專利名稱:加密通信系統(tǒng)及方法�����、通信狀態(tài)管理服務(wù)器及管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種加密通信技術(shù)�,尤其涉及一種將由多個(gè)通信裝置構(gòu)成的組內(nèi)的加密通信所使用的加密密鑰分發(fā)給該通信裝置的每個(gè)的技術(shù)。
背景技術(shù):
Internet RFC/STD/FYI/BCP Archives����,“RFC 3740-The MulticastGroup Security Architecture”[平成18年2月1日檢索]、因特網(wǎng)<URLhttp//www.faqs.org/rfcs/rfc3740.html>(下面稱為非專利文獻(xiàn)1)中,公開如下技術(shù)���,密鑰服務(wù)器向事先作為組登錄的多個(gè)通信裝置分發(fā)用于加密通信的密鑰或設(shè)定信息(Security Association安全協(xié)會(huì))�����,進(jìn)行加密通信的各個(gè)通信裝置使用從該密鑰服務(wù)器分發(fā)的密鑰等信息���,與組內(nèi)的其它通信裝置進(jìn)行加密通信。利用非專利文獻(xiàn)1中公開的技術(shù)�����,各個(gè)通信裝置可減輕因生成用于加密通信的密鑰等信息而發(fā)生的處理負(fù)荷�。
但是,若作為組登錄的通信裝置的數(shù)量多�,則除組內(nèi)的通信裝置全部一齊參加加密通信的使用方法外,有時(shí)也有如下的使用方法即便是作為組登錄的通信裝置��,也僅在參加組內(nèi)的加密通信的通信裝置之間進(jìn)行加密通信��。即����,假設(shè)僅向處于可接受組內(nèi)加密通信服務(wù)提供的狀態(tài)下的通信裝置提供組內(nèi)的加密通信服務(wù)����,對(duì)未啟動(dòng)的通信裝置���,或雖然是可經(jīng)網(wǎng)絡(luò)通信的狀態(tài)���、但處于不能接受組內(nèi)加密通信服務(wù)提供的狀態(tài)下的通信裝置等�����,不提供組內(nèi)的加密通信服務(wù)的使用方法��。
在上述非專利文獻(xiàn)1所述的技術(shù)中��,不考慮某個(gè)通信裝置是否是能接受組內(nèi)加密通信服務(wù)提供的狀態(tài)的概念�,在多個(gè)通信裝置之間進(jìn)行加密通信的情況下,將由密鑰服務(wù)器生成的密鑰等信息分發(fā)給事先作為組登錄的多個(gè)通信裝置的全部�����。另外�,密鑰等信息的分發(fā)方法雖然在上述非專利文獻(xiàn)1中未特別規(guī)定,但可以考慮通過(guò)單播分發(fā)給事先作為組登錄的多個(gè)通信裝置的每個(gè)����。這種情況下����,有時(shí)��,即便向處于不能接受組內(nèi)加密通信服務(wù)提供的狀態(tài)下的通信裝置���,也分發(fā)用于組內(nèi)加密通信的密鑰等信息��,網(wǎng)絡(luò)中產(chǎn)生無(wú)用的通信量��。
另外����,還可考慮通過(guò)由廣播或多播來(lái)執(zhí)行密鑰等信息的分發(fā)�,從而將因密鑰等信息的分發(fā)所產(chǎn)生的通信量抑制得低。但是���,在利用廣播分發(fā)密鑰等信息的情況下����,密鑰服務(wù)器必需被配置在與屬于進(jìn)行加密通信的組的通信裝置相同的段(segment)內(nèi)�����。因此,對(duì)于由與密鑰服務(wù)器所屬段不同的段實(shí)現(xiàn)的組�,密鑰服務(wù)器必需仍然利用單播來(lái)分發(fā)密鑰等信息。
另外��,在利用多播來(lái)分發(fā)密鑰等信息的情況下�����,不僅需要密鑰服務(wù)器或各個(gè)通信裝置的設(shè)定��,即便網(wǎng)絡(luò)內(nèi)的各個(gè)中繼裝置也必需進(jìn)行關(guān)于多播地址的傳輸?shù)脑O(shè)定�,有時(shí)組的追加或刪除�����、組內(nèi)的通信裝置的追加或刪除等運(yùn)行管理所花費(fèi)的成本龐大����。因此,利用多播來(lái)分發(fā)密鑰等信息不現(xiàn)實(shí)��,密鑰服務(wù)器仍然利用單播來(lái)分發(fā)密鑰等信息���,有時(shí)產(chǎn)生無(wú)用的通信量����。
發(fā)明內(nèi)容
本發(fā)明鑒于上述問(wèn)題而做出,本發(fā)明進(jìn)一步減少因分發(fā)組內(nèi)加密通信所使用的密鑰或設(shè)定信息等而產(chǎn)生的通信量��。
即��,本發(fā)明的加密通信系統(tǒng)在數(shù)據(jù)庫(kù)中保持屬于組的多個(gè)通信裝置的列表�、和表示該多個(gè)通信裝置的每個(gè)是否參加(例如登入)組內(nèi)加密通信的信息,該加密通信系統(tǒng)參照該數(shù)據(jù)庫(kù)��,確定屬于組����、且參加組內(nèi)加密通信的通信裝置,生成在所確定出的通信裝置之間使用的加密通信用的密鑰��,并分發(fā)給該確定出的通信裝置����。
例如,本發(fā)明的第1方式提供一種加密通信系統(tǒng)��,使用由會(huì)話管理服務(wù)器生成的密鑰信息���,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信����,其特征在于,具備數(shù)據(jù)庫(kù)���,存儲(chǔ)關(guān)于各個(gè)通信裝置的信息�;和通信狀態(tài)管理服務(wù)器��,管理由多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信����,數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元,與識(shí)別通信裝置的裝置ID相對(duì)應(yīng)地���,存儲(chǔ)作為參加組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址;和組成員信息存儲(chǔ)單元��,將多個(gè)通信裝置的每個(gè)的裝置ID�,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ),通信狀態(tài)管理服務(wù)器具有組成員提取單元����,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下�,根據(jù)該組ID��,參照組成員信息存儲(chǔ)單元�,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID;和參加裝置ID提取單元���,參照參加裝置地址存儲(chǔ)單元�,從由組成員提取單元提取出的裝置ID中���,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID���,并輸出到會(huì)話管理服務(wù)器,從而使會(huì)話管理服務(wù)器向?qū)?yīng)于組內(nèi)加密通信請(qǐng)求中包含的組ID的組內(nèi)的參加裝置的每個(gè)����,分發(fā)該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息。
本發(fā)明的第2方式提供一種加密通信系統(tǒng)�����,實(shí)現(xiàn)作為由多個(gè)通信裝置構(gòu)成的組內(nèi)的加密通信的組內(nèi)加密通信�,其特征在于,具備數(shù)據(jù)庫(kù),存儲(chǔ)關(guān)于各個(gè)通信裝置的信息�����;通信狀態(tài)管理服務(wù)器��,管理由多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信���;會(huì)話管理服務(wù)器��,生成組內(nèi)加密通信所使用的密鑰信息����,分發(fā)到各個(gè)通信裝置���;和多個(gè)通信裝置�����,數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元,與識(shí)別通信裝置的裝置ID相對(duì)應(yīng)地��,存儲(chǔ)作為參加組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址�����;和組成員信息存儲(chǔ)單元,將多個(gè)通信裝置的每個(gè)的裝置ID����,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ);和通信條件存儲(chǔ)單元�,將參加裝置的每個(gè)在組內(nèi)加密通信中可執(zhí)行的一個(gè)以上的通信條件,與裝置ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)�����,通信狀態(tài)管理服務(wù)器具有組成員提取單元�,在經(jīng)會(huì)話管理服務(wù)器接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID���,參照組成員信息存儲(chǔ)單元�����,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID��;和參加裝置ID提取單元�,參照參加裝置地址存儲(chǔ)單元���,從由組成員提取單元提取出的裝置ID中�����,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID�,輸出到會(huì)話管理服務(wù)器,會(huì)話管理服務(wù)器具有服務(wù)器側(cè)加密通信單元�����,在與通信裝置之間確立加密通信路徑�,經(jīng)所確立的加密通信路徑,與該通信裝置收發(fā)數(shù)據(jù)�;參加裝置登錄單元,在從通信裝置經(jīng)加密通信路徑被通知參加組內(nèi)加密通信的情況下��,將該通信裝置的網(wǎng)絡(luò)地址作為參加裝置的網(wǎng)絡(luò)地址�,與裝置ID相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元中;和密鑰生成分發(fā)單元�����,接收從參加裝置ID提取單元輸出的裝置ID����,從通信條件存儲(chǔ)單元中提取對(duì)應(yīng)于接收到的裝置ID的每個(gè)的通信條件,從提取出的通信條件中提取對(duì)多個(gè)裝置ID共通的通信條件����,生成在提取的通信條件下可執(zhí)行的組內(nèi)加密通信所使用的密鑰信息,并經(jīng)加密通信路徑��,向?qū)?yīng)于從參加裝置ID提取單元接收到的裝置ID的通信裝置的每個(gè)��,發(fā)送生成的密鑰信息�,多個(gè)通信裝置的每個(gè)具有通信裝置側(cè)加密通信單元,在與會(huì)話管理服務(wù)器之間確立加密通信路徑���,經(jīng)所確立的加密通信路徑���,與該會(huì)話管理服務(wù)器收發(fā)數(shù)據(jù);加密通信請(qǐng)求單元�����,在開始組內(nèi)加密通信的情況下��,經(jīng)加密通信路徑向會(huì)話管理服務(wù)器發(fā)送組內(nèi)加密通信請(qǐng)求�����;和組內(nèi)加密通信單元,在響應(yīng)于組內(nèi)加密通信請(qǐng)求���、從會(huì)話管理服務(wù)器經(jīng)加密通信路徑接收到密鑰信息的情況下����,使用該密鑰信息��,在與組內(nèi)的其它通信裝置之間執(zhí)行組內(nèi)加密通信��。
另外���,本發(fā)明第3方式提供一種通信狀態(tài)管理服務(wù)器��,在加密通信系統(tǒng)中�����,使用存儲(chǔ)在存儲(chǔ)裝置中的信息��,向會(huì)話管理服務(wù)器指示密鑰信息的分發(fā)�����,其中該加密通信系統(tǒng)使用由會(huì)話管理服務(wù)器生成的密鑰信息���,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信���,其特征在于�,該通信狀態(tài)管理服務(wù)器具備組成員提取單元,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下���,根據(jù)該組ID����,參照存儲(chǔ)裝置�,從存儲(chǔ)裝置內(nèi)的組成員信息存儲(chǔ)單元中,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID��,其中該組成員信息存儲(chǔ)單元中與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地存儲(chǔ)有多個(gè)通信裝置的每個(gè)的裝置ID���;和參加裝置ID提取單元���,參照存儲(chǔ)裝置內(nèi)的參加裝置地址存儲(chǔ)單元�����,從由組成員提取單元提取出的裝置ID中��,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID����,并輸出到會(huì)話管理服務(wù)器,從而使會(huì)話管理服務(wù)器向?qū)?yīng)于組內(nèi)加密通信請(qǐng)求中包含的組ID的組內(nèi)的參加裝置的每個(gè)����,分發(fā)該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息,其中該參加裝置地址存儲(chǔ)單元中與識(shí)別通信裝置的裝置ID相對(duì)應(yīng)地存儲(chǔ)有參加裝置的每個(gè)的網(wǎng)絡(luò)地址�����,該參加裝置為參加組內(nèi)加密通信的通信裝置�����。
本發(fā)明第4方式提供一種加密通信系統(tǒng)中的加密通信方法�����,該加密通信系統(tǒng)使用由會(huì)話管理服務(wù)器生成的密鑰信息����,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信,其特征在于加密通信系統(tǒng)具備數(shù)據(jù)庫(kù)�����,存儲(chǔ)關(guān)于各個(gè)通信裝置的信息;和通信狀態(tài)管理服務(wù)器�,管理由多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信,數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元�����,與識(shí)別通信裝置的裝置ID相對(duì)應(yīng)地����,存儲(chǔ)作為參加組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址��;和組成員信息存儲(chǔ)單元��,將多個(gè)通信裝置的每個(gè)的裝置ID�,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ),通信狀態(tài)管理服務(wù)器執(zhí)行組成員提取步驟�,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID�����,參照組成員信息存儲(chǔ)單元����,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID�����;和參加裝置ID提取步驟���,參照參加裝置地址存儲(chǔ)單元,從組成員提取步驟提取出的裝置ID中�����,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID��,并輸出到會(huì)話管理服務(wù)器��,從而生成該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息并分發(fā)到對(duì)應(yīng)于組內(nèi)加密通信請(qǐng)求中包含的組ID的組內(nèi)的參加裝置的每個(gè)�����。
本發(fā)明第5方式提供一種加密通信系統(tǒng)中的加密通信方法���,該加密通信系統(tǒng)實(shí)現(xiàn)作為由多個(gè)通信裝置構(gòu)成的組內(nèi)的加密通信的組內(nèi)加密通信��,其特征在于加密通信系統(tǒng)具備數(shù)據(jù)庫(kù)����,存儲(chǔ)關(guān)于各個(gè)通信裝置的信息;通信狀態(tài)管理服務(wù)器�,管理由多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信;會(huì)話管理服務(wù)器���,生成組內(nèi)加密通信所使用的密鑰信息����,并分發(fā)到各個(gè)通信裝置�����;和多個(gè)通信裝置��,數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元����,與識(shí)別通信裝置的裝置ID相對(duì)應(yīng)地��,存儲(chǔ)作為參加組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址���;和組成員信息存儲(chǔ)單元����,將多個(gè)通信裝置的每個(gè)的裝置ID,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)�����;和通信條件存儲(chǔ)單元�,將參加裝置的每個(gè)在組內(nèi)加密通信中可執(zhí)行的一個(gè)以上的通信條件,與裝置ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)�,通信狀態(tài)管理服務(wù)器執(zhí)行組成員提取步驟,在經(jīng)會(huì)話管理服務(wù)器接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下�,根據(jù)該組ID,參照組成員信息存儲(chǔ)單元��,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID��;和參加裝置ID提取步驟��,參照參加裝置地址存儲(chǔ)單元�����,從組成員提取步驟提取出的裝置ID中����,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID�����,并輸出到會(huì)話管理服務(wù)器���,會(huì)話管理服務(wù)器執(zhí)行服務(wù)器側(cè)加密通信步驟,在與通信裝置之間確立加密通信路徑�,經(jīng)所確立的加密通信路徑,與該通信裝置收發(fā)數(shù)據(jù)��;參加裝置登錄步驟��,在從通信裝置經(jīng)加密通信路徑被通知參加組內(nèi)加密通信的情況下�����,將該通信裝置的網(wǎng)絡(luò)地址作為參加裝置的網(wǎng)絡(luò)地址��,與裝置ID相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元中��;和密鑰生成分發(fā)步驟�,接收參加裝置ID提取步驟中輸出的裝置ID��,從通信條件存儲(chǔ)單元中提取對(duì)應(yīng)于接收到的裝置ID的每個(gè)的通信條件,從提取出的通信條件中提取對(duì)多個(gè)裝置ID共通的通信條件����,生成在提取的通信條件下可執(zhí)行的組內(nèi)加密通信所使用的密鑰信息,并經(jīng)加密通信路徑�,向?qū)?yīng)于參加裝置ID提取步驟中輸出的裝置ID的通信裝置的每個(gè),發(fā)送生成的密鑰信息��,多個(gè)通信裝置的每個(gè)執(zhí)行通信裝置側(cè)加密通信步驟����,在與會(huì)話管理服務(wù)器之間確立加密通信路徑,經(jīng)所確立的加密通信路徑�,與該會(huì)話管理服務(wù)器收發(fā)數(shù)據(jù);加密通信請(qǐng)求步驟�,在開始組內(nèi)加密通信的情況下,經(jīng)加密通信路徑向會(huì)話管理服務(wù)器發(fā)送組內(nèi)加密通信請(qǐng)求��;和組內(nèi)加密通信步驟��,在響應(yīng)于組內(nèi)加密通信請(qǐng)求���、從會(huì)話管理服務(wù)器經(jīng)加密通信路徑接收到密鑰信息的情況下��,使用該密鑰信息��,在與組內(nèi)的其它通信裝置之間��,執(zhí)行組內(nèi)加密通信�����。
本發(fā)明第6方式提供一種通信狀態(tài)管理服務(wù)器中的通信狀態(tài)管理方法�����,該通信狀態(tài)管理服務(wù)器在加密通信系統(tǒng)中�,使用存儲(chǔ)在存儲(chǔ)裝置中的信息,向會(huì)話管理服務(wù)器指示密鑰信息的生成����,其中該加密通信系統(tǒng)使用由會(huì)話管理服務(wù)器生成的密鑰信息,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信����,其特征在于,通信狀態(tài)管理服務(wù)器執(zhí)行組成員提取步驟�,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下�,根據(jù)該組ID,參照存儲(chǔ)裝置�����,從存儲(chǔ)裝置內(nèi)的組成員信息存儲(chǔ)單元中,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID��,其中該組成員信息存儲(chǔ)單元中與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地存儲(chǔ)有多個(gè)通信裝置的每個(gè)的裝置ID�;和參加裝置ID提取步驟,參照存儲(chǔ)裝置內(nèi)的參加裝置地址存儲(chǔ)單元��,從組成員提取步驟提取出的裝置ID中�,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID,并輸出到會(huì)話管理服務(wù)器��,從而使會(huì)話管理服務(wù)器向?qū)?yīng)于組內(nèi)加密通信請(qǐng)求中包含的組ID的組內(nèi)的參加裝置的每個(gè)����,分發(fā)該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息,其中該參加裝置地址存儲(chǔ)單元中與識(shí)別通信裝置的裝置ID相對(duì)應(yīng)地存儲(chǔ)有參加裝置的每個(gè)的網(wǎng)絡(luò)地址�����,該參加裝置為參加組內(nèi)加密通信的通信裝置���。
根據(jù)本發(fā)明的加密通信系統(tǒng)�����,可進(jìn)一步減少因分發(fā)組內(nèi)加密通信所使用的密鑰或設(shè)定信息而產(chǎn)生的通信量����。
圖1是表示本發(fā)明一實(shí)施方式的加密通信系統(tǒng)的構(gòu)成的系統(tǒng)構(gòu)成圖。
圖2是示例數(shù)據(jù)庫(kù)的詳細(xì)功能構(gòu)成的框圖���。
圖3是示例存儲(chǔ)在網(wǎng)絡(luò)地址存儲(chǔ)部中的數(shù)據(jù)構(gòu)造的說(shuō)明圖���。
圖4是示例存儲(chǔ)在通信條件存儲(chǔ)部中的數(shù)據(jù)構(gòu)造的說(shuō)明圖。
圖5是示例存儲(chǔ)在組成員信息存儲(chǔ)部中的數(shù)據(jù)構(gòu)造的說(shuō)明圖����。
圖6是示例存儲(chǔ)在組地址存儲(chǔ)部中的數(shù)據(jù)構(gòu)造的說(shuō)明圖。
圖7是示例會(huì)話管理服務(wù)器的詳細(xì)功能構(gòu)成的框圖��。
圖8是示例包含于通信條件登錄請(qǐng)求中的數(shù)據(jù)的說(shuō)明圖�����。
圖9是示例包含于密鑰信息生成指示中的數(shù)據(jù)的說(shuō)明圖��。
圖10是示例包含于分發(fā)密鑰信息中的數(shù)據(jù)的說(shuō)明圖���。
圖11是示例通信狀態(tài)管理服務(wù)器的詳細(xì)功能構(gòu)成的框圖�����。
圖12是示例存儲(chǔ)在密鑰信息生成指示存儲(chǔ)部中的數(shù)據(jù)構(gòu)造的說(shuō)明圖��。
圖13是示例通信裝置的詳細(xì)功能構(gòu)成的框圖����。
圖14是示例存儲(chǔ)在通信條件存儲(chǔ)部中的數(shù)據(jù)構(gòu)造的說(shuō)明圖�。
圖15是示例實(shí)現(xiàn)數(shù)據(jù)庫(kù)、通信狀態(tài)管理服務(wù)器或會(huì)話管理服務(wù)器的功能的信息處理裝置的硬件構(gòu)成的硬件構(gòu)成圖�����。
圖16是示例通信狀態(tài)管理服務(wù)器的動(dòng)作的流程圖����。
圖17是示例加密通信系統(tǒng)的動(dòng)作的流程圖。
圖18是示例登入處理(S20)中的加密通信系統(tǒng)的詳細(xì)動(dòng)作的序列圖���。
圖19是示例組內(nèi)加密通信開始處理(S30)中的加密通信系統(tǒng)的詳細(xì)動(dòng)作的序列圖���。
圖20是示例密鑰信息再分發(fā)處理(S40)中的加密通信系統(tǒng)的詳細(xì)動(dòng)作的序列圖。
圖21是示例組內(nèi)加密通信結(jié)束處理(S50)中的加密通信系統(tǒng)的詳細(xì)動(dòng)作的序列圖���。
圖22是示例登出處理(S60)中的加密通信系統(tǒng)的詳細(xì)動(dòng)作的序列圖�����。
具體實(shí)施例方式
下面����,說(shuō)明本發(fā)明的實(shí)施方式。
圖1是表示本發(fā)明一實(shí)施方式的加密通信系統(tǒng)10的構(gòu)成的系統(tǒng)構(gòu)成圖�����。加密通信系統(tǒng)10具備數(shù)據(jù)庫(kù)20���、通信狀態(tài)管理服務(wù)器30�����、會(huì)話管理服務(wù)器40���、和多個(gè)通信裝置50。數(shù)據(jù)庫(kù)20�、通信狀態(tài)管理服務(wù)器30和會(huì)話管理服務(wù)器40的每個(gè)連接于管理網(wǎng)絡(luò)11上,經(jīng)管理網(wǎng)絡(luò)11彼此通信。會(huì)話管理服務(wù)器40進(jìn)一步連接于用戶網(wǎng)絡(luò)12上�。
多個(gè)通信裝置50的每個(gè)例如是通用計(jì)算機(jī)、便攜信息終端�����、IP(Internet Protocol互聯(lián)網(wǎng)協(xié)議)電話����、或具有通信功能的服務(wù)器(應(yīng)用服務(wù)器或Proxy服務(wù)器)等����,連接于因特網(wǎng)等用戶網(wǎng)絡(luò)12上,經(jīng)用戶網(wǎng)絡(luò)12與會(huì)話管理服務(wù)器40或其它通信裝置50進(jìn)行通信��。這里��,多個(gè)通信裝置50的每?jī)蓚€(gè)以上的通信裝置50構(gòu)成組�����,各個(gè)通信裝置50使用從會(huì)話管理服務(wù)器40分發(fā)的密鑰信息���,與組內(nèi)的一個(gè)以上的其它通信裝置50進(jìn)行組內(nèi)加密通信�����。
數(shù)據(jù)庫(kù)20存儲(chǔ)各個(gè)通信裝置50的通信條件����、登入(log in)中的通信裝置50的識(shí)別信息、和屬于各個(gè)組的通信裝置50的識(shí)別信息等���。通信狀態(tài)管理服務(wù)器30在經(jīng)會(huì)話管理服務(wù)器40從通信裝置50接收了包含識(shí)別執(zhí)行組內(nèi)加密通信的組的組ID的通信開始請(qǐng)求的情況下���,參照數(shù)據(jù)庫(kù)20,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置50���、且為登入中的通信裝置50的識(shí)別信息�����。之后��,通信狀態(tài)管理服務(wù)器30將用于組內(nèi)加密通信的密鑰信息的生成指示與提取出的識(shí)別信息一起���,發(fā)送到會(huì)話管理服務(wù)器40。
會(huì)話管理服務(wù)器40在與通信裝置50之間共享加密密鑰之后���,根據(jù)從該通信裝置50發(fā)送的通信條件登錄請(qǐng)求60��,將該通信裝置50的網(wǎng)絡(luò)地址登錄在數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中�����,并且�,經(jīng)通信狀態(tài)管理服務(wù)器30,將該通信裝置50的通信條件登錄在通信條件存儲(chǔ)部22中(登入處理)�。另外����,會(huì)話管理服務(wù)器40根據(jù)從通信裝置50發(fā)送的通信條件刪除請(qǐng)求,從數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中刪除該通信裝置50的網(wǎng)絡(luò)地址����,并且,經(jīng)通信狀態(tài)管理服務(wù)器30��,從通信條件存儲(chǔ)部22中刪除該通信裝置50的通信條件(登出處理)�����。
會(huì)話管理服務(wù)器40在從通信狀態(tài)管理服務(wù)器30與裝置ID一起��、接收到密鑰信息生成指示的情況下,參照數(shù)據(jù)庫(kù)20���,提取對(duì)應(yīng)于接收到的裝置ID的通信裝置50的通信條件���。之后,會(huì)話管理服務(wù)器40根據(jù)提取出的通信條件�,生成密鑰信息,將生成的密鑰信息發(fā)送到使用該密鑰信息的各個(gè)通信裝置50���。這里�,所謂密鑰信息包含加密密鑰或作為構(gòu)成生成該加密密鑰用的基礎(chǔ)的信息的種子(seed)之一�����、以及該加密密鑰的密鑰長(zhǎng)度和使用該加密密鑰加密用的加密算法的種類等�。在本實(shí)施方式中,加密密鑰或根據(jù)種子生成的加密密鑰用于基于共用密鑰加密方式的加密通信���。
這樣�����,加密通信系統(tǒng)10在由多個(gè)通信裝置50執(zhí)行組內(nèi)加密通信的情況下��,將組內(nèi)加密通信中使用的密鑰信息分發(fā)給屬于組的通信裝置50�、且為登入中的通信裝置50的每一個(gè)。因此��,加密通信系統(tǒng)10為可經(jīng)用戶網(wǎng)絡(luò)12通信的狀態(tài)�,但對(duì)不準(zhǔn)備接受組內(nèi)的加密通信服務(wù)提供、未登入到會(huì)話管理服務(wù)器40的通信裝置50�����,不分發(fā)密鑰信息�。因此,加密通信系統(tǒng)10可進(jìn)一步減少因密鑰信息的分發(fā)而產(chǎn)生的通信量�。
圖1中��,管理網(wǎng)絡(luò)11與用戶網(wǎng)絡(luò)12被描繪為物理上不同的網(wǎng)絡(luò)����,但管理網(wǎng)絡(luò)11與用戶網(wǎng)絡(luò)12也可通過(guò)由VLAN(Virtual LAN虛擬局域網(wǎng))等邏輯上區(qū)分物理上相同的網(wǎng)絡(luò)來(lái)構(gòu)筑。另外�,最好確保管理網(wǎng)絡(luò)11的安全性比用戶網(wǎng)絡(luò)12高。
下面�,進(jìn)一步詳細(xì)說(shuō)明為了實(shí)現(xiàn)上述功能、加密通信系統(tǒng)10具有的構(gòu)成���。
圖2是表示數(shù)據(jù)庫(kù)20的詳細(xì)功能構(gòu)成一例的框圖��。數(shù)據(jù)庫(kù)20具備網(wǎng)絡(luò)地址存儲(chǔ)部21�、通信條件存儲(chǔ)部22、組成員信息存儲(chǔ)部23����、組地址存儲(chǔ)部24、網(wǎng)絡(luò)IF部25���、和數(shù)據(jù)庫(kù)控制部26���。
網(wǎng)絡(luò)地址存儲(chǔ)部21例如如圖3所示,對(duì)應(yīng)于通信裝置50的裝置ID210�,存儲(chǔ)登入中的通信裝置50的網(wǎng)絡(luò)地址211。在本實(shí)施方式中��,裝置ID210例如是URI(Uniform Resource Identifier通用資源標(biāo)識(shí)符)���,網(wǎng)絡(luò)地址211例如是IP地址�。
通信條件存儲(chǔ)部22如圖4所示�,對(duì)應(yīng)于各個(gè)通信裝置50的裝置ID220,存儲(chǔ)一個(gè)以上該通信裝置50在組內(nèi)加密通信中可執(zhí)行的通信條件���。各個(gè)通信條件中���,按每個(gè)優(yōu)先順序224���,包含可由對(duì)應(yīng)的通信裝置50執(zhí)行的加密算法221、用于加密通信的加密密鑰的密鑰長(zhǎng)度222�����、和加密密鑰的散列(hash)函數(shù)種類223等�����。
這里�����,所謂加密算法221是用于確定規(guī)定了例如交換(置換)�����、置換(転字)�����、替代(換字)����、分割或移位運(yùn)算等各種變換處理順序的加密解密處理步驟的信息。作為加密算法的代表例�����,有AES(Advanced Encryption Standard高級(jí)加密標(biāo)準(zhǔn))等����。
通信狀態(tài)管理服務(wù)器30在經(jīng)會(huì)話管理服務(wù)器40從通信裝置50接收了包含該通信裝置50的裝置ID、網(wǎng)絡(luò)地址和通信條件的通信條件登錄請(qǐng)求的情況下����,將包含于該通信條件登錄請(qǐng)求中的裝置ID和通信條件登錄到通信條件存儲(chǔ)部22中。通信狀態(tài)管理服務(wù)器30在經(jīng)會(huì)話管理服務(wù)器40從通信裝置50接收了包含該通信裝置50的裝置ID的通信條件刪除請(qǐng)求的情況下�,從通信條件存儲(chǔ)部22中刪除包含于該通信條件刪除請(qǐng)求中的裝置ID和對(duì)應(yīng)于該裝置ID的通信條件。
組成員信息存儲(chǔ)部23例如如圖5所示�����,對(duì)應(yīng)于識(shí)別各個(gè)組的組ID230�,存儲(chǔ)屬于該組的通信裝置50的裝置ID231。
組地址存儲(chǔ)部24對(duì)于利用多播或廣播等執(zhí)行組內(nèi)加密通信的組�,例如如圖6所示��,將多播地址或廣播地址等組地址241�,與用于識(shí)別組的組ID240相對(duì)應(yīng)地存儲(chǔ)�����。對(duì)于利用單播執(zhí)行組內(nèi)加密通信的組�,不將對(duì)應(yīng)于該組的組ID存儲(chǔ)在組地址存儲(chǔ)部24內(nèi)。存儲(chǔ)在組成員信息存儲(chǔ)部23和組地址存儲(chǔ)部24內(nèi)的數(shù)據(jù)由系統(tǒng)管理者等事先設(shè)定��。
數(shù)據(jù)庫(kù)控制部26對(duì)應(yīng)于經(jīng)網(wǎng)絡(luò)IF部25從通信狀態(tài)管理服務(wù)器30或會(huì)話管理服務(wù)器40接收到的各種請(qǐng)求��,執(zhí)行如下處理��,即從網(wǎng)絡(luò)地址存儲(chǔ)部21�����、通信條件存儲(chǔ)部22��、組成員信息存儲(chǔ)部23和組地址存儲(chǔ)部24中提取必要的數(shù)據(jù)后返回���,或?qū)?yīng)于該請(qǐng)求,改寫網(wǎng)絡(luò)地址存儲(chǔ)部21和通信條件存儲(chǔ)部22內(nèi)的數(shù)據(jù)的處理��。
圖7是表示會(huì)話管理服務(wù)器40的詳細(xì)功能構(gòu)成一例的框圖。會(huì)話管理服務(wù)器40具備網(wǎng)絡(luò)IF部400���、通信條件刪除請(qǐng)求傳送部401�����、密鑰信息生成部402�、網(wǎng)絡(luò)地址刪除部403�����、網(wǎng)絡(luò)地址登錄部404���、通信條件登錄請(qǐng)求傳送部405��、通信請(qǐng)求傳送部406�����、密鑰信息刪除請(qǐng)求發(fā)送部407��、加密通信部408�����、裝置認(rèn)證部409�、網(wǎng)絡(luò)IF部410、密鑰生成部411����、和所有密鑰存儲(chǔ)部412。
網(wǎng)絡(luò)IF部410經(jīng)用戶網(wǎng)絡(luò)12���,與各個(gè)通信裝置50通信��。網(wǎng)絡(luò)IF部400經(jīng)管理網(wǎng)絡(luò)11與數(shù)據(jù)庫(kù)20或通信狀態(tài)管理服務(wù)器30通信�����。所有密鑰存儲(chǔ)部412存儲(chǔ)會(huì)話管理服務(wù)器40的私鑰��,和通信裝置50認(rèn)證會(huì)話管理服務(wù)器40用的���、證明與該私鑰成對(duì)的公鑰為正確的公鑰證書。密鑰生成部411生成加密通信部408與通信裝置50進(jìn)行加密通信中所使用的加密密鑰�����。
裝置認(rèn)證部409在經(jīng)網(wǎng)絡(luò)IF部410從通信裝置50接收到加密通信路徑確立請(qǐng)求的情況下,在與該通信裝置50之間進(jìn)行認(rèn)證處理��。在認(rèn)證處理成功的情況下��,裝置認(rèn)證部409使密鑰生成部411生成加密密鑰��。
裝置認(rèn)證部409通過(guò)向該通信裝置50發(fā)送包含生成的加密密鑰的響應(yīng)�,與該通信裝置50之間共享加密密鑰���。裝置認(rèn)證部409對(duì)加密通信部408設(shè)定對(duì)應(yīng)于該通信裝置50的加密密鑰�。之后�,使用共享的加密密鑰來(lái)進(jìn)行會(huì)話管理服務(wù)器40與該通信裝置50之間的通信。
這里����,在本實(shí)施方式中,所謂通信裝置50的登入���,是指在會(huì)話管理服務(wù)器40與該通信裝置50之間共享加密密鑰之后�����,會(huì)話管理服務(wù)器40根據(jù)從該通信裝置50發(fā)送的通信條件登錄請(qǐng)求60�,將該通信裝置50的網(wǎng)絡(luò)地址登錄在數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中,并且���,經(jīng)通信狀態(tài)管理服務(wù)器30���,將該通信裝置50的通信條件登錄在通信條件存儲(chǔ)部22內(nèi)。另外���,所謂登入中的通信裝置50����,是指如下通信裝置50��,即與會(huì)話管理服務(wù)器40之間共享有效的加密密鑰�����,且在網(wǎng)絡(luò)地址存儲(chǔ)部21中登錄有網(wǎng)絡(luò)地址��,并且���,在通信條件存儲(chǔ)部22中登錄有通信條件的通信裝置50�����。另外����,所謂通信裝置50的登出(log out),是指會(huì)話管理服務(wù)器40在從數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中刪除該通信裝置50的網(wǎng)絡(luò)地址�,并且,經(jīng)通信狀態(tài)管理服務(wù)器30�,從通信條件存儲(chǔ)部22中刪除該通信裝置50的通信條件之后���,在兩個(gè)裝置中丟棄會(huì)話管理服務(wù)器40與該通信裝置50之間共享的有效加密密鑰���。
網(wǎng)絡(luò)地址登錄部404和通信條件登錄請(qǐng)求傳送部405經(jīng)加密通信部408,從通信裝置50接收作為表示參加組內(nèi)加密通信的信息的��、通信條件登錄請(qǐng)求���。通信條件登錄請(qǐng)求60具有例如圖8所示的數(shù)據(jù)構(gòu)造����。通信條件登錄請(qǐng)求60中包含表示是通信條件登錄請(qǐng)求的消息種類600�、該通信條件登錄請(qǐng)求60的發(fā)送源的通信裝置50的網(wǎng)絡(luò)地址601、該通信裝置50的裝置ID602�����、和該通信裝置50可實(shí)現(xiàn)的1組以上的通信條件603。各個(gè)通信條件603中包含加密算法605�、密鑰長(zhǎng)度606、散列函數(shù)種類607���、和優(yōu)先順序608等�����。
網(wǎng)絡(luò)地址登錄部404經(jīng)網(wǎng)絡(luò)IF部400�,向數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21發(fā)送接收到的通信條件登錄請(qǐng)求60內(nèi)的網(wǎng)絡(luò)地址601�,在接收到表示登錄完成的響應(yīng)的情況下,將該情況通知給通信條件登錄請(qǐng)求傳送部405����。在從網(wǎng)絡(luò)地址登錄部404接收到登錄完成的通知的情況下,通信條件登錄請(qǐng)求傳送部405經(jīng)網(wǎng)絡(luò)IF部400���,將通信條件登錄請(qǐng)求60傳送到通信狀態(tài)管理服務(wù)器30�����。在從通信狀態(tài)管理服務(wù)器30接收到登錄完成通知的情況下�,通信條件登錄請(qǐng)求傳送部405經(jīng)加密通信部408,向發(fā)送了該通信條件登錄請(qǐng)求60的通信裝置50發(fā)送接收到的登錄完成通知����。
通信請(qǐng)求傳送部406經(jīng)加密通信部408,從通信裝置50接收通信開始請(qǐng)求或通信結(jié)束請(qǐng)求����,經(jīng)網(wǎng)絡(luò)IF部400將接收到的通信開始請(qǐng)求或通信結(jié)束請(qǐng)求傳送到通信狀態(tài)管理服務(wù)器30。通信請(qǐng)求傳送部406在經(jīng)網(wǎng)絡(luò)IF部400從通信狀態(tài)管理服務(wù)器30接收到通信開始拒絕響應(yīng)或通信結(jié)束拒絕響應(yīng)的情況下�,經(jīng)加密通信部408向通信裝置50傳送接收到的通信開始拒絕響應(yīng)或通信結(jié)束拒絕響應(yīng)。
密鑰信息生成部402經(jīng)網(wǎng)絡(luò)IF部400�����,從通信狀態(tài)管理服務(wù)器30接收用于組內(nèi)加密通信的密鑰信息的生成指示��。密鑰信息生成指示61具有例如圖9所示的數(shù)據(jù)構(gòu)造��。密鑰信息生成指示61中包含表示密鑰信息生成指示的消息種類610�、應(yīng)生成的密鑰信息的有效期限611��、進(jìn)行加密通信的組的組ID612��、和裝置ID一覽613���。裝置ID一覽613中��,包含屬于與組ID612對(duì)應(yīng)的組的一個(gè)以上的��、且當(dāng)前處于登入中的通信裝置50的裝置ID6130����。
密鑰信息生成部402通過(guò)經(jīng)網(wǎng)絡(luò)IF部400將包含裝置ID6130的通信條件取得請(qǐng)求發(fā)送到數(shù)據(jù)庫(kù)20,取得對(duì)應(yīng)于該裝置ID6130的各個(gè)通信裝置50的通信條件����。密鑰信息生成部402根據(jù)取得的各個(gè)通信裝置50的通信條件,提取對(duì)各個(gè)通信裝置50共用的通信條件����。另外,密鑰信息生成部402生成包含可在提取到的通信條件中執(zhí)行的組內(nèi)加密通信中使用的密鑰的密鑰信息�。
密鑰信息生成部402根據(jù)包含于密鑰信息生成指示61中的組ID612,經(jīng)網(wǎng)絡(luò)IF部400���,參照數(shù)據(jù)庫(kù)20的組地址存儲(chǔ)部24�,在存在對(duì)應(yīng)于該組ID612的組地址241的情況下����,取得對(duì)應(yīng)于該組ID612的組地址241�����。另外�����,密鑰信息生成部402根據(jù)包含于密鑰信息生成指示61中的裝置ID6130��,經(jīng)網(wǎng)絡(luò)IF部400���,參照數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21,取得對(duì)應(yīng)于各個(gè)裝置ID6130的網(wǎng)絡(luò)地址211��。
密鑰信息生成部402根據(jù)生成的密鑰信息等�����,生成例如圖10所示的分發(fā)密鑰信息62��。分發(fā)密鑰信息62中包含表示是分發(fā)密鑰信息的消息種類620�、密鑰信息621���、網(wǎng)絡(luò)地址一覽622��、裝置ID一覽623����、和組地址624。
密鑰信息621中包含密鑰信息621的有效期限6210���、加密算法6211�、密鑰長(zhǎng)度6212�����、加密密鑰6213和散列函數(shù)種類6214��。密鑰信息621內(nèi)���,也可包含種子來(lái)代替加密密鑰6213����。網(wǎng)絡(luò)地址一覽622中包含屬于進(jìn)行加密通信的組的一個(gè)以上的通信裝置50�����、且為登入中的通信裝置50的網(wǎng)絡(luò)地址6220。裝置ID一覽623中包含屬于進(jìn)行加密通信的組的通信裝置50����、且為登入中的通信裝置50的裝置ID6230。在對(duì)應(yīng)于組的組地址未存儲(chǔ)在數(shù)據(jù)庫(kù)20的組地址存儲(chǔ)部24中的情況下����,組地址624中包含null數(shù)據(jù)。
密鑰信息生成部402經(jīng)加密通信部408�,將生成的分發(fā)密鑰信息62(例如通過(guò)單播)發(fā)送到對(duì)應(yīng)于該分發(fā)密鑰信息62內(nèi)的網(wǎng)絡(luò)地址6220的每個(gè)的通信裝置50。這樣�����,會(huì)話管理服務(wù)器40將使用該密鑰信息進(jìn)行組內(nèi)加密通信的通信裝置50的裝置ID和網(wǎng)絡(luò)地址�,與生成的密鑰信息一起,進(jìn)行分發(fā)����,所以各個(gè)通信裝置50可識(shí)別參加組內(nèi)加密通信的其它通信裝置50的存在。
密鑰信息生成部402經(jīng)網(wǎng)絡(luò)IF部400��,從通信狀態(tài)管理服務(wù)器30接收用于組內(nèi)加密通信的密鑰信息的再分發(fā)指示�����。密鑰信息再分發(fā)指示具有僅消息種類610與密鑰信息生成指示61不同����、此外與圖9所示的密鑰信息生成指示61一樣的數(shù)據(jù)構(gòu)造。在接收到密鑰信息再分發(fā)指示的情況下���,密鑰信息生成部402與接收到密鑰信息生成指示61時(shí)一樣�����,根據(jù)包含于該密鑰信息再分發(fā)指示中的信息�����,生成圖10所示的分發(fā)密鑰信息62��,將生成的分發(fā)密鑰信息62分發(fā)給對(duì)應(yīng)的通信裝置50�。
密鑰信息刪除請(qǐng)求發(fā)送部407在經(jīng)網(wǎng)絡(luò)IF部400從通信狀態(tài)管理服務(wù)器30接收到包含裝置ID的密鑰信息刪除請(qǐng)求的情況下�,經(jīng)加密通信部408向由包含于該密鑰信息刪除請(qǐng)求中的裝置ID所確定的通信裝置50發(fā)送接收到的密鑰信息刪除請(qǐng)求。
通信條件刪除請(qǐng)求傳送部401和網(wǎng)絡(luò)地址刪除部403經(jīng)加密通信部408�,從通信裝置50接收作為表示取消參加到組內(nèi)加密通信的信息的通信條件刪除請(qǐng)求。該通信條件刪除請(qǐng)求中包含該通信裝置50的裝置ID�����。通信條件刪除請(qǐng)求傳送部401經(jīng)網(wǎng)絡(luò)IF部400向通信狀態(tài)管理服務(wù)器30傳送接收到的通信條件刪除請(qǐng)求。另外�����,在經(jīng)網(wǎng)絡(luò)IF部400從通信狀態(tài)管理服務(wù)器30接收到刪除完成通知的情況下���,通信條件刪除請(qǐng)求傳送部401將該情況通知給網(wǎng)絡(luò)地址刪除部403���。
在從通信條件刪除請(qǐng)求傳送部401被通知了刪除完成的情況下,網(wǎng)絡(luò)地址刪除部403從數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中�����,刪除對(duì)應(yīng)于通信條件刪除請(qǐng)求中包含的裝置ID的網(wǎng)絡(luò)地址���,并經(jīng)加密通信部408����,向發(fā)送了通信條件刪除請(qǐng)求的通信裝置50發(fā)送刪除完成通知��。
圖11是表示通信狀態(tài)管理服務(wù)器30的詳細(xì)功能構(gòu)成一例的框圖��。通信狀態(tài)管理服務(wù)器30具備密鑰信息生成指示存儲(chǔ)部300��、密鑰信息生成指示部301����、密鑰信息刪除指示部302、通信條件登錄部303����、通信條件刪除部304、組成員判定部305和網(wǎng)絡(luò)IF部306�。
網(wǎng)絡(luò)IF部306經(jīng)管理網(wǎng)絡(luò)11與數(shù)據(jù)庫(kù)20或會(huì)話管理服務(wù)器40通信。通信條件登錄部303在經(jīng)網(wǎng)絡(luò)IF部306從會(huì)話管理服務(wù)器40接收到圖8所示的通信條件登錄請(qǐng)求60的情況下�,通過(guò)將接收到的通信條件登錄請(qǐng)求60中包含的通信條件和裝置ID發(fā)送到數(shù)據(jù)庫(kù)20,使該通信條件對(duì)應(yīng)于該裝置ID����,登錄到通信條件存儲(chǔ)部22中。之后��,通信條件登錄部303在從數(shù)據(jù)庫(kù)20接收到表示登錄完成的響應(yīng)的情況下��,經(jīng)網(wǎng)絡(luò)IF部306將登錄完成通知發(fā)送到會(huì)話管理服務(wù)器40���。
通信條件刪除部304在經(jīng)網(wǎng)絡(luò)IF部306從會(huì)話管理服務(wù)器40接收到包含裝置ID的通信條件刪除請(qǐng)求的情況下��,通過(guò)將該裝置ID發(fā)送給數(shù)據(jù)庫(kù)20�����,從通信條件存儲(chǔ)部22中刪除該裝置ID和對(duì)應(yīng)于該裝置ID登錄的通信條件�����。通信條件刪除部304在從數(shù)據(jù)庫(kù)20接收到表示刪除完成的響應(yīng)的情況下�����,經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送刪除完成通知�。
組成員判定部305在經(jīng)網(wǎng)絡(luò)IF部306從會(huì)話管理服務(wù)器40接收到包含發(fā)送源通信裝置50的裝置ID和進(jìn)行加密通信的組的組ID的通信開始請(qǐng)求的情況下,通過(guò)向數(shù)據(jù)庫(kù)20發(fā)送包含該組ID的組成員取得請(qǐng)求�,從數(shù)據(jù)庫(kù)20中取得對(duì)應(yīng)于該組ID存儲(chǔ)在組成員信息存儲(chǔ)部23中的裝置ID。組成員判定部305根據(jù)取得的裝置ID���,判定包含于該通信開始請(qǐng)求中的裝置ID����,是否包含在取得的裝置ID中�����。
在包含于該通信開始請(qǐng)求中的裝置ID未包含在從數(shù)據(jù)庫(kù)20取得的裝置ID中的情況下��,組成員判定部305經(jīng)網(wǎng)絡(luò)IF部306將包含該裝置ID的通信開始拒絕響應(yīng)發(fā)送給會(huì)話管理服務(wù)器40。
在包含于該通信開始請(qǐng)求中的裝置ID包含在從數(shù)據(jù)庫(kù)20取得的裝置ID中的情況下���,組成員判定部305將包含于該通信開始請(qǐng)求中的裝置ID和從數(shù)據(jù)庫(kù)20中取得的裝置ID發(fā)送到密鑰信息生成指示部301。
組成員判定部305在經(jīng)網(wǎng)絡(luò)IF部306從會(huì)話管理服務(wù)器40接收到包含發(fā)送源通信裝置50的裝置ID和進(jìn)行加密通信的組的組ID的通信結(jié)束請(qǐng)求的情況下���,通過(guò)向數(shù)據(jù)庫(kù)20發(fā)送包含該組ID的組成員取得請(qǐng)求�,取得對(duì)應(yīng)于該組ID存儲(chǔ)在組成員信息存儲(chǔ)部23中的裝置ID�����。之后�,組成員判定部305根據(jù)取得的裝置ID,判定包含于該通信結(jié)束請(qǐng)求中的裝置ID是否包含在取得的裝置ID中����。
在包含于該通信結(jié)束請(qǐng)求中的裝置ID未包含在從數(shù)據(jù)庫(kù)20中取得的裝置ID中的情況下,組成員判定部305經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送包含該裝置ID的通信結(jié)束拒絕響應(yīng)�����。
在包含于該通信結(jié)束請(qǐng)求中的裝置ID包含在從數(shù)據(jù)庫(kù)20中取得的裝置ID中的情況下���,組成員判定部305向密鑰信息刪除指示部302發(fā)送包含于該通信結(jié)束請(qǐng)求中的組ID和從數(shù)據(jù)庫(kù)20取得的裝置ID��。
密鑰信息生成指示部301在從組成員判定部305接收組ID和裝置ID的情況下�����,通過(guò)將包含從組成員判定部305接收到的裝置ID的登入中裝置ID取得請(qǐng)求發(fā)送到數(shù)據(jù)庫(kù)20�,取得該裝置ID中的、在網(wǎng)絡(luò)地址存儲(chǔ)部21內(nèi)對(duì)應(yīng)于網(wǎng)絡(luò)地址的裝置ID���。由此�����,密鑰信息生成指示部301可提取屬于與該組ID對(duì)應(yīng)的組的通信裝置50中�����、當(dāng)前登入中的通信裝置50的裝置ID��。另外�����,密鑰信息生成指示部301設(shè)定應(yīng)生成的密鑰信息的有效期限����。
密鑰信息生成指示部301如圖9所示,生成包含已設(shè)定的有效期限611����、從組成員判定部305接收到的組ID612、和提取到的裝置ID一覽613的密鑰信息生成指示61���,并將生成的密鑰信息生成指示61經(jīng)網(wǎng)絡(luò)IF部306發(fā)送到會(huì)話管理服務(wù)器40。另外����,密鑰信息生成指示部301將發(fā)送的密鑰信息生成指示61存儲(chǔ)在密鑰信息生成指示存儲(chǔ)部300中。例如如圖12所示��,密鑰信息生成指示存儲(chǔ)部300中���,對(duì)應(yīng)于有效期限3000來(lái)存儲(chǔ)包含于密鑰信息生成指示61中的組ID3001和裝置ID一覽3002��。
密鑰信息生成指示部301在規(guī)定的定時(shí)����,參照密鑰信息生成指示存儲(chǔ)部300���,判定是否存在在有效期限經(jīng)過(guò)前�����、且與當(dāng)前時(shí)刻的差為規(guī)定值以下的有效期限3000�。在存在與當(dāng)前時(shí)刻的差為規(guī)定值以下的有效期限3000的情況下,密鑰信息生成指示部301從密鑰信息生成指示存儲(chǔ)部300中提取對(duì)應(yīng)于該有效期限3000的組ID3001和裝置ID一覽3002�,從密鑰信息生成指示存儲(chǔ)部300中刪除該有效期限3000、組ID3001���、裝置ID一覽3002�。
密鑰信息生成指示部301重新設(shè)定有效期限��,生成包含設(shè)定的有效期限���、從密鑰信息生成指示存儲(chǔ)部300中提取的組ID3001和裝置ID一覽3002的密鑰信息再生成指示��,并經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送生成的密鑰信息再生成指示���。另外,密鑰信息生成指示部301將發(fā)送的密鑰信息再生成指示存儲(chǔ)在密鑰信息生成指示存儲(chǔ)部300中�。密鑰信息再生成指示除僅消息種類610與圖9所示的密鑰信息生成指示61不同外,數(shù)據(jù)構(gòu)造與密鑰信息生成指示61大致一樣�。
密鑰信息刪除指示部302在從組成員判定部305接收到組ID和裝置ID的情況下,通過(guò)向數(shù)據(jù)庫(kù)20發(fā)送包含該裝置ID的登入中裝置ID取得請(qǐng)求,取得該裝置ID中�、在網(wǎng)絡(luò)地址存儲(chǔ)部21內(nèi)與網(wǎng)絡(luò)地址相對(duì)應(yīng)的裝置ID。
另外�����,密鑰信息刪除指示部302生成包含從數(shù)據(jù)庫(kù)20取得的裝置ID的密鑰信息刪除請(qǐng)求�,經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送生成的密鑰信息刪除請(qǐng)求。密鑰信息刪除指示部302從密鑰信息生成指示存儲(chǔ)部300中�����,刪除從組成員判定部305接收到的組ID��、對(duì)應(yīng)于該組ID存儲(chǔ)的有效期限和裝置ID一覽�����。
圖13是表示通信裝置50的詳細(xì)功能構(gòu)成一例的框圖����。通信裝置50具備網(wǎng)絡(luò)IF部500���、通信裝置用加密通信部501����、密鑰信息取得部502、用戶用加密通信部503�����、所有密鑰存儲(chǔ)部504����、密鑰信息存儲(chǔ)部505、通信結(jié)束請(qǐng)求部506����、通信條件刪除請(qǐng)求部507、通信開始請(qǐng)求部508��、通信條件登錄請(qǐng)求部509����、應(yīng)用部510和通信條件存儲(chǔ)部511。
所有密鑰存儲(chǔ)部504存儲(chǔ)本通信裝置50的私鑰�、和用于會(huì)話管理服務(wù)器40認(rèn)證本通信裝置的與該私鑰成對(duì)的公鑰證書。服務(wù)器用加密通信部503接收來(lái)自應(yīng)用部510的指示����,經(jīng)網(wǎng)絡(luò)IF部500����,使用所有密鑰存儲(chǔ)部504內(nèi)的私鑰和公鑰證書���,在與會(huì)話管理服務(wù)器40之間進(jìn)行加密密鑰的共享處理����。之后�,服務(wù)器用加密通信部503使用與會(huì)話管理服務(wù)器40共享的加密密鑰,與會(huì)話管理服務(wù)器40進(jìn)行通信�。
用戶用加密通信部503接收來(lái)自應(yīng)用部510的指示,通過(guò)經(jīng)網(wǎng)絡(luò)IF部500向會(huì)話管理服務(wù)器40發(fā)送加密通信路徑刪除請(qǐng)求����,丟棄在與會(huì)話管理服務(wù)器40之間共享的加密密鑰。
通信條件存儲(chǔ)部511具有例如圖14所示的數(shù)據(jù)構(gòu)造���,對(duì)應(yīng)于優(yōu)先順序5113存儲(chǔ)一個(gè)以上的通信條件的每個(gè)。在各個(gè)通信條件中����,包含可由本通信裝置50執(zhí)行的加密算法5110、用于加密通信的加密密鑰的密鑰長(zhǎng)度5111���、和散列函數(shù)種類5112等�。
通信條件登錄請(qǐng)求部509根據(jù)來(lái)自應(yīng)用部510的指示,參照通信條件存儲(chǔ)部511�����,生成圖8所示的通信條件登錄請(qǐng)求60��,經(jīng)服務(wù)器用加密通信部503�����,向會(huì)話管理服務(wù)器40發(fā)送生成的通信條件登錄請(qǐng)求60�����。
通信條件刪除請(qǐng)求部507根據(jù)來(lái)自應(yīng)用部510的指示���,經(jīng)服務(wù)器用加密通信部503��,向會(huì)話管理服務(wù)器40發(fā)送包含本通信裝置50的裝置ID的通信條件刪除請(qǐng)求�。
通信開始請(qǐng)求部508根據(jù)來(lái)自應(yīng)用部510的指示��,經(jīng)服務(wù)器用加密通信部503�����,向會(huì)話管理服務(wù)器40發(fā)送包含本通信裝置50的裝置ID和進(jìn)行加密通信的組的組ID的通信開始請(qǐng)求。
通信結(jié)束請(qǐng)求部506根據(jù)來(lái)自應(yīng)用部510的指示��,經(jīng)服務(wù)器用加密通信部503���,向會(huì)話管理服務(wù)器40發(fā)送包含本通信裝置50的裝置ID和進(jìn)行加密通信的組的組ID的通信結(jié)束請(qǐng)求�����。
密鑰信息取得部502在經(jīng)服務(wù)器用加密通信部503接收了圖10所示的分發(fā)密鑰信息62的情況下��,將包含于接收到的分發(fā)密鑰信息62中的密鑰信息621��、網(wǎng)絡(luò)地址一覽622和裝置ID一覽623存儲(chǔ)在密鑰信息存儲(chǔ)部505中���。當(dāng)安裝于通信裝置50中的進(jìn)行組內(nèi)網(wǎng)絡(luò)通信的應(yīng)用收發(fā)通信數(shù)據(jù)包時(shí),通信裝置用加密通信部501檢索密鑰信息存儲(chǔ)部505��,判定該數(shù)據(jù)包的通信目標(biāo)是否包含于圖10的分發(fā)密鑰信息62的網(wǎng)絡(luò)地址6220或組地址624中�,在包含的情況下���,使用密鑰信息621����,與其它通信裝置50之間進(jìn)行組內(nèi)加密通信。
另外�����,在密鑰信息存儲(chǔ)部505內(nèi)已存儲(chǔ)密鑰信息621���、網(wǎng)絡(luò)地址一覽622和裝置ID一覽623的情況下�����,若密鑰信息取得部502重新接收到分發(fā)密鑰信息62��,則利用該分發(fā)密鑰信息62的密鑰信息621���、網(wǎng)絡(luò)地址一覽622和裝置ID一覽623來(lái)更新密鑰信息存儲(chǔ)部505內(nèi)的數(shù)據(jù)。
在密鑰信息取得部502經(jīng)服務(wù)器用加密通信部503接收到密鑰信息刪除請(qǐng)求的情況下�����,從密鑰信息存儲(chǔ)部505中刪除存儲(chǔ)在密鑰信息存儲(chǔ)部505中的密鑰信息621���、網(wǎng)絡(luò)地址一覽622和裝置ID一覽623���。
應(yīng)用部510可從密鑰信息存儲(chǔ)部505取得屬于組的通信裝置50�����、且為當(dāng)前登入中的通信裝置50的裝置ID和網(wǎng)絡(luò)地址的信息����。由此����,通信裝置50可識(shí)別組內(nèi)的其它通信裝置50的哪個(gè)參加至當(dāng)前進(jìn)行的組內(nèi)加密通信中。
圖15是表示實(shí)現(xiàn)數(shù)據(jù)庫(kù)20��、通信狀態(tài)管理服務(wù)器30或會(huì)話管理服務(wù)器40的功能的信息處理裝置70的硬件構(gòu)成一例的硬件構(gòu)成圖����。信息處理裝置70具備CPU(Central Processing Unit中央處理單元)71、RAM(Random Access Memory隨機(jī)存取存儲(chǔ)器)72����、ROM(ReadOnly Memory只讀存儲(chǔ)器)73、HDD(Hard Disk Drive硬盤驅(qū)動(dòng)器)74���、通信接口75��、輸入輸出接口76��、媒體接口77��。
CPU71根據(jù)存儲(chǔ)在ROM73和HDD74中的程序動(dòng)作�����,執(zhí)行各部分的控制�。ROM73存儲(chǔ)信息處理裝置70啟動(dòng)時(shí)CPU71執(zhí)行的引導(dǎo)程序�、或取決于信息處理裝置70的硬件的程序等。
HDD74存儲(chǔ)CPU71執(zhí)行的程序和CPU71使用的數(shù)據(jù)等�。通信接口75經(jīng)管理網(wǎng)絡(luò)11或用戶網(wǎng)絡(luò)12從其它設(shè)備接收數(shù)據(jù),發(fā)送到CPU71����,并且,經(jīng)這些網(wǎng)絡(luò)向其它設(shè)備發(fā)送CPU71生成的數(shù)據(jù)��。
CPU71經(jīng)輸入輸出接口76��,控制鍵盤或鼠標(biāo)�、LCD(Liquid CrystalDisplay液晶顯示器)等輸入輸出裝置。CPU71經(jīng)輸入輸出接口76,從鍵盤或鼠標(biāo)等取得數(shù)據(jù)��。另外����,CPU71經(jīng)輸入輸出接口76,向LCD等輸出生成的數(shù)據(jù)�����。
媒體接口77讀取存儲(chǔ)在記錄媒體78中的程序或數(shù)據(jù)���,提供給RAM72�。經(jīng)RAM72提供給CPU71的程序存儲(chǔ)在記錄媒體78中����。該程序從記錄媒體78中被讀出后,經(jīng)RAM72安裝于信息處理裝置70中�,由CPU71執(zhí)行。
在信息處理裝置70作為數(shù)據(jù)庫(kù)20而起作用的情況下����,在HDD74中存儲(chǔ)網(wǎng)絡(luò)地址存儲(chǔ)部21、通信條件存儲(chǔ)部22����、組成員信息存儲(chǔ)部23����、和組地址存儲(chǔ)部24內(nèi)的數(shù)據(jù)�����,安裝在信息處理裝置70中并執(zhí)行的程序���,使信息處理裝置70作為網(wǎng)絡(luò)IF部25和數(shù)據(jù)庫(kù)控制部26而起作用。
在信息處理裝置70作為通信狀態(tài)管理服務(wù)器30而起作用的情況下���,在HDD74中存儲(chǔ)密鑰信息生成指示存儲(chǔ)部300內(nèi)的數(shù)據(jù)��,安裝在信息處理裝置70中并執(zhí)行的程序���,使信息處理裝置70分別作為密鑰信息生成指示部301、密鑰信息刪除指示部302��、通信條件登錄部303�����、通信條件刪除部304、組成員判定部305和網(wǎng)絡(luò)IF部306而起作用�。
另外,在信息處理裝置70作為會(huì)話管理服務(wù)器40而起作用的情況下�,HDD74中存儲(chǔ)所有密鑰存儲(chǔ)部412內(nèi)的數(shù)據(jù),安裝在信息處理裝置70中并執(zhí)行的程序��,使信息處理裝置70分別作為網(wǎng)絡(luò)IF部400��、通信條件刪除請(qǐng)求傳送部401�����、密鑰信息生成部402�����、網(wǎng)絡(luò)地址刪除部403���、網(wǎng)絡(luò)地址登錄部404����、通信條件登錄請(qǐng)求傳送部405�����、通信請(qǐng)求傳送部406、密鑰信息刪除請(qǐng)求發(fā)送部407��、加密通信部408�����、裝置認(rèn)證部409���、網(wǎng)絡(luò)IF部410����、和密鑰生成部411而起作用�。
記錄媒體78例如是DVD�����、PD等光學(xué)記錄媒體����、MO等磁光記錄媒體、磁帶媒體�����、磁記錄媒體或半導(dǎo)體存儲(chǔ)器等。信息處理裝置70從記錄媒體78中讀取這些程序來(lái)執(zhí)行���,但作為其它實(shí)例��,也可從其它裝置經(jīng)通信媒體取得這些程序��。所謂通信媒體是指管理網(wǎng)絡(luò)11或用戶網(wǎng)絡(luò)12��、或在其中傳輸?shù)臄?shù)字信號(hào)或載波�����。
這里�����,用圖16來(lái)詳細(xì)說(shuō)明實(shí)現(xiàn)組內(nèi)加密通信時(shí)的通信狀態(tài)管理服務(wù)器30的動(dòng)作一例���。例如在接通電源等規(guī)定定時(shí),通信狀態(tài)管理服務(wù)器30開始本流程圖所示的動(dòng)作���。
首先��,通信條件登錄部303判定是否經(jīng)管理網(wǎng)絡(luò)11從會(huì)話管理服務(wù)器40接收到圖8所示的通信條件登錄請(qǐng)求60(S100)���。在接收到通信條件登錄請(qǐng)求60的情況下(S100是)����,通信條件登錄部30通過(guò)將包含于接收到的通信條件登錄請(qǐng)求60中的通信條件和裝置ID發(fā)送到數(shù)據(jù)庫(kù)20��,將該通信條件與該裝置ID相對(duì)應(yīng)地存儲(chǔ)在通信條件存儲(chǔ)部22中(S101)��。
之后�����,通信條件登錄部303從數(shù)據(jù)庫(kù)20接收表示登錄完成的響應(yīng)�,經(jīng)管理網(wǎng)絡(luò)11向會(huì)話管理服務(wù)器40發(fā)送包含該通信條件登錄請(qǐng)求60的發(fā)送源通信裝置50的裝置ID的登錄完成通知(S102)�����,通信條件登錄部303再次執(zhí)行步驟100所示的處理����。
在未接收到通信條件登錄請(qǐng)求60的情況下(S100否),組成員判定部305判定是否經(jīng)管理網(wǎng)絡(luò)11接收到通信開始請(qǐng)求(S103)�����。在接收到通信開始請(qǐng)求的情況下(S103是),組成員判定部305通過(guò)向數(shù)據(jù)庫(kù)20發(fā)送包含該組ID的組成員取得請(qǐng)求���,從數(shù)據(jù)庫(kù)20取得對(duì)應(yīng)于該組ID存儲(chǔ)在組成員信息存儲(chǔ)部23中的裝置ID����。之后���,組成員判定部305根據(jù)取得的裝置ID���,判定該通信開始請(qǐng)求中包含的裝置ID是否包含于取得的裝置ID中(S104)。
在該通信開始請(qǐng)求中包含的裝置ID包含于從數(shù)據(jù)庫(kù)20取得的裝置ID中的情況下(S104是)��,組成員判定部305向密鑰信息生成指示部301發(fā)送包含于該通信開始請(qǐng)求中的組ID和從數(shù)據(jù)庫(kù)20取得的裝置ID��。
接著�����,密鑰信息生成指示部301向數(shù)據(jù)庫(kù)20發(fā)送包含該裝置ID的登入中裝置ID取得請(qǐng)求�����,通過(guò)取得該裝置ID中、在網(wǎng)絡(luò)地址存儲(chǔ)部21內(nèi)對(duì)應(yīng)于網(wǎng)絡(luò)地址的裝置ID��,提取屬于與從組成員判定部305接收到的組ID對(duì)應(yīng)的組的通信裝置50中�����、當(dāng)前登入中的通信裝置50的裝置ID(S105)�。
接著,密鑰信息生成指示部301設(shè)定應(yīng)生成的信息的有效期限��。之后��,密鑰信息生成指示部301生成圖9所示的密鑰信息生成指示61��,經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送生成的密鑰信息生成指示61(S106)��。之后���,密鑰信息生成指示部301將發(fā)送的密鑰信息生成指示61存儲(chǔ)在密鑰信息生成指示存儲(chǔ)部300中(S107)�����,通信條件登錄部303再次執(zhí)行步驟100所示的處理。
在通信開始請(qǐng)求中包含的裝置ID未包含于從數(shù)據(jù)庫(kù)20取得的裝置ID中的情況下(S104否)�,組成員判定部305經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送包含該裝置ID的通信開始拒絕響應(yīng)(S108),通信條件登錄部303再次執(zhí)行步驟100所示的處理����。
在步驟103中����,在未接收通信開始請(qǐng)求的情況下(S103否)�����,密鑰信息生成指示部301判定密鑰信息生成指示存儲(chǔ)部300內(nèi)是否存在在有效期限經(jīng)過(guò)前���、且與當(dāng)前時(shí)刻的差為規(guī)定值以下的有效期限(S109)����。在密鑰信息生成指示存儲(chǔ)部300內(nèi)存在在有效期限經(jīng)過(guò)前��、且與當(dāng)前時(shí)刻的差為規(guī)定值以下的有效期限的情況下(S109是)���,密鑰信息生成指示部301通過(guò)執(zhí)行步驟105-107所示的處理�,指示會(huì)話管理服務(wù)器40再分發(fā)密鑰信息�。通過(guò)該處理,通信裝置50可在接近分發(fā)的密鑰的有效期限時(shí)�,自動(dòng)接收密鑰的分發(fā)。
在密鑰信息生成指示存儲(chǔ)部300內(nèi)不存在在有效期限經(jīng)過(guò)前、且與當(dāng)前時(shí)刻的差為規(guī)定值以下的有效期限的情況下(S109否)��,組成員判定部305判定是否接收到通信結(jié)束請(qǐng)求(S110)���。在接收到通信結(jié)束請(qǐng)求的情況下(S110是)�����,組成員判定部305通過(guò)向數(shù)據(jù)庫(kù)20發(fā)送包含該組ID的組成員取得請(qǐng)求��,取得對(duì)應(yīng)于該組ID存儲(chǔ)在組成員信息存儲(chǔ)部23中的裝置ID��。之后�,組成員判定部305根據(jù)取得的裝置ID�����,判定包含于該通信結(jié)束請(qǐng)求中的裝置ID是否包含在取得的裝置ID中(S111)�����。
在包含于該通信結(jié)束請(qǐng)求中的裝置ID包含在從數(shù)據(jù)庫(kù)20取得的裝置ID中的情況下(S111是)���,組成員判定部305向密鑰信息刪除指示部302發(fā)送包含于該通信結(jié)束請(qǐng)求中的組ID和從數(shù)據(jù)庫(kù)20取得的裝置ID。
之后,密鑰信息刪除指示部302通過(guò)向數(shù)據(jù)庫(kù)20發(fā)送包含該裝置ID的登入中裝置ID取得請(qǐng)求���,取得該裝置ID中�����、在網(wǎng)絡(luò)地址存儲(chǔ)部21內(nèi)對(duì)應(yīng)于網(wǎng)絡(luò)地址的裝置ID���,從而提取屬于與從組成員判定部305接收到的組ID對(duì)應(yīng)的組的通信裝置50中、當(dāng)前登入中的通信裝置50的裝置ID(S112)��。密鑰信息刪除指示部302生成包含提取出的裝置ID的密鑰信息刪除請(qǐng)求���,經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送生成的密鑰信息刪除請(qǐng)求(S113)�����。
密鑰信息刪除指示部302從密鑰信息生成指示存儲(chǔ)部300中刪除從組成員判定部305接收到的組ID��、和對(duì)應(yīng)于該組ID存儲(chǔ)的有效期限以及裝置ID一覽(S114)����,通信條件登錄部303再次執(zhí)行步驟100所示的處理�。
在包含于該通信結(jié)束請(qǐng)求中的裝置ID不包含在從數(shù)據(jù)庫(kù)20取得的裝置ID中的情況下(S111否)��,組成員判定部305經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送包含該裝置ID的通信結(jié)束拒絕響應(yīng)(S115)�,通信條件登錄部303再次執(zhí)行步驟100所示的處理�。
在步驟110中,在未接收通信結(jié)束請(qǐng)求的情況下(S110否)�,通信條件刪除部304判定是否經(jīng)管理網(wǎng)絡(luò)11從會(huì)話管理服務(wù)器40接收到通信條件刪除請(qǐng)求(S116)。在未接收通信條件刪除請(qǐng)求60的情況下(S116否)��,通信條件登錄部303再次執(zhí)行步驟100所示的處理��。
在接收到通信條件刪除請(qǐng)求的情況下(S116是)����,通信條件刪除部304通過(guò)向數(shù)據(jù)庫(kù)20發(fā)送該裝置ID,從通信條件存儲(chǔ)部22中刪除該裝置ID和對(duì)應(yīng)于該裝置ID存儲(chǔ)的通信條件(S117)�。之后,通信條件刪除部304從數(shù)據(jù)庫(kù)20接收表示刪除完成的響應(yīng)���,經(jīng)網(wǎng)絡(luò)IF部306向會(huì)話管理服務(wù)器40發(fā)送包含對(duì)應(yīng)于已刪除的通信條件的裝置ID的刪除完成通知(S118)���,通信條件登錄部303再次執(zhí)行步驟100所示的處理。
下面����,用圖17來(lái)說(shuō)明執(zhí)行組內(nèi)加密通信時(shí)的加密通信系統(tǒng)10的動(dòng)作一例����。
首先����,加密通信系統(tǒng)10處理來(lái)自參加組內(nèi)加密通信的各個(gè)通信裝置50的通信條件登錄請(qǐng)求����,將該通信裝置50的網(wǎng)絡(luò)地址和通信條件登錄在數(shù)據(jù)庫(kù)20中(S20)。之后�,通過(guò)處理來(lái)自組內(nèi)的、且為登入中的任一通信裝置50的通信開始請(qǐng)求���,加密通信系統(tǒng)10在發(fā)送了通信開始請(qǐng)求的通信裝置50所屬的組中���,開始組內(nèi)加密通信(S30)。之后����,加密通信系統(tǒng)10隨著時(shí)間的經(jīng)過(guò),更新組內(nèi)加密通信中使用的密鑰信息(S40)�����。
之后,通過(guò)處理來(lái)自組內(nèi)的��、且為登入中的任一通信裝置50的通信結(jié)束請(qǐng)求�,加密通信系統(tǒng)10在發(fā)送了通信結(jié)束請(qǐng)求的通信裝置50所屬的組中,結(jié)束組內(nèi)加密通信(S50)���。之后�,加密通信系統(tǒng)10對(duì)應(yīng)于來(lái)自將停止參加組內(nèi)加密通信的各個(gè)通信裝置50的通信條件刪除請(qǐng)求�,從數(shù)據(jù)庫(kù)20中刪除該通信裝置50的網(wǎng)絡(luò)地址和通信條件,對(duì)應(yīng)于加密通信路徑刪除請(qǐng)求�,刪除與該通信裝置50之間的加密通信路徑(S60)。
下面����,說(shuō)明圖17所示的各個(gè)步驟中的加密通信系統(tǒng)10的詳細(xì)動(dòng)作。
圖18是表示登入處理(S20)中的加密通信系統(tǒng)10的詳細(xì)動(dòng)作一例的序列圖���。
首先��,參加組內(nèi)加密通信的通信裝置50的服務(wù)器用加密通信部503根據(jù)來(lái)自應(yīng)用部510的指示�,使用存儲(chǔ)在所有密鑰存儲(chǔ)部504中的私鑰��,生成對(duì)于任意消息的數(shù)字簽名����,通過(guò)將生成的數(shù)字簽名與存儲(chǔ)在所有密鑰存儲(chǔ)部504中的公鑰證書一起���,發(fā)送到會(huì)話管理服務(wù)器40,請(qǐng)求會(huì)話管理服務(wù)器40確立通信裝置50與會(huì)話管理服務(wù)器40之間的加密通信路徑�。會(huì)話管理服務(wù)器40的裝置認(rèn)證部409通過(guò)驗(yàn)證包含于接收到的加密通信路徑確立請(qǐng)求中的公鑰證書����、和包含于該加密通信路徑確立請(qǐng)求中的對(duì)于消息的數(shù)字簽名,認(rèn)證通信裝置50(S200)����。
在認(rèn)證成功的情況下,裝置認(rèn)證部409使密鑰生成部411生成用于與通信裝置50加密通信的加密密鑰(S201)����。之后,裝置認(rèn)證部409使用存儲(chǔ)在所有密鑰存儲(chǔ)部412中的會(huì)話管理服務(wù)器40的私鑰�����,生成對(duì)于由密鑰生成部411生成的加密密鑰的數(shù)字簽名��。
之后�����,裝置認(rèn)證部409使用包含于加密通信路徑確立請(qǐng)求中的通信裝置50的公鑰證書,加密由密鑰生成部411生成的加密密鑰��,并將包含加密后的加密密鑰���、生成的數(shù)字簽名����、和存儲(chǔ)在所有密鑰存儲(chǔ)部412中的會(huì)話管理服務(wù)器40的公鑰證書的響應(yīng)���,發(fā)送給加密通信請(qǐng)求的發(fā)送源通信裝置50(S202)�����。之后���,裝置認(rèn)證部409對(duì)加密通信部408設(shè)定該通信裝置50用的加密密鑰。
下面���,通信裝置50的服務(wù)器用加密通信部503使用存儲(chǔ)在所有密鑰存儲(chǔ)部504中的私鑰����,通過(guò)解密包含于步驟202中接收到的響應(yīng)中的加密后的加密密鑰,取得加密密鑰�,將取得的加密密鑰設(shè)定為用于與會(huì)話管理服務(wù)器40之間的加密通信的加密密鑰(S203)。
之后����,通信條件登錄請(qǐng)求部509向會(huì)話管理服務(wù)器40發(fā)送圖8所示的通信條件登錄請(qǐng)求60(S204)。網(wǎng)絡(luò)地址登錄部404經(jīng)管理網(wǎng)絡(luò)11向數(shù)據(jù)庫(kù)20發(fā)送包含通信條件登錄請(qǐng)求60中所包含的裝置ID和網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址登錄請(qǐng)求(S205)�����。之后����,數(shù)據(jù)庫(kù)20的數(shù)據(jù)庫(kù)控制部26將接收到的網(wǎng)絡(luò)地址登錄請(qǐng)求中包含的網(wǎng)絡(luò)地址對(duì)應(yīng)于該網(wǎng)絡(luò)地址登錄請(qǐng)求中包含的裝置ID����、登錄在網(wǎng)絡(luò)地址存儲(chǔ)部21中,將表示登錄完成的響應(yīng)返回到網(wǎng)絡(luò)地址登錄部404(S206)�。之后,通信條件登錄請(qǐng)求傳送部405經(jīng)管理網(wǎng)絡(luò)11向通信狀態(tài)管理服務(wù)器30傳送通信條件登錄請(qǐng)求60(S207)����。
接著,通信狀態(tài)管理服務(wù)器30的通信條件登錄部303經(jīng)管理網(wǎng)絡(luò)11向數(shù)據(jù)庫(kù)20發(fā)送包含接收到的通信條件登錄請(qǐng)求60中所包含的裝置ID和通信條件的通信條件登錄指示(S208)。之后�,數(shù)據(jù)庫(kù)20的數(shù)據(jù)庫(kù)控制部26將接收到的通信條件登錄指示中包含的通信條件與該通信條件登錄指示中包含的裝置ID相對(duì)應(yīng)地登錄在通信條件存儲(chǔ)部22中,將表示登錄完成的響應(yīng)返回到通信狀態(tài)管理服務(wù)器30(S209)�����。之后��,通信條件登錄部303經(jīng)管理網(wǎng)絡(luò)11向會(huì)話管理服務(wù)器40通知登錄完成(S210)��。通信條件登錄請(qǐng)求傳送部405經(jīng)用戶網(wǎng)絡(luò)12向通信裝置50傳送接收到的登錄完成通知(S211)��。
圖19是表示組內(nèi)加密通信開始處理(S30)中的加密通信系統(tǒng)10的詳細(xì)動(dòng)作一例的序列圖�。
首先,組內(nèi)的����、且為登入中的通信裝置50-1的通信開始請(qǐng)求部508經(jīng)用戶網(wǎng)絡(luò)12向會(huì)話管理服務(wù)器40發(fā)送通信開始請(qǐng)求(S300)。通信請(qǐng)求傳送部406經(jīng)管理網(wǎng)絡(luò)11向通信狀態(tài)管理服務(wù)器30傳送經(jīng)用戶網(wǎng)絡(luò)12接收到的通信開始請(qǐng)求(S301)����。
組成員判定部305向數(shù)據(jù)庫(kù)20發(fā)送包含接收到的通信開始請(qǐng)求中所包含的組ID的組成員取得請(qǐng)求(S302)。之后�,數(shù)據(jù)庫(kù)控制部26從組成員信息存儲(chǔ)部23中提取屬于與該組ID對(duì)應(yīng)的組的通信裝置50的裝置ID,將包含該提取出的裝置ID的響應(yīng)發(fā)送到通信狀態(tài)管理服務(wù)器30(S303)�����。之后,組成員判定部305判定從數(shù)據(jù)庫(kù)20中取得的裝置ID中是否包含通信開始請(qǐng)求中所存儲(chǔ)的裝置ID(S304)�。
之后,密鑰信息生成指示部301將包含步驟303中取得的裝置ID的登入中裝置ID取得請(qǐng)求發(fā)送給數(shù)據(jù)庫(kù)20(S305)�。之后,數(shù)據(jù)庫(kù)控制部26提取登入中裝置ID取得請(qǐng)求中包含的裝置ID中���、在網(wǎng)絡(luò)地址存儲(chǔ)部21中登錄了網(wǎng)絡(luò)地址的裝置ID����,并將包含提取出的裝置ID的響應(yīng)發(fā)送到通信狀態(tài)管理服務(wù)器30(S306)���。
接著��,密鑰信息生成指示部301設(shè)定應(yīng)生成的信息的有效期限。之后����,密鑰信息生成指示部301生成圖9所示的密鑰信息生成指示61,經(jīng)管理網(wǎng)絡(luò)11向會(huì)話管理服務(wù)器40發(fā)送生成的密鑰信息生成指示61(S307)���。之后���,密鑰信息生成部402向數(shù)據(jù)庫(kù)20發(fā)送包含密鑰信息生成指示61中所包含的多個(gè)裝置ID的通信條件取得請(qǐng)求(S308)��。之后�����,數(shù)據(jù)庫(kù)控制部26從通信條件存儲(chǔ)部22中提取對(duì)應(yīng)于通信條件取得請(qǐng)求中包含的裝置ID的通信條件��,向會(huì)話管理服務(wù)器40發(fā)送包含提取出的通信條件的響應(yīng)(S309)����。接著��,密鑰信息生成部402生成包含可在所取得的各個(gè)通信裝置50的通信條件中共同的通信條件下執(zhí)行的密鑰的密鑰信息(S310)���。
接著�,密鑰信息生成部402生成包含所生成的密鑰信息的分發(fā)密鑰信息62�,將生成的分發(fā)密鑰信息62經(jīng)用戶網(wǎng)絡(luò)12發(fā)送到進(jìn)行組內(nèi)加密通信的通信裝置50-1、通信裝置50-2和通信裝置50-3的每個(gè)(S311��、S312��、S313)��。由此,進(jìn)行組內(nèi)加密通信的通信裝置50-1����、通信裝置50-2、通信裝置50-3的每個(gè)共享相同的分發(fā)密鑰信息62�。之后,通信裝置50-1�����、通信裝置50-2����、通信裝置50-3的每個(gè)使用接收到的分發(fā)密鑰信息62中包含的密鑰,進(jìn)行組內(nèi)加密通信(S314)����。具體而言,在安裝在通信裝置50中的進(jìn)行組內(nèi)網(wǎng)絡(luò)通信的應(yīng)用收發(fā)通信數(shù)據(jù)包時(shí)���,通信裝置用加密通信部501檢索密鑰信息存儲(chǔ)部505,判定該數(shù)據(jù)包的通信目標(biāo)是否包含于圖10的分發(fā)密鑰信息62的網(wǎng)絡(luò)地址6220或組地址624中�,在包含的情況下,使用密鑰信息621�����,在與其它通信裝置50之間,收發(fā)加密數(shù)據(jù)包����。
圖20是表示密鑰信息再分發(fā)處理(S40)中的加密通信系統(tǒng)10的詳細(xì)動(dòng)作一例的序列圖。
密鑰信息生成指示部301在密鑰信息生成指示存儲(chǔ)部300內(nèi)存在在有效期限經(jīng)過(guò)前�����、且與當(dāng)前時(shí)刻的差為規(guī)定值以下的有效期限的情況下�����,設(shè)定新的有效期限�,并且,從密鑰信息生成指示存儲(chǔ)部300中提取對(duì)應(yīng)于該有效期限的組ID和裝置ID一覽���。之后����,密鑰信息生成指示部301生成包含所設(shè)定的有效期限�����、與從密鑰信息生成指示存儲(chǔ)部300中提取的組ID和裝置ID一覽的密鑰信息再生成指示,經(jīng)管理網(wǎng)絡(luò)11向會(huì)話管理服務(wù)器40發(fā)送所生成的密鑰信息再生成指示(S400)�。
接著,密鑰信息生成部402向數(shù)據(jù)庫(kù)20發(fā)送包含密鑰信息再生成指示中所包含的多個(gè)裝置ID的通信條件取得請(qǐng)求(S401)��。之后����,數(shù)據(jù)庫(kù)控制部26從通信條件存儲(chǔ)部22中提取對(duì)應(yīng)于通信條件取得請(qǐng)求中包含的裝置ID的通信條件,將包含提取出的通信條件的響應(yīng)發(fā)送給會(huì)話管理服務(wù)器40(S402)����。之后,密鑰信息生成部402生成包含可在所取得的各個(gè)通信裝置50的通信條件中共同的通信條件下執(zhí)行的密鑰的密鑰信息(S403)�����。另外�,密鑰信息生成部402生成包含所生成的密鑰信息的分發(fā)密鑰信息62,經(jīng)用戶網(wǎng)絡(luò)12向進(jìn)行組內(nèi)加密通信的通信裝置50-1����、通信裝置50-2和通信裝置50-3的每個(gè)分發(fā)生成的分發(fā)密鑰信息62(S404、S405���、S406)���。
圖21是表示組內(nèi)加密通信結(jié)束處理(S50)中的加密通信系統(tǒng)10的詳細(xì)動(dòng)作一例的序列圖。
首先����,正在執(zhí)行組內(nèi)加密通信的通信裝置50-1的通信結(jié)束請(qǐng)求部506經(jīng)用戶網(wǎng)絡(luò)12向會(huì)話管理服務(wù)器40發(fā)送通信結(jié)束請(qǐng)求(S500)。通信請(qǐng)求傳送部406經(jīng)管理網(wǎng)絡(luò)11向通信狀態(tài)管理服務(wù)器30傳送經(jīng)用戶網(wǎng)絡(luò)12接收到的通信結(jié)束請(qǐng)求(S501)�。
接著,組成員判定部305向數(shù)據(jù)庫(kù)20發(fā)送包含接收到的通信結(jié)束請(qǐng)求中所包含的組ID的組成員取得請(qǐng)求(S502)�。之后,數(shù)據(jù)庫(kù)控制部26從組成員信息存儲(chǔ)部23中提取屬于與該組ID對(duì)應(yīng)的組的通信裝置50的裝置ID�����,并將包含提取出的裝置ID的響應(yīng)發(fā)送到通信狀態(tài)管理服務(wù)器30(S503)����。之后,組成員判定部305判定從數(shù)據(jù)庫(kù)20取得的裝置ID中是否包含存儲(chǔ)在通信結(jié)束請(qǐng)求中的裝置ID(S504)�����。
接著����,密鑰信息生成指示部301將包含步驟503中取得的裝置ID的登入中裝置ID取得請(qǐng)求發(fā)送給數(shù)據(jù)庫(kù)20(S505)����。之后�����,數(shù)據(jù)庫(kù)控制部26提取登入中裝置ID取得請(qǐng)求中包含的裝置ID中�、在網(wǎng)絡(luò)地址存儲(chǔ)部21中登錄了網(wǎng)絡(luò)地址的裝置ID,并將包含提取出的裝置ID的響應(yīng)發(fā)送到通信狀態(tài)管理服務(wù)器30(S506)��。
接著���,密鑰信息刪除指示部302生成包含所提取出的裝置ID的密鑰信息刪除指示��,將生成的密鑰信息刪除指示經(jīng)管理網(wǎng)絡(luò)11發(fā)送到會(huì)話管理服務(wù)器40(S507)�。之后��,密鑰信息刪除請(qǐng)求發(fā)送部407向由包含于密鑰信息刪除指示中的多個(gè)裝置ID所確定的通信裝置50的每個(gè)�,發(fā)送密鑰信息刪除請(qǐng)求(S508、S509��、S510)��。接收到密鑰信息刪除請(qǐng)求的通信裝置50-1、通信裝置50-2�����、和通信裝置50-3的每個(gè)的密鑰信息取得部502��,刪除對(duì)應(yīng)于密鑰信息刪除請(qǐng)求的密鑰信息存儲(chǔ)部505內(nèi)存儲(chǔ)的密鑰信息����。
也可從通信裝置50之外請(qǐng)求圖21的組內(nèi)加密通信結(jié)束處理��。例如�,本加密通信系統(tǒng)10的管理者也可從通信狀態(tài)管理服務(wù)器30請(qǐng)求組內(nèi)加密通信的中斷。此時(shí)�����,省略圖21中的S500和S501�����。
圖22是表示登出處理(S60)中的加密通信系統(tǒng)10的詳細(xì)動(dòng)作一例的序列圖��。
首先���,通信裝置50的通信條件刪除請(qǐng)求部507經(jīng)用戶網(wǎng)絡(luò)12向會(huì)話管理服務(wù)器40發(fā)送包含本通信裝置50的裝置ID和網(wǎng)絡(luò)地址的通信條件刪除請(qǐng)求(S600)��。會(huì)話管理服務(wù)器40的通信條件刪除請(qǐng)求傳送部401經(jīng)管理網(wǎng)絡(luò)11向通信狀態(tài)管理服務(wù)器30傳送接收到的通信條件刪除請(qǐng)求(S601)����。
接著,通信狀態(tài)管理服務(wù)器30的通信條件刪除部304經(jīng)管理網(wǎng)絡(luò)11向數(shù)據(jù)庫(kù)20發(fā)送包含接收到的通信條件刪除請(qǐng)求中所包含的裝置ID的通信條件刪除指示(S602)���。接著�,數(shù)據(jù)庫(kù)20的數(shù)據(jù)庫(kù)控制部26從通信條件存儲(chǔ)部22中刪除對(duì)應(yīng)于接收到的通信條件刪除指示中包含的裝置ID的通信條件�,將包含表示已刪除的情況的響應(yīng)發(fā)送給通信狀態(tài)管理服務(wù)器30(S603)。之后��,通信條件刪除部304向會(huì)話管理服務(wù)器40發(fā)送包含對(duì)應(yīng)于已刪除的通信條件的裝置ID的刪除完成通知(S604)����。
接著,會(huì)話管理服務(wù)器40的網(wǎng)絡(luò)地址刪除部403經(jīng)管理網(wǎng)絡(luò)11向數(shù)據(jù)庫(kù)20發(fā)送包含通信條件刪除請(qǐng)求中所包含的網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址刪除請(qǐng)求(S605)����。之后,數(shù)據(jù)庫(kù)20的數(shù)據(jù)庫(kù)控制部26從網(wǎng)絡(luò)地址存儲(chǔ)部21中刪除接收到的網(wǎng)絡(luò)地址刪除請(qǐng)求中包含的網(wǎng)絡(luò)地址����,將包含表示已刪除的情況的響應(yīng)發(fā)送給通信狀態(tài)管理服務(wù)器30(S606)����。之后�����,網(wǎng)絡(luò)地址刪除部403向發(fā)送了該通信條件刪除請(qǐng)求的通信裝置50發(fā)送刪除完成通知(S607)��。
接著�,服務(wù)器用加密通信部503經(jīng)用戶網(wǎng)絡(luò)12向會(huì)話管理服務(wù)器40發(fā)送加密通信路徑刪除請(qǐng)求(S608)�。之后,會(huì)話管理服務(wù)器40的裝置認(rèn)證部409向發(fā)送了該加密通信路徑刪除請(qǐng)求的通信裝置50發(fā)送對(duì)于加密通信路徑刪除請(qǐng)求的響應(yīng)(S609)����。之后,通信裝置50丟棄與會(huì)話管理服務(wù)器40共享的加密密鑰(S610)��,會(huì)話管理服務(wù)器40刪除與通信裝置50共享的加密密鑰(S611)����。
從上述說(shuō)明可知,根據(jù)本實(shí)施方式的加密通信系統(tǒng)10�����,可進(jìn)一步減少因分發(fā)組內(nèi)加密通信中使用的密鑰或設(shè)定信息而產(chǎn)生的通信量。另外����,由于與組內(nèi)加密通信中使用的密鑰信息一起,分發(fā)與屬于組的通信裝置50����、且為當(dāng)前登入中的通信裝置50有關(guān)的信息,所以各個(gè)通信裝置50可識(shí)別參加組內(nèi)加密通信的其它通信裝置50�。
本發(fā)明不限于上述各實(shí)施方式,可在其精神的范圍內(nèi)進(jìn)行各種變形��。
例如��,在上述實(shí)施方式中�����,作為登入的一例��,說(shuō)明了在會(huì)話管理服務(wù)器40與該通信裝置50之間共享加密密鑰之后�,由會(huì)話管理服務(wù)器40在數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中登錄該通信裝置50的網(wǎng)絡(luò)地址,并且�,經(jīng)通信狀態(tài)管理服務(wù)器30,在通信條件存儲(chǔ)部22中登錄該通信裝置50的通信條件�,但本發(fā)明不限于此��。
所謂登入�����,只要是通信裝置50參加由加密通信系統(tǒng)10提供的組內(nèi)加密通信服務(wù)即可���。例如,也可將登入定義為由會(huì)話管理服務(wù)器40在數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中登錄該通信裝置50的網(wǎng)絡(luò)地址��,或由會(huì)話管理服務(wù)器40經(jīng)通信狀態(tài)管理服務(wù)器30在通信條件存儲(chǔ)部22中登錄該通信裝置50的通信條件����。
另外�,上述實(shí)施方式中,將數(shù)據(jù)庫(kù)20��、通信狀態(tài)管理服務(wù)器30和會(huì)話管理服務(wù)器40作為分別獨(dú)立的裝置進(jìn)行了說(shuō)明�,但本發(fā)明不限于此,數(shù)據(jù)庫(kù)20���、通信狀態(tài)管理服務(wù)器30和會(huì)話管理服務(wù)器40也可在一臺(tái)裝置內(nèi)實(shí)現(xiàn)����,或使數(shù)據(jù)庫(kù)20、通信狀態(tài)管理服務(wù)器30和會(huì)話管理服務(wù)器40的每個(gè)包含的各個(gè)功能分散到兩臺(tái)以上的裝置的每個(gè)來(lái)實(shí)現(xiàn)��。
另外�,上述實(shí)施方式中,作為網(wǎng)絡(luò)地址����,以IPv4為例來(lái)說(shuō)明,但本發(fā)明不限于此���,IPv6也同樣可適用本發(fā)明�����。例如���,以IPv4為例說(shuō)明的上述實(shí)施方式中的多播地址同樣可適用于IPv6中的單播地址。
另外���,上述實(shí)施方式中�����,通信狀態(tài)管理服務(wù)器30在接收到通信開始請(qǐng)求的情況下�,根據(jù)該通信開始請(qǐng)求中包含的組ID,參照數(shù)據(jù)庫(kù)20內(nèi)的組成員信息存儲(chǔ)部23���,取得屬于組的通信裝置50的裝置ID��,但本發(fā)明不限于此�。
通信狀態(tài)管理服務(wù)器30也可例如在接收到包含進(jìn)行組內(nèi)加密通信的網(wǎng)絡(luò)的網(wǎng)絡(luò)地址����、表示利用廣播執(zhí)行該組內(nèi)加密通信的情況、和通信開始請(qǐng)求的發(fā)送源通信裝置50的裝置ID的通信開始請(qǐng)求的情況下����,通過(guò)從數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21中提取屬于該網(wǎng)絡(luò)地址的通信裝置50的裝置ID,提取成為組內(nèi)加密通信的對(duì)象的通信裝置50的裝置ID��。
另外����,在上述實(shí)施方式中�����,盡管以加密通信系統(tǒng)10使用組ID來(lái)管理進(jìn)行組內(nèi)加密通信的組���,并對(duì)各個(gè)通信裝置50事先設(shè)定進(jìn)行組內(nèi)加密通信的組的組ID的情況為例進(jìn)行了說(shuō)明����,但本發(fā)明不限于此。
例如���,也可設(shè)置連接于管理網(wǎng)絡(luò)11和用戶網(wǎng)絡(luò)12上的名稱解決服務(wù)器��,該名稱解決服務(wù)器在經(jīng)用戶網(wǎng)絡(luò)12從通信裝置50接收到包含多個(gè)通信裝置50的裝置ID的組ID取得請(qǐng)求的情況下��,通過(guò)經(jīng)管理網(wǎng)絡(luò)11參照數(shù)據(jù)庫(kù)20的組成員信息存儲(chǔ)部23�,取得對(duì)應(yīng)的組ID�,將取得的組ID發(fā)送給該組ID取得請(qǐng)求的發(fā)送源通信裝置50。
另外�,也可是上述名稱解決服務(wù)器在經(jīng)用戶網(wǎng)絡(luò)12從通信裝置50接收到包含多個(gè)通信裝置50的網(wǎng)絡(luò)地址的組ID取得請(qǐng)求的情況下,通過(guò)經(jīng)管理網(wǎng)絡(luò)11參照數(shù)據(jù)庫(kù)20的網(wǎng)絡(luò)地址存儲(chǔ)部21與組成員信息存儲(chǔ)部23���,取得對(duì)應(yīng)的組ID�,將取得的組ID發(fā)送給該組ID取得請(qǐng)求的發(fā)送源通信裝置50�����。
另外����,上述名稱解決服務(wù)器也可在經(jīng)用戶網(wǎng)絡(luò)12從通信裝置50接收到包含組地址(例如多播地址或廣播地址)的組ID取得請(qǐng)求的情況下�����,通過(guò)經(jīng)管理網(wǎng)絡(luò)11參照數(shù)據(jù)庫(kù)20的組地址存儲(chǔ)部24���,取得對(duì)應(yīng)的組ID,將取得的組ID發(fā)送給該組ID取得請(qǐng)求的發(fā)送源通信裝置50��。
這樣�����,各個(gè)通信裝置50通過(guò)經(jīng)用戶網(wǎng)絡(luò)12向該名稱解決服務(wù)器詢問(wèn)進(jìn)行組內(nèi)加密通信的多個(gè)通信裝置50的裝置ID或網(wǎng)絡(luò)地址�,可取得進(jìn)行該組內(nèi)加密通信的組的組ID。由此�����,各個(gè)通信裝置50不必事先存儲(chǔ)組ID���。進(jìn)一步,加密通信系統(tǒng)10可在數(shù)據(jù)庫(kù)20內(nèi)的組成員信息存儲(chǔ)部23中統(tǒng)一進(jìn)行屬于各個(gè)組的通信裝置50的管理����,所以可進(jìn)一步靈活地執(zhí)行組內(nèi)的通信裝置50的追加或刪除�。
另外����,上述名稱解決服務(wù)器也可與數(shù)據(jù)庫(kù)20內(nèi)的組成員信息存儲(chǔ)部23獨(dú)立地具有組成員信息存儲(chǔ)部23,對(duì)于來(lái)自通信裝置50的組ID取得請(qǐng)求�����,參照自身存儲(chǔ)的組成員信息存儲(chǔ)部23��,返回對(duì)應(yīng)的組ID����,也可得到本發(fā)明的效果。
另外�,上述實(shí)施方式中,會(huì)話管理服務(wù)器40將對(duì)應(yīng)于來(lái)自通信狀態(tài)管理服務(wù)器30的指示而生成的密鑰信息���,分發(fā)給屬于使用該密鑰信息進(jìn)行組內(nèi)加密通信的組的通信裝置50����、且為當(dāng)前登入中的通信裝置50的全部,但本發(fā)明不限于此�。例如,在圖19的步驟307中��,也可以是��,在從通信狀態(tài)管理服務(wù)器30接收到密鑰信息生成指示61的情況下�����,會(huì)話管理服務(wù)器40的密鑰信息生成部402對(duì)于該密鑰信息生成指示61內(nèi)的裝置ID一覽613中包含的各個(gè)裝置ID6130�����,向?qū)?yīng)于該裝置ID6130的通信裝置50詢問(wèn)是否參加此次的組內(nèi)加密通信����。
這種情況下,密鑰信息生成部402對(duì)接收到表示參加的響應(yīng)的通信裝置50的每個(gè)��,根據(jù)從通信條件存儲(chǔ)部22取得的通信條件生成密鑰信息��,并生成包含生成的密鑰信息�����、且包含接收到表示參加的響應(yīng)的通信裝置50的裝置ID一覽和網(wǎng)絡(luò)地址一覽等的分發(fā)密鑰信息62。之后����,密鑰信息生成部402向發(fā)送了表示參加組內(nèi)加密通信的響應(yīng)的各個(gè)通信裝置50發(fā)送所生成的分發(fā)密鑰信息62����。由此,加密通信系統(tǒng)10可進(jìn)一步減少因密鑰信息的分發(fā)而產(chǎn)生的通信量���。
另外���,密鑰信息生成部402也可在從通信狀態(tài)管理服務(wù)器30接收到密鑰信息的再分發(fā)指示的情況下,對(duì)于該密鑰信息再分發(fā)指示內(nèi)的裝置ID一覽中所包含的各個(gè)裝置ID��,向?qū)?yīng)于該裝置ID的通信裝置50���,詢問(wèn)是否繼續(xù)參加組內(nèi)加密通信�����。
權(quán)利要求
1.一種加密通信系統(tǒng)����,使用由會(huì)話管理服務(wù)器生成的密鑰信息,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信����,其特征在于,具備數(shù)據(jù)庫(kù)��,存儲(chǔ)關(guān)于各個(gè)所述通信裝置的信息��;和通信狀態(tài)管理服務(wù)器�,管理由所述多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信,所述數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元���,與識(shí)別所述通信裝置的裝置ID相對(duì)應(yīng)地��,存儲(chǔ)作為參加所述組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址��;和組成員信息存儲(chǔ)單元���,將所述多個(gè)通信裝置的每個(gè)的裝置ID,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)�����,所述通信狀態(tài)管理服務(wù)器具有組成員提取單元�����,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID����,參照所述組成員信息存儲(chǔ)單元����,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID;和參加裝置ID提取單元��,參照所述參加裝置地址存儲(chǔ)單元�,從由所述組成員提取單元提取出的裝置ID中,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID����,并輸出到所述會(huì)話管理服務(wù)器,從而使所述會(huì)話管理服務(wù)器向與所述組內(nèi)加密通信請(qǐng)求中包含的組ID對(duì)應(yīng)的組內(nèi)的參加裝置的每個(gè)����,分發(fā)該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息。
2.根據(jù)權(quán)利要求1所述的加密通信系統(tǒng)��,其特征在于該加密通信系統(tǒng)還具備所述會(huì)話管理服務(wù)器�����,所述會(huì)話管理服務(wù)器具有參加裝置登錄單元,在從所述通信裝置通知參加所述組內(nèi)加密通信的情況下���,將該通信裝置的網(wǎng)絡(luò)地址作為參加裝置的網(wǎng)絡(luò)地址���,與裝置ID相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元中。
3.根據(jù)權(quán)利要求2所述的加密通信系統(tǒng)�,其特征在于所述會(huì)話管理服務(wù)器還具有加密通信單元,在與所述通信裝置之間確立加密通信路徑���,經(jīng)所確立的加密通信路徑�����,與該通信裝置收發(fā)數(shù)據(jù)�����,所述組成員提取單元經(jīng)所述加密通信路徑����,從所述通信裝置接收所述組內(nèi)加密通信請(qǐng)求�����,所述數(shù)據(jù)庫(kù)還具有通信條件存儲(chǔ)單元,將所述參加裝置的每個(gè)在組內(nèi)加密通信中可執(zhí)行的一個(gè)以上的通信條件���,與所述裝置ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)��,所述會(huì)話管理服務(wù)器還具有密鑰生成分發(fā)單元����,接收從所述參加裝置ID提取單元輸出的裝置ID�����,從所述通信條件存儲(chǔ)單元中提取與接收到的裝置ID的每個(gè)相對(duì)應(yīng)的通信條件���,從提取出的通信條件中提取對(duì)多個(gè)裝置ID共通的通信條件,生成在提取的通信條件下可執(zhí)行的組內(nèi)加密通信所使用的密鑰信息���,經(jīng)所述加密通信路徑�����,向與從所述參加裝置ID提取單元接收到的裝置ID對(duì)應(yīng)的通信裝置的每個(gè)�����,發(fā)送生成的密鑰信息�����。
4.根據(jù)權(quán)利要求3所述的加密通信系統(tǒng)�����,其特征在于所述密鑰生成分發(fā)單元還將從所述參加裝置ID提取單元接收到的裝置ID的一覽與生成的密鑰信息一起���,分發(fā)到與該裝置ID對(duì)應(yīng)的通信裝置的每個(gè)�����。
5.根據(jù)權(quán)利要求3所述的加密通信系統(tǒng)�,其特征在于所述數(shù)據(jù)庫(kù)還具備組地址存儲(chǔ)單元��,將作為與組對(duì)應(yīng)的多播地址或廣播地址的組地址與該組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)���,所述組成員提取單元在接收到所述組內(nèi)加密通信請(qǐng)求的情況下�,根據(jù)該組內(nèi)加密通信請(qǐng)求中包含的組ID,參照所述組地址存儲(chǔ)單元���,還提取對(duì)應(yīng)于該組ID的組地址�,所述參加裝置ID提取單元還將由所述組成員提取單元提取出的組地址與提取出的裝置ID一起輸出����,所述密鑰生成單元經(jīng)所述加密通信路徑,將從所述參加裝置ID提取單元接收到的組地址與生成的密鑰信息一起�,發(fā)送到對(duì)應(yīng)的通信裝置的每個(gè)。
6.根據(jù)權(quán)利要求1所述的加密通信系統(tǒng)�����,其特征在于所述組內(nèi)加密通信請(qǐng)求中還包含該組內(nèi)加密通信請(qǐng)求的發(fā)送源通信裝置的裝置ID�,所述組成員提取單元參照所述組成員信息存儲(chǔ)單元�����,在屬于接收到的組內(nèi)加密通信請(qǐng)求中包含的組ID的通信裝置的裝置ID中�����、包含該組內(nèi)加密通信請(qǐng)求中包含的裝置ID的情況下����,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID��。
7.一種加密通信系統(tǒng)����,實(shí)現(xiàn)作為由多個(gè)通信裝置構(gòu)成的組內(nèi)的加密通信的組內(nèi)加密通信��,其特征在于�,具備數(shù)據(jù)庫(kù),存儲(chǔ)關(guān)于各個(gè)所述通信裝置的信息���;通信狀態(tài)管理服務(wù)器�����,管理由所述多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信���;會(huì)話管理服務(wù)器,生成所述組內(nèi)加密通信所使用的密鑰信息����,分發(fā)到各個(gè)所述通信裝置;和多個(gè)通信裝置����,所述數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元�����,與識(shí)別所述通信裝置的裝置ID相對(duì)應(yīng)地��,存儲(chǔ)作為參加所述組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址�����;和組成員信息存儲(chǔ)單元��,將所述多個(gè)通信裝置的每個(gè)的裝置ID���,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ);和通信條件存儲(chǔ)單元�����,將所述參加裝置的每個(gè)在組內(nèi)加密通信中可執(zhí)行的一個(gè)以上的通信條件���,與所述裝置ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ),所述通信狀態(tài)管理服務(wù)器具有組成員提取單元��,在經(jīng)所述會(huì)話管理服務(wù)器接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID���,參照所述組成員信息存儲(chǔ)單元����,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID���;和參加裝置ID提取單元����,參照所述參加裝置地址存儲(chǔ)單元�,從由所述組成員提取單元提取出的裝置ID中,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID��,輸出到所述會(huì)話管理服務(wù)器���,所述會(huì)話管理服務(wù)器具有服務(wù)器側(cè)加密通信單元���,在與所述通信裝置之間確立加密通信路徑,經(jīng)所確立的加密通信路徑���,與該通信裝置收發(fā)數(shù)據(jù)����;參加裝置登錄單元,在從所述通信裝置經(jīng)所述加密通信路徑被通知參加所述組內(nèi)加密通信的情況下�����,將該通信裝置的網(wǎng)絡(luò)地址作為參加裝置的網(wǎng)絡(luò)地址�,與裝置ID相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元中;和密鑰生成分發(fā)單元�,接收從所述參加裝置ID提取單元輸出的裝置ID,從所述通信條件存儲(chǔ)單元中提取與接收到的裝置ID的每個(gè)相對(duì)應(yīng)的通信條件�,從提取出的通信條件中提取對(duì)多個(gè)裝置ID共通的通信條件,生成在提取的通信條件下可執(zhí)行的組內(nèi)加密通信所使用的所述密鑰信息���,并經(jīng)所述加密通信路徑�,向與從所述參加裝置ID提取單元接收到的裝置ID對(duì)應(yīng)的通信裝置的每個(gè)���,發(fā)送生成的密鑰信息�����,所述多個(gè)通信裝置的每個(gè)具有通信裝置側(cè)加密通信單元�,在與所述會(huì)話管理服務(wù)器之間確立加密通信路徑����,經(jīng)所確立的加密通信路徑,與該會(huì)話管理服務(wù)器收發(fā)數(shù)據(jù)�����;加密通信請(qǐng)求單元���,在開始所述組內(nèi)加密通信的情況下����,經(jīng)所述加密通信路徑向所述會(huì)話管理服務(wù)器發(fā)送所述組內(nèi)加密通信請(qǐng)求����;和組內(nèi)加密通信單元,在響應(yīng)于所述組內(nèi)加密通信請(qǐng)求�����、從所述會(huì)話管理服務(wù)器經(jīng)所述加密通信路徑接收到所述密鑰信息的情況下�,使用該密鑰信息,在與組內(nèi)的其它通信裝置之間執(zhí)行組內(nèi)加密通信����。
8.一種通信狀態(tài)管理服務(wù)器����,在加密通信系統(tǒng)中���,使用存儲(chǔ)在存儲(chǔ)裝置中的信息�����,向會(huì)話管理服務(wù)器指示密鑰信息的分發(fā)����,其中該加密通信系統(tǒng)使用由所述會(huì)話管理服務(wù)器生成的密鑰信息�����,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信����,其特征在于,該通信狀態(tài)管理服務(wù)器具備組成員提取單元�,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID�����,參照所述存儲(chǔ)裝置,從所述存儲(chǔ)裝置內(nèi)的組成員信息存儲(chǔ)單元中���,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID,其中該組成員信息存儲(chǔ)單元中與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地存儲(chǔ)有所述多個(gè)通信裝置的每個(gè)的裝置ID�;和參加裝置ID提取單元,參照所述存儲(chǔ)裝置內(nèi)的參加裝置地址存儲(chǔ)單元�,從由所述組成員提取單元提取出的裝置ID中,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID����,并輸出到所述會(huì)話管理服務(wù)器,從而使所述會(huì)話管理服務(wù)器向與所述組內(nèi)加密通信請(qǐng)求中包含的組ID對(duì)應(yīng)的組內(nèi)的參加裝置的每個(gè)�����,分發(fā)該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息�����,其中該參加裝置地址存儲(chǔ)單元中與識(shí)別所述通信裝置的裝置ID相對(duì)應(yīng)地存儲(chǔ)有參加裝置的每個(gè)的網(wǎng)絡(luò)地址�,該參加裝置為參加所述組內(nèi)加密通信的通信裝置。
9.一種加密通信系統(tǒng)中的加密通信方法����,該加密通信系統(tǒng)使用由會(huì)話管理服務(wù)器生成的密鑰信息��,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信�����,其特征在于所述加密通信系統(tǒng)具備數(shù)據(jù)庫(kù)�����,存儲(chǔ)關(guān)于各個(gè)所述通信裝置的信息�����;和通信狀態(tài)管理服務(wù)器�����,管理由所述多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信����,所述數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元����,與識(shí)別所述通信裝置的裝置ID相對(duì)應(yīng)地,存儲(chǔ)作為參加所述組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址;和組成員信息存儲(chǔ)單元���,將所述多個(gè)通信裝置的每個(gè)的裝置ID���,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ),所述通信狀態(tài)管理服務(wù)器執(zhí)行組成員提取步驟���,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID�����,參照所述組成員信息存儲(chǔ)單元�����,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID�����;和參加裝置ID提取步驟��,參照所述參加裝置地址存儲(chǔ)單元��,從在所述組成員提取步驟提取出的裝置ID中,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID��,并輸出到所述會(huì)話管理服務(wù)器��,從而生成該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息并分發(fā)到與所述組內(nèi)加密通信請(qǐng)求中包含的組ID對(duì)應(yīng)的組內(nèi)的參加裝置的每個(gè)��。
10.一種加密通信系統(tǒng)中的加密通信方法�����,該加密通信系統(tǒng)實(shí)現(xiàn)作為由多個(gè)通信裝置構(gòu)成的組內(nèi)的加密通信的組內(nèi)加密通信��,其特征在于所述加密通信系統(tǒng)具備數(shù)據(jù)庫(kù)��,存儲(chǔ)關(guān)于各個(gè)所述通信裝置的信息�;通信狀態(tài)管理服務(wù)器,管理由所述多個(gè)通信裝置執(zhí)行的組內(nèi)加密通信���;會(huì)話管理服務(wù)器���,生成所述組內(nèi)加密通信所使用的密鑰信息,并分發(fā)到各個(gè)所述通信裝置��;和多個(gè)通信裝置�,所述數(shù)據(jù)庫(kù)具有參加裝置地址存儲(chǔ)單元,與識(shí)別所述通信裝置的裝置ID相對(duì)應(yīng)地,存儲(chǔ)作為參加所述組內(nèi)加密通信的通信裝置的參加裝置的每個(gè)的網(wǎng)絡(luò)地址�����;和組成員信息存儲(chǔ)單元�����,將所述多個(gè)通信裝置的每個(gè)的裝置ID���,與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)�����;和通信條件存儲(chǔ)單元,將所述參加裝置的每個(gè)在組內(nèi)加密通信中可執(zhí)行的一個(gè)以上的通信條件��,與所述裝置ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ)�����,所述通信狀態(tài)管理服務(wù)器執(zhí)行組成員提取步驟�����,在經(jīng)所述會(huì)話管理服務(wù)器接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID����,參照所述組成員信息存儲(chǔ)單元,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID���;和參加裝置ID提取步驟���,參照所述參加裝置地址存儲(chǔ)單元,從在所述組成員提取步驟提取出的裝置ID中��,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID�,并輸出到所述會(huì)話管理服務(wù)器,所述會(huì)話管理服務(wù)器執(zhí)行服務(wù)器側(cè)加密通信步驟��,在與所述通信裝置之間確立加密通信路徑���,經(jīng)所確立的加密通信路徑���,與該通信裝置收發(fā)數(shù)據(jù);參加裝置登錄步驟��,在從所述通信裝置經(jīng)所述加密通信路徑被通知參加所述組內(nèi)加密通信的情況下���,將該通信裝置的網(wǎng)絡(luò)地址作為參加裝置的網(wǎng)絡(luò)地址�,與裝置ID相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元中;和密鑰生成分發(fā)步驟�����,接收在所述參加裝置ID提取步驟中輸出的裝置ID���,從所述通信條件存儲(chǔ)單元中提取與接收到的裝置ID的每個(gè)相對(duì)應(yīng)的通信條件��,從提取出的通信條件中提取對(duì)多個(gè)裝置ID共通的通信條件����,生成在提取的通信條件下可執(zhí)行的組內(nèi)加密通信所使用的所述密鑰信息���,并經(jīng)所述加密通信路徑,向與在所述參加裝置ID提取步驟中輸出的裝置ID對(duì)應(yīng)的通信裝置的每個(gè)�,發(fā)送生成的密鑰信息,所述多個(gè)通信裝置的每個(gè)執(zhí)行通信裝置側(cè)加密通信步驟���,在與所述會(huì)話管理服務(wù)器之間確立加密通信路徑��,經(jīng)所確立的加密通信路徑�����,與該會(huì)話管理服務(wù)器收發(fā)數(shù)據(jù)�;加密通信請(qǐng)求步驟,在開始所述組內(nèi)加密通信的情況下��,經(jīng)所述加密通信路徑向所述會(huì)話管理服務(wù)器發(fā)送所述組內(nèi)加密通信請(qǐng)求�����;和組內(nèi)加密通信步驟��,在響應(yīng)于所述組內(nèi)加密通信請(qǐng)求����、從所述會(huì)話管理服務(wù)器經(jīng)所述加密通信路徑接收到所述密鑰信息的情況下,使用該密鑰信息���,在與組內(nèi)的其它通信裝置之間�,執(zhí)行組內(nèi)加密通信��。
11.一種通信狀態(tài)管理服務(wù)器中的通信狀態(tài)管理方法�����,該通信狀態(tài)管理服務(wù)器在加密通信系統(tǒng)中,使用存儲(chǔ)在存儲(chǔ)裝置中的信息��,向會(huì)話管理服務(wù)器指示密鑰信息的生成�,其中該加密通信系統(tǒng)使用由所述會(huì)話管理服務(wù)器生成的密鑰信息,實(shí)現(xiàn)在由多個(gè)通信裝置構(gòu)成的組內(nèi)進(jìn)行的組內(nèi)加密通信��,其特征在于�����,所述通信狀態(tài)管理服務(wù)器執(zhí)行組成員提取步驟�,在接收到包含組ID的組內(nèi)加密通信請(qǐng)求的情況下,根據(jù)該組ID�,參照所述存儲(chǔ)裝置,從所述存儲(chǔ)裝置內(nèi)的組成員信息存儲(chǔ)單元中����,提取屬于與該組ID對(duì)應(yīng)的組的通信裝置的裝置ID,其中該組成員信息存儲(chǔ)單元中與識(shí)別該通信裝置所屬的組的組ID相對(duì)應(yīng)地存儲(chǔ)有所述多個(gè)通信裝置的每個(gè)的裝置ID���;和參加裝置ID提取步驟,參照所述存儲(chǔ)裝置內(nèi)的參加裝置地址存儲(chǔ)單元�����,從在所述組成員提取步驟提取出的裝置ID中,提取與網(wǎng)絡(luò)地址相對(duì)應(yīng)地存儲(chǔ)在所述參加裝置地址存儲(chǔ)單元內(nèi)的裝置ID�����,并輸出到所述會(huì)話管理服務(wù)器��,從而使所述會(huì)話管理服務(wù)器向與所述組內(nèi)加密通信請(qǐng)求中包含的組ID對(duì)應(yīng)的組內(nèi)的參加裝置的每個(gè)���,分發(fā)該組內(nèi)的組內(nèi)加密通信所使用的密鑰信息�,其中該參加裝置地址存儲(chǔ)單元中與識(shí)別所述通信裝置的裝置ID相對(duì)應(yīng)地存儲(chǔ)有參加裝置的每個(gè)的網(wǎng)絡(luò)地址����,該參加裝置為參加所述組內(nèi)加密通信的通信裝置。
12.一種加密通信系統(tǒng)���,管理在屬于組的多個(gè)通信裝置之間進(jìn)行的加密通信�,其特征在于�,具備數(shù)據(jù)庫(kù),存儲(chǔ)屬于組的多個(gè)通信裝置的列表��、和表示所述多個(gè)通信裝置的每個(gè)是否參加組內(nèi)的加密通信的信息����;參加裝置確定單元�,參照所述數(shù)據(jù)庫(kù)��,確定屬于組的通信裝置中���、參加該組內(nèi)的加密通信的通信裝置�����;和密鑰分發(fā)單元���,生成由所述確定的通信裝置進(jìn)行的加密通信用的密鑰,并分發(fā)給該確定的通信裝置��。
全文摘要
一種加密通信系統(tǒng)��,向組內(nèi)進(jìn)行加密通信的多個(gè)通信裝置(50)的每個(gè)分發(fā)該加密通信用的加密密鑰或關(guān)于加密通信的設(shè)定信息��,對(duì)該加密通信系統(tǒng)提供可進(jìn)一步減少因該加密密鑰等的分發(fā)而產(chǎn)生的通信量的加密通信系統(tǒng)(10)�����。本發(fā)明的加密通信系統(tǒng)(10)向?qū)儆诮M的通信裝置(50)中�����、參加(例如登入)組內(nèi)的加密通信的通信裝置(50)分發(fā)包含用于該組內(nèi)加密通信的密鑰或用于生成該密鑰的種子的其中之一的密鑰信息�。
文檔編號(hào)H04L12/46GK101030851SQ20071008437
公開日2007年9月5日 申請(qǐng)日期2007年2月28日 優(yōu)先權(quán)日2006年2月28日
發(fā)明者高田治, 鍛忠司, 藤城孝宏, 星野和義, 竹內(nèi)敬亮 申請(qǐng)人:株式會(huì)社日立制作所