WO2024042584A1 - 通信システム、及び通信方法 - Google Patents

Abstract

ＩＤベース暗号技術を用いるにあたり、最新の短期公開鍵と相手側の識別情報のペアでなければ鍵交換を実施できないようにする。　クライアント端末７は、ＫＧＣサーバ３から受信した最新時刻に基づく所定ノンス及び第１の長期秘密鍵を受信し（Ｓ２３）、前記第１の長期秘密鍵を用いて第１の短期秘密鍵及び第１の短期公開鍵を生成し（Ｓ２４）、前記所定サーバに対して第１のノンスが付加され前記クライアント端末を識別するための端末識別情報及び前記第１の短期公開鍵を送信し（Ｓ２５）、所定サーバ５は、ＫＧＣサーバ３から受信した前記所定ノンス及び第２の長期秘密鍵を受信し（Ｓ１２）、前記第１の送信処理によって送信された前記第１のノンスが前記所定ノンスと同じであるか否かにより前記第１のノンスが前記最新時刻に基づくか否かを確認し（Ｓ２６）、前記第１のノンスが前記最新時刻に基づかない場合に第２の短期公開鍵を生成しない（Ｓ２７）。

Description

通信システム、及び通信方法

　本開示内容は、通信システム、及び通信方法に関する。

　IoT(Internet of Things)機器向けの認証技術としてはパスワードや電子証明書等が従来から知られているが、近年では、より安全性が高い認証鍵交換プロトコルの導入が求められている。認証鍵交換プロトコルとは、認証が成功した際に互いに共有した鍵（共通鍵）を生成し、その共通鍵で暗号化通信が可能となるプロトコルである。このような認証鍵交換プロトコルの１つとして、ID(identification)ベース暗号を用いた認証鍵交換プロトコルが知られている。

　IDベース暗号を用いた認証鍵交換プロトコルは、ユーザが自分の好きな任意の文字列であるIDを公開鍵とする認証付き鍵交換方式を用い、IoT機器の製造コードやシリアルナンバーなどを公開鍵にそのまま採用することができる。この特徴を用いて、IDベース暗号を用いた認証鍵交換プロトコル、クライアント端末同士等が相互にIDが正しいかの認証を行い、認証が成功した際に互いに共通した共通鍵（セッション鍵）を生成することができ、クライアント端末同士等がその共通鍵で暗号化通信を行う。

　また、従来、長期運用の観点から、IDベース認証鍵交換プロトコルに長期秘密鍵の更新や無効化の機能を付与したものとして、失効機能付きIDベース認証鍵交換プロトコル（RIB-AKE）が提案されている（非特許文献１）。

中川 皓平, 割木 寿将, 岡野 裕樹, 藤岡 淳, 永井 彰,"高効率な失効機能付きIDベース認証鍵交換の構成", 2022年暗号と情報セキュリティシンポジウム

　しかし、上述の従来技術では、たとえ長期秘密鍵の更新を行っても、双方が古い長期秘密鍵を使い続けての鍵交換はできてしまうという課題が生じていた。

　本発明は、上記の点に鑑みてなされたものであり、最新の長期秘密鍵と相手側の識別情報のペアでなければ鍵交換を実施できないIDベース暗号を用いた認証鍵交換プロトコルを提供することを目的とする。

　上記目的を達成するため、請求項１に係る発明は、ＩＤベース暗号方式を用いて暗号化通信を行う所定サーバ及びクライアント端末を有する通信システムであって、前記クライアント端末は、ＫＧＣサーバから受信した最新時刻に基づく所定ノンス、及び第１の長期秘密鍵を受信する第１の受信部と、前記第１の長期秘密鍵を用いて、第１の短期秘密鍵及び第１の短期公開鍵を生成する第１の短期鍵生成部と、前記所定サーバに対して、第１のノンスが付加され前記クライアント端末を識別するための端末識別情報、及び前記第１の短期公開鍵を送信する第１の送信部と、を有し、前記所定サーバは、ＫＧＣサーバから受信した前記所定ノンス、及び第２の長期秘密鍵を受信する第２の受信部と、前記第１の送信部によって送信された前記第１のノンスが前記所定ノンスと同じであるか否かにより、前記第１のノンスが前記最新時刻に基づくか否かを確認する第２の確認部と、前記第１のノンスが前記最新時刻に基づかない場合に、第２の短期公開鍵を生成する処理を実行しない第２の短期鍵生成部と、を有する、通信システムである。

　以上説明したように本発明によれば、最新の長期秘密鍵と相手側の識別情報のペアでなければ鍵交換を実施できないという効果を奏する。

実施形態に係る通信システムの概略図である。 実施形態に係るＫＧＣサーバ及び所定サーバのハードウェア構成図である。 実施形態に係るクライアント端末のハードウェア構成図である。 実施形態に係る通信システムの各機能構成図である。 定常時の処理を示すシーケンス図である。 鍵交換時の処理を示すシーケンス図である。 鍵交換時の処理を示すシーケンス図である。 鍵交換時の処理を示すシーケンス図である。

　〔全体構成の概略〕
　図１は、本発明の実施形態に係る通信システムの概略図である。図１に示されているように、本実施形態の通信システム１は、ＫＧＣサーバ３、所定サーバ５、及びクライアント端末７によって構築されている。なお、図１では、所定サーバ５、クライアント端末７の２つが示されているが、３つ以上であってもよい。クライアント端末には、IoT機器、タブレット端末、ノートＰＣ等が含まれる。

　また、ＫＧＣサーバ３、所定サーバ５、及びクライアント端末７は、インターネット等の通信ネットワーク１００を介して通信することができる。通信ネットワーク１００の接続形態は、無線又は有線のいずれでも良い。ＫＧＣサーバ３は、単数又は複数のコンピュータによって構成されている。ＫＧＣサーバは、「ＫＧＣシステム」と示してもよい。

　ＫＧＣサーバ３は、ＫＧＣ(Key Generation Center：ＩＤベース鍵生成局）のサーバであり、長期秘密鍵等の発行を行う。

　所定サーバ５、及びクライアント端末７は、ＩＤベース暗号を用いた相互認証を行う。

　〔ハードウェア構成〕
　＜各サーバのハードウェア構成＞
　まずは、図２を用いて、ＫＧＣサーバ３及び所定サーバ５のハードウェア構成について説明する。図２は、ＫＧＣサーバ及び所定サーバのハードウェア構成図である。

　図２に示されているように、ＫＧＣサーバ３は、プロセッサ３０１、メモリ３０２、補助記憶装置３０３、接続装置３０４、通信装置３０５、ドライブ装置３０６を有する。なお、ＫＧＣサーバ３を構成する各ハードウェアは、バス３０７を介して相互に接続される。

　プロセッサ３０１は、ＫＧＣサーバ３全体の制御を行う制御部の役割を果たし、ＣＰＵ（Central Processing Unit）等の各種演算デバイスを有する。プロセッサ３０１は、各種プログラムをメモリ３０２上に読み出して実行する。なお、プロセッサ３０１には、ＧＰＧＰＵ(General-purpose computing on graphics processing units)が含まれていてもよい。

　メモリ３０２は、ＲＯＭ（Read Only Memory）、ＲＡＭ（Random Access Memory）等の主記憶デバイスを有する。プロセッサ３０１とメモリ３０２とは、いわゆるコンピュータを形成し、プロセッサ３０１が、メモリ３０２上に読み出した各種プログラムを実行することで、当該コンピュータは各種機能を実現する。

　補助記憶装置３０３は、各種プログラムや、各種プログラムがプロセッサ３０１によって実行される際に用いられる各種情報を格納する。

　接続装置３０４は、外部装置（例えば、表示装置３１０、操作装置３１１）とＫＧＣサーバ３とを接続する接続デバイスである。

　通信装置３０５は、他の装置（機器、サーバ、システムを含む）との間で各種情報を送受信するための通信デバイスである。

　ドライブ装置３０６は記録媒体３３０をセットするためのデバイスである。ここでいう記録媒体３３０には、ＣＤ－ＲＯＭ(Compact Disc Read-Only Memory)、フレキシブルディスク、光磁気ディスク等のように情報を光学的、電気的あるいは磁気的に記録する媒体が含まれる。また、記録媒体３３０には、ＲＯＭ(Read Only Memory)、フラッシュメモリ等のように情報を電気的に記録する半導体メモリ等が含まれていてもよい。

　なお、補助記憶装置３０３にインストールされる各種プログラムは、例えば、配布された記録媒体３３０がドライブ装置３０６にセットされ、該記録媒体３３０に記録された各種プログラムがドライブ装置３０６により読み出されることでインストールされる。あるいは、補助記憶装置３０３にインストールされる各種プログラムは、通信装置３０５を介してネットワークからダウンロードされることで、インストールされてもよい。

　また、図２には、所定サーバ５のハードウェア構成が示されているが、符号が３００番台から５００番台に変わっただけで、各構成は同様であるため、これらの説明を省略する。

　＜IoT機器及びタブレット端末のハードウェア構成＞
　次に、図３を用いて、クライアント端末７のハードウェア構成について説明する。図３は、実施形態に係るクライアント端末（IoT機器、タブレット端末等）のハードウェア構成図である。なお、クライアント端末７は、必ずしも図３のような構成でなくても良い。

　図３に示されているように、クライアント端末７は、プロセッサ７０１、メモリ７０２、補助記憶装置７０３、通信装置７０４、ＧＰＳ（Global Positioning System）装置７０５を有する。また、クライアント端末７は、音声入力装置７０６、音声出力装置７０７、表示装置７０８、撮像装置７０９、接続装置７１０、近距離無線通信装置７１１を有する。なお、クライアント端末７を構成する各ハードウェアは、バス７２０を介して相互に接続される。

　プロセッサ７０１は、クライアント端末７全体の制御を行う制御部の役割を果たし、ＣＰＵ（Central Processing Unit）等の各種演算デバイスを有する。プロセッサ７０１は、各種プログラムをメモリ７０２上に読み出して実行する。なお、プロセッサ４０１には、ＧＰＧＰＵ(General-purpose computing on graphics processing units)が含まれていてもよい。

　メモリ７０２は、ＲＯＭ（Read Only Memory）、ＲＡＭ（Random Access Memory）等の主記憶デバイスを有する。プロセッサ７０１とメモリ７０２とは、いわゆるコンピュータを形成し、プロセッサ７０１が、メモリ７０２上に読み出した各種プログラムを実行することで、当該コンピュータは各種機能を実現する。

　補助記憶装置７０３は、各種プログラムや、各種プログラムがプロセッサ７０１によって実行される際に用いられる各種情報を格納する。

　通信装置７０４は、他の装置（機器、サーバ、システムを含む）との間で各種情報を送受信するための通信デバイスである。ＧＰＳ装置７０５は、クライアント端末７の位置情報を検出する。

　音声入力装置７０６は、ユーザの音声や、周囲の音等の音声情報を検出する。音声出力装置７０７は、例えば、他の装置から受信した各種情報等を音声出力するデバイスである。

　表示装置７０８は、例えば、他の装置から受信した各種情報を画像表示するデバイスである。

　撮像装置７０９は、ユーザや周囲を撮影し、画像情報を生成する。

　接続装置７１０は、クライアント端末７に、各種センサや外付けメモリ等を接続する際に用いる接続デバイスである。

　近距離無線通信装置７１１は、クライアント端末７の近くの他の装置との間で、近距離無線通信を行うための無線デバイスである。

　なお、所定サーバ５は、図２に示す構成ではなく、図３に示す構成であってもよい。
〔通信システムの機能構成〕
　続いて、図４を用いて、通信システムの機能構成について説明する。図４は、実施形態に係る通信システムの各機能構成図である。

　＜ＫＧＣサーバ３の機能構成＞
　ＫＧＣサーバ３は、送受信部３１、長期秘密鍵生成部３３及び認証部３５を有している。これら各部は、ＫＧＣサーバ３にインストールされた１以上のプログラムを使用して、プロセッサ３０１がＫＧＣサーバ３に実現させる機能である。更に、ＫＧＣサーバ３は、記憶部３０を有している。記憶部３０は、メモリ３０２又は補助記憶装置３０３によって実現される。記憶部３０には、図５に示すように、所定サーバ５及び各クライアント端末７Ａ，７Ｂに関して、ID及び認証方式が登録されている。なお、クライアント端末７Ａ，７Ｂは、クライアント端末７の一例である。また、図５では、所定サーバ５及び各クライアント端末７Ａ，７Ｂの３つについて示しているが、これだけに限るものではない。また、所定サーバ５のサーバID(server1@example.com）に関しては、略して「IDs」と示す。クライアント端末７ＡのクライアントID(alice@example.com）に関しては、略して「IDa」と示す。クライアント端末７ＢのクライアントID(bob@example.com）に関しては、略して「IDb」と示す。

　送受信部３１は、通信ネットワーク１００を介して、所定サーバ５及びクライアント端末７とデータの送受信を行う。例えば、送受信部３１は、所定サーバ５に対して、最新時刻Ｔに基づくnonce（ノンス）が付加された(nonced)サーバIDsを用いて生成された長期秘密鍵(SSK_S)を送信することで、長期秘密鍵(SSK_S)を更新する。なお、「ノンス」は「ナンス」とも呼ばれている。ＫＧＣサーバ３は、UNIX（登録商標）時間等のマスター時間を管理しているため、送受信部３１は、所定サーバ５とクライアント端末７との間で合意された所定の時間間隔で、常に最新時刻Ｔの長期秘密鍵(SSK_S)を送信することができる。また、送受信部３１は、長期秘密鍵(SSK_S)と共に、最新時刻Ｔに基づくnonceも送信する。例えば、図５において、「SSK(server1@example.com+1648490000)」のうち、「server1@example.com」が所定サーバ５のサーバIDsで、「1648490000」がnonceである。nonceは、例えば、最新時刻Ｔを用いて生成される。なお、本実施形態では、有効時間内であれば、何度でもIDベース認証鍵交換は可能である。

　また、送受信部３１は、クライアント端末７Ａからの要求に応じて、クライアント端末７Ａに対して、長期秘密鍵生成部３３によって生成された長期秘密鍵(SSK_A)を送信する。また、送受信部３１は、クライアント端末７Ｂからの要求に応じて、クライアント端末７Ｂに対して、長期秘密鍵生成部３３によって生成された長期秘密鍵(SSK_B)を送信する。また、送受信部３１は、長期秘密鍵(SSK_A)又は長期秘密鍵(SSK_B)と共に、最新時刻Ｔに基づくnonceも送信する。なお、長期秘密鍵(SSK_S)は、図５以降で具体的に「SSK(server1@example.com_1648490000)」と示されている。長期秘密鍵(SSK_A)は、図６以降で具体的に「SSK(alice@example.com_1648490000)」と示されている。また、長期秘密鍵(SSK_B)は、具体的には「SSK(bob@example.com_1648490000)」と示すことができる。nonceに相当する「1648490000」が最新時刻Ｔに基づいて変更される。

　長期秘密鍵生成部３３は、ＫＧＣサーバ３で管理しているマスター時間に基づき、所定のサーバ５とクライアント端末７との間で合意された所定の更新間隔（例えば１分）で、所定サーバ５のサーバIDsにnonceを付加した後に長期秘密鍵(SSK_S)を生成する。また、長期秘密鍵生成部３３は、クライアント端末７Ａの端末IDaにnonceを付加した後に長期秘密鍵(SSK_A)を生成する。更に、長期秘密鍵生成部３３は、クライアント端末７Ｂの端末IDbにnonce付加した後に長期秘密鍵(SSK_B)を生成する。

　認証部３５は、送受信部３１によってクライアント端末７から長期秘密鍵の生成要求が受信された場合に、既に記憶部３０に登録された認証方式のうち、予め定められた所定の認証方式でクライアント端末７の認証を行う。

　＜所定サーバの機能構成＞
　所定サーバ５は、送受信部５１、確認部５２、短期鍵生成部５４、及び共通鍵生成部５７を有している。これら各部は、所定サーバ５にインストールされた１以上のプログラムを使用して、プロセッサ５０１が所定サーバ５に実現させる機能である。更に、所定サーバ５は、記憶部５０を有している。記憶部５０は、メモリ５０２又は補助記憶装置５０３によって実現される。記憶部５０には、自身（所定サーバ５）を識別するためのサーバ識別情報の一例であるサーバIDs等が記憶されている。また、記憶部５０には、ＫＧＣサーバ３から送られて来た最新時刻Ｔのnonce及び長期秘密鍵(SSK_S)が記憶される。

　送受信部５１は、通信ネットワーク１００を介して、ＫＧＣサーバ３及クライアント端末７とデータの送受信を行う。例えば、送受信部５１は、ＫＧＣサーバ３から、常に最新時刻Ｔのnonce及び長期秘密鍵(SSK_S)を受信し続ける。また、送受信部５１は、クライアント端末７Ａに対して、nonceが付加された自身（所定サーバ５）のサーバIDs、及び短期鍵生成部５４によって生成された短期公開鍵(EPK_S)を送信する。

　確認部５２は、クライアント端末７から送られて来た端末IDa/IDbに付加されているnonceが、ＫＧＣサーバ３から送られて来た最新時刻Ｔに基づくnonceと同じであるか否かにより、端末IDa/IDbに付加されているnonceが最新であるかを確認する。この場合、nonceが同じ場合には、最新である。最新時刻の端末IDでなければ、確認部５２は短期鍵生成部５４に最新時刻の端末IDでない旨を伝え、短期鍵生成部５４は、短期公開鍵を生成せず、送受信部５１はクライアント端末７との通信を終了する。一方、最新時刻の端末IDであれば、確認部５２は短期鍵生成部５４に最新時刻の端末IDである旨を伝えることで、短期鍵生成部５４が短期公開鍵の生成を開始する。

　短期鍵生成部５４は、ＫＧＣサーバ３から受信した自身の長期秘密鍵(SSK_S)、nonceが付加された自身のサーバIDs、nonceが付加されたクライアント端末７の端末IDa/IDbに基づいて、短期秘密鍵(ESK_S)を生成し、この短期秘密鍵(ESK_S)と対になる短期公開鍵(EPK_S)を生成することで、短期鍵のペアを生成する。

　共通鍵生成部５７は、自身の長期秘密鍵(SSK_S)、nonceが付加された端末IDa/IDb、nonceが付加されたサーバIDs、クライアント端末７から送られて来た短期公開鍵(EPK_A/EPK_B)、及び短期公開鍵(EPK_A/EPK_B)に対応する短期秘密鍵(ESK_A/ESK_B)を用いて、クライアント端末７とIDベース暗号方式を用いた暗号化通信を行うための共通鍵（セッション鍵）を生成する。

　＜クライアント端末の機能構成＞
　クライアント端末７は、送受信部７１、確認部７２、短期鍵生成部７４、及び共通鍵生成部７７を有している。これら各部は、クライアント端末７にインストールされた１以上のプログラムを使用して、プロセッサ７０１がクライアント端末７に実現させる機能である。更に、クライアント端末７は、記憶部７０を有している。記憶部７０は、メモリ７０２又は補助記憶装置７０３によって実現される。記憶部７０には、自身（クライアント端末７）を識別するための端末識別情報の一例である端末ID等が記憶されている。

　送受信部７１は、通信ネットワーク１００を介して、ＫＧＣサーバ３及び所定サーバ５とデータの送受信を行う。例えば、送受信部７１は、所定サーバ５に対して、nonceが付加された自身（クライアント端末７）の端末IDa/IDb、自身の短期公開鍵(EPK_A/EPK_B)を送信する。なお、クライアント端末７ａの端末IDは端末IDaと示され、クライアント端末７ｂの端末IDは端末IDbと示される。

　確認部７２は、送受信部７１によって受信されたサーバIDsに付加されているnonceを確認する。そして、最新時刻のサーバIDでなければ、確認部７２が共通鍵生成部７７に最新時刻のサーバIDでない旨を伝え、共通鍵生成部７７は共通鍵を生成せず、送受信部７１は所定サーバ５との通信を終了する。一方、最新時刻のサーバIDであれば、確認部７２が共通鍵生成部７７に最新時刻のサーバIDである旨を伝え、共通鍵生成部７７は共通鍵の生成を開始する。

　短期鍵生成部７４は、自身の端末IDa/IDb及び事前に取得している所定サーバ５のサーバIDsに対して、送受信部７１で受信された最新時刻Ｔに基づくnonceを付加する。そして、短期鍵生成部７４は、ＫＧＣサーバ３から受信された自身の長期秘密鍵(SSK_A/SSK_B)、最新時刻Ｔに基づくnonceを付加した自身の端末IDa/IDb、最新時刻Ｔに基づくnonceを付加した所定サーバ５のサーバIDsに基づいて、短期秘密鍵(ESK_A/ESK_B)を生成し、この短期秘密鍵(ESK_A/ESK_B)と対になる短期公開鍵(EPK_A/EPK_B)を生成することで、短期鍵のペアを生成する。なお、クライアント端末７Ａの短期公開鍵は短期公開鍵(EPK_A）、クライアント端末７Ｂの短期公開鍵は短期公開鍵(EPK_B）と示されている。また、クライアント端末７Ａの短期秘密鍵は短期秘密鍵(ESK_A）、クライアント端末７Ｂの短期秘密鍵は短期秘密鍵(ESK_B）と示されている。

　共通鍵生成部７７は、確認部７２による確認によってサーバIDsが最新であると判断された場合に、自身の長期秘密鍵(SSK_A/SSK_B)、nonceが付加された自身の端末IDa/IDb、nonceが付加されたサーバIDs、所定サーバ７から送られて来た短期公開鍵(EPK_S)、及び短期公開鍵(EPK_S)に対応する短期秘密鍵(ESK_S)を用いて、所定サーバ５とIDベース暗号方式を用いた暗号化通信を行うための共通鍵（セッション鍵）を生成する。

　〔実施形態の処理又は動作〕
　続いて、図５乃至図８を用いて、通信システム１の処理又は動作を説明する。なお、本実施形態では、所定サーバ５と、クライアント端末７の一例であるクライアント端末７ａがIDベース暗号方式を用いた暗号化通信を行う場合について説明する。

　＜定常時の処理＞
　Ｓ１１：図５に示すように、ＫＧＣサーバ３の長期秘密鍵生成部３３は、所定の更新間隔（例えば１分）で、最新時刻Ｔに基づくnonceを付加したサーバIDsに基づいて、最新時刻Ｔの長期秘密鍵(SSK_S)を生成する。

　Ｓ１２：ＫＧＣサーバ３の送受信部３１は、所定サーバ５に対し、最新時刻Ｔに基づくnonce、及び長期秘密鍵生成部３３によって生成された最新時刻Ｔの長期秘密鍵(SSK_S)を所定の更新間隔で常に送信し続ける。これにより、所定サーバ５の送受信部５１は、所定の更新間隔で、最新時刻Ｔに基づくnonce及び長期秘密鍵(SSK_S)を受信し続ける。

　＜鍵交換時の処理＞
　Ｓ２１：図６に示すように、クライアント端末７Ａの送受信部７１は、ＫＧＣサーバ３に対して、自身（クライアント端末７Ａ）の長期秘密鍵の生成要求を送信する。この際、クライアント端末７Ａの端末IDaも送信される。これにより、ＫＧＣサーバ３の送受信部３１は、長期秘密鍵の生成要求を受信する。

　Ｓ２２：ＫＧＣサーバ３の認証部３５は、記憶部３０に登録された認証方式で認証を行う。

　Ｓ２３：認証によりクライアント端末７Ａが正当な端末である場合には、長期秘密鍵生成部３３は、ＫＧＣサーバ３で管理しているマスター時間に基づき、所定のサーバ５とクライアント端末７との間で合意された所定の更新間隔（例えば１分）で、クライアント端末７Ａの端末IDaに最新時刻Ｔに基づくnonceを付加して長期秘密鍵(SSK_A)を生成する。そして、送受信部３１は、クライアント端末７Ａに対し、最新時刻Ｔに基づくnonce、及び長期秘密鍵生成部３３によって生成された最新時刻Ｔの長期秘密鍵(SSK_A)を送信する。これにより、クライアント端末７Ａの送受信部７１は、最新時刻Ｔに基づくnonce及び長期秘密鍵(SSK_A)を受信する。なお、認証によりクライアント端末７Ａが正当な端末である場合には、送受信部３１は、クライアント端末７Ａに対して、認証が失敗した旨を通知する。

　Ｓ２４：クライアント端末７Ａの短期鍵生成部７４は、自身の端末IDa及び事前に取得している所定サーバ５のサーバIDsに対して、送受信部７１で受信された最新時刻Ｔに基づくnonceを付加する。そして、短期鍵生成部７４は、ＫＧＣサーバ３から受信された自身の長期秘密鍵(SSK_A)、最新時刻Ｔに基づくnonceを付加した自身の端末IDa、最新時刻Ｔに基づくnonceを付加した所定サーバ５のサーバIDsを用いて、短期秘密鍵(ESK_A)を生成し、この短期秘密鍵(ESK_A)と対になる短期公開鍵(EPK_A)を生成することで、短期鍵のペアを生成する。

　Ｓ２５：クライアント端末７Ａの送受信部７１は、所定サーバ５に対して、nonceが付加された自身（クライアント端末７Ａ）の端末IDa、自身の短期公開鍵(EPK_A)を送信する。これにより、所定サーバ５の送受信部５１は、nonceが付加された端末IDa、及び短期公開鍵(EPK_A)を受信する。

　Ｓ２６：図７に示すように、所定サーバ５の確認部５２は、処理Ｓ２５で受信された端末IDaに付加されているnonceが、処理Ｓ１２で受信された最新時刻Ｔに基づくnonceと同じであるか否かにより、端末IDaに付加されているnonceが最新であるかを確認する。

　Ｓ２７：端末IDaに付加されているnonceが最新である場合には、所定サーバ５の短期鍵生成部５４は、自身のサーバIDs及び事前に取得しているクライアント端末７Ａの端末IDaに対して、送受信部７１で受信された最新時刻Ｔに基づくnonceを付加する。そして、短期鍵生成部５４は、ＫＧＣサーバ３から受信された自身の長期秘密鍵(SSK_S)、最新時刻Ｔに基づくnonceを付加した端末IDa、及び最新時刻Ｔに基づくnonceを付加したサーバIDsを用いて、短期秘密鍵(ESK_S)を生成し、この短期秘密鍵(ESK_S)と対になる短期公開鍵(EPK_S)を生成することで、短期鍵のペアを生成する。なお、端末IDaに付加されているnonceが最新でない場合には、所定サーバ５は、処理Ｓ２７，Ｓ２８を行わない。

　Ｓ２８：また、送受信部５１は、クライアント端末７Ａに対して、nonceが付加された自身（所定サーバ５）のサーバIDs、及び自身の短期公開鍵(EPK_S)を送信する。これにより、クライアント端末７Ａの送受信部５１は、nonceが付加されたサーバIDs、及び短期公開鍵(EPK_S)を受信する。

　Ｓ２９：図８に示すように、クライアント端末７Ａの確認部７２は、処理Ｓ２８で受信されたサーバIDsに付加されているnonceが、処理Ｓ２３で受信された最新時刻Ｔに基づくnonceと同じであるか否かにより、クライアント端末IDsに付加されているnonceが最新であるかを確認する。

　Ｓ３０：サーバIDsに付加されているnonceが最新である場合には、クライアント端末７Ａの共通鍵生成部７７は、自身の長期秘密鍵(SSK_A)、nonceが付加された自身の端末IDa、nonceが付加されたサーバIDs、交換した短期公開鍵(EPK_S)、及び短期公開鍵(EPK_S)に対応する短期秘密鍵(ESK_S)を用いて、所定サーバ５とIDベース暗号方式を用いた暗号化通信を行うための共通鍵（セッション鍵）を生成する。また、所定サーバ５側では、共通鍵生成部５７は、処理Ｓ２７の後に、自身の長期秘密鍵(SSK_S)、nonceが付加された端末IDa、nonceが付加されたサーバIDs、所定サーバ５から送られて来た短期公開鍵(EPK_A)、及び短期公開鍵(EPK_A)に対応する短期秘密鍵(ESK_A)を用いて、クライアント端末７ＡとIDベース暗号方式を用いた暗号化通信を行うための共通鍵（セッション鍵）を生成する。

　〔実施形態の主な効果〕
　以上説明したように本実施形態によれば、端末ID及びサーバIDが最新時刻Ｔに基づいて生成されたものでなければ（Ｓ２６，Ｓ２９参照）、所定サーバ５及びクライアント端末７の間での短期公開鍵の交換が失敗する。また、たとえ、端末ID及びサーバIDが最新時刻Ｔに基づいて生成されたものであっても、正当な所定サーバ５の長期秘密鍵(SSK_S)（Ｓ１２参照）を用いて生成された短期公開鍵(EPK_S)（Ｓ２７参照）、及び正当なクライアント端末７の長期秘密鍵(SSK_A/SSK_B)（Ｓ２２，Ｓ２３参照）を用いて生成された短期公開鍵(EPK_A/EPK_B)（Ｓ２４参照）でばければ、短期公開鍵の交換が失敗する。これにより、古い短期公開鍵の交換を防止することができる。

　また、ＫＧＣサーバ３は、登録された認証方式で認証することで（Ｓ２２）、正当なクライアント端末７に対してのみ長期秘密鍵を提供することができる。更に、ＫＧＣサーバ３は、複数の認証方式を許容することで、クライアント端末７のユーザのニーズに合わせたサービスが可能である。

　〔補足〕
　本発明は上述の実施形態に限定されるものではなく、以下に示すような構成又は処理（動作）であってもよい。

　ＫＧＣサーバ３、所定サーバ５、及びクライアント端末７は、コンピュータとプログラムによっても実現できるが、このプログラムを（非一時的な）記録媒体に記録することも、インターネット等のネットワークを通して提供することも可能である。

１　通信システム
３　ＫＧＣサーバ
５　所定サーバ
７　クライアント端末
５１　送受信部（第２の送信部の一例、第２の受信部の一例）
５２　確認部（第２の確認部の一例）
５４　短期鍵生成部（第２の短期鍵生成部の一例）
５７　共通鍵生成部（第２の共通鍵生成部の一例）
７１　送受信部（第１の送信部の一例、第１の受信部の一例）
７２　確認部（第１の確認部の一例）
７４　短期鍵生成部（第１の短期鍵生成部の一例）
７７　共通鍵生成部（第１の共通鍵生成部の一例）
１００　通信ネットワーク

Claims (8)

1. 　ＩＤベース暗号方式を用いて暗号化通信を行う所定サーバ及びクライアント端末を有する通信システムであって、
   　前記クライアント端末は、
   　ＫＧＣサーバから受信した最新時刻に基づく所定ノンス、及び第１の長期秘密鍵を受信する第１の受信部と、
   　前記第１の長期秘密鍵を用いて、第１の短期秘密鍵及び第１の短期公開鍵を生成する第１の短期鍵生成部と、
   　前記所定サーバに対して、第１のノンスが付加され前記クライアント端末を識別するための端末識別情報、及び前記第１の短期公開鍵を送信する第１の送信部と、
   　を有し、
   　前記所定サーバは、
   　ＫＧＣサーバから受信した前記所定ノンス、及び第２の長期秘密鍵を受信する第２の受信部と、
   　前記第１の送信部によって送信された前記第１のノンスが前記所定ノンスと同じであるか否かにより、前記第１のノンスが前記最新時刻に基づくか否かを確認する第２の確認部と、
   　前記第１のノンスが前記最新時刻に基づかない場合に、第２の短期公開鍵を生成する処理を実行しない第２の短期鍵生成部と、
   　を有する、通信システム。
2. 　請求項１に記載の通信システムであって、
   　前記第２の短期鍵生成部は、前記第１のノンスが前記最新時刻に基づく場合に、前記第２の長期秘密鍵を用いて、第２の短期秘密鍵及び前記第２の短期公開鍵を生成し、
   　前記所定サーバは、
   　前記クライアント端末に対して、第２のノンスが付加され前記所定サーバを識別するためのサーバ識別情報、及び前記第２の短期公開鍵を送信する第２の送信部と、
   　前記端末識別情報、前記サーバ識別情報、前記第２の長期秘密鍵、及び前記第１の短期公開鍵に基づいて、共通鍵を生成する第２の共通鍵生成部と、
   　を有し、
   　前記クライアント端末は、
   　前記第２の送信部によって送信された前記第２のノンスが前記所定ノンスと同じであるか否かにより、前記第２のノンスが前記最新時刻に基づくか否かを確認する第１の確認部と、
   　前記第１のノンスが前記最新時刻に基づかない場合に、前記共通鍵を生成する処理を実行しない第１の共通鍵生成部と、
   　を有する、通信システム。
3. 　前記第１の共通鍵生成部は、前記第１のノンスが前記最新時刻に基づく場合に、前記端末識別情報、前記サーバ識別情報、前記第１の長期秘密鍵、及び前記第２の短期公開鍵に基づいて、前記共通鍵を生成する、
   　請求項２に記載の通信システム。
4. 　前記クライアント端末は、
   　前記第１の送信部が、前記ＫＧＣサーバに対して前記第１の長期秘密鍵の生成を要求し、
   　前記第１の受信部が、前記ＫＧＣサーバによって前記クライアント端末が認証された後に生成されて送信された前記第１の長期秘密鍵を受信する、
   　請求項１乃至３のいずれか一項に記載の通信システム。
5. 　前記所定サーバは、
   　前記第２の受信部が、前記ＫＧＣサーバによって所定の時間間隔で前記最新時刻に基づいて生成されて送信された前記所定ノンスを受信する、
   　請求項１乃至３のいずれか一項に記載の通信システム。
6. 　ＩＤベース暗号方式を用いて暗号化通信を行う所定サーバ及びクライアント端末を有する通信システムが実行する通信方法あって、
   　前記クライアント端末は、
   　ＫＧＣサーバから受信した最新時刻に基づく所定ノンス、及び第１の長期秘密鍵を受信する第１の受信処理と、
   　前記第１の長期秘密鍵を用いて、第１の短期秘密鍵及び第１の短期公開鍵を生成する第１の短期鍵生成処理と、
   　前記所定サーバに対して、第１のノンスが付加され前記クライアント端末を識別するための端末識別情報、及び前記第１の短期公開鍵を送信する第１の送信処理と、
   　を実行し、
   　前記所定サーバは、
   　ＫＧＣサーバから受信した前記所定ノンス、及び第２の長期秘密鍵を受信する第２の受信処理と、
   　前記第１の送信処理によって送信された前記第１のノンスが前記所定ノンスと同じであるか否かにより、前記第１のノンスが前記最新時刻に基づくか否かを確認する第２の確認処理と、
   　前記第１のノンスが前記最新時刻に基づかない場合に、第２の短期公開鍵を生成する処理を実行しない第２の短期鍵生成処理と、
   　を実行する、通信方法。
7. 　請求項６に記載の通信方法であって、
   　前記第２の短期鍵生成処理は、前記第１のノンスが前記最新時刻に基づく場合に、前記第２の長期秘密鍵を用いて、第２の短期秘密鍵及び前記第２の短期公開鍵を生成する処理を含み、
   　前記所定サーバは、
   　前記クライアント端末に対して、第２のノンスが付加され前記所定サーバを識別するためのサーバ識別情報、及び前記第２の短期公開鍵を送信する第２の送信部と、
   　前記端末識別情報、前記サーバ識別情報、前記第２の長期秘密鍵、及び前記第１の短期公開鍵に基づいて、共通鍵を生成する第２の共通鍵生成処理と、
   　を実行し、
   　前記クライアント端末は、
   　前記第２の送信部によって送信された前記第２のノンスが前記所定ノンスと同じであるか否かにより、前記第２のノンスが前記最新時刻に基づくか否かを確認する第１の確認処理と、
   　前記第１のノンスが前記最新時刻に基づかない場合に、前記共通鍵を生成する処理を実行しない第１の共通鍵生成処理と、
   　を実行する、通信方法。
8. 　前記第１の共通鍵生成処理は、前記第１のノンスが前記最新時刻に基づく場合に、前記端末識別情報、前記サーバ識別情報、前記第１の長期秘密鍵、及び前記第２の短期公開鍵に基づいて、前記共通鍵を生成する処理を含む、
   　請求項７に記載の通信方法。

Images