JPS63161745A - Terminal equipment for cryptographic communication - Google Patents
Terminal equipment for cryptographic communicationInfo
- Publication number
- JPS63161745A JPS63161745A JP61313906A JP31390686A JPS63161745A JP S63161745 A JPS63161745 A JP S63161745A JP 61313906 A JP61313906 A JP 61313906A JP 31390686 A JP31390686 A JP 31390686A JP S63161745 A JPS63161745 A JP S63161745A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- key
- data
- communication
- trigger signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 83
- 238000001514 detection method Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 8
- 239000000872 buffer Substances 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000000034 method Methods 0.000 description 7
- 238000012790 confirmation Methods 0.000 description 6
- 230000007423 decrease Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
Abstract
Description
【発明の詳細な説明】
産業上の利用分野
本発明は、端末間で暗号化データ通信を行なう暗号化通
信用端末装置に関するものである。DETAILED DESCRIPTION OF THE INVENTION Field of the Invention The present invention relates to an encrypted communication terminal device that performs encrypted data communication between terminals.
従来の技術
慣用暗号方式における端末間の暗号化データ通信を行な
う場合、暗号鍵の安全性を保証するために、端末間で共
有するデータ暗号鍵を通信セションごとに更新する必要
がある。When encrypted data communication is performed between terminals using a conventional encryption method, it is necessary to update the data encryption key shared between the terminals for each communication session in order to guarantee the security of the encryption key.
従来、慣用暗号方式における暗号鍵配送方式としては、
各端末の固有の端末鑓を管理し各端末間でデータ転送を
行なうときに用いるデータ暗号鍵を生成または管理して
各端末に配送する鍵配送センタを設置する集中鍵管理方
式が知られている。Conventionally, the encryption key distribution method in conventional cryptography is as follows:
A centralized key management method is known in which a key distribution center is set up to manage the unique terminals of each terminal, generate or manage data encryption keys used when transferring data between each terminal, and deliver them to each terminal. .
このような従来の暗号鍵配送方式は例えばり、W。An example of such a conventional cryptographic key distribution method is W.
ディビスとW、L、プライス著”セキュリティフォアコ
ンピュータ ネットワークス″(D、W、DAVIS
AND W、L、PRICE;5ECURITY FO
RCOMPUTERNETWORKS、 JOHN W
ILEY&5ONS) f示されている。“Security for Computer Networks” by D.W. DAVIS and W.L. Price.
AND W, L, PRICE; 5ECURITY FO
RCOMPUTERNETWORKS, JOHN W.
ILEY&5ONS) f shown.
第2図はこの従来の集中鍵管理方式を用いた暗号鍵配送
方式のプロトコル図を示すものである。FIG. 2 shows a protocol diagram of a cryptographic key distribution system using this conventional centralized key management system.
第2図いおいて1は暗号鍵の配送において主導的な役割
を持ち端末鍵としてKAを持つ端末Aであリ、2は端末
対としてKBを持つ端末Bであり、3は各端末の固有の
端末対を管理し各端末間でデータ転送を行なうときに用
いるデータ暗号鍵を生成または管理して各端末に配送す
る鍵配送センタである。KA及びKBはそれぞれ端末A
、端末Bの秘密の鍵であり自分と鍵配送センタしか知ら
ない。In Figure 2, 1 is a terminal A that plays a leading role in the distribution of encryption keys and has KA as a terminal key, 2 is a terminal B that has KB as a terminal pair, and 3 is a terminal unique to each terminal. This is a key distribution center that manages pairs of terminals, generates or manages data encryption keys used when transferring data between each terminal, and distributes them to each terminal. KA and KB are respectively terminal A
, is the secret key of terminal B and is known only to you and the key distribution center.
以上のように構成された従来の暗号鍵配送方式において
、端末Aと端末Bの闇で暗号化データ通信を行なうため
のデータ暗号鍵KSの配送及び認証のためのプロトコル
を説明する。In the conventional encryption key distribution system configured as described above, a protocol for delivering and authenticating the data encryption key KS for secretly encrypted data communication between terminal A and terminal B will be described.
なお以下の説明においてメツセージXをgsKで暗号化
した暗号文上EK(X)と記す。In the following explanation, the message X is written as EK(X) in the ciphertext encrypted with gsK.
[1]端末Aは端末Bとのデータ通信を行なうためのデ
ータ暗号1m!KSt−得るために、鍵配送センタに対
するリクエストREQAB及び確認番号1dを端末Aの
端末′aKAで暗号化して
EKA(REQAB−1d ) (1
)とし、鍵配送センタに送出する。[1] Terminal A uses data encryption of 1m for data communication with terminal B! In order to obtain KSt-, the request REQAB to the key distribution center and the confirmation number 1d are encrypted by the terminal 'aKA of terminal A, and EKA(REQAB-1d) (1
) and send it to the key distribution center.
ここで確認番号1dは端末Aが作った乱数であり、これ
は通信文が途中で改ざんされていないこと及び盗聴者が
以前に盗聴したものを再送したものではないことを確認
するために用いる。Here, the confirmation number 1d is a random number created by terminal A, and is used to confirm that the message has not been tampered with on the way and that the eavesdropper has not retransmitted what was previously eavesdropped.
[2]鍵配送センタは上記暗号文(1)を復号化し、こ
れに基づいて端末Aに対し、データ暗号鍵KS、確認番
号1dと、データ暗号fiKs及び端末Aの識別子Aを
端末Bの端末fiKBで暗号化したものを端末Aの端末
対KAで暗号化した暗号文EKA(K S、 i d、
EKB(K S、A)) (2)を送信
する。[2] The key distribution center decrypts the above ciphertext (1), and based on this, sends the data encryption key KS, confirmation number 1d, data encryption fiKs, and identifier A of terminal A to terminal A to terminal B. The ciphertext EKA (K S, i d,
Send EKB(K S, A)) (2).
[3]端末Aは上記暗号文(2)よりidをチェックシ
、データ暗号faK S I!’ EKB(K S、A
)ヲ取りだして保持する。その後EKB(KS、A)及
び乱数XをKSで暗号化したEKs(X)を端末Bに送
信する。この暗号文は次のように記される。[3] Terminal A checks the ID from the above ciphertext (2) and data encryption faKSI! 'EKB(KS,A
) and hold it. After that, EKB (KS, A) and EKs (X) obtained by encrypting the random number X with KS are transmitted to terminal B. This ciphertext is written as follows.
E KB(K S p A)e E Ks(X)−−−
−一−−−−−−−−(3)ここでEll(X)はデー
タ暗号鍵KSが端末Bに正しく伝達されたかどうかを確
認するために用いる。E KB (K S p A) e E Ks (X) ---
(3) Here, Ell(X) is used to check whether the data encryption key KS has been correctly transmitted to the terminal B.
[41m末Bは上記暗号文(3)内のEKB(KS、A
)を復号することにより端末Aからの鍵配送センタを経
由した正式なデータ通信要求であることを認識し、デー
タ暗号鍵KSを取りだして保持する。[41m end B is EKB (KS, A) in the above ciphertext (3)
), it recognizes that it is an official data communication request from terminal A via the key distribution center, and extracts and holds the data encryption key KS.
また上記暗号文(3)内のEgs(X)を本KSにより
復号して乱数Xを得、事前に取り決めた間数Fを用いて
F(X)を生成する。これをKSで暗号化し端末Aに対
し
EKs(F (X)) −(4)として送信す
る。Further, Egs(X) in the above ciphertext (3) is decrypted by this KS to obtain a random number X, and F(X) is generated using a predetermined number F. This is encrypted with KS and sent to terminal A as EKs(F (X)) - (4).
[5]端末Aでは、上記暗号文(4)を復号してF(X
)を受取り、これが乱数Xと間数Fによりできたものか
をチェックすることによりデータ暗号鍵KSが端末Bに
正しく伝送されたことを確認できる。このようにして端
末A、端末Bは暗号化データ通信を行なうために必要な
データ暗号@IKsを共有することができ、以降のデー
タ通信においては本データ暗号鍵KSを用いて暗号化通
信を行なうことができる。[5] Terminal A decrypts the above ciphertext (4) and obtains F(X
), and by checking whether it is generated by the random number X and the random number F, it can be confirmed that the data encryption key KS has been correctly transmitted to the terminal B. In this way, terminal A and terminal B can share the data encryption @IKs necessary for encrypted data communication, and in subsequent data communication, encrypted communication will be performed using this data encryption key KS. be able to.
次に以上に示したような従来の集中鍵管理方式で用いる
端末の構成について以下に説明する。Next, the configuration of a terminal used in the conventional centralized key management method as shown above will be explained below.
第3図はこのような従来の集中鍵管理方式で用いる端末
のブロック図を示すものである。第3図において1は暗
号鍵の生成において主導的な役割を持ち端末対としてK
Aを持つ端末A、2は端末対としてKBを持つ端末B、
4は通信回線、5・6はそれぞれ端末A1端末口のデー
タバッファであり平文のメツセージが入出力される。7
は端末Aの暗号・復号化装置、8は端末Bの暗号・復号
化装置、9は端末Aの端末対KAを格納する端末鍵レジ
スタ、10は端末Bの端末対KBを格納する端末鍵レジ
スタ、11・12はそれぞれ端末A、端末B内で共通の
データ暗号鍵KSを格納するデータ暗号鍵レジスタ、1
3は端末A内の乱数発生器であり上記プロトコルで示し
た確認番号1dと乱数Xを生成する。14・15はそれ
ぞれ端末A・端末B内にあって予め取り決めた間数Fを
実行する間数器、16は暗号・復号化装置7の出力と関
数器14の出力を比較する比較器である。FIG. 3 shows a block diagram of a terminal used in such a conventional centralized key management system. In Fig. 3, 1 plays a leading role in the generation of encryption keys, and K serves as a terminal pair.
Terminal A with A, 2 is terminal B with KB as a terminal pair,
4 is a communication line, and 5 and 6 are data buffers at the terminal A1 terminal port, respectively, through which plain text messages are input and output. 7
is an encryption/decryption device of terminal A, 8 is an encryption/decryption device of terminal B, 9 is a terminal key register that stores the terminal pair KA of terminal A, and 10 is a terminal key register that stores the terminal pair KB of terminal B. , 11 and 12 are data encryption key registers that store a common data encryption key KS in terminal A and terminal B, respectively;
3 is a random number generator within terminal A, which generates the confirmation number 1d and random number X shown in the above protocol. Numerals 14 and 15 are located in terminal A and terminal B, respectively, and execute a predetermined number F, and 16 is a comparator that compares the output of the encryption/decryption device 7 with the output of the function generator 14. .
以上のように構成された従来の暗号鍵配送方式における
端末の構成について、以下その動作を説明する。The operation of the terminal configuration in the conventional cryptographic key distribution system configured as described above will be described below.
端末Aは暗号化送信すべき平文メツセージがあればこれ
をデータバッファ5に用意する。暗号・復号化装置7は
データバッファ5または乱数発生器13の内容を人力と
し端末鍵KAで暗号化するときは端末鍵レジスタ9の値
を鍵として、データ暗号filKsで暗号化するときは
データ暗号鍵レジスタ11の値を鍵として用いて暗号化
を実行し、暗号文を通信回線4に出力する。また通信回
線4から受信した暗号化メツセージは同様に暗号・復号
化装置7において端末鍵レジスタ9もしくはデータ暗号
鍵レジスタ11の値を鍵として復号化され、復号化され
たメツセージはデータバッファ5に書き込まれる。If terminal A has a plaintext message to be encrypted and transmitted, it prepares it in data buffer 5. The encryption/decryption device 7 uses the value of the terminal key register 9 as a key when manually encrypting the contents of the data buffer 5 or the random number generator 13 with the terminal key KA, and uses the value of the terminal key register 9 as the key when encrypting the contents with the data encryption filKs. Encryption is performed using the value of the key register 11 as a key, and the encrypted text is output to the communication line 4. Furthermore, the encrypted message received from the communication line 4 is similarly decrypted in the encryption/decryption device 7 using the value of the terminal key register 9 or the data encryption key register 11 as a key, and the decrypted message is written to the data buffer 5. It will be done.
端末Bにおいても全く同様であり暗号化送信すべき平文
メツセージがあればこれはデータバッファ6に用意され
る。暗号・復号化装置8はこれを人力とし端末鍵KBで
暗号化するときは端末鍵レジスタ10の値を鍵として、
データ暗号UKSで暗号化するときはデータ暗号対レジ
スタ12の値を鍵として用いて暗号化を実行し、暗号文
を通信回線4に出力する。また通信回線4から受信した
暗号化メツセージは同様に暗号・復号化装置8において
端末鍵レジスタ10もしくはデータ暗号鍵レジスタ11
の値を鍵として復号化され、復号化されたメツセージは
データバッファ6に書き込まれる。The same is true for terminal B, and if there is a plaintext message to be encrypted and transmitted, it is prepared in the data buffer 6. The encryption/decryption device 8 uses the value of the terminal key register 10 as a key when encrypting with the terminal key KB manually.
When encrypting data using the data encryption UKS, the value of the data encryption pair register 12 is used as a key to execute the encryption, and the encrypted text is output to the communication line 4. Similarly, the encrypted message received from the communication line 4 is sent to the terminal key register 10 or the data encryption key register 11 in the encryption/decryption device 8.
The message is decrypted using the value as a key, and the decrypted message is written to the data buffer 6.
上記プロトコル[3]〜[5]で示した乱数Xを用いて
行なうデータ暗号鍵KSの端末A、B間での一致確認の
動作について以下に説明する。The operation of checking the coincidence of the data encryption key KS between the terminals A and B using the random number X shown in the above protocols [3] to [5] will be described below.
乱数発生器13によって発生された乱数Xは関数器14
に人力されるとともに暗号・復号化装置7によってデー
タ暗号鍵レジスタ11の値KSAで暗号化され暗号文E
KSA(X)は通信回線4を通じて端末Bに送られる。The random number X generated by the random number generator 13 is sent to the function unit 14
is input manually, and is encrypted by the encryption/decryption device 7 with the value KSA of the data encryption key register 11, resulting in the ciphertext E.
KSA(X) is sent to terminal B via communication line 4.
端末BにおいてEKSA(X)は暗号・復号化装置8に
よってデータ暗号鍵レジスタ12の値KSBで復号化さ
れる。もし端末Aのデータ暗号鍵レジス′り11の値K
SAと端末Bのデータ暗号鍵レジスタ12の値KSBが
一致しているとこの復号結果は乱数Xとなっている。こ
れは関数器15に入力されその出力F(X)は暗号・復
号化装置8によってデータ暗号1KsBで暗号化されそ
の暗号文EKss (F (X) )は通信回線4を通
じて端末Aに送られる。端末AにおいてEK8B(F
(X))は暗号・復号化装置7によってデータ暗号鍵K
sAで復号化され、比較器16においてその復号値と関
数器14の出力F(X)を比較する。At terminal B, EKSA(X) is decrypted by the encryption/decryption device 8 using the value KSB of the data encryption key register 12. If terminal A's data encryption key register 11 value K
If the value KSB of the data encryption key register 12 of SA and terminal B match, the decryption result is a random number X. This is input to the function unit 15, and its output F(X) is encrypted by the encryption/decryption device 8 with a data encryption of 1KsB, and the ciphertext EKss (F (X) ) is sent to the terminal A through the communication line 4. EK8B (F
(X)) is the data encryption key K by the encryption/decryption device 7.
sA, and the comparator 16 compares the decoded value with the output F(X) of the function unit 14.
これが同一であれば端末Aのデータ暗号鍵レジスタ11
の値KSAと端末Bのデータ暗号鍵レジスタ12の値K
SBが一致していることがわかりこれをその後の暗号化
データ通信の1通信セツションにおいてデー・夕暗号鍵
として用いることができる。If these are the same, the data encryption key register 11 of terminal A
value KSA and the value K of the data encryption key register 12 of terminal B
It is found that the SBs match, and this can be used as the data encryption key in one subsequent communication session of encrypted data communication.
もし比較器16での比較結果が同一でなかった場合には
、再び上記[1]〜[5コのプロトコルにより共通のデ
ータ暗号WKSを得なければならない。If the comparison results in the comparator 16 are not the same, a common data encryption WKS must be obtained again using the protocols [1] to [5] above.
以上述べたようにして端末A、端末Bは暗号化データ通
信を行なうために必要なデータ暗号鍵KSを共有するこ
とができ、以降のデータ通信の1通信セツションにおい
ては本データ暗号11Ksを用いて暗号化通信を行なう
ことができる。As described above, terminal A and terminal B can share the data encryption key KS necessary for encrypted data communication, and in one communication session of subsequent data communication, this data encryption key 11Ks is used. Encrypted communication can be performed.
発明が解決しようとする問題点
しかしながら上記のような方式では、端末間で暗号化デ
ータ通信の1通信セツションを行なうたびごとにその前
に鍵配送センタに対してデータ暗号WKSを要求する必
要があり、またいくつかの端末間においてその頻度が増
大すると、アクセス競合も発生しやすくデータ伝送効率
が低下するという問題点を有していた。また1回の通信
セツションとして同一のデータ暗号鍵を長く用いると鍵
の安全性が損なわれるいう問題点を有していた。Problems to be Solved by the Invention However, in the above method, it is necessary to request data encryption WKS from the key distribution center before each communication session of encrypted data communication between terminals. In addition, when the frequency of access increases between some terminals, access contention tends to occur and data transmission efficiency decreases. Another problem is that if the same data encryption key is used for a long time in one communication session, the security of the key is compromised.
本発明はかかる点に鑑み、データ暗号鍵の安全性を損う
ことなく、また鍵配送センタに対するデータ暗号鍵の要
求アクセス回数を減らして、端末間の暗号化通信におい
てデータ伝送効率の良い暗号鍵配送方式を提供すること
を目的とする。In view of the above, the present invention provides an encryption key that reduces the number of access requests for data encryption keys to a key distribution center without compromising the security of the data encryption keys, and provides efficient data transmission in encrypted communications between terminals. The purpose is to provide a delivery method.
問題点を解決するための手段
本発明は、通信すべきデータを暗号化する暗号装置と、
通信回線から受信した暗号化データを復号化する復号装
置と、通信相手端末と予め取り決めた共通鍵を格納する
共通鍵レジスタと、現在の日時刻情報を与えるタイマと
、上記タイマ値をラッチする時刻ラッチと、上記共通鍵
と上記時刻ラッチの値よりデータ暗号鍵を出力するデー
タ暗号鍵出力回路と、上記時刻ラッチにラッチトリガを
発生しかつ通信回線を通じてトリガ信号メツセージを出
力するトリガ信号メツセージ発生器と、受信したトリガ
信号メツセージを検出して検出時に上記時刻ラッチにラ
ッチ信号を出力するトリガ信号メツセージ検出器を備え
た暗号化通信用端末装置である。Means for Solving the Problems The present invention provides an encryption device for encrypting data to be communicated;
A decryption device that decrypts encrypted data received from a communication line, a common key register that stores a common key agreed upon in advance with a communicating party terminal, a timer that provides current date and time information, and a time that latches the timer value. a latch, a data encryption key output circuit that outputs a data encryption key based on the values of the common key and the time latch, and a trigger signal message generator that generates a latch trigger to the time latch and outputs a trigger signal message through a communication line. , a terminal device for encrypted communication comprising a trigger signal message detector that detects a received trigger signal message and outputs a latch signal to the time latch at the time of detection.
作用
本発明は上記した構成により、例えば1通信セツション
開始時に第1の端末内のトリガ信号メツセージ発生器は
時刻ラッチにトリガを発生しこれにより時刻ラッチはタ
イマの日時刻情報をラッチし、かつ通信回線を通じてト
リガ信号メツセージを出力する。第2の端末においてト
リガ信号メツセージ検出器はこれを受信して検出し、時
刻ラッチにトリガを発生しこれにより時刻ラッチはタイ
マの日時刻情報をラッチする。第1の端末内のデータ暗
号鍵出力回路は共通対と時刻ラッチの値よりデータ暗号
鍵を出力し、これを鍵として暗号装置は通信平文データ
を暗号化して通信回線に送出する。According to the above-described configuration, the trigger signal message generator in the first terminal generates a trigger to the time latch at the start of one communication session, so that the time latch latches the date and time information of the timer, and the communication starts. Outputs a trigger signal message through the line. A trigger signal message detector at the second terminal receives and detects this and generates a trigger to the time latch, which causes the time latch to latch the date and time information of the timer. A data encryption key output circuit in the first terminal outputs a data encryption key based on the values of the common pair and the time latch, and using this as a key, the encryption device encrypts communication plaintext data and sends it to the communication line.
第2の端末内のデータ暗号鍵出力回路は共通鍵と時刻ラ
ッチの値よりデータ復号鍵を出力し、これを鍵として復
号装置は通信回線から受信した第1の端末の暗号文を復
号する。A data encryption key output circuit in the second terminal outputs a data decryption key based on the common key and the value of the time latch, and using this as a key, the decryption device decrypts the ciphertext of the first terminal received from the communication line.
実施例
本発明の実施例における暗号鍵配送方式については、暗
号鍵の配送において主導的な役割を持つ端末Aと別の端
末口の間で暗号化データ通信を行なう場合について以下
そのプロトコルを説明する。Embodiment Regarding the encryption key distribution method in the embodiment of the present invention, the protocol will be explained below for the case where encrypted data communication is performed between terminal A, which plays a leading role in the distribution of encryption keys, and another terminal. .
[1]鍵配送センタを設置した集中鍵管理方式を用いて
上記従来例で説明したようなプロトコルにより端末Aと
端末Bの間で共通鍵KCを得る。[1] A common key KC is obtained between terminal A and terminal B using a centralized key management system in which a key distribution center is installed, using the protocol described in the conventional example above.
[2]デ一タ通信の1セツシヨンを開始する場合、開始
時点に端末Aにおいてその時の日時刻情報TAをラッチ
するとともに通信回線を通じて端末Bにトリガ信号メツ
セージを送出する。端末Bにおいてはこのトリガ信号メ
ツセージを検出しこれによって同様にその時の日時刻情
報TBをラッチする。[2] When starting one session of data communication, at the starting point, terminal A latches the current date and time information TA and sends a trigger signal message to terminal B via the communication line. Terminal B detects this trigger signal message and similarly latches the date and time information TB at that time.
[3]端末Bにおいてラッチした日時刻情報TBが端末
Aにおいてラッチした日時刻情報TAと同一になってい
るかを確認する必要がある。このために端末Aにおいて
日時刻情報TAを共通IKcで暗号化しその暗号文E
KC(T A) = E T A t’ flaとして
乱数Xを暗号化し、EETA(X)を端末Bに送信する
。[3] It is necessary to check whether the date and time information TB latched at terminal B is the same as the date and time information TA latched at terminal A. For this purpose, terminal A encrypts the date and time information TA using a common IKc and encrypts the ciphertext E.
The random number X is encrypted as KC(TA) = ETA t' fla, and EETA(X) is sent to terminal B.
端末Bでは日時刻情報TBを共通fiKcで暗号化した
暗号文Eに。(TB)=ETBtr:fiとして受信し
たEETA(X)を復号し、もしTAとTBが一致して
いれば乱数Xが得られる。これに事前に取り決めた開数
F1t′用いてF(X)を生成し、これをETBで暗号
化してEETB(F(X))を端末Aに送信する。At terminal B, the date and time information TB is encrypted using the common fiKc into a ciphertext E. EETA(X) received as (TB)=ETBtr:fi is decoded, and if TA and TB match, random number X is obtained. F(X) is generated using the prearranged open number F1t', which is encrypted with ETB and sent to terminal A as EETB(F(X)).
端末Aでは、上記暗号文EETB(F(X))をETA
により復号してF(X)を得、これが乱数Xと開数Fに
より計算したF(X)と比較することによりTAとTB
が一致していることを確認できる。At terminal A, the above ciphertext EETB(F(X)) is ETA
is decoded to obtain F(X), which is compared with F(X) calculated using random number X and open number F to determine TA and TB.
You can check that they match.
[4]このようにして端末A、端末Bは日時刻情報Tを
共通fiKcで暗号化したEKC(T)を暗号化データ
通信に必要なデータ暗号鍵として共有することができ、
以降の暗号化データ通信における1通信セツションにお
いて本データ暗号fa7f:用いて暗号化通信を行なう
。[4] In this way, terminal A and terminal B can share EKC(T) obtained by encrypting date and time information T using the common fiKc as a data encryption key necessary for encrypted data communication,
In one communication session in subsequent encrypted data communication, encrypted communication is performed using this data encryption fa7f:.
[5]次の通信セツションに必要なデータ暗号化鍵を得
、それを用いて暗号化通信を行なうためには再び[2]
〜[4]の操作を行なう、この[21〜[4]の操作は
複数個の通信セツションを含むアプリケーションデータ
ブロックのデータ通信を行なう間続け、る、従ってこの
ような複数の通信セツションを行なうために端末Aは鍵
配送センタにそのつとアクセスして共通鍵をもらう必要
はない。[5] To obtain the data encryption key necessary for the next communication session and use it to perform encrypted communication, repeat [2]
The operations [21 to 4] are continued while the data communication of the application data block including multiple communication sessions is performed. Therefore, in order to perform such multiple communication sessions, the operations [21 to [4] are performed. There is no need for terminal A to access the key distribution center and obtain the common key.
[6]更に別のアプリケーションデータブロックに対し
ては共通鍵KCをも替えて通信すると良い。[6] It is preferable to communicate with another application data block by changing the common key KC as well.
この場合には上記[1]〜[5]までのプロトコルを繰
り返す。In this case, the protocols from [1] to [5] above are repeated.
次に具体的な端末の回路ブロックを示して上記の操作を
説明する。Next, the above operation will be explained by showing the circuit blocks of a specific terminal.
第1図は本発明の上記実施例における暗号鍵配送方式に
用いる端末のブロック図を示すものである。第1図にお
いて1は暗号鍵の生成において主導的な役割を持ち端末
対としてKAを持つ端末A、2は端末対としてKBを持
つ端末B、4は通信回線、5・6はそれぞれ端末A、端
末Bのデータバッファであり平文のメツセージが人出力
される。7は端末Aの暗号・復号化装置、8は端末Bの
暗号・復号化装置、9は端末人の端末対KAを格納する
端末鍵レジスタ、10は端末Bの端末対KBを格納する
端末鍵レジスタ、11・12はそれぞれ端末A、端末B
内で共通鍵KCを格納する共通鍵レジスタ、13は端末
A内の乱数発生器、14・15はそれぞれ端末A・端末
B内にあって予め取り決めた関数Fを実行する間数器、
16は暗号・復号化装置7の出力と間数器14の出力を
比較する比較器である。17・18は現在の日時刻情報
を与えるタイマ、19・20はそれぞれタイマ17・1
8の値をラッチする時刻ラッチ、21は時刻ラッチ19
の値を共通鍵レジスタ11の内容KCで暗号化する暗号
器、22は時刻ラッチ20の値を共通鍵レジスタ12の
内容KCで暗号化する暗号器、23はデータ転送の1セ
ツシヨンを開始するときにデータ転送の開始時を意味す
るトリガを発生して時刻ラッチ19に与え、かつ通信回
線4を通じて相手先端末に対しデータ転送の開始を示す
トリガ信号メツセージを出力するトリガ信号メツセージ
発生器、24は他端末から受信したトリガ信号メツセー
ジを検出しその検出時に時刻ラッチ20にラッチ信号を
出力するするトリガ信号メツセージ検出器である0以上
のブロックにおいて、従来の鍵管理方式で用いる端末の
ブロック図である第3図と同一番号のブロックについて
は基本的に同一の動作を行なう。FIG. 1 shows a block diagram of a terminal used in the cryptographic key distribution system in the above embodiment of the present invention. In FIG. 1, 1 is a terminal A that plays a leading role in generating encryption keys and has KA as a terminal pair, 2 is a terminal B that has KB as a terminal pair, 4 is a communication line, 5 and 6 are terminals A, This is the data buffer of terminal B, and plain text messages are output. 7 is an encryption/decryption device of terminal A, 8 is an encryption/decryption device of terminal B, 9 is a terminal key register that stores the terminal pair KA of the terminal user, and 10 is a terminal key that stores the terminal pair KB of terminal B. Registers 11 and 12 are terminal A and terminal B, respectively.
13 is a random number generator in terminal A, 14 and 15 are in terminal A and terminal B, respectively, and are number counters that execute a predetermined function F.
A comparator 16 compares the output of the encryption/decryption device 7 and the output of the interpolator 14. 17 and 18 are timers that give current date and time information, and 19 and 20 are timers 17 and 1, respectively.
8 is the time latch that latches the value, 21 is the time latch 19
22 is an encoder that encrypts the value of the time latch 20 with the content KC of the common key register 12. 23 is an encoder when starting one session of data transfer. A trigger signal message generator 24 generates a trigger indicating the start of data transfer and applies it to the time latch 19, and outputs a trigger signal message indicating the start of data transfer to the destination terminal via the communication line 4. FIG. 2 is a block diagram of a terminal used in a conventional key management method in 0 or more blocks that are trigger signal message detectors that detect a trigger signal message received from another terminal and output a latch signal to a time latch 20 upon detection. Blocks with the same numbers as in FIG. 3 basically perform the same operations.
以上のように構成された本実施例の暗号鍵配送方式につ
いては、端末Aと端末Bの闇で暗号化データ通信を行な
う場合について以下その動作を説明する。The operation of the encryption key distribution system of this embodiment configured as described above will be described below with respect to the case where terminal A and terminal B perform encrypted data communication in the dark.
鍵配送センタを設置した集中鍵管理方式を用いた従来例
で説明したようなプロトコルにより端末Aと端末Bの闇
で共通鍵KCを得、それぞれ共通鍵レジスタ11.12
に格納する。Using the protocol described in the conventional example using a centralized key management system with a key distribution center, terminal A and terminal B obtain the common key KC in the dark, and store the common key registers 11 and 12 respectively.
Store in.
暗号化データ通信の1通信セツションを行なう場合、デ
ータ通信を開始する時刻において端末A1のトリガ信号
メツセージ発生器23は、時刻ラッチ19にラッチ信号
を出力するとともに通信回線4を通じて端末Bに対し通
信セツション開始を指示するトリガ信号メツセージを送
出する。これにより端末Aの時刻ラッチ19はタイマ1
7が示すその時の日時刻情報TAをラッチする。また端
末Bのトリガ信号メツセージ検出器24はこのトリガ信
号メツセージを検出しその検出時に時刻ラッチ20にラ
ッチ信号を出力する。これにより時刻ラッチ20はタイ
マ18が示すその時の日時刻情報TBをラッチする。タ
イマ17とタイマ18はそれぞれ通信回線4の遅延時間
に比べ十分長いある時間幅(例えば分または秒)を単位
として動作しているので、端末Aにおいて時刻ラッチ1
9がラッチした時のタイマ17の値TAと端末Bにおい
て時刻ラッチ20がラッチする時のタイマ18の値TB
は多くの場合同一である。(原理的には端末Bにおいて
時刻ラッチ20がラッチする時のタイマ18の値TBが
通信回線4等の遅延により端末Aにおいて時刻ラッチ1
9がラッチしたタイマ17の値TAより1時間幅単位進
んでいることはあり得る)。When performing one communication session of encrypted data communication, the trigger signal message generator 23 of the terminal A1 outputs a latch signal to the time latch 19 at the time when data communication is started, and also sends a communication session signal to the terminal B via the communication line 4. Sends a trigger signal message instructing the start. As a result, the time latch 19 of terminal A is set to timer 1.
The date and time information TA indicated by 7 is latched. Further, the trigger signal message detector 24 of terminal B detects this trigger signal message and outputs a latch signal to the time latch 20 at the time of detection. As a result, the time latch 20 latches the current date and time information TB indicated by the timer 18. Since the timers 17 and 18 each operate in units of a certain time width (for example, minutes or seconds) that is sufficiently long compared to the delay time of the communication line 4, the time latch 1 at terminal A
The value TA of timer 17 when time latch 9 latches and the value TB of timer 18 when time latch 20 latches at terminal B.
are often the same. (In principle, the value TB of the timer 18 when the time latch 20 latches in the terminal B is different from the time latch 1 in the terminal A due to a delay in the communication line 4, etc.)
It is possible that timer 9 is ahead of the latched value TA of timer 17 by one time width unit).
端末Aにおいて暗号器21はTAの値を共通鍵レジスタ
11の内容KCを鍵として暗号化しEKC(TA)=E
TAを出力する。暗号・復号化装置7は乱数発生器13
の出力XをETAを鍵として暗号化しE、TA(X)を
通信回線4を通じて端末Bに送出する。端末Bにおいて
も暗号器22は共通鍵レジスタ12の内容KCを鍵とし
てTBの値を暗号化しEKC(T B)= E T B
を出力する。暗号・復号化装置8は端末Aより受信した
EETA(X)をETBを鍵として復号化する。TBが
TAに等しければ乱数Xが復号される。これを関数器1
5に入力しその出力F(X)を暗号・復号化装置8でE
TBを鍵として暗号化しEETB(F(X))として通
信回線4を通じて端末Aに送出する。端末Aにおいて暗
号・復号化装置7はこれをETAt’鍵として復号し、
比較器16において間数器14の出力F(X)と比較す
る。もしこれが一致していれば時刻ラッチ19の値TA
と時刻ラッチ20の値TBは同一の値に設定されたこと
が確認される。一致していなければ時刻ラッチ19の値
TAと時刻ラッチ20の値TBが異なっていることが検
出されトリガ信号メツセージ発生器23は再びトリガ信
号を発生する。At terminal A, the encoder 21 encrypts the value of TA using the content KC of the common key register 11 as a key, and EKC(TA)=E.
Output TA. The encryption/decryption device 7 is a random number generator 13
The output X is encrypted using ETA as a key, and E and TA(X) are sent to terminal B through the communication line 4. Also in terminal B, the encoder 22 encrypts the value of TB using the content KC of the common key register 12 as a key, and EKC(T B) = E T B
Output. Encryption/decryption device 8 decrypts EETA(X) received from terminal A using ETB as a key. If TB is equal to TA, random number X is decoded. This is function unit 1
5, and the output F(X) is sent to the encryption/decryption device 8.
It is encrypted using TB as a key and sent to terminal A via communication line 4 as EETB (F(X)). In the terminal A, the encryption/decryption device 7 decrypts this using the ETAt' key,
A comparator 16 compares it with the output F(X) of the interpolator 14. If they match, the value TA of time latch 19
It is confirmed that the value TB of the time latch 20 and the value TB of the time latch 20 are set to the same value. If they do not match, it is detected that the value TA of the time latch 19 and the value TB of the time latch 20 are different, and the trigger signal message generator 23 generates a trigger signal again.
このようにしてTAとTBが一致していることが確認さ
れれば、以降のデータ通信における1通信セツションに
おいて端末A、端末Bはそれぞれ暗号化器21の出力E
KC(TA)および暗号化器22の出力EKC(TB)
をデータ暗号化鍵として用いることができる。If it is confirmed that TA and TB match in this way, in one communication session in subsequent data communication, terminal A and terminal B each receive the output E of the encoder 21.
KC (TA) and the output EKC (TB) of the encoder 22
can be used as a data encryption key.
1通信セツションが終わり次の通信セツションを行なう
場合には、共通fiKcを替えることなく、トリガ信号
メツセージ発生器23は再びトリガ信号を発生して時刻
ラッチ19に日時刻情報をラッチし、以上の操作と同様
にしてこの値を暗号器21で暗号化した値を新たな通信
セツションに対するデータ暗号化鍵とする。When one communication session ends and the next communication session is to be performed, the trigger signal message generator 23 generates a trigger signal again to latch the date and time information in the time latch 19 without changing the common fiKc, and the above operation is performed. This value is encrypted by the encoder 21 in the same manner as above, and the value is used as the data encryption key for the new communication session.
このような複数の通信セツションを含むあるアプリケー
ションブロックが終了し、次のアプリケーションブロッ
クの暗号化通信を行なう場合、必要であれば端末Aは鍵
配送センタにアクセスして次の共通*KCを得なおせば
よい。When an application block containing multiple communication sessions ends and encrypted communication is to be performed for the next application block, terminal A can access the key distribution center and re-obtain the next common*KC if necessary. Bye.
以上のように本実施例によれば、通信セツションを開始
する時のトリガ信号メツセージを発生するトリガ信号メ
ツセージ発生器23と、日時刻情報を与えるタイマ17
と、トリガ信号メツセージによりこれをラッチする時刻
ラッチ19と、暗号器21を設けてトリガ信号メツセー
ジにより2つの端末に同一の日時刻情報を持たせ、これ
と共通鍵KCを用いてデータ暗号化鍵を2端末間で共有
することができる。このため、暗号化データ通信の1通
信セツションを行なうたびごとにその前に鍵配送センタ
に対してデータ暗号fiKsの要求なする必要がない、
従って多くの端末があっても鍵配送センタに対するデー
タ暗号鍵の要求頻度が増大することが無く、データ伝送
効率が低下しないという効果がある。As described above, according to this embodiment, the trigger signal message generator 23 generates a trigger signal message when starting a communication session, and the timer 17 provides date and time information.
, a time latch 19 that latches this in response to a trigger signal message, and an encoder 21 are provided to allow two terminals to have the same date and time information in response to a trigger signal message, and use this and a common key KC to create a data encryption key. can be shared between two devices. Therefore, there is no need to request data encryption fiKs from the key distribution center before each communication session of encrypted data communication.
Therefore, even if there are many terminals, the frequency of requests for data encryption keys from the key distribution center does not increase, and data transmission efficiency does not decrease.
なお、本実施例のプロトコル例において、端末Bにおい
てラッチした日時刻情報TBが端末Aにおいてラッチし
た日時刻情報TAと同一になっているか、即ち暗号化通
信に用いるデータ暗号化鍵EKC(TA)が端末A、B
間で一致しているかどうかは、乱数Xと間数Fを用いる
ことによって確認したが(プロトコル説明番号[3])
、この確認は、予め取り決めたメツセージ認証コードを
転送データに付加し、このようなデータを本データ暗号
化WEKC(TA)で暗号化して送信し、これを端末B
側のほうでデータ暗号化鍵EKC(TB)で復号化して
認証することにより行なってもよい、の方法のほうがデ
ータ暗号化鍵の確認プロトコルは簡単になり伝送効率も
向上する。In addition, in the protocol example of this embodiment, is the date and time information TB latched at terminal B the same as the date and time information TA latched at terminal A, that is, the data encryption key EKC (TA) used for encrypted communication? are terminals A and B
It was confirmed whether or not they matched by using random number X and random number F (protocol description number [3])
, This confirmation adds a pre-arranged message authentication code to the transferred data, encrypts such data with this data encryption WEKC (TA) and sends it, and sends it to terminal B.
This method may be performed by decrypting and authenticating with the data encryption key EKC (TB) on the side, which simplifies the data encryption key confirmation protocol and improves transmission efficiency.
また、本実施例において作られたデータ暗号鍵は、時刻
ラッチ19の内−容を共通鍵KCを鍵として暗号・復号
化装置7と同一の暗号手順により暗号器21で暗号化し
た値EKC(TA)としたが、これは時刻ラッチ19の
内容TAと共通1iKcの2つの値を入力とする任意の
間数でもよい。Furthermore, the data encryption key created in this embodiment is a value EKC ( TA), but this may be any number of intervals that inputs two values: the content TA of the time latch 19 and the common 1iKc.
発明の詳細
な説明したように、本発明によれば、端末間で暗号化デ
ータ通信の1通信セツションを行なうたびごとにその前
に鍵配送センタに対してデータ暗号WKSの要求をする
必要がないため、多くの端末からの鍵配送センタに対す
るアクセス頻度が増大することなくデータ伝送効率の低
下を招くことがない、従って本発明はデータ暗号鍵の安
全性を損うことなく、また鍵配送センタに対するデータ
暗号鍵の要求アクセス回数を減らして、端末間の暗号化
通信においてデータ伝送効率の良い暗号鍵配送方式を提
供することができ、その実用的効果は大なるものがある
。As described in detail, according to the present invention, there is no need to request data encryption WKS from the key distribution center before each communication session of encrypted data communication between terminals. Therefore, the frequency of access from many terminals to the key distribution center does not increase, and data transmission efficiency does not decrease. Therefore, the present invention does not impair the security of data encryption keys, and the frequency of access to the key distribution center from many terminals does not increase. It is possible to provide an encryption key distribution method that reduces the number of requested accesses to data encryption keys and has high data transmission efficiency in encrypted communication between terminals, and has great practical effects.
第1図は本発明における一実施例の暗号化通信用端末装
置のブロック図、第2図は従来の暗号鍵配送方式のプロ
トコル図、第3図は従来の暗号鍵配送方式における端末
装置のブロック図である。
1・・・端末A、2・・・端末B、4・・・通信回線、
7,8・・・暗号・復号化装置、11゜12・・・共通
鍵レジスタ、17.18・・・タイマ、19.20・・
・時刻ラッチ、21.22・・・暗号器、23・・・ト
リガ信号メツセージ発生器、24・・・トリガ信号メツ
セージ発生器。
代理人の氏名 弁理士 中尾敏男 はか18簗 2rX
JFigure 1 is a block diagram of an encrypted communication terminal device according to an embodiment of the present invention, Figure 2 is a protocol diagram of a conventional cryptographic key distribution system, and Figure 3 is a block diagram of a terminal device in a conventional cryptographic key distribution system. It is a diagram. 1...Terminal A, 2...Terminal B, 4...Communication line,
7, 8... Encryption/decryption device, 11゜12... Common key register, 17.18... Timer, 19.20...
- Time latch, 21.22... Encryptor, 23... Trigger signal message generator, 24... Trigger signal message generator. Name of agent: Patent attorney Toshio Nakao Haka18yan 2rX
J
Claims (1)
ら受信した暗号化データを復号化する復号装置と、通信
相手端末と予め取り決めた共通鍵を格納する共通鍵レジ
スタと、現在の日時刻情報を与えるタイマと、上記タイ
マ値をラッチする時刻ラッチと、上記共通鍵と上記時刻
ラッチの値よりデータ暗号鍵を出力するデータ暗号鍵出
力回路と、上記時刻ラッチにラッチトリガを発生しかつ
通信回線を通じてトリガ信号メッセージを出力するトリ
ガ信号メッセージ発生器と、受信したトリガ信号メッセ
ージを検出して検出時に上記時刻ラッチにラッチ信号を
出力するするトリガ信号メッセージ検出器を備えた暗号
化通信用端末装置。An encryption device that encrypts data to be communicated, a decryption device that decrypts encrypted data received from a communication line, a common key register that stores a common key agreed upon in advance with the communication partner terminal, and current date and time information. a time latch that latches the timer value; a data encryption key output circuit that outputs a data encryption key from the common key and the value of the time latch; An encrypted communication terminal device comprising: a trigger signal message generator that outputs a trigger signal message; and a trigger signal message detector that detects a received trigger signal message and outputs a latch signal to the time latch upon detection.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP61313906A JPS63161745A (en) | 1986-12-24 | 1986-12-24 | Terminal equipment for cryptographic communication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP61313906A JPS63161745A (en) | 1986-12-24 | 1986-12-24 | Terminal equipment for cryptographic communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPS63161745A true JPS63161745A (en) | 1988-07-05 |
Family
ID=18046941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP61313906A Pending JPS63161745A (en) | 1986-12-24 | 1986-12-24 | Terminal equipment for cryptographic communication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS63161745A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03128541A (en) * | 1989-08-07 | 1991-05-31 | Matsushita Electric Ind Co Ltd | System and method for cipher communication |
| JPH08149125A (en) * | 1994-11-21 | 1996-06-07 | Sanyo Electric Co Ltd | Communication equipment and communication method |
| JP2656153B2 (en) * | 1990-07-23 | 1997-09-24 | エリクソン インコーポレイテッド | Authentication system for digital cellular communication |
| JP2005309986A (en) * | 2004-04-23 | 2005-11-04 | Ntt Docomo Inc | Id tag, tag reader, id tag security system and method for transmitting and restoring id tag |
| JP2006186807A (en) * | 2004-12-28 | 2006-07-13 | Hitachi Ltd | Communication support server, method and system |
| JP2006311622A (en) * | 2006-08-09 | 2006-11-09 | Hitachi Ltd | Method, server and system for communication support |
| JP2008500772A (en) * | 2004-05-27 | 2008-01-10 | クゥアルコム・インコーポレイテッド | Method and apparatus for encryption key migration during an ongoing media communication session |
-
1986
- 1986-12-24 JP JP61313906A patent/JPS63161745A/en active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03128541A (en) * | 1989-08-07 | 1991-05-31 | Matsushita Electric Ind Co Ltd | System and method for cipher communication |
| JP2656153B2 (en) * | 1990-07-23 | 1997-09-24 | エリクソン インコーポレイテッド | Authentication system for digital cellular communication |
| JPH08149125A (en) * | 1994-11-21 | 1996-06-07 | Sanyo Electric Co Ltd | Communication equipment and communication method |
| JP2005309986A (en) * | 2004-04-23 | 2005-11-04 | Ntt Docomo Inc | Id tag, tag reader, id tag security system and method for transmitting and restoring id tag |
| JP4666943B2 (en) * | 2004-04-23 | 2011-04-06 | 株式会社エヌ・ティ・ティ・ドコモ | ID tag, tag reader, ID tag security system, and ID tag transmission restoration method |
| JP2008500772A (en) * | 2004-05-27 | 2008-01-10 | クゥアルコム・インコーポレイテッド | Method and apparatus for encryption key migration during an ongoing media communication session |
| JP4699454B2 (en) * | 2004-05-27 | 2011-06-08 | クゥアルコム・インコーポレイテッド | Method and apparatus for encryption key migration during an ongoing media communication session |
| JP2006186807A (en) * | 2004-12-28 | 2006-07-13 | Hitachi Ltd | Communication support server, method and system |
| US8081758B2 (en) | 2004-12-28 | 2011-12-20 | Hitachi, Ltd. | Communication support server, communication support method, and communication support system |
| JP2006311622A (en) * | 2006-08-09 | 2006-11-09 | Hitachi Ltd | Method, server and system for communication support |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6628786B1 (en) | Distributed state random number generator and method for utilizing same | |
| US6535980B1 (en) | Keyless encryption of messages using challenge response | |
| WO2010064666A1 (en) | Key distribution system | |
| US20110107086A1 (en) | Secure authentication and privacy of data communication links via dynamic key synchronization | |
| JPH08234658A (en) | Method for generation of encoding key | |
| WO1990009009A1 (en) | Data carrier and data communication apparatus using the same | |
| JPH118620A (en) | System and method for efficiently executing authentication of communication channel and facilitating detection of illegal forgery | |
| US7894608B2 (en) | Secure approach to send data from one system to another | |
| CN109104278A (en) | A kind of encrypting and decrypting method | |
| JPH09312643A (en) | Key sharing method and ciphering communication method | |
| US7031469B2 (en) | Optimized enveloping via key reuse | |
| JPH11136234A (en) | User authentication system and user authentication method | |
| JPS63161745A (en) | Terminal equipment for cryptographic communication | |
| JPH0969831A (en) | Cipher communication system | |
| CN111488618B (en) | Block chain-based one-time pad encryption method, device and storage medium | |
| CN114499857A (en) | Method for realizing data correctness and consistency in big data quantum encryption and decryption | |
| JPH11187008A (en) | Delivering method for cryptographic key | |
| JPS63176043A (en) | Secret information communicating system | |
| JPS6253042A (en) | Distributing system for cryptographic key | |
| JPH0777933A (en) | Network data ciphering device | |
| CN114124369B (en) | Multi-group quantum key cooperation method and system | |
| US7327845B1 (en) | Transmission of encrypted messages between a transmitter and a receiver utilizing a one-time cryptographic pad | |
| JPH06276188A (en) | Electronic communication equipment | |
| KR100567321B1 (en) | Method for reusing key using separated encryption key for sending and receiving | |
| JPH0373633A (en) | Cryptographic communication system |