JP2014212474A - Secret key distribution method - Google Patents

Secret key distribution method Download PDF

Info

Publication number
JP2014212474A
JP2014212474A JP2013088306A JP2013088306A JP2014212474A JP 2014212474 A JP2014212474 A JP 2014212474A JP 2013088306 A JP2013088306 A JP 2013088306A JP 2013088306 A JP2013088306 A JP 2013088306A JP 2014212474 A JP2014212474 A JP 2014212474A
Authority
JP
Japan
Prior art keywords
random number
secret key
communication terminal
number information
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013088306A
Other languages
Japanese (ja)
Inventor
堀本 岳志
Takashi Horimoto
岳志 堀本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toppan Inc
Original Assignee
Toppan Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toppan Printing Co Ltd filed Critical Toppan Printing Co Ltd
Priority to JP2013088306A priority Critical patent/JP2014212474A/en
Publication of JP2014212474A publication Critical patent/JP2014212474A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Abstract

PROBLEM TO BE SOLVED: To prevent security degradation in performing communication.SOLUTION: A communication method uses a communication medium storing a secret key and a communication terminal to encrypt data stored in the communication terminal and transmit the encrypted data to an external communication terminal. The method includes the steps of: acquiring random number information previously used in the communication medium; encrypting the secret key stored in the communication medium by using the random number information previously used; generating next random number information to be used, in the communication medium; transmitting the encrypted secret key and the next random number information to be used to the communication terminal from the communication medium; acquiring random number information which is previously used and stored in the communication terminal; decrypting the encrypted secret key by using the acquired random information that is previously used to acquire the secret key, in the communication terminal; and storing the acquired next random information to be used, in the communication terminal.

Description

本発明は、データの暗号化に用いる秘密鍵の配送方法に関する。   The present invention relates to a method for distributing a secret key used for data encryption.

従来よりデータを暗号化して送受信することが行われている(特許文献1、2等)。
暗号化の方式としては、共通鍵暗号方式、公開鍵暗号方式等がある。共通鍵暗号方式は暗号化と復号化を同じ鍵で行う方式で、代表的なものとしてDES(Data Encryption Standard)が知られている。公開鍵方式は、対となる公開鍵と秘密鍵の2つの鍵を使ってデータの暗号化と復号化を行う方式で、代表的なものとしてRSA(Rivest Shamir Adleman)が知られている。 Conventionally, data is encrypted and transmitted / received (Patent Documents 1, 2, etc.).
Examples of the encryption method include a common key encryption method and a public key encryption method. The common key encryption method is a method in which encryption and decryption are performed with the same key, and DES (Data Encryption Standard) is known as a typical one. The public key scheme is a scheme for encrypting and decrypting data using two keys, a public key and a secret key, and RSA (Rivest Shamir Adleman) is known as a representative one.

公開鍵方式は2種類の鍵をペアとして使用し、暗号化をするための鍵として、不特定の人に公開している鍵を公開鍵として用い、復号化をするための鍵として、特定の人だけが使える鍵を秘密鍵を用いる方式である。またRSA方式では、秘密鍵で署名し、公開鍵で署名検証を行うこともできる。
共通鍵方式は、データを暗号化して送信する側とデータを受信して復号する側に対し、セキュリティの保たれた状態で共通鍵を配布しなければならなかったが、公開鍵方式では、秘密鍵は誰にも伝える必要がなく、公開鍵はセキュリティを保つこと考える必要が無く、誰にでも配布してもよいという利点がある。 The public key method uses two types of keys as a pair, uses a key opened to an unspecified person as a key for encryption, and uses a specific key as a key for decryption. This is a method that uses a secret key for a key that can only be used by people. In the RSA system, it is also possible to sign with a private key and verify the signature with a public key.
In the common key method, the common key must be distributed to the side that encrypts and transmits data and the side that receives and decrypts the data in a secure state. There is an advantage that the key does not need to be communicated to anyone, and the public key does not need to be considered for security and can be distributed to anyone.

複数の端末間でデータを暗号化して送受信する場合、例えば図2に示すように、複数の端末の秘密鍵を格納しているサーバーを設け、端末は、秘密鍵を利用しようとする時にサーバーから秘密鍵を入手し、データの暗号化/復号化を行うことが知られている。
しかし、この方法では、サーバーと端末間での傍受等による秘密鍵の漏洩の問題がある。 When transmitting and receiving data encrypted between a plurality of terminals, for example, as shown in FIG. 2, a server storing the secret keys of the plurality of terminals is provided. It is known to obtain a secret key and encrypt / decrypt data.
However, this method has a problem of secret key leakage due to interception between the server and the terminal.

また、ICカード等のセキュリティデバイスの中に秘密鍵を格納しておき、端末が秘密鍵を利用しようとする時に端末はICカードから秘密鍵を入手する、という方法が知られている。この方法であれば、ネット上での秘密鍵の漏洩を防ぐことはできる。
しかし、この方法でも、端末とICカードの通信を傍受することで、秘密鍵の漏洩がおきる可能性がある。 Also, a method is known in which a secret key is stored in a security device such as an IC card, and the terminal obtains the secret key from the IC card when the terminal tries to use the secret key. With this method, it is possible to prevent leakage of the secret key on the net.
However, even in this method, there is a possibility that the secret key may be leaked by intercepting communication between the terminal and the IC card.

特開昭61−163746号公報JP 61-163746 A 特開平02−095042号公報Japanese Patent Laid-Open No. 02-095042

上記事情に鑑み、本発明は、通信を行う際に生じるセキュリティの低下を抑止させる技術の提供を目的としている。すなわち、秘密鍵を用いた暗号化技術を用いたデータ通信において、秘密鍵の漏洩のリスクを低減させる技術の提供を目的としている。   In view of the above circumstances, an object of the present invention is to provide a technique for suppressing a decrease in security that occurs when performing communication. That is, an object of the present invention is to provide a technique for reducing the risk of secret key leakage in data communication using an encryption technique using a secret key.

本発明は、秘密鍵を格納してなる通信媒体と、通信端末を用いて、通信端末に記憶されているデータを暗号化して外部通信端末に通信する通信方法であって、通信媒体に記憶されている以前に使用した乱数情報を取得するステップと、通信媒体に格納してある秘密鍵を以前に使用した乱数情報を用いて暗号化するステップと、通信媒体で次回使用する乱数情報を生成するステップと、通信媒体で暗号化された秘密鍵と次回使用する乱数情報を通信端末へ送信するステップと、通信端末に記憶してある以前に使用した乱数情報を取得するステップと、通信端末で、暗号化された秘密鍵を、取得した以前に使用した乱数情報を用いて復号化し秘密鍵を取得するステップと、通信端末で、取得した次回使用する乱数情報を記憶するステップと、を有することを特徴とする秘密鍵の配送方法とする。   The present invention is a communication method for encrypting data stored in a communication terminal using a communication medium storing a secret key and the communication terminal, and communicating with the external communication terminal. The communication method is stored in the communication medium. Generating the previously used random number information, encrypting the secret key stored in the communication medium using the previously used random number information, and generating the next random number information to be used on the communication medium A step, a step of transmitting a secret key encrypted in a communication medium and random number information to be used next time to the communication terminal, a step of acquiring previously used random number information stored in the communication terminal, and a communication terminal, Decrypting the encrypted private key using the previously used random number information to obtain the private key, and storing the obtained random number information to be used next time at the communication terminal. And delivery method of the private key and said Rukoto.

また、通信媒体に記憶されている以前に使用した乱数情報と通信端末に記憶してある以前に使用した乱数情報がそれぞれ複数あり、秘密鍵の暗号化が複数の乱数情報を用いて行われ、秘密鍵の復号化が複数の乱数情報を用いて行われることを特徴とする。   In addition, there are a plurality of previously used random number information stored in the communication medium and a plurality of previously used random number information stored in the communication terminal, and the encryption of the secret key is performed using the plurality of random number information, The secret key is decrypted using a plurality of pieces of random number information.

また、通信端末で、取得した秘密鍵が揮発性メモリに保存されることを特徴とする。   Further, the acquired secret key is stored in a volatile memory in the communication terminal.

本発明により、通信を行う際に生じるセキュリティの低下を抑止させることが可能となる。すなわち、秘密鍵を用いた暗号化技術を用いたデータ通信において、秘密鍵の漏洩のリスクを低減させることが可能となる。   According to the present invention, it is possible to suppress a decrease in security that occurs when performing communication. That is, in data communication using an encryption technique using a secret key, it becomes possible to reduce the risk of leakage of the secret key.

本発明に用いる通信システムの構成の一例を示す概略図。Schematic which shows an example of a structure of the communication system used for this invention. 従来の通信システムの構成の一例を示す概略図。Schematic which shows an example of a structure of the conventional communication system. 本発明に用いる通信システムの構成の一例を示す概略ブロック図。The schematic block diagram which shows an example of a structure of the communication system used for this invention. 本発明の通信方法の一例を示すシーケンス図。The sequence diagram which shows an example of the communication method of this invention. 本発明の通信方法の一例を示すシーケンス図。The sequence diagram which shows an example of the communication method of this invention.

以下、本発明について、図面を参照しながら説明する。
図3は、本発明の通信システムの構成の一例を示す概略ブロック図である。図3では、通信端末10及びICカード20、外部通信端末30を備える。
通信端末10は、情報処理装置を用いて構成される。通信端末10は、ICカード20が近づけられることによって通信を行う。また、通信端末10は、回線を通じて外部通信端末30と通信を行う。
ICカード20は、内部に記憶回路を備える。ICカード20は、通信端末10から無線信号を受信して、ID情報を含む無線信号を通信端末10に送信する。なお、ここで通信媒体の例としてICカードを用いたが、ICチップを搭載したメモリ、携帯電話など、秘密鍵を格納可能なセキュリティ領域を有するものを用いてもよい。 Hereinafter, the present invention will be described with reference to the drawings.
FIG. 3 is a schematic block diagram showing an example of the configuration of the communication system of the present invention. In FIG. 3, the communication terminal 10, the IC card 20, and the external communication terminal 30 are provided.
The communication terminal 10 is configured using an information processing device. The communication terminal 10 performs communication when the IC card 20 is brought closer. The communication terminal 10 communicates with the external communication terminal 30 through a line.
The IC card 20 includes a storage circuit inside. The IC card 20 receives a radio signal from the communication terminal 10 and transmits a radio signal including ID information to the communication terminal 10. Although an IC card is used as an example of the communication medium here, a memory having a security area in which a secret key can be stored, such as a memory mounted with an IC chip or a mobile phone, may be used.

次に、通信端末10、ICカード20及び外部通信端末30の機能構成を説明する。まず、通信端末10の機能構成を説明する。
通信端末10は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、認証プログラムを実行する。認証プログラムの実行によって、通信端末10は、入力部、制御部、インターフェース、通信部、記憶部、出力部、暗号化部、復号化部等を備える装置として機能する。なお、通信端末10の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。また、認証プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。また、認証プログラムは、電気通信回線を介して送受信されても良い。 Next, functional configurations of the communication terminal 10, the IC card 20, and the external communication terminal 30 will be described. First, the functional configuration of the communication terminal 10 will be described.
The communication terminal 10 includes a CPU (Central Processing Unit) connected via a bus, a memory, an auxiliary storage device, and the like, and executes an authentication program. By executing the authentication program, the communication terminal 10 functions as a device including an input unit, a control unit, an interface, a communication unit, a storage unit, an output unit, an encryption unit, a decryption unit, and the like. Note that all or a part of each function of the communication terminal 10 may be implemented by hardware such as ASIC (Application Specific Integrated Circuit), PLD (Programmable Logic Device), or FPGA (Field Programmable Gate Array). The authentication program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system. Further, the authentication program may be transmitted / received via a telecommunication line.

入力部は、キーボード、ポインティングデバイス(マウス、タブレット等)、ボタン、タッチパネル等の既存の入力装置を用いて構成される。入力部は、ユーザの指示を認証端末に入力する際にユーザによって操作される。入力部は、入力装置を通信端末10に接続するためのインタフェースであっても良い。この場合、入力部は、入力装置においてユーザの入力に応じ生成された入力信号を通信端末10に入力する。
制御部は、通信端末10の動作を制御する。 The input unit is configured using an existing input device such as a keyboard, a pointing device (mouse, tablet, etc.), a button, and a touch panel. The input unit is operated by the user when inputting a user instruction to the authentication terminal. The input unit may be an interface for connecting the input device to the communication terminal 10. In this case, the input unit inputs an input signal generated in response to a user input in the input device to the communication terminal 10.
The control unit controls the operation of the communication terminal 10.

インターフェースは、制御部の指示に従い、ICカード20との間で無線信号の送受信を行う。   The interface transmits and receives radio signals to and from the IC card 20 in accordance with instructions from the control unit.

演算部は、暗号化、復号化などの演算を行う。暗号化復号化動作においては、暗号化された情報を復号化し、またデータを暗号化する。例えば、ICカード20から送信される秘密鍵を含む暗号化情報を復号化したり、ICカード20から送信される秘密鍵を含む暗号化情報を復号化して取り出した秘密鍵を用いて送信相手から送信されたデータを復号化したり、外部通信端末に送信するデータ等の情報を、送信する相手から入手した送信相手の公開鍵を用いて暗号化したりする。
また署名動作においては、ICカード20から送信される秘密鍵を含む暗号化情報を復号化したり、ICカード20から送信される秘密鍵を含む暗号化情報を復号化して取り出した秘密鍵とデータのハッシュ値を演算して署名を生成したり、送信された相手から送信されたデータを送信された相手から取得した送信相手の公開鍵を用いて署名検証を実施したりする。 The operation unit performs operations such as encryption and decryption. In the encryption / decryption operation, the encrypted information is decrypted and the data is encrypted. For example, the encrypted information including the secret key transmitted from the IC card 20 is decrypted, or the encrypted information including the secret key transmitted from the IC card 20 is decrypted and transmitted from the transmission partner using the extracted secret key. The received data is decrypted, or information such as data to be transmitted to the external communication terminal is encrypted using the public key of the transmission partner obtained from the transmission partner.
Further, in the signature operation, the encryption information including the secret key transmitted from the IC card 20 is decrypted, or the encryption information including the secret key transmitted from the IC card 20 is decrypted and the secret key and the data extracted A signature is generated by calculating a hash value, or signature verification is performed using the public key of the transmission partner acquired from the transmission partner of the data transmitted from the transmission partner.

記憶部は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。記憶部は、暗号化された秘密鍵を復号するための乱数情報や、外部通信端末に送信するデータなどを記憶する。
なお、乱数情報はICカードのID番号と紐付けて記憶させておくことができる。また、生成された時間と紐付けて記憶させておくことができる。さらに、過去に受信した乱数を複数記憶しておくこともできる。 The storage unit is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The storage unit stores random number information for decrypting the encrypted secret key, data to be transmitted to the external communication terminal, and the like.
The random number information can be stored in association with the ID number of the IC card. Further, it can be stored in association with the generated time. Furthermore, a plurality of random numbers received in the past can be stored.

メモリ部は、ICカード20から受信した暗号化された秘密鍵を復号部で復号化した秘密鍵を格納する。この秘密鍵はセキュリティを十分に考慮する必要があることから、通信端末10がICカード20を認識できなくなったら破棄するだけでなく、外部端末30との通信が終了した時点で、メモリ内の秘密鍵を破棄する。   The memory unit stores the secret key obtained by decrypting the encrypted secret key received from the IC card 20 by the decryption unit. Since it is necessary to sufficiently consider the security of this secret key, not only is it discarded when the communication terminal 10 cannot recognize the IC card 20, but also the secret in the memory when communication with the external terminal 30 is completed. Discard the key.

出力部は、通信端末10に接続された不図示の出力装置を介し、ユーザに対して操作指示やエラーメッセージ等の出力を行う。出力装置は、例えば画像や文字を画面に出力する装置を用いて構成されても良い。例えば、出力装置は、CRT(Cathode Ray Tube)や液晶ディスプレイや有機EL(Electro−Luminescent)ディスプレイ等を用いて構成できる。また、出力装置は、文字を音声に変換して出力する装置を用いて構成されても良い。この場合、出力装置は、音声合成装置及び音声出力装置(スピーカー)を用いて構成できる。   The output unit outputs operation instructions and error messages to the user via an output device (not shown) connected to the communication terminal 10. The output device may be configured using, for example, a device that outputs images and characters on a screen. For example, the output device can be configured using a CRT (Cathode Ray Tube), a liquid crystal display, an organic EL (Electro-Luminescent) display, or the like. In addition, the output device may be configured using a device that converts characters into speech and outputs the speech. In this case, the output device can be configured using a voice synthesizer and a voice output device (speaker).

通信部は、制御部の指示に従い、外部通信端末との間で無線信号の送受信を行う。
この無線信号の送受信を用いて外部通信端末にデータを送信できる。データとしては通信端末10で暗号化されたデータ等がある。 The communication unit transmits and receives radio signals to and from an external communication terminal in accordance with instructions from the control unit.
Data can be transmitted to the external communication terminal by using transmission / reception of the radio signal. The data includes data encrypted by the communication terminal 10.

次に、ICカード20の機能構成を説明する。
ICカード20は、制御部、通信部、ROM(Read Only Memory)、RAM(Random Access Memory)、認証情報記憶部、暗号化部、乱数生成部を備える。上記のICカード20の各機能部は、バスを介して互いに接続されている。 Next, the functional configuration of the IC card 20 will be described.
The IC card 20 includes a control unit, a communication unit, a ROM (Read Only Memory), a RAM (Random Access Memory), an authentication information storage unit, an encryption unit, and a random number generation unit. The functional units of the IC card 20 are connected to each other via a bus.

制御部は、ICカード20の動作を制御する。また、制御部は、N回目の秘密鍵を含む暗号化情報の送信が行われた場合に、乱数生成部に乱数の生成を指示する。例えば、制御部は、N回目の秘密鍵を含む暗号化情報の送信の際に(N+1)回目の秘密鍵を含む暗号化情報に使用する乱数(以下、「次回乱数」という。)の生成を指示する。
インターフェースは、制御部の指示に従い、通信端末10との間で無線信号の送受信を行う。
ROMは、読み出し専用のメモリであり、ICカード20を動作させるためのプログラムを記憶する。 The control unit controls the operation of the IC card 20. The control unit instructs the random number generation unit to generate a random number when the encrypted information including the Nth secret key is transmitted. For example, the control unit generates a random number (hereinafter referred to as “next random number”) used for the encrypted information including the (N + 1) th secret key when transmitting the encrypted information including the Nth secret key. Instruct.
The interface transmits and receives radio signals to and from the communication terminal 10 in accordance with instructions from the control unit.
The ROM is a read-only memory and stores a program for operating the IC card 20.

RAMは、種々の情報を記憶する読み出し書き込みメモリである。RAMには、ROMから読み出されたプログラムが展開される。RAMは、プログラムが実行されることによって生成された各種データを記憶する。RAMは、通信端末10から送信されるデータを一時的に記憶する。RAMは、PINカウンタを記憶する。PINカウンタは、PIN照合に使用されるカウンタである。
記憶部は、フラッシュメモリ、EEPROM(Electrically Erasable Programmable Read−Only Memory)等の不揮発性の半導体メモリなどの記憶装置を用いて構成される。記憶部は、秘密鍵等に関する情報が記憶されている。
なお、後述する乱数生成部で生成した乱数情報を記憶させることもできる。乱数情報は通信端末のID番号と紐付けて記憶させておくことができる。また、生成された時間と紐付けて記憶させておくことができる。さらに、過去に受信した乱数を複数記憶しておくこともできる。 The RAM is a read / write memory that stores various information. A program read from the ROM is expanded in the RAM. The RAM stores various data generated by executing the program. The RAM temporarily stores data transmitted from the communication terminal 10. The RAM stores a PIN counter. The PIN counter is a counter used for PIN verification.
The storage unit is configured by using a storage device such as a flash memory or a nonvolatile semiconductor memory such as an EEPROM (Electrically Erasable Programmable Read-Only Memory). The storage unit stores information related to the secret key and the like.
Note that random number information generated by a random number generation unit to be described later can also be stored. The random number information can be stored in association with the ID number of the communication terminal. Further, it can be stored in association with the generated time. Furthermore, a plurality of random numbers received in the past can be stored.

演算部は、演算化を行う。具体的には、演算部は、後述する乱数生成部により生成した乱数を用い、記憶部に格納されている秘密鍵等の情報を暗号化する。例えば、DES(Data Encryption Standard)を用いて暗号化し、DES暗号化情報を生成する。   The calculation unit performs calculation. Specifically, the calculation unit encrypts information such as a secret key stored in the storage unit using a random number generated by a random number generation unit described later. For example, encryption is performed using DES (Data Encryption Standard) to generate DES encryption information.

乱数生成部は、制御部の指示に従い、乱数を生成する。例えば、乱数生成部は、制御部の指示に従い、次回乱数(認証情報)を生成する。   The random number generation unit generates a random number in accordance with an instruction from the control unit. For example, the random number generation unit generates a next random number (authentication information) in accordance with an instruction from the control unit.

外部通信端末30は、CPUやメモリや補助記憶装置などを備え、認証プログラムを実行する。認証プログラムの実行によって、通信端末10は、入力部、制御部、通信部、記憶部、出力部、演算部、インターフェース、メモリ等を備える装置として機能する。   The external communication terminal 30 includes a CPU, a memory, an auxiliary storage device, and the like, and executes an authentication program. By executing the authentication program, the communication terminal 10 functions as a device including an input unit, a control unit, a communication unit, a storage unit, an output unit, a calculation unit, an interface, a memory, and the like.

記憶部は、上述の秘密鍵と対になる公開鍵を格納しておくことができる。
通信部は、通信端末10から送信されてきたデータを受信する。演算部は、受信した暗号化データを復号化や署名検証を行うことができる。 The storage unit can store a public key that is paired with the above-described secret key.
The communication unit receives data transmitted from the communication terminal 10. The arithmetic unit can decrypt the received encrypted data and verify the signature.

図4は、本発明の通信方法の一例を示すシーケンス図である。ここではデータの暗号化通信を例にとって記述する。
まず、ユーザがICカード20を通信端末10に近づけ、認証が成立すると、秘密鍵の送受信を開始する(ステップS101)。なお、認証が成立しなかった場合、エラー処理を行う。 FIG. 4 is a sequence diagram showing an example of the communication method of the present invention. Here, data encryption communication will be described as an example.
First, when the user brings the IC card 20 close to the communication terminal 10 and authentication is established, transmission / reception of a secret key is started (step S101). If authentication is not established, error processing is performed.

通信端末10とICカード20の認証には、公知の手法を用いることができる。例えば、PINを用いた方式などを用いることができ、また、DES等の共通鍵を用いた暗号方式を用いた相互認証を用いることもできる。さらに、暗号化に用いる乱数情報を毎回更新し、次回用いる乱数を事前に共有する方法を用いてもよい。
なお、通信端末10とICカード20は事前に紐付けさせておくことができる。このようにすることで、ICカード20には、複数の端末に用いる乱数情報を格納させ、端末毎に後述の乱数情報を設定することができる。 A known method can be used for authentication of the communication terminal 10 and the IC card 20. For example, a method using a PIN or the like can be used, and mutual authentication using an encryption method using a common key such as DES can also be used. Further, a method may be used in which random number information used for encryption is updated every time and a random number to be used next time is shared in advance.
The communication terminal 10 and the IC card 20 can be linked in advance. In this way, the IC card 20 can store random number information used for a plurality of terminals and set random number information described later for each terminal.

認証が成立すると、通信端末10から秘密鍵を要求することにより、N回目の暗号化済秘密鍵の送受信が開始される(ステップS102)。通信が開始されると、ICカード20の制御部は、前回(N−1回目)の秘密鍵の送受信時に生成した乱数(前回乱数)と、記憶部に格納されている秘密鍵を取得する(ステップS103、104)。そして、前回生成した乱数用いて、秘密鍵を暗号化する(ステップS105)。なお、秘密鍵の暗号化は、今回の通信端末との認証が成立した後に行うのではなく、前回の暗号化済秘密鍵の送受信の際の乱数生成後に行い、記憶部に記憶しておくこともできる。   When the authentication is established, the transmission / reception of the Nth encrypted private key is started by requesting the private key from the communication terminal 10 (step S102). When communication is started, the control unit of the IC card 20 acquires a random number (previous random number) generated at the time of transmission / reception of the previous (N-1th) secret key and a secret key stored in the storage unit ( Steps S103 and 104). Then, the secret key is encrypted using the previously generated random number (step S105). Note that the encryption of the private key is not performed after the authentication with the current communication terminal is established, but after the random number is generated when the previous encrypted private key is transmitted and received, and stored in the storage unit. You can also.

次にICカード20の制御部は、乱数生成部に乱数の生成を指示する。乱数生成部は、制御部の指示に従い、次回(N回目)に使用する乱数を生成する(ステップS106)。制御部は、インタフェースを通じて暗号化した秘密鍵及び生成された次回使用する乱数(次回乱数)を通信端末10に送信する(ステップS107)。   Next, the control unit of the IC card 20 instructs the random number generation unit to generate a random number. The random number generation unit generates a random number to be used for the next time (Nth time) in accordance with an instruction from the control unit (step S106). The control unit transmits the secret key encrypted through the interface and the generated random number to be used next time (next random number) to the communication terminal 10 (step S107).

通信端末10のインターフェースは、ICカード20から送信された暗号化した秘密鍵及び生成された次回に使用する乱数を受信する(ステップS108)。
なお、受信した乱数は記憶部に記憶する。 The interface of the communication terminal 10 receives the encrypted secret key transmitted from the IC card 20 and the generated random number to be used next time (step S108).
The received random number is stored in the storage unit.

次に通信端末10の制御部は、記憶部から前回(N−1回目)の暗号化済秘密鍵の受信時に受信した乱数(前回乱数)を取得する(ステップS109)。そして、通信端末10の演算化部で、受信した暗号化済秘密鍵を、取得した前回乱数を用いて復号化し、秘密鍵を取得する(ステップS110)。なお、取得した秘密鍵はメモリ部のRAM等の揮発性メモリに記憶することが好ましい。不揮発性メモリに記憶すると、通信端末がハッキング等、不正にアクセスされた際に秘密鍵が漏洩する危険性があるからである。   Next, the control unit of the communication terminal 10 obtains the random number (previous random number) received when receiving the previous (N-1th) encrypted secret key from the storage unit (step S109). Then, the computerized unit of the communication terminal 10 decrypts the received encrypted secret key using the acquired previous random number, and acquires the secret key (step S110). The acquired secret key is preferably stored in a volatile memory such as a RAM of the memory unit. This is because if stored in the non-volatile memory, there is a risk that the secret key will be leaked when the communication terminal is illegally accessed such as hacking.

このようにすることで、N回目の認証において通信端末10とICカード20との間で送受信された暗号化済秘密鍵、乱数が盗聴された場合であっても、この乱数では暗号化済秘密鍵を復号化することはできないので、「なりすまし」などのセキュリティ上の問題を排除できる。   By doing in this way, even if the encrypted secret key and random number transmitted / received between the communication terminal 10 and the IC card 20 in the N-th authentication are wiretapped, the encrypted secret is encrypted with this random number. Since the key cannot be decrypted, security problems such as “spoofing” can be eliminated.

一方外部通信端末30では、通信端末10に送付するデータ(送付データ)を取得する(ステップS111)。そして、上記秘密鍵とペアになる公開鍵を取得する(ステップS112)。公開鍵の取得は公知の方法で取得できるが、例えば、公開鍵が格納されているサーバー等の端末からネット経由で取得するなどがあげられる。
そして、送付データを取得した公開鍵で暗号化する(ステップS113)。次に暗号化した送付データを通信端末10に送信する(ステップS114)。 On the other hand, the external communication terminal 30 acquires data (send data) to be sent to the communication terminal 10 (step S111). Then, a public key paired with the secret key is acquired (step S112). The public key can be obtained by a known method. For example, the public key can be obtained via a network from a terminal such as a server in which the public key is stored.
Then, the sent data is encrypted with the acquired public key (step S113). Next, the encrypted sending data is transmitted to the communication terminal 10 (step S114).

通信端末10は暗号化した送付データを受信(ステップS115)し、ステップ110で取得した秘密鍵を用いて複号する(ステップS116)。   The communication terminal 10 receives the encrypted sending data (step S115), and decrypts it using the secret key acquired in step 110 (step S116).

図5は、本発明の通信方法の他の一例を示すシーケンス図である。ここでは、署名データの検証を例に説明する。
ステップ101からステップ110までは図4の例と同様であるため省略する。 FIG. 5 is a sequence diagram showing another example of the communication method of the present invention. Here, verification of signature data will be described as an example.
Steps 101 to 110 are the same as in the example of FIG.

ステップ110で秘密鍵を取得したら署名データを取得する(ステップS111)。なお、署名データは秘密鍵取得前に取得しておいてもよい。
取得した署名データはコピーを作成しておき、一方をステップ110で取得した秘密鍵を用いて演算する。演算された署名と、演算していない署名の双方を外部通信端末30に送信する(ステップS113)。 When the private key is obtained in step 110, signature data is obtained (step S111). The signature data may be acquired before acquiring the secret key.
A copy of the acquired signature data is created, and one is calculated using the secret key acquired in step 110. Both the calculated signature and the non-calculated signature are transmitted to the external communication terminal 30 (step S113).

一方外部通信端末30では、上記秘密鍵とペアになる公開鍵を取得する(ステップS114)。
そして、通信端末10より、演算された署名データと演算されていない署名データを受信する(ステップS115)。演算された署名データをステップ114で取得した公開鍵で演算し、演算されていない署名データを照合して検証する(ステップS116、S116)。 On the other hand, the external communication terminal 30 acquires a public key paired with the secret key (step S114).
Then, the calculated signature data and the uncalculated signature data are received from the communication terminal 10 (step S115). The calculated signature data is calculated using the public key acquired in step 114, and the signature data that has not been calculated is verified by verification (steps S116 and S116).

なお、ICカードで秘密鍵を乱数を用いて暗号化する際、過去に受信した乱数を複数用いて暗号化してもよい。また、これらの乱数は演算して用いてもよい。例えば、1回前と2回前に送受信した乱数を足したものを用いるなどである。
また、乱数を用いて暗号化された秘密鍵を通信端末に送信する際、用いた乱数の生成された時間情報と合わせて送信することができる。この場合、通信端末では、受信した乱数の生成時間情報と記憶してある過去に受信した乱数情報の生成された時間を照合し、一致した場合に暗号化された秘密鍵を復号することができる正当な乱数情報とみなし、この乱数を用いて秘密鍵を復号することができる。 When the secret key is encrypted using a random number in the IC card, it may be encrypted using a plurality of random numbers received in the past. These random numbers may be calculated and used. For example, a value obtained by adding random numbers transmitted / received one time before and twice before is used.
In addition, when a secret key encrypted using a random number is transmitted to the communication terminal, it can be transmitted together with the time information generated by the random number used. In this case, the communication terminal can collate the received random number generation time information with the stored generation time of the previously received random number information, and decrypt the encrypted secret key if they match. It is regarded as valid random number information, and the secret key can be decrypted using this random number.

以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.

Claims (3)

秘密鍵を格納してなる通信媒体と、通信端末を用いて、通信端末に記憶されているデータを暗号化して外部通信端末に通信する通信方法であって、
通信媒体に記憶されている以前に使用した乱数情報を取得するステップと、
通信媒体に格納してある秘密鍵を以前に使用した乱数情報を用いて暗号化するステップと、
通信媒体で次回使用する乱数情報を生成するステップと、
通信媒体で暗号化された秘密鍵と次回使用する乱数情報を通信端末へ送信するステップと、
通信端末に記憶してある以前に使用した乱数情報を取得するステップと、
通信端末で、暗号化された秘密鍵を、取得した以前に使用した乱数情報を用いて復号化し秘密鍵を取得するステップと、
通信端末で、取得した次回使用する乱数情報を記憶するステップと、
を有することを特徴とする秘密鍵の配送方法。 A communication method for encrypting data stored in a communication terminal and communicating with an external communication terminal using a communication medium storing a secret key and a communication terminal,
Obtaining previously used random number information stored in a communication medium;
Encrypting the private key stored in the communication medium using random number information previously used;
Generating random number information to be used next time on the communication medium;
Transmitting a secret key encrypted with a communication medium and random number information to be used next time to the communication terminal;
Obtaining previously used random number information stored in the communication terminal;
Decrypting the encrypted secret key using the previously used random number information and acquiring the secret key at the communication terminal; and
In the communication terminal, storing the acquired random number information to be used next time;
A secret key delivery method characterized by comprising: 前記通信媒体に記憶されている以前に使用した乱数情報と通信端末に記憶してある以前に使用した乱数情報がそれぞれ複数あり、
秘密鍵の暗号化が複数の乱数情報を用いて行われ、
秘密鍵の復号化が複数の乱数情報を用いて行われることを特徴とする請求項1に記載の秘密鍵の配送方法。 There are a plurality of previously used random number information stored in the communication medium and a plurality of previously used random number information stored in the communication terminal,
Private key encryption is performed using multiple pieces of random number information,
2. The secret key delivery method according to claim 1, wherein the secret key is decrypted using a plurality of pieces of random number information. 前記通信端末で、取得した秘密鍵が揮発性メモリに保存されることを特徴とする請求項1または2に記載の秘密鍵の配送方法。   3. The secret key delivery method according to claim 1, wherein the acquired secret key is stored in a volatile memory in the communication terminal.
JP2013088306A 2013-04-19 2013-04-19 Secret key distribution method Pending JP2014212474A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013088306A JP2014212474A (en) 2013-04-19 2013-04-19 Secret key distribution method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013088306A JP2014212474A (en) 2013-04-19 2013-04-19 Secret key distribution method

Publications (1)

Publication Number Publication Date
JP2014212474A true JP2014212474A (en) 2014-11-13

Family

ID=51931917

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013088306A Pending JP2014212474A (en) 2013-04-19 2013-04-19 Secret key distribution method

Country Status (1)

Country Link
JP (1) JP2014212474A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017016280A (en) * 2015-06-30 2017-01-19 ユタカ電気株式会社 Boarding and alighting management method of pickup bus
JP2020072307A (en) * 2018-10-29 2020-05-07 合同会社玉木栄三郎事務所 Secret key management system in distributed network and secret key management method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017016280A (en) * 2015-06-30 2017-01-19 ユタカ電気株式会社 Boarding and alighting management method of pickup bus
JP2020072307A (en) * 2018-10-29 2020-05-07 合同会社玉木栄三郎事務所 Secret key management system in distributed network and secret key management method

Similar Documents

Publication Publication Date Title
ES2836114T3 (en) Information sending method, information reception method, device and system
ES2687191T3 (en) Network authentication method for secure electronic transactions
WO2021022701A1 (en) Information transmission method and apparatus, client terminal, server, and storage medium
WO2018133686A1 (en) Method and device for password protection, and storage medium
CN108199847B (en) Digital security processing method, computer device, and storage medium
US11888832B2 (en) System and method to improve user authentication for enhanced security of cryptographically protected communication sessions
CN108199838B (en) Data protection method and device
CN111178884A (en) Information processing method, device, equipment and readable storage medium
CN111316596B (en) Encryption chip with identity verification function
JP2014175970A (en) Information distribution system, information processing device, and program
CN106897631A (en) Data processing method, apparatus and system
CN109919609A (en) Anti- quantum calculation block chain secure transactions method and system based on public key pond
CN102598575B (en) Method and system for the accelerated decryption of cryptographically protected user data units
CN113572743A (en) Data encryption and decryption method and device, computer equipment and storage medium
CN112385175B (en) Device for data encryption and integrity
JP2014212474A (en) Secret key distribution method
WO2020177109A1 (en) Lot-drawing processing method, trusted chip, node, storage medium and electronic device
US8781128B2 (en) Method and device for automatically distributing updated key material
KR101443849B1 (en) Security management method for authentication message
KR20170001633A (en) Tokenization-based encryption key managemnent sytem and method
JP2014212420A (en) Authentication medium, authentication terminal, authentication system, and authentication method
JP4856933B2 (en) Signature device, verification device, decryption device, plaintext restoration device, information providing device, signature system, communication system, key generation device, and signature method
KR102625088B1 (en) Apparatus and method for sharing data
KR101298216B1 (en) Authentication system and method using multiple category
CA2738555C (en) Method and device for automatically distributing updated key material