Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6000164B2 - 部分暗号による通信保護システム及び方法、及び記憶媒体 - Google Patents
[go: Go Back, main page]

JP6000164B2 - 部分暗号による通信保護システム及び方法、及び記憶媒体 - Google Patents

部分暗号による通信保護システム及び方法、及び記憶媒体 Download PDF

Info

Publication number
JP6000164B2
JP6000164B2 JP2013038175A JP2013038175A JP6000164B2 JP 6000164 B2 JP6000164 B2 JP 6000164B2 JP 2013038175 A JP2013038175 A JP 2013038175A JP 2013038175 A JP2013038175 A JP 2013038175A JP 6000164 B2 JP6000164 B2 JP 6000164B2
Authority
JP
Japan
Prior art keywords
data
encryption
plaintext
encrypted
header
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013038175A
Other languages
English (en)
Other versions
JP2014165894A (ja
Inventor
博隆 吉田
博隆 吉田
訓 大久保
訓 大久保
鍛 忠司
忠司 鍛
宏樹 内山
宏樹 内山
恵輔 伯田
恵輔 伯田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2013038175A priority Critical patent/JP6000164B2/ja
Publication of JP2014165894A publication Critical patent/JP2014165894A/ja
Application granted granted Critical
Publication of JP6000164B2 publication Critical patent/JP6000164B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワークに接続した制御システムにおける装置間の通信保護に関し、さらに詳しくは通信データの一部分に対して暗号処理する方法を用いて、装置間の通信を保護するネットワークシステムに関する。
鉄道、電力、水道、ガスといった重要な社会インフラを支える制御システムは、従来閉じたネットワーク内に構築されており、システムでは専用のOSやプロトコルが使用されてきた。これにより、制御システムは、情報システムとは異なり、ウィルスによる攻撃等のセキュリティ脅威にさらされることがない、もしくは攻撃されても被害が発生しないと考えられてきた。
しかしながら、制御システムのネットワークがインターネット等の外部ネットワークへの接続頻度の増加や装置への汎用OSの採用、および制御システムを攻撃対象としたウィルス(スタクスネット SUTAXNET)の出現に伴い、制御システムにおいても情報システムと同様のセキュリティ対策が求められてきている。一方、制御システムに対するセキュリティ基準は、これまで米国NIST、米国NERC、英国CPNIといった各国の研究機関や業界団体が主体となり、各国の基準や業界標準を策定していたが、全世界共通のセキュリティ基準の必要性から、2009年にIEC(International Electrotechnical Commission)において制御システムのセキュリティに関する国際標準の策定が開始された。
このような流れを受け、制御システムにおいては、セキュリティ脅威の顕在化および国際標準の策定により、脅威から制御システムを保護し、顧客からのセキュリティ対策要求に対応するために、セキュリティ機能の導入やセキュリティ対策運用が必要になることが予想される。
このようなセキュリティ対策の一つとして暗号技術が知られている。暗号技術は、格納データや通信データの秘匿性を保護するだけではなく、通信先の認証やデータの改ざん検知も可能であるため、セキュリティ対策の根幹となる技術である。よって、制御システムを保護するために、今後、制御システム内の装置に暗号技術を組み込んでゆくことが必要である。
一方、制御システムは、センサの情報を基にバルブ(valve)やアクチュエータ(actuator)といった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。さらに、周期的に処理を行い、かつ実行周期は短いことが通例である。従って、データの更新頻度が高く、データの有効期限が短いことが典型的であり、短期間での機密性を確保することが必要であり、全データを暗号化する必要はない場合が多い。一方、制御システムに暗号技術を適用する際には、上述した短周期処理のため、暗号に課される速度要件は厳しい。情報システムで行うように全データを長期間保護する方法で暗号化を実施すると、速度要件を満たすことは非常に困難である。
以上より、制御システムでは、一定長のデータ当たりの暗号処理の回数を削減する、すなわち、データを暗号処理の対象部と暗号処理の非対象部に切り分け、対象部のみに暗号化を行う技術として部分暗号が有力と考えられる。部分暗号に関しては、特許文献1が知られている。
特開2011−232604号公報
上記従来技術を制御システムに適用する際には以下の二つの課題が挙げられる。
・安全性の向上に関する課題
制御システムの通信に部分暗号を適用する際には、暗号処理の対象部と暗号処理の非対象部の切り分け方法に関し、自由度が多い方が、その自由度に多様性があるので、攻撃者にとってより攻撃が困難になるため、安全性が向上すると考えられる。
しかし、特許文献1は、文書等のコンテンツ保護を目的とした暗号化方法で、文書を暗号化した後であっても、文書の概要がわかることを特徴としている。まず、制御システムで扱うデータは、バイナリデータであることが多いので、特許文献1の方法において、区切りを厳密かつ明確に指定できるかどうかは課題である。特許文献1における、暗号処理の対象部と暗号処理の非対象部の区切り方法としては、偶数文字のみを暗号化し、奇数文字は暗号化しないことによって、区切るという方法が挙げられていた。しかし、目的を保ちつつ区切る方法を自由には選べず、大きな制限が生じる。このように、特許文献1では、暗号処理の対象部と暗号処理の非対象部の切り分け方の自由度が小さいため、安全性(機密性)の向上の寄与は低いという課題がある。
・性能向上に関する課題
また、上述したように、制御システムの通信に部分暗号を適用する際には、暗号関連処理に高速性が要求される。特許文献1の部分暗号の方法は、通常の情報セキュリティ分野で行われるように、文書の長期保護を目的としているために、データ全体に対して暗号処理の非対象部の割合を極限まで大きくすることは想定されておらず、この割合は一定の割合以下、たとえば、文書の全体に対する概要が占める割合以下に程度に抑えることが想定される。このような制限により、結局データの大半(7割〜8割等)を暗号化する必要があるという場合が典型的であり、暗号処理の速度向上の点では課題となる。
また、特許文献1では、平文から切り出した暗号対象データを暗号化した後に、元のデータ位置に置き換える処理が実行される。この置き換え処理は、暗号処理の性能を最適化する際の障害となり得る。
本発明では、制御装置とネットワークから構成される通信保護システムにおいて、送信制御装置と受信制御装置の通信を、部分的な暗号処理によって保護する手段を提供する。送信制御装置は、平文データを部分的に暗号処理して変換し、送信用データを作成する。この際に、送信先に応じた暗号設定情報を用いた暗号処理を行う。送信用データには、暗号ヘッダも含む。暗号ヘッダには、暗号対象部と暗号非対象部を指定するフィルタ情報も含まれる。本発明では、フィルタ情報で定義するデータサイズを16バイト程度に設定可能としており、制御システムでの短い周期の処理 (暗号として高速性能が要求される) に対応できるよう、部分暗号の暗号非対象部の全データに対する割合を大きくすることができる。フィルタ情報は、16バイト等の任意のバイト列を扱うことができるので、既存技術の区切りに比べて多くの種類の区切りを作ることができ、安全性もより向上する。
また、受信制御装置は、受け取ったデータを、部分的に復号処理して変換し、受信データを作成する。この際に、暗号ヘッダ部を取得し、フィルタ情報を取得し、受信制御装置が予め格納するアルゴリズムテーブルや鍵情報テーブルなどの部分暗号処理に必要な暗号関連情報により、受信データを部分的に復号し、元の平文データを取得する。
暗号処理の対象部と暗号処理の非対象部の切り分け方に関する情報は、フィルタ情報として、送信用データに含ませるため、暗号化をさらに高速化する必要がある場合、特許文献1のような、暗号処理後の暗号ブロックの置き換え処理を省略することにより、暗号化の高速化が実現できる。より具体的には、送信用データにおいて、暗号適用後のデータをまとめて先頭に寄せて配置し、その直後に暗号処理の対象部データを配置することにより実現できる。
本発明によれば、部分的な暗号化により通信路の安全性確保を行う制御システムにおいて、実行周期が短く、高速な処理な暗号性能が要求される状況においても、データの有効期限に応じた安全性に応じた部分暗号方法を選択することができる。また、部分暗号領域、暗号アルゴリズム、鍵情報等の選択に関しても、送信先に応じて設定可能なため、制御の用途に即した、自由度の高い選択が可能となり、安全性と性能を最適化できる。
本発明の第一の実施形態が適用された部分暗号による通信保護された通信保護システムの構成を例示する図である。 図1に示す送信装置と受信装置のハードウェア構成を例示する図である。 送信制御装置が送信データ変換を行う処理フローを例示する図である。 受信制御装置が受信データ変換を行う処理フローを例示する図である。 送信制御装置が暗号実行処理を行う処理フローを例示する図である。 受信制御装置が復号実行処理を行う処理フローを例示する図である。 送信制御装置がMAC生成実行処理を行う処理フローを例示する図である。 受信制御装置がMAC検証実行処理を行う処理フローを例示する図である。 送信制御装置が送信データ変換を作成する暗号ヘッダのデータ構成を例示する図である。 送信制御装置が送信データ変換を行う変換後のデータ構成を例示する図である。 送信制御装置で行う部分暗号による暗号実行の概要を例示する図である。 複数パケットからなる平文の部分暗号による暗号実行の概要を示す図である。 複数パケットからなる平文の改ざん検知処理の概要を示す図である。 暗号通信種別に応じた、送信時のデータの流れを示す図である。 暗号通信種別に応じた、受信時のデータの流れを示す図である。
本発明の一実施形態について説明する。なお、これにより本発明が限定されるものではない。
(システム構成)
図1は、本発明の第一の実施形態が適用された部分暗号による通信保護システムの構成図である。
通信保護システム100は、送信装置110、ネットワーク120、受信装置130、を有する。なお、送信装置110、及び受信装置130はシステム100全体ではそれぞれ複数存在するが、図1ではシステム100の一部として、一つのネットワーク(120)に1台の送信装置と1台の受信装置が接続されている例を示す。
(送信装置)
送信装置110は、送信データを生成する送信データ生成部111、予め暗号設定テーブル204に格納されている暗号アルゴリズム設定を取得する暗号設定取得部112、暗号ヘッダを生成する暗号ヘッダ生成部113、情報の暗号処理またはMAC(Message Authenticate Code、メッセージ認証のための情報)生成を行う暗号処理部114、暗号通信種別を判定する暗号通信種別判定部115、秘密鍵および関連する情報を格納した鍵情報記憶装置118、外部との通信を行う通信部117、利用者の指示(ポリシー)に基づいて平文から暗号化対象を抽出するデータフィルタ部116、及び、入力データのフォーマットを判定する入力データフォーマット判定部119を有し、更に、秘密鍵および関連する情報を鍵情報記憶装置118内の鍵情報データベースに保存し、これらの処理部を用いて暗号送信データの送信を行う。なお、データフィルタ部116は、フィルタリングの仕方を自動生成することもある。
(受信装置)
受信装置130は、受信データを生成する受信データ生成部131、暗号アルゴリズムを受信データの暗号ヘッダから取得する暗号設定取得部132、暗号ヘッダを検証する暗号ヘッダ検証部133、情報の復号処理またはMAC(Message Authenticate Code)の検証を行う復号処理部134、暗号通信種別を判定する暗号通信種別判定部135、秘密鍵および関連する情報を登録する鍵情報テーブル303、外部との通信を行う通信部137、入力データのフォーマットを判定する入力データフォーマット判定部139を有し、送信装置110から送信された暗号送信データを受信し、このデータから必要なデータを切り出し、通信種別に応じ、復号化処理、MAC検証処理を行う。また、暗号設定取得部132で取り出した暗号アルゴリズムIDと予め暗号アルゴリズムを保持しているアルゴリズムテーブル306の内容とが照合される。
なお、送信装置110、受信装置130は、情報処理が可能なコンピュータ(情報処理装置)である。
図2は、送信装置と受信装置のハードウェアの構成図の例である。
送信装置(110)と受信装置(130)は、それぞれCPU(11)、メモリ(12)、HDD(Hard Disk Drive)(13)、入力装置(14)、出力装置(15)、通信装置(16)、とから構成することができる。
(各種情報の構成)
後述する各処理で用いられる各種情報の構成を説明する。
図9は、本発明の第一の実施形態が適用された部分暗号による通信保護システムにおいて、暗号ヘッダ生成部(113)で生成される暗号ヘッダの構成を例示する図である。以下では、図9に示す表の「#」の番号nを用いて、各項目の符号を(900−n)(n=1〜9)と表記する。
暗号ヘッダ(900)は、暗号通信の有無を示す情報である暗号通信フラグ(900−1)と、暗号通信時の処理内容を示す情報である通信処理ID(900−2)と、暗号化を実施するデータの位置を特定する情報であるフィルタ情報(900−3)と、暗号化を実施する際に利用するアルゴリズムを識別する情報である暗号用アルゴリズムID(900−4)と、暗号化を実施する際に利用する鍵を識別する情報である暗号用鍵ID(900−5)と、暗号化を実施する際に利用する初期ベクトルの情報である暗号用初期ベクトル(900−6)と、改ざん検知を実施する際に利用するアルゴリズムを識別する情報である改ざん検知用アルゴリズムID(900−7)と、改ざん検知を実施する際に利用する鍵を識別する情報である改ざん検知用鍵ID(900−8)と、改ざん検知を実施する際に利用する初期ベクトルや処理データの情報である改ざん検知用初期ベクトル/改ざん検知用処理データ(900−9)から構成される。
暗号通信フラグ(900−1)が「01」の場合には、本実施例の暗号化及び復号化の処理を行う。通信処理ID(900−2)は暗号通信種別判定部115、135で使用される。フィルタ情報(900−3)はデータフィルタ部116、136で使用される。暗号用アルゴリズムID(900−4)、暗号用鍵ID(900−5)、及び暗号用初期ベクトル(900−6)は暗号設定情報であり、暗号設定取得部112、132によって暗号ヘッダ(900)から取り出され、暗号処理部114、及び復号処理部134で使用される。暗号通信フラグ(900−1)、通信処理ID(900−2)、及びフィルタ情報(900−3)も暗号化及び復号化に必要な情報であるため、暗号設定情報に含まれる。
改ざん検知用アルゴリズムID(900−7)、改ざん検知用鍵ID(900−8)、及び改ざん検知用初期ベクトル/改ざん検知用処理データ(900−9)はMACであり、暗号処理部114、及び復号処理部134で使用される。
なお、暗号通信フラグ(900−1)が「00」の場合には、本実施例の暗号化及び復号化の処理は行われず、図9のデータ(900−2〜9)は存在しない。
ここで、暗号ヘッダ(900)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、暗号ヘッダ(900)の構成要素の順序は上記に限定されるものではない。
図10は、本発明の第一の実施形態が適用された部分暗号による通信保護システムにおいて、送信装置(110)と受信装置(130)間で通信される暗号送信データ/暗号受信データの構成を例示する図である。以下では、図10に示す表の各行の番号nを用いて、各項目の符号を(1000−n)(n=1〜3)と表記する。
暗号送信データ/暗号受信データ(1000)は、暗号通信の有無や暗号アルゴリズム、暗号鍵等を示す情報 である暗号ヘッダ(1000−1)と、送受信するデータである送信データ/受信データ(1000−2)と、送信データ/受信データのMACデータ(1000−3)から構成される。
暗号ヘッダ(1000−1)には、図9に示した暗号設定情報(900−3〜6)が含まれる。送信データ/受信データ(1000−2)には、平文、あるいは、暗号化対象以外の他の平文と暗号データとの組が含まれる。MACデータ(1000−3)には、図9に示したMACデータ(900−7〜9)が含まれる。
ここで、暗号送信データ/暗号受信データ(1000)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、暗号送信データ/暗号受信データ(1000)の構成要素の順序は上記に限定されるものではない。
(処理フロー)
本実施形態の部分暗号による通信保護システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置の送信装置110と受信装置130の記憶装置に格納されたプログラムがメモリにロードされ、CPUにより実行されることにより、部分暗号による通信保護システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
各処理の説明の前に、本発明における、部分暗号による暗号実行の概要を説明する。
図11は、本発明の第一の実施形態が適用された部分暗号による通信保護システムにおいて、送信装置(110)において実施される部分暗号による暗号実行の概要を例示する図である。本暗号実行において、平文パケット(1100)は、データフィルタ処理(1001)により、いくつかの暗号対象データからなるパケット(1102)に変換され、その後、暗号アルゴリズム(1103)により、暗号化され、いくつかの暗号データからなる暗号ブロック(1104)が出力される。このデータは、暗号送信データ送信部(1105)により、送信データ(1106)に変換される。送信データ(1106)は、暗号ヘッダ(1107)と、暗号ブロック(1104)と、平文パケット(1100)における暗号処理の非対象領域(他の平文)(1109)から構成され、これらのデータは、図11に示すように並べ替えられる。即ち、送信データでは、暗号設定情報を含む暗号ヘッダ(1107)、いくつかの暗号データが格納される暗号化領域(1108)、及び暗号処理の非対象領域(他の平文)(1109)の順に各データが並べ替えられる。
ここで、送信データ(1106)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、送信データ(1106)の構成要素の順序は上記に限定されるものではない。
図3は、図1に示した送信装置110における送信データ変換の処理フローを示した図である。
はじめに、送信装置(110)は、通信部117によって、送信先ID、平文データサイズ、平文データを入力装置14から入力し(201)、入力データフォーマット判定部119により、入力されたデータのフォーマットや、例えば平文のデータサイズの値の範囲が適切かどうか判定し(203)、入力データフォーマットがエラーの場合は、それをエラーメッセージとして出力する(202)。なお、平文は、予め記憶装置に格納されていて、送信データ変換の対象となる平文を読み出す場合もある。
次に、入力データフォーマットにエラーがない場合は、暗号設定取得部112によって、暗号設定テーブル(204)より、入力された送信先IDに関連付けられた暗号設定情報を取得(205)する。この際、暗号設定情報の取得エラーがあった場合は、それをエラーメッセージとして出力する(206)。次に、暗号ヘッダ生成部113によって、取得した暗号設定を用いて暗号ヘッダ(図9参照)を生成する(207)。
次に、暗号通信種別判定部115によって、取得した暗号設定情報を用いて、暗号通信種別(改ざん検知のみ(210)、暗号のみ(250)、改ざん検知+暗号(208)のいずれか)を判定する(209)。ここで、暗号通信種別の結果に応じて、3つの処理フローが生じる。
まず、暗号通信種別が改ざん検知のみと判定された場合(210)は、送信データ生成部111によって、暗号ヘッダ、暗号ブロック、及び入力された平文データ(他の平文)を図11に示すように並べ替えながら組み合わせて送信データを生成し(214a)、MAC生成実行処理(217a)(図7参照)を呼び出し、取得した暗号設定情報と生成した送信データを引き渡して、暗号処理部114によってMAC生成を実行する。
暗号通信種別(209)が暗号のみと判定された場合(250)は、データフィルタ部116によって、取得した暗号設定情報に記載されているフィルタ情報を用いて、入力された平文データから暗号化を行うデータを切り出すデータフィルタを実行し(211a)、暗号処理部114によって、暗号実行処理(212a)(図4参照)を呼び出し、取得した暗号設定情報と切り出したデータを引き渡して暗号化を実行する。
暗号通信種別(209)が、改ざん検知+暗号と判定された場合(208)は、データフィルタ部116によって、取得した暗号設定に記載されているフィルタ情報を用いて、入力された平文データの暗号化を行うデータを切り出すデータフィルタを実行し(211b)、暗号処理部114によって、暗号実行処理(212b)(図5参照)を呼び出し、取得した暗号設定情報と切り出したデータを引き渡し、送信データ生成部111によって、暗号ヘッダ、暗号ブロック、及び入力された平文データ(他の平文)を図11に示すように並べ替えながら組み合わせて送信データを生成し(214b)、暗号処理部114によって、MAC生成実行処理(217b)(図6参照)を呼び出し、取得した暗号設定情報と生成した送信データを引き渡してMAC生成を実行する。
最後に、暗号ヘッダを再度取得し、暗号データと暗号対象外データとMACを組み合わせて暗号送信データを生成し(219)、暗号送信データサイズ、暗号送信データ(220) を出力する。
以上に述べた、暗号通信種別に応じた、送信時のデータの流れを図14に示す。
(1)改ざん検知の場合は、暗号設定情報を含む暗号ヘッダと平文とからなる送信データに、MAC生成実行処理(217a)によりMACを付加して暗号送信データを生成して送信する。
(2)暗号のみの場合は、データフィルタ(211a)により平文から抽出した暗号化対象データを、暗号設定情報に基づいて暗号化して暗号データを生成し、暗号ヘッダ、暗号データ、及び暗号化対象データ以外の平文(他の平文)からなる暗号送信データを生成して送信する。
(3)改ざん検知+暗号の場合は、上記(1)と(2)の処理を行って、暗号ヘッダ、暗号データ、暗号化対象データ以外の平文(他の平文)、及びMACからなる暗号送信データを生成して送信する。
図4は、図1に示した受信装置130における受信データ変換の処理フローを示した図である。
はじめに、受信装置(130)は、通信部137によって、暗号受信データサイズ、暗号受信データを入力装置14から入力する(301)。次に、暗号ヘッダ検証部133によって、入力された暗号受信データから暗号ヘッダを切り出して取得する(302)。次に、入力データフォーマット判定部139によって、暗号ヘッダに記載されている情報のパラメータの値が適切かどうか、アルゴリズムテーブル(303)や鍵情報テーブル(306)を用いて判定する(305)。この際、暗号ヘッダフォーマットがエラーの場合は、それをエラーメッセージとして出力する(304)。
次に、暗号ヘッダフォーマットにエラーがない場合は、暗号設定取得部132によって、暗号ヘッダから暗号設定情報(暗号通信種別、アルゴリズムID、鍵ID、初期ベクトル(暗号化に関する公開されているパラメータ)等)を取得する(308)。
次に、暗号通信種別判定部135によって、取得した暗号設定情報を用いて、暗号通信種別(改ざん検知のみ(310)、暗号のみ(312)、改ざん検知+暗号(307)のいずれか)を判定する(309)。ここで、暗号通信種別の結果に応じて、3つの処理フローが生じる。
まず、暗号通信種別が改ざん検知のみと判定された場合(310)は、受信データ生成部131によって、入力された暗号受信データからMACを分離し、受信データを生成し(311a)、復号処理部134によって、分離したMACを用いてMAC検証実行処理を呼び出し、取得した暗号設定情報と生成した受信データとMACを引き渡してMAC検証を実行する(314a)。
暗号通信種別が暗号通信種別(309)で暗号のみと判定された場合(312)は、データフィルタ部136によって、取得した暗号設定情報に記載されているフィルタ情報を用いて入力された暗号受信データから復号を行うデータを切り出すデータフィルタを実行し(315a)、復号処理部134により、復号実行処理(図6参照)を呼び出し、取得した暗号設定情報と切り出したデータを引き渡して復号を実行する(318a)。
暗号通信種別(309)が、改ざん検知+暗号と判定された場合(307)は、受信データ生成部131により、入力された暗号受信データからMACを分離し、受信データを生成し(311b)、復号処理部134により、分離したMACを用いてMAC検証実行処理を呼び出し、取得した暗号設定情報と生成した受信データとMACを引き渡してMAC検証を実行する(314b)。データフィルタ部136により、取得した暗号設定情報に記載されているフィルタ情報を用いて、入力された暗号受信データから復号を行うデータを切り出すデータフィルタを実行し(315b)、復号処理部134により、復号実行処理を呼び出し、取得した暗号設定と切り出したデータを引き渡して復号を実行する(318b)(図6参照)。
最後に、復号されたデータと復号対象外データを組み合わせて平文受信データを生成し(320)、平文受信データサイズ、及び平文受信データを出力する(321)。
以上に述べた、暗号通信種別に応じた、受信時のデータの流れを図15に示す。
(1)改ざん検知の場合は、暗号設定情報を含む暗号ヘッダ、平文、及びMACからなる暗号受信データから受信データである平文を抽出して出力し、暗号受信データから分離したMACを用いてMAC検証実行(314a)により改ざんの有無を判定する。
(2)暗号のみの場合は、暗号設定情報を含む暗号ヘッダ、他の平文、及び暗号データからなる暗号受信データから抽出した他の平文と暗号データから、データフィルタ(315a)により復号化対象データを抽出し、暗号受信データの暗号ヘッダから取り出した暗号設定情報に基づいて復号化対象データを復号して復号データを生成し、暗号受信データから抽出した他の平文と復号データとを合成して平文受信データを生成して出力する。
(3)改ざん検知+暗号の場合は、上記(1)の処理を行ってMAC検証による改ざんの判定を行うとともに、上記(2)の処理を行って平文受信データを出力する。受信側の利用者は、改ざんの判定結果を参照して、平文受信データの有効性を判断する。
(詳細処理フロー)
図5は、図3の送信データ変換処理における暗号実行(212)の処理フローを示した図である。
はじめに、本処理は、アルゴリズムID、鍵ID、初期ベクトル、データ長、データ を入力装置14から入力する(400)。次に、入力されたデータのフォーマットや値の範囲が適切かどうか判定する(401)。フォーマット判定の際にエラーが生じた場合は、それをエラーメッセージとして出力する(403)。
次に、フォーマット判定の際にエラーがなかった場合は、入力されたデータの長さが16の倍数であって、かつ入力されたデータの最後のバイトが0x80(16進数表記の区切り文字、delimiter)でないかを判定する(402)。「入力されたデータの長さが16の倍数である」を条件A、「入力されたデータの最後のバイトが0x80である」を条件Bとすると、上記の判定条件は、A∧¬Bで表わされる。「∧」は集合の積、「¬B」は集合Bの補集合(否定)を表す。なお、AとBはそれぞれ他の条件でもよい。
A∧¬Bが真(条件402が成立)の場合(405)は、何もせず(NOP)に次の暗号化処理(407)に進む。
A∧¬Bが偽(条件402が成立しない)の場合(¬A、又はA∧Bの場合)(404)は、データパディング(padding)処理(406)を行い、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する。
ここで、上記の条件が成立しない場合、即ち、A∧¬Bが偽の場合(¬(A∧¬B))は、¬(A∧¬B)=(¬A)∨B=¬A+B=¬A+¬A・B+A・B=¬A・(1+B)+A・B=¬A+A・B=(¬A)∨(A∧B)と書き換えられ、A∧¬Bが偽であるとは、Aではない、あるいは、AであってかつBである、という条件に言い換えられる。
即ち、入力されたデータの長さが16の倍数でない場合(405)は(¬A)、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00(余白、padding)を付与する。
入力されたデータの最後のバイトが0x80の場合には、データの長さが16の倍数であっても(A∧B)、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する(406)。
次に、暗号初期化処理(407)を呼び出し、入力された暗号設定情報を引き渡し、暗号初期化を実行する。この際、暗号初期化エラー が生じた場合は、それをエラーメッセージとして出力する(408)。
次に、暗号処理を呼び出し、入力されたデータを引き渡して暗号処理を実行する(410)。暗号処理の際、暗号処理エラー が生じた場合は、それをエラーメッセージとして出力する(409)。
最後に、暗号データ長、及び暗号データを出力する(411)。
図6は、図4の受信データ変換処理における復号実行(318)の処理フローを示した図である。
はじめに、本処理は、アルゴリズムID、鍵ID、初期ベクトル、暗号データ長、暗号データ を入力装置14から入力する(500)。次に、入力されたデータのフォーマットや値の範囲が適切かどうか判定する(501)。この際、入力データフォーマットエラーが生じた場合は、それをエラーメッセージとして出力する(502)。
次に、暗号初期化処理(503)を呼び出し、入力された暗号設定を引き渡して暗号初期化を実行する。この際、暗号初期化エラーが生じた場合は、それをエラーメッセージとして出力する(504)。
次に、復号処理を呼び出し、入力されたデータを引き渡して復号処理を実行する(505)。復号処理の際、エラーが生じた場合は、それをエラーメッセージとして出力する(506)。
次に、復号されたデータの最後から順にスキャンし、最後のバイトから16バイト以内に0x80が出現するかを検証し、0x80が存在する場合にはパディングが付与されているかを判定する(507)。パディングが付与されている場合(509)は、最後のバイトから0x80が出現するバイトまでのデータを除去する、パディング除去を実行する(510)。
最後に、平文データ長と平文データを出力する(511)。
図7は、図3の送信データ変換処理におけるMAC生成処理実行(217)の処理フローを示した図である。
はじめに、本処理は、アルゴリズムID、鍵ID、初期ベクトル、データ長、データを入力装置14から入力する(600)。次に、入力されたデータのフォーマットや値の範囲が適切かどうか判定する(601)。この際、入力データフォーマットエラーが生じた場合は、それをエラーメッセージとして出力する(602)。
次に、フォーマット判定の際にエラーがなかった場合は、入力されたデータの長さが16の倍数であって、かつ入力されたデータの最後のバイトが0x80でないかを判定する(603)。
図3に示すように、MAC生成実行(217)の前に送信データ生成(214)が行われ、そこでは、図11に示すようにデータの並べ替えが行われるため、MAC生成処理でも、再度、データ長判定(603)を行う必要がある。従って、データ長判定(603)では、特に、データの長さが16の倍数かどうかがチェックされる。
図5の処理と同様に、「入力されたデータの長さが16の倍数である」を条件A、「入力されたデータの最後のバイトが0x80である」を条件Bとすると、上記の判定条件は、A∧¬Bで表わされる。「∧」は集合の積、「¬B」は集合Bの補集合(否定)を表す。
A∧¬Bが真(条件603が成立)の場合(605)は、何もせず(NOP)に次の暗号初期化処理(607)に進む。
A∧¬Bが偽(条件603が成立しない)の場合(¬A、又はA∧Bの場合)(604)は、データパディング(padding)処理(606)を行い、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する。
ここで、上記の条件が成立しない場合は、図5に関する説明で述べたように、Aではない、あるいは、AであってかつBである、という条件に言い換えられる。
即ち、入力されたデータの長さが16の倍数でない場合(604)は(¬A)、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する。
入力されたデータの最後のバイトが0x80の場合にはデータの長さが16の倍数であっても(A∧B)、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する(606)。
暗号初期化処理を呼び出し、入力された暗号設定情報を引き渡し暗号初期化を実行する(607)。この際、暗号初期化エラー が生じた場合は、それをエラーメッセージとして出力する(608)。
次に、MAC生成処理を呼び出し、入力されたデータを引き渡しMAC生成処理を実行する(609)。この際、エラーが生じた場合は、それをエラーメッセージとして出力する(610)。
最後に、MACデータ長、MACデータを出力する(611)。
図8は、図4の受信データ変換処理におけるMAC検証処理実行(314)の処理フローを示した図である。
はじめに、本処理は、アルゴリズムID、鍵ID、初期ベクトル、データ長、データ、MACデータ長、MACデータを入力装置14から入力する(700)。次に、入力されたデータのフォーマットや値の範囲が適切かどうか判定する(701)。この際、入力データフォーマットエラーが生じた場合は、それをエラーメッセージとして出力する(702)。
次に、フォーマット判定の際にエラーがなかった場合は、入力されたデータの長さが16の倍数であって、かつ入力されたデータの最後のバイトが0x80でないかを判定する(703)。
図4に示すように、MAC検証実行(314)の前に受信データ生成(311)が行われ、そこでは、図11に示すようにデータの並べ替えが行われたデータが生成されるため、MAC検証実行でも、再度、データ長判定(703)を行う必要がある。従って、データ長判定(703)では、特に、データの長さが16の倍数かどうかがチェックされる。
図5の処理と同様に、「入力されたデータの長さが16の倍数である」を条件A、「入力されたデータの最後のバイトが0x80である」を条件Bとすると、上記の判定条件は、A∧¬Bで表わされる。「∧」は集合の積、「¬B」は集合Bの補集合(否定)を表す。
A∧¬Bが真(条件703が成立)の場合(705)は、何もせず(NOP)に次の暗号初期化処理(707)に進む。
A∧¬Bが偽(条件703が成立しない)の場合(¬A、又はA∧Bの場合)(704)は、データパディング(padding)処理(706)を行い、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する。
ここで、上記の条件が成立しない場合は、図5に関する説明で述べたように、Aではない、あるいは、AであってかつBである、という条件に言い換えられる。
即ち、入力されたデータの長さが16の倍数でない場合(704)は(¬A)、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する。
入力されたデータの最後のバイトが0x80の場合にはデータの長さが16の倍数であっても(A∧B)、データの後に0x80を付与し、データの長さが16の倍数となるまで0x00を付与する(706)。
次に、暗号初期化処理を呼び出し、入力された暗号設定情報を引き渡し暗号初期化を実行する(707)。この際、暗号初期化エラーが生じた場合は、それをエラーメッセージとして出力する(708)。
次に、MAC検証処理を呼び出し、入力されたデータおよびMACデータを引き渡し、MAC検証処理を実行する(709)。この際、エラーが生じた場合は、それをエラーメッセージとして出力する(710)。
図12は、本発明の第一の実施形態が適用された部分暗号による通信保護システムにおいて、送信装置(110)において実施される複数パケットから成る平文の部分暗号による暗号実行の概要を示す図である。本暗号実行において、平文は、平文パケット1(1200)、平文パケット2(1201)、及び平文パケット3(1202)の3つのパケットから構成される。これらは、全て暗号処理(1202)されるのではなく、たとえば、平文パケット2(1201)のみ暗号処理(1200)が実施され、暗号パケット(1203)が生成される。即ち、平文パケット2(1201)では、図9の暗号通信フラグ(900−1)は「01」(暗号通信有)であるが、平文パケット1(1200)、及び平文パケット3(1202)では、暗号通信フラグ(900−1)は「00」(暗号通信無)である。
ここで、平文の構成要素は上記のパケット群に限定されるものではない。また、暗号処理(1202)対象平文パケットは上記に限定されるものではない。
また、上記は、3パケットに1回暗号化処理を実施するが、10パケットに1回等、この暗号処理回数を増減させてもよい。上記は、制御系は、データの有効期間が短く、暗号化する頻度も低くて良い場合がありうることに基づく。また、図12の暗号実行は、平文の内容とは関係なく、定期的に暗号化して内容を撹乱することで情報を秘匿化する目的で行われる。
図13は、本発明の第一の実施形態が適用された部分暗号による通信保護システムにおいて、送信装置(110)において実施される複数パケットから成る平文の改ざん検知処理の概要を例示する図である。本改ざん検知処理において、平文は、平文パケット1(1300)、平文パケット2(1201)、及び平文パケット3(1202)の3つのパケットから構成される。これらのパケットは、単一でその都度、改ざん検知処理(1303)が実行されるのではなく、これらのパケットを一括りとして改ざん検知対象データと見なした場合の改ざん検知処理を行う。即ち、3つの平文パケットのそれぞれからMACが抽出され、3つのMACに対して一括してMAC検証(314a、b)を実行する。
ここで、平文パケットの構成要素数は上記に限定されるものではない。
上記は、制御系は、複数回の命令によって実行され、複数の命令が 確実に実施されることが重要であり、上記のようなパケットの括りで改ざんされないことを確認することが重要なことに基づく。また、図13のように、複数個の平文に対してまとめて改ざん検知を実行することにより、個々の平文に対してその都度改ざん検知を行う煩雑さが低減される。
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。そのような場合においてもシステム全体において行う処理に本質的な変化はない。
11:CPU、12:メモリ、13:ハードディスクドライブ、14:入力装置、15:出力装置、16:通信装置、100:通信保護システム、110:送信装置、111:送信データ生成部、112、132:暗号設定取得部、113:暗号ヘッダ生成部、114:暗号処理部、115、135:暗号通信種別判定部、116、136:データフィルタ部、117、137:通信部、119、139:入力データフォーマット判定部、120:ネットワーク、130:受信装置、131:受信データ生成部、133:暗号ヘッダ検証部、134:復号処理部、204:暗号設定テーブル、118:鍵情報記憶装置、303:鍵情報テーブル、306:アルゴリズムテーブル

Claims (8)

  1. 部分的な暗号処理によりデータを保護する通信保護システムは、
    データを送信する少なくとも1台の送信装置、
    前記データを受信する少なくとも1台の受信装置、及び
    前記送信装置と前記受信装置とを接続するネットワークを備え、
    前記送信装置は、入力された平文データを暗号送信データに変換するため
    暗号設定を格納する暗号設定テーブルと、送信先IDに紐づく暗号設定を前記暗号設定テーブルから取得する暗号設定取得部と、取得した前記暗号設定を用いて暗号ヘッダを生成する暗号ヘッダ生成部と、前期暗号設定に記載されているフィルタ情報を用いて前記平文データから暗号処理対象データを切り出すデータフィルタ部と、前記暗号処理対象データに対し、前記暗号設定に基づき処理して暗号データを得る暗号実行処理部と、前記暗号ヘッダと前記暗号データと前記平文データの前記暗号処理対象データ以外の平文である他の平文データを組み合わせて、前記暗号送信データを生成する暗号送信データ生成部と、を備え、
    前記暗号設定は、改ざん検知のみ、暗号のみ、改ざん検知+暗号のいずれかを示す暗号通信種別を含み、
    前記送信装置は、
    前記フィルタ情報に基づき前記暗号処理対象データ前記平文データに対する割合が設定可能であり
    前記受信装置は、暗号受信データを平文受信データに変換するため
    暗号アルゴリズム情報を格納するアルゴリズムテーブルと、鍵情報を格納する鍵情報テーブルと、前記暗号受信データから前記暗号ヘッダを取得して、検証する暗号ヘッダ検証部と、前記アルゴリズムテーブル及び前記鍵情報テーブルを用いて、エラーなしと検証した前記暗号ヘッダから前記暗号設定を取得する暗号設定取得部と、取得した前記暗号設定に記載されている前記フィルタ情報を用いて、前記受信データから復号処理対象外データと復号処理対象データに切り、当該復号処理対象データを切り出すデータフィルタ部と、前記復号処理対象データに対し、前記暗号設定に基づき復号処理する復号実行処理部と、前記復号実行処理部で復号されたデータと前記復号処理対象外データを組み合わせて、前記平文受信データを生成する平文受信データ生成部と、を備え、
    前記送信装置と前記受信装置は、
    取得した前記暗号設定を用いて、前記暗号通信種別が、改ざん検知のみ、暗号のみ、改ざん検知+暗号のいずれかを判定し、判定結果に基づき対応する処理を実行する、
    ことを特徴とする部分暗号による通信保護システム。
  2. 前記暗号通信種別が暗号のみ或いは改ざん検知+暗号の場合において、
    前記平文データは複数の平文パケットで構成され、前記複数の平文パケットの中の少なくとも1つの特定の平文パケットに対して暗号処理を行う、
    ことを特徴とする請求項1記載の部分暗号による通信保護システム。
  3. 前記暗号通信種別が改ざん検知のみ或いは改ざん検知+暗号の場合において、
    前記平文データは複数の平文パケットで構成され、前記複数の平文パケットに対して、改ざんの検知処理を一括して実施する、
    ことを特徴とする請求項記載の部分暗号による通信保護システム。
  4. データを送信する少なくとも1台の送信装置と前記データを受信する少なくとも1台の受信装置とがネットワークを介して接続されたネットワークシステムにおいて、暗号通信種別に応じて、部分的な暗号処理によりデータを保護する通信保護方法であって、
    前記送信装置は、
    前記暗号通信種別改ざん検知のみの場合は、
    暗号化のための暗号設定情報を含む暗号ヘッダと平文とからなる送信データに、メッセージ認証のためのMACを付加して暗号送信データを生成して前記受信装置に送信し、
    前記暗号通信種別暗号のみの場合は、
    データフィルタにより平文から暗号化対象データを抽出し、
    前記暗号設定情報に基づいて前記暗号化対象データを暗号化して暗号データを生成し、
    前記暗号ヘッダ、前記暗号データ及び暗号化対象データ以外の平文である他の平文からなる暗号送信データを生成して前記受信装置に送信し、
    前記暗号通信種別が改ざん検知+暗号の場合は、
    データフィルタにより平文から暗号化対象データを抽出し、
    前記暗号設定情報に基づいて前記暗号化対象データを暗号化して暗号データを生成し、
    前記暗号ヘッダ、前記暗号データ及び前記暗号化対象データ以外の平文である他の平文に、メッセージ認証のためのMACを付加して暗号送信データを生成して前記受信装置に送信し、
    前記送信装置は、前記暗号設定情報に基づき前記暗号処理対象データの前記平文に対する割合が設定可能であり、
    前記受信装置は、
    前記暗号通信種別改ざん検知のみの場合は、
    前記送信装置から、前記暗号ヘッダ、前記平文及び前記MACからなる暗号受信データを受信し、
    前記暗号受信データから受信データである前記平文を抽出して出力し、
    前記暗号受信データから分離した前記MACを用いて改ざんの有無を判定し、
    前記暗号通信種別暗号のみの場合は、
    前記送信装置から、前記暗号ヘッダ、前記他の平文及び前記暗号データからなる暗号受信データを受信し、
    前記暗号受信データから抽出した前記他の平文と前記暗号データから、データフィルタにより復号化対象データを抽出し、
    前記暗号受信データの前記暗号ヘッダから取り出した前記暗号設定情報に基づいて前記復号化対象データを復号して復号データを生成し、
    前記暗号受信データから抽出した前記他の平文と前記復号データとを合成して平文受信データを生成して出力し、
    前記暗号通信種別が改ざん検知+暗号の場合は、
    前記送信装置から、前記暗号ヘッダ、前記他の平文、前記暗号データ及び前記MACからなる暗号受信データを受信し、
    前記暗号受信データから分離した前記MACを用いて改ざんの有無を判定し、
    前記暗号受信データから抽出した前記他の平文と前記暗号データから、データフィルタにより復号化対象データを抽出し、
    前記暗号受信データの前記暗号ヘッダから取り出した前記暗号設定情報に基づいて前記復号化対象データを復号して復号データを生成し、
    前記暗号受信データから抽出した前記他の平文と前記復号データとを合成して平文受信データを生成して出力する
    ことを特徴とする部分暗号による通信保護方法。
  5. 前記暗号通信種別が暗号のみ或いは改ざん検知+暗号の場合において、
    前記平文は複数の平文パケットで構成され、前記複数の平文パケットの中の少なくとも1つの特定の平文パケットに対して暗号処理を行うことを特徴とする請求項4記載の部分暗号による通信保護方法。
  6. 前記暗号通信種別が改ざん検知のみ或いは改ざん検知+暗号の場合において、
    前記平文は複数の平文パケットで構成され、前記複数の平文パケットに対して、改ざんの検知処理を一括して実施することを特徴とする請求項4記載の部分暗号による通信保護方法。
  7. 前記暗号送信データでは、前記暗号ヘッダ、いくつかの前記暗号データが格納される暗号化領域、及び暗号処理の非対象領域である前記他の平文の順に各データが並べ替えられることを特徴とする請求項4記載の部分暗号による通信保護方法。
  8. データを送信する少なくとも1台の送信装置と前記データを受信する少なくとも1台の受信装置とがネットワークを介して接続されたネットワークシステムにおいて、暗号通信種別に応じて、部分的な暗号処理によりデータを保護する通信保護方法を実行するためのプログラムを格納した、計算機で読み取り可能な記憶媒体であって、
    前記通信保護方法において、
    前記送信装置は、
    前記暗号通信種別改ざん検知のみの場合は、
    暗号化のための暗号設定情報を含む暗号ヘッダと平文とからなる送信データに、メッセージ認証のためのMACを付加して暗号送信データを生成して前記受信装置に送信し、
    前記暗号通信種別暗号のみの場合は、
    データフィルタにより平文から暗号化対象データを抽出し、
    前記暗号設定情報に基づいて前記暗号化対象データを暗号化して暗号データを生成し、
    前記暗号ヘッダ、前記暗号データ及び暗号化対象データ以外の平文である他の平文からなる暗号送信データを生成して前記受信装置に送信し、
    前記暗号通信種別が改ざん検知+暗号の場合は、
    データフィルタにより平文から暗号化対象データを抽出し、
    前記暗号設定情報に基づいて前記暗号化対象データを暗号化して暗号データを生成し、
    前記暗号ヘッダ、前記暗号データ及び前記暗号化対象データ以外の平文である他の平文に、メッセージ認証のためのMACを付加して暗号送信データを生成して前記受信装置に送信し、
    前記送信装置は、前記暗号設定情報に基づき前記暗号処理対象データの前記平文に対する割合が設定可能であり、
    前記受信装置は、
    前記暗号通信種別改ざん検知のみの場合は、
    前記送信装置から、前記暗号ヘッダ、前記平文及び前記MACからなる暗号受信データを受信し、
    前記暗号受信データから受信データである前記平文を抽出して出力し、
    前記暗号受信データから分離した前記MACを用いて改ざんの有無を判定し、
    前記暗号通信種別暗号のみの場合は、
    前記送信装置から、前記暗号ヘッダ、前記他の平文、及び前記暗号データからなる暗号受信データを受信し、
    前記暗号受信データから抽出した前記他の平文と前記暗号データから、データフィルタにより復号化対象データを抽出し、
    前記暗号受信データの前記暗号ヘッダから取り出した前記暗号設定情報に基づいて前記復号化対象データを復号して復号データを生成し、
    前記暗号受信データから抽出した前記他の平文と前記復号データとを合成して平文受信データを生成して出力し、
    前記暗号通信種別が改ざん検知+暗号の場合は、
    前記送信装置から、前記暗号ヘッダ、前記他の平文、前記暗号データ及び前記MACからなる暗号受信データを受信し、
    前記暗号受信データから分離した前記MACを用いて改ざんの有無を判定し、
    前記暗号受信データから抽出した前記他の平文と前記暗号データから、データフィルタにより復号化対象データを抽出し、
    前記暗号受信データの前記暗号ヘッダから取り出した前記暗号設定情報に基づいて前記復号化対象データを復号して復号データを生成し、
    前記暗号受信データから抽出した前記他の平文と前記復号データとを合成して平文受信データを生成して出力する
    ことを特徴とする記憶媒体。
JP2013038175A 2013-02-28 2013-02-28 部分暗号による通信保護システム及び方法、及び記憶媒体 Expired - Fee Related JP6000164B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013038175A JP6000164B2 (ja) 2013-02-28 2013-02-28 部分暗号による通信保護システム及び方法、及び記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013038175A JP6000164B2 (ja) 2013-02-28 2013-02-28 部分暗号による通信保護システム及び方法、及び記憶媒体

Publications (2)

Publication Number Publication Date
JP2014165894A JP2014165894A (ja) 2014-09-08
JP6000164B2 true JP6000164B2 (ja) 2016-09-28

Family

ID=51616077

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013038175A Expired - Fee Related JP6000164B2 (ja) 2013-02-28 2013-02-28 部分暗号による通信保護システム及び方法、及び記憶媒体

Country Status (1)

Country Link
JP (1) JP6000164B2 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1796412A4 (en) * 2004-09-29 2011-11-23 Fujitsu Ltd CONCEALMENT COMMUNICATION SYSTEM
JP5016394B2 (ja) * 2006-06-07 2012-09-05 株式会社日立製作所 無線制御セキュリティシステム
JP2008035300A (ja) * 2006-07-31 2008-02-14 Fujitsu Ltd パケット暗号処理装置及びパケット暗号処理方法
JP2008067102A (ja) * 2006-09-07 2008-03-21 Victor Co Of Japan Ltd コンテンツ配信サーバ
JP2008147926A (ja) * 2006-12-08 2008-06-26 Nippon Telegr & Teleph Corp <Ntt> 暗号化装置および復号化装置および方法
FR2920067B1 (fr) * 2007-08-13 2014-11-28 Actimagine Procede et dispositif de chiffrement partiel d'un contenu numerique
JP5299609B2 (ja) * 2008-04-03 2013-09-25 日本電気株式会社 コンテンツ暗号化配信システム、コンテンツ暗号化配信方法およびコンテンツ暗号化配信用プログラム

Also Published As

Publication number Publication date
JP2014165894A (ja) 2014-09-08

Similar Documents

Publication Publication Date Title
US10652015B2 (en) Confidential communication management
US8155311B2 (en) Method and apparatus for encrypting message for maintaining message integrity, and method and apparatus for decrypting message for maintaining message integrity
Bernstein et al. The security impact of a new cryptographic library
CN103248650B (zh) 一种文件下载方法及系统
KR101737299B1 (ko) 인코더, 디코더 및 방법
US8250356B2 (en) Method to construct a high-assurance IPSec gateway using an unmodified commercial implementation
CN102664740B (zh) 一种基于远程授权的招投标文件加解密方法
CN103716157A (zh) 分组多密钥加密方法及装置
Agarwal et al. Authenticating cryptography over network in data
CN102857503A (zh) 一种安全的指纹数据无线传输方法
CN119628841A (zh) 证书链驱动的边缘计算网关可信非对称加密通信协议
US20090228700A1 (en) Internet Gatekeeper Protocol
Ubochi et al. A comparative analysis of symmetric cryptographic algorithm as a data security tool: A survey
JP6000164B2 (ja) 部分暗号による通信保護システム及び方法、及び記憶媒体
CN118740825A (zh) 车辆的配置文件的传输方法、装置、存储介质和车辆
CN118803734A (zh) 数据传输方法、系统、电子设备和存储介质
JP6631989B2 (ja) 暗号化装置、制御方法、及びプログラム
CN118368096B (zh) 数据验证方法、设备、存储介质及计算机程序产品
Maalavika et al. Enhanced Public Key Security Using Cuckoo Search Optimization and Improved AES Algorithm
CN103873270A (zh) 智慧型电表基础建设网络系统及其消息广播方法
US20150121084A1 (en) Secure message transmission
CN119628916A (zh) 一种数据处理系统、方法、通信设备和存储介质
CN113965373A (zh) 一种基于智能网卡和服务器的数据交换方法和系统
Pansare ANALYSIS OF SYMMETRIC KEY CRYPTOGRAPHIC ALGORITHMS
Lee LG INNOTEK

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150318

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160324

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160830

R150 Certificate of patent or registration of utility model

Ref document number: 6000164

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees