WO2010064666A1

WO2010064666A1 - 鍵配布システム

Info

Publication number: WO2010064666A1
Application number: PCT/JP2009/070284
Authority: WO
Inventors: 尚弘福田
Original assignee: パナソニック電工株式会社
Priority date: 2008-12-05
Filing date: 2009-12-03
Publication date: 2010-06-10
Also published as: JP2010136199A; US20110235806A1; CN102232275B; EP2355401A4; JP5390844B2; CN102232275A; US8600063B2; EP2355401A1

Abstract

　鍵配布システムは、通信用秘密鍵（Ｋ１０）を共通鍵として用いて互いに暗号化通信を行う端末（１０）とサーバ（２０）とを備える。上記端末（１０）は、新たな通信用秘密鍵（Ｋ１１）の発行の要求時には、秘密値（Ｒ１０）を生成し、公開鍵で暗号化して上記サーバ（２０）に送信する。上記サーバ（２０）は、上記暗号化された秘密値（Ｒ１０）を上記公開鍵とペアとなる私有鍵で復号化する。上記サーバ（２０）は、新たな通信用秘密鍵（Ｋ１１）を発行し、秘密値（Ｒ１０）を共通鍵として用いて暗号化して上記端末（１０）に送信する。上記端末（１０）は、暗号化された上記新たな通信用秘密鍵（Ｋ１１）を上記秘密値（Ｒ１０）を用いて復号化して上記新たな通信用秘密鍵（Ｋ１１）を取得する。その後、上記端末（１０）と上記サーバ（２０）とは、上記新たな通信用秘密鍵（Ｋ１１）を共通鍵として用いて互いに暗号化通信を行う。

Description

鍵配布システム

　本発明は、鍵配布システムに関し、特にサーバと端末との間の暗号化通信に用いられる共通鍵である通信用秘密鍵をサーバが端末に配布する鍵配布システムに関する。

　従来から、有効期限を定めたセッション鍵を用いて暗号化通信を行う通信システムがある。この通信システムでは、セッション鍵を暗号化して配布する。セッション鍵の暗号化には、クリプトナイトプロトコルと称する共通鍵暗号が用いられる。

　共有鍵暗号では、サーバ（住宅用サーバ）と端末（設備機器）とには同じ共通鍵（以下では、「通信用秘密鍵」という）があらかじめ設定される。通信用秘密鍵は端末毎に決まっているから、端末の利用者が変わったとしても端末の通信用秘密鍵は変わらない。したがって、端末を前に利用していた利用者は、端末から通信用秘密鍵を取得しておけば、端末とサーバとの間の通信を傍受できる。そのため、同じ端末の新たな利用者による利用状況（たとえば生活習慣）などが前の利用者に監視されたり、前の利用者によって端末が不正に利用されたり（勝手に操作されたり）するおそれがある。

　文献１（特開２０００－３４９７４８号公報）は、共有鍵暗号よりも通信の秘匿性が高い公開鍵暗号を開示する。公開鍵暗号であっても、公開鍵と私有鍵とを変更しない限り、前の利用者が通信を傍受することを完全には防止できない。

　そこで、利用者が変わった際には、公開鍵と私有鍵とを変更することが考えられる。しかしながら、文献１に開示された公開鍵暗号は、送信者と受信者とが情報を共有するために送信者と受信者とがそれぞれ相手の公開鍵とペアになる秘密鍵（私有鍵）を保有していなければならない。そのため、文献１に開示された公開鍵暗号では、秘密鍵そのものの交換は行えない。

　本発明は上記事由に鑑みて為された。本発明の目的は、サーバが新たに発行した、端末との暗号化通信に用いる通信用秘密鍵を他者に知られないように安全にサーバから端末に配布できる鍵配布システムを提供することである。

　本発明に係る鍵配布システムは、端末と、通信ネットワークを介して上記端末に接続されるサーバとを備える。上記端末は、通信用秘密鍵と公開鍵とを記憶する書換可能な第１鍵記憶ユニットを有する。上記端末は、上記第１鍵記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うための第１通信ユニットを有する。上記端末は、鍵要求ユニットを有する。上記鍵要求ユニットは、上記サーバに新たな通信用秘密鍵の発行を要求するときに、数値よりなる秘密値を新たに生成するように構成される。上記鍵要求ユニットは、さらに、上記第１記憶ユニットに記憶された上記公開鍵を用いて上記秘密値を暗号化して第１の暗号を生成し、上記第１の暗号を上記サーバに送信するように構成される。上記サーバは、上記通信用秘密鍵に加えて、上記公開鍵とペアになる私有鍵である復号用秘密鍵を記憶する書換可能な第２鍵記憶ユニットを有する。上記サーバは、上記第２鍵記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うための第２通信ユニットを有する。上記サーバは、鍵発行ユニットを有する。上記鍵発行ユニットは、上記端末から新たな通信用秘密鍵の発行が要求されると、新たな通信用秘密鍵を発行して上記第２鍵記憶ユニットに記憶させるように構成される。上記鍵発行ユニットは、さらに、上記復号用秘密鍵を用いて上記第１の暗号を復号化することによって上記秘密値を取得するように構成される。上記鍵発行ユニットは、さらに、当該秘密値を利用して上記新たな通信用秘密鍵を暗号化して第２の暗号を生成し、新たな通信用秘密鍵の発行を要求した上記端末に上記第２の暗号を送信するように構成される。上記鍵要求ユニットは、上記秘密値を利用して上記第２の暗号を復号化することによって上記新たな通信用秘密鍵を取得して、上記第１鍵記憶ユニットに記憶させるように構成される。上記第１通信ユニットは、上記第１鍵記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うように構成される。上記第２通信ユニットは、上記第２鍵記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うように構成される。

　この鍵配布システムでは、端末がサーバに新たな通信用秘密鍵の発行を要求する際に、公開鍵を用いて秘密値を暗号化してサーバに送信する。サーバは、暗号化された秘密値を公開鍵とペアになる私有鍵を用いて復号化する。サーバは、新たな通信用秘密鍵を、秘密値で復号化できるように暗号化して、端末に送信する。端末は、暗号化された通信用秘密鍵を、秘密値を利用して復号化して、新たな通信用秘密鍵を取得する。したがって、この鍵配布システムによれば、新たな通信用秘密鍵をサーバから端末に安全に届けることができる。

　好ましくは、上記鍵要求ユニットは、上記サーバに新たな通信用秘密鍵の発行を要求するときに、上記第１鍵記憶ユニットに記憶された上記通信用秘密鍵を上記公開鍵として用いて上記新たに生成された秘密値を暗号化するように構成される。上記鍵発行ユニットは、上記端末から新たな通信用秘密鍵の発行が要求されると、上記新たな通信用秘密鍵を発行するとともに、上記新たな通信用秘密鍵とペアになる私有鍵である新たな復号用秘密鍵を発行して上記第２鍵記憶ユニットに記憶させ、上記第２記憶ユニットに上記新たな復号用秘密鍵が記憶された後は、上記新たな復号用秘密鍵を用いて上記第１の暗号を復号化するように構成される。

　この鍵配布システムによれば、通信用秘密鍵を公開鍵として用いるから、サーバだけが暗号化された秘密値を復号化できる。したがって、第三者は、通信用秘密鍵を用いても、暗号化された秘密鍵を復号化できない。よって、新たな通信用秘密鍵をサーバから端末により安全に届けることができる。

　好ましくは、上記鍵要求ユニットは、上記秘密値として使用する第１乱数と、第２乱数とを生成し、上記サーバに新たな通信用秘密鍵の発行を要求する前に上記第２乱数を上記サーバに送信し、上記第１乱数と上記第２乱数との単純演算により通信数値を生成し、上記公開鍵を用いて上記通信数値を暗号化して上記サーバに送信するように構成される。

　この鍵配布システムによれば、第三者に秘密値が知られてしまうことを防止でき、通信用秘密鍵が第三者に知られる可能性を低減できる。しかも、秘密値より桁数が多い通信数値は、端末からサーバに秘密値を送信するときだけ使用される。そのため、秘密値より桁数が大きい通信数値を用いて通信用秘密鍵の暗号化や復号化を行わなくて済み、端末やサーバの処理負荷を低減できる。

　好ましくは、上記鍵発行ユニットは、上記端末から新たな通信用秘密鍵の発行が要求されると、上記端末から受信した上記秘密値を含むメッセージコードを生成し、上記メッセージコードを用いて上記新たな通信用秘密鍵を暗号化して上記端末に送信するように構成される。

　この鍵配布システムによれば、メッセージ認証を行うことによって、サーバと端末とは、第三者による通信用秘密鍵の改竄を検出できる。よって、通信用秘密鍵を用いた暗号化通信の安全性を保証できる。

　本発明に係る別の鍵配布システムは、端末と、通信ネットワークを介して上記端末に接続されるサーバとを備える。上記端末は、通信用秘密鍵を記憶する書換可能な第１鍵記憶ユニットと、所定の原始元を記憶する第１原始元記憶ユニットと、を有する。上記端末は、上記第１記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うための第１通信ユニットと、鍵要求ユニットと、を有する。上記鍵要求ユニットは、上記サーバに新たな通信用秘密鍵の発行を要求するときに、数値よりなる第１秘密値を新たに生成するように構成される。上記鍵要求ユニットは、さらに、上記第１原始元記憶ユニットに記憶された上記原始元に上記第１秘密値を適用することによりディフィー・ヘルマン鍵共有方式の第１公開鍵を生成して上記サーバに送信するように構成される。上記サーバは、上記通信用秘密鍵を記憶する第２鍵記憶ユニットと、上記所定の原始元を記憶する第２原始元記憶ユニットと、を有する。上記サーバは、上記第２記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うための第２通信ユニットと、鍵発行ユニットと、を有する。上記鍵発行ユニットは、上記端末から新たな通信用秘密鍵の発行が要求されると、数値よりなる第２秘密値を生成し、上記端末から受信した第１公開鍵と上記第２秘密値とを用いて上記ディフィー・ヘルマン鍵共有方式の共通鍵を生成するように構成される。上記鍵発行ユニットは、さらに、上記第２原始元記憶ユニットに記憶された上記原始元に上記第２秘密値を適用することにより上記ディフィー・ヘルマン鍵共有方式の第２公開鍵を生成するように構成される。上記鍵発行ユニットは、さらに、上記共通鍵を用いて上記新たな通信用秘密鍵を暗号化して上記第２公開鍵とともに新たな通信用秘密鍵の発行を要求した上記端末に送信するように構成される。上記鍵要求ユニットは、上記サーバから暗号化された上記新たな通信用秘密鍵と上記第２公開鍵とを受信すると、上記新たに生成された秘密値と上記サーバから受信した上記第２公開鍵とを用いて上記共通鍵を生成するように構成される。上記鍵要求ユニットは、さらに、暗号化された上記新たな通信用秘密鍵を生成された上記共通鍵を用いて復号化して上記新たな通信用秘密鍵を取得して、上記第１鍵記憶ユニットに記憶させるように構成される。上記第１通信ユニットは、上記第１記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うように構成される。上記第２通信ユニットは、上記第２記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うように構成される。

　この鍵配布システムによれば、ディフィー・ヘルマン鍵共有方式の共通鍵を利用して、新たな通信用秘密鍵を暗号化して端末に送信する。そのため、元の通信用秘密鍵を知っている第三者であっても暗号化された新たな通信用秘密鍵を復号化できない。よって、新たな通信用秘密鍵を端末に安全に届けることができる。

実施形態１の鍵配布システムのブロック図である。同上の動作説明図である。同上の動作を示すフローチャートである。実施形態２の鍵配布システムのブロック図である。同上の動作説明図である。同上の変形例の鍵配布システムの動作説明図である。実施形態３の鍵配布システムのブロック図である。同上の動作説明図である。実施形態４の鍵配布システムのブロック図である。同上の動作説明図である。

　（実施形態１）
　図１に示すように、本実施形態の鍵配布システムは、複数の端末１０と、各端末１０に通信ネットワーク３０を介して接続されるサーバ２０とを備える。通信ネットワーク３０は、広域網と構内網とのいずれであってもよい。端末１０およびサーバ２０は、通信ネットワーク３０に接続するための通信インターフェイスと、所定のデータを記憶するためのメモリと、所定の機能を実現するためのマイクロコンピュータとを利用して構成されている。

　端末１０は、通信ネットワーク３０を介してサーバ２０に接続される。端末１０は、第１鍵記憶ユニット１１と、第１通信ユニット１２と、鍵要求ユニット１３と、第１識別情報記憶ユニット１４と、セッション鍵要求ユニット１５と、セッション鍵受取ユニット１６と、を有する。

　第１鍵記憶ユニット１１は、書換可能な記録媒体である。第１鍵記憶ユニット１１は、通信用秘密鍵と、セッション鍵とを記憶するように構成される。なお、本実施形態では、通信用秘密鍵が公開鍵としても用いられる。よって、第１鍵記憶ユニット１１は、通信用秘密鍵と公開鍵とを記憶しているといえる。

　第１識別情報記憶ユニット１４は、たとえば、書換可能な記録媒体である。第１識別情報記憶ユニット１４は、鍵配布システムにおいて端末１０とサーバ２０とを特定するための識別情報（識別子）を記憶する。なお、上記の識別情報は、鍵配布システムにおいて固有の（ユニークな）情報である。識別情報は、たとえば、ＭＡＣアドレスや、ＩＰｖ６におけるＩＰアドレス、構内網において設定されたアドレスである。

　第１通信ユニット１２は、サーバ２０と暗号化通信をするために設けられる。第１通信ユニット１２は、第１記憶ユニット１１に記憶された通信用秘密鍵を共通鍵として用いた暗号化通信をサーバ２０と行うように構成される。また、第１通信ユニット１２は、第１記憶ユニット１１に記憶されたセッション鍵を共通鍵として用いた暗号化通信をサーバ２０と行うように構成される。第１通信ユニット１２は、送信元の識別情報（端末１０の識別情報）と送信先の識別情報（サーバ２０の識別情報）と所定の電文とを含むパケットを送信する。このパケットの電文は通信用秘密鍵またはセッション鍵を用いて暗号化される。

　鍵要求ユニット１３は、サーバ２０に対して通信用秘密鍵の発行を要求する処理（発行要求処理）と、通信用秘密鍵の受取の処理を行うように構成される。

　鍵要求ユニット１３は、たとえば、端末１０の利用者が変わったときに通信用秘密鍵を変更するために設けられている。発行要求処理は、利用者が特定の操作、たとえば発行要求処理を開始するためのスイッチの操作によって開始される。端末１０は、通信ネットワーク３０に接続されたときに（通信ネットワーク３０に参加したことを通知するためのパケットを送信するときに）、自動的に発行要求処理を実行するように構成されていてもよい。端末１０が通信ネットワーク３０に接続された後は、定期的あるいは不定期的に発行要求処理が実行されるようにしてもよい。この場合、発行要求処理を実行する第１時間間隔は、セッション鍵の発行を要求する処理を実行する第２時間間隔に比べて十分に長く設定することが好ましい。たとえば、第２時間間隔を１日程度とする場合には、第１時間間隔は１ヶ月以上とすることが好ましい。

　セッション鍵要求ユニット１５は、サーバ２０に対してセッション鍵の発行を要求する処理を行うように構成される。

　セッション鍵受取ユニット１６は、サーバ２０からのセッション鍵の受取の処理を行うように構成される。

　サーバ２０は、第２鍵記憶ユニット２１と、第２通信ユニット２２と、鍵発行ユニット２３と、第２識別情報記憶ユニット２４と、セッション鍵発行ユニット２５と、を有する。

　第２鍵記憶ユニット２１は、書換可能な記録媒体である。第２鍵記憶ユニット２１は、通信用秘密鍵と、セッション鍵とを記憶するように構成される。第２記憶ユニット２１は、さらに、通信用秘密鍵とペアになる私有鍵である復号用秘密鍵を記憶するように構成される。

　このように通信用秘密鍵と復号用秘密鍵とはペアとなる暗号鍵である。つまり、通信用秘密鍵と復号用秘密鍵との間の関係は、公開鍵暗号における公開鍵と秘密鍵（私有鍵）との間の関係と同等である。つまり、復号用秘密鍵は、通信用秘密鍵を公開鍵として暗号化された電文を復号化するための私有鍵である。よって、通信用秘密鍵（公開鍵暗号における公開鍵に相当）を用いて暗号化された電文（暗号文）を復号化するためには、通信用秘密鍵ではなく復号用秘密鍵（公開暗号鍵における私有鍵に相当）が必要である。また、復号用秘密鍵を用いて暗号化された電文（暗号文）を復号化するためには、通信用秘密鍵が必要である。

　したがって、本実施形態の鍵配布システムでは、端末１０とサーバ２０とは、公開鍵暗号方式によって暗号化通信を行える。

　第２鍵記憶ユニット２１は、通信用秘密鍵と、復号用秘密鍵と、セッション鍵とからなる鍵束を、サーバ２０に接続された各端末１０と関連付けて記憶するように構成される。つまり、端末１０の識別情報が、通信用秘密鍵と復号用秘密鍵とセッション鍵とのそれぞれと対応付けられている。

　第２識別情報記憶ユニット２４は、たとえば、書換可能な記録媒体である。第２識別情報記憶ユニット２４は、上記識別情報を記憶する。

　第２通信ユニット２２は、端末１０と暗号化通信をするために設けられる。第２通信ユニット２２は、第２記憶ユニット２１に記憶された通信用秘密鍵を共通鍵として用いた暗号化通信を端末１０と行うように構成される。また、第２通信ユニット２２は、第２記憶ユニット２１に記憶されたセッション鍵を共通鍵として用いた暗号化通信を端末１０と行うように構成される。第２通信ユニット２２は、送信元の識別情報（サーバ２０の識別情報）と送信先の識別情報（端末１０の識別情報）と所定の電文とを含むパケットを送信する。このパケットの電文は通信用秘密鍵またはセッション鍵を用いて暗号化される。

　鍵発行ユニット２３は、端末１０から通信用秘密鍵の発行が要求されたときに、通信用秘密鍵の発行の処理を行うように構成される。

　セッション鍵発行ユニット２５は、端末１０からセッション鍵の発行が要求されたときに、セッション鍵の発行の処理を行うように構成される。つまり、サーバ２０は、端末１０からの要求に応答してセッション鍵を発行する。

　本実施形態では、サーバ２０は、サーバ２０と端末１０との間で送受信される電文の暗号化に用いられるセッション鍵を端末１０に配布するように構成されている。

　端末１０は、たとえば住宅内に設けた通信機能を有する設備機器である。サーバ２０は、たとえば認証サーバであり、住宅内の各設備機器（端末１０）と通信可能な住宅用サーバを利用して構成される。サーバ２０を利用して宅内の各設備機器（端末１０）の制御や監視が行える。

　セッション鍵要求ユニット１５は、サーバ２０にセッション鍵の配布を要求する際には、ノンス（第１ノンス）を生成する。第１ノンスは、１回だけ使用される数値である。第１ノンスは、通常は乱数である。セッション鍵要求ユニット１５は、第１ノンスとセッション鍵要求メッセージ（セッション鍵要求コマンド）と端末１０の識別情報とを含む電文を第１通信ユニット１２がサーバ２０に送信するように第１通信ユニット１２を制御する。セッション鍵要求メッセージは、セッション鍵の発行を要求するためのコマンドである。

　なお、第１通信ユニット１２は、送信元アドレス（送信元の識別情報）と送信先アドレス（送信先の識別情報）とを含むパケットを送信するから、サーバ２０は、送信元アドレスによって端末１０の識別情報を取得できる。よって、上記の電文では端末１０の識別情報を省略できる。

　セッション鍵発行ユニット２５は、端末１０からセッション鍵要求メッセージを受け取ると、セッション鍵を生成し、第２鍵記憶ユニット２１に記憶させる。また、セッション鍵発行ユニット２５は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵を用いてセッション鍵を暗号化する。セッション鍵発行ユニット２５は、セッション鍵を暗号化するために、通信用秘密鍵を用いて第２メッセージ認証コード（第２メッセージコード）を生成する。セッション鍵発行ユニット２５は、第２メッセージ認証コードとセッション鍵との排他論理和を暗号化されたセッション鍵として用いる。すなわち、セッション鍵発行ユニット２５は、第２メッセージ認証コードを共通鍵として用いてセッション鍵を暗号化する。第２メッセージ認証コードを生成するための情報は、端末１０から受信した端末１０の識別情報および第１ノンスと、セッション鍵発行ユニット２５が生成したノンス（第２ノンス）と、サーバ２０の識別情報とを含む。セッション鍵発行ユニット２５は、暗号化されたセッション鍵と第２ノンスとを第２通信ユニット２２が端末１０に送信するように第２通信ユニット２２を制御する。

　セッション鍵受取ユニット１６は、サーバ２０から暗号化されたセッション鍵と、第２ノンスとを受け取ると、暗号化されたセッション鍵を復号化する。セッション鍵受取ユニット１６は、暗号化されたセッション鍵を復号化するために、第２メッセージ認証コードと値が等しい第１メッセージ認証コード（第１メッセージコード）を生成する。端末１０は、端末１０の識別情報と第１ノンスとサーバ２０の識別情報と通信用秘密鍵とを有しているから、サーバ２０から第２ノンスを受信することで、第１メッセージ認証コードを生成できる。

　暗号化されたセッション鍵は、第２メッセージ認証コードとセッション鍵との排他的論理和である。よって、暗号化されたセッション鍵と第１メッセージ認証コードとの排他的論理和を求めることにより、セッション鍵を取得できる。

　セッション鍵受取ユニット１６は、取得したセッション鍵を第１鍵記憶ユニット１１に記憶させる。このとき、セッション鍵受取ユニット１６は、第１鍵記憶ユニット１１に記憶されたセッション鍵を新たに取得したセッション鍵に更新するように構成されていてもよい。

　鍵要求ユニット１３は、秘密値生成モジュール１３０と、秘密値記憶モジュール１３１と、秘密値暗号化モジュール１３２と、秘密値送信モジュール１３３と、を有する。

　秘密値生成モジュール１３０は、新たな通信用秘密鍵の発行を要求する際に数値よりなる秘密値を生成するように構成される。秘密値は乱数である。つまり、秘密値生成モジュール１３０は、通信用秘密鍵の発行を要求する処理毎にランダムな数値を持つ秘密値を生成する。そのため、秘密値は、通信用秘密鍵の発行を要求する処理毎に異なる数値を持つ。同じ秘密値は新たな通信用秘密鍵を端末１０が受け取るまで用いられる。

　秘密値記憶モジュール１３１は、秘密値生成モジュール１３０で生成された秘密値を記憶するように構成される。なお、秘密値記憶モジュール１３１は、既に秘密値を記憶している場合には、記憶している秘密値を秘密値生成モジュール１３０で生成された秘密値に更新するように構成されていてもよい。

　秘密値暗号化モジュール１３２は、秘密値記憶モジュール１３１に記憶された秘密値を暗号化して第１の暗号を生成するように構成される。秘密値暗号化モジュール１３２は、第１鍵記憶ユニット１１に記憶された通信用秘密鍵を公開鍵として用いて秘密値を暗号化する。たとえば、秘密値暗号化モジュール１３２は、新たな通信用秘密鍵を要求する処理の開始時に第１鍵記憶ユニット１１に記憶されている通信用秘密鍵を用いて公開鍵方式（たとえば、ＲＳＡ）で秘密値を暗号化して第１の暗号を生成する。

　秘密値送信モジュール１３３は、新たな通信用秘密鍵の発行を要求する要求メッセージ（要求コマンド）とともに秘密値暗号化モジュール１３２で生成された第１暗号がサーバ２０に送信されるように第１通信ユニット１２を制御するように構成される。秘密値送信モジュール１３３は、第１の暗号と一緒に端末１０の識別情報も第１通信ユニット１２に送信させる。

　鍵発行ユニット２３は、鍵生成モジュール２３０と、通信用秘密鍵暗号化モジュール２３１と、通信用秘密鍵送信モジュール２３２と、第２保管モジュール２３３と、を有する。

　鍵生成モジュール２３０は、第２通信ユニット２２が端末１０から要求メッセージを受け取ると、新たな通信用秘密鍵を生成するように構成される。また、鍵生成モジュール２３０は、第２通信ユニット２２が要求メッセージを受け取ると、新たな通信用秘密鍵とペアとなる新たな復号用秘密鍵を生成するように構成される。

　通信用秘密鍵暗号化モジュール２３１は、秘密値取得部２３１１と、暗号化部２３１２と、を有する。

　秘密値取得部２３１１は、第２通信ユニット２２が要求メッセージを受け取ると、第２通信ユニット２２が受け取った第１の暗号を復号化して秘密値を取得するように構成される。秘密値取得部２３１１は、通信用秘密鍵とペアとなる復号用秘密鍵を用いて第１の暗号を復号化する。なお、秘密値取得部２３１１は、端末１０の通信用秘密鍵とペアになる復号用秘密鍵を抽出する際に、端末１０の識別情報を検索キーに用いる。

　暗号化部２３１２は、秘密値取得部２３１１より得た秘密値を共通鍵として用いて新たな通信用秘密鍵を暗号化して第２の暗号を生成するように構成される。暗号化部２３１２は、たとえば、新たな通信用秘密鍵と秘密値との排他的論理和を第２の暗号（暗号化された新たな通信用秘密鍵）として用いる。

　通信用秘密鍵送信モジュール２３２は、新たな通信用秘密鍵の発行を要求した端末１０に第２通信ユニット２２が第２の暗号を送信するように第２通信ユニット２２を制御するように構成される。

　第２保管モジュール２３３は、鍵生成モジュール２３０で生成された新たな通信用秘密鍵と新たな復号用秘密鍵とを第２鍵記憶ユニット２１に記憶させるように構成される。なお、第２保管モジュール２３３は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵を、鍵生成モジュール２３０で生成された新たな通信用秘密鍵に更新するように構成されていてもよい。また、第２保管モジュール２３３は、第２鍵記憶ユニット２１に記憶された復号用秘密鍵を、鍵生成モジュール２３０で生成された新たな復号用秘密鍵に更新するように構成されていてもよい。

　このように鍵発行ユニット２３は、端末１０から新たな通信用秘密鍵の発行が要求されると、新たな通信用秘密鍵を発行して第２鍵記憶ユニット２１に記憶させる。鍵発行ユニット２３は、復号用秘密鍵を用いて第１の暗号を復号化することによって秘密値を取得する。鍵発行ユニット２３は、秘密値を利用して新たな通信用秘密鍵を暗号化して第２の暗号を生成する。鍵発行ユニット２３は、新たな通信用秘密鍵の発行を要求した端末１０に第２の暗号を送信する。

　また、鍵発行ユニット２３は、端末１０から新たな通信用秘密鍵の発行が要求されると、新たな通信用秘密鍵を発行するとともに、新たな通信用秘密鍵とペアになる私有鍵である新たな復号用秘密鍵を発行して第２鍵記憶ユニット２１に記憶させる。鍵発行ユニット２３は、第２鍵記憶ユニット２１に新たな復号用秘密鍵が記憶された後は、新たな復号用秘密鍵を用いて第１の暗号を復号化する。

　このようにして第２鍵記憶ユニット２１には新たな通信用秘密鍵が記憶されるから、第２通信ユニット２２は、通信用秘密鍵を共通鍵として用いた暗号化通信を端末１０と行う場合には、新たな通信用秘密鍵を使用する。

　鍵要求ユニット１３は、さらに、通信用秘密鍵復号化モジュール１３４と、第１保管モジュール１３５と、を有する。

　通信用秘密鍵復号化モジュール１３４は、上記第１通信ユニット１２が第２の暗号を受け取ると、秘密値記憶モジュール１３１に記憶された秘密値を用いて第１通信ユニット１２が受け取った第２の暗号を復号化し、これによって新たな通信用秘密鍵を得るように構成される。第２の暗号は秘密値と新たな通信用秘密鍵との排他的論理和である。第２の暗号と秘密値との排他的論理和を求めることにより新たな通信用秘密鍵が得られる。なお、通信用秘密鍵復号化モジュール１３４は、新たな通信用秘密鍵を得た後に、秘密値記憶モジュール１３１に記憶された秘密値を消去するように構成されていてもよい。

　第１保管モジュール１３５は、通信用秘密鍵復号化モジュール１３４によって得られた新たな通信用秘密鍵を第１鍵記憶ユニット１１に記憶させるように構成される。なお、第１保管モジュール１３５は、第１鍵記憶ユニット１１に記憶された通信用秘密鍵を、新たな通信用秘密鍵に更新するように構成されていてもよい。

　このように鍵要求ユニット１３は、サーバ２０に新たな通信用秘密鍵の発行を要求するときに、数値よりなる秘密値を新たに生成する。鍵要求ユニット１３は、第１鍵記憶ユニット１１に記憶された通信用秘密鍵を公開鍵として用いて秘密値を暗号化して第１の暗号を生成してサーバ２０に送信する。鍵要求ユニットは、秘密値を利用して第２の暗号を復号化することによって新たな通信用秘密鍵を取得して、第１鍵記憶ユニット１１に記憶させる。

　このようにして第１鍵記憶ユニット１１には新たな通信用秘密鍵が記憶されるから、第１通信ユニット１２は、通信用秘密鍵を共通鍵として用いた暗号化通信をサーバ２０と行う場合には、新たな通信用秘密鍵を使用する。

　次に、図２及び図３を参照して本実施形態の鍵配布システムの動作について説明する。

　なお、端末１０の出荷時には、端末１０に通信用秘密鍵を登録する作業と、管理装置２０に通信用秘密鍵と復号用秘密鍵とを登録する作業とが行われる。通信用秘密鍵と復号用秘密鍵との登録には、管理装置（製品管理装置）４０が用いられる。管理装置４０は、通信用秘密鍵と復号用秘密鍵との登録の際には、インターネットのような通信路を用いてサーバ２０および端末１０に接続される。

　図２に示すように、管理装置４０は、通信用秘密鍵Ｋ１０と復号用秘密鍵Ｋ２０とをサーバ２０に送信する（図２のプロセスＰ１０）。サーバ２０は、管理装置４０から受け取った通信用秘密鍵Ｋ１０と復号用秘密鍵Ｋ２０とを第２鍵記憶ユニット２１に登録する（図３のステップＳ１１）。管理装置４０は、通信用秘密鍵Ｋ１０と復号用秘密鍵Ｋ２０との漏洩を防止するために、ＳＳＬ（Secure Socket Layer）やＴＬＳ（Transport Layer Security）のような技術を用いてサーバ２０と通信する。

　また、管理装置４０は、端末１０を識別するための識別情報（端末識別情報）ＩＤ１０をサーバ２０に送信する。サーバ２０は、管理装置４０から受け取った識別情報ＩＤ１０を第２識別情報記憶ユニット２４に登録する。なお、機器を通信ネットワークＮＴに接続するためのミドルウェアとしてのＥＭＩＴ（Embedded Micro Internetworking Technology）が端末１０に搭載されている場合，ＥＭＩＴのオブジェクトＩＤを端末識別情報ＩＤ１０に用いることができる。

　管理装置４０は、端末１０の識別情報ＩＤ１０と、サーバ２０に登録された通信用秘密鍵Ｋ１０とを端末１０に送信する（図２のプロセスＰ２０）。端末１０は、管理装置４０から受け取った識別情報ＩＤ１０を第１識別情報記憶ユニット１４に登録する。また、端末１０は、管理装置４０から受け取った通信用秘密鍵Ｋ１０を第１鍵記憶ユニット１１に登録する（図３のステップＳ１２）。

　すなわち、サーバ２０の第２鍵記憶ユニット２１と端末１０の第１鍵ユニット１１とには、それぞれ事前秘密鍵として通信用秘密鍵Ｋ１０が登録される。また、サーバ２０の第２鍵記憶ユニット２１には、通信用秘密鍵Ｋ１０とペアになる事前秘密鍵として復号用秘密鍵Ｋ２０が登録される。

　本実施形態の鍵配布システムでは、以下の手順でサーバ２０が端末１０にセッション鍵を配布する。

　端末１０がサーバ２０にセッション鍵の発行を要求する際、セッション鍵要求ユニット１５は、第１ノンスＮ１０を生成する。セッション鍵要求ユニット１５は、第１通信ユニット１２を制御して、第１ノンスＮ１０とセッション鍵要求メッセージとを端末１０の識別情報ＩＤ１０とともにサーバ２０に送信する（図２のプロセスＰ３０）。

　第２通信ユニット２２がセッション鍵要求メッセージを受け取ると、セッション鍵発行ユニット２５は、セッション鍵Ｋ３０を生成する。セッション鍵発行ユニット２５は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵Ｋ１０と情報Ｉ２０とを用いて、第２メッセージ認証コードＭＡＣ_K10（Ｉ２０）を生成する。情報Ｉ２０は、端末１０から受信した端末１０の識別情報ＩＤ１０および第１ノンスＮ１０と、第２ノンスＮ２０と、サーバ２０の識別情報（サーバ識別情報）ＩＤ２０とである。すなわち、Ｉ２０＝（ＩＤ１０，Ｎ１０，Ｎ２０，ＩＤ２０）である。

　セッション鍵発行ユニット２５は、第２メッセージ認証コード（＝ＭＡＣ_K10（ＩＤ１０，Ｎ１０，Ｎ２０，ＩＤ２０））とセッション鍵Ｋ３０との排他的論理和を演算して暗号化されたセッション鍵（＝［ＭＡＣ_K10（ＩＤ１０，Ｎ１０，Ｎ２０，ＩＤ２０）　ＸＯＲ　Ｋ３０］）を生成する。セッション鍵発行ユニット２５は、第２通信ユニット２２を制御して、暗号化されたセッション鍵を第２ノンスＮ２０とともに端末１０に送信する（図２のプロセスＰ４０）。

　なお、プロセスＰ３０において端末１０から識別情報ＩＤ１０を受け取っていなければ、情報Ｉ２０から識別情報ＩＤ１０を省略してもよい。

　以上の動作をまとめると、端末１０は、サーバ２０にセッション鍵の発行を要求する際に、第１ノンスＮ１０と識別情報ＩＤ１０とを送信する（図２のプロセスＰ３０）。サーバ２０は、端末１０の要求に応答して、暗号化されたセッション鍵（＝［ＭＡＣ_K10（ＩＤ１０，Ｎ１０，Ｎ２０，ＩＤ２０）　ＸＯＲ　Ｋ３０］）を第２ノンスＮ２０とともに送信する（図２のプロセスＰ４０）。

　暗号化されたセッション鍵と第２ノンスＮ２０とを第１通信ユニット１２が受け取ると、セッション鍵受取ユニット１６は、第１メッセージ認証コードを生成する。

　セッション鍵受取ユニット１６は、第１メッセージ認証コード（＝ＭＡＣ_K10（ＩＤ１０，Ｎ１０，Ｎ２０，ＩＤ２０）と暗号化されたセッション鍵（＝［ＭＡＣ_K10（ＩＤ１０，Ｎ１０，Ｎ２０，ＩＤ２０）　ＸＯＲ　Ｋ３０］）との排他的論理和を演算することで、セッション鍵Ｋ３０を取得する。セッション鍵受取ユニット１６は、受け取ったセッション鍵Ｋ３０を第１鍵記憶ユニット１１に記憶させる。

　このようにして端末１０は、サーバ２０からセッション鍵Ｋ３０を受け取る。端末１０は、サーバ２０から受け取ったセッション鍵Ｋ３０を、当該セッション鍵Ｋ３０の有効期間中、サーバ２０との間の通信に使用する。

　本実施形態の鍵配布システムでは、以下の手順でサーバ２０が端末１０に通信用秘密鍵を配布する。

　発行要求処理が開始されると、秘密値生成モジュール１３０は、乱数である秘密値Ｒ１０を生成する（図３のステップＳ１３）。秘密値Ｒ１０は秘密値記憶モジュール１３１に記憶される。秘密値暗号化モジュール１３２は、第１鍵記憶ユニット１１に記憶された通信用秘密鍵Ｋ１０を公開鍵として用いて秘密値Ｒ１０を暗号化して第１の暗号ＰＥＮ_K10（Ｒ１０）を生成する（図３のステップＳ１４）。秘密値送信モジュール１３３は、第１通信ユニット１２を制御して、第１の暗号ＰＥＮ_K10（Ｒ１０）を、端末１０の識別情報ＩＤ１０および要求メッセージとともにサーバ２０に送信する（図３のステップＳ１５、図２のプロセスＰ５０）。このように、端末１０、通信用秘密鍵の発行をサーバ２０に要求する際に、端末１０の識別情報ＩＤ１０と第１の暗号ＰＥＮ_K10（Ｒ１０）とを送信する。

　第１の暗号ＰＥＮ_K10（Ｒ１０）は、電文が価値を持っている時間内（次の通信用秘密鍵Ｋ１１が端末１０に配布されるまでの時間内）は、復号用秘密鍵Ｋ２０でなければ復号化できない。そのため、他者が通信用秘密鍵Ｋ１０を知っていても秘密値Ｒ１０を知ることができない。

　第２通信ユニット２２が要求メッセージを受け取ると（図３のステップＳ１６）、秘密値取得部２３１１は、第２鍵記憶ユニット２１に記憶された復号用秘密鍵Ｋ２０を用いて第１の暗号ＰＥＮ_K10（Ｒ１０）を復号化して、秘密値Ｒ１０を取得する（図３のステップＳ１７）。

　また、鍵生成モジュール２３０は、新たな通信用秘密鍵Ｋ１１と、新たな通信用秘密鍵Ｋ１１とペアとなる新たな復号用秘密鍵Ｋ２１とを生成する（図３のステップＳ１８）。

　暗号化部２３１２は、秘密値取得部２３１１より得た秘密値Ｒ１０を共通鍵として用いて新たな通信用秘密鍵Ｋ１１を暗号化して第２の暗号を生成する（図３のステップＳ１９）。本実施形態では、暗号化部２３１２は、新たな通信用秘密鍵Ｋ１１と秘密値Ｒ１０との排他的論理和（＝［Ｒ１０　ＸＯＲ　Ｋ１１］）を第２の暗号として用いる。

　第２保管モジュール２３３は、鍵生成モジュール２３０で生成された新たな通信用秘密鍵Ｋ１１と新たな復号用秘密鍵Ｋ２１とを第２鍵記憶ユニット２１に記憶させる。

　通信用秘密鍵送信モジュール２３２は、第２通信ユニット２２を制御して、新たな通信用秘密鍵Ｋ１１の発行を要求した端末１０に第２の暗号を送信する（図３のステップＳ２０、図２のプロセスＰ６０）。このように、サーバ２０は、端末１０に第２の暗号（＝［Ｒ１０　ＸＯＲ　Ｋ１１］）を送信する。

　通信用秘密鍵復号化モジュール１３４は、上記第１通信ユニット１２が第２の暗号を受け取ると（図３のステップＳ２１）、第２の暗号（＝［Ｒ１０　ＸＯＲ　Ｋ１１］）と秘密値Ｒ１０との排他的論理和を求めることにより新たな通信用秘密鍵Ｋ１１を得る（図３のステップＳ２２）。

　第１保管モジュール１３５は、通信用秘密鍵復号化モジュール１３４によって得られた新たな通信用秘密鍵Ｋ１１を第１鍵記憶ユニット１１に記憶させる。

　そして、第１通信ユニット１２は、第１鍵記憶ユニット１１に新たな通信用秘密鍵Ｋ１１が記憶された後は、新たな通信用秘密鍵Ｋ１１を共通鍵として用いた暗号化通信をサーバ２０と行う。第２通信ユニット２２は、第２鍵記憶ユニット２１に新たな通信用秘密鍵Ｋ１１が記憶された後は、新たな通信用秘密鍵Ｋ１１を共通鍵として用いた暗号化通信を端末１０と行う。

　そのため、新たな通信用秘密鍵Ｋ１１が発行された後は、他者が前の通信用秘密鍵Ｋ１０を知っていても、端末１０とサーバ２０との間の通信を盗聴できなくなる。

　端末１０がサーバ２０から新たな通信用秘密鍵Ｋ１１を取得した後は、以下の手順でサーバ２０が端末１０にセッション鍵を配布する。

　端末１０がサーバ２０にセッション鍵の発行を要求する際、セッション鍵要求ユニット１５は、第１ノンスＮ１０とは別の新たな第１ノンスＮ１１を生成する。セッション鍵要求ユニット１５は、第１通信ユニット１２を制御して、第１ノンスＮ１１とセッション鍵要求メッセージとを端末１０の識別情報ＩＤ１０とともにサーバ２０に送信する（図２のプロセスＰ７０）。

　第２通信ユニット２２がセッション鍵要求メッセージを受け取ると、セッション鍵発行ユニット２５は、セッション鍵Ｋ３０とは別の新たなセッション鍵Ｋ３１を生成し、第２鍵記憶ユニット２１に記憶させる。セッション鍵発行ユニット２５は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵Ｋ１１と情報Ｉ２１とを用いて、第２メッセージ認証コードＭＡＣ_K11（Ｉ２１）を生成する。情報Ｉ２１は、端末１０から受信した端末１０の識別情報ＩＤ１０および第１ノンスＮ１１と、第２ノンスＮ２０とは別の新たな第２ノンスＮ２１と、サーバ２０の識別情報（サーバ識別情報）ＩＤ２０とである。すなわち、Ｉ２１＝（ＩＤ１０，Ｎ１１，Ｎ２１，ＩＤ２０）である。

　セッション鍵発行ユニット２５は、暗号化されたセッション鍵（＝［ＭＡＣ_K11（ＩＤ１０，Ｎ１１，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ３１］）を生成して、第２ノンスＮ２１とともに端末１０に送信する（図２のプロセスＰ８０）。

　第２ノンスＮ２１と暗号化されたセッション鍵とを第１通信ユニット１２が受け取ると、セッション鍵受取ユニット１６は第１メッセージ認証コードを生成する。

　セッション鍵受取ユニット１６は、第１メッセージ認証コード（＝ＭＡＣ_K11（ＩＤ１０，Ｎ１１，Ｎ２１，ＩＤ２０）と暗号化されたセッション鍵（＝［ＭＡＣ_K11（ＩＤ１０，Ｎ１１，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ３１］）との排他的論理和を演算することで、セッション鍵Ｋ３１を取得する。セッション鍵受取ユニット１６は、受け取ったセッション鍵Ｋ３１を第１鍵記憶ユニット１１に記憶させる。

　このようにして端末１０は、サーバ２０から新たなセッション鍵Ｋ３１を受け取る。

　本実施形態の鍵配布システムでは、端末１０がサーバ２０に新たな通信用秘密鍵の発行を要求する際に、公開鍵を用いて秘密値を暗号化してサーバ２０に送信する。サーバ２０は、暗号化された秘密値を公開鍵とペアになる私有鍵を用いて復号化する。サーバ２０は、新たな通信用秘密鍵を、秘密値で復号化できるように暗号化して、端末１０に送信する。端末１０は、暗号化された通信用秘密鍵を、秘密値を利用して復号化して、新たな通信用秘密鍵を取得する。

　仮に端末１０の利用者が変わった場合に、前の利用者が通信用秘密鍵を知っていたとしても、公開鍵とペアとなる私有鍵までは知りえない。そのため、前の利用者は、秘密値を知ることはできない。よって、秘密値を安全に利用できる。また、秘密値は新たな通信用秘密鍵をサーバ２０に要求してから取得するまでしか使用されない。そのため、秘密値が有効である時間内に、他人が秘密値を知る可能性はきわめて低い。よって、秘密値を用いて新たな通信用秘密鍵を暗号化することで、新たな通信用秘密鍵をサーバ２０から端末１０に安全に届けることができる。

　このように、本実施形態の鍵配布システムによれば、新たな通信用秘密鍵をサーバ２０から端末１０に安全に届けることができる。

　また、通信用秘密鍵を公開鍵として用いるから、サーバ２０だけが暗号化された秘密値を復号化できる。したがって、第三者は、通信用秘密鍵を用いても、暗号化された秘密鍵を復号化できない。よって、新たな通信用秘密鍵をサーバ２０から端末１０により安全に届けることができる。

　なお、サーバ２０は、通信用秘密鍵と復号用秘密鍵とを用いることで、特定の端末１０しか利用できないセッション鍵を他人に知られることなく配布できる。サーバ２０が端末１０に新たなセッション鍵を配布する処理（セッション鍵の更新処理）は、端末１０の利用者が変わったときに行われる。

　セッション鍵は、適宜のタイミングで定期的または不定期的に更新してもよい。つまり、同じ利用者が継続して端末１０を利用している間にセッション鍵の更新処理が行われるようにしてもよい。一般に、セッション鍵は使い捨ての暗号鍵である。そのため、たとえば、端末１０は、同じセッション鍵を所定の有効期間（たとえば１日）だけ保持するように構成されていてもよい。この場合、当該有効期間においてセッション鍵の更新処理が実行されれば、端末１０は当該有効期間よりも短い期間でセッション鍵を廃棄する。

　端末１０がセッション鍵を共通鍵として用いてサーバ２０と通信可能である場合、この端末１０はサーバ２０の管理下にあるといえる。同じサーバ２０の管理下にある端末１０同士は、互いに異なるセッション鍵を有していても、同じグループに属するといえる。なお、複数の端末１０に同じセッション鍵を配布することは想定していない。

　たとえば、サーバ２０が住宅用サーバであり、第１端末１０がスイッチであり、第２端末１０が照明器具であるとする。また、サーバ２０が、第１端末１０と第２端末１０とにそれぞれ異なるセッション鍵を配布したとする。この場合、各端末１０に配布されたセッション鍵はサーバ２０により保存・管理されている。よって、第１端末１０と第２端末１０とを同じ住宅内に存在する住宅設備としてグループ化できる。鍵配布システムは、同じグループに属する端末１０を互いに通信可能となるようにバインディングできる。バインディングされた端末１０同士は、サーバ２０を通して通信可能である。たとえば、上記の例では、スイッチである第１端末１０の操作を照明器具である第２端末１０の動作に反映させることができる。

　なお、新たな通信用秘密鍵Ｋ１１が第三者により読み取られる確率を低減するために、第２の暗号（＝［Ｒ１０　ＸＯＲ　Ｋ１１］）をさらに暗号化することが好ましい。たとえば、サーバ２０の暗号化部２３１２は、第２の暗号をさらに元の通信用秘密鍵Ｋ１０を共通鍵として用いた共通鍵方式（たとえば、ＤＥＳ、３－ＤＥＳ、ＡＥＳ）で暗号化してもよい。この場合、端末１０の通信用秘密鍵復号化モジュール１３４は、暗号化された第２の暗号を元の通信用秘密鍵Ｋ１０で復号化した後に、第２の暗号と秘密値Ｒ１０との排他的論理和を求めることにより新たな通信用秘密鍵Ｋ１１を取得するように構成される。このようにすれば、前の利用者は、通信用秘密鍵Ｋ１０を知っていたとしても、端末１０での復号化のアルゴリズムに何を用いるかを容易に知ることはできない。また、前の利用者は、秘密値Ｒ１０を知る必要もある。よって、新たな通信用秘密鍵Ｋ１０が第三者に知られる可能性を大幅に低減できる。

　（実施形態２）
　図４に示すように、本実施形態の鍵配布システムは、端末１０Ａとサーバ２０Ａとが実施形態１と異なる。本実施形態の鍵配布システムと実施形態１の鍵配布システムとで共通する構成には同一の符号を付して説明を省略する。

　サーバ２０Ａは、鍵発行ユニット２３Ａの通信用秘密鍵暗号化モジュール２３１Ａが実施形態１のサーバ２０と異なる。

　通信用秘密鍵暗号化モジュール２３１Ａは、秘密値取得部２３１１と、暗号化部２３１２Ａと、暗号化鍵生成部２３１３と、を有する。

　暗号化鍵生成部２３１３は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵（新たな通信用秘密鍵ではなく端末１０Ａが所有している通信用秘密鍵）を共通鍵として用いることで、秘密値を含むメッセージ認証コード（メッセージコード）よりなる暗号化鍵を生成するように構成される。

　暗号化部２３１２Ａは、暗号化鍵生成部２３１３より得た暗号化鍵を共通鍵として用いて新たな通信用秘密鍵を暗号化して第２の暗号を生成するように構成される。暗号化部２３１２Ａは、たとえば、暗号化鍵生成部２３１３より得た暗号化鍵と新たな通信用秘密鍵との排他的論理和を第２の暗号（暗号化された新たな通信用秘密鍵）として用いる。

　このように本実施形態の鍵発行ユニット２３Ａは、端末１０Ａから新たな通信用秘密鍵の発行が要求されると、端末１０Ａから受信した秘密値を含むメッセージ認証コードを生成する。そして、鍵発行ユニット２３Ａは、メッセージ認証コードを用いて新たな通信用秘密鍵を暗号化して端末１０Ａに送信する。

　端末１０Ａは、鍵要求ユニット１３Ａの通信用秘密鍵復号化モジュール１３４Ａで実施形態１の端末１０と異なる。

　通信用秘密鍵復号化モジュール１３４は、復号化鍵生成部１３４１と、復号部１３４２と、を有する。

　復号化鍵生成部１３４１は、第１通信ユニット１２が第２の暗号を受け取ると、第１鍵記憶ユニット１１に記憶された通信用秘密鍵と秘密値記憶モジュール１３１に記憶された秘密値とを用いて復号化鍵を生成する。復号化鍵は、暗号化鍵生成部２３１３で生成された暗号化鍵と同じ値を持つメッセージ認証コードである。つまり、復号化鍵生成部１３４１は、第１鍵記憶ユニット１１に記憶された通信用秘密鍵を共通鍵として用いることで、秘密値記憶モジュール１３１に記憶された秘密値を含むメッセージ認証コードを生成する。

　復号部１３４２は、復号化鍵生成部１３４１より得た復号化鍵を共通鍵として用いて第２の暗号を復号化し、これによって新たな通信用秘密鍵を取得するように構成される。復号化部１３４２は、たとえば、復号化鍵生成部１３４１より得た復号化鍵と第２の暗号との排他的論理和を演算することで、新たな通信用秘密鍵を取得する。

　次に図５を参照して本実施形態の鍵配布システムの動作について説明する。なお、プロセスＰ１０、Ｐ２０、Ｐ３０，Ｐ４０，Ｐ５０，Ｐ７０，Ｐ８０については実施形態１で述べたから説明を省略する。

　発行要求処理が開始されると、端末１０Ａは、端末１０Ａの識別情報ＩＤ１０と、第１の暗号ＰＥＮ_K10（Ｒ１０）とをサーバ２０Ａに送信する（プロセスＰ５０）。

　第２通信ユニット２２が要求メッセージを受け取ると、秘密値取得部２３１１は第２鍵記憶ユニット２１に記憶された復号用秘密鍵Ｋ２０を用いて第１の暗号ＰＥＮ_K10（Ｒ１０）を復号化して、秘密値Ｒ１０を取得する。

　また、鍵生成モジュール２３０は、新たな通信用秘密鍵Ｋ１１と、新たな通信用秘密鍵Ｋ１１とペアとなる新たな復号用秘密鍵Ｋ２１とを生成する。

　暗号化鍵生成部２３１３は、第２鍵記憶ユニット２１に記憶された元の通信用秘密鍵Ｋ１０を共通鍵として用いることで、秘密値Ｒ１０を含むメッセージ認証コードよりなる暗号化鍵を生成する。具体的には、暗号化鍵生成部２３１３は、通信用秘密鍵Ｋ１０と情報Ｉ３０とを用いて、暗号化鍵（＝ＭＡＣ_K10（Ｉ３０））を生成する。情報Ｉ３０は、端末１０Ａから受信した秘密値Ｒ１０と、ノンス（第３ノンス）Ｎ３０と、サーバ２０Ａの識別情報ＩＤ２０とである。すなわち、Ｉ３０＝（Ｒ１０，Ｎ３０，ＩＤ２０）である。このように暗号化鍵生成部２３１３は、暗号化鍵を生成するために、第３ノンスＮ３０を生成する。第３ノンスＮ３０の値は、セッション鍵の発行時に生成された第２ノンスＮ２０とは異なる。なお、第３ノンスＮ３０の代わりに第２ノンスＮ２０を用いても良い。しかしながら、第２ノンス２０とは別の第３ノンスＮ３０を用いたほうが通信の安全性が高い。

　暗号化部２３１２Ａは、暗号化鍵生成部２３１３より得た暗号化鍵（＝ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０））を共通鍵として用いて新たな通信用秘密鍵Ｋ１１を暗号化して第２の暗号を生成する。本実施形態では、暗号化部２３１２Ａは、新たな通信用秘密鍵Ｋ１１と暗号化鍵（＝ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０））との排他的論理和（＝［ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０）　ＸＯＲ　Ｋ１１］）を第２の暗号として用いる。

　通信用秘密鍵送信モジュール２３２は、第２通信ユニット２２を制御して、新たな通信用秘密鍵Ｋ１１の発行を要求した端末１０Ａに、第２の暗号を第３ノンスＮ３０とともに送信する（図５のプロセスＰ６０Ａ）。このように、サーバ２０Ａは、端末１０Ａに第２の暗号（＝［ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０）　ＸＯＲ　Ｋ１１］）と、第３ノンスＮ３０とを送信する。

　なお、暗号化鍵の情報Ｉ３０には、端末１０Ａの識別情報ＩＤ１０を含めるようにしてもよい。すなわち、暗号化鍵の値は、ＭＡＣ_K10（ＩＤ１０，Ｒ１０，Ｎ３０，ＩＤ２０）であってもよい。

　通信用秘密鍵復号化モジュール１３４Ａでは、第１通信ユニット１２が第２の暗号と第３ノンスＮ３０とを受け取ると、秘密値記憶モジュール１３１に記憶された秘密値Ｒ１０、サーバ２０Ａの識別情報ＩＤ２０と、サーバ２０Ａから受信した第３ノンスＮ３０と元の通信用秘密鍵Ｋ１０とを用いて暗号化鍵に相当する値（＝ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０））を算出し、復号化鍵を生成する。

　復号化部１３４２は、復号化鍵生成部１３４１より得た復号化鍵（＝ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０））と第２の暗号（＝［ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０）　ＸＯＲ　Ｋ１１］）との排他的論理和を演算することで、新たな通信用秘密鍵Ｋ１１を取得する。なお、情報Ｉ３０が端末１０Ａの識別情報ＩＤ１０を含む場合には、復号化鍵の生成にも識別情報ＩＤ１０を用いる。

　第１保管モジュール１３５は、通信用秘密鍵復号化モジュール１３４Ａによって得られた新たな通信用秘密鍵Ｋ１１を第１鍵記憶ユニット１１に記憶させる。

　上述のようにメッセージ認証コードを暗号化鍵として用いれば、新たな通信用秘密鍵Ｋ１１が漏洩する可能性をさらに低減できる。また、メッセージ認証を行うことによって、サーバ２０Ａと端末１０Ａとは、第三者による通信用秘密鍵の改竄を検出できる。よって、通信用秘密鍵を用いた暗号化通信の安全性を保証できる。

　なお、端末１０Ａがサーバ２０Ａに接続されると、サーバ２０Ａが端末１０Ａにチャレンジコードを送信するようにしてもよい。この場合、端末１０Ａは、サーバ２０Ａからチャレンジコードを受け取らなければ、発行要求処理を開始できないように構成される。このようにすれば、サーバ２０Ａへのトラフィックを増大させてサービスの提供を不能にするＤｏＳ（Denial of Service attack）という攻撃を防止できる。

　なお、サーバ２０Ａは、新たな通信用秘密鍵とともにセッション鍵を端末１０Ａに送信するように構成されていてもよい。

　この場合、セッション鍵発行ユニット２５は、端末１０から新たな通信用秘密鍵の発行が要求されたときに、セッション鍵の発行の処理を行うように構成される。

　セッション鍵発行ユニット２５は、端末１０から要求メッセージを受け取ると、セッション鍵を生成する。また、セッション鍵発行ユニット２５は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵を用いてセッション鍵を暗号化する。セッション鍵発行ユニット２５は、セッション鍵を暗号化するために、通信用秘密鍵を用いて第２メッセージ認証コード（第２メッセージコード）を生成する。セッション鍵発行ユニット２５は、第２メッセージ認証コードとセッション鍵との排他論理和を暗号化されたセッション鍵として用いる。第２メッセージ認証コードを生成するための情報は、端末１０から受信した端末１０の識別情報および秘密値と、第２ノンスと、サーバ２０の識別情報とを含む。セッション鍵発行ユニット２５は、暗号化されたセッション鍵を通信用秘密鍵送信ユニット２３２に与える。また、セッション鍵発行ユニット２５は、第２ノンスを通信用秘密鍵暗号化モジュール２３１Ａの暗号化鍵生成部２３１３に与える。

　次に図６を参照して本実施形態の変形例の鍵配布システムの動作について説明する。なお、プロセスＰ１０、Ｐ２０、Ｐ３０，Ｐ４０，Ｐ５０については実施形態１で述べたから説明を省略する。

　第２通信ユニット２２が要求メッセージを受け取ると、セッション鍵発行ユニット２５はセッション鍵Ｋ３０とは別の新たなセッション鍵Ｋ３１を生成する。セッション鍵発行ユニット２５は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵Ｋ１１と情報Ｉ２２とを用いて、第２メッセージ認証コードＭＡＣ_K11（Ｉ２２）を生成する。情報Ｉ２２は、端末１０から受信した端末１０Ａの識別情報ＩＤ１０および秘密値Ｒ１０と、第２ノンスＮ２１と、サーバ２０の識別情報ＩＤ２０とである。すなわち、Ｉ２２＝（ＩＤ１０，Ｒ１０，Ｎ２１，ＩＤ２０）である。

　セッション鍵発行ユニット２５は、暗号化されたセッション鍵（＝［ＭＡＣ_K11（ＩＤ１０，Ｒ１０，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ３１］）を通信用秘密鍵送信ユニット２３２に与える。また、セッション鍵発行ユニット２５は、第２ノンスＮ２１を暗号化鍵生成部２３１３に与える。

　鍵発行ユニット２３Ａでは、秘密値取得部２３１１が第１の暗号ＰＥＮ_K10（Ｒ１０）を復号化して、秘密値Ｒ１０を取得する。

　暗号化鍵生成部２３１３は、通信用秘密鍵Ｋ１０と情報Ｉ３１とを用いて、暗号化鍵（＝ＭＡＣ_K10（Ｉ３１））を生成する。情報Ｉ３１は、端末１０Ａから受信した秘密値Ｒ１０と、セッション鍵発行ユニット２５より得た第２ノンスＮ２１と、サーバ２０Ａの識別情報ＩＤ２０とである。すなわち、Ｉ３１＝（Ｒ１０，Ｎ２１，ＩＤ２０）である。

　暗号化部２３１２Ａは、新たな通信用秘密鍵Ｋ１１と暗号化鍵（＝ＭＡＣ_K10（Ｒ１０，Ｎ２１，ＩＤ２０））との排他的論理和（＝［ＭＡＣ_K10（Ｒ１０，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ１１］）を第２の暗号として用いる。

　通信用秘密鍵送信モジュール２３２は、第２通信ユニット２２を制御して、新たな通信用秘密鍵Ｋ１１の発行を要求した端末１０Ａに、第２の暗号とともに暗号化されたセッション鍵と第２ノンスＮ２１とを送信する（図６のプロセスＰ６１）。このように、変形例では、サーバ２０Ａは、第２の暗号（＝［ＭＡＣ_K10（Ｒ１０，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ１１］）と、暗号化されたセッション鍵（＝［ＭＡＣ_K11（ＩＤ１０，Ｒ１０，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ３１］）と、第２ノンスＮ２１とを端末１０Ａに送信する。

　端末１０Ａは、サーバ２０Ａから第２の暗号（＝［ＭＡＣ_K10（Ｒ１０，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ１１］）と、暗号化されたセッション鍵（＝［ＭＡＣ_K11（ＩＤ１０，Ｒ１０，Ｎ２１，ＩＤ２０）　ＸＯＲ　Ｋ３１］）と、第２ノンスＮ２１とを受け取ると、上述した処理を行うことで、新たな通信用秘密鍵Ｋ１１と新たなセッション鍵Ｋ３１とを取得する。

　上述の変形例では、新たな通信用秘密鍵Ｋ１１と新たなセッション鍵Ｋ３１とを同時に端末１０Ａに配布できる。そのため、図５に示す例に比べればサーバ２０Ａと端末１０Ａとの間のトラフィックを低減できる。よって、サーバ２０Ａと端末１０Ａとの間の通信に要する電力を低減でき、省エネルギ化を達成できる。

　なお、この変形例では、セッション鍵発行ユニット２５が生成した第２ノンスを鍵発行ユニット２３Ａで使用しているが、鍵発行ユニット２３Ａが生成した第３ノンスをセッション鍵発行ユニット２５で使用してもよい。

　なお、本実施形態では、メッセージ認証の手続には、クリプトナイトを採用している。しかしながら、メッセージ認証の手続には、ケルベロスを採用してもよい。ケルベロスではノンスに代えて時間が用いられる。したがって、ケルベロスでは、ノンス性ないし乱数性の管理が時間管理に置き換えられる。

　（実施形態３）
　図７に示すように、本実施形態の鍵配布システムは、端末１０Ｂとサーバ２０Ｂとが実施形態２と異なる。本実施形態の鍵配布システムと実施形態２の鍵配布システムとで共通する構成には同一の符号を付して説明を省略する。

　端末１０Ｂは、鍵要求ユニット１３Ｂで実施形態２の端末１０Ａと異なる。

　鍵要求ユニット１３Ｂは、秘密値生成モジュール１３０と、秘密値記憶モジュール１３１と、秘密値暗号化モジュール１３２Ｂと、秘密値送信モジュール１３３と、通信用秘密鍵復号化モジュール１３４Ａと、第１保管モジュール１３５と、乱数生成モジュール１３６と、乱数送信モジュール１３７と、を有する。

　乱数生成モジュール１３６は、秘密値として用いられる第１乱数とは別の第２乱数を生成するように構成される。乱数生成モジュール１３６は、第２乱数を秘密値暗号化モジュール１３２Ｂと乱数送信モジュール１３７とに与える。第２乱数は、秘密値よりも桁数が多い数値であることが好ましい。第２乱数の桁数を多くすればするほど、秘密値が漏洩する可能性を低くできる。

　乱数送信モジュール１３７は、乱数生成モジュール１３６より受け取った第２乱数がサーバ２０Ｂに送信されるように第１通信ユニット１２を制御するように構成される。ここで、第２乱数は発行要求処理の実行前にサーバ２０Ｂに送信されることが好ましい。たとえば、乱数送信モジュール１３７は、端末１０Ｂが通信ネットワーク３０に接続された際に、サーバ２０Ｂに第２乱数を送信するように構成される。

　秘密値暗号化モジュール１３２Ｂは、通信数値生成部１３２１と、通信数値暗号化部１３２２と、を有する。

　通信数値生成部１３２１は、秘密値記憶モジュール１３１に記憶された秘密値より桁数が通信数値を生成するように構成される。通信数値生成部１３２１は、乱数生成モジュール１３６より得た第２乱数と秘密値記憶モジュール１３１に記憶された秘密値との単純演算により通信数値を生成する。本実施形態では、通信数値生成部１３２１は、演算に用いる秘密値に桁数を大きくするための第２乱数を結合することで通信数値を生成する。ここで、秘密値をＲ１０、第２乱数をＲ２０としたとき、通信数値は「Ｒ１０∥Ｒ２０」で表される。ｘ∥ｙは、左側の数値ｘに右側の数値ｙを単純に連結することを意味する。このような単純演算をコンカチネーションと呼ぶ。たとえば、「１２３∥１２３」は、「１２３１２３」になる。よって、通信数値では、上位の数値が秘密値であり、下位の数値が第２乱数である。このように通信数値生成部１３２１は、秘密値と第２乱数とを単純に連結するコンカチネーションにより通信数値を生成する。たとえば、秘密値が三桁の数値「１２３」であり、第２乱数が三桁の数値「４５６」である場合、通信数値は「１２３∥４５６」で表され、その値は「１２３４５６」である。なお、通信数値生成部１３２１は、秘密値と第２乱数との和を通信数値として用いても良いし、秘密値と第２乱数との積を通信数値として用いても良い。要は、通信数値の乱雑性が秘密値の乱雑性よりも高くなればよい。

　通信数値暗号化部１３２２は、通信数値生成部１３２１で生成された通信数値を暗号化して第１の暗号を生成するように構成される。通信数値暗号化部１３２２は、第１鍵記憶ユニット１１に記憶された通信用秘密鍵を公開鍵として用いて通信数値を暗号化する。たとえば、通信数値暗号化部１３２２は、新たな通信用秘密鍵を要求する処理の開始時に第１鍵記憶ユニット１１に記憶されている通信用秘密鍵を用いて公開鍵方式（たとえば、ＲＳＡ）で通信数値を暗号化して第１の暗号を生成する。

　このように本実施形態の鍵要求ユニット２３Ｂは、秘密値として使用する第１乱数と、第２乱数とを生成する。鍵要求ユニット２３Ｂは、サーバ２０Ｂに新たな通信用秘密鍵の発行を要求する前に第２乱数をサーバ２０Ｂに送信する。鍵要求ユニット２３Ｂは、第１乱数と第２乱数との単純演算により通信数値を生成する。鍵要求ユニット２３Ｂは、第１鍵記憶ユニット１１に記憶された公開鍵（本実施形態では通信用秘密鍵）を用いて通信数値を暗号化してサーバ２０Ｂに送信する。

　サーバ２０Ｂは、鍵発行ユニット２３Ｂで実施形態２のサーバ２０Ａと異なる。

　鍵発行ユニット２３Ｂは、鍵生成モジュール２３０と、通信用秘密鍵暗号化モジュール２３１Ｂと、通信用秘密鍵送信モジュール２３２と、第２保管モジュール２３３と、乱数記憶モジュール２３４と、を有する。

　乱数記憶モジュール２３４は、たとえば、第２通信ユニット２２が端末１０Ｂから受け取った第２乱数を記憶するように構成される。

　通信用秘密鍵暗号化モジュール２３１Ｂは、秘密値取得部２３１１Ｂと、暗号化部２３１２Ａと、暗号化鍵生成部２３１３と、を有する。

　秘密値取得部２３１１Ｂは、第２通信ユニット２２が要求メッセージを受け取ると、第２通信ユニット２２が受け取った第１の暗号を復号化して通信数値を得るように構成される。秘密値取得部２３１１Ｂは、通信用秘密鍵とペアとなる復号用秘密鍵を用いて第１の暗号を復号化する。また、秘密値取得部２３１１Ｂは、取得した通信数値と乱数記憶モジュール２３４に記憶された第２乱数との単純演算により秘密値を取得するように構成される。

　次に図８を参照して本実施形態の鍵配布システムの動作について説明する。なお、プロセスＰ１０、Ｐ２０、Ｐ３０，Ｐ４０，Ｐ７０，Ｐ８０については実施形態１で述べたから説明を省略する。また、プロセスＰ５０ＢとプロセスＰ５０とで重複する説明を省略し、プロセスＰ６０ＢとプロセスＰ６０Ａとで重複する説明も省略する。

　発行要求処理が開始されると、通信数値生成部１３２１は、乱数生成モジュール１３６より得た第２乱数Ｒ２０と秘密値記憶モジュール１３１に記憶された秘密値Ｒ１０との単純演算により通信数値Ｒ１０∥Ｒ２０を生成する。

　通信数値暗号化部１３２２は、第１鍵記憶ユニット１１に記憶された通信用秘密鍵Ｋ１０を公開鍵として用いて通信数値Ｒ１０∥Ｒ２０を暗号化して第１の暗号ＰＥＮ_K10（Ｒ１０∥Ｒ２０）を生成する。

　秘密値送信モジュール１３３は、第１通信ユニット１２を制御して、第１の暗号ＰＥＮ_K10（Ｒ１０∥Ｒ２０）を、端末１０Ｂの識別情報ＩＤ１０および要求メッセージとともにサーバ２０Ｂに送信する（図８のプロセスＰ５０Ｂ）。

　このように、端末１０Ｂは、通信用秘密鍵の発行をサーバ２０Ｂに要求する際に、端末１０Ｂの識別情報ＩＤ１０と第１の暗号ＰＥＮ_K10（Ｒ１０∥Ｒ２０）とを送信する。

　第２通信ユニット２２が要求メッセージを受け取ると、秘密値取得部２３１１Ｂは、第２鍵記憶ユニット２１に記憶された復号用秘密鍵Ｋ２０を用いて第１の暗号ＰＥＮ_K10（Ｒ１０∥Ｒ２０）を復号化して、通信数値Ｒ１０∥Ｒ２０を取得する。さらに、秘密値取得部２３１１Ｂは、乱数記憶モジュール１３７に記憶された第２乱数Ｒ２０と通信数値Ｒ１０∥Ｒ２０との単純演算によって、秘密値Ｒ１０を取得する。つまり、秘密値取得部２３１１Ｂは、通信数値Ｒ１０∥Ｒ２０から第２乱数Ｒ２０を取り除く。

　暗号化部２３１２Ａは、暗号化鍵生成部２３１３より得た暗号化鍵（＝ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０））を共通鍵として用いて新たな通信用秘密鍵Ｋ１１を暗号化して第２の暗号（＝［ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０）　ＸＯＲ　Ｋ１１］）を生成する。

　通信用秘密鍵送信モジュール２３２は、第２通信ユニット２２を制御して、新たな通信用秘密鍵Ｋ１１の発行を要求した端末１０Ｂに第２の暗号と第３ノンスＮ３０とを送信する（図８のプロセスＰ６０Ｂ）。

　このように、サーバ２０Ｂは、端末１０Ｂに第２の暗号（＝［ＭＡＣ_K10（Ｒ１０，Ｎ３０，ＩＤ２０）　ＸＯＲ　Ｋ１１］）を送信する。

　上述のように、端末１０Ｂは、発行要求処理において、秘密値Ｒ１０より桁数が多い通信数値Ｒ１０∥Ｒ２０を生成して、サーバ２０Ｂに送信する。ここで、通信数値Ｒ１０∥Ｒ２０は第三者に知られる可能性がある。しかしながら、通信数値Ｒ１０∥Ｒ２０は桁数が多く、しかも第三者は秘密値Ｒ１０と第２乱数Ｒ２０とからどのように通信数値Ｒ１０∥Ｒ２０が生成されているかを知ることはできない。よって、通信数値Ｒ１０∥Ｒ２０から総当たり法などで秘密値Ｒ１０を得ることは、秘密値Ｒ１０が価値を持つ時間内ではほぼ不可能である。

　本実施形態の鍵配布システムでは、秘密値を用いて生成された通信数値を端末１０Ｂがサーバ２０Ｂに送信する。通信数値は秘密値より桁数が多いから、秘密値そのものを送信する場合に比べて秘密値が第三者に知られる可能性が大幅に低減される。

　ここで、単純に秘密値の桁数を多くすることによっても、秘密値が第三者に知られる可能性を大幅に低減できる。しかしながら、この場合には、サーバ２０Ｂや端末１０Ｂでの処理負荷が増大してしまう。

　これに対して、本実施形態の鍵配布システムでは、秘密値より桁数が多い通信数値は、端末１０Ｂからサーバ２０Ｂに秘密値を送信するときだけ使用される。そのため、秘密値より桁数が大きい通信数値を用いて通信用秘密鍵の暗号化や復号化を行わなくて済む。つまり、本実施形態の鍵配布システムは、サーバ２０Ｂに秘密値を送信するときだけ擬似的に秘密値の桁数を多くするから、処理負荷が増大することがない。

　このように本実施形態の鍵配布システムは、秘密値が第三者に知られる可能性を低減でき、しかもサーバ２０Ｂおよび端末１０Ｂの処理負荷の増加を抑制できる。

　（実施形態４）
　図９に示すように、本実施形態の鍵配布システムは、端末１０Ｃとサーバ２０Ｃとが実施形態２と異なる。本実施形態の鍵配布システムと実施形態２の鍵配布システムとで共通する構成には同一の符号を付して説明を省略する。

　端末１０Ｃは、第１鍵記憶ユニット１１と、第１通信ユニット１２と、鍵要求ユニット１３Ｃと、第１識別情報記憶ユニット１４と、セッション鍵要求ユニット１５と、セッション鍵受取ユニット１６と、第１原始元記憶ユニット１７と、を有する。端末１０Ｃと端末１０Ａとで共通する構成の説明は省略する。

　第１原始元記憶ユニット１７は、大きい値の素数ｐと適宜値の原始元ｇとを記憶するように構成される。通信の安全性を考慮すれば、素数ｐと原始元ｇとを非公開とすることが好ましい。素数ｐと原始元ｇとを非公開とする場合には、素数ｐと原始元ｇとは管理装置４０によって端末１０Ｃに与えられる。

　鍵要求ユニット１３Ｃは、秘密値生成モジュール（第１秘密値生成モジュール）１３０Ｃと、秘密値記憶モジュール（第１秘密値記憶モジュール）１３１Ｃと、第１公開鍵生成モジュール１３８と、第１公開鍵送信モジュール１３９と、を有する。

　秘密値生成モジュール１３０Ｃは、新たな通信用秘密鍵の発行を要求する際に数値よりなる秘密値（第１秘密値）を生成するように構成される。第１秘密値は乱数である。

　秘密値記憶モジュール１３１Ｃは、秘密値生成モジュール１３０Ｃで生成された第１秘密値を記憶するように構成される。

　第１公開鍵生成モジュール１３８は、第１原始元記憶モジュール１７に記憶された原始元に秘密値記憶モジュール１３１Ｃに記憶された第１秘密値を適用することによって、ディフィー・ヘルマン鍵共有方式の第１公開鍵Ｋ４１を第１の暗号として生成するように構成される。第１秘密値をｘとすると、第１公開鍵Ｋ４１は、ｇ^xのｐを法とした剰余Ｒ^x（＝ｇ^x　ｍｏｄ　ｐ）で表される。

　第１公開鍵送信モジュール１３９は、新たな通信用秘密鍵の発行を要求する要求メッセージ（要求コマンド）とともに第１公開鍵生成モジュール１３８で生成された第１公開鍵Ｋ４１がサーバ２０に送信されるように第１通信ユニット１２を制御するように構成される。第１公開鍵送信モジュール１３９は、第１公開鍵Ｋ４１とともに端末１０Ｃの識別情報も第１通信ユニット１２に送信させる。

　このように、鍵要求ユニット１３Ｃは、サーバ２０Ｃに新たな通信用秘密鍵の発行を要求するときに、数値よりなる第１秘密値を新たに生成する。また、鍵要求ユニット１３Ｃは、第１原始元記憶ユニット１７に記憶された原始元に第１秘密値を適用することによりディフィー・ヘルマン鍵共有方式の第１公開鍵Ｋ４１を生成する。鍵要求ユニット１３Ｃは、第１公開鍵Ｋ４１をサーバ２０Ｃに送信する。

　サーバ２０Ｃは、第２鍵記憶ユニット２１と、第２通信ユニット２２と、鍵発行ユニット２３Ｃと、第２識別情報記憶ユニット２４と、セッション鍵発行ユニット２５と、第２原始元記憶ユニット２６と、を有する。サーバ２０Ｃとサーバ２０Ａとで共通する構成の説明は省略する。

　第２原始元記憶ユニット２６は、第１原始元記憶ユニット１７と同様に、大きい値の素数ｐと適宜値の原始元ｇとを記憶するように構成される。素数ｐと原始元ｇとを非公開とする場合には、素数ｐと原始元ｇとは管理装置４０によってサーバ２０Ｃに与えられる。

　鍵発行ユニット２３Ｃは、鍵生成モジュール２３０Ｃと、通信用秘密鍵暗号化モジュール２３１Ｃと、通信用秘密鍵送信モジュール２３２Ｃと、第２保管モジュール２３３Ｃと、第２秘密値生成モジュール２３５と、第２公開鍵生成モジュール２３６と、を有する。

　鍵生成モジュール２３０Ｃは、第２通信ユニット２２が端末１０Ｃから要求メッセージを受け取ると、新たな通信用秘密鍵を生成するように構成される。

　第２秘密値生成モジュール２３５は、第２通信ユニット２２が要求メッセージを受け取ると、数値よりなる第２秘密値を生成するように構成される。第２秘密値は乱数である。つまり、第２秘密値生成モジュール２３５は、要求メッセージの受信毎にランダムな数値を持つ第２秘密値を生成する。つまり、通信用秘密鍵を発行する毎に第２秘密値は異なる数値を持つ。第２秘密値は新たな通信用秘密鍵を端末１０Ｃに送信するまで用いられる。

　通信用秘密鍵暗号化モジュール２３１Ｃは、第２共通鍵生成モジュール２３１４と、暗号化部２３１２Ｃと、を有する。

　第２共通鍵生成モジュール２３１４は、第２通信ユニット２２が要求メッセージを受け取ると、第２通信ユニット２２が受け取った第１公開鍵Ｋ４１と第２秘密値生成モジュール２３５で生成された第２秘密値とを用いて、ディフィー・ヘルマン鍵共有方式の共通鍵Ｋ４０を生成するように構成される。第２秘密値をｙとすると、共通鍵Ｋ４０は、（Ｒ^x）^yのｐを法とした剰余Ｒ^xy（＝ｇ^xy　ｍｏｄ　ｐ）で表される。このような共通鍵Ｋ４０（＝Ｒｘｙ）は素数ｐを法としてｇ^xyと合同である。すなわち、Ｒ^xy＝ｇ^xy　ｍｏｄ　ｐである。

　暗号化部２３１２Ｃは、第２共通鍵生成モジュール２３１４より得られた共通鍵Ｋ４０を用いて新たな通信用秘密鍵を暗号化して、第２の暗号を生成するように構成される。本実施形態では、暗号化部２３１２Ｃは、共通鍵Ｋ４０を用いて、メッセージ認証コードよりなる暗号化鍵を生成する。暗号化部２３１２Ｃは、この暗号化鍵を共通鍵として用いて新たな通信用秘密鍵を暗号化して第２の暗号を生成する。暗号化部２３１２Ｃは、たとえば、暗号化鍵と新たな通信用秘密鍵との排他的論理和を第２の暗号（暗号化された新たな通信用秘密鍵）として用いる。

　第２公開鍵生成モジュール２３６は、第２原始元記憶モジュール２６に記憶された原始元に第２秘密値生成モジュール２３５で生成された第２秘密値を適用することによって、ディフィー・ヘルマン鍵共有方式の第２公開鍵Ｋ４２を生成するように構成される。第２秘密値をｙとすると、第２公開鍵Ｋ４２は、ｇ^yのｐを法とした剰余Ｒ^y（＝ｇ^y　ｍｏｄ　ｐ）で表される。

　通信用秘密鍵送信モジュール２３２Ｃは、第２通信ユニット２２を制御して、通信用秘密鍵暗号化モジュール２３１Ｃで生成された第２の暗号と、第２公開鍵生成モジュール２３６で生成された第２公開鍵Ｋ４２とを端末１０Ｃに送信するように構成される。

　第２保管モジュール２３３Ｃは、鍵生成モジュール２３０Ｃで生成された新たな通信用秘密鍵を第２鍵記憶ユニット２１に記憶させるように構成される。なお、第２保管モジュール２３３は、第２鍵記憶ユニット２１に記憶された通信用秘密鍵を、鍵生成モジュール２３０Ｃで生成された新たな通信用秘密鍵に更新するように構成されていてもよい。

　このように、鍵発行ユニット２３Ｃは、端末１０Ｃから新たな通信用秘密鍵の発行が要求されると、数値よりなる第２秘密値を生成する。鍵発行ユニット２３Ｃは、端末１０Ｃから受信した第１公開鍵と第２秘密値とを用いてディフィー・ヘルマン鍵共有方式の共通鍵Ｋ４０を生成する。鍵発行ユニット２３Ｃは、第２原始元記憶ユニット２６に記憶された原始元に第２秘密値を適用することによりディフィー・ヘルマン鍵共有方式の第２公開鍵Ｋ４２を生成する。鍵発行ユニット２３Ｃは、共通鍵Ｋ４０を用いて新たな通信用秘密鍵を暗号化して第２公開鍵Ｋ４２とともに端末１０Ｃに送信する。

　また、鍵発行ユニット２３Ｃは、端末１０Ｃから新たな通信用秘密鍵の発行が要求されると、新たな通信用秘密鍵を発行して第２鍵記憶ユニット２１に記憶させる。そのため、第２通信ユニット２２は、通信用秘密鍵を共通鍵として用いた暗号化通信を端末１０Ｃと行う場合には、新たな通信用秘密鍵を使用する。

　鍵要求ユニット１３Ｃは、さらに、通信用秘密鍵復号化モジュール１３４Ｃと、第１保管モジュール１３５と、を有する。

　通信用秘密鍵復号化モジュール１３４Ｃは、第１共通鍵生成モジュール１３４３と、復号化部１３４２Ｃと、を有する。

　第１共通鍵生成モジュール１３４３は、第１通信ユニット１２が第２の暗号と第２公開鍵Ｋ４２とを受け取ると、秘密値記憶モジュール１３１Ｃに記憶された第１秘密値ｘと第２公開鍵Ｋ４２とを用いてディフィー・ヘルマン鍵共有方式の共通鍵Ｋ４０を生成するように構成される。上述したように、共通鍵Ｋ４０は剰余Ｒ^xy（＝ｇ^xy　ｍｏｄ　ｐ）で表され、第２公開鍵Ｋ４２は剰余Ｒ^y（＝ｇ^y　ｍｏｄ　ｐ）で表される。よって、第１秘密値ｘと第２公開鍵Ｋ４２とから共通鍵Ｋ４０を生成できる。

　復号化部１３４２Ｃは、第１共通鍵生成モジュール１３４３で生成された共通鍵Ｋ４０を用いて第１通信ユニット１２が受け取った第２の暗号を復号化し、これによって新たな通信用秘密鍵を得るように構成される。本実施形態では、復号化部１３４２Ｃは、共通鍵Ｋ４０を用いて、暗号化部２３１２Ｃで生成された暗号化鍵と等しいメッセージ認証コードよりなる復号化鍵を生成する。復号化部１３４２Ｃは、この復号化鍵を共通鍵として用いて新たな通信用秘密鍵を復号化して第２の暗号を取得する。復号化部１３４２Ｃは、たとえば、復号化鍵と第２の暗号との排他論理和を求めることにより新たな通信用秘密鍵を取得する。

　このように鍵要求ユニット１３Ｃは、サーバ２０Ｃから暗号化された新たな通信用秘密鍵（第２の暗号）と第２公開鍵Ｋ４２とを受信すると、第１秘密値とサーバ２０Ｃから受信した第２公開鍵とを用いて共通鍵Ｋ４０を生成する。鍵要求ユニット１３Ｃは、共通鍵Ｋ４０を用いて第２の暗号を復号化して新たな通信用秘密鍵を取得して、第１鍵記憶ユニット１１に記憶させる。そのため、第１通信ユニット１２は、通信用秘密鍵を共通鍵として用いた暗号化通信をサーバ２０Ｃと行う場合には、新たな通信用秘密鍵を使用する。

　次に、図１０を参照して本実施形態の鍵配布システムの動作について説明する。なお、プロセスＰ３０，Ｐ４０，Ｐ７０，Ｐ８０については実施形態１で述べたから説明を省略する。

　なお、端末１０Ｃの出荷時には、端末１０Ｃに通信用秘密鍵を登録する作業と、管理装置２０に通信用秘密鍵Ｃを登録する作業とが行われる。通信用秘密鍵の登録には、管理装置４０が用いられる。管理装置４０は、通信用秘密鍵の登録の際には、インターネットのような通信路を用いてサーバ２０Ｃおよび端末１０Ｃに接続される。

　図１０に示すように、管理装置４０は、通信用秘密鍵Ｋ１０をサーバ２０Ｃに送信する（図１０のプロセスＰ１０Ｃ）。サーバ２０Ｃは、管理装置４０から受け取った通信用秘密鍵Ｋ１０を第２鍵記憶ユニット２１に登録する。

　管理装置４０は、端末１０Ｃを識別するための識別情報（端末識別情報）ＩＤ１０をサーバ２０Ｃに送信する。サーバ２０Ｃは、管理装置４０から受け取った識別情報ＩＤ１０を第２識別情報記憶ユニット２４に登録する。

　管理装置４０は、端末１０Ｃの識別情報ＩＤ１０と、サーバ２０Ｃに登録された通信用秘密鍵Ｋ１０とを端末１０Ｃに送信する（図１０のプロセスＰ２０Ｃ）。端末１０Ｃは、管理装置４０から受け取った識別情報ＩＤ１０を第１識別情報記憶ユニット１４に登録する。また、端末１０Ｃは、管理装置４０から受け取った通信用秘密鍵Ｋ１０を第１鍵記憶ユニット１１に登録する。

　すなわち、サーバ２０Ｃの第２鍵記憶ユニット２１と端末１０Ｃの第１鍵ユニット１１とには、それぞれ事前秘密鍵として通信用秘密鍵Ｋ１０が登録される。本実施形態では、実施形態２とは異なり、サーバ２０の第２鍵記憶ユニット２１には、通信用秘密鍵Ｋ１０とペアになる事前秘密鍵として復号用秘密鍵Ｋ２０が登録されない。

　発行要求処理が開始されると、秘密値生成モジュール１３０Ｃは、第１秘密値ｘを生成する。第１秘密値ｘは秘密値記憶モジュール１３１Ｃに記憶される。第１公開鍵生成モジュール１３８は、秘密値記憶モジュール１３１Ｃに記憶された第１秘密値ｘと第１原始元記憶ユニット１７に記憶された原始元ｇおよび素数ｐとを利用して、第１公開鍵Ｋ４１を生成する。第１公開鍵送信モジュール１３９は、第１通信ユニット１２を制御して、第１公開鍵Ｋ４１を、端末１０Ｃの識別情報ＩＤ１０および要求メッセージとともにサーバ２０Ｃに送信する（図１０のプロセスＰ５０Ｃ）。このように、端末１０Ｃは、通信用秘密鍵の発行をサーバ２０Ｃに要求する際に、端末１０Ｃの識別情報ＩＤ１０と第１の公開鍵Ｋ４１（＝Ｒ^x）とを送信する。

　第２通信ユニット２２が要求メッセージを受信すると、第２秘密値生成モジュール２３５は、第２秘密値ｙを生成する。

　第２公開鍵生成モジュール２３６は、第２原始元記憶モジュール２６に記憶された原始元ｇに第２秘密値生成モジュール２３５で生成された第２秘密値ｙを適用することによって、第２公開鍵Ｋ４２（＝Ｒ^y）を生成する。

　第２共通鍵生成モジュール２３１４は、第２通信ユニット２２が受け取った第１公開鍵Ｋ４１と第２秘密値生成モジュール２３５で生成された第２秘密値ｙとを用いて、共通鍵Ｋ４０を生成する。

　暗号化部２３１２Ｃは、共通鍵Ｋ４０と情報Ｉ４０とを用いて、暗号化鍵（＝ＭＡＣ_K40（Ｉ４０））を生成する。情報Ｉ４０は、共通鍵Ｋ４０と、第２公開鍵Ｋ４２（＝Ｒ^y）と、サーバ２０Ｃの識別情報ＩＤ２０とである。すなわち、Ｉ４０＝（Ｋ４０，Ｒ^y，ＩＤ２０）である。剰余Ｒｙは乱数である第２秘密値ｙにより生成されているから、実質的にノンスとして使用できる。

　暗号化部２３１２Ｃは、暗号化鍵（＝ＭＡＣ_K40（Ｋ４０，Ｒ^y，ＩＤ２０））と新たな通信用秘密鍵Ｋ１１との排他的論理和（＝［ＭＡＣ_K40（Ｋ４０，Ｒ^y，ＩＤ２０）　ＸＯＲ　Ｋ１１］）を第２の暗号（暗号化された新たな通信用秘密鍵）として用いる。共通鍵Ｋ４０は第１秘密値ｘを用いて生成されるため、通信用秘密鍵暗号化モジュール２３１Ｃは第１秘密値ｘを用いて新たな通信用秘密鍵Ｋ１１を暗号化しているといえる。

　通信用秘密鍵送信モジュール２３２Ｃは、第２通信ユニット２２を制御して、第２の暗号（＝［ＭＡＣ_K40（Ｋ４０，Ｒ^y，ＩＤ２０）　ＸＯＲ　Ｋ１１］）と、第２公開鍵Ｋ４２（＝Ｒ^y）とを端末１０Ｃに送信する（図１０のプロセスＰ６０Ｃ）。

　第２保管モジュール２３３Ｃは、鍵生成モジュール２３０Ｃで生成された新たな通信用秘密鍵Ｋ１１を第２鍵記憶ユニット２１に記憶させる。

　このように、サーバ２０Ｃは端末１０Ｃに第２の暗号と第２公開鍵Ｋ４２とを送信する。

　第１通信ユニット１２が第２の暗号と第２公開鍵Ｋ４２とを受け取ると、第１共通鍵生成モジュール１３４３は、秘密値記憶モジュール１３１Ｃに記憶された第１秘密値ｘと第２公開鍵Ｋ４２とを用いてディフィー・ヘルマン鍵共有方式の共通鍵Ｋ４０を生成する。

　このように、第１共通鍵生成モジュール１３４３は第１秘密値ｘと剰余Ｒ^yとを用いて、（Ｒ^y）^xの値を求める。ここで、Ｒ^yx＝（Ｒ^y）^x　ｍｏｄ　ｐとすると、Ｒ^yxは素数ｐを法としてｇ^xyと合同である。よって、Ｒ^xy＝Ｒ^yxである。そのため、第１共通鍵生成モジュール１３４３は、共通鍵Ｋ４０を生成できる。

　復号化部１３４２Ｃは、第１共通鍵生成モジュール１３４３で生成された共通鍵Ｋ４０と、サーバ２０Ｃの識別情報ＩＤ２０と、サーバ２０Ｃから受信した第２公開鍵Ｋ４２とを用いて復号化鍵（＝ＭＡＣ_K40（Ｋ４０，Ｒ^y，ＩＤ２０））を生成する。復号化部１３４２Ｃは、生成された復号化鍵（＝ＭＡＣ_K40（Ｋ４０，Ｒ^y，ＩＤ２０））と第２の暗号（＝［ＭＡＣ_K40（Ｋ４０，Ｒ^y，ＩＤ２０）　ＸＯＲ　Ｋ１１］）との排他的論理和を演算することで、新たな通信用秘密鍵Ｋ１１を取得する。

　第１保管モジュール１３５は、通信用秘密鍵復号化モジュール１３４Ｃによって得られた新たな通信用秘密鍵Ｋ１１を第１鍵記憶ユニット１１に記憶させる。

　そして、第１通信ユニット１２は、第１鍵記憶ユニット１１に新たな通信用秘密鍵Ｋ１１が記憶された後は、新たな通信用秘密鍵Ｋ１１を共通鍵として用いた暗号化通信をサーバ２０Ｃと行う。第２通信ユニット２２は、第２鍵記憶ユニット２１に新たな通信用秘密鍵Ｋ１１が記憶された後は、新たな通信用秘密鍵Ｋ１１を共通鍵として用いた暗号化通信を端末１０Ｃと行う。

　そのため、新たな通信用秘密鍵Ｋ１１が発行された後は、他者が前の通信用秘密鍵Ｋ１０を知っていても、端末１０Ｃとサーバ２０Ｃとの間の通信を盗聴できなくなる。

　以上述べた本実施形態の鍵配布システムは、ディフィー・ヘルマン鍵共有方式の共通鍵Ｋ４０を利用して、新たな通信用秘密鍵Ｋ１１を暗号化して端末１０Ｃに送信する。そのため、元の通信用秘密鍵Ｋ１０を知っている第三者であっても暗号化された新たな通信用秘密鍵Ｋ１１を復号化できない。よって、新たな通信用秘密鍵Ｋ１１を端末１０Ｃに安全に届けることができる。

Claims

　端末と、通信ネットワークを介して上記端末に接続されるサーバとを備え、
　上記端末は、
　　通信用秘密鍵と公開鍵とを記憶する書換可能な第１鍵記憶ユニットと、
　　上記第１鍵記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うための第１通信ユニットと、
　　上記サーバに新たな通信用秘密鍵の発行を要求するときに、数値よりなる秘密値を新たに生成するとともに、上記第１記憶ユニットに記憶された上記公開鍵を用いて上記秘密値を暗号化して第１の暗号を生成し、上記第１の暗号を上記サーバに送信する鍵要求ユニットと、を有し、
　上記サーバは、
　　上記通信用秘密鍵に加えて、上記公開鍵とペアになる私有鍵である復号用秘密鍵を記憶する書換可能な第２鍵記憶ユニットと、
　　上記第２鍵記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うための第２通信ユニットと、
　　上記端末から新たな通信用秘密鍵の発行が要求されると、新たな通信用秘密鍵を発行して上記第２鍵記憶ユニットに記憶させ、上記復号用秘密鍵を用いて上記第１の暗号を復号化することによって上記秘密値を取得し、当該秘密値を利用して上記新たな通信用秘密鍵を暗号化して第２の暗号を生成し、新たな通信用秘密鍵の発行を要求した上記端末に上記第２の暗号を送信する鍵発行ユニットと、を有し、
　上記鍵要求ユニットは、上記秘密値を利用して上記第２の暗号を復号化することによって上記新たな通信用秘密鍵を取得して、上記第１鍵記憶ユニットに記憶させるように構成され、
　　上記第１通信ユニットは、上記第１鍵記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うように構成され、
　　上記第２通信ユニットは、上記第２鍵記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うように構成されることを特徴とする鍵配布システム。
　上記鍵要求ユニットは、上記サーバに新たな通信用秘密鍵の発行を要求するときに、上記第１鍵記憶ユニットに記憶された上記通信用秘密鍵を上記公開鍵として用いて上記新たに生成された秘密値を暗号化するように構成され、
　上記鍵発行ユニットは、上記端末から新たな通信用秘密鍵の発行が要求されると、上記新たな通信用秘密鍵を発行するとともに、上記新たな通信用秘密鍵とペアになる私有鍵である新たな復号用秘密鍵を発行して上記第２鍵記憶ユニットに記憶させ、上記第２記憶ユニットに上記新たな復号用秘密鍵が記憶された後は、上記新たな復号用秘密鍵を用いて上記第１の暗号を復号化するように構成されることを特徴とする請求項１記載の鍵配布システム。
　上記鍵要求ユニットは、上記秘密値として使用する第１乱数と、第２乱数とを生成し、上記サーバに新たな通信用秘密鍵の発行を要求する前に上記第２乱数を上記サーバに送信し、上記第１乱数と上記第２乱数との単純演算により通信数値を生成し、上記公開鍵を用いて上記通信数値を暗号化して上記サーバに送信するように構成されることを特徴とする請求項１記載の鍵配布システム。
　上記鍵発行ユニットは、上記端末から新たな通信用秘密鍵の発行が要求されると、上記端末から受信した上記秘密値を含むメッセージコードを生成し、上記メッセージコードを用いて上記新たな通信用秘密鍵を暗号化して上記端末に送信するように構成されることを特徴とする請求項１記載の鍵配布システム。
　端末と、通信ネットワークを介して上記端末に接続されるサーバとを備え、
　上記端末は、
　　通信用秘密鍵を記憶する書換可能な第１鍵記憶ユニットと、
　　所定の原始元を記憶する第１原始元記憶ユニットと、
　　上記第１記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うための第１通信ユニットと、
　　上記サーバに新たな通信用秘密鍵の発行を要求するときに、数値よりなる第１秘密値を新たに生成するとともに、上記第１原始元記憶ユニットに記憶された上記原始元に上記第１秘密値を適用することによりディフィー・ヘルマン鍵共有方式の第１公開鍵を生成して上記サーバに送信する鍵要求ユニットと、を有し、
　上記サーバは、
　　上記通信用秘密鍵を記憶する第２鍵記憶ユニットと、
　　上記所定の原始元を記憶する第２原始元記憶ユニットと、
　　上記第２記憶ユニットに記憶された上記通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うための第２通信ユニットと、
　　上記端末から新たな通信用秘密鍵の発行が要求されると、数値よりなる第２秘密値を生成し、上記端末から受信した第１公開鍵と上記第２秘密値とを用いて上記ディフィー・ヘルマン鍵共有方式の共通鍵を生成し、上記第２原始元記憶ユニットに記憶された上記原始元に上記第２秘密値を適用することにより上記ディフィー・ヘルマン鍵共有方式の第２公開鍵を生成し、上記共通鍵を用いて上記新たな通信用秘密鍵を暗号化して上記第２公開鍵とともに新たな通信用秘密鍵の発行を要求した上記端末に送信する鍵発行ユニットと、を有し、
　上記鍵要求ユニットは、上記サーバから暗号化された上記新たな通信用秘密鍵と上記第２公開鍵とを受信すると、上記新たに生成された秘密値と上記サーバから受信した上記第２公開鍵とを用いて上記共通鍵を生成し、暗号化された上記新たな通信用秘密鍵を生成された上記共通鍵を用いて復号化して上記新たな通信用秘密鍵を取得して、上記第１鍵記憶ユニットに記憶させるように構成され、
　　上記第１通信ユニットは、上記第１記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記サーバと行うように構成され、
　　上記第２通信ユニットは、上記第２記憶ユニットに上記新たな通信用秘密鍵が記憶された後は、上記新たな通信用秘密鍵を共通鍵として用いた暗号化通信を上記端末と行うように構成されることを特徴とする鍵配布システム。