JP5464232B2 - セキュア通信システム及び通信装置 - Google Patents

セキュア通信システム及び通信装置 Download PDF

Info

Publication number
JP5464232B2
JP5464232B2 JP2012117649A JP2012117649A JP5464232B2 JP 5464232 B2 JP5464232 B2 JP 5464232B2 JP 2012117649 A JP2012117649 A JP 2012117649A JP 2012117649 A JP2012117649 A JP 2012117649A JP 5464232 B2 JP5464232 B2 JP 5464232B2
Authority
JP
Japan
Prior art keywords
communication
communication device
established
encryption
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012117649A
Other languages
English (en)
Other versions
JP2013247392A (ja
Inventor
健嗣 八百
潔 福井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2012117649A priority Critical patent/JP5464232B2/ja
Priority to US13/898,459 priority patent/US20130315391A1/en
Publication of JP2013247392A publication Critical patent/JP2013247392A/ja
Application granted granted Critical
Publication of JP5464232B2 publication Critical patent/JP5464232B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はセキュア通信システム及び通信装置に関し、例えば、暗号通信路を確立若しくは再確立する場合に適用し得るものである。
検知情報の通信機能を有するセンサ装置等を防災監視、交通制御、金融といった高い信頼性や品質が必要とされる社会インフラ分野で利用するためには、サービス提供サーバ等の通信装置とセンサ装置等の通信装置との間の通信の安全性を維持する必要がある。センサ装置等の通信装置が、サービス提供サーバ等の不特定の通信装置とエンドツーエンドの安全な通信路を確保するためには、当該2つの通信装置間で、鍵交換、認証、暗号化方式の整合といったエンドツーエンドの情報交換が必要になる。
ここで、センサ装置等の通信装置が省電力マルチホップネットワークを形成している場合を考える。省電力マルチホップネットワークとは、センサ装置等の各通信装置がバケツリレー方式でデータを配送し、自身がデータ配送に関与しないときは、スリープすることにより電力消費を抑えるネットワークである。例えば、膨大な数のセンサ装置等の通信装置が広範囲に展開され、それぞれの通信装置とインターネット上のサーバ等の通信装置との間で、エンドツーエンドの安全な通信路を確保したい場合、上述のエンドツーエンドの情報交換が、省電力マルチホップネットワークの輻輳や、消費電力の増加や、処理時間の増加等の問題を引き起こす可能性がある。
上述の問題に対応できる従来技術として、特許文献1には、IPsec(Security Architecture for Internet Protocol)やTLS(Transport Layer Security)で必要になるエンドツーエンドの暗号通信路確立処理を、計算資源及びメモリ資源等が限られたネット家電等の機器へ、高速かつ安全に提供できるように、ホームゲートウェイ装置において処理を代行させる方法が提案されている。また、特許文献1に記載の方法では、宅内装置と宅外装置との間の通信経路上に存在するホームゲートウェイ装置が処理を代行するため、宅外装置が代行装置の存在を意識することなく、宅内装置が代行装置に暗号通信路確立処理を代行してもらうことができる。
特開2006−41726号公報
しかしながら、特許文献1の記載技術では、宅内機器と宅外機器との間の接続ポイントとなるホームゲートウェイ装置を代行装置とみなしており、宅内機器と宅外機器との間の経路上に存在しない機器が処理を代行する可能性を考慮していない。例えば、近年のクラウドサービスの普及により、今後は、ホームゲートウェイ装置ではなく、インターネット上のクラウドサーバに暗号通信路確立処理のみを委託するような利用シーンも想定される。また、宅内機器とゲートウェイ装置とで提供ベンダが異なる場合など、宅内機器がゲートウェイ装置に処理を委託することが困難なシーンも想定される。このような利用シーンでは、宅内機器が、宅外機器との暗号通信路の確立を、宅内機器と宅外機器との間の経路上に存在しない代行装置に代行してもらう仕組みを提供する必要がある。
ここで、仮に、暗号通信路の確立を代行装置が実行するようにしたとしても、再確立をも代行装置が代行するとした場合、再確立に多くの処理が割かれることになる。センサ装置における通信機能は、できるだけ簡単、安価なものが好ましく、このような通信機能を有するセンサ装置が一方のエンド装置の場合、暗号通信路を再確立しなければならない事態が多くなると推測される。このような状況で、暗号通信路の再確立に多くの処理が割かれることは、システムとしての通信効率を著しく低下させる恐れがある。
そのため、エンドツーエンドの暗号通信路の再確立処理を、安全性を担保した上で高速に実行できるセキュア通信システム及び通信装置が望まれている。
第1の本発明は、マルチホップネットワークの要素である第1の通信装置と、上記マルチホップネットワーク以外のネットワークの要素である第2の通信装置とが暗号通信するセキュア通信システムにおいて、(1)上記第1の通信装置は、(1−1)上記第2の通信装置との間で確立済みの暗号通信路に関する情報を管理する第1確立済暗号通信路管理手段と、(1−2)IPアドレスではない当該第1の通信装置固有の識別情報を、今までの暗号通信路の経路とは異なる経路を介して、上記第2の通信装置に通知することで、上記第2の通信装置と協働し、上記確立済みの暗号通信路に関する情報を利用して、上記第2の通信装置と暗号通信路を再確立する第1暗号通信路再確立手段とを有し、(2)上記第2の通信装置は、(2−1)上記第1の通信装置固有の識別情報を管理し、当該第1の通信装置固有の識別情報と、上記確立済みの暗号通信路に関する情報とを対応付けて管理する第2確立済暗号通信路管理手段と、(2−2)上記第1の通信装置固有の識別情報が、今までの暗号通信路の経路とは異なる経路を介して通知されたとき、管理している上記第1の通信装置固有の識別情報及び上記確立済みの暗号通信路に関する情報に基づき、上記第1の通信装置との間で暗号通信路を再確立する第2暗号通信路再確立手段とを有することを特徴とする。
第2の本発明は、マルチホップネットワークの要素である第1の通信装置と、上記マルチホップネットワーク以外のネットワークの要素である第2の通信装置とが暗号通信するセキュア通信システムにおいて、上記第1の通信装置に代わって、上記第1の通信装置と上記第2の通信装置との間の暗号通信路の新規確立処理を行う第3の通信装置を備え、(1)上記第1の通信装置は、(1−1)上記第3の通信装置が上記第2の通信装置との間で既に確立した上記第1の通信装置と上記第2の通信装置との間の確立済みの暗号通信路に関する情報を、上記第3の通信装置より取得する確立済暗号通信路情報取得手段と、(1−2)上記確立済暗号通信路情報取得手段が取得した上記確立済みの暗号通信路に関する情報を管理する第1確立済暗号通信路管理手段と、(1−3)IPアドレスではない当該第1の通信装置固有の識別情報を、今までの暗号通信路の経路とは異なる経路を介して、上記第2の通信装置に通知することで、上記第2の通信装置と協働し、上記確立済みの暗号通信路に関する情報を利用して、上記第2の通信装置と暗号通信路を再確立する第1暗号通信路再確立手段とを有し、(2)上記第2の通信装置は、(2−1)当該第2の通信装置と通信する上記第1の通信装置固有の識別情報を管理し、当該第1の通信装置固有の識別情報と、上記確立済みの暗号通信路に関する情報とを対応付けて管理する第2確立済暗号通信路管理手段と、(2−2)上記第1の通信装置固有の識別情報が、今までの暗号通信路の経路とは異なる経路を介して通知されたとき、管理している上記第1の通信装置固有の識別情報及び上記確立済みの暗号通信路に関する情報に基づき、上記第1の通信装置と暗号通信路を再確立する第2暗号通信路再確立手段とを有し、(3)上記第3の通信装置は、(3−1)上記第1の通信装置固有の識別情報を通知することを含め、上記第1の通信装置に代わって、上記第1の通信装置と上記第2の通信装置との間の暗号通信路を確立する暗号通信路確立代行手段と、(3−2)上記確立済みの暗号通信路に関する情報を、上記第1の通信装置へ通知する確立済暗号通信路情報通知手段とを有することを特徴とする。
第3の本発明は、マルチホップネットワークの要素である対向通信装置と暗号通信路を介して暗号通信する、上記マルチホップネットワーク以外のネットワークの要素である通信装置において、(1)IPアドレスではない上記対向通信装置固有の識別情報を管理し、当該対向通信装置固有の識別情報と、確立済みの暗号通信路に関する情報とを対応付けて管理する確立済暗号通信路管理手段と、(2)上記対向通信装置固有の識別情報が、今までの暗号通信路の経路とは異なる経路を介して通知されたとき、管理している上記対向通信装置固有の識別情報及び上記確立済みの暗号通信路に関する情報に基づき、上記対向通信装置との間で暗号通信路を再確立する暗号通信路再確立手段とを有することを特徴とする。
第4の本発明は、マルチホップネットワークの要素である第1の通信装置と上記マルチホップネットワーク以外のネットワークの要素である第2の通信装置のうちの上記第1の通信装置に代わって、上記第1の通信装置と上記第2の通信装置との間の暗号通信路の新規確立処理を行う第3の通信装置を備えるセキュア通信システムにおける上記第1の通信装置が該当する通信装置において、(1)上記第3の通信装置が上記第2の通信装置との間で既に確立した当該第1の通信装置と上記第2の通信装置との間の確立済みの暗号通信路に関する情報を、上記第3の通信装置より取得する確立済暗号通信路情報取得手段と、(2)上記確立済暗号通信路情報取得手段が取得した上記確立済みの暗号通信路に関する情報を管理する確立済暗号通信路管理手段と、(3)IPアドレスではない当該第1の通信装置固有の識別情報を、今までの暗号通信路の経路とは異なる経路を介して、上記第2の通信装置に通知することで、上記第2の通信装置と協働し、上記確立済みの暗号通信路に関する情報を利用して、上記第2の通信装置と暗号通信路を再確立する暗号通信路再確立手段とを有することを特徴とする。
本発明によれば、エンドツーエンドの暗号通信路の再確立処理を、安全性を担保した上で高速に実行できるセキュア通信システム及び通信装置を提供できる。
第1の実施形態に係るセキュア通信システムの構成を示すブロック図である。 第1の実施形態における2つの通信装置の内部構成を示す機能ブロック図である。 第1の実施形態における2つの通信装置間の暗号通信路の新規確立動作を示す説明図である。 第1の実施形態における2つの通信装置で実行される確立済暗号通信路に関する情報の更新動作を示す説明図である。 第1の実施形態における2つの通信装置間の暗号通信路の再確立動作の流れを示すシーケンス図である。 第1の実施形態における2つの通信装置間の暗号通信路の再確立動作を示す説明図である。 第2の実施形態に係るセキュア通信システムの構成を示すブロック図である。 第2の実施形態における第1の通信装置の内部構成を示す機能ブロック図である。 第2の実施形態における代行装置の内部構成を示す機能ブロック図である。 第2の実施形態における2つの通信装置間の暗号通信路の新規確立動作を示す説明図である。 第2の実施形態において確立済暗号通信路に関する情報を代行装置から第1の通信装置へ通知する動作を示す説明図である。 第2の実施形態における2つの通信装置間の暗号通信路の再確立動作を示す説明図である。
(A)第1の実施形態
以下、本発明によるセキュア通信システム及び通信装置の第1の実施形態を、図面を参照しながら説明する。
第1の実施形態は、通信に供している一方の通信装置(後述する第1の通信装置)が、ハンドオーバ等によりネットワーク上のアドレスが変わった場合でも、アドレス変更前に既に確立したエンドツーエンドの暗号通信路に関する情報を引き継ぐことで、新規に暗号通信路を構築するよりも少ない処理で、暗号通信路を再確立することができるようにしたものである。
(A−1)第1の実施形態の構成
図1は、第1の実施形態に係るセキュア通信システムの構成を示すブロック図である。
図1において、第1の実施形態に係るセキュア通信システム1は、マルチホップネットワーク2と有線ネットワーク(以下の動作説明ではIP網とする)3とを含み、これら2つのネットワーク2及び3間には、複数(図1では2個の例を示している)のゲートウェイ装置(以下、第1、第2のゲートウェイ装置と呼ぶ)4−1、4−2が設けられている。マルチホップネットワーク2は、例えば、多数の通信装置が広範囲に展開されており、また、有線ネットワーク3は複数の通信装置を収容している。第1の実施形態は、マルチホップネットワーク2内のある1つの通信装置(以下、第1の通信装置と呼ぶ)5と、有線ネットワーク3に属するある1つの通信装置(以下、第2の通信装置と呼ぶ)6とのエンドツーエンドの通信を想定している。なお、有線ネットワーク3と呼んだネットワークは、その一部若しくは全てが無線ネットワークで構成されていても良い部分である。
第1の実施形態に係るセキュア通信システム1は、その適用ネットワークが限定されるものではない。例えば、省電力マルチホップネットワークを形成するセンサ装置と、センサ装置の情報を収集するインターネット上のサーバ装置(情報収集装置)とを含むセキュア通信システムは、第1の実施形態のセキュア通信システム1となることができ、この場合、第1の通信装置5はセンサ装置であり、第2の通信装置6はインターネット上のサーバ装置である。
図2は、第1の実施形態における第1の通信装置5及び第2の通信装置6の内部構成を示す機能ブロック図である。
上述したように、第1の通信装置5及び第2の通信装置6間には、マルチホップネットワーク2、ゲートウェイ装置4−1、4−2、有線ネットワーク3が介在するが、図2では、介在している構成要素を省略している。第1の通信装置5及び第2の通信装置6の内部構成(物理層より上位層の構成)の全て若しくは大半を、CPUが実行するソフトウェアで実現することも可能であり、また、DSP(Digital Signal Processor)、ASIC(Application Specific IC)、PLD(Programmable Logic Device)などの電子回路で実現することも可能であるが、機能的には、図2で表すことができる。
第1の通信装置5及び第2の通信装置6のいずれが、暗号通信路の確立、再確立の起動側の装置になっても良いが、以下では、第1の通信装置5が暗号通信路の確立、再確立の起動側の装置で、第2の通信装置6がそれに応じて動作する装置であるとして、第1の通信装置5及び第2の通信装置6の各構成部の機能を説明する。
この明細書における「暗号通信路の確立(新規確立若しくは再確立)」の用語は、通信に供する2つの通信装置(第1の通信装置5、5A及び第2の通信装置6、6A)を互いに暗号通信し得る状態に設定することを意味し、2つの通信装置の通信に供する経路の設定等は含まない用語である。経路設定は各実施形態の特徴から離れるので、その説明は省略している。例えば、暗号通信路の確立には、両通信装置が暗号通信し得るものであることを認証したり、暗号通信を実行できるために情報を整合したり(適用する暗号アルゴリズムやハッシュアルゴリズムを定めたり)、暗号通信を実行できるために情報を交換したり(鍵やマスターシークレット等を交換して共通したり)することなどを要する。
図2において、第1の通信装置5は、確立済暗号通信路管理部51、暗号通信路確立部52、送信部53及び受信部54を有する。
確立済暗号通信路管理部51は、第1の通信装置5が第2の通信装置6と既に確立した暗号通信路に関する情報を管理するものである。暗号通信路に関する情報とは、第1の通信装置5と第2の通信装置6との間のセキュア通信に利用する暗号アルゴリズムや暗号化方式、利用する鍵情報、それらを識別する識別情報などの各情報、又は、これらのうちの複数の情報である。例えば、暗号通信路に関する情報には、TLSを利用したハンドシェイク処理の結果として整合されるセッションIDやマスターシークレットを含んでいても良い。また例えば、暗号通信路に関する情報には、IPsecを利用したセキュアアソシエーション処理の結果として整合される秘密の共有鍵を含んでいても良い。確立済暗号通信路管理部51は、暗号通信路確立部52より、新規に確立された暗号通信路に関する情報を受け取ることによって、受け取った暗号通信路に関する情報を確立済みの暗号通信路に関する情報として管理する。また、確立済暗号通信路管理部51は、自身が既に管理している確立済みの暗号通信路に関する情報を暗号通信路確立部52へ与えるものである。
暗号通信路確立部52は、第2の通信装置6との暗号通信路を新規に確立、又は、再確立するものである。暗号通信路の確立方法としては、例えば、TLSやIPsec等を利用することができる。ここで、TLSやIPsecで利用する鍵交換方式や認証方式、暗号化方式に関して特に限定するものではない。例えば、証明書を交換することで認証や鍵交換を実施するようにしても良く、事前の秘密の共有鍵を用いることにより認証や暗号化鍵の共有を実施するようにしても良い。暗号通信路確立部52は、第2の通信装置6と暗号通信路を確立するためのメッセージを送信部53に与え、受信部54より暗号通信路を確立するためのメッセージが与えられる。
暗号通信路確立部52は、第2の通信装置6に対して暗号通信路の新規確立の要求メッセージを生成することにより、第2の通信装置6との暗号通信路を新規に確立する。ここで、第1の通信装置5は、新規に確立した暗号通信路に関する情報に対応付けるべき、当該第1の通信装置固有の識別情報(この識別情報はシステム1が任意に定めたものであっても良く、また、MACアドレス等のシステム1を超えて装置に予め定められているものであっても良い)を第2の通信装置6へ通知する。暗号通信路確立部52は、第2の通信装置6と新規に確立した暗号通信路に関する情報を確立済暗号通信路管理部51へ与える。
また、暗号通信路確立部52は、当該第1の通信装置固有の識別情報を伴って、第2の通信装置6に対して暗号通信路の再確立の要求メッセージを生成することにより、第2の通信装置6との暗号通信路を新規に確立するよりも少ない処理で再確立する。この場合、暗号通信路確立部52は、第2の通信装置6と既に確立済みの暗号通信路に関する情報を確立済暗号通信路管理部51より与えられることにより、与えられた暗号通信路に関する情報を利用して暗号通信路を再確立する。例えば、TLSを利用して暗号通信路を再確立する場合には、既に確立した暗号通信路のセッションIDを確立要求メッセージに含める。また例えば、IPsecを利用して暗号通信路を再確立する場合には、IKE(Internet Key Exchange)等のプロトコル(IPsecのフェーズ1の処理)を利用して既に確立したISAKMP(Internet Security Association and Key Management Protocol)セキュリティアソシエーションを利用して、暗号通信路用のIPsecセキュリティアソシエーション(フェーズ2の処理)を確立する。
送信部53は、暗号通信路確立部52より与えられた、暗号通信路を確立するためのメッセージを第2の通信装置6へ送信するものである。
受信部54は、第2の通信装置6より受信した、暗号通信路を確立するためのメッセージを暗号通信路確立部52へ与えるものである。
第2の通信装置6の内部構成も、第1の通信装置5と同様に、確立済暗号通信路管理部61、暗号通信路確立部62、送信部63及び受信部64を有する。しかし、第2の通信装置6における各構成部における機能は、第1の通信装置5の対応構成部の機能とは異なっている。
確立済暗号通信路管理部61は、第1の通信装置5の固有の識別情報を管理し、当該第1の通信装置5の固有の識別情報と、第1の通信装置5との間に既に確立した暗号通信路に関する情報とを対応付けて管理するものである。
確立済暗号通信路管理部61は、第1の通信装置固有の識別情報と対応付けられた暗号通信路に関する情報を、暗号通信路確立部62へ与える。ここで、確立済暗号通信路管理部61は、暗号通信路確立部62より第1の通信装置固有の識別情報が与えられることによって、この識別情報と対応付けて管理される暗号通信路に関する情報を応答するようにしても良い。また、確立済暗号通信路管理部61は、既に確立済みの暗号通信路に関する情報全てを暗号通信路確立部62へ与えるようにしても良い。
一方、暗号通信路確立部62より、第1の通信装置固有の識別情報及び新規確立した暗号通信路に関する情報を与えられた場合には、確立済暗号通信路管理部61は、自身において管理する暗号通信路に関する情報のうち、上記第1の通信装置固有の識別情報に対応付けられた暗号通信路に関する情報を更新又は追加するようにしても良い。
暗号通信路確立部62は、第1の通信装置5との暗号通信路を新規に確立、又は、再確立するものである。暗号通信路の確立方法としては、例えば、TLSやIPsec等を利用することができる。暗号通信路確立部62は、第1の通信装置5と暗号通信路を確立するためのメッセージを送信部63に与え、受信部64より暗号通信路を確立するためのメッセージが与えられる。
暗号通信路確立部62は、第1の通信装置5から暗号通信路の新規確立の要求メッセージを与えられることにより、第1の通信装置5との暗号通信路を新規に確立する。暗号通信路確立部62は、第1の通信装置5と新規に確立した暗号通信路に関する情報と、第1の通信装置5から通知された第1の通信装置固有の識別情報とを確立済暗号通信路管理部61へ与える。また、暗号通信路確立部62は、第1の通信装置5から、第1の通信装置固有の識別情報と、暗号通信路の再確立の要求メッセージを与えられることにより、第1の通信装置5との暗号通信路を新規に確立するよりも少ない処理で再確立する。この場合、暗号通信路確立部62は、確立済暗号通信路管理部61より与えられた第1の通信装置固有の識別情報と対応付けられる既に確立済みの暗号通信路に関する情報を利用して暗号通信路を再確立する。例えば、TLSを利用して暗号通信路を再確立する場合には、再確立の要求メッセージに含められたセッションIDが、第1の通信装置固有の識別情報に対応付けられている確立済みの暗号通信路のセッションIDと等しい場合に、当該暗号通信路に関する情報を利用して第1の通信装置5との暗号通信路を再確立する。また例えば、IPsecを利用して暗号通信路を再確立する場合には、再確立の要求に利用されるセキュリティアソシエーションが、第1の通信装置固有の識別情報に対応付けられている確立済みの暗号通信路のセキュリティアソシエーションと等しい場合に、当該暗号通信路に関する情報を利用して第1の通信装置5との暗号通信路を再確立する。
送信部63は、暗号通信路確立部62より与えられた暗号通信路を確立するためのメッセージを第1の通信装置5へ送信するものである。
受信部64は、第1の通信装置5より受信した暗号通信路を確立するためのメッセージを暗号通信路確立部62へ与えるものである。
(A−2)第1の実施形態の動作
次に、第1の実施形態に係るセキュア通信システム1の動作を、図面を参照しながら、暗号通信路の新規確立動作、確立済暗号通信路に関する情報更新動作、暗号通信路の再確立動作の順に説明する。特に、この第1の実施形態の特徴をなす暗号通信路の再確立動作については詳細に説明する。
(A−2−1)暗号通信路の新規確立動作
まず、第1の通信装置5及び第2の通信装置6間の暗号通信路の新規確立動作を、図3をも参照しながら説明する。
なお、新規確立動作以前において、第2の通信装置6の確立済暗号通信路管理部61が管理する確立済暗号通信路に関する情報には、第1の通信装置5との暗号通信路に関する情報は記述されていない。図3では、第1の通信装置5に固有な識別情報が「0001」の場合を示している。また、第2の通信装置6は、例えば、インターネット上のサーバが該当し、複数の通信装置と並行してセキュアな通信が可能なものである。
第1の通信装置5は、第2の通信装置6との通信(暗号化通信)が必要となると、ゲートウェイ装置(ここでは第1のゲートウェイ装置4−1とする)経由で有線ネットワーク3に接続し、IPアドレス(例えば、2001:abc::def:0001)を取得する。例えば、第1の通信装置5は、複数のゲートウェイ装置について優先順序を付した情報を内部に格納しており、その優先順序情報に従って利用するゲートウェイ装置を定める。この優先順序情報は、マルチホップネットワーク2のノードとして、周囲に存在するノードの情報を取得する動作の中で得るようにしても良く(例えば、ホップ数が少ないゲートウェイ装置の優先順序を高くする)、また、第1の通信装置5を、マルチホップネットワーク2のノードとして設定する際に予めオペレータによる設定操作によって設定しておくようにしても良い。また例えば、IPアドレスの取得時に、利用するゲートウェイ装置の探索も行うようにしても良い。上記では、有線ネットワーク3(のNAT装置)からIPアドレスを取得するように説明したが、第1のゲートウェイ装置4−1がマルチホップネットワーク2のノードに割当て可能なIPアドレスを保持しておき、その一つを第1の通信装置5に割り当てるようにしても良い。
その後、第1の通信装置5において、暗号通信路確立部52が、第2の通信装置6への新規の暗号通信路確立要求を生成し、送信部53を介して、第2の通信装置6へ宛てて送信する。暗号通信路確立要求は、マルチホップネットワーク2と有線ネットワーク3とでパケットなどの構成が異なっていても同じであっても良く、前者の場合には、第1のゲートウェイ装置4−1がパケット構成の変換等を行う。第2の通信装置6へ到達する暗号通信路確立要求のパケットにおける送信元IPアドレスとして取得したIPアドレスが含まれていれば良く、第2の通信装置6は、上記IPアドレスを第1の通信装置5のIPアドレスとして、第1の通信装置5と通信する。また、第1の通信装置5と第2の通信装置6との通信路上に介在するマルチホップネットワーク2の他の通信装置8−1、8−2は、既存の経路決定方法により定まり、第1の実施形態の特徴から離れているので、その決定方法の説明は省略する。
