JP6043738B2 - 鍵管理装置および鍵管理方法 - Google Patents
鍵管理装置および鍵管理方法 Download PDFInfo
- Publication number
- JP6043738B2 JP6043738B2 JP2014015044A JP2014015044A JP6043738B2 JP 6043738 B2 JP6043738 B2 JP 6043738B2 JP 2014015044 A JP2014015044 A JP 2014015044A JP 2014015044 A JP2014015044 A JP 2014015044A JP 6043738 B2 JP6043738 B2 JP 6043738B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- encryption
- time
- update
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本願は上記課題を解決する手段を複数含んでいるが、その一例を挙げるならば、データの暗号化又は復号化に用いる暗号鍵であって、所定のタイミングで順次更新される複数の暗号鍵の情報と、前記暗号鍵の更新順序及び現在暗号化に用いるべき現鍵がいずれであるかを示す情報を含む世代情報と、を記憶する記憶部と、データ送信時には、前記世代情報を参照して前記複数の暗号鍵から前記現鍵を抽出し、抽出した前記現鍵用いて送信データに暗号処理を実行し、暗号化に用いた前記現鍵の識別情報を送信データに付して通信パケットを生成して他の装置へ送信する処理と、データ受信時には、受信した通信パケットから暗号化に用いた暗号鍵の識別情報を抽出し、当該識別情報が示す暗号鍵が、前記現鍵から所定の更新回数前まで、あるいは、所定の更新回数後までの範囲内の暗号鍵であるか前記世代情報を参照して判別し、範囲内であった場合に当該暗号鍵を用いて受信データを復号化する処理と、を実行する処理部と、を備えることを特徴とする。
図1および図2は、本発明を適用した装置の構成例である。
この方法は、オンラインまたはオフラインで実施する。たとえば、各装置にソフトイメージを書き込むときと同時に、鍵一覧情報を書き込む方法や、制御処理未実施中に既存の暗号化鍵を用いて新規生成した鍵一覧を暗号化し、それを送信する方法などがある。
以下、本発明の具体的な処理を説明する。
現鍵取得部130は、暗号対象データ保持部120がデータを受信したことを検知し、世代が「現鍵」である暗号化鍵を取得する(S310)。
その差分が0以下であれば、有効期限切れと判断する。また、鍵の世代更新処理は、暗号化鍵の寿命、すなわち、暗号化鍵の長さに応じて決められる。
この期間中に限り、旧鍵で暗号化された暗号データを復号可能とする。
装置Xは、鍵のIDが04の鍵で暗号化されたパケットを受信した場合、次鍵として登録されてある鍵で復号処理を実行し、世代更新を実行する。世代更新実行後、旧鍵を一定時間有効化し、その後無効化する。
本発明は、前鍵の利用終了期間を調節するほか、次鍵の利用開始期間を調整する機能を提供できる。
この所定時間は、ネットワーク内の装置のうち、1台でも世代更新を開始する時刻を考慮した時間とする。
次鍵による復号を許可する期間を定める方法例を以下に示す。
以上に示した旧鍵および次鍵の利用期限を制限する構成を双方採用することで、復号可能な鍵を最小化することができ、制御システムのセキュリティをより向上化できる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
110:暗号化鍵テーブル
120:暗号対象データ保持部
130:現鍵取得部
140:世代管理部
150:内部時計
160:更新可否判断部
170:暗号処理部
200:受信側装置
210:復号鍵テーブル
220:受信データ保持部
230:復号鍵取得部
240:世代管理部
250:内部時計
260:更新可否判断部
270:内部時計補正部
280:復号処理部
400:暗号化対象の平文データ
410:平文データ400を暗号化した暗号データ
420:暗号データ400に現鍵IDを付与したペイロードデータ
430:ペイロードデータ420から生成されたパケットデータ
1110:本発明の機能を実装した専用チップ
1120:制御装置の通信インタフェース
1210:専用チップ1110内の暗号データ送信処理部
1220:専用チップ1110内の暗号データ受信処理部
1230:専用チップ1110内の暗号化鍵・復号鍵テーブル
1310:不正パケットを送信する攻撃者
1320:不正パケット
1410:受信側装置において次鍵で暗号化されたパケットデータ430
1420:最適化により削減された次鍵の復号許可期間
装置X,装置Y:本発明を適用した鍵管理装置
Sxxx:フローチャート内の処理ステップ
Claims (10)
- データの暗号化又は復号化に用いる暗号鍵であって、所定のタイミングで順次更新され
る複数の暗号鍵の情報と、前記暗号鍵の更新順序及び現在暗号化に用いるべき現鍵がいず
れであるかを示す情報を含む世代情報と、を記憶する記憶部と、
データ送信時には、前記世代情報を参照して前記複数の暗号鍵から前記現鍵を抽出し、
抽出した前記現鍵用いて送信データに暗号処理を実行し、暗号化に用いた前記現鍵の識別
情報を送信データに付して通信パケットを生成して他の装置へ送信する処理と、
データ受信時には、受信した通信パケットから暗号化に用いた暗号鍵の識別情報を抽出
し、当該識別情報が示す暗号鍵が、前記現鍵から所定の更新回数前まで、あるいは、所定
の更新回数後までの範囲内の暗号鍵であるか前記世代情報を参照して判別し、範囲内であ
った場合に当該暗号鍵を用いて受信データを復号化する処理と、を実行する処理部と、を
備え、
前記世代情報には、前回の暗号鍵更新時まで暗号化に用いていた旧鍵及び次回の暗号鍵
更新後に暗号化に用いる次鍵がいずれであるかを示す情報が含まれ、
前記処理部は、自装置内の内部時計を基準として、使用していない前記暗号鍵を新規に
前記次鍵に割り当てて暗号鍵の更新を行い、
前記受信データの暗号化に用いた暗号鍵が、前記旧鍵または前記次鍵であった場合には、前記受信データの受信時刻に基づいて自装置内の前記内部時計を補正することを特徴とする鍵管理装置。 - 請求項1に記載の鍵管理装置において、
前記暗号鍵の情報は、通信を行う他の装置と共有化されており、暗号化に用いる暗号化
鍵と、復号化に用いる復号鍵とが対応付けて記憶されることを特徴とする鍵管理装置。 - 請求項1に記載の鍵管理装置において、
受信データの暗号化に用いた暗号鍵が、前記次鍵であった場合には自装置の前記暗号鍵
の更新を実行することを特徴とする鍵管理装置。 - 請求項1に記載の鍵管理装置において
前記旧鍵には、有効期限が定められており、受信データの暗号化に用いた暗号鍵が前記
旧鍵であった場合には、さらに前記旧鍵が前記有効期限内であった場合に当該暗号鍵を用
いて受信データを復号化することを特徴とする鍵管理装置。 - 請求項4に記載の鍵管理装置において
前記暗号鍵の更新によって、前記現鍵が前記旧鍵へ割当てられると所定の前記有効期限
を当該旧鍵へ定めることを特徴とする鍵管理装置。 - 請求項4に記載の鍵管理装置において、
規定台数以上の装置から、前記現鍵を用いて暗号された受信データを受信した場合には
、前記旧鍵による復号を無効化することを特徴とする鍵管理装置。 - 請求項1に記載の鍵管理装置において、
前記次鍵は、次回の鍵更新予定時刻より一定時間前から、次回の鍵更新予定時刻までの
時間帯に限り復号する権限が与えられ、
前記一定時間は、当該鍵管理装置を含むネットワークやシステムの構成情報、またはシ
ステムの処理実行周期から決定されることを特徴とする鍵管理装置。 - 請求項7に記載の鍵管理装置において、
前記次鍵は、次回の鍵更新予定時刻より特定の時間前から、次回の鍵更新予定時刻まで
の時間帯に限り復号権限が与えられ、
前記特定の時間は、前回の鍵更新処理完了時の時刻と、その後最初に前記次鍵で復号可
能な通信パケットを受信した時刻との差から、決定されることを特徴とする鍵管理装置。 - 請求項8に記載の鍵管理装置において、
前記次鍵は、次回の鍵更新予定時刻より特定の時間前から、次回の鍵更新予定時刻まで
の時間帯に限り復号権限が与えられ、
前記特定の時間は、前回の鍵更新処理完了時の時刻と、その後最初に前記次鍵で復号可
能な通信パケットを受信した時刻との差から、次回鍵更新時において、次鍵で復号可能な
通信パケットを受信する時刻を割り出し、当該時刻と次回の鍵更新予定時刻の時間差分が
、現在設定されている前記特定の時間より短い場合に限り、前記時間差分を前記特定の時
間として設定することを特徴とする鍵管理装置。 - データの暗号化又は復号化に用いる暗号鍵であって、所定のタイミングで順次更新され
る複数の暗号鍵の情報と、前記暗号鍵の更新順序及び現在暗号化に用いるべき現鍵がいず
れであるかを示す情報を含む世代情報と、を用いて、
データ送信時には、前記世代情報を参照して前記複数の暗号鍵から前記現鍵を抽出し、
抽出した前記現鍵用いて送信データに暗号処理を実行し、暗号化に用いた前記現鍵の識別
情報を送信データに付して通信パケットを生成して他の装置へ送信する処理と、
データ受信時には、受信した通信パケットから暗号化に用いた暗号鍵の識別情報を抽出
し、当該識別情報が示す暗号鍵が、前記現鍵から所定の更新回数前まで、あるいは、所定
の更新回数後までの範囲内の暗号鍵であるか前記世代情報を参照して判別し、範囲内であ
った場合に当該暗号鍵を用いて受信データを復号化する処理と、を行い、
前記世代情報には、前回の暗号鍵更新時まで暗号化に用いていた旧鍵及び次回の暗号鍵
更新後に暗号化に用いる次鍵がいずれであるかを示す情報が含まれ、
自装置内の内部時計を基準として、使用していない前記暗号鍵を新規に前記次鍵に割り
当てて暗号鍵の更新を行い、
前記受信データの暗号化に用いた暗号鍵が、前記旧鍵または前記次鍵であった場合には
、前記受信データの受信時刻に基づいて自装置内の前記内部時計を補正することを特徴とする鍵管理方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014015044A JP6043738B2 (ja) | 2014-01-30 | 2014-01-30 | 鍵管理装置および鍵管理方法 |
PCT/JP2014/073602 WO2015114871A1 (ja) | 2014-01-30 | 2014-09-08 | 鍵管理装置および鍵管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014015044A JP6043738B2 (ja) | 2014-01-30 | 2014-01-30 | 鍵管理装置および鍵管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015142301A JP2015142301A (ja) | 2015-08-03 |
JP6043738B2 true JP6043738B2 (ja) | 2016-12-14 |
Family
ID=53756471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014015044A Active JP6043738B2 (ja) | 2014-01-30 | 2014-01-30 | 鍵管理装置および鍵管理方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6043738B2 (ja) |
WO (1) | WO2015114871A1 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9929863B2 (en) * | 2015-10-30 | 2018-03-27 | Palo Alto Research Center Incorporated | System and method for efficient and semantically secure symmetric encryption over channels with limited bandwidth |
MY181840A (en) * | 2016-11-04 | 2021-01-08 | Thomson Licensing | Devices and methods for client device authentication |
WO2020093398A1 (zh) | 2018-11-09 | 2020-05-14 | 华为技术有限公司 | 空中下载升级的方法及相关装置 |
JP7300845B2 (ja) * | 2019-02-15 | 2023-06-30 | 三菱重工業株式会社 | 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 |
CN113517983B (zh) * | 2021-05-20 | 2023-10-20 | 支付宝(杭州)信息技术有限公司 | 生成安全计算密钥、进行安全计算的方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002290396A (ja) * | 2001-03-23 | 2002-10-04 | Toshiba Corp | 暗号鍵更新システムおよび暗号鍵更新方法 |
JP2007104310A (ja) * | 2005-10-04 | 2007-04-19 | Hitachi Ltd | ネットワーク装置、ネットワークシステム及び鍵更新方法 |
JP2010087888A (ja) * | 2008-09-30 | 2010-04-15 | Onkyo Corp | 暗号鍵配信システム、暗号鍵配信サーバ、コンテンツ配信サーバ、及びクライアント |
JP5077186B2 (ja) * | 2008-10-17 | 2012-11-21 | 富士通株式会社 | 通信装置、通信方法及び通信プログラム |
US8245037B1 (en) * | 2009-02-17 | 2012-08-14 | Amazon Technologies, Inc. | Encryption key management |
-
2014
- 2014-01-30 JP JP2014015044A patent/JP6043738B2/ja active Active
- 2014-09-08 WO PCT/JP2014/073602 patent/WO2015114871A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2015142301A (ja) | 2015-08-03 |
WO2015114871A1 (ja) | 2015-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110636062B (zh) | 设备的安全交互控制方法、装置、电子设备及存储介质 | |
EP2677682B1 (en) | Key management system | |
US8694787B2 (en) | Apparatus and method for securing digital data with a security token | |
JP6043738B2 (ja) | 鍵管理装置および鍵管理方法 | |
JP6573880B2 (ja) | 更新プログラム及び方法、及び、管理プログラム及び方法 | |
JP7292263B2 (ja) | デジタル証明書を管理するための方法および装置 | |
CN101296086B (zh) | 接入认证的方法、系统和设备 | |
US8948397B2 (en) | Major management apparatus, authorized management apparatus, electronic apparatus for delegated key management, and key management methods thereof | |
JP2007082216A (ja) | 一対一でデータを安全に送受信する方法及び装置 | |
JP2012050066A (ja) | セキュアなフィールドプログラマブルゲートアレイ(fpga)アーキテクチャ | |
CN103686717A (zh) | 一种物联网传感系统的密钥管理方法 | |
WO2013094018A1 (ja) | 暗号化データ管理装置、暗号化データ管理方法及び暗号化データ管理プログラム | |
JP2013026747A (ja) | 情報処理装置、サーバ装置およびプログラム | |
JP5133850B2 (ja) | ストレージノード用再暗号化システム及びネットワークストレージ | |
US10630466B1 (en) | Apparatus and method for exchanging cryptographic information with reduced overhead and latency | |
CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
JP6366883B2 (ja) | 属性連携装置、転送システム、属性連携方法及び属性連携プログラム | |
JP2005303676A (ja) | 画像形成装置、鍵ペア生成方法及びコンピュータプログラム | |
CN116155491A (zh) | 安全芯片的对称密钥同步方法及安全芯片装置 | |
KR102609578B1 (ko) | 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램 | |
JP2009055428A (ja) | 情報処理装置、サーバ装置、情報処理プログラム及び方法 | |
JP5691549B2 (ja) | ポリシ管理サーバ装置、サーバ装置、クライアント装置、及びこれらを有する暗号アルゴリズム切換システム | |
JP2010068396A (ja) | 暗号化装置、端末装置、暗号化プログラム及び方法、情報処理プログラム及び方法 | |
JP2011114799A (ja) | セキュリティシステム、中継装置、セキュリティ方法、及びプログラム | |
JP2004135195A (ja) | 情報機器登録方法、その方法をコンピュータに実行させるプログラム、情報機器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160322 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160802 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161018 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161114 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6043738 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |