KR100821435B1 - 암호 통신 시스템, 통신 상태 관리 서버, 암호 통신 방법및 통신 상태 관리 방법 - Google Patents

암호 통신 시스템, 통신 상태 관리 서버, 암호 통신 방법및 통신 상태 관리 방법 Download PDF

Info

Publication number
KR100821435B1
KR100821435B1 KR1020070019774A KR20070019774A KR100821435B1 KR 100821435 B1 KR100821435 B1 KR 100821435B1 KR 1020070019774 A KR1020070019774 A KR 1020070019774A KR 20070019774 A KR20070019774 A KR 20070019774A KR 100821435 B1 KR100821435 B1 KR 100821435B1
Authority
KR
South Korea
Prior art keywords
communication
group
management server
participating
intra
Prior art date
Application number
KR1020070019774A
Other languages
English (en)
Other versions
KR20070089628A (ko
Inventor
오사무 다까따
다다시 가지
다까히로 후지시로
가즈요시 호시노
게이스께 다께우찌
Original Assignee
가부시키가이샤 히타치세이사쿠쇼
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가부시키가이샤 히타치세이사쿠쇼 filed Critical 가부시키가이샤 히타치세이사쿠쇼
Publication of KR20070089628A publication Critical patent/KR20070089628A/ko
Application granted granted Critical
Publication of KR100821435B1 publication Critical patent/KR100821435B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

그룹 내에서 암호 통신을 행하는 복수의 통신 장치(50)의 각각에 그 암호 통신용의 암호키나 암호 통신에 관한 설정 정보를 배포하는 암호 통신 시스템으로서, 상기 암호키 등의 배포에 의해 발생하는 트래픽을 보다 적게할 수 있는 암호 통신 시스템(10)을 제공한다. 본 발명의 암호 통신 시스템(10)은, 그룹에 속하는 통신 장치(50) 중에서, 그룹 내에서의 암호 통신에 참가하고 있는(예를 들면, 로그인하고 있는) 통신 장치(50)에, 그 그룹 내에서의 암호 통신에 이용되는 키 또는 그 키를 생성하기 위한 시드 중 어느 하나를 포함하는 키 정보를 배포한다.
암호키, 암호 통신, 트래픽, 통신 장치, 키 정보

Description

암호 통신 시스템, 통신 상태 관리 서버, 암호 통신 방법 및 통신 상태 관리 방법{ENCRYPTED COMMUNICATION SYSTEM, COMMUNICATION STATUS MANAGEMENT SERVER, ENCRYPTED COMMUNICATION METHOD, AND COMMUNICATION STATUS MANAGEMENT METHOD}
도 1은 본 발명의 일 실시 형태에 따른 암호 통신 시스템의 구성을 도시하는 시스템 구성도.
도 2는 데이터베이스의 상세한 기능 구성을 예시하는 블록도.
도 3은 네트워크 어드레스 저장부에 저장되는 데이터 구조를 예시하는 설명도.
도 4는 통신 조건 저장부에 저장되는 데이터 구조를 예시하는 설명도.
도 5는 그룹 멤버 정보 저장부에 저장되는 데이터 구조를 예시하는 설명도.
도 6은 그룹 어드레스 저장부에 저장되는 데이터 구조를 예시하는 설명도.
도 7은 세션 관리 서버의 상세한 기능 구성을 예시하는 블록도.
도 8은 통신 조건 등록 요구에 포함되는 데이터를 예시하는 설명도.
도 9는 키 정보 생성 지시에 포함되는 데이터를 예시하는 설명도.
도 10은 배포 키 정보에 포함되는 데이터를 예시하는 설명도.
도 11은 통신 상태 관리 서버의 상세한 기능 구성을 예시하는 블록도.
도 12는 키 정보 생성 지시 저장부에 저장되는 데이터 구조를 예시하는 설명 도.
도 13은 통신 장치의 상세한 기능 구성을 예시하는 블록도.
도 14는 통신 조건 저장부에 저장되는 데이터 구조를 예시하는 설명도.
도 15는 데이터베이스, 통신 상태 관리 서버, 또는 세션 관리 서버의 기능을 실현하는 정보 처리 장치의 하드웨어 구성을 예시하는 하드웨어 구성도.
도 16은 통신 상태 관리 서버의 동작을 예시하는 플로우차트.
도 17은 암호 통신 시스템의 동작을 예시하는 플로우차트.
도 18은 로그인 처리(S20)에서의 암호 통신 시스템의 상세한 동작을 예시하는 시퀀스도.
도 19는 그룹 내 암호 통신 개시 처리(S30)에서의 암호 통신 시스템의 상세한 동작을 예시하는 시퀀스도.
도 20은 키 정보 재배포 처리(S40)에서의 암호 통신 시스템의 상세한 동작을 예시하는 시퀀스도.
도 21은 그룹 내 암호 통신 종료 처리(S50)에서의 암호 통신 시스템의 상세한 동작을 예시하는 시퀀스도.
도 22는 로그아웃 처리(S60)에서의 암호 통신 시스템의 상세한 동작을 예시하는 시퀀스도.
<도면의 주요 부분에 대한 부호의 설명>
10: 암호 통신 시스템
11: 관리 네트워크
12: 유저 네트워크
20: 데이터베이스
30: 통신 상태 관리 서버
40: 세션 관리 서버
50: 통신 장치
[비특허 문헌 1] Internet RFC/STD/FYI/BCP Archives, "RFC 3740-The Multicast Group Security Architecture", [2006년 2월 1일 검색], 인터넷 <URL: http://www.faqs.org/rfcs/rfc3740.html>
본 발명은, 암호 통신 기술에 관한 것으로, 특히 복수의 통신 장치로 구성되는 그룹 내의 암호 통신에 이용되는 암호키를, 그 통신 장치의 각각에 배포하는 기술에 관한 것이다.
비특허 문헌 1에는, 키 서버가, 암호 통신에 이용되는 키나 설정 정보(Security Association)를, 미리 그룹으로서 등록되어 있는 복수의 통신 장치에 배부하고, 암호 통신을 행하는 각각의 통신 장치는, 상기 키 서버로부터 배부된 키 등의 정보를 이용하여, 그룹 내의 다른 통신 장치와 암호 통신을 행하는 기술이 개시되어 있다. 비특허 문헌 1에 개시되어 있는 기술에 의해, 각각의 통신 장치는, 암호 통신에 이용하는 키 등의 정보를 생성함으로써 발생하는 처리 부하를 경감할 수 있다.
그런데, 그룹으로서 등록되어 있는 통신 장치의 수가 많아지면, 그룹 내의 통신 장치 모두가 일제히 암호 통신에 참가하도록 하는 사용법 외에, 그룹으로서 등록되어 있는 통신 장치이어도, 그룹 내의 암호 통신에 참가하고 있는 통신 장치 사이에서만, 암호 통신을 행하도록 하는 사용법이 이루어지는 경우가 있다. 즉, 그룹 내의 암호 통신 서비스의 제공을 받을 수 있는 상태에 있는 통신 장치에 대해서만 그룹 내의 암호 통신 서비스를 제공하고, 기동하고 있지 않은 통신 장치나, 네트워크를 통하여 통신 가능한 상태이지만, 그룹 내의 암호 통신 서비스의 제공을 받을 수 없는 상태에 있는 통신 장치 등에 대해서는, 그룹 내의 암호 통신 서비스가 제공되지 않도록 하는 사용법이 상정된다.
상기 비특허 문헌 1에 기재의 기술에서는, 임의의 통신 장치가 그룹 내의 암호 통신 서비스의 제공을 받을 수 있는 상태인지 여부와 같은 개념이 고려되지 않고, 복수의 통신 장치 간에서 암호 통신을 행하는 경우, 키 서버에서 생성된 키 등의 정보는, 미리 그룹으로서 등록되어 있는 복수의 통신 장치의 모두에 배포된다. 또한, 키 등의 정보의 배포 방법에 대해서는, 상기 비특허 문헌 1에는 특별히 규정되어 있지 않지만, 미리 그룹으로서 등록되어 있는 복수의 통신 장치의 각각에, 유니캐스트에 의해 배포하는 것을 생각할 수 있다. 그 경우, 그룹 내의 암호 통신 서비스의 제공을 받을 수 없는 상태에 있는 통신 장치에 대해서도, 그룹 내의 암호 통신에 이용되는 키 등의 정보가 배포되어, 네트워크에 불필요한 트래픽이 발생하는 경우가 있다.
또한, 키 등의 정보의 배포를, 브로드캐스트나 멀티캐스트에 의해 행함으로써, 키 등의 정보의 배포에 의해 발생하는 트래픽을 낮게 억제하는 것도 고려할 수 있다. 그러나, 브로드캐스트에 의해 키 등의 정보가 배포되는 경우, 키 서버가, 암호 통신을 행하는 그룹에 속하는 통신 장치와 동일한 세그먼트에 배치될 필요가 있다. 그 때문에, 키 서버가 속하는 세그먼트와는 상이한 세그먼트에서 실현되고 있는 그룹에 대해서는, 키 서버는, 역시 유니캐스트에 의해 키 등의 정보를 배포할 필요가 있다.
또한, 멀티캐스트에 의해 키 등의 정보가 배포되는 경우, 키 서버나 각각의 통신 장치의 설정뿐만 아니라, 네트워크 내의 각각의 중계 장치에 대해서도 멀티캐스트 어드레스의 전송에 관한 설정이 행해질 필요가 있어, 그룹의 추가나 삭제, 그룹 내의 통신 장치의 추가나 삭제 등의 운용 관리에 따른 코스트가 방대해지는 경우가 있다. 그 때문에, 멀티캐스트에 의해 키 등의 정보가 배포되는 것은 현실적이지 않고, 키 서버는, 역시 유니캐스트에 의해 키 등의 정보를 배포하게 되어, 불필요한 트래픽이 발생하는 경우가 있다.
본 발명은 상기 사정을 감안하여 이루어진 것으로서, 본 발명은, 그룹 내의 암호 통신에 이용되는 키나 설정 정보 등을 배포함으로써 발생하는 트래픽을 보다 적게 하는 것이다.
즉, 본 발명의 암호 통신 시스템은, 그룹에 소속하는 복수의 통신 장치의 리스트 및 그 복수의 통신 장치의 각각이 그룹 내의 암호 통신에 참가하고 있는지(예를 들면 로그인하고 있는지)의 여부를 나타내는 정보를 데이터베이스에 보관하고, 상기 암호 통신 시스템은, 상기 데이터베이스를 참조하여, 그룹에 소속하고 있으며 또한 그룹 내에서의 암호 통신에 참가하고 있는 통신 장치를 특정하고, 특정한 통신 장치 간에서 이용되는 암호 통신용의 키를 생성하여, 그 특정한 통신 장치에 배부하는 것이다.
예를 들면, 본 발명의 제1 형태는, 세션 관리 서버에 의해 생성된 키 정보를 이용하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템으로서, 각각의 통신 장치에 관한 정보를 저장하는 데이터베이스와, 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버를 포함하고, 데이터베이스는, 통신 장치를 식별하는 장치 ID에 대응지어, 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과, 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단을 갖고, 통신 상태 관리 서버는, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 수단과, 참가 장치 어드레스 저장 수단을 참조하여, 그룹 멤버 추출 수단에 의해 추출된 장치 ID 중에서, 네트워크 어드레스에 대응지어 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여, 세션 관리 서버에 출력함으로써, 세션 관리 서버에, 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 배포시키는 참가 장치 ID 추출 수단을 갖는 것을 특징으로 하는 암호 통신 시스템을 제공한다.
또한, 본 발명의 제2 형태는, 복수의 통신 장치로 구성되는 그룹 내의 암호 통신인 그룹 내 암호 통신을 실현하는 암호 통신 시스템으로서, 각각의 통신 장치에 관한 정보를 저장하는 데이터베이스와, 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버와, 그룹 내 암호 통신에 이용되는 키 정보를 생성하여 각각의 통신 장치에 배포하는 세션 관리 서버와, 복수의 통신 장치를 포함하고, 데이터베이스는, 통신 장치를 식별하는 장치 ID에 대응지어, 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과, 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단과, 참가 장치의 각각이 그룹 내 암호 통신에서 실행 가능한 1개 이상의 통신 조건을, 장치 ID에 대응지어 저장하는 통신 조건 저장 수단을 갖고, 통신 상태 관리 서버는, 세션 관리 서버를 통하여, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 수단과, 참가 장치 어드레스 저장 수단을 참조하여, 그룹 멤버 추출 수단에 의해 추출된 장치 ID 중에서, 네트워크 어드레스에 대응지어 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하고, 세션 관리 서버에 출력하는 참가 장치 ID 추출 수단을 갖고, 세션 관리 서버는, 통신 장치와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 통신 장치와 데이터를 송수신하는 서버측 암호 통신 수단과, 통신 장치로부터, 암호 통신로를 통하여, 그룹 내 암호 통신에 참가한다는 취지가 통지된 경우에, 그 통신 장치의 네트워크 어드레스를 참가 장치의 네트워크 어드레스로서, 장치 ID에 대응지어 참가 장치 어드레스 저장 수단에 저장하는 참가 장치 등록 수단과, 참가 장치 ID 추출 수단으로부터 출력된 장치 ID를 수신하고, 수신한 장치 ID의 각각에 대응지어 있는 통신 조건을 통신 조건 저장 수단으로부터 추출하고, 추출한 통신 조건 중에서 복수의 장치 ID에 공통의 통신 조건을 추출하고, 추출한 통신 조건에서 실행 가능한 그룹 내 암호 통신에 이용되는 키 정보를 생성하고, 생성한 키 정보를, 참가 장치 ID 추출 수단으로부터 수신한 장치 ID에 대응하는 통신 장치의 각각에, 암호 통신로를 통하여 송신하는 키 생성 배포 수단을 갖고, 복수의 통신 장치의 각각은, 세션 관리 서버와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 세션 관리 서버와 데이터를 송수신하는 통신 장치측 암호 통신 수단과, 그룹 내 암호 통신을 개시하는 경우에, 그룹 내 암호 통신 요구를, 암호 통신로를 통하여 세션 관리 서버에 송신하는 암호 통신 요구 수단과, 세션 관리 서버로부터, 그룹 내 암호 통신 요구에 응답하여, 키 정보를 암호 통신로를 통하여 수신한 경우에, 그 키 정보를 이용하여 그룹 내의 다른 통신 장치와의 사이에서 그룹 내 암호 통신을 실행하는 그룹 내 암호 통신 수단을 갖는 것을 특징으로 하는 암호 통신 시스템을 제공한다.
또한, 본 발명의 제3 형태는, 세션 관리 서버에 의해 생성된 키 정보를 이용하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템으로서, 기억 장치에 저장된 정보를 이용하여 키 정보의 배포를 세션 관리 서버에 지시하는 통신 상태 관리 서버로서, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 기억 장치를 참조하여, 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하고 있는, 기억 장치 내의 그룹 멤버 정보 저장 수단으로부터, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 수단과, 통신 장치를 식별하는 장치 ID에 대응지어, 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하고 있는, 기억 장치 내의 참가 장치 어드레스 저장 수단을 참조하여, 그룹 멤버 추출 수단에 의해 추출된 장치 ID 중에서, 네트워크 어드레스에 대응지어 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여 세션 관리 서버에 출력함으로써, 세션 관리 서버에, 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 배포시키는 참가 장치 ID 추출 수단을 포함하는 것을 특징으로 하는 통신 상태 관리 서버를 제공한다.
또한, 본 발명의 제4 형태는, 세션 관리 서버에 의해 생성된 키 정보를 이용 하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템에서의 암호 통신 방법으로서, 암호 통신 시스템은, 각각의 통신 장치에 관한 정보를 저장하는 데이터베이스와, 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버를 포함하고, 데이터베이스는, 통신 장치를 식별하는 장치 ID에 대응지어, 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과, 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단을 갖고, 통신 상태 관리 서버는, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 스텝과, 참가 장치 어드레스 저장 수단을 참조하여, 그룹 멤버 추출 스텝에서 추출한 장치 ID 중에서, 네트워크 어드레스에 대응지어 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여 세션 관리 서버에 출력함으로써, 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 생성하여 배포시키는 참가 장치 ID 추출 스텝을 실행하는 것을 특징으로 하는 암호 통신 방법을 제공한다.
또한, 본 발명의 제5 형태는, 복수의 통신 장치로 구성되는 그룹 내의 암호 통신인 그룹 내 암호 통신을 실현하는 암호 통신 시스템에서의 암호 통신 방법으로서, 암호 통신 시스템은, 각각의 통신 장치에 관한 정보를 저장하는 데이터베이스 와, 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버와, 그룹 내 암호 통신에 이용되는 키 정보를 생성하여 각각의 통신 장치에 배포하는 세션 관리 서버와, 복수의 통신 장치를 포함하고, 데이터베이스는, 통신 장치를 식별하는 장치 ID에 대응지어, 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과, 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단과, 참가 장치의 각각이 그룹 내 암호 통신에서 실행 가능한 1개 이상의 통신 조건을, 장치 ID에 대응지어 저장하는 통신 조건 저장 수단을 갖고, 통신 상태 관리 서버는, 세션 관리 서버를 통하여, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 스텝과, 참가 장치 어드레스 저장 수단을 참조하여, 그룹 멤버 추출 스텝에서 추출한 장치 ID 중에서, 네트워크 어드레스에 대응지어 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여, 세션 관리 서버에 출력하는 참가 장치 ID 추출 스텝을 행하고, 세션 관리 서버는, 통신 장치와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 통신 장치와 데이터를 송수신하는 서버측 암호 통신 스텝과, 통신 장치로부터, 암호 통신로를 통하여, 그룹 내 암호 통신에 참가한다는 취지가 통지된 경우에, 그 통신 장치의 네트워크 어드레스를 참가 장치의 네트워크 어드레스로서, 장치 ID에 대응지어 참가 장치 어드레스 저장 수단에 저장하는 참가 장치 등록 스텝과, 참가 장치 ID 추출 스텝에서 출력된 장치 ID를 수신하고, 수신한 장치 ID의 각각에 대응지어 있는 통신 조건을 통신 조건 저장 수단으로부터 추출하고, 추출한 통신 조건 중에서 복수의 장치 ID에 공통의 통신 조건을 추출하고, 추출한 통신 조건에서 실행 가능한 그룹 내 암호 통신에 이용되는 키 정보를 생성하고, 생성한 키 정보를, 참가 장치 ID 추출 스텝에서 출력된 장치 ID에 대응하는 통신 장치의 각각에, 암호 통신로를 통하여 송신하는 키 생성 배포 스텝을 행하고, 복수의 통신 장치의 각각은, 세션 관리 서버와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 세션 관리 서버와 데이터를 송수신하는 통신 장치측 암호 통신 스텝과, 그룹 내 암호 통신을 개시하는 경우에, 그룹 내 암호 통신 요구를, 암호 통신로를 통하여 세션 관리 서버에 송신하는 암호 통신 요구 스텝과, 세션 관리 서버로부터, 그룹 내 암호 통신 요구에 응답하여, 키 정보를 암호 통신로를 통하여 수신한 경우에, 그 키 정보를 이용하여 그룹 내의 다른 통신 장치와의 사이에서 그룹 내 암호 통신을 실행하는 그룹 내 암호 통신 스텝을 실행하는 것을 특징으로 하는 암호 통신 방법을 제공한다.
또한, 본 발명의 제6 형태는, 세션 관리 서버에 의해 생성된 키 정보를 이용하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템으로서, 기억 장치에 저장된 정보를 이용하여 키 정보의 생성을 세션 관리 서버에 지시하는 통신 상태 관리 서버에서의 통신 상태 관리 방법으로서, 통신 상태 관리 서버는, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 기억 장치 내의 그룹 멤버 정보 저장 수단으로부터, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 스텝과, 통신 장치를 식별하는 장치 ID에 대응지어, 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하고 있는, 기억 장치 내의 참가 장치 어드레스 저장 수단을 참조하여, 그룹 멤버 추출 스텝에서 추출한 장치 ID 중에서, 네트워크 어드레스에 대응지어 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여 세션 관리 서버에 출력함으로써, 세션 관리 서버에, 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 배포시키는 참가 장치 ID 추출 스텝을 행하는 것을 특징으로 하는 통신 상태 관리 방법을 제공한다.
본 발명의 암호 통신 시스템에 의하면, 그룹 내의 암호 통신에 이용되는 키나 설정 정보를 배포함으로써 발생하는 트래픽을 보다 적게할 수 있다.
<실시 형태>
이하에, 본 발명의 실시의 형태에 대해 설명한다.
도 1은, 본 발명의 일 실시 형태에 따른 암호 통신 시스템(10)의 구성을 도시하는 시스템 구성도이다. 암호 통신 시스템(10)은, 데이터베이스(20), 통신 상태 관리 서버(30), 세션 관리 서버(40) 및 복수의 통신 장치(50)를 포함한다. 데이터베이스(20), 통신 상태 관리 서버(30) 및 세션 관리 서버(40)의 각각은, 관리 네트워크(11)에 접속되어 있어 관리 네트워크(11)를 통하여 서로 통신한다. 세션 관리 서버(40)는, 유저 네트워크(12)에 더 접속되어 있다.
복수의 통신 장치(50)의 각각은, 예를 들면 범용 컴퓨터, 휴대 정보 단말, IP(Internet Protocol) 전화기, 또는 통신 기능을 갖는 서버(어플리케이션 서버나 Proxy 서버) 등으로서, 인터넷 등의 유저 네트워크(12)에 접속되어 유저 네트워크(12)를 통하여 세션 관리 서버(40)나 다른 통신 장치(50)와 통신한다. 여기에서, 복수의 통신 장치(50)는, 2개 이상의 통신 장치(50)마다 그룹을 구성하고 있으며, 각각의 통신 장치(50)는, 세션 관리 서버(40)로부터 배포되는 키 정보를 이용하여, 그룹 내의 1개 이상의 다른 통신 장치(50)와 그룹 내 암호 통신을 행한다.
데이터베이스(20)는, 각각의 통신 장치(50)의 통신 조건, 로그인 중의 통신 장치(50)의 식별 정보 및 각각의 그룹에 속하는 통신 장치(50)의 식별 정보 등을 저장하고 있다. 통신 상태 관리 서버(30)는, 그룹 내 암호 통신을 행하는 그룹을 식별하는 그룹 ID를 포함하는 통신 개시 요구를 세션 관리 서버(40)를 통하여 통신 장치(50)로부터 수신한 경우에, 데이터베이스(20)를 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치(50)로서, 로그인 중인 통신 장치(50)의 식별 정보를 추출한다. 그리고, 통신 상태 관리 서버(30)는, 그룹 내 암호 통신에 사용되는 키 정보의 생성 지시를, 추출한 식별 정보와 함께 세션 관리 서버(40)에 송신한다.
세션 관리 서버(40)는, 통신 장치(50)와의 사이에서 암호키가 공유된 후에, 그 통신 장치(50)로부터 송신된 통신 조건 등록 요구(60)에 기초하여, 데이터베이스(20)의 네트워크 어드레스 저장부(21)에 그 통신 장치(50)의 네트워크 어드레스를 등록함과 함께, 통신 상태 관리 서버(30)를 통하여, 통신 조건 저장부(22)에 그 통신 장치(50)의 통신 조건을 등록한다(로그인 처리). 또한, 세션 관리 서버(40) 는, 통신 장치(50)로부터 송신된 통신 조건 삭제 요구에 기초하여, 데이터베이스(20)의 네트워크 어드레스 저장부(21)로부터 그 통신 장치(50)의 네트워크 어드레스를 삭제함과 함께, 통신 상태 관리 서버(30)를 통하여, 통신 조건 저장부(22)로부터 그 통신 장치(50)의 통신 조건을 삭제한다(로그아웃 처리).
또한, 세션 관리 서버(40)는, 장치 ID와 함께 키 정보의 생성 지시를 통신 상태 관리 서버(30)로부터 수신한 경우에, 데이터베이스(20)를 참조하여, 수신한 장치 ID에 대응하는 통신 장치(50)의 통신 조건을 추출한다. 그리고, 세션 관리 서버(40)는, 추출한 통신 조건에 기초하여 키 정보를 생성하고, 생성한 키 정보를, 그 키 정보를 사용하는 각각의 통신 장치(50)에 송신한다. 여기에서, 키 정보란, 암호키 또는 그 암호키를 생성하기 위한 기초로 되는 정보인 시드 중 어느 하나, 그리고, 상기 암호키의 키 길이 및 그 암호키를 이용하여 암호화하기 위한 암호 알고리즘의 종류 등을 포함한다. 또한, 본 실시 형태에서, 암호키 또는 시드로부터 생성되는 암호키는, 공통키 암호 방식에 기초하는 암호 통신에 사용되는 것이다.
이와 같이, 암호 통신 시스템(10)은, 접수의 통신 장치(50)에 의해 그룹 내 암호 통신이 행해지는 경우에, 그룹 내 암호 통신에서 사용되는 키 정보를, 그룹에 속하는 통신 장치(50)로부터, 로그인 중인 통신 장치(50)의 각각에 배포한다. 따라서, 암호 통신 시스템(101)은, 유저 네트워크(12)를 통하여 통신 가능한 상태이지만, 그룹 내의 암호 통신 서비스의 제공을 받을 생각이 없어, 세션 관리 서버(40)에 로그인하고 있지 않은 통신 장치(50)에 대해 키 정보를 배포하지 않는다. 그 때문에, 암호 통신 시스템(10)은, 키 정보의 배포에 의해 발생하는 트래픽을 보 다 적게할 수 있다.
한편, 도 1에서, 관리 네트워크(11)와 유저 네트워크(12)는 물리적으로 상이한 네트워크로서 도시되어 있지만, 관리 네트워크(11)와 유저 네트워크(12)는, VLAN(Virtual LAN) 등에 의해 물리적으로 동일한 네트워크를 논리적으로 나눔으로써 구축되어 있어도 된다. 또한, 관리 네트워크(11)에는, 유저 네트워크(12)보다 높은 시큐리티가 확보되어 있는 것이 바람직하다.
이하, 상기 기능을 실현하기 위해 암호 통신 시스템(10)이 갖는 구성에 대해 더욱 상세하게 설명한다.
도 2는, 데이터베이스(20)의 상세한 기능 구성의 일례를 도시하는 블록도이다. 데이터베이스(20)는, 네트워크 어드레스 저장부(21), 통신 조건 저장부(22), 그룹 멤버 정보 저장부(23), 그룹 어드레스 저장부(24), 네트워크 IF부(25) 및 데이터베이스 제어부(26)를 포함한다.
네트워크 어드레스 저장부(21)는, 예를 들면 도 3에 도시하는 바와 같이, 통신 장치(50)의 장치 ID(210)에 대응지어, 로그인 중인 통신 장치(50)의 네트워크 어드레스(211)를 저장한다. 본 실시 형태에 있어서, 장치 ID(210)는, 예를 들면 URI(Uniform Resource Identifier)이고, 네트워크 어드레스(211)는, 예를 들면 IP 어드레스이다.
통신 조건 저장부(22)는, 예를 들면 도 4에 도시하는 바와 같이, 각각의 통신 장치(50)의 장치 ID(220)에 대응지어, 그 통신 장치(50)가 그룹 내 암호 통신에서 실행 가능한 통신 조건을 1개 이상 저장한다. 각각의 통신 조건에는, 우선 순 위(224)마다, 대응하는 통신 장치(50)에 의해 실행 가능한 암호 알고리즘(221), 암호 통신에 이용되는 암호키의 키 길이(222) 및 암호키의 해시 함수 종별(223) 등이 포함된다.
여기에서, 암호 알고리즘(221)이란, 예를 들면, 치환, 전자(轉字), 환자(換字), 분할, 또는 시프트 연산 등의 각종 변환 처리의 차례를 규정하는 암복호 처리 순서를 특정하는 정보이다. 암호 알고리즘의 대표적인 것으로는, AES(Advanced Encryption Standard) 등이 있다.
통신 상태 관리 서버(30)는, 세션 관리 서버(40)를 통하여, 통신 장치(50)로부터, 그 통신 장치(50)의 장치 ID, 네트워크 어드레스 및 통신 조건을 포함하는 통신 조건 등록 요구를 접수한 경우에, 그 통신 조건 등록 요구에 포함되는 장치 ID 및 통신 조건을 통신 조건 저장부(22)에 등록한다. 또한, 통신 상태 관리 서버(30)는, 세션 관리 서버(40)를 통하여, 통신 장치(50)로부터, 그 통신 장치(50)의 장치 ID를 포함하는 통신 조건 삭제 요구를 접수한 경우에, 그 통신 조건 삭제 요구에 포함되는 장치 ID 및 그 장치 ID에 대응하는 통신 조건을 통신 조건 저장부(22)로부터 삭제한다.
그룹 멤버 정보 저장부(23)는, 예를 들면 도 5에 도시하는 바와 같이, 각각의 그룹에 속하는 통신 장치(50)의 장치 ID(231)를, 그 그룹을 식별하는 그룹 ID(230)에 대응지어 저장한다.
그룹 어드레스 저장부(24)는, 멀티캐스트나 브로드캐스트 등에 의해 그룹 내 암호 통신이 행해지는 그룹에 대해, 예를 들면 도 6에 도시하는 바와 같이, 멀티캐 스트 어드레스나 브로드캐스트 어드레스 등의 그룹 어드레스(241)를, 그룹을 식별하는 그룹 ID(240)에 대응지어 저장한다. 그룹 내 암호 통신이 유니캐스트로 행해지는 그룹에 대해서는, 그 그룹에 대응하는 그룹 ID는, 그룹 어드레스 저장부(24) 내에 저장되지 않는다. 또한, 그룹 멤버 정보 저장부(23) 및 그룹 어드레스 저장부(24) 내에 저장되는 데이터는, 시스템 관리자 등에 의해 미리 설정된다.
데이터베이스 제어부(26)는, 네트워크 IF부(25)를 통하여 통신 상태 관리 서버(30) 또는 세션 관리 서버(40)로부터 수신한 각종 요구에 따라, 네트워크 어드레스 저장부(21), 통신 조건 저장부(22), 그룹 멤버 정보 저장부(23) 및 그룹 어드레스 저장부(24)로부터 필요한 데이터를 추출하여 답신하거나, 그 요구에 따라, 네트워크 어드레스 저장부(21) 및 통신 조건 저장부(22) 내의 데이터를 개서하는 처리를 행한다.
도 7은, 세션 관리 서버(40)의 상세한 기능 구성의 일례를 도시하는 블록도이다. 세션 관리 서버(40)는, 네트워크 IF부(400), 통신 조건 삭제 요구 전송부(401), 키 정보 생성부(402), 네트워크 어드레스 삭제부(403), 네트워크 어드레스 등록부(404), 통신 조건 등록 요구 전송부(405), 통신 요구 전송부(406), 키 정보 삭제 요구 송신부(407), 암호 통신부(408), 장치 인증부(409), 네트워크 IF부(410), 키 생성부(411), 및 소유키 저장부(412)를 포함한다.
네트워크 IF부(410)는, 유저 네트워크(12)를 통하여, 각각의 통신 장치(50)와 통신한다. 네트워크 IF부(400)는, 관리 네트워크(11)를 통하여, 데이터베이스(20) 또는 통신 상태 관리 서버(30)와 통신한다. 소유키 저장부(412)는, 세션 관리 서버(40)의 비밀키와, 통신 장치(50)가 세션 관리 서버(40)를 인증하기 위한, 그 비밀키와 쌍의 공개키가 진정하다는 것을 증명하는 공개키 증명서를 저장한다. 키 생성부(411)는, 암호 통신부(408)가 통신 장치(50)와 암호 통신에 이용하는 암호키를 생성한다.
장치 인증부(409)는, 네트워크 IF부(410)를 통하여 통신 장치(50)로부터 암호 통신로 확립 요구를 수신한 경우에, 그 통신 장치(50)와의 사이에서 인증 처리를 행한다. 그리고, 인증 처리가 성공한 경우에, 장치 인증부(409)는, 키 생성부(411)에 암호키를 생성시킨다.
그리고, 장치 인증부(409)는, 생성한 암호키를 포함하는 응답을 상기 통신 장치(50)에 송신함으로써, 그 통신 장치(50)와의 사이에서 암호키를 공유한다. 그리고, 장치 인증부(409)는, 그 통신 장치(50)에 대응하는 암호키를 암호 통신부(408)에 설정한다. 이후, 세션 관리 서버(40)와 그 통신 장치(50) 사이의 통신은, 공유된 암호키를 이용하여 행해진다.
여기에서, 본 실시 형태에서, 통신 장치(50)에 의한 로그인이란, 세션 관리 서버(40)와 그 통신 장치(50) 사이에서 암호키가 공유된 후에, 세션 관리 서버(40)가, 그 통신 장치(50)로부터 송신된 통신 조건 등록 요구(60)에 기초하여, 데이터베이스(20)의 네트워크 어드레스 저장부(21)에 그 통신 장치(50)의 네트워크 어드레스를 등록함과 함께, 통신 상태 관리 서버(30)를 통하여, 통신 조건 저장부(22)에 그 통신 장치(50)의 통신 조건을 등록하는 것을 가리킨다. 또한, 로그인 중인 통신 장치(50)란, 세션 관리 서버(40)와의 사이에서 유효한 암호키가 공유되어 있 고, 또한, 네트워크 어드레스 저장부(21)에 네트워크 어드레스가 등록되어 있고, 또한, 통신 조건 저장부(22)에 통신 조건이 등록되어 있는 통신 장치(50)를 가리킨다. 또한, 통신 장치(50)에 의한 로그아웃이란, 세션 관리 서버(40)가, 데이터베이스(20)의 네트워크 어드레스 저장부(21)로부터 그 통신 장치(50)의 네트워크 어드레스를 삭제함과 함께, 통신 상태 관리 서버(30)를 통하여, 통신 조건 저장부(22)로부터 그 통신 장치(50)의 통신 조건을 삭제한 후에, 세션 관리 서버(40)와 그 통신 장치(50) 사이에서 공유되고 있는 유효한 암호키가 양 장치에서 파기되는 것을 가리킨다.
네트워크 어드레스 등록부(404) 및 통신 조건 등록 요구 전송부(405)는, 암호 통신부(408)를 통하여, 그룹 내 암호 통신에 참가한다는 취지를 나타내는 정보인 통신 조건 등록 요구를 통신 장치(50)로부터 수신한다. 통신 조건 등록 요구(60)는, 예를 들면 도 8에 도시하는 바와 같은 데이터 구조를 갖는다. 통신 조건 등록 요구(60)에는, 통신 조건 등록 요구인 것을 나타내는 메시지 종별(600), 그 통신 조건 등록 요구(60)의 송신원의 통신 장치(50)의 네트워크 어드레스(601), 그 통신 장치(50)의 장치 ID(602) 및 그 통신 장치(50)가 실현 가능한 1세트 이상의 통신 조건(603)이 포함된다. 각각의 통신 조건(603)에는, 암호 알고리즘(605), 키 길이(606), 해시 함수 종별(607) 및 우선 순위(608) 등이 포함된다.
네트워크 어드레스 등록부(404)는, 수신한 통신 조건 등록 요구(60) 내의 네트워크 어드레스(601)를, 네트워크 IF부(400)를 통하여, 데이터베이스(20)의 네트워크 어드레스 저장부(21)에 송신하여, 등록 완료를 나타내는 응답을 수신한 경우 에, 그 취지를 통신 조건 등록 요구 전송부(405)에 통지한다. 네트워크 어드레스 등록부(404)로부터 등록 완료의 통지를 받은 경우에, 통신 조건 등록 요구 전송부(405)는, 통신 조건 등록 요구(60)를, 네트워크 IF부(400)를 통하여, 통신 상태 관리 서버(30)에 전송한다. 그리고, 통신 상태 관리 서버(30)로부터 등록 완료 통지를 수신한 경우에, 통신 조건 등록 요구 전송부(405)는, 수신한 등록 완료 통지를 암호 통신부(408)를 통하여, 그 통신 조건 등록 요구(60)를 송신해 온 통신 장치(50)로 송신한다.
통신 요구 전송부(406)는, 암호 통신부(408)를 통하여, 통신 개시 요구 또는 통신 종료 요구를 통신 장치(50)로부터 수신하고, 수신한 통신 개시 요구 또는 통신 종료 요구를, 네트워크 IF부(400)를 통하여 통신 상태 관리 서버(30)에 전송한다. 또한, 통신 요구 전송부(406)는, 네트워크 IF부(400)를 통하여, 통신 개시 거부 응답 또는 통신 종료 거부 응답을 통신 상태 관리 서버(30)로부터 수신한 경우에, 수신한 통신 개시 거부 응답 또는 통신 종료 거부 응답을, 암호 통신부(408)를 통하여 통신 장치(50)에 전송한다.
키 정보 생성부(402)는, 네트워크 IF부(400)를 통하여, 그룹 내 암호 통신에 이용되는 키 정보의 생성 지시를 통신 상태 관리 서버(30)로부터 수신한다. 키 정보 생성 지시(61)는, 예를 들면 도 9에 도시하는 바와 같은 데이터 구조를 갖는다. 키 정보 생성 지시(61)에는, 키 정보 생성 지시를 나타내는 메시지 종별(610), 생성할 키 정보의 유효 기한(期限)(611), 암호 통신이 행해지는 그룹의 그룹 ID(612) 및 장치 ID 일람(613)이 포함된다. 장치 ID 일람(613)에는, 그룹 ID(612)에 대응 하는 그룹에 속하는 1개 이상의 통신 장치(50)로서, 현재 로그인 중인 통신 장치(50)의 장치 ID(6130)가 포함된다.
키 정보 생성부(402)는, 장치 ID(6130)를 포함하는 통신 조건 취득 요구를, 네트워크 IF부(400)를 통하여, 데이터베이스(20)에 송신함으로써, 그 장치 ID(6130)에 대응하는 각각의 통신 장치(50)의 통신 조건을 취득한다. 그리고, 키 정보 생성부(402)는, 취득한 각각의 통신 장치(50)의 통신 조건에 기초하여, 각각의 통신 장치(50)에 공통의 통신 조건을 추출한다. 그리고, 키 정보 생성부(402)는, 추출한 통신 조건에서 실행 가능한 그룹 내 암호 통신에서 이용되는 키를 포함하는 키 정보를 생성한다.
그리고, 키 정보 생성부(402)는, 키 정보 생성 지시(61)에 포함되는 그룹 ID(612)에 기초하여, 네트워크 IF부(400)를 통하여, 데이터베이스(20)의 그룹 어드레스 저장부(24)를 참조하여, 그 그룹 ID(612)에 대응하는 그룹 어드레스(241)가 존재하는 경우에는, 그 그룹 ID(612)에 대응하는 그룹 어드레스(241)를 취득한다. 또한, 키 정보 생성부(402)는, 키 정보 생성 지시(61)에 포함되는 장치 ID(6130)에 기초하여, 네트워크 IF부(400)를 통하여, 데이터베이스(20)의 네트워크 어드레스 저장부(21)를 참조하여, 각각의 장치 ID(6130)에 대응하는 네트워크 어드레스(211)를 취득한다.
그리고, 키 정보 생성부(402)는, 생성한 키 정보 등에 기초하여, 예를 들면 도 10에 도시하는 바와 같은 배포 키 정보(62)를 생성한다. 배포 키 정보(62)에는, 배포 키 정보인 것을 나타내는 메시지 종별(620), 키 정보(621), 네트워크 어 드레스 일람(622), 장치 ID 일람(623) 및 그룹 어드레스(624)가 포함된다.
키 정보(621)에는, 키 정보(621)의 유효 기한(6210), 암호 알고리즘(6212), 키 길이(6212), 암호키(6213) 및 해시 함수 종별(6214) 등이 포함된다. 또한, 키 정보(621) 내에는, 암호 키(6213)에 대신하여, 시드가 포함되어 있어도 된다. 네트워크 어드레스 일람(622)에는, 암호 통신을 행하는 그룹에 속하는 1개 이상의 통신 장치(50)로서, 로그인 중인 통신 장치(50)의 네트워크 어드레스(6220)가 포함된다. 장치 ID 일람(623)에는, 암호 통신을 행하는 그룹에 속하는 통신 장치(50)로서, 로그인 중인 통신 장치(50)의 장치 ID(6230)가 포함된다. 또한, 그룹에 대응하는 그룹 어드레스가 데이터베이스(20)의 그룹 어드레스 저장부(24)에 저장되어 있지 않은 경우에는, 그룹 어드레스(624)에는 null 데이터가 포함된다.
키 정보 생성부(402)는, 생성한 배포 키 정보(62)를, 그 배포 키 정보(62) 내의 네트워크 어드레스(6220)의 각각에 대응하는 통신 장치(50)에, 암호 통신부(408)를 통하여(예를 들면 유니캐스트에 의해) 송신한다. 이와 같이, 세션 관리 서버(40)는, 생성한 키 정보와 함께, 그 키 정보를 이용하여 그룹 내 암호 통신을 행하는 통신 장치(50)의 장치 ID 및 네트워크 어드레스를 배포하므로, 각각의 통신 장치(50)는, 그룹 내 암호 통신에 참가하고 있는 다른 통신 장치(50)의 존재를 인식할 수 있다.
또한, 키 정보 생성부(402)는, 네트워크 IF부(400)를 통하여, 그룹 내 암호 통신에 이용되고 있는 키 정보의 재배포 지시를 통신 상태 관리 서버(30)로부터 수신한다. 키 정보 재배포 지시는, 메시지 종별(610)이 키 정보 생성 지시(61)와는 상이할 뿐으로, 그 이외는 도 9에 도시한 키 정보 생성 지시(61)와 마찬가지의 데이터 구조를 갖는다. 키 정보 재배포 지시를 수신한 경우, 키 정보 생성부(402)는, 키 정보 생성 지시(61)를 수신한 경우와 마찬가지로, 그 키 정보 재배포 지시에 포함되는 정보에 기초하여 도 10에 도시한 배포 키 정보(62)를 생성하고, 생성한 배포 키 정보(62)를 대응하는 통신 장치(50)에 배포한다.
키 정보 삭제 요구 송신부(407)는, 네트워크 IF부(400)를 통하여, 통신 상태 관리 서버(30)로부터, 장치 ID를 포함하는 키 정보 삭제 요구를 수신한 경우에, 그 키 정보 삭제 요구에 포함되는 장치 ID로 특정되는 통신 장치(50)에, 수신한 키 정보 삭제 요구를, 암호 통신부(408)를 통하여 송신한다.
통신 조건 삭제 요구 전송부(401) 및 네트워크 어드레스 삭제부(403)는, 암호 통신부(408)를 통하여, 통신 장치(50)로부터, 그룹 내 암호 통신으로의 참가를 그만둔다는 취지를 나타내는 정보인 통신 조건 삭제 요구를 수신한다. 상기 통신 조건 삭제 요구에는, 상기 통신 장치(50)의 장치 ID가 포함된다. 통신 조건 삭제 요구 전송부(401)는, 수신한 통신 조건 삭제 요구를, 네트워크 IF부(400)를 통하여 통신 상태 관리 서버(30)에 전송한다. 그리고, 네트워크 IF부(400)를 통하여 통신 상태 관리 서버(30)로부터 삭제 완료 통지를 수신한 경우에, 통신 조건 삭제 요구 전송부(401)는, 그 취지를 네트워크 어드레스 삭제부(403)에 통지한다.
통신 조건 삭제 요구 전송부(401)로부터 삭제 완료가 통지된 경우에, 네트워크 어드레스 삭제부(403)는, 통신 조건 삭제 요구에 포함되는 장치 ID에 대응하는 네트워크 어드레스를, 데이터베이스(20)의 네트워크 어드레스 저장부(21)로부터 삭 제하고, 삭제 완료 통지를, 암호 통신부(408)를 통하여, 통신 조건 삭제 요구를 송신해 온 통신 장치(50)에 송신한다.
도 11은, 통신 상태 관리 서버(30)의 상세한 기능 구성의 일례를 도시하는 블록도이다. 통신 상태 관리 서버(30)는, 키 정보 생성 지시 저장부(300), 키 정보 생성 지시부(301), 키 정보 삭제 지시부(302), 통신 조건 등록부(303), 통신 조건 삭제부(304), 그룹 멤버 판정부(305) 및 네트워크 IF부(306)를 포함한다.
네트워크 IF부(306)는, 관리 네트워크(11)를 통하여, 데이터베이스(20) 또는 세션 관리 서버(40)와 통신한다. 통신 조건 등록부(303)는, 네트워크 IF부(306)를 통하여, 세션 관리 서버(40)로부터, 도 8에 도시한 통신 조건 등록 요구(60)를 수신한 경우에, 수신한 통신 조건 등록 요구(60)에 포함되는 통신 조건 및 장치 ID를 데이터베이스(20)에 송신함으로써, 상기 통신 조건을 상기 장치 ID에 대응지어 통신 조건 저장부(22)에 등록시킨다. 그리고, 통신 조건 등록부(303)는, 데이터베이스(20)로부터 등록 완료를 나타내는 응답을 수신한 경우에, 등록 완료 통지를, 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신한다.
통신 조건 삭제부(304)는, 네트워크 IF부(306)를 통하여, 세션 관리 서버(40)로부터, 장치 ID를 포함하는 통신 조건 삭제 요구를 수신한 경우에, 그 장치 ID를 데이터베이스(20)에 송신함으로써, 상기 장치 ID 및 그 장치 ID에 대응지어 등록되어 있는 통신 조건을 통신 조건 저장부(22)로부터 삭제시킨다. 그리고, 통신 조건 삭제부(304)는, 데이터베이스(20)로부터 삭제 완료를 나타내는 응답을 수신한 경우에, 삭제 완료 통지를, 네트워크 IF부(306)를 통하여 세션 관리 서버(40) 에 송신한다.
그룹 멤버 판정부(305)는, 네트워크 IF부(306)를 통하여, 세션 관리 서버(40)로부터, 송신원의 통신 장치(50)의 장치 ID 및 암호 통신을 행하는 그룹의 그룹 ID를 포함하는 통신 개시 요구를 수신한 경우에, 그 그룹 ID를 포함하는 그룹 멤버 취득 요구를 데이터베이스(20)에 송신함으로써, 상기 그룹 ID에 대응지어 그룹 멤버 정보 저장부(23)에 저장되어 있는 장치 ID를 데이터베이스(20)로부터 취득한다. 그리고, 그룹 멤버 판정부(305)는, 취득한 장치 ID에 기초하여, 상기 통신 개시 요구에 포함되는 장치 ID가, 취득한 장치 ID에 포함되어 있는지의 여부를 판정한다.
상기 통신 개시 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되어 있지 않은 경우, 그룹 멤버 판정부(305)는, 그 장치 ID를 포함하는 통신 개시 거부 응답을 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신한다.
상기 통신 개시 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되어 있는 경우, 그룹 멤버 판정부(305)는, 그 통신 개시 요구에 포함되는 그룹 ID 및 데이터베이스(20)로부터 취득한 장치 ID를 키 정보 생성 지시부(301)에 송신한다.
또한, 그룹 멤버 판정부(305)는, 네트워크 IF부(306)를 통하여, 세션 관리 서버(40)로부터, 송신원의 통신 장치(50)의 장치 ID 및 암호 통신을 행하고 있는 그룹의 그룹 ID를 포함하는 통신 종료 요구를 수신한 경우에, 그 그룹 ID를 포함하 는 그룹 멤버 취득 요구를 데이터베이스(20)에 송신함으로써, 그 그룹 ID에 대응지어 그룹 멤버 정보 저장부(23)에 저장되어 있는 장치 ID를 취득한다. 그리고, 그룹 멤버 판정부(305)는, 취득한 장치 ID에 기초하여, 상기 통신 종료 요구에 포함되는 장치 ID가, 취득한 장치 ID에 포함되어 있는지의 여부를 판정한다.
상기 통신 종료 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되어 있지 않은 경우, 그룹 멤버 판정부(305)는, 그 장치 ID를 포함하는 통신 종료 거부 응답을 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신한다.
상기 통신 완료 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되어 있는 경우, 그룹 멤버 판정부(305)는, 그 통신 종료 요구에 포함되는 그룹 ID 및 데이터베이스(20)로부터 취득한 장치 ID를 키 정보 삭제 지시부(302)에 송신한다.
키 정보 생성 지시부(301)는, 그룹 멤버 판정부(305)로부터 그룹 ID 및 장치 ID를 수신한 경우에, 그룹 멤버 판정부(305)로부터 수신한 장치 ID를 포함하는 로그인 중 장치 ID 취득 요구를 데이터베이스(20)에 송신함으로써, 그 장치 ID 중에서, 네트워크 어드레스 저장부(21) 내에 네트워크 어드레스가 대응지어 있는 것을 취득한다. 이에 따라, 키 정보 생성 지시부(301)는, 상기 그룹 ID에 대응하는 그룹에 속하는 통신 장치(50) 중에서, 현재 로그인 중인 통신 장치(50)의 장치 ID를 추출할 수 있다. 또한, 키 정보 생성 지시부(301)는, 생성할 키 정보의 유효 기한을 설정한다.
그리고, 키 정보 생성 지시부(301)는, 도 9에 도시한 바와 같이, 설정한 유효 기한(611), 그룹 멤버 판정부(305)로부터 수신한 그룹 ID(612) 및 추출한 장치 ID 일람(613)을 포함하는 키 정보 생성 지시(61)를 생성하고, 생성한 키 정보 생성 지시(61)를, 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신한다. 그리고, 키 정보 생성 지시부(301)는, 송신한 키 정보 생성 지시(61)를 키 정보 생성 지시 저장부(300)에 저장한다. 키 정보 생성 지시 저장부(300)에는, 예를 들면 도 12에 도시하는 바와 같이, 키 정보 생성 지시(61)에 포함되는 그룹 ID(3001) 및 장치 ID 일람(3002)이, 유효 기한(3000)에 대응지어 저장된다.
또한, 키 정보 생성 지시부(301)는, 소정의 타이밍에 키 정보 생성 지시 저장부(300)를 참조하여, 유효 기한의 경과 전으로서, 현재 시각과의 차가 소정치 이하로 되는 유효 기한(3000)이 존재하는지의 여부를 판정한다. 현재 시각과의 차가 소정치 이하로 되는 유효 기한(3000)이 존재하는 경우, 키 정보 생성 지시부(301)는, 그 유효 기한(3000)에 대응하는 그룹 ID(3001) 및 장치 ID 일람(3002)을 키 정보 생성 지시 저장부(300)로부터 추출하여, 그 유효 기한(3000), 그룹 ID(3001), 장치 ID 일람(3002)을 키 정보 생성 지시 저장부(300)로부터 삭제한다.
그리고, 키 정보 생성 지시부(301)는, 새롭게 유효 기한을 설정하고, 설정한 유효 기한과, 키 정보 생성 지시 저장부(300)로부터 추출한 그룹 ID(3001) 및 장치 ID 일람(3002)을 포함하는 키 정보 재생성 지시를 생성하고, 생성한 키 정보 재생성 지시를 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신한다. 그리고, 키 정보 생성 지시부(301)는, 송신한 키 정보 재생성 지시를 키 정보 생성 지시 저 장부(300)에 저장한다. 또한, 키 정보 재생성 지시는, 도 9에 도시한 키 정보 생성 지시(61)에서 메시지 종별(610)이 상이할 뿐으로 키 정보 생성 지시(61)와 거의 마찬가지의 데이터 구조이다.
키 정보 삭제 지시부(302)는, 그룹 멤버 판정부(305)로부터 그룹 ID 및 장치 ID를 수신한 경우에, 그 장치 ID를 포함하는 로그인 중 장치 ID 취득 요구를 데이터베이스(20)에 송신함으로써, 그 장치 ID 중에서, 네트워크 어드레스 저장부(21) 내에 네트워크 어드레스가 대응지어 있는 것을 취득한다.
그리고, 키 정보 삭제 지시부(302)는, 데이터베이스(20)로부터 취득한 장치 ID를 포함하는 키 정보 삭제 요구를 생성하고, 생성한 키 정보 삭제 요구를, 네트워크 IF부(306)를 통하여 세션 관리 서버(408)에 송신한다. 그리고, 키 정보 삭제 지시부(302)는, 그룹 멤버 판정부(305)로부터 수신한 그룹 ID, 그 그룹 ID에 대응지어 저장되어 있는 유효 기한 및 장치 ID 일람을, 키 정보 생성 지시 저장부(300)로부터 삭제한다.
도 13은, 통신 장치(50)의 상세한 기능 구성의 일례를 도시하는 블록도이다. 통신 장치(50)는, 네트워크 IF부(500), 통신 장치용 암호 통신부(501), 키 정보 취득부(502), 서버용 암호 통신부(503), 소유 키 저장부(504), 키 정보 저장부(505), 통신 종료 요구부(506), 통신 조건 삭제 요구부(507), 통신 개시 요구부(508), 통신 조건 등록 요구부(509), 어플리케이션부(510) 및 통신 조건 저장부(511)를 포함한다.
소유 키 저장부(504)는, 자통신 장치(50)의 비밀키와, 세션 관리 서버(40)가 자기 통신 장치를 인증하기 위한, 그 비밀키의 쌍의 공개키 증명서를 저장하고 있다. 서버용 암호 통신부(503)는, 어플리케이션부(510)로부터의 지시를 받아, 네트워크 IF부(500)를 통하여, 소유키 저장부(504) 내의 비밀키 및 공개키 증명서를 이용하여, 세션 관리 서버(40)와의 사이에서 암호키의 공유 처리를 행한다. 그 후, 서버용 암호 통신부(503)는, 세션 관리 서버(40)와 공유한 암호키를 이용하여 세션 관리 서버(40)와 통신한다.
또한, 서버용 암호 통신부(503)는, 어플리케이션부(510)로부터의 지시를 받아, 네트워크 IF부(500)를 통하여 세션 관리 서버(40)에 암호 통신로 삭제 요구를 송신함으로써, 세션 관리 서버(40)와의 사이에서 공유하고 있는 암호키를 파기한다.
통신 조건 저장부(511)는, 예를 들면 도 14에 도시하는 바와 같은 데이터 구조를 갖고, 1개 이상의 통신 조건의 각각을 우선 순위(5113)에 대응지어 저장하고 있다. 각각의 통신 조건에는, 자통신 장치(50)에 의해 실행 가능한 암호 알고리즘(5110), 암호 통신에 이용되는 암호키의 키 길이(5111) 및 해시 함수 종별(5112) 등이 포함된다.
통신 조건 등록 요구부(509)는, 어플리케이션부(510)로부터의 지시에 따라, 통신 조건 저장부(511)를 참조하여, 도 8에 도시한 통신 조건 등록 요구(60)를 생성하고, 생성한 통신 조건 등록 요구(60)를, 서버용 암호 통신부(503)를 통하여 세션 관리 서버(40)에 송신한다.
통신 조건 삭제 요구부(507)는, 어플리케이션부(510)로부터의 지시에 따라, 자통신 장치(50)의 장치 ID를 포함하는 통신 조건 삭제 요구를, 서버용 암호 통신부(503)를 통하여 세션 관리 서버(40)에 송신한다.
통신 개시 요구부(508)는, 어플리케이션부(510)로부터의 지시에 따라, 자통신 장치(50)의 장치 ID 및 암호 통신을 행하는 그룹의 그룹 ID를 포함하는 통신 개시 요구를, 서버용 암호 통신부(503)를 통하여 세션 관리 서버(40)에 송신한다.
통신 종료 요구부(506)는, 어플리케이션부(510)로부터의 지시에 따라, 자통신 장치(50)의 장치 ID 및 암호 통신을 행하는 그룹의 그룹 ID를 포함하는 통신 종료 요구를, 서버용 암호 통신부(503)를 통하여 세션 관리 서버(40)에 송신한다.
키 정보 취득부(502)는, 서버용 암호 통신부(503)를 통하여, 도 10에 도시한 배포 키 정보(62)를 수신한 경우에, 수신한 배포키 정보(62)에 포함되는 키 정보(621), 네트워크 어드레스 일람(622) 및 장치 ID 일람(623)을 키 정보 저장부(505)에 저장한다. 통신 장치(50)에 인스톨되어 있는 그룹 내 네트워크 통신을 행하는 어플리케이션이 통신 패킷을 송수신할 때에, 통신 장치용 암호 통신부(501)는, 키 정보 저장부(505)를 검색하여, 그 패킷의 통신처가 도 10의 배부 키 정보(62)의 네트워크 어드레스(6220) 혹은 그룹 어드레스(624)에 포함되어 있는지의 여부를 판정하고, 포함되어 있는 경우에는, 키 정보(621)를 이용하여, 다른 통신 장치(50)와의 사이에서 그룹 내 암호 통신을 행한다.
또한, 키 정보 저장부(505) 내에 이미 키 정보(621), 네트워크 어드레스 일람(622) 및 장치 ID 일람(623)이 저장되어 있는 경우에는, 키 정보 취득부(502)는, 새롭게 배포 키 정보(62)를 수신하면, 그 배포 키 정보(62)의 키 정보(621), 네트 워크 어드레스 일람(622) 및 장치 ID 일람(623)으로 키 정보 저장부(505) 내의 데이터를 갱신한다.
또한, 키 정보 취득부(502)는, 서버용 암호 통신부(503)를 통하여, 키 정보 삭제 요구를 수신한 경우에, 키 정보 저장부(505)에 저장되어 있는 키 정보(621), 네트워크 어드레스 일람(622) 및 장치 ID 일람(623)을 키 정보 저장부(505)로부터 삭제한다.
어플리케이션부(510)는, 그룹에 속하는 통신 장치(50)로서, 현재 로그인 중인 통신 장치(50)의 장치 ID 및 네트워크 어드레스의 정보를, 키 정보 저장부(505)로부터 얻을 수 있다. 이에 따라, 통신 장치(50)는, 현재 행해지고 있는 그룹 내 암호 통신에, 그룹 내의 다른 통신 장치(50)의 어느 것이 참가하고 있는지를 인식할 수 있다.
도 15는, 데이터베이스(20), 통신 상태 관리 서버(30), 또는 세션 관리 서버(40)의 기능을 실현하는 정보 처리 장치(70)의 하드웨어 구성의 일례를 도시하는 하드웨어 구성도이다. 정보 처리 장치(70)는, CPU(Central Processing Unit)(71), RAM(Random Access Memory)(72), R0M(Read Only Memory)(73), HDD(Hard Disk Drive)(74), 통신 인터페이스(75), 입출력 인터페이스(76), 미디어 인터페이스(77)를 포함한다.
CPU(71)는, ROM(73) 및 HDD(74)에 저장된 프로그램에 기초하여 동작하여, 각부의 제어를 행한다. ROM(73)은 정보 처리 장치(70)의 기동 시에 CPU(71)가 실행하는 부팅 프로그램이나, 정보 처리 장치(70)의 하드웨어에 의존하는 프로그램 등 을 저장한다.
HDD(74)는, CPU(71)가 실행하는 프로그램 및 CPU(71)가 사용하는 데이터 등을 저장한다. 통신 인터페이스(75)는, 관리 네트워크(11) 또는 유저 네트워크(12)를 통하여 다른 기기로부터 데이터를 수신하여 CPU(71)로 송신함과 함께, CPU(71)가 생성한 데이터를, 이들 네트워크를 통하여 다른 기기로 송신한다.
CPU(71)는, 입출력 인터페이스(76)를 통하여, 키보드나 마우스, LCD(Liquid Crystal Display) 등의 입출력 장치를 제어한다. CPU(71)는, 입출력 인터페이스(76)를 통하여, 키보드나 마우스 등으로부터 데이터를 취득한다. 또한, CPU(71)는, 생성한 데이터를, 입출력 인터페이스(76)를 통하여 LCD 등에 출력한다.
미디어 인터페이스(77)는, 기록 매체(78)에 저장된 프로그램 또는 데이터를 읽어내, RAM(72)에 제공한다. RAM(72)을 통하여 CPU(71)에 제공되는 프로그램은, 기록 매체(78)에 저장되어 있다. 상기 프로그램은, 기록 매체(78)로부터 읽어내져, RAM(72)를 통하여 정보 처리 장치(70)에 인스톨되어 CPU(71)에 의해 실행된다.
정보 처리 장치(70)가 데이터베이스(20)로서 기능하는 경우, HDD(74)에는, 네트워크 어드레스 저장부(21), 통신 조건 저장부(22), 그룹 멤버 정보 저장부(23) 및 그룹 어드레스 저장부(24) 내의 데이터가 저장되고, 정보 처리 장치(70)에 인스톨되어 실행되는 프로그램은, 정보 처리 장치(70)를, 네트워크 IF부(25) 및 데이터베이스 제어부(26)로서 기능시킨다.
또한, 정보 처리 장치(70)가 통신 상태 관리 서버(30)로서 기능하는 경우, HDD(74)에는 키 정보 생성 지시 저장부(300) 내의 데이터가 저장되고, 정보 처리 장치(70)에 인스톨되어 실행되는 프로그램은, 정보 처리 장치(70)를, 키 정보 생성 지시부(301), 키 정보 삭제 지시부(302), 통신 조건 등록부(303), 통신 조건 삭제부(304), 그룹 멤버 판정부(305) 및 네트워크 IF부(306)로서 각각 기능시킨다.
또한, 정보 처리 장치(70)가 세션 관리 서버(40)로서 기능하는 경우, HDD(74)에는 소유 키 저장부(412) 내의 데이터가 저장되고, 정보 처리 장치(70)에 인스톨되어 실행되는 프로그램은, 정보 처리 장치(70)를, 네트워크 IF부(400), 통신 조건 삭제 요구 전송부(401), 키 정보 생성부(402), 네트워크 어드레스 삭제부(403), 네트워크 어드레스 등록부(404), 통신 조건 등록 요구 전송부(405), 통신 요구 전송부(406), 키 정보 삭제 요구 송신부(407), 암호 통신부(408), 장치 인증부(409), 네트워크 IF부(410) 및 키 생성부(411)로서 각각 기능시킨다.
기록 매체(78)는, 예를 들면 DVD, PD 등의 광학 기록 매체, MO 등의 광자기 기록 매체, 테이프 매체, 자기 기록 매체, 또는 반도체 메모리 등이다. 정보 처리 장치(70)는, 이들 프로그램을, 기록 매체(78)로부터 읽어내어 실행하지만, 다른 예로서, 다른 장치로부터, 통신 매체를 통하여, 이들 프로그램을 취득하여도 된다. 통신 매체란, 관리 네트워크(11) 또는 유저 네트워크(12), 또는 이들을 전파하는 디지털 신호 또는 반송파를 가리킨다.
여기에서, 그룹 내 암호 통신을 실현하는 경우의 통신 상태 관리 서버(30)의 동작의 일례에 대해, 도 16을 이용하여 상세하게 설명한다. 예를 들면 전원이 투입되는 등의 소정의 타이밍에서, 통신 상태 관리 서버(30)는, 본 플로우차트에 기술하는 동작을 개시한다.
우선, 통신 조건 등록부(303)는, 관리 네트워크(11)를 통하여, 세션 관리 서버(40)로부터, 도 8에 도시한 통신 조건 등록 요구(60)를 수신하였는지의 여부를 판정한다(S100). 통신 조건 등록 요구(60)를 수신한 경우(S100: 예), 통신 조건 등록부(303)는, 수신한 통신 조건 등록 요구(60)에 포함되는 통신 조건 및 장치 ID를 데이터베이스(20)에 송신함으로써, 그 통신 조건을 그 장치 ID에 대응지어 통신 조건 저장부(22)에 저장시킨다(S101).
그리고, 통신 조건 등록부(303)는, 데이터베이스(20)로부터 등록 완료를 나타내는 응답을 수신하여, 상기 통신 조건 등록 요구(60)의 송신원의 통신 장치(50)의 장치 ID를 포함하는 등록 완료 통지를, 관리 네트워크(11)를 통하여 세션 관리 서버(40)에 송신하고(S102), 통신 조건 등록부(303)는, 다시 스텝 100에 나타낸 처리를 실행한다.
통신 조건 등록 요구(60)를 수신하고 있지 않은 경우(S100: 아니오), 그룹 멤버 판정부(305)는, 관리 네트워크(11)를 통하여, 통신 개시 요구를 수신하였는지의 여부를 판정한다(S103). 통신 개시 요구를 수신한 경우(S103: 예), 그룹 멤버 판정부(305)는, 상기 그룹 ID를 포함하는 그룹 멤버 취득 요구를 데이터베이스(20)에 송신함으로써, 그 그룹 ID에 대응지어 그룹 멤버 정보 저장부(23)에 저장되어 있는 장치 ID를 데이터베이스(20)로부터 취득한다. 그리고, 그룹 멤버 판정부(305)는, 취득한 장치 ID에 기초하여, 상기 통신 개시 요구에 포함되는 장치 ID가, 취득한 장치 ID에 포함되어 있는지의 여부를 판정한다(S104).
상기 통신 개시 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되어 있는 경우(S104: 예), 그룹 멤버 판정부(305)는, 그 통신 개시 요구에 포함되는 그룹 ID 및 데이터베이스(20)로부터 취득한 장치 ID를 키 정보 생성 지시부(301)에 송신한다.
다음으로, 키 정보 생성 지시부(301)는, 상기 장치 ID를 포함하는 로그인 중 장치 ID 취득 요구를 데이터베이스(20)에 송신하고, 그 장치 ID 중에서, 네트워크 어드레스 저장부(21) 내에 네트워크 어드레스가 대응지어 있는 것을 취득함으로써, 그룹 멤버 판정부(305)로부터 수신한 그룹 ID에 대응하는 그룹에 속하는 통신 장치(50) 중에서, 현재 로그인 중인 통신 장치(50)의 장치 ID를 추출한다(S105).
다음으로, 키 정보 생성 지시부(301)는, 생성할 키 정보의 유효 기한을 설정한다. 그리고, 키 정보 생성 지시부(301)는, 도 9에 도시한 키 정보 생성 지시(61)를 생성하고, 생성한 키 정보 생성 지시(61)를, 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신한다(S106). 그리고, 키 정보 생성 지시부(301)는, 송신한 키 정보 생성 지시(61)를 키 정보 생성 지시 저장부(300)에 저장하고(S107), 통신 조건 등록부(303)는, 다시 스텝 100에 나타낸 처리를 실행한다.
통신 개시 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되지 않은 경우(S104: 아니오), 그룹 멤버 판정부(305)는, 그 장치 ID를 포함하는 통신 개시 거부 응답을 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신하고(S108), 통신 조건 등록부(303)는, 다시 스텝 100에 나타낸 처리를 실행한다.
스텝 103에서, 통신 개시 요구를 수신하고 있지 않은 경우(S103: 아니오), 키 정보 생성 지시부(301)는, 유효 기한의 경과 전으로서, 현재 시각과의 차가 소정치 이하로 되는 유효 기한이 키 정보 생성 지시 저장부(300) 내에 존재하는지의 여부를 판정한다(S109). 유효 기한의 경과 전으로서, 현재 시각과의 차가 소정치 이하로 되는 유효 기한이 키 정보 생성 지시 저장부(300) 내에 존재하는 경우(S109: 예), 키 정보 생성 지시부(301)는, 스텝 105 내지 107에 나타낸 처리를 실행함으로써, 키 정보의 재배포를 세션 관리 서버(40)에 지시한다. 이 처리에 의해, 통신 장치(50)는, 배부된 키의 유효 기한이 가까워지면, 자동적으로 키의 배부를 받을 수 있다.
유효 기한의 경과 전으로서, 현재 시각과의 차가 소정치 이하로 되는 유효 기한이 키 정보 생성 지시 저장부(300) 내에 존재하지 않는 경우(S109: 아니오), 그룹 멤버 판정부(305)는, 통신 종료 요구를 수신했는지의 여부를 판정한다(S110). 통신 종료 요구를 수신한 경우(S110: 예), 그룹 멤버 판정부(305)는, 상기 그룹 ID를 포함하는 그룹 멤버 취득 요구를 데이터베이스(20)에 송신함으로써, 그 그룹 ID에 대응지어 그룹 멤버 정보 저장부(23)에 저장되어 있는 장치 ID를 취득한다. 그리고, 그룹 멤버 판정부(305)는, 취득한 장치 ID에 기초하여, 상기 통신 종료 요구에 포함되는 장치 ID가, 취득한 장치 ID에 포함되어 있는지의 여부를 판정한다(S111).
상기 통신 종료 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되어 있는 경우(S111: 예), 그룹 멤버 판정부(305)는, 그 통신 종료 요구에 포함되는 그룹 ID 및 데이터베이스(20)로부터 취득한 장치 ID를 키 정보 삭 제 지시부(302)에 송신한다.
다음으로, 키 정보 삭제 지시부(302)는, 상기 장치 ID를 포함하는 로그인 중 장치 ID 취득 요구를 데이터베이스(20)에 송신함으로써, 그 장치 ID 중에서, 네트워크 어드레스 저장부(21) 내에 네트워크 어드레스가 대응지어 있는 것을 취득함으로써, 그룹 멤버 판정부(305)로부터 수신한 그룹 ID에 대응하는 그룹에 속하는 통신 장치(50) 중에서, 현재 로그인 중인 통신 장치(50)의 장치 ID를 추출한다(S112). 그리고, 키 정보 삭제 지시부(302)는, 추출한 장치 ID를 포함하는 키 정보 삭제 요구를 생성하고, 생성한 키 정보 삭제 요구를, 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신한다(S113).
그리고, 키 정보 삭제 지시부(302)는, 그룹 멤버 판정부(305)로부터 수신한 그룹 ID(612)와, 그 그룹 ID에 대응지어 저장되어 있는 유효 기한 및 장치 ID 일람을, 키 정보 생성 지시 저장부(300)로부터 삭제하고(S114), 통신 조건 등록부(303)는, 다시 스텝 100에 나타낸 처리를 실행한다.
상기 통신 종료 요구에 포함되는 장치 ID가, 데이터베이스(20)로부터 취득한 장치 ID에 포함되어 있지 않은 경우(S111: 아니오), 그룹 멤버 판정부(305)는, 그 장치 ID를 포함하는 통신 종료 거부 응답을 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신하고(S115), 통신 조건 등록부(303)는, 다시 스텝 100에 나타낸 처리를 실행한다.
스텝 110에서, 통신 종료 요구를 수신하고 있지 않은 경우(S110: 아니오), 통신 조건 삭제부(304)는, 관리 네트워크(11)를 통하여, 세션 관리 서버(40)로부 터, 통신 조건 삭제 요구를 수신하였는지의 여부를 판정한다(S116). 통신 조건 삭제 요구(60)를 수신하고 있지 않은 경우(S116: 아니오), 통신 조건 등록부(303)는, 다시 스텝 100에 나타낸 처리를 실행한다.
통신 조건 삭제 요구를 수신한 경우(S116: 예), 통신 조건 삭제부(304)는 상기 장치 ID를 데이터베이스(20)에 송신함으로써, 그 장치 ID 및 그 장치 ID에 대응지어 저장되어 있는 통신 조건을 통신 조건 저장부(22)로부터 삭제시킨다(S117). 그리고, 통신 조건 삭제부(304)는, 데이터베이스(20)로부터 삭제 완료를 나타내는 응답을 수신하고, 삭제한 통신 조건에 대응하는 장치 ID를 포함하는 삭제 완료 통지를, 네트워크 IF부(306)를 통하여 세션 관리 서버(40)에 송신하고(S118), 통신 조건 등록부(303)는, 다시 스텝 100에 나타낸 처리를 실행한다.
다음으로, 그룹 내 암호 통신을 실행하는 경우의 암호 통신 시스템(10)의 동작의 일례를, 도 17을 이용하여 설명한다.
우선, 암호 통신 시스템(10)은, 그룹 내 암호 통신에 참가하는 각각의 통신 장치(50)로부터의 통신 조건 등록 요구를 처리하여, 그 통신 장치(50)의 네트워크 어드레스 및 통신 조건을 데이터베이스(20)에 등록한다(S20). 그리고, 그룹 내에서 로그인 중인 어느 하나의 통신 장치(50)로부터의 통신 개시 요구를 처리함으로써, 암호 통신 시스템(10)은, 통신 개시 요구를 송신한 통신 장치(50)가 속하는 그룹에서, 그룹 내 암호 통신을 개시한다(S30). 그리고, 암호 통신 시스템(10)은, 시간의 경과와 함께, 그룹 내 암호 통신에서 이용되고 있는 키 정보를 갱신한다(S40).
다음으로, 그룹 내에서 로그인 중인 어느 하나의 통신 장치(50)로부터의 통신 종료 요구를 처리함으로써, 암호 통신 시스템(10)은, 통신 종료 요구를 송신한 통신 장치(50)가 속하는 그룹에서, 그룹 내 암호 통신을 종료한다(S50). 그리고, 암호 통신 시스템(10)은, 그룹 내 암호 통신으로의 참가를 그만두는 각각의 통신 장치(50)로부터의 통신 조건 삭제 요구에 따라, 그 통신 장치(50)의 네트워크 어드레스 및 통신 조건을 데이터베이스(20)로부터 삭제하고, 암호 통신로 삭제 요구에 따라 그 통신 장치(50)와의 암호 통신로를 삭제한다(S60).
이하, 도 17에 도시한 각각의 스텝에서의 암호 통신 시스템(10)의 상세한 동작에 대해 설명한다.
도 18은, 로그인 처리(S20)에서의 암호 통신 시스템(10)의 상세한 동작의 일례를 도시하는 시퀀스도이다.
우선, 그룹 내 암호 통신에 참가하는 통신 장치(50)의 서버용 암호 통신부(503)는, 어플리케이션부(510)로부터의 지시에 따라, 소유키 저장부(504)에 저장되어 있는 비밀키를 이용하여 임의의 메시지에 대한 디지털 서명을 생성하고, 생성한 디지털 서명을, 소유키 저장부(504)에 저장되어 있는 공개키 증명서와 함께, 세션 관리 서버(40)에 송신함으로써, 세션 관리 서버(40)에, 통신 장치(50)와 세션 관리 서버(40) 사이의 암호 통신로 확립을 요구한다. 세션 관리 서버(40)의 장치 인증부(409)는, 수신한 암호 통신로 확립 요구에 포함되어 있는 공개키 증명서와, 그 암호 통신로 확립 요구에 포함되어 있는 메시지에 대한 디지털 서명을 검증함으로써, 통신 장치(50)를 인증한다(S200).
인증에 성공한 경우, 장치 인증부(409)는, 통신 장치(50)와의 암호 통신에 이용하는 암호키를 키 생성부(411)에 생성시킨다(S201). 그리고, 장치 인증부(409)는, 소유 키 저장부(412)에 저장되어 있는 세션 관리 서버(40)의 비밀키를 이용하여, 키 생성부(411)에 의해 생성된 암호키에 대한 디지털 서명을 생성한다.
그리고, 장치 인증부(409)는, 암호 통신로 확립 요구에 포함되는 통신 장치(50)의 공개키 증명서를 이용하여, 키 생성부(411)에 의해 생성된 암호키를 암호화하고, 암호화한 암호키, 생성한 디지털 서명, 및 소유키 저장부(412)에 저장되어 있는 세션 관리 서버(40)의 공개키 증명서를 포함하는 응답을, 암호 통신 요구의 송신원의 통신 장치(50)에 송신한다(S202). 그리고, 장치 인증부(409)는, 상기 통신 장치(50)용의 암호키를 암호 통신부(408)에 설정한다.
다음으로, 통신 장치(50)의 서버용 암호 통신부(503)는, 소유키 저장부(504)에 저장되어 있는 비밀키를 이용하여, 스텝 202에서 수신한 응답에 포함되는 암호화된 암호키를 복호화함으로써, 암호키를 취득하고, 취득한 암호키를, 세션 관리 서버(40)와의 사이의 암호 통신에 이용하는 암호키로서 설정한다(S203).
다음으로, 통신 조건 등록 요구부(509)는, 도 8에 도시한 통신 조건 등록 요구(60)를 세션 관리 서버(40)에 송신한다(S204). 네트워크 어드레스 등록부(404)는, 통신 조건 등록 요구(60)에 포함되는 장치 ID 및 네트워크 어드레스를 포함하는 네트워크 어드레스 등록 요구를, 관리 네트워크(11)를 통하여 데이터베이스(20)에 송신한다(S205). 그리고, 데이터베이스(20)의 데이터베이스 제어부(26)는, 수신한 네트워크 어드레스 등록 요구에 포함되는 네트워크 어드레스를, 그 네트워크 어드레스 등록 요구에 포함되는 장치 ID에 대응지어 네트워크 어드레스 저장부(21)에 등록하고, 등록 완료를 나타내는 응답을 네트워크 어드레스 등록부(404)에 송신한다(S206). 그리고, 통신 조건 등록 요구 전송부(405)는, 관리 네트워크(11)를 통하여, 통신 조건 등록 요구(60)를 통신 상태 관리 서버(30)에 전송한다(S207).
다음으로, 통신 상태 관리 서버(30)의 통신 조건 등록부(303)는, 수신한 통신 조건 등록 요구(60)에 포함되는 장치 ID 및 통신 조건을 포함하는 통신 조건 등록 지시를, 관리 네트워크(11)를 통하여 데이터베이스(20)에 송신한다(S208). 그리고, 데이터베이스(20)의 데이터베이스 제어부(26)는, 수신한 통신 조건 등록 지시에 포함되는 통신 조건을, 그 통신 조건 등록 지시에 포함되는 장치 ID에 대응지어 통신 조건 저장부(22)에 등록하고, 등록 완료를 나타내는 응답을 통신 상태 관리 서버(30)에 송신한다(S209). 그리고, 통신 조건 등록부(303)는, 등록 완료를, 관리 네트워크(11)를 통하여 세션 관리 서버(40)에 통지한다(S210). 통신 조건 등록 요구 전송부(405)는, 수신한 등록 완료 통지를 유저 네트워크(12)를 통하여 통신 장치(50)에 전송한다(S211).
도 19는, 그룹 내 암호 통신 개시 처리(S30)에서의 암호 통신 시스템(10)의 상세한 동작의 일례를 도시하는 시퀀스도이다.
우선, 그룹 내에서 로그인 중인 통신 장치(50-1)의 통신 개시 요구부(508)는, 유저 네트워크(12)를 통하여, 통신 개시 요구를 세션 관리 서버(40)에 송신한다(S300). 통신 요구 전송부(406)는, 유저 네트워크(12)를 통하여 수신한 통신 개시 요구를, 관리 네트워크(11)를 통하여 통신 상태 관리 서버(30)에 전송한 다(S301).
그룹 멤버 판정부(305)는, 수신한 통신 개시 요구에 포함되는 그룹 ID를 포함하는 그룹 멤버 취득 요구를 데이터베이스(20)에 송신한다(S302). 그리고, 데이터베이스 제어부(26)는, 상기 그룹 ID에 대응하는 그룹에 속하는 통신 장치(50)의 장치 ID를 그룹 멤버 정보 저장부(23)로부터 추출하고, 추출한 장치 ID를 포함하는 응답을 통신 상태 관리 서버(30)에 송신한다(S303). 그리고, 그룹 멤버 판정부(305)는, 데이터베이스(20)로부터 취득한 장치 ID 중에, 통신 개시 요구에 저장된 장치 ID가 포함되어 있는지의 여부를 판정한다(S304).
그리고, 키 정보 생성 지시부(301)는, 스텝 303에서 취득한 장치 ID를 포함하는 로그인 중 장치 ID 취득 요구를 데이터베이스(20)에 송신한다(S305). 그리고, 데이터베이스 제어부(26)는, 로그인 중 장치 ID 취득 요구에 포함되는 장치 ID 중에서, 네트워크 어드레스 저장부(21)에 네트워크 어드레스가 등록되어 있는 것을 추출하고, 추출한 장치 ID를 포함하는 응답을 통신 상태 관리 서버(30)에 송신한다(S306).
다음으로, 키 정보 생성 지시부(301)는, 생성할 키 정보의 유효 기한을 설정한다. 그리고, 키 정보 생성 지시부(301)는, 도 9에 도시한 키 정보 생성 지시(61)를 생성하고, 생성한 키 정보 생성 지시(61)를 관리 네트워크(11)를 통하여 세션 관리 서버(40)에 송신한다(S307). 그리고, 키 정보 생성부(402)는, 키 정보 생성 지시(61)에 포함되는 복수의 장치 ID를 포함하는 통신 조건 취득 요구를 데이터베이스(20)에 송신한다(S308). 그리고, 데이터베이스 제어부(26)는, 통신 조건 취득 요구에 포함되는 장치 ID에 대응하는 통신 조건을 통신 조건 저장부(22)로부터 추출하고, 추출한 통신 조건을 포함하는 응답을 세션 관리 서버(40)에 송신한다(S309). 그리고, 키 정보 생성부(402)는, 취득한 각각의 통신 장치(50)의 통신 조건에 공통의 통신 조건에서 실행 가능한 키를 포함하는 키 정보를 생성한다(S310).
다음으로, 키 정보 생성부(402)는, 생성한 키 정보를 포함하는 배포 키 정보(62)를 생성하고, 생성한 배포 키 정보(62)를, 그룹 내 암호 통신을 행하는 통신 장치(50-1), 통신 장치(50-2) 및 통신 장치(50-3)의 각각에, 유저 네트워크(12)를 통하여 송신한다(S311, S312, S313). 이에 따라, 그룹 내 암호 통신을 행하는 통신 장치(50-1), 통신 장치(50-2) 및 통신 장치(50-3)의 각각은, 동일한 배포 키 정보(62)를 공유하게 된다. 그리고, 통신 장치(50-1), 통신 장치(50-2) 및 통신 장치(50-2)의 각각은, 수신한 배포 키 정보(62)에 포함되는 키를 이용하여, 그룹 내 암호 통신을 행한다(S314). 구체적으로는, 통신 장치(50)에 인스톨되어 있는 그룹 내 네트워크 통신을 행하는 어플리케이션이 통신 패킷을 송수신할 때에, 통신 장치용 암호 통신부(501)는, 키 정보 저장부(505)를 검색하고, 그 패킷의 통신처가 도 10의 배부키 정보(62)의 네트워크 어드레스(6220) 혹은 그룹 어드레스(624)에 포함되어 있는지의 여부를 판정하여, 포함되어 있는 경우에는, 키 정보(621)를 이용하여, 다른 통신 장치(50)와의 사이에서 암호화 패킷을 송수신한다.
도 20은, 키 정보 재배포 처리(S40)에서의 암호 통신 시스템(10)의 상세한 동작의 일례를 도시하는 시퀀스도이다.
키 정보 생성 지시부(301)는, 유효 기한의 경과 전으로서, 현재 시각과의 차가 소정치 이하로 되는 유효 기한이 키 정보 생성 지시 저장부(300) 내에 존재하는 경우에, 새로운 유효 기한을 설정함과 함께, 그 유효 기한에 대응하는 그룹 ID 및 장치 ID 일람을 키 정보 생성 지시 저장부(300)로부터 추출한다. 그리고, 키 정보 생성 지시부(301)는, 설정한 유효 기한과 키 정보 생성 지시 저장부(300)로부터 추출한 그룹 ID 및 장치 ID 일람을 포함하는 키 정보 재생성 지시를 생성하고, 생성한 키 정보 재생성 지시를 관리 네트워크(11)를 통하여 세션 관리 서버(40)에 송신한다(S400).
다음으로, 키 정보 생성부(402)는, 키 정보 재생성 지시에 포함되는 복수의 장치 ID를 포함하는 통신 조건 취득 요구를 데이터베이스(20)에 송신한다(S401). 그리고, 데이터베이스 제어부(26)는, 통신 조건 취득 요구에 포함되는 장치 ID에 대응하는 통신 조건을 통신 조건 저장부(22)로부터 추출하고, 추출한 통신 조건을 포함하는 응답을 세션 관리 서버(40)에 송신한다(S402). 그리고, 키 정보 생성부(402)는, 취득한 각각의 통신 장치(50)의 통신 조건에 공통의 통신 조건에서 실행 가능한 키를 포함하는 키 정보를 생성한다(S403). 그리고, 키 정보 생성부(402)는, 생성한 키 정보를 포함하는 배포 키 정보(62)를 생성하고, 생성한 배포 키 정보(62)를, 그룹 내 암호 통신을 행하고 있는 통신 장치(50-1), 통신 장치(50-2) 및 통신 장치(50-2)의 각각에, 유저 네트워크(12)를 통하여 배포한다(S404, S405, S406).
도 21은, 그룹 내 암호 통신 종료 처리(S50)에서의 암호 통신 시스템(10)의 상세한 동작의 일례를 도시하는 시퀀스도이다.
우선, 그룹 내 암호 통신을 실행 중인 통신 장치(50-1)의 통신 종료 요구부(506)는, 유저 네트워크(12)를 통하여, 통신 종료 요구를 세션 관리 서버(40)에 송신한다(S500). 통신 요구 전송부(406)는, 유저 네트워크(12)를 통하여 수신한 통신 종료 요구를, 관리 네트워크(11)를 통하여 통신 상태 관리 서버(30)에 전송한다(S501).
다음으로, 그룹 멤버 판정부(305)는, 수신한 통신 종료 요구에 포함되는 그룹 ID를 포함하는 그룹 멤버 취득 요구를 데이터베이스(20)에 송신한다(S502). 그리고, 데이터베이스 제어부(26)는, 상기 그룹 ID에 대응하는 그룹에 속하는 통신 장치(50)의 장치 ID를 그룹 멤버 정보 저장부(23)로부터 추출하고, 추출한 장치 ID를 포함하는 응답을 통신 상태 관리 서버(30)에 송신한다(S503). 그리고, 그룹 멤버 판정부(305)는, 데이터베이스(20)로부터 취득한 장치 ID 중에, 통신 종료 요구에 저장된 장치 ID가 포함되어 있는지의 여부를 판정한다(S504).
그리고, 키 정보 생성 지시부(301)는, 스텝 503에서 취득한 장치 ID를 포함하는 로그인 중 장치 ID 취득 요구를 데이터베이스(20)에 송신한다(S505). 그리고, 데이터베이스 제어부(26)는, 로그인 중 장치 ID 취득 요구에 포함되는 장치 ID 중에서, 네트워크 어드레스 저장부(21)에 네트워크 어드레스가 등록되어 있는 것을 추출하고, 추출한 장치 ID를 포함하는 응답을 통신 상태 관리 서버(30)에 송신한다(S506).
다음으로, 키 정보 삭제 지시부(302)는, 추출한 장치 ID를 포함하는 키 정보 삭제 지시를 생성하고, 생성한 키 정보 삭제 지시를 관리 네트워크(11)를 통하여 세션 관리 서버(40)에 송신한다(S507). 그리고, 키 정보 삭제 요구 송신부(407)는, 키 정보 삭제 지시에 포함되는 복수의 장치 ID로 특정되는 통신 장치(50)의 각각에, 키 정보 삭제 요구를 송신한다(S508, S509, S510). 키 정보 삭제 요구를 수신한 통신 장치(50-1), 통신 장치(50-2) 및 통신 장치(50-2)의 각각의 키 정보 취득부(502)는, 키 정보 삭제 요구에 해당하는 키 정보 저장부(505) 내의 저장하고 있는 키 정보를 삭제한다.
또한, 도 21의 그룹 내 암호 통신 종료 처리는, 통신 장치(50) 이외로부터, 요구할 수도 있다. 예를 들면, 본 암호 통신 시스템(10)의 관리자가, 통신 상태 관리 서버(30)로부터 그룹 내 암호 통신 중단을 요구할 수도 있다. 그 경우, 도 21에서의 S500과 S501이 생략되게 된다.
도 22는, 로그아웃 처리(S60)에서의 암호 통신 시스템(10)의 상세한 동작의 일례를 도시하는 시퀀스도이다.
우선, 통신 장치(50)의 통신 조건 삭제 요구부(507)는, 자통신 장치(50)의 장치 ID 및 네트워크 어드레스를 포함하는 통신 조건 삭제 요구를, 유저 네트워크(12)를 통하여 세션 관리 서버(40)에 송신한다(S600). 세션 관리 서버(40)의 통신 조건 삭제 요구 전송부(401)는, 수신한 통신 조건 삭제 요구를, 관리 네트워크(11)를 통하여 통신 상태 관리 서버(30)에 전송한다(S601).
다음으로, 통신 상태 관리 서버(30)의 통신 조건 삭제부(304)는, 수신한 통신 조건 삭제 요구에 포함되는 장치 ID를 포함하는 통신 조건 삭제 지시를, 관리 네트워크(11)를 통하여 데이터베이스(20)에 송신한다(S602). 그리고, 데이터베이스(20)의 데이터베이스 제어부(26)는, 수신한 통신 조건 삭제 지시에 포함되는 장치 ID에 대응하는 통신 조건을, 통신 조건 저장부(22)로부터 삭제하고, 삭제하였다는 취지를 포함하는 응답을 통신 상태 관리 서버(30)에 송신한다(S603). 그리고, 통신 조건 삭제부(304)는, 삭제한 통신 조건에 대응하는 장치 ID를 포함하는 삭제 완료 통지를, 세션 관리 서버(40)에 송신한다(S604).
다음으로, 세션 관리 서버(40)의 네트워크 어드레스 삭제부(403)는, 통신 조건 삭제 요구에 포함되는 네트워크 어드레스를 포함하는 네트워크 어드레스 삭제 요구를, 관리 네트워크(11)를 통하여, 데이터베이스(20)에 송신한다(S605). 그리고, 데이터베이스(20)의 데이터베이스 제어부(26)는, 수신한 네트워크 어드레스 삭제 요구에 포함되는 네트워크 어드레스를, 네트워크 어드레스 저장부(21)로부터 삭제하고, 삭제하였다는 취지를 포함하는 응답을 통신 상태 관리 서버(30)에 송신한다(S606). 그리고, 네트워크 어드레스 삭제부(403)는, 삭제 완료 통지를, 상기 통신 조건 삭제 요구를 송신해 온 통신 장치(50)에 송신한다(S607).
다음으로, 서버용 암호 통신부(503)는, 유저 네트워크(12)를 통하여 세션 관리 서버(40)에, 암호 통신로 삭제 요구를 송신한다(S608). 그리고, 세션 관리 서버(40)의 장치 인증부(409)는, 암호 통신로 삭제 요구에 대한 응답을, 그 암호 통신로 삭제 요구를 송신해 온 통신 장치(50)에 송신한다(S609). 그리고, 통신 장치(50)는, 세션 관리 서버(40)와 공유하고 있던 암호키를 파기하고(S610), 세션 관리 서버(40)는, 통신 장치(50)와 공유하고 있던 암호키를 삭제한다(S611).
상기 설명으로부터 분명한 바와 같이, 본 실시 형태의 암호 통신 시스템(10)에 의하면, 그룹 내의 암호 통신에 이용되는 키나 설정 정보를 배포함으로써 발생하는 트래픽을 보다 적게할 수 있다. 또한, 그룹 내 암호 통신에 이용되는 키 정보와 함께, 그룹에 속하고 있는 통신 장치(50)로서, 현재 로그인 중인 통신 장치(50)에 관한 정보가 배포되므로, 각각의 통신 장치(50)는, 그룹 내 암호 통신에 참가하고 있는 다른 통신 장치(50)를 인식할 수 있다.
또한, 본 발명은, 상기의 각 실시 형태에 한정되는 것이 아니라, 그 요지의 범위 내에서 수많은 변형이 가능하다.
예를 들면, 상기한 실시 형태에서는, 세션 관리 서버(40)와 상기 통신 장치(50) 사이에서 암호키가 공유된 후에, 세션 관리 서버(40)에 의해, 데이터베이스(20)의 네트워크 어드레스 저장부(21)에 상기 통신 장치(50)의 네트워크 어드레스가 등록됨과 함께, 통신 상태 관리 서버(30)를 통하여, 통신 조건 저장부(22)에 상기 통신 장치(50)의 통신 조건이 등록되는 것을 로그인의 일례로서 설명하였지만, 본 발명은 이에 한정되지 않는다.
로그인이란, 암호 통신 시스템(10)에 의해 제공되는 그룹 내 암호 통신 서비스에, 통신 장치(50)가 참가하는 것을 의미하면 된다. 예를 들면, 세션 관리 서버(40)에 의해, 데이터베이스(20)의 네트워크 어드레스 저장부(21)에 상기 통신 장치(50)의 네트워크 어드레스가 등록되는 것, 또는, 세션 관리 서버(40)에 의해, 통신 상태 관리 서버(30)를 통하여, 통신 조건 저장부(22)에 상기 통신 장치(50)의 통신 조건이 등록되는 것이 로그인으로 정의되어도 된다.
또한, 상기한 실시 형태에서는, 데이터베이스(20), 통신 상태 관리 서버(30) 및 세션 관리 서버(40)를 각각 독립한 장치로서 설명하였지만, 본 발명은 이에 한정되지 않고, 데이터베이스(20), 통신 상태 관리 서버(30) 및 세션 관리 서버(40)가 1대의 장치 내에서 실현되고 있어도 되며, 데이터베이스(20), 통신 상태 관리 서버(30) 및 세션 관리 서버(40)의 각각에 포함되는 각각의 기능이, 2대 이상의 장치의 각각에 분산되어 실현되고 있어도 된다.
또한, 상기한 실시 형태에서는, 네트워크 어드레스로서 IPv4를 예로 설명하였지만, 본 발명은 이에 한정되지 않고, IPv6에서도 마찬가지로 본 발명을 적용할 수 있다. 예를 들면, IPv4를 예로 설명한 상기의 실시 형태에서의 멀티캐스트 어드레스는, IPv6에서의 애니캐스트 어드레스에 대해서도 마찬가지로 적용할 수 있다.
또한, 상기한 실시 형태에서, 통신 상태 관리 서버(30)는, 통신 개시 요구를 수신한 경우에, 그 통신 개시 요구에 포함되는 그룹 ID에 기초하여, 데이터베이스(20) 내의 그룹 멤버 정보 저장부(23)를 참조하여, 그룹에 속하는 통신 장치(50)의 장치 ID를 취득하였지만, 본 발명은 이에 한정되지 않는다.
통신 상태 관리 서버(30)는, 예를 들면, 그룹 내 암호 통신을 행하는 네트워크의 네트워크 어드레스와, 그 그룹 내 암호 통신을 브로드캐스트에 의해 실행한다는 취지와, 통신 개시 요구의 송신원의 통신 장치(50)의 장치 ID를 포함하는 통신 개시 요구를 수신한 경우에, 상기 네트워크 어드레스에 속하는 통신 장치(50)의 장치 ID를, 데이터베이스(20)의 네트워크 어드레스 저장부(21)로부터 추출함으로써, 그룹 내 암호 통신의 대상으로 되는 통신 장치(50)의 장치 ID를 추출하도록 하여도 된다.
또한, 상기한 실시 형태에서, 암호 통신 시스템(10)은, 그룹 내 암호 통신을 행하는 그룹을 그룹 ID를 이용하여 관리하고 있으며, 각각의 통신 장치(50)에는, 그룹 내 암호 통신을 행하는 그룹의 그룹 ID가 미리 설정되어 있는 경우를 예로 설명하였지만, 본 발명은 이에 한정되지 않는다.
예를 들면, 관리 네트워크(11) 및 유저 네트워크(12)에 접속되는 이름 해석 서버가 설치되어, 그 이름 해석 서버가, 복수의 통신 장치(50)의 장치 ID를 포함하는 그룹 ID 취득 요구를, 유저 네트워크(12)를 통하여 통신 장치(50)로부터 수신한 경우에, 관리 네트워크(11)를 통하여 데이터베이스(20)의 그룹 멤버 정보 저장부(23)를 참조함으로써, 대응하는 그룹 ID를 취득하고, 취득한 그룹 ID를, 그 그룹 ID 취득 요구의 송신원의 통신 장치(50)에 송신하도록 하여도 된다.
또한, 상기의 이름 해석 서버는, 복수의 통신 장치(50)의 네트워크 어드레스를 포함하는 그룹 ID 취득 요구를, 유저 네트워크(12)를 통하여 통신 장치(50)로부터 수신한 경우에, 관리 네트워크(11)를 통하여 데이터베이스(20)의 네트워크 어드레스 저장부(21)와 그룹 멤버 정보 저장부(23)를 참조함으로써, 대응하는 그룹 ID를 취득하고, 취득한 그룹 ID를, 그 그룹 ID 취득 요구의 송신원의 통신 장치(50)에 송신하여도 된다.
또한, 상기의 이름 해석 서버는, 그룹 어드레스(예를 들면, 멀티캐스트 어드레스나 브로드캐스트 어드레스)를 포함하는 그룹 ID 취득 요구를, 유저 네트워 크(12)를 통하여 통신 장치(50)로부터 수신한 경우에, 관리 네트워크(11)를 통하여 데이터베이스(20)의 그룹 어드레스 저장부(24)를 참조함으로써, 대응하는 그룹 ID를 취득하고, 취득한 그룹 ID를, 그 그룹 ID 취득 요구의 송신원의 통신 장치(50)에 송신하여도 된다.
이와 같이, 각각의 통신 장치(50)는, 그룹 내 암호 통신을 행하는 복수의 통신 장치(50)의 장치 ID 또는 네트워크 어드레스를, 유저 네트워크(12)를 통하여 상기 이름 해석 서버에 문의함으로써, 그 그룹 내 암호 통신을 행하는 그룹의 그룹 ID를 취득할 수 있다. 이에 따라, 각각의 통신 장치(50)는, 그룹 ID를 미리 기억해 둘 필요가 없어진다. 또한, 암호 통신 시스템(10)은, 데이터베이스(20) 내의 그룹 멤버 정보 저장부(23)에서, 각각의 그룹에 속하는 통신 장치(50)의 관리를 일괄하여 행할 수 있으므로, 그룹 내의 통신 장치(50)의 추가나 삭제를 보다 유연하게 행할 수 있다.
또한, 상기한 이름 해석 서버가, 데이터베이스(20) 내의 그룹 멤버 정보 저장부(23)와는 별개로, 그룹 멤버 정보 저장부(23)를 갖고, 통신 장치(50)로부터의 그룹 ID 취득 요구에 대해, 자신이 저장하고 있는 그룹 멤버 정보 저장부(23)를 참조하여, 대응하는 그룹 ID를 답신하도록 하여도, 본 발명에서의 효과를 얻을 수 있는 것은 물론이다.
또한, 상기한 실시 형태에서, 세션 관리 서버(40)는, 통신 상태 관리 서버(30)로부터의 지시에 따라 생성한 키 정보를, 그 키 정보를 이용하여 그룹 내 암호 통신을 행하는 그룹에 속하는 통신 장치(50)로서, 현재 로그인 중인 통신 장 치(50)의 모두에 배포하지만, 본 발명은 이에 한정되지 않는다. 예를 들면, 도 19의 스텝 307에서, 통신 상태 관리 서버(30)로부터 키 정보 생성 지시(61)를 수신한 경우에, 세션 관리 서버(40)의 키 정보 생성부(402)는, 그 키 정보 생성 지시(61) 내의 장치 ID 일람(613)에 포함되는 각각의 장치 ID(6130)에 대해, 그 장치 ID(6130)에 대응하는 통신 장치(50)에, 이번 그룹 내 암호 통신에 참가하는지의 여부를 문의하도록 하여도 된다.
이 경우, 키 정보 생성부(402)는, 참가한다는 취지의 응답을 수신한 통신 장치(50)의 각각에 대해, 통신 조건 저장부(22)로부터 취득한 통신 조건에 기초하여 키 정보를 생성하고, 생성한 키 정보를 포함하고, 또한 참가한다는 취지의 응답을 수신한 통신 장치(50)의 장치 ID 일람 및 네트워크 어드레스 일람 등을 포함하는 배포 키 정보(62)를 생성한다. 그리고, 키 정보 생성부(402)는, 생성한 배포 키 정보(62)를, 그룹 내 암호 통신에 참가한다는 취지의 응답을 송신한 각각의 통신 장치(50)에 송신한다. 이에 따라, 암호 통신 시스템(10)은, 키 정보의 배포에 의해 발생하는 트래픽을 한층 더 줄일 수 있다.
또한, 키 정보 생성부(402)는, 키 정보의 재배포 지시를 통신 상태 관리 서버(30)로부터 수신한 경우에도, 그 키 정보 재배포 지시 내의 장치 ID 일람에 포함되는 각각의 장치 ID에 대해, 그 장치 ID에 대응하는 통신 장치(50)에, 그룹 내 암호 통신에 계속해서 참가하는지의 여부를 문의하도록 하여도 된다.
본 발명에 따르면, 그룹 내의 암호 통신에 이용되는 키나 설정 정보를 배포 함으로써 발생하는 트래픽을 보다 적게할 수 있는 암호 통신 시스템을 제공할 수 있다.

Claims (12)

  1. 세션 관리 서버에 의해 생성된 키 정보를 이용하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템으로서,
    각각의 상기 통신 장치에 관한 정보를 저장하는 데이터베이스와,
    상기 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버
    를 포함하고,
    상기 데이터베이스는,
    상기 통신 장치를 식별하는 장치 ID에 대응지어, 상기 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과,
    상기 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단
    을 갖고,
    상기 통신 상태 관리 서버는,
    그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 상기 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 수단과,
    상기 참가 장치 어드레스 저장 수단을 참조하여, 상기 그룹 멤버 추출 수단에 의해 추출된 장치 ID 중에서, 네트워크 어드레스에 대응지어 상기 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하고, 상기 세션 관리 서버에 출력함으로써, 상기 세션 관리 서버에, 상기 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 배포시키는 참가 장치 ID 추출 수단
    을 갖는 것을 특징으로 하는 암호 통신 시스템.
  2. 제1항에 있어서,
    상기 세션 관리 서버를 더 포함하고,
    상기 세션 관리 서버는,
    상기 통신 장치로부터, 상기 그룹 내 암호 통신에 참가한다는 취지를 통지받은 경우에, 그 통신 장치의 네트워크 어드레스를 참가 장치의 네트워크 어드레스로서, 장치 ID에 대응지어 상기 참가 장치 어드레스 저장 수단에 저장하는 참가 장치 등록 수단을 갖는 것을 특징으로 하는 암호 통신 시스템.
  3. 제2항에 있어서,
    상기 세션 관리 서버는,
    상기 통신 장치와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 통신 장치와 데이터를 송수신하는 암호 통신 수단을 더 갖고,
    상기 그룹 멤버 추출 수단은,
    상기 암호 통신로를 통하여, 상기 통신 장치로부터 상기 그룹 내 암호 통신 요구를 수신하고,
    상기 데이터베이스는,
    상기 참가 장치의 각각이 그룹 내 암호 통신에서 실행 가능한 1개 이상의 통신 조건을, 상기 장치 ID에 대응지어 저장하는 통신 조건 저장 수단을 더 갖고,
    상기 세션 관리 서버는,
    상기 참가 장치 ID 추출 수단으로부터 출력된 장치 ID를 수신하고, 수신한 장치 ID의 각각에 대응지어 있는 통신 조건을 상기 통신 조건 저장 수단으로부터 추출하고, 추출한 통신 조건 중에서 복수의 장치 ID에 공통의 통신 조건을 추출하고, 추출한 통신 조건에서 실행 가능한 그룹 내 암호 통신에 이용되는 키 정보를 생성하고, 생성한 키 정보를, 상기 참가 장치 ID 추출 수단으로부터 수신한 장치 ID에 대응하는 통신 장치의 각각에, 상기 암호 통신로를 통하여 송신하는 키 생성 배포 수단을 더 갖는 것을 특징으로 하는 암호 통신 시스템.
  4. 제3항에 있어서,
    상기 키 생성 배포 수단은,
    생성한 키 정보와 함께, 상기 참가 장치 ID 추출 수단으로부터 수신한 장치 ID의 일람을, 그 장치 ID에 대응하는 통신 장치의 각각에 더 배포하는 것을 특징으로 하는 암호 통신 시스템.
  5. 제3항에 있어서,
    상기 데이터베이스는,
    그룹에 대응하는 멀티캐스트 어드레스 또는 브로드캐스트 어드레스인 그룹 어드레스를 그 그룹의 그룹 ID에 대응지어 저장하는 그룹 어드레스 저장 수단을 더 포함하고,
    상기 그룹 멤버 추출 수단은,
    상기 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 기초하여 상기 그룹 어드레스 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹 어드레스를 더 추출하고,
    상기 참가 장치 ID 추출 수단은,
    추출한 장치 ID와 함께, 상기 그룹 멤버 추출 수단에 의해 추출된 그룹 어드레스를 더 출력하고,
    상기 키 생성 수단은,
    생성한 키 정보와 함께, 상기 참가 장치 ID 추출 수단으로부터 수신한 그룹 어드레스를, 대응하는 통신 장치의 각각에, 상기 암호 통신로를 통하여 송신하는 것을 특징으로 하는 암호 통신 시스템.
  6. 제1항에 있어서,
    상기 그룹 내 암호 통신 요구에는, 그 그룹 내 암호 통신 요구의 송신원의 통신 장치의 장치 ID가 더 포함되고,
    상기 그룹 멤버 추출 수단은,
    상기 그룹 멤버 정보 저장 수단을 참조하여, 수신한 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 속하는 통신 장치의 장치 ID 중에, 그 그룹 내 암호 통신 요구에 포함되는 장치 ID가 포함되어 있는 경우에, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 것을 특징으로 하는 암호 통신 시스템.
  7. 복수의 통신 장치로 구성되는 그룹 내의 암호 통신인 그룹 내 암호 통신을 실현하는 암호 통신 시스템으로서,
    각각의 상기 통신 장치에 관한 정보를 저장하는 데이터베이스와,
    상기 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버와,
    상기 그룹 내 암호 통신에 이용되는 키 정보를 생성하여 각각의 상기 통신 장치에 배포하는 세션 관리 서버와,
    복수의 통신 장치
    를 포함하고,
    상기 데이터베이스는,
    상기 통신 장치를 식별하는 장치 ID에 대응지어, 상기 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과,
    상기 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단과,
    상기 참가 장치의 각각이 그룹 내 암호 통신에서 실행 가능한 1개 이상의 통신 조건을, 상기 장치 ID에 대응지어 저장하는 통신 조건 저장 수단
    을 갖고,
    상기 통신 상태 관리 서버는,
    상기 세션 관리 서버를 통하여, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 상기 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 수단과,
    상기 참가 장치 어드레스 저장 수단을 참조하여, 상기 그룹 멤버 추출 수단에 의해 추출된 장치 ID 중에서, 네트워크 어드레스에 대응지어 상기 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여, 상기 세션 관리 서버에 출력하는 참가 장치 ID 추출 수단
    을 갖고,
    상기 세션 관리 서버는,
    상기 통신 장치와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 통신 장치와 데이터를 송수신하는 서버측 암호 통신 수단과,
    상기 통신 장치로부터, 상기 암호 통신로를 통하여, 상기 그룹 내 암호 통신에 참가한다는 취지를 통지받은 경우에, 그 통신 장치의 네트워크 어드레스를 참가 장치의 네트워크 어드레스로서, 장치 ID에 대응지어 상기 참가 장치 어드레스 저장 수단에 저장하는 참가 장치 등록 수단과,
    상기 참가 장치 ID 추출 수단으로부터 출력된 장치 ID를 수신하고, 수신한 장치 ID의 각각에 대응지어 있는 통신 조건을 상기 통신 조건 저장 수단으로부터 추출하고, 추출한 통신 조건 중에서 복수의 장치 ID에 공통의 통신 조건을 추출하고, 추출한 통신 조건에서 실행 가능한 그룹 내 암호 통신에 이용되는 상기 키 정보를 생성하고, 생성한 키 정보를, 상기 참가 장치 ID 추출 수단으로부터 수신한 장치 ID에 대응하는 통신 장치의 각각에, 상기 암호 통신로를 통하여 송신하는 키 생성 배포 수단
    을 갖고,
    상기 복수의 통신 장치의 각각은,
    상기 세션 관리 서버와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 세션 관리 서버와 데이터를 송수신하는 통신 장치측 암호 통신 수단과,
    상기 그룹 내 암호 통신을 개시하는 경우에, 상기 그룹 내 암호 통신 요구를, 상기 암호 통신로를 통하여 상기 세션 관리 서버에 송신하는 암호 통신 요구 수단과,
    상기 세션 관리 서버로부터, 상기 그룹 내 암호 통신 요구에 응답하여, 상기 키 정보를 상기 암호 통신로를 통하여 수신한 경우에, 그 키 정보를 이용하여 그룹 내의 다른 통신 장치와의 사이에서 그룹 내 암호 통신을 실행하는 그룹 내 암호 통 신 수단
    을 갖는 것을 특징으로 하는 암호 통신 시스템.
  8. 세션 관리 서버에 의해 생성된 키 정보를 이용하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템에서, 기억 장치에 저장된 정보를 이용하여 키 정보의 배포를 상기 세션 관리 서버에 지시하는 통신 상태 관리 서버로서,
    그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 상기 기억 장치를 참조하여, 상기 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하고 있는, 상기 기억 장치 내의 그룹 멤버 정보 저장 수단으로부터, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 수단과,
    상기 통신 장치를 식별하는 장치 ID에 대응지어, 상기 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하고 있는, 상기 기억 장치 내의 참가 장치 어드레스 저장 수단을 참조하여, 상기 그룹 멤버 추출 수단에 의해 추출된 장치 ID 중에서, 네트워크 어드레스에 대응지어 상기 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여 상기 세션 관리 서버에 출력함으로써, 상기 세션 관리 서버에, 상기 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 배포시키는 참가 장치 ID 추출 수단
    을 포함하는 것을 특징으로 하는 통신 상태 관리 서버.
  9. 세션 관리 서버에 의해 생성된 키 정보를 이용하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템에서의 암호 통신 방법으로서,
    상기 암호 통신 시스템은,
    각각의 상기 통신 장치에 관한 정보를 저장하는 데이터베이스와,
    상기 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버
    를 포함하고,
    상기 데이터베이스는,
    상기 통신 장치를 식별하는 장치 ID에 대응지어, 상기 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과,
    상기 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단을 갖고,
    상기 통신 상태 관리 서버는,
    그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 상기 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 스텝과,
    상기 참가 장치 어드레스 저장 수단을 참조하여, 상기 그룹 멤버 추출 스텝에서 추출한 장치 ID 중에서, 네트워크 어드레스에 대응지어 상기 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여 상기 세션 관리 서버에 출력함으로써, 상기 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 생성하여 배포시키는 참가 장치 ID 추출 스텝
    을 실행하는 것을 특징으로 하는 암호 통신 방법.
  10. 복수의 통신 장치로 구성되는 그룹 내의 암호 통신인 그룹 내 암호 통신을 실현하는 암호 통신 시스템에서의 암호 통신 방법으로서,
    상기 암호 통신 시스템은,
    각각의 상기 통신 장치에 관한 정보를 저장하는 데이터베이스와,
    상기 복수의 통신 장치에 의해 실행되는 그룹 내 암호 통신을 관리하는 통신 상태 관리 서버와,
    상기 그룹 내 암호 통신에 이용되는 키 정보를 생성하여 각각의 상기 통신 장치에 배포하는 세션 관리 서버와,
    복수의 통신 장치
    를 포함하고,
    상기 데이터베이스는,
    상기 통신 장치를 식별하는 장치 ID에 대응지어, 상기 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하는 참가 장치 어드레스 저장 수단과,
    상기 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하는 그룹 멤버 정보 저장 수단과,
    상기 참가 장치의 각각이 그룹 내 암호 통신에서 실행 가능한 1개 이상의 통신 조건을, 상기 장치 ID에 대응지어 저장하는 통신 조건 저장 수단
    을 갖고,
    상기 통신 상태 관리 서버는,
    상기 세션 관리 서버를 통하여, 그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 상기 그룹 멤버 정보 저장 수단을 참조하여, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 스텝과,
    상기 참가 장치 어드레스 저장 수단을 참조하여, 상기 그룹 멤버 추출 스텝에서 추출한 장치 ID 중에서, 네트워크 어드레스에 대응지어 상기 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여, 상기 세션 관리 서버에 출력하는 참가 장치 ID 추출 스텝
    을 행하고,
    상기 세션 관리 서버는,
    상기 통신 장치와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 통신 장치와 데이터를 송수신하는 서버측 암호 통신 스텝과,
    상기 통신 장치로부터, 상기 암호 통신로를 통하여, 상기 그룹 내 암호 통신에 참가한다는 취지를 통지받은 경우에, 그 통신 장치의 네트워크 어드레스를 참가 장치의 네트워크 어드레스로서, 장치 ID에 대응지어 상기 참가 장치 어드레스 저장 수단에 저장하는 참가 장치 등록 스텝과,
    상기 참가 장치 ID 추출 스텝에서 출력된 장치 ID를 수신하고, 수신한 장치 ID의 각각에 대응지어 있는 통신 조건을 상기 통신 조건 저장 수단으로부터 추출하고, 추출한 통신 조건 중에서 복수의 장치 ID에 공통의 통신 조건을 추출하고, 추출한 통신 조건에서 실행 가능한 그룹 내 암호 통신에 이용되는 상기 키 정보를 생성하고, 생성한 키 정보를, 상기 참가 장치 ID 추출 스텝에서 출력된 장치 ID에 대응하는 통신 장치의 각각에, 상기 암호 통신로를 통하여 송신하는 키 생성 배포 스텝
    을 행하고,
    상기 복수의 통신 장치의 각각은,
    상기 세션 관리 서버와의 사이에서 암호 통신로를 확립하고, 확립한 암호 통신로를 통하여, 그 세션 관리 서버와 데이터를 송수신하는 통신 장치측 암호 통신 스텝과,
    상기 그룹 내 암호 통신을 개시하는 경우에, 상기 그룹 내 암호 통신 요구를, 상기 암호 통신로를 통하여 상기 세션 관리 서버에 송신하는 암호 통신 요구 스텝과,
    상기 세션 관리 서버로부터, 상기 그룹 내 암호 통신 요구에 응답하여, 상기 키 정보를 상기 암호 통신로를 통하여 수신한 경우에, 그 키 정보를 이용하여 그룹 내의 다른 통신 장치와의 사이에서 그룹 내 암호 통신을 실행하는 그룹 내 암호 통신 스텝
    을 실행하는 것을 특징으로 하는 암호 통신 방법.
  11. 세션 관리 서버에 의해 생성된 키 정보를 이용하여, 복수의 통신 장치로 구성되는 그룹 내에서 행해지는 그룹 내 암호 통신을 실현하는 암호 통신 시스템에서, 기억 장치에 저장된 정보를 이용하여 키 정보의 생성을 상기 세션 관리 서버에 지시하는 통신 상태 관리 서버에서의 통신 상태 관리 방법으로서,
    상기 통신 상태 관리 서버는,
    그룹 ID를 포함하는 그룹 내 암호 통신 요구를 수신한 경우에, 그 그룹 ID에 기초하여 상기 기억 장치를 참조하여, 상기 복수의 통신 장치의 각각의 장치 ID를, 그 통신 장치가 속하는 그룹을 식별하는 그룹 ID에 대응지어 저장하고 있는, 상기 기억 장치 내의 그룹 멤버 정보 저장 수단으로부터, 그 그룹 ID에 대응하는 그룹에 속하는 통신 장치의 장치 ID를 추출하는 그룹 멤버 추출 스텝과,
    상기 통신 장치를 식별하는 장치 ID에 대응지어, 상기 그룹 내 암호 통신에 참가하고 있는 통신 장치인 참가 장치의 각각의 네트워크 어드레스를 저장하고 있는, 상기 기억 장치 내의 참가 장치 어드레스 저장 수단을 참조하여, 상기 그룹 멤버 추출 스텝에서 추출한 장치 ID 중에서, 네트워크 어드레스에 대응지어 상기 참가 장치 어드레스 저장 수단 내에 저장되어 있는 장치 ID를 추출하여 상기 세션 관 리 서버에 출력함으로써, 상기 세션 관리 서버에, 상기 그룹 내 암호 통신 요구에 포함되는 그룹 ID에 대응하는 그룹 내의 참가 장치의 각각에, 그 그룹 내에서의 그룹 내 암호 통신에 이용하는 키 정보를 배포시키는 참가 장치 ID 추출 스텝
    을 행하는 것을 특징으로 하는 통신 상태 관리 방법.
  12. 그룹에 소속하는 복수의 통신 장치 간에서 행해지는 암호 통신을 관리하는 암호 통신 시스템으로서,
    그룹에 소속하는 복수의 통신 장치의 리스트 및 상기 복수의 통신 장치의 각각이 그룹 내의 암호 통신에 참가하고 있는지의 여부를 나타내는 정보를 저장하는 데이터베이스와,
    상기 데이터베이스를 참조하여, 그룹에 소속하는 통신 장치 중에서, 그 그룹 내의 암호 통신에 참가하고 있는 통신 장치를 특정하는 참가 장치 특정 수단과,
    상기 특정된 통신 장치에 의해 행해지는 암호 통신용의 키를 생성하여 그 특정된 통신 장치에 배부하는 키 배포 수단
    을 포함하는 것을 특징으로 하는 암호 통신 시스템.
KR1020070019774A 2006-02-28 2007-02-27 암호 통신 시스템, 통신 상태 관리 서버, 암호 통신 방법및 통신 상태 관리 방법 KR100821435B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2006052361A JP4823717B2 (ja) 2006-02-28 2006-02-28 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法
JPJP-P-2006-00052361 2006-02-28

Publications (2)

Publication Number Publication Date
KR20070089628A KR20070089628A (ko) 2007-08-31
KR100821435B1 true KR100821435B1 (ko) 2008-04-11

Family

ID=38072135

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070019774A KR100821435B1 (ko) 2006-02-28 2007-02-27 암호 통신 시스템, 통신 상태 관리 서버, 암호 통신 방법및 통신 상태 관리 방법

Country Status (7)

Country Link
US (1) US8218769B2 (ko)
EP (1) EP1826984A1 (ko)
JP (1) JP4823717B2 (ko)
KR (1) KR100821435B1 (ko)
CN (1) CN100596064C (ko)
CA (1) CA2579935C (ko)
TW (1) TWI326547B (ko)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060095786A1 (en) * 2004-11-01 2006-05-04 Aaron Jeffrey A Communication networks and methods and computer program products for preventing tracking of network activity thereon through use of identity pseudonym domains
JP4966135B2 (ja) * 2007-08-31 2012-07-04 株式会社東芝 サーバ装置、端末装置、通信制御方法および通信制御プログラム
CN101141710B (zh) * 2007-10-15 2011-05-25 中兴通讯股份有限公司 集群调度系统及其密钥遥毁方法
DE102007000589B9 (de) * 2007-10-29 2010-01-28 Bundesdruckerei Gmbh Verfahren zum Schutz einer Chipkarte gegen unberechtigte Benutzung, Chipkarte und Chipkarten-Terminal
FI20075776L (fi) * 2007-10-31 2009-05-01 Eads Secure Networks Oy Päästä-päähän salattu viestintä
US8908870B2 (en) * 2007-11-01 2014-12-09 Infineon Technologies Ag Method and system for transferring information to a device
US8627079B2 (en) 2007-11-01 2014-01-07 Infineon Technologies Ag Method and system for controlling a device
EP2068565A1 (fr) * 2007-12-07 2009-06-10 Gemplus Module d'identité d'abonné et serveur de diffusion associé, adaptés pour gérer des programmes d'une durée non déterminée
US8422680B2 (en) * 2008-02-13 2013-04-16 Motorola Solutions, Inc. Method for validating encrypted communications via selection and comparison of source transmitter and destination receiver associated encryption keys
DE102008018001A1 (de) * 2008-04-09 2009-10-22 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Übertragung von Nachrichten in Echtzeit
US8401195B2 (en) * 2008-09-22 2013-03-19 Motorola Solutions, Inc. Method of automatically populating a list of managed secure communications group members
JP5222081B2 (ja) * 2008-09-24 2013-06-26 キヤノン株式会社 通信装置、通信装置の制御方法、コンピュータプログラム、記憶媒体
CN101729248B (zh) * 2008-11-03 2013-01-09 华为技术有限公司 密钥管理、密钥验证的方法及装置
US20100166182A1 (en) * 2008-12-31 2010-07-01 Verizon Data Services, Llc Method and system for securing voice over internet protocol transmissions
US8462942B2 (en) * 2008-12-31 2013-06-11 Verizon Patent And Licensing Inc. Method and system for securing packetized voice transmissions
US8983066B2 (en) * 2009-02-27 2015-03-17 Cisco Technology, Inc. Private pairwise key management for groups
US8548171B2 (en) * 2009-02-27 2013-10-01 Cisco Technology, Inc. Pair-wise keying for tunneled virtual private networks
US20110051913A1 (en) * 2009-09-03 2011-03-03 John Larsen Kesler Method and System for Consolidating Communication
EP2369808A1 (en) * 2010-03-22 2011-09-28 Thomson Telecom Belgium Method of securing access to data or a service that is accessible via a device implementing the method and corresponding device
JP5581141B2 (ja) * 2010-07-29 2014-08-27 株式会社Pfu 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
US9141780B2 (en) * 2010-11-22 2015-09-22 Smsc Holdings S.A.R.L. Method and system for authenticating communication
US9788348B2 (en) * 2011-05-10 2017-10-10 Google Technology Holdings LLC Method and apparatus for providing wireless service to a collective of remote units by a wireless local area network
US9009302B2 (en) * 2012-02-21 2015-04-14 Cisco Technology, Inc. Dynamic group creation and traffic flow registration under a group in a group key infrastructure
JP5634427B2 (ja) * 2012-03-23 2014-12-03 株式会社東芝 鍵生成装置、鍵生成方法およびプログラム
JP5813872B2 (ja) * 2012-07-13 2015-11-17 株式会社東芝 通信制御装置、通信装置およびプログラム
US20140082364A1 (en) * 2012-09-18 2014-03-20 Tommaso Cucinotta Collaborative Uses of a Cloud Computing Confidential Domain of Execution
EP3110066B1 (en) * 2014-02-18 2018-06-27 Panasonic Intellectual Property Corporation of America Authentication method and authentication system
JP6265783B2 (ja) * 2014-03-06 2018-01-24 キヤノン株式会社 暗号化/復号化システム及びその制御方法、並びにプログラム
EP3040898A1 (en) * 2014-12-31 2016-07-06 Gemalto Sa System and method for obfuscating an identifier to protect the identifier from impermissible appropriation
JP6259402B2 (ja) * 2015-01-21 2018-01-10 日本電信電話株式会社 鍵配送管理装置、端末装置、鍵配送システム、およびプログラム
US10075447B2 (en) * 2015-03-04 2018-09-11 Neone, Inc. Secure distributed device-to-device network
US10230696B2 (en) * 2015-06-09 2019-03-12 Intel Corporation System, apparatus and method for managing lifecycle of secure publish-subscribe system
US10154020B1 (en) * 2015-07-08 2018-12-11 Clevx, Llc Referral identity system and method of operation thereof
US9590956B1 (en) 2015-12-18 2017-03-07 Wickr Inc. Decentralized authoritative messaging
US9596079B1 (en) * 2016-04-14 2017-03-14 Wickr Inc. Secure telecommunications
JP6534777B2 (ja) * 2016-06-20 2019-06-26 日本電信電話株式会社 端末装置、鍵配送管理装置、サーバ・クライアントシステム、通信方法、プログラム
US10255369B2 (en) * 2016-07-20 2019-04-09 Oath Inc. Device identification for multiple device IDS
US10346191B2 (en) * 2016-12-02 2019-07-09 Wmware, Inc. System and method for managing size of clusters in a computing environment
GB201703562D0 (en) * 2017-03-06 2017-04-19 Nchain Holdings Ltd Computer-implemented system and method
TWI686072B (zh) * 2017-08-04 2020-02-21 財團法人資訊工業策進會 傳輸裝置及其傳輸資料保護方法
JP7170477B2 (ja) * 2018-09-18 2022-11-14 株式会社東芝 情報処理システム
US10645576B1 (en) * 2018-12-20 2020-05-05 Landis+Gyr Innovations, Inc. Secure peer-to-peer communication over wireless mesh networks
JP7163835B2 (ja) * 2019-03-19 2022-11-01 株式会社Jvcケンウッド 無線機、無線機の制御方法、及び、無線機の制御プログラム
CA3135046C (en) * 2019-04-23 2022-10-04 Quantropi Inc. Enhanced randomness for digital systems
EP3910900A1 (de) * 2020-05-13 2021-11-17 Siemens Aktiengesellschaft Verfahren, computerprogrammprodukt und computerlesbares medium zum absichern eines übermittelns von daten zwischen mindestens zwei geräten
CN112422277B (zh) * 2020-11-04 2022-03-25 郑州信大捷安信息技术股份有限公司 差动保护组内差动单元之间加密数据传输系统及方法
CN112511299B (zh) * 2020-12-14 2023-09-15 深圳数字电视国家工程实验室股份有限公司 接口数据传输方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000286831A (ja) 1999-04-01 2000-10-13 Nippon Telegr & Teleph Corp <Ntt> 鍵リカバリ権限管理方法、その装置及びプログラム記録媒体
US6363154B1 (en) 1998-10-28 2002-03-26 International Business Machines Corporation Decentralized systems methods and computer program products for sending secure messages among a group of nodes
US20020154781A1 (en) 2001-02-16 2002-10-24 Sowa Hans Christopher Method and apparatus for storing and distributing encryption keys
KR20040000713A (ko) * 2002-06-25 2004-01-07 주식회사 케이티 인터넷 도메인 정보를 이용한 사용자 인증 처리 장치 및그 방법
US20040044891A1 (en) 2002-09-04 2004-03-04 Secure Computing Corporation System and method for secure group communications
KR20060055265A (ko) * 2004-11-18 2006-05-23 삼성전자주식회사 홈 네트워크에서의 세션 키 수신 방법 및 이를 이용한콘텐츠 재생 방법

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999037052A1 (en) 1998-01-19 1999-07-22 Terence Edward Sumner Method and apparatus for conveying a private message to selected members
US6195751B1 (en) * 1998-01-20 2001-02-27 Sun Microsystems, Inc. Efficient, secure multicasting with minimal knowledge
JP2000106552A (ja) * 1998-09-29 2000-04-11 Hitachi Ltd 認証方法
US6848104B1 (en) * 1998-12-21 2005-01-25 Koninklijke Philips Electronics N.V. Clustering of task-associated objects for effecting tasks among a system and its environmental devices
JP2000270007A (ja) * 1999-03-12 2000-09-29 Sony Corp ネットワークシステム、ネットワークサーバ及び端末装置
US7269728B1 (en) * 1999-09-21 2007-09-11 Nortel Networks Limited Apparatus and method for distributing management keys in a multicast domain
CA2379476C (en) 2000-06-15 2009-11-10 Sony Corporation System and method for processing information using encryption key block
US20050149759A1 (en) * 2000-06-15 2005-07-07 Movemoney, Inc. User/product authentication and piracy management system
DE10033729A1 (de) * 2000-07-12 2002-01-24 Siemens Ag Verfahren zur Informationsübermittlung
US6981138B2 (en) * 2001-03-26 2005-12-27 Microsoft Corporation Encrypted key cache
US6788946B2 (en) * 2001-04-12 2004-09-07 Qualcomm Inc Systems and methods for delivering information within a group communications system
US7082200B2 (en) * 2001-09-06 2006-07-25 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
US6965883B2 (en) * 2002-02-20 2005-11-15 Nokia Corporation Charging mechanism for multicasting
JP2004023237A (ja) * 2002-06-13 2004-01-22 Mitsubishi Electric Corp 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム
US7400732B2 (en) * 2002-07-25 2008-07-15 Xerox Corporation Systems and methods for non-interactive session key distribution with revocation
US7599496B2 (en) * 2002-08-27 2009-10-06 Pine Valley Investments, Inc. Secure encryption key distribution
JP4599852B2 (ja) * 2004-02-23 2010-12-15 ソニー株式会社 データ通信装置および方法、並びにプログラム
JP3761557B2 (ja) * 2004-04-08 2006-03-29 株式会社日立製作所 暗号化通信のための鍵配付方法及びシステム
EP1745587A1 (en) * 2004-05-12 2007-01-24 Telefonaktiebolaget LM Ericsson (publ) Key management messages for secure broadcast
US20060029093A1 (en) * 2004-08-09 2006-02-09 Cedric Van Rossum Multimedia system over electronic network and method of use
JP4690420B2 (ja) * 2004-11-16 2011-06-01 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 情報への選択的アクセスのためのシステムにおける改善された鍵配信
US8069470B1 (en) * 2005-04-13 2011-11-29 Oracle America, Inc. Identity and authentication in a wireless network
US7660797B2 (en) * 2005-05-27 2010-02-09 Microsoft Corporation Scanning data in an access restricted file for malware
JP4552785B2 (ja) 2005-07-11 2010-09-29 株式会社日立製作所 暗号化通信管理サーバ
US20070123287A1 (en) * 2005-11-30 2007-05-31 Motorola, Inc. Method and apparatus for providing the status of a wireless communication device in a group network to other members in the group network
US8364711B2 (en) * 2006-05-09 2013-01-29 John Wilkins Contact management system and method
US20090034738A1 (en) * 2007-07-31 2009-02-05 Charles Rodney Starrett Method and apparatus for securing layer 2 networks

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6363154B1 (en) 1998-10-28 2002-03-26 International Business Machines Corporation Decentralized systems methods and computer program products for sending secure messages among a group of nodes
JP2000286831A (ja) 1999-04-01 2000-10-13 Nippon Telegr & Teleph Corp <Ntt> 鍵リカバリ権限管理方法、その装置及びプログラム記録媒体
US20020154781A1 (en) 2001-02-16 2002-10-24 Sowa Hans Christopher Method and apparatus for storing and distributing encryption keys
KR20040000713A (ko) * 2002-06-25 2004-01-07 주식회사 케이티 인터넷 도메인 정보를 이용한 사용자 인증 처리 장치 및그 방법
US20040044891A1 (en) 2002-09-04 2004-03-04 Secure Computing Corporation System and method for secure group communications
KR20060055265A (ko) * 2004-11-18 2006-05-23 삼성전자주식회사 홈 네트워크에서의 세션 키 수신 방법 및 이를 이용한콘텐츠 재생 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
EPO 조사보고서

Also Published As

Publication number Publication date
JP4823717B2 (ja) 2011-11-24
KR20070089628A (ko) 2007-08-31
CN100596064C (zh) 2010-03-24
TW200737891A (en) 2007-10-01
TWI326547B (en) 2010-06-21
US20070274525A1 (en) 2007-11-29
CA2579935C (en) 2011-10-18
CN101030851A (zh) 2007-09-05
US8218769B2 (en) 2012-07-10
EP1826984A1 (en) 2007-08-29
JP2007235348A (ja) 2007-09-13
CA2579935A1 (en) 2007-08-28

Similar Documents

Publication Publication Date Title
KR100821435B1 (ko) 암호 통신 시스템, 통신 상태 관리 서버, 암호 통신 방법및 통신 상태 관리 방법
EP1335563B1 (en) Method for securing communication over a network medium
US20220006627A1 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
US7076654B2 (en) Multicast system, authentication server terminal, multicast receiver terminal controlling method, and storage medium
US8750507B2 (en) Dynamic group creation for managed key servers
KR101528855B1 (ko) 홈 네트워크에서 인증 정보를 관리하는 방법 및 그 장치
US7957320B2 (en) Method for changing a group key in a group of network elements in a network system
US20140195801A1 (en) Method and system for encryption of messages in land mobile radio systems
US20190140825A1 (en) Managing private key access in multiple nodes
KR101253352B1 (ko) 무선 분산 시스템의 단말 인증 방법
CN102447679B (zh) 一种保障对等网络数据安全的方法及系统
JP2009010470A (ja) 端末装置、グループ管理サーバ、ネットワーク通信システム、並びに暗号化鍵生成方法
Lam et al. Securing SDN southbound and data plane communication with IBC
US7751569B2 (en) Group admission control apparatus and methods
US8464055B2 (en) Method and apparatus of ensuring security of communication in home network
Heimgaertner et al. A security architecture for the publish/subscribe C-DAX middleware
JP2004242210A (ja) マルチキャスト配信システム及びその方法並びにデータ中継装置、クライアント装置、認証・鍵管理装置
JP2004318582A (ja) ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム
KR100660385B1 (ko) 오버레이 멀티캐스트 보안을 위한 구간별 키 관리 방법
KR101022788B1 (ko) 그룹기반 공개키 기반 구조의 데이터 보안 장치 및 방법
WO2000038392A2 (en) Apparatus and method for distributing authentication keys to network devices in a multicast
JP2001148694A (ja) 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
KR101215802B1 (ko) 피투피 네트워크에 있어서 컨텐츠 서비스 제공 방법
JP2010004379A (ja) 鍵管理方法及び鍵管理装置
KR101275830B1 (ko) 그룹키 관리 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130321

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140320

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee