JP2013514018A - 交換デバイス間の安全な接続の構築方法及びシステム - Google Patents

交換デバイス間の安全な接続の構築方法及びシステム Download PDF

Info

Publication number
JP2013514018A
JP2013514018A JP2012543452A JP2012543452A JP2013514018A JP 2013514018 A JP2013514018 A JP 2013514018A JP 2012543452 A JP2012543452 A JP 2012543452A JP 2012543452 A JP2012543452 A JP 2012543452A JP 2013514018 A JP2013514018 A JP 2013514018A
Authority
JP
Japan
Prior art keywords
exchange
key
exchange device
field
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012543452A
Other languages
English (en)
Other versions
JP5540111B2 (ja
Inventor
琴 李
▲軍▼ 曹
莉 ▲葛▼
▲満▼霞 ▲鉄▼
振▲海▼ 黄
Original Assignee
西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 filed Critical 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司
Publication of JP2013514018A publication Critical patent/JP2013514018A/ja
Application granted granted Critical
Publication of JP5540111B2 publication Critical patent/JP5540111B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、交換デバイス間の安全な接続の構築方法及びシステムを開示し、当該システムは第一交換デバイスと第二交換デバイスを含み、第一交換デバイスは第二交換デバイスに交換キーネゴシエーションアクティブ化パケット及び交換キーネゴシエーション応答パケットを送信し、第二交換デバイスは第一交換デバイスに交換キーネゴシエーション要求パケットを送信する。本発明の実施形態は、二つずつの交換デバイスの間に共有の交換キーを構築することで、交換デバイス間のデータ機密伝送に安全ポリシーを提供し、データリンク層交換デバイス間データ伝送過程の機密性を保証する。また、交換デバイスの演算負荷及びパケットは送信側から受信側までの遅延を減少し、ネットワーク伝送効率を向上する。

Description

本願は、2009年12月18日に中国専利局に提出した、出願番号が200910219575.1であって、発明の名称が「交換デバイス間の安全な接続の構築方法及びシステム」である中国特許出願の優先権を主張し、本願で、その全ての内容を援用するものとする。
本発明は、ネットワーク通信技術分野に関し、具体的には交換デバイス間の安全な接続の構築方法及びシステムに関する。
一般的には、有線ローカルエリアネットワークは放送型ネットワークであり、1つのノードが送信したデータは、その他のノードのいずれも受信できる。ネットワークにおける各ノードがチャネルを共有して、それはネットワークに極めて大きな隠れたセキュリティ危険をもたらした。攻撃者は、ネットワークにアクセスしてモニタリングすることにより、ネットワークにおける全てのパケットを捕捉でき、キーポイント情報を盗むことができる。
既存の国家標準による定義のローカルエリアネットワーク(LAN、Local Area Network)は、安全なアクセス及びデータ機密保護方法を提供しておらず、ユーザーは、ローカルエリアネットワーク制御デバイス、例えばローカルエリアネットワーク交換デバイスにアクセスできれば、ローカルエリアネットワークにおけるデバイス或いはリソースにアクセスできる。初期のイントラネット有線LAN応用環境において、明らかな隠れた危険が存在していなかったが、ネットワークの大規模開発、ユーザーの情報プライバシーに対する要求の高度化に伴い、データリンク層のデータ機密保護を実現する必要がある。
有線ローカルエリアネットワークにおいて、IEEEはIEEE802.3に対して安全強化を行うことでリンク層の安全を実現する。IEEE802.1AEは、イーサネット(登録商標)を保護するためにデータ暗号化プロトコルを提供し、ホップバイホップ暗号化の安全対策を採用してネットワークエンティティ間での情報の安全伝達を実現する。しかしながら、このような安全措置は、交換デバイスに巨大な演算負荷をもたらし、攻撃者による交換デバイスへの攻撃を引き起こしやすい。さらに、パケットが送信側から受信側まで伝送される遅延も大きくなって、ネットワーク伝送の効率が低減される。
上記背景技術に存在する技術問題を解決するために、本発明の実施形態は、交換デバイス間の安全な接続の構築方法及びシステムを提供しており、二つずつの交換デバイスの間に共有の交換キーを構築することで、交換デバイス間のデータ機密伝送に安全ポリシーを提供し、データリンク層交換デバイス間のデータ伝送過程の機密性を保証する。また、当該安全メカニズムにおいて、交換デバイスは転送する必要のあるパケットの全てに対して復号化してから暗号化する処理を行う必要がなく、多くの転送する必要のあるパケットはそのままで透明伝送することができるため、IEEE802.1AE技術に比べて、交換デバイスの演算負荷を軽減し、ネットワーク伝送効率を向上することができる。
本発明は、交換デバイス間の安全な接続の構築方法を提供し、当該方法は、以下のステップを有し、即ち、
第一交換デバイスが、第二交換デバイスに交換キーネゴシエーションアクティブ化パケットを送信し、当該交換キーネゴシエーションアクティブ化パケットはNSW1フィールドを含み、
上記NSW1フィールドは交換キーネゴシエーションのフラグを示し、第一交換デバイスと第二交換デバイスの間の初回の交換キーネゴシエーション過程において、当該フィールドの値は第一交換デバイスが生成した乱数であり、更新の交換キーネゴシエーション過程において、当該フィールドの値は前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグの値であり、
第二交換デバイスが、第一交換デバイスにより送信された交換キーネゴシエーションアクティブ化パケットを受信した後に、交換キーネゴシエーション要求パケットを構成して第一交換デバイスに送信し、
第一交換デバイスが、第二交換デバイスによって送信された交換キーネゴシエーション要求パケットを受信した後に、交換キーネゴシエーション応答パケットを構成して第二交換デバイスに送信し、
第二交換デバイスが、第一交換デバイスによって送信された交換キーネゴシエーション応答パケットを受信した後に、第一交換デバイスがそれと一致する交換キーを既に取得したことを確認する。
本発明の実施形態は、さらに交換デバイスの安全な接続の構築システムを提供し、当該システムは、第二交換デバイスに交換キーネゴシエーションアクティブ化パケット及び交換キーネゴシエーション応答パケットを送信し、第二交換デバイスが送信した交換キーネゴシエーション要求パケットを受信する第一交換デバイスと、第一交換デバイスが送信した交換キーネゴシエーションアクティブ化パケットと交換キーネゴシエーション応答パケットと第一交換デバイスに送信した交換キーネゴシエーション要求パケットとを受信する第二交換デバイスとを含む。
本発明の実施形態のメリットは、隣接する交換デバイスの間で事前配布やその他のセキュリティメカニズムよって、共有のユニキャストキーが既に構築された上で、二つずつの交換デバイスの間に交換キーを構築し、当該キーを交換デバイス間のデータの機密通信過程に用いることにより、交換デバイス間のデータ機密伝送に安全ポリシーを提供し、データリンク層交換デバイス間データ伝送過程の機密性を保証し、ネットワークの安全性を向上する。
本発明の実施形態における交換ベーシックキー通知過程の模式図である。 本発明の実施形態における交換キーネゴシエーション過程の模式図である。 本発明の実施形態における隣接しない交換デバイス間の交換キー構築過程の模式図である。
本発明の実施形態で定義したユニキャストキーは、プロトコルデータキー(PDK、Protocol Data Key)とユーザーデータキー(UDK、User Data Key)との二つの部分を含み、プロトコルデータキーPDKはデバイス間のプロトコルデータにおけるキーデータの機密性及びプロトコルデータの完全性を保護するためのものであり、ユーザーデータキーUDKはデバイス間のユーザーデータの機密性と完全性を保護するためのものである。交換キーは、プロトコルデータ交換キーSW-PDK(SWitch Protocol Data Key)とユーザーデータ交換キーSW-UDK(SWitch User Data Key)を含む。交換キーの二つの構成部分はユニキャストキーの二つの構成部分と一対一対応する。
実際に応用する時に、プロトコルデータキーPDKと、ユーザーデータキーUDK或いはプロトコルデータ交換キーSW-PDKと、ユーザーデータ交換キーSW-UDKの構成は、ブロック暗号モードによって変更することがあり、データの機密性と完全性を保護するためのキーは同じであってもよく、異なってもよい。
図1〜図3を参照し、本発明の実施形態は、交換デバイス間の安全な接続の構築方法及びシステムを提供し、当該方法及びシステムにより、ローカルエリアネットワークにおける全ての交換デバイスの二つずつの間に、共有の交換キーを構築することができる。
説明の便宜上、以下の説明で、第一交換デバイスを交換デバイスSW1に記載し、第二交換デバイスを交換デバイスSW2に記載し、第三交換デバイスを交換デバイスSW-Mに記載する。
本発明の実施形態の方法において、交換デバイスSW1と交換デバイスSW2が隣接すると、それらの間の交換キーはそれらの間のユニキャストキーである。交換デバイスSW1と交換デバイスSW2が隣接しないと、それらの間の交換キーの構築は二つの過程に分けられ、即ち、交換ベーシックキー通知過程と交換キーネゴシエーション過程である。隣接しない交換デバイスSW1と交換デバイスSW2にとって、それらの間で事前配布やその他のセキュリティメカニズム(本発明の実施形態ではこれに対して定義及び制限をしない)により、既に交換ベーシックキーSW-BK(Switch Basic Key)が構築されていると、交換キーネゴシエーション過程を実行するだけで、交換キーの構築を完成することができる。それらの間に共有の交換ベーシックキーがないと、まず交換ベーシックキー通知過程を実行してから交換キーネゴシエーション過程を実行することで、交換キーの構築を完成させる必要がある。
隣接する交換デバイスの間のユニキャストキー自身はそれらの間の交換キーであるため、隣接する交換デバイスが事前配布やその他のセキュリティメカニズム(本発明の実施形態ではこれに対して定義及び制限をしない)により、既に共有のユニキャストキーが構築されていると、それらの間の交換キーが構築されていることに相当する。初期のネットワークに一つ或いは二つの交換デバイスがあり、その後に徐々に拡充することができる。したがって、交換デバイスSW1がカレントネットワークにおける交換デバイスSW-Mによりカレントネットワークにアクセスし、事前配布やその他のセキュリティメカニズムにより交換デバイスSW1と交換デバイスSW-M間のユニキャストキーが構築される同時に、それらの間の交換キーが構築され、且つカレントネットワークにおけるその他の隣接しない全ての交換デバイスの二つずつの間にも既に交換キーが構築されている。この時、交換デバイスSW-Mにより交換デバイスSW1とカレントネットワークにおける他の任意な交換デバイス(例えば交換デバイスSW2)の間の交換キーを構築することができる。交換デバイスSW1と交換デバイスSW2の間の交換キー構築過程は、本発明の実施形態で説明する交換ベーシックキー通知過程と交換キーネゴシエーション過程であり、具体的なステップは以下のようである。
1) 交換ベーシックキー通知過程:
交換ベーシックキー通知過程で、ネットワークにおける隣接しない交換デバイスSW1と交換デバイスSW2の間に交換ベーシックキーを構築し、このキーを交換キーネゴシエーション過程に利用して、交換デバイスSW1と交換デバイスSW2の間の共有の交換キーを構築する。
図1を参照し、交換ベーシックキー通知過程で、交換デバイスSW-Mにより乱数を生成して、交換デバイスSW2と交換デバイスSW1の間の交換ベーシックキーとし、この交換ベーシックキーを交換デバイスSW2と交換デバイスSW1に前後して通知する。当該過程は、交換デバイスSW-Mが交換デバイスSW2に対する交換ベーシックキー通知と、交換デバイスSW2の交換ベーシックキー通知応答と、交換デバイスSW-Mが交換デバイスSW1に対する交換ベーシックキー通知と、交換デバイスSW1の交換ベーシックキー通知応答と、の四つのステップを含む。なお、交換デバイスSW-Mが交換デバイスSW1に対する交換ベーシックキー通知及び交換デバイスSW1の交換ベーシックキー通知応答は、交換デバイスSW-Mが交換デバイスSW2に対する交換ベーシックキー通知及び交換デバイスSW2の交換ベーシックキー通知応答に類似し、ただ、通知における交換ベーシックキーによる使用のプロトコルデータ交換キーSW-PDKが異なるだけである。
1.1) 交換デバイスSW-Mが交換デバイスSW2に対する交換ベーシックキー通知
交換デバイスSW1がSW-Mによりネットワークへのアクセスが成功すると、交換デバイスSW1と交換デバイスSW-Mの間で、事前配布やその他のセキュリティメカニズム(本発明の実施形態でこれに対して定義と制限をしない)により、既に共有のユニキャストキー(プロトコルデータキーPDK1-M、ユーザーデータキーUDK1-M)が構築されており、このキーをそのまま、それらの間の交換キー(プロトコルデータ交換キーSW-PDK1-M、ユーザーデータ交換キーSW-UDK1-M)とする。上記前提説明により、交換デバイスSW-Mと交換デバイスSW2の間に既に交換キー(プロトコルデータキーPDK2-M、ユーザーデータキーUDK2-M)がある。交換デバイスSW-Mは、交換デバイスSW1と交換デバイスSW2の間で共有する交換ベーシックキーSW-BK 1-2を構築するために、まず、交換デバイスSW-Mが一つの乱数を生成し、交換デバイスSW1と交換デバイスSW2の間の交換ベーシックキーSW-BK 1-2とし、交換ベーシックキー通知パケットを構成して交換デバイスSW2に送信する。
交換ベーシックキー通知パケットの主な内容には、以下のものが含まれる。
KN2フィールド:交換デバイスSW2のキー通知フラグを示し、その値は整数であって、初期値は固定値であり、交換デバイスSW2に対して交換ベーシックキー通知を行う度に、当該フィールド値にインクリメントか或いは一つの固定値を加算して使用する。
E2フィールド:キー暗号化データを示し、交換デバイスSW-Mが交換デバイスSW2との間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、交換ベーシックキーSW-BK 1-2に対して暗号化した後のデータである。
MIC1フィールド:メッセージ識別コードを示し、交換デバイスSW-Mが交換デバイスSW2との間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、交換ベーシックキー通知パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値である。
1.2)交換デバイスSW2の交換ベーシックキー通知応答
交換デバイスSW2は、交換デバイスSW-Mが送信した交換ベーシックキー通知パケットを受信した後に、以下の処理を行う。
1.2.1)KN2フィールドが単調増加するかどうかを検査し、単調増加しないと、当該パケットを放棄し、さもなければ、ステップ1.2.2)を実行する。
1.2.2)交換デバイスSW-Mとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、MIC1フィールドが正確であるかどうかを検証し、正確でないと、当該パケットを放棄し、正確であると、ステップ1.2.3)を実行する。
1.2.3)交換デバイスSW-Mとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、E2フィールドを復号化すると、交換デバイスSW1との間の交換ベーシックキーSW-BK1-2が得られる。
1.2.4)今回のキー通知フラグKN2フィールドの値を保存し、交換ベーシックキー通知応答パケットを構成して、交換デバイスSW-Mに送信する。
交換ベーシックキー通知応答パケットの主な内容には、以下のものが含まれる。
KN2フィールド:キー通知フラグを示し、その値は受信した交換ベーシックキー通知パケットにおけるKN2フィールドの値と同じである。
MIC2フィールド:メッセージ識別コードを示し、交換デバイスSW2が交換デバイスSW-Mとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、交換ベーシックキー通知応答パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値である。
1.3) 交換デバイスSW-Mが交換デバイスSW1に対する交換ベーシックキー通知
交換デバイスSW-Mは交換デバイスSW2が送信した交換ベーシックキー通知応答パケットを受信した後に、以下の処理を行う。
1.3.1) KN2フィールドと先に交換デバイスSW2に送信した交換ベーシックキー通知パケットにおけるKN2フィールドの値が一致するかどうかを比較し、一致しないと、当該パケットを放棄し、一致すると、ステップ1.3.2)を実行する。
1.3.2)交換デバイスSW2との間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、MIC2フィールドの正確性を検証し、正確でないと、当該パケットを放棄し、正確であると、今回のキー通知フラグKN2フィールドの値を保存し、交換デバイスSW1と交換デバイスSW2の間の交換ベーシックキーSW-BK 1-2を交換デバイスSW2に対して通知する過程を完了し、ステップ1.3.3)を実行する。
1.3.3)交換デバイスSW-Mは先に交換デバイスSW2に通知した交換ベーシックキーSW-BK 1-2に基づいて、交換ベーシックキー通知パケットを構成して、交換デバイスSW1に送信する。
交換ベーシックキー通知パケットの主な内容には以下のものが含まれている。
KN1フィールド:交換デバイスSW1のキー通知フラグを示し、その値は整数であって、初期値は固定値であり、交換デバイスSW1に対して交換ベーシックキー通知を行う度に、当該フィールド値に対してインクリメントするか或いは一つの固定値を加算して使用する。
E1フィールド:キー暗号化データを示し、交換デバイスSW-Mが交換デバイスSW1との間のプロトコルデータ交換キーSW-PDK 1-Mを利用して、交換ベーシックキーSW-BK 1-2を暗号化した後のデータであり、交換ベーシックキーSW-BK 1-2は交換デバイスSW2に通知した交換ベーシックキーSW-BK 1-2と同じである。
MIC3フィールド:メッセージ識別コードを示し、交換デバイスSW-Mが交換デバイスSW1との間のプロトコルデータ交換キーSW-PDK 1-Mを利用して、交換ベーシックキー通知パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値である。
1.4) 交換デバイスSW1の交換ベーシックキー通知応答
交換デバイスSW1は、交換デバイスSW-Mが送信した交換ベーシックキー通知パケットを受信した後に、以下の処理を行う。
1.4.1) KN1フィールドが単調増加するかどうかを検査し、単調増加しないと、当該パケットを放棄し、さもなければ、ステップ1.4.2)を実行する。
1.4.2) 交換デバイスSW-Mとの間のプロトコルデータ交換キーSW-PDK 1-Mを利用してMIC3フィールドが正確であるかどうかを検証し、正確でないと、当該パケットを放棄し、正確であると、ステップ1.4.3)を実行する。
1.4.3) 交換デバイスSW-Mとの間のプロトコルデータ交換キーSW-PDK 1-Mを利用して、E1フィールドを復号化して、交換デバイスSW2との間の交換ベーシックキーSW-BK1-2が得られる。
1.4.4)今回のキー通知フラグKN1フィールドの値を保存し、交換ベーシックキー通知応答パケットを構成して交換デバイスSW-Mに送信する。
交換ベーシックキー通知応答パケットの主な内容には、以下のものが含まれる。
KN1フィールド:交換デバイスSW1のキー通知フラグを示し、その値は受信した交換ベーシックキー通知パケットにおけるKN1フィールドの値と同じである。
MIC4フィールド:メッセージ識別コードを示し、交換デバイスSW1が交換デバイスSW-Mとの間のプロトコルデータ交換キーSW-PDK 1-Mを利用して、交換ベーシックキー通知応答パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値である。
1.5) 交換デバイスSW-Mは交換デバイスSW1が送信した交換ベーシックキー通知応答パケットを受信した後に、以下の処理を行う。
1.5.1) KN1フィールドと先に交換デバイスSW1に送信した交換ベーシックキー通知パケットにおけるKN1フィールドの値が一致するかどうかを比較し、一致しないと、当該パケットを放棄し、一致すると、ステップ1.5.2)を実行する。
1.5.2)交換デバイスSW1との間のプロトコルデータ交換キーSW-PDK 1-Mを利用してMIC4フィールドの正確性を検証し、正確であると、今回のキー通知フラグKN1フィールドの値を保存し、交換デバイスSW1と交換デバイスSW2の間の交換ベーシックキーSW-BK 1-2を交換デバイスSW1に対して通知する過程を完了させ、つまり、交換デバイスSW1と交換デバイスSW2の間の交換ベーシックキーの構築を完成させる。正確でないと、当該パケットを放棄する。
具体的に実現する際に、交換デバイスSW2と交換デバイスSW1に対する通知が失敗すると、再通知メカニズムにより再通知を行うことができる。交換デバイスSW1が交換デバイスSW-Mによりネットワークにアクセスし、交換デバイスSW-Mが交換デバイスSW2に対する通知は設定された最大再通知回数に達しても成功していない場合に、交換デバイスSW1と交換デバイスSW2に対して一致した交換ベーシックキーを構築することができないと見なし、プロトコルを終止する。交換デバイスSW2に対する通知が成功したが、交換デバイスSW1に対する通知は、設定された最大再通知回数に達しても成功していない場合に、交換デバイスSW1と交換デバイスSW2に対して一致した交換ベーシックキーを構築することができないと見なし、この時に、交換デバイスSW2に、構築したばかりの、交換デバイスSW1との間の交換ベーシックキーを取り消すことを通知し、つまり、交換デバイスSW-Mは、交換ベーシックキー通知パケットを構成して交換デバイスSW2に送り、交換デバイスSW2に、既に構築した交換デバイスSW1との間の交換ベーシックキーを削除することを通知する。
交換デバイスSW-Mは、交換デバイスSW1と交換デバイスSW2の間の交換ベーシックキーを更新或いは取り消しする必要があると、交換ベーシックキー通知パケットを構成して、交換デバイスSW2或いは交換デバイスSW1に送信して、交換デバイスSW2或いは交換デバイスSW1に、交換デバイスSW1或いは交換デバイスSW2との間の交換ベーシックキーを更新或いは取り消しすることを要求することができる。交換ベーシックキーの更新或いは取り消しする過程は、交換ベーシックキーの構築過程と同じであり、具体的に実現する際に、上記交換ベーシックキー通知過程における各パケットに一つのフラグフィールドを増加することで区別を行うことができ、交換デバイスSWによって交換デバイスSW1と交換デバイスSW2間の交換ベーシックキーの構築、取り消し或は更新過程が完成されると標識するために用いる。
2)交換キーネゴシエーション過程:
交換キーネゴシエーション過程では、交換デバイスSW1と交換デバイスSW2とがそれらの間の交換ベーシックキーSW-BK 1-2を利用して、共有の交換キー(プロトコルデータ交換キーSW-PDK 1-2、ユーザーデータ交換キーSW-UDK 1-2)をネゴシエーションする。図2を参照し、交換キーネゴシエーション過程は、交換キーネゴシエーションアクティブ化パケットと、交換キーネゴシエーション要求パケットと、交換キーネゴシエーション応答パケットと、交換キーネゴシエーション確認パケットとの四つのパケットを含む。なお、交換キーネゴシエーション確認パケットは、選択可能なものであり、つまり、具体的な実現過程で、交換デバイスSW2は交換デバイスSW1に交換キーネゴシエーション確認パケットを送信してもよく、交換キーネゴシエーション確認パケットを送信しなくてもよい。本発明で具体的実現ポリシーは限定しない。交換キーネゴシエーション具体的過程は以下のようである。
2.1) 交換デバイスSW1が交換デバイスSW2に交換キーネゴシエーションアクティブ化パケットを送信する。
交換デバイスSW1と交換デバイスSW2とが、既に二つずつの間の交換ベーシックキーSW-BK 1-2の配置ができて、交換キー(プロトコルデータ交換キーSW-PDK 1-2、ユーザーデータ交換キーSW-UDK 1-2)を構築しようとする時、或いは交換ベーシックキー通知過程で交換ベーシックキーSW-BK 1-2を既に構築した時に、交換デバイスSW1が交換キーネゴシエーションアクティブ化パケットを交換デバイスSW2に送信して交換キーネゴシエーション過程を開始する。
交換キーネゴシエーションアクティブ化パケットの主な内容には以下のものが含まれる。
NSW1フィールド:交換キーネゴシエーションのフラグを示し、交換デバイスSW1と交換デバイスSW2の初回の交換キーネゴシエーション過程であれば、当該フィールドの値は交換デバイスSW1が生成した乱数であり、更新の交換キーネゴシエーション過程であれば、当該フィールドの値は前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグの値である。
2.2) 交換デバイスSW2が交換デバイスSW1に交換キーネゴシエーション要求パケットを送信する。
交換デバイスSW2は交換デバイスSW1が送信した交換キーネゴシエーションアクティブ化パケットを受信した後に、以下の処理を行う。
2.2.1)今回の交換キーネゴシエーション過程が更新過程であれば、交換デバイスSW2は、パケットにおける交換キーネゴシエーションフラグNSW1フィールドの値は、前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグの値と一致するかどうかを検査し、一致しないと、当該パケットを放棄し、一致すると、ステップ2.2.2)を実行する。初回の交換キーネゴシエーション過程であれば、直接にステップ2.2.2)を実行する。
2.2.2)問い合わせNSW2を生成し、交換デバイスSW1との交換ベーシックキーSW-BK 1-2、交換キーネゴシエーションフラグNSW1及び交換デバイスSW2が生成した問い合わせNSW2を利用して、交換デバイスSW1との間の交換キー(プロトコルデータ交換キーSW-PDK 1-2、ユーザーデータ交換キーSW-UDK 1-2)及び次回の交換キーネゴシエーション過程における交換キーネゴシエーションフラグNSW1を算出して保存する。
2.2.3)算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、ローカルでメッセージ識別コードMIC5を算出し、交換キーネゴシエーション要求パケットを構成して交換デバイスSW1に送信する。
交換キーネゴシエーション要求パケットの主な内容には、以下のものが含まれる。
NSW2フィールド:交換デバイスSW2の問い合わせを示し、交換デバイスSW2が生成した乱数である。
NSW1フィールド:交換キーネゴシエーションフラグを示し、交換デバイスSW1と交換デバイスSW2の初回の交換キーネゴシエーション過程であれば、当該フィールドの値は、交換キーネゴシエーションアクティブ化パケットにおけるNSW1フィールドの値に依存し、交換キーネゴシエーション更新過程であれば、当該フィールドの値は前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグ値である。
MIC5フィールド:メッセージ識別コードを示し、交換デバイスSW2は、算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション要求パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値である。
2.3) 交換デバイスSW1が交換デバイスSW2に交換キーネゴシエーション応答パケットを送信する。
交換デバイスSW1は交換デバイスSW2が送信した交換キーネゴシエーション要求パケットを受信した後に、以下の処理を行う。
2.3.1)今回の交換キーネゴシエーション過程が更新過程であれば、パケットにおけるNSW1フィールドと前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグ値とが一致するかどうかを検査し、一致しないと、当該パケットを放棄し、一致すると、ステップ2.3.2)を実行する。初回の交換キーネゴシエーション過程であれば、パケットにおけるNSW1フィールド値と交換キーネゴシエーションアクティブ化パケットにおけるNSW1フィールド値とが一致するかどうかを検査する必要があり、一致しないと、当該パケットを放棄し、一致すると、ステップ2.3.2)を実行する。
2.3.2)交換デバイスSW2との間の交換ベーシックキーSW-BK1-2、交換キーネゴシエーションフラグNSW1及び交換デバイスSW2の問い合わせNSW2を利用して、交換デバイスSW2との間の交換キー(プロトコルデータ交換キーSW-PDK 1-2、ユーザーデータ交換キーSW-UDK 1-2)及び次回の交換キーネゴシエーション過程の交換キーネゴシエーションフラグNSW1を算出して保存する。
2.3.3)算出した交換キーにおけるプロトコルデータ交換キーSW-PDK1-2を利用して、交換キーネゴシエーション要求パケットにおけるMIC5フィールドの正確性を検証し、正確でないと、当該パケットを放棄し、正確であると、ステップ2.3.4)を実行する。
2.3.4)算出した交換キーにおけるプロトコルデータ交換キーSW-PDK1-2を利用して、ローカルでメッセージ識別コードMIC6を算出し、交換キーネゴシエーション応答パケットを構成して交換デバイスSW2に送信する。
交換キーネゴシエーション応答パケットの主な内容には以下のものが含まれる。
NSW2フィールド:交換デバイスSW2の問い合わせを示し、交換デバイスSW2が生成した乱数であり、その値は交換キーネゴシエーション要求パケットにおけるNSW2フィールドの値と同じである。
MIC6フィールド:メッセージ識別コードを示し、交換デバイスSW1は、算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション応答パケットにおける本フィールド以外の他のフィールド或いは交換キーネゴシエーション応答パケットにおける本フィールド以外の他のフィールド及び算出した次回の交換キーネゴシエーション過程における交換キーネゴシエーションフラグNSW1に対してハッシュ関数によって算出したハッシュ値である。
2.4) 交換デバイスSW2は交換デバイスSW1の交換キーを確認する。
交換デバイスSW2は交換デバイスSW1が送信した交換キーネゴシエーション応答パケットを受信した後に、以下の処理を行う。
2.4.1) NSW2フィールドと先に送信した交換キーネゴシエーション要求パケットにおけるNSW2フィールドとが一致するかどうかを検査し、一致しないと、当該フィールドを放棄し、一致すると、ステップ2.4.2)を実行する。
2.4.2) 算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション応答パケットにおけるMIC6フィールドの正確性を検証し、正確でないと、当該パケットを放棄し、さもなければ、交換デバイスSW2は交換デバイスSW1がそれと一致する交換キーを取得したと確認する。
図2を参照し、本発明の実施形態フローは、ステップ2.4)の後にさらに以下のステップを含む。
2.5) 交換デバイスSW2は交換デバイスSW1に交換キーネゴシエーション確認パケットを送信する。
交換デバイスSW2が交換キーネゴシエーション確認パケットを構成する必要がある場合に、交換デバイスSW2は、算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、ローカルでメッセージ識別コードMIC7を算出し、交換キーネゴシエーション確認パケットを構成して交換デバイスSW1に送信する。当該交換キーネゴシエーション確認パケットは選択可能なものであり、つまり、具体的な実現過程で、交換デバイスSW2が、交換デバイスSW1に交換キーネゴシエーション確認パケットを送信してもよく、交換キーネゴシエーション確認パケットを送信しなくてもよく、本発明で、具体的実現ポリシーを限定しない。
交換キーネゴシエーション確認パケットの主な内容には以下のものが含まれる。
NSW1フィールド:交換キーネゴシエーションフラグを示し、その値は交換キーネゴシエーション要求パケットにおけるNSW1フィールドの値と同じである。
MIC7フィールド:メッセージ識別コードを示し、交換デバイスSW2は、算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション確認パケットにおける本フィールド以外の他のフィールド或いは交換キーネゴシエーション確認パケットにおける本フィールド以外の他のフィールド及び算出した次回の交換キーネゴシエーション過程における交換キーネゴシエーションフラグNSW1に対してハッシュ関数によって算出したハッシュ値である。
2.6) 交換デバイスSW1は交換デバイスSW2の交換キーを確認する。
交換デバイスSW1は交換デバイスSW2が送信した交換キーネゴシエーション確認パケットを受信した後に、以下の処理を行う。
2.6.1) NSW1フィールド値と受信した交換キーネゴシエーション要求パケットにおけるNSW1フィールド値とが一致するかどうかを検査し、一致しないと、当該パケットを放棄し、一致すると、ステップ2.6.2)を実行する。
2.6.2)算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション確認パケットにおけるMIC7フィールドの正確性を検証し、正確でないと、当該パケットを放棄し、正確であると、交換デバイスSW1は交換デバイスSW2がそれと一致する交換キーを取得したと確認する。
上記交換デバイス間の安全な接続の構築方法には、さらに以下の特徴が含まれる。
交換デバイスSW1或いは交換デバイスSW2は、交換デバイスSW2或いは交換デバイスSW1との間の交換キーを更新するか或は取り消しするかの必要がある場合に、交換デバイスSW1或いは交換デバイスSW2は交換キーネゴシエーションアクティブ化パケットを構成して交換デバイスSW2或いは交換デバイスSW1に送信し、交換デバイスSW2或いは交換デバイスSW1に交換デバイスSW1或いは交換デバイスSW2との間の交換キーを更新するか或は取り消しするかを要求する。交換キーの更新や取り消しの過程は、交換キーのネゴシエーション過程とが同じであり、具体的に実現する際に、上記の交換キーネゴシエーション過程における各パケットにフラグフィールドを加えることで区別し、交換デバイスSW1と交換デバイスSW2の間の交換キーのネゴシエーション、取り消し或いは更新を標識することに用いられる。
図3に示すように、交換デバイスSW-Mはカレントネットワークにおける交換デバイスであり、交換デバイスSW1は交換デバイスSW-Mを介してネットワークにアクセスしようとする交換デバイスであり、交換デバイスSW2はカレントネットワークにおける交換デバイスSW-M以外の他の任意な交換デバイスである。
上記の前提説明により、カレントネットワークにおける全ての交換デバイスの二つずつの間に交換キーがある。従って、交換デバイスSW-Mと交換デバイスSW2の間に交換キーがあり、即ち、図3に示す交換デバイスSW-Mと交換デバイスSW2の間の「(一)(SW-PDK 2-M,SW-UDK 2-M)」である。
交換デバイスSW1が交換デバイスSW-Mを介してカレントネットワークにアクセスする際に、事前配布やその他のセキュリティメカニズムにより、交換デバイスSW1とSW-Mの間のユニキャストキーが既に構築されており、このユニキャストキー自身は、それらの間の交換キーであり、図3における交換デバイスSW-Mと交換デバイスSW1の間の「(SW-PDK 1-M,SW-UDK 1-M)=(PDK 1-M,UDK 1-M)」に示すようである。
その後、交換デバイスSW1はカレントネットワークにおける他の全ての交換デバイスと交換キーを構築しようとする。交換デバイスSW2を例とし、交換デバイスSW1と交換デバイスSW2の間に共有の交換ベーシックキーを配置していないと、図における八つのパケット交換過程によりそれらの間の交換キーを構築する必要があり、図3における過程「(二)」と「(三)」のようである。交換デバイスSW1と交換デバイスSW2の間に既に共有の交換ベーシックキーが配置されていると、直接に五つ目のパケットを発し、図3における過程「(三)」だけでそれらの間の交換キーを構築することができる。
図における「(一)」は本発明の実施形態における前提説明であり、隣接する交換デバイスの間で事前配布やその他のセキュリティメカニズムにより、ユニキャストキーが既に構築されており、カレントネットワークにおいて交換デバイスの間で交換キーが既に構築される。図における「(二)」、「(三)」は本発明の実施形態で記述した交換ベーシックキー通知過程と交換キーネゴシエーション過程である。
図3に示す過程により、交換デバイスSW1と交換デバイスSW2の間で交換キー(SW-PDK 1-2,SW-UDK 1-2)を構築し、交換デバイスSW1から交換デバイスSW2へのパケットはそれらの間のユーザーデータ交換キーSW-UDK 1-2を使用して暗号化処理とデータ完全性保護を行うことができる。交換デバイスSW1が交換デバイスSW2にデータを送信する必要がある場合に、交換デバイスSW1は交換デバイスSW2との間のユーザーデータ交換キーSW-UDK 1-2を利用してデータに対して暗号化して送信し、中間の交換デバイス、例えばSW-Mは復号化してから暗号化する処理を行う必要がなく、パケットをそのままで透明伝送して、パケットは、最終的に、交換デバイスSW2がSW1とのユーザーデータ交換キーSW-UDK 1-2を利用して復号化処理を行う。
交換デバイスが共有の交換ベーシックキーを配置しているか否か等の情報は、交換デバイスSW-Mが交換ベーシックキー通知過程を発する必要があるかを判断するように、交換デバイスSW1が識別過程にアクセスする最中に交換デバイスSW-Mに通知し、具体的実現細部は本発明の実施形態で制限と定義をしない。
複数回の交換ベーシックキー通知過程と交換キーネゴシエーション過程により、交換デバイスSW1はネットワークにおける全ての他の交換デバイスと交換キーを構築することができる。最終的に、ネットワークにおける全ての交換デバイスの二つずつの間に交換キーを有し、つまり、ネットワークにおける交換デバイス間の安全な接続を構築した。その後、交換デバイス間のユーザーデータの機密通信はそれらの間の交換キーにおけるユーザーデータキーUDKをそのまま使用して保護することができる。
本発明の実施形態の交換デバイス間の安全な接続の構築システムは、交換デバイスSW2に交換キーネゴシエーションアクティブ化パケット及び交換キーネゴシエーション応答パケットを送信し、交換デバイスSW2が送信した交換キーネゴシエーション要求パケットを受信する交換デバイスSW1と、交換デバイスSW1が送信した交換キーネゴシエーションアクティブ化パケット及び交換キーネゴシエーション応答パケットを受信し、交換デバイスSW1に交換キーネゴシエーション要求パケットを送信する交換デバイスSW2とを含む。
本発明の実施形態の交換デバイス間の安全な接続の構築システムにおいて、交換デバイスSW2は交換デバイスSW1に交換キーネゴシエーション確認パケットを送信することもでき、この時、交換デバイスSW1は交換デバイスSW2が送信した交換キーネゴシエーション確認パケットを受信する。
本発明の実施形態の交換デバイス間の安全な接続の構築システムは、さらに、交換デバイスSW2或いは交換デバイスSW1に交換ベーシックキー通知パケットを送信し、交換デバイスSW2或いは交換デバイスSW1が送信した交換ベーシックキー通知応答パケットを受信する交換デバイスSW-Mを含む。この時、上記システムにおける交換デバイスSW2は交換デバイスSW-Mが送信した交換ベーシックキー通知パケットを受信し、交換デバイスSW-Mに交換ベーシックキー通知応答パケットを送信する。上記システムにおける交換デバイスSW1はSW-Mが送信した交換ベーシックキー通知パケットを受信し、交換デバイスSW-Mに交換ベーシックキー通知応答パケットを送信する。
SW1、SW2、SW-M 交換デバイス
(一) (SW-PDK 2-M,SW-UDK 2-M
(二)、(三) 過程

Claims (16)

  1. 交換デバイス間の安全な接続の構築方法であって、
    第一交換デバイスが、第二交換デバイスに交換キーネゴシエーションアクティブ化パケットを送信し、当該交換キーネゴシエーションアクティブ化パケットはNSW1フィールドを含み、
    上記NSW1フィールドは交換キーネゴシエーションのフラグを示し、第一交換デバイスと第二交換デバイスの間の初回の交換キーネゴシエーション過程において、当該フィールドの値は第一交換デバイスが生成した乱数であり、更新の交換キーネゴシエーション過程において、当該フィールドの値は前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグの値であり、
    第二交換デバイスが、第一交換デバイスによって送信された交換キーネゴシエーションアクティブ化パケットを受信した後に、交換キーネゴシエーション要求パケットを構成して第一交換デバイスに送信し、
    第一交換デバイスが、第二交換デバイスによって送信された交換キーネゴシエーション要求パケットを受信した後に、交換キーネゴシエーション応答パケットを構成して第二交換デバイスに送信し、
    第二交換デバイスが、第一交換デバイスによって送信された交換キーネゴシエーション応答パケットを受信した後に、第一交換デバイスがそれと一致する交換キーを既に取得したかを確認する、
    ステップを含むことを特徴とする交換デバイス間の安全な接続の構築方法。
  2. 上記第二交換デバイスが、交換キーネゴシエーション要求パケットを構成して第一交換デバイスに送信するステップにおいて、
    今回の交換キーネゴシエーション過程が更新過程であれば、第二交換デバイスは、交換キーネゴシエーションアクティブ化パケットにおける交換キーネゴシエーションフラグNSW1フィールドの値と前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグの値とが一致するかどうかを検査し、
    一致するか、或いは今回の交換キーネゴシエーション過程が初回の交換キーネゴシエーション過程であれば、問い合わせNSW2を生成し、第一交換デバイスとの間の交換ベーシックキーSW-BK 1-2、交換キーネゴシエーションフラグNSW1及び第二交換デバイスの問い合わせNSW2を利用して、第一交換デバイスとの間の交換キー及び次回の交換キーネゴシエーション過程の交換キーネゴシエーションフラグNSW1を算出して保存し、上記第一交換デバイスとの間の交換キーは、プロトコルデータ交換キーSW-PDK 1-2及びユーザーデータ交換キーSW-UDK 1-2であり、
    算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、ローカルでメッセージ識別コードMIC5を算出し、交換キーネゴシエーション要求パケットを構成して第一交換デバイスに送信し、当該交換キーネゴシエーション要求パケットは、NSW2フィールドと、NSW1フィールドと、MIC5フィールドとを含み、
    NSW2フィールド:第二交換デバイスの問い合わせを示し、第二交換デバイスが生成した乱数であり、
    NSW1フィールド:交換キーネゴシエーションフラグを示し、第一交換デバイスと第二交換デバイスの間の初回の交換キーネゴシエーション過程であれば、当該フィールドの値は交換キーネゴシエーションアクティブ化パケットにおけるNSW1フィールドの値に直接に依存し、交換キーネゴシエーション更新過程であれば、当該フィールドの値は前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグ値であり、
    MIC5フィールド:メッセージ識別コードを示し、第二交換デバイスが、算出された交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション要求パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値であることを特徴とする請求項1に記載の交換デバイス間の安全な接続の構築方法。
  3. 上記交換キーネゴシエーション応答パケットを第二交換デバイスに送信するステップにおいて、
    今回の交換キーネゴシエーション過程が更新過程であれば、上記交換キーネゴシエーション要求パケットにおける交換キーネゴシエーションフラグNSW1フィールドと、前回の交換キーネゴシエーション過程で算出した交換キーネゴシエーションフラグ値とが一致するかどうかを検査し、初回の交換キーネゴシエーション過程であれば、上記交換キーネゴシエーション要求パケットにおける交換キーネゴシエーションフラグNSW1フィールド値と交換キーネゴシエーションアクティブ化パケットにおける交換キーネゴシエーションフラグNSW1フィールド値とが一致するかどうかを検査し、
    一致すると、第二交換デバイスとの間の交換ベーシックキーSW-BK 1-2、交換キーネゴシエーションフラグNSW1及び第二交換デバイスの問い合わせNSW2を利用して、第二交換デバイスとの間の交換キー及び次回の交換キーネゴシエーション過程の交換キーネゴシエーションフラグNSW1を算出して保存し、上記第二交換デバイスとの間の交換キーはプロトコルデータ交換キーSW-PDK 1-2と、ユーザーデータ交換キーSW-UDK 1-2とを含み、
    算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション要求パケットにおけるMIC5フィールドが正確であるかどうかを検証し、
    正確であると、算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用してローカルでメッセージ識別コードMIC6を算出し、交換キーネゴシエーション応答パケットを構成して第二交換デバイスに送信し、
    NSW2フィールド:第二交換デバイスの問い合わせを示し、第二交換デバイスが生成した乱数であり、その値は交換キーネゴシエーション要求パケットにおけるNSW2フィールドの値と同じであり、
    MIC6フィールド:メッセージ識別コードを示し、第一交換デバイスが、算出された交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション応答パケットにおける本フィールド以外の他のフィールド或いは交換キーネゴシエーション応答パケットにおける本フィールド以外の他のフィールド及び算出した次回の交換キーネゴシエーション過程における交換キーネゴシエーションフラグNSW1に対してハッシュ関数によって算出したハッシュ値であることを特徴とする請求項2に記載の交換デバイス間の安全な接続の構築方法。
  4. 上記第二交換デバイスが、第一交換デバイスがそれと一致する交換キーを既に取得したかを確認するステップにおいて、
    第二交換デバイスが、上記交換キーネゴシエーション応答パケットにおける第二交換デバイスの問い合わせNSW2フィールドと先に送信した交換キーネゴシエーション要求パケットにおける第二交換デバイスの問い合わせNSW2フィールドとが一致するかどうかを検査し、
    一致すると、算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション応答パケットにおける第二交換デバイスの問い合わせMIC6フィールドが正確であるかどうかを検証し、正確であると、第二交換デバイスが、第一交換デバイスがそれと一致する交換キーを取得したと確認することを特徴とする請求項3に記載の交換デバイス間の安全な接続の構築方法。
  5. 上記方法は、
    第二交換デバイスが、交換キーネゴシエーション確認パケットを構成する必要がある場合に、第二交換デバイスは算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、ローカルでメッセージ識別コードMIC7を算出し、交換キーネゴシエーション確認パケットを構成して第一交換デバイスに送信し、当該交換キーネゴシエーション確認パケットは、NSW1フィールド及びMIC7フィールドを含み、
    NSW1フィールド:交換キーネゴシエーションフラグを示し、その値は交換キーネゴシエーション要求パケットにおけるNSW1フィールドの値と同じであり、
    MIC7フィールド:メッセージ識別コードを示し、第二交換デバイスが、算出された交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション確認パケットにおける本フィールド以外の他のフィールド或いは交換キーネゴシエーション確認パケットにおける本フィールド以外の他のフィールド及び算出した次回の交換キーネゴシエーション過程における交換キーネゴシエーションフラグNSW1に対してハッシュ関数によって算出したハッシュ値であり、
    第一交換デバイスが第二交換デバイスによって送信された交換キーネゴシエーション確認パケットを受信した後に、第二交換デバイスがそれと一致する交換キーを既に取得したかを確認するステップをさらに含むことを特徴とする請求項4に記載の交換デバイス間の安全な接続の構築方法。
  6. 上記第一交換デバイスが、第二交換デバイスがそれと一致する交換キーを既に取得したかを確認するステップにおいて、
    第一交換デバイスが、上記交換キーネゴシエーション確認パケットにおける交換キーネゴシエーションフラグNSW1フィールド値と受信した交換キーネゴシエーション要求パケットにおける交換キーネゴシエーションフラグNSW2フィールド値とが一致するかどうかを検査し、
    一致すると、算出した交換キーにおけるプロトコルデータ交換キーSW-PDK 1-2を利用して、交換キーネゴシエーション確認パケットにおけるメッセージ識別コードMIC7フィールドの正確性を検証し、正確であると、第一交換デバイスが、第二交換デバイスがそれと一致する交換キーを取得したと確認することを特徴とする請求項5に記載の交換デバイス間の安全な接続の構築方法。
  7. 第一交換デバイスは、第二交換デバイスとの間の交換キーを更新するか或は取り消しするかの必要がある場合に、第一交換デバイスは交換キーネゴシエーションアクティブ化パケットを構成して第二交換デバイスに送信し、第二交換デバイスに第一交換デバイスとの間の交換キーを更新するか或は取り消しするかを要求し、或は、
    第二交換デバイスは、第一交換デバイスとの間の交換キーを更新するか或は取り消しするかの必要がある場合に、第二交換デバイスは交換キーネゴシエーションアクティブ化パケットを構成して第一交換デバイスに送信し、第一交換デバイスに第二交換デバイスとの間の交換キーを更新するか或は取り消しするかを要求することを特徴とする請求項6に記載の交換デバイス間の安全な接続の構築方法。
  8. 第一交換デバイスが第三交換デバイスを介してネットワークへのアクセスが成功すると、第一交換デバイスと第三交換デバイスの間で、既に共有のユニキャストキーが構築され、そのまま当該キーをそれらの間の交換キーとし、第三交換デバイスと第二交換デバイスの間で既に交換キーを構築した後に、上記方法は、
    第一交換デバイスが第二交換デバイスに交換キーネゴシエーションアクティブ化パケットを送信する前に、第三交換デバイスが交換ベーシックキー通知パケットを構成して第二交換デバイスに送信し、当該交換ベーシックキー通知パケットは、KN2フィールドと、E2フィールドと、MIC1フィールドとを含み、
    KN2フィールド:第二交換デバイスのキー通知フラグを示し、その値は整数であって、初期値は固定値であり、第二交換デバイスに対して交換ベーシックキー通知を行う度に、当該フィールド値に対してインクリメントするか或いは一つの固定値を加算して使用し、
    E2フィールド:キー暗号化データを示し、第三交換デバイスが第二交換デバイスとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、交換ベーシックキーSW-BK 1-2を暗号化した後のデータであり、
    MIC1フィールド:メッセージ識別コードを示し、第三交換デバイスが第二交換デバイスとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、交換ベーシックキー通知パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値であり、
    第二交換デバイスが、第三交換デバイスによって送信された交換ベーシックキー通知パケットを受信した後に、交換ベーシックキー通知応答パケットを構成して第三交換デバイスに送信し、
    第三交換デバイスが、第二交換デバイスによって送信された交換ベーシックキー通知応答パケットを受信した後に、交換ベーシックキー通知パケットを構成して第一交換デバイスに送信し、
    第一交換デバイスが、第三交換デバイスによって送信された交換ベーシックキー通知パケットを受信した後に、交換ベーシックキー通知応答パケットを構成して第三交換デバイスに送信し、
    第三交換デバイスが、第一交換デバイスによって送信された交換ベーシックキー通知応答パケットを受信する、
    ステップをさらに含むことを特徴とする請求項1〜7の何れか一項に記載の交換デバイス間の安全な接続の構築方法。
  9. 上記第二交換デバイスが、交換ベーシックキー通知応答パケットを構成して第三交換デバイスに送信するステップにおいて、
    第二交換デバイスは、上記交換ベーシックキー通知パケットにおけるキー通知フラグKN2フィールドが単調増加するかどうかを検査し、
    単調増加すると、第三交換デバイスとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用してMIC1フィールドが正確であるかどうかを検証し、
    正確であると、第三交換デバイスとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、キー暗号化データE2フィールドを復号化して、第一交換デバイスとの間の交換ベーシックキーSW-BK1-2を取得し、
    今回のキー通知フラグKN2フィールドの値を保存し、交換ベーシックキー通知応答パケットを構成して第三交換デバイスに送信し、当該交換ベーシックキー通知応答パケットは、KN2フィールド及びMIC2フィールドを含み、
    KN2フィールド:第二交換デバイスのキー通知フラグを示し、その値は受信した交換ベーシックキー通知パケットにおけるキー通知フラグKN2フィールドの値と同じであり、
    MIC2フィールド:メッセージ識別コードを示し、第二交換デバイスが第三交換デバイスとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用して、交換ベーシックキー通知応答パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値であることを特徴とする請求項8に記載の交換デバイス間の安全な接続の構築方法。
  10. 上記第三交換デバイスが、交換ベーシックキー通知パケットを構成して第一交換デバイスに送信するステップにおいて、
    第三交換デバイスが、上記交換ベーシックキー通知応答パケットにおけるキー通知フラグKN2フィールドと先に第二交換デバイスに送信した交換ベーシックキー通知パケットにおけるキー通知フラグKN2フィールドとの値が一致するかどうかを比較し、
    一致すると、第二交換デバイスとの間のプロトコルデータ交換キーSW-PDK 2-Mを利用してメッセージ識別コードMIC2フィールドの正確性を検証し、
    正確であると、今回のキー通知フラグKN2フィールドの値を保存し、第一交換デバイスと第二交換デバイスの間の交換ベーシックキーSW-BK 1-2を第二交換デバイスに対して通知する過程を完了し、
    第三交換デバイスが、先に第二交換デバイスに通知した交換ベーシックキーSW-BK 1-2に基づいて、交換ベーシックキー通知パケットを構成して第一交換デバイスに送信し、当該交換ベーシックキー通知パケットは、KN1フィールドとE1フィールドとMIC3フィールドとを含み、
    KN1フィールド:第一交換デバイスのキー通知フラグを示し、その値は整数であって、初期値は固定値であり、第一交換デバイスに対して交換ベーシックキー通知を行う度に、当該フィールド値に対してインクリメントするか或いは一つの固定値を加算して使用し、
    E1フィールド:キー暗号化データを示し、第三交換デバイスが第一交換デバイスとの間のプロトコルデータ交換キーSW-PDK 1-Mを利用して交換ベーシックキーSW-BK 1-2を暗号化した後のデータであり、交換ベーシックキーSW-BK 1-2は第二交換デバイスに通知した交換ベーシックキーSW-BK 1-2と同じであり、
    MIC3フィールド:メッセージ識別コードを示し、第三交換デバイスが第一交換デバイスとの間のプロトコルデータ交換キーSW-PDK 1-Mを利用して、交換ベーシックキー通知パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値であることを特徴とする請求項9に記載の交換デバイス間の安全な接続の構築方法。
  11. 上記第一交換デバイスが、交換ベーシックキー通知応答パケットを構成して第三交換デバイスに送信するステップにおいて、
    第一交換デバイスは上記交換ベーシックキー通知パケットにおけるキー通知フラグKN1フィールドが単調増加するかどうかを検査し、
    単調増加すると、第三交換デバイスとの間のプロトコルデータ交換キーSW-PDK1-Mを利用してメッセージ識別コードMIC3フィールドが正確であるかどうかを検証し、
    正確であると、第三交換デバイスとの間のプロトコルデータ交換キーSW-PDK 1-Mを利用して、キー暗号化データE1フィールドを復号化して、第二交換デバイスとの間の交換ベーシックキーSW-BK1-2を取得し、
    今回のキー通知フラグKN1フィールドの値を保存し、交換ベーシックキー通知応答パケットを構成して第三交換デバイスに送信し、当該交換ベーシックキー通知応答パケットは、KN1フィールド及びMIC4フィールドを含み、
    KN1フィールド:第一交換デバイスのキー通知フラグを示し、その値は受信した交換ベーシックキー通知パケットにおけるキー通知フラグKN1フィールドの値と同じであり、
    MIC4フィールド:メッセージ識別コードを示し、第一交換デバイスが第三交換デバイスとの間のプロトコルデータ交換キーSW-PDK 1-Mを利用して、交換ベーシックキー通知応答パケットにおける本フィールド以外の他のフィールドに対してハッシュ関数によって算出したハッシュ値であることを特徴とする請求項10に記載の交換デバイス間の安全な接続の構築方法。
  12. 上記方法は、
    第三交換デバイスが、第一交換デバイスによって送信された交換ベーシックキー通知応答パケットを受信した後に、上記交換ベーシックキー通知応答パケットにおけるキー通知フラグKN1フィールドと先に第一交換デバイスに送信した交換ベーシックキー通知パケットにおけるキー通知フラグKN1フィールドとの値が一致するかどうかを比較し、
    一致すると、第一交換デバイスとの間のプロトコルデータ交換キーSW-PDK1-Mを利用してメッセージ識別コードMIC4フィールドの正確性を検証し、
    正確であると、今回のキー通知フラグKN1フィールドの値を保存し、第一交換デバイスと第二交換デバイスの間の交換ベーシックキーSW-BK 1-2を第一交換デバイスに対して通知する過程を完了するステップをさらに含むことを特徴とする請求項11に記載の交換デバイス間の安全な接続の構築方法。
  13. 上記方法は、
    第三交換デバイスは第一交換デバイスと第二交換デバイスの間の交換ベーシックキーを更新するか或いは取り消しするかの必要があると、第三交換デバイスは交換ベーシックキー通知パケットを構成して第一交換デバイス或いは第二交換デバイスに送信して、第一交換デバイス或いは第二交換デバイスに、第二交換デバイス或いは第一交換デバイスとの間の交換ベーシックキーを更新或いは取り消しすることを要求することを特徴とする請求項12に記載の交換デバイス間の安全な接続の構築方法。
  14. 交換デバイスの安全な接続の構築システムであって、
    第二交換デバイスに交換キーネゴシエーションアクティブ化パケットと交換キーネゴシエーション応答パケットを送信し、第二交換デバイスが送信した交換キーネゴシエーション要求パケットを受信する第一交換デバイスと、第一交換デバイスが送信した交換キーネゴシエーションアクティブ化パケットと交換キーネゴシエーション応答パケットと第一交換デバイスに送信した交換キーネゴシエーション要求パケットとを受信する第二交換デバイスとを含むことを特徴とする交換デバイスの安全な接続の構築システム。
  15. 上記第二交換デバイスは、第一交換デバイスに交換キーネゴシエーション確認パケットを送信することにも用いられ、
    上記第一交換デバイスは、第二交換デバイスが送信した交換キーネゴシエーション確認パケットを受信することにも用いられることを特徴とする請求項14に記載の交換デバイスの安全な接続の構築システム。
  16. 第二交換デバイス或いは第一交換デバイスに交換ベーシックキー通知パケットを送信し、第二交換デバイス或いは第一交換デバイスが送信した交換ベーシックキー通知応答パケットを受信する第三交換デバイスをさらに含み、
    上記第二交換デバイスは、第三交換デバイスが送信した交換ベーシックキー通知パケットを受信し、第三交換デバイスに交換ベーシックキー通知応答パケットを送信することにも用いられ、
    上記第一交換デバイスは、第三交換デバイスが送信した交換ベーシックキー通知パケットを受信し、第三交換デバイスに交換ベーシックキー通知応答パケットを送信することにも用いられることを特徴とする請求項14又は15に記載の交換デバイスの安全な接続の構築システム。
JP2012543452A 2009-12-18 2010-05-26 交換デバイス間の安全な接続の構築方法及びシステム Active JP5540111B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2009102195751A CN101741548B (zh) 2009-12-18 2009-12-18 交换设备间安全连接的建立方法及系统
CN200910219575.1 2009-12-18
PCT/CN2010/073253 WO2011072513A1 (zh) 2009-12-18 2010-05-26 交换设备间安全连接的建立方法及系统

Publications (2)

Publication Number Publication Date
JP2013514018A true JP2013514018A (ja) 2013-04-22
JP5540111B2 JP5540111B2 (ja) 2014-07-02

Family

ID=42464489

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012543452A Active JP5540111B2 (ja) 2009-12-18 2010-05-26 交換デバイス間の安全な接続の構築方法及びシステム

Country Status (6)

Country Link
US (1) US8713303B2 (ja)
EP (1) EP2515468B1 (ja)
JP (1) JP5540111B2 (ja)
KR (1) KR101421259B1 (ja)
CN (1) CN101741548B (ja)
WO (1) WO2011072513A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
CN101917272B (zh) 2010-08-12 2012-07-18 西安西电捷通无线网络通信股份有限公司 一种邻居用户终端间保密通信方法及系统
CN102130768B (zh) * 2010-12-20 2012-11-07 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
CN102035845B (zh) 2010-12-20 2012-07-18 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
CN104506483A (zh) * 2014-10-21 2015-04-08 中兴通讯股份有限公司 一种信息加密解密、管理密钥的方法、终端及网络服务器
CN105553951B (zh) * 2015-12-08 2019-11-08 腾讯科技(深圳)有限公司 数据传输方法和装置
CN110719169A (zh) * 2019-11-07 2020-01-21 北京小米移动软件有限公司 传输路由器安全信息的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106454A (zh) * 2007-08-17 2008-01-16 杭州华三通信技术有限公司 发起互联网密钥交换协商的方法和设备
CN101232378A (zh) * 2007-12-29 2008-07-30 西安西电捷通无线网络通信有限公司 一种无线多跳网络的认证接入方法
JP2008530919A (ja) * 2005-02-21 2008-08-07 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 有線ネットワークおよび無線ネットワークに適したアクセス認証方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5410602A (en) * 1993-09-27 1995-04-25 Motorola, Inc. Method for key management of point-to-point communications
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JPH10178421A (ja) * 1996-10-18 1998-06-30 Toshiba Corp パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
US7203834B1 (en) * 1999-12-02 2007-04-10 International Business Machines Corporation Method of updating encryption keys in a data communication system
US7231526B2 (en) * 2001-10-26 2007-06-12 Authenex, Inc. System and method for validating a network session
US7441267B1 (en) * 2003-03-19 2008-10-21 Bbn Technologies Corp. Method and apparatus for controlling the flow of data across a network interface
US7392378B1 (en) * 2003-03-19 2008-06-24 Verizon Corporate Services Group Inc. Method and apparatus for routing data traffic in a cryptographically-protected network
US8886934B2 (en) * 2006-07-26 2014-11-11 Cisco Technology, Inc. Authorizing physical access-links for secure network connections
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
CN100463391C (zh) * 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
US8688986B2 (en) * 2006-12-27 2014-04-01 Intel Corporation Method for exchanging strong encryption keys between devices using alternate input methods in wireless personal area networks (WPAN)
US20100023768A1 (en) * 2007-06-27 2010-01-28 Intel Corporation Method and system for security key agreement
GB2452251B (en) * 2007-08-21 2010-03-24 Motorola Inc Method and apparatus for authenticating a network device
KR101061899B1 (ko) * 2007-09-12 2011-09-02 삼성전자주식회사 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치
CN100566240C (zh) * 2007-11-16 2009-12-02 西安西电捷通无线网络通信有限公司 一种wapi单播密钥协商方法
CN101521580B (zh) * 2009-03-25 2014-12-10 中兴通讯股份有限公司 无线局域网鉴别与保密基础结构单播密钥协商方法及系统
CN101527905A (zh) * 2009-04-08 2009-09-09 刘建 无线局域网鉴别与保密基础结构单播密钥协商方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008530919A (ja) * 2005-02-21 2008-08-07 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 有線ネットワークおよび無線ネットワークに適したアクセス認証方法
CN101106454A (zh) * 2007-08-17 2008-01-16 杭州华三通信技术有限公司 发起互联网密钥交换协商的方法和设备
CN101232378A (zh) * 2007-12-29 2008-07-30 西安西电捷通无线网络通信有限公司 一种无线多跳网络的认证接入方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CSND199800646003; 岡本 栄司: '"明るい情報化社会の実現をめざす暗号技術▲5▼ 暗号鍵配送管理"' bit Vol.23,No.12, 19911101, p.51-59, 共立出版株式会社 *
JPN6012052156; D. W. Davies and W. L. Price 著/上園忠弘 監訳: "ネットワーク・セキュリティ" 1版1刷, 19851205, p.126-129, 日経マグロウヒル社 *
JPN6013039394; 岡本 栄司: '"明るい情報化社会の実現をめざす暗号技術▲5▼ 暗号鍵配送管理"' bit Vol.23,No.12, 19911101, p.51-59, 共立出版株式会社 *

Also Published As

Publication number Publication date
EP2515468A4 (en) 2017-06-07
CN101741548B (zh) 2012-02-01
US20120254617A1 (en) 2012-10-04
EP2515468A1 (en) 2012-10-24
US8713303B2 (en) 2014-04-29
WO2011072513A1 (zh) 2011-06-23
CN101741548A (zh) 2010-06-16
EP2515468B1 (en) 2019-12-25
KR20120105511A (ko) 2012-09-25
KR101421259B1 (ko) 2014-07-18
JP5540111B2 (ja) 2014-07-02

Similar Documents

Publication Publication Date Title
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
JP5414898B2 (ja) 有線lanのセキュリティアクセス制御方法及びそのシステム
JP5422835B2 (ja) ネットワークのアクセス認証及び承認の方法、及び承認鍵のアップデート方法
JP5540111B2 (ja) 交換デバイス間の安全な接続の構築方法及びシステム
JP5524336B2 (ja) 事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム
US20110055558A1 (en) Galois/counter mode encryption in a wireless network
JP5364796B2 (ja) 暗号情報送信端末
KR101485279B1 (ko) 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법
WO2012083652A1 (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
US20090307483A1 (en) Method and system for providing a mesh key
WO2012019466A1 (zh) 邻居用户终端间保密通信方法、终端、交换设备及系统
WO2010135890A1 (zh) 基于对称加密算法的双向认证方法及系统
CN101635922B (zh) 无线网状网络安全通信方法
WO2011143943A1 (zh) 一种端到端安全连接的建立方法、系统及装置
US20100131762A1 (en) Secured communication method for wireless mesh network
US20230208625A1 (en) Communication method and related apparatus
WO2011143945A1 (zh) 一种端到端共享密钥的建立方法、系统及装置
WO2011134293A1 (zh) 一种局域网节点间安全连接建立方法及系统
WO2011134291A1 (zh) 一种节点间密钥的建立方法、系统及装置
WO2011134292A1 (zh) 一种节点间通信密钥的建立方法、系统及装置
WO2012055172A1 (zh) 节点间会话密钥的建立系统、方法及装置
WO2012055171A1 (zh) 通告式安全连接建立系统、方法及装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130813

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140407

R150 Certificate of patent or registration of utility model

Ref document number: 5540111

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140501

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250