実施の形態1.
実施の形態1では、鍵変更命令により運用鍵が変更される場合に、次運用鍵として使用済の運用鍵が用いられないように制御するセキュリティ支援装置を衛星側に設ける例について説明する。
この実施の形態では、運用鍵が使用済であるか否かを示す鍵ステータス等を記憶する使用ステータス管理テーブルを用いて次運用鍵として使用済の運用鍵が用いられないように制御する。
まず、この実施の形態及び後述する実施の形態におけるセキュリティ支援装置30のハードウェア構成について説明する。図1は、セキュリティ支援装置30のハードウェア構成の一例を示す図である。
セキュリティ支援装置30は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、処理装置の一例である。CPU911は、バス912を介してROM913、RAM914、通信ボード915と接続され、これらのハードウェアデバイスを制御する。
ROM913は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914とは、記憶装置の一例である。通信ボード915は、入力装置、出力装置、通信装置の一例である。
ROM913には、例えば、オペレーティングシステム(OS)、プログラム群、データ群が記憶されている。プログラム群のプログラムは、CPU911、オペレーティングシステムにより実行される。
上記プログラム群には、以下の説明において「鍵ステータス記憶部31」、「鍵ステータス判定部32」、「制御部33」、「カウンタ部34」、「鍵変更判断支援部35」等として説明する機能を実行するプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
データ群には、以下の説明において、「暗号化したコマンド」、「セキュアコマンド」、「鍵ステータス」、「コマンドを通信した回数」、「鍵変更判断支援情報」等として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリ等の記録媒体に記憶される。ディスクやメモリ等の記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示等のCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示等のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアのみ、あるいは、素子・デバイス・基板・配線等のハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータ等を機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータ等に実行させるものである。
次に、この実施の形態及び後述する実施の形態に係る衛星通信システム(コマンドセキュリティシステム)の概要について説明する。図2は、この実施の形態及び後述する実施の形態に係る衛星通信システムの全体概要図である。
図2に示すように、衛星通信システムは、地上系10(地上装置)と衛星20とを備える。
地上系10と衛星20とのそれぞれが、予め複数の運用鍵を記憶する。地上系10と衛星20とが記憶する運用鍵は同じ鍵データであり、言い替えると、地上系10と衛星20とは、予め同じ運用鍵を共有する。地上系10へ、衛星20に対する命令が運用者により入力されると、地上系10は命令に応じた衛星20宛てのコマンド(平文)を生成し、予め記憶した複数の運用鍵の中から選択した所定の運用鍵を使用してコマンドを暗号化し、暗号化したコマンドをセキュアコマンドとして衛星20へ送信する。一方、衛星20は、地上系10から受信したセキュアコマンドを、地上系10が暗号化に使用した運用鍵と同じ運用鍵を使用して認証し、コマンド(平文)に復号する。そして、衛星20はコマンドを実行し、結果をテレメトリとして地上系10へ送信する。地上系10は、衛星20から受信したテレメトリを処理し、テレメトリ情報として運用者に対し出力する。
また、地上系10へ、地上系10に対する命令が運用者により入力されると、地上系10は内部で命令に応じた制御指示を出し、結果をステータス情報として得る。そして、地上系10はステータス情報を運用者に対し出力する。
以上、衛星通信システムの基本的な動作について説明したが、以下では、運用鍵を変更する場合の衛星通信システムの動作を示す。
地上系10へ、衛星20で使用している運用鍵を変更する鍵変更命令が運用者により入力されると、地上系10は鍵変更コマンドを生成し、上記所定の運用鍵を使用して鍵変更コマンドを暗号化し、暗号化した鍵変更コマンドをセキュアコマンドとして衛星20に送信する。衛星20は、地上系10から受信したセキュアコマンドを、地上系10が暗号化に使用した運用鍵と同じ運用鍵を使用して認証し、鍵変更コマンドに復号する。衛星20は鍵変更コマンドに基づき使用する運用鍵を変更する。
衛星20による運用鍵の変更が確認された後に、引き続き、地上系10へ、地上系10で使用している運用鍵を衛星20と同一の運用鍵に変更する命令が運用者により入力されると、地上系10は後述するコマンド暗号化装置12に対して鍵変更の制御指示を出す。地上系10のコマンド暗号化装置12は、制御指示に基づき使用する運用鍵を衛星20と同一の運用鍵に変更する。
以上により運用鍵の変更が完了する。
地上系10と衛星20との各機能について簡単に説明する。
地上系10は、衛星20を追跡管制する装置又はシステムである。地上系10は、追跡管制装置11、コマンド暗号化装置12を備える。追跡管制装置11は、運用者の操作等に基づき衛星20宛てのコマンドを生成する(例えば、運用者が衛星20に対する通常の命令の入力操作を行った場合、入力された命令に基づき衛星20宛ての通常コマンドを生成し、一方、運用者が衛星20に対する鍵変更命令の入力操作を行った場合、入力された鍵変更命令に基づき衛星20宛ての鍵変更コマンドを生成する)コマンド生成処理や、衛星20からテレメトリとして送信された情報を処理するテレメトリ処理等を行う。また、追跡管制装置11は、運用者の操作等に基づきコマンド暗号化装置12に制御指示を送信する(例えば、運用者が地上系10で使用している運用鍵を衛星20と同一の運用鍵に変更する命令の入力操作を行った場合、入力された命令に基づきコマンド暗号化装置12に対して鍵変更の制御指示を送信する)。追跡管制装置11は、さらに、テレメトリ処理によって生成したテレメトリ情報や、コマンド暗号化装置12から送信されたステータス情報を画面等に表示する。コマンド暗号化装置12は、追跡管制装置11で生成されたコマンド(平文)を運用鍵により暗号化してセキュアコマンドを生成する。
衛星20は、セキュアコマンド処理部24、テレメトリ/コマンド処理部25を備える。セキュアコマンド処理部24は、地上系10から受信したセキュアコマンドの認証及び復号をしてコマンド(平文)を生成する認証及び復号処理を行う。テレメトリ/コマンド処理部25は、セキュアコマンド処理部24で生成されたコマンドを実行するコマンド処理と、コマンド処理の結果をテレメトリとして送信するテレメトリ処理を行う。
また、図2に示す運用鍵変更管理支援機能は、この実施の形態及び後述する実施の形態における特徴的な機能であり、鍵変更命令により運用鍵が変更される場合に、次運用鍵として使用済の運用鍵が用いられないように制御する機能等である。
ここで、この実施の形態及び後述する実施の形態に係るセキュリティ支援装置30によって実現される運用鍵の変更を支援する運用鍵変更管理支援機能は、図2に示すように、地上系10であれば、追跡管制装置11やコマンド暗号化装置12に、衛星20であれば、セキュアコマンド処理部24に設けられる。
まず、この実施の形態では、衛星20のセキュアコマンド処理部24に、運用鍵変更管理支援機能を有するセキュリティ支援装置30(後述する図5のセキュリティ支援装置30)を設けた場合について説明する。地上系10の追跡管制装置11やコマンド暗号化装置12にセキュリティ支援装置30(後述する図8や図9のセキュリティ支援装置30)を設けた場合については後述する実施の形態で説明する。
以下では、図3及び図4に基づき、この実施の形態に係る地上系10の機能と動作について説明する。
まず、図3に基づき、この実施の形態に係る地上系10の機能について説明する。図3は、この実施の形態に係る地上系10の機能を示す機能ブロック図である。
地上系10(地上装置)は、追跡管制装置11、コマンド暗号化装置12、コマンド送信部13、テレメトリ受信部14を備える。
追跡管制装置11は、図2に基づき説明した通り、運用者の操作等に基づきコマンドを生成するコマンド生成処理や、衛星20からテレメトリとして送信された情報を処理するテレメトリ処理等を行う。コマンド暗号化装置12は、図2に基づき説明した通り、追跡管制装置11で生成された通常コマンド(平文)や鍵変更コマンド(平文)を運用鍵により暗号化してセキュアコマンドを生成する。コマンド送信部13は、コマンド暗号化装置12が生成したセキュアコマンドを衛星20へ通信装置により送信する。テレメトリ受信部14は、衛星20がテレメトリとして送信した情報を通信装置により受信する。
追跡管制装置11は、テレメトリ/コマンド処理部15、衛星運用インタフェース部16を備える。
テレメトリ/コマンド処理部15は、衛星運用インタフェース部16から送信されるコマンド生成情報に基づき、コマンド(例えば、衛星20宛ての通常コマンドや鍵変更コマンド)を生成する。また、テレメトリ/コマンド処理部15は、テレメトリ受信部14がテレメトリとして受信した情報を処理してテレメトリ情報として衛星運用インタフェース部16へ送信するとともに、追跡管制装置11のステータス情報を衛星運用インタフェース部16へ送信する。
衛星運用インタフェース部16は、運用者へのインタフェースを提供する。つまり、衛星運用インタフェース部16は、運用者の操作に従い衛星20に対する命令(例えば、通常の命令や鍵変更命令)を入力装置により入力し、命令に応じたコマンド生成情報を生成してテレメトリ/コマンド処理部15へ送信するとともに、テレメトリ情報や追跡管制装置11のステータス情報を表示装置に表示する。また、衛星運用インタフェース部16は、運用者の操作に従い地上系10に対する命令(例えば、鍵を衛星20と同じ鍵に変更する命令)を入力装置により入力し、命令に応じた制御指示(運用鍵を変更するための鍵変更情報を含む)を後述する暗号化制御部39へ送信するとともに、コマンド暗号化装置12のステータス情報を受信して表示装置に表示する。
また、コマンド暗号化装置12は、セキュアコマンド生成処理部18、運用鍵管理部19、暗号化制御部39を備える。
セキュアコマンド生成処理部18は、テレメトリ/コマンド処理部15が生成したコマンドを運用鍵により暗号化してセキュアコマンドを生成する。運用鍵管理部19は、地上系10と衛星20とが予め共有した複数の運用鍵を記憶装置に記憶し、それぞれの運用鍵を一意に識別する鍵番号とそれぞれの運用鍵とを対応付けて管理する。運用鍵管理部19は、暗号化制御部39の指示に基づき、セキュアコマンド生成処理部18で使用する運用鍵を出力する。暗号化制御部39は、衛星運用インタフェース部16から送信される制御指示に従い、コマンド暗号化装置12の各部を制御する。例えば、制御指示に鍵変更情報が含まれている場合、暗号化制御部39は、鍵変更情報に基づき、セキュアコマンド生成処理部18にどの運用鍵を使用させるかを運用鍵管理部19に指示する。また、暗号化制御部39は、コマンド暗号化装置12の各部の状態を示すステータス情報を衛星運用インタフェース部16に送信する。例えば、鍵変更情報に基づき運用鍵を変更した場合、暗号化制御部39は、セキュアコマンド生成処理部18が実際に運用鍵を変更したか否かを確認し、結果をステータス情報として衛星運用インタフェース部16に送信する。
さらに、追跡管制装置11は、衛星運用インタフェース部16内に、インタフェース部17を備える。
インタフェース部17は、衛星運用インタフェース部16の説明で述べたように、運用者へのインタフェースとして、衛星20や地上系10に対する命令を入力装置により入力したり、テレメトリ情報や地上系10のステータス情報(追跡管制装置11やコマンド暗号化装置12のステータス情報)を表示装置に表示したりする。
次に、図4に基づき、この実施の形態に係る地上系10の動作について説明する。図4は、運用者により衛星20に対する命令が入力された場合の、この実施の形態に係る地上系10の動作を示すフローチャートである。
初めに、図4に基づき、運用者により通常の命令が入力された場合の、この実施の形態に係る地上系10の動作について説明する。
まず、(S151)では、インタフェース部17は、運用者の操作に従い衛星20に対する通常の命令を入力する。
次に、(S152)では、インタフェース部17は、(S151)で入力した命令が鍵変更命令であるか否かを判定する。ここでは、インタフェース部17は、(S151)で入力した命令が鍵変更命令でないと判定し(S152でNO)、(S156)へ進む。
次に、(S156)では、インタフェース部17は、通常コマンドをテレメトリ/コマンド処理部15に生成させるためのコマンド生成情報を生成し、テレメトリ/コマンド処理部15へ送信する。そして、テレメトリ/コマンド処理部15は、送信されたコマンド生成情報に基づき、通常コマンドを生成する。
次に、(S157)では、セキュアコマンド生成処理部18は、(S156)でテレメトリ/コマンド処理部15が生成した通常コマンドを運用鍵により暗号化してセキュアコマンドを生成する。
次に、(S158)では、コマンド送信部13は、(S157)でセキュアコマンド生成処理部18が生成したセキュアコマンドを衛星20へ通信装置により送信する。
次に、図4に基づき、運用者により次運用鍵が指定された場合、すなわち、運用者により次運用鍵の鍵番号が指定された鍵変更命令が入力された場合の、この実施の形態に係る地上系10の動作について説明する。なお、次運用鍵を指定するか否かは、運用者の判断により決定されるものとする。
まず、(S151)では、インタフェース部17は、運用者の操作に従い衛星20に対する鍵変更命令を入力する。
次に、(S152)では、インタフェース部17は、(S151)で入力した命令が鍵変更命令であるか否かを判定する。ここでは、インタフェース部17は、(S151)で入力した命令が鍵変更命令であると判定し(S152でYES)、(S153)へ進む。
次に、(S153)では、インタフェース部17は、鍵変更命令において、次運用鍵が指定されているか否かを判定する。ここでは、インタフェース部17は、鍵変更命令において次運用鍵が指定されていると判定し(S153でYES)、(S154)へ進む。
次に、(S154)では、インタフェース部17は、次運用鍵の鍵番号を指定した鍵変更コマンドをテレメトリ/コマンド処理部15に生成させるためのコマンド生成情報を生成し、テレメトリ/コマンド処理部15へ送信する。そして、テレメトリ/コマンド処理部15は、送信されたコマンド生成情報に基づき、次運用鍵の鍵番号を指定した鍵変更コマンドを生成する。
次に、(S157)では、セキュアコマンド生成処理部18は、(S154)でテレメトリ/コマンド処理部15が生成した鍵変更コマンドを運用鍵により暗号化してセキュアコマンドを生成する。
次に、(S158)では、コマンド送信部13は、(S157)でセキュアコマンド生成処理部18が生成したセキュアコマンドを衛星20へ通信装置により送信する。
(S158)で、コマンド送信部13が、鍵変更に関するセキュアコマンド(鍵変更コマンドが暗号化されたセキュアコマンド)を衛星20へ送信した場合、衛星20は、使用中の運用鍵を、当該鍵変更コマンドにより指定された次運用鍵に変更し、その旨を示す情報をテレメトリとして送信する。この衛星20の詳細な動作については、後述する。テレメトリ受信部14は、このテレメトリとして送信された情報を受信する。テレメトリ/コマンド処理部15は、テレメトリ受信部14が受信した情報を処理してテレメトリ情報として衛星運用インタフェース部16へ送信する。衛星運用インタフェース部16のインタフェース部17は、テレメトリ情報を表示装置に表示する。これにより、運用者は、衛星20にて鍵変更が正常になされたことを確認することが可能となる。そして、運用者は、地上系10のコマンド暗号化装置12で使用している運用鍵を、衛星20で新たに使用されるものと同じ運用鍵に変更するための命令を入力することができる。
インタフェース部17は、運用者により入力された命令に基づき、鍵変更情報を含む制御指示を、コマンド暗号化装置12の暗号化制御部39に送信する。この鍵変更情報は、地上系10で次に使用する運用鍵、すなわち、次運用鍵(衛星20が新たに使用を開始したものと同じ運用鍵)を鍵番号で指定するものである。暗号化制御部39は、インタフェース部17から送信された制御指示に含まれる鍵変更情報により指定された鍵番号を運用鍵管理部19に入力する。運用鍵管理部19は、暗号化制御部39から入力された鍵番号に対応する次運用鍵を記憶装置から読み出し、セキュアコマンド生成処理部18に与える。セキュアコマンド生成処理部18は、これ以降、運用鍵管理部19から与えられた運用鍵を使用してコマンドを暗号化することでセキュアコマンドを生成する。このように、暗号化制御部39は、運用鍵管理部19とセキュアコマンド生成処理部18を処理装置により制御して、使用する運用鍵を、鍵変更情報により指定された次運用鍵(すなわち、衛星20が新たに使用を開始したものと同じ運用鍵)に変更する。つまり、これ以降変更後の運用鍵を使用するようにセキュアコマンド生成処理部18を制御する。
暗号化制御部39は、使用する運用鍵を、鍵変更情報により指定された次運用鍵に変更する処理が正常に完了した場合、その旨を鍵変更通知(コマンド暗号化装置12のステータス情報)としてインタフェース部17に送信する。インタフェース部17は、暗号化制御部39から鍵変更通知を受け取ると、鍵変更通知の内容、すなわち、地上系10における鍵変更が正常になされたこと等を表示装置に表示する。これにより、運用者は衛星20と地上系10とで新たな運用鍵が使用可能になったことが確認でき、その新たな運用鍵を使用してセキュアコマンドを生成及び送信するために、衛星20に対する通常の命令を入力することが可能となる。万一、衛星20と地上系10の運用鍵変更処理の最中に、通常の命令がインタフェース部17へ入力された場合は、その命令(についての処理)を棄却し、その旨を表示装置に表示する。
次に、図4に基づき、運用者により次運用鍵が指定されない場合、すなわち、運用者により次運用鍵の鍵番号が指定されない鍵変更命令が入力された場合の、この実施の形態に係る地上系10の動作について説明する。以下では、運用者により次運用鍵が指定される場合との動作の差異を主として説明する。
(S153)では、インタフェース部17は、鍵変更命令において、次運用鍵が指定されているか否かを判定する。ここでは、インタフェース部17は、鍵変更命令において次運用鍵が指定されていないと判定し(S153でNO)、(S155)へ進む。
次に、(S155)では、インタフェース部17は、次運用鍵の鍵番号を指定しない鍵変更コマンドをテレメトリ/コマンド処理部15に生成させるためのコマンド生成情報を生成し、テレメトリ/コマンド処理部15へ送信する。そして、テレメトリ/コマンド処理部15は、送信されたコマンド生成情報に基づき、次運用鍵の鍵番号を指定しない鍵変更コマンドを生成する。(S155)の次は(S157)へ進み、それ以降の動作は、運用者により次運用鍵が指定される場合と同様である。
以下では、図5から図7に基づき、この実施の形態に係る衛星20の機能と動作について説明する。
まず、図5に基づき、この実施の形態に係る衛星20の機能について説明する。図5は、この実施の形態に係る衛星20の機能を示す機能ブロック図である。
衛星20は、コマンド受信部21、衛星搭載計算機22、テレメトリ送信部23を備える。
コマンド受信部21は、セキュアコマンドを地上系10から通信装置により受信する。衛星搭載計算機22は、コマンド受信部21が受信したセキュアコマンドについての処理を行う。テレメトリ送信部23は、衛星搭載計算機22がセキュアコマンドについての処理をした結果を通信装置によりテレメトリとして送信する。
衛星搭載計算機22は、セキュアコマンド処理部24、テレメトリ/コマンド処理部25を備える。セキュアコマンド処理部24は、図2に基づき説明した通り、地上系10から受信したセキュアコマンドの認証及び復号をして通常コマンド(平文)や鍵変更コマンド(平文)を生成する処理(図2の認証及び復号処理)を行う。また、セキュアコマンド処理部24は、通常コマンド(平文)をテレメトリ/コマンド処理部25へ送信するとともに、セキュアコマンド処理に関わる情報やセキュアコマンド処理部24の動作状態や鍵変更コマンド(平文)を処理した結果等をステータス情報としてテレメトリ/コマンド処理部25へ送信する。テレメトリ/コマンド処理部25は、図2に基づき説明した通り、セキュアコマンド処理部24で生成された通常コマンドを実行するコマンド処理と、コマンド処理の結果やセキュアコマンド処理部24から送信されたステータス情報をテレメトリに変換してテレメトリ送信部23に送信するテレメトリ処理を行う。
セキュアコマンド処理部24は、セキュアコマンド認証及び復号処理部26、運用鍵管理部27、セキュリティ支援装置30を備える。
セキュアコマンド認証及び復号処理部26は、コマンド受信部21が受信したセキュアコマンドを運用鍵により認証及び復号して通常コマンド(平文)や鍵変更コマンド(平文)を生成する。運用鍵管理部27は、地上系10と衛星20とが予め共有した複数の運用鍵を記憶装置に記憶し、それぞれの運用鍵を一意に識別する鍵番号とそれぞれの運用鍵とを対応付けて管理する。運用鍵管理部27は、セキュリティ支援装置30の指示に基づき、セキュアコマンド認証及び復号処理部26で使用する運用鍵を出力する。セキュリティ支援装置30は、セキュアコマンド認証及び復号処理部26、及び、運用鍵管理部27の各部との間にインタフェースを有し、セキュアコマンド認証及び復号処理部26が使用する運用鍵を変更する処理を支援する運用鍵変更管理支援機能を有する。
さらに、セキュリティ支援装置30は、鍵ステータス記憶部31、鍵ステータス判定部32、制御部33を備える。
鍵ステータス記憶部31は、予め記憶した複数の運用鍵の各運用鍵が使用済であるか否かを示す鍵ステータス等の情報を使用ステータス管理テーブルとして記憶装置に記憶する。使用ステータス管理テーブルの詳細については後述する。
鍵ステータス判定部32は、次運用鍵が指定された鍵変更コマンドに対しては、鍵ステータス記憶部31が記憶した鍵ステータスを参照して次運用鍵が使用済であるか否かを処理装置により判定し、次運用鍵が指定されていない鍵変更コマンドに対しては、鍵ステータス記憶部31が記憶した鍵ステータスを参照して記憶装置を検索し、未使用の運用鍵を処理装置により抽出する。前述したように、次運用鍵が指定された鍵変更コマンドは、予め記憶装置に記憶した複数の運用鍵のうちどれを次運用鍵とするかを鍵番号で指定しているものであり、次運用鍵が指定されていない鍵変更コマンドは、次運用鍵の鍵番号を指定しておらず運用鍵の変更指示のみを規定しているものである。
制御部33は、鍵ステータス判定部32の判定に基づき次運用鍵として使用済の運用鍵が用いられないように処理装置により制御する。また、制御部33は、鍵ステータス判定部32が実施する鍵変更可否判断等に必要な情報をセキュアコマンド認証及び復号処理部26より取得し、鍵変更処理結果及び鍵変更運用に必要な情報をセキュアコマンド認証及び復号処理部26へ出力する。
次に、図6に基づき、鍵ステータス記憶部31が記憶する情報の一例について説明する。図6は、使用ステータス管理テーブルの一例を示す図である。
図6に示す使用ステータス管理テーブルは、運用鍵INDEX、鍵ステータス、使用実績、セキュアコマンド処理予定数、セキュアコマンド処理数の項目を有する。
運用鍵INDEXは、使用ステータス管理テーブルに記憶されている運用鍵を一意に特定するパラメータである。運用鍵INDEXとしては、鍵番号と異なるものを使用してもよいが、ここでは同じものとして説明する。つまり、運用鍵INDEXが“1”の運用鍵の鍵番号は“1”、運用鍵INDEXが“2”の運用鍵の鍵番号は“2”、・・・、運用鍵INDEXが“NN”の運用鍵の鍵番号は“NN”とする。鍵ステータスは、運用鍵が使用済であるか、未使用であるか、あるいは使用中であるかを示す。使用実績は、運用鍵を使用した実績を示す。使用実績は、例えば、運用鍵の使用開始日と使用終了日とを記憶する。セキュアコマンド処理予定数は、その運用鍵でセキュアコマンドの認証及び復号処理をする予定回数を示す。セキュアコマンド処理数は、その運用鍵でセキュアコマンドの認証及び復号処理をした回数、つまり実績値を示す。
次に、図7に基づき、この実施の形態に係る衛星20の動作について説明する。図7は、この実施の形態に係る衛星20の動作を示すフローチャートである。
初めに、図7に基づき、地上系10により通常コマンドを暗号化したセキュアコマンドが送信された場合の、この実施の形態に係る衛星20の動作について説明する。
まず、(S101)では、コマンド受信部21は、セキュアコマンドを地上系10から通信装置により受信する。
次に、(S102)では、セキュアコマンド認証及び復号処理部26は、(S101)でコマンド受信部21が受信したセキュアコマンドを現在使用している運用鍵を使用して処理装置により認証する。セキュアコマンドの認証が取れた場合、セキュアコマンド認証及び復号処理部26は、さらに、現在使用している運用鍵を使用してセキュアコマンドを処理装置により復号してコマンド(平文)を生成する。
次に、(S103)では、セキュアコマンド認証及び復号処理部26は、生成したコマンド(平文)が鍵変更コマンドであるか否かを処理装置により判定する。ここでは、セキュアコマンド認証及び復号処理部26は、生成したコマンド(平文)が鍵変更コマンドでないと判定し(S103でNO)、(S108)へ進む。
次に、(S108)では、テレメトリ/コマンド処理部25は、通常コマンドを処理装置により実行する。
次に、(S109)では、テレメトリ/コマンド処理部25は、通常コマンドを実行した結果を地上系10へテレメトリ送信部23を介してテレメトリとして送信する。ここでは、鍵変更が実施されていないが、テレメトリ/コマンド処理部25は、運用者の指示に基づき未使用鍵情報をテレメトリとして送信することも可能である。
次に、図7に基づき、運用者により次運用鍵が指定された場合、すなわち、地上系10により次運用鍵の鍵番号が指定された鍵変更コマンドを暗号化したセキュアコマンドが送信された場合の、この実施の形態に係る衛星20の動作について説明する。
まず、(S101)では、コマンド受信部21は、セキュアコマンドを地上系10から通信装置により受信する。
次に、(S102)では、セキュアコマンド認証及び復号処理部26は、(S101)でコマンド受信部21が受信したセキュアコマンドを現在使用している運用鍵を使用して処理装置により認証する。セキュアコマンドの認証が取れた場合、セキュアコマンド認証及び復号処理部26は、さらに、現在使用している運用鍵を使用してセキュアコマンドを処理装置により復号してコマンド(平文)を生成する。
次に、(S103)では、セキュアコマンド認証及び復号処理部26は、生成したコマンド(平文)が鍵変更コマンドであるか否かを処理装置により判定する。ここでは、セキュアコマンド認証及び復号処理部26は、生成したコマンド(平文)が鍵変更コマンドであると判定し(S103でYES)、(S104)へ進む。
次に、(S104)では、セキュアコマンド認証及び復号処理部26は、鍵変更コマンドにおいて、次運用鍵が指定されているか否かを処理装置により判定する。ここでは、セキュアコマンド認証及び復号処理部26は、鍵変更コマンドにおいて次運用鍵が指定されていると判定し(S104でYES)、(S105)へ進む。
次に、(S105)では、鍵ステータス判定部32は、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスを参照して、鍵変更コマンドにより指定された次運用鍵が使用済であるか否かを処理装置により判定する。次運用鍵が使用済でないと判定した場合(S105でNO)、(S107)へ進む。一方、次運用鍵が使用済であると判定した場合(S105でYES)、(S109)へ進む。
次に、(S107)では、制御部33は、鍵変更コマンドにより指定された鍵番号を運用鍵管理部27に入力する。運用鍵管理部27は、制御部33から入力された鍵番号に対応する次運用鍵を記憶装置から読み出し、セキュアコマンド認証及び復号処理部26に与える。セキュアコマンド認証及び復号処理部26は、これ以降、運用鍵管理部27から与えられた運用鍵を使用してセキュアコマンドの認証及び復号を行う。このように、制御部33は、運用鍵管理部27とセキュアコマンド認証及び復号処理部26を処理装置により制御して、使用する運用鍵を、鍵変更コマンドにより指定された次運用鍵に変更する。つまり、これ以降変更後の運用鍵を使用するようにセキュアコマンド認証及び復号処理部26を制御する。また、制御部33は、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスと使用実績とを更新する。つまり、制御部33は、これまで使用していた運用鍵の鍵ステータスを「済」とし、使用実績の使用終了日を運用鍵変更日とするとともに、次運用鍵の鍵ステータスを「使用中」とし、使用実績の使用開始日を運用鍵変更日とする。
次に、(S109)では、テレメトリ/コマンド処理部25は、鍵変更コマンドの処理の結果として、鍵変更に関するステータス情報を地上系10へテレメトリ送信部23を介してテレメトリとして送信する。また、鍵変更の実施状況に関わらず、テレメトリ/コマンド処理部25は、運用者の指示に基づき未使用鍵情報をテレメトリとして送信することも可能である。
上記のように、セキュリティ支援装置30の制御部33は、鍵変更コマンドにより指定された次運用鍵が使用済である場合、運用鍵の変更を行わず、図6に示す使用ステータス管理テーブルの更新は行わない。すなわち、セキュリティ支援装置30の制御部33は、次運用鍵として使用済の運用鍵が用いられないように制御する。
さらに、運用者の指示に基づき、セキュリティ支援装置30の制御部33は、使用済でない運用鍵を示す未使用鍵情報を地上系10へ送信するようにテレメトリ/コマンド処理部25を制御することが可能である。言い替えると、次運用鍵を選定するための支援情報を運用者へ提供することが可能である。
前述したように、(S109)でテレメトリ送信部23が地上系10へテレメトリを送信した後、運用者は、衛星20が使用する運用鍵を鍵変更コマンドにより指定された次運用鍵に変更できたかどうかを、地上系10で出力されるテレメトリにより確認する。衛星20が運用鍵を変更できた場合は、運用者は、地上系10で使用している運用鍵を衛星20と同じ運用鍵に変更するための命令を地上系10へ入力し、地上系10の運用鍵を変更する。以上により、衛星20と地上系10とで新たな運用鍵が使用可能となり、運用者は新たな運用鍵を使用してセキュアコマンドを生成及び送信するために、衛星20に対する通常の命令を地上系10へ入力することが可能となる。また、衛星20が使用する運用鍵を鍵変更コマンドにより指定された次運用鍵に変更できていない場合は、運用者は、必要に応じてテレメトリ情報(使用済でない運用鍵を示す未使用鍵情報)を参照して次運用鍵の再選定を行う。
なお、上記説明では、特に例外を設けることなく、一度使用されている運用鍵が再度使用されないようにするとした。しかし、衛星20や地上系10の動作の確認等に使用する試験鍵については再度使用されてもよい。そこで、鍵ステータス判定部32はさらに次運用鍵が試験鍵か否かを判定し、セキュリティ支援装置30の制御部33は次運用鍵が試験鍵であると判定された場合には、次運用鍵が使用済である場合でも運用鍵を変更するように制御するとしてもよい。
また、鍵変更コマンドにより指定された次運用鍵が使用済である場合、セキュリティ支援装置30の制御部33は、未使用鍵情報を送信するように制御するとした。しかし、セキュリティ支援装置30の制御部33は、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスと使用実績を参照して、未使用の運用鍵から次運用鍵を選択して、選択した運用鍵を特定できる情報を地上系10へ送信するようにテレメトリ/コマンド処理部25を制御してもよい。
次に、図7に基づき、運用者により次運用鍵が指定されない場合、すなわち、地上系10により次運用鍵の鍵番号が指定されない鍵変更コマンドを暗号化したセキュアコマンドが送信された場合の、この実施の形態に係る衛星20の動作について説明する。以下では、運用者により次運用鍵が指定される場合との動作の差異を主として説明する。
(S104)では、セキュアコマンド認証及び復号処理部26は、鍵変更コマンドにおいて、次運用鍵が指定されているか否かを処理装置により判定する。ここでは、セキュアコマンド認証及び復号処理部26は、鍵変更コマンドにおいて次運用鍵が指定されていないと判定し(S104でNO)、(S106)へ進む。
次に、(S106)では、鍵ステータス判定部32は、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスを参照して未使用の運用鍵を処理装置により選択し、(S107)へ進む。
次に、(S107)では、制御部33は、鍵ステータス判定部32により選択された運用鍵の鍵番号を運用鍵管理部27に入力する。運用鍵管理部27は、制御部33から入力された鍵番号に対応する次運用鍵を記憶装置から読み出し、セキュアコマンド認証及び復号処理部26に与える。セキュアコマンド認証及び復号処理部26は、これ以降、運用鍵管理部27から与えられた運用鍵を使用してセキュアコマンドの認証及び復号を行う。このように、制御部33は、運用鍵管理部27とセキュアコマンド認証及び復号処理部26を処理装置により制御して、使用する運用鍵を、鍵ステータス判定部32により指定された次運用鍵に変更する。つまり、これ以降変更後の運用鍵を使用するようにセキュアコマンド認証及び復号処理部26を制御する。また、制御部33は、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスと使用実績とを更新する。更新の仕方は、運用者により次運用鍵が指定される場合と同じである。(S107)の次は(S109)へ進み、それ以降の動作は、運用者により次運用鍵が指定される場合と同様である。
上記のように、運用者からの鍵変更命令により次運用鍵が指定されない場合は、セキュリティ支援装置30の鍵ステータス判定部32が、未使用の運用鍵を選択し、制御部33が、選択された運用鍵を次運用鍵に指定するように制御する。つまり、運用者の指示によらず、セキュリティ支援装置30の鍵ステータス判定部32及び制御部33が次運用鍵を決定する。
従って、この実施の形態に係る衛星通信システムによれば、次運用鍵として使用済の運用鍵が用いられることがない。さらに、必要に応じて次運用鍵として選択可能な運用鍵の情報が運用者へ提供されるため、運用者は容易に鍵変更命令で次運用鍵を指定できる。もしくは、運用者で次運用鍵を指定しなくとも、変更指示さえ送信すれば、衛星通信システムとして自動的に未使用の運用鍵を次運用鍵として選択し、鍵変更を実施することもできる。そのため、運用者の負担が軽減でき、衛星通信システムの運用セキュリティと利便性が向上できる。
実施の形態2.
実施の形態1では、衛星20のセキュアコマンド処理部24にセキュリティ支援装置30を設けた場合について説明した。実施の形態2では、地上系10にセキュリティ支援装置30を設けた場合について説明する。
図8から図10に基づき、この実施の形態に係る地上系10の機能と動作について説明する。
まず、図8に基づき、地上系10の追跡管制装置11にセキュリティ支援装置30を設けた場合における地上系10の機能について説明する。図8は、地上系10の追跡管制装置11にセキュリティ支援装置30を設けた場合における地上系10の機能を示す機能ブロック図である。
地上系10(地上装置)は、実施の形態1と同様に、追跡管制装置11、コマンド暗号化装置12、コマンド送信部13、テレメトリ受信部14を備える。
追跡管制装置11は、図2に基づき説明した通り、運用者の操作等に基づきコマンドを生成するコマンド生成処理や、衛星20からテレメトリとして送信された情報を処理するテレメトリ処理等を行う。コマンド暗号化装置12は、図2に基づき説明した通り、追跡管制装置11で生成された通常コマンド(平文)や鍵変更コマンド(平文)を運用鍵により暗号化してセキュアコマンドを生成する。コマンド送信部13は、コマンド暗号化装置12が生成したセキュアコマンドを衛星20へ通信装置により送信する。テレメトリ受信部14は、衛星20がテレメトリとして送信した情報を通信装置により受信する。
追跡管制装置11は、実施の形態1と同様に、テレメトリ/コマンド処理部15、衛星運用インタフェース部16を備える。
テレメトリ/コマンド処理部15は、衛星運用インタフェース部16から送信されるコマンド生成情報に基づき、コマンド(例えば、衛星20宛ての通常コマンドや鍵変更コマンド)を生成する。また、テレメトリ/コマンド処理部15は、テレメトリ受信部14がテレメトリとして受信した情報を処理してテレメトリ情報として衛星運用インタフェース部16へ送信するとともに、追跡管制装置11のステータス情報を衛星運用インタフェース部16へ送信する。
衛星運用インタフェース部16は、運用者へのインタフェースを提供する。つまり、衛星運用インタフェース部16は、運用者の操作に従い衛星20に対する命令(例えば、通常の命令や鍵変更命令)を入力装置により入力し、命令に応じたコマンド生成情報を生成してテレメトリ/コマンド処理部15へ送信するとともに、テレメトリ情報や追跡管制装置11のステータス情報を表示装置に表示する。また、衛星運用インタフェース部16は、運用者の操作に従い地上系10に対する命令(例えば、鍵を衛星20と同じ鍵に変更する命令)を入力装置により入力し、命令に応じた制御指示(運用鍵を変更するための鍵変更情報を含む)を後述する暗号化制御部39へ送信するとともに、コマンド暗号化装置12のステータス情報を受信して表示装置に表示する。
また、コマンド暗号化装置12は、実施の形態1と同様に、セキュアコマンド生成処理部18、運用鍵管理部19、暗号化制御部39を備える。
セキュアコマンド生成処理部18は、テレメトリ/コマンド処理部15が生成したコマンドを運用鍵により暗号化してセキュアコマンドを生成する。運用鍵管理部19は、地上系10と衛星20とが予め共有した複数の運用鍵を記憶装置に記憶し、それぞれの運用鍵を一意に識別する鍵番号とそれぞれの運用鍵とを対応付けて管理する。運用鍵管理部19は、暗号化制御部39の指示に基づき、セキュアコマンド生成処理部18で使用する運用鍵を出力する。暗号化制御部39は、衛星運用インタフェース部16から送信される制御指示に従い、コマンド暗号化装置12の各部を制御する。例えば、制御指示に鍵変更情報が含まれている場合、暗号化制御部39は、鍵変更情報に基づき、セキュアコマンド生成処理部18にどの運用鍵を使用させるかを運用鍵管理部19に指示する。また、暗号化制御部39は、コマンド暗号化装置12の各部の状態を示すステータス情報を衛星運用インタフェース部16に送信する。例えば、鍵変更情報に基づき運用鍵を変更した場合、暗号化制御部39は、セキュアコマンド生成処理部18が実際に運用鍵を変更したか否かを確認し、結果をステータス情報として衛星運用インタフェース部16に送信する。
この実施の形態では、追跡管制装置11は、衛星運用インタフェース部16内に、インタフェース部17に加えて、セキュリティ支援装置30を備える。
インタフェース部17は、衛星運用インタフェース部16の説明で述べたように、運用者へのインタフェースとして、衛星20や地上系10に対する命令を入力装置により入力したり、テレメトリ情報や地上系10のステータス情報(追跡管制装置11やコマンド暗号化装置12のステータス情報)を表示装置に表示したりする。セキュリティ支援装置30は、インタフェース部17と通信して運用鍵を変更する処理を支援する運用鍵変更管理支援機能を有する。
また、セキュリティ支援装置30は、実施の形態1のセキュリティ支援装置30と同様に、鍵ステータス記憶部31、鍵ステータス判定部32、制御部33を備える。
鍵ステータス記憶部31は、実施の形態1の鍵ステータス記憶部31と同様であり、例えば、図6に示す使用ステータス管理テーブルを記憶する。
鍵ステータス判定部32は、運用者により次運用鍵が指定された場合、使用ステータス管理テーブルの鍵ステータスを参照して次運用鍵が使用済であるか否かを処理装置により判定する。つまり、鍵ステータス判定部32は指定された運用鍵が使用済か否かを判定する。また、鍵ステータス判定部32は、運用者により次運用鍵が指定されない場合、鍵ステータスを参照して記憶装置を検索し、未使用の運用鍵を処理装置により抽出して選択し、次運用鍵として指定する。つまり、鍵ステータス判定部32が次運用鍵を決定する。
制御部33は、鍵ステータス判定部32の判定に基づき次運用鍵として使用済の運用鍵が用いられないようにインタフェース部17を処理装置により制御する。
図8に基づき、地上系10の追跡管制装置11にセキュリティ支援装置30を設けた場合における地上系10の機能について説明したが、図9に示すように、地上系10のコマンド暗号化装置12にセキュリティ支援装置30を設けてもよい。図9に示す地上系10の機能は、原則として、図8に示す地上系10の機能と同様である。但し、図9に示すコマンド暗号化装置12は、暗号化制御部39を備えていない。これは、制御部33が暗号化制御部39の機能を果たすからである。従って、図8に示す地上系10においてインタフェース部17とセキュリティ支援装置30との間で送受信される情報、及び、インタフェース部17と暗号化制御部39との間で送受信される情報(具体的には、制御指示やステータス情報)は、図9に示す地上系10においては、両方ともインタフェース部17とセキュリティ支援装置30との間で送受信されることとなる。
図9に示すように、地上系10のコマンド暗号化装置12にセキュリティ支援装置30を設けた場合、運用鍵の管理及び利用に係る動作を行う要素(具体的には、セキュアコマンド生成処理部18、運用鍵管理部19、セキュリティ支援装置30)をコマンド暗号化装置12の一箇所で集中して管理できるため、図8に示すように、地上系10の追跡管制装置11にセキュリティ支援装置30を設けた場合と比較して運用管理が容易となる。
次に、図10に基づき、この実施の形態に係る地上系10の動作について説明する。図10は、運用者により衛星20に対する命令が入力された場合の、この実施の形態に係る地上系10の動作を示すフローチャートである。
初めに、図10に基づき、運用者により通常の命令が入力された場合の、この実施の形態に係る地上系10の動作について説明する。ここでは、地上系10は図8に示す構成であるとして説明する。
まず、(S201)では、インタフェース部17は、運用者の操作に従い衛星20に対する通常の命令を入力する。
次に、(S202)では、インタフェース部17は、(S201)で入力した命令が鍵変更命令であるか否かを判定する。ここでは、インタフェース部17は、(S201)で入力した命令が鍵変更命令でないと判定し(S202でNO)、(S208)へ進む。
次に、(S208)では、インタフェース部17は、通常コマンドをテレメトリ/コマンド処理部15に生成させるためのコマンド生成情報を生成し、テレメトリ/コマンド処理部15へ送信する。そして、テレメトリ/コマンド処理部15は、送信されたコマンド生成情報に基づき、通常コマンドを生成する。
次に、(S209)では、セキュアコマンド生成処理部18は、(S208)でテレメトリ/コマンド処理部15が生成した通常コマンドを運用鍵により暗号化してセキュアコマンドを生成する。
次に、(S210)では、コマンド送信部13は、(S209)でセキュアコマンド生成処理部18が生成したセキュアコマンドを衛星20へ通信装置により送信する。
次に、図10に基づき、運用者により次運用鍵が指定された場合、すなわち、運用者により次運用鍵の鍵番号が指定された鍵変更命令が入力された場合の、この実施の形態に係る地上系10の動作について説明する。ここでも、地上系10は図8に示す構成であるとして説明する。
まず、(S201)では、インタフェース部17は、運用者の操作に従い衛星20に対する鍵変更命令を入力する。
次に、(S202)では、インタフェース部17は、(S201)で入力した命令が鍵変更命令であるか否かを判定する。ここでは、インタフェース部17は、(S201)で入力した命令が鍵変更命令であると判定し(S202でYES)、(S203)へ進む。
次に、(S203)では、インタフェース部17は、鍵変更命令において、次運用鍵が指定されているか否かを判定する。ここでは、インタフェース部17は、鍵変更命令において次運用鍵が指定されていると判定し(S203でYES)、(S204)へ進む。
次に、(S204)では、鍵ステータス判定部32は、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスを参照して、鍵変更命令にて指定された鍵番号に対応する次運用鍵が使用済であるか否かを処理装置により判定する。次運用鍵が使用済であると判定した場合(S204でYES)、(S205)へ進む。一方、次運用鍵が使用済でないと判定した場合(S204でNO)、(S207)へ進む。
次に、(S207)では、制御部33は、次運用鍵の鍵番号を指定した鍵変更コマンドをテレメトリ/コマンド処理部15に生成させるためのコマンド生成情報を、インタフェース部17に生成させ、テレメトリ/コマンド処理部15へコマンド生成情報を送信させる。そして、テレメトリ/コマンド処理部15は、送信されたコマンド生成情報に基づき、次運用鍵の鍵番号を指定した鍵変更コマンドを生成する。
次に、(S209)では、セキュアコマンド生成処理部18は、(S208)でテレメトリ/コマンド処理部15が生成した、次運用鍵の鍵番号を指定した鍵変更コマンドを運用鍵により暗号化してセキュアコマンドを生成する。
次に、(S210)では、コマンド送信部13は、(S209)でセキュアコマンド生成処理部18が生成したセキュアコマンドを衛星20へ通信装置により送信する。
また、(S205)では、制御部33は、例えば、指定された次運用鍵が使用済であることを表示装置に表示するようにインタフェース部17を制御し、運用者に対して他の運用鍵を次運用鍵に指定するように促す。制御部33は、併せて、未使用の運用鍵を示す未使用鍵情報を表示させてもよい。また、制御部33は、インタフェース部17をコマンド生成情報と鍵変更情報とを送信しないように制御する。
(S210)で、コマンド送信部13が、次運用鍵の鍵番号を指定した鍵変更に関するセキュアコマンドを衛星20へ送信した場合、衛星20は、使用中の運用鍵を、当該鍵変更コマンドにより指定された次運用鍵に変更し、その旨を示す情報をテレメトリとして送信する。テレメトリ受信部14は、このテレメトリとして送信された情報を受信する。テレメトリ/コマンド処理部15は、テレメトリ受信部14が受信した情報を処理してテレメトリ情報として衛星運用インタフェース部16へ送信する。衛星運用インタフェース部16のインタフェース部17は、テレメトリ情報を表示装置に表示する。これにより、運用者は、衛星20にて鍵変更が正常になされたことを確認することが可能となる。そして、運用者は、地上系10のコマンド暗号化装置12で使用している運用鍵を、衛星20で新たに使用されるものと同じ運用鍵に変更するための命令を入力することができる。
実施の形態1と同様に、インタフェース部17は、運用者により入力された命令に基づき、鍵変更情報を含む制御指示を、セキュリティ支援装置30を介さずに直接、コマンド暗号化装置12の暗号化制御部39に送信する。この鍵変更情報は、地上系10で次に使用する運用鍵、すなわち、次運用鍵(衛星20が新たに使用を開始したものと同じ運用鍵)を鍵番号で指定するものである。暗号化制御部39は、インタフェース部17から送信された制御指示に含まれる鍵変更情報により指定された鍵番号を運用鍵管理部19に入力する。運用鍵管理部19は、暗号化制御部39から入力された鍵番号に対応する次運用鍵を記憶装置から読み出し、セキュアコマンド生成処理部18に与える。セキュアコマンド生成処理部18は、これ以降、運用鍵管理部19から与えられた運用鍵を使用してコマンドを暗号化することでセキュアコマンドを生成する。このように、暗号化制御部39は、運用鍵管理部19とセキュアコマンド生成処理部18を処理装置により制御して、使用する運用鍵を、鍵変更情報により指定された次運用鍵(すなわち、衛星20が新たに使用を開始したものと同じ運用鍵)に変更する。つまり、これ以降変更後の運用鍵を使用するようにセキュアコマンド生成処理部18を制御する。
この実施の形態では、暗号化制御部39は、セキュアコマンド生成処理部18が使用する運用鍵を、鍵変更情報により指定された次運用鍵に変更する処理が正常に完了した場合、その旨を鍵変更通知(コマンド暗号化装置12のステータス情報)としてインタフェース部17に送信する。インタフェース部17は、暗号化制御部39から鍵変更通知を受け取ると、地上系10における鍵変更が正常になされたことをセキュリティ支援装置30の制御部33に通知する。これを受けて、制御部33は、実施の形態1の(S107)で制御部33が更新したのと同様に、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスと使用実績とを更新する。そして、制御部33は、その旨を更新通知(追跡管制装置11のステータス情報)としてインタフェース部17に送信する。インタフェース部17は、制御部33から更新通知を受け取ると、鍵変更通知や更新通知の内容、すなわち、地上系10における鍵変更が正常になされ、運用鍵に関する鍵ステータスと使用実績の更新が正常になされたこと等を表示装置に表示する。これにより、運用者は衛星20と地上系10とで新たな運用鍵が使用可能になったことが確認でき、その新たな運用鍵を使用してセキュアコマンドを生成及び送信する(セキュアコマンド通信をする)ために、衛星20に対する通常の命令を入力することが可能となる。万一、衛星20と地上系10の運用鍵変更処理の最中に、通常の命令がインタフェース部17へ入力された場合は、その命令(についての処理)を棄却し、その旨を表示装置に表示する。
ここで、地上系10が図9に示す構成である場合には、インタフェース部17は、運用者により入力された命令に基づき、鍵変更情報を含む制御指示を、コマンド暗号化装置12に内蔵されたセキュリティ支援装置30の制御部33に送信する。制御部33は、運用鍵管理部19とセキュアコマンド生成処理部18を処理装置により制御して、使用する運用鍵を、インタフェース部17から送信された制御指示に含まれる鍵変更情報により指定された次運用鍵に変更する。そして、制御部33は、使用する運用鍵を、鍵変更情報により指定された次運用鍵に変更する処理が正常に完了した場合、実施の形態1の(S107)で制御部33が更新したのと同様に、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスと使用実績とを更新する。引き続き、制御部33は、その旨を鍵変更通知としてインタフェース部17に送信する。その後の動作は、上述した図8に示す構成である場合と同様である。
次に、図10に基づき、運用者により次運用鍵が指定されない場合、すなわち、運用者により次運用鍵の鍵番号が指定されない鍵変更命令が入力された場合の、この実施の形態に係る地上系10の動作について説明する。ここでも、地上系10は図8に示す構成であるとして説明する。以下では、運用者により次運用鍵が指定される場合との動作の差異を主として説明する。
(S203)では、インタフェース部17は、鍵変更命令において、次運用鍵が指定されているか否かを判定する。ここでは、インタフェース部17は、鍵変更命令において次運用鍵が指定されていないと判定し(S203でNO)、(S206)へ進む。
次に、(S206)では、鍵ステータス判定部32は、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスを参照して未使用の運用鍵を処理装置により選択し、(S207)へ進む。
次に、(S207)では、制御部33は、鍵ステータス判定部32により選択された運用鍵を次運用鍵として指定した鍵変更コマンドをテレメトリ/コマンド処理部15に生成させるためのコマンド生成情報を、インタフェース部17に生成させ、テレメトリ/コマンド処理部15へコマンド生成情報を送信させる。そして、テレメトリ/コマンド処理部15は、送信されたコマンド生成情報に基づき、次運用鍵を指定した鍵変更コマンドを生成する。(S207)の次は(S209)へ進み、それ以降の動作は、運用者により次運用鍵が指定される場合と同様である。
以上をまとめると、運用者からの鍵変更命令により次運用鍵が指定される場合、実施の形態1と同様に、セキュリティ支援装置30の制御部33は、鍵変更命令により指定された次運用鍵が使用済である場合、運用鍵の変更を行わず、図6に示す使用ステータス管理テーブルの更新は行わない。さらに、セキュリティ支援装置30の制御部33は、鍵変更コマンドの生成もしないように制御する。すなわち、セキュリティ支援装置30の制御部33は、次運用鍵として使用済の運用鍵が用いられないように制御する。
さらに、鍵変更命令により指定された次運用鍵が使用済である場合、セキュリティ支援装置30の制御部33は、使用済でない運用鍵を示す未使用鍵情報を運用者へ伝え、未使用の運用鍵を指定するように促すことが可能である。
一方、運用者からの鍵変更命令により次運用鍵が指定されない場合は、セキュリティ支援装置30の鍵ステータス判定部32が、未使用の運用鍵を選択し、制御部33が、選択された運用鍵を次運用鍵に指定するように制御する。
つまり、運用者の指示によらず、セキュリティ支援装置30の鍵ステータス判定部32及び制御部33が次運用鍵を決定する。
従って、この実施の形態に係る衛星通信システムによれば、実施の形態1と同様に、次運用鍵として使用済の運用鍵が用いられることがない。さらに、必要に応じて次運用鍵として選択可能な運用鍵の情報が運用者へ提供されるため、運用者は容易に鍵変更命令で次運用鍵を指定できる。もしくは、運用者で次運用鍵を指定しなくとも、変更指示さえ送信すれば、衛星通信システムとして自動的に未使用の運用鍵を次運用鍵として選択し、鍵変更を実施することもできる。そのため、運用者の負担が軽減でき、衛星通信システムの運用セキュリティと利便性が向上できる。
実施の形態3.
実施の形態1で図7に基づき説明した例と実施の形態2で図10に基づき説明した例では、運用者は、衛星20にて鍵変更が正常になされたことを確認した上で、地上系10で使用している運用鍵を、衛星20で新たに使用されるものと同じ運用鍵に変更するための命令を入力するものとしていた。さらに、運用者は、衛星20と地上系10とで新たな運用鍵が使用可能になったことを確認した上で、新たな運用鍵によるセキュアコマンド通信を開始することとしていた。上記の一連の処理において、衛星20にて鍵変更が正常になされた場合に地上系10で使用している運用鍵を衛星20で新たに使用されるものと同じ運用鍵に変更するための命令を入力する作業(地上系10の運用鍵変更作業)は、運用者が実施しているが、この作業は自動化することも可能である。この実施の形態は、実施の形態2で、運用者により次運用鍵が指定される場合において、運用者による地上系10の運用鍵変更作業を自動化するものである。なお、以下の説明では、地上系10の構成を図8に示したものとしている。
実施の形態2と同様に、(S210)で、コマンド送信部13が、次運用鍵を指定した鍵変更に関するセキュアコマンドを衛星20へ送信した場合、衛星20は、使用中の運用鍵を、当該鍵変更コマンドにより指定された次運用鍵に変更し、その旨を示す情報をテレメトリとして送信する。テレメトリ受信部14は、このテレメトリとして送信された情報を受信する。テレメトリ/コマンド処理部15は、テレメトリ受信部14が受信した情報を処理してテレメトリ情報として衛星運用インタフェース部16へ送信する。衛星運用インタフェース部16のインタフェース部17は、テレメトリ情報を表示装置に表示する。これにより、運用者は、衛星20にて鍵変更が正常になされたことを確認することが可能となる。
この実施の形態では、インタフェース部17は、衛星20の鍵変更が正常になされた場合は、テレメトリ情報に基づき、鍵変更情報を含む制御指示を運用者からの命令無しで自動的にコマンド暗号化装置12の暗号化制御部39に送信する。ここで、テレメトリ情報とは、衛星20がこれから使用する運用鍵、すなわち、次運用鍵を鍵番号で指定するものである。また、鍵変更情報とは、地上系10で次に使用する運用鍵、すなわち、衛星20がこれから使用する次運用鍵を鍵番号で指定するものである。つまり、テレメトリ情報と鍵変更情報とは、同じ運用鍵を鍵番号で指定するものである。実施の形態2と同様に、暗号化制御部39は、インタフェース部17から送信された制御指示に含まれる鍵変更情報により指定された鍵番号を運用鍵管理部19に入力する。運用鍵管理部19は、暗号化制御部39から入力された鍵番号に対応する次運用鍵を記憶装置から読み出し、セキュアコマンド生成処理部18に与える。セキュアコマンド生成処理部18は、これ以降、運用鍵管理部19から与えられた運用鍵を使用してコマンドを暗号化することでセキュアコマンドを生成する。
実施の形態2と同様に、暗号化制御部39は、セキュアコマンド生成処理部18が使用する運用鍵を、鍵変更情報により指定された次運用鍵に変更する処理が正常に完了した場合、その旨を鍵変更通知(コマンド暗号化装置12のステータス情報)としてインタフェース部17に送信する。インタフェース部17は、暗号化制御部39から鍵変更通知を受け取ると、地上系10における鍵変更が正常になされたことをセキュリティ支援装置30の制御部33に通知する。これを受けて、制御部33は、実施の形態1の(S107)で制御部33が更新したのと同様に、鍵ステータス記憶部31が図6に示す使用ステータス管理テーブルに格納した鍵ステータスと使用実績とを更新する。そして、制御部33は、その旨を更新通知(追跡管制装置11のステータス情報)としてインタフェース部17に送信する。
この実施の形態では、インタフェース部17は、制御部33から更新通知を受け取ると、実施の形態2と同様に、鍵変更通知や更新通知の内容、すなわち、地上系10における鍵変更が正常になされ、運用鍵に関する鍵ステータスと使用実績の更新が正常になされたこと等を表示装置に表示する。これにより、運用者は衛星20と地上系10とで新たな運用鍵が使用可能になったことが確認でき、その新たな運用鍵を使用してセキュアコマンドを生成及び送信する(セキュアコマンド通信をする)ために、衛星20に対する通常の命令を入力することが可能となる。
実施の形態4.
実施の形態4では、運用鍵の変更を運用者へ促し、運用計画に基づき確実に運用鍵を変更可能とするセキュリティ支援装置30を衛星20側に設ける場合について説明する。
図11と図12とに基づき、この実施の形態に係る衛星20の機能と動作について説明する。
まず、図11に基づき、この実施の形態に係る衛星20の機能について説明する。図11は、この実施の形態に係る衛星20の機能を示す機能ブロック図である。この実施の形態に係る衛星20は、実施の形態1に係る衛星20と概ね同様である。そこで、この実施の形態に係る衛星20について、実施の形態1に示す衛星20と異なる部分のみを説明する。
この実施の形態に係る衛星20のセキュリティ支援装置30は、実施の形態1に係る衛星20のセキュリティ支援装置30の機能に加え、カウンタ部34、鍵変更判断支援部35を備える。
カウンタ部34は、地上系10から受信するセキュアコマンドを衛星20が通信した回数を処理装置によりカウントする。セキュアコマンドを通信した回数のカウント方法としては、例えば、コマンド受信部21がセキュアコマンドを受信した回数をカウントする方法、もしくは、セキュアコマンド認証及び復号処理部26がセキュアコマンドを正常に処理した回数をカウントする方法が考えられる。この実施の形態では、後者をセキュアコマンド処理数のカウント方法とする。すなわち、カウンタ部34は、セキュアコマンドの認証及び復号が成功する度に、図6に示す使用ステータス管理テーブルにおいて、鍵ステータスが使用中となっている(現在使用中の)運用鍵のセキュアコマンド処理数を“+1”インクリメントする。
鍵変更判断支援部35は、図6に示す使用ステータス管理テーブルにおいて、鍵ステータスが使用中となっている(現在使用中の)運用鍵についてのセキュアコマンド処理数がセキュアコマンド処理予定数に到達した場合、運用鍵を変更することを促す鍵変更判断支援情報を生成し、制御部33の指示に基づき、セキュアコマンド認証及び復号処理部26へ送信する。鍵変更判断支援情報はテレメトリ/コマンド処理部25を経由してテレメトリに変換され、テレメトリ送信部23が通信装置により地上系10へ送信する。つまり、鍵変更判断支援情報は運用者へ通知される。
次に、図12に基づき、この実施の形態に係る衛星20の動作について説明する。図12は、この実施の形態に係る衛星20の動作を示すフローチャートである。ここでは、特に運用鍵の変更を運用者へ促す動作についてのみ説明する。
まず、(S401)では、コマンド受信部21は、セキュアコマンドを地上系10から通信装置により受信する。
次に、(S402)では、セキュアコマンド認証及び復号処理部26は、(S401)でコマンド受信部21が受信したセキュアコマンドを現在使用している運用鍵を使用して処理装置により認証する。セキュアコマンドの認証が取れた場合、セキュアコマンド認証及び復号処理部26は、さらに、現在使用している運用鍵を使用してセキュアコマンドを処理装置により復号してコマンド(平文)を生成する。
次に、(S403)では、カウンタ部34は、(S402)でセキュアコマンド認証及び復号処理部26がセキュアコマンドの認証及び復号に成功すると、図6に示す使用ステータス管理テーブルにおいて、鍵ステータスが使用中となっている(現在使用中の)運用鍵のセキュアコマンド処理数を“+1”インクリメントする。
次に、(S404)では、鍵変更判断支援部35は、図6に示す使用ステータス管理テーブルにおいて、鍵ステータスが使用中となっている(現在使用中の)運用鍵についてのセキュアコマンド処理数がセキュアコマンド処理予定数以上であるか否かを処理装置により判定する。セキュアコマンド処理数がセキュアコマンド処理予定数以上である場合(S404でYES)、(S405)へ進む。一方、セキュアコマンド処理数がセキュアコマンド処理予定数未満である場合(S404でNO)、処理を終了する。
次に、(S405)では、鍵変更判断支援部35は、運用鍵を変更することを促す鍵変更判断支援情報を生成し、制御部33の指示に基づき、セキュアコマンド認証及び復号処理部26へ鍵変更判断支援情報を送信する。鍵変更判断支援情報は、セキュアコマンド認証及び復号処理部26からテレメトリ/コマンド処理部25へステータス情報の1つとして送信されてテレメトリに変換され、テレメトリ送信部23により地上系10へテレメトリとして送信される。
上記のように、現在の運用鍵を使用してのセキュアコマンド処理数がセキュアコマンド処理予定数に到達するとそれ以降は、運用鍵が変更されない限り、セキュアコマンドを衛星20が受信し、そのセキュアコマンドが衛星20にて正常に処理されるたびに鍵変更判断支援部35にて鍵変更判断支援情報が生成され、地上系10へテレメトリとして送信される。
また、運用者が、地上系10で受信した鍵変更判断支援情報に基づき、衛星20及び地上系10の運用鍵を変更した後の衛星20の動作は以下の通りである。
セキュアコマンド処理数は運用鍵毎にカウントされることから、変更後の運用鍵に関するセキュアコマンド処理数は、変更後の運用鍵を使用してセキュアコマンドが正常に処理された回数が所定の回数に到達するまではセキュアコマンド処理予定数未満であるため、カウンタ部34での判断(S404でNO)に基づき、セキュリティ支援装置30は、鍵変更判断支援情報の生成及び送信を停止する。
従って、この実施の形態に係る衛星通信システムによれば、運用鍵を変更すべき状態となった場合に、衛星通信システムが自動的に運用鍵の変更要否判断支援情報を運用者へ提供する。そのため、運用者の負担が軽減でき、衛星通信システムの運用の利便性と確実性が向上する。
図12ではセキュアコマンド処理数がセキュアコマンド処理予定数以上である場合に鍵変更判断支援情報を送信するとした。しかし、セキュアコマンド処理数がセキュアコマンド処理予定数に近づいた場合に鍵変更判断支援情報を送信するとしてもよい。つまり、セキュアコマンド処理数がセキュアコマンド処理予定数まで達する前に運用鍵の変更を促す。ここで、近づいたとは、処理予定数より少ない所定数に到達したことを意味する。また、所定数とは、例えば、定数であってもよいし、処理予定数に対して特定の割合の数であるとしてもよい。
また、図6に示す各運用鍵(INDEX)におけるセキュアコマンド処理予定数は、衛星20の製造時に組み込む固定値とするか、又は、衛星20の製造時には可変の初期値を組み込んでおき、衛星20の運用時に地上系10からコマンドにより適宜変更可能とする。また、セキュアコマンド処理予定数をコマンドにより可変とする場合には上限値と下限値を予め決めておき、この範囲で変更可能であるとしてもよい。さらに、使用済となった運用鍵に関するセキュアコマンド処理予定数とセキュアコマンド処理数の運用実績値を必要に応じて地上系10へ配信可能とし、今後の衛星通信システム運用の参考情報としてもよい。
上記のように、本実施の形態に係るセキュリティ支援装置は、例えば、衛星を追跡管制する地上装置と衛星とが予め複数の運用鍵を記憶し、上記複数の運用鍵から選択した所定の運用鍵を使用して暗号化したコマンドを、上記地上装置と上記衛星との間で通信する衛星通信システムのセキュリティ支援装置であり、
上記所定の運用鍵を使用して暗号化したコマンドを通信した回数をカウントするカウンタ部と、
上記カウンタ部がカウントした回数が所定の回数になった場合、上記所定の運用鍵を上記複数の運用鍵から選択した他の運用鍵へ変更することを促す鍵変更判断支援情報を生成する鍵変更判断支援部と
を備えることを特徴とする。
本実施の形態に係るセキュリティ支援装置は、各運用鍵を使用して暗号化したコマンドの通信回数をカウントし、予め定めた回数に達した場合に運用鍵の変更を運用者等へ促す。従って、運用計画に基づき確実に運用鍵を変更可能とすることが可能となる。
実施の形態5.
実施の形態4では、運用鍵の変更を運用者へ促し、運用計画に基づき確実に運用鍵を変更可能とするセキュリティ支援装置30を衛星20側に設ける例について説明した。しかし、運用鍵の変更を運用者へ促し、運用計画に基づき確実に運用鍵を変更可能とするセキュリティ支援装置30を地上系10に設けてもよい。
この場合、図8又は図9に示す実施の形態2に係る地上系10のセキュリティ支援装置30の内部に、実施の形態4で説明したカウンタ部34、鍵変更判断支援部35を追加する。
カウンタ部34と鍵変更判断支援部35の機能及び動作は、実施の形態4で説明した内容と概ね同様であるが、地上系10にセキュリティ支援装置30を設けることに伴う差異が存在する。すなわち、カウンタ部34においてセキュアコマンドを通信した回数のカウント方法として、例えば、コマンド送信部13がセキュアコマンドを送信した回数をカウントする方法、もしくは、セキュアコマンド生成処理部18がセキュアコマンドを生成した回数をカウントする方法が考えられる。また、鍵変更判断支援部35は、運用鍵を変更することを促す鍵変更判断支援情報を生成し、制御部33の指示に基づき、インタフェース部17へ送信する。インタフェース部17は、鍵変更判断支援情報を表示装置に表示させ、運用者へ伝える。
従って、この実施の形態に係る衛星通信システムによれば、実施の形態4と同様に、運用鍵を変更すべき状態となった場合に、衛星通信システムが自動的に運用鍵の変更要否判断支援情報を運用者へ提供する。そのため、運用者の負担が軽減でき、衛星通信システムの運用の利便性と確実性が向上する。
実施の形態6.
上記実施の形態では、地上系10又は衛星20のいずれか一方がセキュリティ支援装置30を備えている場合について説明した。しかし、地上系10と衛星20とのいずれもがセキュリティ支援装置30を備えているとしてもよい。
但し、この場合、運用鍵変更管理支援機能を地上系10と衛星20に対して分割して備える構成とする。例えば、衛星20のセキュリティ支援装置30には使用済の運用鍵が再使用されることを防止する機能を備え、地上系10のセキュリティ支援装置30には運用鍵の変更を運用者へ促し、運用計画に基づき確実に運用鍵を変更可能とする機能を備える構成とする。又は、その逆で、衛星20のセキュリティ支援装置30には、運用鍵の変更を運用者へ促し、運用計画に基づき確実に運用鍵を変更可能とする機能を備え、地上系10のセキュリティ支援装置30には使用済の運用鍵が再使用されることを防止する機能を備える構成とする。
10 地上系、11 追跡管制装置、12 コマンド暗号化装置、13 コマンド送信部、14 テレメトリ受信部、15,25 テレメトリ/コマンド処理部、16 衛星運用インタフェース部、17 インタフェース部、18 セキュアコマンド生成処理部、19,27 運用鍵管理部、20 衛星、21 コマンド受信部、22 衛星搭載計算機、23 テレメトリ送信部、24 セキュアコマンド処理部、26 セキュアコマンド認証及び復号処理部、30 セキュリティ支援装置、31 鍵ステータス記憶部、32 鍵ステータス判定部、33 制御部、34 カウンタ部、35 鍵変更判断支援部、39 暗号化制御部、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード。