JP4467923B2 - Vpn通信システム - Google Patents

Vpn通信システム Download PDF

Info

Publication number
JP4467923B2
JP4467923B2 JP2003285944A JP2003285944A JP4467923B2 JP 4467923 B2 JP4467923 B2 JP 4467923B2 JP 2003285944 A JP2003285944 A JP 2003285944A JP 2003285944 A JP2003285944 A JP 2003285944A JP 4467923 B2 JP4467923 B2 JP 4467923B2
Authority
JP
Japan
Prior art keywords
encryption key
key
information
encryption
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003285944A
Other languages
English (en)
Other versions
JP2005057479A (ja
Inventor
永昭 大山
淳紀 東川
修一郎 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2003285944A priority Critical patent/JP4467923B2/ja
Priority to KR20067002222A priority patent/KR100754556B1/ko
Priority to PCT/JP2004/011415 priority patent/WO2005013552A1/ja
Publication of JP2005057479A publication Critical patent/JP2005057479A/ja
Application granted granted Critical
Publication of JP4467923B2 publication Critical patent/JP4467923B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、端末が相互に通信可能なネットワーク上に複数のVPN(Virtual Private Network)を構築し、同一VPNに所属するユーザ間の通信のみ行われるVPN通信システムに関する。
従来から、VPN通信システムは、複数のクライアント、及び通信ネットワークを介してそれらのクライアント間のVPN内の通信を行うための通信暗号鍵を配布する管理サーバを備えている。管理サーバにおいて、クライアントがいずれのVPNに属するかをクライアントが利用しているIP(Internet Protocol)アドレスを利用して管理している。或いは、これを改良したものとして、管理サーバにおいて、ユーザがいずれのVPNに属するかをユーザのユーザIDを利用して管理している(例えば、特許文献1参照。)。
これらにおいては、専用ソフトウエア(VPNサーバソフトウエア)がインストールされ、事前設定が行われた管理サーバ(VPNサーバなど)と、専用ソフトウエア(VPN用ソフトウエア)がインストールされ、かつ専用ソフトウエアの事前設定が行われたクライアント間において、セキュリティを確保した暗号通信プロトコルを実行することにより実現されている。
特開2000−059357号公報
しかし、(1)VPN接続時に管理サーバが動作していない場合、VPN接続を行うことができない。(2)管理サーバ側でも専用ソフトウエアと通信するためのソフトウエアのインストール及び設定を行わなければならない。(3)正当な使用者が他のクライアントでVPNを使用する場合、当該他のクライアントで専用ソフトウエアのインストール及び設定を行わなければならない。(4)規定のVPNサーバに対する専用ソフトウエアの設定を行わなければならないため、すぐに通信相手を他のVPNに属するクライアントに変更することができない。(5)クライアントの認証は別の方式で提供されるため、他のクライアントがそもそも正当な端末であるかを専用ソフトの有無で判断するしかない。
そこで、本発明は、VPNサーバの動作の有無にかかわらず同一VPNに属する他のクライアントと通信することが可能であるとともに、VPNサーバとクライアントにおけるソフトウエアのインストール及び設定に関する作業負担を軽減することが可能なVPN通信システムに関する。
請求項1に記載のVPN通信システムは、セキュアチップを搭載した通信端末と、前記セキュアチップを管理するチップ管理センタと、同じVPNに属する前記通信端末間で通信を行うためのVPNサービス用アプリケーションを提供するVPNサービス提供センタとを備えたVPN通信システムであって、前記通信端末は、前記セキュアチップの秘密鍵を使用して前記セキュアチップのチップ情報と前記セキュアチップの公開鍵とを含む登録情報に署名する登録情報署名手段と、前記チップ管理センタのチップ管理者の公開鍵を使用して、前記登録情報署名手段により署名の付いた前記登録情報を暗号化登録情報に暗号化する登録情報暗号化手段と、前記登録情報暗号化手段による暗号化により得られた前記暗号化登録情報を前記チップ管理センタへ送信する暗号化登録情報送信手段と、前記チップ管理センタからチップ公開鍵証明書を受信するチップ公開鍵証明書受信手段と、前記チップ公開鍵証明書受信手段により受信された前記チップ公開鍵証明書の正当性を確認するチップ公開鍵証明書確認手段と、前記チップ公開鍵証明書を前記セキュアチップに格納するチップ公開鍵証明書格納手段と、前記セキュアチップの秘密鍵を使用して、前記VPNサービス提供センタに対してVPNサービス用アプリケーションの提供を要求するサービス提供要求に署名するサービス提供要求署名手段と、前記サービス提供要求署名手段により署名の付いたサービス提供要求と前記セキュアチップに格納されている前記セキュアチップの公開鍵を含むチップ公開鍵証明書とを前記VPNサービス提供センタへ送信するサービス提供要求手段と、前記VPNサービス提供センタから前記VPNサービス用アプリケーションを受信するサービス受信手段と、前記サービス受信手段により受信される前記VPNサービス用アプリケーションを前記セキュアチップにインストールするサービスインストール手段と、を備えており、インストールされた前記VPNサービス用アプリケーションを使用して、同じVPNに属する前記通信端末間で暗号化通信を行い、前記チップ管理センタは、前記通信端末から前記暗号化登録情報を受信する暗号化登録情報受信手段と、前記チップ管理センタのチップ管理者の秘密鍵を使用して、前記暗号化登録情報受信手段により受信された前記暗号化登録情報を前記署名の付いた前記登録情報に復号化する登録情報復号化手段と、前記登録情報復号化手段による復号化により得られる前記登録情報の署名を、当該登録情報に含まれる前記セキュアチップの公開鍵を使用して検証する登録情報署名検証手段と、前記通信端末に送信する前記セキュアチップの公開鍵を含むチップ公開鍵証明書を作成するチップ公開鍵証明書作成手段と、前記登録情報復号化手段による復号化により得られた前記登録情報をチップデータベースに登録する登録情報登録手段と、前記チップ公開鍵証明書作成手段により作成されたチップ公開鍵証明書を前記通信端末へ送信するチップ公開鍵証明書送信手段と、を備えており、前記VPNサービス提供センタは、前記通信端末から前記署名の付いたサービス提供要求と前記チップ公開鍵証明書とを受信するサービス提供要求受信手段と、前記サービス提供要求受信手段により受信される前記チップ公開鍵証明書に含まれる前記セキュアチップの公開鍵を使用して、前記サービス提供要求受信手段により受信されるサービス提供要求の署名を検証するサービス提供要求署名検証手段と、前記サービス提供要求署名検証手段による検証の結果に応じて、VPNサービス用アプリケーションのダウンロードの可否を判断する転送可否判断手段と、前記転送可否判断部によって前記ダウンロードが許可されると、前記VPNサービス用アプリケーションを前記通信端末へ転送するサービス転送手段と、を備えたことを特徴とする。
請求項2に記載のVPN通信システムは、前記通信端末は、前記VPNサービス用アプリケーションを受信した後に、前記VPNサービス用アプリケーションの秘密鍵と、前記VPNサービス用アプリケーションの公開鍵と、前記VPNサービス用アプリケーションの公開鍵証明書と、前記サービス提供センタを管理するサービス提供者の公開鍵とが格納され、前記セキュアチップに格納された前記VPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに、同じVPNに属する前記通信端末間で通信を行うための通信用暗号鍵の生成を要求する暗号鍵生成要求に署名する暗号鍵生成要求署名手段と、前記サービス提供者の公開鍵を使用して前記暗号鍵生成要求署名手段により署名の付いた前記暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する暗号鍵生成要求暗号化手段と、前記暗号鍵生成要求暗号化手段による暗号化により得られる暗号化暗号鍵生成要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵生成要求送信手段と、前記サービス提供センタから署名の付いた暗号化生成暗号鍵情報を受信する生成暗号鍵情報受信手段と、前記サービス提供者の公開鍵を使用して、前記生成暗号鍵情報受信手段により受信される前記暗号化生成暗号鍵情報の署名を検証する生成暗号鍵情報署名検証手段と、前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化生成暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む生成暗号鍵情報に復号化する生成暗号鍵情報復号化手段と、前記生成暗号鍵情報復号化手段による復号化により得られる生成暗号鍵情報を前記セキュアチップにインストールする生成暗号鍵情報インストール手段と、を備えており、インストールされた前記生成暗号鍵情報を使用して、当該生成暗号鍵情報に含まれる前記通信用暗号鍵と同じ通信用暗号鍵が格納されている他の前記通信端末との間で暗号化通信を行い、前記サービス提供センタは、前記通信端末から前記暗号化暗号鍵生成要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵生成要求受信手段と、前記暗号鍵生成要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、前記サービス提供者の秘密鍵を使用して、前記暗号鍵生成要求受信手段により受信される前記暗号化暗号鍵生成要求を前記署名の付いた前記暗号鍵生成要求に復号化する暗号鍵生成要求復号化手段と、前記VPNサービス用アプリケーションの公開鍵を使用して、前記暗号鍵生成要求復号化手段による復号化により得られる前記暗号鍵生成要求の署名を検証する生成要求署名検証手段と、前記通信端末に配布する通信用暗号鍵を生成する通信用暗号鍵生成手段と、前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とをグループ情報データベースに登録するグループ情報格納手段と、前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む生成暗号鍵情報を暗号化生成暗号鍵情報に暗号化する生成暗号鍵情報暗号化手段と、前記サービス提供者の秘密鍵を使用して、前記生成暗号鍵暗号化手段による暗号化により得られる前記暗号化生成暗号鍵情報に署名する生成暗号鍵情報署名手段と、前記生成暗号鍵情報署名手段により署名の付いた前記暗号化生成暗号鍵情報を前記通信端末へ送信する生成暗号鍵情報送信手段と、を備えたことを特徴とする。
請求項3に記載のVPN通信システムは、前記通信端末は、前記VPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに前記通信用暗号鍵の共有を要求する暗号鍵共有要求に署名する暗号鍵共有要求署名手段と、前記サービス提供センタを管理するサービス提供者の公開鍵を使用して前記暗号鍵共有要求署名手段により署名の付いた前記暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する暗号鍵共有要求暗号化手段と、前記暗号鍵共有要求暗号化手段による暗号化により得られる暗号化暗号鍵共有要求と、前記セキュアチップに格納されているVPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵共有要求送信手段と、前記サービス提供センタから署名の付いた暗号化共有暗号鍵情報を受信する共有暗号鍵情報受信手段と、前記サービス提供者の公開鍵を使用して、前記共有暗号鍵情報受信手段により受信される前記暗号化共有暗号鍵情報の署名を検証する共有暗号鍵情報署名検証手段と、前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化共有暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む共有暗号鍵情報に復号化する共有暗号鍵情報復号化手段と、前記共有暗号鍵情報復号化手段による復号化により得られる前記共有暗号鍵情報を前記セキュアチップにインストールする共有暗号鍵情報インストール手段と、を備えており、インストールされた前記共有暗号鍵情報を使用して、当該共有暗号鍵情報に含まれる前記通信用暗号鍵と同じ通信用暗号鍵が格納されている他の前記通信端末との間で暗号化通信を行い、前記サービス提供センタは、前記通信端末から前記暗号化暗号鍵共有要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵共有要求受信手段と、前記暗号鍵共有要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、前記サービス提供者の公開鍵を使用して、前記暗号鍵共有要求受信手段により受信される前記暗号化暗号鍵共有要求を前記署名の付いた前記暗号鍵共有要求に復号化する暗号鍵共有要求復号化手段と、前記サービス提供者の秘密鍵を使用して、前記暗号鍵共有要求復号化手段による復号化により得られる前記暗号鍵共有要求の署名を検証する共有要求署名検証手段と、前記通信端末から送信された前記暗号鍵共有要求に対応する前記通信用暗号鍵をグループ情報データベースから検索する通信用暗号鍵検索手段と、前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵検索手段により検索される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する共有暗号鍵情報暗号化手段と、前記サービス提供者の秘密鍵を使用して、前記共有暗号鍵暗号化手段による暗号化により得られる前記暗号化共有暗号鍵情報に署名する共有暗号鍵情報署名手段と、前記共有暗号鍵情報署名手段により署名の付いた前記暗号化共有暗号鍵情報を前記通信端末へ送信する共有暗号鍵情報送信手段と、を備えたことを特徴とする。
請求項4に記載のVPN通信システムは、セキュアチップを搭載した通信端末と、同じVPNに属する前記通信端末間で通信を行うための通信用暗号鍵を管理し、前記通信端末へ配送するサービス提供センタとを備えたVPN通信システムであって、前記通信端末は、前記セキュアチップに格納されているVPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに通信用暗号鍵の共有を要求する暗号鍵共有要求に署名する暗号鍵共有要求署名手段と、前記サービス提供センタを管理するサービス提供者の公開鍵を使用して前記暗号鍵共有要求署名手段により署名の付いた前記暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する暗号鍵共有要求暗号化手段と、前記暗号鍵共有要求暗号化手段による暗号化により得られる暗号化暗号鍵共有要求と、前記セキュアチップに格納されているVPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵共有要求送信手段と、前記サービス提供センタから署名の付いた暗号化共有暗号鍵情報を受信する共有暗号鍵情報受信手段と、前記サービス提供者の公開鍵を使用して、前記共有暗号鍵情報受信手段により受信される前記暗号化共有暗号鍵情報の署名を検証する共有暗号鍵情報署名検証手段と、前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化共有暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む共有暗号鍵情報に復号化する共有暗号鍵情報復号化手段と、前記共有暗号鍵情報復号化手段による復号化により得られる共有暗号鍵情報を前記セキュアチップにインストールする共有暗号鍵情報インストール手段と、を備えており、前記サービス提供センタは、前記通信端末から前記暗号化暗号鍵共有要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵共有要求受信手段と、前記暗号鍵共有要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、前記サービス提供者の公開鍵を使用して、前記暗号鍵共有要求受信手段により受信される前記暗号化暗号鍵共有要求を前記署名の付いた前記暗号鍵共有要求に復号化する暗号鍵共有要求復号化手段と、前記サービス提供者の秘密鍵を使用して、前記暗号鍵共有要求復号化手段による復号化により得られる前記暗号鍵共有要求の署名を検証する共有要求署名検証手段と、前記通信端末に配布する通信用暗号鍵を検索する通信用暗号鍵検索手段と、前記ユーザ端末のユーザ情報をグループ情報データベースに追加登録するグループ情報追加登録手段と、前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵検索手段により検索される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する共有暗号鍵情報暗号化手段と、前記サービス提供者の秘密鍵を使用して、前記共有暗号鍵暗号化手段による暗号化により得られる前記暗号化共有暗号鍵情報に署名する共有暗号鍵情報署名手段と、前記共有暗号鍵情報署名手段により署名の付いた前記暗号化共有暗号鍵情報を前記通信端末へ送信する共有暗号鍵情報送信手段と、を備えたことを特徴とする。
請求項5に記載のVPN通信システムは、セキュアチップを搭載した通信端末を備えたVPN通信システムにおいて、前記通信端末は、前記セキュアチップに格納されている通信用暗号鍵を使用して同じVPNに属する他の通信端末と暗号化通信を行うことを特徴とする。
本発明によれば、VPNサーバの動作の有無にかかわらず同一VPNに属する他のクライアントと通信することが可能であるとともに、VPNサーバとクライアントにおけるソフトウエアのインストール及び設定に関する作業負担を軽減することができる。
以下の本発明の好適な実施の形態について図面を参照しつつ説明する。
図1は、本発明の実施の形態におけるVPN通信システムの概要を示す図である。VPN通信システム1は、チップ情報データベースを有するチップ管理センタ2、ユーザ情報データベース(例えば、ユーザが事前に自らのユーザ情報を登録している。)とグループ情報データベースとを有するVPNサービス提供センタ3、本人確認サービスセンタ4、及びe−Keyチップ(セキュアチップに相当する。)6a〜6fを搭載したユーザ端末(通信端末に相当する。)5a〜5fを備えており、夫々、インターネットに接続されている。VPN通信システム1において、機器登録処理(e−Keyチップをチップ管理センタに登録する処理)、VPNサービスダウンロード処理(VPNサービス用アプリケーションソフトを通信端末にダウンロードする処理)、VPN鍵生成処理(新たにVPN鍵を生成する処理)、VPN鍵共有処理(VPN鍵を複数の通信端末で共有する処理)、VPN構築処理(同じVPNグループに属する通信端末間でVPN接続を構築する処理)、VPN鍵無効処理(ユーザ端末においてVPN鍵を無効にする処理)が実行される。以下において各種処理を順に説明する。尚、通信端末として、パーソナルコンピュータ、携帯電話機、携帯情報端末などが挙げられる。
《機器登録処理》
図2は、VPN通信システムの機器登録処理に関連する構成を示す図である。尚、機器登録処理を開始する前のe−Keyチップ6a〜6fには、e−Keyチップ6a〜6fの公開鍵(以下、チップ公開鍵という。)及び秘密鍵(以下、チップ秘密鍵という。)、並びにチップ管理センタ2のチップ管理者の公開鍵(以下、チップ管理者公開鍵という。)が少なくとも格納されている。
ユーザ端末5a〜5fは、図2に示すように、カード送受信手段51a、送受信手段(暗号化登録情報送信手段、チップ公開鍵証明書受信手段)51b、登録情報署名手段51c、登録情報暗号化手段51d、チップ公開鍵証明書確認手段51e、及びチップ公開鍵証明書格納手段51fを備えている。カード送受信手段51aは、暗号化登録情報を本人認証用ICカード7へ送信するとともに、本人認証用ICカード7から本人署名の付いた暗号化登録情報を受信する。送受信手段51bは、チップ管理センタ2へ本人署名の付いた暗号化登録情報を送信するとともに、チップ管理センタ2からチップ公開鍵証明書(チップ公開鍵が正しいことを証明する証明書)を受信する。
登録情報署名手段51cは、e−Keyチップ6a〜6fに格納されているチップ秘密鍵を使用して、チップ管理センタ2に登録する登録情報(e−Keyチップ6a〜6fのチップ情報とe−Keyチップ6a〜6fに格納されているチップ公開鍵)に署名する。登録情報暗号化手段51dは、e−Keyチップ6a〜6fに格納されているチップ管理者公開鍵を使用して、登録情報署名手段51cにより署名の付いた登録情報を暗号化登録情報に暗号化する。
チップ公開鍵証明書確認手段51eは、送受信手段51bにより受信されるチップ公開鍵証明書の正当性を確認する。この確認は、e−Keyチップ6a〜6fに格納されているチップ管理者公開鍵を使用して、チップ公開鍵証明書に含まれる署名(チップ管理者の秘密鍵(以下、チップ管理者秘密鍵という。)を使用して作られる署名)を検証することにより行われる。チップ公開鍵証明書格納手段51fは、チップ公開鍵証明書確認手段51eにより正当であるとされたチップ公開鍵証明書をe−Keyチップ6a〜6fに格納する。
チップ管理センタ2は、図2に示すように、送受信手段(暗号化登録情報受信手段、チップ公開鍵証明書送信手段)21a、登録情報復号化手段21b、登録情報署名検証手段21c、チップ公開鍵証明書作成手段21d、及び登録情報登録手段21eを備えている。送受信手段21aは、ユーザ端末5a〜5fから本人署名の付いた暗号化登録情報を受信するとともに、ユーザ端末5a〜5fへチップ公開鍵証明書を送信する。また、本人確認サービスセンタ4へ本人確認要求を送信するとともに、本人確認サービスセンタ4から本人確認結果を受信する。
登録情報復号化手段21bは、チップ管理者秘密鍵を使用して、送受信手段21aにより受信される暗号化登録情報を署名の付いた登録情報に復号化する。登録情報署名検証手段21cは、登録情報復号化手段21bによる復号化により得られる署名の付いた登録情報に含まれるチップ公開鍵を使用して登録情報の署名を検証する。チップ公開鍵証明書作成手段21dは、登録情報署名検証手段21cにより署名が正しいと判断されると、登録情報復号化手段21bによる復号化により得られる登録情報に含まれるチップ公開鍵などを含むチップ公開鍵証明書を作成する。但し、チップ公開鍵証明書には、チップ管理者秘密鍵を使用して作られる署名が含まれる。登録情報登録手段21eは、登録情報署名検証手段21cにより署名が正しいと判断されると、登録情報復号化手段21bによる復号化により得られる登録情報(チップ情報とチップ公開鍵)をチップ情報データベースに格納する。
図3は、VPN通信システムにおける機器登録処理の手順を示す図である。
ユーザ端末5a〜5fにおいて、登録情報署名手段51cは、チップ秘密鍵を使用して、e−Keyチップ6a〜6fの登録情報(e−Keyチップ6a〜6fのチップ情報とe−Keyチップ6a〜6fに格納されているチップ公開鍵)に署名する(S101)。続いて、登録情報暗号化手段51dは、チップ管理者公開鍵を使用してS101において得られた署名の付いた登録情報を暗号化登録情報に暗号化する(S102)。そして、カード送受信手段51aからS102において得られた暗号化登録情報が本人認証用ICカード7へ送信される(S103)。
本人認証用ICカード7において、ユーザ端末5a〜5fから暗号化登録情報を受信すると、ICカード秘密鍵を使用して暗号化登録情報に署名する(S104)。そして、S104において得られた本人署名の付いた暗号化登録情報がユーザ端末5a〜5fへ送信される(S105)。ユーザ端末5a〜5fにおいて、カード送受信手段51aにより本人署名の付いた暗号化登録情報が受信されると、送受信手段51bによって、本人署名の付いた暗号化登録情報がユーザ端末5a〜5fからチップ管理センタ2へ送信される(S106)。
チップ管理センタ2において、送受信手段21aにより本人署名の付いた暗号化登録情報が受信されると、送受信手段21aによって本人署名の付いた暗号化登録情報がICカード本人確認サービスセンタ4へ送信され、ICカード本人確認サービスセンタ4に対して本人確認要求を行う(S107)。本人確認を求められたICカード本人確認サービスセンタ4において、ICカード公開鍵を使用して本人署名(S104の署名)を検証して本人確認を行い、本人確認結果がチップ管理センタ2へ送信される(S108)。
チップ管理センタ2において、本人であると通知されると、登録情報復号化手段21bは、チップ管理者秘密鍵を使用して、送受信手段21aによって受信された暗号化登録情報を署名の付いた登録情報に復号化する(S109)。続いて、登録情報署名検証手段21cは、S109において得られた署名の付いた登録情報に含まれるチップ公開鍵を使用して登録情報の署名(S101の署名)を検証する(S110)。そして、署名が正しいと判断されると、チップ公開鍵証明書作成手段21dは、S109において得られた登録情報に含まれるチップ公開鍵などを含むチップ公開鍵証明書を作成する(S111)。続いて、登録情報登録手段21eは、S109において得られた登録情報に含まれるチップ情報とチップ公開鍵とをチップ情報データベースに格納する(S112)。そして、送受信手段21aからS111において作成されたチップ公開鍵証明書がユーザ端末5a〜5fへ送信される(S113)。
ユーザ端末5a〜5fにおいて、送受信手段51bによりチップ公開鍵証明書が受信されると、チップ公開鍵証明書確認手段51eは、チップ公開鍵証明書の正当性を確認する(S114)。そして、チップ公開鍵証明書が正当であると確認されると、チップ公開鍵証明書格納手段51fは、送受信手段51bにより受信されたチップ公開鍵証明書をe−Keyチップ6a〜6fに格納する(S115)。
尚、機器登録処理においては、本人認証用ICカードを使用して本人確認を行っている場合であるが、これに限らず、ユーザ端末5a〜5fにおいてユーザが認証情報を直接入力し、それを登録情報とともにチップ管理センタ2へ送信するようにしてもよい。また、セキュリティを問題としなければ、本人認証を行う処理(S104、S107、S108)を除いて、送受信手段51bから暗号化登録情報を送信するようにしてもよい。また、チップ情報データベースには登録処理を行ったユーザの情報を一緒に登録してもよい。
《VPNサービスダウンロード処理》
図4は、VPN通信システムのVPNサービスダウンロード処理に関連する構成を示す図である。尚、VPNサービスダウンロード処理を開始する前のe−Keyチップ6a〜6fには、チップ公開鍵及びチップ秘密鍵、チップ管理者公開鍵、並びにチップ公開鍵証明書(機器登録処理により格納されたもの)が少なくとも格納されている。
ユーザ端末5a〜5fは、図4に示すように、送受信手段(サービス提供手段、サービス受信手段)52a、サービス提供要求署名手段52b、サービスインストール手段52c、及びパーソナライズ手段52dを備えている。送受信手段52aは、署名の付いたサービスダウンロード要求(サービス提供要求に相当する。)とe−Keyチップ6a〜6fに格納されているチップ公開鍵を含むチップ公開鍵証明書とをVPNサービス提供センタ3へ送信するとともに、VPNサービス提供センタ3からVPNサービス用アプリケーションソフト(e−Keyチップ6a〜6fにメモリを確保するなどを行うためのソフト)を受信する。サービス提供要求署名手段52bは、e−Keyチップ6a〜6fに格納されているチップ秘密鍵を使用して、VPNサービス用アプリケーションソフトのダウンロードを要求するサービスダウンロード要求に署名する。サービスインストール手段52cは、送受信手段52aによって受信されるVPNサービス用アプリケーションソフトをe−Keyチップ6a〜6fにインストールする。パーソナライズ手段52dは、チップ公開鍵、サービス提供者秘密鍵を使用して暗号化したパーソナライズデータでパーソナライズする(サービスアプリケーション上の鍵を生成する)。
VPNサービス提供センタ3は、図4に示すように、送受信手段32a、サービス提供要求署名検証手段32b、及び転送可否判断手段32cを備えている。
送受信手段32aは、ユーザ端末5a〜5fから署名の付いたサービスダウンロード要求とチップ公開鍵証明書を受信するとともに、VPNサービス用アプリケーションソフトをユーザ端末5a〜5fへ転送する。また、チップ管理センタ2へダウンロード許可要求を送信するとともに、チップ管理センタ2からダウンロードの許否の判断結果を受信する。サービス提供要求署名検証手段32bは、送受信手段32aによって受信されたチップ公開鍵証明書に含まれるチップ公開鍵を使用して、送受信手段32aによって受信されたサービスダウンロード要求の署名を検証する。転送可否判断手段32cは、ユーザのこれまでの状況などを考慮して、VPNサービス用アプリケーションソフトのユーザ端末5a〜5fへの転送の可否を判断する。
図5は、VPN通信システムにおけるVPNサービスダウンロード処理の手順を示す図である。
ユーザ端末5a〜5fにおいて、サービス提供要求署名手段52bは、チップ秘密鍵を使用してサービスダウンロード要求に署名する(S201)。そして、送受信手段52aからS201において署名の付いたサービスダウンロード要求とチップ公開鍵証明書とがVPNサービス提供センタ3へ送信される(S202)。
VPNサービス提供センタ3において、送受信手段32aにより署名の付いたサービスダウンロード要求とチップ公開鍵証明書とが受信されると、サービス提供要求署名検証手段32bは、チップ公開鍵証明書に含まれるチップ公開鍵を使用して、サービスダウンロード要求の署名(S201の署名)を検証する(S203)。そして、署名が正しいと判断されると、送受信手段32aからチップ管理センタ2へダウンロード許可要求を送信する(S204)。チップ管理センタ2において、VPNサービス提供センタ3からダウンロード許可要求があると、チップ情報データベースにサービスダウンロード要求を行ったユーザ端末5a〜5fのe−Keyチップ6a〜6fが登録されているかに基づいて、VPNサービス用アプリケーションソフトのダウンロードの可否を判断し、VPNサービス提供センタ3へダウンロードの可否を通知する(S205)。
VPNサービス提供センタ3において、チップ管理センタ2からダウンロード許可の通知があると、転送可否判断手段32cは、VPNサービス用アプリケーションソフトのダウンロードの可否を判断する(S206)。そして、ダウンロードが許可されると、送受信手段32aからユーザ端末5a〜5fへ暗号通信によりVPNサービス用アプリケーションソフトが転送される(S207)。
ユーザ端末5a〜5fにおいて、送受信手段52aによりVPNサービス用アプリケーションソフトが受信されると、サービスインストール手段52cは、VPNサービス用アプリケーションソフトをe−Keyチップ6a〜6fにインストールする(S208)。続いて、パーソナライズ手段52dは、チップ公開鍵、サービス提供者秘密鍵を使用して暗号化したパーソナライズデータでパーソナライズする(S209)。尚、VPNサービスダウンロード処理をS209の処理を含まないように作成してもよい。また、アプリケーションソフト自体が正しいかどうかをインストール前に検証してもよい。さらに、インストール、パーソナライズした結果をVPNサービス提供センタに通知してもよい。
《VPN鍵生成処理》
図6は、VPN通信システムのVPN鍵生成処理に関連する構成を示す図である。尚、VPN鍵生成処理を開始する前のe−Keyチップ6a〜6fには、チップ公開鍵及びチップ秘密鍵、チップ管理者公開鍵、サービスAP公開鍵及びサービスAP秘密鍵、VPNサービスセンタの管理者を管理するVPNサービス提供者の公開鍵(サービス提供者公開鍵)、サービスAP公開鍵証明書が少なくとも格納されている。但し、サービスAP公開鍵、サービスAP秘密鍵、サービス提供者公開鍵、サービスAP公開鍵証明書は、VPNサービスダウンロード処理の後、適宜、e−Keyチップ6a〜6fに格納される。また、サービスAP公開鍵証明書はサービスAP公開鍵を含むとともに、VPNサービス提供者の秘密鍵若しくはVPNサービス提供者が認めた第三者の秘密鍵(以下、サービス提供者秘密鍵という。)で作られた署名がある。
ユーザ端末5a〜5fは、図6に示すように、送受信手段(暗号鍵生成要求送信手段、生成暗号鍵情報受信手段)53a、暗号鍵生成要求署名手段53b、暗号鍵生成要求暗号化手段53c、生成暗号鍵情報署名検証手段53d、生成暗号鍵情報復号化手段53e、及び生成暗号鍵情報インストール手段53fを備えている。送受信手段53aは、VPNサービス提供センタ3へ暗号化暗号鍵生成要求、e−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書、及び使用許可条件(有効期限、使用回数など)を送信するとともに、VPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化生成暗号鍵情報を受信する。暗号鍵生成要求署名手段53bは、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して、VPNサービス提供センタ3に対してVPN鍵(通信用暗号鍵に相当する。)の生成を要求する暗号鍵生成要求に署名する。暗号鍵生成要求暗号化手段53cは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、暗号鍵生成要求署名手段53bにより署名の付いた暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する。
生成暗号鍵情報署名検証手段53dは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、送受信手段53aにより受信される暗号化生成暗号鍵情報の署名を検証する。生成暗号鍵情報復号化手段53eは、生成暗号鍵情報署名検証手段53dにより署名が正しいと判断されると、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して、送受信手段53aにより受信される暗号化生成暗号鍵情報をVPN鍵、鍵ID、有効期限情報などを含む生成暗号鍵情報に復号化する。生成暗号鍵情報インストール手段53fは、生成暗号鍵情報復号化手段53eによる復号化により得られる生成暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6a〜6fにインストールする。
VPNサービス提供センタ3は、図6に示すように、送受信手段(暗号鍵生成要求受信手段、生成暗号鍵情報送信手段)33a、サービスAP公開鍵証明書検証手段(サービス公開鍵証明書検証手段)33b、鍵生成可能検証手段33c、暗号鍵生成要求復号化手段33d、生成要求署名検証手段33e、通信用暗号鍵作成手段33f、付加手段33g、グループ情報格納手段33h、生成暗号鍵情報暗号化手段33i、及び生成暗号鍵情報署名手段33jを備えている。
送受信手段33aは、ユーザ端末5a〜5fへVPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化生成暗号鍵情報を送信するとともに、ユーザ端末5a〜5fから暗号化暗号鍵生成要求、e−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書、及び使用許可条件(有効期限、使用回数など)を受信する。サービスAP公開鍵証明書検証手段33bは、サービスAP公開鍵証明書の正当性を検証する(ユーザの認証を行う)。具体的には、サービス提供者公開鍵を使用してサービスAP公開鍵証明書の署名を検証することにより行われる。鍵生成可能検証手段33cは、使用許可条件を基に鍵生成可能なユーザであるか否かを判断する。暗号鍵生成要求復号化手段33dは、サービス提供者秘密鍵を使用して、送受信手段33aにより受信される暗号化暗号鍵生成要求を署名の付いた暗号鍵生成要求に復号化する。生成要求署名検証手段33eは、サービスAP公開鍵を使用して、暗号鍵生成要求復号化手段33dによる復号化により得られる暗号鍵生成要求の署名を検証する。
通信用暗号鍵生成手段33fは、サービスAP公開鍵証明書検証手段33bによりサービスAP公開鍵証明書が正しいと判断され、鍵生成可能検証手段33cにより鍵生成可能なユーザであることが判断され、生成要求署名検証手段33eにより署名が正しいと判断されると、VPN鍵を生成する。付加手段33gは、通信用暗号鍵生成手段33fにより生成されるVPN鍵に当該VPN鍵の識別子(鍵ID)とユーザ端末5a〜5fからの使用許可条件に含まれる有効期限情報などの付加情報を付加する。グループ情報格納手段33hは、グループ情報(通信用暗号鍵生成手段33fにより生成されるVPN鍵と、付加手段33gによりVPN鍵に付加される付加情報と、ユーザ情報データベースに登録されている暗号鍵生成要求を行ったユーザ情報)をグループ情報データベースに登録する。生成暗号鍵情報暗号化手段33iは、サービスAP公開鍵証明書に含まれるサービスAP公開鍵を使用して、付加手段33gにより付加情報が付加されたVPN鍵(生成暗号鍵情報)を暗号化生成暗号鍵情報に暗号化する。生成暗号鍵情報署名手段33jは、サービス提供者秘密鍵を使用して、生成暗号鍵情報暗号化手段33iにより得られる暗号化生成暗号鍵情報に署名する。
図7は、VPN通信システムにおけるVPN鍵生成処理の手順を示す図である。
ユーザ端末5a〜5fにおいて、暗号鍵生成要求署名手段53bは、サービスAP秘密鍵を使用して暗号鍵生成要求に署名する(S301)。続いて、暗号鍵生成要求暗号化手段53cは、サービス提供者公開鍵を使用してS301において得られた署名の付いた暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する(S302)。そして、送受信手段53aからS302において得られた暗号化暗号鍵生成要求、サービスAP公開鍵証明書、及び使用許可条件がVPNサービス提供センタ3へ送信される(S303)。
VPNサービス提供センタ3において、送受信手段33aによって暗号化暗号鍵生成要求などが受信されると、サービスAP公開鍵証明書検証手段33bはサービスAP公開鍵証明書を検証するとともに、鍵生成可能検証手段33cは鍵生成可能なユーザであるか否かを判断する(S304)。続いて、暗号鍵生成要求復号化手段33dは、サービス提供者秘密鍵を使用して、暗号化暗号鍵生成要求を署名の付いた暗号鍵生成要求に復号化する(S305)。さらに続いて、生成要求署名検証手段33eは、サービスAP公開鍵を使用して暗号鍵生成要求の署名(S301の署名)を検証する(S306)。そして、サービスAP公開鍵証明書が正当であり、鍵生成可能なユーザであり、暗号鍵生成要求の署名が正しいとされると、通信用暗号鍵生成手段33fは、VPN鍵を生成する(S307)。続いて、付加手段33gは、S307で生成されたVPN鍵に付加情報(鍵IDや有効期限情報など)を付加する(S308)。さらに続いて、グループ情報格納手段33hは、グループ情報(VPN鍵と付加情報とユーザ情報)をグループ情報データベースに登録する(S309)。また、生成暗号鍵情報暗号化手段33iは、サービスAP公開鍵を使用して、VPN鍵と付加情報とを含む生成暗号鍵情報を暗号化生成暗号鍵情報に暗号化する(S310)。続いて、生成暗号鍵情報署名手段33jは、サービス提供者秘密鍵を使用して、S310において得られた暗号化生成暗号鍵情報に署名する(S311)。そして、送受信手段33aからS311により署名の付いた暗号化生成暗号鍵情報をユーザ端末5a〜5fへ送信する(S312)。
ユーザ端末5a〜5fにおいて、送受信手段53aにより署名の付いた暗号化生成暗号鍵情報が受信されると、生成暗号鍵情報署名検証手段53dは、サービス提供者公開鍵を使用して暗号化生成暗号鍵情報の署名(S311の署名)を検証する(S313)。そして、署名が正しいとされると、生成暗号鍵情報復号化手段53eは、サービスAP秘密鍵を使用して暗号化生成暗号鍵情報を生成暗号鍵情報に復号化する(S314)。続いて、生成暗号鍵情報インストール手段53fは、S314における復号化により得られた生成暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6a〜6fにインストールする(S315)。
《VPN鍵共有処理》
図8は、VPN通信システムのVPN鍵共有処理に関連する構成を示す図である。尚、VPN鍵共有処理を開始する前のe−Keyチップ6a〜6fは、VPN鍵とそれに関する情報を除いて、VPN鍵生成処理を開始する前の状態と実質的に同様である。
ユーザ端末5a〜5fは、図8に示すように、送受信手段(暗号鍵共有要求送信手段、共有暗号鍵情報受信手段)54a、検索要求手段54b、暗号鍵共有要求署名手段54c、暗号鍵共有要求暗号化手段54d、共有暗号鍵情報署名検証手段54e、共有暗号鍵情報復号化手段54f、及び共有暗号鍵情報インストール手段54gを備えている。
送受信手段54aは、VPNサービス提供センタ3へ暗号化暗号鍵共有要求、e−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書、及び鍵IDを送信するとともに、VPNサービス提供センタ3から参加を希望するVPNの鍵IDなどを含む検索結果や、VPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化共有暗号鍵情報を受信する。検索要求手段54bは、参加を希望するVPNの検索をVPNサービス提供センタ3へ要求する。暗号鍵共有要求署名手段54cは、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して、VPNサービス提供センタ3に対してVPN鍵の共有を要求する暗号鍵共有要求に署名する。暗号鍵共有要求暗号化手段54dは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、暗号鍵共有要求署名手段54cにより署名の付いた暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する。
共有暗号鍵情報署名検証手段54eは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して暗号化共有暗号鍵情報の署名を検証する。共有暗号鍵情報復号化手段54fは、共有暗号化情報署名検証手段54eにより署名が正しいと判断されると、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用して暗号化共有暗号鍵情報をVPN鍵、鍵ID、有効期限情報などを含む共有暗号鍵情報に復号化する。共有暗号鍵情報インストール手段54gは、共有暗号鍵情報復号化手段54fによる復号化により得られる共有暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6a〜6fにインストールする。
VPNサービス提供センタ3は、図8に示すように、送受信手段(暗号鍵共有要求受信手段、共有暗号鍵情報送信手段)34a、参加希望VPN検索手段34b、サービスAP公開鍵証明書検証手段(サービス公開鍵証明書検証手段)34c、暗号鍵共有要求復号化手段34d、共有要求署名検証手段34e、参加対象VPN検索手段34f、共有可能検証手段34g、ユーザ情報追加登録手段34h、共有暗号鍵情報暗号化手段34i、及び共有暗号鍵情報署名手段34jを備えている。
送受信手段34aは、ユーザ端末5a〜5fへユーザ端末が参加を希望したVPNの鍵IDなどを含む検索結果や、VPN鍵、当該VPN鍵の識別子(鍵ID)、有効期限情報などを含む署名の付いた暗号化共有暗号鍵情報を送信するとともに、ユーザ端末5a〜5fからVPNの検索要求や、暗号化暗号鍵共有要求、参加対象のVPNの鍵ID、及びe−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書を受信する。参加希望VPN検索手段34bは、ユーザ端末が参加を希望したVPNをグループ情報データベースを参照して検索し、鍵IDなどの検索結果を送受信手段34aを介してユーザ端末5a〜5fへ渡す。サービスAP公開鍵証明書検証手段34cは、サービスAP公開鍵証明書検証手段33bと同様の手法により、サービスAP公開鍵証明書の正当性を検証する(ユーザの認証を行う)。暗号鍵共有要求復号化手段34dは、サービス提供者秘密鍵を使用して、送受信手段34aにより受信される暗号化暗号鍵共有要求を署名の付いた暗号鍵共有要求に復号化する。共有要求署名検証手段34eは、サービスAP公開鍵証明書に含まれるサービスAP公開鍵を使用して、暗号鍵共有要求復号化手段34dによる復号化により得られる暗号鍵共有要求の署名を検証する。参加対象VPN検索手段34fは、サービスAP公開鍵証明書検証手段34cによりサービスAP公開鍵証明書が正しいと判断され、共有要求署名検証手段34eにより署名が正しいと判断されると、グループ情報データベースにおいて、送受信手段34aにより受信される鍵IDを基にグループ情報を検索する。共有可能検証手段34gは、例えば、有効期限が過ぎていないかなどを確認して、VPN鍵の共有が可能かを検証する。ユーザ情報追加登録手段34hは、共有可能検証手段34gにより共有可能と判断されると、送受信手段34aにより受信される鍵IDに関連付けて、VPN鍵の共有を要求したユーザのユーザ情報(ユーザ情報データベースに格納されているユーザ情報)をグループ情報データベースに追加登録する。
共有暗号鍵情報暗号化手段34iは、サービスAP公開鍵を使用して、グループ情報データベースに格納されているVPN鍵、鍵ID、有効期限情報などを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する。共有暗号鍵情報署名手段34jは、サービス提供者秘密鍵を使用して、共有暗号鍵情報暗号化手段34iにより得られる暗号化共有暗号鍵情報に署名する。
図9は、VPN通信システムにおけるVPN鍵共有処理の手順を示す図である。尚、ユーザ端末5aがVPN鍵の共有を要求し、共有を要求されたVPN鍵のVPNにユーザ端末5bが参加しているものとする。
ユーザ端末5aにおいて、検索要求手段54bは、VPNサービス提供センタ3に対してユーザが参加を希望するVPNの検索を要求する(S401)。これに対して、VPNサービス提供センタ3において、参加希望VPN検索手段34bはユーザが参加を希望したVPNを検索し、鍵IDなどを含む検索結果をユーザ端末5aへ送付する(S402)。そして、ユーザ端末5aにおいて、送受信手段54aにより検索結果が受信されると、暗号鍵共有要求署名手段54cは、サービスAP秘密鍵を使用して暗号鍵共有要求に署名する(S403)。続いて、暗号鍵共有要求暗号化手段54dは、サービス提供者公開鍵を使用してS403において得られた署名の付いた暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する(S404)。そして、送受信手段54aからS404において得られた暗号化暗号鍵共有要求、検索結果として通知された鍵ID、及びサービスAP公開鍵証明書がVPNサービス提供センタ3へ送信される(S405)。
VPNサービス提供センタ3において、送受信手段34aによって暗号化暗号鍵共有要求などが受信されると、サービスAP公開鍵証明書検証手段34cはサービスAP公開鍵証明書を検証する(S406)。続いて、暗号鍵共有要求復号化手段34dは、サービス提供者秘密鍵を使用して、送受信手段34aにより受信された暗号化暗号鍵共有要求を署名の付いた暗号鍵共有要求に復号化する(S407)。さらに続いて、共有要求署名検証手段34eは、サービスAP公開鍵を使用して暗号鍵共有要求の署名(S403の署名)を検証する(S408)。そして、サービスAP公開鍵証明書が正当であり、暗号鍵共有要求の署名が正しいとされると、参加対象VPN検索手段34fは、参加対象のVPNを検索する(S409)。続いて、共有可能検証手段34gは、VPN鍵の共有の可否を検証する(S410)。そして、共有可とされると、ユーザ情報追加登録手段34hは、ユーザ情報をグループ情報データベースに登録する(S411)。また、共有暗号鍵情報暗号化手段34iは、サービスAP公開鍵を使用して、VPN鍵と付加情報とを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する(S412)。続いて、共有暗号鍵情報署名手段34jは、サービス提供者秘密鍵を使用して、S412において得られた暗号化共有暗号鍵情報に署名する(S413)。そして、送受信手段34aからS413により署名の付いた暗号化共有暗号鍵情報をユーザ端末5aへ送信する(S414)。これとともに、ユーザ端末5bへ新規参加者を通知する(S418)。
ユーザ端末5aにおいて、送受信手段54aにより署名の付いた暗号化共有暗号鍵情報が受信されると、共有暗号鍵情報署名検証手段54eは、サービス提供者公開鍵を使用して暗号化共有暗号鍵情報の署名(S413の署名)を検証する(S415)。そして、署名が正しいとされると、共有暗号鍵情報復号化手段54fは、サービスAP秘密鍵を使用して暗号化共有暗号鍵情報を共有暗号鍵情報に復号化する(S416)。続いて、共有暗号鍵情報インストール手段54gは、S416における復号化により得られた共有暗号鍵情報(VPN鍵、鍵ID、有効期限情報など)をe−Keyチップ6aにインストールする(S417)。
《VPN構築処理》
VPN通信システムのVPN構築処理において、e−Keyチップ6a〜6fに同じVPN鍵が格納されているユーザ端末5a〜5fの間で通信が行われる。この際、ユーザ端末5a〜5fにおいては、VPN鍵の属性(有効期限、使用回数など)が検証される。
図10は、VPN通信システムにおけるVPN構築処理の手順を示す図である。尚、ユーザ端末5aとユーザ端末5bとの間で通信が行われるものとする。
ユーザ端末5aとユーザ端末5bの夫々において、使用するVPN鍵の属性(使用回数や使用期限など)を検証する(S501、S502))。そして、ユーザ端末5aとユーザ端末5bの双方でVPN鍵が使用できる場合、ユーザ端末5aとユーザ端末5bの間で規定されたVPN鍵を使用して暗号化通信を行う(S503)。
《VPN鍵無効処理》
図11は、VPN通信システムのVPN鍵無効処理に関連する構成を示す図である。尚、VPN鍵無効処理を開始する前のe−Keyチップ6a〜6fには、チップ公開鍵及びチップ秘密鍵、チップ管理者公開鍵、サービスAP公開鍵及びサービスAP秘密鍵、サービス提供者公開鍵、サービスAP公開鍵証明書、並びにVPN鍵に関連した情報が少なくとも含まれている。
ユーザ端末5a〜5fは、図11に示すように、送受信手段56a、属性検証手段56b、暗号鍵削除手段56c、情報削除要求署名手段56d、及び判断通知情報署名検証手段56eを備えている。送受信手段56aは、VPNサービス提供センタ3へ情報削除要求とe−Keyチップ6a〜6fに格納されているサービスAP公開鍵証明書を送信するとともに、VPNサービス提供センタ3から判断通知情報を受信する。属性検証手段56bは、使用したいVPN鍵の属性(有効期限など)を検証する。暗号鍵削除手段56cは、属性検証手段56bにより使用不可(有効期限を過ぎているなど)と判断されると、e−Keyチップ6a〜6fから検証対象になったVPN鍵を削除する。情報削除要求署名手段56dは、属性検証手段56bにより使用不可と判断されると、e−Keyチップ6a〜6fに格納されているサービスAP秘密鍵を使用してe−Keyチップ6a〜6fに格納されている鍵IDとVPNサービス提供センタ3に対してユーザ情報の削除を要求する情報削除要求とに署名する。判断通知情報署名検証手段56eは、e−Keyチップ6a〜6fに格納されているサービス提供者公開鍵を使用して、送受信手段56aによって受信される判断通知情報の署名を検証する。
VPNサービス提供センタ3は、図11に示すように、送受信手段36a、サービスAP公開鍵証明書検証手段36b、削除要求署名検証手段36c、削除対象VPN検索手段36d、使用可否判断手段36e、グループ情報更新手段36f、及び判断通知情報署名手段36gを備えている。送受信手段36aは、ユーザ端末5a〜5fから情報削除要求を受信するとともに、ユーザ端末5a〜5fへ判断通知情報を送信する。サービスAP公開鍵証明書検証手段36bは、サービスAP公開鍵証明書検証手段33bと実質的に同様の処理を行って、サービスAP公開鍵証明書を検証する(機器の認証を行う)。削除要求署名検証手段36cは、サービスAP公開鍵証明書検証手段36bによりサービスAP公開鍵証明書が正しいと判断されると、サービスAP公開鍵を使用して、送受信手段36aにより受信される鍵IDと情報削除要求との署名を検証する。削除対象VPN検索手段36dは、削除要求署名検証手段36cにより署名が正しいとされると、情報グループデータベースにおいて、送受信手段36aにより受信される鍵IDを基に削除対象のVPNを検索する。使用可否判断手段36eは、削除対象VPN検索手段36dにより検索されるVPNの有効期限などを確認して、使用可否を判断する。グループ情報更新手段36fは、使用可否判断手段36eにより使用不可とされると、グループ情報データベースから検索されたVPNのグループ情報に含まれるユーザ情報を削除する。判断通知情報署名手段36gは、VPNサービス提供者秘密鍵を使用して、使用不可と判断してユーザ情報を削除したことや鍵IDなどを含む判断通知情報に署名する。
図12は、VPN通信システムにおけるVPN鍵無効処理の手順を示す図である。尚、ユーザ端末5aが削除要求を行い、削除要求の対象となるVPNにユーザ端末5bが参加しているものとする。
ユーザ端末5aにおいて、属性検証手段56bは、使用したいVPN鍵の属性を検証する(S601)。そして、VPN鍵を使用できない場合、暗号鍵削除手段56cは、e−Keyチップ6aからVPN鍵を削除する(S602)。続いて、情報削除要求署名手段56dは、サービスAP秘密鍵を使用して、鍵IDと情報削除要求とに署名する(S603)。そして、送受信手段56aからVPNサービス提供センタ3へ署名の付いた情報削除要求と鍵ID、及びサービスAP公開鍵証明書が送信される(S604)。
VPNサービス提供センタ3において、送受信手段36aによりユーザ端末5aから署名の付いた情報削除要求と鍵IDやサービスAP公開鍵証明書が受信されると、サービスAP公開鍵証明書検証手段36bは、サービスAP公開鍵証明書を検証する(S605)。続いて、サービスAP公開鍵証明書が正しいと判断されると、削除要求署名検証手段36cは、サービスAP公開鍵を使用して情報削除要求の署名(S603の署名)を検証する(S606)。さらに続いて、署名が正しいと判断されると、削除対象VPN検索手段36dは、削除対象のVPNを検索する(S607)。続いて、使用可否判断手段36eは、VPN鍵の使用可否を判断する(S608)。そして、使用不可と判断されると、グループ情報更新手段36fは、グループ情報データベースからユーザ情報を削除する(S609)。また、判断通知情報署名手段36gは、サービス提供者秘密鍵を使用して判断通知情報に署名する(S610)。そして、送受信手段36aによりユーザ端末5aへ署名の付いた判断通知情報が送信される(S611)、削除対象のVPNに属する他のユーザ端末5bへVPN鍵が無効になったメンバーを通知する(S613)。
ユーザ端末5aにおいて、送受信手段56aにより判断通知情報が受信されると、判断通知情報署名検証手段56eは、サービス提供者公開鍵を使用して判断通知情報の署名(S610の署名)を検証する(S612)。この後、判断通知情報を解析することにより、VPNサービス提供センタ3のグループ情報データベースから自己のユーザ情報が削除されたことを知ることができる。
尚、上記VPN鍵生成処理又はVPN鍵共有処理を複数回行うことにより、複数の異なるVPN鍵をe−Keyチップ6a〜6fに格納することができる。
以上説明した実施の形態によれば、e−Keyチップ6a〜6fに格納されているVPN鍵を使用してVPN接続の構築を行うので、VPNサービス提供センタが動作していなくても、同じVPNに属するユーザ端末間でVPN接続の構築を行うことができる。また、VPN接続時のユーザ端末の負荷が軽減される(VPN接続のたびにセンタに暗号鍵を要求する処理などが不要になる)ため、多数のユーザ端末のVPN接続にも対応できる。さらに、安全な情報サービスの仕組みが必要な様々なサービス(会員制サービス、コンテンツ配信、情報機器のリモートメンテナンスなど)を提供するネットワーク基盤を構築することができる。また、VPNサービス提供センタによりユーザなどを管理しているため、例えば、ユーザなどに対する課金などを行うサービスを実現できる。
尚、上記機器登録処理、VPNサービスダウンロード処理、VPN鍵生成処理、VPN鍵共有処理、VPN構築処理、VPN無効処理において説明した各装置を構成する各手段の夫々で実行される手順をプログラムの形式でコンピュータが読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行することにより本発明の各装置が実現されるようにしてもよい。そして、このように実現された各装置を利用して上記各処理が実行されるようにしてもよい。ここでコンピュータが読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
以上、本発明の好適な実施の形態について説明したが、本発明は上述の実施の形態に限られるものではなく、特許請求の範囲に記載した限りにおいて様々な設計変更が可能なものになっている。
本発明の実施の形態におけるVPN通信システムの概要を示す図。 VPN通信システムの機器登録処理に関連する構成を示す図。 VPN通信システムの機器登録処理の手順を示す図。 VPN通信システムのVPNサービスダウンロード処理に関連する構成を示す図。 VPN通信システムのVPNサービスダウンロード処理の手順を示す図。 VPN通信システムのVPN鍵生成処理に関連する構成を示す図。 VPN通信システムのVPN鍵生成処理の手順を示す図。 VPN通信システムのVPN鍵共有処理に関連する構成を示す図。 VPN通信システムのVPN鍵共有処理の手順を示す図。 VPN通信システムのVPN構築処理の手順を示す図。 VPN通信システムのVPN鍵無効処理に関連する構成を示す図。 VPN通信システムのVPN鍵無効処理の手順を示す図。
符号の説明
1 VPN通信システム、 2 チップ管理センタ、 3 VPNサービス提供センタ、 4 本人確認サービスセンタ、 5a〜5f ユーザ端末、 6a〜6f e−Keyチップ

Claims (3)

  1. セキュアチップを搭載した通信端末と、前記セキュアチップを管理するチップ管理センタと、同じVPNに属する前記通信端末間で通信を行うためのVPNサービス用アプリケーションを提供するVPNサービス提供センタとを備えたVPN通信システムであって、
    前記通信端末は、
    前記セキュアチップの秘密鍵を使用して前記セキュアチップのチップ情報と前記セキュアチップの公開鍵とを含む登録情報に署名する登録情報署名手段と、
    前記チップ管理センタのチップ管理者の公開鍵を使用して、前記登録情報署名手段により署名の付いた前記登録情報を暗号化登録情報に暗号化する登録情報暗号化手段と、
    前記登録情報暗号化手段による暗号化により得られた前記暗号化登録情報を前記チップ管理センタへ送信する暗号化登録情報送信手段と、
    前記チップ管理センタからチップ公開鍵証明書を受信するチップ公開鍵証明書受信手段と、
    前記チップ公開鍵証明書受信手段により受信された前記チップ公開鍵証明書の正当性を確認するチップ公開鍵証明書確認手段と、
    前記チップ公開鍵証明書を前記セキュアチップに格納するチップ公開鍵証明書格納手段と、
    前記セキュアチップの秘密鍵を使用して、前記VPNサービス提供センタに対してVPNサービス用アプリケーションの提供を要求するサービス提供要求に署名するサービス提供要求署名手段と、
    前記サービス提供要求署名手段により署名の付いたサービス提供要求と前記セキュアチップに格納されている前記セキュアチップの公開鍵を含むチップ公開鍵証明書とを前記VPNサービス提供センタへ送信するサービス提供要求手段と、
    前記VPNサービス提供センタから前記VPNサービス用アプリケーションを受信するサービス受信手段と、
    前記サービス受信手段により受信される前記VPNサービス用アプリケーションを前記セキュアチップにインストールするサービスインストール手段と、を備えており、
    インストールされた前記VPNサービス用アプリケーションを使用して、同じVPNに属する前記通信端末間で暗号化通信を行い、
    前記チップ管理センタは、
    前記通信端末から前記暗号化登録情報を受信する暗号化登録情報受信手段と、
    前記チップ管理センタのチップ管理者の秘密鍵を使用して、前記暗号化登録情報受信手段により受信された前記暗号化登録情報を前記署名の付いた前記登録情報に復号化する登録情報復号化手段と、
    前記登録情報復号化手段による復号化により得られる前記登録情報の署名を、当該登録情報に含まれる前記セキュアチップの公開鍵を使用して検証する登録情報署名検証手段と、
    前記通信端末に送信する前記セキュアチップの公開鍵を含むチップ公開鍵証明書を作成するチップ公開鍵証明書作成手段と、
    前記登録情報復号化手段による復号化により得られた前記登録情報をチップデータベースに登録する登録情報登録手段と、
    前記チップ公開鍵証明書作成手段により作成されたチップ公開鍵証明書を前記通信端末へ送信するチップ公開鍵証明書送信手段と、
    を備えており、
    前記VPNサービス提供センタは、
    前記通信端末から前記署名の付いたサービス提供要求と前記チップ公開鍵証明書とを受信するサービス提供要求受信手段と、
    前記サービス提供要求受信手段により受信される前記チップ公開鍵証明書に含まれる前記セキュアチップの公開鍵を使用して、前記サービス提供要求受信手段により受信されるサービス提供要求の署名を検証するサービス提供要求署名検証手段と、
    前記サービス提供要求署名検証手段による検証の結果に応じて、VPNサービス用アプリケーションのダウンロードの可否を判断する転送可否判断手段と、
    前記転送可否判断部によって前記ダウンロードが許可されると、前記VPNサービス用アプリケーションを前記通信端末へ転送するサービス転送手段と、
    を備えたことを特徴とするVPN通信システム。
  2. 前記通信端末は、
    前記VPNサービス用アプリケーションを受信した後に、前記VPNサービス用アプリケーションの秘密鍵と、前記VPNサービス用アプリケーションの公開鍵と、前記VPNサービス用アプリケーションの公開鍵証明書と、前記サービス提供センタを管理するサービス提供者の公開鍵とが格納され、
    前記セキュアチップに格納された前記VPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに、同じVPNに属する前記通信端末間で通信を行うための通信用暗号鍵の生成を要求する暗号鍵生成要求に署名する暗号鍵生成要求署名手段と、
    前記サービス提供者の公開鍵を使用して前記暗号鍵生成要求署名手段により署名の付いた前記暗号鍵生成要求を暗号化暗号鍵生成要求に暗号化する暗号鍵生成要求暗号化手段と、
    前記暗号鍵生成要求暗号化手段による暗号化により得られる暗号化暗号鍵生成要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵生成要求送信手段と、
    前記サービス提供センタから署名の付いた暗号化生成暗号鍵情報を受信する生成暗号鍵情報受信手段と、
    前記サービス提供者の公開鍵を使用して、前記生成暗号鍵情報受信手段により受信される前記暗号化生成暗号鍵情報の署名を検証する生成暗号鍵情報署名検証手段と、
    前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化生成暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む生成暗号鍵情報に復号化する生成暗号鍵情報復号化手段と、
    前記生成暗号鍵情報復号化手段による復号化により得られる生成暗号鍵情報を前記セキュアチップにインストールする生成暗号鍵情報インストール手段と、を備えており、
    インストールされた前記生成暗号鍵情報を使用して、当該生成暗号鍵情報に含まれる前記通信用暗号鍵と同じ通信用暗号鍵が格納されている他の前記通信端末との間で暗号化通信を行い、
    前記サービス提供センタは、
    前記通信端末から前記暗号化暗号鍵生成要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵生成要求受信手段と、
    前記暗号鍵生成要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、
    前記サービス提供者の秘密鍵を使用して、前記暗号鍵生成要求受信手段により受信される前記暗号化暗号鍵生成要求を前記署名の付いた前記暗号鍵生成要求に復号化する暗号鍵生成要求復号化手段と、
    前記VPNサービス用アプリケーションの公開鍵を使用して、前記暗号鍵生成要求復号化手段による復号化により得られる前記暗号鍵生成要求の署名を検証する生成要求署名検証手段と、
    前記通信端末に配布する通信用暗号鍵を生成する通信用暗号鍵生成手段と、
    前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とをグループ情報データベースに登録するグループ情報格納手段と、
    前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵生成手段により生成される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む生成暗号鍵情報を暗号化生成暗号鍵情報に暗号化する生成暗号鍵情報暗号化手段と、
    前記サービス提供者の秘密鍵を使用して、前記生成暗号鍵暗号化手段による暗号化により得られる前記暗号化生成暗号鍵情報に署名する生成暗号鍵情報署名手段と、
    前記生成暗号鍵情報署名手段により署名の付いた前記暗号化生成暗号鍵情報を前記通信端末へ送信する生成暗号鍵情報送信手段と、
    を備えたことを特徴とする請求項1に記載のVPN通信システム。
  3. 前記通信端末は、
    前記VPNサービス用アプリケーションの秘密鍵を使用して、前記サービス提供センタに前記通信用暗号鍵の共有を要求する暗号鍵共有要求に署名する暗号鍵共有要求署名手段と、
    前記サービス提供センタを管理するサービス提供者の公開鍵を使用して前記暗号鍵共有要求署名手段により署名の付いた前記暗号鍵共有要求を暗号化暗号鍵共有要求に暗号化する暗号鍵共有要求暗号化手段と、
    前記暗号鍵共有要求暗号化手段による暗号化により得られる暗号化暗号鍵共有要求と、前記セキュアチップに格納されているVPNサービス用アプリケーションの公開鍵証明書とを前記サービス提供センタへ送信する暗号鍵共有要求送信手段と、
    前記サービス提供センタから署名の付いた暗号化共有暗号鍵情報を受信する共有暗号鍵情報受信手段と、
    前記サービス提供者の公開鍵を使用して、前記共有暗号鍵情報受信手段により受信される前記暗号化共有暗号鍵情報の署名を検証する共有暗号鍵情報署名検証手段と、
    前記VPNサービス用アプリケーションの秘密鍵を使用して前記暗号化共有暗号鍵情報を通信暗号鍵と当該通信暗号鍵の識別子とを含む共有暗号鍵情報に復号化する共有暗号鍵情報復号化手段と、
    前記共有暗号鍵情報復号化手段による復号化により得られる前記共有暗号鍵情報を前記セキュアチップにインストールする共有暗号鍵情報インストール手段と、を備えており、
    インストールされた前記共有暗号鍵情報を使用して、当該共有暗号鍵情報に含まれる前記通信用暗号鍵と同じ通信用暗号鍵が格納されている他の前記通信端末との間で暗号化通信を行い、
    前記サービス提供センタは、
    前記通信端末から前記暗号化暗号鍵共有要求と、前記VPNサービス用アプリケーションの公開鍵証明書とを受信する暗号鍵共有要求受信手段と、
    前記暗号鍵共有要求受信手段により受信される前記VPNサービス用アプリケーションの公開鍵証明書を検証するサービス公開鍵証明書検証手段と、
    前記サービス提供者の公開鍵を使用して、前記暗号鍵共有要求受信手段により受信される前記暗号化暗号鍵共有要求を前記署名の付いた前記暗号鍵共有要求に復号化する暗号鍵共有要求復号化手段と、
    前記サービス提供者の秘密鍵を使用して、前記暗号鍵共有要求復号化手段による復号化により得られる前記暗号鍵共有要求の署名を検証する共有要求署名検証手段と、
    前記通信端末から送信された前記暗号鍵共有要求に対応する前記通信用暗号鍵をグループ情報データベースから検索する通信用暗号鍵検索手段と、
    前記VPNサービス用アプリケーションの公開鍵を使用して、前記通信用暗号鍵検索手段により検索される前記通信用暗号鍵と当該通信用暗号鍵の識別子とを含む共有暗号鍵情報を暗号化共有暗号鍵情報に暗号化する共有暗号鍵情報暗号化手段と、
    前記サービス提供者の秘密鍵を使用して、前記共有暗号鍵暗号化手段による暗号化により得られる前記暗号化共有暗号鍵情報に署名する共有暗号鍵情報署名手段と、
    前記共有暗号鍵情報署名手段により署名の付いた前記暗号化共有暗号鍵情報を前記通信端末へ送信する共有暗号鍵情報送信手段と、
    を備えたことを特徴とする請求項2に記載のVPN通信システム。
JP2003285944A 2003-08-04 2003-08-04 Vpn通信システム Expired - Lifetime JP4467923B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003285944A JP4467923B2 (ja) 2003-08-04 2003-08-04 Vpn通信システム
KR20067002222A KR100754556B1 (ko) 2003-08-04 2004-08-03 Vpn 통신 시스템
PCT/JP2004/011415 WO2005013552A1 (ja) 2003-08-04 2004-08-03 Vpn通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003285944A JP4467923B2 (ja) 2003-08-04 2003-08-04 Vpn通信システム

Publications (2)

Publication Number Publication Date
JP2005057479A JP2005057479A (ja) 2005-03-03
JP4467923B2 true JP4467923B2 (ja) 2010-05-26

Family

ID=34113913

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003285944A Expired - Lifetime JP4467923B2 (ja) 2003-08-04 2003-08-04 Vpn通信システム

Country Status (3)

Country Link
JP (1) JP4467923B2 (ja)
KR (1) KR100754556B1 (ja)
WO (1) WO2005013552A1 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4498165B2 (ja) * 2005-02-10 2010-07-07 株式会社エヌ・ティ・ティ・データ 暗号通信鍵管理装置及びプログラム
JP4684100B2 (ja) * 2005-12-26 2011-05-18 株式会社日立製作所 認証システムおよび認証方法
JP4692600B2 (ja) * 2008-09-25 2011-06-01 富士ゼロックス株式会社 情報処理装置、通信システム、及びプログラム
JP5591037B2 (ja) * 2010-09-14 2014-09-17 パナソニック株式会社 電子情報導入システム、端末装置、サーバ装置、電子情報導入方法およびプログラム
CN103841479B (zh) 2012-11-20 2017-08-08 清华大学 耳机
CN103841504B (zh) 2012-11-20 2017-12-01 清华大学 热致发声器阵列
CN103841480B (zh) 2012-11-20 2017-04-26 清华大学 耳机
CN103841482B (zh) 2012-11-20 2017-01-25 清华大学 耳机
CN103841500B (zh) 2012-11-20 2018-01-30 清华大学 热致发声装置
CN103841503B (zh) 2012-11-20 2017-12-01 清华大学 发声芯片
CN103841481B (zh) 2012-11-20 2017-04-05 清华大学 耳机
CN103841502B (zh) 2012-11-20 2017-10-24 清华大学 发声装置
CN103841507B (zh) 2012-11-20 2017-05-17 清华大学 热致发声装置的制备方法
CN103841478B (zh) 2012-11-20 2017-08-08 清华大学 耳机
CN103841501B (zh) 2012-11-20 2017-10-24 清华大学 发声芯片
CN103841506B (zh) 2012-11-20 2017-09-01 清华大学 热致发声器阵列的制备方法
CN103841483B (zh) 2012-11-20 2018-03-02 清华大学 耳机
JP6659220B2 (ja) * 2015-01-27 2020-03-04 ルネサスエレクトロニクス株式会社 通信装置、半導体装置、プログラムおよび通信システム
JP6988525B2 (ja) 2018-01-30 2022-01-05 富士通株式会社 登録システムおよび登録方法
CN114050931B (zh) * 2021-11-10 2024-05-28 湖北天融信网络安全技术有限公司 一种数据传输的方法、装置、电子设备及可读存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS619052A (ja) * 1984-06-25 1986-01-16 Toshiba Corp 通信ネツトワ−クシステム
JPH09219700A (ja) * 1996-02-09 1997-08-19 Toppan Printing Co Ltd データ通信システム、データ通信装置、およびicカード
JPH10322328A (ja) * 1997-05-20 1998-12-04 Mitsubishi Electric Corp 暗号通信システム及び暗号通信方法
JP2000059357A (ja) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> 閉域グループ通信システム,管理サーバ装置および通信端末,ならびにそれらのプログラム記憶媒体

Also Published As

Publication number Publication date
KR100754556B1 (ko) 2007-09-05
JP2005057479A (ja) 2005-03-03
WO2005013552A1 (ja) 2005-02-10
KR20060059993A (ko) 2006-06-02

Similar Documents

Publication Publication Date Title
JP4467923B2 (ja) Vpn通信システム
TWI248273B (en) Network connection system and connection method using the same, authentication server, client apparatus and connection server
JP2022507151A (ja) 安全な無線ファームウェアアップグレード
EP1473869A1 (en) Universal secure messaging for cryptographic modules
KR100721522B1 (ko) 위치토큰을 이용한 위치기반 서비스 제공 방법
EP3293995B1 (en) Locking system and secure token and ownership transfer
JP2006203936A (ja) セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置
TW201012166A (en) Virtual subscriber identity module
JP4803145B2 (ja) 鍵共有方法、鍵配信システム
JP6667371B2 (ja) 通信システム、通信装置、通信方法、及びプログラム
JP2008099267A (ja) ネットワーク内で無線端末と設備との間のセッションを保護する方法
JP2007219935A (ja) 分散認証システム及び分散認証方法
JP4339234B2 (ja) Vpn接続構築システム
WO2008029723A1 (fr) Système de gestion d&#39;utilisation de données
JP5391829B2 (ja) 鍵管理システム、鍵管理方法、サーバ装置及びプログラム
EP1843274B1 (en) Digital rights management system
JP5012574B2 (ja) 共通鍵自動共有システム及び共通鍵自動共有方法
WO2019163040A1 (ja) アクセス管理システム、及びそのプログラム
JP3770173B2 (ja) 共通鍵管理システムおよび共通鍵管理方法
KR20040097016A (ko) 암호화를 활용한 웹저장공간 제공 서비스 시스템 및 방법
KR20070062632A (ko) 암호화를 통한 이동통신 메시지 및 파일 보안 제공 방법
JP3914193B2 (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP4641148B2 (ja) 個人情報開示システム、個人情報開示方法および個人情報開示プログラム
JPH11331145A (ja) 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体
JP2008085415A (ja) 認証システム、移動体通信端末、認証装置、および、プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100216

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100224

R150 Certificate of patent or registration of utility model

Ref document number: 4467923

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140305

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term