JP6129523B2 - 通信装置およびプログラム - Google Patents
通信装置およびプログラム Download PDFInfo
- Publication number
- JP6129523B2 JP6129523B2 JP2012253244A JP2012253244A JP6129523B2 JP 6129523 B2 JP6129523 B2 JP 6129523B2 JP 2012253244 A JP2012253244 A JP 2012253244A JP 2012253244 A JP2012253244 A JP 2012253244A JP 6129523 B2 JP6129523 B2 JP 6129523B2
- Authority
- JP
- Japan
- Prior art keywords
- node
- unit
- communication
- key
- attacked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
鍵共有ネットワークでは、ノードがアプリケーション鍵を中継して転送することにより、アプリケーションが通信するために必要なノード間でのアプリケーション鍵の共有を安全に行っている。アプリケーション鍵の安全性を確保することが、鍵共有ネットワークにおいて重要である。上述のように、ノード間リンクの安全性は量子鍵配送技術を用いることで保証される。
攻撃が発生していない定常状態である、情報収集処理について説明する。鍵共有ネットワーク52上のノード100は、リンク鍵の共有、および、アプリケーションの暗号データ通信を実現するためのアプリケーション鍵の共有を実行している。ノード100が、リンクで直接接続されていない他のノード100(相手ノード)との間でアプリケーション鍵を共有するには、さらに別のノード100によってアプリケーション鍵の転送および中継を行う必要がある。あるノード100から相手ノードへアプリケーション鍵を転送して共有するための経路(経由するノード100のリスト)は、一般に複数存在しうる。この経路は、鍵共有ネットワーク52において実行されるルーティングプロトコル、または、事前に個別のノード100に設定されたルーティングテーブルの内容に従って決定しているものとする。
ノード100への攻撃が発生すると(攻撃発生601)、監視サーバ200の検出部206は、攻撃の発生を検出する。検出する方法としては、以下のA〜Dのように様々なパターンが考えられる。
A.ノード100への攻撃(不正アクセス等)が発生し、該当ノード100が、トラップ通知を送信するなどして、監視サーバ200に直接攻撃発生を通知する。
B.監視サーバ200がノード100を定期的にモニタリングしている。ノード100から得られる情報のエラー(値の異常や通信の異常等)を検出し、監視サーバ200が、該当ノード100への攻撃が発生したと判断する(いわゆるハートビート方式)。
C.ノード100のセキュリティを監視する監視ネットワーク54上のセンサ機器400が、異常を検出し、トラップ通知を送信するなどして、監視サーバ200に攻撃発生を通知する。
D.センサ機器400は定期的にセンサによる取得値を監視サーバ200に通知している。監視サーバ200が、異常(値の異常や通信の異常等)を検出し、該当ノードへの攻撃が発生したと判断する。
ノード100への攻撃を検出した監視サーバ200の指示部203は、攻撃に晒されたノード100および漏洩のおそれがあるリンク鍵およびアプリケーション鍵を回避したシステム動作(対策)を、ノード群に指示する。
A.特定のメモリ/ディスクに保持される鍵の漏洩リスクがある場合は、そのメモリ/ディスクに保持される鍵が安全でない可能性がある。このため、そのメモリ/ディスクに保持される鍵を共有しているノード100に対して該当鍵を破棄するように指示する。
B.ノード100全体において、ハッキングや物理セキュリティに関する攻撃を受けたことを検出した場合は、ノード100全体が安全でない可能性がある。このため、以後、そのノード100を経由するアプリケーション鍵の共有は行わない。すなわち、攻撃を受けたノード100を回避するアプリケーション鍵の共有ルーティングを行うようにする。
被攻撃ノードが安全な状態に戻った(復旧した)場合(復旧602)、監視サーバ200の検出部206は復旧したことを検出する。
指示部203は、ステップS103の攻撃対策処理で実施した対策処理を回復する(取り消す)ように指示する。例えば指示部203は、アプリケーション鍵およびリンク鍵の共有を禁止したノード100に対しては、共有を許可する指示を行う。また、復旧処理の結果、鍵の安全性が確認された(漏洩していなかった)ことが明らかになった場合、指示部203が、一時的に「使用禁止(使用停止)」状態にしていた鍵を、「使用可能状態」に戻すように指示してもよい。連番でIDを割り当てて利用する場合などでは、使用停止した鍵より後の番号(ID)が割り当てられた鍵が生成され使用される場合もありうる。そこで、指示部203が、アプリケーション鍵およびリンク鍵に割り当てられるIDを変更するように指示してもよい。リンクダウンを指示していたノード100に対しては、指示部203は、該当ノード100の該当リンク(ネットワークインタフェース)のアップを指示する。
以上説明した監視サーバ200の機能は、鍵共有ネットワーク52における特定のノード100と一体として実現されてもよい。
第2の実施形態にかかる通信システムは、監視サーバの機能を、鍵共有ネットワーク52における全てのノードで分散して実現する。本実施形態の通信システムは、例えば、図1から監視サーバ200、センサ機器400、管理ネットワーク51、および、監視ネットワーク54を除いた構成となる。
鍵共有ネットワーク52上のノード100−2は、他の全てのノード100−2の、ノード接続状況を収集する。また、他のノード(全てであっても一部であってもよい)の、リンク鍵共有情報、および、アプリケーション鍵共有情報を収集する(ネットワーク情報収集部202−2、鍵共有情報収集部205−2)。
各ノード100−2の検出部206−2は、自身への攻撃または隣接するノード100−2への攻撃を検出(ハートビート方式等による)すると、攻撃を検出したことを、全てのノード100−2、あるいは、ノード間リンクによって直接接続されるノード・リンク鍵やアプリケーション鍵を共有するノード、に対して通知する。複数の検出方法を用いる場合等では、重複した攻撃検出が発生しうるが、このような場合はいずれか一方の検出を無視してもよい。
各ノード100−2の指示部203−2は、自身のリンク(ネットワークインタフェース)のダウン、および、自身が保持するアプリケーション鍵およびリンク鍵の廃棄のみを指示すればよい。すなわち、各ノード100−2は、他のノード100−2へ対策を指示する必要はない。
ノード100−2が復旧した場合、復旧したノード100−2は、復旧したことを他の全てのノード100−2、あるいは、ノード間リンクによって直接接続されるノード・リンク鍵やアプリケーション鍵を共有していたノード、に通知する。
各ノード100−2の指示部203−2は、自身のリンク(ネットワークインタフェース)のアップ、および、鍵共有禁止の解除、等のみを指示すればよい。すなわち、各ノード100−2は、他のノード100−2へ対策を指示する必要はない。
52 鍵共有ネットワーク
53 アプリケーションネットワーク
54 監視ネットワーク
100a〜100e ノード
101 アプリ通信部
102 制御部
103 管理部
104 プラットフォーム部
105 サーバ通信部
106 共有処理部
107 ノード通信部
200 監視サーバ
201 制御部
202 ネットワーク情報収集部
203 指示部
204 プラットフォーム部
205 鍵共有情報収集部
206 検出部
221 記憶部
300a、300b アプリケーション
301 アプリケーション実行部
302 プラットフォーム部
303 暗号通信処理部
304 ノード通信部
400 センサ機器
401 検出部
402 サーバ通信部
Claims (12)
- 複数の外部装置と接続される通信装置であって、
量子鍵配送技術を用いて前記外部装置との間で鍵情報の共有処理を実行する共有処理部と、
前記外部装置が攻撃を受けたか否かを判断する判断部と、
攻撃を受けたと判断された前記外部装置との間の前記共有処理の停止を前記共有処理部に指示する指示部と、
を備える通信装置。 - 前記指示部は、さらに、攻撃を受けたと判断された前記外部装置との間の接続の切断を前記通信装置に指示する、
請求項1に記載の通信装置。 - 前記判断部は、さらに、攻撃を受けたと判断された前記外部装置が攻撃から復旧したか否かを判断し、
前記指示部は、さらに、攻撃を受けたと判断された前記外部装置が攻撃から復旧したと判断された場合に、切断された通信を再接続することを前記通信装置に指示する、
請求項2に記載の通信装置。 - 前記判断部は、前記外部装置の異常を検知する検知装置から受信した検知情報に基づいて、前記外部装置が攻撃を受けたか否かを判断する、
請求項1に記載の通信装置。 - 前記判断部は、前記外部装置との間で定期的に通信し、定期的な通信に異常が生じた場合に、前記外部装置が攻撃を受けたと判断する、
請求項1に記載の通信装置。 - 前記指示部は、さらに、攻撃を受けたと判断された前記外部装置との間で共有されている鍵情報の廃棄を前記通信装置に指示する、
請求項1に記載の通信装置。 - 前記共有処理により共有された前記鍵情報を記憶する記憶部をさらに備え、
前記指示部は、攻撃を受けたと判断された前記外部装置との間で共有し、前記記憶部に記憶された前記鍵情報の利用停止を前記通信装置に指示する、
請求項1に記載の通信装置。 - 前記指示部は、さらに、攻撃を受けたと判断された前記外部装置を経由しない経路情報を設定することを前記通信装置に指示する、
請求項1に記載の通信装置。 - 前記判断部は、さらに、攻撃を受けたと判断された前記外部装置が攻撃から復旧したか否かを判断し、
前記指示部は、さらに、攻撃を受けたと判断された前記外部装置が攻撃から復旧したと判断された場合に、経路情報の再計算を前記通信装置に指示する、
請求項8に記載の通信装置。 - 前記判断部は、さらに、前記外部装置が備える複数の記憶装置が攻撃を受けたか否かを判断し、
前記指示部は、攻撃を受けたと判断された前記記憶装置に記憶されて共有される鍵情報の利用停止を前記通信装置に指示する、
請求項1に記載の通信装置。 - 前記判断部は、さらに、攻撃を受けたと判断された前記外部装置が攻撃から復旧したか否かを判断し、
前記指示部は、さらに、攻撃を受けたと判断された前記外部装置が攻撃から復旧したと判断された場合に、停止された前記共有処理を再開することを前記共有処理部に指示する、
請求項1に記載の通信装置。 - 複数の外部装置と接続される通信装置を、
量子鍵配送技術を用いて前記外部装置との間で鍵情報の共有処理を実行する共有処理部と、
前記外部装置が攻撃を受けたか否かを判断する判断部と、
攻撃を受けたと判断された前記外部装置との間の前記共有処理の停止を前記共有処理部に指示する指示部、
として機能させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012253244A JP6129523B2 (ja) | 2012-11-19 | 2012-11-19 | 通信装置およびプログラム |
US14/082,338 US9450929B2 (en) | 2012-11-19 | 2013-11-18 | Communication device, communication system, and computer program product |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012253244A JP6129523B2 (ja) | 2012-11-19 | 2012-11-19 | 通信装置およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014103503A JP2014103503A (ja) | 2014-06-05 |
JP6129523B2 true JP6129523B2 (ja) | 2017-05-17 |
Family
ID=50729262
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012253244A Active JP6129523B2 (ja) | 2012-11-19 | 2012-11-19 | 通信装置およびプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US9450929B2 (ja) |
JP (1) | JP6129523B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11115199B2 (en) | 2018-07-18 | 2021-09-07 | Kabushiki Kaisha Toshiba | Information processing method, and computer program product |
US11764952B2 (en) | 2020-06-25 | 2023-09-19 | Kabushiki Kaisha Toshiba | Application-key management system, application-key management device, application-key management method, and computer program product |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016047111A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体 |
JP6478749B2 (ja) * | 2015-03-24 | 2019-03-06 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
US10257172B2 (en) * | 2016-11-18 | 2019-04-09 | International Business Machines Corporation | Risk-based encryption of communication on a computer system node |
US10313395B2 (en) * | 2016-12-19 | 2019-06-04 | International Business Machines Corporation | Placement of operators and encryption of communication based on risk in a computer system node |
CN108259166B (zh) * | 2017-12-28 | 2020-08-07 | 中南大学 | 基于svm处理的连续变量量子密钥分发系统及其实现方法 |
CN108768542B (zh) * | 2018-05-02 | 2021-10-19 | 三峡大学 | 一种基于随机数的语音信号量子加密通信系统 |
JP2020022155A (ja) * | 2018-07-18 | 2020-02-06 | 株式会社東芝 | 情報処理装置、通信システム、情報処理方法およびプログラム |
SG11202100631VA (en) | 2018-09-14 | 2021-02-25 | Toshiba Kk | Communication control device |
US11057428B1 (en) * | 2019-03-28 | 2021-07-06 | Rapid7, Inc. | Honeytoken tracker |
CN110690928B (zh) * | 2019-09-01 | 2020-10-16 | 成都量安区块链科技有限公司 | 一种量子中继链路虚拟化方法与装置 |
US11652619B2 (en) * | 2021-03-15 | 2023-05-16 | Evolutionq Inc. | System and method for optimizing the routing of quantum key distribution (QKD) key material in a network |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001118038A (ja) * | 1999-10-18 | 2001-04-27 | Toshiba Corp | 計算装置、計算機システム及び記録媒体 |
JP2006319689A (ja) * | 2005-05-13 | 2006-11-24 | Mitsubishi Electric Corp | 無効判定システム及び無効判定装置及び通信装置及び無効判定方法及び無効判定プログラム |
JP4724014B2 (ja) * | 2006-02-17 | 2011-07-13 | 日本電信電話株式会社 | 量子暗号鍵配送装置及び鍵情報盗聴検出方法 |
JP4179563B2 (ja) * | 2006-09-21 | 2008-11-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号通信の暗号鍵を管理する技術 |
JP5424008B2 (ja) | 2006-12-19 | 2014-02-26 | 日本電気株式会社 | 共有情報の管理方法およびシステム |
JP4990739B2 (ja) * | 2007-11-12 | 2012-08-01 | 日本電信電話株式会社 | ユーザ装置、それを用いた通信方法、そのプログラム |
GB0801408D0 (en) * | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Multi-community network with quantum key distribution |
US8452014B2 (en) * | 2009-06-24 | 2013-05-28 | Cisco Technology, Inc. | Group key management for mobile ad-hoc networks |
US20110078497A1 (en) * | 2009-09-30 | 2011-03-31 | Lyne James I G | Automated recovery from a security event |
-
2012
- 2012-11-19 JP JP2012253244A patent/JP6129523B2/ja active Active
-
2013
- 2013-11-18 US US14/082,338 patent/US9450929B2/en active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11115199B2 (en) | 2018-07-18 | 2021-09-07 | Kabushiki Kaisha Toshiba | Information processing method, and computer program product |
US11764952B2 (en) | 2020-06-25 | 2023-09-19 | Kabushiki Kaisha Toshiba | Application-key management system, application-key management device, application-key management method, and computer program product |
Also Published As
Publication number | Publication date |
---|---|
US20140143867A1 (en) | 2014-05-22 |
JP2014103503A (ja) | 2014-06-05 |
US9450929B2 (en) | 2016-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6129523B2 (ja) | 通信装置およびプログラム | |
JP5624526B2 (ja) | 鍵共有装置、鍵共有方法および鍵共有プログラム | |
JP6478749B2 (ja) | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 | |
EP2697931B1 (en) | Qkd key management system | |
US10277559B2 (en) | Methods and systems for data traffic control and encryption | |
US6895091B1 (en) | Systems and methods for encryption key archival and auditing in a quantum-cryptographic communications network | |
JP4674502B2 (ja) | 情報通信システム、情報通信装置及び情報通信方法、並びにコンピュータ・プログラム | |
JP6230322B2 (ja) | 通信装置、鍵共有方法、プログラムおよび通信システム | |
JP2018037888A (ja) | 通信装置、通信方法および通信システム | |
JP2013205604A (ja) | 通信装置および鍵管理方法 | |
JP2016171530A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
JP6407598B2 (ja) | 中継装置、中継方法、及び中継プログラム | |
KR20140043537A (ko) | Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법 | |
CN113169865B (zh) | 控制装置、工业用控制系统及加密密钥寿命延长方法 | |
JP2004328563A (ja) | 暗号通信装置および暗号通信システム | |
JP5826910B2 (ja) | 通信装置および鍵管理方法 | |
JP2022031361A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
CN110928564B (zh) | 安全更新应用的方法、业务服务器、集群及存储介质 | |
KR101691201B1 (ko) | Dnp 메시지의 보안통신장치 및 방법 | |
KR102247621B1 (ko) | 손상된 스위치와 우회 공격을 탐지하는 네트워크 환경 관리 시스템 및 방법 | |
US20230261990A1 (en) | Methods for exchanging content routing information in exclusive path routing overlay network | |
JP7020769B2 (ja) | 通信装置および通信方法 | |
Monroy | Security Analysis and Implementation of DNP3 Multilayer Protocol for Secure and Safe Communication in SCADA Systems | |
WO2002005479A1 (en) | Systems and methods for implementing a quantum-cryptographic communications network | |
JP2023157288A (ja) | デバイス、セキュアコンポーネント、デバイス管理サーバ、デバイス管理システム及びデバイス管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150915 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20151102 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160711 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160830 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170314 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170412 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6129523 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |