JP4540681B2 - COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF - Google Patents

COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF Download PDF

Info

Publication number
JP4540681B2
JP4540681B2 JP2007011565A JP2007011565A JP4540681B2 JP 4540681 B2 JP4540681 B2 JP 4540681B2 JP 2007011565 A JP2007011565 A JP 2007011565A JP 2007011565 A JP2007011565 A JP 2007011565A JP 4540681 B2 JP4540681 B2 JP 4540681B2
Authority
JP
Japan
Prior art keywords
base station
station side
authentication
side device
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007011565A
Other languages
Japanese (ja)
Other versions
JP2007104733A (en
Inventor
修一 石田
寧子 福澤
洋一 瀬戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007011565A priority Critical patent/JP4540681B2/en
Publication of JP2007104733A publication Critical patent/JP2007104733A/en
Application granted granted Critical
Publication of JP4540681B2 publication Critical patent/JP4540681B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は移動体との通信を行うネットワークでの通信のセキュリティを保持する通信セキュリティ保持システムに関し、特に移動する移動体と移動体の移動エリアをカバーする様に複数設置された基地局との間で行われる通信のセキュリティを保持する通信セキュリティ保持システムに適用して有効な技術に関するものである。   The present invention relates to a communication security maintenance system that maintains communication security in a network that performs communication with a mobile body, and in particular, between a mobile body that is moving and a plurality of base stations that are installed so as to cover a moving area of the mobile body. The present invention relates to a technology that is effective when applied to a communication security holding system that holds the security of communication performed in the Internet.

近年、高度道路交通システム(ITS: Intelligent Transport Systems)の構築が行われており、その高度道路交通システムでは、狭域無線通信(DSRC: Dedicated Short Range Communications)を行う車載器を車両に搭載し、車両を停車させることなく自動的に料金の支払いを行う自動料金収受システム(ETC: Electronic Toll Collection system)等の実用化が進められている。   In recent years, intelligent transport systems (ITS) have been built, and in these intelligent traffic systems, vehicles equipped with in-vehicle devices that perform Dedicated Short Range Communications (DSRC), Commercialization of an automatic toll collection system (ETC: Electronic Toll Collection system) that automatically pays a fee without stopping the vehicle is in progress.

また前記高度道路交通システムでは、道路に複数の基地局を設置し、移動中の車両に搭載された車載器から最寄りの基地局及びゲートウェイを介してインターネット等のネットワークに接続し、移動中の車両と外部のネットワークとの通信を行うことも検討されている。   In the above intelligent road traffic system, a plurality of base stations are installed on the road, and the on-board unit mounted on the moving vehicle is connected to a network such as the Internet via the nearest base station and gateway to move the moving vehicle. Communication with external networks is also being considered.

前記の様な高度道路交通システムにおいて、基地局やゲートウェイを接続したネットワークを構成する際には、自律分散システム(ADS: Autonomous Decentralized Systems)が用いられており、この自律分散システムは、相手を特定しない放送型の通信を基礎とし、各ノードが自律的に情報を選択して動作することにより全体が機能するシステムである為、通信の送受信者以外の第三者からの監視、受信者がダウンしたときのバックアップ、システム変更に伴う通信相手の切り替え等を容易に行うことができる。   In the above-described intelligent transportation system, an autonomous decentralized system (ADS) is used to construct a network that connects base stations and gateways. This is a system that functions as a whole when each node autonomously selects and operates information based on broadcast-type communication that does not perform monitoring. Backup, switching of communication partners accompanying a system change can be easily performed.

前記の様に高度道路交通システムにおいて、移動中の車両に搭載された車載器から最寄りの基地局及びゲートウェイを介してインターネット等のネットワークに接続し、有料コンテンツの配信を受ける場合等には、通信時のセキュリティを保持することが重要となる。この場合、車載器と基地局との間で暗号を用いた認証処理を行ってセキュリティを保持することが考えられるが、高速で移動中の車両に搭載された車載器は、短時間で複数の基地局とのハンドオーバーを行う為、車載器と複数の基地局との間の認証処理がハンドオーバーの際に繰り返し行われると、暗号が解読される可能性が大きくなるという問題がある。   As described above, in intelligent transport systems, communication is required when connected to a network such as the Internet from a vehicle-mounted device mounted on a moving vehicle via the nearest base station and gateway to receive paid content. It is important to preserve the security of time. In this case, it may be possible to maintain security by performing authentication processing using encryption between the in-vehicle device and the base station, but the in-vehicle device mounted on the vehicle moving at high speed can In order to perform handover with the base station, there is a problem that if the authentication process between the vehicle-mounted device and the plurality of base stations is repeatedly performed at the time of handover, the possibility that the encryption is decrypted increases.

また前記の様に基地局やゲートウェイとの間の通信で自律分散システムを採用した場合、自律分散システムでは送信先を特定しない放送型の通信が行われる為、送信先の暗号鍵を用いた暗号化が困難であるという問題がある。   In addition, when an autonomous distributed system is adopted for communication with a base station or a gateway as described above, broadcast communication without specifying a transmission destination is performed in the autonomous distributed system. Therefore, encryption using a transmission destination encryption key is performed. There is a problem that it is difficult to realize.

本発明の目的は上記問題を解決し、移動局鍵を用いた処理量を削減し、移動局と基地局との間の通信セキュリティを高めることが可能な技術を提供することにある。本発明の他の目的は、送信先を特定しない放送型の通信を用いた場合でもその通信のセキュリティを高めることが可能な技術を提供することにある。   An object of the present invention is to provide a technique capable of solving the above problems, reducing the amount of processing using a mobile station key, and improving communication security between the mobile station and the base station. Another object of the present invention is to provide a technique capable of increasing the security of communication even when broadcast-type communication without specifying a transmission destination is used.

本発明は、移動局側装置と基地局側装置との間で行われる通信のセキュリティを保持する通信セキュリティ保持システムにおいて、認証確立時に発行された認証継続用鍵によってそれ以後の認証継続時の認証を行うものである。   The present invention relates to a communication security holding system that holds security of communication performed between a mobile station side device and a base station side device, and authentication at the time of subsequent authentication continuation by an authentication continuation key issued at the time of establishing authentication. Is to do.

本発明の通信セキュリティ保持システムにおいて、車両が走行する道路に所定の間隔で基地局側装置を設置しておき、それらの基地局側装置との通信を行う車載器である移動局側装置を搭載した車両がその道路を走行した場合に、まず基地局側装置から移動局側装置へ乱数等の認証用データを送信する。   In the communication security maintenance system of the present invention, base station side devices are installed at predetermined intervals on the road on which the vehicle travels, and a mobile station side device that is an in-vehicle device that communicates with those base station side devices is mounted. When the trained vehicle travels on the road, first, authentication data such as a random number is transmitted from the base station side device to the mobile station side device.

基地局側装置から送信された認証用データを受信した移動局側装置では、受信した認証用データを移動局側装置の移動局鍵で暗号化して暗号化認証用データを生成し、その生成した暗号化認証用データを基地局側装置へ送信して当該移動局の認証を基地局側装置へ要求する。   In the mobile station side device that has received the authentication data transmitted from the base station side device, the received authentication data is encrypted with the mobile station key of the mobile station side device to generate encrypted authentication data. The encryption authentication data is transmitted to the base station side device, and authentication of the mobile station is requested to the base station side device.

移動局側装置から送信された暗号化認証用データを受信した基地局側装置では、受信した暗号化認証用データをその移動局側装置の移動局鍵で復号化して認証用データを生成する。ここで、移動局側装置のユーザIDを基地局側装置のマスタ鍵で暗号化して前記移動局鍵を生成するものとしても良い。そして当該移動局側装置へ送信した認証用データと前記復号化した認証用データとを比較して両者が等しい場合に当該移動局側装置を正規の通信相手として認証する。   In the base station side device that has received the encrypted authentication data transmitted from the mobile station side device, the received encrypted authentication data is decrypted with the mobile station key of the mobile station side device to generate authentication data. Here, the mobile station key may be generated by encrypting the user ID of the mobile station side device with the master key of the base station side device. Then, the authentication data transmitted to the mobile station side device is compared with the decrypted authentication data, and if both are equal, the mobile station side device is authenticated as a regular communication partner.

その移動局側装置が正規の通信相手として認証されると基地局側装置は、認証を継続する為の認証継続用鍵と、複数の基地局側装置で共有しているチケット作成鍵で前記認証継続用鍵を暗号化して生成したチケットとをその移動局側装置に送信する。移動局側装置では、基地局側装置から送信された前記認証継続用鍵及びチケットを受信した後、その基地局側装置との間の通信を行う。   When the mobile station side apparatus is authenticated as a regular communication partner, the base station side apparatus uses the authentication continuation key for continuing authentication and the authentication with the ticket creation key shared by a plurality of base station side apparatuses. The ticket generated by encrypting the continuation key is transmitted to the mobile station side device. After receiving the authentication continuation key and the ticket transmitted from the base station side device, the mobile station side device performs communication with the base station side device.

本発明の通信セキュリティ保持システムにおいて、移動局側装置を搭載した車両が移動し、他の基地局側装置との通信エリアに入った場合には、その基地局側装置から移動局側装置へ乱数等の認証用データを送信する。   In the communication security maintenance system of the present invention, when a vehicle equipped with a mobile station side device moves and enters a communication area with another base station side device, a random number is transmitted from the base station side device to the mobile station side device. Send authentication data such as

基地局側装置から送信された認証用データを受信した移動局側装置では、受信した認証用データを前記認証継続用鍵で暗号化して暗号化認証用データを生成し、その生成した暗号化認証用データ及び前記チケットを基地局側装置へ送信して当該移動局の認証継続を基地局側装置へ要求する。   The mobile station side apparatus that has received the authentication data transmitted from the base station side apparatus generates encrypted authentication data by encrypting the received authentication data with the authentication continuation key, and the generated encrypted authentication The data and the ticket are transmitted to the base station side device, and the base station side device is requested to continue authentication of the mobile station.

移動局側装置から送信された暗号化認証用データ及びチケットを受信した基地局側装置では、前記チケットをチケット作成鍵で復号化して認証継続用鍵を取り出した後、前記受信した暗号化認証用データを前記取り出した認証継続用鍵で復号化して認証用データを生成する。そして当該移動局側装置へ送信した認証用データと前記復号化した認証用データとを比較して両者が等しい場合に当該移動局側装置を正規の通信相手として認証を継続する。移動局側装置では、基地局側装置から認証が継続されたことを示す応答を受信した後、その基地局側装置との間の通信を行う。   In the base station side device that has received the encrypted authentication data and the ticket transmitted from the mobile station side device, after decrypting the ticket with the ticket creation key and taking out the authentication continuation key, the received encrypted authentication data Authentication data is generated by decrypting the data with the extracted authentication continuation key. Then, the authentication data transmitted to the mobile station side device is compared with the decrypted authentication data, and if both are equal, authentication is continued with the mobile station side device as a regular communication partner. In the mobile station side device, after receiving a response indicating that the authentication is continued from the base station side device, the mobile station side device performs communication with the base station side device.

以上の様に本発明の通信セキュリティ保持システムによれば、認証確立時に発行された認証継続用鍵によってそれ以後の認証継続時の認証を行うので、移動局鍵を用いた処理量を削減し、移動局と基地局との間の通信セキュリティを高めることが可能である。   As described above, according to the communication security maintenance system of the present invention, since authentication at the time of continuing authentication is performed by the authentication continuation key issued at the time of establishing authentication, the processing amount using the mobile station key is reduced, It is possible to improve communication security between the mobile station and the base station.

本発明によれば認証確立時に発行された認証継続用鍵によってそれ以後の認証継続時の認証を行うので、移動局鍵を用いた処理量を削減し、移動局と基地局との間の通信セキュリティを高めることが可能である。   According to the present invention, since authentication at the time of continuing authentication is performed by the authentication continuation key issued at the time of establishing authentication, the processing amount using the mobile station key is reduced, and communication between the mobile station and the base station is performed. Security can be increased.

(実施形態1)
以下に移動局側装置と基地局側装置との間で行われる通信のセキュリティを保持する実施形態1の通信セキュリティ保持システムについて説明する。 (Embodiment 1)
The communication security maintaining system according to the first embodiment that maintains the security of communication performed between the mobile station side device and the base station side device will be described below.

図1は本実施形態の通信セキュリティ保持システムの概略構成を示す図である。図1に示す様に本実施形態の通信セキュリティ保持システムは、基地局側装置100と、移動局側装置110とを有している。   FIG. 1 is a diagram showing a schematic configuration of a communication security maintenance system according to the present embodiment. As shown in FIG. 1, the communication security maintenance system of this embodiment includes a base station side device 100 and a mobile station side device 110.

基地局側装置100は、車両が走行する道路に所定の間隔で設置された基地局側の装置であり、移動局側装置110との間でセキュリティを保持した通信を行う装置である。移動局側装置110は、複数の基地局が設置された道路を走行する車両に搭載された車載器であり、基地局側装置100との間でセキュリティを保持した通信を行う装置である。   The base station apparatus 100 is a base station apparatus installed at a predetermined interval on the road on which the vehicle is traveling, and is an apparatus that performs communication with the mobile station apparatus 110 while maintaining security. The mobile station side device 110 is a vehicle-mounted device mounted on a vehicle traveling on a road where a plurality of base stations are installed, and is a device that performs communication with the base station side device 100 while maintaining security.

図1に示す様に本実施形態の通信セキュリティ保持システムでは、基地局側装置100と移動局側装置110との間の最初の認証確立時に基地局側装置100から移動局側装置110へ認証継続用鍵を発行し、他の基地局側装置100と移動局側装置110との間の認証継続時には、前記発行された認証継続用鍵によって認証を行う。   As shown in FIG. 1, in the communication security maintenance system of this embodiment, authentication is continued from the base station side device 100 to the mobile station side device 110 when the first authentication is established between the base station side device 100 and the mobile station side device 110. When the authentication between the other base station side device 100 and the mobile station side device 110 is continued, authentication is performed using the issued authentication continuation key.

図2は本実施形態の基地局側装置100の概略構成を示す図である。図2に示す様に本実施形態の基地局側装置100は、CPU201と、RAM202と、ROM203と、入力装置204と、出力装置205と、通信装置206とを有している。   FIG. 2 is a diagram illustrating a schematic configuration of the base station apparatus 100 according to the present embodiment. As illustrated in FIG. 2, the base station apparatus 100 according to this embodiment includes a CPU 201, a RAM 202, a ROM 203, an input device 204, an output device 205, and a communication device 206.

CPU201は、基地局側装置100全体の動作を制御する装置である。RAM202は、基地局側装置100全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。   The CPU 201 is a device that controls the operation of the entire base station side device 100. The RAM 202 is a storage device that loads various processing programs and data for controlling the operation of the entire base station apparatus 100.

ROM203は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置204は、移動局側装置110との通信のセキュリティを保持する為の各種入力を行う装置である。出力装置205は、前記セキュリティの保持に伴う各種出力を行う装置である。通信装置206は、ネットワークを介して他の処理装置との通信を行う装置である。   A ROM 203 is a storage device that stores the various processing programs and data. The input device 204 is a device that performs various inputs for maintaining security of communication with the mobile station side device 110. The output device 205 is a device that performs various outputs accompanying the maintenance of the security. The communication device 206 is a device that communicates with other processing devices via a network.

また基地局側装置100は、認証処理部211と、鍵生成処理部212と、チケット・鍵発行処理部213と、通信処理部214と、認証継続処理部215と、鍵取得処理部216とを有している。   The base station apparatus 100 further includes an authentication processing unit 211, a key generation processing unit 212, a ticket / key issue processing unit 213, a communication processing unit 214, an authentication continuation processing unit 215, and a key acquisition processing unit 216. Have.

認証処理部211は、移動局側装置110へ送信した乱数等の認証用データと、移動局側装置110から受信した暗号化認証用データをその移動局鍵で復号化した認証用データとが等しい場合に、その移動局側装置110を正規の通信相手として認証する処理部である。   The authentication processing unit 211 has the same authentication data such as a random number transmitted to the mobile station side device 110 and the authentication data obtained by decrypting the encrypted authentication data received from the mobile station side device 110 with the mobile station key. In this case, it is a processing unit that authenticates the mobile station side device 110 as a regular communication partner.

鍵生成処理部212は、移動局側装置110のユーザIDを基地局側装置100で保持するマスタ鍵で暗号化して前記移動局鍵を生成する処理部である。チケット・鍵発行処理部213は、正規の通信相手であると認証された移動局側装置110に、認証を継続する為の認証継続用鍵と、前記認証継続用鍵を基地局側装置100で保持するチケット作成鍵で暗号化したチケットとを送信する処理部である。   The key generation processing unit 212 is a processing unit that generates the mobile station key by encrypting the user ID of the mobile station side device 110 with the master key held in the base station side device 100. The ticket / key issuance processing unit 213 sends the authentication continuation key for continuing authentication and the authentication continuation key to the mobile station side device 110 that has been authenticated as a legitimate communication partner. It is a processing unit that transmits a ticket encrypted with a ticket creation key to be held.

通信処理部214は、正規の通信相手であると認証された移動局側装置110とその基地局側装置100との間の通信を行う処理部である。認証継続処理部215は、移動局側装置110へ送信した認証用データと、移動局側装置110から受信した暗号化認証用データをその移動局側装置110のチケットから取り出した認証継続用鍵で復号化した認証用データとが等しい場合に移動局側装置110を正規の通信相手として認証を継続する処理部である。鍵取得処理部216は、移動局側装置110から基地局側装置100へ送信されたチケットを受信し、そのチケットをチケット作成鍵で復号化して認証継続用鍵を取り出す処理部である。   The communication processing unit 214 is a processing unit that performs communication between the mobile station device 110 that has been authenticated as a regular communication partner and the base station device 100. The authentication continuation processing unit 215 uses the authentication continuation key obtained by extracting the authentication data transmitted to the mobile station side device 110 and the encrypted authentication data received from the mobile station side device 110 from the ticket of the mobile station side device 110. This is a processing unit that continues authentication with the mobile station apparatus 110 as a regular communication partner when the decrypted authentication data is equal. The key acquisition processing unit 216 is a processing unit that receives a ticket transmitted from the mobile station side device 110 to the base station side device 100, decrypts the ticket with the ticket creation key, and extracts an authentication continuation key.

基地局側装置100を認証処理部211、鍵生成処理部212、チケット・鍵発行処理部213、通信処理部214、認証継続処理部215及び鍵取得処理部216として機能させる為のプログラムは、ROM等の記録媒体に記録されて実行されるものとする。なお前記プログラムを記録する記録媒体はROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。   A program for causing the base station apparatus 100 to function as the authentication processing unit 211, the key generation processing unit 212, the ticket / key issue processing unit 213, the communication processing unit 214, the authentication continuation processing unit 215, and the key acquisition processing unit 216 is a ROM It is assumed that the program is recorded on a recording medium such as The recording medium for recording the program may be a recording medium other than the ROM. The program may be used by installing it from the recording medium into the information processing apparatus, or the program may be used by accessing the recording medium through a network.

図3は本実施形態の移動局側装置110の概略構成を示す図である。図3に示す様に本実施形態の移動局側装置110は、CPU301と、RAM302と、ROM303と、入力装置304と、出力装置305と、通信装置306とを有している。   FIG. 3 is a diagram illustrating a schematic configuration of the mobile station apparatus 110 according to the present embodiment. As shown in FIG. 3, the mobile station apparatus 110 according to this embodiment includes a CPU 301, a RAM 302, a ROM 303, an input device 304, an output device 305, and a communication device 306.

CPU301は、移動局側装置110全体の動作を制御する装置である。RAM302は、移動局側装置110全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。   The CPU 301 is a device that controls the operation of the entire mobile station side device 110. The RAM 302 is a storage device that loads various processing programs and data for controlling the overall operation of the mobile station apparatus 110.

ROM303は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置304は、基地局側装置100との通信のセキュリティを保持する為の各種入力を行う装置である。出力装置305は、前記セキュリティの保持に伴う各種出力を行う装置である。通信装置306は、ネットワークを介して他の処理装置との通信を行う装置である。   A ROM 303 is a storage device that stores the various processing programs and data. The input device 304 is a device that performs various inputs for maintaining security of communication with the base station side device 100. The output device 305 is a device that performs various outputs accompanying the maintenance of the security. The communication device 306 is a device that communicates with other processing devices via a network.

また移動局側装置110は、認証要求処理部311と、チケット・鍵取得処理部312と、通信処理部313と、認証継続要求処理部314とを有している。   The mobile station side device 110 includes an authentication request processing unit 311, a ticket / key acquisition processing unit 312, a communication processing unit 313, and an authentication continuation request processing unit 314.

認証要求処理部311は、基地局側装置100から受信した認証用データをその移動局側装置110の移動局鍵で暗号化して生成した暗号化認証用データを基地局側装置100へ送信して当該移動局の認証を要求する処理部である。   The authentication request processing unit 311 transmits to the base station apparatus 100 encrypted authentication data generated by encrypting the authentication data received from the base station apparatus 100 with the mobile station key of the mobile station apparatus 110. A processing unit that requests authentication of the mobile station.

チケット・鍵取得処理部312は、基地局側装置100から正規の通信相手として認証された場合に、認証を継続する為の認証継続用鍵と前記チケットとを基地局側装置100から受信する処理部である。   The ticket / key acquisition processing unit 312 receives, from the base station side device 100, an authentication continuation key for continuing authentication and the ticket when the base station side device 100 is authenticated as a regular communication partner. Part.

通信処理部313は、その移動局側装置110を正規の通信相手として認証した基地局側装置100との間の通信を行う処理部である。認証継続要求処理部314は、前記チケットと、基地局側装置100から受信した認証用データを前記認証継続用鍵で暗号化して生成した暗号化認証用データとを基地局側装置100へ送信して当該移動局の認証継続を要求する処理部である。   The communication processing unit 313 is a processing unit that performs communication with the base station apparatus 100 that has authenticated the mobile station apparatus 110 as a regular communication partner. The authentication continuation request processing unit 314 transmits the ticket and the encrypted authentication data generated by encrypting the authentication data received from the base station side device 100 with the authentication continuation key to the base station side device 100. And a processing unit that requests authentication continuation of the mobile station.

移動局側装置110を認証要求処理部311、チケット・鍵取得処理部312、通信処理部313及び認証継続要求処理部314として機能させる為のプログラムは、ROM等の記録媒体に記録されて実行されるものとする。なお前記プログラムを記録する記録媒体はROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。   A program for causing the mobile station side device 110 to function as the authentication request processing unit 311, the ticket / key acquisition processing unit 312, the communication processing unit 313, and the authentication continuation request processing unit 314 is recorded on a recording medium such as a ROM and executed. Shall be. The recording medium for recording the program may be a recording medium other than the ROM. The program may be used by installing it from the recording medium into the information processing apparatus, or the program may be used by accessing the recording medium through a network.

図4は本実施形態の認証確立処理の概要を示す図である。図4に示す様に移動局側装置110は、電源投入後やチケットの有効期限が経過した後に基地局の通信エリアに入ると認証確立処理を開始してその基地局側装置100にユーザIDを送付し、基地局側装置100はマスタ鍵を用いてユーザIDから移動局鍵を生成する。   FIG. 4 is a diagram showing an outline of the authentication establishment process of the present embodiment. As shown in FIG. 4, when the mobile station apparatus 110 enters the communication area of the base station after the power is turned on or after the expiration date of the ticket has passed, authentication establishment processing is started and the user ID is assigned to the base station apparatus 100. The base station apparatus 100 generates a mobile station key from the user ID using the master key.

なお本実施形態の移動局鍵は、各移動局側装置110のユーザIDをマスタ鍵で暗号化することにより生成され、予め各移動局側装置110へ配布されているものとする。また各基地局側装置100は、各移動局側装置110の移動局鍵自体は保持しておらず、必要に応じてマスタ鍵を用いて各移動局側装置110の移動局鍵を生成して使用するものとする。   It is assumed that the mobile station key of this embodiment is generated by encrypting the user ID of each mobile station side device 110 with the master key and distributed to each mobile station side device 110 in advance. Also, each base station side device 100 does not hold the mobile station key itself of each mobile station side device 110, and generates a mobile station key for each mobile station side device 110 using a master key as necessary. Shall be used.

移動局側装置110は、基地局側装置100が発行した認証用データである乱数に対して、移動局側装置110の移動局鍵を用いて暗号化を行う。基地局側装置100は、移動局側装置110が生成した暗号化認証用データを前記生成した移動局鍵を用いて復号化し、移動局側装置110に送信した認証用データと比較してその移動局の正当性を確認する。   The mobile station side device 110 encrypts the random number that is the authentication data issued by the base station side device 100 using the mobile station key of the mobile station side device 110. The base station side device 100 decrypts the encrypted authentication data generated by the mobile station side device 110 using the generated mobile station key, and compares the data with the authentication data transmitted to the mobile station side device 110 to move the data. Check the legitimacy of the station.

その移動局の正当性が確認できた場合、基地局側装置100は、認証継続用の鍵と、必要に応じて暗号通信用の鍵、MAC(Message Authentication Code)生成用の鍵を生成して移動局側装置110に発行する。また前記生成した鍵を基地局側装置100のみが共有するチケット作成鍵を用いて暗号化してチケットを生成し、移動局側装置110に送付する。   When the validity of the mobile station is confirmed, the base station apparatus 100 generates a key for continuing authentication, a key for encrypted communication, and a key for generating a MAC (Message Authentication Code) as necessary. It is issued to the mobile station side device 110. In addition, the generated key is encrypted using a ticket creation key shared only by the base station side device 100 to generate a ticket, which is sent to the mobile station side device 110.

図5は本実施形態の認証確立処理のシーケンスを示す図である。図5に示す様に本実施形態では、基地局側装置100から移動局側装置110へ認証用データとして乱数R1を送信し、移動局側装置110から基地局側装置100へは、移動局側装置110のユーザIDと移動局鍵Kaで乱数R1を暗号化したEnc_Ka(R1)を送信する。   FIG. 5 is a diagram showing a sequence of authentication establishment processing according to this embodiment. As shown in FIG. 5, in the present embodiment, a random number R1 is transmitted as authentication data from the base station side device 100 to the mobile station side device 110, and the mobile station side device 100 is transmitted to the base station side device 100 from the mobile station side. Enc_Ka (R1) in which the random number R1 is encrypted with the user ID of the device 110 and the mobile station key Ka is transmitted.

基地局側装置100ではユーザIDから移動局鍵Kaを生成し、送信した乱数R1とEnc_Ka(R1)の復号内容が一致する場合に、基地局ID、ユーザID、有効期限、認証継続用鍵K1、暗号通信用鍵K2、MAC生成鍵K3、正当性チェック用コードをチケット作成鍵Kbで暗号化したチケットCertと、認証継続用鍵K1、暗号通信用鍵K2、MAC生成鍵K3を移動局鍵Kaで暗号化した鍵配布データを移動局側装置110に送信する。   The base station apparatus 100 generates a mobile station key Ka from the user ID, and when the transmitted random number R1 and the decrypted content of Enc_Ka (R1) match, the base station ID, user ID, expiration date, authentication continuation key K1 , Encryption communication key K2, MAC generation key K3, ticket Cert obtained by encrypting validity check code with ticket creation key Kb, authentication continuation key K1, encryption communication key K2, MAC generation key K3 The key distribution data encrypted with Ka is transmitted to the mobile station apparatus 110.

図6は本実施形態の認証継続処理の概要を示す図である。図6に示す様に移動局側装置110は、ある基地局との認証確立後に他の基地局の通信エリアに入ると、認証継続処理を開始してその基地局側装置100にチケットを送付し、基地局側装置100はチケット作成鍵を用いてチケットから認証継続用鍵を取得する。   FIG. 6 is a diagram showing an outline of the authentication continuation processing of this embodiment. As shown in FIG. 6, when the mobile station apparatus 110 enters the communication area of another base station after establishing authentication with a certain base station, it starts authentication continuation processing and sends a ticket to the base station apparatus 100. The base station apparatus 100 acquires the authentication continuation key from the ticket using the ticket creation key.

また移動局側装置110は、基地局側装置100が発行した認証用データである乱数に対して、移動局側装置110で受信している認証継続用鍵を用いて暗号化を行う。基地局側装置100は、移動局側装置110が生成した暗号化認証用データを前記生成した認証継続用鍵を用いて復号化し、移動局側装置110に送信した認証用データと比較してその移動局の正当性を確認し、その移動局の認証を継続して行う。   Further, the mobile station side device 110 encrypts the random number that is the authentication data issued by the base station side device 100 using the authentication continuation key received by the mobile station side device 110. The base station side device 100 decrypts the encrypted authentication data generated by the mobile station side device 110 using the generated authentication continuation key and compares it with the authentication data transmitted to the mobile station side device 110. Confirm the validity of the mobile station and continue to authenticate the mobile station.

図7は本実施形態の認証継続処理のシーケンスを示す図である。図7に示す様に本実施形態では、基地局側装置100から移動局側装置110へ認証用データとして乱数R2を送信し、移動局側装置110から基地局側装置100へは、チケットCertと認証継続用鍵K1で乱数R2を暗号化したEnc_K1(R2)を送信する。   FIG. 7 is a diagram showing a sequence of authentication continuation processing according to this embodiment. As shown in FIG. 7, in the present embodiment, a random number R2 is transmitted as authentication data from the base station side device 100 to the mobile station side device 110, and a ticket Cert is sent from the mobile station side device 110 to the base station side device 100. Enc_K1 (R2) is transmitted by encrypting the random number R2 with the authentication continuation key K1.

基地局側装置100では、チケットCert中の有効期限や正当性チェック用コードによりチケットのチェックを行った後、認証継続用鍵K1を取り出し、前記送信した乱数R2とEnc_K1(R2)の復号内容が一致する場合に、移動局の認証を継続して行うことを示す認証結果を移動局側装置110に送信する。   In the base station side device 100, after checking the ticket with the validity period and validity check code in the ticket Cert, the authentication continuation key K1 is taken out, and the decrypted contents of the transmitted random number R2 and Enc_K1 (R2) are If they match, an authentication result indicating that the mobile station is continuously authenticated is transmitted to the mobile station side device 110.

以下に、本実施形態の通信セキュリティ保持システムにおいて、基地局側装置100と移動局側装置110との間の認証確立処理及び認証継続処理の処理手順について説明する。   Hereinafter, in the communication security maintenance system according to the present embodiment, a processing procedure of authentication establishment processing and authentication continuation processing between the base station side device 100 and the mobile station side device 110 will be described.

図8は本実施形態の基地局側装置100による移動局側装置110の認証確立処理及び認証継続処理の処理手順を示すフローチャートである。図8に示す様にステップ801で基地局側装置100の認証処理部211は、基地局側装置100の通信エリア内に移動局側装置110を検出すると、認証用データとして乱数を移動局側装置110へ送信して認証処理を開始する。   FIG. 8 is a flowchart showing a processing procedure of authentication establishment processing and authentication continuation processing of the mobile station side device 110 by the base station side device 100 of this embodiment. As shown in FIG. 8, when the authentication processing unit 211 of the base station side device 100 detects the mobile station side device 110 in the communication area of the base station side device 100 in step 801, a random number is used as authentication data. 110 to start authentication processing.

図9は本実施形態の移動局側装置110から基地局側装置100への認証確立要求処理及び認証継続要求処理の処理手順を示すフローチャートである。図9に示す様にステップ901で移動局側装置110の認証要求処理部311は、認証用データとして乱数を基地局側装置100から受信しているかどうかを調べ、認証用データを受信している場合にはステップ902へ進む。ステップ902では、前記認証用データを送信した基地局側装置100との間の認証処理が未実行であるかどうかを調べ、認証処理が未実行である場合にはステップ903へ進む。ステップ903では、認証を継続する為のチケットを未取得であるかまたは他の基地局側装置100からチケットを受信済みであるかどうかを調べ、チケットを未取得である場合にはステップ904へ進む。ステップ904では、基地局側装置100から受信した認証用データをその移動局側装置110の移動局鍵で暗号化して暗号化認証用データを生成する。ステップ905では、前記生成した暗号化認証用データを基地局側装置100へ送信して当該移動局の認証を要求する。   FIG. 9 is a flowchart showing a processing procedure of authentication establishment request processing and authentication continuation request processing from the mobile station side device 110 to the base station side device 100 according to this embodiment. As shown in FIG. 9, in step 901, the authentication request processing unit 311 of the mobile station apparatus 110 checks whether or not a random number is received as authentication data from the base station apparatus 100, and receives authentication data. If so, go to Step 902. In step 902, it is checked whether or not the authentication process with the base station apparatus 100 that has transmitted the authentication data has not been executed. If the authentication process has not been executed, the process proceeds to step 903. In step 903, it is checked whether a ticket for continuing authentication has not been acquired or a ticket has been received from another base station side apparatus 100. If a ticket has not been acquired, the process proceeds to step 904. . In step 904, the authentication data received from the base station side apparatus 100 is encrypted with the mobile station key of the mobile station side apparatus 110 to generate encrypted authentication data. In step 905, the generated encryption authentication data is transmitted to the base station side apparatus 100 to request authentication of the mobile station.

ステップ802で基地局側装置100の認証処理部211は、暗号化された認証用データを移動局側装置110から受信しているかどうかを調べ、暗号化認証用データを受信している場合にはステップ811へ進む。   In step 802, the authentication processing unit 211 of the base station side apparatus 100 checks whether or not the encrypted authentication data is received from the mobile station side apparatus 110, and if the encrypted authentication data is received. Proceed to step 811.

ステップ811で認証継続処理部215は、前記暗号化認証用データと共にチケットを移動局側装置110から受信しているかどうかを調べ、チケットを受信している場合にはステップ812へ進み、チケットを受信していない場合にはステップ803へ進む。   In step 811, the authentication continuation processing unit 215 checks whether a ticket is received from the mobile station apparatus 110 together with the encrypted authentication data. If a ticket has been received, the process proceeds to step 812 to receive the ticket. If not, the process proceeds to step 803.

ステップ803で認証処理部211は、前記暗号化認証用データと共にユーザIDを移動局側装置110から受信しているかどうかを調べ、ユーザIDを受信している場合にはステップ804へ進む。   In step 803, the authentication processing unit 211 checks whether the user ID is received from the mobile station apparatus 110 together with the encrypted authentication data. If the user ID is received, the process proceeds to step 804.

ステップ804で鍵生成処理部212は、移動局側装置110のユーザIDを基地局側装置100のROM203で保持しているマスタ鍵で暗号化してその移動局側装置110の移動局鍵を生成する。ステップ805で認証処理部211は、前記受信した暗号化認証用データを前記生成した移動局鍵で復号化して認証用データを復元する。   In step 804, the key generation processing unit 212 encrypts the user ID of the mobile station side device 110 with the master key held in the ROM 203 of the base station side device 100 to generate the mobile station key of the mobile station side device 110. . In step 805, the authentication processing unit 211 restores the authentication data by decrypting the received encrypted authentication data with the generated mobile station key.

ステップ806では、その移動局側装置110へ送信した認証用データと、前記復号化した認証用データとを比較し、両者が等しい場合にはステップ807へ進む。ステップ807では、その移動局側装置110を正規の通信相手として基地局側装置100のRAM202に登録する。   In step 806, the authentication data transmitted to the mobile station side device 110 is compared with the decrypted authentication data. If they are equal, the process proceeds to step 807. In step 807, the mobile station apparatus 110 is registered in the RAM 202 of the base station apparatus 100 as a regular communication partner.

ステップ808でチケット・鍵発行処理部213は、正規の通信相手であると認証された移動局側装置110との間の認証を他の基地局で継続する為の認証継続用鍵を生成し、その認証継続用鍵を前記移動局鍵で暗号化して鍵配布データを生成する。   In step 808, the ticket / key issuance processing unit 213 generates an authentication continuation key for continuing the authentication with the mobile station apparatus 110 that has been authenticated as a legitimate communication partner at another base station, The authentication continuation key is encrypted with the mobile station key to generate key distribution data.

ステップ809では、前記生成した認証継続用鍵を基地局側装置100のROM203で保持しているチケット作成鍵で暗号化してチケットを生成する。ここでチケット作成鍵は複数の基地局側装置100で共有された鍵であり、チケットを移動局側装置110で復号化することはできないものとする。   In step 809, the generated authentication continuation key is encrypted with the ticket creation key held in the ROM 203 of the base station apparatus 100 to generate a ticket. Here, it is assumed that the ticket creation key is a key shared by a plurality of base station side devices 100 and the mobile station side device 110 cannot decrypt the ticket.

ステップ810では、その移動局側装置110が認証されたことを示す情報と、前記生成した鍵配布データ及びチケットを移動局側装置110へ送信する。なお前記の処理で暗号通信用鍵やMAC生成鍵を生成し、認証継続用鍵と共に送信しても良い。   In step 810, information indicating that the mobile station side device 110 has been authenticated, and the generated key distribution data and ticket are transmitted to the mobile station side device 110. Note that an encryption communication key or a MAC generation key may be generated by the above processing and transmitted together with the authentication continuation key.

ステップ906で移動局側装置110のチケット・鍵取得処理部312は、前記要求した認証処理の結果として、その移動局側装置110が認証されたことを示す情報と、鍵配送データ及びチケットを基地局側装置100から受信しているかどうかを調べ、認証されたことを示す情報とチケット及び鍵配送データを受信している場合にはステップ907へ進む。   In step 906, the ticket / key acquisition processing unit 312 of the mobile station side device 110 uses the information indicating that the mobile station side device 110 has been authenticated, the key distribution data, and the ticket as a result of the requested authentication process. It is checked whether or not the information is received from the station side device 100. If the information indicating the authentication, the ticket, and the key distribution data are received, the process proceeds to step 907.

ステップ907で認証要求処理部311は、その基地局側装置100との間の認証処理を完了したことを示す情報を移動局側装置110のRAM302に登録する。ステップ908では、前記受信した鍵配送データをその移動局側装置110の移動局鍵で復号化して認証継続用鍵を復元してRAM302に格納する。なお前記受信した鍵配送データに暗号通信用鍵やMAC生成鍵が含まれている場合にはそれらの鍵も復元する。ステップ909では、前記受信したチケットを移動局側装置110のRAM302へ格納する。   In step 907, the authentication request processing unit 311 registers information indicating that the authentication process with the base station side device 100 has been completed in the RAM 302 of the mobile station side device 110. In step 908, the received key distribution data is decrypted with the mobile station key of the mobile station side device 110 to restore the authentication continuation key and store it in the RAM 302. If the received key distribution data includes an encryption communication key or a MAC generation key, these keys are also restored. In step 909, the received ticket is stored in the RAM 302 of the mobile station apparatus 110.

一方、ステップ903で認証を継続する為のチケットを未取得であるかどうかを調べた結果、チケットを取得済みである場合にはステップ910へ進む。ステップ910で認証継続要求処理部314は、基地局側装置100から受信した認証用データを前記受信した認証継続用鍵で暗号化して暗号化認証用データを生成する。ステップ911では、前記生成した暗号化認証用データと前記取得済みのチケットを基地局側装置100へ送信して当該移動局の認証継続を要求する。   On the other hand, if it is determined in step 903 whether or not a ticket for continuing authentication has not been acquired, the process proceeds to step 910 if the ticket has already been acquired. In step 910, the authentication continuation request processing unit 314 encrypts the authentication data received from the base station side device 100 with the received authentication continuation key and generates encrypted authentication data. In step 911, the generated encrypted authentication data and the acquired ticket are transmitted to the base station side device 100 to request continuation of authentication of the mobile station.

ステップ811で基地局側装置100の認証継続処理部215は、前記暗号化認証用データと共にチケットを移動局側装置110から受信してステップ812へ進む。   In step 811, the authentication continuation processing unit 215 of the base station side apparatus 100 receives the ticket from the mobile station side apparatus 110 together with the encrypted authentication data, and proceeds to step 812.

ステップ812で鍵取得処理部216は、移動局側装置110から送信されたチケットをチケット作成鍵で復号化して認証継続用鍵を取り出す。ステップ813で認証継続処理部215は、前記受信した暗号化認証用データを前記取り出した認証継続用鍵で復号化し、認証用データを復元する。   In step 812, the key acquisition processing unit 216 decrypts the ticket transmitted from the mobile station side device 110 with the ticket creation key and extracts the authentication continuation key. In step 813, the authentication continuation processing unit 215 decrypts the received encrypted authentication data with the extracted authentication continuation key, and restores the authentication data.

ステップ814では、その移動局側装置110へ送信した認証用データと、前記復号化した認証用データとを比較し、両者が等しい場合にはステップ815へ進む。ステップ815では、その移動局側装置110を正規の通信相手として基地局側装置100のRAM202に登録する。ステップ816では、前記認証処理の結果として認証の継続が許可されたことを示す情報を移動局側装置110へ送信する。   In step 814, the authentication data transmitted to the mobile station apparatus 110 is compared with the decrypted authentication data, and if both are equal, the process proceeds to step 815. In step 815, the mobile station apparatus 110 is registered in the RAM 202 of the base station apparatus 100 as a regular communication partner. In step 816, information indicating that continuation of authentication is permitted as a result of the authentication processing is transmitted to the mobile station apparatus 110.

ステップ912で移動局側装置110の認証継続要求処理部314は、前記要求した認証処理の結果として、認証の継続が許可されたことを示す情報を基地局側装置100から受信しているかどうかを調べ、認証継続許可を示す情報を受信している場合にはステップ913へ進む。ステップ913では、その基地局側装置100との間の認証処理を完了したことを示す情報を移動局側装置110のRAM302に登録する。   In step 912, the authentication continuation request processing unit 314 of the mobile station side device 110 determines whether information indicating that continuation of authentication is permitted is received from the base station side device 100 as a result of the requested authentication processing. If the information indicating the permission to continue authentication is received, the process proceeds to step 913. In step 913, information indicating that the authentication process with the base station side device 100 has been completed is registered in the RAM 302 of the mobile station side device 110.

本実施形態の通信セキュリティ保持システムでは、前記の認証確立処理や認証継続処理が行われた後、基地局側装置100の通信処理部214と移動局側装置110の通信処理部313との間で通信処理を行う。   In the communication security maintenance system of this embodiment, after the authentication establishment process and the authentication continuation process are performed, between the communication processing unit 214 of the base station side device 100 and the communication processing unit 313 of the mobile station side device 110. Perform communication processing.

以上説明した様に本実施形態の通信セキュリティ保持システムによれば、認証確立時に発行された認証継続用鍵によってそれ以後の認証継続時の認証を行うので、移動局鍵を用いた処理量を削減し、移動局と基地局との間の通信セキュリティを高めることが可能である。   As described above, according to the communication security maintenance system of the present embodiment, authentication at the time of subsequent authentication continuation is performed by the authentication continuation key issued at the time of authentication establishment, so the processing amount using the mobile station key is reduced. In addition, communication security between the mobile station and the base station can be enhanced.

(実施形態2)
以下に基地局側装置やゲートウェイ装置の接続されたネットワーク上での通信のセキュリティを保持する実施形態2の通信セキュリティ保持システムについて説明する。 (Embodiment 2)
A communication security maintaining system according to the second embodiment that maintains communication security on a network to which a base station side device or a gateway device is connected will be described below.

図10は本実施形態の通信セキュリティ保持システムの概略構成を示す図である。図10に示す様に本実施形態の通信セキュリティ保持システムは、基地局側装置1000と、ゲートウェイ装置1010と、認証装置1020と、鍵テーブル1030とを有している。   FIG. 10 is a diagram showing a schematic configuration of the communication security maintenance system of the present embodiment. As shown in FIG. 10, the communication security maintenance system of the present embodiment includes a base station side device 1000, a gateway device 1010, an authentication device 1020, and a key table 1030.

基地局側装置1000は、車両が走行する道路に所定の間隔で設置された基地局側の装置であり、移動局からの要求によりゲートウェイ装置1010との間でセキュリティを保持した通信を行う装置である。   The base station side device 1000 is a base station side device installed at a predetermined interval on the road on which the vehicle travels, and is a device that performs secure communication with the gateway device 1010 in response to a request from the mobile station. is there.

ゲートウェイ装置1010は、基地局側装置1000と外部ネットワークとの間の通信を行う装置であり、基地局側装置1000との間でセキュリティを保持した通信を行う装置である。認証装置1020は、新規にネットワークに接続された基地局側装置1000を認証してサービスIDに対応する鍵を示す鍵テーブル1030の内容を送信し、不正に切断された基地局側装置1000を検出した場合に、前記サービスIDに対応する鍵を更新する装置である。鍵テーブル1030は、送信データの内容を示すサービスIDに対応した鍵を格納するテーブルである。   The gateway device 1010 is a device that performs communication between the base station side device 1000 and an external network, and is a device that performs communication with the base station side device 1000 while maintaining security. The authentication device 1020 authenticates the base station side device 1000 newly connected to the network, transmits the contents of the key table 1030 indicating the key corresponding to the service ID, and detects the base station side device 1000 that has been illegally disconnected. In this case, the device updates the key corresponding to the service ID. The key table 1030 is a table that stores keys corresponding to service IDs indicating the contents of transmission data.

図10に示す様に本実施形態の通信セキュリティ保持システムでは、移動局から路側網を経由した上位網のインターネットへの通信等の際に、自律分散プロトコルにより基地局側装置1000とゲートウェイ装置1010との間で送受信される送信データについて、そのサービスIDに対応する鍵を鍵テーブル1030から読み出して暗号化を行う。   As shown in FIG. 10, in the communication security maintenance system of the present embodiment, the base station side device 1000 and the gateway device 1010 are connected by the autonomous distributed protocol when communicating from the mobile station to the Internet of the higher level network via the roadside network. The key corresponding to the service ID is read from the key table 1030 and is encrypted with respect to transmission data transmitted / received between the two.

図11は本実施形態の基地局側装置1000の概略構成を示す図である。図11に示す様に本実施形態の基地局側装置1000は、CPU1101と、RAM1102と、ROM1103と、入力装置1104と、出力装置1105と、通信装置1106とを有している。   FIG. 11 is a diagram illustrating a schematic configuration of the base station apparatus 1000 according to the present embodiment. As shown in FIG. 11, the base station apparatus 1000 of this embodiment includes a CPU 1101, a RAM 1102, a ROM 1103, an input device 1104, an output device 1105, and a communication device 1106.

CPU1101は、基地局側装置1000全体の動作を制御する装置である。RAM1102は、基地局側装置1000全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。   The CPU 1101 is a device that controls the overall operation of the base station side device 1000. The RAM 1102 is a storage device that loads various processing programs and data for controlling the operation of the entire base station side device 1000.

ROM1103は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置1104は、ゲートウェイ装置1010との通信のセキュリティを保持する為の各種入力を行う装置である。出力装置1105は、前記セキュリティの保持に伴う各種出力を行う装置である。通信装置1106は、ネットワークを介して他の処理装置との通信を行う装置である。   A ROM 1103 is a storage device that stores the various processing programs and data. The input device 1104 is a device that performs various inputs for maintaining security of communication with the gateway device 1010. The output device 1105 is a device that performs various outputs accompanying the maintenance of the security. The communication device 1106 is a device that communicates with other processing devices via a network.

また基地局側装置1000は、暗号化処理部1111と、パケット送出処理部1112と、接続通知処理部1113と、署名送信処理部1114と、生存通知処理部1115とを有している。   In addition, the base station side apparatus 1000 includes an encryption processing unit 1111, a packet transmission processing unit 1112, a connection notification processing unit 1113, a signature transmission processing unit 1114, and a survival notification processing unit 1115.

暗号化処理部1111は、送信データの内容を示すサービスIDに対応した鍵で当該送信データを暗号化して暗号化データを生成する処理部である。パケット送出処理部1112は、前記生成した暗号化データをパケットに格納し、そのパケットのヘッダに前記サービスIDを付加してネットワーク上へ送出する処理部である。   The encryption processing unit 1111 is a processing unit that generates encrypted data by encrypting the transmission data with a key corresponding to a service ID indicating the content of the transmission data. The packet transmission processing unit 1112 is a processing unit that stores the generated encrypted data in a packet, adds the service ID to the header of the packet, and transmits the packet to the network.

接続通知処理部1113は、新規にネットワークに接続された基地局側装置1000を示す接続通知を送信する処理部である。署名送信処理部1114は、認証装置1020から送信された認証用データに対する署名を送信する処理部である。生存通知処理部1115は、認証装置1020から送信された認証用データを暗号化した暗号化認証用データを送信する処理部である。   The connection notification processing unit 1113 is a processing unit that transmits a connection notification indicating the base station device 1000 newly connected to the network. The signature transmission processing unit 1114 is a processing unit that transmits a signature for authentication data transmitted from the authentication device 1020. The existence notification processing unit 1115 is a processing unit that transmits encrypted authentication data obtained by encrypting the authentication data transmitted from the authentication device 1020.

基地局側装置1000を暗号化処理部1111、パケット送出処理部1112、接続通知処理部1113、署名送信処理部1114及び生存通知処理部1115として機能させる為のプログラムは、ROM等の記録媒体に記録されて実行されるものとする。なお前記プログラムを記録する記録媒体はROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。   A program for causing the base station side apparatus 1000 to function as the encryption processing unit 1111, the packet transmission processing unit 1112, the connection notification processing unit 1113, the signature transmission processing unit 1114, and the existence notification processing unit 1115 is recorded on a recording medium such as a ROM. To be executed. The recording medium for recording the program may be a recording medium other than the ROM. The program may be used by installing it from the recording medium into the information processing apparatus, or the program may be used by accessing the recording medium through a network.

図12は本実施形態のゲートウェイ装置1010の概略構成を示す図である。図12に示す様に本実施形態のゲートウェイ装置1010は、CPU1201と、メモリ1202と、磁気ディスク装置1203と、入力装置1204と、出力装置1205と、CD−ROM装置1206と、通信装置1207とを有している。   FIG. 12 is a diagram showing a schematic configuration of the gateway apparatus 1010 of the present embodiment. As shown in FIG. 12, the gateway device 1010 of this embodiment includes a CPU 1201, a memory 1202, a magnetic disk device 1203, an input device 1204, an output device 1205, a CD-ROM device 1206, and a communication device 1207. Have.

CPU1201は、ゲートウェイ装置1010全体の動作を制御する装置である。メモリ1202は、ゲートウェイ装置1010全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。   The CPU 1201 is a device that controls the overall operation of the gateway device 1010. The memory 1202 is a storage device that loads various processing programs and data for controlling the overall operation of the gateway device 1010.

磁気ディスク装置1203は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置1204は、基地局側装置1000との通信のセキュリティを保持する為の各種入力を行う装置である。   The magnetic disk device 1203 is a storage device for storing the various processing programs and data. The input device 1204 is a device that performs various inputs for maintaining security of communication with the base station side device 1000.

出力装置1205は、前記セキュリティの保持に伴う各種出力を行う装置である。CD−ROM装置1206は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置1207は、インターネットやイントラネット等のネットワークを介して他の処理装置との通信を行う装置である。
またゲートウェイ装置1010は、復号化処理部1211と、データ処理部1212とを有している。 The output device 1205 is a device that performs various outputs accompanying the maintenance of the security. A CD-ROM device 1206 is a device for reading the contents of a CD-ROM in which the various processing programs are recorded. The communication device 1207 is a device that communicates with other processing devices via a network such as the Internet or an intranet.
The gateway device 1010 includes a decryption processing unit 1211 and a data processing unit 1212.

復号化処理部1211は、前記ネットワーク上に送出されたパケットを受信して当該パケットのヘッダに付加されたサービスIDが、その装置で提供されるサービスを示している場合に、当該サービスIDに対応する鍵でそのパケット中の暗号化データを復号化する処理部である。データ処理部1212は、前記復号化したデータの内容に従って対応する処理を行う処理部である。   The decryption processing unit 1211 responds to the service ID when the service ID added to the header of the packet received on the network indicates the service provided by the device. The processing unit decrypts the encrypted data in the packet with the key to be used. The data processing unit 1212 is a processing unit that performs a corresponding process according to the content of the decrypted data.

ゲートウェイ装置1010を復号化処理部1211及びデータ処理部1212として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。   A program for causing the gateway device 1010 to function as the decryption processing unit 1211 and the data processing unit 1212 is recorded on a recording medium such as a CD-ROM and stored in a magnetic disk or the like, and then loaded into a memory and executed. And The recording medium for recording the program may be a recording medium other than the CD-ROM. The program may be used by installing it from the recording medium into the information processing apparatus, or the program may be used by accessing the recording medium through a network.

図13は本実施形態の認証装置1020の概略構成を示す図である。図13に示す様に本実施形態の認証装置1020は、CPU1301と、メモリ1302と、磁気ディスク装置1303と、入力装置1304と、出力装置1305と、CD−ROM装置1306と、通信装置1307とを有している。   FIG. 13 is a diagram showing a schematic configuration of the authentication device 1020 of the present embodiment. As shown in FIG. 13, the authentication device 1020 of this embodiment includes a CPU 1301, a memory 1302, a magnetic disk device 1303, an input device 1304, an output device 1305, a CD-ROM device 1306, and a communication device 1307. Have.

CPU1301は、認証装置1020全体の動作を制御する装置である。メモリ1302は、認証装置1020全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。   The CPU 1301 is a device that controls the overall operation of the authentication device 1020. The memory 1302 is a storage device that loads various processing programs and data for controlling the overall operation of the authentication device 1020.

磁気ディスク装置1303は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置1304は、新規に接続された基地局側装置1000や不正に切断された基地局側装置1000を管理する為の各種入力を行う装置である。   A magnetic disk device 1303 is a storage device for storing the various processing programs and data. The input device 1304 is a device that performs various inputs for managing the newly connected base station device 1000 and the illegally disconnected base station device 1000.

出力装置1305は、基地局側装置1000の管理に伴う各種出力を行う装置である。CD−ROM装置1306は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置1307は、インターネットやイントラネット等のネットワークを介して他の処理装置との通信を行う装置である。   The output device 1305 is a device that performs various outputs accompanying management of the base station side device 1000. A CD-ROM device 1306 is a device for reading the contents of a CD-ROM in which the various processing programs are recorded. The communication device 1307 is a device that communicates with other processing devices via a network such as the Internet or an intranet.

また認証装置1020は、認証用データ送信処理部1311と、鍵送信処理部1312と、監視データ送信処理部1313と、鍵更新処理部1314とを有している。   The authentication device 1020 includes an authentication data transmission processing unit 1311, a key transmission processing unit 1312, a monitoring data transmission processing unit 1313, and a key update processing unit 1314.

認証用データ送信処理部1311は、ネットワークに接続された基地局側装置1000を認証する為の認証用データを送信する処理部である。鍵送信処理部1312は、前記送信された署名を検証し、認証された基地局側装置1000に対して、前記サービスIDに対応する鍵を示す鍵テーブル1030を送信する処理部である。   The authentication data transmission processing unit 1311 is a processing unit that transmits authentication data for authenticating the base station apparatus 1000 connected to the network. The key transmission processing unit 1312 is a processing unit that verifies the transmitted signature and transmits a key table 1030 indicating the key corresponding to the service ID to the authenticated base station apparatus 1000.

監視データ送信処理部1313は、ネットワークに接続された基地局側装置1000を監視する為の認証用データを送信する処理部である。鍵更新処理部1314は、前記送信された署名を検証し、不正に切断された基地局側装置1000を検出した場合に、前記サービスIDに対応する鍵を更新する処理部である。   The monitoring data transmission processing unit 1313 is a processing unit that transmits authentication data for monitoring the base station apparatus 1000 connected to the network. The key update processing unit 1314 is a processing unit that verifies the transmitted signature and updates the key corresponding to the service ID when an illegally disconnected base station side device 1000 is detected.

認証装置1020を認証用データ送信処理部1311、鍵送信処理部1312、監視データ送信処理部1313及び鍵更新処理部1314として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。   A program for causing the authentication device 1020 to function as the authentication data transmission processing unit 1311, the key transmission processing unit 1312, the monitoring data transmission processing unit 1313, and the key update processing unit 1314 is recorded on a recording medium such as a CD-ROM. It is assumed that the data is stored in the memory and then loaded into the memory and executed. The recording medium for recording the program may be a recording medium other than the CD-ROM. The program may be used by installing it from the recording medium into the information processing apparatus, or the program may be used by accessing the recording medium through a network.

図14は本実施形態の自律分散システムでの暗号通信処理の概要を示す図である。図14に示す様に本実施形態の通信セキュリティ保持システムでは、送信データのサービスIDに対応する鍵で当該送信データを暗号化してネットワーク上へ送出する。ネットワーク上の各装置は、前記送出されたパケットを受信して当該パケットのヘッダに付加されたサービスIDが、その装置で提供されるサービスを示している場合に、当該サービスIDに対応する鍵でそのパケット中の暗号化データを復号化し、そのデータの内容に応じた処理を行う。   FIG. 14 is a diagram showing an outline of cryptographic communication processing in the autonomous distributed system of this embodiment. As shown in FIG. 14, in the communication security maintenance system of this embodiment, the transmission data is encrypted with a key corresponding to the service ID of the transmission data, and is transmitted onto the network. Each device on the network receives the transmitted packet, and when the service ID added to the header of the packet indicates a service provided by the device, the device uses a key corresponding to the service ID. The encrypted data in the packet is decrypted, and processing corresponding to the content of the data is performed.

以下に、本実施形態の通信セキュリティ保持システムにおいて、送信データを暗号化し、自律分散プロトコルにより基地局側装置1000からゲートウェイ装置1010へ暗号化データを送信する処理手順について説明する。ここでは、基地局側装置1000からゲートウェイ装置1010への暗号通信について説明するが、暗号化処理部1111及びパケット送出処理部1112をゲートウェイ装置1010に、復号化処理部1211とデータ処理部1212を基地局側装置1000に備え、ゲートウェイ装置1010から基地局側装置1000への暗号通信や、基地局側装置1000同士の暗号通信を行っても良い。   The processing procedure for encrypting transmission data and transmitting the encrypted data from the base station side apparatus 1000 to the gateway apparatus 1010 using the autonomous distributed protocol will be described below in the communication security maintenance system of this embodiment. Here, encryption communication from the base station side device 1000 to the gateway device 1010 will be described. The encryption processing unit 1111 and the packet transmission processing unit 1112 are used as the gateway device 1010, and the decryption processing unit 1211 and the data processing unit 1212 are used as the base. In the station side device 1000, encryption communication from the gateway device 1010 to the base station side device 1000 or encryption communication between the base station side devices 1000 may be performed.

図15は本実施形態の基地局側装置1000からのデータ送信処理の処理手順を示すフローチャートである。図15に示す様にステップ1501で基地局側装置1000は、移動局から送信データを受信しているかどうかを調べ、送信データを受信している場合にはステップ1502へ進む。ステップ1502で暗号化処理部1111は、送信データの内容を示すサービスIDに対応した鍵をROM1103中の鍵テーブル1030から読み出す。   FIG. 15 is a flowchart showing a processing procedure of data transmission processing from the base station apparatus 1000 according to the present embodiment. As shown in FIG. 15, the base station apparatus 1000 checks in step 1501 whether or not transmission data is received from the mobile station, and proceeds to step 1502 if transmission data is received. In step 1502, the encryption processing unit 1111 reads the key corresponding to the service ID indicating the content of the transmission data from the key table 1030 in the ROM 1103.

図16は本実施形態の鍵テーブル1030の一例を示す図である。図16に示す様に本実施形態の鍵テーブル1030には、サービスIDに対応する暗号鍵が格納されており、データの内容毎に異なる暗号鍵が格納されている。   FIG. 16 is a diagram showing an example of the key table 1030 of this embodiment. As shown in FIG. 16, in the key table 1030 of this embodiment, encryption keys corresponding to service IDs are stored, and different encryption keys are stored for each data content.

ステップ1503で暗号化処理部1111は、前記読み出した鍵で当該送信データを暗号化して暗号化データを生成する。ステップ1504でパケット送出処理部1112は、前記生成した暗号化データをパケットに格納し、そのパケットのヘッダに前記サービスIDを付加してネットワーク上へ送出する。   In step 1503, the encryption processing unit 1111 encrypts the transmission data with the read key to generate encrypted data. In step 1504, the packet transmission processing unit 1112 stores the generated encrypted data in a packet, adds the service ID to the header of the packet, and transmits the packet to the network.

図17は本実施形態のゲートウェイ装置1010でのデータ受信処理の処理手順を示すフローチャートである。図17に示す様にステップ1701でゲートウェイ装置1010は、ネットワーク上にパケットが送出されているかどうかを調べ、パケットが送出されている場合にはそのパケットを受信してステップ1702へ進む。   FIG. 17 is a flowchart showing a processing procedure of data reception processing in the gateway apparatus 1010 of this embodiment. As shown in FIG. 17, in step 1701, the gateway apparatus 1010 checks whether a packet is transmitted on the network. If a packet is transmitted, the gateway apparatus 1010 receives the packet and proceeds to step 1702.

ステップ1702で復号化処理部1211は、前記受信したパケットのヘッダに付加されているサービスIDを読み出す。ステップ1703では、前記読み出したサービスIDが、その装置で提供されるサービスを示しているかどうかを調べ、その装置で提供されるサービスを示している場合にはステップ1704へ進む。   In step 1702, the decryption processing unit 1211 reads the service ID added to the header of the received packet. In step 1703, it is checked whether or not the read service ID indicates a service provided by the apparatus. If the read service ID indicates a service provided by the apparatus, the process proceeds to step 1704.

ステップ1704では、前記サービスIDに対応する鍵を磁気ディスク装置1203中の鍵テーブル1030から読み出す。ステップ1705では、前記読み出した鍵でそのパケット中の暗号化データを復号化する。ステップ1706でデータ処理部1212は、前記復号化したデータを外部ネットワークへ送出する等、当該データの内容に従って対応する処理を行う。   In step 1704, the key corresponding to the service ID is read from the key table 1030 in the magnetic disk device 1203. In step 1705, the encrypted data in the packet is decrypted with the read key. In step 1706, the data processing unit 1212 performs corresponding processing according to the content of the data, such as sending the decrypted data to an external network.

前記の様に本実施形態では、送信データの内容を示すサービスIDに対応した鍵で送信データを暗号化してネットワーク上へ送出するので、自律分散システムの様に送信先を特定しない放送型の通信を用いた場合でも、そのデータを暗号化して通信のセキュリティを高めることが可能である。   As described above, in this embodiment, since transmission data is encrypted with a key corresponding to a service ID indicating the content of transmission data and transmitted over the network, broadcast-type communication that does not specify a transmission destination as in an autonomous distributed system Even when using, it is possible to increase the security of communication by encrypting the data.

前記の様に通信のセキュリティを高める場合には、鍵テーブル1030を適切に管理する必要がある。以下に、本実施形態の通信セキュリティ保持システムにおいて、新規にネットワーク接続された基地局側装置1000が正規の基地局として認証された後に鍵テーブル1030の内容をその基地局側装置1000へ配送する処理について説明する。   As described above, in order to increase communication security, the key table 1030 needs to be appropriately managed. Hereinafter, in the communication security maintenance system according to the present embodiment, after the newly network-connected base station apparatus 1000 is authenticated as a regular base station, the contents of the key table 1030 are delivered to the base station apparatus 1000. Will be described.

図18は本実施形態の新規基地局の認証処理の概要を示す図である。図18に示す様に本実施形態において、新規にネットワークに接続された基地局側装置1000は認証装置1020に接続通知を送信し、認証装置1020は乱数等の認証用データをその基地局側装置1000へ送信する処理を行う。基地局側装置1000は受信した認証用データに署名を行って認証装置1020に送信し、認証装置1020は、送信された署名を検証した後、鍵テーブル1030をその基地局側装置1000へ送信する処理を行う。   FIG. 18 is a diagram showing an outline of the authentication process of the new base station of this embodiment. As shown in FIG. 18, in this embodiment, the base station side device 1000 newly connected to the network transmits a connection notification to the authentication device 1020, and the authentication device 1020 sends authentication data such as a random number to the base station side device. Processing to transmit to 1000 is performed. The base station side apparatus 1000 signs the received authentication data and transmits it to the authentication apparatus 1020. After verifying the transmitted signature, the authentication apparatus 1020 transmits the key table 1030 to the base station side apparatus 1000. Process.

図19は本実施形態の新規基地局の認証要求処理の処理手順を示すフローチャートである。図19に示す様にステップ1901で基地局側装置1000の接続通知処理部1113は、基地局側装置1000が新規にネットワークに接続されたことを示す接続通知として、接続通知のサービスIDをヘッダに設定したパケットをネットワーク上に送出する。   FIG. 19 is a flowchart showing the processing procedure of the authentication request processing of the new base station of this embodiment. As shown in FIG. 19, in step 1901, the connection notification processing unit 1113 of the base station side device 1000 uses the service ID of the connection notification as a header as a connection notification indicating that the base station side device 1000 is newly connected to the network. Send the set packet over the network.

図20は本実施形態の認証装置1020による新規基地局の認証処理の処理手順を示すフローチャートである。図20に示す様にステップ2001で認証装置1020は、ネットワーク上に送出されているパケットのサービスIDを調べ、接続通知が送出されている場合にはその接続通知を受信してステップ2002へ進む。   FIG. 20 is a flowchart showing a processing procedure of authentication processing of a new base station by the authentication device 1020 of this embodiment. As shown in FIG. 20, in step 2001, the authentication apparatus 1020 checks the service ID of a packet sent out on the network, and if a connection notification is sent, receives the connection notification and proceeds to step 2002.

ステップ2002で認証用データ送信処理部1311は、ネットワークに接続された基地局側装置1000を認証する為の乱数等の認証用データと、認証用の乱数であることを示すサービスIDとを格納したパケットをネットワーク上に送出する。   In step 2002, the authentication data transmission processing unit 1311 stores authentication data such as a random number for authenticating the base station side device 1000 connected to the network, and a service ID indicating the authentication random number. Send the packet over the network.

ステップ1902で基地局側装置1000は、ネットワーク上に送出されているパケットのサービスIDを調べ、認証用データが送出されている場合にはその認証用データを受信してステップ1903へ進む。   In step 1902, the base station apparatus 1000 checks the service ID of the packet transmitted on the network, and if authentication data is transmitted, receives the authentication data and proceeds to step 1903.

ステップ1903で署名送信処理部1114は、前記受信した認証用データに対してその基地局側装置1000の秘密鍵を用いてデジタル署名を行う。ステップ1904では、前記デジタル署名を行った認証用データと、新規接続時の署名であることを示すサービスIDとを格納したパケットをネットワーク上に送出する。   In step 1903, the signature transmission processing unit 1114 performs a digital signature on the received authentication data using the secret key of the base station apparatus 1000. In step 1904, a packet storing the authentication data for which the digital signature has been performed and the service ID indicating the signature at the time of new connection is transmitted to the network.

ステップ2003で認証装置1020は、ネットワーク上に送出されているパケットのサービスIDを調べ、新規接続時の署名が送出されている場合にはその新規接続時の署名を受信してステップ2004へ進む。   In step 2003, the authentication apparatus 1020 checks the service ID of the packet transmitted on the network, and if a signature at the time of new connection is transmitted, receives the signature at the time of new connection, and proceeds to step 2004.

ステップ2004で鍵送信処理部1312は、前記送信された署名をその基地局側装置1000の公開鍵を用いて検証する。なお基地局側装置1000の公開鍵は予め認証装置1020に登録されているものとする。   In step 2004, the key transmission processing unit 1312 verifies the transmitted signature using the public key of the base station side device 1000. It is assumed that the public key of the base station side device 1000 is registered in the authentication device 1020 in advance.

ステップ2005では、前記検証結果を参照し、前記送信された署名が正規の基地局側装置1000から送信されていることが検証された場合にはステップ2006へ進む。ステップ2006では、鍵テーブル1030を前記認証された基地局側装置1000の公開鍵で暗号化して鍵配布データを生成し、この鍵配布データと、鍵配布であることを示すサービスIDとを格納したパケットをネットワーク上に送出する。   In step 2005, the verification result is referred to, and if it is verified that the transmitted signature is transmitted from the legitimate base station side apparatus 1000, the process proceeds to step 2006. In step 2006, key distribution data is generated by encrypting the key table 1030 with the public key of the authenticated base station side device 1000, and this key distribution data and a service ID indicating key distribution are stored. Send the packet over the network.

ステップ1905で基地局側装置1000は、ネットワーク上に送出されているパケットのサービスIDを調べ、鍵配布データが送出されている場合にはその鍵配布データを受信してステップ1906へ進む。ステップ1906では、前記受信した鍵配布データをその基地局側装置1000の秘密鍵で復号化して鍵テーブル1030を復元し、ROM1103へ格納する。   In step 1905, the base station apparatus 1000 checks the service ID of the packet transmitted on the network. If the key distribution data is transmitted, the base station apparatus 1000 receives the key distribution data and proceeds to step 1906. In step 1906, the received key distribution data is decrypted with the secret key of the base station apparatus 1000 to restore the key table 1030 and store it in the ROM 1103.

次に、本実施形態の通信セキュリティ保持システムにおいて、不正に切断された基地局側装置1000を検出して鍵テーブル1030の内容を変更する処理について説明する。   Next, in the communication security maintenance system of this embodiment, a process for detecting the base station apparatus 1000 that has been illegally disconnected and changing the contents of the key table 1030 will be described.

図21は本実施形態の基地局の監視処理の概要を示す図である。図21に示す様に本実施形態において、認証装置1020は、ネットワークに接続された基地局側装置1000を認証する為の乱数等の認証用データを所定の条件に従って送信し、各基地局側装置1000は、受信した認証用データに署名を行って認証装置1020に送信する。認証装置1020は、送信された署名を検証し、不正に切断された基地局側装置1000を検出した場合に、前記サービスIDに対応する鍵を更新した新しい鍵テーブル1030を各基地局側装置1000へ送信する。   FIG. 21 is a diagram showing an outline of the monitoring process of the base station of this embodiment. As shown in FIG. 21, in this embodiment, the authentication device 1020 transmits authentication data such as a random number for authenticating the base station side device 1000 connected to the network according to a predetermined condition, and each base station side device 1000 signs the received authentication data and transmits it to the authentication device 1020. When the authentication apparatus 1020 verifies the transmitted signature and detects the base station side apparatus 1000 that has been illegally disconnected, the authentication apparatus 1020 generates a new key table 1030 in which the key corresponding to the service ID is updated. Send to.

図22は本実施形態の基地局の監視処理の処理手順を示すフローチャートである。図22に示す様にステップ2201で認証装置1020の監視データ送信処理部1313は、所定時間の経過等の条件が成立すると、ネットワークに接続された基地局側装置1000を監視する為の乱数等の認証用データと、監視用の認証用データであることを示すサービスIDとを格納したパケットをネットワーク上に送出する。   FIG. 22 is a flowchart showing the processing procedure of the base station monitoring processing of this embodiment. As shown in FIG. 22, in step 2201, the monitoring data transmission processing unit 1313 of the authentication device 1020 uses a random number or the like for monitoring the base station side device 1000 connected to the network when a condition such as elapse of a predetermined time is satisfied. A packet storing authentication data and a service ID indicating monitoring authentication data is transmitted over the network.

各基地局側装置1000の生存通知処理部1115は、ネットワーク上に送出されているパケットのサービスIDを調べ、監視用の認証用データが送出されている場合にはその認証用データを受信して、生存通知であることを示すサービスIDに対応した鍵を鍵テーブル1030から読み出して前記認証用データを暗号化し、その暗号化認証用データと、生存通知であることを示すサービスIDとを格納したパケットをネットワーク上に送出する。   The existence notification processing unit 1115 of each base station side device 1000 checks the service ID of the packet transmitted on the network, and receives the authentication data when monitoring authentication data is transmitted. The key corresponding to the service ID indicating the existence notification is read from the key table 1030 and the authentication data is encrypted, and the encrypted authentication data and the service ID indicating the existence notification are stored. Send the packet over the network.

ステップ2202で認証装置1020は、ネットワーク上に送出されているパケットのサービスIDを調べ、生存通知が送出されている場合にはその生存通知用を受信してステップ2203へ進む。   In step 2202, the authentication apparatus 1020 checks the service ID of the packet transmitted on the network, and if a life notification is transmitted, receives the life notification and proceeds to step 2203.

ステップ2203で鍵更新処理部1314は、前記送信された生存通知中の暗号化認証用データをそのサービスIDに対応した鍵を用いて復号化する。ステップ2204では、前記送信した認証用データと前記復号化した認証用データが一致するかどうかを調べ、両者が一致する場合にはステップ2205へ進む。   In step 2203, the key update processing unit 1314 decrypts the transmitted encrypted authentication data in the life notification using a key corresponding to the service ID. In step 2204, it is checked whether or not the transmitted authentication data matches the decrypted authentication data. If they match, the process proceeds to step 2205.

ステップ2205では、ネットワーク上に接続された全ての基地局側装置1000からの生存通知を受信したかどうかを調べ、まだ生存通知を受信していない基地局側装置1000がある場合にはステップ2202へ戻る。   In step 2205, it is checked whether or not the survival notifications from all the base station side devices 1000 connected on the network have been received, and if there is a base station side device 1000 that has not yet received the survival notifications, go to step 2202. Return.

ステップ2202では、ネットワーク上に送出されているパケットのサービスIDを調べ、生存通知が送出されていない場合にはステップ2206へ進む。ステップ2206では、認証用データを送出してから所定の時間が経過したかどうかを調べ、所定の時間が経過した場合には不正に切断された基地局側装置1000があるものとしてステップ2207へ進む。   In step 2202, the service ID of the packet transmitted on the network is checked, and if no survival notification is transmitted, the process proceeds to step 2206. In step 2206, it is checked whether or not a predetermined time has passed since the authentication data was sent. If the predetermined time has passed, it is assumed that there is an illegally disconnected base station apparatus 1000 and the process proceeds to step 2207. .

ステップ2207で鍵更新処理部1314は、サービスIDに対応する鍵を更新した鍵テーブル1030を生成し、鍵更新であることを示すサービスIDに対応した鍵で前記更新後の鍵テーブル1030を暗号化して鍵配布データを生成し、その鍵配布データと、鍵配布であることを示すサービスIDとを格納したパケットをネットワーク上に送出する。   In step 2207, the key update processing unit 1314 generates a key table 1030 in which the key corresponding to the service ID is updated, and encrypts the updated key table 1030 with the key corresponding to the service ID indicating key update. Key distribution data is generated, and a packet storing the key distribution data and a service ID indicating key distribution is transmitted to the network.

各基地局側装置1000は、ネットワーク上に送出されているパケットのサービスIDを調べ、鍵更新による鍵配布データが送出されている場合にはその鍵配布データを受信して、鍵更新であることを示すサービスIDに対応した鍵を鍵テーブル1030から読み出して前記鍵配布データを復号化し、その復号化した鍵データをROM1103中の鍵テーブル1030に格納して鍵データの更新を行う。   Each base station side device 1000 checks the service ID of the packet transmitted on the network, and if the key distribution data by key update is transmitted, receives the key distribution data and performs the key update Is read from the key table 1030, the key distribution data is decrypted, the decrypted key data is stored in the key table 1030 in the ROM 1103, and the key data is updated.

前記の様に本実施形態の通信セキュリティ保持システムでは、新規にネットワーク接続された基地局側装置1000が正規の基地局として認証された後に鍵テーブル1030の内容を配送し、また不正に切断された基地局側装置1000を検出して鍵テーブル1030の内容を変更するので、サービスIDに対応する鍵を用いた暗号化通信のセキュリティを高めることが可能である。   As described above, in the communication security maintenance system of this embodiment, after the base station side device 1000 newly connected to the network is authenticated as a legitimate base station, the contents of the key table 1030 are delivered and illegally disconnected. Since the base station apparatus 1000 is detected and the contents of the key table 1030 are changed, it is possible to increase the security of encrypted communication using the key corresponding to the service ID.

以上説明した様に本実施形態の通信セキュリティ保持システムによれば、送信データの内容を示すサービスIDに対応した鍵で送信データを暗号化してネットワーク上へ送出するので、送信先を特定しない放送型の通信を用いた場合でもその通信のセキュリティを高めることが可能である。   As described above, according to the communication security maintenance system of the present embodiment, the transmission data is encrypted with the key corresponding to the service ID indicating the content of the transmission data and transmitted to the network. Even in the case of using this communication, it is possible to increase the security of the communication.

実施形態1の通信セキュリティ保持システムの概略構成を示す図である。It is a figure which shows schematic structure of the communication security maintenance system of Embodiment 1. FIG. 実施形態1の基地局側装置100の概略構成を示す図である。1 is a diagram illustrating a schematic configuration of a base station side device 100 according to Embodiment 1. FIG. 実施形態1の移動局側装置110の概略構成を示す図である。FIG. 2 is a diagram illustrating a schematic configuration of a mobile station side device 110 according to the first embodiment. 実施形態1の認証確立処理の概要を示す図である。It is a figure which shows the outline | summary of the authentication establishment process of Embodiment 1. FIG. 実施形態1の認証確立処理のシーケンスを示す図である。It is a figure which shows the sequence of the authentication establishment process of Embodiment 1. FIG. 実施形態1の認証継続処理の概要を示す図である。It is a figure which shows the outline | summary of the authentication continuation process of Embodiment 1. FIG. 実施形態1の認証継続処理のシーケンスを示す図である。It is a figure which shows the sequence of the authentication continuation process of Embodiment 1. FIG. 実施形態1の基地局側装置100による移動局側装置110の認証確立処理及び認証継続処理の処理手順を示すフローチャートである。6 is a flowchart illustrating a processing procedure of authentication establishment processing and authentication continuation processing of the mobile station side device 110 by the base station side device 100 according to the first embodiment. 実施形態1の移動局側装置110から基地局側装置100への認証確立要求処理及び認証継続要求処理の処理手順を示すフローチャートである。4 is a flowchart illustrating a processing procedure of authentication establishment request processing and authentication continuation request processing from the mobile station side device 110 to the base station side device 100 according to the first embodiment. 実施形態2の通信セキュリティ保持システムの概略構成を示す図である。It is a figure which shows schematic structure of the communication security maintenance system of Embodiment 2. 実施形態2の基地局側装置1000の概略構成を示す図である。It is a figure which shows schematic structure of the base station side apparatus 1000 of Embodiment 2. FIG. 実施形態2のゲートウェイ装置1010の概略構成を示す図である。It is a figure which shows schematic structure of the gateway apparatus 1010 of Embodiment 2. FIG. 実施形態2の認証装置1020の概略構成を示す図である。It is a figure which shows schematic structure of the authentication apparatus 1020 of Embodiment 2. FIG. 実施形態2の自律分散システムでの暗号通信処理の概要を示す図である。It is a figure which shows the outline | summary of the encryption communication process in the autonomous distributed system of Embodiment 2. FIG. 実施形態2の基地局側装置1000からのデータ送信処理の処理手順を示すフローチャートである。10 is a flowchart illustrating a processing procedure of data transmission processing from the base station side device 1000 according to the second embodiment. 実施形態2の鍵テーブル1030の一例を示す図である。It is a figure which shows an example of the key table 1030 of Embodiment 2. FIG. 実施形態2のゲートウェイ装置1010でのデータ受信処理の処理手順を示すフローチャートである。14 is a flowchart illustrating a processing procedure of data reception processing in the gateway device 1010 according to the second embodiment. 実施形態2の新規基地局の認証処理の概要を示す図である。It is a figure which shows the outline | summary of the authentication process of the new base station of Embodiment 2. FIG. 実施形態2の新規基地局の認証要求処理の処理手順を示すフローチャートである。6 is a flowchart illustrating a processing procedure for authentication request processing of a new base station according to the second embodiment. 実施形態2の認証装置1020による新規基地局の認証処理の処理手順を示すフローチャートである。10 is a flowchart illustrating a processing procedure of a new base station authentication process performed by the authentication apparatus 1020 according to the second embodiment. 実施形態2の基地局の監視処理の概要を示す図である。It is a figure which shows the outline | summary of the monitoring process of the base station of Embodiment 2. FIG. 実施形態2の基地局の監視処理の処理手順を示すフローチャートである。7 is a flowchart illustrating a processing procedure of a base station monitoring process according to the second embodiment.

符号の説明Explanation of symbols

100…基地局側装置、110…移動局側装置、201…CPU、202…RAM、203…ROM、204…入力装置、205…出力装置、206…通信装置、211…認証処理部、212…鍵生成処理部、213…チケット・鍵発行処理部、214…通信処理部、215…認証継続処理部、216…鍵取得処理部、301…CPU、302…RAM、303…ROM、304…入力装置、305…出力装置、306…通信装置、311…認証要求処理部、312…チケット・鍵取得処理部、313…通信処理部、314…認証継続要求処理部、1000…基地局側装置、1010…ゲートウェイ装置、1020…認証装置、1030…鍵テーブル、1101…CPU、1102…RAM、1103…ROM、1104…入力装置、1105…出力装置、1106…通信装置、1111…暗号化処理部、1112…パケット送出処理部、1113…接続通知処理部、1114…署名送信処理部、1115…生存通知処理部、1201…CPU、1202…メモリ、1203…磁気ディスク装置、1204…入力装置、1205…出力装置、1206…CD−ROM装置、1207…通信装置、1211…復号化処理部、1212…データ処理部、1301…CPU、1302…メモリ、1303…磁気ディスク装置、1304…入力装置、1305…出力装置、1306…CD−ROM装置、1307…通信装置、1311…認証用データ送信処理部、1312…鍵送信処理部、1313…監視データ送信処理部、1314…鍵更新処理部。   DESCRIPTION OF SYMBOLS 100 ... Base station side device, 110 ... Mobile station side device, 201 ... CPU, 202 ... RAM, 203 ... ROM, 204 ... Input device, 205 ... Output device, 206 ... Communication device, 211 ... Authentication processing part, 212 ... Key Generation processing unit, 213 ... Ticket / key issuing processing unit, 214 ... Communication processing unit, 215 ... Authentication continuation processing unit, 216 ... Key acquisition processing unit, 301 ... CPU, 302 ... RAM, 303 ... ROM, 304 ... Input device, 305 ... Output device, 306 ... Communication device, 311 ... Authentication request processing unit, 312 ... Ticket / key acquisition processing unit, 313 ... Communication processing unit, 314 ... Authentication continuation request processing unit, 1000 ... Base station side device, 1010 ... Gateway Device, 1020 ... Authentication device, 1030 ... Key table, 1101 ... CPU, 1102 ... RAM, 1103 ... ROM, 1104 ... Input device, 110 ... output device, 1106 ... communication device, 1111 ... encryption processing unit, 1112 ... packet transmission processing unit, 1113 ... connection notification processing unit, 1114 ... signature transmission processing unit, 1115 ... survival notification processing unit, 1201 ... CPU, 1202 ... Memory 1203 Magnetic disk device 1204 Input device 1205 Output device 1206 CD-ROM device 1207 Communication device 1211 Decoding processing unit 1212 Data processing unit 1301 CPU 1302 Memory 1303 Magnetic disk device 1304 Input device 1305 Output device 1306 CD-ROM device 1307 Communication device 1311 Authentication data transmission processing unit 1312 Key transmission processing unit 1313 Monitoring data transmission Processing unit, 1314... Key update processing unit.

Claims (5)

基地局側装置及びゲートウェイ装置の接続されたネットワーク上での通信のセキュリティを保持する通信セキュリティ保持方法において、
新規にネットワークに接続された基地局側装置が、接続通知を認証装置に送信するステップと、
認証装置が、新規にネットワークに接続された基地局側装置から前記接続通知が送信された場合に、その基地局側装置を認証する為の認証用データを送信するステップと、
新規にネットワークに接続された基地局側装置が、認証装置から送信された認証用データに対して当該基地局側装置の秘密鍵を用いて署名を行い、署名を行った認証用データを認証装置に送信するステップと、
認証装置が、前記送信された署名を新規にネットワークに接続された基地局側装置の公開鍵を用いて検証し、認証された新規にネットワークに接続された基地局側装置に対して、サービスIDに対応する鍵を示す鍵テーブルを送信するステップと、
基地局側装置及びゲートウェイ装置の一方の装置である第1の装置が、送信データの内容を示すサービスIDに対応した鍵で当該送信データを暗号化して暗号化データを生成するステップと、
前記第1の装置が、前記生成した暗号化データをパケットに格納し、そのパケットのヘッダに前記サービスIDを付加してネットワーク上へ送出するステップと、
前記第1の装置が基地局側装置である場合はゲートウェイ装置又は他の基地局側装置であり、前記第1の装置がゲートウェイ装置である場合は基地局側装置である第2の装置が、前記ネットワーク上に送出されたパケットを受信して当該パケットのヘッダに付加されたサービスIDが、その装置で提供されるサービスを示している場合に、当該サービスIDに対応する鍵でそのパケット中の暗号化データを復号化するステップと、
前記第2の装置が、前記復号化したデータの内容に従って対応する処理を行うステップとを有することを特徴とする通信セキュリティ保持方法。 In a communication security maintaining method for maintaining communication security on a network to which a base station side device and a gateway device are connected,
The base station side device newly connected to the network transmits a connection notification to the authentication device; and
An authentication device, when the connection notification is transmitted from a base station device newly connected to the network, transmitting authentication data for authenticating the base station device;
The base station side device newly connected to the network signs the authentication data transmitted from the authentication device using the secret key of the base station side device, and the authentication data that has been signed is the authentication device Sending to
The authentication device verifies the transmitted signature using the public key of the base station side device newly connected to the network, and provides a service ID to the authenticated new base station side device connected to the network. Sending a key table indicating keys corresponding to
A first device, which is one of the base station side device and the gateway device, encrypts the transmission data with a key corresponding to a service ID indicating the content of the transmission data, and generates encrypted data;
The first device storing the generated encrypted data in a packet, adding the service ID to the header of the packet and sending it over the network;
When the first device is a base station side device, it is a gateway device or another base station side device, and when the first device is a gateway device, the second device is a base station side device, When the service ID received in the packet received on the network and added to the header of the packet indicates a service provided by the device, the key in the packet is used with the key corresponding to the service ID. Decrypting the encrypted data; and
The second apparatus includes a step of performing a corresponding process according to the content of the decrypted data. 認証装置が、ネットワークに接続された基地局側装置を監視する為の認証用データを送信するステップと、
基地局側装置が、前記送信された認証用データを生存通知であることを示すサービスIDに対応した鍵で暗号化した暗号化認証用データを認証装置へ送信するステップと、
認証装置が、前記送信された暗号化認証用データを生存通知であることを示すサービスIDに対応した鍵で検証し、認証用データを送出してから所定の時間が経過しても生存通知を受信していない基地局側装置があることによって不正に切断された基地局側装置を検出した場合に、認証装置が、前記不正に切断された基地局側装置に関連するサービスIDに対応する鍵を更新し配布することにより、前記不正に切断された基地局以外の残りの基地局が持つ前記サービスIDに対応する鍵を更新するステップを有することを特徴とする請求項1に記載された通信セキュリティ保持方法。 An authentication device transmitting authentication data for monitoring a base station device connected to the network;
The base station side device transmitting the transmitted authentication data to the authentication device, the encrypted authentication data encrypted with the key corresponding to the service ID indicating the existence notification ;
Authentication device, the transmitted encrypted authentication data verified by key corresponding to the service ID indicating the living notification, the living notification even after a predetermined time after sending the authentication data The key corresponding to the service ID related to the illegally disconnected base station apparatus when the authentication apparatus detects an illegally disconnected base station apparatus when there is a base station apparatus that has not received 2. The communication according to claim 1, further comprising: updating a key corresponding to the service ID of the remaining base station other than the illegally disconnected base station by updating and distributing Security preservation method. 基地局側装置やゲートウェイ装置の接続されたネットワーク上での通信のセキュリティを保持する通信セキュリティ保持システムにおいて、
新規にネットワークに接続された基地局側装置が、
接続通知を認証装置に送信する接続通知処理部と、
認証装置から送信された認証用データに対して当該基地局側装置の秘密鍵を用いて署名を行い、署名を行った認証用データを認証装置に送信する署名送信処理部と、
を備え、
認証装置が、
新規にネットワークに接続された基地局側装置から前記接続通知が送信された場合に、その基地局側装置を認証する為の認証用データを送信する認証用データ送信処理部と、
前記送信された署名を新規にネットワークに接続された基地局側装置の公開鍵を用いて検証し、認証された新規にネットワークに接続された基地局側装置に対して、サービスIDに対応する鍵を示す鍵テーブルを送信する鍵送信処理部と、
を備え、
基地局側装置及びゲートウェイ装置の一方の装置である第1の装置が、
送信データの内容を示すサービスIDに対応した鍵で当該送信データを暗号化して暗号化データを生成する暗号化処理部と、
前記生成した暗号化データをパケットに格納し、そのパケットのヘッダに前記サービスIDを付加してネットワーク上へ送出するパケット送出処理部と、
を備え、
前記第1の装置が基地局側装置である場合はゲートウェイ装置又は他の基地局側装置であり、前記第1の装置がゲートウェイ装置である場合は基地局側装置である第2の装置が、前記ネットワーク上に送出されたパケットを受信して当該パケットのヘッダに付加されたサービスIDが、その装置で提供されるサービスを示している場合に、当該サービスIDに対応する鍵でそのパケット中の暗号化データを復号化する復号化処理部を備え、
前記第2の装置が、前記復号化したデータの内容に従って対応する処理を行うデータ処理部とを備えることを特徴とする通信セキュリティ保持システム。 In the communication security maintenance system that maintains the security of communication on the network to which the base station side device or gateway device is connected,
A base station side device newly connected to the network
A connection notification processing unit for transmitting a connection notification to the authentication device;
A signature transmission processing unit for signing the authentication data transmitted from the authentication device using the secret key of the base station side device, and transmitting the signed authentication data to the authentication device;
With
The authentication device
An authentication data transmission processing unit for transmitting authentication data for authenticating the base station side device when the connection notification is transmitted from a base station side device newly connected to the network;
The transmitted signature is verified using the public key of the base station side device newly connected to the network, and the key corresponding to the service ID for the newly authenticated base station side device connected to the network A key transmission processing unit for transmitting a key table indicating:
With
The first device, which is one of the base station side device and the gateway device,
An encryption processing unit that encrypts the transmission data with a key corresponding to a service ID indicating the content of the transmission data and generates encrypted data;
A packet transmission processing unit that stores the generated encrypted data in a packet, adds the service ID to a header of the packet, and transmits the packet to the network;
With
When the first device is a base station side device, it is a gateway device or another base station side device, and when the first device is a gateway device, the second device is a base station side device, When the service ID received in the packet received on the network and added to the header of the packet indicates a service provided by the device, the key in the packet is used with the key corresponding to the service ID. A decryption processing unit for decrypting the encrypted data ;
The communication security holding system, wherein the second device includes a data processing unit that performs a corresponding process according to the content of the decrypted data. 基地局側装置が、前記送信された認証用データを生存通知であることを示すサービスIDに対応した鍵で基地局側装置で暗号化した暗号化認証用データを送信する生存通知処理部を備え
認証装置が、
ネットワークに接続された基地局側装置を監視する為の認証用データを送信する監視データ送信処理部と、
前記送信された暗号化認証用データを生存通知であることを示すサービスIDに対応した鍵で検証し、認証用データを送出してから所定の時間が経過しても生存通知を受信していない基地局側装置があることによって不正に切断された基地局側装置を検出した場合に、認証装置が、前記不正に切断された基地局側装置に関連するサービスIDに対応する鍵を更新し配布することにより、前記不正に切断された基地局以外の残りの基地局が持つ前記サービスIDに対応する鍵を更新する鍵更新処理部とを備えることを特徴とする請求項に記載された通信セキュリティ保持システム。 A base station side device includes a life notification processing unit for transmitting encrypted authentication data encrypted by the base station side device with a key corresponding to a service ID indicating that the transmitted authentication data is a life notification. ,
The authentication device
A monitoring data transmission processing unit for transmitting authentication data for monitoring a base station side device connected to the network;
The transmitted encrypted authentication data is verified with the key corresponding to the service ID indicating the existence notification, and the existence notification is not received even after a predetermined time has passed since the authentication data was transmitted. When a base station side device that is illegally disconnected due to the presence of the base station side device is detected, the authentication device updates and distributes a key corresponding to the service ID associated with the illegally disconnected base station side device by the communication of claim 3, characterized in that it comprises a key update processor for updating the key corresponding to the service ID which the illegally cut remaining base stations other than the base station has Security retention system. 基地局側装置やゲートウェイ装置の接続されたネットワーク上での通信のセキュリティを保持する通信セキュリティ保持システムとしてコンピュータを機能させる為のプログラムにおいて、
新規にネットワークに接続された基地局側装置が、
接続通知を認証装置に送信する接続通知処理部と、
認証装置から送信された認証用データに対して当該基地局側装置の秘密鍵を用いて署名を行い、署名を行った認証用データを認証装置に送信する署名送信処理部と、
を備え、
認証装置が、
新規にネットワークに接続された基地局側装置から前記接続通知が送信された場合に、その基地局側装置を認証する為の認証用データを送信する認証用データ送信処理部と、
前記送信された署名を新規にネットワークに接続された基地局側装置の公開鍵を用いて検証し、認証された新規にネットワークに接続された基地局側装置に対して、サービスIDに対応する鍵を示す鍵テーブルを送信する鍵送信処理部と、
を備え、
基地局側装置及びゲートウェイ装置の一方の装置である第1の装置が、
送信データの内容を示すサービスIDに対応した鍵で当該送信データを暗号化して暗号化データを生成する暗号化処理部と、
前記生成した暗号化データをパケットに格納し、そのパケットのヘッダに前記サービスIDを付加してネットワーク上へ送出するパケット送出処理部と、
を備え、
前記第1の装置が基地局側装置である場合はゲートウェイ装置又は他の基地局側装置であり、前記第1の装置がゲートウェイ装置である場合は基地局側装置である第2の装置が、前記ネットワーク上に送出されたパケットを受信して当該パケットのヘッダに付加されたサービスIDが、その装置で提供されるサービスを示している場合に、当該サービスIDに対応する鍵でそのパケット中の暗号化データを復号化する復号化処理部を備え、
前記第2の装置が、前記復号化したデータの内容に従って対応する処理を行うデータ処理部とを備える通信セキュリティ保持システムとしてコンピュータを機能させることを特徴とするプログラム。 In a program for causing a computer to function as a communication security holding system that holds communication security over a network to which a base station side device or a gateway device is connected,
A base station side device newly connected to the network
A connection notification processing unit for transmitting a connection notification to the authentication device;
A signature transmission processing unit for signing the authentication data transmitted from the authentication device using the secret key of the base station side device, and transmitting the signed authentication data to the authentication device;
With
The authentication device
An authentication data transmission processing unit for transmitting authentication data for authenticating the base station side device when the connection notification is transmitted from a base station side device newly connected to the network;
The transmitted signature is verified using the public key of the base station side device newly connected to the network, and the key corresponding to the service ID for the newly authenticated base station side device connected to the network A key transmission processing unit for transmitting a key table indicating:
With
The first device, which is one of the base station side device and the gateway device,
An encryption processing unit that encrypts the transmission data with a key corresponding to a service ID indicating the content of the transmission data and generates encrypted data;
A packet transmission processing unit that stores the generated encrypted data in a packet, adds the service ID to a header of the packet, and transmits the packet to the network;
With
When the first device is a base station side device, it is a gateway device or another base station side device, and when the first device is a gateway device, the second device is a base station side device, When the service ID received in the packet received on the network and added to the header of the packet indicates a service provided by the device, the key in the packet is used with the key corresponding to the service ID. A decryption processing unit for decrypting the encrypted data ;
A program that causes a computer to function as a communication security holding system , wherein the second device includes a data processing unit that performs corresponding processing according to the content of the decrypted data.
JP2007011565A 2007-01-22 2007-01-22 COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF Expired - Fee Related JP4540681B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007011565A JP4540681B2 (en) 2007-01-22 2007-01-22 COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007011565A JP4540681B2 (en) 2007-01-22 2007-01-22 COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2001095052A Division JP3920583B2 (en) 2001-03-29 2001-03-29 COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF

Publications (2)

Publication Number Publication Date
JP2007104733A JP2007104733A (en) 2007-04-19
JP4540681B2 true JP4540681B2 (en) 2010-09-08

Family

ID=38031121

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007011565A Expired - Fee Related JP4540681B2 (en) 2007-01-22 2007-01-22 COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF

Country Status (1)

Country Link
JP (1) JP4540681B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5431623B2 (en) * 2011-08-18 2014-03-05 三洋電機株式会社 Communication device
JP6335570B2 (en) * 2013-03-29 2018-05-30 パナソニック株式会社 Wireless device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10112883A (en) * 1996-10-07 1998-04-28 Hitachi Ltd Radio communication exchange system, exchange, public key management device, mobile terminal and mobile terminal recognizing method
JPH11243388A (en) * 1998-02-26 1999-09-07 Mitsubishi Electric Corp Cipher communication system
JPH11313374A (en) * 1998-04-28 1999-11-09 Toshiba Corp Mobile data communication system, its mobile terminal set and data communication equipment
JP2001045540A (en) * 1999-07-28 2001-02-16 Nec Corp Mobile communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10112883A (en) * 1996-10-07 1998-04-28 Hitachi Ltd Radio communication exchange system, exchange, public key management device, mobile terminal and mobile terminal recognizing method
JPH11243388A (en) * 1998-02-26 1999-09-07 Mitsubishi Electric Corp Cipher communication system
JPH11313374A (en) * 1998-04-28 1999-11-09 Toshiba Corp Mobile data communication system, its mobile terminal set and data communication equipment
JP2001045540A (en) * 1999-07-28 2001-02-16 Nec Corp Mobile communication system

Also Published As

Publication number Publication date
JP2007104733A (en) 2007-04-19

Similar Documents

Publication Publication Date Title
JP3920583B2 (en) COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF
US8978097B2 (en) Method and system for authentication based on wireless identification, wireless identification and server
US9601016B2 (en) Communication system, vehicle-mounted terminal, roadside device
JP6065113B2 (en) Data authentication apparatus and data authentication method
WO2017101310A1 (en) Remote control method, device and system for vehicle
JP5587239B2 (en) Vehicle-to-vehicle / road-vehicle communication system
US20110191581A1 (en) Method and system for use in managing vehicle digital certificates
US20130230173A1 (en) Communication apparatus for transmitting or receiving a signal including predetermind information
KR101838511B1 (en) Method of providing security for controller using encryption and appratus for implementing the same
US20220158853A1 (en) Cryptographic methods and systems using activation codes for digital certificate revocation
JP5350560B1 (en) Roadside equipment and in-vehicle equipment
JP2007088737A (en) Inter-road-vehicle communication system and method, and on-vehicle terminal
JP2008060789A (en) Public key distribution system and public key distribution method
KR101314751B1 (en) Apparatus for managing installation of DRM and method thereof
JP5016394B2 (en) Wireless control security system
WO2021126554A1 (en) Privacy-preserving delivery of activation codes for pseudonym certificates
CN101321056A (en) Method, equipment and system for forwarding permission
CN100407190C (en) Service providing method, system and program
JP5503692B2 (en) Wireless control security system
CN108632037B (en) Public key processing method and device of public key infrastructure
KR20190056661A (en) Secure Communication Method through RSU-based Group Key in Vehicular Network
JP4540681B2 (en) COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF
KR20110058067A (en) System and method for authenticating sink using mobile network
CN115706929A (en) Vehicle road information interaction method, system and related equipment
JP2002112337A (en) Communication system between road side and vehicle and its mobile station device, base station device, and base station management device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100406

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100622

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100622

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees