JP2003179592A - ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム - Google Patents

ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム

Info

Publication number
JP2003179592A
JP2003179592A JP2001378413A JP2001378413A JP2003179592A JP 2003179592 A JP2003179592 A JP 2003179592A JP 2001378413 A JP2001378413 A JP 2001378413A JP 2001378413 A JP2001378413 A JP 2001378413A JP 2003179592 A JP2003179592 A JP 2003179592A
Authority
JP
Japan
Prior art keywords
information processing
key
request message
key exchange
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001378413A
Other languages
English (en)
Inventor
Junji Hamano
淳史 濱野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2001378413A priority Critical patent/JP2003179592A/ja
Publication of JP2003179592A publication Critical patent/JP2003179592A/ja
Withdrawn legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 通信を行う情報処理装置の鍵交換処理による
負担を軽減し、計算資源が限られた機器においても、既
存の鍵交換プロトコルとの互換性を保ちつつ鍵交換を実
現することができるようにする。 【解決手段】 端末装置1は、インターネット等に代表
されるネットワーク2に接続されており、ネットワーク
2を介して、IPsec,SSL、またはTSL等により、通信相
手側端末装置4と通信内容が暗号化された暗号通信を行
う。鍵交換代行サーバ3は、ネットワーク2に接続され
ており、端末装置1が通信相手端末装置4と共通鍵を共
有するために、IKEやTLS Handshake Protocolを用いて
行う鍵交換処理の暗号化アルゴリズムや鍵交換方法を決
定する処理、鍵生成処理、および認証処理等の各種処理
を代行する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はネットワークシステ
ム、情報処理装置および方法、記録媒体、並びにプログ
ラムに関し、特に、暗号通信における鍵交換処理を代行
することにより、通信を行う情報処理装置の負担を軽減
するネットワークシステム、情報処理装置および方法、
記録媒体、並びにプログラムに関する。
【0002】
【従来の技術】近年、インターネットに代表されるネッ
トワークの普及とともに、電子メールやファイルの送受
信がさかんに行われるようになってきた。それに伴い、
セキュリティに対する不安も多くなっている。
【0003】従来、インターネット等のネットワークに
おいて利用されるセキュリティ機構としては、RFC(Req
uest For Comment)2401に規定されているIP(Inte
rnetProtocol)層でのセキュリティ機構であるIPsec(I
nternet Protocol securityarchitecture)、WEBで利用
されるSSL(Secure Socket Layer)、および、その後継
技術でありRFC2246に規定されているTLS(Transpor
t Layer Security)等がある。
【0004】これらのプロトコルでは、安全な通信を行
う前に、通信者間で暗号通信に利用されるセッション鍵
を共有する必要がある。その方法としては、RFC240
9で規定されているIKE(Internet Key Exchange)、ま
たは、SSLやTLSに含まれるHandshake Protocol等があ
る。
【0005】IKEは、IPsecに必要な鍵を動的に確立する
独立した機構であり、RFC2407およびRFC2408に
規定されている、鍵交換の枠組みを提供するISAKMP(In
ternet Security Association and Key Management Pro
tocol)と、ISAKMP上で実際の鍵管理機構を定義してい
るOakleyからなる。
【0006】IKEは、ISAKMPのためのISAKMP SA(ISAKMP
Security Association)を確立するPhase1と、IPsec
のSAを確立するPhase2により構成される。なお、SAと
は、通信を保護するために用いられる方針や鍵の集合の
ことである。Phase1には通信者のIDの保護が可能なメ
インモードと、IDの保護が不可能なアグレッシブモード
の2つが存在し、Phase2にはクイックモードのみが存
在する。
【0007】メインモードでは、始動者と応答者の間
で、6回(3往復)の通信を行ってISAKMPを確立する。
始めの2回(1往復)の通信において両者で使用するア
ルゴリズム等の取り決めが行われ、次の2回(1往復)
の通信において鍵交換に必要なDiffie-Hellman鍵交換ア
ルゴリズムの公開値や乱数等の補助的なデータの交換が
行われる。そして、最後の2回(1往復)の通信で生成
された鍵の認証が行われる。
【0008】これに対して、アグレッシブモードでは、
始動者と応答者の間で、3回(1.5往復)の通信を行
い、ISAKMP SAを確立する。始めの2回(1往復)の通
信において両者で使用するアルゴリズム等の取り決め
と、鍵交換に必要なDiffie-Hellman鍵交換アルゴリズム
の公開値や乱数等の補助的なデータの交換が行われる。
そして、3回目の通信において、始動者の認証と生成さ
れた鍵の認証が行われる。この3回目の通信は、生成さ
れるISAKMP SAによって暗号化されない。従って、IDの
保護が不可能となる。
【0009】メインモード、アグレッシブモードにおい
ては、電子署名、公開鍵暗号、予め保持している共通鍵
を用いる方法の3種類の認証方法が利用可能である。
【0010】Phase2のクイックモードにおいては、始
動者と応答者の間で、3回(1.5往復)の通信を行
い、IPsecのSAを確立する。クイックモードにおける通
信内容は、ISAKMP SAによって保護される。始めの2回
(1往復)の通信において、両者で使用するアルゴリズ
ム等の取り決めが行われ、3回目の通信で生成された鍵
の認証が行われる。
【0011】以上のようにして、IPsecで安全な通信を
行う前に通信者間で暗号通信に利用されるセッション鍵
を共有することができる。
【0012】また、TLSは、クライアント−サーバアプ
リケーションに対してセキュリティを提供するプロトコ
ルであり、鍵交換についてはHandshake Protocolとして
規定されている。Handshake Protocolによるクライアン
ト−サーバ間の処理は、以下のように行われる。
【0013】最初に、クライアントは、ClientHelloメ
ッセージを用いて、クライアントで利用可能な暗号化ア
ルゴリズムに関する情報をサーバに供給する。サーバ
は、その中から使用する暗号化アルゴリズムを選択し、
その暗号化アルゴリズムに関する情報を、ServerHello
メッセージを用いてクライアントに供給する。また、サ
ーバは、ServerHelloメッセージを送信した後に、Serve
rCertificateメッセージを用いてサーバ自身の証明書を
送信する。サーバの証明書が存在しない場合、サーバ
は、合意過程で使用する仮の暗号化鍵等を送信するServ
erKeyExchangeメッセージをクライアントに送信する。
さらに、サーバは、必要であれば、クライアントの証明
書の送付を要求するCertificateReqestメッセージも送
信する。そして、サーバは、ServerHelloDoneメッセー
ジを送信することによってサーバからの送信を終了し、
クライアントからの返答を待つ。
【0014】サーバからCertificateReqestメッセージ
を送信されたクライアントは、ClientCertificateメッ
セージによりクライアントの証明書を送信する。そし
て、証明書を送信したクライアントは、セッション鍵生
成の元となるpre-master keyをサーバの公開鍵で暗号化
し、その暗号化されたpre-master key を含むClientKey
Exchangeメッセージをサーバに送信する。
【0015】また、クライアントは、ClientHelloメッ
セージから直前までの通信内容のダイジェストをクライ
アントの秘密鍵で暗号化して、CertificateVerifyメッ
セージに含めてサーバに送信する。サーバは、それを公
開鍵で複合化して、クライアント証明書の正当性を確認
する。
【0016】この時点で、セッション鍵などが利用可能
となっており、クライアントは、暗号仕様の変更を合図
するChangeCipherSpecメッセージを送信した後に、セッ
ション鍵などを設定する。これにより、これ以降の通信
は、設定されたセッション鍵を利用して、Helloメッセ
ージで決定したアルゴリズムにより守られるようにな
る。最後にクライアントは、Finishedメッセージを送信
し、終了する。また、サーバにおいても、上述したクラ
イアントの場合と同様に、ChangeCipherSpecメッセージ
を送信し、セッション鍵などを設定し、Finishedメッセ
ージを送信する。
【0017】以上のようにして、クライアント−サーバ
間において、安全な通信を行うためのセッション鍵を共
有することができる。
【0018】
【発明が解決しようとする課題】しかしながら、以上の
ような方法の場合、公開鍵暗号アルゴリズムを利用した
認証処理やDiffie-Hellman鍵交換アルゴリズムの計算処
理等の負荷の大きな処理が必要であり、計算資源が限ら
れた機器等において、その処理に多大な時間を要する場
合があるという課題があった。
【0019】また、特開2001−197055号公報
には、機能の乏しい携帯端末であっても、認証局で認証
を得た証明書を用いた情報通信を行うことができ、ユー
ザ等が、複数の認証局が発行した証明書の検証や管理等
に対する作業負荷を軽減することが可能な認証代行装置
が開示されているが、認証処理の代行のみが目的であ
り、安全な通信を実現するための鍵の交換方法について
は提供されていないという課題があった。
【0020】さらに、この場合、ユーザ端末とサーバと
の間に認証代行サーバが介在するので、既存の通信プロ
トコルと互換性を保つことができないという課題もあっ
た。
【0021】本発明はこのような状況に鑑みてなされた
ものであり、暗号通信における鍵交換処理を代行するこ
とにより、通信を行う情報処理装置の負担を軽減するこ
とができるようにしたものである。
【0022】
【課題を解決するための手段】本発明のネットワークシ
ステムは、ネットワークに接続され、他の情報処理装置
と暗号通信を行う第1の情報処理装置と、ネットワーク
に接続され、第1の情報処理装置が暗号通信に用いる共
通鍵を、通信相手である他の情報処理装置と共有するた
めの、第1の情報処理装置による鍵交換処理を代行する
第2の情報処理装置とを備えるネットワークシステムで
あって、第1の情報処理装置は、他の情報処理装置と暗
号通信を行う暗号通信手段と、鍵交換処理の代行を要求
する要求メッセージを第2の情報処理装置に供給する要
求メッセージ供給手段と、要求メッセージ供給手段によ
り供給された要求メッセージに対応する応答メッセージ
を、第2の情報処理装置より取得する応答メッセージ取
得手段と、応答メッセージ取得手段により取得された応
答メッセージに基づいて、暗号通信に用いるセッション
ごとの共通鍵であるセッション鍵を設定するセッション
鍵設定手段とを備え、第2の情報処理装置は、要求メッ
セージを第1の情報処理装置より取得する要求メッセー
ジ取得手段と、要求メッセージ取得手段により取得され
た要求メッセージに基づいて、鍵交換処理を代行して行
う鍵交換代行処理手段と、鍵交換代行処理手段の処理結
果に基づいて、要求メッセージに対応する応答メッセー
ジを、第1の情報処理装置に供給する応答メッセージ供
給手段とを備えることを特徴とする。
【0023】前記要求メッセージは、鍵交換処理の開始
を示し、鍵交換方法の決定を要求する開始要求メッセー
ジと、共通鍵の生成を要求する鍵生成要求メッセージ
と、第1の情報処理装置の通信相手である他の情報処理
装置の認証を要求する認証要求メッセージと、セッショ
ン鍵を要求する鍵要求メッセージとを含み、応答メッセ
ージは、開始要求メッセージに対応する開始応答メッセ
ージと、鍵生成要求メッセージに対応する鍵生成応答メ
ッセージと、認証要求メッセージに対応する認証応答メ
ッセージと、鍵要求メッセージに対応する鍵応答メッセ
ージとを含み、鍵交換代行処理手段は、開始要求メッセ
ージに基づいて、暗号通信における鍵交換方法を決定す
る鍵交換方法決定手段と、鍵生成要求メッセージに基づ
いて、共通鍵を生成する共通鍵生成手段と、認証要求メ
ッセージに基づいて、第1の情報処理装置の通信相手で
ある他の情報処理装置を認証する認証手段と、認証要求
メッセージに基づいて、第1の情報処理装置の通信相手
である他の情報処理装置が第1の情報処理装置にアクセ
ス可能か否かを確認する確認手段と、鍵要求メッセージ
に基づいて、セッション鍵に関する処理を行うセッショ
ン鍵処理手段とを備えるようにすることができる。
【0024】前記鍵交換方法は、IKE、または、SSL若し
くはTLSのHandshake Protocolを含むようにすることが
できる。
【0025】前記第1の情報処理装置は、第2の情報処
理装置と安全に通信が行えるか否かを判定する第1の判
定手段と、第1の判定手段の判定結果に基づいて、第2
の情報処理装置と安全に通信するための、第2の情報処
理装置と共有する共通鍵を設定する第1の共通鍵設定手
段とをさらに備え、第2の情報処理装置は、第1の情報
処理装置と安全に通信が行えるか否かを判定する第2の
判定手段と、第2の判定手段の判定結果に基づいて、第
1の情報処理装置と安全に通信するための、第1の情報
処理装置と共有する共通鍵を設定する第2の共通鍵設定
手段とをさらに備えるようにすることができる。
【0026】本発明の第1の情報処理装置は、第1の他
の情報処理装置と暗号通信を行う暗号通信手段と、暗号
通信手段による暗号通信に用いる共通鍵を記憶する記憶
手段と、共通鍵を第1の他の情報処理装置と共有するた
めの鍵交換処理の代行を要求する要求メッセージを、鍵
交換処理を代行する第2の他の情報処理装置に供給する
要求メッセージ供給手段と、要求メッセージ供給手段に
より供給された要求メッセージに対応する応答メッセー
ジを、第2の他の情報処理装置より取得する応答メッセ
ージ取得手段と、応答メッセージ取得手段により取得さ
れた応答メッセージに基づいて、暗号通信のセッション
ごとの共通鍵であるセッション鍵を設定するセッション
鍵設定手段とを備えることを特徴とする。
【0027】前記第1の情報処理装置は、前記第2の他
の情報処理装置と安全に通信が行えるか否かを判定する
判定手段と、判定手段の判定結果に基づいて、第2の他
の情報処理装置と安全に通信するための、第2の他の情
報処理装置と共有する共通鍵を設定する共通鍵設定手段
とをさらに備えるようにすることができる。
【0028】本発明の第1の情報処理方法は、第1の他
の情報処理装置と暗号通信を行う暗号通信ステップと、
暗号通信ステップの処理による暗号通信に用いる共通鍵
の記憶部からの取得を制御する記憶制御ステップと、暗
号通信ステップの処理による暗号通信に用いる共通鍵を
第1の他の情報処理装置と共有するための鍵交換処理の
代行を要求する要求メッセージを、鍵交換処理を代行す
る第2の他の情報処理装置に供給する要求メッセージ供
給ステップと、要求メッセージ供給ステップの処理によ
り供給された要求メッセージに対応する応答メッセージ
の、第2の他の情報処理装置からの取得を制御する応答
メッセージ取得制御ステップと、応答メッセージ取得制
御ステップの処理により取得が制御された応答メッセー
ジに基づいて、暗号通信のセッションごとの共通鍵であ
るセッション鍵を設定するセッション鍵設定ステップと
を含むことを特徴とする。
【0029】本発明の第1の記録媒体のプログラムは、
第1の他の情報処理装置と暗号通信を行う暗号通信ステ
ップと、暗号通信ステップの処理による暗号通信に用い
る共通鍵の記憶部からの取得を制御する記憶制御ステッ
プと、暗号通信ステップの処理による暗号通信に用いる
共通鍵を第1の他の情報処理装置と共有するための鍵交
換処理の代行を要求する要求メッセージを、鍵交換処理
を代行する第2の他の情報処理装置に供給する要求メッ
セージ供給ステップと、要求メッセージ供給ステップの
処理により供給された要求メッセージに対応する応答メ
ッセージの、第2の他の情報処理装置からの取得を制御
する応答メッセージ取得制御ステップと、応答メッセー
ジ取得制御ステップの処理により取得が制御された応答
メッセージに基づいて、暗号通信のセッションごとの共
通鍵であるセッション鍵を設定するセッション鍵設定ス
テップとを含むことを特徴とする。
【0030】本発明の第1のプログラムは、第1の他の
情報処理装置と暗号通信を行う暗号通信ステップと、暗
号通信ステップの処理による暗号通信に用いる共通鍵の
記憶部からの取得を制御する記憶制御ステップと、暗号
通信ステップの処理による暗号通信に用いる共通鍵を第
1の他の情報処理装置と共有するための鍵交換処理の代
行を要求する要求メッセージを、鍵交換処理を代行する
第2の他の情報処理装置に供給する要求メッセージ供給
ステップと、要求メッセージ供給ステップの処理により
供給された要求メッセージに対応する応答メッセージ
の、第2の他の情報処理装置からの取得を制御する応答
メッセージ取得制御ステップと、応答メッセージ取得制
御ステップの処理により取得が制御された応答メッセー
ジに基づいて、暗号通信のセッションごとの共通鍵であ
るセッション鍵を設定するセッション鍵設定ステップと
をコンピュータに実現させる。
【0031】本発明の第2の情報処理装置は、鍵交換処
理に関する情報を記憶する記憶手段と、鍵交換処理の代
行を要求する要求メッセージを、第1の他の情報処理装
置より取得する要求メッセージ取得手段と、要求メッセ
ージ取得手段により取得された要求メッセージに基づい
て、鍵交換処理を代行して行う鍵交換代行処理手段と、
鍵交換代行処理手段の処理結果に基づいて、要求メッセ
ージに対応する応答メッセージを、第1の他の情報処理
装置に供給する応答メッセージ供給手段とを備えること
を特徴とする。
【0032】前記要求メッセージは、鍵交換処理の開始
を示し、鍵交換方法の決定を要求する開始要求メッセー
ジと、共通鍵の生成を要求する鍵生成要求メッセージ
と、第2の他の情報処理装置の認証を要求する認証要求
メッセージと、暗号通信のセッションごとの共通鍵であ
るセッション鍵を要求する鍵要求メッセージとを含み、
応答メッセージは、開始要求メッセージに対応する開始
応答メッセージと、鍵生成要求メッセージに対応する鍵
生成応答メッセージと、認証要求メッセージに対応する
認証応答メッセージと、鍵要求メッセージに対応する鍵
応答メッセージとを含み、鍵交換代行処理手段は、開始
要求メッセージに基づいて、暗号通信における鍵交換方
法を決定する鍵交換方法決定手段と、鍵生成要求メッセ
ージに基づいて、共通鍵を生成する共通鍵生成手段と、
認証要求メッセージに基づいて、第2の他の情報処理装
置を認証する認証手段と、認証要求メッセージに基づい
て、第2の他の情報処理装置が第1の他の情報処理装置
にアクセス可能か否かを確認する確認手段と、鍵要求メ
ッセージに基づいて、セッション鍵に関する処理を行う
セッション鍵処理手段とを備えるようにすることができ
る。
【0033】前記第2の情報処理装置は、第1の他の情
報処理装置と安全に通信が行えるか否かを判定する判定
手段と、判定手段の判定結果に基づいて、第1の他の情
報処理装置と安全に通信するための、第1の他の情報処
理装置と共有する共通鍵を設定する共通鍵設定手段とを
さらに備えるようにすることができる。
【0034】前記記憶手段により記憶されている鍵交換
処理に関する情報は、第2の他の情報処理装置の認証に
関する情報、および第2の他の情報処理装置が第1の他
の情報処理装置にアクセス可能か否かに関する情報であ
るポリシ情報を含むようにすることができる。
【0035】本発明の第2の情報処理方法は、鍵交換処
理に関する情報の記憶部からの取得を制御する記憶制御
ステップと、鍵交換処理の代行を要求する要求メッセー
ジの、第1の他の情報処理装置からの取得を制御する要
求メッセージ取得制御ステップと、要求メッセージ取得
制御ステップの処理により取得が制御された要求メッセ
ージに基づいて、鍵交換処理を代行して行う鍵交換代行
処理ステップと、鍵交換代行処理ステップの処理の処理
結果に基づいて、要求メッセージに対応する応答メッセ
ージを、第1の他の情報処理装置に供給する応答メッセ
ージ供給ステップとを含むことを特徴とする。
【0036】本発明の第2の記録媒体のプログラムは、
鍵交換処理に関する情報の記憶部からの取得を制御する
記憶制御ステップと、鍵交換処理の代行を要求する要求
メッセージの、第1の他の情報処理装置からの取得を制
御する要求メッセージ取得制御ステップと、要求メッセ
ージ取得制御ステップの処理により取得が制御された要
求メッセージに基づいて、鍵交換処理を代行して行う鍵
交換代行処理ステップと、鍵交換代行処理ステップの処
理の処理結果に基づいて、要求メッセージに対応する応
答メッセージを、第1の他の情報処理装置に供給する応
答メッセージ供給ステップとを含むことを特徴とする。
【0037】本発明の第2のプログラムは、鍵交換処理
に関する情報の記憶部からの取得を制御する記憶制御ス
テップと、鍵交換処理の代行を要求する要求メッセージ
の、第1の他の情報処理装置からの取得を制御する要求
メッセージ取得制御ステップと、要求メッセージ取得制
御ステップの処理により取得が制御された要求メッセー
ジに基づいて、鍵交換処理を代行して行う鍵交換代行処
理ステップと、鍵交換代行処理ステップの処理の処理結
果に基づいて、要求メッセージに対応する応答メッセー
ジを、第1の他の情報処理装置に供給する応答メッセー
ジ供給ステップとをコンピュータに実現させる。
【0038】本発明のネットワークシステムにおいて
は、ネットワークに接続され、他の情報処理装置と暗号
通信を行う第1の情報処理装置と、ネットワークに接続
され、第1の情報処理装置が暗号通信に用いる共通鍵
を、通信相手である他の情報処理装置と共有するため
の、第1の情報処理装置による鍵交換処理を代行する第
2の情報処理装置とが備えられ、第1の情報処理装置に
おいては、他の情報処理装置と暗号通信が行われ、鍵交
換処理の代行を要求する要求メッセージが第2の情報処
理装置に供給され、要求メッセージに対応する応答メッ
セージが、第2の情報処理装置より取得され、応答メッ
セージに基づいて、暗号通信に用いるセッションごとの
共通鍵であるセッション鍵が設定され、第2の情報処理
装置においては、要求メッセージが第1の情報処理装置
より取得され、その要求メッセージに基づいて、鍵交換
処理が代行して行われ、鍵交換代行処理手段の処理結果
に基づいて、要求メッセージに対応する応答メッセージ
が、第1の情報処理装置に供給される。
【0039】本発明の第1の情報処理装置および方法、
並びにプログラムにおいては、第1の他の情報処理装置
と暗号通信が行われ、暗号通信に用いる共通鍵が記憶さ
れ、共通鍵を第1の他の情報処理装置と共有するための
鍵交換処理の代行を要求する要求メッセージが、鍵交換
処理を代行する第2の他の情報処理装置に供給され、そ
の要求メッセージに対応する応答メッセージが、第2の
他の情報処理装置より取得され、その応答メッセージに
基づいて、暗号通信のセッションごとの共通鍵であるセ
ッション鍵が設定される。
【0040】本発明の第2の情報処理装置および方法、
並びにプログラムにおいては、鍵交換処理に関する情報
が記憶され、鍵交換処理の代行を要求する要求メッセー
ジが、第1の他の情報処理装置より取得され、その要求
メッセージに基づいて、鍵交換処理が代行して行われ
る、鍵交換代行処理手段の処理結果に基づいて、要求メ
ッセージに対応する応答メッセージが、第1の他の情報
処理装置に供給される。
【0041】
【発明の実施の形態】図1は、本発明を適用した鍵交換
処理代行システムの構成例を表している。
【0042】図1において、端末装置1は、インターネ
ット等に代表されるネットワーク2に接続されており、
ネットワーク2を介して、IPsec,SSL、またはTLS等に
より、通信相手側端末装置4と通信内容が暗号化された
暗号通信を行う。鍵交換代行サーバ3は、ネットワーク
2に接続されており、端末装置1が通信相手端末装置4
と共通鍵を共有するために行う鍵交換処理の鍵生成処理
や認証処理等を代行する。
【0043】なお、図1において、ネットワーク2に
は、端末装置1、鍵交換代行サーバ3、および通信相手
側端末装置4が1台ずつ接続されているが、これに限ら
ず、端末装置1、鍵交換代行サーバ3、および通信相手
側端末装置4がそれぞれ複数接続されていてもよい。
【0044】図2は、端末装置1の構成例を示すブロッ
ク図である。
【0045】図2において、CPU(Central Processing
Unit)11は、ROM(Read Only Memory)12に記憶さ
れているプログラム、または記憶部23からRAM(Rando
m Access Memory)13にロードされたプログラムに従
って各種の処理を実行する。RAM13にはまた、CPU11
が各種の処理を実行する上において必要なデータなども
適宜記憶される。CPU11、ROM12、およびRAM13
は、バス14を介して相互に接続されている。このバス
14にはまた、入出力インタフェース20も接続されて
いる。
【0046】入出力インタフェース20には、キーボー
ド、マウスなどよりなる入力部21、CRT(Cathode Ray
Tube)、LCD(Liquid Crystal Display)などよりなる
ディスプレイ、並びにスピーカなどよりなる出力部2
2、ハードディスクなどより構成される記憶部23、モ
デム、ターミナルアダプタなどより構成される通信部2
4、および、メモリやハードディスク等で構成される暗
号鍵データベース25が接続されている。通信部24
は、ネットワーク2を介しての通信処理を行う。通信部
24はまた、他のユーザ端末との間で、アナログ信号ま
たはデジタル信号の通信処理を行う。また、暗号鍵デー
タベース25は、鍵交換代行サーバ3、または通信相手
側端末装置4との通信の内容を暗号化するための鍵情報
を記録している。
【0047】入出力インタフェース20にはまた、必要
に応じてドライブ30が接続され、磁気ディスク41、
光ディスク42、光磁気ディスク43、或いは半導体メ
モリ44などが適宜装着され、それらから読み出された
コンピュータプログラムが、必要に応じて記憶部23に
インストールされる。
【0048】図3は、鍵交換代行サーバ3の構成例を示
すブロック図である。
【0049】図3において、鍵交換代行サーバ3は、図
2の端末装置1のCPU11乃至通信部24に対応するCPU
51乃至通信部64を有しており、その基本的構成は、
端末装置1と同様であるので、その説明は省略する。
【0050】また、図3において、入出力インタフェー
ス60は、さらに、データベース65を有している。デ
ータベース65は、端末装置1との通信の内容を暗号化
するための鍵情報に関する情報、通信相手側端末装置4
を認証する認証鍵に関する情報、および、端末装置1へ
のアクセスが許可された装置に関する情報等が記憶され
ている。
【0051】さらに、入出力インタフェース60には、
必要に応じてドライブ70が接続され、磁気ディスク8
1、光ディスク82、光磁気ディスク83、或いは半導
体メモリ84などが適宜装着され、それらから読み出さ
れたコンピュータプログラムが、必要に応じて記憶部6
3にインストールされる。
【0052】なお、図示は省略するが、通信相手側端末
装置4も、図2に示した端末装置1と基本的に同様の構
成を有するコンピュータにより構成される。
【0053】次に、図4および図5のフローチャートを
参照して、端末装置1による鍵交換代行処理を説明す
る。また、必要に応じて、図6および図7を参照して説
明する。
【0054】通信相手側端末装置4と鍵交換を行う端末
装置1のCPU11は、最初に、ステップS1において、
鍵交換代行サーバ3との間に安全な通信路が確保される
か否かを判定する。
【0055】確保されないと判定した場合、CPU11
は、ステップS2に進み、鍵交換代行サーバ3と安全に
通信するための鍵を暗号鍵データベース25に設定し、
ステップS3に進む。なお、設定される鍵は、予め決め
られており、鍵交換代行サーバ3と暗号通信ができるよ
うに、鍵交換代行サーバ3に設定される鍵と対応してあ
る。また、ステップS1において、鍵交換代行サーバ3
との間に安全な通信路が確保されると判定した場合、CP
U11は、ステップS3に進む。
【0056】すなわち、端末装置1と鍵交換代行サーバ
3との間が安全な通信路である場合、両者間の通信は、
通常の通信により行われるが、端末装置1と鍵交換代行
サーバ3との間が安全な通信路でない場合は、通信内容
を暗号化した暗号通信により行われる。
【0057】図6は、端末装置1と鍵交換代行サーバ3
との間が安全な通信路である場合の端末装置1の通信に
関する主な処理の流れを示す図である。
【0058】図6において、安全な通信路を用いて鍵交
換代行サーバ3に情報を供給する場合、CPU11の処理
部101は、通信部24を介して、鍵交換代行サーバ3
に情報を供給する。また、安全な通信路を用いて鍵交換
代行サーバ3より情報を取得する場合、CPU11の処理
部101は、通信部24を介して、鍵交換代行サーバ3
より情報を取得する。
【0059】通信相手側端末装置4に情報を供給する場
合、CPU11の処理部101は、暗号通信部102に情
報を供給する。暗号通信部102は、暗号鍵データベー
ス25より必要な鍵情報を取得し、処理部101より供
給された情報を暗号化する。情報を暗号化した暗号通信
部102は、通信部24を介して、暗号化した情報を通
信相手側端末装置4に供給する。また、通信相手側端末
装置4より情報を取得する場合、供給された情報は、通
信部24を介して暗号通信部102に供給される。暗号
通信部102は、暗号鍵データベース25より必要な鍵
情報を取得し、通信部24を介して供給された情報を復
号し、処理部101に供給する。
【0060】すなわち、端末装置1は、通信相手側端末
装置4と暗号通信を行い、鍵交換代行サーバ3と暗号化
されていない通常の通信を行う。
【0061】また、図7は、端末装置1と鍵交換代行サ
ーバ3との間が安全な通信路でない場合の端末装置1の
通信に関する主な処理の流れを示す図である。
【0062】図7において、鍵交換代行サーバ3または
通信相手側端末装置4に情報を供給する場合、CPU11
の処理部101は、暗号通信部102に情報を供給し、
暗号鍵データベース25より必要な鍵情報を取得させ、
供給した情報を暗号化させる。そして、情報を暗号化し
た暗号通信部102は、通信部24を介して、暗号化し
た情報を鍵交換代行サーバ3または通信相手側端末装置
4に供給する。また、鍵交換代行サーバ3または通信相
手側端末装置4より情報を取得する場合、供給された情
報は、通信部24を介して暗号通信部102に供給され
る。暗号通信部102は、暗号鍵データベース25より
必要な鍵情報を取得し、通信部24を介して供給された
情報を復号し、処理部101に供給する。
【0063】すなわち、端末装置1は、鍵交換代行サー
バ3および通信相手側端末装置4のいずれの場合も暗号
通信を行う。従って、この場合、ステップS3以降の処
理において、端末装置1と鍵交換代行サーバ3の間の通
信は、全て暗号化されて行われる。以下の説明におい
て、端末装置1が行う暗号化および復号する処理は図7
において説明した場合と同様であるので、その説明は省
略する。
【0064】図4に戻り、ステップS3において、CPU
11は、鍵交換代行サーバ3に鍵交換処理の開始を示
し、鍵交換方法の決定を要求する開始要求メッセージを
供給する。開始要求メッセージには、端末装置1におい
て利用可能な暗号化アルゴリズムやハッシュアルゴリズ
ムのリスト等が含まれている。
【0065】開始要求メッセージを供給したCPU11
は、ステップS4において、通信部24を制御して、開
始要求メッセージに対応する応答メッセージである開始
応答メッセージを取得したか否かを判定し、取得したと
判定するまで待機する。
【0066】開始応答メッセージには、鍵交換方法に関
する情報や、使用するアルゴリズムの情報等が含まれて
おり、CPU11は、この開始応答メッセージに基づいて
各種の処理を行う。
【0067】通信部24を制御して、開始応答メッセー
ジを取得したと判定した場合、CPU11は、ステップS
5に進み、取得した開始応答メッセージに含まれる鍵交
換方法に基づいて、鍵生成処理が必要か否かを判定す
る。鍵生成処理は、通信相手側端末装置4と共有する共
通鍵を生成する処理である。必要な場合、CPU11は、
ステップS6に進み、通信部24を制御して、鍵交換代
行サーバ3に鍵生成処理の代行を要求する鍵生成要求メ
ッセージを供給する。鍵生成要求メッセージを供給した
CPU11は、ステップS7において、通信部24を制御
して、鍵生成要求メッセージに対応する鍵生成応答メッ
セージを取得したか否かを判定し、取得するまで待機す
る。取得したと判定した場合、CPU11は、図5のステ
ップS12に進む。
【0068】また、図4のステップS5において、鍵生
成処理が必要ないと判定した場合、CPU11は、図5の
ステップS8に進み、開始応答メッセージに含まれる鍵
交換方法に基づいて、認証処理が必要か否かを判定す
る。必要と判定した場合、CPU11は、ステップS9に
進み、通信部24を制御して、鍵交換代行サーバ3に、
通信相手側端末装置4を認証する認証処理の代行を要求
する認証要求メッセージを供給する。
【0069】認証処理の代行を要求したCPU11は、ス
テップS10に進み、通信部24を制御して、認証要求
メッセージに対応する認証応答メッセージを取得したか
否かを判定し、取得したと判定するまで待機する。そし
て、取得したと判定した場合、CPU11は、ステップS
11に進み、認証応答メッセージを参照して、通信相手
側端末装置4が認証されたか否かを判定する。認証され
たと判定した場合、CPU11は、ステップS12に進
む。
【0070】ステップS12において、CPU11は、以
上の処理により、鍵交換処理において必要な情報が全て
揃ったか否かを判定し、揃っていないと判定した場合、
図4のステップS5に戻り、それ以降の処理を繰り返
す。
【0071】全ての情報が揃ったと判定した場合、CPU
11は、ステップS13に進み、通信部24を制御し
て、鍵交換代行サーバ3に、通信相手側端末装置4との
暗号通信において使用されるセッションごとの鍵である
セッション鍵を要求する鍵要求メッセージを供給する。
鍵要求メッセージを供給したCPU11は、ステップS1
4において、通信部24を制御して、鍵要求メッセージ
に対応する鍵応答メッセージを取得したか否かを判定
し、取得したと判定するまで待機する。
【0072】取得したと判定した場合、CPU11は、ス
テップS15に進み、開始応答メッセージに含まれる鍵
交換方法において、鍵応答メッセージの内容に基づいて
セッション鍵を生成する必要があるか否かを判定する。
生成する必要があると判定した場合、CPU11は、ステ
ップS16に進み、鍵応答メッセージに基づいて、セッ
ション鍵を生成し、ステップS17に進む。また、ステ
ップS15において、鍵応答メッセージにセッション鍵
が含まれており、セッション鍵を生成する必要がないと
判定した場合、CPU11は、ステップS17に進む。
【0073】ステップS17において、CPU11は、通
信相手側端末装置4と安全に通信するためのセッション
鍵を暗号鍵データベース25に設定し、鍵交換代行処理
を終了する。
【0074】また、図5のステップS8において、開始
応答メッセージに含まれる鍵交換方法に基づいて、認証
処理が必要でないと判定した場合、本来ありえない状態
であるので、CPU11は、ステップS18において、誤
動作しているとして扱う誤動作処理を行い、ステップS
19においてエラー処理を行い、鍵交換代行処理を終了
する。
【0075】また、図5のステップS11において、通
信相手側端末装置4が認証されなかったと判定した場
合、CPU11は、ステップS19に進み、エラー処理を
行い、鍵交換代行処理を終了する。
【0076】次に、図8および図9のフローチャートを
参照して、上述した端末装置による鍵交換代行処理に対
応する鍵交換代行サーバ3による鍵交換代行処理につい
て説明する。また、必要に応じて、図10および図11
を参照して説明する。
【0077】端末装置1の鍵交換処理を代行するCPU5
1は、最初に、ステップS31において、端末装置1と
の間に安全な通信路が確保されるか否かを判定する。
【0078】確保されないと判定した場合、CPU51
は、ステップS32に進み、端末装置1と安全に通信す
るための鍵をデータベース65に設定し、ステップS3
3に進む。なお、設定される鍵は、予め決められてお
り、端末装置1と暗号通信ができるように、端末装置1
に設定される鍵と対応してある。また、ステップS31
において、端末装置1との間に安全な通信路が確保され
ると判定した場合、CPU51は、ステップS33に進
む。
【0079】上述したように、端末装置1と鍵交換代行
サーバ3との間が安全な通信路でない場合は、通信内容
を暗号化した暗号通信により行われる。
【0080】図10は、端末装置1と鍵交換代行サーバ
3との間が安全な通信路である場合の鍵交換代行サーバ
3の通信に関する主な処理の流れを示す図である。
【0081】図10において、CPU51には、各種の処
理を実行する処理部121、鍵を生成する鍵生成部12
2、および認証処理を行う認証部123が構成されてい
る。また、データベース65には、認証部123による
認証処理に用いられる認証鍵を管理する認証鍵データベ
ース131、および端末装置1にアクセスすることを許
可された装置に関する情報が管理されているポリシデー
タベース132が設けられている。
【0082】安全な通信路を用いて端末装置1に情報を
供給する場合、CPU51の処理部121は、通信部64
を介して、端末装置1に情報を供給する。例えば、処理
部121は、鍵生成部122において生成された鍵を含
むメッセージを、通信部64を介して、端末装置1に供
給する。また、安全な通信路を用いて端末装置1より情
報を取得する場合、CPU51の処理部121は、通信部
24を介して、端末装置1より情報を取得する。
【0083】例えば、処理部121は、通信部64を介
して端末装置1より取得した証明書等を認証部123に
供給する。認証部123は、データベース65の認証鍵
データベース131に登録されている認証鍵に基づい
て、通信相手側端末装置4の認証を行い、その認証結果
を処理部121に供給する。また、処理部121は、デ
ータベース132のポリシデータベース132に登録さ
れている端末装置1のポリシに関する情報に基づいて、
通信相手側端末装置4が端末装置1にアクセス可能か否
かを判定する。
【0084】すなわち、鍵交換代行サーバ3は、端末装
置1と暗号化されていない通常の通信を行う。
【0085】また、図11は、端末装置1と鍵交換代行
サーバ3との間が安全な通信路でない場合の鍵交換代行
サーバ3の通信に関する主な処理の流れを示す図であ
る。
【0086】図11において、CPU51には、処理部1
21、鍵生成部122、および認証部123の他に、処
理部121と通信部64の間に、情報を暗号化する暗号
通信部141が構成されている。また、データベース6
5には、認証鍵データベース131、ポリシデータベー
ス132、および、暗号鍵を管理する暗号鍵データベー
ス142が設けられている。暗号通信部141は、暗号
鍵データベース142に設定されている暗号鍵に基づい
て、情報の暗号化を行う。
【0087】すなわち、鍵交換代行サーバ3は、端末装
置1との通信において、暗号通信を行う。従って、この
場合、ステップS33以降の処理において、端末装置1
と鍵交換代行サーバ3の間の通信は、全て暗号化されて
行われる。以下の説明において、鍵交換代行サーバ3に
よる暗号化および復号する処理は図11において説明し
た場合と同様であるので、その説明は省略する。
【0088】図8に戻り、ステップS33において、CP
U51は、通信部64を制御して、端末装置1よりメッ
セージを取得したか否かを判定し、取得したと判定する
まで待機する。取得したと判定した場合、CPU51は、
ステップS34に進み、取得したメッセージが開始要求
メッセージか否かを判定する。取得したメッセージが、
図4のステップS3において、端末装置1より供給され
た開始要求メッセージであると判定した場合、CPU51
は、ステップS35に進み、ステップS35において、
取得した開始要求メッセージに基づいて、通信相手側端
末装置4との鍵交換方法を決定し、それを含む開始応答
メッセージを生成する。そして、ステップS36に進
み、CPU51は、通信部64を制御して、生成した開始
応答メッセージを端末装置1に供給する。
【0089】そして、ステップS37において、CPU5
1は、鍵交換代行処理を終了するか否かを判定し、終了
しない場合は、ステップS33に戻り、それ以降の処理
を繰り返す。また、ステップS37において、終了する
と判定した場合、CPU51は、鍵交換代行処理を終了す
る。
【0090】図8のステップS34において、取得した
メッセージは開始要求メッセージではないと判定した場
合、CPU51は、ステップS38に進む。ステップS3
8において、CPU51は、取得したメッセージが鍵生成
要求メッセージか否かを判定する。鍵生成要求メッセー
ジであると判定した場合、CPU51は、ステップS39
に進み、鍵生成要求メッセージに基づいて、鍵を生成す
る。そして、ステップS40において、CPU51は、生
成した鍵を含む鍵生成応答メッセージを、通信部64を
介して端末装置1に供給する。端末装置1に鍵生成応答
メッセージを供給したCPU51は、ステップS37に戻
り、それ以降の処理を繰り返す。
【0091】また、図8のステップS38において、取
得したメッセージは鍵生成要求メッセージではないと判
定した場合、CPU51は、図9のステップS41に進
む。図9のステップS41において、CPU51は、取得
したメッセージが認証要求メッセージであるか否かを判
定する。認証要求メッセージであると判定した場合、CP
U51は、ステップS42に進み、図10のデータベー
ス65の認証鍵データベース131に保持されている認
証鍵を利用して認証処理を行う。そして、ステップS4
3において、CPU51は、ポリシデータベース43によ
り保持されているポリシを確認し、通信相手側端末装置
による端末装置へのアクセスが許可されているか否かを
確認する処理を行い、ステップS44において、認証結
果および確認結果を含む認証応答メッセージを、通信部
64を制御して、端末装置1に供給する。端末装置1に
認証応答メッセージを供給したCPU51は、ステップS
37に戻り、それ以降の処理を繰り返す。
【0092】ステップS41において、取得したメッセ
ージが認証要求メッセージではないと判定した場合、CP
U51は、ステップS45に進み、取得したメッセージ
が鍵要求メッセージか否かを判定する。鍵要求メッセー
ジであると判定した場合、CPU51は、ステップS46
に進み、図8のステップS35において決定した鍵交換
方法に基づいて、セッション鍵を生成する必要があるか
否かを判定する。そして、必要があると判定した場合、
CPU51は、ステップS47に進み、通信相手側端末装
置4との通信に利用するセッション鍵を生成し、ステッ
プS48に進む。また、生成する必要がないと判定した
場合、CPU51は、ステップS48に進む。そして、ス
テップS48において、CPU51は、上述した処理の結
果を踏まえた鍵応答メッセージを生成し、通信部64を
制御して、端末装置に供給する。鍵応答メッセージを端
末装置1に供給したCPU51は、ステップS37に戻
り、それ以降の処理を繰り返す。
【0093】また、ステップS45において、取得した
メッセージが鍵要求メッセージではないと判定した場
合、CPU51は、ステップS49において、この不明な
メッセージを破棄し、ステップS37に戻り、それ以降
の処理を繰り返す。
【0094】以上のように、端末装置1および鍵交換代
行サーバ3において鍵交換代行処理を行うことにより、
鍵交換処理における端末装置1の負担を軽減することが
できる。
【0095】次に、図12乃至図14を参照して、上述
した鍵交換処理代行システムの既存の鍵交換処理への適
用例を説明する。
【0096】図12は、本発明を適用した鍵交換処理代
行システムのIKEへの適用例を示す図である。図12に
おいては、端末装置1が通信相手側端末装置4とIKEに
より鍵交換を行う際に、鍵交換代行サーバ3により、端
末装置1が行うPhase1の鍵交換処理の一部を代行して
いる。
【0097】最初に、ステップS101において、通信
相手側端末装置4が通信を保護するために用いられる方
針や鍵の集合からなる情報を含むSAペイロードを端末装
置1に供給し、端末装置1は、ステップS121におい
て、そのSAペイロードを取得する。
【0098】SAペイロードを受信すると端末装置1は、
ステップS122で、SAペイロードや利用可能な暗号化
アルゴリズム等を含む開始要求メッセージを鍵交換代行
サーバ3に供給する。この処理は、図4のステップS3
の処理に対応する。鍵交換代行サーバ3は、ステップS
151において、端末装置1より供給された開始要求メ
ッセージを取得すると、決定した鍵交換方法等の情報を
含む返信用のSAペイロードを生成し、その返信用SAペイ
ロードを含む開始応答メッセージを生成して端末装置1
に供給する。この処理は、図8のステップS34乃至ス
テップS36の処理に対応する。
【0099】鍵交換代行サーバ3より供給された開始応
答メッセージは、端末装置1によりステップS123に
おいて取得される。この処理は、図4のステップS4の
処理に対応する。そして、開始応答メッセージを取得し
た端末装置1は、ステップS124において、開始応答
メッセージに含まれる返信用のSAペイロードを通信相手
側端末装置4にIKEのSAペイロードとして供給する。
【0100】通信相手側端末装置4は、ステップS10
2において、そのSAペイロードを取得すると、ステップ
S103において、共有秘密として使用される鍵情報を
含む鍵交換ペイロード、および、乱数情報を含むNonce
ペイロードを端末装置1に供給する。端末装置1は、ス
テップS125において、その鍵交換ペイロードおよび
Nonceペイロードを取得する。端末装置1は、ステップ
S126において、取得した鍵交換ペイロードを含む鍵
生成要求メッセージを鍵交換代行サーバ3に供給する。
この処理は、図4のステップS6の処理に対応する。鍵
交換代行サーバ3は、ステップS153において、端末
装置1より供給された鍵生成要求メッセージを取得する
と、返信用の鍵交換ペイロードを生成し、ステップS1
54において、作成した返信用の鍵交換ペイロードを含
む鍵生成応答メッセージを端末装置1に供給する。ま
た、鍵交換ペイロードの内容に基づいて、ISAKMP SAを
生成する。これらの処理は、図8のステップS38乃至
ステップS40の処理に対応する。
【0101】端末装置1は、ステップS127において
鍵生成応答メッセージを取得する。この処理は図4のス
テップS7の処理に対応する。端末装置1は、ステップ
S128において、鍵生成応答メッセージに含まれる返
信用の鍵交換ペイロードおよびNonceペイロードを通信
相手側端末装置4に供給する。通信相手側端末装置4
は、この返信用の鍵交換ペイロードおよびNonceペイロ
ードをステップS104において取得すると、ステップ
S105において、IDペイロードおよび署名ペイロード
を端末装置1に供給する。
【0102】端末装置1は、ステップS129におい
て、IDペイロードおよび署名ペイロードを取得すると、
ステップS130において、署名ペイロードを含む認証
要求メッセージを鍵交換代行サーバ3に供給する。この
処理は、図5のステップS9の処理に対応する。ステッ
プS155において、鍵交換代行サーバ3は、端末装置
1より供給された認証要求メッセージを取得すると、認
証要求メッセージに含まれる署名に基づいて認証処理を
行い、認証されると返信用の署名ペイロードを生成し、
ステップS156において、生成した返信用の署名ペイ
ロードを含む認証応答メッセージを端末装置1に供給す
る。この処理は、図9のステップS41乃至ステップS
44の処理に対応する。
【0103】ステップS131において、端末装置1
は、鍵交換代行サーバ3より供給された認証応答メッセ
ージを取得する。この処理は、図5のステップS10の
処理に対応する。端末装置1は、ステップS132にお
いてIDペイロードおよび署名ペイロードを通信相手側端
末装置4に供給する。通信相手側端末装置4は、そのID
ペイロードおよび署名ペイロードを、ステップS106
において、取得する。
【0104】また、端末装置1は、ステップS133に
おいて、鍵交換代行サーバ3に鍵要求メッセージを供給
する。この処理は、図5のステップS13の処理に対応
する。鍵交換代行サーバ3は、ステップS157におい
て、端末装置1より鍵要求メッセージを取得すると、セ
ッション鍵を生成し、ステップS158において、端末
装置1に鍵応答メッセージを供給する。この処理は、図
9のステップS45乃至ステップS48の処理に対応す
る。そして、端末装置1は、鍵交換代行サーバ3より供
給された鍵応答メッセージをステップS134において
取得する。この処理は、図5のステップS14の処理に
対応する。
【0105】端末装置1は、鍵応答メッセージに含まれ
るISAKMP SAを設定し、Phase2の通信に利用する。
【0106】図13は、図12に示した処理に続いて行
われるPhase2の処理の例を示す図である。Phase2にお
いては、認証に関連する情報のみが交換される。
【0107】図13において、通信相手側端末装置4
は、ステップS171において、その状況下でトラフィ
ックを保護するのに適していると考えるProposalを生成
し、ハッシュペイロード、SAペイロード、およびNonce
ペイロードを端末装置1に供給する。端末装置1は、ス
テップS191において、これらのハッシュペイロー
ド、SAペイロード、およびNonceペイロードを取得す
る。
【0108】そして、端末装置1は、ステップS192
において、それが受け入れる保護スートを指示するため
に、返信用のハッシュペイロード、SAペイロード、およ
びNonceペイロードを通信相手側端末装置4に供給す
る。通信相手側端末装置4は、これらの返信用のハッシ
ュペイロード、SAペイロード、およびNonceペイロード
を、ステップS172において、取得する。
【0109】最後に、通信相手側端末装置4は、ステッ
プS173において、ハッシュペイロードを端末装置1
に供給し、端末装置1は、そのハッシュペイロードをス
テップS193において取得する。
【0110】以上のように、本発明を適用した鍵交換処
理代行システムは、IKEによる鍵交換に適用される。
【0111】図14は、本発明を適用した鍵交換処理代
行システムのTLS Handshake Protocolへの適用例を示す
図である。図14においては、端末装置1が通信相手側
端末装置4とTLS Handshake Protocolにより鍵交換を行
う際に、鍵交換代行サーバ3により、端末装置1が行う
鍵交換処理の一部を代行している。このとき、端末装置
1がTLSクライアントとなり、通信相手側端末装置4がT
LSサーバとなっている。
【0112】最初に、端末装置1は、ステップS331
において、利用可能な暗号化アルゴリズム等を含めた開
始要求メッセージを鍵交換代行サーバ3に供給する。こ
の処理は、図4のステップS3の処理に対応する。鍵交
換代行サーバ3は、ステップS351において、この開
始要求メッセージを取得すると、開始要求メッセージに
含まれている暗号化アルゴリズム等と、鍵交換代行サー
バ3において利用可能な暗号化アルゴリズム等とから、
TLS Handshake Protocolで利用するアルゴリズムを決定
し、開始応答メッセージに含めて端末装置1に供給す
る。これらの処理は、図8のステップS34乃至ステッ
プS36の処理に対応する。
【0113】端末装置1は、ステップS322におい
て、鍵交換代行サーバ3より供給された開始応答メッセ
ージを取得する。この処理は、図4のステップS4の処
理に対応する。開始応答メッセージを取得した端末装置
1は、ステップS323において、開始応答メッセージ
の内容に基づいて、TLS Handshake ProtocolのClientHe
lloメッセージを生成し、通信相手側端末装置4に供給
する。通信相手側端末装置4は、このClientHelloメッ
セージをステップS301において取得すると、ステッ
プS302において、ServerHelloメッセージを端末装
置1に供給し、Certificateメッセージを端末装置1に
供給し、ServerHelloDoneメッセージを端末装置1に供
給する。端末装置1は、それらのメッセージを、ステッ
プS324において取得する。
【0114】Certificateメッセージを取得した端末装
置1は、ステップS325において、取得したCertific
ateメッセージを含めた認証要求メッセージを鍵交換代
行サーバ3に供給する。この処理は、図5のステップS
9の処理に対応する。鍵交換代行サーバ3は、ステップ
S353において、この認証要求メッセージを取得し、
認証要求メッセージに含まれるTLS Handshake Protocol
のCertificateメッセージに基づいて、通信相手側端末
装置4を認証し、ステップS354において、認証結果
を含めた認証応答メッセージを端末装置1に供給する。
これらの処理は、図9のステップS41乃至ステップS
44の処理に対応する。
【0115】ステップS326において、端末装置1
は、認証応答メッセージを取得する。この処理は、図5
のステップS10の処理に対応する。端末装置1は、ス
テップS327において、pre-master keyを生成するた
めに、鍵生成要求メッセージを鍵交換代行サーバ3に供
給する。鍵交換代行サーバ3は、ステップS355にお
いて、鍵生成要求メッセージを取得すると、取得した鍵
生成応答メッセージの内容に基づいて、TLS Handshake
ProtocolのClient Key Exchangeメッセージに必要な情
報を算出し、ステップS356において、その情報を含
めた鍵生成応答メッセージを端末装置1に供給する。こ
れらの処理は、図8のステップS38乃至ステップS4
0の処理に対応する。
【0116】鍵交換代行サーバ3より供給された鍵生成
応答メッセージは、ステップS328において、端末装
置1により取得される。この処理は、図4のステップS
7の処理に対応する。端末装置1は、取得した鍵生成応
答メッセージの内容に基づいて、TLS Handshake Protoc
olのClient Key Exchangeメッセージを生成し、ステッ
プS329において、生成したClient Key Exchangeメ
ッセージを通信相手側端末装置4に供給する。通信相手
側端末装置4は、このClient Key Exchangeメッセージ
を、ステップS303において取得する。
【0117】端末装置1は、ステップS330におい
て、さらに、TLS Record Protocolで利用されるpre-mas
ter keyから生成される各種鍵情報を要求するための鍵
要求メッセージを鍵交換代行サーバ3に送信する。この
処理は、図5のステップS13の処理に対応する。鍵交
換代行サーバ3は、ステップS357において、この鍵
要求メッセージを取得し、pre-master keyからTLS Reco
rd Protocolで利用するセッション鍵を生成し、ステッ
プS358において、生成したセッション鍵を含む鍵応
答メッセージを端末装置1に供給する。これらの処理
は、図9のステップS45乃至ステップS48の処理に
対応する。
【0118】端末装置1は、ステップS331におい
て、鍵交換代行サーバ3に供給された鍵応答メッセージ
を取得し、取得した鍵応答メッセージの内容に基づい
て、TLSRecord Protocolで利用するセッション鍵を設定
する。これらの処理は、図5のステップS15乃至ステ
ップS17の処理に対応する。
【0119】以上のように、本発明を適用した鍵交換処
理代行システムは、TLS HandshakeProtocolによる鍵交
換に適用される。
【0120】一連の処理をソフトウェアにより実行させ
る場合には、そのソフトウェアを構成するプログラム
が、専用のハードウエアに組み込まれているコンピュー
タ、または、各種のプログラムをインストールすること
で、各種の機能を実行することが可能な、例えば汎用の
パーソナルコンピュータなどに、ネットワークや記録媒
体からインストールされる。
【0121】この記録媒体は、図2および図3に示すよ
うに、装置本体とは別に、ユーザにプログラムを提供す
るために配布される、プログラムが記録されている磁気
ディスク41および81(フロッピディスクを含む)、
光ディスク42および82(CD-ROM(Compact Disc-Read
Only Memory),DVD(Digital Versatile Disc)を含
む)、光磁気ディスク43および83(MD(Mini-Dis
c)を含む)、もしくは半導体メモリ44および84な
どよりなるパッケージメディアにより構成されるだけで
なく、装置本体に予め組み込まれた状態でユーザに提供
される、プログラムが記録されているCPU11および5
1に内蔵されているROMなどで構成される。
【0122】なお、本明細書において、記録媒体に記録
されるプログラムを記述するステップは、記載された順
序に沿って時系列的に行われる処理はもちろん、必ずし
も時系列的に処理されなくとも、並列的あるいは個別に
実行される処理をも含むものである。
【0123】また、本明細書において、システムとは、
複数の装置により構成される装置全体を表すものであ
る。
【0124】
【発明の効果】以上のように、本発明のネットワークシ
ステムによれば、通信を行う情報処理装置の鍵交換処理
による負担を軽減することができ、計算資源が限られた
機器においても、既存の鍵交換プロトコルとの互換性を
保ちつつ鍵交換を実現することができる。
【0125】本発明の第1の情報処理装置および方法、
記録媒体、並びにプログラムによれば、鍵交換処理によ
る負担を軽減することができ、計算資源が限られた機器
である場合も、既存の鍵交換プロトコルとの互換性を保
ちつつ鍵交換を実現することができる。
【0126】本発明の第2の情報処理装置および方法、
記録媒体、並びにプログラムによれば、通信を行う情報
処理装置の鍵交換処理による負担を軽減することがで
き、計算資源が限られた機器においても、既存の鍵交換
プロトコルとの互換性を保ちつつ鍵交換を実現すること
ができる。
【図面の簡単な説明】
【図1】本発明を適用した鍵交換処理代行システムの構
成例を表している。
【図2】図1の端末装置の構成例を示すブロック図であ
る。
【図3】図1の鍵交換代行サーバの構成例を示すブロッ
ク図である。
【図4】端末装置による鍵交換代行処理を説明するフロ
ーチャートである。
【図5】端末装置による鍵交換代行処理を説明する、図
4に続くフローチャートである。
【図6】端末装置と鍵交換代行サーバとの間が安全な通
信路である場合の、端末装置の通信に関する主な処理の
流れを示す図である。
【図7】端末装置と鍵交換代行サーバとの間が安全な通
信路でない場合の、端末装置の通信に関する主な処理の
流れを示す図である。
【図8】鍵交換代行サーバによる鍵交換代行処理につい
て説明するフローチャートである。
【図9】鍵交換代行サーバによる鍵交換代行処理につい
て説明する、図8に続くフローチャートである。
【図10】端末装置と鍵交換代行サーバとの間が安全な
通信路である場合の、鍵交換代行サーバの通信に関する
主な処理の流れを示す図である。
【図11】端末装置と鍵交換代行サーバとの間が安全な
通信路でない場合の、鍵交換代行サーバの通信に関する
主な処理の流れを示す図である。
【図12】本発明を適用した鍵交換処理代行システムの
IKEへの適用方法の例を説明するフローチャートであ
る。
【図13】図12の処理に続く処理の例を説明するフロ
ーチャートである。
【図14】本発明を適用した鍵交換処理代行システムの
TLS Handshake Protocolへの適用方法の例を説明するフ
ローチャートである。
【符号の説明】
1 端末装置, 2 ネットワーク, 3 鍵交換代行
サーバ, 4 通信相手側端末装置, 11 CPU,
12 ROM, 13 RAM, 23 記憶部,24 通信
部, 25 暗号鍵データベース, 51 CPU, 5
2 ROM, 53 RAM, 63 記憶部, 64 通信
部, 65 データベース, 101処理部, 102
暗号通信部, 121 処理部, 122 鍵生成
部,123 認証部, 131 認証鍵データベース,
132 ポリシデータベース, 141 暗号通信
部, 142 暗号鍵データベース

Claims (16)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークに接続され、他の情報処理
    装置と暗号通信を行う第1の情報処理装置と、 前記ネットワークに接続され、前記第1の情報処理装置
    が前記暗号通信に用いる共通鍵を、通信相手である前記
    他の情報処理装置と共有するための、前記第1の情報処
    理装置による鍵交換処理を代行する第2の情報処理装置
    とを備えるネットワークシステムであって、 前記第1の情報処理装置は、 前記他の情報処理装置と前記暗号通信を行う暗号通信手
    段と、 前記鍵交換処理の代行を要求する要求メッセージを前記
    第2の情報処理装置に供給する要求メッセージ供給手段
    と、 前記要求メッセージ供給手段により供給された前記要求
    メッセージに対応する応答メッセージを、前記第2の情
    報処理装置より取得する応答メッセージ取得手段と、 前記応答メッセージ取得手段により取得された前記応答
    メッセージに基づいて、前記暗号通信に用いるセッショ
    ンごとの前記共通鍵であるセッション鍵を設定するセッ
    ション鍵設定手段とを備え、 前記第2の情報処理装置は、 前記要求メッセージを前記第1の情報処理装置より取得
    する要求メッセージ取得手段と、 前記要求メッセージ取得手段により取得された前記要求
    メッセージに基づいて、前記鍵交換処理を代行して行う
    鍵交換代行処理手段と、 前記鍵交換代行処理手段の処理結果に基づいて、前記要
    求メッセージに対応する前記応答メッセージを、前記第
    1の情報処理装置に供給する応答メッセージ供給手段と
    を備えることを特徴とするネットワークシステム。
  2. 【請求項2】 前記要求メッセージは、 前記鍵交換処理の開始を示し、鍵交換方法の決定を要求
    する開始要求メッセージと、 前記共通鍵の生成を要求する鍵生成要求メッセージと、 前記第1の情報処理装置の通信相手である前記他の情報
    処理装置の認証を要求する認証要求メッセージと、 前記セッション鍵を要求する鍵要求メッセージとを含
    み、 前記応答メッセージは、 前記開始要求メッセージに対応する開始応答メッセージ
    と、 前記鍵生成要求メッセージに対応する鍵生成応答メッセ
    ージと、 前記認証要求メッセージに対応する認証応答メッセージ
    と、 前記鍵要求メッセージに対応する鍵応答メッセージとを
    含み、 前記鍵交換代行処理手段は、 前記開始要求メッセージに基づいて、前記暗号通信にお
    ける鍵交換方法を決定する鍵交換方法決定手段と、 前記鍵生成要求メッセージに基づいて、前記共通鍵を生
    成する共通鍵生成手段と、 前記認証要求メッセージに基づいて、前記第1の情報処
    理装置の通信相手である前記他の情報処理装置を認証す
    る認証手段と、 前記認証要求メッセージに基づいて、前記第1の情報処
    理装置の通信相手である前記他の情報処理装置が前記第
    1の情報処理装置にアクセス可能か否かを確認する確認
    手段と、 前記鍵要求メッセージに基づいて、前記セッション鍵に
    関する処理を行うセッション鍵処理手段とを備えること
    を特徴とする請求項1に記載のネットワークシステム。
  3. 【請求項3】 前記鍵交換方法は、IKE、または、SSL若
    しくはTLSのHandshake Protocolを含むことを特徴とす
    る請求項2に記載のネットワークシステム。
  4. 【請求項4】 前記第1の情報処理装置は、 前記第2の情報処理装置と安全に通信が行えるか否かを
    判定する第1の判定手段と、 前記第1の判定手段の判定結果に基づいて、前記第2の
    情報処理装置と安全に通信するための、前記第2の情報
    処理装置と共有する共通鍵を設定する第1の共通鍵設定
    手段とをさらに備え、 前記第2の情報処理装置は、 前記第1の情報処理装置と安全に通信が行えるか否かを
    判定する第2の判定手段と、 前記第2の判定手段の判定結果に基づいて、前記第1の
    情報処理装置と安全に通信するための、前記第1の情報
    処理装置と共有する共通鍵を設定する第2の共通鍵設定
    手段とをさらに備えることを特徴とする請求項1に記載
    のネットワークシステム。
  5. 【請求項5】 ネットワークに接続され、第1の他の情
    報処理装置と暗号通信を行う情報処理装置であって、 前記第1の他の情報処理装置と暗号通信を行う暗号通信
    手段と、 前記暗号通信手段による前記暗号通信に用いる共通鍵を
    記憶する記憶手段と、 前記共通鍵を前記第1の他の情報処理装置と共有するた
    めの鍵交換処理の代行を要求する要求メッセージを、前
    記鍵交換処理を代行する第2の他の情報処理装置に供給
    する要求メッセージ供給手段と、 前記要求メッセージ供給手段により供給された要求メッ
    セージに対応する応答メッセージを、前記第2の他の情
    報処理装置より取得する応答メッセージ取得手段と、 前記応答メッセージ取得手段により取得された前記応答
    メッセージに基づいて、前記暗号通信のセッションごと
    の前記共通鍵であるセッション鍵を設定するセッション
    鍵設定手段とを備えることを特徴とする情報処理装置。
  6. 【請求項6】 前記第2の他の情報処理装置と安全に通
    信が行えるか否かを判定する判定手段と、 前記判定手段の判定結果に基づいて、前記第2の他の情
    報処理装置と安全に通信するための、前記第2の他の情
    報処理装置と共有する共通鍵を設定する共通鍵設定手段
    とをさらに備えることを特徴とする請求項5に記載の情
    報処理装置。
  7. 【請求項7】 暗号通信に用いる共通鍵を記憶する記憶
    部を有し、ネットワークに接続され、第1の他の情報処
    理装置と暗号通信を行う情報処理装置の情報処理方法で
    あって、 前記第1の他の情報処理装置と前記暗号通信を行う暗号
    通信ステップと、 前記暗号通信ステップの処理による前記暗号通信に用い
    る共通鍵の記憶部からの取得を制御する記憶制御ステッ
    プと、 前記暗号通信ステップの処理による前記暗号通信に用い
    る共通鍵を前記第1の他の情報処理装置と共有するため
    の鍵交換処理の代行を要求する要求メッセージを、前記
    鍵交換処理を代行する第2の他の情報処理装置に供給す
    る要求メッセージ供給ステップと、 前記要求メッセージ供給ステップの処理により供給され
    た要求メッセージに対応する応答メッセージの、前記第
    2の他の情報処理装置からの取得を制御する応答メッセ
    ージ取得制御ステップと、 前記応答メッセージ取得制御ステップの処理により取得
    が制御された前記応答メッセージに基づいて、前記暗号
    通信のセッションごとの前記共通鍵であるセッション鍵
    を設定するセッション鍵設定ステップとを含むことを特
    徴とする情報処理方法。
  8. 【請求項8】 暗号通信に用いる共通鍵を記憶する記憶
    部を有し、ネットワークに接続され、第1の他の情報処
    理装置と前記暗号通信を行う情報処理装置用のプログラ
    ムであって、 前記第1の他の情報処理装置と前記暗号通信を行う暗号
    通信ステップと、 前記暗号通信ステップの処理による前記暗号通信に用い
    る共通鍵の記憶部からの取得を制御する記憶制御ステッ
    プと、 前記暗号通信ステップの処理による前記暗号通信に用い
    る共通鍵を前記第1の他の情報処理装置と共有するため
    の鍵交換処理の代行を要求する要求メッセージを、前記
    鍵交換処理を代行する第2の他の情報処理装置に供給す
    る要求メッセージ供給ステップと、 前記要求メッセージ供給ステップの処理により供給され
    た要求メッセージに対応する応答メッセージの、前記第
    2の他の情報処理装置からの取得を制御する応答メッセ
    ージ取得制御ステップと、 前記応答メッセージ取得制御ステップの処理により取得
    が制御された前記応答メッセージに基づいて、前記暗号
    通信のセッションごとの前記共通鍵であるセッション鍵
    を設定するセッション鍵設定ステップとを含むことを特
    徴とするコンピュータが読み取り可能なプログラムが記
    録されている記録媒体。
  9. 【請求項9】 暗号通信に用いる共通鍵を記憶する記憶
    部を有し、ネットワークに接続され、第1の他の情報処
    理装置と前記暗号通信を行う情報処理装置を制御するコ
    ンピュータが実行可能なプログラムであって、 前記第1の他の情報処理装置と前記暗号通信を行う暗号
    通信ステップと、 前記暗号通信ステップの処理による前記暗号通信に用い
    る共通鍵の記憶部からの取得を制御する記憶制御ステッ
    プと、 前記暗号通信ステップの処理による前記暗号通信に用い
    る共通鍵を前記第1の他の情報処理装置と共有するため
    の鍵交換処理の代行を要求する要求メッセージを、前記
    鍵交換処理を代行する第2の他の情報処理装置に供給す
    る要求メッセージ供給ステップと、 前記要求メッセージ供給ステップの処理により供給され
    た要求メッセージに対応する応答メッセージの、前記第
    2の他の情報処理装置からの取得を制御する応答メッセ
    ージ取得制御ステップと、 前記応答メッセージ取得制御ステップの処理により取得
    が制御された前記応答メッセージに基づいて、前記暗号
    通信のセッションごとの前記共通鍵であるセッション鍵
    を設定するセッション鍵設定ステップとを含むことを特
    徴とするプログラム。
  10. 【請求項10】 ネットワークに接続され、第1の他の
    情報処理装置が、前記第1の他の情報処理装置により行
    われる暗号通信に用いられる共通鍵を、通信相手である
    第2の他の情報処理装置と共有するための、前記第1の
    他の情報処理装置による鍵交換処理を代行する情報処理
    装置であって、 前記鍵交換処理に関する情報を記憶する記憶手段と、 前記鍵交換処理の代行を要求する要求メッセージを、前
    記第1の他の情報処理装置より取得する要求メッセージ
    取得手段と、 前記要求メッセージ取得手段により取得された前記要求
    メッセージに基づいて、前記鍵交換処理を代行して行う
    鍵交換代行処理手段と、 前記鍵交換代行処理手段の処理結果に基づいて、前記要
    求メッセージに対応する前記応答メッセージを、前記第
    1の他の情報処理装置に供給する応答メッセージ供給手
    段とを備えることを特徴とする情報処理装置。
  11. 【請求項11】 前記要求メッセージは、 前記鍵交換処理の開始を示し、鍵交換方法の決定を要求
    する開始要求メッセージと、 前記共通鍵の生成を要求する鍵生成要求メッセージと、 前記第2の他の情報処理装置の認証を要求する認証要求
    メッセージと、 前記暗号通信のセッションごとの前記共通鍵であるセッ
    ション鍵を要求する鍵要求メッセージとを含み、 前記応答メッセージは、 前記開始要求メッセージに対応する開始応答メッセージ
    と、 前記鍵生成要求メッセージに対応する鍵生成応答メッセ
    ージと、 前記認証要求メッセージに対応する認証応答メッセージ
    と、 前記鍵要求メッセージに対応する鍵応答メッセージとを
    含み、 前記鍵交換代行処理手段は、 前記開始要求メッセージに基づいて、前記暗号通信にお
    ける鍵交換方法を決定する鍵交換方法決定手段と、 前記鍵生成要求メッセージに基づいて、前記共通鍵を生
    成する共通鍵生成手段と、 前記認証要求メッセージに基づいて、前記第2の他の情
    報処理装置を認証する認証手段と、 前記認証要求メッセージに基づいて、前記第2の他の情
    報処理装置が前記第1の他の情報処理装置にアクセス可
    能か否かを確認する確認手段と、 前記鍵要求メッセージに基づいて、前記セッション鍵に
    関する処理を行うセッション鍵処理手段とを備えること
    を特徴とする請求項10に記載の情報処理装置。
  12. 【請求項12】 前記第2の情報処理装置は、 前記第1の他の情報処理装置と安全に通信が行えるか否
    かを判定する判定手段と、 前記判定手段の判定結果に基づいて、前記第1の他の情
    報処理装置と安全に通信するための、前記第1の他の情
    報処理装置と共有する共通鍵を設定する共通鍵設定手段
    とをさらに備えることを特徴とする請求項10に記載の
    情報処理装置。
  13. 【請求項13】 前記記憶手段により記憶されている前
    記鍵交換処理に関する情報は、前記第2の他の情報処理
    装置の認証に関する情報、および前記第2の他の情報処
    理装置が前記第1の他の情報処理装置にアクセス可能か
    否かに関する情報であるポリシ情報を含むことを特徴と
    する請求項10に記載の情報処理装置。
  14. 【請求項14】 前記鍵交換処理に関する情報を記憶す
    る記憶部を有し、ネットワークに接続され、第1の他の
    情報処理装置が、前記第1の他の情報処理装置により行
    われる暗号通信に用いられる共通鍵を、通信相手である
    第2の他の情報処理装置と共有するための、前記第1の
    他の情報処理装置による鍵交換処理を代行する情報処理
    装置の情報処理方法であって、 前記鍵交換処理に関する情報の記憶部からの取得を制御
    する記憶制御ステップと、 前記鍵交換処理の代行を要求する要求メッセージの、前
    記第1の他の情報処理装置からの取得を制御する要求メ
    ッセージ取得制御ステップと、 前記要求メッセージ取得制御ステップの処理により取得
    が制御された前記要求メッセージに基づいて、前記鍵交
    換処理を代行して行う鍵交換代行処理ステップと、 前記鍵交換代行処理ステップの処理の処理結果に基づい
    て、前記要求メッセージに対応する前記応答メッセージ
    を、前記第1の他の情報処理装置に供給する応答メッセ
    ージ供給ステップとを備えることを特徴とする情報処理
    方法。
  15. 【請求項15】 前記鍵交換処理に関する情報を記憶す
    る記憶部を有し、ネットワークに接続され、第1の他の
    情報処理装置が、前記第1の他の情報処理装置により行
    われる暗号通信に用いられる共通鍵を、通信相手である
    第2の他の情報処理装置と共有するための、前記第1の
    他の情報処理装置による鍵交換処理を代行する情報処理
    装置用のプログラムであって、 前記鍵交換処理に関する情報の記憶部からの取得を制御
    する記憶制御ステップと、 前記鍵交換処理の代行を要求する要求メッセージの、前
    記第1の他の情報処理装置からの取得を制御する要求メ
    ッセージ取得制御ステップと、 前記要求メッセージ取得制御ステップの処理により取得
    が制御された前記要求メッセージに基づいて、前記鍵交
    換処理を代行して行う鍵交換代行処理ステップと、 前記鍵交換代行処理ステップの処理の処理結果に基づい
    て、前記要求メッセージに対応する前記応答メッセージ
    を、前記第1の他の情報処理装置に供給する応答メッセ
    ージ供給ステップとを含むことを特徴とするコンピュー
    タが読み取り可能なプログラムが記録されている記録媒
    体。
  16. 【請求項16】 前記鍵交換処理に関する情報を記憶す
    る記憶部を有し、ネットワークに接続され、第1の他の
    情報処理装置が、前記第1の他の情報処理装置により行
    われる暗号通信に用いられる共通鍵を、通信相手である
    第2の他の情報処理装置と共有するための、前記第1の
    他の情報処理装置による鍵交換処理を代行する情報処理
    装置を制御するコンピュータが実行可能なプログラムで
    あって、 前記鍵交換処理に関する情報の記憶部からの取得を制御
    する記憶制御ステップと、 前記鍵交換処理の代行を要求する要求メッセージの、前
    記第1の他の情報処理装置からの取得を制御する要求メ
    ッセージ取得制御ステップと、 前記要求メッセージ取得制御ステップの処理により取得
    が制御された前記要求メッセージに基づいて、前記鍵交
    換処理を代行して行う鍵交換代行処理ステップと、 前記鍵交換代行処理ステップの処理の処理結果に基づい
    て、前記要求メッセージに対応する前記応答メッセージ
    を、前記第1の他の情報処理装置に供給する応答メッセ
    ージ供給ステップとを含むことを特徴とするプログラ
    ム。
JP2001378413A 2001-12-12 2001-12-12 ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム Withdrawn JP2003179592A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001378413A JP2003179592A (ja) 2001-12-12 2001-12-12 ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001378413A JP2003179592A (ja) 2001-12-12 2001-12-12 ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム

Publications (1)

Publication Number Publication Date
JP2003179592A true JP2003179592A (ja) 2003-06-27

Family

ID=19186142

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001378413A Withdrawn JP2003179592A (ja) 2001-12-12 2001-12-12 ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム

Country Status (1)

Country Link
JP (1) JP2003179592A (ja)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006020291A (ja) * 2004-06-02 2006-01-19 Canon Inc 暗号化通信方式及びシステム
JP2006186807A (ja) * 2004-12-28 2006-07-13 Hitachi Ltd 通信支援サーバ、通信支援方法、および通信支援システム
JP2006311622A (ja) * 2006-08-09 2006-11-09 Hitachi Ltd 通信支援サーバ、通信支援方法、および通信支援システム
JP2006332903A (ja) * 2005-05-24 2006-12-07 Ntt Docomo Inc 鍵取得機器、鍵提供機器、鍵交換システム及び鍵交換方法
JP2007093693A (ja) * 2005-09-27 2007-04-12 Yokogawa Electric Corp 暗号化通信方法および通信装置
JP2007096751A (ja) * 2005-09-29 2007-04-12 Ntt Data Corp パスワード認証鍵交換装置、システム、方法、及びコンピュータプログラム
JP2007323172A (ja) * 2006-05-30 2007-12-13 Ttt Kk クライアント装置、メールシステム、プログラム及び記録媒体
JP2009514349A (ja) * 2005-10-31 2009-04-02 マイクロソフト コーポレーション 全交換セッションセキュリティ
JP2009514434A (ja) * 2005-12-30 2009-04-02 インテル・コーポレーション 安全なローカルチャネルを確立するためのトラステッド・プラットホームに基づく共有秘密の派生及びwwanインフラストラクチャに基づくエンロールメントの使用
US7539858B2 (en) 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
JP4814339B2 (ja) * 2005-09-29 2011-11-16 クゥアルコム・インコーポレイテッド 制約された暗号キー
JP2012532539A (ja) * 2009-07-09 2012-12-13 ゼットティーイー コーポレイション 無線リソース制御接続再確立の際のセキュリティキー処理方法、装置及びシステム
US8392716B2 (en) 2004-01-21 2013-03-05 Canon Kabushiki Kaisha Communication apparatus, digital signature issuance method and apparatus, and digital signature transmission method
US8646066B2 (en) 2006-10-16 2014-02-04 Canon Kabushiki Kaisha Security protocol control apparatus and security protocol control method
JP2014147039A (ja) * 2013-01-30 2014-08-14 Oki Electric Ind Co Ltd 暗号通信装置、代行サーバ、暗号通信システム、暗号通信装置プログラム及び代行サーバプログラム
JP2016129301A (ja) * 2015-01-09 2016-07-14 日本電信電話株式会社 鍵装置、鍵交換システム、およびプログラム
KR20160134895A (ko) * 2015-05-13 2016-11-24 주식회사 퓨쳐시스템 사물인터넷 환경에서의 보안 통신 장치 및 그 방법

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8392716B2 (en) 2004-01-21 2013-03-05 Canon Kabushiki Kaisha Communication apparatus, digital signature issuance method and apparatus, and digital signature transmission method
US7539858B2 (en) 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
JP2006020291A (ja) * 2004-06-02 2006-01-19 Canon Inc 暗号化通信方式及びシステム
JP2006186807A (ja) * 2004-12-28 2006-07-13 Hitachi Ltd 通信支援サーバ、通信支援方法、および通信支援システム
US8081758B2 (en) 2004-12-28 2011-12-20 Hitachi, Ltd. Communication support server, communication support method, and communication support system
JP2006332903A (ja) * 2005-05-24 2006-12-07 Ntt Docomo Inc 鍵取得機器、鍵提供機器、鍵交換システム及び鍵交換方法
JP2007093693A (ja) * 2005-09-27 2007-04-12 Yokogawa Electric Corp 暗号化通信方法および通信装置
JP2007096751A (ja) * 2005-09-29 2007-04-12 Ntt Data Corp パスワード認証鍵交換装置、システム、方法、及びコンピュータプログラム
JP4814339B2 (ja) * 2005-09-29 2011-11-16 クゥアルコム・インコーポレイテッド 制約された暗号キー
JP4757591B2 (ja) * 2005-09-29 2011-08-24 株式会社エヌ・ティ・ティ・データ パスワード認証鍵交換装置、システム、方法、及びコンピュータプログラム
US8788802B2 (en) 2005-09-29 2014-07-22 Qualcomm Incorporated Constrained cryptographic keys
US8417949B2 (en) 2005-10-31 2013-04-09 Microsoft Corporation Total exchange session security
JP2009514349A (ja) * 2005-10-31 2009-04-02 マイクロソフト コーポレーション 全交換セッションセキュリティ
US8027472B2 (en) 2005-12-30 2011-09-27 Selim Aissi Using a trusted-platform-based shared-secret derivation and WWAN infrastructure-based enrollment to establish a secure local channel
JP4783433B2 (ja) * 2005-12-30 2011-09-28 インテル・コーポレーション 安全なローカルチャネルを確立するためのトラステッド・プラットホームに基づく共有秘密の派生及びwwanインフラストラクチャに基づくエンロールメントの使用
JP2009514434A (ja) * 2005-12-30 2009-04-02 インテル・コーポレーション 安全なローカルチャネルを確立するためのトラステッド・プラットホームに基づく共有秘密の派生及びwwanインフラストラクチャに基づくエンロールメントの使用
US8452012B2 (en) 2005-12-30 2013-05-28 Intel Corporation Using a trusted-platform-based shared-secret derivation and WWAN infrastructure-based enrollment to establish a secure local channel
JP2007323172A (ja) * 2006-05-30 2007-12-13 Ttt Kk クライアント装置、メールシステム、プログラム及び記録媒体
JP4690964B2 (ja) * 2006-08-09 2011-06-01 株式会社日立製作所 通信支援システム
JP2006311622A (ja) * 2006-08-09 2006-11-09 Hitachi Ltd 通信支援サーバ、通信支援方法、および通信支援システム
US8646066B2 (en) 2006-10-16 2014-02-04 Canon Kabushiki Kaisha Security protocol control apparatus and security protocol control method
JP2012532539A (ja) * 2009-07-09 2012-12-13 ゼットティーイー コーポレイション 無線リソース制御接続再確立の際のセキュリティキー処理方法、装置及びシステム
JP2014147039A (ja) * 2013-01-30 2014-08-14 Oki Electric Ind Co Ltd 暗号通信装置、代行サーバ、暗号通信システム、暗号通信装置プログラム及び代行サーバプログラム
JP2016129301A (ja) * 2015-01-09 2016-07-14 日本電信電話株式会社 鍵装置、鍵交換システム、およびプログラム
KR20160134895A (ko) * 2015-05-13 2016-11-24 주식회사 퓨쳐시스템 사물인터넷 환경에서의 보안 통신 장치 및 그 방법
KR101688118B1 (ko) 2015-05-13 2016-12-22 주식회사 퓨쳐시스템 사물인터넷 환경에서의 보안 통신 장치 및 그 방법

Similar Documents

Publication Publication Date Title
US11546309B2 (en) Secure session capability using public-key cryptography without access to the private key
US11438178B2 (en) Secure session capability using public-key cryptography without access to the private key
US11044083B2 (en) Secure session capability using public-key cryptography without access to the private key
JP4959750B2 (ja) トランスコーディング・プロキシでの複数の起点サーバへの動的接続
JP5132222B2 (ja) クライアント装置、サーバ装置及びプログラム
US6643701B1 (en) Method and apparatus for providing secure communication with a relay in a network
US8438628B2 (en) Method and apparatus for split-terminating a secure network connection, with client authentication
JP4591897B2 (ja) 鍵ベースの暗号化
US20160080337A1 (en) Secure session capability using public-key cryptography without access to the private key
US20130219166A1 (en) Hardware based identity manager
JP2003179592A (ja) ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム
US8136144B2 (en) Apparatus and method for controlling communication through firewall, and computer program product
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN110493272B (zh) 使用多重密钥的通信方法和通信系统
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
JP2001251297A (ja) 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法
JP2009206568A (ja) サービス妨害攻撃に耐性を持つssl/tls準拠システム、方法、サーバ、プログラムおよび記録媒体
CN114039793B (zh) 一种加密通信方法、系统及存储介质
CN114386054A (zh) 用于消息存储处理和安全认证的控制方法、系统和介质
CN114244569A (zh) Ssl vpn远程访问方法、系统和计算机设备

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20050301