JPH0568033A - 暗号通信装置 - Google Patents
暗号通信装置Info
- Publication number
- JPH0568033A JPH0568033A JP3226793A JP22679391A JPH0568033A JP H0568033 A JPH0568033 A JP H0568033A JP 3226793 A JP3226793 A JP 3226793A JP 22679391 A JP22679391 A JP 22679391A JP H0568033 A JPH0568033 A JP H0568033A
- Authority
- JP
- Japan
- Prior art keywords
- key
- session key
- card
- terminal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】 秘密保持の安全性を損うことなく、ICカー
ドと端末との間でのデータ引継ぎ処理時間を短縮化して
高速での暗号通信を行なえるようにする。 【構成】 ICカード1において、セッション鍵を生成
すると共にこのセッション鍵および鍵配送鍵からセッシ
ョン鍵配送用のデータを求めるようにし、また前記端末
3において、ICカード1から読み取ったセッション鍵
を用いてメッセージの暗号文を求めるようにすること
で、端末3からICカード1へのメッセージデータの引
継ぎを不要としている。
ドと端末との間でのデータ引継ぎ処理時間を短縮化して
高速での暗号通信を行なえるようにする。 【構成】 ICカード1において、セッション鍵を生成
すると共にこのセッション鍵および鍵配送鍵からセッシ
ョン鍵配送用のデータを求めるようにし、また前記端末
3において、ICカード1から読み取ったセッション鍵
を用いてメッセージの暗号文を求めるようにすること
で、端末3からICカード1へのメッセージデータの引
継ぎを不要としている。
Description
【0001】
【産業上の利用分野】本発明は、秘密鍵暗号を用いて暗
号通信を行う暗号通信装置に関する。
号通信を行う暗号通信装置に関する。
【0002】
【従来の技術】暗号通信は、秘密鍵暗号または公開鍵暗
号を用いて実現できる。秘密鍵暗号は暗号鍵と復号鍵が
同一であり、公開鍵暗号は暗号鍵と復号鍵が異なる。暗
号の処理速度の観点からは、秘密鍵暗号は高速であり、
公開鍵暗号は低速である。従って、高速性が要求される
場合には秘密鍵暗号が適している。
号を用いて実現できる。秘密鍵暗号は暗号鍵と復号鍵が
同一であり、公開鍵暗号は暗号鍵と復号鍵が異なる。暗
号の処理速度の観点からは、秘密鍵暗号は高速であり、
公開鍵暗号は低速である。従って、高速性が要求される
場合には秘密鍵暗号が適している。
【0003】秘密鍵暗号を使用するには、送信者と受信
者が通信に先だって秘密に鍵を共有する必要がある。こ
の鍵に関し、鍵を固定すると、通信文が固定のとき暗号
文も固定となり、安全性の観点から好ましくないので、
暗号通信のための通信プロトコルでは、鍵は、通信毎に
変更することが推奨されている。このため、通信に先だ
って予め設定した鍵(「鍵配送鍵」と呼ぶ。以降では
「KN」で表す)を用いて暗号通信で使用する鍵(「セ
ッション鍵」と呼ぶ。以降では、「KF」で表す)を暗
号化して配送することで共有し、実際の通信ではセッシ
ョン鍵KFを用いて暗号をかける方式が広く普及してい
る。
者が通信に先だって秘密に鍵を共有する必要がある。こ
の鍵に関し、鍵を固定すると、通信文が固定のとき暗号
文も固定となり、安全性の観点から好ましくないので、
暗号通信のための通信プロトコルでは、鍵は、通信毎に
変更することが推奨されている。このため、通信に先だ
って予め設定した鍵(「鍵配送鍵」と呼ぶ。以降では
「KN」で表す)を用いて暗号通信で使用する鍵(「セ
ッション鍵」と呼ぶ。以降では、「KF」で表す)を暗
号化して配送することで共有し、実際の通信ではセッシ
ョン鍵KFを用いて暗号をかける方式が広く普及してい
る。
【0004】鍵配送鍵の管理法としては、ICカードを
用いる方式が安全性の観点から好ましい。利用者が毎回
異なる端末からセンタにアクセスするときなど、端末毎
に利用者対応の鍵配送鍵を管理すると、セキュリティの
低い端末から本来秘密であるはずの鍵配送鍵が漏洩する
恐れが生じる。端末数が増加するに従ってこのおそれが
増加する。理想的には、利用者が鍵配送鍵を記憶したI
Cカードを保持し、端末からセンタにアクセスするとき
ICカードを端末に挿入して、カード内でセッション鍵
を生成し、鍵配送鍵を用いてセッション鍵の配送用デー
タを作成してセンタに送信するのがよい。また、メッセ
ージの暗号化では、ICカードが端末からメッセージを
引き継いで、カード内で暗号文を作成して、端末経由で
センタに送信するのがよい。このような方式によれば、
鍵配送鍵とセッション鍵がICカードの外部に出ないの
で、安全性が高い方式といえる。
用いる方式が安全性の観点から好ましい。利用者が毎回
異なる端末からセンタにアクセスするときなど、端末毎
に利用者対応の鍵配送鍵を管理すると、セキュリティの
低い端末から本来秘密であるはずの鍵配送鍵が漏洩する
恐れが生じる。端末数が増加するに従ってこのおそれが
増加する。理想的には、利用者が鍵配送鍵を記憶したI
Cカードを保持し、端末からセンタにアクセスするとき
ICカードを端末に挿入して、カード内でセッション鍵
を生成し、鍵配送鍵を用いてセッション鍵の配送用デー
タを作成してセンタに送信するのがよい。また、メッセ
ージの暗号化では、ICカードが端末からメッセージを
引き継いで、カード内で暗号文を作成して、端末経由で
センタに送信するのがよい。このような方式によれば、
鍵配送鍵とセッション鍵がICカードの外部に出ないの
で、安全性が高い方式といえる。
【0005】
【発明が解決しようとする課題】しかしながら、上述し
た方式は、安全性が高い反面、実際にはICカードと端
末との間におけるデータ引継ぎ能力が小さいため、特に
暗号化対象であるメッセージが長い場合等、暗号通信時
のデータ引継ぎ処理時間が長くなるおそれがある。
た方式は、安全性が高い反面、実際にはICカードと端
末との間におけるデータ引継ぎ能力が小さいため、特に
暗号化対象であるメッセージが長い場合等、暗号通信時
のデータ引継ぎ処理時間が長くなるおそれがある。
【0006】本発明は上記に鑑みてなされたもので、そ
の目的としては、秘密保持の安全性を損うことなく、I
Cカードと端末との間でのデータ引継ぎ処理時間を短縮
化した暗号通信装置を提供することにある。
の目的としては、秘密保持の安全性を損うことなく、I
Cカードと端末との間でのデータ引継ぎ処理時間を短縮
化した暗号通信装置を提供することにある。
【0007】
【課題を解決するための手段】上記目的を達成するた
め、本発明は、暗号通信を行うためのセッション鍵を予
めセンタから設定されICカードに記憶された鍵配送用
の鍵配送鍵を用いて暗号化しセッション鍵配送用のデー
タとしてセンタに送信した上で、ICカードとの間でデ
ータのやりとりを行う機能を有する端末に入力されたメ
ッセージを暗号化し暗号文としてセンタに送信する暗号
通信装置において、前記ICカードは、セッション鍵を
生成するセッション鍵生成手段とこのセッション鍵およ
び鍵配送鍵からセッション鍵配送用のデータを求める第
1の暗号手段とを有し、前記端末は、ICカードから読
み取ったセッション鍵を用いてメッセージの暗号文を求
める第2の暗号手段を有することを要旨とする。
め、本発明は、暗号通信を行うためのセッション鍵を予
めセンタから設定されICカードに記憶された鍵配送用
の鍵配送鍵を用いて暗号化しセッション鍵配送用のデー
タとしてセンタに送信した上で、ICカードとの間でデ
ータのやりとりを行う機能を有する端末に入力されたメ
ッセージを暗号化し暗号文としてセンタに送信する暗号
通信装置において、前記ICカードは、セッション鍵を
生成するセッション鍵生成手段とこのセッション鍵およ
び鍵配送鍵からセッション鍵配送用のデータを求める第
1の暗号手段とを有し、前記端末は、ICカードから読
み取ったセッション鍵を用いてメッセージの暗号文を求
める第2の暗号手段を有することを要旨とする。
【0008】
【作用】本発明に係る暗号通信装置にあっては、ICカ
ードにおいて、セッション鍵を生成すると共にこのセッ
ション鍵および鍵配送鍵からセッション鍵配送用のデー
タを求めるようにし、また前記端末において、ICカー
ドから読み取ったセッション鍵を用いてメッセージの暗
号文を求めるようにすることで、端末からICカードへ
のメッセージデータの引継ぎを不要としている。
ードにおいて、セッション鍵を生成すると共にこのセッ
ション鍵および鍵配送鍵からセッション鍵配送用のデー
タを求めるようにし、また前記端末において、ICカー
ドから読み取ったセッション鍵を用いてメッセージの暗
号文を求めるようにすることで、端末からICカードへ
のメッセージデータの引継ぎを不要としている。
【0009】
【実施例】以下、図面を用いて本発明の実施例を説明す
る。
る。
【0010】図1は本発明の一実施例に係る暗号通信装
置の構成を示す図である。図1において、1はICカー
ド、3は端末、5はセンタである。
置の構成を示す図である。図1において、1はICカー
ド、3は端末、5はセンタである。
【0011】ICカード1は、セッション鍵KFを生成
するためのセッション鍵生成手段を構成する乱数発生器
7と、システムの加入に際して利用者iに対しセンタ5
により予め設定されている鍵配送鍵KNi およびセッシ
ョン鍵KFに基づいてセッション鍵配送用のデータxを
算出する第1の暗号器9とを有する構成である。
するためのセッション鍵生成手段を構成する乱数発生器
7と、システムの加入に際して利用者iに対しセンタ5
により予め設定されている鍵配送鍵KNi およびセッシ
ョン鍵KFに基づいてセッション鍵配送用のデータxを
算出する第1の暗号器9とを有する構成である。
【0012】端末3は、ICカード1からのセッション
鍵KFを記憶する秘密メモリ11と、このセッション鍵
KFを用いて入力されるメッセージmの暗号文cを求め
る第2の暗号器13とを有する構成である。なお、端末
3は、図示しないが、センタ5との間で通信を行うため
の機能を有するものである。
鍵KFを記憶する秘密メモリ11と、このセッション鍵
KFを用いて入力されるメッセージmの暗号文cを求め
る第2の暗号器13とを有する構成である。なお、端末
3は、図示しないが、センタ5との間で通信を行うため
の機能を有するものである。
【0013】センタ5は、端末3を介して送信されて来
たセッション鍵配送用のデータxから鍵配送鍵KNi を
用いてセッション鍵KFを求める第1の復号器15と、
このセッション鍵KFを用いて端末3から送信されて来
た暗号文cからメッセージmを求めるの第2の復号器1
7と、求めたセッション鍵KFを記憶する秘密メモリ1
9とを有する構成である。
たセッション鍵配送用のデータxから鍵配送鍵KNi を
用いてセッション鍵KFを求める第1の復号器15と、
このセッション鍵KFを用いて端末3から送信されて来
た暗号文cからメッセージmを求めるの第2の復号器1
7と、求めたセッション鍵KFを記憶する秘密メモリ1
9とを有する構成である。
【0014】次に、本実施例の作用を図2に示す通信シ
ーケンスを用いて説明する。なお、以下の説明におい
て、秘密鍵暗号の暗号処理を、 c=E(k,m) で表す。ここでkは暗号鍵、mは暗号化対象のメッセー
ジ、cは暗号文である。また、秘密鍵暗号の復号処理
を、 m’=D(k’,c) で表す。ここでk’は復号鍵、cは暗号文、m’は復号
文である。したがって、kとk’が一致すれば、mと
m’は一致する。
ーケンスを用いて説明する。なお、以下の説明におい
て、秘密鍵暗号の暗号処理を、 c=E(k,m) で表す。ここでkは暗号鍵、mは暗号化対象のメッセー
ジ、cは暗号文である。また、秘密鍵暗号の復号処理
を、 m’=D(k’,c) で表す。ここでk’は復号鍵、cは暗号文、m’は復号
文である。したがって、kとk’が一致すれば、mと
m’は一致する。
【0015】まず、セッション鍵KFの送信について説
明する。
明する。
【0016】ICカード1は、乱数発生器7を用いてセ
ッション鍵KFを生成し、鍵配送鍵KNi とセッション
鍵KFから第1の暗号器9を用いてセッション鍵配送用
のデータxを x=E1(KNi ,KF) で計算して、セッション鍵KFと共に端末3に引き渡
す。
ッション鍵KFを生成し、鍵配送鍵KNi とセッション
鍵KFから第1の暗号器9を用いてセッション鍵配送用
のデータxを x=E1(KNi ,KF) で計算して、セッション鍵KFと共に端末3に引き渡
す。
【0017】端末3は、セッション鍵KFを秘密メモリ
11に記憶して、データxをセンタ5に送信する。
11に記憶して、データxをセンタ5に送信する。
【0018】センタ5は、利用者iに対応する鍵配送鍵
KNi と受信したデータxから第1の復号器15を用い
てセッション鍵KFを KF=D1(KNi ,x) で計算して、秘密メモリ19に記憶する。
KNi と受信したデータxから第1の復号器15を用い
てセッション鍵KFを KF=D1(KNi ,x) で計算して、秘密メモリ19に記憶する。
【0019】次に、暗号通信について説明する。
【0020】端末3はセッション鍵KFを秘密メモリ1
1から読み出し、入力されたメッセージmを第2の暗号
器13を用いて c=E2(KF,m) で暗号文cを計算し、センタ5に送信する。
1から読み出し、入力されたメッセージmを第2の暗号
器13を用いて c=E2(KF,m) で暗号文cを計算し、センタ5に送信する。
【0021】センタ5はセッション鍵KFを秘密メモリ
19から読み出し、第2の復号器17を用いて暗号文c
から m=D2(KF,c) でメッセージmを計算する。
19から読み出し、第2の復号器17を用いて暗号文c
から m=D2(KF,c) でメッセージmを計算する。
【0022】したがって、本実施例によれば、従来のよ
うに端末からICカードへのメッセージデータの引継ぎ
が不要であるため、高速での暗号通信が可能となる。具
体的には、メッセージmが例えば9600バイトの場
合、従来方式において、端末とICカード間のデータ引
き継ぎ速度は、9600ビット/秒と非常に低速であ
る。これに対し、秘密鍵暗号は高速に処理できるので、
例えば処理能力の小さいICカードを用いても1秒以下
で暗号化可能である。従って、ICカードと端末での処
理時間の主要成分は、データの引き継ぎ処理時間とな
る。そして、従来方式においては、端末からICカード
へのデータ転送に8秒、ICカードから端末へのデータ
転送に8秒、合計で16秒要していたのに対し、本発明
においては、セッション鍵KFの引き継ぎに0.01秒
程度要するが、メッセージデータの転送が必要ないの
で、結果として、暗号通信時のデータ引き継ぎ処理時間
は略0秒である。
うに端末からICカードへのメッセージデータの引継ぎ
が不要であるため、高速での暗号通信が可能となる。具
体的には、メッセージmが例えば9600バイトの場
合、従来方式において、端末とICカード間のデータ引
き継ぎ速度は、9600ビット/秒と非常に低速であ
る。これに対し、秘密鍵暗号は高速に処理できるので、
例えば処理能力の小さいICカードを用いても1秒以下
で暗号化可能である。従って、ICカードと端末での処
理時間の主要成分は、データの引き継ぎ処理時間とな
る。そして、従来方式においては、端末からICカード
へのデータ転送に8秒、ICカードから端末へのデータ
転送に8秒、合計で16秒要していたのに対し、本発明
においては、セッション鍵KFの引き継ぎに0.01秒
程度要するが、メッセージデータの転送が必要ないの
で、結果として、暗号通信時のデータ引き継ぎ処理時間
は略0秒である。
【0023】一方、鍵配送鍵KNの秘密性については、
セッション鍵KFとセッション鍵配送用のデータxから
x=E1(KN,KF)をみたすKNを計算するのは暗
号破りそのものなので、使用する暗号方式が安全な場合
には、不可能である。また、本実施例ではセッション鍵
が端末に渡され、端末がメッセージの暗号化を行なう
が、メッセージが端末で作成される場合には、始めから
メッセージが端末に知られているので問題ない。
セッション鍵KFとセッション鍵配送用のデータxから
x=E1(KN,KF)をみたすKNを計算するのは暗
号破りそのものなので、使用する暗号方式が安全な場合
には、不可能である。また、本実施例ではセッション鍵
が端末に渡され、端末がメッセージの暗号化を行なう
が、メッセージが端末で作成される場合には、始めから
メッセージが端末に知られているので問題ない。
【0024】なお、本実施例では、セッション鍵KFの
生成をICカード1において行うようにしたが、端末3
で生成させることも可能であり、この場合には、データ
xの計算に先立って端末3がICカード1にセッション
鍵KFを引き渡す。但し、セッション鍵KFをICカー
ドで生成する場合は既知平文攻撃(平文とそれに対応す
る暗号文を知っている攻撃)に対応して、セッション鍵
KFを端末で生成する場合は選択平文攻撃(平文を選択
し、暗号化関数をオラクルとして用いて対応する暗号文
を知りうる状況下で、別の暗号文を解読しようとする攻
撃)に対応するので、安全性が要求される場合には、前
者の方式が好ましい。
生成をICカード1において行うようにしたが、端末3
で生成させることも可能であり、この場合には、データ
xの計算に先立って端末3がICカード1にセッション
鍵KFを引き渡す。但し、セッション鍵KFをICカー
ドで生成する場合は既知平文攻撃(平文とそれに対応す
る暗号文を知っている攻撃)に対応して、セッション鍵
KFを端末で生成する場合は選択平文攻撃(平文を選択
し、暗号化関数をオラクルとして用いて対応する暗号文
を知りうる状況下で、別の暗号文を解読しようとする攻
撃)に対応するので、安全性が要求される場合には、前
者の方式が好ましい。
【0025】
【発明の効果】以上説明したように本発明によれば、I
Cカードにおいて、セッション鍵を生成すると共に、こ
のセッション鍵および鍵配送鍵からセッション鍵配送用
のデータを求めるようにし、また前記端末において、I
Cカードから読み取ったセッション鍵を用いてメッセー
ジの暗号文を求めるようにすることで、端末からICカ
ードへのメッセージデータの引継ぎを不要としたので、
秘密保持の安全性を損うことなくICカードと端末との
間でのデータ引継ぎ処理時間を短縮して、高速での暗号
通信を行うことができる。
Cカードにおいて、セッション鍵を生成すると共に、こ
のセッション鍵および鍵配送鍵からセッション鍵配送用
のデータを求めるようにし、また前記端末において、I
Cカードから読み取ったセッション鍵を用いてメッセー
ジの暗号文を求めるようにすることで、端末からICカ
ードへのメッセージデータの引継ぎを不要としたので、
秘密保持の安全性を損うことなくICカードと端末との
間でのデータ引継ぎ処理時間を短縮して、高速での暗号
通信を行うことができる。
【図1】本発明の一実施例の構成を示す図である。
【図2】当該一実施例における通信シーケンスを示す図
である。
である。
1 ICカード 3 端末 5 センタ 7 乱数発生器 9 第1の暗号器 11 秘密メモリ 13 第2の暗号器 15 第1の復号器 17 第2の復号器 19 秘密メモリ
Claims (1)
- 【請求項1】 暗号通信を行うためのセッション鍵を予
めセンタから設定されICカードに記憶された鍵配送用
の鍵配送鍵を用いて暗号化しセッション鍵配送用のデー
タとしてセンタに送信した上で、ICカードとの間でデ
ータのやりとりを行う機能を有する端末に入力されたメ
ッセージを暗号化し暗号文としてセンタに送信する暗号
通信装置において、 前記ICカードは、セッション鍵を生成するセッション
鍵生成手段とこのセッション鍵および鍵配送鍵からセッ
ション鍵配送用のデータを求める第1の暗号手段とを有
し、前記端末は、ICカードから読み取ったセッション
鍵を用いてメッセージの暗号文を求める第2の暗号手段
を有することを特徴とする暗号通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3226793A JPH0568033A (ja) | 1991-09-06 | 1991-09-06 | 暗号通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3226793A JPH0568033A (ja) | 1991-09-06 | 1991-09-06 | 暗号通信装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH0568033A true JPH0568033A (ja) | 1993-03-19 |
Family
ID=16850708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP3226793A Pending JPH0568033A (ja) | 1991-09-06 | 1991-09-06 | 暗号通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0568033A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005322963A (ja) * | 2004-05-06 | 2005-11-17 | Dainippon Printing Co Ltd | 暗号化もしくは復号化処理用のicカードならびにこれを用いた暗号通信システムおよび暗号通信方法 |
| WO2007099716A1 (ja) * | 2006-03-01 | 2007-09-07 | Bellwood International, Inc. | データ通信システムおよび可搬型メモリ |
-
1991
- 1991-09-06 JP JP3226793A patent/JPH0568033A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005322963A (ja) * | 2004-05-06 | 2005-11-17 | Dainippon Printing Co Ltd | 暗号化もしくは復号化処理用のicカードならびにこれを用いた暗号通信システムおよび暗号通信方法 |
| JP4582619B2 (ja) * | 2004-05-06 | 2010-11-17 | 大日本印刷株式会社 | 暗号化もしくは復号化処理用のicカードならびにこれを用いた暗号通信システムおよび暗号通信方法 |
| US8595813B2 (en) | 2004-05-06 | 2013-11-26 | Dai Nippon Printing Co., Ltd. | IC card for encryption or decryption process and encrypted communication system and encrypted communication method using the same |
| WO2007099716A1 (ja) * | 2006-03-01 | 2007-09-07 | Bellwood International, Inc. | データ通信システムおよび可搬型メモリ |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5638444A (en) | Secure computer communication method and system | |
| US5144665A (en) | Cryptographic communication method and system | |
| US6125185A (en) | System and method for encryption key generation | |
| WO2010064666A1 (ja) | 鍵配布システム | |
| EP3476078B1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
| JPH06266670A (ja) | 暗号化仮想端末初期化装置 | |
| JPH08234658A (ja) | 暗号作業鍵を生成する方法 | |
| JPH118620A (ja) | 通信チャネルの認証を効率的に実施し、不正な変更の検出を容易にするシステムおよび方法 | |
| KR101991775B1 (ko) | Fpga기반의 데이터 암복호화 방법 | |
| CN110493124A (zh) | 保护数据安全的加密即时通信系统及通信方法 | |
| JPH10107832A (ja) | 暗号同報メールシステム | |
| JPH0193230A (ja) | 可変の秘密情報の共有方式 | |
| JPH0969831A (ja) | 暗号通信システム | |
| KR20060078768A (ko) | 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법 | |
| JP2001111539A (ja) | 暗号鍵生成装置および暗号鍵伝送方法 | |
| JPS63161745A (ja) | 暗号化通信用端末装置 | |
| JPH0568033A (ja) | 暗号通信装置 | |
| JPS6253042A (ja) | 暗号鍵の配送方式 | |
| JPH11187008A (ja) | 暗号鍵の配送方法 | |
| US20200169541A1 (en) | Systems and methods for encryption | |
| JPS63176043A (ja) | 秘密情報通信方式 | |
| JP2680426B2 (ja) | 認証方式 | |
| JPH088565B2 (ja) | 同報鍵配送装置 | |
| JPH02195377A (ja) | 鍵共有機能付きicカード | |
| CN114760053B (zh) | 一种对称密钥的分发方法、装置、设备及介质 |