Nothing Special   »   [go: up one dir, main page]

JP5975594B2 - 通信端末及び通信システム - Google Patents

通信端末及び通信システム Download PDF

Info

Publication number
JP5975594B2
JP5975594B2 JP2010020401A JP2010020401A JP5975594B2 JP 5975594 B2 JP5975594 B2 JP 5975594B2 JP 2010020401 A JP2010020401 A JP 2010020401A JP 2010020401 A JP2010020401 A JP 2010020401A JP 5975594 B2 JP5975594 B2 JP 5975594B2
Authority
JP
Japan
Prior art keywords
key
identification information
network
communication
communication frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010020401A
Other languages
English (en)
Other versions
JP2011160210A (ja
Inventor
健嗣 八百
健嗣 八百
純 中嶋
純 中嶋
福井 潔
潔 福井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2010020401A priority Critical patent/JP5975594B2/ja
Priority to CN201010609943.6A priority patent/CN102143152B/zh
Priority to US12/929,530 priority patent/US9059839B2/en
Publication of JP2011160210A publication Critical patent/JP2011160210A/ja
Application granted granted Critical
Publication of JP5975594B2 publication Critical patent/JP5975594B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、通信端末及び通信システムに関し、例えば、大規模ネットワークにおいて、通信の暗号化や認証にネットワーク共通鍵を用いたセキュアな通信システム及びこれを形成する通信端末に適用し得るものである。
メッシュネットワークとは、通信端末同士が相互に通信を行うことで、網の目(メッシュ)状に形成される通信ネットワークである。メッシュネットワークに参加する個々の通信端末は、自身の通信可能範囲内の端末(隣接端末)と通信する。そして、自身の通信可能範囲を越えて遠隔の通信端末と通信する場合には、各通信端末にバケツリレー方式で中継配送してもらうマルチホップ通信を行う。このようにメッシュネットワークでは、ネットワークに参加する個々の通信端末は隣接端末と通信できれば良いので、弱い出力で通信できれば良い。また、通信端末が破損したり離脱したりしても代替経路を確保しやすく、従来のスター型ネットワークのように、中心となる通信端末に障害がおきれば通信不能となるネットワークと比較して障害に強いという利点がある。
ここで、ネットワーク全体に共通の鍵を持たせて通信の暗号化と認証を行うシステムを考える。ネットワーク共通鍵を用いたセキュアな通信システムでは、ネットワークに参加している通信端末が共通の鍵を持つため、自身の通信相手となる通信端末を予め特定しておかなくてもセキュアな通信を開始できる(鍵管理が容易)という利点がある。
一方、多数のノードが通信データの暗号化や認証に同一の鍵を利用し続けるという状況は、セキュリティ上あまり好ましくない。例えば、攻撃者は、通信路を流れる多数の暗号文を解析することによって、現実的な時間でネットワーク鍵を特定できる可能性がある。
特に、本発明で想定するようなノード数が多いネットワークの場合には、ネットワーク鍵の利用頻度が多くなり、鍵解析攻撃に遭う懸念を無視できないため、ネットワーク鍵は定期的に更新されることが好ましい。
特許文献1には、上述の問題に対応し得る、安全な送信のための方法および装置が記載されている。特許文献1の記載技術は、各ユーザは、長期間利用する第1のブロードキャスト鍵と短期間利用する第2のブロードキャスト鍵を持つ。短期間利用する第2のブロードキャスト鍵は、前記長期間利用する第1のブロードキャスト鍵を用いて暗号化され定期的にユーザに与えられる。そして、ブロードキャストは、前記短期鍵利用する第2のブロードキャスト鍵を用いて暗号化され、ユーザは、第2のブロードキャスト鍵を用いてブロードキャストメッセージを復号する。
特表2004一532554号公報
しかし、特許文献1の記載技術をノード数が多い大規模なネットワークに適用する場合には次のような課題がある。
まず初めに、通信の暗号化や認証に利用するネットワーク鍵を頻繁に更新する場合には、更新したネットワーク鍵を全通信端末に通知する必要があるため、大規模なネットワークに対して頻繁にブロードキャストトラフィックが発生し、ネットワーク全体の通信負荷が多くなるという課題がある。
次に、ネットワークの規模が大きいと、更新されたネットワーク鍵が全通信端末へ確実に到達するまでに時間がかかる可能性がある。例えば、省電力動作のためにスリープ状態にいる通信端末や、通信路障害によって、更新されたネットワーク鍵が瞬時に全通信端末に行き届くとは限らない。この場合、ネットワーク内の通信端末間において、ネットワーク鍵の同期ずれが発生することになる。
そのため、大規模なネットワークにおいても、通信負荷の増加や、鍵の同期ずれ問題を解決できる通信システム及び通信端末が要求されている。
そこで、本発明は、長期間利用するマスターネットワーク鍵から、短期間利用する一時ネットワーク鍵を生成し、この生成した一時ネットワーク鍵の識別情報を通信フレームに明示することにより、上述の頻繁なネットワーク鍵更新によって伴う通信負荷の増加や、鍵の同期ずれ問題を解決できる通信端末及び通信システムを提供する。
かかる課題を解決するために、第1の本発明の通信端末は、ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムを形成する通信端末であって、(1)マスターネットワーク鍵を保持する長期利用鍵管理手段と、(2)通信フレームの暗号化又は認証符号の付与の利用に供する、少なくとも一時ネットワーク鍵の識別情報を含む鍵の識別情報を設定する鍵識別情報管理手段と、(3)複数のマスターネットワーク鍵の中から今回利用中であるマスターネットワーク鍵と一時ネットワーク鍵の識別情報とに基づいて、通信フレームの暗号化又は認証符号の付与に用いる一時ネットワーク鍵を生成する短期利用鍵生成手段と、(4)短期利用鍵生成手段により生成された一時ネットワーク鍵を用いて暗号化又は認証符号の付与を行ない、マスターネットワーク鍵の識別情報及び一時ネットワーク鍵の識別情報を含むセキュアな通信フレームを生成する通信フレーム生成手段と、(5)通信フレーム生成手段は、短期利用鍵生成手段により生成された一時ネットワーク鍵の識別情報、及びマスターネットワーク鍵の識別情報を含む鍵の識別情報を生成したセキュアな通信フレーム内に明示することを特徴とする。
第2の本発明の通信端末は、ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムを形成する通信端末であって、(1)マスターネットワーク鍵を保持する長期利用鍵管理手段と、(2)ネットワークを介して、他の通信端末から、マスターネットワーク鍵の識別情報及び一時ネットワーク鍵の識別情報を含む通信フレームを受信する受信手段と、(3)受信手段により受信されたセキュアな通信フレーム内に明示されている鍵の識別情報を抽出する鍵識別情報抽出手段と、(4)鍵識別情報抽出手段により抽出された鍵の識別情報に含まれる一時ネットワーク鍵の識別情報と、抽出された鍵の識別情報に含まれるマスターネットワーク鍵の識別情報に基づいて長期利用鍵管理手段から得たマスターネットワーク鍵とに基づいて、通信フレームの復号又は認証に用いる一時ネットワーク鍵を生成する短期利用鍵取得手段と、(5)短期利用鍵取得手段により生成された一時ネットワーク鍵を用いて、受信したセキュアな通信フレームに対して復号又は認証を行ない、通信フレームを取得する通信フレーム取得手段とを備えることを特徴とする。
第3の本発明の通信端末は、ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムを形成する通信端末であって、(1)マスターネットワーク鍵を保持する長期利用鍵管理手段と、(2)通信フレームの暗号化又は認証符号の付与の利用に供する、少なくとも一時ネットワーク鍵の識別情報を含む鍵の識別情報を設定する鍵識別情報管理手段と、(3)複数のマスターネットワーク鍵の中から今回利用中であるマスターネットワーク鍵と一時ネットワーク鍵の識別情報とに基づいて、通信フレームの暗号化又は認証符号の付与に用いる一時ネットワーク鍵を生成する短期利用鍵生成手段と、(4)短期利用鍵生成手段により生成された一時ネットワーク鍵を用いてセキュリティ処理を行ない、マスターネットワーク鍵の識別情報及び一時ネットワーク鍵の識別情報を含むセキュアな通信フレームを生成する通信フレーム生成手段と、(5)通信フレーム生成手段により生成された通信フレームを他の通信端末へ送信する送信手段と、(6)ネットワークを介して他の通信端末から、マスターネットワーク鍵の識別情報及び一時ネットワーク鍵の識別情報を含む通信フレームを受信する受信手段と、(7)受信手段により受信されたセキュアな通信フレーム内に明示されている鍵の識別情報を抽出する鍵識別情報抽出手段と、(8)鍵識別情報抽出手段により抽出された鍵の識別情報に含まれる一時ネットワーク鍵の識別情報と、抽出された鍵の識別情報に含まれるマスターネットワーク鍵の識別情報に基づいて長期利用鍵管理手段から得たマスターネットワーク鍵とに基づいて、一時ネットワーク鍵を生成する短期利用鍵取得手段と、(9)短期利用鍵取得手段により生成された一時ネットワーク鍵を用いて、受信したセキュアな通信フレームに対してセキュリティ処理を行い、通信フレームを取得する通信フレーム取得手段とを備え、通信フレーム生成手段は、短期利用鍵生成手段により生成された一時ネットワーク鍵の識別情報、及びマスターネットワーク鍵の識別情報を含む鍵の識別情報を生成したセキュアな通信フレーム内に明示することを特徴とする。
第4の本発明の通信システムは、ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムであって、第1〜第3の本発明に記載の複数の通信端末を備えることを特徴とする。
本発明によれば、鍵の更新によって伴う通信負荷の増加や、通信端末間での鍵の同期ずれを回避することができる。
第1の実施形態の送信側の通信端末の内部構成を示すブロック図である。 第1の実施形態の受信側の通信端末の内部構成を示すブロック図である。 第1の実施形態のセキュアな通信フレームの構成例を示す構成図である。 第1の実施形態のネットワーク共通鍵通信システムにおける通信処理を説明する説明図である。 第2の実施形態の通信端末の内部構成を示すブロック図である。 第2の実施形態の鍵識別情報要求メッセージ及び鍵識別情報応答メッセージの構成例を示す構成図である。 第2の実施形態のネットワーク共通鍵通信システムにおける通信処理を説明する説明図である。
(A)第1の実施形態
以下では、本発明の通信端末及び通信システムの第1の実施形態を、図面を参照しながら説明する。
第1の実施形態では、例えば、多数のノードにより構成される大規模なメッシュネットワーク及びこれを形成するノードの通信装置に、本発明を適用した場合の実施形態を例示する。
(A−1)第1の実施形態の構成
図1は、第1の実施形態における送信側の通信端末の内部構成を示すブロック図である。
図1において、第1の実施形態の送信側の通信端末10は、長期利用鍵管理部11、短期利用鍵取得部12、鍵識別情報管理部13、通信フレーム生成部14、長期利用鍵更新部15、送信部16、受信部17を少なくとも有する。
長期利用鍵管理部11は、長期間利用するネットワーク共通鍵であるマスターネットワーク鍵を管理するものである。
長期利用鍵管理部11は、長期利用鍵更新部15より新しいマスターネットワーク鍵を受け取ると、その新しいマスターネットワーク鍵を管理する。また、長期利用鍵管理部11は、自身が管理するマスターネットワーク鍵を短期利用鍵取得部12に与える。
ここで、長期利用鍵管理部11は、長期利用鍵更新部15から、新しいマスターネットワーク鍵のみを受け取るようにしても良いし、又は、新しいマスターネットワーク鍵と当該マスターネットワーク鍵の識別情報とを受け取るようにしても良い。第1の実施形態では、後者の場合を適用した場合を例示する。
なお、新しいマスターネットワーク鍵と当該マスターネットワーク鍵の識別情報とを受け取る場合、長期利用鍵管理部11は、新しいマスターネットワーク鍵の識別情報を、鍵識別情報管理部13に与えて、当該マスターネットワーク鍵の識別情報を管理させる。これは、マスターネットワーク鍵は、所定の長期間に亘って利用するが、利用期間が満期になると別の新しい鍵に更新されるので、複数存在し得るマスターネットワーク鍵の中で、現在利用中であるマスターネットワーク鍵を識別するためである。
短期利用鍵取得部12は、鍵取得を要求する通信フレーム生成部14から一時ネットワーク鍵の識別情報を受け取ると、長期利用鍵管理部11からマスターネットワーク鍵を受け取り、このマスターネットワーク鍵と前記一時ネットワーク鍵の識別情報とを利用して、一時ネットワーク鍵を生成するものである。
なお、短期利用鍵取得部12は、長期利用鍵管理部11から現在利用中のマスターネットワーク鍵を受け取るようにしても良い。また、短期利用鍵取得部12は、長期利用鍵管理部11から複数のマスターネットワークを受け取り、通信フレーム生成部14から一時ネットワーク鍵の識別情報と共に、マスターネットワーク鍵の識別情報を受け取り、このマスターネットワーク鍵の識別情報に基づいて、複数のマスターネットワーク鍵の中から今回利用するマスターネットワーク鍵を選択するようにしても良い。
ここで、一時ネットワーク鍵の生成方法は、特に限定されず広く適用することができる。例えば、鍵の識別情報とマスターネットワーク鍵とを連結したビット列を入力値として、暗号ハッシュ関数等の一方向性関数を適用した出力値を利用しても良いし、鍵の識別情報を入力値として、マスターネットワーク鍵を鍵とした鍵付きハッシュ関数を適用した出力値を利用しても良い。また例えば、マスターネットワーク鍵に対して鍵の識別情報で示される回数分、ハッシュ関数を適用した出力値を利用しても良い。また例えば、ハッシュ関数の代わりに暗号関数を適用した出力値を利用しても良い。また、各関数の入力値には、鍵の識別情報やマスターネットワーク鍵以外に、任意のビット列を含めても良い。前記任意のビット列は、予めシステムにより規定されていてもよい。
また、短期利用鍵取得部12は、生成した一時ネットワーク鍵を通信フレーム生成部14へ応答するものである。ここで、短期利用鍵取得部12は、生成した一時ネットワーク鍵を、鍵の識別情報と共に保持しておいても良い。これは、例えば、通信フレーム生成部14から過去と同じ鍵の識別情報を与えられる場合に、一時ネットワーク鍵の生成処理を省略して応答することができる。また、短期利用鍵取得部12は、通信フレームの再生攻撃を防ぐために利用する情報(例えば、カウンタ値、時刻情報、自身のアドレス情報等)を管理しておき、一時ネットワーク鍵と共に通信フレーム生成部14へ与えるようにしても良い。
鍵識別情報管理部13は、鍵の識別情報を管理するものである。鍵の識別情報は、通信フレームにセキュリティ処理を施すネットワーク鍵を識別するために利用されるものである。
ここで、鍵の識別情報は、少なくとも一時ネットワーク鍵を識別する識別情報を含むものであるが、さらに一時ネットワーク鍵を生成するために利用したマスターネットワーク鍵を識別する情報をも含んでも良い。例えば、鍵の識別情報は、各ネットワーク鍵に割り振られたビット列であっても良いし、通番を表すカウンタ情報であってもよい。また、鍵識別情報管理部13は、長期利用鍵管理部11より、新しく取得したマスターネットワーク鍵の識別情報を与えられることにより、与えられたマスターネットワーク鍵の識別情報を管理する。
また、鍵識別情報管理部13は、任意のタイミングで自身の管理する一時ネットワーク鍵の識別情報を更新するようにしてもよい。例えば、鍵の識別情報として通番を表すカウンタ情報を管理する場合には、鍵識別情報管理部13は、一定時間経過ごとに通番をインクリメント又はデクリメントすることで識別情報を更新することができる。また例えば、長期利用鍵管理部11より、新しく取得したマスターネットワーク鍵の識別情報を与えられることにより、前記マスターネットワーク鍵を利用して生成する一時ネットワーク鍵の識別情報を初期値にセットしても良い。
さらに、鍵識別情報管理部13は、一時ネットワーク鍵の識別情報を任意回数更新した場合に、長期利用鍵管理部11より新しく取得したマスターネットワーク鍵の識別情報を設定(利用開始)しても良い。例えば、一時ネットワーク鍵の通番を表すカウンタ情報が満期に近づいた場合に、マスターネットワーク鍵の識別情報を更新しても良い。鍵識別情報管理部13は、自身の管理する鍵の識別情報を通信フレーム生成部14へ与える。
通信フレーム生成部14は、通信フレームにセキュリティ処理を施し、セキュアな通信フレームを生成するものである。ここで、セキュリティ処理とは、例えば、暗号化や認証符号を付加することを想定するが、これに限定するものではない。この暗号化や認証符号生成に利用するアルゴリズムは特に限定しない。
通信フレーム生成部14は、鍵識別情報管理部13より与えられた鍵の識別情報を、短期利用鍵取得部12へ与える。そして、短期利用鍵取得部12より、通信フレームのセキュリティ処理に利用する一時ネットワーク鍵を応答されることにより、当該一時ネットワーク鍵を利用して通信フレームにセキュリティ処理を施し、セキュアな通信フレームを生成する。
図3は、セキュアな通信フレームの構成例を示す構成図である。図3に示すように、セキュアな通信フレームは、アドレス情報等を含むヘッダ、マスターネットワーク鍵の識別情報(MNK)、一時ネットワーク鍵の識別情報(TNK)、カウンタ、データ、認証符号などを有する。
ここで、セキュアな通信フレームには、当該通信フレームをセキュリティ処理を行うのに利用された一時ネットワーク鍵を識別するための情報が含まれる。例えば、図3の例の場合、セキュアな通信フレームには、そのフレームヘッダ等において、鍵識別情報管理部13より与えられた鍵の識別情報(マスターネットワーク鍵の識別情報(MNK)及び一時ネットワーク鍵の識別情報(TNK))が平文で明示されることを特徴とする。
また、通信フレーム生成部14におけるセキュリティ処理は、再生攻撃を防止するために、カウンタ値、時刻情報や、自身のアドレス情報等を利用しても良い。例えば、一時ネットワーク鍵と共にカウンタを管理しておき、セキュアな通信フレームは、前記一時ネットワーク鍵と、前記一時ネットワーク鍵と共に管理するカウンタを利用してセキュリティ処理することによって生成し、前記カウンタは、セキュアな通信フレームを生成するごとに更新されても良い。また、前記セキュリティ処理には、自身のアドレス情報を含めても良い。ここで、これらセキュリティ処理に利用する、カウンタ値、時刻情報や、自身のアドレス情報等は、短期利用鍵取得部12より、一時ネットワーク鍵と共に与えられても良い。通信フレーム生成部14は、生成したセキュアな通信フレームを送信部16へ与える。
長期利用鍵更新部15は、新しいマスターネットワーク鍵を取得し、マスターネットワーク鍵の更新を管理するものである。例えば、長期利用鍵更新部15は、受信部17より与えられた新しいマスターネットワーク鍵の通知メッセージを復号/認証処理することにより、最新のマスターネットワーク鍵を取得する。なお、最新のマスターネットワーク鍵を含む通信メッセージは、例えば、ネットワーク上の管理装置等から、ネットワーク上の全ての通信端末に向けて送信する等の方法で通知されるようにしても良い。
ここで、長期利用鍵更新部15は、最新のマスターネットワーク鍵が通知されるようにしても良いし、最新のマスターネットワーク鍵と共に、その鍵の識別情報や利用開始情報等の全て又は一部の情報が含まれた情報が与えられるようにしても良い。また、例えば最新のマスターネットワーク鍵そのものを与えられる代わりに、最新のマスターネットワーク鍵を生成するための情報を与えられるようにしても良いし、自身に閉じて新しいマスターネットワーク鍵を生成しても良い。
長期利用鍵更新部15は、取得した最新のマスターネットワーク鍵を長期利用鍵管理部11へ与える。ここで、取得した最新のマスターネットワーク鍵と共に鍵の識別情報を与えられている場合は、長期利用鍵更新部15は、当該鍵の識別情報を長期利用鍵管理部11へ与えても良い。
ここで、長期利用鍵更新部15における新しいマスターネットワーク鍵の利用開始判断方法については特に限定しないが、例えば、取得したマスターネットワーク鍵と共に、その利用開始情報を与えられている場合には、当該利用開始情報が指定するタイミングで切り替えても良いし、マスターネットワーク鍵の通知メッセージとは別に、マスターネットワーク鍵の利用開始メッセージを受信することにより、新しいマスターネットワーク鍵に切り替えても良い。また、一時ネットワーク鍵の識別情報を管理するカウンタが満期になったとき又は満期に近づいた場合に、マスターネットワーク鍵を切り替えても良い。
送信部16は、通信フレーム生成部14より与えられたセキュアな通信フレームを他の通信端末へ送信するものである。
受信部17は、ネットワークを介して通信フレームを受信するものである。受信部17は、新しいマスターネットワーク鍵の通知メッセージを長期利用鍵更新部15へ与える。
図2は、第1の実施形態における受信側の通信端末の内部構成を示すブロック図である。図2において、第1の実施形態の受信側の通信端末20は、長期利用鍵管理部21、短期利用鍵取得部22、通信フレーム取得部23、長期利用鍵更新部24、受信部25を少なくとも有する。
長期利用鍵管理部21は、図1に示した送信側の通信端末10における長期利用鍵管理部11と同様に、長期利用鍵更新部24から受け取ったマスターネットワーク鍵を管理するものである。
短期利用鍵取得部22は、図1に示した送信側の通信端末10における短期利用鍵取得部12と基本的には同様である。すなわち、短期利用鍵取得部22は、通信フレーム取得部23から受け取った鍵の識別情報に基づいて、長期利用鍵管理部21からマスターネットワーク鍵を受け取り、このマスターネットワーク鍵と、前記鍵の識別情報に含まれる一時ネットワーク鍵の識別情報とに基づいて、一時ネットワーク鍵を生成するものである。また、探知利用鍵取得部22は、生成した一時ネットワーク鍵を、通信フレーム取得部22へ応答する。
ここで、短期利用鍵取得部22は、一時ネットワーク鍵と共に、カウンタ情報、時刻情報等の再生攻撃を防ぐための検証情報を通信フレーム取得部23へ与えても良い。また、短期利用鍵取得部22は、通信フレーム取得部23から、認証に成功したセキュアな通信フレームのセキュリティ処理に利用された鍵の識別情報、最新のカウンタ値、送信元アドレスを与えられることにより、前記与えられた最新のカウンタ値を、前記送信元アドレスを持つ通信端末10が前記鍵の識別情報が示す鍵を利用してセキュリティ処理するときに利用した最新のカウンタ値であると判断して管理しても良い。
通信フレーム取得部23は、受信部25から与えられたセキュアな通信フレームにセキュリティ処理を施し、通信フレームを取得するものである。通信フレーム取得部23は、セキュアな通信フレームに明示される鍵の識別情報を短期利用鍵取得部22へ与え、その応答として短期利用鍵取得部22から一時ネットワーク鍵を取得する。通信フレーム取得部23は、前記取得した一時ネットワーク鍵を利用して、セキュアな通信フレームにセキュリティ処理を施し、通信フレームを取得する。
ここで、セキュリティ処理とは、例えば、復号や認証符号の検証処理を想定するが、これに限定するものではない。また、ここで、復号や認証符号検証に利用するアルゴリズムは特に限定しない。通信フレーム取得部は、再生攻撃を防止するために、セキュアな通信フレームのセキュリティ処理に利用されているカウンタ、時刻情報が最新であることや、送信元のアドレス情報が改竄されていないか等を検証しても良い。例えば、一時ネットワーク鍵と共にカウンタを管理しておき、セキュアな通信フレームは、前記一時ネットワーク鍵と、前記一時ネットワーク鍵と共に管理するカウンタと比較して新しいと判断されるカウンタを利用して検証し、検証に成功することによって、前記一時ネットワーク鍵と共に管理するカウンタを更新しても良い。また、前記カウンタは、送信元アドレス情報ごとに設定して管理しても良い。ここで、セキュアな通信フレームのセキュリティ処理に利用されているカウンタや時刻情報が最新であることを検証するために参照するカウンタ値や時刻情報は、短期利用鍵取得部より、一時ネットワーク鍵と共に与えられても良い。また、セキュアな通信フレームの認証に成功することによって、当該通信フレームのセキュリティ処理に利用されていたカウンタを、最新のカウンタとして短期利用鍵取得部22へ通知しても良い。
長期利用鍵更新部24は、図1に示した送信側の通信端末10における長期利用鍵更新部15と基本的に同じである。
受信部25は、図1に示した送信側の通信端末10における受信部17と基本的に同じであるがさらに、他の通信端末から受信したセキュアな通信フレームを通信フレーム取得部23へ与える点が異なる。
(A−2)第1の実施形態の動作
次に、第1の実施形態の送信側の通信端末10A及び10Bと、受信側の通信端末20との間のネットワーク共通鍵通信システムの動作を、図1〜図4を参照しながら説明する。
図4は、ネットワーク共通鍵通信システムにおける通信処理を説明する説明図である。ここでは、通信端末10A及び10Bと通信端末20との間で、3つのセキュアな通信フレームが送受信される場合を例として時系列に説明する。
図4において、図4(A)は、送信側の通信端末10Aにおけるネットワーク鍵の管理状態を示し、図4(B)は、送信側の通信端末10Bにおけるネットワーク鍵の管理状態を示し、図4(C)は、受信側の通信端末20におけるネットワーク鍵の管理状態を示す。
また、例えば図4(A)において、「MNK_1」等はマスターネットワーク鍵を示し、「TNK_0」等は一時ネットワーク鍵を示し、時間軸方向の矢印はそれぞれのネットワーク鍵の利用期間を示す。図4(B)及び図4(C)においても同様である。
(A−2−1)セキュアな通信フレーム1の送受信処理
まず、通信端末10Aの鍵識別情報管理部13では、一時ネットワーク鍵の識別情報が定期的に更新される。
例えば、図4(A)において、通信端末10Aの長期利用鍵管理部11がマスターネットワーク鍵「MKN_1」を管理している。このとき、鍵識別情報管理部13は、一時ネットワーク鍵の識別情報を定期的に更新されるので、通信端末10Aが利用する一時ネットワーク鍵は、「TNK_0」、「TNK_1」、…、「TNK_4」と更新される。
通信端末10Aが通信端末20に向けて通信フレームを送信する際、鍵識別情報管理部13は、自身が管理するマスターネットワーク鍵の識別情報と、最新の一時ネットワーク鍵の識別情報とを含む鍵の識別情報を、通信フレーム生成部14へ与える。
例えば、通信フレーム1を送信するとき、鍵識別情報管理部13は、マスターネットワーク鍵「MNK_1」の識別情報と、一時ネットワーク鍵「TNK_1」の識別情報とを含む鍵の識別情報を通信フレーム生成部14に与える。なお、以下では、例えば、マスターネットワーク鍵「MNK_1」の識別情報と、一時ネットワーク鍵「TNK_1」の識別情報とを含む鍵の識別情報を、鍵の識別情報(1−1)のように示す。
通信フレーム生成部14は、鍵識別情報管理部13から受け取った鍵の識別情報を、短期利用鍵取得部12に与える。
短期利用鍵取得部12は、鍵の識別情報に含まれるマスターネットワーク鍵「MNK_1」の識別情報が示すマスターネットワーク鍵「MNK_1」を、長期利用鍵管理部11から受け取る。そして、マスターネットワーク鍵「MNK_1」と、一時ネットワーク鍵「TNK_1」の識別情報とを用いて、一時ネットワーク鍵「TNK_1」を生成する。
通信フレーム生成部14は、短期利用鍵取得部12が生成した一時ネットワーク鍵「TNK_1」を受け取り、この一時ネットワーク鍵「TNK_1」を用いて、通信フレームをセキュリティ処理(暗号化/認証符号付加)してセキュアな通信フレーム1を生成する。
このとき、通信フレーム生成部14は、図3に示すように、通信フレームの暗号化、認証符号付加に利用している鍵の識別情報(1−1)を通信フレーム1中に明示する。なお、上述したように、通信フレームのセキュリティ処理は、種々の方法を適用することができ、また例えばデータやデータの後に記載した認証符号なども暗号化するようにしても良い。
通信フレーム生成部14により生成された通信フレーム1は、送信部16を介して、通信端末20に向けて送信される。
通信端末10Aからの通信フレームを受信した通信端末20では、通信フレーム取得部23が、受信部25を介して受信したセキュアな通信フレームに対してセキュリティ処理(復号/認証)を行い、通信フレーム1を取得する。
まず、通信フレーム取得部23は、受信したセキュアな通信フレーム1に明示される鍵の識別情報を短期利用鍵取得部22へ与える。
短期利用鍵取得部22は、長期利用鍵管理部21から与えられるマスターネットワーク鍵の中で、鍵の識別情報が示すマスターネットワーク鍵「MNK_1」と、一時ネットワーク鍵「TNK_1」の識別情報とを用いて、一時ネットワーク鍵「TNK_1」を生成する。
通信フレーム取得部23は、短期利用鍵取得部22により生成された一時ネットワーク鍵「TNK_1」を受け取り、この一時ネットワーク鍵「TNK_1」を用いて、通信フレームに対してセキュリティ処理(復号/認証)して通信フレーム1を取得する。
(A−2−2)セキュアな通信フレーム2の送受信処理
通信端末10Bと通信端末20との間で通信フレーム2を送受信する場合も、上述した通信端末10Aと通信端末20との間の送受信処理と同様の処理が行なわれる。
ここで、セキュアな通信フレーム2にも、鍵の識別情報(1−0)が含まれる。この鍵の識別情報は、例えば、マスターネットワーク鍵「MNK_1」の識別情報と、一時ネットワーク鍵「TNK_0」の識別情報とを含むものである。
そして、通信端末10Bから通信フレームを受信した通信端末3では、短期利用鍵取得部22が、受信した通信フレームに明示される鍵の識別情報(1−0)に基づいて、マスターネットワーク鍵「MNK_1」と、一時ネットワーク鍵「TNK_0」の識別情報とを用いて、一時ネットワーク鍵「TNK_0」を生成し、通信フレーム取得部23が、この一時ネットワーク鍵「TNK_0」を用いて、通信フレームに対してセキュリティ処理(復号/認証)を行い、通信フレーム2を取得する。
(A−2−3)マスターネットワーク鍵の更新処理
図4(C)において、通信端末20は、時刻T1のタイミングで、新しいマスターネットワーク鍵「MNK_2」の通知メッセージを受信する。
通信端末20の長期利用鍵更新部24は、所定の利用開始時刻TMNK_2に、受信した通知メッセージに含まれる新しいマスターネットワーク鍵「MNK_2」を、長期利用管理部21に与えて、当該マスターネットワーク鍵「MNK_2」の利用を開始する。
なお、利用開始時刻TMNK_2は、通知メッセージに含まれるようにしても良いし、別の通知メッセージを受信することによっても良い。
また、図4(A)において、通信端末10Aは、時刻T2のタイミングで、新しいマスターネットワーク鍵「MNK_2」の通知メッセージを受信し、通信端末20における動作と同様にして、長期利用鍵更新部15が、利用開始時刻TMNK_2にマスターネットワーク鍵「MNK_2」を長期利用管理部11に与えて、当該マスターネットワーク鍵「MNK_2」の利用を開始する。
(A−2−4)セキュアな通信フレーム3の送受信処理
通信端末10Bが通信端末20に向けて通信フレーム3を送信する際も、セキュアな通信フレーム1や通信フレーム2の送信の場合と同様に、鍵の識別情報を明示したセキュアな通信フレーム3を生成して送信する。
ここで、通信フレーム3は、時刻TMNK_2が経過した後に、通信端末10Bから送信される。通信端末10Bは、時刻TMNK_2の時点で、新しいマスターネットワーク鍵の通知メッセージをまだ受け取っていない。そのため、通信端末10Bでは、マスターネットワーク鍵の更新がなされていない。
従って、通信フレーム3には、通信フレーム3の送信時に通信端末10Bの鍵識別情報管理部13が管理している鍵の識別情報(1−4)が明示される。例えば、マスターネットワーク鍵「MNK_1」の識別情報と、一時ネットワーク鍵「TNK_4」の識別情報とが含まれる鍵の識別情報が通信フレーム3に明示される。
このような場合でも、通信フレーム3を受信した通信端末20では、短期利用鍵取得部22が、受信したセキュアな通信フレーム3に明示される鍵の識別情報に基づいて、長期利用鍵管理部21からマスターネットワーク鍵「MNK_1」を受け取り、このマスターネットワーク鍵「MNK_1」と、鍵の識別情報に含まれる一時ネットワーク鍵「TNK_4」の識別情報とに基づいて、一時ネットワーク鍵「TNK_4」を生成することができる。
そして、通信フレーム取得部23が、短期利用鍵取得部22からの一時ネットワーク鍵「TNK_4」を用いて通信フレームをセキュリティ処理(復号/認証)して通信フレーム3を取得することができる。
通信フレーム3の送信後、通信端末10Bの長期利用鍵更新部24において、新しいマスターネットワーク鍵「MNK_2」の通知メッセージを受け取り、新しいマスターネットワーク鍵「MNK_2」を取得する。
長期利用鍵更新部24は、利用開始時刻TMNK_2が既に経過していることを受けて、前記マスターネットワーク鍵「MNK_2」の利用を開始する。
なお、通信端末10Bの鍵識別情報管理部13は、利用開始時刻TMNK_2が経過しているから、その経過時間に応じて、適用する一時ネットワーク鍵の識別情報の管理状態の調整を行うようにしても良い。例えば、一時ネットワーク鍵の識別情報を定期的に更新する場合、利用開始時刻TMNK_2から現時刻までの経過時間から、現時点で本来適用すべき一時ネットワーク鍵の識別情報を管理するようにしても良い。
(A−3)第1の実施形態の効果
以上のように、第1の実施形態は、ネットワーク全体で長期間利用するマスターネットワーク鍵から短期間利用する(頻繁に更新する)一時ネットワーク鍵を管理し、前記一時ネットワーク鍵を利用してセキュアな通信を行うシステムにおいて、少なくとも前記マスターネットワーク鍵と一時ネットワーク鍵の識別情報とを利用して前記一時ネットワーク鍵を生成し、前記一時ネットワーク鍵の識別情報を、前記セキュアな通信フレームに明示することを特徴とする。
例えば、広域に設置されるメッシュネットワークなど、ノード数が多い大規模なネットワークにおいて、ネットワーク鍵を頻繁に更新したい場合には、新しいネットワーク鍵の配布に伴う通信量の増加と、ネットワーク鍵の同期ズレが懸念される。ここで、ネットワーク鍵の同期ズレは、配送に伴う遅延や、通信路障害や、スリープ動作を行う通信端末(省電力で動作させるために、通信データがない場合には、データの送受信を停止する通信端末)の混在等によって起こり得る。
第1の実施形態では、少なくともマスターネットワーク鍵と鍵の識別情報から生成される一時ネットワーク鍵を利用して通信データをセキュアにし、前記一時ネットワーク鍵の生成に利用した鍵の識別情報を通信フレームに明示する。これにより、ネットワーク鍵を頻繁に更新したい場合でも、その都度新しいネットワーク鍵を各通信端末に配布する必要がない。
また、受信側の通信端末は、頻繁に更新される一時ネットワーク鍵を他の通信端末と常に同期して把握しておく必要なく、受信したセキュアな通信フレームに明示される鍵の識別情報よりオンデマンドに取得できる。これにより、第1の実施形態の動作で説明したような、一時ネットワーク鍵の更新タイミングにズレが生じている場合や、マスターネットワーク鍵の更新タイミングにズレが生じている場合にも柔軟にセキュアな通信フレームを送受信できるネットワーク共通鍵通信システムを提供できる。また、長期間利用するマスターネットワーク鍵を配布等により定期的に更新する場合でも、一時ネットワーク鍵を頻繁に切り替えているバックグランドで、ゆっくりと時間をかけて配送すれば良い。
(B)第2の実施形態
次に、本発明の通信端末及び通信システムの第2の実施形態を、図面を参照しながら説明する。
第2の実施形態では、第1の実施形態にさらに最新の鍵の識別情報を同期させることを特徴とする。
(B−1)第2の実施形態の構成
図5は、第2の実施形態における通信端末の内部構成を示すブロック図である。
図5において、第2の実施形態の通信端末30は、長期利用鍵管理部31、鍵識別情報管理部32、短期利用鍵取得部33、通信フレーム生成部34、通信フレーム取得部35、長期利用鍵更新部36、鍵識別情報取得部37、送信部38、受信部39を少なくとも有する。
長期利用鍵管理部31は、図1に示した送信側の通信端末10における長期利用鍵管理部11の動作と基本的に同じである。
鍵識別情報管理部32は、図1に示した送信側の通信端末10における鍵識別情報管理部13の動作と基本的に同じであるが、さらに次の動作を行う。
鍵識別情報管理部32は、通信フレーム取得部34より、認証に成功したセキュアな通信フレームに明示された第1の鍵の識別情報を与えられることにより、自身が管理する第2の鍵の識別情報と比較するものである。鍵識別情報管理部32は、第1の鍵の識別情報が、第2の鍵の識別情報よりも新しいと判断される場合には、第1の鍵の識別情報を現在ネットワークで利用されている最新の鍵の識別情報であると判断して、第2の鍵の識別情報を更新する、若しくは、第1の鍵の識別情報を最新の情報であるとして管理する。
ここで、新しいと判断される場合とは、例えば、鍵の識別情報として通番を表すカウンタ情報を管理する場合には、カウンタの大小により判断しても良いし、また例えば、鍵の識別情報として、各ネットワーク鍵に割り振られたビット列を管理する場合には、過去に受信したか否かにより判断しても良い。
また、鍵識別情報管理部32は、鍵識別情報取得部37より鍵の識別情報を要求されることにより、現在管理する最新の鍵の識別情報を応答する。ここで、鍵識別情報管理部32は、鍵の識別情報をさらに最新の識別情報に更新してから応答しても良い。また、鍵識別情報管理部32は、鍵識別情報取得部37から、認証に成功した鍵識別情報応答メッセージに明示された第3の鍵の識別情報を与えられることにより、自身が管理する第2の鍵の識別情報と比較する。そして、第3の鍵の識別情報が、第2の鍵の識別情報よりも新しいと判断される場合には、第3の鍵の識別情報を現在ネットワークで利用されている最新の鍵の識別情報であると判断して、第2の鍵の識別情報を更新する、若しくは、第3の鍵の識別情報を最新の情報であるとして管理する。
ここで、鍵識別情報管理部32が第2の鍵の識別情報を消失してしまったときなど、第3の鍵の識別情報を与えられた時点で、第2の鍵の識別情報を管理していない場合には、新しいか否かを比較することなく、第3の鍵の識別情報を管理しても良い。また、鍵識別情報管理部32は、第3の鍵の識別情報をさらに最新の識別情報に更新してから管理しても良いし、第3の鍵の識別情報と第2の鍵の識別情報が同じ場合でも、この第3の鍵の識別情報をさらに最新の識別情報に更新してから管理しても良い。
短期利用鍵取得部33は、図1に示した送信側の通信端末10における短期利用鍵取得部12の動作、及び、図2に示した受信側の通信端末20における短期利用鍵取得部22の動作を合わせたものと基本的に同じであるが、さらに次の動作を行う。
短期利用鍵取得部33は、鍵の識別情報を鍵識別情報取得部37より与えられ、生成した一時ネットワーク鍵を鍵識別情報取得部37へ応答する。また、短期利用鍵取得部33は、鍵識別情報取得部37より、正当であると認証された鍵識別情報応答メッセージに明示されていた鍵の識別情報、および、送信元アドレス、リプレイ攻撃を防ぐために利用されたカウンタ値を与えられることにより、与えられたカウンタ値を、送信元アドレスを持つ通信端末が鍵の識別情報が示す鍵を利用してセキュリティ処理するときに利用した最新のカウンタ値であると判断して管理しても良い。
通信フレーム生成部34は、図1に示した送信側の通信端末10における通信フレーム生成部14の動作と基本的に同じである。
通信フレーム取得部35は、図2に示した受信側の通信端末20における通信フレーム取得部33の動作と基本的に同じであるが、さらに次の動作を行う。
通信フレーム取得部35は、与えられたセキュアな通信フレームの認証に成功することにより、当該セキュアな通信フレームに明示されていた鍵の識別情報を鍵識別情報管理部32へ与える。
長期利用鍵更新部36は、図1に示した送信側の通信端末10における長期利用鍵更新部15の動作と基本的に同じである。
鍵識別情報取得部37は、他の通信端末より鍵の識別情報を取得するものである。また、鍵識別情報取得部37は、他の通信端末より鍵の識別情報を要求されたときに、自身が利用する鍵の識別情報を応答するものである。鍵識別情報取得部37は、例えば、チャレンジ情報を含む鍵識別情報要求メッセージを生成し、送信部38へ与える。鍵識別情報要求メッセージに含めるチャレンジ情報は、一時的に生成した乱数情報であっても良い。そして、チャレンジ情報に対するレスポンス情報として鍵識別情報応答メッセージを受信部39より与えられることで、当該鍵識別情報応答メッセージに明示される鍵の識別情報を、短期利用鍵取得部33へ与える。そして、短期利用鍵取得部33より鍵の識別情報で識別される一時ネットワーク鍵を与えられることにより、前記与えられた鍵識別情報応答メッセージの復号及び/又は認証を実施し、復号及び/又は認証に成功した鍵識別情報応答メッセージに、自身が鍵識別情報要求メッセージに含めたチャレンジ情報が正しく反映されているか否かを確認できたことにより、鍵識別情報応答メッセージを正当なメッセージであると認証する。
ここで、正しく反映されているか否かとは、鍵識別情報応答メッセージにチャレンジ情報が含まれているか否かで判断しても良いし、鍵識別情報応答メッセージが、チャレンジ情報を利用して暗号化及び/又は認証符号生成されているか否かで判断しても良い。
図6は、鍵識別情報要求メッセージと鍵識別情報応答メッセージの例を示すメッセージ構成図である。図6(A)に示すように、鍵識別情報要求メッセージは、アドレス情報等が含まれたヘッダと、例えば乱数情報が含まれたチャレンジ情報等を有する。また図6(B)に示すように、鍵識別情報応答メッセージは、アドレス情報等が含まれたヘッダ、鍵の識別情報、カウンタ、例えば乱数情報が含まれたチャレンジ情報、認証符号等を有する。
鍵識別情報取得部37は、受信部39より与えられた鍵識別情報応答メッセージを正当であると認証できたことより、鍵識別情報応答メッセージに明記されていた鍵の識別情報を他の通信端末が現在利用する最新の鍵の識別番号であると判断して、鍵識別情報管理部32へ与える。また同時に、鍵識別情報取得部37は、鍵識別情報応答メッセージに明記されていた鍵の識別情報及び、送信元アドレス、カウンタ値を、短期利用鍵取得部33へ与えても良い。鍵識別情報要求メッセージは、例えば、スリープ状態から起動した後や、再起動等により鍵の識別情報を消失した場合に、最新の鍵の識別情報を回復することを目的として生成されることを想定するが、これに限定するものではない。
一方、受信部39を介して他の通信端末より鍵識別情報要求メッセージを与えられた場合には、鍵識別情報取得部37は、鍵識別情報管理部32へ鍵の識別情報を要求し、最新の鍵の識別情報を取得する。鍵識別情報取得部37は、鍵識別情報管理部32より取得した鍵の識別情報を、短期利用鍵取得部33へ与える。そして、鍵識別情報取得部37は、短期利用鍵取得部33より、一時ネットワーク鍵を応答されることにより、一時ネットワーク鍵と、鍵識別情報要求メッセージに含まれるチャレンジ情報とを利用して、鍵識別情報応答メッセージを生成する。
ここで、鍵識別情報応答メッセージは、一時ネットワーク鍵とチャレンジ情報を利用してセキュリティ処理されていることを想定する。セキュリティ処理とは例えば、暗号化及び/又は認証符号を付加することを想定する。また、チャレンジ情報を利用してセキュリティ処理するとは、鍵識別情報応答メッセージに、チャレンジ情報を含めることであっても良いし、暗号化及び/又は認証符号生成に、チャレンジ情報を利用することであっても良い。ここで、鍵識別情報応答メッセージには、セキュリティ処理に利用された一時ネットワーク鍵の識別情報が明示されていることを想定する。また、鍵識別情報応答メッセージは、例えば、カウンタ情報、時刻情報や、自身のアドレス情報等、再生攻撃を防ぐための情報を利用してセキュリティ変換しても良い。ここで、カウンタ情報、時刻情報等は、短期利用鍵取得部33より一時ネットワーク鍵と共に与えられても良い。鍵識別情報取得部37は、生成した鍵識別情報応答メッセージを送信部38へ与える。
送信部38は、通信フレーム生成部34から与えられたセキュアな通信フレーム及び、鍵識別情報取得部37より与えられた鍵識別情報要求メッセージ、または、鍵識別情報応答メッセージを他の通信端末へ送信するものである。ここで、鍵識別情報要求メッセージは、隣接となる通信端末へブロードキャストしても良い。
受信部39は、他の通信端末から与えられたセキュアな通信フレームを通信フレーム取得部35へ与えるものである。また、受信部39は、他の通信端末から与えられた鍵識別情報要求メッセージ、または、鍵識別情報応答メッセージを、鍵識別情報取得部37へ与えるものである。また、新しいマスターネットワーク鍵の通知メッセージを長期利用鍵更新部36へ与えても良い。
(B−2)第2の実施形態の動作
次に、第2の実施形態のネットワーク共通鍵通信システムの動作を、図7を参照しながら説明する。
ここでは、スリープ状態への突入によって、ネットワークで利用されている最新の鍵の識別情報を見失ってしまった通信端末30Cが、他の通信端末(通信端末30Aと通信端末30B)に鍵の識別情報を要求することで、最新の鍵の識別情報を回復し、さらに、他の通信端末(通信端末30Aと通信端末30B)も最新の鍵の識別情報を把握しながらネットワーク鍵を同期してゆく動作を例として時系列に説明する。
図7(B)において、通信端末30Bの長期利用鍵更新部36において、新しいマスターネットワーク鍵の通知メッセージを受け取り、新しいマスターネットワーク鍵MNK_2を取得する(T101)。通信端末30Bでは、長期利用鍵更新部36が、前記マスターネットワーク鍵MNK_2を長期利用鍵管理部31へ与える。
また、図7(A)において、通信端末30Aの長期利用鍵更新部36においても通信端末30Bと同様に、新しいマスターネットワーク鍵MNK_2を取得し(T103)、長期利用鍵更新部36が、前記マスターネットワーク鍵MNK_2を長期利用鍵管理部31へ与える。
図7(C)において、通信端末30Cの鍵識別情報取得部37は、鍵識別情報要求メッセージを生成し、送信部38を介してブロードキャストで鍵識別情報要求メッセージを送信する(T105)。
通信端末30A及び通信端末30Bの鍵識別情報取得部37では、受信部39より通信端末30Cから送信された鍵識別情報要求メッセージが与えられる。
通信端末30Aの鍵識別情報取得部37は、鍵識別要求メッセージを受信すると、鍵識別情報管理部32に対して鍵の識別情報を要求する。そして、鍵識別情報管理部32からネットワーク鍵「MNK_1」の識別情報及び一時ネットワーク鍵「TNK_3」を示す鍵の識別情報(1−3)が鍵識別情報取得部37に与えられる。
そして、鍵識別情報取得部37は、鍵識別情報管理部32から取得した鍵の識別番号(1−3)を、短期利用鍵取得部33へ与え、一時ネットワーク鍵「TNK_3」を取得する。鍵識別情報取得部37は、前記取得した一時ネットワーク鍵「TNK_3」と、前記受信した鍵識別情報要求メッセージに含まれるチャレンジ情報とを利用して、鍵識別情報応答メッセージ1を生成し、生成した前記鍵識別情報応答メッセージ1を、送信部38を介して通信端末30Cに応答する(T106)。ここで、鍵識別情報応答メッセージ1の生成には、カウンタ情報、時刻情報や、自身のアドレス情報等、再生攻撃を防ぐための情報を利用しても良い。
通信端末30Cの鍵識別情報取得部37は、受信部39から鍵識別情報応答メッセージ1が与えられる。鍵識別情報取得部37は、鍵識別情報応答メッセージ1に明示される鍵の識別情報(1−3)を短期利用鍵取得部33へ与え、短期利用鍵取得部33から一時ネットワーク鍵「TNK_3」を取得する。
鍵識別情報取得部37において、受信部39より与えられた鍵識別情報応答メッセージ1が、一時ネットワーク鍵「TNK_3」と、自身が送信したチャレンジ情報とを利用して生成された正当なものであるか否かを検証し、正当だと認証できた場合には、前記鍵の識別情報(1−3)を鍵識別情報管理部32へ与える。ここで、正当だと認証できた鍵識別情報応答メッセージ1の生成に利用された、カウンタ情報や、送信元のアドレス情報を、前記鍵の識別情報(1−3)と共に短期利用鍵取得部33へ与えても良い。
鍵識別情報管理部32は、鍵識別情報取得部37より、鍵の識別情報(1−3)が与えられることにより、当該鍵の識別情報(1−3)を現在ネットワークで利用されている最新の鍵の識別情報であると判断し、さらに新しくした鍵の識別情報(1−4)を設定し管理する(T109)。
通信端末30Bの鍵識別情報取得部37においても、通信端末30Aの場合と同様の処理が行なわれ、鍵の識別情報(1−4)を含む鍵識別情報応答メッセージ2を生成し、この鍵識別情報応答メッセージ2を、送信部38を介して通信端末30Cに応答する(T108)。
通信端末30Cの鍵識別情報取得部37では、T107の場合と同様にして、通信端末30Bから受信した鍵識別情報応答メッセージ2の鍵識別情報(1−4)を正当だと認証する。そして、鍵識別情報管理部32は、鍵識別情報取得部37より、鍵の識別情報(1−4)を与えられることにより、自身の管理する鍵の識別情報(1−4)と比較する。鍵識別情報管理部32は、当該鍵の識別情報(1−4)をさらに新しくした鍵の識別情報(1−5)を設定し管理する(T109)。
通信端末30Cの通信フレーム生成部34において、通信端末30Aに対する通信フレーム1が発生し、第1の実施形態の動作で説明したように、セキュアな通信フレーム1を生成し、送信する(T110)。セキュアな通信フレーム1には、鍵の識別情報(1−5)が明示される。
通信端末30Aの通信フレーム取得部35において、第1の実施形態の動作で説明したように、セキュアな通信フレーム1をセキュリティ処理(復号/認証)し、通信フレーム1を取得する。そして、鍵識別情報管理部32において、セキュアな通信フレーム1に明示されていた鍵の識別情報(1−5)を与えられ、自身の管理する鍵の識別情報(1−3)と比較する。鍵識別情報管理部32は、通信フレーム取得部35より取得した鍵の識別情報(1−5)が、自身の管理する鍵の識別情報(1−3)よりも新しいことを受けて、自身の管理する鍵の識別情報を(1−5)に更新する(T111)。
通信端末30Cの長期利用鍵更新部36において、新しいマスターネットワーク鍵の通知メッセージを受け取り、新しいマスターネットワーク鍵「MNK_2」を取得する(T112)。そして、長期利用鍵更新部36は、前記マスターネットワーク鍵「MNK_2」を長期利用鍵管理部31へ与える。
通信端末30Aの通信フレーム生成部34において、ブロードキャストの通信フレーム2が発生し、第1の実施形態の動作で説明したように、セキュアな通信フレーム2を生成し、送信する(T114)。
ここで、鍵識別情報管理部32は、一時ネットワーク鍵「TNK_5」の識別情報となっていることを受けて、一時ネットワーク鍵の通番の満期が近いと判断し、マスターネットワーク鍵をマスターネットワーク鍵「MNK_2」の識別情報に更新する(T102)。同時に、鍵識別情報管理部32は、一時ネットワーク鍵の識別情報を初期化して、一時ネットワーク鍵「TNK_0」の識別情報とする。そのため、通信端末30Aが送信するセキュアな通信フレーム2には、鍵の識別情報(2−0)が明示される。
通信端末30Bの通信フレーム取得部35において、第1の実施形態の動作で説明したように、セキュアな通信フレーム2をセキュリティ(復号/認証)し、通信フレーム2を取得する。鍵識別情報管理部32において、セキュアな通信フレーム2に明示されていた鍵の識別情報(2−0)を与えられ、自身の管理する鍵の識別情報(1−4)と比較する。鍵識別情報管理部32は、通信フレーム取得部35より取得した鍵の識別情報(2−0)が、自身の管理する鍵の識別情報(1−4)よりも新しいことを受けて、自身の管理する鍵の識別情報を(2−0)に更新する(T104)。
通信端末30Cにおいても通信端末30Bと同様に、通信フレーム2を取得する。鍵識別情報管理部32は、自身の管理する鍵の識別情報を(2−0)に更新する(T113)。
(B−3)第2の実施形態の効果
以上のように、第2の実施形態によれば、第1の実施形態からさらに、各通信端末が、自身の管理する鍵の識別情報よりも新しいと判断される鍵の識別情報で識別される一時ネットワーク鍵で、セキュリティ処理された通信フレームを正しく取得できた場合に、前記新しいと判断した鍵の識別情報を、現在ネットワークで利用されている最新の鍵の識別情認であるとして管理(更新)する。また、スリープ状態への突入や、再起動等により、最新の鍵の識別情報を消失した通信端末が、他の通信端末に鍵の識別情報を要求し,他の通信端末より現在利用する鍵の識別情報を応答されることによって、自身の管理する鍵の識別情報を最新の鍵の識別情報に更新する。
以上により、第1の実施形態からさらに、ネットワーク全体で一時ネットワーク鍵の同期のズレを許しつつ、最新の一時ネットワーク鍵を利用することを同期できる柔軟かつセキュアなネットワーク共通鍵通信システムを提供できる。
(C)他の実施形態
上記各実施形態の説明においても、種々変形実施形態に言及したが、さらに以下に例示するような変形実施形態を挙げることができる。
第1、第2の実施形態では、大規模メッシュネットワークと言及したが、この規模、及び、ネットワークトポロジーに限定するものではない。小規模のネットワークであっても良いし、ツリー型のネットワークトポロジーであっても良い。
第1、第2の実施形態では、ネットワーク全体で共有する共通鍵として、マスターネットワーク鍵と一時ネットワーク鍵を定義したが、それら鍵を共有する範囲をネットワーク全体に限定するものではない。例えば、これらの鍵は、ネットワーク全体の中の一部の通信端末のみで共有しても良い。
第1、第2の実施形態では、セキュアな通信フレームに明示される鍵の識別情報から一時ネットワーク鍵を取得し、当該一時ネットワーク鍵を利用してセキュアな通信フレームを認証処理することによって、通信フレームを取得したが、前記セキュアな通信フレームに明示される鍵の識別情報が、鍵識別情報管理部において管理する鍵の識別情報と比較して任意の闘値以下(古い)場合には、当該取得した通信フレームを、新規性がないと判断しても良い。
10、20及び30…通信端末、11、21及び31…長期利用鍵管理部、
12、22及び33…短期利用鍵取得部、13及び32…鍵識別情報管理部、
14及び34…通信フレーム生成部、15、24及び36…長期利用鍵更新部、
16及び38…送信部、17、25及び39…受信部、
23及び35…通信フレーム取得部、37…鍵識別情報取得部。

Claims (11)

  1. ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムを形成する通信端末であって、
    マスターネットワーク鍵を保持する長期利用鍵管理手段と、
    通信フレームの暗号化又は認証符号の付与の利用に供する、少なくとも一時ネットワーク鍵の識別情報を含む鍵の識別情報を設定する鍵識別情報管理手段と、
    複数のマスターネットワーク鍵の中から今回利用中であるマスターネットワーク鍵と前記一時ネットワーク鍵の識別情報とに基づいて、前記通信フレームの暗号化又は認証符号の付与に用いる一時ネットワーク鍵を生成する短期利用鍵生成手段と、
    前記短期利用鍵生成手段により生成された前記一時ネットワーク鍵を用いて暗号化又は認証符号の付与を行ない、前記マスターネットワーク鍵の識別情報及び前記一時ネットワーク鍵の識別情報を含むセキュアな通信フレームを生成する通信フレーム生成手段と、
    前記通信フレーム生成手段により生成された前記通信フレームを他の通信端末へ送信する送信手段と
    を備え、
    前記通信フレーム生成手段は、前記短期利用鍵生成手段により生成された前記一時ネットワーク鍵の識別情報、及び前記マスターネットワーク鍵の識別情報を含む前記鍵の識別情報を前記生成したセキュアな通信フレーム内に明示する
    ことを特徴とする通信端末。
  2. ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムを形成する通信端末であって、
    マスターネットワーク鍵を保持する長期利用鍵管理手段と、
    前記ネットワークを介して、他の通信端末から、前記マスターネットワーク鍵の識別情報及び前記一時ネットワーク鍵の識別情報を含む通信フレームを受信する受信手段と、
    前記受信手段により受信されたセキュアな前記通信フレーム内に明示されている鍵の識別情報を抽出する鍵識別情報抽出手段と、
    前記鍵識別情報抽出手段により抽出された前記鍵の識別情報に含まれる前記一時ネットワーク鍵の識別情報と、前記抽出された鍵の識別情報に含まれる前記マスターネットワーク鍵の識別情報に基づいて前記長期利用鍵管理手段から得たマスターネットワーク鍵とに基づいて、前記通信フレームの復号又は認証に用いる一時ネットワーク鍵を生成する短期利用鍵取得手段と、
    前記短期利用鍵取得手段により生成された前記一時ネットワーク鍵を用いて、前記受信したセキュアな通信フレームに対して復号又は認証を行ない、通信フレームを取得する通信フレーム取得手段と
    を備えることを特徴とする通信端末。
  3. ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムを形成する通信端末であって、
    マスターネットワーク鍵を保持する長期利用鍵管理手段と、
    通信フレームの暗号化又は認証符号の付与の利用に供する、少なくとも一時ネットワーク鍵の識別情報を含む鍵の識別情報を設定する鍵識別情報管理手段と、
    複数のマスターネットワーク鍵の中から今回利用中であるマスターネットワーク鍵と前記一時ネットワーク鍵の識別情報とに基づいて、前記通信フレームの暗号化又は認証符号の付与に用いる一時ネットワーク鍵を生成する短期利用鍵生成手段と、
    前記短期利用鍵生成手段により生成された前記一時ネットワーク鍵を用いてセキュリティ処理を行ない、前記マスターネットワーク鍵の識別情報及び前記一時ネットワーク鍵の識別情報を含むセキュアな通信フレームを生成する通信フレーム生成手段と、
    前記通信フレーム生成手段により生成された前記通信フレームを他の通信端末へ送信する送信手段と、
    ネットワークを介して他の通信端末から、前記マスターネットワーク鍵の識別情報及び前記一時ネットワーク鍵の識別情報を含む前記通信フレームを受信する受信手段と、
    前記受信手段により受信されたセキュアな前記通信フレーム内に明示されている前記鍵の識別情報を抽出する鍵識別情報抽出手段と
    前記鍵識別情報抽出手段により抽出された前記鍵の識別情報に含まれる前記一時ネットワーク鍵の識別情報と、前記抽出された鍵の識別情報に含まれる前記マスターネットワーク鍵の識別情報に基づいて前記長期利用鍵管理手段から得たマスターネットワーク鍵とに基づいて、前記一時ネットワーク鍵を生成する短期利用鍵取得手段と、
    前記短期利用鍵取得手段により生成された前記一時ネットワーク鍵を用いて、前記受信したセキュアな通信フレームに対してセキュリティ処理を行い、通信フレームを取得する通信フレーム取得手段と、
    を備え、
    前記通信フレーム生成手段は、前記短期利用鍵生成手段により生成された前記一時ネットワーク鍵の識別情報、及び前記マスターネットワーク鍵の識別情報を含む前記鍵の識別情報を前記生成したセキュアな通信フレーム内に明示する
    ことを特徴とする通信端末。
  4. 前記ネットワークから受信した新しいマスターネットワーク鍵を取得し、取得した新たしいマスターネットワーク鍵を前記長期利用鍵管理手段に記憶する長期利用鍵更新手段を更に備えることを特徴とする請求項1〜3のいずれかに記載の通信端末。
  5. 前記鍵識別情報管理手段で設定される前記鍵の識別情報は、任意のタイミングで更新されるものであることを特徴とする請求項1又は3に記載の通信端末。
  6. 前記鍵識別情報管理手段は、前記鍵の識別情報としての通番を示すカウンタ情報の大小判断、若しくは、前記鍵に割り当てられたビット列の重複の有無を判断することにより、前記鍵識別情報抽出手段により受信したセキュアな前記通信フレーム内に明示されている前記鍵の識別情報が、自身が利用している前記鍵の識別情報よりも新しい場合に、今回受信した前記通信フレーム内に明示されている前記鍵の識別情報を最新の鍵の識別情報とすることを特徴とする請求項3に記載の通信端末。
  7. 前記鍵の識別情報は、少なくとも前記一時ネットワーク鍵の通番を表すカウンタ情報を含み、前記鍵識別情報管理手段は、当該カウンタ情報の大小により最新か否かを判断するものであることを特徴とする請求項6に記載の通信端末。
  8. 前記鍵の識別情報は、少なくとも前記マスターネットワーク鍵の通番を表す情報と、前記一時ネットワーク鍵の通番を表すカウンタ情報とを含み、前記鍵識別情報管理手段は、前記マスターネットワーク鍵の通番を表す情報が同一の限りにおいて、前記一時ネットワーク鍵の通信を表すカウンタ情報の大小により最新か否かを判断することを特徴とする請求項6に記載の通信端末。
  9. 他の通信端末に対して当該他の通信端末が管理する前記鍵の識別情報を要求し、又は、他の通信端末からの要求に応じて、自端末の前記鍵識別情報管理手段で利用する前記鍵の識別情報を応答する鍵識別情報取得手段を更に備え、
    前記鍵識別情報管理手段は、前期鍵識別情報取得手段により取得された前記鍵の識別情報に基づいて、自身の前記鍵の識別情報の設定又は更新を行うことを特徴とする請求項3、6〜8のいずれかに記載の通信端末。
  10. 前記鍵識別情報管理手段は、前記鍵識別情報取得手段により取得された前記鍵の識別情報よりも新しいと判断される鍵の識別情報を、自身の前記鍵の識別情報として設定又は更新することを特徴とする請求項9に記載の通信端末。
  11. ネットワークにおいて共通鍵を利用して通信フレームの暗号化や認証を行うセキュアな通信システムであって、請求項1〜10のいずれかに記載の複数の通信端末を備えることを特徴とする通信システム。
JP2010020401A 2010-02-01 2010-02-01 通信端末及び通信システム Active JP5975594B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2010020401A JP5975594B2 (ja) 2010-02-01 2010-02-01 通信端末及び通信システム
CN201010609943.6A CN102143152B (zh) 2010-02-01 2010-12-20 通信终端以及通信系统
US12/929,530 US9059839B2 (en) 2010-02-01 2011-01-31 Communication terminal using a temporary network key for assembling a secure communication frame

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010020401A JP5975594B2 (ja) 2010-02-01 2010-02-01 通信端末及び通信システム

Publications (2)

Publication Number Publication Date
JP2011160210A JP2011160210A (ja) 2011-08-18
JP5975594B2 true JP5975594B2 (ja) 2016-08-23

Family

ID=44341663

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010020401A Active JP5975594B2 (ja) 2010-02-01 2010-02-01 通信端末及び通信システム

Country Status (3)

Country Link
US (1) US9059839B2 (ja)
JP (1) JP5975594B2 (ja)
CN (1) CN102143152B (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5692244B2 (ja) * 2011-01-31 2015-04-01 富士通株式会社 通信方法、ノード、およびネットワークシステム
US8819435B2 (en) * 2011-09-12 2014-08-26 Qualcomm Incorporated Generating protocol-specific keys for a mixed communication network
RU2015116889A (ru) * 2012-10-05 2016-11-27 Конинклейке Филипс Н.В. Проверка подлинности осветительного устройства
WO2014147934A1 (ja) * 2013-03-21 2014-09-25 パナソニック株式会社 通信装置、通信システム及び通信方法
JP6163880B2 (ja) * 2013-05-29 2017-07-19 沖電気工業株式会社 通信装置、通信システム及び通信方法
JP6179815B2 (ja) * 2014-01-10 2017-08-16 パナソニックIpマネジメント株式会社 暗号化データ通信装置、暗号化データ通信方法、プログラム、及び、記録媒体
JP6512023B2 (ja) * 2015-08-07 2019-05-15 株式会社デンソー 通信システム、送信ノード、及び受信ノード
CN106487743B (zh) * 2015-08-25 2020-02-21 阿里巴巴集团控股有限公司 用于支持多用户集群身份验证的方法和设备
JP6436038B2 (ja) * 2015-09-30 2018-12-12 パナソニックIpマネジメント株式会社 通信装置、マルチホップ通信システム、及び、通信方法
JP6814976B2 (ja) 2016-10-04 2021-01-20 パナソニックIpマネジメント株式会社 通信装置及び通信システム
EP3664364A4 (en) * 2017-08-02 2021-04-21 Nippon Telegraph And Telephone Corporation ENCRYPTED COMMUNICATION DEVICE, ENCRYPTED COMMUNICATION SYSTEM, ENCRYPTED COMMUNICATION METHOD, AND PROGRAM
US11924341B2 (en) * 2021-04-27 2024-03-05 Rockwell Collins, Inc. Reliable cryptographic key update
US20240097897A1 (en) * 2022-09-21 2024-03-21 Itron, Inc. Encryption key management in mesh networks
CN116866899B (zh) * 2023-09-04 2023-11-28 北京理工大学 多节点无线自组网通信方法、装置、电子设备及存储介质
CN116996222B (zh) * 2023-09-27 2023-12-12 江西财经大学 数据安全传输方法、装置、可读存储介质及电子设备
CN117439866B (zh) * 2023-10-12 2024-08-20 南京麦杰软件有限公司 一种用于在维修工作期间保证网络通信的方法及设备

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5222137A (en) * 1991-04-03 1993-06-22 Motorola, Inc. Dynamic encryption key selection for encrypted radio transmissions
JPH0698179A (ja) * 1992-05-29 1994-04-08 Nec Corp ファクシミリ装置
JPH09312642A (ja) * 1996-05-20 1997-12-02 Fujitsu Ltd データ通信方式
JPH104403A (ja) * 1996-06-17 1998-01-06 N T T Data Tsushin Kk 暗号化装置、復号化装置およびその方法
JP2000115153A (ja) * 1998-09-30 2000-04-21 Fujitsu Ltd セキュリティ方法及びセキュリティ装置
JP3362780B2 (ja) * 1999-12-15 2003-01-07 日本電信電話株式会社 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体
JP2001345796A (ja) * 2000-05-31 2001-12-14 Matsushita Electric Ind Co Ltd ファイル暗号復号装置
JP2002300158A (ja) * 2000-11-02 2002-10-11 Hitachi Ltd 総合データ配信サービスにおける権利保護方法
JP2002290396A (ja) * 2001-03-23 2002-10-04 Toshiba Corp 暗号鍵更新システムおよび暗号鍵更新方法
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
JP2003101533A (ja) * 2001-09-25 2003-04-04 Toshiba Corp 機器認証管理システム及び機器認証管理方法
JP4388354B2 (ja) * 2003-12-03 2009-12-24 日本電信電話株式会社 Id自動識別システム、タグ装置、センタ装置、id自動識別方法、プログラム及び記録媒体
JP4784044B2 (ja) * 2004-03-15 2011-09-28 富士電機株式会社 通信方法および通信装置
JP2006019975A (ja) * 2004-06-30 2006-01-19 Matsushita Electric Ind Co Ltd 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
CN100581283C (zh) * 2004-11-16 2010-01-13 北京三星通信技术研究有限公司 适用于多媒体广播与组播业务的密码管理方法
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
WO2007111710A2 (en) * 2005-11-22 2007-10-04 Motorola Inc. Method and apparatus for providing a key for secure communications
JP5043408B2 (ja) * 2006-11-27 2012-10-10 三菱電機株式会社 鍵管理サーバ、端末、鍵共有システム、鍵配信プログラム、鍵受信プログラム、鍵配信方法及び鍵受信方法
JPWO2008096396A1 (ja) * 2007-02-02 2010-05-20 パナソニック株式会社 無線通信装置および暗号鍵更新方法
US20080195740A1 (en) * 2007-02-12 2008-08-14 Mobitv, Inc. Maintaining session state information in a client server system
JP4962117B2 (ja) * 2007-04-25 2012-06-27 コニカミノルタホールディングス株式会社 暗号通信処理方法及び暗号通信処理装置
US8595486B2 (en) * 2008-07-15 2013-11-26 Industrial Technology Research Institute Systems and methods for authorization and data transmission for multicast broadcast services
CN101483865A (zh) * 2009-01-19 2009-07-15 中兴通讯股份有限公司 一种密钥更替方法、系统及设备
US8572384B2 (en) * 2009-10-27 2013-10-29 Samsung Electronics Co., Ltd. Method and apparatus for updating an authorization key in a communication system

Also Published As

Publication number Publication date
JP2011160210A (ja) 2011-08-18
CN102143152A (zh) 2011-08-03
CN102143152B (zh) 2014-09-17
US20110188654A1 (en) 2011-08-04
US9059839B2 (en) 2015-06-16

Similar Documents

Publication Publication Date Title
JP5975594B2 (ja) 通信端末及び通信システム
US10680833B2 (en) Obtaining and using time information on a secure element (SE)
US8559642B2 (en) Cryptographic communication with mobile devices
Amoah et al. Securing DNP3 broadcast communications in SCADA systems
Nicanfar et al. Efficient authentication and key management mechanisms for smart grid communications
US20020154782A1 (en) System and method for key distribution to maintain secure communication
JP5589410B2 (ja) 通信システム及び通信装置
WO2017024179A1 (en) Secure certificate distribution
JP2005236850A (ja) データ通信装置および方法、並びにプログラム
JP5378296B2 (ja) 通信装置および通信方法
CN111080299B (zh) 一种交易信息的防抵赖方法及客户端、服务器
CN101815294A (zh) P2p网络的接入认证方法、设备和系统
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
KR100892616B1 (ko) 무선 센서 네트워크에서의 새로운 장치 참여 방법
US11743035B2 (en) Methods, mediums, and systems for verifying devices in an encrypted messaging system
CN107911339B (zh) 信息维护方法及装置
US20240064143A1 (en) Methods, mediums, and systems for verifying devices in an encrypted messaging system
KR20190040443A (ko) 스마트미터의 보안 세션 생성 장치 및 방법
Piccoli et al. Group key management in constrained IoT settings
Yang et al. Design of Key Management Protocols for Internet of Things.
KR20210126319A (ko) 키 관리 장치 및 방법
US11658955B1 (en) Methods, mediums, and systems for verifying devices in an encrypted messaging system
JP2012085036A (ja) 通信システム、並びに、通信装置及びプログラム
JP5799240B2 (ja) 暗号通信システム、端末装置
Raza et al. Design and implementation of a security manager for WirelessHART networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140217

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20140217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141110

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150703

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150710

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20150807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160601

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160719

R150 Certificate of patent or registration of utility model

Ref document number: 5975594

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150