ホーム > 特許ランキング > 日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023064550
(43)【公開日】2023-05-11
(54)【発明の名称】通信システム、通信方法及びプログラム
(51)【国際特許分類】
H04L 9/12 20060101AFI20230501BHJP
H04L 9/32 20060101ALI20230501BHJP
【FI】
H04L9/12
H04L9/32 200B
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2021174893
(22)【出願日】2021-10-26
(71)【出願人】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100124844
【弁理士】
【氏名又は名称】石原 隆治
(72)【発明者】
【氏名】奥田 哲矢
(72)【発明者】
【氏名】中林 美郷
(72)【発明者】
【氏名】前田 志温
(57)【要約】
【課題】QKD又はPQKDにより鍵交換を行う機器の署名鍵が漏洩した場合であっても合意要件を保証すること。
【解決手段】一実施形態に係る通信システムは、暗号化プロトコルを実行する2以上の第1の機器と鍵交換プロトコルを実行する2以上の第2の機器とが含まれる通信システムであって、前記第2の機器は、他の第2の機器との間で前記鍵交換プロトコルにより共通鍵を生成する鍵交換部と、自身と同一拠点内のネットワークに接続されている前記第1の機器に対して、前記共通鍵を配送する鍵配送部と、を有し、前記第1の機器は、前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、他の第1の機器との間でデータ通信を行う通信部、を有する。
【選択図】図1
【解決手段】一実施形態に係る通信システムは、暗号化プロトコルを実行する2以上の第1の機器と鍵交換プロトコルを実行する2以上の第2の機器とが含まれる通信システムであって、前記第2の機器は、他の第2の機器との間で前記鍵交換プロトコルにより共通鍵を生成する鍵交換部と、自身と同一拠点内のネットワークに接続されている前記第1の機器に対して、前記共通鍵を配送する鍵配送部と、を有し、前記第1の機器は、前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、他の第1の機器との間でデータ通信を行う通信部、を有する。
【選択図】図1
【特許請求の範囲】
【請求項1】
暗号化プロトコルを実行する2以上の第1の機器と鍵交換プロトコルを実行する2以上の第2の機器とが含まれる通信システムであって、
前記第2の機器は、
他の第2の機器との間で前記鍵交換プロトコルにより共通鍵を生成する鍵交換部と、
自身と同一拠点内のネットワークに接続されている前記第1の機器に対して、前記共通鍵を配送する鍵配送部と、を有し、
前記第1の機器は、
前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、他の第1の機器との間でデータ通信を行う通信部、を有する通信システム。
前記第2の機器は、
他の第2の機器との間で前記鍵交換プロトコルにより共通鍵を生成する鍵交換部と、
自身と同一拠点内のネットワークに接続されている前記第1の機器に対して、前記共通鍵を配送する鍵配送部と、を有し、
前記第1の機器は、
前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、他の第1の機器との間でデータ通信を行う通信部、を有する通信システム。
【請求項2】
前記鍵交換プロトコルは署名付きの耐量子鍵交換であり、
前記鍵配送部は、
自身と同一拠点内のネットワークに接続されている前記第1の機器との間で予め共有された事前共有鍵を用いて前記共通鍵を配送する、又は、自身と同一拠点内のネットワークに接続されている前記第1の機器との間で署名付きDH鍵配送を行うことで前記共通鍵を配送する、請求項1に記載の通信システム。
前記鍵配送部は、
自身と同一拠点内のネットワークに接続されている前記第1の機器との間で予め共有された事前共有鍵を用いて前記共通鍵を配送する、又は、自身と同一拠点内のネットワークに接続されている前記第1の機器との間で署名付きDH鍵配送を行うことで前記共通鍵を配送する、請求項1に記載の通信システム。
【請求項3】
前記鍵交換プロトコルは量子鍵配送であり、
前記第2の機器間はセキュアなネットワークにより通信可能に接続されており、
前記鍵配送部は、
自身と同一拠点内のネットワークに接続されている前記第1の機器との間で署名付きDH鍵配送を行うことで前記共通鍵を配送する、請求項1に記載の通信システム。
前記第2の機器間はセキュアなネットワークにより通信可能に接続されており、
前記鍵配送部は、
自身と同一拠点内のネットワークに接続されている前記第1の機器との間で署名付きDH鍵配送を行うことで前記共通鍵を配送する、請求項1に記載の通信システム。
【請求項4】
前記通信部は、
前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、光トランスポートネットワークにより前記他の第1の機器との間でデータ通信を行う、請求項1乃至3の何れか一項に記載の通信システム。
前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、光トランスポートネットワークにより前記他の第1の機器との間でデータ通信を行う、請求項1乃至3の何れか一項に記載の通信システム。
【請求項5】
暗号化プロトコルを実行する2以上の第1の機器と鍵交換プロトコルを実行する2以上の第2の機器とが含まれる通信システムに用いられる通信方法であって、
前記第2の機器が、
他の第2の機器との間で前記鍵交換プロトコルにより共通鍵を生成する鍵交換手順と、
自身と同一拠点内のネットワークに接続されている前記第1の機器に対して、前記共通鍵を配送する鍵配送手順と、を実行し、
前記第1の機器が、
前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、他の第1の機器との間でデータ通信を行う通信手順、を実行する通信方法。
前記第2の機器が、
他の第2の機器との間で前記鍵交換プロトコルにより共通鍵を生成する鍵交換手順と、
自身と同一拠点内のネットワークに接続されている前記第1の機器に対して、前記共通鍵を配送する鍵配送手順と、を実行し、
前記第1の機器が、
前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、他の第1の機器との間でデータ通信を行う通信手順、を実行する通信方法。
【請求項6】
請求項1乃至4の何れか一項に記載の通信システムに含まれる第1の機器又は第2の機器としてコンピュータを機能させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、通信方法及びプログラムに関する。
【背景技術】
【0002】
量子計算機が実現した場合でも安全なデータ通信を行うため、量子鍵配送(QKD:Quantum Key Distribution)や耐量子鍵交換(PQKD:Post-Quantum Key Exchange)により生成した鍵でデータを暗号化するセキュア光トランスポートネットワーク(SOTN:Secure Optical Transport Network)が検討されている。SOTNではQKD又はPQKDによる鍵交換とデータ通信とが別々の機器で行われるため、例えば、2拠点間のデータ通信は4者間ネットワークで実現される。以下、QKDとPQKDをまとめて「XKD」と呼び、QKD又はPQKDにより鍵交換を行う機器を「XKD装置」と呼ぶことにする。また、XKD装置の鍵交換により生成された鍵を用いてセキュアなデータ通信を行う機器を「通信装置」と呼ぶことにする。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】RFC 2409「IKE: インターネット鍵交換」,インターネット<URL:https://datatracker.ietf.org/doc/html/rfc2409>
【非特許文献2】RFC 7296「インターネットキー交換プロトコルバージョン2(IKEv2)」,インターネット<URL:https://datatracker.ietf.org/doc/html/rfc7296>
【非特許文献3】RFC 4301「インターネットプロトコルのためのセキュリティアーキテクチャ」,インターネット<URL:https://datatracker.ietf.org/doc/html/rfc4301>
【発明の概要】
【発明が解決しようとする課題】
【0004】
ここで、XKD装置は他のXKD装置と鍵交換を行う場合、互いの認証のために電子署名が用いられることが一般的である。しかしながら、XKD装置から署名鍵が漏洩した場合、通信装置間の合意要件(Agreement property)が保証されなくなるという問題がある。
【0005】
本発明の一実施形態は、上記の点に鑑みてなされたもので、QKD又はPQKDにより鍵交換を行う機器の署名鍵が漏洩した場合であっても合意要件を保証することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、一実施形態に係る通信システムは、暗号化プロトコルを実行する2以上の第1の機器と鍵交換プロトコルを実行する2以上の第2の機器とが含まれる通信システムであって、前記第2の機器は、他の第2の機器との間で前記鍵交換プロトコルにより共通鍵を生成する鍵交換部と、自身と同一拠点内のネットワークに接続されている前記第1の機器に対して、前記共通鍵を配送する鍵配送部と、を有し、前記第1の機器は、前記共通鍵による共通鍵暗号方式とデジタル証明書による認証付き電子署名とを用いて、他の第1の機器との間でデータ通信を行う通信部、を有する。
【発明の効果】
【0007】
QKD又はPQKDにより鍵交換を行う機器の署名鍵が漏洩した場合であっても合意要件を保証するができる。
【図面の簡単な説明】
【0008】
【図1】本実施形態に係る通信システムの全体構成の一例を示す図である。
【図2】本実施形態に係る通信装置のハードウェア構成の一例を示す図である。
【図3】本実施形態に係るXKD装置のハードウェア構成の一例を示す図である。
【図4】本実施形態に係る通信装置及びXKD装置の機能構成の一例を示す図である。
【図5】合意要件の一例を説明するための図である。
【図6】IKE間の鍵交換にPQKD、IKEからESPへの鍵配送に事前共有鍵を用いた場合の一例を説明するための図である。
【図7】False2に該当する攻撃例を説明するための図である。
【図8】IKE間の鍵交換にPQKD、IKEからESPへの鍵配送に事前共有鍵を用いると共に、共通鍵メッセージ送受信に署名による認証を加えた場合の一例を説明するための図である。
【図9】IKE間の鍵交換にQKD、IKEからESPへの鍵配送に事前共有鍵を用いた場合の一例を説明するための図である。
【図10】IKE間の鍵交換にPQKD、IKEからESPへの鍵配送に署名付きDH鍵配送を用いた場合の一例を説明するための図である。
【図11】False3-2に該当する攻撃例を説明するための図である。
【図12】IKE間の鍵交換にPQKD、IKEからESPへの鍵配送に署名付きDH鍵配送を用いると共に、共通鍵メッセージ送受信に署名による認証を加えた場合の一例を説明するための図である。
【図13】IKE間の鍵交換にQKD、IKEからESPへの鍵配送に署名付きDH鍵配送を用いた場合の一例を説明するための図である。
【図14】IKE間の鍵交換にQKD、IKEからESPへの鍵配送に署名付きDH鍵配送を用いると共に、共通鍵メッセージ送受信に署名による認証を加えた場合の一例を説明するための図である。
【発明を実施するための形態】
【0009】
以下、本発明の一実施形態について説明する。本実施形態では、QKD又はPQKDにより鍵交換を行うXKD装置の署名鍵が漏洩した場合であっても、通信装置間の合意要件が保証される通信システム1について説明する。
【0010】
<通信システム1の全体構成例>
本実施形態に係る通信システム1は、物理的に離れた拠点間で大容量かつ低遅延にセキュアなデータ通信を行うことが可能なSOTNを実現する通信システムである。各拠点のシステム環境である拠点環境Eには、1以上の通信装置10と、XKD装置20と、当該拠点環境E内の通信ネットワークである拠点内NW30とが含まれる。また、異なる拠点環境E間は、異なる拠点環境Eの通信装置10間の通信に用いられる通信ネットワークである拠点間NW40と、異なる拠点環境EのXKD装置20間の通信に用いられる通信ネットワークである拠点間NW50とで接続される。
本実施形態に係る通信システム1は、物理的に離れた拠点間で大容量かつ低遅延にセキュアなデータ通信を行うことが可能なSOTNを実現する通信システムである。各拠点のシステム環境である拠点環境Eには、1以上の通信装置10と、XKD装置20と、当該拠点環境E内の通信ネットワークである拠点内NW30とが含まれる。また、異なる拠点環境E間は、異なる拠点環境Eの通信装置10間の通信に用いられる通信ネットワークである拠点間NW40と、異なる拠点環境EのXKD装置20間の通信に用いられる通信ネットワークである拠点間NW50とで接続される。
【0011】
例えば、図1に示すように、本実施形態に係る通信システム1は、拠点Aの拠点環境EAと、拠点Bの拠点環境EBとが含まれる。また、拠点環境EAには、通信装置10Aと、XKD装置20Aと、拠点内NW30Aとが含まれる。同様に、拠点環境EBには、通信装置10Bと、XKD装置20Bと、拠点内NW30Bとが含まれる。なお、図1に示す例では、拠点xの拠点環境Eを「拠点環境Ex」、通信装置10を「通信装置10x」、XKD装置20を「XKD装置20x」、拠点内NW30を「拠点内NW30x」とそれぞれ表記している。
【0012】
通信装置10は、WBS(White Box Switch)等の機器であり、拠点間NW40を介して、他拠点の通信装置10との間でセキュアなデータ通信を行う。より具体的には、通信装置10は、ESP(Encapsulated Security Payload)と呼ばれるプロトコルによりデータの暗号化を行った上で、拠点間NW40を介して、他拠点の通信装置10との間でセキュアなデータ通信を行う。このとき、通信装置10は、自拠点のXKD装置20から配送された鍵K(共通鍵K)を用いて、ESPによりデータの暗号化を行う。ここで、拠点間NW40としては光トランスポートネットワーク(OTN: Optical Transport Network)を想定するが、これに限られるものではない。
【0013】
XKD装置20は、拠点間NW50を介して、QKD又はPQKDと呼ばれるプロトコル(IKE(Internet Key Exchange)プロトコルの一種)により他拠点のXKD装置20との間で鍵交換を行って鍵Kを生成する機器である。XKD装置20は、拠点内NW30を介して、当該鍵Kを自拠点の通信装置10に配送する。なお、QKDにより鍵交換を行うことを明示するときはXKD装置20を「QKD装置20」とも表記し、同様にPQKDにより鍵交換を行うことを明示するときはXKD装置20を「PQKD装置20」とも表記する。ここで、拠点内NW30としてはLAN(Local Area Network)等を想定するが、これに限られるものではない。また、拠点間NW50としては、XKD装置20がQKDにより鍵交換を行う場合は光ファイバ専用線、XKD装置20がPQKDにより鍵交換を行う場合はインターネット又はWAN(Wide Area Network)を想定するが、これらに限られるものではない。
【0014】
このように、IPsec(Security Architecture for Internet Protocol)ではIKEとESPとが同一機器で実行されるが、通信システム1によりSOTNを実現する際にはIKEとESPとがそれぞれ別の機器で実行される(つまり、IKEがXKD装置20、ESPが通信装置10で実行される。)。
【0015】
なお、図1に示す通信システム1の全体構成は一例であって、これに限られるものではない。例えば、通信システム1には3つ以上の拠点環境Eが含まれていてもよいし、1つの拠点環境E内に複数の通信装置10が含まれていてもよい。また、通信装置10が含まれない拠点環境Eが存在してもよい。すなわち、本実施形態に係る通信システム1は少なくとも2以上の通信装置10と少なくとも2以上のXKD装置20とが含まれる4者間以上の通信に適用することが可能である。
【0016】
<通信装置10のハードウェア構成例>
本実施形態に係る通信装置10のハードウェア構成例を図2に示す。図2に示すように、本実施形態に係る通信装置10は、外部I/F11と、通信I/F12と、プロセッサ13と、メモリ装置14とを有する。また、これらの各ハードウェアは、バス15を介して通信可能に接続される。
本実施形態に係る通信装置10のハードウェア構成例を図2に示す。図2に示すように、本実施形態に係る通信装置10は、外部I/F11と、通信I/F12と、プロセッサ13と、メモリ装置14とを有する。また、これらの各ハードウェアは、バス15を介して通信可能に接続される。
【0017】
外部I/F11は、記録媒体11a等の外部装置とのインタフェースである。なお、記録媒体11aとしては、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等が挙げられる。
【0018】
通信I/F12は、自拠点の拠点内NW30及び拠点間NW40に接続するためのインタフェースである。なお、通信装置10は、自拠点の拠点内NW30に接続するための通信I/F12と拠点間NW40に接続するための通信I/F12の2つのインタフェースを有していてもよい。
【0019】
プロセッサ13は、例えば、CPU(Central Processing Unit)やASIC(application specific integrated circuit)等の各種演算装置である。メモリ装置14は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ、RAM(Random Access Memory)、ROM(Read Only Memory)等の各種記憶装置である。
【0020】
なお、図2に示すハードウェア構成は一例であって、通信装置10のハードウェア構成はこれに限られるものではない。例えば、通信装置10は、図示しない種々のハードウェア(例えば、表示パネル等の表示装置、物理ボタンやタッチパネル等の入力装置等)を備えていてもよい。
【0021】
<XKD装置20のハードウェア構成例>
本実施形態に係るXKD装置20のハードウェア構成例を図3に示す。図3に示すように、本実施形態に係るXKD装置20は、外部I/F21と、通信I/F22と、プロセッサ23と、メモリ装置24とを有する。また、これらの各ハードウェアは、バス25を介して通信可能に接続される。
本実施形態に係るXKD装置20のハードウェア構成例を図3に示す。図3に示すように、本実施形態に係るXKD装置20は、外部I/F21と、通信I/F22と、プロセッサ23と、メモリ装置24とを有する。また、これらの各ハードウェアは、バス25を介して通信可能に接続される。
【0022】
外部I/F21は、記録媒体21a等の外部装置とのインタフェースである。なお、記録媒体21aとしては、例えば、CD、DVD、SDメモリカード、USBメモリカード等が挙げられる。
【0023】
通信I/F22は、自拠点の拠点内NW30及び拠点間NW50に接続するためのインタフェースである。なお、XKD装置20は、自拠点の拠点内NW30に接続するための通信I/F22と拠点間NW50に接続するための通信I/F22の2つのインタフェースを有していてもよい。
【0024】
プロセッサ23は、例えば、CPUやASIC等の各種演算装置である。メモリ装置24は、例えば、HDD、SSD、フラッシュメモリ、RAM、ROM等の各種記憶装置である。
【0025】
なお、図3に示すハードウェア構成は一例であって、XKD装置20のハードウェア構成はこれに限られるものではない。例えば、XKD装置20は、図示しない種々のハードウェア(例えば、表示パネル等の表示装置、物理ボタンやタッチパネル等の入力装置等)を備えていてもよい。
【0026】
<通信装置10及びXKD装置20の機能構成>
本実施形態に係る通信装置10及びXKD装置20の機能構成例を図4に示す。
本実施形態に係る通信装置10及びXKD装置20の機能構成例を図4に示す。
【0027】
≪通信装置10≫
図4に示すように、本実施形態に係る通信装置10は、セキュア通信部101と、鍵取得部102と、記憶部103とを有する。セキュア通信部101及び鍵取得部102は、例えば、通信装置10にインストールされた1以上のプログラムが、プロセッサ13に実行させる処理により実現される。また、記憶部103は、例えば、メモリ装置14により実現される。
図4に示すように、本実施形態に係る通信装置10は、セキュア通信部101と、鍵取得部102と、記憶部103とを有する。セキュア通信部101及び鍵取得部102は、例えば、通信装置10にインストールされた1以上のプログラムが、プロセッサ13に実行させる処理により実現される。また、記憶部103は、例えば、メモリ装置14により実現される。
【0028】
セキュア通信部101は、XKD装置20から配送された鍵Kを用いて、他拠点の通信装置10との間でセキュアなデータ通信(すなわち、共通鍵Kを用いた共通鍵暗号方式によるメッセージ送受信)を行う。このとき、セキュア通信部101は、後述するSA(Security Association)と呼ばれるパラメータに従ってセキュアなデータ通信を行う。
【0029】
鍵取得部102は、XKD装置20から配送された鍵Kを取得する。鍵取得部102によって取得された鍵Kは、記憶部103のセキュアな記憶領域に格納される。
【0030】
記憶部103には、XKD装置20から配送された鍵Kが格納される。また、記憶部103には、他拠点の通信装置10との間でセキュアなデータ通信を行うためのSAと呼ばれるパラメータも格納される。すなわち、記憶部103には、SAデータベースも含まれる。なお、SAとは、他拠点の通信装置10との間でセキュアなデータ通信を行う際に用いられるパラメータであり、SPI(Security Parameter Index)の値、「トンネル」等といったモード、「ESP」といったプロトコル名、「AES」等といった暗号化方式、鍵Kの値、「HMAC-SHA1」等といった認証方式といった情報等が含まれる。なお、本実施形態では、SAに指定されているプロトコル名は「ESP」であるものとする。
【0031】
≪XKD装置20≫
図4に示すように、本実施形態に係るXKD装置20は、鍵交換部201と、鍵配送部202と、記憶部203とを有する。鍵交換部201及び鍵配送部202は、例えば、XKD装置20にインストールされた1以上のプログラムが、プロセッサ23に実行させる処理により実現される。また、記憶部203は、例えば、メモリ装置24により実現される。
図4に示すように、本実施形態に係るXKD装置20は、鍵交換部201と、鍵配送部202と、記憶部203とを有する。鍵交換部201及び鍵配送部202は、例えば、XKD装置20にインストールされた1以上のプログラムが、プロセッサ23に実行させる処理により実現される。また、記憶部203は、例えば、メモリ装置24により実現される。
【0032】
鍵交換部201は、他拠点のXKD装置20との間でQKD又はPQKDにより鍵交換を行って鍵Kを生成する。
【0033】
鍵配送部202は、鍵交換部201により生成した鍵Kを自拠点の通信装置10に配送する。なお、鍵配送部202は、例えば、自拠点内のすべての通信装置10ではなく、自拠点内の予め決められた通信装置10にのみ鍵Kを配送してもよい。
【0034】
記憶部203には、鍵交換部201が鍵交換を行う際に必要な情報が格納される。また、記憶部203は、自身の署名鍵等も格納される。なお、署名鍵とは、データの改ざんを防止するために、そのデータに対して電子署名(デジタル署名)を付与するための鍵のことである。
【0035】
<SOTN信頼性モデルと攻撃者の想定>
本実施形態に係る通信システム1の安全性を検証するために、以下のSOTN信頼性モデルと攻撃者を想定する。
本実施形態に係る通信システム1の安全性を検証するために、以下のSOTN信頼性モデルと攻撃者を想定する。
【0036】
≪SOTN信頼性モデル≫
・通信装置10及びXKD装置20とそれらの製造ベンダは信頼する。
・通信装置10及びXKD装置20とそれらの製造ベンダは信頼する。
【0037】
・XKD装置20がQKDにより鍵交換を行う場合、拠点間NW50(光ファイバ専用線)上では各XKD装置20は互いに認証済みであり、盗聴・改ざんが不可能であるとする。
【0038】
・XKD装置20がPQKDにより鍵交換を行う場合、拠点間NW50(インターネット又はWAN)上では各XKD装置20は必ずしも認証済みではなく、盗聴・改ざんが可能であるとする。
【0039】
≪攻撃者≫
・拠点内NW30、拠点間NW40、拠点間NW50のすべてに盗聴・改ざんを意図する攻撃者を想定する。
・拠点内NW30、拠点間NW40、拠点間NW50のすべてに盗聴・改ざんを意図する攻撃者を想定する。
【0040】
<安全性要件に関する検証項目>
以下、一例として、図1に示す通信システム1の構成において、拠点A側をイニシエータ(initiator)、拠点B側をレスポンダ(responder)としてデータ通信を行う場合を想定する。また、以下では、通信装置10Aを「ESPi」、通信装置10Bを「ESPr」、XKD装置20Aを「IKEi」、XKD装置20Bを「IKEr」とも表記すると共に、通信装置10を単に「ESP」、XKD装置20を単に「IKE」とも表記することにする。更に、これら「ESPi」、「ESPr」、「IKEi」、「IKEr」のことをエンティティとも呼ぶことにする。
以下、一例として、図1に示す通信システム1の構成において、拠点A側をイニシエータ(initiator)、拠点B側をレスポンダ(responder)としてデータ通信を行う場合を想定する。また、以下では、通信装置10Aを「ESPi」、通信装置10Bを「ESPr」、XKD装置20Aを「IKEi」、XKD装置20Bを「IKEr」とも表記すると共に、通信装置10を単に「ESP」、XKD装置20を単に「IKE」とも表記することにする。更に、これら「ESPi」、「ESPr」、「IKEi」、「IKEr」のことをエンティティとも呼ぶことにする。
【0041】
ここで、図5に示すように、互いに通信に行うエンティティ間の合意要件を(A1)~(A8)で表す。合意要件(A1)~(A2)は以下の通りである。
【0042】
(A1)IKErからIKEiへの合意
(A2)IKEiからIKErへの合意
(A3)IKEiからESPiへの合意
(A4)ESPiからIKEiへの合意
(A5)IKErからESPrへの合意
(A6)ESPrからIKErへの合意
(A7)ESPrからESPiへの合意
(A8)ESPiからESPrへの合意
なお、合意(agreement)とは2者間(例えば、甲及び乙間)でセキュアな通信を行う際における鍵の共有に関する合意を意味し、例えば、甲から乙への合意とは、甲が乙と共有した扱っている鍵を、乙も甲と共有した鍵として扱っている、ということを意味する。なお、合意に関するより詳細な説明は、例えば、参考文献1等を参照されたい。
(A2)IKEiからIKErへの合意
(A3)IKEiからESPiへの合意
(A4)ESPiからIKEiへの合意
(A5)IKErからESPrへの合意
(A6)ESPrからIKErへの合意
(A7)ESPrからESPiへの合意
(A8)ESPiからESPrへの合意
なお、合意(agreement)とは2者間(例えば、甲及び乙間)でセキュアな通信を行う際における鍵の共有に関する合意を意味し、例えば、甲から乙への合意とは、甲が乙と共有した扱っている鍵を、乙も甲と共有した鍵として扱っている、ということを意味する。なお、合意に関するより詳細な説明は、例えば、参考文献1等を参照されたい。
【0043】
このとき、安全性に関する検証項目として以下の(S1)、(S2)、(PFS)、(KC)、及び(KCI)を検証する。
【0044】
・(S1)共通鍵Kの秘匿性。
【0045】
・(S2)ESPiとESPr間のメッセージの秘匿性。
【0046】
・(PFS)或るエンティティの署名鍵が漏洩したときの過去の共通鍵K及びメッセージの秘匿性。
【0047】
・(KC)或るエンティティの署名鍵が漏洩したときに(A1)~(A8)が満たされるか否か。
【0048】
・(KCI)或るエンティティの署名鍵が漏洩したときに他方になりすませるか否か。
【0049】
<実施例>
以下、本実施形態に係る通信システム1の実施例について説明する。
以下、本実施形態に係る通信システム1の実施例について説明する。
【0050】
[実施例1]
本実施例では、IKE間の鍵交換にPQKD、IKEからESPへの鍵交換に事前共有鍵(PSK:Pre-Shared Key)を用いる場合について説明する。ここで、事前共有鍵は、拠点毎に、信頼できる鍵設定者によって当該拠点内の通信装置10及びPQKD装置20に設定される。
本実施例では、IKE間の鍵交換にPQKD、IKEからESPへの鍵交換に事前共有鍵(PSK:Pre-Shared Key)を用いる場合について説明する。ここで、事前共有鍵は、拠点毎に、信頼できる鍵設定者によって当該拠点内の通信装置10及びPQKD装置20に設定される。
【0051】
このとき、通信システム1の鍵交換及びデータ通信を図6に示す。図6に示すように、まず、PQKD装置20Aの鍵交換部201とPQKD装置20Bの鍵交換部201はPQKD(自身の署名鍵を用いた署名付き鍵交換)により鍵Kをそれぞれ生成する(ステップS101)。
【0052】
次に、PQKD装置20Aの鍵配送部202は、事前共有鍵を用いた共通鍵暗号方式により当該鍵Kを通信装置10Aに配送する(ステップS102-1)。これにより、通信装置10Aの鍵取得部102は、当該鍵Kを取得する。同様に、PQKD装置20Bの鍵配送部202は、事前共有鍵を用いた共通鍵暗号方式により当該鍵Kを通信装置10Bに配送する(ステップS102-2)。これにより、通信装置10Bの鍵取得部102は、当該鍵Kを取得する。
【0053】
そして、通信装置10Aのセキュア通信部101と通信装置10Bのセキュア通信部101は、鍵Kを用いた共通鍵暗号方式によりメッセージの送受信を行う(ステップS103)。すなわち、通信装置10のセキュア通信部101は、SAに指定されたモード、暗号化方式、認証方式等によりメッセージの送受信を行う。なお、セキュア通信部101がSAに指定されたモード、暗号化方式、認証方式等を利用してメッセージの送受信を行うことは、以降も同様である。
【0054】
上記の図6で説明した方式に関する安全性の検証結果を以下の表1に示す。
【0055】
【表1】
【0056】
上記の表1に示されるように、IKEiの署名鍵が漏洩した場合は(A8)の合意が破られてしまい、IKErの署名鍵が漏洩した場合は(A7)の合意が破られてしまう。例えば、図7に示すように、PQKD装置20Aの署名鍵が攻撃者に漏洩した場合、この署名鍵により攻撃者はPQKD装置20Aになりすまし、PQKD装置20Bと鍵交換を行って偽の鍵K'を共有することが可能となる。そして、偽の鍵K'はPQKD装置20Bから通信装置10Bに配送されるため、攻撃者は、偽の鍵K'を用いた共通鍵暗号方式によるメッセージ送受信を通信装置10Bと行うことが可能となり、(A8)の合意が破られてしまう。
【0057】
そこで、本実施例では、図6のステップS103のメッセージ送受信の際に証明書(デジタル証明書)による相互認証を導入する。なお、証明書による認証とは、電子署名を検証するための公開鍵に対して認証局(CA:Certificate Authority)から発行された証明書を付加することで、その電子署名によってデータの改ざんだけでなく、なりすましも防止できるようにする技術である。
【0058】
本実施例における通信システム1の鍵交換及びデータ通信を図8に示す。なお、各通信装置10は自身の署名鍵を保持しており、この署名鍵に対応する公開鍵(署名検証鍵)には認証局から発行された証明書が付加されているものとする。また、ステップS101、ステップS102-1及びステップS102-2は図6と同様であるため、その説明を省略する。
【0059】
通信装置10Aのセキュア通信部101と通信装置10Bのセキュア通信部101は、鍵Kを用いた共通鍵暗号方式により、自身の署名鍵で電子署名を付加したメッセージの送受信を行う(ステップS103')。これにより、各通信装置10のセキュア通信部101は、他の通信装置10から受信したメッセージの署名を検証する際になりすましも検知できるため、上記のFalse2に該当する攻撃を防止することが可能となる。
【0060】
上記の図8で説明した方式に関する安全性の検証結果を以下の表2に示す。
【0061】
【表2】
【0062】
[実施例2]
本実施例では、IKE間の鍵交換にQKD、IKEからESPへの鍵交換に事前共有鍵(PSK)を用いる場合について説明する。
本実施例では、IKE間の鍵交換にQKD、IKEからESPへの鍵交換に事前共有鍵(PSK)を用いる場合について説明する。
【0063】
このとき、本実施例における通信システム1の鍵交換及びデータ通信を図9に示す。図9に示すように、まず、QKD装置20Aの鍵交換部201とQKD装置20Bの鍵交換部201はQKDにより鍵Kをそれぞれ生成する(ステップS201)。
【0064】
次に、QKD装置20Aの鍵配送部202は、事前共有鍵を用いた共通鍵暗号方式により当該鍵Kを通信装置10Aに配送する(ステップS202-1)。これにより、通信装置10Aの鍵取得部102は、当該鍵Kを取得する。同様に、QKD装置20Bの鍵配送部202は、事前共有鍵を用いた共通鍵暗号方式により当該鍵Kを通信装置10Bに配送する(ステップS202-2)。これにより、通信装置10Bの鍵取得部102は、当該鍵Kを取得する。
【0065】
そして、通信装置10Aのセキュア通信部101と通信装置10Bのセキュア通信部101は、鍵Kを用いた共通鍵暗号方式によりメッセージの送受信を行う(ステップS203)。
【0066】
上記の図9で説明した方式に関する安全性の検証結果を以下の表3に示す。
【0067】
【表3】
【0068】
[実施例3]
本実施例では、IKE間の鍵交換にPQKD、IKEからESPへの鍵交換に署名付きDH(Diffie-Hellman)鍵配送(これは、signDHともいう。)を用いる場合について説明する。ここで、signDHとは、電子署名付きのDH鍵配送(又は、DH鍵交換とも呼ばれる。)により鍵の配送又は交換を行う手法のことである。なお、各通信装置10も自身の署名鍵を保持しているものとする。
本実施例では、IKE間の鍵交換にPQKD、IKEからESPへの鍵交換に署名付きDH(Diffie-Hellman)鍵配送(これは、signDHともいう。)を用いる場合について説明する。ここで、signDHとは、電子署名付きのDH鍵配送(又は、DH鍵交換とも呼ばれる。)により鍵の配送又は交換を行う手法のことである。なお、各通信装置10も自身の署名鍵を保持しているものとする。
【0069】
このとき、通信システム1の鍵交換及びデータ通信を図10に示す。図10に示すように、PQKD装置20Aの鍵交換部201とPQKD装置20Bの鍵交換部201はPQKD(自身の署名鍵を用いた署名付き鍵交換)により鍵Kをそれぞれ生成する(ステップS301)。
【0070】
次に、PQKD装置20Aの鍵配送部202と通信装置10Aの鍵取得部102は署名付きDH鍵配送により鍵Kを通信装置10Aに配送する(ステップS302-1)。同様に、PQKD装置20Bの鍵配送部202と通信装置10Bの鍵取得部102は署名付きDH鍵配送により鍵Kを通信装置10Aに配送する(ステップS302-2)。
【0071】
そして、通信装置10Aのセキュア通信部101と通信装置10Bのセキュア通信部101は、鍵Kを用いた共通鍵暗号方式によりメッセージの送受信を行う(ステップS303)。
【0072】
上記の図10で説明した方式に関する安全性の検証結果を以下の表4に示す。
【0073】
【表4】
【0074】
上記の表4に示されるように、IKEiの署名鍵が漏洩した場合は(A7)及び(A8)の合意が破られてしまい、同様にIKErの署名鍵が漏洩した場合も(A7)及び(A8)の合意が破られてしまう。例えば、図11に示すように、PQKD装置20Aの署名鍵が攻撃者に漏洩した場合、この署名鍵により攻撃者はPQKD装置20Aになりすまし、通信装置10Aと署名付きDH鍵配送を行って偽の鍵K'を配送することができる。このため、攻撃者は、偽の鍵K'を用いた共通鍵暗号方式によるメッセージ送受信を通信装置10Aと行うことが可能となり、(A7)の合意が破られてしまう。
【0075】
そこで、本実施例でも、実施例1と同様に、図10のステップS303のメッセージ送受信の際に証明書(デジタル証明書)による相互認証を導入する。
【0076】
本実施例における通信システム1の鍵交換及びデータ通信を図12に示す。なお、各通信装置10の署名鍵に対応する公開鍵(署名検証鍵)には認証局から発行された証明書が付加されているものとする。また、ステップS301、ステップS302-1及びステップS302-2は図10と同様であるため、その説明を省略する。
【0077】
通信装置10Aのセキュア通信部101と通信装置10Bのセキュア通信部101は、鍵Kを用いた共通鍵暗号方式により、自身の署名鍵で電子署名を付加したメッセージの送受信を行う(ステップS303')。なお、これは、図8のステップS103'と同様である。これにより、各通信装置10のセキュア通信部101は、他の通信装置10から受信したメッセージの署名を検証する際になりすましも検知できるため、上記のFalse3-1及びFalse3-2に該当する攻撃を防止することが可能となる。
【0078】
上記の図12で説明した方式とすることで、上記の表4に示す検証結果は以下の表5のようになることが期待される。
【0079】
【表5】
【0080】
[実施例4]
本実施例では、IKE間の鍵交換にQKD、IKEからESPへの鍵交換に署名付きDH鍵配送を用いる場合について説明する。なお、各通信装置10も自身の署名鍵を保持しているものとする。
本実施例では、IKE間の鍵交換にQKD、IKEからESPへの鍵交換に署名付きDH鍵配送を用いる場合について説明する。なお、各通信装置10も自身の署名鍵を保持しているものとする。
【0081】
このとき、通信システム1の鍵交換及びデータ通信を図13に示す。図13に示すように、QKD装置20Aの鍵交換部201とQKD装置20Bの鍵交換部201はQKDにより鍵Kをそれぞれ生成する(ステップS401)。
【0082】
次に、QKD装置20Aの鍵配送部202と通信装置10Aの鍵取得部102は署名付きDH鍵配送により鍵Kを通信装置10Aに配送する(ステップS402-1)。同様に、QKD装置20Bの鍵配送部202と通信装置10Bの鍵取得部102は署名付きDH鍵配送により鍵Kを通信装置10Aに配送する(ステップS402-2)。
【0083】
そして、通信装置10Aのセキュア通信部101と通信装置10Bのセキュア通信部101は、鍵Kを用いた共通鍵暗号方式によりメッセージの送受信を行う(ステップS403)。
【0084】
上記の図13で説明した方式に関する安全性の検証結果を以下の表6に示す。
【0085】
【表6】
【0086】
そこで、本実施例でも、実施例3と同様に、図13のステップS403のメッセージ送受信の際に証明書(デジタル証明書)による相互認証を導入する。
【0087】
本実施例における通信システム1の鍵交換及びデータ通信を図14に示す。なお、各通信装置10の署名鍵に対応する公開鍵(署名検証鍵)には認証局から発行された証明書が付加されているものとする。また、ステップS401、ステップS402-1及びステップS402-2は図13と同様であるため、その説明を省略する。
【0088】
通信装置10Aのセキュア通信部101と通信装置10Bのセキュア通信部101は、鍵Kを用いた共通鍵暗号方式により、自身の署名鍵で電子署名を付加したメッセージの送受信を行う(ステップS403')。なお、これは、図12のステップS303'と同様である。これにより、各通信装置10のセキュア通信部101は、他の通信装置10から受信したメッセージの署名を検証する際になりすましも検知できるため、上記のFalse3-2に該当する攻撃を防止することが可能となる。
【0089】
上記の図14で説明した方式に関する安全性の検証結果を以下の表7に示す。
【0090】
【表7】
【0091】
<まとめ>
以上のように、本実施形態に係る通信システム1では、PQKD又はQKDによる鍵交換を実現するIKEとして機能する機器とESPとして機能する機器とで構成される4者間以上のネットワークにおいて、ESPとして機能する機器間の通信を共通鍵暗号方式とデジタル証明書による相互認証付き電子署名とで構成する。これにより、IKEとして機能する機器の署名鍵が漏洩した場合であっても、ESPとして機能する機器間の合意要件が保証される。このため、例えば、ESP間の通信をOTNで構成し、本実施形態に係る通信システム1によりSOTNを実現する場合に、従来技術よりもセキュアなネットワークを構築することが可能となる。
以上のように、本実施形態に係る通信システム1では、PQKD又はQKDによる鍵交換を実現するIKEとして機能する機器とESPとして機能する機器とで構成される4者間以上のネットワークにおいて、ESPとして機能する機器間の通信を共通鍵暗号方式とデジタル証明書による相互認証付き電子署名とで構成する。これにより、IKEとして機能する機器の署名鍵が漏洩した場合であっても、ESPとして機能する機器間の合意要件が保証される。このため、例えば、ESP間の通信をOTNで構成し、本実施形態に係る通信システム1によりSOTNを実現する場合に、従来技術よりもセキュアなネットワークを構築することが可能となる。
【0092】
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。
【0093】
[参考文献]
参考文献1:「Key Exchange in IPsec Revisited: Formal Analysis of IKEv1 and IKEv2」, Cas Cremers, ESORICS 2011.
参考文献1:「Key Exchange in IPsec Revisited: Formal Analysis of IKEv1 and IKEv2」, Cas Cremers, ESORICS 2011.
【符号の説明】
【0094】
1 通信システム
10 通信装置
11 外部I/F
11a 記録媒体
12 通信I/F
13 プロセッサ
14 メモリ装置
15 バス
20 XKD装置
21 外部I/F
21a 記録媒体
22 通信I/F
23 プロセッサ
24 メモリ装置
25 バス
30 拠点内NW
40 拠点間NW
50 拠点間NW
101 セキュア通信部
102 鍵取得部
103 記憶部
201 鍵交換部
202 鍵配送部
203 記憶部
E 拠点環境
10 通信装置
11 外部I/F
11a 記録媒体
12 通信I/F
13 プロセッサ
14 メモリ装置
15 バス
20 XKD装置
21 外部I/F
21a 記録媒体
22 通信I/F
23 プロセッサ
24 メモリ装置
25 バス
30 拠点内NW
40 拠点間NW
50 拠点間NW
101 セキュア通信部
102 鍵取得部
103 記憶部
201 鍵交換部
202 鍵配送部
203 記憶部
E 拠点環境
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】