KR100754556B1 - Vpn communication system - Google Patents
Vpn communication system Download PDFInfo
- Publication number
- KR100754556B1 KR100754556B1 KR20067002222A KR20067002222A KR100754556B1 KR 100754556 B1 KR100754556 B1 KR 100754556B1 KR 20067002222 A KR20067002222 A KR 20067002222A KR 20067002222 A KR20067002222 A KR 20067002222A KR 100754556 B1 KR100754556 B1 KR 100754556B1
- Authority
- KR
- South Korea
- Prior art keywords
- encryption key
- key
- encryption
- information
- vpn
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
기기 등록 처리에 의해, 유저 단말기(5a∼5f)에 탑재된 e-Key 칩(6a∼6f)을 칩 관리 센터(2)에 등록한다. 그리고, VPN 서비스 다운로드 처리에 의해, VPN 서비스 제공 센터(3)로부터 VPN 서비스용 어플리케이션 소프트웨어를 다운로드하여, e-Key 칩(6a∼6f)에 인스톨한다. 또한, VPN키 생성 처리 또는 VPN키 공유 처리에 의해, e-Key 칩(6a∼6f)에 VPN키를 저장한다. 동일한 VPN에 속하는 유저 단말기(5a∼5f)간에서는, e-Key 칩(6a∼6f)에 저장되어 있는 VPN키를 사용하여 VPN 접속의 구축을 행한다. 이러한 구성에 의해, VPN 서버의 동작의 유무에 상관없이 동일 VPN에 속하는 다른 클라이언트와 통신하는 것이 가능하게 된다.By the device registration processing, the e-Key chips 6a to 6f mounted on the user terminals 5a to 5f are registered to the chip management center 2. Then, by the VPN service download process, the VPN service application software is downloaded from the VPN service provision center 3 and installed in the e-Key chips 6a to 6f. In addition, the VPN key is stored in the e-Key chips 6a to 6f by the VPN key generation process or the VPN key sharing process. Between the user terminals 5a to 5f belonging to the same VPN, a VPN connection is established using the VPN key stored in the e-Key chips 6a to 6f. This configuration makes it possible to communicate with other clients belonging to the same VPN regardless of the operation of the VPN server.
VPN, VPN 서버, VPN 통신 시스템, 시큐어 칩, e-Key 칩 VPN, VPN Server, VPN Communication System, Secure Chip, e-Key Chip
Description
본 발명은, 단말기가 상호 통신 가능한 네트워크 상에 복수의 VPN(Virtual Private Network)을 구축하고, 동일 VPN에 소속하는 유저간의 통신만 행해지는 VPN 통신 시스템에 관한 것이다.The present invention relates to a VPN communication system in which a plurality of VPNs (Virtual Private Networks) are established on a network with which terminals can communicate with each other, and only communication between users belonging to the same VPN is performed.
본원은 2003년 8월 4일에 출원된 일본 특원2003-285944호에 대해 우선권을 주장하고, 그 내용을 여기에 원용한다.This application claims priority about Japanese Patent Application No. 2003-285944 for which it applied on August 4, 2003, and uses the content here.
종래부터, VPN 통신 시스템은, 복수의 클라이언트 및 통신 네트워크를 통해 그들 클라이언트간의 VPN 내의 통신을 행하기 위한 통신 암호키를 배포하는 관리 서버를 구비하고 있다. 관리 서버에서, 클라이언트가 어느 VPN에 속하는지를 클라이언트가 이용하고 있는 IP(Internet Protocol) 어드레스를 이용하여 관리하고 있다. Background Art Conventionally, a VPN communication system has a management server that distributes a communication encryption key for communicating in a VPN between those clients via a plurality of clients and a communication network. The management server manages which VPN the client belongs to using an IP (Internet Protocol) address used by the client.
혹은 이것을 개량한 것으로서, 관리 서버에서, 유저가 어느 VPN에 속하는지를 유저의 유저 ID를 이용하여 관리하고 있다(예를 들면, 일본 특개2000-059357호 공보 참조).Alternatively, as a refinement, the management server manages which VPN the user belongs to using the user's user ID (see, for example, Japanese Patent Laid-Open No. 2000-059357).
이들에서는, 전용 소프트웨어웨어(VPN 서버 소프트웨어웨어)가 인스톨되어, 사전 설정이 행해진 관리 서버(VPN 서버 등)와, 전용 소프트웨어웨어(VPN용 소프트 웨어웨어)가 인스톨되고, 또한 전용 소프트웨어웨어의 사전 설정이 행해진 클라이언트간에서, 시큐리티를 확보한 암호 통신 프로토콜을 실행함으로써 실현되고 있다.In these, dedicated software (VPN server software) is installed, a management server (VPN server, etc.), which has been pre-set, and dedicated software (VPN software) are installed. This is accomplished by executing a cryptographic communication protocol with security secured between the clients.
그러나, (1) VPN 접속시에 관리 서버가 동작하고 있지 않은 경우, VPN 접속을 행할 수 없다. (2) 관리 서버측에서도 전용 소프트웨어웨어와 통신하기 위한 소프트웨어웨어의 인스톨 및 설정을 행해야만 한다. (3) 정당한 사용자가 다른 클라이언트에서 VPN을 사용하는 경우, 해당 다른 클라이언트에서 전용 소프트웨어웨어의 인스톨 및 설정을 행해야만 한다. (4) 규정의 VPN 서버에 대한 전용 소프트웨어웨어의 설정을 행해야만 하기 때문에, 곧바로 통신 상대를 다른 VPN에 속하는 클라이언트로 변경할 수 없다. (5) 클라이언트의 인증은 별도의 방식으로 제공되기 때문에, 다른 클라이언트가 처음부터 정당한 단말기인지의 여부를 전용 소프트웨어의 유무로 판단할 수밖에 없다.However, (1) If the management server is not operating at the time of VPN connection, VPN connection cannot be made. (2) The management server side must also install and set software software for communicating with dedicated software. (3) When a legitimate user uses a VPN on another client, the other client must install and configure dedicated software. (4) Since it is necessary to set dedicated software for the specified VPN server, the communication partner cannot be immediately changed to a client belonging to another VPN. (5) Since the authentication of the client is provided in a separate manner, it is inevitably determined whether or not the other client is a valid terminal from the beginning as the presence or absence of dedicated software.
<발명의 개시><Start of invention>
따라서, 본 발명은, VPN 서버의 동작의 유무에 상관없이 동일 VPN에 속하는 다른 클라이언트와 통신하는 것이 가능할 뿐만 아니라, VPN 서버와 클라이언트에서의 소프트웨어웨어의 인스톨 및 설정에 관한 작업 부담을 경감하는 것이 가능한 VPN 통신 시스템에 관한 것이다.Therefore, the present invention can not only communicate with other clients belonging to the same VPN regardless of the operation of the VPN server, but also reduce the burden of installing and setting software software on the VPN server and the clients. A VPN communication system.
본원 발명의 제1 양태에서, VPN 통신 시스템은, 시큐어 칩을 탑재한 통신 단말기와, 상기 시큐어 칩을 관리하는 칩 관리 센터를 구비한 VPN 통신 시스템으로서, 상기 통신 단말기는, 상기 시큐어 칩의 비밀키를 사용하여 상기 시큐어 칩의 칩 정보와 상기 시큐어 칩의 공개키를 포함하는 등록 정보에 서명하는 등록 정보 서명 수단과, 상기 칩 관리 센터의 칩 관리자의 공개키를 사용하여, 상기 등록 정보 서명 수단에 의해 서명이 첨부된 상기 등록 정보를 암호화 등록 정보로 암호화하는 등록 정보 암호화 수단과, 상기 등록 정보 암호화 수단에 의한 암호화에 의해 얻어진 상기 암호화 등록 정보를 상기 칩 관리 센터에 송신하는 암호화 등록 정보 송신 수단과, 상기 칩 관리 센터로부터 칩 공개키 증명서를 수신하는 칩 공개키 증명서 수신 수단과, 상기 칩 공개키 증명서 수신 수단에 의해 수신된 상기 칩 공개키 증명서의 정당성을 확인하는 칩 공개키 증명서 확인 수단과, 상기 칩 공개키 증명서를 상기 시큐어 칩에 저장하는 칩 공개키 증명서 저장 수단을 구비하고 있고, 상기 칩 관리 센터는, 상기 통신 단말기로부터 상기 암호화 등록 정보를 수신하는 암호화 등록 정보 수신 수단과, 상기 칩 관리 센터의 칩 관리자의 비밀키를 사용하여, 상기 암호화 등록 정보 수신 수단에 의해 수신된 상기 암호화 등록 정보를 상기 서명이 첨부된 상기 등록 정보로 복호화하는 등록 정보 복호화 수단과, 상기 등록 정보 복호화 수단에 의한 복호화에 의해 얻어지는 상기 등록 정보의 서명을, 상기 등록 정보에 포함되는 상기 시큐어 칩의 공개키를 사용하여 검증하는 등록 정보 서명 검증 수단과, 상기 통신 단말기에 송신하는 상기 시큐어 칩의 공개키를 포함하는 칩 공개키 증명서를 작성하는 칩 공개키 증명서 작성 수단과, 상기 등록 정보 복호화 수단에 의한 복호화에 의해 얻어진 상기 등록 정보를 칩 데이터베이스에 등록하는 등록 정보 등록 수단과, 상기 칩 공개키 증명서 작성 수단에 의해 작성된 칩 공개키 증명서를 상기 통신 단말기에 송신하는 칩 공개키 증명서 송신 수단을 구비한 것을 특징으로 한다.In a first aspect of the present invention, a VPN communication system includes a communication terminal equipped with a secure chip and a chip management center for managing the secure chip, wherein the communication terminal is a secret key of the secure chip. Registration information signing means for signing registration information including chip information of the secure chip and the public key of the secure chip, and the public key of the chip manager of the chip management center, using the registration information signing means. Registration information encryption means for encrypting the registered information signed by the encryption registration information, encryption registration information transmission means for transmitting the encryption registration information obtained by encryption by the registration information encryption means to the chip management center; Chip public key certificate receiving means for receiving a chip public key certificate from the chip management center, and the chip; And a chip public key certificate confirming means for confirming validity of the chip public key certificate received by the open key certificate receiving means, and a chip public key certificate storing means for storing the chip public key certificate in the secure chip. The chip management center uses the encryption registration information receiving means for receiving the encryption registration information from the communication terminal and the encryption registration information received by the encryption registration information receiving means using a secret key of the chip manager of the chip management center. Registration information decrypting means for decrypting the information into the registration information attached with the signature, and a signature of the registration information obtained by decryption by the registration information decrypting means, and a public key of the secure chip included in the registration information. Signature signature verification means for verifying by using, and transmitting to said communication terminal Is a chip public key certificate creating means for creating a chip public key certificate including a public key of the secure chip, registration information registering means for registering the registration information obtained by decryption by the registration information decrypting means in a chip database; And a chip public key certificate transmitting means for transmitting the chip public key certificate created by the chip public key certificate creating means to the communication terminal.
본원 발명의 제2 양태에서, VPN 통신 시스템은, 시큐어 칩을 탑재한 통신 단말기와, 상기 통신 단말기에 VPN 서비스용 어플리케이션 소프트웨어를 제공하는 VPN 서비스 제공 센터를 구비한 VPN 통신 시스템으로서, 상기 통신 단말기는 상기 시큐어 칩의 비밀키를 사용하여, 상기 VPN 서비스 제공 센터에 대해 VPN 서비스용 어플리케이션 소프트웨어의 제공을 요구하는 서비스 제공 요구에 서명하는 서비스 제공 요구 서명 수단과, 상기 서비스 제공 요구 서명 수단에 의해 서명이 첨부된 서비스 제공 요구와 상기 시큐어 칩에 저장되어 있는 상기 시큐어 칩의 공개키를 포함하는 칩 공개키 증명서를 상기 VPN 서비스 제공 센터에 송신하는 서비스 제공 요구 수단과, 상기 서비스 제공 요구 수신 수단에 의해 수신되는 상기 칩 공개키 증명서를 검증하는 칩 공개키 증명서 검증 수단과, 상기 VPN 서비스 제공 센터로부터 상기 VPN 서비스용 어플리케이션 소프트웨어를 수신하는 서비스 수신 수단과, 상기 서비스 수신 수단에 의해 수신되는 상기 VPN 서비스용 어플리케이션 소프트웨어를 상기 시큐어 칩에 인스톨하는 서비스 인스톨 수단을 구비하고 있고, 상기 VPN 서비스 제공 센터는, 상기 통신 단말기로부터 상기 서명이 첨부된 서비스 제공 요구와 상기 칩 공개키 증명서를 수신하는 서비스 제공 요구 수신 수단과, 상기 서비스 제공 요구 수신 수단에 의해 수신되는 상기 칩 공개키 증명서에 포함되는 상기 시큐어 칩의 공개키를 사용하여, 상기 서비스 제공 요구 수신 수단에 의해 수신되는 서비스 제공 요구의 서명을 검증하는 서비스 제공 요구 서명 검증 수단과, 상기 VPN 서비스용 어플리케이션 소프트웨어를 상기 통신 단말기에 전송하는 서비스 전 송 수단을 구비한 것을 특징으로 한다.In a second aspect of the present invention, a VPN communication system includes a communication terminal equipped with a secure chip and a VPN service providing center for providing an application software for a VPN service to the communication terminal. A service provision request signing means for signing a service provision request for requesting provision of a VPN service application software to the VPN service provision center by using the secret key of the secure chip; Service providing request means for transmitting a chip public key certificate including an attached service providing request and a public key of the secure chip stored in the secure chip to the VPN service providing center, and received by the service providing request receiving means; Chip public key authentication to verify the chip public key certificate being A statement verification means, service receiving means for receiving the VPN service application software from the VPN service providing center, and service installation means for installing the VPN service application software received by the service receiving means on the secure chip. The VPN service providing center includes a service providing request receiving means for receiving the signed service providing request and the chip public key certificate from the communication terminal, and the service providing request receiving means. Service provision request signature verification means for verifying the signature of the service provision request received by the service provision request reception means using the public key of the secure chip included in the chip public key certificate, and the application software for the VPN service. The barrel It characterized in that it includes a service transfer means for transmitting to the terminal.
본원 발명의 제3 양태에서, VPN 통신 시스템은, 시큐어 칩을 탑재한 통신 단말기와, 동일한 VPN에 속하는 상기 통신 단말기간에서 통신을 행하기 위한 통신용 암호키를 생성하여 상기 통신 단말기에 배송하는 서비스 제공 센터를 구비한 VPN 통신 시스템으로서, 상기 통신 단말기는, 상기 시큐어 칩에 저장되어 있는 VPN 서비스용 어플리케이션의 비밀키를 사용하여, 상기 서비스 제공 센터에 통신용 암호키의 생성을 요구하는 암호키 생성 요구에 서명하는 암호키 생성 요구 서명 수단과, 상기 서비스 제공 센터를 관리하는 서비스 제공자의 공개키를 사용하여 상기 암호키 생성 요구 서명 수단에 의해 서명이 첨부된 상기 암호키 생성 요구를 암호화 암호키 생성 요구로 암호화하는 암호키 생성 요구 암호화 수단과, 상기 암호키 생성 요구 암호화 수단에 의한 암호화에 의해 얻어지는 암호화 암호키 생성 요구와, 상기 시큐어 칩에 저장되어 있는 VPN 서비스용 어플리케이션의 공개키 증명서를 상기 서비스 제공 센터에 송신하는 암호키 생성 요구 송신 수단과, 상기 서비스 제공 센터로부터 서명이 첨부된 암호화 생성 암호키 정보를 수신하는 생성 암호키 정보 수신 수단과, 상기 서비스 제공자의 공개키를 사용하여, 상기 생성 암호키 정보 수신 수단에 의해 수신되는 상기 암호화 생성 암호키 정보의 서명을 검증하는 생성 암호키 정보 서명 검증 수단과, 상기 VPN 서비스용 어플리케이션의 비밀키를 사용하여 상기 암호화 생성 암호키 정보를 통신 암호키와 그 통신 암호키의 식별자를 포함하는 생성 암호키 정보로 복호화하는 생성 암호키 정보 복호화 수단과, 상기 생성 암호키 정보 복호화 수단에 의한 복호화에 의해 얻어지는 생성 암호키 정 보를 상기 시큐어 칩에 인스톨하는 생성 암호키 정보 인스톨 수단을 구비하고 있고, 상기 서비스 제공 센터는, 상기 통신 단말기로부터 상기 암호화 암호키 생성 요구와, 상기 VPN 서비스용 어플리케이션의 공개키 증명서를 수신하는 암호키 생성 요구 수신 수단과, 상기 암호키 생성 요구 수신 수단에 의해 수신되는 상기 VPN 서비스용 어플리케이션의 공개키 증명서를 검증하는 서비스 공개키 증명서 검증 수단과, 상기 서비스 제공자의 비밀키를 사용하여, 상기 암호키 생성 요구 수신 수단에 의해 수신되는 상기 암호화 암호키 생성 요구를 상기 서명이 첨부된 상기 암호키 생성 요구로 복호화하는 암호키 생성 요구 복호화 수단과, 상기 VPN 서비스용 어플리케이션의 공개키를 사용하여, 상기 암호키 생성 요구 복호화 수단에 의한 복호화에 의해 얻어지는 상기 암호키 생성 요구의 서명을 검증하는 생성 요구 서명 검증 수단과, 상기 통신 단말기에 배포하는 통신용 암호키를 생성하는 통신용 암호키 생성 수단과, 상기 통신용 암호키 생성 수단에 의해 생성되는 상기 통신용 암호키와 그 통신용 암호키의 식별자를 그룹 정보 데이터베이스에 등록하는 그룹 정보 저장 수단과, 상기 VPN 서비스용 어플리케이션의 공개키를 사용하여, 상기 통신용 암호키 생성 수단에 의해 생성되는 상기 통신용 암호키와 그 통신용 암호키의 식별자를 포함하는 생성 암호키 정보를 암호화 생성 암호키 정보로 암호화하는 생성 암호키 정보 암호화 수단과, 상기 서비스 제공자의 비밀키를 사용하여 상기 생성 암호키 암호화 수단에 의한 암호화에 의해 얻어지는 상기 암호화 생성 암호키 정보에 서명하는 생성 암호키 정보 서명 수단과, 상기 생성 암호키 정보 서명 수단에 의해 서명이 첨부된 상기 암호화 생성 암호키 정보를 상기 통신 단말기에 송신하는 생성 암호키 정보 송신 수단을 구비한 것을 특징으로 한다.In a third aspect of the present invention, a VPN communication system provides a service for generating a communication encryption key for performing communication between a communication terminal equipped with a secure chip and the communication terminal belonging to the same VPN to the communication terminal. A VPN communication system having a center, wherein the communication terminal uses a secret key of a VPN service application stored in the secure chip, to request an encryption key generation request that requires the service providing center to generate a communication encryption key. The encryption key generation request signed by the encryption key generation request signature means by using a signing means for signing a cryptographic key generation request and a public key of a service provider managing the service providing center as an encryption encryption key generation request. Encryption key generation request encryption means for encryption, and the encryption key generation request encryption means An encryption encryption key generation request obtained by encryption, an encryption key generation request transmission means for transmitting a public key certificate of a VPN service application stored in the secure chip to the service providing center, and a signature is attached from the service providing center. A generation to verify the signature of the encryption generation encryption key information received by the generation encryption key information reception means, using the generation encryption key information reception means for receiving the encrypted encryption generation encryption key information and the public key of the service provider; Generation encryption key information for decrypting the encryption generation encryption key information into a generation encryption key information including a communication encryption key and an identifier of the communication encryption key by using an encryption key information signature verification means and a secret key of the VPN service application. Decrypting means by the decrypting means and the generated encryption key information decrypting means Generating encryption key information installation means for installing the generated encryption key information obtained by the secure chip, wherein the service providing center provides the encryption encryption key generation request from the communication terminal and disclosure of the VPN service application. Encryption key generation request receiving means for receiving a key certificate, service public key certificate verification means for verifying a public key certificate of the VPN service application received by the encryption key generation request receiving means, and a secret key of the service provider Encryption key generation request decrypting means for decrypting the encryption encryption key generation request received by the encryption key generation request receiving means into the encryption key generation request with the signature, and publishing the VPN service application. Decrypts the encryption key generation request using a key Generation request signature verification means for verifying a signature of the encryption key generation request obtained by decryption by the step, communication encryption key generation means for generating a communication encryption key to be distributed to the communication terminal, and communication encryption key generation means. Generated by the communication encryption key generation means using group information storage means for registering the communication encryption key generated by the communication key and an identifier of the communication encryption key in a group information database, and a public key of the VPN service application. Generated encryption key information encryption means for encrypting the generated encryption key information including the communication encryption key and the identifier of the communication encryption key with encryption generated encryption key information, and using the secret key of the service provider to the generated encryption key encryption means. Encryption-generated encryption key information obtained by encryption by means of It characterized in that it includes the generated encryption key information transmitting means for transmitting the encrypted generated encryption key information signature is attached by the signature generation encryption key information sign means for and the generated encryption key information, the signature means to the communication terminal.
본원 발명의 제4 양태에서, VPN 통신 시스템은, 시큐어 칩을 탑재한 통신 단말기와, 동일한 VPN에 속하는 상기 통신 단말기간에서 통신을 행하기 위한 통신용 암호키를 관리하고, 상기 통신 단말기에 배송하는 서비스 제공 센터를 구비한 VPN 통신 시스템으로서, 상기 통신 단말기는, 상기 시큐어 칩에 저장되어 있는 VPN 서비스용 어플리케이션의 비밀키를 사용하여, 상기 서비스 제공 센터에 통신용 암호키의 공유를 요구하는 암호키 공유 요구에 서명하는 암호키 공유 요구 서명 수단과, 상기 서비스 제공 센터를 관리하는 서비스 제공자의 공개키를 사용하여 상기 암호키 공유 요구 서명 수단에 의해 서명이 첨부된 상기 암호키 공유 요구를 암호화 암호키 공유 요구로 암호화하는 암호키 공유 요구 암호화 수단과, 상기 암호키 공유 요구 암호화 수단에 의한 암호화에 의해 얻어지는 암호화 암호키 공유 요구와, 상기 시큐어 칩에 저장되어 있는 VPN 서비스용 어플리케이션의 공개키 증명서를 상기 서비스 제공 센터에 송신하는 암호키 공유 요구 송신 수단과, 상기 서비스 제공 센터로부터 서명이 첨부된 암호화 공유 암호키 정보를 수신하는 공유 암호키 정보 수신 수단과, 상기 서비스 제공자의 공개키를 사용하여, 상기 공유 암호키 정보 수신 수단에 의해 수신되는 상기 암호화 공유 암호키 정보의 서명을 검증하는 공유 암호키 정보 서명 검증 수단과, 상기 VPN 서비스용 어플리케이션의 비밀키를 사용하여 상기 암호화 공유 암호키 정보를 통신 암호키와 그 통신 암호키의 식별자를 포함하는 공유 암호키 정보로 복호화하는 공유 암호키 정보 복호화 수단과, 상기 공유 암호키 정보 복호화 수단에 의한 복호화에 의해 얻어지는 공유 암호키 정 보를 상기 시큐어 칩에 인스톨하는 공유 암호키 정보 인스톨 수단을 구비하고 있고, 상기 서비스 제공 센터는, 상기 통신 단말기로부터 상기 암호화 암호키 공유 요구와, 상기 VPN 서비스용 어플리케이션의 공개키 증명서를 수신하는 암호키 공유 요구 수신 수단과, 상기 암호키 공유 요구 수신 수단에 의해 수신되는 상기 VPN 서비스용 어플리케이션의 공개키 증명서를 검증하는 서비스 공개키 증명서 검증 수단과, 상기 서비스 제공자의 공개키를 사용하여, 상기 암호키 공유 요구 수신 수단에 의해 수신되는 상기 암호화 암호키 공유 요구를 상기 서명이 첨부된 상기 암호키 공유 요구로 복호화하는 암호키 공유 요구 복호화 수단과, 상기 서비스 제공자의 비밀키를 사용하여, 상기 암호키 공유 요구 복호화 수단에 의한 복호화에 의해 얻어지는 상기 암호키 공유 요구의 서명을 검증하는 공유 요구 서명 검증 수단과, 상기 통신 단말기에 배포하는 통신용 암호키를 검색하는 통신용 암호키 검색 수단과, 상기 유저 단말기의 유저 정보를 그룹 정보 데이터베이스에 추가 등록하는 그룹 정보 추가 등록 수단과, 상기 VPN 서비스용 어플리케이션의 공개키를 사용하여, 상기 통신용 암호키 검색 수단에 의해 검색되는 상기 통신용 암호키와 그 통신용 암호키의 식별자를 포함하는 공유 암호키 정보를 암호화 공유 암호키 정보로 암호화하는 공유 암호키 정보 암호화 수단과, 상기 서비스 제공자의 비밀키를 사용하여, 상기 공유 암호키 암호화 수단에 의한 암호화에 의해 얻어지는 상기 암호화 공유 암호키 정보에 서명하는 공유 암호키 정보 서명 수단과, 상기 공유 암호키 정보 서명 수단에 의해 서명이 첨부된 상기 암호화 공유 암호키 정보를 상기 통신 단말기에 송신하는 공유 암호키 정보 송신 수단을 구비한 것을 특징으로 한다.In a fourth aspect of the present invention, a VPN communication system manages a communication encryption key for performing communication between a communication terminal equipped with a secure chip and the communication terminal belonging to the same VPN, and delivers it to the communication terminal. A VPN communication system having a providing center, wherein the communication terminal uses a secret key of a VPN service application stored in the secure chip to request an encryption key sharing request to share the communication encryption key to the service providing center. Encrypting the encryption key sharing request signed by the encryption key sharing request signing means using a cryptographic key sharing request signing means for signing a signature and a public key of a service provider managing the service providing center; Encryption key sharing request encryption means for encrypting using the encryption key sharing request encryption means. An encryption encryption key sharing request obtained by encryption, an encryption key sharing request transmission means for transmitting a public key certificate of a VPN service application stored in the secure chip to the service providing center, and a signature is attached from the service providing center. A shared encryption key information receiving means for receiving encrypted encrypted shared encryption key information and a signature for verifying a signature of the encrypted shared encryption key information received by the shared encryption key information receiving means, using a public key of the service provider; Shared encryption key information for decrypting the encrypted shared encryption key information into shared encryption key information including a communication encryption key and an identifier of the communication encryption key by using an encryption key information signature verification means and a secret key of the VPN service application. Decrypting means by the decrypting means and the shared encryption key information decrypting means And a shared encryption key information installation means for installing the shared encryption key information obtained by the secure chip. The service providing center includes the encryption encryption key sharing request from the communication terminal and the disclosure of the VPN service application. Encryption key sharing request receiving means for receiving a key certificate, service public key certificate verifying means for verifying a public key certificate of the VPN service application received by the encryption key sharing request receiving means, and a public key of the service provider Encryption key sharing request decrypting means for decrypting the encrypted encryption key sharing request received by the encryption key sharing request receiving means into the encryption key sharing request with the signature, and a secret key of the service provider. By the encryption key sharing request decrypting means A shared request signature verification means for verifying a signature of the encryption key sharing request obtained by decryption, communication encryption key search means for searching for a communication encryption key to be distributed to the communication terminal, and user information of the user terminal in a group information database. And a shared encryption key including an identifier of the communication encryption key and the communication encryption key retrieved by the communication encryption key retrieval means, using group information additional registration means for registering in addition to the public key of the VPN service application. A shared encryption key information encryption means for encrypting the information into encrypted shared encryption key information, and a share for signing the encrypted shared encryption key information obtained by encryption by the shared encryption key encryption means, using a secret key of the service provider. Encryption key information signing means and the shared encryption key information The signature is attached to the encrypted shared secret key information by name means characterized by having a shared secret key information transmitting means for transmitting to the communication terminal.
본원 발명의 제5 양태에서, VPN 통신 시스템은, 시큐어 칩을 탑재한 통신 단말기를 구비한 VPN 통신 시스템에 있어서, 상기 통신 단말기는, 상기 시큐어 칩에 저장되어 있는 통신용 암호키를 사용하여 동일한 VPN에 속하는 다른 통신 단말기와 암호화 통신을 행하는 것을 특징으로 한다.In a fifth aspect of the present invention, a VPN communication system is a VPN communication system including a communication terminal equipped with a secure chip, wherein the communication terminal is connected to the same VPN using a communication encryption key stored in the secure chip. It is characterized by performing encrypted communication with another communication terminal to which it belongs.
도 1은 본 발명의 실시 형태에서의 VPN 통신 시스템의 개요를 도시하는 도면.1 is a diagram showing an outline of a VPN communication system according to an embodiment of the present invention.
도 2는 VPN 통신 시스템의 기기 등록 처리에 관련되는 구성을 도시하는 도면.2 is a diagram illustrating a configuration related to device registration processing of a VPN communication system.
도 3은 VPN 통신 시스템의 기기 등록 처리의 수순을 도시하는 도면.3 is a diagram illustrating a procedure of device registration processing of the VPN communication system.
도 4는 VPN 통신 시스템의 VPN 서비스 다운로드 처리에 관련되는 구성을 도시하는 도면.4 is a diagram illustrating a configuration related to VPN service download processing of a VPN communication system.
도 5는 VPN 통신 시스템의 VPN 서비스 다운로드 처리의 수순을 도시하는 도면.5 is a diagram illustrating a procedure of VPN service download processing of the VPN communication system.
도 6은 VPN 통신 시스템의 VPN키 생성 처리에 관련되는 구성을 도시하는 도면.Fig. 6 is a diagram showing a configuration related to VPN key generation processing of the VPN communication system.
도 7은 VPN 통신 시스템의 VPN키 생성 처리의 수순을 도시하는 도면.7 is a diagram showing a procedure of VPN key generation processing of the VPN communication system.
도 8은 VPN 통신 시스템의 VPN키 공유 처리에 관련되는 구성을 도시하는 도면.8 is a diagram illustrating a configuration related to VPN key sharing processing of a VPN communication system.
도 9는 VPN 통신 시스템의 VPN키 공유 처리의 수순을 도시하는 도면.9 is a diagram showing a procedure of VPN key sharing processing of the VPN communication system.
도 10은 VPN 통신 시스템의 VPN 구축 처리의 수순을 도시하는 도면.10 is a diagram illustrating a procedure of VPN establishment processing of the VPN communication system.
도 11은 VPN 통신 시스템의 VPN키 무효 처리에 관련되는 구성을 도시하는 도면.11 is a diagram illustrating a configuration related to VPN key invalidation processing of a VPN communication system.
도 12는 VPN 통신 시스템의 VPN키 무효 처리의 수순을 도시하는 도면.Fig. 12 is a diagram showing the procedure of VPN key invalidation processing of the VPN communication system.
<발명을 실시하기 위한 최량의 형태><Best Mode for Carrying Out the Invention>
이하의 본 발명의 매우 바람직한 실시 형태에 대해 도면을 참조하면서 설명한다.EMBODIMENT OF THE INVENTION Very preferable embodiment of the following this invention is described, referring drawings.
도 1은 본 발명의 실시 형태에서의 VPN 통신 시스템의 개요를 도시하는 도면이다. VPN 통신 시스템(1)은, 칩 정보 데이터베이스를 갖는 칩 관리 센터(2), 유저 정보 데이터베이스(예를 들면, 유저가 사전에 자신의 유저 정보를 등록하고 있음)와 그룹 정보 데이터베이스를 갖는 VPN 서비스 제공 센터(3), 본인 확인 서비스 센터(4) 및 e-Key 칩(시큐어 칩에 상당함)(6a∼6f)을 탑재한 유저 단말기(통신 단말기에 상당함)(5a∼5f)를 구비하고 있으며, 각각, 인터넷에 접속되어 있다. VPN 통신 시스템(1)에서, 기기 등록 처리(e-Key 칩을 칩 관리 센터에 등록하는 처리), VPN 서비스 다운로드 처리(VPN 서비스용 어플리케이션 소프트웨어를 통신 단말기에 다운로드하는 처리), VPN키 생성 처리(새롭게 VPN키를 생성하는 처리), VPN키 공유 처리(VPN키를 복수의 통신 단말기에서 공유하는 처리), VPN 구축 처리(동일한 VPN 그룹에 속하는 통신 단말기간에서 VPN 접속을 구축하는 처리), VPN키 무효 처리(유저 단말기에서 VPN키를 무효로 하는 처리)가 실행된다. 이하에서 각종 처리를 순서대로 설명한다. 또한, 통신 단말기로서 퍼스널 컴퓨터, 휴대 전화기, 휴대 정보 단말기 등을 들 수 있다.1 is a diagram showing an outline of a VPN communication system according to an embodiment of the present invention. The
《기기 등록 처리》<< device registration processing >>
도 2는 VPN 통신 시스템의 기기 등록 처리에 관련되는 구성을 도시하는 도면이다. 또한, 기기 등록 처리를 개시하기 전의 e-Key 칩(6a∼6f)에는, e-Key 칩(6a∼6f)의 공개키(이하, 칩 공개키라고 함) 및 비밀키(이하, 칩 비밀키라고 함), 및 칩 관리 센터(2)의 칩 관리자의 공개키(이하, 칩 관리자 공개키라고 함)가 적어도 저장되어 있다.2 is a diagram illustrating a configuration related to device registration processing of a VPN communication system. In addition, the
유저 단말기(5a∼5f)는, 도 2에 도시하는 바와 같이, 카드 송수신 수단(51a), 송수신 수단(암호화 등록 정보 송신 수단, 칩 공개키 증명서 수신 수단)(51b), 등록 정보 서명 수단(51c), 등록 정보 암호화 수단(51d), 칩 공개키 증명서 확인 수단(51e) 및 칩 공개키 증명서 저장 수단(51f)을 구비하고 있다. 카드 송수신 수단(51a)은, 암호화 등록 정보를 본인 인증용 IC 카드(7)에 송신함과 함께, 본인 인증용 IC 카드(7)로부터 본인 서명이 첨부된 암호화 등록 정보를 수신한다. 송수신 수단(51b)은, 칩 관리 센터(2)에 본인 서명이 첨부된 암호화 등록 정보를 송신함과 함께, 칩 관리 센터(2)로부터 칩 공개키 증명서(칩 공개키가 올바른 것을 증명하는 증명서)를 수신한다.As shown in Fig. 2, the
등록 정보 서명 수단(51c)은, e-Key 칩(6a∼6f)에 저장되어 있는 칩 비밀키를 사용하여, 칩 관리 센터(2)에 등록하는 등록 정보(e-Key 칩(6a∼6f)의 칩 정보와 e-Key 칩(6a∼6f)에 저장되어 있는 칩 공개키)에 서명한다.The registration information signing means 51c registers the registration information (
등록 정보 암호화 수단(51d)은, e-Key 칩(6a∼6f)에 저장되어 있는 칩 관리 자 공개키를 사용하여, 등록 정보 서명 수단(51c)에 의해 서명이 첨부된 등록 정보를 암호화 등록 정보로 암호화한다.The registration information encryption means 51d encrypts the registration information signed by the registration information signing means 51c using the chip manager public key stored in the
칩 공개키 증명서 확인 수단(51e)은, 송수신 수단(51b)에 의해 수신되는 칩 공개키 증명서의 정당성을 확인한다. 이 확인은, e-Key 칩(6a∼6f)에 저장되어 있는 칩 관리자 공개키를 사용하여, 칩 공개키 증명서에 포함되는 서명(칩 관리자의 비밀키(이하, 칩 관리자 비밀키라고 함)를 사용하여 만들어지는 서명)을 검증함으로써 행해진다. 칩 공개키 증명서 저장 수단(51f)은, 칩 공개키 증명서 확인 수단(51e)에 의해 정당하다고 생각된 칩 공개키 증명서를 e-Key 칩(6a∼6f)에 저장한다.The chip public key certificate checking means 51e confirms the validity of the chip public key certificate received by the transmitting and receiving means 51b. This confirmation uses the chip manager public key stored in the
칩 관리 센터(2)는, 도 2에 도시하는 바와 같이, 송수신 수단(암호화 등록 정보 수신 수단, 칩 공개키 증명서 송신 수단)(21a), 등록 정보 복호화 수단(21b), 등록 정보 서명 검증 수단(21c), 칩 공개키 증명서 작성 수단(21d) 및 등록 정보 등록 수단(21e)을 구비하고 있다. 송수신 수단(21a)은, 유저 단말기(5a∼5f)로부터 본인 서명이 첨부된 암호화 등록 정보를 수신함과 함께, 유저 단말기(5a∼5f)에 칩 공개키 증명서를 송신한다. 또한, 본인 확인 서비스 센터(4)에 본인 확인 요구를 송신함과 함께, 본인 확인 서비스 센터(4)로부터 본인 확인 결과를 수신한다.As shown in Fig. 2, the
등록 정보 복호화 수단(21b)은, 칩 관리자 비밀키를 사용하여, 송수신 수단(21a)에 의해 수신되는 암호화 등록 정보를 서명이 첨부된 등록 정보로 복호화한다. 등록 정보 서명 검증 수단(21c)은, 등록 정보 복호화 수단(21b)에 의한 복호화에 의해 얻어지는 서명이 첨부된 등록 정보에 포함되는 칩 공개키를 사용하여 등 록 정보의 서명을 검증한다. 칩 공개키 증명서 작성 수단(21d)은, 등록 정보 서명 검증 수단(21c)에 의해 서명이 올바르다고 판단되면, 등록 정보 복호화 수단(21b)에 의한 복호화에 의해 얻어지는 등록 정보에 포함되는 칩 공개키 등을 포함하는 칩 공개키 증명서를 작성한다. 단, 칩 공개키 증명서에는, 칩 관리자 비밀키를 사용하여 만들어지는 서명이 포함된다. 등록 정보 등록 수단(21e)은, 등록 정보 서명 검증 수단(21c)에 의해 서명이 올바르다고 판단되면, 등록 정보 복호화 수단(21b)에 의한 복호화에 의해 얻어지는 등록 정보(칩 정보와 칩 공개키)를 칩 정보 데이터베이스에 저장한다.The registration information decrypting means 21b decrypts the encrypted registration information received by the transmitting and receiving means 21a into the registered registration information using the chip manager secret key. The registration information signature verification means 21c verifies the signature of the registration information using the chip public key included in the registration information to which the signature obtained by the decryption by the registration information decryption means 21b is attached. When the chip public key
도 3은 VPN 통신 시스템에서의 기기 등록 처리의 수순을 도시하는 도면이다.3 is a diagram illustrating a procedure of device registration processing in the VPN communication system.
유저 단말기(5a∼5f)에서, 등록 정보 서명 수단(51c)은, 칩 비밀키를 사용하여, e-Key 칩(6a∼6f)의 등록 정보(e-Key 칩(6a∼6f)의 칩 정보와 e-Key 칩(6a∼6f)에 저장되어 있는 칩 공개키)에 서명한다(S101).In the
계속해서, 등록 정보 암호화 수단(51d)은 칩 관리자 공개키를 사용하여 S101에서 얻어진 서명이 첨부된 등록 정보를 암호화 등록 정보로 암호화한다(S102). 그리고, 카드 송수신 수단(51a)으로부터 S102에서 얻어진 암호화 등록 정보가 본인 인증용 IC 카드(7)에 송신된다(S103).Subsequently, the registration
본인 인증용 IC 카드(7)에서, 유저 단말기(5a∼5f)로부터 암호화 등록 정보를 수신하면, IC 카드 비밀키를 사용하여 암호화 등록 정보에 서명한다(S104). 그리고, S104에서 얻어진 본인 서명이 첨부된 암호화 등록 정보가 유저 단말기(5a∼5f)에 송신된다(S105). 유저 단말기(5a∼5f)에서, 카드 송수신 수단(51a)에 의해 본인 서명이 첨부된 암호화 등록 정보가 수신되면, 송수신 수단(51b)에 의해, 본인 서명이 첨부된 암호화 등록 정보가 유저 단말기(5a∼5f)로부터 칩 관리 센터(2)에 송신된다(S106).In the identity
칩 관리 센터(2)에서, 송수신 수단(21a)에 의해 본인 서명이 첨부된 암호화 등록 정보가 수신되면, 송수신 수단(21a)에 의해 본인 서명이 첨부된 암호화 등록 정보가 IC 카드 본인 확인 서비스 센터(4)에 송신되어, IC 카드 본인 확인 서비스 센터(4)에 대해 본인 확인 요구를 행한다(S107). 본인 확인을 요구받은 IC 카드 본인 확인 서비스 센터(4)에서, IC 카드 공개키를 사용하여 본인 서명(S104의 서명)을 검증하여 본인 확인을 행하고, 본인 확인 결과가 칩 관리 센터(2)에 송신된다(S108).In the
칩 관리 센터(2)에서, 본인인 것으로 통지되면, 등록 정보 복호화 수단(21b)은, 칩 관리자 비밀키를 사용하여 송수신 수단(21a)에 의해 수신된 암호화 등록 정보를 서명이 첨부된 등록 정보로 복호화한다(S109). 계속해서, 등록 정보 서명 검증 수단(21c)은, S109에서 얻어진 서명이 첨부된 등록 정보에 포함되는 칩 공개키를 사용하여 등록 정보의 서명(S101의 서명)을 검증한다(S110). 그리고, 서명이 올바르다고 판단되면, 칩 공개키 증명서 작성 수단(21d)은, S109에서 얻어진 등록 정보에 포함되는 칩 공개키 등을 포함하는 칩 공개키 증명서를 작성한다(S111). 계속해서, 등록 정보 등록 수단(21e)은 S109에서 얻어진 등록 정보에 포함되는 칩 정보와 칩 공개키를 칩 정보 데이터베이스에 저장한다(S112). 그리고, 송수신 수단(21a)으로부터 S111에서 작성된 칩 공개키 증명서가 유저 단말기(5a∼5f)에 송신 된다(S113).If the
유저 단말기(5a∼5f)에서, 송수신 수단(51b)에 의해 칩 공개키 증명서가 수신되면, 칩 공개키 증명서 확인 수단(51e)은, 칩 공개키 증명서의 정당성을 확인한다(S114). 그리고, 칩 공개키 증명서가 정당하다고 확인되면, 칩 공개키 증명서 저장 수단(51f)은, 송수신 수단(51b)에 의해 수신된 칩 공개키 증명서를 e-Key 칩(6a∼6f)에 저장한다(S115).When the chip public key certificate is received by the transmitting and receiving means 51b in the
또한, 기기 등록 처리에서는, 본인 인증용 IC 카드를 사용하여 본인 확인을 행하고 있는 경우이지만, 이에 한하지 않고, 유저 단말기(5a∼5f)에서 유저가 인증 정보를 직접 입력하고, 그것을 등록 정보와 함께 칩 관리 센터(2)에 송신하도록 해도 된다. 또한, 시큐리티를 문제로 하지 않으면, 본인 인증을 행하는 처리(S104, S107, S108)를 제외하고, 송수신 수단(51b)으로부터 암호화 등록 정보를 송신하도록 해도 된다. 또한, 칩 정보 데이터베이스에는 등록 처리를 행한 유저의 정보를 함께 등록해도 된다.In the device registration process, although identity verification is performed using the IC card for identity authentication, the present invention is not limited to this, but the user directly inputs authentication information in the
《VPN 서비스 다운로드 처리》<VPN Service Download Processing >>
도 4는 VPN 통신 시스템의 VPN 서비스 다운로드 처리에 관련되는 구성을 도시하는 도면이다. 또한, VPN 서비스 다운로드 처리를 개시하기 전의 e-Key 칩(6a∼6f)에는, 칩 공개키 및 칩 비밀키, 칩 관리자 공개키 및 칩 공개키 증명서(기기 등록 처리에 의해 저장된 것)가 적어도 저장되어 있다.4 is a diagram illustrating a configuration related to VPN service download processing of the VPN communication system. Also, at least the chip public key and chip secret key, chip manager public key and chip public key certificate (stored by the device registration process) are stored in the
유저 단말기(5a∼5f)는, 도 4에 도시하는 바와 같이, 송수신 수단(서비스 제공 수단, 서비스 수신 수단)(52a), 서비스 제공 요구 서명 수단(52b), 서비스 인스 톨 수단(52c) 및 퍼스널라이즈 수단(52d)을 구비하고 있다. 송수신 수단(52a)은, 서명이 첨부된 서비스 다운로드 요구(서비스 제공 요구에 상당함)와 e-Key 칩(6a∼6f)에 저장되어 있는 칩 공개키를 포함하는 칩 공개키 증명서를 VPN 서비스 제공 센터(3)에 송신함과 함께, VPN 서비스 제공 센터(3)로부터 VPN 서비스용 어플리케이션 소프트웨어(e-Key 칩(6a∼6f)에 메모리를 확보하는 것 등을 행하기 위한 소프트웨어)를 수신한다. 서비스 제공 요구 서명 수단(52b)은, e-Key 칩(6a∼6f)에 저장되어 있는 칩 비밀키를 사용하여, VPN 서비스용 어플리케이션 소프트웨어의 다운로드를 요구하는 서비스 다운로드 요구에 서명한다. 서비스 인스톨 수단(52c)은, 송수신 수단(52a)에 의해 수신되는 VPN 서비스용 어플리케이션 소프트웨어를 e-Key 칩(6a∼6f)에 인스톨한다. 퍼스널라이즈 수단(52d)은, 칩 공개키, 서비스 제공자 비밀키를 사용하여 암호화한 퍼스널라이즈 데이터로 퍼스널라이즈한다(서비스 어플리케이션 상의 키를 생성한다).As shown in Fig. 4, the
VPN 서비스 제공 센터(3)는, 도 4에 도시하는 바와 같이, 송수신 수단(32a), 서비스 제공 요구 서명 검증 수단(32b) 및 전송 가부 판단 수단(32c)을 구비하고 있다.As shown in FIG. 4, the VPN
송수신 수단(32a)은, 유저 단말기(5a∼5f)로부터 서명이 첨부된 서비스 다운로드 요구와 칩 공개키 증명서를 수신함과 함께, VPN 서비스용 어플리케이션 소프트웨어를 유저 단말기(5a∼5f)에 전송한다. 또한, 칩 관리 센터(2)에 다운로드 허가 요구를 송신함과 함께, 칩 관리 센터(2)로부터 다운로드 허가 여부의 판단 결과를 수신한다. 서비스 제공 요구 서명 검증 수단(32b)은, 송수신 수단(32a)에 의해 수신된 칩 공개키 증명서에 포함되는 칩 공개키를 사용하여, 송수신 수단(32a)에 의해 수신된 서비스 다운로드 요구의 서명을 검증한다. 전송 가부 판단 수단(32c)은, 유저의 지금까지의 상황 등을 고려하여, VPN 서비스용 어플리케이션 소프트웨어의 유저 단말기(5a∼5f)에의 전송의 가부를 판단한다.The transmission / reception means 32a receives the signed service download request and chip public key certificate from the
도 5는 VPN 통신 시스템에서의 VPN 서비스 다운로드 처리의 수순을 도시하는 도면이다.5 is a diagram illustrating a procedure of VPN service download processing in the VPN communication system.
유저 단말기(5a∼5f)에서, 서비스 제공 요구 서명 수단(52b)은, 칩 비밀키를 사용하여 서비스 다운로드 요구에 서명한다(S201). 그리고, 송수신 수단(52a)으로부터 S201에서 서명이 첨부된 서비스 다운로드 요구와 칩 공개키 증명서가 VPN 서비스 제공 센터(3)에 송신된다(S202).In the
VPN 서비스 제공 센터(3)에서, 송수신 수단(32a)에 의해 서명이 첨부된 서비스 다운로드 요구와 칩 공개키 증명서가 수신되면, 서비스 제공 요구 서명 검증 수단(32b)은, 칩 공개키 증명서에 포함되는 칩 공개키를 사용하여 서비스 다운로드 요구의 서명(S201의 서명)을 검증한다(S203). 그리고, 서명이 올바르다고 판단되면, 송수신 수단(32a)으로부터 칩 관리 센터(2)로 다운로드 허가 요구를 송신한다(S204). 칩 관리 센터(2)에서, VPN 서비스 제공 센터(3)로부터 다운로드 허가 요구가 있으면, 칩 정보 데이터베이스에 서비스 다운로드 요구를 행한 유저 단말기(5a∼5f)의 e-Key 칩(6a∼6f)이 등록되어 있는지에 기초하여, VPN 서비스용 어플리케이션 소프트웨어의 다운로드의 가부를 판단하고, VPN 서비스 제공 센터(3)에 다운로드의 가부를 통지한다(S205).In the VPN
VPN 서비스 제공 센터(3)에서, 칩 관리 센터(2)로부터 다운로드 허가의 통지가 있으면, 전송 가부 판단 수단(32c)은, VPN 서비스용 어플리케이션 소프트웨어의 다운로드의 가부를 판단한다(S206). 그리고, 다운로드가 허가되면, 송수신 수단(32a)으로부터 유저 단말기(5a∼5f)에 암호 통신에 의해 VPN 서비스용 어플리케이션 소프트웨어가 전송된다(S207).In the VPN
유저 단말기(5a∼5f)에서, 송수신 수단(52a)에 의해 VPN 서비스용 어플리케이션 소프트웨어가 수신되면, 서비스 인스톨 수단(52c)은, VPN 서비스용 어플리케이션 소프트웨어를 e-Key 칩(6a∼6f)에 인스톨한다(S208).When the
계속해서, 퍼스널라이즈 수단(52d)은, 칩 공개키, 서비스 제공자 비밀키를 사용하여 암호화한 퍼스널라이즈 데이터로 퍼스널라이즈한다(S209). 또한, VPN 서비스 다운로드 처리를 S209의 처리를 포함하지 않도록 작성해도 된다. 또한, 어플리케이션 소프트웨어 자체가 올바른지의 여부를 인스톨 전에 검증해도 된다. 또한, 인스톨, 퍼스널라이즈한 결과를 VPN 서비스 제공 센터에 통지해도 된다.Subsequently, the personalization means 52d personalizes the personalized data encrypted using the chip public key and the service provider secret key (S209). The VPN service download process may be created so as not to include the process of S209. In addition, you may verify whether the application software itself is correct before installing. In addition, you may notify the VPN service provision center of the result of installation and personalization.
《VPN키 생성 처리》<< VPN key generation process >>
도 6은 VPN 통신 시스템의 VPN키 생성 처리에 관련되는 구성을 도시하는 도면이다. 또한, VPN키 생성 처리를 개시하기 전의 e-Key 칩(6a∼6f)에는, 칩 공개키 및 칩 비밀키, 칩 관리자 공개키, 서비스 AP 공개키 및 서비스 AP 비밀키, VPN 서비스 센터의 관리자를 관리하는 VPN 서비스 제공자의 공개키(서비스 제공자 공개키), 서비스 AP 공개키 증명서가 적어도 저장되어 있다. 단, 서비스 AP 공개키, 서비스 AP 비밀키, 서비스 제공자 공개키, 서비스 AP 공개키 증명서는, VPN 서비스 다운로드 처리 후, 적절하게 e-Key 칩(6a∼6f)에 저장된다. 또한, 서비스 AP 공개키 증명서는 서비스 AP 공개키를 포함함과 함께, VPN 서비스 제공자의 비밀키 혹은 VPN 서비스 제공자가 인정한 제3자의 비밀키(이하, 서비스 제공자 비밀키라고 함)로 만들어진 서명이 있다.6 is a diagram illustrating a configuration related to VPN key generation processing of the VPN communication system. In addition, the
유저 단말기(5a∼5f)는, 도 6에 도시하는 바와 같이, 송수신 수단(암호키 생성 요구 송신 수단, 생성 암호키 정보 수신 수단)(53a), 암호키 생성 요구 서명 수단(53b), 암호키 생성 요구 암호화 수단(53c), 생성 암호키 정보 서명 검증 수단(53d), 생성 암호키 정보 복호화 수단(53e) 및 생성 암호키 정보 인스톨 수단(53f)을 구비하고 있다. 송수신 수단(53a)은, VPN 서비스 제공 센터(3)에 암호화 암호키 생성 요구, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 공개키 증명서 및 사용 허가 조건(유효 기한, 사용 횟수 등)을 송신함과 함께, VPN키, 해당 VPN키의 식별자(키 ID), 유효 기한 정보 등을 포함하는 서명이 첨부된 암호화 생성 암호키 정보를 수신한다. 암호키 생성 요구 서명 수단(53b)은, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 비밀키를 사용하여, VPN 서비스 제공 센터(3)에 대해 VPN키(통신용 암호키에 상당함)의 생성을 요구하는 암호키 생성 요구에 서명한다. 암호키 생성 요구 암호화 수단(53c)은, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 제공자 공개키를 사용하여, 암호키 생성 요구 서명 수단(53b)에 의해 서명이 첨부된 암호키 생성 요구를 암호화 암호키 생성 요구로 암호화한다.As shown in Fig. 6, the
생성 암호키 정보 서명 검증 수단(53d)은, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 제공자 공개키를 사용하여, 송수신 수단(53a)에 의해 수신되는 암호화 생성 암호키 정보의 서명을 검증한다. 생성 암호키 정보 복호화 수단(53e)은, 생성 암호키 정보 서명 검증 수단(53d)에 의해 서명이 올바르다고 판단되면, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 비밀키를 사용하여, 송수신 수단(53a)에 의해 수신되는 암호화 생성 암호키 정보를 VPN키, 키 ID, 유효 기한 정보 등을 포함하는 생성 암호키 정보로 복호화한다. 생성 암호키 정보 인스톨 수단(53f)은, 생성 암호키 정보 복호화 수단(53e)에 의한 복호화에 의해 얻어지는 생성 암호키 정보(VPN키, 키 ID, 유효 기한 정보 등)를 e-Key 칩(6a∼6f)에 인스톨한다.The generated encryption key information signature verification means 53d uses the service provider public key stored in the
VPN 서비스 제공 센터(3)는, 도 6에 도시하는 바와 같이, 송수신 수단(암호키 생성 요구 수신 수단, 생성 암호키 정보 송신 수단)(33a), 서비스 AP 공개키 증명서 검증 수단(서비스 공개키 증명서 검증 수단)(33b), 키 생성 가능 검증 수단(33c), 암호키 생성 요구 복호화 수단(33d), 생성 요구 서명 검증 수단(33e), 통신용 암호키 작성 수단(33f), 부가 수단(33g), 그룹 정보 저장 수단(33h), 생성 암호키 정보 암호화 수단(33i) 및 생성 암호키 정보 서명 수단(33j)을 구비하고 있다.As shown in Fig. 6, the VPN
송수신 수단(33a)은, 유저 단말기(5a∼5f)에 VPN키, 해당 VPN키의 식별자(키 ID), 유효 기한 정보 등을 포함하는 서명이 첨부된 암호화 생성 암호키 정보를 송신함과 함께, 유저 단말기(5a∼5f)로부터 암호화 암호키 생성 요구, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 공개키 증명서 및 사용 허가 조건(유효 기한, 사용 횟수 등)을 수신한다. 서비스 AP 공개키 증명서 검증 수단(33b)은, 서비스 AP 공개키 증명서의 정당성을 검증한다(유저의 인증을 행한다). 구체적으로는, 서비스 제공자 공개키를 사용하여 서비스 AP 공개키 증명서의 서명을 검증함으로써 행해진 다. 키 생성 가능 검증 수단(33c)은, 사용 허가 조건에 기초하여 키 생성 가능한 유저인지의 여부를 판단한다. 암호키 생성 요구 복호화 수단(33d)은, 서비스 제공자 비밀키를 사용하여, 송수신 수단(33a)에 의해 수신되는 암호화 암호키 생성 요구를 서명이 첨부된 암호키 생성 요구로 복호화한다. 생성 요구 서명 검증 수단(33e)은, 서비스 AP 공개키를 사용하여, 암호키 생성 요구 복호화 수단(33d)에 의한 복호화에 의해 얻어지는 암호키 생성 요구의 서명을 검증한다.The transmission / reception means 33a transmits, to the
통신용 암호키 생성 수단(33f)은, 서비스 AP 공개키 증명서 검증 수단(33b)에 의해 서비스 AP 공개키 증명서가 올바르다고 판단되고, 키 생성 가능 검증 수단(33c)에 의해 키 생성 가능한 유저인 것이 판단되며, 생성 요구 서명 검증 수단(33e)에 의해 서명이 올바르다고 판단되면, VPN키를 생성한다. 부가 수단(33g)은, 통신용 암호키 생성 수단(33f)에 의해 생성되는 VPN키에 해당 VPN키의 식별자(키 ID)와 유저 단말기(5a∼5f)로부터의 사용 허가 조건에 포함되는 유효 기한 정보 등의 부가 정보를 부가한다. 그룹 정보 저장 수단(33h)은, 그룹 정보(통신용 암호키 생성 수단(33f)에 의해 생성되는 VPN키와, 부가 수단(33g)에 의해 VPN키에 부가되는 부가 정보와, 유저 정보 데이터베이스에 등록되어 있는 암호키 생성 요구를 행한 유저 정보)를 그룹 정보 데이터베이스에 등록한다. 생성 암호키 정보 암호화 수단(33i)은, 서비스 AP 공개키 증명서에 포함되는 서비스 AP 공개키를 사용하여, 부가 수단(33g)에 의해 부가 정보가 부가된 VPN키(생성 암호키 정보)를 암호화 생성 암호키 정보로 암호화한다. 생성 암호키 정보 서명 수단(33j)은, 서비스 제공자 비밀키를 사용하여, 생성 암호키 정보 암호화 수단(33i)에 의해 얻어지는 암호 화 생성 암호키 정보에 서명한다.The communication encryption key generation means 33f determines that the service AP public key certificate is correct by the service AP public key certificate verification means 33b, and determines that the user can generate a key by the key generation possible verification means 33c. If the signature is determined to be correct by the generation request signature verification means 33e, the VPN key is generated. The
도 7은 VPN 통신 시스템에서의 VPN키 생성 처리의 수순을 도시하는 도면이다.7 is a diagram illustrating a procedure of VPN key generation processing in the VPN communication system.
유저 단말기(5a∼5f)에서, 암호키 생성 요구 서명 수단(53b)은, 서비스 AP 비밀키를 사용하여 암호키 생성 요구에 서명한다(S301). 계속해서, 암호키 생성 요구 암호화 수단(53c)은, 서비스 제공자 공개키를 사용하여 S301에서 얻어진 서명이 첨부된 암호키 생성 요구를 암호화 암호키 생성 요구로 암호화한다(S302). 그리고, 송수신 수단(53a)으로부터 S302에서 얻어진 암호화 암호키 생성 요구, 서비스 AP 공개키 증명서 및 사용 허가 조건이 VPN 서비스 제공 센터(3)에 송신된다(S303).In the
VPN 서비스 제공 센터(3)에서, 송수신 수단(33a)에 의해 암호화 암호키 생성 요구 등이 수신되면, 서비스 AP 공개키 증명서 검증 수단(33b)은 서비스 AP 공개키 증명서를 검증함과 함께, 키 생성 가능 검증 수단(33c)은 키 생성 가능한 유저인지의 여부를 판단한다(S304). 계속해서, 암호키 생성 요구 복호화 수단(33d)은, 서비스 제공자 비밀키를 사용하여, 암호화 암호키 생성 요구를 서명이 첨부된 암호키 생성 요구로 복호화한다(S305). 또한 계속해서, 생성 요구 서명 검증 수단(33e)은, 서비스 AP 공개키를 사용하여 암호키 생성 요구의 서명(S301의 서명)을 검증한다(S306). 그리고, 서비스 AP 공개키 증명서가 정당하고, 키 생성 가능한 유저이며, 암호키 생성 요구의 서명이 올바르다고 생각되면, 통신용 암호키 생성 수단(33f)은 VPN키를 생성한다(S307). 계속해서, 부가 수단(33g)은, S307에서 생성된 VPN키에 부가 정보(키 ID나 유효 기한 정보 등)를 부가한다(S308). 또한 계속해서, 그룹 정보 저장 수단(33h)은, 그룹 정보(VPN키와 부가 정보와 유저 정보)를 그룹 정보 데이터베이스에 등록한다(S309). 또한, 생성 암호키 정보 암호화 수단(33i)은, 서비스 AP 공개키를 사용하여, VPN키와 부가 정보를 포함하는 생성 암호키 정보를 암호화 생성 암호키 정보로 암호화한다(S310). 계속해서, 생성 암호키 정보 서명 수단(33j)은, 서비스 제공자 비밀키를 사용하여, S310에서 얻어진 암호화 생성 암호키 정보에 서명한다(S311). 그리고, 송수신 수단(33a)으로부터 S311에 의해 서명이 첨부된 암호화 생성 암호키 정보를 유저 단말기(5a∼5f)에 송신한다(S312).In the VPN
유저 단말기(5a∼5f)에서, 송수신 수단(53a)에 의해 서명이 첨부된 암호화 생성 암호키 정보가 수신되면, 생성 암호키 정보 서명 검증 수단(53d)은, 서비스 제공자 공개키를 사용하여 암호화 생성 암호키 정보의 서명(S311의 서명)을 검증한다(S313). 그리고, 서명이 올바르다고 생각되면, 생성 암호키 정보 복호화 수단(53e)은, 서비스 AP 비밀키를 사용하여 암호화 생성 암호키 정보를 생성 암호키 정보로 복호화한다(S314). 계속해서, 생성 암호키 정보 인스톨 수단(53f)은, S314에서의 복호화에 의해 얻어진 생성 암호키 정보(VPN키, 키 ID, 유효 기한 정보 등)를 e-Key 칩(6a∼6f)에 인스톨한다(S315).In the
《VPN키 공유 처리》<< VPN key sharing processing >>
도 8은 VPN 통신 시스템의 VPN키 공유 처리에 관련되는 구성을 도시하는 도면이다. 또한, VPN키 공유 처리를 개시하기 전의 e-Key 칩(6a∼6f)은, VPN키와 그 것에 관한 정보를 제외하고, VPN키 생성 처리를 개시하기 전의 상태와 실질적으로 마찬가지이다.8 is a diagram illustrating a configuration related to VPN key sharing processing of the VPN communication system. The
유저 단말기(5a∼5f)는, 도 8에 도시하는 바와 같이, 송수신 수단(암호키 공유 요구 송신 수단, 공유 암호키 정보 수신 수단)(54a), 검색 요구 수단(54b), 암호키 공유 요구 서명 수단(54c), 암호키 공유 요구 암호화 수단(54d), 공유 암호키 정보 서명 검증 수단(54e), 공유 암호키 정보 복호화 수단(54f) 및 공유 암호키 정보 인스톨 수단(54g)을 구비하고 있다.As shown in Fig. 8, the
송수신 수단(54a)은, VPN 서비스 제공 센터(3)에 암호화 암호키 공유 요구, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 공개키 증명서 및 키 ID를 송신함과 함께, VPN 서비스 제공 센터(3)로부터 참가를 희망하는 VPN의 키 ID 등을 포함하는 검색 결과나, VPN키, 해당 VPN키의 식별자(키 ID), 유효 기한 정보 등을 포함하는 서명이 첨부된 암호화 공유 암호키 정보를 수신한다. 검색 요구 수단(54b)은, 참가를 희망하는 VPN의 검색을 VPN 서비스 제공 센터(3)에 요구한다. 암호키 공유 요구 서명 수단(54c)은, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 비밀키를 사용하여, VPN 서비스 제공 센터(3)에 대해 VPN키의 공유를 요구하는 암호키 공유 요구에 서명한다. 암호키 공유 요구 암호화 수단(54d)은, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 제공자 공개키를 사용하여, 암호키 공유 요구 서명 수단(54c)에 의해 서명이 첨부된 암호키 공유 요구를 암호화 암호키 공유 요구로 암호화한다.The transmission / reception means 54a transmits the encryption encryption key sharing request, the service AP public key certificate and the key ID stored in the
공유 암호키 정보 서명 검증 수단(54e)은, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 제공자 공개키를 사용하여 암호화 공유 암호키 정보의 서명을 검증한다. 공유 암호키 정보 복호화 수단(54f)은, 공유 암호화 정보 서명 검증 수단(54e)에 의해 서명이 올바르다고 판단되면, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 비밀키를 사용하여 암호화 공유 암호키 정보를 VPN키, 키 ID, 유효 기한 정보 등을 포함하는 공유 암호키 정보로 복호화한다. 공유 암호키 정보 인스톨 수단(54g)은, 공유 암호키 정보 복호화 수단(54f)에 의한 복호화에 의해 얻어지는 공유 암호키 정보(VPN키, 키 ID, 유효 기한 정보 등)를 e-Key 칩(6a∼6f)에 인스톨한다.The shared cryptographic key information signature verification means 54e verifies the signature of the encrypted shared cryptographic key information using the service provider public key stored in the
VPN 서비스 제공 센터(3)는, 도 8에 도시하는 바와 같이, 송수신 수단(암호키 공유 요구 수신 수단, 공유 암호키 정보 송신 수단)(34a), 참가 희망 VPN 검색 수단(34b), 서비스 AP 공개키 증명서 검증 수단(서비스 공개키 증명서 검증 수단)(34c), 암호키 공유 요구 복호화 수단(34d), 공유 요구 서명 검증 수단(34e), 참가 대상 VPN 검색 수단(34f), 공유 가능 검증 수단(34g), 유저 정보 추가 등록 수단(34h), 공유 암호키 정보 암호화 수단(34i) 및 공유 암호키 정보 서명 수단(34j)을 구비하고 있다.As shown in Fig. 8, the VPN
송수신 수단(34a)은, 유저 단말기(5a∼5f)에 유저 단말기가 참가를 희망한 VPN의 키 ID 등을 포함하는 검색 결과나, VPN키, 해당 VPN키의 식별자(키 ID), 유효 기한 정보 등을 포함하는 서명이 첨부된 암호화 공유 암호키 정보를 송신함과 함께, 유저 단말기(5a∼5f)로부터 VPN의 검색 요구나, 암호화 암호키 공유 요구, 참가 대상의 VPN의 키 ID 및 e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 공개키 증명서를 수신한다. 참가 희망 VPN 검색 수단(34b)은, 유저 단말기가 참가를 희망한 VPN을 그룹 정보 데이터베이스를 참조하여 검색하고, 키 ID 등의 검색 결과를 송수신 수단(34a)을 통해 유저 단말기(5a∼5f)에 건네준다. 서비스 AP 공개키 증명서 검증 수단(34c)은, 서비스 AP 공개키 증명서 검증 수단(33b)과 마찬가지의 방법에 의해, 서비스 AP 공개키 증명서의 정당성을 검증한다(유저의 인증을 행한다). 암호키 공유 요구 복호화 수단(34d)은, 서비스 제공자 비밀키를 사용하여, 송수신 수단(34a)에 의해 수신되는 암호화 암호키 공유 요구를 서명이 첨부된 암호키 공유 요구로 복호화한다. 공유 요구 서명 검증 수단(34e)은, 서비스 AP 공개키 증명서에 포함되는 서비스 AP 공개키를 사용하여, 암호키 공유 요구 복호화 수단(34d)에 의한 복호화에 의해 얻어지는 암호키 공유 요구의 서명을 검증한다. 참가 대상 VPN 검색 수단(34f)은, 서비스 AP 공개키 증명서 검증 수단(34c)에 의해 서비스 AP 공개키 증명서가 올바르다고 판단되고, 공유 요구 서명 검증 수단(34e)에 의해 서명이 올바르다고 판단되면, 그룹 정보 데이터베이스에서, 송수신 수단(34a)에 의해 수신되는 키 ID에 기초하여 그룹 정보를 검색한다. 공유 가능 검증 수단(34g)은, 예를 들면, 유효 기한이 지나지 않았는지 등을 확인하여, VPN키의 공유가 가능한지를 검증한다. 유저 정보 추가 등록 수단(34h)은, 공유 가능 검증 수단(34g)에 의해 공유 가능하다고 판단되면, 송수신 수단(34a)에 의해 수신되는 키 ID와 관련지어, VPN키의 공유를 요구한 유저의 유저 정보(유저 정보 데이터베이스에 저장되어 있는 유저 정보)를 그룹 정보 데이타베이스에 추가 등록한다.The transmission / reception means 34a includes a search result including the key ID of the VPN which the user terminal wishes to participate in the
공유 암호키 정보 암호화 수단(34i)은, 서비스 AP 공개키를 사용하여, 그룹 정보 데이터베이스에 저장되어 있는 VPN키, 키 ID, 유효 기한 정보 등을 포함하는 공유 암호키 정보를 암호화 공유 암호키 정보로 암호화한다. 공유 암호키 정보 서 명 수단(34j)은, 서비스 제공자 비밀키를 사용하여, 공유 암호키 정보 암호화 수단(34i)에 의해 얻어지는 암호화 공유 암호키 정보에 서명한다.The shared encryption key information encryption means 34i uses the service AP public key to convert the shared encryption key information including the VPN key, the key ID, the expiration date information, and the like stored in the group information database into the encrypted shared encryption key information. Encrypt The shared cryptographic key information signing means 34j signs the encrypted shared cryptographic key information obtained by the shared cryptographic key
도 9는 VPN 통신 시스템에서의 VPN키 공유 처리의 수순을 도시하는 도면이다. 또한, 유저 단말기(5a)가 VPN키의 공유를 요구하고, 공유를 요구받은 VPN키의 VPN에 유저 단말기(5b)가 참가하고 있는 것으로 한다.9 is a diagram illustrating a procedure of VPN key sharing processing in the VPN communication system. In addition, it is assumed that the
유저 단말기(5a)에서, 검색 요구 수단(54b)은, VPN 서비스 제공 센터(3)에 대해 유저가 참가를 희망하는 VPN의 검색을 요구한다(S401). 이에 대해, VPN 서비스 제공 센터(3)에서, 참가 희망 VPN 검색 수단(34b)은 유저가 참가를 희망한 VPN을 검색하고, 키 ID 등을 포함하는 검색 결과를 유저 단말기(5a)에 송부한다(S402). 그리고, 유저 단말기(5a)에서, 송수신 수단(54a)에 의해 검색 결과가 수신되면, 암호키 공유 요구 서명 수단(54c)은, 서비스 AP 비밀키를 사용하여 암호키 공유 요구에 서명한다(S403). 계속해서, 암호키 공유 요구 암호화 수단(54d)은, 서비스 제공자 공개키를 사용하여 S403에서 얻어진 서명이 첨부된 암호키 공유 요구를 암호화 암호키 공유 요구로 암호화한다(S404). 그리고, 송수신 수단(54a)으로부터 S404에서 얻어진 암호화 암호키 공유 요구, 검색 결과로서 통지된 키 ID 및 서비스 AP 공개키 증명서가 VPN 서비스 제공 센터(3)에 송신된다(S405).In the
VPN 서비스 제공 센터(3)에서, 송수신 수단(34a)에 의해 암호화 암호키 공유 요구 등이 수신되면, 서비스 AP 공개키 증명서 검증 수단(34c)은 서비스 AP 공개키 증명서를 검증한다(S406). 계속해서, 암호키 공유 요구 복호화 수단(34d)은, 서비스 제공자 비밀키를 사용하여, 송수신 수단(34a)에 의해 수신된 암호화 암호키 공 유 요구를 서명이 첨부된 암호키 공유 요구로 복호화한다(S407). 또한 계속해서, 공유 요구 서명 검증 수단(34e)은, 서비스 AP 공개키를 사용하여 암호키 공유 요구의 서명(S403의 서명)을 검증한다(S408). 그리고, 서비스 AP 공개키 증명서가 정당하고, 암호키 공유 요구의 서명이 올바르다고 생각되면, 참가 대상 VPN 검색 수단(34f)은 참가 대상의 VPN을 검색한다(S409). 계속해서, 공유 가능 검증 수단(34g)은 VPN키의 공유의 가부를 검증한다(S410). 그리고, 공유 가능으로 생각되면, 유저 정보 추가 등록 수단(34h)은 유저 정보를 그룹 정보 데이터베이스에 등록한다(S411). 또한, 공유 암호키 정보 암호화 수단(34i)은, 서비스 AP 공개키를 사용하여, VPN키와 부가 정보를 포함하는 공유 암호키 정보를 암호화 공유 암호키 정보로 암호화한다(S412). 계속해서, 공유 암호키 정보 서명 수단(34j)은, 서비스 제공자 비밀키를 사용하여, S412에서 얻어진 암호화 공유 암호키 정보에 서명한다(S413). 그리고, 송수신 수단(34a)으로부터 S413에 의해 서명이 첨부된 암호화 공유 암호키 정보를 유저 단말기(5a)에 송신한다(S414). 이와 함께, 유저 단말기(5b)에 신규 참가자를 통지한다(S418).In the VPN
유저 단말기(5a)에서, 송수신 수단(54a)에 의해 서명이 첨부된 암호화 공유 암호키 정보가 수신되면, 공유 암호키 정보 서명 검증 수단(54e)은, 서비스 제공자 공개키를 사용하여 암호화 공유 암호키 정보의 서명(S413의 서명)을 검증한다(S415). 그리고, 서명이 올바르다고 생각되면, 공유 암호키 정보 복호화 수단(54f)은 서비스 AP 비밀키를 사용하여 암호화 공유 암호키 정보를 공유 암호키 정보로 복호화한다(S416). 계속해서, 공유 암호키 정보 인스톨 수단(54g)은, S416에 서의 복호화에 의해 얻어진 공유 암호키 정보(VPN키, 키 ID, 유효 기한 정보 등)를 e-Key 칩(6a)에 인스톨한다(S417).When the
《VPN 구축 처리》<VPN Construction Processing >>
VPN 통신 시스템의 VPN 구축 처리에서, e-Key 칩(6a∼6f)에 동일한 VPN키가 저장되어 있는 유저 단말기(5a∼5f) 사이에서 통신이 행해진다. 이때, 유저 단말기(5a∼5f)에서는, VPN키의 속성(유효 기한, 사용 횟수 등)이 검증된다.In the VPN establishment process of the VPN communication system, communication is performed between the
도 10은 VPN 통신 시스템에서의 VPN 구축 처리의 수순을 도시하는 도면이다. 또한, 유저 단말기(5a)와 유저 단말기(5b) 사이에서 통신이 행해지는 것으로 한다.10 is a diagram illustrating a procedure of VPN establishment processing in the VPN communication system. In addition, it is assumed that communication is performed between the
유저 단말기(5a)와 유저 단말기(5b)의 각각에서, 사용하는 VPN키의 속성(사용 횟수나 사용 기한 등)을 검증한다(S501, S502). 그리고, 유저 단말기(5a)와 유저 단말기(5b)의 쌍방에서 VPN키를 사용할 수 있는 경우, 유저 단말기(5a)와 유저 단말기(5b) 사이에서 규정된 VPN키를 사용하여 암호화 통신을 행한다(S503).In each of the
《VPN키 무효 처리》<< VPN key invalid processing >>
도 11은 VPN 통신 시스템의 VPN키 무효 처리에 관련되는 구성을 도시하는 도면이다. 또한, VPN키 무효 처리를 개시하기 전의 e-Key 칩(6a∼6f)에는, 칩 공개키 및 칩 비밀키, 칩 관리자 공개키, 서비스 AP 공개키 및 서비스 AP 비밀키, 서비스 제공자 공개키, 서비스 AP 공개키 증명서 및 VPN키에 관련된 정보가 적어도 포함되어 있다.11 is a diagram showing a configuration related to VPN key invalidation processing of the VPN communication system. In addition, the
유저 단말기(5a∼5f)는, 도 11에 도시하는 바와 같이, 송수신 수단(56a), 속성 검증 수단(56b), 암호키 삭제 수단(56c), 정보 삭제 요구 서명 수단(56d) 및 판 단 통지 정보 서명 검증 수단(56e)을 구비하고 있다. 송수신 수단(56a)은, VPN 서비스 제공 센터(3)에 정보 삭제 요구와 e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 공개키 증명서를 송신함과 함께, VPN 서비스 제공 센터(3)로부터 판단 통지 정보를 수신한다. 속성 검증 수단(56b)은, 사용하고자 하는 VPN키의 속성(유효 기한 등)을 검증한다. 암호키 삭제 수단(56c)은, 속성 검증 수단(56b)에 의해 사용 불가(유효 기한을 지나 있는 등)로 판단되면, e-Key 칩(6a∼6f)으로부터 검증 대상으로 된 VPN키를 삭제한다. 정보 삭제 요구 서명 수단(56d)은, 속성 검증 수단(56b)에 의해 사용 불가로 판단되면, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 AP 비밀키를 사용하여 e-Key 칩(6a∼6f)에 저장되어 있는 키 ID와 VPN 서비스 제공 센터(3)에 대해 유저 정보의 삭제를 요구하는 정보 삭제 요구에 서명한다. 판단 통지 정보 서명 검증 수단(56e)은, e-Key 칩(6a∼6f)에 저장되어 있는 서비스 제공자 공개키를 사용하여, 송수신 수단(56a)에 의해 수신되는 판단 통지 정보의 서명을 검증한다.As shown in Fig. 11, the
VPN 서비스 제공 센터(3)는, 도 11에 도시하는 바와 같이, 송수신 수단(36a), 서비스 AP 공개키 증명서 검증 수단(36b), 삭제 요구 서명 검증 수단(36c), 삭제 대상 VPN 검색 수단(36d), 사용 가부 판단 수단(36e), 그룹 정보 갱신 수단(36f) 및 판단 통지 정보 서명 수단(36g)을 구비하고 있다. 송수신 수단(36a)은, 유저 단말기(5a∼5f)로부터 정보 삭제 요구를 수신함과 함께, 유저 단말기(5a∼5f)에 판단 통지 정보를 송신한다. 서비스 AP 공개키 증명서 검증 수단(36b)은, 서비스 AP 공개키 증명서 검증 수단(33b)과 실질적으로 마찬가지의 처리를 행하여, 서 비스 AP 공개키 증명서를 검증한다(기기의 인증을 행한다). 삭제 요구 서명 검증 수단(36c)은, 서비스 AP 공개키 증명서 검증 수단(36b)에 의해 서비스 AP 공개키 증명서가 올바르다고 판단되면, 서비스 AP 공개키를 사용하여, 송수신 수단(36a)에 의해 수신되는 키 ID와 정보 삭제 요구의 서명을 검증한다. 삭제 대상 VPN 검색 수단(36d)은, 삭제 요구 서명 검증 수단(36c)에 의해 서명이 올바르다고 생각되면, 정보 그룹 데이터베이스에서, 송수신 수단(36a)에 의해 수신되는 키 ID에 기초하여 삭제 대상의 VPN을 검색한다. 사용 가부 판단 수단(36e)은, 삭제 대상 VPN 검색 수단(36d)에 의해 검색되는 VPN의 유효 기한 등을 확인하여, 사용 가부를 판단한다. 그룹 정보 갱신 수단(36f)은, 사용 가부 판단 수단(36e)에 의해 사용 불가로 생각되면, 그룹 정보 데이터베이스로부터 검색된 VPN의 그룹 정보에 포함되는 유저 정보를 삭제한다. 판단 통지 정보 서명 수단(36g)은, VPN 서비스 제공자 비밀키를 사용하여, 사용 불가로 판단하여 유저 정보를 삭제한 것이나 키 ID 등을 포함하는 판단 통지 정보에 서명한다.As shown in Fig. 11, the VPN
도 12는 VPN 통신 시스템에서의 VPN키 무효 처리의 수순을 도시하는 도면이다. 또한, 유저 단말기(5a)가 삭제 요구를 행하고, 삭제 요구의 대상으로 되는 VPN에 유저 단말기(5b)가 참가하고 있는 것으로 한다.12 is a diagram showing the procedure of VPN key invalidation processing in the VPN communication system. In addition, it is assumed that the
유저 단말기(5a)에서, 속성 검증 수단(56b)은 사용하고자 하는 VPN키의 속성을 검증한다(S601). 그리고, VPN키를 사용할 수 없는 경우, 암호키 삭제 수단(56c)은 e-Key 칩(6a)으로부터 VPN키를 삭제한다(S602). 계속해서, 정보 삭제 요구 서명 수단(56d)은, 서비스 AP 비밀키를 사용하여, 키 ID와 정보 삭제 요구에 서 명한다(S603). 그리고, 송수신 수단(56a)으로부터 VPN 서비스 제공 센터(3)에 서명이 첨부된 정보 삭제 요구와 키 ID 및 서비스 AP 공개키 증명서가 송신된다(S604).In the
VPN 서비스 제공 센터(3)에서, 송수신 수단(36a)에 의해 유저 단말기(5a)로부터 서명이 첨부된 정보 삭제 요구와 키 ID나 서비스 AP 공개키 증명서가 수신되면, 서비스 AP 공개키 증명서 검증 수단(36b)은 서비스 AP 공개키 증명서를 검증한다(S605). 계속해서, 서비스 AP 공개키 증명서가 올바르다고 판단되면, 삭제 요구 서명 검증 수단(36c)은 서비스 AP 공개키를 사용하여 정보 삭제 요구의 서명(S603의 서명)을 검증한다(S606). 또한 계속해서, 서명이 올바르다고 판단되면, 삭제 대상 VPN 검색 수단(36d)은 삭제 대상의 VPN을 검색한다(S607). 계속해서, 사용 가부 판단 수단(36e)은 VPN키의 사용 가부를 판단한다(S608). 그리고, 사용 불가로 판단되면, 그룹 정보 갱신 수단(36f)은, 그룹 정보 데이터베이스로부터 유저 정보를 삭제한다(S609). 또한, 판단 통지 정보 서명 수단(36g)은 서비스 제공자 비밀키를 사용하여 판단 통지 정보에 서명한다(S610). 그리고, 송수신 수단(36a)에 의해 유저 단말기(5a)에 서명이 첨부된 판단 통지 정보가 송신되고(S611), 삭제 대상의 VPN에 속하는 다른 유저 단말기(5b)에 VPN키가 무효로 된 멤버를 통지한다(S613).In the VPN
유저 단말기(5a)에서, 송수신 수단(56a)에 의해 판단 통지 정보가 수신되면, 판단 통지 정보 서명 검증 수단(56e)은, 서비스 제공자 공개키를 사용하여 판단 통지 정보의 서명(S610의 서명)을 검증한다(S612). 이 후, 판단 통지 정보를 해석함 으로써, VPN 서비스 제공 센터(3)의 그룹 정보 데이터베이스로부터 자기의 유저 정보가 삭제된 것을 알 수 있다.In the
또한, 상기 VPN키 생성 처리 또는 VPN키 공유 처리를 복수회 행함으로써, 복수의 서로 다른 VPN키를 e-Key 칩(6a∼6f)에 저장할 수 있다.Further, by performing the VPN key generation process or the VPN key sharing process a plurality of times, a plurality of different VPN keys can be stored in the
이상 설명한 실시 형태에 따르면, e-Key 칩(6a∼6f)에 저장되어 있는 VPN키를 사용하여 VPN 접속의 구축을 행하기 때문에, VPN 서비스 제공 센터가 동작하고 있지 않아도, 동일한 VPN에 속하는 유저 단말기간에서 VPN 접속의 구축을 행할 수 있다. 또한, VPN 접속 시의 유저 단말기의 부하가 경감되기(VPN 접속 시마다 센터에 암호키를 요구하는 처리 등이 불필요하게 되기) 때문에, 다수의 유저 단말기의 VPN 접속에도 대응할 수 있다.According to the above-described embodiment, since a VPN connection is established by using the VPN keys stored in the
또한, 안전한 정보 서비스의 구조가 필요한 다양한 서비스(회원제 서비스, 콘텐츠 배신, 정보 기기의 리모트 메인터넌스 등)를 제공하는 네트워크 기반을 구축할 수 있다. 또한, VPN 서비스 제공 센터에 의해 유저 등을 관리하고 있기 때문에, 예를 들면, 유저 등에 대한 과금 등을 행하는 서비스를 실현할 수 있다.In addition, it is possible to build a network base that provides a variety of services (membership service, content distribution, remote maintenance of information equipment, etc.) that require the structure of a secure information service. Moreover, since a user etc. are managed by a VPN service provision center, the service which charges a user etc. can be implement | achieved, for example.
또한, 상기 기기 등록 처리, VPN 서비스 다운로드 처리, VPN키 생성 처리, VPN키 공유 처리, VPN 구축 처리, VPN 무효 처리에서 설명한 각 장치를 구성하는 각 수단의 각각에서 실행되는 수순을 프로그램의 형식으로 컴퓨터가 판독 가능한 기록 매체에 기록하고, 이 기록 매체에 기록된 프로그램을 컴퓨터에 읽어들여 실행함으로써 본 발명의 각 장치가 실현되도록 해도 된다. 그리고, 이와 같이 실현된 각 장치를 이용하여 상기 각 처리가 실행되도록 해도 된다. 여기에서 컴퓨터가 판 독 가능한 기록 매체란, 자기 디스크, 광자기 디스크, CD-ROM, DVD-ROM, 반도체 메모리 등을 말한다. 또한, 이 컴퓨터 프로그램을 통신 회선에 의해 컴퓨터에 배신하고, 이 배신을 받은 컴퓨터가 해당 프로그램을 실행하도록 해도 된다.In addition, the procedure executed by each of the means constituting each device described in the device registration process, VPN service download process, VPN key generation process, VPN key sharing process, VPN establishment process, and VPN invalidation process is executed in the form of a computer. The apparatus of the present invention may be realized by recording on a readable recording medium and reading and executing a program recorded on the recording medium into a computer. Incidentally, the above processes may be executed by using the devices realized in this way. The computer-readable recording medium herein refers to a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, and the like. The computer program may be distributed to a computer by a communication line, and the computer that has received this distribution may execute the program.
이상, 본 발명의 바람직한 실시 형태에 대해 설명하였지만, 본 발명은 상술한 실시 형태에 한정되는 것이 아니라, 특허 청구 범위에 기재한 범위 내에서 다양한 설계 변경이 가능한 것으로 되어 있다.As mentioned above, although preferred embodiment of this invention was described, this invention is not limited to embodiment mentioned above, Various design changes are possible within the range as described in a claim.
본 발명에 따르면, VPN 서버의 동작의 유무에 상관없이 동일 VPN에 속하는 다른 클라이언트와 통신하는 것이 가능할 뿐만 아니라, VPN 서버와 클라이언트에서의 소프트웨어웨어의 인스톨 및 설정에 관한 작업 부담을 경감할 수 있다.According to the present invention, it is possible not only to communicate with other clients belonging to the same VPN regardless of the operation of the VPN server, but also to reduce the burden of installing and setting software software on the VPN server and the client.
Claims (5)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JPJP-P-2003-00285944 | 2003-08-04 | ||
JP2003285944A JP4467923B2 (en) | 2003-08-04 | 2003-08-04 | VPN communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060059993A KR20060059993A (en) | 2006-06-02 |
KR100754556B1 true KR100754556B1 (en) | 2007-09-05 |
Family
ID=34113913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20067002222A KR100754556B1 (en) | 2003-08-04 | 2004-08-03 | Vpn communication system |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP4467923B2 (en) |
KR (1) | KR100754556B1 (en) |
WO (1) | WO2005013552A1 (en) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4498165B2 (en) * | 2005-02-10 | 2010-07-07 | 株式会社エヌ・ティ・ティ・データ | Encryption communication key management apparatus and program |
JP4684100B2 (en) * | 2005-12-26 | 2011-05-18 | 株式会社日立製作所 | Authentication system and authentication method |
JP4692600B2 (en) * | 2008-09-25 | 2011-06-01 | 富士ゼロックス株式会社 | Information processing apparatus, communication system, and program |
JP5591037B2 (en) * | 2010-09-14 | 2014-09-17 | パナソニック株式会社 | Electronic information introduction system, terminal device, server device, electronic information introduction method and program |
CN103841479B (en) | 2012-11-20 | 2017-08-08 | 清华大学 | Earphone set |
CN103841504B (en) | 2012-11-20 | 2017-12-01 | 清华大学 | Thermophone array |
CN103841480B (en) | 2012-11-20 | 2017-04-26 | 清华大学 | Earphone |
CN103841482B (en) | 2012-11-20 | 2017-01-25 | 清华大学 | Earphone set |
CN103841500B (en) | 2012-11-20 | 2018-01-30 | 清华大学 | Thermo-acoustic device |
CN103841503B (en) | 2012-11-20 | 2017-12-01 | 清华大学 | sound chip |
CN103841481B (en) | 2012-11-20 | 2017-04-05 | 清华大学 | Earphone |
CN103841502B (en) | 2012-11-20 | 2017-10-24 | 清华大学 | sound-producing device |
CN103841507B (en) | 2012-11-20 | 2017-05-17 | 清华大学 | Preparation method for thermotropic sound-making device |
CN103841478B (en) | 2012-11-20 | 2017-08-08 | 清华大学 | Earphone |
CN103841501B (en) | 2012-11-20 | 2017-10-24 | 清华大学 | sound chip |
CN103841506B (en) | 2012-11-20 | 2017-09-01 | 清华大学 | The preparation method of thermophone array |
CN103841483B (en) | 2012-11-20 | 2018-03-02 | 清华大学 | Earphone (Headset) |
JP6659220B2 (en) * | 2015-01-27 | 2020-03-04 | ルネサスエレクトロニクス株式会社 | Communication device, semiconductor device, program and communication system |
JP6988525B2 (en) | 2018-01-30 | 2022-01-05 | 富士通株式会社 | Registration system and registration method |
CN114050931B (en) * | 2021-11-10 | 2024-05-28 | 湖北天融信网络安全技术有限公司 | Data transmission method, device, electronic equipment and readable storage medium |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09219700A (en) * | 1996-02-09 | 1997-08-19 | Toppan Printing Co Ltd | Data communication system, data communication equipment and ic card |
JPH10322328A (en) | 1997-05-20 | 1998-12-04 | Mitsubishi Electric Corp | Encryption communication system and encryption communication method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS619052A (en) * | 1984-06-25 | 1986-01-16 | Toshiba Corp | Communication network system |
JP2000059357A (en) * | 1998-08-07 | 2000-02-25 | Nippon Telegr & Teleph Corp <Ntt> | Closed area group communication system, management server system, communication terminal and their program storage medium |
-
2003
- 2003-08-04 JP JP2003285944A patent/JP4467923B2/en not_active Expired - Lifetime
-
2004
- 2004-08-03 WO PCT/JP2004/011415 patent/WO2005013552A1/en active Application Filing
- 2004-08-03 KR KR20067002222A patent/KR100754556B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09219700A (en) * | 1996-02-09 | 1997-08-19 | Toppan Printing Co Ltd | Data communication system, data communication equipment and ic card |
JPH10322328A (en) | 1997-05-20 | 1998-12-04 | Mitsubishi Electric Corp | Encryption communication system and encryption communication method |
Also Published As
Publication number | Publication date |
---|---|
JP4467923B2 (en) | 2010-05-26 |
JP2005057479A (en) | 2005-03-03 |
WO2005013552A1 (en) | 2005-02-10 |
KR20060059993A (en) | 2006-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100754556B1 (en) | Vpn communication system | |
JP4742903B2 (en) | Distributed authentication system and distributed authentication method | |
US7503074B2 (en) | System and method for enforcing location privacy using rights management | |
KR101287227B1 (en) | Virtual subscriber identity module | |
US9548859B2 (en) | Ticket-based implementation of content leasing | |
JP3761557B2 (en) | Key distribution method and system for encrypted communication | |
US20200412554A1 (en) | Id as service based on blockchain | |
US20080072296A1 (en) | Method for securing sessions between a wireless terminal and equipment in a network | |
JP6667371B2 (en) | Communication system, communication device, communication method, and program | |
JP2006203936A (en) | Method for initializing secure communication and pairing device exclusively, computer program, and device | |
JP4280036B2 (en) | Access right control system | |
US20040030891A1 (en) | Information processing system, information processing apparatus and method, recording medium, and program | |
JP4607602B2 (en) | How to provide access | |
EP1843274B1 (en) | Digital rights management system | |
JP2005149341A (en) | Authentication method and apparatus, service providing method and apparatus, information input apparatus, management apparatus, authentication guarantee apparatus, and program | |
KR20150134155A (en) | Apparatus and system for integratedly managing user's private information and method thereof | |
JP3770173B2 (en) | Common key management system and common key management method | |
JP3914193B2 (en) | Method for performing encrypted communication with authentication, authentication system and method | |
JP4641148B2 (en) | Personal information disclosure system, personal information disclosure method, and personal information disclosure program | |
JP4552785B2 (en) | Encrypted communication management server | |
JP4103678B2 (en) | Wireless communication service registration method and system | |
JP2007074745A (en) | Method for performing encrypted communication by obtaining authentication, authentication system and method | |
JP2005318269A (en) | Electronic certificate management system, method and server | |
JPH11331145A (en) | Information sharing system, information preserving device, information processing method and recording medium therefor | |
JP2003244120A (en) | Public key server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
G170 | Publication of correction | ||
FPAY | Annual fee payment |
Payment date: 20130619 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140623 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150617 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20160617 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20180710 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190528 Year of fee payment: 13 |