JPH1051439A - 暗号化装置 - Google Patents

暗号化装置

Info

Publication number
JPH1051439A
JPH1051439A JP9129972A JP12997297A JPH1051439A JP H1051439 A JPH1051439 A JP H1051439A JP 9129972 A JP9129972 A JP 9129972A JP 12997297 A JP12997297 A JP 12997297A JP H1051439 A JPH1051439 A JP H1051439A
Authority
JP
Japan
Prior art keywords
data
encryption
random number
unit
transfer key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP9129972A
Other languages
English (en)
Other versions
JP3898796B2 (ja
Inventor
Natsume Matsuzaki
なつめ 松崎
Toshiharu Harada
俊治 原田
Makoto Tatebayashi
誠 館林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP12997297A priority Critical patent/JP3898796B2/ja
Publication of JPH1051439A publication Critical patent/JPH1051439A/ja
Application granted granted Critical
Publication of JP3898796B2 publication Critical patent/JP3898796B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 規模の小さな暗号化ICを備え、機器間通信
の安全性を確保するための必要最小限の機能を有する暗
号化装置を提供する。 【解決手段】 第1の機器51において、第1の暗号化
IC54は、第2の機器を認証する過程(ステップ
(1)、(3)、(6),(7))で生成した乱数R3と、自らの正
当性を第2の機器52に対して証明する過程(ステップ
(2)、(4)、(5),(8))で獲得した乱数RR4とを結合す
ることで時変のデータ転送鍵を生成し(ステップ
(9))、そのデータ転送鍵を用いてデジタル著作物を暗
号化し、第2の機器52に転送する(ステップ(11))。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、秘密鍵を共有して
暗号通信を行なう通信機器に備えられる暗号化装置に関
し、特に、小さい回路規模で実現することができる暗号
化装置に関する。
【0002】
【従来の技術】通信路を介して通信されているデータが
通信路上で不正にコピーされたり改変されることを防ぐ
ことが必要となる場合が数多くある。例えば、映画など
の著作物がディジタル化されさらに情報圧縮され、さら
に光ディスク上にディジタル記録されており、これが光
ディスク再生装置により電気情報として取り出され、取
り出されたデジタル情報が情報伸長装置により伸長さ
れ、映像音響再生装置により再生されるような場合であ
る。
【0003】ここで光ディスク再生装置と情報伸長装置
は別々の機器として分離しており、その間がディジタル
通信路によりデータ通信される場合、この通信データが
著作者の許可なくディジタル情報記録装置により記録さ
れ、さらにディジタル情報複製装置により複製されるも
のであれば、その映画の著作物が不正に複製されること
になり、著作権の侵害が起こる。従って通信路を介して
通信されているデータが通信路上で不正にコピーされる
ことを防がなければならない。機器内の回路や部品の仕
様が一般には公開されないのに対し、データ通信のため
の電気的特性や信号形式は一般に公開される場合が多い
ので通信路におけるデータの不正コピーやそれに引き続
くデータの改変が大きな問題になる。
【0004】このような不正行為を排除して安全な通信
を確保するための技術については従来より様々なものが
知られている。最も代表的なものは相手認証技術を用い
るものである。これは基本的にはデータを送出する側が
受信する側の正当性を認証し、正当な受信者であること
が確認できたときのみにデータを送信することで、デジ
タル著作物が不正な機器に受信されることを防止するも
のである。
【0005】なお、この場合の受信者のように自らの正
当性を証明する側を証明者と呼び、またこの場合の送信
者のように相手の正当性を確認する側を認証者と呼ぶ。
また、前述の光ディスク記録再生に関わる機器のような
場合では、特定の機器の間で認証が成功するか否かとい
うことよりも、それら機器が光ディスク関連機器の業界
によって定められた規格に準拠したものであるか否かが
問題となる。従ってこのような場合では、「正当性」と
は「所定の規格に準拠すること」を意味する。 (第1の従来技術)第1の具体的な従来技術として、国
際標準規格ISO/IEC9798-2に記載される暗号技術を用い
た一方向認証方法がある。
【0006】この認証方法は証明者が認証鍵と呼ばれる
秘密のデータを持つことを、その鍵自身を知らせること
なく認証者に対して証明することを基本としている。そ
のためにまず認証者があるデータを選びこれを証明者に
対して投げかける。この行為をチャレンジ、投げかけた
データをチャレンジデータと呼ぶ。これに対して証明者
は、予め所有していた暗号変換と認証鍵を用いて前記チ
ャレンジデータを暗号化する。そして、暗号化したデー
タを認証者に返す。この行為をレスポンス、そのデータ
をレスポンスデータを呼ぶ。
【0007】このレスポンスデータを受信した認証者
は、証明者が所有している暗号変換の逆変換である復号
変換と認証鍵を共有しており、証明者から返信されてき
たレスポンスデータをその認証鍵と復号変換を用いて復
号化する。この結果が前記チャレンジデータと一致すれ
ば受信者は正規の認証鍵を持つものと判断し、証明者の
正当性を認証する。一方向認証とは一方の側がその正当
性を他方に証明することを意味する。
【0008】ここで、暗号変換Tとは、鍵データSによ
り定まる平文集合から暗号文集合への写像である。平文
をXとしたとき暗号文を T(S,X)と書く。同じ鍵
データSにより定まる暗号文集合から平文集合への写像
である逆変換TINVとの間には、 TINV(S,T(S,X)) = X の関係がある。これは平文Xを暗号変換し、これを逆変
換すると元に戻ることを意味している。暗号変換の逆変
換を復号変換と呼ぶ。暗号変換であるためには鍵Sの知
識がないときに暗号文T(S,X)から平文Xを求める
のが困難であることが必要である。なお、慣例により暗
号変換をE(S, )、復号変換をD(S, )と記
す。
【0009】図11は、前記規格に記載されている認証
方法の一例を示す図である。図11では、第1の機器1
1から第2の機器12にデジタル著作物mjを転送する
場合が示されている。ここでは、第1の機器11が第2
の機器12の正当性を確認する。以下この従来の一方向
認証方法の動作を同図に示されたステップ番号に従って
説明する。
【0010】(1) 第1の機器11は、乱数R1を生成す
る。そしてこれをチャレンジデータとして通信路を介し
て第2の機器12に送信する。 (2) 第2の機器12はこの乱数を受けとると、第2の機
器12に格納されている秘密の認証鍵Sを暗号鍵として
この乱数を暗号化する。そしてその結果C1をレスポン
スデータとして通信路を介して第1の機器11に送信す
る。
【0011】(3) 第1の機器11はこのレスポンスデー
タを受け取ると、第1の機器11に格納されている認証
鍵Sを復号鍵としてこのレスポンスデータC1を復号化
する。 (4) 第1の機器11は、復号の結果RR1を第1の機器
11内に一時保管されている乱数R1と比較する。これ
が一致すれば第1の機器11は第2の機器12機器が同
じ認証鍵Sを保有するものと考え、通信相手が正当なも
のであると認証する。一方、一致しなければ通信相手が
正当なものではないものと判断して処理を中断する。
【0012】(5) 第1の機器11は第2の機器12を正
当なものと認証した後、デジタル著作物を通信路を介し
て第2の機器12に送信する。もしも、第2の機器12
の代わりに認証鍵Sを有さない第3の機器が通信路に接
続されている場合には、その第3の機器は上記ステップ
(2)で正しい値のデータC1を作成することができず、
結果としてステップ(3)で復号の結果RR1が前記R1
と一致しないため、ステップ(4)において第1の機器1
1はデジタル著作物をその第3の機器に伝送しない。
【0013】なお、第1の機器11と第2の機器12の
間でいつも同じチャレンジデータとレスポンスデータが
用いられるならば、そのことを知った不正な第3の機器
が第2の機器12になりすますことが考えられる。これ
を避けるために第1の機器11からは毎回異なるチャレ
ンジデータ(乱数)を送っている。 (第2の従来技術)ところで、上記第1の従来技術で
は、例えば認証の後、ハードディスク装置に記憶されて
いる偽りのデータを正規の認証鍵を有する第2の機器1
2に対して不正に送出することも可能である。この問題
を解決するため、第1の機器11が第2の機器12の正
当性を確認すると同時に、第2の機器12も第1の機器
11の正当性を確認することが必要となる。
【0014】また、双方の機器が認証した後にデジタル
著作物を通信路を介して第2の機器12に伝送している
最中に、この通信路上のデータを抜きとり、これを例え
ばハードディスク装置に記憶することが考えられる。も
ちろんこのためには通信路上の信号の電気的特性やデー
タ形式などの知識が必要であるが、それらの知識は一般
に特に秘密にされている情報ではないので、そのディジ
タル著作物の抜きとりは技術的に十分に可能である。そ
のため、認証だけでは不十分であり、認証が成功した後
に、各機器間でランダムに生成した新たな鍵を共有し、
その鍵を用いてデジタル著作物を暗号化して転送する暗
号通信をすることが必要になる。なお、デジタル著作物
等の転送すべきデータを暗号化するための秘密鍵を、以
下、「データ転送鍵」と呼ぶ。
【0015】以下、上記第1の従来技術である一方向認
証を拡張し、双方向認証とデータ転送鍵の共有化と暗号
通信とを行なう第2の従来技術を説明する。図12は、
この双方向認証を実現する装置の一例を示す。図12に
は、第1の機器21から第2の機器22にデジタル著作
物mjを暗号化した後に転送する場合が示されている。
【0016】以下この従来の双方向認証とデータ転送鍵
の共有化の動作を同図に示されたステップ番号に従って
説明する。 (1) 第1の機器21は乱数R1を生成する。これは第1
のチャレンジデータとしての意味を持つ。そしてこれを
通信路を介して第2の機器22に送信する。ここで乱数
R2は第2の機器22から第1の機器21への第2のチ
ャレンジデータとしての意味を持つ。つまり、暗号文C
1は第1のチャレンジデータに対するレスポンスデータ
と第2のチャレンジデータの両方の意味を持つ。
【0017】(2) 第2の機器22は乱数R2を生成し、
それと第1の機器21から受けとった乱数R1とを結合
することで結合データR1||R2を作成する。ここで記
号" || "は双方のデータを桁方向に並べて結合すること
を示す。そして第2の機器22の認証鍵Sを暗号鍵とし
て、この結合データR1||R2を暗号化し、その暗号文
C1を第1の機器21に送信する。
【0018】(3) 第1の機器21は、第2の機器22か
ら受信した暗号文C1を認証鍵Sを復号鍵として復号化
し、その結果の上位を分離データRR1、下位を分離デ
ータRR2とする。 (4) 第1の機器21では、この分離データRR1を第1
の機器21に一時記憶されている乱数R1と比較する。
これが一致すれば通信相手が認証鍵Sを持っている正当
な機器であると認証する。もしも一致しなければここで
認証処理を中断する。
【0019】(5) 第1の機器21は、乱数Kを発生しこ
れをデータ転送鍵Kとして設定する。そして前記獲得し
た分離データRR2とこのデータ転送鍵Kを結合した結
合データRR2||Kを第1の機器21の認証鍵Sで暗号
化して、その暗号文C2を第2の機器22に送信する。 (6) 第2の機器22は、第1の機器21から受信した暗
号文C2を認証鍵Sを用いて復号化し、その上位を分離
データRRR2、下位を分離データKKとする。
【0020】(7) 第2の機器22は、この分離データR
RR2を第2の機器22に一時記憶されている乱数R2
と比較する。これが一致すれば通信相手が認証鍵Sを持
っている正当な機器であると認証する。もしも一致しな
ければ、ここで認証処理を中断する。一方、復号化した
分離データKKをデータ転送鍵KKとして設定する。
【0021】(8) 第1の機器21は、前記データ転送鍵
Kを用いてデジタル著作物を暗号化し、通信路を介して
第2の機器22に送信する。 (9)第2の機器22ではこれを前記データ転送鍵KKを
用いて復号化し、もとのデジタル著作物を獲得する。こ
こで、もしも第1の機器21が正規の認証鍵Sを有し、
第2の機器22が正規の認証鍵を有していない場合に
は、ステップ(4)で第1の機器21は通信相手が正規の
認証鍵を有していないものと判断し、認証処理を中断で
きる。また第1の機器21が正規の認証鍵を有しておら
ず、第2の機器22は正規の認証鍵を有している場合に
は、ステップ(7)において第2の機器22は通信相手が
正規の認証鍵を有していないものと判断し、認証処理を
中断できる。このようにしてデジタル著作物が不正な機
器に流出することを防止すると同時に不正な機器から正
当な機器に流入することも防止することができる。
【0022】さらに、第1の機器21も第2の機器22
も正当な認証鍵を有している場合において前記認証処理
が完了しステップ(8)においてデジタル著作物が通信路
上を伝送されている際に、もし、そのデジタル著作物が
電気的にコピーされ、ディジタル蓄積装置に蓄積された
場合であっても、そのディジタル著作物は暗号化されて
いるので、無意味なデジタルデータとなっており、元の
デジタル著作物は有効に保護される。
【0023】以上のように、暗号技術を用いた双方向認
証が首尾よく行われるには、第1の機器21及び第2の
機器22の内部に格納されている認証鍵が不正を行おう
とするものに容易に分からないことが必須の条件とな
る。また、チャレンジデータのための乱数の生成部やデ
ータ転送鍵Kの生成部が外部からアクセス不可なこと、
変更できないことが必要である。
【0024】それら構成要素の秘匿性を確保する最も効
果的な方法は、上記の認証やデータ転送鍵の共有化及び
暗号通信を行う部分をICとして実現する方法である。
ICを解析するには一般に多大な労力がかかるので、認
証鍵などが容易には解読されないからである。
【0025】
【発明が解決しようとする課題】ところが、上記の第2
従来技術における第1の機器21をICで実現するため
には、そのようなIC(以下、「暗号化IC」とい
う。)は次の部分を備えることが必要である。 ・乱数R1を生成する乱数生成部 ・暗号文C1を復号化するための復号部 ・認証鍵Sを格納する部分 ・乱数R1と分離データRR1を比較するための比較部 ・データ転送鍵Kを生成するための乱数生成部 ・分離データRR2とデータ転送鍵Kを結合して暗号化
するための暗号部 ・データ転送鍵Kを格納する部分 ・データ転送鍵Kを用いてデジタル著作物を暗号化する
暗号部 第2の機器22についてもこれと同程度の規模のハード
ウェアが必要である。
【0026】このように、上記従来の認証方式をICで
実現したのでは、2つの乱数生成部、2つの変換部(復
号部と暗号部)非常に多くの機能を持たなければならな
いために、回路規模が大きくなり結局機器のコストアッ
プにつながるという問題点を有する。また、上記第2従
来技術ではデータを暗号化するためのデータ転送鍵Kは
第1の機器21が生成しているが、相互認証が必要とさ
れるのと同じ理由により、この鍵は双方の機器が生成し
た値を反映するほうが望ましい。
【0027】以上説明したように、機器間の回線を保護
するためには、認証等の機能やそのための秘密の情報を
ICに封じ込めて実現する方法が効果的である。しか
し、従来の方法において、相互認証の部分、データ転送
鍵の共有化の部分及びデータ暗号化の部分をすべて1つ
のICで実現するのでは、そのICの規模は非常に大き
くなってしまい、コストアップにつながる。
【0028】そこで、本発明は、規模の小さな暗号化I
Cを備え、機器間通信の安全性を確保するための必要最
小限の機能を有する暗号化装置を提供することを第1の
目的とする。ここで暗号化ICは次の機能を有する。 (1) 認証鍵を安全に格納する。その鍵は外部からのアク
セスにより書き換え及び読み出しがなされない。
【0029】(2) データ転送鍵を安全に共有する。その
鍵は外部からのアクセスにより書き換え及び読み出しが
なされない。 (3) 但し、通信システムの安全性に関連しない部分を暗
号化ICに備えないことにより、暗号化ICの規模を最
小とする。また、本発明の第2の目的は、規模の小さな
暗号化ICを用いて実現するのに好適であり、かつ、安
全性の高い暗号通信システムを提供することである。
【0030】
【課題を解決するための手段】上記第1の目的を達成す
るために本発明は、データ転送鍵の共有化とそのデータ
転送鍵を用いた暗号通信を行なう機器に備えられる暗号
化装置であって、前記データ転送鍵の共有化のための第
1乱数を生成する第1乱数生成手段と、前記第1乱数生
成手段により生成された第1乱数を保持する第1乱数保
持手段と、前記第1乱数生成手段により生成された第1
乱数を前記暗号通信の相手機器に送信する第1送信手段
と、前記第1乱数保持手段に保持された第1乱数を用い
て時変の前記データ転送鍵を生成するデータ転送鍵生成
手段と、暗号通信の対象となる転送データに対して前記
データ転送鍵を用いて暗号化する転送データ暗号化手段
とを備え、前記第1乱数生成手段、前記第1乱数保持手
段、前記データ転送鍵生成手段及び前記転送データ暗号
化手段は、1個のIC内の回路で実現され、前記第1乱
数保持手段は、前記ICの外部からアクセスできない領
域に前記第1乱数を保持することを特徴とする。
【0031】これにより、データ転送鍵の生成に直接関
連する第1乱数は外部からアクセスできない暗号化IC
の内部に保持されるので、時変のデータ転送鍵は各機器
に安全に共有され、暗号通信が行われる。また、暗号化
ICは、機器間通信の安全性を確保するための必要最小
限の機能を持つので、小さな回路で実現することができ
る。
【0032】また、上記第2の目的を達成するために本
発明は、データ転送鍵の共有化とそのデータ転送鍵を用
いた暗号通信を行なう送信機及び受信機から構成される
通信システムであって、それら送信機及び受信機は、チ
ャレンジレスポンス型の認証プロトコルに基づく通信に
より相互に相手機器が正当な機器であることを認証し合
うものであり、それぞれ、チャレンジデータ用の第1乱
数を生成する第1乱数生成手段と、前記データ転送鍵用
の第2乱数を生成する第2乱数生成手段と、前記第1乱
数と前記第2乱数を結合する結合手段と、前記結合デー
タを暗号化する暗号化手段と、暗号化された前記結合デ
ータを前記相手機器に送信する第1送信手段と、前記相
手機器の第1送信手段から送信された暗号化された結合
データを受信する第1受信手段と、受信した前記結合デ
ータを復号化する復号化手段と、復号化された前記結合
データをレスポンスデータに相当する第1分離データと
前記データ転送鍵用の第2分離データに分離する分離手
段と、前記第1分離データをレスポンスデータとして前
記相手機器に返信する第2送信手段と、前記相手機器の
第2送信手段から返信された第1分離データを受信する
第2受信手段と、受信した前記第1分離データと前記第
1乱数とを比較し、一致している場合に前記相手機器を
正当な機器と認証する比較手段と、前記第2乱数と前記
第2分離データとを結合することで、前記データ転送鍵
を生成するデータ転送鍵生成手段と、前記認証がなされ
た場合に、生成された前記データ転送鍵を用いて前記相
手機器と暗号通信を行なう暗号通信手段とを備えること
を特徴とする。
【0033】これにより、送信機及び受信機間で相互認
証が行われると共にデータ転送鍵が生成されること、デ
ータ転送鍵の生成に直接関連する乱数はそのままでは送
受信されないこと、及び、データ転送鍵の生成に直接関
連する2つの乱数はそれぞれ送信機及び受信機から提供
されたものであることから、規模の小さな暗号化ICを
用いて実現するのに好適であり、かつ、安全性の高い暗
号通信システムが実現される。
【0034】
【発明の実施の形態】
(実施の形態1)図1は、本発明に係る暗号化装置を備
えた第1の機器と第2の機器間で相互認証とデータ転送
鍵の共有化とデータの暗号通信とを行う実施の形態1に
おける処理シーケンスを示す図である。
【0035】図1では、第1の機器51から第2の機器
52にデジタル著作物mjを転送する場合が示されてい
る。なお、図1には、各機器51、52が備える暗号化
装置だけが示されており、暗号化装置と直接に関連しな
い他の構成要素(送受信部やデジタル著作物の処理系
等)は省略されている。第1の機器51に備えられた本
発明に係る暗号化装置は、大きく分けてMPU53と第
1の暗号化IC54とから構成される。
【0036】MPU53は、この暗号化装置に固有の制
御プログラムを保持するROMとその制御プログラムを
実行する汎用マイクロプロセッサとRAM等からなり、
データ転送鍵の共有化に直接的には関与しない処理(図
中のステップ(1)、(7))を行なう。第1の暗号化IC5
4は、1チップの半導体ICであり、データ転送鍵の共
有化に直接的に関与する処理(図中のステップ(3),(5),
(9),(11))を行なう。
【0037】同様に、第2の機器52に備えられた本発
明に係る暗号化装置も、大きく分けてMPU55と第2
の暗号化IC56とから構成される。MPU55は、こ
の暗号化装置に固有の制御プログラムを保持するROM
とその制御プログラムを実行する汎用マイクロプロセッ
サとRAM等からなり、データ転送鍵の共有化に直接的
には関与しない処理(図中のステップ(2)、(8))を行な
う。
【0038】第2の暗号化IC56は、1チップの半導
体ICであり、データ転送鍵の共有化に直接的に関与す
る処理(図中のステップ(4),(6),(10),(12))を行な
う。なお、この実施の形態においては、データ暗号化規
格(DES:Data EncryptionStandard)に準拠した64ビ
ットブロック暗号アルゴリズムEとその逆変換アルゴリ
ズムDを用いている。以降では暗号アルゴリズムEを用
いる変換を「暗号化」、逆変換アルゴリズムDを用いる
変換を「復号化」と称する。
【0039】また、第1の暗号化IC54は暗号アルゴ
リズムEだけを、第2の暗号化IC56は逆変換アルゴ
リズムDだけを備える。これは、各暗号化IC54、5
6の規模を削減することと、安全性のためである。以
下、図1に示されたステップ番号に従って、実施の形態
1における暗号化装置の動作を説明する。
【0040】(1) 第1の機器51のMPU53において
乱数R1(32ビット)を生成して、記憶するとともに
第1の暗号化IC54に渡す。 (2) ステップ(1)と同様に、第2の機器52のMPU5
5において乱数R2(32ビット)を生成して、記憶す
るとともに第2の暗号化IC56に送信する。
【0041】(3) 第1の暗号化IC54において、乱数
R3(32ビット)を生成、外部よりアクセスできない
領域に格納する。そして、前記MPUで生成した乱数R
1と前記乱数R3を結合してE関数で暗号化する。ここ
で、記号" || "は2つの乱数を桁方向に結合して64ビ
ット(乱数R1を上位32ビット、乱数R3を下位32
ビット)とすることを示している。また、暗号化には第
1の暗号化IC54及び第2の暗号化IC56で予め共
通に保持している秘密の認証鍵Sを用いる。第1の暗号
化IC54は、第1の機器51の送信部(図では示して
いない)を介して上記暗号結果C1を第2の機器52に
送信する。
【0042】(4) ステップ(3)と同様に、第2の暗号化
IC56において、乱数R4(32ビット)を生成し
て、外部よりアクセスできない領域に格納する。前記M
PUで生成した乱数R2と前記乱数R4を結合して逆変
換アルゴリズムDで復号化する。復号には前記認証鍵S
を用いる。第2の暗号化IC56は、第2の機器52の
送信部(図では示していない)を介して復号結果C2
(64ビット)を第1の機器51に送信する。
【0043】(5) 第1の暗号化IC54において、前記
第2の機器52から受信した復号文C2を前記E関数を
用いて前記認証鍵Sで暗号化する。そして、得られた6
4ビットをその上位32ビットである分離データRR2
と下位32ビットである分離データRR4に分離する。
さらに、分離データRR2は第1の機器51の送信部を
介して第2の機器52に送信し、一方、分離データRR
4は外に出さずに第1の暗号化IC54内の外部からア
クセスできない領域に格納する。
【0044】なお、第1の暗号化IC54及び第2の暗
号化IC56が互いに正規なものであり同じ認証鍵Sを
保持している場合には、前記分離データRR2は前記第
2の機器52のMPU55が生成した乱数R2と一致
し、前記分離データRR4は前記第2の暗号化IC56
が内部に格納している乱数R4と一致する。 (6) ステップ(5)と同様に、第2の暗号化IC56にお
いて、前記第1の暗号化IC54から受信した暗号文C
1を前記逆変換アルゴリズムDを用いて前記認証鍵Sで
復号化する。そして、得られた64ビットをその上位3
2ビットである分離データRR1と下位32ビットであ
る分離データRR3に分離する。さらに、分離データR
R1は第2の機器52の送信部を介して第1の機器51
に送信し、一方、分離データRR3は外に出さずに第2
の暗号化IC56内の外部からアクセスできない領域に
格納する。
【0045】なお、第1の暗号化IC54及び第2の暗
号化IC56が互いに正規なものであり同じ認証鍵Sを
保持している場合には、前記分離データRR1は前記乱
数R1と一致し、前記分離データRR3は前記乱数R3
と一致する。 (7) 第1の機器51のMPU53において前記ステップ
(1)で記憶していた乱数R1と前記第2の機器52から
受信した分離データRR1とを比較し、一致している場
合には、第2の暗号化IC56及びそれを備えた第2の
機器52を正当な機器と認証する。
【0046】(8) ステップ(7)と同様に、第2の機器5
2のMPU55において前記ステップ(2)で記憶してい
た乱数R2と前記第2の機器52から受信した分離デー
タRR2とを比較し、一致している場合には、第1の暗
号化IC54及びそれを備えた第1の機器51を正当な
機器と認証する。 (9) 第1の暗号化IC54において、前記ステップ(3)
で記憶しておいた乱数R3と前記分離データRR4を結
合することでデータ転送鍵Kを作成する。ここでは、乱
数R3を上位の32ビット、分離データRR4を下位の
32ビットとするデータ転送鍵K(64ビット)を生成
する。なお、このデータ転送鍵Kは、2つの乱数の結合
であるので、時変、即ち、新たにランダムに生成された
鍵と言える。
【0047】(10) ステップ(9)と同様に、第2の暗号化
IC56において、前記分離データRR3と前記ステッ
プ(4)で記憶しておいた乱数R4を結合することでデー
タ転送鍵Kを生成する。ここでは、上記分離データRR
3を上位の32ビット、上記ステップ(4)で記憶してお
いた乱数R4を下位の32ビットとするデータ転送鍵K
(64ビット)を生成する。このデータ転送鍵も時変の
鍵である。
【0048】なお、ステップ(7)及びステップ(8)での相
互の認証が成功した場合には、ステップ(3)で生成され
た乱数R3とステップ(6)で得られた分離データRR3
とは一致し、ステップ(4)で生成された乱数R4とステ
ップ(5)で得られた分離データRRR4とは一致するこ
とになるので、結果的に、ステップ(9)及びステップ(1
0)それぞれで生成されるデータ転送鍵Kは一致すること
になる。
【0049】(11) 第1の機器51の第1の暗号化IC
54において、MPU53から送られてくるブロック化
されたデジタル著作物mj(64ビット)を上記ステッ
プ(9)で得られたデータ転送鍵Kを用いて暗号化し、得
られた暗号文Cjを第2の機器52に送信する処理を、
転送すべき全てのデジタル著作物を送信し終えるまで繰
り返す。
【0050】(12) ステップ(11)に対応して、第2の機
器52の第2の暗号化IC56において、第1の機器5
1が送信した暗号化された上記デジタル著作物Cj(6
4ビット)を受信し、上記ステップ(10)で得られたデー
タ転送鍵Kを用いて復号化し、得られたデジタル著作物
mmjをMPU55に送る。この復号化は上記デジタル
著作物Cjが第1の機器51から送信されてくる限り繰
り返す。
【0051】このようにして、実施の形態1の暗号化装
置により、第1の機器51と第2の機器52間で相互認
証とデータ転送鍵Kの共有化とデータの暗号通信とが行
われる。以上の説明から明らかなように、上記実施の形
態1の暗号化装置は、以下の特徴を有する。
【0052】第1の特徴は、データ転送鍵Kは暗号化I
Cの内部に安全に保護されていることである。具体的に
は、第1の機器51が備える暗号化装置であれば、デー
タ転送鍵Kを生成するために直接的に用いられた2つの
データ、即ち、乱数R3と分離データRR4は以下の条
件を満たす。 ・乱数R3は、第1の暗号化IC54の内部で生成さ
れ、外部に出力されておらず、かつ、外部から読めない
領域に保持されている。
【0053】・分離データRR4は、第1の暗号化IC
54の内部で生成(分離生成)され、外部に出力されて
おらず、かつ、外部から読めない領域に保持されてい
る。これらのことにより、データ転送鍵Kは暗号化IC
内に保護されるので、暗号アルゴリズムE及び逆変換ア
ルゴリズムDとして公開されているものを採用したとし
ても、第1の機器51及び第2の機器52間における暗
号通信の安全性は保証される。
【0054】第2の特徴は、暗号化IC内に納められる
回路は、必要最低限のものに留められていることであ
る。具体的には、第1の機器51が備える暗号化装置で
あれば、以下の処理は、第1の暗号化IC54の外の回
路、即ち、MPU53によって実現されている。 ・乱数R1の生成 ・乱数R1と分離データRR1との比較 つまり、第1の暗号化IC54の回路規模が不必要に大
きくならないように配慮されている。これら2つの処理
は、相手機器の認証に関するものであり、データ転送鍵
Kの生成に直接的には関与していない。従って、たと
え、これら処理がIC外で実現されていることを利用し
て不正をしようとしても、第1の機器51に利益をもた
らすような不正をはたらくことは不可能である。なお、
第2の機器52からのチャレンジデータC2に対するレ
スポンスデータRR2の作成は暗号化IC内で行ってい
る。
【0055】図2は、第1の暗号化IC54のハードウ
ェア構成を示すブロック図である。第2の暗号化IC5
6も同程度のハードウェア規模で実現できる。外部I/
F部61は、この第1の暗号化IC54の内部回路に外
部からアクセスするための唯一の入出力ポートである。
乱数生成部60は、32ビットの乱数R3を生成する。
【0056】乱数格納部62は、乱数生成部60で生成
された乱数R3を保持する記憶回路である。結合部63
は、乱数格納部62に格納された乱数R3を下位32ビ
ットとし、外部I/F部61を介して入力された32ビ
ットのデータR1を上位32ビットとして結合する。
【0057】認証鍵S格納部64は、予め与えられた認
証鍵Sを保持する記憶回路である。スイッチ65、66
は、それぞれ64ビット幅の3入力1出力マルチプレク
サ、64ビット幅の2入力1出力マルチプレクサであ
る。E関数67は、暗号アルゴリズムEに基づく暗号化
回路である。スイッチ68は、64ビット幅の1入力3
出力デマルチプレクサである。
【0058】分離部69は、スイッチ68から出力され
た64ビットデータを上位32ビットRR2と下位32
ビットRR4に分離する。データ転送鍵K生成部59
は、乱数格納部62に格納された乱数R3を上位32ビ
ットとし、分離部69で分離された分離データRR4を
下位32ビットとして結合することで、データ転送鍵K
を生成する。
【0059】データ転送鍵K格納部70は、データ転送
鍵K生成部59で生成されたデータ転送鍵Kを保持する
記憶回路である。次に、この図2に示された各構成要素
が図1に示された各ステップにおいていかに動作するの
かを示す。図1のステップ(3)においては、乱数生成部
60は乱数R3を生成して乱数格納部62に格納し、結
合部63はその乱数R3と外部I/F部61を介して入
力される乱数R1とを結合し、スイッチ65を介してE
関数67に送る。E関数67は、認証鍵S格納部64か
らスイッチ66を介して認証鍵Sを受け取り、それを用
いて結合部63から出力された結合データR1||R3を
暗号化し、その結果C1をスイッチ68及び外部I/F
部61を介して第2の機器52に出力する。
【0060】図1のステップ(5)及び(9)においては、外
部I/F部61を介して入力される復号文C2はスイッ
チ65を経てE関数に入力される。E関数67は、認証
鍵S格納部64から認証鍵Sを受け取り、それを用いて
復号文C2を暗号化し、スイッチ68を介して分離部6
9に送る。分離部69は、それを分離データRR2と分
離データRR4に分離し、分離データRR2は外部I/
F部61を介して外部に出力し、分離データRR4はデ
ータ転送鍵K生成部59に送る。データ転送鍵K生成部
59は、乱数格納部62に格納されていた乱数R3と分
離部69から送られてきた分離データRR4とを結合す
ることでデータ転送鍵Kを生成した後に、データ転送鍵
K格納部70に格納する。
【0061】図1のステップ(11)においては、E関数6
7は、外部I/F部61及びスイッチ65を介して入力
されるデジタル著作物mjをデータ転送鍵K格納部70
に格納されたデータ転送鍵Kを用いて暗号化し、その結
果Cjをスイッチ68及び外部I/F部61を介して第
2の機器52に出力する。なお、実施の形態1では、乱
数や暗号文等の具体的なビット長やデータ構成を示した
が、本発明はそれらに限定されるものではない。例え
ば、上記ステップ(5)において32ビットの乱数R1と
R2を結合して64ビットとし、これを64ビット暗号
関数Eに入力して64ビットの暗号文C1を求めてい
る。この部分は、例えば、各乱数を64ビットとし、暗
号関数Eによる暗号化を2回繰り返すことで128ビッ
トの暗号文C1を生成する方式としてもよい。ただしこ
の場合には暗号文C1から乱数R1に関する部分とR2
に関する部分が容易に切り離せないことが必要である。
その方法の1つとしてはCBCモードのように連鎖を伴
う暗号の方法がある。CBCモードについては、池野信
一、小山謙二共著「現代暗号理論」電子通信学会198
6年のp70に詳しい。
【0062】また、実施の形態1では第1の暗号化IC
54は暗号関数Eだけを、第2の暗号化IC56はその
逆関数Dだけを備えることにより、ハードウェア規模を
削減しているが、そのこと自体は、上述したように本発
明の本質ではない。つまり、それら暗号化IC54、5
6に許容される回路規模や暗号化アルゴリズムの種類等
との関連において決定すればよい事項であり、例えば、
それぞれが暗号アルゴリズムEと逆変換アルゴリズムD
の両方を所有し、乱数の暗号化に暗号アルゴリズムE
を、相手機器から送付された情報の復号に逆変換アルゴ
リズムDを用いてもよい。本発明は、少なくともデータ
転送鍵Kの生成に直接関わる構成要素をIC化すること
で秘密通信の安全性を確保している点に特徴があるから
である。
【0063】また、実施の形態1において、例えば、ス
テップ(1)での乱数R1の生成を第1の暗号化IC54
内で行ってもよい。このことにより、第1の暗号化IC
54を暗号解読器として用いる可能性をなくし、より安
全な暗号化装置とすることができる。つまり、実施の形
態1では、乱数R1は第1の暗号化IC54の外部で生
成され、この乱数R1に基づいて第1の暗号化IC54
は暗号文C1を出力する。この暗号文C1は、第1の暗
号化IC54の内部で生成された乱数R3の影響を受け
ているが、もし乱数R3が十分にランダムな値でない場
合には、第1の暗号化IC54を暗号解読器として悪用
することが可能になってしまう。従って、乱数R1の生
成を第1の暗号化IC54内で行うことで、以上述べた
攻撃の可能性がなくなり、この暗号化装置はより安全な
ものになる。 (実施の形態2)次に、図1に示された実施の形態1で
のステップの変形例として、実施の形態2を示す。その
目的や効果は実施の形態1と同じである。またハードウ
ェア規模としても図2に示された実施の形態1と同程度
である。実施の形態1ではチャレンジデータを暗号化し
ないでレスポンスデータを暗号化して通信したが、実施
の形態2ではチャレンジデータを暗号化しレスポンスデ
ータを暗号化しないで通信する。実施の形態1と相違す
る点を中心に説明する。
【0064】図3は、本発明に係る暗号化装置を備えた
第1の機器71と第2の機器72間で相互認証とデータ
転送鍵の共有化とデータの暗号通信とを行う実施の形態
2における処理シーケンスを示す図である。図3では、
第1の機器71から第2の機器72にデジタル著作物m
jを転送する場合が示されている。
【0065】MPU73、第1の暗号化IC74、MP
U75及び第2の暗号化IC76は、実施の形態1にお
けるMPU53、第1の暗号化IC54、MPU55及
び第2の暗号化IC56に対応し、処理手順の相違を除
いて、ハードウェア構成等については実施の形態1の場
合と同様である。以下、図3に示されたステップ番号に
従って、実施の形態2における暗号化装置の動作を説明
する。
【0066】(1) 第1の機器71のMPU73において
乱数R1(32ビット)を生成して、記憶するとともに
第1の機器71の送信部(図では示してない)を介し
て、第2の機器72に送信する。第2の機器72ではこ
れを第2の暗号化IC76に渡す。 (2) ステップ(1)と同様に、第2の機器72のMPU7
5において乱数R2(32ビット)を生成して、記憶す
るとともに第2の機器72の送信部(図では示してな
い)を介して、第1の機器71に送信する。第1の機器
71ではこれを第1の暗号化IC74に渡す。
【0067】(3) 第1の暗号化IC74において、乱数
R3(32ビット)を生成して、外部よりアクセスでき
ない領域に格納する。前記第2の機器72から受信した
乱数R2と前記乱数R3とを結合してE関数で暗号化す
る。暗号化には第1の暗号化IC74及び第2の暗号化
IC76で予め共通に保持している秘密の認証鍵Sを用
いる。第1の暗号化IC74は、暗号化結果C1(64
ビット)を第2の機器72に送信する。
【0068】(4) ステップ(3)と同様に、第2の暗号化
IC76において、乱数R4(32ビット)を生成し
て、外部よりアクセスできない領域に格納する。前記第
1の機器71から受信した乱数R1と前記乱数R4を結
合して逆変換アルゴリズムDで復号化する。復号には前
記認証鍵Sを用いる。第2の暗号化IC76は、復号結
果C2(64ビット)を第1の機器71に送信する。
【0069】(5) 第1の暗号化IC74において、前記
第2の暗号化IC76から受信した復号文C2を前記E
関数を用いて前記認証鍵Sで暗号化する。その結果の6
4ビットデータのうち上位32ビットを分離データRR
1,下位32ビットを分離データRR4とする。そして
分離データRR1は第1の機器71のMPU73に渡
し、一方分離データRR4は外に出さずに第1の暗号化
IC74内の外部からアクセスできない領域に格納す
る。
【0070】なお、第1、第2の暗号化IC76が互い
に正規なものであり同じ認証鍵Sを保持している場合に
は、前記分離データRR1は前記第1の機器71のMP
U73が生成した乱数R1と同じになり、前記分離デー
タRR4は第2の暗号化IC76が生成した乱数R4と
同じになる。 (6) ステップ(6)と同様に、第2の暗号化IC76にお
いて、前記第1の暗号化IC74から受信した暗号文C
1を前記逆変換アルゴリズムDを用いて前記認証鍵Sで
復号化する。その結果の64ビットデータの上位32ビ
ットを分離データRR2、下位32ビットを分離データ
RR3とする。そして分離データRR2は第2の機器7
2のMPU75に渡し、一方分離データRR3は外に出
さずに第2の暗号化IC76内の外部からアクセスでき
ない領域に格納する。
【0071】なお、第1、第2の暗号化IC76が互い
に正規なものであり同じ認証鍵Sを保持している場合に
は、前記分離データRR2は前記第2の機器72のMP
U75が生成した乱数R2と同じになり、前記分離デー
タRR3は第1の暗号化IC74が生成した乱数R3と
同じになる。 (7) 第1の機器71のMPU73において前記記憶して
いたR1と前記第1の暗号化IC74から受け取った分
離データRR1を比較して一致している場合には、第2
の暗号化IC76及び第2の暗号化IC76が含まれた
第2の機器72を正当な機器と認証する。
【0072】(8) ステップ(8)と同様に、第2の機器7
2のMPU75において前記記憶していたR2と前記第
2の暗号化IC76から受け取った分離データRR2を
比較して一致している場合には、第1の暗号化IC74
及び第1の暗号化IC74が含まれた第1の機器71を
正当な機器と認証する。 (9) 第1の暗号化IC74内で前記乱数R3と前記分離
データRR4を用いてデータ転送鍵Kを作成する。図で
は双方の結合をデータ転送鍵K(64ビット)としてい
る。
【0073】(10) ステップ(10)と同様に、第2の暗号
化IC76内で前記分離データRR3と前記乱数R4を
用いて第1の暗号化IC74と同様にデータ転送鍵Kを
作成する。図では双方の結合をデータ転送鍵K(64ビ
ット)としている。 (11) 第1の機器71の第1の暗号化IC74におい
て、MPU73から送られてくるブロック化されたデジ
タル著作物mj(64ビット)を上記ステップ(9)で得
られたデータ転送鍵Kを用いて暗号化し、得られた暗号
文Cjを第2の機器72に送信する処理を、転送すべき
全てのデジタル著作物を送信し終えるまで繰り返す。
【0074】(12) ステップ(11)に対応して、第2の機
器72の第2の暗号化IC76において、第1の機器7
1が送信した暗号化された上記デジタル著作物Cj(6
4ビット)を受信し、上記ステップ(10)で得られたデー
タ転送鍵Kを用いて復号化し、得られたデジタル著作物
mmjをMPU75に送る。この復号化は上記デジタル
著作物Cjが第1の機器71から送信されてくる限り繰
り返す。
【0075】このようにして、実施の形態2の暗号化装
置により、実施の形態1の場合と同様に、第1の機器7
1と第2の機器72間で相互認証とデータ転送鍵Kの共
有化とデータの暗号通信とが行われる。なお、上述した
ように、本実施の形態の暗号化装置と実施の形態1のも
のとはハードウェア構成において一致し、処理手順、即
ち、各ハードウェア構成要素の接続と実行順序が異なる
だけである。従って、本実施形態の暗号化装置の特徴や
その変形例については、実施の形態1の場合と同様のこ
とが言える。 (実施の形態3)以上の実施の形態1及び2の暗号化装
置には以下の共通点がある。 (1)双方の機器においてそれぞれ2つの乱数が生成さ
れ、その一方は認証用にのみ使用され、他の一方はデー
タ転送鍵Kの生成用にのみ使用される。 (2)データ転送鍵Kの生成に使用される乱数はそのまま
の形では暗号化ICの外部に出力されることはなく、一
方、認証用に使用される乱数は暗号化ICの外部に出力
されて公開される。
【0076】これに対して、次に説明する実施の形態3
の暗号化装置は、乱数を一つだけ生成し、それを認証用
とデータ転送鍵の生成用の両方の目的に使用する。これ
は、実施の形態1及び2に比べて、暗号化IC内での乱
数生成の負担を軽減するためである。また、暗号化IC
の内部において認証のための乱数生成と比較処理を行
う。即ち、実施の形態1及び2と相違し、データ転送鍵
の生成のみならず認証処理も含めて暗号化ICの内部回
路で行う。これは、上述したように、暗号化ICを暗号
解読のために用いるという悪用に対処するためであり、
暗号通信の安全性を高めることができる。
【0077】図4は、本発明に係る暗号化装置を備えた
第1の機器71と第2の機器72間で相互認証とデータ
転送鍵の共有化とデータの暗号通信とを行う実施の形態
3における処理シーケンスを示す図である。図4では、
第1の機器81から第2の機器82にデジタル著作物m
jを転送する場合が示されている。
【0078】なお、本実施の形態においても、実施の形
態1及び2と同様に、各機器81、82に備えられた本
発明に係る暗号化装置は、大きく分けてMPU83、8
5と暗号化IC84、86とから構成される。しかし、
MPU83、85はデジタル著作物mjを暗号化IC8
4、86に渡すだけの機能を果たすので、実質的には、
本発明に係る暗号化装置は暗号化IC84、86のみか
ら構成されると言える。
【0079】第1の暗号化IC84及び第2の暗号化I
C86は、実の形態1及び2と同様、1チップの半導体
ICである。以下、図4に示されたステップ番号に従っ
て、実施の形態3における暗号化装置の動作を説明す
る。 (1) 第1の暗号化IC84において乱数R1を生成して
記憶するとともに、これをE関数で暗号化して第1の機
器81の送信部(図では示してない)を介して、暗号文
C1を第2の機器82に送信する。暗号化には第2の暗
号化IC86と予め共通に保持している秘密の認証鍵S
を用いる。第2の機器82では受信した暗号文C1を第
2の暗号化IC86に渡す。
【0080】(2) 第2の暗号化IC86では受信した暗
号文C1を逆変換アルゴリズムDで復号化し復号文RR
1を得る。第1の暗号化IC84及び第2の暗号化IC
86が正規のものである場合にはこの復号文RR1は前
記乱数R1と一致する。 (3) 第2の暗号化IC86において乱数R2を生成して
記憶すると共に、これを前記復号文RR1と結合して前
記逆変換アルゴリズムDで復号化する。復号には前記認
証鍵Sを用いる。第2の暗号化IC86は復号文C2を
第2の機器82の送信部(図では示してない)を介し
て、第1の機器81に送信する。第1の機器81ではこ
れを第1の暗号化IC84に渡す。
【0081】(4) 第1の暗号化IC84においては、前
記復号文C2を前記E関数で暗号化し、その結果を分離
データRRR1と分離データRR2に分離する。なお分
離データRRR1は正当な機器でのやり取りの場合であ
れば、前記復号文RR1及び乱数R1と一致する。また
分離データRR2は前記乱数R2と一致する。 (5) 第1の暗号化IC84内において、前記ステップ
(1)で記憶していた乱数R1と前記分離データRRR1
とを比較し、一致する場合には第2の暗号化IC86及
び第2の暗号化IC86を含んだ第2の機器82の正当
性を認証する。
【0082】(6) 第1の暗号化IC84において、前記
分離データRR2を前記E関数で暗号化し、第2の機器
82に送信する。第2の機器82はこの暗号文C3を第
2の暗号化IC86に渡す。 (7) 第2の暗号化IC86において、前記暗号文C3を
前記逆変換アルゴリズムDで復号化し、復号文RRR2
を得る。
【0083】(8) 第2の暗号化IC86において、前記
ステップ(3)で記憶していた乱数R2と前記復号文RR
R2を比較し、一致している場合には第1の暗号化IC
84及び第1の暗号化IC84を含んだ第1の機器81
の正当性を認証する。 (9) 第1の暗号化IC84において、前記乱数R1と前
記分離データRR2を結合することでデータ転送鍵Kを
生成する。
【0084】(10) 第2の暗号化IC86において、前
記復号文RR1と前記乱数R2を用いてデータ転送鍵K
を生成する。 (11) 第1の機器81の第1の暗号化IC84におい
て、MPU83から送られてくるブロック化されたデジ
タル著作物mj(64ビット)を上記ステップ(9)で得
られたデータ転送鍵Kを用いて暗号化し、得られた暗号
文Cjを第2の機器82に送信する処理を、転送すべき
全てのデジタル著作物を送信し終えるまで繰り返す。
【0085】(12) ステップ(11)に対応して、第2の機
器82の第2の暗号化IC86において、第1の機器8
1が送信した暗号化された上記デジタル著作物Cj(6
4ビット)を受信し、上記ステップ(10)で得られたデー
タ転送鍵Kを用いて復号化し、得られたデジタル著作物
mmjをMPU85に送る。この復号化は上記デジタル
著作物Cjが第1の機器81から送信されてくる限り繰
り返す。
【0086】このようにして、実施の形態3の暗号化装
置により、実施の形態1及び2の場合と同様に、第1の
機器71と第2の機器72間で相互認証とデータ転送鍵
Kの共有化とデータの暗号通信とが行われる。なお、上
記ステップ(1)(2)(6)(7)においては1つの乱数の暗号
化、ステップ(3)(4)においては2つの乱数の結合の暗号
化を行っている。64ビット幅のE関数と逆変換アルゴ
リズムDを用いる場合には、各乱数を32ビットとし
て、前者については残りの32ビットの入力に固定の3
2ビットの値をパディングするとよい。例えば、乱数を
下位32ビッとし、上位32ビットを固定的に全てゼロ
とする等である。また後者については結合した64ビッ
トをそのまま各関数に入力するとよい。
【0087】また、各乱数のビット長を倍の64ビット
にする場合には、前者はそのまま関数に入力し、後者に
ついては各関数を2回繰り返して用い、例えばCBCモ
ードのように連鎖のある暗号を行えばよい。以上述べた
実施の形態3においては、実施の形態1及び2とは異な
り、認証のための乱数とデータ転送鍵の共有化のための
乱数は兼用されている。そして、認証のための乱数生成
や認証のための比較処理は暗号化IC内で行われてい
る。従って、乱数はそのままでは暗号化ICの外に現れ
ないため、暗号化ICを解読器として用いる攻撃に対し
て、より安全である。また、このことにより、各乱数の
ビット数が少なくても十分な安全性を確保することがで
きる。 (実施の形態4)次に、実施の形態4に係る暗号化装置
について説明する。
【0088】本装置は、暗号化ICのコンパクト化を追
求した実施形態であり、一方向認証を採用している点、
及び、データ転送鍵が公開される点において、上記実施
の形態1〜3と相違する。但し、暗号アルゴリズムE及
びその逆変換アルゴリズムDは秘密にされていることを
前提とする。図5は、第1の機器91から第2の機器9
2にデジタル著作物mjを転送する場合の処理シーケン
スを示す図である。
【0089】図6は、第1の暗号化IC94のハードウ
ェア構成を示すブロック図である。 (1) まず、第1の暗号化IC94の乱数生成部101は
チャレンジデータとデータ転送鍵を兼用する乱数R1を
生成し、乱数格納部102に格納すると共に、外部I/
F部100を介して第2の機器92に送信する。 (2) 第2の暗号化IC96は、受信した乱数R1に対し
て、予め第1の暗号化IC94と共通に所有している認
証鍵Sを用いて復号化し、得られた復号文C1を第1の
機器91に送信する。
【0090】(3) 第1の暗号化IC94では、E関数1
06は、外部I/F部100及びスイッチ105を介し
て受信した復号文C1に対して、認証鍵S格納部103
に予め格納された上記認証鍵Sと同じものを用いて暗号
化する。その結果得られたデータRR1は、スイッチ1
07を経て比較部108に送られ、ここで、乱数格納部
102に保持されていた乱数R1と比較される。
【0091】(4) その結果一致している場合には、第2
の機器92は正当な機器であると認証できるので、比較
部108は、乱数格納部102に保持されていた乱数R
1がデータ転送鍵として用いられるように、スイッチ1
04を制御する。 (5) E関数106は、MPU93から外部I/F部10
0及びスイッチ105を経て送られてくるデジタル著作
物mjに対して、スイッチ104を経て送られてくる乱
数R1を用いて暗号化し、スイッチ107及び外部I/
F部100を介して第2の機器92に送信する。
【0092】(6) 第2の機器92の第2の暗号化IC9
6においては、第1の機器91から送られてきたデジタ
ル著作物Cjに対して、上記ステップ(2)で受信した乱
数R1をデータ転送鍵として用いて復号化し、得られた
デジタル著作物mmjをMPU95に送る。このように
して、本実施の形態では、実施の形態1〜3の場合より
も少ないステップと構成要素により、認証とデータ転送
鍵の共有化と暗号通信とが実現される。
【0093】なお、本実施の形態では、第1の機器91
から第2の機器92に送信された乱数R1がそのままデ
ータ転送鍵として用いられているために、データ転送鍵
は容易に第3者に知られ得る。ところが、そのデータ転
送鍵を知った第3者がデジタル著作物Cjを盗聴し復号
化しようとしても、上述したように暗号アルゴリズムE
及びその逆変換アルゴリズムDは秘密にされているの
で、その試みは成功しない。
【0094】また、その第3者が都合のよい乱数R1を
偽造することで暗号アルゴリズムを解読しようとして
も、新たな乱数R1を乱数格納部102に格納できるの
は乱数生成部101だけであり、この第1の暗号化IC
94の外部から新たな乱数R1を乱数生成部101に格
納する手段は存在しないので、その試みも成功しない。
このように、暗号アルゴリズム及びその逆変換アルゴリ
ズムが秘密にされるならば、本実施の形態のようなコン
パクトな暗号化ICによっても認証とデータ転送鍵の生
成と暗号通信を実現することができる。
【0095】なお、上記実施の形態1〜4において、認
証鍵Sを暗号化ICに設定する(記憶させる)方法とし
ては以下が好ましい。つまり、認証鍵Sの一部は暗号化
ICの製造時に予め設定しておき、残る部分はその暗号
化ICの製造後に書き込む方法である。具体的には、認
証鍵S格納部64の一部は、認証鍵Sの一部を予め書き
込んだマスクROMで構成し、残る部分は、プログラマ
ブルに書き込み可能な追記ROMで構成する。
【0096】これは、マスクROMのみで構成した場合
には、最終的な暗号化ICの作成のために人手を介さな
いために安全である反面、リバースエンジニアリングに
よるチップ解析で設定値の解析が容易であるという欠点
があり、一方、追記ROMのみで構成した場合には、設
定値のリバースエンジニアリングによる解析が困難であ
る反面、設定に人手を介するためミスが混入したり不正
が可能となるという欠点があるので、それら両方の欠点
を補うためである。
【0097】また、上記実施の形態1〜4の暗号通信に
おける暗号アルゴリズムの具体例として、次のようなも
のであってもよい。送信側でデジタル著作物を64ビッ
トのブロックに分割し、前記データ転送鍵K(64ビッ
ト)とビットごとの排他的論理和をとる。その結果を暗
号文とする。受信側でも同様に、受信した64ビットの
暗号文とデータ転送鍵Kとの排他的論理和をとればよ
い。これによって、もとのブロックに復号される。
【0098】また、データ転送鍵Kを固定とするのでは
なく、それらブロックごとに、用いられるデータ転送鍵
Kを送信側と受信側で同期をとりながら更新していく方
法もある。その更新のために、前記E関数や逆変換アル
ゴリズムDを用いてもよい。ブロック内の暗号/復号は
先に述べた排他的論理和であってもよい。また、上記実
施の形態1〜4において、認証方法としてチャレンジレ
スポンス型のいくつかの例が示されているが、本発明は
これらの例に限られない。例えば、認証側の暗号化IC
で乱数を生成し、これをチャレンジデータとして送付
し、証明側から返送されたレスポンスデータと認証側で
生成した参照用のレスポンスデータとを比較する、とい
うチャレンジレスポンス型の別の例であってもよい。
【0099】なお、上記実施の形態1〜4において、小
さな回路規模で認証と暗号通信を安全に行なう技術を開
示したが、安全性の強度とそのために必要な回路規模と
はトレードオフの関係にあることは言うまでもない。従
って、もしMPUや暗号化IC内に実装できる回路規模
に余裕がある場合には、以下の目的のために、データ変
換F()を実行する新たな変換手段を追加導入すること
で、暗号通信の安全性を強化することができる。 (1)その一つは、平文のチャレンジデータや平文のレ
スポンスデータが伝送路を流れないようにすることであ
る。
【0100】例えば、図1に示された第1の機器51が
第2の機器52を認証する処理シーケンス(ステップ
(1)(3)(6)(7))において、以下のように変更する。ステ
ップ(6)において、第2の暗号化IC56は、分離デー
タRR1をMPU53に送るのではなく、その分離デー
タRR1に所定の変換F()を施し、その結果得られた
データF(RR1)をMPU53に送る。
【0101】ステップ(7)において、MPU53は、乱
数R1と分離データRR1とを比較するのではなく、乱
数R1に上記ステップ(6)で用いたものと同じ変換
F()を施し、その結果得られたデータF(R1)と第
2の暗号化IC56から送られてきたデータF(RR
1)とを比較する。このようにすることで、暗号文C1
とその平文の一部RR1とが伝送路を流れることが回避
されるので、既知平文攻撃に対する安全性が強化され
る。 (2)もう一つは、チャレンジデータをそのままデータ
転送鍵として用いないようにすることである。
【0102】例えば、図5に示されたステップ(5)にお
いて、第1の暗号化IC94は、乱数R1をそのままデ
ータ転送鍵として用いるのではなく、乱数R1に所定の
変換F()を施し、その結果得られたデータF(R1)
をデータ転送鍵として用いる。同様に、ステップ(6)に
おいて、第2の暗号化IC96は、乱数R1をそのまま
データ転送鍵として用いるのではなく、乱数R1に上記
ステップ(5)で用いたものと同じ変換F()を施し、そ
の結果得られたデータF(R1)をデータ転送鍵として
用いる。
【0103】このようにすることで、データ転送鍵F
(R1)を秘匿することができ、暗号通信の安全性が強
化される。 (3)さらにもう一つは、結合処理を複雑にすることで
ある。例えば、図1に示されたステップ(9)において、
第1の暗号化IC54は、乱数R3と分離データRR4
とを単に桁方向に結合するのではなく、これらR3、R
R4に所定の変換F()を施し、その結果得られたデー
タF(R3,RR4)をデータ転送鍵Kとする。
【0104】同様に、ステップ(10)において、第2の暗
号化IC56は、乱数R4と分離データRR3とを単に
桁方向に結合するのではなく、これらR4、RR3に上
記ステップ(9)で用いたものと同じ変換F()を施し、
その結果得られたデータF(R3,RR4)をデータ転
送鍵Kとする。このようにすることで、データ転送鍵K
の生成手順が複雑化され、暗号通信の安全性が強化され
る。 (具体的な通信システムへの適応例)以上のように、本
発明に係る暗号化装置は、規模の小さな暗号化ICを備
え、機器間通信の安全性を確保するための必要最小限の
機能を持っている。従って、本暗号化装置は、秘密通信
が必要とされ、かつ、小型であることが要求される通信
機器、例えば、携帯電話機やデジタル著作物を扱うマル
チメディア関連機器等に好適な装置である。
【0105】図7は、本発明に係る暗号化装置の具体的
な通信システムへの適用例を示す図であり、映画等のデ
ジタル著作物の再生システムの概観を示す。このシステ
ムは、上記実施形態における第1の機器に対応する光デ
ィスクドライブ装置110と第2の機器に対応する映像
再生装置111とそれらを接続するSCSIケーブル1
16等からなる。光ディスクドライブ装置110で読み
出した圧縮映像データを暗号化して映像再生装置111
に転送し、そこで映像再生するシステムである。
【0106】図8は、光ディスクドライブ装置110の
構成を示すブロック図である。光ディスクドライブ装置
110は、装置全体の制御を行うMPU124と、映像
再生装置111との通信インタフェースであるSCSI
コントローラ121と、光ヘッド125を制御して光デ
ィスク115から映像データを読み出し制御する読み出
し制御部122と、上述の実施形態1〜4における第1
の機器の暗号化ICに相当する暗号化IC123とから
なり、映像再生装置111が正当な機器であることを認
証した後に、光ディスク115に記録された映像データ
を読み出して暗号化IC123において暗号化し、SC
SIケーブル116を介して映像再生装置111に転送
する。
【0107】図9は、光ディスクドライブ装置110の
内部に実装される回路基板の概観を示す図である。暗号
化IC123は、1個のシリコン基板に形成されたLS
Iであり、プラスチックでモールドされたフラットパッ
ケージの形状をしている。図10は、映像再生装置11
1の構成を示すブロック図である。映像再生装置111
は、装置全体の制御を行うMPU131と、光ディスク
ドライブ装置110との通信インタフェースであるSC
SIコントローラ130と、上述の実施形態1〜4の第
2の機器の暗号化ICに相当する暗号化IC132と、
暗号化IC132で復号された圧縮映像データの伸長を
行うMPEGデコーダ133と、伸長された映像データ
をアナログ映像信号に変換してCRT112及びスピー
カ114に映像出力するAV信号処理部134とから構
成される。
【0108】本発明に係る暗号化装置をこのような映像
再生システムに適用することで、光ディスク115に記
録されたデジタル著作物は不正コピー等から保護され、
マルチメディア関連製品の流通市場における健全な発展
が期待できる。
【0109】
【発明の効果】以上の説明から明らかなように、本発明
に係る暗号化装置は、データ転送鍵の共有化とそのデー
タ転送鍵を用いた暗号通信を行なう機器に備えられる暗
号化装置であって、前記データ転送鍵の共有化のための
第1乱数を生成する第1乱数生成手段と、前記第1乱数
生成手段により生成された第1乱数を保持する第1乱数
保持手段と、前記第1乱数生成手段により生成された第
1乱数を前記暗号通信の相手機器に送信する第1送信手
段と、前記第1乱数保持手段に保持された第1乱数を用
いて時変の前記データ転送鍵を生成するデータ転送鍵生
成手段と、暗号通信の対象となる転送データに対して前
記データ転送鍵を用いて暗号化する転送データ暗号化手
段とを備え、前記第1乱数生成手段、前記第1乱数保持
手段、前記データ転送鍵生成手段及び前記転送データ暗
号化手段は、1個のIC内の回路で実現され、前記第1
乱数保持手段は、前記ICの外部からアクセスできない
領域に前記第1乱数を保持することを特徴とする。
【0110】これにより、データ転送鍵の生成に直接関
連する第1乱数は外部からアクセスできない暗号化IC
の内部に保持されるので、時変のデータ転送鍵は各機器
に安全に共有され、暗号通信が行われる。また、暗号化
ICは、機器間通信の安全性を確保するための必要最小
限の機能を持つので、小さな回路で実現することができ
る。
【0111】ここで、前記暗号化装置はさらに、前記第
1乱数生成手段により生成された第1乱数を暗号化する
第1暗号化手段を備え、前記第1暗号化手段は、前記I
C内の回路で実現され、前記第1送信手段は、前記第1
暗号化手段で暗号化された第1乱数を前記相手機器に送
信するとすることもできる。これにより、第3者はデー
タ転送鍵の生成に直接関連する第1乱数を知ることがで
きなくなるので、データ転送鍵の秘密性が維持され、た
とえ暗号アルゴリズム及びその逆変換アルゴリズムが知
られたとしても暗号通信は維持される。
【0112】ここで、前記機器は、チャレンジレスポン
ス型の認証プロトコルに基づく通信により相互に前記相
手機器が正当な機器であることを認証し合うものであ
り、前記暗号化装置はさらに、前記相手機器に送信する
チャレンジデータ用の第2乱数を生成する第2乱数生成
手段と、前記チャレンジデータに対して前記相手機器か
ら返信されてきたレスポンスデータと前記第2乱数とが
一致するか否かを判断し、一致した場合に前記相手機器
は正当な機器であると認証する認証手段とを備え、前記
データ転送鍵生成手段は、前記認証がなされた場合に前
記データ転送鍵を生成するとすることもできる。
【0113】これにより、機器間の相互認証が成功した
ときに同時に正規のデータ転送鍵が生成されることにな
り、秘密通信の安全性が向上される。ここで、前記第2
乱数生成手段及び前記認証手段は、前記IC外の回路で
実現されているとすることもできる。これにより、通信
システムの安全性に関連しない部分、即ち、データ転送
鍵の生成に直接関連しない処理部は暗号化ICの外に設
けられるので、暗号化ICの規模が不要に大きくなるこ
とが抑制される。
【0114】ここで、前記暗号化装置はさらに、前記相
手機器から送られてきた暗号化された結合データを復号
化する復号化手段と、復号化された結合データをレスポ
ンスデータに相当する第1分離データと残る第2分離デ
ータとに分離する分離手段と、前記第1分離データを前
記相手機器に返信する第2送信手段とを備え、前記第1
暗号化手段は、前記第1乱数と前記第2乱数とを結合
し、その結果得られた結合データを暗号化し、前記デー
タ転送鍵生成手段は、前記第1乱数と前記第2分離デー
タとを結合することにより、前記データ転送鍵を生成
し、前記復号化手段及び前記分離手段は、前記IC内の
回路で実現されているとすることもできる。
【0115】また、前記暗号化装置はさらに、前記第2
乱数をチャレンジデータとして前記相手機器に送信する
第2送信手段と、前記相手機器から送られてきた暗号化
された結合データを復号化する復号化手段と、復号化さ
れた結合データをレスポンスデータに相当する第1分離
データと残る第2分離データとに分離する分離手段とを
備え、前記認証手段は、前記第1分離データを前記相手
機器から返信されてきたレスポンスデータとして前記判
断及び認証をし、前記第1暗号化手段は、前記相手機器
から送信されてきたチャレンジデータと前記第1乱数と
を結合し、その結果得られた結合データを暗号化し、前
記データ転送鍵生成手段は、前記第1乱数と前記第2分
離データとを結合することにより、前記データ転送鍵を
生成し、前記復号化手段及び前記分離手段は、前記IC
内の回路で実現されているとすることもできる。
【0116】これにより、機器間通信の安全性を確保す
るための必要最小限の機能を持ち、規模の小さな暗号化
ICを備えた暗号化装置が実現される。ここで、前記転
送データ暗号化手段による暗号化のアルゴリズムは、前
記第1暗号化手段及び前記復号化手段の少なくとも1つ
のものと同一であることを特徴とするとすることもでき
る。
【0117】これにより、転送データ暗号化手段と第1
暗号化手段や復号化手段を1個の変換器で兼用して実装
することが可能となるので、暗号化ICの回路規模が削
減される。ここで、前記転送データ暗号化手段による暗
号化のアルゴリズムは、前記第1暗号化手段及び前記復
号化手段のいずれのものとも異なり、かつ、いずれのも
のよりも簡易であるとすることもできる。
【0118】これにより、転送データのサイズが大きい
ために何度もその暗号化を繰り返すような場合であって
も、暗号化のためにデータ転送時間が大幅に長くなって
しまうという不具合が回避される。ここで、前記転送デ
ータ暗号化手段は、前記転送データを一定長のブロック
に区切り、各ブロックに対して前記データ転送鍵の対応
する部分を用いて暗号化するとすることもできる。
【0119】これにより、データサイズの大きい転送デ
ータの暗号通信に対しても、本暗号化装置を適用するこ
とが可能となる。ここで、前記転送データ暗号化手段
は、前記ブロックと前記データ転送鍵の対応する部分と
の排他的論理和をとることにより、前記暗号化を行なう
とすることもできる。
【0120】これにより、簡易な論理回路で転送データ
暗号化手段を実現することが可能となる。ここで、前記
第1暗号化手段での暗号と前記復号化手段での復号化と
は、同一の変換アルゴリズムであるとすることもでき
る。これにより、第1暗号化手段と復号化手段を1個の
変換器で兼用して実装することが可能となり、暗号化I
Cの回路規模が削減される。
【0121】ここで、前記第1暗号化手段及び前記復号
化手段は、予め前記IC内に保持された鍵データを用い
て前記暗号化及び復号化を行い、その鍵データの一部
は、前記IC内のマスクROM領域に格納され、残る一
部は、前記IC内の追記ROM領域に格納されていると
することもできる。これにより、認証鍵をマスクROM
のみで構成した場合における欠点と、追記ROMのみで
構成した場合における欠点と補うことが可能となる。
【0122】ここで、前記機器は、チャレンジレスポン
ス型の認証プロトコルに基づく通信により相互に前記相
手機器が正当な機器であることを認証し合うものであ
り、前記暗号化装置はさらに、前記チャレンジデータに
対して前記相手機器から送られてきた暗号化された結合
データを復号化する復号化手段と、復号化された結合デ
ータをレスポンスデータに相当する第1分離データと残
る第2分離データとに分離する分離手段と、前記第1乱
数と前記第1分離データとが一致するか否かを判断し、
一致した場合に前記相手機器は正当な機器であると認証
する認証手段と、前記認証がなされた場合に前記第2分
離データを暗号化する第2暗号化手段と、暗号化された
前記第2分離データをレスポンスデータとして前記相手
機器に返信する第2送信手段とを備え、前記データ転送
鍵生成手段は、前記第1乱数と前記第2分離データとを
結合することにより、前記データ転送鍵を生成し、前記
復号化手段、前記分離手段及び前記第2暗号化手段は、
前記IC内の回路で実現されているとすることもでき
る。
【0123】これにより、乱数を一つだけ生成し、それ
を認証用とデータ転送鍵の生成用の両方の目的に使用し
ているので、暗号化装置での乱数生成のための回路規模
が軽減される。また、暗号化ICの内部において認証の
ための乱数生成と比較処理を行っているので、暗号通信
の安全性が高められる。
【0124】また、本発明は、データ転送鍵の共有化と
そのデータ転送鍵を用いた暗号通信を行なう送信機及び
受信機から構成される通信システムであって、それら送
信機及び受信機が、それぞれ上記構成を備えるとするこ
ともできる。これにより、送信機及び受信機間で相互認
証が行われると共にデータ転送鍵が生成されること、デ
ータ転送鍵の生成に直接関連する乱数はそのままでは送
受信されないこと、及び、データ転送鍵の生成に直接関
連する2つの乱数はそれぞれ送信機及び受信機から提供
されたものであることから、規模の小さな暗号化ICを
用いて実現するのに好適であり、かつ、安全性の高い暗
号通信システムが実現される。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係る暗号化装置の
処理シーケンスを示す図である。
【図2】図1に示された第1の暗号化IC54のハード
ウェア構成を示すブロック図である。
【図3】本発明の第2の実施の形態に係る暗号化装置の
処理シーケンスを示す図である。
【図4】本発明の第3の実施の形態に係る暗号化装置の
処理シーケンスを示す図である。
【図5】本発明の第4の実施の形態に係る暗号化装置の
処理シーケンスを示す図である。
【図6】図5に示された第1の暗号化IC94のハード
ウェア構成を示すブロック図である。
【図7】本発明に係る暗号化装置の具体的な通信システ
ムへの適用例を示す図である。
【図8】図7に示された光ディスクドライブ装置110
の構成を示すブロック図である。
【図9】同光ディスクドライブ装置110の内部に実装
される回路基板の概観を示す図である。
【図10】図7に示された映像再生装置111の構成を
示すブロック図である。
【図11】第1の従来技術に係る一方向認証の処理シー
ケンスを示す図である。
【図12】第2の従来技術に係る双方向認証の処理シー
ケンスを示す図である。
【符号の説明】
51、71、81、91 第1の機器 52、72、82、92 第2の機器 53、73、83、93 第1の機器のMPU 54、74、84、94 第1の暗号化IC 55、75、85、95 第2の機器のMPU 56、76、86、96 第2の暗号化IC 59 データ転送鍵K生成部 60、101 乱数生成部 61、100 外部I/F部 62、102 乱数格納部 63 結合部 64、103 認証鍵S格納部 65、66、68、104、105、107 スイッ
チ 67、106 E関数 69 分離部 70 データ転送鍵K格納部 108 比較部 110 光ディスクドライブ装置 111 映像再生装置 121 SCSIコントローラ 122 制御部 123 暗号化IC 124 MPU 125 光ヘッド 130 SCSIコントローラ 131 MPU 132 暗号化IC 133 MPEGデコーダ 134 AV信号処理部
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/00 675A

Claims (22)

    【特許請求の範囲】
  1. 【請求項1】 データ転送鍵の共有化とそのデータ転送
    鍵を用いた暗号通信を行なう機器に備えられる暗号化装
    置であって、 前記データ転送鍵の共有化のための第1乱数を生成する
    第1乱数生成手段と、 前記第1乱数生成手段により生成された第1乱数を保持
    する第1乱数保持手段と、 前記第1乱数生成手段により生成された第1乱数を前記
    暗号通信の相手機器に送信する第1送信手段と、 前記第1乱数保持手段に保持された第1乱数を用いて時
    変の前記データ転送鍵を生成するデータ転送鍵生成手段
    と、 暗号通信の対象となる転送データに対して前記データ転
    送鍵を用いて暗号化する転送データ暗号化手段とを備
    え、 前記第1乱数生成手段、前記第1乱数保持手段、前記デ
    ータ転送鍵生成手段及び前記転送データ暗号化手段は、
    1個のIC内の回路で実現され、 前記第1乱数保持手段は、前記ICの外部からアクセス
    できない領域に前記第1乱数を保持することを特徴とす
    る暗号化装置。
  2. 【請求項2】 前記暗号化装置はさらに、前記第1乱数
    生成手段により生成された第1乱数を暗号化する第1暗
    号化手段を備え、 前記第1暗号化手段は、前記IC内の回路で実現され、 前記第1送信手段は、前記第1暗号化手段で暗号化され
    た第1乱数を前記相手機器に送信することを特徴とする
    請求項1記載の暗号化装置。
  3. 【請求項3】 前記機器は、チャレンジレスポンス型の
    認証プロトコルに基づく通信により相互に前記相手機器
    が正当な機器であることを認証し合うものであり、 前記暗号化装置はさらに、 前記相手機器に送信するチャレンジデータ用の第2乱数
    を生成する第2乱数生成手段と、 前記チャレンジデータに対して前記相手機器から返信さ
    れてきたレスポンスデータと前記第2乱数とが一致する
    か否かを判断し、一致した場合に前記相手機器は正当な
    機器であると認証する認証手段とを備え、 前記データ転送鍵生成手段は、前記認証がなされた場合
    に前記データ転送鍵を生成することを特徴とする請求項
    2記載の暗号化装置。
  4. 【請求項4】 前記第2乱数生成手段及び前記認証手段
    は、前記IC外の回路で実現されていることを特徴とす
    る請求項3記載の暗号化装置。
  5. 【請求項5】 前記暗号化装置はさらに、 前記相手機器から送られてきた暗号化された結合データ
    を復号化する復号化手段と、 復号化された結合データをレスポンスデータに相当する
    第1分離データと残る第2分離データとに分離する分離
    手段と、 前記第1分離データを前記相手機器に返信する第2送信
    手段とを備え、 前記第1暗号化手段は、前記第1乱数と前記第2乱数と
    を結合し、その結果得られた結合データを暗号化し、 前記データ転送鍵生成手段は、前記第1乱数と前記第2
    分離データとを結合することにより、前記データ転送鍵
    を生成し、 前記復号化手段及び前記分離手段は、前記IC内の回路
    で実現されていることを特徴とする請求項4記載の暗号
    化装置。
  6. 【請求項6】 前記暗号化装置はさらに、 前記第2乱数をチャレンジデータとして前記相手機器に
    送信する第2送信手段と、 前記相手機器から送られてきた暗号化された結合データ
    を復号化する復号化手段と、 復号化された結合データをレスポンスデータに相当する
    第1分離データと残る第2分離データとに分離する分離
    手段とを備え、 前記認証手段は、前記第1分離データを前記相手機器か
    ら返信されてきたレスポンスデータとして前記判断及び
    認証をし、 前記第1暗号化手段は、前記相手機器から送信されてき
    たチャレンジデータと前記第1乱数とを結合し、その結
    果得られた結合データを暗号化し、 前記データ転送鍵生成手段は、前記第1乱数と前記第2
    分離データとを結合することにより、前記データ転送鍵
    を生成し、 前記復号化手段及び前記分離手段は、前記IC内の回路
    で実現されていることを特徴とする請求項4記載の暗号
    化装置。
  7. 【請求項7】 前記転送データ暗号化手段による暗号化
    のアルゴリズムは、前記第1暗号化手段及び前記復号化
    手段の少なくとも1つのものと同一であることを特徴と
    する請求項5又は6記載の暗号化装置。
  8. 【請求項8】 前記転送データ暗号化手段による暗号化
    のアルゴリズムは、前記第1暗号化手段及び前記復号化
    手段のいずれのものとも異なり、かつ、いずれのものよ
    りも簡易であることを特徴とする請求項5又は6記載の
    暗号化装置。
  9. 【請求項9】 前記転送データ暗号化手段は、前記転送
    データを一定長のブロックに区切り、各ブロックに対し
    て前記データ転送鍵の対応する部分を用いて暗号化する
    ことを特徴とする請求項8記載の暗号化装置。
  10. 【請求項10】 前記転送データ暗号化手段は、前記ブ
    ロックと前記データ転送鍵の対応する部分との排他的論
    理和をとることにより、前記暗号化を行なうことを特徴
    とする請求項9記載の暗号化装置。
  11. 【請求項11】 前記第1暗号化手段での暗号と前記復
    号化手段での復号化とは、同一の変換アルゴリズムであ
    ることを特徴とする請求項10記載の暗号化装置。
  12. 【請求項12】 前記第1暗号化手段及び前記復号化手
    段は、予め前記IC内に保持された鍵データを用いて前
    記暗号化及び復号化を行い、 その鍵データの一部は、前記IC内のマスクROM領域
    に格納され、残る一部は、前記IC内の追記ROM領域
    に格納されていることを特徴とする請求項11記載の暗
    号化装置。
  13. 【請求項13】 前記機器は、チャレンジレスポンス型
    の認証プロトコルに基づく通信により相互に前記相手機
    器が正当な機器であることを認証し合うものであり、 前記暗号化装置はさらに、 前記チャレンジデータに対して前記相手機器から送られ
    てきた暗号化された結合データを復号化する復号化手段
    と、 復号化された結合データをレスポンスデータに相当する
    第1分離データと残る第2分離データとに分離する分離
    手段と、 前記第1乱数と前記第1分離データとが一致するか否か
    を判断し、一致した場合に前記相手機器は正当な機器で
    あると認証する認証手段と、 前記認証がなされた場合に前記第2分離データを暗号化
    する第2暗号化手段と、 暗号化された前記第2分離データをレスポンスデータと
    して前記相手機器に返信する第2送信手段とを備え、 前記データ転送鍵生成手段は、前記第1乱数と前記第2
    分離データとを結合することにより、前記データ転送鍵
    を生成し、 前記復号化手段、前記分離手段及び前記第2暗号化手段
    は、前記IC内の回路で実現されていることを特徴とす
    る請求項2記載の暗号化装置。
  14. 【請求項14】 前記転送データ暗号化手段による暗号
    化のアルゴリズムは、前記第1暗号化手段、前記第2暗
    号化手段及び前記復号化手段の少なくとも1つのものと
    同一であることを特徴とする請求項13記載の暗号化装
    置。
  15. 【請求項15】 前記転送データ暗号化手段による暗号
    化のアルゴリズムは、前記第1暗号化手段、前記第2暗
    号化手段及び前記復号化手段のいずれのものとも異な
    り、かつ、いずれのものよりも簡易であることを特徴と
    する請求項13記載の暗号化装置。
  16. 【請求項16】 前記転送データ暗号化手段は、前記転
    送データを一定長のブロックに区切り、各ブロックに対
    して前記データ転送鍵の対応する部分を用いて暗号化す
    ることを特徴とする請求項15記載の暗号化装置。
  17. 【請求項17】 前記転送データ暗号化手段は、前記ブ
    ロックと前記データ転送鍵の対応する部分との排他的論
    理和をとることにより、前記暗号化を行なうことを特徴
    とする請求項16記載の暗号化装置。
  18. 【請求項18】 前記第1暗号化手段及び前記第2暗号
    化手段での暗号化と前記復号化手段での復号化とは、い
    ずれも同一の変換アルゴリズムであることを特徴とする
    請求項17記載の暗号化装置。
  19. 【請求項19】 前記第1暗号化手段、前記第2暗号化
    手段及び前記復号化手段は、予め前記IC内に保持され
    た鍵データを用いて前記暗号化及び復号化を行い、 その鍵データの一部は、前記IC内のマスクROM領域
    に格納され、残る一部は、前記IC内の追記ROM領域
    に格納されていることを特徴とする請求項18記載の暗
    号化装置。
  20. 【請求項20】 データ転送鍵の共有化とそのデータ転
    送鍵を用いた暗号通信を行なう送信機及び受信機から構
    成される通信システムであって、 それら送信機及び受信機は、チャレンジレスポンス型の
    認証プロトコルに基づく通信により相互に相手機器が正
    当な機器であることを認証し合うものであり、それぞ
    れ、 チャレンジデータ用の第1乱数を生成する第1乱数生成
    手段と、 前記データ転送鍵用の第2乱数を生成する第2乱数生成
    手段と、 前記第1乱数と前記第2乱数を結合する結合手段と、 前記結合データを暗号化する暗号化手段と、 暗号化された前記結合データを前記相手機器に送信する
    第1送信手段と、 前記相手機器の第1送信手段から送信された暗号化され
    た結合データを受信する第1受信手段と、 受信した前記結合データを復号化する復号化手段と、 復号化された前記結合データをレスポンスデータに相当
    する第1分離データと前記データ転送鍵用の第2分離デ
    ータに分離する分離手段と、 前記第1分離データをレスポンスデータとして前記相手
    機器に返信する第2送信手段と、 前記相手機器の第2送信手段から返信された第1分離デ
    ータを受信する第2受信手段と、 受信した前記第1分離データと前記第1乱数とを比較
    し、一致している場合に前記相手機器を正当な機器と認
    証する比較手段と、 前記第2乱数と前記第2分離データとを結合すること
    で、前記データ転送鍵を生成するデータ転送鍵生成手段
    と、 前記認証がなされた場合に、生成された前記データ転送
    鍵を用いて前記相手機器と暗号通信を行なう暗号通信手
    段とを備えることを特徴とする暗号化装置。
  21. 【請求項21】 データ転送鍵の共有化とそのデータ転
    送鍵を用いた暗号通信を行なう送信機及び受信機から構
    成される通信システムであって、 それら送信機及び受信機は、チャレンジレスポンス型の
    認証プロトコルに基づく通信により相互に相手機器が正
    当な機器であることを認証し合うものであり、それぞ
    れ、 チャレンジデータ用の第1乱数を生成する第1乱数生成
    手段と、 前記第1乱数を前記相手機器に送信する第1送信手段
    と、 前記相手機器の第1送信手段から送信された第1乱数を
    受信する第1受信手段と、 前記データ転送鍵用の第2乱数を生成する第2乱数生成
    手段と、 受信した前記第1乱数と前記第2乱数を結合する結合手
    段と、 前記結合データを暗号化する暗号化手段と、 暗号化された前記結合データを前記相手機器に返信する
    第2送信手段と、 前記相手機器の第2送信手段から送信された暗号化結合
    データを受信する第2受信手段と、 受信した前記結合データを復号化する復号化手段と、 復号化された前記結合データをレスポンスデータに相当
    する第1分離データと前記データ転送鍵用の第2分離デ
    ータに分離する分離手段と、 前記第1分離データと前記第1乱数生成手段で生成され
    た前記第1乱数とを比較し、一致している場合に前記相
    手機器を正当な機器と認証する比較手段と、 前記第2乱数と前記第2分離データとを結合すること
    で、前記データ転送鍵を生成するデータ転送鍵生成手段
    と、 前記認証がなされた場合に、生成された前記データ転送
    鍵を用いて前記相手機器と暗号通信を行なう暗号通信手
    段とを備えることを特徴とする暗号化装置。
  22. 【請求項22】 データ転送鍵の共有化とそのデータ転
    送鍵を用いた暗号通信を行なう送信機及び受信機から構
    成される通信システムであって、 それら送信機及び受信機は、チャレンジレスポンス型の
    認証プロトコルに基づく通信により相互に相手機器が正
    当な機器であることを認証し合うものであり、 前記送信機は、 第1乱数を生成する第1乱数生成手段と、 前記第1乱数を暗号化する第1暗号化手段と、 暗号化された前記第1乱数を受信機に送信する第1送信
    手段とを備え、 前記受信機は、 暗号化された前記第1乱数を受信する第1受信手段と、 受信した前記第1乱数を復号化する第1復号化手段と、 第2乱数を生成する第2乱数生成手段と、 前記第1乱数と前記第2乱数を結合することで、結合デ
    ータを生成する第1結合手段と、 前記結合データを暗号化する第2暗号化手段と、 暗号化された前記結合データを送信機に送信する第2送
    信手段とを備え、 前記送信機はさらに、 暗号化された前記結合データを受信する第2受信手段
    と、 受信した前記結合データを復号化する第2復号化手段
    と、 復号化された前記結合データを前記第1乱数に相当する
    第1分離データと前記第2乱数に相当する第2分離デー
    タとに分離する分離手段と、 前記第1乱数と前記第1分離データとを比較し、一致し
    ている場合に前記受信機を正当な機器と認証する第1比
    較手段と、 前記認証がなされた場合に前記第2分離データを暗号化
    する第3暗号化手段と、 暗号化された前記第2分離データを前記受信機に送信す
    る第3送信手段と前記第1乱数生成手段で生成された記
    第1乱数と前記分離手段で得られた第2分離データとを
    結合することで、前記データ転送鍵を生成する第1デー
    タ転送鍵生成手段とを備え、 前記受信機はさらに、 暗号化された前記第2分離データを受信する第3受信手
    段と、 受信した前記第2分離データを復号化する第3復号化手
    段と、 復号化された前記第2分離データと前記第2乱数とを比
    較し、一致している場合に前記送信機を正当な機器と認
    証する第2比較手段と、 前記認証がなされた場合に前記第1復号化手段で得られ
    た前記第1乱数と前記第2乱数生成手段で生成された第
    2乱数とを結合することで、前記データ転送鍵を生成す
    る第2データ転送鍵生成手段とを備え、 前記送信機はさらに、 前記第1データ転送鍵生成手段で生成されたデータ転送
    鍵を用いて転送データを暗号化する第4暗号化手段と、 暗号化された転送データを前記受信機に送信する第4送
    信手段とを備え、 前記受信機はさらに、 暗号化された前記転送データを前記送信機から受信する
    第4受信手段と、 前記第2データ転送鍵生成手段で生成されたデータ転送
    鍵を用いて転送データを復号化する第4復号化手段とを
    備えることを特徴とする暗号化装置。
JP12997297A 1996-05-22 1997-05-20 暗号化装置 Expired - Lifetime JP3898796B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP12997297A JP3898796B2 (ja) 1996-05-22 1997-05-20 暗号化装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP12675196 1996-05-22
JP8-126751 1996-05-22
JP12997297A JP3898796B2 (ja) 1996-05-22 1997-05-20 暗号化装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2006315959A Division JP2007049759A (ja) 1996-05-22 2006-11-22 暗号化装置

Publications (2)

Publication Number Publication Date
JPH1051439A true JPH1051439A (ja) 1998-02-20
JP3898796B2 JP3898796B2 (ja) 2007-03-28

Family

ID=26462880

Family Applications (1)

Application Number Title Priority Date Filing Date
JP12997297A Expired - Lifetime JP3898796B2 (ja) 1996-05-22 1997-05-20 暗号化装置

Country Status (1)

Country Link
JP (1) JP3898796B2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000066589A (ja) * 1998-08-20 2000-03-03 Internatl Business Mach Corp <Ibm> 秘密鍵生成システム
WO2000062475A1 (fr) * 1999-04-13 2000-10-19 Sony Corporation Systeme de traitement de donnees, procede de traitement de donnees et dispositif de traitement de donnees
WO2001052474A1 (fr) * 2000-01-14 2001-07-19 Matsushita Electric Industrial Co., Ltd. Dispositif de communication a authentification et systeme de communication a authentification
JP2001306401A (ja) * 2000-01-14 2001-11-02 Matsushita Electric Ind Co Ltd 認証通信装置及び認証通信システム
US6983367B2 (en) 2000-03-14 2006-01-03 Sony Corporation Information providing apparatus and method, information processing apparatus and method, and program storage medium
KR100580159B1 (ko) * 1999-06-28 2006-05-15 삼성전자주식회사 불법 복제 방지를 위한 디지털 인터페이스 방법
JP2007096728A (ja) * 2005-09-28 2007-04-12 Kyocera Corp 通信装置、通信システム、及び情報送信方法
CN1314277C (zh) * 1999-06-15 2007-05-02 西门子公司 在通信网中检验第一通信方的真实可靠性的方法和装置
US7610488B2 (en) 2003-03-14 2009-10-27 Sony Corporation Data processing device and method and program of same
US7644265B2 (en) 2003-06-10 2010-01-05 Hitachi, Ltd. Content transmitting device, content receiving device and content transmitting method
JP2016507196A (ja) * 2013-02-07 2016-03-07 クアルコム,インコーポレイテッド 認証および鍵交換のための方法およびデバイス

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000066589A (ja) * 1998-08-20 2000-03-03 Internatl Business Mach Corp <Ibm> 秘密鍵生成システム
US7260719B1 (en) 1999-04-13 2007-08-21 Sony Corporation Information processing system, information processing method, and information processing device
WO2000062475A1 (fr) * 1999-04-13 2000-10-19 Sony Corporation Systeme de traitement de donnees, procede de traitement de donnees et dispositif de traitement de donnees
CN1314277C (zh) * 1999-06-15 2007-05-02 西门子公司 在通信网中检验第一通信方的真实可靠性的方法和装置
CN1316834C (zh) * 1999-06-15 2007-05-16 西门子公司 在通信网中检验第二通信方的真实可靠性的方法和系统
KR100580159B1 (ko) * 1999-06-28 2006-05-15 삼성전자주식회사 불법 복제 방지를 위한 디지털 인터페이스 방법
WO2001052474A1 (fr) * 2000-01-14 2001-07-19 Matsushita Electric Industrial Co., Ltd. Dispositif de communication a authentification et systeme de communication a authentification
JP2001306401A (ja) * 2000-01-14 2001-11-02 Matsushita Electric Ind Co Ltd 認証通信装置及び認証通信システム
JP4713745B2 (ja) * 2000-01-14 2011-06-29 パナソニック株式会社 認証通信装置及び認証通信システム
US7529938B2 (en) 2000-01-14 2009-05-05 Panasonic Corporation Method, apparatus and system for performing authentication according to challenge-response protocol using scrambled access information
US7215779B2 (en) 2000-03-14 2007-05-08 Sony Corporation Information providing apparatus and method, information processing apparatus and method, and program storage medium
US6983367B2 (en) 2000-03-14 2006-01-03 Sony Corporation Information providing apparatus and method, information processing apparatus and method, and program storage medium
US7610488B2 (en) 2003-03-14 2009-10-27 Sony Corporation Data processing device and method and program of same
US7644265B2 (en) 2003-06-10 2010-01-05 Hitachi, Ltd. Content transmitting device, content receiving device and content transmitting method
US8225084B2 (en) 2003-06-10 2012-07-17 Hitachi, Ltd. Content transmitting device, content receiving device and content transmitting method
JP2007096728A (ja) * 2005-09-28 2007-04-12 Kyocera Corp 通信装置、通信システム、及び情報送信方法
JP2016507196A (ja) * 2013-02-07 2016-03-07 クアルコム,インコーポレイテッド 認証および鍵交換のための方法およびデバイス

Also Published As

Publication number Publication date
JP3898796B2 (ja) 2007-03-28

Similar Documents

Publication Publication Date Title
KR100473536B1 (ko) 기기간통신의안전성을확보하는암호화장치및통신시스템
JP3541522B2 (ja) 機器間通信保護システムおよび機器
JP3526521B2 (ja) 機器認証システム
US7596692B2 (en) Cryptographic audit
JP4633202B2 (ja) 2つの装置間の安全な通信を提供するための方法およびこの方法の応用
US5949877A (en) Content protection for transmission systems
US6049611A (en) One-way data conversion apparatus and device authentication system
US6542610B2 (en) Content protection for digital transmission systems
KR100451012B1 (ko) 디지털저작물의저작권보호를위한복수의암호기술이용프로토콜로부터하나를선택하여사용하는정보기기
US7328342B2 (en) Method for secure communication between two devices
JP2004533194A (ja) データを交換するように構成されたデバイスおよび認証の方法
JP2003508976A (ja) デジタル・ビデオ・コンテンツ伝送の暗号化および解読の方法および装置
JP2001211442A (ja) コンテンツ情報伝送方法、コンテンツ情報記録方法、コンテンツ情報伝送装置、コンテンツ情報記録装置、伝送媒体、及び記録媒体
JP4976633B2 (ja) データの安全な伝送のための方法および装置
JP3898796B2 (ja) 暗号化装置
JP3575951B2 (ja) 機器認証方法及び装置並びに認証システム
JP2007049759A (ja) 暗号化装置
JP2005244534A (ja) 暗号通信装置および暗号通信方法
EP0966127A1 (en) Data processing system, data processing device and data processing method
WO2022233385A1 (en) Method and audio system for transmitting encrypted audio data over a data network from a source device to a device comprising a digital-to-analog converter, dac, and vehicle comprising the audio system
JP2000115159A (ja) 著作物保護システムおよびその著作物保護方法
JP2005190350A (ja) コンテンツ送信装置及びコンテンツ送信方法
US20010014155A1 (en) Method and apparatus for decrypting contents information
WO2007043014A1 (en) Method of encrypted communication using a keystream
JP2001211159A (ja) コンテンツ情報復号化方法、コンテンツ情報復号化装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040402

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060926

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061222

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110105

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120105

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130105

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130105

Year of fee payment: 6

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term