the cause of a failure when a communication failure occurs in encrypted communication.
上記問題を解決するために、本発明は、鍵配送手順において、通信開始前のデータチェックを実施し、このときに通信方法を指定できるようにする。これにより、暗号鍵の不一致、暗号化方法の相違を取り除くことができ、また、データチェック手順において通信種別を指定できるようにし、片側で例えば非暗号化通信設定を行えば、相手側も非暗号化通信となるようにする。 In order to solve the above problem, according to the present invention, in the key distribution procedure, a data check before the start of communication is performed, and a communication method can be specified at this time. This eliminates encryption key mismatches and differences in encryption methods, and allows the communication type to be specified in the data check procedure. For example, if non-encrypted communication settings are made on one side, the other side also becomes non-encrypted. So that it becomes a communication.
上記課題を解決するために、本発明は、セッション鍵の配送を行う鍵配送手順起動時において、鍵配送が正常に終了した時点で、まず規定のテストデータを暗号化装置から対向側暗号化装置へ送信し、対向側暗号化装置で復号化を行い、内容の確認を行う。その後、対向側暗号化装置から暗号化装置へ逆方向に同様のことを行い、テストデータが正しく暗号化、復号化できることの確認を行うようにする。これにより、セッション鍵が正常であるか、暗号化手順の相違がないかが確認できるようになる。 In order to solve the above-described problem, the present invention provides a method in which a specified test data is first transferred from an encryption device to a counter-side encryption device when key distribution is normally completed when a key distribution procedure for distributing a session key is started. To the other side, decryption is performed by the opposite side encryption device, and the contents are confirmed. Thereafter, the same operation is performed in the reverse direction from the opposite encryption device to the encryption device to confirm that the test data can be correctly encrypted and decrypted. This makes it possible to check whether the session key is normal or whether there is a difference in the encryption procedure.
また、テストデータの内容をその後の通信種別により選択できるようにしておく。これにより、要求する通信種別を相手へ伝え、相手との通信種別の合わせ込みを行えるようにし、鍵配送終了後の通信を暗号化して行う暗号化通信、ユーザデータをそのまま流すバイパス通信、あるいは一方の暗号化装置でデータを折り返すループテスト通信、自側各種通信条件をコピーするリモート設定のいずれを行うのであるかを、指定できるようになる。 In addition, the contents of the test data can be selected according to the subsequent communication type. As a result, the requested communication type is communicated to the other party so that the communication type with the other party can be adjusted, encrypted communication performed by encrypting communication after the key distribution is completed, bypass communication in which user data is passed as it is, or It is possible to specify whether to perform loop test communication for looping back data or remote setting for copying various communication conditions on the local side.
本発明を実施することによって、鍵配送後にテストデータを送受信することにより、鍵配送失敗および暗号化/復号化の失敗が、通信に入る前に判断できるようになる。そのため障害発生原因を究明しやすい通信システムを構築できるようになる。 By implementing the present invention, by transmitting and receiving test data after key distribution, it becomes possible to determine key distribution failure and encryption / decryption failure before entering communication. Therefore, it becomes possible to construct a communication system that makes it easy to investigate the cause of failure.
また、鍵配送後のテストデータの内容により通信種別を設定できるようになるので、非暗号化通信実施時や、ループテスト実施時において、対向側での設定が不用となり、メンテナンス性を向上させることができる。 In addition, since it becomes possible to set the communication type according to the content of the test data after key distribution, the setting on the opposite side becomes unnecessary when performing non-encrypted communication or when performing a loop test, thereby improving maintainability. Can do.
本発明は、鍵配送により暗号化する暗号鍵を変更した場合においても、通信の確認を行うため、通信エラーが発生した場合に行う原因解明における、暗号鍵の不一致等の要因を取り除くことができ、また、テストデータ送受信時に通信種別を指定することができるので、メンテナンス性の向上を図ることができ、利便性を向上させることができる。 Since the present invention performs communication confirmation even when the encryption key encrypted by key distribution is changed, it is possible to eliminate factors such as encryption key mismatch in elucidating the cause when a communication error occurs. In addition, since the communication type can be specified at the time of test data transmission / reception, maintenance can be improved and convenience can be improved.
図1を用いて、本発明のシステム構成を説明する。本発明が適用される通信システムは、発信側データ端末装置1Cに通信回線6Cを介して接続された発信側暗号化装置3Cと、着信側データ端末装置1Rに通信回線6Rを介して接続された着信側暗号化装置3Rを、それぞれ通信回線7C,通信回線7Rを介して通信網5に接続して構成される。発信側データ端末装置1Cからのデータは通信回線6Cを通して発信側暗号化装置3Cに入力される。発信側暗号化装置3Cは、データの暗号化を行い、暗号化データを通信回線7C、通信網5、通信回線7Rを通して対向する着信側暗号化装置3Rへ伝送する。着信側暗号化装置3Rは、受信した暗号化データの復号化を行い、復号化データを着信側データ端末装置3Rへ通信回線6Rを通して送信する。
The system configuration of the present invention will be described with reference to FIG. A communication system to which the present invention is applied includes a transmission
通信回線6C, 通信回線6R上でのデータは非暗号化データであり、通信回線7C、通信回線7R、通信網5上でのデータは暗号化データであり、通信網5において通信データを容易に盗聴したり改ざんできないようになっている。
The data on the
図2を用いて本発明を用いた暗号化装置3のハードウエア構成を説明する。暗号化装置3は、端末インタフェース部31と、暗号化/復号化部32と、切替スイッチ33と、回線インタフェース部34と、鍵生成部35と、テストデータ解析部36と、データ送受信部37と、アイドルデータ送信部38とを有して構成される。
The hardware configuration of the
端末インタフェース部31は、データ端末装置1と接続する機能を有している。
The
暗号化/符号化装置32は、データ端末装置1から受けたデータの暗号化を行い、対向する暗号化装置3から受けた暗号化データを元のデータへ復号化する機能を有している。このときの暗号化、復号化に使用する鍵は、鍵配送時にのみ使用するマスタ鍵(発信側暗号化装置3Cと着信側暗号化装置3Rで同じものを事前に設定した鍵)Kmと、通信を行う場合に暗号化/符号化するために使用するセッション鍵Ksがある。
The encryption /
切替スイッチ33は、暗号化/復号化部32との接続を、端末インタフェース部31とするかデータ送受信部37とするかを切り替えるスイッチである。鍵配送手順起動時には、切替スイッチ33は、データ送受信部37側へ切り替えられ、通信時には、端末インタフェース部31側に切り替えられる。さらに、切替スイッチ33は、アイドルデータ送信部38を、端末インタフェース部31へ接続させるか否かを選択するスイッチである。鍵配送手順起動時には、アイドルデータ送信部38を端末インタフェース部31へ接続し、通信時には、アイドルデータ送信部38を端末インタフェース部31から切り離す。
The change-
回線インタフェース部34は、通信網5と、暗号化装置3とを接続する機能を有している。
The
鍵生成部35は、マスタ鍵Kmを保管し、鍵配送手順において、次のセッション鍵Ksを生成し、保管する機能を有しており、マスタ鍵Kmおよび生成されたセッション鍵Ksを状態に応じて暗号化/復号化装置32に引き渡す。
The key generation unit 35 has a function of storing the master key Km and generating and storing the next session key Ks in the key distribution procedure, and the master key Km and the generated session key Ks according to the state. To the encryption /
テストデータ解析部36は、鍵配送後のテストデータ送受信において、テストデータを生成し、受信したデータを解析し、鍵配送後の通信種別を決定する機能を有する。
The test
データ送受信部37は、テストデータの送受信を行うドライバである。 The data transmitter / receiver 37 is a driver that transmits and receives test data.
アイドルデータ送信部38は、アイドルデータを生成し送信する機能を有している。
The idle
図3を用いて、上記暗号化装置を用いて本発明を実施する場合の動作シーケンスを説明する。この暗号化装置は、鍵配送手順として、共通鍵生成による暗号鍵共有方式であるDiffie−Hellmann方式を使用している。 With reference to FIG. 3, an operation sequence when the present invention is implemented using the encryption apparatus will be described. This encryption apparatus uses the Diffie-Hellmann method, which is an encryption key sharing method based on common key generation, as a key distribution procedure.
通信開始前は、発信側暗号化装置3Cは、アイドルデータ送信部38を端末インタフェース31に接続して接続されているデータ端末装置1Cに意味なしデータであるアイドルデータを送出している(S1)。鍵配送手順としてDiffie−Hellmann鍵配送手順が起動されると、発信側暗号化装置3Cは、切替スイッチ33を端末インタフェース部31からデータ送受信部37へ切り替え、鍵生成部35で、乱数Xaを発生させ、原始根Ga=2、素数Gqaを選択する(S2)。発信側暗号化装置3Cは、着信側暗号化装置3Rへ鍵配送手順を起動する合図であるハードウエア検出用データのインバンドヘッダを送信する(S3)。
Before the start of communication, the transmitting
発信側暗号化装置3Cからインバンドヘッダを受信した着信側暗号化装置3Rは、アイドルデータ送信部38を端末インタフェース31に接続し、着信側端末装置1Rへアイドルデータを送信する(S4)とともに、鍵生成部35で、乱数Xbを発生させ、原始根Gb=2、素数Gqbを選択する(S5)。
The incoming
発信側暗号化装置3Cは、ソフトウエア検出用データである開始要求をテストデータ解析部36で生成し、データ送受信部37を通して送出する(S6)。
The transmitting
開始要求を受信した着信側暗号化装置3Rは、暗号化装置内の暗号化/復号化部32で使用する暗号鍵を鍵配送時に使用するマスタ鍵Kmに設定し(S7)、インバンドヘッダを返送する(S8)とともに、鍵配送手順開始を示す開始要求を、発信側暗号化装置3Cへ返送する(S9)。
Upon receiving the start request, the called
着信側暗号化装置3Rからインバンドヘッダおよび開始要求を受信した発信側暗号化装置3Cは、暗号化/復号化部32で使用する暗号鍵をマスタ鍵Kmに設定する(S10)。そして、発信側暗号化装置3Cは、鍵配送手順が開始されたことを示す開始応答と選択した素数Gqaを、マスタ鍵Kmで暗号化して着信側暗号化装置3Rへ送信する(S11)。
Upon receiving the in-band header and the start request from the receiving-
ステップS7でマスタ鍵Kmに暗号鍵を設定した着信側暗号化装置3Rは、マスタ鍵Kmで暗号化したステップS5で選択した素数Gqbを確認応答とともに発信側暗号化装置3Cへ送信する(S12)。
The incoming
相手側の暗号化装置から開始応答および素数を受けた暗号化装置は、それぞれ暗号化/復号化部32で復号化した後、データ送受信部37経由でテストデータ解析部36へ届ける。
The encryption devices that have received the start response and the prime number from the encryption device on the other side decrypt the data by the encryption /
応答開始および素数Gqaを受けた着信側暗号化装置3Rは、素数Gqaと素数Gqbを比較し、大きいほうのGqを用いて公開鍵Ybを生成し(S13)、公開鍵Ybをマスタ鍵Kmで暗号化して発信側暗号化装置3Cへ送信する(S14)。
Upon receiving the response and the prime number Gqa, the receiving
応答開始および素数Gqbを受けた発信側暗号化装置3Cは、素数Gqaと素数Gqbを比較し、大きいほうのGqを用いて公開鍵Yaを生成し(S15)、公開鍵Yaをマスタ鍵Kmで暗号化して着信側暗号化装置3Rへ送信する(S16)。
Upon receiving the response and the prime number Gqb, the transmitting
公開鍵Yaを受けた着信側暗号化装置3Rは、乱数Xb、素数Gqを使用して共通鍵(セッション鍵)Ksを生成する(S17)。
Receiving
公開鍵Ybを受けた発信側暗号化装置3Cは、乱数Xa、素数Gqを使用して共通鍵(セッション鍵)Ksを生成する(S18)。
Upon receiving the public key Yb, the transmitting
以上のようにして、通信開始時におけるセッション鍵ksは、マスタ鍵Kmを用いた暗号化通信によって、互いに共通に生成することができる。しかしながら、このままの状態で通信を行った場合、セッション鍵Kmで暗号化された通信が可能であるかどうか判断できない。 As described above, the session key ks at the start of communication can be generated in common by encrypted communication using the master key Km. However, when communication is performed in this state, it cannot be determined whether communication encrypted with the session key Km is possible.
したがって、本発明においては、セッション鍵Kmを設定した後、このセッション鍵Kmを使用して発信側暗号化装置3Cと着信側暗号化装置3Rとの間で、通信の正常性を確認する手順であるテストデータ送受信手順を実行する。すなわち、発信側暗号化装置3Cは、セッション鍵ksを用いて暗号化した確認要求と手順終了後の動作内容すなわち通信種別を指定する状態指示aを着信側暗号化装置3Rへ送信する(S19)。同様に、着信側暗号化装置3Rは、セッション鍵ksを用いて暗号化した確認要求と手順終了後の動作ないようすなわち通信種別を指定する状態指示bを発信側暗号化装置3Cへ送信する(S20)。
Therefore, in the present invention, after the session key Km is set, the normality of the communication is confirmed between the transmission
状態指示には、暗号化による通常動作である暗号化通信、手順終了後にデータを暗号化せずに通信を行うバイパス通信、相手側でループを作成しデータを折り返すことを要求するリモートループ、自分の動作条件を相手にコピーするリモート設定がある。 The status indication includes encrypted communication that is normal operation by encryption, bypass communication that performs communication without encrypting data after the procedure is completed, a remote loop that requests that the other party create a loop and return the data, There is a remote setting to copy the operating conditions to the other party.
発信側暗号化装置3Cから確認要求と状態指示aを受信した着側暗号化装置3Rは、テストデータ解析部36で、自分が送出した状態指示bと発信側暗号化装置3Cから受信した状態指示aを比較し、いずれかの状態指示を選択する(S21)。同様に、着信側暗号化装置3Rから確認要求と状態指示bを受信した発側暗号化装置3Cは、テストデータ解析部36で、自分が送出した状態指示aと着信側暗号化装置3Rから受信した状態指示bを比較し、いずれかの状態指示を選択する(S22)。
The receiving
ステップS21、S22でいずれかの状態指示を比較する内容を、表1を用いて説明する。すなわち、状態指示(通信種別)の優先順位は、原則として、リモート設定が最も優先され、次いでリモートループ、バイパス通信、暗号化通信の順に優先順位が下がって行く。 The content of comparing any state instruction in steps S21 and S22 will be described with reference to Table 1. That is, as a general rule, the priority of status indication (communication type) is given the highest priority in the remote setting, and then the priority decreases in the order of remote loop, bypass communication, and encrypted communication.
すなわち、自己の状態指示が暗号化通信であるときは、相手方の状態指示が暗号化通信であるときのみ暗号化通信が選択され、相手方の状態指示がリモート設定またはリモートループもしくはバイパス通信であるときには、相手方の状態指示が選択される。自己の状態指示がバイパス通信であるときは、相手方の状態指示がバイパス通信または暗号化通信であるときにバイパス通信が選択され、相手方の状態指示がリモート設定またはリモートループであるときには、相手方の状態指示が選択される。自己の状態指示がリモートループであるときは、相手方の状態指示がリモートループまたはバイパス通信もしくは暗号化通信であるときにリモートループが選択され、相手方の状態指示がリモート設定であるときには、受付不可とされる。自己の状態指示がリモート設定であるときは、相手方の状態指示がバイパス通信または暗号化通信であるときにリモート設定が選択され、相手方の状態指示がリモート設定またはリモートループであるときには、受付不可とされる。ここで、受付不可とは、それぞれ状態指示を受けつけられないため、鍵配送が失敗したとして終了させることを意味している。 That is, when the status instruction of the other party is encrypted communication, encrypted communication is selected only when the other party's status instruction is encrypted communication, and when the other party's status instruction is remote setting or remote loop or bypass communication The other party's status indication is selected. When the own status indication is bypass communication, bypass communication is selected when the other party's status indication is bypass communication or encrypted communication, and when the other party's status indication is remote setting or remote loop, the other party's status An instruction is selected. When the status instruction of the other party is a remote loop, the remote loop is selected when the other party's status instruction is a remote loop, bypass communication or encrypted communication, and when the other party's status instruction is a remote setting, it cannot be accepted. Is done. When the status indication of the other party is remote setting, the remote setting is selected when the other party's status indication is bypass communication or encrypted communication, and when the other party's status indication is remote setting or remote loop, it cannot be accepted. Is done. Here, “unacceptable” means that the status instruction is not accepted, so that the key distribution fails and the process is terminated.
発信側暗号化装置3Cは、確認要求が正常であったことと選択した状態指示を受付けたことを示すために確認応答と選択した状態指示を着信側暗号化装置3Rへ送信する(S23)。同様に、着信側暗号化装置3Rは、確認要求が正常であったことと選択した状態指示を受付けたことを示すために確認応答と選択した状態指示を発信側暗号化装置3Cへ送信する(S24)。例えば、発信側暗号化装置3Cの状態指示aがバイパス通信であり、着信側暗号化装置3Rの状態指示bが暗号化通信である場合には、選択される状態指示はバイパス通信となるので、発信側暗号化装置は自己の状態指示aを送信し、着信側暗号化装置3Rは、自分の状態をバイパス通信に変更して相手の状態指示aを送信する。
The transmitting
着信側暗号化装置3Rは、自己からの確認応答送信と相手からの確認応答受信が成立するか監視し(S25)、成立すると着信側データ端末装置1Rへのアイドルデータの送出を停止させ(S25)、切替スイッチ33をデータ送受信部37から端末インタフェース部31側へ切り替え、バイパス通信状態へ移行する。同様に、発信側暗号化装置3Cは、自己からの確認応答送信と相手からの確認応答受信が成立するか監視し(S27)、成立すると発信側データ端末装置1Cへのアイドルデータの送出を停止させ(S28)、切替スイッチ33をデータ送受信部37から端末インタフェース部31側へ切り替え、バイパス通信状態へ移行する。
The receiving
ステップS23およびステップS25で送信された状態指示が暗号化通信であるときには、発信側暗号化装置3Cと着信側暗号化装置3Rとの間で、セッション鍵Ksを用いたユーザデータの暗号化通信が実行される(S29)。
When the state instruction transmitted in step S23 and step S25 is encrypted communication, encrypted communication of user data using the session key Ks is performed between the transmission
上記処理におけるステップS21、ステップS22で、状態指示の検証の結果、受付不可となった場合には、応答確認とともに、自分が送出した状態指示を再度送出する、これにより、相手側ではセッション鍵での暗号化通信は可能であるが、状態指示が不一致であったことを確認でき、鍵配送が失敗でなかったことを認識できる。 In step S21 and step S22 in the above processing, when the result of verification of the state instruction indicates that the reception is impossible, the state instruction sent by itself is sent again together with the response confirmation. However, it is possible to confirm that the state instructions do not match and recognize that the key distribution has not failed.
このように、本発明によれば、暗号化装置が暗号化通信に先だって鍵配送を行う場合に、テストデータの送受信を行うことによって、鍵配送後の暗号化通信が正常であることを確認できるようになり、かつ、テストデータの送受信時に通信種別を指定することができる。 Thus, according to the present invention, when the encryption device performs key distribution prior to encrypted communication, it is possible to confirm that encrypted communication after key distribution is normal by transmitting and receiving test data. In addition, the communication type can be designated when test data is transmitted and received.
1 データ端末装置
3 暗号化装置
5 通信網
6 通信回線
7 通信回線
31 端末インタフェース部
32 暗号化/複合化部
33 切替スイッチ
34 回線インタフェース部
35 鍵生成部
36 テストデータ解析部
37 データ送受信部
38 アイドルデータ送信部
DESCRIPTION OF SYMBOLS 1
Claims (3)
データの暗号化/復号化に用いる暗号鍵を対向する暗号化装置間で変更する鍵配送作業時に、
鍵配送処理後に暗号化/復号化が正常の行えることを確認するテストデータの送受信を行い、
そのテストデータの内容により、通常の暗号化通信を行うのか暗号化を行わない非暗号化通信を行うのか、あるいは受信したデータを折り返すループテストを行うのか等の通信種別を設定する
ことを特徴とする暗号化通信における鍵配送方式。 In a key distribution method in encrypted communication in which data flowing through a line is encrypted between data communication lines such as a basic interface, a primary group interface, and a LAN, and decrypted by an opposite device,
During key distribution work to change the encryption key used for data encryption / decryption between opposing encryption devices,
Send and receive test data to confirm that encryption / decryption can be performed normally after the key distribution process,
According to the content of the test data, it is characterized by setting the communication type such as whether to perform normal encrypted communication or non-encrypted communication without encryption, or to perform a loop test that loops back received data Key distribution method for encrypted communication.
暗号鍵配送時に、予め設定されたマスタ鍵を用いて公開鍵を生成し、対向する暗号化装置との間でマスタ鍵を用いた暗号化通信によって公開鍵を交換し、交換した公開鍵を用いてセッション鍵を生成し、対向する暗号化装置との間でマスタ鍵を用いた暗号化通信によってセッション鍵を交換して鍵配送手順を行い、
鍵配送手順が正常に終了した時点で対向する暗号化装置との間でセッション鍵を用いた暗号化通信によってテストデータを交換し、暗号鍵交換が正常に終了したことを検出する
ことを特徴とする暗号化装置。 A terminal interface unit to which a data terminal device is connected, an encryption / decryption unit for encrypting communication data from the terminal interface and decrypting encrypted data from the line interface unit, and a line interface unit connected to the communication network Select a key generation unit that generates an encryption key, a test data analysis unit that analyzes test data, a data transmission / reception unit, a terminal interface unit, and a data transmission / reception unit, and connect to the encryption / decryption unit In an encryption device having a changeover switch to
At the time of encryption key distribution, a public key is generated using a preset master key, and the public key is exchanged by encryption communication using the master key with the opposite encryption device, and the exchanged public key is used. Generate a session key, exchange the session key by encrypted communication using the master key with the opposite encryption device, perform the key distribution procedure,
When test data is exchanged by encrypted communication using a session key with the opposite encryption device when the key distribution procedure is normally completed, and it is detected that the encryption key exchange is normally completed Encryption device to do.
テストデータにその後に行われる通信の種別を搭載して対向する暗号化装置との間で通信種別を設定する
ことを特徴とする暗号化装置。
The encryption device according to claim 2, wherein
An encryption apparatus, wherein a type of communication to be performed thereafter is mounted on test data and a communication type is set with an opposing encryption apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003385211A JP2005151132A (en) | 2003-11-14 | 2003-11-14 | Key delivery system and encrypting apparatus in encryption communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003385211A JP2005151132A (en) | 2003-11-14 | 2003-11-14 | Key delivery system and encrypting apparatus in encryption communication |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005151132A true JP2005151132A (en) | 2005-06-09 |
Family
ID=34693358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003385211A Pending JP2005151132A (en) | 2003-11-14 | 2003-11-14 | Key delivery system and encrypting apparatus in encryption communication |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005151132A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007181123A (en) * | 2005-12-28 | 2007-07-12 | Ntt Communications Kk | Digital certificate exchange method, terminal device, and program |
JP2009503975A (en) * | 2005-07-27 | 2009-01-29 | インゲニア・テクノロジー・リミテッド | key |
JP2013141115A (en) * | 2012-01-04 | 2013-07-18 | Nec Engineering Ltd | Encryption device, decryption device, and encryption communication system comprising those |
JP2018205838A (en) * | 2017-05-30 | 2018-12-27 | キヤノン株式会社 | Information processing apparatus, management system, control method, and program |
KR102136815B1 (en) * | 2019-06-27 | 2020-07-22 | 국방과학연구소 | Background traffic generator and method thereof |
US11934511B2 (en) | 2018-10-12 | 2024-03-19 | Kabushiki Kaisha Toshiba | Information processing device and information processing system |
-
2003
- 2003-11-14 JP JP2003385211A patent/JP2005151132A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009503975A (en) * | 2005-07-27 | 2009-01-29 | インゲニア・テクノロジー・リミテッド | key |
JP2007181123A (en) * | 2005-12-28 | 2007-07-12 | Ntt Communications Kk | Digital certificate exchange method, terminal device, and program |
JP2013141115A (en) * | 2012-01-04 | 2013-07-18 | Nec Engineering Ltd | Encryption device, decryption device, and encryption communication system comprising those |
JP2018205838A (en) * | 2017-05-30 | 2018-12-27 | キヤノン株式会社 | Information processing apparatus, management system, control method, and program |
US11934511B2 (en) | 2018-10-12 | 2024-03-19 | Kabushiki Kaisha Toshiba | Information processing device and information processing system |
KR102136815B1 (en) * | 2019-06-27 | 2020-07-22 | 국방과학연구소 | Background traffic generator and method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110519742B (en) | Audio synchronous playing method and device and TWS Bluetooth headset | |
EP2312791B1 (en) | Key management for telephone calls to protect signaling and call packets between cta's | |
JPH03214834A (en) | Multi-medium network system | |
JP2006217446A (en) | Remote conference system | |
CN101790160A (en) | Method and device for safely consulting session key | |
US20070116275A1 (en) | Method for the secure transmission of data, via networks, by exchange of encryption information, and corresponding encryption/decryption device | |
JP2005151132A (en) | Key delivery system and encrypting apparatus in encryption communication | |
CN105187678B (en) | A kind of method and VoIP server of telephone conference room bridge joint | |
Paulus et al. | SPEECH: Secure personal end-to-end communication with handheld | |
US10848471B2 (en) | Communication apparatus, communication method, and program | |
JP4043860B2 (en) | Encrypted communication device | |
JP2009071481A (en) | Communication control system, terminal, and program | |
CN101729535B (en) | Implementation method of media on-demand business | |
CN101282250A (en) | Method, system and network equipment for snooping safety conversation | |
WO2021109998A1 (en) | Media content transmission method and apparatus, and storage medium | |
KR101134776B1 (en) | Image terminal, image service system, and method capable of conditional reception of data | |
CN101662552B (en) | Method, system and media gateways for realizing encrypted fax | |
JPH0334640A (en) | Method and device for confidential facsimile communication | |
JP4556386B2 (en) | Data distribution system and data distribution method used therefor | |
JPH0486041A (en) | Cipher communication control system | |
JPS63155930A (en) | Enciphered data communication system | |
CN117318992A (en) | Data processing method, device, equipment and medium | |
JPH06350597A (en) | Synchronization establishing method for ciphering communication | |
JPH11109854A (en) | Cipher communication device and recording medium recording its program | |
JP2002232722A (en) | Facsimile machine and communication controller |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081104 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081111 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090317 |