JP4841519B2 - 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム - Google Patents

通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム Download PDF

Info

Publication number
JP4841519B2
JP4841519B2 JP2007224324A JP2007224324A JP4841519B2 JP 4841519 B2 JP4841519 B2 JP 4841519B2 JP 2007224324 A JP2007224324 A JP 2007224324A JP 2007224324 A JP2007224324 A JP 2007224324A JP 4841519 B2 JP4841519 B2 JP 4841519B2
Authority
JP
Japan
Prior art keywords
communication
key
key information
relay
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007224324A
Other languages
English (en)
Other versions
JP2008136170A (ja
Inventor
真吾 藤本
隆一 松倉
幹篤 角岡
敏 奥山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007224324A priority Critical patent/JP4841519B2/ja
Priority to EP07119620A priority patent/EP1919161A3/en
Priority to US11/928,691 priority patent/US7979052B2/en
Publication of JP2008136170A publication Critical patent/JP2008136170A/ja
Application granted granted Critical
Publication of JP4841519B2 publication Critical patent/JP4841519B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Radio Relay Systems (AREA)

Description

本発明は、可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置との間で通信する通信方法、該通信方法を適用した通信システム、該通信システムにて用いられる鍵管理装置及び中継装置、並びに該鍵管理装置及び中継装置を実現するためのコンピュータプログラムに関し、特に通信装置及び中継装置が通信の秘匿化に要する鍵情報に基づいて通信する通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラムに関する。
近年、一般家庭及び企業において、無線LANの普及が急速に進んでおり、また無線LANを利用した携帯型IP電話も注目されている。携帯型IP電話として用いられる通信装置、及び通信装置と通信するアクセスポイントと呼ばれる中継装置は、無線区間での通信の秘匿化に要するPMK(Pairwise Master Key )と呼ばれるマスタ鍵情報を共有し、共有したマスタ鍵情報に基づいて生成される通信鍵を用いて通信内容を暗号化及び復号することにより、安全性の高い無線通信を実現する。
通信の秘匿化に用いるマスタ鍵情報は、無線LANの暗号化規格であるWPA2(Wi-Fi Protected Access)にて規定されるEAP−TLS等の相互認証規格に基づいて、通信装置及び中継装置が、認証装置に対して認証を要求し、認証装置は、認証した通信装置及び中継装置へ暗号化されたマスタ鍵情報を送信することにより、通信装置及び中継装置間で共有することが可能となる。この様にして無線通信を行う方法は、例えばIEEE802.1X等の規格により規定されている。
また通信装置を所持する使用者は、通信装置を用いた通話等の通信中に、移動することがあり、通信装置の移動により、通信装置がアクセスする中継装置の切替処理を要する場合がある。この様な場合、通信装置は、切り替え後の中継装置とマスタ鍵情報の共有をしなければならない。マスタ鍵情報の共有には1.5秒程度の時間を要する場合があり、通話途切れ等の通信異常の原因となる。なおマスタ鍵情報に基づき生成される通信鍵も共有するための処理を要するが、通信鍵の共有に係る処理は数ミリ秒程度であるため通話中であっても特に問題はない。
通信装置がアクセスする中継装置の切替処理を高速化する方法としてPMKキャッシュ方法と呼ばれる方法がある。PMKキャッシュ方法は、中継装置が、通信装置との通信に用いたマスタ鍵情報を、通信装置との通信が途絶えた後も記録しておく方法であり、一の中継装置と通信している通信装置が、他の中継装置と通信することが可能となった場合で、他の中継装置が、当該通信装置との以前の通信に用いたマスタ鍵情報を記録しているとき、記録しているマスタ鍵情報を用いることにより、マスタ鍵情報の共有化処理を回避する。
また他の方法としてPreauthentication方法と呼ばれる方法がある。Preauthentication方法では、一の中継装置と通信中の通信装置が、一の中継装置を介して一の中継装置に有線接続する近隣の他の中継装置とマスタ鍵情報を予め共有化しておく方法であり、通信装置が、他の中継装置と通信することが可能となった場合、他の中継装置は、既に共有されているマスタ鍵情報を用いることにより、切替処理の高速化を行う。
さらに認証に基づくマスタ鍵情報の共有化処理を回避する方法として、特許文献1に開示されている方法がある。特許文献1に開示されている方法は、中継装置が認証した通信装置に対して隣接する中継装置用のマスタ鍵情報(PMK)に基づくRKを作成し、作成したRKを近隣の他の中継装置へ予め配布する方法であり、一の中継装置と通信している通信装置が、他の中継装置と通信することが可能となった場合、他の中継装置は、事前に配布されているRKを用いることにより、認証に基づくマスタ鍵情報の共有化処理を回避する。
特開2004−222300号公報
しかしながらPMKキャッシュ方法では、以前に接続していた中継装置に再接続する場合にのみ有効であり、新たに接続する中継装置に対しては適用することができないという問題がある。
またPreauthentication方法では、通信中の通信装置が、一の中継装置を介して近隣の他の全ての中継装置と、マスタ鍵情報の共有化処理を行うため、通信中の通信装置の処理負荷が大きくなるという問題がある。通信装置の処理負荷が大きくなった場合、メディア通信データの再生処理が実時間内に完了できなくなり、例えば通話中である場合には、音割れ等の異常が発生し、画像通信である場合には、ブロックノイズ等の異常が発生するという様な状況が生じる。また実際には通信することがない中継装置ともマスタ鍵情報の共有化処理を行うため、中継装置の記録領域を圧迫するという問題が生じる。さらに実際には通信することがない中継装置ともマスタ鍵情報を共有化するということは、安全性が低下するという問題にも繋がる。
特許文献1に記載された方法では、実際には通信することがない中継装置へもマスタ鍵情報を送信するため、中継装置の記録領域の圧迫及び安全性の低下という問題が生じる。
本発明は斯かる事情に鑑みてなされたものであり、中継装置とマスタ鍵情報を送受信する鍵管理装置を配設し、通信装置とマスタ鍵情報に基づいて通信している一の中継装置は、マスタ鍵情報を鍵管理装置へ送信し、他の中継装置は、前記通信装置との通信が可能となった場合に、該通信装置との通信に要するマスタ鍵情報の送信を鍵管理装置に要求し、鍵管理装置は、一の中継装置から受信したマスタ鍵情報を前記他の中継装置へ送信することにより、新たに接続する中継装置に対しても認証に基づくマスタ鍵情報の共有化処理を回避することが可能であり、中継装置の記録領域を圧迫することがなく、必要以上の安全性の低下を防止し、中継装置の処理負荷の増大を防止することが可能な通信方法、該通信方法を適用した通信システム、該通信システムにて用いられる鍵管理装置及び中継装置、並びに該鍵管理装置及び中継装置を実現するためのコンピュータプログラムの提供を目的とする。
第1発明に係る通信方法は、可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置との間で、通信の秘匿化に要する鍵情報に基づいて通信する通信方法において、前記中継装置と鍵情報を送受信する鍵管理装置を用い、前記通信装置と鍵情報に基づいて通信している一の中継装置は、鍵情報を前記鍵管理装置へ送信し、他の中継装置は、前記通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を前記鍵管理装置に要求し、前記鍵管理装置は、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信し、前記他の中継装置は、更に、受信した鍵情報に基づいて前記通信装置と通信することを特徴とする。
本発明では、鍵管理装置が一の中継装置から受信した鍵情報を他の中継装置へ送信することにより、通信装置が新たに接続する中継装置に対しても認証に基づく鍵情報の共有化処理を回避し、通信装置がアクセスする中継装置の切替処理を高速化することが可能である。また通信装置との通信が可能となった他の中継装置にのみ鍵情報を送信することにより、アクセス先とならない多数の中継装置が鍵情報を記録する必要が無いため、中継装置の記録領域を圧迫することがなく、しかも必要以上の安全性の低下を防止することが可能である。
第2発明に係る通信システムは、可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置とを備え、前記通信装置及び中継装置は、通信の秘匿化に要する鍵情報に基づいて通信する通信システムにおいて、前記中継装置と鍵情報を送受信する鍵管理装置を更に備え、前記通信装置と鍵情報に基づいて通信している一の中継装置は、鍵情報を前記鍵管理装置へ送信する第1鍵送信手段を備え、他の中継装置は、前記通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を前記鍵管理装置に要求する要求手段を備え、前記鍵管理装置は、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信する第2鍵送信手段を備え、前記他の中継装置は、更に、受信した鍵情報に基づいて前記通信装置と通信する手段を備えることを特徴とする。
本発明では、鍵管理装置が一の中継装置から受信した鍵情報を他の中継装置へ送信することにより、通信装置が新たに接続する中継装置に対しても認証に基づく鍵情報の共有化処理を回避し、通信装置がアクセスする中継装置の切替処理を高速化することが可能である。また通信装置との通信が可能となった他の中継装置にのみ鍵情報を送信することにより、アクセス先とならない多数の中継装置が鍵情報を記録する必要が無いため、中継装置の記録領域を圧迫することがなく、しかも必要以上の安全性の低下を防止することが可能である。
第3発明に係る通信システムは、第2発明において、前記一の中継装置は、更に、通信している前記通信装置に係る鍵情報を識別する鍵識別情報を前記鍵管理装置へ送信する手段を備え、前記鍵管理装置は、更に、受信した鍵識別情報を記録する記録手段と、前記中継装置からの鍵情報の送信の要求に対し、記録している鍵識別情報にて識別される鍵情報の送信を前記一の中継装置に要求する手段とを備え、該一の中継装置が備える第1鍵送信手段は、鍵情報の送信を要求された場合に、鍵情報を送信する様に構成してあることを特徴とする。
本発明では、鍵管理装置は、鍵識別情報を記録しておき、新たに通信装置がアクセスして通信を開始する他の鍵管理装置から鍵情報の送信を要求された場合に、記録している鍵識別情報にて識別される鍵情報の中継を行うことにより、鍵管理装置は鍵情報よりデータ長の短い鍵識別情報を記録するので記録領域を効率的に利用することが可能であり、また通信装置が通信中に鍵情報の送信処理を行うことがないので、通信中の通信装置の処理負荷を増大させることがない。従って通話中の音割れ、画像通信中のブロックノイズ等の異常の発生を防止することが可能である。
第4発明に係る通信システムは、第2発明において、前記一の中継装置が備える第1鍵送信手段は、前記通信装置からの鍵情報の送信の要求の有無に関わらず、鍵情報を送信する様に構成してあり、前記鍵管理装置は、更に、受信した鍵情報を記録する記録手段を備え、前記第2鍵送信手段は、前記中継装置からの鍵情報の送信の要求に対し、記録している鍵情報を送信する様に構成してあることを特徴とする。
本発明では、鍵管理装置は、鍵情報を記録しておき、新たに通信装置がアクセスして通信を開始する他の鍵管理装置から鍵情報の送信を要求された場合に、記録している鍵情報を送信することにより、鍵情報の送信を迅速に行うことができ、アクセスする中継装置の切替処理を高速化することが可能である。
第5発明に係る通信システムは、第2発明乃至第4発明のいずれかにおいて、前記通信装置は、通話機能を有し、前記鍵管理装置は、更に、前記通信装置が、前記一の中継装置を介しての通話中であるか否かを判定する判定手段と、通話中ではないと判定した場合に、鍵情報の送信を拒否する手段とを備えることを特徴とする。
本発明では、通話中である場合に鍵情報を送信して、通信の中断による通話中の音切れを防止しながらも、通信の中断が問題とならない通話中以外の場合には鍵情報の送信を拒否するため、鍵情報を再利用することがなく、安全性を高めることが可能である。
第6発明に係る通信システムは、第2発明乃至第5発明において、前記通信装置及び中継装置に対する通信に係る認証を行う認証装置を更に備え、該認証装置は、認証した前記通信装置及び中継装置へ、鍵情報を送信する手段を備え、前記中継装置は、更に、前記鍵管理装置が鍵情報を送信しない場合に、前記認証装置に認証を要求する手段を備えることを特徴とする。
本発明では、通信装置が中継装置と最初に通信を行う状況、第2発明乃至第5発明に係る切替処理の適用が不適切又は禁止されている状況等の上述した高速な切替処理が適用されない状況下において、例えばWPA2にて規定されるEAP−TLS等の相互認証規格に基づく安全性の高い通信を実現することが可能である。
第7発明に係る鍵管理装置は、可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置との間で、通信の秘匿化に要する鍵情報に基づいて通信する場合に、前記通信装置及び中継装置と鍵情報を送受信する鍵管理装置であって、前記通信装置と鍵情報に基づいて通信している一の中継装置から送信された鍵情報を受信する手段と、前記通信装置との通信が可能となった他の中継装置から、前記通信装置との通信に要する鍵情報の送信の要求を受け付ける手段と、受け付けた要求に対して、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信する手段とを備えることを特徴とする。
本発明では、一の中継装置から受信した鍵情報を他の中継装置へ送信することにより、通信装置が新たに接続する中継装置に対しても認証に基づく鍵情報の共有化処理を回避し、通信装置がアクセスする中継装置の切替処理を高速化することが可能である。また通信装置との通信が可能となった他の中継装置にのみ鍵情報を送信することにより、アクセス先とならない多数の中継装置が鍵情報を記録する必要が無いため、中継装置の記録領域を圧迫することがなく、しかも必要以上の装置間でマスタ鍵情報を共有することを回避できるので、安全性の低下を防止することが可能である。
第8発明に係る中継装置は、通信の秘匿化に要する鍵情報に基づいて通信装置と通信することが可能な中継装置において、鍵情報を中継する鍵管理装置と通信する手段と、通信装置との通信に用いる鍵情報を、鍵管理装置へ送信する手段と、通信していない通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を、鍵管理装置へ要求する手段と、要求に対する鍵情報を受信する手段と、受信した鍵情報に基づいて、通信装置と通信する手段とを備えることを特徴とする。
本発明では、通信装置が他の中継装置との通信に用いていた鍵情報を用いることにより、通信装置と新たに接続する場合であっても認証に基づく鍵情報の共有化処理を回避し、通信装置との切替処理を高速化することが可能である。また通信装置との通信が可能となった場合にのみ鍵情報を要求することにより、アクセス先とならない場合には鍵情報を記録する必要が無いため、記録領域を圧迫することがなく、しかも必要以上の安全性の低下を防止することが可能である。
第9発明に係るコンピュータプログラムは、通信装置及び該通信装置と通信することが可能な複数の中継装置と通信するコンピュータに、前記通信装置及び中継装置間の通信の秘匿化に要する鍵情報を、前記通信装置及び中継装置と送受信させるコンピュータプログラムであって、コンピュータに、前記通信装置と鍵情報に基づいて通信している一の中継装置から送信された鍵情報を記録させる手順と、コンピュータに、前記通信装置との通信が可能となった他の中継装置から、前記通信装置との通信に要する鍵情報の送信の要求を受け付けた場合に、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信させる手順とを実行させることを特徴とする。
本発明では、アクセスポイントとして用いられる中継装置と通信するサーバコンピュータ等のコンピュータにて実行することにより、コンピュータが鍵管理装置として作動し、一の中継装置から受信した鍵情報を他の中継装置へ送信することにより、通信装置が新たに接続する中継装置に対しても鍵情報の共有化処理を回避し、通信装置がアクセスする中継装置の切替処理を高速化することが可能である。また通信装置との通信が可能となった他の中継装置にのみ鍵情報を送信することにより、アクセス先とならない多数の中継装置が鍵情報を記録する必要が無いため、中継装置の記録領域を圧迫することがなく、しかも必要以上の中継装置が鍵情報を記録する危険を回避できるので、安全性の低下を防止することが可能である。
第10発明に係るコンピュータプログラムは、通信の秘匿化に要する鍵情報に基づいて通信装置と通信することが可能なコンピュータにて実行されるコンピュータプログラムにおいて、コンピュータに、通信装置との通信に用いる鍵情報を、所定の装置へ送信させる手順と、コンピュータに、通信していない通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を、前記所定の装置へ要求させる手順と、コンピュータに、要求に対する鍵情報を受信したときに、受信した鍵情報に基づいて、通信装置と通信させる手順とを実行させることを特徴とする。
本発明では、無線通信網に接続し、通信装置との通信を行うアクセスポイント等のコンピュータにて実行することにより、コンピュータが中継装置として作動し、通信装置が他の中継装置との通信に用いていた鍵情報を用いることにより、通信装置と新たに接続する場合であっても認証に基づく鍵情報の共有化処理を回避し、通信装置との切替処理を高速化することが可能である。また通信装置との通信が可能となった場合にのみ鍵情報を要求することにより、アクセス先とならない場合には鍵情報を記録する必要が無いため、記録領域を圧迫することがなく、しかも必要以上の安全性の低下を防止することが可能である。
本発明に係る通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラムは、携帯型IP電話等の通信装置に対するアクセスポイントとなる中継装置と通信する鍵管理装置を配設し、通信装置とマスタ鍵情報に基づいて通信している一の中継装置は、マスタ鍵情報を鍵管理装置へ送信し、他の中継装置は、通信装置との通信が可能となった場合に、通信装置との通信に要するマスタ鍵情報の送信を前記鍵管理装置に要求し、鍵管理装置は、一の中継装置から受信したマスタ鍵情報を他の中継装置へ送信し、他の中継装置は、受信したマスタ鍵情報に基づいて通信装置と通信する。
この構成により、本発明では、通信装置が新たに接続する中継装置に対してもマスタ鍵情報の共有化処理を回避し、通信装置がアクセスする中継装置の切替処理を高速化することが可能である等、優れた効果を奏する。また通信装置との通信が可能となった他の中継装置にのみマスタ鍵情報を送信することにより、アクセス先とならない多数の中継装置がマスタ鍵情報を記録する必要が無いため、中継装置の記録領域を圧迫することがなく、しかも安全性の低下を防止することが可能である等、優れた効果を奏する。
また本発明は、鍵管理装置は、通信装置が一の中継装置を介しての通話中ではないと判定した場合に、マスタ鍵情報の送信を拒否することにより、通話中である場合にマスタ鍵情報を送信して、通信の中断による通話中の音切れを防止しながらも、通信の中断が問題とならない通話中以外の場合にはマスタ鍵情報の送信を拒否するため、マスタ鍵情報を再利用することがなく、安全性を高めることが可能である等、優れた効果を奏する。
さらに本発明は、一の中継装置は、通信している通信装置に係るマスタ鍵情報を識別する鍵識別情報を前記鍵管理装置へ送信し、鍵管理装置は、更に、受信した鍵識別情報を記録し、中継装置からのマスタ鍵情報の送信の要求に対し、記録している鍵識別情報にて識別されるマスタ鍵情報の送信を一の中継装置に要求し、一の中継装置は、マスタ鍵情報の送信を要求された場合に、マスタ鍵情報を送信する。
この構成により、本発明では、鍵管理装置は、鍵識別情報を記録しておき、新たに通信装置がアクセスして通信を開始する他の鍵管理装置からマスタ鍵情報の送信を要求された場合に、記録している鍵識別情報にて識別されるマスタ鍵情報の中継を行うので、鍵管理装置はマスタ鍵情報よりデータ長の短い鍵識別情報を記録するので記録領域を効率的に利用することが可能であり、また通信装置が通信中にマスタ鍵情報の共有化処理を行うことがないので、通信中の通信装置の処理負荷を増大させることがない。従って通話中の音割れ、画像通信中のブロックノイズ等の異常の発生を防止することが可能である等、優れた効果を奏する。
以下、本発明をその実施の形態を示す図面に基づいて詳述する。
実施の形態1.
図1は、本発明の実施の形態1に係る通信システムの構成例を概念的に示す説明図である。図1中1は、携帯型IP(Internet Protocol) 電話等の可搬型の通信装置であり、通信装置1は、アクセスポイントとして無線通信を中継する複数の中継装置2,2,…と通信を行う。各中継装置2,2,…は、通信網100を介して接続されており、通信網100には、通信装置1によるIP電話通信をSIP(Session Initiation Protocol) 等の通信規約に基づき制御するSIPサーバコンピュータ等の呼制御装置3と、通信装置1及び中継装置2間の通信に関する認証を行う認証サーバコンピュータ等の認証装置4とが接続されている。
さらに通信網100には、通信装置1及び中継装置2間の通信の秘匿化に要するPMK(Pairwise Master Key )と呼ばれるマスタ鍵情報を、各中継装置2,2,…と送受信するサーバコンピュータ等のコンピュータを用いた本発明の鍵管理装置5が接続されている。
これらの各種装置は、無線LANによる通信システムに用いられる。通信装置1は、通信することが可能な一又は複数の中継装置2,2,…と通信し、例えば通信に係る電磁波の強度が最大である中継装置2を、アクセス先の中継装置2として選択する。通信装置1と、アクセス先として選択された中継装置2は、通信の秘匿化に要するPMK(Pairwise Master Key )と呼ばれるバイナリデータであるマスタ鍵情報を共有し、共有したマスタ鍵情報に基づいて生成される通信鍵を用いて通信内容を暗号化及び復号することにより、安全性の高い無線通信を実現する。
なお通信装置1を所持する使用者は、通信装置1を用いた通話等の通信中に移動することがあるため、通信装置1のアクセス先となる中継装置2は、固定されているものではなく、通信装置1の位置等の状況に応じて変化する。従ってアクセス先となる中継装置2を切り替える切替処理(ハンドオーバー処理)が行われる。
次に本発明の通信システムにて用いられる各種装置の構成について説明する。図2は、本発明の実施の形態1に係る通信システムにて用いられる通信装置1及び中継装置2の構成例を示すブロック図である。通信装置1は、装置全体を制御するCPU等の制御手段10、各種処理に必要なコンピュータプログラム及びデータ等の情報を記録するROM、RAM等の記録手段11を備えている。さらに制御手段10は、通信を制御する通信制御手段12を制御し、通信制御手段12は、電話通信に要するデジタル信号等のデータを送受信するアンテナ及びその付属回路等の通信手段13を制御する。また制御手段10は、スピーカ等の音声出力手段14から出力するアナログ音声信号及びマイク等の音声入力手段15から入力されるアナログ音声信号の変換処理を行う音声処理手段16を制御する。音声処理手段16による変換処理とは、音声出力手段14から出力すべくデジタル信号をアナログ音声信号に変換する処理、及び音声入力手段15から入力された音声に基づくアナログ音声信号をデジタル信号に変換する処理である。さらに通信装置1は、制御手段10の制御により、英数字及び各種命令等のキー入力を受け付ける押し釦等のキー入力手段17から入力を受け付け、キー入力された情報及び送受信する情報等の各種情報を表示する液晶ディスプレイ等の表示手段18に必要な情報を表示させる。
中継装置2は、装置全体を制御するCPU等の制御手段20、並びに本発明の中継装置用のコンピュータプログラム200及びデータ等の各種情報を記録するハードディスク、ROM、RAM等の記録手段21を備えている。そして本発明のコンピュータプログラム200を実行することにより、アクセスポイントとして用いられるコンピュータは、本発明の中継装置2として作動する。さらに中継装置2は、通信装置1と通信する第1通信手段22、及び通信網100に接続する第2通信手段23を備えている。なお中継装置2が備える記録手段21の記録領域の一部は、通信装置1との通信に要するマスタ鍵情報等の情報を記録する通信用鍵テーブル21aとして用いられている。
図3は、本発明の実施の形態1に係る通信システムにて用いられる中継装置2が備える通信用鍵テーブル21aの記録内容の例を概念的に示す説明図である。通信用鍵テーブル21aには、通信装置1を識別するMACアドレス等の通信装置識別情報、マスタ鍵情報を識別する鍵識別情報(PMKID)、マスタ鍵情報(PMK)、通信鍵等の各種情報が対応付けられたレコード(エントリ)として記録されている。これらの各レコードは、通信相手となる通信装置1毎に生成される。
図4は、本発明の実施の形態1に係る通信システムにて用いられる呼制御装置3及び認証装置4の構成例を示すブロック図である。呼制御装置3は、制御手段30、ハードディスク等の記録手段31、RAM等の記憶手段32、及び通信網100に接続する通信手段33を備えている。呼制御装置3は、SIP等の通信規約に基づいて、管理対象となる通信装置1及び中継装置2,2,…間の夫々の無線通信の状況を通信に関する各種識別子を用いて管理している。
認証装置4は、制御手段40、記録手段41、記憶手段42及び通信手段43を備え、無線LANの暗号化規格であるWPA2(Wi-Fi Protected Access)にて規定されるEAP−TLS等の相互認証規格に基づいて、通信装置1及び中継装置2間の通信に係る認証処理を実行する。
図5は、本発明の実施の形態1に係る通信システムにて用いられる鍵管理装置5の構成例を示すブロック図である。鍵管理装置5は、装置全体を制御するCPU等の制御手段50、本発明の鍵管理装置用のコンピュータプログラム500及びデータ等の各種情報を記録したCD−ROM等の記録媒体から各種情報を読み取るCD−ROMドライブ等の補助記憶手段51、補助記憶手段51により読み取った各種情報を記録するハードディスク等の記録手段52、並びに情報を一時的に記憶するRAM等の記憶手段53を備えている。そして記録手段52から本発明のコンピュータプログラム500及びデータ等の各種情報を読み取り、情報を一時的に記憶するRAM等の記憶手段53に記憶させてコンピュータプログラム500に含まれる各種手順を制御手段50により実行することで、サーバコンピュータは、本発明の鍵管理装置5として作動する。さらに鍵管理装置5は、通信網100に接続する通信手段54を備えている。なお鍵管理装置5が備える記録手段52の記録領域の一部は、中継装置2,2,…と送受信するマスタ鍵情報に係る情報を記録する中継用鍵テーブル52aとして用いられる。
図6は、本発明の実施の形態1に係る通信システムにて用いられる鍵管理装置5が備える中継用鍵テーブル52aの記録内容の例を概念的に示す説明図である。中継用鍵テーブル52aには、通信装置識別情報、鍵識別情報、SIPアドレス、通信状況、高速切替可否、初回登録時刻情報、最新参照時刻情報等の各種情報が対応付けられたレコードとして記録されている。これらの各レコードは、通信の管理対象となる通信装置1毎に生成される。SIPアドレスとは、SIPにて規定される通信規約に基づいてIP電話通信を行う装置を示すアドレスである。通信状況とは、当該レコードに係る通信装置1がIP電話通信による通話中であるか否かを示す情報であり、通信装置1がIP電話として呼接続されている場合には、通話中であることを示す「通話中」との情報が記録され、呼が接続されていない場合には、通話中ではないことを示す「通話断」との情報が記録される。この様に通信状況は通話状況に応じて記録内容が変化する情報である。高速切替可否とは、後述するマスタ鍵情報の切替処理の適用対象となるか否かを示す情報であり、適用対象としてマスタ鍵情報の中継処理を許可する通信装置1に対しては、「OK」との情報が記録され、中継処理を許可しない通信装置1に対しては、「NG」との情報が記録される。なお図6に示す様に例えば時間制限等の条件を設け「条件付きOK」との情報を記録する様にしても良い。初回登録時刻情報とは、中継用鍵テーブル52aに当該レコードを記録した時刻を示す情報である。最新参照時刻情報とは、当該レコードを最後に参照した時刻を示す情報であり、当該レコードを参照する都度更新される。
次に本発明の通信システムにて用いられる各種装置の処理について説明する。図7は、本発明の実施の形態1に係る通信システムにて用いられる通信装置1、中継装置2及び認証装置4の通信開始処理の例を示すシーケンス図である。図7では、IEEE802.1Xにて規定される規格に基づく処理を例示している。
通信装置1は、制御手段10の制御により、アクセス先とする中継装置2を選択し、選択した中継装置2へ、アクセス先としての接続を要求する接続要求を通信手段13から送信する(S101)。ステップS101の接続要求には、要求元の通信装置1を識別する通信装置識別情報が示されている。
中継装置2は、コンピュータプログラム200を実行する制御手段20の制御により、第1通信手段22にて接続要求を受信し、通信装置1との間で認証に係る様々な情報を送受信することにより、第1認証処理を実行する(S102)。ステップS102の第1認証処理とは、IEEE802.1Xにて規定される認証処理に先立って、後方互換を目的として実行されるオープン認証と呼ばれる認証処理である。
第1認証処理による認証が成功後、通信装置1、中継装置2及び認証装置4間で認証に係る様々な情報を送受信することにより、第2認証処理を実行する(S103)。ステップS103の第2認証処理により、中継装置2及び認証装置4間のRADIUS認証処理を含むIEEE802.1Xにて規定される通信装置1、中継装置2及び認証装置4間の認証処理が行われる。またこの認証処理は、無線LANの暗号化規格であるWPA2(Wi-Fi Protected Access)にて規定されるEAP−TLS等の相互認証規格に基づく処理である。
そして認証装置4は、制御手段40の制御により、認証した通信装置1及び中継装置2間の通信の秘匿化に要するマスタ鍵情報を生成し(S104)、生成したマスタ鍵情報に鍵識別情報を割り当て(S105)、マスタ鍵情報及び鍵識別情報を、通信を行う通信装置1及び中継装置2へ通信手段43から送信する(S106)。
通信装置1は、制御手段10の制御により、通信手段13にてマスタ鍵情報及び鍵識別情報を受信し、受信したマスタ鍵情報に基づいて通信鍵を生成し(S107)、受信したマスタ鍵情報及び鍵識別情報並びに生成した通信鍵を記録手段11に記録する(S108)。
中継装置2は、制御手段20の制御により、第1通信手段22にてマスタ鍵情報及び鍵識別情報を受信し、受信したマスタ鍵情報に基づいて通信鍵を生成し(S109)、受信したマスタ鍵情報及び鍵識別情報並びに生成した通信鍵を、通信相手となる通信装置1を識別する通信装置識別情報に対応付けて記録手段21の通信用鍵テーブル21aに記録する(S110)。この様にして通信装置1及び中継装置2間のマスタ鍵情報共有化処理が行われる。
そして通信装置1及び中継装置2は、無線区間の通信において、一方の装置が、通信鍵により通信内容を暗号化して生成した送信情報を送信し、他方の装置が、受信した送信情報を通信鍵により復号して元の通信内容を生成する暗号化通信を用いた通信を開始する(S111)。この様にして通信処理が行われる。
図8は、本発明の実施の形態1に係る通信システムにて用いられる中継装置2及び鍵管理装置5の鍵識別情報記録処理の例を示すシーケンス図である。認証装置4からマスタ鍵情報及び鍵識別情報を受信した中継装置2は、コンピュータプログラム200を実行する制御手段200の制御により、送信相手となる通信装置1に係る通信装置識別情報及び受信した鍵識別情報を、第2通信手段23から鍵管理装置5へ送信する(S201)。
鍵管理装置5は、コンピュータプログラム500を実行する制御手段50の制御により、通信手段54にて通信装置識別情報及び鍵識別情報を受信し、受信した通信装置識別情報及び鍵識別情報を記録手段52の中継用鍵テーブル52aに記録する(S202)。ステップS202の記録時に、記録した時刻を示す初回登録時刻情報も中継用鍵テーブル52aに記録される。この様にして鍵識別情報記録処理が行われる。なお鍵識別情報記録処理は、中継装置2がマスタ鍵情報及び鍵識別情報を受信した後であれば、特に実行時期を制限することはないが、暗号化通信を開始する前に実行することが望ましい。中継装置2による暗号化通信時の処理負荷を軽減するためである。
図9は、本発明の実施の形態1に係る通信システムにて用いられる中継装置2、呼制御装置3及び鍵管理装置5の呼制御関連処理の例を示すシーケンス図である。通信装置1が中継装置2を介して行う通信がIP電話通信である場合、実行される通信は呼制御装置3にて管理される。中継装置2は、コンピュータプログラム200を実行する制御手段2の制御により、IP電話通信に係る通信装置1のSIPアドレスを、第2通信手段23から呼制御装置3へ送信し(S301)、更にIP電話通信に係る通信装置1のSIPアドレス及び通信装置識別情報を、第2通信手段23から鍵管理装置5へ送信する(S302)。
呼制御装置3は、制御手段30の制御により、通信手段33にてSIPアドレスを受信し、受信したSIPアドレスを呼制御の対象となるエントリとして記録する(S303)。
鍵管理装置5は、コンピュータプログラム500を実行する制御手段50の制御により、通信手段54にてSIPアドレス及び通信装置識別情報を受信し、受信したSIPアドレスを記録手段52の中継用鍵テーブル52aに記録する(S304)。なお記録先となるレコードは、受信した通信装置識別情報を検索キーとして用いることにより特定することができる。
そして呼制御装置3は、制御手段30の制御により、IP電話通信が開始されると、通信中の中継装置2のSIPアドレス及び通信状況を示す状況情報を通信手段33から鍵管理装置5へ送信する(S305)。
鍵管理装置5は、制御手段50の制御により、通信手段54にてSIPアドレス及び状況情報を受信し、受信した状況情報が示す通信状況を記録手段52の中継用鍵テーブル52aに記録する(S306)。なお記録先となるレコードは、受信したSIPアドレスを検索キーとして用いることにより特定することができる。なおステップS305〜S306として示した通信状況の通知は、通信状況に変化が生じる都度、実行される。この様にして呼制御に関連する処理が行われる。
次に、上述した各処理によりIP電話通信等の通信を開始した通信装置1が移動し、アクセス先となる中継装置2を切り替える状況が生じた場合の各種処理について説明する。図10は、本発明の実施の形態1に係る通信システムにて用いられる通信装置1、中継装置2及び鍵管理装置5の切替処理の例を示すシーケンス図である。なお以降の説明において、特に区別することを要する場合、切替前の中継装置2を第1中継装置2aとし、切替先となる中継装置2を第2中継装置2bとして説明する。上述した様々な処理により通信装置1及び第1中継装置2aは、無線区間の通信を暗号化したIP電話通信に係る暗号化通信を実行する(S401)。
第1中継装置2aと通信している通信装置1が移動し、第2中継装置2bの通信エリア内に入り、第2中継装置2bとの通信が可能となった場合、第2中継装置2bは、コンピュータプログラム200を実行する制御手段20の制御により、通信装置1との通信に要するマスタ鍵情報の送信を要求する鍵情報送信要求を、第2通信手段23から鍵管理装置5へ送信する(S402)。ステップS402にて送信される鍵情報送信要求には、通信が可能となった通信装置1を識別する通信装置識別情報が示されている。
鍵管理装置5は、コンピュータプログラム500を実行する制御手段50の制御により、通信手段54にて鍵情報送信要求を受信し、受信した鍵情報送信要求に対してマスタ鍵情報の送信の諾否を判定する送信判定処理を実行する(S403)。ステップS403の送信判定処理については、後述するものとし、以下にマスタ鍵情報の送信を許可すると判定した場合の処理について説明する。
鍵管理装置5は、制御手段50の制御により、鍵情報送信要求に示されている通信装置識別情報に対応付けて記録されている鍵識別情報を、記録手段52の中継用鍵テーブル52aから抽出し(S404)、抽出した鍵識別情報にて識別されるマスタ鍵情報の送信を要求する鍵情報送信要求を、通信手段54から第1中継装置2aへ送信する(S405)。ステップS405にて送信される鍵情報送信要求には鍵識別情報が示されている。なお鍵管理装置5は、鍵識別情報の送信元である中継装置2又は要求に対して最後にマスタ鍵情報を送信した中継装置2を、通信している第1中継装置2aであるものとし、鍵情報送信要求の送信先として特定する。また鍵管理装置5は、第2中継装置2bを介して通信装置1に対し、通信している第1中継装置2aを示す情報を送信する様に要求し、通信装置1は、要求に対する情報を第2中継装置2bを介して鍵管理装置5へ送信することにより、鍵管理装置5が第1中継装置2aを特定する様にしても良い。更には鍵管理装置5から複数の中継装置2に対して鍵情報送信要求を送信し、鍵情報送信要求に示されている鍵識別情報に係るマスタ鍵情報を記録している中継装置2がマスタ鍵情報を鍵管理装置5へ送信することにより、鍵管理装置5が第1中継装置2aを特定する様にしても良い。
第1中継装置2aは、コンピュータプログラム200を実行する制御手段20の制御により、第2通信手段23にて鍵識別情報を受信し、受信した鍵識別情報に対応付けて記録されているマスタ鍵情報を記録手段21の通信用鍵テーブル21aから抽出し(S406)、抽出したマスタ鍵情報を第2通信手段23から鍵管理装置5へ送信する(S407)。
鍵管理装置5は、制御手段50の制御により、通信手段54にてマスタ鍵情報を受信し、受信したマスタ鍵情報及び記録している鍵識別情報を、通信手段54から第2中継装置2bへ送信する(S408)。
第2中継装置2bは、制御手段50の制御により、第2通信手段23にてマスタ鍵情報及び鍵識別情報を受信し、受信したマスタ鍵情報及び鍵識別情報を、通信することが可能となった通信装置1を識別する通信装置識別情報に対応付けて記録手段21の通信用鍵テーブル21aに記録する(S409)。
そして通信装置1は、制御手段10の制御により、アクセス先としての接続を要求する接続要求を通信手段13から、第2中継装置2bへ送信する(S410)。ステップS410の接続要求には、要求元の通信装置1を識別する通信装置識別情報及び鍵識別情報が示されている。
第2中継装置2bは、制御手段20の制御により、第1通信手段22にて接続要求を受信し、受信した接続要求に示されている通信装置識別情報及び鍵識別情報を、記録手段21の通信用鍵テーブル21aの記録内容と照合することにより、接続要求の正当性を判定した上で、接続を許可する接続許可情報を、第1通信手段22から通信装置1へ送信する(S411)。
第2中継装置2bは、制御手段20の制御により、受信した接続要求に示されている鍵識別情報に対応付けて記録されているマスタ鍵情報を記録手段21の通信用鍵テーブル21aから抽出し、抽出したマスタ鍵情報に基づいて通信鍵を生成する(S412)。
通信装置1は、制御手段10の制御により、通信手段13にて、接続許可情報を受信し、第1中継装置2aとの通信に用いていたマスタ鍵情報に基づく通信鍵を、第2中継装置2bとの通信に再利用することにより、通信鍵の共有化が行われる。
そして通信装置1及び第2中継装置2bは、無線区間において、一方の装置が、通信鍵により通信内容を暗号化して生成した送信情報を送信し、他方の装置が、受信した送信情報を通信鍵により復号して元の通信内容を生成する暗号化通信を用いた通信を開始する(S413)。この様にして切替処理が行われる。
図11は、本発明の実施の形態1に係る通信システムにて用いられる鍵管理装置5の送信判定処理の例を示すフローチャートである。鍵管理装置5は、図10を用いて説明した切替処理のステップS403の送信判定処理を実行する。鍵管理装置5は、コンピュータプログラム500を実行する制御手段50の制御により、通信装置1が、第1中継装置2aを介しての通話中であるか否かを判定する(S501)。ステップS501では、中継用鍵テーブル52aに記録されている当該通信装置1に係るレコードの通信状況の項目を参照することにより、通話中であるか否かを判定する。
ステップS501において、通話中であると判定した場合(S501:YES)、鍵管理装置5は、制御手段50の制御により、マスタ鍵情報の送信を許可し(S502)、送信判定処理を終了する。
ステップS501において、通話中ではないと判定した場合(S501:NO)、鍵管理装置5は、制御手段50の制御により、マスタ鍵情報の送信を拒否し(S503)、送信判定処理を終了する。ステップS503に示す様にマスタ鍵情報の送信を拒否した場合、鍵管理装置5は、上述した切替処理の以降の処理を中止する。なおここでは通信状況のみに基づいてマスタ鍵情報の送信の諾否を判定する処理を示したが、要求元の第2中継装置2bに関する制限、時間帯による制限等の様々な制限条件を設け、夫々の制限条件を加味して判定する様にしても良い。この様な制限条件は、中継用鍵テーブル52aの高速切替可否の項目に記録される。
図12は、本発明の実施の形態1に係る通信システムにて用いられる通信装置1の切替処理の例を示すフローチャートである。図10を用いて説明した切替処理における通信装置1に係る処理を更に詳述する。通信装置1は、制御手段10の制御により、中継装置2(第2中継装置2b)をアクセス先として選択する場合、アクセス先として現在通信している中継装置2(第1中継装置2a)が有るか否かを判定する(S601)。
ステップS601において、アクセス先として通信している第1中継装置2aが有ると判定した場合(S601:YES)、通信装置1は、制御手段10の制御により、アクセス先としての接続を要求する接続要求を通信手段13から、第2中継装置2bへ送信する(S602)。ステップS602の処理は、図10のステップS410の処理に対応する。
そして通信装置1は、制御手段10の制御により、送信した接続要求に対して接続が許可されたか否かを判定する(S603)、ステップS603では、接続要求に対する接続許可情報を受信した場合、接続が許可されたと判定し、接続を拒否する情報を受信した場合又は所定時間経過しても接続許可情報を受信していない場合、接続が拒否されたと判定する。
ステップS603において、接続許可情報を受信したと判定した場合(S603:YES)、通信装置1は、制御手段10の制御により、アクセス先を第1中継装置2aから第2中継装置2bに切り替え(S604)、第2中継装置2bとの通信を開始する(S605)。ステップS605の処理は、図10のステップS413の処理に対応する。
ステップS601において、アクセス先として通信している第1中継装置2aが無いと判定した場合(S601:NO)、又はステップS603において、接続が拒否されたと判定した場合(S603:NO)、通信装置1は、制御手段10の制御により、第2中継装置2bとの相互認証を行った上でマスタ鍵情報を共有化する通信開始処理を実行する(S606)。ステップS606の通信開始処理とは、図7を用いて示した通信開始処理である。なお図12を用いて説明した切替処理と、従来のPMKキャッシュ方法とを組合せ、過去に第2中継装置2bをアクセス先として選択したことがある場合、記録しているマスタ鍵情報に基づいて通信を行う様にしても良い。
図11に示した送信判定処理及び図12に示した切替処理から明らかな様に、通信装置1は通話中でない場合、再度通信開始処理を実行することになる。通話中でない場合、通信開始処理に要する時間は大きな問題とならず、マスタ鍵情報の流用を回避して認証を再度行うことにより安全性を高めることが可能であるからである。
実施の形態2.
実施の形態2は、実施の形態1において、鍵管理装置が中継用鍵テーブルにマスタ鍵情報を記録して管理する形態である。なお以降の説明において、実施の形態1と同様の構成要素については、実施の形態1と同様の符号を付すものとし、その詳細な説明を省略する。実施の形態2に係る通信システムの構成例は、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。実施の形態1に係る通信システムにて用いられる通信装置1、中継装置2、呼制御装置3及び認証装置4の構成例は、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。実施の形態2に係る通信システムにて用いられる鍵管理装置5のハードウェアの構成例は、実施の形態1の鍵管理装置5の構成例と同様であるので、実施の形態1を参照するものとし、その説明を省略する。
図13は、本発明の実施の形態2に係る通信システムにて用いられる鍵管理装置5が備える中継用鍵テーブル52aの記録内容の例を概念的に示す説明図である。中継用鍵テーブル52aには、通信装置識別情報、鍵識別情報、マスタ鍵情報、SIPアドレス、通信状況、高速切替可否、初回登録時刻情報、最新参照時刻情報等の各種情報が対応付けられたレコードとして記録されている。実施の形態2では、鍵識別情報だけでなく、マスタ鍵情報も中継用テーブル52aに記録される。
次に本発明の通信システムにて用いられる各種装置の処理について説明する。実施の形態2に係る通信システムにて用いられる通信装置1、中継装置2及び認証装置4の通信開始処理は、実施の形態1と同様であるので実施の形態1を参照するものとし、その説明を省略する。
図14は、本発明の実施の形態2に係る通信システムにて用いられる中継装置2及び鍵管理装置5のマスタ鍵情報記録処理の例を示すシーケンス図である。実施の形態2では、実施の形態1の鍵識別情報記録処理に代わる処理として、マスタ鍵情報記録処理を実行する。認証装置4からマスタ鍵情報及び鍵識別情報を受信した中継装置2は、コンピュータプログラム200を実行する制御手段20の制御により、送信相手となる通信装置1に係る通信装置識別情報並びに受信したマスタ鍵情報及び鍵識別情報を、第2通信手段23から鍵管理装置5へ送信する(S701)。ステップS701において、実施の形態1では、鍵管理装置5からマスタ鍵情報の送信を要求された場合にマスタ鍵情報を送信するが、実施の形態2では、マスタ鍵情報の送信を要求されずとも、即ち通信装置1との相互認証が成功すれば、マスタ鍵情報の送信の要求の有無に関わらず、マスタ鍵情報を送信する。
鍵管理装置5は、コンピュータプログラム500を実行する制御手段50の制御により、通信手段54にて通信装置識別情報、マスタ鍵情報及び鍵識別情報を受信し、受信した通信装置識別情報、マスタ鍵情報及び鍵識別情報を記録手段52の中継用鍵テーブル52aに記録する(S702)。この様にしてマスタ鍵情報記録処理が行われる。
実施の形態2に係る通信システムにて用いられる中継装置2、呼制御装置3及び鍵管理装置5の呼制御関連処理は、実施の形態1と同様であるので実施の形態1を参照するものとし、その説明を省略する。
図15は、本発明の実施の形態2に係る通信システムにて用いられる通信装置1、中継装置2及び鍵管理装置5の切替処理の例を示すシーケンス図である。上述した様々な処理により通信装置1及び第1中継装置2aは、無線区間の通信を暗号化したIP電話通信に係る暗号化通信を実行する(S801)。
第1中継装置2aと通信している通信装置1が移動し、第2中継装置2bの通信エリア内に入り、第2中継装置2bとの通信が可能となった場合、第2中継装置2bは、コンピュータプログラム200を実行する制御手段20の制御により、通信装置1との通信に要するマスタ鍵情報の送信を要求する鍵情報送信要求を、第2通信手段23から鍵管理装置5へ送信する(S802)。ステップS802にて送信される鍵情報送信要求には、通信が可能となった通信装置1を識別する通信装置識別情報が示されている。
鍵管理装置5は、コンピュータプログラム500を実行する制御手段50の制御により、通信手段54にて鍵情報送信要求を受信し、受信した鍵情報送信要求に対してマスタ鍵情報の送信の諾否を判定する送信判定処理を実行する(S803)。
鍵管理装置5は、制御手段50の制御により、鍵情報送信要求に示されている通信装置識別情報に対応付けて記録されているマスタ鍵情報及び鍵識別情報を、記録手段52の中継用鍵テーブル52aから抽出し(S804)、抽出したマスタ鍵情報及び鍵識別情報を、通信手段54から第2中継装置2bへ送信する(S805)。
第2中継装置2bは、制御手段50の制御により、第2通信手段23にてマスタ鍵情報及び鍵識別情報を受信し、受信したマスタ鍵情報及び鍵識別情報を、通信することが可能となった通信装置1を識別する通信装置識別情報に対応付けて記録手段21の通信用鍵テーブル21aに記録する(S806)。以降の処理は、実施の形態1の図10に示した切替処理のステップS410以降の処理と同様であるので、実施の形態1と同様のステップ番号を付し、その説明を省略する。この様にして切替処理が行われる。
実施の形態2に係る通信システムにて用いられる鍵管理装置5の送信判定処理は、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。また実施の形態2に係る通信システムにて用いられる通信装置1の切替処理は、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。
実施の形態3.
実施の形態3は、実施の形態1において、第2中継装置が通信装置から送信される接続要求を受信後、鍵管理装置に対して鍵情報送信要求を送信する形態である。なお以降の説明において、実施の形態1と同様の構成要素については、実施の形態1と同様の符号を付すものとし、その詳細な説明を省略する。実施の形態3に係る通信システムの構成例は、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。実施の形態1に係る通信システムにて用いられる通信装置1、中継装置2、呼制御装置3及び認証装置4の構成例は、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。実施の形態3に係る通信システムにて用いられる鍵管理装置5のハードウェアの構成例は、実施の形態1の鍵管理装置5の構成例と同様であるので、実施の形態1を参照するものとし、その説明を省略する。
次に本実施の形態に係る通信システムにて用いられる各種装置の処理について説明する。実施の形態3に係る通信システムにて用いられる通信装置1、中継装置2及び認証装置4の通信開始処理から無線区間の通信を暗号化したIP電話通信に係る暗号化通信を実行するまでの処理は、実施の形態1と同様であるので実施の形態1を参照するものとし、その説明を省略する。
図16は、本発明の実施の形態3に係る通信システムにて用いられる通信装置1、中継装置2及び鍵管理装置5の切替処理の例を示すシーケンス図である。上述した様々な処理により通信装置1及び第1中継装置2aは、無線区間の通信を暗号化したIP電話通信に係る暗号化通信を実行する(S901)。
第1中継装置2aと通信している通信装置1が移動し、第2中継装置2bの通信エリア内に入り、第2中継装置2bとの通信が可能となった場合、通信装置1は、制御手段10の制御により、次のアクセス先となり得る第2中継装置2bを選択し、選択した第2中継装置2bへ、アクセス先としての接続を要求する接続要求を通信手段13から送信する(S902)。ステップS902にて送信される接続要求には、要求元の通信装置1を識別する通信装置識別情報及び要求元の通信装置1に記録されている鍵識別情報が示されている。
第1通信部22にて接続要求を受信した第2中継装置2bは、接続要求を受信することにより、接続要求の送信元の通信装置1との通信が可能になったと判定する。そして通信装置1との通信が可能になったと判定した第2中継装置2bは、コンピュータプログラム200を実行する制御部20の制御により、通信装置1との通信に要するマスタ鍵情報の送信を要求する鍵情報送信要求を、第2通信部23から鍵管理装置5へ送信する(S903)。ステップS903にて送信される鍵情報送信要求には、ステップS902にて通信装置1から受信した接続要求に示されている通信装置識別情報及び鍵識別情報が示されている。
鍵管理装置5は、コンピュータプログラム500を実行する制御部50の制御により、通信部54にて鍵情報送信要求を受信し、受信した鍵情報送信要求に対してマスタ鍵情報の送信の諾否を判定する送信判定処理を実行する(S904)。ステップS904の送信判定処理については実施の形態1と同様であるので実施の形態1を参照するものとし、その説明を省略する。
鍵管理装置5は、制御部50の制御により、鍵情報送信要求に示されている鍵識別情報にて識別されるマスタ鍵情報の送信を要求する鍵情報送信要求を、通信部54から第1中継装置2aへ送信する(S905)。ステップS905にて送信される鍵情報送信要求には鍵識別情報が示されている。なお鍵管理装置5は、実施の形態1にて説明した様々な方法により、通信している第1中継装置2aを特定する。
第1中継装置2aは、コンピュータプログラム200を実行する制御部20の制御により、第2通信部23にて鍵識別情報を受信し、受信した鍵識別情報に対応付けて記録されているマスタ鍵情報を記録部21の通信用鍵テーブル21aから抽出し(S906)、抽出したマスタ鍵情報を第2通信部23から鍵管理装置5へ送信する(S907)。
鍵管理装置5は、制御部50の制御により、通信部54にてマスタ鍵情報を受信し、受信したマスタ鍵情報、及びステップS903にて受信した鍵情報送信要求に示されていた鍵識別情報を、通信部54から第2中継装置2bへ送信する(S908)。
第2中継装置2bは、制御部50の制御により、第2通信部23にてマスタ鍵情報及び鍵識別情報を受信し、ステップS902にて受信した接続要求に示されていた通信装置識別情報、即ち通信することが可能となった通信装置1を識別する通信装置識別情報に対応付けて、受信したマスタ鍵情報及び鍵識別情報を記録部21の通信用鍵テーブル21aに記録する(S909)。
そして第2中継装置2bは、ステップS902にて通信装置1から受信した接続要求に示されていた鍵識別情報を、記録部21の通信用鍵テーブル21aの記録内容と照合することにより、接続要求の正当性を判定した上で、接続を許可する接続許可情報を、第1通信部22から通信装置1へ送信する(S910)。以降の処理は、実施の形態1の図10に示した切替処理のステップS412以降の処理と同様であるので、実施の形態1と同様のステップ番号を付し、その説明を省略する。この様にして切替処理が行われる。
実施の形態4.
実施の形態4は、実施の形態2において、第2中継装置が通信装置から送信される接続要求を受信後、鍵管理装置に対して鍵情報送信要求を送信する形態である。なお以降の説明において、実施の形態1又は2と同様の構成要素については、実施の形態1又は2と同様の符号を付すものとし、その詳細な説明を省略する。実施の形態4に係る通信システムの構成例は、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。実施の形態4に係る通信システムにて用いられる通信装置1、中継装置2、呼制御装置3及び認証装置4の構成例は、実施の形態1と同様であるので、実施の形態2を参照するものとし、その説明を省略する。実施の形態4に係る通信システムにて用いられる鍵管理装置5のハードウェアの構成例は、実施の形態2の鍵管理装置5の構成例と同様であるので、実施の形態2を参照するものとし、その説明を省略する。
次に本実施の形態に係る通信システムにて用いられる各種装置の処理について説明する。実施の形態4に係る通信システムにて用いられる通信装置1、中継装置2及び認証装置4の通信開始処理から無線区間の通信を暗号化したIP電話通信に係る暗号化通信を実行するまでの処理は、実施の形態2と同様であるので実施の形態2を参照するものとし、その説明を省略する。
図17は、本発明の実施の形態4に係る通信システムにて用いられる通信装置1、中継装置2及び鍵管理装置5の切替処理の例を示すシーケンス図である。上述した様々な処理により通信装置1及び第1中継装置2aは、無線区間の通信を暗号化したIP電話通信に係る暗号化通信を実行する(S1001)。
第1中継装置2aと通信している通信装置1が移動し、第2中継装置2bの通信エリア内に入り、第2中継装置2bとの通信が可能となった場合、通信装置1は、制御手段10の制御により、次のアクセス先となり得る第2中継装置2bを選択し、選択した第2中継装置2bへ、アクセス先としての接続を要求する接続要求を通信手段13から送信する(S1002)。ステップS1002の接続要求には、要求元の通信装置1を識別する通信装置識別情報及び鍵識別情報が示されている。
第1通信部22にて接続要求を受信した第2中継装置2bは、接続要求を受信することにより、接続要求の送信元の通信装置1との通信が可能になったと判定する。そして通信装置1との通信が可能になったと判定した第2中継装置2bは、コンピュータプログラム200を実行する制御部20の制御により、通信装置1との通信に要するマスタ鍵情報の送信を要求する鍵情報送信要求を、第2通信部23から鍵管理装置5へ送信する(S1003)。ステップS1003にて送信される鍵情報送信要求には、ステップS1002にて通信装置1から受信した接続要求に示されている通信装置識別情報及び鍵識別情報が示されている。
鍵管理装置5は、コンピュータプログラム500を実行する制御部50の制御により、通信部54にて鍵情報送信要求を受信し、受信した鍵情報送信要求に対してマスタ鍵情報の送信の諾否を判定する送信判定処理を実行する(S1004)。ステップS1004の送信判定処理については実施の形態1と同様であるので実施の形態1を参照するものとし、その説明を省略する。
鍵管理装置5は、制御部50の制御により、鍵情報送信要求に示されている鍵識別情報にて識別されるマスタ鍵情報を中継用鍵テーブル52aから抽出し(S1005)、抽出したマスタ鍵情報、及び鍵識別情報を、通信部54から第2中継装置2bへ送信する(S1006)。
第2中継装置2bは、制御部50の制御により、第2通信部23にてマスタ鍵情報及び鍵識別情報を受信し、受信したマスタ鍵情報及び鍵識別情報を、記録部21の通信用鍵テーブル21aに記録する(S1007)。以降の処理は、実施の形態1の図10に示した切替処理のステップS411以降の処理と同様であるので、実施の形態1と同様のステップ番号を付し、その説明を省略する。この様にして切替処理が行われる。
前記実施の形態1乃至4は、本発明の無数にある形態の中の一部の例を示したに過ぎず、本発明は上述した例に限られるものではなく、その目的、用途等の様々な要因に応じて様々な形態に展開することが可能である。例えば前記実施の形態では、通信装置が、携帯型IP電話である形態を示したが、本発明はこれに限らず、ノート型パソコン等の装置を通信装置として用いる様にしてもよく、また電話以外の通信、例えば映像のストリーミング配信等の通信を行う形態に展開する等、様々な形態に展開することが可能である。
以上の実施の形態に関し、更に以下の付記を開示する。
(付記1)
可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置との間で、通信の秘匿化に要する鍵情報に基づいて通信する通信方法において、
前記中継装置と鍵情報を送受信する鍵管理装置を用い、
前記通信装置と鍵情報に基づいて通信している一の中継装置は、鍵情報を前記鍵管理装置へ送信し、
他の中継装置は、前記通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を前記鍵管理装置に要求し、
前記鍵管理装置は、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信し、
前記他の中継装置は、更に、受信した鍵情報に基づいて前記通信装置と通信する
ことを特徴とする通信方法。
(付記2)
可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置とを備え、前記通信装置及び中継装置は、通信の秘匿化に要する鍵情報に基づいて通信する通信システムにおいて、
前記中継装置と鍵情報を送受信する鍵管理装置を更に備え、
前記通信装置と鍵情報に基づいて通信している一の中継装置は、鍵情報を前記鍵管理装置へ送信する第1鍵送信手段を備え、
他の中継装置は、前記通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を前記鍵管理装置に要求する要求手段を備え、
前記鍵管理装置は、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信する第2鍵送信手段を備え、
前記他の中継装置は、更に、受信した鍵情報に基づいて前記通信装置と通信する手段を備える
ことを特徴とする通信システム。
(付記3)
前記一の中継装置は、更に、通信している前記通信装置に係る鍵情報を識別する鍵識別情報を前記鍵管理装置へ送信する手段を備え、
前記鍵管理装置は、更に、
受信した鍵識別情報を記録する記録手段と、
前記中継装置からの鍵情報の送信の要求に対し、記録している鍵識別情報にて識別される鍵情報の送信を前記一の中継装置に要求する手段と
を備え、
該一の中継装置が備える第1鍵送信手段は、鍵情報の送信を要求された場合に、鍵情報を送信する様に構成してある
ことを特徴とする付記2に記載の通信システム。
(付記4)
前記鍵管理装置が備える記録手段は、鍵識別情報を、該鍵識別情報の通信に係る前記通信装置を識別する通信装置識別情報に対応付けて記録する様に構成してあり、
前記他の中継装置が備える要求手段は、通信が可能となった通信装置を識別する通信装置識別情報を示して鍵情報の送信を要求する様に構成してあり、
前記鍵管理装置は、更に、要求に係る通信装置識別情報に対応付けられた鍵識別情報を記録手段から抽出する手段を備える
ことを特徴とする付記3に記載の通信システム。
(付記5)
前記一の中継装置が備える第1鍵送信手段は、前記通信装置からの鍵情報の送信の要求の有無に関わらず、鍵情報を送信する様に構成してあり、
前記鍵管理装置は、更に、受信した鍵情報を記録する記録手段を備え、
前記第2鍵送信手段は、前記中継装置からの鍵情報の送信の要求に対し、記録している鍵情報を送信する様に構成してある
ことを特徴とする付記2に記載の通信システム。
(付記6)
前記鍵管理装置が備える記録手段は、鍵情報を、該鍵情報の通信に係る前記通信装置を識別する通信装置識別情報に対応付けて記録する様に構成してあり、
前記他の中継装置が備える要求手段は、通信が可能となった通信装置を識別する通信装置識別情報を示して鍵情報の送信を要求する様に構成してあり、
前記鍵管理装置は、更に、要求に係る通信装置識別情報に対応付けられた鍵情報を記録手段から抽出する手段を備える
ことを特徴とする付記5に記載の通信システム。
(付記7)
前記通信装置は、前記他の中継装置との通信が可能となった場合に、前記他の通信装置との接続を要求する接続要求を送信する手段を更に備え、
前記他の中継装置は、接続要求を受信したときに、該接続要求の送信元の通信装置との通信が可能となった判定する様に構成してある
ことを特徴とする付記2乃至付記6のいずれかに記載の通信システム。
(付記8)
前記通信装置は、通話機能を有し、
前記鍵管理装置は、更に、
前記通信装置が、前記一の中継装置を介しての通話中であるか否かを判定する判定手段と、
通話中ではないと判定した場合に、鍵情報の送信を拒否する手段と
を備える
ことを特徴とする付記2乃至付記7のいずれかに記載の通信システム。
(付記9)
前記通信装置の通話機能はIP(Internet Protocol) 電話通信に係る機能であり、
前記通信装置のIP電話通信に係る呼接続を制御する呼制御装置を更に備え、
該呼制御装置は、更に、前記通信装置のIP電話通信の状況を示す状況情報を前記鍵管理装置へ送信する手段を備え、
前記判定手段は、受信した状況情報に基づいて判定する様に構成してある
ことを特徴とする付記8に記載の通信システム。
(付記10)
前記通信装置及び中継装置は、更に、
暗号化及び復号に要する通信鍵を、鍵情報に基づいて生成する手段と、
通信鍵により通信内容を暗号化及び復号する暗号通信を行う手段と
を備えることを特徴とする付記2乃至付記9のいずれかに記載の通信システム。
(付記11)
前記通信装置及び中継装置に対する通信に係る認証を行う認証装置を更に備え、
該認証装置は、認証した前記通信装置及び中継装置へ、鍵情報を送信する手段を備え、
前記中継装置は、更に、前記鍵管理装置が鍵情報を送信しない場合に、前記認証装置に認証を要求する手段を備える
ことを特徴とする付記2乃至付記10のいずれかに記載の通信システム。
(付記12)
可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置との間で、通信の秘匿化に要する鍵情報に基づいて通信する場合に、前記通信装置及び中継装置と鍵情報を送受信する鍵管理装置であって、
前記通信装置と鍵情報に基づいて通信している一の中継装置から送信された鍵情報を受信する手段と、
前記通信装置との通信が可能となった他の中継装置から、前記通信装置との通信に要する鍵情報の送信の要求を受け付ける手段と、
受け付けた要求に対して、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信する手段と
を備えることを特徴とする鍵管理装置。
(付記13)
通信の秘匿化に要する鍵情報に基づいて通信装置と通信することが可能な中継装置において、
鍵情報を中継する鍵管理装置と通信する手段と、
通信装置との通信に用いる鍵情報を、鍵管理装置へ送信する手段と、
通信していない通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を、鍵管理装置へ要求する手段と、
要求に対する鍵情報を受信する手段と、
受信した鍵情報に基づいて、通信装置と通信する手段と
を備えることを特徴とする中継装置。
(付記14)
通信装置及び該通信装置と通信することが可能な複数の中継装置と通信するコンピュータに、前記通信装置及び中継装置間の通信の秘匿化に要する鍵情報を、前記通信装置及び中継装置と送受信させるコンピュータプログラムであって、
コンピュータに、前記通信装置と鍵情報に基づいて通信している一の中継装置から送信された鍵情報を記録させる手順と、
コンピュータに、前記通信装置との通信が可能となった他の中継装置から、前記通信装置との通信に要する鍵情報の送信の要求を受け付けた場合に、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信させる手順と
を実行させることを特徴とするコンピュータプログラム。
(付記15)
通信の秘匿化に要する鍵情報に基づいて通信装置と通信することが可能なコンピュータにて実行されるコンピュータプログラムにおいて、
コンピュータに、通信装置との通信に用いる鍵情報を、所定の装置へ送信させる手順と、
コンピュータに、通信していない通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を、前記所定の装置へ要求させる手順と、
コンピュータに、要求に対する鍵情報を受信したときに、受信した鍵情報に基づいて、通信装置と通信させる手順と
を実行させることを特徴とするコンピュータプログラム。
本発明の実施の形態1に係る通信システムの構成例を概念的に示す説明図である。 本発明の実施の形態1に係る通信システムにて用いられる通信装置及び中継装置の構成例を示すブロック図である。 本発明の実施の形態1に係る通信システムにて用いられる中継装置が備える通信用鍵テーブルの記録内容の例を概念的に示す説明図である。 本発明の実施の形態1に係る通信システムにて用いられる呼制御装置及び認証装置の構成例を示すブロック図である。 本発明の実施の形態1に係る通信システムにて用いられる鍵管理装置の構成例を示すブロック図である。 本発明の実施の形態1に係る通信システムにて用いられる鍵管理装置が備える中継用鍵テーブルの記録内容の例を概念的に示す説明図である。 本発明の実施の形態1に係る通信システムにて用いられる通信装置、中継装置及び認証装置の通信開始処理の例を示すシーケンス図である。 本発明の実施の形態1に係る通信システムにて用いられる中継装置及び鍵管理装置の鍵識別情報記録処理の例を示すシーケンス図である。 本発明の実施の形態1に係る通信システムにて用いられる中継装置、呼制御装置及び鍵管理装置の呼制御関連処理の例を示すシーケンス図である。 本発明の実施の形態1に係る通信システムにて用いられる通信装置、中継装置及び鍵管理装置の切替処理の例を示すシーケンス図である。 本発明の実施の形態1に係る通信システムにて用いられる鍵管理装置の送信判定処理の例を示すフローチャートである。 本発明の実施の形態1に係る通信システムにて用いられる通信装置の切替処理の例を示すフローチャートである。 本発明の実施の形態2に係る通信システムにて用いられる鍵管理装置が備える中継用鍵テーブルの記録内容の例を概念的に示す説明図である。 本発明の実施の形態2に係る通信システムにて用いられる中継装置及び鍵管理装置のマスタ鍵情報記録処理の例を示すシーケンス図である。 本発明の実施の形態2に係る通信システムにて用いられる通信装置、中継装置及び鍵管理装置の切替処理の例を示すシーケンス図である。 本発明の実施の形態3に係る通信システムにて用いられる通信装置、中継装置及び鍵管理装置の切替処理の例を示すシーケンス図である。 本発明の実施の形態4に係る通信システムにて用いられる通信装置、中継装置及び鍵管理装置の切替処理の例を示すシーケンス図である。
符号の説明
1 通信装置
2 中継装置
21a 通信用鍵テーブル
3 呼制御装置
4 認証装置
5 鍵管理装置
52a 中継用鍵テーブル
100 通信網
200 コンピュータプログラム
500 コンピュータプログラム

Claims (10)

  1. 可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置との間で、通信の秘匿化に要する鍵情報に基づいて通信する通信方法において、
    前記中継装置と鍵情報を送受信する鍵管理装置を用い、
    前記通信装置と鍵情報に基づいて通信している一の中継装置は、鍵情報を前記鍵管理装置へ送信し、
    他の中継装置は、前記通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を前記鍵管理装置に要求し、
    前記鍵管理装置は、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信し、
    前記他の中継装置は、更に、受信した鍵情報に基づいて前記通信装置と通信する
    ことを特徴とする通信方法。
  2. 可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置とを備え、前記通信装置及び中継装置は、通信の秘匿化に要する鍵情報に基づいて通信する通信システムにおいて、
    前記中継装置と鍵情報を送受信する鍵管理装置を更に備え、
    前記通信装置と鍵情報に基づいて通信している一の中継装置は、鍵情報を前記鍵管理装置へ送信する第1鍵送信手段を備え、
    他の中継装置は、前記通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を前記鍵管理装置に要求する要求手段を備え、
    前記鍵管理装置は、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信する第2鍵送信手段を備え、
    前記他の中継装置は、更に、受信した鍵情報に基づいて前記通信装置と通信する手段を備える
    ことを特徴とする通信システム。
  3. 前記一の中継装置は、更に、通信している前記通信装置に係る鍵情報を識別する鍵識別情報を前記鍵管理装置へ送信する手段を備え、
    前記鍵管理装置は、更に、
    受信した鍵識別情報を記録する記録手段と、
    前記中継装置からの鍵情報の送信の要求に対し、記録している鍵識別情報にて識別される鍵情報の送信を前記一の中継装置に要求する手段と
    を備え、
    該一の中継装置が備える第1鍵送信手段は、鍵情報の送信を要求された場合に、鍵情報を送信する様に構成してある
    ことを特徴とする請求項2に記載の通信システム。
  4. 前記一の中継装置が備える第1鍵送信手段は、前記通信装置からの鍵情報の送信の要求の有無に関わらず、鍵情報を送信する様に構成してあり、
    前記鍵管理装置は、更に、受信した鍵情報を記録する記録手段を備え、
    前記第2鍵送信手段は、前記中継装置からの鍵情報の送信の要求に対し、記録している鍵情報を送信する様に構成してある
    ことを特徴とする請求項2に記載の通信システム。
  5. 前記通信装置は、通話機能を有し、
    前記鍵管理装置は、更に、
    前記通信装置が、前記一の中継装置を介しての通話中であるか否かを判定する判定手段と、
    通話中ではないと判定した場合に、鍵情報の送信を拒否する手段と
    を備える
    ことを特徴とする請求項2乃至請求項4のいずれかに記載の通信システム。
  6. 前記通信装置及び中継装置に対する通信に係る認証を行う認証装置を更に備え、
    該認証装置は、認証した前記通信装置及び中継装置へ、鍵情報を送信する手段を備え、
    前記中継装置は、更に、前記鍵管理装置が鍵情報を送信しない場合に、前記認証装置に認証を要求する手段を備える
    ことを特徴とする請求項2乃至請求項5のいずれかに記載の通信システム。
  7. 可搬型の通信装置と、該通信装置と通信することが可能な複数の中継装置との間で、通信の秘匿化に要する鍵情報に基づいて通信する場合に、前記通信装置及び中継装置と鍵情報を送受信する鍵管理装置であって、
    前記通信装置と鍵情報に基づいて通信している一の中継装置から送信された鍵情報を受信する手段と、
    前記通信装置との通信が可能となった他の中継装置から、前記通信装置との通信に要する鍵情報の送信の要求を受け付ける手段と、
    受け付けた要求に対して、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信する手段と
    を備えることを特徴とする鍵管理装置。
  8. 通信の秘匿化に要する鍵情報に基づいて通信装置と通信することが可能な中継装置において、
    鍵情報を中継する鍵管理装置と通信する手段と、
    通信装置との通信に用いる鍵情報を、鍵管理装置へ送信する手段と、
    通信していない通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を、鍵管理装置へ要求する手段と、
    要求に対する鍵情報を受信する手段と、
    受信した鍵情報に基づいて、通信装置と通信する手段と
    を備えることを特徴とする中継装置。
  9. 通信装置及び該通信装置と通信することが可能な複数の中継装置と通信するコンピュータに、前記通信装置及び中継装置間の通信の秘匿化に要する鍵情報を、前記通信装置及び中継装置と送受信させるコンピュータプログラムであって、
    コンピュータに、前記通信装置と鍵情報に基づいて通信している一の中継装置から送信された鍵情報を記録させる手順と、
    コンピュータに、前記通信装置との通信が可能となった他の中継装置から、前記通信装置との通信に要する鍵情報の送信の要求を受け付けた場合に、前記一の中継装置から受信した鍵情報を前記他の中継装置へ送信させる手順と
    を実行させることを特徴とするコンピュータプログラム。
  10. 通信の秘匿化に要する鍵情報に基づいて通信装置と通信することが可能なコンピュータにて実行されるコンピュータプログラムにおいて、
    コンピュータに、通信装置との通信に用いる鍵情報を、所定の装置へ送信させる手順と、
    コンピュータに、通信していない通信装置との通信が可能となった場合に、該通信装置との通信に要する鍵情報の送信を、前記所定の装置へ要求させる手順と、
    コンピュータに、要求に対する鍵情報を受信したときに、受信した鍵情報に基づいて、通信装置と通信させる手順と
    を実行させることを特徴とするコンピュータプログラム。
JP2007224324A 2006-10-30 2007-08-30 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム Expired - Fee Related JP4841519B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2007224324A JP4841519B2 (ja) 2006-10-30 2007-08-30 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム
EP07119620A EP1919161A3 (en) 2006-10-30 2007-10-30 Communication method, communication system, key management device, relay device and recording medium
US11/928,691 US7979052B2 (en) 2006-10-30 2007-10-30 Communication method, communication system, key management device, relay device and recording medium

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2006294662 2006-10-30
JP2006294662 2006-10-30
JP2007224324A JP4841519B2 (ja) 2006-10-30 2007-08-30 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2008136170A JP2008136170A (ja) 2008-06-12
JP4841519B2 true JP4841519B2 (ja) 2011-12-21

Family

ID=38996660

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007224324A Expired - Fee Related JP4841519B2 (ja) 2006-10-30 2007-08-30 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム

Country Status (3)

Country Link
US (1) US7979052B2 (ja)
EP (1) EP1919161A3 (ja)
JP (1) JP4841519B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101442531B (zh) * 2008-12-18 2011-06-29 西安西电捷通无线网络通信股份有限公司 一种安全协议第一条消息的保护方法
JP5310297B2 (ja) * 2009-06-24 2013-10-09 ブラザー工業株式会社 通信制御システム、通信制御方法、通信制御装置、通信制御プログラム
JP5762991B2 (ja) * 2012-02-03 2015-08-12 株式会社東芝 通信装置、サーバ装置、中継装置、およびプログラム
US10375615B2 (en) 2012-04-27 2019-08-06 Sony Corporation Information processing device, information processing method, and program
US9998914B2 (en) 2014-04-16 2018-06-12 Jamf Software, Llc Using a mobile device to restrict focus and perform operations at another mobile device
JP6536251B2 (ja) * 2015-07-24 2019-07-03 富士通株式会社 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
US10230700B2 (en) * 2016-08-09 2019-03-12 Lenovo (Singapore) Pte. Ltd. Transaction based message security
JP6825296B2 (ja) * 2016-10-11 2021-02-03 富士通株式会社 エッジサーバ,及びその暗号化通信制御方法
KR102635036B1 (ko) * 2018-11-02 2024-02-08 삼성전자주식회사 전자장치 및 그 제어방법

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9922847D0 (en) 1999-09-27 1999-11-24 Simoco Int Ltd Radio communications
JP3570311B2 (ja) * 1999-10-07 2004-09-29 日本電気株式会社 無線lanの暗号鍵更新システム及びその更新方法
JP3702812B2 (ja) * 2001-06-25 2005-10-05 日本電気株式会社 無線lanシステムにおける認証方法と認証装置
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
JP2003198557A (ja) 2001-12-26 2003-07-11 Nec Corp ネットワーク及びそれに用いる無線lan認証方法
JP2003259417A (ja) * 2002-03-06 2003-09-12 Nec Corp 無線lanシステム及びそれに用いるアクセス制御方法
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7263357B2 (en) 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
BRPI0408619A (pt) 2003-03-27 2006-03-07 Thomson Licensing deslocamento seguro entre pontos de acesso sem fio
JP2005142848A (ja) * 2003-11-06 2005-06-02 Toshiba Corp 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント
US20050243769A1 (en) 2004-04-28 2005-11-03 Walker Jesse R Apparatus and method capable of pre-keying associations in a wireless local area network
BRPI0512734A (pt) * 2004-06-30 2008-04-08 Matsushita Electric Ind Co Ltd métodos de transferência de passagem de comunicação, de processamento de mensagem de comunicação para um roteador de acesso, de processamento de mensagem de comunicação para um segundo roteador de acesso, e de controle de comunicação para um segundo ponto de acesso
JP2006041641A (ja) * 2004-07-22 2006-02-09 Matsushita Electric Ind Co Ltd 無線通信システム
US7236477B2 (en) * 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network
JP2006222549A (ja) * 2005-02-08 2006-08-24 Nec Corp 無線lanシステムにおけるローミング方法および無線lanシステム
US7672459B2 (en) * 2005-02-18 2010-03-02 Cisco Technology, Inc. Key distribution and caching mechanism to facilitate client handoffs in wireless network systems
US20060285519A1 (en) * 2005-06-15 2006-12-21 Vidya Narayanan Method and apparatus to facilitate handover key derivation
US8948395B2 (en) * 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems

Also Published As

Publication number Publication date
US20080102798A1 (en) 2008-05-01
EP1919161A2 (en) 2008-05-07
JP2008136170A (ja) 2008-06-12
EP1919161A3 (en) 2009-11-25
US7979052B2 (en) 2011-07-12

Similar Documents

Publication Publication Date Title
JP4841519B2 (ja) 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム
EP3080948B1 (en) Secure communication channels
KR102295661B1 (ko) 보안 통신방법 및 장치와 이를 채용하는 멀티미디어 기기
CN112995097B (zh) 跨域访问***及方法、装置
EP2611227B1 (en) DATA PROTECTION ON AN Un INTERFACE
JP6842919B2 (ja) ネットワーク接続方法、ホットスポット端末及び管理端末
US7903646B2 (en) Wireless communication system allowing group identification information to be publicly available and to be hidden, wireless access point device, and communication method and program for wireless access point device
US8150370B2 (en) Authentication system, authentication method and authentication data generation program
US20070149170A1 (en) Sim authentication for access to a computer/media network
US20150082021A1 (en) Mobile proxy for webrtc interoperability
US20210034779A1 (en) User-controlled access to data in a communication network
KR20170083039A (ko) 디바이스를 통한 콘텐츠 와이핑 동작 로밍 기법
US8225374B2 (en) System and method for using a communication lease to open a communication channel
US8463239B1 (en) Secure reconfiguration of wireless communication devices
CN101548502A (zh) 加密装置和加密操作方法
US9813424B2 (en) Communication system, server, and client device
JP2012173866A (ja) 認証装置、情報処理システム及びプログラム
JP2005223745A (ja) 無線lan通信システム、無線lan通信方法および無線lan通信プログラム
JP2015517750A (ja) モバイル端末のハンドオーバを実行する方法及びシステム、並びに無線セルラ通信ネットワークにおいて用いるように意図されたモバイル端末
CN112217873B (zh) 设备共享方法、相关设备及存储介质
JP2011044893A (ja) 通信システム、その制御方法、基地局装置及びプログラム
CN113676478A (zh) 一种数据处理方法及相关设备
WO2023226778A1 (zh) 身份认证方法、装置、电子设备及计算机可读存储介质
JP4935260B2 (ja) 通信端末切替方法及びシステム、これに用いる情報処理装置、通信端末、プログラム
CN104994498A (zh) 一种终端应用与手机卡应用交互的方法及***

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111004

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111004

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141014

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees