JP4498165B2 - Encryption communication key management apparatus and program - Google Patents

Encryption communication key management apparatus and program Download PDF

Info

Publication number
JP4498165B2
JP4498165B2 JP2005034267A JP2005034267A JP4498165B2 JP 4498165 B2 JP4498165 B2 JP 4498165B2 JP 2005034267 A JP2005034267 A JP 2005034267A JP 2005034267 A JP2005034267 A JP 2005034267A JP 4498165 B2 JP4498165 B2 JP 4498165B2
Authority
JP
Japan
Prior art keywords
key
communication
parameter
communication partner
key data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005034267A
Other languages
Japanese (ja)
Other versions
JP2006222734A (en
Inventor
知之 星川
誠 國分
裕久 鎌仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2005034267A priority Critical patent/JP4498165B2/en
Publication of JP2006222734A publication Critical patent/JP2006222734A/en
Application granted granted Critical
Publication of JP4498165B2 publication Critical patent/JP4498165B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、ネットワークを介した暗号通信において使用される暗号鍵を生成・管理するための暗号通信鍵管理装置等に関する。   The present invention relates to an encryption communication key management apparatus for generating and managing encryption keys used in encryption communication via a network.

インターネット等のネットワークを介した通信をより安全に行うためのVPN(Virtual Private Network)と呼ばれる暗号通信技術が知られている。VPNでは、IPsec(IP Security)と呼ばれるセキュリティプロトコルとIKE(Internet Key Exchange)と呼ばれる鍵交換プロトコルを採用している。このIKEによる鍵交換方法では、共有鍵(セキュアチャネル鍵)について所定の暗号化処理等を行うことにより通信データを暗号化するためのセッション鍵を取得する。このセッション鍵(暗号通信鍵)は一定時間毎等の所定のタイミングで更新される。   An encryption communication technique called VPN (Virtual Private Network) for performing communication via a network such as the Internet more securely is known. VPN employs a security protocol called IPsec (IP Security) and a key exchange protocol called IKE (Internet Key Exchange). In this IKE key exchange method, a session key for encrypting communication data is obtained by performing predetermined encryption processing or the like on a shared key (secure channel key). This session key (encrypted communication key) is updated at a predetermined timing such as every predetermined time.

また、ICカードに格納された鍵を用いて暗号通信を行うことにより、通信機器間での暗号通信を安全に行うためのシステムもある(特許文献1)。   There is also a system for safely performing encrypted communication between communication devices by performing encrypted communication using a key stored in an IC card (Patent Document 1).

特開2004−40278号公報(第4、5頁、第2図)JP 2004-40278 (4th, 5th page, FIG. 2)

しかし、上記のIKEによる鍵交換方式等では、セッション鍵を得るためのセキュアチャネル鍵等の暗号化処理に長時間を要するため、スループットが低下してしまうという問題があった。
また、通信機器の内部を分解・解析することで、鍵に関する情報が不正に取得されてしまう虞があった。 However, the IKE key exchange method described above has a problem that throughput is reduced because it takes a long time to encrypt a secure channel key or the like for obtaining a session key.
Further, there is a possibility that information on the key is illegally acquired by disassembling and analyzing the inside of the communication device.

本発明は、上記実状に鑑みてなされたものであり、暗号通信処理の処理効率を向上させることができる暗号通信鍵管理装置等を提供することを目的とする。
また、本発明は、より安全に暗号通信処理を行うことができる暗号通信鍵管理装置等を提供することを他の目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to provide an encryption communication key management apparatus and the like that can improve the processing efficiency of encryption communication processing.
Another object of the present invention is to provide an encryption communication key management apparatus and the like that can perform encryption communication processing more safely.

上記目的を達成するため、この発明の第1の観点に係る暗号通信鍵管理装置は、
自己と通信相手である通信相手装置との秘密鍵と公開鍵を用いる鍵交換プロトコルにより共有鍵情報を取得する手段と、
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段と、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段と、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段と、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段と、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段と、
を備えることを特徴とする。 In order to achieve the above object, an encryption communication key management apparatus according to the first aspect of the present invention provides:
Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of sets of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
Obtaining means for accessing the memory area using the obtained one parameter and obtaining key data;
Means for outputting the key data obtained by the obtaining means as session key data;
It is characterized by providing.

当該暗号通信鍵管理装置はICチップによって実現されてもよい。 The encryption communication key management apparatus may be realized by an IC chip.

前記他方のパラメータは、前記通信相手装置としての通信相手の暗号通信鍵管理装置により、当該通信相手の暗号通信鍵管理装置のメモリ領域に格納された鍵データにアクセスする際の認証に使用されてもよい。 The other parameter is used for authentication at the time of accessing key data stored in the memory area of the encryption communication key management device of the communication partner by the encryption communication key management device of the communication partner as the communication partner device. Also good.

また、この発明の第2の観点に係るプログラムは、
コンピュータを、
自己と通信相手である通信相手装置との秘密鍵と公開鍵を用いる鍵交換プロトコルにより共有鍵情報を取得する手段、
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段、
として機能させる。 A program according to the second aspect of the present invention is
Computer
Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
An acquisition means for accessing the memory area using the acquired one parameter and acquiring key data;
Means for outputting the key data obtained by the obtaining means as session key data;
To function as.

本発明によれば、暗号通信処理の処理効率を向上させることができる。また、より安全に暗号通信処理を行うことができる。   According to the present invention, the processing efficiency of encryption communication processing can be improved. In addition, the encryption communication process can be performed more safely.

以下、本発明の実施形態に係る暗号通信鍵管理装置について図面を参照して説明する。なお、本実施形態では、暗号通信鍵管理装置をICチップにより実現した場合を例に説明する。
本発明の実施形態に係る暗号通信鍵管理装置(ICチップ)を含む通信システムの構成例を図1に示す。この通信システムはICチップ1が装着された通信機器2を備え、各通信機器2はネットワーク10を介して接続されている。 Hereinafter, an encryption communication key management apparatus according to an embodiment of the present invention will be described with reference to the drawings. In the present embodiment, a case where the encryption communication key management apparatus is realized by an IC chip will be described as an example.
FIG. 1 shows a configuration example of a communication system including an encryption communication key management device (IC chip) according to an embodiment of the present invention. This communication system includes a communication device 2 on which an IC chip 1 is mounted. Each communication device 2 is connected via a network 10.

ICチップ1は、CPU11と、メモリ12と、入出力I/F(インタフェース)13と、を備える。
CPU11は、メモリ12に記憶される動作プログラムを実行することにより、通信機器2間でやり取りするデータを暗号化するための鍵(セッション鍵)の生成・管理に関する共有鍵情報取得処理、セッション鍵出力処理等を行う。なお、共有鍵情報取得処理、セッション鍵出力処理において、通信相手先のICチップ1とのデータのやり取りは、ICチップ1が装着されている通信機器2を介して行う。 The IC chip 1 includes a CPU 11, a memory 12, and an input / output I / F (interface) 13.
The CPU 11 executes an operation program stored in the memory 12 to execute shared key information acquisition processing related to generation and management of a key (session key) for encrypting data exchanged between the communication devices 2, and session key output. Perform processing. In the shared key information acquisition process and the session key output process, data exchange with the communication partner IC chip 1 is performed via the communication device 2 to which the IC chip 1 is attached.

共有鍵情報取得処理では、CPU11は、メモリ12に記憶されている公開鍵ペア(公開鍵証明書と秘密鍵)を用いて、通信相手のICチップ1との間でチャレンジ・レスポンス認証処理等を行い、互いに識別認証(相互認証)する。そして、識別認証が相互に成功した場合、CPU11は、公開鍵ペア、識別認証で生成した乱数等を用いて、DH(Diffie-Hellman)法等の鍵交換プロトコルに従って相手先のICチップ1との間で鍵交換処理を行い、共有鍵情報を取得する。そして、CPU11は、取得した共有鍵情報から、鍵データSKi(i=1〜n)と、IDiと、鍵データSKiを管理するパラメータVAKi及びVBKiと、を複数組抽出する。具体的には、例えば共有鍵情報を予め定められたサイズで区切ることにより、鍵データSKi、IDi、パラメータVAKi、パラメータVBKiを抽出してもよい。   In the shared key information acquisition process, the CPU 11 uses the public key pair (public key certificate and private key) stored in the memory 12 to perform a challenge / response authentication process with the IC chip 1 of the communication partner. To identify and authenticate each other (mutual authentication). If the identification and authentication are mutually successful, the CPU 11 uses the public key pair, a random number generated by the identification and authentication, and the like with the counterpart IC chip 1 according to a key exchange protocol such as a DH (Diffie-Hellman) method. Key exchange processing is performed between them to obtain shared key information. Then, the CPU 11 extracts a plurality of sets of key data SKi (i = 1 to n), IDi, and parameters VAKi and VBKi for managing the key data SKi from the acquired shared key information. Specifically, for example, the key data SKi, IDi, parameter VAKi, and parameter VBKi may be extracted by dividing the shared key information with a predetermined size.

そして、CPU11は、抽出した各鍵データSKi、IDi、パラメータVAKi、パラメータVBKiをメモリ12の所定領域に記憶する。具体的には、ICチップ1が相互認証の開始側である場合には、パラメータVAKiを、相手先に供給する「鍵(相手側の鍵データSKiを取り出すために必要とされる鍵)」としてIDiに対応付けてメモリ12の所定領域Xに格納し、また、相互認証認証の応答側である場合には、パラメータVBKiを、相手先に供給する「鍵」としてIDiに対応付けて所定領域Xに格納する。この「鍵」として格納されたパラメータには、鍵として格納されたということを示す「鍵識別コード」を付与する。また、CPU11は、相互認証の開始側である場合には、メモリ12の所定領域Yに、相手先のメモリ領域に「鍵」として格納されるパラメータ(VBKi)を「錠」としてIDiに対応付けて鍵データSKiを格納し、また、相互認証の応答側である場合には、メモリ12の所定領域Yに、相手先のメモリ領域に「鍵」として格納されるパラメータ(VAKi)を「錠」としてIDiに対応付けて鍵データSKiを格納する。これにより、ICチップ1のメモリ12の領域X、Yには、通信相手のICチップ1と対向する形で、鍵データや鍵を管理するパラメータが格納される。   Then, the CPU 11 stores the extracted key data SKi, IDi, parameter VAKi, and parameter VBKi in a predetermined area of the memory 12. Specifically, when the IC chip 1 is the mutual authentication start side, the parameter VAKi is set as a “key (a key required to extract the partner side key data SKi)” to be supplied to the other party. In association with IDi, it is stored in the predetermined area X of the memory 12, and when it is a response side of mutual authentication authentication, the parameter VBKi is associated with IDi as a “key” supplied to the other party. To store. A “key identification code” indicating that the parameter is stored as a key is assigned to the parameter stored as the “key”. Further, when the CPU 11 is the mutual authentication start side, the parameter (VBKi) stored as “key” in the predetermined area Y of the memory 12 and “memory” in the other party is associated with IDi as “lock”. If the key data SKi is stored, and if it is a response side of mutual authentication, the parameter (VAKi) stored as a “key” in the predetermined memory area Y of the memory 12 is set to “lock”. The key data SKi is stored in association with IDi. Thus, the key data and the parameters for managing the keys are stored in the areas X and Y of the memory 12 of the IC chip 1 so as to face the IC chip 1 of the communication partner.

セッション鍵出力処理では、領域Xに格納されているパラメータ(VAKi又はVBKi)を相手先のICチップ1に対してIDiとともに送信し、相手先のICチップ1から受け取ったパラメータ(VBKi又はVAKi)を用いてメモリ12の領域Yにアクセスして鍵データSKi(セッション鍵)を取得し、通信機器2に対して出力する。   In the session key output process, the parameter (VAKi or VBKi) stored in the area X is transmitted to the counterpart IC chip 1 together with IDi, and the parameter (VBKi or VAKi) received from the counterpart IC chip 1 is transmitted. The key data SKi (session key) is acquired by accessing the area Y of the memory 12 and output to the communication device 2.

メモリ12は、ROM、RAM等から構成され、CPU11が実行するための動作プログラム及び処理に必要な各種データ、ICチップ1の公開鍵ペア(公開鍵証明書(公開鍵を含む)と秘密鍵)等を記憶する。また、メモリ12は、パラメータVAKi又はVBKiがIDiと対応付けて記憶される領域Xと、鍵データSKiがIDiに対応付けて記憶される領域Yと、を備える。領域Y内の鍵データSKiの格納領域は、パラメータVBKi又はVAKiを鍵とするアクセス制御がなされる領域である。
入出力I/F13は、ICチップ1と通信機器2との間の通信を制御する。 The memory 12 includes a ROM, a RAM, and the like. An operation program to be executed by the CPU 11 and various data necessary for processing, a public key pair of the IC chip 1 (a public key certificate (including a public key) and a private key) Memorize etc. The memory 12 includes an area X in which the parameter VAKi or VBKi is stored in association with IDi, and an area Y in which the key data SKi is stored in association with IDi. The storage area of the key data SKi in the area Y is an area where access control is performed using the parameter VBKi or VAKi as a key.
The input / output I / F 13 controls communication between the IC chip 1 and the communication device 2.

通信機器2は、例えばルータ、パーソナルコンピュータ、携帯端末等を含み、制御部21、記憶部22、通信部23、入出力I/F24と、を備えるコンピュータから構成される。
制御部21は、CPU、ROM、RAM等より構成され、記憶部22に記憶される動作プログラムを実行することにより、他の通信機器2との暗号通信等の各種処理を行う。他の通信機器2との暗号通信処理では、ICチップ1と連動して、通信データを暗号化/復号化するためのセッション鍵を取得し、取得したセッション鍵を用いて暗号通信を行う。
記憶部22は、例えばハードディスク装置等から構成され、制御部21により実行されるプログラム及び各種データ等を記憶する。
通信部23は、ネットワーク10を介した他の通信機器2とのデータ通信を行う。
入出力I/F24は、ICチップ1との通信を制御する。 The communication device 2 includes, for example, a router, a personal computer, a portable terminal, and the like, and includes a computer including a control unit 21, a storage unit 22, a communication unit 23, and an input / output I / F 24.
The control unit 21 includes a CPU, a ROM, a RAM, and the like, and performs various processes such as cryptographic communication with other communication devices 2 by executing an operation program stored in the storage unit 22. In encrypted communication processing with another communication device 2, a session key for encrypting / decrypting communication data is acquired in conjunction with the IC chip 1, and encrypted communication is performed using the acquired session key.
The storage unit 22 is composed of, for example, a hard disk device or the like, and stores programs executed by the control unit 21 and various data.
The communication unit 23 performs data communication with other communication devices 2 via the network 10.
The input / output I / F 24 controls communication with the IC chip 1.

次に、本実施形態に係る暗号通信鍵管理装置(ICチップ1)の処理動作を、2つの通信機器2A、2Bの間で暗号通信を行う場合を例に説明する。初めに、共有鍵情報取得処理について図2のフローチャートを参照して具体的に説明する。なお、以下の共有鍵情報取得処理及びセッション鍵出力処理の説明において、通信機器2A、2Bに装着されているICチップ1をそれぞれICチップ1A、1Bと呼び、ICチップ1A、1BにおけるCPU11をそれぞれCPU11A、CPU11Bと呼ぶ。   Next, the processing operation of the cryptographic communication key management apparatus (IC chip 1) according to the present embodiment will be described by taking as an example a case where cryptographic communication is performed between the two communication devices 2A and 2B. First, the shared key information acquisition process will be specifically described with reference to the flowchart of FIG. In the following description of the shared key information acquisition process and the session key output process, the IC chips 1 attached to the communication devices 2A and 2B are referred to as IC chips 1A and 1B, respectively, and the CPU 11 in the IC chips 1A and 1B is respectively referred to. Called CPU11A and CPU11B.

例えば通信機器2Aは、通信機器2Bと暗号通信を行うために、ICチップ1Aに対して暗号通信開始要求を送信する。この要求に応答して、ICチップ1AのCPU11Aは、通信機器1Aを介して、通信相手先の通信機器1Bに装着されているICチップ1Bに対して相互認証要求を送信する。そして、ICチップ1A、1BのCPU11A、11Bは、チャレンジ・レスポンス認証処理等の相互認証処理を行う(ステップS1)。
ステップS1の認証が成功した場合(ステップS2:YES)、ICチップ1A、1BのCPU11Aは、例えば、相互認証で用いた公開鍵ペアや生成した乱数等を用いて、DH(Diffie-Hellman)法等の鍵交換プロトコルに従って相手先のICチップ1との間で鍵交換処理を行って共有鍵情報を生成・取得し、これを例えば予め定められたサイズで区切る等して、鍵データSKi(i=1〜n)、IDi、パラメータVAKi、パラメータVBKiを複数組(n組)抽出する(ステップS3)。 For example, the communication device 2A transmits an encrypted communication start request to the IC chip 1A in order to perform encrypted communication with the communication device 2B. In response to this request, the CPU 11A of the IC chip 1A transmits a mutual authentication request to the IC chip 1B attached to the communication device 1B of the communication partner via the communication device 1A. Then, the CPUs 11A and 11B of the IC chips 1A and 1B perform mutual authentication processing such as challenge / response authentication processing (step S1).
When the authentication in step S1 is successful (step S2: YES), the CPU 11A of the IC chips 1A and 1B uses, for example, a public key pair used in mutual authentication, a generated random number, or the like to use the DH (Diffie-Hellman) method. The key data SKi (i) is generated by performing key exchange processing with the counterpart IC chip 1 in accordance with a key exchange protocol such as the above to generate / acquire shared key information and delimit it with a predetermined size, for example. = 1 to n), IDi, parameter VAKi, and parameter VBKi are extracted in plural sets (n sets) (step S3).

次に、CPU11A、11Bは、自己が相互認証の開始側であるか否かを判別する(ステップS4)。
ICチップ1Aの場合、相互認証の開始側であるため(ステップS4:YES)、ICチップ1AのCPU11Aは、変数i=1を設定した後(ステップS5)、パラメータVAKiを、鍵として格納されたということを示す「鍵識別コード」を付与し、IDiに対応付けて、アクセスフリーの領域Xに保管(記憶)する(ステップS6)。このパラメータVAKiは、相手先のICチップ1Bから鍵データSKiを取り出すために必要な鍵として機能する。
次に、CPU11Aは、鍵データSKiを、IDiに対応付けて、アクセスが制御される領域Yに保管(記憶)する(ステップS7)。CPU11Aは、この領域Yについて、鍵データSKiの領域にアクセスの際には「鍵識別コード」が付与されたパラメータVBKiによる認証が必要であるよう設定する。
次に、CPU11Aは、iに1だけ加算し(ステップS8)、iがnを超えたか(すなわち、抽出した全ての鍵データSKiやパラメータVAKi、VBKi等について上記処理が終了したか)を判定し(ステップS9)、iがnを超えていない場合には(ステップS9:NO)、ステップS6に戻る。また、iがnを超えた場合には(ステップS9:YES)、共有鍵情報取得処理を終了する。 Next, CPU11A, 11B discriminate | determines whether self is the start side of mutual authentication (step S4).
In the case of the IC chip 1A, since it is a mutual authentication start side (step S4: YES), the CPU 11A of the IC chip 1A sets the variable i = 1 (step S5), and then stores the parameter VAKi as a key. Is stored (stored) in the access-free area X in association with IDi (step S6). This parameter VAKi functions as a key necessary for extracting key data SKi from the counterpart IC chip 1B.
Next, the CPU 11A stores (stores) the key data SKi in the area Y where access is controlled in association with IDi (step S7). The CPU 11A sets the area Y so that it is necessary to authenticate with the parameter VBKi to which the “key identification code” is assigned when accessing the area of the key data SKi.
Next, the CPU 11A adds 1 to i (step S8), and determines whether i exceeds n (that is, whether the above processing is completed for all extracted key data SKi, parameters VAKi, VBKi, etc.). (Step S9) When i does not exceed n (Step S9: NO), the process returns to Step S6. If i exceeds n (step S9: YES), the shared key information acquisition process ends.

一方、ステップS4において、通信機器2Aの通信相手先の通信機器2Bに装着されているICチップ1Bの場合、相互認証の応答側であるため(ステップS4:NO)、ICチップ1BのCPU11Bは、変数i=1を設定した後(ステップS10)、パラメータVBKiを、「鍵識別コード」を付与し、IDiに対応付けて、アクセスフリーの領域Xに保管(記憶)する(ステップS11)。このパラメータVBKiは、相手先のICチップ1Aから鍵データSKiを取り出すために必要な鍵として機能する。
次に、CPU11Bは、鍵データSKiを、IDiに対応付けて、アクセスが制御される領域Yに保管(記憶)する(ステップS12)。CPU11Bは、この領域Yについて、鍵データSKiの領域にアクセスの際には「鍵識別コード」が付与されたパラメータVAKiによる認証が必要であるよう設定する。
次に、CPU11Bは、iに1だけ加算し(ステップS13)、iがnを超えたか(すなわち、抽出した全ての鍵データSKiやパラメータVAKi、VBKi等について上記処理が終了したか)を判定し(ステップS14)、iがnを超えていない場合には(ステップS14:NO)、ステップS11に戻る。また、iがnを超えた場合には(ステップS14:YES)、共有鍵情報取得処理を終了する。 On the other hand, in the case of the IC chip 1B attached to the communication device 2B of the communication partner of the communication device 2A in step S4, since it is a response side of mutual authentication (step S4: NO), the CPU 11B of the IC chip 1B After setting the variable i = 1 (step S10), the parameter VBKi is stored (stored) in the access-free area X with a “key identification code” associated with IDi (step S11). This parameter VBKi functions as a key necessary for taking out key data SKi from the counterpart IC chip 1A.
Next, the CPU 11B stores (stores) the key data SKi in the area Y where access is controlled in association with IDi (step S12). The CPU 11B sets the area Y so that authentication by the parameter VAKi to which the “key identification code” is given is necessary when accessing the area of the key data SKi.
Next, the CPU 11B adds 1 to i (step S13), and determines whether i exceeds n (that is, whether the above processing has been completed for all extracted key data SKi, parameters VAKi, VBKi, etc.). (Step S14) If i does not exceed n (Step S14: NO), the process returns to Step S11. If i exceeds n (step S14: YES), the shared key information acquisition process ends.

なお、ステップS2の認証が失敗した場合(ステップS2:NO)、エラー信号を各通信機器2に送る等の所定のエラー処理を行う(ステップS15)。   When the authentication in step S2 fails (step S2: NO), predetermined error processing such as sending an error signal to each communication device 2 is performed (step S15).

例えば、上述した共有鍵情報取得処理が終了すると、次に、各ICチップ1A、1Bでは、セッション鍵出力処理が実行される。このセッション鍵出力処理について、図3のフローチャートを参照して説明する。   For example, when the above-described shared key information acquisition process is finished, next, each IC chip 1A, 1B executes a session key output process. This session key output process will be described with reference to the flowchart of FIG.

CPU11A、Bは、変数iに1を設定した後(ステップS21)、自己が先の共有鍵情報取得処理における相互認証の開始側であるか否かを判別する(ステップS22)。
ICチップ1Aの場合、相互認証の開始側であるため(ステップS22:YES)、ICチップ1AのCPU11Aは、メモリ12の領域Xから、IDiと対応するパラメータ(この場合VAKi)を読み出し、相手先のICチップ1Bに対して出力する(ステップS23)。出力されたパラメータVAKiは、通信機器2Aによりネットワーク10を介して通信機器2Bに送信され、ICチップ1Bに渡される。
次に、ICチップ1AのCPU11Aは、通信機器1Aが受信した、相手先のICチップ2Bから出力されたIDiとパラメータVBKiを受け取ると(ステップS24)、そのパラメータVBKiを鍵にして、メモリ12の領域YにおけるIDiの領域にアクセスするための認証(Verify)を行う(ステップS25)。ステップS25の認証が成功した場合(ステップS26:YES)、メモリ12の領域YのIDiの領域からSKiを読み出してセッション鍵として通信機器2Aに対して出力する(ステップS27)。そして、iに1だけ加算し(ステップS28)、iがn以下であるか(すなわち、共有鍵情報取得処理で取得した鍵を全てセッション鍵として出力したか)を判定する(ステップS29)。iがn以下である場合には(ステップS29:YES)、CPU11Aは、通信機器2Aからセッション鍵の要求があるかを判別し(ステップS30)、要求がある場合には(ステップS30:YES)、ステップS22に戻って次の鍵データSKiを出力するための処理を行う。また、ステップS30において、通信機器2Aからセッション鍵の要求がない場合には、ステップS29に戻る。なお、セッション鍵は、例えば所定時間毎に破棄され、新たな鍵が使用される。 After setting 1 to the variable i (step S21), the CPUs 11A and 11B determine whether or not the CPU 11A, B is the mutual authentication start side in the previous shared key information acquisition process (step S22).
In the case of the IC chip 1A, since it is a mutual authentication start side (step S22: YES), the CPU 11A of the IC chip 1A reads the parameter corresponding to IDi (in this case, VAKi) from the area X of the memory 12, and Is output to the IC chip 1B (step S23). The output parameter VAKi is transmitted to the communication device 2B via the network 10 by the communication device 2A and passed to the IC chip 1B.
Next, when the CPU 11A of the IC chip 1A receives the IDi and the parameter VBKi output from the counterpart IC chip 2B received by the communication device 1A (step S24), the CPU 11A of the memory 12 uses the parameter VBKi as a key. Authentication (Verify) for accessing the area of IDi in area Y is performed (step S25). When the authentication of step S25 is successful (step S26: YES), SKi is read from the area of IDi of the area Y of the memory 12 and output as a session key to the communication device 2A (step S27). Then, 1 is added to i (step S28), and it is determined whether i is n or less (that is, whether all the keys acquired in the shared key information acquisition process are output as session keys) (step S29). When i is n or less (step S29: YES), the CPU 11A determines whether there is a session key request from the communication device 2A (step S30), and when there is a request (step S30: YES). Returning to step S22, processing for outputting the next key data SKi is performed. If no session key is requested from the communication device 2A in step S30, the process returns to step S29. The session key is discarded every predetermined time, for example, and a new key is used.

一方、ステップS22において、通信機器2Aの通信相手先の通信機器2Bに装着されているICチップ1Bの場合、相互認証の応答側であるため(ステップS22:NO)、ICチップ1BのCPU11Bは、相手先のICチップ1Aから出力されたIDiと対応するパラメータVAKiを通信機器2Bから受け取り(ステップS31)、受け取ったIDiに対応するパラメータ(この場合、VBKi)をメモリ12の領域Xから読み出し、相手先のICチップ1Aに対して出力する(ステップS32)。出力されたパラメータVBKiは、通信機器2Bによりネットワーク10を介して通信機器2Aに送信され、ICチップ1Aに渡される。
次に、ICチップ1BのCPU11Bは、ステップS31で受け取ったパラメータVAKiを鍵にして、メモリ12の領域YにおけるIDiの領域にアクセスするための認証(Verify)を行う(ステップS33)。ステップS33の認証が成功した場合(ステップS34:YES)、メモリ12の領域YのIDiの領域からSKiを読み出してセッション鍵として通信機器2Bに対して出力する(ステップS35)。そして、iに1だけ加算し(ステップS28)、iがn以下であるかを判定する(ステップS29)。iがn以下である場合には(ステップS29:YES)、CPU11Bは、通信機器2Bからセッション鍵の要求があるかを判別し(ステップS30)、要求がある場合には(ステップS30:YES)、ステップS22に戻って次の鍵データSKiを出力するための処理を行う。また、ステップS30において、通信機器2Aからセッション鍵の要求がない場合には、ステップS29に戻る。 On the other hand, in the case of the IC chip 1B attached to the communication device 2B of the communication partner of the communication device 2A in step S22, since it is a response side of mutual authentication (step S22: NO), the CPU 11B of the IC chip 1B The parameter VAKi corresponding to IDi output from the counterpart IC chip 1A is received from the communication device 2B (step S31), the parameter corresponding to the received IDi (in this case, VBKi) is read from the area X of the memory 12, and the counterpart Output to the previous IC chip 1A (step S32). The output parameter VBKi is transmitted to the communication device 2A via the network 10 by the communication device 2B, and passed to the IC chip 1A.
Next, the CPU 11B of the IC chip 1B performs authentication for accessing the IDi area in the area Y of the memory 12 using the parameter VAKi received in step S31 as a key (step S33). When the authentication in step S33 is successful (step S34: YES), SKi is read from the area IDi of the area Y of the memory 12 and output as a session key to the communication device 2B (step S35). Then, 1 is added to i (step S28), and it is determined whether i is n or less (step S29). When i is n or less (step S29: YES), the CPU 11B determines whether there is a session key request from the communication device 2B (step S30), and when there is a request (step S30: YES). Returning to step S22, processing for outputting the next key data SKi is performed. If no session key is requested from the communication device 2A in step S30, the process returns to step S29.

ステップS26、S34において、認証が失敗した場合、セション鍵の出力が失敗した旨のエラー信号を通信機器1に送信する等のエラー処理を行う(ステップS36)。
また、ステップS29において、iがnを超えた場合には(ステップS29:NO)、共有鍵情報取得処理を実行する。
なお、ICチップ1のCPU11A、Bは、例えば、通信機器2からの暗号通信の終了通知等に応答して本セッション鍵出力処理を終了する。 If authentication fails in steps S26 and S34, error processing such as sending an error signal indicating that the output of the session key has failed to the communication device 1 is performed (step S36).
In step S29, when i exceeds n (step S29: NO), shared key information acquisition processing is executed.
Note that the CPUs 11A and 11B of the IC chip 1 end the session key output process in response to, for example, an end notification of encryption communication from the communication device 2.

上述の共有鍵情報取得処理とセッション鍵出力処理によれば、図4に示すように、ICチップ1A、1Bは、相互認証を行った後(L1)、鍵交換処理により共有情報を生成して取得し(L2)、取得した共有情報から、鍵データSK1〜SKn、ID1〜IDn、鍵を管理するためのパラメータVAK1〜VAKn、VBK1〜VBKnを抽出する(L3)。
そして、鍵交換の開始側のICチップ1Aは、メモリ12の領域XにパラメータVAK1〜VAKnを格納し、領域Yに鍵SK1〜SKnを格納し、領域YへのアクセスにはパラメータVBK1〜VBKnを鍵とする認証が必要とされるよう設定する。一方、鍵交換の応答側のICチップ1Bは、領域XにパラメータVBK1〜VBKnを格納し、領域Yに鍵データSK1〜SKnを格納し、領域YへのアクセスにはパラメータVAK1〜VAKnを鍵とする認証が必要とされるよう設定する。これにより、各ICチップ1のメモリ12の領域X、Yには、通信相手のICチップ1と対向する形で、鍵データや鍵を管理するパラメータが格納される(L4)。なお、鍵交換処理により交換できる情報は公開鍵の長さなどに依存し、例えば256バイト程度が可能である。一方で、セッション鍵は例えば16バイト程度と短いため、鍵データやパラメータ等のセットを複数共有することができる。 According to the shared key information acquisition process and the session key output process described above, as shown in FIG. 4, the IC chips 1A and 1B generate the shared information by the key exchange process after mutual authentication (L1). Obtained (L2), key data SK1 to SKn, ID1 to IDn, and parameters VAK1 to VAKn and VBK1 to VBKn for managing keys are extracted from the obtained shared information (L3).
Then, the IC chip 1A on the key exchange start side stores the parameters VAK1 to VAKn in the area X of the memory 12, stores the keys SK1 to SKn in the area Y, and uses the parameters VBK1 to VBKn to access the area Y. Set so that key authentication is required. On the other hand, the IC chip 1B on the key exchange response side stores the parameters VBK1 to VBKn in the area X, stores the key data SK1 to SKn in the area Y, and accesses the area Y using the parameters VAK1 to VAKn as a key. Set to require authentication. Thus, the key data and the parameters for managing the keys are stored in the areas X and Y of the memory 12 of each IC chip 1 so as to face the communication partner IC chip 1 (L4). The information that can be exchanged by the key exchange process depends on the length of the public key, and can be, for example, about 256 bytes. On the other hand, since the session key is as short as about 16 bytes, for example, a plurality of sets of key data and parameters can be shared.

そして、通信機器2間で暗号通信を行うときに、相互認証の開始側のICチップ1Aが、IDiとパラメータVAKiを領域Xから読み出してICチップ1Bに対して出力し、ICチップ1Bが、ICチップ1Aから出力されたIDiとVAKiを受け取り、領域Y内のIDiに対応する領域にアクセスするための認証をパラメータVAKiを用いて行い、鍵データSKiを取得する(L5)。同様に、ICチップ1Aにおいても、ICチップ1BからIDiとパラメータVBKiを受け取り、領域YにおけるIDiに対応する領域にアクセスするための認証をパラメータVBKiを用いて行い、鍵データSKiを取得する(L5)。このとき、領域Y内の各領域でのアクセス制御は、認証(Verify)、つまり複雑な演算ではなく、比較だけの処理のため高速な処理が可能となる。   Then, when performing cryptographic communication between the communication devices 2, the IC chip 1A on the mutual authentication start side reads IDi and the parameter VAKi from the region X and outputs them to the IC chip 1B. The IC chip 1B The IDi and VAKi output from the chip 1A are received, authentication for accessing the area corresponding to IDi in the area Y is performed using the parameter VAKi, and key data SKi is obtained (L5). Similarly, the IC chip 1A also receives IDi and the parameter VBKi from the IC chip 1B, performs authentication for accessing the area corresponding to IDi in the area Y using the parameter VBKi, and obtains key data SKi (L5 ). At this time, the access control in each area in the area Y can be performed at a high speed because it is not a verification, that is, a complicated operation but a comparison process.

次に、各ICチップ1A、1Bは、取得した鍵データSKiをセッション鍵としてそれぞれ対応する通信機器2に出力する(L6)。各通信機器2は、ICチップ1A、1Bから出力されたセッション鍵を受け取り、これを用いて、通信データの暗号化/復号化を行う(L7)。   Next, each IC chip 1A, 1B outputs the acquired key data SKi as a session key to the corresponding communication device 2 (L6). Each communication device 2 receives the session key output from the IC chips 1A and 1B, and uses this to encrypt / decrypt communication data (L7).

以上説明したように、本発明によれば、秘密鍵と公開鍵を用いる鍵交換プロトコルにより取得した共有鍵情報から、複数の鍵(セッション鍵)と鍵を管理するパラメータを抽出し、抽出した複数の鍵データを、通信相手から受け取ったパラメータによる認証が必要なメモリ領域に格納する。これにより、確実な識別認証が実現できる。また、暗号化処理を行うことなく一の共有鍵情報から複数のセッション鍵を取得できるため、鍵の生成にかかる処理時間が削減され、暗号通信処理の処理効率が向上する。また、鍵データや鍵を管理するパラメータの保管や鍵の生成・管理をICチップが行うことにより安全性を保持できる。また、複数の通信機器と通信を行う場合においても、通信相手毎に鍵及びパラメータがIDと対応付けて管理されるため鍵の管理が容易であり、IDにより対向する機器も判別可能である。また、より安全なVPNパスを複数同時に利用可能とすることができる。   As described above, according to the present invention, a plurality of keys (session keys) and parameters for managing the keys are extracted from the shared key information acquired by the key exchange protocol using the secret key and the public key, and the extracted plurality of keys are extracted. Is stored in a memory area that requires authentication using parameters received from the communication partner. Thereby, reliable identification and authentication can be realized. In addition, since a plurality of session keys can be obtained from one shared key information without performing encryption processing, the processing time required for key generation is reduced, and the processing efficiency of encryption communication processing is improved. In addition, security can be maintained by storing key data and parameters for managing keys, and generating and managing keys. Even when communicating with a plurality of communication devices, the key and parameter are managed in association with the ID for each communication partner, so that the key can be easily managed, and the device facing the ID can be identified. In addition, a plurality of safer VPN paths can be used simultaneously.

なお、本発明は種々の変形及び応用が可能である。
上記実施形態では、暗号通信鍵管理装置をICチップにより実現した場合について説明しているが、これに限定されず、例えばICカード等のような他の耐タンパ性を有する装置により実現してもよい。
また、上述した説明では、通信を行うICチップ1のそれぞれが共有鍵情報を生成する処理を行うようにしているが、これに限定されず、例えば、認証開始側と応答側のどちらかが行ってもよく、また、実行するタイミングも任意である。 The present invention can be variously modified and applied.
The above embodiment describes the case where the encryption communication key management device is realized by an IC chip. However, the present invention is not limited to this. For example, the encryption communication key management device may be realized by another tamper-resistant device such as an IC card. Good.
In the above description, each IC chip 1 that performs communication performs processing for generating shared key information. However, the present invention is not limited to this. For example, either the authentication start side or the response side performs the processing. In addition, the execution timing is arbitrary.

なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムを、コンピュータにインストールすることにより、上述の処理を実行するICチップ1、通信機器2を構成してもよい。また、インターネット等のネットワーク上のサーバ装置が有するディスク装置にプログラムを格納しておき、コンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。 The system of the present invention can be realized using a normal computer system, not a dedicated system. For example, a program for executing the above-described operation is stored and distributed in a computer-readable recording medium (FD, CD-ROM, DVD, etc.), and the program is installed in the computer to perform the above-described processing. You may comprise the IC chip 1 and the communication apparatus 2 to perform. Further, the program may be stored in a disk device included in a server device on a network such as the Internet and downloaded to a computer.
In addition, when the OS realizes the above functions by sharing the OS or jointly with the OS and the application, etc., only the part other than the OS may be stored and distributed in the medium, or may be downloaded to the computer. Good.

本発明の実施形態の暗号通信鍵管理装置(ICチップ)を含む通信システムの構成例を示す図である。It is a figure which shows the structural example of the communication system containing the encryption communication key management apparatus (IC chip) of embodiment of this invention. 共有鍵情報取得処理を説明するためのフローチャートである。It is a flowchart for demonstrating a shared key information acquisition process. セッション鍵出力処理を説明するためのフローチャートである。It is a flowchart for demonstrating a session key output process. 図1の通信システムにおいて、通信機器がICチップからセッション鍵を受け取け取るまでの処理の流れを説明するための図である。FIG. 2 is a diagram for explaining a processing flow until the communication device receives a session key from the IC chip in the communication system of FIG. 1.

符号の説明Explanation of symbols

1 ICチップ
11 CPU
12 メモリ
13 入出力I/F
2 通信機器
21 制御部
22 記憶部
23 通信部
24 入出力I/F 1 IC chip 11 CPU
12 Memory 13 Input / output I / F
2 Communication equipment 21 Control unit 22 Storage unit 23 Communication unit 24 Input / output I / F

Claims (4)

自己と通信相手である通信相手装置との秘密鍵と公開鍵を用いる鍵交換プロトコルにより共有鍵情報を取得する手段と、
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段と、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段と、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段と、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段と、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段と、
を備える暗号通信鍵管理装置。 Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of sets of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
Obtaining means for accessing the memory area using the obtained one parameter and obtaining key data;
Means for outputting the key data obtained by the obtaining means as session key data;
An encryption communication key management device comprising: 当該暗号通信鍵管理装置はICチップによって実現される
ことを特徴とする請求項1に記載の暗号通信鍵管理装置。 The encryption communication key management device is realized by an IC chip.
The encryption communication key management apparatus according to claim 1. 前記他方のパラメータは、前記通信相手装置としての通信相手の暗号通信鍵管理装置により、当該通信相手の暗号通信鍵管理装置のメモリ領域に格納された鍵データにアクセスする際の認証に使用される、
ことを特徴とする請求項1又は2に記載の暗号通信鍵管理装置。 The other parameter is used for authentication when the key data stored in the memory area of the communication partner encryption communication key management device is accessed by the communication partner encryption communication key management device as the communication partner device. ,
The encryption communication key management apparatus according to claim 1 or 2, characterized by the above. コンピュータを、
自己と通信相手である通信相手装置との秘密鍵と公開鍵を用いる鍵交換プロトコルにより共有鍵情報を取得する手段、
前記共有鍵情報から鍵データ及び鍵データを管理するための第1と第2のパラメータを複数組抽出する抽出手段、
前記抽出手段により抽出された鍵データを、アクセス時に前記第1と第2のパラメータのうちの一方のパラメータによる認証が必要とされるメモリ領域に格納する手段、
第1と第2のパラメータのうちの前記一方のパラメータを前記通信相手装置から取得し、他方のパラメータを前記通信相手装置に対して出力する手段、
取得した前記一方のパラメータを用いてメモリ領域にアクセスし、鍵データを取得する取得手段、
前記取得手段により取得した鍵データをセッション鍵のデータとして出力する手段、
として機能させるためのプログラム。 Computer
Means for acquiring shared key information by a key exchange protocol using a secret key and a public key between the communication partner device that is the communication partner and the communication partner device ;
Extraction means for extracting a plurality of first and second parameters for managing key data and key data from the shared key information;
Means for storing the key data extracted by the extracting means in a memory area that requires authentication by one of the first and second parameters at the time of access;
It means for the first and the one parameter of the second parameter acquired from the communication partner device, and outputs the other parameters for the communication partner device,
An acquisition means for accessing the memory area using the acquired one parameter and acquiring key data;
Means for outputting the key data obtained by the obtaining means as session key data;
Program to function as.
JP2005034267A 2005-02-10 2005-02-10 Encryption communication key management apparatus and program Active JP4498165B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005034267A JP4498165B2 (en) 2005-02-10 2005-02-10 Encryption communication key management apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005034267A JP4498165B2 (en) 2005-02-10 2005-02-10 Encryption communication key management apparatus and program

Publications (2)

Publication Number Publication Date
JP2006222734A JP2006222734A (en) 2006-08-24
JP4498165B2 true JP4498165B2 (en) 2010-07-07

Family

ID=36984747

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005034267A Active JP4498165B2 (en) 2005-02-10 2005-02-10 Encryption communication key management apparatus and program

Country Status (1)

Country Link
JP (1) JP4498165B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4694443B2 (en) 2006-08-17 2011-06-08 本田技研工業株式会社 NAVI SERVER, NAVI DEVICE, AND NAVI SYSTEM
JP4962117B2 (en) * 2007-04-25 2012-06-27 コニカミノルタホールディングス株式会社 Encryption communication processing method and encryption communication processing apparatus

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS619052A (en) * 1984-06-25 1986-01-16 Toshiba Corp Communication network system
JPH02255398A (en) * 1989-03-30 1990-10-16 Toshiba Corp Portable electronic device
JP2002208921A (en) * 2000-11-08 2002-07-26 Nippon Telegraph & Telephone East Corp Vpn data communication method and private network construction system
JP2002536915A (en) * 1999-02-04 2002-10-29 メテオ―ラ・システム株式会社 IP key management mechanism with divergence barrier to increase entropy for computer decryption
WO2004043037A1 (en) * 2002-11-06 2004-05-21 International Business Machines Corporation Providing a user device with a set of access codes
WO2005013552A1 (en) * 2003-08-04 2005-02-10 Ntt Data Corporation Vpn communication system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS619052A (en) * 1984-06-25 1986-01-16 Toshiba Corp Communication network system
JPH02255398A (en) * 1989-03-30 1990-10-16 Toshiba Corp Portable electronic device
JP2002536915A (en) * 1999-02-04 2002-10-29 メテオ―ラ・システム株式会社 IP key management mechanism with divergence barrier to increase entropy for computer decryption
JP2002208921A (en) * 2000-11-08 2002-07-26 Nippon Telegraph & Telephone East Corp Vpn data communication method and private network construction system
WO2004043037A1 (en) * 2002-11-06 2004-05-21 International Business Machines Corporation Providing a user device with a set of access codes
JP2006505993A (en) * 2002-11-06 2006-02-16 インターナショナル・ビジネス・マシーンズ・コーポレーション Providing access code sets to user devices
WO2005013552A1 (en) * 2003-08-04 2005-02-10 Ntt Data Corporation Vpn communication system

Also Published As

Publication number Publication date
JP2006222734A (en) 2006-08-24

Similar Documents

Publication Publication Date Title
CN110493261B (en) Verification code obtaining method based on block chain, client, server and storage medium
US11962574B2 (en) Remote authentication and passwordless password reset
US9330245B2 (en) Cloud-based data backup and sync with secure local storage of access keys
KR101888903B1 (en) Methods and apparatus for migrating keys
CN103201998B (en) For the protection of the data processing of the local resource in mobile device
CN110399717B (en) Key acquisition method and device, storage medium and electronic device
CN108243176B (en) Data transmission method and device
EP2728908B1 (en) Telecommunications chip card
CN107800675A (en) A kind of data transmission method, terminal and server
CN101292496A (en) Method and devices for carrying out cryptographic operations in a client-server network
CN111401901B (en) Authentication method and device of biological payment device, computer device and storage medium
JP2019506789A (en) A method, system, and apparatus using forward secure encryption technology for passcode verification.
JP3833652B2 (en) Network system, server device, and authentication method
CN111901303A (en) Device authentication method and apparatus, storage medium, and electronic apparatus
CN117240625B (en) Tamper-resistant data processing method and device and electronic equipment
CN114244508A (en) Data encryption method, device, equipment and storage medium
JP4998314B2 (en) Communication control method and communication control program
CN108292997B (en) Authentication control system and method, server device, client device, authentication method, and recording medium
JP4498165B2 (en) Encryption communication key management apparatus and program
JP2007104118A (en) Protection method of secret information and communication apparatus
CN111901312A (en) Method, system, equipment and readable storage medium for network access control
CN113726515B (en) UKEY-based key processing method, storage medium and electronic device
KR101327193B1 (en) A user-access trackable security method for removable storage media
Urien et al. A new convergent identity system based on eap-tls smart cards
KR102094606B1 (en) Apparatus and method for authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090709

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090728

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090915

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100413

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100413

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4498165

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140423

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350