一种管理装置以及管理方法。在设备密钥的更新完成之前也能够分发组密钥。管理装置具备管理树存储部、管理树更新部、选择部以及发送部。管理树存储部存储包括被分配有节点密钥的多个节点的二叉树。管理树更新部更新节点密钥。选择部选择包括与在组中包含的通信装置对应的二叉树的叶节点的部分树、且仅包括分配的节点密钥全部是更新前的叶节点的第1部分树、以及仅包括分配的节点密钥全部是更新后的叶节点的第2部分树中的至少一方。发送部发送用选择出的部分树的根节点的节点密钥加密后的组密钥。
【技术实现步骤摘要】
管理装置以及管理方法本申请以日本专利申请2017-049945(申请日:2017/03/15)为基础,从该申请享受优先的利益。本申请通过参照该申请而包括该申请的全部内容。
本专利技术的实施方式涉及管理装置以及管理方法。
技术介绍
有为了保护多个通信装置接收的组播通信的通信内容而利用在多个通信装置中共享的组密钥的方法。另外,已知从管理组密钥的管理装置对多个通信装置分发组密钥的技术。在该技术中,通过例如使用设备密钥来分发组密钥,相比于从管理装置对各通信装置个别地分发组密钥,能够以较少的通信成本分发组密钥。为了维持系统的安全性,最好定期地更新设备密钥。然而,例如在利用两者间的带认证的密钥交换协议进行的设备密钥的再分发中,在通信装置的数量多的情况下,直至更新所有通信装置的设备密钥为止需要大量的时间。这样,在现有技术中,在所有通信装置的设备密钥的更新完成之前无法分发组密钥,存在系统的可用性降低的情况。实施方式的管理装置具备管理树存储部、管理树更新部、选择部以及发送部。管理树存储部存储包括被分配有节点密钥的多个节点的二叉树。管理树更新部更新节点密钥。选择部选择第1部分树以及第2部分树中的至少一方,该第1部分树包括与组所包含的通信装置对应的二叉树的叶节点、且仅包括所分配的节点密钥全部为更新前的叶节点,该第2部分树包括与组所包含的通信装置对应的二叉树的叶节点、且仅包括所分配的节点密钥全部为更新后的叶节点。发送部发送用所选择的部分树的根节点的节点密钥加密后的组密钥。根据上述管理装置,在所有通信装置的设备密钥的更新完成之前也能够分发组密钥。附图说明图1是第1实施方式的通信系统的框图。图2是第1实施方式的管理装置的框图。图3是示出用于CS(CompleteSubtree,完备子树)法的管理树的一个例子的图。图4是示出第1实施方式的对管理树的节点分配的信息的一个例子的图。图5是第1实施方式的通信装置的框图。图6是第1实施方式中的设备密钥更新处理的时序图。图7是第1实施方式的设备密钥更新处理的流程图。图8是第1实施方式的管理树更新事先处理的流程图。图9是第1实施方式的管理树更新处理的流程图。图10是第1实施方式的组更新处理的流程图。图11是第1实施方式的节点密钥选择处理的流程图。图12是第1实施方式的通信装置的设备密钥更新处理的流程图。图13是第1实施方式的通信装置的组更新处理的流程图。图14是变形例1的管理树更新处理的流程图。图15是变形例1的节点密钥选择处理的流程图。图16是变形例2的节点密钥选择处理的流程图。图17是示出变形例3的通信系统的结构例的框图。图18是第2实施方式的管理装置的框图。图19是示出第2实施方式的对管理树的节点分配的信息的一个例子的图。图20是第2实施方式的管理树更新事先处理的流程图。图21是第2实施方式的管理树更新处理的流程图。图22是第2实施方式的节点密钥选择处理的流程图。图23是变形例5的管理树更新事先处理的流程图。图24是变形例5的管理树更新处理的流程图。图25是示出实施方式的装置的硬件结构例的说明图。(符号说明)100:管理装置;101:接收部;102:发送部;111:密钥交换部;112:管理树更新部;113:选择部;114:组更新部;121:组信息存储部;122:设备信息存储部;123:证书存储部;124:管理树存储部;200:通信装置;201:接收部;202:发送部;211:密钥交换部;212:设备密钥更新部;213:组更新部;221:组信息存储部;222:设备密钥存储部;223:证书存储部;300:设备密钥更新装置;400:组密钥更新装置。具体实施方式以下,参照附图,详细说明本专利技术的管理装置的优选的实施方式。作为使用设备密钥来分发组密钥的技术,已知设备密钥的结构方法及其使用方法不同的多个技术。例如,在IEEE802.21d中规定有如下的组密钥分发协议。管理组的管理装置在与各通信装置之间共享被称为设备密钥的组密钥分发用的共用密钥。管理装置使用设备密钥对组密钥进行加密并送出。由此,能够仅针对属于组播组的通信装置安全地送出组密钥。通过使用两者间的带认证的密钥交换协议等公知技术,能够实现设备密钥的共享。在为了维持安全性而更新设备密钥的情况下,如上所述,存在在所有设备密钥的更新完成以前无法分发组密钥而系统的可用性降低的情况。因此,在以下的各实施方式中,在所有通信装置的设备密钥的更新完成之前也能够分发组密钥。(第1实施方式)图1是示出第1实施方式的通信系统10的结构例的框图。如图1所示,通信系统10具有管理装置100和通信装置200a~200e。通信装置200a~200e具备同样的功能,所以以下在无需区分的情况下有时简称为通信装置200。通信装置200的个数不限于五个,可以是任意的个数。管理装置100是控制多个通信装置200的通信控制装置。管理装置100例如具有使用在与各通信装置200之间共享的设备密钥来分发组密钥的功能。管理装置100和通信装置200经由网络连接。网络可以是有线网络、无线网络以及其它任意的方式的网络。在管理装置100与各通信装置200之间实施进行相互认证和密钥共享的带认证的密钥交换协议。管理装置100使用被确立为带认证的密钥交换协议的结果的共享密钥对设备密钥进行加密,将加密后的设备密钥送出到通信装置200,从而在管理装置100与各通信装置200之间共享设备密钥。管理装置100使用设备密钥的一部分对加密通信所使用的组密钥进行加密并分发给各通信装置200。作为带认证的密钥交换协议的一个例子,已知RFC5191方式等各种公知技术。图2是示出第1实施方式的管理装置100的功能结构例的框图。如图2所示,管理装置100具有接收部101、发送部102、组信息存储部121、设备信息存储部122、证书存储部123、管理树存储部124、密钥交换部111、管理树更新部112、选择部113以及组更新部114。接收部101从其它管理装置以及通信装置200等外部装置接收各种信息。例如接收部101从外部装置接收组更新请求。发送部102向其它管理装置以及通信装置200等外部装置发送各种信息。例如发送部102将加密后的组密钥向属于对应的组的通信装置200发送。组信息存储部121存储用于管理通信装置200所属的组的组信息。例如组信息存储部121存储组信息,该组信息为识别组的识别信息(组ID)、组密钥以及识别作为属于用该组ID识别的组的成员的通信装置200的识别信息(设备ID)的组。设备信息存储部122存储用于管理通信装置200的设备信息。例如设备信息存储部122存储设备信息,该设备信息为各通信装置200的设备ID和在与该通信装置200之间共享的设备密钥的组。证书存储部123存储带认证的密钥交换所使用的证书和对应的秘密信息的组。关于证书,根据所使用的相互认证方法选择针对公开密钥的证书以及针对事先共享密钥的证书等即可。在本实施方式中,管理装置100预先准备与仅针对正规的管理装置100发行的证书对应的秘密信息。管理树存储部124存储用于管理设备密钥的管理树。例如管理树存储部124存储管理树,该管理树为包括被分配有节点密钥的多个节点的二叉树。如以下说明的那样,多个节点密钥的组与设备密钥相当。图3是示出用于管理本文档来自技高网...
【技术保护点】
1.一种管理装置,具备:管理树存储部,存储包括被分配有节点密钥的多个节点的二叉树;管理树更新部,更新所述节点密钥;选择部,选择第1部分树以及第2部分树中的至少一方,该第1部分树包括与组所包含的通信装置对应的所述二叉树的叶节点、且仅包括所分配的所述节点密钥全部为更新前的叶节点,该第2部分树包括与组所包含的通信装置对应的所述二叉树的叶节点、且仅包括所分配的所述节点密钥全部为更新后的叶节点;以及发送部,发送用选择出的部分树的根节点的节点密钥加密后的组密钥。
【技术特征摘要】
2017.03.15 JP 2017-0499451.一种管理装置,具备:管理树存储部,存储包括被分配有节点密钥的多个节点的二叉树;管理树更新部,更新所述节点密钥;选择部,选择第1部分树以及第2部分树中的至少一方,该第1部分树包括与组所包含的通信装置对应的所述二叉树的叶节点、且仅包括所分配的所述节点密钥全部为更新前的叶节点,该第2部分树包括与组所包含的通信装置对应的所述二叉树的叶节点、且仅包括所分配的所述节点密钥全部为更新后的叶节点;以及发送部,发送用选择出的部分树的根节点的节点密钥加密后的组密钥。2.根据权利要求1所述的管理装置,其中,所述二叉树包括进一步被分配有判定信息的多个第1节点,该判定信息用于判定所分配的所述节点密钥能否用于加密,所述选择部根据所述判定信息选择包括被判定为所述节点密钥能用于加密的节点的所述第1部分树以及所述第2部分树中的至少一方。3.根据权利要求2所述的管理装置,其中,在所述第1节点为叶节点、或者分配给所述第1节点以及所述第1节点的两个子节点的所述节点密钥都为已更新、或者分配给所述第1节点以及所述第1节点的两个子节点的所述节点密钥都为更新前的情况下,所述判定信息表示分配给所述第1节点的所述节点密钥能够用于加密,所述选择部选择包括被分配有表示所述节点密钥能够用于加密的所述判定信息的节点的所述第1部分树以及所述第2部分树中的至少一方。4.根据权利要求2所述的管理装置,其中,所述判定信息表示分配给作为叶节点的所述第1节点的所述节点密钥是否为已更新,所述选择部选择仅包括被分配有表示所述节点密钥为已更新的所述判定信息的叶节点的第1部分树以及仅包括被分配有表示所述节点密钥并非已更新的所述判定信息的叶节点的第2部分树中的至少一方。5.根据权利要求1所述的管理装置,其中,所述选择部利用CS即完备子树法选择包括与组所包含的通信装置对应的所述二叉树的叶节点的部分树,从所选择的...
【专利技术属性】
技术研发人员:花谷嘉一,小椋直树,小池正修,春木洋美,
申请(专利权)人:株式会社东芝,
类型:发明
国别省市:日本,JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。