JP2013179443A - 通信方法及び通信システム - Google Patents
通信方法及び通信システム Download PDFInfo
- Publication number
- JP2013179443A JP2013179443A JP2012041682A JP2012041682A JP2013179443A JP 2013179443 A JP2013179443 A JP 2013179443A JP 2012041682 A JP2012041682 A JP 2012041682A JP 2012041682 A JP2012041682 A JP 2012041682A JP 2013179443 A JP2013179443 A JP 2013179443A
- Authority
- JP
- Japan
- Prior art keywords
- host terminal
- quantum key
- switch device
- address
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 title claims abstract description 37
- 230000010485 coping Effects 0.000 abstract 1
- 230000005540 biological transmission Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 3
- 206010013647 Drowning Diseases 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000010287 polarization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】 なりすましに対抗でき秘匿性の高い通信方法や通信システムを提供する。
【解決手段】 量子鍵配送装置により生成される共通乱数を量子鍵として用いて,レイヤ2スイッチに提供し,レイヤ2スイッチにおいて認証に用いられるMACアドレスをスイッチとホスト間で量子鍵により暗号化することで,認証能力や秘匿能を飛躍的に向上させる。
【選択図】図1
【解決手段】 量子鍵配送装置により生成される共通乱数を量子鍵として用いて,レイヤ2スイッチに提供し,レイヤ2スイッチにおいて認証に用いられるMACアドレスをスイッチとホスト間で量子鍵により暗号化することで,認証能力や秘匿能を飛躍的に向上させる。
【選択図】図1
Description
本発明は,通信方法及び通信システムに関する。より詳しく説明すると,本発明は,MACアドレスを量子鍵により暗号化した情報を認証に用いることで,なりすましに対して秘匿性を確保できる通信方法及び通信システムに関する。
現在,情報漏えいを防ぐために,情報を暗号化する方法や,不正アクセスを防止する方法といった対策が採られている。
特開2011−182283号公報(特許文献1)には,量子鍵を用いた秘匿性の高い通信システムが開示されている。
しかし,正規ユーザとして認証された端末からのユーザを偽装して不正にアクセスを行うなりすましに対し,現在のネットワーク機器では,十分に対応ができているとはいえない。特開2002−271319号公報(特許文献2)には,センター装置と複数のホーム装置を接続したネットワーク上のセキュリティを保持するセキュリティシステムが開示されている。このシステムは,送り先及び送り元のMACアドレスを含むフレームを暗号化してネットワーク上の通信を行う。
しかしながら,特許文献2に開示された方法でも,なりすましを効果的に防止することはできない。
そこで,本発明は,ネットワーク内部での認証を強化して,なりすましを効果的に阻止し,秘匿性の高い通信システムや通信方法を提供することを目的とする。
本発明は,ローカルエリアネットワーク内部や,ローカルネットワーク間をつなぐネットワークスイッチに安全な鍵を与えることで,ネットワーク内部での認証能力を高め,それによりなりすましを効果的に阻止し,秘匿性を高めることができるという知見に基づく。具体的に説明すると,本発明は,量子鍵配送装置により生成される共通乱数を量子鍵として用いて,レイヤ2スイッチに提供し,レイヤ2スイッチにおいて認証に用いられるMACアドレスをスイッチとホスト間で量子鍵により暗号化することで,認証能力や秘匿能を飛躍的に向上させることができるという知見に基づく。
本発明の第1の側面は,量子鍵を用いてMACアドレスを暗号化する通信方法に関する。この方法は,量子鍵配送装置11と,スイッチ装置12と,第1のホスト端末13と,第2のホスト端末14とを含む通信システムを用いた通信方法である。スイッチ装置12は,量子鍵配送装置11から量子鍵を入手する。次に,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14の認証を行い,それぞれのMACアドレスを取得する。そして,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14へ量子鍵を配布する。第1のホスト端末13は,量子鍵を受け取る。そして,第1のホスト端末13は,送信するパケットに含まれる第1のホスト端末13のMACアドレスを,量子鍵に対応した暗号化鍵を用いて暗号化する。この暗号化鍵は,パケットごとに生成される。この暗号化鍵は,例えば,量子鍵から暗号化に必要な量のデータを抽出したものである。スイッチ装置12は,第1のホスト端末13からパケットを受信し,第1のホスト端末13のMACアドレスを復号化する。そして,復号化したMACアドレスを用いてMACアドレスが正しいか否か認証を行う。
この方法は,量子鍵を用いて暗号化したMACアドレスを用いて認証を行うため,なりすましを防止し,秘匿性の高い通信を行うことができる。本明細書における量子鍵は,量子鍵配送装置により生成される量子鍵であってもいし,量子鍵配送装置の一部に含まれる真正乱数発生機又は擬似乱数発生機で生成した共通乱数などの鍵であってもよい。
第1の側面の好ましい態様は,スイッチ装置12がMACアドレスを取得する際に,第1のホスト端末13のIPアドレスも取得するものである。そして,第1のホスト端末13は,送信するパケットに含まれる第1のホスト端末13のIPアドレスも更に量子鍵を用いて暗号化する。スイッチ装置12は,第1のホスト端末13のMACアドレスを復号化する際に,第1のホスト端末13のIPアドレスも復号化する。そして,スイッチ装置12は,MACアドレスの認証を行った後に,復号化したIPアドレスが第1のホスト端末13のIPアドレスであるかについての認証を更に行う。
この態様では,MACアドレスの認証に加えてIPアドレスをも認証に用いるため,なりすましを効果的に防止でき,秘匿性を更に高めることができる。
本発明の第2の側面は,第1の側面に関する通信方法を実現する通信システムに関する。このシステムは,量子鍵配送装置11と,スイッチ装置12と,第1のホスト端末13と,第2のホスト端末14とを含む。量子鍵配送装置11は,量子鍵を配送するため装置である。スイッチ装置12は,量子鍵配送装置11と情報を授受できるように接続される装置である。第1のホスト端末13及び第2のホスト端末14は,スイッチ装置12と情報を授受できるように接続される端末である。
スイッチ装置12は,量子鍵配送装置11から量子鍵を入手するための手段を有する。スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14の認証を行い,それぞれのMACアドレスを取得するための手段を有する。スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14へ量子鍵を配布するための手段を有する。スイッチ装置12は,第1のホスト端末13からパケットを受信し,第1のホスト端末13のMACアドレスを復号化し,MACアドレスの認証を行うための手段を有する。
第1のホスト端末13は,送信するパケットに含まれる第1のホスト端末13のMACアドレスを,量子鍵に対応したパケットごとに生成される暗号化鍵を用いて暗号化するための手段を有する。
上記の要素を有するため,本発明の通信システムは,先に説明したなりすましを効果的に防止し,秘匿性の高い通信を達成できる。
第2の側面の好ましい態様は,スイッチ装置12が,第1のホスト端末13のIPアドレスを取得するための手段と,第1のホスト端末13のIPアドレスを復号化するための手段と,復号化したIPアドレスが第1のホスト端末13のIPアドレスであるかについての認証を行うための手段とを更に有する。そして,第1のホスト端末13が,送信するパケットに含まれる第1のホスト端末13のIPアドレスを量子鍵を用いて暗号化するための手段をさらに有する。
上記の要素を有するため,この通信システムは,MACアドレスの認証に加えてIPアドレスをも認証に用いるため,なりすましを効果的に防止でき,秘匿性を更に高めることができる。
本発明は,量子鍵で暗号化したMACアドレスを用いてデータリンク層レベルでの認証を行うため,ネットワーク内部での認証を強化して,なりすましを効果的に阻止し,秘匿性の高い通信システムや通信方法を提供できる。
以下,図面に基づいて本発明を説明する。本発明は,以下の説明に限定されるものではなく,当業者に自明な範囲で適宜修正したものも含まれる。
図1は,本発明の通信システムを説明するための概念図である。図1に示されるように,このシステムは,量子鍵配送装置11と,スイッチ装置12と,第1のホスト端末13と,第2のホスト端末14とを含む。各要素は,無線又は有線などにより情報を授受できるように接続される。
このシステムに用いられる各要素は,通常のコンピュータが有する要素を適宜有している。通常のコンピュータが有する要素の例は,入力部,出力部,演算部,制御部及び記憶部である。そして,各装置は,各指令をハードウェアによって実現してもよい。また,例えば,記憶媒体やメインメモリに記憶されたプログラムからの指令に基づき,適宜記憶部に記憶された情報を読み出し,演算部で演算を行って,各指令を実現してもよい。
量子鍵配送装置11は,量子鍵を配送するため装置である。量子鍵配送装置は,量子鍵を発生させ,所定の装置へ向けて送信できるものであればよい。量子鍵配送装置の例は,特開2011−182283号公報(特許文献1)に開示されたものや,特開2008−205993号公報,特開2007−318445号公報,及び特開2012−4955号公報に開示されたものである。このように既に知られているため,本発明においては,公知の量子鍵配送装置を適宜用いることができる。また,量子鍵を乱数として用いて,情報を暗号化する方法も公知である。
特開2008−205993号公報に開示された量子暗号装置は,非対称マッハツェンダー干渉計(AMZI)を用いた量子暗号装置である。この量子暗号装置は,偏波モードとタイムビン(time−bin)モードの最大縺れ状態を達成することができる。この量子暗号装置は,主にタイムビンパルスの自由度に情報を載せてファイバなどの伝送路を伝搬させるものである。この量子鍵配送装置の動作原理は,特開2008−205993号公報に開示されている。このため,当業者であれば,この公報に基づいて本発明において用いられる量子鍵配送装置を得ることができる。
特開2007−318445号公報に開示された量子鍵配送装置は,量子もつれ光子対を生成する光源と,生成された量子もつれ光子対を,その中心周波数において高周波帯と低周波帯の2つの帯域に分離するバンド分離フィルタを有するものがあげられる。この装置は,分離された高周波数帯の光を受信する第1の通信装置であって、高周波帯の光を複数の波長チャネルに分割し、各波長チャネルにおいて高周波帯の光を測定する装置を有する。さらに,この装置は分離された低周波数帯の光を受信する第2の通信装置であって、低周波帯の光を複数の波長チャネルに分割し、各波長チャネルにおいて低周波帯の光を測定する装置を有する。この量子鍵配送装置の動作原理は,特開2007−318445号公報に開示されている。このため,当業者であれば,この公報に基づいて本発明において用いられる量子鍵配送装置を得ることができる。
特開2012−4955号公報に開示された量子鍵配送装置は,波長の異なる2種の光子対を発生させ,それぞれを非対称マッハツェンダー干渉計に入射させてタイムビン(time−bin)縺れ状態とする。そして,2種の波長を有する光子対は,それぞれ光ファイバ伝送に適した波長と,自由空間伝送及び光子検出に適した波長とする。この量子鍵配送システムは,2種の波長を有する縺れ光子対を複数組用いて,スワッピングを行うことで,長距離間における量子鍵配送(QKD)を達成することができるというものである。この量子鍵配送装置の動作原理は,特開2012−4955号公報に開示されている。このため,当業者であれば,この公報に基づいて本発明において用いられる量子鍵配送装置を得ることができる。
本明細書における量子鍵は,量子鍵配送装置により生成される量子鍵であってもいし,量子鍵配送装置が真正乱数発生機又は擬似乱数発生機を含み,これらの乱数発生機で生成した共通乱数などの鍵であってもよい。
スイッチ装置12は,量子鍵配送装置11と情報を授受できるように接続される装置である。スイッチ装置12の例は,レイヤ2スイッチ又はレイヤ2スイッチを含むスイッチ装置である。レイヤ2スイッチは,ネットワークの中継機器の一つであり,データリンク層(第2層)のデータでパケットの行き先を判断して転送を行うものである。スイッチ装置12は,レイヤ2スイッチ機能のほかに,レイヤ3スイッチ機能をも有するものであってもよい。レイヤ3スイッチは,ネットワーク層においてパケットの送信先アドレスを振り分け,パケット交換を行うスイッチ装置である。すなわち,本発明の好ましい例は,MACアドレスのみならずIPアドレスをも用いて認証を行い,データの転送を行うものである。
第1のホスト端末13及び第2のホスト端末14は,スイッチ装置12と情報を授受できるように接続される端末である。端末の例は,イントラネットやインタネットに接続されたコンピュータである。端末の別の例は,携帯端末である。
図2は,本発明の通信方法を説明するためのフローチャートである。図中,Sはステップ(工程)を意味する。
スイッチ装置(ウェブ)認証工程(ステップ101)
スイッチ装置12は,量子鍵配送装置11から量子鍵を入手するため,量子鍵配送装置11に対し認証を要求する。この場合,スイッチ装置12は,記憶部から量子鍵配送装置11のアドレスを含む量子鍵配送装置11に関する情報や,認証に必要な情報を読み出す。そして,スイッチ装置12は,読みだした情報を送信部から送信する。この際,スイッチ装置12は,例えばHTTPS形式にて認証要求を送信する。
スイッチ装置12は,量子鍵配送装置11から量子鍵を入手するため,量子鍵配送装置11に対し認証を要求する。この場合,スイッチ装置12は,記憶部から量子鍵配送装置11のアドレスを含む量子鍵配送装置11に関する情報や,認証に必要な情報を読み出す。そして,スイッチ装置12は,読みだした情報を送信部から送信する。この際,スイッチ装置12は,例えばHTTPS形式にて認証要求を送信する。
量子鍵配送装置11の入力部は,スイッチ装置12からの認証要求を受信する。量子鍵配送装置11の制御部は,制御プログラムに従い,スイッチ装置12が量子鍵を送信する相手であるか否かの認証を行う。この際の認証方法は公知である。よって,量子鍵配送装置11は,公知の方法に従って,認証を行えばよい。
量子鍵入手工程(ステップ102)
上記の認証が終わった後に,量子鍵配送装置11の制御部は,記憶部から所定の情報を読み出して,演算部に,量子鍵を生成するための演算を行うよう指令を出す。制御部は,生成された量子鍵又は量子鍵を生成するための方法に関する情報を記憶部に一時的に記憶させる。そして,量子鍵配送装置11は,その出力部から,スイッチ装置12へ量子鍵を送信する。スイッチ装置12の入力部は,量子鍵配送装置11から送信された量子鍵を受け取る。そして,スイッチ装置12は,その記憶部に受け取った量子鍵を一時的に記憶する。このようにして,スイッチ装置12は,量子鍵を入手する。
上記の認証が終わった後に,量子鍵配送装置11の制御部は,記憶部から所定の情報を読み出して,演算部に,量子鍵を生成するための演算を行うよう指令を出す。制御部は,生成された量子鍵又は量子鍵を生成するための方法に関する情報を記憶部に一時的に記憶させる。そして,量子鍵配送装置11は,その出力部から,スイッチ装置12へ量子鍵を送信する。スイッチ装置12の入力部は,量子鍵配送装置11から送信された量子鍵を受け取る。そして,スイッチ装置12は,その記憶部に受け取った量子鍵を一時的に記憶する。このようにして,スイッチ装置12は,量子鍵を入手する。
ホスト端末認証工程(ステップ103)
例えば,第1のホスト端末13が第2のホスト端末14と情報の交換を行う場合,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14の認証を行う。この場合,例えば,スイッチ装置12が,第1のホスト端末13から第2のホスト端末14と情報の交換を行うという情報を受け取る。すると,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14と固定経路によるHTTPS形式にて認証要求を送信する。認証要求を受け取った第1のホスト端末13及び第2のホスト端末14から認証に必要な情報を受け取る。そのうえで,スイッチ装置12は,記憶部に記憶していた第1のホスト端末13及び第2のホスト端末14に関する情報と,受け取った認証に必要な情報とを照合する。このようにして,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14の認証を行う。認証に必要な情報の例は,第1のホスト端末13及び第2のホスト端末14のIPアドレスである。なお,本発明では,認証に必要な情報として,第1のホスト端末13及び第2のホスト端末14のMACアドレスを用いてもよいし,IPアドレスとMACアドレスの両方を用いてもよい。
例えば,第1のホスト端末13が第2のホスト端末14と情報の交換を行う場合,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14の認証を行う。この場合,例えば,スイッチ装置12が,第1のホスト端末13から第2のホスト端末14と情報の交換を行うという情報を受け取る。すると,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14と固定経路によるHTTPS形式にて認証要求を送信する。認証要求を受け取った第1のホスト端末13及び第2のホスト端末14から認証に必要な情報を受け取る。そのうえで,スイッチ装置12は,記憶部に記憶していた第1のホスト端末13及び第2のホスト端末14に関する情報と,受け取った認証に必要な情報とを照合する。このようにして,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14の認証を行う。認証に必要な情報の例は,第1のホスト端末13及び第2のホスト端末14のIPアドレスである。なお,本発明では,認証に必要な情報として,第1のホスト端末13及び第2のホスト端末14のMACアドレスを用いてもよいし,IPアドレスとMACアドレスの両方を用いてもよい。
MACアドレス取得工程(ステップ104)
スイッチ装置12が,第1のホスト端末13及び第2のホスト端末14の認証に成功した場合,スイッチ装置12は第1のホスト端末13及び第2のホスト端末14のMACアドレスを取得する。
スイッチ装置12が,第1のホスト端末13及び第2のホスト端末14の認証に成功した場合,スイッチ装置12は第1のホスト端末13及び第2のホスト端末14のMACアドレスを取得する。
例えば,先の工程で,スイッチ装置12が,第1のホスト端末13及び第2のホスト端末14からIPアドレスとMACアドレスとを入手し,記憶したIPアドレスを認証用に用いて,認証に成功した場合,一時的に記憶した第1のホスト端末13及び第2のホスト端末14のMACアドレスを正式に第1のホスト端末13及び第2のホスト端末14のMACアドレスとしてもよい。このようにして,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14のMACアドレスを取得する。すなわち,ホスト端末認証工程とMACアドレス取得工程とは同時に行われてもよい。
また,ホスト端末認証工程において認証が成功した場合に,スイッチ装置12が,改めて第1のホスト端末13及び第2のホスト端末14にMACアドレスを提供するよう要求してもよい。このような要求は,スイッチ装置12の出力部から第1のホスト端末13及び第2のホスト端末14に送信される。そして,MACアドレス要求を受け取った第1のホスト端末13及び第2のホスト端末14は,それぞれの記憶部からそれぞれのMACアドレスを読み出して,スイッチ装置12へ送信してもよい。第1のホスト端末13及び第2のホスト端末14のMACアドレスを受け取ったスイッチ装置12は,これらの情報を記憶部に記憶する。このようにしても,スイッチ装置12は第1のホスト端末13及び第2のホスト端末14のMACアドレスを取得できる。
量子鍵配布工程(ステップ105)
スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14へ量子鍵を配布する。例えば,スイッチ装置12は,記憶部から量子鍵を読み出す。そして,スイッチ装置12は,読みだした量子鍵を出力部から第1のホスト端末13及び第2のホスト端末14へ向けて出力する。第1のホスト端末13は,その量子鍵を受け取る。そして,第1のホスト端末13は,受け取った量子鍵を記憶部に記憶する。一方,第2のホスト端末14も量子鍵を受け取り,その記憶部に受け取った量子鍵を記憶する。このようにして,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14へ量子鍵を配布する。量子鍵は,例えばSSL暗号化通信により秘密の状態で送信されることが望ましい。
スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14へ量子鍵を配布する。例えば,スイッチ装置12は,記憶部から量子鍵を読み出す。そして,スイッチ装置12は,読みだした量子鍵を出力部から第1のホスト端末13及び第2のホスト端末14へ向けて出力する。第1のホスト端末13は,その量子鍵を受け取る。そして,第1のホスト端末13は,受け取った量子鍵を記憶部に記憶する。一方,第2のホスト端末14も量子鍵を受け取り,その記憶部に受け取った量子鍵を記憶する。このようにして,スイッチ装置12は,第1のホスト端末13及び第2のホスト端末14へ量子鍵を配布する。量子鍵は,例えばSSL暗号化通信により秘密の状態で送信されることが望ましい。
暗号化工程(ステップ106)
第1のホスト端末13は,送信するパケットに含まれる第1のホスト端末13のMACアドレスを,量子鍵に対応した暗号化鍵を用いて暗号化する。この暗号化鍵は,パケットごとに生成される。たとえば,第1のホスト端末13は,量子鍵に対応した暗号化鍵を複数生成し,記憶部に記憶する。この暗号化鍵は,いずれも量子鍵を用いて復号できる鍵である。そして,第1のホスト端末13は,パケットごとに暗号化鍵を記憶部から読み出し,読みだした暗号化鍵を用いてMACアドレス又はMACアドレスを含む部分を暗号化する。なお,一度使用した暗号化鍵は記憶部から消去するようにしてもよい。量子鍵を用いて暗号化鍵を作成する方法は公知であるから,公知の方法を用いて暗号化鍵を作成すればよい。
第1のホスト端末13は,送信するパケットに含まれる第1のホスト端末13のMACアドレスを,量子鍵に対応した暗号化鍵を用いて暗号化する。この暗号化鍵は,パケットごとに生成される。たとえば,第1のホスト端末13は,量子鍵に対応した暗号化鍵を複数生成し,記憶部に記憶する。この暗号化鍵は,いずれも量子鍵を用いて復号できる鍵である。そして,第1のホスト端末13は,パケットごとに暗号化鍵を記憶部から読み出し,読みだした暗号化鍵を用いてMACアドレス又はMACアドレスを含む部分を暗号化する。なお,一度使用した暗号化鍵は記憶部から消去するようにしてもよい。量子鍵を用いて暗号化鍵を作成する方法は公知であるから,公知の方法を用いて暗号化鍵を作成すればよい。
図3は,暗号化鍵の生成方法を示す概念図である。図3に示されるように,第1のホスト端末13は,記憶部が記憶する量子鍵からレベル2ヘッダ部に相当する長さ部分のみを抽出して暗号化鍵としてもよい。そして,第1のホスト端末13は,読みだした量子鍵から,暗号化鍵として用いる部分を削除する演算処理を行い,残りの部分を改めて記憶部に記憶させてもよい。そして,次回パケットを暗号化する際には,記憶部から改めて量子鍵(の一部)を読み出して,レベル2ヘッダ部に相当する長さ部分のみを得て,暗号化鍵としてもよい。このように,量子鍵を暗号化鍵に必要な文ずつ利用することで,パケットごとに異なる暗号鍵を容易に生成できる。
すなわち,本発明の好ましい態様は,第1のホスト端末13が量子鍵を記憶部から読み出して,暗号化するレベル2ヘッダ部(MACアドレス)に必要な分のみを取り出して,暗号化鍵とするものである。たとえば,1つのMACアドレスが6バイトである場合,2つのMACアドレスに相当する12バイト部分を量子鍵から抽出し,暗号化鍵とする。このように量子鍵から暗号化鍵を生成する方法は,ホスト端末及びスイッチ装置間で共有されていることが好ましい。すると,ホスト端末とスイッチ装置間で,その方法を用いて,パケットごとに用いられる暗号化鍵を生成し,暗号化と復号化とを行うことができることとなる。そして,読みだした量子鍵から,暗号化鍵に用いた部分を取り除き,取り除いた(短くなった)量子鍵を改めて記憶部に記憶するものである。このようにして,パケットごとに異なる暗号鍵であって,量子鍵によって復号化できるものを生成できる。
図4は,第1のホスト端末における暗号化の例を示す概念図である。図4に示されるように,パケットは情報を示す部位(ペイロード)と,宛先等を示すヘッダとを有する。そして,例えば,ヘッダには,送信元である第1のホスト端末のMACアドレス及び宛先である第2のホスト端末のMACアドレスを記憶するレベル2ヘッダ部が含まれる。本発明は,たとえば,レベル2ヘッダ部(第1のホスト端末のMACアドレス及び宛先である第2のホスト端末のMACアドレス)を,暗号化鍵を用いて暗号化する。たとえば,レベル2ヘッダ部に含まれるMACアドレスと暗号化鍵とをXOR演算することで,MACアドレスを暗号化できる。なお,レベル2ヘッダのみならず,IPアドレスが含まれるレベル3ヘッダをも合わせて暗号化してもよい。また,レイヤ2スイッチの他にレイヤ3スイッチを設けて,レベル2ヘッダとレベル3ヘッダを別々に暗号化してもよい。
暗号化したMACアドレスを含むパケットは,第1のホスト端末の出力部からスイッチ装置12へ出力される。
MACアドレス認証工程(ステップ107)
スイッチ装置12は,第1のホスト端末13から送信されたパケットを受信する。スイッチ装置12は,パケットに含まれるアドレスを解析する。この際,たとえば,暗号化されたMACアドレスを記憶部に一時的に記憶する。そして,スイッチ装置12は,例えば第1のホスト端末13と同様にして量子鍵から,必要な部分を抽出する。たとえば,スイッチ装置12が,第1のホスト端末13から最初にパケットを受け取った場合は,量子鍵の最初の部分から12バイト部分を読み出して,復号化に用いる鍵とする。この復号化鍵を用いることで,第1のホスト端末13及び第2のホスト端末14のMACアドレスを復号化できる。そして,スイッチ装置12は,復号化したMACアドレスを用いてMACアドレスが正しいか否か認証を行う。この際,スイッチ装置12は,記憶部に第1のホスト端末13及び第2のホスト端末14のMACアドレスを記憶しているため,記憶したMACアドレスを読み出して,読みだしたMACアドレスと復号化したMACアドレスとが一致するか否かの演算を行う。このようにして,量子鍵により暗号化されたMACアドレスを用いた認証を行うことができる。
スイッチ装置12は,第1のホスト端末13から送信されたパケットを受信する。スイッチ装置12は,パケットに含まれるアドレスを解析する。この際,たとえば,暗号化されたMACアドレスを記憶部に一時的に記憶する。そして,スイッチ装置12は,例えば第1のホスト端末13と同様にして量子鍵から,必要な部分を抽出する。たとえば,スイッチ装置12が,第1のホスト端末13から最初にパケットを受け取った場合は,量子鍵の最初の部分から12バイト部分を読み出して,復号化に用いる鍵とする。この復号化鍵を用いることで,第1のホスト端末13及び第2のホスト端末14のMACアドレスを復号化できる。そして,スイッチ装置12は,復号化したMACアドレスを用いてMACアドレスが正しいか否か認証を行う。この際,スイッチ装置12は,記憶部に第1のホスト端末13及び第2のホスト端末14のMACアドレスを記憶しているため,記憶したMACアドレスを読み出して,読みだしたMACアドレスと復号化したMACアドレスとが一致するか否かの演算を行う。このようにして,量子鍵により暗号化されたMACアドレスを用いた認証を行うことができる。
IPアドレスの認証工程(ステップ108)
例えば,パケットには,第1のホスト端末13のIPアドレスが含まれている。この場合,スイッチ装置12は,記憶部にあらかじめ第1のホスト端末13のIPアドレスを記憶している。そこで,スイッチ装置12は,上記のMACアドレス認定工程の後,又はその工程の前に,IPアドレスを用いた認証を行ってもよい。このIPアドレスは,MACアドレスと同様の方法で暗号化されてもよいし,暗号化されていなくてもよい。スイッチ装置12は,記憶部から第1のホスト端末のIPアドレスを読み出す。そして,スイッチ装置12は,演算部に対し,読みだしたIPアドレスとパケットに含まれる(又は復号された)IPアドレスとが一致するか否か判断する演算を行わせる。このようにして,IPアドレスの認証を行うことができる。
例えば,パケットには,第1のホスト端末13のIPアドレスが含まれている。この場合,スイッチ装置12は,記憶部にあらかじめ第1のホスト端末13のIPアドレスを記憶している。そこで,スイッチ装置12は,上記のMACアドレス認定工程の後,又はその工程の前に,IPアドレスを用いた認証を行ってもよい。このIPアドレスは,MACアドレスと同様の方法で暗号化されてもよいし,暗号化されていなくてもよい。スイッチ装置12は,記憶部から第1のホスト端末のIPアドレスを読み出す。そして,スイッチ装置12は,演算部に対し,読みだしたIPアドレスとパケットに含まれる(又は復号された)IPアドレスとが一致するか否か判断する演算を行わせる。このようにして,IPアドレスの認証を行うことができる。
上記の認証が成功したパケットは,スイッチ装置12から,第2のホスト端末14へと送信される。このようにして,なりすましを防ぐことができ,秘匿性の高い通信を行うことができる。
外部からのなり済ましがあった場合を検証する。この場合,仮にIPアドレス(又はMACアドレス)が漏えいしたとする。そして,攻撃者が,その漏えいしたIPアドレス(やMACアドレス)を用いて,あるホスト端末になりすまし,イントラネット内の別のホスト端末と情報交換をしようとしたとする。すると,すくなくとも通信に用いたパケットにおけるMACアドレスが,本発明の方法により暗号化されたものではないため,スイッチ装置がMACアドレスの認証を行って,攻撃者を見破ることができる。また,量子鍵を入手することや,パケットごとに異なる量子化鍵を攻撃者が見出すことは不可能であるため,本発明は,高い秘匿性を発揮できる。量子鍵配送装置は,量子鍵(QKD)生成装置又は乱数発生装置と鍵管理エージェント端末とを含んでいてもよい。そして,鍵管理エージェント端末は,許可されたユーザ端末やL2スイッチ(及びL3スイッチ)に対して,L2認証用の鍵をHTTPSにて供給してもよい。ユーザ端末とL2スイッチ間は,L2ヘッダを上記したように暗号化したものを用いて認証を行う。
次に,イントラネットで接続される内部のホスト端末から情報漏えいに関する攻撃があった場合を想定する。特に,送信元のIPアドレスを偽装する攻撃(ICMPダイレクト攻撃)を想定する。この例では,レベル2スイッチ(L2SW)に,ホストA〜Dの4つのホスト端末を含む端末が接続されている。そして,それぞれの端末は,L2SWのポートに接続されている。たとえば,ポート1に接続されるホスト端末Dの,MACアドレスがMAC−Dであり,IPアドレスがIP−Dであったとする。そして,この端末Dが,端末CのIPアドレスIP−Cを入手し,ホスト端末Cになり済ましたとする。そして,端末Dが,MACアドレスを暗号化し,端末Cになり済まして,ホスト端末Aと情報交換を行おうとしたとする。すると,L2SWは,MACアドレスを復号し,送信元のMACアドレスが端末DのMACアドレスであることを把握する。そして,L2SWは,端末DのMACアドレス(MAC−D)と関連させて端末DのIPアドレス(IP−D)を記憶している。このため,L2SWは,パケットに含まれているMACアドレスとIPアドレスとが一致しないと判断できる。このようにして,本発明は,あるイントラネット内の端末を乗っ取ったなりすまし攻撃をも防ぐことができる。
本発明は,情報通信の分野にて利用され得る。
1 通信システム;
11 量子鍵配送装置; 12 スイッチ装置; 13 第1のホスト端末; 14 第2のホスト端末
11 量子鍵配送装置; 12 スイッチ装置; 13 第1のホスト端末; 14 第2のホスト端末
Claims (6)
- 量子鍵又は共通乱数を配送するための量子鍵配送装置(11)と,
前記量子鍵配送装置(11)と情報を授受できるように接続されるスイッチ装置(12)と,
前記スイッチ装置(12)と情報を授受できるように接続される第1のホスト端末(13)と,
前記スイッチ装置(12)と情報を授受できるように接続される第2のホスト端末(14)とを含む通信システムを用いた通信方法であって、
前記スイッチ装置(12)が,前記量子鍵配送装置(11)から量子鍵を入手する工程と,
前記スイッチ装置(12)が,前記第1のホスト端末(13)及び前記第2のホスト端末(14)の認証を行い,それぞれのMACアドレスを取得する工程と,
前記スイッチ装置(12)が,前記第1のホスト端末(13)及び前記第2のホスト端末(14)へ前記量子鍵又は共通乱数を配布する工程と,
前記第1のホスト端末(13)が,送信するパケットに含まれる第1のホスト端末(13)のMACアドレスを,前記量子鍵又は共通乱数に対応したパケットごとに生成される暗号化鍵を用いて暗号化する工程と,
前記スイッチ装置(12)が前記第1のホスト端末(13)からパケットを受信し,前記第1のホスト端末(13)のMACアドレスを復号化し,MACアドレスの認証を行う工程と,
を含む,方法。 - 請求項1に記載の方法であって,
前記スイッチ装置(12)がMACアドレスを取得する際に,前記第1のホスト端末(13)のIPアドレスも取得し,
前記第1のホスト端末(13)は,前記送信するパケットに含まれる第1のホスト端末(13)のIPアドレスも更に前記量子鍵を用いて暗号化し,
前記スイッチ装置(12)は,第1のホスト端末(13)のMACアドレスを復号化する際に,前記第1のホスト端末(13)のIPアドレスも復号化し,
前記スイッチ装置(12)は,MACアドレスの認証を行った後に,前記復号化したIPアドレスが前記第1のホスト端末(13)のIPアドレスであるかについての認証を更に行う,
方法。 - 請求項1に記載の方法であって,前記量子鍵配送装置(11)は,前記量子鍵を配送するものである,方法。
- 請求項3に記載の方法であって,前記暗号化鍵は,前記量子鍵のうち暗号化に必要な部分である,方法。
- 量子鍵を配送するための量子鍵配送装置(11)と,
前記量子鍵配送装置(11)と情報を授受できるように接続されるスイッチ装置(12)と,
前記スイッチ装置(12)と情報を授受できるように接続される第1のホスト端末(13)と,
前記スイッチ装置(12)と情報を授受できるように接続される第2のホスト端末(14)とを含む通信システム(1)であって、
前記スイッチ装置(12)は,
前記量子鍵配送装置(11)から量子鍵を入手するための手段と,
前記第1のホスト端末(13)及び前記第2のホスト端末(14)の認証を行い,それぞれのMACアドレスを取得するための手段と,
前記第1のホスト端末(13)及び前記第2のホスト端末(14)へ前記量子鍵を配布するための手段と,
前記第1のホスト端末(13)からパケットを受信し,前記第1のホスト端末(13)のMACアドレスを復号化し,MACアドレスの認証を行うための手段と,
を有し,
前記第1のホスト端末(13)は,
送信するパケットに含まれる第1のホスト端末(13)のMACアドレスを,前記量子鍵に対応したパケットごとに生成される暗号化鍵を用いて暗号化するための手段を有する,
システム。 - 請求項5に記載のシステムであって,
前記スイッチ装置(12)は,
前記第1のホスト端末(13)のIPアドレスを取得するための手段と,
前記第1のホスト端末(13)のIPアドレスを復号化するための手段と,
前記復号化したIPアドレスが前記第1のホスト端末(13)のIPアドレスであるかについての認証を行うための手段とを更に有し,
前記第1のホスト端末(13)は,
前記送信するパケットに含まれる第1のホスト端末(13)のIPアドレスを前記量子鍵を用いて暗号化するための手段をさらに有する,
システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012041682A JP5791112B2 (ja) | 2012-02-28 | 2012-02-28 | 通信方法及び通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012041682A JP5791112B2 (ja) | 2012-02-28 | 2012-02-28 | 通信方法及び通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013179443A true JP2013179443A (ja) | 2013-09-09 |
| JP5791112B2 JP5791112B2 (ja) | 2015-10-07 |
Family
ID=49270719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012041682A Active JP5791112B2 (ja) | 2012-02-28 | 2012-02-28 | 通信方法及び通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5791112B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013207354A (ja) * | 2012-03-27 | 2013-10-07 | National Institute Of Information & Communication Technology | 量子鍵配送を利用した電子カルテの伝送方法及びシステム |
| JP7518037B2 (ja) | 2021-05-27 | 2024-07-17 | Kddi株式会社 | 通信解析システム、通信解析方法及びコンピュータプログラム |
-
2012
- 2012-02-28 JP JP2012041682A patent/JP5791112B2/ja active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013207354A (ja) * | 2012-03-27 | 2013-10-07 | National Institute Of Information & Communication Technology | 量子鍵配送を利用した電子カルテの伝送方法及びシステム |
| JP7518037B2 (ja) | 2021-05-27 | 2024-07-17 | Kddi株式会社 | 通信解析システム、通信解析方法及びコンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5791112B2 (ja) | 2015-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11533297B2 (en) | Secure communication channel with token renewal mechanism | |
| JP6797828B2 (ja) | クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム | |
| US10050955B2 (en) | Efficient start-up for secured connections and related services | |
| CN106411521B (zh) | 用于量子密钥分发过程的身份认证方法、装置及系统 | |
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| CN103428221B (zh) | 对移动应用的安全登录方法、系统和装置 | |
| JP5845393B2 (ja) | 暗号通信装置および暗号通信システム | |
| CN103546289B (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| CN108599925A (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
| CN104639516A (zh) | 身份认证方法、设备及系统 | |
| CN113806772A (zh) | 基于区块链的信息加密传输方法及装置 | |
| WO2016054905A1 (zh) | 一种数据处理方法 | |
| CN108599926A (zh) | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法 | |
| CN111130775A (zh) | 一种密钥协商方法、装置及设备 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| KR102415628B1 (ko) | Dim을 이용한 드론 인증 방법 및 장치 | |
| CN103138923B (zh) | 一种节点间认证方法、装置及系统 | |
| CN105591748B (zh) | 一种认证方法和装置 | |
| JP5791112B2 (ja) | 通信方法及び通信システム | |
| CN103312671B (zh) | 校验服务器的方法和系统 | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| KR101146509B1 (ko) | 모바일 보안카드를 이용한 인터넷 뱅킹 거래 시스템 및 그 방법 | |
| JP5354656B2 (ja) | 暗号通信システム、暗号通信方法、送信装置および受信装置 | |
| CN106027255B (zh) | 一种身份证读卡响应安全控制方法及装置 | |
| JP2002247023A (ja) | セッション共有鍵共有方法、ネットワーク端末認証方法、ネットワーク端末および中継装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141028 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150624 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150714 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150730 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5791112 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |