JP2017085348A - 暗号化通信システム、端末プログラム及び有線中継装置 - Google Patents
暗号化通信システム、端末プログラム及び有線中継装置 Download PDFInfo
- Publication number
- JP2017085348A JP2017085348A JP2015211788A JP2015211788A JP2017085348A JP 2017085348 A JP2017085348 A JP 2017085348A JP 2015211788 A JP2015211788 A JP 2015211788A JP 2015211788 A JP2015211788 A JP 2015211788A JP 2017085348 A JP2017085348 A JP 2017085348A
- Authority
- JP
- Japan
- Prior art keywords
- information terminal
- encryption
- key
- data
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】簡単に通信のセキュリティを確保できる暗号化通信システム、端末プログラム及び有線中継装置を提供する。【解決手段】アクセスポイントを介した近距離公衆無線通信を行う情報端末1と、アクセスポイントに接続された暗号化装置5とを備える暗号化通信システムであって、情報端末1は、この情報端末1のMACアドレスを用いてキーを生成するキー生成部12と、生成されたキーを用いて通信データを暗号化する暗号復号化部13と、暗号化された通信データを送信するデータ送受信部14とを備える。暗号化装置5は、情報端末1から予め取得したMACアドレス用いてキーを生成するキー生成部53と、情報端末1から受信した通信データを生成されたキーを用いて復号化する暗号復号化部54と、復号化した通信データを、サーバに対して送信するデータ送受信部57とを備える。【選択図】図2
Description
本発明は、暗号化通信システム、端末プログラム及び有線中継装置に関する。
従来、携帯型の情報端末から近距離公衆無線通信網(例えば、Wi−Fi等の公衆無線LAN)を利用して広域公衆通信網(インターネット)にアクセスする技術が提案されている。
このような暗号化通信システムにおいて、例えば、広域公衆通信網へのアクセスに制限が設けられていない、いわゆる「オープンネットワーク」を使用する場合には、セキュリティ上の問題がある。そこで、ユーザの情報端末から、この情報端末に対して近距離公衆無線通信網を介して接続され、両者間の通信を中継するアクセスポイントまでの間を暗号化することで、セキュリティ性を確保することが行われている(例えば、特許文献1)。
このような暗号化通信システムにおいて、例えば、広域公衆通信網へのアクセスに制限が設けられていない、いわゆる「オープンネットワーク」を使用する場合には、セキュリティ上の問題がある。そこで、ユーザの情報端末から、この情報端末に対して近距離公衆無線通信網を介して接続され、両者間の通信を中継するアクセスポイントまでの間を暗号化することで、セキュリティ性を確保することが行われている(例えば、特許文献1)。
上述のような暗号化をする場合、ユーザには、例えば、アクセスポイントのIDや暗号化キー等のデータ入力が求められる。しかし、オープンネットワークを使用する場合には、ユーザにとって、データを入力する作業自体が煩雑であった。また、入力するためのデータをユーザにどのように知らせるかという問題もある。
そこで、本発明は、簡単に通信のセキュリティを確保できる暗号化通信システム、端末プログラム及び有線中継装置を提供することを目的とする。
本発明は、以下のような解決手段により、前記課題を解決する。
第1の発明は、無線中継装置を介した近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムであって、前記情報端末は、この情報端末を識別する端末識別情報を用いてキーを生成する端末キー生成手段と、前記端末キー生成手段により生成されたキーを用いて通信データを暗号化する暗号化手段と、前記暗号化手段により暗号化された通信データを送信する端末データ送信手段と、を備え、前記有線中継装置は、前記情報端末から予め取得したその情報端末の端末識別情報を用いて、キーを生成する装置キー生成手段と、前記情報端末から通信データを受信したことに応じて、前記装置キー生成手段により生成したキーを用いて前記通信データを復号化する復号化手段と、前記復号化手段により復号化した通信データを、外部サーバに対して送信する装置データ送信手段と、を備えること、を特徴とする暗号化通信システムである。
第2の発明は、第1の発明の暗号化通信システムにおいて、前記情報端末は、回線接続要求を出力する起動処理手段を備え、前記有線中継装置は、前記情報端末から受信した前記回線接続要求から前記端末識別情報を取得する識別情報取得手段を備えること、を特徴とする暗号化通信システムである。
第3の発明は、第1の発明又は第2の発明の暗号化通信システムにおいて、前記情報端末の前記端末キー生成手段と、前記有線中継装置の前記装置キー生成手段とは、同一のモジュールを使用して各々キーを生成すること、を特徴とする暗号化通信システムである。
第4の発明は、第1の発明から第3の発明までのいずれかの暗号化通信システムにおいて、前記情報端末の前記端末データ送信手段は、前記有線中継装置に対して、前記暗号化手段により暗号化された開始データを、前記通信データとして送信し、前記有線中継装置の前記復号化手段は、前記情報端末から受信した開始データを復号化し、前記有線中継装置は、前記復号化手段により前記開始データが復号化できた場合に、暗号化したデータ通信を前記情報端末との間で確立する暗号化確立手段を備えること、を特徴とする暗号化通信システムである。
第5の発明は、第1の発明から第3の発明までのいずれかの暗号化通信システムにおいて、前記情報端末は、前記有線中継装置に対して、暗号化による通信を確立するための開始データを送信する開始データ送信手段を備え、前記有線中継装置は、前記情報端末から受信した開始データの整合性を確認する整合性確認手段と、前記整合性確認手段により前記開始データの整合性が確認できた場合に、暗号化したデータ通信を前記情報端末との間で確立する暗号化確立手段と、を備えること、を特徴とする暗号化通信システムである。
第6の発明は、無線中継装置を介して近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムの前記情報端末として、コンピュータを機能させる端末プログラムであって、コンピュータを、このコンピュータを識別する端末識別情報を用いてキーを生成する端末キー生成手段と、前記端末キー生成手段により生成されたキーを用いて通信データを暗号化する暗号化手段と、前記暗号化手段により暗号化された通信データを送信する端末データ送信手段と、して機能させること、を特徴とする端末プログラムである。
第7の発明は、無線中継装置を介して近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムの前記有線中継装置であって、前記情報端末から予め取得したその情報端末を識別する端末識別情報を用いて、キーを生成する装置キー生成手段と、前記情報端末から通信データを受信したことに応じて、前記装置キー生成手段により生成したキーを用いて前記通信データを復号化する復号化手段と、前記復号化手段により復号化した通信データを、外部サーバに対して送信する装置データ送信手段と、を備えること、を特徴とする有線中継装置である。
第1の発明は、無線中継装置を介した近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムであって、前記情報端末は、この情報端末を識別する端末識別情報を用いてキーを生成する端末キー生成手段と、前記端末キー生成手段により生成されたキーを用いて通信データを暗号化する暗号化手段と、前記暗号化手段により暗号化された通信データを送信する端末データ送信手段と、を備え、前記有線中継装置は、前記情報端末から予め取得したその情報端末の端末識別情報を用いて、キーを生成する装置キー生成手段と、前記情報端末から通信データを受信したことに応じて、前記装置キー生成手段により生成したキーを用いて前記通信データを復号化する復号化手段と、前記復号化手段により復号化した通信データを、外部サーバに対して送信する装置データ送信手段と、を備えること、を特徴とする暗号化通信システムである。
第2の発明は、第1の発明の暗号化通信システムにおいて、前記情報端末は、回線接続要求を出力する起動処理手段を備え、前記有線中継装置は、前記情報端末から受信した前記回線接続要求から前記端末識別情報を取得する識別情報取得手段を備えること、を特徴とする暗号化通信システムである。
第3の発明は、第1の発明又は第2の発明の暗号化通信システムにおいて、前記情報端末の前記端末キー生成手段と、前記有線中継装置の前記装置キー生成手段とは、同一のモジュールを使用して各々キーを生成すること、を特徴とする暗号化通信システムである。
第4の発明は、第1の発明から第3の発明までのいずれかの暗号化通信システムにおいて、前記情報端末の前記端末データ送信手段は、前記有線中継装置に対して、前記暗号化手段により暗号化された開始データを、前記通信データとして送信し、前記有線中継装置の前記復号化手段は、前記情報端末から受信した開始データを復号化し、前記有線中継装置は、前記復号化手段により前記開始データが復号化できた場合に、暗号化したデータ通信を前記情報端末との間で確立する暗号化確立手段を備えること、を特徴とする暗号化通信システムである。
第5の発明は、第1の発明から第3の発明までのいずれかの暗号化通信システムにおいて、前記情報端末は、前記有線中継装置に対して、暗号化による通信を確立するための開始データを送信する開始データ送信手段を備え、前記有線中継装置は、前記情報端末から受信した開始データの整合性を確認する整合性確認手段と、前記整合性確認手段により前記開始データの整合性が確認できた場合に、暗号化したデータ通信を前記情報端末との間で確立する暗号化確立手段と、を備えること、を特徴とする暗号化通信システムである。
第6の発明は、無線中継装置を介して近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムの前記情報端末として、コンピュータを機能させる端末プログラムであって、コンピュータを、このコンピュータを識別する端末識別情報を用いてキーを生成する端末キー生成手段と、前記端末キー生成手段により生成されたキーを用いて通信データを暗号化する暗号化手段と、前記暗号化手段により暗号化された通信データを送信する端末データ送信手段と、して機能させること、を特徴とする端末プログラムである。
第7の発明は、無線中継装置を介して近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムの前記有線中継装置であって、前記情報端末から予め取得したその情報端末を識別する端末識別情報を用いて、キーを生成する装置キー生成手段と、前記情報端末から通信データを受信したことに応じて、前記装置キー生成手段により生成したキーを用いて前記通信データを復号化する復号化手段と、前記復号化手段により復号化した通信データを、外部サーバに対して送信する装置データ送信手段と、を備えること、を特徴とする有線中継装置である。
本発明によれば、簡単に通信のセキュリティを確保できる暗号化通信システム、端末プログラム及び有線中継装置を提供することができる。
以下、本発明を実施するための形態について、図を参照しながら説明する。なお、これは、あくまでも一例であって、本発明の技術的範囲はこれに限られるものではない。
(第1実施形態)
<暗号化通信システム100の全体構成>
図1は、第1実施形態に係る暗号化通信システム100の全体構成を示す図である。
図2は、第1実施形態に係る情報端末1及び暗号化装置5の機能ブロックを示す図である。
情報端末1が広域公衆通信網N2上のサーバ8(外部サーバ)に対してアクセスをする場合に、例えば、図1(B)に示すように、情報端末1は、近距離公衆無線通信網N1のアクセスポイント4(無線中継装置)と、ルータ7とを経由して、サーバ8に接続する。この場合、情報端末1と、アクセスポイント4との間の通信である近距離公衆無線通信網N1は、暗号化がされていない。そのため、通信データの中身が、悪意のある第三者に覗き見られる可能性がある。
(第1実施形態)
<暗号化通信システム100の全体構成>
図1は、第1実施形態に係る暗号化通信システム100の全体構成を示す図である。
図2は、第1実施形態に係る情報端末1及び暗号化装置5の機能ブロックを示す図である。
情報端末1が広域公衆通信網N2上のサーバ8(外部サーバ)に対してアクセスをする場合に、例えば、図1(B)に示すように、情報端末1は、近距離公衆無線通信網N1のアクセスポイント4(無線中継装置)と、ルータ7とを経由して、サーバ8に接続する。この場合、情報端末1と、アクセスポイント4との間の通信である近距離公衆無線通信網N1は、暗号化がされていない。そのため、通信データの中身が、悪意のある第三者に覗き見られる可能性がある。
このようなセキュリティの問題を解決する方法として、この実施形態では、図1(A)に示すような暗号化通信システム100を構築する。暗号化通信システム100は、情報端末1と、アクセスポイント4と、アクセスポイント4とルータ7との間に設けられた暗号化装置5(有線中継装置)とを備える。そして、暗号化通信システム100は、情報端末1と暗号化装置5との間の通信を暗号化することで、両者間を、暗号化データ通信路とするシステムである。
情報端末1とアクセスポイント4との間は、近距離公衆無線通信網N1を介して接続される。また、アクセスポイント4と暗号化装置5との間及び暗号化装置5とルータ7との間は、有線LAN等の通信網により接続されている。
情報端末1とアクセスポイント4との間は、近距離公衆無線通信網N1を介して接続される。また、アクセスポイント4と暗号化装置5との間及び暗号化装置5とルータ7との間は、有線LAN等の通信網により接続されている。
<情報端末1>
情報端末1は、ユーザが所持する端末である。情報端末1は、例えば、スマートフォンに代表される携帯情報端末である。なお、情報端末1は、その他、パーソナルコンピュータ(PC)、タブレット端末等であってもよい。
図2(A)に示すように、情報端末1は、制御部10と、記憶部20と、タッチパネルディスプレイ25と、音声通信部28と、無線通信部29とを備える。
制御部10は、情報端末1の全体を制御するCPU(中央処理装置)である。制御部10は、記憶部20に記憶されているOS(オペレーティングシステム)やアプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
情報端末1は、ユーザが所持する端末である。情報端末1は、例えば、スマートフォンに代表される携帯情報端末である。なお、情報端末1は、その他、パーソナルコンピュータ(PC)、タブレット端末等であってもよい。
図2(A)に示すように、情報端末1は、制御部10と、記憶部20と、タッチパネルディスプレイ25と、音声通信部28と、無線通信部29とを備える。
制御部10は、情報端末1の全体を制御するCPU(中央処理装置)である。制御部10は、記憶部20に記憶されているOS(オペレーティングシステム)やアプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
制御部10は、起動処理部11(起動処理手段)と、キー生成部12(端末キー生成手段)と、暗号復号化部13(暗号化手段)と、データ送受信部14(端末データ送信手段)とを備える。
起動処理部11は、回線接続プログラム21(端末プログラム)が起動されたことに応じて、まず、暗号化装置5に対して回線接続要求を送信する。回線接続要求は、例えば、暗号化装置5を宛先に指定したHTTP(HyperText Transfer Protocol)リクエストである。HTTPリクエストは、そのヘッダ部に情報端末1のMACアドレス(端末識別情報)を含む。MACアドレスは、情報端末1を特定する固有の識別情報である。具体的には、MACアドレスは、情報端末1の通信装置である無線通信部29の機器に付与されたMACアドレスである。
起動処理部11は、回線接続プログラム21(端末プログラム)が起動されたことに応じて、まず、暗号化装置5に対して回線接続要求を送信する。回線接続要求は、例えば、暗号化装置5を宛先に指定したHTTP(HyperText Transfer Protocol)リクエストである。HTTPリクエストは、そのヘッダ部に情報端末1のMACアドレス(端末識別情報)を含む。MACアドレスは、情報端末1を特定する固有の識別情報である。具体的には、MACアドレスは、情報端末1の通信装置である無線通信部29の機器に付与されたMACアドレスである。
キー生成部12は、キー生成モジュール21aを実行し、情報端末1のMACアドレスを用いて、暗号化キー及び復号化キーとなるネットワークキー(キー)を生成する。また、キー生成部12は、生成したネットワークキーを、キー記憶部22に記憶させる。なお、このネットワークキーは、情報端末1の内部で保有するのみであり、外部に送信するものではない。
暗号復号化部13は、無線通信部29を介して送信する通信データを、キー生成部12によって生成されたネットワークキーを用いて暗号化する。また、無線通信部29を介して受信した通信データを、当該ネットワークキーを用いて復号化する。
データ送受信部14は、暗号復号化部13によって暗号化された通信データを、無線通信部29を介して送信する。また、データ送受信部14は、無線通信部29を介して通信データを受信する。
暗号復号化部13は、無線通信部29を介して送信する通信データを、キー生成部12によって生成されたネットワークキーを用いて暗号化する。また、無線通信部29を介して受信した通信データを、当該ネットワークキーを用いて復号化する。
データ送受信部14は、暗号復号化部13によって暗号化された通信データを、無線通信部29を介して送信する。また、データ送受信部14は、無線通信部29を介して通信データを受信する。
記憶部20は、制御部10が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。
記憶部20は、回線接続プログラム21と、キー記憶部22とを備える。
回線接続プログラム21は、上述した制御部10が行う各種機能を実行するためのアプリケーションプログラムである。回線接続プログラム21は、キー生成モジュール21aを含む。キー生成モジュール21aは、上述したネットワークキーを生成するためのサブプログラムである。
キー記憶部22は、キー生成部12によって生成したネットワークキーを記憶する記憶領域である。
記憶部20は、回線接続プログラム21と、キー記憶部22とを備える。
回線接続プログラム21は、上述した制御部10が行う各種機能を実行するためのアプリケーションプログラムである。回線接続プログラム21は、キー生成モジュール21aを含む。キー生成モジュール21aは、上述したネットワークキーを生成するためのサブプログラムである。
キー記憶部22は、キー生成部12によって生成したネットワークキーを記憶する記憶領域である。
タッチパネルディスプレイ25は、LCD(液晶ディスプレイ)等で構成される表示部としての機能と、ユーザからの指等によるタッチ入力を検出する入力部としての機能とを有する。
音声通信部28は、音声通信網(図示せず)との間のインタフェースである。
無線通信部29は、近距離公衆無線通信網N1との間のインタフェースである。
なお、図示していないが、情報端末1は、マイク、スピーカ、カメラ等の各装置を有していてもよい。
また、図1には、1台の情報端末1を示しているが、複数の情報端末1が同時に暗号化装置5に接続されていてもよい。
音声通信部28は、音声通信網(図示せず)との間のインタフェースである。
無線通信部29は、近距離公衆無線通信網N1との間のインタフェースである。
なお、図示していないが、情報端末1は、マイク、スピーカ、カメラ等の各装置を有していてもよい。
また、図1には、1台の情報端末1を示しているが、複数の情報端末1が同時に暗号化装置5に接続されていてもよい。
<アクセスポイント4>
図1(A)に示すアクセスポイント4は、いわゆるオープンネットワーク接続ができるものであり、情報端末1において、接続のための設定をせずに使用可能である。その場合に、情報端末1では、予めオープンネットワーク接続を許容する設定をしておく必要がある。
図1(A)に示すアクセスポイント4は、いわゆるオープンネットワーク接続ができるものであり、情報端末1において、接続のための設定をせずに使用可能である。その場合に、情報端末1では、予めオープンネットワーク接続を許容する設定をしておく必要がある。
<暗号化装置5>
暗号化装置5は、アクセスポイント4と、ルータ7との間の位置に設けられ、情報端末1がサーバ8との間で通信する際に、通信データを仲介し、情報端末1との間の通信を暗号化する装置である。
図2(B)に示すように、暗号化装置5は、制御部50と、記憶部60と、表示部66と、入力部67と、通信部69とを備える。
制御部50は、暗号化装置5の全体を制御するCPUである。制御部50は、記憶部60に記憶されているOSやアプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
制御部50は、端末識別取得部51(識別情報取得手段)と、キー生成部53(装置キー生成手段)と、暗号復号化部54(復号化手段)と、警告データ出力部55(警告情報送信手段)と、暗号化確立部56(暗号化確立手段)と、データ送受信部57(装置データ送信手段)とを備える。
暗号化装置5は、アクセスポイント4と、ルータ7との間の位置に設けられ、情報端末1がサーバ8との間で通信する際に、通信データを仲介し、情報端末1との間の通信を暗号化する装置である。
図2(B)に示すように、暗号化装置5は、制御部50と、記憶部60と、表示部66と、入力部67と、通信部69とを備える。
制御部50は、暗号化装置5の全体を制御するCPUである。制御部50は、記憶部60に記憶されているOSやアプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
制御部50は、端末識別取得部51(識別情報取得手段)と、キー生成部53(装置キー生成手段)と、暗号復号化部54(復号化手段)と、警告データ出力部55(警告情報送信手段)と、暗号化確立部56(暗号化確立手段)と、データ送受信部57(装置データ送信手段)とを備える。
端末識別取得部51は、情報端末1のMACアドレスを取得する。
キー生成部53は、キー生成モジュール61を実行し、端末識別取得部51によって取得した情報端末1のMACアドレスを用いて、暗号化キー及び復号化キーとなるネットワークキーを生成する。
暗号復号化部54は、通信部69を介して情報端末1から受信した通信データを、キー生成部53によって生成されたネットワークキーを用いて復号化する。また、情報端末1に対して送信する通信データを、当該ネットワークキーを用いて暗号化する。
キー生成部53は、キー生成モジュール61を実行し、端末識別取得部51によって取得した情報端末1のMACアドレスを用いて、暗号化キー及び復号化キーとなるネットワークキーを生成する。
暗号復号化部54は、通信部69を介して情報端末1から受信した通信データを、キー生成部53によって生成されたネットワークキーを用いて復号化する。また、情報端末1に対して送信する通信データを、当該ネットワークキーを用いて暗号化する。
警告データ出力部55は、暗号復号化部54によって回線接続要求が復号化できなかった場合に、情報端末1に対して警告データを送信する。
暗号化確立部56は、暗号復号化部54によって回線接続要求が復号化できたことに応じて、暗号化による情報端末1との間のデータ通信を確立する。これにより、情報端末1との間の通信が切断されるまでは、情報端末1と暗号化装置5との間の通信は、暗号化される。
データ送受信部57は、ルータ7を介した広域公衆通信網N2との間のデータの送受信を行う。
暗号化確立部56は、暗号復号化部54によって回線接続要求が復号化できたことに応じて、暗号化による情報端末1との間のデータ通信を確立する。これにより、情報端末1との間の通信が切断されるまでは、情報端末1と暗号化装置5との間の通信は、暗号化される。
データ送受信部57は、ルータ7を介した広域公衆通信網N2との間のデータの送受信を行う。
記憶部60は、制御部50が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。
記憶部60は、キー生成モジュール61と、キー記憶部62とを備える。
キー生成モジュール61は、ネットワークキーを生成するためのプログラムである。キー生成モジュール61は、情報端末1の回線接続プログラム21に含まれるキー生成モジュール21aと同一のロジックを有するものである。つまり、キー生成モジュール61と、キー生成モジュール21aとは、同じMACアドレスを用いてキー生成処理を実行した場合に、生成されるネットワークキーが同一のものになる。
キー記憶部62は、キー生成部53によって生成されたネットワークキーを記憶する記憶領域である。ネットワークキーは、生成時に使用したMACアドレスに対応付けて記憶される。
記憶部60は、キー生成モジュール61と、キー記憶部62とを備える。
キー生成モジュール61は、ネットワークキーを生成するためのプログラムである。キー生成モジュール61は、情報端末1の回線接続プログラム21に含まれるキー生成モジュール21aと同一のロジックを有するものである。つまり、キー生成モジュール61と、キー生成モジュール21aとは、同じMACアドレスを用いてキー生成処理を実行した場合に、生成されるネットワークキーが同一のものになる。
キー記憶部62は、キー生成部53によって生成されたネットワークキーを記憶する記憶領域である。ネットワークキーは、生成時に使用したMACアドレスに対応付けて記憶される。
表示部66は、例えば、LCD等に代表される表示装置である。
入力部67は、例えば、キーボード、マウス等に代表される入力装置である。
表示部66及び入力部67は、暗号化装置5の管理者が用いるものであり、例えば、ルータ7と共用してもよい。
通信部69は、ルータ7や、アクセスポイント4との間の通信を行うためのインタフェースである。
なお、コンピュータとは、制御部、記憶装置等を備えた情報処理装置をいい、情報端末1、暗号化装置5は、各々制御部10,50、記憶部20,60等を備えた情報処理装置であり、コンピュータの概念に含まれる。
入力部67は、例えば、キーボード、マウス等に代表される入力装置である。
表示部66及び入力部67は、暗号化装置5の管理者が用いるものであり、例えば、ルータ7と共用してもよい。
通信部69は、ルータ7や、アクセスポイント4との間の通信を行うためのインタフェースである。
なお、コンピュータとは、制御部、記憶装置等を備えた情報処理装置をいい、情報端末1、暗号化装置5は、各々制御部10,50、記憶部20,60等を備えた情報処理装置であり、コンピュータの概念に含まれる。
<ルータ7>
図1(A)に示すルータ7は、暗号化装置5が設けられた通信網と、広域公衆通信網N2との間を中継する装置である。
<サーバ8>
サーバ8は、広域公衆通信網N2上に設けられ、各種のサービスを行うものであり、例えば、Webサーバ等である。
図1(A)に示すルータ7は、暗号化装置5が設けられた通信網と、広域公衆通信網N2との間を中継する装置である。
<サーバ8>
サーバ8は、広域公衆通信網N2上に設けられ、各種のサービスを行うものであり、例えば、Webサーバ等である。
<暗号化通信システム100の処理>
次に、暗号化通信システム100での処理について説明する。
図3は、第1実施形態に係る情報端末1の表示例を示す図である。
図4及び図5は、第1実施形態に係る暗号化通信システム100での回線接続処理のフローチャートである。
事前処理として、まず、ユーザは、情報端末1を、広域公衆通信網N2上のサーバ8の1つであるアプリ配信サーバ(図示せず)に接続する。アプリ配信サーバは、情報端末1にダウンロードして使用可能なアプリケーションプログラムを複数記憶するサーバである。そして、この接続は、第1実施形態の仕組みを用いたものではなく、図1(B)に示す形態での通信システムを使用するため、暗号化がされていない。
情報端末1は、アプリ配信サーバに接続後、第1実施形態の仕組みを利用するためのアプリケーションプログラムである回線接続プログラム21を、アプリ配信サーバからダウンロードし、インストールしておく。この処理により、情報端末1の記憶部20には、回線接続プログラム21が記憶された状態になる。
次に、暗号化通信システム100での処理について説明する。
図3は、第1実施形態に係る情報端末1の表示例を示す図である。
図4及び図5は、第1実施形態に係る暗号化通信システム100での回線接続処理のフローチャートである。
事前処理として、まず、ユーザは、情報端末1を、広域公衆通信網N2上のサーバ8の1つであるアプリ配信サーバ(図示せず)に接続する。アプリ配信サーバは、情報端末1にダウンロードして使用可能なアプリケーションプログラムを複数記憶するサーバである。そして、この接続は、第1実施形態の仕組みを用いたものではなく、図1(B)に示す形態での通信システムを使用するため、暗号化がされていない。
情報端末1は、アプリ配信サーバに接続後、第1実施形態の仕組みを利用するためのアプリケーションプログラムである回線接続プログラム21を、アプリ配信サーバからダウンロードし、インストールしておく。この処理により、情報端末1の記憶部20には、回線接続プログラム21が記憶された状態になる。
図3(A)は、情報端末1のタッチパネルディスプレイ25に表示された待受画面30を示す。待受画面30には、様々なサービスを実行するためのアプリケーションプログラムのアイコンが表示されている。そして、待受画面30には、そのうちの1つとして、回線接続プログラム21のアイコン30aが表示されている。
図4のステップS(以下、単に「S」という。)10において、ユーザが情報端末1のアイコン30aをタップ(選択)することで、情報端末1の制御部10(起動処理部11)は、回線接続プログラム21の起動を受け付ける。
S11において、制御部10(起動処理部11)は、回線接続プログラム21を起動し、回線接続要求のためのHTTPリクエストを、暗号化装置5に対して送信する。このHTTPリクエストは、宛先に暗号化装置5が指定されているものである。
S12において、制御部10は、処理待ち画面31を、タッチパネルディスプレイ25に表示させる。
S11において、制御部10(起動処理部11)は、回線接続プログラム21を起動し、回線接続要求のためのHTTPリクエストを、暗号化装置5に対して送信する。このHTTPリクエストは、宛先に暗号化装置5が指定されているものである。
S12において、制御部10は、処理待ち画面31を、タッチパネルディスプレイ25に表示させる。
図3(B)は、情報端末1のタッチパネルディスプレイ25に表示された処理待ち画面31の例である。処理待ち画面31には、暗号化のための接続中である旨(図中には、「安全接続確認中」と記載)が表示される。
なお、回線接続プログラム21に、広告データを対応付けて記憶しておき、処理待ち画面31には、広告31aを表示してもよい。
また、図4のS11とS12との処理は、同時であってもよいし、S12の処理がS11の処理より先であってもよい。
なお、回線接続プログラム21に、広告データを対応付けて記憶しておき、処理待ち画面31には、広告31aを表示してもよい。
また、図4のS11とS12との処理は、同時であってもよいし、S12の処理がS11の処理より先であってもよい。
S20において、暗号化装置5の制御部50は、回線接続要求のためのHTTPリクエストを受信する。ここで、制御部50は、S11において情報端末1が送信したHTTPリクエストを直接受信してもよいし、情報端末1が送信したHTTPリクエストを、ルータ7を介して受信してもよい。
S21において、制御部50は、暗号化装置5のIPアドレスを、情報端末1に対して送信する。ここで、制御部50がIPアドレスを送信するのは、情報端末1からの処理において、暗号化通信を行うための開始データを送信する際に、直接暗号化装置5を指定させるためである。
S21において、制御部50は、暗号化装置5のIPアドレスを、情報端末1に対して送信する。ここで、制御部50がIPアドレスを送信するのは、情報端末1からの処理において、暗号化通信を行うための開始データを送信する際に、直接暗号化装置5を指定させるためである。
S22において、制御部50(端末識別取得部51)は、回線接続要求のHTTPリクエストに含まれる情報端末1のMACアドレスを取得する。
S23において、制御部50(キー生成部53)は、キー生成処理を行う。具体的には、制御部50は、取得したMACアドレスを用いて、ネットワークキーを生成する。そして、制御部50は、生成したネットワークキーを、使用したMACアドレスに対応付けて、記憶部60のキー記憶部62に記憶させる。
なお、S22の処理は、S20の処理後に行ってもよい。
S23において、制御部50(キー生成部53)は、キー生成処理を行う。具体的には、制御部50は、取得したMACアドレスを用いて、ネットワークキーを生成する。そして、制御部50は、生成したネットワークキーを、使用したMACアドレスに対応付けて、記憶部60のキー記憶部62に記憶させる。
なお、S22の処理は、S20の処理後に行ってもよい。
S13において、情報端末1の制御部10は、S21において暗号化装置5から送信された暗号化装置5のIPアドレスを受信する。
S14において、制御部10(キー生成部12)は、自身のMACアドレスを用いて、ネットワークキーを生成する。そして、制御部10(キー生成部12)は、生成したネットワークキーを、キー記憶部22に記憶させる。
なお、S14の処理は、S10の処理後に行ってもよい。
S15において、制御部10(暗号復号化部13、データ送受信部14)は、開始データを、暗号化装置5に対して送信する。開始データは、通信データの1つであり、暗号化装置5との間で暗号化による通信データの送受信を行えるか否かを確認するためのデータである。その際、制御部10(暗号復号化部13)は、開始データを、S14で生成したネットワークキーを用いて暗号化する。また、制御部10(データ送受信部14)は、S13で受信した暗号化装置5のIPアドレスを送信先にして、開始データを送信する。
S14において、制御部10(キー生成部12)は、自身のMACアドレスを用いて、ネットワークキーを生成する。そして、制御部10(キー生成部12)は、生成したネットワークキーを、キー記憶部22に記憶させる。
なお、S14の処理は、S10の処理後に行ってもよい。
S15において、制御部10(暗号復号化部13、データ送受信部14)は、開始データを、暗号化装置5に対して送信する。開始データは、通信データの1つであり、暗号化装置5との間で暗号化による通信データの送受信を行えるか否かを確認するためのデータである。その際、制御部10(暗号復号化部13)は、開始データを、S14で生成したネットワークキーを用いて暗号化する。また、制御部10(データ送受信部14)は、S13で受信した暗号化装置5のIPアドレスを送信先にして、開始データを送信する。
S24において、暗号化装置5の制御部50は、開始データを受信する。
図5のS25において、制御部50(暗号復号化部54)は、復号処理を行う。具体的には、制御部50は、受信した開始データから、送信元の情報端末1のMACアドレスを取得する。そして、制御部50は、取得したMACアドレスに対応付いたネットワークキーを、キー記憶部62を参照して特定し、特定したネットワークキー用いて、開始データを復号する。
S26において、制御部50は、S25の復号処理によって復号したネットワークキーと、記憶部60のキー記憶部62に記憶されているネットワークキーとの整合性を確認して、整合性が確認できたか否かを判断する。そして、整合性が確認できた場合(S26:YES)には、制御部50は、処理をS27に移す。他方、整合性が確認できなかった場合(S26:NO)には、制御部50は、処理をS27aに移す。
図5のS25において、制御部50(暗号復号化部54)は、復号処理を行う。具体的には、制御部50は、受信した開始データから、送信元の情報端末1のMACアドレスを取得する。そして、制御部50は、取得したMACアドレスに対応付いたネットワークキーを、キー記憶部62を参照して特定し、特定したネットワークキー用いて、開始データを復号する。
S26において、制御部50は、S25の復号処理によって復号したネットワークキーと、記憶部60のキー記憶部62に記憶されているネットワークキーとの整合性を確認して、整合性が確認できたか否かを判断する。そして、整合性が確認できた場合(S26:YES)には、制御部50は、処理をS27に移す。他方、整合性が確認できなかった場合(S26:NO)には、制御部50は、処理をS27aに移す。
S27において、制御部50は、暗号化ができる旨の許可データを生成し、処理をS28に移す。
他方、S27aにおいて、制御部50は、暗号化できない旨の警告データを生成し、処理をS28に移す。
S28において、制御部50(警告データ出力部55)は、S27で生成した許可データ又はS27aで生成した警告データを、情報端末1に対して送信する。その後、制御部50は、本処理を終了する。
他方、S27aにおいて、制御部50は、暗号化できない旨の警告データを生成し、処理をS28に移す。
S28において、制御部50(警告データ出力部55)は、S27で生成した許可データ又はS27aで生成した警告データを、情報端末1に対して送信する。その後、制御部50は、本処理を終了する。
S16において、情報端末1の制御部10(データ送受信部14)は、暗号化装置5から復号確認処理の結果に応じたデータを受信する。
S17において、制御部10は、受信したデータに応じた画面を生成して、タッチパネルディスプレイ25に表示する。
図3(C)は、許可データを受信した場合に、情報端末1のタッチパネルディスプレイ25に表示された許可画面32である。許可画面32には、安全に接続ができる旨が示されるので、ユーザに安心感を与えることができる。
他方、図3(D)は、警告データを受信した場合に、情報端末1のタッチパネルディスプレイ25に表示された警告画面33である。警告画面33には、安全には接続できないがインターネット接続ができる旨が示されるので、ユーザは、それを承知でインターネットを使用することができる。
その後、制御部10は、本処理を終了する。
S17において、制御部10は、受信したデータに応じた画面を生成して、タッチパネルディスプレイ25に表示する。
図3(C)は、許可データを受信した場合に、情報端末1のタッチパネルディスプレイ25に表示された許可画面32である。許可画面32には、安全に接続ができる旨が示されるので、ユーザに安心感を与えることができる。
他方、図3(D)は、警告データを受信した場合に、情報端末1のタッチパネルディスプレイ25に表示された警告画面33である。警告画面33には、安全には接続できないがインターネット接続ができる旨が示されるので、ユーザは、それを承知でインターネットを使用することができる。
その後、制御部10は、本処理を終了する。
なお、暗号化装置5の制御部50が、許可データを送信した場合(図5のS28)には、以降の処理において、情報端末1との間での通信を、常に暗号化した通信データによって行う。具体的には、制御部50(暗号化確立部56、暗号復号化部54)は、情報端末1から受信した暗号化した通信データを復号化し、制御部50(データ送受信部57)が復号化した通信データを、該当のサーバ8に対して送信する。また、制御部50(データ送受信部57)がサーバ8から通信データを受信すると、制御部50(暗号化確立部56、暗号復号化部54)は、受信した通信データを暗号化して、情報端末1に対して送信する。
また、情報端末1の制御部10が、許可データを受信した場合(図5のS16)には、以降の処理において、暗号化装置5との間での通信を、常に暗号化した通信データによって行う。具体的には、制御部10(暗号復号化部13、データ送受信部14)は、アクセスポイント4を介して受信した暗号化した通信データを復号化し、サーバ8に対する通信データを、暗号化して送信する。
このように、第1実施形態の暗号化通信システム100によれば、以下のような効果がある。
(1)ユーザは、情報端末1を使用して回線接続プログラム21のアイコン30aをタップする、という簡易な操作によって、その後にオペレーションをすることなく、近距離無線通信部分を暗号化して、通信データを受け渡すことができる。よって、簡単に通信のセキュリティを確保できる。また、アクセスポイント4は、既にあるものを用いることができるため、システム構築コストを抑えて暗号化することができる。
(2)情報端末1では、情報端末1のMACアドレスを用いてキーを生成して通信データを暗号化し、暗号化装置5では、取得した情報端末1のMACアドレスを用いてキーを生成して、暗号化された通信データを復号化する。よって、情報端末1からアクセスポイント4を経由して暗号化装置5に至るまでの間の通信データは暗号化されるので、セキュリティ性が向上する。
また、情報端末1のMACアドレスを用いるので、各情報端末1で固有のものにできる。
さらに、情報端末1と、暗号化装置5とが、各々キーを生成するため、キーの受け渡しが不要である。
(1)ユーザは、情報端末1を使用して回線接続プログラム21のアイコン30aをタップする、という簡易な操作によって、その後にオペレーションをすることなく、近距離無線通信部分を暗号化して、通信データを受け渡すことができる。よって、簡単に通信のセキュリティを確保できる。また、アクセスポイント4は、既にあるものを用いることができるため、システム構築コストを抑えて暗号化することができる。
(2)情報端末1では、情報端末1のMACアドレスを用いてキーを生成して通信データを暗号化し、暗号化装置5では、取得した情報端末1のMACアドレスを用いてキーを生成して、暗号化された通信データを復号化する。よって、情報端末1からアクセスポイント4を経由して暗号化装置5に至るまでの間の通信データは暗号化されるので、セキュリティ性が向上する。
また、情報端末1のMACアドレスを用いるので、各情報端末1で固有のものにできる。
さらに、情報端末1と、暗号化装置5とが、各々キーを生成するため、キーの受け渡しが不要である。
(3)HTTPリクエストによって、暗号化装置5は、情報端末1のMACアドレスを取得できるので、キー生成で使用するデータであるMACアドレスを、簡単に受け渡すことができる。よって、例えば、IDやパスワードが記述された紙等を受け渡す必要がない。
(4)情報端末1のキー生成モジュール21aと、暗号化装置5のキー生成モジュール61とは、同じアルゴリズムのキー生成ロジックであるので、暗号化された通信データを復号化する処理を、容易に構築できる。
(5)開始データにより暗号化及び復号化処理を確認することで、各装置で各々生成したネットワークキーの整合性が確認できた場合には、情報端末1と、暗号化装置5間で暗号化されたバーチャルな専有回線を設けることができる。
(4)情報端末1のキー生成モジュール21aと、暗号化装置5のキー生成モジュール61とは、同じアルゴリズムのキー生成ロジックであるので、暗号化された通信データを復号化する処理を、容易に構築できる。
(5)開始データにより暗号化及び復号化処理を確認することで、各装置で各々生成したネットワークキーの整合性が確認できた場合には、情報端末1と、暗号化装置5間で暗号化されたバーチャルな専有回線を設けることができる。
(第2実施形態)
第2実施形態では、回線接続処理の他の例について説明する。なお、以降の説明において、上述した第1実施形態と同様の機能を果たす部分には、同一の符号又は末尾に同一の符号を付して、重複する説明を適宜省略する。
<暗号化通信システム200>
図6は、第2実施形態に係る情報端末201及び暗号化装置205の機能ブロックを示す図である。
図6(A)に示すように、情報端末201は、制御部210と、記憶部220と、タッチパネルディスプレイ25と、音声通信部28と、無線通信部29とを備える。
制御部210は、起動処理部11と、キー生成部12と、暗号復号化部13と、データ送受信部14と、開始データ送信部215とを備える。
開始データ送信部215は、回線接続処理において、開始データを生成して送信する。なお、開始データについては、後述する。
記憶部220は、回線接続プログラム221と、キー記憶部22とを備える。
回線接続プログラム221は、上述した制御部210が行う各種機能を実行するためのアプリケーションプログラムである。回線接続プログラム221は、キー生成モジュール221aを含む。キー生成モジュール221aは、ネットワークキーを生成するためのサブプログラムである。
第2実施形態では、回線接続処理の他の例について説明する。なお、以降の説明において、上述した第1実施形態と同様の機能を果たす部分には、同一の符号又は末尾に同一の符号を付して、重複する説明を適宜省略する。
<暗号化通信システム200>
図6は、第2実施形態に係る情報端末201及び暗号化装置205の機能ブロックを示す図である。
図6(A)に示すように、情報端末201は、制御部210と、記憶部220と、タッチパネルディスプレイ25と、音声通信部28と、無線通信部29とを備える。
制御部210は、起動処理部11と、キー生成部12と、暗号復号化部13と、データ送受信部14と、開始データ送信部215とを備える。
開始データ送信部215は、回線接続処理において、開始データを生成して送信する。なお、開始データについては、後述する。
記憶部220は、回線接続プログラム221と、キー記憶部22とを備える。
回線接続プログラム221は、上述した制御部210が行う各種機能を実行するためのアプリケーションプログラムである。回線接続プログラム221は、キー生成モジュール221aを含む。キー生成モジュール221aは、ネットワークキーを生成するためのサブプログラムである。
図6(B)に示すように、暗号化装置205は、制御部250と、記憶部260と、表示部66と、入力部67と、通信部69とを備える。
制御部250は、端末識別取得部51と、整合性確認部252(整合性確認手段)と、暗号復号化部54と、警告データ出力部55と、暗号化確立部256と、データ送受信部57とを備える。
整合性確認部252は、情報端末201から受信した開始データの整合性を確認する処理を行う。
暗号化確立部256は、整合性確認部252によって整合性が確認できたことに応じて、暗号化による情報端末201との間のデータ通信を確立する。
記憶部260は、キー生成モジュール261と、キー記憶部262とを備える。
キー生成モジュール261は、ネットワークキーを生成するためのプログラムである。キー生成モジュール261は、情報端末201の回線接続プログラム221に含まれるキー生成モジュール221aと同一のロジックを有する。
キー記憶部262は、情報端末201から受信した開始データの整合性が確認できた場合に、開始データに含まれるネットワークキーを記憶する記憶領域である。ネットワークキーは、開始データに含まれるMACアドレスに対応付けて記憶される。
制御部250は、端末識別取得部51と、整合性確認部252(整合性確認手段)と、暗号復号化部54と、警告データ出力部55と、暗号化確立部256と、データ送受信部57とを備える。
整合性確認部252は、情報端末201から受信した開始データの整合性を確認する処理を行う。
暗号化確立部256は、整合性確認部252によって整合性が確認できたことに応じて、暗号化による情報端末201との間のデータ通信を確立する。
記憶部260は、キー生成モジュール261と、キー記憶部262とを備える。
キー生成モジュール261は、ネットワークキーを生成するためのプログラムである。キー生成モジュール261は、情報端末201の回線接続プログラム221に含まれるキー生成モジュール221aと同一のロジックを有する。
キー記憶部262は、情報端末201から受信した開始データの整合性が確認できた場合に、開始データに含まれるネットワークキーを記憶する記憶領域である。ネットワークキーは、開始データに含まれるMACアドレスに対応付けて記憶される。
<暗号化通信システム200の処理>
次に、暗号化通信システム200での処理について説明する。
図7は、第2実施形態に係る暗号化通信システム200での回線接続処理のフローチャートである。
事前処理、S210からS214までの処理、S220とS221との処理は、第1実施形態(図4)の事前処理、S10からS14までの処理、S20とS21との処理と同様である。
S215において、情報端末201の制御部210(開始データ送信部215)は、開始データを生成する。開始データは、暗号化装置205との間で暗号化による通信データの送受信を行えるかを確認するためのデータである。開始データは、この情報端末201のMACアドレスと、固有の計算キーと、ネットワークキーとを含む。固有の計算キーは、キー生成モジュール221aのキーを生成するためのアルゴリズムに含まれる。また、ネットワークキーは、MACアドレス及び固有の計算キーを用いてキー生成モジュール221aが生成したものである。そして、制御部210(開始データ送信部215)は、生成した開始データを、暗号化装置205に対して送信する。
次に、暗号化通信システム200での処理について説明する。
図7は、第2実施形態に係る暗号化通信システム200での回線接続処理のフローチャートである。
事前処理、S210からS214までの処理、S220とS221との処理は、第1実施形態(図4)の事前処理、S10からS14までの処理、S20とS21との処理と同様である。
S215において、情報端末201の制御部210(開始データ送信部215)は、開始データを生成する。開始データは、暗号化装置205との間で暗号化による通信データの送受信を行えるかを確認するためのデータである。開始データは、この情報端末201のMACアドレスと、固有の計算キーと、ネットワークキーとを含む。固有の計算キーは、キー生成モジュール221aのキーを生成するためのアルゴリズムに含まれる。また、ネットワークキーは、MACアドレス及び固有の計算キーを用いてキー生成モジュール221aが生成したものである。そして、制御部210(開始データ送信部215)は、生成した開始データを、暗号化装置205に対して送信する。
S222において、暗号化装置205の制御部250は、開始データを受信する。
S223において、制御部250(整合性確認部252)は、開始データの整合性を確認する。制御部250は、例えば、受信したMACアドレスと、固有の計算キーとを入力値とし、キー生成モジュール261を用いて、ネットワークキーを生成する。そして、制御部250は、生成したネットワークキーと、受信したネットワークキーとが一致するか否かによって整合性を確認する。整合性が確認できた場合には、制御部250は、MACアドレスと、ネットワークキーとを対応づけてキー記憶部262に記憶させる。また、整合性が確認できた場合には、制御部250は、暗号化ができる旨の許可データを生成する。他方、整合性が確認できなかった場合には、制御部250は、暗号化できない旨の警告データを生成する。
S223において、制御部250(整合性確認部252)は、開始データの整合性を確認する。制御部250は、例えば、受信したMACアドレスと、固有の計算キーとを入力値とし、キー生成モジュール261を用いて、ネットワークキーを生成する。そして、制御部250は、生成したネットワークキーと、受信したネットワークキーとが一致するか否かによって整合性を確認する。整合性が確認できた場合には、制御部250は、MACアドレスと、ネットワークキーとを対応づけてキー記憶部262に記憶させる。また、整合性が確認できた場合には、制御部250は、暗号化ができる旨の許可データを生成する。他方、整合性が確認できなかった場合には、制御部250は、暗号化できない旨の警告データを生成する。
S224において、制御部250(警告データ出力部55)は、整合性確認結果に応じたデータを、情報端末201に対して送信する。その後、制御部250は、本処理を終了する。
なお、整合性が確認できた場合には、制御部250(暗号化確立部256)は、暗号化による情報端末201との間のデータ通信を確立する。よって、これ以降に情報端末201との間でデータを送受信するときに、情報端末201と、暗号化装置205との間で送受信されるデータは、常に暗号化がされた状態になる。
S216とS217との処理は、第1実施形態(図5)のS16とS17との処理と同様である。
なお、整合性が確認できた場合には、制御部250(暗号化確立部256)は、暗号化による情報端末201との間のデータ通信を確立する。よって、これ以降に情報端末201との間でデータを送受信するときに、情報端末201と、暗号化装置205との間で送受信されるデータは、常に暗号化がされた状態になる。
S216とS217との処理は、第1実施形態(図5)のS16とS17との処理と同様である。
このように、第2実施形態の暗号化通信システム200によれば、以下のような効果がある。
情報端末201がMACアドレスと、固有の計算キーと、ネットワークキーとを含む開始データを、暗号化装置205に送信することで、暗号化装置205は、キー生成モジュール261を用いて整合性を確認する。よって、暗号化装置205では、予めネットワークキーを生成する等の処理が不要である。そして、整合性が確認できれば、以降の通信においては、ネットワークキーによって暗号化できる。
情報端末201がMACアドレスと、固有の計算キーと、ネットワークキーとを含む開始データを、暗号化装置205に送信することで、暗号化装置205は、キー生成モジュール261を用いて整合性を確認する。よって、暗号化装置205では、予めネットワークキーを生成する等の処理が不要である。そして、整合性が確認できれば、以降の通信においては、ネットワークキーによって暗号化できる。
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限定されるものではない。また、実施形態に記載した効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載したものに限定されない。なお、上述した実施形態及び後述する変形形態は、適宜組み合わせて用いることもできるが、詳細な説明は省略する。
(変形形態)
(1)各実施形態では、暗号化装置5を、アクセスポイント4と、ルータ7との間に設置し、両者間を中継するものとして説明したが、これに限定されない。ルータ7より内側に認証装置を設けている場合には、図8(A)に示すように、暗号化装置5を、アクセスポイント4と、認証装置との間を中継する暗号化通信システム300としてもよい。その場合には、情報端末1が認証装置に対して認証依頼をしたときに、認証装置から暗号化装置5に対して回線接続要求をリダイレクトし、暗号化装置5は、回線接続要求を受信以降の処理を行えばよい。
また、図8(B)に示すように、認証機能を有する暗号化装置405とした暗号化通信システム400としてもよい。暗号化装置405は、暗号化を、認証機能と一緒に行うことで、認証されたユーザの通信データに対してのみ暗号化をすることができ、ユーザの差別化を図るとともに、よりセキュリティ性を向上できる。
さらに、図8(C)に示すように、ルータの機能を有する暗号化装置505とした暗号化通信システム500としてもよい。
(1)各実施形態では、暗号化装置5を、アクセスポイント4と、ルータ7との間に設置し、両者間を中継するものとして説明したが、これに限定されない。ルータ7より内側に認証装置を設けている場合には、図8(A)に示すように、暗号化装置5を、アクセスポイント4と、認証装置との間を中継する暗号化通信システム300としてもよい。その場合には、情報端末1が認証装置に対して認証依頼をしたときに、認証装置から暗号化装置5に対して回線接続要求をリダイレクトし、暗号化装置5は、回線接続要求を受信以降の処理を行えばよい。
また、図8(B)に示すように、認証機能を有する暗号化装置405とした暗号化通信システム400としてもよい。暗号化装置405は、暗号化を、認証機能と一緒に行うことで、認証されたユーザの通信データに対してのみ暗号化をすることができ、ユーザの差別化を図るとともに、よりセキュリティ性を向上できる。
さらに、図8(C)に示すように、ルータの機能を有する暗号化装置505とした暗号化通信システム500としてもよい。
(2)各実施形態では、情報端末を識別する端末識別情報としてMACアドレスを用いるものとして説明したが、これに限定されない。情報端末と暗号化装置との間の通信によって受け渡されるものであって、情報端末を一意に特定可能なものであれば、他のものであってもよく、例えば、情報端末1のIPアドレスであってもよい。但し、MACアドレスは、IPアドレスより桁数が多い。そのため、MACアドレスを使用した方が、ネットワークキーがより強固になり、よりセキュリティ性が向上する。
1,201 情報端末
4 アクセスポイント
5,205,405,505 暗号化装置
8 サーバ
10,50,210,250 制御部
11 起動処理部
12,53 キー生成部
13,54 暗号復号化部
14,57 データ送受信部
20,60,220,260 記憶部
21,221 回線接続プログラム
21a,61,221a,261 キー生成モジュール
22,62,262 キー記憶部
25 タッチパネルディスプレイ
29 無線通信部
51 端末識別取得部
55 警告データ出力部
56,256 暗号化確立部
100,200,300,400,500 暗号化通信システム
215 開始データ送信部
252 整合性確認部
N1 近距離公衆無線通信網
N2 広域公衆通信網
4 アクセスポイント
5,205,405,505 暗号化装置
8 サーバ
10,50,210,250 制御部
11 起動処理部
12,53 キー生成部
13,54 暗号復号化部
14,57 データ送受信部
20,60,220,260 記憶部
21,221 回線接続プログラム
21a,61,221a,261 キー生成モジュール
22,62,262 キー記憶部
25 タッチパネルディスプレイ
29 無線通信部
51 端末識別取得部
55 警告データ出力部
56,256 暗号化確立部
100,200,300,400,500 暗号化通信システム
215 開始データ送信部
252 整合性確認部
N1 近距離公衆無線通信網
N2 広域公衆通信網
Claims (7)
- 無線中継装置を介した近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムであって、
前記情報端末は、
この情報端末を識別する端末識別情報を用いてキーを生成する端末キー生成手段と、
前記端末キー生成手段により生成されたキーを用いて通信データを暗号化する暗号化手段と、
前記暗号化手段により暗号化された通信データを送信する端末データ送信手段と、
を備え、
前記有線中継装置は、
前記情報端末から予め取得したその情報端末の端末識別情報を用いて、キーを生成する装置キー生成手段と、
前記情報端末から通信データを受信したことに応じて、前記装置キー生成手段により生成したキーを用いて前記通信データを復号化する復号化手段と、
前記復号化手段により復号化した通信データを、外部サーバに対して送信する装置データ送信手段と、
を備えること、
を特徴とする暗号化通信システム。 - 請求項1に記載の暗号化通信システムにおいて、
前記情報端末は、回線接続要求を出力する起動処理手段を備え、
前記有線中継装置は、前記情報端末から受信した前記回線接続要求から前記端末識別情報を取得する識別情報取得手段を備えること、
を特徴とする暗号化通信システム。 - 請求項1又は請求項2に記載の暗号化通信システムにおいて、
前記情報端末の前記端末キー生成手段と、前記有線中継装置の前記装置キー生成手段とは、同一のモジュールを使用して各々キーを生成すること、
を特徴とする暗号化通信システム。 - 請求項1から請求項3までのいずれかに記載の暗号化通信システムにおいて、
前記情報端末の前記端末データ送信手段は、前記有線中継装置に対して、前記暗号化手段により暗号化された開始データを、前記通信データとして送信し、
前記有線中継装置の前記復号化手段は、前記情報端末から受信した開始データを復号化し、
前記有線中継装置は、前記復号化手段により前記開始データが復号化できた場合に、暗号化したデータ通信を前記情報端末との間で確立する暗号化確立手段を備えること、
を特徴とする暗号化通信システム。 - 請求項1から請求項3までのいずれかに記載の暗号化通信システムにおいて、
前記情報端末は、前記有線中継装置に対して、暗号化による通信を確立するための開始データを送信する開始データ送信手段を備え、
前記有線中継装置は、
前記情報端末から受信した開始データの整合性を確認する整合性確認手段と、
前記整合性確認手段により前記開始データの整合性が確認できた場合に、暗号化したデータ通信を前記情報端末との間で確立する暗号化確立手段と、
を備えること、
を特徴とする暗号化通信システム。 - 無線中継装置を介して近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムの前記情報端末として、コンピュータを機能させる端末プログラムであって、
コンピュータを、
このコンピュータを識別する端末識別情報を用いてキーを生成する端末キー生成手段と、
前記端末キー生成手段により生成されたキーを用いて通信データを暗号化する暗号化手段と、
前記暗号化手段により暗号化された通信データを送信する端末データ送信手段と、
して機能させること、
を特徴とする端末プログラム。 - 無線中継装置を介して近距離公衆無線通信を行う情報端末と、前記無線中継装置に接続された有線中継装置とを備える暗号化通信システムの前記有線中継装置であって、
前記情報端末から予め取得したその情報端末を識別する端末識別情報を用いて、キーを生成する装置キー生成手段と、
前記情報端末から通信データを受信したことに応じて、前記装置キー生成手段により生成したキーを用いて前記通信データを復号化する復号化手段と、
前記復号化手段により復号化した通信データを、外部サーバに対して送信する装置データ送信手段と、
を備えること、
を特徴とする有線中継装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015211788A JP2017085348A (ja) | 2015-10-28 | 2015-10-28 | 暗号化通信システム、端末プログラム及び有線中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015211788A JP2017085348A (ja) | 2015-10-28 | 2015-10-28 | 暗号化通信システム、端末プログラム及び有線中継装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2017085348A true JP2017085348A (ja) | 2017-05-18 |
Family
ID=58712182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015211788A Pending JP2017085348A (ja) | 2015-10-28 | 2015-10-28 | 暗号化通信システム、端末プログラム及び有線中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2017085348A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200001751A (ko) * | 2018-06-28 | 2020-01-07 | 에렐 로젠버그 | 맥 주소 암호화 시스템 및 방법 |
-
2015
- 2015-10-28 JP JP2015211788A patent/JP2017085348A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200001751A (ko) * | 2018-06-28 | 2020-01-07 | 에렐 로젠버그 | 맥 주소 암호화 시스템 및 방법 |
| KR102168426B1 (ko) * | 2018-06-28 | 2020-10-22 | 주식회사 디에프알씨 | 맥 주소 암호화 시스템 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10412061B2 (en) | Method and system for encrypted communications | |
| US10880736B2 (en) | Method and apparatus for transmitting and receiving encrypted message between terminals | |
| US8082591B2 (en) | Authentication gateway apparatus for accessing ubiquitous service and method thereof | |
| KR20040075293A (ko) | 컴퓨팅 장치를 보안 네트워크에 접속시키기 위한 방법 및시스템 | |
| CN105634737B (zh) | 一种数据传输方法、终端及其系统 | |
| CN112714053B (zh) | 通信连接方法及装置 | |
| JP2008047022A (ja) | 携帯端末装置による情報共有システム | |
| KR101556507B1 (ko) | 다층 네트워크 연결 통신시스템, 스마트 단말장치 및 그 통신 방법 | |
| CN110351225B (zh) | 硬件设备的联网方法、系统,计算设备及可读存储介质 | |
| WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
| US20100071033A1 (en) | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program | |
| JP2007058487A (ja) | ログイン情報管理装置及び方法 | |
| JP2015535154A (ja) | 通信情報伝送方法及びシステム | |
| JP2007141091A (ja) | 遠隔操作支援システムとそのユーザ装置及びエージェント装置、並びに遠隔操作支援方法 | |
| KR102171377B1 (ko) | 로그인 제어 방법 | |
| JP2021158494A (ja) | 通信システム、電子デバイス、およびプログラム | |
| JP2017085348A (ja) | 暗号化通信システム、端末プログラム及び有線中継装置 | |
| US20170289195A1 (en) | Communication control device, communication control method, recording medium having communication control program stored thereon, and information system | |
| JP6800165B2 (ja) | 暗号化方法および暗号化システム | |
| JP2008294814A (ja) | 取得したネットワークの接続情報を利用したファイルの自動暗号化装置、その方法及びそのプログラム | |
| JP2007150466A (ja) | 携帯端末およびデータ復号化システム | |
| JP2002312320A (ja) | アクセス制御システム及びアクセス制御方法 | |
| KR101495034B1 (ko) | 보안 토큰을 이용한 원격 인증 처리 방법 및 원격 인증 시스템 | |
| KR102380504B1 (ko) | 북마클릿을 이용한 전자 지갑 서비스 시스템 및 방법 | |
| CN115734221B (zh) | 物联网设备管理方法、设备、移动终端、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20170227 |