JP2005057479A - Vpn communication system - Google Patents

Vpn communication system Download PDF

Info

Publication number
JP2005057479A
JP2005057479A JP2003285944A JP2003285944A JP2005057479A JP 2005057479 A JP2005057479 A JP 2005057479A JP 2003285944 A JP2003285944 A JP 2003285944A JP 2003285944 A JP2003285944 A JP 2003285944A JP 2005057479 A JP2005057479 A JP 2005057479A
Authority
JP
Japan
Prior art keywords
encryption key
key
vpn
information
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003285944A
Other languages
Japanese (ja)
Other versions
JP4467923B2 (en
Inventor
Nagaaki Ooyama
永昭 大山
Atsunori Tokawa
淳紀 東川
Shuichiro Yamamoto
修一郎 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2003285944A priority Critical patent/JP4467923B2/en
Priority to KR20067002222A priority patent/KR100754556B1/en
Priority to PCT/JP2004/011415 priority patent/WO2005013552A1/en
Publication of JP2005057479A publication Critical patent/JP2005057479A/en
Application granted granted Critical
Publication of JP4467923B2 publication Critical patent/JP4467923B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To communicate with another client on the same VPN regardless of whether a VPN server is in operation. <P>SOLUTION: In equipment registration processing, e-Key chips 6a to 6f mounted on user terminals 5a to 5f are registered in a chip management center 2. In VPN service downloading processing, application software for VPN service is downloaded from a VPN service providing center 3 and installed in the e-Key chips 6a to 6f. Further, VPN keys are stored in the e-Key chips 6a to 6f in VPN key generation processing or VPN key sharing processing. The user terminals 5a to 5f belonging to the same VPN establish VPN connections by using the VPN keys stored in the e-Key chips 6a to 6f. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、端末が相互に通信可能なネットワーク上に複数のVPN(Virtual Private Network)を構築し、同一VPNに所属するユーザ間の通信のみ行われるVPN通信システムに関する。   The present invention relates to a VPN communication system in which a plurality of VPNs (Virtual Private Networks) are constructed on a network in which terminals can communicate with each other, and only communication between users belonging to the same VPN is performed.

従来から、VPN通信システムは、複数のクライアント、及び通信ネットワークを介してそれらのクライアント間のVPN内の通信を行うための通信暗号鍵を配布する管理サーバを備えている。管理サーバにおいて、クライアントがいずれのVPNに属するかをクライアントが利用しているIP(Internet Protocol)アドレスを利用して管理している。或いは、これを改良したものとして、管理サーバにおいて、ユーザがいずれのVPNに属するかをユーザのユーザIDを利用して管理している(例えば、特許文献1参照。)。   Conventionally, a VPN communication system includes a plurality of clients and a management server that distributes a communication encryption key for performing communication within the VPN between the clients via a communication network. The management server manages which VPN the client belongs to using an IP (Internet Protocol) address used by the client. Alternatively, as an improvement, the management server manages which VPN the user belongs to using the user ID of the user (see, for example, Patent Document 1).

これらにおいては、専用ソフトウエア(VPNサーバソフトウエア)がインストールされ、事前設定が行われた管理サーバ(VPNサーバなど)と、専用ソフトウエア(VPN用ソフトウエア)がインストールされ、かつ専用ソフトウエアの事前設定が行われたクライアント間において、セキュリティを確保した暗号通信プロトコルを実行することにより実現されている。
特開2000−059357号公報 In these, dedicated software (VPN server software) is installed, pre-set management server (VPN server, etc.), dedicated software (VPN software) is installed, and dedicated software This is realized by executing a cryptographic communication protocol that ensures security between clients that have been set in advance.
JP 2000-059357 A

しかし、(1)VPN接続時に管理サーバが動作していない場合、VPN接続を行うことができない。(2)管理サーバ側でも専用ソフトウエアと通信するためのソフトウエアのインストール及び設定を行わなければならない。(3)正当な使用者が他のクライアントでVPNを使用する場合、当該他のクライアントで専用ソフトウエアのインストール及び設定を行わなければならない。(4)規定のVPNサーバに対する専用ソフトウエアの設定を行わなければならないため、すぐに通信相手を他のVPNに属するクライアントに変更することができない。(5)クライアントの認証は別の方式で提供されるため、他のクライアントがそもそも正当な端末であるかを専用ソフトの有無で判断するしかない。   However, (1) If the management server is not operating during VPN connection, VPN connection cannot be performed. (2) The management server must also install and set up software for communicating with the dedicated software. (3) When a legitimate user uses a VPN with another client, the other client must install and set dedicated software. (4) Since dedicated software must be set for the specified VPN server, the communication partner cannot be immediately changed to a client belonging to another VPN. (5) Since client authentication is provided by another method, it is only possible to determine whether another client is a legitimate terminal by the presence of dedicated software.

そこで、本発明は、VPNサーバの動作の有無にかかわらず同一VPNに属する他のクライアントと通信することが可能であるとともに、VPNサーバとクライアントにおけるソフトウエアのインストール及び設定に関する作業負担を軽減することが可能なVPN通信システムに関する。   Therefore, the present invention can communicate with other clients belonging to the same VPN regardless of whether or not the VPN server operates, and reduces the work load related to software installation and setting in the VPN server and the client. The present invention relates to a VPN communication system capable of

請求項1に記載のVPN通信システムは、セキュアチップを搭載した通信端末と、前記セキュアチップを管理するチップ管理センタとを備えたVPN通信システムであって、前記通信端末は、前記セキュアチップの秘密鍵を使用して前記セキュアチップのチップ情報と前記セキュアチップの公開鍵とを含む登録情報に署名する登録情報署名手段と、前記チップ管理センタのチップ管理者の公開鍵を使用して、前記登録情報署名手段により署名の付いた前記登録情報を暗号化登録情報に暗号化する登録情報暗号化手段と、前記登録情報暗号化手段による暗号化により得られた前記暗号化登録情報を前記チップ管理センタへ送信する暗号化登録情報送信手段と、前記チップ管理センタからチップ公開鍵証明書を受信するチップ公開鍵証明書受信手段と、前記チップ公開鍵証明書受信手段により受信された前記チップ公開鍵証明書の正当性を確認するチップ公開鍵証明書確認手段と、前記チップ公開鍵証明書を前記セキュアチップに格納するチップ公開鍵証明書格納手段と、を備えており、前記チップ管理センタは、前記通信端末から前記暗号化登録情報を受信する暗号化登録情報受信手段と、前記チップ管理センタのチップ管理者の秘密鍵を使用して、前記暗号化登録情報受信手段により受信された前記暗号化登録情報を前記署名の付いた前記登録情報に復号化する登録情報復号化手段と、前記登録情報復号化手段による復号化により得られる前記登録情報の署名を、当該登録情報に含まれる前記セキュアチップの公開鍵を使用して検証する登録情報署名検証手段と、前記通信端末に送信する前記セキュアチップの公開鍵を含むチップ公開鍵証明書を作成するチップ公開鍵証明書作成手段と、前記登録情報復号化手段による復号化により得られた前記登録情報をチップデータベースに登録する登録情報登録手段と、前記チップ公開鍵証明書作成手段により作成されたチップ公開鍵証明書を前記通信端末へ送信するチップ公開鍵証明書送信手段と、を備えたことを特徴とする。   The VPN communication system according to claim 1 is a VPN communication system comprising a communication terminal equipped with a secure chip and a chip management center for managing the secure chip, wherein the communication terminal is a secret of the secure chip. Registration information signing means for signing registration information including the chip information of the secure chip and the public key of the secure chip using a key, and the registration using the public key of the chip administrator of the chip management center Registration information encryption means for encrypting the registration information signed by the information signature means into encrypted registration information, and the encrypted registration information obtained by encryption by the registration information encryption means Encryption registration information transmitting means for transmitting to the chip public key certificate receiver for receiving the chip public key certificate from the chip management center A chip public key certificate confirming unit that confirms the validity of the chip public key certificate received by the chip public key certificate receiving unit, and a chip public that stores the chip public key certificate in the secure chip A key certificate storage means, wherein the chip management center receives encrypted registration information receiving means for receiving the encrypted registration information from the communication terminal, and a secret key of the chip administrator of the chip management center. A registration information decrypting means for decrypting the encrypted registration information received by the encrypted registration information receiving means into the registration information with the signature; and decryption by the registration information decrypting means. A registration information signature verification means for verifying a signature of the obtained registration information using a public key of the secure chip included in the registration information; Chip public key certificate creating means for creating a chip public key certificate including the public key of the secure chip, and registration information for registering the registration information obtained by decryption by the registration information decryption means in a chip database And a chip public key certificate transmitting unit configured to transmit the chip public key certificate created by the chip public key certificate creating unit to the communication terminal.

請求項2に記載のVPN通信システムは、セキュアチップを搭載した通信端末と、前記通信端末にVPNサービス用アプリケーションソフトを提供するVPNサービス提供センタとを備えたVPN通信システムであって、前記通信端末は、前記セキュアチップの秘密鍵を使用して、前記VPNサービス提供センタに対してVPNサービス用アプリケーションソフトの提供を要求するサービス提供要求に署名するサービス提供要求署名手段と、前記サービス提供要求署名手段により署名の付いたサービス提供要求と前記セキュアチップに格納されている前記セキュアチップの公開鍵を含むチップ公開鍵証明書とを前記VPNサービス提供センタへ送信するサービス提供要求手段と、前記サービス提供要求受信手段により受信される前記チップ公開鍵証明書を検証するチップ公開鍵証明書検証手段と、前記VPNサービス提供センタから前記VPNサービス用アプリケーションソフトを受信するサービス受信手段と、前記サービス受信手段により受信される前記VPNサービス用アプリケーションソフトを前記セキュアチップにインストールするサービスインストール手段と、を備えており、前記VPNサービス提供センタは、前記通信端末から前記署名の付いたサービス提供要求と前記チップ公開鍵証明書とを受信するサービス提供要求受信手段と、前記サービス提供要求受信手段により受信される前記チップ公開鍵証明書に含まれる前記セキュアチップの公開鍵を使用して、前記サービス提供要求受信手段により受信されるサービス提供要求の署名を検証するサービス提供要求署名検証手段と、前記VPNサービス用アプリケーションソフトを前記通信端末へ転送するサービス転送手段と、を備えたことを特徴とする。   The VPN communication system according to claim 2 is a VPN communication system comprising a communication terminal equipped with a secure chip and a VPN service providing center for providing VPN service application software to the communication terminal, wherein the communication terminal The service provision request signing means for signing a service provision request for requesting the VPN service provision center to provide application software for VPN service using the secret key of the secure chip, and the service provision request signing means And a service provision request means for transmitting a service provision request signed by, and a chip public key certificate including the public key of the secure chip stored in the secure chip to the VPN service provision center, and the service provision request The chip official received by the receiving means Chip public key certificate verification means for verifying a key certificate, service reception means for receiving the VPN service application software from the VPN service providing center, and the VPN service application software received by the service reception means. Service installation means for installing in the secure chip, wherein the VPN service providing center receives the service providing request with the signature and the chip public key certificate received from the communication terminal. And a signature of the service provision request received by the service provision request receiving means using the public key of the secure chip included in the chip public key certificate received by the means and the service provision request receiving means Service provision request signature And testimony means, characterized in that the VPN service application software with a, a service transfer means for transferring to the communication terminal.

請求項3に記載のVPN通信システムは、セキュアチップを搭載した通信端末と、同じVPNに属する前記通信端末間で通信を行うための通信用暗号鍵を生成して前記通信端末へ配送するサービス提供センタとを備えたVPN通信システムであって、前記通信端末は、前記セキュアチップに格納されているVPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに通信用暗号鍵の生成を要求する暗号鍵生成要求に署名する暗号鍵生成要求署名手段と、前記サービス提供センタを管理するサービス提供者の公開鍵を使用して前記暗号鍵生成要求署名手段により署名の付いた前記暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する暗号鍵生成要求暗号化手段と、前記暗号鍵生成要求暗号化手段による暗号化により得られる暗号化暗号鍵生成要求と、前記セキュアチップに格納されているVPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵生成要求送信手段と、前記サービス提供センタから署名の付いた暗号化生成暗号鍵情報を受信する生成暗号鍵情報受信手段と、前記サービス提供者の公開鍵を使用して、前記生成暗号鍵情報受信手段により受信される前記暗号化生成暗号鍵情報の署名を検証する生成暗号鍵情報署名検証手段と、前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化生成暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む生成暗号鍵情報に復号化する生成暗号鍵情報復号化手段と、前記生成暗号鍵情報復号化手段による復号化により得られる生成暗号鍵情報を前記セキュアチップにインストールする生成暗号鍵情報インストール手段と、を備えており、前記サービス提供センタは、前記通信端末から前記暗号化暗号鍵生成要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵生成要求受信手段と、前記暗号鍵生成要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、前記サービス提供者の秘密鍵を使用して、前記暗号鍵生成要求受信手段により受信される前記暗号化暗号鍵生成要求を前記署名の付いた前記暗号鍵生成要求に復号化する暗号鍵生成要求復号化手段と、前記VPNサービス用アプリケーションの公開鍵を使用して、前記暗号鍵生成要求復号化手段による復号化により得られる前記暗号鍵生成要求の署名を検証する生成要求署名検証手段と、前記通信端末に配布する通信用暗号鍵を生成する通信用暗号鍵生成手段と、前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とをグループ情報データベースに登録するグループ情報格納手段と、前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む生成暗号鍵情報を暗号化生成暗号鍵情報に暗号化する生成暗号鍵情報暗号化手段と、前記サービス提供者の秘密鍵を使用して、前記生成暗号鍵暗号化手段による暗号化により得られる前記暗号化生成暗号鍵情報に署名する生成暗号鍵情報署名手段と、前記生成暗号鍵情報署名手段により署名の付いた前記暗号化生成暗号鍵情報を前記通信端末へ送信する生成暗号鍵情報送信手段と、を備えたことを特徴とする。   The VPN communication system according to claim 3 provides a service for generating a communication encryption key for communication between a communication terminal equipped with a secure chip and the communication terminal belonging to the same VPN and delivering the communication encryption key to the communication terminal. A VPN communication system comprising a center, wherein the communication terminal requests the service providing center to generate a communication encryption key using a private key of a VPN service application stored in the secure chip An encryption key generation request signing means for signing an encryption key generation request to be performed, and the encryption key generation request signed by the encryption key generation request signing means using a public key of a service provider managing the service providing center Obtained by encryption by the encryption key generation request encryption unit and the encryption key generation request encryption unit. An encryption key generation request transmitting means for transmitting the public key certificate of the VPN service application stored in the secure chip to the service providing center, and a signature from the service providing center. Generated encryption key information receiving means for receiving the attached encrypted generation encryption key information, and the encrypted generated encryption key information received by the generated encryption key information receiving means using the public key of the service provider. Generated encryption key information for verifying signature, and generated encryption key information including a communication encryption key and an identifier of the communication encryption key using the private key of the VPN service application The generated encryption key information decrypting means for decrypting the generated encryption key information and the generated encryption key information obtained by the decryption by the generated encryption key information decrypting means. Generated encryption key information installation means to be installed in a secure chip, and the service providing center receives the encryption encryption key generation request and the public key certificate of the VPN service application from the communication terminal. Using an encryption key generation request receiving means, a service public key certificate verifying means for verifying a public key certificate of the VPN service application received by the encryption key generation request receiving means, and a secret key of the service provider An encryption key generation request decryption unit for decrypting the encryption key generation request received by the encryption key generation request reception unit into the encryption key generation request with the signature, and the VPN service application The encryption key obtained by decryption by the encryption key generation request decryption means using the public key of A generation request signature verification unit that verifies a signature of a key generation request; a communication encryption key generation unit that generates a communication encryption key to be distributed to the communication terminal; and the communication generated by the communication encryption key generation unit The communication generated by the communication encryption key generation means using a group information storage means for registering an encryption key and an identifier of the communication encryption key in a group information database, and a public key of the VPN service application Using the generated encryption key information encryption means for encrypting the generated encryption key information including the encryption key for encryption and the identifier of the communication encryption key into the encrypted generation encryption key information, and the secret key of the service provider, The generated encryption key information signing means for signing the encrypted generated encryption key information obtained by encryption by the generated encryption key encryption means, and the generated encryption key information signing means And wherein the cryptographically generated encryption key information with be equipped with a generating encryption key information transmitting means for transmitting to the communication terminal.

請求項4に記載のVPN通信システムは、セキュアチップを搭載した通信端末と、同じVPNに属する前記通信端末間で通信を行うための通信用暗号鍵を管理し、前記通信端末へ配送するサービス提供センタとを備えたVPN通信システムであって、前記通信端末は、前記セキュアチップに格納されているVPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに通信用暗号鍵の共有を要求する暗号鍵共有要求に署名する暗号鍵共有要求署名手段と、前記サービス提供センタを管理するサービス提供者の公開鍵を使用して前記暗号鍵共有要求署名手段により署名の付いた前記暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する暗号鍵共有要求暗号化手段と、前記暗号鍵共有要求暗号化手段による暗号化により得られる暗号化暗号鍵共有要求と、前記セキュアチップに格納されているVPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵共有要求送信手段と、前記サービス提供センタから署名の付いた暗号化共有暗号鍵情報を受信する共有暗号鍵情報受信手段と、前記サービス提供者の公開鍵を使用して、前記共有暗号鍵情報受信手段により受信される前記暗号化共有暗号鍵情報の署名を検証する共有暗号鍵情報署名検証手段と、前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化共有暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む共有暗号鍵情報に復号化する共有暗号鍵情報復号化手段と、前記共有暗号鍵情報復号化手段による復号化により得られる共有暗号鍵情報を前記セキュアチップにインストールする共有暗号鍵情報インストール手段と、を備えており、前記サービス提供センタは、前記通信端末から前記暗号化暗号鍵共有要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵共有要求受信手段と、前記暗号鍵共有要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、前記サービス提供者の公開鍵を使用して、前記暗号鍵共有要求受信手段により受信される前記暗号化暗号鍵共有要求を前記署名の付いた前記暗号鍵共有要求に復号化する暗号鍵共有要求復号化手段と、前記サービス提供者の秘密鍵を使用して、前記暗号鍵共有要求復号化手段による復号化により得られる前記暗号鍵共有要求の署名を検証する共有要求署名検証手段と、前記通信端末に配布する通信用暗号鍵を検索する通信用暗号鍵検索手段と、前記ユーザ端末のユーザ情報をグループ情報データベースに追加登録するグループ情報追加登録手段と、前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵検索手段により検索される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する共有暗号鍵情報暗号化手段と、前記サービス提供者の秘密鍵を使用して、前記共有暗号鍵暗号化手段による暗号化により得られる前記暗号化共有暗号鍵情報に署名する共有暗号鍵情報署名手段と、前記共有暗号鍵情報署名手段により署名の付いた前記暗号化共有暗号鍵情報を前記通信端末へ送信する共有暗号鍵情報送信手段と、を備えたことを特徴とする。   The VPN communication system according to claim 4 provides a service for managing a communication encryption key for communication between a communication terminal having a secure chip and the communication terminal belonging to the same VPN, and delivering the same to the communication terminal. A VPN communication system including a center, wherein the communication terminal requests the service providing center to share a communication encryption key using a secret key of a VPN service application stored in the secure chip An encryption key sharing request signing means for signing an encryption key sharing request to be performed, and the encryption key sharing request signed by the encryption key sharing request signing means using a public key of a service provider managing the service providing center Obtained by encryption by the encryption key sharing request encryption unit and the encryption key sharing request encryption unit. An encryption key sharing request transmitting means for transmitting to the service providing center an encryption key sharing request and a public key certificate of the VPN service application stored in the secure chip, and a signature from the service providing center. Shared encryption key information receiving means for receiving the attached encrypted shared encryption key information, and the encrypted shared encryption key information received by the shared encryption key information receiving means using the public key of the service provider. Shared encryption key information for verifying a signature, and shared encryption key information including a communication encryption key and an identifier of the communication encryption key using the private key of the VPN service application The shared encryption key information decrypting means for decrypting the encrypted information, and the shared encryption key information obtained by the decryption by the shared encryption key information decrypting means. Shared encryption key information installation means installed in the secure chip, and the service providing center receives the encrypted encryption key sharing request and the public key certificate of the VPN service application from the communication terminal. Using an encryption key sharing request receiving means, a service public key certificate verifying means for verifying a public key certificate of the VPN service application received by the encryption key sharing request receiving means, and using the public key of the service provider An encryption key sharing request decrypting means for decrypting the encrypted encryption key sharing request received by the encryption key sharing request receiving means into the encryption key sharing request with the signature; and Using the secret key, the signature of the encryption key sharing request obtained by decryption by the encryption key sharing request decrypting means is A shared request signature verification means for verifying, a communication encryption key search means for searching for a communication encryption key distributed to the communication terminal, and a group information additional registration means for additionally registering user information of the user terminal in a group information database; The shared encryption key information including the communication encryption key searched by the communication encryption key search means and the identifier of the communication encryption key is encrypted using the public key of the VPN service application. Signing the encrypted shared encryption key information obtained by encryption by the shared encryption key encryption means using the shared encryption key information encryption means for encrypting the key information and the secret key of the service provider Shared encryption key information signing means, and a shared encryption key for transmitting the encrypted shared encryption key information signed by the shared encryption key information signing means to the communication terminal Characterized by comprising a multi-address transmission means.

請求項5に記載のVPN通信システムは、セキュアチップを搭載した通信端末を備えたVPN通信システムにおいて、前記通信端末は、前記セキュアチップに格納されている通信用暗号鍵を使用して同じVPNに属する他の通信端末と暗号化通信を行うことを特徴とする。   The VPN communication system according to claim 5 is a VPN communication system comprising a communication terminal equipped with a secure chip, wherein the communication terminal uses the communication encryption key stored in the secure chip to make the same VPN. It is characterized by performing encrypted communication with other communication terminals to which it belongs.

本発明によれば、VPNサーバの動作の有無にかかわらず同一VPNに属する他のクライアントと通信することが可能であるとともに、VPNサーバとクライアントにおけるソフトウエアのインストール及び設定に関する作業負担を軽減することができる。   According to the present invention, it is possible to communicate with other clients belonging to the same VPN regardless of the operation of the VPN server, and to reduce the work load related to software installation and setting in the VPN server and the client. Can do.

以下の本発明の好適な実施の形態について図面を参照しつつ説明する。
図1は、本発明の実施の形態におけるVPN通信システムの概要を示す図である。VPN通信システム1は、チップ情報データベースを有するチップ管理センタ2、ユーザ情報データベース(例えば、ユーザが事前に自らのユーザ情報を登録している。)とグループ情報データベースとを有するVPNサービス提供センタ3、本人確認サービスセンタ4、及びe−Keyチップ(セキュアチップに相当する。)6a〜6fを搭載したユーザ端末(通信端末に相当する。)5a〜5fを備えており、夫々、インターネットに接続されている。VPN通信システム1において、機器登録処理(e−Keyチップをチップ管理センタに登録する処理)、VPNサービスダウンロード処理(VPNサービス用アプリケーションソフトを通信端末にダウンロードする処理)、VPN鍵生成処理(新たにVPN鍵を生成する処理)、VPN鍵共有処理(VPN鍵を複数の通信端末で共有する処理)、VPN構築処理(同じVPNグループに属する通信端末間でVPN接続を構築する処理)、VPN鍵無効処理(ユーザ端末においてVPN鍵を無効にする処理)が実行される。以下において各種処理を順に説明する。尚、通信端末として、パーソナルコンピュータ、携帯電話機、携帯情報端末などが挙げられる。 DESCRIPTION OF EMBODIMENTS Preferred embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing an outline of a VPN communication system according to an embodiment of the present invention. The VPN communication system 1 includes a chip management center 2 having a chip information database, a VPN service providing center 3 having a user information database (for example, a user registers his / her user information in advance) and a group information database. User identification service center 4 and user terminals (corresponding to communication terminals) 5a to 5f equipped with e-Key chips (corresponding to secure chips) 6a to 6f are provided, each connected to the Internet. Yes. In the VPN communication system 1, device registration processing (processing for registering an e-Key chip in the chip management center), VPN service download processing (processing for downloading VPN service application software to a communication terminal), VPN key generation processing (newly) VPN key generation processing), VPN key sharing processing (processing for sharing a VPN key among a plurality of communication terminals), VPN construction processing (processing for establishing a VPN connection between communication terminals belonging to the same VPN group), VPN key invalidation Processing (processing for invalidating the VPN key in the user terminal) is executed. Hereinafter, various processes will be described in order. In addition, a personal computer, a mobile phone, a portable information terminal, etc. are mentioned as a communication terminal.

《機器登録処理》
図2は、VPN通信システムの機器登録処理に関連する構成を示す図である。尚、機器登録処理を開始する前のe−Keyチップ6a〜6fには、e−Keyチップ6a〜6fの公開鍵(以下、チップ公開鍵という。)及び秘密鍵(以下、チップ秘密鍵という。)、並びにチップ管理センタ2のチップ管理者の公開鍵(以下、チップ管理者公開鍵という。)が少なくとも格納されている。
ユーザ端末5a〜5fは、図2に示すように、カード送受信手段51a、送受信手段(暗号化登録情報送信手段、チップ公開鍵証明書受信手段)51b、登録情報署名手段51c、登録情報暗号化手段51d、チップ公開鍵証明書確認手段51e、及びチップ公開鍵証明書格納手段51fを備えている。カード送受信手段51aは、暗号化登録情報を本人認証用ICカード7へ送信するとともに、本人認証用ICカード7から本人署名の付いた暗号化登録情報を受信する。送受信手段51bは、チップ管理センタ2へ本人署名の付いた暗号化登録情報を送信するとともに、チップ管理センタ2からチップ公開鍵証明書(チップ公開鍵が正しいことを証明する証明書)を受信する。 <Device registration processing>
FIG. 2 is a diagram showing a configuration related to the device registration process of the VPN communication system. Note that the e-Key chips 6a to 6f before the device registration process are started include the public key (hereinafter referred to as chip public key) and the private key (hereinafter referred to as chip private key) of the e-Key chips 6a to 6f. ) And a chip manager public key of the chip management center 2 (hereinafter referred to as a chip manager public key).
As shown in FIG. 2, the user terminals 5a to 5f include a card transmission / reception unit 51a, transmission / reception unit (encrypted registration information transmission unit, chip public key certificate reception unit) 51b, registration information signature unit 51c, registration information encryption unit. 51d, chip public key certificate confirmation means 51e, and chip public key certificate storage means 51f. The card transmitting / receiving means 51 a transmits the encrypted registration information to the personal authentication IC card 7 and receives the encrypted registration information with the personal signature from the personal authentication IC card 7. The transmission / reception means 51b transmits the encrypted registration information with the personal signature to the chip management center 2 and receives a chip public key certificate (a certificate proving that the chip public key is correct) from the chip management center 2. .

登録情報署名手段51cは、e−Keyチップ6a〜6fに格納されているチップ秘密鍵を使用して、チップ管理センタ2に登録する登録情報(e−Keyチップ6a〜6fのチップ情報とe−Keyチップ6a〜6fに格納されているチップ公開鍵)に署名する。登録情報暗号化手段51dは、e−Keyチップ6a〜6fに格納されているチップ管理者公開鍵を使用して、登録情報署名手段51cにより署名の付いた登録情報を暗号化登録情報に暗号化する。   The registration information signing means 51c uses the chip secret key stored in the e-Key chips 6a to 6f to register the registration information (chip information of the e-Key chips 6a to 6f and the e-key). The chip public key stored in the key chips 6a to 6f is signed. The registration information encryption unit 51d encrypts the registration information signed by the registration information signature unit 51c into encrypted registration information using the chip administrator public key stored in the e-Key chips 6a to 6f. To do.

チップ公開鍵証明書確認手段51eは、送受信手段51bにより受信されるチップ公開鍵証明書の正当性を確認する。この確認は、e−Keyチップ6a〜6fに格納されているチップ管理者公開鍵を使用して、チップ公開鍵証明書に含まれる署名(チップ管理者の秘密鍵(以下、チップ管理者秘密鍵という。)を使用して作られる署名)を検証することにより行われる。チップ公開鍵証明書格納手段51fは、チップ公開鍵証明書確認手段51eにより正当であるとされたチップ公開鍵証明書をe−Keyチップ6a〜6fに格納する。   The chip public key certificate confirmation unit 51e confirms the validity of the chip public key certificate received by the transmission / reception unit 51b. This confirmation is made by using the chip manager public key stored in the e-Key chips 6a to 6f and using the signature (chip manager private key (hereinafter referred to as chip manager private key) included in the chip public key certificate. This is done by verifying the signature) that is created using. The chip public key certificate storage unit 51f stores the chip public key certificate, which has been validated by the chip public key certificate confirmation unit 51e, in the e-Key chips 6a to 6f.

チップ管理センタ2は、図2に示すように、送受信手段(暗号化登録情報受信手段、チップ公開鍵証明書送信手段)21a、登録情報復号化手段21b、登録情報署名検証手段21c、チップ公開鍵証明書作成手段21d、及び登録情報登録手段21eを備えている。送受信手段21aは、ユーザ端末5a〜5fから本人署名の付いた暗号化登録情報を受信するとともに、ユーザ端末5a〜5fへチップ公開鍵証明書を送信する。また、本人確認サービスセンタ4へ本人確認要求を送信するとともに、本人確認サービスセンタ4から本人確認結果を受信する。   As shown in FIG. 2, the chip management center 2 includes transmission / reception means (encrypted registration information reception means, chip public key certificate transmission means) 21a, registration information decryption means 21b, registration information signature verification means 21c, chip public key. Certificate creation means 21d and registration information registration means 21e are provided. The transmission / reception means 21a receives the encrypted registration information with the principal signature from the user terminals 5a to 5f and transmits the chip public key certificate to the user terminals 5a to 5f. In addition, a personal identification request is transmitted to the personal identification service center 4 and a personal identification result is received from the personal identification service center 4.

登録情報復号化手段21bは、チップ管理者秘密鍵を使用して、送受信手段21aにより受信される暗号化登録情報を署名の付いた登録情報に復号化する。登録情報署名検証手段21cは、登録情報復号化手段21bによる復号化により得られる署名の付いた登録情報に含まれるチップ公開鍵を使用して登録情報の署名を検証する。チップ公開鍵証明書作成手段21dは、登録情報署名検証手段21cにより署名が正しいと判断されると、登録情報復号化手段21bによる復号化により得られる登録情報に含まれるチップ公開鍵などを含むチップ公開鍵証明書を作成する。但し、チップ公開鍵証明書には、チップ管理者秘密鍵を使用して作られる署名が含まれる。登録情報登録手段21eは、登録情報署名検証手段21cにより署名が正しいと判断されると、登録情報復号化手段21bによる復号化により得られる登録情報(チップ情報とチップ公開鍵)をチップ情報データベースに格納する。   The registration information decryption means 21b decrypts the encrypted registration information received by the transmission / reception means 21a into the signed registration information using the chip manager private key. The registration information signature verification unit 21c verifies the signature of the registration information using the chip public key included in the registration information with the signature obtained by decryption by the registration information decryption unit 21b. When the registration information signature verification unit 21c determines that the signature is correct, the chip public key certificate creation unit 21d includes a chip public key included in the registration information obtained by decryption by the registration information decryption unit 21b. Create a public key certificate. However, the chip public key certificate includes a signature created using the chip manager private key. When the registration information signature verification unit 21c determines that the signature is correct, the registration information registration unit 21e stores the registration information (chip information and chip public key) obtained by decryption by the registration information decryption unit 21b in the chip information database. Store.

図3は、VPN通信システムにおける機器登録処理の手順を示す図である。
ユーザ端末5a〜5fにおいて、登録情報署名手段51cは、チップ秘密鍵を使用して、e−Keyチップ6a〜6fの登録情報(e−Keyチップ6a〜6fのチップ情報とe−Keyチップ6a〜6fに格納されているチップ公開鍵)に署名する(S101)。続いて、登録情報暗号化手段51dは、チップ管理者公開鍵を使用してS101において得られた署名の付いた登録情報を暗号化登録情報に暗号化する(S102)。そして、カード送受信手段51aからS102において得られた暗号化登録情報が本人認証用ICカード7へ送信される(S103)。 FIG. 3 is a diagram showing a procedure of device registration processing in the VPN communication system.
In the user terminals 5a to 5f, the registration information signing means 51c uses the chip secret key to register the registration information of the e-Key chips 6a to 6f (the chip information of the e-Key chips 6a to 6f and the e-Key chip 6a to 6f). The chip public key stored in 6f is signed (S101). Subsequently, the registration information encryption unit 51d encrypts the registration information with the signature obtained in S101 into the encrypted registration information using the chip administrator public key (S102). Then, the encrypted registration information obtained in S102 from the card transmitting / receiving means 51a is transmitted to the personal authentication IC card 7 (S103).

本人認証用ICカード7において、ユーザ端末5a〜5fから暗号化登録情報を受信すると、ICカード秘密鍵を使用して暗号化登録情報に署名する(S104)。そして、S104において得られた本人署名の付いた暗号化登録情報がユーザ端末5a〜5fへ送信される(S105)。ユーザ端末5a〜5fにおいて、カード送受信手段51aにより本人署名の付いた暗号化登録情報が受信されると、送受信手段51bによって、本人署名の付いた暗号化登録情報がユーザ端末5a〜5fからチップ管理センタ2へ送信される(S106)。   When the encrypted registration information is received from the user terminals 5a to 5f in the personal authentication IC card 7, the encrypted registration information is signed using the IC card private key (S104). Then, the encrypted registration information with the personal signature obtained in S104 is transmitted to the user terminals 5a to 5f (S105). In the user terminals 5a to 5f, when the encrypted registration information with the principal signature is received by the card transmission / reception means 51a, the encrypted registration information with the principal signature is chip-managed by the transmission / reception means 51b from the user terminals 5a to 5f. It is transmitted to the center 2 (S106).

チップ管理センタ2において、送受信手段21aにより本人署名の付いた暗号化登録情報が受信されると、送受信手段21aによって本人署名の付いた暗号化登録情報がICカード本人確認サービスセンタ4へ送信され、ICカード本人確認サービスセンタ4に対して本人確認要求を行う(S107)。本人確認を求められたICカード本人確認サービスセンタ4において、ICカード公開鍵を使用して本人署名(S104の署名)を検証して本人確認を行い、本人確認結果がチップ管理センタ2へ送信される(S108)。   In the chip management center 2, when the encrypted registration information with the personal signature is received by the transmission / reception means 21a, the encrypted registration information with the personal signature is transmitted to the IC card personal identification service center 4 by the transmission / reception means 21a. An identity confirmation request is made to the IC card identity confirmation service center 4 (S107). The IC card identity verification service center 4 requested to confirm the identity verifies the identity signature (signature of S104) by using the IC card public key to confirm the identity, and the identity confirmation result is transmitted to the chip management center 2. (S108).

チップ管理センタ2において、本人であると通知されると、登録情報復号化手段21bは、チップ管理者秘密鍵を使用して、送受信手段21aによって受信された暗号化登録情報を署名の付いた登録情報に復号化する(S109)。続いて、登録情報署名検証手段21cは、S109において得られた署名の付いた登録情報に含まれるチップ公開鍵を使用して登録情報の署名(S101の署名)を検証する(S110)。そして、署名が正しいと判断されると、チップ公開鍵証明書作成手段21dは、S109において得られた登録情報に含まれるチップ公開鍵などを含むチップ公開鍵証明書を作成する(S111)。続いて、登録情報登録手段21eは、S109において得られた登録情報に含まれるチップ情報とチップ公開鍵とをチップ情報データベースに格納する(S112)。そして、送受信手段21aからS111において作成されたチップ公開鍵証明書がユーザ端末5a〜5fへ送信される(S113)。   When the chip management center 2 is notified of the identity, the registration information decryption unit 21b uses the chip manager private key to register the encrypted registration information received by the transmission / reception unit 21a with a signature. The information is decrypted (S109). Subsequently, the registration information signature verification unit 21c verifies the registration information signature (S101 signature) using the chip public key included in the registration information with the signature obtained in S109 (S110). When it is determined that the signature is correct, the chip public key certificate creating unit 21d creates a chip public key certificate including the chip public key included in the registration information obtained in S109 (S111). Subsequently, the registration information registration unit 21e stores the chip information and the chip public key included in the registration information obtained in S109 in the chip information database (S112). Then, the chip public key certificate created in S111 is transmitted from the transmission / reception means 21a to the user terminals 5a to 5f (S113).

ユーザ端末5a〜5fにおいて、送受信手段51bによりチップ公開鍵証明書が受信されると、チップ公開鍵証明書確認手段51eは、チップ公開鍵証明書の正当性を確認する(S114)。そして、チップ公開鍵証明書が正当であると確認されると、チップ公開鍵証明書格納手段51fは、送受信手段51bにより受信されたチップ公開鍵証明書をe−Keyチップ6a〜6fに格納する(S115)。   In the user terminals 5a to 5f, when the chip public key certificate is received by the transmission / reception means 51b, the chip public key certificate confirmation means 51e confirms the validity of the chip public key certificate (S114). When it is confirmed that the chip public key certificate is valid, the chip public key certificate storage unit 51f stores the chip public key certificate received by the transmission / reception unit 51b in the e-Key chips 6a to 6f. (S115).

尚、機器登録処理においては、本人認証用ICカードを使用して本人確認を行っている場合であるが、これに限らず、ユーザ端末5a〜5fにおいてユーザが認証情報を直接入力し、それを登録情報とともにチップ管理センタ2へ送信するようにしてもよい。また、セキュリティを問題としなければ、本人認証を行う処理(S104、S107、S108)を除いて、送受信手段51bから暗号化登録情報を送信するようにしてもよい。また、チップ情報データベースには登録処理を行ったユーザの情報を一緒に登録してもよい。   In the device registration process, the identity verification IC card is used to confirm the identity. However, the present invention is not limited to this, and the user directly inputs authentication information in the user terminals 5a to 5f. You may make it transmit to the chip | tip management center 2 with registration information. If security is not a problem, the encrypted registration information may be transmitted from the transmission / reception means 51b except for the process of performing personal authentication (S104, S107, S108). In addition, the information of the user who performed the registration process may be registered together in the chip information database.

《VPNサービスダウンロード処理》
図4は、VPN通信システムのVPNサービスダウンロード処理に関連する構成を示す図である。尚、VPNサービスダウンロード処理を開始する前のe−Keyチップ6a〜6fには、チップ公開鍵及びチップ秘密鍵、チップ管理者公開鍵、並びにチップ公開鍵証明書(機器登録処理により格納されたもの)が少なくとも格納されている。 << VPN service download process >>
FIG. 4 is a diagram showing a configuration related to VPN service download processing of the VPN communication system. The e-Key chips 6a to 6f before starting the VPN service download process include a chip public key and a chip private key, a chip manager public key, and a chip public key certificate (stored by the device registration process). ) Is stored at least.

ユーザ端末5a〜5fは、図4に示すように、送受信手段(サービス提供手段、サービス受信手段)52a、サービス提供要求署名手段52b、サービスインストール手段52c、及びパーソナライズ手段52dを備えている。送受信手段52aは、署名の付いたサービスダウンロード要求(サービス提供要求に相当する。)とe−Keyチップ6a〜6fに格納されているチップ公開鍵を含むチップ公開鍵証明書とをVPNサービス提供センタ3へ送信するとともに、VPNサービス提供センタ3からVPNサービス用アプリケーションソフト(e−Keyチップ6a〜6fにメモリを確保するなどを行うためのソフト)を受信する。サービス提供要求署名手段52bは、e−Keyチップ6a〜6fに格納されているチップ秘密鍵を使用して、VPNサービス用アプリケーションソフトのダウンロードを要求するサービスダウンロード要求に署名する。サービスインストール手段52cは、送受信手段52aによって受信されるVPNサービス用アプリケーションソフトをe−Keyチップ6a〜6fにインストールする。パーソナライズ手段52dは、チップ公開鍵、サービス提供者秘密鍵を使用して暗号化したパーソナライズデータでパーソナライズする(サービスアプリケーション上の鍵を生成する)。   As shown in FIG. 4, the user terminals 5a to 5f include transmission / reception means (service provision means, service reception means) 52a, service provision request signing means 52b, service installation means 52c, and personalization means 52d. The transmission / reception unit 52a sends a signed service download request (corresponding to a service provision request) and a chip public key certificate including a chip public key stored in the e-Key chips 6a to 6f to the VPN service provision center. 3, and VPN service application software 3 (software for securing memory in the e-Key chips 6 a to 6 f) is received from the VPN service providing center 3. The service provision request signing means 52b uses the chip secret key stored in the e-Key chips 6a to 6f to sign a service download request for requesting downloading of VPN service application software. The service installation unit 52c installs VPN service application software received by the transmission / reception unit 52a in the e-Key chips 6a to 6f. The personalization means 52d personalizes with personalized data encrypted using the chip public key and the service provider private key (generates a key on the service application).

VPNサービス提供センタ3は、図4に示すように、送受信手段32a、サービス提供要求署名検証手段32b、及び転送可否判断手段32cを備えている。
送受信手段32aは、ユーザ端末5a〜5fから署名の付いたサービスダウンロード要求とチップ公開鍵証明書を受信するとともに、VPNサービス用アプリケーションソフトをユーザ端末5a〜5fへ転送する。また、チップ管理センタ2へダウンロード許可要求を送信するとともに、チップ管理センタ2からダウンロードの許否の判断結果を受信する。サービス提供要求署名検証手段32bは、送受信手段32aによって受信されたチップ公開鍵証明書に含まれるチップ公開鍵を使用して、送受信手段32aによって受信されたサービスダウンロード要求の署名を検証する。転送可否判断手段32cは、ユーザのこれまでの状況などを考慮して、VPNサービス用アプリケーションソフトのユーザ端末5a〜5fへの転送の可否を判断する。 As shown in FIG. 4, the VPN service providing center 3 includes transmission / reception means 32a, service provision request signature verification means 32b, and transfer availability determination means 32c.
The transmission / reception means 32a receives the signed service download request and the chip public key certificate from the user terminals 5a to 5f, and transfers the VPN service application software to the user terminals 5a to 5f. In addition, a download permission request is transmitted to the chip management center 2, and a determination result of whether download is permitted or not is received from the chip management center 2. The service provision request signature verification unit 32b verifies the signature of the service download request received by the transmission / reception unit 32a using the chip public key included in the chip public key certificate received by the transmission / reception unit 32a. The transfer enable / disable determining unit 32c determines whether or not the VPN service application software can be transferred to the user terminals 5a to 5f in consideration of the user's previous situation.

図5は、VPN通信システムにおけるVPNサービスダウンロード処理の手順を示す図である。
ユーザ端末5a〜5fにおいて、サービス提供要求署名手段52bは、チップ秘密鍵を使用してサービスダウンロード要求に署名する(S201)。そして、送受信手段52aからS201において署名の付いたサービスダウンロード要求とチップ公開鍵証明書とがVPNサービス提供センタ3へ送信される(S202)。 FIG. 5 is a diagram showing a procedure of VPN service download processing in the VPN communication system.
In the user terminals 5a to 5f, the service provision request signing unit 52b signs the service download request using the chip secret key (S201). Then, the service download request and the chip public key certificate signed in S201 are transmitted from the transmission / reception means 52a to the VPN service providing center 3 (S202).

VPNサービス提供センタ3において、送受信手段32aにより署名の付いたサービスダウンロード要求とチップ公開鍵証明書とが受信されると、サービス提供要求署名検証手段32bは、チップ公開鍵証明書に含まれるチップ公開鍵を使用して、サービスダウンロード要求の署名(S201の署名)を検証する(S203)。そして、署名が正しいと判断されると、送受信手段32aからチップ管理センタ2へダウンロード許可要求を送信する(S204)。チップ管理センタ2において、VPNサービス提供センタ3からダウンロード許可要求があると、チップ情報データベースにサービスダウンロード要求を行ったユーザ端末5a〜5fのe−Keyチップ6a〜6fが登録されているかに基づいて、VPNサービス用アプリケーションソフトのダウンロードの可否を判断し、VPNサービス提供センタ3へダウンロードの可否を通知する(S205)。   When the VPN service providing center 3 receives the signed service download request and the chip public key certificate by the transmitting / receiving unit 32a, the service providing request signature verifying unit 32b reads the chip public key included in the chip public key certificate. The signature of the service download request (S201 signature) is verified using the key (S203). When it is determined that the signature is correct, a download permission request is transmitted from the transmission / reception means 32a to the chip management center 2 (S204). In the chip management center 2, when there is a download permission request from the VPN service providing center 3, based on whether or not the e-Key chips 6a to 6f of the user terminals 5a to 5f that have made the service download request are registered in the chip information database. Then, it is determined whether or not the VPN service application software can be downloaded, and the VPN service providing center 3 is notified of whether or not download is possible (S205).

VPNサービス提供センタ3において、チップ管理センタ2からダウンロード許可の通知があると、転送可否判断手段32cは、VPNサービス用アプリケーションソフトのダウンロードの可否を判断する(S206)。そして、ダウンロードが許可されると、送受信手段32aからユーザ端末5a〜5fへ暗号通信によりVPNサービス用アプリケーションソフトが転送される(S207)。   In the VPN service providing center 3, when there is a download permission notification from the chip management center 2, the transfer permission determination unit 32c determines whether the VPN service application software can be downloaded (S206). When the download is permitted, the VPN service application software is transferred from the transmission / reception means 32a to the user terminals 5a to 5f by encrypted communication (S207).

ユーザ端末5a〜5fにおいて、送受信手段52aによりVPNサービス用アプリケーションソフトが受信されると、サービスインストール手段52cは、VPNサービス用アプリケーションソフトをe−Keyチップ6a〜6fにインストールする(S208)。続いて、パーソナライズ手段52dは、チップ公開鍵、サービス提供者秘密鍵を使用して暗号化したパーソナライズデータでパーソナライズする(S209)。尚、VPNサービスダウンロード処理をS209の処理を含まないように作成してもよい。また、アプリケーションソフト自体が正しいかどうかをインストール前に検証してもよい。さらに、インストール、パーソナライズした結果をVPNサービス提供センタに通知してもよい。   In the user terminals 5a to 5f, when the VPN service application software is received by the transmission / reception means 52a, the service installation means 52c installs the VPN service application software in the e-Key chips 6a to 6f (S208). Subsequently, the personalizing means 52d personalizes the personalized data encrypted using the chip public key and the service provider private key (S209). The VPN service download process may be created so as not to include the process of S209. Further, it may be verified before installation whether or not the application software itself is correct. Further, the result of installation and personalization may be notified to the VPN service providing center.

《VPN鍵生成処理》
図6は、VPN通信システムのVPN鍵生成処理に関連する構成を示す図である。尚、VPN鍵生成処理を開始する前のe−Keyチップ6a〜6fには、チップ公開鍵及びチップ秘密鍵、チップ管理者公開鍵、サービスAP公開鍵及びサービスAP秘密鍵、VPNサービスセンタの管理者を管理するVPNサービス提供者の公開鍵(サービス提供者公開鍵)、サービスAP公開鍵証明書が少なくとも格納されている。但し、サービスAP公開鍵、サービスAP秘密鍵、サービス提供者公開鍵、サービスAP公開鍵証明書は、VPNサービスダウンロード処理の後、適宜、e−Keyチップ6a〜6fに格納される。また、サービスAP公開鍵証明書はサービスAP公開鍵を含むとともに、VPNサービス提供者の秘密鍵若しくはVPNサービス提供者が認めた第三者の秘密鍵(以下、サービス提供者秘密鍵という。)で作られた署名がある。 << VPN key generation process >>
FIG. 6 is a diagram showing a configuration related to VPN key generation processing of the VPN communication system. The e-Key chips 6a to 6f before starting the VPN key generation process include a chip public key and a chip private key, a chip manager public key, a service AP public key and a service AP private key, and a VPN service center management. The public key (service provider public key) of the VPN service provider that manages the service provider and the service AP public key certificate are stored. However, the service AP public key, service AP private key, service provider public key, and service AP public key certificate are appropriately stored in the e-Key chips 6a to 6f after the VPN service download process. The service AP public key certificate includes a service AP public key and is a VPN service provider private key or a third party private key recognized by the VPN service provider (hereinafter referred to as a service provider private key). There is a signature made.

ユーザ端末5a〜5fは、図6に示すように、送受信手段(暗号鍵生成要求送信手段、生成暗号鍵情報受信手段)53a、暗号鍵生成要求署名手段53b、暗号鍵生成要求暗号化手段53c、生成暗号鍵情報署名検証手段53d、生成暗号鍵情報復号化手段53e、及び生成暗号鍵情報インストール手段53fを備えている。送受信手段53aは、VPNサービス提供センタ3へ暗号化暗号鍵生成要求、e−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書、及び使用許可条件(有効期限、使用回数など)を送信するとともに、VPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化生成暗号鍵情報を受信する。暗号鍵生成要求署名手段53bは、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して、VPNサービス提供センタ3に対してVPN鍵(通信用暗号鍵に相当する。)の生成を要求する暗号鍵生成要求に署名する。暗号鍵生成要求暗号化手段53cは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、暗号鍵生成要求署名手段53bにより署名の付いた暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する。   As shown in FIG. 6, the user terminals 5 a to 5 f include transmission / reception means (encryption key generation request transmission means, generated encryption key information reception means) 53 a, encryption key generation request signature means 53 b, encryption key generation request encryption means 53 c, A generation encryption key information signature verification unit 53d, a generation encryption key information decryption unit 53e, and a generation encryption key information installation unit 53f are provided. The transmission / reception means 53a sends the encryption service key generation request to the VPN service providing center 3, the service AP public key certificate stored in the e-Key chips 6a to 6f, and use permission conditions (expiration date, number of times used, etc.). At the same time as transmission, it receives encrypted generated encryption key information with a signature including a VPN key, an identifier (key ID) of the VPN key, expiration date information, and the like. The encryption key generation request signing means 53b uses the service AP private key stored in the e-Key chips 6a to 6f to the VPN service providing center 3 to provide a VPN key (corresponding to a communication encryption key). Sign a cryptographic key generation request that requests generation of. The encryption key generation request encryption unit 53c encrypts the encryption key generation request signed by the encryption key generation request signing unit 53b using the service provider public key stored in the e-Key chips 6a to 6f. Encrypt in the encryption key generation request.

生成暗号鍵情報署名検証手段53dは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、送受信手段53aにより受信される暗号化生成暗号鍵情報の署名を検証する。生成暗号鍵情報復号化手段53eは、生成暗号鍵情報署名検証手段53dにより署名が正しいと判断されると、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して、送受信手段53aにより受信される暗号化生成暗号鍵情報をVPN鍵、鍵ID、有効期限情報などを含む生成暗号鍵情報に復号化する。生成暗号鍵情報インストール手段53fは、生成暗号鍵情報復号化手段53eによる復号化により得られる生成暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6a〜6fにインストールする。   The generated encryption key information signature verification unit 53d verifies the signature of the encrypted generated encryption key information received by the transmission / reception unit 53a using the service provider public key stored in the e-Key chips 6a to 6f. . When the generated cryptographic key information signature verifying unit 53d determines that the signature is correct, the generated cryptographic key information decrypting unit 53e uses the service AP private key stored in the e-Key chips 6a to 6f to transmit / receive The encrypted generated encryption key information received by the means 53a is decrypted into generated encryption key information including a VPN key, a key ID, expiration date information, and the like. The generated encryption key information installation unit 53f installs the generated encryption key information (VPN key, key ID, expiration date information, etc.) obtained by the decryption by the generated encryption key information decryption unit 53e in the e-Key chips 6a to 6f. .

VPNサービス提供センタ3は、図6に示すように、送受信手段(暗号鍵生成要求受信手段、生成暗号鍵情報送信手段)33a、サービスAP公開鍵証明書検証手段(サービス公開鍵証明書検証手段)33b、鍵生成可能検証手段33c、暗号鍵生成要求復号化手段33d、生成要求署名検証手段33e、通信用暗号鍵作成手段33f、付加手段33g、グループ情報格納手段33h、生成暗号鍵情報暗号化手段33i、及び生成暗号鍵情報署名手段33jを備えている。   As shown in FIG. 6, the VPN service providing center 3 includes transmission / reception means (encryption key generation request reception means, generated encryption key information transmission means) 33a, service AP public key certificate verification means (service public key certificate verification means). 33b, key generation possibility verification means 33c, encryption key generation request decryption means 33d, generation request signature verification means 33e, communication encryption key creation means 33f, addition means 33g, group information storage means 33h, generated encryption key information encryption means 33i and generated encryption key information signing means 33j.

送受信手段33aは、ユーザ端末5a〜5fへVPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化生成暗号鍵情報を送信するとともに、ユーザ端末5a〜5fから暗号化暗号鍵生成要求、e−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書、及び使用許可条件(有効期限、使用回数など)を受信する。サービスAP公開鍵証明書検証手段33bは、サービスAP公開鍵証明書の正当性を検証する(ユーザの認証を行う)。具体的には、サービス提供者公開鍵を使用してサービスAP公開鍵証明書の署名を検証することにより行われる。鍵生成可能検証手段33cは、使用許可条件を基に鍵生成可能なユーザであるか否かを判断する。暗号鍵生成要求復号化手段33dは、サービス提供者秘密鍵を使用して、送受信手段33aにより受信される暗号化暗号鍵生成要求を署名の付いた暗号鍵生成要求に復号化する。生成要求署名検証手段33eは、サービスAP公開鍵を使用して、暗号鍵生成要求復号化手段33dによる復号化により得られる暗号鍵生成要求の署名を検証する。   The transmission / reception means 33a transmits encrypted generation encryption key information with a signature including a VPN key, an identifier (key ID) of the VPN key, expiration date information, and the like to the user terminals 5a to 5f, and the user terminals 5a to 5f. Receives an encryption encryption key generation request, a service AP public key certificate stored in the e-Key chips 6a to 6f, and use permission conditions (expiration date, number of times used, etc.). The service AP public key certificate verifying unit 33b verifies the validity of the service AP public key certificate (performs user authentication). Specifically, it is performed by verifying the signature of the service AP public key certificate using the service provider public key. The key generation possibility verification unit 33c determines whether or not the user can generate a key based on the use permission condition. The encryption key generation request decryption means 33d uses the service provider private key to decrypt the encrypted encryption key generation request received by the transmission / reception means 33a into a signed encryption key generation request. The generation request signature verification unit 33e verifies the signature of the encryption key generation request obtained by the decryption by the encryption key generation request decryption unit 33d using the service AP public key.

通信用暗号鍵生成手段33fは、サービスAP公開鍵証明書検証手段33bによりサービスAP公開鍵証明書が正しいと判断され、鍵生成可能検証手段33cにより鍵生成可能なユーザであることが判断され、生成要求署名検証手段33eにより署名が正しいと判断されると、VPN鍵を生成する。付加手段33gは、通信用暗号鍵生成手段33fにより生成されるVPN鍵に当該VPN鍵の識別子(鍵ID)とユーザ端末5a〜5fからの使用許可条件に含まれる有効期限情報などの付加情報を付加する。グループ情報格納手段33hは、グループ情報(通信用暗号鍵生成手段33fにより生成されるVPN鍵と、付加手段33gによりVPN鍵に付加される付加情報と、ユーザ情報データベースに登録されている暗号鍵生成要求を行ったユーザ情報)をグループ情報データベースに登録する。生成暗号鍵情報暗号化手段33iは、サービスAP公開鍵証明書に含まれるサービスAP公開鍵を使用して、付加手段33gにより付加情報が付加されたVPN鍵(生成暗号鍵情報)を暗号化生成暗号鍵情報に暗号化する。生成暗号鍵情報署名手段33jは、サービス提供者秘密鍵を使用して、生成暗号鍵情報暗号化手段33iにより得られる暗号化生成暗号鍵情報に署名する。   The communication encryption key generation unit 33f determines that the service AP public key certificate is correct by the service AP public key certificate verification unit 33b, and determines that the key can be generated by the key generation capability verification unit 33c. If the generation request signature verification unit 33e determines that the signature is correct, a VPN key is generated. The adding unit 33g adds the additional information such as the VPN key identifier (key ID) and the expiration date information included in the use permission conditions from the user terminals 5a to 5f to the VPN key generated by the communication encryption key generating unit 33f. Append. The group information storage unit 33h includes group information (a VPN key generated by the communication encryption key generation unit 33f, additional information added to the VPN key by the addition unit 33g, and an encryption key generation registered in the user information database). Register the requested user information) in the group information database. The generated encryption key information encryption unit 33i uses the service AP public key included in the service AP public key certificate to encrypt and generate the VPN key (generated encryption key information) added with the additional information by the addition unit 33g. Encrypt to encryption key information. The generated encryption key information signing means 33j signs the encrypted generated encryption key information obtained by the generated encryption key information encryption means 33i using the service provider private key.

図7は、VPN通信システムにおけるVPN鍵生成処理の手順を示す図である。
ユーザ端末5a〜5fにおいて、暗号鍵生成要求署名手段53bは、サービスAP秘密鍵を使用して暗号鍵生成要求に署名する(S301)。続いて、暗号鍵生成要求暗号化手段53cは、サービス提供者公開鍵を使用してS301において得られた署名の付いた暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する(S302)。そして、送受信手段53aからS302において得られた暗号化暗号鍵生成要求、サービスAP公開鍵証明書、及び使用許可条件がVPNサービス提供センタ3へ送信される(S303)。 FIG. 7 is a diagram showing a procedure of VPN key generation processing in the VPN communication system.
In the user terminals 5a to 5f, the encryption key generation request signing means 53b signs the encryption key generation request using the service AP private key (S301). Subsequently, the encryption key generation request encryption unit 53c encrypts the encryption key generation request with the signature obtained in S301 into the encryption encryption key generation request using the service provider public key (S302). Then, the encrypted encryption key generation request, the service AP public key certificate, and the use permission condition obtained in S302 are transmitted from the transmission / reception means 53a to the VPN service providing center 3 (S303).

VPNサービス提供センタ3において、送受信手段33aによって暗号化暗号鍵生成要求などが受信されると、サービスAP公開鍵証明書検証手段33bはサービスAP公開鍵証明書を検証するとともに、鍵生成可能検証手段33cは鍵生成可能なユーザであるか否かを判断する(S304)。続いて、暗号鍵生成要求復号化手段33dは、サービス提供者秘密鍵を使用して、暗号化暗号鍵生成要求を署名の付いた暗号鍵生成要求に復号化する(S305)。さらに続いて、生成要求署名検証手段33eは、サービスAP公開鍵を使用して暗号鍵生成要求の署名(S301の署名)を検証する(S306)。そして、サービスAP公開鍵証明書が正当であり、鍵生成可能なユーザであり、暗号鍵生成要求の署名が正しいとされると、通信用暗号鍵生成手段33fは、VPN鍵を生成する(S307)。続いて、付加手段33gは、S307で生成されたVPN鍵に付加情報(鍵IDや有効期限情報など)を付加する(S308)。さらに続いて、グループ情報格納手段33hは、グループ情報(VPN鍵と付加情報とユーザ情報)をグループ情報データベースに登録する(S309)。また、生成暗号鍵情報暗号化手段33iは、サービスAP公開鍵を使用して、VPN鍵と付加情報とを含む生成暗号鍵情報を暗号化生成暗号鍵情報に暗号化する(S310)。続いて、生成暗号鍵情報署名手段33jは、サービス提供者秘密鍵を使用して、S310において得られた暗号化生成暗号鍵情報に署名する(S311)。そして、送受信手段33aからS311により署名の付いた暗号化生成暗号鍵情報をユーザ端末5a〜5fへ送信する(S312)。   In the VPN service providing center 3, when the transmission / reception means 33a receives an encryption / decryption key generation request or the like, the service AP public key certificate verification means 33b verifies the service AP public key certificate and also verifies the key generation possibility verification means. It is determined whether or not the user 33c is a user who can generate a key (S304). Subsequently, the encryption key generation request decryption means 33d uses the service provider private key to decrypt the encryption encryption key generation request into a signed encryption key generation request (S305). Subsequently, the generation request signature verification unit 33e verifies the signature (S301 signature) of the encryption key generation request using the service AP public key (S306). If the service AP public key certificate is valid, the user can generate a key, and the signature of the encryption key generation request is correct, the communication encryption key generation unit 33f generates a VPN key (S307). ). Subsequently, the adding unit 33g adds additional information (key ID, expiration date information, etc.) to the VPN key generated in S307 (S308). Subsequently, the group information storage unit 33h registers the group information (VPN key, additional information, and user information) in the group information database (S309). In addition, the generated encryption key information encryption unit 33i encrypts the generated encryption key information including the VPN key and the additional information into the encrypted generated encryption key information using the service AP public key (S310). Subsequently, the generated encryption key information signing means 33j uses the service provider private key to sign the encrypted generated encryption key information obtained in S310 (S311). Then, the encryption / decryption encryption key information signed by S311 is transmitted from the transmitting / receiving means 33a to the user terminals 5a to 5f (S312).

ユーザ端末5a〜5fにおいて、送受信手段53aにより署名の付いた暗号化生成暗号鍵情報が受信されると、生成暗号鍵情報署名検証手段53dは、サービス提供者公開鍵を使用して暗号化生成暗号鍵情報の署名(S311の署名)を検証する(S313)。そして、署名が正しいとされると、生成暗号鍵情報復号化手段53eは、サービスAP秘密鍵を使用して暗号化生成暗号鍵情報を生成暗号鍵情報に復号化する(S314)。続いて、生成暗号鍵情報インストール手段53fは、S314における復号化により得られた生成暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6a〜6fにインストールする(S315)。   In the user terminals 5a to 5f, when the encrypted generated encryption key information with the signature is received by the transmission / reception unit 53a, the generated encryption key information signature verification unit 53d uses the service provider public key to generate the encrypted generated encryption key. The signature of the key information (signature of S311) is verified (S313). If the signature is correct, the generated encryption key information decrypting means 53e decrypts the encrypted generated encryption key information into the generated encryption key information using the service AP private key (S314). Subsequently, the generated encryption key information installation unit 53f installs the generated encryption key information (VPN key, key ID, expiration date information, etc.) obtained by the decryption in S314 in the e-Key chips 6a to 6f (S315). .

《VPN鍵共有処理》
図8は、VPN通信システムのVPN鍵共有処理に関連する構成を示す図である。尚、VPN鍵共有処理を開始する前のe−Keyチップ6a〜6fは、VPN鍵とそれに関する情報を除いて、VPN鍵生成処理を開始する前の状態と実質的に同様である。
ユーザ端末5a〜5fは、図8に示すように、送受信手段(暗号鍵共有要求送信手段、共有暗号鍵情報受信手段)54a、検索要求手段54b、暗号鍵共有要求署名手段54c、暗号鍵共有要求暗号化手段54d、共有暗号鍵情報署名検証手段54e、共有暗号鍵情報復号化手段54f、及び共有暗号鍵情報インストール手段54gを備えている。 << VPN key sharing process >>
FIG. 8 is a diagram showing a configuration related to the VPN key sharing process of the VPN communication system. The e-Key chips 6a to 6f before starting the VPN key sharing process are substantially the same as the state before starting the VPN key generation process, except for the VPN key and information related thereto.
As shown in FIG. 8, the user terminals 5a to 5f are configured to send and receive means (encryption key sharing request sending means, shared encryption key information receiving means) 54a, search request means 54b, encryption key sharing request signature means 54c, encryption key sharing request An encryption unit 54d, a shared encryption key information signature verification unit 54e, a shared encryption key information decryption unit 54f, and a shared encryption key information installation unit 54g are provided.

送受信手段54aは、VPNサービス提供センタ3へ暗号化暗号鍵共有要求、e−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書、及び鍵IDを送信するとともに、VPNサービス提供センタ3から参加を希望するVPNの鍵IDなどを含む検索結果や、VPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化共有暗号鍵情報を受信する。検索要求手段54bは、参加を希望するVPNの検索をVPNサービス提供センタ3へ要求する。暗号鍵共有要求署名手段54cは、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して、VPNサービス提供センタ3に対してVPN鍵の共有を要求する暗号鍵共有要求に署名する。暗号鍵共有要求暗号化手段54dは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、暗号鍵共有要求署名手段54cにより署名の付いた暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する。   The transmission / reception means 54a transmits the encrypted encryption key sharing request, the service AP public key certificate stored in the e-Key chips 6a to 6f, and the key ID to the VPN service providing center 3, and the VPN service providing center 3 From the search result including the key ID of the VPN desired to participate, and the encrypted shared encryption key information with the signature including the VPN key, the identifier (key ID) of the VPN key, the expiration date information, and the like. The search request means 54b requests the VPN service providing center 3 to search for a VPN that is desired to participate. The encryption key sharing request signing unit 54c uses the service AP private key stored in the e-Key chips 6a to 6f to make an encryption key sharing request for requesting the VPN service providing center 3 to share the VPN key. Sign. The encryption key sharing request encryption unit 54d encrypts the encryption key sharing request signed by the encryption key sharing request signing unit 54c using the service provider public key stored in the e-Key chips 6a to 6f. Encrypt to encrypted encryption key sharing request.

共有暗号鍵情報署名検証手段54eは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して暗号化共有暗号鍵情報の署名を検証する。共有暗号鍵情報復号化手段54fは、共有暗号化情報署名検証手段54eにより署名が正しいと判断されると、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して暗号化共有暗号鍵情報をVPN鍵、鍵ID、有効期限情報などを含む共有暗号鍵情報に復号化する。共有暗号鍵情報インストール手段54gは、共有暗号鍵情報復号化手段54fによる復号化により得られる共有暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6a〜6fにインストールする。   The shared encryption key information signature verification unit 54e verifies the signature of the encrypted shared encryption key information using the service provider public key stored in the e-Key chips 6a to 6f. The shared encryption key information decryption unit 54f encrypts using the service AP private key stored in the e-Key chips 6a to 6f when the shared encryption information signature verification unit 54e determines that the signature is correct. The shared encryption key information is decrypted into shared encryption key information including a VPN key, a key ID, expiration date information, and the like. The shared encryption key information installation unit 54g installs shared encryption key information (VPN key, key ID, expiration date information, etc.) obtained by decryption by the shared encryption key information decryption unit 54f in the e-Key chips 6a to 6f. .

VPNサービス提供センタ3は、図8に示すように、送受信手段(暗号鍵共有要求受信手段、共有暗号鍵情報送信手段)34a、参加希望VPN検索手段34b、サービスAP公開鍵証明書検証手段(サービス公開鍵証明書検証手段)34c、暗号鍵共有要求復号化手段34d、共有要求署名検証手段34e、参加対象VPN検索手段34f、共有可能検証手段34g、ユーザ情報追加登録手段34h、共有暗号鍵情報暗号化手段34i、及び共有暗号鍵情報署名手段34jを備えている。   As shown in FIG. 8, the VPN service providing center 3 includes transmission / reception means (encryption key sharing request receiving means, shared encryption key information transmitting means) 34a, participation desired VPN search means 34b, service AP public key certificate verification means (service Public key certificate verification means) 34c, encryption key sharing request decryption means 34d, sharing request signature verification means 34e, participation target VPN search means 34f, sharable verification means 34g, user information additional registration means 34h, shared encryption key information encryption Providing means 34i and shared encryption key information signing means 34j.

送受信手段34aは、ユーザ端末5a〜5fへユーザ端末が参加を希望したVPNの鍵IDなどを含む検索結果や、VPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化共有暗号鍵情報を送信するとともに、ユーザ端末5a〜5fからVPNの検索要求や、暗号化暗号鍵共有要求、参加対象のVPNの鍵ID、及びe−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書を受信する。参加希望VPN検索手段34bは、ユーザ端末が参加を希望したVPNをグループ情報データベースを参照して検索し、鍵IDなどの検索結果を送受信手段34aを介してユーザ端末5a〜5fへ渡す。サービスAP公開鍵証明書検証手段34cは、サービスAP公開鍵証明書検証手段33bと同様の手法により、サービスAP公開鍵証明書の正当性を検証する(ユーザの認証を行う)。暗号鍵共有要求復号化手段34dは、サービス提供者秘密鍵を使用して、送受信手段34aにより受信される暗号化暗号鍵共有要求を署名の付いた暗号鍵共有要求に復号化する。共有要求署名検証手段34eは、サービスAP公開鍵証明書に含まれるサービスAP公開鍵を使用して、暗号鍵共有要求復号化手段34dによる復号化により得られる暗号鍵共有要求の署名を検証する。参加対象VPN検索手段34fは、サービスAP公開鍵証明書検証手段34cによりサービスAP公開鍵証明書が正しいと判断され、共有要求署名検証手段34eにより署名が正しいと判断されると、グループ情報データベースにおいて、送受信手段34aにより受信される鍵IDを基にグループ情報を検索する。共有可能検証手段34gは、例えば、有効期限が過ぎていないかなどを確認して、VPN鍵の共有が可能かを検証する。ユーザ情報追加登録手段34hは、共有可能検証手段34gにより共有可能と判断されると、送受信手段34aにより受信される鍵IDに関連付けて、VPN鍵の共有を要求したユーザのユーザ情報(ユーザ情報データベースに格納されているユーザ情報)をグループ情報データベースに追加登録する。   The transmission / reception means 34a includes a search result including a VPN key ID that the user terminal wishes to join the user terminals 5a to 5f, a signature including a VPN key, an identifier (key ID) of the VPN key, expiration date information, and the like. The attached encrypted shared encryption key information is transmitted and stored in the VPN search request, the encrypted encryption key sharing request, the VPN key ID of the participation target, and the e-Key chips 6a to 6f from the user terminals 5a to 5f. The service AP public key certificate being received is received. The participation desired VPN search means 34b searches the VPN that the user terminal desires to participate with reference to the group information database, and passes the search result such as the key ID to the user terminals 5a to 5f via the transmission / reception means 34a. The service AP public key certificate verification unit 34c verifies the validity of the service AP public key certificate (authenticates the user) by the same method as the service AP public key certificate verification unit 33b. The encryption key sharing request decryption means 34d uses the service provider private key to decrypt the encrypted encryption key sharing request received by the transmission / reception means 34a into a signed encryption key sharing request. The sharing request signature verification unit 34e verifies the signature of the encryption key sharing request obtained by the decryption by the encryption key sharing request decryption unit 34d, using the service AP public key included in the service AP public key certificate. When the service AP public key certificate verifying unit 34c determines that the service AP public key certificate is correct and the sharing request signature verifying unit 34e determines that the signature is correct, the participation target VPN search unit 34f The group information is searched based on the key ID received by the transmission / reception means 34a. The sharable verification unit 34g verifies whether the VPN key can be shared, for example, by checking whether the expiration date has passed. If the user information additional registration unit 34h determines that sharing is possible by the sharable verification unit 34g, the user information additional registration unit 34h is associated with the key ID received by the transmission / reception unit 34a. User information) stored in the group information database.

共有暗号鍵情報暗号化手段34iは、サービスAP公開鍵を使用して、グループ情報データベースに格納されているVPN鍵、鍵ID、有効期限情報などを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する。共有暗号鍵情報署名手段34jは、サービス提供者秘密鍵を使用して、共有暗号鍵情報暗号化手段34iにより得られる暗号化共有暗号鍵情報に署名する。   The shared encryption key information encryption unit 34i encrypts the shared encryption key information including the VPN key, the key ID, the expiration date information, and the like stored in the group information database using the service AP public key. Encrypt to The shared encryption key information signing means 34j signs the encrypted shared encryption key information obtained by the shared encryption key information encryption means 34i using the service provider private key.

図9は、VPN通信システムにおけるVPN鍵共有処理の手順を示す図である。尚、ユーザ端末5aがVPN鍵の共有を要求し、共有を要求されたVPN鍵のVPNにユーザ端末5bが参加しているものとする。
ユーザ端末5aにおいて、検索要求手段54bは、VPNサービス提供センタ3に対してユーザが参加を希望するVPNの検索を要求する(S401)。これに対して、VPNサービス提供センタ3において、参加希望VPN検索手段34bはユーザが参加を希望したVPNを検索し、鍵IDなどを含む検索結果をユーザ端末5aへ送付する(S402)。そして、ユーザ端末5aにおいて、送受信手段54aにより検索結果が受信されると、暗号鍵共有要求署名手段54cは、サービスAP秘密鍵を使用して暗号鍵共有要求に署名する(S403)。続いて、暗号鍵共有要求暗号化手段54dは、サービス提供者公開鍵を使用してS403において得られた署名の付いた暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する(S404)。そして、送受信手段54aからS404において得られた暗号化暗号鍵共有要求、検索結果として通知された鍵ID、及びサービスAP公開鍵証明書がVPNサービス提供センタ3へ送信される(S405)。 FIG. 9 is a diagram showing a procedure of VPN key sharing processing in the VPN communication system. It is assumed that the user terminal 5a requests sharing of the VPN key, and the user terminal 5b participates in the VPN of the VPN key requested to be shared.
In the user terminal 5a, the search request unit 54b requests the VPN service providing center 3 to search for a VPN that the user desires to participate in (S401). On the other hand, in the VPN service providing center 3, the desired VPN search means 34b searches for the VPN that the user wishes to participate in, and sends the search result including the key ID to the user terminal 5a (S402). In the user terminal 5a, when the search result is received by the transmission / reception unit 54a, the encryption key sharing request signing unit 54c signs the encryption key sharing request using the service AP private key (S403). Subsequently, the encryption key sharing request encryption unit 54d encrypts the encryption key sharing request with the signature obtained in S403 into the encryption encryption key sharing request using the service provider public key (S404). Then, the encryption / cipher key sharing request obtained in S404 from the transmission / reception means 54a, the key ID notified as the search result, and the service AP public key certificate are transmitted to the VPN service providing center 3 (S405).

VPNサービス提供センタ3において、送受信手段34aによって暗号化暗号鍵共有要求などが受信されると、サービスAP公開鍵証明書検証手段34cはサービスAP公開鍵証明書を検証する(S406)。続いて、暗号鍵共有要求復号化手段34dは、サービス提供者秘密鍵を使用して、送受信手段34aにより受信された暗号化暗号鍵共有要求を署名の付いた暗号鍵共有要求に復号化する(S407)。さらに続いて、共有要求署名検証手段34eは、サービスAP公開鍵を使用して暗号鍵共有要求の署名(S403の署名)を検証する(S408)。そして、サービスAP公開鍵証明書が正当であり、暗号鍵共有要求の署名が正しいとされると、参加対象VPN検索手段34fは、参加対象のVPNを検索する(S409)。続いて、共有可能検証手段34gは、VPN鍵の共有の可否を検証する(S410)。そして、共有可とされると、ユーザ情報追加登録手段34hは、ユーザ情報をグループ情報データベースに登録する(S411)。また、共有暗号鍵情報暗号化手段34iは、サービスAP公開鍵を使用して、VPN鍵と付加情報とを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する(S412)。続いて、共有暗号鍵情報署名手段34jは、サービス提供者秘密鍵を使用して、S412において得られた暗号化共有暗号鍵情報に署名する(S413)。そして、送受信手段34aからS413により署名の付いた暗号化共有暗号鍵情報をユーザ端末5aへ送信する(S414)。これとともに、ユーザ端末5bへ新規参加者を通知する(S418)。   In the VPN service providing center 3, when an encryption / cipher key sharing request or the like is received by the transmission / reception unit 34a, the service AP public key certificate verification unit 34c verifies the service AP public key certificate (S406). Subsequently, the encryption key sharing request decryption means 34d decrypts the encrypted encryption key sharing request received by the transmission / reception means 34a into a signed encryption key sharing request using the service provider private key ( S407). Subsequently, the sharing request signature verification unit 34e verifies the signature of the encryption key sharing request (signature of S403) using the service AP public key (S408). If the service AP public key certificate is valid and the signature of the encryption key sharing request is correct, the participation target VPN search unit 34f searches for the participation target VPN (S409). Subsequently, the shareability verification unit 34g verifies whether or not the VPN key can be shared (S410). When sharing is permitted, the user information additional registration unit 34h registers the user information in the group information database (S411). The shared encryption key information encryption unit 34i encrypts the shared encryption key information including the VPN key and the additional information into the encrypted shared encryption key information using the service AP public key (S412). Subsequently, the shared encryption key information signing means 34j signs the encrypted shared encryption key information obtained in S412 using the service provider private key (S413). Then, the encrypted shared encryption key information signed by S413 is transmitted from the transmission / reception means 34a to the user terminal 5a (S414). At the same time, a new participant is notified to the user terminal 5b (S418).

ユーザ端末5aにおいて、送受信手段54aにより署名の付いた暗号化共有暗号鍵情報が受信されると、共有暗号鍵情報署名検証手段54eは、サービス提供者公開鍵を使用して暗号化共有暗号鍵情報の署名(S413の署名)を検証する(S415)。そして、署名が正しいとされると、共有暗号鍵情報復号化手段54fは、サービスAP秘密鍵を使用して暗号化共有暗号鍵情報を共有暗号鍵情報に復号化する(S416)。続いて、共有暗号鍵情報インストール手段54gは、S416における復号化により得られた共有暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6aにインストールする(S417)。   When the user terminal 5a receives the encrypted shared encryption key information signed by the transmission / reception unit 54a, the shared encryption key information signature verification unit 54e uses the service provider public key to encrypt the shared encryption key information. (S413) is verified (S415). If the signature is correct, the shared encryption key information decrypting unit 54f decrypts the encrypted shared encryption key information into the shared encryption key information using the service AP private key (S416). Subsequently, the shared encryption key information installation unit 54g installs the shared encryption key information (VPN key, key ID, expiration date information, etc.) obtained by the decryption in S416 in the e-Key chip 6a (S417).

《VPN構築処理》
VPN通信システムのVPN構築処理において、e−Keyチップ6a〜6fに同じVPN鍵が格納されているユーザ端末5a〜5fの間で通信が行われる。この際、ユーザ端末5a〜5fにおいては、VPN鍵の属性(有効期限、使用回数など)が検証される。 << VPN construction process >>
In the VPN construction process of the VPN communication system, communication is performed between the user terminals 5a to 5f in which the same VPN key is stored in the e-Key chips 6a to 6f. At this time, in the user terminals 5a to 5f, the VPN key attributes (expiration date, number of times of use, etc.) are verified.

図10は、VPN通信システムにおけるVPN構築処理の手順を示す図である。尚、ユーザ端末5aとユーザ端末5bとの間で通信が行われるものとする。
ユーザ端末5aとユーザ端末5bの夫々において、使用するVPN鍵の属性(使用回数や使用期限など)を検証する(S501、S502))。そして、ユーザ端末5aとユーザ端末5bの双方でVPN鍵が使用できる場合、ユーザ端末5aとユーザ端末5bの間で規定されたVPN鍵を使用して暗号化通信を行う(S503)。 FIG. 10 is a diagram illustrating a procedure of VPN construction processing in the VPN communication system. Note that communication is performed between the user terminal 5a and the user terminal 5b.
In each of the user terminal 5a and the user terminal 5b, the attributes (such as the number of uses and the expiration date) of the VPN key to be used are verified (S501, S502). If the VPN key can be used by both the user terminal 5a and the user terminal 5b, encrypted communication is performed using the VPN key defined between the user terminal 5a and the user terminal 5b (S503).

《VPN鍵無効処理》
図11は、VPN通信システムのVPN鍵無効処理に関連する構成を示す図である。尚、VPN鍵無効処理を開始する前のe−Keyチップ6a〜6fには、チップ公開鍵及びチップ秘密鍵、チップ管理者公開鍵、サービスAP公開鍵及びサービスAP秘密鍵、サービス提供者公開鍵、サービスAP公開鍵証明書、並びにVPN鍵に関連した情報が少なくとも含まれている。 << VPN key invalidation process >>
FIG. 11 is a diagram showing a configuration related to the VPN key invalidation process of the VPN communication system. The e-Key chips 6a to 6f before starting the VPN key invalidation process include a chip public key and a chip private key, a chip manager public key, a service AP public key and a service AP private key, and a service provider public key. , At least information related to the service AP public key certificate and the VPN key.

ユーザ端末5a〜5fは、図11に示すように、送受信手段56a、属性検証手段56b、暗号鍵削除手段56c、情報削除要求署名手段56d、及び判断通知情報署名検証手段56eを備えている。送受信手段56aは、VPNサービス提供センタ3へ情報削除要求とe−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書を送信するとともに、VPNサービス提供センタ3から判断通知情報を受信する。属性検証手段56bは、使用したいVPN鍵の属性(有効期限など)を検証する。暗号鍵削除手段56cは、属性検証手段56bにより使用不可(有効期限を過ぎているなど)と判断されると、e−Keyチップ6a〜6fから検証対象になったVPN鍵を削除する。情報削除要求署名手段56dは、属性検証手段56bにより使用不可と判断されると、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用してe−Keyチップ6a〜6fに格納されている鍵IDとVPNサービス提供センタ3に対してユーザ情報の削除を要求する情報削除要求とに署名する。判断通知情報署名検証手段56eは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、送受信手段56aによって受信される判断通知情報の署名を検証する。   As shown in FIG. 11, the user terminals 5a to 5f include a transmission / reception unit 56a, an attribute verification unit 56b, an encryption key deletion unit 56c, an information deletion request signature unit 56d, and a judgment notification information signature verification unit 56e. The transmission / reception unit 56a transmits an information deletion request and the service AP public key certificate stored in the e-Key chips 6a to 6f to the VPN service providing center 3, and receives determination notification information from the VPN service providing center 3. . The attribute verification unit 56b verifies the attribute (such as an expiration date) of the VPN key that is desired to be used. If the attribute verification unit 56b determines that the encryption key deletion unit 56c cannot be used (the expiration date has passed), the encryption key deletion unit 56c deletes the VPN key that is the verification target from the e-Key chips 6a to 6f. If the attribute deletion means 56b determines that the information deletion request signing means 56d is unusable, the information deletion request signing means 56d is stored in the e-Key chips 6a to 6f using the service AP private key stored in the e-Key chips 6a to 6f. The key ID and the information deletion request for requesting the VPN service providing center 3 to delete the user information are signed. The determination notification information signature verification unit 56e verifies the signature of the determination notification information received by the transmission / reception unit 56a using the service provider public key stored in the e-Key chips 6a to 6f.

VPNサービス提供センタ3は、図11に示すように、送受信手段36a、サービスAP公開鍵証明書検証手段36b、削除要求署名検証手段36c、削除対象VPN検索手段36d、使用可否判断手段36e、グループ情報更新手段36f、及び判断通知情報署名手段36gを備えている。送受信手段36aは、ユーザ端末5a〜5fから情報削除要求を受信するとともに、ユーザ端末5a〜5fへ判断通知情報を送信する。サービスAP公開鍵証明書検証手段36bは、サービスAP公開鍵証明書検証手段33bと実質的に同様の処理を行って、サービスAP公開鍵証明書を検証する(機器の認証を行う)。削除要求署名検証手段36cは、サービスAP公開鍵証明書検証手段36bによりサービスAP公開鍵証明書が正しいと判断されると、サービスAP公開鍵を使用して、送受信手段36aにより受信される鍵IDと情報削除要求との署名を検証する。削除対象VPN検索手段36dは、削除要求署名検証手段36cにより署名が正しいとされると、情報グループデータベースにおいて、送受信手段36aにより受信される鍵IDを基に削除対象のVPNを検索する。使用可否判断手段36eは、削除対象VPN検索手段36dにより検索されるVPNの有効期限などを確認して、使用可否を判断する。グループ情報更新手段36fは、使用可否判断手段36eにより使用不可とされると、グループ情報データベースから検索されたVPNのグループ情報に含まれるユーザ情報を削除する。判断通知情報署名手段36gは、VPNサービス提供者秘密鍵を使用して、使用不可と判断してユーザ情報を削除したことや鍵IDなどを含む判断通知情報に署名する。   As shown in FIG. 11, the VPN service providing center 3 includes a transmission / reception unit 36a, a service AP public key certificate verification unit 36b, a deletion request signature verification unit 36c, a deletion target VPN search unit 36d, an availability determination unit 36e, and group information. An updating unit 36f and a determination notification information signing unit 36g are provided. The transmission / reception means 36a receives information deletion requests from the user terminals 5a to 5f and transmits determination notification information to the user terminals 5a to 5f. The service AP public key certificate verifying unit 36b performs substantially the same processing as the service AP public key certificate verifying unit 33b to verify the service AP public key certificate (performs device authentication). When the service AP public key certificate verification unit 36b determines that the service AP public key certificate is correct, the deletion request signature verification unit 36c uses the service AP public key to receive the key ID received by the transmission / reception unit 36a. And the signature of the information deletion request are verified. If the deletion request signature verification unit 36c determines that the signature is correct, the deletion target VPN search unit 36d searches the information group database for the deletion target VPN based on the key ID received by the transmission / reception unit 36a. The availability determination unit 36e confirms the expiration date of the VPN searched by the deletion target VPN search unit 36d and determines the availability. The group information update unit 36f deletes the user information included in the VPN group information retrieved from the group information database when it is disabled by the availability determination unit 36e. The determination notification information signing means 36g uses the VPN service provider private key to sign the determination notification information including the fact that the user information has been deleted and the key ID is deleted.

図12は、VPN通信システムにおけるVPN鍵無効処理の手順を示す図である。尚、ユーザ端末5aが削除要求を行い、削除要求の対象となるVPNにユーザ端末5bが参加しているものとする。
ユーザ端末5aにおいて、属性検証手段56bは、使用したいVPN鍵の属性を検証する(S601)。そして、VPN鍵を使用できない場合、暗号鍵削除手段56cは、e−Keyチップ6aからVPN鍵を削除する(S602)。続いて、情報削除要求署名手段56dは、サービスAP秘密鍵を使用して、鍵IDと情報削除要求とに署名する(S603)。そして、送受信手段56aからVPNサービス提供センタ3へ署名の付いた情報削除要求と鍵ID、及びサービスAP公開鍵証明書が送信される(S604)。 FIG. 12 is a diagram illustrating a procedure of VPN key invalidation processing in the VPN communication system. It is assumed that the user terminal 5a makes a deletion request and the user terminal 5b is participating in the VPN that is the target of the deletion request.
In the user terminal 5a, the attribute verification unit 56b verifies the attribute of the VPN key desired to be used (S601). If the VPN key cannot be used, the encryption key deleting unit 56c deletes the VPN key from the e-Key chip 6a (S602). Subsequently, the information deletion request signing unit 56d signs the key ID and the information deletion request using the service AP private key (S603). Then, the information deletion request with the signature, the key ID, and the service AP public key certificate are transmitted from the transmission / reception means 56a to the VPN service providing center 3 (S604).

VPNサービス提供センタ3において、送受信手段36aによりユーザ端末5aから署名の付いた情報削除要求と鍵IDやサービスAP公開鍵証明書が受信されると、サービスAP公開鍵証明書検証手段36bは、サービスAP公開鍵証明書を検証する(S605)。続いて、サービスAP公開鍵証明書が正しいと判断されると、削除要求署名検証手段36cは、サービスAP公開鍵を使用して情報削除要求の署名(S603の署名)を検証する(S606)。さらに続いて、署名が正しいと判断されると、削除対象VPN検索手段36dは、削除対象のVPNを検索する(S607)。続いて、使用可否判断手段36eは、VPN鍵の使用可否を判断する(S608)。そして、使用不可と判断されると、グループ情報更新手段36fは、グループ情報データベースからユーザ情報を削除する(S609)。また、判断通知情報署名手段36gは、サービス提供者秘密鍵を使用して判断通知情報に署名する(S610)。そして、送受信手段36aによりユーザ端末5aへ署名の付いた判断通知情報が送信される(S611)、削除対象のVPNに属する他のユーザ端末5bへVPN鍵が無効になったメンバーを通知する(S613)。   In the VPN service providing center 3, when the information deletion request and the key ID and the service AP public key certificate with the signature are received from the user terminal 5a by the transmission / reception unit 36a, the service AP public key certificate verification unit 36b The AP public key certificate is verified (S605). Subsequently, if it is determined that the service AP public key certificate is correct, the deletion request signature verification unit 36c verifies the signature of the information deletion request (signature of S603) using the service AP public key (S606). Subsequently, when it is determined that the signature is correct, the deletion target VPN search unit 36d searches for a deletion target VPN (S607). Subsequently, the availability determination unit 36e determines whether the VPN key can be used (S608). If it is determined that it cannot be used, the group information updating unit 36f deletes the user information from the group information database (S609). Further, the determination notification information signing means 36g signs the determination notification information using the service provider private key (S610). Then, determination notification information with a signature is transmitted to the user terminal 5a by the transmission / reception means 36a (S611), and the member whose VPN key is invalid is notified to the other user terminal 5b belonging to the VPN to be deleted (S613). ).

ユーザ端末5aにおいて、送受信手段56aにより判断通知情報が受信されると、判断通知情報署名検証手段56eは、サービス提供者公開鍵を使用して判断通知情報の署名(S610の署名)を検証する(S612)。この後、判断通知情報を解析することにより、VPNサービス提供センタ3のグループ情報データベースから自己のユーザ情報が削除されたことを知ることができる。   In the user terminal 5a, when the determination notification information is received by the transmission / reception means 56a, the determination notification information signature verification means 56e verifies the signature of the determination notification information (signature of S610) using the service provider public key ( S612). Thereafter, by analyzing the judgment notification information, it is possible to know that its own user information has been deleted from the group information database of the VPN service providing center 3.

尚、上記VPN鍵生成処理又はVPN鍵共有処理を複数回行うことにより、複数の異なるVPN鍵をe−Keyチップ6a〜6fに格納することができる。   A plurality of different VPN keys can be stored in the e-Key chips 6a to 6f by performing the VPN key generation process or the VPN key sharing process a plurality of times.

以上説明した実施の形態によれば、e−Keyチップ6a〜6fに格納されているVPN鍵を使用してVPN接続の構築を行うので、VPNサービス提供センタが動作していなくても、同じVPNに属するユーザ端末間でVPN接続の構築を行うことができる。また、VPN接続時のユーザ端末の負荷が軽減される(VPN接続のたびにセンタに暗号鍵を要求する処理などが不要になる)ため、多数のユーザ端末のVPN接続にも対応できる。さらに、安全な情報サービスの仕組みが必要な様々なサービス(会員制サービス、コンテンツ配信、情報機器のリモートメンテナンスなど)を提供するネットワーク基盤を構築することができる。また、VPNサービス提供センタによりユーザなどを管理しているため、例えば、ユーザなどに対する課金などを行うサービスを実現できる。   According to the embodiment described above, since the VPN connection is established using the VPN key stored in the e-Key chips 6a to 6f, the same VPN can be used even if the VPN service providing center is not operating. VPN connection can be established between the user terminals belonging to. In addition, since the load on the user terminal during VPN connection is reduced (a process for requesting an encryption key from the center each time a VPN connection is made), it is possible to cope with VPN connections of a large number of user terminals. Furthermore, it is possible to construct a network platform that provides various services (membership service, content distribution, remote maintenance of information devices, etc.) that require a safe information service mechanism. In addition, since the users and the like are managed by the VPN service providing center, for example, it is possible to realize a service for charging users and the like.

尚、上記機器登録処理、VPNサービスダウンロード処理、VPN鍵生成処理、VPN鍵共有処理、VPN構築処理、VPN無効処理において説明した各装置を構成する各手段の夫々で実行される手順をプログラムの形式でコンピュータが読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行することにより本発明の各装置が実現されるようにしてもよい。そして、このように実現された各装置を利用して上記各処理が実行されるようにしてもよい。ここでコンピュータが読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。   It should be noted that the procedure executed by each means constituting each device described in the device registration process, VPN service download process, VPN key generation process, VPN key sharing process, VPN construction process, and VPN invalidation process is a program format. Thus, each apparatus of the present invention may be realized by recording on a computer-readable recording medium, causing the computer to read the program recorded on the recording medium, and executing the program. And each said process may be performed using each apparatus implement | achieved in this way. Here, the computer-readable recording medium refers to a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, and the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program.

以上、本発明の好適な実施の形態について説明したが、本発明は上述の実施の形態に限られるものではなく、特許請求の範囲に記載した限りにおいて様々な設計変更が可能なものになっている。   The preferred embodiments of the present invention have been described above, but the present invention is not limited to the above-described embodiments, and various design changes can be made as long as they are described in the claims. Yes.

本発明の実施の形態におけるVPN通信システムの概要を示す図。The figure which shows the outline | summary of the VPN communication system in embodiment of this invention. VPN通信システムの機器登録処理に関連する構成を示す図。The figure which shows the structure relevant to the apparatus registration process of a VPN communication system. VPN通信システムの機器登録処理の手順を示す図。The figure which shows the procedure of the apparatus registration process of a VPN communication system. VPN通信システムのVPNサービスダウンロード処理に関連する構成を示す図。The figure which shows the structure relevant to the VPN service download process of a VPN communication system. VPN通信システムのVPNサービスダウンロード処理の手順を示す図。The figure which shows the procedure of the VPN service download process of a VPN communication system. VPN通信システムのVPN鍵生成処理に関連する構成を示す図。The figure which shows the structure relevant to the VPN key production | generation process of a VPN communication system. VPN通信システムのVPN鍵生成処理の手順を示す図。The figure which shows the procedure of the VPN key production | generation process of a VPN communication system. VPN通信システムのVPN鍵共有処理に関連する構成を示す図。The figure which shows the structure relevant to the VPN key sharing process of a VPN communication system. VPN通信システムのVPN鍵共有処理の手順を示す図。The figure which shows the procedure of the VPN key sharing process of a VPN communication system. VPN通信システムのVPN構築処理の手順を示す図。The figure which shows the procedure of the VPN construction process of a VPN communication system. VPN通信システムのVPN鍵無効処理に関連する構成を示す図。The figure which shows the structure relevant to the VPN key invalidation process of a VPN communication system. VPN通信システムのVPN鍵無効処理の手順を示す図。The figure which shows the procedure of the VPN key invalidation process of a VPN communication system.

符号の説明Explanation of symbols

1 VPN通信システム、 2 チップ管理センタ、 3 VPNサービス提供センタ、 4 本人確認サービスセンタ、 5a〜5f ユーザ端末、 6a〜6f e−Keyチップ

1 VPN communication system, 2 chip management center, 3 VPN service providing center, 4 identity verification service center, 5a-5f user terminal, 6a-6f e-Key chip

Claims (5)

セキュアチップを搭載した通信端末と、前記セキュアチップを管理するチップ管理センタとを備えたVPN通信システムであって、
前記通信端末は、
前記セキュアチップの秘密鍵を使用して前記セキュアチップのチップ情報と前記セキュアチップの公開鍵とを含む登録情報に署名する登録情報署名手段と、
前記チップ管理センタのチップ管理者の公開鍵を使用して、前記登録情報署名手段により署名の付いた前記登録情報を暗号化登録情報に暗号化する登録情報暗号化手段と、
前記登録情報暗号化手段による暗号化により得られた前記暗号化登録情報を前記チップ管理センタへ送信する暗号化登録情報送信手段と、
前記チップ管理センタからチップ公開鍵証明書を受信するチップ公開鍵証明書受信手段と、
前記チップ公開鍵証明書受信手段により受信された前記チップ公開鍵証明書の正当性を確認するチップ公開鍵証明書確認手段と、
前記チップ公開鍵証明書を前記セキュアチップに格納するチップ公開鍵証明書格納手段と、
を備えており、
前記チップ管理センタは、
前記通信端末から前記暗号化登録情報を受信する暗号化登録情報受信手段と、
前記チップ管理センタのチップ管理者の秘密鍵を使用して、前記暗号化登録情報受信手段により受信された前記暗号化登録情報を前記署名の付いた前記登録情報に復号化する登録情報復号化手段と、
前記登録情報復号化手段による復号化により得られる前記登録情報の署名を、当該登録情報に含まれる前記セキュアチップの公開鍵を使用して検証する登録情報署名検証手段と、
前記通信端末に送信する前記セキュアチップの公開鍵を含むチップ公開鍵証明書を作成するチップ公開鍵証明書作成手段と、
前記登録情報復号化手段による復号化により得られた前記登録情報をチップデータベースに登録する登録情報登録手段と、
前記チップ公開鍵証明書作成手段により作成されたチップ公開鍵証明書を前記通信端末へ送信するチップ公開鍵証明書送信手段と、
を備えたことを特徴とするVPN通信システム。 A VPN communication system comprising a communication terminal equipped with a secure chip and a chip management center for managing the secure chip,
The communication terminal is
Registration information signing means for signing registration information including the chip information of the secure chip and the public key of the secure chip using the secret key of the secure chip;
Registration information encryption means for encrypting the registration information signed by the registration information signature means into encrypted registration information using the public key of the chip manager of the chip management center;
Encrypted registration information transmission means for transmitting the encrypted registration information obtained by encryption by the registration information encryption means to the chip management center;
Chip public key certificate receiving means for receiving a chip public key certificate from the chip management center;
Chip public key certificate confirmation means for confirming the validity of the chip public key certificate received by the chip public key certificate reception means;
Chip public key certificate storage means for storing the chip public key certificate in the secure chip;
With
The chip management center is
Encrypted registration information receiving means for receiving the encrypted registration information from the communication terminal;
Registration information decryption means for decrypting the encrypted registration information received by the encrypted registration information receiving means into the registration information with the signature using the secret key of the chip manager of the chip management center When,
Registration information signature verification means for verifying the signature of the registration information obtained by decryption by the registration information decryption means using the public key of the secure chip included in the registration information;
Chip public key certificate creating means for creating a chip public key certificate including the public key of the secure chip to be transmitted to the communication terminal;
Registration information registration means for registering the registration information obtained by decoding by the registration information decoding means in a chip database;
Chip public key certificate transmission means for transmitting the chip public key certificate created by the chip public key certificate creation means to the communication terminal;
A VPN communication system comprising: セキュアチップを搭載した通信端末と、前記通信端末にVPNサービス用アプリケーションソフトを提供するVPNサービス提供センタとを備えたVPN通信システムであって、
前記通信端末は、
前記セキュアチップの秘密鍵を使用して、前記VPNサービス提供センタに対してVPNサービス用アプリケーションソフトの提供を要求するサービス提供要求に署名するサービス提供要求署名手段と、
前記サービス提供要求署名手段により署名の付いたサービス提供要求と前記セキュアチップに格納されている前記セキュアチップの公開鍵を含むチップ公開鍵証明書とを前記VPNサービス提供センタへ送信するサービス提供要求手段と、
前記VPNサービス提供センタから前記VPNサービス用アプリケーションソフトを受信するサービス受信手段と、
前記サービス受信手段により受信される前記VPNサービス用アプリケーションソフトを前記セキュアチップにインストールするサービスインストール手段と、
を備えており、
前記VPNサービス提供センタは、
前記通信端末から前記署名の付いたサービス提供要求と前記チップ公開鍵証明書とを受信するサービス提供要求受信手段と、
前記サービス提供要求受信手段により受信される前記チップ公開鍵証明書を検証するチップ公開鍵証明書検証手段と、
前記サービス提供要求受信手段により受信される前記チップ公開鍵証明書に含まれる前記セキュアチップの公開鍵を使用して、前記サービス提供要求受信手段により受信されるサービス提供要求の署名を検証するサービス提供要求署名検証手段と、
前記VPNサービス用アプリケーションソフトを前記通信端末へ転送するサービス転送手段と、
を備えたことを特徴とするVPN通信システム。 A VPN communication system comprising a communication terminal equipped with a secure chip, and a VPN service providing center for providing VPN service application software to the communication terminal,
The communication terminal is
Service provision request signing means for signing a service provision request for requesting provision of VPN service application software to the VPN service provision center using the secret key of the secure chip;
Service provision request means for transmitting a service provision request signed by the service provision request signing means and a chip public key certificate including the public key of the secure chip stored in the secure chip to the VPN service provision center. When,
Service receiving means for receiving the VPN service application software from the VPN service providing center;
Service installation means for installing the VPN service application software received by the service reception means in the secure chip;
With
The VPN service providing center is
Service provision request receiving means for receiving the service provision request with the signature and the chip public key certificate from the communication terminal;
Chip public key certificate verifying means for verifying the chip public key certificate received by the service providing request receiving means;
A service provision for verifying a signature of a service provision request received by the service provision request receiving means using a public key of the secure chip included in the chip public key certificate received by the service provision request receiving means Request signature verification means;
Service transfer means for transferring the VPN service application software to the communication terminal;
A VPN communication system comprising: セキュアチップを搭載した通信端末と、同じVPNに属する前記通信端末間で通信を行うための通信用暗号鍵を生成して前記通信端末へ配送するサービス提供センタとを備えたVPN通信システムであって、
前記通信端末は、
前記セキュアチップに格納されているVPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに通信用暗号鍵の生成を要求する暗号鍵生成要求に署名する暗号鍵生成要求署名手段と、
前記サービス提供センタを管理するサービス提供者の公開鍵を使用して前記暗号鍵生成要求署名手段により署名の付いた前記暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する暗号鍵生成要求暗号化手段と、
前記暗号鍵生成要求暗号化手段による暗号化により得られる暗号化暗号鍵生成要求と、前記セキュアチップに格納されているVPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵生成要求送信手段と、
前記サービス提供センタから署名の付いた暗号化生成暗号鍵情報を受信する生成暗号鍵情報受信手段と、
前記サービス提供者の公開鍵を使用して、前記生成暗号鍵情報受信手段により受信される前記暗号化生成暗号鍵情報の署名を検証する生成暗号鍵情報署名検証手段と、
前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化生成暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む生成暗号鍵情報に復号化する生成暗号鍵情報復号化手段と、
前記生成暗号鍵情報復号化手段による復号化により得られる生成暗号鍵情報を前記セキュアチップにインストールする生成暗号鍵情報インストール手段と、
を備えており、
前記サービス提供センタは、
前記通信端末から前記暗号化暗号鍵生成要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵生成要求受信手段と、
前記暗号鍵生成要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、
前記サービス提供者の秘密鍵を使用して、前記暗号鍵生成要求受信手段により受信される前記暗号化暗号鍵生成要求を前記署名の付いた前記暗号鍵生成要求に復号化する暗号鍵生成要求復号化手段と、
前記VPNサービス用アプリケーションの公開鍵を使用して、前記暗号鍵生成要求復号化手段による復号化により得られる前記暗号鍵生成要求の署名を検証する生成要求署名検証手段と、
前記通信端末に配布する通信用暗号鍵を生成する通信用暗号鍵生成手段と、
前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とをグループ情報データベースに登録するグループ情報格納手段と、
前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む生成暗号鍵情報を暗号化生成暗号鍵情報に暗号化する生成暗号鍵情報暗号化手段と、
前記サービス提供者の秘密鍵を使用して、前記生成暗号鍵暗号化手段による暗号化により得られる前記暗号化生成暗号鍵情報に署名する生成暗号鍵情報署名手段と、
前記生成暗号鍵情報署名手段により署名の付いた前記暗号化生成暗号鍵情報を前記通信端末へ送信する生成暗号鍵情報送信手段と、
を備えたことを特徴とするVPN通信システム。 A VPN communication system comprising: a communication terminal equipped with a secure chip; and a service providing center that generates a communication encryption key for performing communication between the communication terminals belonging to the same VPN and delivers the communication encryption key to the communication terminal. ,
The communication terminal is
An encryption key generation request signing means for signing an encryption key generation request for requesting the service providing center to generate an encryption key for communication using a secret key of the VPN service application stored in the secure chip;
An encryption key generation request encryption for encrypting the encryption key generation request signed by the encryption key generation request signing means into an encryption encryption key generation request using the public key of the service provider managing the service providing center And
An encryption key for transmitting an encryption encryption key generation request obtained by encryption by the encryption key generation request encryption means and a public key certificate of a VPN service application stored in the secure chip to the service providing center Generation request transmission means;
Generated encryption key information receiving means for receiving encrypted generated encryption key information with a signature from the service providing center;
Generated cryptographic key information signature verification means for verifying a signature of the encrypted generated cryptographic key information received by the generated cryptographic key information receiving means using the public key of the service provider;
Generated encryption key information decrypting means for decrypting the encrypted generated encryption key information into generated encryption key information including a communication encryption key and an identifier of the communication encryption key using a secret key of the VPN service application;
Generated encryption key information installing means for installing the generated encryption key information obtained by decryption by the generated encryption key information decrypting means in the secure chip;
With
The service providing center
Encryption key generation request receiving means for receiving the encryption encryption key generation request and the public key certificate of the VPN service application from the communication terminal;
Service public key certificate verifying means for verifying the public key certificate of the VPN service application received by the encryption key generation request receiving means;
Encryption key generation request decryption for decrypting the encryption encryption key generation request received by the encryption key generation request receiving means into the encryption key generation request with the signature, using the secret key of the service provider And
Generation request signature verification means for verifying the signature of the encryption key generation request obtained by decryption by the encryption key generation request decryption means using the public key of the VPN service application;
A communication encryption key generating means for generating a communication encryption key distributed to the communication terminal;
Group information storage means for registering the communication encryption key generated by the communication encryption key generation means and the identifier of the communication encryption key in a group information database;
Using the public key of the VPN service application, the generated encryption key information including the communication encryption key generated by the communication encryption key generation means and the identifier of the communication encryption key is encrypted and generated Generated encryption key information encryption means for encrypting information;
Generated encryption key information signing means for signing the encrypted generated encryption key information obtained by encryption by the generated encryption key encryption means using the secret key of the service provider;
Generated encryption key information transmitting means for transmitting the encrypted generated encryption key information signed by the generated encryption key information signing means to the communication terminal;
A VPN communication system comprising: セキュアチップを搭載した通信端末と、同じVPNに属する前記通信端末間で通信を行うための通信用暗号鍵を管理し、前記通信端末へ配送するサービス提供センタとを備えたVPN通信システムであって、
前記通信端末は、
前記セキュアチップに格納されているVPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに通信用暗号鍵の共有を要求する暗号鍵共有要求に署名する暗号鍵共有要求署名手段と、
前記サービス提供センタを管理するサービス提供者の公開鍵を使用して前記暗号鍵共有要求署名手段により署名の付いた前記暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する暗号鍵共有要求暗号化手段と、
前記暗号鍵共有要求暗号化手段による暗号化により得られる暗号化暗号鍵共有要求と、前記セキュアチップに格納されているVPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵共有要求送信手段と、
前記サービス提供センタから署名の付いた暗号化共有暗号鍵情報を受信する共有暗号鍵情報受信手段と、
前記サービス提供者の公開鍵を使用して、前記共有暗号鍵情報受信手段により受信される前記暗号化共有暗号鍵情報の署名を検証する共有暗号鍵情報署名検証手段と、
前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化共有暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む共有暗号鍵情報に復号化する共有暗号鍵情報復号化手段と、
前記共有暗号鍵情報復号化手段による復号化により得られる共有暗号鍵情報を前記セキュアチップにインストールする共有暗号鍵情報インストール手段と、
を備えており、
前記サービス提供センタは、
前記通信端末から前記暗号化暗号鍵共有要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵共有要求受信手段と、
前記暗号鍵共有要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、
前記サービス提供者の公開鍵を使用して、前記暗号鍵共有要求受信手段により受信される前記暗号化暗号鍵共有要求を前記署名の付いた前記暗号鍵共有要求に復号化する暗号鍵共有要求復号化手段と、
前記サービス提供者の秘密鍵を使用して、前記暗号鍵共有要求復号化手段による復号化により得られる前記暗号鍵共有要求の署名を検証する共有要求署名検証手段と、
前記通信端末に配布する通信用暗号鍵を検索する通信用暗号鍵検索手段と、
前記ユーザ端末のユーザ情報をグループ情報データベースに追加登録するグループ情報追加登録手段と、
前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵検索手段により検索される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する共有暗号鍵情報暗号化手段と、
前記サービス提供者の秘密鍵を使用して、前記共有暗号鍵暗号化手段による暗号化により得られる前記暗号化共有暗号鍵情報に署名する共有暗号鍵情報署名手段と、
前記共有暗号鍵情報署名手段により署名の付いた前記暗号化共有暗号鍵情報を前記通信端末へ送信する共有暗号鍵情報送信手段と、
を備えたことを特徴とするVPN通信システム。 A VPN communication system comprising: a communication terminal equipped with a secure chip; and a service providing center that manages a communication encryption key for performing communication between the communication terminals belonging to the same VPN and delivers the communication encryption key to the communication terminal. ,
The communication terminal is
An encryption key sharing request signing means for signing an encryption key sharing request for requesting the service providing center to share a communication encryption key, using a secret key of the VPN service application stored in the secure chip;
Encryption key sharing request encryption for encrypting the encryption key sharing request signed by the encryption key sharing request signing means into an encryption encryption key sharing request using the public key of the service provider managing the service providing center And
Encryption key for transmitting an encryption encryption key sharing request obtained by encryption by the encryption key sharing request encryption unit and a public key certificate of a VPN service application stored in the secure chip to the service providing center A sharing request transmission means;
Shared encryption key information receiving means for receiving encrypted shared encryption key information with a signature from the service providing center;
Shared encryption key information signature verification means for verifying the signature of the encrypted shared encryption key information received by the shared encryption key information receiving means using the public key of the service provider;
Shared encryption key information decrypting means for decrypting the encrypted shared encryption key information into shared encryption key information including a communication encryption key and an identifier of the communication encryption key using a secret key of the VPN service application;
Shared encryption key information installation means for installing shared encryption key information obtained by decryption by the shared encryption key information decryption means in the secure chip;
With
The service providing center
Encryption key sharing request receiving means for receiving the encrypted encryption key sharing request and the public key certificate of the VPN service application from the communication terminal;
Service public key certificate verification means for verifying the public key certificate of the VPN service application received by the encryption key sharing request reception means;
Cryptographic key sharing request decryption for decrypting the encrypted cryptographic key sharing request received by the cryptographic key sharing request receiving means into the signed cryptographic key sharing request using the public key of the service provider And
A shared request signature verification means for verifying a signature of the encryption key sharing request obtained by decryption by the encryption key sharing request decryption means, using the secret key of the service provider;
A communication encryption key search means for searching for a communication encryption key distributed to the communication terminal;
Group information additional registration means for additionally registering user information of the user terminal in a group information database;
Using the public key of the VPN service application, the shared encryption key information including the communication encryption key searched by the communication encryption key search means and the identifier of the communication encryption key is encrypted. Shared encryption key information encryption means for encrypting information;
Shared encryption key information signing means for signing the encrypted shared encryption key information obtained by encryption by the shared encryption key encryption means using the service provider's private key;
Shared encryption key information transmitting means for transmitting the encrypted shared encryption key information signed by the shared encryption key information signing means to the communication terminal;
A VPN communication system comprising: セキュアチップを搭載した通信端末を備えたVPN通信システムにおいて、
前記通信端末は、前記セキュアチップに格納されている通信用暗号鍵を使用して同じVPNに属する他の通信端末と暗号化通信を行うことを特徴とするVPN通信システム。

In a VPN communication system equipped with a communication terminal equipped with a secure chip,
The VPN communication system, wherein the communication terminal performs encrypted communication with another communication terminal belonging to the same VPN using a communication encryption key stored in the secure chip.

JP2003285944A 2003-08-04 2003-08-04 VPN communication system Expired - Lifetime JP4467923B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003285944A JP4467923B2 (en) 2003-08-04 2003-08-04 VPN communication system
KR20067002222A KR100754556B1 (en) 2003-08-04 2004-08-03 Vpn communication system
PCT/JP2004/011415 WO2005013552A1 (en) 2003-08-04 2004-08-03 Vpn communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003285944A JP4467923B2 (en) 2003-08-04 2003-08-04 VPN communication system

Publications (2)

Publication Number Publication Date
JP2005057479A true JP2005057479A (en) 2005-03-03
JP4467923B2 JP4467923B2 (en) 2010-05-26

Family

ID=34113913

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003285944A Expired - Lifetime JP4467923B2 (en) 2003-08-04 2003-08-04 VPN communication system

Country Status (3)

Country Link
JP (1) JP4467923B2 (en)
KR (1) KR100754556B1 (en)
WO (1) WO2005013552A1 (en)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007172431A (en) * 2005-12-26 2007-07-05 Hitachi Ltd Authentication system and authentication method
JP2010081266A (en) * 2008-09-25 2010-04-08 Fuji Xerox Co Ltd Information processing apparatus, management apparatus, communication system, and program
JP2012065004A (en) * 2010-09-14 2012-03-29 Panasonic Corp Electronic information introduction system, terminal apparatus, server apparatus, electronic information introduction method, and program
US8879757B2 (en) 2012-11-20 2014-11-04 Tsinghua University Thermoacoustic device
US8908888B2 (en) 2012-11-20 2014-12-09 Tsinghua University Earphone
US8913765B2 (en) 2012-11-20 2014-12-16 Tsinghua University Earphone
US8913764B2 (en) 2012-11-20 2014-12-16 Tsinghua University Earphone
US8923534B2 (en) 2012-11-20 2014-12-30 Tsinghua University Earphone
US9088851B2 (en) 2012-11-20 2015-07-21 Tsinghua University Thermoacoustic device array
US9161135B2 (en) 2012-11-20 2015-10-13 Tsinghua University Thermoacoustic chip
US9241221B2 (en) 2012-11-20 2016-01-19 Tsinghua University Thermoacoustic chip
US9264819B2 (en) 2012-11-20 2016-02-16 Tsinghua University Thermoacoustic device
US9402127B2 (en) 2012-11-20 2016-07-26 Tsinghua University Earphone
US20160219029A1 (en) 2015-01-27 2016-07-28 Renesas Electronics Corporation Communication device, lsi, program, and communication system
US9491535B2 (en) 2012-11-20 2016-11-08 Tsinghua University Earphone
US9756442B2 (en) 2012-11-20 2017-09-05 Tsinghua University Method for making thermoacoustic device array
US9774971B2 (en) 2012-11-20 2017-09-26 Tsinghua University Method for making thermoacoustic device
JP2019134268A (en) * 2018-01-30 2019-08-08 富士通株式会社 Registration system and registration method

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4498165B2 (en) * 2005-02-10 2010-07-07 株式会社エヌ・ティ・ティ・データ Encryption communication key management apparatus and program
CN114050931B (en) * 2021-11-10 2024-05-28 湖北天融信网络安全技术有限公司 Data transmission method, device, electronic equipment and readable storage medium

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS619052A (en) * 1984-06-25 1986-01-16 Toshiba Corp Communication network system
JPH09219700A (en) * 1996-02-09 1997-08-19 Toppan Printing Co Ltd Data communication system, data communication equipment and ic card
JPH10322328A (en) * 1997-05-20 1998-12-04 Mitsubishi Electric Corp Encryption communication system and encryption communication method
JP2000059357A (en) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> Closed area group communication system, management server system, communication terminal and their program storage medium

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007172431A (en) * 2005-12-26 2007-07-05 Hitachi Ltd Authentication system and authentication method
JP4684100B2 (en) * 2005-12-26 2011-05-18 株式会社日立製作所 Authentication system and authentication method
JP2010081266A (en) * 2008-09-25 2010-04-08 Fuji Xerox Co Ltd Information processing apparatus, management apparatus, communication system, and program
JP4692600B2 (en) * 2008-09-25 2011-06-01 富士ゼロックス株式会社 Information processing apparatus, communication system, and program
JP2012065004A (en) * 2010-09-14 2012-03-29 Panasonic Corp Electronic information introduction system, terminal apparatus, server apparatus, electronic information introduction method, and program
US9088851B2 (en) 2012-11-20 2015-07-21 Tsinghua University Thermoacoustic device array
US9402127B2 (en) 2012-11-20 2016-07-26 Tsinghua University Earphone
US8913765B2 (en) 2012-11-20 2014-12-16 Tsinghua University Earphone
US8913764B2 (en) 2012-11-20 2014-12-16 Tsinghua University Earphone
US8923534B2 (en) 2012-11-20 2014-12-30 Tsinghua University Earphone
US8879757B2 (en) 2012-11-20 2014-11-04 Tsinghua University Thermoacoustic device
US9161135B2 (en) 2012-11-20 2015-10-13 Tsinghua University Thermoacoustic chip
US9241221B2 (en) 2012-11-20 2016-01-19 Tsinghua University Thermoacoustic chip
US9264819B2 (en) 2012-11-20 2016-02-16 Tsinghua University Thermoacoustic device
US8908888B2 (en) 2012-11-20 2014-12-09 Tsinghua University Earphone
US9774971B2 (en) 2012-11-20 2017-09-26 Tsinghua University Method for making thermoacoustic device
US9756442B2 (en) 2012-11-20 2017-09-05 Tsinghua University Method for making thermoacoustic device array
US9491535B2 (en) 2012-11-20 2016-11-08 Tsinghua University Earphone
JP2016139882A (en) * 2015-01-27 2016-08-04 ルネサスエレクトロニクス株式会社 Communication device, LSI, program and communication system
US20160219029A1 (en) 2015-01-27 2016-07-28 Renesas Electronics Corporation Communication device, lsi, program, and communication system
US10382419B2 (en) 2015-01-27 2019-08-13 Renesas Electronics Corporation Communication device, LSI, program, and communication system
JP2019134268A (en) * 2018-01-30 2019-08-08 富士通株式会社 Registration system and registration method
US11245698B2 (en) 2018-01-30 2022-02-08 Fujitsu Limited Registration system and registration method

Also Published As

Publication number Publication date
KR100754556B1 (en) 2007-09-05
JP4467923B2 (en) 2010-05-26
WO2005013552A1 (en) 2005-02-10
KR20060059993A (en) 2006-06-02

Similar Documents

Publication Publication Date Title
JP4467923B2 (en) VPN communication system
TWI248273B (en) Network connection system and connection method using the same, authentication server, client apparatus and connection server
CN1829144B (en) Cryptographic communication system and method
JP2022507151A (en) Safe wireless firmware upgrade
KR100721522B1 (en) Method for providing location based service using location token
EP3293995B1 (en) Locking system and secure token and ownership transfer
JP2006203936A (en) Method for initializing secure communication and pairing device exclusively, computer program, and device
JP4803145B2 (en) Key sharing method and key distribution system
TW201012166A (en) Virtual subscriber identity module
JP6667371B2 (en) Communication system, communication device, communication method, and program
JP2008099267A (en) Method for securing session between wireless terminal and equipment in network
JP2005303485A (en) Key distribution method and system for encryption communication
JP4339234B2 (en) VPN connection construction system
JP2003242124A (en) Content management system and content management method
JP5391829B2 (en) Key management system, key management method, server device, and program
EP1843274B1 (en) Digital rights management system
JP5012574B2 (en) Common key automatic sharing system and common key automatic sharing method
KR20150134155A (en) Apparatus and system for integratedly managing user&#39;s private information and method thereof
WO2019163040A1 (en) Access management system and program thereof
JP3770173B2 (en) Common key management system and common key management method
KR20040097016A (en) Method and System of Web Storage Service with Cipher
KR20070062632A (en) Mobile message and file security implementation by cryptography
JP3914193B2 (en) Method for performing encrypted communication with authentication, authentication system and method
JP2007074745A (en) Method for performing encrypted communication by obtaining authentication, authentication system and method
JP2005202869A (en) Personal information disclosure system, method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100216

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100224

R150 Certificate of patent or registration of utility model

Ref document number: 4467923

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140305

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term