JP2009260508A - Server device - Google Patents

Server device Download PDF

Info

Publication number
JP2009260508A
JP2009260508A JP2008105294A JP2008105294A JP2009260508A JP 2009260508 A JP2009260508 A JP 2009260508A JP 2008105294 A JP2008105294 A JP 2008105294A JP 2008105294 A JP2008105294 A JP 2008105294A JP 2009260508 A JP2009260508 A JP 2009260508A
Authority
JP
Japan
Prior art keywords
client device
public key
key
unit
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2008105294A
Other languages
Japanese (ja)
Inventor
Masayuki Kano
昌幸 加納
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP2008105294A priority Critical patent/JP2009260508A/en
Publication of JP2009260508A publication Critical patent/JP2009260508A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technique or reducing processing burdens of a communication device in the cipher communication of the communication device. <P>SOLUTION: A key pair preparation part 111 prepares a public key and a secret key of a client device by receiving a request from the client device. A secret key cipher part 113 ciphers the secret key of the client device with the password of the client device as a key. By receiving a request from the client device, a key pair processing part 11 transmits a public key certificate and a secret key of the client device to the client device. By receiving a request from another client device, the key pair processing part 11 transmits the public key certificate of the client device to another client device. The server device 1 intensively shift the preparation procedures of the public key and the secret key and the transmission procedure of the public key certificate from the client device to the present device. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、通信装置の暗号通信を管理する技術に関する。   The present invention relates to a technique for managing encryption communication of a communication device.

通信装置は、暗号通信を実行できる。送信側は、自装置の秘密鍵を利用して、データに署名する。そして、送信側は、受信側の公開鍵を利用して、データを暗号化する。受信側は、自装置の秘密鍵を利用して、データを復号化する。そして、受信側は、送信側の公開鍵を利用して、データの署名を検証する。通信装置は、自装置の公開鍵および秘密鍵を自装置において作成して、自装置の公開鍵証明書を認証局において発行してもらう。   The communication device can execute encrypted communication. The transmission side signs the data using the private key of its own device. Then, the transmission side encrypts the data by using the reception side public key. The receiving side uses the private key of its own device to decrypt the data. Then, the reception side verifies the data signature by using the public key of the transmission side. The communication device creates its own public key and private key in its own device, and issues a public key certificate of its own device in the certificate authority.

特許文献1が開示する証明書配布システムは、通信装置、管理端末、認証局などから構成される。管理端末は、通信装置が作成した通信装置の公開鍵を、通信装置から受信して、認証局に送信する。そして、管理端末は、認証局が発行した通信装置の公開鍵証明書を、認証局から受信して、通信装置に送信する。証明書配布システムは、通信装置の公開鍵証明書の発行手続を、通信装置から管理端末に集中的に移行できる。   The certificate distribution system disclosed in Patent Document 1 includes a communication device, a management terminal, a certificate authority, and the like. The management terminal receives the public key of the communication device created by the communication device from the communication device and transmits it to the certificate authority. Then, the management terminal receives the public key certificate of the communication device issued by the certificate authority from the certificate authority and transmits it to the communication device. The certificate distribution system can centrally transfer the public key certificate issuance procedure of the communication device from the communication device to the management terminal.

特開2005−175992号公報Japanese Patent Laid-Open No. 2005-17592

特許文献1が開示する証明書配布システムは、通信装置の公開鍵証明書の発行手続時において、通信装置の処理負担を軽減できる。しかし、証明書配布システムは、通信装置の公開鍵証明書の発行手続後において、通信装置の処理負担を軽減できない。すなわち、証明書配布システムの導入前後において、一方の通信装置が他方の通信装置に自装置の公開鍵証明書を送信する必要があることに変わりはない。   The certificate distribution system disclosed in Patent Literature 1 can reduce the processing load on the communication device during the public key certificate issuance procedure of the communication device. However, the certificate distribution system cannot reduce the processing load on the communication device after the procedure for issuing the public key certificate of the communication device. That is, before and after the introduction of the certificate distribution system, one communication device still needs to transmit its own public key certificate to the other communication device.

そこで、本発明は前記問題点に鑑み、通信装置の処理負担を軽減しながら、通信装置の暗号通信を管理する技術を提供することを目的とする。   In view of the above problems, an object of the present invention is to provide a technique for managing encryption communication of a communication device while reducing the processing load on the communication device.

上記課題を解決するため、請求項1記載の発明は、クライアント装置と通信するサーバ装置であって、前記クライアント装置は、第1クライアント装置、を含み、さらに、前記第1クライアント装置から要求を受け付けることにより、前記第1クライアント装置の公開鍵と前記第1クライアント装置の秘密鍵を作成する鍵ペア作成部と、自装置の秘密鍵を利用して、前記第1クライアント装置の公開鍵についての公開鍵証明書に署名することにより、署名済公開鍵証明書を作成する公開鍵署名部と、前記第1クライアント装置のパスワードを鍵として、前記第1クライアント装置の秘密鍵を暗号化することにより、暗号化秘密鍵を作成する秘密鍵暗号部と、前記署名済公開鍵証明書と前記暗号化秘密鍵を前記第1クライアント装置に送信する鍵ペア送信部と、を備えることを特徴とする。   In order to solve the above-described problem, the invention described in claim 1 is a server device that communicates with a client device, wherein the client device includes a first client device, and further receives a request from the first client device. Thus, the public key of the first client device is disclosed using the public key of the first client device, the key pair creating unit that creates the secret key of the first client device, and the private key of the own device. By signing the key certificate, by encrypting the private key of the first client device using the public key signature unit that creates a signed public key certificate and the password of the first client device as a key, A private key encryption unit that creates an encrypted private key, and transmits the signed public key certificate and the encrypted private key to the first client device. Characterized in that it comprises a pair transmitting unit.

請求項2記載の発明は、請求項1に記載のサーバ装置において、前記クライアント装置は、第2クライアント装置、を含み、さらに、前記第2クライアント装置から要求を受け付けることにより、前記署名済公開鍵証明書を前記第2クライアント装置に送信する公開鍵送信部、を備えることを特徴とする。   According to a second aspect of the present invention, in the server device according to the first aspect, the client device includes a second client device, and the signed public key is received by receiving a request from the second client device. A public key transmission unit configured to transmit a certificate to the second client device;

請求項3記載の発明は、請求項1または請求項2に記載のサーバ装置において、さらに、前記署名済公開鍵証明書が失効しているかどうかについての失効リストを作成する失効リスト作成部と、前記クライアント装置から要求を受け付けることにより、前記失効リストを前記クライアント装置に送信する失効リスト送信部と、を備えることを特徴とする。   According to a third aspect of the present invention, in the server device according to the first or second aspect, a revocation list creating unit that creates a revocation list as to whether or not the signed public key certificate is revoked; And a revocation list transmission unit that transmits the revocation list to the client device by receiving a request from the client device.

本発明に係るサーバ装置は、鍵ペア作成部、公開鍵署名部、秘密鍵暗号部、鍵ペア送信部、公開鍵送信部などから構成される。   The server device according to the present invention includes a key pair creation unit, a public key signature unit, a secret key encryption unit, a key pair transmission unit, a public key transmission unit, and the like.

鍵ペア作成部は、一のクライアント装置から要求を受け付けることにより、一のクライアント装置の公開鍵および秘密鍵を作成する。公開鍵署名部は、自装置の秘密鍵を利用して、一のクライアント装置の公開鍵証明書に署名する。秘密鍵暗号部は、一のクライアント装置のパスワードを鍵として、一のクライアント装置の秘密鍵を暗号化する。   The key pair creation unit creates a public key and a secret key of one client device by receiving a request from the one client device. The public key signature unit signs the public key certificate of one client device using the private key of the own device. The secret key encryption unit encrypts the secret key of the one client device using the password of the one client device as a key.

鍵ペア送信部は、一のクライアント装置から要求を受け付けることにより、一のクライアント装置の公開鍵証明書および秘密鍵を、一のクライアント装置に送信する。公開鍵送信部は、他のクライアント装置から要求を受け付けることにより、一のクライアント装置の公開鍵証明書を、他のクライアント装置に送信する。   The key pair transmitting unit transmits a public key certificate and a private key of one client device to the one client device by receiving a request from the one client device. The public key transmission unit transmits a public key certificate of one client device to another client device by receiving a request from the other client device.

サーバ装置は、公開鍵および秘密鍵の作成手続、および、公開鍵証明書の送信手続を、クライアント装置から自装置に集中的に移行できる。サーバ装置は、クライアント装置の処理負担を軽減しながら、クライアント装置の暗号通信を管理できる。   The server device can centrally shift the public key and private key creation procedure and the public key certificate transmission procedure from the client device to the own device. The server device can manage the encryption communication of the client device while reducing the processing load on the client device.

{ネットワークの構成要素}
以下、図面を参照しつつ、本発明の実施の形態について説明する。図1は、ネットワークの構成要素を示す図である。図1のネットワークは、サーバ装置1、クライアント装置25、26、LAN(Local Area Network)3などから構成される。 {Network components}
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing the components of a network. The network in FIG. 1 includes a server device 1, client devices 25 and 26, a LAN (Local Area Network) 3, and the like.

サーバ装置1は、クライアント装置25、26から要求を受け付けることにより、それぞれ、クライアント装置25、26の公開鍵および秘密鍵を作成する。そして、サーバ装置1は、クライアント装置25、26の公開鍵証明書および秘密鍵を、それぞれ、クライアント装置25、26に送信する。   The server apparatus 1 creates a public key and a secret key for the client apparatuses 25 and 26 by receiving requests from the client apparatuses 25 and 26, respectively. Then, the server device 1 transmits the public key certificate and private key of the client devices 25 and 26 to the client devices 25 and 26, respectively.

サーバ装置1は、クライアント装置25、26から要求を受け付けることにより、それぞれ、クライアント装置26、25の公開鍵証明書を選択する。そして、サーバ装置1は、クライアント装置26、25の公開鍵証明書を、それぞれ、クライアント装置25、26に送信する。   The server apparatus 1 receives the request from the client apparatuses 25 and 26, and selects the public key certificates of the client apparatuses 26 and 25, respectively. Then, the server device 1 transmits the public key certificates of the client devices 26 and 25 to the client devices 25 and 26, respectively.

クライアント装置25、26は、それぞれ、自装置の公開鍵証明書および秘密鍵を自装置に送信するように、サーバ装置1に要求する。そして、クライアント装置25、26は、それぞれ、自装置の公開鍵証明書および秘密鍵を、サーバ装置1から受信する。   Each of the client devices 25 and 26 requests the server device 1 to transmit its own public key certificate and private key to the own device. Each of the client devices 25 and 26 receives the public key certificate and the private key of its own device from the server device 1.

クライアント装置25、26は、それぞれ、他装置の公開鍵証明書を自装置に送信するように、サーバ装置1に要求する。そして、クライアント装置25、26は、それぞれ、他装置の公開鍵証明書を、サーバ装置1から受信する。   Each of the client devices 25 and 26 requests the server device 1 to transmit the public key certificate of the other device to the own device. Each of the client devices 25 and 26 receives the public key certificate of the other device from the server device 1.

クライアント装置25、26のうち、送信側のクライアント装置は、自装置の秘密鍵を利用して、データに署名する。そして、送信側のクライアント装置は、受信側の公開鍵を利用して、データを暗号化する。   Of the client devices 25 and 26, the client device on the transmission side signs the data using the private key of the own device. Then, the client device on the transmission side encrypts the data using the public key on the reception side.

クライアント装置25、26のうち、受信側のクライアント装置は、自装置の秘密鍵を利用して、データを復号化する。そして、受信側のクライアント装置は、送信側の公開鍵を利用して、データの署名を検証する。   Of the client devices 25 and 26, the client device on the receiving side decrypts the data using the private key of the own device. Then, the client device on the receiving side verifies the data signature using the public key on the transmitting side.

LAN3は、サーバ装置1、クライアント装置25、26が相互に通信をするためのネットワークである。図1のネットワークは、例えば、事業所のネットワークである。サーバ装置1のユーザは、例えば、事業所の管理者である。クライアント装置25、26のユーザは、例えば、事業所の従業者である。   The LAN 3 is a network for the server device 1 and the client devices 25 and 26 to communicate with each other. The network in FIG. 1 is, for example, an office network. The user of the server device 1 is, for example, a business manager. The users of the client devices 25 and 26 are, for example, employees of business offices.

{サーバ装置の構成要素}
図2は、サーバ装置1の構成要素を示すブロック図である。サーバ装置1は、鍵ペア処理部11、失効リスト処理部12などから構成される。 {Components of server device}
FIG. 2 is a block diagram showing components of the server device 1. The server device 1 includes a key pair processing unit 11, a revocation list processing unit 12, and the like.

鍵ペア処理部11は、鍵ペアに関連する処理を実行する。鍵ペア処理部11は、鍵ペア作成部111、公開鍵署名部112、秘密鍵暗号部113、パスワード格納部114、鍵ペア格納部115などから構成される。   The key pair processing unit 11 executes processing related to the key pair. The key pair processing unit 11 includes a key pair creation unit 111, a public key signature unit 112, a secret key encryption unit 113, a password storage unit 114, a key pair storage unit 115, and the like.

鍵ペア作成部111は、クライアント装置25、26から要求を受けることにより、それぞれ、クライアント装置25、26の公開鍵および秘密鍵を作成する。公開鍵署名部112は、自装置の秘密鍵を利用して、クライアント装置25、26の公開鍵証明書に署名する。秘密鍵暗号部113は、クライアント装置25、26のパスワードを鍵として、クライアント装置25、26の秘密鍵を暗号化する。パスワード格納部114は、クライアント装置25、26のパスワードを格納する。鍵ペア格納部115は、署名されたクライアント装置25、26の公開鍵証明書、および、暗号化されたクライアント装置25、26の秘密鍵を格納する。   Upon receiving a request from the client devices 25 and 26, the key pair creation unit 111 creates a public key and a secret key for the client devices 25 and 26, respectively. The public key signature unit 112 signs the public key certificates of the client devices 25 and 26 using the private key of the own device. The secret key encryption unit 113 encrypts the secret keys of the client devices 25 and 26 using the passwords of the client devices 25 and 26 as keys. The password storage unit 114 stores the passwords of the client devices 25 and 26. The key pair storage unit 115 stores the signed public key certificate of the client devices 25 and 26 and the encrypted secret key of the client devices 25 and 26.

クライアント装置25、26のパスワードは、それぞれ、クライアント装置25、26のユーザが設定したものであってもよい。または、クライアント装置25、26のパスワードは、サーバ装置1のユーザが設定したものであってもよい。   The passwords of the client devices 25 and 26 may be set by the users of the client devices 25 and 26, respectively. Alternatively, the passwords of the client devices 25 and 26 may be set by the user of the server device 1.

失効リスト処理部12は、失効リストに関連する処理を実行する。失効リスト処理部12は、失効リスト作成部121、失効リスト格納部122などから構成される。   The revocation list processing unit 12 executes processing related to the revocation list. The revocation list processing unit 12 includes a revocation list creation unit 121, a revocation list storage unit 122, and the like.

失効リスト作成部121は、失効リストを作成する。失効リストが示す情報として、例えば、サーバ装置1のユーザがあるクライアント装置のユーザを信頼しないため、サーバ装置1のユーザがそのクライアント装置の公開鍵証明書を失効させたという情報がある。または、失効リストが示す情報として、例えば、有効期限が経過した公開鍵証明書が失効したという情報がある。失効リスト格納部122は、失効リストを格納する。   The revocation list creation unit 121 creates a revocation list. As information indicated by the revocation list, for example, there is information that the user of the server apparatus 1 has revoked the public key certificate of the client apparatus because the user of the server apparatus 1 does not trust the user of the client apparatus. Alternatively, as information indicated by the revocation list, for example, there is information that a public key certificate whose expiration date has expired has expired. The revocation list storage unit 122 stores a revocation list.

{クライアント装置の構成要素}
図3は、クライアント装置2の構成要素を示すブロック図である。クライアント装置25、26の構成要素は、クライアント装置2の構成要素と同様である。クライアント装置2は、自装置鍵ペア処理部21、他装置公開鍵処理部22、データ処理部23、失効リスト処理部24などから構成される。 {Components of client device}
FIG. 3 is a block diagram showing components of the client device 2. The components of the client devices 25 and 26 are the same as the components of the client device 2. The client device 2 includes a self device key pair processing unit 21, another device public key processing unit 22, a data processing unit 23, a revocation list processing unit 24, and the like.

自装置鍵ペア処理部21は、自装置の鍵ペアに関連する処理を実行する。自装置鍵ペア処理部21は、鍵ペア要求部211、公開鍵検証部212、パスワード入力部213、秘密鍵復号部214、秘密鍵格納部215などから構成される。   The own device key pair processing unit 21 executes processing related to the key pair of the own device. The own device key pair processing unit 21 includes a key pair request unit 211, a public key verification unit 212, a password input unit 213, a secret key decryption unit 214, a secret key storage unit 215, and the like.

鍵ペア要求部211は、自装置の公開鍵証明書および秘密鍵を自装置に送信するように、サーバ装置1に要求する。公開鍵検証部212は、サーバ装置1の公開鍵を利用して、送信された自装置の公開鍵証明書を検証する。パスワード入力部213は、自装置のパスワードを入力する。秘密鍵復号部214は、自装置のパスワードを鍵として、送信された自装置の秘密鍵を復号化する。秘密鍵格納部215は、復号化された自装置の秘密鍵を格納する。   The key pair request unit 211 requests the server apparatus 1 to transmit the public key certificate and private key of the own apparatus to the own apparatus. The public key verification unit 212 verifies the transmitted public key certificate of the own device using the public key of the server device 1. The password input unit 213 inputs the password of the own device. The private key decryption unit 214 decrypts the transmitted private key of the own device using the password of the own device as a key. The secret key storage unit 215 stores the decrypted secret key of the own device.

他装置公開鍵処理部22は、他装置の公開鍵に関連する処理を実行する。他装置公開鍵処理部22は、公開鍵要求部221、公開鍵検証部222、公開鍵格納部223などから構成される。   The other device public key processing unit 22 executes processing related to the public key of the other device. The other apparatus public key processing unit 22 includes a public key request unit 221, a public key verification unit 222, a public key storage unit 223, and the like.

公開鍵要求部221は、他装置の公開鍵証明書を自装置に送信するように、サーバ装置1に要求する。公開鍵検証部222は、サーバ装置1の公開鍵を利用して、送信された他装置の公開鍵証明書を検証する。公開鍵格納部223は、検証された他装置の公開鍵証明書を格納する。   The public key request unit 221 requests the server apparatus 1 to transmit the public key certificate of the other apparatus to the own apparatus. The public key verification unit 222 verifies the transmitted public key certificate of the other device using the public key of the server device 1. The public key storage unit 223 stores the verified public key certificate of the other device.

データ処理部23は、送信データまたは受信データに関連する処理を実行する。データ処理部23は、データ暗号部231、データ復号部232などから構成される。   The data processing unit 23 executes processing related to transmission data or reception data. The data processing unit 23 includes a data encryption unit 231 and a data decryption unit 232.

データ暗号部231は、秘密鍵格納部215に格納された自装置の秘密鍵を利用して、送信データに署名する。そして、データ暗号部231は、公開鍵格納部223に格納された他装置の公開鍵を利用して、送信データを暗号化する。データ復号部232は、秘密鍵格納部215に格納された自装置の秘密鍵を利用して、受信データを復号化する。そして、データ復号部232は、公開鍵格納部223に格納された他装置の公開鍵を利用して、受信データの署名を検証する。   The data encryption unit 231 uses the private key stored in the private key storage unit 215 to sign the transmission data. Then, the data encryption unit 231 encrypts the transmission data using the public key of the other device stored in the public key storage unit 223. The data decryption unit 232 uses the private key stored in the private key storage unit 215 to decrypt the received data. Then, the data decryption unit 232 verifies the signature of the received data using the public key of the other device stored in the public key storage unit 223.

失効リスト処理部24は、失効リストに関連する処理を実行する。失効リスト処理部24は、失効リスト要求部241、失効リスト格納部242などから構成される。   The revocation list processing unit 24 executes processing related to the revocation list. The revocation list processing unit 24 includes a revocation list request unit 241 and a revocation list storage unit 242.

失効リスト要求部241は、失効リストを自装置に送信するように、サーバ装置1に要求する。失効リスト格納部242は、失効リストを格納する。   The revocation list request unit 241 requests the server device 1 to transmit the revocation list to the own device. The revocation list storage unit 242 stores a revocation list.

{鍵ペアを取得する処理の流れ}
図4は、鍵ペアを取得する処理の流れを示すフローチャートである。図4についての説明においては、クライアント装置25が自装置の鍵ペアを取得する処理の流れについて説明する。クライアント装置26が自装置の鍵ペアを取得する処理の流れは同様である。 {Flow of processing to acquire key pair}
FIG. 4 is a flowchart showing a flow of processing for acquiring a key pair. In the description of FIG. 4, the flow of processing in which the client device 25 acquires its own key pair will be described. The flow of processing in which the client device 26 acquires its own key pair is the same.

鍵ペア要求部211は、自装置の公開鍵証明書および秘密鍵を自装置に送信するように、サーバ装置1に要求する(ステップS1)。鍵ペア作成部111は、クライアント装置25の公開鍵および秘密鍵を作成する(ステップS2)。公開鍵署名部112は、自装置の秘密鍵を利用して、クライアント装置25の公開鍵証明書に署名する(ステップS3)。秘密鍵暗号部113は、パスワード格納部114に格納されたクライアント装置25のパスワードを鍵として、クライアント装置25の秘密鍵を暗号化する(ステップS4)。鍵ペア格納部115は、署名されたクライアント装置25の公開鍵証明書、および、暗号化されたクライアント装置25の秘密鍵を格納する(ステップS5)。   The key pair request unit 211 requests the server apparatus 1 to transmit the public key certificate and private key of the own apparatus to the own apparatus (step S1). The key pair creation unit 111 creates a public key and a secret key for the client device 25 (step S2). The public key signature unit 112 signs the public key certificate of the client device 25 using the private key of the own device (step S3). The secret key encryption unit 113 encrypts the secret key of the client device 25 using the password of the client device 25 stored in the password storage unit 114 as a key (step S4). The key pair storage unit 115 stores the signed public key certificate of the client device 25 and the encrypted private key of the client device 25 (step S5).

鍵ペア処理部11は、クライアント装置25の公開鍵証明書および秘密鍵を、クライアント装置25に送信する(ステップS6)。公開鍵検証部212は、サーバ装置1の公開鍵を利用して、送信された自装置の公開鍵証明書を検証する(ステップS7)。秘密鍵復号部214は、パスワード入力部213に入力された自装置のパスワードを鍵として、送信された自装置の秘密鍵を復号化する(ステップS8)。秘密鍵格納部215は、復号化された自装置の秘密鍵を格納する(ステップS9)。   The key pair processing unit 11 transmits the public key certificate and private key of the client device 25 to the client device 25 (step S6). The public key verification unit 212 verifies the transmitted public key certificate of the own device using the public key of the server device 1 (step S7). The private key decryption unit 214 decrypts the transmitted private key of the own device using the password of the own device input to the password input unit 213 as a key (step S8). The secret key storage unit 215 stores the decrypted secret key of the own device (step S9).

クライアント装置25は、自装置の公開鍵および秘密鍵を作成しなくてもよい(ステップS1)。サーバ装置1が、クライアント装置25の公開鍵および秘密鍵を作成すればよい(ステップS2)。サーバ装置1は、クライアント装置25の公開鍵証明書を送信するにあたり(ステップS6)、自装置の秘密鍵を利用して、クライアント装置25の公開鍵証明書に署名する(ステップS3)。サーバ装置1は、クライアント装置25の秘密鍵を送信するにあたり(ステップS6)、クライアント装置25のパスワードを鍵として、クライアント装置25の秘密鍵を暗号化する(ステップS4)。   The client device 25 does not have to create its own public key and private key (step S1). The server device 1 may create the public key and secret key of the client device 25 (step S2). When the server device 1 transmits the public key certificate of the client device 25 (step S6), the server device 1 signs the public key certificate of the client device 25 using the private key of its own device (step S3). When transmitting the secret key of the client device 25 (step S6), the server device 1 encrypts the secret key of the client device 25 using the password of the client device 25 as a key (step S4).

サーバ装置1は、クライアント装置25による公開鍵および秘密鍵の作成負担を軽減できる。サーバ装置1は、クライアント装置25への公開鍵証明書および秘密鍵の送信過程を安全化できる。   The server apparatus 1 can reduce the burden of creating the public key and the secret key by the client apparatus 25. The server device 1 can secure the process of transmitting the public key certificate and the private key to the client device 25.

{公開鍵を取得する処理の流れ}
図5は、公開鍵を取得する処理の流れを示すフローチャートである。図5についての説明においては、クライアント装置25がクライアント装置26の公開鍵証明書を取得する処理の流れについて説明する。クライアント装置26がクライアント装置25の公開鍵証明書を取得する処理の流れは同様である。 {Flow of processing to acquire public key}
FIG. 5 is a flowchart showing a flow of processing for obtaining a public key. In the description of FIG. 5, the flow of processing in which the client device 25 acquires the public key certificate of the client device 26 will be described. The processing flow for the client device 26 to acquire the public key certificate of the client device 25 is the same.

公開鍵要求部221は、クライアント装置26の公開鍵証明書を自装置に送信するように、サーバ装置1に要求する(ステップS11)。鍵ペア処理部11は、鍵ペア格納部115に格納されたクライアント装置26の公開鍵証明書を、クライアント装置25に送信する(ステップS12)。公開鍵検証部222は、サーバ装置1の公開鍵を利用して、送信されたクライアント装置26の公開鍵証明書を検証する(ステップS13)。公開鍵格納部223は、検証されたクライアント装置26の公開鍵証明書を格納する(ステップS14)。   The public key request unit 221 requests the server apparatus 1 to transmit the public key certificate of the client apparatus 26 to the own apparatus (step S11). The key pair processing unit 11 transmits the public key certificate of the client device 26 stored in the key pair storage unit 115 to the client device 25 (step S12). The public key verification unit 222 verifies the transmitted public key certificate of the client device 26 using the public key of the server device 1 (step S13). The public key storage unit 223 stores the verified public key certificate of the client device 26 (step S14).

クライアント装置26は、自装置の公開鍵証明書を送信しなくてもよい。サーバ装置1が、クライアント装置26の公開鍵証明書を送信すればよい(ステップS12)。サーバ装置1は、クライアント装置26による公開鍵証明書の送信負担を軽減できる。   The client device 26 does not have to transmit its own public key certificate. The server device 1 may transmit the public key certificate of the client device 26 (step S12). The server device 1 can reduce the transmission load of the public key certificate by the client device 26.

{データを送信する処理の流れ}
図6は、データを送信する処理の流れを示すフローチャートである。図6についての説明においては、クライアント装置25がクライアント装置26にデータを送信する処理の流れについて説明する。クライアント装置26がクライアント装置25にデータを送信する処理の流れは同様である。 {Flow of processing to send data}
FIG. 6 is a flowchart showing a flow of processing for transmitting data. In the description of FIG. 6, the flow of processing in which the client device 25 transmits data to the client device 26 will be described. The flow of processing in which the client device 26 transmits data to the client device 25 is the same.

データ処理部23は、図3に不図示の構成要素により、送信データを作成する(ステップS21)。データ暗号部231は、送信データを暗号化するにあたり、クライアント装置26の公開鍵証明書が失効しているかどうかを判断する。   The data processing unit 23 creates transmission data using components not shown in FIG. 3 (step S21). The data encryption unit 231 determines whether the public key certificate of the client device 26 has expired when encrypting the transmission data.

失効リスト要求部241は、失効リストを自装置に送信するように、サーバ装置1に要求する(ステップS22)。失効リスト処理部12は、失効リスト格納部122に格納された失効リストを、クライアント装置25に送信する(ステップS23)。失効リスト格納部242は、失効リストを格納する(ステップS24)。   The revocation list request unit 241 requests the server device 1 to transmit the revocation list to the own device (step S22). The revocation list processing unit 12 transmits the revocation list stored in the revocation list storage unit 122 to the client device 25 (step S23). The revocation list storage unit 242 stores the revocation list (step S24).

失効リスト格納部242に格納された失効リストに基づいて、クライアント装置26の公開鍵証明書が失効していないと、データ暗号部231が判断したときについて説明する(ステップS25においてNO)。   A case where the data encryption unit 231 determines that the public key certificate of the client device 26 has not been revoked based on the revocation list stored in the revocation list storage unit 242 will be described (NO in step S25).

データ暗号部231は、秘密鍵格納部215に格納された自装置の秘密鍵を利用して、送信データに署名する(ステップS26)。そして、データ暗号部231は、公開鍵格納部223に格納されたクライアント装置26の公開鍵を利用して、送信データを暗号化する(ステップS27)。データ処理部23は、送信データをクライアント装置26に送信する(ステップS28)。   The data encryption unit 231 signs the transmission data using the private key of its own device stored in the private key storage unit 215 (step S26). Then, the data encryption unit 231 encrypts transmission data using the public key of the client device 26 stored in the public key storage unit 223 (step S27). The data processing unit 23 transmits the transmission data to the client device 26 (step S28).

失効リスト格納部242に格納された失効リストに基づいて、クライアント装置26の公開鍵証明書が失効していると、データ暗号部231が判断したときについて説明する(ステップS25においてYES)。   A case where the data encryption unit 231 determines that the public key certificate of the client device 26 has expired based on the revocation list stored in the revocation list storage unit 242 will be described (YES in step S25).

データ暗号部231は、ステップS26およびステップS27を実行しない。データ処理部23は、ステップS28を実行しない。暗号化された送信データはクライアント装置26に送信されることなく、データを送信する処理は終了する。   The data encryption unit 231 does not execute Step S26 and Step S27. The data processing unit 23 does not execute Step S28. The encrypted transmission data is not transmitted to the client device 26, and the process for transmitting the data ends.

クライアント装置25は、サーバ装置1に、失効リストを要求できる(ステップS22)。クライアント装置25は、クライアント装置26に、データを安全に送信できる。   The client device 25 can request the revocation list from the server device 1 (step S22). The client device 25 can transmit data to the client device 26 safely.

{データを受信する処理の流れ}
図7は、データを受信する処理の流れを示すフローチャートである。図7についての説明においては、クライアント装置25がクライアント装置26からデータを受信する処理の流れについて説明する。クライアント装置26がクライアント装置25からデータを受信する処理の流れは同様である。 {Flow of processing to receive data}
FIG. 7 is a flowchart showing a flow of processing for receiving data. In the description of FIG. 7, the flow of processing in which the client device 25 receives data from the client device 26 will be described. The processing flow for the client device 26 to receive data from the client device 25 is the same.

データ処理部23は、受信データをクライアント装置26から受信する(ステップS31)。データ復号部232は、受信データの署名を検証するにあたり、クライアント装置26の公開鍵証明書が失効しているかどうかを判断する。   The data processing unit 23 receives the received data from the client device 26 (step S31). When verifying the signature of the received data, the data decryption unit 232 determines whether the public key certificate of the client device 26 has expired.

ステップS32からステップS34までの処理の流れは、ステップS22からステップS24までの処理の流れと同様である。   The process flow from step S32 to step S34 is the same as the process flow from step S22 to step S24.

失効リスト格納部242に格納された失効リストに基づいて、クライアント装置26の公開鍵証明書が失効していないと、データ復号部232が判断したときについて説明する(ステップS35においてNO)。   A case where the data decryption unit 232 determines that the public key certificate of the client device 26 has not expired based on the revocation list stored in the revocation list storage unit 242 will be described (NO in step S35).

データ復号部232は、秘密鍵格納部215に格納された自装置の秘密鍵を利用して、受信データを復号化する(ステップS36)。そして、データ復号部232は、公開鍵格納部223に格納されたクライアント装置26の公開鍵を利用して、受信データの署名を検証する(ステップS37)。データ処理部23は、図3に不図示の構成要素により、受信データを格納する(ステップS38)。   The data decryption unit 232 decrypts the received data using the private key of its own device stored in the private key storage unit 215 (step S36). Then, the data decryption unit 232 verifies the signature of the received data using the public key of the client device 26 stored in the public key storage unit 223 (step S37). The data processing unit 23 stores the received data using components not shown in FIG. 3 (step S38).

失効リスト格納部242に格納された失効リストに基づいて、クライアント装置26の公開鍵証明書が失効していると、データ復号部232が判断したときについて説明する(ステップS35においてYES)。   A case where the data decryption unit 232 determines that the public key certificate of the client device 26 has expired based on the revocation list stored in the revocation list storage unit 242 will be described (YES in step S35).

データ復号部232は、ステップS36およびステップS37を実行しない。データ処理部23は、ステップS38を実行しない。復号化された受信データはクライアント装置25に格納されることなく、データを受信する処理は終了する。   The data decoding unit 232 does not execute Step S36 and Step S37. The data processing unit 23 does not execute Step S38. The decrypted received data is not stored in the client device 25, and the process of receiving data ends.

クライアント装置25は、サーバ装置1に、失効リストを要求できる(ステップS32)。クライアント装置25は、クライアント装置26から、データを安全に受信できる。   The client device 25 can request the revocation list from the server device 1 (step S32). The client device 25 can receive data from the client device 26 safely.

{変形例}
クライアント装置25、26は、それぞれ、自装置の公開鍵証明書および秘密鍵を自装置に送信するように、サーバ装置1に要求する(ステップS1)。サーバ装置1は、クライアント装置25、26のパスワードを鍵として、それぞれ、クライアント装置25、26の秘密鍵を暗号化する(ステップS4)。サーバ装置1は、クライアント装置25、26の公開鍵証明書および秘密鍵を、それぞれ、クライアント装置25、26に送信する(ステップS6)。以下の変形例においては、公開鍵証明書および秘密鍵を送受信するためのフォーマットとして、PKCS#12(Public Key Cryptography Standard #12)形式を利用する。 {Modifications}
Each of the client devices 25 and 26 requests the server device 1 to transmit its own public key certificate and private key to the own device (step S1). The server device 1 encrypts the secret keys of the client devices 25 and 26 using the passwords of the client devices 25 and 26 as keys (step S4). The server device 1 transmits the public key certificate and private key of the client devices 25 and 26 to the client devices 25 and 26, respectively (step S6). In the following modification, a PKCS # 12 (Public Key Cryptography Standard # 12) format is used as a format for transmitting and receiving a public key certificate and a private key.

クライアント装置25、26は、それぞれ、自装置の公開鍵証明書および秘密鍵を要求するメールを、サーバ装置1に送信する(ステップS1)。サーバ装置1は、クライアント装置25、26の秘密鍵を、それぞれ、クライアント装置25、26のパスワードを鍵として暗号化する(ステップS4)。サーバ装置1は、クライアント装置25、26の公開鍵証明書および秘密鍵を、PKCS#12形式を利用してファイル化する。サーバ装置1は、クライアント装置25、26の公開鍵証明書および秘密鍵を添付したメールを、それぞれ、クライアント装置25、26に送信する(ステップS6)。   Each of the client devices 25 and 26 transmits a mail requesting its own public key certificate and private key to the server device 1 (step S1). The server device 1 encrypts the secret keys of the client devices 25 and 26 using the passwords of the client devices 25 and 26 as keys (step S4). The server apparatus 1 files the public key certificate and private key of the client apparatuses 25 and 26 using the PKCS # 12 format. The server device 1 transmits mails attached with the public key certificate and the private key of the client devices 25 and 26 to the client devices 25 and 26, respectively (step S6).

サーバ装置1は、クライアント装置25、26の公開鍵証明書および秘密鍵の両方を、それぞれ、クライアント装置25、26のパスワードを鍵として暗号化してもよい(ステップS4)。サーバ装置1は、クライアント装置25、26への公開鍵証明書および秘密鍵の両方の送信過程を安全化できる。   The server apparatus 1 may encrypt both the public key certificate and the private key of the client apparatuses 25 and 26 using the passwords of the client apparatuses 25 and 26 as keys (step S4). The server apparatus 1 can secure the transmission process of both the public key certificate and the private key to the client apparatuses 25 and 26.

ネットワークの構成要素を示す図である。It is a figure which shows the component of a network. サーバ装置の構成要素を示すブロック図である。It is a block diagram which shows the component of a server apparatus. クライアント装置の構成要素を示すブロック図である。It is a block diagram which shows the component of a client apparatus. 鍵ペアを取得する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which acquires a key pair. 公開鍵を取得する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which acquires a public key. データを送信する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which transmits data. データを受信する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which receives data.

符号の説明Explanation of symbols

1 サーバ装置
2、25、26 クライアント装置
3 LAN
11 鍵ペア処理部
12 失効リスト処理部
21 自装置鍵ペア処理部
22 他装置公開鍵処理部
23 データ処理部
24 失効リスト処理部
111 鍵ペア作成部
112 公開鍵署名部
113 秘密鍵暗号部
114 パスワード格納部
115 鍵ペア格納部
121 失効リスト作成部
122 失効リスト格納部
211 鍵ペア要求部
212 公開鍵検証部
213 パスワード入力部
214 秘密鍵復号部
215 秘密鍵格納部
221 公開鍵要求部
222 公開鍵検証部
223 公開鍵格納部
231 データ暗号部
232 データ復号部
241 失効リスト要求部
242 失効リスト格納部 1 Server device 2, 25, 26 Client device 3 LAN
11 Key Pair Processing Unit 12 Revocation List Processing Unit 21 Own Device Key Pair Processing Unit 22 Other Device Public Key Processing Unit 23 Data Processing Unit 24 Revocation List Processing Unit 111 Key Pair Creation Unit 112 Public Key Signature Unit 113 Private Key Encryption Unit 114 Password Storage unit 115 Key pair storage unit 121 Revocation list creation unit 122 Revocation list storage unit 211 Key pair request unit 212 Public key verification unit 213 Password input unit 214 Private key decryption unit 215 Private key storage unit 221 Public key request unit 222 Public key verification Unit 223 public key storage unit 231 data encryption unit 232 data decryption unit 241 revocation list request unit 242 revocation list storage unit

Claims (3)

クライアント装置と通信するサーバ装置であって、
前記クライアント装置は、
第1クライアント装置、
を含み、さらに、
前記第1クライアント装置から要求を受け付けることにより、前記第1クライアント装置の公開鍵と前記第1クライアント装置の秘密鍵を作成する鍵ペア作成部と、
自装置の秘密鍵を利用して、前記第1クライアント装置の公開鍵についての公開鍵証明書に署名することにより、署名済公開鍵証明書を作成する公開鍵署名部と、
前記第1クライアント装置のパスワードを鍵として、前記第1クライアント装置の秘密鍵を暗号化することにより、暗号化秘密鍵を作成する秘密鍵暗号部と、
前記署名済公開鍵証明書と前記暗号化秘密鍵を前記第1クライアント装置に送信する鍵ペア送信部と、
を備えることを特徴とするサーバ装置。 A server device that communicates with a client device,
The client device is
A first client device,
Including,
A key pair creation unit that creates a public key of the first client device and a secret key of the first client device by receiving a request from the first client device;
A public key signature unit that creates a signed public key certificate by signing a public key certificate for the public key of the first client device using a private key of the device;
A secret key encryption unit that creates an encrypted secret key by encrypting the secret key of the first client device using the password of the first client device as a key;
A key pair transmission unit for transmitting the signed public key certificate and the encrypted private key to the first client device;
A server device comprising: 請求項1に記載のサーバ装置において、
前記クライアント装置は、
第2クライアント装置、
を含み、さらに、
前記第2クライアント装置から要求を受け付けることにより、前記署名済公開鍵証明書を前記第2クライアント装置に送信する公開鍵送信部、
を備えることを特徴とするサーバ装置。 The server device according to claim 1,
The client device is
A second client device,
Including,
A public key transmission unit for transmitting the signed public key certificate to the second client device by receiving a request from the second client device;
A server device comprising: 請求項1または請求項2に記載のサーバ装置において、さらに、
前記署名済公開鍵証明書が失効しているかどうかについての失効リストを作成する失効リスト作成部と、
前記クライアント装置から要求を受け付けることにより、前記失効リストを前記クライアント装置に送信する失効リスト送信部と、
を備えることを特徴とするサーバ装置。 The server apparatus according to claim 1 or 2, further comprising:
A revocation list creation unit for creating a revocation list as to whether or not the signed public key certificate is revoked;
A revocation list transmitter for transmitting the revocation list to the client device by receiving a request from the client device;
A server device comprising:
JP2008105294A 2008-04-15 2008-04-15 Server device Withdrawn JP2009260508A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008105294A JP2009260508A (en) 2008-04-15 2008-04-15 Server device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008105294A JP2009260508A (en) 2008-04-15 2008-04-15 Server device

Publications (1)

Publication Number Publication Date
JP2009260508A true JP2009260508A (en) 2009-11-05

Family

ID=41387392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008105294A Withdrawn JP2009260508A (en) 2008-04-15 2008-04-15 Server device

Country Status (1)

Country Link
JP (1) JP2009260508A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2013084381A1 (en) * 2011-12-09 2015-04-27 アラクサラネットワークス株式会社 Certificate distribution apparatus and method, and computer program
US9525557B2 (en) 2014-05-23 2016-12-20 Panasonic Intellectual Property Management Co., Ltd. Certificate issuing system, client terminal, server device, certificate acquisition method, and certificate issuing method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2013084381A1 (en) * 2011-12-09 2015-04-27 アラクサラネットワークス株式会社 Certificate distribution apparatus and method, and computer program
EP2790350A4 (en) * 2011-12-09 2015-11-04 Alaxala Networks Corp Certificate distribution device and method for same, and computer program
US9363246B2 (en) 2011-12-09 2016-06-07 Alaxala Networks Corporation Certificate distribution device and method for same, and computer program
US9525557B2 (en) 2014-05-23 2016-12-20 Panasonic Intellectual Property Management Co., Ltd. Certificate issuing system, client terminal, server device, certificate acquisition method, and certificate issuing method

Similar Documents

Publication Publication Date Title
CN1961523B (en) Token provision
US6912657B2 (en) Method and arrangement in a communication network
JP4814339B2 (en) Constrained encryption key
US20080031459A1 (en) Systems and Methods for Identity-Based Secure Communications
EP2469753A1 (en) Method, device and network system for negotiating encryption information
US20020154782A1 (en) System and method for key distribution to maintain secure communication
US20050086504A1 (en) Method of authenticating device using certificate, and digital content processing device for performing device authentication using the same
CN104735070B (en) A kind of data sharing method between general isomery encryption cloud
CN113572601B (en) VNC remote safety communication method based on national secret TLS
JP5027742B2 (en) Secret information transmission system, secret information transmission method, secret information management server, encryption device, secret information transmission program
JP5012574B2 (en) Common key automatic sharing system and common key automatic sharing method
US20220171832A1 (en) Scalable key management for encrypting digital rights management authorization tokens
Crampton et al. What can identity-based cryptography offer to web services?
KR100984275B1 (en) Method for generating secure key using certificateless public key in insecure communication channel
CN102523214A (en) Access method and system for document server based on digital certificate
JP2004302835A (en) Digital contents managing system, user terminal device and rights management method
KR20220106740A (en) Method and system for verifiable ISD-based encryption (VEA) using certificateless authentication encryption (CLA)
KR100970552B1 (en) Method for generating secure key using certificateless public key
KR100764882B1 (en) Device and method for pki based single sign-on authentication on low computing security device
JP2009260508A (en) Server device
JP2006262425A (en) Mutual authentication on network by public key cryptosystem, and mutual exchange system of public key
JP5193924B2 (en) Cryptographic communication system, administrator device, and program
JP2010272899A (en) Key generating system, key generating method, blind server device, and program
JP2000261428A (en) Authentication device in decentralized processing system
JP2009232012A (en) Secret data communication system and program

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20110705