JP2008199391A - Encryption communication system and encryption communication device - Google Patents
Encryption communication system and encryption communication device Download PDFInfo
- Publication number
- JP2008199391A JP2008199391A JP2007033787A JP2007033787A JP2008199391A JP 2008199391 A JP2008199391 A JP 2008199391A JP 2007033787 A JP2007033787 A JP 2007033787A JP 2007033787 A JP2007033787 A JP 2007033787A JP 2008199391 A JP2008199391 A JP 2008199391A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- encryption
- key
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、複数台の暗号通信装置同士が同時に通信接続可能なマルチアクセスネットワーク上において、前記暗号通信装置間の通信データを暗号化する暗号通信システム及び暗号通信装置に関する。 The present invention relates to an encryption communication system and an encryption communication device for encrypting communication data between the encryption communication devices on a multi-access network in which a plurality of encryption communication devices can be simultaneously connected to each other.
近年、IP技術を使用したインターネットやIP−VPN(Internet Protocol-Virtual Private Network)、イーサネット(登録商標)技術を使用した広域イーサネット(以下、単に広域ネットワークと称する)等のマルチアクセスネットワークを利用した通信システムにおいては、このマルチアクセスネットワーク上に複数台のパソコン等の通信装置を接続し、マルチアクセスネットワーク経由で複数台の通信装置同士の通信を確立し、例えば映像や音楽等のコンテンツ配信するサービスが広く普及している。 In recent years, communication using multi-access networks such as the Internet using IP technology, IP-VPN (Internet Protocol-Virtual Private Network), and wide area Ethernet using Ethernet (registered trademark) technology (hereinafter simply referred to as wide area network). In the system, there is a service that connects a plurality of communication devices such as personal computers on the multi-access network, establishes communication between the plurality of communication devices via the multi-access network, and distributes content such as video and music. Widely used.
しかしながら、現在広く普及しているインターネットを利用した映像配信サービスによれば、複数のサービス利用者に映像を配信する放送局型の伝送形態であるにもかかわらず、1対1の通信装置で映像を配信するユニキャスト通信を使用してサービス利用者に映像を配信しているのが実情であるが、今後、サービスの普及拡大に伴って、データ配信量が増加し、その結果、通信トラフィック量が増大するような事態が予想される。 However, according to the video distribution service using the Internet, which is widely used nowadays, the video is transmitted by a one-to-one communication device in spite of the broadcast station type transmission form for distributing video to a plurality of service users. In reality, video is being distributed to service users using unicast communication, but in the future, with the spread of services, the amount of data distribution will increase, and as a result, the amount of communication traffic will increase. Is expected to increase.
そこで、このような事態に対処すべく、現在普及しているインターネットでは使用されていないが、複数台の通信装置の内、1台の通信装置が特定グループ内の複数台の通信装置と同時配信するマルチキャスト通信をインターネット上でも使用することが望まれているのが実情である(例えば非特許文献1参照)。 Therefore, in order to cope with such a situation, although it is not used in the currently popular Internet, one communication device among a plurality of communication devices is simultaneously distributed with a plurality of communication devices in a specific group. Actually, it is desired to use multicast communication on the Internet (see, for example, Non-Patent Document 1).
また、近年、個人情報保護法の施行や企業コンプラインアンスの推進に応じて、インターネットを通じた通信データだけでなく、IP−VPN等の専用線に分類されるネットワークを通じた通信データをもセキュリティ強化の機運が高まり、その結果、通信データを暗号化するセキュリティ技術が広く普及し、前述したユニキャスト通信の通信データを暗号化する技術としてIPsec(Internet Protocol security)が広く知られている(例えば非特許文献2参照)。
しかしながら、今後期待されるマルチキャスト通信の使用が可能になる、公共サービスネットワークを想定した場合、情報セキュリティ強化を図るためにはマルチキャスト通信の通信データを暗号化する技術が望まれるものの、今後期待される公共サービスネットワークだけでなく、現状でもマルチキャスト通信の使用が可能なIP−VPN等のマルチアクセスネットワークであっても、マルチキャスト通信の通信データを暗号化する技術がないのが実情である。 However, in the case of a public service network where the expected use of multicast communication is possible, a technology to encrypt communication data for multicast communication is desired to enhance information security, but it is expected in the future. In fact, there is no technology for encrypting communication data for multicast communication, not only for public service networks, but also for multi-access networks such as IP-VPN that can use multicast communication at present.
そこで、本発明は上記点に鑑みてなされたものであり、その目的とするところは、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、マルチキャスト通信に関わる通信装置間の通信データのセキュリティ強化を図ることができる暗号通信システム及び暗号通信装置を提供することにある。 Therefore, the present invention has been made in view of the above points, and the object of the present invention is not only a public service network capable of multicast communication expected in the future, but also an IP-VPN or the like capable of multicast communication at present. An object of the present invention is to provide an encryption communication system and an encryption communication device capable of enhancing the security of communication data between communication devices involved in multicast communication even in a multi-access network.
上記目的を達成するために本発明の暗号通信システムは、複数台の暗号通信装置同士が同時に通信接続可能なマルチアクセスネットワーク上において、前記複数台の暗号通信装置の内、1台の暗号通信装置が特定グループ内の複数台の暗号通信装置と同時通信するマルチキャスト通信を実行した際に、前記暗号通信装置間の通信データを暗号化する暗号通信システムであって、前記暗号通信装置は、前記マルチキャスト通信に関わる通信データの暗号化に使用する、マルチキャスト鍵を格納したマルチキャスト鍵格納手段と、前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送する暗号化通信手段と、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化する復号化通信手段とを有するようにした。 In order to achieve the above object, the cryptographic communication system of the present invention includes a single cryptographic communication device of the plurality of cryptographic communication devices on a multi-access network in which a plurality of cryptographic communication devices can be simultaneously connected to each other. Is a cryptographic communication system that encrypts communication data between the cryptographic communication devices when performing multicast communication that simultaneously communicates with a plurality of cryptographic communication devices in a specific group, wherein the cryptographic communication device includes the multicast communication device Multicast key storage means for storing a multicast key used for encryption of communication data related to communication, and when the communication data to the opposite side encryption communication device among the plurality of encryption communication devices is detected, the multicast key storage Reading the multicast key from the means, and based on the read multicast key, the communication data An encryption communication unit that encrypts the encrypted communication data and transmits the encrypted communication data to the opposite side encryption communication device; and when the encrypted communication data is detected by the encryption communication unit of the opposite side encryption communication device, the multicast The multicast key is read from the key storage means, and based on the read multicast key, decryption communication means for decrypting the encrypted communication data on the opposite encryption communication apparatus side is provided.
従って、本発明の暗号通信システムによれば、前記暗号通信装置が、前記マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、前記対向側暗号通信装置への通信データを検出すると、マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、マルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信データのセキュリティ強化を図ることができる。 Therefore, according to the encryption communication system of the present invention, the encryption communication device stores a multicast key used for encryption of communication data related to the multicast communication, and transmits communication data to the opposite encryption communication device. When detected, the communication data is encrypted based on the multicast key, and the encrypted communication data is transmitted to the opposite side encryption communication device and encrypted by the encryption communication unit of the opposite side encryption communication device. When communication data is detected, the encrypted communication data is decrypted on the opposite encryption communication device side based on the multicast key, so that the public service network capable of multicast communication expected in the future is of course, Even if it is a multi-access network such as IP-VPN capable of multicast communication even at present, It is possible to enhance security of the communication data relating to the multicast communication using the No. communications device.
また、本発明の暗号通信システムは、前記暗号通信装置が、前記復号化通信手段にて復号化した前記通信データを前記通信装置に配信するデータ配信手段を有し、前記通信装置は、前記暗号通信装置に前記通信データを送信するデータ送信手段と、前記データ配信手段にて配信された前記通信データを受信するデータ受信手段とを有し、前記データ送信手段及び前記データ受信手段は、前記暗号通信装置及び前記対向側暗号通信装置を通じて、前記対向側暗号通信装置に収容接続する対向側通信装置との間で前記通信データを送受信するようにした。 The encryption communication system according to the present invention further includes a data distribution unit that distributes the communication data decrypted by the decryption communication unit to the communication device. A data transmission unit that transmits the communication data to a communication device; and a data reception unit that receives the communication data distributed by the data distribution unit, wherein the data transmission unit and the data reception unit include the encryption unit The communication data is transmitted / received to / from the opposite communication device that is housed and connected to the opposite encryption communication device via the communication device and the opposite encryption communication device.
従って、本発明の暗号通信システムによれば、暗号通信装置に収容接続する通信装置が前記暗号通信装置及び対向側暗号通信装置を通じてマルチアクセスネットワーク経由で前記対向側暗号通信装置に収容接続する対向側通信装置との間で通信データを送受信するようにしたので、暗号通信機能を備えていない通信装置であっても、暗号通信装置を使用して通信装置間の暗号通信を確立することができる。 Therefore, according to the cryptographic communication system of the present invention, the communication device accommodated and connected to the cryptographic communication device is connected to the opposing cryptographic communication device via the multi-access network through the cryptographic communication device and the opposing cryptographic communication device. Since communication data is transmitted to and received from the communication device, even a communication device that does not have an encryption communication function can establish encrypted communication between the communication devices using the encryption communication device.
また、本発明の暗号通信システムは、前記暗号通信装置が、所定条件毎に分類したグループを識別するグループ識別情報毎に、同グループに属する暗号通信装置のアドレス情報を格納したグループ情報格納手段と、前記グループ識別情報毎に、同グループに関わる通信データの暗号化に使用する前記マルチキャスト鍵を格納した前記マルチキャスト鍵格納手段と、前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、この通信データに含まれるアドレス情報を識別すると共に、前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるアドレス情報を識別するアドレス情報識別手段と、このアドレス情報識別手段の識別結果に基づき、この通信データのグループ識別情報を識別するグループ識別手段とを有し、前記暗号化通信手段は、前記対向側暗号通信装置への通信データを検出すると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化すると共に、前記復号化通信手段は、前記対向側暗号通信装置側の暗号化通信手段にて前記暗号化した通信データを検出すると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを復号化するようにした。 Further, the cryptographic communication system of the present invention includes group information storage means for storing address information of cryptographic communication apparatuses belonging to the group for each group identification information for identifying the group classified by the predetermined condition by the cryptographic communication apparatus. , For each group identification information, the multicast key storage means for storing the multicast key used for encryption of communication data related to the group, and of the plurality of encryption communication devices to the opposite encryption communication device When detecting communication data, address information included in the communication data is identified, and when detecting communication data from the opposite encryption communication device, address information identifying means for identifying address information included in the communication data; Based on the identification result of this address information identification means, the group identification information for identifying the group identification information of this communication data And the encrypted communication means identifies the address information of the communication data by the address information identification means when detecting the communication data to the opposite encryption communication device, and the identification result The group identification means identifies the group identification information of the communication data, reads the multicast key corresponding to the group identification information from the multicast key storage means, and based on the read multicast key, the communication data is When the encrypted communication data is detected by the encrypted communication means on the opposite side encryption communication device side, the address information identification means obtains the address information of the communication data. Based on the identification result, the group identification means identifies the group identification information of the communication data, and Reads the multicast key corresponding to the group identification information from the multicast key storage means, based on the multicast key thus read out, and so as to decrypt the communication data.
従って、本発明の暗号通信システムによれば、グループ識別情報毎に、同グループに属する暗号通信装置のアドレス情報及び、同グループに関わるマルチキャスト鍵を格納しておき、前記対向側暗号通信装置への通信データを検出すると、この通信データのアドレス情報を識別し、この識別結果に基づき、同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化すると共に、前記対向側暗号通信装置側の暗号化通信手段にて前記暗号化した通信データを検出すると、この通信データのアドレス情報を識別し、この識別結果に基づき、同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを復号化するようにしたので、マルチキャスト通信のグループ単位で通信装置間の暗号通信を確立することができる。 Therefore, according to the cryptographic communication system of the present invention, for each group identification information, the address information of the cryptographic communication device belonging to the same group and the multicast key related to the same group are stored, and When the communication data is detected, the address information of the communication data is identified, the group identification information of the communication data is identified based on the identification result, the multicast key corresponding to the group identification information is read, and the read multicast key And encrypting the communication data and detecting the encrypted communication data by the encrypted communication means on the opposite side encryption communication device side, identifying address information of the communication data, Based on the communication data, the multi-key corresponding to the group identification information is identified. Reads the strike key, based on the multicast key thus read out. Thus decrypting the communication data, it is possible to establish the encrypted communication between the communication device in groups of multicast communication.
また、本発明の暗号通信システムは、前記暗号通信装置毎に通信接続する管理端末装置を有し、前記管理端末装置は、前記暗号通信装置と通信接続して、同暗号通信装置内部の前記マルチキャスト鍵格納手段に格納中の前記マルチキャスト鍵を設定変更可能にした。 Also, the cryptographic communication system of the present invention has a management terminal device that communicates and connects for each of the cryptographic communication devices, and the management terminal device is communicatively connected to the cryptographic communication device and the multicast within the cryptographic communication device. The multicast key stored in the key storage means can be changed.
従って、本発明の暗号通信システムによれば、前記管理端末装置が、前記暗号通信装置と通信接続して、同暗号通信装置内部の前記マルチキャスト鍵格納手段に格納中の前記マルチキャスト鍵を設定変更可能にしたので、暗号通信装置毎にマルチキャスト通信の暗号化に使用するマルチキャスト鍵を設定変更することができる。 Therefore, according to the cryptographic communication system of the present invention, the management terminal device can communicate with the cryptographic communication device and change the setting of the multicast key stored in the multicast key storage means inside the cryptographic communication device. Therefore, it is possible to change the setting of the multicast key used for encryption of multicast communication for each encrypted communication device.
また、本発明の暗号通信システムは、前記マルチアクセスネットワーク経由で全暗号通信装置に通信接続可能な鍵管理サーバを有し、前記鍵管理サーバは、前記マルチアクセスネットワーク経由で各暗号通信装置と通信接続し、各暗号通信装置内部の前記マルチキャスト鍵格納手段に格納中の前記マルチキャスト鍵を設定変更可能にした。 The cryptographic communication system of the present invention has a key management server that can be connected to all cryptographic communication devices via the multi-access network, and the key management server communicates with each cryptographic communication device via the multi-access network. The multicast key stored in the multicast key storage means inside each encryption communication device can be set and changed.
従って、本発明の暗号通信システムによれば、前記鍵管理サーバが、前記マルチアクセスネットワーク経由で各暗号通信装置と通信接続し、各暗号通信装置内部の前記マルチキャスト鍵格納手段に格納中の前記マルチキャスト鍵を設定変更可能にしたので、鍵管理サーバが一括で全暗号通信装置内部の前記マルチキャスト通信の暗号化に使用するマルチキャスト鍵を設定変更することができる。 Therefore, according to the cryptographic communication system of the present invention, the key management server is connected to each cryptographic communication device via the multi-access network and is stored in the multicast key storage means inside each cryptographic communication device. Since the key can be set and changed, the key management server can collectively change the setting of the multicast key used for encryption of the multicast communication in all the encryption communication apparatuses.
また、本発明の暗号通信システムは、前記暗号化通信手段が、前記通信データに含まれるペイロード部の所定データ範囲を指定する範囲指定手段と、この範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき暗号化すると共に、前記復号化通信手段は、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき復号化するようにした。 Further, in the encryption communication system of the present invention, the encrypted communication means includes a range specifying means for specifying a predetermined data range of a payload portion included in the communication data, and a payload in a predetermined data range specified by the range specifying means. And the decryption communication means decrypts the payload part of the predetermined data range designated by the range designation means based on the multicast key.
従って、本発明の暗号通信システムによれば、通信データに含まれる所定データ範囲のペイロード部をマルチキャスト鍵で暗号化し、暗号化された所定データ範囲のペイロード部をマルチキャスト鍵で復号化するようにしたので、ペイロード部の一部だけを暗号化することになるため、暗号化通信手段及び復号化通信手段の処理負担を軽減することができる。 Therefore, according to the encryption communication system of the present invention, the payload portion of the predetermined data range included in the communication data is encrypted with the multicast key, and the encrypted payload portion of the predetermined data range is decrypted with the multicast key. Therefore, since only a part of the payload portion is encrypted, the processing load on the encrypted communication means and the decryption communication means can be reduced.
また、本発明の暗号通信システムは、前記マルチキャスト鍵を所定個数のキャスト鍵で構成し、前記通信データに含まれるペイロード部を所定個数のデータ範囲に分割指定する範囲指定手段と、前記範囲指定手段にて指定したデータ範囲毎にキャスト鍵を格納するキャスト鍵格納手段とを有し、前記暗号化通信手段は、前記対向側暗号通信装置への通信データを検出すると、この通信データに含まれるペイロード部のデータ範囲毎に、同データ範囲に対応したキャスト鍵を前記キャスト鍵格納手段から順次読み出し、この順次読み出したキャスト鍵に基づき同データ範囲を順次暗号化すると共に、前記復号化通信手段は、前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるペイロード部のデータ範囲毎に、同データ範囲に対応したキャスト鍵を前記キャスト鍵格納手段から順次読み出し、この順次読み出したキャスト鍵に基づき同データ範囲を順次復号化するようにした。 Further, the cryptographic communication system of the present invention comprises a range specifying means for configuring the multicast key with a predetermined number of cast keys and dividing and specifying a payload portion included in the communication data into a predetermined number of data ranges; and the range specifying means Cast key storage means for storing a cast key for each data range specified in (1), and when the encrypted communication means detects communication data to the opposite encryption communication device, a payload included in the communication data For each data range, a cast key corresponding to the data range is sequentially read from the cast key storage means, the data range is sequentially encrypted based on the sequentially read cast key, and the decryption communication means includes: When communication data from the opposite encryption communication device is detected, the same data is detected for each data range of the payload portion included in the communication data. Sequentially reading out the cast key corresponding to over data ranges from the cast key storage means, and adapted to successively decode the same data range on the basis of the sequentially read cast key.
従って、本発明の暗号通信システムによれば、マルチキャスト鍵を所定個数のキャスト鍵で構成し、前記通信データのペイロード部を所定個数のデータ範囲に分割指定し、前記対向側暗号通信装置への通信データを検出すると、この通信データのデータ範囲毎にキャスト鍵に基づき暗号化すると共に、前記対向側暗号通信装置からの通信データを検出すると、この暗号化された通信データのデータ範囲毎にキャスト鍵に基づき復号化するようにしたので、ペイロード部を複数のキャスト鍵で暗号化及び復号化するため、より一層、通信データのセキュリティ強化を図ることができる。 Therefore, according to the cryptographic communication system of the present invention, the multicast key is composed of a predetermined number of cast keys, the payload portion of the communication data is divided and specified into a predetermined number of data ranges, and communication to the opposite side encryption communication device is performed. When data is detected, encryption is performed based on the cast key for each data range of the communication data, and when communication data from the opposite encryption communication device is detected, a cast key is determined for each data range of the encrypted communication data. Since the payload portion is encrypted and decrypted with a plurality of cast keys, it is possible to further enhance the security of communication data.
また、上記目的を達成するために本発明の暗号通信システムは、複数台の暗号通信装置同士が同時に通信接続可能なマルチアクセスネットワーク上で、前記暗号通信装置間の通信データを暗号化する暗号通信システムであって、前記暗号通信装置は、前記複数台の暗号通信装置の内、1台の暗号通信装置が特定グループ内の複数台の暗号通信装置と同時通信するマルチキャスト通信に関わる通信データの暗号化に使用する、マルチキャスト鍵を格納したマルチキャスト鍵格納手段と、前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、この通信データに含まれるアドレス情報を識別すると共に、前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるアドレス情報を識別するアドレス情報識別手段と、前記アドレス情報識別手段の識別結果に基づき、この通信データの通信種別を判定する通信種別判定手段と、この通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記マルチキャスト通信であると判定されると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送する暗号化通信手段と、前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記マルチキャスト通信であると判定されると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化する復号化通信手段とを有するようにした。 In order to achieve the above object, the cryptographic communication system of the present invention is a cryptographic communication for encrypting communication data between the cryptographic communication devices on a multi-access network in which a plurality of cryptographic communication devices can be simultaneously connected to each other. The encryption communication apparatus is an encryption system for communication data related to multicast communication in which one of the plurality of encryption communication apparatuses communicates simultaneously with a plurality of encryption communication apparatuses in a specific group. When the communication data to the opposite side encryption communication device among the plurality of encryption communication devices is detected, the address information included in the communication data is identified. At the same time, when communication data from the opposite encryption communication apparatus is detected, an address for identifying address information included in the communication data is detected. Based on the identification result of the address information identifying means, the communication type determining means for determining the communication type of the communication data, and the communication type determining means for the communication data to the opposite encryption communication device. If it is determined that the communication type is the multicast communication, the multicast key is read from the multicast key storage means, the communication data is encrypted based on the read multicast key, and the encrypted communication data is An encrypted communication means for transmitting to the encryption communication device on the side, and the multicast key storage means when the communication type of the communication data from the opposite encryption communication device is determined to be the multicast communication by the communication type determination means The multicast key is read out from the multicast key based on the read multicast key Countercurrently side encrypted communication device side so as to have a decoding communication means for decoding communication data the encryption.
従って、本発明の暗号通信システムによれば、前記暗号通信装置が、前記マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、前記対向側暗号通信装置への通信データを検出すると、この通信データに含まれるアドレス情報を識別し、この識別結果に基づき、この通信データの通信種別がマルチキャスト通信であると判定されると、前記マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるアドレス情報を識別し、この識別結果に基づき、この通信データの通信種別がマルチキャスト通信であると判定されると、前記マルチキャスト鍵に基づき、前記通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信データのセキュリティ強化を図ることができる。 Therefore, according to the encryption communication system of the present invention, the encryption communication device stores a multicast key used for encryption of communication data related to the multicast communication, and transmits communication data to the opposite encryption communication device. If detected, the address information included in the communication data is identified, and based on the identification result, when it is determined that the communication type of the communication data is multicast communication, the communication data is encrypted based on the multicast key. The encrypted communication data is transmitted to the opposite encryption communication device, and when the communication data from the opposite encryption communication device is detected, the address information included in the communication data is identified, and based on the identification result If the communication type of this communication data is determined to be multicast communication, the multicast key Therefore, since the communication data is decrypted, not only a public service network capable of multicast communication expected in the future, but also a multi-access network such as an IP-VPN capable of multicast communication even in the present situation can be encrypted. Security of communication data related to multicast communication can be enhanced by using the communication device.
また、本発明の暗号通信システムは、前記暗号通信装置が、所定条件に分類したグループを識別するグループ識別情報毎に、同グループに属する暗号通信装置のアドレス情報を格納したグループ情報格納手段と、前記グループ識別情報毎に、同グループに関わる通信データの暗号化に使用する前記マルチキャスト鍵を格納した前記マルチキャスト鍵格納手段と、前記アドレス情報識別手段の通信データの識別結果に基づき、この通信データのグループ識別情報を識別するグループ識別手段とを有し、前記暗号化通信手段は、前記通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記マルチキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応した前記マルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化すると共に、前記復号化通信手段は、前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記マルチキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス識別情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応した前記マルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき前記通信データを復号化するようにした。 Further, the cryptographic communication system of the present invention includes, for each group identification information for identifying the group classified by the predetermined condition by the cryptographic communication apparatus, group information storage means for storing address information of the cryptographic communication apparatus belonging to the group, Based on the identification result of the communication data of the multicast key storage means storing the multicast key used for encryption of communication data related to the group for each group identification information, and the address information identification means, the communication data Group identification means for identifying group identification information, wherein the encrypted communication means determines that the communication type of the communication data to the opposite encryption communication device is the multicast communication by the communication type determination means. Then, the address information identification means identifies the address information of the communication data, and based on the identification result. The group identification means identifies the group identification information of the communication data, reads the multicast key corresponding to the group identification information from the multicast key storage means, and based on the read multicast key, the communication data is In addition to encryption, when the communication type determination unit determines that the communication type of the communication data from the opposite side encryption communication device is the multicast communication, the decryption communication unit causes the address information identification unit to And identifying the address identification information of the communication data based on the identification result, identifying the group identification information of the communication data by the group identification means, and storing the multicast key corresponding to the group identification information in the multicast key Read from the means, based on this read multicast key It was set to decrypt the communication data.
従って、本発明の暗号通信システムによれば、前記グループ識別情報毎に、同グループに属する暗号通信装置のアドレス情報及び、同グループに関わるマルチキャスト鍵を格納しておき、前記対向側暗号通信装置への前記通信データを検出すると、この通信データのアドレス情報を識別し、この識別結果に基づき、同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化すると共に、前記対向側暗号通信装置側の暗号化通信手段にて前記暗号化した通信データを検出すると、この通信データのアドレス情報を識別し、この識別結果に基づき、同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを復号化するようにしたので、マルチキャスト通信に関わる通信データの暗号通信をグループ単位で確立することができる。 Therefore, according to the cryptographic communication system of the present invention, the address information of the cryptographic communication device belonging to the same group and the multicast key related to the same group are stored for each group identification information, When the communication data is detected, the address information of the communication data is identified, the group identification information of the communication data is identified based on the identification result, the multicast key corresponding to the group identification information is read, and the read Based on the multicast key, the communication data is encrypted, and when the encrypted communication data is detected by the encrypted communication means on the opposite side encryption communication device side, the address information of the communication data is identified, and the identification Based on the result, the group identification information of the communication data is identified, and this group identification information is supported. Reads the multicast key, based on the multicast key thus read out. Thus decrypting the communication data, it is possible to establish the encrypted communication of the communication data relating to the multicast communication in groups.
また、本発明の暗号通信システムは、前記暗号通信装置が、単一の暗号通信装置同士で通信するユニキャスト通信に関わる通信データの暗号化に使用するセッション鍵を、前記暗号通信装置のアドレス情報毎に格納したセッション鍵格納手段を有し、前記暗号化通信手段は、前記通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記ユニキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、このアドレス情報に対応したセッション鍵を前記セッション鍵格納手段から読み出し、この読み出したセッション鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記復号化通信手段は、前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記ユニキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、このアドレス情報に対応したセッション鍵を前記セッション鍵格納手段から読み出し、この読み出したセッション鍵に基づき、前記通信データを復号化するようにした。 Further, the cryptographic communication system of the present invention uses the session key used for encrypting communication data related to unicast communication in which the cryptographic communication device communicates with a single cryptographic communication device as address information of the cryptographic communication device. Each having a session key storage means stored therein, wherein the encrypted communication means determines that the communication type of the communication data to the opposite encryption communication device is the unicast communication by the communication type determination means. The address information identifying means identifies the address information of the communication data, reads a session key corresponding to the address information from the session key storage means, and encrypts the communication data based on the read session key. The encrypted communication data is transmitted to the opposite encryption communication device, and the decryption communication means is configured to determine the communication type. When the means determines that the communication type of the communication data from the opposite encryption communication device is the unicast communication, the address information identification means identifies the address information of the communication data, and the address information A corresponding session key is read from the session key storage means, and the communication data is decrypted based on the read session key.
従って、本発明の暗号通信システムによれば、前記暗号通信装置が、ユニキャスト通信に関わる通信データの暗号化に使用するセッション鍵を、前記暗号通信装置のアドレス情報毎に格納しておき、前記対向側暗号通信装置への通信データの通信種別がユニキャスト通信であると判定されると、この通信データのアドレス情報を識別し、このアドレス情報に対応したセッション鍵を読み出し、この読み出したセッション鍵に基づき、前記通信データを暗号化すると共に、前記対向側暗号通信装置からの通信データの通信種別が前記ユニキャスト通信であると判定されると、この通信データのアドレス情報を識別し、このアドレス情報に対応したセッション鍵を読み出し、この読み出したセッション鍵に基づき、前記通信データを復号化するようにしたので、マルチキャスト通信は勿論のこと、ユニキャスト通信の通信データについても暗号通信を確立することができる。 Therefore, according to the encryption communication system of the present invention, the encryption communication device stores a session key used for encryption of communication data related to unicast communication for each address information of the encryption communication device, and If it is determined that the communication type of the communication data to the opposite side encryption communication device is unicast communication, the address information of this communication data is identified, the session key corresponding to this address information is read, and the read session key And encrypting the communication data, and if the communication type of the communication data from the opposite encryption communication device is determined to be the unicast communication, the address information of the communication data is identified and the address A session key corresponding to the information is read, and the communication data is decrypted based on the read session key. Since the multicast communication, of course, it is possible to establish an encrypted communication also communication data unicast communication.
また、本発明の暗号通信システムは、前記暗号通信装置が、収容接続する通信装置のアドレス情報を含む配下アドレス管理情報を管理する配下アドレス情報管理手段と、所定タイミングに応じて、前記配下アドレス情報管理手段に管理中の配下アドレス管理情報を前記対向側暗号通信装置に通知する配下アドレス管理情報通知手段と、前記対向側暗号通信装置側の配下アドレス管理情報通知手段から前記配下アドレス管理情報を受信すると、この配下アドレス管理情報に含まれる対向側通信装置のアドレス情報に対応付けて、この対向側通信装置を収容接続する対向側暗号通信装置のセッション鍵を格納すべく、前記セッション鍵格納手段を更新する更新手段とを有するようにした。 Further, in the cryptographic communication system of the present invention, the cryptographic communication device manages subordinate address management information including address information of the communication device to be accommodated and connected, and the subordinate address information according to a predetermined timing. Subordinate address management information notification means for notifying the opposite side encrypted communication apparatus of the subordinate address management information being managed by the management means, and receiving the subordinate address management information from the subordinate address management information notification means on the opposite side encrypted communication apparatus side Then, in association with the address information of the opposing communication device included in the subordinate address management information, the session key storage means is configured to store the session key of the opposing encryption communication device accommodating and connecting the opposing communication device. And updating means for updating.
従って、本発明の暗号通信システムによれば、前記暗号通信装置が、収容接続する通信装置のアドレス情報を含む配下アドレス管理情報を所定タイミングに応じて対向側暗号通信装置に通知すると共に、対向側暗号通信装置側の配下アドレス管理情報を受信すると、この配下アドレス管理情報に含まれる対向側通信装置のアドレス情報に対応付けて、この対向側通信装置を収容接続する対向側暗号通信装置のセッション鍵を格納すべく、前記セッション鍵格納手段を更新するようにしたので、各暗号通信装置側では、対向暗号通信装置に収容接続する通信装置毎のセッション鍵を保持することができる。 Therefore, according to the encryption communication system of the present invention, the encryption communication device notifies the opposite side encryption communication device of the subordinate address management information including the address information of the communication device to be accommodated and connected according to a predetermined timing. When receiving the subordinate address management information on the encryption communication device side, the session key of the opposite side encryption communication device accommodating and connecting the opposite side communication device in association with the address information of the opposite side communication device included in the subordinate address management information Since the session key storage means is updated to store the session key, each encryption communication apparatus can hold a session key for each communication apparatus accommodated and connected to the opposite encryption communication apparatus.
また、本発明の暗号通信システムは、前記暗号通信装置が、鍵番号毎に鍵フォームを格納する鍵フォーム格納手段と、全暗号通信装置共通のタイミングに応じて、現在時刻及び所定プログラムに基づき鍵番号を算出し、この算出した鍵番号に対応する鍵フォームを前記鍵フォーム格納手段から選択する鍵フォーム選択手段と、この鍵フォーム選択手段にて選択した鍵フォームを、前記マルチキャスト鍵として前記マルチキャスト鍵格納手段に更新するマルチキャスト鍵更新手段とを有するようにした。 In the cryptographic communication system according to the present invention, the cryptographic communication apparatus is configured to use a key form storage unit that stores a key form for each key number and a key based on a current time and a predetermined program according to a common timing for all the cryptographic communication apparatuses. A key form selecting means for calculating a number and selecting a key form corresponding to the calculated key number from the key form storage means, and the key form selected by the key form selecting means as the multicast key as the multicast key. Multicast key update means for updating the storage means.
従って、本発明の暗号通信システムによれば、前記暗号通信装置が、鍵番号毎に鍵フォームを格納しておき、全暗号通信装置共通のタイミングに応じて、現在時刻及び所定プログラムに基づき鍵番号を算出し、この算出した鍵番号に対応する鍵フォームを選択し、この選択した鍵フォームを、前記マルチキャスト鍵として前記マルチキャスト鍵格納手段に更新するようにしたので、各暗号通信装置が同一の鍵番号毎に同一の鍵フォームを格納しておき、全暗号通信装置が同一のタイミングでマルチキャスト鍵を新たなマルチキャスト鍵に更新することができる。 Therefore, according to the encryption communication system of the present invention, the encryption communication device stores a key form for each key number, and the key number is based on the current time and a predetermined program according to the timing common to all encryption communication devices. The key form corresponding to the calculated key number is selected, and the selected key form is updated as the multicast key in the multicast key storage unit. The same key form is stored for each number, and all the encryption communication devices can update the multicast key to a new multicast key at the same timing.
また、本発明の暗号通信システムは、前記マルチアクセスネットワーク経由で全暗号通信装置に通信接続可能な鍵管理サーバを有し、前記鍵管理サーバは、複数個の鍵フォームを格納した鍵フォーム格納手段と、所定タイミング毎に、前記鍵フォーム格納手段内の複数個の鍵フォームから任意の鍵フォームを選択する鍵フォーム選択手段と、この鍵フォーム選択手段にて選択した鍵フォームを前記マルチキャスト鍵として、所定タイミング毎に各暗号通信装置に配信する鍵フォーム配信手段とを有するようにした。 Also, the cryptographic communication system of the present invention has a key management server that can be communicably connected to all cryptographic communication devices via the multi-access network, and the key management server stores a key form storage means that stores a plurality of key forms. And a key form selection means for selecting an arbitrary key form from a plurality of key forms in the key form storage means at every predetermined timing, and the key form selected by the key form selection means as the multicast key, Key form distribution means for distributing to each encryption communication device at every predetermined timing.
従って、本発明の暗号通信システムによれば、前記鍵管理サーバが、前記マルチアクセスネットワーク経由で全暗号通信装置と通信接続し、所定タイミング毎に複数個の鍵フォームから任意の鍵フォームを選択し、この選択した鍵フォームをマルチキャスト鍵として、所定タイミング毎に各暗号通信装置に配信し、その結果、各暗号通信装置では、鍵管理サーバの配信タイミング又は各暗号通信装置の通信アクセスタイミング毎に、各鍵管理サーバから新たな鍵フォームを受信し、この受信した鍵フォームを新たなマルチキャスト鍵として更新するようにしたので、鍵管理サーバが一括で全暗号通信装置内部のマルチキャスト通信の暗号化に使用するマルチキャスト鍵を設定変更することができる。 Therefore, according to the cryptographic communication system of the present invention, the key management server is connected to all cryptographic communication apparatuses via the multi-access network, and selects an arbitrary key form from a plurality of key forms at a predetermined timing. The selected key form is distributed as a multicast key to each cryptographic communication device at a predetermined timing.As a result, each cryptographic communication device has a distribution timing of the key management server or a communication access timing of each cryptographic communication device. A new key form is received from each key management server, and the received key form is updated as a new multicast key, so the key management server is used to encrypt multicast communications inside all cryptographic communication devices in a batch. The multicast key to be set can be changed.
また、本発明の暗号通信システムは、前記暗号通信装置が、前記通信データに含まれるペイロード部の所定データ範囲を指定する範囲指定手段を有し、前記暗号化通信手段は、前記通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記マルチキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき暗号化すると共に、前記復号化通信手段は、前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記マルチキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき復号化するようにした。 Further, in the encryption communication system of the present invention, the encryption communication device has range specifying means for specifying a predetermined data range of a payload portion included in the communication data, and the encrypted communication means includes the communication type determination means. When it is determined that the communication type of the communication data to the opposite encryption communication device is the multicast communication, the payload portion of the predetermined data range specified by the range specifying means is encrypted based on the multicast key At the same time, when the communication type determination unit determines that the communication type of the communication data from the opposite encryption communication device is the multicast communication, the decryption communication unit determines the predetermined value specified by the range specification unit. The payload part of the data range is decrypted based on the multicast key.
従って、本発明の暗号通信システムによれば、通信データに含まれる所定データ範囲のペイロード部をマルチキャスト鍵で暗号化し、暗号化された所定データ範囲のペイロード部をマルチキャスト鍵で復号化するようにしたので、ペイロード部の一部だけを暗号化することになるため、暗号化通信手段及び復号化通信手段の処理負担を軽減することができる。 Therefore, according to the encryption communication system of the present invention, the payload portion of the predetermined data range included in the communication data is encrypted with the multicast key, and the encrypted payload portion of the predetermined data range is decrypted with the multicast key. Therefore, since only a part of the payload portion is encrypted, the processing load on the encrypted communication means and the decryption communication means can be reduced.
また、本発明の暗号通信システムは、前記暗号通信装置が、前記通信データに含まれるペイロード部の所定データ範囲を指定する範囲指定手段を有し、前記暗号化通信手段は、前記通信種別判定手段にて前記対向側通信装置に伝送する通信データの通信種別が前記ユニキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記セッション鍵に基づき暗号化すると共に、前記復号化通信手段は、前記通信種別判定手段にて前記対向側通信装置からの通信データの通信種別が前記ユニキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記セッション鍵に基づき復号化するようにした。 Further, in the encryption communication system of the present invention, the encryption communication device has range specifying means for specifying a predetermined data range of a payload portion included in the communication data, and the encrypted communication means includes the communication type determination means. When the communication type of the communication data transmitted to the opposite communication device is determined to be the unicast communication, the payload portion of the predetermined data range specified by the range specifying means is encrypted based on the session key In addition, when the communication type determining unit determines that the communication type of the communication data from the opposite communication device is the unicast communication, the decoding communication unit specifies the range specifying unit. The payload portion of the predetermined data range is decrypted based on the session key.
従って、本発明の暗号通信システムによれば、マルチキャスト鍵を所定個数のキャスト鍵で構成し、前記通信データのペイロード部を所定個数のデータ範囲に分割指定し、前記対向側暗号通信装置への通信データを検出すると、この通信データのデータ範囲毎にキャスト鍵に基づき暗号化すると共に、前記対向側暗号通信装置からの通信データを検出すると、この暗号化された通信データのデータ範囲毎にキャスト鍵に基づき復号化するようにしたので、ペイロード部を複数のキャスト鍵で暗号化及び復号化するため、より一層、通信データのセキュリティ強化を図ることができる。 Therefore, according to the cryptographic communication system of the present invention, the multicast key is composed of a predetermined number of cast keys, the payload portion of the communication data is divided and specified into a predetermined number of data ranges, and communication to the opposite side encryption communication device is performed. When data is detected, encryption is performed based on the cast key for each data range of the communication data, and when communication data from the opposite encryption communication device is detected, a cast key is determined for each data range of the encrypted communication data. Since the payload portion is encrypted and decrypted with a plurality of cast keys, it is possible to further enhance the security of communication data.
また、本発明の暗号通信システムは、前記配下アドレス管理情報通知手段が、前記配下アドレス管理情報及び自己の暗号通信装置のユニキャスト通信に関わるセッション鍵をIKEプロトコルを使用して暗号化し、この暗号化した配下アドレス管理情報及びセッション鍵を対向側暗号通信装置に伝送するようにした。 Also, in the cryptographic communication system of the present invention, the subordinate address management information notifying means encrypts the subordinate address management information and a session key related to unicast communication of its own cryptographic communication device using the IKE protocol. The managed subordinate address management information and session key are transmitted to the opposite side encryption communication device.
従って、本発明の暗号通信システムによれば、IKEプロトコルを使用して配下アドレス管理情報及びセッション鍵を対向側暗号通信装置に伝送するようにしたので、配下アドレス管理情報及びセッション鍵提供時のセキュリティ強化を図ることができる。 Therefore, according to the cryptographic communication system of the present invention, the subordinate address management information and the session key are transmitted to the opposite side cipher communication device using the IKE protocol. It can be strengthened.
また、上記目的を達成するために本発明の暗号通信装置は、複数台の暗号通信装置同士が同時に通信接続可能なマルチアクセスネットワーク上において、前記複数台の暗号通信装置の内、1台の暗号通信装置が特定グループ内の複数台の暗号通信装置と同時通信するマルチキャスト通信を実行した際に、前記暗号通信装置間の通信データを暗号化する暗号通信システムにおける暗号通信装置であって、前記マルチキャスト通信に関わる通信データの暗号化に使用する、マルチキャスト鍵を格納したマルチキャスト鍵格納手段と、前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送する暗号化通信手段と、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化する復号化通信手段とを有するようにした。 In order to achieve the above object, the encryption communication device of the present invention is configured such that one of the plurality of encryption communication devices is encrypted on a multi-access network in which a plurality of encryption communication devices can be simultaneously connected to each other. An encryption communication device in an encryption communication system for encrypting communication data between the encryption communication devices when the communication device performs multicast communication for simultaneous communication with a plurality of encryption communication devices in a specific group, wherein the multicast communication device Multicast key storage means for storing a multicast key used for encryption of communication data related to communication, and when the communication data to the opposite side encryption communication device among the plurality of encryption communication devices is detected, the multicast key storage The multicast key is read from the means, and the communication data is read based on the read multicast key. And the encrypted communication means for transmitting the encrypted communication data to the opposite-side encrypted communication device, and the encrypted communication data detected by the encrypted communication means of the opposite-side encrypted communication device, The multicast key is read from the multicast key storage means, and based on the read multicast key, decryption communication means for decrypting the encrypted communication data on the opposite encryption communication apparatus side is provided.
従って、本発明の暗号通信装置によれば、前記マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、前記対向側暗号通信装置への通信データを検出すると、マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、マルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信データのセキュリティ強化を図ることができる。 Therefore, according to the encryption communication device of the present invention, a multicast key used for encryption of communication data related to the multicast communication is stored, and when the communication data to the opposite encryption communication device is detected, the multicast key is used. And encrypting the communication data, transmitting the encrypted communication data to the opposite encryption communication device, and detecting the encrypted communication data in the encryption communication means of the opposite encryption communication device, Since the encrypted communication data is decrypted on the opposite encryption communication device side based on the multicast key, not only a public service network capable of multicast communication expected in the future, but also multicast communication is possible at present. Even in a multi-access network such as IP-VPN, the encryption communication device is used to It is possible to achieve the enhanced security of communication data relating to Chikyasuto communication.
上記のように構成された本発明の暗号通信システムによれば、暗号通信装置が、マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、対向側暗号通信装置への通信データを検出すると、マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、マルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信データのセキュリティ強化を図ることができる。 According to the encryption communication system of the present invention configured as described above, the encryption communication device stores a multicast key used for encryption of communication data related to multicast communication, and communicates with the opposite-side encryption communication device. When data is detected, the communication data is encrypted based on the multicast key, the encrypted communication data is transmitted to the opposite side encryption communication device, and the encryption communication unit of the opposite side encryption communication device transmits the encryption data. When the encrypted communication data is detected, the encrypted communication data is decrypted on the opposite encryption communication device side based on the multicast key, so that the public service network capable of multicast communication expected in the future is of course Even in multi-access networks such as IP-VPN that can be used for multicast communication even in the present situation It is possible to enhance security of the communication data relating to the multicast communication using the encryption communication device.
また、本発明の暗号通信システムによれば、暗号通信装置が、マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、対向側暗号通信装置への通信データを検出すると、この通信データに含まれるアドレス情報を識別し、この識別結果に基づき、この通信データの通信種別がマルチキャスト通信であると判定されると、前記マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるアドレス情報を識別し、この識別結果に基づき、この通信データの通信種別がマルチキャスト通信であると判定されると、前記マルチキャスト鍵に基づき、前記通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信データのセキュリティ強化を図ることができる。 According to the encryption communication system of the present invention, the encryption communication device stores a multicast key used for encryption of communication data related to multicast communication, and detects communication data to the opposite side encryption communication device. Address information included in the communication data is identified, and based on the identification result, when it is determined that the communication type of the communication data is multicast communication, the communication data is encrypted based on the multicast key, When the communication data from the opposite encryption communication device is detected, the address information included in the communication data is identified, and based on the identification result, the communication data is transmitted to the opposite encryption communication device. If it is determined that the data communication type is multicast communication, the communication type is determined based on the multicast key. Since the data is decrypted, the encryption communication device is used not only for public service networks that can be used for multicast communication in the future, but also for multi-access networks such as IP-VPN that can be used for multicast communication at present. Thus, the security of communication data related to multicast communication can be enhanced.
また、上記のように構成された本発明の暗号通信装置によれば、マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、対向側暗号通信装置への通信データを検出すると、マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、マルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信データのセキュリティ強化を図ることができる。 Moreover, according to the encryption communication device of the present invention configured as described above, a multicast key used for encryption of communication data related to multicast communication is stored, and communication data to the opposite encryption communication device is detected. Then, based on the multicast key, the communication data is encrypted, and the encrypted communication data is transmitted to the opposite-side encrypted communication device, and the encrypted communication is performed by the encrypted communication unit of the opposite-side encrypted communication device. When data is detected, the encrypted communication data is decrypted on the opposite encryption communication device side based on the multicast key, so that the public service network capable of multicast communication expected in the future is of course However, even in a multi-access network such as IP-VPN capable of multicast communication, an encryption communication device It is possible to enhance security of the communication data relating to the multicast communication using.
以下、図面に基づいて本発明の実施の形態を示す暗号通信システムについて説明する。 Hereinafter, an encryption communication system showing an embodiment of the present invention will be described with reference to the drawings.
(実施の形態1)
図1は第1の実施の形態を示す暗号通信システム内部の概略構成を示すブロック図である。
(Embodiment 1)
FIG. 1 is a block diagram showing a schematic configuration inside the cryptographic communication system according to the first embodiment.
図1に示す暗号通信システム1は、マルチアクセスネットワーク2と、このマルチアクセスネットワーク2と通信接続する複数台の暗号通信装置3と、このマルチアクセスネットワーク2と通信接続する鍵管理サーバ4と、暗号通信装置3に収容接続するパソコン等の通信装置5とを有し、複数台の暗号通信装置3の内、1台の暗号通信装置3が特定グループ内の複数台の暗号通信装置3と同時通信するマルチキャスト通信を実行した際に、暗号通信装置3間の通信データを暗号化するものである。
A
“A”の暗号通信装置3は、“A1”及び“A2”の通信装置5を収容接続し、“B”の暗号通信装置3は、“B1”及び“B2”の通信装置5を、“C”の暗号通信装置3は、“C1”及び“C2”の通信装置5を、“D”の暗号通信装置3は、“D1”及び“D2”の通信装置5を夫々収容接続するものとする。
The
マルチキャスト通信は、1台の暗号通信装置3が特定グループ内の複数台の暗号通信装置3と同時通信する方式に相当し、グループ単位で通信相手が異なり、例えばグループ“1”の場合、“A”の暗号通信装置3の通信装置5が“B”、“C”及び“D”の3台の暗号通信装置3の通信装置5に同時通信、グループ“2”の場合、“A”の暗号通信装置3の通信装置5が“B”の暗号通信装置3の通信装置5に同時通信、グループ“3”の場合、“C”の暗号通信装置3の通信装置5が“D”の暗号通信装置3の通信装置5に同時通信するものである。
Multicast communication corresponds to a method in which one
図2は暗号通信装置3内部の概略構成を示すブロック図である。
FIG. 2 is a block diagram showing a schematic configuration inside the
各暗号通信装置3は、マルチアクセスネットワーク2との通信インタフェースを司るネットワーク用インタフェース11と、収容接続する通信装置5との通信インタフェースを司る通信装置用インタフェース12と、この収容接続する通信装置5のアドレス情報を管理するアドレス情報管理部13と、マルチキャスト通信に関わるグループを識別するグループ番号毎に、同グループに属する暗号通信装置3のアドレス情報を格納したグループ管理テーブル14と、グループ番号毎に、同グループに関わる通信データの暗号化に使用するマルチキャスト鍵を格納したマルチキャスト鍵テーブル15と、通信装置用インタフェース12を通じて通信装置5からの通信データ又はネットワーク用インタフェース11を通じて対向側暗号通信装置3からの通信データを検出すると、この通信データに含まれるアドレス情報を識別するアドレス情報識別部16と、このアドレス情報識別部16の識別結果に基づき、この通信データの通信種別を判定する通信種別判定部17と、この通信種別判定部17にて通信データの通信種別がマルチキャスト通信であると判定されると、このアドレス情報識別部16の識別結果に基づき、この通信データのグループ番号を識別するグループ識別部18と、このグループ識別部18の識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15から読み出し、この読み出したマルチキャスト鍵に基づき、通信データを暗号化する暗号化処理部19と、グループ識別部18の識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブルから読み出し、この読み出したマルチキャスト鍵に基づき、この通信データを復号化する復号化処理部20と、この暗号通信装置3全体を制御する制御部21とを有している。
Each
グループ管理テーブル14は、図3に示すように、マルチキャスト通信のグループを識別するグループ番号14a毎に、同グループに所属する暗号通信装置3のアドレス情報14bを格納するものであり、例えばグループ番号“1”には、“A”,“B”,“C”,“D”の暗号通信装置3のアドレス情報を格納しているものとする。
As shown in FIG. 3, the group management table 14 stores, for each
マルチキャスト鍵テーブル15は、図4に示すように、グループ番号15a毎に、同グループの通信データの暗号化及び復号化に使用するマルチキャスト鍵15bを格納するものであり、例えばグループ番号“1”には、マルチキャスト鍵M1を格納しているものとする。
As shown in FIG. 4, the multicast key table 15 stores, for each
アドレス情報識別部16は、通信装置用インタフェース12を通じて通信装置5からの通信データを検出すると、この通信データのヘッダ部分にあるアドレス情報に基づき送信先アドレスを識別すると共に、ネットワーク用インタフェース11を通じて対向側暗号通信装置3の対向側通信装置5からの通信データを検出すると、この通信データのヘッダ部分にあるアドレス情報に基づき送信先アドレスを識別するものである。
When the communication data from the
通信種別判定部17は、アドレス情報識別部16の識別結果に相当する送信先アドレスに基づき、この通信データの通信種別がマルチキャスト通信であるか否かを判定するものである。
The communication
グループ識別部18は、通信装置用インタフェース12を通じて通信装置5からの通信データの場合、通信種別判定部17にて通信データの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14のテーブル内容に基づき、この通信データの送信先アドレスに対応したマルチキャスト通信グループのグループ番号を識別すると共に、ネットワーク用インタフェース11を通じて対向側暗号通信装置3からの通信データの場合、通信種別判定部17にて通信データの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14のテーブル内容に基づき、この通信データの送信先アドレスに対応したマルチキャスト通信グループのグループ番号を識別するものである。
In the case of communication data from the
暗号化処理部19は、通信装置用インタフェース12を通じて通信装置5からの通信データの場合、通信種別判定部17にて通信データの通信種別がマルチキャスト通信であると判定されると、グループ識別部18の識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15から読み出し、この読み出したマルチキャスト鍵に基づき、この通信データを暗号化し、この暗号化した通信データを、ネットワーク用インタフェース11を通じて対向側暗号通信装置3に伝送するものである。
When the communication
復号化処理部20は、ネットワーク用インタフェース11を通じて対向側暗号通信装置3からの通信データの場合、グループ識別部18の識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15から読み出し、この読み出したマルチキャスト鍵に基づき、この通信データを復号化し、この復号化した通信データを、通信装置用インタフェース12を通じて通信装置5に伝送するものである。
The
図5は暗号通信装置3に収容接続する通信装置5内部の概略構成を示すブロック図である。
FIG. 5 is a block diagram showing a schematic configuration inside the
図5に示す通信装置5は、例えばパソコンで構成し、暗号通信装置3の通信装置用インタフェース12に通信データを送信するデータ送信部31と、暗号通信装置3の通信装置用インタフェース12からの通信データを受信するデータ受信部32と、このデータ受信部32にて受信した通信データを出力するデータ出力部33と、この通信装置5全体を制御する通信装置側制御部34とを有し、データ送信部31及びデータ受信部32は、暗号通信装置3及び対向側暗号通信装置3を通じて、対向側暗号通信装置3に収容接続する対向側通信装置5との間で通信データを送受信するものである。
The
図6は鍵管理サーバ4内部の概略構成を示すブロック図である。
FIG. 6 is a block diagram showing a schematic configuration inside the
図6に示す鍵管理サーバ4は、マルチアクセスネットワーク2との通信インタフェースを司るサーバ用インタフェース41と、複数個、例えば数千個の鍵フォームを格納した鍵フォーム格納部42と、所定タイミング毎に、鍵フォーム格納部41に格納中の複数の鍵フォームからグループ番号毎に鍵フォームを選択する鍵フォーム選択部43と、この鍵フォーム選択部43にて選択した鍵フォームをグループ番号単位で管理する鍵フォーム管理部44と、この鍵フォーム管理部44に管理中の鍵フォームをマルチキャスト鍵として、サーバ用インタフェース41を通じて全暗号通信装置3にグループ番号単位で配信する鍵フォーム配信部45とを有している。尚、所定タイミングとは、所定周期タイミング、例えば1分に一回のタイミングに相当するものである。
The
暗号通信装置3内部の制御部21は、鍵管理サーバ4の鍵フォーム配信部45からのグループ番号毎の鍵フォームを受信すると、マルチキャスト鍵テーブル15に記憶中のグループ番号毎に鍵フォームを新たなマルチキャスト鍵として記憶更新するものである。
When receiving the key form for each group number from the key
また、制御部21は、暗号化処理部19にて暗号化する対象である、通信データのペイロード部のデータ範囲を指定するデータ範囲指定部(図示せず)を備えているものである。尚、データ範囲指定部にて指定したデータ範囲は全暗号通信装置3共通とするものである。
In addition, the
暗号化処理部19は、対向側暗号通信装置3への通信データを検出すると、この通信データのペイロード部内の所定データ範囲部分を、マルチキャスト鍵を使用して暗号化するものである。また、復号化処理部20は、対向側暗号通信装置3からの暗号化された通信データを検出すると、この通信データの暗号化された所定データ範囲部分を、マルチキャスト鍵を使用して復号化するものである。
When the
尚、請求項記載の暗号通信システムは暗号通信システム1、マルチアクセスネットワークはマルチアクセスネットワーク2、暗号通信装置は暗号通信装置3、マルチキャスト鍵格納手段はマルチキャスト鍵テーブル15、暗号化通信手段は暗号化処理部19、復号化通信手段は復号化処理部20、アドレス情報管理手段はアドレス情報管理部13、データ配信手段は通信装置用インタフェース12、通信装置は通信装置5、データ送信手段はデータ送信部31、データ受信手段はデータ受信部32、グループ情報格納手段はグループ管理テーブル14、アドレス情報識別手段はアドレス情報識別部16、グループ識別手段はグループ識別部18、鍵管理サーバは鍵管理サーバ4、範囲指定手段はデータ範囲指定部、マルチキャスト鍵更新手段は制御部21に相当するものである。
The encryption communication system according to the claims is the
次に第1の実施の形態を示す暗号通信システム1の動作について説明する。
Next, the operation of the
例えば“A”の暗号通信装置3に収容接続する“A1”の通信装置5がグループ番号“1”のマルチキャスト通信を実行する場合の動作について説明する。図7はマルチキャスト暗号化処理に関わる暗号通信装置3の処理動作を示すフローチャートである。
For example, the operation when the
暗号通信装置3のアドレス情報識別部16は、通信装置用インタフェース12を通じて通信装置5からの通信データを検出したか否かを判定する(ステップS11)。
The address
アドレス情報識別部16は、通信装置用インタフェース12を通じて通信装置5からの通信データを検出すると、この通信データのヘッダ部にあるアドレス情報に基づき送信先アドレスを識別する(ステップS12)。
When the address
暗号通信装置3の通信種別判定部17は、この通信データの送信先アドレスに基づき、この通信データの通信種別がマルチキャスト通信であるか否かを判定する(ステップS13)。
The communication
暗号通信装置3のグループ識別部18は、通信種別判定部17にて通信データの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14のテーブル内容に基づき、この通信データの送信先アドレスに対応したマルチキャスト通信グループのグループ番号を識別する(ステップS14)。
When the communication
暗号通信装置3の暗号化処理部19は、グループ識別部18にて識別した同通信データのグループ番号に対応するマルチキャスト鍵をマルチキャスト鍵テーブル15から読み出し(ステップS15)、この読み出したマルチキャスト鍵に基づき、この通信データのペイロード部内の所定データ範囲部分を暗号化する(ステップS16)。
The
暗号化処理部19は、この暗号化した通信データを、ネットワーク用インタフェース11を通じて、マルチアクセスネットワーク2経由でマルチキャスト通信相手先の対向側暗号通信装置3に伝送し(ステップS17)、この処理動作を終了する。尚、マルチキャスト通信相手先の対向側暗号通信装置3は、グループ番号“1”のマルチキャスト通信の場合、“B”、“C”及び“D”の暗号通信装置3に相当するものである。
The
次に暗号化された通信データを受信した対向側暗号通信装置3の動作について説明する。図8はマルチキャスト復号化処理に関わる対向側暗号通信装置3内部の処理動作を示すフローチャートである。
Next, the operation of the opposite
図8において対向側暗号通信装置3のアドレス情報識別部16は、ネットワーク用インタフェース11を通じて暗号通信装置3からの暗号化された通信データを検出したか否かを判定する(ステップS21)。
In FIG. 8, the address
アドレス情報識別部16は、ネットワーク用インタフェース11を通じて暗号通信装置3からの暗号化された通信データを検出すると、この通信データのヘッダ部にあるアドレス情報に基づき送信先アドレスを識別する(ステップS22)。
When the address
対向側暗号通信装置3の通信種別判定部17は、この通信データの送信先アドレスに基づき、この通信データの通信種別がマルチキャスト通信であるか否かを判定する(ステップS23)。
The communication
対向側暗号通信装置3のグループ識別部18は、通信種別判定部17にて通信データの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14のテーブル内容に基づき、この通信データの送信先アドレスに対応したマルチキャスト通信グループのグループ番号を識別する(ステップS24)。
When the communication
対向側暗号通信装置3の復号化処理部20は、グループ識別部18にて識別した同通信データのグループ番号に対応するマルチキャスト鍵をマルチキャスト鍵テーブル15から読み出し(ステップS25)、この読み出したマルチキャスト鍵に基づき、この通信データのペイロード部内の暗号化された所定データ範囲部分を復号化する(ステップS26)。
The
復号化処理部20は、この復号化した通信データを、通信装置用インタフェース12を通じて対向側通信装置5に伝送し(ステップS27)、この処理動作を終了する。
The
つまり、“A”の暗号通信装置3は、図9に示すように、“A1”の通信装置5からのグループ番号“1”の通信データを検出すると、このグループ番号“1”に対応したマルチキャスト鍵M1に基づき通信データのペイロード部を暗号化し、この暗号化した通信データをグループ番号“1”の対向側暗号通信装置3に配信し、“B”の暗号通信装置3は、この暗号化した通信データを検出すると、このグループ番号“1”に対応したマルチキャスト鍵に基づき通信データのペイロード部を復号化し、この復号化した通信データをグループ番号“1”の“B1”の通信装置5に配信することになる。
In other words, as shown in FIG. 9, when the
その結果、“A”の暗号通信装置3側の“A1”の通信装置5と“B”,“C”,“D”の対向側暗号通信装置3側の対向側通信装置5との間のマルチキャスト通信の暗号通信を実現することができる。
As a result, between the
第1の実施の形態によれば、各暗号通信装置3が、マルチキャスト通信グループを識別するグループ番号毎にマルチキャスト鍵を格納しておき、対向側暗号通信装置3への通信データを検出して、この通信データの通信種別がマルチキャスト通信であると判定されると、この通信データのマルチキャスト通信グループのグループ番号を識別し、このグループ番号に対応したマルチキャスト鍵に基づき、通信データを暗号化すると共に、対向側暗号通信装置3からの通信データを検出して、この通信データの通信種別がマルチキャスト通信であると判定されると、この通信データのマルチキャスト通信グループのグループ番号を識別し、このグループ番号に対応したマルチキャスト鍵に基づき、暗号化された通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置3を使用してマルチキャスト通信に関わる通信装置5間の通信データのセキュリティ強化を図ることができる。
According to the first embodiment, each
第1の実施の形態によれば、暗号通信装置3に収容接続する通信装置5が、暗号通信装置3及び対向側暗号通信装置3を通じてマルチアクセスネットワーク2経由で対向側暗号通信装置3に収容接続する対向側通信装置5との間で通信データを送受信するようにしたので、暗号通信機能を備えていない通信装置5であっても、暗号通信装置3を使用して通信装置5間の暗号通信を確立することができる。
According to the first embodiment, the
第1の実施の形態によれば、鍵管理サーバ4が、マルチアクセスネットワーク2経由で全暗号通信装置3と通信接続し、所定タイミング毎に、複数個の鍵フォームから任意の鍵フォームをグループ単位で選択し、この選択した鍵フォームをマルチキャスト鍵として全暗号通信装置3に配信し、その結果、各暗号通信装置3では、鍵管理サーバ4から所定タイミング毎に新たな鍵フォームを受信し、この受信した鍵フォームを新たなマルチキャスト鍵として更新するようにしたので、鍵管理サーバ4が一括で全暗号通信装置3内部のマルチキャスト通信の暗号化及び復号化に使用するマルチキャスト鍵を設定変更することができる。
According to the first embodiment, the
第1の実施の形態によれば、マルチキャスト通信時に、通信データに含まれる所定データ範囲部分のペイロード部をマルチキャスト鍵で暗号化し、暗号化された所定データ範囲部分のペイロード部をマルチキャスト鍵で復号化するようにしたので、ペイロード部の一部だけを暗号化することになるため、暗号化処理部19及び復号化処理部20の処理負担を軽減することができる。
According to the first embodiment, at the time of multicast communication, the payload portion of the predetermined data range portion included in the communication data is encrypted with the multicast key, and the encrypted payload portion of the predetermined data range portion is decrypted with the multicast key. Since only a part of the payload portion is encrypted, the processing load on the
尚、上記第1の実施の形態においては、各暗号通信装置3に格納中の全暗号通信装置3共通のマルチキャスト鍵を新たなマルチキャスト鍵に更新するために、所定タイミング毎に鍵管理サーバ4から全暗号通信装置3へ通信アクセスし、鍵管理サーバ4から新たなマルチキャスト鍵となる鍵フォームを全暗号通信装置3に提供配信するようにしたが、例えば暗号通信装置3をマルチアクセスネットワーク2に追加接続するような場合、この追加接続した暗号通信装置3のアドレス情報を鍵管理サーバ4に登録しておく必要がある。
In the first embodiment, in order to update the multicast key common to all the
そこで、このような登録作業を改善すべく、各暗号通信装置3が共通タイミングで鍵管理サーバ4に通信アクセスし、この通信アクセスに応じて、鍵管理サーバ4が各暗号通信装置3にマルチキャスト鍵となる鍵フォームを提供配信するシステム構成にすれば、新たな暗号通信装置3を追加接続したとしても、鍵管理サーバ4に新たな暗号通信装置3のアドレス情報を登録する必要もなく、全暗号通信装置3内部のマルチキャスト鍵を更新することも可能である。
Therefore, in order to improve such registration work, each
また、上記第1の実施の形態においては、鍵管理サーバ4を使用して全暗号通信装置3内部のマルチキャスト鍵を新たなマルチキャスト鍵に更新するようにしたが、例えば暗号通信装置3毎に、マルチキャスト鍵テーブル15に格納中のマルチキャスト鍵を設定変更可能な管理端末装置を配置し、この管理端末装置でマルチキャスト鍵を変更するようにしても同様の効果が得られることは言うまでもない。
In the first embodiment, the
また、同様に、各暗号通信装置3が、図10及び図11に示すように、鍵番号22a毎に鍵フォーム22bを格納する鍵フォーム格納部22と、制御部21の全暗号通信装置3共通のタイミングに応じて、現在時刻及び所定プログラムに基づき鍵番号を算出し、この算出した鍵番号に対応する鍵フォームを鍵フォーム格納部22から選択する鍵フォーム選択部23と、この鍵フォーム選択部23にて選択した鍵フォームを、マルチキャスト鍵としてマルチキャスト鍵テーブル15に更新するマルチキャスト鍵更新部24とを備えるようにしても良く、この場合、各暗号通信装置3が同一の鍵番号毎に同一の鍵フォームを格納し、さらに時計を合わせて同一プログラムを使用することを前提にすれば、全暗号通信装置3が同一のタイミングでマルチキャスト鍵を新たなマルチキャスト鍵に更新することもできる。
Similarly, as shown in FIGS. 10 and 11, each
また、上記第1の実施の形態においては、暗号化処理部19及び復号化処理部20にて通信データのペイロード部の所定データ範囲部分を、マルチキャスト鍵を使用して暗号化又は復号化するようにしたが、図12及び図13に示すように、例えばマルチキャスト鍵を所定個数のキャスト鍵で構成し、各暗号通信装置3が、通信データに含まれるペイロード部を所定個数のデータ範囲に分割指定する範囲指定部と、この範囲指定部にて指定したデータ範囲毎にキャスト鍵を格納するキャスト鍵テーブル25とを備え、暗号化処理部19は、対向側暗号通信装置3への通信データを検出すると、この通信データに含まれるペイロード部のデータ範囲毎に、同データ範囲に対応したキャスト鍵をキャスト鍵テーブル25から順次読み出し、この順次読み出したキャスト鍵C5,C4、C6に基づき同データ範囲を順次暗号化すると共に、復号化処理部20は、対向側暗号通信装置3からの通信データを検出すると、この通信データに含まれるペイロード部のデータ範囲毎に、同データ範囲に対応したキャスト鍵C5,C4,C6をキャスト鍵テーブル25から順次読み出し、この順次読み出したキャスト鍵C5,C4,C6に基づき同データ範囲を順次復号化するようにしても良く、ペイロード部を複数のキャスト鍵で暗号化及び復号化するため、より一層、通信データのセキュリティ強化を図ることができる。
In the first embodiment, the
また、上記第1の実施の形態においては、マルチアクセスネットワーク2上のマルチキャスト通信の通信データに関わる暗号通信を例に挙げて説明したが、このマルチキャスト通信の他に、単一の暗号通信装置3間の通信、すなわちユニキャスト通信の通信データに関わる暗号通信についても適用可能であるため、その実施の形態につき、第2の実施の形態として説明する。
In the first embodiment, the encryption communication related to the communication data of the multicast communication on the
(実施の形態2)
図14は第2の実施の形態に関わる暗号通信装置3内部の概略構成を示すブロック図である。尚、第1の実施の形態を示す暗号通信システム1と同一の構成については同一符号を付すことで、その重複する構成及び動作の説明については省略する。
(Embodiment 2)
FIG. 14 is a block diagram showing a schematic configuration inside the
図14に示す暗号通信装置3Aと図2に示す暗号通信装置3とが異なるところは、マルチキャスト通信の暗号通信だけでなく、ユニキャスト通信の暗号通信にも対応可能なように、暗号通信装置3A内部に、ユニキャスト通信の暗号通信に使用するセッション鍵を、暗号通信装置3Aのアドレス情報毎に格納したセッション鍵テーブル51を備えた点にある。
The encryption communication device 3A shown in FIG. 14 differs from the
また、暗号通信装置3Aは、所定タイミングに応じて、アドレス情報管理部13に管理中の通信装置5のアドレス情報を対向側暗号通信装置3Aに通知するアドレス情報通知部52と、対向側暗号通信装置3A側のアドレス情報通知部52から対向側通信装置5のアドレス情報を受信すると、この対向側通信装置5のアドレス情報に対応付けてセッション鍵を格納すべく、セッション鍵テーブル51を更新するテーブル更新部53とを有している。
Further, the encryption communication device 3A has an address
つまり、セッション鍵テーブル51は、図15に示すように、対向側暗号通信装置3Aのアドレス情報15a毎にセッション鍵15bを格納すると共に、対向側暗号通信装置3Aに収容接続する対向側通信装置5のアドレス情報15a毎にセッション鍵15bを格納するものである。尚、対向側通信装置5のセッション鍵は、この対向側通信装置5を収容接続する対向側暗号通信装置3Aのセッション鍵と同一の鍵とし、例えば“B”の対向側暗号通信装置3Aのセッション鍵が“S1”の場合、この対向側暗号通信装置3Aに収容接続する“B1”及び“B2”の通信装置5のセッション鍵も“S1”となる。
That is, as shown in FIG. 15, the session key table 51 stores the session key 15b for each
従って、各暗号通信装置3Aでは、所定タイミングに応じて、自己に収容接続する通信装置5のアドレス情報を交換し、その結果、各暗号通信装置3Aでは、全暗号通信装置3Aに収容接続する全通信装置5のアドレス情報と、各通信装置5のアドレス情報毎に、同通信装置5のユニキャスト通信に使用するセッション鍵とをセッション鍵テーブル51に更新することになる。
Accordingly, each encryption communication device 3A exchanges address information of the
尚、例えば“A2”の通信装置5及び“C1”の通信装置5間でユニキャスト通信を実行する場合、“A2”の通信装置5を収容接続する“A”の暗号通信装置3Aは、図15(a)に示す“C1”の通信装置5に対応したセッション鍵S2を読み出し、“C1”の通信装置5を収容接続する“C”の暗号通信装置3Aは、図15(c)に示す“A2”の通信装置5に対応したセッション鍵S2を読み出すものである。
For example, when unicast communication is performed between the
暗号通信装置3Aの通信種別判定部17は、アドレス情報識別部16の識別結果に相当する送信先アドレスに基づき、この通信データの通信種別がマルチキャスト通信でないと判定されると、ユニキャスト通信であるか否かを判定するものである。
The communication
暗号通信装置3Aの暗号化処理部19は、通信種別判定部17にて通信データの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16の識別結果に相当する通信データの送信先アドレスに対応したセッション鍵をセッション鍵テーブル51から読み出し、この読み出したセッション鍵に基づき、この通信データを暗号化し、この暗号化した通信データを、ネットワーク用インタフェース11を通じて対向側暗号通信装置3Aに伝送するものである。
When the communication
暗号通信装置3Aの復号化処理部20は、通信種別判定部17にて通信データの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16の識別結果に相当する通信データの送信元アドレスに対応したセッション鍵をセッション鍵テーブル51から読み出し、この読み出したセッション鍵に基づき、この暗号化された通信データを復号化し、この復号化した通信データを、通信装置用インタフェース12を通じて通信装置5に伝送するものである。
When the communication
尚、請求項記載の暗号通信装置は暗号通信装置3A,セッション鍵格納手段はセッション鍵テーブル51、配下アドレス情報管理手段はアドレス情報管理部13、配下アドレス管理情報通知手段はアドレス情報通知部52、更新手段はテーブル更新部53に相当するものである。
The encrypted communication device described in the claims is the encryption communication device 3A, the session key storage means is the session key table 51, the subordinate address information management means is the address
次に第2の実施の形態を示す暗号通信システムの動作について説明する。 Next, the operation of the cryptographic communication system showing the second embodiment will be described.
例えば“A”の暗号通信装置3Aに収容接続する“A2”の通信装置5が“C”の暗号通信装置3Aに収容接続する“C2”の通信装置5とユニキャスト通信を実行する場合の動作について説明する。図16はマルチキャスト・ユニキャスト暗号化処理に関わる暗号通信装置3Aの処理動作を示すフローチャートである。
For example, an operation when the
図16において暗号通信装置3Aのアドレス情報識別部16は、ステップS11にて通信装置用インタフェース12を通じて通信装置5からの通信データを検出すると、ステップS12にて通信データのアドレス情報に基づき送信先アドレスを識別する。
In FIG. 16, when the address
暗号通信装置3Aの通信種別判定部17は、ステップS13にて通信データの送信先アドレスに基づき、この通信データの通信種別がマルチキャスト通信であるか否かを判定し、この通信データの通信種別がマルチキャスト通信であると判定されると、ステップS14乃至ステップS17の処理動作を実行することになるが、ステップS13にて通信データの通信種別がマルチキャスト通信でないと判定されると、通信データの通信種別がユニキャスト通信であるか否かを判定する(ステップS31)。
In step S13, the communication
暗号通信装置3Aの暗号化処理部19は、通信種別判定部17にて通信データの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16の識別結果に相当する通信データの送信先アドレスに対応したユニキャスト通信のセッション鍵をセッション鍵テーブル51から読み出し(ステップS32)、この読み出したセッション鍵に基づき、この通信データのペイロード部内の所定データ範囲部分を暗号化する(ステップS33)。
When the communication
暗号化処理部19は、この暗号化した通信データを、ネットワーク用インタフェース11を通じて、ユニキャスト通信相手先の対向側通信装置5を収容接続する対向側暗号通信装置3Aに伝送し(ステップS34)、この処理動作を終了する。
The
次に暗号化した通信データを受信する対向側暗号通信装置3Aの動作について説明する。図17はマルチキャスト・ユニキャスト復号化処理に関わる対向側暗号通信装置3Aの処理動作を示すフローチャートである。 Next, the operation of the opposite encryption communication apparatus 3A that receives encrypted communication data will be described. FIG. 17 is a flowchart showing the processing operation of the opposite encryption communication apparatus 3A related to the multicast / unicast decryption process.
図17において対向側暗号通信装置3Aのアドレス情報識別部16は、ステップS21にてネットワーク用インタフェース11を通じて暗号通信装置3Aからの暗号化された通信データを検出すると、ステップS22にて通信データのアドレス情報に基づき送信先アドレスを識別する。
In FIG. 17, when the address
対向側暗号通信装置3Aの通信種別判定部17は、ステップS23にて通信データの送信先アドレスに基づき、この通信データの通信種別がマルチキャスト通信であるか否かを判定し、この通信データの通信種別がマルチキャスト通信であると判定されると、ステップS24乃至ステップS27の処理動作を実行することになるが、ステップS23にて通信データの通信種別がマルチキャスト通信でないと判定されると、通信データの通信種別がユニキャスト通信であるか否かを判定する(ステップS41)。
In step S23, the communication
対向側暗号通信装置3Aの復号化処理部20は、通信種別判定部17にて通信データの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16の識別結果に相当する通信データの送信元アドレスに対応したユニキャスト通信のセッション鍵をセッション鍵テーブル51から読み出し(ステップS42)、この読み出したセッション鍵に基づき、この通信データのペイロード部内の暗号化された所定データ範囲部分を復号化する(ステップS43)。
When the communication
復号化処理部20は、この復号化した通信データを、通信装置用インタフェース12を通じて対向側通信装置5に伝送し(ステップS44)、この処理動作を終了する。
The
つまり、“A”の暗号通信装置3Aは、図18に示すように、“A2”の通信装置5から“C1”の通信装置5への通信データを検出すると、“C1”の通信装置5のユニキャスト通信に対応したセッション鍵S2に基づき通信データのペイロード部を暗号化し、この暗号化した通信データを“C”の対向側暗号通信装置3Aに配信し、“C”の暗号通信装置3Aは、この暗号化した“A2”の通信装置5からの通信データを検出すると、この“A2”の通信装置5のユニキャスト通信に対応したセッション鍵S2に基づき通信データのペイロード部を復号化し、この復号化した通信データを“C1”の通信装置5に配信することになる。
In other words, as shown in FIG. 18, the encryption communication device 3A of “A” detects communication data from the
その結果、“A”の暗号通信装置3Aの“A2”の通信装置5と“C”の対向側暗号通信装置3Aの“C1”の対向側通信装置5との間のユニキャスト通信の暗号通信を実現することができる。
As a result, encrypted communication of unicast communication between the
第2の実施の形態によれば、暗号通信装置3Aが、ユニキャスト通信の暗号化に使用するセッション鍵を、暗号通信装置3A及び通信装置5のアドレス情報毎に格納しておき、対向側暗号通信装置3Aへの通信データの通信種別がユニキャスト通信であると判定されると、この通信データの送信先アドレスを識別し、この送信先アドレスに対応したセッション鍵を読み出し、この読み出したセッション鍵に基づき、通信データを暗号化すると共に、対向側暗号通信装置3Aからの通信データの通信種別がユニキャスト通信であると判定されると、この通信データの送信元アドレス情報を識別し、この送信元アドレスに対応したセッション鍵を読み出し、この読み出したセッション鍵に基づき、通信データを復号化するようにしたので、マルチキャスト通信は勿論のこと、ユニキャスト通信の通信データについても通信装置5間の暗号通信を確立することができる。
According to the second embodiment, the encryption communication device 3A stores the session key used for encryption of unicast communication for each address information of the encryption communication device 3A and the
また、第2の実施の形態によれば、暗号通信装置3Aが、収容接続する通信装置5のアドレス情報を所定タイミングに応じて対向側暗号通信装置3Aに通知すると共に、対向側暗号通信装置3A側の対向側通信装置5のアドレス情報を受信すると、この対向側通信装置5のアドレス情報に対応付けて、この対向側通信装置5を収容接続する対向側暗号通信装置3Aのセッション鍵を格納すべく、セッション鍵テーブル51を更新するようにしたので、各暗号通信装置3A側では、対向暗号通信装置3Aに収容接続する通信装置5毎のセッション鍵を保持することができる。
Further, according to the second embodiment, the encryption communication device 3A notifies address information of the
また、第2の実施の形態によれば、ユニキャスト通信時に通信データに含まれる所定データ範囲部分のペイロード部をセッション鍵で暗号化し、暗号化された所定データ範囲部分のペイロード部をセッション鍵で復号化するようにしたので、ペイロード部の一部だけを暗号化することになるため、暗号化処理部19及び復号化処理部20の処理負担を軽減することができる。
Further, according to the second embodiment, the payload portion of the predetermined data range portion included in the communication data is encrypted with the session key during unicast communication, and the encrypted payload portion of the predetermined data range portion is encrypted with the session key. Since the decryption is performed, only a part of the payload portion is encrypted, so that the processing load on the
尚、上記第2の実施の形態においては、上記第1の実施の形態で説明したように、各暗号通信装置3A内部のマルチキャスト鍵テーブル15内のマルチキャスト鍵を新たなマルチキャスト鍵に更新するようにしたが、各暗号通信装置3A内部のセッション鍵テーブル51内の各暗号通信装置3A及び通信装置5のアドレス情報毎に格納したセッション鍵を新たなセッション鍵に更新するようにしても、同様の効果が得られることはいうまでもない。
In the second embodiment, as described in the first embodiment, the multicast key in the multicast key table 15 in each encryption communication device 3A is updated to a new multicast key. However, even if the session key stored for each address information of each encryption communication device 3A and
また、上記第2の実施の形態においては、アドレス情報通知部52を通じて収容接続する通信装置5のアドレス情報を対向側暗号通信装置3Aに通知するようにしたが、IKEプロトコルを使用して同アドレス情報を暗号化し、この暗号化したアドレス情報を対向側暗号通信装置3Aに通知するようにしても良く、対向側暗号通信装置3Aへのアドレス情報提供時のセキュリティ強化を図ることができる。
In the second embodiment, the address information of the
では、次に上記第1の実施の形態を示す暗号通信システム1を適用した映像配信システムの実施の形態を第3の実施の形態として説明する。
Next, an embodiment of a video distribution system to which the
(実施の形態3)
図19は第3の実施の形態を示す映像配信システム内部の概略構成を示すブロック図である。
(Embodiment 3)
FIG. 19 is a block diagram showing a schematic configuration inside the video distribution system according to the third embodiment.
図19に示す映像配信システム1Aは、複数のサービス映像を配信する映像配信センタ101と、映像配信センタ101から所望サービス映像の提供を受ける複数の拠点102と、映像配信センタ101及び拠点102にサービス映像の暗号化及び復号化に使用するマルチキャスト鍵を配信する鍵管理サーバ4Aとを有し、映像配信センタ101は、IP網2A経由で、特定グループ内の拠点102に対して、マルチキャスト通信でサービス映像を配信するものである。
A video distribution system 1A shown in FIG. 19 provides a
映像配信センタ101は、IP網2Aとの通信インタフェースを司るセンタ側ルータ103Aと、複数のサービス映像を格納したデータベース104と、このデータベース104内の複数のサービス映像から任意サービス映像を選択する映像配信サーバ機能を備え、この映像配信サーバ機能で選択したサービス映像を暗号化するセンタ側暗号通信装置3Bとを有し、センタ側暗号通信装置3Bは、映像配信サーバ機能にて選択したサービス映像を検出すると、このサービス映像を暗号化して特定グループの拠点102にマルチキャスト通信で配信するものである。
The
各拠点102は、IP網2Aとの通信インタフェースを司る拠点側ルータ103Bと、この拠点側ルータ103Bを通じて受信したマルチキャスト通信のサービス映像を復号化する拠点側暗号通信装置3Cと、この拠点側暗号通信装置3Cに収容接続する複数台の通信装置5Aとを有し、拠点側暗号通信装置3Cは、IP網2A経由で暗号化されたサービス映像をマルチキャスト通信で受信すると、この暗号化されたサービス映像を復号化し、この復号化したサービス映像を通信装置5Aに配信するものである。
Each
尚、例えば“B”の拠点102にある“B”の拠点側暗号通信装置3Cは、“B1”及び“B2”の拠点側通信装置5Aを、“C”の拠点102にある“C”の拠点側暗号通信装置3Cは、“C1”及び“C2”の拠点側通信装置5Aを、“D”の拠点102にある“D”の拠点側暗号通信装置3Cは、“D1”及び“D2”の拠点側通信装置5Aを収容接続するものである。
For example, the “B” site-side
図20はセンタ側暗号通信装置3B内部の概略構成を示すブロック図である。
FIG. 20 is a block diagram showing a schematic configuration inside the center side
図20に示すセンタ側暗号通信装置3Bは、センタ側ルータ103Aとの通信インタフェースを司るルータ用インタフェース11Bと、データベース104との通信インタフェースを司るデータベース用インタフェース12Bと、データベース104のアドレス情報を管理するアドレス情報管理部13Bと、サービス映像を識別するグループ番号毎に、同グループのサービス映像の暗号化に使用するマルチキャスト鍵を格納したマルチキャスト鍵テーブル15Bと、ルータ用インタフェース11Bを通じてセンタ側ルータ103AのIGMPスヌーピング処理の実行に応じて、グループ番号毎の通信装置5Aのアドレス情報を管理するグループ管理テーブル14Bと、サービス映像のマルチキャスト配信時に同グループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15Bから読み出し、この読み出したマルチキャスト鍵に基づき、サービス映像を暗号化する暗号化処理部19Bと、このセンタ側暗号通信装置3B全体を制御する制御部21Bとを有している。
The center side
尚、例えばサービス映像“1”はグループ番号“1”、サービス映像“2”はグループ番号“2”、サービス映像“3”はグループ番号“3”といったように、サービス映像単位でマルチキャスト通信グループを識別するグループ番号を付与するものとする。 For example, the service video “1” is a group number “1”, the service video “2” is a group number “2”, the service video “3” is a group number “3”, and the like. A group number for identification is given.
センタ側ルータ103Aは、IGMP/MLD等のマルチキャスト管理プロトコルを使用してセンタ側暗号通信装置3Bからのマルチキャストグループの参加表明(IGMPjoin)を検出すると、IGMPスヌーピング処理を通じてセンタ側暗号通信装置3Bのアドレス情報及び参加表明のマルチキャストグループのグループ番号を認識するものである。
When the center-
また、センタ側ルータ103Aは、ダイナミックルーティングプロトコルを使用して拠点側ルータ103B側の通信装置5Aからのマルチキャストグループの参加表明(IGMPjoin)を検出すると、IGMPスヌーピング処理を実行して通信装置5Aのアドレス情報及び参加表明のマルチキャストグループのグループ番号を認識すると共に、ダイナミックルーティングプロトコルを使用して同通信装置5A及びセンタ側暗号通信装置3B間のIP網2A上の配信経路を決定するものである。
Further, when the
グループ管理テーブル14Bは、図21に示すように、サービス映像14c毎に、このサービス映像の視聴グループ(マルチキャストグループ)を識別するグループ番号14dと、この視聴グループの対向側通信装置5Aのアドレス情報14eとを管理し、制御部21Bは、センタ側ルータ103AのIGMPスヌーピング処理の実行に応じて、グループ番号14d毎の通信装置5Aのアドレス情報を取得管理することになる。
As shown in FIG. 21, the group management table 14B includes, for each
マルチキャスト鍵テーブル15Bは、図22に示すように、グループ番号15c毎にマルチキャスト鍵15dを格納するものであって、制御部21Bは、IP網2A上の鍵管理サーバ4Aからグループ番号毎のマルチキャスト鍵を受信してテーブル更新するものである。
As shown in FIG. 22, the multicast key table 15B stores a multicast key 15d for each
暗号化処理部19Bは、サービス映像のマルチキャスト配信時に、同サービス映像に対応したグループ番号に対応するマルチキャスト鍵をマルチキャスト鍵テーブル15Bから読み出し、この読み出したマルチキャスト鍵に基づき、同グループのサービス映像を暗号化し、この暗号化したサービス映像を、ルータ側インタフェース11Aを通じて、同グループに属する通信装置5Aにマルチキャスト通信で配信するものである。
The
図23は拠点側暗号通信装置3C内部の概略構成を示すブロック図である。
FIG. 23 is a block diagram showing a schematic configuration inside the base-side
図23に示す拠点側暗号通信装置3Cは、拠点側ルータ103Bとの通信インタフェースを司る拠点側ルータ用インタフェース11Cと、収容接続する複数台の通信装置5Aとの通信インタフェースを司る通信装置用インタフェース12Cと、通信装置5Aのアドレス情報を管理し、通信装置5Aのアドレス毎に加入したグループ番号に対応した、同グループのサービス映像の復号化に使用するマルチキャスト鍵を格納した拠点側マルチキャスト鍵テーブル15Cと、マルチキャスト通信のサービス映像を受信すると、このサービス映像の送信先アドレスを識別する拠点側アドレス情報識別部16Cと、マルチキャスト通信のサービス映像を受信すると、このサービス映像に対応するグループ番号を識別する拠点側グループ識別部18Cと、この拠点側グループ識別部18Cの識別結果に相当するグループ番号に対応したマルチキャスト鍵を拠点側マルチキャスト鍵テーブル15Cから読み出し、この読み出したマルチキャスト鍵に基づき、暗号化されたサービス映像を復号化する復号化処理部20Cと、この拠点側暗号通信装置3C全体を制御する拠点側制御部21Cとを有している。
The site-side
拠点側マルチキャスト鍵テーブル15Cは、図24に示すように、通信装置5Aのアドレス情報15f毎に、同通信装置5Aの加入した視聴グループに対応するグループ番号15gと、同グループのサービス映像の復号化に使用するマルチキャスト鍵15hとを格納するものである。
As shown in FIG. 24, the base-side multicast key table 15C includes, for each
復号化処理部20Cは、拠点側ルータ103Bを通じてサービス映像のマルチキャスト通信を受信すると、このサービス映像のグループ番号に対応したマルチキャスト鍵を拠点側マルチキャスト鍵テーブル15Cから読み出し、この読み出したマルチキャスト鍵に基づき、暗号化されたサービス映像を復号化するものである。
When receiving the multicast communication of the service video through the
図25は鍵管理サーバ4A内部の概略構成を示すブロック図である。
FIG. 25 is a block diagram showing a schematic configuration inside the
図25に示す鍵管理サーバ4Aは、IP網2Aとの通信インタフェースを司るサーバ用インタフェース41Aと、複数個、例えば数千個の鍵フォームを格納した鍵フォーム格納部42Aと、所定タイミング毎に、鍵フォーム格納部41Aに格納中の複数の鍵フォームからグループ番号毎に鍵フォームを選択する鍵フォーム選択部43Aと、この鍵フォーム選択部43Aにて選択した鍵フォームをグループ番号単位で管理する鍵フォーム管理部44Aと、この鍵フォーム管理部44Aに管理中の鍵フォームをマルチキャスト鍵として、サーバ用インタフェース41Aを通じてセンタ側暗号通信装置3B及び拠点側暗号通信装置3Cにグループ番号単位で配信する鍵フォーム配信部45Aとを有している。
The
鍵フォーム配信部45Aは、サーバ用インタフェース41Aを通じて、鍵フォーム管理部45Aに管理中のグループ番号毎に、鍵フォームをセンタ側暗号通信装置3B及び拠点側暗号通信装置3Cに配信するものである。
The key
センタ側暗号通信装置3Bの制御部21Bは、鍵管理サーバ4Aからグループ番号に対応したマルチキャスト鍵を受信してマルチキャスト鍵テーブル15Bをテーブル更新するものである。
The
また、拠点側暗号通信装置3Cの拠点側制御部21Cは、鍵管理サーバ4Aから、自分の通信装置5Aの所属する視聴グループに対応したグループ番号のマルチキャスト鍵を受信すると、このマルチキャスト鍵を拠点側マルチキャスト鍵テーブル15C内にテーブル更新するものである。
When the base-
尚、請求項記載の暗号通信システムは映像配信システム1A、マルチアクセスネットワークはIP網2A、暗号通信装置はセンタ側暗号通信装置3B及び拠点側暗号通信装置3C、マルチキャスト鍵格納手段はマルチキャスト鍵テーブル15B及び拠点側マルチキャスト鍵テーブル15C、暗号化通信手段は暗号化処理部19B、復号化通信手段は復号化処理部20C、アドレス情報管理手段はアドレス情報管理部13B及び拠点側アドレス情報管理部13C、データ配信手段は通信装置用インタフェース12C、通信装置は通信装置5A、グループ情報格納手段はグループ管理テーブル14B、グループ識別手段は拠点側グループ識別部18C、鍵管理サーバは鍵管理サーバ4Aに相当するものである。
The encryption communication system described in the claims is the video distribution system 1A, the multi-access network is the
次に第3の実施の形態を示す映像配信システム1Aの動作について説明する。図26は初期状態下の映像配信システム1Aの状態を示す説明図である。 Next, the operation of the video distribution system 1A showing the third embodiment will be described. FIG. 26 is an explanatory diagram showing the state of the video distribution system 1A under the initial state.
初期状態下の映像配信システム1Aでは、拠点102側の通信装置5Aの使用者が映像配信システム1Aに未加入の状態、すなわち映像配信センタ101側で各拠点102の通信装置5Aへのサービス映像の配信をしていない状態である。
In the video distribution system 1A in the initial state, the user of the
尚、映像配信センタ101側のセンタ側暗号通信装置3Bのグループ管理テーブル14B及びマルチキャスト鍵テーブル15Bはデータ未格納状態、拠点102の拠点側暗号通信装置3Cの拠点側マルチキャスト鍵テーブル15Cは収容接続する通信装置5Aのアドレスのみが格納されている状態である。
Note that the group management table 14B and the multicast key table 15B of the center-side
また、映像配信センタ101のセンタ側ルータ103A及び各拠点102の拠点側ルータ103B同士で通信接続し、IP網2A上でIGMP/MLDのマルチキャスト管理プロトコルが動作している状態である。
Further, the
図27は映像配信サービス準備下の映像配信システム1Aの状態を示す説明図である。 FIG. 27 is an explanatory diagram showing the state of the video distribution system 1A under preparation for the video distribution service.
映像配信サービス準備下の映像配信システム1Aは、映像配信サービス開始の準備状態である。 The video distribution system 1A under preparation for the video distribution service is in a preparation state for starting the video distribution service.
映像配信センタ101側のセンタ側暗号通信装置3Bの制御部21Cは、サービス映像毎に、同サービス映像を識別するマルチキャスト配信グループのグループ番号をグループ管理テーブル15Bに更新する。
The
さらに、センタ側暗号通信装置3Bの制御部21Cは、グループ番号毎にマルチキャスト鍵を作成すべく、グループ毎に参加表明を示すIGMPjoinを、ルータ用インタフェース11Bを通じてセンタ側ルータ103Aに通知する。
Further, the
センタ側ルータ103Aは、センタ側暗号通信装置3Bからマルチキャスト配信の参加表明を示すIGMPjoinを検出すると、グループ番号毎にIGMPスヌーピング処理を実行する。
When the
センタ側暗号通信装置3Bの制御部21Bは、センタ側ルータ103AのIGMPスヌーピング処理を通じて参加表明のグループ番号を識別し、このグループ番号毎に、鍵管理サーバ4Aから鍵フォームを受信し、この鍵フォームをマルチキャスト鍵としてマルチキャスト鍵テーブル15Bに格納するものである。尚、鍵管理サーバ4Aでは、グループ番号毎に鍵フォームを選択し、この選択した鍵フォームを鍵フォーム管理部44Aにグループ番号単位で管理しているものである。
The
その結果、センタ側暗号通信装置3Bの制御部21Bは、サービス映像を識別するグループ番号毎に、同グループのサービス映像の暗号化に使用するマルチキャスト鍵をマルチキャスト鍵テーブル15Bに格納し、例えばグループ番号“1”はマルチキャスト鍵M1、グループ番号“2”はマルチキャスト鍵M2を格納しているものとする。
As a result, the
次に映像配信システム1Aの映像配信サービス準備後、拠点102側の通信装置5Aの使用者がデータベース104に格納中の複数のサービス映像から所望サービス映像の視聴手続を実行した場合の動作について説明する。図28は視聴手続時の映像配信システム1Bの状態を端的に示す説明図である。
Next, after the video distribution service of the video distribution system 1A is prepared, the operation when the user of the
各拠点102の通信装置5Aの使用者は、所望サービス映像を視聴したい場合、同サービス映像を識別するグループに参加する必要がある。
When the user of the
例えば“B1”の通信装置5Aの使用者がグループ番号“1”に参加する場合、“B”の拠点側暗号通信装置3Cは、“B1”の通信装置5Aからの所定操作に応じて、グループ番号“1”の参加表明を示すIGMPjoinを拠点側ルータ103B及びセンタ側ルータ103Aに通知する。
For example, when the user of the
センタ側ルータ103A及び拠点側ルータ103Bでは、“B”の拠点側暗号通信装置3Cを通じて“B1”の通信装置5AのIGMPjoinを検出すると、マルチキャストルーティングプロトコルでIP網2A上の配信経路を決定する。
When the
さらに、“B”の拠点側ルータ103Bは、“B”の拠点側暗号通信装置3Cからマルチキャスト配信のグループ番号“1”の参加表明を示すIGMPjoinを検出すると、IGMPスヌーピング処理を実行する。
Further, the
“B”の拠点側暗号通信装置3Cの拠点側制御部21Cは、“B”の拠点側ルータ103BのIGMPスヌーピング処理に応じて、参加表明のグループ番号“1”及び“B1”の通信装置5Aのアドレス情報を識別すると、“B1”の通信装置5Aのアドレス情報に対応付けてグループ番号“1”を拠点側マルチキャスト鍵テーブル15Cに格納する。
The base-
さらに拠点側制御部21Cは、鍵管理サーバ4Aから同グループ番号“1”に対応した鍵フォームを受信し、この鍵フォームを、通信装置5Aのアドレスに対応付けてグループ番号“1”のマルチキャスト鍵として拠点側マルチキャスト鍵テーブル15Cに格納する。尚、“B”の拠点側暗号通信装置3Cの拠点側マルチキャスト鍵テーブル15Cでは、“B1”の通信装置5Aのアドレスに対応付けて、グループ番号“1”のマルチキャスト鍵M1を格納することになる。
Further, the site-
さらに、センタ側ルータ103Aも同様に、“B”の拠点側暗号通信装置3Cからマルチキャスト配信のグループ番号“1”の参加表明を示すIGMPjoinを検出すると、IGMPスヌーピング処理を実行する。
Further, similarly, when the
センタ側暗号通信装置3Bの制御部21Bは、センタ側ルータ103AのIGMPスヌーピング処理に応じて、参加表明のグループ番号“1”及び“B1”の通信装置5Aのアドレス情報を識別すると、グループ管理テーブル14B内の同グループ番号“1”に対応付けて“B1”の通信装置5Aのアドレス情報を対向側アドレスとして格納する。
When the
この結果、“B1”の通信装置5Aの使用者は、グループ番号“1”のサービス映像の視聴手続が完了した状態となる。そして、センタ側暗号通信装置3Bのマルチキャスト鍵テーブル15Bのグループ番号“1”のマルチキャスト鍵と、“B1”の通信装置5Aを収容接続する“B”の拠点側暗号通信装置3C内の拠点側マルチキャスト鍵テーブル15Cの“B1”の通信装置に対応したグループ番号“1”のマルチキャスト鍵とは同一鍵M1となる。
As a result, the user of the
尚、他の通信装置5Aも上記同様の動作で所望のサービス映像の視聴手続を実行し、図29に示すように、例えば“D2”の通信装置5Aの使用者がグループ番号“3”のサービス映像の視聴手続を完了した場合、センタ側暗号通信装置3Bのグループ管理テーブル14Bでは、グループ番号“3”に対応付けて“D2”の通信装置5Aのアドレス情報を格納し、“D2”の通信装置5Aを収容接続する拠点側暗号通信装置3Cの拠点側マルチキャスト鍵テーブル15Cの“D2”の通信装置5Aに対応したグループ番号“3”のマルチキャスト鍵M3を格納するものである。
The
次にサービス映像の視聴手続完了後、映像配信センタ101から各拠点102内の各通信装置5Aへのサービス映像を配信する動作について説明する。図29はサービス映像配信時の映像配信システム1Bの状態を示す説明図である。
Next, an operation of distributing service video from the
図29に示すセンタ側暗号通信装置3Bが、グループ番号“1”のサービス映像を配信する場合、データベース用インタフェース12Bを通じて、データベース104からグループ番号“1”のサービス映像を検出すると、このサービス映像のグループ番号“1”及び、このグループ番号に対応した送信先アドレス(対向側アドレス)をグループ管理テーブル14Bから読み出す。
When the center side
センタ側暗号通信装置3Bの暗号化処理部19Bは、同サービス映像に対応したグループ番号“1”を識別すると、このグループ番号“1”に対応したマルチキャスト鍵M1をマルチキャスト鍵テーブル15Bから読み出し、この読み出したマルチキャスト鍵M1に基づきサービス映像のペイロード部分を暗号化し、ルータ用インタフェース11Bを通じて暗号化したサービス映像をマルチキャスト通信で送信先アドレス(対向側アドレス)宛の各通信装置5Aに配信する。尚、センタ側暗号通信装置3Bは、図29に示すグループ管理テーブル14Bを参照すると、例えばグループ番号“1”の場合、“B1”及び“C2”の2台の通信装置5Aにサービス映像をマルチキャスト配信することになる。
When identifying the group number “1” corresponding to the service video, the
例えばグループ番号“1”のサービス映像の視聴手続を完了した“B1”の通信装置5Aを収容接続する“B”の拠点側暗号通信装置3Cの拠点側アドレス情報識別部16Cでは、拠点ルータ用インタフェース11Cを通じてサービス映像を検出すると、このサービス映像の送信先アドレスを識別する。尚、送信先アドレスとして、“B1”及び“C2”の通信装置5Aのアドレスを識別することになる。
For example, the base router address
拠点側暗号通信装置3Cの拠点側グループ識別部18Cは、このサービス映像の送信先アドレスに基づき、このサービス映像に対応するグループ番号を識別する。尚、グループ番号は、グループ番号“1”を識別することになる。
The site-side
拠点側暗号通信装置3Cの復号化処理部20Cは、グループ番号に対応したマルチキャスト鍵を拠点側マルチキャスト鍵テーブル15Cから読み出し、この読み出したマルチキャスト鍵に基づき、暗号化されたサービス映像のペイロード部を復号化する。尚、拠点側暗号通信装置3Cは、図29に示す“B”の拠点側マルチキャスト鍵テーブル15Cを参照すると、“B1”の通信装置5A及びグループ番号“1”に対応したマルチキャスト鍵M1を読み出すことになる。
The
そして、復号化処理部20Cは、マルチキャスト鍵M1に基づきサービス映像のペイロード部を復号化すると、通信装置側インタフェース12Cを通じて、この復号化したサービス映像を“B1”の通信装置5Aを配信することになる。
When the
その結果、“B1”の通信装置5Aの使用者は、センタ側暗号通信装置3Bにて暗号化されたグループ番号“1”のサービス映像を視聴することができる。
As a result, the user of the
尚、同様に“C2”の通信装置5Aの使用者も、“C”の拠点側暗号通信装置3Cの拠点側マルチキャスト鍵テーブル15Cに格納中のグループ番号“1”に対応したマルチキャスト鍵M1を使用してセンタ側暗号通信装置3Bにて暗号化されたグループ番号“1”のサービス映像を視聴することができる。
Similarly, the user of the
次に通信装置5Aの視聴終了手続に関わる動作について説明する。
Next, operations related to the viewing end procedure of the
各拠点102の通信装置5Aの使用者は、視聴中のサービス映像の視聴を終了したい場合、同サービス映像を識別するグループから離脱する必要がある。
When the user of the
例えば“B1”の通信装置5Aの使用者がグループ番号“1”から離脱する場合、“B”の拠点側暗号通信装置3Cは、“B1”の通信装置5Aからの所定操作に応じて、グループ番号“1”のグループ離脱を示すIGMPLeaveを拠点側ルータ103B及びセンタ側ルータ103Aに通知する。
For example, when the user of the
センタ側ルータ103A及び拠点側ルータ103Bは、“B”の拠点側暗号通信装置3Cを通じて“B1”の通信装置5AのIGMPLeaveを検出すると、IGMPスヌーピング処理を実行し、同通信装置5Aの視聴中のサービス映像のグループ番号及び同通信装置5Aのアドレスを識別する。
When the
“B”の拠点側暗号通信装置3Cの拠点側制御部21Cは、“B”の拠点側ルータ103BのIGMPスヌーピング処理に応じてグループ番号“1”及び“B1”の通信装置5Aのアドレス情報を識別すると、拠点側マルチキャスト鍵テーブル15Cの“B1”の通信装置5Aに対応したグループ番号“1”を消去すると共に、鍵管理サーバ4Aに対して同グループ番号“1”に対応したマルチキャスト鍵M1を返却することになる。
The base
さらにセンタ側暗号通信装置3Bの制御部21Bは、センタ側ルータ103AのIGMPスヌーピング処理に応じてグループ番号“1”及び“B1”の通信装置5Aのアドレスを識別すると、グループ管理テーブル14Bのグループ番号“1”に対応した送信先アドレス(対向側アドレス)から“B1”の通信装置5Aのアドレスを消去することになる。
Further, when the
その結果、センタ側暗号通信装置3Bは、“B1”の通信装置5Aへのグループ番号“1”のサービス映像のマルチキャスト配信を停止し、“B1”の通信装置5Aの使用者は、サービス番号“1”のサービス映像を視聴することができなくなる。
As a result, the center side
このように第3の実施の形態によれば、通信装置5Aの使用者の所望サービス映像の視聴手続に応じてセンタ側暗号通信装置3Bのグループ管理テーブル14Bに同サービス映像のグループ番号に対応した送信先アドレス(対向側アドレス)に同通信装置5Aのアドレスを管理すると共に、同通信装置5Aを収容接続する拠点側暗号通信装置3Cの拠点側マルチキャスト鍵テーブル15C内に同通信装置5Aのアドレス毎に同サービス映像のグループ番号及びマルチキャスト鍵を格納し、センタ側暗号通信装置3Bが同サービス映像をマルチキャスト通信で各通信装置5Aに配信する場合、センタ側暗号通信装置3Bで同サービス映像のグループ番号に対応したマルチキャスト鍵に基づきサービス映像を暗号化し、同グループの通信装置5Aに配信すると共に、同通信装置5Aを収容接続する拠点側暗号通信装置3Cでは、暗号化されたサービス映像を同サービス映像のグループ番号に対応したマルチキャスト鍵に基づき復号化するようにしたので、複数台の通信装置5Aに配信するサービス映像のセキュリティ強化を図ることができる。
As described above, according to the third embodiment, the group number of the service video is associated with the group management table 14B of the center side
(実施の形態4)
次にマルチアクセスネットワーク2として広域ネットワークに適用した場合の暗号通信システムにつき、第4の実施の形態として説明する。図30は第4の実施の形態を示す広域ネットワーク用暗号通信システム内部の概略構成を示すブロック図である。
(Embodiment 4)
Next, an encryption communication system when applied to a wide area network as the
図30に示す広域ネットワーク用暗号通信システム1Bは、広域ネットワーク2Cと、この広域ネットワーク2Cと通信接続する複数台の暗号通信装置3Dと、この広域ネットワーク2Cと通信接続する鍵管理サーバ4Bと、暗号通信装置3Dに収容接続するパソコン等の通信装置5Bとを有し、複数台の暗号通信装置3Dの内、1台の暗号通信装置3Dが特定グループ内の複数台の暗号通信装置3Dと同時通信するマルチキャスト通信を実行した際に、暗号通信装置3D間の通信フレームを暗号化するものである。
A wide area network
“A”の暗号通信装置3Dは、“A1”及び“A2”の通信装置5Bを収容接続し、“B”の暗号通信装置3Dは、“B1”及び“B2”の通信装置5Bを、“C”の暗号通信装置3Dは、“C1”及び“C2”の通信装置5Bを、“D”の暗号通信装置3Dは、“D1”及び“D2”の通信装置5Bを夫々収容接続するものとする。
The “A”
マルチキャスト通信は、1台の暗号通信装置3Dが特定グループ内の複数台の暗号通信装置3Dと同時通信する方式に相当し、グループ単位で通信相手が異なり、例えばグループ“1”の場合、“A”の暗号通信装置3Dの通信装置5Bが“B”、“C”及び“D”の3台の暗号通信装置3Dの通信装置5Bに同時通信、グループ“2”の場合、“A”の暗号通信装置3Dの通信装置5Bが“B”の暗号通信装置3Dの通信装置5Bに同時通信、グループ“3”の場合、“C”の暗号通信装置3Dの通信装置5Bが“D”の暗号通信装置3Dの通信装置5Bに同時通信ということになる。
Multicast communication corresponds to a method in which one
図31は暗号通信装置3D内部の概略構成を示すブロック図である。
FIG. 31 is a block diagram showing a schematic configuration inside the
暗号通信装置3Dは、広域ネットワーク2Cとの通信インタフェースを司るネットワーク用インタフェース11Dと、収容接続する通信装置5Bとの通信インタフェースを司る通信装置用インタフェース12Dと、この収容接続する通信装置5BのIPアドレス及びMACアドレス等のアドレス情報を管理するアドレス情報管理部13Dと、グループを識別するグループ番号毎に、同グループに属する暗号通信装置3DのIPアドレス及びMACアドレスを格納したグループ管理テーブル14Dと、グループ番号毎に、同グループに関わる通信フレームの暗号化及び復号化に使用するマルチキャスト鍵を格納したマルチキャスト鍵テーブル15Dと、通信装置用インタフェース12Dを通じて通信装置5Bからの通信フレーム又はネットワーク用インタフェース11Dを通じて対向側暗号通信装置3Dからの通信フレームを検出すると、この通信フレームに含まれるIPアドレス及びMACアドレスを識別するアドレス情報識別部16Dと、このアドレス情報識別部16Dの識別結果に基づき、この通信フレームの通信種別を判定する通信種別判定部17Dと、この通信種別判定部17Dにて通信フレームの通信種別がマルチキャスト通信であると判定されると、このアドレス情報識別部16Dの識別結果に基づき、この通信フレームのグループ番号を識別するグループ識別部18Dと、このグループ識別部18Dの識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15Dから読み出し、この読み出したマルチキャスト鍵に基づき、通信フレームを暗号化する暗号化処理部19Dと、グループ識別部18Dの識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15Dから読み出し、この読み出したマルチキャスト鍵に基づき、この通信フレームを復号化する復号化処理部20Dと、この暗号通信装置3D全体を制御する制御部21Dとを有している。
The
グループ管理テーブル14Dは、図32に示すように、マルチキャスト通信のグループを識別するグループ番号14g毎に、同グループに所属する暗号通信装置3Dのアドレス情報14hを格納するものであり、例えばグループ番号“1”には、“A”,“B”,“C”,“D”の暗号通信装置3DのMACアドレス及びIPアドレスを格納しているものとする。
As shown in FIG. 32, the group management table 14D stores address
マルチキャスト鍵テーブル15Dは、図33に示すように、グループ番号15j毎に、同グループの通信フレームの暗号化及び復号化に使用するマルチキャスト鍵15kを格納するものであり、例えばグループ番号“1”には、マルチキャスト鍵M1を格納しているものとする。
As shown in FIG. 33, the multicast key table 15D stores, for each
アドレス情報識別部16Dは、通信装置用インタフェース12Dを通じて通信装置5Bからの通信フレームを検出すると、この通信フレームのヘッダ部分にあるMACアドレスに基づき送信先MACアドレスを識別すると共に、ネットワーク用インタフェース11Dを通じて対向側暗号通信装置3Dの対向側通信装置5Bからの通信フレームを検出すると、この通信フレームのヘッダ部分にあるMACアドレスに基づき送信先MACアドレスを識別するものである。
When the address
通信種別判定部17Dは、アドレス情報識別部16Dの識別結果に基づき、この通信フレームの通信種別がマルチキャスト通信であるか否かを判定するものである。
The communication
グループ識別部18Dは、通信装置用インタフェース12Dを通じて通信装置5Bからの通信フレームの場合、通信種別判定部17Dにて通信フレームの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14Dのテーブル内容に基づき、この通信フレームの送信先MACアドレスに対応したマルチキャスト通信グループのグループ番号を識別すると共に、ネットワーク用インタフェース11Dを通じて対向側暗号通信装置3Dからの通信フレームの場合、通信種別判定部17Dにて通信フレームの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14Dのテーブル内容に基づき、この通信フレームの送信先MACアドレスに対応したマルチキャスト通信グループのグループ番号を識別するものである。
In the case of a communication frame from the
暗号化処理部19Dは、通信装置用インタフェース12Dを通じて通信装置5Bからの通信フレームの場合、通信種別判定部17Dにて通信フレームの通信種別がマルチキャスト通信であると判定されると、グループ識別部18Dの識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15Dから読み出し、この読み出したマルチキャスト鍵に基づき、この通信フレームを暗号化し、この暗号化した通信フレームを、ネットワーク用インタフェース11Dを通じて対向側暗号通信装置3Dに伝送するものである。
In the case of a communication frame from the
復号化処理部20Dは、ネットワーク用インタフェース11Dを通じて対向側暗号通信装置3Dからの通信フレームの場合、グループ識別部18Dの識別結果に相当するグループ番号に対応したマルチキャスト鍵をマルチキャスト鍵テーブル15Dから読み出し、この読み出したマルチキャスト鍵に基づき、この通信フレームを復号化し、この復号化した通信フレームを、通信装置用インタフェース12Dを通じて通信装置5Bに伝送するものである。
In the case of a communication frame from the opposite
さらに暗号通信装置3Dは、ユニキャスト通信の暗号通信にも対応可能にすべく、ユニキャスト通信の暗号通信に使用するセッション鍵を、暗号通信装置3DのMACアドレス毎に格納したセッション鍵テーブル51Dと、所定タイミングに応じて、アドレス情報管理部13Dに管理中の通信装置5Bのアドレス情報を対向側暗号通信装置3Dに通知するアドレス情報通知部52Dと、対向側暗号通信装置3D側のアドレス情報通知部52Dから対向側通信装置5Bのアドレス情報を受信すると、この対向側通信装置5Bのアドレス情報に対応付けてセッション鍵を格納すべく、セッション鍵テーブル51Dを更新するテーブル更新部53Dとを有している。
Furthermore, the
つまり、セッション鍵テーブル51Dは、図34に示すように、対向側暗号通信装置3DのMACアドレス51c毎にセッション鍵51dを格納すると共に、対向側暗号通信装置3Dに収容接続する対向側通信装置5BのMACアドレス51c毎にセッション鍵51dを格納するものである。尚、対向側通信装置5Bのセッション鍵は、この対向側通信装置5Bを収容接続する対向側暗号通信装置3Dのセッション鍵と同一の鍵とし、例えば“B”の対向側暗号通信装置3Dのセッション鍵が“S1”の場合、この対向側暗号通信装置3Dに収容接続する“B1”及び“B2”の通信装置5Bのセッション鍵も“S1”となる。
That is, as shown in FIG. 34, the session key table 51D stores the session key 51d for each
従って、各暗号通信装置3Dでは、所定タイミングに応じて、自己に収容接続する通信装置5Bのアドレス情報を交換し、その結果、各暗号通信装置3Dでは、全暗号通信装置3Dに収容接続する全通信装置5BのMACアドレス及び、各通信装置5BのMACアドレス毎に、同通信装置5Bのユニキャスト通信に使用するセッション鍵とをセッション鍵テーブル51Dに格納することになる。
Accordingly, each
尚、例えば“A2”の通信装置5B及び“C1”の通信装置5B間でユニキャスト通信を実行する場合、“A2”の通信装置5Bを収容接続する“A”の暗号通信装置3Dは、図34(a)に示す“C1”の通信装置5Bに対応したセッション鍵S2を読み出し、“C1”の通信装置5Bを収容接続する“C”の暗号通信装置3Dは、図34(c)に示す“A2”の通信装置5Bに対応したセッション鍵S2を読み出すものである。
For example, when performing unicast communication between the
暗号通信装置3Dの通信種別判定部17Dは、アドレス情報識別部16Dの識別結果に基づき、この通信フレームの通信種別がマルチキャスト通信でないと判定されると、ユニキャスト通信であるか否かを判定するものである。
The communication
暗号通信装置3Dの暗号化処理部19Dは、通信種別判定部17Dにて通信フレームの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16Dの識別結果に相当する通信フレームの送信先MACアドレスに対応したセッション鍵をセッション鍵テーブル51Dから読み出し、この読み出したセッション鍵に基づき、この通信フレームを暗号化し、この暗号化した通信フレームを、ネットワーク用インタフェース11Dを通じて対向側暗号通信装置3Dに伝送するものである。
When the communication
暗号通信装置3Dの復号化処理部20Dは、通信種別判定部17Dにて通信フレームの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16Dの識別結果に相当する通信フレームの送信元MACアドレスに対応したセッション鍵をセッション鍵テーブル51Dから読み出し、この読み出したセッション鍵に基づき、この暗号化された通信フレームを復号化し、この復号化した通信フレームを、通信装置用インタフェース12Dを通じて通信装置5Bに伝送するものである。
When the communication
図35は暗号通信装置3Dに収容接続する通信装置5B内部の概略構成を示すブロック図である。
FIG. 35 is a block diagram showing a schematic configuration inside the
図35に示す通信装置5Bは、例えばパソコンで構成し、暗号通信装置3Dの通信装置用インタフェース12Dに通信フレームを送信するフレーム送信部31Bと、暗号通信装置3Dの通信装置用インタフェース12Dからの通信フレームを受信するフレーム受信部32Bと、このフレーム受信部32Bにて受信した通信フレームを出力するデータ出力部33Bと、この通信装置5B全体を制御する通信装置側制御部34Bとを有し、フレーム送信部31B及びフレーム受信部32Bは、暗号通信装置3D及び対向側暗号通信装置3Dを通じて、対向側暗号通信装置3Dに収容接続する対向側通信装置5Bとの間で通信フレームを送受信するものである。
The
暗号通信装置3D内部の制御部21Dは、鍵管理サーバ4Bからのグループ番号毎の鍵フォームを受信すると、マルチキャスト鍵テーブル51Dに記憶中のグループ番号毎に鍵フォームを新たなマルチキャスト鍵として記憶更新するものである。
When receiving the key form for each group number from the
また、制御部21Dは、暗号化処理部19Dにて暗号化する対象である、通信フレームのペイロード部のデータ範囲を指定するデータ範囲指定部を備えているものである。尚、データ範囲指定部にて指定したデータ範囲は全暗号通信装置3D共通とするものである。
Further, the
暗号化処理部19Dは、対向側暗号通信装置3Dへの通信フレームを検出すると、この通信フレームのペイロード部内の所定データ範囲部分を、マルチキャスト鍵を使用して暗号化するものである。また、復号化処理部20Dは、対向側暗号通信装置3Dからの暗号化された通信フレームを検出すると、この通信フレームの暗号化された所定データ範囲部分を、マルチキャスト鍵を使用して復号化するものである。
When the
尚、請求項記載の暗号通信システムは広域ネットワーク用暗号通信システム1B、マルチアクセスネットワークは広域ネットワーク2C、暗号通信装置は暗号通信装置3D、マルチキャスト鍵格納手段はマルチキャスト鍵テーブル15D、暗号化通信手段は暗号化処理部19D、復号化通信手段は復号化処理部20D、アドレス情報管理手段はアドレス情報管理部13D、データ配信手段は通信装置用インタフェース12D、通信装置は通信装置5B、データ送信手段はフレーム送信部31D、データ受信手段はフレーム受信部32D、グループ情報格納手段はグループ管理テーブル14D、アドレス情報識別手段はアドレス情報識別部16D、グループ識別手段はグループ識別部18D、鍵管理サーバは鍵管理サーバ4B、範囲指定手段はデータ範囲指定部、セッション鍵格納手段はセッション鍵テーブル51D、配下アドレス情報管理手段はアドレス情報管理部13D、配下アドレス管理情報通知手段はアドレス情報通知部52D、更新手段はテーブル更新部53D、マルチキャスト鍵更新手段は制御部21Dに相当するものである。
The encryption communication system according to the claims is the wide area network
次に第4の実施の形態を示す広域ネットワーク用暗号通信システム1Bの動作について説明する。
Next, the operation of the wide area network
例えば“A”の暗号通信装置3Dに収容接続する“A1”の通信装置5Bがグループ番号“1”のマルチキャスト通信を実行する場合の動作について説明する。図36はマルチキャスト・ユニキャスト暗号化処理に関わる暗号通信装置3Dの処理動作を示すフローチャートである。
For example, an operation when the
暗号通信装置3Dのアドレス情報識別部16Dは、通信装置用インタフェース12Dを通じて通信装置5Bからの通信フレームを検出したか否かを判定する(ステップS51)。
The address
アドレス情報識別部16Dは、通信装置用インタフェース12Dを通じて通信装置5Bからの通信フレームを検出すると、この通信フレームのヘッダ部にあるアドレス情報に基づき送信先MACアドレスを識別する(ステップS52)。
When the address
暗号通信装置3Dの通信種別判定部17Dは、この通信フレームの送信先MACアドレスに基づき、この通信フレームの通信種別がマルチキャスト通信であるか否かを判定する(ステップS53)。
The communication
暗号通信装置3Dのグループ識別部18Dは、通信種別判定部17Dにて通信フレームの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14Dのテーブル内容に基づき、この通信フレームの送信先MACアドレスに対応したマルチキャスト通信グループのグループ番号を識別する(ステップS54)。
When the communication
暗号通信装置3Dの暗号化処理部19Dは、グループ識別部18Dにて識別した同通信フレームのグループ番号に対応するマルチキャスト鍵をマルチキャスト鍵テーブル15Dから読み出し(ステップS55)、この読み出したマルチキャスト鍵に基づき、この通信フレームのペイロード部内の所定データ範囲部分を暗号化する(ステップS56)。
The
暗号化処理部19Dは、この暗号化した通信フレームを、ネットワーク用インタフェース11Dを通じて、広域ネットワーク2C経由でマルチキャスト通信相手先の対向側暗号通信装置3Dに伝送し(ステップS57)、この処理動作を終了する。尚、マルチキャスト通信相手先の対向側暗号通信装置3Dは、グループ番号“1”のマルチキャスト通信の場合、“B”、“C”及び“D”の暗号通信装置3Dに相当するものである。
The
また、暗号通信装置3Dのアドレス情報識別部16Dは、ステップS51にて通信装置5Bからの通信フレームを検出したのでなければ、この処理動作を終了する。
Also, the address
また、暗号通信装置3Dの通信種別判定部17Dは、ステップS53にて通信フレームの送信先MACアドレスに基づき、この通信フレームの通信種別がマルチキャスト通信でないと判定されると、通信フレームの通信種別がユニキャスト通信であるか否かを判定する(ステップS58)。
If the communication
暗号通信装置3Dの暗号化処理部19Dは、通信種別判定部17Dにて通信フレームの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16Dの識別結果に相当する通信フレームの送信先MACアドレスに対応したユニキャスト通信のセッション鍵をセッション鍵テーブル51Dから読み出し(ステップS59)、この読み出したセッション鍵に基づき、この通信フレームのペイロード部内の所定データ範囲部分を暗号化する(ステップS60)。
When the communication
暗号化処理部19Dは、この暗号化した通信フレームを、ネットワーク用インタフェース11Dを通じて、ユニキャスト通信相手先の対向側通信装置5Bを収容接続する対向側暗号通信装置3Dに伝送し(ステップS61)、この処理動作を終了する。
The
暗号通信装置3Dの通信種別判定部17Dは、ステップS53にて通信フレームの送信先MACアドレスに基づき、この通信フレームの通信種別がユニキャスト通信でないと判定されると、この処理動作を終了する。
If it is determined in step S53 that the communication type of the communication frame is not unicast communication, the communication
次に暗号化された通信フレームを受信する対向側暗号通信装置3Dの動作について説明する。図37はマルチキャスト・ユニキャスト復号化処理に関わる対向側暗号通信装置3D内部の処理動作を示すフローチャートである。
Next, the operation of the opposite side
図37において対向側暗号通信装置3Dのアドレス情報識別部16Dは、ネットワーク用インタフェース11Dを通じて暗号通信装置3Dからの暗号化された通信フレームを検出したか否かを判定する(ステップS71)。
In FIG. 37, the address
アドレス情報識別部16Dは、ネットワーク用インタフェース11Dを通じて暗号通信装置3Dからの暗号化された通信フレームを検出すると、この通信フレームのヘッダ部にあるアドレス情報に基づき送信先MACアドレスを識別する(ステップS72)。
When the address
対向側暗号通信装置3Dの通信種別判定部17Dは、この通信フレームの送信先MACアドレスに基づき、この通信フレームの通信種別がマルチキャスト通信であるか否かを判定する(ステップS73)。
The communication
対向側暗号通信装置3Dのグループ識別部18Dは、通信種別判定部17Dにて通信フレームの通信種別がマルチキャスト通信であると判定されると、グループ管理テーブル14Dのテーブル内容に基づき、この通信フレームの送信先MACアドレスに対応したマルチキャスト通信グループのグループ番号を識別する(ステップS74)。
When the communication
対向側暗号通信装置3Dの復号化処理部20Dは、グループ識別部18Dにて識別した同通信フレームのグループ番号に対応するマルチキャスト鍵をマルチキャスト鍵テーブル15Dから読み出し(ステップS75)、この読み出したマルチキャスト鍵に基づき、この通信フレームのペイロード部内の暗号化された所定データ範囲部分を復号化する(ステップS76)。
The
復号化処理部20Dは、この復号化した通信フレームを、通信装置用インタフェース12Dを通じて対向側通信装置5Bに伝送し(ステップS77)、この処理動作を終了する。
The
その結果、“A”の暗号通信装置3D側の“A1”の通信装置5Bと“B”,“C”,“D”の対向側暗号通信装置3D側の対向側通信装置5Bとの間のマルチキャスト通信の暗号通信を実現することができる。
As a result, between the
また、対向側暗号通信装置3Dのアドレス情報識別部16Dは、ステップS71にて暗号通信装置3Dからの暗号化された通信フレームを検出したのでなければ、この処理動作を終了する。
Further, the address
対向側暗号通信装置3Dの通信種別判定部17Dは、ステップS73にて通信フレームの送信先MACアドレスに基づき、この通信フレームの通信種別がマルチキャスト通信でないと判定されると、通信フレームの通信種別がユニキャスト通信であるか否かを判定する(ステップS78)。
If the communication
対向側暗号通信装置3Dの復号化処理部20Dは、通信種別判定部17Dにて通信フレームの通信種別がユニキャスト通信であると判定されると、アドレス情報識別部16Dの識別結果に相当する通信フレームの送信元MACアドレスに対応したユニキャスト通信のセッション鍵をセッション鍵テーブル51Dから読み出し(ステップS79)、この読み出したセッション鍵に基づき、この通信フレームのペイロード部内の暗号化された所定データ範囲部分を復号化する(ステップS80)。
When the communication
復号化処理部20Dは、この復号化した通信フレームを、通信装置用インタフェース12Dを通じて対向側通信装置5Bに伝送し(ステップS81)、この処理動作を終了する。
The
その結果、“A”の暗号通信装置3Dの“A2”の通信装置5Bと“C”の対向側暗号通信装置3Dの“C1”の対向側通信装置5Bとの間のユニキャスト通信の暗号通信を実現することができる。
As a result, the encryption communication of the unicast communication between the
また、対向側暗号通信装置3Dは、ステップS78にて通信フレームの通信種別がユニキャスト通信でないと判定されると、この処理動作を終了する。
On the other hand, if it is determined in step S78 that the communication type of the communication frame is not unicast communication, the opposite side
第4の実施の形態によれば、各暗号通信装置3Dが、マルチキャスト通信グループを識別するグループ番号毎にマルチキャスト鍵を格納しておき、対向側暗号通信装置3Dへの通信フレームを検出して、この通信フレームの通信種別がマルチキャスト通信であると判定されると、この通信フレームのマルチキャスト通信グループのグループ番号を識別し、このグループ番号に対応したマルチキャスト鍵に基づき、通信フレームを暗号化すると共に、対向側暗号通信装置3Dからの通信フレームを検出して、この通信フレームの通信種別がマルチキャスト通信であると判定されると、この通信フレームのマルチキャスト通信グループのグループ番号を識別し、このグループ番号に対応したマルチキャスト鍵に基づき、暗号化された通信フレームを復号化するようにしたので、広域ネットワーク2C上でも、暗号通信装置3Dを使用してマルチキャスト通信に関わる通信装置5B間の通信フレームのセキュリティ強化を図ることができる。
According to the fourth embodiment, each
第4の実施の形態によれば、暗号通信装置3Dに収容接続する通信装置5Bが、暗号通信装置3D及び対向側暗号通信装置3Dを通じて広域ネットワーク2C経由で対向側暗号通信装置3Dに収容接続する対向側通信装置5Bとの間で通信フレームを送受信するようにしたので、暗号通信機能を備えていない通信装置5Bであっても、暗号通信装置3Dを使用して通信装置5B間の暗号通信を確立することができる。
According to the fourth embodiment, the
第4の実施の形態によれば、暗号通信装置3Dが、ユニキャスト通信の暗号化に使用するセッション鍵を、暗号通信装置3D及び通信装置5Bのアドレス情報毎に格納しておき、対向側暗号通信装置3Dへの通信フレームの通信種別がユニキャスト通信であると判定されると、この通信フレームの送信先MACアドレスを識別し、この送信先MACアドレスに対応したセッション鍵を読み出し、この読み出したセッション鍵に基づき、通信フレームを暗号化すると共に、対向側暗号通信装置3Dからの通信フレームの通信種別がユニキャスト通信であると判定されると、この通信フレームの送信元MACアドレスを識別し、この送信元MACアドレスに対応したセッション鍵を読み出し、この読み出したセッション鍵に基づき、通信フレームを復号化するようにしたので、マルチキャスト通信は勿論のこと、ユニキャスト通信の通信フレームについても通信装置5B間の暗号通信を確立することができる。
According to the fourth embodiment, the
また、第4の実施の形態によれば、暗号通信装置3Dが、収容接続する通信装置5Bのアドレス情報を所定タイミングに応じて対向側暗号通信装置3Dに通知すると共に、対向側暗号通信装置3D側の対向側通信装置5Bのアドレス情報を受信すると、この対向側通信装置5Bのアドレス情報に対応付けて、この対向側通信装置5Bを収容接続する対向側暗号通信装置3Dのセッション鍵を格納すべく、セッション鍵テーブル51Dを更新するようにしたので、各暗号通信装置3D側では、対向暗号通信装置3Dに収容接続する通信装置5B毎のセッション鍵を保持することができる。
In addition, according to the fourth embodiment, the
尚、上記第4の実施の形態においては、広域ネットワーク2C上で暗号通信装置3D側の通信装置5Bが特定グループ内の対向側通信装置5Bにマルチキャスト通信で通信フレームを暗号通信した場合、特定グループに対応したマルチキャスト鍵を使用して通信フレームのペイロード部の暗号通信を実行すると共に、暗号通信装置3D側の通信装置5Bが対向側通信装置5Bにユニキャスト通信で通信フレームを暗号通信した場合、対向側通信装置5BのMACアドレスに対応したセッション鍵を使用して通信フレームのペイロード部の暗号通信を実行するようにしたが、例えば通信装置5B及び対向側通信装置5B間の通信開始に応じて通信装置5Bからブロードキャスト通信で対向側通信装置5BにMACアドレスの問い合わせ要求に相当するARP要求を実行する場合、ブロードキャスト通信に対応したマルチキャスト鍵を使用し、対向側通信装置5BからARP要求に対応するARP応答を通信装置5Bにユニキャスト通信で実行する場合、このユニキャスト通信の通信装置5Bのセッション鍵を使用して暗号通信を実行するようにしても、通信開始初期動作の通信を暗号化することで、より一層のセキュリティ強化を図ることができる。
In the fourth embodiment, when the
また、上記第4の実施の形態においては、図38に示すように、通信フレームのペイロード部をマルチキャスト鍵又はセッション鍵に基づき暗号化及び復号化するようにしたが、通信フレーム内のVLANタグを検出すると、VLANタグを暗号化又は復号化の対象とせずにスキップし、Type/Lengthフィールドの次から続く、ペイロード部を暗号化フィールドとして暗号化又は復号化するようにしても良く、使用する回線サービスに応じて暗号化フィールドを適宜変更することも可能である。また、Type/Lengthフィールドは、一部を暗号化の対象とするか否かを選択できるようにしてもよい。 In the fourth embodiment, as shown in FIG. 38, the payload portion of the communication frame is encrypted and decrypted based on the multicast key or the session key. However, the VLAN tag in the communication frame is If detected, the VLAN tag may be skipped without being encrypted or decrypted, and the payload part that follows the Type / Length field may be encrypted or decrypted as an encrypted field. It is also possible to appropriately change the encryption field according to the service. In addition, it may be possible to select whether or not a part of the Type / Length field is to be encrypted.
また、図39に示すように、通信フレームの先頭からペイロード部の先頭までの間隔(バイト数)が明らかな場合には、所定バイト数をオフセット値として設定し、ペイロード部の先頭から暗号化又は復号化するようにしても、同様の効果が得られることは言うまでもない。 Also, as shown in FIG. 39, when the interval (number of bytes) from the beginning of the communication frame to the beginning of the payload portion is clear, a predetermined number of bytes is set as an offset value, It goes without saying that the same effect can be obtained even if decoding is performed.
本発明の暗号通信システムによれば、暗号通信装置が、マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、対向側暗号通信装置への通信データを検出すると、マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、マルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信装置間の通信データのセキュリティ強化を図ることができるため、例えばサービス映像の暗号化を要する映像配信システムに有用である。 According to the encryption communication system of the present invention, when the encryption communication device stores a multicast key used for encryption of communication data related to multicast communication and detects communication data to the opposite encryption communication device, the multicast key And encrypting the communication data, transmitting the encrypted communication data to the opposite encryption communication device, and detecting the encrypted communication data by the encryption communication means of the opposite encryption communication device. Since the encrypted communication data is decrypted on the opposite encryption communication device side based on the multicast key, not only the public service network capable of multicast communication expected in the future but also the multicast communication is possible in the present situation Even for multi-access networks such as IP-VPN, use cryptographic communication devices. Since it is possible to enhance security of communication data between the communication device according to the multicast communication, it is useful for video distribution system that requires encryption of example service video.
また、本発明の暗号通信装置によれば、マルチキャスト通信に関わる通信データの暗号化に使用するマルチキャスト鍵を格納しておき、対向側暗号通信装置への通信データを検出すると、マルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、マルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化するようにしたので、将来期待されるマルチキャスト通信可能な公共サービスネットワークは勿論のこと、現状でもマルチキャスト通信可能なIP−VPN等のマルチアクセスネットワークであっても、暗号通信装置を使用してマルチキャスト通信に関わる通信データのセキュリティ強化を図ることができるため、例えばサービス映像の暗号化を要する映像配信システムに使用する暗号通信装置に有用である。 Further, according to the encryption communication device of the present invention, a multicast key used for encryption of communication data related to multicast communication is stored, and when communication data to the opposite encryption communication device is detected, based on the multicast key, When the communication data is encrypted, the encrypted communication data is transmitted to the opposite side encryption communication device, and the encrypted communication data of the opposite side encryption communication device is detected, the multicast key is detected. The encrypted communication data is decrypted on the opposite side encryption communication device side based on the IP- Even in a multi-access network such as VPN, a multicast communication device can be used for multicasting. Since it is possible to enhance security of the communication data relating to communications, for example useful in cryptographic communication device for use in video distribution system that requires cryptographic service video.
1 暗号通信システム
1A 映像配信システム(暗号通信システム)
1B 広域ネットワーク用暗号通信システム(暗号通信システム)
2 マルチアクセスネットワーク
2A IP網(マルチアクセスネットワーク)
2C 広域ネットワーク(マルチアクセスネットワーク)
3 暗号通信装置
3A 暗号通信装置
3B センタ側暗号通信装置(暗号通信装置)
3C 拠点側暗号通信装置(暗号通信装置)
3D 暗号通信装置
4 鍵管理サーバ
4A 鍵管理サーバ
4B 鍵管理サーバ
5 通信装置
5A 通信装置
5B 通信装置
12 通信装置用インタフェース(データ配信手段)
12C 通信装置用インタフェース(データ配信手段)
12D 通信装置用インタフェース(データ配信手段)
13 アドレス情報管理部(配下アドレス情報管理手段)
13B アドレス情報管理部(配下アドレス情報管理手段)
13C 拠点側アドレス情報管理部(配下アドレス情報管理手段)
13D アドレス情報管理部(配下アドレス情報管理手段)
14 グループ管理テーブル(グループ情報格納手段)
14B グループ管理テーブル(グループ情報格納手段)
14D グループ管理テーブル(グループ情報格納手段)
15 マルチキャスト鍵テーブル(マルチキャスト鍵格納手段)
15B マルチキャスト鍵テーブル(マルチキャスト鍵格納手段)
15C 拠点側マルチキャスト鍵テーブル(マルチキャスト鍵格納手段)
15D マルチキャスト鍵テーブル(マルチキャスト鍵格納手段)
16 アドレス情報識別部(アドレス情報識別手段)
16D アドレス情報識別部(アドレス情報識別手段)
18 グループ識別部(グループ識別手段)
18C 拠点側グループ識別部(グループ識別手段)
18D グループ識別部(グループ識別手段)
19 暗号化処理部(暗号化通信手段)
19B 暗号化処理部(暗号化通信手段)
19D 暗号化処理部(暗号化通信手段)
20 復号化処理部(復号化通信手段)
20C 復号化処理部(復号化通信手段)
20D 復号化処理部(復号化通信手段)
21 制御部(マルチキャスト鍵更新手段)
21B 制御部(マルチキャスト鍵更新手段)
21C 拠点側制御部(マルチキャスト鍵更新手段)
21D 制御部(マルチキャスト鍵更新手段)
24 マルチキャスト更新部(マルチキャスト鍵更新手段)
31 データ送信部(データ送信手段)
31D フレーム送信部(データ送信手段)
32 データ受信部(データ受信手段)
32D フレーム受信部(データ受信手段)
51 セッション鍵テーブル(セッション鍵格納手段)
51D セッション鍵テーブル(セッション鍵格納手段)
52 アドレス情報通知部(配下アドレス管理情報通知手段)
52D アドレス情報通知部(配下アドレス管理情報通知手段)
53 テーブル更新部(更新手段)
53D テーブル更新部(更新手段)
1 Cryptographic Communication System 1A Video Distribution System (Cryptographic Communication System)
1B Cryptographic communication system for wide area network (cryptographic communication system)
2
2C Wide area network (multi-access network)
3 Cryptographic Communication Device 3A
3C Site side encryption communication device (encryption communication device)
3D
12C Communication device interface (data distribution means)
12D communication device interface (data distribution means)
13 Address information management section (subordinate address information management means)
13B Address information management section (subordinate address information management means)
13C Site side address information management section (subordinate address information management means)
13D address information management unit (subordinate address information management means)
14 Group management table (group information storage means)
14B Group management table (group information storage means)
14D group management table (group information storage means)
15 Multicast key table (Multicast key storage means)
15B Multicast key table (multicast key storage means)
15C Base side multicast key table (multicast key storage means)
15D multicast key table (multicast key storage means)
16 Address information identification part (address information identification means)
16D address information identification unit (address information identification means)
18 Group identification part (group identification means)
18C Site side group identification section (group identification means)
18D group identification part (group identification means)
19 Encryption processing section (encrypted communication means)
19B Encryption processing unit (encrypted communication means)
19D Encryption processing unit (encrypted communication means)
20 Decryption processing unit (decryption communication means)
20C Decoding processing unit (decoding communication means)
20D decoding processing unit (decoding communication means)
21 Control unit (multicast key update means)
21B control unit (multicast key update means)
21C Site side controller (multicast key update means)
21D control unit (multicast key update means)
24 Multicast update unit (multicast key update means)
31 Data transmission part (data transmission means)
31D frame transmission unit (data transmission means)
32 Data receiver (data receiver)
32D frame receiver (data receiver)
51 Session key table (session key storage means)
51D session key table (session key storage means)
52 Address information notification section (subordinate address management information notification means)
52D address information notification unit (subordinate address management information notification means)
53 Table update section (update means)
53D table update unit (update means)
Claims (17)
前記暗号通信装置は、
前記マルチキャスト通信に関わる通信データの暗号化に使用する、マルチキャスト鍵を格納したマルチキャスト鍵格納手段と、
前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送する暗号化通信手段と、
前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化する復号化通信手段とを有することを特徴とする暗号通信システム。 On a multi-access network in which a plurality of cryptographic communication devices can be connected simultaneously, one of the plurality of cryptographic communication devices communicates simultaneously with a plurality of cryptographic communication devices in a specific group. An encryption communication system that encrypts communication data between the encryption communication devices when performing multicast communication,
The encryption communication device is:
A multicast key storage means for storing a multicast key used for encryption of communication data related to the multicast communication;
When communication data to the opposite encryption communication device is detected among the plurality of encryption communication devices, the multicast key is read from the multicast key storage means, and the communication data is encrypted based on the read multicast key, Encrypted communication means for transmitting the encrypted communication data to the opposite-side encrypted communication device;
When the encrypted communication data of the opposite side encryption communication device is detected by the encrypted communication means, the multicast key is read from the multicast key storage means, and on the opposite side encryption communication device side based on the read multicast key And a decryption communication means for decrypting the encrypted communication data.
前記復号化通信手段にて復号化した前記通信データを前記通信装置に配信するデータ配信手段を有し、
前記通信装置は、
前記暗号通信装置に前記通信データを送信するデータ送信手段と、
前記データ配信手段にて配信された前記通信データを受信するデータ受信手段とを有し、
前記データ送信手段及び前記データ受信手段は、
前記暗号通信装置及び前記対向側暗号通信装置を通じて、前記対向側暗号通信装置に収容接続する対向側通信装置との間で前記通信データを送受信することを特徴とする請求項1記載の暗号通信システム。 The encryption communication device is:
Data distribution means for distributing the communication data decrypted by the decryption communication means to the communication device;
The communication device
Data transmission means for transmitting the communication data to the encryption communication device;
Data receiving means for receiving the communication data distributed by the data distribution means,
The data transmitting means and the data receiving means are:
2. The cryptographic communication system according to claim 1, wherein the communication data is transmitted / received to / from an opposing communication device that is accommodated and connected to the opposing cryptographic communication device through the cryptographic communication device and the opposing cryptographic communication device. .
所定条件毎に分類したグループを識別するグループ識別情報毎に、同グループに属する暗号通信装置のアドレス情報を格納したグループ情報格納手段と、
前記グループ識別情報毎に、同グループに関わる通信データの暗号化に使用する前記マルチキャスト鍵を格納した前記マルチキャスト鍵格納手段と、
前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、この通信データに含まれるアドレス情報を識別すると共に、前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるアドレス情報を識別するアドレス情報識別手段と、
このアドレス情報識別手段の識別結果に基づき、この通信データのグループ識別情報を識別するグループ識別手段とを有し、
前記暗号化通信手段は、
前記対向側暗号通信装置への通信データを検出すると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化すると共に、
前記復号化通信手段は、
前記対向側暗号通信装置側の暗号化通信手段にて前記暗号化した通信データを検出すると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応したマルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを復号化することを特徴とする請求項1又は2記載の暗号通信システム。 The encryption communication device is:
Group information storage means for storing address information of cryptographic communication devices belonging to the same group for each group identification information for identifying groups classified according to predetermined conditions;
The multicast key storage means for storing the multicast key used for encrypting communication data related to the group for each group identification information;
When communication data to the opposite encryption communication device is detected among the plurality of encryption communication devices, address information included in the communication data is identified, and communication data from the opposite encryption communication device is detected. Address information identifying means for identifying address information included in the communication data;
Based on the identification result of the address information identification means, the group identification means for identifying the group identification information of the communication data,
The encrypted communication means includes
When communication data to the opposite encryption communication device is detected, the address information identification means identifies the address information of the communication data, and based on the identification result, the group identification means identifies the communication data group identification information. And a multicast key corresponding to the group identification information is read from the multicast key storage means, the communication data is encrypted based on the read multicast key, and
The decryption communication means includes
When the encrypted communication data on the opposite side encryption communication device side is detected by the encrypted communication means, the address information identification means identifies the address information of the communication data, and based on the identification result, the group identification Means for identifying group identification information of the communication data, reading a multicast key corresponding to the group identification information from the multicast key storage means, and decoding the communication data based on the read multicast key. The cryptographic communication system according to claim 1 or 2.
前記管理端末装置は、
前記暗号通信装置と通信接続して、同暗号通信装置内部の前記マルチキャスト鍵格納手段に格納中の前記マルチキャスト鍵を設定変更可能にしたことを特徴とする請求項1,2又は3記載の暗号通信システム。 A management terminal device for communication connection for each encryption communication device;
The management terminal device
4. The cryptographic communication according to claim 1, wherein the multicast key stored in the multicast key storage means inside the cryptographic communication device can be set and changed by communication connection with the cryptographic communication device. system.
前記鍵管理サーバは、
前記マルチアクセスネットワーク経由で各暗号通信装置と通信接続し、各暗号通信装置内部の前記マルチキャスト鍵格納手段に格納中の前記マルチキャスト鍵を設定変更可能にしたことを特徴とする請求項1,2又は3記載の暗号通信システム。 Having a key management server capable of communication connection to all cryptographic communication devices via the multi-access network;
The key management server
A communication connection is established with each cryptographic communication device via the multi-access network, and the setting of the multicast key stored in the multicast key storage means inside each cryptographic communication device can be changed. 3. The cryptographic communication system according to 3.
前記通信データに含まれるペイロード部の所定データ範囲を指定する範囲指定手段と、
この範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき暗号化すると共に、
前記復号化通信手段は、
前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき復号化することを特徴する請求項1,2,3,4又は5記載の暗号通信システム。 The encrypted communication means includes
A range designating unit for designating a predetermined data range of a payload portion included in the communication data;
Encrypt the payload portion of the predetermined data range specified by the range specifying means based on the multicast key,
The decryption communication means includes
6. The encryption communication system according to claim 1, wherein the payload portion of the predetermined data range designated by the range designation means is decrypted based on the multicast key.
前記範囲指定手段にて指定したデータ範囲毎にキャスト鍵を格納するキャスト鍵格納手段とを有し、
前記暗号化通信手段は、
前記対向側暗号通信装置への通信データを検出すると、この通信データに含まれるペイロード部のデータ範囲毎に、同データ範囲に対応したキャスト鍵を前記キャスト鍵格納手段から順次読み出し、この順次読み出したキャスト鍵に基づき同データ範囲を順次暗号化すると共に、
前記復号化通信手段は、
前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるペイロード部のデータ範囲毎に、同データ範囲に対応したキャスト鍵を前記キャスト鍵格納手段から順次読み出し、この順次読み出したキャスト鍵に基づき同データ範囲を順次復号化することを特徴とする請求項1,2,3,4又は5記載の暗号通信システム。 A range specifying means for configuring the multicast key with a predetermined number of cast keys and dividing and specifying a payload part included in the communication data into a predetermined number of data ranges;
Cast key storage means for storing a cast key for each data range designated by the range designation means;
The encrypted communication means includes
When communication data to the opposite encryption communication device is detected, a cast key corresponding to the data range is sequentially read from the cast key storage unit for each data range of the payload portion included in the communication data, and this sequential read Encrypt the same data range sequentially based on the cast key,
The decryption communication means includes
When communication data from the opposite encryption communication device is detected, a cast key corresponding to the data range is sequentially read from the cast key storage unit for each data range of the payload portion included in the communication data, and this sequential read 6. The encryption communication system according to claim 1, wherein the same data range is sequentially decrypted based on a cast key.
前記暗号通信装置は、
前記複数台の暗号通信装置の内、1台の暗号通信装置が特定グループ内の複数台の暗号通信装置と同時通信するマルチキャスト通信に関わる通信データの暗号化に使用する、マルチキャスト鍵を格納したマルチキャスト鍵格納手段と、
前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、この通信データに含まれるアドレス情報を識別すると共に、前記対向側暗号通信装置からの通信データを検出すると、この通信データに含まれるアドレス情報を識別するアドレス情報識別手段と、
前記アドレス情報識別手段の識別結果に基づき、この通信データの通信種別を判定する通信種別判定手段と、
この通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記マルチキャスト通信であると判定されると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送する暗号化通信手段と、
前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記マルチキャスト通信であると判定されると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化する復号化通信手段とを有することを特徴とする暗号通信システム。 A cryptographic communication system that encrypts communication data between the cryptographic communication devices on a multi-access network in which a plurality of cryptographic communication devices can be simultaneously connected to each other,
The encryption communication device is:
Multicast storing a multicast key used for encryption of communication data related to multicast communication in which one of the plurality of cryptographic communication devices communicates simultaneously with a plurality of cryptographic communication devices in a specific group Key storage means;
When communication data to the opposite encryption communication device is detected among the plurality of encryption communication devices, address information included in the communication data is identified, and communication data from the opposite encryption communication device is detected. Address information identifying means for identifying address information included in the communication data;
A communication type determination unit that determines a communication type of the communication data based on the identification result of the address information identification unit;
When the communication type determining means determines that the communication type of communication data to the opposite encryption communication device is the multicast communication, the multicast key is read from the multicast key storage means, and the read multicast key is used as the read multicast key. On the basis of the encrypted communication data, the encrypted communication means for transmitting the encrypted communication data to the opposite encryption communication device,
When the communication type determining unit determines that the communication type of the communication data from the opposite encryption communication device is the multicast communication, the multicast key is read from the multicast key storage unit, and the read multicast key is used as the read multicast key. And a decryption communication means for decrypting the encrypted communication data on the opposite encryption communication apparatus side.
所定条件に分類したグループを識別するグループ識別情報毎に、同グループに属する暗号通信装置のアドレス情報を格納したグループ情報格納手段と、
前記グループ識別情報毎に、同グループに関わる通信データの暗号化に使用する前記マルチキャスト鍵を格納した前記マルチキャスト鍵格納手段と、
前記アドレス情報識別手段の通信データの識別結果に基づき、この通信データのグループ識別情報を識別するグループ識別手段とを有し、
前記暗号化通信手段は、
前記通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記マルチキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応した前記マルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化すると共に、
前記復号化通信手段は、
前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記マルチキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス識別情報を識別し、この識別結果に基づき、前記グループ識別手段にて同通信データのグループ識別情報を識別し、このグループ識別情報に対応した前記マルチキャスト鍵を前記マルチキャスト鍵格納手段から読み出し、この読み出したマルチキャスト鍵に基づき前記通信データを復号化することを特徴とする請求項8記載の暗号通信システム。 The encryption communication device is:
Group information storage means for storing address information of cryptographic communication devices belonging to the group for each group identification information for identifying the group classified under the predetermined condition;
The multicast key storage means for storing the multicast key used for encrypting communication data related to the group for each group identification information;
Group identification means for identifying group identification information of the communication data based on the identification result of the communication data of the address information identification means,
The encrypted communication means includes
When the communication type determining unit determines that the communication type of the communication data to the opposite encryption communication device is the multicast communication, the address information identifying unit identifies the address information of the communication data, Based on the identification result, the group identification means identifies the group identification information of the communication data, reads the multicast key corresponding to the group identification information from the multicast key storage means, based on the read multicast key, While encrypting communication data,
The decryption communication means includes
When the communication type determination unit determines that the communication type of the communication data from the opposite encryption communication device is the multicast communication, the address information identification unit identifies the address identification information of the communication data, Based on the identification result, the group identification means identifies group identification information of the communication data, reads the multicast key corresponding to the group identification information from the multicast key storage means, and based on the read multicast key, 9. The encryption communication system according to claim 8, wherein the communication data is decrypted.
単一の暗号通信装置同士で通信するユニキャスト通信に関わる通信データの暗号化に使用するセッション鍵を、前記暗号通信装置のアドレス情報毎に格納したセッション鍵格納手段を有し、
前記暗号化通信手段は、
前記通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記ユニキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、このアドレス情報に対応したセッション鍵を前記セッション鍵格納手段から読み出し、この読み出したセッション鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送すると共に、
前記復号化通信手段は、
前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記ユニキャスト通信であると判定されると、前記アドレス情報識別手段にて同通信データのアドレス情報を識別し、このアドレス情報に対応したセッション鍵を前記セッション鍵格納手段から読み出し、この読み出したセッション鍵に基づき、前記通信データを復号化することを特徴とする請求項8又は9記載の暗号通信システム。 The encryption communication device is:
A session key storage means for storing, for each address information of the encryption communication device, a session key used for encryption of communication data related to unicast communication communicating between a single encryption communication device;
The encrypted communication means includes
When the communication type determining unit determines that the communication type of the communication data to the opposite encryption communication device is the unicast communication, the address information identifying unit identifies the address information of the communication data, A session key corresponding to the address information is read from the session key storage unit, the communication data is encrypted based on the read session key, and the encrypted communication data is transmitted to the opposite encryption communication device,
The decryption communication means includes
When the communication type determination unit determines that the communication type of the communication data from the opposite encryption communication device is the unicast communication, the address information identification unit identifies the address information of the communication data, 10. The encryption communication system according to claim 8, wherein a session key corresponding to the address information is read from the session key storage unit, and the communication data is decrypted based on the read session key.
収容接続する通信装置のアドレス情報を含む配下アドレス管理情報を管理する配下アドレス情報管理手段と、
所定タイミングに応じて、前記配下アドレス情報管理手段に管理中の配下アドレス管理情報を前記対向側暗号通信装置に通知する配下アドレス管理情報通知手段と、
前記対向側暗号通信装置側の配下アドレス管理情報通知手段から前記配下アドレス管理情報を受信すると、この配下アドレス管理情報に含まれる対向側通信装置のアドレス情報に対応付けて、この対向側通信装置を収容接続する対向側暗号通信装置のセッション鍵を格納すべく、前記セッション鍵格納手段を更新する更新手段とを有することを特徴とする請求項10記載の暗号通信システム。 The encryption communication device is:
Subordinate address information management means for managing subordinate address management information including address information of communication devices to be accommodated and connected;
Subordinate address management information notifying means for notifying the opposite side cryptographic communication apparatus of subordinate address management information being managed by the subordinate address information management means according to a predetermined timing;
When receiving the subordinate address management information from the subordinate address management information notification means on the counter side cipher communication device side, the counter side communication device is associated with the address information of the counter side communication device included in the subordinate address management information. 11. The encryption communication system according to claim 10, further comprising an update unit that updates the session key storage unit so as to store a session key of the opposite side encryption communication device to be accommodated and connected.
鍵番号毎に鍵フォームを格納する鍵フォーム格納手段と、
全暗号通信装置共通のタイミングに応じて、現在時刻及び所定プログラムに基づき鍵番号を算出し、この算出した鍵番号に対応する鍵フォームを前記鍵フォーム格納手段から選択する鍵フォーム選択手段と、
この鍵フォーム選択手段にて選択した鍵フォームを、前記マルチキャスト鍵として前記マルチキャスト鍵格納手段に更新するマルチキャスト鍵更新手段とを有することを特徴とする請求項8,9、10又は11記載の暗号通信システム。 The encryption communication device is:
Key form storage means for storing a key form for each key number;
A key form selection unit that calculates a key number based on the current time and a predetermined program according to the timing common to all the cryptographic communication devices, and selects a key form corresponding to the calculated key number from the key form storage unit;
12. The cryptographic communication according to claim 8, 9, 10 or 11, further comprising: a multicast key update unit that updates the key form selected by the key form selection unit to the multicast key storage unit as the multicast key. system.
前記鍵管理サーバは、
複数個の鍵フォームを格納した鍵フォーム格納手段と、
所定タイミング毎に、前記鍵フォーム格納手段内の複数個の鍵フォームから任意の鍵フォームを選択する鍵フォーム選択手段と、
この鍵フォーム選択手段にて選択した鍵フォームを前記マルチキャスト鍵として、所定タイミング毎に、各暗号通信装置に配信する鍵フォーム配信手段とを有することを特徴とする請求項8,9,10又は11記載の暗号通信システム。 Having a key management server capable of communication connection to all cryptographic communication devices via the multi-access network;
The key management server
A key form storage means for storing a plurality of key forms;
Key form selection means for selecting an arbitrary key form from a plurality of key forms in the key form storage means at a predetermined timing;
12. A key form distribution unit that distributes the key form selected by the key form selection unit to each encryption communication device at a predetermined timing using the multicast form as the multicast key. The cryptographic communication system described.
前記通信データに含まれるペイロード部の所定データ範囲を指定する範囲指定手段を有し、
前記暗号化通信手段は、
前記通信種別判定手段にて前記対向側暗号通信装置への通信データの通信種別が前記マルチキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき暗号化すると共に、
前記復号化通信手段は、
前記通信種別判定手段にて前記対向側暗号通信装置からの通信データの通信種別が前記マルチキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記マルチキャスト鍵に基づき復号化することを特徴する請求項8,9,10,11,12又は13記載の暗号通信システム。 The encryption communication device is:
A range designating unit for designating a predetermined data range of a payload portion included in the communication data;
The encrypted communication means includes
When the communication type determining unit determines that the communication type of the communication data to the opposite encryption communication device is the multicast communication, the payload part of the predetermined data range specified by the range specifying unit is set to the multicast key. Encryption based on
The decryption communication means includes
When the communication type determining unit determines that the communication type of the communication data from the opposite encryption communication device is the multicast communication, the payload part of the predetermined data range specified by the range specifying unit is used as the multicast key. 14. The encryption communication system according to claim 8, 9, 10, 11, 12, or 13, wherein decryption is performed based on the above.
前記通信データに含まれるペイロード部の所定データ範囲を指定する範囲指定手段を有し、
前記暗号化通信手段は、
前記通信種別判定手段にて前記対向側通信装置に伝送する通信データの通信種別が前記ユニキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記セッション鍵に基づき暗号化すると共に、
前記復号化通信手段は、
前記通信種別判定手段にて前記対向側通信装置からの通信データの通信種別が前記ユニキャスト通信であると判定されると、前記範囲指定手段にて指定した所定データ範囲のペイロード部を前記セッション鍵に基づき復号化することを特徴する請求項10,11,12、13又は14記載の暗号通信システム。 The encryption communication device is:
A range designating unit for designating a predetermined data range of a payload portion included in the communication data;
The encrypted communication means includes
When it is determined by the communication type determining means that the communication type of the communication data transmitted to the opposite communication device is the unicast communication, the payload portion of the predetermined data range specified by the range specifying means is Encrypt based on the key,
The decryption communication means includes
When the communication type determining unit determines that the communication type of the communication data from the opposite communication device is the unicast communication, the payload part of the predetermined data range specified by the range specifying unit is used as the session key. 15. The encryption communication system according to claim 10, 11, 12, 13 or 14, wherein the decryption is performed based on the above.
前記配下アドレス管理情報及び自己の暗号通信装置のユニキャスト通信に関わるセッション鍵をIKEプロトコルを使用して暗号化し、この暗号化した配下アドレス管理情報及びセッション鍵を対向側暗号通信装置に伝送することを特徴とする請求項11記載の暗号通信システム。 The subordinate address management information notification means includes:
Encrypting the subordinate address management information and the session key related to the unicast communication of its own encryption communication device using the IKE protocol, and transmitting the encrypted subordinate address management information and session key to the opposite side encryption communication device. The cryptographic communication system according to claim 11.
前記マルチキャスト通信に関わる通信データの暗号化に使用する、マルチキャスト鍵を格納したマルチキャスト鍵格納手段と、
前記複数台の暗号通信装置の内、対向側暗号通信装置への通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記通信データを暗号化し、この暗号化した通信データを前記対向側暗号通信装置に伝送する暗号化通信手段と、
前記対向側暗号通信装置の暗号化通信手段にて前記暗号化した通信データを検出すると、前記マルチキャスト鍵格納手段から前記マルチキャスト鍵を読み出し、この読み出したマルチキャスト鍵に基づき、前記対向側暗号通信装置側で前記暗号化した通信データを復号化する復号化通信手段とを有することを特徴とする暗号通信装置。
On a multi-access network in which a plurality of cryptographic communication devices can be connected simultaneously, one of the plurality of cryptographic communication devices communicates simultaneously with a plurality of cryptographic communication devices in a specific group. An encryption communication device in an encryption communication system that encrypts communication data between the encryption communication devices when performing multicast communication,
A multicast key storage means for storing a multicast key used for encryption of communication data related to the multicast communication;
When communication data to the opposite encryption communication device is detected among the plurality of encryption communication devices, the multicast key is read from the multicast key storage means, and the communication data is encrypted based on the read multicast key, Encrypted communication means for transmitting the encrypted communication data to the opposite-side encrypted communication device;
When the encrypted communication data of the opposite side encryption communication device is detected by the encrypted communication means, the multicast key is read from the multicast key storage means, and on the opposite side encryption communication device side based on the read multicast key And a decryption communication means for decrypting the encrypted communication data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007033787A JP5101124B2 (en) | 2007-02-14 | 2007-02-14 | Cryptographic communication system and cryptographic communication apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007033787A JP5101124B2 (en) | 2007-02-14 | 2007-02-14 | Cryptographic communication system and cryptographic communication apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008199391A true JP2008199391A (en) | 2008-08-28 |
JP5101124B2 JP5101124B2 (en) | 2012-12-19 |
Family
ID=39757936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007033787A Expired - Fee Related JP5101124B2 (en) | 2007-02-14 | 2007-02-14 | Cryptographic communication system and cryptographic communication apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5101124B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013115464A (en) * | 2011-11-25 | 2013-06-10 | Murata Mach Ltd | Relay server |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09191309A (en) * | 1996-01-09 | 1997-07-22 | Fujitsu Ltd | Multi-cast communication system |
JPH11215122A (en) * | 1998-01-27 | 1999-08-06 | Matsushita Electric Ind Co Ltd | Method, device, and system for enciphering data |
JPH11215146A (en) * | 1998-01-27 | 1999-08-06 | Nec Corp | Method for transmitting atm cell through passive optical network, atm communication equipment, optical subscriber device, and optical network device |
JPH11331803A (en) * | 1998-05-12 | 1999-11-30 | Toshiba Corp | Encryption method, encryption device, digital contents reproduction device |
JP2002111649A (en) * | 2000-09-29 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Multicasting communication method, server device and client device |
JP2004214758A (en) * | 2002-12-27 | 2004-07-29 | Mitsubishi Electric Corp | Mobile station, slave station, communication system, communication program, and computer-readable recording medium for recording the communication program |
JP2004343243A (en) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Multicast communication system and station side device in pon system |
JP2006019961A (en) * | 2004-06-30 | 2006-01-19 | Toshiba Corp | Device and method for radio communication |
JP2007074168A (en) * | 2005-09-05 | 2007-03-22 | Mitsubishi Electric Corp | Station-side device, subscriber-side device, communication system, communication method, and program making computer implement same method |
JP2007158962A (en) * | 2005-12-07 | 2007-06-21 | Mitsubishi Electric Corp | Pon system |
JP2007228292A (en) * | 2006-02-23 | 2007-09-06 | Mitsubishi Electric Corp | Station side apparatus, subscriber side apparatus, and pon system |
-
2007
- 2007-02-14 JP JP2007033787A patent/JP5101124B2/en not_active Expired - Fee Related
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09191309A (en) * | 1996-01-09 | 1997-07-22 | Fujitsu Ltd | Multi-cast communication system |
JPH11215122A (en) * | 1998-01-27 | 1999-08-06 | Matsushita Electric Ind Co Ltd | Method, device, and system for enciphering data |
JPH11215146A (en) * | 1998-01-27 | 1999-08-06 | Nec Corp | Method for transmitting atm cell through passive optical network, atm communication equipment, optical subscriber device, and optical network device |
JPH11331803A (en) * | 1998-05-12 | 1999-11-30 | Toshiba Corp | Encryption method, encryption device, digital contents reproduction device |
JP2002111649A (en) * | 2000-09-29 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Multicasting communication method, server device and client device |
JP2004214758A (en) * | 2002-12-27 | 2004-07-29 | Mitsubishi Electric Corp | Mobile station, slave station, communication system, communication program, and computer-readable recording medium for recording the communication program |
JP2004343243A (en) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Multicast communication system and station side device in pon system |
JP2006019961A (en) * | 2004-06-30 | 2006-01-19 | Toshiba Corp | Device and method for radio communication |
JP2007074168A (en) * | 2005-09-05 | 2007-03-22 | Mitsubishi Electric Corp | Station-side device, subscriber-side device, communication system, communication method, and program making computer implement same method |
JP2007158962A (en) * | 2005-12-07 | 2007-06-21 | Mitsubishi Electric Corp | Pon system |
JP2007228292A (en) * | 2006-02-23 | 2007-09-06 | Mitsubishi Electric Corp | Station side apparatus, subscriber side apparatus, and pon system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013115464A (en) * | 2011-11-25 | 2013-06-10 | Murata Mach Ltd | Relay server |
Also Published As
Publication number | Publication date |
---|---|
JP5101124B2 (en) | 2012-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2812312B2 (en) | Encryption system | |
CN104955038B (en) | Distribute the method and access point, website and communication system of addressing identification | |
US7519184B2 (en) | Wireless communication system | |
JPH07107083A (en) | Cipher communication system | |
WO2005077134A2 (en) | A method and apparatus for a per-packet encryption system | |
US20040098448A1 (en) | Data distribution system | |
WO2013038922A1 (en) | Wireless communication apparatus and wireless communication system | |
JP2016051921A (en) | Communication system | |
CN100362785C (en) | Method for updating shared key | |
CN106209401A (en) | A kind of transmission method and device | |
CN102905199A (en) | Implement method and device of multicast service and device thereof | |
JP2006101475A (en) | Multicast control method, multicast control device, and device and program for content attribute information management | |
JP6979740B2 (en) | Wireless communication system, communication method, information processing device, and information processing program | |
US10567353B2 (en) | Information processing apparatus, wireless communication system, and communication method | |
JP5101124B2 (en) | Cryptographic communication system and cryptographic communication apparatus | |
JP2008066882A (en) | Encryption key distribution apparatus, and encryption key distribution method | |
JP4694240B2 (en) | Encryption key distribution apparatus and program thereof | |
JP4071774B2 (en) | Encryption key distribution method and slave unit in wireless network | |
JP2018174550A (en) | Communication system | |
US8218767B2 (en) | Security system and method for use in network | |
KR102023416B1 (en) | Network switch and method for setting encryption section in data link layer using the same | |
JP4498968B2 (en) | Authentication gateway device and program thereof | |
JP2004166153A (en) | Key change system in multicast distribution system | |
JP2006025455A (en) | Key exchange system in multicast distribution system | |
JP2010068396A (en) | Cryptographic device, terminal device, cryptographic program and method and program and method for processing information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100122 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120831 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120926 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151005 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |