特許ウォッチ

公開番号2024061970
公報種別公開特許公報(A)
公開日2024-05-09
出願番号2022169651
出願日2022-10-24
発明の名称暗号通信システム、暗号通信装置、暗号通信方法および暗号通信プログラム
出願人株式会社東芝,東芝デジタルソリューションズ株式会社
代理人弁理士法人スズエ国際特許事務所
主分類H04L 9/08 20060101AFI20240430BHJP(電気通信技術)
要約【課題】鍵IDの通知用の通信プロトコルを必要とせずに、鍵の先読みによる通信の高速化を実現することができる暗号通信システムを提供する。
【解決手段】実施形態によれば、送信装置は、暗号鍵先読み部と暗号チャンク生成部とを備える。暗号鍵先読み部は、平文データの入力前に平文データの暗号化用の暗号鍵を鍵管理システムから取得する。暗号チャンク生成部は、第1暗号鍵を用いて第1平文データを暗号化して得られた第1暗号データと、第1暗号鍵の第1鍵IDとが格納される、第1平文データよりも後に送信される第2平文データの暗号化に用いられる第2暗号鍵の第2鍵IDを埋め込んだパケットを生成する。受信装置は、暗号チャンク解析部と復号鍵先読み部とを備える。暗号チャンク解析部は、パケットを解析して第2鍵IDを読み取る。復号鍵先読み部は、暗号チャンク解析部が読み取った第2鍵IDに対応する第2暗号鍵を鍵管理システムから取得する。
【選択図】図1
特許請求の範囲【請求項１】
暗号鍵の提供時に鍵ＩＤを通知し、かつ、鍵ＩＤが指定された暗号鍵の要求に応じて前記鍵ＩＤに対応する暗号鍵を返送するインターフェースを有し、量子鍵配送技術によって第１拠点と第２拠点との間で暗号鍵を共有化する鍵管理システムを用いて、前記鍵管理システムで管理される暗号鍵を前記第１拠点から取得する送信装置と、前記鍵管理システムで管理される暗号鍵を前記第２拠点から取得する受信装置とが暗号通信を実行する暗号通信システムであって、
前記送信装置は、
前記鍵管理システムから取得される暗号鍵を用いて平文データを暗号化する暗号化ロジックと、
平文データの入力前に前記平文データを暗号化するための暗号鍵を前記鍵管理システムから取得する暗号鍵先読み部と、
前記暗号鍵先読み部が取得した暗号鍵を鍵ＩＤと共に記憶する暗号鍵記憶部と、
前記暗号化ロジックが第１暗号鍵を用いて第１平文データを暗号化して得られた第１暗号データと、前記第１暗号鍵の第１鍵ＩＤとが格納されるパケットであって、前記第１平文データよりも後に送信される第２平文データの暗号化に用いられる、前記暗号鍵記憶部に記憶されている第２暗号鍵の第２鍵ＩＤを埋め込んだパケットを生成する暗号チャンク生成部と、
を具備し、
前記受信装置は、
前記鍵管理システムから取得される暗号鍵を用いて暗号データを復号する復号ロジックと、
前記パケットを解析して前記第２鍵ＩＤを読み取る暗号チャンク解析部と、
前記暗号チャンク解析部が読み取った前記第２鍵ＩＤに対応する前記第２暗号鍵を前記鍵管理システムから取得する復号鍵先読み部と、
前記復号鍵先読み部が取得した暗号鍵を鍵ＩＤと共に記憶する復号鍵記憶部と、
を具備する暗号通信システム。
続きを表示（約 3,300 文字）【請求項２】
前記暗号チャンク生成部は、
前記パケットの生成時、前記パケットで送信される平文データよりも後に送信される平文データの暗号化に用いられる暗号鍵の鍵ＩＤを前記パケットに複数埋め込み、
第１タイミングで送信される前記パケットに埋め込む複数の鍵ＩＤと、前記第１タイミングに後続する第２タイミングで送信される前記パケットに埋め込む複数の鍵ＩＤとの一部を重複させ、
前記復号鍵先読み部は、前記暗号チャンク解析部が読み取った鍵ＩＤに対応する暗号鍵が前記復号鍵記憶部に記憶されている場合、前記暗号チャンク解析部が読み取った鍵ＩＤを破棄する、
請求項１に記載の暗号通信システム。
【請求項３】
前記インターフェースは、ＥＴＳＩＧＳＱＫＤ０１４仕様に準拠するインターフェースである請求項１または２に記載の暗号通信システム。
【請求項４】
暗号鍵の提供時に鍵ＩＤを通知し、かつ、鍵ＩＤが指定された暗号鍵の要求に応じて前記鍵ＩＤに対応する暗号鍵を返送するインターフェースを有し、量子鍵配送技術によって２拠点間で暗号鍵を共有化する鍵管理システムから暗号鍵を取得して、送信対象の平文データを暗号化し、前記暗号化によって得られた暗号データを送信する暗号通信装置であって、
前記鍵管理システムから取得される暗号鍵を用いて平文データを暗号化する暗号化ロジックと、
平文データの入力前に前記平文データを暗号化するための暗号鍵を前記鍵管理システムから取得する暗号鍵先読み部と、
前記暗号鍵先読み部が取得した暗号鍵を鍵ＩＤと共に記憶する暗号鍵記憶部と、
前記暗号化ロジックが第１暗号鍵を用いて第１平文データを暗号化して得られた第１暗号データと、前記第１暗号鍵の第１鍵ＩＤとが格納されるパケットであって、前記第１平文データよりも後に送信される第２平文データの暗号化に用いられる、前記暗号鍵記憶部に記憶されている第２暗号鍵の第２鍵ＩＤを埋め込んだパケットを生成する暗号チャンク生成部と、
を具備する暗号通信装置。
【請求項５】
前記暗号チャンク生成部は、
前記パケットの生成時、前記パケットで送信される平文データよりも後に送信される平文データの暗号化に用いられる暗号鍵の鍵ＩＤを前記パケットに複数埋め込み、
第１タイミングで送信される前記パケットに埋め込む複数の鍵ＩＤと、前記第１タイミングに後続する第２タイミングで送信される前記パケットに埋め込む複数の鍵ＩＤとの一部を重複させる、
請求項４に記載の暗号通信装置。
【請求項６】
暗号鍵の提供時に鍵ＩＤを通知し、かつ、鍵ＩＤが指定された暗号鍵の要求に応じて前記鍵ＩＤに対応する暗号鍵を返送するインターフェースを有し、量子鍵配送技術によって２拠点間で暗号鍵を共有化する鍵管理システムから暗号鍵を取得して、受信した暗号データを復号する暗号通信装置であって、
前記鍵管理システムから取得される暗号鍵を用いて暗号データを復号する復号ロジックと、
第１暗号鍵を用いて復号可能な第１暗号データと、前記第１暗号鍵の第１鍵ＩＤとが格納されるパケットであって、前記第１暗号データよりも後に送信されてくる第２暗号データを復号可能な第２暗号鍵の第２鍵ＩＤが埋め込まれたパケットを解析して、前記第２鍵ＩＤを読み取る暗号チャンク解析部と、
前記暗号チャンク解析部が読み取った前記第２鍵ＩＤに対応する前記第２暗号鍵を前記鍵管理システムから取得する復号鍵先読み部と、
前記復号鍵先読み部が取得した暗号鍵を鍵ＩＤと共に記憶する復号鍵記憶部と、
を具備する暗号通信装置。
【請求項７】
前記復号鍵先読み部は、前記暗号チャンク解析部が読み取った鍵ＩＤに対応する暗号鍵が前記復号鍵記憶部に記憶されている場合、前記暗号チャンク解析部が読み取った鍵ＩＤを破棄する請求項６に記載の暗号通信装置。
【請求項８】
前記インターフェースは、ＥＴＳＩＧＳＱＫＤ０１４仕様に準拠するインターフェースである請求項４～７のいずれか１項に記載の暗号通信装置。
【請求項９】
暗号鍵の提供時に鍵ＩＤを通知し、かつ、鍵ＩＤが指定された暗号鍵の要求に応じて前記鍵ＩＤに対応する暗号鍵を返送するインターフェースを有し、量子鍵配送技術によって第１拠点と第２拠点との間で暗号鍵を共有化する鍵管理システムを用いて、前記鍵管理システムで管理される暗号鍵を前記第１拠点から取得する送信装置と、前記鍵管理システムで管理される暗号鍵を前記第２拠点から取得する受信装置とが暗号通信を実行する暗号通信システムにおいて実行される暗号通信方法であって、
前記送信装置が、
前記鍵管理システムから取得される暗号鍵を用いて平文データを暗号化することと、
平文データの入力前に前記平文データを暗号化するための暗号鍵を前記鍵管理システムから取得することと、
前記取得した暗号鍵を鍵ＩＤと共に記憶することと、
第１暗号鍵を用いて第１平文データを暗号化して得られた第１暗号データと、前記第１暗号鍵の第１鍵ＩＤとが格納されるパケットであって、前記第１平文データよりも後に送信される第２平文データの暗号化に用いられる、前記記憶している第２暗号鍵の第２鍵ＩＤを埋め込んだパケットを生成することと、
を具備し、
前記受信装置が、
前記鍵管理システムから取得される暗号鍵を用いて暗号データを復号することと、
前記パケットを解析して前記第２鍵ＩＤを読み取ることと、
前記読み取った前記第２鍵ＩＤに対応する前記第２暗号鍵を前記鍵管理システムから取得することと、
前記取得した暗号鍵を鍵ＩＤと共に記憶することと、
を具備する暗号通信方法。
【請求項１０】
暗号鍵の提供時に鍵ＩＤを通知し、かつ、鍵ＩＤが指定された暗号鍵の要求に応じて前記鍵ＩＤに対応する暗号鍵を返送するインターフェースを有し、量子鍵配送技術によって第１拠点と第２拠点との間で暗号鍵を共有化する鍵管理システムを用いて、前記鍵管理システムで管理される暗号鍵を前記第１拠点から取得する送信装置と、前記鍵管理システムで管理される暗号鍵を前記第２拠点から取得する受信装置とが暗号通信を実行する暗号通信システムにおいて適用されるプログラムであって、
前記送信装置を、
前記鍵管理システムから取得される暗号鍵を用いて平文データを暗号化する暗号化ロジック、
平文データの入力前に前記平文データを暗号化するための暗号鍵を前記鍵管理システムから取得する暗号鍵先読み部、
前記暗号鍵先読み部が取得した暗号鍵を鍵ＩＤと共に記憶する暗号鍵記憶部、
前記暗号化ロジックが第１暗号鍵を用いて第１平文データを暗号化して得られた第１暗号データと、前記第１暗号鍵の第１鍵ＩＤとが格納されるパケットであって、前記第１平文データよりも後に送信される第２平文データの暗号化に用いられる、前記暗号鍵記憶部に記憶されている第２暗号鍵の第２鍵ＩＤを埋め込んだパケットを生成する暗号チャンク生成部、
として機能させ、
前記受信装置を、
前記鍵管理システムから取得される暗号鍵を用いて暗号データを復号する復号ロジック、
前記パケットを解析して前記第２鍵ＩＤを読み取る暗号チャンク解析部、
前記暗号チャンク解析部が読み取った前記第２鍵ＩＤに対応する前記第２暗号鍵を前記鍵管理システムから取得する復号鍵先読み部、
前記復号鍵先読み部が取得した暗号鍵を鍵ＩＤと共に記憶する復号鍵記憶部、
として機能させるためのプログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明の実施形態は、暗号通信システム、暗号通信装置、暗号通信方法および暗号通信プログラムに関する。
続きを表示（約 1,200 文字）【背景技術】
【０００２】
量子鍵配送技術（ＱＫＤ：ＱｕａｎｔｕｍＫｅｙＤｉｓｔｒｉｂｕｔｉｏｎ）を利用して２拠点間で共有化した乱数を共通鍵（暗号鍵、復号鍵）として利用し、ワンタイムパッド（ＯＴＰ）等の安全な暗号通信を行う方法が知られている。
【０００３】
このＱＫＤを利用した暗号通信アプリケーション（暗号通信装置）の通信を高速化する方法として、平文を受け付ける前の暗号鍵の先読みと、暗号文を受け付ける前の復号鍵の先読みとを行う方法が提案されている。
【０００４】
また、暗号通信アプリケーションに対して、ＱＫＤを利用して共有化した鍵を提供する方法として、鍵管理システムを設置する方法が知られている。この鍵管理システムと暗号通信アプリケーションとの間の鍵のやり取りを定めた代表的なインターフェース仕様として、「ＥＴＳＩＧＳＱＫＤ０１４」がある。
【０００５】
このインターフェースでは、まず、暗号鍵と共に鍵ＩＤが発番され、復号鍵を取得する際には、同じ鍵ＩＤを指定することで、対応する復号鍵を得られる仕組みである。そのため、暗号化を行う装置は、鍵管理システムから鍵を取得した後、何らかの方法で、復号を行う装置に鍵ＩＤを通知する必要がある。
【先行技術文献】
【特許文献】
【０００６】
特開２０１９－１６１５５７号公報
【非特許文献】
【０００７】
欧州電気通信標準化機構：ＥＴＳＩＧＳＱＫＤ０１４Ｖ１．１．１，２０２２－０２，ｐ．１０
【発明の概要】
【発明が解決しようとする課題】
【０００８】
「ＥＴＳＩＧＳＱＫＤ０１４」準拠の鍵取得インターフェースには、復号鍵を得るためには鍵ＩＤが必要という特徴がある。従って、同インターフェース（または同様の特徴を持つ鍵取得インターフェース）を採用する鍵管理システムとの組み合わせで鍵の先読みを実現しようとすると、暗号化を行う側の通信アプリケーションから復号を行う側の通信アプリケーションへ事前に鍵ＩＤを通知することが必要である。
【０００９】
そのため、「ＥＴＳＩＧＳＱＫＤ０１４」準拠の鍵取得インターフェースを採用する鍵管理システムとの組み合わせで鍵を先読みする手法には、鍵ＩＤの通知用の通信プロトコルが必要となることや、追加のネットワーク要件（通信ポートをファイアウォールで許可するなど）が生まれる等のデメリットがあり、本手法の通信アプリケーションでの活用が難しかった。
【００１０】
本発明の１つの実施形態は、鍵ＩＤの通知用の通信プロトコル等を必要とせずに、鍵の先読みによる通信の高速化を実現することができる暗号通信システム、暗号通信装置、暗号通信方法および暗号通信プログラムを提供する。
【課題を解決するための手段】
（【００１１】以降は省略されています）

関連特許