JP2003324417A - Cryptographic key delivery system for radio communication, cryptographic key delivery method for radio communication, and cryptographic key delivery program for radio communication - Google Patents
Cryptographic key delivery system for radio communication, cryptographic key delivery method for radio communication, and cryptographic key delivery program for radio communicationInfo
- Publication number
- JP2003324417A JP2003324417A JP2002132483A JP2002132483A JP2003324417A JP 2003324417 A JP2003324417 A JP 2003324417A JP 2002132483 A JP2002132483 A JP 2002132483A JP 2002132483 A JP2002132483 A JP 2002132483A JP 2003324417 A JP2003324417 A JP 2003324417A
- Authority
- JP
- Japan
- Prior art keywords
- community
- encryption key
- communication
- attribute
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、無線LAN(Lo
cal Area Network)内での暗号化通信
で用いる通信用暗号鍵を、個人の認証情報を秘匿したま
まで、無線LANを利用するユーザの無線端末に動的に
配送する方法に関する。TECHNICAL FIELD The present invention relates to a wireless LAN (Lo).
The present invention relates to a method for dynamically delivering a communication encryption key used in encrypted communication in a cal area network) to a wireless terminal of a user who uses a wireless LAN while keeping private authentication information secret.
【0002】[0002]
【従来の技術】無線LANが利便性の高いインターネッ
ト接続方法として注目されている。特に、空港の待合
室、駅構内などの公共スペースで不特定のユーザに対し
てインターネット接続などのデータ通信サービスを提供
するホットスポットにおいて、無線LANは、ユーザに
とって利便性の高いネットワーク接続環境を提供する。2. Description of the Related Art A wireless LAN is drawing attention as a highly convenient Internet connection method. In particular, in a hotspot that provides data communication services such as Internet connection to unspecified users in public spaces such as airport waiting rooms and train stations, wireless LAN provides a highly convenient network connection environment for users. .
【0003】しかし、無線LANによる通信では、高い
利便性を備える反面、通信傍受により通信内容が容易に
盗聴されてしまうという深刻な問題がある。However, while communication by wireless LAN is highly convenient, there is a serious problem that the content of communication is easily tapped by interception of communication.
【0004】このような通信内容漏洩の問題は、無線通
信する相手を限定した上で、通信内容を暗号化して通信
することにより、有線のLANと同等のものにすること
が可能である。ここで、共通の暗号鍵を用いて秘匿通信
を行い合う通信端末群を「コミュニティ」と呼称する。The problem of such leakage of communication contents can be made equal to that of a wired LAN by encrypting the communication contents and communicating after limiting the wireless communication partner. Here, a group of communication terminals that perform secret communication using a common encryption key is referred to as a “community”.
【0005】[0005]
【発明が解決しようとする課題】無線LAN通信での通
信内容漏洩は、前記のような暗号化通信により解決でき
る。暗号化通信による解決方法は、無線端末のコミュニ
ティの構成メンバが予め固定されている場合には容易に
実施することができるために有効である。The leakage of communication contents in wireless LAN communication can be solved by the encrypted communication as described above. The encrypted communication solution is effective because it can be easily implemented when the members of the wireless terminal community are fixed in advance.
【0006】しかし、空港の待合室などのホットスポッ
トとして設置される無線LANは、不特定のユーザが利
用することを前提とするために、予めユーザが所持携行
する端末装置(以下、ユーザ端末とする。)に対して、
事前に無線LANの暗号化通信で使用する暗号鍵を設定
しておくことは不可能である。However, since a wireless LAN installed as a hotspot such as a waiting room at an airport is assumed to be used by an unspecified user, a terminal device previously carried by the user (hereinafter referred to as a user terminal) is used. .),
It is impossible to set in advance an encryption key used for wireless LAN encrypted communication.
【0007】この問題を解決する既存の方法として、ホ
ットスポットに鍵配送サーバを設置し、ユーザ端末のユ
ーザ認証を行った後に、そのユーザ端末に暗号鍵を安全
な方法で配送するというものがある。As an existing method for solving this problem, there is a method in which a key distribution server is installed in a hotspot, user authentication of the user terminal is performed, and then the encryption key is delivered to the user terminal in a secure manner. .
【0008】この既存の鍵配送方法を利用する場合に
は、世界中の公共スペースに設置されたホットスポット
の全ての鍵配送サーバに対して、そこに訪問しうる全て
のユーザの認証情報の登録を事前に行っておく必要があ
る。しかし、かかるユーザの認証情報の事前登録は、事
実上極めて困難であり、またスケーラブルでない。When this existing key distribution method is used, the authentication information of all users who can visit the key distribution servers of hotspots installed in public spaces around the world are registered. Need to be done in advance. However, pre-registration of such user credentials is in fact extremely difficult and not scalable.
【0009】また、鍵配送サーバが適切なユーザだけに
暗号鍵を配送するためには、ユーザの権限確認のために
ユーザ個人の情報を要求することになる。しかし、この
ような個人情報は、「誰が、いつ、どこで、どういう属
性で、何をした」という個人の行動の追跡などに利用が
可能であるため、ユーザ側から見ると過剰な個人情報の
漏洩になり適切ではない。Further, in order for the key distribution server to distribute the encryption key only to an appropriate user, personal information of the user is required for confirmation of the user's authority. However, such personal information can be used to track the behavior of an individual such as "who, when, where, what attribute, and what", so from the user's perspective, excessive personal information leakage It is not appropriate.
【0010】また、鍵配送サーバが暗号鍵を管理するこ
とから、その鍵配送サーバに事前登録されているコミュ
ニティを対象にした暗号鍵だけしか配送できないため
に、テンポラリに新しいコミュニティを作るということ
は不可能であり、柔軟性に乏しい。Further, since the key distribution server manages the encryption key, only the encryption key for the community registered in advance in the key distribution server can be distributed, so that it is necessary to create a new community temporarily. Impossible and inflexible.
【0011】本発明の目的は、例えばホットスポットな
どで無線LANの通信サービスを提供する場合に、ホッ
トスポットに設置されるサーバにユーザの認証情報を登
録することなく、コミュニティに参加する不特定のユー
ザ端末に対し、暗号化通信用の暗号鍵を配送できるシス
テムを提供することである。An object of the present invention is to provide an unspecified user who participates in a community without registering user authentication information in a server installed in a hotspot when, for example, providing a wireless LAN communication service in a hotspot or the like. It is to provide a system capable of delivering an encryption key for encrypted communication to a user terminal.
【0012】また、本発明の目的は、ホットスポットを
利用するコミュニティを動的にかつ柔軟に生成できるよ
うなコミュニティで使用される暗号鍵をも配送できるシ
ステムを提供することである。Another object of the present invention is to provide a system which can dynamically and flexibly generate a community which uses a hotspot and which can also deliver an encryption key used in the community.
【0013】[0013]
【課題を解決するための手段】上記課題を解決するた
め、本発明は、無線LAN内で同一の通信用暗号鍵を使
用するユーザ端末で構成されるコミュニティを形成し、
前記コミュニティに属する権限を持つユーザ端末へ前記
通信用暗号鍵を配送する無線通信用暗号鍵配送システム
であって、サーバは、コミュニティの属性および当該コ
ミュニティ用の暗号化された通信用暗号鍵を含むコミュ
ニティ情報を記憶するコミュニティ情報記憶手段と、前
記コミュニティ情報へのアクセスを管理するコミュニテ
ィ情報管理手段とを備え、ユーザ端末は、自己が所属す
るコミュニティの属性および前記コミュニティに対応付
けられた属性認証用暗号鍵を記憶するコミュニティ属性
記憶手段と、前記サーバへコミュニティ情報をアップロ
ードし、または、前記サーバからコミュニティ情報をダ
ウンロードするサーバ通信手段と、前記サーバからダウ
ンロードしたコミュニティ情報に自己が所属するコミュ
ニティの属性が含まれていない場合に、当該コミュニテ
ィ用の通信用暗号鍵を生成する通信用暗号鍵生成手段
と、前記属性認証用暗号鍵により、生成された前記通信
用暗号鍵を暗号化する暗号化処理手段と、前記サーバか
らダウンロードしたコミュニティ情報に自己のコミュニ
ティの属性が含まれている場合に、前記属性認証用暗号
鍵により、当該属性に対応する暗号化された通信用暗号
鍵を復号化する復号化処理手段と、復号した前記通信用
暗号鍵を組み込んでコミュニティ内の暗号化通信処理を
行う無線通信処理手段とを備える。In order to solve the above problems, the present invention forms a community composed of user terminals that use the same communication encryption key in a wireless LAN,
A wireless communication encryption key delivery system for delivering the communication encryption key to a user terminal having the authority to belong to the community, wherein the server includes an attribute of the community and an encrypted communication encryption key for the community. The user terminal includes a community information storage unit that stores community information and a community information management unit that manages access to the community information, and the user terminal is for attribute authentication of a community to which the user terminal belongs and attribute authentication associated with the community. Community attribute storage means for storing an encryption key, server communication means for uploading community information to the server or downloading community information from the server, and attributes of a community to which the self belongs to the community information downloaded from the server Includes If not, communication encryption key generating means for generating a communication encryption key for the community, and encryption processing means for encrypting the generated communication encryption key with the attribute authentication encryption key. A decryption process for decrypting an encrypted communication encryption key corresponding to the attribute by the attribute authentication encryption key when the community information downloaded from the server includes the attribute of the own community And a wireless communication processing unit that incorporates the decrypted communication encryption key and performs encrypted communication processing in the community.
【0014】また、前記ユーザ端末は、前記コミュニテ
ィ属性記憶手段、前記通信用暗号鍵生成手段、前記暗号
化処理手段および前記復号化処理手段を前記ユーザ端末
に組み込み可能な耐タンパ性デバイス内に備える。Further, the user terminal includes the community attribute storage means, the communication encryption key generating means, the encryption processing means and the decryption processing means in a tamper resistant device which can be incorporated in the user terminal. .
【0015】また、前記コミュニティ情報管理手段は、
コミュニティ情報を保持する有効期間を設定し、前記有
効期間経過後に前記コミュニティ情報を削除する処理を
行う。Further, the community information management means is
A valid period for holding the community information is set, and processing for deleting the community information is performed after the valid period has elapsed.
【0016】また、本発明は、無線LAN内で同一の通
信用暗号鍵を使用するユーザ端末で構成されるコミュニ
ティを形成し、前記コミュニティに属する権限を持つユ
ーザ端末へ前記通信用暗号鍵を配送する無線通信用暗号
鍵配送方法であって、サーバが記憶する、コミュニティ
の属性および当該コミュニティ用の暗号化された通信用
暗号鍵を含むコミュニティ情報をダウンロードし、自己
が所属するコミュニティの属性および前記コミュニティ
に対応付けられた属性認証用暗号鍵を記憶するコミュニ
ティ属性記憶手段にアクセスし、ダウンロードされた前
記コミュニティ情報に自己が所属するコミュニティの属
性が含まれていない場合に、当該コミュニティ用の通信
用暗号鍵を生成し、前記属性認証用暗号鍵により、生成
された前記通信用暗号鍵を暗号化し、暗号化した通信用
暗号鍵を含むコミュニティ情報を前記サーバへアップロ
ードし、ダウンロードされた前記コミュニティ情報に自
己のコミュニティの属性が含まれている場合に、前記属
性認証用暗号鍵により、当該属性に対応する暗号化され
た通信用暗号鍵を復号化し、復号した前記通信用暗号鍵
を組み込んでコミュニティ内の暗号化通信を行うもので
ある。Further, according to the present invention, a community composed of user terminals that use the same communication encryption key is formed in a wireless LAN, and the communication encryption key is delivered to a user terminal having an authority belonging to the community. A method for delivering an encryption key for wireless communication, wherein community information including a community attribute and an encrypted communication encryption key for the community stored by the server is downloaded, and the attribute of the community to which the user belongs and the When the community attribute storage means for storing the attribute authentication encryption key associated with the community is accessed and the downloaded community information does not include the attribute of the community to which the user belongs, the communication for the community is performed. Generate an encryption key, and use the attribute authentication encryption key to generate the communication When the community information including the encrypted encryption key and the encrypted communication encryption key is uploaded to the server, and the downloaded community information includes the attribute of the own community, the attribute authentication encryption key Thus, the encrypted communication encryption key corresponding to the attribute is decrypted, and the decrypted communication encryption key is incorporated to perform encrypted communication within the community.
【0017】また、本発明は、前記の無線通信用暗号鍵
配送方法を実現するステップを、コンピュータに実行さ
せるための無線通信用暗号鍵配送処理プログラムであ
る。Further, the present invention is a wireless communication encryption key distribution processing program for causing a computer to execute the steps for realizing the above wireless communication encryption key distribution method.
【0018】本発明において、ホットスポットには、認
証サーバではなく、ホットスポットで形成されるコミュ
ニティに関する情報を記憶し管理するだけのサーバが設
置される。サーバは、コミュニティで最初のメンバとな
るユーザ端末からアップロードされた、コミュニティの
属性(識別子など)および当該コミュニティ用の暗号化
された通信用暗号鍵Ktを含むコミュニティ情報を記憶
する。また、サーバは、別のユーザ端末の要求により、
記憶したコミュニティ情報をダウンロードさせるだけで
ある。In the present invention, the hotspot is not an authentication server, but a server that only stores and manages information about the community formed in the hotspot. The server stores the community information uploaded from the user terminal which is the first member in the community, including the attributes (identifier etc.) of the community and the encrypted communication encryption key Kt for the community. Also, the server can request another user terminal to
It just downloads the stored community information.
【0019】ユーザ端末は、ユーザ端末が属するコミュ
ニティの属性および前記属性に対応づけられた属性認証
用暗号鍵Kaをコミュニティ属性記憶手段に記憶してお
き、サーバからダウンロードしたコミュニティ情報に自
己のコミュニティの属性が含まれていない場合には、通
信用暗号鍵Ktを生成し、属性認証用暗号鍵Kaにより
通信用暗号鍵Ktを暗号化して、コミュニティの属性と
暗号化した通信用暗号鍵Ktとを含むコミュニティ情報
をサーバへアップロードする。The user terminal stores the attribute of the community to which the user terminal belongs and the attribute authentication encryption key Ka associated with the attribute in the community attribute storage means, and the community information downloaded from the server stores the community information of its own community. When the attribute is not included, the communication encryption key Kt is generated, the communication encryption key Kt is encrypted by the attribute authentication encryption key Ka, and the community attribute and the encrypted communication encryption key Kt are obtained. Upload the including community information to the server.
【0020】その後、別のユーザ端末は、サーバからダ
ウンロードしたコミュニティ情報に自己のコミュニティ
の属性が含まれている場合に、属性認証用暗号鍵Kaに
より、その属性に対応する暗号化された通信用暗号鍵K
tを復号化し、復号した通信用暗号鍵Ktを組み込んで
コミュニティ内の暗号化通信を行う。After that, when the community information downloaded from the server includes the attribute of its own community, another user terminal uses the encryption key Ka for attribute authentication to perform encrypted communication for the attribute. Encryption key K
t is decrypted, and the decrypted communication encryption key Kt is incorporated to perform encrypted communication in the community.
【0021】このように、コミュニティ情報をダウンロ
ードして復号化して無線通信処理手段に組み込んだ通信
用暗号鍵Ktを使用して、同一コミュニティ内のユーザ
端末は相互に無線LAN暗号化通信を行うことができ
る。As described above, the user terminals in the same community can mutually perform wireless LAN encrypted communication by using the communication encryption key Kt downloaded and decrypted the community information and incorporated in the wireless communication processing means. You can
【0022】サーバは、要求に応じてコミュニティ情報
をユーザ端末へ送信するだけであるため、スケーラビリ
ティを備えることができる。Since the server only transmits the community information to the user terminal in response to the request, it can have scalability.
【0023】また、ユーザ端末がダウンロードしたコミ
ュニティ情報からコミュニティの属性を認証する処理
は、ユーザ端末側で行われ、さらには、ユーザ端末内の
耐タンパデバイス内で行われる。すなわち、ユーザ端末
から認証用の個人情報をサーバへ送出する必要がないた
めに、ユーザのプライバシーを強力に保護することがで
きる。The process of authenticating the attribute of the community from the community information downloaded by the user terminal is performed on the side of the user terminal, and further within the tamper resistant device in the user terminal. That is, since it is not necessary to send the personal information for authentication from the user terminal to the server, the privacy of the user can be strongly protected.
【0024】本発明を実現する処理過程、要素または構
成は、コンピュータが実行可能なプログラムにより実現
することができる。かかるプログラムは、コンピュータ
が読み取り可能な、可搬媒体メモリ、半導体メモリ、ハ
ードディスクなどの適当な記録媒体に格納することがで
き、これらの記録媒体に記録して提供され、または、通
信インタフェースを介して種々の通信網を利用した送受
信により提供される。The processing steps, elements or configurations for implementing the present invention can be implemented by a computer-executable program. Such a program can be stored in a suitable computer-readable recording medium such as a portable medium memory, a semiconductor memory, or a hard disk, provided by being recorded in these recording media, or via a communication interface. It is provided by transmission and reception using various communication networks.
【0025】[0025]
【発明の実施の形態】以下に、本発明の実施の一形態
を、本発明にかかるシステムが、公共スペースに設置さ
れる無線LANを利用したホットスポットにおいて実施
される場合を例にして説明する。BEST MODE FOR CARRYING OUT THE INVENTION An embodiment of the present invention will be described below, taking as an example the case where the system according to the present invention is carried out in a hotspot using a wireless LAN installed in a public space. .
【0026】図1に、本発明の実施の一形態における処
理の概要を説明するための図を示す。FIG. 1 is a diagram for explaining the outline of the processing in the embodiment of the present invention.
【0027】本発明にかかるシステムは、コミュニティ
・ディレクトリ・サーバ1とホットスポットを訪れたユ
ーザのユーザ端末2とから構成される。The system according to the present invention comprises a community directory server 1 and a user terminal 2 of a user who has visited a hotspot.
【0028】コミュニティ・ディレクトリ・サーバ1
は、無線LAN通信機能を備え、ユーザ端末2が自己の
コミュニティ属性をもとに生成しアップロードしたコミ
ュニティ情報を記憶し管理し、また、ユーザ端末2の要
求に応じてコミュニティ情報をダウンロードさせる装置
である。Community directory server 1
Is a device that has a wireless LAN communication function, stores and manages the community information generated and uploaded by the user terminal 2 based on its own community attribute, and downloads the community information in response to a request from the user terminal 2. is there.
【0029】コミュニティ属性とは、ユーザが属する権
限を持つコミュニティの属性を示す情報であって、コミ
ュニティ識別子IDと属性認証用暗号鍵Kaとの対を基
本情報とする。なお、属性認証用暗号鍵Kaは、ユーザ
に与えられたコミュニティ属性を認証するためのもので
あって、無線LANでの暗号化通信に用いられる通信用
暗号鍵Ktとは異なる。The community attribute is information indicating the attribute of the community to which the user belongs, and the basic information is a pair of the community identifier ID and the attribute authentication encryption key Ka. The attribute authentication encryption key Ka is for authenticating the community attribute given to the user, and is different from the communication encryption key Kt used for encrypted communication in the wireless LAN.
【0030】コミュニティ情報とは、コミュニティ・デ
ィレクトリ・サーバ1に登録されるデータであって、形
成されていないコミュニティの最初の登録者であるユー
ザ端末2が属するコミュニティの識別子(コミュニティ
識別子)と、登録したユーザ端末2の耐タンパデバイス
内で生成されて属性認証用暗号鍵Kaで暗号化された通
信用暗号鍵Ktとの対を含むものである。コミュニティ
情報は、コミュニティ・ディレクトリ・サーバ1により
リスト形式で記憶されるが、そのホットスポットを利用
するユーザ端末2によって動的に登録されるものであ
り、事前に登録されるものではない。The community information is data registered in the community directory server 1, and an identifier (community identifier) of the community to which the user terminal 2 who is the first registrant of the unformed community belongs and is registered. This includes a pair with the communication encryption key Kt generated in the tamper resistant device of the user terminal 2 and encrypted with the attribute authentication encryption key Ka. The community information is stored in a list format by the community directory server 1, but is dynamically registered by the user terminal 2 that uses the hotspot, and is not registered in advance.
【0031】ユーザ端末2は、自己が属する権限を持つ
コミュニティの属性を記憶しておき、必要に応じて通信
用暗号鍵Ktを生成し、コミュニティの属性に応じた属
性認証用暗号鍵Kaで暗号化した通信用暗号鍵Ktをコ
ミュニティ・ディレクトリ・サーバ1へアップロード
し、または、コミュニティ・ディレクトリ・サーバ1か
らダウンロードしたコミュニティ情報から、自己のコミ
ュニティの属性を認証して、該当する通信用暗号鍵Kt
を復号し、無線通信手段に組み込み、コミュニティ内で
の無線暗号化通信を行う端末である。The user terminal 2 stores the attribute of the community to which it has the authority, generates the communication encryption key Kt if necessary, and encrypts it with the attribute authentication encryption key Ka corresponding to the attribute of the community. The encrypted communication encryption key Kt is uploaded to the community directory server 1, or the attribute of the own community is authenticated from the community information downloaded from the community directory server 1, and the corresponding communication encryption key Kt is authenticated.
Is a terminal for decrypting and incorporating in the wireless communication means to perform wireless encrypted communication in the community.
【0032】ユーザ端末2において、コミュニティ属性
を記憶する手段、通信用暗号鍵Ktを生成する手段、お
よび通信用暗号鍵Ktを暗号化/復号化する手段は、耐
タンパデバイス内に構成される。In the user terminal 2, the means for storing the community attribute, the means for generating the communication encryption key Kt, and the means for encrypting / decrypting the communication encryption key Kt are configured in the tamper resistant device.
【0033】耐タンパデバイスとは、外部からデータを
改ざんし、または、横取りできないように物理的もしく
は論理的保護機能を備えたデバイスであって、ICカー
ドやICチップ組み込み装置などで実現される。The tamper resistant device is a device having a physical or logical protection function so that data cannot be tampered with or tampered with from the outside, and is realized by an IC card, an IC chip built-in device or the like.
【0034】(a) 図1において、最初のメンバとな
るユーザ端末2a1は、通信用暗号鍵K1を生成し、生成
した通信用暗号鍵K1を耐タンパデバイス内において属
性認証用暗号鍵Kaで暗号化し、コミュニティAの識別
子aaaと暗号化した通信用暗号鍵K1とを含むコミュ
ニティ情報「aaa(K1)」を生成する。そして、暗
号化しない無線通信によりコミュニティ情報を「aaa
(K1)」コミュニティ・ディレクトリ・サーバ1へ登
録する。コミュニティ・ディレクトリ・サーバ1は、コ
ミュニティ情報「aaa(K1)」を属性aとしてコミ
ュニティ情報リストに格納する。(A) In FIG. 1, the user terminal 2 a1 which is the first member generates the communication encryption key K1 and uses the generated communication encryption key K1 as the attribute authentication encryption key Ka in the tamper resistant device. The encrypted community information “aaa (K1)” including the identifier aaa of the community A and the encrypted communication encryption key K1 is generated. Then, the community information “aaa” is transmitted by wireless communication without encryption.
(K1) ”Register in the community directory server 1. The community directory server 1 stores the community information “aaa (K1)” as an attribute a in the community information list.
【0035】(b) 次に、別のコミュニティBの最初
のメンバとなるユーザ端末2b1は、同様に、通信用暗号
鍵K2を生成し、生成した通信用暗号鍵K2を属性認証
用暗号鍵Kbで暗号化し、コミュニティBの識別子bb
bと暗号化した通信用暗号鍵K2とを含むコミュニティ
情報「bbb(K2)」を生成し、暗号化しない無線通
信によりコミュニティ・ディレクトリ・サーバ1へ登録
する。コミュニティ・ディレクトリ・サーバ1は、コミ
ュニティ情報リストにコミュニティ情報「bbb(K
2)」を属性bとして追加する。(B) Next, the user terminal 2 b1, which is the first member of another community B, similarly generates the communication encryption key K2 and uses the generated communication encryption key K2 as the attribute authentication encryption key. Encrypted by Kb, identifier bb of community B
Community information “bbb (K2)” including b and the encrypted communication encryption key K2 is generated and registered in the community directory server 1 by non-encrypted wireless communication. The community directory server 1 adds the community information “bbb (K
2) ”is added as an attribute b.
【0036】この時点で、コミュニティ・ディレクトリ
・サーバ1に記憶されたコミュニティ情報リストには複
数のコミュニティのコミュニティ情報(属性a、属性
b)が登録されていることになる。At this point, the community information list stored in the community directory server 1 has the community information (attribute a, attribute b) of a plurality of communities registered therein.
【0037】ここで、コミュニティ情報は暗号化しない
無線通信でコミュニティ・ディレクトリ・サーバ1へ登
録されるが、コミュニティ情報内の暗号化された通信用
暗号鍵K1、K2は、そのコミュニティ属性を持つユー
ザ端末2の耐タンパデバイス内でしか復号化できないた
めに、安全に登録することができる。Here, the community information is registered in the community directory server 1 by wireless communication without encryption, but the encrypted communication encryption keys K1 and K2 in the community information are the users having the community attribute. Since the decryption can be performed only within the tamper resistant device of the terminal 2, the registration can be performed safely.
【0038】(c) その後、コミュニティAに属して
いるユーザ端末2a2は、コミュニティ・ディレクトリ・
サーバ1へアクセスしてコミュニティ情報リストをダウ
ンロードする。そして、コミュニティ情報リストから、
自己のコミュニティ属性に設定されたコミュニティ識別
子aaaをキーに該当するコミュニティ情報「属性a」
を抽出し、暗号化された通信用暗号鍵K1を復号し、無
線通信機構の中に含まれる暗号化処理機構に通信用暗号
鍵K1を組み込む。(C) After that, the user terminal 2 a2 belonging to the community A is
Access the server 1 to download the community information list. And from the community information list,
Community information “attribute a” corresponding to the community identifier aaa set in the own community attribute as a key
Is extracted, the encrypted communication encryption key K1 is decrypted, and the communication encryption key K1 is incorporated into the encryption processing mechanism included in the wireless communication mechanism.
【0039】同様に、ユーザ端末2a3およびユーザ端末
2a4も、コミュニティ・ディレクトリ・サーバ1へアク
セスしてコミュニティ情報リストをダウンロードし、コ
ミュニティ情報「属性a」を取得し、暗号化された通信
用暗号鍵K1を復号し、通信用暗号鍵K1を無線通信手
段内の暗号化処理手段に組み込む。Similarly, the user terminal 2 a3 and the user terminal 2 a4 also access the community directory server 1 to download the community information list, acquire the community information “attribute a”, and use it for encrypted communication. The encryption key K1 is decrypted and the communication encryption key K1 is incorporated in the encryption processing means in the wireless communication means.
【0040】以降、コミュニティA内のユーザ端末2a1
〜2a4の相互のデータ通信は、通信用暗号鍵K1を用い
た無線暗号化通信により行われることになる。Thereafter, the user terminal 2 a1 in the community A
Mutual data communication of ~ 2 a4 is performed by wireless encrypted communication using the communication encryption key K1.
【0041】(d) 一方、コミュニティBに属してい
るユーザ端末2b2およびユーザ端末2b3は、ユーザ端末
2a2と同様の処理により、コミュニティB用の通信用暗
号鍵K2を取得して、無線通信手段の暗号化処理手段に
組み込む。(D) On the other hand, the user terminals 2 b2 and 2 b3 belonging to the community B acquire the communication encryption key K2 for the community B by the same processing as the user terminal 2 a2, and the It is incorporated in the encryption processing means of the communication means.
【0042】これにより、以降のコミュニティB内のユ
ーザ端末2b1〜2b3の相互のデータ通信は、通信用暗号
鍵K2を用いた無線暗号化通信により行われる。As a result, the subsequent data communication between the user terminals 2 b1 to 2 b3 in the community B is performed by wireless encrypted communication using the communication encryption key K2.
【0043】本発明では、最初のメンバであるユーザ端
末2によりコミュニティ・ディレクトリ・サーバ1に登
録された暗号化された通信用暗号鍵Ktを取得する処理
において、ユーザが属するコミュニティ属性の認証処理
や、暗号化された通信用暗号鍵の復号処理が、利用者端
末2の耐タンパデバイス(ICカード)内で行われる。
これにより、利用者の属性情報がコミュニティ・ディレ
クトリ・サーバ1側へ送られることがまったくないため
に、強力なプライバシーの保護が実現されている。In the present invention, in the process of acquiring the encrypted communication encryption key Kt registered in the community directory server 1 by the user terminal 2 which is the first member, the process of authenticating the community attribute to which the user belongs and The decryption process of the encrypted communication encryption key is performed in the tamper resistant device (IC card) of the user terminal 2.
As a result, since the user's attribute information is never sent to the community directory server 1 side, strong protection of privacy is realized.
【0044】また、コミュニティ・ディレクトリ・サー
バ1は、事前に認証情報を記憶しておく必要がないた
め、ホットスポットで動的に形成されるコミュニティに
も柔軟に対応して運用することが可能である。Since the community directory server 1 does not need to store the authentication information in advance, it can be flexibly operated even for a community dynamically formed in a hotspot. is there.
【0045】図2に、コミュニティ・ディレクトリ・サ
ーバの構成例およびユーザ端末2の構成例を示す。FIG. 2 shows a configuration example of the community directory server and a configuration example of the user terminal 2.
【0046】コミュニティ・ディレクトリ・サーバ1
は、無線通信部11と、コミュニティ情報管理部12
と、コミュニティ情報記憶部13とを備える。Community directory server 1
Is a wireless communication unit 11 and a community information management unit 12
And a community information storage unit 13.
【0047】無線通信部11は、ユーザ端末2と無線通
信を行う手段である。The wireless communication unit 11 is means for performing wireless communication with the user terminal 2.
【0048】コミュニティ情報管理部12は、ユーザ端
末2がアップロードしたコミュニティ情報をコミュニテ
ィ情報リストとしてコミュニティ情報記憶部13に記憶
し、ユーザ端末2の要求に応じて記憶するコミュニティ
情報リストをダウンロードさせる手段である。また、コ
ミュニティ情報管理部12は、コミュニティ情報に有効
期限などを設定し、コミュニティ情報リストへの登録を
自動的に更新し、または、有効期限となったコミュニテ
ィ情報をコミュニティ情報リストから削除する機能を持
つようにしてもよい。The community information management unit 12 stores the community information uploaded by the user terminal 2 in the community information storage unit 13 as a community information list, and downloads the stored community information list in response to a request from the user terminal 2. is there. In addition, the community information management unit 12 has a function of setting an expiration date and the like in the community information, automatically updating registration in the community information list, or deleting the expired community information from the community information list. You may have it.
【0049】ユーザ端末2は、無線通信部21と、通信
処理部22と、暗号化/復号化処理部23と、通信用暗
号鍵生成部24と、コミュニティ属性記憶部25とを備
える。暗号化/復号化処理部23、通信用暗号鍵生成部
24、およびコミュニティ属性記憶部25は耐タンパデ
バイス26として備えられる。The user terminal 2 includes a wireless communication unit 21, a communication processing unit 22, an encryption / decryption processing unit 23, a communication encryption key generation unit 24, and a community attribute storage unit 25. The encryption / decryption processing unit 23, the communication encryption key generation unit 24, and the community attribute storage unit 25 are provided as a tamper resistant device 26.
【0050】無線通信部21は、前記特許請求の範囲に
記載するサーバ通信手段および無線通信処理手段に対応
する手段であって、コミュニティ・ディレクトリ・サー
バ1や他のユーザ端末2と無線通信を行う手段である。The wireless communication unit 21 is a unit corresponding to the server communication unit and the wireless communication processing unit described in the claims, and wirelessly communicates with the community directory server 1 and other user terminals 2. It is a means.
【0051】無線通信部21は、暗号化通信機能を備
え、暗号化/復号化処理部23により復号化された通信
用暗号鍵Ktを暗号化通信機能に安全に組み込み、通信
処理部22などで処理されたデータを暗号化して無線通
信する。The wireless communication unit 21 has an encryption communication function, and the communication encryption key Kt decrypted by the encryption / decryption processing unit 23 is safely incorporated in the encryption communication function, and the communication processing unit 22 or the like uses it. The processed data is encrypted and wirelessly communicated.
【0052】通信処理部22は、ユーザ端末2が備える
他のアプリケーション(図示しない)での通信処理を行
う手段である。The communication processing section 22 is means for performing communication processing in another application (not shown) included in the user terminal 2.
【0053】暗号化/復号化処理部23は、前記特許請
求の範囲に記載する暗号化処理手段および復号化処理手
段に対応する手段であって、通信用暗号鍵生成部24が
生成した通信用暗号鍵Ktを、コミュニティ属性記憶部
25に記憶した属性認証用暗号鍵Kaを使用して暗号化
し、または、コミュニティ・ディレクトリ・サーバ1か
ら取得したコミュニティ情報に含まれた暗号化された通
信用暗号鍵Ktを属性認証用暗号鍵Kaを使用して復号
化する手段である。The encryption / decryption processing unit 23 is a unit corresponding to the encryption processing unit and the decryption processing unit described in the claims, and is for the communication generated by the communication encryption key generating unit 24. The encryption key Kt is encrypted by using the attribute authentication encryption key Ka stored in the community attribute storage unit 25, or the encrypted communication encryption included in the community information acquired from the community directory server 1. It is means for decrypting the key Kt using the attribute authentication encryption key Ka.
【0054】通信用暗号鍵生成部24は、ユーザ端末2
が所属するコミュニティが未だ形成されていない場合
に、当該コミュニティで使用する通信用暗号鍵Ktを、
乱数を発生させて生成する手段である。The communication encryption key generating section 24 uses the user terminal 2
If the community to which the belongs belongs to, the communication encryption key Kt used in the community is
It is a means to generate and generate random numbers.
【0055】コミュニティ属性記憶部25は、ユーザが
属する権限を持つコミュニティのコミュニティ属性を記
憶する手段である。The community attribute storage unit 25 is means for storing the community attribute of the community to which the user belongs.
【0056】本形態においては、ホットスポットで通信
サービスを提供する企業などが、コミュニティ識別子と
属性認証用暗号鍵Kaとを含むコミュニティ属性を格納
したコミュニティ属性記憶部25と、暗号化/復号化処
理部23と、通信用暗号鍵生成部24とを備えるICカ
ードを予めユーザに配布し、ユーザがユーザ端末2へ配
布されたICカードを組み込むようにする。In the present embodiment, a company or the like that provides a communication service at a hotspot, a community attribute storage unit 25 storing a community attribute including a community identifier and an attribute authentication encryption key Ka, and an encryption / decryption process. An IC card including the unit 23 and the communication encryption key generation unit 24 is distributed to the user in advance, and the user incorporates the distributed IC card into the user terminal 2.
【0057】また、ユーザ端末2は予め耐タンパデバイ
ス26を備えるように構成されていて、暗号化/復号化
処理部23、通信用暗号鍵生成部24およびコミュニテ
ィ属性記憶部25を実現するために必要なデータや処理
プログラムを、通信サービス提供者などがデータ通信を
介して耐タンパデバイス26内に書き込むようにしても
よい。Further, the user terminal 2 is pre-configured with a tamper resistant device 26, and in order to realize the encryption / decryption processing unit 23, the communication encryption key generation unit 24 and the community attribute storage unit 25. A communication service provider or the like may write necessary data and processing programs in the tamper resistant device 26 via data communication.
【0058】コミュニティ属性の具体例として、航空会
社Aが提供するコミュニティAを利用できるユーザXの
ユーザ端末2の耐タンパデバイス26のコミュニティ属
性記憶部25には、コミュニティ識別子aaaと属性認
証用暗号鍵Kaとを含むコミュニティ属性が記憶され
る。これにより、ユーザXは、航空会社Aが提供するコ
ミュニティAに参加し、コミュニティ内の他のユーザ端
末2やサーバなどと無線LAN暗号化通信によるデータ
通信を行うことができる。As a specific example of the community attribute, the community identifier storage unit 25 of the tamper resistant device 26 of the user terminal 2 of the user X who can use the community A provided by the airline A has the community identifier aaa and the attribute authentication encryption key. The community attribute including Ka and K is stored. Accordingly, the user X can participate in the community A provided by the airline company A and perform data communication by wireless LAN encrypted communication with other user terminals 2 and servers in the community.
【0059】また、航空会社Bが提供するコミュニティ
Bを利用できるユーザYのユーザ端末2耐タンパデバイ
ス26(ICカード)のコミュニティ属性記憶部25に
は、コミュニティ識別子bbbと対応する属性証明用暗
号鍵Kbとの対が記憶される。このように、航空会社A
が配布したICカードを持つユーザXと、航空会社Bが
配布したICカードを持つユーザYとは、異なるコミュ
ニティ属性を持つことになる。なお、一人のユーザが複
数のコミュニティ属性を所持できる場合には、ユーザ端
末2の耐タンパデバイス26内にコミュニティ属性を選
択する処理手段を備えるようにする。In the community attribute storage unit 25 of the user terminal 2 tamper resistant device 26 (IC card) of the user Y who can use the community B provided by the airline company B, the attribute certification encryption key corresponding to the community identifier bbb is stored. The pair with Kb is stored. Thus, airline A
The user X who has the IC card distributed by B and the user Y who has the IC card distributed by the airline company B have different community attributes. When one user can possess a plurality of community attributes, the tamper resistant device 26 of the user terminal 2 is provided with processing means for selecting the community attribute.
【0060】次に、ホットスポットのコミュニティ・デ
ィレクトリ・サーバ1へコミュニティ情報をアップロー
ドする処理について説明する。Next, the process of uploading the community information to the hotspot community directory server 1 will be described.
【0061】初期状態において、コミュニティ・ディレ
クトリ・サーバ1には、コミュニティ情報は何ら登録さ
れていない。ユーザが、コミュニティ・ディレクトリ・
サーバ1が設置されたホットスポットを訪問し、自分の
コミュニティ情報をコミュニティ・ディレクトリ・サー
バ1へ登録することによって、無線LANによる通信用
暗号鍵の交換の準備ができる。In the initial state, no community information is registered in the community directory server 1. Users can access the community directory
By visiting the hotspot in which the server 1 is installed and registering the community information of the user in the community directory server 1, preparation for the exchange of the communication encryption key by the wireless LAN can be made.
【0062】例えば、ユーザXがホットスポットに参加
するときに、そのホットスポットのコミュニティ・ディ
レクトリ・サーバ1に航空会社Aのコミュニティ情報が
なければ、ユーザ端末2は、生成した通信用暗号鍵K1
を含むデータを航空会社Aのコミュニティ情報として登
録する。For example, when the user X joins the hotspot and the community directory server 1 of the hotspot does not have the community information of the airline A, the user terminal 2 generates the communication encryption key K1.
The data including is registered as the community information of airline company A.
【0063】実際の運用では、ユーザ自身が最初の登録
者になるというケースよりも、航空会社Aなどがそのホ
ットスポットで提供するサービスのために用意したサー
バが「最初のユーザである登録者」となることが多い。
このようなサーバに対して、航空会社Aが配布したIC
カードを持たないユーザや他の航空会社のICカードし
か持たないユーザは、アクセスができないことになる。In actual operation, rather than the case where the user himself / herself becomes the first registrant, the server prepared for the service provided by airline company A or the like at the hotspot is the “first user registrant”. Often becomes.
ICs distributed by airline A to such servers
A user who does not have a card or a user who has only an IC card of another airline cannot access.
【0064】図3に、コミュニティ情報登録処理の処理
フローを示す。FIG. 3 shows a processing flow of community information registration processing.
【0065】あるコミュニティについて最初のユーザと
なるユーザ端末2の無線通信部21は、暗号化しない無
線通信によって、コミュニティ・ディレクトリ・サーバ
1へアクセスし、登録されているコミュニティ情報リス
トをダウンロードする(ステップS1)。The wireless communication unit 21 of the user terminal 2, which is the first user for a certain community, accesses the community directory server 1 by non-encrypted wireless communication and downloads the registered community information list (step). S1).
【0066】暗号化/復号化処理部23は、コミュニテ
ィ・ディレクトリ・サーバ1からダウンロードしたコミ
ュニティ情報リストに自分が属するコミュニティのコミ
ュニティ情報(属性)が登録されているかどうかを、コ
ミュニティ識別子をキーに検索する(ステップS2)。The encryption / decryption processing unit 23 searches with the community identifier as a key whether or not the community information (attribute) of the community to which it belongs is registered in the community information list downloaded from the community directory server 1. Yes (step S2).
【0067】そして、コミュニティ・ディレクトリ・サ
ーバ1にコミュニティ情報リストが登録されていない
か、または、コミュニティ情報リストに自分のコミュニ
ティ情報が未登録であれば、通信用暗号鍵生成部24
は、乱数を発生させてコミュニティ内の無線通信で使用
する通信用暗号鍵Ktを生成する(ステップS3)。If the community information list is not registered in the community directory server 1 or if the own community information is not registered in the community information list, the communication encryption key generating section 24
Generates a random number to generate a communication encryption key Kt used for wireless communication in the community (step S3).
【0068】そして、暗号化/復号化処理部23は、コ
ミュニティ属性記憶部25で記憶する属性認証用暗号鍵
Kaを使用して、生成した通信用暗号鍵Ktを暗号化し
(ステップS4)、さらに、コミュニティ識別子と暗号
化通信用暗号鍵Ktとを含むコミュニティ情報を生成す
る(ステップS5)。Then, the encryption / decryption processor 23 encrypts the generated communication encryption key Kt using the attribute authentication encryption key Ka stored in the community attribute storage 25 (step S4). , Community information including the community identifier and the encryption key Kt for encrypted communication is generated (step S5).
【0069】無線通信部21は、暗号化しない無線通信
により、コミュニティ情報をコミュニティ・ディレクト
リ・サーバ1に登録する(ステップS6)。コミュニテ
ィ・ディレクトリ・サーバ1では、無線通信部11がユ
ーザ端末2からコミュニティ情報を受信し、コミュニテ
ィ情報管理部12は、受信したコミュニティ情報をコミ
ュニティ情報リストに追加してコミュニティ情報記憶部
13へ記憶する。The wireless communication unit 21 registers the community information in the community directory server 1 by wireless communication without encryption (step S6). In the community directory server 1, the wireless communication unit 11 receives the community information from the user terminal 2, and the community information management unit 12 adds the received community information to the community information list and stores it in the community information storage unit 13. .
【0070】一方、暗号化/復号化処理部23は、コミ
ュニティ・ディレクトリ・サーバ1からダウンロードし
たコミュニティ情報リストに自分の属するコミュニティ
情報が登録されている場合には(ステップS2)、コミ
ュニティ情報登録処理を終了する。On the other hand, the encryption / decryption processing unit 23, when the community information to which it belongs is registered in the community information list downloaded from the community directory server 1 (step S2), the community information registration processing. To finish.
【0071】次に、ホットスポットのコミュニティ・デ
ィレクトリ・サーバ1に登録されたコミュニティ情報を
ダウンロードする処理について説明する。図4に、コミ
ュニティ情報取得処理の処理フローを示す。Next, a process of downloading the community information registered in the hotspot community directory server 1 will be described. FIG. 4 shows a processing flow of the community information acquisition processing.
【0072】ホットスポットを訪問した別のユーザ端末
2の無線通信部21は、暗号化しない無線通信によっ
て、コミュニティ・ディレクトリ・サーバ1へアクセス
し、コミュニティ情報リストをダウンロードする(ステ
ップS11)。The wireless communication unit 21 of another user terminal 2 that has visited the hotspot accesses the community directory server 1 by wireless communication without encryption and downloads the community information list (step S11).
【0073】次に、暗号化/復号化処理部23は、コミ
ュニティ・ディレクトリ・サーバ1から取得したコミュ
ニティ情報リストに自分の属するコミュニティのコミュ
ニティ情報(属性)が既に登録されているかどうかを、
コミュニティ識別子をキーに検索する(ステップS
2)。Next, the encryption / decryption processing unit 23 determines whether the community information (attribute) of the community to which the user belongs has already been registered in the community information list acquired from the community directory server 1.
Search using the community identifier as a key (step S
2).
【0074】コミュニティ情報リストに自分のコミュニ
ティ情報が登録されていれば、暗号化/復号化処理部2
3は、コミュニティ情報リストから該当するコミュニテ
ィ情報を抽出し、コミュニティ属性記憶部25に記憶し
ている属性認証用暗号鍵Kaを使用して、抽出したコミ
ュニティ情報に含まれる暗号化された通信用暗号鍵Kt
を復号化して通信用暗号鍵Ktを取り出す(ステップS
12)。If one's community information is registered in the community information list, the encryption / decryption processing unit 2
Reference numeral 3 is an encryption code for communication, which is included in the extracted community information, by extracting the corresponding community information from the community information list and using the attribute authentication encryption key Ka stored in the community attribute storage unit 25. Key Kt
To decrypt the communication encryption key Kt (step S
12).
【0075】無線通信部21は、復号された通信用暗号
鍵Ktを暗号化通信機構に組み込む(ステップS1
3)。The wireless communication unit 21 incorporates the decrypted communication encryption key Kt into the encryption communication mechanism (step S1).
3).
【0076】これにより、コミュニティ内において、各
ユーザ端末2は、無線通信部21によって、通信処理部
22で処理された通信データを通信用暗号鍵Ktにより
暗号化して無線暗号化通信することが可能になる。Thus, in the community, each user terminal 2 can perform wireless encrypted communication by encrypting the communication data processed by the communication processing unit 22 by the wireless communication unit 21 with the communication encryption key Kt. become.
【0077】以上、本発明をその実施の形態により説明
したが、本発明はその主旨の範囲において種々の変形が
可能であることは当然である。Although the present invention has been described above with reference to the embodiments, it goes without saying that the present invention can be variously modified within the scope of the gist thereof.
【0078】本発明の形態および実施例の特徴を列記す
ると以下のとおりである。
(付記1) 無線LAN内で同一の通信用暗号鍵を使用
するユーザ端末で構成されるコミュニティを形成し、前
記コミュニティに属する権限を持つユーザ端末へ前記通
信用暗号鍵を配送する無線通信用暗号鍵配送システムで
あって、サーバは、コミュニティの属性および当該コミ
ュニティ用の暗号化された通信用暗号鍵を含むコミュニ
ティ情報を記憶するコミュニティ情報記憶手段と、前記
コミュニティ情報へのアクセスを管理するコミュニティ
情報管理手段とを備え、ユーザ端末は、自己が所属する
コミュニティの属性および前記コミュニティに対応付け
られた属性認証用暗号鍵を記憶するコミュニティ属性記
憶手段と、前記サーバへコミュニティ情報をアップロー
ドし、または、前記サーバからコミュニティ情報をダウ
ンロードするサーバ通信手段と、前記サーバからダウン
ロードしたコミュニティ情報に自己が所属するコミュニ
ティの属性が含まれていない場合に、当該コミュニティ
用の通信用暗号鍵を生成する通信用暗号鍵生成手段と、
前記属性認証用暗号鍵により、生成された前記通信用暗
号鍵を暗号化する暗号化処理手段と、前記サーバからダ
ウンロードしたコミュニティ情報に自己のコミュニティ
の属性が含まれている場合に、前記属性認証用暗号鍵に
より、当該属性に対応する暗号化された通信用暗号鍵を
復号化する復号化処理手段と、復号した前記通信用暗号
鍵を組み込んでコミュニティ内の暗号化通信処理を行う
無線通信処理手段とを備えることを特徴とする無線通信
用暗号鍵配送システム。
(付記2) 前記ユーザ端末は、前記コミュニティ属性
記憶手段、前記通信用暗号鍵生成手段、前記暗号化処理
手段および前記復号化処理手段を前記ユーザ端末に組み
込み可能な耐タンパ性デバイス内に備えることを特徴と
する前記付記1に記載の無線通信用暗号鍵配送システ
ム。
(付記3) 前記コミュニティ情報管理手段は、コミュ
ニティ情報を保持する有効期間を設定し、前記有効期間
経過後に前記コミュニティ情報を削除することを特徴と
する前記付記1に記載の無線通信用暗号鍵配送システ
ム。
(付記4) 無線LAN内で同一の通信用暗号鍵を使用
するユーザ端末で構成されるコミュニティを形成し、前
記コミュニティに属する権限を持つユーザ端末へ前記通
信用暗号鍵を配送する無線通信用暗号鍵配送方法であっ
て、サーバが記憶する、コミュニティの属性および当該
コミュニティ用の暗号化された通信用暗号鍵を含むコミ
ュニティ情報をダウンロードし、自己が所属するコミュ
ニティの属性および前記コミュニティに対応付けられた
属性認証用暗号鍵を記憶するコミュニティ属性記憶手段
にアクセスし、ダウンロードされた前記コミュニティ情
報に自己が所属するコミュニティの属性が含まれていな
い場合に、当該コミュニティ用の通信用暗号鍵を生成
し、前記属性認証用暗号鍵により、生成された前記通信
用暗号鍵を暗号化し、暗号化した通信用暗号鍵を含むコ
ミュニティ情報を前記サーバへアップロードし、ダウン
ロードされた前記コミュニティ情報に自己のコミュニテ
ィの属性が含まれている場合に、前記属性認証用暗号鍵
により、当該属性に対応する暗号化された通信用暗号鍵
を復号化し、復号した前記通信用暗号鍵を組み込んでコ
ミュニティ内の暗号化通信を行うことを特徴とする無線
通信用暗号鍵配送方法。
(付記5) 前記付記4に記載の無線通信用暗号鍵配送
方法を実現するステップを、コンピュータに実行させる
ための無線通信用暗号鍵配送処理プログラム。
(付記6) 前記付記4に記載の無線通信用暗号鍵配送
方法を実現するステップをコンピュータに実行させるた
めの無線通信用暗号鍵配送処理プログラムを記録するこ
とを特徴とする無線通信暗号鍵配送処理プログラム記録
媒体。The features of the modes and embodiments of the present invention are listed below. (Supplementary Note 1) A wireless communication cipher that forms a community composed of user terminals that use the same communication encryption key in a wireless LAN and delivers the communication encryption key to a user terminal that has the authority to belong to the community. A key distribution system, wherein the server stores community information including community attributes and an encrypted communication encryption key for the community, and community information managing access to the community information. The user terminal comprises a management means, the user terminal stores the attribute of the community to which the user terminal belongs and a community attribute storage means for storing an attribute authentication encryption key associated with the community, and uploads the community information to the server, or A server that downloads community information from the server A communication means, and a communication encryption key generating means for generating a communication encryption key for the community when the community information downloaded from the server does not include the attribute of the community to which the user belongs.
The encryption processing means for encrypting the generated communication encryption key by the attribute authentication encryption key, and the attribute authentication when the community information downloaded from the server includes the attribute of the own community. Processing means for decrypting the encrypted communication encryption key corresponding to the attribute with the use encryption key, and wireless communication processing for incorporating the decrypted communication encryption key to perform encrypted communication processing in the community An encryption key distribution system for wireless communication, comprising: (Supplementary Note 2) The user terminal includes the community attribute storage unit, the communication encryption key generation unit, the encryption processing unit, and the decryption processing unit in a tamper-resistant device that can be incorporated in the user terminal. The encryption key distribution system for wireless communication according to the above-mentioned appendix 1. (Supplementary Note 3) The community information management means sets a valid period for holding the community information, and deletes the community information after the valid period has passed, wherein the encryption key delivery for wireless communication is provided. system. (Supplementary Note 4) A wireless communication cipher that forms a community composed of user terminals that use the same communication encryption key in a wireless LAN and delivers the communication encryption key to a user terminal that has the authority to belong to the community. A key distribution method, which downloads community information stored in a server, including a community attribute and an encrypted communication encryption key for the community, and associates it with the attribute of the community to which the server belongs and the community. When the downloaded community information does not include the attribute of the community to which the user belongs, a communication encryption key for the community is generated. , Encrypting the generated communication encryption key with the attribute authentication encryption key, When the community information including the encrypted communication encryption key is uploaded to the server and the downloaded community information includes the attribute of the own community, the attribute authentication encryption key corresponds to the attribute. A method of delivering an encryption key for wireless communication, comprising: decrypting the encrypted encryption key for communication, and incorporating the decrypted encryption key for communication to perform encrypted communication within a community. (Supplementary Note 5) A wireless communication encryption key delivery processing program for causing a computer to execute the step of realizing the wireless communication encryption key delivery method according to Additional Note 4. (Supplementary Note 6) A wireless communication encryption key distribution process for recording a wireless communication encryption key distribution program for causing a computer to execute the steps for realizing the wireless communication encryption key distribution method according to Supplementary Note 4. Program recording medium.
【0079】[0079]
【発明の効果】以上説明したように、本発明によれば、
コミュニティ・ディレクトリ・サーバにおいて無線暗号
化通信で使用する通信用暗号鍵を暗号化した状態で登録
しておき、ユーザ端末の要求に応じて暗号化した状態で
ダウンロードさせ、各ユーザ端末の耐タンパデバイス内
でコミュニティ属性を認証して該当する通信用暗号鍵を
復号化して使用できるようにする。As described above, according to the present invention,
A tamper-proof device for each user terminal is registered in the community directory server in an encrypted state for encryption of the communication encryption key used in wireless encrypted communication, and downloaded in an encrypted state at the request of the user terminal. Authenticates the community attribute within and decrypts the corresponding communication encryption key so that it can be used.
【0080】これにより、本発明は、ホットスポットに
認証サーバを設置せずに、コミュニティごとに共有する
通信用暗号鍵を安全にユーザ端末へ配送することができ
る。As a result, according to the present invention, the communication encryption key shared by each community can be safely delivered to the user terminal without installing an authentication server in the hotspot.
【0081】また、本発明では、ホットスポットに設置
するコミュニティ・ディレクトリ・サーバが、事前にユ
ーザの認証情報を登録しておく必要がないために、ホッ
トスポットの運用が容易でありスケーラブルである。Further, according to the present invention, since the community directory server installed in the hotspot does not need to register the user authentication information in advance, the hotspot can be operated easily and is scalable.
【0082】さらに、通信用暗号鍵を共有するコミュニ
ティを動的に、また、必要に応じて柔軟に生成すること
ができる。Further, it is possible to dynamically and flexibly generate a community sharing the communication encryption key.
【0083】また、本発明では、コミュニティ属性を認
証する場合でも、一切の個人情報がユーザ端末の耐タン
パデバイス内から送出されないため、強力なプライバシ
ー保護を実現することができる。Further, according to the present invention, even when the community attribute is authenticated, since no personal information is transmitted from the tamper resistant device of the user terminal, strong privacy protection can be realized.
【0084】本発明のこれらの特性および効果により、
公共スペースにおいて無線LANを使ったデータ通信が
安全に行えるようになることにより、ホットスポットサ
ービスを、より実用的で利用価値の高いものにすること
ができる。Due to these properties and effects of the present invention,
By enabling secure data communication using a wireless LAN in a public space, the hotspot service can be made more practical and highly useful.
【図1】本発明の実施の一形態における処理の概要を説
明するための図である。FIG. 1 is a diagram for explaining an outline of processing according to an embodiment of the present invention.
【図2】図1に示すコミュニティ・ディレクトリ・サー
バの構成例およびユーザ端末の構成例を示す図である。FIG. 2 is a diagram showing a configuration example of a community directory server and a configuration example of a user terminal shown in FIG.
【図3】コミュニティ情報登録処理の処理フローを示す
図である。FIG. 3 is a diagram showing a processing flow of community information registration processing.
【図4】コミュニティ情報取得処理の処理フローを示す
図である。FIG. 4 is a diagram showing a processing flow of community information acquisition processing.
1 コミュニティ・ディレクトリ・サーバ 11 無線通信部 12 コミュニティ情報管理部 13 コミュニティ情報記憶部 2 ユーザ端末 21 無線通信部 22 通信処理部 23 暗号化/復号化処理部 24 通信用暗号鍵生成部 25 コミュニティ属性記憶部 26 耐タンパデバイス(ICカード) 1 community directory server 11 Wireless communication section 12 Community Information Management Department 13 Community information storage 2 user terminals 21 Wireless communication section 22 Communication processing unit 23 Encryption / Decryption Processing Unit 24 Communication encryption key generator 25 Community attribute storage 26 Tamper-resistant device (IC card)
フロントページの続き (72)発明者 和田 裕二 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 塩内 正利 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 岡田 誠 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 Fターム(参考) 5J104 AA16 EA17 EA26 NA35 NA42 PA01 5K067 AA30 AA32 BB21 BB41 DD17 EE02 EE12 FF02 HH21 HH22 HH23 HH24 Continued front page (72) Inventor Yuji Wada 4-1, Kamiodanaka, Nakahara-ku, Kawasaki-shi, Kanagawa No. 1 within Fujitsu Limited (72) Inventor Masatoshi Shiouchi 4-1, Kamiodanaka, Nakahara-ku, Kawasaki-shi, Kanagawa No. 1 within Fujitsu Limited (72) Inventor Makoto Okada 4-1, Kamiodanaka, Nakahara-ku, Kawasaki-shi, Kanagawa No. 1 within Fujitsu Limited F term (reference) 5J104 AA16 EA17 EA26 NA35 NA42 PA01 5K067 AA30 AA32 BB21 BB41 DD17 EE02 EE12 FF02 HH21 HH22 HH23 HH24
Claims (5)
用するユーザ端末で構成されるコミュニティを形成し、
前記コミュニティに属する権限を持つユーザ端末へ前記
通信用暗号鍵を配送する無線通信用暗号鍵配送システム
であって、 サーバは、 コミュニティの属性および当該コミュニティ用の暗号化
された通信用暗号鍵を含むコミュニティ情報を記憶する
コミュニティ情報記憶手段と、 前記コミュニティ情報へのアクセスを管理するコミュニ
ティ情報管理手段とを備え、 ユーザ端末は、 自己が所属するコミュニティの属性および前記コミュニ
ティに対応付けられた属性認証用暗号鍵を記憶するコミ
ュニティ属性記憶手段と、 前記サーバへコミュニティ情報をアップロードし、また
は、前記サーバからコミュニティ情報をダウンロードす
るサーバ通信手段と、 前記サーバからダウンロードしたコミュニティ情報に自
己が所属するコミュニティの属性が含まれていない場合
に、当該コミュニティ用の通信用暗号鍵を生成する通信
用暗号鍵生成手段と、 前記属性認証用暗号鍵により、生成された前記通信用暗
号鍵を暗号化する暗号化処理手段と、 前記サーバからダウンロードしたコミュニティ情報に自
己のコミュニティの属性が含まれている場合に、前記属
性認証用暗号鍵により、当該属性に対応する暗号化され
た通信用暗号鍵を復号化する復号化処理手段と、 復号した前記通信用暗号鍵を組み込んでコミュニティ内
の暗号化通信処理を行う無線通信処理手段とを備えるこ
とを特徴とする無線通信用暗号鍵配送システム。1. A community composed of user terminals that use the same communication encryption key in a wireless LAN is formed.
A wireless communication encryption key delivery system for delivering the communication encryption key to a user terminal having the authority to belong to the community, wherein the server includes an attribute of the community and an encrypted communication encryption key for the community. The user terminal includes a community information storage unit that stores community information and a community information management unit that manages access to the community information. The user terminal is for attribute of a community to which the user terminal belongs and attribute authentication associated with the community. Community attribute storage means for storing an encryption key, server communication means for uploading community information to the server or downloading community information from the server, and attributes of a community to which the self belongs to the community information downloaded from the server If not included, a communication encryption key generating unit that generates a communication encryption key for the community, and an encryption process that encrypts the generated communication encryption key with the attribute authentication encryption key. Means for decrypting the encrypted communication encryption key corresponding to the attribute by the attribute authentication encryption key when the community information downloaded from the server includes the attribute of the own community An encryption key distribution system for wireless communication, comprising: encryption processing means; and wireless communication processing means that incorporates the decrypted communication encryption key to perform encrypted communication processing within a community.
性記憶手段、前記通信用暗号鍵生成手段、前記暗号化処
理手段および前記復号化処理手段を前記ユーザ端末に組
み込み可能な耐タンパ性デバイス内に備えることを特徴
とする請求項1に記載の無線通信用暗号鍵配送システ
ム。2. The user terminal includes the community attribute storage means, the communication encryption key generation means, the encryption processing means and the decryption processing means in a tamper resistant device that can be incorporated in the user terminal. The encryption key distribution system for wireless communication according to claim 1, wherein
ュニティ情報を保持する有効期間を設定し、前記有効期
間経過後に前記コミュニティ情報を削除することを特徴
とする請求項1に記載の無線通信用暗号鍵配送システ
ム。3. The encryption key for wireless communication according to claim 1, wherein the community information management means sets a valid period for holding the community information and deletes the community information after the valid period has elapsed. Delivery system.
用するユーザ端末で構成されるコミュニティを形成し、
前記コミュニティに属する権限を持つユーザ端末へ前記
通信用暗号鍵を配送する無線通信用暗号鍵配送方法であ
って、 サーバが記憶する、コミュニティの属性および当該コミ
ュニティ用の暗号化された通信用暗号鍵を含むコミュニ
ティ情報をダウンロードし、 自己が所属するコミュニティの属性および前記コミュニ
ティに対応付けられた属性認証用暗号鍵を記憶するコミ
ュニティ属性記憶手段にアクセスし、 ダウンロードされた前記コミュニティ情報に自己が所属
するコミュニティの属性が含まれていない場合に、当該
コミュニティ用の通信用暗号鍵を生成し、前記属性認証
用暗号鍵により、生成された前記通信用暗号鍵を暗号化
し、暗号化した通信用暗号鍵を含むコミュニティ情報を
前記サーバへアップロードし、 ダウンロードされた前記コミュニティ情報に自己のコミ
ュニティの属性が含まれている場合に、前記属性認証用
暗号鍵により、当該属性に対応する暗号化された通信用
暗号鍵を復号化し、復号した前記通信用暗号鍵を組み込
んでコミュニティ内の暗号化通信を行うことを特徴とす
る無線通信用暗号鍵配送方法。4. A community composed of user terminals that use the same communication encryption key in a wireless LAN is formed,
A wireless communication encryption key delivery method for delivering the communication encryption key to a user terminal having the authority to belong to the community, wherein the attribute of the community and the encrypted communication encryption key for the community stored in the server. And downloads community information including the following, accesses the community attribute storage unit that stores the attribute of the community to which the user belongs and the attribute authentication encryption key associated with the community, and belongs to the downloaded community information. When the attribute of the community is not included, a communication encryption key for the community is generated, the generated communication encryption key is encrypted by the attribute authentication encryption key, and the encrypted communication encryption key Before the community information including is uploaded to the server and downloaded When the community information includes an attribute of its own community, the encrypted encryption key for communication corresponding to the attribute is decrypted by the encryption key for attribute authentication, and the decrypted communication encryption key is A cryptographic key distribution method for wireless communication, characterized by being incorporated to perform encrypted communication within a community.
方法を実現するステップを、コンピュータに実行させる
ための無線通信用暗号鍵配送処理プログラム。5. A wireless communication encryption key distribution processing program for causing a computer to execute the steps for realizing the wireless communication encryption key distribution method according to claim 4.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002132483A JP4227358B2 (en) | 2002-05-08 | 2002-05-08 | Encryption key distribution system for wireless communication, encryption key distribution method for wireless communication, and user terminal program for encryption key distribution system for wireless communication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002132483A JP4227358B2 (en) | 2002-05-08 | 2002-05-08 | Encryption key distribution system for wireless communication, encryption key distribution method for wireless communication, and user terminal program for encryption key distribution system for wireless communication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003324417A true JP2003324417A (en) | 2003-11-14 |
| JP4227358B2 JP4227358B2 (en) | 2009-02-18 |
Family
ID=29544521
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002132483A Expired - Fee Related JP4227358B2 (en) | 2002-05-08 | 2002-05-08 | Encryption key distribution system for wireless communication, encryption key distribution method for wireless communication, and user terminal program for encryption key distribution system for wireless communication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4227358B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100372431C (en) * | 2004-07-20 | 2008-02-27 | 华为技术有限公司 | End-to-end encipher communication method of CDMA system |
| JP2009213064A (en) * | 2008-03-06 | 2009-09-17 | E-Trial Co Ltd | Individual information management apparatus, personal information management program and individual information management system |
| JPWO2019087315A1 (en) * | 2017-10-31 | 2020-11-12 | 三菱重工機械システム株式会社 | Information relay device, information relay method, and program |
-
2002
- 2002-05-08 JP JP2002132483A patent/JP4227358B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100372431C (en) * | 2004-07-20 | 2008-02-27 | 华为技术有限公司 | End-to-end encipher communication method of CDMA system |
| JP2009213064A (en) * | 2008-03-06 | 2009-09-17 | E-Trial Co Ltd | Individual information management apparatus, personal information management program and individual information management system |
| JPWO2019087315A1 (en) * | 2017-10-31 | 2020-11-12 | 三菱重工機械システム株式会社 | Information relay device, information relay method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4227358B2 (en) | 2009-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9548859B2 (en) | Ticket-based implementation of content leasing | |
| US6732277B1 (en) | Method and apparatus for dynamically accessing security credentials and related information | |
| KR101985179B1 (en) | Blockchain based id as a service | |
| EP2107491A1 (en) | Authority management method, system therefor, and server and information equipment terminal used in the system | |
| US6990582B2 (en) | Authentication method in an agent system | |
| WO2003098409A1 (en) | Secure content sharing in digital rights management | |
| US20090180617A1 (en) | Method and Apparatus for Digital Rights Management for Removable Media | |
| CN101605137A (en) | Safe distribution file system | |
| JP4467923B2 (en) | VPN communication system | |
| JP2004295846A (en) | System, server, and method for managing license, program, and recording medium | |
| US7849305B2 (en) | Method and apparatus for sharing data between a server and a plurality of clients | |
| US8752191B2 (en) | Generic digital rights management framework, and applications thereof | |
| JP2009515393A (en) | Method for securely depositing digital data, method for restoring related digital data, related apparatus for implementing these methods, and system comprising said apparatus | |
| WO2019163040A1 (en) | Access management system and program thereof | |
| KR20040097016A (en) | Method and System of Web Storage Service with Cipher | |
| JP3770173B2 (en) | Common key management system and common key management method | |
| WO2005091552A1 (en) | Digital rights management | |
| JP3431745B2 (en) | Gateway system | |
| JP5586397B2 (en) | Secure network storage system, method, client device, server device, and program | |
| KR20070062632A (en) | Mobile message and file security implementation by cryptography | |
| JP4227358B2 (en) | Encryption key distribution system for wireless communication, encryption key distribution method for wireless communication, and user terminal program for encryption key distribution system for wireless communication | |
| JP2008217300A (en) | System and method for encrypting and decrypting file with biological information | |
| JPH11331145A (en) | Information sharing system, information preserving device, information processing method and recording medium therefor | |
| JP6293617B2 (en) | Authentication control system, control server, authentication control method, program | |
| JP4047318B2 (en) | Content distribution usage control method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050506 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080527 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080722 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20080722 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080722 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080902 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081029 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081125 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081128 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111205 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4227358 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111205 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121205 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121205 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131205 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |