JP2013201537A - 鍵生成装置および鍵生成方法 - Google Patents

鍵生成装置および鍵生成方法 Download PDF

Info

Publication number
JP2013201537A
JP2013201537A JP2012067719A JP2012067719A JP2013201537A JP 2013201537 A JP2013201537 A JP 2013201537A JP 2012067719 A JP2012067719 A JP 2012067719A JP 2012067719 A JP2012067719 A JP 2012067719A JP 2013201537 A JP2013201537 A JP 2013201537A
Authority
JP
Japan
Prior art keywords
application
key
node
unit
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012067719A
Other languages
English (en)
Other versions
JP5634427B2 (ja
Inventor
Yoshimichi Tanizawa
佳道 谷澤
Shinichi Baba
伸一 馬場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2012067719A priority Critical patent/JP5634427B2/ja
Priority to US13/714,809 priority patent/US9240882B2/en
Priority to CN2013100532386A priority patent/CN103326850A/zh
Publication of JP2013201537A publication Critical patent/JP2013201537A/ja
Application granted granted Critical
Publication of JP5634427B2 publication Critical patent/JP5634427B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】暗号鍵の効率的な生成および共有を行う。
【解決手段】鍵生成装置は、外部装置と接続される。鍵生成装置は、生成部と第1通信部と保持部と制御部とを備える。生成部は、暗号鍵を生成する。第1通信部は、外部装置との間で暗号鍵を送受信する。保持部は、暗号鍵を利用するアプリケーションとの間の通信の状態を表す状態情報を保持する。制御部は、状態情報に応じて、生成部が暗号鍵を生成する頻度を変更する制御、または、第1通信部が暗号鍵を送受信する頻度を変更する制御を行う。
【選択図】図2

Description

本発明の実施形態は、鍵生成装置および鍵生成方法に関する。
複数のリンクによって相互に接続され、ネットワーク化された複数のノードから構成される暗号通信ネットワークが知られている。各ノードは、リンクによって接続された対向ノードとの間で乱数を生成して共有する機能と、その乱数を暗号鍵(以下、リンク鍵)として利用して、リンク上で暗号通信を行う機能とを備える。また、ノードのうちの幾つかは、リンクとは独立に乱数を生成する機能と、別のノードに対し、生成した乱数を送信する機能とを備える。暗号通信ネットワークにおけるアプリケーションは、ノードから、乱数を取得し、これを暗号鍵(以下、アプリケーション鍵)として利用して、別のアプリケーションとの間で暗号通信を行う機能を備える。アプリケーションは、ノードと一体として実現されてもよいし、ノードと独立した端末として実現されてもよい。
ノードにおいて、リンクによって接続された対向ノードとの間で乱数(リンク鍵)を生成・共有する機能は、例えば、一般に量子暗号通信と呼ばれる技術により実現する。この場合、ノードにおいて、リンクとは独立に乱数(アプリケーション鍵)を生成し、生成した乱数を別のノードにリンクを介して送信する技術は、量子鍵配送(Quantum Key Distribution、QKD)と呼ばれることがある。
Dianati, M., Alleaume, R., Gagnaire, M. and Shen, X. (2008), Architecture and protocols of the future European quantum key distribution network. Security and Communication Networks, 1: 57-74. DOI: 10.1002/sec.13
しかしながら、従来技術では、リンクとは独立に生成する乱数(アプリケーション鍵)の生成タイミングや頻度などの具体的な生成手順が明らかになっていないため、アプリケーション鍵の効率的な生成・共有を行うことができない。
実施形態の鍵生成装置は、外部装置と接続される。鍵生成装置は、生成部と第1通信部と保持部と制御部とを備える。生成部は、暗号鍵を生成する。第1通信部は、外部装置との間で暗号鍵を送受信する。保持部は、暗号鍵を利用するアプリケーションとの間の通信の状態を表す状態情報を保持する。制御部は、状態情報に応じて、生成部が暗号鍵を生成する頻度を変更する制御、または、第1通信部が暗号鍵を送受信する頻度を変更する制御を行う。
本実施形態にかかる通信システムのネットワーク構成図。 ノードのブロック図。 アプリケーション鍵情報の一例を示す図。 対応情報の一例を示す図。 セッション情報の一例を示す図。 セッションの状態の一例を示す図。 アプリケーションのブロック図。 セッション開始処理のシーケンス図。 セッション継続処理のシーケンス図。 セッション終了処理のシーケンス図。 本実施形態の鍵生成装置のハードウェア構成図。
以下に添付図面を参照して、この発明にかかる鍵生成装置の好適な実施形態を詳細に説明する。
本実施形態にかかる鍵生成装置(ノード)は、暗号鍵(アプリケーション鍵)を利用するアプリケーションとの間の通信の状態に応じて、アプリケーション鍵の生成頻度、および、アプリケーション鍵を他のノードとの間で送受信(交換)する頻度などを制御する。
図1は、本実施形態にかかる通信システムのネットワーク構成例を示す図である。通信システムは、鍵生成装置としてのノード100a〜100cと、アプリケーション200a、200cと、を含む。
ノード100a〜100cを区別する必要がない場合は、単にノード100という場合がある。アプリケーション200a、200cを区別する必要がない場合は、単にアプリケーション200という場合がある。ノード100の個数は3に限られるものではない。また、アプリケーション200の個数は2に限られるものではない。
ノード100a〜100cは、上述のように、対向ノードとの間で乱数を生成して共有する機能と、生成した乱数をリンク鍵として利用して、リンク上で暗号通信を行う機能とを備える。
ノード100は、リンクとは独立に乱数を生成する機能と、別のノードに対して生成した乱数を送信する機能とを備えてもよい。以下では、ノード100aおよび100c(アプリケーション200a、200cと接続されるノード)がこれらの機能を備える例を説明する。具体的には、図1に示す以下のようなネットワーク構成の例を説明する。
・ノード100aとノード100bが暗号通信ネットワークであるリンク300aで接続され、ノード100bとノード100cが、暗号通信ネットワークであるリンク300bで接続されているネットワークである。
・アプリケーション200aは、アプリケーション200cと暗号通信を行う。
・アプリケーション200aは、暗号通信のために、ノード100aからアプリケーション鍵を取得する。
・アプリケーション200cは、暗号通信のために、ノード100cからアプリケーション鍵を取得する。
図2は、ノード100の構成の一例を示すブロック図である。図2に示すように、ノード100は、第1生成部101と、第1通信部102と、第2生成部103と、鍵管理部104と、第2通信部105と、保持部106と、制御部107と、プラットフォーム部108と、を備えている。
第1生成部101は、リンク鍵を生成・共有するリンク(リンク鍵生成共有リンク)であるリンク51によって接続された対向ノードとの間で、乱数を生成して共有する。第1生成部101は、生成された乱数をリンク鍵として、自身により管理する。リンク鍵は、例えば第1生成部101の内部または外部の記憶装置(RAM(Random Access Memory)、HDD(Hard Disk Drive)など)に記憶されて管理される。
第1生成部101は、例えば量子暗号通信技術を用いて乱数を生成する。乱数生成方法はこれに限られるものではなく、従来から用いられているあらゆる乱数生成方法を適用できる。
第1通信部102は、他のノード100(外部装置)との間の通信リンク(ノード間通信リンク)であるリンク52によって接続された当該他のノード100との間でデータの送受信(ノード間データ通信)を行う際に利用される。ここで、リンク52は、リンク51と同一であってもよいし、異なっていてもよい。また、リンク52で接続された対向ノードと、リンク51で接続された対向ノードとが同一である場合もあるし、異なる場合もある。
ノード間データ通信の相手となる他のノード100は、リンク52によって直接接続された対向ノード(ノード100aに対するノード100b)である場合もあるし、その対向ノードの別のノード間通信リンクを介してさらに接続される別のノード100(例えばノード100aに対するノード100c)である場合もある。この場合、第1通信部102は、暗号通信ネットワークにおいて、複数のノード100を介して通信を行うためのルーティング機能を提供してもよい。また、ノード間データ通信は、第1生成部101が生成・共有したリンク鍵を用いて暗号化された通信であってもよい。
第2生成部103は、第1生成部101とは独立に、乱数を生成し、生成した乱数を他のノード100と共有する機能を持つ。他のノード100と乱数を共有する際に、第1通信部102の機能を用いてもよい。第2生成部103が生成して共有した乱数を、アプリケーション鍵と呼ぶ。第2生成部103は、アプリケーション鍵の生成または/および共有を行うタイミングまたは/および頻度、並びに、アプリケーション鍵を交換するノード100、を決定する際に、保持部106が保持するセッション情報(詳細は後述)を参照する。
鍵管理部104は、第2生成部103が生成して共有したアプリケーション鍵を管理する。鍵管理部104は、第2通信部105からの要求に応じて、適切なアプリケーション鍵を選択して受け渡す。
図3は、鍵管理部104が記憶するアプリケーション鍵情報の一例を示す図である。アプリケーション鍵情報とは、鍵管理部104がアプリケーション鍵の管理のために用いる情報である。アプリケーション鍵情報は、各ノード100におけるアプリケーション鍵の共有状況を示す。図3に示すように、アプリケーション鍵情報は、相手ノードのIDと、生成元情報と、アプリケーション鍵とを含む。
相手ノードのIDは、アプリケーション鍵を共有する相手となるノード100を識別する情報(例えばIPアドレス)である。生成元情報は、アプリケーション鍵の生成元を特定する情報である。例えば、生成元情報が1のとき、自装置がアプリケーション鍵を生成したことを表す。また、生成元情報が0のとき、アプリケーション鍵を共有する他のノード100が当該アプリケーション鍵を生成したことを表す。
通常、ノード100は、複数の他のノード100とアプリケーション鍵を共有する。また、ノード100は、1つの他のノード100との間に複数のアプリケーション鍵を共有する。
アプリケーション鍵情報は、少なくとも相手ノードのIDとアプリケーション鍵を含めばよく、例えば生成元情報は含まなくてもよい。また、アプリケーション情報は、アプリケーション鍵自体を含んでもよいし、アプリケーション鍵へのリンクまたはアプリケーション鍵のIDのみを含むように構成してもよい。また、アプリケーション鍵情報では、アプリケーション鍵を利用するセッション(鍵利用セッション)ごとの区別は行わない。
鍵管理部104は、例えば図示しない記憶部に記憶される対応情報(アプリケーションディレクトリ)を参照してアプリケーション200とノード100との接続関係を特定する。図4は、対応情報の一例を示す図である。図4に示すように、対応情報は、アプリケーションのIDと、ノードのIDとを含む。アプリケーションのIDは、アプリケーション200を識別する情報である。ノードのIDは、対応するアプリケーション200と接続されるノード100を識別する情報である。アプリケーションのID、および、ノードのIDは、例えばそれぞれアプリケーション200のIPアドレスおよびノード100のIPアドレスである。
例えば、図1の例では、アプリケーション200aから、アプリケーション200cとの通信にアプリケーション鍵を利用したい旨の通知を受けるノード100aは、アプリケーション200cの情報から、これが接続されているノードであるノード100cを特定する必要がある。ノード100aの鍵管理部104は、この特定処理のために図4のような特定情報を参照する。
なお、各ノード100が特定情報を取得する方法については、特に限定しない。例えば、アプリケーション200からの登録を受け付けたノード100が全てのノード100に対して情報を通知するようにしてもよい。また、所定のサーバなどで特定情報を集中管理し、必要に応じて各ノードがこのサーバに対して特定情報を問い合わせるようにしてもよい。
図2に戻る。第2通信部105は、アプリケーション200との間の通信リンク(アプリケーション通信リンク)によって接続された当該アプリケーション200との間でデータ通信を行う際に利用される。例えば、第2通信部105は、アプリケーション200からの要求を受け付け、アプリケーション200に対してアプリケーション鍵を提供する。
ここで、アプリケーション通信リンクについては特に規定しないため、アプリケーション200は、何らかのネットワークを介してノード100と接続される別のコンピュータ上に存在していてもよい。この場合、ノード100とアプリケーション200とを接続するネットワーク上では、ファイアウォール、データの暗号化、およびデータの認証等、既存のネットワークセキュリティ機能が実現されていてもよい。アプリケーション200がノード100上に存在し、ソフトウェアのAPI(Application Program Interface)を介して第2通信部105と接続していてもよい。
また、アプリケーション200とノード100(すなわち第2通信部105)との間の通信、すなわち、ノード100とアプリケーション200との間で実施されるアプリケーション鍵の要求および取得のための通信は、セッション情報を用いて管理される。セッション情報は、ノード100とアプリケーション200との間の通信の状態(ステート)を表す情報(状態情報)である。
また、アプリケーション200が暗号通信を行う際に、アプリケーション200から接続される2つのノード100は、その暗号通信に関して同一のまたは関連付けられたセッション情報を共有する。すなわち、例えばアプリケーション200aとアプリケーション200cとが暗号通信を行う際、アプリケーション200aとノード100aの間でセッション情報が管理され、また、ノード100cとアプリケーション200cとの間でセッション情報が管理される。これら2つのセッションは、同一であるか、または関連付けられる。
そのため、第2通信部105は、アプリケーション200との間で何らかのセッション制御プロトコルを利用して通信してもよい。セッション制御プロトコルの一例として、例えばSIP(Session Initiation Protocol)を用いてもよい。第2通信部105が、さらに、セッション制御に関する情報を、暗号通信ネットワークを介して他のノード100へ(例えばノード100aからノード100cへ)中継するように構成してもよい。なお、このような他のノード100との通信に際し、第2通信部105は、第1通信部102を利用することができる。
第2通信部105が、アプリケーション200からの要求を検証し、検証された場合に当該アプリケーション200との間の通信を実行するように構成してもよい。ここで、検証とは、アプリケーション200のアプリケーション鍵利用権限の確認や、要求データの完全性確認、等である。
図2に戻る。保持部106は、第2通信部105がアプリケーション200と通信することによって更新されるセッション情報を、鍵利用セッションごとに保持する。セッションの状態は、例えば、アプリケーション200と通信することによって、第2通信部105によって遷移(更新)される。また、例えば第2通信部105は、鍵利用セッション開始時に対応するセッション情報を登録し、鍵利用セッション終了後に対応するセッション情報を削除する。
図5は、セッション情報の一例を示す図である。図5に示すように、セッション情報は、セッション識別子と、相手先ノードのIDと、アプリケーションのID1と、アプリケーションのID2と、セッションの状態と、要求スループットと、を含む。
セッション識別子は、セッションを識別する情報である。相手先ノードのIDは、通信相手となるノード100のIDである。アプリケーションのID1は、自装置に対応する(接続される)アプリケーション200のIDである。アプリケーションのID2は、通信相手となるノード100に対応する(接続される)アプリケーション200のIDである。
要求スループットは、自装置に対応するアプリケーション200(アプリケーションのID1で識別されるアプリケーション200)が要求する鍵の利用頻度を表す。アプリケーション200は、例えば通信のたびに、ノード100に対して安全なアプリケーション鍵の生成(利用)を要求する。このような通信ごとにアプリケーション鍵の生成は、例えば、理論的に解読不可能なワンタイムパッド暗号を用いた通信の場合などに必要となる。アプリケーション200は、例えば予測される通信量などに応じて、必要となる鍵生成のスループット(要求スループット)を変更し、ノード100に通知する。ノード100は、通知された要求スループットをセッション情報内に保持する。要求スループットの指定方法は問わないが、例えば単位時間あたりに必要とするアプリケーション鍵の個数を指定するように構成できる。
セッション情報に含まれる各IDは、例えばIPアドレス、または、IPアドレスとポート番号との組として表されてもよい。また、セッション識別子を、対応するアプリケーション200のIPアドレス(またはIPアドレスとポート番号)で表すように構成してもよい。この場合、アプリケーションのID1は省略してもよい。
図6は、セッションの状態の一例を示す図である。図6では、セッションの状態として「開始中」、「接続中」および「終了中」の3つの状態と、各状態間の状態遷移の例が示されている。セッションの状態はこれに限定されるものではない。
初期状態から「開始中」状態(状態701)へは、例えば、ノード100が、対応するアプリケーション200から、アプリケーション鍵の利用開始要求を受信した場合に遷移する(遷移711)。「開始中」状態から「接続中」状態(状態702)へは、例えば、ノード100が、対応するアプリケーション200に対して、アプリケーション鍵の提供を開始した場合に遷移する(遷移712)。
ノード100が、対応するアプリケーション200から、要求スループットの変更要求を受信した場合には、「接続中」状態から「接続中」状態に遷移する(遷移713)。
「接続中」状態から「終了中」状態(状態703)へは、例えば、ノード100が、対応するアプリケーション200から、アプリケーション鍵の利用停止要求を受信した場合に遷移する(遷移714)。
「終了中」状態は、例えば、ノード100が、対応するアプリケーション200から、セッション情報の削除を完了したときに、終了状態に遷移する(遷移715)。
図2に戻る。制御部107は、図5に示すようなセッション情報を参照して、他のノード100との間でのアプリケーション鍵の生成および共有を制御する。例えば、制御部107は、セッション状態が接続中の鍵利用セッションの数、要求スループットの値の合計、および、保持部106にて管理するセッション情報の相手先ノード毎の数等に応じて、第2生成部103がアプリケーション鍵を生成する頻度を変更する。また、制御部107は、セッション状態が接続中の鍵利用セッションの数、要求スループットの値の合計、および、保持部106にて管理するセッション情報の相手先ノード毎の数等に応じて、第1通信部102がアプリケーション鍵を他のノード100に送信する頻度を変更する。
アプリケーション鍵を生成する頻度とは、第2生成部103が第1生成部101とは独立に、アプリケーション鍵(乱数)を生成する頻度である。アプリケーション鍵を共有(交換)する頻度とは、既に生成されたアプリケーション鍵を実際に通信相手のノード100との間で送受信(交換)して互いに共有する頻度である。生成するとともに送受信も行う場合は、両者(アプリケーション鍵を生成する頻度、および、アプリケーション鍵を共有する頻度)を同じ意味に扱ってもよい。
例えば、制御部107は、接続中の鍵利用セッションの数の増加に応じて、アプリケーション鍵を生成する頻度を増加させる。増加させる程度は問わないが、例えば、鍵利用セッションの個数に比例するようにアプリケーション鍵を生成する頻度を増加させてもよい。また、例えば、制御部107は、各鍵利用セッションのセッション情報に含まれる要求スループットの合計値の増加に応じて、アプリケーション鍵を生成する頻度を増加させる。
また、制御部107は、アプリケーション鍵の生成または/および共有を行うノード100を、セッション情報に含まれる相手先ノードのIDによって決定する。
なお、制御部107は、セッション情報が削除された場合、すなわち、他のノード100に接続されたアプリケーション200との間で暗号通信を行っていない場合には、他のノード100との間でアプリケーション鍵を生成して共有する動作を終了してもよい。
プラットフォーム部108は、ノード100上の他の構成要素の管理や、動作に必要なコンピュータのオペレーティングシステム機能等を提供する。
以上、本実施形態におけるノード100の構成について説明した。次に、本実施形態におけるアプリケーション200の構成例について説明する。図7は、本実施形態におけるアプリケーション200の構成例を示すブロック図である。図7に示すように、アプリケーション200は、通信部201と、暗号処理部202と、実行部203と、通信部204と、プラットフォーム部205と、を備えている。
通信部201は、ノード100との間の通信リンク(リンク53)を介して、ノード100(具体的にはノード100の第2通信部105)と接続して各種データを送受信する。例えば、通信部201は、暗号通信を行うために必要なアプリケーション鍵をノード100から取得する。通信部201は、ノード100からアプリケーション鍵を取得する通信に際して、ノード100との間でセッションの確立を行ってもよい。なお、このセッションの情報は、ノード100を介して、アプリケーション200による暗号通信の相手となるアプリケーション200、および、そのアプリケーション200が接続するノード100と共有されてもよい。
例えば、アプリケーション200aとアプリケーション200cとの暗号通信を行う際に、アプリケーション200aとノード100aは鍵利用セッションを確立し、また、アプリケーション200cとノード100cも、そのセッションと同一または関連付けられた鍵利用セッションを確立する。このため、通信部201は、何らかのセッション制御プロトコルを利用してノード100と通信してもよい。
暗号処理部202は、アプリケーション鍵を用いた暗号処理を行う。例えば、暗号処理部202は、通信部201が取得したアプリケーション鍵を保持し、アプリケーション鍵を利用して、暗号通信を行う上で必要なデータの暗号化処理と復号処理を行う。なお、利用する暗号アルゴリズムは特に限定しない。例えば、AES(Advanced Encryption Standard)の様なブロック暗号であってもよいし、OTP(One-time Pad)の様なバーナム暗号であってもよい。
実行部203は、暗号通信を行うアプリケーション機能を実行する。通信を行うものであれば特にアプリケーション機能の種類は限定しない。例えば、実行部203は、ビデオ送信等の機能を実行する。実行部203は、送信データを通信部204へと受け渡し、受信データを通信部204から受け取る。
通信部204は、実行部203の動作に必要な通信機能を提供する。また、データ通信の際には、暗号処理部202を用いてデータの暗号化と復号を行うことができる。通信部204は、アプリケーション200から送信データを受けとると、暗号処理部202を用いてこれを暗号化し、データ通信リンク(リンク54)を介してデータを送信する。データ通信リンクは、通信相手のアプリケーション200との間でデータを送受信するためのリンクである。また、通信部204は、データ通信リンクからデータを受信すると、暗号処理部202を用いて受信したデータを復号し、アプリケーション200へと復号したデータを受け渡す。
プラットフォーム部205は、アプリケーション200上の他の構成要素の管理や、動作に必要なコンピュータのオペレーティングシステム機能等を提供する。
以上、本実施形態におけるアプリケーション200の構成について説明した。上記説明は一例であり、例えばアプリケーション200が、アプリケーション鍵を格納するための記憶部(ストレージ)に対する読み書きを制御する機能(通信部201)のみを備えるように構成してもよい。
次に、本実施形態における3つの基本シーケンスについて説明する。図8は、本実施形態におけるセッション開始処理の全体の流れを示すシーケンス図である。セッション開始処理は、アプリケーション200aがアプリケーション200cとの間で暗号通信を開始する際に、アプリケーション200a、ノード100a、ノード100c、および、アプリケーション200cとの間で実施される。
アプリケーション200aは、ノード100aに対して、アプリケーション鍵の要求を開始するためのメッセージ(開始要求メッセージ)を送信する(ステップS101)。開始要求メッセージは、例えばアプリケーション200aの暗号通信の相手となるアプリケーション200cのID(IPアドレスと接続するポート番号)に関する情報を含む。
開始要求メッセージが、確立するセッションを識別するためのセッション識別子(例えば、アプリケーション200aに割り当てられたIPアドレスと、アプリケーション200aがアプリケーション200cと通信するために用いるアプリケーション200aのポート番号)を含んでもよい。さらに開始要求メッセージが、アプリケーション200aが、アプリケーション200cとの暗号通信に際して利用すると思われるアプリケーション鍵の利用頻度に関する情報(例えば、アプリケーション200aが予測するアプリケーション200cとの間の通信スループットと関連する要求スループット)等を含んでもよい。
この時点で、ノード100aの第2通信部105は、鍵利用セッションに関する情報の管理を開始し、そのセッション状態は開始中となる。
なお、上述のように第2通信部105が開始要求メッセージを転送するためのアプリケーション200とノード100との間の通信のメッセージフォーマットやプロトコルについては特に限定しない。例えば、セッション制御プロトコルを用いてもよい。セッション制御プロトコルの一例としてSIPを用いてもよい。
開始要求メッセージを受け取ったノード100aは、図4に示すアプリケーションディレクトリの機能を利用するなどにより、通信相手を特定する(ステップS102)。例えば、ノード100aの鍵管理部104は、アプリケーション200aが指定した通信相手であるアプリケーション200cの特定と、アプリケーション200cが暗号通信の際に利用するノード100であるノード100cの特定を行う。
また、第2通信部105は、本暗号通信に関連付けられるセッション識別子(必要なら生成する)、アプリケーション200a、ノード100c、および、アプリケーション200cを関連付けたセッション情報を生成し、保持部106に保持させる。第2通信部105が、ノード100aがアプリケーション200c、およびノード100cを特定したことを確認するためのメッセージをアプリケーション200aに対して送信してもよい(ステップS103)。
ノード100aの第1通信部102は、開始要求メッセージにて受け取った情報である、アプリケーション200cのID(例えば、IPアドレスと接続するポート番号)に関する情報、および、本暗号通信に関連付けられるセッション識別子を含むメッセージ(鍵要求メッセージ)を、ノード100cに対して送信する(ステップS104)。鍵要求メッセージが、メッセージの送信元であるノード100aおよびアプリケーション200aの情報を含んでいてもよい。ノード100aとノード100cとの間のメッセージの交換は、一般に暗号化され、図1のリンク300を介して行われる。
なお、鍵要求メッセージを転送するためのノード間(ノード100aとノード100cとの間)の通信のメッセージフォーマットやプロトコルについては特に限定しない。第1通信部102が、前述のアプリケーション200aとノード100aとの間の通信と同一のメッセージフォーマットやプロトコルを用いてもよいし、異なるものを用いてもよい。例えば、セッション制御プロトコルを用いてもよい。セッション制御プロトコルの一例としてSIPを用いてもよい。
ノード100cの第2通信部105は、鍵要求メッセージを受け取ると、鍵要求メッセージに含まれるデータから、関連付けられるセッション識別子、アプリケーション200a、ノード100a、および、アプリケーション200cを関連付けたセッション情報を生成し、保持部106に保持させる(ステップS105)。第2通信部105が、鍵要求メッセージに含まれるアプリケーション200cのIDに関する情報を含むメッセージ(要求元メッセージ)を、アプリケーション200cに対して通知してもよい(ステップS106)。また、要求元メッセージは、メッセージの送信元であるノード100aおよびアプリケーション200aの情報を含んでいてもよい。
この時点で、ノード100cの第2通信部105は、鍵利用セッションに関する情報の管理を開始し、そのセッション状態は開始中となる。
アプリケーション200cは、要求元メッセージに含まれる、メッセージの送信元であるノード100aおよびアプリケーション200aの情報、または、アプリケーション200aが指定するアプリケーション鍵の利用頻度に関する情報(例えば、アプリケーション200aが予測するアプリケーション200cとの間の通信スループットと関連する要求スループット)に基づいて、アプリケーション200aとの暗号通信を受け入れるか否かを判定する(ステップS107)。アプリケーション200cは、判定結果を、メッセージ(結果メッセージ)としてノード100cに通知してもよい(ステップS108)。
ノード100cは、結果メッセージを受けとると、結果メッセージを、ノード100aへと通知する(ステップS109)。
ノード100aは、鍵利用セッションのためのアプリケーション鍵生成および割り当てを行うアプリケーション鍵共有処理を開始する(ステップS110)。具体的には、制御部107が、第2生成部103および第1通信部102を用いて、ノード100cとの間で、アプリケーション鍵の共有を開始する。なお、ノード100aが生成および共有を開始したアプリケーション鍵をノード100cが受け取った場合、ノード100cが、受け取り応答メッセージをノード100aに対して送信してもよい。
以後、ノード100aとノード100cとの間のアプリケーション鍵共有処理は、本セッションの状態が終了状態となるまで継続する。このとき、制御部107は、アプリケーション鍵共有処理を行う頻度を、ノード100aが保持するアプリケーション鍵の利用頻度に関する情報(要求スループット)に基づいて決定する。なお、制御部107は、鍵利用セッションに関連付けられた対向ノードであることから、生成するアプリケーション鍵を共有する相手をノード100cであると決定してもよい。さらに制御部107は、アプリケーション鍵の利用頻度を、保持する他の鍵利用セッションの状態(対向ノードごと)や、保持する他のアプリケーション鍵の利用頻度の合計(対向ノードごと)等、対応する鍵利用セッション以外のセッション情報をも参照して得られる情報に基づいて決定してもよい。
ノード100aは、ノード100cとの共有が完了した鍵のうちの1つを、アプリケーション200aに対して通知する(ステップS111)。この通知のためのメッセージ(鍵通知メッセージ)は、セッション識別子の情報を含んでもよい。また、この時点で、ノード100aが保持する鍵利用セッションの状態は、接続中となる。
鍵通知メッセージによるノード100aからアプリケーション200aへのアプリケーション鍵通知のイベントは、ノード100cにも通知される(ステップS112)。なお、このときの通知のためのメッセージにてアプリケーション鍵を共有してもよい。
ノード100cは、ノード100aとの共有が完了した鍵のうちの1つを、アプリケーション200cに対して通知する(ステップS113)。この通知のためのメッセージ(鍵通知メッセージ)は、セッション識別子の情報を含んでもよい。また、この時点で、ノード100cが保持する鍵利用セッションの状態は、接続中となる。
図9は、本実施形態におけるセッション継続処理の全体の流れを示すシーケンス図である。セッション継続処理は、暗号通信を行っているアプリケーション200aおよびアプリケーション200cにおいて、データの送受信に伴い、新しいアプリケーション鍵が必要となったため、アプリケーション鍵をノード100aまたはノード100cから取得する際に実施される。
アプリケーション200aは、ノード100aに対して、アプリケーション鍵の追加要求を行うためのメッセージ(追加要求メッセージ)を送信する(ステップS201)。追加要求メッセージは、セッション識別子、要求するアプリケーション鍵のサイズ、および、要求するアプリケーション鍵の用途(送信用・受信用)などが含まれてよい。
追加要求メッセージを受け取ったノード100aの鍵管理部104は、追加要求メッセージに含まれるセッション識別子等から、アプリケーション200aに受け渡すアプリケーション鍵を特定する(ステップS202)。このとき、第2通信部105が、セッション識別子によって別途特定されるノード100cに対して、アプリケーション200aに対してアプリケーション鍵を追加提供する旨を通知するメッセージを送信し(ステップS203)、ノード100cからアプリケーション200cへのアプリケーション鍵の提供を同期して実行してもよい。
この場合、ステップS203で送信されたメッセージによって通知を受けたノード100cは、アプリケーション200cに対して、アプリケーション鍵を含むメッセージを通知してもよい(図示しない)。この場合、本シーケンスのステップS205〜ステップS208は実行しなくてもよい。
ノード100aの第2通信部105は、アプリケーション200aに対して、特定した追加のアプリケーション鍵を含むメッセージを通知する(ステップS204)。このメッセージは、セッション識別子の情報を含んでもよい。
なお、これらのアプリケーション鍵の追加提供が行われている際にも、鍵利用セッションが接続中となっているため、ノード100aとノード100cの間のアプリケーション鍵共有処理(図8のステップS110)は継続して行われる。
アプリケーション200cは、ノード100cに対して、アプリケーション鍵の追加要求を行うためのメッセージ(追加要求メッセージ)を送信する(ステップS205)。追加要求メッセージは、セッション識別子、要求するアプリケーション鍵のサイズ、および、要求するアプリケーション鍵の用途(送信用・受信用)などが含まれてよい。通常、用途は、アプリケーション200aが指定したものと逆になる。例えば、アプリケーション200aから暗号化されたデータを受信した際に、このデータを復号するアプリケーション鍵を取得するため、追加要求メッセージの送信を開始するなどのケースがありうる。
追加要求メッセージを受け取ったノード100cの鍵管理部104は、追加要求メッセージに含まれるセッション識別子等から、アプリケーション200cに受け渡すアプリケーション鍵を特定する(ステップS206)。このとき、第2通信部105が、セッション識別子によって別途特定されるノード100aに対して、アプリケーション200cに対してアプリケーション鍵を追加提供する旨を通知するメッセージを送信し(ステップS207)、ノード100aからアプリケーション200aへのアプリケーション鍵の提供を同期して実行してもよい。
ノード100cは、アプリケーション200cに対して、特定した追加のアプリケーション鍵を含むメッセージを通知する(ステップS208)。このメッセージは、セッション識別子の情報を含んでもよい。
図8に示すように、本実施形態では、アプリケーション鍵の利用開始が要求されたときに、アプリケーション鍵共有処理を開始する。そして、セッション状態に応じてアプリケーション鍵の生成頻度または交換頻度などを制御して、必要な量のアプリケーション鍵を複数のノード100間で共有しておくことができる。これにより、アプリケーション200が必要なときにアプリケーション鍵が枯渇することなく、適切に暗号通信を実行できる。すなわち、図9に示すように、実際に追加のアプリケーション鍵が必要になった場合に、適切な頻度で生成および交換済みのアプリケーション鍵をアプリケーション200に提供することができる。このように、本実施形態によれば、アプリケーション鍵を効率的に生成および共有できる。
図10は、本実施形態におけるセッション終了処理の全体の流れを示すシーケンス図である。セッション終了処理は、アプリケーション200aとアプリケーション200cにおいて実行されていた暗号通信を終了させ、今後アプリケーション鍵を利用することがないときに、鍵利用セッションを終了するために実行される。
アプリケーション200aは、ノード100aに対して、アプリケーション鍵を以後利用しない旨を通知するためのメッセージ(終了メッセージ)を送信する(ステップS301)。終了メッセージは、セッション識別子等を含んでもよい。
ノード100aの第2通信部105は、終了メッセージを受け取る。この時点で、ノード100aが保持する鍵利用セッションの状態は、終了中となる。また、ノード100aの制御部107は、セッションの状態が終了中に遷移したことから、ノード100cとの間で鍵利用セッションのために実行していたアプリケーション鍵共有処理を停止してもよい。
ノード100aの第2通信部105は、セッション終了処理を実行する(ステップS302)。例えば、第2通信部105は、受け取った終了メッセージに含まれるセッション識別子に対応するセッション情報を削除する。
なお、異なるセッションが別途アプリケーション鍵を利用中等の場合、すなわち、セッション状態が接続中であるセッションが存在している場合は、アプリケーション鍵共有処理を継続してもよい。ノード100aは、ノード100cと共有しているアプリケーション鍵の終了処理を行うため、ノード100cに対して終了することを通知してもよい(ステップS303)。
ノード100aの第2通信部105は、鍵利用セッションに関連付けられていた情報の削除が完了すると、アプリケーション200aに対して削除が完了したことを通知するメッセージ(削除完了メッセージ)を送信する(ステップS304)。削除完了メッセージは、削除が完了した鍵利用セッションの情報が含まれていてもよい。この時点で、鍵利用セッションに関する情報はノード100aから削除されてもよい。
一方、アプリケーション200cは、ノード100cに対して、アプリケーション鍵を以後利用しない旨を通知するためのメッセージ(終了メッセージ)を送信する(ステップS305)。終了メッセージは、セッション識別子等を含んでもよい。
ノード100cの第2通信部105は、終了メッセージを受け取る。この時点で、ノード100cが保持する鍵利用セッションの状態は、終了中となる。また、ノード100cの制御部107は、セッションの状態が終了中に遷移したことから、ノード100aとの間で鍵利用セッションのために実行していたアプリケーション鍵共有処理を停止してもよい。
ノード100cの第2通信部105は、セッション終了処理を実行する(ステップS306)。例えば、第2通信部105は、受け取った終了メッセージに含まれるセッション識別子に対応するセッション情報を削除する。
なお、異なるセッションが別途アプリケーション鍵を利用中等の場合、すなわち、セッション状態が接続中であるセッションが存在している場合は、アプリケーション鍵共有処理を継続してもよい。ノード100cは、ノード100aと共有しているアプリケーション鍵の終了処理を行うため、ノード100aに対して終了することを通知してもよい(ステップS307)。
ノード100cの第2通信部105は、鍵利用セッションに関連付けられていた情報の削除が完了すると、アプリケーション200cに対して削除が完了したことを通知するメッセージ(削除完了メッセージ)を送信する(ステップS308)。削除完了メッセージは、削除が完了した鍵利用セッションの情報が含まれていてもよい。この時点で、鍵利用セッションに関する情報はノード100cから削除されてもよい。
なお、上記の各シーケンスに記載はないが、アプリケーション200から要求スループットを変更する要求を受信した際、各ノード100が、セッション情報に関連付けられている要求スループットを変更してもよい。この場合、ノード100は、相手ノード(ノード100aに対するノード100cなど)にも要求スループットの変更を通知し、相手ノードにおいても要求スループットを変更してもよい。そして、変更された要求スループットに応じて、ノード100がアプリケーション鍵を生成して共有する頻度を変更してもよい。
以上説明したとおり、本実施形態によれば、アプリケーションとの間のセッションの状態に応じて暗号鍵(アプリケーション鍵)を生成する頻度や交換する頻度を変更する。これにより、アプリケーション鍵を効率的に生成および共有することができる。
本実施形態のノード100およびアプリケーション200が備える各部は、ハードウェア回路により実現してもよいし、一部または全部をソフトウェア(プログラム)により実現してもよい。
次に、本実施形態にかかる鍵生成装置のハードウェア構成について図11を用いて説明する。図11は、本実施形態にかかる鍵生成装置のハードウェア構成例を示す説明図である。
本実施形態にかかる鍵生成装置は、CPU(Central Processing Unit)351などの制御装置と、ROM(Read Only Memory)352やRAM(Random Access Memory)353などの記憶装置と、ネットワークに接続して通信を行う通信I/F354と、HDD(Hard Disk Drive)、CD(Compact Disc)ドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置と、各部を接続するバス361を備えており、通常のコンピュータを利用したハードウェア構成となっている。
本実施形態にかかる鍵生成装置で実行される鍵生成プログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されてコンピュータプログラムプロダクトとして提供される。
また、本実施形態にかかる鍵生成装置で実行される鍵生成プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施形態にかかる鍵生成装置で実行される鍵生成プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
また、本実施形態の鍵生成プログラムを、ROM352等に予め組み込んで提供するように構成してもよい。
本実施形態にかかる鍵生成装置で実行される鍵生成プログラムは、上述した各部(第1生成部、第1通信部、第2生成部、鍵管理部、第2通信部、保持部、制御部、プラットフォーム部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU351(プロセッサ)が上記記憶媒体から鍵生成プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100 ノード
101 第1生成部
102 第1通信部
103 第2生成部
104 鍵管理部
105 第2通信部
106 保持部
107 制御部
108 プラットフォーム部
200 アプリケーション
201 通信部
202 暗号処理部
203 実行部
204 通信部
205 プラットフォーム部

Claims (10)

  1. 外部装置と接続される鍵生成装置であって、
    暗号鍵を生成する生成部と、
    前記外部装置との間で前記暗号鍵を送受信する第1通信部と、
    前記暗号鍵を利用するアプリケーションとの間の通信の状態を表す状態情報を保持する保持部と、
    前記状態情報に応じて、前記生成部が前記暗号鍵を生成する頻度を変更する制御、または、前記第1通信部が前記暗号鍵を送受信する頻度を変更する制御を行う制御部と、
    を備える鍵生成装置。
  2. 前記制御部は、前記アプリケーションとの間の通信の個数に応じて、前記生成部が前記暗号鍵を生成する頻度を変更する制御、または、前記第1通信部が前記暗号鍵を送受信する頻度を変更する制御を行う、
    請求項1に記載の鍵生成装置。
  3. 前記状態情報は、前記アプリケーションが要求した前記暗号鍵の利用頻度を含み、
    前記制御部は、前記状態情報に含まれる前記利用頻度に応じて、前記生成部が前記暗号鍵を生成する頻度を変更する制御、または、前記第1通信部が前記暗号鍵を送受信する頻度を変更する制御を行う、
    請求項1に記載の鍵生成装置。
  4. 前記制御部は、さらに、前記アプリケーションからの要求に応じて、前記保持部が保持する前記状態情報に含まれる前記利用頻度を更新し、更新した前記利用頻度に応じて、前記生成部が前記暗号鍵を生成する頻度を変更する制御、または、前記第1通信部が前記暗号鍵を送受信する頻度を変更する制御を行う、
    請求項3に記載の鍵生成装置。
  5. 予め定められたセッション制御プロトコルに従って前記アプリケーションとの間で情報を送受信する第2通信部をさらに備え、
    前記保持部は、前記セッション制御プロトコルによる通信の状態を表す前記状態情報を保持する、
    請求項1に記載の鍵生成装置。
  6. 前記セッション制御プロトコルは、SIP(Session Initiation Protocol)である、
    請求項5に記載の鍵生成装置。
  7. 前記第2通信部は、前記アプリケーションからの要求を検証し、要求が検証された場合に、前記アプリケーションとの間で情報を送受信する、
    請求項5に記載の鍵生成装置。
  8. 前記保持部は、記憶部に前記暗号鍵を記憶する機能を備えるアプリケーションとの間の通信の状態を表す前記状態情報を保持する、
    請求項1に記載の鍵生成装置。
  9. 前記制御部は、前記状態情報に応じて前記暗号鍵を送受信する前記外部装置を決定する、
    請求項1に記載の鍵生成装置。
  10. 外部装置と接続される鍵生成装置で実行される鍵生成方法であって、
    暗号鍵を生成する生成ステップと、
    前記外部装置との間で前記暗号鍵を送受信する通信ステップと、
    前記暗号鍵を利用するアプリケーションとの間の通信の状態を表す状態情報を保持する保持ステップと、
    前記状態情報に応じて、前記生成ステップが前記暗号鍵を生成する頻度を変更する制御、または、前記通信ステップが前記暗号鍵を送受信する頻度を変更する制御を行う制御ステップと、
    を含む鍵生成方法。
JP2012067719A 2012-03-23 2012-03-23 鍵生成装置、鍵生成方法およびプログラム Active JP5634427B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2012067719A JP5634427B2 (ja) 2012-03-23 2012-03-23 鍵生成装置、鍵生成方法およびプログラム
US13/714,809 US9240882B2 (en) 2012-03-23 2012-12-14 Key generating device and key generating method
CN2013100532386A CN103326850A (zh) 2012-03-23 2013-02-19 密钥产生装置和密钥产生方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012067719A JP5634427B2 (ja) 2012-03-23 2012-03-23 鍵生成装置、鍵生成方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2013201537A true JP2013201537A (ja) 2013-10-03
JP5634427B2 JP5634427B2 (ja) 2014-12-03

Family

ID=49195396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012067719A Active JP5634427B2 (ja) 2012-03-23 2012-03-23 鍵生成装置、鍵生成方法およびプログラム

Country Status (3)

Country Link
US (1) US9240882B2 (ja)
JP (1) JP5634427B2 (ja)
CN (1) CN103326850A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014053816A (ja) * 2012-09-07 2014-03-20 Toshiba Corp 通信ノード、鍵同期方法、鍵同期システム
US9509510B2 (en) 2014-03-19 2016-11-29 Kabushiki Kaisha Toshiba Communication device, communication method, and computer program product
KR101737782B1 (ko) * 2015-06-12 2017-05-19 한국과학기술연구원 복수의 양자 통신 클라이언트로 공통키를 분배하는 방법 및 장치
KR20210056551A (ko) * 2019-11-11 2021-05-20 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램
KR20220049197A (ko) * 2020-10-14 2022-04-21 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5694247B2 (ja) * 2012-07-17 2015-04-01 株式会社東芝 鍵生成装置、通信方法および通信システム
US9882713B1 (en) 2013-01-30 2018-01-30 vIPtela Inc. Method and system for key generation, distribution and management
US10142254B1 (en) 2013-09-16 2018-11-27 Cisco Technology, Inc. Service chaining based on labels in control and forwarding
US9467478B1 (en) 2013-12-18 2016-10-11 vIPtela Inc. Overlay management protocol for secure routing based on an overlay network
JP6359285B2 (ja) * 2014-02-17 2018-07-18 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
US9729520B2 (en) * 2014-05-05 2017-08-08 Citrix Systems, Inc. Facilitating communication between mobile applications
JP6380541B2 (ja) 2014-08-25 2018-08-29 日本電気株式会社 情報通信システム、情報通信方法および装置
JP2016171530A (ja) 2015-03-13 2016-09-23 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
US9980303B2 (en) 2015-12-18 2018-05-22 Cisco Technology, Inc. Establishing a private network using multi-uplink capable network devices
EP3220574B1 (en) 2016-03-14 2020-04-22 Kabushiki Kaisha Toshiba Quantum key distribution device, quantum key distribution system and quantum key distribution method
US20190068361A1 (en) * 2017-08-30 2019-02-28 Ford Global Technologies, Llc In-vehicle group key distribution
CN109412785A (zh) * 2018-10-23 2019-03-01 江苏华存电子科技有限公司 一种频率切换驱动aes加密系统保护旁道攻击的方法
US11258580B2 (en) 2019-10-04 2022-02-22 Red Hat, Inc. Instantaneous key invalidation in response to a detected eavesdropper
US11582036B1 (en) * 2019-10-18 2023-02-14 Splunk Inc. Scaled authentication of endpoint devices
US11423141B2 (en) * 2020-02-10 2022-08-23 Red Hat, Inc. Intruder detection using quantum key distribution
CN114223155B (zh) * 2020-06-10 2024-05-07 京东方科技集团股份有限公司 光通信装置、光通信系统及方法
CN113067699B (zh) * 2021-03-04 2021-12-03 深圳科盾量子信息科技有限公司 基于量子密钥的数据共享方法、装置和计算机设备
US12184771B2 (en) * 2021-05-21 2024-12-31 Samsung Electronics Co., Ltd. Encryption key generating method, apparatus, ciphertext operation method and apparatus using the generated encryption key
JP7646592B2 (ja) 2022-03-17 2025-03-17 株式会社東芝 鍵管理装置、量子暗号通信システム及びプログラム
CN115358748B (zh) * 2022-08-26 2024-08-23 中国银行股份有限公司 基于量子加密的支付保护方法、装置、设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0918468A (ja) * 1995-06-30 1997-01-17 Canon Inc 暗号通信装置及び暗号化装置
JP2003521834A (ja) * 1999-01-29 2003-07-15 ジェネラル・インストルメント・コーポレーション Cta間のシグナリングおよび呼び出しパケットを保護する電話呼び出しに関する鍵管理
US20040184603A1 (en) * 2003-03-21 2004-09-23 Pearson David Spencer Systems and methods for quantum cryptographic key transport

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MY125706A (en) * 1994-08-19 2006-08-30 Thomson Consumer Electronics High speed signal processing smart card
US6044396A (en) * 1995-12-14 2000-03-28 Time Warner Cable, A Division Of Time Warner Entertainment Company, L.P. Method and apparatus for utilizing the available bit rate in a constrained variable bit rate channel
US6535607B1 (en) * 1998-11-02 2003-03-18 International Business Machines Corporation Method and apparatus for providing interoperability between key recovery and non-key recovery systems
DE10329084A1 (de) * 2003-06-27 2005-01-20 Siemens Ag Verfahren und Anordnung zum Zugriff auf ein erstes Endgerät eines ersten Kommunikationsnetzwerkes durch einen Kommunikationsknoten in einem zweiten Kommunikationsnetzwerk
JP2005136870A (ja) * 2003-10-31 2005-05-26 Toshiba Corp 電子機器および暗号鍵更新制御方法
US8594323B2 (en) * 2004-09-21 2013-11-26 Rockstar Consortium Us Lp Method and apparatus for generating large numbers of encryption keys
US20060288209A1 (en) * 2005-06-20 2006-12-21 Vogler Dean H Method and apparatus for secure inter-processor communications
JP5384781B2 (ja) * 2005-08-18 2014-01-08 日本電気株式会社 秘匿通信システムおよび共有秘密情報の生成方法
JP4823717B2 (ja) * 2006-02-28 2011-11-24 株式会社日立製作所 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法
JP2007288694A (ja) * 2006-04-19 2007-11-01 Nec Corp 秘匿通信システムおよびチャネル制御方法
JP5424008B2 (ja) 2006-12-19 2014-02-26 日本電気株式会社 共有情報の管理方法およびシステム
CN101330379B (zh) * 2007-06-22 2011-02-09 华为技术有限公司 一种密钥下发方法和设备
GB0809045D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key distribution involving moveable key device
US20100058082A1 (en) * 2008-08-27 2010-03-04 Lenovo (Singapore) Ple., Ltd. Maintaining network link during suspend state
CN102143155B (zh) * 2010-12-30 2014-01-08 南京理工大学 基于ipid位增量调制的隐秘通信方法
US9148359B2 (en) * 2011-12-22 2015-09-29 Voipfuture Gmbh Correlation of media plane and signaling plane of media services in a packet-switched network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0918468A (ja) * 1995-06-30 1997-01-17 Canon Inc 暗号通信装置及び暗号化装置
JP2003521834A (ja) * 1999-01-29 2003-07-15 ジェネラル・インストルメント・コーポレーション Cta間のシグナリングおよび呼び出しパケットを保護する電話呼び出しに関する鍵管理
US20040184603A1 (en) * 2003-03-21 2004-09-23 Pearson David Spencer Systems and methods for quantum cryptographic key transport

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6014028331; Dianati, M., et al.: 'Architecture and protocols of the future European quantum key distribution network' Security and Communication Networks Volume 1, Issue 1, 20080229, p.57-74 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014053816A (ja) * 2012-09-07 2014-03-20 Toshiba Corp 通信ノード、鍵同期方法、鍵同期システム
US9509510B2 (en) 2014-03-19 2016-11-29 Kabushiki Kaisha Toshiba Communication device, communication method, and computer program product
KR101737782B1 (ko) * 2015-06-12 2017-05-19 한국과학기술연구원 복수의 양자 통신 클라이언트로 공통키를 분배하는 방법 및 장치
KR20210056551A (ko) * 2019-11-11 2021-05-20 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램
KR102609577B1 (ko) * 2019-11-11 2023-12-05 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램
KR20220049197A (ko) * 2020-10-14 2022-04-21 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램
KR102609578B1 (ko) * 2020-10-14 2023-12-05 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
US20130251154A1 (en) 2013-09-26
US9240882B2 (en) 2016-01-19
JP5634427B2 (ja) 2014-12-03
CN103326850A (zh) 2013-09-25

Similar Documents

Publication Publication Date Title
JP5634427B2 (ja) 鍵生成装置、鍵生成方法およびプログラム
JP6223884B2 (ja) 通信装置、通信方法およびプログラム
US8774415B2 (en) Key sharing device, key sharing method, and computer program product
JP4674502B2 (ja) 情報通信システム、情報通信装置及び情報通信方法、並びにコンピュータ・プログラム
US9306734B2 (en) Communication device, key generating device, and computer readable medium
JP5607655B2 (ja) 非暗号化ネットワーク動作解決策
KR20200131307A (ko) 데이터 액세스 권한 제어 방법 및 장치
EP3633949A1 (en) Method and system for performing ssl handshake
JP2016540462A (ja) 鍵コンフィギュレーション方法、システム、および装置
CN101335613A (zh) 终端设备、组管理服务器、网络通信系统及生成加密密钥的方法
US9083682B2 (en) Communication device and computer program product
WO2011107000A1 (zh) 对等网络中的资源控制方法、装置和系统
JP2005268903A (ja) 暗号鍵共有装置、暗号鍵共有方法、プログラム及び通信機器
JP2014068313A (ja) 通信方法、アプリケーション装置、プログラム及び通信システム
JP2007150846A (ja) コンテンツ再生システム
CN115174061A (zh) 基于区块链中继通信网络系统的消息传输方法及装置
CN114556862B (zh) 安全带外对称加密密钥传递
CN114173328B (zh) 密钥交换方法、装置、电子设备
CN114142995B (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN116566695A (zh) 加密传输方法及系统
CN119070974A (zh) 一种加密通信的方法、相关设备和加密通信系统
JP2007028552A (ja) 情報処理装置及び情報処理方法、並びにコンピュータ・プログラム
JP2014099727A (ja) 鍵共有システム、鍵共有方法、プログラム
JP5992578B2 (ja) 通信方法、アプリケーション装置、プログラム及び通信システム
KR101991731B1 (ko) 서버 및 피어의 동작 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140708

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140827

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140916

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141014

R151 Written notification of patent or utility model registration

Ref document number: 5634427

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151