CN109496404A

CN109496404A - 终端装置、密钥分发管理装置、服务器/客户系统、通信方法、程序

Info

Publication number: CN109496404A
Application number: CN201780035527.XA
Authority: CN
Inventors: 川原祐人; 富士仁; 小林铁太郎; 吉田丽生; 山本具英
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2016-06-20
Filing date: 2017-06-08
Publication date: 2019-03-19
Anticipated expiration: 2037-06-08
Also published as: US20190124058A1; EP3474486A4; JP6534777B2; US11516195B2; EP3474486A1; CN109496404B; WO2017221723A1; JPWO2017221723A1; EP3474486B1

Abstract

提供不依赖于已知的服务器装置，可以在多个终端装置间在任意的定时共享密码通信中使用的会话密钥的终端装置。包括：在本装置作为主方装置操作的情况下，生成密钥分发请求，对密钥分发请求署名，将密钥分发请求发送到密钥分发管理装置的列表/请求发送单元；在本装置作为一般装置操作的情况下，生成参加请求，对参加请求署名，将参加请求发送到密钥分发管理装置的参加请求发送单元；与参加到会话的其它终端装置以及密钥分发管理装置合作，执行服务器/客户型的带认证多点密钥分发算法，生成会话密钥的会话密钥生成单元；在正常地生成了会话密钥的情况下，将成功通知发送到密钥分发管理装置，从密钥分发管理装置接收全体通知的事后确认单元。

Description

终端装置、密钥分发管理装置、服务器/客户系统、通信方法、程序

技术领域

本发明涉及执行服务器/客户型的带认证多点密钥分发算法的终端装置、密钥分发管理装置、服务器/客户系统、通信方法、程序。

背景技术

近年，大规模窃听怀疑变得明显等，在现在使用的密码通信方法中，变得难以确保对于通信或通话的隐匿性。因此，重新构筑客户间安全地进行通信或通话的方法的必要性日益提高。

接受上述情况，通过使用了SIP服务器、客户、密钥分发管理装置的密码电话系统达成即使对大规模的窃听者，也可以在多点安全地通话的系统。

作为确保通话的隐匿性的方法，存在使用SIP+SRTP协议的方法。作为关联的协议，已知以下协议。

RFC3261(用于建立会话的协议，例如非专利文献1)

RFC4568(决定了用于扩展密码会话的记法等的协议)

RFC3711(用于进行1对1的密码通话的协议)

同样，在通话以外的通信中也与上述同样存在多种扩展1对1的密码会话的技术。

【现有技术文献】

【专利文献】

【专利文献1】日本专利特开2016－134826号公报

【专利文献2】国际公开第2016/199507号

【非专利文献】

【非专利文献1】J.Rosenberg等，"SIP(会话开始协议)"，[online]，[平成28年6月3日检索]，因特网

URL:http://www.softfront.co.jp/tech/ietfdoc/trans/rfc3261j.txt>

发明内容

【发明要解决的课题】

在基于上述的协议的密码通信/通话中，无法达成以下内容。

(1)用于开始密码通信/通话的会话密钥的交换仅在会话开始时进行，所以在会话中不能更新会话密钥。

(2)用于交换会话密钥的消息形式依赖于在某个协议中利用的发送接收消息的形式。

(3)在1对1以上的通信/通话中不能利用。

在将上述的课题与SIP+SRTP对照的情况下，

(1)密钥交换仅在通话开始时进行，在会话中无法更新会话密钥。

(2)密钥交换由于通过嵌入SIP协议的INVITE消息等中来进行，所以依赖于该消息。

(3)不能利用于电话会议等多人数的电话。

因此，在本发明中，目的是提供不依赖于已知的服务器装置，可以在任意的定时在多个终端装置间共享在密码通信中使用的会话密钥的终端装置。

【用于解决课题的手段】

本发明的终端装置是将N设为2以上的整数，包含N台终端装置、密钥分发管理装置和认证信息数据库的服务器/客户系统中的终端装置。终端装置包括：列表/请求发送单元；参加请求发送单元；会话密钥生成单元；以及事后确认单元。

列表/请求发送单元在本装置作为主方(owner)装置操作的情况下，生成包含了包括参加到会话的终端装置的ID的用户列表以及本装置的ID的密钥分发请求，使用本装置的私钥对密钥分发请求署名，将密钥分发请求发送到密钥分发管理装置，维持与密钥分发管理装置的连接。

参加请求发送单元在本装置作为一般装置操作的情况下，生成包含本装置的ID的参加请求，使用本装置的私钥对参加请求署名，将参加请求发送到密钥分发管理装置，维持与密钥分发管理装置的连接。

会话密钥生成单元与参加到会话的其它终端装置以及密钥分发管理装置合作，执行服务器/客户型的带认证多点密钥分发算法，生成会话密钥。

事后确认单元在正常地生成了会话密钥的情况下，将表示正常地生成了会话密钥的成功通知发送到密钥分发管理装置，从密钥分发管理装置接收意味着从参加到会话的全部的终端装置接收到成功通知的全体通知。

【发明的效果】

按照本发明的终端装置，不依赖于已知的服务器装置，可以在多个终端装置间在任意的定时共享密码通信中使用的会话密钥。

附图说明

图1是表示实施例1的服务器/客户系统的概略结构的方框图。

图2是表示实施例1的密钥分发管理装置的结构的方框图。

图3是表示实施例1的终端装置的结构的方框图。

图4是表示实施例1的服务器/客户系统的列表/请求发送/验证操作的时序图。

图5是表示实施例1的服务器/客户系统的参加请求发送/验证操作的时序图。

图6是表示实施例1的服务器/客户系统的会话密钥生成操作(服务器/客户型的带认证多点密钥分发算法的时序图。

图7是表示实施例1的服务器/客户系统的事后验证/事后确认操作的时序图。

图8是表示实施例1的服务器/客户系统的会话密钥更新操作的时序图。

图9是表示将实施例1的服务器/客户系统与以往的SIP服务器组合，实现基于SRTP的密码电话系统的例子的图。

具体实施方式

以下，详细地说明本发明的实施方式。而且，对于具有相同的功能的结构单元赋予相同的标号，省略重复说明。

【实施例1】

以下，参照图1，说明实施例1的服务器/客户系统的结构。图1所示本实施例的服务器/客户系统1包含：密钥分发管理装置11、N台(其中将N设为2以上的整数)终端装置12－1，…，12－N；以及认证信息数据库13，终端装置12－1，…，12－N与密钥分发管理装置11通过因特网等不安全的通信路径可通信地构成。在认证信息数据库13中，存储有用于认证终端装置12－1，…，12－N的认证信息(例如，终端装置12－1，…，12－N的ID和RSA公钥)。而且，设为密钥分发管理装置11、终端装置12－1，…，12－N携带用于自身的认证的秘密信息(例如，RSA私钥)。

以下，参照图2说明本实施例的密钥分发管理装置11的结构。如图2所示，本实施例的密钥分发管理装置11包括：请求验证单元11A；会话密钥生成单元11C；以及事后验证单元11D。请求验证单元11A包括：列表/请求接收单元11A1；验证密钥取得单元11A2；署名验证单元11A3；客户验证单元11A4；署名生成单元11A5；以及响应发送单元11A6。会话密钥生成单元11C包括：控制单元110；分发处理单元111、112；通信单元118以及存储单元119。事后验证单元11D包括：密钥更新请求发送单元11D1；成功通知接收单元11D2；以及全体通知发送单元11D3。

以下，参照图3说明本实施例的终端装置12的结构。如图3所示，本实施例的终端装置12包括：列表/请求发送单元12A；参加请求发送单元12B；会话密钥生成单元12C；以及事后确认单元12D。列表/请求发送单元12A包括：用户列表存储单元12A1；密钥分发请求生成单元12A2；署名单元12A3；列表/请求发送单元12A4；以及连接控制单元12A5。参加请求发送单元12B包括：参加请求生成单元12B1；署名单元12B2；参加请求发送单元12B3；以及连接控制单元12B4。会话密钥生成单元12C包括：控制单元120；处理单元121～124；通信单元128；以及存储单元129。事后确认单元12D包括：密钥更新请求接收单元12D1；成功通知生成单元12D2；成功通知发送单元12D3；以及全体通知接收单元12D4。

各装置是通过具有例如通信装置、CPU(central processing unit)等处理器(硬件/处理器)或RAM(random-access memory)、ROM(read-only memory)等存储器等的通用或者专用的计算机执行规定的程序而构成的装置。该计算机既可以具有1个处理器或存储器，也可以具有多个处理器或存储器。该程序既可以安装在计算机中，也可以预先记录在ROM等中。而且，也可以不是如CPU那样通过读入程序实现功能结构的电子回路(circuitry)，而是利用不使用程序而实现处理功能的电子回路来构成一部分或者全部处理单元。而且，构成1个装置的电子回路也可以包含多个CPU。而且，各装置根据自身具有的控制单元110、120的控制执行各处理。各装置的在各处理中得到的数据逐一存储在各自具有的存储单元119、129中，根据需要读出并使用。

以下，参照图4～图8，详细地说明各装置的操作。这里，说明终端装置12－1～12－N构成的集合的部分集合(用户集合)即终端装置12－σ(1)～12－σ(n)建立会话，共享会话密钥的处理。其中，设n是2以上N以下的整数，以下，为了使记述简单，不失一般性地假定为(σ(1)，···，σ(n))＝(1，···，n)。

而且，在以下的说明中，设为终端装置12－n作为主人(owner)装置来行动，参加到会话其它终端装置12－1，…，12－(n－1)作为一般装置行动来说明。

＜步骤S12A＞

作为主方装置操作的终端装置12－n的列表/请求发送单元12A，生成包含了包括参加到会话的终端装置(12－1，…，12－n)的ID的用户列表、以及本装置的ID的密钥分发请求，使用本装置的私钥在密钥分发请求中署名，将密钥分发请求发送到密钥分发管理装置11，维持与密钥分发管理装置11的连接(将该操作称为步骤S12A)。

具体来说，列表/请求发送单元12A的用户列表存储单元12A1预先存储以任意方法取得的用户列表。密钥分发请求生成单元12A2生成包含本装置的ID和用户列表的密钥分发请求(S12A2)。署名单元12A3使用本装置的私钥在密钥分发请求上署名(S12A3)。列表/请求发送单元12A4将密钥分发请求发送到密钥分发管理装置11(S12A4)。连接控制单元12A5维持与密钥分发管理装置11的连接(S12A5)。

＜步骤S11A＞

密钥分发管理装置11的请求验证单元11A从主方装置12－n接收密钥分发请求，从认证信息数据库13取得主方装置12－n的验证密钥，验证密钥分发请求的署名，验证用户列表中包含的终端装置(12－1，…，12－n)的ID是否全都是认证信息数据库13中存在的ID，根据验证结果，将使用本装置的私钥署名的响应发送到主方装置12－n(将该操作称为步骤S11A)。

具体来说，请求验证单元11A的列表/请求接收单元11A1从主方装置12－n接收密钥分发请求(S11A1)。验证密钥取得单元11A2从认证信息数据库13取得主方装置12－n的验证密钥(S11A2)。署名验证单元11A3验证密钥分发请求的署名(S11A3)。客户验证单元11A4验证用户列表中包含的终端装置(12－1，…，12－n)的ID是否全都是认证信息数据库13中存在的ID(S11A4)。署名生成单元11A5根据验证结果，使用本装置的私钥对响应署名(S11A5)。响应发送单元11A6将署名的响应发送到主方装置12－n(S11A6)。

＜步骤S12B＞

作为一般装置操作的终端装置12－1，…，12－(n－1)的参加请求发送单元12B生成包含本装置的ID的参加请求，使用本装置的私钥对参加请求署名，将参加请求发送到密钥分发管理装置11，维持与密钥分发管理装置11的连接(将该操作称为步骤S12B)。

具体来说，参加请求发送单元12B的参加请求生成单元12B1生成包含本装置的ID的参加请求(S12B1)。署名单元12B2使用本装置的私钥对参加请求署名(S12B2)。参加请求发送单元12B3将参加请求发送到密钥分发管理装置11(S12B3)。连接控制单元12B4维持与密钥分发管理装置11的连接(S12B4)。

＜步骤S11A(2)＞

密钥分发管理装置11的请求验证单元11A从一般装置12－1，…，12－(n－1)接收参加请求，从认证信息数据库13取得一般装置12－1，…，12－(n－1)的验证密钥，验证参加请求的署名，根据验证结果，将使用本装置的私钥署名的响应发送到一般装置12－1，…，12－(n－1)(将该操作称为步骤S11A(2))。

具体来说，请求验证单元11A的列表/请求接收单元11A1从一般装置12－1，…，12－(n－1)接收参加请求(S11A1(2))。验证密钥取得单元11A2从认证信息数据库13取得一般装置12－1，…，12－(n－1)的验证密钥(S11A2(2))。署名验证单元11A3验证参加请求的署名(S11A3(2))。署名生成单元11A5根据验证结果，使用本装置的私钥对响应署名(S11A5(2))。响应发送单元11A6将署名的响应发送到一般装置12－1，…，12－(n－1)(S11A6(2))。

＜步骤S12C＞

参加到会话的终端装置12－p(其中p是1，…，n的其中一个)的会话密钥生成单元12C与参加到会话的其它终端装置12－q(其中q≠p且q＝1，…，n)以及密钥分发管理装置11合作，执行服务器/客户型的带认证多点密钥分发算法，生成会话密钥(将该操作称为步骤S12C)。而且，终端装置12－p与其它终端装置12－q不直接通过通信路径连接，各终端装置的运算结果全部发送到密钥分发管理装置11，接收到运算结果的密钥分发管理装置11将基于该运算结果的运算结果发送到各终端装置12－1，…，12－(n－1)。即，这里需要注意，前述的“合作”，意思是使密钥分发管理装置11那样的中央装置居中调解而执行的“合作”处理。

＜步骤S11C＞

同样，密钥分发管理装置11的会话密钥生成单元11C与参加到会话的终端装置12－1，…，12－n合作，执行服务器/客户型的带认证多点密钥分发算法，使参加到会话的终端装置12－1，…，12－n生成会话密钥(将该操作称为步骤S11C)。

＜步骤S12C，S11C的细节＞

以下，参照图6，说明步骤S12C，S11C(服务器/客户型的带认证多点密钥分发算法)的详细的操作例子。

如图6中例示的那样，首先密钥分发管理装置11(图2)的分发处理单元111按照函数密码方式，生成与包含终端装置12－i的识别信息U_i和与属于有效时间区间(时间帧)TF的时间time∈TF对应的信息的信息V(U_i，time)相对应的私钥usk_i，将各私钥usk_i安全地分发到终端装置12－i。其中，i∈[1，n]。“有效时间区间”是规定的时间区间，以规定的契机被更新。私钥usk_i既可以在通过终端装置12－i的公钥加密后分发，也可以通过安全的通信路径分发，也可以存储在可拆装型记录介质中分发。私钥usk_i在终端装置12－i(图3)中通过解码等取得，安全地存储在存储单元129－i中(步骤S101)。

“函数密码方式”是，在称为“属性信息”的信息和称为“接入结构(或者谓语信息)”信息的组合处于使规定的逻辑式的真值为“真”的关系的情况下解码密文的方式。在函数密码方式中，“属性信息”和“接入结构(或者谓语信息)”的一方的信息被嵌入私钥，另一方面的信息被嵌入密文。在私钥中嵌入的“属性信息”或者“接入结构(或者谓语信息)”与密文中嵌入的“接入结构(或者谓语信息)”或者“属性信息”处于使上述的逻辑式的真值为“真”的关系的情况下，从该私钥和密文得到解码结果。“函数密码方式”有时也称为“函数型密码方式”或“谓语密码方式”，例如，在参考文献1(T.Okamoto,K.Takashima,"Fully SecureFunctional Encryption with General Relations from the Decisional LinearAssumption,"Advances in Cryptology-CRYPTO 2010,Lecture Notes in ComputerScience,2010,Volume 6223/2010,191-208)，参考文献2(J.Katz,A.Sahai,andB.Waters.,"Predicate encryption supporting disjunctions,polynomial equations,and inner products,"In EUROCRYPT,pp.146-162,2008.)，参考文献3(T.Okamoto andK.Takashima.,"Hierarchical predicate encryption for inner-products,"InASIACRYPT,pp.214-231,2009.)等中公开有具体的方式。但是，在本实施例可使用的函数密码方式不限于这些方式。“信息V(U_i，time)”可以是识别信息U_i和与时间time∈TF对应的信息构成的信息，也可以是识别信息U_i、与时间time∈TF对应的信息和其它的信息(公开参数或会话ID等)构成的信息。在本实施例中，“信息V(U_i，time)”表示是“属性信息”的例子。虽然在“属性信息”或“接入结构(或者谓语信息)”的实施安装方法中没有限定，但是例如，“属性信息”或“谓语信息”可以作为向量或者向量的集合实施，“接入结构”可以通过矩阵和与各行对应的标记构成的带标签矩阵和映射(例如，描绘向量的映射)实施安装。例如，“α₁是η₁”的命题1和“α₂是η₂”的命题2的逻辑或(α₁＝η₁)∨(α₂＝η₂)可以用(α₁－η₁)·(α₂－η₂)这样的多项式来表现。在逻辑或(α₁＝η₁)∨(α₂＝η₂)为“真”的情况下，成为(α₁－η₁)·(α₂－η₂)＝0，在逻辑或(α₁＝η₁)∨(α₂＝η₂)为“假”的情况下，成为(α₁－η₁)·(α₂－η₂)≠0。即，逻辑或(α₁＝η₁)∨(α₂＝η₂)为“真”，与(α₁－η₁)·(α₂－η₂)＝0等效。而且，“α₁是η₁”的命题1和“α₂是η₂”的命题2的逻辑与(α₁＝η₁)∧(α₂＝η₂)可以用ι₁·(α₁－η₁)+ι₂·(α₂－η₂)这样的多项式表现。其中，ι₁以及ι₂是随机数。逻辑与(α₁＝η₁)∧(α₂＝η₂)为“真”的情况下，成为ι₁·(α₁－η₁)+ι₂·(α₂－η₂)＝0，在逻辑与(α₁＝η₁)∧(α₂＝η₂)为“假”的情况下，成为ι₁·(α₁－η₁)+ι₂·(α₂－η₂)≠0。即，逻辑与(α₁＝η₁)∧(α₂＝η₂)为“真”，与成为ι₁·(α₁－η₁)+ι₂·(α₂－η₂)＝0等效。这样，逻辑式可以通过多项式来表现。而且，表现逻辑式的多项式可以通过两个向量的内积来表现。即，表现逻辑式的多项式与将各项的不定元(indeterminate)分量和1设为各元素的向量、和将各项的系数分量设为各元素的向量的内积相等。因此，可以使用向量或者向量的集合实装“属性信息”或“谓语信息”，可以将逻辑式的真值为“真”置换为内积为0。同样，可以使用与这样的向量集合对应的映射和带标签矩阵来实装“接入结构”。而且，例如若设为TF＝{t_min，···，t_max}，则可以用(time＝t_min)∨···∨(time＝t_max)那样的逻辑或来表现time∈TF(步骤S101)。

接着，密钥分发管理装置11以及终端装置12－1～12－n协作生成共享信息C。这时，使用各终端装置12－i的终端秘密值x_i。例如，将G设为位数p的乘法循环群，将g∈G设为群G的生成元(generator)，x_i∈Z_p，密钥分发管理装置11以及终端装置12－1～12－n协作生成C：＝g^x1.x2.....xn。其中，“α：＝β”意思是α表示β(将α定义为β)。上标字符的“xi”表示“x_i”。对于集合X＝{x₁，···，x_n}，将g^x1.x2.....xn表记为g^ΠX。在X为空集合的情况下，ΠX＝1。共享信息C被存储在密钥分发管理装置11(图2)的存储单元119中，共享信息C的生成中使用的终端秘密值x_i安全地存储在各终端装置12－i(图3)的存储单元129－i中(步骤S102)。

密钥分发管理装置11(图2)的分发处理单元111生成第1种子值K₁，按照函数密码方式加密第1种子值K₁，生成能够用与包含终端装置12－i的识别信息U_i和对应于属于有效时间区间TF的时间的信息的信息相对应的私钥usk_i进行解码的密文CT’_i，输出密文CT’_i(其中，i∈[1，n])和共享信息C。该密文CT’_i是在对应于私钥usk_i的识别信息U_i以及时间time使逻辑式P_i：＝(ID＝U_i)∧(time∈TF)为“真”的情况下，能够使用该私钥usk_i进行解码的密文。而且，第1种子值K₁被存储在存储单元119中(步骤S103)。

密文CT’_i和共享信息C被送到通信单元118，通信单元118将这些发送到终端装置12－i(其中，i∈[1，n])(步骤S104)。密文CT’_i和共享信息C被输入到各终端装置12－i(其中，i∈[1，n])的通信单元128－i，存储在存储单元129－i中。各处理单元121－i从存储单元129－i读入私钥usk_i和密文CT’_i，使用输入的私钥usk_i，按照函数密码方式，解码被输入的密文CT’_i，生成第1种子值K₁，将第1种子值K₁存储在存储单元129－i中(步骤S105)。

各终端装置12－i的处理单元122－i从存储单元129－i读入共享信息C和终端秘密值x_i，生成与输入的共享信息C和终端秘密值x_i的逆元1/x_i相对应的隐匿化共享信息SC_i，输出隐匿化共享信息SC_i。例如，处理单元122－i生成SC_i：＝C^1/xi(步骤S106)。隐匿化共享信息SC_i被送到通信单元128－i，通信单元128－i将隐匿化共享信息SC_i发送到密钥分发管理装置11(步骤S107)。

隐匿化共享信息SC_i(其中，i∈[1，n])被输入到密钥分发管理装置11(图2)的通信单元118，存储在存储单元119中。分发处理单元112生成管理秘密值x_s，存储在存储单元119中(步骤S108)。分发处理单元112从存储单元119读入隐匿化共享信息SC_i(共享信息C被隐匿化的隐匿化共享信息SC_i)和管理秘密值x_s，生成与输入的隐匿化共享信息SC_i和管理秘密值x_s相对应的第2种子值的隐匿化信息SK_2，i，输出第2种子值的隐匿化信息SK_2，i。例如，设x_s∈Z_p，分发处理单元112生成SK_2，i：＝SC_i ^xs＝C^(1/xi).xs。其中，上标字符“xs”表示“x_s”。第2种子值的隐匿化信息SK_2，i被送到通信单元118，通信单元118将第2种子值的隐匿化信息SK_2，i(其中，i∈[1，n])发送到终端装置12－i(步骤S109)。

第2种子值的隐匿化信息SK_2，i(其中，i∈[1，n])被输入到终端装置12－i(图3)的通信单元128－i，存储在存储单元129－i中。各处理单元123－i(其中，i∈[1，n])从存储单元129－i读入第2种子值的隐匿化信息SK_2，i和终端秘密值x_i，生成并输出与输入的第2种子值的隐匿化信息SK_2，i和终端秘密值x_i相对应的第2种子值K₂。例如，处理单元123－i生成K₂：＝SK_2，i ^xi＝C^(1/xi).xs.xi＝C^xs。第2种子值K₂被存储在存储单元129－i中(步骤S110)。

各处理单元124－i(其中，i∈[1，n])从存储单元129－i读入第1种子值K₁以及第2种子值K₂，得到并输出与包含第1种子值K₁的信息和包含第2种子值K₂的信息对应的会话密钥K。由此，可以在终端装置12－1～12－n中共享会话密钥K。而且，包含第1种子值K₁的信息既可以是仅由第1种子值K₁构成的信息，也可以是第1种子值K₁和其它的信息(公开参数和会话ID等)构成的信息。同样，包含第2种子值K₂的信息既可以是仅由第2种子值K₂构成的信息，也可以是由第2种子值K₂和其它的信息(公开参数和会话ID等)构成的信息。而且，会话密钥K由包含第1种子值K₁的信息和包含第2种子值K₂的信息唯一地决定。从安全性的观点，希望会话密钥K是关于第1种子值K₁的信息以及关于第2种子值K₂的信息被隐蔽的信息。换言之，希望不从会话密钥K泄露关于第1种子值K₁的信息和关于第2种子值K₂的信息。由此，即使在对攻击者泄露会话密钥K的情况下，只要更新第1种子值K₁或者第2种子值K₂的一方，并更新为与其相应的会话密钥K，就可以防止来自该攻击者的攻击(步骤S111)。以上，参照图6说明了服务器/客户型的带认证多点密钥分发算法的一例。但是，步骤S12C、步骤S11C中可利用的算法不限于图6的例子。作为服务器/客户型的带认证多点密钥分发算法的以往例子，例如公开了专利文献1、专利文献2等。对于步骤S12C、步骤S11C，可以使用以往的任意的服务器/客户型的带认证多点密钥分发算法来实现。

＜步骤S12D前半＞

参加到会话的终端装置12－1，…，12－n的事后确认单元12D在正常地生成了会话密钥的情况下，将表示正常地生成了会话密钥的成功通知发送到密钥分发管理装置11(将该操作称为步骤S12D前半)。

详细地说，事后确认单元12D的成功通知生成单元12D2生成成功通知(S12D2)。成功通知发送单元12D3将成功通知发送到密钥分发管理装置11(S12D3)。

＜步骤S11D＞

密钥分发管理装置11的事后验证单元11D从参加到会话的终端装置12－1，…，12－n接收成功通知，将意味着从参加到会话的全部的终端装置12－1，…，12－n接收到成功通知的全体通知发送到参加到会话的全部的终端装置12－1，…，12－n(将该操作称为步骤S11D)。

详细地说，事后验证单元11D的成功通知接收单元11D2从参加到会话的终端装置12－1，…，12－n接收成功通知(S11D2)。全体通知发送单元11D3将全体通知发送到参加到会话的全部的终端装置12－1，…，12－n(S11D3)。

＜步骤S12D后半＞

最后，参加到会话的终端装置12－1，…，12－n的全体通知接收单元12D4从密钥分发管理装置11接收全体通知(S12D4)。

＜会话密钥更新操作＞

以下，参照图8说明会话密钥的更新操作。作为执行该更新操作的前提，设为新会话密钥分发/会话密钥更新结束，参加到会话的终端装置12－1，…，12－n维持与密钥分发管理装置11的连接状态，在密钥分发管理装置11中预先设定定期地进行会话密钥的更新的间隔。

首先，密钥分发管理装置11的事后验证单元11D的密钥更新请求发送单元11D1将预先设定的会话密钥更新时刻的到来作为触发，对参加到会话的终端装置12－1，…，12－n发送密钥更新请求(S11D1)。参加到会话的终端装置12－1，…，12－n的密钥更新请求接收单元12D1从密钥分发管理装置11接收密钥更新请求(S12D1)。接着，执行上述的步骤S11C、步骤S12C，生成新的会话密钥。最后，执行上述的步骤S12D、S11D，执行正常地生成了会话密钥的事后确认、事后验证。

这样，按照本实施例的服务器/客户系统1，不依赖于已知的服务器装置，可以在多个终端装置间在任意的定时共享密码通信中使用的会话密钥。即使在其它协议中利用的情况下，关于密钥交换，可以在密钥分发管理装置11－终端装置12中进行，所以关于其它协议(例如JINGLE、XMPP等)，本实施例的系统也能够适应。

＜实施例＞

以下，参照图9，说明在基于SIP+SRTP的密码电话系统中实施了实施例1的服务器/客户系统1的例子即服务器/客户系统2。

在该例子的情况下，如以下那样，以往的SIP服务器承担的功能被分配给密钥分发管理装置11和终端装置12。

(1)终端装置12自身进行对密钥分发管理装置11的密钥分发请求。在请求时，利用终端装置12持有的秘密信息进行署名。密钥分发管理装置11通过使用认证信息数据库13的数据进行认证，确认请求的终端装置12是否为正确的用户。同样，在响应中进行密钥分发管理装置11的署名，也防止服务器侧的冒充等。署名使用任意的署名方式(例如RSA署名等)。

(2)终端装置12自主地与密钥分发管理装置11连接(例如，以接到电话为触发，在自身连接到密钥分发管理装置11)。

(3)为了在终端装置12自身管理会话密钥是否被正确地分发/更新，通过在密钥分发处理结束后，在终端装置12和密钥分发管理装置11间发送ACK通知，确认已对参加到会话的全部的终端装置12正确地分发了会话密钥。

可知在上述的实施例中不对SIP服务器14增加改造，可以实现基于SIP+SRTP的密码电话系统。

＜补记＞

本发明的装置例如作为单一的硬件实体，具有可连接键盘等的输入单元；可连接液晶显示器等的输出单元；可连接可与硬件实体的外部通信的通信装置(例如通信电缆)的通信单元；CPU((Central Processing Unit)，也可以具有高速缓冲存储器或寄存器等)；作为存储器的RAM或ROM；作为硬盘的外部存储装置，以及连接为可进行这些输入单元、输出单元、通信单元、CPU、RAM、ROM、外部存储装置之间的数据的交换的总线。并且，根据需要，也可以在硬件实体中设置可读写CD－ROM等记录介质的装置(驱动器)等。作为具有这样的硬件资源的物理的实体，有通用计算机等。

在硬件实体的外部存储装置中，存储为了实现上述的功能所需要的程序以及该程序的处理中所需要的数据等(不限于外部存储装置，例如也可以存储在读取程序专用存储装置的ROM中)。而且，通过这些程序的处理得到的数据等，适当存储在RAM或外部存储装置等中。

在硬件实体中，根据需要将外部存储装置(或者ROM等)中存储的各程序和该各程序的处理所需要的数据读入存储器中，适当地通过CPU解释执行、处理。其结果，CPU实现规定的功能(上述，表示为…单元等的各结构要件)。

本发明不限于上述的实施方式，在不脱离本发明的宗旨的范围内能够适当变更。而且，在上述实施方式中说明的处理，不仅按照记载的顺序时间序列地执行，而且也可以根据执行处理的装置的处理能力或者需要并行地或者单独地执行。

如已叙述的那样，在通过计算机实现上述实施方式中说明的硬件实体(本发明的装置)中的处理功能的情况下，通过程序记述硬件实体应具有的功能的处理内容。然后，通过计算机执行该程序，在计算机上实现上述硬件实体中的处理功能。

记述了该处理内容的程序可以记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。具体地说，例如，作为磁记录装置，可以使用硬盘装置、软盘、磁带等，作为光盘，可以使用DVD(Digital Versatile Disc)、DVD－RAM(Random Access Memory)、CD－ROM(CompactDisc Read Only Memory)、CD－R(Recordable)/RW(ReWritable)等，作为光磁记录介质，可以使用MO(Magneto-Optical disc)等，作为半导体存储器，可以使用EEP－ROM(Electronically Erasable and Programmable-Read Only Memory)等。

而且，该程序的流通，例如通过销售、转让、租借等记录了该程序的DVD、CD－ROM等可拆装型记录介质来进行。而且，也可以设为将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通的结构。

执行这样的程序的计算机例如首先将可拆装型记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的存储装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序其它执行方式，计算机也可以从可拆装型记录介质直接读取程序，执行按照该程序的处理，进而，也可以每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。而且，本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在该方式中，通过在计算机上执行规定的程序构成硬件实体，但是也可以硬件性地实现这些处理内容的至少一部分。

Claims

1.一种终端装置，是包含N台所述终端装置、密钥分发管理装置和认证信息数据库的服务器/客户系统中的所述终端装置，将N设为2以上的整数，

所述终端装置包括：

列表/请求发送单元，在本装置作为主方装置操作的情况下，生成包含了包括参加到会话的终端装置的ID的用户列表以及本装置的ID的密钥分发请求，使用本装置的私钥对所述密钥分发请求署名，将所述密钥分发请求发送到所述密钥分发管理装置，维持与所述密钥分发管理装置的连接；

参加请求发送单元，在本装置作为一般装置操作的情况下，生成包含本装置的ID的参加请求，使用本装置的私钥对所述参加请求署名，将所述参加请求发送到所述密钥分发管理装置，维持与所述密钥分发管理装置的连接；

会话密钥生成单元，与参加到所述会话的其它终端装置以及所述密钥分发管理装置合作，执行服务器/客户型的带认证多点密钥分发算法，生成会话密钥；以及

事后确认单元，在正常地生成了所述会话密钥的情况下，将表示正常地生成了所述会话密钥的成功通知发送到所述密钥分发管理装置，从所述密钥分发管理装置接收意味着已从参加到所述会话的全部的终端装置接收到所述成功通知的全体通知。

2.一种密钥分发管理装置，是包含N台终端装置、所述密钥分发管理装置、和认证信息数据库的服务器/客户系统中的所述密钥分发管理装置，其中，将N设为2以上的整数，

所述密钥分发管理装置包括：

请求验证单元，从作为主方装置操作的所述终端装置，接收包含了包括参加到会话的终端装置的ID的用户列表以及所述主方装置的ID、通过所述主方装置的私钥署名的密钥分发请求，从所述认证信息数据库取得所述主方装置的验证密钥，验证所述密钥分发请求的署名，验证所述用户列表中包含的终端装置的ID是否全部为所述认证信息数据库中存在的ID，根据验证结果，将使用本装置的私钥署名的响应发送到所述主方装置，从作为一般装置操作的所述终端装置接收作为通过所述一般装置的私钥署名的参加请求的、包含所述一般装置的ID的参加请求，从所述认证信息数据库取得所述一般装置的验证密钥，验证所述参加请求的署名，根据验证结果，将使用本装置的私钥署名的响应发送到所述一般装置；

会话密钥生成单元，与参加到所述会话的终端装置合作，执行服务器/客户型的带认证多点密钥分发算法，使参加到所述会话的终端装置生成会话密钥；以及

事后验证单元，从参加到所述会话的终端装置接收表示正常地生成了所述会话密钥的成功通知，对参加到所述会话的全部的终端装置发送意味着从参加到所述会话的全部的终端装置接收到所述成功通知的全体通知。

3.一种服务器/客户系统，是包含N台终端装置、密钥分发管理装置和认证信息数据库的服务器/客户系统，其中，将N设为2以上的整数，

所述终端装置包括：

事后确认单元，在正常地生成了所述会话密钥的情况下，对所述密钥分发管理装置发送表示已正常地生成了所述会话密钥的成功通知，从所述密钥分发管理装置接收意味着已从参加到所述会话的全部的终端装置接收到所述成功通知的全体通知，

所述密钥分发管理装置包括：

请求验证单元，从所述主方装置接收所述密钥分发请求，从所述认证信息数据库取得所述主方装置的验证密钥，验证所述密钥分发请求的署名，验证所述用户列表中包含的终端装置的ID是否全都是所述认证信息数据库中存在的ID，根据验证结果，将使用本装置的私钥署名的响应发送到所述主方装置，从所述一般装置接收所述参加请求，从所述认证信息数据库取得所述一般装置的验证密钥，验证所述参加请求的署名，根据验证结果，将使用本装置的私钥署名的响应发送到所述一般装置；

事后验证单元，从参加到所述会话的终端装置接收所述成功通知，将所述全体通知发送到参加到所述会话的全部的终端装置。

4.一种通信方法，是包含N台终端装置、密钥分发管理装置和认证信息数据库的服务器/客户系统中的所述终端装置执行的通信方法，将N设为2以上的整数，

所述通信方法包括：

在本装置作为主方装置操作的情况下，生成包含了包括参加到会话的终端装置的ID的用户列表以及本装置的ID的密钥分发请求，使用本装置的私钥对所述密钥分发请求署名，将所述密钥分发请求发送到所述密钥分发管理装置，维持与所述密钥分发管理装置的连接的步骤；

在本装置作为一般装置操作的情况下，生成包含本装置的ID的参加请求，使用本装置的私钥对所述参加请求署名，将所述参加请求发送到所述密钥分发管理装置，维持与所述密钥分发管理装置的连接的步骤；

与参加到所述会话的其它终端装置以及所述密钥分发管理装置合作，执行服务器/客户型的带认证多点密钥分发算法，生成会话密钥的步骤；以及

在正常地生成了所述会话密钥的情况下，对所述密钥分发管理装置发送表示已正常地生成了所述会话密钥的成功通知，从所述密钥分发管理装置接收意味着已从参加到所述会话的全部的终端装置接收到所述成功通知的全体通知的步骤。

5.一种通信方法，是包含N台终端装置、密钥分发管理装置和认证信息数据库的服务器/客户系统中的所述密钥分发管理装置执行的通信方法，将N设为2以上的整数，

所述通信方法包括：

从作为主方装置操作的所述终端装置接收包含了包括参加到会话的终端装置的ID的用户列表以及所述主方装置的ID、通过所述主方装置的私钥署名的密钥分发请求，从所述认证信息数据库取得所述主方装置的验证密钥，验证所述密钥分发请求的署名，验证所述用户列表中包含的终端装置的ID是否全都是所述认证信息数据库中存在的ID，根据验证结果，将使用本装置的私钥署名的响应发送到所述主方装置，从作为一般装置操作的所述终端装置，接收作为通过所述一般装置的私钥署名的参加请求的、包含所述一般装置的ID的参加请求，从所述认证信息数据库取得所述一般装置的验证密钥，验证所述参加请求的署名，根据验证结果，将使用本装置的私钥署名的响应发送到所述一般装置的步骤；

与参加到所述会话的终端装置合作，执行服务器/客户型的带认证多点密钥分发算法，使参加到所述会话的终端装置生成会话密钥的步骤；

从参加到所述会话的终端装置接收表示正常地生成了所述会话密钥的成功通知，将意味着已从参加到所述会话的全部的终端装置接收到所述成功通知的全体通知发送到参加到所述会话的全部的终端装置的步骤。

6.一种通信方法，是包含N台终端装置、密钥分发管理装置和认证信息数据库的服务器/客户系统执行的通信方法，其中，将N设为2以上的整数，

作为主方装置操作的所述终端装置执行：

生成包含了包括参加到会话的终端装置的ID的用户列表以及本装置的ID的密钥分发请求，使用本装置的私钥对所述密钥分发请求署名，将所述密钥分发请求发送到所述密钥分发管理装置，维持与所述密钥分发管理装置的连接的步骤，

所述密钥分发管理装置执行：

从所述主方装置接收所述密钥分发请求，从所述认证信息数据库取得所述主方装置的验证密钥，验证所述密钥分发请求的署名，验证所述用户列表中包含的终端装置的ID是否全都是所述认证信息数据库中存在的ID，根据验证结果，将使用本装置的私钥署名的响应发送到所述主方装置的步骤，

作为一般装置操作的终端装置执行：

生成包含本装置的ID的参加请求，使用本装置的私钥对所述参加请求署名，将所述参加请求发送到所述密钥分发管理装置，维持与所述密钥分发管理装置的连接的步骤，

所述密钥分发管理装置执行：

从所述一般装置接收所述参加请求，从所述认证信息数据库取得所述一般装置的验证密钥，验证所述参加请求的署名，根据验证结果，将使用本装置的私钥署名的响应发送到所述一般装置的步骤，

参加到所述会话的终端装置执行：

与参加到所述会话的其它终端装置以及所述密钥分发管理装置合作，执行服务器/客户型的带认证多点密钥分发算法，生成会话密钥的步骤，

所述密钥分发管理装置执行：

与参加到所述会话的终端装置合作，执行服务器/客户型的带认证多点密钥分发算法，使参加到所述会话的终端装置生成会话密钥的步骤，

参加到所述会话的终端装置包括：

在正常地生成了所述会话密钥的情况下，将表示正常地生成了所述会话密钥的成功通知发送到所述密钥分发管理装置的步骤，

所述密钥分发管理装置执行：

从参加到所述会话的终端装置接收所述成功通知，将意味着已从参加到所述会话的全部的终端装置接收到所述成功通知的全体通知发送到参加到所述会话的全部的终端装置的步骤，

参加到所述会话的终端装置执行：

从所述密钥分发管理装置接收所述全体通知的步骤。

7.一种程序，使计算机具有作为权利要求1中记载的终端装置的作用。

8.一种程序，使计算机具有作为权利要求2中记载的密钥分发管理装置的作用。