JP2001148694A - 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 - Google Patents

暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体

Info

Publication number
JP2001148694A
JP2001148694A JP32882599A JP32882599A JP2001148694A JP 2001148694 A JP2001148694 A JP 2001148694A JP 32882599 A JP32882599 A JP 32882599A JP 32882599 A JP32882599 A JP 32882599A JP 2001148694 A JP2001148694 A JP 2001148694A
Authority
JP
Japan
Prior art keywords
key
encryption
terminal device
data
key distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP32882599A
Other languages
English (en)
Inventor
Yasuhisa Tokiniwa
康久 時庭
Naonobu Okazaki
直宣 岡崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP32882599A priority Critical patent/JP2001148694A/ja
Publication of JP2001148694A publication Critical patent/JP2001148694A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 暗号通信グループに所属する暗号機能を有す
るクライアントや暗号ゲートウェイ間でのセッション鍵
の共有を容易におこない、もって鍵配送センタの処理負
荷およびネットワーク負荷を軽減すること。 【解決手段】 鍵配送センタ1はグループの所属員に対
して鍵配送データを一斉に送信し、代表者10および2
0は、鍵配送センタ1が送信したセッション鍵を含む鍵
配送データを受け取ると鍵配送結果収集データを送信
し、所属員は、鍵配送結果収集データを受け取ると、自
分のメンバ識別子を含む鍵配送個別応答データを代表者
に送る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、暗号鍵を生成し
て配送する鍵配送センタと、この鍵配送センタから配送
された暗号鍵を用いて暗号通信をおこなう複数の端末装
置(複数のクライアント、サーバおよび暗号ゲートウエ
イ)とを所定のネットワークを介して接続した暗号通信
システム、暗号通信方法および記録媒体に関し、特に、
暗号通信グループ(以下「グループ」と言う)に所属す
る暗号機能を有するクライアントや暗号ゲートウェイ間
でのセッション鍵の共有を容易におこない、もって鍵配
送センタの処理負荷およびネットワーク負荷を軽減する
暗号通信システム、暗号通信方法および記録媒体に関す
る。
【0002】
【従来の技術】従来、暗号化機能を有する複数のクライ
アントおよびサーバを鍵配送センタに接続し、該鍵配送
センタから配送された暗号鍵を用いてサーバとクライア
ントとの間で暗号通信を行う暗号通信システムが知られ
ている。
【0003】たとえば、特開平7−107083号公報
には、暗号ゲートウエイを介してネットワークに接続さ
れたサーバとクライアントとの間でセッションを確立す
る際に、該暗号ゲートウエイ装置が鍵配送センタからセ
ッション鍵を受け取るとともにクライアントに対して当
該セッション鍵を配送するよう構成した暗号通信システ
ムが開示されている。
【0004】図13は、この従来技術に代表される従来
の暗号通信システムのシステム構成を示すブロック図で
ある。同図において、1は鍵配送センタ、2〜4はルー
タ、5は通信ネットワーク、8および9はLANセグメ
ント、10〜14および20〜22はクライアント、3
0は暗号ゲートウェイ、31はサーバ、32はクライア
ント10〜13、クライアント20〜21および暗号ゲ
ートウェイ30が所属する暗号通信グループである。ま
た、320は暗号通信グループ32に所属する各クライ
アントおよび暗号ゲートウェイ30に対して鍵配送セン
タ1が配送する鍵配送データである。
【0005】同図に示すように、クライアント10〜1
4、20〜22およびサーバ31は、通信ネットワーク
5、ルータ2〜4、LANセグメント8〜9および暗号
ゲートウェイ30(以下「ネットワーク」と総称する)
を介して鍵配送センタ1に接続されているため、クライ
アント〜サーバ間で暗号通信をおこなう場合には、鍵配
送センタ1により生成されたセッション鍵を該ネットワ
ークを介して入手する必要がある。
【0006】そして、クライアント12からサーバ31
へデータ通信をおこなう場合には、クライアント12、
LANセグメント8、ルータ3、通信ネットワーク5、
ルータ4、LANセグメント9、暗号ゲートウェイ3
0、サーバ31の順にデータを転送し、また、サーバ3
1からクライアント12へデータ通信をおこなう場合に
は、その逆順にデータを転送する。
【0007】暗号ゲートウェイ30は、クライアント1
2により暗号通信要求がなされた際に、鍵配送センタ1
から当該セッションで使用するセッション鍵を取得し、
クライアント12に配送することにより、クライアント
12と暗号ゲートウェイ30との間で共通のセッション
鍵を共有する。
【0008】クライアント12と暗号ゲートウェイ30
との間で共通のセッション鍵を取得したならば、クライ
アント12からサーバ31までの通信をおこなう際に、
クライアント12から暗号ゲートウェイ30までの間
は、暗号通信をすることができることになる。
【0009】つぎに、クライアント12〜サーバ31間
の処理手順について説明する。図14は、図13に示し
たクライアント12〜サーバ31間の処理手順を示すシ
ーケンス図である。同図に示すように、まず最初にクラ
イアント12がサーバ31とLANセグメント9との間
に位置する暗号ゲートウエイ30に対して暗号通信要求
をおこなうと(ステップS301)、この暗号ゲートウ
ェイ30は、鍵配送センタ1に対して鍵取得要求データ
を送信してセッション鍵を要求する(ステップS30
2)。
【0010】そして、鍵配送センタ1は、この鍵取得要
求データ302を受信したならば、要求元の暗号ゲート
ウェイ30に対してセッション鍵を含む鍵取得応答デー
タを返信する(ステップS303)。なお、鍵配送セン
タ1と暗号ゲートウェイ30間のセッション鍵の配送に
ついては、平文による通信はおこなわないものとし、あ
らかじめ設定しておいた暗号鍵を用いて暗号通信をおこ
なう。
【0011】鍵配送センタ1からセッション鍵を鍵取得
応答データで取得した暗号ゲートウェイ30は、クライ
アント12に対してセッション鍵を含む鍵通知データを
送信し(ステップS304)、この鍵通知データを受信
したクライアント12は、セッション鍵を受け取り、セ
ッション鍵を受け取った旨を示す鍵通知応答データを暗
号ゲートウェイ30に対して返信する(ステップS30
5)。
【0012】そして、鍵通知応答データを受信した暗号
ゲートウェイ30は、クライアント12がセッション鍵
を受信したことを認識する。なお、クライアント12と
暗号ゲートウェイ30間のセッション鍵配送の通信につ
いても、平文による通信はおこなわないものとし、あら
かじめ設定しておいた暗号鍵を用いて暗号通信をおこな
う。
【0013】これにより、クライアント12と暗号ゲー
トウェイ30との間で同一のセッション鍵を共有するこ
とができるので、クライアント12は、この共有したセ
ッション鍵を用いて通信データを暗号化してサーバ31
宛に暗号データを送る(ステップS306)。
【0014】クライアント12から送られた暗号データ
を受信した暗号ゲートウェイ30は、共有したセッショ
ン鍵を用いてこれを復号し、平文データとしてサーバ3
1へ送信する(ステップS307)。
【0015】そして、サーバ31が、暗号ゲートウェイ
30から送られた平文データを受信すると、平文データ
をクライアント12宛に送信し(ステップS308)、
これを受信した暗号ゲートウェイ30は、共有したセッ
ション鍵を用いてこの平文データを暗号化して暗号デー
タとしてクライアント12へ送信する(ステップS30
9)。
【0016】そして、クライアント12は、暗号ゲート
ウェイ30から送られた暗号データを受信し、共有した
セッション鍵を用いてこれを復号して平文データを取得
することにより、クライアント12とサーバ31と間の
暗号通信が可能となる(ステップS310)。なお、こ
こでは暗号ゲートウエイ30が鍵配送センタ1からセッ
ション鍵を取得することとしたが、クライアント12が
セッション鍵を取得した後に、暗号ゲートウェイ30に
配布してセッション鍵を共有することもできる。
【0017】つぎに、図13に示した鍵配送センタ1か
ら暗号通信グループ32に所属するクライアントおよび
暗号ゲートウェイ30に対してセッション鍵を一斉に配
送する場合の条件および処理手順について説明する。
【0018】暗号通信による一斉同報をおこなうために
は、図13に示す暗号通信グループ32に所属する所属
員が同一のセッション鍵を保持し、かつ、一斉同報をお
こなうことができる通信プロトコルを採用する必要があ
る。この一斉同報の通信プロトコルとしては、従来から
様々な方式が提案されており、たとえば無線端末による
一斉指令や、LAN(Local Area Network)による同報通
知などが該当する。
【0019】具体的には、RFC1112に記述されて
いるIPマルチキャスト方式を用いる場合には、IPの
通信データの宛先IPアドレスにIPマルチキャストア
ドレスを指定すると、LANセグメントを超えてルータ
間でデータ転送がなされ同報通信される。このため、鍵
配送センタ1から暗号通信グループ32の所属員に対し
てセッション鍵を配送する際に、IPマルチキャスト方
式を用いて図13に示したように鍵320を配送するこ
とができる。
【0020】図15は、図13に示した鍵配送センタ1
から暗号通信グループ32に所属するクライアントおよ
び暗号ゲートウェイ30に対してセッション鍵を一斉に
配送する場合の処理手順を示すシーケンス図である。
【0021】同図に示すように、鍵配送センタ1は、シ
ステムの初期立ち上げ時およびその後定期的に、暗号通
信グループ32の所属員であるクライアント10〜1
3、20〜21および暗号ゲートウェイ30に対してI
Pマルチキャスト方式を用いて暗号通信グループ32用
のセッション鍵を含む鍵配送データを送信する(ステッ
プS320)。セキュリティ強度を高めるためである。
【0022】なお、鍵配送センタ1または暗号通信グル
ープ32の所属員であるクライアント10〜13、20
〜21と、暗号ゲートウェイ30との間のセッション鍵
配送通信においては、平文による通信はおこなわず、あ
らかじめ設定した配送用の暗号鍵を用いて暗号通信をお
こなう。
【0023】鍵配送データを受信したクライアント10
〜13、20〜21および暗号ゲートウェイ30は、セ
ッション鍵を取り出し、鍵配送応答データを返信する
(ステップS321〜S327)。
【0024】そして、鍵配送センタ1は、暗号通信グル
ープ32に属する各クライアント並びに暗号ゲートウェ
イ30からの鍵配送応答データを受信したならば、セッ
ション鍵の配送が成功であると認識し、また、一定時間
経過後もクライアントからの鍵配送応答を受信しない場
合は、クライアントへのセッション鍵の配送が失敗であ
ると認識する。
【0025】これにより、暗号通信グループ32に所属
するクライアント10〜13、クライアント20〜21
と暗号ゲートウェイ30との間で同一のセッション鍵を
共有することができる。
【0026】そして、サーバ31は、平文データを暗号
通信グループ32の所属員のクライアント10〜13お
とび20〜21宛に、平文データをIPマルチキャスト
通信を用いて送信する(ステップS328)。
【0027】サーバ31から送られた平文データを受信
した暗号ゲートウェイ30は、共有したセッション鍵を
用いて該平文データを暗号化し、暗号通信グループ32
の所属員のクライアント10〜13および20〜21宛
にIPマルチキャスト通信を用いて送信する(ステップ
S329)。
【0028】暗号通信グループ32に所属する各クライ
アントは、暗号ゲートウェイ30から送られた暗号デー
タを受信し、共有したセッション鍵を用いてこれを復号
化して平文データを得る。このように、暗号通信グルー
プ32に所属する各クライアントおよびサーバ31は、
暗号通信をおこなうことができる(ステップS33
0)。
【0029】
【発明が解消しようとする課題】しかしながら、かかる
従来の暗号通信システムでは、サーバとクライアントと
の間でセッション鍵を共有する際に、あらかじめ通信デ
ータを交換する必要があるため、処理遅延およびネット
ワーク負荷の増大を招くという問題がある。
【0030】特に、グループ通信をおこなうために、暗
号通信グループに所属する暗号機能を有するクライアン
トや暗号ゲートウェイに一斉にセッション鍵を配送する
こととすると、各クライアントや暗号ゲートウェイから
鍵配送センタに対して一斉に鍵配送の応答が返信される
ため、鍵配送センタの処理負荷が増加するとともに、ネ
ットワーク負荷が累増するという問題があった。
【0031】この発明は、上述した従来技術による問題
点を解消するためになされたものであり、同じグループ
に所属する暗号機能を有するクライアントや暗号ゲート
ウェイ間でのセッション鍵の共有を容易におこない、も
って鍵配送センタの処理負荷およびネットワーク負荷を
軽減することができる暗号通信システム、暗号通信方法
およびその方法をコンピュータに実行させるプログラム
を記録したコンピュータ読み取り可能な記録媒体を得る
ことを目的とする。
【0032】
【課題を解決するための手段】上述した課題を解決し、
目的を達成するため、この発明にかかる暗号通信システ
ムは、暗号鍵を生成して配送する鍵配送センタと、前記
鍵配送センタから配送された暗号鍵を用いて暗号通信を
おこなう複数の端末装置とを所定のネットワークを介し
て接続した暗号通信システムにおいて、前記複数の端末
装置は、前記鍵配送センタが暗号鍵を配送した場合に、
所定の代表端末装置に対して配送結果を通知する配送結
果通知手段を備え、前記代表端末装置は、各端末装置か
ら受け付けた配送結果を前記鍵配送センタに一括して送
信する一括送信手段を備えたことを特徴とする。
【0033】この発明によれば、複数の端末装置が、鍵
配送センタが暗号鍵を配送した場合に、所定の代表端末
装置に対して配送結果を通知し、代表端末装置は、各端
末装置から受け付けた配送結果を鍵配送センタに一括し
て送信することとしたので、同じグループに所属する暗
号機能を有するクライアントや暗号ゲートウェイ間での
暗号鍵の共有を容易におこない、もって鍵配送センタの
処理負荷およびネットワーク負荷を軽減することができ
る。
【0034】つぎの発明にかかる暗号通信システムは、
前記代表端末装置が、前記鍵配送センタが暗号鍵を配送
した際に、前記暗号鍵の配送結果を各端末装置に対して
要求する配送結果要求手段をさらに備えたことを特徴と
する。
【0035】この発明によれば、代表端末装置が、鍵配
送センタが暗号鍵を配送した際に、暗号鍵の配送結果を
各端末装置に対して要求することとしたので、代表端末
装置の主導の下に効率良く鍵配送センタの処理負荷を軽
減することができる。
【0036】つぎの発明にかかる暗号通信システムは、
前記配送結果要求手段が、前記鍵配送センタが暗号鍵を
配送した際に、所定のグループに属する端末装置に対し
て前記暗号鍵の配送結果を要求することを特徴とする。
【0037】この発明によれば、鍵配送センタが暗号鍵
を配送した際に、所定のグループに属する端末装置に対
して暗号鍵の配送結果を要求することとしたので、管理
容易なグループごとに配送結果の収集をおこなうことが
できる。
【0038】つぎの発明にかかる暗号通信システムは、
前記代表端末装置が、通信セグメント上に位置するグル
ープに属するクライアント、サーバならびに暗号ゲート
ウェイの中から選択されることを特徴とする。
【0039】この発明によれば、代表端末装置が、通信
セグメント上に位置するグループに属するクライアン
ト、サーバならびに暗号ゲートウェイの中から選択され
ることとしたので、各種端末を任意に代表端末装置とし
て選択することができる。
【0040】つぎの発明にかかる暗号通信システムは、
前記一括送信手段が、各端末装置から受け付けた各配送
結果のまとまりを所定の秘密鍵を用いて暗号化する配送
結果暗号化手段と、前記配送結果暗号化手段により暗号
化された暗号データを前記鍵配送センタに送信する送信
手段とを備え、前記鍵配送センタは、前記所定の秘密鍵
を用いて前記暗号データを復号化する復号化手段を備え
たことを特徴とする。
【0041】この発明によれば、各端末装置から受け付
けた各配送結果のまとまりを所定の秘密鍵を用いて暗号
化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の秘密鍵を用いて暗号データ
を復号化することとしたので、秘密暗号系を用いて配送
結果の暗号化強度を高めることができる。
【0042】つぎの発明にかかる暗号通信システムは、
前記一括送信手段が、各端末装置から受け付けた各配送
結果のまとまりを所定の公開鍵を用いて暗号化する配送
結果暗号化手段と、前記配送結果暗号化手段により暗号
化された暗号データを前記鍵配送センタに送信する送信
手段とを備え、前記鍵配送センタは、前記所定の公開鍵
に対応する秘密鍵を用いて前記暗号データを復号化する
復号化手段を備えたことを特徴とする。
【0043】この発明によれば、各端末装置から受け付
けた各配送結果のまとまりを所定の公開鍵を用いて暗号
化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の公開鍵に対応する秘密鍵を
用いて暗号データを復号化することとしたので、公開暗
号系を用いて配送結果の暗号化強度を高めることができ
る。
【0044】つぎの発明にかかる暗号通信システムは、
前記配送結果要求手段が、前記暗号鍵の配送結果を各端
末装置に対して要求する要求データを所定の暗号鍵を用
いて暗号化する要求データ暗号化手段を備え、各端末装
置は、前記要求データ復号化手段により暗号化された要
求データを復号化する要求データ復号化手段をさらに備
えたことを特徴とする。
【0045】この発明によれば、暗号鍵の配送結果を各
端末装置に対して要求する要求データを所定の暗号鍵を
用いて暗号化し、各端末装置は、暗号化された要求デー
タを復号化することとしたので、暗号鍵の配送要求の授
受を暗号化し、さらに暗号強度を高めることができる。
【0046】つぎの発明にかかる暗号通信システムは、
各端末装置が、前記代表端末装置に送信する前記暗号鍵
の配送結果を所定の暗号鍵を用いて暗号化する配送結果
暗号化手段をさらに備え、前記代表端末装置は、各端末
装置から受け取った暗号化された配送結果を復号化する
配送結果復号化手段を備えたことを特徴とする。
【0047】この発明によれば、各端末装置が、代表端
末装置に送信する暗号鍵の配送結果を所定の暗号鍵を用
いて暗号化し、代表端末装置は、各端末装置から受け取
った暗号化された配送結果を復号化することとしたの
で、暗号鍵の配信結果の授受を暗号化し、さらに暗号強
度を高めることができる。
【0048】つぎの発明にかかる暗号通信システムは、
前記要求データ暗号化手段および前記配送結果暗号化手
段が、前記鍵配送センタから配送された暗号鍵を用いて
前記要求データおよび配送結果をそれぞれ暗号化するこ
とを特徴とする。
【0049】この発明によれば、鍵配送センタから配送
された暗号鍵を用いて要求データおよび配送結果をそれ
ぞれ暗号化することとしたので、要求データおよび配送
結果についても所定の暗号化強度を維持することができ
る。
【0050】つぎの発明にかかる暗号通信システムは、
前記要求データ暗号化手段および前記配送結果暗号化手
段が、前記鍵配送センタから配送された以前の暗号鍵を
用いて前記要求データおよび配送結果をそれぞれ暗号化
することを特徴とする。
【0051】この発明によれば、鍵配送センタから配送
された以前の暗号鍵を用いて要求データおよび配送結果
をそれぞれ暗号化することとしたので、要求データおよ
び配送結果に用いる暗号鍵の授受の負担を軽減すること
ができる。
【0052】つぎの発明にかかる暗号通信システムは、
前記鍵配送センタが、配送対象となる第1の暗号鍵を以
前に各端末装置に配送した第2の暗号鍵を用いて暗号化
する暗号鍵暗号化手段を備え、各端末装置は、前記鍵配
送センタから配送された第1の暗号鍵を前記第2の暗号
鍵に対応する復号鍵を用いて復号化する暗号鍵復号化手
段をさらに備えたことを特徴とする。
【0053】この発明によれば、配送対象となる第1の
暗号鍵を以前に各端末装置に配送した第2の暗号鍵を用
いて暗号化し、各端末装置は、鍵配送センタから配送さ
れた第1の暗号鍵を第2の暗号鍵に対応する復号鍵を用
いて復号化することとしたので、鍵配送センタから暗号
鍵の配送を安全におこなうことができる。
【0054】つぎの発明にかかる暗号通信方法は、暗号
鍵を生成して配送する鍵配送センタから配送された暗号
鍵を用いて複数の端末装置が暗号通信をおこなう暗号通
信方法において、前記複数の端末装置が、前記鍵配送セ
ンタが暗号鍵を配送した場合に、所定の代表端末装置に
対して配送結果を通知する配送結果通知工程と、前記代
表端末装置が、各端末装置から受け付けた配送結果を前
記鍵配送センタに一括して送信する一括送信工程と、を
含んだことを特徴とする。
【0055】この発明によれば、複数の端末装置が、鍵
配送センタが暗号鍵を配送した場合に、所定の代表端末
装置に対して配送結果を通知し、代表端末装置は、各端
末装置から受け付けた配送結果を鍵配送センタに一括し
て送信することとしたので、同じグループに所属する暗
号機能を有するクライアントや暗号ゲートウェイ間での
暗号鍵の共有を容易におこない、もって鍵配送センタの
処理負荷およびネットワーク負荷を軽減することができ
る。
【0056】つぎの発明にかかる暗号通信方法は、前記
代表端末装置が、前記鍵配送センタが暗号鍵を配送した
際に、前記暗号鍵の配送結果を各端末装置に対して要求
する配送結果要求工程をさらに備えたことを特徴とす
る。
【0057】この発明によれば、代表端末装置が、鍵配
送センタが暗号鍵を配送した際に、暗号鍵の配送結果を
各端末装置に対して要求することとしたので、代表端末
装置の主導の下に効率良く鍵配送センタの処理負荷を軽
減することができる。
【0058】つぎの発明にかかる暗号通信方法は、前記
配送結果要求工程が、前記鍵配送センタが暗号鍵を配送
した際に、所定のグループに属する端末装置に対して前
記暗号鍵の配送結果を要求することを特徴とする。
【0059】この発明によれば、鍵配送センタが暗号鍵
を配送した際に、所定のグループに属する端末装置に対
して暗号鍵の配送結果を要求することとしたので、管理
容易なグループごとに配送結果の収集をおこなうことが
できる。
【0060】つぎの発明にかかる暗号通信方法は、前記
代表端末装置が、通信セグメント上に位置するグループ
に属するクライアント、サーバならびに暗号ゲートウェ
イの中から選択されることを特徴とする。
【0061】この発明によれば、代表端末装置が、通信
セグメント上に位置するグループに属するクライアン
ト、サーバならびに暗号ゲートウェイの中から選択され
ることとしたので、各種端末を任意に代表端末装置とし
て選択することができる。
【0062】つぎの発明にかかる暗号通信方法は、前記
一括送信工程が、各端末装置から受け付けた各配送結果
のまとまりを所定の秘密鍵を用いて暗号化する配送結果
暗号化工程と、前記配送結果暗号化工程により暗号化さ
れた暗号データを前記鍵配送センタに送信する送信工程
と、前記鍵配送センタが、前記所定の秘密鍵を用いて前
記暗号データを復号化する復号化工程とを含んだことを
特徴とする。
【0063】この発明によれば、各端末装置から受け付
けた各配送結果のまとまりを所定の秘密鍵を用いて暗号
化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の秘密鍵を用いて暗号データ
を復号化することとしたので、秘密暗号系を用いて配送
結果の暗号化強度を高めることができる。
【0064】つぎの発明にかかる暗号通信方法は、各端
末装置から受け付けた各配送結果のまとまりを所定の公
開鍵を用いて暗号化する配送結果暗号化工程と、前記配
送結果暗号化工程により暗号化された暗号データを前記
鍵配送センタに送信する送信工程と、前記鍵配送センタ
が、前記所定の公開鍵に対応する秘密鍵を用いて前記暗
号データを復号化する復号化工程とを含んだことを特徴
とする。
【0065】この発明によれば、各端末装置から受け付
けた各配送結果のまとまりを所定の公開鍵を用いて暗号
化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の公開鍵に対応する秘密鍵を
用いて暗号データを復号化することとしたので、公開暗
号系を用いて配送結果の暗号化強度を高めることができ
る。
【0066】つぎの発明にかかる暗号通信方法は、前記
配送結果要求工程が、前記暗号鍵の配送結果を各端末装
置に対して要求する要求データを所定の暗号鍵を用いて
暗号化し、各端末装置は、該暗号化された要求データを
復号化することを特徴とする。
【0067】この発明によれば、暗号鍵の配送結果を各
端末装置に対して要求する要求データを所定の暗号鍵を
用いて暗号化し、各端末装置は、暗号化された要求デー
タを復号化することとしたので、暗号鍵の配送要求の授
受を暗号化し、さらに暗号強度を高めることができる。
【0068】つぎの発明にかかる暗号通信方法は、各端
末装置が、前記代表端末装置に送信する前記暗号鍵の配
送結果を所定の暗号鍵を用いて暗号化し、前記代表端末
装置が、各端末装置から受け取った暗号化された配送結
果を復号化することを特徴とする。
【0069】この発明によれば、各端末装置が、代表端
末装置に送信する暗号鍵の配送結果を所定の暗号鍵を用
いて暗号化し、代表端末装置は、各端末装置から受け取
った暗号化された配送結果を復号化することとしたの
で、暗号鍵の配信結果の授受を暗号化し、さらに暗号強
度を高めることができる。
【0070】つぎの発明にかかる暗号通信方法は、前記
鍵配送センタから配送された暗号鍵を用いて前記要求デ
ータおよび配送結果をそれぞれ暗号化することを特徴と
する。
【0071】この発明によれば、鍵配送センタから配送
された暗号鍵を用いて要求データおよび配送結果をそれ
ぞれ暗号化することとしたので、要求データおよび配送
結果についても所定の暗号化強度を維持することができ
る。
【0072】つぎの発明にかかる暗号通信方法は、前記
鍵配送センタから配送された以前の暗号鍵を用いて前記
要求データおよび配送結果をそれぞれ暗号化することを
特徴とする。
【0073】この発明によれば、鍵配送センタから配送
された以前の暗号鍵を用いて要求データおよび配送結果
をそれぞれ暗号化することとしたので、要求データおよ
び配送結果に用いる暗号鍵の授受の負担を軽減すること
ができる。
【0074】つぎの発明にかかる暗号通信方法は、前記
鍵配送センタが、配送対象となる第1の暗号鍵を以前に
各端末装置に配送した第2の暗号鍵を用いて暗号化し、
各端末装置は、前記鍵配送センタから配送された第1の
暗号鍵を前記第2の暗号鍵に対応する復号鍵を用いて復
号化することを特徴とする。
【0075】この発明によれば、配送対象となる第1の
暗号鍵を以前に各端末装置に配送した第2の暗号鍵を用
いて暗号化し、各端末装置は、鍵配送センタから配送さ
れた第1の暗号鍵を第2の暗号鍵に対応する復号鍵を用
いて復号化することとしたので、鍵配送センタから暗号
鍵の配送を安全におこなうことができる。
【0076】つぎの発明にかかる記録媒体は、請求項1
2〜22のいずれか一つに記載された方法をコンピュー
タに実行させるプログラムを記録したことで、そのプロ
グラムを機械読み取り可能となり、これによって、請求
項12〜22の動作をコンピュータによって実現するこ
とが可能となる。
【0077】
【発明の実施の形態】以下に添付図面を参照して、この
発明にかかる暗号通信システム、暗号通信方法およびそ
の方法をコンピュータに実行させるプログラムを記録し
たコンピュータ読み取り可能な記録媒体の好適な実施の
形態を詳細に説明する。
【0078】実施の形態1.図1は、本実施の形態1で
用いる暗号通信システムのシステム構成を示すブロック
図である。同図に示すように、この暗号通信システム
は、従来のシステム構成と同様のものとなる。図1にお
いて、1は鍵配送センタ、2〜4はルータ、5は通信ネ
ットワーク、8と9はLANセグメント、10〜14お
よび20〜22はクライアント、30は暗号ゲートウェ
イ、31はサーバ、32はクライアント10〜13、2
0〜21および暗号ゲートウェイ30が所属する暗号通
信グループを示している。
【0079】図2は、図1に示したサーバ31から暗号
通信グループ32に属しているクライアント10〜1
3、20〜21および暗号ゲートウェイ30に対して一
斉同報による暗号通信をおこなう際の鍵配送のシーケン
スを示す図である。図3は、鍵配送データのデータ構造
を示す図であり、図4は、鍵配送結果収集データのデー
タ構造を示す図である。図5は、鍵配送個別応答データ
のデータ構造を示す図であり、図6は、鍵配送一括応答
データのデータ構造を示す図である。ここで、図中に示
す120は送信元IPアドレス、121は宛先IPアド
レス、122はデータ種別、123はグループ識別子、
124はセッション鍵データ、126はメンバ数、12
7はメンバ識別子である。
【0080】図2に示すように、暗号通信による一斉同
報をおこなうためには、すでに説明したように暗号通信
グループ32に所属する所属員が同一のセッション鍵を
保持している必要がある。
【0081】このため、鍵配送センタ1は、図3に示す
鍵配送データの送信元IPアドレス120には鍵配送セ
ンタ1のIPアドレスを設定し、宛先IPアドレス12
1には暗号通信グループ32のIPマルチキャストアド
レスを設定し、データ種別122には鍵配送を設定す
る。また、グループ識別子123には暗号通信グループ
32を識別するID32を設定し、セッション鍵データ
124には生成した乱数をセッション鍵SK1として設
定する。
【0082】そして、鍵配送センタ1は、暗号通信グル
ープ32に所属しているクライアント10〜13、20
〜21および暗号ゲートウェイ30の全所属員と鍵配送
センタ1との間であらかじめ共有する暗号鍵KCCを用
いて、グループ識別子123およびセッション鍵データ
124を暗号化して鍵配送データ(図2に示すE
KCC(SK1))を作成し、作成した鍵配送データを暗
号通信グループ32の全所属員に対してIPマルチキャ
スト方式を用いて送信する(ステップS100)。
【0083】そして、暗号通信グループ32に所属して
いるクライアント10〜13、20〜21および暗号ゲ
ートウェイ30が、ルータ2、通信ネットワーク5、ル
ータ3〜4およびLANセグメント8〜9を介して鍵配
送データを受信すると、あらかじめ共有しているセッシ
ョン鍵KCCを用いてグループ識別子123とセッショ
ン鍵データ124を復号し、暗号通信グループ32用の
セッション鍵SK1を内部に保持する。
【0084】ここで、本実施の形態1では、各LANセ
グメントに接続され、かつ、暗号通信グループ32に所
属する所属員の中からあらかじめ代表者を決めておくこ
ととする。なお、本実施の形態では、LANセグメント
8上の代表者をクライアント10とし、LANセグメン
ト9上の代表者をクライアント20とする。
【0085】すると、代表者であるクライアント10
は、図4に示す鍵配送結果収集データをLANセグメン
ト8上に送信し(ステップS101)、代表者であるク
ライアント20は、この鍵配送結果収集データをLAN
セグメント9上に送信する(ステップS102)。
【0086】具体的には、この鍵配送結果収集データ
は、送信元IPアドレス120、宛先IPアドレス12
1、データ種別122およびグループ識別子123から
なり、この送信元IPアドレス120には、クライアン
ト10のIPアドレスを設定し、宛先IPアドレス12
1には、LANセグメント8内のサブネットブロードキ
ャストアドレスを設定する。また、データ種別122に
は、鍵配送結果収集を設定し、グループ識別子123に
は暗号通信グループ32を識別するID32を設定す
る。
【0087】そして、クライアント10は、作成した鍵
配送結果収集データをLANセグメント8上にブロード
キャストで送信し、クライアント20も、鍵配送結果収
集データを作成してLANセグメント9上にブロードキ
ャストで送信する。
【0088】その後、暗号通信グループ32に所属して
いるLANセグメント8上のクライアント11〜13
は、代表者のクライアント10が送信した鍵配送結果収
集データを受信したならば、図5に示す鍵配送個別応答
データに自分のIDを設定して代表者のクライアント1
0へ送信する(ステップS103〜105)。
【0089】具体的には、図5に示す鍵配送個別応答デ
ータは、送信元IPアドレス120、宛先IPアドレス
121、データ種別122、グループ識別子123およ
び個別メンバ識別子125からなり、送信元IPアドレ
ス120にはクライアント11のIPアドレスを設定
し、宛先IPアドレス121にはクライアント10のI
Pアドレスを設定する。
【0090】また、データ種別122には鍵配送個別応
答を設定し、グループ識別子123には暗号通信グルー
プ32を識別するID32を設定し、個別メンバ識別子
125にはクライアント11を識別するID11を設定
する。
【0091】これに対して、代表者であるクライアント
20が送信した鍵配送結果収集データを受信した暗号通
信グループ32に所属するLANセグメント9上のクラ
イアント21と暗号ゲートウェイ30は、鍵配送個別応
答に自分のIDを設定して代表者のクライアント20へ
送信する(ステップS106〜107)。
【0092】なお、この鍵配送個別応答を代表者へ返送
する各クライアントや暗号ゲートウェイは、LANセグ
メント内の代表者が誰であるかを知らなくても良く、代
表者を知らない場合には、受信した鍵配送結果収集デー
タの送信元IPアドレスに対して鍵配送個別応答を送信
する。
【0093】LANセグメント9の代表者であるクライ
アント20は、一定時間内に受信した鍵配送個別応答内
のメンバ識別子ID21とID30と自分のメンバ識別
子ID20とを集めて鍵配送センタ1へ図6に示した鍵
配送一括応答データとして送信し(ステップS10
8)、LANセグメント8の代表者であるクライアント
10は、一定時間内に受信した鍵配送個別応答データ内
のメンバ識別子と自分のメンバ識別子とを集めて鍵配送
センタ1へ鍵配送一括応答データとして送信する(ステ
ップS109)。
【0094】具体的には、図6で示した鍵配送一括応答
データは、送信元IPアドレス120、宛先IPアドレ
ス121、データ種別122、グループ識別子123、
メンバ数126およびメンバ識別子127からなり、送
信元IPアドレス120にはクライアント10のIPア
ドレスを設定し、宛先IPアドレス121には鍵配送セ
ンタ1のIPアドレスを設定する。
【0095】また、データ種別122には鍵配送一括応
答を設定し、グループ識別子123には暗号通信グルー
プ32を識別するID32を設定し、メンバ数126に
は4を設定し、メンバ識別子127にはクライアント1
0へ鍵配送個別応答を送信した所属員の識別子である1
D11、ID12、ID13と自分のID10を設定す
る。
【0096】そして、鍵配送センタ1では、各LANセ
グメントの代表者から鍵配送一括応答データを受け取
り、鍵配送一括応答データ内のメンバ識別子127に設
定されている暗号通信グループ32の所属員へのセッシ
ョン鍵の配送が成功したことを認識する。
【0097】サーバ31は、暗号通信グループ32の所
属員のクライアント10〜13および20〜21宛に、
IPマルチキャスト通信を用いて平文データを送信する
(ステップS110)。そして、サーバ31から送られ
た平文データを受信した暗号ゲートウェイ30は、共有
したセッション鍵SK1を用いて平文データを暗号化
し、暗号化したデータをIPマルチキャスト通信を用い
て暗号通信グループ32の所属員のクライアント10〜
13および20〜21宛に送信する(ステップS11
1)。
【0098】暗号通信グループ32に所属する各クライ
アントは、暗号ゲートウェイ30から送られた暗号デー
タを受信し、共有したセッション鍵SK1を用いてこれ
を復号して平文データを得る。
【0099】上述してきたように、本実施の形態1で
は、暗号通信グループ32に所属する各クライアントと
サーバ31は、暗号通信112をおこなうことができ、
また、暗号通信グループ32に所属する二者間でも、共
有したセッション鍵を用いて暗号通信を同様におこなう
ことができる。
【0100】なお、本実施の形態1では、各クライアン
トや暗号ゲートウェイを識別するためのメンバ識別子と
して、ID10〜ID13、ID20、ID21、ID
30を用いることとしたが、各装置のIPアドレスで代
用することもできる。また、ここではグループ識別子と
してID32を用いることとしたが、暗号通信グループ
32用のIPマルチキャストアドレスを用いることもで
きる。
【0101】実施の形態2.ところで、上記実施の形態
1では、鍵配送一括応答データの各領域を平文データと
することとしたが、これらを暗号化して暗号化強度をさ
らに向上することもできる。そこで、本実施の形態2で
は、鍵配送一括応答データの各領域を秘密鍵暗号方式を
用いて暗号化する場合を示すこととする。
【0102】図7は、鍵配送一括応答データの各領域を
秘密鍵暗号方式を用いて暗号化する場合における鍵配送
のシーケンスを示す図である。なお、鍵配送センター1
が鍵配送データを送信する際の処理(ステップS10
0)、代表者のクライアント10と代表者のクライアン
ト20が鍵配送結果収集データを送信する際の処理(ス
テップS101〜S102)、クライアント11〜13
またはクライアント21と暗号ゲートウェイ30とが鍵
配送結果収集データを受信し、鍵配送個別応答を送信す
る際の処理(ステップS103〜S107)などは、上
記実施の形態1と同様のものとなるので、ここでは同一
のステップ番号を付すこととしてその詳細な説明を省略
する。
【0103】図7に示すように、LANセグメント9の
代表者であるクライアント20は、一定時間内に受信し
た鍵配送個別応答内のメンバ識別子ID21とID30
と自分のメンバ識別子ID20とを集めて鍵配送センタ
1へ鍵配送一括応答データとして送信し(ステップS1
48)、LANセグメント8の代表者であるクライアン
ト10は、一定時間内に受信した鍵配送個別応答データ
内のメンバ識別子と自分のメンバ識別子とを集めて鍵配
送センタ1へ鍵配送一括応答データとして送信する(ス
テップS149)。
【0104】ここで、この鍵配送一括応答データは、図
6に示したグループ識別子123、メンバ数126およ
びメンバ識別子127の各領域を、あらかじめ保持した
秘密鍵K10を用いて秘密鍵暗号方式によって暗号化す
ることができる。
【0105】また、鍵配送センタ1では、各LANセグ
メントの代表者から鍵配送一括応答データを受け取り、
クライアント10または20から送信された鍵配送一括
応答データを受信した場合には、あらかじめ保持した秘
密鍵K10を用いて、鍵配送一括応答データ内のグルー
プ識別子123、メンバ数126およびメンバ識別子1
27の各領域を秘密鍵暗号方式で復号し、鍵配送一括応
答データ内のメンバ識別子127に設定されている暗号
通信グループ32の所属員へセッション鍵の配送が成功
したことを認識する。
【0106】なお、サーバ31が平文データを暗号通信
グループ32の所属員のクライアント10〜13および
20〜21宛にIPマルチキャスト通信を用いて送信す
る点についても、上記実施の形態1と同様のものとなる
ので、ここではその説明を省略する。
【0107】上述してきたように、本実施の形態2で
は、鍵配送一括応答データの各領域を秘密鍵暗号方式を
用いて暗号化するよう構成したので、暗号化強度をさら
に向上することができる。
【0108】実施の形態3.ところで、上記実施の形態
2では、鍵配送一括応答データの各領域を秘密鍵暗号系
を用いて暗号化することとしたが、これらを公開鍵暗号
系を用いて暗号化することもできる。そこで、本実施の
形態3では、鍵配送一括応答データの各領域を公開鍵暗
号系を用いて暗号化する場合を示すこととする。
【0109】図8は、鍵配送一括応答データの各領域を
公開鍵暗号方式を用いて暗号化する場合における鍵配送
のシーケンスを示す図である。図8に示すように、LA
Nセグメント9の代表者であるクライアント20は、一
定時間内に受信した鍵配送個別応答内のメンバ識別子I
D21とID30と自分のメンバ識別子ID20とを集
めて鍵配送センタ1へ鍵配送一括応答データとして送信
し(ステップS168)、LANセグメント8の代表者
であるクライアント10は、一定時間内に受信した鍵配
送個別応答データ内のメンバ識別子と自分のメンバ識別
子とを集めて鍵配送センタ1へ鍵配送一括応答データと
して送信する(ステップS169)。
【0110】ここで、この鍵配送一括応答データは、図
6に示したグループ識別子123、メンバ数126およ
びメンバ識別子127の各領域を、あらかじめ保持した
鍵配送センタ1の公開鍵KPMを用いて公開鍵暗号方式
によって暗号化することができる。
【0111】また、鍵配送センタ1では、各LANセグ
メントの代表者から鍵配送一括応答データを受け取り、
クライアント10または20から送信された鍵配送一括
応答データを受信した場合には、あらかじめ保持した鍵
配送センタ1の公開鍵KPMに対応する秘密鍵KSMを
用いて、鍵配送一括応答データ内のグループ識別子12
3、メンバ数126およびメンバ識別子127の各領域
を公開鍵暗号方式で復号し、鍵配送一括応答データ内の
メンバ識別子127に設定されている暗号通信グループ
32の所属員へセッション鍵の配送が成功したことを認
識する。
【0112】上述してきたように、本実施の形態3で
は、鍵配送センタ1に保持した公開鍵KPMと該公開鍵
KPMに対応する秘密鍵KSMとを用いて、鍵配送一括
応答データ内のグループ識別子123、メンバ数126
およびメンバ識別子127の各領域を暗号化するよう構
成したので、各クライアントおよびサーバ31間の暗号
通信を効率良くおこなうことができる。
【0113】実施の形態4.ところで、上記実施の形態
1〜3では、鍵配送結果収集および鍵配送個別応答を平
文でおこなうこととしたが、これらを暗号化して暗号化
強度をさらに向上することもできる。そこで、本実施の
形態4では、鍵配送結果収集および鍵配送個別応答鍵配
送一括応答を秘密鍵暗号方式を用いて暗号化する場合を
示すこととする。
【0114】図9は、鍵配送結果収集および鍵配送個別
応答鍵配送一括応答を秘密鍵暗号方式を用いて暗号化す
る場合における鍵配送のシーケンスを示す図である。な
お、上記実施の形態1と同様の部分には同一のステップ
番号を付すこととする。
【0115】同図に示すように、鍵配送センタ1は、鍵
配送データの送信元IPアドレス120、宛先IPアド
レス121、データ種別122、グループ識別子123
およびセッション鍵データ124の設定をおこない、暗
号通信グループ32の全所属員と鍵配送センタ1との間
であらかじめ共有している暗号鍵KCCを用いて、グル
ープ識別子123およびセッション鍵データ124を暗
号化して鍵配送データ180を作成し、作成した鍵配送
データを暗号通信グループ32の全所属員に対してIP
マルチキャスト方式を用いて送信する(ステップS10
0)。
【0116】そして、暗号通信グループ32に所属して
いるクライアント10〜13、20〜21および暗号ゲ
ートウェイ30が、ルータ2、通信ネットワーク5、ル
ータ3〜4およびLANセグメント8〜9を介して鍵配
送データを受信すると、あらかじめ共有しているセッシ
ョン鍵KCCを用いてグループ識別子123とセッショ
ン鍵データ124を復号し、暗号通信グループ32用の
セッション鍵SK1を内部に保持する。
【0117】すると、代表者であるクライアント10
は、LANセグメント8上に鍵配送結果収集データを送
信し(ステップS181)、代表者であるクライアント
20は、LANセグメント9上に鍵配送結果収集データ
を送信する(ステップS182)。
【0118】具体的には、クライアント10は、鍵配送
結果収集データを作成する際に、送信元IPアドレス1
20、宛先IPアドレス121、データ種別122およ
びグループ識別子123の設定をおこなうとともに、鍵
配送データで配送されたセッション鍵SK1を用いてグ
ループ識別子123を秘密鍵暗号方式で暗号化して、鍵
配送結果収集データを作成し、作成した鍵配送結果収集
データをLANセグメント8上にブロードキャストで送
信する。
【0119】また、クライアント20も、鍵配送データ
で配送されたセッション鍵SK1を用いてグループ識別
子123を秘密鍵暗号方式で暗号化して鍵配送結果収集
データを作成し、LANセグメント9上にブロードキャ
ストで送信する。
【0120】その後、暗号通信グループ32に所属して
いるLANセグメント8上のクライアント11〜13
は、代表者のクライアント10が送信した鍵配送結果収
集データを受信したならば、鍵配送データで配送された
セッション鍵SK1を用いてグループ識別子123を秘
密鍵暗号方式で復号し、グループ識別子123に設定さ
れている暗号通信グループ32のID32を得て、鍵配
送個別応答に自分のIDを設定し、代表者のクライアン
ト10へ送信する(ステップS183〜185)。
【0121】具体的には、送信元IPアドレス120、
宛先IPアドレス121、データ種別122、グループ
識別子123および個別メンバ識別子125の設定をお
こない、鍵配送データで配送されたセッション鍵SK1
を用いてグループ識別子123と個別メンバ識別子12
5の各領域を秘密鍵暗号方式で暗号化し、鍵配送個別応
答データを作成する。
【0122】これに対して、代表者であるクライアント
20が送信した鍵配送結果収集データを受信した暗号通
信グループ32に所属するLANセグメント9上のクラ
イアント21と暗号ゲートウェイ30は、鍵配送個別応
答に自分のIDを設定し、鍵配送データで配送されたセ
ッション鍵SK1を用いてグループ識別子123と個別
メンバ識別子125の各領域を秘密鍵暗号方式で暗号化
し、代表者のクライアント20へ同様に送信する(ステ
ップS186〜187)。
【0123】LANセグメント8の代表者であるクライ
アント10は、一定時間内に受信した鍵配送個別応答デ
ータから、鍵配送データで配送されたセッション鍵SK
1を用いてグループ識別子123と個別メンバ識別子1
25の各領域を秘密鍵暗号方式で復号し、メンバ識別子
と自分のメンバ識別子を集めて鍵配送センタ1へ鍵配送
一括応答データとして送信する(ステップS189)。
【0124】そして、鍵配送データで配送されたセッシ
ョン鍵SK1を用いてグループ識別子123、メンバ数
126およびメンバ識別子127の各領域を秘密鍵暗号
方式で暗号化し、鍵配送一括応答データを作成する。
【0125】同様に、LANセグメント9の代表者であ
るクライアント20は、一定時間内に受信した鍵配送個
別応答内のメンバ識別子をセッション鍵SK1を用いて
復号し、メンバ識別子ID21とID30と自分のメン
バ識別子ID20を集めてセッション鍵SK1を用いて
暗号化し、鍵配送センタ1へ鍵配送一括応答データとし
て送信する(ステップS188)。
【0126】鍵配送センタ1は、各LANセグメントの
代表者から鍵配送一括応答データを受け取り、鍵配送デ
ータで配送したセッション鍵SK1を用いてグループ識
別子123、メンバ数126およびメンバ識別子127
の各領域を秘密鍵暗号方式で復号し、鍵配送一括応答デ
ータ内のメンバ識別子127に設定されている暗号通信
グループ32の所属員へセッション鍵の配送が成功した
ことを認識する。
【0127】上述してきたように、本実施の形態4で
は、鍵配送結果収集および鍵配送個別応答を秘密鍵暗号
方式で暗号化するよう構成したので、暗号化強度をさら
に向上することができる。
【0128】実施の形態5.ところで、上記実施の形態
4では、鍵配送データで配送されたセッション鍵SK1
を用いてグループ識別子123を暗号化することとした
が、すでに配送済みのセッション鍵SK0を用いてグル
ープ識別子123を暗号化することもできる。そこで、
本実施の形態5では、すでに配送済みのセッション鍵を
用いてグループ識別子を暗号化する場合を示すこととす
る。
【0129】図10は、鍵配送結果収集および鍵配送個
別応答鍵配送一括応答をすでに配送済みのセッション鍵
を用いて暗号化する場合における鍵配送のシーケンスを
示す図である。なお、上記実施の形態1と同様の部分に
は同一のステップ番号を付すこととし、また、暗号通信
グループ32の全所属員には、すでにセッション鍵SK
0が配送され、それぞれ内部で保持しているものとす
る。
【0130】同図に示すように、鍵配送センタ1は、鍵
配送データの送信元IPアドレス120、宛先IPアド
レス121、データ種別122、グループ識別子123
およびセッション鍵データ124の設定をおこない、暗
号通信グループ32の全所属員と鍵配送センタ1との間
であらかじめ共有している暗号鍵KCCを用いて、グル
ープ識別子123およびセッション鍵データ124を暗
号化して鍵配送データ180を作成し、作成した鍵配送
データを暗号通信グループ32の全所属員に対してIP
マルチキャスト方式を用いて送信する(ステップS10
0)。
【0131】すると、代表者であるクライアント10
は、LANセグメント8上に鍵配送結果収集データを送
信し(ステップS201)、代表者であるクライアント
20は、LANセグメント9上に鍵配送結果収集データ
を送信する(ステップS202)。
【0132】具体的には、クライアント10は、鍵配送
結果収集データを作成する際に、送信元IPアドレス1
20、宛先IPアドレス121、データ種別122およ
びグループ識別子123の設定をおこなうとともに、す
でに配送済みのセッション鍵SK0を用いてグループ識
別子123を秘密鍵暗号方式で暗号化して、鍵配送結果
収集データを作成し、作成した鍵配送結果収集データを
LANセグメント8上にブロードキャストで送信する。
【0133】また、クライアント20も、すでに配送済
みのセッション鍵SK0を用いてグループ識別子123
を秘密鍵暗号方式で暗号化して鍵配送結果収集データを
作成し、LANセグメント9上にブロードキャストで送
信する。
【0134】その後、暗号通信グループ32に所属して
いるLANセグメント8上のクライアント11〜13
は、代表者のクライアント10が送信した鍵配送結果収
集データを受信したならば、すでに配送済みのセッショ
ン鍵SK0を用いてグループ識別子123を秘密鍵暗号
方式で復号し、グループ識別子123に設定されている
暗号通信グループ32のID32を得て、鍵配送個別応
答に自分のIDを設定し、代表者のクライアント10へ
送信する(ステップS203〜205)。
【0135】具体的には、送信元IPアドレス120、
宛先IPアドレス121、データ種別122、グループ
識別子123および個別メンバ識別子125の設定をお
こない、配送済みのセッション鍵SK0を用いてグルー
プ識別子123と個別メンバ識別子125の各領域を秘
密鍵暗号方式で暗号化し、鍵配送個別応答データを作成
する。
【0136】これに対して、代表者であるクライアント
20が送信した鍵配送結果収集データを受信した暗号通
信グループ32に所属するLANセグメント9上のクラ
イアント21と暗号ゲートウェイ30は、鍵配送個別応
答に自分のIDを設定し、配送済みのセッション鍵SK
0を用いてグループ識別子123と個別メンバ識別子1
25の各領域を秘密鍵暗号方式で暗号化し、代表者のク
ライアント20へ同様に送信する(ステップS206〜
207)。
【0137】LANセグメント8の代表者であるクライ
アント10は、一定時間内に受信した鍵配送個別応答デ
ータから、配送済みのセッション鍵SK0を用いてグル
ープ識別子123と個別メンバ識別子125の各領域を
秘密鍵暗号方式で復号し、メンバ識別子と自分のメンバ
識別子を集めて鍵配送センタ1へ鍵配送一括応答データ
として送信する(ステップS209)。
【0138】そして、鍵配送データで配送されたセッシ
ョン鍵SK1を用いてグループ識別子123、メンバ数
126およびメンバ識別子127の各領域を秘密鍵暗号
方式で暗号化し、鍵配送一括応答データを作成する。
【0139】同様に、LANセグメント9の代表者であ
るクライアント20は、一定時間内に受信した鍵配送個
別応答内のメンバ識別子をセッション鍵SK0を用いて
復号し、メンバ識別子ID21とID30と自分のメン
バ識別子ID20を集めてセッション鍵SK0を用いて
暗号化し、鍵配送センタ1へ鍵配送一括応答データとし
て送信する(ステップS208)。
【0140】鍵配送センタ1は、各LANセグメントの
代表者から鍵配送一括応答データを受け取り、すでに配
送済みのセッション鍵SK0を用いてグループ識別子1
23、メンバ数126およびメンバ識別子127の各領
域を秘密鍵暗号方式で復号し、鍵配送一括応答データ内
のメンバ識別子127に設定されている暗号通信グルー
プ32の所属員へセッション鍵の配送が成功したことを
認識する。
【0141】上述してきたように、本実施の形態5で
は、すでに配送済みのセッション鍵SK0を用いてグル
ープ識別子123を暗号化するよう構成したので、さら
に迅速かつ効率良く暗号化をおこなうことができる。
【0142】実施の形態6.ところで、上記実施の形態
4および5では、あらかじめ共有している暗号鍵KCC
を用いてグループ識別子123およびセッション鍵デー
タ124を暗号化することとしたが、すでに配送された
セッション鍵SK0を用いてこれらを暗号化することも
できる。そこで、本実施の形態6では、すでに配送され
たセッション鍵SK0を用いてグループ識別子123お
よびセッション鍵データ124を暗号化する場合につい
て説明する。なお、鍵配送結果情報および鍵配送個別応
答については、配送されたセッション鍵SK1を用いる
こととする。
【0143】図11は、すでに配送されたセッション鍵
SK0を用いてグループ識別子123およびセッション
鍵データ124を暗号化する場合における鍵配送のシー
ケンスを示す図である。なお、上記実施の形態1と同様
の部分には同一のステップ番号を付すこととし、また、
暗号通信グループ32の全所属員には、すでにセッショ
ン鍵SK0が配送され、それぞれ内部で保持しているも
のとする。
【0144】同図に示すように、鍵配送センタ1は、鍵
配送データの送信元IPアドレス120、宛先IPアド
レス121、データ種別122、グループ識別子123
およびセッション鍵データ124の設定をおこない、全
所属員に以前配送されていたセッション鍵SK0を用い
てグループ識別子123とセッション鍵データ124を
暗号化して鍵配送データを作成し、作成した鍵配送デー
タを暗号通信グループ32の全所属員に対してIPマル
チキャスト方式を用いて送信する(ステップS22
0)。
【0145】ルータ2、通信ネットワーク5、ルータ3
〜4およびLANセグメント8〜9経由で鍵配送データ
200を受信した暗号通信グループ32に所属するクラ
イアント10〜13、20〜21および暗号ゲートウェ
イ30は、以前に配送されていたセッション鍵SK0を
用いてグループ識別子123とセッション鍵データ12
4を復号し、暗号通信グループ32用のセッション鍵S
K1を得て内部に保持する。
【0146】すると、代表者であるクライアント10
は、LANセグメント8上に鍵配送結果収集データを送
信し(ステップS181)、代表者であるクライアント
20は、LANセグメント9上に鍵配送結果収集データ
を送信する(ステップS182)。
【0147】具体的には、クライアント10は、鍵配送
結果収集データを作成する際に、送信元IPアドレス1
20、宛先IPアドレス121、データ種別122およ
びグループ識別子123の設定をおこなうとともに、鍵
配送データで配送されたセッション鍵SK1を用いてグ
ループ識別子123を秘密鍵暗号方式で暗号化して、鍵
配送結果収集データを作成し、作成した鍵配送結果収集
データをLANセグメント8上にブロードキャストで送
信する。
【0148】また、クライアント20も、鍵配送データ
で配送されたセッション鍵SK1を用いてグループ識別
子123を秘密鍵暗号方式で暗号化して鍵配送結果収集
データを作成し、LANセグメント9上にブロードキャ
ストで送信する。
【0149】その後、暗号通信グループ32に所属して
いるLANセグメント8上のクライアント11〜13
は、代表者のクライアント10が送信した鍵配送結果収
集データを受信したならば、鍵配送データで配送された
セッション鍵SK1を用いてグループ識別子123を秘
密鍵暗号方式で復号し、グループ識別子123に設定さ
れている暗号通信グループ32のID32を得て、鍵配
送個別応答に自分のIDを設定し、代表者のクライアン
ト10へ送信する(ステップS183〜185)。
【0150】具体的には、送信元IPアドレス120、
宛先IPアドレス121、データ種別122、グループ
識別子123および個別メンバ識別子125の設定をお
こない、鍵配送データで配送されたセッション鍵SK1
を用いてグループ識別子123と個別メンバ識別子12
5の各領域を秘密鍵暗号方式で暗号化し、鍵配送個別応
答データを作成する。
【0151】これに対して、代表者であるクライアント
20が送信した鍵配送結果収集データを受信した暗号通
信グループ32に所属するLANセグメント9上のクラ
イアント21と暗号ゲートウェイ30は、鍵配送個別応
答に自分のIDを設定し、鍵配送データで配送されたセ
ッション鍵SK1を用いてグループ識別子123と個別
メンバ識別子125の各領域を秘密鍵暗号方式で暗号化
し、代表者のクライアント20へ同様に送信する(ステ
ップS186〜187)。
【0152】LANセグメント8の代表者であるクライ
アント10は、一定時間内に受信した鍵配送個別応答デ
ータから、鍵配送データで配送されたセッション鍵SK
1を用いてグループ識別子123と個別メンバ識別子1
25の各領域を秘密鍵暗号方式で復号し、メンバ識別子
と自分のメンバ識別子を集めて鍵配送センタ1へ鍵配送
一括応答データとして送信する(ステップS189)。
【0153】そして、鍵配送データで配送されたセッシ
ョン鍵SK1を用いてグループ識別子123、メンバ数
126およびメンバ識別子127の各領域を秘密鍵暗号
方式で暗号化し、鍵配送一括応答データを作成する。
【0154】同様に、LANセグメント9の代表者であ
るクライアント20は、一定時間内に受信した鍵配送個
別応答内のメンバ識別子をセッション鍵SK1を用いて
復号し、メンバ識別子ID21とID30と自分のメン
バ識別子ID20を集めてセッション鍵SK1を用いて
暗号化し、鍵配送センタ1へ鍵配送一括応答データとし
て送信する(ステップS188)。
【0155】鍵配送センタ1は、各LANセグメントの
代表者から鍵配送一括応答データを受け取り、鍵配送デ
ータで配送したセッション鍵SK1を用いてグループ識
別子123、メンバ数126およびメンバ識別子127
の各領域を秘密鍵暗号方式で復号し、鍵配送一括応答デ
ータ内のメンバ識別子127に設定されている暗号通信
グループ32の所属員へセッション鍵の配送が成功した
ことを認識する。
【0156】また、この鍵配送センタ1は、鍵配送デー
タの送信元IPアドレス120には鍵配送センタ1のI
Pアドレスを設定し、宛先IPアドレス121には暗号
通信グループ32のIPマルチキャストアドレスを設定
し、データ種別122には鍵配送を設定する。
【0157】さらに、グループ識別子123には暗号通
信グループ32を識別するID32を設定し、セッショ
ン鍵データ124には生成した乱数をセッション鍵SK
2として設定し、暗号通信グループ32に所属している
クライアント10〜13、20〜21および暗号ゲート
ウェイ30の全所属員に鍵配送データで配送したセッシ
ョン鍵SK1を用いてグループ識別子123とセッショ
ン鍵データ124を暗号化して鍵配送データを作成し、
暗号通信グループ32の全所属員に対してIPマルチキ
ャスト方式を用いて鍵配送データを送信する(ステップ
S230)。
【0158】通信ネットワーク5、ルータ2〜4、LA
Nセグメント8〜9経由で鍵配送データを受信した暗号
通信グループ32に所属するクライアント10〜13、
20〜21および暗号ゲートウェイ30は、鍵配送デー
タで配送されたセッション鍵SK1を用いてグループ識
別子123とセッション鍵データ124を復号し、暗号
通信グループ32用のセッション鍵SK2を得て内部に
保持する。
【0159】鍵配送データを受信した暗号通信グループ
32に所属するクライアント10〜13、20〜21お
よび暗号ゲートウェイ30は、これ以後、鍵配送の一連
のシーケンスによって新しく配られたセッション鍵SK
2を用いて暗号することにより通信をおこなう。
【0160】上述してきたように、本実施の形態6で
は、あらかじめ共有している暗号鍵KCCではなく、以
前に配送されたセッション鍵を利用してグループ識別子
123およびセッション鍵データ124を暗号化するよ
う構成したので、さらに暗号化強度を高めることができ
る。
【0161】実施の形態7.ところで、上記実施の形態
1〜6では、代表者であるクライアント10および20
が送信する鍵配送結果収集データに応答して、各クライ
アントが鍵配送個別応答を返信することとしたが、かか
る鍵配送結果収集データを伴うことなく、各クライアン
トが代表者のクライアント10および20に対して主導
的に鍵配送個別応答データを送信することもできる。そ
こで、本実施の形態7では、各クライアントが代表者の
クライアント10および20に対して主導的に鍵配送個
別応答を送信する場合について説明する。
【0162】図12は、各クライアントが代表者のクラ
イアント10および20に対して主導的に鍵配送個別応
答を送信する場合における鍵配送のシーケンスを示す図
である。なお、上記実施の形態1と同様の部分には同一
のステップ番号を付すこととする。
【0163】図2に示したシーケンス図では、代表者で
あるクライアント10が各クライアント11〜13に鍵
配送結果収集データを配送し(ステップS101)、ま
た、代表者であるクライアント21および暗号ゲートウ
エイ30に鍵配送結果収集データを配送することとして
いるが(ステップS102)、図12に示すシーケンス
図では、かかる鍵配送結果収集データの配送が図示され
ていない。
【0164】すなわち、ここでは代表者からの鍵配送結
果収集データに応答して鍵配送個別応答データを送信す
るのではなく、あらかじめ設定された代表者に対して主
導的に鍵配送個別応答データを送信することとしてい
る。
【0165】具体的には、鍵配送センター1が送信した
鍵配送データを受信した暗号通信グループ32に所属す
るLANセグメント8上のクライアント11〜13は、
鍵配送個別応答に自分のIDを設定し、あらかじめ設定
された代表者であるクライアント10に送信する。
【0166】そして、LANセグメント8の代表者であ
るクライアント10は、一定時間内に受信した鍵配送個
別応答データ内のメンバ識別子と自分のメンバ識別子を
集めて鍵配送センタ1へ鍵配送一括応答データとして送
信する。また、LANセグメント9の代表者であるクラ
イアント20においても、一定時間内に受信した鍵配送
個別応答内のメンバ識別子ID21とID30と自分の
メンバ識別子ID20を集めて鍵配送センタ1へ鍵配送
一括応答データとして送信する。
【0167】そして、鍵配送センタ1は、各LANセグ
メントの代表者から鍵配送一括応答データを受け取り、
鍵配送一括応答データ内のメンバ識別子127に設定さ
れている暗号通信グループ32の所属員へセッション鍵
の配送が成功したことを認識する。
【0168】上述してきたように、本実施の形態7で
は、代表者であるクライアント10および20による鍵
配送結果収集データを伴うことなく、各クライアントが
鍵配送個別応答データを主導的に返信するよう構成した
ので、代表者のクライアントと他のクライアントとの通
信量を低減し、さらに効率良く暗号通信をおこなうこと
ができる。
【0169】なお、上記実施の形態において、通信セグ
メント上のグループに属する所属員は、自分のメンバを
識別する識別子とともに鍵配送個別応答データを鍵配送
センタから配送されたセッション鍵を用いて暗号化し、
通信セグメント上のグループに属する所属員は暗号化し
た鍵配送個別応答データを代表者に送り、代表者は一定
時間内に受信した通信セグメント上のグループに属する
所属員からの鍵配送個別応答データを鍵配送センタから
配送された上記セッション鍵を用いて復号し、復号した
鍵配送個別応答データから得たメンバ識別子と代表者の
識別子を含む鍵配送一括応答データを鍵配送センタへ送
信することもできる。
【0170】また、通信セグメント上のグループに属す
る所属員は自分のメンバを識別する識別子とともに鍵配
送個別応答データを鍵配送センタから配送される以前の
セッション鍵を用いて暗号化し、通信セグメント上のグ
ループに属する所属員は暗号化した鍵配送個別応答デー
タを代表者に送り、代表者は一定時間内に受信した通信
セグメント上のグループに属する所属員からの鍵配送個
別応答データを鍵配送センタから配送される以前の上記
セッション鍵を用いて復号し、復号した鍵配送個別応答
データから得たメンバ識別子と代表者の識別子を含む鍵
配送一括応答データを鍵配送センタへ送信することもで
きる。
【0171】さらに、LANセグメント8の代表者であ
るクライアント10は、一定時間内に受信した鍵配送個
別応答データ内のメンバ識別子と自分のメンバ識別子を
集めて鍵配送センタ1へ鍵配送一括応答データとして送
信する時に、秘密鍵暗号方式によりあらかじめ保持して
いる秘密鍵K10を用いて暗号化し、鍵配送一括応答デ
ータを作成後、鍵配送一括応答データを鍵配送センタ1
へ送信し、鍵配送センタ1は、各LANセグメントの代
表者から鍵配送一括応答データを受け取り、あらかじめ
保持している秘密鍵K10を用いて鍵配送一括応答デー
タを復号し鍵配送一括応答データ内のメンバ識別子12
7に設定されている暗号通信グループ32の所属員へセ
ッション鍵の配送が成功したことを認識してもよい。
【0172】また、LANセグメント8の代表者である
クライアント10は、一定時間内に受信した鍵配送個別
応答データ内のメンバ識別子と自分のメンバ識別子を集
めて鍵配送センタ1へ鍵配送一括応答データとして送信
する時に、公開鍵暗号方式によりあらかじめ保持してい
る鍵配送センタ1の公開鍵KPMを用いて暗号化し、鍵
配送一括応答データを作成後、鍵配送一括応答データを
鍵配送センタ1へ送信し、鍵配送センタ1は、各LAN
セグメントの代表者から鍵配送一括応答データを受け取
り、公開鍵暗号方式によりあらかじめ保持している鍵配
送センタ1の秘密鍵KSMを用いて鍵配送一括応答デー
タを復号し、鍵配送一括応答データ内のメンバ識別子1
27に設定されている暗号通信グループ32の所属員へ
セッション鍵の配送が成功したことを認識してもよい。
【0173】さらに、鍵配送センタはグループに属する
クライアントならびにサーバならびに暗号ゲートウェイ
に鍵配送データ240を鍵配送センタから配送される以
前のセッション鍵を用いて暗号化してから一斉に送信
し、通信セグメント上のグループに属する所属員は鍵配
送データを鍵配送センタから配送される以前のセッショ
ン鍵を用いて復号するようにしてもよい。
【0174】
【発明の効果】以上説明したように、この発明によれ
ば、複数の端末装置が、鍵配送センタが暗号鍵を配送し
た場合に、所定の代表端末装置に対して配送結果を通知
し、代表端末装置は、各端末装置から受け付けた配送結
果を鍵配送センタに一括して送信するよう構成したの
で、同じグループに所属する暗号機能を有するクライア
ントや暗号ゲートウェイ間での暗号鍵の共有を容易にお
こない、もって鍵配送センタの処理負荷およびネットワ
ーク負荷を軽減することができる暗号処置システムが得
られるという効果を奏する。
【0175】つぎの発明によれば、代表端末装置が、鍵
配送センタが暗号鍵を配送した際に、暗号鍵の配送結果
を各端末装置に対して要求するよう構成したので、代表
端末装置の主導の下に効率良く鍵配送センタの処理負荷
を軽減することができる暗号処置システムが得られると
いう効果を奏する。
【0176】つぎの発明によれば、鍵配送センタが暗号
鍵を配送した際に、所定のグループに属する端末装置に
対して暗号鍵の配送結果を要求するよう構成したので、
管理容易なグループごとに配送結果の収集をおこなうこ
とができる暗号処置システムが得られるという効果を奏
する。
【0177】つぎの発明によれば、代表端末装置が、通
信セグメント上に位置するグループに属するクライアン
ト、サーバならびに暗号ゲートウェイの中から選択され
るよう構成したので、各種端末を任意に代表端末装置と
して選択することができる暗号処置システムが得られる
という効果を奏する。
【0178】つぎの発明によれば、各端末装置から受け
付けた各配送結果のまとまりを所定の秘密鍵を用いて暗
号化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の秘密鍵を用いて暗号データ
を復号化するよう構成したので、秘密暗号系を用いて配
送結果の暗号化強度を高めることができる暗号処置シス
テムが得られるという効果を奏する。
【0179】つぎの発明によれば、各端末装置から受け
付けた各配送結果のまとまりを所定の公開鍵を用いて暗
号化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の公開鍵に対応する秘密鍵を
用いて暗号データを復号化するよう構成したので、公開
暗号系を用いて配送結果の暗号化強度を高めることがで
きる暗号処置システムが得られるという効果を奏する。
【0180】つぎの発明によれば、暗号鍵の配送結果を
各端末装置に対して要求する要求データを所定の暗号鍵
を用いて暗号化し、各端末装置は、暗号化された要求デ
ータを復号化するよう構成したので、暗号鍵の配送要求
の授受を暗号化し、さらに暗号強度を高めることができ
る暗号処置システムが得られるという効果を奏する。
【0181】つぎの発明によれば、各端末装置が、代表
端末装置に送信する暗号鍵の配送結果を所定の暗号鍵を
用いて暗号化し、代表端末装置は、各端末装置から受け
取った暗号化された配送結果を復号化するよう構成した
ので、暗号鍵の配信結果の授受を暗号化し、さらに暗号
強度を高めることができる暗号処置システムが得られる
という効果を奏する。
【0182】つぎの発明によれば、鍵配送センタから配
送された暗号鍵を用いて要求データおよび配送結果をそ
れぞれ暗号化するよう構成したので、要求データおよび
配送結果についても所定の暗号化強度を維持することが
できる暗号処置システムが得られるという効果を奏す
る。
【0183】つぎの発明によれば、鍵配送センタから配
送された以前の暗号鍵を用いて要求データおよび配送結
果をそれぞれ暗号化するよう構成したので、要求データ
および配送結果に用いる暗号鍵の授受の負担を軽減する
ことができる暗号処置システムが得られるという効果を
奏する。
【0184】つぎの発明によれば、配送対象となる第1
の暗号鍵を以前に各端末装置に配送した第2の暗号鍵を
用いて暗号化し、各端末装置は、鍵配送センタから配送
された第1の暗号鍵を第2の暗号鍵に対応する復号鍵を
用いて復号化するよう構成したので、鍵配送センタから
暗号鍵の配送を安全におこなうことができる暗号処置シ
ステムが得られるという効果を奏する。
【0185】つぎの発明によれば、複数の端末装置が、
鍵配送センタが暗号鍵を配送した場合に、所定の代表端
末装置に対して配送結果を通知し、代表端末装置は、各
端末装置から受け付けた配送結果を鍵配送センタに一括
して送信するよう構成したので、同じグループに所属す
る暗号機能を有するクライアントや暗号ゲートウェイ間
での暗号鍵の共有を容易におこない、もって鍵配送セン
タの処理負荷およびネットワーク負荷を軽減することが
できる暗号処置方法が得られるという効果を奏する。
【0186】つぎの発明によれば、代表端末装置が、鍵
配送センタが暗号鍵を配送した際に、暗号鍵の配送結果
を各端末装置に対して要求するよう構成したので、代表
端末装置の主導の下に効率良く鍵配送センタの処理負荷
を軽減することができる暗号処置方法が得られるという
効果を奏する。
【0187】つぎの発明によれば、鍵配送センタが暗号
鍵を配送した際に、所定のグループに属する端末装置に
対して暗号鍵の配送結果を要求するよう構成したので、
管理容易なグループごとに配送結果の収集をおこなうこ
とができる暗号処置方法が得られるという効果を奏す
る。
【0188】つぎの発明によれば、代表端末装置が、通
信セグメント上に位置するグループに属するクライアン
ト、サーバならびに暗号ゲートウェイの中から選択され
るよう構成したので、各種端末を任意に代表端末装置と
して選択することができる暗号処置方法が得られるとい
う効果を奏する。
【0189】つぎの発明によれば、各端末装置から受け
付けた各配送結果のまとまりを所定の秘密鍵を用いて暗
号化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の秘密鍵を用いて暗号データ
を復号化するよう構成したので、秘密暗号系を用いて配
送結果の暗号化強度を高めることができる暗号処置方法
が得られるという効果を奏する。
【0190】つぎの発明によれば、各端末装置から受け
付けた各配送結果のまとまりを所定の公開鍵を用いて暗
号化し、暗号化された暗号データを鍵配送センタに送信
し、鍵配送センタは、所定の公開鍵に対応する秘密鍵を
用いて暗号データを復号化するよう構成したので、公開
暗号系を用いて配送結果の暗号化強度を高めることがで
きる暗号処置方法が得られるという効果を奏する。
【0191】つぎの発明によれば、暗号鍵の配送結果を
各端末装置に対して要求する要求データを所定の暗号鍵
を用いて暗号化し、各端末装置は、暗号化された要求デ
ータを復号化するよう構成したので、暗号鍵の配送要求
の授受を暗号化し、さらに暗号強度を高めることができ
る暗号処置方法が得られるという効果を奏する。
【0192】つぎの発明によれば、各端末装置が、代表
端末装置に送信する暗号鍵の配送結果を所定の暗号鍵を
用いて暗号化し、代表端末装置は、各端末装置から受け
取った暗号化された配送結果を復号化するよう構成した
ので、暗号鍵の配信結果の授受を暗号化し、さらに暗号
強度を高めることができる暗号処置方法が得られるとい
う効果を奏する。
【0193】つぎの発明によれば、鍵配送センタから配
送された暗号鍵を用いて要求データおよび配送結果をそ
れぞれ暗号化するよう構成したので、要求データおよび
配送結果についても所定の暗号化強度を維持することが
できる暗号処置方法が得られるという効果を奏する。
【0194】つぎの発明によれば、鍵配送センタから配
送された以前の暗号鍵を用いて要求データおよび配送結
果をそれぞれ暗号化するよう構成したので、要求データ
および配送結果に用いる暗号鍵の授受の負担を軽減する
ことができる暗号処置方法が得られるという効果を奏す
る。
【0195】つぎの発明によれば、配送対象となる第1
の暗号鍵を以前に各端末装置に配送した第2の暗号鍵を
用いて暗号化し、各端末装置は、鍵配送センタから配送
された第1の暗号鍵を第2の暗号鍵に対応する復号鍵を
用いて復号化するよう構成したので、鍵配送センタから
暗号鍵の配送を安全におこなうことができる暗号処置方
法が得られるという効果を奏する。
【0196】つぎの発明にかかる記録媒体は、請求項1
2〜22のいずれか一つに記載された方法をコンピュー
タに実行させるプログラムを記録したことで、そのプロ
グラムを機械読み取り可能となり、これによって、請求
項12〜22の動作をコンピュータによって実現するこ
とが可能となる。
【図面の簡単な説明】
【図1】 この実施の形態で用いる暗号通信システムの
システム構成を示すブロック図である。
【図2】 図1に示したサーバから暗号通信グループに
属しているクライアントおよび暗号ゲートウェイに対し
て一斉同報による暗号通信をおこなう際の鍵配送のシー
ケンスを示す図である。
【図3】 鍵配送データのデータ構造を示す図である。
【図4】 鍵配送結果収集データのデータ構造を示す図
である。
【図5】 鍵配送個別応答データのデータ構造を示す図
である。
【図6】 鍵配送一括応答データのデータ構造を示す図
である。
【図7】 鍵配送一括応答データの各領域を秘密鍵暗号
方式を用いて暗号化する場合における鍵配送のシーケン
スを示す図である。
【図8】 鍵配送一括応答データの各領域を公開鍵暗号
方式を用いて暗号化する場合における鍵配送のシーケン
スを示す図である。
【図9】 鍵配送結果収集および鍵配送個別応答鍵配送
一括応答を秘密鍵暗号方式を用いて暗号化する場合にお
ける鍵配送のシーケンスを示す図である。
【図10】 鍵配送結果収集および鍵配送個別応答鍵配
送一括応答をすでに配送済みのセッション鍵を用いて暗
号化する場合における鍵配送のシーケンスを示す図であ
る。
【図11】 すでに配送されたセッション鍵SK0を用
いてグループ識別子およびセッション鍵データを暗号化
する場合における鍵配送のシーケンスを示す図である。
【図12】 各クライアントが代表者のクライアントに
対して主導的に鍵配送個別応答を送信する場合における
鍵配送のシーケンスを示す図である。
【図13】 従来の暗号通信システムのシステム構成を
示すブロック図である。
【図14】 図13に示したクライアント〜サーバ間の
従来の処理手順を示すシーケンス図である。
【図15】 図13に示した鍵配送センタ1から暗号通
信グループに所属するクライアントおよび暗号ゲートウ
ェイに対してセッション鍵を一斉に配送する場合の従来
の処理手順を示すシーケンス図である。
【符号の説明】
1 鍵配送センタ、2〜4 ルータ、5 通信ネットワ
ーク、8〜9 LANセグメント、10〜14,20〜
22 クライアント、30 暗号ゲートウェイ、31
サーバ、32 暗号通信グループ、120 送信元IP
アドレス、121 宛先IPアドレス、122 データ
種別、123 グループ識別子、124セッション鍵デ
ータ、125 個別メンバ識別子、126 メンバ数、
127メンバ識別子。
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B017 AA06 AA08 BA05 BA07 BB02 CA16 5J104 AA01 AA10 AA16 AA36 BA02 CA01 EA01 EA04 EA17 JA21 MA06 NA02 NA03 NA27

Claims (23)

    【特許請求の範囲】
  1. 【請求項1】 暗号鍵を生成して配送する鍵配送センタ
    と、前記鍵配送センタから配送された暗号鍵を用いて暗
    号通信をおこなう複数の端末装置とを所定のネットワー
    クを介して接続した暗号通信システムにおいて、 前記複数の端末装置は、前記鍵配送センタが暗号鍵を配
    送した場合に、所定の代表端末装置に対して配送結果を
    通知する配送結果通知手段を備え、前記代表端末装置
    は、各端末装置から受け付けた配送結果を前記鍵配送セ
    ンタに一括して送信する一括送信手段を備えたことを特
    徴とする暗号通信システム。
  2. 【請求項2】 前記代表端末装置は、前記鍵配送センタ
    が暗号鍵を配送した際に、前記暗号鍵の配送結果を各端
    末装置に対して要求する配送結果要求手段をさらに備え
    たことを特徴とする請求項1に記載の暗号通信システ
    ム。
  3. 【請求項3】 前記配送結果要求手段は、前記鍵配送セ
    ンタが暗号鍵を配送した際に、所定のグループに属する
    端末装置に対して前記暗号鍵の配送結果を要求すること
    を特徴とする請求項2に記載の暗号通信システム。
  4. 【請求項4】 前記代表端末装置は、通信セグメント上
    に位置するグループに属するクライアント、サーバなら
    びに暗号ゲートウェイの中から選択されることを特徴と
    する請求項1、2または3に記載の暗号通信システム。
  5. 【請求項5】 前記一括送信手段は、各端末装置から受
    け付けた各配送結果のまとまりを所定の秘密鍵を用いて
    暗号化する配送結果暗号化手段と、前記配送結果暗号化
    手段により暗号化された暗号データを前記鍵配送センタ
    に送信する送信手段とを備え、前記鍵配送センタは、前
    記所定の秘密鍵を用いて前記暗号データを復号化する復
    号化手段を備えたことを特徴とする請求項1〜4のいず
    れか一つに記載の暗号通信システム。
  6. 【請求項6】 前記一括送信手段は、各端末装置から受
    け付けた各配送結果のまとまりを所定の公開鍵を用いて
    暗号化する配送結果暗号化手段と、前記配送結果暗号化
    手段により暗号化された暗号データを前記鍵配送センタ
    に送信する送信手段とを備え、前記鍵配送センタは、前
    記所定の公開鍵に対応する秘密鍵を用いて前記暗号デー
    タを復号化する復号化手段を備えたことを特徴とする請
    求項1〜4のいずれか一つに記載の暗号通信システム。
  7. 【請求項7】 前記配送結果要求手段は、前記暗号鍵の
    配送結果を各端末装置に対して要求する要求データを所
    定の暗号鍵を用いて暗号化する要求データ暗号化手段を
    備え、各端末装置は、前記要求データ復号化手段により
    暗号化された要求データを復号化する要求データ復号化
    手段をさらに備えたことを特徴とする請求項2〜6のい
    ずれか一つに記載の暗号通信システム。
  8. 【請求項8】 各端末装置は、前記代表端末装置に送信
    する前記暗号鍵の配送結果を所定の暗号鍵を用いて暗号
    化する配送結果暗号化手段をさらに備え、前記代表端末
    装置は、各端末装置から受け取った暗号化された配送結
    果を復号化する配送結果復号化手段を備えたことを特徴
    とする請求項2〜6のいずれか一つに記載の暗号通信シ
    ステム。
  9. 【請求項9】 前記要求データ暗号化手段および前記配
    送結果暗号化手段は、前記鍵配送センタから配送された
    暗号鍵を用いて前記要求データおよび配送結果をそれぞ
    れ暗号化することを特徴とする請求項7または8に記載
    の暗号通信システム。
  10. 【請求項10】 前記要求データ暗号化手段および前記
    配送結果暗号化手段は、前記鍵配送センタから配送され
    た以前の暗号鍵を用いて前記要求データおよび配送結果
    をそれぞれ暗号化することを特徴とする請求項7または
    8に記載の暗号通信システム。
  11. 【請求項11】 前記鍵配送センタは、配送対象となる
    第1の暗号鍵を以前に各端末装置に配送した第2の暗号
    鍵を用いて暗号化する暗号鍵暗号化手段を備え、各端末
    装置は、前記鍵配送センタから配送された第1の暗号鍵
    を前記第2の暗号鍵に対応する復号鍵を用いて復号化す
    る暗号鍵復号化手段をさらに備えたことを特徴とする請
    求項1〜10のいずれか一つに記載の暗号通信システ
    ム。
  12. 【請求項12】 暗号鍵を生成して配送する鍵配送セン
    タから配送された暗号鍵を用いて複数の端末装置が暗号
    通信をおこなう暗号通信方法において、 前記複数の端末装置が、前記鍵配送センタが暗号鍵を配
    送した場合に、所定の代表端末装置に対して配送結果を
    通知する配送結果通知工程と、 前記代表端末装置が、各端末装置から受け付けた配送結
    果を前記鍵配送センタに一括して送信する一括送信工程
    と、 を含んだことを特徴とする暗号通信方法。
  13. 【請求項13】 前記代表端末装置が、前記鍵配送セン
    タが暗号鍵を配送した際に、前記暗号鍵の配送結果を各
    端末装置に対して要求する配送結果要求工程をさらに備
    えたことを特徴とする請求項12に記載の暗号通信方
    法。
  14. 【請求項14】 前記配送結果要求工程は、前記鍵配送
    センタが暗号鍵を配送した際に、所定のグループに属す
    る端末装置に対して前記暗号鍵の配送結果を要求するこ
    とを特徴とする請求項13に記載の暗号通信方法。
  15. 【請求項15】 前記代表端末装置は、通信セグメント
    上に位置するグループに属するクライアント、サーバな
    らびに暗号ゲートウェイの中から選択されることを特徴
    とする請求項12、13または14に記載の暗号通信方
    法。
  16. 【請求項16】 前記一括送信工程は、各端末装置から
    受け付けた各配送結果のまとまりを所定の秘密鍵を用い
    て暗号化する配送結果暗号化工程と、前記配送結果暗号
    化工程により暗号化された暗号データを前記鍵配送セン
    タに送信する送信工程と、前記鍵配送センタが、前記所
    定の秘密鍵を用いて前記暗号データを復号化する復号化
    工程とを含んだことを特徴とする請求項12〜15のい
    ずれか一つに記載の暗号通信方法。
  17. 【請求項17】 各端末装置から受け付けた各配送結果
    のまとまりを所定の公開鍵を用いて暗号化する配送結果
    暗号化工程と、前記配送結果暗号化工程により暗号化さ
    れた暗号データを前記鍵配送センタに送信する送信工程
    と、前記鍵配送センタが、前記所定の公開鍵に対応する
    秘密鍵を用いて前記暗号データを復号化する復号化工程
    とを含んだことを特徴とする請求項12〜15のいずれ
    か一つに記載の暗号通信方法。
  18. 【請求項18】 前記配送結果要求工程は、前記暗号鍵
    の配送結果を各端末装置に対して要求する要求データを
    所定の暗号鍵を用いて暗号化し、各端末装置は、該暗号
    化された要求データを復号化することを特徴とする請求
    項13〜17のいずれか一つに記載の暗号通信方法。
  19. 【請求項19】 各端末装置が、前記代表端末装置に送
    信する前記暗号鍵の配送結果を所定の暗号鍵を用いて暗
    号化し、前記代表端末装置が、各端末装置から受け取っ
    た暗号化された配送結果を復号化することを特徴とする
    請求項13〜17のいずれか一つに記載の暗号通信方
    法。
  20. 【請求項20】 前記鍵配送センタから配送された暗号
    鍵を用いて前記要求データおよび配送結果をそれぞれ暗
    号化することを特徴とする請求項18または19に記載
    の暗号通信方法。
  21. 【請求項21】 前記鍵配送センタから配送された以前
    の暗号鍵を用いて前記要求データおよび配送結果をそれ
    ぞれ暗号化することを特徴とする請求項18または19
    に記載の暗号通信方法。
  22. 【請求項22】 前記鍵配送センタは、配送対象となる
    第1の暗号鍵を以前に各端末装置に配送した第2の暗号
    鍵を用いて暗号化し、各端末装置は、前記鍵配送センタ
    から配送された第1の暗号鍵を前記第2の暗号鍵に対応
    する復号鍵を用いて復号化することを特徴とする請求項
    12〜21のいずれか一つに記載の暗号通信方法。
  23. 【請求項23】 前記請求項12〜22のいずれか一つ
    に記載された方法をコンピュータに実行させるプログラ
    ムを記録したことを特徴とするコンピュータ読み取り可
    能な記録媒体。
JP32882599A 1999-11-18 1999-11-18 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 Pending JP2001148694A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP32882599A JP2001148694A (ja) 1999-11-18 1999-11-18 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP32882599A JP2001148694A (ja) 1999-11-18 1999-11-18 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体

Publications (1)

Publication Number Publication Date
JP2001148694A true JP2001148694A (ja) 2001-05-29

Family

ID=18214515

Family Applications (1)

Application Number Title Priority Date Filing Date
JP32882599A Pending JP2001148694A (ja) 1999-11-18 1999-11-18 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体

Country Status (1)

Country Link
JP (1) JP2001148694A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003152695A (ja) * 2001-11-08 2003-05-23 Seiko Epson Corp 暗号化通信システム、通信管理端末、通信端末及び端末用プログラム、並びに暗号化通信方法
KR100444199B1 (ko) * 2001-12-26 2004-08-11 엘지전자 주식회사 세션키 공유가 가능한 단방향 정보 서비스 시스템 및 방법
JP2008211329A (ja) * 2007-02-23 2008-09-11 Nippon Telegr & Teleph Corp <Ntt> セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
JP2014192683A (ja) * 2013-03-27 2014-10-06 Nec Corp 通信システム、データ配布方法およびプログラム
WO2016200596A1 (en) * 2015-06-09 2016-12-15 Intel Corporation System, apparatus and method for secure network bridging using a rendezvous service and multiple key distribution servers

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003152695A (ja) * 2001-11-08 2003-05-23 Seiko Epson Corp 暗号化通信システム、通信管理端末、通信端末及び端末用プログラム、並びに暗号化通信方法
KR100444199B1 (ko) * 2001-12-26 2004-08-11 엘지전자 주식회사 세션키 공유가 가능한 단방향 정보 서비스 시스템 및 방법
JP2008211329A (ja) * 2007-02-23 2008-09-11 Nippon Telegr & Teleph Corp <Ntt> セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
JP2014192683A (ja) * 2013-03-27 2014-10-06 Nec Corp 通信システム、データ配布方法およびプログラム
WO2016200596A1 (en) * 2015-06-09 2016-12-15 Intel Corporation System, apparatus and method for secure network bridging using a rendezvous service and multiple key distribution servers
US9998431B2 (en) 2015-06-09 2018-06-12 Intel Corporation System, apparatus and method for secure network bridging using a rendezvous service and multiple key distribution servers

Similar Documents

Publication Publication Date Title
JP4823717B2 (ja) 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法
CN106452741B (zh) 基于量子网络实现信息加解密传输的通信系统和通信方法
US9197404B2 (en) Method and apparatus for providing broadcast service using encryption key in a communication system
JP4705958B2 (ja) ブロードキャスト/マルチキャストサービスにおけるデジタル著作権管理方法
CN1822545B (zh) 控制前端系统与多个客户系统之间的通信的方法与系统
JPH07107083A (ja) 暗号通信システム
CN108847928B (zh) 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法
JPH11346214A (ja) 同報配信システム
JP2004023237A (ja) 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム
US20030163690A1 (en) Method for secure multicast repeating on the public Internet
US6587943B1 (en) Apparatus and method for limiting unauthorized access to a network multicast
JP2003348072A (ja) 自律分散網における暗号鍵の管理方法および装置
JP2001148694A (ja) 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
US11411744B2 (en) Encryption communication method, information processing apparatus, and program
JP2004166154A (ja) マルチキャスト配信のための鍵管理方式
WO2008029853A1 (fr) Dispositif et procédé de livraison de clé de cryptage
JP2004242210A (ja) マルチキャスト配信システム及びその方法並びにデータ中継装置、クライアント装置、認証・鍵管理装置
KR100660385B1 (ko) 오버레이 멀티캐스트 보안을 위한 구간별 키 관리 방법
JPH11187008A (ja) 暗号鍵の配送方法
WO2000038392A2 (en) Apparatus and method for distributing authentication keys to network devices in a multicast
JP4556386B2 (ja) データ配信システム及びそれに用いるデータ配信方法
JP2002368751A (ja) マルチキャスト通信システム
JP2001203678A (ja) 暗号鍵配送システムおよび暗号鍵配送方法
JP2002124941A (ja) 暗号通信システムおよび暗号鍵配送方法
Aye et al. Key management for secure multicast over IPv6 wireless networks