JP4498165B2 - Encryption communication key management apparatus and program - Google Patents
Encryption communication key management apparatus and program Download PDFInfo
- Publication number
- JP4498165B2 JP4498165B2 JP2005034267A JP2005034267A JP4498165B2 JP 4498165 B2 JP4498165 B2 JP 4498165B2 JP 2005034267 A JP2005034267 A JP 2005034267A JP 2005034267 A JP2005034267 A JP 2005034267A JP 4498165 B2 JP4498165 B2 JP 4498165B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- communication
- parameter
- communication partner
- key data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims description 133
- 238000004891 communication Methods 0.000 title claims description 132
- 230000006870 function Effects 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 238000000034 method Methods 0.000 description 33
- 230000004044 response Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
この発明は、ネットワークを介した暗号通信において使用される暗号鍵を生成・管理するための暗号通信鍵管理装置等に関する。 The present invention relates to an encryption communication key management apparatus for generating and managing encryption keys used in encryption communication via a network.
インターネット等のネットワークを介した通信をより安全に行うためのVPN(Virtual Private Network)と呼ばれる暗号通信技術が知られている。VPNでは、IPsec(IP Security)と呼ばれるセキュリティプロトコルとIKE(Internet Key Exchange)と呼ばれる鍵交換プロトコルを採用している。このIKEによる鍵交換方法では、共有鍵(セキュアチャネル鍵)について所定の暗号化処理等を行うことにより通信データを暗号化するためのセッション鍵を取得する。このセッション鍵(暗号通信鍵)は一定時間毎等の所定のタイミングで更新される。 An encryption communication technique called VPN (Virtual Private Network) for performing communication via a network such as the Internet more securely is known. VPN employs a security protocol called IPsec (IP Security) and a key exchange protocol called IKE (Internet Key Exchange). In this IKE key exchange method, a session key for encrypting communication data is obtained by performing predetermined encryption processing or the like on a shared key (secure channel key). This session key (encrypted communication key) is updated at a predetermined timing such as every predetermined time.
また、ICカードに格納された鍵を用いて暗号通信を行うことにより、通信機器間での暗号通信を安全に行うためのシステムもある(特許文献1)。 There is also a system for safely performing encrypted communication between communication devices by performing encrypted communication using a key stored in an IC card (Patent Document 1).
しかし、上記のIKEによる鍵交換方式等では、セッション鍵を得るためのセキュアチャネル鍵等の暗号化処理に長時間を要するため、スループットが低下してしまうという問題があった。
また、通信機器の内部を分解・解析することで、鍵に関する情報が不正に取得されてしまう虞があった。
However, the IKE key exchange method described above has a problem that throughput is reduced because it takes a long time to encrypt a secure channel key or the like for obtaining a session key.
Further, there is a possibility that information on the key is illegally acquired by disassembling and analyzing the inside of the communication device.
本発明は、上記実状に鑑みてなされたものであり、暗号通信処理の処理効率を向上させることができる暗号通信鍵管理装置等を提供することを目的とする。
また、本発明は、より安全に暗号通信処理を行うことができる暗号通信鍵管理装置等を提供することを他の目的とする。
The present invention has been made in view of the above circumstances, and an object thereof is to provide an encryption communication key management apparatus and the like that can improve the processing efficiency of encryption communication processing.
Another object of the present invention is to provide an encryption communication key management apparatus and the like that can perform encryption communication processing more safely.
上記目的を達成するため、この発明の第1の観点に係る暗号通信鍵管理装置は、
自己と通信相手である通信相手装置との秘密鍵と公開鍵を用いる鍵交換プロトコルにより、共有鍵情報を取得する手段と、
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段と、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段と、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段と、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段と、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段と、
を備えることを特徴とする。
In order to achieve the above object, an encryption communication key management apparatus according to the first aspect of the present invention provides:
Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of sets of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
Obtaining means for accessing the memory area using the obtained one parameter and obtaining key data;
Means for outputting the key data obtained by the obtaining means as session key data;
It is characterized by providing.
当該暗号通信鍵管理装置はICチップによって実現されてもよい。 The encryption communication key management apparatus may be realized by an IC chip.
前記他方のパラメータは、前記通信相手装置としての通信相手の暗号通信鍵管理装置により、当該通信相手の暗号通信鍵管理装置のメモリ領域に格納された鍵データにアクセスする際の認証に使用されてもよい。 The other parameter is used for authentication at the time of accessing key data stored in the memory area of the encryption communication key management device of the communication partner by the encryption communication key management device of the communication partner as the communication partner device. Also good.
また、この発明の第2の観点に係るプログラムは、
コンピュータを、
自己と通信相手である通信相手装置との秘密鍵と公開鍵を用いる鍵交換プロトコルにより、共有鍵情報を取得する手段、
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段、
として機能させる。
A program according to the second aspect of the present invention is
Computer
Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
An acquisition means for accessing the memory area using the acquired one parameter and acquiring key data;
Means for outputting the key data obtained by the obtaining means as session key data;
To function as.
本発明によれば、暗号通信処理の処理効率を向上させることができる。また、より安全に暗号通信処理を行うことができる。 According to the present invention, the processing efficiency of encryption communication processing can be improved. In addition, the encryption communication process can be performed more safely.
以下、本発明の実施形態に係る暗号通信鍵管理装置について図面を参照して説明する。なお、本実施形態では、暗号通信鍵管理装置をICチップにより実現した場合を例に説明する。
本発明の実施形態に係る暗号通信鍵管理装置(ICチップ)を含む通信システムの構成例を図1に示す。この通信システムはICチップ1が装着された通信機器2を備え、各通信機器2はネットワーク10を介して接続されている。
Hereinafter, an encryption communication key management apparatus according to an embodiment of the present invention will be described with reference to the drawings. In the present embodiment, a case where the encryption communication key management apparatus is realized by an IC chip will be described as an example.
FIG. 1 shows a configuration example of a communication system including an encryption communication key management device (IC chip) according to an embodiment of the present invention. This communication system includes a
ICチップ1は、CPU11と、メモリ12と、入出力I/F(インタフェース)13と、を備える。
CPU11は、メモリ12に記憶される動作プログラムを実行することにより、通信機器2間でやり取りするデータを暗号化するための鍵(セッション鍵)の生成・管理に関する共有鍵情報取得処理、セッション鍵出力処理等を行う。なお、共有鍵情報取得処理、セッション鍵出力処理において、通信相手先のICチップ1とのデータのやり取りは、ICチップ1が装着されている通信機器2を介して行う。
The
The
共有鍵情報取得処理では、CPU11は、メモリ12に記憶されている公開鍵ペア(公開鍵証明書と秘密鍵)を用いて、通信相手のICチップ1との間でチャレンジ・レスポンス認証処理等を行い、互いに識別認証(相互認証)する。そして、識別認証が相互に成功した場合、CPU11は、公開鍵ペア、識別認証で生成した乱数等を用いて、DH(Diffie-Hellman)法等の鍵交換プロトコルに従って相手先のICチップ1との間で鍵交換処理を行い、共有鍵情報を取得する。そして、CPU11は、取得した共有鍵情報から、鍵データSKi(i=1〜n)と、IDiと、鍵データSKiを管理するパラメータVAKi及びVBKiと、を複数組抽出する。具体的には、例えば共有鍵情報を予め定められたサイズで区切ることにより、鍵データSKi、IDi、パラメータVAKi、パラメータVBKiを抽出してもよい。
In the shared key information acquisition process, the
そして、CPU11は、抽出した各鍵データSKi、IDi、パラメータVAKi、パラメータVBKiをメモリ12の所定領域に記憶する。具体的には、ICチップ1が相互認証の開始側である場合には、パラメータVAKiを、相手先に供給する「鍵(相手側の鍵データSKiを取り出すために必要とされる鍵)」としてIDiに対応付けてメモリ12の所定領域Xに格納し、また、相互認証認証の応答側である場合には、パラメータVBKiを、相手先に供給する「鍵」としてIDiに対応付けて所定領域Xに格納する。この「鍵」として格納されたパラメータには、鍵として格納されたということを示す「鍵識別コード」を付与する。また、CPU11は、相互認証の開始側である場合には、メモリ12の所定領域Yに、相手先のメモリ領域に「鍵」として格納されるパラメータ(VBKi)を「錠」としてIDiに対応付けて鍵データSKiを格納し、また、相互認証の応答側である場合には、メモリ12の所定領域Yに、相手先のメモリ領域に「鍵」として格納されるパラメータ(VAKi)を「錠」としてIDiに対応付けて鍵データSKiを格納する。これにより、ICチップ1のメモリ12の領域X、Yには、通信相手のICチップ1と対向する形で、鍵データや鍵を管理するパラメータが格納される。
Then, the
セッション鍵出力処理では、領域Xに格納されているパラメータ(VAKi又はVBKi)を相手先のICチップ1に対してIDiとともに送信し、相手先のICチップ1から受け取ったパラメータ(VBKi又はVAKi)を用いてメモリ12の領域Yにアクセスして鍵データSKi(セッション鍵)を取得し、通信機器2に対して出力する。
In the session key output process, the parameter (VAKi or VBKi) stored in the area X is transmitted to the
メモリ12は、ROM、RAM等から構成され、CPU11が実行するための動作プログラム及び処理に必要な各種データ、ICチップ1の公開鍵ペア(公開鍵証明書(公開鍵を含む)と秘密鍵)等を記憶する。また、メモリ12は、パラメータVAKi又はVBKiがIDiと対応付けて記憶される領域Xと、鍵データSKiがIDiに対応付けて記憶される領域Yと、を備える。領域Y内の鍵データSKiの格納領域は、パラメータVBKi又はVAKiを鍵とするアクセス制御がなされる領域である。
入出力I/F13は、ICチップ1と通信機器2との間の通信を制御する。
The
The input / output I /
通信機器2は、例えばルータ、パーソナルコンピュータ、携帯端末等を含み、制御部21、記憶部22、通信部23、入出力I/F24と、を備えるコンピュータから構成される。
制御部21は、CPU、ROM、RAM等より構成され、記憶部22に記憶される動作プログラムを実行することにより、他の通信機器2との暗号通信等の各種処理を行う。他の通信機器2との暗号通信処理では、ICチップ1と連動して、通信データを暗号化/復号化するためのセッション鍵を取得し、取得したセッション鍵を用いて暗号通信を行う。
記憶部22は、例えばハードディスク装置等から構成され、制御部21により実行されるプログラム及び各種データ等を記憶する。
通信部23は、ネットワーク10を介した他の通信機器2とのデータ通信を行う。
入出力I/F24は、ICチップ1との通信を制御する。
The
The
The
The
The input / output I /
次に、本実施形態に係る暗号通信鍵管理装置(ICチップ1)の処理動作を、2つの通信機器2A、2Bの間で暗号通信を行う場合を例に説明する。初めに、共有鍵情報取得処理について図2のフローチャートを参照して具体的に説明する。なお、以下の共有鍵情報取得処理及びセッション鍵出力処理の説明において、通信機器2A、2Bに装着されているICチップ1をそれぞれICチップ1A、1Bと呼び、ICチップ1A、1BにおけるCPU11をそれぞれCPU11A、CPU11Bと呼ぶ。
Next, the processing operation of the cryptographic communication key management apparatus (IC chip 1) according to the present embodiment will be described by taking as an example a case where cryptographic communication is performed between the two
例えば通信機器2Aは、通信機器2Bと暗号通信を行うために、ICチップ1Aに対して暗号通信開始要求を送信する。この要求に応答して、ICチップ1AのCPU11Aは、通信機器1Aを介して、通信相手先の通信機器1Bに装着されているICチップ1Bに対して相互認証要求を送信する。そして、ICチップ1A、1BのCPU11A、11Bは、チャレンジ・レスポンス認証処理等の相互認証処理を行う(ステップS1)。
ステップS1の認証が成功した場合(ステップS2:YES)、ICチップ1A、1BのCPU11Aは、例えば、相互認証で用いた公開鍵ペアや生成した乱数等を用いて、DH(Diffie-Hellman)法等の鍵交換プロトコルに従って相手先のICチップ1との間で鍵交換処理を行って共有鍵情報を生成・取得し、これを例えば予め定められたサイズで区切る等して、鍵データSKi(i=1〜n)、IDi、パラメータVAKi、パラメータVBKiを複数組(n組)抽出する(ステップS3)。
For example, the communication device 2A transmits an encrypted communication start request to the IC chip 1A in order to perform encrypted communication with the
When the authentication in step S1 is successful (step S2: YES), the CPU 11A of the IC chips 1A and 1B uses, for example, a public key pair used in mutual authentication, a generated random number, or the like to use the DH (Diffie-Hellman) method. The key data SKi (i) is generated by performing key exchange processing with the
次に、CPU11A、11Bは、自己が相互認証の開始側であるか否かを判別する(ステップS4)。
ICチップ1Aの場合、相互認証の開始側であるため(ステップS4:YES)、ICチップ1AのCPU11Aは、変数i=1を設定した後(ステップS5)、パラメータVAKiを、鍵として格納されたということを示す「鍵識別コード」を付与し、IDiに対応付けて、アクセスフリーの領域Xに保管(記憶)する(ステップS6)。このパラメータVAKiは、相手先のICチップ1Bから鍵データSKiを取り出すために必要な鍵として機能する。
次に、CPU11Aは、鍵データSKiを、IDiに対応付けて、アクセスが制御される領域Yに保管(記憶)する(ステップS7)。CPU11Aは、この領域Yについて、鍵データSKiの領域にアクセスの際には「鍵識別コード」が付与されたパラメータVBKiによる認証が必要であるよう設定する。
次に、CPU11Aは、iに1だけ加算し(ステップS8)、iがnを超えたか(すなわち、抽出した全ての鍵データSKiやパラメータVAKi、VBKi等について上記処理が終了したか)を判定し(ステップS9)、iがnを超えていない場合には(ステップS9:NO)、ステップS6に戻る。また、iがnを超えた場合には(ステップS9:YES)、共有鍵情報取得処理を終了する。
Next, CPU11A, 11B discriminate | determines whether self is the start side of mutual authentication (step S4).
In the case of the IC chip 1A, since it is a mutual authentication start side (step S4: YES), the CPU 11A of the IC chip 1A sets the variable i = 1 (step S5), and then stores the parameter VAKi as a key. Is stored (stored) in the access-free area X in association with IDi (step S6). This parameter VAKi functions as a key necessary for extracting key data SKi from the counterpart IC chip 1B.
Next, the CPU 11A stores (stores) the key data SKi in the area Y where access is controlled in association with IDi (step S7). The CPU 11A sets the area Y so that it is necessary to authenticate with the parameter VBKi to which the “key identification code” is assigned when accessing the area of the key data SKi.
Next, the CPU 11A adds 1 to i (step S8), and determines whether i exceeds n (that is, whether the above processing is completed for all extracted key data SKi, parameters VAKi, VBKi, etc.). (Step S9) When i does not exceed n (Step S9: NO), the process returns to Step S6. If i exceeds n (step S9: YES), the shared key information acquisition process ends.
一方、ステップS4において、通信機器2Aの通信相手先の通信機器2Bに装着されているICチップ1Bの場合、相互認証の応答側であるため(ステップS4:NO)、ICチップ1BのCPU11Bは、変数i=1を設定した後(ステップS10)、パラメータVBKiを、「鍵識別コード」を付与し、IDiに対応付けて、アクセスフリーの領域Xに保管(記憶)する(ステップS11)。このパラメータVBKiは、相手先のICチップ1Aから鍵データSKiを取り出すために必要な鍵として機能する。
次に、CPU11Bは、鍵データSKiを、IDiに対応付けて、アクセスが制御される領域Yに保管(記憶)する(ステップS12)。CPU11Bは、この領域Yについて、鍵データSKiの領域にアクセスの際には「鍵識別コード」が付与されたパラメータVAKiによる認証が必要であるよう設定する。
次に、CPU11Bは、iに1だけ加算し(ステップS13)、iがnを超えたか(すなわち、抽出した全ての鍵データSKiやパラメータVAKi、VBKi等について上記処理が終了したか)を判定し(ステップS14)、iがnを超えていない場合には(ステップS14:NO)、ステップS11に戻る。また、iがnを超えた場合には(ステップS14:YES)、共有鍵情報取得処理を終了する。
On the other hand, in the case of the IC chip 1B attached to the
Next, the CPU 11B stores (stores) the key data SKi in the area Y where access is controlled in association with IDi (step S12). The CPU 11B sets the area Y so that authentication by the parameter VAKi to which the “key identification code” is given is necessary when accessing the area of the key data SKi.
Next, the CPU 11B adds 1 to i (step S13), and determines whether i exceeds n (that is, whether the above processing has been completed for all extracted key data SKi, parameters VAKi, VBKi, etc.). (Step S14) If i does not exceed n (Step S14: NO), the process returns to Step S11. If i exceeds n (step S14: YES), the shared key information acquisition process ends.
なお、ステップS2の認証が失敗した場合(ステップS2:NO)、エラー信号を各通信機器2に送る等の所定のエラー処理を行う(ステップS15)。
When the authentication in step S2 fails (step S2: NO), predetermined error processing such as sending an error signal to each
例えば、上述した共有鍵情報取得処理が終了すると、次に、各ICチップ1A、1Bでは、セッション鍵出力処理が実行される。このセッション鍵出力処理について、図3のフローチャートを参照して説明する。 For example, when the above-described shared key information acquisition process is finished, next, each IC chip 1A, 1B executes a session key output process. This session key output process will be described with reference to the flowchart of FIG.
CPU11A、Bは、変数iに1を設定した後(ステップS21)、自己が先の共有鍵情報取得処理における相互認証の開始側であるか否かを判別する(ステップS22)。
ICチップ1Aの場合、相互認証の開始側であるため(ステップS22:YES)、ICチップ1AのCPU11Aは、メモリ12の領域Xから、IDiと対応するパラメータ(この場合VAKi)を読み出し、相手先のICチップ1Bに対して出力する(ステップS23)。出力されたパラメータVAKiは、通信機器2Aによりネットワーク10を介して通信機器2Bに送信され、ICチップ1Bに渡される。
次に、ICチップ1AのCPU11Aは、通信機器1Aが受信した、相手先のICチップ2Bから出力されたIDiとパラメータVBKiを受け取ると(ステップS24)、そのパラメータVBKiを鍵にして、メモリ12の領域YにおけるIDiの領域にアクセスするための認証(Verify)を行う(ステップS25)。ステップS25の認証が成功した場合(ステップS26:YES)、メモリ12の領域YのIDiの領域からSKiを読み出してセッション鍵として通信機器2Aに対して出力する(ステップS27)。そして、iに1だけ加算し(ステップS28)、iがn以下であるか(すなわち、共有鍵情報取得処理で取得した鍵を全てセッション鍵として出力したか)を判定する(ステップS29)。iがn以下である場合には(ステップS29:YES)、CPU11Aは、通信機器2Aからセッション鍵の要求があるかを判別し(ステップS30)、要求がある場合には(ステップS30:YES)、ステップS22に戻って次の鍵データSKiを出力するための処理を行う。また、ステップS30において、通信機器2Aからセッション鍵の要求がない場合には、ステップS29に戻る。なお、セッション鍵は、例えば所定時間毎に破棄され、新たな鍵が使用される。
After setting 1 to the variable i (step S21), the CPUs 11A and 11B determine whether or not the CPU 11A, B is the mutual authentication start side in the previous shared key information acquisition process (step S22).
In the case of the IC chip 1A, since it is a mutual authentication start side (step S22: YES), the CPU 11A of the IC chip 1A reads the parameter corresponding to IDi (in this case, VAKi) from the area X of the
Next, when the CPU 11A of the IC chip 1A receives the IDi and the parameter VBKi output from the
一方、ステップS22において、通信機器2Aの通信相手先の通信機器2Bに装着されているICチップ1Bの場合、相互認証の応答側であるため(ステップS22:NO)、ICチップ1BのCPU11Bは、相手先のICチップ1Aから出力されたIDiと対応するパラメータVAKiを通信機器2Bから受け取り(ステップS31)、受け取ったIDiに対応するパラメータ(この場合、VBKi)をメモリ12の領域Xから読み出し、相手先のICチップ1Aに対して出力する(ステップS32)。出力されたパラメータVBKiは、通信機器2Bによりネットワーク10を介して通信機器2Aに送信され、ICチップ1Aに渡される。
次に、ICチップ1BのCPU11Bは、ステップS31で受け取ったパラメータVAKiを鍵にして、メモリ12の領域YにおけるIDiの領域にアクセスするための認証(Verify)を行う(ステップS33)。ステップS33の認証が成功した場合(ステップS34:YES)、メモリ12の領域YのIDiの領域からSKiを読み出してセッション鍵として通信機器2Bに対して出力する(ステップS35)。そして、iに1だけ加算し(ステップS28)、iがn以下であるかを判定する(ステップS29)。iがn以下である場合には(ステップS29:YES)、CPU11Bは、通信機器2Bからセッション鍵の要求があるかを判別し(ステップS30)、要求がある場合には(ステップS30:YES)、ステップS22に戻って次の鍵データSKiを出力するための処理を行う。また、ステップS30において、通信機器2Aからセッション鍵の要求がない場合には、ステップS29に戻る。
On the other hand, in the case of the IC chip 1B attached to the
Next, the CPU 11B of the IC chip 1B performs authentication for accessing the IDi area in the area Y of the
ステップS26、S34において、認証が失敗した場合、セション鍵の出力が失敗した旨のエラー信号を通信機器1に送信する等のエラー処理を行う(ステップS36)。
また、ステップS29において、iがnを超えた場合には(ステップS29:NO)、共有鍵情報取得処理を実行する。
なお、ICチップ1のCPU11A、Bは、例えば、通信機器2からの暗号通信の終了通知等に応答して本セッション鍵出力処理を終了する。
If authentication fails in steps S26 and S34, error processing such as sending an error signal indicating that the output of the session key has failed to the
In step S29, when i exceeds n (step S29: NO), shared key information acquisition processing is executed.
Note that the CPUs 11A and 11B of the
上述の共有鍵情報取得処理とセッション鍵出力処理によれば、図4に示すように、ICチップ1A、1Bは、相互認証を行った後(L1)、鍵交換処理により共有情報を生成して取得し(L2)、取得した共有情報から、鍵データSK1〜SKn、ID1〜IDn、鍵を管理するためのパラメータVAK1〜VAKn、VBK1〜VBKnを抽出する(L3)。
そして、鍵交換の開始側のICチップ1Aは、メモリ12の領域XにパラメータVAK1〜VAKnを格納し、領域Yに鍵SK1〜SKnを格納し、領域YへのアクセスにはパラメータVBK1〜VBKnを鍵とする認証が必要とされるよう設定する。一方、鍵交換の応答側のICチップ1Bは、領域XにパラメータVBK1〜VBKnを格納し、領域Yに鍵データSK1〜SKnを格納し、領域YへのアクセスにはパラメータVAK1〜VAKnを鍵とする認証が必要とされるよう設定する。これにより、各ICチップ1のメモリ12の領域X、Yには、通信相手のICチップ1と対向する形で、鍵データや鍵を管理するパラメータが格納される(L4)。なお、鍵交換処理により交換できる情報は公開鍵の長さなどに依存し、例えば256バイト程度が可能である。一方で、セッション鍵は例えば16バイト程度と短いため、鍵データやパラメータ等のセットを複数共有することができる。
According to the shared key information acquisition process and the session key output process described above, as shown in FIG. 4, the IC chips 1A and 1B generate the shared information by the key exchange process after mutual authentication (L1). Obtained (L2), key data SK1 to SKn, ID1 to IDn, and parameters VAK1 to VAKn and VBK1 to VBKn for managing keys are extracted from the obtained shared information (L3).
Then, the IC chip 1A on the key exchange start side stores the parameters VAK1 to VAKn in the area X of the
そして、通信機器2間で暗号通信を行うときに、相互認証の開始側のICチップ1Aが、IDiとパラメータVAKiを領域Xから読み出してICチップ1Bに対して出力し、ICチップ1Bが、ICチップ1Aから出力されたIDiとVAKiを受け取り、領域Y内のIDiに対応する領域にアクセスするための認証をパラメータVAKiを用いて行い、鍵データSKiを取得する(L5)。同様に、ICチップ1Aにおいても、ICチップ1BからIDiとパラメータVBKiを受け取り、領域YにおけるIDiに対応する領域にアクセスするための認証をパラメータVBKiを用いて行い、鍵データSKiを取得する(L5)。このとき、領域Y内の各領域でのアクセス制御は、認証(Verify)、つまり複雑な演算ではなく、比較だけの処理のため高速な処理が可能となる。
Then, when performing cryptographic communication between the
次に、各ICチップ1A、1Bは、取得した鍵データSKiをセッション鍵としてそれぞれ対応する通信機器2に出力する(L6)。各通信機器2は、ICチップ1A、1Bから出力されたセッション鍵を受け取り、これを用いて、通信データの暗号化/復号化を行う(L7)。
Next, each IC chip 1A, 1B outputs the acquired key data SKi as a session key to the corresponding communication device 2 (L6). Each
以上説明したように、本発明によれば、秘密鍵と公開鍵を用いる鍵交換プロトコルにより取得した共有鍵情報から、複数の鍵(セッション鍵)と鍵を管理するパラメータを抽出し、抽出した複数の鍵データを、通信相手から受け取ったパラメータによる認証が必要なメモリ領域に格納する。これにより、確実な識別認証が実現できる。また、暗号化処理を行うことなく一の共有鍵情報から複数のセッション鍵を取得できるため、鍵の生成にかかる処理時間が削減され、暗号通信処理の処理効率が向上する。また、鍵データや鍵を管理するパラメータの保管や鍵の生成・管理をICチップが行うことにより安全性を保持できる。また、複数の通信機器と通信を行う場合においても、通信相手毎に鍵及びパラメータがIDと対応付けて管理されるため鍵の管理が容易であり、IDにより対向する機器も判別可能である。また、より安全なVPNパスを複数同時に利用可能とすることができる。 As described above, according to the present invention, a plurality of keys (session keys) and parameters for managing the keys are extracted from the shared key information acquired by the key exchange protocol using the secret key and the public key, and the extracted plurality of keys are extracted. Is stored in a memory area that requires authentication using parameters received from the communication partner. Thereby, reliable identification and authentication can be realized. In addition, since a plurality of session keys can be obtained from one shared key information without performing encryption processing, the processing time required for key generation is reduced, and the processing efficiency of encryption communication processing is improved. In addition, security can be maintained by storing key data and parameters for managing keys, and generating and managing keys. Even when communicating with a plurality of communication devices, the key and parameter are managed in association with the ID for each communication partner, so that the key can be easily managed, and the device facing the ID can be identified. In addition, a plurality of safer VPN paths can be used simultaneously.
なお、本発明は種々の変形及び応用が可能である。
上記実施形態では、暗号通信鍵管理装置をICチップにより実現した場合について説明しているが、これに限定されず、例えばICカード等のような他の耐タンパ性を有する装置により実現してもよい。
また、上述した説明では、通信を行うICチップ1のそれぞれが共有鍵情報を生成する処理を行うようにしているが、これに限定されず、例えば、認証開始側と応答側のどちらかが行ってもよく、また、実行するタイミングも任意である。
The present invention can be variously modified and applied.
The above embodiment describes the case where the encryption communication key management device is realized by an IC chip. However, the present invention is not limited to this. For example, the encryption communication key management device may be realized by another tamper-resistant device such as an IC card. Good.
In the above description, each
なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムを、コンピュータにインストールすることにより、上述の処理を実行するICチップ1、通信機器2を構成してもよい。また、インターネット等のネットワーク上のサーバ装置が有するディスク装置にプログラムを格納しておき、コンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。
The system of the present invention can be realized using a normal computer system, not a dedicated system. For example, a program for executing the above-described operation is stored and distributed in a computer-readable recording medium (FD, CD-ROM, DVD, etc.), and the program is installed in the computer to perform the above-described processing. You may comprise the
In addition, when the OS realizes the above functions by sharing the OS or jointly with the OS and the application, etc., only the part other than the OS may be stored and distributed in the medium, or may be downloaded to the computer. Good.
1 ICチップ
11 CPU
12 メモリ
13 入出力I/F
2 通信機器
21 制御部
22 記憶部
23 通信部
24 入出力I/F
1
12
2
Claims (4)
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段と、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段と、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段と、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段と、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段と、
を備える暗号通信鍵管理装置。 Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of sets of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
Obtaining means for accessing the memory area using the obtained one parameter and obtaining key data;
Means for outputting the key data obtained by the obtaining means as session key data;
An encryption communication key management device comprising:
ことを特徴とする請求項1に記載の暗号通信鍵管理装置。 The encryption communication key management device is realized by an IC chip.
The encryption communication key management apparatus according to claim 1.
ことを特徴とする請求項1又は2に記載の暗号通信鍵管理装置。 The other parameter is used for authentication when the key data stored in the memory area of the communication partner encryption communication key management device is accessed by the communication partner encryption communication key management device as the communication partner device. ,
The encryption communication key management apparatus according to claim 1 or 2, characterized by the above.
自己と通信相手である通信相手装置との秘密鍵と公開鍵を用いる鍵交換プロトコルにより、共有鍵情報を取得する手段、
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段、
として機能させるためのプログラム。 Computer
Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
An acquisition means for accessing the memory area using the acquired one parameter and acquiring key data;
Means for outputting the key data obtained by the obtaining means as session key data;
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005034267A JP4498165B2 (en) | 2005-02-10 | 2005-02-10 | Encryption communication key management apparatus and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005034267A JP4498165B2 (en) | 2005-02-10 | 2005-02-10 | Encryption communication key management apparatus and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006222734A JP2006222734A (en) | 2006-08-24 |
JP4498165B2 true JP4498165B2 (en) | 2010-07-07 |
Family
ID=36984747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005034267A Active JP4498165B2 (en) | 2005-02-10 | 2005-02-10 | Encryption communication key management apparatus and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4498165B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4694443B2 (en) | 2006-08-17 | 2011-06-08 | 本田技研工業株式会社 | NAVI SERVER, NAVI DEVICE, AND NAVI SYSTEM |
JP4962117B2 (en) * | 2007-04-25 | 2012-06-27 | コニカミノルタホールディングス株式会社 | Encryption communication processing method and encryption communication processing apparatus |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS619052A (en) * | 1984-06-25 | 1986-01-16 | Toshiba Corp | Communication network system |
JPH02255398A (en) * | 1989-03-30 | 1990-10-16 | Toshiba Corp | Portable electronic device |
JP2002208921A (en) * | 2000-11-08 | 2002-07-26 | Nippon Telegraph & Telephone East Corp | Vpn data communication method and private network construction system |
JP2002536915A (en) * | 1999-02-04 | 2002-10-29 | メテオ―ラ・システム株式会社 | IP key management mechanism with divergence barrier to increase entropy for computer decryption |
WO2004043037A1 (en) * | 2002-11-06 | 2004-05-21 | International Business Machines Corporation | Providing a user device with a set of access codes |
WO2005013552A1 (en) * | 2003-08-04 | 2005-02-10 | Ntt Data Corporation | Vpn communication system |
-
2005
- 2005-02-10 JP JP2005034267A patent/JP4498165B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS619052A (en) * | 1984-06-25 | 1986-01-16 | Toshiba Corp | Communication network system |
JPH02255398A (en) * | 1989-03-30 | 1990-10-16 | Toshiba Corp | Portable electronic device |
JP2002536915A (en) * | 1999-02-04 | 2002-10-29 | メテオ―ラ・システム株式会社 | IP key management mechanism with divergence barrier to increase entropy for computer decryption |
JP2002208921A (en) * | 2000-11-08 | 2002-07-26 | Nippon Telegraph & Telephone East Corp | Vpn data communication method and private network construction system |
WO2004043037A1 (en) * | 2002-11-06 | 2004-05-21 | International Business Machines Corporation | Providing a user device with a set of access codes |
JP2006505993A (en) * | 2002-11-06 | 2006-02-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Providing access code sets to user devices |
WO2005013552A1 (en) * | 2003-08-04 | 2005-02-10 | Ntt Data Corporation | Vpn communication system |
Also Published As
Publication number | Publication date |
---|---|
JP2006222734A (en) | 2006-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110493261B (en) | Verification code obtaining method based on block chain, client, server and storage medium | |
US11962574B2 (en) | Remote authentication and passwordless password reset | |
US9330245B2 (en) | Cloud-based data backup and sync with secure local storage of access keys | |
KR101888903B1 (en) | Methods and apparatus for migrating keys | |
CN103201998B (en) | For the protection of the data processing of the local resource in mobile device | |
CN110399717B (en) | Key acquisition method and device, storage medium and electronic device | |
CN108243176B (en) | Data transmission method and device | |
EP2728908B1 (en) | Telecommunications chip card | |
CN107800675A (en) | A kind of data transmission method, terminal and server | |
CN101292496A (en) | Method and devices for carrying out cryptographic operations in a client-server network | |
CN111401901B (en) | Authentication method and device of biological payment device, computer device and storage medium | |
JP2019506789A (en) | A method, system, and apparatus using forward secure encryption technology for passcode verification. | |
JP3833652B2 (en) | Network system, server device, and authentication method | |
CN111901303A (en) | Device authentication method and apparatus, storage medium, and electronic apparatus | |
CN117240625B (en) | Tamper-resistant data processing method and device and electronic equipment | |
CN114244508A (en) | Data encryption method, device, equipment and storage medium | |
JP4998314B2 (en) | Communication control method and communication control program | |
CN108292997B (en) | Authentication control system and method, server device, client device, authentication method, and recording medium | |
JP4498165B2 (en) | Encryption communication key management apparatus and program | |
JP2007104118A (en) | Protection method of secret information and communication apparatus | |
CN111901312A (en) | Method, system, equipment and readable storage medium for network access control | |
CN113726515B (en) | UKEY-based key processing method, storage medium and electronic device | |
KR101327193B1 (en) | A user-access trackable security method for removable storage media | |
Urien et al. | A new convergent identity system based on eap-tls smart cards | |
KR102094606B1 (en) | Apparatus and method for authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090709 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090915 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100413 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100413 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4498165 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140423 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |