JP2014241463A - 通信装置、通信方法、プログラムおよび通信システム - Google Patents
通信装置、通信方法、プログラムおよび通信システム Download PDFInfo
- Publication number
- JP2014241463A JP2014241463A JP2013122409A JP2013122409A JP2014241463A JP 2014241463 A JP2014241463 A JP 2014241463A JP 2013122409 A JP2013122409 A JP 2013122409A JP 2013122409 A JP2013122409 A JP 2013122409A JP 2014241463 A JP2014241463 A JP 2014241463A
- Authority
- JP
- Japan
- Prior art keywords
- application
- amount
- encryption key
- key
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Electromagnetism (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】アプリケーション鍵を効率的に割り当てられる通信装置、通信方法、プログラムおよび通信システムを提供する。
【解決手段】通信装置は、暗号鍵を利用する1以上のアプリケーションと接続される。通信装置は、取得部と、決定部と、を備える。取得部は、暗号鍵を利用する1以上のアプリケーションごとに、アプリケーションで使用した暗号鍵の量の実績値である第1実績値を取得する。決定部は、第1実績値に応じて、アプリケーションそれぞれに割り当てる暗号鍵の量を決定する。
【選択図】図2
【解決手段】通信装置は、暗号鍵を利用する1以上のアプリケーションと接続される。通信装置は、取得部と、決定部と、を備える。取得部は、暗号鍵を利用する1以上のアプリケーションごとに、アプリケーションで使用した暗号鍵の量の実績値である第1実績値を取得する。決定部は、第1実績値に応じて、アプリケーションそれぞれに割り当てる暗号鍵の量を決定する。
【選択図】図2
Description
本発明の実施形態は、通信装置、通信方法、プログラムおよび通信システムに関する。
鍵生成・共有システムには、2つのネットワーク(鍵共有ネットワーク、アプリケーションネットワーク)が存在する。鍵共有ネットワークは、複数のリンクによって相互に接続され、ネットワーク化された複数のノードから構成される。各ノードは、リンクによって接続された対向ノードとの間で乱数を生成および共有する機能と、生成および共有した乱数を暗号鍵(以下、リンク鍵)として利用して、リンク上で暗号通信を行う機能とを備える。また、ノードのうちの幾つかは、リンクとは独立に乱数である暗号鍵(以下、アプリケーション鍵)を生成する機能と、別のノードに対してリンクを介してアプリケーション鍵を送信する機能を備える。
アプリケーションは、ノードから、アプリケーション鍵を取得し、取得したアプリケーション鍵を暗号鍵として利用して、別のアプリケーションとの間で暗号データ通信を行う機能を備える。このときの暗号データ通信は、インターネット等の鍵共有ネットワークとは異なるネットワーク(アプリケーションネットワーク)によって実現されてよい。また、ノードとアプリケーションは、一体として実現されてもよい。ノードとアプリケーションを独立した端末として構成し、その間でアプリケーション鍵を送受信するようにしてもよい。
ノードにおいて、リンクによって接続された対向ノードとの間で乱数(リンク鍵)を生成および共有する機能は、例えば、一般に量子暗号または量子鍵配送(QKD(Quantum Key Distribution))と呼ばれる技術によっても実現できる。
Dianati, M., Alleaume, R., Gagnaire, M. and Shen, X. (2008), Architecture and protocols of the future European quantum key distribution network. Security and Communication Networks, 1: 57-74. DOI: 10.1002/sec.13
Kollmitzer C., Pivk M. (Eds.), Applied Quantum Cryptography, Lect. Notes Phys. 797 (Springer, Berlin Heidelberg 2010), p155-p168, DOI 10.1007/978-3-642-04831-9
鍵生成・共有システムにおいて、最も重要なリソースの1つは鍵である。従って、複数のアプリケーションが接続するノードにおいて、アプリケーション鍵を各アプリケーションに割り当てる方式(鍵割り当て方式)が、システム効率の点で重要になる。しかしながら、従来技術ではアプリケーション鍵を効率的に割り当てられない場合があった。
実施形態の通信装置は、暗号鍵を利用する1以上のアプリケーションと接続される。通信装置は、取得部と、決定部と、を備える。取得部は、暗号鍵を利用する1以上のアプリケーションごとに、アプリケーションで使用した暗号鍵の量の実績値である第1実績値を取得する。決定部は、第1実績値に応じて、アプリケーションそれぞれに割り当てる暗号鍵の量を決定する。
以下に添付図面を参照して、この発明にかかる通信装置の好適な実施形態を詳細に説明する。
アプリケーションに対するアプリケーション鍵の割り当て方式ではないが、リンク鍵の割り当て方式として以下のような方式が知られている
(M1)送信鍵バッファおよび受信鍵バッファに対するリンク鍵の割り当て方式:現在の蓄積量が少ないバッファに優先的に割り当てる。
(M2)アプリケーションに対するリンク鍵の割り当て方式:ノードに予めアプリケーションごとの鍵レートを設定しておき、この鍵レートに基づいて、リンク鍵をアプリケーションに割り当てる。
(M1)送信鍵バッファおよび受信鍵バッファに対するリンク鍵の割り当て方式:現在の蓄積量が少ないバッファに優先的に割り当てる。
(M2)アプリケーションに対するリンク鍵の割り当て方式:ノードに予めアプリケーションごとの鍵レートを設定しておき、この鍵レートに基づいて、リンク鍵をアプリケーションに割り当てる。
一方、上記のような鍵生成・共有システムにおける、アプリケーションに対するアプリケーション鍵の割り当て方式としては、(M1)のような方式が最適とは限らない。アプリケーションとノードとが独立に構成される場合、アプリケーションとノードとの双方に鍵を蓄積する記憶部が存在する。また、アプリケーションがノードから鍵を取得するタイミングと、アプリケーションが鍵を実際に利用して暗号通信を行うタイミングとは異なる。また、そのタイミングはアプリケーションの種類や実現方法によっても異なる。従って、アプリケーションに対するアプリケーション鍵の割り当て方式として、例えばノードにおいて鍵の蓄積量とその減少量のみに着目して鍵の割り当てを行う方式を適用したとしても、アプリケーションにおける実際の鍵使用実績を反映しない、非効率な鍵割り当てとなっている可能性がある。
本実施形態にかかる通信装置は、アプリケーションにおける実際のアプリケーション鍵の使用実績に基づいて、アプリケーションに対して割り当てるアプリケーション鍵の量を決定する。これにより、実際の鍵使用実績を反映して効率的にアプリケーション鍵を割り当てることができる。
このように、本実施形態は、ノードがアプリケーションに対してアプリケーション鍵を割り当てる方式(特定のアプリケーションが専用に利用できるようにするため、ノードにおいて、あるアプリケーション鍵をそのアプリケーションのために事前に確保する方式)に関する。本実施形態の鍵割り当て方式は例えば以下のような処理を含む。
(1)ノードがアプリケーションの通信IF(インタフェース)などから、各アプリケーションのデータ通信量(例えば何バイトか)の「実績情報」を取得する。
(2)ノードが、該当アプリケーションから通信開始要求を受け取った際に、該当アプリケーションが、暗号データ通信に使用する「暗号方式」の情報を保持する。通信開始要求は、アプリケーション鍵の割り当てを開始する契機ともなる。暗号方式によって、例えば、データ通信量と必要な鍵量(例えば何バイトか)の比率を決定することができる。
(1)ノードがアプリケーションの通信IF(インタフェース)などから、各アプリケーションのデータ通信量(例えば何バイトか)の「実績情報」を取得する。
(2)ノードが、該当アプリケーションから通信開始要求を受け取った際に、該当アプリケーションが、暗号データ通信に使用する「暗号方式」の情報を保持する。通信開始要求は、アプリケーション鍵の割り当てを開始する契機ともなる。暗号方式によって、例えば、データ通信量と必要な鍵量(例えば何バイトか)の比率を決定することができる。
ノードは、(1)の処理によってアプリケーションのデータ通信量の実績値を取得する。そしてノードは、(2)の処理によって保持している情報である、データ通信量と必要な鍵量の比率から、アプリケーションが実際に利用した鍵量(鍵使用実績)を算出することができる。本実施形態のノードは、算出した「鍵使用実績」の情報を用いて、個々のアプリケーションに対して割り当てるアプリケーション鍵の量を決定する。
図1は、本実施形態にかかる通信システムのネットワーク構成例を示す図である。通信システムは、鍵共有ネットワーク301と、アプリケーションネットワーク302と、プライベートネットワーク303a、303bと、を含む。また、通信システムは、通信装置としてのノード100a〜100cと、アプリケーション200a〜200dと、を含む。
ノード100a〜100cを区別する必要がない場合は、単にノード100という場合がある。アプリケーション200a〜200dを区別する必要がない場合は、単にアプリケーション200という場合がある。ノード100の個数は3に限られるものではない。また、アプリケーション200の個数は4に限られるものではない。図1は、ノード100とアプリケーション200が独立に実現される場合の一例である。
プライベートネットワーク303a、303bは、あるノード100と、このノード100がアプリケーション鍵を提供するアプリケーション200とを接続するためのネットワークである。
ノード100a〜100cは、上述のように、対向ノードとの間で乱数を生成して共有する機能と、生成した乱数をリンク鍵として利用して、リンク上で暗号通信を行う機能とを備える。
ノード100は、リンクとは独立に乱数を生成する機能と、別のノードに対して生成した乱数を送信する機能とを備えてもよい。
図2は、本実施形態におけるノード100の構成例を示すブロック図である。ノード100は、プラットフォーム部101と、リンク鍵共有部102と、アプリ鍵共有部103と、鍵記憶部104と、提供部105と、取得部106と、制御部107と、決定部108と、を備える。
プラットフォーム部101は、ノード100を実現するコンピュータのオペレーティングシステムとして、基本的なプロセス管理機能、ネットワーク機能、セキュリティ機能、および、データ蓄積機能等を実現する。
リンク鍵共有部102は、直接接続される他のノード100との間で量子鍵配送技術等を用いてリンク鍵を共有する。アプリ鍵共有部103は、他のノード100(直接接続されるノードおよび直接接続されないノード)との間で、アプリケーション鍵を交換して共有する。アプリ鍵共有部103は、アプリケーション鍵の交換のために必要な制御等も行う。
鍵記憶部104は、リンク鍵やアプリケーション鍵を保持する。提供部105は、アプリケーション200との間の通信インタフェースである。提供部105は、例えばアプリケーション200からの通信開始要求の処理等を行い、アプリケーション鍵要求に対してアプリケーション鍵を提供する。
取得部106は、アプリケーション鍵を暗号鍵として利用するアプリケーション200ごとに、当該アプリケーション200で使用したアプリケーション鍵の量の実績値である「鍵使用実績」(第1実績値)を取得する。例えば、取得部106は、まずアプリケーション200の「鍵使用実績」を算出するために必要な情報(例えば上述の「実績情報」(第2実績値))等をアプリケーション200から取得する。また取得部106は、例えば、暗号方式を示す情報をアプリケーション200から取得する。取得部106は、第2実績値、および、通信量と必要な鍵量との比率を用いて「鍵使用実績」を取得(算出)することができる。上述のように、通信量と必要な鍵量との比率は、暗号方式から決定できる。暗号方式を示す情報は、例えば、通信開始要求時にアプリケーション200から取得することができる。
決定部108は、アプリケーション200それぞれが使用したアプリケーション鍵の実績値に応じて、アプリケーション200それぞれに対するアプリケーション鍵の割り当て方式(ポリシー)を決定する。決定部108は、例えば、アプリケーション200それぞれにアプリケーション鍵を割り当てる割合、量、タイミング、および、アルゴリズム等の割り当て方式を決定する。本実施形態では、決定部108は、取得部106が取得した情報を入力情報として、割り当て方式を決定する。
制御部107は、ノード100全体を制御する。制御部107は、例えば、決定部108が決定した割り当て方式にしたがって、アプリ鍵共有部103が共有したアプリケーション鍵を各ノード100に対して実際に割り当てる処理を行う。
なお、プラットフォーム部101、リンク鍵共有部102、アプリ鍵共有部103、提供部105、取得部106、制御部107、および、決定部108は、例えば、CPU(Central Processing Unit)などの処理装置にプログラムを実行させること、すなわち、ソフトウェアにより実現してもよいし、IC(Integrated Circuit)などのハードウェアにより実現してもよいし、ソフトウェアおよびハードウェアを併用して実現してもよい。
また、鍵記憶部104は、例えば、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
次に、「実績情報」「暗号方式」および「鍵使用実績」の詳細について説明する。
「実績情報」は、アプリケーション200を実行している装置(コンピュータ等)の通信IF等から統計情報として取得できる情報である。例えば、何バイトの情報を送受信したかを示す値である。ノード100がアプリケーション200またはアプリケーション200を実行している装置に問い合わせることによって、「実績情報」を取得してもよい。また、アプリケーション200が定期的にこの統計情報をノード100に送信するように構成してもよい。
後者の場合、さらに、どの程度の頻度で統計情報を通知するか、という頻度についても、様々なパターンが考えられる。例えば、500バイト分通信する度に通知する、500Kバイト分通信する度に通知する、1分間ごとに現在のデータ通信量統計情報を通知する、等のバリエーションが考えられる。このような統計情報を取得するためのアプリケーション200側の実現方法の一例として、通信IFのMIB(Management Information Base)情報を利用し、SNMP(Simple Network Management Protocol)によって取得する方法がある。
「暗号方式」は、アプリケーション200のペアが、ノード100から取得したアプリケーション鍵を使って、アプリケーションネットワーク302を介して暗号データ通信する際に利用する暗号方式を示す。アプリケーション200は、アプリケーション鍵を取得して暗号データ通信を開始する際、ノード100に対して通信開始要求を通知する。通信開始要求を受信したノード100は、このアプリケーション200の指定した通信相手となる他のアプリケーション200との間でアプリケーション鍵を共有するための鍵共有処理、および、アプリケーション200への鍵割り当てを行う。
通信開始要求は、アプリケーション200がどのような暗号方式を利用するかに関する情報(暗号方式を示す情報)を含んでもよい。ノード100の取得部106は、この通信開始要求に含まれる情報を保持することで、該当アプリケーション200の暗号方式に関する情報を取得できる。ノード100は、暗号方式を示す情報から、暗号方式の「データ通信量と必要な鍵量の比率」を把握することができる。
暗号方式には様々な種類がある。例えばOTP(One Time Pad)は、「データ通信量と必要な鍵量の比率」が1:1となる暗号方式である。それ以外のAESやDESといった一般的な暗号方式では、データ通信量の方が鍵量より大きくなる。暗号方式によっては、「データ通信量と必要な鍵量の比率」が固定的な比率にならない方式もある。汎用的な暗号方式であるAESもその1つである。このような場合は、暗号方式として例えばAESを使うということに加えて、どれだけのデータ量を送受信したらAESの鍵を更新するかというリキーに関する情報まで加えて「暗号方式」として表現すればよい。これにより、AESのような暗号方式を用いた場合であっても、ノード100が、暗号方式の「データ通信量と必要な鍵量の比率」を把握することが可能となる。
なお、上述のように、ノード100は通信開始要求を処理する際に「暗号方式」を把握するが、把握方法はこれに限られるものではない。例えば、「実績情報」と同様の方法で、アプリケーション200からノード100に対して現在利用している「暗号方式」を通知するという方法を適用してもよい。
「鍵使用実績」は、アプリケーション200が実際に暗号データ通信を行うことによって使用されたアプリケーション鍵の量である。上述のようにノード100は、取得した「実績情報」および「暗号方式」から「鍵使用実績」を算出することができる。本実施形態では、この「鍵使用実績」の情報を用いて鍵割り当てを行う。
なお、アプリケーション200の実現方法等によっては、ノード100がアプリケーション200から直接「鍵使用実績」の情報を取得できる場合も考えられる。このような場合、ノード100は、アプリケーション200から「実績情報」を取得したり、「暗号方式」を把握したりする必要はない。
この方法が適用可能な暗号方式の一例として、一定時間ごとに鍵を更新する(リキーする)AESが挙げられる。アプリケーション200は、リキーの完了ごとに、リキー完了のイベントをノード100に通知するように構成する。ノード100は、該当アプリケーション200のAESの鍵長を把握しているものとする(鍵長情報が、リキー通知に含まれる構成であってもよい)。この場合、ノード100は、リキーのタイミングまたは回数等の情報と、暗号方式が利用する鍵長の情報とから、アプリケーション200が使用した、アプリケーション鍵の量(サイズ)、すなわち、「鍵使用実績」を算出することができる。このように、一部の暗号方式では、リキーを通知するように構成することで、ノード100は、アプリケーション200の「実績情報」を取得または経由することなく、「鍵使用実績」を直接得ることができる。
以下、本実施形態における「鍵使用実績」を活用する鍵割り当て方式のバリエーションについて説明する。鍵割り当て方式としては、例えば以下の(方式A)、(方式B)、(方式C)が適用できる。
(方式A)ノード100は、アプリケーション200ごとの鍵使用実績を把握し、鍵使用実績が大きいアプリケーション200に対して優先的にアプリケーション鍵の割り当てを行う。
(方式B)ノード100におけるアプリケーション200へのアプリケーション鍵割り当ては、アプリケーション200が通信開始要求時に示した鍵レート等の要求量(要求情報)に基づいて行う。アプリケーション200ごとの鍵使用実績に基づいて、アプリケーション鍵割当比率を変更してゆく。この方法を用いることによって、アプリケーション200の通信開始直後は、(実績情報がないので)アプリケーション200による申告である要求情報に基づく鍵割り当てを行い、実際に暗号データ通信を開始し、鍵使用実績が得られるようになると、鍵使用実績を用いて、実際を反映した比率での鍵割り当てとなるように調整することができる。
(方式C)ノード100におけるアプリケーション200へのアプリケーション鍵割り当ては、アプリケーション200が通信開始要求時に示した鍵レート等の要求量(要求情報)に基づいて行う。ただし、アプリケーション200に対してアプリケーション鍵を提供した量(鍵提供実績)と、鍵使用実績との乖離(差分)が大きいアプリケーション200に対しては割り当てる量を減らす(例えば鍵割当比率を下げる)。
(方式A)ノード100は、アプリケーション200ごとの鍵使用実績を把握し、鍵使用実績が大きいアプリケーション200に対して優先的にアプリケーション鍵の割り当てを行う。
(方式B)ノード100におけるアプリケーション200へのアプリケーション鍵割り当ては、アプリケーション200が通信開始要求時に示した鍵レート等の要求量(要求情報)に基づいて行う。アプリケーション200ごとの鍵使用実績に基づいて、アプリケーション鍵割当比率を変更してゆく。この方法を用いることによって、アプリケーション200の通信開始直後は、(実績情報がないので)アプリケーション200による申告である要求情報に基づく鍵割り当てを行い、実際に暗号データ通信を開始し、鍵使用実績が得られるようになると、鍵使用実績を用いて、実際を反映した比率での鍵割り当てとなるように調整することができる。
(方式C)ノード100におけるアプリケーション200へのアプリケーション鍵割り当ては、アプリケーション200が通信開始要求時に示した鍵レート等の要求量(要求情報)に基づいて行う。ただし、アプリケーション200に対してアプリケーション鍵を提供した量(鍵提供実績)と、鍵使用実績との乖離(差分)が大きいアプリケーション200に対しては割り当てる量を減らす(例えば鍵割当比率を下げる)。
上記の各方式は、鍵割り当て方式の一例である。「鍵使用実績」を用いるこれ以外の方式を適用してもよい。例えば、予め定められたアプリケーションごとの重みなどを考慮してアプリケーション鍵の割り当て量を調整するように構成してもよい。
次に、このように構成された本実施形態にかかるノード100による鍵割当処理について図3を用いて説明する。図3は、本実施形態における鍵割当処理の一例を示すシーケンス図である。図3では、アプリケーション鍵の交換を行うノード100a、ノード100b、ノード100aに接続するアプリケーション200a、アプリケーション200aの通信IF、ノード100bに接続するアプリケーション200b、および、アプリケーション200bの通信IFを示している。
アプリケーション200aは、接続しているノード100aに対して、暗号データ通信を開始する通信相手であるアプリケーション200bのアドレス、利用するポート番号、利用する暗号方式、および、利用するアプリケーション鍵のレート(要求量)等の情報を含む通信開始要求を送信する(ステップS101)。
ノード100aは、アプリケーション200aからの通信開始要求を受信し、アプリケーション鍵の交換相手であるノード100bを特定してアプリケーション鍵の共有を開始する(ステップS102)。ノード100bは、アプリケーション200bに対し、アプリケーション200bのアドレス、利用するポート番号、利用する暗号方式、および、利用するアプリケーション鍵のレート(要求量)等の情報を通知し(ステップS103)、この情報に対する許可または合意を確認した上で、アプリケーション鍵の共有を開始してもよい。
この時点で、ノード100aおよびノード100bは、アプリケーション200a(およびアプリケーション200b)の要求するアプリケーション鍵のレート、および、暗号方式に関する情報を把握できる(ステップS104〜ステップS107)。
ノード100aおよびノード100bは、要求されたアプリケーション鍵のレート、および、暗号方式を参照し、アプリケーション200aおよびアプリケーション200bに対する鍵割り当て方式を決定する(ステップS108、ステップS109)。ノード100aおよびノード100bに、既に他のアプリケーション200が接続している場合等は、ノード100aおよびノード100bは、この時点で、アプリケーション200a(およびアプリケーション200b)に対し、要求するアプリケーション鍵のレート等に基づいたアプリケーション鍵の割り当て方式を用いるように決定してもよい。
ノード100aとノード100bとの間でアプリケーション鍵が共有されると(ステップS110)、ノード100は、決定した割り当て方式に基づきアプリケーション鍵をアプリケーション200に割り当てる(ステップS111、ステップS112)。
ノード100が、実際にアプリケーション200に対してアプリケーション鍵を提供した場合(ステップS113、ステップS115)、提供したアプリケーション鍵の量に関する情報を、ノード100それぞれでアプリケーション200と関連付けて保持してもよい(ステップS114、ステップS116)。
アプリケーション鍵を取得したアプリケーション200aおよびアプリケーション200bは、暗号データ通信を行う(ステップS117)。通信IFを介して暗号データが送受信されると、通信IFの統計情報として「実績情報」が更新される。この情報は、定期的に何らかの方法で、直接接続されるノード100に対して通知される(ステップS118、ステップS119)。
ノード100は、アプリケーション200から通知された(またはアプリケーション200から取得した)「実績情報」と、関連付けて保持している暗号方式に関する情報とから、このアプリケーション200のペアが実際に暗号データ通信することによって使用したアプリケーション鍵の量すなわち「鍵使用実績」を算出する。
ノード100は、「鍵使用実績」に基づいて、例えば、上述した鍵割り当て方式のバリエーションに示した方法で、アプリケーション鍵の割り当て方式または割り当て比率を変更してもよい(ステップS120、ステップS121)。以後、ノード100aとノード100bとの間でアプリケーション鍵が共有されると、新たに決定された割り当て方式に基づきアプリケーション鍵をアプリケーション200に割り当てる。
例えば、ステップS101〜ステップS109は、通信開始時の動作であり(開始時)、ステップS110〜ステップS112は、アプリケーション鍵が共有されたときの動作であり(鍵割当時)、ステップS113〜ステップS116は、アプリケーション鍵を提供するときの動作であり(鍵提供時)、ステップS117〜ステップS121は、ノード100がアプリケーション200から「実績情報」を受け取ったときの動作である(暗号データ通信時)。従って、鍵割当時、鍵提供時、および、暗号データ通信時、の各動作は、順不同で繰り返し実行されうる。
以上説明したとおり、本実施形態によれば、実際のアプリケーション鍵の使用実績に基づいてアプリケーション鍵を割り当てる量を決定する。これにより、実際の鍵使用実績を反映して効率的にアプリケーション鍵を割り当てることができる。
次に、本実施形態にかかる通信装置のハードウェア構成について図4を用いて説明する。図4は、本実施形態にかかる通信装置のハードウェア構成を示す説明図である。
本実施形態にかかる通信装置は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
本実施形態にかかる通信装置で実行されるプログラムは、ROM52等に予め組み込まれて提供される。
本実施形態にかかる通信装置で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録してコンピュータプログラムプロダクトとして提供されるように構成してもよい。
さらに、本実施形態にかかる通信装置で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施形態にかかる通信装置で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
本実施形態にかかる通信装置で実行されるプログラムは、コンピュータを上述した通信装置の各部(プラットフォーム部、リンク鍵共有部、アプリ鍵共有部、提供部、取得部、制御部、決定部)として機能させうる。このコンピュータは、CPU51がコンピュータ読取可能な記憶媒体からプログラムを主記憶装置上に読み出して実行することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100a、100b ノード
101 プラットフォーム部
102 リンク鍵共有部
103 アプリ鍵共有部
104 鍵記憶部
105 提供部
106 取得部
107 制御部
108 決定部
200a、200b アプリケーション
301 鍵共有ネットワーク
302 アプリケーションネットワーク
303a、303b プライベートネットワーク
101 プラットフォーム部
102 リンク鍵共有部
103 アプリ鍵共有部
104 鍵記憶部
105 提供部
106 取得部
107 制御部
108 決定部
200a、200b アプリケーション
301 鍵共有ネットワーク
302 アプリケーションネットワーク
303a、303b プライベートネットワーク
Claims (12)
- 暗号鍵を利用する1以上のアプリケーションごとに、前記アプリケーションで使用した前記暗号鍵の量の実績値である第1実績値を取得する取得部と、
前記第1実績値に応じて、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定部と、
を備える通信装置。 - 前記取得部は、送受信した情報の通信量の実績値である第2実績値と暗号方式を示す情報とを前記アプリケーションから取得し、前記第2実績値、および、前記暗号方式に応じて定められる、通信量と前記通信量の情報を送受信するために用いる前記暗号鍵の量との比率を用いて、前記第1実績値を算出する、
請求項1に記載の通信装置。 - 前記取得部は、通信開始要求時に前記アプリケーションから送信される前記暗号方式を示す情報を取得する、
請求項2に記載の通信装置。 - 前記取得部は、前記暗号鍵を更新したことを示す更新情報を前記アプリケーションから取得し、前記更新情報に基づいて、更新された前記暗号鍵の量を表す前記第1実績値を算出する、
請求項1に記載の通信装置。 - 前記決定部は、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量の比率が、前記アプリケーションそれぞれの前記第1実績値の比率に比例するように、前記暗号鍵の量を決定する、
請求項1に記載の通信装置。 - 前記決定部は、前記第1実績値が大きい前記アプリケーションを優先して多くの前記暗号鍵を割り当てるように、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する、
請求項1に記載の通信装置。 - 前記決定部は、さらに、前記アプリケーションそれぞれが要求する前記暗号鍵の量を表す要求量を取得し、前記要求量に応じて前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定し、前記第1実績値が取得された場合に、前記第1実績値に応じて、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する、
請求項1に記載の通信装置。 - 前記決定部は、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量の比率が、前記アプリケーションそれぞれの前記要求量の比率に比例するように、前記暗号鍵の量を決定する、
請求項7に記載の通信装置。 - 前記決定部は、前記要求量に応じて決定され割り当てられた前記暗号鍵の量と、前記第1実績値との差分に応じて、前記アプリケーションに割り当てる前記暗号鍵の量を決定する、
請求項7に記載の通信装置。 - 暗号鍵を利用する1以上のアプリケーションごとに、前記アプリケーションで使用した前記暗号鍵の量の実績値である第1実績値を取得する取得ステップと、
前記第1実績値に応じて、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定ステップと、
を含む通信方法。 - コンピュータを、
暗号鍵を利用する1以上のアプリケーションごとに、前記アプリケーションで使用した前記暗号鍵の量の実績値である第1実績値を取得する取得部と、
前記第1実績値に応じて、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定部と、
として機能させるためのプログラム。 - 暗号鍵を利用する1以上のアプリケーションと、前記アプリケーションに前記暗号鍵を提供する通信装置と、を備える通信システムであって、
前記通信装置は、
暗号鍵を利用する1以上のアプリケーションごとに、前記アプリケーションで使用した前記暗号鍵の量の実績値である第1実績値を取得する取得部と、
前記第1実績値に応じて、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定部と、を備える、
通信システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013122409A JP6211818B2 (ja) | 2013-06-11 | 2013-06-11 | 通信装置、通信方法、プログラムおよび通信システム |
| US14/184,907 US9928370B2 (en) | 2013-06-11 | 2014-02-20 | Communication device, communication method, computer program product, and communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013122409A JP6211818B2 (ja) | 2013-06-11 | 2013-06-11 | 通信装置、通信方法、プログラムおよび通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014241463A true JP2014241463A (ja) | 2014-12-25 |
| JP6211818B2 JP6211818B2 (ja) | 2017-10-11 |
Family
ID=52006519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013122409A Active JP6211818B2 (ja) | 2013-06-11 | 2013-06-11 | 通信装置、通信方法、プログラムおよび通信システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9928370B2 (ja) |
| JP (1) | JP6211818B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016147340A1 (ja) * | 2015-03-18 | 2016-09-22 | 三菱電機株式会社 | 暗号通信装置及び暗号通信端末及び暗号通信方法及び暗号通信プログラム |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9992027B1 (en) * | 2015-09-14 | 2018-06-05 | Amazon Technologies, Inc. | Signing key log management |
| CN112217637B (zh) * | 2016-11-04 | 2024-03-15 | 华为技术有限公司 | 一种基于集中管理与控制网络的量子密钥中继方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63131169A (ja) * | 1986-11-21 | 1988-06-03 | 株式会社日立製作所 | 暗号デ−タ復号化方式 |
| US7392378B1 (en) * | 2003-03-19 | 2008-06-24 | Verizon Corporate Services Group Inc. | Method and apparatus for routing data traffic in a cryptographically-protected network |
| JP2008154019A (ja) * | 2006-12-19 | 2008-07-03 | Nec Corp | 共有情報の管理方法およびシステム |
| JP2011044768A (ja) * | 2009-08-19 | 2011-03-03 | Nec Corp | 秘匿通信システムにおける通信装置および通信制御方法 |
| WO2012025987A1 (ja) * | 2010-08-24 | 2012-03-01 | 三菱電機株式会社 | 通信端末、通信システム、通信方法及び通信プログラム |
| JP2014022898A (ja) * | 2012-07-17 | 2014-02-03 | Toshiba Corp | 通信装置、通信方法および通信システム |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6182216B1 (en) * | 1997-09-17 | 2001-01-30 | Frank C. Luyster | Block cipher method |
| US6959288B1 (en) * | 1998-08-13 | 2005-10-25 | International Business Machines Corporation | Digital content preparation system |
| US6757832B1 (en) * | 2000-02-15 | 2004-06-29 | Silverbrook Research Pty Ltd | Unauthorized modification of values in flash memory |
| US8677505B2 (en) * | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| JP2003216037A (ja) * | 2001-11-16 | 2003-07-30 | Yazaki Corp | 暗号キー、暗号化装置、暗号化復号化装置、暗号キー管理装置及び復号化装置 |
| US7457416B1 (en) * | 2002-07-17 | 2008-11-25 | Bbn Technologies Corp. | Key distribution center for quantum cryptographic key distribution networks |
| US7721089B2 (en) * | 2003-05-21 | 2010-05-18 | Ntt Docomo, Inc. | Broadcast encryption using RSA |
| CN1914851A (zh) * | 2004-02-10 | 2007-02-14 | 三菱电机株式会社 | 量子密钥分发方法以及通信装置 |
| US7631190B2 (en) * | 2004-05-27 | 2009-12-08 | Silverbrook Research Pty Ltd | Use of variant and base keys with two entities |
| US7757086B2 (en) * | 2004-05-27 | 2010-07-13 | Silverbrook Research Pty Ltd | Key transportation |
| US7383462B2 (en) * | 2004-07-02 | 2008-06-03 | Hitachi, Ltd. | Method and apparatus for encrypted remote copy for secure data backup and restoration |
| US7646873B2 (en) | 2004-07-08 | 2010-01-12 | Magiq Technologies, Inc. | Key manager for QKD networks |
| JP4728060B2 (ja) * | 2005-07-21 | 2011-07-20 | 株式会社日立製作所 | ストレージ装置 |
| US20070174916A1 (en) * | 2005-10-28 | 2007-07-26 | Ching Peter N | Method and apparatus for secure data transfer |
| US7694134B2 (en) * | 2005-11-11 | 2010-04-06 | Computer Associates Think, Inc. | System and method for encrypting data without regard to application |
| US8462940B2 (en) * | 2006-01-11 | 2013-06-11 | International Business Machines Corporation | Public key cryptosystem and associated method utilizing a hard lattice with O(n log n) random bits for security |
| WO2007138603A2 (en) * | 2006-05-31 | 2007-12-06 | Storwize Ltd. | Method and system for transformation of logical data objects for storage |
| JP2008103988A (ja) * | 2006-10-19 | 2008-05-01 | Fujitsu Ltd | 暗号通信システム、装置、方法及びプログラム |
| US20080263363A1 (en) * | 2007-01-22 | 2008-10-23 | Spyrus, Inc. | Portable Data Encryption Device with Configurable Security Functionality and Method for File Encryption |
| JP2009157584A (ja) * | 2007-12-26 | 2009-07-16 | Hitachi Ltd | 計算機システム、ストレージシステム、及びリモートコピー方法 |
| US8855316B2 (en) * | 2008-01-25 | 2014-10-07 | Qinetiq Limited | Quantum cryptography apparatus |
| US8694798B2 (en) * | 2008-05-22 | 2014-04-08 | Red Hat, Inc. | Generating and securing multiple archive keys |
| US8051287B2 (en) * | 2008-10-15 | 2011-11-01 | Adobe Systems Incorporated | Imparting real-time priority-based network communications in an encrypted communication session |
| US8194858B2 (en) * | 2009-02-19 | 2012-06-05 | Physical Optics Corporation | Chaotic cipher system and method for secure communication |
| US8745386B2 (en) * | 2010-06-21 | 2014-06-03 | Microsoft Corporation | Single-use authentication methods for accessing encrypted data |
| WO2012000091A1 (en) * | 2010-06-28 | 2012-01-05 | Lionstone Capital Corporation | Systems and methods for diversification of encryption algorithms and obfuscation symbols, symbol spaces and/or schemas |
| US8903083B2 (en) * | 2010-08-16 | 2014-12-02 | International Business Machines Corporation | Fast evaluation of many polynomials with small coefficients on the same point |
-
2013
- 2013-06-11 JP JP2013122409A patent/JP6211818B2/ja active Active
-
2014
- 2014-02-20 US US14/184,907 patent/US9928370B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63131169A (ja) * | 1986-11-21 | 1988-06-03 | 株式会社日立製作所 | 暗号デ−タ復号化方式 |
| US7392378B1 (en) * | 2003-03-19 | 2008-06-24 | Verizon Corporate Services Group Inc. | Method and apparatus for routing data traffic in a cryptographically-protected network |
| JP2008154019A (ja) * | 2006-12-19 | 2008-07-03 | Nec Corp | 共有情報の管理方法およびシステム |
| JP2011044768A (ja) * | 2009-08-19 | 2011-03-03 | Nec Corp | 秘匿通信システムにおける通信装置および通信制御方法 |
| WO2012025987A1 (ja) * | 2010-08-24 | 2012-03-01 | 三菱電機株式会社 | 通信端末、通信システム、通信方法及び通信プログラム |
| JP2014022898A (ja) * | 2012-07-17 | 2014-02-03 | Toshiba Corp | 通信装置、通信方法および通信システム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016147340A1 (ja) * | 2015-03-18 | 2016-09-22 | 三菱電機株式会社 | 暗号通信装置及び暗号通信端末及び暗号通信方法及び暗号通信プログラム |
| JPWO2016147340A1 (ja) * | 2015-03-18 | 2017-06-08 | 三菱電機株式会社 | 暗号通信装置及び暗号通信端末及び暗号通信方法及び暗号通信プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140365786A1 (en) | 2014-12-11 |
| US9928370B2 (en) | 2018-03-27 |
| JP6211818B2 (ja) | 2017-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7026748B2 (ja) | 集中管理制御ネットワークに基づく量子鍵中継方法、および装置 | |
| US9509510B2 (en) | Communication device, communication method, and computer program product | |
| JP5694247B2 (ja) | 鍵生成装置、通信方法および通信システム | |
| US9306734B2 (en) | Communication device, key generating device, and computer readable medium | |
| JP6680791B2 (ja) | 量子鍵配送のための方法、装置、及びシステム | |
| JP6192998B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| JP5634427B2 (ja) | 鍵生成装置、鍵生成方法およびプログラム | |
| US8774415B2 (en) | Key sharing device, key sharing method, and computer program product | |
| WO2019196921A1 (zh) | 一种量子密钥分发方法、设备及存储介质 | |
| WO2019061983A1 (zh) | 区块链数据上传方法、系统、计算机系统及存储介质 | |
| US9755828B2 (en) | Communication device, communication method, computer program product, and communication system | |
| JP6076752B2 (ja) | 通信装置、通信システムおよびプログラム | |
| JP6211818B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| JP2014068313A (ja) | 通信方法、アプリケーション装置、プログラム及び通信システム | |
| US9509589B2 (en) | Communication device, communication system, communication method, and computer program product | |
| US9083682B2 (en) | Communication device and computer program product | |
| JP2022031361A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| JP7113269B2 (ja) | 通信システムおよび通信方法 | |
| JP5992578B2 (ja) | 通信方法、アプリケーション装置、プログラム及び通信システム | |
| JP2017038413A (ja) | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム | |
| JP2015097423A (ja) | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム | |
| JP2017092987A (ja) | 通信装置、通信システムおよびプログラム | |
| JP2006146409A (ja) | ストレージデバイス選択方法、ゲートウェイ装置およびストレージシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20151102 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160316 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170606 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170803 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170815 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170914 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6211818 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |