JP6192998B2 - 通信装置、通信方法、プログラムおよび通信システム - Google Patents
通信装置、通信方法、プログラムおよび通信システム Download PDFInfo
- Publication number
- JP6192998B2 JP6192998B2 JP2013122410A JP2013122410A JP6192998B2 JP 6192998 B2 JP6192998 B2 JP 6192998B2 JP 2013122410 A JP2013122410 A JP 2013122410A JP 2013122410 A JP2013122410 A JP 2013122410A JP 6192998 B2 JP6192998 B2 JP 6192998B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- key
- amount
- encryption key
- sum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Description
本発明の実施形態は、通信装置、通信方法、プログラムおよび通信システムに関する。
鍵生成・共有システムには、2つのネットワーク(鍵共有ネットワーク、アプリケーションネットワーク)が存在する。鍵共有ネットワークは、複数のリンクによって相互に接続され、ネットワーク化された複数のノードから構成される。各ノードは、リンクによって接続された対向ノードとの間で乱数を生成および共有する機能と、生成および共有した乱数を暗号鍵(以下、リンク鍵)として利用して、リンク上で暗号通信を行う機能とを備える。また、ノードのうちの幾つかは、リンクとは独立に乱数である暗号鍵(以下、アプリケーション鍵)を生成する機能と、別のノードに対してリンクを介してアプリケーション鍵を送信する機能を備える。
アプリケーションは、ノードから、アプリケーション鍵を取得し、取得したアプリケーション鍵を暗号鍵として利用して、別のアプリケーションとの間で暗号データ通信を行う機能を備える。このときの暗号データ通信は、インターネット等の鍵共有ネットワークとは異なるネットワーク(アプリケーションネットワーク)によって実現されてよい。また、ノードとアプリケーションは、一体として実現されてもよい。ノードとアプリケーションを独立した端末として構成し、その間でアプリケーション鍵を送受信するようにしてもよい。
ノードにおいて、リンクによって接続された対向ノードとの間で乱数(リンク鍵)を生成および共有する機能は、例えば、一般に量子暗号または量子鍵配送(QKD(Quantum Key Distribution))と呼ばれる技術によっても実現できる。
Dianati, M., Alleaume, R., Gagnaire, M. and Shen, X. (2008), Architecture and protocols of the future European quantum key distribution network. Security and Communication Networks, 1: 57-74. DOI: 10.1002/sec.13
Kollmitzer C., Pivk M. (Eds.), Applied Quantum Cryptography, Lect. Notes Phys. 797 (Springer, Berlin Heidelberg 2010), p155-p168, DOI 10.1007/978-3-642-04831-9
鍵生成・共有システムにおいて、最も重要なリソースの1つは鍵である。従って、複数のアプリケーションが接続するノードにおいて、アプリケーション鍵を各アプリケーションに割り当てる方式(鍵割り当て方式)が重要になる。例えば、システム運用中にアプリケーションが要求する量(鍵要求レート)を満たす鍵割り当てが実現できなくなるような場合に適切に対処する必要がある。
実施形態の通信装置は、記憶部と、決定部と、を備える。記憶部は、暗号鍵を利用する1以上のアプリケーションごとに、優先度と、アプリケーションが要求する暗号鍵の量を表す第1要求量と、を記憶する。決定部は、アプリケーションに割り当てる暗号鍵の量の合計である第1合計値が、割り当て可能な暗号鍵の量の合計値である第2合計値以下となり、かつ、優先度が高いアプリケーションを優先して第1要求量の暗号鍵を割り当てるように、アプリケーションそれぞれに割り当てる暗号鍵の量を決定する。
以下に添付図面を参照して、この発明にかかる通信装置の好適な実施形態を詳細に説明する。
アプリケーションに対するアプリケーション鍵の割り当て方式ではないが、リンク鍵の割り当て方式として以下のような方式が知られている
(M1)送信鍵バッファおよび受信鍵バッファに対するリンク鍵の割り当て方式:現在の蓄積量が少ないバッファに優先的に割り当てる。
(M2)アプリケーションに対するリンク鍵の割り当て方式:ノードに予めアプリケーションごとの鍵要求レートを設定しておき、この鍵要求レートに基づいて、リンク鍵をアプリケーションに割り当てる。
(M1)送信鍵バッファおよび受信鍵バッファに対するリンク鍵の割り当て方式:現在の蓄積量が少ないバッファに優先的に割り当てる。
(M2)アプリケーションに対するリンク鍵の割り当て方式:ノードに予めアプリケーションごとの鍵要求レートを設定しておき、この鍵要求レートに基づいて、リンク鍵をアプリケーションに割り当てる。
しかし、これらの従来技術では、システム運用中の新たなアプリケーションの追加、および、要求されるアプリケーション鍵の量(鍵要求レート)の変化などにより、複数のアプリケーションが要求する鍵レートを満たす鍵割り当てが実現できなくなるような事態への対応方法が考慮されていない。
本実施形態の通信装置は、ノードに対して複数のアプリケーションが接続する鍵生成・共有システムにおいて、複数のアプリケーションが要求する鍵レートを満たす鍵割り当てが実現できない場合には、アプリケーションの優先度を考慮して鍵を割り当てる。例えば、本実施形態では、重要なアプリケーションの要求する鍵レートを優先的に満たすように制御する優先度考慮型のアプリケーション鍵の割り当て方式を実現する。
このように、本実施形態は、ノードがアプリケーションに対してアプリケーション鍵を割り当てる方法(特定のアプリケーションが専用に利用できるようにするため、ノードにおいて、あるアプリケーション鍵をそのアプリケーションのために事前に確保する方法)に関する。
図1は、本実施形態にかかる通信システムのネットワーク構成例を示す図である。通信システムは、鍵共有ネットワーク301と、アプリケーションネットワーク302と、プライベートネットワーク303a、303bと、を含む。また、通信システムは、通信装置としてのノード100a〜100cと、アプリケーション200a〜200fと、を含む。
ノード100a〜100cを区別する必要がない場合は、単にノード100という場合がある。アプリケーション200a〜200fを区別する必要がない場合は、単にアプリケーション200という場合がある。ノード100の個数は3に限られるものではない。また、アプリケーション200の個数は6に限られるものではない。図1は、ノード100とアプリケーション200が独立に実現される場合の一例である。
プライベートネットワーク303a、303bは、あるノード100と、このノード100がアプリケーション鍵を提供するアプリケーション200とを接続するためのネットワークである。
ノード100a〜100cは、上述のように、対向ノードとの間で乱数を生成して共有する機能と、生成した乱数をリンク鍵として利用して、リンク上で暗号通信を行う機能とを備える。
ノード100は、リンクとは独立に乱数を生成する機能と、別のノードに対して生成した乱数を送信する機能とを備えてもよい。
図2は、本実施形態におけるノード100の構成例を示すブロック図である。ノード100は、プラットフォーム部101と、リンク鍵共有部102と、アプリ鍵共有部103と、鍵記憶部104と、提供部105と、アプリ情報記憶部106と、制御部107と、決定部108と、通知部109と、を備える。
プラットフォーム部101は、ノード100を実現するコンピュータのオペレーティングシステムとして、基本的なプロセス管理機能、ネットワーク機能、セキュリティ機能、および、データ蓄積機能等を実現する。
リンク鍵共有部102は、直接接続される他のノード100との間で量子鍵配送技術等を用いてリンク鍵を共有する。アプリ鍵共有部103は、他のノード100(直接接続されるノードであっても直接接続されないノードであっても良い)との間で、アプリケーション鍵を交換して共有する。アプリ鍵共有部103は、アプリケーション鍵の交換のために必要な制御等も行う。
鍵記憶部104は、リンク鍵やアプリケーション鍵を保持する。提供部105は、アプリケーション200との間の通信インタフェースである。提供部105は、例えばアプリケーション200からの通信開始要求の処理等を行い、アプリケーション鍵要求に対してアプリケーション鍵を提供する。
アプリ情報記憶部106は、アプリケーション関連情報を記憶する。アプリ情報記憶部106は、例えば、以下の(A1)および(A2)のような情報を「アプリケーション関連情報」として、アプリケーション200(の識別情報)と関連付けて保持する。
(A1)アプリケーション200の鍵の要求量(鍵要求レート):要求量は、例えば、100Kbpsといったスループットを示す形式や、50KByte/3分、といった一定時間単位で必要な鍵量を示す形式、および、10MByteといったトータルで必要な鍵量を示す形式等により表される。これらの情報は、アプリケーション200がノード100に接続する際にノード100に対して送信するメッセージの中に含まれていてもよい。ノード100は、メッセージに含まれる情報をもとにして鍵要求レートを設定してもよい。または、ノード100またはシステムの管理者が、各アプリケーション200の鍵要求レートをノード100に対して予め設定しておいてもよい。また、いずれの方法を用いる場合であっても、システム運用中に鍵要求レートの値を変更することができてもよい。なお、アプリケーション200の鍵要求レートは、いわゆる鍵要求レートの他に、この値を下回ることは許容できないことを示す最低鍵要求レート、等の複数の種類が存在してもよい。
(A2)アプリケーション200の優先度:優先度は、例えば数値で表され、その大小によって、そのアプリケーション200への鍵割り当てがシステムにおいてどの程度重要で優先すべきかを示す。例えば、値が小さい方が優先度が高く、大きいほうが優先度が低くなるように構成してもよいし、この逆でもよい。優先度の情報は、アプリケーション200がノード100に接続する際にノード100に対して送信するメッセージの中に含まれていてもよい。ノード100は、メッセージに含まれる情報をもとにして優先度を設定してもよい。または、ノード100またはシステムの管理者が、各アプリケーション200の優先度をノード100に対して予め設定しておいてもよい。また、いずれの方法を用いる場合であっても、システム運用中にこの優先度の値を変更することができてもよい。
図3は、アプリケーション関連情報の構成例を示す図である。図3に示すように、アプリケーション関連情報は、アプリIDと、優先度(Pi)と、鍵要求レート(Ri)と、鍵割当レート(Ai)と、を含む。
アプリIDは、アプリケーション200を識別する情報である。アプリIDは、例えば現在接続しており、かつ通信を行っているアプリケーション200を識別する情報である。形式は一意であればなんでもよく、例えば図3に示すようにアプリケーション200が接続に利用している送信元のIPアドレスおよびポート等が利用可能である。
優先度(Pi)および鍵要求レート(Ri)は上述の通りである。鍵割当レートAiは、現在アプリケーション200に実際に割り当てられているアプリケーション鍵の量(鍵レート)を示す。
これらの情報は、常に変更しうる。また、新しくアプリケーション200が追加(接続)されると、アプリケーション関連情報のエントリが一行新たに追加される(例えば図3のアプリケーション関連情報351)。
アプリ情報記憶部106は、この他に、割り当て可能なアプリケーション鍵の量の合計値(第2合計値)である鍵レート総量Tを記憶してもよい。鍵レート総量Tは、例えば、アプリケーション200の組ごとに保持してもよい。
アプリケーション200の組とは、同じノード100との間で共有したアプリケーション鍵を利用できる1以上のアプリケーション200である。ノード100は、複数のノード100との間でアプリケーション鍵を共有する。よって、アプリケーション200は、暗号通信の相手となるアプリケーションが接続しているノードが異なる場合、同じアプリケーション鍵を割り当てられ利用することができない。同じアプリケーション鍵を割り当てて利用可能であるアプリケーション200の組とは、ある特定のノード100aに接続しており、かつ、暗号通信の相手となるアプリケーション200が、ある特定のノード100cに接続しているようなアプリケーションの集合を指す。なお図3で示しているのは、全て同じアプリケーション鍵を利用できるアプリケーション200の組である。ノード100が、異なるアプリケーション鍵を利用する(すなわち、異なるノードとの間で共有したアプリケーション鍵を割り当てて利用する)アプリケーション200の組についても同様の情報(すなわち鍵レート総量とアプリケーション関連情報)を保持していてもよい。
図2に戻り、決定部108は、アプリ情報記憶部106が保持するアプリケーション関連情報等を参照し、後述のアルゴリズムを実行することによって、優先度を考慮した鍵割り当て方式(ポリシー)を決定する。決定した鍵割り当て方式は、制御部107に伝えられる。
制御部107は、ノード100全体を制御する。制御部107は、例えば、決定部108が決定した割り当て方式にしたがって、アプリ鍵共有部103が共有したアプリケーション鍵を各ノード100に対して実際に割り当てる処理を行う。
通知部109は、決定部108が決定した割り当て方式に従った場合に、鍵割り当て量が変更されるアプリケーション200に対し、鍵割り当て状態(鍵割り当て量)が変化したことを示す通知メッセージ(鍵割当状態変化通知)を送信する。
なお、プラットフォーム部101、リンク鍵共有部102、アプリ鍵共有部103、提供部105、制御部107、決定部108、および、通知部109は、例えば、CPU(Central Processing Unit)などの処理装置にプログラムを実行させること、すなわち、ソフトウェアにより実現してもよいし、IC(Integrated Circuit)などのハードウェアにより実現してもよいし、ソフトウェアおよびハードウェアを併用して実現してもよい。
また、鍵記憶部104およびアプリ情報記憶部106は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
次に、このように構成された本実施形態にかかるノード100による鍵割当処理について図4を用いて説明する。図4は、本実施形態における鍵割当処理の一例を示すフローチャートである。図4は、本実施形態の鍵割り当てアルゴリズムを示している。このアルゴリズムが、アプリケーション200が新たに追加されたり、アプリケーション200の優先度および鍵要求レートの情報が変化したり、さらに、割り当て可能な鍵レート総量Tが一定以上変化したりした場合に実行される。
決定部108は、優先度Piが高い順番にアプリケーション200を並び替える(ステップS101)。決定部108は、優先度Piが高いk個(1≦k≦N、Nはアプリケーションの総数)のアプリケーションについて、以下の(1)式を満たす最大のkを算出する(ステップS102)。
決定部108は、k個に含まれるアプリケーション200の鍵割当レートを、アプリケーション200それぞれの鍵要求レートに決定する(ステップS103)。決定部108は、k個に含まれないアプリケーション200の鍵割当レートを、ゼロまたは鍵レート残量に決定する(ステップS104)。鍵レート残量とは、鍵レート総量Tからk個のアプリケーション200の鍵要求レートの合計値を減算した値である。
このように、優先度の高いアプリケーション200から順に鍵要求レートが合計される。合計値が鍵レート総量T以下の値に収まるアプリケーション200の鍵割当レートは、鍵要求レートの値そのものとなる。合計値が鍵レート総量Tを超えるアプリケーション200への鍵割当レートは、ゼロまたは鍵レート残量となる。
通知部109は、鍵割当レートが変更となったアプリケーション200に対して、鍵割当レートが変更されたことを示す通知メッセージを送信する(ステップS105)。
なお、新たに追加されたアプリケーション200、および、優先度や鍵要求レートが変化したアプリケーション200に対しては、常に通知メッセージが送信される。また、このようなアプリケーション200に対しても、追加直後(または変更直後)から、鍵割当レートがゼロとなる場合もある。
なお、図3は、事前に4つのアプリケーション200が接続して動作中であったノード100に対し、優先度3のアプリケーション200(アプリID:10.0.0.108:9201)が追加された例を示している。この場合、新しく追加されたアプリケーション200(アプリID:10.0.0.108:9201)に鍵割当レート20Kbpsを優先して確保したことにより、動作中であった優先度10のアプリケーション200(アプリID:10.0.0.105:8767)は、鍵割当レートが10Kbpsから0へと変化する。このため、この2つのアプリケーション200(アプリID:10.0.0.108:9201、アプリID:10.0.0.105:8767)に対して通知メッセージが送信される。
図5は、通知メッセージが送信される様子を示す図である。図5の5個のアプリケーション200は、図3の5個のアプリIDのアプリケーション200にそれぞれ対応する。最下部のアプリケーション200(アプリID:10.0.0.108:9201)が追加されると、上述のように、2番目の(優先度10の)アプリケーション200(アプリID:10.0.0.105:8767)、および、追加されたアプリケーション200(アプリID:10.0.0.108:9201)に対して通知メッセージが送信される。
(変形例)
次に図6および図7を用いて、他の鍵割り当て方法について説明する。図6は、変形例におけるアプリケーション関連情報の構成例を示す図である。
次に図6および図7を用いて、他の鍵割り当て方法について説明する。図6は、変形例におけるアプリケーション関連情報の構成例を示す図である。
図3との違いは、最低鍵要求レート(Mi)が追加されている点である。最低鍵要求レートは、そのアプリケーション200の鍵要求レート(Ri)が満たされない場合であっても、満たされることをアプリケーション200が要求する鍵レートである。最低鍵要求レートの値は、鍵要求レートの値以下である。
図7は、本変形例における鍵割当処理の一例を示すフローチャートである。図7に示す鍵割り当てアルゴリズムが、アプリケーション200が新たに追加されたり、アプリケーション200の優先度や鍵要求レートの情報が変化したり、さらに、割り当て可能な鍵レート総量Tが一定以上変化したりした場合に実行される。
決定部108は、優先度Piが高い順番にアプリケーション200を並び替える(ステップS201)。決定部108は、全てのアプリケーション200の鍵要求レートの合計TRを算出する(ステップS202)。決定部108は、全てのアプリケーション200の最低鍵要求レートの合計TMを算出する(ステップS203)。決定部108は、割り当て可能な鍵レート総量Tを算出する(ステップS204)。
決定部108は、ステップS202〜ステップS204の算出結果に基づいて、以下のように、各アプリケーション200の鍵割当レートを設定する。
決定部108は、TRがT以下であるか否かを判断する(ステップS205)。TRがT以下である場合(ステップS205:Yes)、全てのアプリケーション200の鍵要求レートを満たすことが可能であるため、決定部108は、全てのアプリケーション200の鍵割当レートをその鍵要求レートとする(ステップS206)。
TRがTより大きい場合(ステップS205:No)、決定部108は、TMがTより大きいか否かを判断する(ステップS207)。TMがTより大きい場合(ステップS207:Yes)、全てのアプリケーション200の最低鍵要求レートすら満たすことができないことになる。この場合、決定部108は、最低鍵要求レートを鍵要求レートの代わりに用いて、図4に示すアルゴリズムを実行する(ステップS208)。これにより、決定部108は、全てのアプリケーション200に対して最低鍵要求レートと一致する鍵割当レートを割り当てる、または、ゼロもしくは鍵レート総量Tから直前までの最低鍵要求レートの合計値を引いたもの(鍵レート残量)となる鍵割当レートを割り当てる。
TMがT以下である場合(ステップS207:No)、決定部108は、優先度Piが高いk個(1≦k≦N)のアプリケーション200について、以下の(2)式を満たす最大のkを算出する(ステップS209)。ここで、Xiはアプリケーション200がk個に含まれるときはRiであり、アプリケーション200がk個に含まれないときはMiである。
決定部108は、k個に含まれるアプリケーション200の鍵割当レートを、アプリケーション200それぞれの鍵要求レートに決定する(ステップS210)。決定部108は、k個に含まれないアプリケーション200の鍵割当レートを、最低鍵要求レートまたは鍵レート残量に決定する(ステップS211)。
通知部109は、鍵割当レートが変更となったアプリケーション200に対して、鍵割当レートが変更されたことを示す通知メッセージを送信する(ステップS212)。
図6の例は、事前に4つのアプリケーション200が接続して動作中であったノード100に対し、優先度3のアプリケーション200(アプリID:10.0.0.108:9201)が追加されたところを示している(アプリケーション関連情報651)。この場合、新しく追加されたアプリケーション200(アプリID:10.0.0.108:9201)に鍵割当レート20Kbpsが優先して確保される。この結果、優先度10のアプリケーション200(アプリID:10.0.0.105:8767)は、鍵割当レートが10Kbpsから最低鍵要求レートである5Kbpsへと変化する。次に低い優先度を持つ優先度5のアプリケーション200(アプリID:10.0.0.103:7170)は、鍵割当レートが20Kbpsから15Kbpsへと変化している。このため、追加されたアプリケーション200を含むこれら3つのアプリケーション200(アプリID:10.0.0.108:9201、アプリID:10.0.0.105:8767、アプリID:10.0.0.103:7170)に対して通知メッセージが送信される。
図8は、通知メッセージが送信される様子を示す図である。図8の5個のアプリケーション200は、図6の5個のアプリIDのアプリケーション200にそれぞれ対応する。最下部のアプリケーション200(アプリID:10.0.0.108:9201)が追加されると、2番目の(優先度10の)アプリケーション200(アプリID:10.0.0.105:8767)、3番目の(優先度5の)アプリケーション200、および、追加されたアプリケーション200(アプリID:10.0.0.103:7170)に対して通知メッセージが送信される。
上述のように、優先度が高いアプリケーション200の追加によって、優先度が低いアプリケーション200は鍵要求レートを満たされなくなることがある。アプリケーション200はこの状態を、ノード100からの通知メッセージの受信によって把握する。以下では、この通知メッセージを受信した際に可能なアプリケーション200の動作の一例((B1)〜(B5))を説明する。
(B1)何もしない:アプリケーション200は特別何らかの対応が必須となる訳ではない。アプリケーション鍵に関して鍵要求レートを下回ったことから、アプリケーション200がノード100に対してアプリケーション鍵の取得要求を行ってから、実際にアプリケーション鍵を受信するまでに、より長い時間を要するようになるかもしれない。そのため、アプリケーション200におけるデータの送受信が遅延する可能性がある。ただし、このような時間的な遅延を気にしないアプリケーション200(時間的に余裕のあるバッチ処理等)もあるため、このような「何もしない」という選択肢を取ってもよい。
(B2)アプリケーション200を終了する:ノード100に要求していた鍵要求レート、または、最低鍵要求レートが満たされなくなり、アプリケーション200の実行開始時に期待していたデータスループットまたはセキュリティ(またはその両方)が今後満たされないことが明らかとなった時点で、アプリケーション200はその実行を終了してもよい。
(B3)アプリケーション200の実行形態を変更する:鍵割当レートが低下する場合、通信データ量を低減させることができれば、アプリケーション200の実行そのものには影響を生じない可能性がある。例えば、リアルタイム映像伝送等の場合、使用する符号化方式および圧縮率等のパラメータを変更または調整する。これにより、例えば、ある程度の映像品質を犠牲にした上で、鍵割当レート低下前と同様のアプリケーション200を実行することも可能となる。
(B4)暗号方式を変更する:鍵割当レートが低下する場合であっても、鍵の使用量(すなわち、通信データ量と、そのために使用する鍵量の比率)を変更すれば、通信データ量そのものは維持できる可能性がある。例えば、暗号方式としてOTP(One Time Pad)を使っていたアプリケーション200が、古典暗号技術を組み合わせた暗号方式(例えば、1024バイトごとに128バイトの鍵を使う暗号方式)に切り替えた場合、鍵の使用量はOTP使用時に比べ、この場合では1/8に減少する。ただしこの場合、厳密な意味での安全性は、変更前に比べて低下する。
(B5)量子鍵配送に依存しない暗号(古典暗号)に切り替える:鍵割当レートが低下した際、ノード100から受け取るアプリケーション鍵を使わず、古典暗号での通信を行うという方法も可能である。古典暗号だけを使うのであれば、鍵割当レートがゼロであっても(ネットワーク帯域や処理速度によって律速された上で)任意のスループットで暗号データ通信を行うことが可能となる。
次に、本実施形態が適用されうるユースケース(適用シナリオ)について説明する。本実施形態は、複数のアプリケーション200が接続されるノード100において、アプリケーション200の優先度に応じて鍵割り当てを行うアプリケーション200を決定する。この技術は、例えば以下の(C1)〜(C3)のようなユースケース(シナリオ)にて利用される。
(C1)権限が異なる複数のユーザのアプリケーション200が同一のノード100で動作する:より強い権限を持つユーザのアプリケーション200には高い優先度を割り当てる。これによって、アプリケーション200を所有するユーザの権限に対応するアプリケーション鍵の割り当てが可能となる。
(C2)アプリケーション200の種類によって優先度が異なる:例えば、映像中継アプリケーションと、機密データファイルを転送するアプリケーションと、を考える。この場合、データそのものに冗長性がある映像中継データよりも、機密データファイルのデータをより厳密に守りたいという要求が考えられる。このような状況において、機密データファイルを転送するアプリケーションにより高い優先度を与えることが可能である。映像中継アプリケーションにおいては、映像のクオリティまたはセキュリティ安全性面等で、一部妥協をすることによって、アプリケーション200を継続することも可能である。
(C3)鍵生成・共有システムをリモート管理・監視するためのアプリケーション200を優先する:システムのリモート管理・監視のためのソフトウェアも本実施形態におけるアプリケーション200として実現可能である。このとき、これらのリモート管理・監視アプリケーションのセキュリティおよび動作品質は、一般のアプリケーション200のセキュリティおよび動作品質よりも重要であると考えられることがある。このような状況において、リモート管理・監視アプリケーションの優先度を高くし、一般のアプリケーションの優先度を低くする。これにより、常にリモート管理・監視アプリケーションへの鍵割り当てを優先し、そのトラフィックを制約しないように維持することが可能である。
以上説明したとおり、本実施形態によれば、アプリケーションそれぞれが要求する鍵レートを満たす鍵割り当てを効率的に実行することができる。
次に、本実施形態にかかる通信装置のハードウェア構成について図9を用いて説明する。図9は、本実施形態にかかる通信装置のハードウェア構成を示す説明図である。
本実施形態にかかる通信装置は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
本実施形態にかかる通信装置で実行されるプログラムは、ROM52等に予め組み込まれて提供される。
本実施形態にかかる通信装置で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録してコンピュータプログラムプロダクトとして提供されるように構成してもよい。
さらに、本実施形態にかかる通信装置で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施形態にかかる通信装置で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
本実施形態にかかる通信装置で実行されるプログラムは、コンピュータを上述した通信装置の各部(プラットフォーム部、リンク鍵共有部、アプリ鍵共有部、提供部、制御部、決定部、および、通知部)として機能させうる。このコンピュータは、CPU51がコンピュータ読取可能な記憶媒体からプログラムを主記憶装置上に読み出して実行することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100a、100b、100c ノード
101 プラットフォーム部
102 リンク鍵共有部
103 アプリ鍵共有部
104 鍵記憶部
105 提供部
106 アプリ情報記憶部
107 制御部
108 決定部
109 通知部
200a〜200f アプリケーション
301 鍵共有ネットワーク
302 アプリケーションネットワーク
303a、303b プライベートネットワーク
101 プラットフォーム部
102 リンク鍵共有部
103 アプリ鍵共有部
104 鍵記憶部
105 提供部
106 アプリ情報記憶部
107 制御部
108 決定部
109 通知部
200a〜200f アプリケーション
301 鍵共有ネットワーク
302 アプリケーションネットワーク
303a、303b プライベートネットワーク
Claims (9)
- 1以上のアプリケーションに割り当てる暗号鍵の量の合計である第1合計値が、割り当て可能な前記暗号鍵の量の合計値である第2合計値以下となり、かつ、優先度が高い前記アプリケーションを優先して前記アプリケーションが要求する前記暗号鍵の量を表す第1要求量の前記暗号鍵を割り当てるように、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定部、
を備える通信装置。 - 前記決定部は、前記アプリケーションが要求する前記暗号鍵の量を表し前記第1要求量より小さい第2要求量の合計が前記第2合計値より大きい場合、前記第1合計値が前記第2合計値以下となり、かつ、前記優先度が高い前記アプリケーションを優先して前記第2要求量の前記暗号鍵を割り当てられるように、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する、
請求項1に記載の通信装置。 - 前記決定部は、前記第1合計値が前記第2合計値以下となり、かつ、前記優先度が高い前記アプリケーションを優先して前記第1要求量の前記暗号鍵を割り当て、かつ、前記優先度が低い前記アプリケーションに対して前記アプリケーションが要求する前記暗号鍵の要求量であって前記第1要求量より小さい第2要求量以下の前記暗号鍵を割り当てるように、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する、
請求項1に記載の通信装置。 - 前記暗号鍵の量が変更された前記アプリケーションに対して、前記暗号鍵の量が変更されたことを通知する通知部をさらに備える、
請求項1に記載の通信装置。 - 前記優先度と前記第1要求量とは、前記アプリケーションから受信される、
請求項1に記載の通信装置。 - 前記決定部は、前記アプリケーションが接続された場合、前記アプリケーションが要求する前記第1要求量が変更された場合、および、前記第2合計値が変更された場合、の少なくともいずれかの場合に、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する、
請求項1に記載の通信装置。 - 1以上のアプリケーションに割り当てる暗号鍵の量の合計である第1合計値が、割り当て可能な前記暗号鍵の量の合計値である第2合計値以下となり、かつ、優先度が高い前記アプリケーションを優先して前記アプリケーションが要求する前記暗号鍵の量を表す第1要求量の前記暗号鍵を割り当てるように、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定ステップ、
を含む通信方法。 - コンピュータを、
1以上のアプリケーションに割り当てる暗号鍵の量の合計である第1合計値が、割り当て可能な前記暗号鍵の量の合計値である第2合計値以下となり、かつ、優先度が高い前記アプリケーションを優先して前記アプリケーションが要求する前記暗号鍵の量を表す第1要求量の前記暗号鍵を割り当てるように、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定部、
として機能させるためのプログラム。 - 暗号鍵を利用する1以上のアプリケーションと、前記アプリケーションに前記暗号鍵を提供する通信装置と、を備える通信システムであって、
前記通信装置は、
1以上のアプリケーションに割り当てる暗号鍵の量の合計である第1合計値が、割り当て可能な前記暗号鍵の量の合計値である第2合計値以下となり、かつ、優先度が高い前記アプリケーションを優先して前記アプリケーションが要求する前記暗号鍵の量を表す第1要求量の前記暗号鍵を割り当てるように、前記アプリケーションそれぞれに割り当てる前記暗号鍵の量を決定する決定部、を備える、
通信システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013122410A JP6192998B2 (ja) | 2013-06-11 | 2013-06-11 | 通信装置、通信方法、プログラムおよび通信システム |
| US14/189,032 US9356780B2 (en) | 2013-06-11 | 2014-02-25 | Device, method, and system for encrypted communication by using encryption key |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013122410A JP6192998B2 (ja) | 2013-06-11 | 2013-06-11 | 通信装置、通信方法、プログラムおよび通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014241464A JP2014241464A (ja) | 2014-12-25 |
| JP6192998B2 true JP6192998B2 (ja) | 2017-09-06 |
Family
ID=52006513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013122410A Active JP6192998B2 (ja) | 2013-06-11 | 2013-06-11 | 通信装置、通信方法、プログラムおよび通信システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9356780B2 (ja) |
| JP (1) | JP6192998B2 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106301769B (zh) | 2015-06-08 | 2020-04-10 | 阿里巴巴集团控股有限公司 | 量子密钥输出方法、存储一致性验证方法、装置及系统 |
| KR101816582B1 (ko) * | 2016-08-03 | 2018-01-09 | 엘지전자 주식회사 | 차량 및 그 제어방법 |
| WO2018026030A1 (ko) | 2016-08-03 | 2018-02-08 | 엘지전자 주식회사 | 차량 및 그 제어방법 |
| JP2018033079A (ja) * | 2016-08-26 | 2018-03-01 | 株式会社東芝 | 通信装置、通信システム及び通信方法 |
| KR102287186B1 (ko) * | 2020-01-21 | 2021-08-05 | 주식회사 케이티 | 양자키 할당 우선 순위를 고려하는 양자 통신 시스템, 장치 및 방법 |
| JP2022046111A (ja) | 2020-09-10 | 2022-03-23 | 株式会社東芝 | 暗号通信システム、鍵交換ノード、アプリケーション実行環境、制御方法およびプログラム |
| EP3993311A1 (en) * | 2020-10-28 | 2022-05-04 | Deutsche Telekom AG | System and method for cost-efficient and economical consumption of keys in a quantum key distribution platform |
| US11711210B2 (en) * | 2020-12-28 | 2023-07-25 | Mellanox Technologies, Ltd. | Quantum key distribution-based key exchange orchestration service |
| US11895233B2 (en) | 2020-12-28 | 2024-02-06 | Mellanox Technologies, Ltd. | Quantum key distribution enabled intra-datacenter network |
| JP2022116672A (ja) * | 2021-01-29 | 2022-08-10 | 株式会社東芝 | 量子鍵配送サービスプラットフォーム |
| US11848711B2 (en) | 2022-02-18 | 2023-12-19 | Mellanox Technologies, Ltd. | Network interface card for quantum computing over classical and quantum communication channels |
| US11949463B1 (en) | 2022-12-08 | 2024-04-02 | Mellanox Technologies, Ltd. | Measurement based methods for accessing and characterizing quantum communication channels |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7392378B1 (en) * | 2003-03-19 | 2008-06-24 | Verizon Corporate Services Group Inc. | Method and apparatus for routing data traffic in a cryptographically-protected network |
| US7441267B1 (en) * | 2003-03-19 | 2008-10-21 | Bbn Technologies Corp. | Method and apparatus for controlling the flow of data across a network interface |
| US7181011B2 (en) * | 2004-05-24 | 2007-02-20 | Magiq Technologies, Inc. | Key bank systems and methods for QKD |
| US7646873B2 (en) * | 2004-07-08 | 2010-01-12 | Magiq Technologies, Inc. | Key manager for QKD networks |
| JP4957952B2 (ja) * | 2005-06-21 | 2012-06-20 | 日本電気株式会社 | 通信システムおよびそのタイミング制御方法 |
| JP5384781B2 (ja) * | 2005-08-18 | 2014-01-08 | 日本電気株式会社 | 秘匿通信システムおよび共有秘密情報の生成方法 |
| JP2007086170A (ja) * | 2005-09-20 | 2007-04-05 | Nec Corp | 汎用ハッシュ関数族計算装置、方法、プログラム、および共有鍵生成システム |
| JP5424008B2 (ja) * | 2006-12-19 | 2014-02-26 | 日本電気株式会社 | 共有情報の管理方法およびシステム |
| JP5288087B2 (ja) * | 2007-06-11 | 2013-09-11 | 日本電気株式会社 | 秘匿通信ネットワークにおける暗号鍵管理方法および装置 |
| GB0801408D0 (en) * | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Multi-community network with quantum key distribution |
| WO2010067551A1 (ja) * | 2008-12-10 | 2010-06-17 | 日本電気株式会社 | 秘匿通信ネットワークにおける共有乱数管理方法および管理システム |
| JP5464413B2 (ja) * | 2009-08-19 | 2014-04-09 | 日本電気株式会社 | 秘匿通信システムにおける通信装置および通信制御方法 |
| GB201020424D0 (en) * | 2010-12-02 | 2011-01-19 | Qinetiq Ltd | Quantum key distribution |
| US8781129B2 (en) * | 2011-02-23 | 2014-07-15 | General Electric Company | Systems, methods, and apparatus for electrical grid quantum key distribution |
| JP5624526B2 (ja) * | 2011-08-26 | 2014-11-12 | 株式会社東芝 | 鍵共有装置、鍵共有方法および鍵共有プログラム |
| JP2014068313A (ja) * | 2012-09-27 | 2014-04-17 | Toshiba Corp | 通信方法、アプリケーション装置、プログラム及び通信システム |
| JP5978917B2 (ja) * | 2012-10-22 | 2016-08-24 | 沖電気工業株式会社 | 多端末量子鍵配送システム |
-
2013
- 2013-06-11 JP JP2013122410A patent/JP6192998B2/ja active Active
-
2014
- 2014-02-25 US US14/189,032 patent/US9356780B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9356780B2 (en) | 2016-05-31 |
| US20140365774A1 (en) | 2014-12-11 |
| JP2014241464A (ja) | 2014-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6192998B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| JP6223884B2 (ja) | 通信装置、通信方法およびプログラム | |
| EP2562957B1 (en) | Key sharing device, key sharing method, and computer program product | |
| US9306734B2 (en) | Communication device, key generating device, and computer readable medium | |
| KR102199278B1 (ko) | 가속 자원 처리 방법 및 장치, 및 네트워크 기능 가상화 시스템 | |
| JP5694247B2 (ja) | 鍵生成装置、通信方法および通信システム | |
| JP5634427B2 (ja) | 鍵生成装置、鍵生成方法およびプログラム | |
| US20150189017A1 (en) | Cooperative nodes in a content distribution network | |
| JP5260677B2 (ja) | ネットワーク内の改善されたリソース割当て計画 | |
| WO2018220708A1 (ja) | 資源割当システム、管理装置、方法およびプログラム | |
| US20140143443A1 (en) | Communication device, communication system, and computer program product | |
| JP2019050453A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| CN110447207B (zh) | 反应式路径选择的系统和方法 | |
| JP6211818B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| US11936636B2 (en) | Communication device, communication method, and communication system | |
| KR101816582B1 (ko) | 차량 및 그 제어방법 | |
| CN115176452A (zh) | 通信网络中的数据管理的方法和系统 | |
| JP6078180B1 (ja) | データ分散装置、データ分散方法及びデータ分散プログラム | |
| KR102612892B1 (ko) | 통신 디바이스, 컴퓨터 판독가능 매체, 및 통신 시스템 | |
| JP6509475B1 (ja) | 管理装置、管理方法及び管理プログラム | |
| JP2005244417A (ja) | 帯域制御装置、帯域制御方法および帯域制御プログラム | |
| Nagaraja et al. | A Session Key Utilization Based Approach For Memory Management in Wireless Networks | |
| JP2023136740A (ja) | 鍵管理装置、量子暗号通信システム及びプログラム | |
| JP2019195198A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| JP2015097423A (ja) | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20151102 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160316 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170606 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170616 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170711 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170809 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6192998 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |