JP2862141B2 - Identification number-based key management device using conventional encryption - Google Patents
Identification number-based key management device using conventional encryptionInfo
- Publication number
- JP2862141B2 JP2862141B2 JP1339970A JP33997089A JP2862141B2 JP 2862141 B2 JP2862141 B2 JP 2862141B2 JP 1339970 A JP1339970 A JP 1339970A JP 33997089 A JP33997089 A JP 33997089A JP 2862141 B2 JP2862141 B2 JP 2862141B2
- Authority
- JP
- Japan
- Prior art keywords
- identification number
- encryption
- key
- incoming
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【発明の詳細な説明】 [目 次] 概要 産業上の利用分野 従来の技術 発明が解決しようとする課題 課題を解決するための手段(第1図) 作 用(第1図) 実施例(第2〜5図) 発明の効果 [概 要] 慣用暗号を用いて暗号通信を行なう際に必要な鍵管理
において、識別番号を鍵管理に利用する慣用暗号を用い
た識別番号ベース鍵管理装置に関し、 慣用暗号を使ったものに、一方向性をもたす工夫をこ
らして、本人のパスワードと識別番号および通信相手の
識別番号を用いることにより、高速に個別暗号通信やグ
ループ通信を簡単に実現できるようにすることを目的と
し、 参照パスワード・参照識別番号記憶部と、パスワー
ド,識別番号を参照パスワード,参照識別番号と比較し
て両者が一致している場合には一致信号を出す比較手段
と、マスタ鍵記憶部と、比較手段からの一致信号を受け
るとマスタ鍵を出力するゲート/手段と、本人識別番
号,通信相手識別番号を結合する結合手段と、結合手段
からの結合識別番号情報をマスタ鍵で暗号化して慣用暗
号鍵を生成する慣用暗号処理部と、暗号鍵を用いて発信
平文データの暗号化または暗号化着信データの復号を行
なう暗号装置とをそなえるように構成する。Detailed Description of the Invention [Table of Contents] Overview Industrial application field Conventional technology Problems to be solved by the invention Means for solving the problem (FIG. 1) Operation (FIG. 1) Working example (FIG. 1) 2 to 5) Effect of the Invention [Summary] In a key management required for performing cryptographic communication using a conventional encryption, an identification number-based key management device using a conventional encryption that uses an identification number for key management. By using the password and identification number of the user and the identification number of the communication partner, the individual encryption communication and group communication can be easily realized at high speed by using a device that is one-way in the one that uses the conventional encryption. A reference password / reference identification number storage unit, comparing means for comparing the password and the identification number with the reference password and the reference identification number, and outputting a match signal when the two match. Ma A master key storage unit, a gate / means for outputting a master key when a coincidence signal is received from the comparing means, a combining means for combining a personal identification number and a communication partner identification number, and a master for storing combined identification number information from the combining means. A conventional cryptographic processing unit that generates a conventional encryption key by encrypting with a key, and an encryption device that encrypts outgoing plaintext data or decrypts encrypted incoming data using the encryption key are provided.
[産業上の利用分野] 本発明は、慣用暗号を用いて暗号通信を行なう際に必
要な鍵管理において、識別番号を鍵管理に利用する慣用
暗号を用いた識別番号ベース鍵管理装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an identification number-based key management device using a conventional encryption that uses an identification number for key management in key management required when performing cryptographic communication using a conventional encryption.
一般に、データを暗号化して通信を行なう暗号通信方
式が知られており、通信当事者間で同一の暗号鍵を共有
して暗号化および復号が行なわれるようになっている。In general, an encryption communication system for performing communication by encrypting data is known, and encryption and decryption are performed by sharing the same encryption key between communicating parties.
[従来の技術] 伝送するデータを保護するために暗号化する暗号通信
方式については、各種の方式が提案されているが、これ
らは慣用暗号方式(Conventional Cryptosystem)と公
開鍵暗号方式(Public−key Cryptosystem)とに大別す
ることができる。2. Description of the Related Art Various methods have been proposed for an encryption communication method for encrypting data to be transmitted in order to protect the data. These methods are a conventional encryption method (Conventional Cryptosystem) and a public key encryption method (Public-key method). Cryptosystem).
慣用暗号方式は秘密鍵方式とも称されるものであり、
同一の鍵をエンティティ間で秘密に共有するものであ
り、その鍵を秘密に配送する各種の手段が提案されてい
る。The conventional encryption method is also called a secret key method,
The same key is secretly shared between entities, and various means for secretly delivering the key have been proposed.
また、公開鍵暗号方式は、暗号化鍵を公開し、復号鍵
を秘密に保持するもので、この復号鍵として各種公開パ
ラメータから推定することが殆ど不可能に近いものが用
いられようになっている。In addition, the public key cryptosystem discloses an encryption key and keeps a decryption key secret. As this decryption key, one that is almost impossible to estimate from various public parameters has been used. I have.
なお、暗号鍵の生成に際しては、個人名や従業員番号
等の個人の識別情報を付加する方式も提案されている。In addition, a method of adding personal identification information such as a personal name or an employee number when generating an encryption key has been proposed.
[発明が解決しようとする課題] しかしながら、前述の慣用暗号方式は、各エンティテ
ィ間の共通の暗号鍵を必要とするものであるから、大規
模ネットワークのように多数のエンティティが存在する
場合は、それらのエンティティ対応の暗号鍵を秘密に管
理することになり、その暗号鍵の保護等が容易でないも
のとなる。[Problems to be Solved by the Invention] However, since the above-mentioned conventional encryption method requires a common encryption key between each entity, when there are many entities such as a large-scale network, Since the encryption keys corresponding to these entities are secretly managed, it becomes difficult to protect the encryption keys.
また、公開鍵暗号方式では、暗号化鍵を公開し、復号
鍵を秘密にするものであり、従って、各エンティティ
は、復号鍵のみを緻密に保管,管理すれば良いことにな
るが、それと共に公開鍵ファイルを必要とし、大規模ネ
ットワークのように多数のエンティティが存在する場合
は、公開鍵ファイルの管理が容易でなくなる。またこの
公開鍵ファイルが改竄されると、第三者が或るエンティ
ティに成り済ますおそれが生じるほか、公開鍵が例えば
512ビットと長く、鍵データの性質がランダムで、通信
者間で異なる演算パラメータの保有が必要等の性質があ
り、これによりシステムの運用が面倒であるという問題
点がある。In the public key cryptosystem, an encryption key is made public and a decryption key is kept secret. Therefore, each entity only needs to store and manage only the decryption key precisely. When a public key file is required and there are many entities such as a large-scale network, it becomes difficult to manage the public key file. If this public key file is tampered with, there is a risk that a third party may pretend to be an entity, and if the public key is
It is as long as 512 bits, has the property that key data is random in nature, and it is necessary for communication parties to have different operation parameters, which makes the operation of the system cumbersome.
そこで、公開鍵の代わりに、より分かり易い相手識別
コード即ち識別番号(ID番号)を用いて、通信当事者固
有の鍵を生成し、この鍵で暗号通信を行なうIDベースの
鍵管理方式の研究が活発化している。Therefore, research on an ID-based key management method of generating a key unique to a communication party using a more easily identifiable partner identification code, that is, an identification number (ID number) instead of a public key, and performing cryptographic communication using this key has been conducted. It is becoming active.
すなわち、かかるIDベースの鍵管理方式においては、
複雑な行列演算や冪乗指数演算を使って一方向性関数を
作り、識別番号より第三者が推定困難な暗号通信のため
の鍵を生成、通信当事者間でこの鍵を共有しあい、暗号
通信を実現するものである。That is, in such an ID-based key management method,
Creates a one-way function using a complex matrix operation or exponentiation operation, generates a key for cryptographic communication that is difficult for a third party to estimate from the identification number, and shares this key between the communicating parties to perform cryptographic communication. Is realized.
ところで、慣用暗号を基にして識別番号ベースの鍵管
理を行なうことも考えられるが、かかる場合は、識別番
号が公開のため、どの通信者にも任意の鍵が生成できる
という問題点がある。By the way, it is conceivable to perform key management based on an identification number based on a conventional encryption, but in such a case, since the identification number is made public, there is a problem that any key can be generated by any communication party.
本発明は、このような状況下において創案されたもの
で、高い演算処理効率を有するが誰にでも共通鍵の生成
が可能であるという慣用暗号を使ったものに、一方向性
をもたす工夫をこらして、本人のパスワードと識別番号
および通信相手の識別番号を用いることにより、高速に
個別暗号通信やグループ通信を簡単に実現できるように
した、慣用暗号を用いた識別番号ベース鍵管理装置を提
供することを目的としている。The present invention was created in such a situation, and has a one-way property using a conventional cryptosystem that has a high operation processing efficiency but can generate a common key by anyone. An identification number-based key management device using conventional cryptography that uses individual passwords, identification numbers, and communication partner identification numbers to easily realize individual encryption communication and group communication at high speed. It is intended to provide.
[課題を解決するための手段] 第1図は本発明の原理ブロック図である。[Means for Solving the Problems] FIG. 1 is a principle block diagram of the present invention.
この第1図において、1は参照パスワード・参照識別
番号記憶部で、この参照パスワード・参照識別番号記憶
部1は、本人用の参照パスワードおよび参照識別番号を
記憶するものである。In FIG. 1, reference numeral 1 denotes a reference password / reference identification number storage unit, and this reference password / reference identification number storage unit 1 stores a reference password and a reference identification number for the user.
2は比較器(比較手段)で、この比較器2は、入力さ
れたパスワードおよび識別番号を参照パスワード・参照
識別番号記憶部1に記憶されたパスワードおよび参照識
別番号とそれぞれ比較して、両者が一致している場合に
は、一致信号を出すものである。Reference numeral 2 denotes a comparator (comparing means). The comparator 2 compares the input password and identification number with the password and reference identification number stored in the reference password / reference identification number storage unit 1, respectively. If they match, a match signal is issued.
3はマスタ鍵を記憶するマスタ鍵記憶部である。 Reference numeral 3 denotes a master key storage unit that stores a master key.
4はゲート回路(ゲート手段)で、このゲート回路4
は、比較器2からの一致信号を受けると、マスタ鍵記憶
部3からのマスタ鍵を出力するものである。Reference numeral 4 denotes a gate circuit (gate means).
Is to output the master key from the master key storage unit 3 upon receiving the coincidence signal from the comparator 2.
5は結合回路(結合手段)で、この結合回路5は、入
力された本人識別番号と通信相手の識別番号とを結合す
るもので、この結合回路5は、入力された本人識別番号
と通信相手の識別番号とを所要の順で記憶する本人識別
番号・通信相手識別番号結合記憶部と、この本人識別番
号・通信相手識別番号結合記憶部で記憶された本人識別
番号と通信相手識別番号とを結合したものについてハッ
シング処理を施すハッシング処理部とをそなえて構成さ
れている(請求項4)。Numeral 5 denotes a coupling circuit (coupling means) which couples the input personal identification number with the identification number of the communication partner. This coupling circuit 5 combines the input personal identification number with the communication partner. And an identification number / communication partner identification number combination storage unit for storing the identification numbers and the communication partner identification number in a required order, and a personal identification number and a communication partner identification number stored in the personal identification number / communication partner identification number combination storage unit. A hashing processing unit for performing a hashing process on the combined components is configured (claim 4).
6は慣用暗号処理部で、この慣用暗号処理部6は、結
合回路5からの結合識別番号情報をゲート回路4を通過
してきたマスタ鍵で暗号化して慣用暗号鍵を生成するも
のである。Reference numeral 6 denotes a conventional cryptographic processing unit, which encrypts the connection identification number information from the connection circuit 5 with the master key passed through the gate circuit 4 to generate a conventional encryption key.
7は暗号装置で、この暗号装置7は、慣用暗号処理部
6で生成された暗号鍵を用いて発信平文データの暗号化
または暗号化着信データの復号を行なうものである(以
上の構成要素で請求項1,4を構成する)。Reference numeral 7 denotes an encryption device, which encrypts outgoing plaintext data or decrypts encrypted incoming data using the encryption key generated by the conventional encryption processing unit 6 (the above-described components). Claims 1 and 4).
そして、これらの参照パスワード・参照識別番号記憶
部1,比較器2,マスタ鍵記憶部3,ゲート回路4,結合回路5,
慣用暗号処理部6,暗号装置7は、ICカードに内蔵されて
いる(請求項2)。Then, these reference password / reference identification number storage unit 1, comparator 2, master key storage unit 3, gate circuit 4, coupling circuit 5,
The conventional cryptographic processing unit 6 and the cryptographic device 7 are built in an IC card.
8は暗号鍵記憶部で、この暗号鍵記憶部8は、慣用暗
号処理部で生成された暗号鍵を記憶するものである(請
求項3)。Reference numeral 8 denotes an encryption key storage unit, which stores the encryption key generated by the conventional encryption processing unit (claim 3).
なお、暗号鍵を発信用と受信用との2種類用意するこ
ともできる。この場合は、まず、結合回路5が、本人識
別番号,通信相手の識別番号の順に結合して発信用結合
識別番号情報を生成する発信用結合識別番号情報生成部
と、通信相手の識別番号,本人識別番号の順に結合して
着信用結合識別番号情報を生成する着信用結合識別番号
情報生成部と、発信用結合識別番号情報生成部または着
信用結合識別番号情報生成部のいずれか一方を選択する
選択部とをそなえて構成され、更には慣用暗号処理部6
において、発信用結合識別番号情報生成部からの発信用
結合識別番号情報をマスタ鍵で暗号化して発信用暗号鍵
を生成するとともに、着信用結合識別番号情報生成部か
らの着信用結合識別番号情報をマスタ鍵で暗号化して着
信用暗号鍵を生成するように構成される(請求項5)。Note that two types of encryption keys, one for transmission and one for reception, may be prepared. In this case, first, the coupling circuit 5 couples the identification number of the communication party and the identification number of the communication partner in this order to generate the coupling identification number information for transmission. Select the incoming connection identification number information generation unit that generates the connection identification number information for incoming calls by combining in the order of the user identification numbers, and select one of the outgoing connection identification number information generation unit or the incoming connection identification number information generation unit And a conventional encryption processing unit 6
In the above, the outgoing connection identification number information from the outgoing connection identification number information generation unit is encrypted with the master key to generate the outgoing connection encryption key, and the incoming connection identification number information from the incoming connection identification number information generation unit. Is encrypted with the master key to generate an incoming encryption key.
また、慣用暗号処理部6で生成された発信用暗号鍵お
よび着信用暗号鍵をそれぞれ記憶する発信用暗号鍵記憶
部および着信用暗号鍵記憶部を設けることもできる(請
求項6)。It is also possible to provide an outgoing encryption key storage unit and an incoming encryption key storage unit for respectively storing the outgoing encryption key and the incoming encryption key generated by the conventional encryption processing unit 6 (claim 6).
さらに、比較部2での比較処理を所要回行なっても入
力されたパスワードおよび識別番号と参照パスワードお
よび参照識別番号とがそれぞれ一致しない場合は、比較
部2でのその後の比較処理を禁止する禁止手段21を設け
るとともに、外部からの操作により禁止手段21による比
較禁止を解除する解除手段22を設けてもよい(請求項
7)。Furthermore, if the input password and the identification number do not match the reference password and the reference identification number even after performing the comparison process in the comparison unit 2 a required number of times, the subsequent comparison process in the comparison unit 2 is prohibited. Means 21 may be provided, and a canceling means 22 for canceling the comparison prohibition by the prohibition means 21 by an external operation may be provided.
[作 用] 上述の本発明の慣用暗号を用いた識別番号ベース鍵管
理装置では、本装置(本装置は請求項2に記載よりICカ
ード化されている)に、パスワードおよび識別番号を入
力すると、比較器2で、参照パスワード・参照識別番号
記憶部1に記憶された参照パスワードおよび参照識別番
号とパスワードおよび識別番号とがそれぞれ比較され
て、両者が一致している場合には、一致信号が出され
る。[Operation] In the above-described identification number-based key management device using the conventional encryption according to the present invention, when a password and an identification number are input to this device (this device is formed into an IC card according to claim 2), The comparator 2 compares the reference password and the reference identification number stored in the reference password / reference identification number storage unit 1 with the password and the identification number. If the two match, a match signal is output. Will be issued.
もし、比較器2から一致信号が出されると、ゲート回
路4がこの一致信号を受けて、マスタ鍵記憶部3からの
マスタ鍵を出力する。If a match signal is output from the comparator 2, the gate circuit 4 receives the match signal and outputs a master key from the master key storage unit 3.
一方、本装置には、本人のパスワードと識別番号のほ
か、通信相手の識別番号も入力されるが、入力された本
人識別番号と通信相手の識別番号とは、結合回路5で結
合される。そして、この結合回路5では、その本人識別
番号・通信相手識別番号結合記憶部に、入力された本人
識別番号と通信相手の識別番号とが所要の順で記憶され
るとともに、この本人識別番号・通信相手識別番号結合
記憶部で記憶された本人識別番号と通信相手識別番号と
を結合したものについて、ハッシング処理部にて、ハッ
シング処理が施される(請求項4)。On the other hand, in addition to the password and the identification number of the user, the identification number of the communication partner is also input to the apparatus, and the input identification number and the identification number of the communication partner are connected by the connection circuit 5. In the connection circuit 5, the input personal identification number and the communication partner identification number are stored in the personal identification number / communication partner identification number connection storage unit in a required order, and the personal identification number and the communication partner identification number are stored. A hashing process is performed by the hashing processing unit on a combination of the personal identification number and the communication partner identification number stored in the communication partner identification number combination storage unit (claim 4).
その後は、慣用暗号処理部6で、結合回路5からの結
合識別番号情報をゲート回路4を通過してきたマスタ鍵
で暗号化して慣用暗号鍵を生成することが行なわれる。
その際、請求項3のように、暗号鍵記憶部8を設けた場
合は、この暗号鍵記憶部8に、慣用暗号処理部で生成さ
れた暗号鍵が記憶される。Thereafter, the conventional cryptographic processing unit 6 encrypts the connection identification number information from the connection circuit 5 with the master key that has passed through the gate circuit 4 to generate a conventional encryption key.
In this case, when the encryption key storage unit 8 is provided, the encryption key generated by the conventional encryption processing unit is stored in the encryption key storage unit 8.
そして、最後に、暗号装置7にて、慣用暗号処理部6
で生成され暗号鍵を用いて、発信平文データの暗号化ま
たは暗号化着信データの復号が行なわれる(以上が請求
項1〜4を包含した作用である)。Finally, the encryption device 7 uses the conventional encryption processing unit 6
The encryption of the outgoing plaintext data or the decryption of the encrypted incoming data is performed using the encryption key generated in (1) and (2).
なお、暗号鍵を発信用と受信用との2種類用意するこ
ともできるが、この場合は、まず結合回路5の発信用結
合識別番号情報生成部で、本人識別番号,通信相手の識
別番号の順に結合して発信用結合識別番号情報を生成す
るとともに、着信用結合識別番号情報生成部で、通信相
手の識別番号,本人識別番号の順に結合して着信用結合
識別番号情報を生成し、選択部にて、発信用結合識別番
号情報生成部または着信用結合識別番号情報生成部のい
ずれか一方を選択する。Note that two types of encryption keys, one for transmission and one for reception, can be prepared. In this case, however, the outgoing connection identification number information generation unit of the connection circuit 5 first generates the personal identification number and the identification number of the communication partner. Combined in order to generate outgoing combined identification number information, and in the incoming combined identification number information generating section, combine the communication partner's identification number and personal identification number in this order to generate incoming combined identification number information and select it. The section selects either the outgoing connection identification number information generating section or the incoming connection identification number information generating section.
その後は、慣用暗号処理部6において、発信用結合識
別番号情報生成部からの発信用結合識別番号情報をマス
タ鍵で暗号化して発信用暗号鍵を生成するとともに、着
信用結合識別番号情報生成部からの着信用結合識別番号
情報をマスタ鍵で暗号化して着信用暗号鍵を生成する
(請求項5)。Thereafter, in the conventional encryption processing unit 6, the outgoing connection identification number information from the outgoing connection identification number information generation unit is encrypted with the master key to generate the outgoing connection encryption key, and the incoming connection identification number information generation unit And encrypts the incoming connection identification number information with the master key to generate an incoming encryption key (claim 5).
また、慣用暗号処理部6で生成された発信用暗号鍵お
よび着信用暗号鍵はそれぞれ発信用暗号鍵記憶部および
着信用暗号鍵記憶部に記憶される(請求項6)。The outgoing encryption key and the incoming encryption key generated by the conventional encryption processing unit 6 are stored in the outgoing encryption key storage unit and the incoming encryption key storage unit, respectively.
ところで、比較部2での比較処理を所要回行なっても
入力されたパスワードおよび識別番号と参照パスワード
および参照識別番号とがそれぞれ一致しない場合は、禁
止手段21によって、比較部2でのその後の比較処理を禁
止することが行なわれるが、かかる禁止状態は、外部か
らの操作により、解除手段22にて解除することができる
(請求項7)。By the way, when the input password and the identification number do not match the reference password and the reference identification number after performing the comparison process in the comparison unit 2 a required number of times, the prohibiting means 21 performs the subsequent comparison in the comparison unit 2. The prohibition of the processing is performed, and such a prohibition state can be released by the release means 22 by an external operation (claim 7).
[実施例] 以下、図面を参照して本発明の実施例を説明する。Embodiment An embodiment of the present invention will be described below with reference to the drawings.
本装置の説明を行なう前にエンティティ対応の鍵管理
の原理について少し説明する。まず、第5図に示すごと
く、複数(この例では5)のエンティティA〜Eが相互
に通信路を介して接続されることにより、ネットワーク
を構成しているが、この場合、例えばエンティティAと
エンティティBとの間の暗号鍵は、エンティティAから
エンティティBへの鍵KABと、エンティティBからエン
ティティAへの鍵KBAとがあり、同様にして、他の通信
当事者間の鍵も2種類ずつ存在する。Before describing the present apparatus, the principle of the key management for the entity will be briefly described. First, as shown in FIG. 5, a plurality of (5 in this example) entities A to E are connected to each other via a communication path to constitute a network. The encryption key between the entity B and the entity B includes a key K AB from the entity A to the entity B and a key K BA from the entity B to the entity A. Similarly, there are two types of keys between the other communication parties. Exist one by one.
各通信当事者間の鍵を示すと、以下のようになる。 The key between the communicating parties is as follows.
KAB=EK(PWA,IDA,IDB) KAC=EK(PWA,IDA,IDC) KAD=EK(PWA,IDA,IDD) KAE=EK(PWA,IDA,IDE) KBA=EK(PWB,IDB,IDA) KBC=EK(PWB,IDB,IDC) KBD=EK(PWB,IDB,IDD) KBE=EK(PWB,IDB,IDE) KCA=EK(PWC,IDC,IDA) KCB=EK(PWC,IDC,IDB) KCD=EK(PWC,IDC,IDD) KCE=EK(PWC,IDC,IDE) KDA=EK(PWD,IDD,IDA) KDB=EK(PWD,IDD,IDB) KDC=EK(PWD,IDD,IDC) KDE=EK(PWD,IDD,IDE) KEA=EK(PWE,IDE,IDA) KEB=EK(PWE,IDE,IDB) KEC=EK(PWE,IDE,IDC) KED=EK(PWE,IDE,IDD) ここで、Eは暗号化関数、PWはパスワード、Kは暗号
鍵で、例えばKAB=EK(PWA,IDA,IDB)は、PWA,IDA,IDB
をパラメータにした暗号化関数EKで暗号化すると、暗号
鍵KABが得られることを意味する。 K AB = E K (PW A , ID A, ID B) K AC = E K (PW A, ID A, ID C) K AD = E K (PW A, ID A, ID D) K AE = E K (PW A, ID A, ID E) K BA = E K (PW B, ID B, ID A) K BC = E K (PW B, ID B, ID C) K BD = E K (PW B, ID B, ID D) K BE = E K (PW B, ID B, ID E) K CA = E K (PW C, ID C, ID A) K CB = E K (PW C, ID C, ID B) K CD = E K (PW C , ID C, ID D) K CE = E K (PW C, ID C, ID E) K DA = E K (PW D, ID D, ID A) K DB = E K (PW D, ID D, ID B) K DC = E K (PW D, ID D, ID C) K DE = E K (PW D, ID D, ID E) K EA = E K (PW E, ID E, ID A) K EB = E K (PW E, ID E, ID B) K EC = E K (PW E, ID E, ID C) K ED = E K (PW E, ID E, ID D) here, E is an encryption function, PW is the password, K is the encryption key, for example, K AB = E K (PW A , ID A, ID B) is, PW A, ID A, ID B
Means that an encryption key K AB is obtained by encrypting with an encryption function E K with
ところで、エンティティは接続されるエンティティと
の間での暗号通信のために発信用および着信用の暗号鍵
を保有しなければ成らないが、本装置では、自分のパス
ワードPWiと識別番号IDiと通信相手の識別番号IDjとを
入力すれば、これらの情報から通信相手との間の発信用
暗号鍵Kij,着信用暗号鍵Kjiとを生成して、これらの暗
号鍵を用いて、発信平文データの暗号化または暗号化着
信データの復号を行なえるようになっている。By the way, an entity must have an outgoing and incoming cryptographic keys for cryptographic communication with a connected entity. In this apparatus, its own password PWi, identification number IDi, and communication partner , An outgoing encryption key Kij and an inbound encryption key Kji for communication with the communication partner are generated from the information, and the encryption key for outgoing plaintext data is encrypted using these encryption keys. It can decrypt encrypted or encrypted incoming data.
以下に、本装置(これは各エンティティに対応する)
について詳述する。Below, this device (this corresponds to each entity)
Will be described in detail.
まず、本装置は、第2図に示すごとく、参照パスワー
ド・参照識別番号記憶部1,比較器2,マスタ鍵記憶部3,ゲ
ート回路4,結合回路5,第1慣用暗号処理部6,第2慣用暗
号処理部6′,暗号装置7,暗号鍵記憶部8をそなえてい
る。そして、これらの部材は全て演算機能および記憶機
能を有する媒体としてのICカード(このICカードは物理
的には内部をのぞくことができないものである)内に設
けられている。First, as shown in FIG. 2, the present apparatus includes a reference password / reference identification number storage unit 1, a comparator 2, a master key storage unit 3, a gate circuit 4, a coupling circuit 5, a first conventional encryption processing unit 6, It has a two-purpose cryptographic processing unit 6 ', a cryptographic device 7, and a cryptographic key storage unit 8. All of these members are provided in an IC card as a medium having an arithmetic function and a storage function (this IC card cannot physically be seen inside).
ここで、参照パスワード・参照識別番号記憶部1は、
本人用の参照パスワードPWriおよび参照識別番号IDriを
記憶するもので、例えばROMが使用される。また、上記
の参照パスワードPWriおよび参照識別番号IDriは、この
エンティティが登録されているセンタによって記憶せし
められる。すなわち、ICカード発行時に、センタが参照
パスワードPWriおよび参照識別番号IDriを書き込んで渡
すのである。そして、これらの情報はICカード内に書き
込まれているので、前述の如く、物理的には内部を除く
ことができないことはいうまでもない。Here, the reference password / reference identification number storage unit 1
It stores a reference password PWri and a reference identification number IDri for the user, and for example, a ROM is used. The reference password PWri and the reference identification number IDri are stored by the center in which the entity is registered. That is, when the IC card is issued, the center writes and passes the reference password PWri and the reference identification number IDri. Since these pieces of information are written in the IC card, it goes without saying that the inside cannot be physically excluded as described above.
比較器2は、入力されたパスワードPWiおよび識別番
号IDiを参照パスワード・参照識別番号記憶部1に記憶
された参照パスワードPWriおよび参照識別番号IDriとそ
れぞれ比較して、両者が一致している場合には、一致信
号を出すものである。なお、両者が一致しない場合は、
ユーザに対してリトライ指示信号を出力する。The comparator 2 compares the input password PWi and the identification number IDi with the reference password PWri and the reference identification number IDri stored in the reference password / reference identification number storage unit 1, respectively. Outputs a coincidence signal. If they do not match,
A retry instruction signal is output to the user.
さらに、比較器2での比較処理を所定回(例えば3
回)行なっても、入力されたパスワードPWiおよび識別
番号IDiと参照パスワードPWriおよび参照識別番号IDri
とがそれぞれ一致しない場合は、ICカード機能を全て停
止させるようになっている。すなわち、比較器2は、比
較処理を所要回行なっても、入力されたパスワードPWi
および識別番号IDiと参照パスワードPWriおよび参照識
別番号IDriとがそれぞれ一致しない場合は、比較部2で
のその後の比較処理を禁止する禁止手段21の機能を有し
いる。Further, the comparison process in the comparator 2 is performed a predetermined number of times (for example,
Times), the password PWi and the identification number IDi and the reference password PWri and the reference identification number IDri
If they do not match, all IC card functions are stopped. That is, even if the comparator 2 performs the comparison process a required number of times, the input password PWi
If the identification number IDi does not match the reference password PWri and the reference identification number IDri, the comparison unit 2 has a function of a prohibition unit 21 for prohibiting the subsequent comparison processing.
また、比較器2は、外部(センタ)からの操作によ
り、この禁止手段21により比較禁止を解除する解除手段
22の機能も有している。すなわち、センタのみが管理す
る乱数データをこのICカードの比較器2へ入力すると、
その解除手段22の作用により、機能停止の解除がなされ
るようになっている。このために、解除手段は再起動用
の乱数格納装置(ROM)を有している。The comparator 2 is provided with a release unit for releasing the comparison inhibition by the inhibition unit 21 by an operation from the outside (center).
It also has 22 functions. That is, when random number data managed only by the center is input to the comparator 2 of this IC card,
The function stop is released by the operation of the release means 22. For this purpose, the release means has a random number storage device (ROM) for restart.
マスタ鍵記憶部3は、マスタ鍵Kmを記憶するもので、
ROMが使用される。The master key storage unit 3 stores a master key Km.
ROM is used.
ゲート回路4は、比較器2からの一致信号を受ける
と、マスタ鍵記憶部3からのマスタ鍵Kmを出力するもの
である。The gate circuit 4 outputs the master key Km from the master key storage unit 3 when receiving the coincidence signal from the comparator 2.
結合回路5は、入力された本人識別番号IDiと通信相
手の識別番号IDjとを結合するもので、第3図に示すよ
うに、本人識別番号IDi,通信相手の識別番号IDjの順に
結合して発信用結合識別番号情報IDj||IDjを生成する発
信用結合識別番号情報生成部51と、通信相手の識別番号
IDj,本人識別番号IDiの順に結合して着信用結合識別番
号情報IDj||IDiを生成する着信用結合識別番号情報生成
部52と、発信用結合識別番号情報生成部51または着信用
結合識別番号情報生成部52のいずれか一方を選択する選
択部53とをそなえて構成されている。The connecting circuit 5 connects the input personal identification number IDi and the communication partner identification number IDj, and connects the personal identification number IDi and the communication partner identification number IDj in this order as shown in FIG. Outgoing connection identification number information generating section 51 for generating outgoing connection identification number information IDj || IDj;
Combined ID number information generating section 52 for incoming call which generates combined ID number information for incoming call IDj || IDi by combining in the order of IDj and personal identification number IDi, and combined ID number information for outgoing call 51 or combined ID number for incoming call It is configured to include a selection unit 53 for selecting one of the information generation units 52.
さらに、発信用結合識別番号情報生成部51は、入力さ
れた本人識別番号IDi,通信相手の識別番号IDjの順でこ
れらの情報を記憶する本人識別番号・通信相手識別番号
結合記憶部としてのFIFOメモリ511と、このFIFOメモリ5
11で記憶された本人識別番号IDiと通信相手識別番号IDj
とを結合したものについてハッシング処理を施すハッシ
ング処理部512とをそなえて構成されている。Further, the outgoing connection identification number information generation unit 51 stores a personal identification number IDi and a communication partner identification number IDj. Memory 511 and this FIFO memory 5
Personal identification number IDi and communication partner identification number IDj stored in step 11
And a hashing processing unit 512 that performs a hashing process on a combination of the two.
また、着信用結合識別番号情報生成部52は、入力され
た通信相手の識別番号IDjと本人の識別番号IDiの順でこ
れらの情報を記憶する本人識別番号・通信相手識別番号
結合記憶部としてのFIFOメモリ521と、このFIFOメモリ5
21で記憶された通信相手識別番号IDjと本人識別番号IDi
とを結合したものについてハッシング処理を施すハッシ
ング処理部522とをそなえて構成されている。In addition, the incoming connection identification number information generation unit 52 serves as a personal identification number / communication partner identification number combination storage unit that stores these information in the order of the input communication partner identification number IDj and the personal identification number IDi. FIFO memory 521 and this FIFO memory 5
Communication partner identification number IDj and personal identification number IDi stored in 21
And a hashing processing unit 522 that performs a hashing process on a combination of the two.
これにより、結合回路5は、FIFOメモリを二面(両
面)そなえていることになる。As a result, the coupling circuit 5 has two FIFO memories (both sides).
また、ハッシング処理とは、平文空間を所要の凝縮し
た暗号空間へ変換する処理をいうが、かかる処理を施す
ために、ハッシング処理部512,522は、第4図に示すご
とく、イニシャルベクタIVを初期情報として受け、更に
は結合識別番号情報IDi||IDjまたはIDj||IDiを鍵入力と
して受け、出力をフィードバックするOFBタイプの慣用
暗号処理部5121,5221を有している。このようにすれ
ば、出力としてハッシング処理を施されたもの(ハッシ
ング出力)が得られる。The hashing process is a process of converting a plaintext space into a required condensed cryptographic space. To perform such a process, the hashing processing units 512 and 522 convert the initial vector IV into initial information as shown in FIG. , And also has an OFB type conventional encryption processing unit 5121, 5221 that receives the combined identification number information IDi || IDj or IDj || IDi as a key input and feeds back the output. In this way, an output subjected to hashing processing (hashing output) is obtained.
選択部53は、第3図に示すごとく、発信用結合識別番
号情報生成部51,着信用結合識別番号情報生成部52の入
出力側にそれぞれ設けられたセレクタ531,532を有して
いる。As shown in FIG. 3, the selection unit 53 has selectors 531 and 532 provided on the input and output sides of the outgoing connection identification number information generating unit 51 and the incoming connection identification number information generating unit 52, respectively.
セレクタ531は、発信/着信切り替え制御信号を受け
て、FIFOメモリ511への記憶時には、本人識別番号IDi,
通信相手の識別番号IDjの順でデータが入力されるよう
に切り替わるとともに、FIFOメモリ521への記憶時に
は、通信相手の識別番号IDj,本人識別番号IDiの順でデ
ータが入力されるように切り替わる。The selector 531 receives the outgoing / incoming call switching control signal, and stores the personal identification number IDi,
Switching is performed so that data is input in the order of the identification number IDj of the communication partner, and at the time of storage in the FIFO memory 521, switching is performed so that data is input in the order of the identification number IDj of the communication partner and the principal identification number IDi.
また、セレクタ532は、発信/着信切り替え制御信号
を受けて、発信用結合識別番号情報がほしいときは、発
信用結合識別番号情報生成部51側に切り替わり、着信用
結合識別番号情報生成部52側に切り替わるようになって
いる。Further, the selector 532 receives the outgoing / incoming call switching control signal, switches to the outgoing combined identification number information generating section 51 when the outgoing combined identification number information is desired, and switches to the incoming incoming combined identification number information generating section 52. Is switched to.
第2図に示す第1慣用暗号処理部6は、結合回路5の
発信用結合識別番号情報生成部51からの発信用結合識別
番号情報をマスタ鍵Kmで暗号化して発信用暗号鍵Kij′
を生成するとともに、着信用結合識別番号情報生成部52
からの着信用結合識別番号情報をマスタ鍵Kmで暗号化し
て着信用暗号鍵Kji′を生成するものである。The first common cryptographic processing unit 6 shown in FIG. 2 encrypts the outgoing connection identification number information from the outgoing connection identification number information generation unit 51 of the connecting circuit 5 with the master key Km and transmits the outgoing encryption key Kij '.
And a connection identification number information generating section 52 for incoming calls.
Is encrypted with the master key Km to generate an incoming call encryption key Kji '.
暗号鍵記憶部8は、第1慣用暗号処理部6で生成され
た発信用暗号鍵Kijおよび着信用暗号鍵Kjiをそれぞれ記
憶するもので、このために発信用暗号鍵記憶部としての
発信鍵レジスタ81と着信用暗号鍵記憶部としての着信鍵
レジスタ82とをそなえている。そして、これらのレジス
タ81,82の切替え制御は、送受切替え制御信号を相互に
反転する(即ち、一方のレジスタへはインバータ83を介
して制御信号を入力する)モードで各レジスタ81,82へ
作用させることにより行なう。The encryption key storage unit 8 stores the transmission encryption key Kij and the reception encryption key Kji generated by the first conventional cryptographic processing unit 6, respectively. For this purpose, the transmission key register as the transmission encryption key storage unit is used. 81 and an incoming key register 82 as an incoming encryption key storage unit. The switching control of these registers 81 and 82 is performed on each of the registers 81 and 82 in a mode in which the transmission / reception switching control signal is mutually inverted (that is, a control signal is input to one register via the inverter 83). This is done by
第2慣用暗号処理部6′は、発信用暗号鍵Kij′また
は着信用暗号鍵Kji′についてアウトプットフィードバ
ック処理を施すことにより前述のハッシング処理に類似
の処理を施すもので、この第2慣用暗号処理部6′から
の出力が、発信用暗号鍵Kijまたは着信用暗号鍵Kjiとし
て暗号装置7へ入力される。The second conventional cryptographic processing unit 6 ′ performs output feedback processing on the outgoing encryption key Kij ′ or the incoming encryption key Kji ′ to perform processing similar to the hashing processing described above. The output from the processing unit 6 'is input to the encryption device 7 as the outgoing encryption key Kij or the incoming encryption key Kji.
暗号装置7は、上記の暗号鍵KijまたはKjiを用いて発
信平文データDataの暗号化または暗号化着信データCRの
復号を行なうもので、このために発信用暗号装置71と着
信用暗号装置72とを有している。The encryption device 7 encrypts the outgoing plaintext data Data or decrypts the encrypted incoming data CR using the above-mentioned encryption key Kij or Kji. For this purpose, the outgoing encryption device 71 and the incoming encryption device 72 have.
上述の構成により、まず、システムに加入したい通信
者は、センタに行き、自分のパスワードPWiを登録し、
このときセンタから第2図に示す装置内蔵のICカード
(従って、このICカードには慣用暗号アルゴリズムと秘
密鍵が内蔵されていることになる)をもらう。According to the above configuration, first, a communication party who wants to join the system goes to the center, registers his password PWi,
At this time, the center receives an IC card built in the device shown in FIG. 2 (accordingly, this IC card has a built-in encryption algorithm and a secret key).
以降は以下の手順で通信の鍵を本装置内で生成して、
暗号通信を行なう。After that, generate a communication key in this device by the following procedure,
Performs encrypted communication.
すなわち、本装置内蔵のICカードを通信装置にセット
し、例えばこの通信装置付のキーボード等を通じて、パ
スワードPWiおよび識別番号IDiを入力する。これにより
比較器2で、参照パスワード・参照識別番号記憶部1に
記憶された参照パスワードPWriおよび参照識別番号IDri
とパスワードPWiおよび識別番号IDiとがそれぞれ比較さ
れて、両者が一致している場合には、一致信号が出され
る。That is, an IC card built into the device is set in a communication device, and the password PWi and the identification number IDi are input through, for example, a keyboard or the like provided with the communication device. As a result, the reference password PWri and the reference identification number IDri stored in the reference password / reference identification number storage unit 1 are stored in the comparator 2.
Is compared with the password PWi and the identification number IDi, and if they match, a match signal is issued.
もし、比較器2から一致信号が出力されると、この一
致信号がゲート回路4へ入力されて、これによりゲート
回路4は、マスタ鍵記憶部3からのマスタ鍵を出力す
る。If a match signal is output from the comparator 2, the match signal is input to the gate circuit 4, whereby the gate circuit 4 outputs the master key from the master key storage unit 3.
一方、本装置には、本人のパスワードPWiと識別番号I
Diのほか、通信相手の識別番号IDjも入力されるが、入
力された本人識別番号IDiと通信相手の識別番号IDjと
は、結合回路5で結合される。そして、この結合回路5
では、その発信用結合識別番号情報生成物51で、本人識
別番号IDi,通信相手の識別番号IDjの順にこれらを結合
することにより発信用結合識別番号情報を生成するとと
もに、着信用結合識別番号情報生成部52で、通信相手の
識別番号IDj,本人識別番号IDjの順にこれらを結合する
ことにより着信用結合識別番号情報を生成し、選択部53
にて、発信用結合識別番号情報生成部51または着信用結
合識別番号情報生成部52のいずれか一方が選択されるよ
うになっている。On the other hand, this device has its own password PWi and identification number I
In addition to Di, the identification number IDj of the communication partner is also input. The input personal identification number IDi and the identification number IDj of the communication partner are connected by the connection circuit 5. And this coupling circuit 5
In the outgoing connection identification number information product 51, the outgoing connection identification number information is generated by combining these in the order of the principal identification number IDi and the communication partner identification number IDj, and the incoming connection identification number information. The generation unit 52 combines the identification number IDj of the communication partner and the personal identification number IDj in this order to generate the combined identification number information for incoming calls, and the selecting unit 53
, One of the outgoing connection identification number information generating section 51 and the incoming connection identification number information generating section 52 is selected.
なお、上記の結合識別番号情報を生成するに際して
は、発信用あるいは着信用のいずれの場合も、そのFIFO
メモリ511,521に、入力された本人識別番号IDiと通信相
手の識別番号IDjとが所要の順(IDi||IDjまたはIDj||ID
i)で記憶されるとともに、このFIFOメモリ511,521で記
憶された本人識別番号と通信相手識別番号とを結合した
ものについて、ハッシング処理部512,522にてハッシン
グ処理が施される。When generating the above-mentioned combined identification number information, the FIFO is used for both outgoing and incoming calls.
In the memories 511 and 521, the input personal identification number IDi and the communication partner identification number IDj are stored in a required order (IDi || IDj or IDj || ID
A hashing processing section 512,522 performs a hashing process on the combination of the personal identification number and the communication partner identification number stored in i) and stored in the FIFO memories 511,521.
その後は、第1慣用暗号処理部6において、発信用結
合識別番号生成部51からの発信用結合識別番号情報をマ
スタ鍵Kmで暗号化して発信用暗号鍵Kij′を生成すると
ともに、着信用結合識別番号情報生成部52からの着信用
結合識別番号情報をマスタ鍵Kmで暗号化して着信用暗号
鍵Kji′を生成する。Thereafter, in the first common cryptographic processing unit 6, the outgoing connection identification number information from the outgoing connection identification number generation unit 51 is encrypted with the master key Km to generate the outgoing encryption key Kij ', and The incoming combination identification number information from the identification number information generation unit 52 is encrypted with the master key Km to generate the incoming encryption key Kji '.
そして、第1慣用暗号処理部6で生成された発信用暗
号鍵Kij′および着信用暗号鍵Kji′はそれぞれ発信鍵レ
ジスタ81および着信鍵レジスタ82に記憶される。Then, the outgoing encryption key Kij 'and the incoming encryption key Kji' generated by the first conventional encryption processing unit 6 are stored in the outgoing key register 81 and the incoming key register 82, respectively.
さらにその後は、第2慣用暗号処理部6′で、発信鍵
レジスタ81および着信鍵レジスタ82に記憶された発信用
暗号鍵Kij′および着信用暗号鍵Kji′についてアウトプ
ットフィードバック処理を施して発信用暗号鍵Kijおよ
び着信用暗号鍵Kjiを生成し、最後に、暗号装置7に
て、この第2慣用暗号処理部6′で生成された発信用暗
号鍵Kijおよび着信暗号鍵Kjiを用いて、発信平文データ
(平文入力)Dateの暗号化または暗号化着信データCRの
復号が行なわれる。これにより、発信平文データDateは
暗号文出力CTとして通信相手に送られるともに、暗号化
着信データ(暗号文入力)CRは復号出力Dateとして得ら
れる。Thereafter, the second conventional cryptographic processing unit 6 'performs output feedback processing on the outgoing encryption key Kij' and the incoming encryption key Kji 'stored in the outgoing key register 81 and the incoming key register 82 to perform outgoing transmission. A cryptographic key Kij and an incoming cryptographic key Kji are generated, and finally, the cryptographic device 7 uses the outgoing cryptographic key Kij and the incoming cryptographic key Kji generated by the second conventional cryptographic processing unit 6 ′ to transmit a call. decrypting the encrypted or encrypted incoming data C R plaintext data (plaintext input) a Date is performed. Thus, outgoing plaintext data Date are both sent to the communication partner as a ciphertext output C T, encrypted incoming data (ciphertext input) C R is obtained as a decoded output Date.
このようにして、高い演算処理効率を有するが誰にで
も共通鍵の生成が可能であるという慣用暗号を使ったも
のに、一方向性をもたすことができ、これにより本人の
パスワードPWiと識別番号IDiおよび通信相手の識別番号
IDjを用いることにより、高速に個別暗号通信やグルー
プ通信を簡単に実現することができる。In this way, it is possible to provide a one-way property to the one using the conventional cryptography which has a high calculation processing efficiency but can generate a common key by anyone, thereby enabling the password PWi of the user to be used. Identification number IDi and identification number of communication partner
By using IDj, individual encryption communication and group communication can be easily realized at high speed.
ところで、比較部2での比較処理を所要回(例えば3
回)行なっても入力されたパスワードPWiおよび識別番
号IDiと参照パスワードPWriおよび参照識別番号IDriと
がそれぞれ一致しない場合は、禁止手段21によって、比
較部2でのその後の比較処理を禁止することが行なわれ
るが、かかる禁止状態は、センタにおいて、乱数データ
を入力することにより、解除手段22にて解除することが
できる。By the way, the comparison process in the comparison unit 2 is performed a required number of times (for example, 3
If the input password PWi and the identification number IDi and the reference password PWri and the reference identification number IDri do not match each other, the prohibiting means 21 may prohibit the subsequent comparison processing in the comparing unit 2. This prohibition state can be canceled by the cancellation means 22 by inputting random number data at the center.
これにより、通信の安全性が高められるとともに、同
じICカードの再生も容易に行なえるものである。As a result, communication security is improved, and the same IC card can be easily reproduced.
なお、発信用と着信用の暗号鍵を共用することもで
き、この場合は、結合回路5,暗号鍵記憶部8の構成はも
っと簡素になる。すなわち、結合回路5としては、入力
された本人識別番号IDiと通信相手の識別番号IDjとを所
要の順で記憶するFIFOメモリ(本人識別番号・通信相手
識別番号結合記憶部)と、このFIFOメモリで記憶された
本人識別番号と通信相手識別番号とを結合したものにつ
いてハッシング処理を施すハッシング処理部とをそなえ
たものでよく、また暗号鍵記憶部8も、1つのレジスタ
を有するだけでよい。In addition, the encryption key for transmission and the encryption key for reception can be shared. In this case, the configurations of the coupling circuit 5 and the encryption key storage unit 8 are further simplified. That is, the coupling circuit 5 includes a FIFO memory (a personal identification number / communication partner identification number coupling storage unit) that stores the input personal identification number IDi and the communication partner identification number IDj in a required order, and the FIFO memory. May be provided with a hashing processing unit for performing a hashing process on the combination of the personal identification number and the communication partner identification number stored in the above. Also, the encryption key storage unit 8 may have only one register.
[発明の効果] 以上詳述したように、本発明の慣用暗号を用いた識別
番号ベース鍵管理装置(請求項1)によれば、慣用信号
を使ったものに、一方向性をもたせることができ、これ
により本人のパスワードと識別番号および通信相手の識
別番号を用いることにより、高速に個別暗号通信やグル
ープ通信を簡単に実現できる利点がある。[Effects of the Invention] As described above in detail, according to the identification number-based key management device using the conventional cryptography of the present invention (claim 1), the one using the conventional signal can be made unidirectional. Thus, there is an advantage that individual encryption communication and group communication can be easily realized at high speed by using the password and the identification number of the user and the identification number of the communication partner.
請求項2に記載の本発明の慣用暗号を用いた識別番号
ベース鍵管理装置では、参照パスワード・参照識別番号
記憶部,比較手段,マスタ鍵記憶部,ゲート手段,結合
手段,慣用暗号処理部,暗号装置がICカードに内蔵され
ているので、装置のコンパクト化をはかれるほか、物理
的に外部から内部を見ることができないため、秘密情報
の漏洩を防止できる利点がある。According to the second aspect of the present invention, there is provided an identification number-based key management device using a conventional encryption, wherein a reference password / reference identification number storage unit, a comparison unit, a master key storage unit, a gate unit, a combining unit, a conventional encryption processing unit, Since the encryption device is built in the IC card, the device can be made compact, and since the inside cannot be physically seen from the outside, there is an advantage that leakage of secret information can be prevented.
請求項3に記載の本発明の慣用暗号を用いた識別番号
ベース鍵管理装置では、慣用暗号処理部で生成された暗
号鍵を記憶する暗号鍵記憶部が設けられているので、暗
号鍵を確実に保存できる利点がある。In the identification number-based key management apparatus using the conventional encryption according to the present invention, since the encryption key storage unit for storing the encryption key generated by the conventional encryption processing unit is provided, the encryption key is securely stored. There is an advantage that can be stored.
請求項4に記載の本発明の慣用暗号を用いた識別番号
ベース鍵管理装置では、結合手段が、入力された本人識
別番号と通信相手の識別番号とを所要の順で記憶する本
人識別番号・通信相手識別番号結合記憶部と、この本人
識別番号・通信相手識別番号結合記憶部で記憶された本
人識別番号と通信相手識別番号とを結合したのについて
ハッシング処理を施すハッシング処理部とをそなえて構
成されているので、識別番号情報を所定長さの情報に規
格化することができ、更に請求項5に記載の本発明の慣
用暗号を用いた識別番号ベース鍵管理装置では、結合手
段が、本人識別番号,通信相手の識別番号の順に結合し
て発信用結合識別番号情報を生成する発信用結合識別番
号情報生成部と、通信相手の識別番号,本人識別番号の
順に結合して着信用結合識別番号情報を生成する着信用
結合識別番号情報生成部と、発信用結合識別番号情報生
成部または着信用結合識別番号情報生成部のいずれか一
方を選択する選択部とをそなえて構成され、且つ、慣用
暗号処理部において、発信用結合識別番号情報生成部か
らの発信用結合識別番号情報を該マスタ鍵で暗号化して
発信用暗号鍵を生成するとともに、着信用結合識別番号
情報生成部からの該着信用結合識別番号情報をマスタ鍵
で暗号化して着信用暗号鍵を生成するように構成されて
いるので、発信用および着信用の暗号鍵を別個に生成で
きる利点がある。In the identification number-based key management device using the conventional cryptography according to the present invention, the connecting means stores the input personal identification number and the communication partner identification number in a required order. A communication partner identification number combination storage unit, and a hashing processing unit for performing hashing processing for combining the personal identification number and the communication partner identification number stored in the personal identification number / communication partner identification number combination storage unit. With this configuration, the identification number information can be standardized to information of a predetermined length. Further, in the identification number-based key management device using the conventional encryption according to the present invention as set forth in claim 5, the combining means includes: An outgoing connection identification number information generating unit that generates outgoing connection identification number information by combining in the order of the principal identification number and the identification number of the communication partner; Combination identification number information generation unit for receiving the combination identification number information, and a selection unit for selecting one of the combination identification number information generation unit for transmission or the combination identification number information for reception In addition, in the conventional cryptographic processing unit, the outgoing connection identification number information from the outgoing connection identification number information generation unit is encrypted with the master key to generate the outgoing connection encryption key, and Is configured to generate the incoming encryption key by encrypting the incoming connection identification number information with the master key, so that there is an advantage that the outgoing and incoming encryption keys can be generated separately.
請求項6に記載の本発明の慣用暗号を用いた識別番号
ベース鍵管理装置では、慣用暗号処理部で生成された発
信用暗号鍵および着信用暗号鍵をそれぞれ記憶する発信
用暗号鍵記憶部および着信用暗号鍵記憶部が設けられて
いるので、発信用および着信用の各暗号鍵をそれぞれ確
実に保存できる利点がある。In the identification number-based key management device using the conventional encryption according to the present invention, the transmission encryption key storage unit for storing the transmission encryption key and the reception encryption key generated by the conventional encryption processing unit, and Since the incoming encryption key storage unit is provided, there is an advantage that each of the outgoing and incoming call encryption keys can be reliably stored.
請求項7に記載の本発明の慣用暗号を用いた識別番号
ベース鍵管理装置では、比較手段での比較処理を所要回
行なっても入力されたパスワードおよび識別番号と参照
パスワードおよび参照識別番号とがそれぞれ一致しない
場合は、比較手段でのその後の比較処理を禁止する禁止
手段と、外部からの操作により禁止手段による比較禁止
を解除する解除手段とが設けられているので、通信の安
全性が高められるとともに、装置の再生も容易に行なえ
る利点がある。In the identification number-based key management apparatus using the conventional encryption according to the present invention, the password and the identification number, the reference password and the reference identification number, which have been input even after performing the comparison process by the comparison means a required number of times, are obtained. If the two do not match, a prohibition means for prohibiting the subsequent comparison processing by the comparison means and a release means for releasing the prohibition of comparison by the prohibition means by an external operation are provided, so that communication security is improved. And the device can be easily regenerated.
第1図は本発明の原理ブロック図、 第2図は本発明の一実施例を示すブロック図、 第3図は結合回路の一例を示すブロック図、 第4図はハッシング回路の一例を示すブロック図、 第5図は複数のエンティテイが加入しているネットワー
クを説明するための図である。 図において、 1は参照パスワード・参照識別番号記憶部、 2は比較器、 3はマスタ鍵記憶部、 4はゲート回路、 5は結合回路、 6は第1慣用暗号処理部、 6′は第2慣用暗号処理部、 7は暗号装置、 8は暗号鍵記憶部、 21は禁止手段、 22は解除手段、 51は発信用結合識別番号情報生成部、 52は着信用結合識別番号情報生成部、 53は選択部、 71は発信用暗号装置、 72は着信用暗号装置、 81は発信用暗号鍵記憶部としての発信鍵レジスタ、 82は着信用暗号鍵記憶部としての着信鍵レジスタ、 83はインバータ、 511,521は本人識別番号・通信相手識別番号結合記憶部
としてのFIFOメモリ、 512,522はハッシング処理部、 5121,5221は慣用暗号処理部である。1 is a block diagram showing the principle of the present invention, FIG. 2 is a block diagram showing an embodiment of the present invention, FIG. 3 is a block diagram showing an example of a coupling circuit, and FIG. 4 is a block diagram showing an example of a hashing circuit. FIG. 5 is a diagram for explaining a network to which a plurality of entities have joined. In the figure, 1 is a reference password / reference identification number storage unit, 2 is a comparator, 3 is a master key storage unit, 4 is a gate circuit, 5 is a coupling circuit, 6 is a first common encryption processing unit, and 6 ′ is a second encryption unit. A conventional cryptographic processing unit, 7 is an encryption device, 8 is an encryption key storage unit, 21 is a prohibition unit, 22 is a release unit, 51 is a transmission connection identification number information generation unit, 52 is a reception connection identification number information generation unit, 53 Is a selection unit, 71 is an outgoing encryption device, 72 is an incoming encryption device, 81 is an outgoing key register as an outgoing encryption key storage unit, 82 is an incoming key register as an incoming encryption key storage unit, 83 is an inverter, Reference numerals 511 and 521 denote FIFO memories serving as personal identification number / communication partner identification number combination storage units, 512 and 522 denote hashing processing units, and 5121 and 5221 denote conventional encryption processing units.
フロントページの続き (56)参考文献 特開 平3−145835(JP,A) 特開 平2−56136(JP,A) 特開 昭63−280530(JP,A) (58)調査した分野(Int.Cl.6,DB名) H04L 9/00 - 9/38 G09C 1/00 - 5/00 JICSTファイル(JOIS)Continuation of front page (56) References JP-A-3-145835 (JP, A) JP-A-2-56136 (JP, A) JP-A-63-280530 (JP, A) (58) Fields investigated (Int .Cl. 6 , DB name) H04L 9/00-9/38 G09C 1/00-5/00 JICST file (JOIS)
Claims (7)
号を記憶する参照パスワード・参照識別番号記憶部
(1)と、 入力されたパスワードおよび識別番号を前記参照パスワ
ード・参照識別番号記憶部(1)に記憶された参照パス
ワードおよび参照識別番号とそれぞれ比較して両者が一
致している場合には一致信号を出す比較手段(2)と、 マスタ鍵を記憶するマスタ鍵記憶部(3)と、 前記比較手段(2)からの一致信号を受けると、前記マ
スタ鍵記憶部(3)からの前記マスタ鍵を出力するゲー
ト手段(4)と、 前記入力された本人識別番号と通信相手の識別番号とを
結合する結合手段(5)と、 前記結合手段(5)からの結合識別番号情報を、前記ゲ
ート手段(4)を通過してきた前記マスタ鍵で暗号化し
て慣用暗号鍵を生成する慣用暗号処理部(6)と、 前記慣用暗号処理部(6)で生成された暗号鍵を用いて
発信平文データの暗号化、又は暗号化着信データの復号
を行なう暗号装置(7)とをそなえて構成されたことを
特徴とする、慣用暗号を用いた識別番号ベース鍵管理装
置。1. A reference password / reference identification number storage unit (1) for storing a reference password and a reference identification number for a user, and a reference password / reference identification number storage unit (1) for storing an input password and an identification number. A comparison means (2) for comparing the reference password and the reference identification number stored in the storage device with each other and outputting a match signal when the two match, a master key storage unit (3) for storing a master key, Gate means (4) for outputting the master key from the master key storage section (3) upon receipt of the coincidence signal from the comparing means (2); and the input personal identification number and communication partner identification number (5) for encrypting the information, and encrypting the binding identification number information from the combining means (5) with the master key passed through the gate means (4) to generate a conventional encryption key. And an encryption device (7) for encrypting outgoing plaintext data or decrypting encrypted incoming data using the encryption key generated by the conventional encryption processing unit (6). An identification number-based key management device using conventional encryption, characterized in that:
部(1),比較手段(2),マスタ鍵記憶部(3),ゲ
ート手段(4),結合手段(5),慣用暗号処理部
(6),暗号装置(7)がICカードに内蔵されているこ
とを特徴とする請求項1記載の慣用暗号を用いた識別番
号ベース鍵管理装置。2. A reference password / reference identification number storage unit (1), a comparison unit (2), a master key storage unit (3), a gate unit (4), a combining unit (5), and a conventional encryption processing unit (2). 6. An identification number-based key management device using conventional encryption according to claim 1, wherein the encryption device is built in the IC card.
号鍵を記憶する暗号鍵記憶部(8)が設けられたことを
特徴とする、請求項1記載の慣用暗号を用いた識別番号
ベース鍵管理装置。3. An identification using a conventional encryption according to claim 1, further comprising an encryption key storage unit for storing the encryption key generated by said conventional encryption processing unit. Number-based key management device.
所要の順で記憶する本人識別番号・通信相手識別番号結
合記憶部(511,521)と、 前記本人識別番号・通信相手識別番号結合記憶部(511,
521)で記憶された本人識別番号と通信相手識別番号と
を結合したものについてハッシング処理を施すハッシン
グ処理部(512,522)とをそなえて構成されたことを特
徴とする、請求項1記載の慣用暗号を用いた識別番号ベ
ース鍵管理装置。4. A personal identification number / communication partner identification number coupling storage unit (511,521) for storing the input personal identification number and the communication partner identification number in a required order. The personal identification number / communication partner identification number combination storage unit (511,
2. The conventional cryptosystem according to claim 1, further comprising a hashing processing section (512, 522) for performing hashing processing on a combination of the personal identification number stored in step 521) and the communication partner identification number. ID-based key management device that uses a password.
用結合識別番号情報を生成する発信用結合識別番号情報
生成部(51)と、 通信相手の識別番号,本人識別番号の順に結合して着信
用結合識別番号情報を生成する着信用結合識別番号情報
生成部(52)と、 発信用結合識別番号情報生成部(51)または着信用結合
識別番号情報生成部(52)のいずれか一方を選択する選
択部(53)とをそなえて構成され、 前記慣用暗号処理部(6)において、前記発信用結合識
別番号情報生成部(51)からの発信用結合識別番号情報
を前記マスタ鍵で暗号化して発信用暗号鍵を生成すると
ともに、前記着信用結合識別番号情報生成部(52)から
の前記着信用結合識別番号情報を前記マスタ鍵で暗号化
して着信用暗号鍵を生成するように構成されたことを特
徴とする、請求項1記載の慣用暗号を用いた識別番号ベ
ース鍵管理装置。5. An originating connection identification number information generating section (51) for generating an originating connection identification number information by connecting an identification number and an identification number of a communication partner in this order. Combined ID number generator for incoming call (52), which generates combined ID information for incoming calls by combining the identification number of the other party and the identification number in order, and the combined ID number information for outgoing call (51) or incoming call A selection section (53) for selecting one of the identification number information generating sections (52); and the common cryptographic processing section (6) includes: The outgoing connection identification number information is generated by encrypting the outgoing connection identification number information with the master key, and the incoming connection identification number information from the incoming connection identification number information generating section (52) is used in the master key. Encrypt to generate incoming encryption key Characterized in that it is configured to, identification number based key management apparatus using the common key cryptosystem according to claim 1, wherein.
信用暗号鍵および着信用暗号鍵をそれぞれ記憶する発信
用暗号鍵記憶部(81)および着信用暗号鍵記憶部(82)
が設けられたことを特徴とする、請求項5記載の慣用暗
号を用いた識別番号ベース鍵管理装置。6. An outgoing encryption key storage section (81) and an incoming encryption key storage section (82) for respectively storing the outgoing encryption key and the incoming encryption key generated by the conventional encryption processing section (6).
6. An identification number-based key management device using conventional cryptography according to claim 5, wherein:
行なっても入力されたパスワードおよび識別番号と参照
パスワードおよび参照識別番号とがそれぞれ一致しない
場合は、前記比較手段(2)でのその後の比較処理を禁
止する禁止手段(21)と、 外部からの操作により前記禁止手段(21)による比較禁
止を解除する解除手段(22)とが設けられていることを
特徴とする請求項1記載の慣用暗号を用いた識別番号ベ
ース鍵管理装置。7. When the inputted password and identification number and the reference password and reference identification number do not match with each other even after performing the comparison process in the comparison means (2) a required number of times, the comparison means (2). A prohibition means (21) for prohibiting a subsequent comparison process from being executed, and a release means (22) for releasing the prohibition of comparison by said prohibition means (21) by an external operation. An identification number-based key management device using the conventional cryptography according to 1.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1339970A JP2862141B2 (en) | 1989-12-29 | 1989-12-29 | Identification number-based key management device using conventional encryption |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1339970A JP2862141B2 (en) | 1989-12-29 | 1989-12-29 | Identification number-based key management device using conventional encryption |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH03203432A JPH03203432A (en) | 1991-09-05 |
| JP2862141B2 true JP2862141B2 (en) | 1999-02-24 |
Family
ID=18332494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1339970A Expired - Fee Related JP2862141B2 (en) | 1989-12-29 | 1989-12-29 | Identification number-based key management device using conventional encryption |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2862141B2 (en) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5012818B2 (en) * | 1997-03-26 | 2012-08-29 | ソニー株式会社 | Authentication apparatus and authentication method |
| US7328350B2 (en) | 2001-03-29 | 2008-02-05 | Arcot Systems, Inc. | Method and apparatus for secure cryptographic key generation, certification and use |
| JP2002164878A (en) * | 2000-11-28 | 2002-06-07 | Murata Mach Ltd | Facsimile machine |
| FR2820576B1 (en) * | 2001-02-08 | 2003-06-20 | St Microelectronics Sa | ENCRYPTION METHOD PROTECTED AGAINST ENERGY CONSUMPTION ANALYSIS, AND COMPONENT USING SUCH AN ENCRYPTION METHOD |
| US7577250B2 (en) | 2004-08-12 | 2009-08-18 | Cmla, Llc | Key derivation functions to enhance security |
| US7352867B2 (en) * | 2002-07-10 | 2008-04-01 | General Instrument Corporation | Method of preventing unauthorized distribution and use of electronic keys using a key seed |
| JP4553565B2 (en) * | 2002-08-26 | 2010-09-29 | パナソニック株式会社 | Electronic value authentication method, authentication system and device |
| JP4470373B2 (en) | 2003-02-14 | 2010-06-02 | ソニー株式会社 | Authentication processing apparatus and security processing method |
| JP4666892B2 (en) * | 2003-06-13 | 2011-04-06 | シャープ株式会社 | Data processing device |
| JP4611643B2 (en) * | 2004-01-16 | 2011-01-12 | 三菱電機株式会社 | Individual key generator |
| JP2005260614A (en) * | 2004-03-12 | 2005-09-22 | Dainippon Printing Co Ltd | Encryption device |
| KR101366185B1 (en) * | 2004-08-12 | 2014-02-24 | 씨엠엘에이 엘엘씨 | Permutation Data Transformation to Enhance Security |
| JP4617162B2 (en) * | 2005-01-11 | 2011-01-19 | 富士通株式会社 | Security method and server |
| CN101120351B (en) * | 2005-02-18 | 2010-10-06 | Rsa安全公司 | Derivative seeds distribution method |
| JP4824112B2 (en) | 2007-12-19 | 2011-11-30 | 株式会社Icon | Server apparatus and information providing method thereof |
| JP4638526B2 (en) * | 2008-06-26 | 2011-02-23 | 京セラ株式会社 | Communication terminal, communication terminal control program, communication terminal control method, communication control program, and authentication system |
| JP4981972B2 (en) * | 2008-08-07 | 2012-07-25 | 株式会社Icon | Batch stop processing / settlement proxy processing server device and program |
| US8751800B1 (en) | 2011-12-12 | 2014-06-10 | Google Inc. | DRM provider interoperability |
-
1989
- 1989-12-29 JP JP1339970A patent/JP2862141B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH03203432A (en) | 1991-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2862141B2 (en) | Identification number-based key management device using conventional encryption | |
| Leighton et al. | Secret-key agreement without public-key cryptography | |
| JP2606419B2 (en) | Cryptographic communication system and cryptographic communication method | |
| US4386233A (en) | Crytographic key notarization methods and apparatus | |
| US4649233A (en) | Method for establishing user authenication with composite session keys among cryptographically communicating nodes | |
| JP3080382B2 (en) | Cryptographic communication system | |
| JP2942913B2 (en) | Remote party authentication / encryption key distribution method | |
| US5642420A (en) | Cryptoinformation repeater, subscriber terminal connected thereto, and cryptocommunication method | |
| US6535607B1 (en) | Method and apparatus for providing interoperability between key recovery and non-key recovery systems | |
| JPH08234658A (en) | Method for generation of encoding key | |
| JPH07288517A (en) | Ciphering communication system and ciphering communication method | |
| JPH0969830A (en) | Cipher communication system | |
| JPH07181892A (en) | Jointly owning method of cryptographic key and device therefor | |
| JPH0669915A (en) | Apparatus and method for control of code key | |
| US7894608B2 (en) | Secure approach to send data from one system to another | |
| JP2001251287A (en) | Confidential transmitting method using hardware protection inside secret key and variable pass code | |
| JP2001211154A (en) | Secret key generating method, ciphering method, and cipher communication method | |
| JP2929738B2 (en) | Encryption device | |
| US6823070B1 (en) | Method for key escrow in a communication system and apparatus therefor | |
| JPH07336328A (en) | Cipher device | |
| JPH08139718A (en) | Cipher device and inter-terminal communication method using the cipher device | |
| JPH07303104A (en) | Storage type communication system with ciphering function | |
| JPS63176043A (en) | Secret information communicating system | |
| Chang et al. | How to converse securely in a conference | |
| JP2948605B2 (en) | Terminal for encrypted communication common to encryption keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |