JP2004254027A - サーバ装置、鍵管理装置、暗号通信方法及びプログラム - Google Patents

サーバ装置、鍵管理装置、暗号通信方法及びプログラム Download PDF

Info

Publication number
JP2004254027A
JP2004254027A JP2003041485A JP2003041485A JP2004254027A JP 2004254027 A JP2004254027 A JP 2004254027A JP 2003041485 A JP2003041485 A JP 2003041485A JP 2003041485 A JP2003041485 A JP 2003041485A JP 2004254027 A JP2004254027 A JP 2004254027A
Authority
JP
Japan
Prior art keywords
key
data
server
encrypted
server device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003041485A
Other languages
English (en)
Inventor
Tatsunori Kanai
達徳 金井
Toshibumi Seki
俊文 關
Hideki Yoshida
英樹 吉田
Nobuo Sakiyama
伸夫 崎山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003041485A priority Critical patent/JP2004254027A/ja
Priority to US10/779,659 priority patent/US20040161110A1/en
Publication of JP2004254027A publication Critical patent/JP2004254027A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Abstract

【課題】秘密鍵に関する安全性をより高めたサーバ装置を提供すること。
【解決手段】サーバ計算機1とクライアント計算機5との間で共通鍵を共有するための手続きを行う。その際、クライアント計算機5からサーバ計算機1へ、公開鍵で暗号化した共通鍵のもととなるデータを送信する。サーバ計算機1は、キーサーバ3へ、公開鍵で暗号化した共通鍵のもととなるデータを渡して、復号を依頼する。キーサーバ3は、公開鍵で暗号化した共通鍵のもととなるデータを該公開鍵に対応する秘密鍵で復号して共通鍵のもととなるデータを求め、これをサーバ計算機1へ返す。サーバ計算機1は、返された共通鍵のもととなるデータをもとにして共通鍵を生成する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、暗号通信を行うサーバ装置、暗号通信に用いる共通鍵を得るための秘密の鍵を管理する鍵管理装置、暗号通信方法及びプログラムに関する。
【0002】
【従来の技術】
インターネットやLANなどのネットワークで接続された計算機間で通信を行う場合、その通信内容の盗聴や改竄等を防止するために、SSL(Secure Sockets Layer)と呼ぶ技術が広く用いられている(例えば、非特許文献1参照)。
【0003】
2つの計算機上のアプリケーションが通信する場合、各アプリケーションは、ソケットなどのインターフェースを使って、TCP/IPなどの通信機能を呼び出す。ネットワークを流れるパケットが暗号化されていないと、盗聴や改竄等の危険性が伴う。これに対して、SSLを使って通信する場合は、アプリケーションプログラムとTCP/IP処理部との間にSSL処理部が入る。SSL処理部では、アプリケーションプログラムが送信するデータを暗号化してネットワークに送り出し、また、ネットワークから受信したデータを復号してアプリケーションプログラムに渡す。
【0004】
SSL処理部は、OSの機能としてTCP/IP処理部の上層に実装される場合もあるし、プログラムライブラリの形態でアプリケーションプログラムにリンクするように実装される場合もある。
【0005】
また、SSL処理部を別の計算機上に実装する場合もある。例えば、計算機#1と計算機#3の間の通信は暗号化されるが、計算機#3と計算機#2との間の通信は暗号化しないような使い方においては、計算機#2がSSLに対応していない場合でも、計算機#2と計算機#3との間のネットワークを隔離して保護することで、計算機#1との間の通信を暗号化することができる。ここでは、計算機#3にSSLの機能を持たせたが、計算機#3の機能をハードウェア化する実装も可能である。
【0006】
SSLを使った典型的な通信は、WEBブラウザとWEBサーバのようなクライアント計算機とサーバ計算機との間の通信である。
【0007】
【非特許文献1】
「インターネット暗号化技術 〜PKI, RSA, SSL, S/MIME, etc〜」、 岩田彰 監修、 鈴木春洋 他 著、株式会社ソフト・リサーチ・センター発行、ISBN:4−88373−166−9
【0008】
【発明が解決しようとする課題】
大規模なWEBサイトに代表されるように、インターネット上で同時に多数のユーザに対してサービスを提供する場合、複数台のサーバ計算機を用いて負荷を分散させたり、耐障害性を向上させることが多い。このとき、クライアント計算機とサーバ計算機との間の通信にSSLを用いようとすると、すべてのサーバ計算機のSSL処理部が秘密鍵と証明書を持つ必要がある。
【0009】
しかし、秘密鍵を複数のサーバ計算機上に持つことは、安全性の観点から望ましくない。すなわち、秘密鍵を複数の計算機に配布すると、その配布経路で秘密鍵が漏洩する危険性を伴う。また、遠隔地にある計算機はそれぞれ別の人が管理していることが多く、それだけ秘密鍵にアクセス可能な人が多くなるので、秘密鍵が漏洩する危険性は増大する。さらに、一時的な負荷の増大に対処するためにサーバを借りるような利用法では、そのサーバの使用中に秘密鍵を盗み見られたり、あるいは使用後のメモリの状態等から秘密鍵が漏洩する危険性がある。
【0010】
本発明は、上記事情を考慮してなされたもので、秘密鍵に関する安全性をより高めたサーバ装置、鍵管理装置、暗号通信方法及びプログラムを提供することを目的とする。
【0011】
【課題を解決するための手段】
本発明に係るサーバ装置は、クライアント装置との間で、第1の鍵を共有するための手続きを行う鍵共有処理手段と、前記鍵共有処理手段により前記クライアント装置との間で共有された第1の鍵を用いて、送信すべきデータの暗号化又は受信した暗号化データの復号を行う暗号処理手段と、前記クライアント装置との間で、前記暗号処理手段により暗号化されたデータ又は前記クライアント装置により暗号化されたデータの通信を行う通信手段とを備え、前記鍵共有処理手段は、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を、前記クライアント装置から受信する第1の受信手段と、前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する鍵管理装置へ、前記鍵情報を復号すべき要求を送信する送信手段と、前記鍵管理装置から、前記鍵情報を復号して得られた、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを受信する第2の受信手段とを備えることを特徴とする。
【0012】
本発明に係る鍵管理装置は、クライアント装置との間で共有された第1の鍵を用いてデータを暗号化して送受信するサーバ装置から、該第1の鍵を示すデータ又は該第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を復号すべき要求を受信する受信手段と、前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する保持手段と、前記要求を受信した場合に、前記第3の鍵で前記鍵情報を復号して、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを求める復号手段と、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを、前記サーバ装置へ送信する送信手段とを備えたことを特徴とする。
【0013】
本発明に係る暗号通信方法は、クライアント装置との間で、第1の鍵を共有するための手続きを行う鍵共有処理ステップと、前記鍵共有処理ステップにより前記クライアント装置との間で共有された第1の鍵を用いて、送信すべきデータの暗号化又は受信した暗号化データの復号を行う暗号処理ステップと、前記クライアント装置との間で、前記暗号処理ステップにより暗号化されたデータ又は前記クライアント装置により暗号化されたデータの通信を行う通信ステップとを有し、前記鍵共有処理ステップは、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を、前記クライアント装置から受信する第1の受信ステップと、前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する鍵管理装置へ、前記鍵情報を復号すべき要求を送信する送信ステップと、前記鍵管理装置から、前記鍵情報を復号して得られた、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを受信する第2の受信ステップとを含むことを特徴とする。
【0014】
また、本発明に係る暗号通信方法は、クライアント装置との間で共有された第1の鍵を用いてデータを暗号化して送受信するサーバ装置から、該第1の鍵を示すデータ又は該第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を復号すべき要求を受信する受信ステップと、前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する保持ステップと、前記要求を受信した場合に、前記第3の鍵で前記鍵情報を復号して、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを求める復号ステップと、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを、前記サーバ装置へ送信する送信ステップとを有することを特徴とする。
【0015】
また、本発明は、コンピュータをサーバ装置として機能させるためのプログラムであって、クライアント装置との間で共有された第1の鍵を用いてデータを暗号化して送受信するサーバ装置から、該第1の鍵を示すデータ又は該第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を復号すべき要求を受信する受信機能と、前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する保持機能と、前記要求を受信した場合に、前記第3の鍵で前記鍵情報を復号して、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを求める復号機能と、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを、前記サーバ装置へ送信する送信機能とを実現させるためのプログラムである。
【0016】
なお、装置に係る本発明は方法に係る発明としても成立し、方法に係る本発明は装置に係る発明としても成立する。
【0017】
また、装置または方法に係る本発明は、コンピュータに当該発明に相当する手順を実行させるための(あるいはコンピュータを当該発明に相当する手段として機能させるための、あるいはコンピュータに当該発明に相当する機能を実現させるための)プログラムとしても成立し、該プログラムを記録したコンピュータ読取り可能な記録媒体としても成立する。
【0018】
本発明によれば、秘密鍵を限定された箇所で管理できるので、秘密鍵に関する安全性をより高めることができる。この結果、例えば、SSLで通信するサーバ計算機を分散・並列化する際の安全性がより高まる。
【0019】
【発明の実施の形態】
以下、図面を参照しながら発明の実施の形態を説明する。
【0020】
図1に、本発明の一実施形態に係る通信システムの構成例を示す。
【0021】
図1に示されるように、複数のサーバ計算機1と、キーサーバ3と、クライアント計算機5が、ネットワーク7に接続可能になっている。
【0022】
サーバ計算機1は、アプリケーションプログラムを実行するためのアプリケーションプログラム実行部11、SSL処理(鍵を共有するための手続き並びに送信すべきデータの暗号化及び受信した暗号化データの復号など)を行うSSL処理部12、TCP/IP処理を行うTCP/IP処理部13、証明書(含む公開鍵)を格納するための証明書格納部14を備えている(証明書格納部14は、SSL処理部12内に存在してもよい)。
【0023】
キーサーバ3は、秘密鍵の管理を行う秘密鍵管理部31、TCP/IP処理を行うTCP/IP処理部32、秘密鍵を格納するための秘密鍵格納部33を備えている(秘密鍵格納部33は、秘密鍵管理部31内に存在してもよい)。
【0024】
クライアント計算機5は、アプリケーションプログラムを実行するためのアプリケーションプログラム実行部51、SSL処理を行うSSL処理部52、TCP/IP処理を行うTCP/IP処理部53を備えている。
【0025】
本実施形態では、図1に示すように、「秘密鍵」は、キーサーバ3のみが管理するようにしており、SSLを使って通信する各サーバ計算機1は秘密鍵を持たないようにしている。
【0026】
本実施形態のサーバ計算機1は、基本的には、従来のものと同様の機能を有するものであるが、従来と異なり自身では秘密鍵を保持・管理しないので、秘密鍵を持つキーサーバ3に対して、秘密鍵に基づく処理を要求し、その結果を取得するための機能を有している。
【0027】
本実施形態のキーサーバ3は、従来、存在しないもので、サーバ計算機1からの要求に応答して、秘密鍵に基づく処理を行い、その結果を返すための機能を有している。
【0028】
本実施形態のクライアント計算機5は、従来と同様のもので構わない。
【0029】
なお、図1の例では、3台のサーバ計算機1が接続されているが、もちろん、これは一例であり、サーバ計算機1の台数は任意である。また、図1の例では、1台のクライアント計算機5のみが示されているが、もちろん、クライアント計算機5は複数台存在し得る。
【0030】
以下では、キーサーバ3は1台のみ存在し、すべてのサーバ計算機1はそのキーサーバ3に対して秘密鍵に基づく処理を要求し、そのキーサーバ3は複数のサーバ計算機1のすべてに共通に唯一の秘密鍵を用いる場合を例にとって説明する。
【0031】
図2に、本実施形態においてクライアント計算機5とサーバ計算機1とがSSLを用いた通信を開始するにあたって行われる手順の一例を示す。図2では、クライアント計算機5とサーバ計算機1との間(SSL処理部12,52間)及びサーバ計算機1・キーサーバ3間(SSL処理部12・秘密鍵管理部31間)のプロトコルを示している。
【0032】
クライアント計算機5が複数のサーバ計算機1のうちのあるサーバ計算機(例えば、図1の#1のサーバ計算機とする(以下の処理は他のサーバ計算機でも同様である))との間でSSLを用いた通信を始める際は、まず、以降の通信に使うキーの種の一部になるクライアント乱数(CR)を生成する(ステップS51)。
【0033】
そして、クライアント計算機5は、ClientHelloメッセージに、生成したCRと、受け入れ可能な暗号化方式のペアリスト(キーの交換に使う暗号化方式と、通信データの転送に使う暗号化方式とのペアを1又は複数ペア記述したリスト)とを付けて、サーバ計算機(#1)送る(ステップS1)。
【0034】
このClientHelloメッセージを受け取った(ステップS1)サーバ計算機(#1)は、CRと同様に以降の通信に使うキーの種の一部になるサーバ乱数(SR)を生成するとともに(ステップS11)、送られてきた暗号化方式のペアリストの中から以降の通信に用いる暗号化方式を選択し、ServerHelloメッセージに、生成したSRと、選択した暗号化方式とを付けて、クライアント計算機5へ送る(ステップS2)。次いで、サーバ計算機(#1)は、ServerCertificateメッセージに、自身の持っている証明書(図1の14参照)を付けて、クライアント計算機5へ送り(ステップS3)、さらに、ServerHelloDoneメッセージをクライアント計算機5へ送る(ステップS4)。
【0035】
クライアント計算機1は、サーバ計算機(#1)から、ServerHelloメッセージ(ステップS2)、ServerCertificateメッセージ(ステップS3)、ServerHelloDoneメッセージ(ステップS4)を順次受けると、以降の通信に使うキーの種の一部になるプレマスタシークレット(PS)と呼ぶ乱数を生成し(ステップS52)、それを、サーバ計算機(#1)から送られてきたServerCertificateメッセージ(ステップS3)に付加されている証明書の中にある公開鍵で暗号化し、これを、ClientKeyExchangeメッセージに付けて、サーバ計算機(#1)に送る(ステップS5)。
【0036】
ここで、PSを復号するためには秘密鍵が必要であるが、本実施形態では、サーバ計算機1には秘密鍵を持たせないようにしているので、サーバ計算機1が自身ではPSを復号することができない。そして、本実施形態では、サーバ計算機1は、秘密鍵によるPSの復号について、キーサーバ3によるサポートを受けるようにしている。すなわち、サーバ計算機1のSSL処理部12は、復号するためには秘密鍵を必要とするようなデータを受け取ると、そのデータをキーサーバ3に渡して復号してもらうように動作し、キーサーバ3の秘密鍵管理部31は、サーバ計算機1のSSL処理部12から受け取ったデータを、自身の管理している秘密鍵(図1の33参照)で復号して送り返すように動作する。
【0037】
さて、図2の例においては、サーバ計算機(#1)は、クライアント計算機5からClientKeyExchangeメッセージを受けると(ステップS6)、このClientKeyExchangeメッセージに付加されている公開鍵で暗号化されたPSを、復号を要求する復号要求メッセージに付加して、キーサーバ3へ送る(ステップS6)。
【0038】
復号要求メッセージを受信した(ステップS6)キーサーバ3は、該復号要求メッセージに付加されている公開鍵で暗号化されたPSを、自身の管理している秘密鍵(図1の33参照)で復号し(ステップS31)、これによって得られたPSを、復号要求メッセージに対する応答メッセージに付加して、要求元のサーバ計算機(#1)へ返す(ステップS7)。
【0039】
復号要求メッセージに対する応答メッセージを受信した(ステップS7)サーバ計算機(#1)は、既に取得しているCRと(ステップS1)、既に生成しているSRと(ステップS11)と、該応答メッセージに付加されているPSとの3つの乱数を種として、マスターシークレット(MS)と呼ばれる数を計算する(ステップS12)。その後、MSを種として所定の手順で、キーブロックと呼ばれる数の列を作る(ステップS13)。そして、これを基にして、データの通信に必要な共通鍵などを作り出す。
【0040】
他方、クライアント計算機5は、ステップS52でPSを生成した時点で、3つの乱数が揃うので、それ以降の適当なタイミングで、同様に、CRとSRとPSとの3つの乱数を種として、MSを計算する(ステップS53)。また、その後、同様に、MSを種として所定の手順で、キーブロックと呼ばれる数の列を作る(ステップS54)。そして、これを基にして、データの通信に必要な共通鍵などを作り出す。
【0041】
しかして、クライアント計算機5からはChangeCipherSpecメッセージとFinishedメッセージが順次サーバ計算機(#1)へ送られ(ステップS8,S9)、他方、サーバ計算機(#1)からもChangeCipherSpecメッセージとFinishedメッセージが順次クライアント計算機5へ送られ(ステップS10,S11)、SSLを使った通信の確立フェーズが完了する。
【0042】
以降は、それまでに決定した暗号化方式と共通鍵を使って、クライアント計算機とサーバ計算機の間でデータの通信を行う(ステップS12)。
【0043】
なお、以上に示した手順例は、サーバ認証のみを行う場合のSSLを使った通信の例であるが、クライアント計算機1にも秘密鍵と証明書を持たせてクライアント認証をも行うような場合にもサーバ認証について同様の手順を用いることができる(クライアント認証の部分は、従来通りでもよいし、サーバ認証と同様にクライアント計算機をサポートするキーサーバを設けてもよい)。
【0044】
また、図1に示すようにサーバの証明書を全サーバ計算機1が持つように実施してもよいし、全サーバ計算機1とキーサーバ3のそれぞれが持つように実施してもよいし、あるいは、図3のようにキーサーバ3のみが証明書(図3の34参照)を持っていて(あるいは、キーサーバ3と一部のサーバ計算機1のみが証明書を持っていて)、(証明書を持たない)サーバ計算機1は、例えば、証明書が必要になるごと、毎回、キーサーバからもらうようにしてもよいし、毎回、キーサーバからもらうのではなく、所定のタイミングで(例えば、有効な証明書を保持しない状態で最初に証明書が必要になったとき、あるいは、起動してから所定時間経過したとき、など)、一度、キーサーバからもらった証明書を、サーバ計算機1がキャッシュして使うようにしてもよい。
【0045】
また、上記では、(1)キーサーバ3は1台のみ存在し、すべてのサーバ計算機1はそのキーサーバ3に対して秘密鍵に基づく処理を要求し、そのキーサーバ3は複数のサーバ計算機1のすべてに共通に唯一の秘密鍵を用いる場合を例にとって説明したが、(2)キーサーバ3は複数台存在し、各サーバ計算機1はいずれか1台のキーサーバ3に対して秘密鍵に基づく処理を要求し、そのキーサーバ3は自身がサポートしているサーバ計算機1のすべてに共通に唯一の秘密鍵を用いる構成や、(3)キーサーバ3は複数台存在し、各サーバ計算機1は予め定められた(全部又は一部の)キーサーバ3のうちのいずれかに対して秘密鍵に基づく処理を要求することができ(複数台のキーサーバからサポートを受けるサーバ計算機1は、例えば、要求時に、いずれか1台のキーサーバ3を選択して、要求を行えばよい)、そのキーサーバ3は自身がサポートしているサーバ計算機1のすべてに共通に唯一の秘密鍵を用いる構成や、そららの他の構成も可能である。また、上記の(1)、(2)、(3)や、それら他の構成において、キーサーバ3は、要求元のサーバ計算機1ごとに固有の秘密鍵を持ち、サーバ計算機1から要求を受けたときは、当該要求元のサーバ計算機1に対応する秘密鍵を用いるようにしてもよい。
【0046】
(2)のように複数のキーサーバを設置することで、キーサーバの負荷を軽減したり、故障の影響を一部の範囲にとどめたりすることができる。
【0047】
(3)のように複数のキーサーバを設置して多重化することで、耐障害性を高めることができる。
【0048】
また、通信システム中に、本実施形態のサーバ計算機1とともに、従来のように自身で秘密鍵(例えばキーサーバ3が管理する秘密鍵とは異なる独自の秘密鍵)を持ってキーサーバ3のサポートは受けないでSSLを行うサーバ計算機や、本実施形態のサーバ計算機1のようにキーサーバ3のサポートを受けてSSLを行う機能と従来のように自身で秘密鍵(例えばキーサーバ3が管理する秘密鍵とは異なる独自の秘密鍵)を持ってキーサーバ3のサポートは受けないでSSLを行う機能とを使い分けることのできるサーバ計算機などが、混在していても構わない。
【0049】
ところで、本実施形態において、サーバ計算機1とキーサーバ3との間の通信が傍受されてPSが盗まれないようにするのは望ましい。
【0050】
これを防ぐためには、種々の方法が考えられるが、例えば、サーバ計算機1とキーサーバ3との間のネットワークを、少なくともクライアント計算機5からは隔離された専用ネットワークにする方法がある。
【0051】
また、他の方法としては、例えば、サーバ計算機1とキーサーバ3との間のネットワークを、クライアント計算機5から接続可能なネットワーク(例えば、図1のネットワーク7)とする場合であっても、図4に示すように、キーサーバ3もSSL処理部35を備え、サーバ計算機1とキーサーバ3との間の通信にもSSLを使うことによって、暗号化されたPS(を含む復号要求メッセージ)の通信や、復号したPS(を含む応答メッセージの通信)を保護することもできる。この場合、サーバ計算機1とキーサーバ3との間の通信は、従来のクライアント計算機とサーバ計算機との間のSSLを使った通信と同様に実現することができる。もちろん、サーバ計算機1とキーサーバ3との間のネットワークを、少なくともクライアント計算機5からは隔離された専用ネットワークにする場合においても、サーバ計算機1とキーサーバ3との間の通信を、従来のクライアント計算機とサーバ計算機との間のSSLを使った通信と同様に実現するようにしてもよい。
【0052】
なお、図4は、(1)クライアント計算機5とサーバ計算機1との間のデータ通信のためのSSLで使用する秘密鍵A(すなわち、クライアント計算機5が暗号化したPSの復号化に用いる鍵)と、サーバ計算機1とキーサーバ3との間のSSLで使用する秘密鍵B(すなわち、サーバ計算機1が暗号化したPSの復号化に用いる鍵)とのすべてに、同一の秘密鍵(図4の33参照)を使用する場合を例示しているが、(2)秘密鍵Aはサーバ計算機にかかわらずにすべて同一であるが、秘密鍵Aと秘密鍵Bとは異なるものにする方法もある。また、(3)秘密鍵Aをサーバ計算機ごとに設ける場合には、秘密鍵Bは、秘密鍵Aのいずれとも異なるものにする方法と、秘密鍵Aのいずれかと一致しても構わないものとする方法などがある。
【0053】
また、キーサーバ3が複数存在する構成を採用する場合において、これまでの考え方をキーサーバ3にも適用し、キーサーバ3には、秘密鍵Bを持たせず、秘密鍵Bを管理する(キーサーバ3に対する)キーサーバを設けるようにすることも可能である。
【0054】
また、この場合において、キーサーバ3には、秘密鍵Aをも持たせず、(キーサーバ3に対する)キーサーバに、秘密鍵Aをも管理させるようにすることも可能である。この構成においては、キーサーバ3は、サーバ計算機1から復号要求メッセージを受信すると、さらに、(キーサーバ3に対する)キーサーバへ、復号要求メッセージを送信し、復号要求メッセージを受信した(キーサーバ3に対する)キーサーバは、PSを復号して、これを含む応答メッセージを、要求元のキーサーバへ返送し、これを受信したキーサーバ3は、さらに、要求元のサーバ装置1へ、PSを含む応答メッセージを返送するようにしてもよい。
【0055】
また、本実施形態では、SSLを使った通信として、WEBブラウザとWEBサーバのようなクライアント計算機とサーバ計算機との間の通信を例にとって説明してが、もちろん、計算機が、クライアント計算機やサーバ計算機以外の計算機であっても構わない。また、計算機が、例えば携帯電話等の端末装置であっても構わない。
【0056】
また、本実施形態は、図1のような分散したサーバ計算機をターゲットにしたときだけでなく、SSLの処理を行う計算機あるいはSSLアクセラレータとよばれる専用ハードウェアを複数台束ねて性能を高める際にも、それぞれの計算機あるいは専用ハードウェアに秘密鍵を配るのではなく、キーサーバで秘密鍵を一元的に管理するために用いることができる。
【0057】
また、本実施形態は、サーバ計算機の側のみに証明書と秘密鍵を持たせるSSLの使い方を中心に説明しているが、クライアントにも証明書を持たせてクライアント認証もするようなSSLの使い方においても同様に実施することができる。
【0058】
また、本実施形態は、SSLを対象にして記述しているが、SSLと類似の技術であるTLS(Transport Layer Security)など、他のプロトコルに対しても同様に実施することができる。
【0059】
また、例えば、クライアント側で共通鍵を生成し、クライアントからサーバへ、公開鍵で暗号化した共通鍵を転送するようなプロトコルに対しても本実施形態は適用可能である。
【0060】
本実施形態によれば、秘密鍵をサーバ計算機に持たせないので、サーバ計算機自体から秘密鍵が漏洩する危険性がない。また、サーバ計算機への秘密鍵の配布経路がないので、配布経路で秘密鍵が漏洩する危険を回避できる。また、秘密鍵にアクセス可能な人が限定されるので、秘密鍵が漏洩する危険性を極めて低減させることができる。
【0061】
なお、以上の各機能は、ソフトウェアとして実現可能である。
【0062】
また、本実施形態は、コンピュータに所定の手段を実行させるための(あるいはコンピュータを所定の手段として機能させるための、あるいはコンピュータに所定の機能を実現させるための)プログラムとして実施することもでき、該プログラムを記録したコンピュータ読取り可能な記録媒体として実施することもできる。
【0063】
なお、この発明の実施の形態で例示した構成は一例であって、それ以外の構成を排除する趣旨のものではなく、例示した構成の一部を他のもので置き換えたり、例示した構成の一部を省いたり、例示した構成に別の機能あるいは要素を付加したり、それらを組み合わせたりすることなどによって得られる別の構成も可能である。また、例示した構成と論理的に等価な別の構成、例示した構成と論理的に等価な部分を含む別の構成、例示した構成の要部と論理的に等価な別の構成なども可能である。また、例示した構成と同一もしくは類似の目的を達成する別の構成、例示した構成と同一もしくは類似の効果を奏する別の構成なども可能である。
【0064】
また、この発明の実施の形態で例示した各種構成部分についての各種バリエーションは、適宜組み合わせて実施することが可能である。
また、この発明の実施の形態は、個別装置としての発明、関連を持つ2以上の装置についての発明、システム全体としての発明、個別装置内部の構成部分についての発明、またはそれらに対応する方法の発明等、種々の観点、段階、概念またはカテゴリに係る発明を包含・内在するものである。
従って、この発明の実施の形態に開示した内容からは、例示した構成に限定されることなく発明を抽出することができるものである。
【0065】
本発明は、上述した実施の形態に限定されるものではなく、その技術的範囲において種々変形して実施することができる。
【0066】
【発明の効果】
本発明は、秘密鍵に関する安全性をより高めることができる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係る通信システムの構成例を示す図
【図2】同実施形態に係る通信システムの処理手順の一例を示す図
【図3】実施形態に係る通信システムの他の構成例を示す図
【図4】実施形態に係る通信システムのさらに他の構成例を示す図
【符号の説明】
1…サーバ計算機、3…キーサーバ、5…クライアント計算機、7…ネットワーク、11,51…アプリケーションプログラム実行部、12,35,52…SSL処理部、13,32,53…TCP/IP処理部、14,34…証明書格納部、31,33…秘密鍵管理部

Claims (23)

  1. クライアント装置との間で、第1の鍵を共有するための手続きを行う鍵共有処理手段と、
    前記鍵共有処理手段により前記クライアント装置との間で共有された第1の鍵を用いて、送信すべきデータの暗号化又は受信した暗号化データの復号を行う暗号処理手段と、
    前記クライアント装置との間で、前記暗号処理手段により暗号化されたデータ又は前記クライアント装置により暗号化されたデータの通信を行う通信手段とを備え、
    前記鍵共有処理手段は、
    前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を、前記クライアント装置から受信する第1の受信手段と、
    前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する鍵管理装置へ、前記鍵情報を復号すべき要求を送信する送信手段と、
    前記鍵管理装置から、前記鍵情報を復号して得られた、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを受信する第2の受信手段とを備えることを特徴とするサーバ装置。
  2. 前記第1の鍵を生成するもととなるデータをもとにして、前記第1の鍵を生成する鍵生成手段を更に備えたことを特徴とする請求項1に記載のサーバ装置。
  3. 前記鍵管理装置との間を、前記クライアント装置からは隔離された専用ネットワークを介して接続することを特徴とする請求項1に記載のサーバ装置。
  4. 前記鍵管理装置との間で受け渡しすべきデータを、暗号化して転送することを特徴とする請求項1に記載のサーバ装置。
  5. 前記鍵管理装置との間で受け渡しすべきデータを暗号化するのに用いる第4の鍵を共有するための手続きとして、前記クライアント装置との間で前記第1の鍵を共有するための手続きと同一のプロトコルに基づく手続きを用いることを特徴とする請求項4に記載のサーバ装置。
  6. 前記送信手段は、予め定められた唯一の鍵管理装置に、前記要求を送信することを特徴とする請求項1に記載のサーバ装置。
  7. 前記送信手段は、予め定められた複数の鍵管理装置のうちから選択した1つの鍵管理装置に、前記要求を送信することを特徴とする請求項1に記載のサーバ装置。
  8. 前記クライアント装置との間でのサーバ認証に用いる情報を保持する手段を更に備えたことを特徴とする請求項1に記載のサーバ装置。
  9. 前記クライアント装置との間でのサーバ認証に用いる情報を、前記鍵管理装置から取得する手段を更に備えたことを特徴とする請求項1に記載のサーバ装置。
  10. 予め前記第2の鍵を保持し、かつ、いかなる時点においても前記第3の鍵を保持しないことを特徴とする請求項1に記載のサーバ装置。
  11. 予め前記第2の鍵を保持することなく、かつ、いかなる時点においても前記第3の鍵を保持しないことを特徴とする請求項1に記載のサーバ装置。
  12. クライアント装置との間で共有された第1の鍵を用いてデータを暗号化して送受信するサーバ装置から、該第1の鍵を示すデータ又は該第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を復号すべき要求を受信する受信手段と、
    前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する保持手段と、
    前記要求を受信した場合に、前記第3の鍵で前記鍵情報を復号して、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを求める復号手段と、
    前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを、前記サーバ装置へ送信する送信手段とを備えたことを特徴とする鍵管理装置。
  13. 前記鍵情報は、前記クライアント装置により暗号化されたものであることを特徴とする請求項12に記載の鍵管理装置。
  14. 前記サーバ装置との間を、前記クライアント装置からは隔離された専用ネットワークを介して接続することを特徴とする請求項12に記載の鍵管理装置。
  15. 前記サーバ装置との間で受け渡しすべきデータを、暗号化して転送することを特徴とする請求項12に記載の鍵管理装置。
  16. 前記サーバ装置との間で受け渡しすべきデータを暗号化するのに用いる第4の鍵を共有するための手続きとして、前記サーバ装置と前記クライアント装置との間で前記第1の鍵を共有するための手続きと同一のプロトコルに基づく手続きを用いることを特徴とする請求項12に記載の鍵管理装置。
  17. 複数のサーバ装置をサービス対象とし、前記第2の鍵及び第3の鍵を、該サービス対象とする複数のサーバ装置に共通とすることを特徴とする請求項12に記載の鍵管理装置。
  18. 複数のサーバ装置をサービス対象とし、前記第2の鍵及び第3の鍵を、該サービス対象とする各サーバ装置ごとに固有に設けることを特徴とする請求項12に記載の鍵管理装置。
  19. 前記サーバ装置が前記クライアント装置との間でのサーバ認証に用いる情報を保持する手段と、
    前記サーバ装置から前記サーバ認証に用いる情報の要求を受信する手段と、
    前記要求を受信した場合に、前記サーバ認証に用いる情報を、前記サーバ装置に送信する手段とを更に備えたことを特徴とする請求項12に記載の鍵管理装置。
  20. クライアント装置との間で、第1の鍵を共有するための手続きを行う鍵共有処理ステップと、
    前記鍵共有処理ステップにより前記クライアント装置との間で共有された第1の鍵を用いて、送信すべきデータの暗号化又は受信した暗号化データの復号を行う暗号処理ステップと、
    前記クライアント装置との間で、前記暗号処理ステップにより暗号化されたデータ又は前記クライアント装置により暗号化されたデータの通信を行う通信ステップとを有し、
    前記鍵共有処理ステップは、
    前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を、前記クライアント装置から受信する第1の受信ステップと、
    前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する鍵管理装置へ、前記鍵情報を復号すべき要求を送信する送信ステップと、
    前記鍵管理装置から、前記鍵情報を復号して得られた、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを受信する第2の受信ステップとを含むことを特徴とする暗号通信方法。
  21. クライアント装置との間で共有された第1の鍵を用いてデータを暗号化して送受信するサーバ装置から、該第1の鍵を示すデータ又は該第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を復号すべき要求を受信する受信ステップと、
    前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する保持ステップと、
    前記要求を受信した場合に、前記第3の鍵で前記鍵情報を復号して、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを求める復号ステップと、
    前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを、前記サーバ装置へ送信する送信ステップとを有することを特徴とする暗号通信方法。
  22. コンピュータをサーバ装置として機能させるためのプログラムであって、
    クライアント装置との間で、第1の鍵を共有するための手続きを行う鍵共有処理機能と、
    前記鍵共有処理機能により前記クライアント装置との間で共有された第1の鍵を用いて、送信すべきデータの暗号化又は受信した暗号化データの復号を行う暗号処理機能と、
    前記クライアント装置との間で、前記暗号処理機能により暗号化されたデータ又は前記クライアント装置により暗号化されたデータの通信を行う通信機能とを実現させ、
    前記鍵共有処理機能は、
    前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を、前記クライアント装置から受信する第1の受信機能と、
    前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する鍵管理装置へ、前記鍵情報を復号すべき要求を送信する送信機能と、
    前記鍵管理装置から、前記鍵情報を復号して得られた、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを受信する第2の受信機能とを含むことを特徴とするプログラム。
  23. コンピュータを鍵管理装置として機能させるためのプログラムであって、
    クライアント装置との間で共有された第1の鍵を用いてデータを暗号化して送受信するサーバ装置から、該第1の鍵を示すデータ又は該第1の鍵を生成するもととなるデータを第2の鍵で暗号化した鍵情報を復号すべき要求を受信する受信機能と、
    前記第2の鍵で暗号化されたデータを復号するのに必要な第3の鍵を保持する保持機能と、
    前記要求を受信した場合に、前記第3の鍵で前記鍵情報を復号して、前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを求める復号機能と、
    前記第1の鍵を示すデータ又は前記第1の鍵を生成するもととなるデータを、前記サーバ装置へ送信する送信機能とを実現させるためのプログラム。
JP2003041485A 2003-02-19 2003-02-19 サーバ装置、鍵管理装置、暗号通信方法及びプログラム Pending JP2004254027A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003041485A JP2004254027A (ja) 2003-02-19 2003-02-19 サーバ装置、鍵管理装置、暗号通信方法及びプログラム
US10/779,659 US20040161110A1 (en) 2003-02-19 2004-02-18 Server apparatus, key management apparatus, and encrypted communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003041485A JP2004254027A (ja) 2003-02-19 2003-02-19 サーバ装置、鍵管理装置、暗号通信方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2004254027A true JP2004254027A (ja) 2004-09-09

Family

ID=32844525

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003041485A Pending JP2004254027A (ja) 2003-02-19 2003-02-19 サーバ装置、鍵管理装置、暗号通信方法及びプログラム

Country Status (2)

Country Link
US (1) US20040161110A1 (ja)
JP (1) JP2004254027A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009016961A (ja) * 2007-06-29 2009-01-22 Fujitsu Ltd 通信装置、通信装置に適した通信ログ送信方法および通信システム
US7826619B2 (en) 2005-08-23 2010-11-02 Ntt Docomo, Inc. Key-updating method, encryption processing method, key-insulated cryptosystem and terminal device
JP2012227652A (ja) * 2011-04-18 2012-11-15 Nippon Telegr & Teleph Corp <Ntt> 復号結果検証装置、方法、システム及びプログラム
US8441576B2 (en) 2006-11-07 2013-05-14 Sony Corporation Receiving device, delay-information transmitting method in receiving device, audio output device, and delay-control method in audio output device
US8456188B2 (en) 2006-11-07 2013-06-04 Sony Corporation Electronic apparatus and cable device
JP5223678B2 (ja) * 2006-11-07 2013-06-26 ソニー株式会社 電子機器、コンテンツ再生方法及びコンテンツ復号方法
US8587723B2 (en) 2006-11-07 2013-11-19 Sony Corporation Electronic equipment, control information transmission and reception methods having bidirecitonal communication using predetermined lines
JP2014099727A (ja) * 2012-11-14 2014-05-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム、鍵共有方法、プログラム
JP2015505994A (ja) * 2011-12-16 2015-02-26 アカマイ テクノロジーズ インコーポレイテッド ローカルにアクセス可能な秘密鍵を用いないssl接続の終了
US9143637B2 (en) 2006-11-07 2015-09-22 Sony Corporation Transmission device, video signal transmission method for transmission device, reception device, and video signal reception method for reception device

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100744531B1 (ko) * 2003-12-26 2007-08-01 한국전자통신연구원 무선 단말기용 암호키 관리 시스템 및 방법
US20050182966A1 (en) * 2004-02-17 2005-08-18 Duc Pham Secure interprocess communications binding system and methods
JP2005268903A (ja) * 2004-03-16 2005-09-29 Toshiba Corp 暗号鍵共有装置、暗号鍵共有方法、プログラム及び通信機器
JP3761557B2 (ja) * 2004-04-08 2006-03-29 株式会社日立製作所 暗号化通信のための鍵配付方法及びシステム
US7636940B2 (en) * 2005-04-12 2009-12-22 Seiko Epson Corporation Private key protection for secure servers
JP2007104310A (ja) * 2005-10-04 2007-04-19 Hitachi Ltd ネットワーク装置、ネットワークシステム及び鍵更新方法
US8181227B2 (en) * 2006-08-29 2012-05-15 Akamai Technologies, Inc. System and method for client-side authenticaton for secure internet communications
US8213902B2 (en) * 2007-08-02 2012-07-03 Red Hat, Inc. Smart card accessible over a personal area network
CN101286840B (zh) * 2008-05-29 2014-07-30 西安西电捷通无线网络通信股份有限公司 一种利用公钥密码技术的密钥分配方法及其系统
EP2386170A2 (en) * 2008-12-17 2011-11-16 Interdigital Patent Holdings, Inc. Enhanced security for direct link communications
US20130051552A1 (en) * 2010-01-20 2013-02-28 Héléna Handschuh Device and method for obtaining a cryptographic key
US9135434B2 (en) * 2010-04-19 2015-09-15 Appcentral, Inc. System and method for third party creation of applications for mobile appliances
US20120179909A1 (en) * 2011-01-06 2012-07-12 Pitney Bowes Inc. Systems and methods for providing individual electronic document secure storage, retrieval and use
US9015469B2 (en) 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
US8295490B1 (en) * 2011-12-13 2012-10-23 Google Inc. Method and system for storing and providing an encryption key for data storage
ES2524124T3 (es) * 2012-07-06 2014-12-04 Nec Europe Ltd. Método y sistema para almacenar y leer datos en o a partir de un almacenamiento de valor de clave
US9503268B2 (en) * 2013-01-22 2016-11-22 Amazon Technologies, Inc. Securing results of privileged computing operations
US10063380B2 (en) 2013-01-22 2018-08-28 Amazon Technologies, Inc. Secure interface for invoking privileged operations
US8782774B1 (en) * 2013-03-07 2014-07-15 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
WO2015095463A1 (en) * 2013-12-18 2015-06-25 Akamai Technologies, Inc. Providing forward secrecy in a terminating tls connection proxy
KR101508859B1 (ko) * 2013-12-30 2015-04-07 삼성에스디에스 주식회사 클라이언트와 서버 간 보안 세션을 수립하기 위한 방법 및 장치
US8966267B1 (en) 2014-04-08 2015-02-24 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US8996873B1 (en) 2014-04-08 2015-03-31 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9184911B2 (en) 2014-04-08 2015-11-10 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US20160321133A1 (en) 2015-05-01 2016-11-03 Microsoft Technology Licensing, Llc Verifying accurate storage in a data storage system
JP6627043B2 (ja) * 2016-08-08 2020-01-08 株式会社 エヌティーアイ Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム
CN108111467B (zh) 2016-11-24 2021-04-09 华为技术有限公司 身份认证方法与设备及系统
US10903990B1 (en) 2020-03-11 2021-01-26 Cloudflare, Inc. Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4111346A (en) * 1977-01-11 1978-09-05 Bertolette Machines, Inc. Tube cutting machine with break-off means
US4430913A (en) * 1982-03-23 1984-02-14 Kaiser Steel Corporation Cut-off and face machine
FR2659881A1 (fr) * 1990-03-26 1991-09-27 Esco Sa Unite d'usinage a tete rotative portant des outils pivotants.
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
US5495533A (en) * 1994-04-29 1996-02-27 International Business Machines Corporation Personal key archive
JP3723919B2 (ja) * 1995-10-31 2005-12-07 イハラサイエンス株式会社 パイプカッタ
US6226618B1 (en) * 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system
US7181015B2 (en) * 2001-07-31 2007-02-20 Mcafee, Inc. Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8270615B2 (en) 2005-08-23 2012-09-18 Ntt Docomo, Inc. Key-updating method, encryption processing method, key-insulated cryptosystem and terminal device
US7826619B2 (en) 2005-08-23 2010-11-02 Ntt Docomo, Inc. Key-updating method, encryption processing method, key-insulated cryptosystem and terminal device
US8848111B2 (en) 2006-11-07 2014-09-30 Sony Corporation Electronic equipment, control information transmission and reception methods having bidirectional communication using predetermined lines
US8860887B2 (en) 2006-11-07 2014-10-14 Sony Corporation Communication system, transmitter, receiver, communication method, program, and communication cable
US8441576B2 (en) 2006-11-07 2013-05-14 Sony Corporation Receiving device, delay-information transmitting method in receiving device, audio output device, and delay-control method in audio output device
US8456188B2 (en) 2006-11-07 2013-06-04 Sony Corporation Electronic apparatus and cable device
JP5223678B2 (ja) * 2006-11-07 2013-06-26 ソニー株式会社 電子機器、コンテンツ再生方法及びコンテンツ復号方法
US8587723B2 (en) 2006-11-07 2013-11-19 Sony Corporation Electronic equipment, control information transmission and reception methods having bidirecitonal communication using predetermined lines
US8670645B2 (en) 2006-11-07 2014-03-11 Sony Corporation Electronic apparatus, content reproducing method, and content decoding method
US9769520B2 (en) 2006-11-07 2017-09-19 Sony Corporation Electronic equipment, control information transmission and reception methods having bidirectional communication using predetermined lines
US9462211B2 (en) 2006-11-07 2016-10-04 Sony Corporation Electronic equipment, control information transmission and reception methods having bidirectional communication using predetermined lines
US9210353B2 (en) 2006-11-07 2015-12-08 Sony Corporation Electronic equipment, control information transmission and reception methods having bidirectional communication using predetermined lines
US9210465B2 (en) 2006-11-07 2015-12-08 Sony Corporation Communication system, transmitter, receiver, communication method, program, and communication cable
US8988610B2 (en) 2006-11-07 2015-03-24 Sony Corporation Electronic equipment, control information transmission and reception methods having bidirectional communication using predetermined lines
US9013636B2 (en) 2006-11-07 2015-04-21 Sony Corporation Communication system, transmitter, receiver, communication method, program, and communication cable
US9143637B2 (en) 2006-11-07 2015-09-22 Sony Corporation Transmission device, video signal transmission method for transmission device, reception device, and video signal reception method for reception device
JP2009016961A (ja) * 2007-06-29 2009-01-22 Fujitsu Ltd 通信装置、通信装置に適した通信ログ送信方法および通信システム
JP2012227652A (ja) * 2011-04-18 2012-11-15 Nippon Telegr & Teleph Corp <Ntt> 復号結果検証装置、方法、システム及びプログラム
JP2015505994A (ja) * 2011-12-16 2015-02-26 アカマイ テクノロジーズ インコーポレイテッド ローカルにアクセス可能な秘密鍵を用いないssl接続の終了
JP2014099727A (ja) * 2012-11-14 2014-05-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム、鍵共有方法、プログラム

Also Published As

Publication number Publication date
US20040161110A1 (en) 2004-08-19

Similar Documents

Publication Publication Date Title
JP2004254027A (ja) サーバ装置、鍵管理装置、暗号通信方法及びプログラム
US11477037B2 (en) Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange
US11038854B2 (en) Terminating SSL connections without locally-accessible private keys
EP1169833B1 (en) Key management between a cable telephony adapter and associated signaling controller
EP3633949B1 (en) Method and system for performing ssl handshake
US8769287B2 (en) Method, system, and device for obtaining keys
WO2010064666A1 (ja) 鍵配布システム
CN111030814B (zh) 秘钥协商方法及装置
US9876773B1 (en) Packet authentication and encryption in virtual networks
JP2012182812A (ja) インターネットのための対称鍵配信フレームワーク
CN116886288A (zh) 一种量子会话密钥分发方法及装置
JP2012100206A (ja) 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム
EP3216163B1 (en) Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
CN110417722B (zh) 一种业务数据通信方法、通信设备及存储介质
JP6609212B2 (ja) 暗号化通信チャネル確立システム、方法、プログラム及びコンピュータ読取り可能なプログラム記録媒体
WO2021140021A1 (en) Provision of digital content via a communication network
CN117955708A (en) Authentication method, client and system based on double quantum random number protection
Zheng et al. Applying Unbalanced RSA to Authentication and Key Distribution in 802.11
KR20100018898A (ko) 가상 사설망 서버와 송수신하는 데이터를 보안처리 하는방법 및 스마트 카드
Stauffer Performance analysis of NTLM and Kerberos authentication in Windows 2000 domains
Li et al. Improving the WTLS by means of Kerberos

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060912

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061113

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070206