WO1995002292A1

WO1995002292A1 - Procede de controle de la confidentialite de communications personnelles

Info

Publication number: WO1995002292A1
Application number: PCT/JP1994/001097
Authority: WO
Inventors: Shoichi Hirata; Yasuyuki Uchiyama; Hiroshi Tsukahara; Masami Yabusaki
Original assignee: Ntt Mobile Communications Network Inc.
Priority date: 1993-07-07
Filing date: 1994-07-06
Publication date: 1995-01-19
Also published as: US5677954A; EP0664627A1; DE69433739D1; EP0664627B1; DE69433739T2; EP0664627A4

Description

明細書

パーソナル通信の秘匿制御方法

技術分野

この発明は利用者（ユーザ）が自分に固有な通信番号を使って任意の通信端末で発着信を行うことができるパーソナル通信方式において、通信端末と交換局との間で送受される通信情報を秘匿キーで秘匿化する場合の秘匿制御方法に関する。背景技術，

移動通信方式においては、特に無線送受区間で第三者により通信情報が傍受され易い。この点から通信端末（移動無線端末）と交換局（基地局を通じて移動端末と接続される）との間の通信情報を秘匿キーで秘匿化することが提案されている。即ち、互いに通信情報を送受する通信端末と交換局は、その通信端末に固有な情報に基づいて秘匿キーを生成し、その秘匿キーでその通信端末と交換局との間で送受される通信情報を秘匿化する。

パーソナル通信においては、各利用者はサービス網への加入契約により利用者に面有の通信番号（P I D ) が与えられ、利用者はその通信番号を使ってサービスを受け、その通信番号の使用に対し課金される。パーソナル通信においては利用者は所望の通信端末に自分の通信番号 P I Dに対する着信を受けるよう随時着信登録することができる。全ての通信端末はそれらをアクセスするためのそれぞれ固有の端末識別番号（ S I D ) を有している。交換局に接続されたデータべ一スには各利用者の通信番号（ P I D ) とその利用者が着信登録した通信端末の識別番号 S I Dが対応して記録されている。サービス網内にはパーソナル通信方式でない従来の通信端末も混在し、それら従来の通信端末には課金対象となる通信番号（即ち従来の電話番号） P I Dが与えられている。利用者が発信を行う場合、着信先がパーソナル通信に加入した利用者であっても、そうでない通信端末の場合であっても、何れの場合も着信先の通信番号 P I Dで着先を指定する。交換局はデータベースを参照し、指定された通信番号 P I Dに対応して登録された通信端末の識別番号（ S I D ) を読みだし、その識別番号の通信端末に着信の接続を行う。パーソナル通信方式においては、 1 つの通信端末に複数の利用者が着信登録した場合、それぞれの利用者が自分の通信番号 P I Dを使って 1 つの通信端末を共用することが可能である。

パーソナル通信方式に従来の秘匿制御方法を適用し、同一の通信端末を複数の利用者（ユーザ）が利用するものとする。この場合に、どの利用者についても交換局との間で送受する通信情報を秘匿化するための秘匿キーの生成には、その通信端末に固有な情報が共通に使用されることになる。つまり通常は通信端末に固有な情報がキー生成用情報として秘密に設けられ、交換局から通話回線の設定ごとに、送られて来た乱数と、端末固有情報とを用いて秘匿キーを生成し、その秘匿キーで通信情報を秘匿化する。同一通信端末については、何れの利用者についても、その通信情報を秘匿化する秘匿キーの生成に同一の端末固有情報が利用されることになる。その結果、それだけ秘匿化の強度が損なわれる。

この発明の目的は、通信端末と交換局間の通信情報の秘匿性を高めることができるパーソナル通信の秘匿制御方法を提供することにある。

発明の開示

この発明の第 1の観点では、交換局は受信した通信番号の利用者に固有な情報 UKをデータベースから得て、固有情報 UKと乱数 Rに基づいて秘匿キー K = F (R. UK) を生成し、通信端末は利用者が入力した利用者固有情報 UKと交換局から受信した乱数 Rとに基づいて秘匿キー K= (R, UK) を生成する。

この発明の第 2の観点では、交換局は受信した通信番号の利用者に固有な情報 UKとその利用者が利用する通信端末の固有な情報 TKをデータベースから得てそれらの固有情報 UK, TKと乱数 Rとから秘匿キー K = F (R, UK, TK) を生成する。通信端末は利用者が入力した固有情報 U Kとその通信端末の固有情報 TKと、交換局から受信した乱数 Rとから秘匿キー K= F (R, UK, TK) を生成する。

この発明の第 3の観点では、利用者固有情報 UK及び端末固有情報 TKのいずれか一方または両方と乱数 Rとに基づいて秘匿キー Kを生成する複数の予め決めた方法の何れの 1つを選択するかを表すヰ一選択情報が各通信番号 P I Dに対応してデータベース内に登録されており、交換局はそのキー選択情報 K Sに従って秘匿キー Kを生成すると共に、そのキー選択情報 K Sと乱数 Rを端末に送る。通信端末は受信したキー選択情報 K Sに従って上記複数の方法のいずれかに従って秘匿キー Kを生成する。

このようにこの発明では同じ通信端末が複数の利用者により利用される場合に、常に同じ端末固有情報により秘匿キーが生成されることがないので交換局と通信端末間の通信の秘匿性が改善される。

図面の簡単な説明

図 1 はこの発明が適用されるパーソナル通信システムの一部を示すプロック図。図 2はこの発明の第 1の観点を着信時の通信に適用した場合の秘匿制御シーケンスを示す図。

図 3はこの発明の第 2の観点を着信時の通信に適用した場合の秘匿制御シーケンスを示す図。

図 4はこの発明の第 3の観点を着信時の通信に適用した場合の秘匿制御シーケンスを示す図。

図 4 Αはこの発明の図 4の実施例における加入者データメモリ 3 3の構成を示す図。

図 5はこの発明の第 3の観点を発信時の通信に適用した場合の秘匿制御シーケンスを示す図。

発明を実施するための最良の形態

図 1 にこの発明の第 1、第 2及び第 3の観点が適用されるパーソナル通信システムの一部を示す。通信端末 1 0は通常移動無線端末であり、交換局 2 0とは図に示していないが基地局を介して制御画線および通話回線で接続される。通信端末 1 0、交換局 2 0はそれぞれ制御部 1 1 , 2 1 と、キー生成部 1 2 , 2 2と、秘匿キーで送信通信情報の秘匿化し、また受信秘匿化通信情報の秘匿解除を行う秘匿実行部 1 3 , 2 3と、信号送受信部 1 4 , 2 4とを備えている。通信端末 1 0は更に、この通信端末固有の情報 Τ Κを記憶してある端末固有情報メモリ 1 5 と、利用者 4 0が発信する場合の着信先通信番号 P I D dを入力したり、利用者の通信番号 P I D及び固有情報 U Kを入力するためのテンキー部 1 6が設けられ、必要に応じて利用者が自分の通信番号 P I D及び固有情報 U Kを例えば磁気力一ドまたは I Cカードにより入力するための力一ドリーダ 1 7 と、着信先利用者の通信番号または利用者名や発信時の入力情報を表示するための表示部 1 8と、利用者が着信登録時に通信番号 P I Dと利用者固有情報 U Kを記憶しておく利用者情報メモリ 1 9 とが設けられている。この通信端末の利用者が予め登録されている場合には、利用者情報メモリ 1 9 に、この利用者の通信番号 P I Dと利用者固有情報 U Kとが記億されている。 I Cカード 1 0 Cは制御部 1 1 Cと、キー生成部 1 2 Cと利用者情報メモリ 1 9 Cを有しており、通信端末 1 0の要求に応答して利用者の通信番号 P I D、利用者の固有情報 U Kをメモリ 1 9 Cから読みだして通信端末 1 0 に送出したり、あるいは端末 1 0から受けた乱数 Rとメモリ 1 9 Cから読みだした利用者固有情報 U Kとからキー生成部 1 2 Cで所定の演算 K = F ( R, U K ) によりキー Kを生成し、端末 1 0に送出する。交換局 2 0 には制御線 Xを介してデータベース 3 0の入出力部 3 1 に接続されている。データべ一ス 3 0は入出力部 3 1 に接続された端末データメモリ 3 2 と加入者データメモリ 3 3を有している。端末データメモリ 3 2 には各通信端末の識別番号 S I Dに対応する固有情報 Τ Κが記憶してある。加入者データメモリ 3 3には各通信番号 Ρ I Dに対応してその通信番号を有する利用者に固有な情報 U と、その利用者が着信登録している、あるいは予め登録されている端末の識別番号 S I Dを記憶してある。キー生成部 1 2、 1 2 C、 2 2で行うキー生成の方法は従来知られている様々な方法のどれを使ってもよいが予め決められており、その演算を記号 Fで表すことにする。また秘匿実行部 1 3、 2 3で信号キー Kによる情報の秘匿化及びその解除も従来周知の技術を使うことができる。

この発明の第 1 の観点では基地局（図示せず）を介して通信端末 1 0 と交換局 2 0 との間で送受信する通信情報に対し通信端末に固有な情報ではなく、利用者に固有な情報、即ちその利用者の通信番号 P I Dに固有に対応する情報 U Kを使つて秘匿キー Kを生成し、その秘匿キーにより通信情報を秘匿化する。その場合の秘匿制御シーケンスを着信の場合に付いて図 2を参照して説明する。

但し、この実施例及び後述の他の観点による実施例においても利用者 4 0 は通信端末 1 0を使用する場合に、 I Cカード 1 0 Cを使用するものとする。

交換局 2 0に通信番号 P I Dに対する着信呼が生じると、制御部 2 1 はステツブ S 1 でデータベース 3 0にその通信番号 P I Dを送って加入者情報を要求する: データベース 3 0 はステップ S 2で加入者データメモリ 3 3から通信番号 P I D に対応して記憶されている固有情報 U Kと着信登録端末識別番号 S I Dを読みだし、交換局 2 0 に送る。制御部 2 1 はステップ S 3で送受信部 2 4から通信番号 P I Dを識別番号 S I Dの端末 1 0 に送る。通信端末 1 0の制御部 1 1 は送受信部 1 4で受信した P I Dまたはそれに対応する利用者名をステツブ S 4で表示部 1 8 に表示し、あるいは図示してないシグナル音発生手段により報知する。表示された P I Dまたは対応する利用者名により指定された利用者 4 0がステップ S 5で自分の I Cカード 1 0 Cを端末 1 0のカードリーダ 1 7 に挿入すると、通信端末の制御部 1 1 はステップ S 6で了解信号 A C Kを交換局 2 0 に送る。

交換局 2 0の制御部 2 1 は A C K信号を送受信部 2 4で受信するとステップ S 7で乱数生成部 2 5の演算により乱数 Rを発生させ、通信端末 1 0 に送信する。端末 1 0の制御部 1 1 は受信された乱数 Rをステップ S 8で I Cカード 1 0 Cに転送し、秘匿キーを要求する。 I Cカード 1 0 Cの制御部 1 1 Cはステップ S 9 で利用者固有情報 U Kをメモリ 1 9 Cから読みだし、キー生成部 1 2 Cに乱数 R と固有情報 U Kから秘匿キー K = F ( R , U K ) を演算させ、端末制御部 1 1 に返送する。一方交換局 2 0においても生成した乱数 Rと受信した固有情報 U Kからステップ S 1 0でキー生成部 2 2 に秘匿キー1( =？ ( R , U K ) を演算させる。以降、交換局 2 0の秘匿実行部 2 3 は秘匿キー Kを使って着信した通信情報を秘匿化し、送受信部 2 4から端末 1 0 に送信し、端末 1 0から受信された秘匿化通信情報を秘匿キー Kにより秘匿解除して発信元に送信する。一方端末 1 0は交換局 2 0から受信した秘匿化通信情報を秘匿実行部 1 3で秘匿解除して出力し、利用者 4 0の通信情報を秘匿キー Kにより秘匿化して送受信部 1 4から交換局 2 0 に送信する。

このように利用者 4 0の固有な情報 U Kを使って秘匿化通信情報で端末 1 0 と交換局間の送受信が実行されるため、通信端末 1 0を使う利用者 4 0が変われば秘匿化キーの生成に使われる固有情報 U Kも変更されるので、常に同一の端末固有情報 T Kを使ってキーを生成する場合よりも通信の秘匿性を高めることができる。図 2の場合、利用者固有情報 U Kを使った秘匿キーの生成は I Cカード 1 0 Cで行うため、通信端末 1 0のキー生成部 1 2 は不要であるが、利用者が I C力ード 1 0 Cを使用しない場合は、利用者 4 0が予めデータベース 3 0に着信端末 1 0の登録を行う際に、テンキー入力部 1 6から自分の通信番号 P I Dと固有情報 U Kを入力し、利用者惰報メモリ 1 9に保持しておけば、乱数 R受信後にそのメモリ 1 9から利用者固有情報 U Kを読みだし、ステップ S 9の秘匿牛一の生成 K = F ( , UK) を通信端末 1 0のキ一生成部 1 2で行うことができる。あるいは、テンキー入力部 1 6で固有情報 U Kを入力する代わりに例えば固有情報 U Kが記録された磁気カードをカードリーダ 1 7に挿入して読み取ってもよい。またこの実施例では、交換局 2 0が通信端末 1 0から了解信号 A C Kを受信してから乱数 Rをステツプ S 7で生成する場合を示したが、図 2中に破線のボックス S 7で示すように着信有りを検出後、ステップ S 3で通信番号 P I Dを送信するまでの間の任意のタィミングで乱数 Rを生成し、ステツプ S 3で P I Dと共に通信端末 1 0に送信してもよい。その場合、通信端末 1 0はステップ S 6の了解信号 A C Kの送出を省略できる。以下の他の実施例においても同様である。

この発明の第 2の観点では第 1の観点による通信情報の秘匿性を更に向上させるため、利用者固有情報 UKと端末固有情報 TKの 2つを使って秘匿キーを生成する。図 3はその場合の秘匿制御シーケンス例を示す。この秘匿制御シーケンスはほぼ図 2の場合と同様であるが以下の点で異なる。即ち、図 3においてデータベース 3 0はステップ S 1で交換局 2 0から送られた着信先 P I Dを受信するとステップ S 2で前述のように加入者データメモリ 3 3から対応する固有情報 UK と着信登録端末識別番号 S I Dを読み出すが、この実施例では更に端末データメモリ 3 2からその識別番号 S I Dに対応する固有情報 TKを読みだして UK, S I Dと共に交換局 2 0に送る。また通信端末 1 0はステップ S 9で I Cカード 1 0 Cにより生成されたキー K , = F (R, UK) と端末情報メモリ 1 5から読みだした端末固有情報 TKとを使ってステップ S 1 1で秘匿キー K = F (Κ , , T K) をキー生成部 1 2により計算して秘匿実行部 1 3に与える。一方、交換局 2 0においてもステップ S 1 0で秘匿キー Kとして K= F. (R, UK, TK) = F (Κ ,, TK) ただし Κ , = F (R, UK) を計算し、秘匿実行部 2 3に与える。その他の制御手順は図 2の場合と同様であり説明を省略する。

この発明の第 3の観点では秘匿キーの生成を上記第 1及び第 2の観点による 2 つの方法（それぞれ方法 A, Bとする）と端末固有情報 TKに基づいて生成する方法（方法 Cとする）の場合の 3通りの何れかを選択して使用する。このため加入者データメモリ 3 3 には図 4 Aに示すように各利用者の通信番号 P I Dに対応させて更にキー生成方法 A, B , Cのいずれかの選択を指定するキー選択情報 K Sが記憶されている。この場合の制御シーケンスの実施例を図 4 に示す。図 4 においてキー選択情報 K Sが A , B, Cのいずれか 1 つまたは 2つのみに係わる処理の移行は破線で示し、それに隣接して（）中に A, B , C等の係わる記号を示してある。

交換局 2 0に着信先を通信番号 P I Dとする着信呼が生じると制御部 2 1 はステツプ S 1 でその通信番号 P I Dをデータベース 3 0 に送り利用者情報の要求を行う。データベース 3 0 はステップ S 2で加入者データメモリ 3 3から P I Dに対応する固有情報 U K、着信登録端末識別番号 S I D、キー選択情報 K Sを読みだし、交換局 2 0 に送る。交換局 2 0の制御部 2 1 は受信した端末識別番号 S I Dに対応する端末 1 0 にステップ S 3で着信先通信番号 P I Dを送ると、端末 1 0の制御部 1 1 はステップ S 4で表示部 1 8にその P I Dまたは対応する利用者の名前を表示する。該当する利用者 4 0が自分の I Cカード 1 0 Cをステップ S 5で力一ドリーダ 1 7へ揷入すると制御部 1 1 は了解信号 A C Kをステップ S 6 で交換局 2 0に送信する。一方、交換局制御部 2 1 はステップ S 7でキー選択情報 K S力《、 A, Bまたは Cの何れであるか判別する。キー選択情報 K Sが Bまたは Cである場合はステップ S 8で端末識別番号 S I Dをデータベース 3 0 に送つて、端末固有情報を要求する。データベース 3 0はステップ S 9で端末データメモリ 3 2から S I Dに対応する端末固有情報 T Kを読みだし交換局 2 0 に返送する。

交換局制御部 2 1 は先にステツプ S 6で受信した了解信号 A C Kに応答してステツプ S 1 0で乱数 Rを生成し、先にデータベース 3 0から得たキー選択情報 K Sと共に端末 1 0 に送信する。端末制御部 1 1 はステップ S 1 1 で受信したキー選択情報 K Sを判別し、キー選択情報 K Sが Aまたは Bの場合は受信した乱数 R をステップ S 1 2で I Cカード 1 0 Cに転送する。 I Cカード制御部 1 1 Cは受けた乱数 Rと利用者情報メモリ 1 9 Cから読みだした利用者固有情報 U Kとからステップ S 1 3でキー生成部 1 2 Cによりキー K , = F ( R , U K ) を生成させ、端末制御部 1 1 に返送する。制御部 1 1 はキー選択情報 K Sが A, Bまたは Cの場合、それぞれスチップ S 1 4 A, S 1 4 Bまたは S 1 4 Cにおいてそれぞれ秘匿キー Kを生成する。即ち、 K S = Aの場合は先に I Cカード 1 0 Cから受けた利用者情報 UKに基づく秘匿キー K , = F (R, UK) をステップ S I 4 Aでそのまま秘匿キー Kとして秘匿実行部 1 3に与える。 K S = Bの場合は先に I C力ード 1 0 Cから受けた利用者情報 UKによる秘匿キー K , と端末情報メモリ 1 5 から読みだした端末固有情報 TKとからステツプ S 1 4 Bでキー生成部 1 2により秘匿キー K= F (K , , TK) を生成し、秘匿実行部 1 3に与える。 K S = C の場合は、端末情報メモリ 1 5から読みだした端末固有情報 TKと乱数 Rとからステップ S 1 4 Cにおいてキー生成部 1 2により秘匿キー K = F (R, TK) を生成し、秘匿実行部 1 3に与える。

交換局 2 0においても、まずキー選択情報 K Sが Aまたは Bの場合はステッブ S 1 5で利用者固有情報 UKと乱数 Rとから秘匿キ一K , = F (R, UK) をキ一生成部 2 2により生成する。更にキー選択情報 K Sが A、 Bまたは Cの何れであるかに従って先のステップ S 1 4 A, S 1 4 Bまたは S 1 4 Cとそれぞれ同様にステップ S 1 6 A, S 1 6 Bまたは S 1 6 Cにおいて秘匿キー K = K , . K = F (Κ , , TK) または K= F ( , TK) を生成し秘匿実行部 2 3に与える。以降、通信端末 1 0と交換局 2 0間の通信情報の送受信は秘匿実行部 1 3、 2 3 において送信の場合は通信情報を秘匿化し、受信の場合は秘匿解除して行う。図 4の実施例において加入者データメモリ 3 3に記憶しておくキー選択情報 K Sである A, B, Cは各加入者に対しデータベース 3 0あるいは各加入者自身が定期的に任意に変更することにより、情報通信の秘匿性を更に高めることができる。この実施例においてもステツプ S 7の乱数生成を破線のボッタス S 7で示すように、着信が生じた後直ちに乱数 Rを生成し、ステップ S 3で通信番号 P I Dと共に乱数 R及びキー選択情報 K Sを通信端末 1 0に送信してもよい。この場合もステツブ S 6の了解信号 A C K送出を省略できる。また、データベース 3 0はステップ S 2において読みだした UK, S I D, K Sを送出する際に、キー選択情報 K Sを判別し、 K Sが Bまたは Cであった場合、端末識別番号 S I Dに対応する端末固有情報 TKをメモリ 3 2から読みだし、 UK, S I D, K Sと共に交換局 2 0 に送信してもよい。この場合、ステップ S 8， S 9を省略する。

図 2、 3及び 4 に示した実施例では利用者 4 0 に対する着信の場合を説明したが、上述の第 1、第 2及び第 3の観点によるこの発明は利用者 4 0が発信する場合における通信端末 1 0 と交換局 2 0 との間の情報通信の秘匿化にも適用できる。例えば、前述の第 3の観点による通信情報の秘匿化を適用した場合の秘匿制御シーケンス例を図 5 に示す。この場合も利用者 4 0 は I Cカード 1 0 Cを使う場合に付いて説明する。

ステップ S 1 で利用者 4 0が I Cカード 1 0 Cを端末 1 0のカードリーダ 1 7 に挿入し、着信先加入者の通信番号 P I D dをテンキー入力部 1 6で入力すると、ステップ S 2で I Cカード 1 0 Cの利用者情報メモリ 1 9 Cから読みだした利用者 4 0の通信番号（即ち発信元番号） P I Dと、通信端末 1 0の端末情報メモリから読みだした端末識別番号 S I Dと共に着信先通信番号 P I D dを交換局 2 0 に送信する。交換局 2 0の制御部 2 1 は受信した発信元通信番号 P I Dをステツプ S 3でデータベース 3 0に転送し、対応する利用者の情報を要求する。データベース 3 0 はステップ S 4で P I Dに対応する固有情報 U Kとキー選択情報 K S を加入者データメモリ 3 3から読みだして交換局 2 0 に送信する。交換局 2 0の制御部 2 1 は受信したキー選択情報 K Sをステップ S 5で判別し、 1 5が， B または Cの何れであるかにより利用者固有情報 U Kと乱数 Rのみを使ってキーを生成するか、利用者固有情報 U Kと端末固有情報 T Kの両方と乱数 Rを使ってキ一を生成するか、または端末固有情報 T Kと乱数 Rのみを使ってキーを生成するかを決定する。キー選択情報 K Sが Bまたは Cの場合は通信端末 1 0.から受信した端末識別番号 S I Dをステップ S 6でデータベース 3 0に送り端末固有情報を要求する。データベース 3 0 はステップ S 7で端末データメモリ 3 2から S I D に対応する端末固有情報 T Kを読みだし交換局 2 0 に送る。交換局 2 0 は選択情報 K Sが A, B , Cの何れの.場合も、ステップ S 8で乱数生成部 2 5 により乱数 Rを生成し、キー選択情報 K Sと共に通信端末 1 0に送信する。以下のステップ S 9〜 S 1 4 Cの処理は図 4 におけるステップ S 1 1〜 1 6 Cの処理手順と同様であるので説明を省略する。この実施例においても図 4 と同様にデータベース 3 0はステツブ S 2で読みだしたキー選択情報 K Sが Bまたは Cの場合は、端末識別番号 S I Dに対応する固有情報 T Kをメモリ 3 2から読みだし、 U K， K Sと共に交換局 2 0 に送信してもよい。また図 5 のシーケンスから図 2及び 3 に示した第 1 または第 2 の観点による発明を利用者の発信制御シーケンスに適用する場合は図 5 において Aまたは Bに係わるシーケンスに従って実行すればよいので説明を省略する。なお、図 4及び図 5 の実施例においては 3つのキー生成方法の何れか 1 つを選択する場合を説明したが、これらのうち、任意の 2つの方法を予め決めたキー生成方法とし、その何れか 1 つをキー選択情報 K S に従って選択してもよいことは明かである。

上記のように、この発明によれば、パーソナル通信を実現する通信網において、通信端末一交換局間で送受される通信情報に秘密化を行う場合、通信端末が同一であっても、その通信端末を使用する利用者が異なれば、秘密化を行う際の秘匿キーの生成に用いる情報が利用者ごとに異なるため、それだけ秘匿が強化される。

Claims

請求の範囲

1 . 端末識別番号 S I Dとそれに対応する端末固有情報 T Kとを有する通信端末と交換局でそれぞれ同一の秘匿ヰ一を生成し、その秘匿キーを用いて、上記通信端末と上記交換局との間で送受される通信情報を秘匿化するパーソナル通信の秘匿制御方法において、データベースに予め各利用者の通信番号 P I Dと対応させてその利用者に固有の情報 U Kを記憶させてあり、上記方法は以下のステツブを含む：

上記交換局は：

(a) 上記データベースから利用者の通信番号 P I Dに対応する上記固有情報 U Kを得て、

(b) 乱数 Rを生成し、

(c) 少なくとも上記乱数 Rと上記固有情報 U Kとに基づいて秘匿キー Kを生成し、

(d) 上記秘匿キー Kを使って通信端末へ送信すべき通信情報を秘匿化し、上記通信端末から受信した秘匿化通信情報を秘匿解除し、上記通信端末は：

(e) 上記交換局から上記乱数 Rを受信し、

(f) 少なくとも上記通信端末に入力された上記固有情報 U Kと上記乱数 R とに基づいて秘匿キー Kを生成し、

(g) 上記秘匿キー Kを使って上記交換局へ送信すべき通信情報を秘匿化し、上記交換局から受信した秘匿化通信情報を秘匿解除する。

2. 請求項 1項に記載の方法において、上記データベースには上記通信端末に対応する端末固有情報 T Kが記憶されており、上記ステップ（a) は上記データべ一スから上記通信端末に対応する上記固有情報 T Kを上記利用者固有情報 U Kと共に読みだし、上記ステップ（c) は上記乱数 Rと上記利用者固有情報 U Kと上記端末固有情報 T Kとから上記秘匿キー Kを生成し、上記ステップ（f) は上記乱数 R と上記利用者面有情報 U Kと上記端末固有情報 T Kとから上記秘匿キー Kを生成する。

3 . 端末識別番号 S I Dとそれに対応する端末固有情報 T Kとを有する通信端末と交換局でそれぞれ同一の秘匿キーを生成し、その秘匿キーを用いて、上記通信端末と上記交換局との間で送受される通信情報を秘匿化するパーソナル通信の秘匿制御方法において、データベースに予め各利用者の通信番号 P I Dと対応させてその利用者に固有の情報 U Kとキー選択情報 K Sを記憶させ、かつ各通信端末の端末識別番号 S I Dと対応させて上記端末固有情報 T Kを記憶させてあり、上記キ一選択情報 K Sは上記利用者固有情報 U K及び上記端末固有情報 T Kのいずれか一方または両方と乱数 Rとに基づいて秘匿キー Kを生成する複数の予め決めた方法の何れの 1 つを選択するかを表す情報であり、上記方法は以下のステツプを含む：

上記交換局は：

(a) 上記データベースから利用者の通信番号 P I Dに対応する上記固有情報 U Kと上記キー選択情報 K Sを得て、

(b) 乱数 Rを生成し、

(c) 上記キー選択情報 K Sからキー生成方法を判別して、判別された上記キー生成方法により秘匿キ一 Kを生成し、

(d) 上記乱数 Rと上記キー選択情報 K Sを上記通信端末に送信し、

(e) 上記秘匿キー Kを使って通信端末へ送信すべき通信情報を秘匿化し、上記通信端末から受信した秘匿化通信情報を秘匿解除し、上記通信端末は：

(f) 上記交換局から上記乱数 Rと上記キー選択情報 K Sを受信し、

(g) 上記キー選択情報からキー生成方法を判別して、判別された上記

キー生成方法により秘匿キー Kを生成し、

(h) 上記秘匿キー Kを使って上記交換局へ送信すべき通信情報を秘匿化し、上記交換局から受信した秘匿化通信情報を秘匿解除する。

4. 請求項 3項に記載の方法において、上記複数のキー生成方法は上記利用者固有情報 U Kと上記乱数 Rとに基づいて上記秘匿キーを生成する方法と、上記利用者固有情報 U Kと上記端末面有情報 T Kと上記乱数 Rとに基づいて上記秘匿キーを生成する方法を含む。

5. 請求項 3項に記載の方法において、上記複数のキー生成方法は上記利用者固有情報 U Kと上記乱数 Rとに基づいて上記秘匿キーを生成する方法と、上記端末固有情報 T Kと上記乱数 Rとに基づいて上記秘匿キーを生成する方法を含む。

6. 請求項 5に記載の方法において、上記複数のキー生成方法は上記利用者固有情報 U Kと上記端末固有情報 T Kと上記乱数 Rとに基づいて上記秘匿ヰ一を生成する方法を含む。

7 . 請求項 1、 2または 3項に記載の方法において、上記通信端末における上記秘匿キー Kを生成するステツプは上記利用者が上記通信端末に挿入した自分の I Cカードにおいて受信した上記乱数 Rと上記 I Cカードに保持されている上記利用者固有情報 U Kとから上記 I Cカード内で上記秘匿キー Kを生成して上記通信端末に出力するステツプを含む。

8. 請求項 1、 2または 3項に記載の方法において、上記通信端末における上記秘匿キー Kを生成するステツプは上記利用者が上記通信端末に挿入した自分の I Cカードにおいて受信した上記乱数 Rと上記 I Cカードに保持されている上記利用者面有情報 U Kとから上記 I Cカード内で 1次キー K , を生成して上記通信端末に出力し、上記通信端末内において上記 1次キー K , と上記通信端末内に保持されている上記端末固有情報 T Kとから上記秘匿キー Kを生成するステツプを含む。

9. 請求項 1、 2または 3項に記載の方法において、上記通信端末における上記秘匿キー Kを生成するステツプは上記利用者が上記通信端末に挿入した磁気力一ドに保持されている上記利用者固有情報 U Kを読み出すステツプを含む。