JP2004064652A - 通信機器 - Google Patents

通信機器 Download PDF

Info

Publication number
JP2004064652A
JP2004064652A JP2002223474A JP2002223474A JP2004064652A JP 2004064652 A JP2004064652 A JP 2004064652A JP 2002223474 A JP2002223474 A JP 2002223474A JP 2002223474 A JP2002223474 A JP 2002223474A JP 2004064652 A JP2004064652 A JP 2004064652A
Authority
JP
Japan
Prior art keywords
communication
data
information
encryption
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002223474A
Other languages
English (en)
Inventor
Satoru Matsuyama
松山 悟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sharp Corp
Original Assignee
Sharp Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sharp Corp filed Critical Sharp Corp
Priority to JP2002223474A priority Critical patent/JP2004064652A/ja
Publication of JP2004064652A publication Critical patent/JP2004064652A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】実際の通信状態に関連する品質情報等を考慮して、データの秘匿性と通信品質の両立を図ること。
【解決手段】1つまたは複数の通信媒体に対してデータの送受信を行う通信部と、通信部の状態を監視し現在の通信状態を特定する品質情報を取得する通信状態検出部と、取得した品質情報に基づいて暗号化レベルを決定する暗号化レベル決定部と、決定された暗号化レベルに基づいて送信データを暗号化する暗号部とを備えたこと。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
この発明は、通信装置に関し、特に情報の秘匿性と通信品質の両立を図ることのできる通信装置に関するものである。
【0002】
【従来の技術】
近年のインターネットの普及、無線を利用する通信機器の普及等によって、通信機器が伝送する情報において、第三者による盗聴に対しての秘匿性を保つために、情報を暗号化して伝送することは、必要不可欠なものとなっている。
【0003】
その一方で伝送する情報には様々なものがあり、それぞれの情報によって、必要とされる機密度は異なる。例えば、認証に必要なパスワード等の情報は厳重に暗号化されている必要があるが、インターネットのホームページ上で一般に公開されているデータは暗号化する必要はない。このような様々なデータについて一様に暗号化して伝送していたのでは、効率が悪い。また、データを暗号化して送信する際にはその暗号化レベルによって暗号化に必要とされる処理能力が異なり、結果として暗号化して伝送することが可能な最大の通信能力が異なることとなる。
【0004】
このような課題に対して、特開平7−295892号公報では、ファイルの機密度に応じて最適な機密制御を自動的に得るセキュアシステムが提案されている。
図13に、従来のこのセキュアシステムの全体構造を示すブロック図を示し、図14にその一実施例のフローチャートを示す。
【0005】
図13において、51は暗号化データの転送を管理する送信側のデータ転送管理部、52は転送するデータ、53はデータの転送の有無を判定するデータ転送判定手段、54は暗号化レベルを決定するために使用されるパラメータ情報、55はパラメータ情報54を用いてデータの暗号化レベルを決定する暗号化レベル決定手段、56は決定された暗号化レベルによりデータを暗号化するレベル別暗号化手段、57は暗号化されたデータ、58はデータを転送するデータ転送手段、59はデータの暗号化のための鍵及び暗号化レベル情報、60は転送されたデータの受信を管理する受信側のデータ転送管理部、61は転送されたデータを受信するデータ受信手段、62はデータを復号するレベル別復号手段である。
【0006】
次にこのセキュアシステムにおける動作を、図14のフローチャートを参照しながら説明する。まず、送信側51のデータ転送判定手段53はデータ52の転送要求があるかどうかを判定する(ステップS62)。要求がなければ処理は何も行わない。要求があれば、暗号化レベル決定手段55は転送のためのパラメータ情報54を収集する(ステップS63)。
【0007】
パラメータ情報54は、データの転送速度、データの転送媒体、データの転送先計算機からなる。どのようなパラメータ情報を収集するかは、予めユーザが設定しておく。
次に、暗号化レベル決定手段55はこれらパラメータ情報のうち、例えばデータの転送媒体という情報を用いて暗号化レベルを決定する(ステップS64)。転送媒体と暗号化レベルの対応は、予めユーザが設定しておく。
【0008】
このようにして暗号化レベル決定手段55により決定した暗号化レベルに従って、レベル別暗号化手段56はデータ52を暗号化する(ステップS65)。データが暗号化されたら、データ転送手段58は暗号に使われた暗号化レベルと鍵59を、送信者と受信者以外の人に秘密にするため、二重暗号化方式を用いて受信側60に転送する(ステップ66)。その後同じくデータ転送手段58は暗号化したデータ57を受信側60に転送する(ステップS67)。転送されたデータは、予め転送されている暗号化レベルと鍵59と共にデータ受信手段61により受信側に取り込まれ、レベル別復号手段62により復号される。
【0009】
【発明が解決しようとする課題】
しかし、このような従来のセキュアシステムでは、データの転送速度、データの転送媒体、データの転送先計算機をパラメータ情報として暗号化レベルを決定するが、実際の転送能力や品質は、データに関するパラメータ情報だけでは判断できない。
実際の転送能力や品質は、通信媒体のノイズ状況、稼働率等、通信状態の様々な要素によって刻一刻と変化する。また、通信ポートを介して転送されるデータは単一のデータとは限らず、複数の様々な種類のデータの転送が並行して行われることも多々あり、データに関するパラメータ情報を暗号化レベル決定の制御因子とすると、実際の通信状態との間での齟齬を生じる。
【0010】
即ち、例えばリアルタイム性を必要とされるが、機密度があまり必要とされないような、インターネット上で公開されている動画、音声等のストリーミングデータの送信中に、他のリアルタイム性の要求されないようなデータの送信要求によりデータを送信する場合に、高い暗号化レベルにより暗号化されているために、通信能力の限界を超え、結果としてデータの遅延および損失等によって通信品質の低下を招くような問題が発生する可能性に対応することができない。
【0011】
その一方で、ある暗号化方式が、悪意のある第三者からの攻撃に対して、完全な安全性を永久に保証するということは不可能であるために、通信品質を損なわない範囲で、できる限り暗号の強度を高くすることが望ましい場合もある。
【0012】
この発明は、このような事情を考慮してなされたものであり、送受信されるデータの秘匿性と通信品質の両立を図ることのできる通信装置を提供することを課題とする。
【0013】
【課題を解決するための手段】
この発明は、1つまたは複数の通信媒体に対してデータの送受信を行う通信部と、通信部の状態を監視し現在の通信状態を特定する品質情報を取得する通信状態検出部と、取得した品質情報に基づいて暗号化レベルを決定する暗号化レベル決定部と、決定された暗号化レベルに基づいて送信データを暗号化する暗号部とを備えたことを特徴とする通信機器を提供するものである。
これによれば、現在の通信環境下における種々の品質情報に対応して、送受信されるデータの秘匿性と通信品質の両立を図ることができる。
【0014】
また、前記通信状態検出部は、前記品質情報として、通信部の単位時間あたりに送受信されるデータ量、通信部の現在のリンク速度、通信部の通信エラー率、および通信部が所定のデータを送信した時からそのデータに対する応答データを受信するまでの時間のうち、少なくともいずれか1つ以上を取得するようにしてもよい。
このような4つの品質情報は、いずれも時々刻々変化する情報であり、データ送信時に、これらの品質情報の値を取得して暗号化レベルを変更するようにすれば、現実の通信状態により適した秘匿性と通信品質を確保することができる。
【0015】
さらに、通信部が無線によるデータの送受信を行う場合、前記通信状態検出部は、受信する電波強度を品質情報として取得するようにしてもよい。
また、暗号化レベル決定部が決定する暗号化レベルは、暗号化鍵の鍵長,暗号化方式,暗号化処理の適用回数,暗号化されたデータに付加される初期化ベクトルのデータ量のうち、少なくともいずれか一つ以上から構成してもよい。
【0016】
ここで、暗号化鍵の鍵長とは、8ビットや16ビット等のようなデータ長で表され、鍵長が長いほど暗号化の程度が高く、秘匿性が高くなる。
暗号化方式とは、利用できる各種暗号化手法のうちどの暗号化手法を用いるかを示した情報であり、たとえば、DES,IDEA,RC2,RC4,RC5(以上、共通鍵方式),RSA,D−Hellman(以上、公開鍵方式),ハイブリッド方式などがある。
暗号化処理の適用回数とは、基本となる暗号化処理を何回繰り返すかを示したものであり、この回数によっても秘匿性の高さが異なる。基本となる暗号化処理として、同一の暗号化方式を複数回適用してもよいが、異なる暗号化方式を順に適用してもよい。
初期化ベクトルとは、暗号の秘匿性を高くするために暗号化鍵に加えられる冗長データであり、数ビットの予め定められた固定データである。
【0017】
秘匿性を高めるために、前記暗号化鍵の鍵長は、一方向性を持ったハッシュ関数により生成されることが好ましい。
暗号化レベル決定部により決定された暗号化レベルの各情報は、前記暗号部により暗号化されたデータに付加されて通信部により送信されるようにしてもよい。これによれば、1つのパケットで、データそのものと暗号化レベルの情報とが同時に送信される。
【0018】
前記暗号部が使用する暗号化鍵自体は、所定の暗号化方式で暗号化され、かつ前記暗号化鍵を使用して暗号化された送信データとは異なるデータとして、通信部が送信するようにしてもよい。これによれば、データそのものと、暗号化鍵とは、別々に送信されることになる。
前記通信部が受信したデータに含まれる暗号化レベルの情報に基づいて、受信したデータを復号する復号部をさらに備えてもよい。
【0019】
さらに、送信データの中に予め付与された機密度情報、または、送信データに含まれる特定の情報から設定される機密度情報を検出する機密度情報検出部をさらに備え、前記暗号化レベル決定部が、取得された品質情報と検出された機密度情報とを用いて暗号化レベルを決定するようにしてもよい。
ここで、機密度情報とは、送信されるデータごとに付与される秘匿化の程度を示すものであり、たとえば高機密あるいは低機密であることを示す2段階情報でもよく、n段落に分類した情報であってもよい。詳細は後述する。
【0020】
また、送信データの中に予め付与されたデータ転送の優先度情報、または送信データに含まれる特定の情報から設定される優先度情報を検出する優先度情報検出部をさらに備え、前記暗号化レベル決定部が、前記取得された品質情報と検出された優先度情報とを用いて暗号化レベルを決定するようにしてもよい。
ここで、優先度情報とは、送信すべきデータが多数あるときに、送信の順序を決定づける情報であり、高優先あるいは低優先であることを示す2段階情報でもよく、n段階に分類した情報であってもよい。多数の送信データがある場合、作成された順序にかかわらず、優先度の高いデータの方が先に転送される。
【0021】
また、送信データの中に予め付与された機密度情報および優先度情報、または送信データに含まれる特定の情報から設定される機密度情報および優先度情報を検出する機密度/優先度検出部と、前記品質情報,機密度情報および優先度情報のうちいずれの情報を用いて暗号化レベルを決定すべきかを設定する情報設定部とをさらに備え、前記暗号化レベル決定部が、前記情報設定部によって設定された情報を用いて暗号化レベルを決定するようにしてもよい。
【0022】
暗号化レベルを決定する因子としては、品質情報,機密度情報および優先度情報があるが、ユーザが自らの意思あるいは経験等に基づいてどの情報を利用するかを設定できるようにしてもよい。
前記情報設定部は、キー入力,スイッチ等を用いることができる。
【0023】
上記通信機器において、通信部は、以下の実施例では通信ポートを意味し、通信ポートが1つの場合は、他の1台の通信機器と1対1の通信をその通信ポートを介して行うものであり、通信ポートが2以上の場合は、他のn台の通信機器と1対nの通信を行うものである。
【0024】
また、通信機器の各構成要素は、ハードウェアロジックで構成してもよいが、機能拡張や変更に柔軟に対応するために、CPU,ROM,RAM,I/Oコントローラ,タイマー等からなるマイクロコンピュータと処理手順を示したプログラムとにより構成してもよい。
また、各構成要素は物理的に独立した別々のハードウェアの要素として実現してもよいが、共通部分がある場合や小型化,コストダウンのために、統合したハードウェア要素として実現してもよい。
たとえば、暗号部および復号部を、通信部(通信ポート)の内部に固定化されたハードウェアとして形成してもよい。
【0025】
さらに、この発明は、複数の通信媒体に対してそれぞれ中継データの送受信を行う複数の通信部と、通信部の状態を監視し、現在の通信状態を特定する品質情報と、通信部で中継されるデータに関する中継情報とを取得する通信状態検出部と、取得した品質情報および中継情報とに基づいて暗号化レベルを決定する暗号化レベル決定部と、決定された暗号化レベルに基づいて中継データを暗号化する暗号部と、決定された暗号化レベルに基づいて中継データを復号化する復号部とを備え、前記通信部が受信した中継データを復号部により復号した後、暗号部により暗号化して、中継データを受信した通信部とは異なる通信部から前記暗号化された中継データを送信することを特徴とする通信機器を提供するものである。これによれば、中継データについて、適切な情報の秘匿性と通信品質の両立を図ることができる。
【0026】
たとえば、この通信機器は、2つの通信装置の間に配置され、2つの通信装置の間で送受信されるデータを中継するものであり、2つの通信装置が異なる通信プロトコル、異なる通信速度、異なる暗号化方式等を用いている場合においても、適切な秘匿性と通信品質を保ったまま2つの通信装置間のデータ通信を行わせるものである。
【0027】
また、前記中継情報は、通信部の通信ポート種別情報,所定の通信部が単位時間あたりに中継するデータの合計量、および上位プロトコルレイヤにおける暗号化情報のうち少なくとも1つ以上から構成することができる。
【0028】
【発明の実施の形態】
以下、図面に示す実施の形態に基づいてこの発明を詳述する。なお、これによってこの発明が限定されるものではない。
【0029】
<実施例1>
図1に、この発明の通信機器の実施例1の全体構成ブロック図を示す。
図1の通信機器21において、2は通信相手との間で物理的なデータの送受信を行う通信ポートである。通信ポートは、主としてハードウェアで構成され、具体的にはイーサネットによる通信の場合にはLANコントローラチップ、無線LANによる通信の場合にはベースバンドプロセッサと無線モジュール、ADSLによる通信の場合にはデジタルシグナルプロセッサ(DSP)とアナログフロントエンド等が用いられる。
【0030】
実際のハードウェア構成によっては通信ポートの処理の一部をCPUを用いたソフトウェアで行う等、明確に通信ポートがハードとソフトに分離していない場合もある。ここでは、物理的に通信媒体を使用して通信相手に転送する為に必要となる通信路の確立、パケットへのヘッダ・フッタの付加、および電気的変換を行う部分を通信ポートと呼ぶこととする。
【0031】
3は通信ポート2の通信状態を取得する通信状態検出部、4は送信データを暗号化する暗号器、5は通信状態によって暗号化レベルを決定する暗号化レベル決定部、6は暗号方式のアルゴリズム、暗号鍵等を格納する暗号データベース、7は送信データを一時保存しておく送信データキュー、8は送受信するデータが保存されているデータ記憶媒体(具体的にはメモリ、ハードディスク等)、9a,9bはデータ記憶媒体8に保存され通信ポート2から送信される送信データ、10は通信ポート2で受信されデータ記憶媒体8に保存される受信データであり、11は、通信ポート2で受信されたデータを復号する復号器であり、12は、復号されたデータを一時保存するための受信データバッファである。
なお、送信専用の通信機器では、復号器11,受信データバッファ12はなくてもよい。
【0032】
ここで、暗号データベース6,送信データキュー7,データ記憶媒体8,受信データバッファ12は、RAM,ハードディスクなどの書きかえ可能な記憶素子、記憶媒体が用いられる。
また、通信状態検出部3,暗号器4,暗号化レベル決定部5,復号器11は、ハードウェアロジックの他、図示していないCPUを中心としてRAM,ROM,タイマー,I/Oコントローラ,各種レジスタ等で構成されたマイクロコンピュータを用いたソフトウェア処理によって実現することもできる。
すなわち、通信状態検出部3や暗号器4などの機能は、CPUがROM,RAM等に格納されたプログラムに基づいて動作することにより実現される。
【0033】
図7に、この発明の通信機器の実施例1の送信時の動作フローチャートを示す。通信機器21のCPUが通信相手からのデータの送信要求やI/Oコントローラ経由でのコマンド入力により、データの送信命令を実行することにより、データ送信が開始される(ステップS1)。
次に、CPUが、送信に適用される通信プロトコルに対応づけてデータ記憶媒体8に保存されている送信データ(9a,9b等)をパケットと呼ばれる単位に分割し、さらに、それぞれのパケットにその通信プロトコルに応じたヘッダ情報を付加し、送信データキュー7に転送する(ステップS2)。
【0034】
尚、送信データはデータ量が小さく分割する必要のない場合や、すでに上位のプロトコルレイヤにおいて分割されている場合もある。また、このヘッダ情報にはパケットが分割された場合にはそのパケットが分割されたパケットであるかどうか、送信データの途中のパケットか、最終のパケットかを示す情報、およびパケットの通し番号の情報等が含まれる。
【0035】
パケットが送信データキュー7に転送されると、通信状態検出部3は通信ポート2の通信状態の取得を行う(ステップS3)。ここで、通信状態の取得はパケットが送信データキュー7に転送されるたびに開始されるものとする。ただし、送信データキュー7に一時保存されたパケットのデータ量がある一定量に達するたびに開始してもよいし、または所定の単位時間ごとに開始してもよい。
【0036】
取得される「通信状態」とは、後述するような「通信ポートの単位時間あたりの送受信されるデータ量(バイト数)」等の品質情報を意味し、暗号化レベル決定部5が暗号化レベルを決定するときの制御因子となるものである。
【0037】
次に、暗号化レベル決定部5が、取得された通信状態によって暗号化レベルを決定する(ステップS4)。通信状態によって暗号化レベルを決定するアルゴリズムの詳細については後述する。なお、このアルゴリズムはROM等の固定メモリに記憶されたものでもよいし、あるいは、機器の管理者またはユーザが所定のパラメータを設定することにより処理内容を変更することが可能なアルゴリズムでもよい。
【0038】
次に、暗号化レベル決定部5が、ステップS4で決定された暗号化レベルに対応した暗号化アルゴリズム(暗号化方式)と暗号鍵とを暗号データベース6から取得して、暗号器4に転送する(ステップS5)。
暗号器4は、ステップS5で取得した暗号化アルゴリズムと暗号鍵を使用して、送信データキュー7に一時保存されたパケットを順次暗号化する(ステップS6)。
【0039】
さらにCPUは、暗号化された各パケットのヘッダ部分にどの暗号化レベルで暗号化されたかを示す情報(暗号化レベル情報)を付加して通信ポート2に転送する(ステップS7)。尚、フローチャートに図示していないが、ステップS4にて暗号化をしないということが決定された場合にはステップS5からステップS7までの処理は行わず、暗号化されていない通常の送受信処理と同様の動作をする。
【0040】
通信ポート2は、転送されたパケットに対して、物理的に通信媒体を使用して通信相手に転送する為に必要となる通信路の確立、パケットへのヘッダ・フッタの付加、電気的変換を行い、順次通信相手に暗号化されたパケットを転送する(ステップS8)。このとき送信データ(9a,9b等)から分割されたパケットの最終のパケットかどうかをパケットのヘッダ情報により判定し(ステップS9)、転送完了するまでステップS2に戻って繰り返し、すべてのパケットが転送完了していたならば、データの送信が完了となる(ステップS10)。
【0041】
次に、図8に、実施例1のデータ受信時のフローチャートを示す。まず、CPUが通信ポート2にて一旦受信したデータが自分宛であることを検出することにより、データの受信が開始される(ステップS11)。
【0042】
次に、通信ポート2は、物理的な通信媒体による転送の為にパケットに付加されていたヘッダ・フッタ情報を受信データから分離して復号器11に転送する(ステップS12)。復号器11は暗号化パケットのヘッダ情報に付加された暗号化レベルの情報を読み取り、受信パケットの暗号化レベルを認識する(ステップS13)。そしてこの暗号化レベルから、復号するために必要となる暗号化方式とそれに対応した暗号鍵の情報を暗号データベース6から取得する(ステップS14)。但し、暗号データベースの検索は暗号化レベルが前回復号時から変化した場合にのみ検索すればよい。
【0043】
次に復号器11がステップS14で得た暗号化方式と暗号鍵によりパケットの復号を行い、受信データバッファ12に転送する(ステップS15)。ステップS16において、現在処理したパケットが最終であるかどうかを判定し、まだ最終でなければ次に受信したパケットについてステップS12からS15までの復号処理を繰り返す。
パケットが最終であれば、受信したパケットの通し番号にしたがって受信データを復元する(ステップS17)。そして、復元された受信データをデータ記憶媒体8に保存してデータ受信の完了となる(ステップS18)。
【0044】
このような手順による送受信を行えば、リアルタイム的に変化する通信状態に対応した最適な暗号化レベルで暗号化した通信が可能となる。また、この実施例1によれば、ある送信データ9aが送信中に別の送信データ9bの送信が開始された場合でも、送信するパケットはすべて一旦送信データキュー7に保存されてから通信ポート2に転送されるので、現在の通信状態の正確な情報を得ることができる。
【0045】
次に、前記した通信状態検出部によって取得される「通信状態」の具体的内容について説明する。
この「通信状態」としては、たとえば、次のような5つの情報が考えられる。
(a)通信ポートを介して単位時間あたりに送受信されるデータ量(バイト数)
(b)通信ポートのリンク速度
(c)通信ポートの通信エラー率
(d)通信ポートからデータを送信した後、そのデータに対する応答データを受信するまでの応答時間
(e)無線通信を行う通信ポートが受信する電波強度
【0046】
このような「通信状態」の情報は、暗号化レベル決定部5が暗号化レベルを決定する際の制御因子として用いられる。用いる制御因子としては、上記(a)〜(e)のいずれか一つの情報のみを用いてもよいが、信頼性等の観点から、必要に応じて複数の「通信状態」情報を組み合わせて用いてもよい。
また、これら5つの情報に限ることはなく、他の情報を暗号化レベルの決定因子として用いてもよい。
【0047】
単位時間あたりの送受信するデータ量(a)は、現在の実際の通信能力、すなわちスループットを知ることができる因子であり、このデータ量が多いことは通信能力が高いことを意味する。
ただし、常にデータ送信およびデータ受信が行われているわけではないので、単純に単位時間あたりの送受信するデータ量を求めても、正確な情報とはなりえない。その為に、連続してデータの送信または受信が行われている場合の単位時間あたりの送受信データを現在のスループットとして用いるようにする。また、頻繁に暗号化レベル決定の制御因子が変動すると処理の負荷が大きくなり結果として全体の通信能力が落ちる原因ともなるので、スループットの値の平均値を採用したり、ある一定の間隔内での最大値を求めて調整することが好ましい。
【0048】
通信ポートのリンク速度(b)は、回線接続の初期段階で回線状況に応じて判断される通信速度である。
例えば通信ポートがADSLモデムの場合には、ADSLモデムと局側モデム(DSLAM)との間でネゴシエーションを行い、回線状況に応じてリンク速度が決定される。またIEEE802.11b規格に準拠した無線LANの場合は、1Mbps、2Mbps、5.5Mbps、11Mbpsの4通りのリンク速度によって初期通信を行い、現在の電波状況によって最も適切と判断される速度がリンク速度として選ばれる。
【0049】
通信ポートの通信エラー率(c)としては、送受信したパケット数に対するエラー発生数の割合、あるいは、単位時間内のエラー発生数を用いることができる。いずれにせよ通信エラー率が高くなるとパケットの再送回数が多くなるので結果としてスループットは低下することとなる。また、通信時のエラーにはパケットの損失、チェックサムの不一致、パケットサイズ違い等のエラーがあるが、エラーの種類、エラーの発生頻度等は通信媒体、通信プロトコルによって異なるので、制御因子としての通信エラー率をどのような基準で適用するかは調整により最適化することが好ましい。
【0050】
応答データを受信するまでの応答時間(d)は通信相手側の能力も考慮した情報である。通信路の信頼性を確保するような通信の場合には、通信相手からデータが正確に届いたかどうかの応答データを受信して、データ送信の完了を確認するようになっているが、この応答データが届くまでの時間によって、通信能力を計ることができる。また、通信相手先が通信ポートで応答を返すのではなく、復号処理をした後に応答データを返すようになっていれば、通信能力だけでなく、通信相手の暗号処理能力も含めた能力を判断することができる。例えば、応答データを受信するまでの時間が長ければ復号の処理の負荷が大きいと判断し、暗号化レベルを下げて通信するということも可能となる。
【0051】
電波強度(e)は、無線通信を行う場合に用いられる情報である。無線通信を行う場合には、通信機器が移動することにより、電波強度が変化し、それによってエラー率等が変化する。結果として通信能力が変化することとなるので、電波強度を暗号化レベル決定の制御因子として用いることが好ましい。
【0052】
また、通信媒体や通信プロトコルによって通信の信頼性や能力が異なるので、上記(a)〜(e)の「通信状態」情報を組み合わせることによって、より柔軟で確実性の高い暗号化レベルの決定が可能となる。例えば、単位時間あたりのデータ送受信量のみを制御因子とする場合には通信相手が暗号処理能力不足のために受信パケットを破棄してしまい、再送が多発していたとしても単位時間あたりのデータ送信量は変化がないため通信能力に適した暗号化レベルだと判断し、暗号化レベルを保ったまま通信を行ってしまう。このような場合、通信エラー発生率の情報を組み合わせれば、エラーが多発していることを検知することができ、暗号化レベルを下げて通信することが可能となる。
【0053】
次に、暗号化レベル決定部の具体的な処理内容(暗号化レベル決定アルゴリズム)について説明する。
暗号化レベル決定部5は、上記(a)〜(e)のような「通信状態」情報を利用して暗号化レベルを決定するが、決定した暗号化レベルに対応させて、次に示すように、「暗号化鍵の鍵長の変更」や、「暗号化方式の変更」等の処理を行う。
まず、暗号化レベルの変更は、「暗号化鍵の鍵長の変更」により行うことができる。
【0054】
例えば共通鍵を用いる方式では、データの暗号化に用いられる共通鍵のビット数を変更する。共通鍵のビット数が高くなればなるほど、暗号解読の困難さが増し、その反面暗号化および復号に必要な時間が多くなり、結果として転送能力が低くなる。予めビット数の異なる複数の共通鍵を暗号データベース6に保持するようにしてもよいし、あるマスター鍵から必要なビット数を切り出したものを共通鍵として用いてもよい。
【0055】
但し、ビット数の異なる複数の共通鍵を持つことは非効率であり、必要なビット数を切り出して共通鍵とすることはあるビット数の共通鍵が第三者に漏洩すると、それより低いビット数の共通鍵がすべて漏洩することとなるおそれがある。そこで、マスターとなる鍵に一方向性をもったハッシュ関数を適用して、任意のビット数の鍵を生成することが好ましい。一方向性をもったハッシュ関数で生成された鍵ならば、あるビット数の鍵が仮に漏洩したとしても、その鍵からマスター鍵を求めることはほぼ不可能となる。一方向性をもったハッシュ関数の例としてはRFC(Request For Comment)1321で規定されているMD5等がある。
【0056】
また、暗号化方式としては、共通鍵方式のほかに、公開鍵方式を用いてもよい。
しかし、公開鍵方式による暗号化は通常、共通鍵方式に比べて必要となる計算量が多いので、大量のデータ通信よりも、認証や共通鍵の転送に利用することが好ましい。
【0057】
さらに、暗号化レベルを変更する場合に、暗号化方式そのものを変更してもよい。暗号化方式の種類によっては、使用する暗号化鍵の鍵長が同じであっても、機密性、即ち第三者による不正な暗号に対する耐性が異なり、また、処理速度、データ毎に付加される冗長なデータ量についても異なるからである。たとえば、1送信あたり送信されるデータ量が少ない場合には、共通鍵方式から公開鍵方式に変更すればよい。
【0058】
また、暗号化レベルを変更する方法として、同一または異なる暗号化処理のステップの適用回数を変更するようにしてもよい。例えば、商用暗号として一般的に用いられているDES(Data Encryption Standard)暗号方式を使ってデータを暗号化し、さらにIEEE802.11規格で規定されている無線LANの暗号化方式WEP(Wired EquivalentPrivacy)を使って暗号化して無線通信を行っている場合に、電波状況が悪くなり必要とするスループットが得られなくなった場合、WEPによる暗号化をとりやめてDESのみの暗号化を行うようにする。これによればスループットの向上を図ることができる。また、DESの適用回数を1回だけではなく、複数回適用するようにしてもよい。
【0059】
また、暗号化データに付加されて送信される初期化ベクトルのデータ量を変更するようにしてもよい。例えば前述のWEPは共通鍵方式による暗号化を行っているが、同じ共通鍵によって暗号化された複数のデータからの共通鍵の解析を困難にするために、暗号化はパケット毎に共通鍵に24ビットの初期化ベクトルを付加して生成した乱数を使用する。このとき復号には共通鍵とともにこの初期化ベクトルが必要になるため、パケットに初期化ベクトルを付加して送信を行う。暗号化/復号化に要する処理以外にも、この初期化ベクトルのデータによっても、スループットが低下することになる。そこでスループットを向上させるために、電波状況によってはこの初期化ベクトルのデータ量を少なくするようにすればよい。一方、24ビット程度の初期化ベクトルでは暗号の信頼性の面で不十分なので、通信能力に余裕がある場合、信頼性を高める為に、初期化ベクトルのデータ量を多くすればよい。
【0060】
また、上記のように変更した暗号化レベルの情報は、暗号化されたデータのヘッダ部分に付加して送信するようにしてもよい。
また、暗号化に使用する暗号化鍵などの情報は、予め定めた暗号化方式によって暗号化し、暗号化データを送信する直前または直後に送信してもよい。より具体的には、あるビット数の共通鍵によって暗号化通信を行っているときに、暗号化レベルが変更になり、適用する共通鍵のビット数を変更する場合に、予め定めた公開鍵暗号方式で新しい共通鍵を通信先に送信することによって、受信側は新たに得た共通鍵で復号するようにする。
【0061】
<実施例2>
図2に、この発明の実施例2の通信機器22の全体構成ブロック図を示す。ここでは、通信ポート(2a,2b)を2つ備え、さらに、データ送信先検出部13を備えている点が、実施例1と異なる。
通信ポート(2a,2b)の接続先は、それぞれ異なる通信相手である。データ送信先検出部13は、送信データの送信先アドレス情報と通信ポート(2a、2b)のそれぞれに割り当てられたアドレス情報を用いて、データを送信すべき相手がどちらの通信ポートに接続されているかを判定するものである。
また、通信状態検出部3、暗号器4、暗号化レベル決定部5、送信データキュー7、復号器11、受信データバッファ12は一つずつ備えた構成を図示しているが、通信ポートごとに別々に設けてもよい。
【0062】
図9に、この発明の実施例2の送信時のフローチャートを示す。なお、受信時の動作は、図8に示したものと同様である。
ステップS21において、実施例1と同様にデータ送信が開始されると、パケットに分割され、さらにそれぞれのパケットに通信プロトコルに応じたヘッダが付加されて送信データキュー7に転送される(ステップS2)。
【0063】
次に、データ送信先検出部13は、送信データキュー7にパケットが格納されたことを検出すると、そのパケットの中のヘッダ部分を確認し、そのパケットの送信先の判定、すなわち送信先がどこであるかを認識し、どちらの通信ポートを経由すべきかを認識し、通信状態検出部3に、その送信先に関する情報を与える(ステップS22)。そして通信状態検出部3は、送信先に関する情報を得ると、そのパケットの送信先に対応した通信状態の取得を行う(ステップS23)。
【0064】
次に、実施例1と同様に、暗号化レベルの決定(ステップS4)、暗号化方式と暗号鍵とを取得して暗号器4への転送(ステップS5)、送信データキューのパケットの暗号化(ステップS6)を順次行う。
その後、CPUが、暗号化されたパケットに、暗号化レベル情報を付加して、送信先に対応した通信ポート(2aまたは2bのどちらか)に、転送する(ステップS24)。
【0065】
次に、通信ポートは、この暗号化されたパケットを送信先に対して転送する(ステップS8)。転送したパケットが最終か否かを判定し(ステップS9)、最終でなければ、ステップS2へ戻って、ステップS2からS8までの処理を繰り返し、最終パケットならデータ送信が完了となる(ステップS10)。
以上のように、この実施例2では、通信ポートを2つ備えているので、複数の送信先へデータを転送する場合に、転送効率を向上させることができ、さらに、多くの場合通信ポートのそれぞれで通信状態は異なるが、そのような場合においてもリアルタイム的に変化する通信状態に対応した最適な暗号化レベルで暗号化した通信が可能となるという効果がある。
【0066】
<実施例3>
図3に、この発明の実施例3の通信機器23の全体構成ブロック図を示す。ここでは、実施例1と同様に1つの通信ポート24を有しているが、通信ポート24が、その内部に暗号器25と復号器26とを内蔵している点が、実施例1と異なる。
【0067】
ここで、通信ポート24に内蔵された暗号器25と復号器26は、ハードウェアにより構成され、通信ポート24の他の機能ブロックとともに一体化されたLSI素子として実現してもよい。
このように、暗号器25と復号器26とをハードウェア化することにより、暗号化処理と復号化処理を高速化することができ、通信機器のCPUの負荷を減少させることができる。
【0068】
通信状態検出部3,暗号化レベル決定部5,暗号データベース6,送信データキュー7,データ記憶媒体8,送信データ9,受信データ10,受信データバッファ12は実施例1と同様のものとする。
【0069】
図10に、この発明の実施例3の送信時のフローチャートを示す。ステップS31において、実施例1と同様にデータ送信が開始されると、パケットに分割され、さらにそれぞれのパケットに通信プロトコルに応じたヘッダが付加されて送信データキュー7に転送される(ステップS2)。
【0070】
次に、実施例1と同様に、通信状態の取得(ステップS3),暗号化レベルの決定(ステップS4)を行い、通信ポート24が暗号化方式と暗号鍵を取得して、通信ポート内部の暗号器25へ転送する(ステップS32)。
次に、CPUは、送信データキュー7のパケットを通信ポート24の暗号器25へ転送する(ステップS33)。
【0071】
この後、暗号器25は、与えられたパケットを暗号化し、暗号化レベル情報を付加する(ステップS34)。
そして通信ポート24は、通信相手に、暗号化されたパケットを転送する(ステップS8)。
最後に、実施例1と同様に、転送したパケットが最終か否か判定し(ステップS9)、最終でなければステップS2からS8までの処理を繰り返し、最終であればデータ送信完了となる(ステップS10)。
【0072】
図11に、実施例3のデータ受信時のフローチャートを示す。
データ受信が開始されると(ステップS35)、通信ポート2の復号器26は、暗号化パケットのヘッダ情報に付加されていた暗号化レベル情報を読み取る(ステップS13)。
そして復号器26は、読み取った暗号化レベルから、復号するために必要となる暗号化方式とそれに対応した暗号鍵の情報を暗号データベース6から取得する(ステップS14)。
【0073】
次に、復号器26が、ステップS14で得た暗号化方式と暗号鍵を用いてパケットの復号を行い(ステップS36)、復号されたパケットを受信データバッファ12に転送する(ステップS37)。
次に、ステップS16において、現在処理したパケットが最終であるか判定し、最終でなければステップS13からS37までの処理を繰り返す。
【0074】
最終であれば、受信したパケットの通し番号に従って受信データを復元し、復元された受信データをデータ記憶媒体8に保存してデータ受信の完了となる(ステップS18)。これによれば、暗号処理と復号処理をハードウェアで行っているので、これらの処理の高速化とCPUの負荷削減をすることができる。
【0075】
<実施例4>
上記の実施例では、「通信状態」情報に基づいて、暗号化レベルを決定したが、ここでは、「通信状態」情報に加えて、「送信するデータの内容に関する情報」を用いて暗号化レベルを決定する実施例について説明する。
図4に、この発明の実施例4の通信機器の全体構成ブロック図を示す。図4では、実施例1の構成に加えて、データ内容解析部14と、機密度/優先度検出部15を備えている。
【0076】
データ内容解析部14は、送信データ9a,9bを受けてそのデータ内の特定の位置の情報を読み出して解析する部分であり、読み出された特定位置の情報は、後述するような「機密度情報」あるいは「優先度情報」が設定された特定位置の情報、または「機密度情報」あるいは「優先度情報」を特定位置に設定する際に判断材料となるような情報であり、機密度/優先度検出部15に与えられる。一方、送信データ9a,9bそのものは送信データキュー7に与えられる。機密度/優先度検出部15は、送信データの内容に関する情報の一つである機密度情報や優先度情報を得て、暗号化レベル決定部5へ、暗号化レベル決定の制御因子として転送する部分である。
【0077】
暗号化レベル決定部5は、通信状態検出部3が取得した「通信状態」情報と、機密度/優先度検出部15から与えられた「機密度情報」または「優先度情報」とを用いて、暗号化レベルを決定する。
【0078】
したがって、実施例1〜3では、「通信状態」情報を用いて暗号化レベルを決定していたが、この実施例4では、「通信状態」と「機密度または優先度」情報によって暗号化レベルを決定するので、暗号化レベル決定部5の暗号化レベル決定アルゴリズムが上記実施例1〜3とは異なる。
【0079】
実施例4の通信機器27の送信時の全体的なフローチャートの流れは図7に示した実施例1の処理と同じであるが、ステップS2とステップS4の処理の内容が異なる。実施例4では、ステップS2において、まずデータ記憶媒体8から送信データ(9a,9b)が読み出されデータ内容解析部14へ転送される。そしてデータ内容解析部14がデータが機密度または優先度に関係したデータであるかどうかを解析して必要であれば新たな機密度または優先度を設定した上でパケットへの分割をした後、送信データ(9a,9b)を転送データキュー7へ転送する。
【0080】
実施例4のステップS4では、まず送信データキュー7に転送されてきた送信データについて機密度/優先度検出部15がパケットの特定位置の機密度情報または優先度情報に相当する情報の検出処理をした後、暗号化レベル決定部5へこれらの情報を転送する。次いで、暗号化レベル決定部5が、「通信状態」および機密度情報(または優先度情報)とを用いて暗号化レベルを決定する。図7に示したその他の処理については実施例1と同様である。
【0081】
次に、実施例4で制御因子として利用される機密度情報と優先度情報について説明する。
「機密度情報」とは、通信の信頼性に関連した情報であり、たとえば通信の高信頼性が要求されるときは高機密を意味するデータが設定され、低信頼性でもよいときは低機密を意味するデータが設定される。
「機密度情報」としては、次の2つのうちどちらかを利用する。
(a)送信データ(9a,9b)の特定の位置、たとえばヘッダ部分に予め設定される情報(データに予め設定された情報)
(b)送信データ(9a,9b)の具体的な内容を解析して、この内容をある基準に基づいて総合判断した結果設定される新たな情報
【0082】
まず、「データに予め設定された情報」としては、送信データのヘッダ部分の付加情報を用いることができる。
たとえば、RFC794で規定されているIPv4(Internet Protocol Version4)において定義されているToS(Type of Service)フィールドを用いることができる。
このToSフィールドは8ビットで構成されるが、このうち特定のビットは信頼性に関係するので、このビットの有効/無効を機密度情報として用いればよい。
【0083】
この特定ビットが有効となっている場合、通信の高信頼性を要求するという意味であるとすると、暗号化レベル決定部5が暗号化レベルの決定をするときに、たとえ「通信状態」が悪くスループットが低いときでも暗号化レベルを下げないように決定処理を実行する。
また、このビットが有効となっているときに「通信状態」が良好でスループットが所定のしきい値レベルより高いときは、暗号化レベルを上げるようにすればよい。
【0084】
また、データ内容解析部14が、ToSフィールドのこの特定ビットを、ユーザが予め設定した機密度情報に書きかえるようにしてもよい。
また、IPv4では、ToSフィールド以外にオプションフィールドが用意されているので、このオプションフィールドを機密度情報の領域として用いてもよい。たとえば、ネットワークに接続された通信機器がこのオプションフィールドにさらに細かくクラス分けした任意の機密度情報を設定するようになっていれば、オプションフィールドに設定された機密度情報を利用してもよい。
【0085】
次に、「送信データの内容を解析して設定された新たな情報」は、送信データの内容に含まれる「認証情報」,「ユーザ名」,「パスワード」などの情報の内容自体およびこれらの情報の有無を利用して、新たに作成された情報を意味する。
この新たに作成された情報は、そのまま制御因子として暗号化レベル決定部5へ与えてもよいが、データ内容解析部14が、前記した「データに予め設定された情報」に対応する特定ビットに書き込むようにしてもよい。
【0086】
「優先度情報」とは、送信データの送信の優先度に関連した情報であり、この情報を見ることにより、送信の優先度の高低を判断するものである。
「優先度情報」としては、前記した「機密度情報」と同様に、(a)「データに予め設定された情報」あるいは、(b)「送信データ内容を解析して設定された新たな情報」を利用することができる。
【0087】
「優先度情報のデータに予め設定された情報」としては、たとえば、IPv4のToSフィールドのうち優先度を示すデータとして定義されている特定の3ビットを直接利用することができる。
この特定の3ビットが高優先度を意味するように設定されている場合は、暗号化レベルの決定のときに、「通信状態」が悪くスループットが所定のしきい値よりも低ければ、暗号化レベルを下げるように暗号化レベルを決定する。そして、低い暗号化レベルのデータを優先的に暗号器4に与え送信先へ転送するようにする。
またデータ内容解析部14が、この特定の3ビットを、ユーザが予め設定した優先度情報に書きかえるようにしてもよい。
さらに、前記したオプションフィールドを利用して優先度情報を設定してもよい。
【0088】
優先度情報のうち、「送信データ内容を解析して設定された新たな情報」としては、たとえば、RFC1889で規定されているRTP(Real−time Transport Protocol)の情報を利用することができる。
このRTPは、インターネットプロトコルを利用した音声通話のようなリアルタイム性の要求されるデータの送受信に有効であり、RTP情報が存在するときには、高優先度を意味する新たな情報を設定するようにする。
【0089】
この場合、データ内容解析部14が、送信データ(9a,9b)の中にRTPのヘッダがあるかどうかを検出する。そしてRTPヘッダが検出された場合、前記したToSフィールドまたはオプションフィールドの特定のビットに優先度が高いことを示す情報を設定する。
一方RTPヘッダが検出されない場合は、優先度が低いことを示す情報を設定する。
【0090】
この優先度情報として「高優先度」が設定されている場合であって「通信状態」が悪いとき、暗号化レベル決定部5は、データ転送の遅延を抑えるために、低い暗号化レベルを設定するようにする。
以上のように、「機密度情報」または「優先度情報」を利用することにより、現在の通信環境により適したデータ送信が可能となる。
【0091】
さらに、この機密度情報と優先度情報の両方を組み合わせ、暗号化レベル決定の制御因子とすることもできる。
この両方の情報を組み合わせることにより、送信する情報内容によっては情報の秘匿性と通信品質の両立を図ることが可能となる。たとえば、音声データの送受信、すなわち双方向の通話を行う場合、音声データの遅延が発生するとスムーズな会話ができなくなり、通信品質が悪くなる。したがって、スムーズな会話のためには一般的には、機密度は下げても優先度を高くする必要がある。
【0092】
優先度情報のみを用いる場合、高い優先度を設定することにより暗号化レベルが下がりスムーズな会話ができることになるが、逆に秘匿性がほとんどないような状態となり得る。しかし、音声通話をするときに、その内容によっては、秘匿性を高く保ちたい場合もあり、このときには機密度を高くする必要がある。
【0093】
このように、スムーズな会話をある程度確保した上で、秘匿性も要求される場合には、機密度情報と優先度情報の両方を考慮して、暗号化レベルを決定することが好ましい。
たとえば、暗号化レベルの決定のアルゴリズムとしては、まず「通信状態」と「優先度情報」とを得て音声データの遅延が問題とならないような暗号化レベルを選択した後、「機密度情報」を得て、その機密度情報に対応づけられたランク数だけ、選択された暗号化レベルを下げるように変更すればよい。
また、「通信状態」を示す品質情報,機密度情報,優先度情報のうちどれを、暗号化レベルの決定に使用するかを、利用者が設定できるようにしてもよい。たとえば、キー入力,スイッチにより、3つの情報のうちどれを使用するかを設定入力すればよい。
【0094】
<実施例5>
ここでは、暗号化レベルを変更してデータを中継する通信機器の実施例について説明する。
図5に、この発明の実施例5の通信機器の全体構成ブロック図を示す。
実施例5の通信機器31は、2つの通信ポート(2a,2b)を備え、通信ポート2aに接続された通信相手と通信ポート2bに接続された通信相手との間で送受信されるデータの双方向の中継を行うものである。
【0095】
図5において、通信ポート2aに接続された通信相手から通信ポート2bに接続された通信相手へ送るデータの中継のために、復号器11a,データキュー32a,暗号器4aが設けられ、通信ポート2bに接続された通信相手から通信ポート2bに接続された通信相手へ送るデータの中継のために、復号器11b,データキュー32b,暗号器4bが設けられる。
【0096】
たとえば、通信ポート2aに接続された通信相手からパケットを受け取った場合、そのパケットを復号器11aで復号し、データキュー32aに一時保存し、暗号化レベル決定部5で決定した暗号レベルを用いて、一時保存されたパケットを暗号器4aで暗号化して、通信ポート2bから他の通信相手へ転送する。
【0097】
ここで、通信機器31のCPUは、データキュー32aに保存されたデータに対して、必要に応じてプロトコルや送受信アドレスの解析または変換、その他フィルタリング,パケットの優先度によるスケジュールリングを行う。
【0098】
図12に、この発明の実施例5の通信機器の動作フローチャートを示す。
ここでは、通信ポート2aに接続された通信相手から受信したデータを、通信ポート2bに接続された他の通信相手に中継する場合について説明する。ただし、通信ポート2bから2aへデータを中継する場合も同様である。
【0099】
ステップS41において、通信ポート2aでデータの受信が開始されると、まず、通信ポート2aは、物理的な通信媒体による転送のために付加されていたヘッダおよびフッタを取り除き、パケットに暗号化レベル情報が付加されているかどうかを検出すること、またはパケットに付加されている送信元情報が暗号化通信を行っている通信相手であるかどうかを判断することによってパケットが暗号化されているかどうかを判定する(ステップS42)。
【0100】
暗号化されている場合は、そのパケットデータを復号器11aに転送する(ステップS43)。
暗号化されていない場合は、データパケットはデータキュー32aに転送され、ステップS47へ進む。
ステップS44において、復号器11aは、パケットのヘッダ部分に付加されている暗号化レベル情報を読み取り、パケットの暗号化レベルを判定する(ステップS44)。
【0101】
次に、暗号データベース6を参照して、データを復号するために必要となる暗号化方式とそれに対応した暗号鍵の情報を取得する(ステップS45)。
次に、これらの取得した情報を用いて、受信パケットの復号を行い、データキュー32aに転送する(ステップS46)。
ステップS47において、データキュー32aでパケットを解析し、解析した内容に基づいてパケットの加工を行う。ここで、パケットの加工とは、データ送信先アドレスの検出,パケットの機密度および優先度の設定,解析,検出,フィルタリング,スケジュールリング,パケットの分割/結合などを意味する。
【0102】
次に、ステップS48において、実施例1と同様にして、通信状態検出部3がデータ送信先の「通信状態」を取得する。
ステップS49において、取得した「通信状態」と、パケットの機密度および優先度を利用して、暗号化レベル決定部5が暗号化レベルを決定する。
ステップS50において、暗号化レベル決定部5は、決定された暗号化レベルに対応した暗号化アルゴリズムと暗号鍵とを暗号データベース6から取得して、暗号器4aに転送する(ステップS50)。
【0103】
ステップS51において、暗号器4aは、データキュー32aに格納されていたパケットに対して順次暗号化を行う。
ステップS52において、暗号化されたパケットのヘッダ部分にどの暗号化レベルで暗号化されたかを示す情報を付加して通信ポート2bに転送する。
最後に、ステップS53において、通信ポート2bでは、転送されたパケットに対して、物理的に通信媒体を使用して通信相手に転送する為の処理、すなわち通信路の確立、パケットへのヘッダ・フッタの付加、電気的変換を行い、順次通信相手にパケットを転送して完了となる。
【0104】
次に、データキュー32の具体的な構成の一実施例について説明する。
図6に、実施例5におけるデータキュー32aの構成ブロック図を示す。図5のデータキュー32bも同様の構成である。
図6において、データキュー32aは、受信データバッファ12および送信データキュー7とからなるメモリ素子群と、データ送信先検出部13,スケジュール37等の機能ブロック群とから構成される。
【0105】
機能ブロック群は、高速処理の観点からはハードウェアロジックで構成されることが好ましいが、CPUを中心とするマイクロコンピュータと各機能ブロックの処理手順を示したプログラムとにより実現するようにしてもよい。
また、図6に示した受信データバッファ12,送信データキュー7,データ送信先検出部13および機密度/優先度検出部15は、実施例1,2および4に記載したものと同様の機能を有する機能ブロックである。
【0106】
パケットフィルタ33は、転送すべきパケットを選別する部分であり、受信データバッファ12のパケットを調べ、送信する必要のないパケット,送信許可していない端末からのパケット,アクセスを許可していない端末を宛先としたパケット等を破棄して必要なパケットのみを転送する。
【0107】
アドレス/プロトコル変換部34は、LAN上の機器による通信機器31を介したインターネット接続のような場合に必要となるアドレス変換や、プロトコル変換を行う部分であり、具体的には、アドレス変換とはたとえばグローバルアドレスとローカルアドレスの間でアドレスを変換することを意味し、プロトコル変換とはたとえばATMとTCP/IP間でプロトコルを変換することを意味する。
【0108】
機密度/優先度解析部35は、パケットフィルタ33を通過したパケットに機密度または優先度を設定するために、そのパケットの内容を解析する部分である。また、機密度/優先度設定部36は、パケットに機密度または優先度を設定する部分である。
たとえば、機密度/優先度解析部35がパケットの中の上位プロトコルレイヤの種別を確認し、これがRTPであれば、機密度/優先度設定部36が優先度を高く設定する。
【0109】
スケジューラ37は、パケットに付与された優先度を利用して、転送の順序を決定する部分であり、たとえば高い優先度が付与されたパケットは、優先度の低いパケットよりも先に、送信データキュー7に転送される。
【0110】
また、図5には、通信ポート2a,2bと独立させて暗号器4,復号器11を設ける構成を示したが、通信ポート2a,2b内に暗号器および復号器を内蔵するようにしてもよい。これによれば、データキュー32の内部処理と、暗号・復号処理とを分散,並列化して全体の処理時間を短縮することができる。
【0111】
次に、この実施例5のデータの中継をする場合において、通信状態検出部3が取得すべき通信状態について説明する。
この実施例5では、前記した実施例1〜4と異なり、データの中継を主機能とするので、検出すべき「通信状態」の情報が実施例1〜4と異なる。
すなわち、通信ポートの送信データ量やリンク速度のような品質情報の他に、中継するデータに関する情報(中継情報)も、「通信状態」の情報として用いることが好ましい。
中継するデータに関する情報(中継情報)としては、ポートの種別,中継データの総合計量,上位プロトコルレイヤの暗号化情報などが利用できる。
【0112】
「ポートの種別」とは、たとえば有線か無線かを区別する情報や、通信ポートが物理的な通信を行うための通信プロトコルを区別する情報をいう。通信ポートは、通常は通信ポート(2a,2b)のハードウェアに依存するので予め通信ポート毎にポート情報を設定しておく。たとえば、一方の通信ポート2aが有線の通信媒体に接続され、他方の通信ポート2bが無線の通信媒体に接続されている場合、通常、同じ暗号化レベルで暗号化されたデータでも、無線によって送受信されるデータの方が有線のものよりも秘匿性が低いと言える。
【0113】
したがって、「通信状態」として無線というポートの種別を示す情報を取得した場合、その通信ポートから送信するデータは、たとえスループットが低い通信状態でも、ランクの高い暗号化レベルを用いた暗号化をするべきである。すなわち、「ポートの種別」は、中継データの暗号化レベルを選択するための基準として用いられる。
【0114】
「中継データの総合計量」とは、通信ポートの単位時間あたりに中継されるデータ量の合計をいう。
たとえば、この総合計量と中継の処理能力に対応する基準量とを比較して、総合計量が基準量よりも大きければ、暗号化レベルを低くし、小さければ暗号化レベルを高くするようにする。
この総合計量は、通信ポートを実際に通過するパケット数を計測することにより取得できる。実際の中継データ量の処理能力を考慮して暗号化レベルを選択すれば、より効率的かつ安全な通信が可能となる。
【0115】
「上位プロトコルレイヤの暗号化情報」とは、通信のために適用したプロトコル(下位プロトコル)のヘッダ情報を取り除いたデータの内容において暗号化をされているかどうかの情報を意味する。この情報は上位プロトコルにおけるヘッダ情報から取得することができる。たとえば、中継をしようとするデータがRFC2246で規定されている上位プロトコルレイヤの情報であるTLS(Transport Layer Security)の暗号化がすでにされている場合、通信する情報の秘匿性がある基準レベルを越えており通信能力に余裕があるときのみ、下位のプロトコルレイヤでは高い暗号化レベルで暗号化し、その他の場合には低い暗号化レベルで暗号化するか、または暗号化処理はしないようにする。
このように、上位プロトコルレイヤの情報を用いれば、処理速度と秘匿性の観点からより適切な暗号化レベルを選択することができる。
【0116】
【発明の効果】
この発明によれば、実際の通信状態に関連する情報を考慮して暗号化レベルを選択することができるので、送受信されるデータの秘匿性と通信品質の両立を図ることができる。
【図面の簡単な説明】
【図1】この発明の通信機器の実施例1の全体構成ブロック図である。
【図2】この発明の通信機器の実施例2の全体構成ブロック図である。
【図3】この発明の通信機器の実施例3の全体構成ブロック図である。
【図4】この発明の通信機器の実施例4の全体構成ブロック図である。
【図5】この発明の通信機器の実施例5の全体構成ブロック図である。
【図6】この発明の実施例5のデータキューの構成ブロック図である。
【図7】この発明の通信機器の実施例1の送信時の動作フローチャートである。
【図8】この発明の通信機器の実施例1の受信時の動作フローチャートである。
【図9】この発明の通信機器の実施例2の送信時の動作フローチャートである。
【図10】この発明の通信機器の実施例3の送信時の動作フローチャートである。
【図11】この発明の通信機器の実施例3の受信時の動作フローチャートである。
【図12】この発明の通信機器の実施例5の動作フローチャートである。
【図13】従来のセキュアシステムの全体構造を示すブロック図である。
【図14】従来のセキュアシステムの一実施例のフローチャートである。
【符号の説明】
2  通信ポート
3  通信状態検出部
4  暗号器
5  暗号化レベル決定部
6  暗号データベース
7  送信データキュー
8  データ記憶媒体
9a 送信データ
9b 送信データ
10  受信データ
11  復号器
12  受信データバッファ
13  データ送信先検出部
14  データ内容解析部
15  機密度/優先度検出部
21  通信機器

Claims (13)

  1. 1つまたは複数の通信媒体に対してデータの送受信を行う通信部と、通信部の状態を監視し現在の通信状態を特定する品質情報を取得する通信状態検出部と、取得した品質情報に基づいて暗号化レベルを決定する暗号化レベル決定部と、決定された暗号化レベルに基づいて送信データを暗号化する暗号部とを備えたことを特徴とする通信機器。
  2. 前記通信状態検出部が、前記品質情報として、通信部の単位時間あたりに送受信されるデータ量、通信部の現在のリンク速度、通信部の通信エラー率、および通信部が所定のデータを送信した時からそのデータに対する応答データを受信するまでの時間のうち、少なくともいずれか1つ以上を取得することを特徴とする請求項1の通信機器。
  3. 前記通信部が無線によるデータの送受信を行う場合、前記通信状態検出部は、受信する電波強度を前記品質情報として取得することを特徴とする請求項1または2の通信機器。
  4. 前記暗号化レベル決定部が決定する暗号化レベルは、暗号化鍵の鍵長,暗号化方式,暗号化処理の適用回数,暗号化されたデータに付加される初期化ベクトルのデータ量のうち、少なくともいずれか一つ以上から構成されることを特徴とする請求項1の通信機器。
  5. 前記暗号化鍵の鍵長が、一方向性を持ったハッシュ関数により生成されることを特徴とする請求項4の通信機器。
  6. 前記暗号化レベル決定部により決定された暗号化レベルが、前記暗号部により暗号化されたデータに付加されて通信部により送信されることを特徴とする請求項4の通信機器。
  7. 前記暗号部が使用する暗号化鍵自体が、所定の暗号化方式で暗号化され、かつ前記暗号化鍵を使用して暗号化された送信データとは異なるデータとして、通信部により送信されることを特徴とする請求項4の通信機器。
  8. 前記通信部が受信したデータに含まれる暗号化レベルの情報に基づいて、通信部が受信したデータを復号する復号部をさらに備えたことを特徴とする請求項1の通信機器。
  9. 送信データの中に予め付与された機密度情報、または、送信データに含まれる特定の情報から設定される機密度情報を検出する機密度情報検出部をさらに備え、前記暗号化レベル決定部が、前記取得された品質情報と検出された機密度情報とを用いて暗号化レベルを決定することを特徴とする請求項1の通信機器。
  10. 送信データの中に予め付与されたデータ転送の優先度情報、または送信データに含まれる特定の情報から設定される優先度情報を検出する優先度情報検出部をさらに備え、前記暗号化レベル決定部が、前記取得された品質情報と検出された優先度情報とを用いて暗号化レベルを決定することを特徴とする請求項1の通信機器。
  11. 送信データの中に予め付与された機密度情報および優先度情報、または送信データに含まれる特定の情報から設定される機密度情報および優先度情報を検出する機密度/優先度検出部と、前記品質情報,機密度情報および優先度情報のうちいずれの情報を用いて暗号化レベルを決定すべきかを設定する情報設定部とをさらに備え、前記暗号化レベル決定部が、前記情報設定部によって設定された情報を用いて暗号化レベルを決定することを特徴とする請求項1の通信機器。
  12. 複数の通信媒体に対してそれぞれ中継データの送受信を行う複数の通信部と、通信部の状態を監視し現在の通信状態を特定する品質情報と、通信部で中継されるデータに関する中継情報とを取得する通信状態検出部と、取得した品質情報および中継情報とに基づいて暗号化レベルを決定する暗号化レベル決定部と、決定された暗号化レベルに基づいて中継データを暗号化する暗号部と、決定された暗号化レベルに基づいて中継データを復号化する復号部とを備え、前記通信部が受信した中継データを復号部により復号した後、暗号部により暗号化して、中継データを受信した通信部とは異なる通信部から前記暗号化された中継データを送信することを特徴とする通信機器。
  13. 前記中継情報が、通信部の通信ポート種別情報,所定の通信部が単位時間あたりに中継するデータの合計量、および上位プロトコルレイヤにおける暗号化情報のうち、少なくともいずれか1つ以上から構成されることを特徴とする請求項12の通信機器。
JP2002223474A 2002-07-31 2002-07-31 通信機器 Pending JP2004064652A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002223474A JP2004064652A (ja) 2002-07-31 2002-07-31 通信機器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002223474A JP2004064652A (ja) 2002-07-31 2002-07-31 通信機器

Publications (1)

Publication Number Publication Date
JP2004064652A true JP2004064652A (ja) 2004-02-26

Family

ID=31943217

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002223474A Pending JP2004064652A (ja) 2002-07-31 2002-07-31 通信機器

Country Status (1)

Country Link
JP (1) JP2004064652A (ja)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007143062A (ja) * 2005-11-22 2007-06-07 Fuji Xerox Co Ltd 情報管理システム、情報管理方法およびプログラム
JP2007282070A (ja) * 2006-04-11 2007-10-25 Nec Engineering Ltd 通信端末装置及び暗号化方法
JP2008035438A (ja) * 2006-07-31 2008-02-14 Fujitsu Ltd データ中継装置
JP2008113172A (ja) * 2006-10-30 2008-05-15 Hitachi Ltd コンテンツ送信装置、コンテンツ受信装置及びコンテンツ暗号化方法
JP2009505506A (ja) * 2005-08-11 2009-02-05 マイクロソフト コーポレーション 様々なコンテンツ・タイプのデジタル媒体の保護
JP2009534697A (ja) * 2006-04-18 2009-09-24 エアバス フランス 航空機と地上局との間の通信ネットワーク上の通信方法と装置
JP2009253563A (ja) * 2008-04-03 2009-10-29 Nec Corp コンテンツ暗号化配信システム、コンテンツ暗号化配信方法およびコンテンツ暗号化配信用プログラム
JP2009540707A (ja) * 2006-06-13 2009-11-19 エヌイーシー ヨーロッパ リミテッド 秘密鍵確立プロセス
JP2011193055A (ja) * 2010-03-11 2011-09-29 Fujitsu Ltd 通信装置および通信方法
JP2012114592A (ja) * 2010-11-22 2012-06-14 Nec Corp データ処理装置およびデータ処理システムとデータ処理プログラムならびにアクセス制限方法
US8374339B2 (en) 2005-09-06 2013-02-12 Fujitsu Limited Security setting method of wireless communication network, wireless communication network system, client device and recording medium
JP2014171090A (ja) * 2013-03-04 2014-09-18 Buffalo Inc 無線中継装置、無線中継方法、および、クライアント装置
WO2014184938A1 (ja) 2013-05-16 2014-11-20 富士通株式会社 端末装置、通信システム及び通信制御プログラム
JP2014233020A (ja) * 2013-05-30 2014-12-11 株式会社バッファロー 無線通信装置、無線端末装置、無線通信システム、および、方法
WO2016028140A1 (en) * 2014-08-18 2016-02-25 Mimos Berhad System and method for adaptive protocol data unit management for secure network communication
JP2016170813A (ja) * 2016-06-16 2016-09-23 日立オートモティブシステムズ株式会社 自動車用電子制御装置
US10606229B2 (en) 2011-09-21 2020-03-31 Hitachi Automotive Systems, Ltd. Electronic control unit for vehicle and method of executing program
JP2020088478A (ja) * 2018-11-19 2020-06-04 三菱電機株式会社 中継装置、中継方法及び中継プログラム
US20200244669A1 (en) * 2006-04-13 2020-07-30 Certicom Corp. Method and Apparatus for Providing an Adaptable Security Level in an Electronic Communication
US11563747B2 (en) 2003-07-07 2023-01-24 Blackberry Limited Method and aparatus for providing an adaptable security level in an electronic communication
CN117395466A (zh) * 2023-10-11 2024-01-12 深邦智能科技集团(青岛)有限公司 视频传输的实时监控方法、***及电子设备

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563747B2 (en) 2003-07-07 2023-01-24 Blackberry Limited Method and aparatus for providing an adaptable security level in an electronic communication
US11870787B2 (en) 2003-07-07 2024-01-09 Blackberry Limited Method and apparatus for providing an adaptable security level in an electronic communication
JP2009505506A (ja) * 2005-08-11 2009-02-05 マイクロソフト コーポレーション 様々なコンテンツ・タイプのデジタル媒体の保護
US8374339B2 (en) 2005-09-06 2013-02-12 Fujitsu Limited Security setting method of wireless communication network, wireless communication network system, client device and recording medium
JP2007143062A (ja) * 2005-11-22 2007-06-07 Fuji Xerox Co Ltd 情報管理システム、情報管理方法およびプログラム
JP2007282070A (ja) * 2006-04-11 2007-10-25 Nec Engineering Ltd 通信端末装置及び暗号化方法
US20200244669A1 (en) * 2006-04-13 2020-07-30 Certicom Corp. Method and Apparatus for Providing an Adaptable Security Level in an Electronic Communication
JP2009534697A (ja) * 2006-04-18 2009-09-24 エアバス フランス 航空機と地上局との間の通信ネットワーク上の通信方法と装置
JP2009540707A (ja) * 2006-06-13 2009-11-19 エヌイーシー ヨーロッパ リミテッド 秘密鍵確立プロセス
JP2008035438A (ja) * 2006-07-31 2008-02-14 Fujitsu Ltd データ中継装置
JP2008113172A (ja) * 2006-10-30 2008-05-15 Hitachi Ltd コンテンツ送信装置、コンテンツ受信装置及びコンテンツ暗号化方法
JP2009253563A (ja) * 2008-04-03 2009-10-29 Nec Corp コンテンツ暗号化配信システム、コンテンツ暗号化配信方法およびコンテンツ暗号化配信用プログラム
JP2011193055A (ja) * 2010-03-11 2011-09-29 Fujitsu Ltd 通信装置および通信方法
JP2012114592A (ja) * 2010-11-22 2012-06-14 Nec Corp データ処理装置およびデータ処理システムとデータ処理プログラムならびにアクセス制限方法
US10606229B2 (en) 2011-09-21 2020-03-31 Hitachi Automotive Systems, Ltd. Electronic control unit for vehicle and method of executing program
US11556104B2 (en) 2011-09-21 2023-01-17 Hitachi Astemo, Ltd. Electronic control unit for vehicle and method of executing program
JP2014171090A (ja) * 2013-03-04 2014-09-18 Buffalo Inc 無線中継装置、無線中継方法、および、クライアント装置
WO2014184938A1 (ja) 2013-05-16 2014-11-20 富士通株式会社 端末装置、通信システム及び通信制御プログラム
JP5994936B2 (ja) * 2013-05-16 2016-09-21 富士通株式会社 端末装置、通信システム及び通信制御プログラム
JP2014233020A (ja) * 2013-05-30 2014-12-11 株式会社バッファロー 無線通信装置、無線端末装置、無線通信システム、および、方法
WO2016028140A1 (en) * 2014-08-18 2016-02-25 Mimos Berhad System and method for adaptive protocol data unit management for secure network communication
JP2016170813A (ja) * 2016-06-16 2016-09-23 日立オートモティブシステムズ株式会社 自動車用電子制御装置
JP2020088478A (ja) * 2018-11-19 2020-06-04 三菱電機株式会社 中継装置、中継方法及び中継プログラム
JP7213664B2 (ja) 2018-11-19 2023-01-27 三菱電機株式会社 中継装置、中継方法及び中継プログラム
CN117395466A (zh) * 2023-10-11 2024-01-12 深邦智能科技集团(青岛)有限公司 视频传输的实时监控方法、***及电子设备
CN117395466B (zh) * 2023-10-11 2024-04-30 深邦智能科技集团(青岛)有限公司 视频传输的实时监控方法、***及电子设备

Similar Documents

Publication Publication Date Title
JP2004064652A (ja) 通信機器
US8984268B2 (en) Encrypted record transmission
US9742806B1 (en) Accessing SSL connection data by a third-party
US7774593B2 (en) Encrypted packet, processing device, method, program, and program recording medium
KR101357026B1 (ko) 무선 네트워크들을 위한 공중-인터페이스 애플리케이션 층보안
US8775790B2 (en) System and method for providing secure network communications
JP5706308B2 (ja) プレカルキュレーテッド暗号データを用いた迅速なssl検査
JP2002319936A (ja) データ安全化通信装置及びその方法
US8189586B2 (en) Plural telecommunications functions having sharing transaction(s)
JP2007522764A (ja) データを暗号的に処理する方法及び装置
US20070242703A1 (en) Binding/combining of plural telecommunications functions
WO2009000209A1 (fr) Procédé et système pour transmettre et recevoir des données
US9185130B2 (en) Transmission apparatus, reception apparatus, communication system, transmission method, and reception method
WO2001049058A1 (fr) Dispositif de radiocommunication et procede de radiocommunication
JP2010028747A (ja) 秘匿処理を行う送信装置及び受信装置
Seggelmann et al. SSH over SCTP—Optimizing a multi-channel protocol by adapting it to SCTP
KR20150055004A (ko) 미정렬 데이터 스트림에 대한 키 스트림의 스트리밍 정렬
WO2006035501A1 (ja) 秘匿通信システム
CN116015943B (zh) 一种基于多级隧道混淆的隐私保护方法
EP1569408B1 (en) Communication-processing apparatus and its method
Paulus et al. SPEECH: Secure personal end-to-end communication with handheld
Hussain et al. Securing the insecure link of internet-of-things using next-generation smart gateways
Hohendorf et al. Secure End-to-End Transport Over SCTP.
JP2693881B2 (ja) 通信ネットワークで使用される暗号処理装置及び方法
JP4260658B2 (ja) Vpn装置および不正検知システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050525

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070801

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070821

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071218