JP2005064984A - 通信装置、鍵交換システムおよび鍵交換プログラム - Google Patents

通信装置、鍵交換システムおよび鍵交換プログラム Download PDF

Info

Publication number
JP2005064984A
JP2005064984A JP2003293928A JP2003293928A JP2005064984A JP 2005064984 A JP2005064984 A JP 2005064984A JP 2003293928 A JP2003293928 A JP 2003293928A JP 2003293928 A JP2003293928 A JP 2003293928A JP 2005064984 A JP2005064984 A JP 2005064984A
Authority
JP
Japan
Prior art keywords
public key
key
partial
communication
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003293928A
Other languages
English (en)
Inventor
Masahiro Ishiyama
政浩 石山
Tatsuya Shinmyo
達哉 神明
Yuzo Tamada
雄三 玉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003293928A priority Critical patent/JP2005064984A/ja
Publication of JP2005064984A publication Critical patent/JP2005064984A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】信頼関係を有しない不特定多数との通信相手に対しても安全性を確保しながら暗号鍵の交換を行って暗号化通信を行うこと。
【解決手段】暗号化通信の通信を行う際に、発呼端末100は、公開鍵を複数の部分公開鍵に分割して、分割された部分公開鍵と受呼端末110のアドレス情報を含む複数の部分公開鍵情報を生成し、生成された複数の部分公開鍵情報の中の一つを、アドレス情報で指定された通信相手の通信装置に転送する複数の鍵転送サーバ121〜12nに、該鍵転送サーバのそれぞれが異なる部分公開鍵情報となるように送信する。鍵転送サーバ121〜12nは、発呼端末100から部分公開鍵を含む部分公開鍵情報を受信し、受呼端末110に転送する。受呼端末110は、鍵転送サーバ121〜12nから、鍵転送サーバごとに異なる複数の部分公開鍵情報を受信し、受信した複数の部分公開鍵情報に基づいて発呼端末100の公開鍵を再構築する。
【選択図】 図1

Description

この発明は、ネットワーク上の2つの通信装置の間で暗号化通信の通信を確立する際に、公開鍵を交換する通信装置、鍵交換システムおよび鍵交換プログラムに関する。
近年、 世界最大のコンピュータネットワークであるインターネット(Internet)の利用が普及しており、 インターネット上に公開された情報やサービスを利用したり、あるいはインターネットを介してアクセスしてくる外部ユーザに対して、各種情報やサービスを提供することによって、新たなコンピュータビジネスが開拓されている。
このようなインターネットは情報の入手やサービスの提供を容易に受けることができる点で有用なものであるが、その一方、インターネットによる通信において、通信内容の漏洩が問題となっている。すなわち、特定の利用者とのインターネットを介した通信、例えばIP電話やインスタントメッセージなどにおいて、インターネット上を流れる情報内容を悪意のある第三者によって傍受、盗聴される可能性があり、このような傍受、盗聴を防止するために情報を暗号化して送信し、受信先で復号化する暗号化通信を行うことが一般的となっている。
インターネットにおける暗号化通信においては、インターネットを利用するアプリケーションに意識させずに、IP(Internet Protocol)プロトコルのレベルで自動的に暗号化通信を実現し、セキュリティを確保するためのIPSec(Security Architecture for Internet Protocol)のプロトコルがIPv4(Internet Protocol Version4)およびIPv6(Internet Protocol Version4)で規定されている。
IPSecでは、事前に通信相手と使用する暗号アルゴリズム(例えば共通鍵方式、公開鍵方式など)と暗号鍵をSA(Security Association)という合意とり、通信相手の認証を行った上で暗号鍵の交換を行うこととしている。そして、自動的にSAの合意をとって暗号鍵の交換を行う鍵交換プロトコルとして、IKE(Internet Key Exchange)が規定されている。このIKEプロトコルでは、暗号鍵の交換の際、悪意のある第三者が伝送路中で暗号鍵を傍受して偽造した鍵情報を通信相手に送信されてしまう可能性があるため、事前に通信相手の認証を行って通信相手との信頼関係を築いた上で暗号鍵の交換を行っている(非特許文献1、非特許文献2参照)。
また、特開平11−187012号公報には、以下のような共有鍵交換方式が開示されている。暗号通信を行う2つの通信装置が自身で生成した公開数値を管理センタの公開鍵を用いて暗号化し管理センタに送信し、管理センタではこれを自身の秘密鍵を用いて復号化し、2つの通信装置の2つの公開数値を得た後、復号公開数値と自身の秘密鍵を用いて暗号化した所定の関数を暗号通信を行う2つの通信装置に送信する。各通信装置は、受信した値を管理センタの公開鍵を用いて復号化することで認証を行うとともに復号値を得て、その復号値と自身の公開数値とから関数gを計算し、さらに乱数を用いて共有鍵を計算する、という方式である(特許文献1参照)。
IETF RFC2401 Security Architecture for the Internet Protocol IETF RFC2460 Internet Protocol, Version 6 (IPv6) Specification 特開平11−187012号公報
しかしながら、IKEプロトコルや上記従来技術では、通信相手の認証を行って通信相手との信頼関係を築くことが前提となっているため、不特定多数を対象として通信を行う場合には、すべての通信相手の認証を行う必要があり暗号鍵の交換は困難になるという問題がある。
ところが、実際のコミュニケーションにおいては、通信相手を認証して安全性を確保することまでは必要ないが、暗号化通信を安全に行いたい場合がある。このような場合、RSA方式などに代表される非対象鍵暗号方式を利用して、自己の公開鍵を通信相手に渡せれば、通信相手を認証しなくても比較的安全な暗号化通信を行なうことは可能である。
しかしながら、単純に公開鍵を交換する場合には、公開鍵の送信元と送信先の間の伝送路に介入して、両方に知られることなく送信される公開鍵を傍受して、改ざんしたり、公開鍵の送信元になりすましたりする攻撃、すなわちman−in−the−middle攻撃が容易に行われてしまう可能性があるという問題がある。
この発明は上記に鑑みてなされたもので、信頼関係を有しない不特定多数との通信相手に対しても安全性を確保しながら通信相手と通信に用いる暗号鍵の交換を行って暗号化通信を行うことができる通信装置、鍵交換システムおよび鍵交換プログラムを提供することを目的とする。
上記目的を達成するため、本発明は、通信相手の通信装置と通信する際に、前記通信相手の通信装置に対して自己の公開鍵を送信し、前記通信相手の通信装置から前記公開鍵によって暗号化された鍵情報を受信することによって前記通信装置との通信に用いる暗号鍵を交換する通信装置であって、前記公開鍵を複数の部分公開鍵に分割して、この分割された部分公開鍵と前記通信相手のアドレス情報を含む複数の部分公開鍵情報を生成する公開鍵分割手段と、前記公開鍵分割手段によって生成された複数の部分公開鍵情報の中の一つを、前記アドレス情報で指定された前記通信相手の通信装置に転送する複数の鍵転送サーバに、該鍵転送サーバのそれぞれが異なる前記部分公開鍵情報となるように送信する送信手段と、を備えたことを特徴とする。
また、本発明は、通信相手の通信装置と通信する際に、前記通信相手の通信装置から公開鍵を取得して、取得した公開鍵によって暗号化した鍵情報を前記通信相手の通信装置に送信することによって前記通信装置との通信に用いる暗号鍵を交換する通信装置であって、前記通信相手の通信装置から前記通信相手の公開鍵を分割した複数の部分公開鍵の中の一つを含むそれぞれ別の部分公開鍵情報を受信する複数の鍵転送サーバから、複数の部分公開鍵情報を受信する受信手段と、前記受信手段によって受信した複数の部分公開鍵情報に基づいて前記通信相手の通信装置の公開鍵を再構築する公開鍵再構築手段と、を備えたことを特徴とする。
また、本発明は、第1の通信装置と、第2の通信装置とを備え、第1の通信装置と第2の通信装置との間で暗号化通信の通信を行う際に、前記第2の通信装置に対して前記第1の公開鍵を送信し、前記第1の通信装置が前記第2の通信装置から前記公開鍵によって暗号化された通信のための暗号鍵を受信することによって鍵交換を行う鍵交換システムであって、前記第1の通信装置から前記公開鍵を分割した部分公開鍵の中の一つを含む部分鍵情報を受信する部分公開鍵情報受信手段と、前記部分公開鍵情報受信手段によって受信した部分公開鍵情報を、前記第2の通信装置に転送する転送手段を備えた複数の鍵転送サーバを更に備え、前記第1の通信装置は、前記公開鍵を複数の部分公開鍵に分割して、分割された部分公開鍵の中の一つと前記第2の通信装置のアドレス情報を含む複数の部分公開鍵情報を生成する公開鍵分割手段と、前記公開鍵分割手段によって生成された複数の部分公開鍵情報の中の一つを、前記鍵転送サーバに、該鍵転送サーバのそれぞれが異なる前記部分公開鍵情報となるように送信する送信手段と、を備え、前記第2の通信装置は、前記鍵転送サーバから、前記鍵転送サーバごとに異なる複数の部分公開鍵情報を受信する受信手段と、前記受信手段によって受信した複数の部分公開鍵情報に基づいて前記第1の通信装置の公開鍵を再構築する公開鍵再構築手段と、を備えたことを特徴とする。
この発明によれば、第1の通信装置から公開鍵を分割した部分公開鍵を含む部分鍵情報を受信して、受信した部分公開鍵情報を第2の通信装置に転送する複数の鍵交換サーバを備え、第1の通信装置では、公開鍵を複数の部分公開鍵に分割して、分割された部分公開鍵の中の一つと第2の通信装置のアドレス情報を含む複数の部分公開鍵情報を生成し、生成された複数の部分公開鍵情報の中の一つを、アドレス情報で指定された通信相手の通信装置に転送する複数の鍵転送サーバに、該鍵転送サーバのそれぞれが異なる部分公開鍵情報となるように送信し、一方、第2の通信装置は、鍵転送サーバから、鍵転送サーバごとに異なる複数の部分公開鍵情報を受信し、受信した複数の部分公開鍵情報に基づいて第1の通信装置の公開鍵を再構築することで、鍵転送サーバと受呼端末である第2の通信装置間の伝送経路で部分公開鍵を傍受しようとする悪意のある第三者は、複数の鍵転送サーバと第2の通信装置のすべて伝送経路で部分公開鍵の傍受を行わなくてはならず、また傍受できたとしても複数の部分公開鍵から公開鍵の再構築を行う必要がある。このため、公開鍵の傍受が困難となり、通信の安全性を確保できる。また、本発明によれば、第1の通信装置と第2の通信装置との間、および鍵転送サーバと第2の通信装置との間で暗号化通信が確立されていない場合でも、第1の通信装置と複数の鍵転送サーバとの間で暗号化通信が確立されていれば、この鍵転送サーバを経由して部分公開鍵を第1の通信装置から第2の通信装置に安全に送信することができるので、不特定多数との通信相手に対しても安全性を確保しながら公開鍵の交換を行って暗号化通信を行うことができる。
本発明によれば、鍵転送サーバと受呼端末である通信装置間の伝送経路で部分公開鍵を傍受しようとする悪意のある第三者は、複数の鍵転送サーバと第2の通信装置のすべて伝送経路で部分公開鍵の傍受を行わなくてはならず、また傍受できたとしても複数の部分公開鍵から公開鍵の再構築を行う必要があるため、公開鍵の傍受が困難となり、通信の安全性を確保できるという効果を奏する。また、本発明によれば、第1の通信装置と第2の通信装置との間、および鍵転送サーバと第2の通信装置との間で暗号化通信が確立されていない場合でも、第1の通信装置と暗号化通信が確立されている複数の鍵転送サーバを経由して部分公開鍵を第1の通信装置から第2の通信装置に安全に送信することができるので、不特定多数との通信相手に対しても安全性を確保しながら公開鍵の交換を行って暗号化通信を行うことができるという効果を奏する。
以下に添付図面を参照して、この発明にかかる通信装置、鍵交換システムおよび鍵交換プログラムの好適な実施の形態を詳細に説明する。
(実施の形態1)
本実施の形態では、IP電話やインターネットのインスタントメッセージを不特定多数の通信相手と行う場合において、暗号化通信の確立の際に行う公開鍵の交換について説明する。ここで、インターネットの通信プロトコルは、IPv6を利用するものとする。
図1は、この発明の実施の形態1である鍵交換システムのネットワーク構成を示すブロック図である。図1に示すように、IP電話の発呼を行う発呼端末100と、受呼を行う受呼端末110と、公開鍵を発呼端末100から受信して受呼端末110に転送する鍵転送サーバ121〜12nがインターネット130に接続された構成となっている。ここで、発呼端末100は、本発明における通信装置および第1の通信装置を構成する。また、受呼端末110は、本発明における通信装置および第2の通信装置を構成する。
なお、本実施の形態では、発呼端末100から受呼端末110に公開鍵を送信する場合を例にあげて説明する。
まず、本実施の形態の公開鍵の交換処理の概要を説明する。発呼端末100では、暗号化通信の確立を受呼端末110と行う際に、自己の公開鍵を生成して、生成した公開鍵を任意の数に分割した部分公開鍵を生成する。そして、発呼端末100は、生成した部分公開鍵に、分割数、部分公開鍵の公開鍵上での位置、送信元IPアドレス、送信先IPアドレス、公開鍵の識別情報であるインデックス番号を付加した部分公開鍵データを部分公開鍵ごとに複数生成し、それぞれ異なる鍵転送サーバ121〜12nに送信する。ここで、鍵転送サーバ121〜12nは発呼端末100と暗号化通信の確立がなされており、信頼関係のある通信相手である。このような鍵転送サーバ121〜12nとしては、例えばインターネットのサービスプロバイダなどを利用すればよい。
鍵転送サーバ121〜12nのそれぞれでは、部分公開鍵データを受信して、部分公開鍵データに含まれる送信先IPアドレスの端末、すなわち受呼端末110に受信した部分公開鍵データを転送する。
受呼端末110では、鍵転送サーバ121〜12nのそれぞれから部分公開鍵データを逐次受信する。そして、すべての部分公開鍵データを受信したら、部分公開鍵データの部分公開鍵を結合することによって発呼端末100の公開鍵の再構築を行う。そして、受呼端末110は、再構築した公開鍵によって発呼端末100との暗号化通信に使用する共通鍵を暗号化して暗号化した共通鍵を発呼端末に送信する。
一方、発呼端末100では、暗号化された共通鍵を受信して公開鍵に対応した秘密鍵で復号化する。そして、復号化された共通鍵によって暗号化通信を確立する。
次に、発呼端末100について説明する。発呼端末100は、IP電話、インスタントメッセージ等において、通信相手先の受呼端末に発呼を行う端末である。
図2は、発呼端末100の機能的構成を示すブロック図である。発呼端末100は、公開鍵生成部201と、公開鍵分割部202と、秘密鍵生成部204と、復号化処理部203と、通信処理部205とを備えている。
公開鍵生成部201は、発呼端末100の公開鍵を生成するものであり、生成のタイミングは新たな通信を確立する時点、発呼端末100上で動作する異なるアプリケーションによって通信の確立要求が行われた時点などである。
公開鍵分割部202は、公開鍵生成部201によって生成された公開鍵を任意の数に分割して複数の部分公開鍵を生成する。また、公開鍵分割部202は、生成された部分公開鍵に、分割数、部分公開鍵の公開鍵の先頭からのビット数(位置)、部分公開鍵のビット長(サイズ)、送信元IPアドレス(発呼端末100のIPアドレス)、送信先IPアドレス(受呼端末110のIPアドレス)、受呼端末側で公開鍵を識別するためのインデックス番号とを付加した部分公開鍵データを、部分公開鍵の数だけ生成する。なお、部分公開鍵データの構造については後述する。
秘密鍵生成部204は、公開鍵生成部201によって生成された公開鍵に体操する秘密鍵を生成するものである。
復号化処理部203は、受呼端末110から受信した暗号化された共通鍵を復号化するものである。
通信処理部205は、インターネット130を介して各種データの送受信を行うものである。具体的には、通信処理部205は、公開鍵分割部202によって生成された複数の部分公開鍵データから、部分公開鍵データごとにIPパケットを生成してそれぞれ異なる鍵転送サーバ121〜12nに送信する。この通信処理部205は、本発明における送信手段を構成する。また、通信処理部205は、受呼端末110から暗号化された共通鍵を受信する。
次に、受呼端末110について説明する。発呼端末110は、IP電話、インスタントメッセージ等において、通信相手先の発呼端末100からの発呼を受信する端末である。
図3は、受呼端末110の機能的構成を示すブロック図である。受呼端末110は、公開鍵再構築部301と、共通鍵生成部302と、暗号化処理部303と、通信処理部304とを備えている。
公開鍵再構築部301は、鍵転送サーバ121〜12nからそれぞれ受信した複数の部分公開鍵データから部分公開鍵を抽出して、部分公開鍵データに含まれる分割数、部分公開鍵の公開鍵上での先頭ビット数およびビット長から部分公開鍵を結合して、発呼端末100の公開鍵を再構築するものである。
共通鍵生成部302は、発呼端末100との間の暗号化通信の確立を行うための共通鍵を生成するものである。
暗号化処理部303は、共通鍵生成部302によって生成された共通鍵を、公開鍵再構築部301によって再構築された発呼端末100の公開鍵によって暗号化するものである。
通信処理部304は、インターネット130を介して各種データの送受信を行うものである。具体的には、通信処理部304は、鍵転送サーバ121〜12nのそれぞれから部分公開鍵データのIPパケットを受信する。この通信処理部304は、本発明における受信手段を構成する。また、通信処理部304は、暗号化した共通鍵を含むIPパケットを生成して発呼端末100に送信する。
次に、鍵転送サーバ121〜12nについて説明する。鍵転送サーバ121〜12nは、発呼端末100から受信した部分公開鍵データのIPパケットを受呼端末110に転送するものであり、いずれも同様の構成をしている。
図4は、鍵転送サーバ121〜12nの機能的構成を示すブロック図である。鍵転送サーバ121〜12nは、図4に示すように、公開鍵転送処理部401と、通信処理部402とを備えている。
公開鍵転送処理部401は、発呼端末100から受信した部分公開鍵データから送信先IPアドレス(受呼端末110のIPアドレス)を抽出するものである。
通信処理部402は、インターネット130を介して各種データの送受信を行うものである。具体的には、通信処理部402は、発呼端末100から部分公開鍵データのIPパケットを受信する。また、通信処理部402は、公開鍵転送処理部401によって抽出された送信先IPアドレスを指定して部分公開鍵データのIPパケットを生成し、受呼端末110に送信する。
本実施形態の発呼端末100、受呼端末110、鍵転送サーバ121〜12nのそれぞれは、いずれもCPUなどの制御装置と、ハードディスク装置(HDD)などの記録装置と、ROMやRAM等の記憶装置と、ネットワークボード等の通信装置とが接続されており、PC(Personal Computer)やワークステーションなどコンピュータを利用した構成である。
尚、本実施形態の発呼端末100、受呼端末110、鍵転送サーバ121〜12nでは、それぞれ鍵交換プログラムが実行される。この鍵交換プログラムのそれぞれは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク、DVD等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
また、本実施形態の鍵交換プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、本実施形態の鍵交換をインターネット等のネットワーク経由で提供または配布するように構成しても良い。
本実施形態にかかる鍵交換プログラムは、発呼端末100、受呼端末110、鍵転送サーバ121〜12nのそれぞれで上記記憶媒体から読み出して実行することにより主記憶装置上にロードされ、上記機能的構成で説明した各部が主記憶装置上に生成されるようになっている。
次に、以上のように構成された本実施の形態の鍵交換システムによる鍵交換処理について説明する。図5は、発呼端末100による公開鍵の分割の処理手順を示すフローチャートである。
発呼端末100は、受呼端末110と新たな暗号化通信のコネクションを確立する際に、あるいは発呼端末100上で動作するアプリケーションからの要求で暗号化通信のコネクションを確立する際に、まず公開鍵生成部201によって発呼端末100の公開鍵Ikpを生成する(ステップS501)。そして、秘密鍵生成部204によって、公開鍵生成部201によって生成された公開鍵Ikpに対応する秘密鍵を生成する(ステップS502)。
次に、公開鍵分割部202によって、ステップ501で生成された公開鍵Ikpを複数の部分公開鍵Ikp−m(m=1〜n)に分割する(ステップS503)。ここで、公開鍵Ikpの分割は、任意の数、任意の箇所で行ってよいが、受呼端末110での公開鍵の再構築の時間を考慮すると、なるべく短時間で再構築が行え、かつ悪意のある第三者からの攻撃の防御するため、2〜3個の部分公開鍵に分割することが好ましい。
図6−1、図6−2、図6−3は、公開鍵Ikpから部分公開鍵データが生成される過程を示す説明図である。図6−1は公開鍵Ikpのデータ構造図、図6−2は公開鍵Ikpをn個の部分公開鍵Ikp−mに分割した状態のデータ構造図、図6−3は部分公開鍵データのデータ構造図である。
次いで、公開鍵分割部202によって、発呼端末100の公開鍵Ikpに固有の識別データであるインデックス番号を決定する(ステップS504)。そして、公開鍵分割部202によって、部分公開鍵Ikp−mごとに部分公開鍵データを生成する(ステップS505)。
具体的には、図6−3に示すように、部分公開鍵Ikp−mに、分割数、部分公開鍵の公開鍵の先頭からのビット数(位置)、部分公開鍵のビット長(サイズ)、送信元IPアドレス(発呼端末100のIPアドレス)、送信先IPアドレス(受呼端末110のIPアドレス)、ステップS504で決定したインデックス番号とを付加し、部分公開鍵データとする。
そして、通信処理部205によって、部分公開鍵データからIPパケットを生成し、複数の部分公開鍵データのIPパケットのそれぞれを異なる鍵転送サーバ121〜12nに送信する(ステップS506)。
ここで、IPパケットを生成する場合には、送信先のIPアドレスに鍵転送サーバ121〜12nのIPアドレスを指定する。この鍵転送サーバ121〜12nは、発呼端末100とすでに暗号化通信の確立がなされているものである。このため、具体的には、発呼端末100は、各鍵転送サーバ121〜12nと発呼端末100との間で定められた暗号アルゴリズムと暗号鍵によって部分公開鍵データを暗号化して鍵転送サーバ121〜12nに送信し、鍵転送サーバ121〜12nでは同様の暗号アルゴリズムと暗号鍵によって部分公開鍵データが復号化されることになる。
また、このような鍵転送サーバ121〜12nとしては、インターネット上の任意の鍵転送サーバ121〜12nを選択することができるが、受呼端末110に近距離の鍵転送サーバ121〜12nを選択して部分公開鍵データを送信することが好ましい。発呼端末100と鍵転送サーバ121〜12nとの間は暗号化通信が確立されており、信頼性を有しているが、鍵転送サーバ121〜12nと不特定多数の受呼端末110との間には、暗号化通信が確立されておらず、信頼性が低いため、鍵転送サーバ121〜12nと不特定多数の受呼端末110との伝送経路中に悪意のある第三者によって部分公開鍵データが傍受される危険性があるため、できるだけ受呼端末110と近距離な鍵転送サーバ121〜12nを選択して、鍵転送サーバ121〜12nと不特定多数の受呼端末110との伝送経路中における傍受の危険性を少なくするためである。
このような近距離の鍵転送サーバ121〜12nは、例えば次のように選択すればよい。図7は、IPv6におけるIPアドレスの構造を示す説明図である。
図6において、13bitのTLA IDは最上位識別子であり、通信事業者を示すものであり、13bitのsTLA IDは、その通信事業者の各地域の事業者を示すものである。IPv6ではIPアドレスの構造がこのような構造となっているため、例えば、鍵転送サーバ121〜12nと受呼端末110のTLD IDが同一で、sTLD IDが異なっているような近似したIPアドレスの場合、鍵転送サーバ121〜12nと受呼端末110は比較的近距離に存在すると言える。
このような部分公開鍵データの鍵転送サーバ121〜12nへの送信処理は、すべての部分公開鍵データの送信が完了するまで繰り返し行われる(ステップS507)。これによって、公開鍵を分割した複数の部分公開鍵のそれぞれが異なる鍵転送サーバ121〜12nに送信されることになる。
次に、鍵転送サーバ121〜12mによる部分公開鍵の転送処理について説明する。図8は、鍵転送サーバ121〜12nにおける部分公開鍵データの転送処理の手順を示すフローチャートである。
鍵転送サーバ121〜12nは、通信処理部402によって発呼端末100から部分公開鍵データのIPパケットを受信すると、公開鍵転送処理部401によって、受信したIPパケットから部分公開鍵データを抽出する(ステップS801)。
そして、公開鍵転送処理部401によって、抽出した部分公開鍵データから送信先IPアドレスを取得する(ステップS802)。次いで、通信処理部402によって、取得した送信先IPアドレス(受呼端末110のIPアドレス)を指定し、部分公開鍵データを含むIPパケットを生成し送信する(ステップS803)。これによって、部分公開鍵データが受呼端末110に転送されることになる。
次に、受呼端末110による公開鍵の再構築処理について説明する。図10は、受呼端末110による公開鍵の再構築処理の手順を示すフローチャートである。受呼端末110では、通信処理部304によって、部分公開鍵データのIPパケットを受信すると、公開鍵再構築部301によって、IPパケットから部分公開鍵データを取り出し、分割数、インデックス番号、部分公開鍵を取得する(ステップS1001)。
そして、公開鍵再構築部301によって、取得したインデックス番号が、すでに受信済みの部分公開鍵データのインデックス番号と一致するか否かを調べることにより、部分公開鍵Ikp−mが既に受信した部分公開鍵と同一の公開鍵から分割されたものか否かを判断する(ステップS1002)。
そして、一致しない場合には(ステップS1002:No)、次の部分公開鍵データのIPパケットの受信を待つ。一方、一致する場合には(ステップS1002:Yes)、部分公開鍵Ikp−mが既に受信した部分公開鍵と同一の公開鍵から分割されたものであると判断し、次に公開鍵再構築部301によって、分割数分の部分公開鍵データのIPパケットの受信が完了したか否かを判断する(ステップS1003)。
まだ、分割数分の部分公開鍵データのIPパケットの受信が完了していないと判断した場合には(ステップS1003:No)、次の部分公開鍵データのIPパケットの受信を待つ。一方、分割数分の部分公開鍵データのIPパケットの受信が完了したと判断した場合には(ステップS1003:Yes)、公開鍵再構築部301によって、受信したすべての部分公開鍵データの部分公開鍵を、先頭ビット数の小さい順から逐次結合していき、発呼端末100の公開鍵を再構築(生成)する(ステップS1004)。
次いで、共通鍵生成部302によって、発呼端末100との暗号化通信で使用する共通鍵を生成する(ステップS1005)。そして、生成した共通鍵を、暗号化処理部303によって、ステップ1004で再構築された発呼端末100の公開鍵で暗号化する(ステップS1006)。次いで、暗号化した共通鍵を部分公開鍵データ中の送信元IPアドレス(発呼端末100のIPアドレス)に送信する(ステップS1007)。これによって、共通鍵が暗号化されて発呼端末100で受信されることになる。
図9は、共通鍵を受信した発呼端末100が行う暗号化通信の確立の処理手順を示すフローチャートである。発呼端末100では、通信処理部205によって共通鍵を受信すると、復号化処理部203によって、共通鍵を復号化する(ステップS901)。
次に、通信処理部205によって、受呼端末110との暗号化通信の確立を行う(ステップS902)。これによって、発呼端末100と受呼端末110との間で共通鍵を使用した暗号化通信が可能となる。なお、発呼端末100は、部分公開鍵データのIPパケットの送信後、一定時間経過しても受呼端末110から共通鍵を受信しない場合には、鍵転送サーバ121〜12nと受呼端末110の間の伝送経路で部分公開鍵が傍受され、偽造の公開鍵と差し替えられたと判断して、再度他の公開鍵を生成して分割して、部分公開鍵の鍵転送サーバ121〜12nへ送信するように構成してもよい。この場合には、公開鍵の交換をより安全に行うことができる。
このように実施の形態1の鍵交換システムでは、鍵転送サーバ121〜12nと受呼端末110間の伝送経路で部分公開鍵を傍受しようとする悪意のある第三者は、複数の鍵転送サーバ121〜12nと受呼端末110のすべて伝送経路で部分公開鍵の傍受を行わなくてはならない。また傍受できたとしても複数の部分公開鍵から公開鍵の再構築を行う必要があるため、公開鍵の傍受が困難となり、通信の安全性を確保できる。また、発呼端末100と受呼端末110との間、および複数の鍵転送サーバ121〜12nと受呼端末110との間で暗号化通信が確立されていない場合でも、発呼端末100と暗号化通信が確立されている複数の鍵転送サーバ121〜12nを経由して部分公開鍵を、発呼端末100から受呼端末110に安全に送信することができるので、不特定多数との通信相手に対しても安全性を確保しながら公開鍵の交換を行って暗号化通信を行うことができる。
(実施の形態2)
実施の形態1の鍵交換システムでは、部分公開鍵データに公開鍵の分割数、部分公開鍵の公開鍵上での位置およびサイズを含めていたため、鍵伝送サーバ121〜12nから受呼端末110への伝送経路中で悪意のある第三者により部分公開鍵の入手が可能である。この実施の形態2では、より安全性を確保するため、部分公開鍵データに、公開鍵の分割数、部分公開鍵の公開鍵上での位置およびサイズを含まないものである。
図11は、発呼端末1100の機能的構成を示すブロック図である。発呼端末1100は、公開鍵生成部201と、公開鍵分割部1102と、秘密鍵生成部204と、復号化処理部203と、暗号化処理部1103と、通信処理部205とを備えている。
実施の形態1の発呼端末110と同様の機能を有するものは、図2と同一符号を付し、説明を省略する。
暗号化処理部1103は、公開鍵生成部201によって生成された公開鍵IKpを暗号鍵Ktで暗号化するものである。
公開鍵分割部1102は、暗号化された公開鍵E−IKpに巡回符号(CRC)を付加して、巡回符号(CRC)を付加した公開鍵E−IKpを任意の数に分割して複数の部分公開鍵E−IKpC−mを生成する。また、公開鍵分割部1102は、暗号鍵Ktを部分公開鍵と同数に部分暗号鍵Kt−mに分割する。また、公開鍵分割部1102は、生成された部分公開鍵E−IKpC−mに、No.(順番)、送信元IPアドレス(発呼端末100のIPアドレス)、送信先IPアドレス(受呼端末110のIPアドレス)、部分暗号鍵Kt−m、受呼端末側で公開鍵を識別するためのインデックス番号とを付加した部分公開鍵データを生成する。
図12は、受呼端末1110の機能的構成を示すブロック図である。受呼端末1110は、公開鍵再構築部1201と、共通鍵生成部302と、暗号化処理部303と、通信処理部304と、復号化処理部1202、誤り検出部1203を備えている。
実施の形態1の発呼端末1110と同様の機能を有するものは、図3と同一符号を付し、説明を省略する。
公開鍵再構築部301は、鍵転送サーバ121〜12nからそれぞれ受信した複数の部分公開鍵データから暗号化された部分公開鍵を抽出して結合するとともに、部分公開鍵データに含まれる部分暗号鍵を結合するものである。
復号化処理部1202は、結合された部分公開鍵を結合された部分暗号鍵で復号化するものである。
誤り検出部1203は、復号化処理部1202によって復号化され、結合された部分公開鍵に対し巡回符号(CRC)を用いて誤り検出をおこなうものである。
なお、本実施の形態の鍵転送サーバ121〜12nは、実施の形態1と同様の構成をしているため、説明を省略する。
次に、以上のように構成された本実施の形態の鍵交換システムによる鍵交換処理について説明する。図13は、発呼端末1100による公開鍵の分割の処理手順を示すフローチャートである。
発呼端末1100は、受呼端末1110と新たな暗号化通信のコネクションを確立する際に、あるいは発呼端末1100上で動作するアプリケーションからの要求で暗号化通信のコネクションを確立する際に、まず公開鍵生成部201によって発呼端末100の公開鍵IKpを生成する(ステップS1301)。そして、秘密鍵生成部204によって、公開鍵生成部201によって生成された公開鍵IKpに対応する秘密鍵を生成する(ステップS1302)。
次に、暗号化処理部1103によって、公開鍵IKpを予め定められた暗号鍵Ktによって暗号化する(ステップS1303)。そして、公開鍵分割部1102によって、暗号化された公開鍵E−IKpに巡回符号(CRC)を付加し(ステップS1304)、巡回符号(CRC)を付加した公開鍵E−IKpを、複数の部分公開鍵E−IKp−m(m=1〜n)に分割する(ステップS1305)。
ここで、分割は、実施の形態1と同様に、任意の数、任意の箇所で行ってよいが、受呼端末1110での公開鍵の再構築の時間を考慮すると、なるべく短時間で再構築が行え、かつ悪意のある第三者からの攻撃の防御するため、2〜3個の部分公開鍵に分割することが好ましい。
次いで、公開鍵分割部1102によって、暗号鍵Ktを部分公開鍵E−IKp−mと同じ個数に分割して部分暗号鍵Kt−mを生成する(ステップS1306)。そして、公開鍵分割部1102によって、発呼端末1100の公開鍵IKpに固有の識別データであるインデックス番号を決定する(ステップS1307)。そして、公開鍵分割部1102によって、部分公開鍵E−IKp−mごとに部分公開鍵データを生成する(ステップS1308)。
図14−1、図14−2、図14−3、図14−4は、公開鍵IKpから部分公開鍵データが生成される過程を示す説明図である。図14−1は公開鍵IKpと暗号鍵Ktのデータ構造図、図14−2は、暗号化された公開鍵E−IKpに巡回符号(CRC)を付加したデータのデータ構造図、図14−3は暗号化された公開鍵E−IKpに巡回符号(CRC)を付加したデータをn個の部分公開鍵E−IKpC−mに分割した状態と暗号鍵をn個に分割した状態のデータ構造図、図14−4は部分公開鍵データのデータ構造図である。
部分公開鍵データの生成は、具体的には、図14−4に示すように、部分公開鍵E−IKpC−mに、分割の順番を示すNo.、送信元IPアドレス(発呼端末100のIPアドレス)、送信先IPアドレス(受呼端末110のIPアドレス)、部分暗号鍵Kt−m、ステップS1307で決定したインデックス番号とを付加し、部分公開鍵データとする。ここで、本実施の形態では、部分公開鍵E−IKpC−mの公開鍵上の位置を示す先頭ビット数やサイズであるビット長は含まれていない。
そして、通信処理部205によって、部分公開鍵データからIPパケットを生成し、複数の部分公開鍵データのIPパケットのそれぞれを異なる鍵転送サーバ121〜12nに送信する(ステップS1309)。
ここで、IPパケットの生成については、実施の形態1と同様に行われ、発呼端末1100は、各鍵転送サーバ121〜12nと発呼端末100との間で定められた暗号アルゴリズムと暗号鍵によって部分公開鍵データを暗号化して鍵転送サーバ121〜12nに送信し、鍵転送サーバ121〜12nでは同様の暗号アルゴリズムと暗号鍵によって部分公開鍵データが復号化されることになる。
このような部分公開鍵データの鍵転送サーバ121〜12nへの送信処理は、すべての部分公開鍵データの送信が完了するまで繰り返し行われる(ステップS1310)。これによって、分割された複数の部分公開鍵のそれぞれが異なる鍵転送サーバ121〜12nに送信されることになる。
部分公開鍵データを受信した鍵転送サーバ121〜12mによる部分公開鍵の転送処理は実施の形態1と同様に行われるため、説明を省略する。
次に、受呼端末1110による公開鍵の再構築処理について説明する。図15は、受呼端末1110による公開鍵の再構築処理の手順を示すフローチャートである。受呼端末1110では、通信処理部304によって、部分公開鍵データのIPパケットを受信すると、公開鍵再構築部301によって、IPパケットから部分公開鍵データを取り出し、No.、インデックス番号、部分公開鍵E−IKpC−mを取得する(ステップS1501)。
そして、公開鍵再構築部1201によって、取得したインデックス番号が、すでに受信済みの部分公開鍵データのインデックス番号と一致するか否かを調べることにより、部分公開鍵E−IKpC−mが既に受信した部分公開鍵と同一の公開鍵から分割されたものか否かを判断する(ステップS1502)。
そして、一致しない場合には(ステップS1502:No)、次の部分公開鍵データのIPパケットの受信を待つ。一方、一致する場合には(ステップS1502:Yes)、部分公開鍵E−IKpC−mが既に受信した部分公開鍵と同一の公開鍵から分割されたものであると判断し、次に公開鍵再構築部1201によって、ステップS1501で取得したNo.がすでに受信済みの部分公開鍵データのNo.に連続しているか否かを調べる(ステップS1503)。そして、連続していない場合には(ステップS1503:No)、次の部分公開鍵データのIPパケットの受信を待つ。
一方、連続している場合には(ステップS1503:Yes)、次に公開鍵再構築部1201によって、部分公開鍵E−IKpC−mを既に受信済みの部分公開鍵と結合する(ステップS1504)。そして、公開鍵再構築部1201によって、部分暗号鍵Kt−mを既に受信済みの部分暗号鍵と結合する(ステップS1505)。
次に、復号化処理部1202によって、結合された部分公開鍵を結合された部分暗号鍵によって復号化する(ステップS1506)。そして、誤り検出部1203によって、復号化された部分公開鍵に誤り検出がされたか否かを、巡回符号(CRC)によって判断する(ステップS1507)。
そして、誤り検出がされた場合には、まだすべての部分公開鍵データのIPパケットの受信が完了していないと判断し(ステップS1507:No)、次の部分公開鍵データのIPパケットの受信を待つ。一方、誤り検出がされなかった場合には、すべての部分公開鍵データのIPパケットの受信が完了したと判断し(ステップS1507:No)、結合された部分公開鍵が発呼端末1100の公開鍵であると認定する。
そして、共通鍵生成部302によって、発呼端末100との暗号化通信で使用する共通鍵を生成する(ステップS1508)。そして、生成した共通鍵を、暗号化処理部303によって、再構築された発呼端末1100の公開鍵で暗号化する(ステップS1509)。次いで、暗号化した共通鍵を部分公開鍵データ中の送信元IPアドレス(発呼端末1100のIPアドレス)に送信する(ステップS1510)。これによって、共通鍵が暗号化されて発呼端末1100で受信されることになる。
共通鍵を受信した発呼端末100が行う暗号化通信の確立の処理は、実施の形態1と同様に行われるため、説明を省略する。
このように実施の形態2の鍵交換システムによれば、実施の形態1と同様に、不特定多数との通信相手に対しても安全性を確保しながら公開鍵の交換を行って暗号化通信を行うことができる。さらに、実施の形態2の鍵交換システムによれば、分割数や部分公開鍵の公開鍵上での位置や部分公開鍵のサイズを含めないで部分公開鍵データを生成して送信しているので、鍵転送サーバ121〜12nと受呼端末1110の間の伝送経路で、悪意のある第三者が部分公開鍵を傍受できたとしても、すべての部分公開鍵を取得できたか否かが不明であり、部分公開鍵から公開鍵の再構築が困難であるため、より安全性を確保しながら不特定多数との通信相手と公開鍵の交換を行って暗号化通信を行うことができる。
以上のように、本発明にかかる通信装置、鍵交換システムおよび鍵交換プログラムは、IP電話やインターネットのインスタントメッセージを不特定多数の通信相手と行う場合における通信装置、、鍵交換システムおよび鍵交換プログラムに適している。
実施の形態1の鍵交換システムのネットワーク構成を示すブロック図である 実施の形態1の発呼端末の機能的構成を示すブロック図である。 実施の形態1の受呼端末の機能的構成を示すブロック図である。 実施の形態1の鍵転送サーバの機能的構成を示すブロック図である。 実施の形態1の発呼端末による公開鍵の分割の処理手順を示すフローチャートである。 公開鍵Ikpのデータ構造図である。 公開鍵Ikpをn個の部分公開鍵Ikp−mに分割した状態のデータ構造図である。 部分公開鍵データのデータ構造図である。 IPv6におけるIPアドレスの構造を示す説明図である。 実施の形態1の鍵転送サーバにおける部分公開鍵データの転送処理の手順を示すフローチャートである。 実施の形態1の共通鍵を受信した発呼端末100が行う暗号化通信の確立の処理手順を示すフローチャートである。 実施の形態1の受呼端末による公開鍵の再構築処理の手順を示すフローチャートである。 実施の形態2の発呼端末の機能的構成を示すブロック図である。 実施の形態2の受呼端末の機能的構成を示すブロック図である。 実施の形態2の発呼端末による公開鍵の分割の処理手順を示すフローチャートである。 公開鍵IKpと暗号鍵Ktのデータ構造図である。 暗号化された公開鍵E−IKpに巡回符号(CRC)を付加したデータのデータ構造図である。 暗号化された公開鍵E−IKpに巡回符号(CRC)を付加したデータをn個の部分公開鍵E−IKpC−mに分割した状態と暗号鍵をn個に分割した状態のデータ構造図である。 部分公開鍵データのデータ構造図である。 実施の形態2の受呼端末による公開鍵の再構築処理の手順を示すフローチャートである。
符号の説明
100,1100 発呼端末
110、1110 受呼端末
121〜12n 鍵転送サーバ
130 インターネット
201 公開鍵生成部
202,1102 公開鍵分割部
203 復号化処理部
204 秘密鍵生成部
205 通信処理部
301,1201 公開鍵再構築部
302 共通鍵生成部
303 暗号化処理部
304 通信処理部
401 公開鍵転送処理部
402 通信処理部
1103 暗号化処理部
1202 復号化処理部
1203 誤り検出部

Claims (11)

  1. 通信相手の通信装置と通信する際に、前記通信相手の通信装置に対して自己の公開鍵を送信し、前記通信相手の通信装置から前記公開鍵によって暗号化された鍵情報を受信することによって前記通信装置との通信に用いる暗号鍵を交換する通信装置であって、
    前記公開鍵を複数の部分公開鍵に分割して、この分割された部分公開鍵と前記通信相手のアドレス情報を含む複数の部分公開鍵情報を生成する公開鍵分割手段と、
    前記公開鍵分割手段によって生成された複数の部分公開鍵情報の中の一つを、前記アドレス情報で指定された前記通信相手の通信装置に転送する複数の鍵転送サーバに、該鍵転送サーバのそれぞれが異なる前記部分公開鍵情報となるように送信する送信手段と、
    を備えたことを特徴とする通信装置。
  2. 前記送信手段は、前記部分公開鍵情報を、前記複数の鍵転送サーバに送信する際に、該部分公開鍵情報を該鍵転送サーバが復号化可能に暗号化することを特徴とする請求項1に記載の通信装置。
  3. 前記公開鍵分割手段は、前記公開鍵を複数の部分公開鍵に分割して、この分割された部分公開鍵と、前記通信相手のアドレス情報と、前記公開鍵をいくつの部分公開鍵に分割したかを示す分割数と、該部分公開鍵が前記公開鍵上のどの位置の情報であるかを示す位置情報と、を含む複数の部分公開鍵情報を生成することを特徴とする請求項1に記載の通信装置。
  4. 前記公開鍵を予め定められた暗号鍵で暗号化する暗号化手段を更に備え、
    前記公開鍵分割手段は、前記暗号化された公開鍵に誤り符号を付加したデータを複数の部分公開鍵に分割すると共に、前記暗号鍵を複数の部分暗号鍵に分割し、分割された前記部分公開鍵の中の一つと、分割された前記部分暗号鍵の中の一つと、前記通信相手のアドレス情報とを含む複数の部分公開鍵情報をそれぞれ生成することを特徴とする請求項1に記載の通信装置。
  5. 前記送信手段は、前記複数の部分公開鍵情報のそれぞれを、前記通信相手の通信装置とアドレス情報が近似するアドレス情報の前記鍵転送サーバに送信することを特徴とする請求項1〜4のいずれか一つに記載の通信装置。
  6. 通信相手の通信装置と通信する際に、前記通信相手の通信装置から公開鍵を取得して、取得した公開鍵によって暗号化した鍵情報を前記通信相手の通信装置に送信することによって前記通信装置との通信に用いる暗号鍵を交換する通信装置であって、
    前記通信相手の通信装置から前記通信相手の公開鍵を分割した複数の部分公開鍵の中の一つを含むそれぞれ別の部分公開鍵情報を受信する複数の鍵転送サーバから、複数の部分公開鍵情報を受信する受信手段と、
    前記受信手段によって受信した複数の部分公開鍵情報に基づいて前記通信相手の通信装置の公開鍵を再構築する公開鍵再構築手段と、
    を備えたことを特徴とする通信装置。
  7. 前記受信手段は、前記鍵転送サーバから前記部分公開鍵と、前記公開鍵をいくつの部分公開鍵に分割したかを示す分割数と、該部分公開鍵が前記公開鍵上のどの位置の情報であるかを示す位置情報と、を含む複数の前記部分公開鍵情報を受信し、
    前記公開鍵再構築手段は、前記分割数と前記部分公開鍵の位置情報とに基づいて前記部分公開鍵を結合し、前記通信相手の暗号鍵を再構築することを特徴とする請求項6に記載の通信装置。
  8. 前記受信手段によって受信した部分公開鍵情報に含まれる部分公開鍵の誤り検出を行う誤り検出手段をさらに備え、
    前記受信手段は、前記鍵転送サーバから、暗号化された公開鍵に誤り符号を付加したデータを分割した部分公開鍵と、前記暗号化された公開鍵の暗号鍵を分割した部分暗号鍵とを含む複数の前記部分公開鍵情報を受信し、
    前記公開鍵再構築手段は、前記複数の部分公開鍵を結合すると共に前記複数の部分暗号鍵を結合し、該結合した部分公開鍵を該結合した暗号鍵で復号化して一の鍵情報を復号化し、
    前記誤り検出手段によって、該鍵情報に誤りが検出できない場合には、前記鍵情報を前記通信相手先の公開鍵とすることを特徴とする請求項6に記載の通信装置。
  9. 第1の通信装置と、第2の通信装置とを備え、第1の通信装置と第2の通信装置との間で暗号化通信の通信を行う際に、前記第2の通信装置に対して前記第1の公開鍵を送信し、前記第1の通信装置が前記第2の通信装置から前記公開鍵によって暗号化された通信のための暗号鍵を受信することによって鍵交換を行う鍵交換システムであって、
    前記第1の通信装置から前記公開鍵を分割した部分公開鍵の中の一つを含む部分鍵情報を受信する部分公開鍵情報受信手段と、
    前記部分公開鍵情報受信手段によって受信した部分公開鍵情報を、前記第2の通信装置に転送する転送手段を備えた複数の鍵転送サーバを更に備え、
    前記第1の通信装置は、
    前記公開鍵を複数の部分公開鍵に分割して、分割された部分公開鍵の中の一つと前記第2の通信装置のアドレス情報を含む複数の部分公開鍵情報を生成する公開鍵分割手段と、
    前記公開鍵分割手段によって生成された複数の部分公開鍵情報の中の一つを、前記鍵転送サーバに、該鍵転送サーバのそれぞれが異なる前記部分公開鍵情報となるように送信する送信手段と、を備え、
    前記第2の通信装置は、
    前記鍵転送サーバから、前記鍵転送サーバごとに異なる複数の部分公開鍵情報を受信する受信手段と、
    前記受信手段によって受信した複数の部分公開鍵情報に基づいて前記第1の通信装置の公開鍵を再構築する公開鍵再構築手段と、
    を備えたことを特徴とする鍵交換システム。
  10. 通信相手の通信装置と通信する際に、前記通信相手の通信装置に対して公開鍵を送信し、前記通信相手の通信装置から前記公開鍵によって暗号化された鍵情報を受信することによって前記通信装置との通信に用いる暗号鍵を交換する鍵交換プログラムであって、
    前記公開鍵を複数の部分公開鍵に分割して、この分割された部分公開鍵と前記通信相手のアドレス情報を含む複数の部分公開鍵情報を生成する公開鍵分割ステップと、
    前記公開鍵分割ステップによって生成された複数の部分公開鍵情報の中の一つを、前記アドレス情報で指定された前記通信相手の通信装置に転送する複数の鍵転送サーバに、該鍵転送サーバのそれぞれが異なる前記部分公開鍵情報となるように送信する送信ステップと、
    をコンピュータに実行させる鍵交換プログラム。
  11. 通信相手の通信装置と通信する際に、前記通信相手の通信装置から公開鍵を取得して、取得した公開鍵によって暗号化した鍵情報を前記通信相手の通信装置に送信することによって前記通信装置との通信に用いる暗号鍵を交換する鍵交換プログラムであって、
    前記通信相手の通信装置から前記通信相手の公開鍵を分割した部分公開鍵の中の一つを含むそれぞれ別の複数の部分公開鍵情報を受信する複数の鍵転送サーバから、複数の部分公開鍵情報を受信する受信ステップと、
    前記受信手段によって受信した複数の部分公開鍵情報に基づいて前記通信相手の通信装置の公開鍵を再構築する公開鍵再構築ステップと、
    をコンピュータに実行させる鍵交換プログラム。
JP2003293928A 2003-08-15 2003-08-15 通信装置、鍵交換システムおよび鍵交換プログラム Pending JP2005064984A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003293928A JP2005064984A (ja) 2003-08-15 2003-08-15 通信装置、鍵交換システムおよび鍵交換プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003293928A JP2005064984A (ja) 2003-08-15 2003-08-15 通信装置、鍵交換システムおよび鍵交換プログラム

Publications (1)

Publication Number Publication Date
JP2005064984A true JP2005064984A (ja) 2005-03-10

Family

ID=34370666

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003293928A Pending JP2005064984A (ja) 2003-08-15 2003-08-15 通信装置、鍵交換システムおよび鍵交換プログラム

Country Status (1)

Country Link
JP (1) JP2005064984A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503320A (ja) * 2006-09-06 2010-01-28 エスエスエルネクスト インコーポレイテッド インターネットユーザに対して認証サービスを提供するための方法およびシステム
WO2011085565A1 (zh) * 2010-01-15 2011-07-21 中兴通讯股份有限公司 Ngn中保护三层移动性用户面数据安全的方法和系统
WO2011113874A3 (en) * 2010-03-19 2011-12-01 Martin Palzer System and method for communicating between different entities using different data portions for different channels
JP2012059258A (ja) * 2010-09-07 2012-03-22 Hon Hai Precision Industry Co Ltd 電子キー保護システム及びその方法
US10057765B2 (en) 2014-09-04 2018-08-21 Samsung Electronics Co., Ltd. Master node and operation method of the master node

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503320A (ja) * 2006-09-06 2010-01-28 エスエスエルネクスト インコーポレイテッド インターネットユーザに対して認証サービスを提供するための方法およびシステム
WO2011085565A1 (zh) * 2010-01-15 2011-07-21 中兴通讯股份有限公司 Ngn中保护三层移动性用户面数据安全的方法和系统
US8862867B2 (en) 2010-01-15 2014-10-14 Zte Corporation Method and system for protecting security of the third layer mobility user plane data in NGN
WO2011113874A3 (en) * 2010-03-19 2011-12-01 Martin Palzer System and method for communicating between different entities using different data portions for different channels
KR101497782B1 (ko) * 2010-03-19 2015-03-04 엠알.큐알10 게엠베하 운트 코. 카게 다른 채널에 대한 다른 데이터 부분들을 이용한 다른 엔티티들 간의 통신을 위한 시스템 및 방법
JP2012059258A (ja) * 2010-09-07 2012-03-22 Hon Hai Precision Industry Co Ltd 電子キー保護システム及びその方法
US10057765B2 (en) 2014-09-04 2018-08-21 Samsung Electronics Co., Ltd. Master node and operation method of the master node

Similar Documents

Publication Publication Date Title
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
US9055047B2 (en) Method and device for negotiating encryption information
JP4707992B2 (ja) 暗号化通信システム
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
JP5047291B2 (ja) インターネットユーザに対して認証サービスを提供するための方法およびシステム
CN101605137B (zh) 安全分布式文件系统
US20170012949A1 (en) Dynamic identity verification and authentication continuous, dynamic one-time-pad/one-time passwords and dynamic distributed key infrastructure for secure communications with a single key for any key-based network security controls
US20200351107A1 (en) Secure authentication of remote equipment
WO2015157720A2 (en) Methods and apparatus for implementing a communications system secured using one-time pads
JP2016082597A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
KR20040108533A (ko) 콘텐츠 송신 장치, 콘텐츠 수신 장치 및 콘텐츠 전송 방법
CN111756529B (zh) 一种量子会话密钥分发方法及系统
WO2002033884A2 (en) Method and apparatus for providing a key distribution center
JP2005236939A (ja) ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法
CN105429962B (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
JP4752064B2 (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
JP4938408B2 (ja) アドレス管理システム、アドレス管理方法およびプログラム
JP2005303449A (ja) 無線通信システム、アクセスポイント、端末および無線通信方法
JP2005064984A (ja) 通信装置、鍵交換システムおよび鍵交換プログラム
US20140185808A1 (en) Apparatus, systems, and methods for encryption key distribution
Merrill et al. Covert channels in ssl session negotiation headers
JP4752063B2 (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP2008182649A (ja) 暗号化パケット通信システム
JP2003224562A (ja) 個人認証システム及びプログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061024

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070306