JP2002223209A - Method and device for issuing secret key - Google Patents

Method and device for issuing secret key

Info

Publication number
JP2002223209A
JP2002223209A JP2001017519A JP2001017519A JP2002223209A JP 2002223209 A JP2002223209 A JP 2002223209A JP 2001017519 A JP2001017519 A JP 2001017519A JP 2001017519 A JP2001017519 A JP 2001017519A JP 2002223209 A JP2002223209 A JP 2002223209A
Authority
JP
Grant status
Application
Patent type
Prior art keywords
entity
key
authentication information
secret key
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001017519A
Other languages
Japanese (ja)
Inventor
Yoshifumi Tanimoto
好史 谷本
Original Assignee
Murata Mach Ltd
村田機械株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Abstract

PROBLEM TO BE SOLVED: To provide a method and device for issuing secret key which the surreptitious use of a secret key in a cryptosystem using ID-NIKS by personation can be prevented. SOLUTION: In the cryptosystem using ID-NIKS, the secret key issuing device 10 of a center 1 which is a secret key issuing body registers the specific information and authentication information of entities a, b,..., z. When the entity (a) requests the center 1 to issue a secret key, the entity (a) sends its specific information and authentication information to the secret key issuing device 10, and the device 10 issues the secret key to the entity (a) when the sent authentication information is coincident with the registered authentication information. When both authentication information are not coincident with each other, the device 10 does not issue the secret key. When an entity which has not registered its authentication information in the device 10 requests the center 1 to issue a secret key and sends its specific information and authentication information to the secret key issuing device 10, the device 10 registers the sent authentication information and issues the secret key.

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】本発明は、エンティティ間の暗号通信に用いられる各エンティティに固有の秘密鍵を発行する秘密鍵発行方法、及び秘密鍵発行装置に関する。 The present invention relates to a secret key issuing method for issuing a unique secret key for each entity to be used in encrypted communication between entities, and a private key issuing device.

【0002】 [0002]

【従来の技術】高度情報化社会と呼ばれる現代社会では、通信ネットワークを基盤として、ビジネス上の重要な文章または画像情報が電子的な情報という形で伝送通信されて処理される。 In modern society called BACKGROUND ART advanced information society, the communication network as the foundation, important text or image information on the business is being transmitted communication processing in the form of electronic information. このような電子情報は、容易に複写が可能であり、また複写物とオリジナルとの区別が困難であるため、情報保全の問題が重要視される。 Such electronic information is capable of readily copied, and because the distinction between the duplicate and the original is difficult, information security problems are important. また、 Also,
高度情報化社会の確立のためには、「コンピュータリソースの共有」,「マルチアクセス」,「広域化」の各要素を満たす通信ネットワークの確立が不可欠であるが、 To establish the advanced information society, "shared computer resource", "multi-access", but it is essential establish communication networks satisfying the elements of "wide-area",
これは前述の如き情報保全の問題とは矛盾する要素を含んでいる。 This includes elements of conflict with the aforementioned such information security issues. このような矛盾を解消するための有効な手法として、人類の過去の歴史上において主に軍事または外交面にて用いられてきた暗号技術が注目されている。 As an effective technique to solve such a contradiction, cryptography has been mainly used by the military or diplomatic in a past history of mankind has attracted attention.

【0003】暗号とは、情報の意味が当事者以外には理解できないように情報を交換することである。 [0003] A cipher, is that the meaning of information to exchange information so that it can not be understood by other parties. 暗号において、誰でも理解できる元の文(以下、平文と言う)を第三者には意味が理解できない文(以下、暗号文と言う)に変換することが暗号化であり、また、暗号文を平文に戻すことが復号であり、暗号化と復号の過程をまとめて暗号系と呼ぶ。 In encryption, anyone original sentence that can be understood statement that meaning is a (hereinafter referred to as plain text) to a third party can not understand is the encryption be converted into (hereinafter referred to as ciphertext), also, a ciphertext the a decoding it back into plaintext, it is referred to as a cryptosystem collectively process of encryption and decryption. 暗号化および復号の夫々の過程には、暗号化鍵および復号鍵と呼ばれる秘密の情報が用いられる。 The encryption and decryption of the respective process, secret information called encryption key and the decryption key is used. 復号を行う際には秘密の復号鍵が必要であるので、この復号鍵を持つ者のみが暗号文を復号できるため、暗号化によって情報の秘密性を維持することができる。 Since when performing decoding is necessary decryption key secret, only those with the decryption key because it can decrypt the ciphertext, it is possible to maintain the confidentiality of information by encryption.

【0004】暗号化鍵と復号鍵とは、等しくても良いし異なっていても良い。 [0004] The encryption key and the decryption key, may be different may be equal. 暗号化鍵と復号鍵とが等しい暗号系は、共通鍵暗号系と呼ばれ、米国商務省標準局が採用したDES(Data Encryption Sta Encryption and decryption keys are equal cryptosystem is called a common key cryptosystem, the US Department of Commerce DES standard station has adopted (Data Encryption Sta
ndard)はその典型例である。 ndard) is a typical example. また、暗号化鍵と復号鍵とが異なっている暗号系の一例として、公開鍵暗号系と呼ばれる暗号系が提案されている。 As an example of the encryption system encryption key and the decryption key are different, cryptographic systems have been proposed, called public key cryptosystems. この公開鍵暗号系は、暗号系を利用する夫々のユーザ(以下、エンティティと言う)が暗号化鍵と復号鍵とを一対づつ作成し、 The public key cryptosystem, each user utilizing the cryptographic system (hereinafter, referred to as entities) creates a pair at a time and a decryption key the encryption key,
暗号化鍵を公開鍵として公開鍵リストに公開し、復号鍵のみを秘密に保持するという暗号系である。 To publish in the public key list the encryption key as a public key, which is only the decryption key encryption system that is held in secret. 公開鍵暗号系では、一対となる暗号化鍵と復号鍵とが異なり、一方向性関数を利用することによって暗号化鍵から復号鍵を割り出せないという特徴を持たせている。 In public-key encryption system, it is different from the decryption key and encryption key to be paired, and to have the feature of not Waridase the decryption key from the encryption key by utilizing a one-way function.

【0005】公開鍵暗号系は、暗号化鍵を公開するという特徴のために、高度情報化社会を確立するために必要な上述した3つの要素を満たしている。 [0005] public key cryptosystem, for the feature that exposes an encryption key, meets three of the elements described above necessary to establish the advanced information society. このため、情報通信技術の分野などでの利用を図るべく、研究が活発に行われ、典型的な公開鍵暗号系としてRSA暗号系が提案された。 For this reason, in order to promote the use in the fields of information and communication technology, studies have been actively carried out, RSA encryption system has been proposed as a typical public key encryption system. RSA暗号系は、一方向性関数として素因数分解の困難さを利用して実現されている。 RSA encryption system is realized by utilizing the difficulty of factoring as a one-way function. また、離散対数問題を解くことの困難さを利用した公開鍵暗号系も様々な方法が提案されてきた。 In addition, public-key encryption system is also a variety of ways using the difficulty of solving the discrete logarithm problem have been proposed.

【0006】また、エンティティの住所または氏名など、個々のエンティティを特定するID(IDenti [0006] In addition, such as an address or the name of the entity, to identify the individual entity ID (IDenti
ty)情報を利用する暗号系が提案された。 Encryption system utilizing ty) information has been proposed. この暗号系では、ID情報に基づいて送受信者間で共通の暗号化鍵を生成する。 In this cryptosystem, it generates a common encryption key between the sender and the recipient on the basis of the ID information. また、このID情報に基づく暗号系には、 In addition, the encryption system based on the ID information,
(1)暗号文通信に先立って送受信者間での予備通信を必要とする方式と、(2)暗号文通信に先立って送受信者間での予備通信を必要としない方式とがある。 (1) and method which requires pre-communication between the sender and the recipient prior to ciphertext communications, there is a method that does not require pre-communication between the sender and the recipient prior to (2) ciphertext communications. 特に、 Especially,
(2)の方式は予備通信が不要であるので、エンティティの利便性が高く、将来の暗号系の中枢をなすものと考えられている。 Since the method of (2) preliminary communication is unnecessary, the convenience of the entities is high, it is believed that forming the future cryptosystem central.

【0007】上述の(2)の方式による暗号系は、ID [0007] The encryption system according to the method of the above (2), ID
−NIKS(ID−based Non−Intera -NIKS (ID-based Non-Intera
ctive Key Sharing scheme) ctive Key Sharing scheme)
と呼ばれており、通信相手のID情報を用いて予備通信を行うことなく暗号化鍵を共有する方式を採用している。 And they called and adopts a method of sharing an encryption key without a preliminary communication using the ID information of the communication partner. ID−NIKSは、送受信者間で公開鍵および秘密鍵を交換する必要が無く、また鍵のリスト又は第三者によるサービスも必要としない方式であり、任意のエンティティ間で安全に通信を行うことができる。 ID-NIKS, there is no need to replace the public key and a private key between the sender and recipient, also a method that does not service required by a list or a third party key, to perform a secure communication between any entity can.

【0008】図5はID−NIKSのシステムの原理を示す説明図である。 [0008] FIG. 5 is an explanatory view showing the principle of a system ID-NIKS. 信頼できるセンタの存在を仮定し、 Assumes the existence of a trusted center,
このセンタを中心にして共有鍵生成システムを構成している。 Constitute a common key generation system with the center to center. 図中において、エンティティAのID情報は、ハッシュ関数h(・)を用いてh(ID A )で表す。 In FIG, ID information of the entity A, represented by h (ID A) using the hash function h (·). センタは、任意のエンティティAに対して、センタ公開情報{PC i }、センタ秘密情報{SC i }及びエンティティAのID情報h(ID A )に基づいて、以下の如く秘密鍵S Aiを計算し、エンティティAへ配布する。 Center, for any entity A, center public information {PC i}, based on the center secret information {SC i} and entity A ID information h (ID A), calculates a private key S Ai as follows and, to distribute to the entities A. Ai =F i ({SC i },{PC i },h(ID A )) S Ai = F i ({SC i}, {PC i}, h (ID A))

【0009】エンティティAは、他の任意のエンティティBとの間に行う通信の暗号化および復号のための共通鍵K ABを、エンティティA自身の秘密鍵{S Ai }、センタ公開情報{PC i }及びエンティティBのID情報h [0009] entity A, a common key K AB for encryption and decryption of communications performed between any other entity B, entity A's own secret key {S Ai}, center public information {PC i ID information h of} and entity B
(ID B )を用いて以下の如く生成する。 Generating as follows using (ID B). AB =f({S Ai },{PC i },h(ID B )) また、エンティティBも同様にエンティティAとの間で用いる共有鍵K BAを生成する。 K AB = f The ({S Ai}, {PC i}, h (ID B)), the entity B also generates the shared key K BA used between the entity A in the same manner. AB =K BAの関係が常に成立するのであれば、共有鍵K AB ,K BAをエンティティA,B間で暗号化鍵および復号鍵として利用することができる。 If the relationship between K AB = K BA is always satisfied, it is possible to use shared key K AB, the K BA entity A, as an encryption key and a decryption key between B.

【0010】上述した公開鍵暗号系では、例えばRSA [0010] In public-key encryption system described above, for example RSA
暗号系の場合、公開鍵の長さは現在の電話番号の十数倍となり、極めて煩雑である。 In the case of the encryption system, the length of the public key will be ten times the number of the current phone number, it is very complicated. これに対して、ID−NI On the other hand, ID-NI
KSでは、各エンティティのID情報のリストを保存しておけば、前記リストを参照して任意のエンティティとの間で共有鍵を生成することができる。 In KS, If you save a list of ID information of each entity may generate a shared key between any entity by referring to the list. 従って、図5に示すごときID−NIKSの暗号システムが安全に実現されれば、多数のエンティティが加入する通信ネットワーク上で便利な暗号系を構築できる。 Therefore, if the ID-NIKS cryptosystems such indicating safely realized 5, a number of entities can build a convenient cryptosystem on a communication network to join. このような理由により、ID−NIKSが将来の暗号系の中心になると期待されている。 For this reason, ID-NIKS is expected to be the center of the future cryptosystem.

【0011】 [0011]

【発明が解決しようとする課題】上述の如きID−NI The object of the invention is to be Solved by the above-mentioned, such as ID-NI
KSを用いた暗号通信においては、暗号通信を行うエンティティ間でお互いのID情報を公開する必要があり、 In the cryptographic communication using KS, we must expose the ID information of each other between entities performing cryptographic communication,
また、ID情報は、エンティティの住所または氏名などの入手し易い情報であるため、任意のエンティティのI Further, ID information are the availability liable information such as addresses or names of entities, any entity I
D情報を入手した攻撃者が、前記ID情報を用いて前記エンティティへのなりすましを行うことが容易である。 An attacker who obtains a D information, spoofing is easily perform to the entity using the ID information.
攻撃者が任意のエンティティへのなりすましを行った場合、センタから攻撃者へ前記エンティティに固有の秘密鍵の発行が行われ、攻撃者が前記エンティティになりすまして暗号通信を行うことができるという問題があり、 If an attacker were spoofing to any entity issuing the secret key inherent in the entity to attackers from the center is performed, a problem that can perform cryptographic communication attacker impersonating the entity Yes,
また、前記エンティティが行う暗号通信が攻撃者によって解読されるという問題がある。 Further, there is a problem that encrypted communication the entity performs is decoded by an attacker.

【0012】本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、センタが各エンティティのID情報および秘密の認証情報を登録しておき、エンティティが秘密鍵の発行を要求するときには、 [0012] The present invention was made in view of such circumstances, it is an object center may be registered ID information and the private credentials of each entity, the entity is a private key when you request the issue is,
前記エンティティのID情報および認証情報を前記センタへ送付し、前記センタは、送付された認証情報と登録してある認証情報とが一致した場合に前記エンティティへ秘密鍵を発行することにより、なりすましによる秘密鍵の盗用を防止することのできる秘密鍵発行方法、及び秘密鍵発行装置を提供することにある。 Sends the ID information and the authentication information of the entity to the center, the center, by issuing a secret key to the entity when the authentication information registered with the sent authentication information match, by spoofing secret key issuing method capable of preventing the theft of the secret key, and to provide a secret key issuing device.

【0013】 [0013]

【課題を解決するための手段】第1発明に係る秘密鍵発行方法は、暗号通信に用いる秘密鍵を発行する鍵発行機関で、エンティティ毎に認証情報を登録しておき、エンティティが秘密鍵の発行を要求する場合には、該エンティティの特定情報及び認証情報を前記鍵発行機関へ送付し、前記鍵発行機関は、送付された認証情報と登録してある認証情報とが一致した場合に、前記エンティティへ秘密鍵を発行することを特徴とする。 Means for Solving the Problems] private key issuing method according to the first invention, the key issuing authority that issues a secret key used for encrypted communication, may be registered authentication information for each entity, the entity is a private key when requesting the issue, send the specific information and the authentication information of the entity to the key issuing authority, the key issuing authority, if the authentication information registered with the sent authentication information match, and issues a secret key to the entity.

【0014】第2発明に係る秘密鍵発行方法は、前記鍵発行機関に認証情報が登録されていないエンティティが、秘密鍵の発行を要求して該エンティティの特定情報及び認証情報を前記鍵発行機関へ送付したときには、前記鍵発行機関は、送付された認証情報を登録し、前記エンティティへ秘密鍵を発行することを特徴とする。 [0014] The secret key issuing method according to the second invention, the authentication information to the key issuing authority is not registered entity, the key issuing authority specific information and authentication information of the entity requesting the issuance of the secret key when sent to, the key issuing authority, and registers the authentication information sent, and issues the private key to the entity.

【0015】第3発明に係る秘密鍵発行装置は、暗号通信に用いる秘密鍵を発行する秘密鍵発行装置において、 [0015] The secret key issuing apparatus according to the third invention, in the secret key issuing device for issuing a secret key used for encrypted communication,
エンティティ毎に認証情報を登録しておく手段と、エンティティより、秘密鍵の発行の要求と該エンティティの特定情報及び認証情報とを受け付ける手段と、受け付けた認証情報と登録してある認証情報とが一致した場合に、前記エンティティへ秘密鍵を発行する手段とを備えることを特徴とする。 It means for registering the authentication information for each entity from the entity, and means for receiving the identification information and the authentication information request and the entity issuing the private key, and the authentication information registered with the authentication information accepted if they match, characterized in that it comprises a means for issuing a private key to the entity.

【0016】本発明においては、ID−NIKSを用いた暗号システムにおいて各エンティティに固有の秘密鍵を発行する鍵発行機関であるセンタが、各エンティティ毎に特定情報と共に秘密の認証情報を登録しておき、エンティティが該エンティティに固有の秘密鍵の発行を前記センタに要求する場合には、前記エンティティが前記センタへ前記エンティティの特定情報及び認証情報を送付し、前記センタは、送付された認証情報と登録してある認証情報とが一致した場合に、送付された特定情報を用いて生成された秘密鍵を前記エンティティへ発行する。 In the present invention, the center is the key issuing authority that issues a unique secret key for each entity in a cryptographic system using ID-NIKS is, registers the authentication information of the secret with specific information for each entity placed, if the entity requesting the issuance of a unique secret key to the entity to the center, the entity sends the specific information and the authentication information of the entity to the center, the center is authentication information sent a registration to Aru authentication information if they match, issues a secret key generated by using the identification information was sent to the entity and. また、前記センタに認証情報が登録されていないエンティティが秘密鍵の発行を要求して認証情報を前記センタへ送付したときには、前記センタは、送付された認証情報を登録して秘密鍵を発行する。 Further, when the center in the authentication information is not registered entity sends a request to the authentication information issuance private key to the center, the center issues a secret key to register the authentication information sent . これにより、同一のエンティティへ複数回の秘密鍵の発行を行う場合に、 As a result, in the case of the issuance of multiple secret key to the same entity,
攻撃者にとって入手が困難である秘密の認証情報を用いてエンティティの認証を行うことができるために、なりすましによって前記エンティティに固有の秘密鍵が盗用されることを防止することができる。 To be able to perform entity authentication using a secret authentication information to obtain it is difficult for an attacker can be prevented from being stolen unique private key to the entity by spoofing.

【0017】 [0017]

【発明の実施の形態】以下、本発明をその実施の形態を示す図面に基づき具体的に説明する。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, will be described in detail based on the present invention with reference to the drawings showing embodiments thereof. 図1は、本発明の秘密鍵発行方法を用いて運用される、ID−NIKSを用いた暗号システムの構成を示す模式図である。 1, the secret key issuing method of the present invention is operated with a schematic diagram showing a configuration of a cryptographic system using a ID-NIKS. 情報の隠匿を信頼できるセンタ1が秘密鍵を発行する鍵発行機関として設定されており、このセンタ1としては、例えば公的機関を該当できる。 Center 1 trusted concealment information is set as a key issuing authority that issues the private key, as the center 1 can be relevant, for example, public institutions. 本暗号システムを利用するユーザである複数のエンティティa,b,…,zが、夫々が通信路2a,2b,…,2zによりセンタ1と接続している。 A plurality of entities a a user of the present encryption system, b, ..., z are each a communication path 2a, 2b, ..., are connected to the center 1 by 2z. センタ1は、エンティティa,b,…,zの夫々に対して秘密鍵を発行する秘密鍵発行装置10を備えており、通信路2a,2b,…,2zを介してセンタ1 Center 1, entity a, b, ..., includes a secret key issuing device 10 for issuing a private key for each of z, channel 2a, 2b, ..., center 1 through 2z
から夫々のエンティティへ秘密鍵が送付される構成となっている。 Private key are configured to be sent to each of the entity from. また、エンティティa,b,…,zの夫々の間には通信路3ab,…,3az,…,3bz,…が設けられており、通信路3ab,…,3az,…,3b Also, entities a, b, ..., the communication path between each of the z 3ab, ..., 3az, ..., 3bz, ... is provided, the channel 3ab, ..., 3AZ, ..., 3b
z,…を介して二者のエンティティ間で暗号通信が行われる構成となっている。 z, ... encrypted communication has a configuration that takes place between two parties entity through.

【0018】図2は、秘密鍵発行装置10の内部の構成を示すブロック図である。 [0018] FIG. 2 is a block diagram showing the configuration of the interior of the secret key issuing device 10. 秘密鍵発行装置10は、コンピュータを用いてなり、演算装置であるCPU101 The secret key issuing device 10 is made using a computer, a computing device CPU101
と、ROM102と、RAM103とを備え、CPU1 And, it includes a ROM102, the RAM103, CPU1
01はROM102に記憶されているプログラムに基づいて秘密鍵発行装置10に必要な処理を実行し、RAM 01 performs necessary processing on the secret key issuing device 10 based on the program stored in the ROM 102, RAM
103はCPU101が処理を実行する際に発生する一時的なデータを記憶する。 103 stores temporary data generated when executing the CPU101 processing.

【0019】また、秘密鍵発行装置10は、エンティティa,b,…,zの夫々を特定する特定情報(以下、I [0019] In addition, the secret key issuing device 10, entity a, b, ..., specific information (hereinafter to identify each of z, I
D情報という)及び認証情報を登録している登録部10 Registration unit 10 that registers a) and authentication information that D information
4と、各エンティティへの通信を行う通信部105とを備えている。 4, and a communication unit 105 for communicating to each entity. 登録部104は、ハードディスク等の内部記憶装置を用いてなり、エンティティa,b,…,zの夫々のID情報及び認証情報を登録している。 Registration unit 104 is constituted by using the internal storage device such as a hard disk, an entity a, b, ..., are registered ID information and the authentication information of each of z. 図3は、 Fig. 3,
登録部104に登録されているID情報及び認証情報の例を示す概念図である。 It is a conceptual diagram showing an example of the ID information and the authentication information registered in the registration unit 104. エンティティのID情報として電子メールアドレスを用い、認証情報として前記エンティティのみが知る秘密の数列を用い、認証情報がID情報に関連づけて記憶されている。 Using the electronic mail address as an entity ID information, using a sequence of secret only the entities as the authentication information is known, the authentication information is stored in association with the ID information. 通信部105は、通信路2a,2b,…,2zに接続しており、通信路2a, The communication unit 105 is a communication path 2a, 2b, ..., are connected to 2z, the channel 2a,
2b,…,2zを介してエンティティa,b,…,zとの通信を行う構成となっている。 2b, ..., entity a through 2z, b, ..., has a configuration for communicating with the z.

【0020】図4は、エンティティaが秘密鍵の発行を要求したときに秘密鍵発行装置10が行う処理の手順を示すフローチャートである。 [0020] Figure 4 is an entity a is a flowchart illustrating a processing procedure performed by the private key issuing apparatus 10 when requesting issuance private key. エンティティaは、エンティティaに固有の秘密鍵の発行を要求して、通信路2a Entity a may request the issuance of the unique private key to the entity a, a communication path 2a
を介してエンティティaのID情報および認証情報をセンタ1へ送付し、秘密鍵発行装置10は、センタ1へ送付されたエンティティaのID情報および認証情報を受け付ける(S1)。 Through sends the ID information and the authentication information entity a to the center 1, the secret key issuing device 10 receives the ID information and the authentication information sent entity a to the center 1 (S1). 次に、秘密鍵発行装置10は、登録部104に登録されているID情報および認証情報を検索し、受け付けたID情報および受け付けたID情報に関連付けられて登録されている認証情報があるか否かを判定する(S2)。 Next, whether the secret key issuing apparatus 10 searches the ID information and the authentication information registered in the registration unit 104, an authentication information registered associated with the ID information and received ID information has been received not determines whether or not (S2). ステップS2にてYESの場合は、 If YES in step S2,
受け付けたID情報に関連づけられて登録部104に登録されている認証情報と受け付けた認証情報とが一致するか否かを判定する(S3)。 It determines whether the received authentication information received and associated with authentication information registered in the registration unit 104 to the ID information and match (S3). ステップS3にてYES YES in step S3
の場合は、秘密鍵発行装置10は、受け付けたID情報に基づいて生成されたエンティティaに固有の秘密鍵を発行し、通信路2aを介してエンティティaへ送付する(S4)。 For the private key issuing device 10 issues a unique secret key to the entity a generated based on the received ID information, it sends to the entity a through channel 2a (S4).

【0021】ステップS2にてNOの場合は、受け付けたID情報又は受け付けたID情報に関連付けられている認証情報が登録されていない場合であり、秘密鍵発行装置10は、受け付けた認証情報を受け付けたID情報に関連づけて登録し(S5)、受け付けたID情報に基づいて生成されたエンティティaに固有の秘密鍵を発行し、通信路2aを介してエンティティaへ送付する(S [0021] If NO in step S2, a case in which the authentication information associated with the ID information or the received ID information has been received is not registered, the secret key issuing device 10 receives the authentication information accepted and registered in association with ID information (S5), and issues a unique secret key to the entity a generated based on the received ID information, sends to the entity a through channel 2a (S
4)。 4).

【0022】ステップS3にてNOの場合は、受け付けた認証情報と登録してある認証情報とが一致していない場合であり、秘密鍵発行装置10は秘密鍵の発行を拒否し、エンティティaへ通知する(S6)。 [0022] In the case of NO in step S3, a case in which the authentication information is registered with the authentication information received does not match, the secret key issuing device 10 will refuse to issue a secret key, to the entity a notification to (S6).

【0023】以上詳述した如く、秘密鍵発行装置10 [0023] As described in detail above, the secret key issuing device 10
は、エンティティのID情報に関連づけて前記エンティティのみが知る秘密の認証情報を登録しておき、登録してある認証情報を用いて秘密鍵の発行を要求したエンティティの認証を行い、認証に成功したエンティティに対して該エンティティに固有の秘密鍵を発行し、認証に失敗したエンティティに対しては秘密鍵を発行しない。 Is, only the entity in association with the ID information of the entity may be registered authentication information of the secret to know, to authenticate the entity that requested the issue of the secret key using the authentication information is registered, the authentication is successful issued a unique secret key to the entity for the entity, it does not issue a secret key for the failed entity authentication. また、秘密鍵発行装置10が認証情報を登録していないエンティティについては、送付された認証情報を登録し、 In addition, for the entity that secret key issuing device 10 is not registered authentication information, to register the authentication information that has been sent,
前記エンティティに固有の秘密鍵を前記エンティティへ発行する。 To issue a unique secret key to the entity in the entity. 秘密鍵の発行を受けたエンティティaは、発行を受けた秘密鍵と通信相手のエンティティbのID情報とに基づいてエンティティa及びbの共有鍵を生成し、同様に共有鍵を生成したエンティティbとの間で通信路3abを介して暗号通信を行う。 Entity a that has received the issuance of the private key entity b to generate a shared key of an entity a and b based on a secret key that received issuance and ID information of an entity b of the communication partner, to produce a shared key as well performing cryptographic communication via a communication path 3ab between.

【0024】本実施の形態においては、センタ1に複数のエンティティa,b,…,zが接続している形態を示したが、複数のエンティティa,b,…,zの夫々が複数のセンタに接続している形態であってもよい。 [0024] In this embodiment, a plurality of entities a the center 1, b, ..., but z showed form connecting a plurality of entities a, b, ..., each of z is more than one center it may be in a form that is connected to. この場合は、エンティティaは、センタ毎に異なる認証情報を登録しておき、同一のセンタに接続している任意のエンティティとの間でID−NIKSによる暗号通信を行う。 In this case, the entity a is previously registered with different authentication information for each center performs encryption communication by ID-NIKS between any entity that is connected to the same center. また、エンティティのID情報として電子メールアドレスを用いる例を示したが、電話番号または住所などどのようなID情報を用いても良い。 Also, although an example of using the e-mail address as the ID information of an entity, it may be used any ID information such as a phone number or address.

【0025】 [0025]

【発明の効果】本発明においては、ID−NIKSを用いた暗号システムにおけるエンティティは、該エンティティに固有の秘密鍵の発行を鍵発行機関であるセンタに要求する際に、前記エンティティの特定情報および前記エンティティのみが知る認証情報をセンタへ送付し、センタの秘密鍵発行装置は、認証情報が予め登録されていないエンティティに対しては、送付された認証情報を登録して前記エンティティに固有の秘密鍵を発行し、認証情報が予め登録されているエンティティに対しては、登録されている認証情報と送付された認証情報とが一致した場合にのみ前記エンティティに固有の秘密鍵を発行する。 In the present invention, the entities in the cryptographic system using the ID-NIKS, when requesting the center is the key issuing authority to issue a unique secret key to the entity, specifying information and the entity send the authentication information only the entity knows to the center, the secret key issuing apparatus of the center, to the entity that authentication information is not registered in advance, specific secret to the entity to register the authentication information sent issues a key for the entity authentication information has been registered in advance, and issues a unique secret key only to the entity if the authentication information sent with the authentication information registered matches. センタが同一のエンティティに対して複数回の秘密鍵の発行を行う場合に、攻撃者にとって入手が困難である秘密の認証情報を用いてエンティティの認証を行ってから秘密鍵の発行を行うため、攻撃者がなりすましを行うことによって秘密鍵が盗用されることを防止することができる等、本発明は優れた効果を奏する。 If the center to issue multiple private key for the same entity, for issuing private key after performing entity authentication using a secret authentication information to obtain it is difficult for an attacker, and the like can be prevented from being stolen the secret key by performing attacker spoofing, the present invention provides excellent effects.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】本発明の秘密鍵発行方法を用いて運用される、 Is operated by using a secret key issuing method of the present invention; FIG,
ID−NIKSを用いた暗号システムの構成を示す模式図である。 It is a schematic diagram showing a configuration of a cryptographic system using a ID-NIKS.

【図2】秘密鍵発行装置の内部の構成を示すブロック図である。 2 is a block diagram showing the internal structure of the private key issuing device.

【図3】登録部に登録されているID情報及び認証情報の例を示す概念図である。 3 is a conceptual diagram showing an example of the ID information and the authentication information registered in the registering unit.

【図4】エンティティが秘密鍵の発行を要求したときに秘密鍵発行装置が行う処理の手順を示すフローチャートである。 [4] entity is a flowchart showing a procedure of processing performed by the private key issuing apparatus when requesting issuance private key.

【図5】ID−NIKSのシステムの原理を示す説明図である。 5 is an explanatory diagram showing the principle of a system ID-NIKS.

【符号の説明】 DESCRIPTION OF SYMBOLS

1 センタ(鍵発行機関) 10 秘密鍵発行装置 104 登録部 2a,2b,2z,3ab,3az,3bz 通信路 a,b,z,A,B,Z エンティティ 1 center (key issuing authority) 10 private key issuing apparatus 104 registration unit 2a, 2b, 2z, 3ab, 3az, 3bz channel a, b, z, A, B, Z entity

Claims (3)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】 暗号通信に用いる秘密鍵を発行する鍵発行機関で、エンティティ毎に認証情報を登録しておき、 [Claim 1] In the key issuing authority that issues a secret key used for encrypted communication, it may be registered authentication information for each entity,
    エンティティが秘密鍵の発行を要求する場合には、該エンティティの特定情報及び認証情報を前記鍵発行機関へ送付し、前記鍵発行機関は、送付された認証情報と登録してある認証情報とが一致した場合に、前記エンティティへ秘密鍵を発行することを特徴とする秘密鍵発行方法。 If the entity requesting the issuance of the private key, and sends the specific information and the authentication information of the entity to the key issuing authority, the key issuing authority, and the authentication information registered with the sent authentication information if they match, the secret key issuing method characterized by issuing a private key to the entity.
  2. 【請求項2】 前記鍵発行機関に認証情報が登録されていないエンティティが、秘密鍵の発行を要求して該エンティティの特定情報及び認証情報を前記鍵発行機関へ送付したときには、前記鍵発行機関は、送付された認証情報を登録し、前記エンティティへ秘密鍵を発行することを特徴とする請求項1に記載の秘密鍵発行方法。 Wherein said authentication information to the key issuing authority is not registered entity, when sent the specific information and authentication information of the entity to the key issuing authority requesting issuance private key, the key issuing authority It is sent by registered authentication information, the secret key issuing method according to claim 1, characterized in that to issue the private key to the entity.
  3. 【請求項3】 暗号通信に用いる秘密鍵を発行する秘密鍵発行装置において、エンティティ毎に認証情報を登録しておく手段と、エンティティより、秘密鍵の発行の要求と該エンティティの特定情報及び認証情報とを受け付ける手段と、受け付けた認証情報と登録してある認証情報とが一致した場合に、前記エンティティへ秘密鍵を発行する手段とを備えることを特徴とする秘密鍵発行装置。 3. A private key issuing unit that issues a secret key used for encrypted communication, and means for registering the authentication information for each entity from the entity, the specific information and the authentication request and the entity issuing the secret key and means for receiving information, in the case where the authentication information registered with the authentication information accepted match, the secret key issuing apparatus; and a means for issuing a private key to the entity.
JP2001017519A 2001-01-25 2001-01-25 Method and device for issuing secret key Pending JP2002223209A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001017519A JP2002223209A (en) 2001-01-25 2001-01-25 Method and device for issuing secret key

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001017519A JP2002223209A (en) 2001-01-25 2001-01-25 Method and device for issuing secret key

Publications (1)

Publication Number Publication Date
JP2002223209A true true JP2002223209A (en) 2002-08-09

Family

ID=18883716

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001017519A Pending JP2002223209A (en) 2001-01-25 2001-01-25 Method and device for issuing secret key

Country Status (1)

Country Link
JP (1) JP2002223209A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008506317A (en) * 2004-07-09 2008-02-28 ボルテージ セキュリティー, インコーポレイテッド Secure messaging system using the derived key
US7596690B2 (en) 2004-09-09 2009-09-29 International Business Machines Corporation Peer-to-peer communications

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008506317A (en) * 2004-07-09 2008-02-28 ボルテージ セキュリティー, インコーポレイテッド Secure messaging system using the derived key
US7596690B2 (en) 2004-09-09 2009-09-29 International Business Machines Corporation Peer-to-peer communications
US8086847B2 (en) 2004-09-09 2011-12-27 International Business Machines Corporation Computer program product and computer system for peer-to-peer communications

Similar Documents

Publication Publication Date Title
Maughan et al. Internet security association and key management protocol (ISAKMP)
Needham et al. Using encryption for authentication in large networks of computers
Liao et al. A secure dynamic ID based remote user authentication scheme for multi-server environment
US6058188A (en) Method and apparatus for interoperable validation of key recovery information in a cryptographic system
US5638446A (en) Method for the secure distribution of electronic files in a distributed environment
US5535276A (en) Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography
Kamat et al. An identity-based security framework for VANETs
US6260142B1 (en) Access and storage of secure group communication cryptographic keys
US7020778B1 (en) Method for issuing an electronic identity
US8108678B1 (en) Identity-based signcryption system
Myers et al. Certificate management messages over CMS
US20030115452A1 (en) One time password entry to access multiple network sites
US7461250B1 (en) System and method for certificate exchange
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
Harney et al. GSAKMP: Group secure association key management protocol
US6192130B1 (en) Information security subscriber trust authority transfer system with private key history transfer
EP1102430A1 (en) Method and arrangement in an ad hoc communication network
US20020144119A1 (en) Method and system for network single sign-on using a public key certificate and an associated attribute certificate
US20050154889A1 (en) Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
US20030081774A1 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
Kohl et al. The Kerberos network authentication service (V5)
Zhu et al. Splendor: A secure, private, and location-aware service discovery protocol supporting mobile services
US20050149724A1 (en) System and method for authenticating a terminal based upon a position of the terminal within an organization
US20030084292A1 (en) Using atomic messaging to increase the security of transferring data across a network