暗号通信路確立要求が第2の通信装置6で受信されることを契機として、第1の通信装置5の暗号通信路確立部52と第2の通信装置6の暗号通信路確立部62とが協働して、第1の通信装置5及び第2の通信装置6間の暗号通信路の確立処理を行う。ここで、第1の通信装置5の暗号通信路確立部52は、第1の通信装置固有の識別情報を第2の通信装置6に通知することによって、暗号通信路を確立する。
(A−2−2)確立済暗号通信路に関する情報の更新動作
次に、第1の通信装置5及び第2の通信装置6における確立済暗号通信路に関する情報の更新動作を、図4を参照しながら説明する。
第1の通信装置5の確立済暗号通信路管理部51は、第2の通信装置6との暗号通信路が確立すると、確立した暗号通信路に関する情報を管理する。また、第2の通信装置6の確立済暗号通信路管理部61は、第1の通信装置5との暗号通信路が確立すると、第1の通信装置固有の識別情報と、第1の通信装置5との間で確立した暗号通信路に関する情報とを対応付けて管理する。
図4は、暗号通信路の確立方法としてTLSを利用した場合の例を示している。第1の通信装置5の確立済暗号通信路管理部51は、ハンドシェイク処理の結果として整合されるセッションID「32bde1ef」やマスターシークレット「MS0001」等を管理する。また、第2の通信装置6の確立済暗号通信路管理部61は、第1の通信装置固有の識別情報「0001」に対応付けて、第1の通信装置5側と同一の、セッションID「32bde1ef」やマスターシークレット「MS0001」等を管理する。
(A−2−3)確立済暗号通信路の再確立動作
次に、第1の通信装置5及び第2の通信装置6間の暗号通信路の再確立動作を、図5及び図6をも参照しながら説明する。ここで、図5は、再確立動作の流れを示すシーケンス図であり、図6は、再確立動作のイメージを示す説明図である。
第1の通信装置5は、第1のゲートウェイ装置4−1経由で有線ネットワーク3に接続できなくなったことを検知すると、暗号通信路の再確立動作を開始し、接続先のゲートウェイ装置を、第1のゲートウェイ装置4−1から第2のゲートウェイ装置4−2に切り替える(ステップS100)。そして、第1の通信装置5は、第2のゲートウェイ装置4−2経由で有線ネットワーク3に接続し、IPアドレス(例えば、2001:abc::012:0001)を取得する(ステップS101)。
第1の通信装置5の暗号通信路確立部52は、第2の通信装置6と既に確立した暗号通信路に関する情報(セッションID「32bde1ef」、マスターシークレット「MS0001」等)を、確立済暗号通信路管理部51から取得する(ステップS102)。
第1の通信装置5の暗号通信路確立部52は、第1の通信装置固有の識別情報(0001)と、第2の通信装置6と既に確立した暗号通信路に関する情報(セッションID「32bde1ef」、マスターシークレット「MS0001」等)を含む、第2の通信装置6との暗号通信路の再確立要求を生成し、送信部53を介して第2の通信装置6へ送信する(ステップS103)。
第2の通信装置6が受信部64によって暗号通信路の再確立要求を受信すると、暗号通信路確立部62は、暗号通信路の再確立要求に含まれている第1の通信装置固有の識別情報(0001)に基づいて、確立済暗号通信路管理部61から、その第1の通信装置固有の識別情報(0001)に対応付けられている、第1の通信装置5と既に確立した暗号通信路に関する情報とを取得し、受信した暗号通信路に関する情報と、確立済暗号通信路管理部61から取得した暗号通信路に関する情報とが一致していることを確認する(ステップS104)。
その後、第2の通信装置6の暗号通信路確立部62と、第1の通信装置5の暗号通信路確立部52との間で、暗号通信路の再確立処理を行う(ステップS105)。この暗号通信路の再確立処理では、新規確立処理とは異なり、暗号通信路に関する情報(例えば、セッションID「32bde1ef」、マスターシークレット「MS0001」等)を、第1の通信装置5及び第2の通信装置6で共有化させるための通信処理は省略される。
例えば、TLSを利用して暗号通信路を再確立する場合であれば、TLSハンドシェイクプロトコルに従う通信メッセージの授受のうち、マスターシークレット「MS0001」を第1の通信装置5及び第2の通信装置6間で共有させるための通信メッセージの授受を省略でき、第2の通信装置6の暗号通信路確立部62及び第1の通信装置5の暗号通信路確立部52は、暗号通信路の再確立ではそのような通信メッセージの授受を省略し、自己の確立済暗号通信路管理部61、51が管理している、マスターシークレットを継続して適用するようにする。また例えば、IPsecを利用して暗号通信路を再確立する場合であれば、第1の通信装置5の暗号通信路確立部52及び第2の通信装置6の暗号通信路確立部62は、IKE鍵交換というフェーズ1の処理を省略し、自己の確立済暗号通信路管理部51、61が管理している暗号通信路に関する情報を利用し、暗号通信路用のIPsecセキュリティアソシエーションというフェーズ2の処理を行うことになる。
なお、第2の通信装置6の暗号通信路確立部62が、受信した暗号通信路に関する情報と、確立済暗号通信路管理部61から取得した暗号通信路に関する情報とが一致していることを確認できない場合には、第2の通信装置6の暗号通信路確立部62と、第1の通信装置5の暗号通信路確立部52との間で、暗号通信路の新規確立処理が実行されることになる。
(A−3)第1の実施形態の効果
第1の実施形態によれば、第2の通信装置6が、第1の通信装置固有の識別情報と、第2の通信装置6と既に確立した暗号通信路に関する情報とを対応付けて管理することにより、例えば、第1の通信装置5から第1のゲートウェイ装置4−1までの経路上に障害が発生し、第1の通信装置5が第2のゲートウェイ装置4−2経由でネットワークに接続することになった場合(例えば、第1の通信装置5のネットワーク上のアドレスが変更になった場合)に、第1の通信装置固有の識別情報に基づき、第1の通信装置5と第2の通信装置6とが既に確立した暗号通信路に関する情報を利用して、第1の通信装置5が第2の通信装置6に対して新規に暗号通信路を確立するよりも少ない処理で暗号通信路を再確立できる。
上述のような効果は、省電力マルチホップネットワークのようなネットワークの場合に特に有効な効果である。
例えば、第2の通信装置6がインターネット上のサーバ装置であり、第1の通信装置5がノートPC等のモバイル端末でアクセスポイント(ゲートウェイ装置に該当する)に応じてネットワーク上のアドレスが変更する場合、第1の通信装置5に新しいネットワーク上のアドレスが割り振られる度に第2の通信装置6と新規に暗号通信路を確立していた。また、第2の通信装置6であるインターネット上のサーバ装置に対しては、不特定多数の端末からアクセスがあることが前提となっているため、当該第2の通信装置6において自身と接続する不特定多数の端末の固有の識別情報を管理することは煩雑であり、また、管理することのメリットは少ない
一方、省電力マルチホップネットワークにおいては、前述のように、既に確立済みの暗号通信路に関する情報を利用することで、暗号通信路確立にかかる通信量を削減できることは非常に有効である。また、省電力マルチホップネットワークにおいては、第1の通信装置5が、ノートPC等のように人が利用する装置とは異なり、センサ装置等のように通信機能を持った自律的な装置であるため、第1の通信装置5の通信相手となる第2の通信装置6は事前に決定しているか、他の装置から通知されると考えられる。これは、第2の通信装置6から見た場合に、当該第2の通信装置6に接続する第1の通信装置5を管理できることを意味する。このように、省電力マルチホップネットワークでは、第2の通信装置6に対しては、特定の第1の通信装置5からアクセスされることを前提となっている。第2の通信装置6において、これら特定の第1の通信装置5を管理し、当該第1の通信装置固有の識別情報に対応付けて当該第1の通信装置5と既に確立した暗号通信路に関する情報を管理することによって、第1の通信装置5と第2の通信装置6との間のセキュアなコネクションが切断したり、第1の通信装置5のネットワーク上のアドレスが変更したりする場合でも、第1の通信装置5と第2の通信装置6との間で発生する暗号通信路を確立するための通信量を削減しつつ、暗号通信路を再確立することができるという効果は、大きな効果である。
(B)第2の実施形態
次に、本発明によるセキュア通信システム及び通信装置の第2の実施形態を、図面を参照しながら説明する。
第2の実施形態は、代行装置が、第1の通信装置と第2の通信装置との間の暗号通信路の新規確立処理を第1の通信装置に代わって行ない、第1の通信装置が代行装置から暗号通信路に関する情報を取込むことで、新規に暗号通信路を確立するよりも少ない処理で、暗号通信路をその後に再確立することができるようにしたものである。
(B−1)第2の実施形態の構成
図7は、第2の実施形態に係るセキュア通信システムの構成を示すブロック図である。
図7において、第2の実施形態に係るセキュア通信システム1Aは、第1の実施形態に係るセキュア通信システム1の構成要素に加え、代行装置(なお、特許請求の範囲では代行装置を第3の通信装置と表現している)7を有線ネットワーク3に有する。なお、代行装置7は、専用の装置として構築されていても良く、また、ゲートウェイ装置やSIPプロキシ装置等がこの第2の実施形態における代行装置としての機能を兼ねたものであっても良い。また、図7では、代行装置7が有線ネットワーク3に設けられたものを示しているが、代行装置7がマルチホップネットワーク2に設けられたものであっても良い。
図8は、第2の実施形態における第1の通信装置5Aの内部構成を示す機能ブロック図であり、第1の実施形態に係る上述した図2との同一、対応部分には同一符号を付して示している。
図8において、第1の通信装置5Aは、確立済暗号通信路情報取得部55、確立済暗号通信路管理部51、暗号通信路確立部52、送信部53及び受信部54を有する。これらのうち、暗号通信路確立部52及び送信部53は、第1の実施形態の対応要素と同一であるため、その説明を省略する。
確立済暗号通信路情報取得部55は、代行装置7が第2の通信装置6Aとの間で第1の通信装置5Aに代って確立した、第1の通信装置5A及び第2の通信装置6A間の新規の暗号通信路に関する情報を取得するものである。確立済暗号通信路情報取得部55は、暗号通信路に関する情報を、代行装置7からセキュアに取得するものであっても良い。例えば、代行装置7と第2の通信装置6Aとが共有する秘密の共通鍵で暗号化認証されていても良い。確立済暗号通信路情報取得部55は、受信部54を介して与えられた暗号通信路に関する情報を取得し、取得した情報を確立済暗号通信路管理部51へ与える。
確立済暗号通信路管理部51は、代行装置7が第2の通信装置6Aとの間で新規に確立した暗号通信路に関する情報を管理する点を除いては、第1の実施形態における確立済暗号通信路管理部51と同様なものである。
受信部54は、代行装置7から受信した、第2の通信装置6Aとの間の新規の暗号通信路に関する情報を確立済暗号通信路情報取得部55へ与える点を除いては、第1の実施形態の第1の通信装置5における受信部54と同様なものである。
第2の実施形態における第2の通信装置6Aも、第1の実施形態における第2の通信装置6と同様に、確立済暗号通信路管理部61、暗号通信路確立部62、送信部63及び受信部64を有する。
確立済暗号通信路管理部61は、暗号通信路確立部62から、第1の通信装置固有の識別情報と、第1の通信装置固有の識別情報に対応付けられた、代行装置7との間で新規に確立した通信装置間の暗号通信路に関する情報が与えられる良い点を除いて、第1の実施形態における確立済暗号通信路管理部61と同様である。
暗号通信路確立部62は、基本的に第1の実施形態の暗号通信路確立部62とほぼ同様なものであるが、確立動作する相手装置が、第1の実施形態のものとは異なっている。暗号通信路確立部62は、代行装置7との間で、第1の通信装置5Aとの間で適用する暗号通信路を新規に確立する。
暗号通信路確立部62は、代行装置7から暗号通信路の新規確立の要求メッセージを与えられることにより、代行装置7との間で、第1の通信装置5Aとの間で適用する暗号通信路を新規に確立する。暗号通信路確立部62は、代行装置7と新規に確立した暗号通信路に関する情報と、代行装置7から通知された第1の通信装置固有の識別情報とを確立済暗号通信路管理部61へ与える。なお、この第2の実施形態の場合、暗号通信路確立部62は、暗号通信路の再確立のためのメッセージ授受は、第1の通信装置5Aとの間で行う。
送信部63は、暗号通信路確立部62から与えられた暗号通信路を確立するためのメッセージを代行装置7又は第1の通信装置5Aへ送信するものである。
受信部64は、代行装置7又は第1の通信装置5Aから受信した暗号通信路を確立するためのメッセージを暗号通信路確立部62へ与えるものである。
図9は、第2の実施形態における代行装置7の内部構成を示す機能ブロック図である。代行装置7の内部構成(物理層より上位層の構成)の全て若しくは大半を、CPUが実行するソフトウェアで実現することも可能であり、また、DSP、ASIC、PLDなどの電子回路で実現することも可能であるが、機能的には、図9で表すことができる。
図9において、代行装置7は、暗号通信路確立部71、確立済暗号通信路情報通知部72、送信部73及び受信部74を有する。
暗号通信路確立部71は、第1の通信装置5Aに代行して、第2の通信装置6Aとの暗号通信路を新規に確立するものである。暗号通信路確立部71は、第2の通信装置6Aに対して暗号通信路の新規確立の要求メッセージを生成することにより、第2の通信装置6Aとの暗号通信路を新規に確立する。ここで、暗号通信路確立部71は、新規に確立した暗号通信路に関する情報に対応付けるべき、第1の通信装置固有の識別情報を第2の通信装置6Aへ通知する。暗号通信路確立部71は、第1の通信装置5A及び第2の通信装置6A間に新規に確立した暗号通信路に関する情報を確立済暗号通信路情報通知部72へ与える。
確立済暗号通信路情報通知部72は、第1の通信装置5Aに代って新規に確立した暗号通信路に関する情報を、第1の通信装置5Aへ通知するものである。確立済暗号通信路情報通知部72は、新規確立の暗号通信路に関する情報を、第1の通信装置5Aへセキュアに通知するようにしても良い。例えば、代行装置7と第1の通信装置5Aとが共有する秘密の共通鍵で暗号化認証されるようにしても良い。確立済暗号通信路情報通知部72は、暗号通信路確立部71から与えられた新規確立済みの暗号通信路に関する情報を送信部73へ与える。
送信部73は、暗号通信路確立部71から与えられた暗号通信路を新規確立するためのメッセージを第2の通信装置6Aへ送信するものである。また、送信部73は、確立済暗号通信路情報通知部72から与えられた、第1の通信装置5A及び第2の通信装置6Aについて新規確立された暗号通信路に関する情報を、第1の通信装置5Aへ送信するものである。
受信部74は、第2の通信装置6Aから受信した暗号通信路を新規確立するためのメッセージを暗号通信路確立部71へ与えるものである。
なお、代行装置7は、第2の通信装置6Aとの間で、第1の通信装置5Aを経由しないで通信することが好ましい態様ではあるが、代行装置7が、第1の通信装置5Aを経由して第2の通信装置6Aと通信するものであっても良い。
(B−2)第2の実施形態の動作
次に、第2の実施形態に係るセキュア通信システム1Aの動作を、図面を参照しながら、暗号通信路の新規確立動作、確立済暗号通信路に関する情報の通知動作、暗号通信路の再確立動作の順に説明する。
(B−2−1)暗号通信路の新規確立動作
まず、第1の通信装置5A及び第2の通信装置6A間の暗号通信路の新規確立動作を、図10をも参照しながら説明する。
なお、予め、第1の通信装置5Aが第1のゲートウェイ装置4−1経由で有線ネットワーク3に参加し、IPアドレス(例えば、2001:abc::def:0001)を割り当てられているものとする。また、代行装置7にIPアドレス(例えば、2001:def::32a:a058)を割り当てられているものとする。
代行装置7の暗号通信路確立部71は、第1の通信装置5A及び第2の通信装置6A間の暗号通信路の新規確立が必要となると、第2の通信装置6Aへの新規の暗号通信路確立要求を生成し、送信部73を介して第2の通信装置6Aへ送信する。ここで、暗号通信路確立部71は、第1の通信装置5Aからの依頼により、暗号通信路の新規確立の必要性を認識するものであっても良い。また、暗号通信路確立部71は、マルチホップネットワーク2に第1の通信装置5Aに追加されたことを通知された場合、若しくは、認識した場合に、その新規追加を新規確立の依頼と捉えて処理を開始するものであっても良い。
第2の通信装置6Aの暗号通信路確立部61が新規の暗号通信路確立要求を受信した以降、第2の通信装置6Aの暗号通信路確立部62と代行装置7の暗号通信路確立部71との暗号通信路の確立のための所定のプロトコル(TLSやIPsec)に従ったメッセージ授受により、第1の通信装置5A及び第2の通信装置6A間の暗号通信路を新規に確立する。ここで、代行装置7の暗号通信路確立部71は、第1の通信装置固有の識別情報を暗号通信路確立部62に通知することによって、第1の通信装置5Aに係る暗号通信路を確立する。代行装置7の暗号通信路確立部71に、第1の通信装置固有の識別情報を予め格納しておくようにしても良く、また、第1の通信装置5Aが暗号通信路の新規確立を依頼するシステムであればその依頼情報に第1の通信装置固有の識別情報を含めるようにしても良く、さらに、第2の通信装置6Aへの新規の暗号通信路確立要求を生成する前等の所定のタイミングで、代行装置7が第1の通信装置5Aとの通信により第1の通信装置固有の識別情報を取得するようにしても良い。
第2の通信装置6Aの確立済暗号通信路管理部61は、第1の通信装置固有の識別情報に対応付けて、第1の通信装置5Aと確立した暗号通信路に関する情報を管理する。図10における確立済暗号通信路に関する情報のうち、固有の識別情報「0001」に対応するセッションID「32bde1ef」やマスターシークレット「MS0001」等は、このタイミングから管理される。一方、第1の通信装置5Aの確立済暗号通信路管理部51は、このタイミングでは、確立した暗号通信路に関する情報を何ら管理しない。
(B−2−2)確立済暗号通信路に関する情報の通知動作
次に、第1の通信装置5A及び第2の通信装置6A間の確立済暗号通信路に関する情報を第1の通信装置5Aへ通知する動作を、図11をも参照しながら説明する。
第1の通信装置5Aに代わって、第1の通信装置5A及び第2の通信装置6A間の暗号通信路を新規に確立すると、代行装置7の確立済暗号通信路情報通知部72は、新規確立した暗号通信路に関する情報を第1の通信装置5Aへ通知する。
第1の通信装置5Aの確立済暗号通信路情報取得部55は、代行装置7が通知した新規確立の暗号通信路に関する情報を取得し、取得した暗号通信路に関する情報を、確立済暗号通信路管理部51において管理させる。この処理を通じて、第1の通信装置5Aは、図11に示すように、第2の通信装置6Aと同じ暗号通信路に関する情報(セッションID「32bde1ef」やマスターシークレット「MS0001」など)を管理する。
図11では、新規確立の暗号通信路に関する情報を、代行装置7が第1の通信装置5Aに通知するものを示したが、第2の通信装置6Aが新規確立の暗号通信路に関する情報を第1の通信装置5Aに通知するようにしても良い。
(B−2−3)確立済暗号通信路の再確立動作
次に、第1の通信装置5A及び第2の通信装置6A間の暗号通信路の再確立動作を、図12をも参照しながら説明する。
第2の実施形態の場合、暗号通信路の新規確立時には、代行装置7が第1の通信装置5Aに代わって確立動作を実行するが、暗号通信路の再確立時には、代行装置7を利用することなく第1の通信装置5Aが再確立動作を実行する。
そのため、第1の通信装置5A及び第2の通信装置6A間の暗号通信路の再確立動作は、第1の実施形態における再確立動作と同様である(図5参照)。すなわち、第1の通信装置5Aは、暗号通信路の再確立動作が必要となると、接続先のゲートウェイ装置を、第1のゲートウェイ装置4−1から第2のゲートウェイ装置4−2に切り替え(ステップS100)、第2のゲートウェイ装置4−2経由で有線ネットワーク3に接続し、IPアドレスを取得し(ステップS101)、既に確立した暗号通信路に関する情報を、確立済暗号通信路管理部51から取得し(ステップS102)、第1の通信装置固有の識別情報と、第2の通信装置6Aとの間で既に確立した暗号通信路に関する情報を含む、第2の通信装置6との暗号通信路の再確立要求を生成し、送信部53を介して第2の通信装置6Aへ送信し(ステップS103)、第2の通信装置6Aは、暗号通信路の再確立要求に含まれている第1の通信装置固有の識別情報に基づいて、その第1の通信装置固有の識別情報に対応付けられている、管理している確立した暗号通信路に関する情報を取得し、受信した暗号通信路に関する情報と、取得した暗号通信路に関する情報とが一致していることを確認し(ステップS104)、第2の通信装置6Aの暗号通信路確立部62と、第1の通信装置5Aの暗号通信路確立部52との間で、暗号通信路の再確立処理を行う(ステップS105)。
なお、第2の通信装置6Aの暗号通信路確立部62が、受信した暗号通信路に関する情報と、確立済暗号通信路管理部61から取得した暗号通信路に関する情報とが一致していることを確認できない場合には、第2の通信装置6Aの暗号通信路確立部62が、第1の通信装置5Aの暗号通信路確立部52に通知し、この通知を受けて、第1の通信装置5Aが代行装置7に、暗号通信路の新規確立を依頼することになる。
(B−3)第2の実施形態の効果
第2の実施形態によれば、第2の通信装置6Aが、第1の通信装置固有の識別情報と、第1の通信装置5Aに代わって暗号通信路の確立を代行する代行装置7との間で既に確立した暗号通信路に関する情報とを対応付けて管理することにより、第1の通信装置固有の識別情報に基づき取り出した、第1の通信装置5Aと第2の通信装置6Aとの間について既に確立した暗号通信路に関する情報を利用して、第1の通信装置5Aが第2の通信装置6Aに対して新規に暗号通信路を確立するよりも少ない処理で暗号通信路を再確立することができる。すなわち、第1の通信装置5Aが、第2の通信装置6Aとの経路上には存在しないネットワーク上の代行装置7(例えば、クラウド上のサーバ)に、暗号通信路の確立を依頼したい場合でも、第1の通信装置固有の識別情報に基づき、代行装置7と第2の通信装置6Aとが既に確立した暗号通信路に関する情報を利用して、第1の通信装置5Aが第2の通信装置6Aに対して新規に暗号通信路を確立するよりも少ない処理で暗号通信路を再確立できる。
省電力マルチホップネットワークにおいては、上述のように、既に確立済みの暗号通信路に関する情報を利用することで、暗号通信路確立にかかる通信量を削減できることは非常に有効である。例えば、省電力マルチホップネットワークを形成するセンサ装置等の数が膨大な場合において、各センサ装置がインターネット上のサーバと暗号通信路を確立したい場合、省電力マルチホップネットワークの輻輳や、消費電力の増加や、処理時間の増加等が懸念される。第2の実施形態では、暗号通信路確立を代行する装置を省電力マルチホップネットワークの外部に設置することを可能にするものである。例えば、省電力マルチホップネットワーク外部のクラウドサーバに暗号通信路の確立を代行させるリソースを確保し、ネットワークの規模や処理負荷の増減に応じた柔軟な代行システムを提供することも可能になる。
(C)他の実施形態
上記各実施形態の説明においても、種々変形実施形態に言及したが、さらに以下に例示するような変形実施形態を挙げることができる。
上記各実施形態では、第1の通信装置5又は代行装置7が暗号通信路確立のイニシエータ(又はクライアント)となり、第2の通信装置6、6Aが暗号通信路確立のレスポンダ(又はサーバ)となる例で説明したが、この構成に限定するものではない。第2の通信装置6、6Aが暗号通信路確立のイニシエータ(又はクライアント)となり、第1の通信装置5又は代行装置7が暗号通信路確立のレスポンダ(又はサーバ)となる場合にも、本発明の技術思想を適用することができる。
上記各実施形態では、第1の通信装置5、5Aが暗号通信路を確立したい第2の通信装置6、6Aのネットワーク上のアドレスを変更しない場合を説明したが、本発明はこれに限定されるものではない。例えば、第1の通信装置5、5Aと同様に、第2の通信装置6、6Aのネットワーク上のアドレスが変更する場合にも本発明を適用することができる。この場合、例えば、第1の通信装置5、5Aの確立済暗号通信路管理部51において、第2の通信装置6、6Aに固有の識別情報を管理し、当該第2の通信装置6、6Aに固有の識別情報と既に確立した暗号通信路に関する情報とを対応付けて管理する。このようにすることにより、第2の通信装置6、6Aのネットワーク上のアドレスが変更となった場合でも、第1の通信装置5、5Aは第2の通信装置6、6Aのネットワーク上のアドレスを問い合わせることができ、第2の通信装置6、6Aと暗号通信路を再確立できる。
上記第2の実施形態では、暗号通信路の再確立時には代行装置7が機能しないものを示したが、暗号通信路の再確立時にも代行装置7が第1の通信装置5Aに代わって動作するものであっても良い。この場合、代行装置7は、第1の通信装置5Aに係る確立した暗号通信路に関する情報を内部に管理しておいて再確立動作に利用するようにしても良く、再確立の依頼時に確立した暗号通信路に関する情報を第1の通信装置5Aから取得して再確立動作に利用するようにしても良い。暗号通信路の再確立をも代行装置7が代行するようにした場合、第2の実施形態に比較すると、第1の通信装置5Aの機能が簡単になる反面、代行装置7の機能が複雑なものとなる。
1、1A…セキュア通信システム、
5、5A…第1の通信装置、
51…確立済暗号通信路管理部、52…暗号通信路確立部、53…送信部、54…受信部、55…確立済暗号通信路情報取得部、
6、6A…第2の通信装置、
61…確立済暗号通信路管理部、62…暗号通信路確立部、63…送信部、64…受信部、
7…代行装置、
71…暗号通信路確立部、72…確立済暗号通信路情報通知部、73…送信部、74…受信部。

Claims (7)

  1. マルチホップネットワークの要素である第1の通信装置と、上記マルチホップネットワーク以外のネットワークの要素である第2の通信装置とが暗号通信するセキュア通信システムにおいて、
    上記第1の通信装置は、
    上記第2の通信装置との間で確立済みの暗号通信路に関する情報を管理する第1確立済暗号通信路管理手段と、
    IPアドレスではない当該第1の通信装置固有の識別情報を、今までの暗号通信路の経路とは異なる経路を介して、上記第2の通信装置に通知することで、上記第2の通信装置と協働し、上記確立済みの暗号通信路に関する情報を利用して、上記第2の通信装置と暗号通信路を再確立する第1暗号通信路再確立手段とを有し、
    上記第2の通信装置は、
    上記第1の通信装置固有の識別情報を管理し、当該第1の通信装置固有の識別情報と、上記確立済みの暗号通信路に関する情報とを対応付けて管理する第2確立済暗号通信路管理手段と、
    上記第1の通信装置固有の識別情報が、今までの暗号通信路の経路とは異なる経路を介して通知されたとき、管理している上記第1の通信装置固有の識別情報及び上記確立済みの暗号通信路に関する情報に基づき、上記第1の通信装置との間で暗号通信路を再確立する第2暗号通信路再確立手段とを有する
    ことを特徴とするセキュア通信システム。
  2. 上記第1確立済暗号通信路管理手段は、IPアドレスではない上記第2の通信装置固有の識別情報を管理し、当該第2の通信装置固有の識別情報と、上記確立済みの暗号通信路に関する情報とを対応付けて管理することを特徴とする請求項1に記載のセキュア通信システム。
  3. マルチホップネットワークの要素である第1の通信装置と、上記マルチホップネットワーク以外のネットワークの要素である第2の通信装置とが暗号通信するセキュア通信システムにおいて、
    上記第1の通信装置に代わって、上記第1の通信装置と上記第2の通信装置との間の暗号通信路の新規確立処理を行う第3の通信装置を備え、
    上記第1の通信装置は、
    上記第3の通信装置が上記第2の通信装置との間で既に確立した上記第1の通信装置と上記第2の通信装置との間の確立済みの暗号通信路に関する情報を、上記第3の通信装置より取得する確立済暗号通信路情報取得手段と、
    上記確立済暗号通信路情報取得手段が取得した上記確立済みの暗号通信路に関する情報を管理する第1確立済暗号通信路管理手段と、
    IPアドレスではない当該第1の通信装置固有の識別情報を、今までの暗号通信路の経路とは異なる経路を介して、上記第2の通信装置に通知することで、上記第2の通信装置と協働し、上記確立済みの暗号通信路に関する情報を利用して、上記第2の通信装置と暗号通信路を再確立する第1暗号通信路再確立手段とを有し、
    上記第2の通信装置は、
    当該第2の通信装置と通信する上記第1の通信装置固有の識別情報を管理し、当該第1の通信装置固有の識別情報と、上記確立済みの暗号通信路に関する情報とを対応付けて管理する第2確立済暗号通信路管理手段と、
    上記第1の通信装置固有の識別情報が、今までの暗号通信路の経路とは異なる経路を介して通知されたとき、管理している上記第1の通信装置固有の識別情報及び上記確立済みの暗号通信路に関する情報に基づき、上記第1の通信装置と暗号通信路を再確立する第2暗号通信路再確立手段とを有し、
    上記第3の通信装置は、
    上記第1の通信装置固有の識別情報を通知することを含め、上記第1の通信装置に代わって、上記第1の通信装置と上記第2の通信装置との間の暗号通信路を確立する暗号通信路確立代行手段と、
    上記確立済みの暗号通信路に関する情報を、上記第1の通信装置へ通知する確立済暗号通信路情報通知手段とを有する
    ことを特徴とするセキュア通信システム。
  4. 上記第1確立済暗号通信路管理手段は、IPアドレスではない上記第2の通信装置固有の識別情報を管理し、当該第2の通信装置固有の識別情報と、上記確立済暗号通信路情報取得手段で取得した上記確立済みの暗号通信路に関する情報とを対応付けて管理することを特徴とする請求項3に記載のセキュア通信システム。
  5. 上記第1の通信装置に代え、上記第3の通信装置が、当該第1の通信装置固有の識別情報を上記第2の通信装置に通知することで、上記第2の通信装置と協働し、上記確立済みの暗号通信路に関する情報を利用して、上記第2の通信装置と暗号通信路を再確立する第3暗号通信路再確立手段を有することを特徴とする請求項3又は4に記載のセキュア通信システム。
  6. マルチホップネットワークの要素である対向通信装置と暗号通信路を介して暗号通信する、上記マルチホップネットワーク以外のネットワークの要素である通信装置において、
    IPアドレスではない上記対向通信装置固有の識別情報を管理し、当該対向通信装置固有の識別情報と、確立済みの暗号通信路に関する情報とを対応付けて管理する確立済暗号通信路管理手段と、
    上記対向通信装置固有の識別情報が、今までの暗号通信路の経路とは異なる経路を介して通知されたとき、管理している上記対向通信装置固有の識別情報及び上記確立済みの暗号通信路に関する情報に基づき、上記対向通信装置との間で暗号通信路を再確立する暗号通信路再確立手段とを有する
    ことを特徴とする通信装置。
  7. マルチホップネットワークの要素である第1の通信装置と上記マルチホップネットワーク以外のネットワークの要素である第2の通信装置のうちの上記第1の通信装置に代わって、上記第1の通信装置と上記第2の通信装置との間の暗号通信路の新規確立処理を行う第3の通信装置を備えるセキュア通信システムにおける上記第1の通信装置が該当する通信装置において、
    上記第3の通信装置が上記第2の通信装置との間で既に確立した当該第1の通信装置と上記第2の通信装置との間の確立済みの暗号通信路に関する情報を、上記第3の通信装置より取得する確立済暗号通信路情報取得手段と、
    上記確立済暗号通信路情報取得手段が取得した上記確立済みの暗号通信路に関する情報を管理する確立済暗号通信路管理手段と、
    IPアドレスではない当該第1の通信装置固有の識別情報を、今までの暗号通信路の経路とは異なる経路を介して、上記第2の通信装置に通知することで、上記第2の通信装置と協働し、上記確立済みの暗号通信路に関する情報を利用して、上記第2の通信装置と暗号通信路を再確立する暗号通信路再確立手段と
    を有することを特徴とする通信装置。
JP2012117649A 2012-05-23 2012-05-23 セキュア通信システム及び通信装置 Expired - Fee Related JP5464232B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012117649A JP5464232B2 (ja) 2012-05-23 2012-05-23 セキュア通信システム及び通信装置
US13/898,459 US20130315391A1 (en) 2012-05-23 2013-05-20 Secure communication system and communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012117649A JP5464232B2 (ja) 2012-05-23 2012-05-23 セキュア通信システム及び通信装置

Publications (2)

Publication Number Publication Date
JP2013247392A JP2013247392A (ja) 2013-12-09
JP5464232B2 true JP5464232B2 (ja) 2014-04-09

Family

ID=49621606

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012117649A Expired - Fee Related JP5464232B2 (ja) 2012-05-23 2012-05-23 セキュア通信システム及び通信装置

Country Status (2)

Country Link
US (1) US20130315391A1 (ja)
JP (1) JP5464232B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5614465B2 (ja) * 2013-01-30 2014-10-29 沖電気工業株式会社 暗号通信装置、代行サーバ、暗号通信装置プログラム及び代行サーバプログラム
JP6449088B2 (ja) * 2015-03-31 2019-01-09 株式会社日立製作所 情報収集システム、情報収集システムにおける接続制御方法
TWI805548B (zh) 2016-04-26 2023-06-21 日商昭榮化學工業股份有限公司 量子點材料及量子點材料之製造方法
US10826875B1 (en) * 2016-07-22 2020-11-03 Servicenow, Inc. System and method for securely communicating requests
US10841096B2 (en) * 2017-10-03 2020-11-17 Salesforce.Com, Inc. Encrypted self-identification using a proxy server
US20220078171A1 (en) * 2020-09-04 2022-03-10 Caci, Inc. - Federal System and Methods of Determining and Managing Probes in a Multi-Hop Network

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515066B2 (en) * 2000-02-04 2013-08-20 Ntt Communications Corporation Method, apparatus and program for establishing encrypted communication channel between apparatuses
US7219223B1 (en) * 2002-02-08 2007-05-15 Cisco Technology, Inc. Method and apparatus for providing data from a service to a client based on encryption capabilities of the client
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
JP4721715B2 (ja) * 2004-02-06 2011-07-13 パナソニック株式会社 通信装置及び通信プログラム
JP4212051B2 (ja) * 2004-07-06 2009-01-21 日本電信電話株式会社 セキュリティ情報管理方法、通信主体、および、通信主体プログラム
JP4440168B2 (ja) * 2005-05-09 2010-03-24 キヤノン株式会社 画像形成システム
US8548487B2 (en) * 2005-06-07 2013-10-01 Nokia Corporation Signaling for administrative domain change during location tracking
US8478986B2 (en) * 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US8462947B2 (en) * 2006-12-19 2013-06-11 Telefonaktiebolaget L M Ericsson (Publ) Managing user access in a communications network
US8275984B2 (en) * 2008-12-15 2012-09-25 Microsoft Corporation TLS key and CGI session ID pairing
US8549614B2 (en) * 2009-12-04 2013-10-01 Cisco Technology, Inc. Establishing internet protocol security sessions using the extensible messaging and presence protocol
US8464336B2 (en) * 2010-06-30 2013-06-11 Juniper Networks, Inc. VPN network client for mobile device having fast reconnect
JP2012175501A (ja) * 2011-02-23 2012-09-10 Seiko Epson Corp インターネット通信システム、周辺装置、saパラメータ・セットの削除方法、及びsaパラメータ・セットの削除プログラム
US9143937B2 (en) * 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
WO2013165605A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems

Also Published As

Publication number Publication date
JP2013247392A (ja) 2013-12-09
US20130315391A1 (en) 2013-11-28

Similar Documents

Publication Publication Date Title
US11122027B2 (en) End-to-end M2M service layer sessions
Kumar et al. Implementation and analysis of QUIC for MQTT
Heer et al. Security Challenges in the IP-based Internet of Things
JP5464232B2 (ja) セキュア通信システム及び通信装置
US20100138649A1 (en) Transmission of packet data over a network with security protocol
KR101688118B1 (ko) 사물인터넷 환경에서의 보안 통신 장치 및 그 방법
JP2011188358A (ja) Vpn装置及びip通信装置
Yoshikawa et al. Evaluation of new CYPHONIC: Overlay network protocol based on Go language
JP2011176395A (ja) IPsec通信方法およびIPsec通信システム
US20190281530A1 (en) X2 service transmission method and network device
JP2011211490A (ja) Vpn装置及びip通信装置、サーバ装置
JP2011160286A (ja) 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体
Han et al. A back-end offload architecture for security of resource-constrained networks
JP6762735B2 (ja) 端末間通信システム及び端末間通信方法及びコンピュータプログラム
CN114553633B (zh) 隧道协商方法及装置
Matama et al. Extension mechanism of overlay network protocol to support digital authenticates
KR101401008B1 (ko) 연결성 검출 방법 및 이를 위한 컴퓨터 판독 가능한 기록매체
JP2011166438A (ja) Vpn装置、vpnネットワーキング方法、プログラム
JP2008066809A (ja) 通信アドレス管理システム、通信アドレス管理サーバ及び端末装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131224

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140106

R150 Certificate of patent or registration of utility model

Ref document number: 5464232

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees