JP2014110466A - 通信装置、通信方法およびコンピュータプログラム - Google Patents

通信装置、通信方法およびコンピュータプログラム Download PDF

Info

Publication number
JP2014110466A
JP2014110466A JP2012262771A JP2012262771A JP2014110466A JP 2014110466 A JP2014110466 A JP 2014110466A JP 2012262771 A JP2012262771 A JP 2012262771A JP 2012262771 A JP2012262771 A JP 2012262771A JP 2014110466 A JP2014110466 A JP 2014110466A
Authority
JP
Japan
Prior art keywords
key
data
communication
processing unit
attribute information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012262771A
Other languages
English (en)
Other versions
JP6062229B2 (ja
Inventor
Yasuyuki Tanaka
中 康 之 田
Mitsuru Kanda
田 充 神
Seijiro Yoneyama
山 清二郎 米
Yoshiki Terashima
島 芳 樹 寺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2012262771A priority Critical patent/JP6062229B2/ja
Priority to US14/088,626 priority patent/US9143486B2/en
Publication of JP2014110466A publication Critical patent/JP2014110466A/ja
Application granted granted Critical
Publication of JP6062229B2 publication Critical patent/JP6062229B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】セキュリティ上の問題なく、受信データの処理内容を決定できるようにする。
【解決手段】本発明の一態様としての通信装置は、第1通信装置から受信したデータに対して、第1通信層の受信処理を行う第1通信層受信処理部を備える。前記第1通信層受信処理部は、第1鍵特定部と、属性特定部と、データ処理部とを備える。前記第1鍵特定部は、前記データを処理するために必要な鍵を特定する。前記属性特定部は、鍵と属性情報とを関連づけた鍵データに従って、前記第1鍵特定部により特定された鍵に応じた属性情報である第1属性情報を特定する。前記データ処理部は、前記第1鍵特定部により特定された鍵を用いて前記データを処理する。前記第1通信層受信処理部は、前記データ処理部が処理したデータと、前記第1属性情報とを、第2通信層の処理を行う第2通信層処理部に渡す。
【選択図】図3

Description

本発明の実施形態は、通信装置、通信方法およびコンピュータプログラムに関する。
従来、受信データに含まれる識別情報を参照して、当該受信データの処理内容を決定する方法が知られている。この方法は、暗号化(復号)処理を行う通信層と、受信データの処理内容を決定する通信層が異なる場合には適用できない問題がある。
また、MACアドレス、IPv6アドレスに基づき受信データの処理内容を決定する方法が知られている。しかしながら、この方法では、各アドレスが詐称可能であるため、スマートメーターのユースケースでは、セキュリティ上問題がある。
特開2006-80628号公報 特開2004-289257号公報
本発明の一側面は、セキュリティ上の問題なく、受信データの処理内容を決定できるようにすることを目的とする。
本発明の一態様としての通信装置は、第1通信装置から受信したデータに対して、第1通信層の受信処理を行う第1通信層受信処理部を備える。
前記第1通信層受信処理部は、第1鍵特定部と、属性特定部と、データ処理部とを備える。
前記第1鍵特定部は、前記データを処理するために必要な鍵を特定する。
前記属性特定部は、鍵と属性情報とを関連づけた鍵データに従って、前記第1鍵特定部により特定された鍵に応じた属性情報である第1属性情報を特定する。
前記データ処理部は、前記第1鍵特定部により特定された鍵を用いて前記データを処理する。
前記第1通信層受信処理部は、前記データ処理部が処理したデータと、前記第1属性情報とを、第2通信層の処理を行う第2通信層処理部に渡す。
実施形態に係る通信装置を備えたネットワーク構成例を示す図。 認証データ付き暗号化フレームの構成を示す図。 実施形態に係る通信装置の構成例を示す図。 ネットワーク構成の他の例を示す図。 ネットワーク構成のさらに他の例を示す図。 ネットワーク構成のさらに他の例を示す図。 実施形態にかかる通信装置の動作例を示すフローチャート。
以下、図面を参照しながら、本発明の実施形態について説明する。
図1に、実施形態にかかる通信装置を備えたネットワーク構成を示す。
ネットワーク111には、本実施形態に係る通信装置である通信ノード101が接続され、さらに通信ノード102、通信ノード103が接続されている。通信ノード102と通信ノード103は直接通信できず、通信ノード101を介してお互いに通信する。ネットワーク112には、通信ノード101と通信ノード104が接続されている。通信ノード101は、通信ノード104が通信ノード102や通信ノード103と通信できないよう、パケットの転送を制御する。すなわち、通信ノード101は、ネットワーク111とネットワーク112間の通信を遮断するよう動作する。
ネットワーク111およびネットワーク112は、イーサネットや電力線搬送通信などの有線接続でも、無線LANや特定小電力無線などの無線接続でも構わない。ここでは例として、ネットワーク111とネットワーク112が同じ無線通信方式で、同じ無線チャネルを使用し、同じネットワーク識別子する場合を考える。つまり、OSI参照モデルにおけるデータリンク層(TCP/IPの4層ネットワークモデルにおけるネットワークインタフェース層)では、ネットワーク111とネットワーク112を区別できない場合を考える。特に、通信ノード101がネットワーク111とネットワーク112に単一通信インタフェース(物理インタフェース)で接続される場合を想定する。また、データリンク層においてフレームが暗号化されているか、フレームに認証データが付与されているか、その両方が行われているものとする。本実施形態ではフレームが暗号化され、認証データも付与されている場合を考える。通信ノード101、102、103はたとえばスマートメーターであり、通信ノード104が、通信ノード101の配下の通信装置、たとえばHEMSやガスメーター等であることが考えられる。
通信ノード101は、前述のように、通信ノード102と通信ノード103の間のパケットは転送し、ネットワーク111とネットワーク112間のパケット転送は遮断しなければならない。このため、通信ノード101が受信したパケットがネットワーク111に接続した通信ノードが送信したものか、ネットワーク112に接続した通信ノードが送信したものか区別しなければならない。
図2に、各通信ノードから通信ノード101へ送信されるフレーム(データ)の構成例を示す。このフレームは、認証データ付き暗号化フレーム201であり、ヘッダ211とセキュリティヘッダ212、暗号化されたフレームペイロード213、認証データ214を含む。
ヘッダ211は、送信元アドレスや宛先アドレス、ネットワーク識別子などのヘッダ要素を含む。ヘッダ要素は、暗号化されておらず、暗号化の行われない通常のフレームにも使用されるものである。
セキュリティヘッダ212は、当該フレームのセキュリティ処理が暗号化だけなのか、認証データが付与されているだけなのか、それとも両方なのかを指定する。またセキュリティヘッダ212は、暗号化および認証データ生成のそれぞれの処理に使用されたアルゴリズムも指定する。そして、セキュリティヘッダ212には、フレームのセキュリティ処理に使用した鍵を特定するために必要な情報の指定や、鍵の生成元情報、鍵の識別子、フレームカウンタなどの情報も含まれる。通信方式や設定によっては、セキュリティヘッダ212を含まない場合もあり得る。なお、セキュリティヘッダに含まれる情報は、ここで述べた内容に限らない。
暗号化されたフレームペイロード213は、セキュリティヘッダ211で指定されたアルゴリズムや鍵、ヘッダ211などに基づいてペイロードを暗号化したものである。
認証データ214は、セキュリティヘッダ211で指定されたアルゴリズムや鍵、ヘッダ211やペイロードなどに基づき生成されたものである。
認証データを含まない暗号化フレームの場合は、セキュリティヘッダ212に暗号化のみ行われた旨が指定され、暗号化レームには認証データ214は含まれない。また、認証データを含む平文フレームの場合、セキュリティヘッダ212に認証データのみ含まれる旨が指定され、この場合、図2の暗号化されたフレームペイロード213は、平文のペイロードの内容に置き換わる。
図3に通信ノード101の構成を示す。
通信ノード101は、通信部10と、データリンク層処理部11と、ネットワーク層処理部33とを含む。さらに、図示しないアプリケーション層処理部が含まれてもよい。
通信部10は、ネットワークを介して他の通信ノードからデータ(フレーム)を受信する。通信部10は、フレームに物理層の処理を含む処理を行い、処理後のフレームをデータリンク層処理部11に送る。
データリンク層処理部11は、データリンク層受信処理部31(第1通信層受信処理部)と、データリンク層送信処理部32(第1通信層送信処理部)と、鍵テーブル(鍵データ)16を含む各種テーブルと、インタフェース部17とを含む。
データリンク層受信処理部31は、鍵特定部12、認証データ検証部13、復号部14、属性特定部15を含む。
鍵特定部12は、通信部10から受信したフレームの情報と鍵テーブル16に基づき、フレームの処理に使用すべき鍵を特定する。鍵テーブル16は、検索キーと鍵と属性情報を関連づける。受信したフレームの情報から検索キーを生成し、検索キーに対応する鍵を、鍵テーブル16から特定する。
認証データ検証部13は、鍵特定部12が特定した鍵を用いて、受信したフレームに含まれる認証データを検証する。復号部14は、鍵特定部12が特定した鍵を用いて、受信したフレームの復号処理を行う。認証データ検証部13および復号部14は、受信したフレームの処理を行うフレーム処理部(データ処理部)に対応する。
属性特定部15は、受信したフレームの属性を、鍵テーブル16に基づき特定する。詳細には、鍵特定部12が特定した鍵(あるいは検索キー)に対応する属性を、鍵テーブル16から検索することで、属性を特定する。インタフェース部17は、復号部14により復号されたデータと、属性特定部15により特定された属性情報とをネットワーク層処理部33に送る。
なお、受信したフレームが認証データを含まず、暗号化もされていない場合は、鍵および属性の特定は省略してよい。この場合、受信したフレームの属性は不明として扱う。
ネットワーク層処理部33は、OSI参照モデルにおけるネットワーク層(TCP/IPの4層ネットワークモデルにおけるインターネットプロトコル層)の処理を行う。ネットワーク層処理部33は、データリンク層処理部11から受けたデータの宛先IPアドレスが自装置の場合、データリンク層処理部11から受けた属性情報に応じてデータ処理方法を特定する。ネットワーク層処理部33は、特定した処理方法に従って、当該データを処理する。たとえば、当該データを、使用されているトランスポートプロトコルに応じた受信処理へ渡し、その後、ポート番号に応じたアプリケーションに当該データを渡したり、あるいは、当該データを破棄したりする。データ処理方法の特定は、たとえば、データ処理方法と属性とを含むパケット処理ポリシー(ポリシーデータ)に基づいて、データリンク層処理部11から受けた属性に応じたデータ処理方法を特定することで可能である。
ネットワーク層処理部33は、データリンク層処理部から受けたデータの宛先IPアドレスが他の通信装置の場合、当該データに対して必要なネットワーク層の処理を行う。そして、処理後のデータと、データリンク層処理部11から受けた属性情報とを、データリンク層送信処理部32に送る。
データリンク層送信処理部32は、鍵特定部18、属性特定部19、判断部20、フレーム生成部21を含む。
鍵特定部18は、フレームの宛先となる他の通信装置との通信に使用する鍵を特定する。これは、たとえば後述する鍵選択テーブル(検索キー、鍵、セキュリティ内容)を利用して行うことができる。セキュリティ内容は、暗号化、認証、またはこれらの両方のいずれを行うかを示す。検索キーは、たとえば他の通信装置のデータリンク層のアドレスに基づき生成する。
属性特定部19は、鍵テーブル16に従って、鍵特定部18により特定された鍵に応じた属性情報を特定する。
判断部20は、ネットワーク層処理部33から受けた属性情報と、鍵特定部18で特定した属性情報との関係に基づいて、ネットワーク層処理部33から受けたデータの処理内容を決定する。たとえば、当該データを、上記宛先IPアドレスを有する他の通信装置に転送するか否か判定する。判定には、たとえば送信元の属性情報と宛先の属性情報とデータ処理方法とを含むパケット処理ポリシー(ポリシーデータ)に従って行うことができる。本実施形態では、データ処理方法として、転送可否を判断する場合を想定する。フレーム生成部21は、必要に応じて、特定した鍵等に基づき、データの暗号化または認証データの生成またはこれらの両方を行う。またフレーム生成部21は、ヘッダおよびセキュリティヘッダ等を生成し、生成したヘッダおよびセキュリティヘッダと、暗号化データおよび認証データを用いて、認証データ付暗号化フレームを生成し、通信部10に渡す。通信部10は、当該フレームを送信する。
図7は、図3の通信装置の動作の一例を概略的に示すフローチャートである。
通信部10で認証データ付暗号化フレームを受信すると(S11)、通信部10で受信されたフレームに対して、データリンク層受信処理部31は、フレームの情報に基づき検索キーを生成し、検索キーと鍵と属性情報とを含む鍵テーブル16に従って、フレームを処理するために必要な鍵を特定する(S12)。そして、当該鍵に応じた属性を特定する(S13)。データリンク層受信処理部31は、特定された鍵を用いて、フレームに含まれる認証データを検証し、暗号化されたフレームペイロードを復号する(S14)。認証データの検証やフレームペイロードの復号に失敗した場合は、当該フレームを破棄する。データリンク層受信処理部31は、復号後のデータであるパケットと、特定した属性の情報とを、インタフェース部17を介して、ネットワーク層処理部33に渡す(S15)。
ネットワーク層処理部33では、フレームの宛先が自装置であるときは、ネットワーク層のパケット処理ポリシーと、属性情報とに従って、パケットを受信するか、廃棄するか等、パケットの処理方法を決定する(S16、S17)。フレームの宛先が他の通信装置であるときは、データリンク層送信処理部32にパケットと、属性情報を渡す(S16、S18)。
データリンク層送信処理部32では、当該他の通信装置との通信に用いる鍵を特定し(S19)、当該鍵に対応する属性情報を鍵テーブル16に基づき特定する(S20)。ネットワーク層処理部32から受けた属性情報と、特定した属性情報とに基づき、データリンク層のパケット処理ポリシーにしたがって、パケットの処理方法(たとえば当該他の通信装置に転送するか否かなど)を決定する(S21)。そして決定した処理方法に応じて、パケットを処理する(S22)。たとえば他の通信装置への転送が決定された場合は、パケットと、特定した鍵等に基づき、暗号化および認証データ生成等を必要に応じて行って、フレームを構築する。そして、フレームを当該他の通信装置に送信する。
以下、具体例に基づき、本通信装置についてさらに詳細に説明する。
通信ノード101は、認証データ付き暗号化フレーム201を受信すると、ヘッダ211やセキュリティヘッダ212の情報から、暗号化フレーム201の受信処理を行うための鍵を特定する。鍵を特定するための検索キーは、ヘッダに含まれる送信元アドレスと宛先アドレスの組を使って生成する方法、これらのアドレス情報にネットワーク識別子を加えて生成する方法、さらに鍵識別子も組み合わせて生成する方法等、種々の方法が可能である。いずれにしても、受信した認証データ付き暗号化フレーム201に含まれる情報を組み合わせ、検索キーを生成し、鍵を特定する。
本実施形態では、認証データ付き暗号化フレーム201に含まれる送信元アドレスと鍵識別子を組み合わせて、鍵を特定するための検索キーを生成する場合を示す。表1に通信ノード101が持つ鍵テーブルの例を示す。この例では、鍵テーブルは検索キー、鍵、属性の3つの列を有する。通信ノード102〜104との間で用いる鍵が登録されている。
Figure 2014110466
検索キー列には、アドレスと鍵識別子の組み合わせが登録される。ここで、通信ノード102のリンク層アドレスを02:22:22:22:22:22、通信ノード103のリンク層のアドレスを02:33:33:33:33:33、通信ノード104のリンク層のアドレスを02:44:44:44:44:44とする。
鍵列には鍵の値が登録される。表1に含まれるそれぞれの鍵は、通信ノード101と各通信ノード間で共有されている。つまり、通信ノード101と通信ノード102は、鍵識別子432の鍵afdc0923a29f7247を共有している。
属性には、鍵を共有している通信ノードの属性が登録される。本例では、属性には、通信ノードの接続先ネットワークに関する情報として、ネットワーク111やネットワーク112の識別子が登録される。
鍵テーブルにおけるこれらの情報は、通信ノード101に対して静的に設定してもよいし、動的に設定してもよい。動的に設定する方法には、通信ノード間で行う鍵交換プロトコルによって設定する方法や、管理用プロトコルを通じて外部の通信ノードが設定する方法、通信ノードのネットワークアクセス認証時に認証サーバから通知された鍵を設定する方法など、さまざま考えられる。
通信ノード101は、認証データ付き暗号化フレーム201を受信すると、検索キーを生成し、鍵テーブルを検索して、鍵を取得する。鍵が得られなかった場合、当該フレームは破棄する。
鍵が得られ、認証データの検証に成功し、暗号化フレームが正しく復号できた場合は、使用した鍵に対応する属性(ネットワークの識別子)を特定する。この属性から、当該フレームがどのネットワークから送信されたものだと判定可能である。例えば、検索キーが02:22:22:22:22:22, 432の場合、鍵はafdc0923a29f7247であり、この鍵で暗号化フレームが正しく復号できた場合は、この暗号化フレームがネットワーク111から送信されたものだと判定可能である。
通信ノード101は、復号したフレームペイロードに含まれるパケットと、特定した属性情報をネットワーク層処理部33の受信処理部へ渡す。
ネットワーク層処理部33の受信処理部は、受信パケットが自アドレス宛だった場合、表2に示すネットワーク層のパケット処理ポリシーに従い、パケットの処理内容を判定する。
Figure 2014110466
すなわち、ネットワーク層処理部33では、受信パケットが自アドレス宛だった場合の処理を制御する。この際、パケットヘッダ等に含まれるアドレスやポート番号だけでなく、パケット共にデータリンク層処理部11から得た属性情報も考慮して、受信パケットの処理内容を決定する。表2の例では、送信元の属性がネットワーク111であった場合は、受信したパケットのデータを、ポート番号で示されるアプリに渡す。送信元の属性がネットワーク112であり、ポート番号がアプリ1以外を示すときは、受信したパケットを廃棄する。
一方、受信パケットが自アドレス宛でなかった場合、他の通信ノードに受信パケットを転送すると判断する。受信パケットの転送時には、データリンク層送信処理部32に対し、転送するパケットと共に、パケット受信時にデータリンク層受信処理部31から得た属性情報も通知する。
データリンク層送信処理部32は、パケットの宛先アドレス(宛先IPアドレス)からデータリンク層における宛先アドレスを特定する。これは、あらかじめIPアドレスとデータリンク層アドレス(MACアドレス)とを対応して保持したテーブルに基づき行う。そして、表3の鍵選択テーブルと表1の鍵テーブルとに基づき、フレーム送信時に使用する鍵を特定する。
Figure 2014110466
鍵選択テーブルには宛先アドレスをキーにして、鍵検索キーが格納されている。パケットの転送先のデータリンク層における宛先アドレスが02:33:33:33:33:33だった場合、鍵選択テーブルで特定される鍵検索キーは02:33:33:33:33:33, 200となる。データリンク層送信処理部32は、鍵検索キーを使い、鍵テーブルを検索し、鍵を取得する。さらに、その鍵検索キーあるいは鍵に対応付けされている属性情報を取得する。
本例の場合、鍵検索キーが02:33:33:33:33:33, 200であるから、そこから得られる属性はネットワーク111である。そして、ここで得られた属性情報と、ネットワーク層処理部33から受信した属性情報を用いて、データリンク層送信処理部32は、データリンク層におけるパケット処理ポリシーを参照することで、当該パケットの転送可否を決定する。表4にデータリンク層のパケット処理ポリシーを示す。
Figure 2014110466
本例では、ネットワーク層処理部33から渡された属性情報がネットワーク111を示し、データリンク層送信処理部32で特定した属性もネットワーク111である。これはつまり、ネットワーク111から送信されたフレームを、ネットワーク111に転送する、という意味である。表4に従うと、この処理は許可される。そこで、データリンク層送信処理部32は、特定した鍵を使い、鍵選択テーブルのセキュリティ内容に従って送信フレームを構成し、宛先に送信する。
なお、他の通信ノードから受信したフレームの転送ではなく、自ノードから他のノード宛のフレームを送信する場合(送信元IPアドレスが自装置の場合)は、ネットワーク層処理部33は、送信パケットと共に、自ノード発のパケットである旨を含む属性情報をデータリンク層送信処理部32に通知すればよい。その後の処理は上述と同様である。
図4にネットワーク構成の他の例を示す。ネットワーク411と通信ノード401が追加されている。通信ノード101および通信ノード401は、ネットワーク411に接続されている。通信ノード101、通信ノード104および通信ノード401は、たとえばスマートメーターであることが考えられる。
鍵テーブルの第2例として、図4のネットワーク構成例において通信ノード101に保持される鍵テーブルの例を表5に示す。この場合も、通信ノード101は 上記同様の処理を行うことで、フレームの送信元のネットワークを特定できる。
Figure 2014110466
鍵テーブルの第3の例として、図4のネットワーク構成において、通信ノード102と通信ノード103が同じ鍵を使用する場合の鍵テーブルの例を表6に示す。
表6の例では、検索キーがフレームの送信元アドレスと鍵識別子の組み合わせか、鍵を生成したノードのアドレスと鍵識別子の組み合わせになっている。通信ノード102と通信ノード103の場合は、鍵を生成したノードのアドレスと鍵識別子の組み合わせになっている。
どちらの組み合わせを用いて検索キーを構成すべきかについてはセキュリティヘッダ212内に指定される。また、検索キーを構成するために必要な情報は、認証データ付き暗号化フレーム201中から得られる。
Figure 2014110466
鍵テーブルの第4の例として、ここで、図4のネットワーク構成において、通信ノード102と通信ノード103がマルチキャストメッセージとユニキャストメッセージで異なる鍵を使用する場合の鍵テーブルの例を表7に示す。ここで、ブロードキャストはマルチキャストの一形態とする。
この場合、通信ノード102と通信ノード103がネットワーク111上にマルチキャストメッセージを送信するときは、鍵3895cc40e26119f8を使用し、通信ノード101にユニキャストメッセージを送信するときはそれぞれ鍵afdc0923a29f7247、鍵f2fd26f4c27b5948を使用する。
Figure 2014110466
鍵テーブルの第5の例として、鍵テーブルの属性に、ネットワーク種別以外の属性を設定する例を表8に示す。この例では、鍵を保有する通信ノードを特定したり、通信ノードのユーザを特定したり、通信ノードが配置されている地理位置を特定したりできる。
Figure 2014110466
このように、さまざまな属性を鍵テーブルに設定することで、パケット処理ポリシーを柔軟に設定することができる。例えば、ユーザ間の通信の制御や、特定の地区の通信を隔離するといったことが確実に行える。
鍵テーブルの第6の例として、各鍵に対しその鍵を用いて行う通信に関する設定項目が入っている場合の鍵テーブルの例を表9に示す。
Figure 2014110466
この場合、表9の通信設定から、通信ノード101はネットワーク111との通信にはチャネル1を使用する。また、通信ノード101はネットワーク112との通信にはチャネル2を使用し、事前に「通信頻度低」として設定された頻度で通信を行うよう制御する。ネットワーク411についても同様である。
鍵テーブルに設定される通信項目はここで挙げた、通信に使用するチャネル(周波数)や通信頻度に関する情報だけでなく、PANIDやESSIDなどの論理ネットワーク名や通信速度設定や通信速度の上限、周波数ホッピングパターンなどさまざま考えられる。
通信ノード101はフレームを受信すると通信設定の設定に合致した通信条件で受信できているかを判定する。また、通信ノード101がフレームを送信する際は、フレームの暗号化などに使用した鍵に関連付けされている通信設定に従ってフレームを処理し、送信する。
これまで述べた実施形態では、通信ノード101が、ネットワーク111とネットワーク112に単一通信インタフェース(物理インタフェース)で接続される場合を例示した。ここでは、図5に示すように、1つの通信ノード(101、501)が、単一の通信インタフェースで2つ(以上)のネットワークに接続され、かつ、通信ノード(101、501)が同一のネットワーク(112)で相互に接続される場合についての例を示す。
ネットワーク111、通信ノード101、102、103については、図1または図4と同様である。また、通信ノード101は、図1または図4と同様に、ネットワーク111と同一の物理通信インタフェースを介して、ネットワーク112に接続されている。通信ノード101は、ネットワーク112に接続されたノード(例えば通信ノード501)と、ネットワーク111に接続されたノード(例えば通信ノード102)とが、直接通信できないよう、パケットの転送を制御する。すなわち、通信ノード101はネットワーク111とネットワーク112間の通信を遮断するよう動作する。
同様に、通信ノード501は、ネットワーク112と同一の物理通信インタフェースを介して、ネットワーク511にも接続されている。通信ノード501は、ネットワーク112に接続されたノード(例えば通信ノード101)と、ネットワーク511に接続されたノード(例えば通信ノード502や503)とが、直接通信できないよう、パケットの転送を制御する。すなわち、通信ノード501はネットワーク112とネットワーク511間の通信を遮断するよう動作する。
ネットワーク111とネットワーク112、あるいは、ネットワーク112とネットワーク511は、同一のネットワーク方式(例えば無線通信方式)で通信がなされ、かつ、ここで使用される無線チャネルは、同一のものであっても良い。図5の例では、ネットワーク111、112、511ですべての同一のネットワーク方式で通信がなされ、かつ使用される無線チャネルはすべて同一のものであるとする。この無線チャネルをCH1とする。
また、ネットワーク111とネットワーク112、あるいはネットワーク112とネットワーク511は、相異なるネットワーク識別子(例えば、IEEE802.15.4におけるPAN-ID)を持っていても良い。図5の例では、ネットワーク111はA、ネットワーク112はB、ネットワーク511はCのPAN-IDを有する。
無線通信方式における無線チャネルの決定は、ルートと呼ばれる装置によって行われる。図5の例の場合は、通信ノード102(あるいは、図示していない、通信ノード102よりも上流の通信ノード)がルートであるとする。この場合、通信ノード101が通信ノード102と通信を行う場合、無線チャネルCH1を用いて通信を行うが、ネットワーク112を介して、通信ノード501と通信を行う場合も、同様の無線チャネルCH1を選択する場合である。このようにすることにより、通信ノード101は、相手通信ノード毎に無線チャネルの切り替えが不要となり、制御の簡易化が可能となる。この場合、通信ノード101はネットワーク112のコーディネータとなる。
同様に、通信ノード501が通信ノード101と通信を行う場合、無線チャネルCH1を用いて通信を行うが、通信ノード501がネットワーク511を介して、通信ノード502や通信ノード503と通信を行う場合も、同様の無線チャネルCH1を選択しても良い。この場合、通信ノード501はネットワーク511のコーディネータとなる。図5は、このような状況を図示している。
ここで、ネットワーク111、112、511のそれぞれが無線チャネルCH1を共有しているため、例えば通信ノード501と通信ノード502間の通信が頻繁に行われると、無線チャネルCH1 が占有される傾向となり、ネットワーク112およびネットワーク111の通信のパフォーマンスが下がる懸念がある。
図6に、通信ノード101や通信ノード501がそれぞれ、通信インタフェースを2つ以上持っている場合の構成を示す。たとえば、通信ノード101では、ネットワーク111に接続する通信インタフェースと、ネットワーク112に接続する通信インタフェースが、それぞれ物理的に別に存在する。
図6の構成では、通信ノード101や501のそれぞれの2つ以上の通信インタフェースを独立して制御することが可能となるため、異なる無線チャネルを使うことが容易となる。
この場合は、ネットワーク111、112、511が使用する無線チャネルとして、それぞれ互いに異なるCH1、CH2、CH3を用いることができる。このため、例えば通信ノード501と101間や、通信ノード501と502間の通信が頻繁に行われても、無線チャネルCH1とは別の無線チャネルCH2、CH3で通信を行うため、ネットワーク111の通信のパフォーマンスの低下を抑制できる。この場合、通信ノード501はネットワーク112のコーディネータとなり、また、ネットワーク511のコーディネータにもなっている。
通信ノード501は、ネットワーク112と通信ノード101を介して接続する場合において、自分がコーディネータでない場合(図5の場合)と、自分がコーディネータである場合(図6の場合)とで、通信ノード101との通信頻度を変えてもよい。具体的には、自分がコーディネータである場合(図6の場合)に比べ、自分がコーディネータでない場合(図5の場合)の通信頻度を下げても良い。
特に、通信ノード501にとって、ネットワーク112を介して通信を行う通信ノード101がスマートメーターなど、宅外ネットワーク(ユーティリティ管轄)と宅内ネットワーク(ユーザ管轄)の境界に位置しているような場合は、宅外ネットワークの無線チャネルを占有しないことがより望ましい。このため、図5の構成では、図6のような自分がコーディネータである場合と比べて、通信頻度を下げる方法が特に効果的である。
また、図5の構成において、通信ノード101がスマートメーターなどの境界に位置する装置であり、かつ、ネットワーク112とネットワーク511で共通の無線チャネルを使う場合は、通信ノード501は、通信ノード502と503に対して、通信頻度を下げることを促す命令(メッセージ)を送出しても良い。このようにすることで、通信ノード502、503は、ネットワーク111と112と511で使用する無線チャネルが互いに異なる場合(図6の場合)と比べて、低い通信頻度で通信ノード501と通信できるようになる。これにより、ネットワーク112、ひいてはネットワーク111における通信パフォーマンスの低下を防ぐことが可能となる。
以上に説明した実施形態における通信装置は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、認証サーバの各ブロックの処理は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、サーバは、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD-ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。また、通信装置内の各テーブルは、上記のコンピュータ装置に内蔵あるいは外付けされたメモリ、ハードディスクもしくはCD−R、CD−RW、DVD−RAM、DVD−Rなどの記憶媒体などを適宜利用して実現することができる。

Claims (14)

  1. 第1通信装置から受信したデータに対して、第1通信層の受信処理を行う第1通信層受信処理部を備え、
    前記第1通信層受信処理部は、
    前記データを処理するために必要な鍵を特定する第1鍵特定部と、
    鍵と属性情報とを関連づけた鍵データに従って、前記第1鍵特定部により特定された鍵に応じた属性情報である第1属性情報を特定する第1属性特定部と、
    前記第1鍵特定部により特定された鍵を用いて前記データを処理するデータ処理部と、を備え、
    前記データ処理部が処理したデータと、前記第1属性情報とを、第2通信層の処理を行う第2通信層処理部に渡す
    通信装置。
  2. 前記第1通信層の送信処理を行う第1通信層送信処理部をさらに備え、
    前記第1通信装置から受信したデータの前記第2通信層の宛先アドレスは第2通信装置であり、
    前記第1通信層送信処理部は、前記第2通信層処理部から、前記第2通信層で処理されたデータと前記第1属性情報とを受け取り、
    前記第1通信層送信処理部は、
    前記第2通信装置との通信に使用する鍵を特定する第2鍵特定部と、
    前記鍵データに従って、前記第2鍵特定部により特定された鍵に応じた属性情報である第2属性情報を特定する第2属性特定部と、
    前記第1属性情報と前記第2属性情報との関係に基づいて、前記第2通信層処理部から受けたデータのデータ処理方法を判断する判断部と、
    を備えた請求項1に記載の通信装置。
  3. 前記判断部は、前記第1属性情報と前記第2属性情報とデータ処理方法の情報とを含む第1通信層ポリシーデータに従って、前記データのデータ処理方法を判断する
    請求項2に記載の通信装置。
  4. 前記データ処理方法は、前記データの転送を許可するか否かを指定する
    請求項2または3に記載の通信装置。
  5. 前記第2通信層処理部をさらに備え、
    前記第1通信装置から受信したデータの前記第2通信層の宛先アドレスは自装置であり、
    前記第2通信層処理部は、前記第1属性情報に応じて前記第1通信層受信処理部から受けたデータのデータ処理方法を特定し、当該データを、特定したデータ処理方法に従って処理する
    請求項1ないし4のいずれか一項に記載の通信装置。
  6. 前記第2通信層処理部は、属性情報とデータ処理方法の情報とを含む第2通信層ポリシーデータに基づいて、前記第1属性情報に応じたデータ処理方法を特定し、特定したデータ処理方法で前記データを処理する
    請求項5に記載の通信装置。
  7. 前記データ処理方法は、前記データをアプリケーションに渡すことを許可するか否かを指定する
    請求項5または6に記載の通信装置。
  8. 前記第2鍵特定部は、前記第2通信装置の前記第1通信層の宛先アドレスに基づいて、前記第2通信装置との通信に用いる鍵を特定する
    請求項2ないし7のいずれか一項に記載の通信装置。
  9. 前記第1鍵特定部は、前記第1通信装置から受信したデータに含まれる情報に基づいて前記データを処理するために必要な鍵を特定する
    請求項1ないし8のいずれか一項に記載の通信装置。
  10. 前記データ処理部は、前記第1通信装置から受信したデータが認証データを含む場合に、前記第1鍵特定部が特定した鍵を用いて、前記認証データの検証を行う
    請求項1ないし9のいずれか一項に記載の通信装置。
  11. 前記データ処理部は、前記第1通信装置から受信したデータが暗号化されている場合に、前記第1鍵特定部が特定した鍵を用いて前記データの復号を行う
    請求項1ないし10のいずれか一項に記載の通信装置。
  12. 前記第1通信層は、TCP/IPの4層ネットワークモデルにおけるネットワークインタフェース層であり
    前記第2通信層は、TCP/IPの4層ネットワークモデルにおけるインターネットプロトコル層である
    請求項1ないし11のいずれか一項に記載の通信装置。
  13. 第1通信層の受信処理部により、第1通信装置から受信したデータを処理するために必要な鍵を特定する第1鍵特定ステップと、
    前記第1通信層の受信処理部により、鍵と属性情報とを関連づけた鍵データに従って、前記第1鍵特定ステップにより特定された鍵に応じた属性情報である第1属性情報を特定する属性特定ステップと、
    前記第1通信層の受信処理部により、前記第1鍵特定ステップにより特定された鍵を用いて前記データを処理するデータ処理ステップと、
    前記データ処理ステップが処理したデータと、前記第1属性情報とを、第2通信層処理部に渡すステップと
    を備えた通信方法。
  14. 第1通信層の受信処理部により、第1通信装置から受信したデータを処理するために必要な鍵を特定する第1鍵特定ステップと、
    前記第1通信層の受信処理部により、鍵と属性情報とを関連づけた鍵データに従って、前記第1鍵特定ステップにより特定された鍵に応じた属性情報である第1属性情報を特定する属性特定ステップと、
    前記第1通信層の受信処理部により、前記第1鍵特定ステップにより特定された鍵を用いて前記データを処理するデータ処理ステップと、
    前記データ処理ステップが処理したデータと、前記第1属性情報とを、第2通信層の処理部に渡すステップと
    をコンピュータに実行させるためのコンピュータプログラム。
JP2012262771A 2012-11-30 2012-11-30 通信装置、通信方法およびコンピュータプログラム Active JP6062229B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012262771A JP6062229B2 (ja) 2012-11-30 2012-11-30 通信装置、通信方法およびコンピュータプログラム
US14/088,626 US9143486B2 (en) 2012-11-30 2013-11-25 Communication device, communication method and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012262771A JP6062229B2 (ja) 2012-11-30 2012-11-30 通信装置、通信方法およびコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2014110466A true JP2014110466A (ja) 2014-06-12
JP6062229B2 JP6062229B2 (ja) 2017-01-18

Family

ID=50826906

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012262771A Active JP6062229B2 (ja) 2012-11-30 2012-11-30 通信装置、通信方法およびコンピュータプログラム

Country Status (2)

Country Link
US (1) US9143486B2 (ja)
JP (1) JP6062229B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015208003A (ja) * 2014-04-17 2015-11-19 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング データセグメントの更なる処理についてデータセグメントを分類する方法
JP2018534882A (ja) * 2015-09-23 2018-11-22 華為技術有限公司Huawei Technologies Co.,Ltd. 制御シグナリング処理方法、制御シグナリング処理装置、および制御シグナリング処理機器

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015145211A1 (en) * 2014-03-27 2015-10-01 Kam Fu Chan Token key infrastructure and method for cloud services
US20160285834A1 (en) * 2014-11-10 2016-09-29 Qualcomm Incorporated Techniques for encrypting fields of a frame header for wi-fi privacy
JP6668890B2 (ja) * 2016-03-31 2020-03-18 ブラザー工業株式会社 通信装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
JP2011233157A (ja) * 2011-06-20 2011-11-17 Fujitsu Semiconductor Ltd セキュアプロセッサ
WO2012083653A1 (zh) * 2010-12-20 2012-06-28 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4253520B2 (ja) 2003-03-19 2009-04-15 株式会社日立製作所 ネットワーク認証装置及びネットワーク認証システム
US7334125B1 (en) * 2001-11-27 2008-02-19 Cisco Technology, Inc. Facilitating secure communications among multicast nodes in a telecommunications network
US7313687B2 (en) * 2003-01-10 2007-12-25 Microsoft Corporation Establishing a secure context at an electronic communications end-point
JP4290098B2 (ja) 2004-09-07 2009-07-01 シャープ株式会社 通信装置、通信方法、通信システム、通信プログラム、および通信プログラムを記録した記録媒体
JP2006108903A (ja) * 2004-10-01 2006-04-20 Hiromi Fukaya 暗号化データ配布方法、暗号化装置、復号化装置、暗号化プログラム及び復号化プログラム
JP2013182336A (ja) 2012-02-29 2013-09-12 Toshiba Corp 端末装置、同端末装置の動作方法及びプログラム
JP5944184B2 (ja) 2012-02-29 2016-07-05 株式会社東芝 情報通知装置、方法、プログラム及びシステム
US20140044168A1 (en) * 2012-08-13 2014-02-13 Qualcomm Incorporated Device and method for scalable coding of video information

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
WO2012083653A1 (zh) * 2010-12-20 2012-06-28 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
JP2011233157A (ja) * 2011-06-20 2011-11-17 Fujitsu Semiconductor Ltd セキュアプロセッサ

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015208003A (ja) * 2014-04-17 2015-11-19 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング データセグメントの更なる処理についてデータセグメントを分類する方法
JP2018534882A (ja) * 2015-09-23 2018-11-22 華為技術有限公司Huawei Technologies Co.,Ltd. 制御シグナリング処理方法、制御シグナリング処理装置、および制御シグナリング処理機器

Also Published As

Publication number Publication date
US9143486B2 (en) 2015-09-22
JP6062229B2 (ja) 2017-01-18
US20140157386A1 (en) 2014-06-05

Similar Documents

Publication Publication Date Title
TWI708513B (zh) 網路安全架構
TWI778171B (zh) 待配網設備連接網路熱點設備的方法和系統
US9621458B2 (en) Internet routing over a service-oriented architecture bus
WO2019128753A1 (zh) 一种低延迟的量子密钥移动服务方法
JP5587512B2 (ja) モバイル機器と静的宛先アドレスとの間のデータ伝送を可能にするための方法および装置
JP5785346B1 (ja) リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
CN105284096B (zh) 在支持无线对接协议的通信系统中控制透明隧道模式操作的装置和方法
JP6062229B2 (ja) 通信装置、通信方法およびコンピュータプログラム
TW201815131A (zh) 一種資料傳輸的方法及網路設備
EP3968613A1 (en) Multiple link layer addresses for a device
WO2007089989A2 (en) Method and apparatus for utilizing multiple group keys for secure communications
US20100296395A1 (en) Packet transmission system, packet transmission apparatus, and packet transmission method
WO2016045636A1 (zh) 业务处理方法及装置
EP2919498B1 (en) Method, device and system for packet processing through a relay
CN107801187A (zh) 加解密方法、装置及系统
TW201540026A (zh) 一訊框中之帶寬指示
US20160192187A1 (en) Frame Transfer Method, Related Apparatus, and Communications System
CN106209401A (zh) 一种传输方法及装置
US20050028011A1 (en) Automatic setting of security in communication network system
EP2908479B1 (en) Method, apparatus and system for implementing tunnel processing
JP7432765B2 (ja) ノード間のプライバシー通信方法およびネットワークノード
US11095610B2 (en) Methods and apparatus for autonomous network segmentation
US11877334B2 (en) Facilitating over-the-air address rotation
US11902775B2 (en) Encrypted nonces as rotated device addresses
US11700527B2 (en) Collaborative device address rotation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160726

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160926

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161214

R151 Written notification of patent or utility model registration

Ref document number: 6062229

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151