JPH06318939A - Cipher communication system - Google Patents
Cipher communication systemInfo
- Publication number
- JPH06318939A JPH06318939A JP5107974A JP10797493A JPH06318939A JP H06318939 A JPH06318939 A JP H06318939A JP 5107974 A JP5107974 A JP 5107974A JP 10797493 A JP10797493 A JP 10797493A JP H06318939 A JPH06318939 A JP H06318939A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- key
- connection
- session key
- distribution center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Communication Control (AREA)
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明は、任意の2台の端末がコ
ネクションを確立し、共通鍵暗号アルゴリズムを用いて
暗号通信を行う暗号通信システムに関し、更に詳しく
は、ネットワークを介して複数の端末が鍵配送センタに
接続され、鍵配送センタが生成したセッション鍵をネッ
トワークを介して入手することにより任意の2台の端末
がコネクションを確立して暗号通信を行う暗号通信シス
テムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a cryptographic communication system in which two arbitrary terminals establish a connection and perform cryptographic communication using a common key cryptographic algorithm, and more specifically, a plurality of terminals via a network. Is connected to a key distribution center, and the session key generated by the key distribution center is obtained via a network, whereby two arbitrary terminals establish a connection and perform encrypted communication.
【0002】[0002]
【従来の技術】この種の暗号通信システムは、広い地域
に分散した事業所等の特定のグループ内で暗号通信を行
う場合に効果的に利用できるものであるが、従来の暗号
通信システムでは、通信相手端末とのコネクションを確
立後、一方のアプリケーションプログラムが鍵配送セン
タにアクセスすることにより、通信に使用するセッショ
ン鍵を取得する。このセッション鍵を通信相手端末に送
信することにより、共通の鍵を共有し、以降の通信デー
タをこの鍵を用いて暗号化(復号)し、暗号通信を行う
ことが一般的であった。2. Description of the Related Art This type of cryptographic communication system can be effectively used when performing cryptographic communication within a specific group such as offices distributed over a wide area. After establishing a connection with the communication partner terminal, one application program accesses the key distribution center to acquire the session key used for communication. By transmitting this session key to the communication partner terminal, it is common to share a common key, encrypt (decrypt) subsequent communication data using this key, and perform encrypted communication.
【0003】[0003]
【発明が解決しようとする課題】上記のような従来方式
では、暗号通信に先立ち、端末上で走行するアプリケー
ションプログラムが鍵配送センタとコネクションを確立
し、鍵配送センタからセッション鍵を取得し、かつ通信
相手端末のアプリケーションに同じセッション鍵を送信
する処理が必要となる。一方、コネクション型のネット
ワークを介して端末間で通信を行う通信プログラムの数
は膨大であり、これらを暗号通信対応に変更する場合、
個別にアプリケーションプログラムを改造する必要があ
り、改造規模や工数が大きくなり、これに伴い開発費も
大きくなるという問題がある。In the conventional system as described above, the application program running on the terminal establishes a connection with the key distribution center, acquires the session key from the key distribution center, and executes the cryptographic communication, and A process of transmitting the same session key to the application of the communication partner terminal is required. On the other hand, the number of communication programs that perform communication between terminals via a connection-oriented network is enormous, and when changing these to support encrypted communication,
Since it is necessary to individually modify the application program, there is a problem that the scale of modification and the number of man-hours increase, and the development cost also increases accordingly.
【0004】本発明は、上記に鑑みてなされたもので、
その目的とするところは、アプリケーションプログラム
からのコネクション確立要求を検出し、鍵配送センタに
アクセスしてセッション鍵を取得し、通信相手端末にも
同じセッション鍵を送信して共通の鍵を共有することに
より、既存のアプリケーションプログラムに影響を与え
ることなく暗号通信を行い得る暗号通信システムを提供
することにある。The present invention has been made in view of the above,
The purpose is to detect the connection establishment request from the application program, access the key distribution center to obtain the session key, and send the same session key to the communication partner terminal to share the common key. Accordingly, it is an object of the present invention to provide a cryptographic communication system capable of performing cryptographic communication without affecting existing application programs.
【0005】[0005]
【課題を解決するための手段】上記目的を達成するた
め、本発明の暗号通信システムは、ネットワークを介し
て複数の端末が鍵配送センタに接続され、該鍵配送セン
タが生成したセッション鍵をネットワークを介して入手
することにより任意の2台の端末がコネクションを確立
して暗号通信を行う暗号通信システムであって、前記端
末は、他の端末と通信する際にアプリケーションからの
コネクション確立要求を検出するコネクション要求検出
手段と、前記コネクション確立要求の検出に応じて鍵配
送センタとコネクションを確立し、自端末および他の端
末のポート識別子を鍵配送センタに送信する識別子送信
手段と、鍵配送センタから送信されるセッション鍵を受
信して保持する受信手段と、他の端末とのコネクション
を確立する他端末コネクション確立手段と、該他端末コ
ネクション確立手段によって他の端末とのコネクション
を確立する際に前記受信手段で受信したセッション鍵を
他の端末に送信するセッション鍵送信手段と、他の端末
になった場合に、前記セッション鍵を受信した端末から
送信されてくるセッション鍵を受信して保持するセッシ
ョン鍵受信手段と、他の端末に送信すべき通信データを
セッション鍵で暗号化して他の端末に送信する暗号化手
段と、他の端末から送信されてくる通信データをセッシ
ョン鍵で復号化する復号化手段とを有し、前記鍵配送セ
ンタは、コネクション確立を要求する一端末とコネクシ
ョンを確立するコネクション確立手段と、該コネクショ
ン確立手段でコネクション確立した一端末から該一端末
および該端末が通信しようとする他の端末のポート識別
子を受信する識別子受信手段と、乱数を発生してセッシ
ョン鍵を生成するセッション鍵生成手段と、該セッショ
ン鍵生成手段で生成したセッション鍵を前記一端末およ
び他の端末の暗号鍵でそれぞれ暗号化する暗号化手段
と、該暗号化手段で暗号化した前記一端末および他の端
末用のセッション鍵を前記一端末に送信する送信手段と
を有することを要旨とする。In order to achieve the above object, in the cryptographic communication system of the present invention, a plurality of terminals are connected to a key distribution center via a network, and a session key generated by the key distribution center is networked. A cryptographic communication system in which any two terminals establish a connection and perform cryptographic communication by obtaining the request via a connection, and the terminal detects a connection establishment request from an application when communicating with another terminal. From the key distribution center, and a connection request detection unit that establishes a connection with the key distribution center in response to the detection of the connection establishment request, and transmits the port identifiers of its own terminal and other terminals to the key distribution center. Receiving means that receives and retains the session key that is sent, and another terminal that establishes a connection with another terminal. Function establishing means, session key transmitting means for transmitting the session key received by the receiving means to another terminal when establishing a connection with another terminal by the other terminal connection establishing means, and another terminal. In this case, a session key receiving unit that receives and holds the session key transmitted from the terminal that has received the session key, and communication data that should be transmitted to another terminal is encrypted with the session key and transmitted to the other terminal. And a decryption means for decrypting communication data transmitted from another terminal with a session key, wherein the key distribution center establishes a connection with one terminal requesting connection establishment. Establishing means, and the one terminal and the other terminal that the terminal is trying to communicate from the one terminal established by the connection establishing means. An identifier receiving means for receiving the end port identifier, a session key generating means for generating a random number to generate a session key, and a session key generated by the session key generating means for the encryption key of the one terminal and the other terminal. The gist of the present invention is to have an encrypting means for encrypting each and a transmitting means for transmitting the session keys for the one terminal and the other terminals encrypted by the encrypting means to the one terminal.
【0006】[0006]
【作用】本発明の暗号通信システムでは、端末上で走行
するアプリケーションプログラムからの通信相手端末と
のコネクション確立要求を検出し、この検出に応じて鍵
配送センタとコネクションを確立し、自端末および通信
相手である他の端末のポート識別子を鍵配送センタに送
信する。鍵配送センタは乱数を発生してセッション鍵を
生成し、端末から受信したポート識別子を基に各端末の
暗号鍵を検索し、この暗号鍵でセッション鍵を暗号化し
て端末に送信する。端末は暗号化された2つのセッショ
ン鍵を受信し、自端末のセッション鍵を自端末の暗号鍵
で復号して保持するとともに、他の端末とのコネクショ
ンを確立する手順の中で他の端末の暗号化されたセッシ
ョン鍵を送信する。他の端末はセッション鍵を受信する
と、自分の暗号鍵を用いてセッション鍵を復号して保持
する。自端末および他の端末は共通のセッション鍵を用
いて暗号通信を行うことができる。In the cryptographic communication system of the present invention, a request for establishing a connection with the communication partner terminal from an application program running on the terminal is detected, a connection is established with the key distribution center in response to the detection, and the own terminal and communication are performed. The port identifier of the other terminal as the other party is transmitted to the key distribution center. The key distribution center generates a session key by generating a random number, retrieves the encryption key of each terminal based on the port identifier received from the terminal, encrypts the session key with this encryption key, and sends it to the terminal. The terminal receives the two encrypted session keys, decrypts and holds the session key of its own terminal with the encryption key of its own terminal, and in the procedure of establishing a connection with another terminal, Send the encrypted session key. When the other terminal receives the session key, it decrypts the session key using its own encryption key and holds it. The own terminal and other terminals can perform encrypted communication using a common session key.
【0007】[0007]
【実施例】以下、図面を用いて本発明の実施例を説明す
る。Embodiments of the present invention will be described below with reference to the drawings.
【0008】図1は、本発明の一実施例に係わる暗号通
信システムの構成を示すブロック図である。なお、本実
施例では、コネクション型のプロトコルを使用して通信
を行うTCP/IP・LANを例にとって説明を行う。FIG. 1 is a block diagram showing the configuration of a cryptographic communication system according to an embodiment of the present invention. In addition, in the present embodiment, a description will be given by taking a TCP / IP / LAN that performs communication using a connection-type protocol as an example.
【0009】図1において、1はセッション鍵を生成し
て端末3に送信する鍵配送センタ、2は鍵配送センタ1
と端末3との間および端末3と端末3との間でコネクシ
ョンを確立し、通信を行うためのネットワーク、3は通
信を行う端末(#1〜#n)である。In FIG. 1, 1 is a key distribution center for generating a session key and transmitting it to the terminal 3, 2 is a key distribution center 1
The network 3 for establishing a connection and communicating between the terminal 3 and the terminal 3 and between the terminal 3 and the terminal 3 is a terminal (# 1 to #n) for performing communication.
【0010】鍵配送センタ1は、端末3とコネクション
を確立するコネクション制御手段11と、端末3からの
ポート識別子を受信する受信手段12と、後述するセッ
ション鍵を端末3に送信する送信手段13と、乱数を発
生させてセッション鍵を生成する乱数生成手段14と、
端末3の暗号鍵を検索(あるいは生成)する鍵管理手段
15と、乱数生成手段14で生成したセッション鍵を鍵
管理手段15で生成した端末3の暗号鍵で暗号化する暗
号手段16とから構成されている。The key distribution center 1 includes a connection control means 11 for establishing a connection with the terminal 3, a receiving means 12 for receiving a port identifier from the terminal 3, and a transmitting means 13 for transmitting a session key described later to the terminal 3. , Random number generation means 14 for generating a random number to generate a session key,
The key management means 15 retrieves (or generates) the encryption key of the terminal 3, and the encryption means 16 encrypts the session key generated by the random number generation means 14 with the encryption key of the terminal 3 generated by the key management means 15. Has been done.
【0011】また、各端末3は、アプリケーションプロ
グラムからのコネクション確立要求を検出するコネクシ
ョン要求検出手段31と、この検出を契機として、鍵配
送センタ1とコネクションを確立するとともに、他端末
3とコネクションを確立し、後述のセッション鍵を送信
するコネクション制御手段32と、鍵配送センタ1に自
端末3と他端末3のポート識別子を送信するとともに、
他端末3に暗号化された通信データ(以下、暗号文とい
う)を送信する送信手段33と、鍵配送センタ1からセ
ッション鍵を受信するとともに、他端末3からの暗号文
を受信する受信手段34と、自端末3の暗号鍵と鍵配送
センタ1からのセッション鍵を保持する鍵管理手段35
と、セッション鍵を暗号鍵で復号するとともに、他端末
3との通信時に、暗号文をもとの通信データ(以下、平
文という)に、あるいは平文を暗号文に変換する暗号・
復号手段36とから構成されている。Further, each terminal 3 establishes a connection with the key distribution center 1 and a connection request detecting means 31 for detecting a connection establishment request from an application program, and establishes a connection with the key distribution center 1 at the same time as a connection with another terminal 3. The connection control means 32 which establishes and transmits a session key, which will be described later, and the port identifiers of the own terminal 3 and the other terminal 3 are transmitted to the key distribution center 1.
Transmitting means 33 for transmitting encrypted communication data (hereinafter referred to as ciphertext) to the other terminal 3 and receiving means 34 for receiving the session key from the key distribution center 1 and receiving the ciphertext from the other terminal 3. And a key management unit 35 that holds the encryption key of the own terminal 3 and the session key from the key distribution center 1.
And a cryptographic key that decrypts the session key with the cryptographic key and converts the ciphertext into the original communication data (hereinafter referred to as plaintext) or the plaintext into ciphertext during communication with the other terminal 3.
It is composed of a decoding means 36.
【0012】なお、前記他端末3においては、セッショ
ン鍵は前記自端末3から受信し、鍵管理手段35に保持
する暗号鍵で復号後、鍵管理手段35に保持し、前記自
端末3との暗号通信のための暗号鍵として用いる。In the other terminal 3, the session key is received from the own terminal 3, decrypted by the encryption key held in the key managing means 35, and then held in the key managing means 35, and the session key is exchanged with the own terminal 3. Used as an encryption key for encrypted communication.
【0013】図2は、TCP/IP・LANで使用する
プロトコルをOSIの参照モデルに準拠して記述してい
る。物理、データリンクレイヤはMAC(Media Access
Control)プロトコル、ネットワークレイヤはIP(In
ternet Protocol )、トランスポートレイヤはTCP
(Transmit Control Protocol )で実現されており、ア
プリケーションプログラム(以下、APと略す)はTC
Pレイヤ間でコネクションを確立する。FIG. 2 describes the protocol used in TCP / IP LAN according to the OSI reference model. The physical and data link layers are MAC (Media Access
Control) protocol, network layer is IP (In
ternet Protocol), transport layer is TCP
(Transmit Control Protocol), the application program (hereinafter abbreviated as AP) is TC
A connection is established between the P layers.
【0014】図3は、TCP/IP・LANに接続され
た2台の端末間で通信する際に使用するフレーム・フォ
ーマットを示す。フレームは、MACヘッダ(MAC−H)、
IPヘッダ (IP−H)およびTCPヘッダ(TCP−H)からな
るヘッダと、APのデータ部およびフレーム全体のフレ
ーム・チェック・シーケンスから構成される。APのデ
ータ部に暗号をかけることにより、IPルータを介した
ネットワークを使用して通信を行うことができる。悪意
のある端末がなりすましによる、通信文のモニタあるい
は改ざんを防止するため、コネクション毎に違うセッシ
ョン鍵を使用する。なお、送信側のIPレイヤのアドレ
ス(IPヘッダに規定)およびTCPレイヤのポート番
号(TCPヘッダに規定)と受信側のIPアドレスおよ
びポート番号により、通信相手端末とのコネクションが
一意に決定される。FIG. 3 shows a frame format used for communication between two terminals connected to TCP / IP.LAN. The frame is a MAC header (MAC - H),
It is composed of a header composed of an IP header (IP - H) and a TCP header (TCP - H), a data part of the AP, and a frame check sequence of the entire frame. By encrypting the data part of the AP, communication can be performed using the network via the IP router. Use a different session key for each connection in order to prevent message monitoring or tampering due to spoofing by a malicious terminal. The connection with the communication partner terminal is uniquely determined by the IP layer address (defined in the IP header) of the transmission side, the port number (defined in the TCP header) of the TCP layer, and the IP address and port number of the reception side. .
【0015】図4は、TCPレイヤのヘッダ・フォーマ
ットを示す。図中、,−,部分は本発明に関係がないた
め、ここでは説明を省略する。図中,SRC−PORT
,および,DST−PORT,は、各々送信元のポート
番号、送信先のポート番号を示す。TCPヘッダの制御
フラグ(CF:Control Flag)を使用して通信相手端末と
コネクションを確立/切断を行う。コネクションの確立
は、,SYN,および,ACK,フラグを使用し、コネ
クションの切断は,FIN,および,ACK,フラグを
使用して、3ウェイハンドシェイクにより、実現してい
る。コネクションの確立/切断手順の詳細は、「上原:
異機種接続とLAN絵とき読本、pp.137〜14
1,オーム社」を参照されたい。FIG. 4 shows the header format of the TCP layer. In the figure, -, moiety since there is no relation to the present invention, a description thereof will be omitted. In the figure , SRC - PORT
And, DST - PORT, shows each source port number, the destination port number. A control flag (CF: Control Flag) of the TCP header is used to establish / disconnect a connection with a communication partner terminal. Connection establishment,, SYN, and, using ACK, the flag, disconnection is, FIN, and using ACK, the flag, the 3-way handshake is realized. For details on connection establishment / disconnection procedures, see "Uehara:
Different model connection and LAN picture and book, pp. 137-14
1, Ohmsha ".
【0016】図5は、鍵配送手順を示している。コネク
ション確立手順のどのタイミングで鍵配送センタにアク
セスするかにより、図5(a),(b),(c)に示す
3つのケースがある。基本的な考え方は同じであるた
め、図5(a)に示すケースIの手順についてのみ詳細
な説明を行う。以下に手順を示す。なお、送信側端末T
i および受信側端末Tj の暗号鍵Ki およびKj は、端
末のインストール時に各々の端末内部に保持しており、
外部から見ることができない作りになっている。以下の
説明では、送信側端末Ti および受信側端末Tj はそれ
ぞれTi およびTj と略記する。FIG. 5 shows a key distribution procedure. There are three cases shown in FIGS. 5 (a), 5 (b) and 5 (c) depending on the timing of accessing the key distribution center in the connection establishment procedure. Since the basic idea is the same, only the procedure of case I shown in FIG. 5A will be described in detail. The procedure is shown below. The transmitting terminal T
The encryption keys K i and K j of i and the receiving side terminal T j are held inside each terminal when the terminals are installed,
It is made so that it cannot be seen from the outside. In the following description, the transmission side terminal T i and the reception side terminal T j are abbreviated as T i and T j , respectively.
【0017】[手順1]Ti は、APからのコネクショ
ン確立要求を検出すると、鍵配送センタにアクセスし、
後述する鍵取得手順(図5の)により、Ti およびT
j それぞれの暗号鍵で暗号化されたセッション鍵(Ci
およびCj )を鍵配送センタから受信する(同図)。[Procedure 1] When T i detects the connection establishment request from the AP, it accesses the key distribution center,
By the key acquisition procedure (FIG. 5) described later, T i and T
j The session key (C i
And C j ) from the key distribution center (the same figure).
【0018】[手順2]Ci をTi の暗号鍵Ki で復号
し、セッション鍵Ks を取得する(同図)。Ks は、
Tj とのコネクションを切断するまで保持する。[Procedure 2] C i is decrypted with the encryption key K i of T i to obtain the session key K s (the same figure). K s is
Hold until disconnecting from T j .
【0019】[手順3]Ti は、Tj に,SYN,フラ
グにより、コネクション確立を要求する(同図)。[0019] [Step 3] T i is the T j, SYN, by a flag, requests a connection establishment (FIG).
【0020】[手順4]Tj は、Ti に,ACK,およ
び,SYN,フラグにより、応答とコネクション確立要
求を返却する(同図)。[0020] [Step 4] T j is the T i, ACK, and, SYN, by a flag, returns a response and a connection establishment request (drawing).
【0021】[手順5]Ti は、Tj に,ACK,フラ
グとともに鍵配送センタから受信したCj を送信する
(同図)。[0021] [Step 5] T i is the T j, transmits ACK, a C j received from the key distribution center with a flag (FIG).
【0022】[手順6]Tj は、Ti からCj を受信す
る(同図)。[Procedure 6] T j receives C j from T i (the same figure).
【0023】[手順7]Tj は、自分の暗号鍵Kj を用
いてCj を復号し、セッション鍵Ks を取得する(同図
)。Ks は、Ti とのコネクションを切断するまで保
持する。[Procedure 7] T j decrypts C j using its own encryption key K j and obtains the session key K s (the same figure). K s is held until the connection with T i is disconnected.
【0024】なお、Ks =dKi (Ci )は、暗号文C
i を暗号鍵Ki で復号した結果である。Note that K s = dK i (C i ) is the ciphertext C
This is the result of decrypting i with the encryption key K i .
【0025】[手順8]以降、共通のセッション鍵Ks
を用いて、Ti とTj 間の暗号通信が可能である(同図
)。After [procedure 8], the common session key K s
Using, the encrypted communication between T i and T j is possible (the same figure).
【0026】図6は、端末Ti (あるいはTj )が鍵配
送センタにアクセスし、セッション鍵Ks を取得するた
めの鍵取得手順を示している。以下に手順を示す。FIG. 6 shows a key acquisition procedure for the terminal T i (or T j ) to access the key distribution center and acquire the session key K s . The procedure is shown below.
【0027】[手順1]Ti は、鍵配送センタに,SY
N,フラグにより、コネクション確立を要求する(図6
の)。[0027] [Step 1] T i is, the key distribution center, SY
N , flag is used to request connection establishment (FIG. 6).
of).
【0028】[手順2]鍵配送センタは、Ti に,AC
K,および,SYN,フラグにより、応答とコネクショ
ン確立要求を返却する(同図)。[Procedure 2] At the key distribution center, at T i , AC
K, and, SYN, by a flag, returns a response and a connection establishment request (drawing).
【0029】[手順3]Ti は、鍵配送センタに,AC
K,フラグを返却することにより、コネクションを確立
する(同図)。これで、Ti −鍵配送センタ間のコネ
クションが確立する。[0029] [Step 3] T i is, the key distribution center, AC
The connection is established by returning K and the flag (FIG. 7). This establishes the connection between T i and the key distribution center.
【0030】[手順4]Ti は、鍵配送センタにTi お
よびTj のポート識別子IDi およびIDj を送信する
(同図)。なお、IDi /IDj はIPアドレスとポ
ート番号を連結した数値である。[Procedure 4] T i transmits the port identifiers ID i and ID j of T i and T j to the key distribution center (the same figure). Note that ID i / ID j is a numerical value obtained by concatenating the IP address and the port number.
【0031】[手順5]鍵配送センタは、乱数を発生
し、セッション鍵Ks を生成する。さらに、Ti および
Tj の暗号鍵Ki およびKj をIDi およびIDj をも
とに検索(あるいは生成)する。ここで、Ki およびK
j を検索(あるいは生成)する方法は、本発明とは関係
ないので詳細は省略する。検索によりKi およびKj を
取得する場合には、使用する端末のポート識別子および
暗号鍵を鍵配送センタのデータベースに登録する手段が
必要であることはいうまでもない。さらに、Kiおよび
Kj を生成する方法は、「小柳津、田中:UUIを利用
した鍵配送方式、信学技報、OFS92−31」を参照
されたい。[Procedure 5] The key distribution center generates a random number and generates a session key K s . Further, the encryption keys K i and K j of T i and T j are searched (or generated) based on ID i and ID j . Where K i and K
The method of searching (or generating) j is not related to the present invention, and thus its details are omitted. Needless to say, when acquiring K i and K j by searching, a means for registering the port identifier and the encryption key of the terminal to be used in the database of the key distribution center is required. Furthermore, for the method of generating K i and K j , refer to “Koyanagizu, Tanaka: Key distribution method using UUI, IEICE Technical Report, OFS 92-31”.
【0032】上記Ki およびKj を用いて、Ks を暗号
化し、Ci およびCj を生成する(同図)。Using the above K i and K j , K s is encrypted to generate C i and C j (the same figure).
【0033】なお、Ci =eKi (Ks )は、平文Ks
を暗号鍵Ki で暗号化した結果である。Note that C i = eK i (K s ) is the plaintext K s
Is the result of encryption with the encryption key K i .
【0034】[手順6]鍵配送センタは、Ti にCi お
よびCj を送信する(同図)。[Procedure 6] The key distribution center sends C i and C j to T i (FIG. 7).
【0035】[手順7]Ti は、鍵配送センタに,FI
N,フラグにより、コネクション切断を要求する(同図
)。[0035] [Step 7] T i is, the key distribution center, FI
A request to disconnect the connection is made by N and the flag (the same figure).
【0036】[手順8]鍵配送センタは、Ti に,AC
K,フラグにより、応答を返却する(同図)。[Procedure 8] At the key distribution center, T i , AC
The response is returned by K and the flag (the same figure).
【0037】[手順9]鍵配送センタは、Ti に,FI
N,フラグにより、コネクション切断を要求する(同図
)。[Procedure 9] The key distribution center sends FI to T i .
A request to disconnect the connection is made by N and the flag (the same figure).
【0038】[手順10]Ti は、鍵配送センタに,A
CK,フラグにより、応答を返却す[0038] [Step 10] T i is, the key distribution center, A
Response is returned by CK and flag
【外1】 以上、鍵取得手順の一例を記述したが、手順4のIDi
およびIDj を手順1の,SYN,フラグとともに送信
し、手順6のCi およびCj を手順2の,SYN,およ
び,ACK,フラグとともに送信してもよい。この場
合、手順4および手順6を削除することが可能である。[Outer 1] While there has been described an example of a key acquisition procedure, ID steps 4 i
And ID j steps 1, SYN, sent with a flag, of C i and C j in Step 6 Step 2, SYN, and may send ACK, along with the flag. In this case, procedure 4 and procedure 6 can be deleted.
【0039】本発明は、鍵配送アルゴリズムを特定した
ものではない。したがって、送信するデータの内容(こ
こでは、IDi ,IDj ,Ci およびCj )を変更すれ
ば、相手端末の認証ができること(小柳津、田中:UU
Iを利用した鍵配送方式、信学技報、OFS92−31
を参照)は、いうまでもない。The present invention does not specify a key distribution algorithm. Therefore, if the content of the data to be transmitted (here, ID i , ID j , C i, and C j ) is changed, the other terminal can be authenticated (Koyanagizu, Tanaka: UU).
Key distribution method using I, IEICE Technical Report, OFS92-31
Needless to say.
【0040】[0040]
【発明の効果】以上説明したように、本発明によれば、
端末上で走行するアプリケーションプログラムからのコ
ネクション確立要求に応じて鍵配送センタにアクセス
し、通信に使用するセッション鍵を取得し、通信相手端
末とのコネクション確立手順の中で相手端末にセッショ
ン鍵を送信し、任意の2台の端末間で共通のセッション
鍵を共有し、このセッション鍵を用いて暗号通信を行う
ので、従来のように既存のアプリケーションを改造する
必要がなく、経済化を図ることができる。As described above, according to the present invention,
In response to a connection establishment request from an application program running on the terminal, the key distribution center is accessed, the session key used for communication is acquired, and the session key is sent to the other terminal in the procedure of establishing the connection with the other terminal. However, since a common session key is shared between any two terminals and encrypted communication is performed using this session key, there is no need to modify existing applications as in the past, and economic efficiency can be achieved. it can.
【図1】本発明の一実施例に係わる暗号通信システムの
構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of a cryptographic communication system according to an embodiment of the present invention.
【図2】TCP/IP・LANで使用するプロトコルを
示す図である。FIG. 2 is a diagram showing a protocol used in TCP / IP LAN.
【図3】TCP/IP・LANのフレーム・フォーマッ
トを示す図である。FIG. 3 is a diagram showing a frame format of TCP / IP LAN.
【図4】TCPレイヤのヘッダフォーマットを示す図で
ある。FIG. 4 is a diagram showing a header format of a TCP layer.
【図5】鍵配送手順を示す図である。FIG. 5 is a diagram showing a key distribution procedure.
【図6】鍵配送センタと端末との間の鍵取得手順を示す
図である。FIG. 6 is a diagram showing a key acquisition procedure between a key distribution center and a terminal.
1 鍵配送センタ 2 ネットワーク 3 端末 11,32 コネクション制御手段 12,33 送信手段 13,34 受信手段 14 乱数生成手段 15,35 鍵管理手段 16 暗号手段 31 コネクション要求検出手段 36 暗号・復号手段 1 Key Distribution Center 2 Network 3 Terminal 11, 32 Connection Control Means 12, 33 Transmission Means 13, 34 Receiving Means 14 Random Number Generating Means 15, 35 Key Management Means 16 Encryption Means 31 Connection Request Detection Means 36 Encryption / Decryption Means
フロントページの続き (51)Int.Cl.5 識別記号 庁内整理番号 FI 技術表示箇所 H04L 29/02 Continuation of front page (51) Int.Cl. 5 Identification number Office reference number FI technical display area H04L 29/02
Claims (1)
送センタに接続され、該鍵配送センタが生成したセッシ
ョン鍵をネットワークを介して入手することにより任意
の2台の端末がコネクションを確立して暗号通信を行う
暗号通信システムであって、 前記端末は、他の端末と通信する際にアプリケーション
からのコネクション確立要求を検出するコネクション要
求検出手段と、前記コネクション確立要求の検出に応じ
て鍵配送センタとコネクションを確立し、自端末および
他の端末のポート識別子を鍵配送センタに送信する識別
子送信手段と、鍵配送センタから送信されるセッション
鍵を受信して保持する受信手段と、他の端末とのコネク
ションを確立する他端末コネクション確立手段と、該他
端末コネクション確立手段によって他の端末とのコネク
ションを確立する際に前記受信手段で受信したセッショ
ン鍵を他の端末に送信するセッション鍵送信手段と、他
の端末になった場合に、前記セッション鍵を受信した端
末から送信されてくるセッション鍵を受信して保持する
セッション鍵受信手段と、他の端末に送信すべき通信デ
ータをセッション鍵で暗号化して他の端末に送信する暗
号化手段と、他の端末から送信されてくる通信データを
セッション鍵で復号化する復号化手段とを有し、 前記鍵配送センタは、コネクション確立を要求する一端
末とコネクションを確立するコネクション確立手段と、
該コネクション確立手段でコネクション確立した一端末
から該一端末および該端末が通信しようとする他の端末
のポート識別子を受信する識別子受信手段と、乱数を発
生してセッション鍵を生成するセッション鍵生成手段
と、該セッション鍵生成手段で生成したセッション鍵を
前記一端末および他の端末の暗号鍵でそれぞれ暗号化す
る暗号化手段と、該暗号化手段で暗号化した前記一端末
および他の端末用のセッション鍵を前記一端末に送信す
る送信手段とを有することを特徴とする暗号通信システ
ム。1. A plurality of terminals are connected to a key distribution center via a network, and any two terminals establish a connection by obtaining a session key generated by the key distribution center via the network. A cryptographic communication system for performing cryptographic communication, wherein the terminal detects a connection establishment request from an application when communicating with another terminal, and a key distribution center in response to the detection of the connection establishment request. An identifier transmitting means for establishing a connection with each other and transmitting the port identifiers of the own terminal and another terminal to the key distribution center, a receiving means for receiving and holding a session key transmitted from the key distribution center, and another terminal. Other terminal connection establishing means for establishing another connection, and another terminal by the other terminal connection establishing means Session key transmitting means for transmitting the session key received by the receiving means to another terminal when establishing the connection, and a session transmitted from the terminal receiving the session key when the terminal becomes another terminal. Session key receiving means for receiving and holding the key, encryption means for encrypting communication data to be transmitted to another terminal with the session key and transmitting to the other terminal, communication data transmitted from the other terminal With a session key, the key distribution center, a connection establishment means for establishing a connection with one terminal requesting connection establishment,
An identifier receiving unit that receives a port identifier of the one terminal and another terminal with which the terminal is trying to communicate from one terminal that has established a connection by the connection establishing unit, and a session key generating unit that generates a session key by generating a random number. And an encryption means for encrypting the session key generated by the session key generation means with the encryption keys of the one terminal and the other terminals, and the encryption means for the one terminal and the other terminals encrypted by the encryption means. A cryptographic communication system, comprising: a transmitting unit that transmits a session key to the one terminal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10797493A JP3296514B2 (en) | 1993-05-10 | 1993-05-10 | Encryption communication terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10797493A JP3296514B2 (en) | 1993-05-10 | 1993-05-10 | Encryption communication terminal |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH06318939A true JPH06318939A (en) | 1994-11-15 |
| JP3296514B2 JP3296514B2 (en) | 2002-07-02 |
Family
ID=14472784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10797493A Expired - Lifetime JP3296514B2 (en) | 1993-05-10 | 1993-05-10 | Encryption communication terminal |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3296514B2 (en) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0955039A (en) * | 1995-08-15 | 1997-02-25 | Sony Corp | Recording medium, recorder and recording method, reproducing device and method and transmission method |
| JPH0993240A (en) * | 1995-09-28 | 1997-04-04 | Nippon Telegr & Teleph Corp <Ntt> | Information communication system and information communication method |
| JPH09116532A (en) * | 1995-10-20 | 1997-05-02 | Nippon Telegr & Teleph Corp <Ntt> | Information distribution method hiding cryptographic key contents |
| JPH11331144A (en) * | 1998-05-14 | 1999-11-30 | Seiko Epson Corp | Ciphering device, deciphering device, portable information processor, ciphering method, deciphering method and portable information processor control method |
| JP2000031956A (en) * | 1998-07-15 | 2000-01-28 | Nippon Telegr & Teleph Corp <Ntt> | Personal secret information shared communication method and system device |
| SG80562A1 (en) * | 1996-01-12 | 2001-05-22 | Mitsubishi Electric Corp | Cryptosystem |
| JP2003152695A (en) * | 2001-11-08 | 2003-05-23 | Seiko Epson Corp | Encryption communication system, communication management terminal, communication terminal, program for terminal and encryption communication method |
| JP2007174083A (en) * | 2005-12-20 | 2007-07-05 | Oki Electric Ind Co Ltd | Key updating system, key management apparatus, communication terminal and key information buildup method in multihop network |
| JP2012213008A (en) * | 2011-03-31 | 2012-11-01 | Sankyo Co Ltd | Game system and game device |
| JP2013236397A (en) * | 2013-07-23 | 2013-11-21 | Nti Corp | Transmission/reception system, transmitter, receiver, method executed therein, and program |
| JP2014053787A (en) * | 2012-09-07 | 2014-03-20 | Toshiba Corp | Communication device and program |
| JP2015163310A (en) * | 2015-06-16 | 2015-09-10 | 株式会社三共 | Game system and game device |
| JP2016221360A (en) * | 2016-10-03 | 2016-12-28 | 株式会社三共 | Game system and game device |
| JP2020014245A (en) * | 2019-10-15 | 2020-01-23 | 株式会社三共 | Game system |
-
1993
- 1993-05-10 JP JP10797493A patent/JP3296514B2/en not_active Expired - Lifetime
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0955039A (en) * | 1995-08-15 | 1997-02-25 | Sony Corp | Recording medium, recorder and recording method, reproducing device and method and transmission method |
| JPH0993240A (en) * | 1995-09-28 | 1997-04-04 | Nippon Telegr & Teleph Corp <Ntt> | Information communication system and information communication method |
| JPH09116532A (en) * | 1995-10-20 | 1997-05-02 | Nippon Telegr & Teleph Corp <Ntt> | Information distribution method hiding cryptographic key contents |
| SG80562A1 (en) * | 1996-01-12 | 2001-05-22 | Mitsubishi Electric Corp | Cryptosystem |
| JPH11331144A (en) * | 1998-05-14 | 1999-11-30 | Seiko Epson Corp | Ciphering device, deciphering device, portable information processor, ciphering method, deciphering method and portable information processor control method |
| JP2000031956A (en) * | 1998-07-15 | 2000-01-28 | Nippon Telegr & Teleph Corp <Ntt> | Personal secret information shared communication method and system device |
| JP2003152695A (en) * | 2001-11-08 | 2003-05-23 | Seiko Epson Corp | Encryption communication system, communication management terminal, communication terminal, program for terminal and encryption communication method |
| US8205085B2 (en) | 2005-12-20 | 2012-06-19 | Oki Electric Industry Co., Ltd. | Key update system, key management device, communication terminal, and key information construction method for multihop network |
| JP2007174083A (en) * | 2005-12-20 | 2007-07-05 | Oki Electric Ind Co Ltd | Key updating system, key management apparatus, communication terminal and key information buildup method in multihop network |
| JP2012213008A (en) * | 2011-03-31 | 2012-11-01 | Sankyo Co Ltd | Game system and game device |
| JP2014053787A (en) * | 2012-09-07 | 2014-03-20 | Toshiba Corp | Communication device and program |
| US9083682B2 (en) | 2012-09-07 | 2015-07-14 | Kabushiki Kaisha Toshiba | Communication device and computer program product |
| JP2013236397A (en) * | 2013-07-23 | 2013-11-21 | Nti Corp | Transmission/reception system, transmitter, receiver, method executed therein, and program |
| JP2015163310A (en) * | 2015-06-16 | 2015-09-10 | 株式会社三共 | Game system and game device |
| JP2016221360A (en) * | 2016-10-03 | 2016-12-28 | 株式会社三共 | Game system and game device |
| JP2020014245A (en) * | 2019-10-15 | 2020-01-23 | 株式会社三共 | Game system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3296514B2 (en) | 2002-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3263878B2 (en) | Cryptographic communication system | |
| US7509491B1 (en) | System and method for dynamic secured group communication | |
| JP4707992B2 (en) | Encrypted communication system | |
| US8515078B2 (en) | Mass subscriber management | |
| US7443983B2 (en) | Communication apparatus and method | |
| US8345875B2 (en) | System and method of creating and sending broadcast and multicast data | |
| JP4407452B2 (en) | Server, VPN client, VPN system, and software | |
| US20080307110A1 (en) | Conditional BGP advertising for dynamic group VPN (DGVPN) clients | |
| EP1484856A1 (en) | The method for distributes the encrypted key in wireless lan | |
| JP2002247047A (en) | Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device | |
| JP2001517020A (en) | Security measures for telecommunication network transmission | |
| CA2321407C (en) | Security mechanisms and architecture for collaborative systems using tuple space | |
| JP3296514B2 (en) | Encryption communication terminal | |
| JP3263877B2 (en) | Cryptographic gateway device | |
| JPH1168730A (en) | Encryption gateway device | |
| US8670565B2 (en) | Encrypted packet communication system | |
| JP2009033585A (en) | Wireless lan terminal connection method, and wireless lan system using the same | |
| JP3263879B2 (en) | Cryptographic communication system | |
| JPH07170280A (en) | Local area network | |
| JP2005244379A (en) | Vpn system, vpn apparatus, and encryption key distribution method used for them | |
| JPH11239184A (en) | Switching hub | |
| JPH11243388A (en) | Cipher communication system | |
| JP2006191429A (en) | Authentication method and system in assembly type customer station network | |
| JP2002247023A (en) | Method for sharing session sharing key, method for certifying network terminal, network, terminal, and repeater | |
| KR101594897B1 (en) | Secure Communication System and Method for Building a Secure Communication Session between Lightweight Things |