JP2005210555A - Information processing apparatus - Google Patents
Information processing apparatus Download PDFInfo
- Publication number
- JP2005210555A JP2005210555A JP2004016515A JP2004016515A JP2005210555A JP 2005210555 A JP2005210555 A JP 2005210555A JP 2004016515 A JP2004016515 A JP 2004016515A JP 2004016515 A JP2004016515 A JP 2004016515A JP 2005210555 A JP2005210555 A JP 2005210555A
- Authority
- JP
- Japan
- Prior art keywords
- node
- communication path
- encryption key
- established
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、2つ以上のノードの間における安全な通信経路の確立に関し、特に、第3のノードを介した複数ノード間における安全な通信経路の確立に関する。 The present invention relates to establishment of a secure communication path between two or more nodes, and particularly relates to establishment of a secure communication path between a plurality of nodes via a third node.
2つのノード間に安全な通信経路を確立する方法としてIPsec(IPセキュリティ・プロトコル)およびSSL(Security Sockets Layer)/TLS(Transport Layer Security)等の規格がある。いずれの規格においても、ノード間の通信経路の安全性を確保するためには、ノード間で、予め暗号方式、暗号鍵、その鍵の長さ等の取り決め、即ちSA(Security Association)を確立し、相手の通信ノードの認証を行うことが必要である。 There are standards such as IPsec (IP security protocol) and SSL (Security Sockets Layer) / TLS (Transport Layer Security) as methods for establishing a secure communication path between two nodes. In either standard, in order to ensure the safety of the communication path between nodes, an agreement on the encryption method, encryption key, key length, etc., that is, SA (Security Association) is established in advance between the nodes. It is necessary to authenticate the other communication node.
2つのノード間で暗号方式および暗号鍵を共有する方法としてIKE(Internet Key Exchange)が知られている。また、複数ノード間で暗号方式および暗号鍵を共有する方法として、RFC(Request for Comments)3547によるIKE/GDOIを利用する方法が知られている。この方法は、GCKS(Group Controller/Key Server)とグループ・メンバとの間のプロトコルを定義しており、許可されたグループ・メンバ間で同一のSA(安全な通信を行うための条件、例えば、暗号化方式および暗号鍵等が安全な通信を行うノード間で決定された状態)を確立する。この方法は、GCKSとグループ・メンバの間の経路が安全ではないと想定しており、従って、先ずGCKSとグループ・メンバの間で一時的に安全な経路を確立し、その安全な通信経路上で本来の安全な経路を確立するのに必要なSAの折衝を行う。 IKE (Internet Key Exchange) is known as a method for sharing an encryption method and an encryption key between two nodes. As a method for sharing an encryption method and an encryption key among a plurality of nodes, a method using IKE / GDOI according to RFC (Request for Comments) 3547 is known. This method defines a protocol between a GCKS (Group Controller / Key Server) and a group member, and the same SA (a condition for performing secure communication between the permitted group members, for example, State in which the encryption method, encryption key, and the like are determined between nodes performing secure communication). This method assumes that the path between GCKS and the group member is not secure, so first establish a temporary secure path between GCKS and the group member, and then on the secure communication path. To negotiate the SA necessary to establish the original safe path.
これらの既知の方法は、サーバと複数のメンバの間で同一のSAを保持することによって、1対n(1サーバ対nメンバ)のコンテンツ配信用の通信経路またはコンテンツの暗号処理の負荷を軽減できる。 These known methods reduce the load of the communication path for content distribution of 1 to n (1 server to n members) or content encryption processing by maintaining the same SA between the server and a plurality of members. it can.
実藤によって公開された2002年8月30日付で公開された特開2002−247111号公報には、プライベートなネットワークに対する外部からの不正アクセスを防止しうる方法及びその方法を実現する装置が記載されている。その方法によれば、端末から家庭内ネットワークに対するパケットが送信されると、そのネットワークのゲートウェイはそのパケットのパケット情報と自己認証データとをインターネット上のセキュリティ管理装置に送信する。セキュリティ管理装置は端末に認証データを要求する。セキュリティ管理装置は、受信した認証データに基づいて、送信者が正当な権利を有していれば、ゲートウェイに対してフィルタリング解除命令を出す。
前述したように、2つのノードの間の通信の安全性を確保するためには、SAの確立と通信相手の認証とが必要である。各ノード毎に手動でSAを設定しておくことは可能であるが、その設定作業は複雑であり、誤操作が生じやすい。最小限の情報だけを与えて、自動的にSAを確立するIKE標準が提案されている。しかし、この場合でも、通信相手のIPアドレスが必要であり、どのようにして相手通信ノードのIPアドレスを取得するかが問題となる。 As described above, in order to ensure the safety of communication between two nodes, it is necessary to establish SA and authenticate the communication partner. Although it is possible to manually set the SA for each node, the setting operation is complicated and erroneous operation is likely to occur. An IKE standard has been proposed that provides only minimal information and automatically establishes SA. However, even in this case, the IP address of the communication partner is necessary, and how to acquire the IP address of the partner communication node becomes a problem.
また、IKE−SA折衝(ネゴシエーション)において用いられるDH法(Diffie-Hellman鍵共有アルゴリズ)は、MIM(Man-in-the-Middle)攻撃を受ける可能性があるので、DH法で生成される共有値に加えて、予め保持している共有秘密鍵および折衝始動者(negotiation initiator)と応答者によって生成されたランダム値などを用いて、通信経路を暗号化する鍵を生成する。しかし、この共有鍵をどのようにして2つのノード間で共有するかが問題となる。 In addition, since the DH method (Diffie-Hellman key agreement algorithm) used in IKE-SA negotiation (negotiation) may be subject to a MIM (Man-in-the-Middle) attack, the sharing generated by the DH method In addition to the value, a key for encrypting the communication path is generated using a shared secret key held in advance and a random value generated by a negotiation initiator and a responder. However, how to share this shared key between two nodes becomes a problem.
さらに、折衝始動者と応答者が生成するランダム値を通信相手の公開鍵によって暗号化し、ランダム値を鍵の素材とすることによって、MIM攻撃を防ぐ方法が、提案されている。この場合、中間者は、公開鍵によって暗号化されたランダム値を復号できないので、その鍵を計算できない。しかし、通信相手の公開鍵を両者が予め入手しておく必要があり、従って公開鍵の交換方法が問題となる。 Furthermore, a method for preventing an MIM attack by encrypting a random value generated by a negotiation initiator and a responder with a public key of a communication partner and using the random value as a key material has been proposed. In this case, the intermediary cannot calculate the key because it cannot decrypt the random value encrypted with the public key. However, it is necessary for both parties to obtain the communication partner's public key in advance, so that the method for exchanging the public key becomes a problem.
本発明の目的は、第3のノードを介して2つのノードの間に安全な通信経路を確立するシステムを実現することである。 An object of the present invention is to realize a system that establishes a secure communication path between two nodes via a third node.
本発明の別の目的は、第3のノードを介して複数のノードの間に安全なリレー形式のコンテンツ配信経路を確立するシステムを実現することである。 Another object of the present invention is to realize a system for establishing a secure relay type content distribution path between a plurality of nodes via a third node.
本発明の特徴によれば、第1のノードとして用いられる情報処理装置は第2のノードとの間に第1の安全な通信経路を確立する通信制御手段を具え、その通信制御手段は、第3のノードとの間に確立された第2の安全な通信経路上でその第3のノードに、その第2のノードに関連する公開可能な情報を含むその第1の通信経路の確立の要求を送信し、その確立された第2の安全な通信経路上でその第3のノードからその第2のノードに関連する秘密情報を受信し、その受信した秘密情報に基づいてその第2のノードとの間にその第1の安全な通信経路を確立する。 According to a feature of the present invention, the information processing device used as the first node comprises communication control means for establishing a first secure communication path with the second node, the communication control means comprising: A request for establishment of the first communication path including publicly available information related to the second node on the second secure communication path established with the third node. And receives secret information associated with the second node from the third node on the established second secure communication path, and based on the received secret information, the second node Establishes its first secure communication path between
本発明の別の特徴によれば、第3のノードとして用いられる情報処理装置は、第1と第2のノードの間に第1の安全な通信経路を確立する通信制御手段と、記憶手段とを具え、その通信制御手段は、その第1のノードとの間に確立された第2の安全な通信経路上でその第1のノードから、その第2のノードに関連する公開可能な情報を含むその第1の通信経路の確立の第1の要求を受信し、その記憶手段に格納されているノード情報を参照してその公開可能な情報に基づいてその第2のノードに関連する秘密情報を取り出し、その取り出した秘密情報に基づいてその第2のノードとの間に第3の通信経路を確立し、その確立された第3の通信経路上でその第2のノードに、その第1のノードに関連する公開可能な情報を含むその第1の通信経路の確立の第2の要求を送信し、その第2のノードから前記第1の通信経路の確立のその第2の要求に対する許可を受信し、その受信した許可に従って、その確立された第2の安全な通信経路上でその第1のノードに、その第2のノードに関連するその取り出した秘密情報を送信する。 According to another feature of the present invention, an information processing apparatus used as the third node includes a communication control means for establishing a first secure communication path between the first and second nodes, a storage means, The communication control means includes, from the first node on the second secure communication path established with the first node, publicly available information related to the second node. Including the first request for establishment of the first communication path including the secret information related to the second node based on the information that can be disclosed with reference to the node information stored in the storage means And a third communication path is established with the second node based on the retrieved secret information, and the first node is transferred to the second node on the established third communication path. Its first communication path containing publicly available information related to the node of A second request for establishment of the first communication path, receiving a permission for the second request for establishment of the first communication path from the second node, and according to the received permission, Send the retrieved secret information associated with the second node to the first node over a secure communication path.
本発明のさらに別の特徴によれば、第2のノードとして用いられる情報処理装置は、第1のノードとの間に第1の安全な通信経路を確立する通信制御手段を具え、その通信制御手段は、第3のノードとの間に確立された第3の通信経路上でその第3のノードから、その第1のノードに関連する公開可能な情報を含むその第1の通信経路の確立の要求を受信し、その受信したその要求に含まれるその第1のノードに関連するその公開可能な情報に基づいて、その第1の通信経路の確立を許可すべきかどうかを判定し、その第1の通信経路の確立を許可すべきと判定された場合には、その確立された第3の通信経路上でその第3のノードにその第1の通信経路の確立の許可を含む情報を送信し、その第1のノードとの間にその第1の通信経路を確立させる。 According to still another feature of the present invention, the information processing apparatus used as the second node includes communication control means for establishing a first safe communication path with the first node, and the communication control thereof. The means establishes the first communication path including publicly available information related to the first node from the third node on the third communication path established with the third node. Determining whether to allow establishment of the first communication path based on the publicly available information associated with the first node included in the received request, When it is determined that establishment of one communication path should be permitted, information including permission for establishment of the first communication path is transmitted to the third node on the established third communication path. And establish the first communication path with the first node. Make.
本発明のさらに別の特徴によれば、情報処理装置は、第1のノードから第2のノードへのコンテンツ・データの配信を管理する通信制御手段を有し、その通信制御手段は、その第1のノードとの間に確立された通信経路上でその第1のノードに対して、そのコンテンツ・データの送信に用いられるその第2のノードに関連する秘密情報を送信する。 According to still another feature of the present invention, the information processing apparatus has communication control means for managing distribution of content data from the first node to the second node, and the communication control means Secret information related to the second node used for transmission of the content data is transmitted to the first node on the communication path established with the one node.
本発明のさらに別の特徴によれば、第1のノードとして用いられる情報処理装置は、第2のノードへ暗号化されたコンテンツ・データを配信する通信制御手段を有し、その通信制御手段は、第3のノードとの間に確立された第1の安全な通信経路上でその第3のノードから、そのコンテンツ・データの暗号化に用いられる暗号鍵と、その暗号鍵を暗号化するための第1の値とを受信し、その暗号鍵を暗号化するのに用いられる第2の値と、暗号化されたその暗号鍵を復号するためのその第2の値に関連する第3の値を生成し、その第2のノードとの間に確立された第2の安全な通信経路上でその第2のノードに対して、その第3の値と、その第1の値およびその第2の値を用いて暗号化されたその暗号鍵と、その暗号鍵を用いて暗号化されたそのコンテンツ・データとを送信する。 According to still another feature of the present invention, the information processing apparatus used as the first node has communication control means for distributing the encrypted content data to the second node, and the communication control means The encryption key used for encrypting the content data from the third node on the first secure communication path established with the third node, and the encryption key And a second value used to encrypt the encryption key and a third value associated with the second value for decrypting the encrypted key. Generating a value for the second node on a second secure communication path established with the second node, the third value, the first value and the second The encryption key encrypted using the value of 2 and encrypted using the encryption key To the transmits the content data.
本発明は、また、上述の情報処理装置を実現する通信プログラムに関する。 The present invention also relates to a communication program for realizing the information processing apparatus described above.
本発明は、また、上述の情報処理装置において用いられる通信方法に関する。 The present invention also relates to a communication method used in the information processing apparatus described above.
本発明によれば、第3のノードを介して2つのノードの間に安全な通信経路を確立することができ、また、第3のノードを介して複数のノードの間に安全なリレー形式のコンテンツ配信経路を確立することができる。 According to the present invention, a secure communication path can be established between two nodes via a third node, and a secure relay type can be established between a plurality of nodes via a third node. A content distribution path can be established.
本発明の実施形態を図面を参照して説明する。図面において、同様の構成要素には同じ参照番号が付されている。 Embodiments of the present invention will be described with reference to the drawings. In the drawings, similar components are given the same reference numerals.
図1は、本発明の第1の実施形態による、例えばインターネットのような外部ネットワーク5に結合された第1、第2および第3のノード22、28および10からなるネットワーク構成を示している。第1および第2のノード22および28は、例えばIPv6規格に準拠したホーム・ゲートウェイ・サーバまたはパーソナル・コンピュータであってもよい。第3のノード10は、例えばピア・ツー・ピア接続を支援するISP(Internet Service Provider)またはサーバ・コンピュータであってもよく、第1および第2のノード22および28の固有情報を管理する。第1、第2および第3のノード22、28および10は、通信制御モジュール(COM.CTRL)222、282および102をそれぞれ有する。
FIG. 1 shows a network configuration consisting of first, second and
第1および第2のノード22および28は、公開可能な情報と、限定された者にだけ伝えられる秘密情報とを含むそれぞれのノードの固有情報を、第3のノード10に予め登録する。第3のノード10は、第1および第2のノード22および28の固有情報をその記憶装置101に格納する。その公開可能な情報には、例えばニックネームのようなノードの識別(ID)等が含まれる。その秘密情報には、ノードのIPアドレスおよび待ち受けポート番号等が含まれる。そのIPアドレスは、グローバルまたはプライベートIPアドレスであってもよく、動的にまたは固定的に割り当てられてもよい。
The first and
第1のノード22は、ここではイニシエータ(始動者)として機能する。レスポンダ(応答者)として機能する第2のノード28との間に安全な通信経路402を確立するために、第1のノード22は、通信制御モジュール222によって、IPアドレスIPADDR−Cの第3のノードとの間に、例えばIPsecのような規格に従った安全な通信経路432を先ず確立して、その通信経路432上で第3のノード10に対して、ペイロード・フィールド中に発信元の第1のノード22の識別ID−Aおよび通信すべき第2のノード28の識別ID−Bを含む、第2のノード28との間の通信経路402の確立の許可の要求を表すパケットを送信する。
Here, the
第3のノード10は、通信制御モジュール102によって、その要求を表すパケットを受信して、そのパケット中の識別ID−Bに基づいて記憶装置101に格納されているノード固有情報のリストを参照して、第1のノード22によって第2のノード28との間に通信経路402を確立することが許容されるかどうかを判定する。それが許容されると判定された場合は、第3のノード10(通信制御モジュール102)は、IPアドレスIPADDR−Bの第2のノード28との間に、例えばIPsecのような通信規格に従った安全な通信経路434を確立して、その通信経路434上で第2のノード28に対して、ペイロード・フィールド中に第1のノード22の識別ID−A等の公開可能な情報を含む、第1のノード22との間の通信経路402の確立の許可の要求を表すパケットを送信する。
The
第2のノード28は、通信制御モジュール282によって、第1のノード22の識別ID−Aの公開可能な情報のみに基づいてその通信経路402の確立を許可するかどうかを判定する。それが拒否されると判定された場合は、第2のノード28(通信制御モジュール282)は、その拒否を表すパケットを第3のノードに送信する。その拒否を表すパケットを受信したときは、第3のノード10(通信制御モジュール102)は、その拒否を表すパケットを第1のノード22に送信する。それが許可されると判定された場合は、第2のノード28(通信制御モジュール282)は、その許可を表すパケットを第3のノードに送信する。その許可を表すパケットを受信したときは、第3のノード10(通信制御モジュール102)は、第2のノード28のIPアドレスIPADDR−Bの秘密情報を含むその許可を表すパケットを第1のノード22に送信し、および/または第1のノード22のIPアドレスIPADDR−Aの秘密情報を含むパケットを第2のノード28に送信する。
The
第1のノード22(通信制御モジュール222)は、その受け取った第2のノード28のIPアドレスIPADDR−Bの秘密情報を用いて、第2のノード28との間に通信経路402を確立し、通信経路402上で所要の通信を行い、例えば静止画像または動画像ファイルのようなコンテンツCを第2のノード28に送信してもよい。図において破線矢印はコンテンツCの流れを示している。代替構成として、第2のノード28(通信制御モジュール222)が、その受け取った第1のノード22のIPアドレスIPADDR−Aの秘密情報を用いて、第1のノード22との間に通信経路402を確立し、その後、第1のノード22がその通信経路402上で所要の通信を行い、例えばコンテンツCを第2のノード28に送信してもよい。また、その逆であってもよい。
The first node 22 (communication control module 222) establishes a
上述の通信について、第1のノード22(通信制御モジュール222)と第3のノード10(通信制御モジュール102)は、共有の秘密鍵KACを保持し、パケットをその一方から他方へ送信するとき、秘密鍵KAC、またはその秘密鍵KACから導出された別の秘密鍵K’ACを用いて、送信するペイロードまたは内容の少なくとも一部を暗号化してもよい。秘密鍵KACは、単なるパスワードであっても、コンテンツ用の暗号鍵であってもよい。同様に、第3のノード10(通信制御モジュール102)と第2のノード30(通信制御モジュール302)も、共有の秘密鍵KBCを保持し、パケットをその一方から他方へ送信するとき、秘密鍵KBC、またはその秘密鍵KBCから導出された別の秘密鍵K’BCを用いて、送信するペイロードまたはコンテンツの一部を暗号化してもよい。 For the communication described above, the first node 22 (communication control module 222) and the third node 10 (communication control module 102) hold a shared secret key K AC and transmit a packet from one to the other. , using a different secret key K 'AC derived from the secret key K AC or a secret key K AC,, at least a part of the payload or content may be encrypted to send. The secret key K AC may be a simple password or a content encryption key. Similarly, the third node 10 (communication control module 102) and the second node 30 (communication control module 302) also hold a shared secret key KBC, and when sending packets from one to the other, the secret using the key K BC or another secret key K 'BC derived from the secret key K BC,, a part of the payload or content may be encrypted for transmission.
第3のノード10(通信制御モジュール102)は、第2のノード28から、第1のノード22と第2のノード28の間の通信経路402の確立の許可を受け取ったとき、第1のノード22と第2のノード28の間で共有される暗号鍵KABを生成して、秘密鍵KACまたはその派生秘密鍵K’ACを用いて、暗号鍵KABおよび場合によっては関連する時間情報を暗号化して、それを第1のノード22に送信し、また、秘密鍵KBCまたはその派生秘密鍵K’BCを用いて、暗号鍵KABおよび場合によっては関連する時間情報を暗号化して、それを第2のノード28に送信してもよい。その時間情報は、例えば時刻を含み、第1、第2および第3のノード22、28および10は、その時刻から所定時間経過したときまたはその時刻になったときにその暗号鍵KABを無効とするようにしてもよい。第1のノード22(通信制御モジュール222)と第2のノード28(通信制御モジュール282)は、その受信した暗号鍵KABを保持し、パケットをその一方から他方へ送信するとき、暗号鍵KAB、またはその暗号鍵KABから導出された別の暗号鍵K’ABを用いて、送信するペイロードまたはコンテンツの一部を暗号化してもよい。
When the third node 10 (communication control module 102) receives permission from the
図2は、図1の第1の実施形態の変形である第2の実施形態のネットワーク構成を示している。図2において、第1および第2のノードと同等の第4のノード30も外部ネットワーク5に結合されている。この場合、第3のノード10は、グループ化された複数のノードの固有情報を格納して管理し、例えば第1および第2のノード22および28の固有情報で構成される第1のグループGID−Aの固有情報、および第1、第2および第4のノード22、28および30の固有情報で構成される第2のグループGID−Bの固有情報を管理する。第4のノード30は通信制御モジュール(COM.CTRL)302を有する。
FIG. 2 shows a network configuration of the second embodiment, which is a modification of the first embodiment of FIG. In FIG. 2, a
第1のノード22は、イニシエータとして機能する。レスポンダとして機能する第2のノード28および第4のノード30との間に安全な通信経路402および404を確立するために、第1のノード22は、第3のノード10との間に安全な通信経路432を確立して、その通信経路432上で第3のノード10に対して、ペイロード中に、第1のノードの識別ID−Aと、第1、第2および第4のノード22、28および30を含む第2のグループを表す識別GID−Bとを含む、第2のグループGID−B中の他のノード28および30との間の通信経路402および404の確立の許可の要求を表すパケットを送信する。
The
第3のノード10は、その要求を表すパケットを受信して、そのパケット中の識別GID−Bに基づいてその記憶装置101に格納されている対応する第2のグループGID−Bのノード情報を参照して、第1のノード22によって第1のノード22と第2および第4のノード28および30との間に通信経路402および404を確立することが許容されるかどうかを判定する。例えば、第3のノード10がISPのサーバである場合、第2のノード28がそのサーバに登録されているかどうか等を判定し、登録されていると判定されたときにそれが許容されるようにすればよい。それが許容されると判定された場合は、上述したように、第3のノード10は、IPアドレスIPADDR−Bの第2のノード28との間に安全な通信経路434を確立して、第2のノード28に対して、第1のノード22の識別ID−A等の公開可能な情報を含む、第1のノードとの間の通信経路402の確立の許可の要求を表すパケットを送信する。同様に、第3のノード10は、IPアドレスIPADDR−Dの第4のノード30との間に安全な通信経路436を確立して第4のノード30に対して、第1のノード22の識別ID−A等の公開可能な情報を含む、第1のノードとの間の通信経路404の確立の許可の要求を表すパケットを送信する。
The
第2のノード28は、上述したように、その識別ID−Aの公開可能な情報のみに基づいてその通信経路402の確立を許可するかどうかを判定し、その許可を表すパケット拒否を表すパケットを第3のノードに送信する。第3のノード10は、第2のノード28のIPアドレスIPADDR−Bの秘密情報を含むその許可を表すパケットを第1のノード22に送信し、第1のノード22のIPアドレスIPADDR−Aの秘密情報を含むパケットを第2のノード28に送信し、またはその拒否を表すパケットを第1のノード22に送信する。
As described above, the
同様に、第4のノード30(通信制御モジュール302)は、その識別ID−Aの公開可能な情報のみに基づいてその通信経路404の確立を許可するかどうかを判定し、その許可を表すパケットまたは拒否を表すパケットを第3のノードに送信する。第3のノード10は、第4のノード30のIPアドレスIPADDR−Dの秘密情報を含むその許可を表すパケットを第1のノード22に送信し、第1のノード22のIPアドレスIPADDR−Aの秘密情報を含むパケットを第4のノード30に送信し、またはその拒否を表すパケットを第1のノード22に送信する。
Similarly, the fourth node 30 (communication control module 302) determines whether or not to permit establishment of the
第1のノード22は、その受け取った第2のノード28および/または第4のノード30のIPアドレスIPADDR−Bおよび/またはIPADDR−Dを用いて、第2のノード28および/または第4のノード30との間に通信経路402および/または404をそれぞれ確立し、その後、所要の通信を行う。図において破線矢印はコンテンツCの流れを示している。代替構成として、第2のノード28および/または第4のノード30(通信制御モジュール302)が、その受け取った第1のノード22のIPアドレスIPADDR−Aを用いて、第1のノード22との間に通信経路402および/または404を確立し、その後、第1のノード22が例えばコンテンツCを第2のノード28および/または第4のノード30に送信してもよい。
The
図3は、本発明の第3の実施形態による、ネットワーク5に結合された、ノード固有情報管理ノード12、暗号鍵管理ノード14、コンテンツ配信ノード24、および複数の受信ノード30、32、34、...および36のネットワーク構成を示している。図において破線矢印はコンテンツCの流れを示している。コンテンツ配信ノード24は例えばホーム・サーバである。ノード固有情報管理ノード12は図2の第3のノード10に対応するサーバである。暗号鍵管理ノード14は、図2の第2のノード28に対応するサーバである。ノード固有情報管理ノード12と暗号鍵管理ノード14は、1つのサーバとして統合されてもよい。受信ノード30〜34は、第2のノードと同様の構成を有し、例えばホーム・サーバまたはパーソナル・コンピュータである。ノード固有情報管理ノード12、暗号鍵管理ノード14、コンテンツ配信ノード24、および複数の受信ノード30、32、34、...および36は、通信制御モジュール(COM.CTRL)142、242、302、322、342、...および362をそれぞれ有する。
FIG. 3 shows a node-specific
コンテンツ配信ノード24は、イニシエータとして機能する。レスポンダとして機能する暗号鍵管理ノード14との間に安全な通信経路402を確立するために、コンテンツ配信ノード24は、通信制御モジュール242によって、安全な通信経路432を先ず確立して、図2の第3のノード10として機能するノード固有情報管理ノード12に対して、コンテンツ配信ノード24の認証用の識別ID−Aおよびパスワードと、第3のグループの識別GID−Dとを含む、第3のグループGID−Dのコンテンツ配信ノード24および受信ノード30〜36の間のリレー形式のマルチキャスト通信経路またはデイジーチェーンの確立の許可の要求を表すパケットを送信する。
The
暗号鍵管理ノード14は、通信制御モジュール142によって、その要求を表すパケットを受信して、そのパケット中の識別ID−Aおよびパスワードに基づいてコンテンツ配信ノード24の認証を行い、第3のグループの識別GID−Dに基づいてその記憶装置102に格納されている対応する第3のグループのノード固有情報を参照して、コンテンツ配信ノード24によって受信ノード30〜36との間にリレー形式の配信経路422、424、426、428、...および430を確立することが許容されるかどうかを判定する。それが許容されると判定された場合は、ノード固有情報管理ノード12は、通信制御モジュール122によって、暗号鍵管理ノード14との間に安全な通信経路434を確立して、暗号鍵管理ノード14に対して、ペイロード中においてコンテンツ配信ノード24および受信ノード30〜36の識別ID−A、ID−D、ID−E、ID−F、...およびID−Gの公開可能情報および/またはそれら識別のIPアドレスIPADDR−A、IPADDR−D、IPADDR−E、IPADDR−F、...およびIPADDR−Gの秘密情報を含む、コンテンツ配信ノード24および受信ノード30〜36の間のリレー形式の通信経路422〜430の確立の要求を表すパケットを送信する。
The encryption
暗号鍵管理ノード14(通信制御モジュール142)は、その識別ID−A、ID−D〜ID−Fの公開可能情報および/またはそのIPアドレスIPADDR−A、IPADDR−D〜IPADDR−Gの秘密情報に基づいて、その記憶装置104に格納されている対応する第3のグループのノード情報を参照して、そのIPアドレスの秘密情報を用いて、受信ノード30〜34との間に安全な通信経路408、412、414、...416をそれぞれ確立して、その通信経路408〜416上でその受信ノード30〜34に対して、そのコンテンツ配信ノード24およびその受信ノード30〜34の間のそれぞれの通信経路422〜430の確立の要求を表すパケットを送信する。
The encryption key management node 14 (communication control module 142) can disclose the identification ID-A, ID-D to ID-F and / or its IP address IP ADDR -A, IP ADDR -D to IP ADDR -G. Based on the secret information of the corresponding node, the node information of the corresponding third group stored in the
受信ノード30〜36は、それぞれの通信制御モジュール302〜362によって、その識別ID−Aの公開可能な情報のみに基づいてその通信経路402の確立を許可するかどうかを判定する。受信ノード30〜36のいずれかがそれを拒否すると判定した場合は、その受信ノードは、その拒否を表すパケットを暗号鍵管理ノード14に送信する。次いで、暗号鍵管理ノード14は、コンテンツ配信ノード24との間に確立された安全な通信経路402上でその拒否を表すパケットをコンテンツ配信ノード24に送信する。受信ノード30〜36のいずれかがそれを許可すると判定した場合は、その受信ノードは、待ち受けポート番号を含むその許可を表すパケットを暗号鍵管理ノード14に送信する。次いで、暗号鍵管理ノード14は、コンテンツ配信ノード24との間に安全な通信経路402を確立して、その許可を表すパケットをコンテンツ配信ノード24に送信する。
The receiving
暗号鍵管理ノード14(通信制御モジュール142)は、受信ノード30〜36のいずれかからその許可を受信した場合は、さらに、コンテンツ配信ノード24とその許可した受信ノードについてリレー配信のための通信経路の組合せのプランを作成し、さらに暗号鍵K(Kc、YsおよびXs)を生成して、コンテンツ配信ノード24とその許可した受信ノードとの間に確立された安全な通信経路402、408、...416上で、コンテンツ配信ノード24とその許可した受信ノード30〜36に対して、コンテンツCを転送すべき宛先受信ノードのIPアドレス、待ち受けポート番号および暗号鍵K(KcおよびYs、またはXs)を送信する。暗号鍵管理ノード14(通信制御モジュール142)は、例えば、コンテンツ配信ノード24に対して、受信ノード30のIPアドレスIPADDR−Dおよび待ち受けポート番号と暗号鍵K(KcおよびYs)とを含むパケットを送信し、受信ノード30に対して、受信ノード32のIPアドレスIPADDR−Eおよび待ち受けポート番号と暗号鍵K(Xs)とを含むパケットを送信する。
When the encryption key management node 14 (communication control module 142) receives the permission from any of the receiving
その後、コンテンツ配信ノード24(通信制御モジュール242)は、受信ノード30のIPアドレスIPADDR−Dおよび待ち受けポート番号を用いて、その受信ノード30との間に通信経路422を確立して、その通信経路422上で暗号鍵K(KcおよびYs)を用いて暗号化された例えばディジタル画像ファイルのようなコンテンツCを受信ノード30に送信する。受信ノード30(通信制御モジュール302)は、その送信されたコンテンツCを受信して、次の受信ノード32のIPアドレスIPADDR−Eおよび待ち受けポート番号との間に通信経路424を確立して、その受信コンテンツCを受信ノード32に転送する。同様に、受信ノード32(通信制御モジュール322)はその送信されたコンテンツCを受信してその受信コンテンツCを次の受信ノード34に転送する。このようにして、暗号鍵管理ノード14(通信制御モジュール142)は、コンテンツ配信経路422〜430を確立する。送信されたコンテンツCはコンテンツ用の共通暗号鍵Kcを用いて暗号化されている。受信ノード30〜36(通信制御モジュール302〜362)は、共通暗号鍵Kcを用いてコンテンツCを復号する。共通暗号鍵Kcは、例えば、共用暗号鍵Ysを用いて暗号化されており、共用暗号鍵Xsを用いて復号される。
Thereafter, the content distribution node 24 (communication control module 242) establishes a
或る受信ノード、例えば受信ノード32(通信制御モジュール322)が、コンテンツ配信ノード24からの最初のコンテンツCの配信リレー経路422、425、428、...430に参加していないと仮定する。その後、その受信ノード32のユーザがその配信リレー経路に参加してコンテンツCの受信を希望するとき、ユーザの操作に従って、その受信ノード32は、前述したのと同様の形態で、ノード固有情報管理ノード12との間に安全な通信経路438を確立して受信ノード32の識別ID−Eおよびグループ識別GID−Dを含むその配信リレーへの参加の要求を送信する。上述のように、ノード固有情報管理ノード12によってそれが許容されると判定された場合は、ノード固有情報管理ノード12(通信制御モジュール122)が、安全な通信経路434上で暗号鍵管理ノード14に受信ノード32との間の安全な通信経路412を確立するよう要求する。暗号鍵管理ノード14(通信制御モジュール142)は、コンテンツ配信ノード24に受信ノード32のそのコンテンツ配信経路への参加を通知し、受信ノード32との間に安全な通信経路412を確立して受信ノード32からその待ち受けポート番号および場合によってはIPアドレスIPADDR−Eを受け取って、受信ノード32のIPアドレスIPADDR−Eおよびその待ち受けポート番号を受信ノード30に通知し、安全な経路412上で受信ノード32に受信ノード34のIPアドレスIPADDR−Fおよび待ち受けポート番号を通知する。このようにして、受信ノード32(通信制御モジュール322)は、コンテンツ配信経路422、424、426、428...430に組み込まれ、受信ノード30から受信したコンテンツCを受信ノード34に転送するようになる。
A receiving node, for example, the receiving node 32 (communication control module 322), sends a
一方、その後、或る受信ノード、例えば受信ノード32のユーザがコンテンツCの配信リレー経路から脱退する(外れる)ことを希望したときは、ユーザの操作に従って、その受信ノード32(通信制御モジュール322)は、安全な通信経路412上で暗号鍵管理ノード14に対して、配信リレー経路422〜430からの脱退の要求を表すパケットを送信する。安全な通信経路412が確立されていないときは、その受信ノード32(通信制御モジュール322)は、上述のようにノード固有情報管理ノード12を介して暗号鍵管理ノード14との間に安全な通信経路412を先ず確立して、配信リレー経路422〜430からの脱退の要求を暗号鍵管理ノード14に送信する。暗号鍵管理ノード14(通信制御モジュール142)は、その脱退の要求に応答して、受信ノード32を除いたリレー配信のための経路の組合せのプランを再作成して、新しい暗号化鍵(YsおよびXs)を生成して、変更後のコンテンツCの配信リレー経路422、425、528、...430を形成するコンテンツ配信ノード24および受信ノード30、34、...および36に対してコンテンツCを転送すべき宛先受信ノードのIPアドレス、待ち受けポート番号および新しい暗号鍵を再送信する。コンテンツ配信ノード24(通信制御モジュール242)は、その新しい暗号鍵を用いてコンテンツCを暗号化して宛先の受信ノード30に送信する。受信ノード30、34、...および36(通信制御モジュール302、342、...および362)は、その新しい暗号鍵を用いて受信コンテンツCを復号する。
On the other hand, when a user of a certain receiving node, for example, the receiving
図4は、受信ノード30〜36が暗号鍵管理ノード14に暗号鍵Kを要求し、暗号鍵管理ノード14が受信ノード30〜36に暗号鍵Kを配布する手順を説明するのに役立つ。受信ノード30〜36のいずれかが、暗号鍵Kを用いて暗号化されたコンテンツCを受信したとき、そのノードの鍵有無チェック・モジュール3006、3206、...3606は、その受信ノードが暗号化および復号(暗号解読)用の暗号鍵Kを保有しているかどうかを判定する。それを保有していないと判定された場合には、そのノードの要求送信モジュール3004、3204、...3604が安全な通信経路408〜416上で暗号鍵管理ノード14に暗号鍵Kの配布を要求する。暗号鍵管理ノード14は、その要求に応答して、安全な通信経路408〜416上で受信ノード30〜36に暗号鍵Kを配布する。
FIG. 4 is useful for explaining a procedure in which the receiving
図5は、暗号鍵管理ノード14による図3の暗号鍵Kの生成と、コンテンツ配信ノード22におけるコンテンツ暗号化とを示している。
FIG. 5 shows generation of the encryption key K of FIG. 3 by the encryption
暗号鍵管理ノード14は、ランダム値生成モジュール126、DH法公開値生成モジュール128、暗号鍵管理モジュール122および送信パケット生成モジュール130を含んでいる。ランダム値生成モジュール126が、生成された乱数に従ってランダム値Xsを生成する。DH法公開値生成モジュール128が、演算Ys=gXs(mod p)を実行して、公開値Ysを生成する。ここで、pおよびgは、ノード間で予め共有される値である。送信パケット生成モジュール130は、ペイロードとして、その公開値Ysと、暗号鍵管理モジュール122から供給されたコンテンツ暗号化用の共通の暗号鍵Kcとを含む送信パケット132を生成する。暗号鍵管理ノード14は、その送信パケット132を安全な通信経路402上でコンテンツ配信ノード24に送信する。
The encryption
コンテンツ配信ノード24は、ランダム値生成モジュール246、DH法公開値生成モジュール248、DH法共有値生成モジュール252、暗号化および送信パケット生成モジュール250、および例えば記憶装置のような配信用のコンテンツ・データ・ソース232を含んでいる。ランダム値生成モジュール246が、乱数に従ってランダム値X1を生成する。DH法公開値生成モジュール248が、演算Y1=gX1(mod p)を実行して、公開値Y1を生成する。DH法共有値生成モジュール252が、演算Ksh=YsX1(mod p)を実行して、共通の暗号鍵Kcを暗号化するのに用いられる共有値または共有鍵Kshを生成する。DH法では、Ksh=YsX1(mod p)=Y1Xs(mod p)が成立する。送信パケット生成モジュール230は、ペイロードとして、共通の暗号鍵Kcを用いて暗号化されたコンテンツ234と、共有鍵Kshを用いて暗号化された暗号鍵Kcと、公開値Y1と、を含む送信パケット232を生成する。代替構成として、共有鍵Kshの代わりに、共有鍵Kshから導出された別の鍵K'を暗号鍵Kcの暗号化に用いてもよい。
The
図6は、暗号鍵管理ノード14による図3の暗号鍵Kの生成と、受信ノード30におけるコンテンツ復号(暗号解読)とを示している。暗号鍵管理ノード14において、送信パケット生成モジュール130は、ランダム値生成モジュール126によって発生されたランダム値Xsを含む送信パケット134を、図3における安全な通信経路402〜416上で受信ノード30〜36に送信する。
FIG. 6 shows generation of the encryption key K of FIG. 3 by the encryption
受信ノード30は、DH法共有値生成モジュール302および復号パケット生成モジュール304を含んでいる。受信ノード30は、コンテンツ配信ノード24から送信された、共通の暗号鍵Kcを用いて暗号化されたコンテンツ・ファイル234、共有鍵Kshを用いて暗号化された共通鍵Kc、および公開値Y1を含む受信パケット230を受信し、かつその受信パケット230を次の受信ノード32に転送する。DH法共有値生成モジュール302は、演算Ksh=X1Ys(mod p)を実行して、暗号鍵Kcを暗号化するのに用いられた共有鍵Kshを生成する。DH法では、Ksh=YsX1(mod p)=Y1Xs(mod p)が成立する。復号パケット生成モジュール304は、共有鍵Kshを用いて暗号鍵Kcを復号し、その復号された暗号鍵Kcを用いてコンテンツ・ファイル234を復号して、復号されたコンテンツ・ファイル340を生成する。共有鍵Kshの代わりに、共有鍵Kshから導出された別の共有鍵K'shが暗号鍵Kcの暗号化に用いられた場合は、共有鍵Kshから別の共有鍵K'shを導出して暗号鍵Kcを復号する必要がある。
The receiving
この実施形態では、受信ノード30は、通常のDH法において2つのノードの間で交換される公開値Y1を、公開値Ysを受信したコンテンツ配信ノード24から取得し、安全な通信経路上で暗号鍵管理ノード14からランダム値Xsを取得する。これによって、DH法における共有鍵Kshが通信経路402〜416および422〜428中を流れないことが保証され、それによって、配信されるコンテンツCはMIM攻撃から保護される。
In this embodiment, the receiving
暗号鍵管理ノード14によって生成されるランダム値Xsおよび公開値Ysは定期的にまたは時々変更されてもよい。この場合、暗号鍵管理ノード14は、その変更後の新しいランダム値Xsおよび公開値Ysを安全な通信経路402および408〜416上でコンテンツ配信ノード24および受信ノード30〜36に送信する。さらに、コンテンツ配信ノード24は、暗号鍵管理ノード14から受信した前のパケット中の公開値Ysを保持しており、新しいパケットを受信するたびに、新しいパケット中の公開値Ysを前の公開値Ysと比較して公開値Ysが変更されたかどうかを判定する。公開値Ysが変更されたときは、コンテンツ配信ノード24はその変更後の新しい公開値Ysに基づいて共有値または共有鍵Kshを再生成する。受信ノード30〜36は、その変更されたランダム値Xsに基づいて共有鍵Kshを再生成する。
The random value Xs and the public value Ys generated by the encryption
コンテンツ配信ノード24によって生成されるランダム値X1および公開値Y1も、定期的にまたは時々、またはランダム値Xsおよび公開値Ysが変更されたときに、変更されてもよい。この場合、コンテンツ配信ノード24は、その変更されたランダム値X1を用いて暗号鍵Kcの暗号化用の新しい共有鍵Kshを生成し、その新しい共有鍵Kshを用いてコンテンツを暗号化し、その暗号化されたコンテンツ・ファイル234と、その暗号化された暗号鍵Kcと、変更後の新しい公開値Y1とを含む送信パケット232を、受信ノード30〜36に送信する。受信ノード30〜36は、その変更された共有値Y1に基づいて共有鍵Kshを再生成する。
The random value X1 and the public value Y1 generated by the
図7は、暗号鍵管理ノード14によって生成されるランダム値Xsおよび公開値Ysと、コンテンツ配信ノード24によって生成されるランダム値X1および公開値Y1とが同時に変更され得る場合における、受信ノード30〜36による共通の暗号鍵Kcの復号の手順を示している。各受信ノード、例えば受信ノード30は、ステップ702においてコンテンツ・パケット330を受信する。受信ノード30は、ステップ704において、新しいパケット330中の公開値Y1の値が前回の公開値Y1と等しいかどうかを判定する。公開値Y1が変更されていると判定された場合は、各受信ノードは、ステップ706において、安全な通信経路408〜416上で暗号鍵管理ノード14に対して新しいランダム値Xsを要求してそれを取得する。それによって、暗号鍵管理ノード14は、各受信ノードの動作状態、例えば各受信ノードがコンテンツ配信経路から脱落していないかどうかを確認することができる。受信ノード30のDH法共有値生成モジュール252は、ステップ708において、その変更された公開値Y1に基づいて共有鍵Kshを再生成し、その共有鍵Kshを用いて共通の暗号鍵Kcを復号する。ステップ704において、公開値Y1が変更されていないと判定された場合は、ステップ718において、その変更されていない共有鍵Kshを用いて暗号鍵Kcを復号する。共有鍵Kshの代わりに、共有鍵Kshから導出された別の共有鍵K'shが秘密鍵Kcの暗号化に用いられている場合は、共有鍵Kshから鍵K'shを導出して暗号鍵Kcを復号する必要がある。
FIG. 7 shows the receiving
図8は、次に共有鍵Kshから別の共有鍵K’shを導出する方法の例を説明するのに役立つ。受信ノード30〜36の各々は、最初に暗号鍵管理ノード14から定数Nを受け取るか、またはその受信ノードのユーザがGUIを介して定数N(可変長)を設定して暗号鍵管理ノード14に通知してもよい。その別の共有鍵K’shは、その定数Nおよび共有鍵Kshに基づいて、演算K’=HMAC(N,K)を実行することによって、導出できる。ここで、HMAC(N,K)は、HMAC−SHA−1の演算を表し、SHA−1はハッシュ関数を表す。Ipadは64バイトのデータ(例えば、0x363636...36)であり、Opadは64バイトのデータ(たとえば、0x5c5c5c...5c)である。
8, then serve to explain an example of a method of deriving the shared key K sh another shared key from K 'sh. Each of the receiving
ステップ802において、XOR手段がIpadと共有鍵Kshの排他的論理和(XOR)をとって、共有値Ksh XOR Ipadを生成する。ステップ804において、連結手段が、値Ksh XOR Ipadを値Nの前に連結して値{Ksh XOR Ipad,N}を生成する。ステップ806において、ハッシュ値生成手段SHA−1が、値{Ksh XOR Ipad,N}のハッシュ値(160ビット)を生成する。ステップ812において、XOR手段がOpadと共有鍵Kshの排他的論理和をとって、値Ksh(64バイト) XOR Opadを生成する。ステップ814において、連結手段が、第1のハッシュ値(160ビット)の前に連結して値{Ksh(64バイト) XOR Opad,ハッシュ値(160ビット)}を生成する。ステップ816において、ハッシュ値生成手段SHA−1が、値{Ksh(64バイト) XOR Opad,ハッシュ値(160ビット)}のハッシュ値MAC(160ビット)を生成する。ハッシュ値MAC(160ビット)を、Kshから導出された共有鍵K’shとする。
In step 802, the XOR means takes the exclusive OR (XOR) of Ipad and the shared key K sh to generate a shared value K sh XOR Ipad. In step 804, the connecting means determines that the value K sh XOR Ipad is concatenated before the value N to produce the value {K sh XOR Ipad, N}. In
以上説明した実施形態は典型例として挙げたに過ぎず、その各実施形態の構成要素を組み合わせること、その変形およびバリエーションは当業者にとって明らかであり、当業者であれば本発明の原理および請求の範囲に記載した発明の範囲を逸脱することなく上述の実施形態の種々の変形を行えることは明らかである。 The embodiments described above are merely given as typical examples, and it is obvious to those skilled in the art to combine the components of each embodiment, and variations and variations thereof will be apparent to those skilled in the art. Obviously, various modifications may be made to the above-described embodiments without departing from the scope of the invention as set forth in the scope.
以上の実施例を含む実施形態に関して、さらに以下の付記を開示する。
(付記1) 第2のノードとの間に第1の安全な通信経路を確立する通信制御手段を具える、第1のノードとして用いられる情報処理装置であって、
前記通信制御手段は、
第3のノードとの間に確立された第2の安全な通信経路上で前記第3のノードに、前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立の要求を送信し、
前記確立された第2の安全な通信経路上で前記第3のノードから前記第2のノードに関連する秘密情報を受信し、前記受信した秘密情報に基づいて前記第2のノードとの間に前記第1の安全な通信経路を確立するものであることを特徴とする、
情報処理装置。
(付記2) 前記通信制御手段は、前記情報処理装置と前記第3のノードの間で共有される秘密鍵または前記秘密鍵から派生する別の鍵を用いて、前記要求の少なくとも一部を暗号化して送信することを特徴とする、付記1に記載の情報処理装置。
(付記3) 第1と第2のノードの間に第1の安全な通信経路を確立する通信制御手段と、記憶手段とを具える、第3のノードとして用いられる情報処理装置であって、
前記通信制御手段は、
前記第1のノードとの間に確立された第2の安全な通信経路上で前記第1のノードから、前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第1の要求を受信し、
前記記憶手段に格納されているノード情報を参照して前記公開可能な情報に基づいて前記第2のノードに関連する秘密情報を取り出し、前記取り出した秘密情報に基づいて前記第2のノードとの間に第3の通信経路を確立し、前記確立された第3の通信経路上で前記第2のノードに、前記第1のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第2の要求を送信し、
前記第2のノードから前記第1の通信経路の確立の許可を受信し、前記受信した許可に従って、前記確立された第2の安全な通信経路上で前記第1のノードに、前記第2のノードに関連する前記取り出した秘密情報を送信することを特徴とする、
情報処理装置。
(付記4) 前記通信制御手段は、前記情報処理装置と前記第1のノードの間で共有される秘密鍵またはこの秘密鍵から派生する別の鍵を用いて、前記秘密情報の少なくとも一部を暗号化して送信し、前記情報処理装置と前記第2のノードの間で共有される秘密鍵またはこの秘密鍵から派生する別の鍵を用いて、前記第2の要求の少なくとも一部を暗号化して送信することを特徴とする、付記3に記載の情報処理装置。
(付記5) 前記通信制御手段は、
前記情報処理装置と前記第1のノードの間で共有される第1の鍵またはこの第1の鍵から派生する第2の鍵を用いて前記第1と第2のノードの間で共有される第3の鍵および時間情報を暗号化して、前記第2の安全な通信経路上で前記第1のノードに前記暗号化された第3の鍵を送信し、
前記情報処理装置と前記第2のノードの間で共有される第4の鍵またはこの第4の鍵から派生する第5の鍵を用いて前記第3の鍵および前記時間情報を暗号化して、前記第3の安全な通信経路上で前記第2のノードに前記暗号化された第3の鍵を送信することを特徴とする、
付記3に記載の情報処理装置。
(付記6) 第1のノードとの間に第1の安全な通信経路を確立する通信制御手段を具える、第2のノードとして用いられる情報処理装置であって、
前記通信制御手段は、
第3のノードとの間に確立された第3の通信経路上で前記第3のノードから、前記第1のノードに関連する公開可能な情報を含む前記第1の通信経路の確立の要求を受信し、
前記受信した前記要求に含まれる前記第1のノードに関連する前記公開可能な情報に基づいて、前記第1の通信経路の確立を許可するかどうかを判定し、
前記第1の通信経路の確立を許可すると判定された場合には、前記確立された第3の通信経路上で前記第3のノードに前記第1の通信経路の確立の許可を含む情報を送信し、前記第1のノードとの間に前記第1の通信経路を確立させることを特徴とする、
情報処理装置。
(付記7) 前記通信制御手段は、前記情報処理装置と前記第3のノードの間で共有される秘密鍵または前記秘密鍵から派生する別の鍵を用いて、前記許可を含む情報の少なくとも一部を暗号化して送信することを特徴とする、付記6に記載の情報処理装置。
(付記8) 第2のノードとの間に第1の安全な通信経路を確立し、第3のノードとの間に第2の安全な通信経路を確立する通信制御手段を具える、第1のノードとして用いられる情報処理装置であって、
前記通信制御手段は、
第4のノードとの間に確立された第3の安全な通信経路上で前記第4のノードに、前記第2および第3のノードを含むグループに関連する公開可能な情報を含む前記第1および第2の通信経路の確立の要求を送信し、
前記確立された第3の安全な通信経路上で前記第4のノードから、前記第2および/または第3のノードに関連する秘密情報を受信し、前記受信した秘密情報に基づいて前記第2および/または第3のノードとの間に前記第1および/または第2の安全な通信経路を確立するものであることを特徴とする、
情報処理装置。
(付記9) 第1と第2のノードの間に第1の安全な通信経路を確立し、第1と第3のノードの間に第2の安全な通信経路を確立する通信制御手段と、記憶手段とを具える、第4のノードとして用いられる情報処理装置であって、
前記通信制御手段は、
前記第1のノードとの間に確立された第3の安全な通信経路上で前記第1のノードから、前記第2および第3のノードを含むグループに関連する公開可能な情報を含む前記第1および第2の通信経路の確立を求める第1の要求を受信し、
前記記憶手段に格納されているノード情報を参照して前記公開可能な情報に基づいて前記第2および第3のノードに関連する秘密情報を取り出し、前記取り出した秘密情報に基づいて前記第2および第3のノードとの間に第4および第5の通信経路をそれぞれ確立し、前記確立された第4の通信経路上で前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第2の要求を送信し、前記確立された第5の通信経路上で前記第3のノードに前記第1のノードに関連する公開可能な情報を含む前記第2の通信経路の確立を求める第3の要求を送信し、
前記第2および第3のノードから前記第1および第2の通信経路の確立の許可または拒否を受信し、前記受信した許可に従って、前記確立された第3の安全な通信経路上で前記第1のノードに、前記第2および/または第3のノードに関連する前記取り出した秘密情報を送信することを特徴とする、
情報処理装置。
(付記10) 第1のノードから第2のノードへのコンテンツ・データの配信を管理する通信制御手段を有する情報処理装置であって、
前記通信制御手段は、
前記第1のノードとの間に確立された通信経路上で前記第1のノードに対して、前記コンテンツ・データの送信に用いられる前記第2のノードに関連する秘密情報を送信することを特徴とする、
情報処理装置。
(付記11) 前記第1のノードから前記第2のノードへの前記コンテンツ・データの配信を停止させるとき、前記第1のノードによって前記コンテンツ・データの送信に用いられる秘密情報を無効にすることを特徴とする、付記10に記載の情報処理装置。
(付記12) 前記第1のノードから前記第2のノードへ配信される前記コンテンツ・データを暗号化するための暗号鍵を暗号化するためのランダムな第1の値と、前記暗号鍵を復号するための前記第1の値に関連する第2の値とを生成し、前記暗号鍵および前記第1の値を前記第1のノードに送信し、前記第2の値を前記第2のノードに送信することを特徴とする、
付記10に記載の情報処理装置。
(付記13) 前記第1および第2の値を変更して、前記変更された第1の値を前記第1のノードに送信し、前記変更された第2の値を前記第2のノードに送信することを特徴とする、付記12に記載の情報処理装置。
(付記14) 第2のノードへ暗号化されたコンテンツ・データを配信する通信制御手段を有する、第1のノードとして用いられる情報処理装置であって、
前記通信制御手段は、
第3のノードとの間に確立された第1の安全な通信経路上で前記第3のノードから、前記コンテンツ・データの暗号化に用いられる暗号鍵と、前記暗号鍵を暗号化するための第1の値とを受信し、
前記暗号鍵を暗号化するのに用いられる第2の値と、暗号化された前記暗号鍵を復号するための前記第2の値に関連する第3の値を生成し、前記第2のノードとの間に確立された第2の安全な通信経路上で前記第2のノードに対して、前記第3の値と、前記第1の値および前記第2の値を用いて暗号化された前記暗号鍵と、前記暗号鍵を用いて暗号化された前記コンテンツ・データとを送信することを特徴とする、
情報処理装置。
(付記15) 第1のノードから暗号化されたコンテンツ・データを受信する通信制御手段を有する、第2のノードとして用いられる情報処理装置であって、
前記通信制御手段は、
前記第1のノードとの間に確立された第1の安全な通信経路上で前記第1のノードから、暗号化された暗号鍵と、前記暗号化された暗号鍵を復号するための第1の値と、前記暗号鍵によって復号可能なコンテンツ・データとを受信し、
第3のノードとの間に確立された第2の安全な通信経路上で前記第3のノードから、前記暗号化された暗号鍵を復号するための第2の値を受信し、
前記第1の値および前記第2の値から前記暗号化された暗号鍵を復号するための第3の値を導出し、前記第3の値を用いて前記暗号化された暗号鍵を復号し、前記復号された暗号鍵を用いて前記暗号化されたコンテンツ・データを復号することを特徴とする、
情報処理装置。
(付記16) 第2のノードとの間に第1の安全な通信経路を確立する第1のノードとして用いられる情報処理装置用のプログラムであって、
第3のノードとの間に確立された第2の安全な通信経路上で前記第3のノードに、前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立の要求を送信するステップと、
前記確立された第2の安全な通信経路上で前記第3のノードから前記第2のノードに関連する秘密情報を受信し、前記受信した秘密情報に基づいて前記第2のノードとの間に前記第1の安全な通信経路を確立するステップと、
を実行させるよう動作可能なプログラム。
(付記17) 第2のノードへ暗号化されたコンテンツ・データを配信する第1のノードとして用いられる情報処理装置用のプログラムであって、
第3のノードとの間に確立された第1の安全な通信経路上で前記第3のノードから、前記コンテンツ・データの暗号化に用いられる暗号鍵と、前記暗号鍵を暗号化するための第1の値とを受信するステップと、
前記暗号鍵を暗号化するのに用いられる第2の値と、暗号化された前記暗号鍵を復号するための前記第2の値に関連する第3の値を生成し、前記第2のノードとの間に確立された第2の安全な通信経路上で前記第2のノードに対して、前記第3の値と、前記第1の値および前記第2の値を用いて暗号化された前記暗号鍵と、前記暗号鍵を用いて暗号化された前記コンテンツ・データとを送信するステップと、
を実行させるよう動作可能なプログラム。
(付記18) 第1と第2のノードの間に第1の安全な通信経路を確立する第3のノードとして用いられる情報処理装置における通信方法であって、
前記第1のノードとの間に確立された第2の安全な通信経路上で前記第1のノードから、前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第1の要求を受信する工程と、
前記記憶手段に格納されているノード情報を参照して前記公開可能な情報に基づいて前記第2のノードに関連する秘密情報を取り出し、前記取り出した秘密情報に基づいて前記第2のノードとの間に第3の通信経路を確立し、前記確立された第3の通信経路上で前記第2のノードに、前記第1のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第2の要求を送信する工程と、
前記第2のノードから前記第1の通信経路の確立の許可を受信し、前記受信した許可に従って、前記確立された第2の安全な通信経路上で前記第1のノードに、前記第2のノードに関連する前記取り出した秘密情報を送信する工程と、
を含むことを特徴とする方法。
(付記19) 第1のノードから第2のノードへのコンテンツ・データの配信を管理する情報処理装置における通信方法であって、
前記第1のノードとの間に確立された通信経路上で前記第1のノードに対して、前記コンテンツ・データの送信に用いられる前記第2のノードに関連する秘密情報を送信する工程を含むことを特徴とする方法。
Regarding the embodiment including the above examples, the following additional notes are further disclosed.
(Supplementary note 1) An information processing apparatus used as a first node, comprising communication control means for establishing a first secure communication path with a second node,
The communication control means includes
The establishment of the first communication path including publicly available information relating to the second node to the third node on a second secure communication path established with the third node; Send a request,
Receiving secret information related to the second node from the third node on the established second secure communication path, and between the second node and the second node based on the received secret information The first secure communication path is established,
Information processing device.
(Supplementary Note 2) The communication control means encrypts at least a part of the request using a secret key shared between the information processing apparatus and the third node or another key derived from the secret key. The information processing apparatus according to
(Supplementary Note 3) An information processing apparatus used as a third node, comprising: a communication control unit that establishes a first secure communication path between a first node and a second node; and a storage unit.
The communication control means includes
Establishing the first communication path including publicly available information related to the second node from the first node on a second secure communication path established with the first node Receives a first request for
The secret information related to the second node is extracted based on the publicly available information with reference to the node information stored in the storage means, and the second node is connected to the second node based on the extracted secret information. A third communication path between the first communication path and the second node on the established third communication path including publicly available information related to the first node. Send a second request for establishment;
Receiving a permission to establish the first communication path from the second node, and in accordance with the received permission to the first node on the second secure communication path established, Transmitting the retrieved secret information associated with the node,
Information processing device.
(Supplementary Note 4) The communication control means uses at least a part of the secret information by using a secret key shared between the information processing apparatus and the first node or another key derived from the secret key. Encrypt and transmit and encrypt at least part of the second request using a secret key shared between the information processing apparatus and the second node or another key derived from the secret key The information processing apparatus according to attachment 3, wherein the information processing apparatus transmits the information.
(Supplementary Note 5) The communication control means includes:
Shared between the first and second nodes using a first key shared between the information processing apparatus and the first node or a second key derived from the first key Encrypting a third key and time information and transmitting the encrypted third key to the first node over the second secure communication path;
Encrypting the third key and the time information using a fourth key shared between the information processing apparatus and the second node or a fifth key derived from the fourth key; Transmitting the encrypted third key to the second node over the third secure communication path;
The information processing apparatus according to attachment 3.
(Supplementary Note 6) An information processing apparatus used as a second node, comprising communication control means for establishing a first secure communication path with a first node,
The communication control means includes
A request to establish the first communication path including publicly available information related to the first node from the third node on a third communication path established with the third node. Receive
Determining whether to permit establishment of the first communication path based on the publicly available information related to the first node included in the received request;
When it is determined that the establishment of the first communication path is permitted, information including the permission for establishment of the first communication path is transmitted to the third node on the established third communication path. And establishing the first communication path with the first node,
Information processing device.
(Supplementary note 7) The communication control means uses at least one of the information including the permission by using a secret key shared between the information processing apparatus and the third node or another key derived from the secret key. The information processing apparatus according to appendix 6, wherein the information is encrypted and transmitted.
(Supplementary Note 8) A first control communication means is provided that establishes a first secure communication path with the second node and establishes a second secure communication path with the third node. An information processing apparatus used as a node of
The communication control means includes
The first node including publicly available information related to a group including the second and third nodes on the fourth secure node on a third secure communication path established with the fourth node. And a request to establish a second communication path,
Receiving secret information associated with the second and / or third node from the fourth node on the established third secure communication path, and based on the received secret information, the second And / or establishing a first and / or second secure communication path with a third node,
Information processing device.
(Supplementary Note 9) Communication control means for establishing a first secure communication path between the first and second nodes and establishing a second secure communication path between the first and third nodes; An information processing apparatus used as a fourth node, comprising storage means,
The communication control means includes
The first including publicly available information relating to a group including the second and third nodes from the first node on a third secure communication path established with the first node. Receiving a first request for establishment of a first and second communication path;
With reference to the node information stored in the storage means, secret information related to the second and third nodes is extracted based on the publicly available information, and the second and third nodes are extracted based on the extracted secret information. A fourth communication path and a fifth communication path are established with a third node, respectively, and the first communication path includes publicly available information related to the second node on the established fourth communication path. Transmitting a second request for establishment of a communication path, the second communication including publicly available information related to the first node to the third node on the established fifth communication path Send a third request to establish a route,
Receiving permission or denial of establishment of the first and second communication paths from the second and third nodes, and the first on the established third secure communication path according to the received permission; Transmitting the retrieved secret information related to the second and / or third node to
Information processing device.
(Supplementary Note 10) An information processing apparatus having communication control means for managing distribution of content data from a first node to a second node,
The communication control means includes
Secret information related to the second node used for transmission of the content data is transmitted to the first node on a communication path established with the first node. And
Information processing device.
(Supplementary note 11) When the distribution of the content data from the first node to the second node is stopped, the secret information used for transmission of the content data by the first node is invalidated The information processing apparatus according to
(Supplementary Note 12) A random first value for encrypting an encryption key for encrypting the content data distributed from the first node to the second node, and decrypting the encryption key Generating a second value associated with the first value to transmit, transmitting the encryption key and the first value to the first node, and transmitting the second value to the second node To send to,
The information processing apparatus according to
(Supplementary note 13) The first and second values are changed, the changed first value is transmitted to the first node, and the changed second value is sent to the second node. The information processing device according to
(Supplementary note 14) An information processing apparatus used as a first node, having communication control means for distributing encrypted content data to a second node,
The communication control means includes
An encryption key used for encrypting the content data from the third node on a first secure communication path established with the third node; and for encrypting the encryption key. A first value and
Generating a second value used to encrypt the encryption key and a third value associated with the second value for decrypting the encrypted encryption key; and Encrypted with the third value, the first value and the second value for the second node on a second secure communication path established between Transmitting the encryption key and the content data encrypted using the encryption key,
Information processing device.
(Supplementary note 15) An information processing apparatus used as a second node, having communication control means for receiving encrypted content data from a first node,
The communication control means includes
An encrypted encryption key and a first decryption key for decrypting the encrypted encryption key from the first node on a first secure communication path established with the first node. And the content data that can be decrypted by the encryption key,
Receiving a second value for decrypting the encrypted encryption key from the third node on a second secure communication path established with the third node;
Deriving a third value for decrypting the encrypted encryption key from the first value and the second value, and decrypting the encrypted encryption key using the third value The encrypted content data is decrypted using the decrypted encryption key,
Information processing device.
(Supplementary Note 16) A program for an information processing apparatus used as a first node for establishing a first secure communication path with a second node,
The establishment of the first communication path including publicly available information relating to the second node to the third node on a second secure communication path established with the third node; Sending a request;
Receiving secret information related to the second node from the third node on the established second secure communication path, and between the second node and the second node based on the received secret information Establishing the first secure communication path;
A program that can run to run.
(Supplementary Note 17) A program for an information processing apparatus used as a first node for distributing encrypted content data to a second node,
An encryption key used for encrypting the content data from the third node on a first secure communication path established with the third node; and for encrypting the encryption key. Receiving a first value;
Generating a second value used to encrypt the encryption key and a third value associated with the second value for decrypting the encrypted encryption key; and Encrypted with the third value, the first value and the second value for the second node on a second secure communication path established between Transmitting the encryption key and the content data encrypted using the encryption key;
A program that can run to run.
(Supplementary note 18) A communication method in an information processing apparatus used as a third node for establishing a first secure communication path between a first and a second node,
Establishing the first communication path including publicly available information related to the second node from the first node on a second secure communication path established with the first node Receiving a first request for
The secret information related to the second node is extracted based on the publicly available information with reference to the node information stored in the storage means, and the second node is connected to the second node based on the extracted secret information. A third communication path between the first communication path and the second node on the established third communication path including publicly available information related to the first node. Sending a second request for establishment;
Receiving a permission to establish the first communication path from the second node, and in accordance with the received permission to the first node on the second secure communication path established, Sending the retrieved secret information associated with the node;
A method comprising the steps of:
(Supplementary note 19) A communication method in an information processing apparatus for managing distribution of content data from a first node to a second node,
Transmitting secret information related to the second node used for transmitting the content data to the first node on a communication path established with the first node. A method characterized by that.
5 ネットワーク
22 第1のノード
28 第2のノード
10 第3のノード
101 記憶装置
402 第1の通信経路
432、434 安全な通信経路
5
Claims (5)
前記通信制御手段は、
第3のノードとの間に第2の安全な通信経路を確立して、前記確立された第2の安全な通信経路上で前記第3のノードに、前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立の要求を送信し、
前記第3のノードから前記第2のノードに関連する秘密情報を受信し、前記受信した秘密情報に基づいて前記第2のノードとの間に前記第1の安全な通信経路を確立するものであることを特徴とする、
情報処理装置。 An information processing apparatus used as a first node, comprising communication control means for establishing a first secure communication path with a second node,
The communication control means includes
A second secure communication path can be established with a third node, and the third node can be disclosed to the third node on the established second secure communication path. Transmitting a request for establishing the first communication path including various information;
Receiving secret information related to the second node from the third node, and establishing the first secure communication path with the second node based on the received secret information; It is characterized by being,
Information processing device.
前記通信制御手段は、
前記第1のノードとの間に第2の安全な通信経路を確立して、前記確立された第2の安全な通信経路上で前記第1のノードから、前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第1の要求を受信し、
前記記憶手段に格納されているノード情報を参照して前記公開可能な情報に対応する前記第2のノードに関連する秘密情報を取り出し、前記取り出した秘密情報に基づいて前記第2のノードとの間に第3の通信経路を確立し、前記確立した第3の通信経路上で前記第2のノードに、前記第1のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第2の要求を送信し、
前記第2のノードから前記第2の要求に対する許可を受信し、前記受信した許可に従って、前記確立された第2の安全な通信経路上で前記第1のノードに、前記第2のノードに関連する前記取り出した秘密情報を送信することを特徴とする、
情報処理装置。 An information processing apparatus used as a third node, comprising: a communication control unit that establishes a first secure communication path between a first node and a second node; and a storage unit.
The communication control means includes
A second secure communication path is established with the first node, and the public information related to the second node from the first node on the established second secure communication path Receiving a first request for establishment of the first communication path containing possible information;
With reference to the node information stored in the storage means, secret information related to the second node corresponding to the publicly available information is extracted, and based on the extracted secret information, the secret information with the second node is extracted. Establishing a third communication path in between, and establishing the first communication path including publicly available information related to the first node in the second node on the established third communication path Send a second request for
Receiving a permission for the second request from the second node and relating to the first node on the established second secure communication path according to the received permission Transmitting the extracted secret information to:
Information processing device.
前記通信制御手段は、
前記第1のノードとの間に第3の安全な通信経路を確立して、前記確立された第3の安全な通信経路上で前記第1のノードから、前記第2および第3のノードを含むグループに関連する公開可能な情報を含む前記第1および第2の通信経路の確立を求める第1の要求を受信し、
前記記憶手段に格納されているノード情報を参照して前記公開可能な情報に対応する前記第2のノードに関連する秘密情報と前記第3のノードに関連する秘密情報とを取り出し、前記取り出した秘密情報に基づいて前記第2および第3のノードとの間に第4および第5の通信経路をそれぞれ確立し、前記確立した第4の通信経路上で前記第2のノードに関連する公開可能な情報を含む前記第1の通信経路の確立を求める第2の要求を送信し、前記確立した第5の通信経路上で前記第3のノードに前記第1のノードに関連する公開可能な情報を含む前記第2の通信経路の確立を求める第3の要求を送信し、
前記第2および第3のノードから前記第2および第3の要求に対する許可または拒否を受信し、前記受信した許可に従って、前記確立された第3の安全な通信経路上で前記第1のノードに、前記第2および/または第3のノードに関連する前記取り出した秘密情報を送信することを特徴とする、
情報処理装置。 A communication control means for establishing a first secure communication path between the first and second nodes and a second secure communication path between the first and third nodes; and a storage means. An information processing apparatus used as a fourth node,
The communication control means includes
A third secure communication path is established with the first node, and the second and third nodes are routed from the first node on the established third secure communication path. Receiving a first request for establishment of the first and second communication paths including publicly available information related to a group including;
The secret information related to the second node and the secret information related to the third node corresponding to the publicly available information are extracted with reference to the node information stored in the storage means, and the extracted Based on secret information, a fourth and a fifth communication path are established between the second and third nodes, respectively, and public disclosure relating to the second node on the established fourth communication path is possible. A second request for the establishment of the first communication path that includes such information, and the publicly available information related to the first node to the third node on the established fifth communication path A third request for establishment of the second communication path including:
Receiving permission or denial for the second and third requests from the second and third nodes, and according to the received permission to the first node on the established third secure communication path; Transmitting the retrieved secret information associated with the second and / or third node,
Information processing device.
前記通信制御手段は、
第3のノードとの間に確立された第1の安全な通信経路上で前記第3のノードから、前記コンテンツ・データの暗号化に用いられる暗号鍵と、前記暗号鍵を暗号化するための第1の値とを受信し、
前記暗号鍵を暗号化するのに用いられる第2の値と、暗号化された前記暗号鍵を復号するための前記第2の値に関連する第3の値を生成し、前記第2のノードとの間に確立された第2の安全な通信経路上で前記第2のノードに対して、前記第3の値と、前記第1の値および前記第2の値を用いて暗号化された前記暗号鍵と、前記暗号鍵を用いて暗号化された前記コンテンツ・データとを送信することを特徴とする、
情報処理装置。 An information processing apparatus used as a first node, having communication control means for distributing encrypted content data to a second node,
The communication control means includes
An encryption key used for encrypting the content data from the third node on a first secure communication path established with the third node; and for encrypting the encryption key. A first value and
Generating a second value used to encrypt the encryption key and a third value associated with the second value for decrypting the encrypted encryption key; and Encrypted with the third value, the first value and the second value for the second node on a second secure communication path established between Transmitting the encryption key and the content data encrypted using the encryption key,
Information processing device.
前記通信制御手段は、
前記第1のノードとの間に確立された第1の安全な通信経路上で前記第1のノードから、暗号化された暗号鍵と、前記暗号化された暗号鍵を復号するための第1の値と、前記暗号鍵によって復号可能なコンテンツ・データとを受信し、
第3のノードとの間に確立された第2の安全な通信経路上で前記第3のノードから、前記暗号化された暗号鍵を復号するための第2の値を受信し、
前記第1の値および前記第2の値から前記暗号化された暗号鍵を復号するための第3の値を導出し、前記第3の値を用いて前記暗号化された暗号鍵を復号し、前記復号された暗号鍵を用いて前記暗号化されたコンテンツ・データを復号することを特徴とする、
情報処理装置。
An information processing apparatus used as a second node, having communication control means for receiving encrypted content data from a first node,
The communication control means includes
An encrypted encryption key and a first decryption key for decrypting the encrypted encryption key from the first node on a first secure communication path established with the first node. And the content data that can be decrypted by the encryption key,
Receiving a second value for decrypting the encrypted encryption key from the third node on a second secure communication path established with the third node;
Deriving a third value for decrypting the encrypted encryption key from the first value and the second value, and decrypting the encrypted encryption key using the third value The encrypted content data is decrypted using the decrypted encryption key,
Information processing device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004016515A JP4707325B2 (en) | 2004-01-26 | 2004-01-26 | Information processing device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004016515A JP4707325B2 (en) | 2004-01-26 | 2004-01-26 | Information processing device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005210555A true JP2005210555A (en) | 2005-08-04 |
| JP4707325B2 JP4707325B2 (en) | 2011-06-22 |
Family
ID=34901640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004016515A Expired - Fee Related JP4707325B2 (en) | 2004-01-26 | 2004-01-26 | Information processing device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4707325B2 (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007067725A (en) * | 2005-08-30 | 2007-03-15 | Matsushita Electric Ind Co Ltd | Contents distribution method, contents distribution server, communication terminal device, and contents distribution system |
| WO2009082889A1 (en) * | 2008-01-03 | 2009-07-09 | Hangzhou H3C Technologies Co., Ltd. | A method for internet key exchange negotiation and device, system thereof |
| JP2009177637A (en) * | 2008-01-25 | 2009-08-06 | Sharp Corp | Terminal device and control method thereof, communication system, communication method, communication program, and recording medium |
| JP2010518715A (en) * | 2007-02-12 | 2010-05-27 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Signaling delegation in mobile networks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002158650A (en) * | 2000-11-21 | 2002-05-31 | Fujitsu Ltd | Proxy server for certification/ciphering processing, access card program recording medium and portable terminal |
| JP2002290397A (en) * | 2001-03-23 | 2002-10-04 | Iryo Joho Syst Kaihatsu Center | Secure communication method |
| JP2003169075A (en) * | 2001-09-21 | 2003-06-13 | E-Jan Net Co | Connection support server, terminal, connection support system, connection supporting method, communication program, and connection support program |
| JP2003318875A (en) * | 2002-04-25 | 2003-11-07 | Nec Corp | Method for group cryptographic communication, certification method, computer, and program |
-
2004
- 2004-01-26 JP JP2004016515A patent/JP4707325B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002158650A (en) * | 2000-11-21 | 2002-05-31 | Fujitsu Ltd | Proxy server for certification/ciphering processing, access card program recording medium and portable terminal |
| JP2002290397A (en) * | 2001-03-23 | 2002-10-04 | Iryo Joho Syst Kaihatsu Center | Secure communication method |
| JP2003169075A (en) * | 2001-09-21 | 2003-06-13 | E-Jan Net Co | Connection support server, terminal, connection support system, connection supporting method, communication program, and connection support program |
| JP2003318875A (en) * | 2002-04-25 | 2003-11-07 | Nec Corp | Method for group cryptographic communication, certification method, computer, and program |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007067725A (en) * | 2005-08-30 | 2007-03-15 | Matsushita Electric Ind Co Ltd | Contents distribution method, contents distribution server, communication terminal device, and contents distribution system |
| JP4668013B2 (en) * | 2005-08-30 | 2011-04-13 | パナソニック株式会社 | Content distribution method, content distribution server, communication terminal device, and content distribution system |
| JP2010518715A (en) * | 2007-02-12 | 2010-05-27 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Signaling delegation in mobile networks |
| US9628454B2 (en) | 2007-02-12 | 2017-04-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Signalling delegation in a moving network |
| WO2009082889A1 (en) * | 2008-01-03 | 2009-07-09 | Hangzhou H3C Technologies Co., Ltd. | A method for internet key exchange negotiation and device, system thereof |
| US8327129B2 (en) | 2008-01-03 | 2012-12-04 | Hangzhou H3C Technologies Co., Ltd. | Method, apparatus and system for internet key exchange negotiation |
| JP2009177637A (en) * | 2008-01-25 | 2009-08-06 | Sharp Corp | Terminal device and control method thereof, communication system, communication method, communication program, and recording medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4707325B2 (en) | 2011-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4081724B1 (en) | Client terminal, relay server, communication system, and communication method | |
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| Maughan et al. | Internet security association and key management protocol (ISAKMP) | |
| US6092200A (en) | Method and apparatus for providing a virtual private network | |
| JP4674502B2 (en) | Information communication system, information communication apparatus, information communication method, and computer program | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| US8082574B2 (en) | Enforcing security groups in network of data processors | |
| EP1635502B1 (en) | Session control server and communication system | |
| WO2017185999A1 (en) | Method, apparatus and system for encryption key distribution and authentication | |
| JP4407452B2 (en) | Server, VPN client, VPN system, and software | |
| US20070255784A1 (en) | Communication System for Use in Communication Between Communication Equipment by Using Ip Protocol | |
| US20050182937A1 (en) | Method and system for sending secure messages over an unsecured network | |
| US20170201382A1 (en) | Secure Endpoint Devices | |
| EP2561663A2 (en) | System and method for providing secured access to services | |
| US20170126623A1 (en) | Protected Subnet Interconnect | |
| TW200307423A (en) | Password device and method, password system | |
| WO2011041962A1 (en) | Method and system for end-to-end session key negotiation which support lawful interception | |
| US20090327730A1 (en) | Apparatus and method for encrypted communication processing | |
| KR100948604B1 (en) | Security method of mobile internet protocol based server | |
| Maughan et al. | RFC2408: Internet Security Association and Key Management Protocol (ISAKMP) | |
| WO2009082950A1 (en) | Key distribution method, device and system | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| CN114143050B (en) | Video data encryption system | |
| US8046820B2 (en) | Transporting keys between security protocols | |
| WO2016134631A1 (en) | Processing method for openflow message, and network element |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061115 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20081022 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100413 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100611 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101005 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101117 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110315 |
|
| LAPS | Cancellation because of no payment of annual fees |