JP7020769B2 - 通信装置および通信方法 - Google Patents

通信装置および通信方法 Download PDF

Info

Publication number
JP7020769B2
JP7020769B2 JP2016122471A JP2016122471A JP7020769B2 JP 7020769 B2 JP7020769 B2 JP 7020769B2 JP 2016122471 A JP2016122471 A JP 2016122471A JP 2016122471 A JP2016122471 A JP 2016122471A JP 7020769 B2 JP7020769 B2 JP 7020769B2
Authority
JP
Japan
Prior art keywords
key
packet
communication
encryption key
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016122471A
Other languages
English (en)
Other versions
JP2017228880A (ja
Inventor
稔 村松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2016122471A priority Critical patent/JP7020769B2/ja
Publication of JP2017228880A publication Critical patent/JP2017228880A/ja
Application granted granted Critical
Publication of JP7020769B2 publication Critical patent/JP7020769B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、暗号化された通信に関するものであり、特に、通信状況を監視する技術に関するものである。
暗号化されたパケットの伝送を行うことで、インターネット上に仮想的な専用回線を設けるインターネットVPN(Internet Virtual Private Network)が広く用いられるようになっている。インターネットVPNは、LAN(Local Area Network)などにそれぞれ接続された通信装置間でインターネットを介した通信が行われる。
そのような構成のインターネットVPNでは、一方の通信装置にLAN等から入力されたパケットが暗号鍵を用いて暗号化され、インターネット上を伝送された後、もう一方の通信装置で復号されてLAN等に出力される。暗号化および復号を行う通信装置間では、コントロールプレーン上で暗号化および復号に用いる鍵の共有が行われる。
また、通信ネットワークの重要性が高くなり、通信が安定して継続できることに対する要求が高くなっている。そのため、インターネットVPNのような通信システムにおいても、データプレーン上におけるパケットの通信を安定的に行う必要がある。暗号化された通信システムにおいて、パケットの通信を安定的に行うためには、例えば、受信側の通信装置で安定的に復号処理が行われる必要がある。
しかし、通信装置において暗号鍵の喪失や暗号鍵のデータの不具合等が生じると、暗号化されたパケットの復号を行うことができないため通信が停止する恐れがある。そのため、暗号化されたパケットを伝送する通信システムにおいて、受信側の装置における復号処理の状態を監視する技術の開発が行われている。そのような、受信側の装置における復号処理の状態を監視する技術としては、例えば、特許文献1のような技術が開示されている。
特許文献1は、ノード間で通信を行う複数のノードと、通信ネットワークと接続しているゲートウェイ装置と、管理装置を備える通信システムに関するものである。特許文献1の通信システムの各ノードは、ゲートウェイ装置ごとに設定された暗号鍵に基づいて暗号化されたパケットによって互いに通信を行う。各ノードは、受信パケットを復号する際に、復号できなった回数を計数する。各ノードは、復号できなかった回数が閾値を超えたときに、管理装置に新たなゲートウェイ装置の暗号鍵を要求する。特許文献1は、そのような方法で通信を行うことで、暗号鍵の設定を効率的に行うことができるとしている。
国際公開第2012/090332号
しかしながら、特許文献1の技術は次のような点で十分ではない。特許文献1の通信システムでは、受信側のノードにおいて復号ができなかった回数の計数を行い、閾値を超えたときに他の暗号鍵の要求が行われている。そのため、特許文献1の通信システムでは、送信側の装置は、受信側のノードにおける復号の可否について判断をすることはできない。すなわち、特許文献1の通信システムでは、受信側の復号の可否に関わらずパケットの送信が継続され、送信側では送信しているにも関わらず、受信側で復号できずにパケットが破棄されて通信が停止する状態が生じうる。よって、特許文献1の技術は、通信ネットワークを介して対向する通信装置間で、暗号化処理に関する不具合を早期に検知して通信の停止時間を抑制するための技術としては十分ではない。
本発明は、上記の課題を解決するため、暗号化処理に関する不具合を早期に検知して通信の停止時間を抑制することができる通信装置を得ることを目的としている。
上記の課題を解決するため、本発明の通信装置は、受信手段と、復号手段と、監視手段と、暗号鍵管理手段を備えている。受信手段は、ネットワークを介して対向する通信装置である対向装置から、自装置が保持している復号鍵と対応するように生成された暗号鍵を基に暗号化されたパケットを受信する。復号手段は、対向装置から暗号鍵を基に暗号化されて送られてくるパケットを、自装置が保持している復号鍵を基に復号する。監視手段は、復号手段によるパケットの復号が正常に行われているかを監視する。暗号鍵管理手段は、監視手段がパケットの復号の異常を検知したときに、自装置に保持している復号鍵の情報を対向装置に送信する。
本発明の通信方法は、ネットワークを介して対向する通信装置である対向装置から、自装置が保持している復号鍵と対応するように生成された暗号鍵を基に暗号化されたパケットを受信する。本発明の通信方法は、対向装置から暗号鍵を基に暗号化されて送られてくるパケットを、自装置が保持している前記復号鍵を基に復号する。本発明の通信方法は、パケットの復号が正常に行われているかを監視する。本発明の通信方法は、パケットの復号の異常を検知したときに、自装置に保持している復号鍵の情報を対向装置に送信する。
本発明によると、暗号化処理に関する不具合を早期に検知して通信の停止時間を抑制することができる。
本発明の第1の実施形態の構成の概要を示す図である。 本発明の第2の実施形態の構成の概要を示す図である。 本発明の第2の実施形態の通信装置の構成を示す図である。 本発明の第2の実施形態の通信システムの例を示す図である。 本発明の第2の実施形態の鍵の組み合わせの例を示す図である。 本発明の第2の実施形態における鍵の状態の例を示した図である。 本発明の第2の実施形態の通信装置の動作フローを示す図である。 本発明の第2の実施形態の通信システムの動作の例を模式的に示した図である。 本発明の第2の実施形態の通信装置の動作フローを示す図である。 本発明の第2の実施形態の通信システムの動作の例を模式的に示した図である。 本発明の第2の実施形態の通信システムの動作の例を模式的に示した図である。 本発明の第2の実施形態の通信システムの動作の例を模式的に示した図である。
(第1の実施形態)
本発明の第1の実施形態について図を参照して詳細に説明する。図1は、本実施形態の通信システムの構成の概要を示したものである。本実施形態の通信装置は、受信手段1と、復号手段2と、監視手段3と、暗号鍵管理手段4を備えている。受信手段1は、ネットワークを介して対向する通信装置である対向装置から、自装置が保持している復号鍵と対応するように生成された暗号鍵を基に暗号化されたパケットを受信する。復号手段2は、対向装置から暗号鍵を基に暗号化されて送られてくるパケットを、自装置が保持している復号鍵を基に復号する。監視手段3は、復号手段2によるパケットの復号が正常に行われているかを監視する。暗号鍵管理手段4は、監視手段3がパケットの復号の異常を検知したときに、自装置に保持している復号鍵の情報を対向装置に送信する。
本発明の通信装置では、監視手段3がパケットの復号の異常を検知したときに、暗号鍵管理手段4が自装置に保持している復号鍵の情報を対向装置に送信している。このように本実施形態の通信装置では、パケットの復号の処理状態に異常が生じた際に、復号鍵の情報を送信しているので、パケットの送信元の対向装置は、送信先の通信装置がどのような復号鍵を保持しているかを認識することができる。パケットの送信元の対向装置は、送信先の通信装置がどのような復号鍵を保持しているかを認識することで、復号できない暗号鍵で暗号化されたパケットを送信しつつけることを避けることができる。また、パケットの送信元の対向装置は、送信先の通信装置がどのような復号鍵を保持しているかを認識することで、必要に応じて鍵の再生成を行うことが可能になる。そのため、本実施形態の通信装置を用いることで、受信装置側で復号できない暗号鍵で暗号化パケットの送信が継続され通信が停止する状態を避けることができる。その結果、本実施形態の通信装置を用いることで、暗号化処理に関する不具合を早期に検知して通信の停止時間を抑制することができる。
(第2の実施形態)
本発明の第2の実施形態について図を参照して詳細に説明する。図2は、本実施形態の通信システムの構成の概要を示したものである。
本実施形態の通信システムは、第1の通信装置11と、第2の通信装置12と、通信ネットワーク30を備えている。第1の通信装置11と、第2の通信装置12は、通信ネットワーク30を介して接続されている。また、通信ネットワーク30上には、さらに通信装置が接続されていてもよい。
本実施形態の通信システムは、第1の通信装置11と、第2の通信装置12がインターネットVPN(Internet Virtual Private Network)を介してパケットの送受信を行う通信システムである。本実施形態では、第1の通信装置11と、第2の通信装置12は、IPsec(Security Architecture for Internet Protocol)に基づいて暗号化したパケットの送受信を行う。
第1の通信装置11および第2の通信装置12は、IKE(Internet Key Exchange)プロトコルに基づいて、パケットの暗号化に用いる暗号鍵と、暗号化されたパケットの復号に用いる復号鍵を生成し、暗号化されたパケットの送受信を行う。第1の通信装置11および第2の通信装置12は、暗号鍵および復号鍵をそれぞれ保持している。すなわち、第1の通信装置11の暗号鍵と第2の通信装置12の復号鍵、および、第2の通信装置12の暗号鍵と第1の通信装置11の復号鍵をそれぞれ対応するように生成することで、暗号化されたパケットを相互に送受信することができる。
第1の通信装置11および第2の通信装置12の構成について説明する。図3は、本実施形態の第1の通信装置11および第2の通信装置12として用いられる通信装置20の構成の概要を示したものである。図3に示すとおり、通信装置20は、通信データ入出力部21と、通信制御部22と、暗号化処理部23と、暗号鍵管理部24と、鍵情報記憶部25と、通信部26を備えている。
通信データ入出力部21は、通信ネットワーク30との間で送受信するパケットの入力インターフェースとしての機能を有する。通信データ入出力部21は、通信装置20に接続されている情報処理装置やLAN(Local Area Network)等の他のネットワークから入力されるパケットを、通信装置20の内部で用いる信号の形式に変換して通信制御部22に送る。また、通信データ入出力部21は、通信制御部22から受け取ったパケットを、情報処理装置や他のネットワークに送信する際の信号形式に変換し、通信装置20に接続されている情報処理装置や他のネットワークに送信する。
通信制御部22は、入力されたパケットのあて先を判断し、あて先に応じてパケットを処理する機能を有する。通信制御部22は、通信データ入出力部21からパケットを受け取ると、ヘッダ情報を基にあて先を判断し、あて先に基づいた情報をヘッダに付加する。通信制御部22は、あて先に基づいた情報をヘッダに付加したパケットを暗号化処理部23に送る。また、通信制御部22は、暗号化処理部23から受け取ったパケットのあて先を判断し、受け取ったパケットのあて先が自装置に接続している情報処理装置やネットワーク宛のパケットである場合に、ヘッダに必要な情報を付加して通信データ入出力部21に送る。
暗号化処理部23は、パケットの暗号化と復号を行う機能を有する。暗号化処理部23は、暗号化処理部23は、通信制御部22からパケットを受け取ると、パケットのペイロードに暗号化を施す。暗号化処理部23は、暗号鍵管理部24に保存されているパケットの送信先に応じた暗号鍵を基にパケットを暗号化する。暗号化処理部23は、暗号化を施したパケットを通信部26に送る。
暗号化処理部23は、通信部26から受け取ったパケットのヘッダを参照し、受け取ったパケットに対応する復号鍵を、暗号鍵管理部24を参照して取得する。暗号化処理部23は、暗号鍵管理部24から取得した復号鍵を基に、暗号化されたパケットのペイロードを復号する。暗号化処理部23は、暗号化されたパケットの復号を行うと、復号したパケットを通信データ入出力部21に送る。
暗号化処理部23は、パケットのヘッダ部分を含めて暗号化し、通信ネットワーク30において伝送する際のヘッダをさらに付加するようにしてもよい。ヘッダ部を含めて暗号化した場合には、暗号化処理部23は、復号する際に通信ネットワーク30において伝送する際に付加されたヘッダを削除して、暗号化されている部分を復号して通信制御部22に送る。また、本実施形態の暗号化処理部23において暗号化されたパケットを復号する機能は、第1の実施形態の復号手段2に相当する。
暗号鍵管理部24は、暗号化処理部23でパケットの暗号化および復号を行う際に用いる暗号鍵および復号鍵の保存および管理を行う機能を有する。暗号鍵管理部24は、パケットの送信先の通信装置ごとに、暗号鍵および復号鍵のペアを生成し、鍵情報記憶部25に保存する。暗号鍵管理部24は、保存している暗号鍵および復号鍵のペアが存在しないとき、通信相手のとの間で暗号鍵および復号鍵を生成する。また、暗号鍵管理部24は、通品相手の装置から送られてくる鍵情報リストのデータと、自装置の鍵情報記憶部25に保存している暗号鍵および復号鍵を比較し、重複している鍵のペアおよび相手装置に対応する鍵のペアが存在しない鍵のペアを消去する。
暗号鍵管理部24は、鍵情報リストの送信条件を満たしたときに、自装置の鍵情報記憶部25に保存されている暗号鍵および復号鍵のペアの情報を基に鍵情報リストを生成する。暗号鍵管理部24は、鍵情報リストを生成すると、通信部26を介して、鍵情報リストを通信相手の通信装置に送信する。鍵情報リストの送信条件は、あらかじめ設定された時間、通信制御部22においてパケットを受信しない場合および復号に失敗したパケットが生じた場合として設定される。鍵情報リストの送信条件は、自装置に保存している暗号鍵が存在しない場合として設定されてもよい。また、鍵情報リストの送信条件は、あらかじめ設定された時間ごととして設定されていてもよい。また、本実施形態の暗号鍵管理部24の機能は、第1の実施形態の監視手段3および暗号鍵管理手段4に相当する。
鍵情報記憶部25は、暗号鍵および復号鍵の情報を保存する機能を有する。鍵情報記憶部25は、通信相手の通信装置の識別子、暗号鍵および復号鍵のデータおよび生存時間の情報を関連づけて保存している。本実施形態において生存時間とは、暗号鍵および復号鍵に設定されている有効期間のうち、期限が切れるまでの残り時間のことをいう。
通信部26は、通信ネットワーク30との間でパケットの送受信を行う機能を有する。通信部26は、暗号化処理部23から受け取ったパケットを、通信ネットワーク30の通信規格に基づいた信号形式に変換する。暗号化処理部23は、通信ネットワーク30の通信規格に基づいた信号形式に変換したパケットを通信ネットワーク30に送信する。また、通信部26は、通信ネットワーク30から受信したパケットを、自装置内で用いる信号の形式に変換して暗号化処理部23に送る。また、本実施形態の通信部26においてパケットを受信する機能は、第1の実施形態の受信手段1に相当する。
通信ネットワーク30は、インターネット等によって構成されている。通信ネットワーク30の一部または全ては、通信事業者等の通信回線であってもよい。図4は、本実施形態の通信システムの具体的な例を示したものである。本実施形態の通信システムは、例えば、本社やセンター施設に設置されたIPsec装置と、支店や拠点施設に設置されたIPsec装置の間において、暗号化されたパケットの送受信を、インターネットを介して行う際に用いられる。IPsec装置は、IPsecに基づいて暗号化されたパケットの送信および受信したパケットの復号を行う装置である。図4の2つのIPsec装置は、第1の通信装置11および第2の通信装置12にそれぞれ相当する。
本実施形態の通信システムの動作について説明する。始めに、本実施形態の通信システムで行われる暗号化されたパケットの通信を、第1の通信装置11から第2の通信装置12にパケットの送信が行われる場合を例に説明する。
始めに第1の通信装置11の通信データ入出力部21に、通信ネットワーク30を介して第2の通信装置12に送るパケットが入力される。第2の通信装置12に送るパケットを受け取ると、通信データ入出力部21は、受け取ったパケットを通信制御部22に送る。
通信制御部22は、パケットを受け取るとパケットのヘッダを参照して送信先を判断する。通信制御部22は、送信先を判断すると、通信ネットワーク30を介して送信先の通信装置にパケットを伝送する際に必要なアドレス等の情報をパケットのヘッダに付加して、暗号化処理部23に送る。
暗号化処理部23は、パケットを受け取ると、暗号鍵管理部24を参照して、パケットの送信先に対応する暗号鍵を取得する。パケットの送信先が第2の通信装置12であるとき、暗号化処理部23は、第2の通信装置12に対応した暗号鍵を取得する。暗号鍵を取得すると、暗号化処理部23は、取得した暗号鍵を基にパケットに暗号化を施す。パケットを暗号化すると、暗号化処理部23は、暗号化したパケットを通信部26に送る。通信部26は、暗号化処理部23からパケットを受け取ると、受け取ったパケットを通信ネットワーク30に送信する。
通信ネットワーク30に送信されたパケットは、通信ネットワーク30上を伝送され第2の通信装置12の通信部26に入力される。第2の通信装置12の通信部26は、通信ネットワーク30を介してパケットを受け取ると、受け取ったパケットを暗号化処理部23に送る。パケットを受け取ると、暗号化処理部23は、パケットのヘッダを参照し、パケットの送信元に対応する復号鍵を暗号鍵管理部24から取得する。パケットの送信元が第1の通信装置11であるとき、暗号化処理部23は、第1の通信装置11に対応した復号鍵を暗号鍵管理部24から取得する。
復号鍵を取得すると、暗号化処理部23は、暗号化されたパケットの復号を行う。パケットの復号を行うと、暗号化処理部23は、復号したパケットを通信制御部22に送る。通信制御部22は、パケットを受け取ると、ヘッダの情報を参照してパケットのあて先を判断する。パケットのあて先が自装置に接続している情報処理装置や他のネットワークであるとき、通信制御部22は、パケットを通信データ入出力部21に送る。通信データ入出力部21は、パケットを受け取ると、受け取ったパケットを情報処理装置や他のネットワークに送信する。
上記の説明では、第1の通信装置11から第2の通信装置12にパケットを送信する場合について説明したが、第2の通信装置12から第1の通信装置11にパケットを送信する際も同様用に暗号化されたパケットの送信および復号を行うことができる。
図5は、本実施形態の通信装置において双方向に暗号化されたパケットの通信を行う場合の例を模式的に示したものである。図5の例では、第1の通信装置11は、暗号鍵Aと復号鍵Bのペアを第2の通信装置12と暗号化通信を行う際の鍵として保持している。また、第2の通信装置12は、暗号鍵Bと復号鍵Aのペアを第1の通信装置11と暗号化通信を行う際の鍵として保持している。
図5の例では、暗号鍵Aと復号鍵Aが、第1の通信装置11と第2の通信装置12の間で暗号化されたパケット通信を行う際の1対の鍵として設定されている。また、暗号鍵Bと復号鍵Bが、第1の通信装置11と第2の通信装置12の間で暗号化されたパケット通信を行う際の1対の鍵として設定されている。このように、対応した暗号鍵と復号鍵を対向する通信装置間で互いに保持することで、暗号化されたパケット通信を双方向に行うことができる。また、本実施形態の通信システムでは、暗号鍵と復号鍵は、IKEプロトコルに基づいて生成される。第1の通信装置11および第2の通信装置12は、暗号鍵と復号鍵のペアが1つも存在しないときに、鍵の再生成を行う。
次に、本実施形態の通信システムにおいて受信側の通信装置において復号鍵のデータに欠落等が生じて、暗号化されたパケットの復号が行えない場合の動作について説明する。以下の説明では、図6のように第2の通信装置12で復号鍵が失われ、第2の通信装置12がパケットの受信状態の異常を検知した場合を例に説明する。
始めに、第2の通信装置12において受信したパケットの復号状態の異常を検知した際の動作について図7を参照して説明する。図7は、パケットの受信側の通信装置においてパケットの復号状態の異常を検知した際の動作フローについて示したものである。
第2の通信装置12の暗号鍵管理部24は、暗号化処理部23における暗号化されたパケットの復号処理の状況を監視する(ステップ101)。暗号鍵管理部24は、所定の時間内に、暗号化処理部23において第1の通信装置11から受信したパケットの復号が行われたかを確認する。復号が行われたパケットがあるとき(ステップ102でYes)、暗号鍵管理部24は、ステップ101において暗号化処理部23の監視を所定の時間ごとに行う。暗号鍵管理部24が暗号化処理部23の監視を行う間隔である所定の時間は、あらかじめ設定されている。
所定の時間内に暗号化処理部23で復号されたパケットが無いとき(ステップ102でNo)、暗号鍵管理部24は、通信相手の第1の通信装置11との間で鍵情報リストの整合が必要であると判断する。所定の時間内に復号が行われたパケットがないとき、自装置または相手装置において必要な暗号鍵および復号鍵の欠落等が生じている可能性があるからである。
鍵情報リストの整合が必要であると判断すると、第2の通信装置12の暗号鍵管理部24は、鍵情報リストを生成する。暗号鍵管理部24は、鍵情報記憶部25を参照し、保存されている暗号鍵および復号鍵のペアのうち、第1の通信装置11から受信したパケットの復号に用いる暗号鍵および復号鍵のペアの情報を収集する(ステップ103)。
暗号鍵管理部24は、第1の通信装置11から受信したパケットの復号に用いる鍵のペアについての情報を収集すると、収集した暗号鍵および復号鍵のペアのリストを鍵情報リストとして生成する。鍵情報リストは、暗号鍵および復号鍵を特定することができる情報によって構成される。暗号化リストは、例えば、復号鍵のSPI(Security Parameter Index)情報と生存時間等のよって構成されている。また、自装置に復号鍵が存在しない場合には、暗号鍵管理部24は、全ての項目を「0」に設定した鍵情報リストを生成する。
鍵情報リストを生成すると、暗号鍵管理部24は、生成した鍵情報リストを通信部26に送る。通信部26は、鍵情報リストの情報を受け取ると、鍵情報リストの情報を第1の通信装置11に送る(ステップ105)。
図8は、第2の通信装置12が、復号の処理の異常を検知して、第1の通信装置11に鍵情報リストを送信する動作を模式的に示したものである。図8の例では、第2の通信装置12は、送信時の暗号化用としての暗号鍵Aと、受信時の復号用としての暗号鍵Bの鍵ペア1を保持している。第2の通信装置12の暗号鍵管理部24は、定期的に復号処理の状態を監視する。第2の通信装置12の暗号鍵管理部24は、復号が実施されたデータが存在しないときなどに、鍵情報リストの送信が必要であると判断する。鍵情報リストの送信が必要であると判断すると、第2の通信装置12の暗号鍵管理部24は、鍵ペア1の情報を鍵情報リストとして第1の通信装置11に送信する。
次に、パケットの送信側の第1の通信装置11が第2の通信装置12からパケットの復号に異常が生じた際に送信する鍵情報リストを受け取った際の動作について説明する。図9は、パケットの送信側の通信装置が、受信側の通信装置から鍵情報リストを受け取った場合の動作フローを示したものである。
第1の通信装置11の通信部26は、第2の通信装置12の鍵情報リストの情報を受け取ると、鍵情報リストの情報を暗号鍵管理部24に送る(ステップ111)。暗号鍵管理部24は、鍵情報リストの情報を受け取ると、鍵情報記憶部25を参照し、自装置が保持している鍵情報、すなわち、暗号鍵と復号鍵のペアの情報を取得する(ステップ112)。自装置が保持している鍵情報、すなわち、暗号鍵と復号鍵のペアの情報を取得すると、暗号鍵管理部24は、自装置が鍵情報と、第2の通信装置12から送られた鍵情報リストを比較する(ステップ113)。
自装置の鍵情報記憶部25に鍵のペアが存在するとき(ステップ114でYes)、暗号鍵管理部24は、鍵情報リストの鍵のペアに対応しない鍵のペアが存在するかを確認する。鍵情報リストの鍵のペアに対応しない鍵のペアが、鍵情報記憶部25に保持されているとき、暗号鍵管理部24は、鍵情報リストの鍵のペアと対応していない鍵のペアを削除する(ステップ115)。すなわち、暗号鍵管理部24は、自装置にのみ情報が存在する鍵のペアを削除する。
図10は、本実施形態の通信システムにおいて、第1の通信装置11が複数の鍵のペアを保持している場合の動作を模式的に示したものである。図10の例では、第1の通信装置11は、暗号鍵Bと復号鍵Aによって構成される鍵ペア1と、暗号鍵Cと復号鍵Dによって構成される鍵ペア2を保持している。また、第2の通信装置12は、暗号鍵Aと復号鍵Bによって構成される鍵ペア1を保持している。
図10の例において、第2の通信装置12は、復号を実施してないことを検知すると、鍵ペア1の情報を含む鍵情報リストを生成し、第1の通信装置11に送信する。第1の通信装置11は、受け取った鍵情報リストと、自装置が保持している鍵情報を比較する。図10の例では、鍵ペア1は第2の通信装置12から受信した鍵情報リストに含まれているが、鍵ペア2は含まれていない。そのため、第1の通信装置11は、鍵ペア2の情報を削除する。鍵ペア2の情報を削除することで、第1の通信装置11は、パケットを送信する際に鍵ペア1の暗号鍵Bでのみ暗号化を行う。そのため、第1の通信装置11と、第2の通信装置12間で鍵のペアが1対1で対応するので、第2の通信装置12の復号の際の不具合は解消する。
また、同一の暗号鍵を1つのみ保持していたとき(ステップ116でNo)、第1の通信装置11は、通常の動作を継続する。また、同一の暗号鍵を複数、保持しているとき(ステップ116でYes)、暗号鍵管理部24は、同一の鍵のうち、生存時間、すなわち、鍵の有効期間の残り時間が最も長い暗号鍵以外を削除する。鍵の有効期間の残り時間が最も長い暗号鍵以外を削除すると、第1の通信装置11は、通常の動作を継続する。
自装置の鍵情報記憶部25に鍵のペアの情報を保持していないとき(ステップ114でNo)、暗号鍵管理部24は、鍵情報リストの内容を参照し、第2の通信装置12が保持する鍵のペアの情報が含まれているかを確認する。鍵情報リストに鍵のペアの情報が含まれているとき(ステップ118でYes)、暗号鍵管理部24は、すべての項目を「0」に設定した鍵情報リストを生成する(ステップ119)。
鍵情報リストに鍵のペアの情報が含まれているとき、暗号鍵管理部24は、例えば、SPI情報等を全て0にしたデータを鍵1つ分設定し、鍵情報リストを生成する。暗号鍵管理部24は、鍵情報リストを生成すると、生成した鍵情報リストを第2の通信装置12に送信する(ステップ120)。鍵情報リストを受け取った第2の通信装置12および第1の通信装置11は、鍵の再生成を行い暗号鍵と復号鍵の対を生成する。
図11は、ステップ118において鍵情報リストに鍵のペアの情報が含まれている場合における通信システムの動作の例を模式的に示したものである。図11の例では、第2の通信装置12は、暗号鍵Aと復号鍵Bによって構成される鍵ペア1によって復号等の処理を行っている。図11の例において、復号の異常を検知すると、第2の通信装置12は、鍵ペア1によって構成される鍵情報リストを第1の通信装置11に送る。しかし、第1の通信装置11は、暗号鍵Cと復号鍵Dによって構成されている鍵ペア2のみを保持し、鍵ペア1を保持していないため、第1の通信装置11は、鍵ペア2の情報を自装置から削除する。また、鍵ペア2の情報を削除すると第1の通信装置11は、全ての項目を0に設定した鍵情報リストを第2の通信装置12に送る。
図11の例において鍵情報リストを受け取った第2の通信装置12は、受信した鍵情報リストの内容を参照する。鍵情報リストには鍵のペアの情報が含まれていないので、第2の通信装置12は、自装置が保持している鍵ペア1の情報を削除する。第2の通信装置12が鍵の情報を削除すると、いずれの通信装置にも鍵が保持されていない状態になるため、第1の通信装置11と第2の通信装置12の間でネゴシエーション処理が開始される。第1の通信装置11と第2の通信装置12の間で新たに鍵が生成されると、生成した鍵に基づいた通信が行われる。図11の例では、第1の通信装置11には、暗号鍵Fと復号鍵Eによって構成される鍵ペア3が生成され、第2の通信装置12には、暗号鍵Eと復号鍵Fによって構成される鍵ペア3が生成されている。
また、鍵情報リストに鍵のペアの情報が含まれていないとき(ステップ118でNo)、両装置に鍵が存在しない状態となるので、受け取った第2の通信装置12および第1の通信装置11は、鍵のペアの再生成を行い暗号鍵と復号鍵の対を生成する。鍵のペアの再生成を行い暗号鍵と復号鍵の対を生成すると、第1の通信装置11と第2の通信装置12は、暗号化されたパケットの送受信を再開する。
図12は、ステップ118において鍵情報リストに鍵のペアの情報が含まれていない場合における通信システムの動作の例を模式的に示したものである。図12の例では、第1の通信装置11は、暗号鍵Bと復号鍵Aによって構成される鍵ペア1を保持してパケットの送受信を行っているが、第2の通信装置12は、鍵のペアを保持していない。鍵のペアを保持していない第2の通信装置12は、パケットの復号を行うことができないため、全項目が0の鍵情報リストを第1の通信装置11に送る。第1の通信装置11は、鍵情報リストを受け取ると、鍵情報リストの内容を参照する。図12の例では、鍵情報リストは全項目0のため、第1の通信装置11は、自装置が保持していた鍵ペア1の情報を削除する。
第1の通信装置11が鍵のペアの情報を削除すると、いずれの通信装置にも鍵が保持されていない状態になるため、第1の通信装置11と第2の通信装置12の間でネゴシエーション処理が開始される。第1の通信装置11と第2の通信装置12の間で新たに鍵のペアが生成されると、生成した鍵のペアに基づいた通信が行われる。図12の例では、第1の通信装置11には、暗号鍵Dと復号鍵Cによって構成される鍵ペア2が生成され、第2の通信装置12には、暗号鍵Cと復号鍵Dによって構成される鍵ペア2が生成されている。
本実施形態の通信システムは、パケットの受信側の第2の通信装置12が、パケットの復号の異常を検知したときに、受信側の第2の通信装置12が保持している鍵のペアの情報を鍵情報リストとしてパケットの送信元の第1の通信装置11に送信している。そのため、送信元の第1の通信装置11は、受信側においてパケットを正常に復号できていないことを検知することができる。
本実施形態の通信システムでは、復号の異常を検知したときのみ鍵情報リストをパケットの受信側から送信側の通信装置に送信するので、ネットワークの負荷の増大を避けることができる。また、本実施形態の通信システムでは、受信側から送信側に送られた鍵のペアの情報と、送信側に保持されている鍵のペアの情報が比較され、鍵情報リストに対応する鍵のペアがない鍵のペアが、送信側の通信装置から削除されている。また、送信側および受信側の通信装置で保持している暗号鍵および復号鍵の対が存在しないときに、暗号鍵および復号鍵の対の再生成が行われている。そのため、本実施形態の通信システムでは、受信側で対応してない暗号鍵を用いて送信側の通信装置が暗号化されたパケットの送信を継続することを避けることができる。また、鍵の情報が喪失した際にも鍵を再生成して動的に通信を復旧することができる。よって、本実施形態の通信システムでは、暗号鍵および復号鍵の情報の喪失による暗号化処理の不具合でパケットの通信に異常が生じても、パケットの通信が長期に停止する状態を抑制することができる。その結果、本実施形態の通信システムは、暗号化処理に関する不具合を早期に検知して通信の停止時間を抑制することができる。
第2の実施形態では、通信システムが第1の通信装置11および第2の通信装置12の2台で構成される例を示したが通信装置は、3台以上であってもよい。3台以上であった場合にも、通信を行う2台の通信装置が暗号鍵および復号鍵のペアの情報を共有することで、暗号化されたパケットの送受信および復号の際の異常の検知を行うことができる。
第2の実施形態の通信システムにおいて、鍵のペアの削除や鍵の再生成後に送信側の通信装置は、鍵のペアの存在を確認してから暗号化されたパケットの送信を行うようにしてもよい。そのような構成として場合には、例えば、送信側の通信装置は、鍵情報リストを要求するパケットを受信側の通信装置に送信し、応答として受け取る鍵情報リストを基に鍵のペアの存在を確認する。鍵のペアの存在を確認してから暗号化されたパケットを送信することで、データプレーン上のパケットが、コントロールプレーン上のパケットを追い越すことで生じるパケットの破棄を避けることができる。パケットの破棄を避けることで、より安定した通信を行うことが可能になる。
1 受信手段
2 復号手段
3 監視手段
4 暗号鍵管理手段
11 第1の通信装置
12 第2の通信装置
20 通信装置
21 通信データ入出力部
22 通信制御部
23 暗号化処理部
24 暗号鍵管理部
25 鍵情報記憶部
26 通信部
30 通信ネットワーク

Claims (8)

  1. ネットワークを介して対向する通信装置である対向装置がパケットを暗号化する際に用いる第1の暗号鍵に対応する復号鍵と、前記対向装置に送信するパケットを暗号化する際に用いる第2の暗号鍵のペアを保持している鍵情報記憶手段と、
    前記第1の暗号鍵を基に暗号化されたパケットを前記対向装置から受信し、前記第2の暗号鍵を基に暗号化したパケットを前記対向装置に送信する通信手段と、
    前記対向装置から前記第1の暗号鍵を基に暗号化されて送られてくる前記パケットを、前記第1の暗号鍵に対応する復号鍵を基に復号する復号手段と、
    前記復号手段による前記パケットの復号が正常に行われているかを監視する監視手段と、
    前記監視手段が前記パケットの復号の異常を検知したときに、前記復号鍵と前記第2の暗号鍵のペアを特定する情報を鍵情報リストとして前記対向装置に送信する暗号鍵管理手段と、
    を備え、
    暗号鍵管理手段は、送信した前記鍵情報リストに情報が含まれる前記復号鍵に対応する前記第1の暗号鍵を保持していないことを示す情報が前記対向装置から送られてきたときに、前記対向装置との間で暗号鍵および復号鍵を再生成することを特徴とする通信装置。
  2. 前記監視手段は、前記パケットの復号が所定の時間、行われなかったときに前記パケットの復号の異常を検知することを特徴とする請求項1に記載の通信装置。
  3. 1の装置と、
    請求項1または2に記載の通信装置からなる第2の装置と、
    を備え、
    前記第1の装置は、
    ネットワークを介して対向する通信装置である第2の装置に、前記第2の装置が保持している復号鍵と対応するように生成された第1の暗号鍵を基に暗号化したパケットを送信する送信手段と、
    前記パケットの復号が正常に行えないことを検知した前記第2の装置から、前記第2の装置が保持している前記復号鍵と前記第2の装置がパケットの暗号化に用いている第2の暗号鍵とのペアを特定する情報が鍵情報リストとして送られてきた際に、前記鍵情報リストに情報が含まれている前記復号鍵に対応する前記第1の暗号鍵を保持していないときに、前記第2の装置に前記復号鍵と対応する前記第1の暗号鍵を保持していないことを示す情報を送信し、前記第2の装置との間で暗号鍵と復号鍵を再生成する暗号鍵管理手段と、
    を備える通信装置であり、
    前記第1の装置は、前記第2の装置が保持している前記復号鍵と対応するように生成された前記第1の暗号鍵を基に暗号化した前記パケットを、前記ネットワークを介して前記第2の装置に送信し、前記第2の装置の前記監視手段は、前記第1の装置から送られてきた前記パケットが前記復号鍵を基に正常に復号されているかを監視することを特徴とする通信システム。
  4. 前記第1の装置は、前記第2の装置がパケットを暗号化する際に用いる第2の暗号鍵に対応するように生成された第2の復号鍵と、前記第1の暗号鍵のペアを保持している鍵情報記憶手段をさらに備え、
    前記暗号鍵管理手段は、前記第2の装置から前記鍵情報リストを受け取った際に、送られてきた前記鍵情報リストに情報が含まれている前記復号鍵に対応していない暗号鍵を削除することを特徴とする請求項3に記載の通信システム。
  5. 第1の通信装置は、
    ネットワークを介して対向する第2の通信装置がパケットを暗号化する際に用いる第1の暗号鍵に対応する復号鍵と、前記第2の通信装置に送信するパケットを暗号化する際に用いる第2の暗号鍵のペアを保持し、
    前記第1の暗号鍵を基に暗号化されたパケットを前記第2の通信装置から受信し、
    前記第2の通信装置から前記第1の暗号鍵を基に暗号化されて送られてくる前記パケットを、自装置が保持している前記復号鍵を基に復号し、
    前記パケットの復号が正常に行われているかを監視し、
    前記パケットの復号の異常を検知したときに、前記復号鍵と前記第2の暗号鍵のペアを特定する情報を鍵情報リストとして前記第2の通信装置に送信し、
    送信した前記鍵情報リストに情報が含まれる前記復号鍵に対応する前記第1の暗号鍵を保持していないことを示す情報が前記第2の通信装置から送られてきたときに、前記第2の通信装置との間で暗号鍵および復号鍵を再生成することを特徴とする通信方法。
  6. 前記第1の通信装置は、前記パケットの復号が所定の時間、行われなかったとき前記パケットの復号の異常を検知することを特徴とする請求項に記載の通信方法。
  7. 前記第2の通信装置は、
    前記第1の通信装置が前記パケットの復号の異常を検知したときに送信する前記鍵情報リストを受信し、
    受信した前記鍵情報リストと、前記第1の暗号鍵を比較し、
    前記鍵情報リストに情報が含まれる前記復号鍵に対応する前記第1の暗号鍵を保持していないときに、前記第1の暗号鍵を保持していないことを示す情報を前記第1の通信装置に送信することを特徴とする請求項またはに記載の通信方法。
  8. 前記第2の通信装置は、
    記対向装置がパケットを暗号化する際に用いる前記第2の暗号鍵に対応するように生
    成された第2の復号鍵と、前記第1の暗号鍵のペアを保持し、
    前記第1の通信装置から前記鍵情報リストを受け取った際に、送られてきた前記鍵情報リストに情報が含まれている前記復号鍵に対応していない暗号鍵を削除する請求項からいずれかに記載の通信方法。
JP2016122471A 2016-06-21 2016-06-21 通信装置および通信方法 Active JP7020769B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016122471A JP7020769B2 (ja) 2016-06-21 2016-06-21 通信装置および通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016122471A JP7020769B2 (ja) 2016-06-21 2016-06-21 通信装置および通信方法

Publications (2)

Publication Number Publication Date
JP2017228880A JP2017228880A (ja) 2017-12-28
JP7020769B2 true JP7020769B2 (ja) 2022-02-16

Family

ID=60889374

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016122471A Active JP7020769B2 (ja) 2016-06-21 2016-06-21 通信装置および通信方法

Country Status (1)

Country Link
JP (1) JP7020769B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005020215A (ja) 2003-06-25 2005-01-20 Hitachi Ltd セキュア通信における障害復旧方法及びシステム
JP2009219106A (ja) 2008-02-15 2009-09-24 Nec Saitama Ltd IPsec通信装置およびIPsec通信方法
JP2012160941A (ja) 2011-02-01 2012-08-23 Canon Inc 情報処理装置、情報処理方法及びプログラム
JP2016063234A (ja) 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005020215A (ja) 2003-06-25 2005-01-20 Hitachi Ltd セキュア通信における障害復旧方法及びシステム
JP2009219106A (ja) 2008-02-15 2009-09-24 Nec Saitama Ltd IPsec通信装置およびIPsec通信方法
JP2012160941A (ja) 2011-02-01 2012-08-23 Canon Inc 情報処理装置、情報処理方法及びプログラム
JP2016063234A (ja) 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム

Also Published As

Publication number Publication date
JP2017228880A (ja) 2017-12-28

Similar Documents

Publication Publication Date Title
US11316677B2 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
US10097517B2 (en) Secure tunnels for the internet of things
JP6478749B2 (ja) 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP4159328B2 (ja) ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
US9509510B2 (en) Communication device, communication method, and computer program product
TWI454112B (zh) 通信網路金鑰管理
US8364772B1 (en) System, device and method for dynamically securing instant messages
JP2009518932A (ja) Eponにおける保安用キー管理方法および保安チャンネル制御装置
JP5246034B2 (ja) パケット送受信システム、パケット送受信装置、および、パケット送受信方法
US20140143867A1 (en) Communication device, communication system, and computer program product
CN109586908A (zh) 一种安全报文传输方法及其系统
CN113726795B (zh) 报文转发方法、装置、电子设备及可读存储介质
JP2016171530A (ja) 通信装置、通信方法、プログラムおよび通信システム
US20240157893A1 (en) Vehicle-mounted relay device, management device, vehicle-mounted system, and communication management method
CN114143050B (zh) 一种视频数据加密系统
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
JP6950605B2 (ja) 車両用通信システム
US10015208B2 (en) Single proxies in secure communication using service function chaining
CN114142995A (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN104104573A (zh) 用于网络设备的IPsec隧道的控制方法和系统
JP7020769B2 (ja) 通信装置および通信方法
JP2004328563A (ja) 暗号通信装置および暗号通信システム
US11595367B2 (en) Selectively disclosing content of data center interconnect encrypted links
CN116112202A (zh) 采用自学习自组织方式实现以太数据加解密的方法
CN104618211A (zh) 一种基于隧道的报文处理方法和总部网关设备

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20170706

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210304

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210907

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211203

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20211203

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20211214

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20211221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220203

R150 Certificate of patent or registration of utility model

Ref document number: 7020769

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150