IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > UNIONPLACE CO., LTD.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社ユニオンプレイスの特許一覧

<>
  • 特表-ネットワーク内の装置 図1
  • 特表-ネットワーク内の装置 図2
  • 特表-ネットワーク内の装置 図3
  • 特表-ネットワーク内の装置 図4
  • 特表-ネットワーク内の装置 図5
  • 特表-ネットワーク内の装置 図6
  • 特表-ネットワーク内の装置 図7
  • 特表-ネットワーク内の装置 図8
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-01-09
(54)【発明の名称】ネットワーク内の装置
(51)【国際特許分類】
   H04L 9/14 20060101AFI20231226BHJP
【FI】
H04L9/14
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022558153
(86)(22)【出願日】2022-06-30
(85)【翻訳文提出日】2022-09-26
(86)【国際出願番号】 KR2022009392
(87)【国際公開番号】W WO2023054857
(87)【国際公開日】2023-04-06
(31)【優先権主張番号】10-2021-0128647
(32)【優先日】2021-09-29
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】517419179
【氏名又は名称】株式会社ユニオンプレイス
【氏名又は名称原語表記】UNIONPLACE CO., LTD.
【住所又は居所原語表記】Suites 1302&1303, 11 Digital-ro 33-gil, Guro-gu, Seoul, Republic of Korea
(74)【代理人】
【識別番号】100166372
【弁理士】
【氏名又は名称】山内 博明
(72)【発明者】
【氏名】パン・ソンチョル
(72)【発明者】
【氏名】シン・ヨンギュ
(72)【発明者】
【氏名】キム・スンギョム
(57)【要約】
複数の装置を有するネットワーク内の装置であって、保安区域(secure zone)に配置され、複数の暗号化アルゴリズムと複数の情報生成器と複数のキーを保存する保存部と、前記保安区域に配置され、前記ネットワーク内において前記装置がマスター装置によって動作する場合、(a)前記複数の暗号化アルゴリズム、前記複数の情報生成器、及び前記複数のキーのうち、前記ネットワーク内における暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択する処理と、(b)前記暗号化アルゴリズムの識別情報、前記情報生成器の識別情報、及び前記キーの識別情報のうち少なくとも一つを有するプロファイル情報を生成する処理と、(c)前記プロファイル情報を、前記ネットワーク内の前記複数の装置中の前記装置を除く他の装置へ転送する処理を行い、前記ネットワーク内において前記装置が前記マスター装置によって動作しない場合、(d)前記マスター装置から前記プロファイル情報を受信する処理と、(e)前記プロファイル情報を基に前記暗号化通信のために用いる前記暗号化アルゴリズム、前記情報生成器、及び前記キーのうち少なくとも一つを指定する処理とを行う演算処理部と、を有する装置が提供される。
【特許請求の範囲】
【請求項1】
複数の装置を有するネットワーク内の装置であって、 保安区域(secure zone)に配置され、複数の暗号化アルゴリズムと、複数の情報生成器と、複数のキーを保存する保存部と、 前記保安区域に配置され、前記ネットワーク内において前記装置がマスター装置によって動作する場合、(a)前記複数の暗号化アルゴリズム、前記複数の情報生成器、及び前記複数のキーのうち、前記ネットワーク内における暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択する処理と、(b)前記暗号化アルゴリズムの識別情報、前記情報生成器の識別情報、及び前記キーの識別情報のうち少なくとも一つを有するプロファイル情報を生成する処理と、(c)前記プロファイル情報を、前記ネットワーク内の前記複数の装置中の前記装置を除く他の装置へ転送する処理を行い、前記ネットワーク内において前記装置が前記マスター装置によって動作しない場合、(d)前記マスター装置から前記プロファイル情報を受信する処理と、(e)前記プロファイル情報を基に、前記暗号化通信のために用いる前記暗号化アルゴリズム、情報生成器、及び前記キーのうち少なくとも一つを指定する処理とを行う演算処理部と、 を有する装置。
【請求項2】
前記処理(a)は、(a-1)乱数を基に前記暗号化通信のために用いる前記暗号化アルゴリズム、前記情報生成器、及び前記キーのうち少なくとも一つを選択する処理をさらに有する請求項1に記載の装置。
【請求項3】
前記処理(a)は、(a-2)前記ネットワーク内の通信環境を基に前記暗号化通信のために用いる前記暗号化アルゴリズム、前記情報生成器、及び前記キーのうち少なくとも一つを選択する処理をさらに有する請求項1に記載の装置。
【請求項4】
前記(c)は、(c-1)予め指定された初期プロファイルを用いて前記プロファイル情報を暗号化する処理をさらに有し、前記処理(d)は、(d-1)前記初期プロファイルを用いて前記プロファイル情報を復号化する処理をさらに有する請求項1に記載の装置。
【請求項5】
前記プロファイル情報は、前記プロファイル情報の履歴情報をさらに有し、前記処理(d)は、(d-2)前記プロファイル情報の前記履歴情報を用いて前記プロファイル情報を解釈する処理をさらに有する請求項1に記載の装置。
【請求項6】
前記保安区域に配置されるネットワークインターフェースをさらに有し、 前記処理(c)は、(c-3)前記プロファイル情報を、前記ネットワークインターフェースを用いて前記ネットワーク内の前記複数の装置中の前記装置を除く他の装置へ転送する処理を有し、 前記処理(d)は、(d-3)前記プロファイル情報を、前記ネットワークインターフェースを用いて前記マスター装置から受信する処理を有する請求項1に記載の装置。
【請求項7】
前記保存部は、マスターキー及び前記プロファイル情報の履歴情報をさらに保存する請求項1に記載の装置。
【請求項8】
前記プロファイル情報は、マスターキー及び前記プロファイル情報の履歴情報のうち少なくとも一つをさらに有する請求項1に記載の装置。
【請求項9】
前記演算処理部は、(f)マスターキー及び前記プロファイル情報の履歴情報のうち少なくとも一つを有するシード情報、及び前記情報生成器を基に、前記複数の暗号化アルゴリズムの各々の識別情報、及び前記複数のキーの各々の識別情報を生成する処理をさらに行う請求項1に記載の装置。
【請求項10】
前記演算処理部は、(g)マスターキー、及び前記プロファイル情報の履歴情報のうち少なくとも一つを有するシード情報、及び前記情報生成器を基に前記複数の情報生成器の各々の識別情報を生成する処理をさらに行う請求項1に記載の装置。
【請求項11】
前記演算処理部は、(h)マスターキー及び前記プロファイル情報の履歴情報のうち少なくとも一つを有するシード情報、及び前記情報生成器を基に前記複数のキーを生成して前記保存部に保存する処理をさらに行う請求項1に記載の装置。
【請求項12】
前記演算処理部は、(i)前記複数の暗号化アルゴリズムの各々の識別情報、及び前記複数のキーの各々の識別情報を基に前記保存部に前記複数の暗号化アルゴリズム及び前記複数のキーを整列して保存する処理をさらに行う請求項1に記載の装置。
【請求項13】
前記演算処理部は、(j)前記複数の情報生成器の各々の識別情報を基に前記保存部に前記複数の情報生成器を整列して保存する処理をさらに行う請求項1に記載の装置。
【請求項14】
前記演算処理部は、(k)前記暗号化通信の政策情報を生成する処理をさらに行う請求項1に記載の装置。
【請求項15】
前記プロファイル情報は前記暗号化通信の政策情報をさらに有し、 前記演算処理部は、前記ネットワーク内において前記装置が前記マスター装置によって動作しない場合、(l)前記プロファイル情報から前記政策情報を抽出する処理をさらに行う請求項1に記載の装置。
【請求項16】
前記政策情報は、前記暗号化通信の有効期間情報を有する請求項14に記載の装置。
【請求項17】
前記処理(k)は、(k-1)前記情報生成器を基に前記有効期間情報を生成する処理を有する請求項16に記載の装置。
【請求項18】
前記政策情報は前記暗号化通信のQoS(quality of service)情報を有する請求項14に記載の装置。
【請求項19】
前記処理(k)は、(k-2)前記情報生成器を基に前記QoS情報を生成する処理を有する請求項18に記載の装置。
【請求項20】
前記処理(k)は、(k-3)前記ネットワーク内において前記装置が前記マスター装置によって動作する場合、前記ネットワーク内の通信環境を基に前記QoS情報を生成する処理を有する請求項18に記載の装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示はネットワーク内の装置に関する。 本願で説明される技術は、韓国産業技術評価管理院により管理される産業通商資源部の研究課題の支援を受けて開発された(研究課題名:「超高速自律セキュリティネットワークのためのオブジェクト知能基盤のAI Applet MCU研究開発」、課題固有番号:1415180947)。
【背景技術】
【0002】
コンピューティング技術及び通信技術の発展に伴い、様々な装置がネットワークに繋がれている。例えば、パーソナルコンピュータ、移動通信端末、冷蔵庫、エアーコンディショナー及びテレビジョン受信機などの様々な装置がホームネットワークに繋がれている。例えば、生産設備、業務用コンピュータ及びセンサーなどの装置が生産現場に設置されたネットワークに繋がれている。また例えば、モノのインターネット(Internet of Things)技術によれば、ウェアラブル装置及びセンサーなどの様々な装置が追加的にネットワークに繋がれている。以下、本明細書において、通信機能及びコンピューティング機能を備えた装置を総称して「装置」と称する。
【0003】
装置は、保安性を高めるために、例えば保安区域(Secure Zone)と一般区域(Normal Zone)を備えるプロセッサなどの半導体素子を用いて実現され得る。保安区域(Secure Zone)は信頼区域(Trust Zone)とも称することができる。
【0004】
例えば、サムスン電子株式会社により出願され、2017年2月6日公開された「セキュリティネットワークシステム及びそのデータ処理方法」という名称の韓国公開特許第10-2017-0012957号によれば、保安区域(「secure world」と呼んでいる)と一般区域(「normal world」と呼んでいる)のうち一つで選択的に動作可能なプロセッサを用いる技術が開示されている。
【0005】
一方、装置は、インターネットのようなネットワークに繋がれているため、ハッキングのような悪意のある攻撃に晒されやすい。したがって、TLS(Transport Layer Security)及びDTLS(Datagram Transport Layer Security)などのインターネット基盤のセキュリティプロトコルが、装置間でデータを暗号化して送受信するために適用され得る。
【0006】
TLSプロトコルによれば、ネットワーク内の第1装置と第2装置とは、公開キーを基盤に相互認証を行い、秘密キー(対称キー)を生成して共有する。その後、第1装置と第2装置とは秘密キーを用いてデータを暗号化して送受信する。
【0007】
例えば、サムスン電子株式会社により出願され、2018年7月2日公開された「機器間セキュリティ通信方法」という名称の韓国公開特許第10-2018-0073015号によれば、第1装置と第2装置との間におけるハンドシェイキング(handshaking)が開示されている。
【0008】
より具体的には、セキュリティセッションを生成するために、第1装置と第2装置との間では、例えば、「_Client_Hello」、「_Server_Hello」、「__Server_Key_Exchange」、「_Certificate_Request」、「__Server_Hello_Done」、「_Client_Certificate」、「__Client_Key_Exchange」、「_Certificate_Verify」、「_Client_Finished」及び「_Server_Finished」などの様々なメッセージが送受信されている。
【0009】
第1装置と第2装置との間で、前述のTLSなどのセキュリティプロトコルを適用するためにハンドシェイキングが実行される場合、下記のような短所がある。
【0010】
まず、第1装置と第2装置とは、ハンドシェイキング過程で前述の様々なメッセージを送受信する。したがって、ハンドシェイキングのために第1装置と第2装置との間で多量のメッセージが送受信されることになり、ハンドシェイキングが完了するまでに多くの時間が要される。
【0011】
次に、第1装置と第2装置とは、ハンドシェイキング過程では暗号化通信のための秘密キー(対称キー)を公開キー(PKI)を基盤に送受信するため、高いセキュリティレベルで秘密キーを送受信することができる。しかし、第1装置と第2装置とは、その後の通信過程では対称キーである秘密キーを用いてデータを暗号化して送受信するため、低いセキュリティレベルでデータを送受信する。したがって、秘密キーが漏洩する場合、第1装置と第2装置との間のデータ通信は、ハッキングなどの悪意のある攻撃に弱い。
【0012】
次に、ハンドシェイキングを通じて設定された第1装置と第2装置との間のセキュリティセッションが終結すれば、その次のデータ通信のためには、第1装置と第2装置との間でハンドシェイキングを再び行い、セキュリティセッションを新たに生成しなければならない。
【0013】
次に、ネットワーク内の装置の個数が増加すると、ハンドシェイキングに要する時間もまた非常に大きく増加する。すなわち、ネットワーク内の複数の装置の各々に対してハンドシェイキングが実行されるため、ハンドシェイキングに要する時間もまた非常に大きく増加する。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】韓国公開特許第10-2017-0012957号
【特許文献2】韓国公開特許第10-2018-0073015号
【発明の概要】
【発明が解決しようとする課題】
【0015】
本願で説明される技術の目的は、暗号化通信のため使用するプロファイル情報を用いることによって、ハンドシェイキングに所要するメッセージ伝達段階及びハンドシェイキングに所要する時間を最少化でき、暗号化方式を動的に変更することができ、有効期間情報及びQoS情報などの政策情報を容易に変更することができ、ネットワーク内の複数の装置がプロファイル情報を容易かつ迅速に共有することができるネットワーク内の装置を提供することにある。
【課題を解決するための手段】
【0016】
前記技術的課題を達成するために、本願で説明される技術の一態様によれば、複数の装置を有するネットワーク内の装置であって、保安区域に配置され、複数の暗号化アルゴリズムと複数の情報生成器と複数のキーとを保存する保存部と、前記保安区域に配置され、前記ネットワーク内において前記装置がマスター装置によって動作する場合、(a)前記複数の暗号化アルゴリズム、前記複数の情報生成器、及び前記複数のキーのうち、前記ネットワーク内における暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択する処理と、(b)前記暗号化アルゴリズムの識別情報、前記情報生成器の識別情報、及び前記キーの識別情報のうち少なくとも一つを有するプロファイル情報を生成する処理と、(c)前記プロファイル情報を、前記ネットワーク内の前記複数の装置中の前記装置を除く他の装置へ転送する処理を行い、前記ネットワーク内において前記装置が前記マスター装置によって動作しない場合、(d)前記マスター装置から前記プロファイル情報を受信する処理と、(e)前記プロファイル情報を基に前記暗号化通信のために用いる前記暗号化アルゴリズム、前記情報生成器、及び前記キーのうち少なくとも一つを指定する処理を行う演算処理部とを有する装置が提供される。
【発明の効果】
【0017】
本願で説明される技術によれば、暗号化通信のために用いるプロファイル情報を用いることによって、ハンドシェイキングに所要するメッセージ伝達段階、及びハンドシェイキングに所要する時間を最少化でき、暗号化方式を動的に変更でき、有効期間情報及びQoS情報などの政策情報を容易に変更でき、ネットワーク内の複数の装置がプロファイル情報を容易かつ迅速に共有することができる。
【図面の簡単な説明】
【0018】
図1】本願で説明される技術の一実施例に係るネットワーク内の装置の例示的な構成を示す図面である。
図2】本願で説明される技術の一実施例に係るネットワーク内の装置を有するネットワークの例示的な構成を示す図面である。
図3】本願で説明される技術の一実施例に係るネットワーク内の装置の演算処理部が行う処理の例を示す図面である。
図4】本願で説明される技術の一実施例に係るネットワーク内の装置の保存部の例示的な構成を示す図面である。
図5】本願で説明される技術の一実施例に係るネットワーク内の装置の演算処理部が行う処理の他の例を示す図面である。
図6】本願で説明される技術の一実施例に係るネットワーク内の装置の演算処理部が行う処理のまた他の例を示す図面である。
図7】本願で説明される技術の一実施例に係るネットワーク内の装置において、複数の暗号化アルゴリズム、複数の情報生成器及び複数のキーを各々の識別情報を基に整列して保存部に保存した状態を例示的に示す図面である。
図8】本願で説明される技術の一実施例に係るネットワーク内の装置において、複数のキーを生成し保存部内に保存した状態を例示的に示す図面である。
【発明を実施するための態様】
【0019】
以下、本願で説明される技術に係るネットワーク内の装置の実施例を、添付した図面を参照しながらより具体的に説明する。一方、本願で説明される技術の実施例を説明するための図面において、説明の便宜上、実際の構成の一部のみを図示したり、一部を省略して図示したり、変形して図示したり、または縮尺が違うように図示したりすることもある得る。
【0020】
以下、本願で説明される技術に係るネットワーク内の装置の一実施例を説明する。
【0021】
図1は本願で説明される技術の一実施例に係るネットワーク内の装置100の例示的な構成を示す図面であり、図2は装置100を有するネットワーク200の例示的な構成を示す図面である。
【0022】
図1を参照すれば、本願で説明される技術に係る装置100は、保存部110と、第1演算処理部130と、第1ネットワークインターフェース150と、第2演算処理部170と、第2ネットワークインターフェース190とを有することができる。
【0023】
本願で説明される技術に係る装置100は、通信機能及びコンピューティング機能を備えた装置である。装置100は、例えばCPU(Central Processing Unit)などの半導体素子によって実現され得る。より具体的には、装置100は一般区域と保安区域とを備える半導体素子によって実現され得る。装置100内の保存部110は、例えば半導体メモリーなどの半導体素子によって実現され得る。装置100内の第1演算処理部130及び第2演算処理部170は、演算ロジックなどの半導体素子によって実現され得る。装置100内の第1ネットワークインターフェース150及び第2ネットワークインターフェース190は、通信ロジックなどの半導体素子によって実現され得る。
【0024】
また、前述のとおり、装置100は、パーソナルコンピュータ、移動通信端末、冷蔵庫、エアーコンディショナー、テレビジョン受信機、生産設備、業務用コンピュータ、ウェアラブル装置及びセンサーなどの様々な形態で実現され得る。例えば、図2において、本願で説明される技術に係る装置100の具体的な例である装置100-1は業務用コンピュータ、装置100-2は生産設備、装置100-3はセンサー、装置100-x(但し、xは3以上の自然数)は移動通信端末態様で実現され得る。具体的な実現態様が異なっても、装置100-1~100-xは全て同一に本実施例に係る保存部110と、第1演算処理部130と、第1ネットワークインターフェース150と、第2演算処理部170と、第2ネットワークインターフェース190とを有する。保存部110と、第1演算処理部130と、第1ネットワークインターフェース150と、第2演算処理部170と、第2ネットワークインターフェース190とは、業務用コンピュータ、生産設備、センサー及び移動通信端末などの具体的な構成内に半導体素子形態で内蔵され、または例えばUSBメモリー、或いはSIM(Subscriber Identity Module)形態で実現され、業務用コンピュータ、生産設備、センサー及び移動通信端末などの具体的な構成にも接続され得る。
【0025】
保存部110と第1演算処理部130と第1ネットワークインターフェース150とは、保安区域に配置される。以下、第1演算処理部130は、単に演算処理部130と称することができ、第1ネットワークインターフェース150は、単にネットワークインターフェース150とも称することができる。
【0026】
第2演算処理部170と第2ネットワークインターフェース190とは、一般区域に配置される。
【0027】
まず、一般区域に配置される第2演算処理部170と第2ネットワークインターフェース190とについて説明する。
【0028】
第2ネットワークインターフェース190は、通信のためのインターフェースである。例えば、図2に示す装置100-1の第2ネットワークインターフェース190は、装置100-2~100-xの第2ネットワークインターフェース190との通信のためのインターフェースである。
【0029】
第2演算処理部170は、例えば第2ネットワークインターフェース190を通じて受信したデータを処理して保安区域に配置される演算処理部130へ転送するか、演算処理部130から転送されるデータを受信及び処理する。
【0030】
以下、保安区域に配置される保存部110と演算処理部130とネットワークインターフェース150とについてより詳しく説明する。
【0031】
保存部110は、保安区域に配置され、複数の暗号化アルゴリズム(図4の111)と複数の情報生成器(図4の113)と複数のキー(図4の115)とを保存する。
【0032】
複数の暗号化アルゴリズム111と複数の情報生成器113と複数のキー115とは、例えば装置100のメーカによって予め保存され得る。複数の暗号化アルゴリズム111と複数の情報生成器113と複数のキー115とのうち少なくとも一つは、例えばネットワーク200の管理者によって変更され、保存されることもある。
【0033】
演算処理部130は、保安区域に配置される。演算処理部130の具体的な構成については後述する。
【0034】
ネットワークインターフェース150は、保安区域に配置され、高いレベルのセキュリティ通信のためのインターフェースである。例えば、図2に示す装置100-1のネットワークインターフェース150は、装置100-2~100-xのネットワークインターフェース150とのセキュリティ通信のためのインターフェースである。
【0035】
図3は本願で説明される技術の一実施例に係るネットワーク内の装置100の演算処理部130が行う処理の一例を示す図面であり、図4は本願で説明される技術の一実施例に係るネットワーク内の装置100の保存部110の例示的な構成を示す図面であり、図5は本願で説明される技術の一実施例に係るネットワーク内の装置100の演算処理部130が行う処理の他の例を示す図面である。
【0036】
以下、演算処理部130の構成をより具体的に説明する。
【0037】
図2を参照すれば、ネットワーク200内には複数の装置、例えば、装置100-1~100-xが存在する。装置100-1~100-xのうち、後述するプロファイル情報を生成して他の装置にプロファイル情報を転送する装置を以下、「マスター装置」と称する。
【0038】
例えば、ネットワーク200内で、装置100-1はマスター装置によって動作され、装置100-2~100-xはマスター装置である装置100-1からプロファイル情報を受信することができる。例えば、ネットワーク200内で装置100-2はマスター装置によって動作され、装置100-1、装置100-3~装置100-xはマスター装置である装置100-2からプロファイル情報を受信することができる。
【0039】
装置100は、装置100-1~100-xのうちいずれか一つを指すことができる。
【0040】
ネットワーク内において装置100がマスター装置によって動作する場合、演算処理部130は、下記のような処理を行うことができる。
【0041】
図3を参照すれば、演算処理部130は、複数の暗号化アルゴリズム111、複数の情報生成器113、及び複数のキー115のうち、ネットワーク200内での暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択する(処理P110)。
【0042】
図4を参照すれば、保存部110内には、例えば「暗号化_アルゴリズム-A」、「暗号化_アルゴリズム-B」、「暗号化_アルゴリズム-C」、「暗号化_アルゴリズム-D」、「暗号化_アルゴリズム-E」、「暗号化_アルゴリズム-F」等のような複数の暗号化アルゴリズム111と、例えば、「情報_生成器-A」、「情報_生成器-B」、「情報_生成器-C」、「情報_生成器-D」、「情報_生成器-E」、「情報_生成器-F」等のような複数の情報生成器113と、例えば「キー-A」、「キー-B」、「キー-C」、「キー-D」、「キー-E」、「キー-F」等のような複数のキー115が予め保存されている。
【0043】
例えば、AES、DES、RC2、RC4、TripleDES、GOST、SHA、MDC、RSA、DSA、及びElliptic Curveなどの暗号化アルゴリズムが、複数の暗号化アルゴリズム111として保存部110に保存され得る。
【0044】
例えば、乱数発生器、識別情報生成器、キー生成器、及び政策生成器などの情報生成器が、複数の情報生成器113として保存部110に保存され得る。
【0045】
例えば、対称キー、または非対称キーなどのキーが複数のキー115として保存部110に保存され得る。
【0046】
処理P110を通じて演算処理部130は、ネットワーク200内での暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択する。例えば、演算処理部130は、「暗号化_アルゴリズム-B」と、「情報_生成器-A」と、「キー-D」とを、暗号化通信のために用いることで選択することができる。
【0047】
次に、演算処理部130は、処理P110を通じて選択された暗号化アルゴリズムの識別情報、情報生成器の識別情報、及びキーの識別情報のうち少なくとも一つを有するプロファイル情報を生成する(処理P120)。
【0048】
例えば、処理P110を通じて暗号化_アルゴリズム-Bと、情報_生成器-Aと、キー-Dとが選択された場合、プロファイル情報は、例えば「G♯1、A♯2、K#4」などの形態であり得る。「G♯1」は選択された情報生成器の識別情報が「#1」であることを表し、「A♯2」は選択された暗号化アルゴリズムの識別情報が「#2」であることを表し、「K#4」は選択されたキーの識別情報が「#4」であることを表している。
【0049】
例えば、処理P110を通じて「暗号化_アルゴリズム-B」と「キー-D」が選択された場合、プロファイル情報は、例えば「A♯2、K#4」などの形態であり得る。
【0050】
例えば、処理P110を通じて「情報_生成器-A」が選択された場合、プロファイル情報は、例えば「G♯1」などの形態であり得る。
【0051】
次に、演算処理部130は、処理P120を通じて生成されたプロファイル情報を、ネットワーク200内の複数の装置中の装置100を除く他の装置へ転送する(処理P130)。例えば、装置100-1がマスター装置である場合、装置100-1は、装置100-2~100-xへプロファイル情報を転送する。
【0052】
ネットワーク内において装置100がマスター装置によって動作しない場合、演算処理部130は下記のような処理を行うことができる。
【0053】
図5を参照すれば、演算処理部130はマスター装置からプロファイル情報を受信する(処理P140)。
【0054】
前述のとおり、プロファイル情報は暗号化通信のために用いる暗号化アルゴリズムの識別情報、情報生成器の識別情報、及びキーの識別情報のうち少なくとも一つを有する。
【0055】
次に、演算処理部130は処理P140を通じて受信したプロファイル情報を基に、暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを指定する(処理P150)。
【0056】
すなわち、演算処理部130はプロファイル情報に含まれるものである暗号化アルゴリズムの識別情報、情報生成器の識別情報、及びキーの識別情報のうち少なくとも一つを基に、暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを指定する。
【0057】
このように、装置100がマスター装置によって動作する場合は、装置100はネットワーク200内の他の装置に、暗号化通信のために用いる暗号化アルゴリズムの識別情報、情報生成器の識別情報、及びキーの識別情報のうち少なくとも一つを有するプロファイル情報を転送することができる。また、装置100がマスター装置によって動作しない場合は、装置100はネットワーク200内のマスター装置からプロファイル情報を受信することができる。したがって、複雑なハンドシェイキングを行わなくとも、ネットワーク200内の複数の装置はプロファイル情報を基に暗号化通信を行うことができる。
【0058】
一方、図3を参照すれば、処理P110は乱数を基に暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択する処理を有することができる。
【0059】
例えば、複数の情報生成器のうちいずれか一つは乱数発生器として動作し、演算処理部130は乱数発生器を用いて、暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択することができる。
【0060】
例えば、乱数発生器を通じて、「2、1、4」が選択された場合、演算処理部130は、乱数「2」に該当する「暗号化_アルゴリズム-B」と、乱数「1」に該当する「情報_生成器-A」と、乱数「4」に該当する「キー-D」を、暗号化通信のために用いることで選択することができる。
【0061】
一方、図3を参照すれば、処理P110は、ネットワーク200内の通信環境を基に暗号化通信のために用いる暗号化アルゴリズム、及び情報生成器、及びキーのうち少なくとも一つを選択する処理を有することができる。
【0062】
例えば、ネットワーク200内の通信環境が軽量暗号化アルゴリズム、及び長さの短いキーを使用しなければならない場合、演算処理部130は、複数の暗号化アルゴリズム111、及び複数のキー115のうち、軽量暗号化アルゴリズム、及び長さの短いキーを暗号化通信のために用いることで選択することができる。
【0063】
一方、図3を参照すれば、処理P130は予め指定された初期プロファイルを用いてプロファイル情報を暗号化する処理を有することができ、図5を参照すれば、処理P140は予め指定された初期プロファイルを用いてプロファイル情報を復号化する処理を有することができる。
【0064】
ハッキングなどの悪意のある攻撃を防止するために、ネットワーク200内でプロファイル情報は暗号化されて転送及び受信されることが望ましい。
【0065】
例えば、ネットワーク200が装置100-1~100-xを有するよう形成された初期状態である場合、装置100-1~100-xは、プロファイル情報をどのような暗号化アルゴリズム、及びどのようなキーを用いて暗号化するのか、または復号化するのかわからない場合がある。すなわち、複数の装置中のマスター装置は、プロファイル情報をどのような暗号化アルゴリズム、及びどのようなキーを用いて暗号化するのかわからず、複数の装置中のマスター装置を除く他の装置はプロファイル情報をどのような暗号化アルゴリズム、及びどのようなキーを用いて暗号化するのかわからない場合がある。
【0066】
したがって、予め初期プロファイルを指定して、装置100-1~100-xは初期プロファイルを用いてプロファイル情報を暗号化または復号化することができる。
【0067】
すなわち、マスター装置は、初期プロファイルを用いてプロファイル情報を暗号化し、他の装置は初期プロファイル情報を用いてプロファイル情報を復号化することができる。
【0068】
初期プロファイルは、望ましくは暗号化アルゴリズムの固有識別情報、情報生成器の固有識別情報、及びキーの固有識別情報のうち少なくとも一つを有することができ、望ましくは、少なくとも暗号化アルゴリズムの固有識別情報、及びキーの固有識別情報を有する。
【0069】
例えば、初期プロファイルが「暗号化_アルゴリズム-A、キー-E」である場合、装置100-1~100-xは「暗号化_アルゴリズム-A」及び「キー-E」を用いてプロファイル情報を暗号化または復号化することができる。
【0070】
初期プロファイルは、望ましくは、装置100の保存部110に予め保存されるか、演算処理部130の演算ロジックに予め定義され得る。
【0071】
または、例えばネットワーク200内に装置100-y(yは、xより大きい自然数)が新たに加わる(join)場合、装置100-yはプロファイル情報をどのような暗号化アルゴリズム、及びどのようなキーを用いて暗号化したのかわからない場合がある。したがって、前述のとおり、予め初期プロファイルを指定し、マスター装置は、装置100-yに初期プロファイルを用いて暗号化されたプロファイル情報を転送し、装置100-yは、受信した暗号化されたプロファイル情報を、初期プロファイルを用いて復号化することができる。
【0072】
プロファイル情報は、マスターキー117をさらに有することができる。
【0073】
マスターキー117は、キーを生成(または誘導)するために用いられるキーである。例えばネットワーク200の管理者は、装置100内の保存部110にマスターキー117を保存することができる。すなわち、ネットワーク200内の複数の装置、すなわち装置100-1~100-xは同じマスターキー117を備えている。
【0074】
例えば、装置100がマスター装置からプロファイル情報を受信した場合、装置100内の演算処理部130はプロファイル情報に含まれているマスターキー1117と、装置100内に保存されたマスターキー117とを比較することができる。仮に、プロファイル情報に含まれたマスターキー1117と、装置100内に保存されたマスターキー117が同一であれば、装置100は正常に動作する。一方、仮に、プロファイル情報に含まれたマスターキー1117と、装置100内に保存されたマスターキー117が同一でなければ、装置100は追加的な動作を行わず、動作を中断することができる。
【0075】
したがって、例えば悪意のある使用者が装置100を得た場合にも、装置100内にネットワーク200の管理者によって保存されたマスターキー117がなければ、またはネットワーク200の管理者によって保存されたマスターキー117ではない、他のマスターキーが保存されていれば、装置100は正常に動作しない。特に、装置100-yがネットワーク200に新しく加わる場合、装置100-yの演算処理部130は、プロファイル情報に含まれたマスターキー1117と、装置100-y内に保存されたマスターキー117とを比較することができる。したがって、ネットワーク200の保安性を高めることができる。
【0076】
一方、図5を参照すれば、処理P140はプロファイル情報の履歴情報を用いてプロファイル情報を解釈する処理を有することができる。
【0077】
プロファイル情報の履歴情報(図4の119及び図7の119)は、ネットワーク200内でプロファイル情報の履歴を保存した情報であり、例えば保存部110に保存される。
【0078】
例えば「プロファイル_情報-1」は、ネットワーク200内で既に使用された最初プロファイル情報を表す。後述する図7の「プロファイル_情報-2」は、ネットワーク200内で既に使用された二番目のプロファイル情報を表し、「プロファイル_情報-3」は、ネットワーク200内で既に使用された三番目プロファイル情報を表す。図7の「プロファイル_情報-4」は、例えばネットワーク200内に使用される予定の四番目プロファイル情報を表す。
【0079】
後述するとおり、複数の暗号化アルゴリズム111の各々の識別情報と、複数の情報生成器113の各々の識別情報と、複数のキー115の各々の識別情報とは変更され得る。また、後述するとおり、複数のキー115は新たに生成されることもある。
【0080】
例えば保存部110に、図4のように、複数の暗号化アルゴリズム111と、複数の情報生成器113と、複数のキー115とが保存され、「プロファイル_情報-1」が「A♯2、K#4」である場合、「プロファイル_情報-1」は「暗号化_アルゴリズム-B」と「キー-D」を表す。
【0081】
しかし、保存部110に、図7のように複数の暗号化アルゴリズム111と、複数の情報生成器113と、複数のキー115とが保存され、「プロファイル_情報-4」が「A♯2、K#4」である場合、「プロファイル_情報-4」は「暗号化_アルゴリズム-C」と「キー-C」とを表す。
【0082】
例えば、装置100-1~100-xが「プロファイル_情報-1」~「プロファイル_情報-3」を用いて順次に暗号化通信を行い、また「プロファイル_情報-3」において複数の暗号化アルゴリズム111の各々の識別情報と、複数の情報生成器113の各々の識別情報と、複数のキー115の各々の識別情報とが変更されたと仮定する。その場合も、装置100-1~100-xのの各々の保存部110に、図7に示すとおり、複数の暗号化アルゴリズム111と、複数の情報生成器113と、複数のキー115とが同じ方式で保存される。
【0083】
したがって、「プロファイル_情報-4」を用いる場合も、装置100-1~100-xは、例えば「プロファイル_情報-4」が「A♯2、K#4」である場合、「プロファイル_情報-4」が「暗号化_アルゴリズム-C」と「キー-C」とを表すと解釈することができる。
【0084】
ところが、前述のとおり、ネットワーク200内に装置100-yが新たに加わる場合、装置100-yは「プロファイル_情報-4」を解釈することができない。
【0085】
したがって、プロファイル情報はプロファイル情報の履歴情報をさらに有することができる。
【0086】
装置100-yは、「プロファイル_情報-1」~「プロファイル_情報-3」を順次に用いて、例えば図7のように、複数のキー115と、複数の暗号化アルゴリズム111と、複数の情報生成器113とを整列して保存した後に、「プロファイル_情報-4」を解釈することができる。すなわち、「プロファイル_情報-4」が「A♯2、K#4」である場合、装置100-yは、「プロファイル_情報-4」が「暗号化_アルゴリズム-C」と「キー-C」とを表すと解釈することができる。
【0087】
一方、前述のとおり、装置100はネットワークインターフェース150を有することができる。
【0088】
図3を参照すれば、処理P130はプロファイル情報をネットワークインターフェース150を用いてネットワーク200内の他の装置へ転送する処理を有することができ、図5を参照すれば、処理P140はプロファイル情報をネットワークインターフェース150を用いてマスター装置から受信する処理を有することができる。
【0089】
プロファイル情報は、例えば、第2演算処理部170及び第2ネットワークインターフェース190を通じて、ネットワーク200内の装置100-1~100-x間で送受信され得る。しかし、より高いレベルのセキュリティ通信のために、プロファイル情報はネットワークインターフェース150を用いて、ネットワーク200内の装置100-1~100-x間で送受信されることが望ましい。
【0090】
図6は、本願で説明される技術の一実施例に係るネットワーク内の装置100の演算処理部130が行う処理の別の例を示す図面である。図7は、本願で説明される技術の一実施例に係るネットワーク内の装置100において、複数の暗号化アルゴリズム111、複数の情報生成器113及び複数のキー115、各々の識別情報を基に整列して保存部110に保存した状態を例示的に示す図面である。図8は、本願で説明される技術の一実施例に係るネットワーク内の装置100において、複数のキー115を生成して保存部110内に保存した状態を例示的に示す図面である。
【0091】
図4或いは図7を参照すれば、保存部110は、マスターキー117及びプロファイル情報の履歴情報119をさらに保存する。
【0092】
シード情報は、例えば、マスターキー117及びプロファイル情報の履歴情報119のうち少なくとも一つを有する。
【0093】
プロファイル情報は、マスターキー117及びプロファイル情報の履歴情報119のうち少なくとも一つをさらに有することができる。
【0094】
マスターキー117は、前述のとおり、キーを生成(または誘導)するために使用されるキーである。また、前述のとおり、マスターキー117を用いてネットワーク200の保安性を高めることができる。
【0095】
図6を参照すれば、演算処理部130は、シード情報及び情報生成器を基に、複数の暗号化アルゴリズム111の各々の識別情報、及び複数のキー115の各々の識別情報を生成することができる(処理P160)。
【0096】
すなわち、前述のとおり、プロファイル情報は暗号化通信のために用いるキーの識別情報、暗号化アルゴリズムの識別情報、及び情報生成器の識別情報のうち少なくとも一つを有する。
【0097】
例えば、「情報_生成器-A」が選択されるか(すなわち、装置100がマスター装置によって動作する場合)、またはプロファイル情報に含まれた情報生成器の識別情報を基に「情報_生成器-A」が指定され(すなわち、装置100がマスター装置によって動作しない場合)、「情報_生成器-A」は複数の暗号化アルゴリズム111の各々の識別情報及び複数のキー115の各々の識別情報を生成する識別情報生成器であると仮定する。
【0098】
「情報_生成器-A」にシード情報として、例えばマスターキーを入力するか、或いはシード情報としてプロファイル情報の履歴情報119のうち少なくとも一部を入力すれば、複数の暗号化アルゴリズム111の各々の識別情報、及び複数のキー115の各々の識別情報が生成され得る。シード情報は、例えば初期には、マスターキーを使用でき、その後はプロファイル情報の履歴情報119のうち少なくとも一部を使用することもできる。
【0099】
装置100がマスター装置によって動作する場合、またはマスター装置によって動作しない場合において、演算処理部130は「情報_生成器-A」を用いて複数の暗号化アルゴリズム111の各々の識別情報、及び複数のキー115の各々の識別情報を生成することができる。
【0100】
例えば、初期状態で装置100の保存部に、図4に示したとおり、複数の暗号化アルゴリズム111及び複数のキー115が予め指定された識別情報(すなわち、「#1」、「#2」、「#3」、「#4」、「#5」、「#6」等)を用いて保存されたと仮定する。
【0101】
複数の暗号化アルゴリズム111及び複数のキー115の各々に対して同じ識別番号が引き続き使用される場合、ハッキングなどの外部攻撃に弱くなる。
【0102】
したがって、演算処理部130は、処理P160を通じて複数の暗号化アルゴリズム111の各々の識別情報、及び複数のキー115の各々の識別情報を新たに生成することができる。
【0103】
例えば、演算処理部130は、図7に示すとおり、識別番号を新たに生成して複数の暗号化アルゴリズム111及び複数のキー115に付与することができる。
【0104】
図6を参照すれば、演算処理部130は、シード情報及び情報生成器を基に、複数の情報生成器113の各々の識別情報を生成することができる(処理P170)。
【0105】
前述と同様に、複数の情報生成器113の各々に対して同じ識別番号が引き続き使用される場合、ハッキングなどの外部攻撃に弱くなる。
【0106】
したがって、演算処理部130は、処理P170を通じて複数の情報生成器113の各々の識別情報を新たに生成することができる。例えば「情報_生成器-B」が選択されるか(すなわち、装置100がマスター装置によって動作する場合)、またはプロファイル情報に含まれた情報生成器の識別情報を基に「情報_生成器-B」が指定され(すなわち、装置100がマスター装置によって動作しない場合)、「情報_生成器-B」が複数の情報生成器113の各々の識別情報を生成する識別情報生成器であると仮定する。
【0107】
装置100がマスター装置によって動作する場合、またはマスター装置によって動作しない場合において、演算処理部130は「情報_生成器-B」を用いて複数の情報生成器113の各々の識別情報を生成することができる。
【0108】
「情報_生成器-B」にシード情報として、例えばマスターキーを入力するか、或いはシード情報としてプロファイル情報の履歴情報119のうち少なくとも一部を入力すれば、複数の情報生成器113の各々の識別情報が生成され得る。
【0109】
したがって、複数の情報生成器113の各々の識別情報は、例えば図4に示す状態から、図7に示す状態に変更され得る。
【0110】
一方、複数のキー115が繰り返し使用される場合、ハッキングなどの外部攻撃に弱くなる。
【0111】
図6を参照すれば、演算処理部130はシード情報及び情報生成器を基に複数のキー115を生成して保存部110に保存することができる(処理P180)。
【0112】
例えば、「情報_生成器-C」が選択されるか(すなわち、装置100がマスター装置によって動作する場合)、またはプロファイル情報に含まれた情報生成器の識別情報を基に「情報_生成器-C」が指定され(すなわち、装置100がマスター装置によって動作しない場合)、「情報_生成器-C」が複数のキー115を生成するキー生成器であると仮定する。
【0113】
装置100がマスター装置によって動作する場合、またはマスター装置によって動作しない場合において、演算処理部130は「情報_生成器-C」を用いて複数のキー115を生成することができる。
【0114】
例えば「情報_生成器-C」にシード情報として、例えばマスターキーを入力するか、或いはシード情報としてプロファイル情報の履歴情報119のうち少なくとも一部を入力すれば、複数のキー115が生成され得る。
【0115】
例えば、図8に示すとおり、既存の「キー-A」、「キー-B」、「キー-C」、「キー-D」、「キー-E」、「キー-F」等に代えて「キー-A′」、「キー-B′」、「キー-C′」、「キー-D′」、「キー-E′」、「キー-F′」等が複数のキー115として生成されて保存部110に保存される。生成される複数のキー115、すなわち「キー-A′」、「キー-B′」、「キー-C′」、「キー-D′」、「キー-E′」、「キー-F′」等の識別情報は、例えば「#1」、「#2」、「#3」、「#4」、「#5」、「#6」等として付与され得る。または「情報_生成器-C」を用いて複数のキー115、すなわち「キー-A′」、「キー-B′」、「キー-C′」、「キー-D′」、「キー-E′」、「キー-F′」等が生成され、「情報_生成器-A」にシード情報として、例えばマスターキーを入力するか、或いはシード情報としてプロファイル情報の履歴情報119のうち少なくとも一部を入力することによって、複数の情報生成器113、すなわち「キー-A′」、「キー-B′」、「キー-C′」、「キー-D′」、「キー-E′」、「キー-F′」の各々の識別情報が新たに生成され得る。
【0116】
図6を参照すれば、演算処理部130は複数の暗号化アルゴリズム111の各々の識別情報、及び複数のキー115の各々の識別情報を基に、保存部110に複数の暗号化アルゴリズム111、及び複数のキー115を整列して保存することができる(処理P190)。
【0117】
すなわち、図7に示すとおり、複数の暗号化アルゴリズム111及び複数のキー115は、各々の識別番号を基に再整列され得る。
【0118】
図6を参照すれば、演算処理部130は、複数の情報生成器113の各々の識別情報を基に、保存部110に複数の情報生成器113を整列して保存することができる(処理P200)。
【0119】
すなわち、図7に示すとおり、複数の情報生成器113は、各々の識別番号を基に再整列され得る。
【0120】
図6を参照すれば、演算処理部130は暗号化通信の政策情報を生成することができる(処理P210)。
【0121】
政策情報は、例えば暗号化通信の有効期間情報を有することができる。
【0122】
有効期間情報は、暗号化通信の開始時刻及び終了時刻を有することができる。または有効期間情報は、暗号化通信の開始時刻及び持続時間を有することもできる。
【0123】
図6を参照すれば、処理P210は、情報生成器を基に有効期間情報を生成する処理を有することができる。
【0124】
例えば、「情報_生成器-D」が選択されるか(すなわち、装置100がマスター装置によって動作する場合)、またはプロファイル情報に含まれた情報生成器の識別情報を基に「情報_生成器-D」が指定され(すなわち、装置100がマスター装置によって動作しない場合)、「情報_生成器-D」が有効期間情報を生成する政策生成器であると仮定する。
【0125】
装置100がマスター装置によって動作する場合、またはマスター装置によって動作しない場合において、演算処理部130は「情報_生成器-D」を用いて有効期間情報を生成することができる。
【0126】
例えば、「情報_生成器-D」にシード情報として、例えばマスターキーを入力するか、或いはシード情報としてプロファイル情報の履歴情報119のうち少なくとも一部を入力すれば、有効期間情報が生成され得る。
【0127】
望ましくは、装置100がマスター装置によって動作する場合のみ、演算処理部130は「情報_生成器-D」を用いて有効期間情報を生成することができる。
【0128】
政策情報は、例えば暗号化通信のQoS(quality of service)情報を有することができる。
【0129】
QoS情報は、例えばネットワーク200内で装置100-1~100-x間での通信速度などの情報を有することができる。
【0130】
図6を参照すれば、処理P210は、情報生成器を基にQoS情報を生成する処理を有することができる。
【0131】
例えば、「情報_生成器-E」が選択されるか(すなわち、装置100がマスター装置によって動作する場合)、またはプロファイル情報に含まれた情報生成器の識別情報を基に「情報_生成器-E」が指定され(すなわち、装置100がマスター装置によって動作しない場合)、「情報_生成器-E」がQoS情報を生成する政策生成器であると仮定する。
【0132】
装置100がマスター装置によって動作する場合、またはマスター装置によって動作しない場合において、演算処理部130は「情報_生成器-E」を用いてQoS情報を生成することができる。
【0133】
例えば、「情報_生成器-E」にシード情報として、例えばマスターキーを入力するか、或いはシード情報としてプロファイル情報の履歴情報119のうち少なくとも一部を入力すれば、QoS情報が生成され得る。
【0134】
望ましくは、装置100がマスター装置によって動作する場合のみ、演算処理部130は「情報_生成器-E」を用いてQoS情報を生成することができる。
【0135】
図6を参照すれば、装置100がマスター装置によって動作する場合、処理P210はネットワーク200内の通信環境を基にQoS情報を生成する処理を有することができる。
【0136】
ネットワーク200内で装置100-1~100-x間での通信速度が著しく低下する場合、またはネットワーク200内に通信処理性能の低い装置が存在する場合のように、装置100-1~100-x間での通信速度を低くしなければならない場合、演算処理部130はネットワーク200内の通信環境を基にQoS情報を生成することができる。
【0137】
また、プロファイル情報は暗号化通信の政策情報をさらに有することができる。
【0138】
装置100がマスター装置によって動作しない場合、演算処理部130はマスター装置から受信したプロファイル情報から政策情報を抽出することができる(処理P220)。すなわち、演算処理部130は、例えば有効期間情報またはQoS情報などの政策情報をプロファイル情報から抽出することができる。
【0139】
したがって、ネットワーク200内の装置100-1~100-xは、同じ政策情報を用いて暗号化通信を行うことができる。
【0140】
以上、説明したとおり、プロファイル情報を用いることによってネットワーク200内の複数の装置は、追加的なハンドシェイキングを行わなくとも暗号化方式を動的に変更することができ、有効期間情報及びQoS情報などの政策情報を容易に設定でき、マスター装置がネットワーク200内の他の装置でプロファイル情報を転送することによって、ネットワーク200内の複数の装置はプロファイル情報を容易かつ迅速に共有することができる。
【0141】
本願で説明される技術の実施例が具体的に説明されたが、これは単に本願で説明される技術を例示的に説明したことに過ぎず、本願で説明される技術が属する技術分野において通常の知識を有する者であれば、本願で説明される技術の本質的な特性から逸しない範囲内で様々な変形が可能である。
【0142】
例えば、プロファイル情報は、暗号化アルゴリズムの識別情報、情報生成器の識別情報、及びキーの識別情報のうち少なくとも一つを有するものとして例示されたが、プロファイル情報は暗号化アルゴリズムの識別情報、2以上の情報生成器の識別情報、及びキーの識別情報のうち少なくとも一つを有することができる。
【0143】
2以上の情報生成器中には、例えばキー生成器及び識別情報生成器のうち少なくとも一つが含まれることができる。
【0144】
例えば、保存部110に、図4に示すとおり、複数の暗号化アルゴリズム111と、複数の情報生成器113と、複数のキー115と、マスターキー117とが保存され、プロファイル情報が「G♯3、G♯1、A♯2、K#4」であり、プロファイル情報がシード情報としてマスターキー117をさらに含み、「G♯3」に該当する「情報_生成器-C」が複数のキー115を生成するキー生成器であり、「G♯1」に該当する「情報_生成器-A」が、複数の暗号化アルゴリズム111の各々の識別情報、及び複数のキー115の各々の識別情報を生成する識別情報生成器であると仮定する。
【0145】
プロファイル情報は下記のようなの事項を表す。
【0146】
i)装置100は、「情報_生成器-C」を用いて複数のキー115を生成する。
【0147】
ii)装置100は、「情報_生成器-A」を用いて複数の暗号化アルゴリズム111の各々の識別情報、及び複数のキー115の各々の識別情報を生成する。
【0148】
iii)装置100は、ネットワーク200内の他の装置との暗号化通信で、「暗号化_アルゴリズム-B」及び「K#4」を使用する。
【0149】
i)~iii)を行うことによって、装置100の保存部110内には、例えば図7に示すとおり、複数の暗号化アルゴリズム111と複数の情報生成器113とが保存され、図8に示すとおり、複数のキー115が保存される。
【0150】
したがって、プロファイル情報に含まれた「A♯2」は、図7を参照すれば、選択された暗号化アルゴリズムが「暗号化_アルゴリズム-C」であることを示し、プロファイル情報に含まれた「K#4」は、図8を参照すれば、選択されたキーが「キー-D′」であることを示す。
【0151】
このように本願で説明される技術は、本願で説明される技術の本質的な特性から逸しない範囲内で様々に変形され得る。
【0152】
また、本願で説明される技術はネットワーク内の通信方法に適用されることもある。
【0153】
本願で説明される技術に係るネットワーク内の通信方法は、保安区域に配置され、複数の暗号化アルゴリズムと複数の情報生成器と複数のキーとを保存する保存部を有する装置によって実行され、前記ネットワーク内において前記装置がマスター装置によって動作する場合、(a)前記複数の暗号化アルゴリズム、前記複数の情報生成器、及び前記複数のキーのうち、前記ネットワーク内における暗号化通信のために用いる暗号化アルゴリズム、情報生成器、及びキーのうち少なくとも一つを選択する段階と、(b)前記暗号化アルゴリズムの識別情報、前記情報生成器の識別情報、及び前記キーの識別情報のうち少なくとも一つを有するプロファイル情報を生成する段階と、(c)前記プロファイル情報を、前記ネットワーク内の前記複数の装置中の前記装置を除く他の装置へ転送する段階を有し、前記ネットワーク内において前記装置が前記マスター装置によって動作しない場合、(d)前記マスター装置から前記プロファイル情報を受信する段階と、(e)前記プロファイル情報を基に、前記暗号化通信のために用いる前記暗号化アルゴリズム、前記情報生成器、及び前記キーのうち少なくとも一つを指定する段階を有することができる。
【0154】
本願で説明される技術に係るネットワーク内の装置の他の特徴もまた、本願で説明される技術に係るネットワーク内の通信方法においても同じように適用され得る。
【0155】
したがって、本明細書に説明された実施例は本願で説明される技術を限定するためのものではなく、例示するためのものであって、このような実施例によって本願で説明される技術の思想や範囲が限定される訳ではない。本願で説明される技術の権利範囲は、特許の請求範囲によって解釈されるべきであり、それと同等な範囲内にある全ての技術は、本願で説明される技術の権利範囲に含まれると解釈されるべきである。
【産業上の利用可能性】
【0156】
本願で説明される技術によれば、暗号化通信のために用いるプロファイル情報を用いることによって、ハンドシェイキングに所要するメッセージ伝達段階、及びハンドシェイキングに所要する時間を最少化することができ、暗号化方式を動的に変更することができ、有効期間情報及びQoS情報などの政策情報を容易に変更することができ、ネットワーク内の複数の装置がプロファイル情報を容易かつ迅速に共有することができる。
【符号の説明】
【0157】
100:装置 110:保存部 130:第1演算処理部 150:第1ネットワークインターフェース 170:第2演算処理部 190:第2ネットワークインターフェース 200:ネットワーク
図1
図2
図3
図4
図5
図6
図7
図8
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.