JP2014017595A - 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム - Google Patents
通信装置、鍵生成装置、通信方法、プログラムおよび通信システム Download PDFInfo
- Publication number
- JP2014017595A JP2014017595A JP2012152426A JP2012152426A JP2014017595A JP 2014017595 A JP2014017595 A JP 2014017595A JP 2012152426 A JP2012152426 A JP 2012152426A JP 2012152426 A JP2012152426 A JP 2012152426A JP 2014017595 A JP2014017595 A JP 2014017595A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- unit
- communication
- cryptographic
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】アプリケーションの要求に照らして、スループットとコストをも考慮した上で最適な暗号通信方式を選択する。
【解決手段】暗号鍵を生成する鍵生成装置と接続される通信装置であって、問合せ部と、暗号処理部と、選択部と、を備える。問合せ部は、鍵生成装置が暗号鍵を生成する能力を表す能力情報を鍵生成装置に問い合わせる。暗号処理部は、複数の暗号機能を実行する。選択部は、複数の暗号機能のうち、能力情報に応じた暗号機能を選択する。暗号処理部は、選択部により選択された暗号機能を実行する。
【選択図】図3
【解決手段】暗号鍵を生成する鍵生成装置と接続される通信装置であって、問合せ部と、暗号処理部と、選択部と、を備える。問合せ部は、鍵生成装置が暗号鍵を生成する能力を表す能力情報を鍵生成装置に問い合わせる。暗号処理部は、複数の暗号機能を実行する。選択部は、複数の暗号機能のうち、能力情報に応じた暗号機能を選択する。暗号処理部は、選択部により選択された暗号機能を実行する。
【選択図】図3
Description
本発明の実施形態は、通信装置、鍵生成装置、通信方法、プログラムおよび通信システムに関する。
複数のリンクによって相互に接続され、ネットワーク化された複数のノードから構成される暗号通信ネットワークが知られている。各ノードは、リンクによって接続された対向ノードとの間で乱数を生成して共有する機能(以下、生成共有ともいう)と、その乱数を暗号鍵(以下、リンク鍵)として利用して、リンク上で暗号通信を行う機能とを備える。また、ノードのうちの幾つかは、リンクとは独立に乱数を生成する機能と、別のノードに対し、生成した乱数を送信する機能とを備える。暗号通信ネットワークにおけるアプリケーションは、ノードから、乱数を取得し、これを暗号鍵(以下、アプリケーション鍵)として利用して、別のアプリケーションとの間で暗号通信を行う機能を備える。アプリケーションは、ノードと一体として実現されてもよいし、ノードと独立した端末として実現されてもよい。
ノードにおいて、リンクによって接続された対向ノードとの間で乱数(リンク鍵)を生成共有する機能は、例えば、一般に量子暗号通信と呼ばれる技術により実現する。この場合、ノードにおいて、リンクとは独立に乱数(アプリケーション鍵)を生成し、生成した乱数を別のノードにリンクを介して送信する技術は、量子鍵配送(Quantum Key Distribution、QKD)と呼ばれることがある。
Dianati, M., Alleaume, R., Gagnaire, M. and Shen, X. (2008), Architecture and protocols of the future European quantum key distribution network. Security and Communication Networks, 1: 57-74. DOI: 10.1002/sec.13
暗号通信ネットワーク上のノードにおいて、リンクとは独立に生成する乱数(すなわちアプリケーション鍵)は、暗号通信ネットワークにおける有限なリソースである。また、アプリケーション鍵の生成速度に関しても技術的に上限がある。従って、アプリケーションにとって、ノードからアプリケーション鍵を取得して暗号通信する方法が最もセキュアな通信であるとしても、コスト等も考慮した場合には最適な暗号通信であるとは限らない。例えば、通信スループットの制約、および、有限リソースを利用することによるコストの観点から、他の(すなわち暗号通信ネットワーク上のノードからアプリケーション鍵を取得して暗号通信する方式以外の)暗号通信方式を用いる方が、セキュリティは低くなるとしても、アプリケーションの要求を満たした通信である場合もある。このように、ノードからアプリケーション鍵を取得して暗号通信する方法が常に最適とは限らない。すなわち、従来の方式では、アプリケーションの要求に照らして、スループットとコストをも考慮した上で最適な暗号通信方式を選択することができない。
実施形態の通信装置は、暗号鍵を生成する鍵生成装置と接続される通信装置であって、問合せ部と、暗号処理部と、選択部と、を備える。問合せ部は、鍵生成装置が暗号鍵を生成する能力を表す能力情報を鍵生成装置に問い合わせる。暗号処理部は、複数の暗号機能を実行する。選択部は、複数の暗号機能のうち、能力情報に応じた暗号機能を選択する。暗号処理部は、選択部により選択された暗号機能を実行する。
以下に添付図面を参照して、この発明にかかる通信装置の好適な実施形態を詳細に説明する。
(第1の実施形態)
第1の実施形態にかかる通信システムは、アプリケーションがノードに対し、アプリケーション鍵を生成する能力を表す能力情報(以下、アプリケーション鍵情報という)を問い合わせる。アプリケーションは、アプリケーション鍵を取得した場合に可能な暗号機能および性能と、アプリケーション鍵を取得することなく可能な暗号機能および性能と、を比較する。そして、アプリケーション要求に照らして最適な暗号通信方式を選択する。
第1の実施形態にかかる通信システムは、アプリケーションがノードに対し、アプリケーション鍵を生成する能力を表す能力情報(以下、アプリケーション鍵情報という)を問い合わせる。アプリケーションは、アプリケーション鍵を取得した場合に可能な暗号機能および性能と、アプリケーション鍵を取得することなく可能な暗号機能および性能と、を比較する。そして、アプリケーション要求に照らして最適な暗号通信方式を選択する。
アプリケーション鍵情報は、例えば以下のような情報である。
(A)ノードが現在、該当アプリケーションに対して提供可能なアプリケーション鍵の量
(B)ノードが現在、生成共有を行っているアプリケーション鍵のスループットのうち、該当アプリケーションに割当て可能なアプリケーション鍵のスループットに関する情報
(C)アプリケーション鍵の量またはスループットを該当アプリケーションに割り当てる場合に必要となるコストに関する情報
(A)ノードが現在、該当アプリケーションに対して提供可能なアプリケーション鍵の量
(B)ノードが現在、生成共有を行っているアプリケーション鍵のスループットのうち、該当アプリケーションに割当て可能なアプリケーション鍵のスループットに関する情報
(C)アプリケーション鍵の量またはスループットを該当アプリケーションに割り当てる場合に必要となるコストに関する情報
図1は、本実施形態にかかる通信システムのネットワーク構成例を示す図である。通信システムは、鍵生成装置としてのノード100a〜100cと、アプリケーション200a、200cと、を含む。
ノード100a〜100cを区別する必要がない場合は、単にノード100という場合がある。アプリケーション200a、200cを区別する必要がない場合は、単にアプリケーション200という場合がある。ノード100の個数は3に限られるものではない。また、アプリケーション200の個数は2に限られるものではない。
ノード100a〜100cは、上述のように、対向ノードとの間で乱数を生成共有する機能と、生成した乱数をリンク鍵として利用して、リンク(リンク300a、300b)上で暗号通信を行う機能とを備える。ノード100は、リンクとは独立に乱数を生成する機能と、別のノードに対して生成した乱数を送信する機能とを備えてもよい。
図2は、ノード100の構成の一例を示すブロック図である。図2に示すように、ノード100は、第1通信部101と、生成部102と、鍵管理部103と、第2通信部104と、プラットフォーム部105と、を備えている。
第1通信部101は、他のノード100(外部装置)との間の通信リンク(ノード間通信リンク)であるリンク51によって接続された他のノード(以下、対向ノードともいう)との間で、量子暗号通信技術を用いて、乱数を生成共有し、生成した乱数をリンク鍵として管理する。なお、量子暗号通信技術以外の方法でリンク鍵を生成共有してもよい。また、第1通信部101は、リンク51によって接続された他のノードとの間でデータの送受信(ノード間データ通信)を行う際に利用される。ここで、データ通信の相手となる他のノードとは、リンク51によって直接接続された対向ノードである場合もあるし、その対向ノードの別のリンクを介してさらに接続される別のノードである場合もある。この場合、第1通信部101は、暗号通信ネットワークにおいて、複数のノード100を介して通信を行うためのルーティング機能を提供してもよい。また、ノード間データ通信は、第1通信部101が管理するリンク鍵を用いて暗号化された通信であってもよい。
生成部102は、第1通信部101とは独立に、乱数を生成し、生成した乱数を他のノード100と共有する機能を持つ。他のノード100と乱数を共有する際に、第1通信部101の機能を用いてもよい。生成部102が生成共有した乱数を、アプリケーション鍵と呼ぶ。
また、生成部102は、第2通信部104を介したアプリケーション200からの問い合わせに対して、現在提供可能なアプリケーション鍵の量、現在生成共有を行っているアプリケーション鍵のうち該当アプリケーション200に割当て可能なアプリケーション鍵のスループットに関する情報、および、スループットや鍵の量を実現するために必要なコストに関する情報、を通知する機能を持つ。ノード100がこれらの情報を把握する方法はどのような方法であってもよい。ノード100は、何らかの方法により、これらの情報を把握していればよい。
鍵管理部103は、生成部102が生成共有したアプリケーション鍵を管理する。鍵管理部103は、第2通信部104からの要求に応じて、適切なアプリケーション鍵を選択して受け渡す。
第2通信部104は、アプリケーション200との間の通信リンクであるリンク52(アプリケーション通信リンク)を介して、アプリケーション200と接続して通信する。第2通信部104は、アプリケーション200からの要求を受け付け、アプリケーション200に対してアプリケーション鍵を提供する。
ここで、アプリケーション通信リンクについては特に規定しないため、アプリケーション200は、何らかのネットワークを介してノード100と接続される別のコンピュータ上に存在していてもよい。この場合、ノード100とアプリケーション200とを接続するネットワーク上では、ファイアウォール、データの暗号化、およびデータの認証等、既存のネットワークセキュリティ機能が実現されていてもよい。アプリケーション200がノード100上に存在し、ソフトウェアのAPI(Application Program Interface)を介して第2通信部104と接続していてもよい。
プラットフォーム部105は、ノード100上の他の構成要素の管理や、動作に必要なコンピュータのオペレーティングシステム機能等を提供する。
以上、第1の実施形態におけるノード100の構成について説明した。次に、第1の実施形態におけるアプリケーション200の構成例について説明する。図3は、第1の実施形態におけるアプリケーション200の構成例を示すブロック図である。図3に示すように、アプリケーション200は、通信部201と、暗号処理部202と、実行部203と、通信部204と、問合せ部205と、選択部206と、プラットフォーム部207と、を備えている。
通信部201は、アプリケーション通信リンク(リンク52)を介して、ノード100(具体的にはノード100の第2通信部104)と接続して各種データを送受信する。例えば、通信部201は、暗号通信を行うために必要なアプリケーション鍵をノード100から取得する。
暗号処理部202は、データの暗号化処理および復号処理の機能を提供する。第1の実施形態の暗号処理部202は、複数の暗号機能のうち、選択された暗号機能を実行する。アプリケーション200が備えるセキュリティチップやCPU(Central Processing Unit)等のハードウェアリソース、および、暗号ライブラリ等のソフトウェアリソースにより、提供可能な暗号機能や性能は異なる。提供可能な暗号機能の1つとして、通信部201が取得したアプリケーション鍵を保持し、アプリケーション鍵を利用して、暗号通信を行う上で必要なデータの暗号化処理と復号処理を行ってもよい。
なお、暗号機能が利用する暗号アルゴリズム(暗号方式)については特に限定は行わない。アプリケーション鍵を利用してもしなくても良いし、また、例えば、AES(Advanced Encryption Standard)の様なブロック暗号であってもよいし、OTP(One-time Pad)の様なバーナム暗号であってもよい。
暗号処理部202はさらに、提供可能な暗号機能に関する情報に加え、性能に関する情報を把握してこれを選択部206等へ通知可能であってもよい。暗号機能に関する情報とは、一般的にはサポートする暗号アルゴリズムおよび認証アルゴリズムやその鍵長の情報である。例えば、「AES−128−CBC」、「AES−256−CBC」、「DES−EDE3」等のアルゴリズム・鍵長・モードを示す文字列でもよい。性能に関する情報とは、その暗号機能を利用した場合に処理可能な一定時間あたりのデータ量、および、暗号機能を利用したときのCPU負荷などに関する情報である。例えば、10Gbps、100Mbpsといったスループットの形式、CPU負荷(%表示)である。または、一定サイズのデータを処理するのに必要なCPU命令数等で表現してもよい。
なお、第1の実施形態においては、暗号処理部202がこれらの情報を把握する方法はどのような方法であってもよい。暗号処理部202は、何らかの方法により、これらの情報を把握していればよい。
暗号処理部202がいずれの暗号機能を利用するかは、後述する選択部206等によって決定および設定される。また、暗号処理部202が、どのような暗号機能を利用しているかは、実行部203や通信部204には隠蔽されてもよい。
実行部203は、暗号通信を行うアプリケーション機能を実行する。通信を行うものであれば特にアプリケーション機能の種類は限定しない。例えば、実行部203は、ビデオ送信等の機能を実行する。実行部203は、送信データを通信部204へと受け渡し、受信データを通信部204から受け取る。
実行部203は、何らかの方法(例えばユーザ、管理者、および、アプリケーション開発者による設定、統計情報処理、および、自動制御等の方法)により、アプリケーション要求に関する情報(要求情報)を保持しているものとする。要求情報とは、例えば、セキュリティ(暗号化処理および復号処理の安全性に対する要求)、スループット(通信速度に対する要求)、コスト(アプリケーション鍵という有限リソースを消費することに伴って発生する、(例えば金銭的な)コストに対する要求)、および、それらの優先度等を数値化した値である。
通信部204は、実行部203の動作に必要な通信機能を提供する。また、データ通信の際には、暗号処理部202を用いてデータの暗号化と復号を行うことができる。通信部204は、アプリケーション200から送信データを受けとると、暗号処理部202を用いてこれを暗号化し、データ通信リンク(リンク53)を介してデータを送信する。データ通信リンクは、通信相手のアプリケーション200との間でデータを送受信するためのリンクである。また、通信部204は、データ通信リンクからデータを受信すると、暗号処理部202を用いて受信したデータを復号し、アプリケーション200へと復号したデータを受け渡す。
問合せ部205は、通信部201を介して、上述の(A)〜(C)のようなアプリケーション鍵情報をノード100に対して問い合わせる。問い合わせによって得られた結果は、選択部206に渡される。
選択部206は、得られたアプリケーション鍵情報等を参照し、アプリケーション200を実行する際に、最適な暗号機能を選択する。選択部206は、ノード100に問い合わせて得られたアプリケーション鍵情報の他に、以下のようなアプリケーション200に関する情報(以下、アプリケーション情報という)を用いて暗号機能を選択してもよい。選択部206が選択時に参照する情報は、これらに限定されないし、このうちの一部のみ参照してもよい。
(1)実行部203から取得した要求情報
(2)暗号処理部202から取得した、アプリケーション200が自身で実現可能な暗号機能および性能に関する情報(以下、暗号機能情報という)
(3)プラットフォーム部207等から取得した、現在のアプリケーション200におけるリソース使用状況に関する情報(以下、リソース情報という)
(1)実行部203から取得した要求情報
(2)暗号処理部202から取得した、アプリケーション200が自身で実現可能な暗号機能および性能に関する情報(以下、暗号機能情報という)
(3)プラットフォーム部207等から取得した、現在のアプリケーション200におけるリソース使用状況に関する情報(以下、リソース情報という)
プラットフォーム部207は、アプリケーション200上の他の構成要素の管理や、動作に必要なコンピュータのオペレーティングシステム機能等を提供する。
以上、第1の実施形態におけるアプリケーション200の構成について説明した。ただし、上記説明は一例である。
なお、ノード100およびアプリケーション200の各部は、例えば、CPU(Central Processing Unit)などの処理装置にプログラムを実行させること、すなわち、ソフトウェアにより実現してもよいし、IC(Integrated Circuit)などのハードウェアにより実現してもよいし、ソフトウェアおよびハードウェアを併用して実現してもよい。
次に、第1の実施形態を実現するシーケンスについて説明する。図4は、第1の実施形態の通信システムによる通信処理の一例を示すシーケンス図である。図4は、アプリケーション200が暗号通信を開始する際に、ノード100に対してアプリケーション鍵の生成状況について問い合わせを行い、アプリケーション200が最適な暗号機能を選択する場合のシーケンスである。
アプリケーション200の実行部203は、アプリケーション実行開始の前に、自身が保持する要求情報を選択部206に対して通知し、本アプリケーション実行に伴う最適な暗号機能を問い合わせる。選択部206は、この問い合せを受けて、問合せ部205に対して、アプリケーション鍵の問い合わせ(鍵問い合わせ)を指示する。問合せ部205は、この問合せを受けて、通信部201を介して、ノード100に対し、鍵問い合わせのためのメッセージを送信する(ステップS101)。
ノード100の第2通信部104は、鍵問い合わせのメッセージを受け取る。第2通信部104は、鍵問い合わせを鍵管理部103に通知する。鍵管理部103は、鍵問い合わせに対して、上述の(A)〜(C)のアプリケーション鍵情報のうち少なくとも1つを、第2通信部104を介して、アプリケーション200へ回答する(ステップS102)。アプリケーション200の通信部201は、受信したアプリケーション鍵情報を問合せ部205へ通知する。問合せ部205は、アプリケーション鍵情報を選択部206へ通知する。
選択部206は、問合せ部205からアプリケーション鍵情報を取得する。選択部206は、さらに、提供可能な暗号機能に関して暗号処理部202に問い合わせを行ってもよい。この問い合わせを受けて、暗号処理部202は、暗号機能情報を選択部206に提供する。暗号機能情報は、より具体的には、利用可能なセキュリティチップ(ハードウェア)の機能および性能に関する情報、並びに、利用可能な暗号ライブラリ(ソフトウェア)の機能および性能に関する情報などである。
選択部206は、さらに、プラットフォーム部207に対して、アプリケーションにおけるリソース使用状況に関して問い合わせを行ってもよい。本問い合わせを受けて、プラットフォーム部207は、リソース情報を選択部206に提供する。リソース情報は、より具体的には、CPU負荷、メモリ使用量、他ジョブの実行状況、および、セキュリティチップの利用状況などである。
なお、選択部206による問合せ部205からのアプリケーション鍵情報取得と、暗号処理部202およびプラットフォーム部207への問い合わせおよび情報取得のタイミングは特に限定しない。どちらが先に行われても構わない。あるいは、本シーケンス実行より前に事前に行われていても構わない。
選択部206は、以上により、実行部203からの要求情報、問合せ部205からのアプリケーション鍵情報、暗号処理部202からの暗号機能情報、および、プラットフォーム部207からのリソース情報を、受けとることができる。ただし、これは一例であり、以上のうちのいくつかの情報のみを利用してもよいし、これ以外の情報を取得してもよい。
選択部206は、以上の情報を元に、アプリケーション要求(要求情報)に照らして最適な暗号機能を選択する(ステップS103)。選択の方法には様々な方法がありえ、ここでは特に限定しない。例えば、「スループットXを確保した上で、最もセキュリティの高い通信を行いたい」というアプリケーション要求があった場合、以下のような選択方法を適用できる。なお、この例では簡単化のため、アプリケーション200は、セキュリティチップにより、AESのみをサポートしているものとする。また、暗号機能によっては、
(C1)アプリケーション鍵を利用したOTP暗号(以下、QKD OTP)
(C2)アプリケーション鍵を利用したAESブロック暗号(以下、QKD AES)
(C3)通常のAES暗号
が可能であるものとする。また、これらの3種類の暗号機能にコストの差はなく、(C1)、(C2)、(C3)の順にセキュリティが高いと仮定する。
(C1)アプリケーション鍵を利用したOTP暗号(以下、QKD OTP)
(C2)アプリケーション鍵を利用したAESブロック暗号(以下、QKD AES)
(C3)通常のAES暗号
が可能であるものとする。また、これらの3種類の暗号機能にコストの差はなく、(C1)、(C2)、(C3)の順にセキュリティが高いと仮定する。
まず、選択部206は、最もセキュリティの高い(C1)の暗号機能を適用した場合のスループットAがX以上であるか否かを判断する。スループットAは、取得したアプリケーション鍵情報のうち、該当アプリケーション200に割当て可能なアプリケーション鍵のスループットに関する情報を用いて算出できる。選択部206は、X<Aであれば、暗号機能(C1)を用いることが最適であると判断する。そうでない場合は、(C1)は最適ではない。
次に、選択部206は、2番目にセキュリティの高い(C2)のスループットBがX以上か否かを判断する。スループットBは、アプリケーション鍵情報のうち、該当アプリケーション200に割当て可能なアプリケーション鍵のスループットに関する情報と、(C2)で用いるAESの鍵長および利用可能なセキュリティチップまたは暗号ライブラリの性能と、から算出できる。選択部206は、X<Bであれば、暗号機能(C2)を用いることが最適であると判断する。そうでない場合は、(C2)は最適ではない。
最後に、選択部206は、3番目にセキュリティの高い(C3)のスループットCがX以上か否かを判断する。スループットCは、(C3)で用いるAESの鍵長および利用可能なセキュリティチップまたは暗号ライブラリの性能から算出できる。選択部206は、X<Cであれば、暗号機能(C3)を用いることが最適であると判断する。
以上の例では、アプリケーション要求として、スループット要求のみを考慮した。例えば「コストY以下を確保した上で、最もセキュリティの高い通信を行いたい」というようなコストに関するアプリケーション要求(コスト要求)に対しても、同様に比較および判断してよい。また、今回の例では利用しなかったが、例えばアプリケーション200に対して「通信データ量がZである」ことが明らかである場合、アプリケーション200に対して提供可能なアプリケーション鍵の量についても比較してもよい。
なお、アプリケーション要求を満たす暗号機能が1つも見つからなかった場合の動作はいくつか可能である。例えば、最もアプリケーション要求に近い暗号機能を選択し、選択した暗号機能を最適なものと判断する方法、および、最適な暗号機能が見つからないためエラーとしてアプリケーション200またはユーザに通知する方法などが利用できる。
選択部206は、最適と判断した(選択した)暗号機能を利用するように、暗号処理部202を設定する(ステップS104)。また、選択部206は、実行部203に対して、暗号機能の選択が完了したこと、または、その結果選択された暗号機能を通知してもよい。
実行部203は、アプリケーション200の実行を開始する(ステップS105)。アプリケーション200は、データ通信の際、通信部204を利用する。このとき、選択部206によって最適に設定された暗号処理部202によって、通信データの暗号化処理および復号処理が行われる。なお、ノード100から提供されるアプリケーション鍵が不要な場合は、アプリケーション200はアプリケーション鍵を利用せずに別の暗号方式による暗号機能および別の暗号鍵を利用して暗号通信してもよい。
このように、第1の実施形態にかかる通信システムでは、アプリケーションが、ノードに問い合わせて得たアプリケーション鍵情報とアプリケーション要求とを用いて最適な暗号機能を選択することができる。
(変形例)
第1の実施形態では、アプリケーション機能(暗号通信)の実行開始前に暗号機能を選択した。変形例では、暗号通信の最中であっても、利用する暗号機能を動的に変更可能とする(変形機能1)。また、第1の実施形態では、最適な1つの暗号通信方式(暗号機能)を選択したが、選択する暗号機能の個数は1に限られるものではない。変形例にかかる通信システムは、最適な暗号通信方式の組み合わせ(複数の暗号機能)を選択する(変形機能2)。なお、変形機能1および変形機能2のうちいずれか一方のみを実行してもよい。
第1の実施形態では、アプリケーション機能(暗号通信)の実行開始前に暗号機能を選択した。変形例では、暗号通信の最中であっても、利用する暗号機能を動的に変更可能とする(変形機能1)。また、第1の実施形態では、最適な1つの暗号通信方式(暗号機能)を選択したが、選択する暗号機能の個数は1に限られるものではない。変形例にかかる通信システムは、最適な暗号通信方式の組み合わせ(複数の暗号機能)を選択する(変形機能2)。なお、変形機能1および変形機能2のうちいずれか一方のみを実行してもよい。
変形例では、アプリケーション200の構成要素のうち、以下の点が第1の実施形態と異なる。
暗号処理部202は、暗号通信の最中であっても、利用する暗号機能を動的に変更することができる。また、暗号処理部202は、複数の暗号機能(暗号アルゴリズム)を同時に設定し、暗号通信することができる。さらに、暗号処理部202は、通信部204から、送信するデータ(送信データ)と共に、送信データの重要度および機密レベルなどのメタデータを受け取り、メタデータに基づいて、送信データの暗号化に利用する暗号機能(暗号アルゴリズム)を選択することができる。なお、通信部204からメタデータを受け取らず、暗号処理部202が受け取ったデータを元にして暗号アルゴリズムを選択するように構成してもよい。
通信部204は、さらに、暗号処理部202に対して、データの重要度等のメタデータを受け渡すことができる。
問合せ部205は、暗号通信の最中であっても、問い合わせと、暗号処理部202への結果の受け渡しを行うことができる。
選択部206は、暗号通信の最中であっても、判断を行うことができる。さらに選択部206が、アプリケーション要求に照らして最も適切な暗号機能の組み合わせを選択してもよい。
以上、変形例のノードおよびアプリケーションの構成について説明した。ただし、上記説明は一例である。
次に、本変形例を実現するシーケンスについて説明する。処理の流れは第1の実施形態のシーケンスを表す図4と同様である。本変形例のシーケンスは、例えば、アプリケーション200が暗号通信を行っている最中に、ノード100に対してアプリケーション鍵の生成状況について問い合わせを行い、アプリケーション200が最適な暗号機能を選択する場合のシーケンスである。以下、第1の実施形態との違いに着目して説明する。
選択部206は、アプリケーション実行中においても、定期的に、問合せ部205に対して、鍵問い合わせを指示する。問合せ部205は、この指示を受けて、通信部201を介して、ノード100に対して鍵問い合わせを実行する(ステップS101)。
ノード100は、鍵問い合わせに回答する(ステップS102)。このとき、ノードの回答は、暗号通信中である現在のアプリケーション鍵情報を返す。なお、鍵問い合わせ(ステップS101)を実行せず、ノード100からアプリケーション200に対してアプリケーション鍵情報を直接通知(ステップS102)するように構成してもよい。
アプリケーション200の通信部201は、アプリケーション鍵情報を問合せ部205へと通知する。問合せ部205は、アプリケーション鍵情報を、選択部206へと通知する。
選択部206は、問合せ部205から、上述のアプリケーション鍵情報を取得する。選択部206は、通信中の動的な情報を受けとることができる。具体的には、選択部206は、実行部203から要求情報を受け取り、問合せ部205からアプリケーション鍵情報を受け取り、暗号処理部202から暗号機能情報を受け取り、プラットフォーム部207からリソース情報を受け取る。ただし、これは一例であり、以上のうちのいくつかの情報のみを利用してもよいし、これ以外の情報を取得してもよい。
選択部206は、以上の情報を元に、アプリケーション要求に照らして最適な暗号機能を選択する(ステップS103)。
例えば、このときの選択結果として、選択部206は、「暗号機能Aと暗号機能Bの組み合わせ」が最適であるといった判断を行うこともできる。また、例えば判断の基準として、要求スループットを維持するために、どの暗号機能を併用すればよいか、といったロジックであってもよい。
選択部206は、最適と判断した(選択した)暗号機能を利用するように、暗号処理部202を設定する。この設定は、暗号通信の最中であっても反映される。暗号方式のネゴシエーションが通信相手のアプリケーションとの間で必要な場合はこれを行ってもよい。
また、複数の暗号機能を選択した場合、それぞれの暗号機能を利用する場合の基準(暗号機能の選択基準)も決定する。選択基準は、例えば、送信データの種別、および、付加的に渡される送信データのメタデータ等によって暗号機能を決定するための基準である。
実行部203は、アプリケーション200の実行を継続する。アプリケーション200には透過的であるが、データ通信の際に、暗号処理部202が利用している暗号機能は、アプリケーション開始時と変更しているかもしれない。この変更により、アプリケーション200が利用可能な通信スループットは、実際にノード100の機能により利用可能なアプリケーション鍵のスループットが変動したとしても、維持することができる。
なお、複数の暗号機能(暗号機能Aと暗号機能B)を組み合わせて併用する場合には、いくつかの方法が考えられる。
例えば、1つのデータパケットにおいて、前半は暗号機能Aによって暗号化したデータを含み、後半は暗号機能Bによって暗号化したデータを含むような新しい暗号機能を定義することで併用を実現することも可能である。この方法はデータパケットに限るものではない。例えば、データストリームを用いる通信においても、一定のデータサイズ等によって、暗号機能Aによって暗号化したデータと暗号機能Bによって暗号化したデータとを交互に含むストリームを用いることも可能である。
また、暗号機能ごとに異なるデータ通信を行なってもよい。すなわち、通信部204において、例えば暗号機能Aによって通信を行うTCP(Transmission Control Protocol)コネクションと暗号機能Bによって通信を行うTCPコネクションの両方を確立し、並行してこれらを利用してデータ通信を行うことも可能である。ただしこの場合、データを受信する受信側のアプリケーション200の通信部204にて、複数のTCPコネクションによって受信したデータを、データまたはヘッダに含まれるシーケンス番号等の情報から順序制御処理等を行った上で、実行部203に受け渡す必要がある。
なお、これらの併用を行う場合であっても(併用しない場合であっても当然であるが)、通信相手となるアプリケーション200との間でどのような暗号機能、暗号機能の組み合わせ、および、併用方式を行うかについて、ネゴシエーションを実行し、合意する必要がある。このためのネゴシエーションの方法としては、通信部204が備えるハンドシェイク機能における暗号アルゴリズムネゴシエーションが利用できる。これらの暗号アルゴリズムネゴシエーションの方法は、TLS(Transport Layer Security)/SSL(Secure Socket Layer)等で一般的に知られた既知の方法である。暗号機能の組み合わせや併用方式に関してのネゴシエーションも合わせて行う場合、組み合わせる暗号機能や併用方法を表現する表現方法について定義し、アプリケーション間で事前に合意がなされている必要がある。
(第2の実施形態)
第2の実施形態にかかる通信システムは、アプリケーションではなく、ノードが最適な暗号機能を選択する。すなわち、ノードが、アプリケーションから要求情報、暗号機能情報、および、リソース情報の提供を受け、これらの情報と、ノードにて把握できるアプリケーション鍵情報とを用いて、最適な暗号機能を選択してアプリケーションに通知する。
第2の実施形態にかかる通信システムは、アプリケーションではなく、ノードが最適な暗号機能を選択する。すなわち、ノードが、アプリケーションから要求情報、暗号機能情報、および、リソース情報の提供を受け、これらの情報と、ノードにて把握できるアプリケーション鍵情報とを用いて、最適な暗号機能を選択してアプリケーションに通知する。
図5は、第2の実施形態にかかるノード100−2の構成の一例を示すブロック図である。図5に示すように、ノード100−2は、第1通信部101と、生成部102と、鍵管理部103と、第2通信部104−2と、プラットフォーム部105と、選択部106−2と、を備えている。
第2の実施形態では、選択部106−2を追加したこと、および、第2通信部104−2の機能が第1の実施形態と異なっている。その他の構成および機能は、第1の実施形態にかかるノード100のブロック図である図2と同様であるので、同一符号を付し、ここでの説明は省略する。
第2通信部104−2は、第1の実施形態の第2通信部104の機能に加え、第2の実施形態のアプリケーション200−2(後述)から要求情報等を受信する機能を備える。すなわち、第2通信部104−2は、受信部501を備える。受信部501は、アプリケーション200−2が実行可能な複数の暗号機能を示す暗号機能情報をアプリケーション200−2から受信する。
選択部106−2は、第1の実施形態の選択部206と同様に、アプリケーション200−2から受信した暗号機能情報、および、鍵管理部103から得られるアプリケーション鍵情報等を参照し、最適な暗号機能を選択する。また、選択部106−2は、選択した暗号機能を実行するように、第2通信部104−2を介してアプリケーション200−2の暗号処理部202を設定する。
図6は、第2の実施形態にかかるアプリケーション200−2の構成の一例を示すブロック図である。図6に示すように、アプリケーション200−2は、通信部201−2と、暗号処理部202と、実行部203と、通信部204と、プラットフォーム部207と、情報提供部208−2と、を備えている。
第2の実施形態では、情報提供部208−2を追加したこと、通信部201−2の機能、および、問合せ部205および選択部206を削除したことが第1の実施形態と異なっている。その他の構成および機能は、第1の実施形態にかかるアプリケーション200のブロック図である図3と同様であるので、同一符号を付し、ここでの説明は省略する。
情報提供部208−2は、暗号処理部202などから取得されるアプリケーション情報を、送信部601を介してノード100−2に提供する。例えば、情報提供部208−2は、実行部203から要求情報を取得し、暗号処理部202から暗号機能情報を取得し、プラットフォーム部207からリソース情報を取得する。そして、情報提供部208−2は、取得したアプリケーション情報を、送信部601を介してノード100−2に通知する。
通信部201−2は、第1の実施形態の通信部201の機能に加え、送信部601を備えている。送信部601は、情報提供部208−2から提供される暗号機能情報などをノード100−2に送信する。
なお、暗号処理部202は第1の実施形態と同様であるが、いずれの暗号機能を実行するかは、例えば選択結果を受信した通信部201−2によって設定される。すなわち、例えば、ノード100−2が選択した暗号機能を示す暗号設定情報をアプリケーション200−2に送信する。そして、アプリケーション200−2内の構成部(例えば通信部201−2)が、受信した暗号設定情報に対応する暗号機能を実行するように暗号処理部202を設定する。なお、通信部201−2を介して、ノード100−2の選択部106−2が、選択した暗号機能を実行するように暗号処理部202を設定するように構成してもよい。
次に、第2の実施形態を実現するシーケンスについて説明する。図7は、第2の実施形態の通信システムによる通信処理の一例を示すシーケンス図である。図7は、アプリケーション200−2が暗号通信を開始する際に、ノード100−2に対して、アプリケーション情報を提供し、ノード100−2において、アプリケーション鍵の生成状況についても加味した上でアプリケーション200−2にとって最適な暗号機能を選択し、これをアプリケーション200−2に回答する場合のシーケンスである。
アプリケーション200−2の実行部203は、アプリケーション実行開始の前に、自身が保持する要求情報を、情報提供部208−2に通知する。情報提供部208−2は、さらに、暗号処理部202に対して、提供可能な暗号機能に関して問い合わせを行ってもよい。この問い合わせを受けて、暗号処理部202は、暗号機能情報を情報提供部208−2に提供する。
情報提供部208−2は、さらに、プラットフォーム部207に対して、アプリケーションにおけるリソース使用状況に関して問い合わせを行ってもよい。この問い合わせを受けて、プラットフォーム部207は、リソース情報を情報提供部208−2に提供する。
情報提供部208−2は、以上により、実行部203から要求情報を収集し、暗号処理部202から暗号機能情報を収集し、プラットフォーム部207からリソース情報を収集することができる。ただし、これは一例であり、以上のうちのいくつかの情報のみを利用してもよいし、これ以外の情報を取得してもよい。
情報提供部208−2は、収集したアプリケーション情報(要求情報、暗号機能情報、および、リソース情報)を、通信部201−2を介して、ノード100−2に対して通知する(ステップS201)。
ノード100−2の第2通信部104−2は、アプリケーション情報を受信する。アプリケーション情報を受信すると、第2通信部104−2は、アプリケーション情報を、選択部106−2に通知する。
選択部106−2は、鍵管理部103に対し、保持しているアプリケーション鍵情報を問い合わせる。なお、選択部106−2による鍵管理部103への問い合わせのタイミング、および、第2通信部104−2を介したアプリケーション200−2からのアプリケーション情報の取得のタイミングは特に限定しない。すなわち、いずれが先に行われても構わないし、並行して実行されても構わない。
選択部106−2は、以上により、第2通信部104−2から要求情報、暗号機能情報、および、リソース情報を取得し、鍵管理部103からアプリケーション鍵情報を取得することができる。ただし、これは一例であり、以上のうちのいくつかの情報のみを利用してもよいし、これ以外の情報を取得してもよい。
選択部106−2は、以上の情報を元に、アプリケーション要求に照らして最適な暗号機能を選択する(ステップS202)。選択方法は第1の実施形態と同様に様々な方法を適用できる。また、アプリケーション要求を満たす暗号機能が1つも見つからなかった場合の動作も第1の実施形態と同様に様々な方法を適用できる。
選択部106−2は、最適と判断した(選択した)暗号機能(選択結果)を、第2通信部104−2を介して、アプリケーション200−2に通知する(ステップS203)。
アプリケーション200−2の通信部201−2は暗号機能の選択結果を受け取る。通信部201−2は、選択結果をもとにして、最適と判断された暗号機能を利用するように、暗号処理部202を設定する(ステップS204)。また、通信部201−2は、情報提供部208−2または実行部203に対し、暗号機能の選択が完了したこと、および、選択された暗号機能、を通知してもよい。
実行部203は、アプリケーション200−2の実行を開始する(ステップS205)。アプリケーション200−2は、データ通信の際、通信部204を利用する。このとき、選択部106−2によって最適に設定された暗号処理部202によって、通信データの暗号化処理および復号処理が行われる。
このように、第2の実施形態にかかる通信システムでは、ノードが、アプリケーション鍵情報と、アプリケーションから得られるアプリケーション情報とを用いて最適な暗号機能を選択することができる。
なお、第2の実施形態についても、第1の実施形態の変形例のように、暗号通信の最中に暗号機能を動的に変更する機能(変形機能1)、および、最適な暗号通信方式の組み合わせ(複数の暗号機能)を選択する機能(変形機能2)の少なくとも一方をさらに備えるように構成してもよい。
以上説明したとおり、第1および第2の実施形態によれば、アプリケーションの要求に照らして、スループットとコストなども考慮した上で最適な暗号通信方式を選択することができる。
次に、第1および第2の実施形態にかかる装置(通信装置、鍵生成装置)のハードウェア構成について図8を用いて説明する。図8は、第1および第2の実施形態にかかる装置のハードウェア構成を示す説明図である。
第1および第2の実施形態にかかる装置は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
第1および第2の実施形態にかかる装置で実行されるプログラムは、ROM52等に予め組み込まれて提供される。
第1および第2の実施形態にかかる装置で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録してコンピュータプログラムプロダクトとして提供されるように構成してもよい。
さらに、第1および第2の実施形態にかかる装置で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、第1および第2の実施形態にかかる装置で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
第1および第2の実施形態にかかる装置で実行されるプログラムは、コンピュータを上述した装置の各部として機能させうる。このコンピュータは、CPU51がコンピュータ読取可能な記憶媒体からプログラムを主記憶装置上に読み出して実行することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100 ノード
101 第1通信部
102 生成部
103 鍵管理部
104 第2通信部
105 プラットフォーム部
200 アプリケーション
201 通信部
202 暗号処理部
203 実行部
204 通信部
205 問合せ部
206 選択部
207 プラットフォーム部
208 情報提供部
101 第1通信部
102 生成部
103 鍵管理部
104 第2通信部
105 プラットフォーム部
200 アプリケーション
201 通信部
202 暗号処理部
203 実行部
204 通信部
205 問合せ部
206 選択部
207 プラットフォーム部
208 情報提供部
Claims (15)
- 暗号鍵を生成する鍵生成装置と接続される通信装置であって、
前記鍵生成装置が前記暗号鍵を生成する能力を表す能力情報を前記鍵生成装置に問い合わせる問合せ部と、
複数の暗号機能を実行する暗号処理部と、
複数の前記暗号機能のうち、前記能力情報に応じた前記暗号機能を選択する選択部と、を備え、
前記暗号処理部は、選択された前記暗号機能を実行する、
通信装置。 - 前記暗号機能を用いた通信処理を実行する通信部をさらに備え、
前記問合せ部は、前記通信部によって通信処理が実行されている間に、前記能力情報を前記鍵生成装置に問い合わせる、
請求項1に記載の通信装置。 - 前記選択部は、前記能力情報に応じた複数の前記暗号機能を選択し、
前記暗号処理部は、選択された複数の前記暗号機能を実行する、
請求項1に記載の通信装置。 - 選択された複数の前記暗号機能それぞれに対応する複数の通信を確立し、確立した複数の通信を用いた通信処理を実行する通信部をさらに備える、
請求項3に記載の通信装置。 - 前記選択部は、複数の前記暗号機能のうち、前記能力情報と、前記暗号鍵を利用する処理の要求を表す要求情報と、に応じた前記暗号機能を選択する
請求項1に記載の通信装置。 - 暗号鍵を利用する通信装置と接続される鍵生成装置であって、
前記暗号鍵を生成する生成部と、
前記通信装置が実行可能な複数の暗号機能を示す暗号機能情報を前記通信装置から受信する受信部と、
前記暗号機能情報が示す複数の前記暗号機能のうち、前記生成部が前記暗号鍵を生成する能力を表す能力情報に応じた前記暗号機能を選択する選択部と、
を備える鍵生成装置。 - 生成された前記暗号鍵を前記通信装置に送信する通信部をさらに備える、
請求項6に記載の鍵生成装置。 - 前記選択部は、前記能力情報に応じた複数の前記暗号機能を選択する、
請求項6に記載の鍵生成装置。 - 前記受信部は、さらに、前記暗号鍵を利用する処理の要求を表す要求情報を前記通信装置から受信し、
前記選択部は、複数の前記暗号機能のうち、前記能力情報と前記要求情報とに応じた前記暗号機能を選択する
請求項6に記載の鍵生成装置。 - 暗号鍵を生成する鍵生成装置と接続される通信装置で実行される通信方法であって、
前記暗号鍵を生成する機能の能力を表す能力情報を前記鍵生成装置に問い合わせる問合せステップと、
複数の暗号機能を実行する暗号処理ステップと、
複数の前記暗号機能のうち、前記能力情報に応じた前記暗号機能を選択する選択ステップと、を含み、
前記暗号処理ステップは、選択された前記暗号機能を実行する、
通信方法。 - 暗号鍵を利用する通信装置と接続される鍵生成装置で実行される通信方法であって、
前記暗号鍵を生成する生成ステップと、
前記通信装置が実行可能な複数の暗号機能を示す暗号機能情報を前記通信装置から受信する受信ステップと、
前記暗号機能情報が示す複数の前記暗号機能のうち、前記生成ステップが前記暗号鍵を生成する能力を表す能力情報に応じた前記暗号機能を選択する選択ステップと、
を含む通信方法。 - 暗号鍵を生成する鍵生成装置と接続されるコンピュータを、
前記暗号鍵を生成する機能の能力を表す能力情報を前記鍵生成装置に問い合わせる問合せ部と、
複数の暗号機能を実行する暗号処理部と、
複数の前記暗号機能のうち、前記能力情報に応じた前記暗号機能を選択する選択部と、として機能させるためのプログラムであって、
前記暗号処理部は、選択された前記暗号機能を実行する、
プログラム。 - 暗号鍵を利用する通信装置と接続されるコンピュータを、
前記暗号鍵を生成する生成部と、
前記通信装置が実行可能な複数の暗号機能を示す暗号機能情報を前記通信装置から受信する受信部と、
前記暗号機能情報が示す複数の前記暗号機能のうち、前記生成部が前記暗号鍵を生成する能力を表す能力情報に応じた前記暗号機能を選択する選択部と、
として機能させるためのプログラム。 - 暗号鍵を生成する鍵生成装置と通信装置とを備える通信システムであって、
前記通信装置は、
前記暗号鍵を生成する機能の能力を表す能力情報を前記鍵生成装置に問い合わせる問合せ部と、
複数の暗号機能を実行する暗号処理部と、
複数の前記暗号機能のうち、前記能力情報に応じた前記暗号機能を選択する選択部と、を備え、
前記暗号処理部は、選択された前記暗号機能を実行し、
前記鍵生成装置は、
前記暗号鍵を生成する生成部と、
前記問合せ部からの問合せに応じて前記能力情報を前記通信装置に送信する通信部と、を備える、
通信システム。 - 暗号鍵を生成する鍵生成装置と通信装置とを備える通信システムであって、
前記鍵生成装置は、
前記暗号鍵を生成する生成部と、
前記通信装置が実行可能な複数の暗号機能を示す暗号機能情報を前記通信装置から受信する受信部と、
前記暗号機能情報が示す複数の前記暗号機能のうち、前記生成部が前記暗号鍵を生成する能力を表す能力情報に応じた前記暗号機能を選択する選択部と、を備え、
前記通信装置は、
前記暗号機能情報を前記鍵生成装置に送信する送信部と、
選択された前記暗号機能を実行する暗号処理部と、
を備える通信システム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012152426A JP2014017595A (ja) | 2012-07-06 | 2012-07-06 | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム |
| CN201310063218.7A CN103532702A (zh) | 2012-07-06 | 2013-02-28 | 通信装置、密钥生成装置、通信方法和通信系统 |
| US13/795,588 US9306734B2 (en) | 2012-07-06 | 2013-03-12 | Communication device, key generating device, and computer readable medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012152426A JP2014017595A (ja) | 2012-07-06 | 2012-07-06 | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015009801A Division JP2015097423A (ja) | 2015-01-21 | 2015-01-21 | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014017595A true JP2014017595A (ja) | 2014-01-30 |
Family
ID=49879436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012152426A Pending JP2014017595A (ja) | 2012-07-06 | 2012-07-06 | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9306734B2 (ja) |
| JP (1) | JP2014017595A (ja) |
| CN (1) | CN103532702A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10630464B2 (en) | 2016-08-26 | 2020-04-21 | Kabushiki Kaisha Toshiba | Communication device, communication system, and communication method allocating shared keys to plural channels |
| JP2022075196A (ja) * | 2020-11-06 | 2022-05-18 | 株式会社東芝 | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102015108B1 (ko) * | 2013-03-12 | 2019-10-22 | 한국전자통신연구원 | 이종 서비스 간 서비스 제공 방법과 사용자 단말 및 웹 서버 |
| CN105340212B (zh) * | 2013-06-26 | 2019-05-28 | 诺基亚技术有限公司 | 用于生成在设备至设备通信中的密钥的方法和装置 |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US10374800B1 (en) | 2014-09-10 | 2019-08-06 | Amazon Technologies, Inc. | Cryptography algorithm hopping |
| US9923923B1 (en) * | 2014-09-10 | 2018-03-20 | Amazon Technologies, Inc. | Secure transport channel using multiple cipher suites |
| US10567434B1 (en) | 2014-09-10 | 2020-02-18 | Amazon Technologies, Inc. | Communication channel security enhancements |
| US20160106294A1 (en) | 2014-10-16 | 2016-04-21 | The Procter & Gamble Company | Kit having a package containing cleaning implements, package therefor and blank therefor |
| US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
| US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
| CN105515766A (zh) * | 2015-12-16 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 一种量子密钥在stunnel中的应用方法 |
| US11218300B1 (en) * | 2019-09-10 | 2022-01-04 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography communications channels |
| US11218301B1 (en) * | 2019-09-10 | 2022-01-04 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography communications channels |
| US11552793B1 (en) | 2019-09-10 | 2023-01-10 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography communications channels |
| JP7282713B2 (ja) * | 2020-04-16 | 2023-05-29 | 株式会社東芝 | 量子暗号装置、量子暗号通信料金計算システム及び量子暗号通信料金計算方法 |
| CN114079563B (zh) * | 2022-01-06 | 2022-04-12 | 天津市城市规划设计研究总院有限公司 | 基于量子密钥分发的数据安全灾备方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7019A (en) * | 1850-01-15 | Improvement in obstetrical supporters | ||
| JP2004254286A (ja) * | 2002-10-31 | 2004-09-09 | Matsushita Electric Ind Co Ltd | 通信装置、通信システムおよびアルゴリズム選択方法 |
| JP2011044768A (ja) * | 2009-08-19 | 2011-03-03 | Nec Corp | 秘匿通信システムにおける通信装置および通信制御方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7313234B2 (en) | 2002-10-31 | 2007-12-25 | Matsushita Electric Industrial Co., Ltd. | Communication device, communication system, and algorithm selection method |
| JP4714482B2 (ja) * | 2005-02-28 | 2011-06-29 | 株式会社日立製作所 | 暗号通信システムおよび方法 |
| US8082443B2 (en) | 2006-01-09 | 2011-12-20 | Bbnt Solutions Llc. | Pedigrees for quantum cryptography |
| JP4595853B2 (ja) | 2006-03-22 | 2010-12-08 | 日本電気株式会社 | 暗号システム、暗号回路及びそれらに用いる暗号制御方法 |
| JP5424008B2 (ja) | 2006-12-19 | 2014-02-26 | 日本電気株式会社 | 共有情報の管理方法およびシステム |
| JP2009010470A (ja) * | 2007-06-26 | 2009-01-15 | Toshiba Corp | 端末装置、グループ管理サーバ、ネットワーク通信システム、並びに暗号化鍵生成方法 |
| JP2010220038A (ja) | 2009-03-18 | 2010-09-30 | Oki Networks Co Ltd | ゲートウェイ装置 |
| US20130170645A1 (en) * | 2011-12-29 | 2013-07-04 | Mediatek Inc. | Encryption and decryption devices and methods thereof |
-
2012
- 2012-07-06 JP JP2012152426A patent/JP2014017595A/ja active Pending
-
2013
- 2013-02-28 CN CN201310063218.7A patent/CN103532702A/zh not_active Withdrawn
- 2013-03-12 US US13/795,588 patent/US9306734B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7019A (en) * | 1850-01-15 | Improvement in obstetrical supporters | ||
| JP2004254286A (ja) * | 2002-10-31 | 2004-09-09 | Matsushita Electric Ind Co Ltd | 通信装置、通信システムおよびアルゴリズム選択方法 |
| JP2011044768A (ja) * | 2009-08-19 | 2011-03-03 | Nec Corp | 秘匿通信システムにおける通信装置および通信制御方法 |
Non-Patent Citations (1)
| Title |
|---|
| JPN7014001757; 長谷川 俊夫,外5名: '長距離量子暗号通信システム実験' 暗号と情報セキュリティシンポジウム(SCIS2003) 講演論文集CD-ROM , 2003, pp.1-6, 電子情報通信学会 情報セキュリティ研究専門委員会 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10630464B2 (en) | 2016-08-26 | 2020-04-21 | Kabushiki Kaisha Toshiba | Communication device, communication system, and communication method allocating shared keys to plural channels |
| JP2022075196A (ja) * | 2020-11-06 | 2022-05-18 | 株式会社東芝 | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103532702A (zh) | 2014-01-22 |
| US20140013101A1 (en) | 2014-01-09 |
| US9306734B2 (en) | 2016-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2014017595A (ja) | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム | |
| US9509510B2 (en) | Communication device, communication method, and computer program product | |
| JP5634427B2 (ja) | 鍵生成装置、鍵生成方法およびプログラム | |
| US10630464B2 (en) | Communication device, communication system, and communication method allocating shared keys to plural channels | |
| JP5694247B2 (ja) | 鍵生成装置、通信方法および通信システム | |
| JP6192998B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| JP2013046363A (ja) | 鍵共有装置、鍵共有方法および鍵共有プログラム | |
| EP3541007B1 (en) | Cryptographic communication apparatus, cryptographic communication system, cryptographic communication method and computer-readable medium | |
| JP6076752B2 (ja) | 通信装置、通信システムおよびプログラム | |
| US9509589B2 (en) | Communication device, communication system, communication method, and computer program product | |
| JP2014068313A (ja) | 通信方法、アプリケーション装置、プログラム及び通信システム | |
| CN115174061A (zh) | 基于区块链中继通信网络系统的消息传输方法及装置 | |
| CN113221146A (zh) | 区块链节点间数据传输的方法和装置 | |
| US9083682B2 (en) | Communication device and computer program product | |
| US9928370B2 (en) | Communication device, communication method, computer program product, and communication system | |
| JP2017038413A (ja) | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム | |
| JP2015097423A (ja) | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム | |
| KR101417927B1 (ko) | IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치 | |
| JP7520787B2 (ja) | 量子暗号通信システム、鍵管理装置、量子暗号通信装置、プログラム、鍵管理方法及び量子暗号通信方法 | |
| JP2023071515A (ja) | 量子暗号ストレージシステム、分散制御装置及びプログラム | |
| JP2010141408A (ja) | 通信装置、サーバ、通信方法及びプログラム | |
| JP2023139648A (ja) | 鍵管理装置、量子暗号通信システム及びプログラム | |
| JP2015159619A (ja) | 通信方法、アプリケーション装置、プログラム及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140207 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140610 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140807 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20141028 |