WO2008068976A1

WO2008068976A1 - ネットワークシステム、サーバ、クライアント及びネットワークシステムにおける通信方法

Info

Publication number: WO2008068976A1
Application number: PCT/JP2007/070996
Authority: WO
Inventors: Masato Yoshikawa
Original assignee: Nec Corporation
Priority date: 2006-12-04
Filing date: 2007-10-29
Publication date: 2008-06-12

Abstract

携帯端末機器など、処理能力が低く、記憶容量の小さなクライアントに対しても、安全に鍵情報を届けることができるネットワークシステムを提供することを課題とする。標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行う標準実装暗号化処理部に対して、鍵情報を取得したい旨の要求情報を引き渡す。標準実装暗号化処理部から、暗号化された前記要求情報を受け取る。当該要求情報を、サーバへ送信する。鍵情報を含み、サーバから返信される応答情報を受信したときに、当該応答情報を、標準実装暗号化処理部に引き渡す。標準実装暗号化処理部から、復号化された応答情報を受け取る。当該応答情報に含まれる鍵情報を保存する。

Description

明細書

ネットワークシステム、サーバ、クライアント及びネットワークシステムにおける通信方法

技術分野

[0001] 本発明は、ネットワークシステム、サーバ、クライアント及びネットワークシステムにおける通信方法に関する。なお、この出願は、 2006年 12月 4日に出願された特許出願番号 2006— 327503号の日本特許出願に基づいており、その出願による優先権の利益を主張し、その出願の開示は、引用することにより、そっくりそのままここに組み込まれている。

背景技術

[0002] 暗号化処理機能には、 RFC (Request for Comments) 2246, RFC4346に記載されているような TLS機能が知られる。 TLSは、 Transport Layer Securityの略称であり、公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などのセキュリティ技術を組み合わせて、通信データの盗聴や改ざん、なりすましを防ぐ機能を提供する。

[0003] 図 1は、関連技術の説明図である。図 1の例では、対の鍵を使用して、データの喑号化や復号化を行う公開鍵暗号方式を使用している。図 1において、サーバ 100は、暗号化鍵 (公開鍵） 101と復号化鍵 (秘密鍵） 102とを保有している。暗号化鍵 (公開鍵） 101は、ユーザに公開される鍵であり、暗号化鍵 (公開鍵） 101で暗号化された情報は、対の復号化鍵 (秘密鍵） 102でのみ復号化することができる。復号化鍵 (秘密鍵） 102は、サーバ 100内で漏洩しないよう、厳重に保持しておく必要がある。サーバ 100は、暗号化鍵 (公開鍵） 101を公開し (ステップ 120)、要求に応じて、暗号化鍵（公開鍵） 101をクライアント 110へ送信する。クライアント 110では、共通鍵 112を生成し、取得した暗号化鍵 (公開鍵） 111で、共通鍵 112を暗号化する（ステップ 113)。クライアント 110は、共通鍵 112を暗号化した後、サーバ 100に、暗号化された共通鍵 121を送信する。暗号化された共通鍵 121を取得すると、サーバ 100では、暗号化鍵 (公開鍵） 101と対の復号化鍵 (秘密鍵） 102を使用して、暗号化された共通鍵 12 1を、復号化する（ステップ 103)。これにより、サーバ 100とクライアント 110との間で、共通となる共通鍵 104, 112を保有すること力 Sできる。以降は、クライアント 110がサーバ 100に対して要求を行う際、平文 114を、生成した共通鍵 112で暗号化し (ステップ 115)、暗号文 122を、サーバ 100に送信する。サーバ 100は、保有する共通鍵 104によって、暗号文 122を復号化し（ステップ 105)、元の平文 106に戻す。以上説明した関連技術では、クライアント 110において、アプリケーションソフトウェア力喑号化鍵 (公開鍵） 111を取得すると共に、平文 114を暗号化する共通鍵 112を秘匿化する。この秘匿化のために、当該アプリケーションソフトウェアには、 TLS機能の様に、共通鍵 112を暗号化鍵 (公開鍵） 111で暗号化する暗号化ロジック (ステップ 113 )を、実装する必要があった。しかし、アプリケーションソフトウェアに、暗号化鍵 (公開鍵） 111による暗号化ロジックを実装すると、アプリケーションソフトウェアのサイズ増加に繋がり、例えば、保存可能なアプリケーションソフトウェアのサイズに制限がある携帯電話機などに登録する場合に問題となる。

[0004] 通信データの暗号化に関連する先行技術文献としては、特開 2002— 232413号公報、特開 2003— 005640号公報、特開 2003— 043916号公報、特開 2006— 1 71892号公幸 I特開 2006— 254284号公幸などカ失口られる。特開 2002— 23241 3号公報に記載された「ホームページデータの生成方法」の発明においては、公開鍵と秘密鍵との組を生成する。前記公開鍵を予め用意したデジタルデータに電子透力、しで埋め込んで公開鍵デジタルデータを生成する。さらに、前記公開鍵データを含むホームページデータを生成する。特開 2002— 232413号公報における実施の形態では、サーバが、音声ファイルに公開鍵を電子透かしとして埋め込む。クライアントでは、 HTMLコンテンツに埋め込まれた音声ファイルをブラウザを経由して受け取り、電子透かしを解析することで、鍵情報を取得する。よって、サーバ側では、鍵情報を秘匿化するために、音声データに電子透かしを埋め込む機能を実装する。また、クライアント側では、受信した音声データを解析し、電子透かしが埋め込まれていることを認識し、電子透力、しを音声データから分離する機能が必要になる。

[0005] 特開 2003— 005640号公報に記載された「クライアント端末における公開鍵証明書処理装置」の発明においては、入力する手段は、所定の URLの記述を含むクライアント用公開鍵証明書とアクセス先 URLとを入力する。取得する手段は、上記クライアント用公開鍵証明書の上記所定の URLの記述に基づいて上記所定の URLから情報を取得する。送出する手段は、上記アクセス先 URLに対して所定の要求を送出する。

[0006] 特開 2003— 043916号公報に記載された「コンピュータ」の発明においては、自身の公開鍵及び秘密鍵を備える。また、ウェブページのコンテンツを記憶する。生成する手段は、前記公開鍵から URLを生成する。作成する手段は、前記コンテンツのデータを前記秘密鍵を用いて暗号化してデジタル署名を作成する。記憶する手段は、前記 URLを、前記デジタル署名を含む前記コンテンツと対応付けて記憶する。

[0007] 特開 2006— 171892号公報に記載された「ウェブサイト所有者情報伝達方法」の発明においては、アクセスするステップは、 SSL (Secure Socket Layer)暗号化通信用の公開鍵を含むサーバ証明書を有しているウェブサーバにユーザ端末のブラウザでアクセスする。読み込むステップは、前記ウェブサーバから前記ユーザ端末に HTML (Hyper Text Markup Language)データを読み込む。要求するステップは、前記 HTMLデータに含まれるリンクに基づき検証要求受付サーバにプログラムのダウンロードを要求する。プログラムを前記ユーザ端末に送信するステップは、前記要求に応じて予め定められたプログラムを前記ユーザ端末に送信する。 URL ( Uniform Resource Locator)を取得するステップは、前記プログラムにより前記サーバ証明書の識別情報及び前記ユーザ端末でアクセスしたウェブサーバの URL (Uniform Resource Locator)を取得する。前記検証要求受付サーノに送信するステップは、前記サーバ証明書の識別情報及び前記ユーザ端末でアクセスしたゥエブサーバの URLを含む検証要求を生成して前記検証要求受付サーバに送信する。検索するステップは、前記検証要求に含まれる前記サーバ証明書の識別情報に基づき前記ウェブサーバに係る所有者情報及び URLを検索する。比較するステップは、検索された URLを前記検証要求に含まれる URLと比較する。音声データを取得するステップは、両方の URLがー致したときに前記ウェブサーバに関する音声データを取得する。音声データを前記ユーザ端末へ送信するステップは、前記ウェブサーバに係る所有者情報及び取得した前記音声データを前記ユーザ端末へ送信する。報知するステップは、前記ウェブサーバに係る所有者情報及び取得した前記音声データを受けて、前記ユーザ端末で前記ウェブサーバに係る情報を報知する。

[0008] 特開 2006— 254284号公報に記載された「マルチキャスト配信システム」の発明においては、配信サーバから有料放送及びコンテンツをマルチキャストによりユーザ機器に配信する。前記配信サーバは、配信データを配信サービスのチャンネル単位に個別に共通鍵で暗号化してマルチキャスト配信する。前記ユーザ機器から前記配信サーノに Webブラウザによりアクセスして配信サービスを選択可能にする。該選択した配信サービスの共通鍵を該ユーザ機器に Webページから配信する。該ユーザ機器でマルチキャスト配信された配信データを、該共通鍵により復号化する。

発明の開示

[0009] 本発明の課題は、携帯端末機器など、処理能力が低ぐ記憶容量の小さなクライアントに対しても、安全に鍵情報を届けることができるネットワークシステムを提供することである。本発明の他の課題は、当該クライアントにより、上記鍵情報を用いて、安全に暗号化通信を行うことを実現することである。

[0010] 本発明によるネットワークシステムにおいては、クライアントと、サーバと、クライアントとサーバとを接続するネットワークとを具備する。クライアントにおいては、通信管理部は、サーバとの間で通信情報を送受信する。標準実装暗号化処理部は、標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行う。情報蓄積部は、情報を保存する。アプリケーション暗号化処理部は、情報蓄積部に保存される鍵情報を用いて、送信情報の暗号化及び受信情報の復号化を行う。アプリケーション基本処理部は、標準実装暗号化処理部へ暗号化すべき要求情報を引き渡し、また、標準実装暗号化処理部から復号化された応答情報を受け取ると共に、アプリケーション暗号化処理部へ暗号化すべき要求情報を引き渡し、また、ァプリケーシヨン暗号化処理部から復号化された応答情報を受け取る。さらに、アプリケーシヨン基本処理部は、サーバから鍵情報を取得するときには、鍵情報を取得したい旨の要求情報を、標準実装暗号化処理部によって暗号化すると共に、鍵情報を含む応答情報を受信したときには、応答情報を、標準実装暗号化処理部によって復号化する。また、サーバにおいては、サーバ通信管理部は、クライアントとの間で通信情報を送受信する。サーバ標準実装暗号化処理部は、標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行う。サーバ情報蓄積部は、情報を保存する。サーバアプリケーション暗号化処理部は、サーバ情報蓄積部に保存されるサーバ鍵情報を用いて、送信情報の暗号化及び受信情報の復号化を行う。サーバアプリケーション基本処理部は、サーバ標準実装暗号化処理部から復号化された要求情報を受け取り、また、サーバ標準実装暗号化処理部へ暗号化すべき応答情報を引き渡すと共に、サーバアプリケーション暗号化処理部から復号化された要求情報を受け取り、また、サーバアプリケーション暗号化処理部へ暗号化すべき応答情報を引き渡す。さらに、サーバアプリケーション基本処理部は、クライアントから鍵情報を取得したい旨の要求情報を受信したときには、サーバ標準実装喑号化処理部によって要求情報を復号化すると共に、鍵情報とサーバ鍵情報とを生成し、クライアントに渡す鍵情報については、この鍵情報を含む応答情報を、サーバ標準実装暗号化処理部によって暗号化する。

本発明によるネットワークシステムにおいては、サーバは、クライアントに対して、鍵情報の更新を指示する鍵更新指示部を更に具備する。クライアントは、サーバに対して、新しい鍵情報を要求する鍵要求処理部を更に具備する。また、サーバにおいては、クライアントから、鍵情報を用いて暗号化された要求情報を受信した場合において、鍵更新指示部が、鍵情報を更新すべきことを指示しているときには、鍵情報を更新すべきことを指示する旨の応答情報を作成し、この応答情報を、サーバ鍵情報を用いて暗号化し、返信する。一方、クライアントにおいては、鍵情報を用いて、暗号化した要求情報を送信した後、サーバから応答情報を受信し、この応答情報を鍵情報を用いて復号化した場合において、応答情報が、鍵情報を更新すべきことを指示していたときには、鍵要求処理部によって、鍵要求処理を開始する。本発明によるネットワークシステムにおいては、クライアントは、鍵要求処理が開始されたとき、アプリケーシヨン基本処理部が、新しい鍵を要求する要求情報を、標準実装暗号化処理部によって暗号化する。かつ、クライアントにおいては、新しい鍵情報を含む応答情報をサーバから受信したときには、この応答情報を、標準実装暗号化処理部によって復号化する。また、サーバは、クライアントから、新しい鍵情報を要求する要求情報を受信したときには、この要求情報を、サーバ標準実装暗号化処理部によって復号化し、かつ、新しい鍵情報を含む応答情報を、サーバ標準実装暗号化処理部によって喑号化して、この応答情報をクライアントへ返信する。

本発明によるネットワークシステムにおいては、クライアントは、 Webページを閲覧する Webブラウザ部と、サーバ力、らアプリケーションプログラムをダウンロードするァプリケーシヨンダウンロード処理部と、サーバからダウンロードしたアプリケーションプログラムを保存するクライアントアプリケーション保存部とを具備する。アプリケーションダウンロード処理部は、ある特定のアプリケーションプログラムをダウンロードするための Webページのアドレスが指定された場合に、この Webページを要求する要求情報を、標準実装暗号化処理部によって暗号化して送信する。また、アプリケーションダウンロード処理部は、サーバから応答情報として Webページが届いたときには、この応答情報を、標準実装暗号化処理部によって復号化する。また、アプリケーションダウンロード処理部は、 Webページにおいて、特定のアプリケーションプログラムをダウンロードするためのリンクを指定する操作が為された場合に、このリンクに対して、ノラメータとして付与された鍵情報を、一時的に保持する。また、アプリケーションダウン口ード処理部は、ダウンロードの要求情報を、サーバへ送信する。また、アプリケーションダウンロード処理部は、サーバから、応答情報として、特定のアプリケーションプログラムが届いたときには、このプログラムをクライアントアプリケーション保存部に保存する。また、アプリケーションダウンロード処理部は、特定のアプリケーションプロダラムの起動、若しくはその他の所定の事象を契機として、一時的に保持した鍵情報を、情報蓄積部に保存する。一方、サーバは、クライアントに Webページを提供する Web サーバ部と、クライアント向けに作成されたアプリケーションプログラムを保存するクライアントアプリケーション蓄積部と、クライアントアプリケーション蓄積部から読み出したアプリケーションプログラムを、クライアントに提供するクライアントアプリケーション提供部とを具備する。クライアントアプリケーション提供部は、クライアントから、特定のァプリケーシヨンプログラムをダウンロードするための Webページの要求情報を受信したときに、この要求情報を、サーバ標準実装暗号化処理部によって復号化する。また、クライアントアプリケーション提供部は、 Webページを載せた応答情報を、サーバ標準実装暗号化処理部によって暗号化して、クライアントへ送信する。ここで、 Webぺージは、特定のアプリケーションプログラムをダウンロードするためのリンクを有すると共に、このリンクに対しては、鍵情報をパラメータとして付与しているものである。また、クライアントアプリケーション提供部は、クライアントから、特定のアプリケーションプログラムをダウンロードする要求情報を受信したときに、クライアントアプリケーション蓄積部から特定のアプリケーションプログラムを読み出して、特定のアプリケーションプログラムを、クライアントへ、応答情報として送信する。

[0013] 本発明によるネットワークシステムにおいては、上記標準実装される暗号化通信プロトコルは、 Webサーバと Webブラウザとがデータを送受信するために使用するプロトコルに、データの暗号化機能を付加したプロトコルである。また、本発明によるネットワークシステムにおいては、上記使用するプロトコルは、 HTTPプロトコルであり、上記データの暗号化機能は、 SSL機能、又は、 TLS機能のいずれかである。

[0014] 本発明によるネットワークシステムが具備するクライアントで使用されるプログラムにおいては、以下の手順をコンピュータに実行させる。要求情報を引き渡す手順は、クライアントに標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行う標準実装暗号化処理部に対して、鍵情報を取得したい旨の要求情報を、引き渡す。要求情報を受け取る手順は、上記標準実装暗号化処理部によって暗号化された上記要求情報を、受け取る。送信する手順は、当該要求情報を、サーバへ送信する。応答情報を引き渡す手順は、上記鍵情報を含み、上記サーバから返信される応答情報を受信したときに、当該応答情報を、上記標準実装喑号化処理部に引き渡す。応答情報を受け取る手順は、上記標準実装暗号化処理部によって復号化された上記応答情報を、受け取る。保存する手順は、当該応答情報に含まれる鍵情報を、保存する。また、本発明によるネットワークシステムで使用されるプログラムにおいては、以下の手順をコンピュータに実行させる。暗号化する手順は、上記鍵情報を用いて、送信情報を暗号化する。復号化する手順は、上記鍵情報を用いて、受信情報を復号化する。また、本発明によるネットワークシステムで使用されるプログラムにおいては、以下の手順をコンピュータに実行させる。鍵要求処理を開始する手順は、上記鍵情報を用いて、暗号化した要求情報を上記サーバへ送信した後、上記サーバから応答情報を受信し、当該応答情報を、上記鍵情報を用いて復号化した場合において、上記応答情報が、鍵情報を更新すべきことを指示していたときには、鍵要求処理を開始する。要求情報を引き渡す手順は、鍵要求処理が開始されたとき、新しい鍵を要求する要求情報を、上記標準実装暗号化処理部に引き渡す。要求情報を受け取る手順は、上記標準実装暗号化処理部から、暗号化された上記要求情報を、受け取る。サーバへ送信する手順は、当該要求情報を、上記サーバへ送信する。応答情報を引き渡す手順は、新しい鍵情報を含む応答情報を上記サーバから受信したときには、当該応答情報を、上記標準実装暗号化処理部に引き渡す。応答情報を受け取る手順は、上記標準実装暗号化処理部から、復号化された上記応答情報を、受け取る。保存する手順は、当該応答情報に含まれる、上記新しい鍵情報を、保存する。

本発明によるネットワークシステムが具備するサーバで使用されるプログラムにおいては、以下の手順をコンピュータに実行させる。要求情報を引き渡す手順は、クライアントから鍵情報を取得したい旨の要求情報を受信したときに、サーバに標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行うサーバ標準実装暗号化処理部に対して、上記要求情報を、引き渡す。要求情報を受け取る手順は、上記サーバ標準実装暗号化処理部から、復号化された上記要求情報を、受け取る。生成する手順は、当該要求情報に基づいて、上記クライアントに返信する鍵情報と、当該鍵情報に対応するサーバ鍵情報とを生成する。保存する手順は、上記サーバ鍵情報を、保存する。応答情報を引き渡す手順は、上記鍵情報を含む応答情報を、上記サーバ標準実装暗号化処理部に引き渡す。応答情報を受け取る手順は、上記サーバ標準実装暗号化処理部から、暗号化された上記応答情報を、受け取る。返信する手順は、当該応答情報を、上記クライアントへ返信する。また、本発明によるネットワークシステムで使用されるプログラムにおいては、以下の手順をコンピュータに実行させる。暗号化する手順は、上記サーバ鍵情報を用いて、送信情報を暗号化する。復号化する手順は、上記サーバ鍵情報を用いて、受信情報を復号化する。また、本発明によるネットワークシステムで使用されるプログラムにおいては、以下の手順をコンピュータに実行させる。受け付ける手順は、上記クライアントが有する鍵情報を更新すべきことを指示する更新指示を受け付ける。作成する手順は、上記クライアントから、上記鍵情報を用いて、暗号化された要求情報を受信した場合において、上記鍵情報の更新指示が為されているときには、鍵情報を更新すベきことを指示する旨の応答情報を作成する。暗号化する手順は、当該応答情報を、上記サーバ鍵情報を用いて暗号化する。返信する手順は、暗号化された上記応答情報を、上記クライアントへ返信する。要求情報を引き渡す手順は、上記クライアントから、新しい鍵情報を要求する要求情報を受信したときには、当該要求情報を、上記サーバ標準実装暗号化処理部に引き渡す。要求情報を受け取る手順は、上記サーバ標準実装暗号化処理部から、復号化された上記要求情報を、受け取る。作成する手順は、当該要求情報に基づいて、新しい鍵情報を含む応答情報を作成する。応答情報を引き渡す手順は、当該応答情報を、上記サーバ標準実装暗号化処理部に引き渡す。応答情報を受け取る手順は、上記サーバ標準実装暗号化処理部から、喑号化された上記応答情報を、受け取る。返信する手順は、当該応答情報を、上記クライアントへ返信する。

[0016] 本発明によるネットワークシステムが具備するクライアント又はサーバで使用されるプログラムを記録した記録媒体にぉレ、ては、この発明の開示欄に記載した上記少なくとも一つのプログラムを記録する。

[0017] 本発明によるネットワークシステムにおける通信方法においては、クライアント'ァプリケーシヨンが、標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行う標準実装暗号化処理部に対して、鍵情報を取得したい旨の要求情報を、引き渡す。クライアント 'アプリケーション力 S、標準実装暗号化処理部から、暗号化された前記要求情報を、受け取る。クライアント 'アプリケーションが、要求情報を、サーバ'アプリケーションへ送信する。クライアント 'アプリケーションが、鍵情報を含み、サーバ'アプリケーションから返信される応答情報を受信する。クライアント 'アプリケーションが、応答情報を、標準実装暗号化処理部に引き渡す。クライアント 'アプリケーションが、標準実装暗号化処理部から、復号化された応答情報を、受け取る。クライアント 'アプリケーションが、応答情報に含まれる鍵情報を保存する。本発明によるネットワークシステムにおける通信方法においては、更に、クライアント •アプリケーション力鍵情報を用いて、送信情報を暗号化する。クライアント 'アプリケーシヨンが、鍵情報を用いて、受信情報を復号化する。本発明によるネットワークシステムにおける通信方法においては、更に、鍵情報を用いて、暗号化した要求情報をサーバ ·アプリケーションへ送信した後、サーバ ·アプリケーションから応答情報を受信し、この応答情報を、鍵情報を用いて復号化した場合において、応答情報が、鍵情報を更新すべきことを指示していたときには、クライアント 'アプリケーション力鍵要求処理を開始する。鍵要求処理が開始されたとき、クライアント 'アプリケーションが、新しい鍵を要求する要求情報を、標準実装暗号化処理部に引き渡す。クライアント 'アプリケーションが、標準実装暗号化処理部から、暗号化された要求情報を、受け取る。クライアント 'アプリケーション力要求情報を、サーバ'アプリケーションへ送信する。クライアント 'アプリケーション力新しい鍵情報を含む応答情報をサーノアブリケーシヨンから受信する。クライアント 'アプリケーション力その応答情報を、標準実装暗号化処理部に引き渡す。クライアント 'アプリケーション力標準実装暗号化処理部から、復号化された応答情報を、受け取る。クライアント 'アプリケーション力この応答情報に含まれる、新しい鍵情報を、保存する。

本発明によるネットワークシステムにおける通信方法においては、サーバ'アプリケーシヨンが、クライアント 'アプリケーションから鍵情報を取得したい旨の要求情報を受信したときに、標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行うサーバ標準実装暗号化処理部に対して、要求情報を、引き渡す。サーバ'アプリケーションが、サーバ標準実装暗号化処理部から、復号化された要求情報を受け取る。サーバ'アプリケーションが、その要求情報に基づいて、クライアント 'アプリケーションに返信する鍵情報と、この鍵情報に対応するサーバ鍵情報とを生成する。サーノアプリケーション力サーバ鍵情報を、保存する。サーバ 'アプリケーションが、鍵情報を含む応答情報を、サーバ標準実装暗号化処理部に引き渡す。サーバ'アプリケーションが、サーバ標準実装暗号化処理部から、暗号化された応答情報を、受け取る。サーバ'アプリケーションが、この応答情報を、クライアント 'アプリケーションへ返信する。本発明によるネットワークシステムにおける通信方法においては、更に、サーバ'アプリケーションが、サーバ鍵情報を用いて、送信情報を暗号化する。サーバ'アプリケーションが、サーバ鍵情報を用いて、受信情報を復号化する。本発明によるネットワークシステムにおける通信方法においては、更に、サーバ 'アプリケーションが、クライアント 'アプリケーションから、鍵情報を用いて、喑号化された要求情報を受信した場合において、この鍵情報の更新指示を行うときには、鍵情報を更新すべきことを指示する旨の応答情報を作成する。サーバ ·アプリケーシヨンが、この応答情報を、サーバ鍵情報を用いて暗号化する。サーバ'アプリケーシヨンが、暗号化された応答情報を、クライアント 'アプリケーションへ返信する。サーバ 'アプリケーションが、クライアント 'アプリケーションから、新しい鍵情報を要求する要求情報を受信したときには、この要求情報を、サーバ標準実装暗号化処理部に引き渡す。サーバ'アプリケーションが、サーバ標準実装暗号化処理部から、復号化された要求情報を、受け取る。サーバ'アプリケーションが、この要求情報に基づいて、新しい鍵情報を含む応答情報を作成する。サーバ'アプリケーション力この応答情報を、サーバ標準実装暗号化処理部に引き渡す。サーノアプリケーション力サーバ標準実装暗号化処理部から、暗号化された応答情報を、受け取る。サーバ 'ァプリケーシヨンが、この応答情報を、クライアント 'アプリケーションへ返信する。

[0019] 本発明によるネットワークシステムにおける通信方法においては、上記標準実装される暗号化通信プロトコルは、 Webサーバと Webブラウザとがデータを送受信するために使用するプロトコルに、データの暗号化機能を付加したプロトコルである。また、本発明によるネットワークシステムにおける通信方法においては、上記使用するプロトコルは、 HTTPプロトコルであり、上記データの暗号化機能は、 SSL機能、又は、 T LS機能のいずれかである。

[0020] 本発明によれば、携帯端末機器など、処理能力が低ぐ記憶容量の小さなクライアントに対しても、安全に鍵情報を届けることができる。また、当該クライアントにより、上記鍵情報を用いて、安全に暗号化通信を行うことができる。

図面の簡単な説明

[0021] [図 1]図 1は、関連技術の説明図である。

[図 2]図 2は、本発明による第一の実施例における構成例を示すブロック図である。

[図 3]図 3は、本発明による第一の実施例における動作シーケンスを説明する図であ [図 4]図 4は、本発明による第二の実施例における構成例を示すブロック図である。

[図 5]図 5は、本発明による第二の実施例における動作シーケンスを説明する図であ

[図 6]図 6は、本発明による第三の実施例における構成例を示すブロック図である。

[図 7]図 7は、本発明による第三の実施例における動作シーケンスを説明する図であ発明を実施するための最良の形態

[0022] 本発明では、クライアントにダウンロード、インストール等されたアプリケーションソフトウエアが、サーバ並びにクライアントに標準実装される暗号化機能と連携して、セキユアに暗号化鍵を取得する。クライアントには、特に、モパイル通信機器、例えば、携帯電話機、 PDA (Personal Digital Assistants)、ノート型 PC (Personal Com puter)などが含まれる。近年のインターネット技術の普及と、情報通信機器の進歩により、モパイル通信機器においても、 Webページを閲覧したり、インターネット 'メールを送受信する機能が追加されるようになった。現在、多くのモパイル通信機器には、 HTTP (Hypertext Transfer Protocol)プロトコルと、その通信を暗号化する SS L機能や TLS機能が標準搭載されている。 SSL機能や TLS機能は、 HTTPプロトコルの他、モパイル通信機器に搭載されることがある FTP (File Transfer Protocol )プロトコルや Telnetプロトコルによる通信も暗号化可能である。本発明では、クライアントに標準実装される SSL機能や TLS機能、その他の暗号化機能との連携に着目して、サーバとクライアント間における鍵情報の交換を実現する。

[0023] (第一の実施例）

本発明による第一の実施例について、図面を参照して詳細に説明する。図 2に示すように、本発明による第一の実施例は、サーバ 200と、クライアント 210とが、ネットワークで接続される構成である。図 2では、説明を簡素化するため、クライアント 210とサーバ 200と力それぞれ 1台となっている。もちろん、いずれも、 1台であっても、または 2台以上であっても良い。つまり、サーバ 200にクライアント 210が複数接続されていても良い。クライアント 210は、図示することを省略してある力ユーザとの入出力インタフェースを保有する。入力インタフェースとして、例えば、キーパッドやキーボード ' ·マウスを保有する。また、出力インタフェースとして、文字や画像を描画可能なモユタを保有する。クライアント 210の例として、携帯電話機や PDA、ノート PC、デスクトップ PCなどを挙げること力 Sできる。図 2において、通信管理部 211は、サーバ 200 に対して要求情報を送信し、また、要求した結果として、応答情報を受信する機能を有する。標準実装暗号化処理部 216は、通信管理部 211が、送受信を行う際に、送信情報を暗号化したり、受信情報を復号化したりする機能を有する。情報蓄積部 21 5は、不揮発メモリや HDD (Hard Disk Drive)などといったクライアント 210が保有する情報保存領域である。通信管理部 211、標準実装暗号化処理部 216、及び、情報蓄積部 215は、クライアント 210に標準搭載される構成要素である。本実施例では、さらに、クライアント 'アプリケーション 212が追加される。クライアント 'アプリケーシヨン 212は、ユーザが所定の操作を行うことによって、サーバ 200からクライアント 210 へダウンロードし、また、ネットワーク経由で他のサーバに接続してダウンロードし、ィンストールすることができる。その他、記録媒体から、例として、 CD— ROM USB Universal Serial Bus)メモリなどからインストールすることもできる。クライアント'ァプリケーシヨン 212の構築については、例として、携帯電話機上で動作する JAVA ( 登録商標）アプリケーションや BREW (Binary Runtime Environment for Wir eless)アプリケーションとして、また、 PDA、ノート PC、デスクトップ PC上で動作する Windows (登録商標）、 Linux、 JAVA (登録商標）向けアプリケーションとして、構築すること力 Sできる。クライアント 'アプリケーション 212は、アプリケーション基本処理部 213と、アプリケーション暗号化処理部 214とを有している。アプリケーション基本処理部 213は、ユーザからの要求操作を受け付けて、サーバ 200側にあるサーバ'ァプリケーシヨン 202に対して、通信管理部 211を経由して、要求情報を送信する。また、アプリケーション基本処理部 213は、サーバ 200から受け取った応答情報を処理、加工して、ユーザに提供する。アプリケーション暗号化処理部 214は、送信情報を暗号化し、受信情報を復号化する。情報蓄積部 215は、アプリケーション暗号化処理部 214が使用する鍵情報を保存しておくことができる。アプリケーション暗号化処理部 214は、クライアント 'アプリケーション 212が提供する情報蓄積部 215とのインタフエースを利用して、情報蓄積部 215への鍵情報の書き込みや、鍵情報の読み出しを行う。

サーバ 200は、クライアント 'アプリケーション 212力ユーザからの要求操作を受け付けることによって、クライアント 210から要求情報が送信されると、応答情報を返信する。サーバ 200の例として、企業サーバやアプリケーションサービスプロバイダが保有するサーバなどがある。サーバ 200は、クライアント 210から送信される要求情報を、サーバ通信管理部 201で受信し、この受信情報を、サーノアプリケーション 202 のサーバアプリケーション基本処理部 203に提供する。サーノ 'アプリケーション 202 は、本実施例で新たに追加するもので、 CD— ROMや USBメモリなどからインスト一ルすることで、サーバ 200内に登録することが出来る。サーバ'アプリケーション 202 は、サーバアプリケーション基本処理部 203と、アプリケーション暗号化処理部 204とを有する。サーバアプリケーション基本処理部 203は、受け取ったデータを処理、加ェする。サーバアプリケーション暗号化処理部 204は、受信情報を復号化し、送信情報を暗号化する。サーバ情報蓄積部 205は、サーバアプリケーション暗号化処理部 204が使用するサーバ鍵情報などを保存する。この情報蓄積部 205は、不揮発メモリゃ HDDなどと!/、つたサーバ 200が保有する情報保存領域である。サーバアプリケーシヨン暗号化処理部 204は、サーノ 'アプリケーション 202が提供するインタフエ一スを利用して、サーバ情報蓄積部 205へのデータの書き込みや、データの読み出しを行う。サーバ通信管理部 201から要求情報を受け取ったサーバアプリケーション基本処理部 203は、その要求情報が暗号化されていた場合には、サーバアプリケーシヨン暗号化処理部 204で、当該要求情報を復号化することができる。そして、サーバ' アプリケーション 202で要求情報を確認し、応答情報を作成する。必要に応じて、サーバアプリケーション暗号化処理部 204で応答情報を暗号化して、サーバ通信管理部 201を経由して、クライアント 210に対して、応答情報を返信する。さらに、サーバ 2 00は、サーバ標準実装暗号化処理部 106を保有する。クライアント 210のアプリケーシヨン基本処理部 213が、直接標準実装暗号化処理部 216を経由して、要求情報を暗号化し、通信管理部 211を経由して要求情報を送信する場合がある。この場合には、サーバ標準実装暗号化処理部 206で要求情報を復号化してから、サーバアプリケーシヨン基本処理部 203に、復号化した要求情報を引き渡すことも可能である。前記の通り、クライアント 210に標準実装されている標準実装暗号化処理部 216を使用した場合には、サーバ 200のサーバ標準実装暗号化処理部 206で処理される。一方、クライアント 'アプリケーション 212におけるアプリケーション暗号化処理部 214で喑号化された要求情報は、サーバ 200のサーバ'アプリケーション 202におけるサーバアプリケーション暗号化処理部 204で復号化される。例として、標準実装暗号化処理部 216による暗号化方式としては、携帯端末に標準実装された Webブラウザが有する TLS機能を挙げること力 Sできる。クライアント 210は、サーバ標準実装暗号化処理部 206で暗号化された応答情報を、サーバ 200から受信した場合、標準実装された Webブラウザの TLS機能を利用して、標準実装暗号化処理部 216により応答情報を復号化し、その後、クライアント 'アプリケーション 212に、復号化された応答情報を提供する機能を有している。また、クライアント 'アプリケーション 212が要求情報を作成したときに、標準実装された Webブラウザの TLS機能を利用して、標準実装暗号化処理部 216により要求情報を暗号化し、その後、通信管理部 211によって、暗号化された要求情報を送信する機能を有している。一方、サーバ 200側のサーバ標準実装暗号化処理部 206も、前記同様のセキュリティ技術を保有している。クライアント 210 力標準実装暗号処理部 216によって暗号化された要求情報を受信した時に、標準実装された Webサーバの TLS機能を利用して、サーバ標準実装暗号化処理部 206 により受信情報を復号化し、その後、サーノアプリケーション 202に、復号化された受信情報を提供する機能を有している。また、サーバ'アプリケーション 202が応答情報を作成したときに、標準実装された Webサーバの TLS機能を利用して、標準実装暗号化処理部 206により応答情報を暗号化し、その後、サーバ通信管理部 201によつて、暗号化された応答情報を、クライアント 210へ送信する機能を有している。次に、図 2、図 3を参照して、第一の実施例におけるネットワークシステムの動作を説明する。ここでは、前述した構成のサーバ 200、クライアント 210について、クライアント 210が標準実装されているブラウザを起動して、サーバ 200から暗号化鍵を取得する（ステップ 300)。そして、クライアント 210は、クライアント 'アプリケーション 212を起動して、取得した暗号化鍵によって、要求情報を暗号化して送信し、サーバ 200から応答情報を受け取る（ステップ 310)。以上の動作について、以下、詳細に説明する。なお、図 3の動作シーケンスにおいて、点線で囲った部分は、通信情報が秘匿化されていることを示している。暗号化 (標準実装機能）の見出しで囲った部分では、標準実装された暗号化機能を用いて通信情報を暗号化して!/、る。暗号化（アプリケーシヨン）の見出しで囲った部分では、サーバとクライアントとの間で交換した暗号化鍵を用いて通信情報を暗号化している。後述する図 5及び図 7においても同様である。ユーザは、先ずクライアント 200でブラウザ起動を行う（ステップ 301)。これは、携帯端末や PDA、 PCに標準実装されているものである。ブラウザ起動を行った後、暗号化鍵を取得する為、暗号化鍵取得用 URLを選択する (ステップ 302)。この URLには、鍵情報を取得する先の情報が記されている。ここでは、サーバ'アプリケーション 202力鍵情報取得先となっていることとする。この URLを、クライアント 210が取得する方法としては、例として、クライアント 210宛てに送信する電子メール上へ記述する方法や、クライアント 210に実装されたカメラなどで、紙面上や PCの画面上に表示された QR(Quick Response)コード（登録商標）を撮影する方法などがある。この U RLを、ブラウザ上で選択し、暗号化鍵取得用 Webページの要求情報を、サーバ 20 0に対して送信する（ステップ 303)。このとき、要求情報の送信は、 HTTPS (Hypert ext Transier Protocol Security； HTTP over S≥>Lや、 HTTP over TLS など、 httpsスキームにおける暗号化通信プロトコル。）プロトコルを使用することができる。 HTTPSは、 TLS機能で提供される暗号化方式などを使用し、ネットワーク上で送信される要求情報を暗号化し、情報を秘匿化する。サーバ 200では、暗号化された要求情報を受信し、サーバ標準実装暗号化処理部 206で復号化する。そして、復号化した要求情報を、サーバ通信管理部 201を経由して、サーバアプリケーション基本処理部 203に提供する。サーバアプリケーション基本処理部 203は、クライアント 210を識別し、対応する暗号化鍵を生成する（ステップ 304)。同時に、生成した喑号化鍵をサーバ情報蓄積部 205に保存する。サーバ 200は、生成した暗号化鍵を含んだ Webページを作成し (ステップ 305)、暗号化鍵を含んだ Webページを、クライアント 210に返信する（ステップ 306)。このときも、 HTTPSプロトコルによる応答が行われ、情報は秘匿化されていることとする。クライアント 210では、応答された Webページを受信し、クライアント 'アプリケーション 212を起動する。例えば携帯電話端末では、携帯電話端末内に存在するクライアント 'アプリケーション 212を起動するコマンドを Webページ上に記述することが可能となっており、ユーザが本記述を選択操作することにより、クライアント 'アプリケーション 212を起動することができる（ステップ 311)。クライアント 210の機能として、このクライアント 'アプリケーション 212の起動を契機として、 Webページ上に記載されている暗号化鍵をクライアント ·アプリケーション 212に引き渡すこと力 Sできる。クライアント ·ァプリケーシヨン 212は、取得した暗号化鍵を情報蓄積部 215に保存する (ステップ 31 2)。クライアント 'アプリケーション 212は、アプリケーション基本処理部 213によって、ユーザにサービスを提供し、ユーザはこのサービスを利用することにより、サーバ 200 に対して要求操作を行うことができる。この要求操作を受けて、クライアント 210においては、情報蓄積部 215に保存した暗号化鍵を、アプリケーション暗号化処理部 21 4が取得して、暗号化処理を行う（ステップ 313)。その後、アプリケーション基本処理部 213力通信管理部 211を経由して、サーバ 200に対してサービス要求を行う（ステツプ 314)。サービス要求を受けたサーバ 200は、当該サービス要求を、サーバ通信管理部 201からサーノ 'アプリケーション 202のサーバアプリケーション基本処理部 203を経由して、サーバアプリケーション暗号化処理部 204へ提供する。サーバァプリケーシヨン暗号化処理部 204では、要求クライアント 210に対応する暗号化鍵を、サーバ情報蓄積部 205から取得して、暗号化されたサービス要求を復号化する（ステツプ 315)。サーバアプリケーション暗号化処理部 204は、復号化したサービス要求を、サーバアプリケーション基本処理部 203に戻す。サーバアプリケーション基本処理部 203では、サービス要求に応じた応答情報を作成する。サーバアプリケーション基本処理部 203は、作成した応答情報を、サーバアプリケーション暗号化処理部 2 04に提供する。サーバアプリケーション暗号化処理部 204では、クライアント 210に対応する暗号化鍵を、サーバ情報蓄積部 205から取得して、暗号化した応答情報を、サーバアプリケーション基本処理部 203に戻す（ステップ 316)。サーバアプリケーシヨン基本処理部 203は、サーバ通信管理部 201を経由してクライアント 210にサービス応答を行う（ステップ 317)。以降は本処理を繰り返すことで、前記したように暗号化されたサービス要求とサービス応答が繰り返して行われる。上記シーケンス動作によって、クライアント 'アプリケーション 212は、標準実装された暗号化処理部 216と連携を図り、アプリケーション暗号化処理部 214における暗号化処理で使用する暗号化鍵をセキュアに取得することができる。しかも、上記シーケンス動作によれば、暗号化鍵を秘匿化する処理機能を、クライアント 'アプリケーション 212に実装する必要が無くなる。結果として、アプリケーションのサイズ制限がある携帯電話端末などに、クライアント 'アプリケーションを保存する際のサイズ増加を回避することができる。

[0028] (第二の実施例）

次に、本発明の第二の実施例について、図 4、図 5を参照して詳細に説明する。第二の実施例では、サーバが、サービス要求してきたクライアントに対して鍵交換を指示し、クライアントに保存されている暗号化鍵の更新を行えるところに特徴がある。図 5に示すように、第二の実施例では、まず、暗号化鍵による暗号化通信が行われ (ステツプ 500)、次に、標準実装された暗号化機能による暗号化通信が行われる（ステップ 510)。鍵交換機能を実装することで、サイズの小さな暗号化鍵を用いても、暗号化鍵を更新することによって、暗号化鍵の解析及び複製等を防止することができる。

[0029] 図中、クライアント 410では、ユーザの操作によって、クライアント 'アプリケーション 4 12が起動される（ステップ 501)。クライアント 'アプリケーション 412が起動され、ユーザの操作によって、サーバ 400に対するサービス要求が行われた場合、アプリケーシヨン基本処理部 413は、サーバ 400に向けた要求情報を生成する。生成された要求情報は、アプリケーション暗号化処理部 414で暗号化する（ステップ 502)。このとき、アプリケーション暗号化処理部 414は、第一の実施例で取得して保存した暗号化鍵を情報蓄積部 415から取得して暗号化処理を行う。要求情報を暗号化したら、サービス要求をサーバ 400に対して行う（ステップ 503)。アプリケーション基本処理部 41 3は、喑号化された要求情報を、アプリケーション暗号化処理部 414から受け取る。暗号化された要求情報は、通信管理部 411を経由してサーバ 400へ送信される。サーバ 400においては、サーバ通信管理部 401が暗号化された要求情報を受け取る。サーバ通信管理部 401は、要求情報をサーバアプリケーション基本処理部 403へ引き渡す。サーバアプリケーション基本処理部 403は、要求情報を受け取ると、鍵更新指示部 407への確認を行う。鍵更新指示部 407では、サーバ 400の管理者によって行われる所定の操作により、更新指示を行うフラグや情報などを設定することが出来ることとする。鍵更新指示部 407で、暗号化鍵交換指示を確認すると (ステップ 504) 、サーバアプリケーション基本処理部 403は、クライアント 410に、暗号化鍵の更新指示を送信する（ステップ 505)。通信管理部 411を経由して暗号化鍵の更新指示を受け取ったクライアント 410は、この暗号化鍵の更新指示を、アプリケーション基本処理部 413に引き渡す。暗号化鍵の更新指示を受け取ったアプリケーション基本処理部 413は、この暗号化鍵の更新指示を鍵要求処理部 417に引き渡す。

すると、鍵要求処理部 417は、鍵要求処理を開始する（ステップ 511)。鍵要求処理部 417は、アプリケーション基本処理部 413に、暗号化鍵要求を行うよう指示する。指示を受けたアプリケーション基本処理部 413は、標準実装暗号化処理部 416で、要求情報を暗号化した上で、通信管理部 411を経由して、暗号化鍵要求を行う（ステップ 512)。ここでの要求情報の暗号化は、携帯電話端末や、ノート PCなどに標準実装されている TLS機能などを使用する。暗号化された要求情報を受け取るサーバ 40 0では、サーバ通信管理部 401を経由して、サーバ標準実装暗号化処理部 406により、要求情報を復号化し、その結果をサーバアプリケーション基本処理部 403に渡す。鍵交換要求を受けたサーバアプリケーション基本処理部 403は、クライアント 410に対応する暗号化鍵の生成を行う（ステップ 513)。この新しい暗号化鍵は、複製され、サーバ暗号化鍵として、サーバアプリケーション暗号化処理部 404に渡される。サーバアプリケーション暗号化処理部 404では、要求元のクライアント 410用のサーバ喑号化鍵としてサーバ情報蓄積部 405に保存されているサーバ暗号化鍵を、今回生成したサーバ暗号化鍵で更新する。さて、サーバアプリケーション暗号化処理部 404は、サーバアプリケーション基本処理部 403に、新しい暗号化鍵を引き渡す。サーバァプリケーシヨン基本処理部 403は、受け取った暗号化鍵を、サーバ標準暗号化処理部 406に提供し、サーバ標準暗号化処理部 406では、受け取った暗号化鍵を暗号化し、サーバ通信管理部 401に引き渡す。サーバ 400のサーバ通信管理部 401は、新しレ、暗号化鍵をクライアント 410に向けて送信する (ステップ 514)。暗号化鍵を受け取ったクライアント 410の通信管理部 411は、受け取った暗号化鍵を、標準実装喑号化処理部 416に弓 Iき渡す。暗号化鍵を受け取った標準実装暗号化処理部 416は、暗号化された暗号化鍵を復号化し、アプリケーション基本処理部 413に引き渡す。復号化された暗号化鍵を受け取ったアプリケーション基本処理部 413は、新しい喑号化鍵をアプリケーション暗号化処理部 414に提供する。アプリケーション暗号化処理部 414は、情報蓄積部 415に保存されている暗号化鍵を、今回受信した暗号化鍵に更新する (ステップ 515)。以上の処理によって、暗号化鍵をクライアント 'アプリケーシヨン内でセキュアに更新することができる。

[0031] (第三の実施例）

次に、本発明の第三の実施例について、図 6、図 7を参照して詳細に説明する。第三の実施例は、携帯電話端末で、クライアント 'アプリケーション 212, 412をダウン口ードする処理で、暗号化鍵も併せて取得し、この暗号化鍵を、ダウンロードしたクライアント 'アプリケーションに引き渡すことができるところに特徴がある。第三の実施例におけるクライアント 610は、携帯電話端末とし、この携帯電話端末は、クライアント'ァプリケーシヨン 212, 412をダウンロードして、携帯電話端末内に保存し利用することが出来るという機能を保有していることとする。また、携帯電話端末は、 Webブラウザ機能を内蔵しており、これを起動することで、ブラウザアクセスを行い、 HTMLコンテンッ等を参照できることとする。一般的な携帯電話端末では、 JAVA (登録商標）アブリケーシヨンをダウンロードして保存して利用することができる。また、携帯電話端末での JAVA (登録商標）アプリケーションのダウンロードは、 Webブラウザ機能から、 JAV A (登録商標）アプリケーションのダウンロード元を指定することで、行うことができる。

[0032] 図中、クライアント 610で、ユーザが、ブラウザ機能の起動を要求する操作を行うことで、 Webブラウザ部 614が起動し、ユーザにブラウザ画面を提供する（ステップ 701) 。ユーザが、 Webブラウザ機能を通じて、所定の操作を行うことで、クライアント'ァプリケーシヨンをダウンロードする Webページの要求が行われる（ステップ 702)。このダゥンロード用 Webページは、ユーザが、携帯電話端末の入力インタフェースを通じて、アクセス先 URLを直接文字入力して選択することにより、要求すること力 Sできる。また、 PCなどメール送信機能を保有する機器から、ダウンロード用 Webページの URL を記載したメールを、携帯電話端末向けに送信し、携帯電話端末が保有するメール機能により、そのメールを参照して、記載された URLを選択操作することにより、要求することができる。なお、 URLは、 Uniform Resource Locatorの略称であり、ィンターネット上に存在する情報資源 (文書や画像など）の場所を指し示す記述方式である。このとき、この URLで指定するプロトコルは、 "HTTPS"とし、 TLS機能によつて、サービス要求を暗号化することを指定する。 Webブラウザ部 614は、ダウンロード用 Webページへのアクセス要求を受け、プロトコルが HTTPSであることを確認すると

、標準実装暗号化処理部 615に暗号化処理の要求を行う。標準実装暗号化処理部

615は、アクセス要求情報を暗号化する。アクセス要求情報は、 Webブラウザ部 614 から通信管理部 611を経由して、サーバ 600へ送信され、ダウンロード用 Webぺージの要求が行われる（ステップ 703)。サーバ 600は、ページ要求を受けると、サーバ通信管理部 601を経由して、 Webサーバ部 604に対して、ページ要求を行う。 Web サーバ部 604では、暗号化された要求情報を、サーバ標準実装暗号化処理部 605 に引き渡す。サーバ標準暗号化処理部 605では、要求情報を復号化して、 Webサーバ部 604に戻す。 Webサーバ部 604では、要求情報を、クライアントアプリケーション提供部 602に引き渡す。要求情報を受け取ったクライアントアプリケーション提供部 602は、要求クライアント 610向けに暗号化鍵を生成する（ステップ 704)。そして、サーバ情報蓄積部 606に、生成した暗号化鍵の複製を保存する。さらに、暗号化鍵をパラメータとして付与したクライアント ·アプリケーションのダウンロード用 _Webページを生成する（ステップ 705)。

ダウンロード用 Webページには、クライアント 'アプリケーションのダウンロード要求が行われるリンクが含まれている。このリンクに対して、作成した暗号化鍵をパラメータとして付与することで、クライアント 610は、ダウンロード用 Webページの受信時に、パラメータとして付与された暗号化鍵を、当該 Webページと共に受信することができる。また、クライアント 610は、ダウンロード用 Webページのリンクを指定する操作を契機として、そのリンクに対して、ノラメータとして付与された暗号化鍵を、携帯電話端末内に、一時保存しておくことができる。クライアント 610にダウンロードされるクライアント' アプリケーションは、一時保存した暗号化鍵を、初回の起動時等に、取得することができる。暗号化鍵をパラメータとして付与する仕組みは、株式会社ェヌ 'ティ 'ティ'ドコモ、 KDDI株式会社、並びに、ソフトバンクモパイル株式会社の各通信会社が提供する携帯電話サービスにおける携帯電話端末の機能として保証されている。例えば、株式会社ェヌ 'ティ 'ティ'ドコモでは、以下のサイトに、 iアプリ技術資料を公開している（iアプリは、登録商標）。

http : / Z www. nttdocomo. co. jp/ service/ imode/ make/ content/ iap pli/ about/ index, html # 004

このサイトは、同社のトップページから、ホーム〉サービス '機能〉 iモード〉作ろう iモードコンテンツ〉知りたい iモード技術情報を選ぶ〉 iアプリ〉 iアプリコンテンツの概要、と進めば、開くことができる（iモード、 iアプリは、登録商標）。 Webページでの HTM L (HyperText Markup Language)の記述は、オブジェクトタグく OBJECT · · · 〉、 < /OBJECT 〉の間に、パラメータタグく PARAM …〉を揷入すればよい。ユーザが、ダウンロード用 Webページにおけるクライアント 'アプリケーションのリンクを選択する操作を行うことで、ダウンロード処理を要求する URLが選択されるよう設定されている。また、図示するように、ダウンロード処理時は、 "HTTP"アクセスを行う。そのため、 URLのプロトコルは" HTTP"を記述する。その理由は、例として、株式会社ェヌ ·ティ ·ティ .ドコモによる携帯電話サービスを挙げて説明すると、携帯電話端末での JAVA (登録商標）アプリケーションダウンロードでは、セキュリティ上の理由から、ダウンロードしたときのプロトコル（http)ならびにホスト名（www ')以外へのァクセスを許可しないという制限があるためである。クライアント 610では、暗号化鍵を取得することと、クライアント ·アプリケーション内に実装される独自の暗号化処理を行うため、 "HTTP"とする。 HTTPプロトコルにより、携帯電話端末が実装する暗号化機能を使用しないで、サーバと通信を行う。

クライアントアプリケーション提供部 602は、生成した暗号化鍵がパラメータとして付与されたダウンロード用 Webページを、 Webサーバ部 604に提供する。 Webサーバ部 604では、暗号化鍵がパラメータとして付与されたダウンロード用 Webページを、サーバ標準実装暗号化処理部 605に引き渡す。サーバ標準実装暗号化処理部 60 5は、暗号化鍵がパラメータとして付与されたダウンロード用 Webページを暗号化して、 Webサーバ部 604に戻す。 Webサーバ部 604は、暗号化鍵がパラメータとして付与されたダウンロード用 Webページを、サーバ通信管理部 601を経由して、クライアント 610に提供する（ステップ 706)。クライアント 610では、暗号化鍵がパラメータとして付与されたダウンロード用 Webページを受信する。このダウンロード用 Webぺージは、通信管理部 611を経由して、 Webブラウザ部 614が取得する。 Webブラウザ部 614は、ダウンロード用 Webページを、標準実装暗号化処理部 615に引き渡す。標準実装暗号化処理部 615は、暗号化鍵力 Sパラメータとして付与されたダウンロード用 Webページを復号化し、 Webブラウザ部 614に戻す。 Webブラウザ部 614は、復号化されたダウンロード用 Webページをユーザに外部 UI (User Interface)、例として液晶画面などに表示し、ユーザからの入力を待つ。ユーザが、外部 UIに表示されたダウンロード用 Webページから、クライアント 'アプリケーションのダウンロードリンクを選択すると（ステップ 707)、サーバ 600に対してアプリケーション要求が行われる (ステップ 708)。このとき、前述した通り、ダウンロードのリンクには" HTTP"が指定されているので、要求情報の暗号化処理を行わずに、要求情報が送信される。同時に、選択されたダウンロードのリンクにパラメータとして付与されていた暗号化鍵は、 We bブラウザ部 614から、アプリケーションダウンロード処理部 612に引き渡される。ァプリケーシヨンダウンロード処理部 612は、一時的に、この暗号化鍵を、携帯端末が管理する保存領域などに保存しておく。

アプリケーション要求情報は、通信管理部 611を経由して、サーバ 600のサーバ通信管理部 601に送信される。要求情報を受け取ったサーバ通信管理部 601は、 We bサーバ部 604に要求情報を引き渡す。 Webサーバ部 604は、 "HTTP"によるァクセスであることから、復号化処理は行わずに、クライアントアプリケーション提供部 602 に対して要求情報を引き渡す。アプリケーション要求情報を受け取ったクライアントァプリケーシヨン提供部 602は、クライアントアプリケーション蓄積部 603から、要求があつたクライアント 'アプリケーションと一緒に登録され管理されているアプリケーション属性情報を取得する（ステップ 709)。アプリケーション属性情報は、 ADF (Applicat ion Descriptor File)ファイルと呼ばれ、アプリケーションの作成日やアプリケーシヨンサイズ、バージョン情報などが記載されている。クライアント 610では、このアプリケーシヨン属性情報を取得して、確認した上で、クライアント 'アプリケーションのダウンロードを行う。アプリケーション属性情報は、株式会社ェヌ 'ティ 'ティ'ドコモの携帯電話端末向けでは JAM (JAVA (登録商標） Application Manager)ファイルと呼ばれ、 KDDI株式会社やソフトバンクモパイル株式会社の携帯電話端末向けでは、 JA D (JAVA (登録商標） Application Descriptor)ファイルと呼ばれる。アプリケーシヨン属性情報を、クライアントアプリケーション蓄積部 603から取得したクライアントアプリケーション提供部 602は、必要に応じてアプリケーション属性情報に情報追加などを施し、生成し直す。そして、アプリケーション属性情報を、サーバ通信管理部 6 01を経由してクライアント 610に送信する（ステップ 710)。クライアント 610の通信管理部 611は、取得したアプリケーション属性情報を Webブラウザ部 614に引き渡す。

Webブラウザ部 614は、アプリケーションダウンロード処理部 612に、アプリケーション属性情報を提供する。アプリケーションダウンロード処理部 612は、アプリケーション属性情報を確認する（ステップ 711)。そして、ダウンロードするアプリケーションに問題が無いと判断したら、ダウンロード要求処理を行う（ステップ 712)。クライアント 6 10のアプリケーションダウンロード処理部 612は、通信管理部 611を経由してダウンロード要求を送信する（ステップ 713)。要求を受けたサーバ 600のサーバ通信管理部は、クライアントアプリケーション提供部 602に直接、ダウンロード要求情報を引き渡す。クライアントアプリケーション提供部 602は、ダウンロード要求を受けると、要求情報に対応するクライアント 'アプリケーションを、クライアントアプリケーション蓄積部 603から受け取る。そして、再度サーバ通信管理部 601を経由して、クライアント 610 に対して、クライアント 'アプリケーションを送信する（ステップ 714)。サーバ 600から送信されるクライアント 'アプリケーションを受信したクライアント 610は、通信管理部 6 11を経由して、アプリケーションダウンロード処理部 612に引き渡す。アプリケーションダウンロード処理部 612は、取得したクライアント 'アプリケーションを、クライアントアプリケーション保存部 613に保存する（ステップ 715)。同時に、ユーザが、ダウン口ードしたクライアント 'アプリケーションを選択できるよう、外部 UIで表示されるアプリケーシヨン一覧に、アプリケーション名などを付与する。ユーザが外部 UIを参照し、ダウンロードしたクライアント 'アプリケーションを選択する操作を行うと、クライアント 'アプリケーシヨンが起動される（ステップ 716)。上述したように、ダウンロードしたアプリケーシヨンには、ダウンロード時に選択したリンクに付与されていたパラメータを取得する処理を実装することで、リンクのパラメータとして設定されて!/、た情報を取得することができる。ここでは、ダウンロードしたクライアント 'アプリケーションに、ノラメータとして付与されていた暗号化鍵を取得する処理を実装しておく。クライアント 'アプリケーシヨンは、アプリケーションダウンロード処理部 612によって、一時的に保存されていた暗号化鍵を取得する。取得した暗号化鍵は、情報蓄積部 616に保存する (ステツプ 717)。以降は、ダウンロードしたクライアント 'アプリケーションから、送信情報の喑号化又は受信情報の復号化の要求があった場合に、直接情報蓄積部 616から、喑号化鍵を呼び出すことができる。

Claims

請求の範囲

クライアントと、

サーノと、

前記クライアントと前記サーバとを接続するネットワークとを具備し、

前記クライアントは、

前記サーバとの間で通信情報を送受信する通信管理部と、

標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行う標準実装暗号化処理部と、

情報を保存する情報蓄積部と、

前記情報蓄積部に保存される鍵情報を用いて、送信情報の暗号化及び受信情報の復号化を行うアプリケーション暗号化処理部と、

前記標準実装暗号化処理部へ暗号化すべき要求情報を引き渡し、また、前記標準実装暗号化処理部から復号化された応答情報を受け取ると共に、前記アプリケーシヨン暗号化処理部へ暗号化すべき要求情報を引き渡し、また、前記アプリケーション暗号化処理部から復号化された応答情報を受け取るアプリケーション基本処理部とを具備し、

前記アプリケーション基本処理部は、

前記サーバから鍵情報を取得するときには、鍵情報を取得したい旨の要求情報を、前記標準実装暗号化処理部によって暗号化すると共に、鍵情報を含む応答情報を受信したときには、当該応答情報を、前記標準実装暗号化処理部によって復号化し、

前記サーバは、

前記クライアントとの間で通信情報を送受信するサーバ通信管理部と、標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行うサーバ標準実装暗号化処理部と、

情報を保存するサーバ情報蓄積部と、

前記サーバ情報蓄積部に保存されるサーバ鍵情報を用いて、送信情報の暗号化及び受信情報の復号化を行うサーバアプリケーション暗号化処理部と、前記サーバ標準実装暗号化処理部から復号化された要求情報を受け取り、また、前記サーバ標準実装暗号化処理部へ暗号化すべき応答情報を引き渡すと共に、前記サーバアプリケーション暗号化処理部から復号化された要求情報を受け取り、また、前記サーバアプリケーション暗号化処理部へ暗号化すべき応答情報を引き渡すサーバアプリケーション基本処理部とを具備し、

前記サーバアプリケーション基本処理部は、

前記クライアントから鍵情報を取得したい旨の要求情報を受信したときには、前記サーバ標準実装暗号化処理部によって前記要求情報を復号化すると共に、鍵情報とサーバ鍵情報とを生成し、クライアントに渡す鍵情報については、当該鍵情報を含む応答情報を、前記サーバ標準実装暗号化処理部によって暗号化する

ネットワークシステム。

[2] 前記サーバは、

更に、前記クライアントに対して、鍵情報の更新を指示する鍵更新指示部を具備し前記クライアントは、

更に、前記サーバに対して、新しい鍵情報を要求する鍵要求処理部を具備し、前記サーバは、

前記クライアントから、前記鍵情報を用いて暗号化された要求情報を受信した場合において、前記鍵更新指示部が、前記鍵情報を更新すべきことを指示しているときには、鍵情報を更新すべきことを指示する旨の応答情報を作成し、当該応答情報を、前記サーバ鍵情報を用いて暗号化し、返信し、

前記クライアントは、

前記鍵情報を用いて、暗号化した要求情報を送信した後、前記サーバから応答情報を受信し、当該応答情報を前記鍵情報を用いて復号化した場合において、前記応答情報が、鍵情報を更新すべきことを指示していたときには、前記鍵要求処理部によって、鍵要求処理を開始する

請求の範囲 1記載のネットワークシステム。

[3] 前記クライアントは、前記鍵要求処理が開始されたとき、前記アプリケーション基本処理部力新しい鍵を要求する要求情報を、前記標準実装暗号化処理部によって暗号化し、かつ、新しい鍵情報を含む応答情報を前記サーバから受信したときには、当該応答情報を、前記標準実装暗号化処理部によって復号化し、

前記サーバは、

前記クライアントから、前記新しい鍵情報を要求する要求情報を受信したときには、当該要求情報を、前記サーバ標準実装暗号化処理部によって復号化し、かつ、新しい鍵情報を含む応答情報を、前記サーバ標準実装暗号化処理部によって暗号化して、当該応答情報を前記クライアントへ返信する

請求の範囲 2記載のネットワークシステム。

前記クライアントは、

Webページを閲覧する Webブラウザ部と、ンロード処理部と、

前記サーバからダウンロードしたアプリケーションプログラムを保存するクライアントアプリケーション保存部とを更に具備し、

前記アプリケーションダウンロード処理部は、

ある特定のアプリケーションプログラムをダウンロードするための Webページのアドレスが指定された場合に、当該 Webページを要求する要求情報を、前記標準実装暗号化処理部によって暗号化して送信し、また、前記サーバから応答情報として We bページが届いたときには、当該応答情報を、前記標準実装暗号化処理部によって復号化し、

さらに、前記 Webページにおいて、前記特定のアプリケーションプログラムをダウンロードするためのリンクを指定する操作が為された場合に、当該リンクに対して、パラメータとして付与された鍵情報を、一時的に保持すると共に、当該ダウンロードの要求情報を、前記サーバへ送信し、また、前記サーバから、応答情報として、前記特定のアプリケーションプログラムが届いたときには、当該プログラムを前記クライアントァプリケーシヨン保存部に保存し、さらに、前記特定のアプリケーションプログラムの起動、若しくはその他の所定の事象を契機として、前記一時的に保持した鍵情報を、前記情報蓄積部に保存し前記サーバは、

前記クライアントに Webページを提供する Webサーバ部と、

前記クライアント向けに作成されたアプリケーションプログラムを保存するクライアントアプリケーション蓄積部と、

前記クライアントアプリケーション蓄積部から読み出したアプリケーションプログラムを、前記クライアントに提供するクライアントアプリケーション提供部とを更に具備し、前記クライアントアプリケーション提供部は、

前記クライアントから、前記特定のアプリケーションプログラムをダウンロードするための Webページの要求情報を受信したときに、当該要求情報を、前記サーバ標準実装暗号化処理部によって復号化し、かつ、前記 Webページを載せた応答情報を、前記サーバ標準実装暗号化処理部によって暗号化して、前記クライアントへ送信し、当該 Webページは、前記特定のアプリケーションプログラムをダウンロードするためのリンクを有すると共に、当該リンクに対しては、鍵情報をパラメータとして付与しているものであり、

さらに、前記クライアントから、前記特定のアプリケーションプログラムをダウンロードする要求情報を受信したときに、前記クライアントアプリケーション蓄積部から前記特定のアプリケーションプログラムを読み出して、当該特定のアプリケーションプログラムを、前記クライアントへ、応答情報として送信する

請求の範囲 1〜3いずれかに記載のネットワークシステム。

[5] 前記標準実装される暗号化通信プロトコルは、 Webサーバと Webブラウザとがデータを送受信するために使用するプロトコルに、データの暗号化機能を付加したプロトコノレである

請求の範囲 1〜4いずれかに記載のネットワークシステム。

[6] 前記使用するプロトコルは、 HTTPプロトコルであり、前記データの暗号化機能は、 SSL機能、又は、 TLS機能のいずれかである

請求の範囲 5記載のネットワークシステム。 [7] 請求の範囲 1〜6いずれかに記載のネットワークシステムで使用されるサーバ。

[8] 請求の範囲 1〜6いずれかに記載のネットワークシステムで使用されるクライアント。

[9] クライアント 'アプリケーション力標準実装される暗号化通信プロトコルに従って、送信情報の暗号化及び受信情報の復号化を行う標準実装暗号化処理部に対して、鍵情報を取得したい旨の要求情報を、引き渡すことと、

前記クライアント 'アプリケーション力前記標準実装暗号化処理部から、暗号化された前記要求情報を、受け取ることと、

前記クライアント 'アプリケーション力前記要求情報を、サーバ'アプリケーションへ送信することと、

前記クライアント 'アプリケーションが、前記鍵情報を含み、前記サーバ'アプリケーシヨンから返信される応答情報を受信することと、

前記クライアント 'アプリケーションが、前記応答情報を、前記標準実装暗号化処理部に引き渡すことと、

前記クライアント 'アプリケーションが、前記標準実装暗号化処理部から、復号化された前記応答情報を、受け取ることと、

前記クライアント 'アプリケーションが、前記応答情報に含まれる鍵情報を保存することとを具備する

ネットワークシステムにおける通信方法。

[10] 前記クライアント 'アプリケーションが、前記鍵情報を用いて、送信情報を暗号化することと、

前記クライアント 'アプリケーションが、前記鍵情報を用いて、受信情報を復号化することとを更に具備する

請求の範囲 9記載のネットワークシステムにおける通信方法。

[11] 前記鍵情報を用いて、暗号化した要求情報を前記サーバ'アプリケーションへ送信した後、前記サーバ'アプリケーション力応答情報を受信し、当該応答情報を、前記鍵情報を用いて復号化した場合において、前記応答情報が、鍵情報を更新すベきことを指示していたときには、前記クライアント 'アプリケーション力鍵要求処理を開始することと、鍵要求処理が開始されたとき、前記クライアント 'アプリケーション力新しい鍵を要求する要求情報を、前記標準実装暗号化処理部に引き渡すことと、

前記クライアント 'アプリケーション力前記要求情報を、前記サーバ'アプリケーションへ送信することと、

前記クライアント 'アプリケーションが、新しい鍵情報を含む応答情報を前記サーバ •アプリケーションから受信することと、

前記クライアント 'アプリケーションが、前記応答情報に含まれる、前記新しい鍵情報を、保存することとを更に具備する

請求の範囲 10記載のネットワークシステムにおける通信方法。

前記サーバ ·アプリケーションが、前記クライアント ·アプリケーション力も鍵情報を取得したい旨の要求情報を受信したときに、標準実装される暗号化通信プロトコルに従つて、送信情報の暗号化及び受信情報の復号化を行うサーバ標準実装暗号化処理部に対して、前記要求情報を、引き渡すことと、

前記サーバ'アプリケーション力 s、前記サーバ標準実装暗号化処理部から、復号化された前記要求情報を受け取ることと、

前記サーノアプリケーションカ、前記要求情報に基づいて、前記クライアント'アブリケーシヨンに返信する鍵情報と、当該鍵情報に対応するサーバ鍵情報とを生成することと、

前記サーノアプリケーション力 s、前記サーバ鍵情報を、保存することと、前記サーバ'アプリケーションが、前記鍵情報を含む応答情報を、前記サーバ標準実装暗号化処理部に引き渡すことと、

前記サーノアプリケーション力前記サーバ標準実装暗号化処理部から、暗号化された前記応答情報を、受け取ることと、

前記サーバ'アプリケーション力 S、当該応答情報を、前記クライアント 'アプリケーションへ返信することとを更に具備する

請求の範囲 1 1記載のネットワークシステムにおける通信方法。

前記サーバ'アプリケーションが、前記サーバ鍵情報を用いて、送信情報を暗号化することと、

前記サーバ'アプリケーションが、前記サーバ鍵情報を用いて、受信情報を復号化することとを更に具備する

請求の範囲 12記載のネットワークシステムにおける通信方法。

前記サーノアプリケーション力 S、前記クライアント 'アプリケーションから、前記鍵情報を用いて、暗号化された要求情報を受信した場合において、前記鍵情報の更新指示を行うときには、鍵情報を更新すべきことを指示する旨の応答情報を作成することと、

前記サーバ'アプリケーションが、前記応答情報を、前記サーバ鍵情報を用いて喑号化することと、

前記サーバ'アプリケーション力 S、暗号化された前記応答情報を、前記クライアント' アプリケーションへ返信することと、

前記サーノ 'アプリケーション力前記クライアント 'アプリケーションから、新しい鍵情報を要求する要求情報を受信したときには、前記要求情報を、前記サーバ標準実装暗号化処理部に引き渡すことと、

前記サーバ'アプリケーション力 S、前記サーバ標準実装暗号化処理部から、復号化された前記要求情報を、受け取ることと、

前記サーノアプリケーション力前記要求情報に基づいて、新しい鍵情報を含む応答情報を作成することと、

前記サーバ'アプリケーション力 S、前記応答情報を、前記サーバ標準実装暗号化処理部に引き渡すことと、

前記サーノアプリケーション力前記サーバ標準実装暗号化処理部から、暗号化された前記応答情報を、受け取ることと、前記サーノ 'アプリケーション力;、前記応答情報を、前記クライアント 'アプリケーションへ返信することとを更に具備する

請求の範囲 13記載のネットワークシステムにおける通信方法。

[15] 前記標準実装される暗号化通信プロトコルは、 Webサーバと Webブラウザとがデータを送受信するために使用するプロトコルに、データの暗号化機能を付加したプロトコルである

請求の範囲 9〜： 14いずれかに記載のネットワークシステムにおける通信方法。

[16] 前記使用するプロトコルは、 HTTPプロトコルであり、前記データの暗号化機能は、 SSL機能、又は、 TLS機能のいずれかである

請求の範囲 15記載のネットワークシステムにおける通信方法。