WO2019026776A1

WO2019026776A1 - 暗号化通信装置、暗号化通信システム、暗号化通信方法、およびプログラム

Info

Publication number: WO2019026776A1
Application number: PCT/JP2018/028183
Authority: WO
Inventors: 麗生吉田; 鉄太郎小林; 祐人川原; 具英山本; 奥山　浩伸
Original assignee: 日本電信電話株式会社
Priority date: 2017-08-02
Filing date: 2018-07-27
Publication date: 2019-02-07
Also published as: US20210091946A1; US11388001B2; EP3664364A1; JP6911923B2; KR20200016990A; EP3664364A4; JPWO2019026776A1; CN110999208A

Abstract

鍵交換完了通知が遅延したとしても暗号化通信を正しく復号する。鍵記憶部（１０）は、他の暗号化通信装置と共有する少なくとも１個の共通鍵を記憶する。鍵選択部（１１）は、鍵記憶部（１０）に記憶された共通鍵から暗号化鍵を選択する。暗号化部（１２）は、暗号化鍵を用いて他の暗号化通信装置へ送信するデータを暗号化して暗号化データを生成する。送信部（１３）は、暗号化鍵を一意に特定する鍵インデックスを暗号化データへ付加して他の暗号化通信装置へ送信する。受信部（１４）は、他の暗号化通信装置から鍵インデックスが付加された暗号化データを受信する。鍵取得部（１５）は、鍵記憶部（１０）に記憶された共通鍵から暗号化データに付加された鍵インデックスに対応する復号鍵を取得する。復号部（１６）は、復号鍵を用いて暗号化データを復号する。

Description

暗号化通信装置、暗号化通信システム、暗号化通信方法、およびプログラム

　この発明は、情報通信技術に関し、特に、暗号化通信において共通鍵の利用タイミングを同期する技術に関する。

　例えば、SIP（Session Description Protocol）やRTP（Real-time Transport Protocol）、TLS（Transport Layer Security）などの暗号化通信では、暗号化に用いる共通鍵を、鍵交換が完了したことを示すACKメッセージやFinishedメッセージ（以下、「鍵交換完了通知」と呼ぶ）を送受信した直後から利用可能としている。SIPについては非特許文献１に、RTPについては非特許文献２に、TLSについては非特許文献３に、それぞれ詳細が記載されている。

　例えば、IP電話における暗号化では、多者間鍵交換技術によって、通信を行う端末間で鍵交換が完了したことを保証するため、端末APIの戻り値としてVoIP（Voice over Internet Protocol）レイヤへ鍵交換の完了を通知している。これによって、VoIPの1セッション内で高頻度に鍵を交換したとしても、通話が途切れることなく、音声を再生することが可能となっている。

"Session Description Protocol (SDP)"、［online］、［平成29年7月18日検索］、インターネット<URL: https://tools.ietf.org/html/rfc4568> "ZRTP: Media Path Key Agreement for Unicast Secure RTP"、［online］、［平成29年7月18日検索］、インターネット<URL: https://tools.ietf.org/html/rfc6189> "The Transport Layer Security (TLS) Protocol"、［online］、［平成29年7月18日検索］、インターネット<URL: https://tools.ietf.org/html/rfc5246>

　しかしながら、ベストエフォートであるネットワークでは、優先制御等によって下位レイヤの通信帯域が十分に確保できず、鍵交換完了通知よりも、暗号化通信が先に到達することがある。この場合、共通鍵の交換が完了しているにも関わらず、その共通鍵を利用することができないため、暗号化通信を正しく復号できない。例えば、モバイルネットワークにおいて、通信帯域が100kbpsを下回るMVNO（Mobile Virtual Network Operator）ネットワークを用いた場合、サーバから各端末へ返却される鍵交換完了通知の受信タイミングが端末によってずれることがあり、一時的に音声が正しく復号できない事象が発生することが判明している。

　この発明の目的は、上記のような点に鑑みて、鍵交換完了通知が遅延したとしても暗号化通信を正しく復号することができる暗号化通信技術を実現することである。

　上記の課題を解決するために、この発明の暗号化通信装置は、他の暗号化通信装置と共有する少なくとも１個の共通鍵を記憶する鍵記憶部と、鍵記憶部に記憶された共通鍵から暗号化鍵を選択する鍵選択部と、暗号化鍵を用いて他の暗号化通信装置へ送信するデータを暗号化して暗号化データを生成する暗号化部と、暗号化鍵を一意に特定する鍵インデックスを暗号化データへ付加して他の暗号化通信装置へ送信する送信部と、他の暗号化通信装置から鍵インデックスが付加された暗号化データを受信する受信部と、鍵記憶部に記憶された共通鍵から暗号化データに付加された鍵インデックスに対応する復号鍵を取得する鍵取得部と、復号鍵を用いて暗号化データを復号する復号部と、を含む。

　この発明の暗号化通信技術によれば、鍵交換完了通知が遅延したとしても暗号化通信を正しく復号することができる。

図１は、従来の暗号化通信技術を説明するための図である。図２は、本発明の暗号化通信技術を説明するための図である。図３は、暗号化通信システムの機能構成を例示する図である。図４は、暗号化通信装置の機能構成を例示する図である。図５は、暗号化通信方法の処理手続きを例示する図である。

　図１に、従来の暗号化通信技術における共通鍵の利用方法を示す。図１の例では、二台の暗号化通信装置の間で鍵Ａと鍵Ｂとを交換し、鍵Ａについては鍵交換完了通知を受信したが、鍵Ｂについては鍵交換完了通知を受信していない状況を示している。この状況で、送信側の暗号化通信装置が鍵Ｂを用いて暗号化してしまうと、受信側の暗号化通信装置は鍵Ｂを利用できないため、暗号化通信を正しく復号することができない。

　本発明では、暗号化通信の送信時に、暗号化に用いた共通鍵を一意に特定する鍵インデックスを暗号化データに付加して送信し、暗号化通信の受信時には、鍵インデックスに対応する共通鍵を取得して受信した暗号化データを復号する。図２に、本発明の暗号化通信技術における共通鍵の利用方法を示す。図２の例では、暗号化通信装置が共通鍵と鍵インデックスとを関連付けた鍵データベースを保持しており、送信側の暗号化通信装置が暗号化に用いた鍵Ｂに対応する鍵インデックス（＝２）を受信側の暗号化通信装置へ送信している。受信側の暗号化通信装置は、鍵Ｂについては鍵利用完了通知を受信できていないが、鍵インデックスをキーとして鍵データベースから鍵Ｂを取得することができるため、鍵Ｂを用いて暗号化データを正しく復号することが可能である。

　図２の例では、鍵インデックスを鍵交換と同じタイミングで共有することによりデータベース化することを想定しているが、鍵インデックスは共通鍵を一意に特定できるものであればよいため、このような形態に限定されない。例えば、送信側の暗号化通信装置と復号側の暗号化通信装置で共通の一方向性関数を備えておき、送信時には暗号化に用いた共通鍵を一方向性関数に入力したときの出力を鍵インデックスとして暗号化データに付加して送信し、受信時には暗号化通信装置が保持している共通鍵を一方向性関数に入力したときの出力と受信した鍵インデックスとが等しい共通鍵を取得して暗号化データを復号するように構成してもよい。二台の暗号化通信装置の間で鍵交換を行う場合には、一方の暗号化通信装置が鍵インデックスを生成して他方の暗号化通信装置へ送信することで鍵インデックスを共有することができる。暗号化通信装置とは別の鍵管理サーバが共通鍵を生成して各暗号化通信装置へ配布することで鍵交換を行う場合には、鍵管理サーバが鍵インデックスを生成して共通鍵と共に各暗号化通信装置へ配布することで鍵インデックスを共有することができる。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　［第一実施形態］
　第一実施形態の暗号化通信システムは、図３に示すように、複数の暗号化通信装置１を含む。図３では、二台の暗号化通信装置１₁, １₂が存在する例を示したが、暗号化通信装置１の台数は二台以上であれば何台存在してもよい。以降の説明では、暗号化通信装置１₁がデータを暗号化して暗号化データを送信し、暗号化通信装置１₂が受信した暗号化データを復号するものとする。この実施形態では、暗号化通信装置１₁および暗号化通信装置１₂はそれぞれ通信網２へ接続される。通信網２は、接続される各装置が相互に一対一で通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網２を介してオンラインで通信可能である必要はない。例えば、暗号化通信装置１₁が出力する情報を磁気テープやUSB（Universal Serial Bus）メモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から暗号化通信装置１₂へオフラインで入力するように構成してもよい。

　暗号化通信システムに含まれる暗号化通信装置１_i（i=1, 2）は、図４に示すように、鍵記憶部１０_i、鍵選択部１１_i、暗号化部１２_i、送信部１３_i、受信部１４_i、鍵取得部１５_i、および復号部１６_iを備える。二台の暗号化通信装置１₁, １₂が連携して図５に示す各ステップの処理を行うことにより、第一実施形態の暗号化通信方法が実現される。

　暗号化通信装置１_iは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。暗号化通信装置１_iは、例えば、中央演算処理装置の制御のもとで各処理を実行する。暗号化通信装置１に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。暗号化通信装置１_iが備える各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。暗号化通信装置１_iが備える各記憶部は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。

　以下、図５を参照して、第一実施形態の暗号化通信システムが実行する暗号化通信方法について説明する。

　送信側の暗号化通信装置１₁が備える鍵記憶部１０₁には、受信側の暗号化通信装置１₂と共有する少なくとも１個の共通鍵と、各共通鍵を一意に特定する鍵インデックスとが関連付けて記憶されている。受信側の暗号化通信装置１₂が備える鍵記憶部１０₂には、送信側の暗号化通信装置１₁と共有する少なくとも１個の共通鍵と、各共通鍵を一意に特定する鍵インデックスとが関連付けて記憶されている。ここで、「一意に特定する」とは、各鍵記憶部１０_i内で一意という意味ではなく、暗号化通信システム全体において一意に特定できることを表している。すなわち、鍵記憶部１０₁に記憶される共通鍵Ａの鍵インデックスが１であり、共通鍵Ｂの鍵インデックスが２であった場合、鍵記憶部１０₂に記憶される共通鍵Ａの鍵インデックスも１であり、共通鍵Ｂの鍵インデックスも２となる。暗号化通信装置１_i（i=1, 2）が他の暗号化通信装置１_j（j=1, 2かつi≠j）とも通信する場合には、通信相手となる暗号化通信装置１_jそれぞれについて、その暗号化通信装置１_jと共有する少なくとも１個の共通鍵と、各共通鍵を一意に特定する鍵インデックスとを関連付けて記憶しておけばよい。暗号化通信装置１₁と暗号化通信装置１₂とで共通鍵を共有する方法は、従来の鍵交換技術を用いればよい。

　ステップＳ１１において、暗号化通信装置１₁が備える鍵選択部１１₁は、鍵記憶部１０₁に記憶された共通鍵から暗号化に用いる１個の共通鍵を選択し、選択した共通鍵とその共通鍵に関連付けられた鍵インデックスとを鍵記憶部１０₁から取得する。以下、選択された共通鍵を「暗号化鍵」と呼ぶ。このとき、鍵選択部１１₁は、鍵記憶部１０₁に記憶された共通鍵のうち鍵交換完了通知を受け取っていない共通鍵を選択しても構わない。鍵選択部１１₁は選択した暗号化鍵と鍵インデックスとの組を暗号化部１２₁へ出力する。

　ステップＳ１２において、暗号化通信装置１₁が備える暗号化部１２₁は、鍵選択部１１₁から暗号化鍵と鍵インデックスとの組を受け取り、その暗号化鍵を用いて暗号化通信装置１₂へ送信するデータを暗号化する。暗号化部１２₁が用いる暗号化方式は、送信するデータに対応する通信プロトコルで定められた従来の暗号化方式を用いればよい。以下、暗号化されたデータを「暗号化データ」と呼ぶ。暗号化部１２₁は生成した暗号化データと鍵インデックスとの組を送信部１３₁へ出力する。

　ステップＳ１３において、暗号化通信装置１₁が備える送信部１３₁は、暗号化部１２₁から暗号化データと鍵インデックスとの組を受け取り、その鍵インデックスを暗号化データへ付加して暗号化通信装置１₂へ送信する。

　ステップＳ１４において、暗号化通信装置１₂が備える受信部１４₂は、暗号化通信装置１₁から鍵インデックスが付加された暗号化データを受信する。この鍵インデックスは暗号化データを暗号化した際に用いた暗号化鍵に対応する鍵インデックスであり、暗号化通信装置１₂が備える鍵記憶部１０₂に記憶された共通鍵のいずれかに対応する鍵インデックスである。受信部１４₂は受信した鍵インデックスを鍵取得部１５₂へ出力し、受信した暗号化データを復号部１６₂へ出力する。

　ステップＳ１５において、暗号化通信装置１₂が備える鍵取得部１５₂は、受信部１４₂から鍵インデックスを受け取り、暗号化通信装置１₂が備える鍵記憶部１０₂からその鍵インデックスに関連付けられた共通鍵を検索して取得する。以下、取得された共通鍵を「復号鍵」と呼ぶ。ただし、暗号化鍵と復号鍵とは同一の鍵インデックスに関連付けられているため、同一の共通鍵となることは言うまでもない。鍵取得部１５₂は取得した復号鍵を復号部１６₂へ出力する。

　ステップＳ１６において、暗号化通信装置１₂が備える復号部１６₂は、鍵取得部１５₂から復号鍵を受け取り、その復号鍵を用いて受信部１４₂から受け取った暗号化データを復号する。復号部１６₂が用いる復号方式は、暗号化部１２₁が用いた暗号化方式に対応する復号方式とする。

　上記のように構成することにより、実施形態の暗号化通信システムは、暗号化データに暗号化に用いた共通鍵に対応する鍵インデックスを付加して送信するため、鍵交換完了通知を受信していない共通鍵であっても、鍵交換自体が完了していれば、暗号化および復号に用いることができる。したがって、例えばネットワークの優先制御などの影響により鍵交換完了通知が遅延し、暗号化データが先に到着したとしても、その暗号化データを正しく復号することができる。

　［第二実施形態］
　第一実施形態では、あらかじめ各共通鍵を一意に特定する鍵インデックスを関連付けて鍵記憶部１０_iに記憶しておく構成を説明した。第二実施形態の暗号化通信システムでは、各暗号化通信装置の間で共有する一方向性関数を用いて都度鍵インデックスを生成する構成とする。以下、第二実施形態の暗号化通信システムと第一実施形態の暗号化通信システムとの相違点を中心に説明する。

　第二実施形態の暗号化通信装置１₁が備える鍵記憶部１０₁には、受信側の暗号化通信装置１₂と共有する少なくとも１個の共通鍵と、第二実施形態の暗号化通信装置１₂と共有する一方向性関数が記憶されている。第二実施形態の暗号化通信装置１₂が備える鍵記憶部１０₂には、送信側の暗号化通信装置１₁と共有する少なくとも１個の共通鍵と、第二実施形態の暗号化通信装置１₁と共有する一方向性関数が記憶されている。この一方向性関数は、例えば、SHA-256などのハッシュ関数を用いることができる。

　ステップＳ１１において、暗号化通信装置１₁が備える鍵選択部１１₁は、鍵記憶部１０₁に記憶された共通鍵から暗号化に用いる１個の暗号化鍵を選択し、選択した暗号化鍵を鍵記憶部１０₁から取得する。また、鍵選択部１１₁は、取得した暗号化鍵を鍵記憶部１０₁に記憶された一方向性関数に入力したときの出力を鍵インデックスとして生成する。鍵選択部１１₁は選択した暗号化鍵と鍵インデックスとの組を暗号化部１２₁へ出力する。

　ステップＳ１２からＳ１４の処理は、第一実施形態と同様である。

　ステップＳ１５において、暗号化通信装置１₂が備える鍵取得部１５₂は、受信部１４₂から鍵インデックスを受け取り、鍵記憶部１０₂に記憶された共通鍵を鍵記憶部１０₂に記憶された一方向性関数に入力したときの出力が、受け取った鍵インデックスと等しい共通鍵を復号鍵として取得する。鍵取得部１５₂は取得した復号鍵を復号部１６₂へ出力する。

　ステップＳ１６の処理は、第一実施形態と同様である。

　上記のように構成することにより、第二実施形態の暗号化通信システムは、暗号化鍵を選択する際と復号鍵を取得する際に都度鍵インデックスを計算する演算量が増加するが、事前に鍵インデックスを共有して記憶しておく必要がないため、鍵交換の際に鍵インデックスを共有する処理が不要となり、また、暗号化通信装置１_iが備える鍵記憶部１０_iの容量を削減することができる。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　他の暗号化通信装置と共有する少なくとも１個の共通鍵を記憶する鍵記憶部と、
　上記鍵記憶部に記憶された上記共通鍵から暗号化鍵を選択する鍵選択部と、
　上記暗号化鍵を用いて上記他の暗号化通信装置へ送信するデータを暗号化して暗号化データを生成する暗号化部と、
　上記暗号化鍵を一意に特定する鍵インデックスを上記暗号化データへ付加して上記他の暗号化通信装置へ送信する送信部と、
　上記他の暗号化通信装置から上記鍵インデックスが付加された暗号化データを受信する受信部と、
　上記鍵記憶部に記憶された上記共通鍵から上記暗号化データに付加された上記鍵インデックスに対応する復号鍵を取得する鍵取得部と、
　上記復号鍵を用いて上記暗号化データを復号する復号部と、
　を含む暗号化通信装置。
　請求項１に記載の暗号化通信装置であって、
　上記鍵記憶部は、上記共通鍵を一意に特定する鍵インデックスを上記共通鍵と関連付けて記憶するものであり、
　上記鍵選択部は、上記鍵記憶部に記憶された上記共通鍵から上記暗号化鍵を選択し、上記暗号化鍵に関連付けられた上記鍵インデックスを取得するものであり、
　上記鍵取得部は、上記鍵記憶部に記憶された上記共通鍵から上記暗号化データに付加された上記鍵インデックスと同一の鍵インデックスに関連付けられた上記共通鍵を上記復号鍵として取得するものである、
　暗号化通信装置。
　請求項１に記載の暗号化通信装置であって、
　上記鍵選択部は、上記鍵記憶部に記憶された上記共通鍵から上記暗号化鍵を選択し、上記暗号化鍵を一方向性関数に入力したときの出力を上記鍵インデックスとして取得するものであり、
　上記鍵取得部は、上記鍵記憶部に記憶された上記共通鍵を上記一方向性関数に入力したときの出力が上記暗号化データに付加された上記鍵インデックスと等しい上記共通鍵を上記復号鍵として取得するものである、
　暗号化通信装置。
　複数の暗号化通信装置が暗号化データを送受信する暗号化通信システムであって、
　上記暗号化通信装置は、
　他の暗号化通信装置と共有する少なくとも１個の共通鍵を記憶する鍵記憶部と、
　上記鍵記憶部に記憶された上記共通鍵から暗号化鍵を選択する鍵選択部と、
　上記暗号化鍵を用いて上記他の暗号化通信装置へ送信するデータを暗号化して上記暗号化データを生成する暗号化部と、
　上記暗号化鍵を一意に特定する鍵インデックスを上記暗号化データへ付加して上記他の暗号化通信装置へ送信する送信部と、
　上記他の暗号化通信装置から上記鍵インデックスが付加された上記暗号化データを受信する受信部と、
　上記鍵記憶部に記憶された上記共通鍵から上記暗号化データに付加された上記鍵インデックスに対応する復号鍵を取得する鍵取得部と、
　上記復号鍵を用いて上記暗号化データを復号する復号部と、
　を含む暗号化通信システム。
　第一の暗号化通信装置と第二の暗号化通信装置とが暗号化データを送受信する暗号化通信方法であって、
　上記第一の暗号化通信装置は、上記第二の暗号化通信装置と共有する少なくとも１個の共通鍵を第一鍵記憶部に記憶しており、
　上記第二の暗号化通信装置は、上記第一の暗号化通信装置と共有する少なくとも１個の共通鍵を第二鍵記憶部に記憶しており、
　上記第一の暗号化通信装置が、上記第一鍵記憶部に記憶された上記共通鍵から暗号化鍵を選択し、
　上記第一の暗号化通信装置が、上記暗号化鍵を用いて上記第二の暗号化通信装置へ送信するデータを暗号化して上記暗号化データを生成し、
　上記第一の暗号化通信装置が、上記暗号化鍵を一意に特定する鍵インデックスを上記暗号化データへ付加して上記第二の暗号化通信装置へ送信し、
　上記第二の暗号化通信装置が、上記第一の暗号化通信装置から上記鍵インデックスが付加された上記暗号化データを受信し、
　上記第二の暗号化通信装置が、上記第二鍵記憶部に記憶された上記共通鍵から上記暗号化データに付加された上記鍵インデックスに対応する復号鍵を取得し、
　上記第二の暗号化通信装置が、上記復号鍵を用いて上記暗号化データを復号する、
　暗号化通信方法。
　請求項１から３のいずれかに記載の暗号化通信装置としてコンピュータを機能させるためのプログラム。